Войти
Глубокая проверка содержимого (DCI ) - это форма сетевой фильтрации, которая исследует весь файл или объект MIME, когда он проходит точку проверки, ища вирусы, спам, потерю данных, ключевые слова или другие критерии уровня содержимого. Deep Content Inspection считается развитием Deep Packet Inspection с возможностью просмотра фактического содержимого вместо сосредоточения внимания на отдельных или нескольких пакетах. Deep Content Inspection позволяет сервисам отслеживать контент в нескольких пакетах, так что сигнатуры, которые они могут искать, могут пересекать границы пакета, но при этом они все равно будут найдены. Исчерпывающая форма проверки сетевого трафика, при которой интернет-трафик исследуется на всех семи уровнях ISO OSI и, что наиболее важно, на уровне приложений.
Традиционные технологии досмотра не успевают за последними t взлома массовых атак. В отличие от методов поверхностной проверки, таких как Deep Packet Inspection (DPI), где проверяется только часть данных (и, возможно, также заголовок) пакета, системы на основе Deep Content Inspection (DCI) являются исчерпывающими, например пакеты сетевого трафика повторно собираются в составляющие их объекты, не кодируются и / или распаковываются по мере необходимости и, наконец, представляются для проверки на наличие вредоносных программ, права на использование, соответствия и понимания намерений трафика. Если эту реконструкцию и понимание можно выполнить в режиме реального времени, тогда к трафику можно будет применять политики реального времени, предотвращая распространение вредоносных программ, спама и потерю ценных данных. Кроме того, с помощью DCI корреляция и понимание цифровых объектов, передаваемых во многих сеансах связи, приводит к новым способам оптимизации производительности и интеллектуальности сети независимо от протокола или смешанных сеансов связи.
Исторически DPI был разработан для обнаружения и предотвращения вторжений. Затем он использовался для обеспечения качества обслуживания, где поток сетевого трафика может иметь приоритет, так что типы трафика, чувствительные к задержке (например, передача голоса по IP), могут использоваться для обеспечения более высокого приоритета потока.
Новое поколение устройств защиты сетевого контента, таких как Unified Threat Management или межсетевые экраны нового поколения (G00174908), используют DPI для предотвращения атак небольшого процента вирусов и червей; сигнатуры этих вредоносных программ соответствуют полезной нагрузке области проверки DPI. Однако обнаружение и предотвращение нового поколения вредоносных программ, таких как Conficker и Stuxnet, возможно только посредством исчерпывающего анализа, предоставленного DCI.
Компьютерные сети пересылают информацию по сети от одной точки к другой; данные (иногда называемые полезной нагрузкой) «инкапсулируются» в IP-пакет, который выглядит следующим образом:
Пример инкапсуляции данных приложения из UDP в протокол Link кадр * Заголовок IP предоставляет информацию об адресе - адреса отправителя и получателя, в то время как заголовок TCP / UDP предоставляет другую соответствующую информацию, такую как номер порта и т. д.
По мере развития сетей развиваются методы проверки; все пытаются понять полезную нагрузку. За последнее десятилетие были внесены значительные улучшения, в том числе:
Исторически технология проверки проверяла только заголовок IP и заголовок TCP / UDP. Названные «фильтрацией пакетов», эти устройства будут отбрасывать пакеты последовательности или пакеты, которые не разрешены в сети. Эта схема проверки сетевого трафика впервые была использована межсетевыми экранами для защиты от пакетных атак.
Проверка пакетов с отслеживанием состояния была разработана для проверки информации заголовка и содержимого пакета с целью улучшения понимания источника и получателя. Вместо того, чтобы пропускать пакеты из-за их адресов и портов, пакеты оставались в сети, если контекст соответствовал текущему «состоянию» сети. Эта схема была впервые использована межсетевыми экранами Check Point и, в конечном итоге, системами предотвращения / обнаружения вторжений.
Глубокая проверка пакетов в настоящее время является основным средством проверки, используемым для анализа пакетов данных, проходящих через сеть, включая заголовки и структуры протокола данных. Эти технологии сканируют потоки пакетов и ищут подозрительные шаблоны.
Чтобы быть эффективными, системы глубокой проверки пакетов должны «строково» согласовывать полезные нагрузки пакета с сигнатурами вредоносного ПО и сигнатурами спецификаций (которые определяют, каким должен быть запрос / ответ) на скорости передачи данных. Для этого FPGA или программируемые пользователем вентильные массивы, сетевые процессоры или даже графические процессоры (GPU) запрограммированы на жесткую привязку этих сигнатур, и в результате трафик, проходящий через такие схемы, быстро согласовывается.
Несмотря на то, что использование оборудования позволяет проводить быстрые и встроенные сопоставления, системы DPI имеют следующие ограничения, включая:
Аппаратные ограничения: Поскольку системы DPI реализуют сопоставление с образцом (или поиск «нарушающих» шаблонов) с помощью оборудования, эти системы обычно ограничиваются:
Ограничения полезной нагрузки: веб-приложения передают контент с использованием двоичного кодирования в текст, сжатия (zip, заархивированы и т. д.), обфускация и даже шифрование. По мере того, как такая структура полезной нагрузки становится все более сложной, прямое сопоставление «строк» подписей становится недостаточным. Обычный обходной путь заключается в том, чтобы подписи были аналогичным образом «закодированы» или заархивированы, что, учитывая указанные выше «ограничения поиска», не может масштабироваться для поддержки каждого типа приложения или вложенных заархивированных или архивных файлов.
Параллельно с разработкой Deep Packet Inspection, начало Deep Content Inspection можно проследить еще в 1995 году с появлением прокси-серверов, которые останавливали вредоносное ПО или спам. Deep Content Inspection можно рассматривать как третье поколение проверки сетевого контента, при котором сетевой контент полностью исследуется,
Прокси-серверы имеют были развернуты для предоставления услуг интернет-кэширования для извлечения объектов и их последующей пересылки. Следовательно, весь сетевой трафик перехватывается и потенциально сохраняется. Они перешли на то, что теперь известно как безопасные веб-шлюзы, инспекции на основе прокси извлекают и сканируют объекты, сценарии и изображения.
Прокси-серверы, которые сначала получают контент, если он не был кэширован, а затем пересылка контента получателю вводила некоторую форму проверки файлов еще в 1995 году, когда Content Technologies выпустила MAILsweeper (сейчас Clearswift ), который затем был заменен MIMEsweeper в 2005 году. В 2006 году было выпущено кроссплатформенное антивирусное программное обеспечение с открытым исходным кодом ClamAV с поддержкой кэширования прокси, Squid и NetCache. Используя протокол адаптации интернет-контента (ICAP), прокси-сервер передает загруженный контент для сканирования на сервер ICAP, на котором запущено антивирусное программное обеспечение. Поскольку для сканирования передавались полные файлы или «объекты», антивирусные решения на основе прокси считаются первым поколением проверки сетевого содержимого.
BlueCoat, WebWasher и Secure Computing Inc. (ныне McAfee, теперь подразделение Intel) предоставили коммерческие реализации прокси-серверов, которые со временем стали стандартным сетевым элементом в большинстве корпоративных сетей.
Ограничения: хотя прокси-серверы (или безопасные веб-шлюзы) обеспечивают углубленную проверку сетевого трафика, их использование ограничено, поскольку они:
Второе поколение решений для проверки сетевого трафика было реализовано в межсетевых экранах и / или UTM. Учитывая, что сетевой трафик блокируется этими устройствами, в дополнение к проверке DPI возможна проверка, подобная прокси. Впервые этот подход был предложен NetScreen Technologies Inc. (приобретен Juniper Networks Inc ). Однако, учитывая высокую стоимость такой операции, эта функция применялась в тандеме с системой DPI и активировалась только по мере необходимости или когда контент не мог быть квалифицирован через систему DPI.
Третье, текущее поколение проверки сетевого содержимого, известное как решения Deep Content Inspection, реализовано как полностью прозрачное устройства, которые выполняют полную проверку содержимого на уровне приложения на скорости передачи данных. Чтобы понять цель сеанса связи - в целом - система глубокой проверки содержимого должна сканировать как подтверждение, так и полезную нагрузку. После того, как цифровые объекты (исполняемые файлы, изображения, файлы JavaScript,.pdf и т. Д., Также называемые «движущимися данными»), переносимые в полезной нагрузке, созданы, можно выполнить анализ удобства использования, соответствия и угроз этого сеанса и его полезной нагрузки. Учитывая, что последовательность установления связи и полная полезная нагрузка сеанса доступны системе DCI, в отличие от систем DPI, в которых возможны только простое сопоставление с образцом и поиск по репутации, возможен исчерпывающий анализ объекта. Инспекция, обеспечиваемая системами DCI, может включать сопоставление сигнатур, анализ поведения, анализ нормативных требований и соответствия, а также сопоставление проверяемого сеанса с историей предыдущих сеансов. Из-за доступности полных объектов полезной нагрузки и этих схем проверки системы Deep Content Inspection System обычно развертываются там, где требуется высокий уровень безопасности и соответствия или когда решения безопасности конечных точек невозможны, например, в собственное устройство или облачные установки.
Этот подход третьего поколения Deep Content Inspection был разработан в сообществе оборонных и разведывательных служб и впервые появился в продуктах guard, таких как SyBard, а затем в Wedge Networks Inc.. Ключевые особенности реализации подхода этой компании можно вывести из их патента USPTO № 7,630,379
Основные отличия Deep Content Inspection:
Deep Content Inspection is Content -фокусирован вместо анализа пакетов или классификации трафика на основе типов приложений, таких как межсетевые экраны следующего поколения. «Понимание» контента и его предназначения - это высший уровень интеллекта, который можно получить из сетевого трафика. Это важно, поскольку поток информации движется от пакета к приложению и, в конечном итоге, к контенту.
Примеры уровней проверки:
Из-за доступности полных объектов этой полезной нагрузки для системы Deep Content Inspection некоторые из примеров служб / проверки могут включать:
DCI в настоящее время внедряется предприятиями, поставщиками услуг и правительствами как реакция на все более сложный интернет-трафик с преимуществами понимания полных типов файлов и их намерение. Как правило, в этих организациях есть критически важные приложения с жесткими требованиями.
Этот тип проверки имеет дело с протоколами в реальном времени, которые только продолжаются увеличивать сложность и размер. Одним из ключевых препятствий для обеспечения такого уровня проверки, то есть просмотра всего контента, является пропускная способность сети. Решения должны преодолеть эту проблему, не создавая при этом задержки в сетевой среде. Они также должны иметь возможность эффективно масштабироваться, чтобы соответствовать требованиям завтрашнего дня и требованиям, обусловленным растущей тенденцией облачных вычислений. Один из подходов - использовать выборочное сканирование; однако, чтобы избежать снижения точности, критерии выбора должны основываться на повторяемости. В следующем патенте USPTO № 7,630,379 представлена схема того, как Deep Content Inspection может быть эффективно проведен с использованием схемы повторного выбора. Новизна этого патента заключается в том, что он решает такие проблемы, как контент (например, файл mp3), который можно было переименовать перед передачей.
Работа с объемами трафика и информации и последующее применение услуг требует очень высокой скорости поиска, чтобы быть эффективными. Необходимо сравнить с платформами с полным спектром услуг, иначе весь трафик используется неэффективно. Пример часто встречается при работе с вирусами и вредоносным содержимым, когда решения сравнивают содержимое только с небольшой вирусной базой данных, а не с полной и полной.
