Глубокая проверка контента - Deep content inspection
Глубокая проверка контента (DCI) - это форма сетевой фильтрации, которая исследует весь файл или MIME объект, проходящий через точку осмотра, ищет вирусы, спам, потеря данных, ключевые слова или другие критерии уровня содержания. Deep Content Inspection считается развитием Глубокая проверка пакетов с возможностью просмотра фактического содержимого вместо сосредоточения внимания на отдельных или нескольких пакетах. Deep Content Inspection позволяет сервисам отслеживать контент в нескольких пакетах, так что сигнатуры, которые они могут искать, могут пересекать границы пакета, но при этом они все равно будут найдены. Исчерпывающая форма проверки сетевого трафика, при которой интернет-трафик исследуется по всем семи Уровни ISO OSI, и самое главное, прикладной уровень.[1]
Фон
Традиционные технологии досмотра не успевают за недавними вспышками массовых атак.[2] В отличие от таких методов поверхностного контроля, как Глубокая проверка пакетов (DPI), где проверяется только часть данных (и, возможно, также заголовок) пакета, системы на основе Deep Content Inspection (DCI) являются исчерпывающими, так что пакеты сетевого трафика повторно собираются в их составляющие объекты, некодированные и / или распаковывать по мере необходимости и, наконец, представлять для проверки на наличие вредоносных программ, права на использование, соответствия и понимания цели трафика. Если эту реконструкцию и понимание можно выполнить в режиме реального времени, то к трафику можно будет применять политики реального времени, предотвращая распространение вредоносных программ, спама и потерю ценных данных. Кроме того, с помощью DCI корреляция и понимание цифровых объектов, передаваемых во многих сеансах связи, приводит к новым способам оптимизации производительности и интеллектуальности сети независимо от протокола или смешанных сеансов связи.
Исторически сложилось так, что DPI был разработан для обнаружения и предотвращения вторжение. Затем он использовался для предоставления Качество обслуживания где поток сетевого трафика может иметь приоритет, так что типы трафика, чувствительные к задержке (например, передача голоса по IP), могут использоваться для обеспечения более высокого приоритета потока.
Устройства защиты сетевого контента нового поколения, такие как Unified Threat Management или межсетевые экраны нового поколения (записка по основному исследованию Garner RAS G00174908), используют DPI для предотвращения атак небольшого процента вирусов и червей; сигнатуры этих вредоносных программ соответствуют полезной нагрузке области проверки DPI. Однако обнаружение и предотвращение нового поколения вредоносных программ, таких как Конфикер и Stuxnet возможно только после исчерпывающего анализа, предоставленного DCI.[3]
Эволюция систем DPI
Компьютерные сети отправляют информацию по сети от одной точки к другой; данные (иногда называемые полезной нагрузкой) «инкапсулируются» в IP-пакет, который выглядит следующим образом:
* Заголовок IP предоставляет информацию об адресе - адреса отправителя и получателя, а заголовок TCP / UDP предоставляет другую важную информацию, такую как номер порта и т. Д.
По мере развития сетей развиваются методы проверки; все пытаются понять полезную нагрузку. За последнее десятилетие произошли огромные улучшения, в том числе:
Пакетная фильтрация
Исторически сложилось так, что технология проверки проверяла только заголовок IP и заголовок TCP / UDP. Названные «фильтрацией пакетов», эти устройства отбрасывают пакеты последовательности или пакеты, которые не разрешены в сети. Эта схема проверки сетевого трафика впервые была использована межсетевыми экранами для защиты от пакетных атак.
Проверка пакетов с отслеживанием состояния
Инспекция пакетов с отслеживанием состояния была разработана для проверки информации заголовков и содержимого пакета, чтобы улучшить понимание источника и назначения. Вместо того, чтобы пропускать пакеты из-за их адресов и портов, пакеты оставались в сети, если контекст соответствовал текущему «состоянию» сети. Эта схема была впервые использована межсетевыми экранами Check Point и, в конечном итоге, системами предотвращения / обнаружения вторжений.
Глубокая проверка пакетов
Глубокая проверка пакетов в настоящее время является преобладающим инструментом проверки, используемым для анализа пакетов данных, проходящих через сеть, включая заголовки и структуры протокола данных. Эти технологии сканируют потоки пакетов и ищут подозрительные шаблоны.
Чтобы быть эффективными, системы глубокой проверки пакетов должны «строить» соответствие полезной нагрузки пакета сигнатурам вредоносного ПО и сигнатурам спецификаций (которые определяют, каким должен быть запрос / ответ) на скорости передачи данных. Для этого используются ПЛИС или программируемые вентильные матрицы, сетевые процессоры или даже графические процессоры (ГП).[4] запрограммированы на жесткую привязку этих сигнатур, и в результате трафик, проходящий через такие схемы, быстро сопоставляется.
Хотя использование аппаратного обеспечения позволяет проводить быстрые и встроенные совпадения, системы DPI имеют следующие ограничения, в том числе:
Аппаратные ограничения: Поскольку системы DPI реализуют сопоставление с образцом (или поиск «нарушающих» образцов) с помощью оборудования, эти системы обычно ограничены:
- Количество цепей, которые может иметь высокопроизводительный чип DPI; по состоянию на 2011 год эта высокопроизводительная система DPI может оптимально обрабатывать около 512 запросов / ответов за сеанс.
- Доступная память для сопоставления с образцом; по состоянию на 2011 год высокопроизводительные системы DPI способны сопоставить до 60 000 уникальных подписей.
Ограничения полезной нагрузки: Веб-приложения передают контент, используя двоичное кодирование текста, сжатие (заархивировано, заархивировано и т. д.), обфускация и даже шифрование. По мере того, как такая структура полезной нагрузки становится все более сложной, прямое сопоставление сигнатур "строк" становится недостаточным. Обычный обходной путь состоит в том, чтобы подписи были аналогичным образом «закодированы» или «заархивированы», что, учитывая указанные выше «ограничения поиска», не может масштабироваться для поддержки каждого Тип приложения, или же вложенные заархивированные или заархивированные файлы.
Глубокая проверка контента
Параллельно с разработкой Deep Packet Inspection, начало Deep Content Inspection можно проследить еще в 1995 году, когда были введены прокси-серверы, которые останавливали вредоносное ПО или спам. Deep Content Inspection можно рассматривать как третье поколение проверки сетевого контента, при котором сетевой контент полностью исследуется,
Первое поколение - безопасный веб-шлюз или проверка сетевого содержимого на основе прокси
Прокси-серверы были развернуты для предоставления услуг интернет-кеширования для получения объектов и их последующей пересылки. Следовательно, весь сетевой трафик перехватывается и потенциально сохраняется. Они перешли в то, что сейчас известно как безопасные веб-шлюзы, инспекции на основе прокси извлекают и сканируют объекты, сценарии и изображения.
Прокси-серверы, которые сначала получают контент, если он не был кэширован, а затем пересылка контента получателю вводила некоторую форму проверки файлов еще в 1995 году, когда Content Technologies выпустила MAILsweeper (сейчас Clearswift ), который затем был заменен MIMEsweeper в 2005 году. В 2006 году было выпущено кроссплатформенное антивирусное программное обеспечение с открытым исходным кодом. ClamAV предоставлена поддержка кеширования прокси, Кальмар и NetCache. С использованием Протокол адаптации интернет-контента (ICAP), прокси-сервер передаст загруженное содержимое для сканирования на сервер ICAP, на котором запущено антивирусное программное обеспечение. Поскольку на сканирование передавались полные файлы или «объекты», антивирусные решения на основе прокси считаются первым поколением проверки сетевого содержимого.
BlueCoat, WebWasher и Secure Computing Inc. (ныне McAfee, ныне подразделение Intel) предоставили коммерческие реализации прокси-серверов, которые в конечном итоге стали стандартным сетевым элементом в большинстве корпоративных сетей.
Ограничения: прокси (или безопасные веб-шлюзы) обеспечивают углубленную проверку сетевого трафика, но их использование ограничено, поскольку они:
- требовать реконфигурации сети, которая выполняется с помощью: a) конечных устройств, чтобы их браузеры указывали на эти прокси; или б) на сетевых маршрутизаторах для маршрутизации трафика через эти устройства.
- ограничены протоколами web (http) и ftp; не может сканировать другие протоколы, такие как электронная почта
- и, наконец, прокси-архитектуры, которые обычно строятся на основе Squid, которые не могут масштабироваться с одновременными сеансами, ограничивая их развертывание на предприятиях.
Второе поколение - глубокая проверка пакетов с помощью прокси-сервера и сетевого трафика на основе шлюза / межсетевого экрана
Второе поколение решений для проверки сетевого трафика было реализовано в межсетевых экранах и / или UTM. Учитывая, что сетевой трафик блокируется этими устройствами, в дополнение к проверке DPI возможна проверка, подобная прокси. Впервые этот подход был предложен NetScreen Technologies Inc. (приобретено Juniper Networks Inc ). Однако, учитывая высокую стоимость такой операции, эта функция применялась в тандеме с системой DPI и активировалась только по мере необходимости или когда контент не мог быть квалифицирован через систему DPI.
Третье поколение - прозрачная проверка сетевого содержимого с учетом приложений или глубокая проверка содержимого.
Третье и текущее поколение решений для проверки сетевого содержимого, известное как решения для глубокой проверки содержимого, реализовано в виде полностью прозрачных устройств, которые выполняют полную проверку содержимого на уровне приложений на проводной скорости. Чтобы понять цель сеанса связи - в целом - система глубокой проверки содержимого должна сканировать как подтверждение, так и полезную нагрузку. После того, как цифровые объекты (исполняемые файлы, изображения, файлы JavaScript, .pdf и т. Д., Также называемые «движущимися данными»), переносимые в полезной нагрузке, созданы, можно выполнить анализ удобства использования, соответствия и угроз этого сеанса и его полезной нагрузки. Учитывая, что последовательность установления связи и полная полезная нагрузка сеанса доступны системе DCI, в отличие от систем DPI, в которых возможны только простое сопоставление с образцом и поиск по репутации, возможен исчерпывающий анализ объекта. Инспекция, обеспечиваемая системами DCI, может включать сопоставление сигнатур, анализ поведения, анализ нормативных требований и соответствия, а также сопоставление проверяемого сеанса с историей предыдущих сеансов. Из-за доступности полных объектов полезной нагрузки и этих схем проверки системы Deep Content Inspection System обычно развертываются там, где требуется высокий уровень безопасности и соответствия или где решения безопасности конечных точек невозможны, например, в принеси свое устройство, или облачные установки.
Этот подход третьего поколения Deep Content Inspection был разработан в рамках оборонного и разведывательного сообщества и впервые появился в сторожить такие продукты, как SyBard,[5] а позже Wedge Networks Inc.. Ключевые моменты реализации подхода этой компании можно вывести из их патента USPTO № 7,630,379.[6]
Основные отличия Deep Content Inspection:
Содержание
Deep Content Inspection ориентирован на контент, а не на анализ пакетов или классификацию трафика на основе типов приложений, таких как Межсетевые экраны нового поколения. «Понимание» контента и его предназначения - это высший уровень интеллекта, который можно получить из сетевого трафика. Это важно, поскольку поток информации движется от пакета к приложению и, в конечном итоге, к контенту.
Примеры уровней проверки:
- Пакет: случайный образец для увеличения изображения
- Приложение: профилирование группы или приложения. Определенные приложения или области приложений разрешены / запрещены или сканируются дальше.
- Содержание: смотрите на все. Сканируйте все. Подвергайте контент правилам проверки (например, правилам соответствия / предотвращения потери данных). Понять намерение.
Мультисервисная проверка
Из-за доступности полных объектов этой полезной нагрузки для системы Deep Content Inspection некоторые из примеров услуг / проверки могут включать:
- Защита от вредоносного ПО
- Антиспам
- Потери данных за Данные в движении
- Угрозы нулевого дня или неизвестные угрозы
- Визуализация и аналитика сетевого трафика
- Кодовые атаки / инъекции
- Управление контентом
Приложения глубокой проверки содержимого
DCI в настоящее время используется предприятиями, поставщиками услуг и правительствами в качестве реакции на все более сложный интернет-трафик с преимуществами понимания полных типов файлов и их предназначения. Обычно в этих организациях есть критически важные приложения с жесткими требованиями.[7]
Препятствия для глубокой проверки контента
Пропускная способность сети
Этот тип проверки имеет дело с протоколами в реальном времени, сложность и размер которых только продолжают увеличиваться. Одним из ключевых препятствий для обеспечения такого уровня проверки, то есть просмотра всего контента, является пропускная способность сети. Решения должны преодолеть эту проблему, не создавая при этом задержки в сетевой среде. Они также должны иметь возможность эффективно масштабироваться, чтобы соответствовать требованиям завтрашнего дня и требованиям, обусловленным растущей тенденцией облачных вычислений. Один из подходов - использовать выборочное сканирование; однако, чтобы избежать снижения точности, критерии выбора должны основываться на повторяемости. Следующий патент USPTO № 7,630,379[8] предоставляет схему того, как глубокая проверка содержимого может быть эффективно проведена с использованием схемы повторного выбора. Новизна этого патента заключается в том, что он решает такие проблемы, как контент (например, файл mp3), который можно было переименовать перед передачей.
Точность услуг
Работа с объемом трафика и информации, а затем применение услуг требует очень высокой скорости поиска, чтобы быть эффективными. Необходимо сравнивать с платформами с полным спектром услуг, иначе весь трафик используется неэффективно. Пример часто встречается при работе с вирусами и вредоносным содержимым, когда решения сравнивают содержимое только с небольшой вирусной базой данных, а не с полной и полной.
Смотрите также
Рекомендации
- ^ «Глубокая проверка содержимого или глубокая проверка пакетов» В архиве 2011-09-16 на Wayback Machine, Wedge Networks Inc., 2 августа 2011 г., по состоянию на 23 августа 2011 г.
- ^ Адхикари, Ричард. «В поисках решений безопасности завтрашнего дня сегодня, часть 1», Мир технических новостей, 21 июля 2011 г., по состоянию на 23 августа 2011 г.
- ^ Сюй, Чэнчэн (январь 2016 г.). «Обзор соответствия регулярных выражений для глубокой проверки пакетов: приложения, алгоритмы и аппаратные платформы». Обзоры и учебные пособия по коммуникациям IEEE. 18(4): 2991–3029.
- ^ Саранг, Дхармапурикар. «Глубокая проверка пакетов - какая платформа реализации». Архивировано из оригинал 31 марта 2012 г.. Получено 31 августа 2011.
- ^ «Междоменные решения SyBard®» (PDF). 2012.
- ^ Моришита; и другие. «Патент США 7,630,379» (PDF). Получено 8 декабря, 2009.
- ^ Ракома, Анджело Дж. «Wedge Networks BeSecure использует глубокую проверку содержимого для защиты от вредоносного ПО», CMS Wire, 19 мая 2011 г., по состоянию на 1 августа 2011 г.
- ^ Моришита; и другие. «Патент США 7,630,379» (PDF). Получено 8 декабря, 2009.