Глубокая проверка контента

Глубокая проверка содержимого ( DCI ) — это форма сетевой фильтрации, которая проверяет весь файл или объект MIME , когда он проходит через точку проверки, ища вирусы , спам, потерю данных, ключевые слова или другие критерии уровня содержимого. Глубокая проверка содержимого считается эволюцией глубокой проверки пакетов с возможностью смотреть на то, что содержит фактическое содержимое, вместо того, чтобы фокусироваться на отдельных или нескольких пакетах. Глубокая проверка содержимого позволяет службам отслеживать содержимое в нескольких пакетах, так что сигнатуры, которые они могут искать, могут пересекать границы пакетов, и при этом они все равно будут найдены. Исчерпывающая форма проверки сетевого трафика, в которой интернет-трафик проверяется на всех семи уровнях OSI ISO и, что наиболее важно, на уровне приложений. ^[1]

Традиционные технологии проверки не в состоянии справиться с недавними вспышками широкомасштабных атак. ^[2] В отличие от методов проверки, таких как глубокая проверка пакетов (DPI), где проверяется только часть данных (и, возможно, также заголовок) пакета, системы на основе глубокой проверки содержимого (DCI) являются исчерпывающими, так что пакеты сетевого трафика повторно собираются в их составляющие объекты, расшифровываются и/или распаковываются по мере необходимости и представляются для проверки на наличие вредоносных программ, права использования, соответствия и понимания намерения трафика. Если эта реконструкция и понимание могут быть выполнены в режиме реального времени, то политики реального времени могут применяться к трафику, предотвращая распространение вредоносных программ, спама и потерю ценных данных. Кроме того, с DCI корреляция и понимание цифровых объектов, передаваемых во многих сеансах связи, приводит к новым способам оптимизации производительности сети и интеллекта независимо от протокола или смешанных сеансов связи.

Исторически DPI был разработан для обнаружения и предотвращения вторжений . Затем он использовался для обеспечения качества обслуживания , где поток сетевого трафика может быть приоритезирован таким образом, что типы трафика, чувствительные к задержке (например, Voice over IP), могут использоваться для предоставления более высокого приоритета потока.

Новое поколение устройств сетевой безопасности контента, таких как Unified Threat Management или Next Generation Firewalls (Garner RAS Core Research Note G00174908), использует DPI для предотвращения атак небольшого процента вирусов и червей; сигнатуры этих вредоносных программ соответствуют полезной нагрузке области проверки DPI. Однако обнаружение и предотвращение нового поколения вредоносных программ, таких как Conficker и Stuxnet , возможно только с помощью исчерпывающего анализа, предоставляемого DCI. ^[3]

Компьютерные сети передают информацию по сети из одной точки в другую; данные (иногда называемые полезной нагрузкой) «инкапсулируются» в IP-пакет , который выглядит следующим образом:

_{*Заголовок IP содержит адресную информацию — адреса отправителя и получателя, тогда как заголовок TCP/UDP содержит другую соответствующую информацию, например номер порта и т. д.}

По мере развития сетей развиваются и методы проверки; все они пытаются понять полезную нагрузку. За последнее десятилетие произошли значительные улучшения, в том числе:

Исторически технология проверки проверяла только заголовок IP и заголовок TCP/UDP. Эти устройства, получившие название «Фильтрация пакетов», отбрасывали пакеты последовательности или пакеты, которые не допускаются в сеть. Эта схема проверки сетевого трафика впервые была использована брандмауэрами для защиты от пакетных атак.

Stateful packet inspection был разработан для проверки информации заголовка и содержимого пакета с целью улучшения понимания источника и назначения. Вместо того, чтобы пропускать пакеты в результате их адресов и портов, пакеты оставались в сети, если контекст соответствовал текущему «состоянию» сетей. Эта схема впервые была использована брандмауэрами Check Point и, в конечном итоге, системами предотвращения/обнаружения вторжений.

Глубокая проверка пакетов — это преобладающий инструмент проверки, используемый для анализа пакетов данных, проходящих через сеть, включая заголовки и структуры протоколов данных. Эти технологии сканируют потоки пакетов и ищут нарушающие шаблоны.

Чтобы быть эффективными, системы глубокой проверки пакетов должны «строковать» сопоставление полезных нагрузок пакетов с сигнатурами вредоносных программ и сигнатурами спецификаций (которые определяют, каким должен быть запрос/ответ) на скорости передачи данных. Для этого ПЛИС или программируемые пользователем вентильные матрицы, сетевые процессоры или даже графические процессоры (GPU) ^[4] программируются на жесткое подключение с этими сигнатурами, и в результате трафик, проходящий через такую ​​схему, быстро сопоставляется.

Хотя использование аппаратного обеспечения позволяет проводить быстрые и последовательные сопоставления, системы DPI имеют следующие ограничения:

Ограничения оборудования: поскольку системы DPI реализуют сопоставление с образцом (или поиск «нарушающих» образов) посредством оборудования, эти системы, как правило, имеют следующие ограничения:

• Количество цепей, которые может иметь высокопроизводительный чип DPI; по состоянию на 2011 год высокопроизводительная система DPI может оптимально обрабатывать около 512 запросов/ответов за сеанс.
• Память, доступная для сопоставления с образцом; по состоянию на 2011 год высокопроизводительные системы DPI способны сопоставлять до 60 000 уникальных сигнатур

Ограничения полезной нагрузки: веб-приложения передают контент с помощью двоично-текстового кодирования , сжатия (сжатия, архивирования и т. д.), обфускации и даже шифрования . Таким образом, структура полезной нагрузки становится все более сложной, так что прямого «строкового» сопоставления подписей уже недостаточно. Обычным обходным путем является то, что подписи должны быть одинаково «закодированы» или сжаты, что, учитывая вышеуказанные «ограничения поиска», не может масштабироваться для поддержки каждого типа приложения , или вложенных сжатых или архивированных файлов .

Параллельно с разработкой Deep Packet Inspection, начало Deep Content Inspection можно проследить еще в 1995 году с появлением прокси-серверов, которые останавливали вредоносное ПО или спам. Deep Content Inspection можно рассматривать как третье поколение Network Content Inspection, где сетевой контент тщательно проверяется,

Прокси-серверы были развернуты для предоставления услуг интернет-кэширования для извлечения объектов и их последующей пересылки. Следовательно, весь сетевой трафик перехватывается и потенциально сохраняется. Они перешли в то, что теперь известно как безопасные веб-шлюзы , проверки на основе прокси-серверов извлекают и сканируют объекты, скрипты и изображения.

Прокси-серверы, которые сначала извлекают содержимое, если оно не кэшировано, а затем пересылают содержимое получателю, ввели некоторую форму проверки файлов еще в 1995 году, когда Content Technologies (теперь Clearswift ) выпустила MAILsweeper, который затем был заменен на MIMEsweeper в 2005 году. В 2006 году был выпущен открытый исходный код кроссплатформенного антивирусного программного обеспечения ClamAV, обеспечивающего поддержку кэширующих прокси-серверов, Squid и NetCache . Используя протокол адаптации интернет-контента (ICAP) , прокси-сервер передает загруженное содержимое для сканирования на сервер ICAP, на котором запущено антивирусное программное обеспечение. Поскольку для сканирования передавались полные файлы или «объекты», антивирусные решения на основе прокси-сервера считаются первым поколением проверки сетевого содержимого.

Компании BlueCoat, WebWasher и Secure Computing Inc. (теперь McAfee, а теперь подразделение Intel) предоставили коммерческие реализации прокси-серверов, которые в конечном итоге стали стандартным сетевым элементом в большинстве корпоративных сетей.

Ограничения: Хотя прокси-серверы (или защищенные веб-шлюзы) обеспечивают углубленную проверку сетевого трафика, их использование ограничено, поскольку они:

• требуется перенастройка сети, которая выполняется посредством: а) конечных устройств, чтобы заставить свои браузеры указывать на эти прокси-серверы; или б) сетевых маршрутизаторов, чтобы направить трафик через эти устройства
• ограничены веб-протоколами (http) и ftp; не могут сканировать другие протоколы, такие как электронная почта
• и, наконец, прокси-архитектуры, которые обычно строятся на основе Squid и не могут масштабироваться с помощью одновременных сеансов, что ограничивает их применение на предприятиях.

Второе поколение решений по проверке сетевого трафика было реализовано в брандмауэрах и/или UTM. Учитывая, что сетевой трафик блокируется этими устройствами, в дополнение к проверке DPI возможна проверка типа proxy-like. Этот подход был впервые предложен NetScreen Technologies Inc. (приобретенной Juniper Networks Inc). Однако, учитывая высокую стоимость такой операции, эта функция применялась в тандеме с системой DPI и активировалась только по мере необходимости или когда контент не мог быть квалифицирован через систему DPI.

Третье и текущее поколение проверки сетевого контента, известное как решения для глубокой проверки контента, реализовано как полностью прозрачные устройства, которые выполняют полную проверку контента на уровне приложений со скоростью передачи данных. Чтобы понять намерение сеанса связи — во всей его полноте — система глубокой проверки контента должна сканировать как рукопожатие, так и полезную нагрузку. После того, как цифровые объекты (исполняемые файлы, изображения, JavaScript, .pdf и т. д., также называемые Data-In-Motion), переносимые в полезной нагрузке, созданы, можно выполнить анализ удобства использования, соответствия и угроз этого сеанса и его полезной нагрузки. Учитывая, что последовательность рукопожатия и полная полезная нагрузка сеанса доступны системе DCI, в отличие от систем DPI, где возможны только простое сопоставление шаблонов и поиск по репутации, возможен исчерпывающий анализ объектов. Проверка, предоставляемая системами DCI, может включать сопоставление сигнатур, поведенческий анализ, нормативный и соответствующий анализ, а также корреляцию проверяемого сеанса с историей предыдущих сеансов. Благодаря доступности всех объектов полезной нагрузки и этим схемам проверки, системы глубокой проверки контента обычно развертываются там, где требуется высокий уровень безопасности и соответствия требованиям или где решения по безопасности конечных точек невозможны, например, при использовании собственного устройства или при установке в облаке.

Этот подход третьего поколения глубокой проверки контента был разработан в оборонном и разведывательном сообществе, впервые появившись в продуктах для охраны, таких как SyBard, ^[5] а затем и в Wedge Networks Inc. Ключевые моменты реализации подхода этой компании можно вывести из их патента USPTO# 7,630,379 ^[6].

Основными отличиями глубокой проверки контента являются:

Глубокая проверка контента фокусируется на контенте, а не на анализе пакетов или классификации трафика на основе типов приложений, как в межсетевых экранах нового поколения . «Понимание» контента и его намерений — это наивысший уровень интеллекта, который можно получить из сетевого трафика. Это важно, поскольку поток информации перемещается от пакета к приложению и, в конечном итоге, к контенту.

Примеры уровней проверки:

• Пакет: Случайный образец для получения большего изображения
• Приложение: Групповое или прикладное профилирование. Определенные приложения или области приложений разрешены/не разрешены или сканируются дополнительно.
• Контент: Посмотрите на все. Сканируйте все. Подвергните контент правилам проверки (например, правилам соответствия/предотвращения потери данных). Поймите намерение.

В связи с доступностью полных объектов этой полезной нагрузки для системы глубокой проверки контента некоторые примеры услуг/проверок могут включать:

• Антивредоносное ПО
• Антиспам
• Потеря данных для данных в движении
• Угрозы нулевого дня или неизвестные угрозы
• Визуализация и аналитика сетевого трафика
• Атаки/Внедрение кода
• Манипуляция контентом

В настоящее время DCI внедряется предприятиями, поставщиками услуг и правительствами в ответ на все более сложный интернет-трафик с преимуществами понимания полных типов файлов и их намерений. Обычно эти организации имеют критически важные приложения с жесткими требованиями. ^[7]

Этот тип проверки имеет дело с протоколами реального времени, которые только продолжают увеличиваться в сложности и размере. Одним из ключевых барьеров для обеспечения этого уровня проверки, то есть просмотра всего контента, является работа с пропускной способностью сети. Решения должны преодолеть эту проблему, не внося задержку в сетевую среду. Они также должны иметь возможность эффективно масштабироваться для удовлетворения завтрашних потребностей и потребностей, предусмотренных растущей тенденцией облачных вычислений. Один из подходов заключается в использовании выборочного сканирования; однако, чтобы избежать ущерба точности, критерии выбора должны основываться на повторении. Следующий патент USPTO# 7,630,379 ^[8] предоставляет схему того, как глубокая проверка контента может быть эффективно выполнена с использованием схемы выбора повторения. Новизна, введенная этим патентом, заключается в том, что он решает такие проблемы, как контент (например, файл mp3), который мог быть переименован перед передачей.

Работа с объемом трафика и информации, а затем применение услуг требует очень высокоскоростных поисков, чтобы быть эффективными. Необходимо сравнивать с платформами полных услуг, иначе весь трафик не будет использоваться эффективно. Пример часто встречается в работе с вирусами и вредоносным контентом, где решения сравнивают контент только с небольшой базой данных вирусов вместо полной и завершенной.

• Удаление угрозы контента
• Разоружение и реконструкция контента