Deep content inspection

Докладний аналіз вмісту (англ. Deep Content Inspection, скор. DCI) — це форма мережного фільтрування, за якої під час проходження контрольної точки перевіряється весь файл або об'єкт МІМЕ на наявність вірусів, спаму, втрати даних, ключових слів або за іншими критеріями рівня вмісту. Докладний аналіз вмісту є розвитком глибокої перевірки пакунків з можливістю переглядати фактичний вміст, а не лише окремий або декілька пакунків. Докладний аналіз вмісту полягає у відстеженні вмісту багатьох пакунків, так що сигнатури можуть бути знайдені, навіть якщо вони діляться між пакунками. Вичерпна форма аналізу мережевого трафіку, в якій інтернет-трафік аналізується всіх семи шарах OSI ISO, і найголовніше, на прикладному рівні.[1]

Передумови

[ред. | ред. код]

Традиційні технології перевірки не дозволяли вчасно реагувати на останні масові атаки.[2] На відміну від поверхневих методів контролю, таких як докладний аналіз пакунків (DPI), за яких перевіряється лише частина даних пакунка (і, можливо, заголовок), системи на основі докладного аналізу вмісту (DCI) є вичерпними, тобто пакунки мережевого трафіку розпаковуються для доступу до вміщених у них об'єктів, за потреби розкодовуються та/або розархівовуються і, нарешті, перевіряються на наявність шкідливих програм, правомірності використання тощо. Якщо це перетворення і аналіз можна виконати в режимі реального часу, до трафіку можна застосувати політики реального часу, запобігаючи поширенню шкідливих програм, спаму і втрати цінних даних.

Історично DPI розроблений для виявлення та запобігання вторгненням. Потім він використовувався для забезпечення якості обслуговування, де потік мережного трафіку може бути розподілений за пріоритетом таким чином, що типи трафіку, які залежать від затримки (наприклад, Voice over IP), можуть бути опрацьовані для забезпечення більшого пріоритету потоку.

Нові пристрої захисту мережевого вмісту, такі як уніфіковане управління загрозами або мережевий екран наступного покоління[en] (Garner RAS Core Research Note G00174908), використовують DPI для запобігання атакам з невеликого відсотка вірусів та хробаків; сигнатури цього шкідливого програмного забезпечення вписуються в обсяг перевірки DPI. Проте виявлення та попередження шкідливих програм нового покоління, таких як Conficker і Stuxnet можливе лише завдяки вичерпному аналізу, що надається DCI.[джерело?]

Докладний аналіз вмісту

[ред. | ред. код]

Паралельно з розвитком докладної перевірки пакунків, зачатки докладного аналізу вмісту можна простежити ще в 1995 році з появою проксі-серверів, які зупиняли шкідливі програми і спам. Докладний аналіз вмісту може розглядатися як третє покоління аналізу мережевого вмісту, яке передбачає ретельну його перевірку.

Перше покоління — захищений вебшлюз або перевірка мережевого контенту на основі проксі-сервера

[ред. | ред. код]

Проксі-сервери розгортались для надання послуг кешування вмісту, щоб отримувати об'єкти, а потім направляти їх. Таким чином, весь мережевий трафік перехоплюється, і, потенційно, зберігається. Це переросло в те, що зараз називають захищеним вебшлюзом: отримання та сканування об'єктів, скриптів та зображень на основі проксі-сервера.

Друге покоління — детальний аналіз пакунків на основі шлюзу/брандмауера з допомогою проксі

[ред. | ред. код]

Рішення другого покоління для контролю мережевого трафіку були здійснені в брандмауерах і/або UTM. Враховуючи, що мережевий трафік проходить через ці пристрої, на додачу до DPI можлива перевірка на основі проксі. Цей підхід було вперше використано NetScreen Technologies[en] (поглинута Juniper Networks Inc [Архівовано 7 вересня 2014 у Wayback Machine.]). Однак, враховуючи високу вартість такої операції, цю функцію було застосовано в тандемі з системою DPI і вона активізувалася тільки за потреби, або коли вміст не вдавалося оцінити через систему DPI.

Третє покоління — прозора програмна перевірка мережевого вмісту, або докладний аналіз вмісту

[ред. | ред. код]

Системи третього, поточного, покоління систем перевірки мережевого контенту, відомі як системи докладного аналізу вмісту, реалізовані як повністю прозорі пристрої, які виконують повну перевірку контенту на рівні застосунків на швидкості сигналу.

Див. також

[ред. | ред. код]

Посилання

[ред. | ред. код]
  1. «Deep Content Inspection vs. Deep Packet Inspection» [Архівовано 16 вересень 2011 у Wayback Machine.], Wedge Networks Inc., August 2, 2011, accessed August 23, 2011.
  2. Adhikari, Richard . «Seeking Tomorrow's Security Solutions Today, Part 1» [Архівовано 19 квітня 2018 у Wayback Machine.], Tech News World, July 21, 2011, accessed August 23, 2011.