深度包检测技术

zghcpt

深度包检测技术综述
　　通常，深度包检测技术深入检查通过防火墙的每个数据包及其应用载荷。虽然只检测包头部分是一种更加经济的方式，但是很多恶意行为可能隐藏在数据载荷中，通过防御边界在安全体系内部产生严重的危害。因为数据载荷中可能充斥着垃圾邮件、广告视频以及企业所不欣赏的P2P传输，而各种电子商务程序的HTML和XML格式数据中也可能夹带着后门和木马程序在网络节点之间交换。所以，在应用形式及其格式以爆炸速度增长的今天，仅仅依照数据包的第三层信息决定其是否准入，实在无法满足安全的要求。
　　
　　深度包检测引擎以基于指纹匹配、启发式技术、异常检测以及统计学分析等技术的规则集，决定如何处理数据包。举例来说，检测引擎将数据包载荷中的数据与预先定义的攻击指纹进行对比，以判定数据传输中是否含有恶意攻击行为，同时引擎利用已有的统计学数据执行模式匹配，辅助这种判断的执行。利用深度包检测技术可以更有效的辨识和防护缓冲区溢出攻击、拒绝服务攻击、各种欺骗性技术以及类似尼姆达这样的蠕虫病毒。从本质上来讲，深度包检测将入侵检测（IDS）功能融入防火墙当中，从而使我们有条件创建一种一体化的安全设备，如图3所示。
　　
　　近来，可编程ASIC技术的发展以及更有效的规则算法的出现，增强了深度包检测引擎的执行能力，让这项技术在性能方面的压力得到了缓解。而将防火墙与入侵检测系统的功能封装在单个设备中也可以使得管理方面的负担得到减轻，所以应用了深度包检测技术的产品受到了相当一部分管理员的好评。一些主要的防火墙供应商，包括CheckPoint、Cisco、NetScreen、Symantec，都在不断增加其防火墙产品中的应用数据分析功能。
　　
　　反思
　　我们在为深度包检测技术感到鼓舞的同时，也不能忘记这个世界上并不存在完美的技术。现在应用深度包检测的产品通常都是一体化的安全设备，相比之下，传统防火墙和入侵检测产品的一个重要优势在于不会因为单个安全组件的瘫痪导致整个网络处于无保护状态。同时如果将越多的功能集中在单一设备中，我们就越把自己限制于单个产品供应商。
　　
　　这些可能会使我们在很大程度上丧失灵活性。对于具有高度动态性特征的安全事务，这可不是个可以忽视的问题。另外，我们的安全阵线已经处于一种非常复杂的境地，在我们的安全边界，已经充斥着各种传统的防火墙和入侵检测设备以及各种Honeypot产品，深度包检测技术的融合能够真正降低这种复杂性还是更进一步恶化现状，还需要我们认真面对。
　　
　　最后，尽管目前深度包检测技术的性能获得了可观的提升，但是在同等硬件条件下，检测内容多的任务必定要比检测内容少的任务耗费时间，所以相对于只检测包头的传统检测技术，深入包检测技术的应用应该更有目的性，而不应该被当作一种“万灵药”。