国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種下一代防火墻系統(tǒng)及其檢測(cè)報(bào)文的方法

      文檔序號(hào):9600810閱讀:438來源:國知局
      一種下一代防火墻系統(tǒng)及其檢測(cè)報(bào)文的方法
      【技術(shù)領(lǐng)域】
      [0001]本發(fā)明涉及下一代防火墻(NGFW,Next Generat1n FireWall)對(duì)報(bào)文檢測(cè)的相關(guān)技術(shù),尤其涉及一種下一代防火墻系統(tǒng)及其檢測(cè)報(bào)文的方法。
      【背景技術(shù)】
      [0002]下一代防火墻系統(tǒng)也叫四七層防火墻,它將狀態(tài)檢測(cè)和應(yīng)用防火墻技術(shù)結(jié)合在一起,可以對(duì)用戶的各種網(wǎng)絡(luò)行為進(jìn)行深度檢測(cè)和識(shí)別,并對(duì)這些行為進(jìn)行疏導(dǎo)和控制。
      [0003]現(xiàn)有的下一代防火墻系統(tǒng)的基本業(yè)務(wù)處理流程為:首先是將網(wǎng)絡(luò)報(bào)文送入通用應(yīng)用識(shí)別弓I擎進(jìn)行檢測(cè),形成中間結(jié)果集;然后應(yīng)用識(shí)別弓丨擎在協(xié)議識(shí)別的基礎(chǔ)上,依據(jù)中間結(jié)果集中的審計(jì)特征識(shí)別庫子集,基于協(xié)議載荷對(duì)協(xié)議進(jìn)行審計(jì)特征識(shí)別。但隨著特征庫越來越大,特征值越來越短,一次命中的概率越來越小,所以使得報(bào)文需要在得出的中間結(jié)果集里進(jìn)行過濾,按照特征所在的位置或者正則匹配等其它規(guī)則進(jìn)行協(xié)議推導(dǎo)識(shí)別出報(bào)文的協(xié)議特征。
      [0004]由于設(shè)計(jì)上的局限性,當(dāng)前的下一代防火墻系統(tǒng)過于依賴通用應(yīng)用識(shí)別引擎,審計(jì)業(yè)務(wù)數(shù)目的不斷增加使得引擎不堪重負(fù),嚴(yán)重影響了特征識(shí)別的高效性和準(zhǔn)確性,所以現(xiàn)有的下一代防火墻特征識(shí)別技術(shù)方案已不適用于業(yè)務(wù)數(shù)量日益增多的審計(jì)需求。

      【發(fā)明內(nèi)容】

      [0005]有鑒于此,本發(fā)明實(shí)施例期望提供一種下一代防火墻系統(tǒng)及其檢測(cè)報(bào)文的方法,能夠準(zhǔn)確的檢測(cè)報(bào)文特征,且效率高、可靠性強(qiáng)。
      [0006]本發(fā)明實(shí)施例提供了一種下一代防火墻系統(tǒng)檢測(cè)報(bào)文的方法,所述方法包括:
      [0007]協(xié)議識(shí)別引擎提取報(bào)文中協(xié)議識(shí)別信息,并將所述協(xié)議識(shí)別信息與協(xié)議識(shí)別庫中協(xié)議信息進(jìn)行匹配,匹配成功時(shí),確定報(bào)文的協(xié)議特征;
      [0008]與確定的報(bào)文協(xié)議特征相對(duì)應(yīng)的特征檢測(cè)引擎提取所述報(bào)文中審計(jì)特征標(biāo)識(shí)信息,并將所述審計(jì)特征標(biāo)識(shí)信息與所述報(bào)文的協(xié)議特征對(duì)應(yīng)的審計(jì)特征庫中審計(jì)特征信息進(jìn)行匹配,匹配成功時(shí),確定所述報(bào)文的審計(jì)特征。
      [0009]上述方案中,所述提取報(bào)文中協(xié)議識(shí)別信息,并將所述協(xié)議識(shí)別信息與協(xié)議識(shí)別庫中協(xié)議信息進(jìn)行匹配包括:
      [0010]提取報(bào)文中端口號(hào)信息,并將所述端口號(hào)信息與所述協(xié)議識(shí)別庫的端口映射庫中端口號(hào)信息進(jìn)行匹配,匹配成功時(shí),確定報(bào)文的協(xié)議特征;匹配失敗時(shí),提取報(bào)文中協(xié)議特征標(biāo)識(shí)信息,并將所述協(xié)議特征標(biāo)識(shí)信息與所述協(xié)議識(shí)別庫的靜態(tài)特征協(xié)議識(shí)別庫中協(xié)議信息進(jìn)行匹配,匹配成功時(shí),確定報(bào)文的協(xié)議特征。
      [0011]上述方案中,所述方法還包括:將所述協(xié)議特征標(biāo)識(shí)信息與靜態(tài)特征協(xié)議識(shí)別庫中協(xié)議信息進(jìn)行匹配,匹配失敗時(shí),發(fā)出匹配失敗告警信息;和/或,
      [0012]將所述審計(jì)特征標(biāo)識(shí)信息與所述報(bào)文的協(xié)議特征對(duì)應(yīng)的審計(jì)特征庫中審計(jì)特征信息進(jìn)行匹配,匹配失敗時(shí),發(fā)出匹配失敗告警信息。
      [0013]上述方案中,所述確定所述報(bào)文的審計(jì)特征之后,所述方法還包括:依據(jù)所述報(bào)文的審計(jì)特征及預(yù)置的審計(jì)策略對(duì)所述報(bào)文進(jìn)行審計(jì)處理。
      [0014]上述方案中,所述協(xié)議特征標(biāo)識(shí)信息為標(biāo)識(shí)所述報(bào)文的協(xié)議特征的固定字段或關(guān)鍵字;和/或,
      [0015]所述審計(jì)特征標(biāo)識(shí)信息為標(biāo)識(shí)所述報(bào)文的審計(jì)特征的固定字段或關(guān)鍵字。
      [0016]本發(fā)明實(shí)施例還提供了一種下一代防火墻系統(tǒng),所述下一代防火墻系統(tǒng)包括:協(xié)議識(shí)別引擎及特征檢測(cè)引擎;其中,
      [0017]所述協(xié)議識(shí)別引擎,用于提取報(bào)文中協(xié)議識(shí)別信息,并將所述協(xié)議識(shí)別信息與協(xié)議識(shí)別庫中協(xié)議信息進(jìn)行匹配,匹配成功時(shí),確定報(bào)文的協(xié)議特征;
      [0018]所述特征檢測(cè)引擎,用于提取所述報(bào)文中審計(jì)特征標(biāo)識(shí)信息,并將所述審計(jì)特征標(biāo)識(shí)信息與所述報(bào)文的協(xié)議特征對(duì)應(yīng)的審計(jì)特征庫中審計(jì)特征信息進(jìn)行匹配,匹配成功時(shí),確定所述報(bào)文的審計(jì)特征;
      [0019]所述特征檢測(cè)引擎為與已確定的所述報(bào)文的協(xié)議特征對(duì)應(yīng)的特征檢測(cè)引擎。
      [0020]上述方案中,所述協(xié)議識(shí)別引擎具體用于:
      [0021]提取報(bào)文中端口號(hào)信息,并將所述端口號(hào)信息與所述協(xié)議識(shí)別庫的端口映射庫中端口號(hào)信息進(jìn)行匹配,匹配成功時(shí),確定報(bào)文的協(xié)議特征;匹配失敗時(shí),提取報(bào)文中協(xié)議特征標(biāo)識(shí)信息,并將所述協(xié)議特征標(biāo)識(shí)信息與所述協(xié)議識(shí)別庫的靜態(tài)特征協(xié)議識(shí)別庫中協(xié)議信息進(jìn)行匹配,匹配成功時(shí),確定報(bào)文的協(xié)議特征。
      [0022]上述方案中,所述協(xié)議識(shí)別引擎,還用于將所述協(xié)議特征標(biāo)識(shí)信息與靜態(tài)特征協(xié)議識(shí)別庫中協(xié)議信息進(jìn)行匹配,匹配失敗時(shí),發(fā)出匹配失敗告警信息;和/或,
      [0023]所述特征檢測(cè)引擎,還用于將所述審計(jì)特征標(biāo)識(shí)信息與所述報(bào)文的協(xié)議特征對(duì)應(yīng)的審計(jì)特征庫中審計(jì)特征信息進(jìn)行匹配,匹配失敗時(shí),發(fā)出匹配失敗告警信息。
      [0024]上述方案中,所述下一代防火墻系統(tǒng)還包括:審計(jì)模塊,用于依據(jù)所述報(bào)文的審計(jì)特征及預(yù)置的審計(jì)策略對(duì)所述報(bào)文進(jìn)行審計(jì)處理。
      [0025]上述方案中,所述協(xié)議特征標(biāo)識(shí)信息為標(biāo)識(shí)所述報(bào)文協(xié)議特征的固定字段或關(guān)鍵字;和/或,
      [0026]所述審計(jì)特征標(biāo)識(shí)信息為標(biāo)識(shí)所述報(bào)文的審計(jì)特征的固定字段或關(guān)鍵字。
      [0027]本發(fā)明實(shí)施例所提供的下一代防火墻系統(tǒng)及其檢測(cè)報(bào)文的方法,協(xié)議識(shí)別引擎提取報(bào)文中協(xié)議識(shí)別信息,并將所述協(xié)議識(shí)別信息與協(xié)議識(shí)別庫中協(xié)議信息進(jìn)行匹配,匹配成功時(shí),確定報(bào)文的協(xié)議特征;特征檢測(cè)引擎提取所述報(bào)文中審計(jì)特征標(biāo)識(shí)信息,并將所述審計(jì)特征標(biāo)識(shí)信息與所述報(bào)文的協(xié)議特征對(duì)應(yīng)的審計(jì)特征庫中審計(jì)特征信息進(jìn)行匹配,匹配成功時(shí),確定所述報(bào)文的審計(jì)特征。如此,將對(duì)報(bào)文的協(xié)議特征的檢測(cè)與對(duì)報(bào)文審計(jì)特征的檢測(cè)分離,能夠準(zhǔn)確、快速的識(shí)別報(bào)文的協(xié)議特征及其審計(jì)特征,同時(shí),也使防火墻審計(jì)特征庫的加載和更新更有針對(duì)性,且效率高、可靠性強(qiáng)。
      【附圖說明】
      [0028]圖1為現(xiàn)有技術(shù)中下一代防火墻系統(tǒng)檢測(cè)報(bào)文的方法流程示意圖;
      [0029]圖2為本發(fā)明實(shí)施例一下一代防火墻系統(tǒng)檢測(cè)報(bào)文的方法流程示意圖;
      [0030]圖3為本發(fā)明實(shí)施例下一代防火墻系統(tǒng)檢測(cè)QQ報(bào)文的方法流程示意圖;
      [0031]圖4為本發(fā)明實(shí)施例二下一代防火墻系統(tǒng)檢測(cè)報(bào)文的方法流程示意圖;
      [0032]圖5為本發(fā)明實(shí)施例三下一代防火墻系統(tǒng)檢測(cè)報(bào)文的方法流程示意圖;
      [0033]圖6為本發(fā)明實(shí)施例下一代防火墻系統(tǒng)組成結(jié)構(gòu)示意圖。
      【具體實(shí)施方式】
      [0034]圖1為現(xiàn)有的下一代防火墻系統(tǒng)檢測(cè)報(bào)文的流程圖,如圖1所示,現(xiàn)有的下一代防火墻技術(shù)以通用應(yīng)用識(shí)別引擎為核心,應(yīng)用識(shí)別引擎首先要加載定期更新的特征庫,特征庫是協(xié)議識(shí)別特征值和審計(jì)特征值的總和。所有的報(bào)文都需要經(jīng)過應(yīng)用識(shí)別引擎進(jìn)行深度檢測(cè),匹配特征庫中的任何特征都會(huì)做出標(biāo)記,形成中間結(jié)果集。由于現(xiàn)有的很多業(yè)務(wù)應(yīng)用直接使用標(biāo)準(zhǔn)協(xié)議的知名端口進(jìn)行傳輸,如超文本協(xié)議(HTTP, Hypertext transferprotocol)的80端口,或者直接承載在標(biāo)準(zhǔn)協(xié)議中,如Web視頻直接承載在HTTP協(xié)議中,且特征值逐漸變短,報(bào)文經(jīng)常不僅匹配了該報(bào)文的協(xié)議特征,而且匹配了其它近似的協(xié)議特征,而審計(jì)特征更是匹配了多個(gè)協(xié)議下的審計(jì)特征,如QQ下的語音報(bào)文可能不僅匹配QQ語音特征,而且能匹配飛信、微軟在線信息(MSN)等的語音特征。
      [0035]在確定了報(bào)文所屬具體協(xié)議后,進(jìn)一步去匹配所屬協(xié)議之上的審計(jì)特征完成審計(jì)識(shí)別,然后根據(jù)協(xié)議和審計(jì)特征調(diào)用相應(yīng)的處理函數(shù)對(duì)報(bào)文進(jìn)行過濾處理。
      [0036]在審計(jì)業(yè)務(wù)較少的情況下,應(yīng)用識(shí)別引擎可以快速識(shí)別所有的協(xié)議和特征,但是隨著防火墻審計(jì)業(yè)務(wù)不斷增加以及對(duì)報(bào)文處理性能要求的不斷提高,現(xiàn)有的下一代防火墻開始暴露出其體系結(jié)構(gòu)的問題:
      [0037](1)、由于所有的協(xié)議識(shí)別和特征識(shí)別等深度檢測(cè)工作都交由應(yīng)用識(shí)別引擎完成,隨著審計(jì)業(yè)務(wù)不斷增加,應(yīng)用識(shí)別引擎需要查找的協(xié)議特征和審計(jì)特征會(huì)成倍的增加,使得報(bào)文處理性能嚴(yán)重下降;
      [0038](2)、相同類型業(yè)務(wù)的協(xié)議有很多相同的審計(jì)特征,并且通常這些審計(jì)特征的長度都很短,難
      當(dāng)前第1頁1 2 3 4 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1