一種下一代防火墻系統(tǒng)及其檢測(cè)報(bào)文的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及下一代防火墻(NGFW,Next Generat1n FireWall)對(duì)報(bào)文檢測(cè)的相關(guān)技術(shù),尤其涉及一種下一代防火墻系統(tǒng)及其檢測(cè)報(bào)文的方法。
【背景技術(shù)】
[0002]下一代防火墻系統(tǒng)也叫四七層防火墻,它將狀態(tài)檢測(cè)和應(yīng)用防火墻技術(shù)結(jié)合在一起,可以對(duì)用戶的各種網(wǎng)絡(luò)行為進(jìn)行深度檢測(cè)和識(shí)別,并對(duì)這些行為進(jìn)行疏導(dǎo)和控制。
[0003]現(xiàn)有的下一代防火墻系統(tǒng)的基本業(yè)務(wù)處理流程為:首先是將網(wǎng)絡(luò)報(bào)文送入通用應(yīng)用識(shí)別弓I擎進(jìn)行檢測(cè),形成中間結(jié)果集;然后應(yīng)用識(shí)別弓丨擎在協(xié)議識(shí)別的基礎(chǔ)上,依據(jù)中間結(jié)果集中的審計(jì)特征識(shí)別庫子集,基于協(xié)議載荷對(duì)協(xié)議進(jìn)行審計(jì)特征識(shí)別。但隨著特征庫越來越大,特征值越來越短,一次命中的概率越來越小,所以使得報(bào)文需要在得出的中間結(jié)果集里進(jìn)行過濾,按照特征所在的位置或者正則匹配等其它規(guī)則進(jìn)行協(xié)議推導(dǎo)識(shí)別出報(bào)文的協(xié)議特征。
[0004]由于設(shè)計(jì)上的局限性,當(dāng)前的下一代防火墻系統(tǒng)過于依賴通用應(yīng)用識(shí)別引擎,審計(jì)業(yè)務(wù)數(shù)目的不斷增加使得引擎不堪重負(fù),嚴(yán)重影響了特征識(shí)別的高效性和準(zhǔn)確性,所以現(xiàn)有的下一代防火墻特征識(shí)別技術(shù)方案已不適用于業(yè)務(wù)數(shù)量日益增多的審計(jì)需求。
【發(fā)明內(nèi)容】
[0005]有鑒于此,本發(fā)明實(shí)施例期望提供一種下一代防火墻系統(tǒng)及其檢測(cè)報(bào)文的方法,能夠準(zhǔn)確的檢測(cè)報(bào)文特征,且效率高、可靠性強(qiáng)。
[0006]本發(fā)明實(shí)施例提供了一種下一代防火墻系統(tǒng)檢測(cè)報(bào)文的方法,所述方法包括:
[0007]協(xié)議識(shí)別引擎提取報(bào)文中協(xié)議識(shí)別信息,并將所述協(xié)議識(shí)別信息與協(xié)議識(shí)別庫中協(xié)議信息進(jìn)行匹配,匹配成功時(shí),確定報(bào)文的協(xié)議特征;
[0008]與確定的報(bào)文協(xié)議特征相對(duì)應(yīng)的特征檢測(cè)引擎提取所述報(bào)文中審計(jì)特征標(biāo)識(shí)信息,并將所述審計(jì)特征標(biāo)識(shí)信息與所述報(bào)文的協(xié)議特征對(duì)應(yīng)的審計(jì)特征庫中審計(jì)特征信息進(jìn)行匹配,匹配成功時(shí),確定所述報(bào)文的審計(jì)特征。
[0009]上述方案中,所述提取報(bào)文中協(xié)議識(shí)別信息,并將所述協(xié)議識(shí)別信息與協(xié)議識(shí)別庫中協(xié)議信息進(jìn)行匹配包括:
[0010]提取報(bào)文中端口號(hào)信息,并將所述端口號(hào)信息與所述協(xié)議識(shí)別庫的端口映射庫中端口號(hào)信息進(jìn)行匹配,匹配成功時(shí),確定報(bào)文的協(xié)議特征;匹配失敗時(shí),提取報(bào)文中協(xié)議特征標(biāo)識(shí)信息,并將所述協(xié)議特征標(biāo)識(shí)信息與所述協(xié)議識(shí)別庫的靜態(tài)特征協(xié)議識(shí)別庫中協(xié)議信息進(jìn)行匹配,匹配成功時(shí),確定報(bào)文的協(xié)議特征。
[0011]上述方案中,所述方法還包括:將所述協(xié)議特征標(biāo)識(shí)信息與靜態(tài)特征協(xié)議識(shí)別庫中協(xié)議信息進(jìn)行匹配,匹配失敗時(shí),發(fā)出匹配失敗告警信息;和/或,
[0012]將所述審計(jì)特征標(biāo)識(shí)信息與所述報(bào)文的協(xié)議特征對(duì)應(yīng)的審計(jì)特征庫中審計(jì)特征信息進(jìn)行匹配,匹配失敗時(shí),發(fā)出匹配失敗告警信息。
[0013]上述方案中,所述確定所述報(bào)文的審計(jì)特征之后,所述方法還包括:依據(jù)所述報(bào)文的審計(jì)特征及預(yù)置的審計(jì)策略對(duì)所述報(bào)文進(jìn)行審計(jì)處理。
[0014]上述方案中,所述協(xié)議特征標(biāo)識(shí)信息為標(biāo)識(shí)所述報(bào)文的協(xié)議特征的固定字段或關(guān)鍵字;和/或,
[0015]所述審計(jì)特征標(biāo)識(shí)信息為標(biāo)識(shí)所述報(bào)文的審計(jì)特征的固定字段或關(guān)鍵字。
[0016]本發(fā)明實(shí)施例還提供了一種下一代防火墻系統(tǒng),所述下一代防火墻系統(tǒng)包括:協(xié)議識(shí)別引擎及特征檢測(cè)引擎;其中,
[0017]所述協(xié)議識(shí)別引擎,用于提取報(bào)文中協(xié)議識(shí)別信息,并將所述協(xié)議識(shí)別信息與協(xié)議識(shí)別庫中協(xié)議信息進(jìn)行匹配,匹配成功時(shí),確定報(bào)文的協(xié)議特征;
[0018]所述特征檢測(cè)引擎,用于提取所述報(bào)文中審計(jì)特征標(biāo)識(shí)信息,并將所述審計(jì)特征標(biāo)識(shí)信息與所述報(bào)文的協(xié)議特征對(duì)應(yīng)的審計(jì)特征庫中審計(jì)特征信息進(jìn)行匹配,匹配成功時(shí),確定所述報(bào)文的審計(jì)特征;
[0019]所述特征檢測(cè)引擎為與已確定的所述報(bào)文的協(xié)議特征對(duì)應(yīng)的特征檢測(cè)引擎。
[0020]上述方案中,所述協(xié)議識(shí)別引擎具體用于:
[0021]提取報(bào)文中端口號(hào)信息,并將所述端口號(hào)信息與所述協(xié)議識(shí)別庫的端口映射庫中端口號(hào)信息進(jìn)行匹配,匹配成功時(shí),確定報(bào)文的協(xié)議特征;匹配失敗時(shí),提取報(bào)文中協(xié)議特征標(biāo)識(shí)信息,并將所述協(xié)議特征標(biāo)識(shí)信息與所述協(xié)議識(shí)別庫的靜態(tài)特征協(xié)議識(shí)別庫中協(xié)議信息進(jìn)行匹配,匹配成功時(shí),確定報(bào)文的協(xié)議特征。
[0022]上述方案中,所述協(xié)議識(shí)別引擎,還用于將所述協(xié)議特征標(biāo)識(shí)信息與靜態(tài)特征協(xié)議識(shí)別庫中協(xié)議信息進(jìn)行匹配,匹配失敗時(shí),發(fā)出匹配失敗告警信息;和/或,
[0023]所述特征檢測(cè)引擎,還用于將所述審計(jì)特征標(biāo)識(shí)信息與所述報(bào)文的協(xié)議特征對(duì)應(yīng)的審計(jì)特征庫中審計(jì)特征信息進(jìn)行匹配,匹配失敗時(shí),發(fā)出匹配失敗告警信息。
[0024]上述方案中,所述下一代防火墻系統(tǒng)還包括:審計(jì)模塊,用于依據(jù)所述報(bào)文的審計(jì)特征及預(yù)置的審計(jì)策略對(duì)所述報(bào)文進(jìn)行審計(jì)處理。
[0025]上述方案中,所述協(xié)議特征標(biāo)識(shí)信息為標(biāo)識(shí)所述報(bào)文協(xié)議特征的固定字段或關(guān)鍵字;和/或,
[0026]所述審計(jì)特征標(biāo)識(shí)信息為標(biāo)識(shí)所述報(bào)文的審計(jì)特征的固定字段或關(guān)鍵字。
[0027]本發(fā)明實(shí)施例所提供的下一代防火墻系統(tǒng)及其檢測(cè)報(bào)文的方法,協(xié)議識(shí)別引擎提取報(bào)文中協(xié)議識(shí)別信息,并將所述協(xié)議識(shí)別信息與協(xié)議識(shí)別庫中協(xié)議信息進(jìn)行匹配,匹配成功時(shí),確定報(bào)文的協(xié)議特征;特征檢測(cè)引擎提取所述報(bào)文中審計(jì)特征標(biāo)識(shí)信息,并將所述審計(jì)特征標(biāo)識(shí)信息與所述報(bào)文的協(xié)議特征對(duì)應(yīng)的審計(jì)特征庫中審計(jì)特征信息進(jìn)行匹配,匹配成功時(shí),確定所述報(bào)文的審計(jì)特征。如此,將對(duì)報(bào)文的協(xié)議特征的檢測(cè)與對(duì)報(bào)文審計(jì)特征的檢測(cè)分離,能夠準(zhǔn)確、快速的識(shí)別報(bào)文的協(xié)議特征及其審計(jì)特征,同時(shí),也使防火墻審計(jì)特征庫的加載和更新更有針對(duì)性,且效率高、可靠性強(qiáng)。
【附圖說明】
[0028]圖1為現(xiàn)有技術(shù)中下一代防火墻系統(tǒng)檢測(cè)報(bào)文的方法流程示意圖;
[0029]圖2為本發(fā)明實(shí)施例一下一代防火墻系統(tǒng)檢測(cè)報(bào)文的方法流程示意圖;
[0030]圖3為本發(fā)明實(shí)施例下一代防火墻系統(tǒng)檢測(cè)QQ報(bào)文的方法流程示意圖;
[0031]圖4為本發(fā)明實(shí)施例二下一代防火墻系統(tǒng)檢測(cè)報(bào)文的方法流程示意圖;
[0032]圖5為本發(fā)明實(shí)施例三下一代防火墻系統(tǒng)檢測(cè)報(bào)文的方法流程示意圖;
[0033]圖6為本發(fā)明實(shí)施例下一代防火墻系統(tǒng)組成結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0034]圖1為現(xiàn)有的下一代防火墻系統(tǒng)檢測(cè)報(bào)文的流程圖,如圖1所示,現(xiàn)有的下一代防火墻技術(shù)以通用應(yīng)用識(shí)別引擎為核心,應(yīng)用識(shí)別引擎首先要加載定期更新的特征庫,特征庫是協(xié)議識(shí)別特征值和審計(jì)特征值的總和。所有的報(bào)文都需要經(jīng)過應(yīng)用識(shí)別引擎進(jìn)行深度檢測(cè),匹配特征庫中的任何特征都會(huì)做出標(biāo)記,形成中間結(jié)果集。由于現(xiàn)有的很多業(yè)務(wù)應(yīng)用直接使用標(biāo)準(zhǔn)協(xié)議的知名端口進(jìn)行傳輸,如超文本協(xié)議(HTTP, Hypertext transferprotocol)的80端口,或者直接承載在標(biāo)準(zhǔn)協(xié)議中,如Web視頻直接承載在HTTP協(xié)議中,且特征值逐漸變短,報(bào)文經(jīng)常不僅匹配了該報(bào)文的協(xié)議特征,而且匹配了其它近似的協(xié)議特征,而審計(jì)特征更是匹配了多個(gè)協(xié)議下的審計(jì)特征,如QQ下的語音報(bào)文可能不僅匹配QQ語音特征,而且能匹配飛信、微軟在線信息(MSN)等的語音特征。
[0035]在確定了報(bào)文所屬具體協(xié)議后,進(jìn)一步去匹配所屬協(xié)議之上的審計(jì)特征完成審計(jì)識(shí)別,然后根據(jù)協(xié)議和審計(jì)特征調(diào)用相應(yīng)的處理函數(shù)對(duì)報(bào)文進(jìn)行過濾處理。
[0036]在審計(jì)業(yè)務(wù)較少的情況下,應(yīng)用識(shí)別引擎可以快速識(shí)別所有的協(xié)議和特征,但是隨著防火墻審計(jì)業(yè)務(wù)不斷增加以及對(duì)報(bào)文處理性能要求的不斷提高,現(xiàn)有的下一代防火墻開始暴露出其體系結(jié)構(gòu)的問題:
[0037](1)、由于所有的協(xié)議識(shí)別和特征識(shí)別等深度檢測(cè)工作都交由應(yīng)用識(shí)別引擎完成,隨著審計(jì)業(yè)務(wù)不斷增加,應(yīng)用識(shí)別引擎需要查找的協(xié)議特征和審計(jì)特征會(huì)成倍的增加,使得報(bào)文處理性能嚴(yán)重下降;
[0038](2)、相同類型業(yè)務(wù)的協(xié)議有很多相同的審計(jì)特征,并且通常這些審計(jì)特征的長度都很短,難