潘秋羽
【摘要】下一代防火墻技術(shù)是在網(wǎng)絡(luò)應(yīng)用的不斷增多,識別難度不斷增大的情況下提出來的,這就使得下一代防火墻的技術(shù)核心在于應(yīng)用層防火墻,即實現(xiàn)對應(yīng)用的識別。本文通過分析應(yīng)用層防火墻技術(shù)歷年申請趨勢、發(fā)展脈絡(luò)、優(yōu)缺點等,從基于端口的應(yīng)用識別技術(shù)、深度數(shù)據(jù)包檢測技術(shù)(DPI)、深度數(shù)據(jù)流檢測技術(shù)(DFI)和機器學習技術(shù)等多個角度對涉及應(yīng)用層防火墻的專利技術(shù)進行了綜述。
【關(guān)鍵詞】應(yīng)用識別 防火墻 端口 DPI DFI 機器學習
一、引言
隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,網(wǎng)絡(luò)應(yīng)用越來越豐富,用戶對網(wǎng)絡(luò)安全關(guān)注的焦點已經(jīng)開始關(guān)注如何精確的識別出每個應(yīng)用、禁用有安全問題的應(yīng)用、保證合法有效的應(yīng)用正常使用、防止網(wǎng)絡(luò)應(yīng)用的端口盜用等問題。因此,應(yīng)用層防火墻應(yīng)運而生。
二、全球范圍的專利申請狀況
通過檢索獲得129件國內(nèi)外專利申請,通過分析可知,在2010年之前,應(yīng)用層防火墻技術(shù)專利的申請量較少,主要是因為下一代防火墻的定義由著名研究機構(gòu)Gartner在2009年才提出來。在2010年,雖有少量這方面的申請,但是數(shù)量還是較少,也即應(yīng)用層防火墻技術(shù)還處在初級階段。直到2011年,申請數(shù)量才明顯增加,并且此后逐年增加,2014年和2015年的申請量在數(shù)量上有所降低,但由于2014年和2015年的申請并未公開完全,因此不能統(tǒng)計完全,相信隨著下一代防火墻技術(shù)的發(fā)展,2014年和2015年涉及應(yīng)用層防火墻技術(shù)的專利申請量相對于2013年仍會繼續(xù)增長。
三、主要技術(shù)分支和申請量
縱觀檢索獲得的129篇專利申請,可以將其大致可分為4個技術(shù)分支:基于端口的應(yīng)用識別、基于DPI的應(yīng)用識別和基于DFI的應(yīng)用識別、基于機器學習的應(yīng)用識別。
同時,在2010-2015年期間,各個分支的發(fā)展程度也不一樣,為了獲取將來可能成為應(yīng)用層防火墻技術(shù)的研究重點的分支,本文對各個分支的年度申請數(shù)量也進行了分析,如圖1所示。
從圖1可知:(1)基于端口的應(yīng)用識別發(fā)展呈現(xiàn)增長趨勢,但每一年的申請量都有限,也即雖然該技術(shù)的發(fā)展整體呈增長趨勢,但其已經(jīng)不再適用于網(wǎng)絡(luò)應(yīng)用越來越多的現(xiàn)代網(wǎng)絡(luò);(2)基于DPI的應(yīng)用識別的發(fā)展整體呈上升趨勢,可見,DPI技術(shù)不僅對數(shù)據(jù)包得TP層進行檢查,還能對數(shù)據(jù)包內(nèi)容進行檢查,每個應(yīng)用協(xié)議都有自己的數(shù)據(jù)特征,充分理解各種應(yīng)用協(xié)議的變化規(guī)律和流程,就可以準確快速地識別出應(yīng)用協(xié)議,從而達到精確識別和控制應(yīng)用的效果,滿足了應(yīng)用層防護墻的需求;(3)基于DFI的應(yīng)用識別的發(fā)展整體不存在顯著的規(guī)律性,主要由于數(shù)據(jù)流特征不明顯,應(yīng)用協(xié)議多變的應(yīng)用很難通過基于DFI的應(yīng)用識別進行識別,因此很難滿足應(yīng)用層防火墻的需求;(4)基于機器學習的應(yīng)用識別的發(fā)展整體也呈現(xiàn)增長趨勢,并且申請量幾乎已經(jīng)占到了所有專利申請量的一半,可以看出主動防御學習將成為未來應(yīng)用層防火墻的發(fā)展趨勢。
四、結(jié)束語
應(yīng)用層防火墻還在不斷研究和發(fā)展之中,網(wǎng)絡(luò)應(yīng)用也越來越多,隨著應(yīng)用協(xié)議的變化,現(xiàn)有的識別方法可能不再適用,必須繼續(xù)加入擴展,不斷更新識別方法才能保持識別庫不被淘汰,因此,機器學習和自動防御將成為未來應(yīng)用層防火墻的必然趨勢。