潘秋羽

【摘要】下一代防火墻技術(shù)是在網(wǎng)絡(luò)應(yīng)用的不斷增多，識別難度不斷增大的情況下提出來的，這就使得下一代防火墻的技術(shù)核心在于應(yīng)用層防火墻，即實現(xiàn)對應(yīng)用的識別。本文通過分析應(yīng)用層防火墻技術(shù)歷年申請趨勢、發(fā)展脈絡(luò)、優(yōu)缺點等，從基于端口的應(yīng)用識別技術(shù)、深度數(shù)據(jù)包檢測技術(shù)（DPI）、深度數(shù)據(jù)流檢測技術(shù)（DFI）和機器學習技術(shù)等多個角度對涉及應(yīng)用層防火墻的專利技術(shù)進行了綜述。

【關(guān)鍵詞】應(yīng)用識別 防火墻 端口 DPI DFI 機器學習

一、引言

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)應(yīng)用越來越豐富，用戶對網(wǎng)絡(luò)安全關(guān)注的焦點已經(jīng)開始關(guān)注如何精確的識別出每個應(yīng)用、禁用有安全問題的應(yīng)用、保證合法有效的應(yīng)用正常使用、防止網(wǎng)絡(luò)應(yīng)用的端口盜用等問題。因此，應(yīng)用層防火墻應(yīng)運而生。

二、全球范圍的專利申請狀況

通過檢索獲得129件國內(nèi)外專利申請，通過分析可知，在2010年之前，應(yīng)用層防火墻技術(shù)專利的申請量較少，主要是因為下一代防火墻的定義由著名研究機構(gòu)Gartner在2009年才提出來。在2010年，雖有少量這方面的申請，但是數(shù)量還是較少，也即應(yīng)用層防火墻技術(shù)還處在初級階段。直到2011年，申請數(shù)量才明顯增加，并且此后逐年增加，2014年和2015年的申請量在數(shù)量上有所降低，但由于2014年和2015年的申請并未公開完全，因此不能統(tǒng)計完全，相信隨著下一代防火墻技術(shù)的發(fā)展，2014年和2015年涉及應(yīng)用層防火墻技術(shù)的專利申請量相對于2013年仍會繼續(xù)增長。

三、主要技術(shù)分支和申請量

縱觀檢索獲得的129篇專利申請，可以將其大致可分為4個技術(shù)分支：基于端口的應(yīng)用識別、基于DPI的應(yīng)用識別和基于DFI的應(yīng)用識別、基于機器學習的應(yīng)用識別。

同時，在2010-2015年期間，各個分支的發(fā)展程度也不一樣，為了獲取將來可能成為應(yīng)用層防火墻技術(shù)的研究重點的分支，本文對各個分支的年度申請數(shù)量也進行了分析，如圖1所示。

從圖1可知：（1）基于端口的應(yīng)用識別發(fā)展呈現(xiàn)增長趨勢，但每一年的申請量都有限，也即雖然該技術(shù)的發(fā)展整體呈增長趨勢，但其已經(jīng)不再適用于網(wǎng)絡(luò)應(yīng)用越來越多的現(xiàn)代網(wǎng)絡(luò)；（2）基于DPI的應(yīng)用識別的發(fā)展整體呈上升趨勢，可見，DPI技術(shù)不僅對數(shù)據(jù)包得TP層進行檢查，還能對數(shù)據(jù)包內(nèi)容進行檢查，每個應(yīng)用協(xié)議都有自己的數(shù)據(jù)特征，充分理解各種應(yīng)用協(xié)議的變化規(guī)律和流程，就可以準確快速地識別出應(yīng)用協(xié)議，從而達到精確識別和控制應(yīng)用的效果，滿足了應(yīng)用層防護墻的需求；（3）基于DFI的應(yīng)用識別的發(fā)展整體不存在顯著的規(guī)律性，主要由于數(shù)據(jù)流特征不明顯，應(yīng)用協(xié)議多變的應(yīng)用很難通過基于DFI的應(yīng)用識別進行識別，因此很難滿足應(yīng)用層防火墻的需求；（4）基于機器學習的應(yīng)用識別的發(fā)展整體也呈現(xiàn)增長趨勢，并且申請量幾乎已經(jīng)占到了所有專利申請量的一半，可以看出主動防御學習將成為未來應(yīng)用層防火墻的發(fā)展趨勢。

四、結(jié)束語

應(yīng)用層防火墻還在不斷研究和發(fā)展之中，網(wǎng)絡(luò)應(yīng)用也越來越多，隨著應(yīng)用協(xié)議的變化，現(xiàn)有的識別方法可能不再適用，必須繼續(xù)加入擴展，不斷更新識別方法才能保持識別庫不被淘汰，因此，機器學習和自動防御將成為未來應(yīng)用層防火墻的必然趨勢。