套用識別技術的發展
連線埠識別:
在網路套用識別系統剛被提出的時候,絕大部分的套用識別是按照套用連線埠號進行識別。傳統的套用層協定識別算法只利用了連線埠號一維信息,表1是標準的套用協定連線埠,對於TCP/IP實現來說,FTP套用的TCP連線埠號都是21,每個Telnet套用的TCP連線埠號都是23,每個
TFTP (簡單檔案傳送協定)套用的UDP連線埠號都是69。任何TCP/IP實現所提供的常用服務都用知名的1-1023之間的連線埠號。根據各個套用層協定在IANA中註冊的連線埠號來標識協定,IANA管理1-1023之間所有的連線埠號。例如,如果某個套用的TCP數據包使用了連線埠號80、8080或443,則該套用屬於Web套用。在20世紀90年代後期,網路套用開始釆用標準的連線埠進行通信,不同的網路套用使用各自的通信連線埠進行命令和數據傳輸,對網路套用使用的連線埠進行識別就可以識別不同的網路套用對網路資源的使用情況。但是,當網路套用越來越多,協定越來越豐富,功能越來越複雜,越來越多的網路套用不再使用固定的連線埠號。儘管有些網路套用仍然使用標準的連線埠號進行通信,但是許多套用已經不再使用固定的連線埠,比如即時訊息套用可能使用80連線埠進行數據傳輸,對於這類套用無法通過對連線埠的監控識別這類套用。利用網路套用使用的固定連線埠號對網路套用進行識別越來越困難。這主要原因如下:
(1)新的的網路套用通常使用的網路套用通信連線埠號在1024以上;
(2)很多的網路套用試圖隱藏這些網路套用的活動狀態通過其他技術逃避套用識別控制系統的檢測;
(3)網路套用可以使用動態變化的連線埠進行通信;使得網路套用識別系統無法預測這些網路套用使用的連線埠號。
因為以上的原因目前基於連線埠號的識別技術對有些網路套用已經不在適用,使用連線埠技術識別套用的系統能夠有效識別的套用數量越來越少。由於基於連線埠識別網路套用的算法簡單,處理速度快,算法複雜度低,對於釆用固定連線埠號的套用比較適用。但是如果新的網路套用不再採用固定連線埠號,基於連線埠的套用識別系統就不能對套用有效識別,並且如果一個新的套用使用了公共連線埠的話將無法區分套用。現在大部分的web套用都通過http協定傳輸數據,採用的都是80連線埠,所以只依靠連線埠已經不能區分這些不同的套用,雖然依靠連線埠識別技術已經不能作為單一的方法來識別套用,但是可以輔助其他技術增強準確性。
DPI:
這時,不依賴連線埠的套用識別技術便應運而生。這就是DPI,DPI技術(Deep Packet Inspection)是一種相對簡單,高效的套用識別檢測技術,它是一種基於網路套用特徵對網路套用進行識別的技術,是目前比較重要的網路套用識別技術。不同的網路套用通常釆用不同的網路通信協定,不同的網路通信協定都有其各自的通信特徵,這些特徵可能是採用特定的通信連線埠,傳輸的內容包含特定的字元等。DPI技術主要是對網路數據包的特徵進行檢測,根據每個包的特徵確定網路數據包屬於哪個網路套用,如果這個網路數據包符合一定的數據包格式或者特徵就屬於特定的網路套用,這種檢測技術可以很方便的實現對新協定的檢測識別。DPI技術不僅能檢測數據包的協定,源IP位址,目的IP位址,源連線埠號,目的連線埠號信息,還能夠對數據包內部進行深入的分析,判斷其是否攜帶特定的數據內容。
傳統網路套用檢測技術,主要集中在IP層實現,只能檢查源IP位址、目的IP位址、源連線埠號、目的連線埠號、協定類型(TCP或者UDP)等,通過對套用和連線埠協定進行綁定識別特定的套用,這種技術實現簡單,處理速度快,但是也存在很多問題,在現在的網路環境下,IP不等於用戶、連線埠不等於套用,越來越多的套用採用80連線埠進行數據傳輸,很多協定採用跳變連線埠技術,使得對於套用的識別控制無法控制,傳統防火牆基於IP/連線埠的五元組(源地址、目的地址、源連線埠、目的連線埠、協定類型)控制策略已不能有效的應對現階段網路環境的巨大變化。
DPI技術不僅對數據包的IP層進行檢查,還能對數據包內容進行檢查,每個套用協定都有自己的數據特徵,充分理解各中套用協定的變化規律和流程可以準確快速的識別出套用協定,從而達到對套用的精確識別和控制。
可是,隨著以VOIP和P2P為代表的加密套用的出現,DPI已經無法在這些包中檢測到明文欄位。
DFI:
由此引發了DFI技術的出現,
DFI(Deep Flow Inspection)深度數據流檢測技術是通過分析網路數據流量行為特徵來識別網路套用的,因為不同的套用類型在數據流上各有差異。
例如http套用和
p2p套用,http套用數據流持續時間短,傳輸數據少,p2p套用數據包字數多,傳輸速度高,持續時間長。Dm及時通過分析某種套用數據流的行為特徵並創建特徵模型。對經過的數據流和特徵模型進行比較,因此檢測的準確性取決於特徵模型的準確性。基於DFI技術首先要獲得已經訓練好的套用特徵庫,在這個套用特種庫中可以按照協定的特點進行分類,當新進入的數據每經過這個特徵庫的時候,特徵庫可以識別出該網路數據包屬於哪個網路套用類型,不用的網路套用都會在特徵庫中有一個對應的類別。從理論上說,如果特徵庫足夠強大,可以實現對每種協定的區分,基於DFI技術的網路套用識別技術可以識別所有的網路套用,但是,目前生成特徵庫的算法都只能將網路數據包分成幾大類(例如大數據量傳輸套用、小數據多冊傳輸套用等),沒有達到識別協定的最終目的。所以一般DFI主要用於區分大類的套用。
對於數據流特徵不明顯,套用協定多變的套用很難通過DFI技術進行識別,所以需要其他技術手段對於數據加密傳輸,協定變化較大的網路套用進行識別。
隨著套用層管理技術的深入,作為套用層管理技術基礎的套用識別技術也迎來了新紀元。那就是XAI,即全面的套用識別技術。它不滿足於只知道套用是什麼,而是更深入地知道套用具體在乾什麼。
XAI
XAI 全稱 Extensive Application Inspection,拓展套用識別技術。XAI 技術是在 DPI 技術的基礎上發展起來的,它繼承了傳統 DPI 的所有功能,並在此基礎上更進一步,將套用層識別的範疇進行了擴展,將網路流量中的更多的信息挖掘出來,提供了深層套用信息識別、攻擊 / 威脅識別、拓撲識別等更加豐富和強大套用層識別能力。從而使產品能夠進行更精細的分析、管理、保障和統計。
XAI 技術針對 DPI 技術從兩個方面進行最佳化和改進。通過 XAI 技術,可以從相同的網路流量中挖掘出更深層次的信息和更豐富的數據,更好地為客戶創造價值。 具體來說,XAI 技術可以提供以下四個方面的信息。
1) 套用識別
XAI 技術不僅繼承了傳統 DPI 所支持的所有識別技術,包括報文特徵識別和流特徵識別等,而且在許多方面更進一步,使得 XAI 技術的識別準確度更高,識別能力更強。
2) 深層套用信息識別
XAI 技術能夠在套用識別基礎之上,進一步識別內容層次和行為層次的描述信息,比如:HTTP 瀏覽的具體行為,IM 的帳號信息、聊天行為等;這就使產品不僅能針對套用,而且能更進一步針對深層套用信息進行分析、管理、保障和最佳化。
3) 攻擊 / 威脅識別
XAI 技術可從套用流量中識別網路中的非法入侵和惡意腳本(惡意腳本,惡意郵件,惡意外掛程式等),為網路安全保障提供預警和管理。
4) 拓撲識別
XAI 技術可以識別流量的位置信息,比如行動網路的蜂窩、WLAN 節點等,為運營商或 IT 管理部門提供分區域監控和管理能力。
通過 XAI 技術提供的更細緻和更豐富的信息,可以進行更細粒度和更具差異化的策略控制,更好地為客戶提供以下價值。
1) 基於套用協定以及套用內容、套用行為等深層次套用信息的分析、管理、保障和最佳化;
2) 基於套用流量的攻擊 / 威脅識別,更好地防止網路入侵,為網路安全保障提供預警和管理;
3) 基於套用內容識別,提供數據防護、關鍵帳號安全防護的能力;
4) 基於套用行為的識別,提供對套用行為的控制能力,防止非業務套用和非法套用,提高工作效率;
5) 基於對套用內容的識別,提供套用層防泄密、控制關鍵檔案資料的外發的能力;
6) 基於套用流量的拓撲識別,提供對套用流量進行分區域控制的能力。
下一代防火牆套用識別技術
鑒於傳統的網路流量監控技術在應對新套用和新流量所表現出的不足,國內外都開展了下一代防火牆技術的研究。國際著名的IT市場分析諮詢機構Gartner認為,下一代防火牆至少應具備以下特徵
1.傳統防火牆功能
下一代防火牆要替代傳統的防火牆產品,所以下一代防火牆應當具備傳統狀態監測防火牆所應當具備的全部功能,其中包括包過濾、NAT狀態監測、VPN等功能。雖然傳統防火牆已經不能完全滿足目前的需求,但傳統防火牆仍然是一種無可替代的訪問控制手段,下一代防火牆必須能夠完全替代原有功能。
2.高速的處理性能
下一代防火牆需要在不影響網路運行的情況下進行配置,必須具備線速的網路處理能力,從而可以無縫部署至現有的用戶網路中,不影響用戶的使用。
3.智慧型化聯動
採用更為先進的一體化單次解析引擎,將漏洞、病毒、Web攻擊、惡意代碼/腳本等眾多套用層威脅統一進行檢測匹配等技術實IPS (Intrusion PreventionSystem,入侵防禦系統)策略與傳統安全策略的融合,讓管理和安全業務處理變得更簡單高效,從而最大化地保證系統運行效率,使系統更加智慧型。
4.套用識別及身份鑑別的能力
下一代防火牆要具備極強的套用識別能力及用戶身份鑑別的能力,以及將套用識別及身份鑑別與安全策略整合的能力,如擁有與傳統的基於連線埠和IP協定(IP五元組)不同的方式進行套用識別的能力,對同一套用進行更細粒度的訪問控制。套用識別帶來的額外好處是可以合理最佳化頻寬的使用情況,保證關鍵業務的暢通。