基于負載的協議識別技術在防火墻系統中的改進

鄒連英，熊源遠，高 寧

武漢工程大學電氣信息學院，湖北 武漢 430205

隨著互聯網的普及，網絡應用越來越豐富，對網絡應用進行有效的識別控制［1］也變得越來越復雜。傳統的方法基于數據包的地址、端口等信息對網絡應用予以識別控制已經不能有效識別網絡應用［2］。目前許多網絡防火墻產品釆用簡單的基于端口、測度、負載等方式，已經不能阻止應用層的復雜的攻擊，更不能發現新的攻擊。這種情況下，人們迫切需要采用新的防火墻技術來防范基于應用層的攻擊和威脅。基于這樣的背景，筆者對企業所面臨的網絡安全問題提出的一種全面的解決方案，設計并實現一個將端口及負載的識別方法進行綜合運用的智能協議識別系統。

1 傳統的協議識別

1.1 基于端口的協議識別

基于端口的協議識別使用IANA規定［3］的固定端口號來進行相應的應用層協議識別［4］，是大家都非常熟悉的，也是常用的。但缺點是對于識別采用隨機端口通信的應用層協議無能為力，其識別準確度也越來越低，無法滿足需求。

1.2 基于測度的協議識別

基于測度的協議識別理論上可以識別所有的協議，但是不同的協議其規范不同，目前所研究的算法只能將流分類，并不能精準識別。基于測度識別協議無需分析報文體的內容，其根據事先已有的標準集來判斷當前流所屬的分類［5］，其優點是不需要檢測報文體的內容，消耗計算機資源相對較小，但是對于行為相似的應用協議分辨率較差，不適合在線處理的應用環境。……