應用層防火墻專利技術綜述

潘秋羽

【摘要】下一代防火墻技術是在網絡應用的不斷增多，識別難度不斷增大的情況下提出來的，這就使得下一代防火墻的技術核心在于應用層防火墻，即實現(xiàn)對應用的識別。本文通過分析應用層防火墻技術歷年申請趨勢、發(fā)展脈絡、優(yōu)缺點等，從基于端口的應用識別技術、深度數據包檢測技術（DPI）、深度數據流檢測技術（DFI）和機器學習技術等多個角度對涉及應用層防火墻的專利技術進行了綜述。

【關鍵詞】應用識別 防火墻 端口 DPI DFI 機器學習

一、引言

隨著互聯(lián)網技術的發(fā)展，網絡應用越來越豐富，用戶對網絡安全關注的焦點已經開始關注如何精確的識別出每個應用、禁用有安全問題的應用、保證合法有效的應用正常使用、防止網絡應用的端口盜用等問題。因此，應用層防火墻應運而生。

二、全球范圍的專利申請狀況

通過檢索獲得129件國內外專利申請，通過分析可知，在2010年之前，應用層防火墻技術專利的申請量較少，主要是因為下一代防火墻的定義由著名研究機構Gartner在2009年才提出來。在2010年，雖有少量這方面的申請，但是數量還是較少，也即應用層防火墻技術還處在初級階段。直到2011年，申請數量才明顯增加，并且此后逐年增加，2014年和2015年的申請量在數量上有所降低，但由于2014年和2015年的申請并未公開完全，因此不能統(tǒng)計完全，相信隨著下一代防火墻技術的發(fā)展，2014年和2015年涉及應用層防火墻技術的專利申請量相對于2013年仍會繼續(xù)增長。

三、主要技術分支和申請量

縱觀檢索獲得的129篇專利申請，可以將其大致可分為4個技術分支：基于端口的應用識別、基于DPI的應用識別和基于DFI的應用識別、基于機器學習的應用識別。

同時，在2010-2015年期間，各個分支的發(fā)展程度也不一樣，為了獲取將來可能成為應用層防火墻技術的研究重點的分支，本文對各個分支的年度申請數量也進行了分析，如圖1所示。

從圖1可知：（1）基于端口的應用識別發(fā)展呈現(xiàn)增長趨勢，但每一年的申請量都有限，也即雖然該技術的發(fā)展整體呈增長趨勢，但其已經不再適用于網絡應用越來越多的現(xiàn)代網絡；（2）基于DPI的應用識別的發(fā)展整體呈上升趨勢，可見，DPI技術不僅對數據包得TP層進行檢查，還能對數據包內容進行檢查，每個應用協(xié)議都有自己的數據特征，充分理解各種應用協(xié)議的變化規(guī)律和流程，就可以準確快速地識別出應用協(xié)議，從而達到精確識別和控制應用的效果，滿足了應用層防護墻的需求；（3）基于DFI的應用識別的發(fā)展整體不存在顯著的規(guī)律性，主要由于數據流特征不明顯，應用協(xié)議多變的應用很難通過基于DFI的應用識別進行識別，因此很難滿足應用層防火墻的需求；（4）基于機器學習的應用識別的發(fā)展整體也呈現(xiàn)增長趨勢，并且申請量幾乎已經占到了所有專利申請量的一半，可以看出主動防御學習將成為未來應用層防火墻的發(fā)展趨勢。

四、結束語

應用層防火墻還在不斷研究和發(fā)展之中，網絡應用也越來越多，隨著應用協(xié)議的變化，現(xiàn)有的識別方法可能不再適用，必須繼續(xù)加入擴展，不斷更新識別方法才能保持識別庫不被淘汰，因此，機器學習和自動防御將成為未來應用層防火墻的必然趨勢。