CN103873463A - 多级过滤防火墙系统及多级过滤方法 - Google Patents

Abstract

本发明提供了一种多级过滤防火墙系统和多级过滤方法，可以有效地提升系统安全性能。该多级过滤防火墙系统包括以下装置：数据包截获装置，用于从网卡上截获每一个输入和输出的网络数据包；数据包过滤装置，基于网络层访问规则，对所述截获的网络数据包进行合法性判断和过滤；应用程序进程监控装置，用于截获和监控传输层中所有需要访问网络的应用程序，确认所述应用程序是否具有访问网络的权限；木马攻击行为检测装置，用于分析和检测应用层中所述数据包中的木马攻击行为，进一步对所述数据包进行过滤。相应地，还提供了一种防火墙多级过滤方法。

Description

多级过滤防火墙系统及多级过滤方法

技术领域

本发明涉及网络安全技术，尤其涉及一种多级过滤防火墙系统及多级过滤方法。

背景技术

防火墙作为网络安全领域常采用的技术手段之一，可以主动地对用户信息进行有效的防护，以保证其完整性、保密性和可靠性。而防火墙的核心在于数据包过滤，因此，如何有效地进行数据包过滤，这成为当前防火墙领域越来越重要的问题。通常，在防火墙进行访问控制时，由管理员配置相应的过滤规则集，用于限制网络中的数据包是否可以通过。尽管现有技术中已经可以采用多规则进行数据包过滤，但是，这些技术还是限于单级过滤，即只限于网络通信系统的某一层上进行过滤，在提高系统安全性方面还有待完善。

发明内容

本发明的目的是提供一种多级过滤防火墙系统及多级过滤方法，以有效提升系统安全性。

根据本发明的一个方面，提供了一种多级过滤防火墙系统，该系统包括以下装置：

数据包截获装置，用于从网卡上截获每一个输入和输出的网络数据包；

数据包过滤装置，基于网络层访问规则，对所述截获的网络数据包进行合法性判断和过滤；

应用程序进程监控装置，用于截获和监控传输层中所有需要访问网络的应用程序，确认所述应用程序是否具有访问网络的权限；

木马攻击行为检测装置，用于分析和检测应用层中所述数据包中的木马攻击行为，进一步对所述数据包进行过滤。

根据本发明的另一个方面，还提供了一种防火墙多级过滤方法，包括：

从网卡上截获每一个输入和输出的网络数据包；

基于网络层访问规则，对所述截获的网络数据包进行合法性判断和过滤；

截获和监控传输层中所有需要访问网络的应用程序，确认所述应用程序是否具有访问网络的权限；

分析和检测应用层中所述数据包中的木马攻击行为，进一步对所述数据包进行过滤。

与现有技术相比，本发明具有以下优点：本发明提供的多级过滤防火墙系统及过滤方法可以有效提升网络安全性和防火墙本身的性能。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1为根据本发明一个优选实施例的多级过滤防火墙系统的示意性框图；

图2为本申请一个优选实施例的对数据包进行过滤的流程图；

图3为本发明一个优选实施例的木马攻击行为检测示意图；

图4为本发明一个优选实施例的聚类分析示意图；

图5为根据本发明一个优选实施例的防火墙多级过滤方法流程图。

具体实施方式

下面结合附图对本发明作进一步详细描述。

根据本发明的一个方面，提供了一种多级过滤防火墙系统，该系统将网络数据包分为用户态和核心态两个层面进行。其中，核心态过滤对应网络通信模型中网络层和传输层的过滤，具体地，在网络层利用NDIS(网络接口驱动，Network Driver Interface Specification)技术实现对数据包的过滤，在传输层利用TDI(传输驱动程序接口，Transport DriverInterface)技术实现对应用进程的过滤。而用户态过滤主要对应网络通信模型中应用层的过滤，即利用Winsock(Windows下的一种网络编程接口)技术实现对数据包内容的过滤，并通过多级过滤，提升系统安全性的目的。为了更清楚地描述其中的多级过滤，下文将对其进行详述。

请参考图1，图1为根据本发明一个优选实施例的多级过滤防火墙系统的示意性框图。

如图1所示，本发明所提供的防火墙系统包括以下装置：

数据包截获装置101，用于从网卡上截获每一个输入和输出的网络数据包。

具体地，所述数据包截获装置通过网卡驱动程序和传输驱动程序之间的网络接口驱动，截获通过所述网卡的网络数据包。更具体地，所述数据包截获装置通过以下步骤截获所述数据包：

i)在NDIS网络驱动层中注册一个小端口驱动(Miniport)接口和一个协议驱动(Protoco1)接口；

ii)所述数据包截获装置利用协议驱动与底层的链路层通讯，当所述链路层有数据包向上传输时，由所述协议驱动及时截获所述数据包；

iii)所述数据包截获装置利用小端口驱动与高层的协议层通讯，当所述传输层有数据包向外发送时，由所述小端口驱动及时截获所述数据包。

数据包过滤装置102，基于网络层访问规则，对所述截获的网络数据包进行合法性判断和过滤。

具体地，所述数据包过滤装置对所述截获的网络数据包进行合法性判断，当判断结果为非法，则过滤所述网络数据包。通常，数据包过滤是在网络数据包的入口处截取所述网络(IP)数据包，对其中的包头进行分析。其中，包头包括数据包的源地址、目的地址、源端口、目的端口协议等。在分析的过程中，基于安全访问控制规则对所述包头的内容进行检测，对符合所述规则的包允许其转发，对不符合所述规则的包禁止其转发并予以丢弃。具体可参照图2，图2为本申请一个优选实施例的对数据包进行过滤的流程图。如图2所示，该过程具体包括以下步骤：

1)接收数据包并对该数据包是否为TCP包(Transmission ControlProtocol，传输控制协议)进行初步判断，如果是，进入步骤2)，如果否，进入步骤4)；

2)进一步判断所述TCP包是否为首包，如果是，则进入步骤4)，如果否，则进入步骤3)；

3)进一步判断所述TCP包是否为尾包，如果否，进入步骤5)，如果是，在连接表中删除该TCP包中的特征信息，接下来由其他模块继续处理该数据包；

4)设置过滤规则表，将该数据包与过滤规则表进行匹配，并判断是否匹配安全访问控制规则，如果匹配，则将该数据包的特征信息写入连接表中，接下来由其他模块继续处理该数据包；否则，丢弃该数据包，结束。

其中，所述过滤规则表的格式通常为：

规则

方向

源地址

目标地址

协议

源端口

目标端口

ACK

动作

其中，所述连接表中存储着所有与网络连接相关的状态和上下文信息。

5)在连接表中查找该数据包的特征信息，如果找到，接下来由其他模块继续处理该数据包；否则，丢弃该数据包，结束。

上文中，所述连接表，用于为所有连接存储其状态和上下文信息。通常，连接结束时，与所述连接相应的信息也将从连接表中删除。

优选地，对于所有进出的数据包，首先从连接表中查找相应的连接表项，若查找成功，则获取过滤结果，否则，查找相应过滤规则并创建一连接表项。如此，可以不必为每个数据包都存在过滤规则中依次进行比较来查找相应规则，从而较大地提升过滤效率和网络通信速度。

应用程序进程监控装置103，用于截获和监控传输层中所有需要访问网络的应用程序，确认所述应用程序是否具有访问网络的权限。

具体地，为了截获应用程序对网络连接的访问请求信息，在传输层上建立一个虚拟驱动层，使得所有访问底层设备的I／O请求包(IRP)的应用程序，都需要预先通过建立的虚拟驱动设备的检测，由所述虚拟驱动设备决定是否将所述应用程序的相关数据包(代理人添加)向底层的驱动设备转发。更具体地，所述虚拟驱动设备收到应用程序访问底层设备的请求后，将所述请求挂起并等待防火墙程序通知是否对该请求进行传送。

对于内核为NT的Windows系统而言，由于其内核驱动程序无法回调用户模式的应用程序，对此建立一个异步事件通信机制，使所述内核驱动程序可以向用户态应用程序发出消息。更具体地，在防火墙程序(本身属于用户态应用程序)中新建一个触发事件，并调用相关例程(例如WAITFORSINGLEOBJECT)以等待所述内核驱动程序触发该事件。在驱动程序中，当驱动程序收到应用程序的IRP请求后，触发事件即通知防火墙程序所截获的应用程序访问网络的请求。优选地，本实施例中，由用户确定应用程序是否拥有访问网络的权限。更具体地，当防火墙程序收到驱动程序触发事件的通知时，可以弹出确认选择框，在该选择框中，由用户确定所述应用程序是否可以访问网络，相应地，防火墙程序和其对应的驱动程序根据用户的选择进行后续的处理。

木马攻击行为检测装置104，用于分析和检测应用层中所述数据包中的木马攻击行为，进一步对所述数据包进行过滤。

具体地，由所述木马攻击行为检测装置104检测所述数据包中是否存在木马，如检测到木马，则将所述检测的木马告警予以汇总，经过过滤筛选和聚类分析，形成具有相似特征的告警簇，基于所述告警簇对攻击序列进行识别，若识别为可疑，则阻止所述木马文件。

更具体地，所述木马攻击行为检测装置设置在应用层上，主要针对网络用户提交到主机上的含有木马程序的恶意文件进行过滤，以禁止含有所述内容的文件向上传输(即从网络用户向服务器方向传输)，进而达到保护服务器主机的目的。为了更清楚地描述木马攻击行为检测过程，可以参考图3，图3为本发明一个优选实施例的木马攻击行为检测示意图。如图3所示，该过程包括如下步骤：

1)前端告警。通过snort(一种开放源代码的入侵检测系统)的插件和规则匹配，产生相应的告警。

2)模式挖掘。对数据库中一段时间内(例如，30日内)的历史告警数据进行模式挖掘，提取告警中频繁出现的特征模式。

3)告警过滤。对告警属性进行正则表达式的匹配，选出满足匹配规则的告警。

4)聚类分析。对经过告警筛选模块过滤后的告警信息进行实时在线的聚类分析，将具有相同或相似特征的告警整理成告警簇，并提取每个簇抽象特征形成超告警存储到数据库中。

5)攻击序列识别。当收到聚类分析产生的超告警XML(可扩展标记语言)文件后，将启动攻击序列识别函数，将超告警中的告警生成新的攻击序列或插入已有的攻击序列中。

更具体地，本实施例基于周期模式挖掘算法分析所述数据包中的木马攻击行为，即将告警中频繁出现的特征模式予以提取，以实现对木马攻击序列的分析与检测。更详细地，首先收集一段时间的原始告警，然后分析所收集的告警并选取签名(signature)、源IP(网络协议)和目的IP比例均达到阈值的告警。接着，根据产生的<signature，src_ip，dst_ip，times>四元组统计所产生的告警时间序列，判断每个时间序列是否存在周期，对于存在周期的告警序列分析所求周期是否满足置信度要求，最后对四元组指定告警过滤规则，去除周期类误告警。

更具体地，本实施例基于告警过滤算法过滤所述数据包。首先，告警顺序通过一个管道，并与队列中的规则节点进行匹配，进而选择出符合规则的告警。管道由若干个块组成，块是用来放置规则节点的，告警从管道中流过，每经过一个块，就与其中的过滤规则做匹配运算，一旦发现匹配，该告警就会被丢弃；如果告警从整个管道中流出，表示没有任何过滤规则能匹配，该告警将被保留。

更具体地，为了更清楚地描述上文中的聚类分析过程，可以参考图4，图4为本发明一个优选实施例的聚类分析示意图。如图4所示，该过程包括如下步骤：

1)配置运行参数；

2)接收聚类策略；

3)从库中读取告警；

4)进行聚类分析；

5)生成超告警；

6)发送超告警；

7)判断停止标识置位，如果是，结束。如果否，返回步骤3)。

与现有技术相比，本发明通过采用多级过方法，在网络层过滤所有的源路由分组和假冒的IP源地址，在传输层过滤所有禁止出或／和入的协议及有害数据包，在应用层对木马攻击行为进行检测，可以有效提升系统的网络安全性及防火墙本身的性能，弥补单级过滤存在的安全性差的问题。

根据本发明的另一个方面，还提供了一种防火墙多级过滤方法。

请参考图5，图5为根据本发明一个优选实施例的防火墙多级过滤方法流程图。如图5所示，所述多级过滤方法包括：

步骤S501，从网卡上截获每一个输入和输出的网络数据包。

具体地，通过以下步骤对网络数据包进行截获：

i)在NDIS网络驱动层中注册一个小端口驱动(Miniport)接口和一个协议驱动(Protoco1)接口；

ii)所述数据包截获装置利用协议驱动与底层的链路层通讯，当所述链路层有数据包向上传输时，由所述协议驱动及时截获所述数据包；

iii)所述数据包截获装置利用小端口驱动与高层的协议层通讯，当所述传输层有数据包向外发送时，由所述小端口驱动及时截获所述数据包。

步骤S502，基于网络层访问规则，对所述截获的网络数据包进行合法性判断和过滤。

具体地，所述数据包过滤装置对所述截获的网络数据包进行合法性判断，当判断结果为非法，则过滤所述网络数据包。通常，在网络数据包的入口处截取所述网络数据包，对其中的包头进行分析。其中，包头包括数据包的源地址、目的地址、源端口、目的端口协议等。在分析的过程中，基于安全访问控制规则对所述包头的内容进行检测，对符合所述规则的包允许其转发，对不符合所述规则的包禁止其转发并予以丢弃。具体可参照图2，图2为本申请一个优选实施例的对数据包进行过滤的流程图。为简明起见，对图2的详细说明请参见上文，在此不再详述。

步骤S503，监控传输层中所有需要访问网络的应用程序，确认所述应用程序是否具有访问网络的权限。

具体地，为了截获应用程序对网络连接的访问请求信息，在传输层上建立一个虚拟驱动层，使得所有访问底层设备的I／O请求包(IRP)的应用程序，都需要预先通过建立的虚拟驱动设备的检测，由所述虚拟驱动设备决定是否将所述应用程序的相关数据包(代理人添加)向底层的驱动设备转发。更具体地，所述虚拟驱动设备收到应用程序访问底层设备的请求后，将所述请求挂起并等待防火墙程序通知是否对该请求进行传送。

对于内核为NT的Windows系统而言，由于其内核驱动程序无法回调用户模式的应用程序，对此建立一个异步事件通信机制，使所述内核驱动程序可以向用户态应用程序发出消息。更具体地，在防火墙程序中新建一个触发事件，并调用相关例程(例如WAITFORSINGLEOBJECT)以等待所述内核驱动程序触发该事件。在驱动程序中，当驱动程序收到应用程序的IRP请求后，触发事件即通知防火墙程序所截获的应用程序访问网络的请求。优选地，本实施例中，由用户确定应用程序是否拥有访问网络的权限。更具体地，当防火墙程序收到驱动程序触发事件的通知时，可以弹出确认选择框，在该选择框中，由用户确定所述应用程序是否可以访问网络，相应地，防火墙程序和其对应的驱动程序根据用户的选择进行后续的处理。

步骤S504，分析并检测应用层中所述数据包中的木马攻击行为，进一步对所述数据包进行过滤。

具体地，检测所述数据包中是否存在木马，如检测到木马，则将所述检测的木马告警予以汇总，经过过滤筛选和聚类分析，形成具有相似特征的告警簇，基于所述告警簇对攻击序列进行识别，若识别为可疑，则阻止所述木马文件。

更具体地，当数据包到达应用层时，进一步对其进行检测和过滤。其中，主要针对数据包中是否含有木马程序进行检测和过滤，以禁止含有所述内容的文件向上传输，进而达到保护服务器主机的目的。为了更清楚地描述木马攻击行为检测过程，可以参考图3，图3为本发明一个优选实施例的木马攻击行为检测示意图。如图3所示，该过程包括如下步骤：

1)前端告警。通过snort的插件和规则匹配，产生相应的告警。

2)模式挖掘。对数据库中30日内的历史告警数据进行模式挖掘，提取告警中频繁出现的特征模式。

3)告警过滤。对告警属性进行正则表达式的匹配，选出满足匹配规则的告警。

4)聚类分析。对经过告警筛选模块过滤后的告警信息进行实时在线的聚类分析，将具有相同或相似特征的告警整理成告警簇，并提取每个簇抽象特征形成超告警存储到数据库中。

5)攻击序列识别。当收到聚类分析产生的超告警XML文件后，将启动攻击序列识别函数，将超告警中的告警生成新的攻击序列或插入已有的攻击序列中。

更具体地，本实施例基于周期模式挖掘算法分析所述数据包中的木马攻击行为，即将告警中频繁出现的特征模式予以提取，以实现对木马攻击序列的分析与检测。更详细地，首先收集一段时间的原始告警，然后分析所收集的告警并选取签名(signature)、源IP(网络协议)和目的IP比例均达到阈值的告警。接着，根据产生的<signature，src_ip，dst_ip，times>四元组统计所产生的告警时间序列，判断每个时间序列是否存在周期，对于存在周期的告警序列分析所求周期是否满足置信度要求，最后对四元组指定告警过滤规则，去除周期类误告警。

更具体地，本实施例基于告警过滤算法过滤所述数据包。首先，告警顺序通过一个管道，并与队列中的规则节点进行匹配，进而选择出符合规则的告警。管道由若干个块组成，块是用来放置规则节点的，告警从管道中流过，每经过一个块，就与其中的过滤规则做匹配运算，一旦发现匹配，该告警就会被丢弃；如果告警从整个管道中流出，表示没有任何过滤规则能匹配，该告警将被保留。

更具体地，为了更清楚地描述上文中的聚类分析过程，可以参考图4，图4为本发明一个优选实施例的聚类分析示意图。如图4所示，该过程包括如下步骤：

1)配置运行参数。

2)接收聚类策略。

3)从库中读取告警。

4)进行聚类分析。

5)生成超告警。

6)发送超告警。

7)判断停止标识置位，如果是，结束。如果否，返回步骤3)。

与现有技术相比，本发明所提供的防火墙多级过滤方法具有以下优点：

本发明通过采用多级过方法，在网络层过滤所有的源路由分组和假冒的IP源地址，在传输层过滤所有禁止出或／和入的协议及有害数据包，在应用层利用FTP、SMTP等各种网关控制和监测Internet提供的通用服务基于综合的过滤，可以弥补单独过滤技术的不足。

以上所揭露的仅为本发明的较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。

Claims (8)

1.一种多级过滤防火墙系统，包括：

数据包截获装置，用于从网卡上截获每一个输入和输出的网络数据包；

数据包过滤装置，基于网络层访问规则，对所述截获的网络数据包进行合法性判断和过滤；

应用程序进程监控装置，用于截获和监控传输层中所有需要访问网络的应用程序，确认所述应用程序是否具有访问网络的权限；

木马攻击行为检测装置，用于分析和检测应用层中所述数据包中的木马攻击行为，进一步对所述数据包进行过滤。

2.根据权利要求1所述的多级过滤防火墙系统，其中，所述数据包截获装置通过以下步骤截获所述数据包：

i)在NDIS网络驱动层中注册一个小端口驱动接口和一个协议驱动接口；

ii)所述数据包截获装置利用协议驱动与底层的链路层通讯，当所述链路层有数据包向上传输时，由所述协议驱动及时截获所述数据包；

iii)所述数据包截获装置利用小端口驱动与高层的协议层通讯，当所述传输层有数据包向外发送时，由所述小端口驱动及时截获所述数据包。

3.根据权利要求1或2所述的多级过滤防火墙系统，其中，所述数据包过滤装置过滤所述数据包的步骤具体包括：

a)对数据包是否为传输控制协议包进行初步判断；

b)对判断为传输控制协议包的，判断其是否为首包，如果是，则进入步骤c)，如果否，则进一步判断其是否为尾包，对于判断为尾包的，删除其对应的特征信息，对于判断非为尾包的，进入步骤d)；

c)设置过滤规则表，将该数据包与过滤规则表进行匹配，并判断是否匹配安全访问控制规则，如果匹配，则将该数据包的特征信息写入连接表中，接下来由其他模块继续处理该数据包；否则，丢弃该数据包，结束；

d)在连接表中查找该数据包的特征信息，如果找到，接下来由其他模块继续处理该数据包；否则，丢弃该数据包，结束。

4.根据权利要求1-3任一项所述的多级过滤防火墙系统，其中，所述木马攻击行为检测装置的检测过程具体包括：

通过snort的插件和规则匹配，产生相应的告警；

对数据库中一段时间内的历史告警数据进行模式挖掘，提取告警中频繁出现的特征模式；

对告警属性进行正则表达式的匹配，选出满足匹配规则的告警；

对经过告警筛选模块过滤后的告警信息进行实时在线的聚类分析，将具有相同或相似特征的告警整理成告警簇，并提取每个簇抽象特征形成超告警存储到数据库中；

当收到聚类分析产生的超告警XML文件后，将启动攻击序列识别函数，将超告警中的告警生成新的攻击序列或插入已有的攻击序列中。

5.一种防火墙多级过滤方法，其中，所述方法包括：

从网卡上截获每一个输入和输出的网络数据包；

基于网络层访问规则，对所述截获的网络数据包进行合法性判断和过滤；

截获和监控传输层中所有需要访问网络的应用程序，确认所述应用程序是否具有访问网络的权限；

分析和检测应用层中所述数据包中的木马攻击行为，进一步对所述数据包进行过滤。

6.根据权利要求5所述的防火墙多级过滤方法，其中，所述截获每一个输入和输出的网络数据包具体包括：

i)在NDIS网络驱动层中注册一个小端口驱动接口和一个协议驱动接口；

ii)所述数据包截获装置利用协议驱动与底层的链路层通讯，当所述链路层有数据包向上传输时，由所述协议驱动及时截获所述数据包；

iii)所述数据包截获装置利用小端口驱动与高层的协议层通讯，当所述传输层有数据包向外发送时，由所述小端口驱动及时截获所述数据包。

7.根据权利要求5或6所述的防火墙多级过滤方法，其中，所述过滤数据包的步骤具体包括：

a)对数据包是否为传输控制协议包进行初步判断；

b)对判断为传输控制协议包的，判断其是否为首包，如果是，则进入步骤c)，如果否，则进一步判断其是否为尾包，对于判断为尾包的，删除其对应的特征信息，对于判断非为尾包的，进入步骤d)；

c)设置过滤规则表，将该数据包与过滤规则表进行匹配，并判断是否匹配安全访问控制规则，如果匹配，则将该数据包的特征信息写入连接表中，接下来由其他模块继续处理该数据包；否则，丢弃该数据包，结束；

d)在连接表中查找该数据包的特征信息，如果找到，接下来由其他模块继续处理该数据包；否则，丢弃该数据包，结束。

8.根据权利要求5-7任一项所述的防火墙多级过滤方法，其中，所述分析并检测所述数据包中的木马攻击行为具体包括：

通过snort的插件和规则匹配，产生相应的告警；

对数据库中一段时间内的历史告警数据进行模式挖掘，提取告警中频繁出现的特征模式；

对告警属性进行正则表达式的匹配，选出满足匹配规则的告警；

对经过告警筛选模块过滤后的告警信息进行实时在线的聚类分析，将具有相同或相似特征的告警整理成告警簇，并提取每个簇抽象特征形成超告警存储到数据库中；

当收到聚类分析产生的超告警XML文件后，将启动攻击序列识别函数，将超告警中的告警生成新的攻击序列或插入已有的攻击序列中。

Images