CN105357166A - 一种下一代防火墙系统及其检测报文的方法 - Google Patents

Abstract

本发明公开了一种下一代防火墙系统检测报文的方法，协议识别引擎提取报文中协议识别信息，并将所述协议识别信息与协议识别库中协议信息进行匹配，匹配成功时，确定报文的协议特征；与确定的报文协议特征相对应的特征检测引擎提取所述报文中审计特征标识信息，并将所述审计特征标识信息与所述报文的协议特征对应的审计特征库中审计特征信息进行匹配，匹配成功时，确定所述报文的审计特征。本发明还同时公开了一种下一代防火墙系统。

Description

一种下一代防火墙系统及其检测报文的方法

技术领域

本发明涉及下一代防火墙(NGFW，NextGenerationFireWall)对报文检测的相关技术，尤其涉及一种下一代防火墙系统及其检测报文的方法。

背景技术

下一代防火墙系统也叫四七层防火墙，它将状态检测和应用防火墙技术结合在一起，可以对用户的各种网络行为进行深度检测和识别，并对这些行为进行疏导和控制。

现有的下一代防火墙系统的基本业务处理流程为：首先是将网络报文送入通用应用识别引擎进行检测，形成中间结果集；然后应用识别引擎在协议识别的基础上，依据中间结果集中的审计特征识别库子集，基于协议载荷对协议进行审计特征识别。但随着特征库越来越大，特征值越来越短，一次命中的概率越来越小，所以使得报文需要在得出的中间结果集里进行过滤，按照特征所在的位置或者正则匹配等其它规则进行协议推导识别出报文的协议特征。

由于设计上的局限性，当前的下一代防火墙系统过于依赖通用应用识别引擎，审计业务数目的不断增加使得引擎不堪重负，严重影响了特征识别的高效性和准确性，所以现有的下一代防火墙特征识别技术方案已不适用于业务数量日益增多的审计需求。

发明内容

有鉴于此，本发明实施例期望提供一种下一代防火墙系统及其检测报文的方法，能够准确的检测报文特征，且效率高、可靠性强。

本发明实施例提供了一种下一代防火墙系统检测报文的方法，所述方法包括：

协议识别引擎提取报文中协议识别信息，并将所述协议识别信息与协议识别库中协议信息进行匹配，匹配成功时，确定报文的协议特征；

与确定的报文协议特征相对应的特征检测引擎提取所述报文中审计特征标识信息，并将所述审计特征标识信息与所述报文的协议特征对应的审计特征库中审计特征信息进行匹配，匹配成功时，确定所述报文的审计特征。

上述方案中，所述提取报文中协议识别信息，并将所述协议识别信息与协议识别库中协议信息进行匹配包括：

提取报文中端口号信息，并将所述端口号信息与所述协议识别库的端口映射库中端口号信息进行匹配，匹配成功时，确定报文的协议特征；匹配失败时，提取报文中协议特征标识信息，并将所述协议特征标识信息与所述协议识别库的静态特征协议识别库中协议信息进行匹配，匹配成功时，确定报文的协议特征。

上述方案中，所述方法还包括：将所述协议特征标识信息与静态特征协议识别库中协议信息进行匹配，匹配失败时，发出匹配失败告警信息；和/或，

将所述审计特征标识信息与所述报文的协议特征对应的审计特征库中审计特征信息进行匹配，匹配失败时，发出匹配失败告警信息。

上述方案中，所述确定所述报文的审计特征之后，所述方法还包括：依据所述报文的审计特征及预置的审计策略对所述报文进行审计处理。

上述方案中，所述协议特征标识信息为标识所述报文的协议特征的固定字段或关键字；和/或，

所述审计特征标识信息为标识所述报文的审计特征的固定字段或关键字。

本发明实施例还提供了一种下一代防火墙系统，所述下一代防火墙系统包括：协议识别引擎及特征检测引擎；其中，

所述协议识别引擎，用于提取报文中协议识别信息，并将所述协议识别信息与协议识别库中协议信息进行匹配，匹配成功时，确定报文的协议特征；

所述特征检测引擎，用于提取所述报文中审计特征标识信息，并将所述审计特征标识信息与所述报文的协议特征对应的审计特征库中审计特征信息进行匹配，匹配成功时，确定所述报文的审计特征；

所述特征检测引擎为与已确定的所述报文的协议特征对应的特征检测引擎。

上述方案中，所述协议识别引擎具体用于：

提取报文中端口号信息，并将所述端口号信息与所述协议识别库的端口映射库中端口号信息进行匹配，匹配成功时，确定报文的协议特征；匹配失败时，提取报文中协议特征标识信息，并将所述协议特征标识信息与所述协议识别库的静态特征协议识别库中协议信息进行匹配，匹配成功时，确定报文的协议特征。

上述方案中，所述协议识别引擎，还用于将所述协议特征标识信息与静态特征协议识别库中协议信息进行匹配，匹配失败时，发出匹配失败告警信息；和/或，

所述特征检测引擎，还用于将所述审计特征标识信息与所述报文的协议特征对应的审计特征库中审计特征信息进行匹配，匹配失败时，发出匹配失败告警信息。

上述方案中，所述下一代防火墙系统还包括：审计模块，用于依据所述报文的审计特征及预置的审计策略对所述报文进行审计处理。

上述方案中，所述协议特征标识信息为标识所述报文协议特征的固定字段或关键字；和/或，

所述审计特征标识信息为标识所述报文的审计特征的固定字段或关键字。

本发明实施例所提供的下一代防火墙系统及其检测报文的方法，协议识别引擎提取报文中协议识别信息，并将所述协议识别信息与协议识别库中协议信息进行匹配，匹配成功时，确定报文的协议特征；特征检测引擎提取所述报文中审计特征标识信息，并将所述审计特征标识信息与所述报文的协议特征对应的审计特征库中审计特征信息进行匹配，匹配成功时，确定所述报文的审计特征。如此，将对报文的协议特征的检测与对报文审计特征的检测分离，能够准确、快速的识别报文的协议特征及其审计特征，同时，也使防火墙审计特征库的加载和更新更有针对性，且效率高、可靠性强。

附图说明

图1为现有技术中下一代防火墙系统检测报文的方法流程示意图；

图2为本发明实施例一下一代防火墙系统检测报文的方法流程示意图；

图3为本发明实施例下一代防火墙系统检测QQ报文的方法流程示意图；

图4为本发明实施例二下一代防火墙系统检测报文的方法流程示意图；

图5为本发明实施例三下一代防火墙系统检测报文的方法流程示意图；

图6为本发明实施例下一代防火墙系统组成结构示意图。

具体实施方式

图1为现有的下一代防火墙系统检测报文的流程图，如图1所示，现有的下一代防火墙技术以通用应用识别引擎为核心，应用识别引擎首先要加载定期更新的特征库，特征库是协议识别特征值和审计特征值的总和。所有的报文都需要经过应用识别引擎进行深度检测，匹配特征库中的任何特征都会做出标记，形成中间结果集。由于现有的很多业务应用直接使用标准协议的知名端口进行传输，如超文本协议(HTTP，Hypertexttransferprotocol)的80端口，或者直接承载在标准协议中，如Web视频直接承载在HTTP协议中，且特征值逐渐变短，报文经常不仅匹配了该报文的协议特征，而且匹配了其它近似的协议特征，而审计特征更是匹配了多个协议下的审计特征，如QQ下的语音报文可能不仅匹配QQ语音特征，而且能匹配飞信、微软在线信息(MSN)等的语音特征。

在确定了报文所属具体协议后，进一步去匹配所属协议之上的审计特征完成审计识别，然后根据协议和审计特征调用相应的处理函数对报文进行过滤处理。

在审计业务较少的情况下，应用识别引擎可以快速识别所有的协议和特征，但是随着防火墙审计业务不断增加以及对报文处理性能要求的不断提高，现有的下一代防火墙开始暴露出其体系结构的问题：

(1)、由于所有的协议识别和特征识别等深度检测工作都交由应用识别引擎完成，随着审计业务不断增加，应用识别引擎需要查找的协议特征和审计特征会成倍的增加，使得报文处理性能严重下降；

(2)、相同类型业务的协议有很多相同的审计特征，并且通常这些审计特征的长度都很短，难以通过改变审计特征去区分不同的协议，而应用识别引擎本身的设计使得它不能正确识别过多的相同特征；如：在WEBMAIL审计中，有QQ邮箱，163邮箱，126邮箱，139邮箱等等，WEBMAIL都采取MIME格式，如：所有邮箱的用户名开始特征都为Content-Disposition:form-data；name＝"from"，结束特征都为\r\n\r\n----；因此，有多少种邮箱就存在多少个这种开始特征及结束特征，如果命中时不分协议命中就会造成大量特征的误命中；

(3)、审计业务的实现需要经过两次过滤，协议推导过程一次，特征识别过程一次，而这也大幅的提高了误报率，导致审计业务识别出现误差。

基于此，在本发明实施例中：协议识别引擎提取报文中协议识别信息，并将所述协议识别信息与协议识别库中协议信息进行匹配，匹配成功时，确定报文的协议特征；特征检测引擎提取所述报文中审计特征标识信息，并将所述审计特征标识信息与所述报文的协议特征对应的审计特征库中审计特征信息进行匹配，匹配成功时，确定所述报文的审计特征。

实施例一

图2为本发明实施例一下一代防火墙系统检测报文的方法流程示意图，如图2所示，本实施例下一代防火墙系统检测报文的方法流程包括：

步骤201：协议识别引擎提取报文中协议识别信息，并将所述协议识别信息与协议识别库中协议信息进行匹配，匹配成功时，确定报文的协议特征；

这里，本步骤之前，所述方法还包括：构造模块构造协议识别库及两个以上审计特征库；

其中，所述审计特征库为特定协议下的特征库，用于存储特定协议下的报文的审计特征标识信息；

所述审计特征标识信息为标识所述报文的审计特征的固定字段或关键字；如QQ协议特征下，首字节为0x02同时满足结尾字节是0x03的数据包，表明后续报文为QQ的文本或者控制消息的数据包。

本步骤具体实现可以包括：协议识别引擎提取报文中端口号信息，并将所述端口号信息与所述协议识别库的端口映射库中端口号信息进行匹配，匹配成功时，确定报文的协议特征；匹配失败时，提取报文中协议特征标识信息；将所述协议特征标识信息与所述协议识别库的静态特征协议识别库中协议信息进行匹配，匹配成功时，确定报文的协议特征；

相应地，所述协议识别信息包括：端口号信息及协议特征标识信息；

所述协议识别库包括：端口映射库及静态特征协议识别库；

这里，将所述协议特征标识信息与静态特征协议识别库中协议信息进行匹配，匹配失败时，发出匹配失败告警信息；

其中，所述发出匹配失败告警信息具体包括：发日志进行匹配失败告警，以使用户根据需要决定是否将所述匹配失败的未知报文进行丢弃处理；

所述端口映射库存储有不同协议特有的端口号；如QQ的协议特征为：用户数据报协议(UDP，UserDatagramProtocol)或传输控制协议(TCP，TransmissionControlProtocol)，协议端口号为4000或8000。

所述静态特征协议识别库存储有不同协议下的报文的协议特征标识信息；

所述协议特征可以包括：web浏览、对等网络(P2P，PeertoPeer)文件共享、即时通信(IM,InstantMessaging)、电子邮件、VoIP(VoiceoverInternetProtocol)、网络存储、网络管理等；或者，进一步将上述协议特征扩展，如电子邮件包括：QQ邮箱，163邮箱，126邮箱，139邮箱；即时通信包括：QQ、MSN(MicrosoftLiveMessage)、飞信、人人网、陌陌等；

所述协议特征标识信息为标识所述报文的协议特征的固定字段或关键字，即该类协议特有的，在实际网络连接中一定会出现的固定网络字段或关键字；如163邮箱登陆的协议特征为：首段以字符串“GET/reader”开头，关键字如username，163等；Host字段值为特定字符串：reg.youdao.com。

本发明实施例中所述报文可以为网络数据报文等。

需要说明的是，仅需首次应用本发明所述方法时，执行构造协议识别库及两个以上审计特征库的操作，后续可直接应用。

步骤202：与确定的报文协议特征相对应的特征检测引擎提取所述报文中审计特征标识信息，并将所述审计特征标识信息与所述报文的协议特征对应的审计特征库中审计特征信息进行匹配，匹配成功时，确定所述报文的审计特征；

这里，将所述审计特征标识信息与所述报文的协议特征对应的审计特征库中审计特征信息进行匹配，匹配失败时，发出匹配失败告警信息。

所述报文的审计特征可以是，确定的协议特征下，报文进一步地类别信息；如QQ协议特征下的审计特征可以包括：QQ文本报文、QQ视频报文、QQ语音报文等。

进一步地，所述确定所述报文的审计特征之后，所述方法还包括：依据所述报文的审计特征及预置的审计策略对所述报文进行审计处理；

其中，所述预置的审计策略为特定审计特征所对应的审计处理；

所述审计处理包括：发送Log、丢弃处理及上送中央处理器(CPU，CentralProcessingUnit)等。

实施例二

图3为本发明实施例下一代防火墙系统检测QQ报文的方法流程示意图；图4为本发明实施例二下一代防火墙系统检测报文的方法流程示意图，如图3、图4所示，本实施例下一代防火墙系统检测报文的方法流程包括：

步骤401：构造端口映射库、静态特征协议识别库及两个以上审计特征库；

这里，所述端口映射库存储有不同协议特有的端口号；如QQ的协议特征为：UDP或TCP，端口号为4000或8000。

所述静态特征协议识别库存储有不同协议下的报文的协议特征标识信息；

所述协议特征可以包括：web浏览、P2P文件共享、即时通信、电子邮件、VoIP、网络存储、网络管理等；或者，进一步将上述协议特征扩展，如电子邮件包括：QQ邮箱，163邮箱，126邮箱，139邮箱；即时通信包括：QQ、MSN、飞信、人人网、陌陌等；

所述协议特征标识信息为标识所述报文的协议特征的固定字段或关键字，即该类协议特有的，在实际网络连接中一定会出现的固定网络字段或关键字；如126邮箱登陆的协议特征为：首段以字符串“GET/reader”开头，关键字如username，126等；Host字段值为特定字符串：passport.126.com。

所述审计特征库为特定协议下的特征库，用于存储特定协议下的报文的审计特征标识信息；

所述审计特征标识信息为标识所述报文的审计特征的固定字段或关键字；如QQ协议特征下，载荷的第20个字节开始出现INVITEsip字段，包含有“o＝QQuser”字段，且包含有“m＝audio”字段，表明后续会话流中传输了语音数据。

本发明实施例中所述报文为网络数据报文。

需要说明的是，仅需首次应用本发明所述方法时，步骤401的操作，后续可直接应用。

步骤402：提取报文中端口号，并将所述端口号与端口映射库中端口号信息进行匹配，并判断匹配是否成功，如果匹配成功，执行步骤404；如果匹配失败，执行步骤403；

这里，将所述端口号与端口映射库中端口号信息进行匹配，匹配成功时，确定报文的协议特征。

在本实施例中，出于某种需求，需对即时通信中QQ视频聊天进行限制，但是QQ文本和语音聊天正常使用。由于QQ协议特征为UDP或TCP，协议端口号为4000或8000，因此，提取报文中端口号与端口映射库中端口号信息进行匹配，可确定所述报文的协议特征为QQ，因此无需再执行协议特征标识信息与静态特征协议识别库中协议信息的匹配，可进一步执行QQ协议特征下的审计特征的检测。

步骤403：提取报文中协议特征标识信息，并将所述协议特征标识信息与静态特征协议识别库中协议信息进行匹配，判断匹配是否成功，如果匹配成功，执行步骤404；如果匹配失败，执行步骤406。

步骤404：提取所述报文中审计特征标识信息，并将所述审计特征标识信息与所述报文的协议特征对应的审计特征库中审计特征信息进行匹配，判断匹配是否成功，如果匹配成功，执行步骤405；如果匹配失败，执行步骤406；

在本实施例中，QQ的协议特征对应的审计特征库包括的内容如下：

A、匹配首字节0x02且同时满足结尾字节是0x03的数据包表明后续报文为QQ的文本或者控制消息的数据包；

B、载荷的第20个字节开始出现INVITEsip字段，包含有“o＝QQuser”字段且包含有“m＝audio”字段，表明后续会话流中传输了语音数据；

C、载荷的第20个字节开始出现INVITEsip字段，包含有“o＝QQuser”字段且包含有“m＝video和m＝audio”字段，表明后续会话流中传输了视频数据；

在执行QQ协议特征下的审计特征的检测时，由于QQ协议特征下审计特征为视频的审计特征信息为：载荷的第20个字节开始出现INVITEsip字段，包含有“o＝QQuser”字段且包含有“m＝video和m＝audio”字段；因此，可通过报文中审计特征标识信息与QQ审计特征库中审计特征信息的匹配识别出QQ视频数据；

由于本发明实施例中QQ审计特征库中不再包含MSN等即使通信的特征，减少误匹配，也提升了检测效率；同时，所述QQ审计特征库中QQ的审计特征顺序可调，提高了匹配的灵活性。

步骤405：依据所述报文的审计特征及预置的审计策略对所述报文进行审计处理，执行步骤407；

这里，所述预置的审计策略为特定审计特征所对应的审计处理；

所述审计处理包括：发送Log、丢弃处理及上送CPU等。

在本实施例中，由于需对即时通信中QQ视频聊天进行限制，因此，当监测到QQ视频的报文时，根据预置的审计策略对其进行丢弃处理。

步骤406：发出匹配失败告警信息；

本步骤具体包括：发日志进行匹配失败告警，以使用户根据需要决定是否将所述匹配失败的未知报文进行丢弃处理。

步骤407：结束本次处理流程。

实施例三

图5为本发明实施例三下一代防火墙系统检测报文的方法流程示意图，在本发明实施例中，已构造端口映射库、静态特征协议识别库及两个以上审计特征库；如图5所示，本实施例下一代防火墙系统检测报文的方法流程包括：

步骤501：提取报文中端口号，并将所述端口号与端口映射库中端口号信息进行匹配；

这里，所述端口映射库存储有不同协议特有的端口号；

在本实施例中，发现google的Gmail邮箱邮件的附件可能带病毒，从而需要对Gmail带附件的邮件进行检测，以送入病毒检测模块进行进一步处理。

由于Webmail均使用HTTP登陆，无法通过端口映射匹配出Gmail的协议特征，因此，将报文中端口号与端口映射库中端口号信息进行匹配，匹配失败。

步骤502：提取报文中协议特征标识信息，并将所述协议特征标识信息与静态特征协议识别库中协议信息进行匹配；

这里，所述静态特征协议识别库存储有不同协议下的报文的协议特征标识信息；

所述协议特征可以包括：web浏览、P2P文件共享、即时通信、电子邮件、VoIP、网络存储、网络管理等；或者，进一步将上述协议特征扩展，如电子邮件包括：QQ邮箱，163邮箱，126邮箱，139邮箱；即时通信包括：QQ、MSN、飞信、人人网、陌陌等；

所述协议特征标识信息为标识所述报文的协议特征的固定字段或关键字，即该类协议特有的，在实际网络连接中一定会出现的固定网络字段或关键字。

在本实施例中，Gmail的协议特征为：首段以字符串“GET/reader”开头；Host字段值为特定字符串：www.google.com；因此，可通过报文中协议特征标识信息与静态特征协议识别库中协议信息的匹配识别Gmail协议特征的报文。

步骤503：提取所述报文中审计特征标识信息，并将所述审计特征标识信息与所述报文的协议特征对应的审计特征库中审计特征信息进行匹配；

所述审计特征库为特定协议下的特征库，用于存储特定协议下的报文的审计特征标识信息；

所述审计特征标识信息为标识所述报文的审计特征的固定字段或关键字。

在本实施例中，Gmail的审计特征为Gmail邮件携带附件，因此，可匹配报文中审计特征标识信息为携带附件，检测出本实施例中所需识别的Gmail邮件，以进行进一步处理。

步骤504：依据所述报文的审计特征及预置的审计策略对所述报文进行审计处理；

在本实施例中，由于发现google的Gmail邮箱邮件的附件可能带病毒，需要对Gmail带附件的邮件进行检测，因此，当检测到携带附件的Gmail邮件时，根据预置的审计策略对其进行送入病毒检测模块的处理。

图6为本发明实施例下一代防火墙系统的组成结构示意图，如图6所示，本发明实施例下一代防火墙系统的组成包括：协议识别引擎61及特征检测引擎62；其中，

所述协议识别引擎61，用于提取报文中协议识别信息，并将所述协议识别信息与协议识别库中协议信息进行匹配，匹配成功时，确定报文的协议特征；

所述特征检测引擎62，用于提取所述报文中审计特征标识信息，并将所述审计特征标识信息与所述报文的协议特征对应的审计特征库中审计特征信息进行匹配，匹配成功时，确定所述报文的审计特征；

这里，所述特征检测引擎62为特定协议特征下的特征检测引擎，且与确定的所述报文的协议特征对应的特征检测引擎；

所述协议识别库包括：端口映射库及静态特征协议识别库；

所述协议识别信息包括：端口号信息及协议特征标识信息；

所述端口映射库，用于存储不同协议特有的端口号；如QQ的协议特征为：UDP或TCP，协议端口号为4000或8000；

所述静态特征协议识别库，用于存储不同协议下的报文的协议特征标识信息；

所述协议特征可以包括：web浏览、P2P文件共享、即时通信、电子邮件、VoIP、网络存储、网络管理等；或者，进一步将上述协议特征扩展，如电子邮件包括：QQ邮箱，163邮箱，126邮箱，139邮箱；即时通信包括：QQ、MSN、飞信、人人网、陌陌等；

所述审计特征库为特定协议下的特征库，用于存储特定协议下的报文的审计特征标识信息。

进一步地，所述协议识别引擎61，具体用于：

所述协议识别引擎提取报文中端口号信息，并将所述端口号信息与端口映射库中端口号信息进行匹配，匹配成功时，确定报文的协议特征；匹配失败时，提取报文中协议特征标识信息；将所述协议特征标识信息与静态特征协议识别库中协议信息进行匹配，匹配成功时，确定报文的协议特征。

进一步地，所述协议特征标识信息为标识所述报文的协议特征的固定字段或关键字；即该类协议特有的，在实际网络连接中一定会出现的固定网络字段或关键字；如163邮箱登陆的协议特征为：首段以字符串“GET/reader”开头，关键字如username，163等；Host字段值为特定字符串：reg.youdao.com。

所述审计特征标识信息为标识所述报文的审计特征的固定字段或关键字；如QQ协议特征下，首字节为0x02同时满足结尾字节是0x03的数据包，表明后续报文为QQ的文本或者控制消息的数据包。

进一步地，所述协议识别引擎61，还用于将所述协议特征标识信息与静态特征协议识别库中协议信息进行匹配，匹配失败时，发出匹配失败告警信息；

所述特征检测引擎62，还用于将所述审计特征标识信息与所述报文的协议特征对应的审计特征库中审计特征信息进行匹配，匹配失败时，发出匹配失败告警信息；

这里，所述发出匹配失败告警信息具体包括：发日志进行匹配失败告警，以使用户根据需要决定是否将所述匹配失败的未知报文进行丢弃处理。

进一步地，所述下一代防火墙系统还包括：审计模块63，用于依据所述报文的审计特征及预置的审计策略对所述报文进行审计处理；

所述预置的审计策略为特定审计特征所对应的审计处理；

所述审计处理包括：发送Log、丢弃处理及上送CPU等。

进一步地，所述下一代防火墙系统还可以包括：构造模块64，用于构造协议识别库及两个以上审计特征识别库。

在实际应用中，构造模块64、协议识别引擎61、特征检测引擎62及审计模块63可由下一代防火墙系统中的CPU、或数字信号处理器(DSP，DigitalSignalProcessor)、或现场可编程门阵列(FPGA，FieldProgrammableGateArray)实现。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

Claims (10)

1.一种下一代防火墙系统检测报文的方法，其特征在于，所述方法包括：

协议识别引擎提取报文中协议识别信息，并将所述协议识别信息与协议识别库中协议信息进行匹配，匹配成功时，确定报文的协议特征；

与确定的报文协议特征相对应的特征检测引擎提取所述报文中审计特征标识信息，并将所述审计特征标识信息与所述报文的协议特征对应的审计特征库中审计特征信息进行匹配，匹配成功时，确定所述报文的审计特征。

2.根据权利要求1所述方法，其特征在于，所述提取报文中协议识别信息，并将所述协议识别信息与协议识别库中协议信息进行匹配包括：

提取报文中端口号信息，并将所述端口号信息与所述协议识别库的端口映射库中端口号信息进行匹配，匹配成功时，确定报文的协议特征；匹配失败时，提取报文中协议特征标识信息，并将所述协议特征标识信息与所述协议识别库的静态特征协议识别库中协议信息进行匹配，匹配成功时，确定报文的协议特征。

3.根据权利要求2所述方法，其特征在于，所述方法还包括：将所述协议特征标识信息与静态特征协议识别库中协议信息进行匹配，匹配失败时，发出匹配失败告警信息；和/或，

将所述审计特征标识信息与所述报文的协议特征对应的审计特征库中审计特征信息进行匹配，匹配失败时，发出匹配失败告警信息。

4.根据权利要求1或2所述方法，其特征在于，所述确定所述报文的审计特征之后，所述方法还包括：依据所述报文的审计特征及预置的审计策略对所述报文进行审计处理。

5.根据权利要求1或2所述方法，其特征在于，所述协议特征标识信息为标识所述报文的协议特征的固定字段或关键字；和/或，

所述审计特征标识信息为标识所述报文的审计特征的固定字段或关键字。

6.一种下一代防火墙系统，其特征在于，所述下一代防火墙系统包括：协议识别引擎及特征检测引擎；其中，

所述协议识别引擎，用于提取报文中协议识别信息，并将所述协议识别信息与协议识别库中协议信息进行匹配，匹配成功时，确定报文的协议特征；

所述特征检测引擎，用于提取所述报文中审计特征标识信息，并将所述审计特征标识信息与所述报文的协议特征对应的审计特征库中审计特征信息进行匹配，匹配成功时，确定所述报文的审计特征；

所述特征检测引擎为与已确定的所述报文的协议特征对应的特征检测引擎。

7.根据权利要求6所述下一代防火墙系统，其特征在于，所述协议识别引擎具体用于：

提取报文中端口号信息，并将所述端口号信息与所述协议识别库的端口映射库中端口号信息进行匹配，匹配成功时，确定报文的协议特征；匹配失败时，提取报文中协议特征标识信息，并将所述协议特征标识信息与所述协议识别库的静态特征协议识别库中协议信息进行匹配，匹配成功时，确定报文的协议特征。

8.根据权利要求7所述下一代防火墙系统，其特征在于，所述协议识别引擎，还用于将所述协议特征标识信息与静态特征协议识别库中协议信息进行匹配，匹配失败时，发出匹配失败告警信息；和/或，

所述特征检测引擎，还用于将所述审计特征标识信息与所述报文的协议特征对应的审计特征库中审计特征信息进行匹配，匹配失败时，发出匹配失败告警信息。

9.根据权利要求6或7所述下一代防火墙系统，其特征在于，所述下一代防火墙系统还包括：审计模块，用于依据所述报文的审计特征及预置的审计策略对所述报文进行审计处理。

10.根据权利要求6或7所述下一代防火墙系统，其特征在于，所述协议特征标识信息为标识所述报文的协议特征的固定字段或关键字；和/或，

所述审计特征标识信息为标识所述报文的审计特征的固定字段或关键字。