一种用于光子防火墙的模式匹配域的划分和识别方法
技术领域
本发明涉及光纤通信系统光网络安全领域,具体为一种用于光子防火墙的模式匹配域的划分和识别方法,以实现光子防火墙的入侵检测和安全防护。
背景技术
光网络作为整个通信系统中的物理链路层,因其传输介质封闭绝缘,信号速率和可靠性高等特点,传统意义上被认为具有较高的安全性保障,因此光网络中的业务传输的安全防护措施通常只在电层实现。光网络可以承载多种类型的业务,包括语音、视频、数据等。为提高光网络的承载效率和进行一些运维操作,通常将最原始的信息进行封装,加入管控信息组成一个消息体,然后再调制成光信号,利用光网络进行信息传递,例如SDH、OTN等。传统电层防火墙的入侵检测和安全防护通常是识别消息体中特定的字段,例如来源IP地址、来源端口号、目的IP地址或端口号、服务类型等,然后根据网络管理者配置的特定规则进行入侵检测的识别,对有安全威胁的消息体按照相对应的规则进行操作。电层防火墙的入侵检测需要进行电-光和光-电的转化,光电转化具有成本高、处理速度慢、处理带宽小等缺陷,仅仅在电层对传输数据进行入侵检测和安全防护,不能适应光网络高速、大容量、低时延的传输特征。随着光通信技术的迅猛发展,预计近5-10年,光网络单信道的传输容量将达到1Tbps,面对如此高速的信息传递,仅仅依赖电层的入侵检测和安全防护将远远不能满足高速、大容量光网络的安全需要。并且光网络作为承载网,需要对上层业务信息进行封装、调制/解调、复用/解复用、路由等一系列操作,安全威胁可能隐藏在任意一个环节,迫切需要在光层能够直接进行基于业务内容、传输模式、编码方式、调制格式等不同特征的入侵检测和安全防护。同时,由于光网络长期采用透明开放的管控模式,并不关心数据内容、数据特征、数据用途,任凭有害数据肆意挥霍着频谱资源,迫切需要在光层建设一堵安全可靠的防火墙,阻隔所有有害数据。当前,光网络安全问题已成为网络安全领域不可忽视的区域。
光子防火墙作为一种重要的光层入侵检测和安全防护技术储备,可广泛应用于广域骨干网、城域网等光纤接入网,对各种入侵信息进行鉴别过滤,保障光信息传输的安全。但是目前的光子防火墙的研究仅仅针对光突发交换传输模式的光包,对光包进行模式匹配和安全操作。然而目前骨干网、城域网、本地网、校园网等中已部署的光网络主要采用基于电路交换的传输模式(包括SDH、OTN等),光网络中传输的是连续光信号。为实现面向连续光信号的入侵检测,基于模式匹配的光子防火墙首先需要对连续的光信号进行模式匹配域的划分,进行连续光信号的离散化,然后对已经离散化的光片段进行模式匹配,基于模式匹配的结果,根据已部署的安全策略进行针对此光片段的安全操作。连续光信号的模式匹配域的划分需要综合考虑光子防火墙的安全策略和业务的类型,同时,光子防火墙需要快速地识别模式匹配域,以提高对连续光信号进行模式匹配的效率。目前还没有针对连续光信号的模式匹配域的划分和识别方法,此为实现光子防火墙面向连续光信号的入侵检测面临的首位难题之一。
发明内容
本发明的目的是设计一种用于光子防火墙的模式匹配域的划分和识别方法,在发送端对光网络承载的光信号业务分类,调制时在相邻的业务间插入业务特征光,在模式匹配域间插入域特征光。接收端的光子防火墙的1×2光开关对连续光信号进行采样,输出常规信号和采样信号,采样信号在分光器之后分为两部分,分别为采样检测信号和采样还原信号。常规信号和采样还原信号经不同的光纤延迟线接入2×1光开关。采样检测信号接入业务特征光识别模块和域特征光识别模块,根据采样检测信号中的业务特征光识别不同的业务信号送入安全操作模块,安全操作模块根据不同业务特征光激活对应的模式匹配模块,根据域特征光识别模式匹配域位置,将其送入模式匹配模块,与本地光信号进行模式匹配,匹配结果送至安全操作模块,安全操作模块控制2×1光开关按匹配结果将采样还原信号丢弃或与常规信号拼接后输出。
本发明设计的一种用于光子防火墙的模式匹配域的划分和识别方法,各类业务加载于光发送端的连续光信号,光信号经光纤链路传输至接收端,接收端的输入端口设置光子防火墙。
在发送端对光信号进行预处理,对光网络承载的光信号业务分类,并划分每类业务的模式匹配域。激光器调制时在相邻的业务类间插入业务特征光,在同一业务的模式匹配域前后插入域特征光,以快速识别模式匹配域,提高模式匹配的效率和灵活性。
接收端连续光信号先进入光子防火墙被检测。所述光子防火墙包括1×2光开关,分光器,业务光识别模块、域特征光识别模块,模式匹配模块和安全操作模块。连续光信号进入光子防火墙后,1×2光开关先对其进行采样,输出常规信号和采样信号,采样信号送入分光器分为两部分,分别为采样检测信号和采样还原信号。常规信号和采样还原信号经不同的光纤延迟线后接入2×1光开关。采样检测信号依次进入业务特征光识别模块、域特征光识别模块和模式匹配模块,业务特征光识别模块检测到业务特征光即将业务特征光的起始时间及类型发送到安全操作模块、安全操作模块将对应该业务类型的模式匹配模块激活;当域特征光识别模块检测到域特征光时,将域特征光标注的该业务的模式匹配域送入安全操作模块已选择的模式匹配模块。模式匹配模块实施相对应的模式匹配,即对不同模式匹配域字段的属性进行模式匹配的重构。匹配结果送入安全操作模块,安全操作模块根据匹配结果进行安全操作,将采样还原信号丢弃或与常规信号拼接后输出。
本发明一种用于光子防火墙的模式匹配域的划分和识别方法的具体步骤如下:
发送端部分、对光信号的预处理
Ⅰ、业务分类
在发送端对所有光网络承载的业务进行分类。对于某一传输速率和编码格式的业务光信号,按照业务的特性进行分类,主要包括语音业务、视频业务和IP业务三大类;语音业务和视频业务大类又划分为地址类和服务类;IP业务大类划分为IP地址类、端口类和服务类三类。即共计7种业务类型。
Ⅱ、模式匹配域的划分
对每类业务进行模式匹配域的划分;即从同一类的业务数据中抽取一段或多段与模式识别的本地光信号长度相等的业务数据作为模式匹配域。不同的业务类型对应的数据长度不同,划分的模式匹配域个数不同,如地址类或端口类数据较短,其模式匹配域可能只有一段。
Ⅲ、插入业务特征光和域特征光
激光器对各业务光信号进行调制时,在相邻的业务类之间插入业务特征光,每一种业务类型对应一种业务特征光,7种业务类型对应7种不同的业务特征光。
在同一业务的相邻模式匹配域之间插入域特征光。域特征光标注该模式匹配域的起始位和终止位,区分相邻的模式匹配域。
接收端部分、光子防火墙检测连续光信号
Ⅳ、采样
在发送端插入了业务特征光和域特征光的连续光信号经光纤链路传输到接收端,先进入光子防火墙的1×2光开关,1×2光开关对连续光信号采样,输出常规信号和采样信号,常规信号经主光纤延迟线接入2×1光开关,采样信号接入分光器;
Ⅴ、分光
分光器将所接收的连续光信号采样信号分为两路,一路为采样还原信号,经光纤延迟线接入2×1光开关,另一路为采样检测信号,送入业务特征光识别模块;分光器的分光比优先满足模式匹配所需要的采样检测信号的光功率;
Ⅵ、业务特征光检测
业务特征光识别模块在输入端口中检测到业务特征光时,记录业务特征光的到达时间,将该时间和其识别的该业务类型一并发送给安全操作模块,不同类型的业务字段有不同业务特征,对应不同的模式匹配模块;安全操作模块根据当前检测到的业务类型激活对应的模式匹配模块准备工作,同时控制连接7个模式匹配模块的光开关连通相关光路;业务特征光识别模块将后续的连续光采样检测信号送入域特征光识别模块;同时业务特征光识别模块监听下一个业务特征光的到达。
Ⅶ、域特征光检测
当域特征光识别模块在输入端口中检测到域特征光时,将该域特征光后的模式匹配域经光开关送入相应的模式匹配模块,同时监听下一个域特征光的到达;直至完成本业务类的各模式匹配域均输入到与之匹配的模式匹配模块;
Ⅷ、模式匹配
两个相邻的域特征光之间的模式匹配域的业务信号即用于模式匹配的业务字段;模式匹配模块将采样检测信号的模式匹配域与本地的光信号进行模式匹配,并将匹配结果发送到安全操作模块。
本地光信号是所述模式匹配模块内存储的、对应某一类型业务的模式匹配域信号特征的字符串,不同类型的业务有不同的模式匹配模块,配有不同的本地光信号。
接收端针对某种传输速率和编码格式的业务光信号的7种业务类型配置对应的一套模式匹配模块。当业务光信号的传输速率和编码格式改变时,接收端更换另一套对应的模式匹配模块。
Ⅸ安全操作
安全操作模块根据业务特征光识别模块输出的该业务的起始时间,划分出该业务的时域,当连续光的采样检测信号中的模式匹配域与本地光信号匹配时,模式匹配模块向安全操作模块发送“匹配”信号,安全操作模块判断将该业务信号安全,控制2×1光开关将步骤Ⅴ分光器分出的经光纤延迟线缓存的采样常规信号与光子防火墙的1×2光开关输出的经主光纤延迟线缓存的常规信号拼接后输出,反之,若模式匹配模块向安全操作模块发送“不匹配”信号,安全操作模块判断将该业务信号不安全,控制2×1光开关将该业务的采样还原信号丢弃,只输出光子防火墙的1×2光开关输出的经主光纤延迟线缓存的常规信号。
与现有技术相比,本发明一种用于光子防火墙的模式匹配域的划分和识别方法的有益效果为:1、利用模式匹配电路对光信号中的特性信息进行识别,然后根据模式匹配电路的输出结果进行入侵检测和安全防护,并不需要进行电-光和光-电的转化,检测迅速准确;2、发送端在相邻的业务之间插入业务特征光,接收端根据业务特征光可快速方便地区分不同的业务;发送端在同一业务的相邻模式匹配域之间插入域特征光,接收端可快速划分和识别连续光信号的模式匹配作用域,用于与本地光信号的指定字段进行模式匹配,迅速判断采样信号中是否隐藏有潜在的网络威胁和攻击;实施简单有效;3、光网络管理者可以根据网络安全需求,动态地增加模式匹配域和模式匹配模块,不需要对光子防火墙进行复杂的调整。
附图说明
图1为本用于光子防火墙的模式匹配域的划分和识别方法实施例的光子防火墙在光网络中的部署示意图;
图2为图1中光子防火墙的整体架构示意图;
图3为本用于光子防火墙的模式匹配域的划分和识别方法实施例的业务特征光和域特征光在连续光信号中的分布情况示意图;
图4为本用于光子防火墙的模式匹配域的划分和识别方法实施例的流程图。
具体实施方式
本用于光子防火墙的模式匹配域的划分和识别方法实施例,光网络各光节点的前端配置光子防火墙,如图1所示,对所有输入端的光信号进行入侵检测和安全防护。各类业务加载于光发送端的连续光信号,光信号经光纤链路传输至接收端,接收端的输入端口设置光子防火墙。
图2所示为本实施例的接收端光子防火墙的整体架构,图中实线表示光信号传输,虚线表示电信号传输。本例光子防火墙包括1×2光开关,分光器,业务光识别模块、域特征光识别模块,7个模式匹配模块和安全操作模块。连续光信号Sin进入光子防火墙后,1×2光开关先对其进行采样,输出常规信号S1和采样信号S2,采样信号S2送入分光器分为两部分,分别为采样检测信号S22和采样还原信号S21。常规信号S1和采样还原信号S21分别经主光纤延迟线和光纤延迟线后接入2×1光开关。采样检测信号S22依次进入业务特征光识别模块、域特征光识别模块和模式匹配模块,业务特征光识别模块检测到业务特征光即将业务特征光的起始时间及类型发送到安全操作模块、安全操作模块将对应该业务类型的模式匹配模块激活;当域特征光识别模块检测到域特征光时,将域特征光标注的该业务的模式匹配域送入安全操作模块已选择的模式匹配模块。模式匹配模块实施相对应的模式匹配,即对不同模式匹配域字段的属性进行模式匹配的重构。匹配结果送入安全操作模块,安全操作模块根据匹配结果进行安全操作,将采样还原信号丢弃或与常规信号拼接后输出。
本例用于光子防火墙的模式匹配域的划分和识别方法的流程图如图4所示,图中实线表示光信号传输,虚线表示电信号传输。具体步骤如下:
发送端部分、对光信号的预处理,如图4左侧所示:
Ⅰ、业务分类
在发送端对所有光网络承载的业务进行分类。对于某一传输速率和编码格式的业务光信号,按照业务的特性进行分类,主要包括语音业务、视频业务和IP业务三大类;语音业务和视频业务大类又划分为地址类和服务类;IP业务大类划分为IP地址类、端口类和服务类三类。即共计7种业务类型。
Ⅱ、模式匹配域的划分
对每类业务进行模式匹配域的划分;即从同一类的业务数据中抽取一段或多段与模式识别的本地光信号长度相等的业务数据作为模式匹配域。不同的业务类型对应的数据长度不同,划分的模式匹配域个数不同,如地址类或端口类数据较短,其模式匹配域可能只有一段。
Ⅲ、插入业务特征光和域特征光
激光器对各业务光信号进行调制时,在相邻的业务类之间插入业务特征光,每一种业务类型对应一种业务特征光,7种业务类型对应不同的7种业务特征光。图3所示为连续光信号中的两个业务光信号Sa和Sb,较宽的矩形条表示业务特征光,不同业务类型插入的业务特征光不同。
在同一业务的相邻模式匹配域之间插入域特征光,图3中用较窄的矩形条表示。域特征光标注该模式匹配域的起始位和终止位,区分相邻的模式匹配域。图3中Sa分为三个等长的模式匹配域A1、A2和A3,Sb只抽取了一个模式匹配域B1。
接收端部分、光子防火墙检测连续光信号,如图4右侧所示:
Ⅳ、采样
在发送端插入了业务特征光和域特征光的连续光信号经光纤链路传输到接收端,先进入光子防火墙的1×2光开关,1×2光开关对连续光信号采样,输出常规信号S1和采样信号S2,常规信号S1经主光纤延迟线接入2×1光开关,采样信号S2接入分光器;
Ⅴ、分光
分光器将所接收的连续光信号采样信号S2分为两路,一路为采样还原信号S21,经光纤延迟线接入2×1光开关,另一路为采样检测信号S22,送入业务特征光识别模块;分光器的分光比优先满足模式匹配所需要的采样检测信号S22的光功率;
Ⅵ、业务特征光检测
业务特征光识别模块在输入端口中检测到业务特征光时,记录业务特征光的到达时间,将该时间和其识别的该业务类型一并发送给安全操作模块,不同类型的业务字段有不同业务特征,对应不同的模式匹配模块;安全操作模块根据当前检测到的业务类型激活对应的模式匹配模块准备工作,同时控制连接7个模式匹配模块的光开关连通相关光路;业务特征光识别模块将后续的连续光采样检测信号送入域特征光识别模块;同时业务特征光识别模块监听下一个业务特征光的到达。
Ⅶ、域特征光检测
当域特征光识别模块在输入端口中检测到域特征光时,将该域特征光后的模式匹配域经光开关送入相应的模式匹配模块,同时监听下一个域特征光的到达;直至完成本业务类的各模式匹配域均输入到与之匹配的模式匹配模块;
Ⅷ、模式匹配
两个相邻的域特征光之间的模式匹配域的业务信号即用于模式匹配的业务字段;模式匹配模块将采样检测信号的模式匹配域与本地的光信号进行模式匹配,并将匹配结果发送到安全操作模块。
本地光信号是所述模式匹配模块内存储的、对应某一类型业务的模式匹配域信号特征的字符串,不同类型的业务有不同的模式匹配模块,配有不同的本地光信号。
接收端针对某种传输速率和编码格式的业务光信号的7种业务类型配置对应的一套模式匹配模块。当业务光信号的传输速率和编码格式改变时,接收端更换另一套对应的模式匹配模块。
Ⅸ、安全操作
安全操作模块根据业务特征光识别模块输出的该业务的起始时间,划分出该业务的时域,当连续光的采样检测信号S22中的模式匹配域与本地光信号匹配时,模式匹配模块向安全操作模块发送“匹配”信号,安全操作模块判断将该业务信号安全,控制2×1光开关将步骤Ⅴ分光器分出的经光纤延迟线缓存的采样常规信号与光子防火墙的1×2光开关输出的经主光纤延迟线缓存的常规信号拼接后输出,反之,若模式匹配模块向安全操作模块发送“不匹配”信号,安全操作模块判断将该业务信号不安全,控制2×1光开关将该业务的采样还原信号丢弃,只输出光子防火墙的1×2光开关输出的经主光纤延迟线缓存的常规信号。
上述实施例,仅为对本发明的目的、技术方案和有益效果进一步详细说明的具体个例,本发明并非限定于此。凡在本发明的公开的范围之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围之内。