專利名稱:用于集成多個威脅安全服務(wù)的方法及其設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及網(wǎng)絡(luò)威脅安全服務(wù)��,更具體地,本發(fā)明涉及用
于集成多個威脅(multi-threat)安全服務(wù)的方法及其設(shè)備���。
背景技術(shù):
隨著對通信網(wǎng)絡(luò)的廣泛使用��,人們越來越重視通信網(wǎng)絡(luò)的安全性和防護性�。為此��,當(dāng)前在通信網(wǎng)絡(luò)的網(wǎng)關(guān)處設(shè)置了可以被激活的一系列威脅安全服務(wù)��,參見圖1中所示出的入侵檢測/保護系統(tǒng)(IntrusionDetection/Protection System ),反病毒/反ii;及由lH牛(anti virus/antispam )���、內(nèi)容過濾(content filter,即CF )、蠕蟲過濾(Worm Filter,即WF)等�。然而, 一個單個設(shè)備中一個單個威脅安全服務(wù)不是有效的解決方案�����,因為這將造成無法控制的現(xiàn)場管理和故障查找的開銷�。出于這種原因,許多平臺在一個統(tǒng)一威脅管理(UTM)設(shè)備中提供多個安全服務(wù)����,該設(shè)備將上述的安全服務(wù)與防火墻進行組合�����。企業(yè)和服務(wù)提供商使用該設(shè)備以增強他們的安全����,同時又減小了總的運行成本�。
其自身的協(xié)議棧,并且它們總是自己來解析分組數(shù)據(jù)以獲得相應(yīng)的應(yīng)用數(shù)據(jù)����,即它們各自都需要針對其相應(yīng)的應(yīng)用數(shù)據(jù)來掃描整個分組數(shù)據(jù)。以圖2中示出的現(xiàn)有技術(shù)的處理作為例子來說明����,當(dāng)IP分組進入到網(wǎng)關(guān)時,首先進入到防火墻(Firewall)威脅安全服務(wù)����,該服務(wù)對進入的IP分組進行解析,以確定是否對其應(yīng)用相應(yīng)的安全服務(wù)���,如果無需提供該安全服務(wù)�,則分組進入到入侵檢測/保護威脅安全服務(wù),在該威脅安全服務(wù)處��,依然對分組進行包括前面的防火墻威脅安全服務(wù)解析操作的解析處理����,以便最終獲得入侵檢測/保護威脅安全服務(wù)所需的應(yīng)用數(shù)據(jù),從而確定是否應(yīng)對該進入的分組4丸行入侵:;險測/保護威脅安全服務(wù)�,以類似上述的步驟執(zhí)行直到完成預(yù)先設(shè)置的多個威脅安全服務(wù)。隨著集成的威脅安全服務(wù)的數(shù)目的增加以及由此帶來的計算的復(fù)雜度的增大����,上述的協(xié)議解析已經(jīng)成為強度最大的計算操作之一。這
種情況成為UTM持續(xù)增長的嚴重障礙�����。
針對這種情況��,當(dāng)前的機制關(guān)注于硬件加速器以改善UTM性能��,例如是ASIC加速多威脅安全系統(tǒng)的Fortinet的FortiGate�����。但即使這樣�,也僅一部分安全服務(wù)可集成進它們的UTM設(shè)備中�。
因此當(dāng)前需要一種能夠提供更為全面而又減小計算開銷的集成多個威脅安全服務(wù)的手段����。
發(fā)明內(nèi)容
本發(fā)明的目的是克服現(xiàn)有技術(shù)中存在的缺陷�����,提供一種集成多個威脅安全服務(wù)的方法��,從而能夠高效地針對多個威脅安全服務(wù)過濾進入的^t據(jù)分組�����。
為了本發(fā)明的上述目的�����,根據(jù)本發(fā)明的一個方面��,提供一種用于集成多個威脅安全服務(wù)的方法���,該方法包括對進入的分組逐層地進行解析�����,針對多個威脅安全服務(wù)分析在當(dāng)前層解析的分組��,從而確定該分組所需的威脅安全服務(wù)�。
根據(jù)本發(fā)明的另 一方面,提供了 一種用于集成多個威脅安全服務(wù)的設(shè)備����,該設(shè)備包括解析器,用于對進入的分組逐層地進行解析���;分析器,用于針對多個威脅安全服務(wù)分析在當(dāng)前層解析的分組�,從而確定該分組所需的威脅安全服務(wù)���。
根據(jù)本發(fā)明的方法和設(shè)備�����,集成的多個威脅安全服務(wù)可以過濾應(yīng)用數(shù)據(jù)��,而同時只需對網(wǎng)絡(luò)分組數(shù)據(jù)執(zhí)行一次解析,從而提高了過濾應(yīng)用數(shù)據(jù)的效率并且減小了計算開銷��。
通過以下結(jié)合附圖的說明�����,并且隨著對本發(fā)明的更全面了解,本發(fā)明的其他目的和效果將變得更加清楚和易于理解���,其中
5圖1示出現(xiàn)有技術(shù)的網(wǎng)絡(luò)中多個威脅安全服務(wù)的布置��;圖2示出根據(jù)現(xiàn)有技術(shù)進行多個威脅安全服務(wù)的處理過程�����;圖3是示出可實施本發(fā)明的典型的網(wǎng)絡(luò)安全服務(wù)環(huán)境的示圖��;圖4是示出本發(fā)明原理的簡化示圖���;圖5是示出根據(jù)本發(fā)明原理的處理流程圖;圖6是其中可實施本發(fā)明的集成安全服務(wù)棧的架構(gòu)圖����;圖7是示出根據(jù)本發(fā)明實施方式的事件分析器的操作的示圖;圖8示出根據(jù)本發(fā)明實施方式的事件分析器管理模塊的工作過程�����;以及
圖9示出根據(jù)本發(fā)明實施方式的事件分析器調(diào)度模塊的工作過程����。
在所有的上述附圖中����,相同的標(biāo)號表示具有相同���、相似或相應(yīng)的特征或功能��。
具體實施例方式
以下�����,將結(jié)合附圖來描述本發(fā)明的實施方式�。
圖3示出了可實施本發(fā)明的典型的網(wǎng)絡(luò)安全服務(wù)環(huán)境�����。在該環(huán)境中�,集成多個威脅安全服務(wù)的設(shè)備可以串聯(lián)模式和路由模式兩種方式連接在局域網(wǎng)和因特網(wǎng)之間的鏈路上,即所有出/入局域網(wǎng)的數(shù)據(jù)(例如SMTP�、 POP3、 HTTP等)均需要經(jīng)過集成的網(wǎng)絡(luò)安全服務(wù)設(shè)備����。
如果集成多個威脅安全服務(wù)的設(shè)備以串聯(lián)模式的工作方式連接在網(wǎng)絡(luò)中,其將在數(shù)據(jù)鏈路層把兩個網(wǎng)絡(luò)連接起來�����,根據(jù)網(wǎng)卡物理地址
轉(zhuǎn)發(fā)數(shù)據(jù)幀�����。其中包括有集成多個威脅安全服務(wù)的設(shè)備的網(wǎng)橋的作用在于在局域網(wǎng)和因特網(wǎng)之間形成一條透明的通道�����,在不改變網(wǎng)絡(luò)配置以及不讓客戶端知曉的情況下�����,讓集成多個威脅安全服務(wù)的設(shè)備對客戶端和服務(wù)器之間的通信進行監(jiān)控和過濾��。
如果集成多個威脅安全服務(wù)的設(shè)備以路由模式的工作方式連接在網(wǎng)絡(luò)中�����,則局域網(wǎng)和因特網(wǎng)均將其視為網(wǎng)絡(luò)中的一個節(jié)點�����,必須正確配置路由才能通過集成多個威脅安全服務(wù)的設(shè)備。通過設(shè)備的數(shù)據(jù)報文將被監(jiān)控和過濾���。
集成多個威脅安全服務(wù)的設(shè)備需要確保到達因特網(wǎng)的通路��,如果 發(fā)生系統(tǒng)故障��,則該設(shè)備支持直接短路局域網(wǎng)和因特網(wǎng)的連接��,從而 保障網(wǎng)絡(luò)的服務(wù)���。集成多個威脅安全服務(wù)的設(shè)備通過網(wǎng)絡(luò)(可以是通 過另外的鏈路,或者復(fù)用)與數(shù)據(jù)庫及控制節(jié)點互聯(lián)��。
數(shù)據(jù)庫具有兩個主要的功能�, 一個功能是存儲集成多個威脅安全 服務(wù)的系統(tǒng)的配置、匹配模式等信息�,以供集成多個威脅安全服務(wù)的 設(shè)備初始化及運行過程中使用,其另一個主要功能是可將集成多個威 脅安全服務(wù)的設(shè)備在其工作過程中發(fā)現(xiàn)的非法行為模式存儲到威脅安 全服務(wù)中��?���?刂乒?jié)點的主要功能包括向數(shù)據(jù)庫添加關(guān)鍵字,控制集成 多個威脅安全服務(wù)的集成信息以及查看檢測的結(jié)果���。
圖4是示出本發(fā)明原理的簡化示圖����。在該圖的左半部分是以柱狀 圖形式并結(jié)合協(xié)議分層結(jié)構(gòu)示出的多個威脅安全服務(wù)��,以及以點畫線 示出的與其分別相對應(yīng)的各種解析器(稍后將詳細描述)���,例如防火墻 安全服務(wù)可以使用IP解析器�,而內(nèi)容/蠕蟲過濾安全服務(wù)可以使用IP
解析器�、TCP解析器和應(yīng)用解析器。在該圖的右半部分涉及到本發(fā)明 的集成安全服務(wù)棧���,在該服務(wù)棧中的上述多個解析器在執(zhí)行相應(yīng)的逐 層解析后將解析后的分組數(shù)據(jù)送入到事件分析器�����,由事件分析器來完 成本發(fā)明的針對多個威脅安全服務(wù)的操作��,從而確定所需執(zhí)行的威脅 安全服務(wù)��。
圖5是示出本發(fā)明執(zhí)行集成多個安全威脅服務(wù)的簡化操作流程 圖�。在步驟501,對進入網(wǎng)絡(luò)的分組逐層地進行解析����,即�����,按照上述 的集成安全服務(wù)棧的分層架構(gòu)來進行解析�����,然后在步驟502�����,針對多 個威脅安全服務(wù)分析當(dāng)前層解析的分組����。接著在步驟503,通過匹配 算法來確定該分組所需的威脅安全服務(wù)�����。下文將針對圖5中所示的步 驟結(jié)合附圖進行詳細描述�����。
參考圖6,其進一步示出圖4中的集成安全服務(wù)協(xié)議棧和按層分 布的各種解析器��,以及執(zhí)行本發(fā)明的相應(yīng)各個步驟���。如圖中所示�,當(dāng) 集成的多個威脅安全服務(wù)設(shè)備接收到數(shù)據(jù)報文后��,首先將數(shù)據(jù)報文交給TCP/IP解析器���。在步驟601中,TCP/IP解析器對進入到TCP/IP層 的數(shù)據(jù)分組進行還原���,根據(jù)不同協(xié)議分類�,調(diào)用相應(yīng)的插件對數(shù)據(jù)分 組進行還原�。比如當(dāng)捕獲到TCP4艮文時,TCP/IP解析器首先建立一個 連接信息���,并將這個連接建立的信息提交給TCP協(xié)議處理插件進行處 理���。在完成步驟601后,TCP協(xié)議處理插件會在步驟602中將還原后 的信息(例如IP源地址����、源端口號�、目標(biāo)地址�����、目標(biāo)端口號�、報文長 度等)傳遞給事件分析器進行進一步分析過濾(稍后將詳細描述事件 分析器的操作)。
接著在步驟603中�,所示出的TCP/IP解析器將傳輸層中生成的分 組發(fā)送到相應(yīng)的應(yīng)用層協(xié)議解析器(比如HTTP協(xié)議解析器、SMTP 協(xié)議解析器�����、P0P3協(xié)議解析器�����、FTP協(xié)議解析器��、Telnet協(xié)議解析器)�����。 一般的協(xié)議類型識別方法是利用RFC規(guī)定的協(xié)議默認端口來判斷協(xié)議 的類型�����,然而這種方法的準(zhǔn)確性并不高。目前����,除了少數(shù)的協(xié)議(如 DNS和SMTP協(xié)議)可以通過TCP連接的目的端口判定以外,其他的 協(xié)議均可以變換連接的端口 ���。例如HTTP協(xié)議��,雖然RFC規(guī)定默認情 況下使用80端口�,但是實際應(yīng)用中����,可以見到大量的HTTP服務(wù)采用 其他端口��,比如說1080�、 8080等。除了可以利用RFC規(guī)定的協(xié)議默 認端口來判斷協(xié)議的類型之外����,可以通過增加對數(shù)據(jù)報文內(nèi)容的分析 來智能地判斷協(xié)議類型。
在調(diào)用相應(yīng)的應(yīng)用層協(xié)議分析插件之后�����,在步驟604中,應(yīng)用層 協(xié)議解析器對上傳的內(nèi)容進行還原����,并且同樣將還原出來的數(shù)據(jù)信息 送入到事件分析器以便進行分析過濾。
如果需要恢復(fù)來自應(yīng)用數(shù)據(jù)流的文件��,例如郵件的附件���,則在步 驟605中���,應(yīng)用協(xié)議解析器將數(shù)據(jù)發(fā)送到文件解析器。類似地�,在步 驟606中,文件解析器也將對接收到的文件進行解析��,并且在對數(shù)據(jù) 進行還原后�����,將其發(fā)送到事件分析器進行過濾�����。
應(yīng)該理解本發(fā)明的解析器不限于這里所描述的TCP/IP解析器、應(yīng) 用層協(xié)議層解析器和文件解析器�,可以針對各種安全服務(wù)協(xié)議棧的分 層結(jié)構(gòu)構(gòu)建解析器而沒有脫離本發(fā)明的精神和范圍。下面將參考圖7詳細描述根據(jù)本發(fā)明實施方式的事件分析器的操 作過程�。該圖中示出事件分析器和模式(pattern)數(shù)據(jù)庫,其中事件 分析器主要包括管理模塊701�����、串匹配算法702以及調(diào)度模塊703�����,而 模式數(shù)據(jù)庫存儲了所有威脅安全服務(wù)的模式�����,其中每種威脅安全服務(wù) 的模式數(shù)據(jù)庫中包括其針對集成安全服務(wù)棧中不同層的模式�。事件分 析器的管理模塊701負責(zé)對所有串匹配算法702進行初始化����。而事件 分析器的核心是串匹配算法702,該串匹配算法702的匹配過程主要 分成三個階段模式輸入階段���,模式編譯階段�����,串匹配階段��。第一階 段(模式輸入階段)�,由管理模塊701從不同的模式數(shù)據(jù)庫中提取模式, 并統(tǒng)一編成同一組數(shù)據(jù)�;第二階段(模式編譯階段),在準(zhǔn)備好所有模 式后開始執(zhí)行該第二階段���,根據(jù)采用不同的匹配算法��,編譯方法也各 不相同��,這部分工作主要由管理模塊701完成�����;第三階段(串匹配階 段)用在系統(tǒng)服務(wù)運行時����,當(dāng)來自解析器(例如TCP/IP解析器�����、應(yīng)用 層協(xié)議解析器和文件解析器中的至少一個)的數(shù)據(jù)被發(fā)送進事件分析 器后,調(diào)度模塊703將基于該輸入的數(shù)據(jù)分組的類型選擇與其對應(yīng)的 串匹配算法702�����。
如圖8中具體示出的����,首先,管理模塊701將從各模式數(shù)據(jù)庫讀 取針對同一層的多個威脅安全服務(wù)的模式�����,比如讀取針對IP層的所有 安全服務(wù)的模式(如模式l.l丄l�����,模式10.10.10.10:80)�����。然后對讀取 的多個安全服務(wù)模式添加標(biāo)簽���,以標(biāo)識該模式屬于哪個威脅安全服務(wù)。 如圖中將標(biāo)簽l賦予來自Virus模式數(shù)據(jù)庫中的多個模式����,將標(biāo)簽2 賦予來自IPS模式數(shù)據(jù)庫的多個模式�,將標(biāo)簽3賦予來自WF模式數(shù) 據(jù)庫的多個模式����,以及類似地將標(biāo)簽n賦予來自CF模式數(shù)據(jù)庫的多 個模式。最后����,管理模塊701將利用這些添加有標(biāo)簽的模式生成(編 譯)針對該層的串匹配算法702,其中關(guān)注于集成安全服務(wù)棧中同一 個層的所有模式將形成一個模式集合以用于該串匹配算法702的初始 化���。根據(jù)假設(shè)的模式集合����,將生成例如TCP/IP串匹配算法1和應(yīng)用層 串匹配算法2等��,從而針對不同層的串匹配算法形成串匹配算法池��, 如圖8中所示的串匹配算法1����、 2、 ...n���。即���,根據(jù)已有的模式生成一個或多個狀態(tài)機��,從而可以通過狀態(tài)機對某一段輸入文本進行查找�,這 一過程被稱為串搜索����。高效的串匹配算法可以提高程序的響應(yīng)性能。
這里對本發(fā)明所利用到的串匹配算法做簡要說明��,其是用來判斷 一個文本�����,例如Text-t!... tn是否包含另外一個或多個字符串P =Pl... pm的方法���,比如有限狀態(tài)機算法的原理就是針對匹配字符串��, 所有可能的輸入在每一步都會有一個狀態(tài)值�����,如果這個狀態(tài)值等同于 匹配字符串的長度了��,那么就證明匹配成功�����。
根據(jù)實現(xiàn)的方式���,可以將匹配算法分為軟件模式匹配、TCAM模 式匹配和ASCI模式匹配�。在串匹配算法中,匹配一個字符串的算法 稱為單模匹配算法�,而同時匹配多個字符串的算法則稱為多模匹配算 法。TCAM模式匹配是一種用于查表操作的專用芯片���,其特點是一次 命中�,查找速度與表的大小無關(guān)����。這種方式要求匹配字符串的位置必 須相對固定。ASCI模式匹配需要先將待檢測的字符串通過正則表達式 編譯后�����,加載到芯片中,然后才可以進行匹配����。應(yīng)該理解這里所提到 的串匹配算法僅僅是示例性的,本領(lǐng)域技術(shù)人員在不脫離本發(fā)明的精 神和范圍下可選擇任意合適的匹配算法來實施本發(fā)明����。
圖9是示出根據(jù)本發(fā)明實施方式的事件分析器調(diào)度模塊的工作過 程。當(dāng)有數(shù)據(jù)從解析器傳送來之后����,調(diào)度模塊703選擇相應(yīng)的串匹配 算法進行過濾,即進行匹配��,并返回帶有標(biāo)簽i(標(biāo)簽i為標(biāo)簽1�、 2..., n中的一個)的結(jié)果。通過該標(biāo)簽i����,該過濾結(jié)果的接收器(未示出)
將知道該標(biāo)簽i所標(biāo)識的模式屬于所提供的多個模式數(shù)據(jù)庫中的哪個 模式數(shù)據(jù)庫,并且基于該認識可確定對應(yīng)于進入的分組的多個威脅安 全服務(wù)�����,由該多個威脅安全服務(wù)檢測分組是否存在威脅以及在確定存 在威脅時��,進行響應(yīng)處理,例如纟艮警����、阻斷等。
為了更好的理解本發(fā)明����,下面將以一個進入的報文為例來具體闡 明根據(jù)本發(fā)明的集成多個威脅安全服務(wù)的工作過程��。假設(shè)一個用戶的 IP地址為l.l丄l�����,通過本地端口 25467訪問遠程Web服務(wù)器10.10.10.10 的80端口��,即發(fā)出HTTP請求�����。這種情況下���,用戶發(fā)出的第一個才艮文 P內(nèi)容一般包含請求命令以及請求內(nèi)容�,比如GEThttp:〃news.zzz.com/20071205/12345 .shtml ���。
假設(shè)WF模式數(shù)據(jù)庫中TCP/IP層有模式l丄l.l (如圖7中所示��, 賦予標(biāo)簽3)�����, IPS模式數(shù)據(jù)庫中TCP/IP層有模式10.10.10.10:80 (如 圖7中所示����,賦予標(biāo)簽2), WF模式數(shù)據(jù)口中應(yīng)用層有模式xxxxx(如 圖7中所示��,賦予標(biāo)簽3)���, IPS模式數(shù)據(jù)庫中應(yīng)用層有模式 news.zzz.com (如圖7中所示�����,賦予標(biāo)簽2)����。那么當(dāng)每層的解析器將 解析后的內(nèi)容送給分析器后��,分析器將進行如下的操作����。
當(dāng)TCP/IP層解析器傳遞信息(例如IP源地址1.1.1.1�、源端口號 25467�、目標(biāo)地址10.10.10.10、目標(biāo)端口號80�����、報文長度等)給事件 分析器之后���,事件分析器中的調(diào)度模塊703將調(diào)用針對IP層的串匹配 算法702,之后將會發(fā)現(xiàn)此報文中包含WF威脅安全服務(wù)所關(guān)心的IP 地址l.l丄l,也包含IPS威脅安全服務(wù)所關(guān)心的IP地址和端口 10.10.10.10:80,事件分析器根據(jù)所賦予的標(biāo)簽3和2區(qū)分出是WF威 脅安全服務(wù)和IPS威脅安全服務(wù)����,從而提供相應(yīng)的兩個威脅安全服務(wù), 并且如果相應(yīng)的兩個威脅安全服務(wù)檢測發(fā)現(xiàn)數(shù)據(jù)分組存在威脅時���,則 驅(qū)動相應(yīng)的事件響應(yīng)器(未示出)做出例如報警�、阻斷等處理�����。同樣�, 當(dāng)應(yīng)用層解析器傳遞信息GET
http:〃news.zzz.com/20071205/12345.shtml給事件解析器后���,同樣地, 調(diào)度模塊703也將調(diào)用應(yīng)用層串匹配算法702來檢測�����,結(jié)果會發(fā)現(xiàn)IPS 威脅安全服務(wù)關(guān)心的以標(biāo)簽2所標(biāo)識的模式���,則提供相應(yīng)的IPS威脅 安全服務(wù)���,并且如果IPS威脅安全服務(wù)檢測發(fā)現(xiàn)數(shù)據(jù)分組存在威脅時, 則驅(qū)動相應(yīng)的事件響應(yīng)器(未示出)做出例如報警��、阻斷等處理��。
應(yīng)當(dāng)注意���,為了使本發(fā)明更容易理解���,上面的描述省略了對于本 領(lǐng)域的技術(shù)人員來說是公知的、并且對于本發(fā)明的實現(xiàn)可能是必需的 更具體的一些技術(shù)細節(jié)�。
提供本發(fā)明的說明書的目的是為了說明和描述,而不是用來窮舉 或?qū)⒈景l(fā)明限制為所公開的形式��。對本領(lǐng)域的普通技術(shù)人員而言,許 多修改和變更都是顯而易見的�����。
因此�,選擇并描述實施方式是為了更好地解釋本發(fā)明的原理及其實際應(yīng)用,并使本領(lǐng)域普通技術(shù)人員明白���,在不脫離本發(fā)明實質(zhì)的前 提下�,所有修改和變更均落入由權(quán)利要求所限定的本發(fā)明的保護范圍 之內(nèi)��。
權(quán)利要求
1. 一種用于集成多個威脅安全服務(wù)的方法�,該方法包括對進入的分組逐層地進行解析�,針對多個威脅安全服務(wù)分析在當(dāng)前層解析的分組,從而確定該分組所需的威脅安全服務(wù)�。
2. 根據(jù)權(quán)利要求1所述的方法,其中所述層是基于多個威脅安全 服務(wù)所構(gòu)建的協(xié)議棧中的各個層��。
3. 根據(jù)權(quán)利要求1或2所述的方法���,其中所述分析包括將在當(dāng)前 層解析的分組與多個威脅安全服務(wù)進行匹配以確定在當(dāng)前層與該分組 對應(yīng)的威脅安全服務(wù)���。
4. 根據(jù)權(quán)利要求3所述的方法�����,其中所述匹配包括將該多個威脅 安全服務(wù)中所有針對當(dāng)前層的模式與該分組匹配��,并對該分組提供匹 配的模式所屬的威脅安全服務(wù)���。
5. 根據(jù)權(quán)利要求4所述的方法,其中根據(jù)該多個威脅安全服務(wù)中 所有針對相同層的模式形成針對該相同層的匹配算法��,用于對在該相 同層解析的分組進行匹配運算����。
6. 根據(jù)權(quán)利要求5所述的方法,其中對模式添加標(biāo)簽�����,以標(biāo)識該 模式所屬的威脅安全服務(wù)����。
7. —種用于集成多個威脅安全服務(wù)的設(shè)備,該設(shè)備包括 解析器����,用于對進入的分組逐層地進行解析���,分析器,用于針對多個威脅安全服務(wù)分析在當(dāng)前層解析的分組�, 從而確定該分組所需的威脅安全服務(wù)。
8. 根據(jù)權(quán)利要求7所述的設(shè)備�����,其中所述層是基于多個威脅安全 服務(wù)所構(gòu)建的協(xié)議棧中的各個層�。
9. 根據(jù)權(quán)利要求7或8所述的設(shè)備,其中所述分析器將在當(dāng)前層 解析的分組與多個威脅安全服務(wù)進行匹配以確定在當(dāng)前層與該分組對 應(yīng)的威脅安全服務(wù)����。
10. 根據(jù)權(quán)利要求9所述的設(shè)備,其中所述分析器將該多個威脅安全服務(wù)中所有針對當(dāng)前層的模式與該分組匹配�����,并對該分組提供匹 配的模式所屬的威脅安全服務(wù)�。
11. 根據(jù)權(quán)利要求IO所述的設(shè)備�����,其中所述分析器根據(jù)該多個威脅安全服務(wù)中所有針對相同層的模式形成針對該相同層的匹配算法��, 用于對在該相同層解析的分組進行匹配運算。
12. 根據(jù)權(quán)利要求11所述的設(shè)備�����,其中所述分析器對模式添加標(biāo) 簽�,以標(biāo)識該模式所屬的威脅安全服務(wù)。
全文摘要
一種用于集成多個威脅安全服務(wù)的方法��,該方法包括對進入的分組逐層地進行解析��,針對多個威脅安全服務(wù)分析在當(dāng)前層解析的分組��,從而確定該分組所需的威脅安全服務(wù)�。通過本方法,集成的多個威脅安全服務(wù)可以過濾應(yīng)用數(shù)據(jù)�,而同時只需對網(wǎng)絡(luò)分組數(shù)據(jù)執(zhí)行一次解析,從而提高了過濾應(yīng)用數(shù)據(jù)的效率并且減小了計算開銷����。
文檔編號H04L29/06GK101459660SQ20071019982
公開日2009年6月17日 申請日期2007年12月13日 優(yōu)先權(quán)日2007年12月13日
發(fā)明者王佰玲 申請人:國際商業(yè)機器公司