[发明专利]基于二维PATRIE算法的动态包检测技术

说明书

技术领域

本发明属于防火墙产品应用的核心网络安全防范技术。

背景技术

网络技术目前不仅广泛应用于通讯行业、企事业单位、交通运输和商业领 域，而且已步入家庭。因此，网络自身安全、公用网络的内部用户的安全连接， 保证防火墙系统具备更为完善的身分认证、信息过滤、访问控制、扫描监测、 地址转换、日志审计等功能，保证客户信息的安全，已成为网络技术应用中急 待解决的问题。

发明内容

本发明的目的，是提供一种基于二维PATRIE算法的动态包检测技术。

应用了这种先进的动态包检测技术后，防火墙系统将具备更加完善的身份 认证、信息过滤、访问控制、扫描监测、地址转换、日志审计等功能，具有相 当的安全强度。同时，具有主动检测、实时防御、模块分立以及高性能等特点， 可以达到一定程度的自动化和智能化。

采用的技术方案是：

基于二维PATRIE算法的动态包检测技术，这是一种防火墙产品中应用的 核心网络安全防范技术，主要内容包括：在主动式安全防范理念的基础上，集 成包过滤、地址转换、安全扫描、入侵检测等多种防御技术；采用二维的PATRIE 匹配规则算法，支持动态策略建立与管理；通过散列算法运算后直接进行状态 检测，以保证高效率执行。

应用了这种先进的动态包检测技术后，防火墙系统将具备更加完善的身份 认证、信息过滤、访问控制、扫描监测、地址转换、日志审计等功能，具有相 当的安全强度。同时，具有主动检测、实时防御、模块分立以及高性能等特点， 可以达到一定程度的自动化和智能化。

我单位自主研发的二维PATRIE算法的优势在于：深度检测的高效率，可 以使系统达到高吞吐量、低包延迟和低丢包率等性能要求。能够在各种网络条 件下满足多种复杂的网络应用需求。

高安全性能防火墙采用先进的状态检测技术和规则匹配算法，其技术特征 包括以下要件：

1、动态包过滤技术及状态检测技术

状态检测就是从tcp连接的建立到终止都跟踪检测的技术。普通的包过滤， 是拿一个一个单独的数据包来匹配规则的。但是同一个tcp连接，数据包是前后 关联的，数据包的前后序列号也是相关的。

如果割裂这些关系，单独的过滤数据包，很容易被精心构造的攻击数据包 欺骗！如nmap的攻击扫描，就有利用syn包，fin包，reset包来探测防火墙后 面的网络。

高效保障防火墙是一个完全的状态检测防火墙，他在发起连接就判断，如 果符合规则，就在内存登记了这个连接的状态信息，后续的属于同一个连接的 数据包，就不需要再检测了，直接通过。而一些精心构造的攻击数据包由于没 有在内存登记相应的状态信息，都被丢弃了。这样这些攻击数据包，就不能绕 过防火墙了。

状态检测技术密切相关的就是动态规则技术。在状态检测里，采用动态规 则技术，原先高端口的问题就可以解决了。实现原理是：一般的，防火墙可以 过滤内部网络的所有端口(1.65535)，外部攻击者难于发现入侵的切入点，可是为 了不影响正常的服务，防火墙一旦检测到服务必须开放高端口时，如(卸协议， irc等)，防火墙在内存就可以动态地添加一条规则打开相关的高端口，并通过 散列算法直接进行状态检测，以保证高效率。等服务完成后，这条规则就又被 防火墙删除。这样，既保障了安全，又不影响正常服务，速度也快。

2、二维的PATRIE算法

在上述的动态检测技术中，一个十分关键的环节就是：由于算法的复杂化， 会导致系统规则大幅度增加，从而造成防火墙的执行效率下降，影响数据通讯。 为此，高效保障防火墙采用一种全新的规则匹配算法。

PATRIE算法是NET/3中分类算法PATRIE由一维向二维的动态扩展，除 了在执行效率和准确性方面优于原来的一维PATRIE算法外，高效防火墙还采 用了基于动态规划的动态过滤(Dynamic Filter)技术，这是一种全新的技术。一 般防火墙的包过滤的过滤规则是在启动时配置好的，是静态存在的。而动态过 滤规则可以根据应用的需要，在建立应用服务的时候动态地增加一组规则，在 服务结束的时候，自动地把规则删除，这就要求二维PATRIE算法的动态二维 特征支持这种服务，以保证删除的准确性和有效性。

3、S/KEY认证