[发明专利]远动设备网关防火墙一体机系统

权利要求书

1.一种远动设备网关防火墙一体机系统，其特征在于，包括网关防火墙一体机装置，所述网关防火墙一体机装置设置于内网与外网之间；

所述网关防火墙一体机装置包括防火墙引擎单元、网关异常检测引擎单元和网关防火墙一体化数据库单元，所述防火墙引擎单元和网关异常检测引擎单元分别与网关防火墙一体化数据库单元连接；

所述防火墙引擎单元和网关异常检测引擎单元分别执行深层关联方法，并将关联计算结果保存在网关防火墙一体化数据库单元中；

所述深层关联方法包括如下步骤：

步骤S1，防火墙引擎单元按照防火墙引擎单元中各模块所属的协议层对应的安全规则，针对各协议层相应的数据包进行安全过滤，并将过滤结果和相关参数写入网关防火墙一体化数据库；

步骤S2，防火墙引擎单元综合分析过滤结果，得到综合分析结果，用于检测可能的入侵；

步骤S3，网关异常检测引擎单元，在防火墙引擎单元得到的综合分析结果的基础上，进一步挖掘和利用远动设备的关联安全信息，仅允许符合376.1协议的远动设备信息接入，用于提高远动设备网关受到攻击的异常检出率；

所述防火墙引擎单元包括：网络层协议数据包过滤模块、虚拟局域网数据包过滤模块、安全套接层数据包过滤模块、虚拟私有网协议转换模块和入侵检测过滤模块；其中：

所述网络层协议数据包过滤模块，用于分析过滤按照网络层协议传输的数据包，并将过滤结果a存入网关防火墙一体化数据库；

所述虚拟局域网数据包过滤模块，用于过滤按照虚拟局域网协议传输的数据包，并将过滤结果b存入网关防火墙一体化数据库；

所述安全套接层数据包过滤模块，用于过滤按照安全套接协议传输的数据包，并将过滤结果c存入网关防火墙一体化数据库；

所述虚拟私有网协议转换模块，用于过滤按照虚拟私有网协议传输的数据包，并将过滤结果d存入网关防火墙一体化数据库；

所述入侵检测过滤模块，用于综合分析过滤结果a、过滤结果b、过滤结果c和过滤结果d，得到综合分析结果，检测可能的入侵；

所述网关异常检测引擎单元包括：网关远动设备安全静态特征检测模块、网关远动设备自适应动态特征检测模块和网关376.1协议漏洞扫描模块；其中：

所述网关远动设备安全静态特征检测模块，用于基于已知的远动设备协议的安全规则，针对网关远动设备应用层的消息进行安全特征核对；

所述网关远动设备自适应动态特征检测模块，用于基于从日志中动态学习获取的安全新规则，针对网关远动设备应用层的消息进行安全特征核对；

所述网关376.1协议漏洞扫描模块，用于按照网关376.1协议标准，扫描现有日志和现有远动设备，寻找不符合网关376.1协议标准的行为漏洞；

所述网关防火墙一体化数据库单元包括：防火墙数据包过滤关键日志记录模块、防火墙静态特征库模块、防火墙动态特征库模块、网关376.1协议漏洞扫描关键日志记录模块、网关安全检测关键日志记录模块、网关远动设备安全静态特征库模块和网关远动设备完全自适应动态特征库模块；其中：

所述防火墙数据包过滤关键日志记录模块，用于存储已知的防火墙过滤安全规则；

所述防火墙动态特征库模块，用于存储从日志中动态学习获取的安全新规则；

所述网关376.1协议漏洞扫描关键日志记录模块，用于存储网关基于376.1协议标准，对现有日志和现有远动设备进行漏洞扫描的重要结果和相关参数；

所述网关远动设备安全检测关键日志记录模块，用于存储对网关远动设备应用层的消息进行安全检查分析的重要结果和相关参数；

所述网关远动设备安全静态特征库模块，用于存储已知的远动设备协议的安全规则；

所述网关远动设备完全自适应动态特征库模块，用于从日志中动态学习获取安全新规则。

2.根据权利要求1所述的远动设备网关防火墙一体机系统，其特征在于，步骤S1中，所述相关参数包括：防火墙各协议层对应的数据包包头中可疑的字段名称和字段值。