NGFW铸造应用层安全的“黄金地基”

    微搏、博客、IM、BBS、社区等Web2.0应用是当前企业社交化最常用的应用平台，在享受社交化应用所带来的高效与便捷的同时，这些应用所带来的负面问题如员工看博文、发帖子的时间过多而导致工作效率下降、员工下载大流量视频文件造成的带宽滥用而影响正常业务、员工通过社交化应用导致内部重要数据泄露等风险无疑成为企业的几块心病。

    这里，有几项调查数据值得我们关注： 

    1、 企业中员工每周上班花在网上处理私人事务的时间高达5.6小时，平均每天超过1 

    小时 (炒股、聊天等)； 

    2、 白领比其它地区的白领每周多花7.6小时的时间来使用IM、玩游戏、P2P； 

    3、 有83%的企业员工由于在办公时间内浏览与工作无关的网站，使企业有更多机会遭受到仿冒诈骗、间谍软件和其它网上攻击的威胁； 

    由此，对于企业而言，当务之急便是需要一种对社交化应用进行精确识别与管控的技术，从根本上解决企业员工工作效率下降、企业带宽滥用、企业机密泄露等。然而随着社交化应用种类越发繁多、更新越发快速以及应用嵌套的特点，由此企业想实现对社交化应用的精确识别与管控存在较大的难度。另外，对于企业而言，不仅仅需要对应用进行识别与管控，同时还需要对这些应用所承载的数据进行监控和审计，一旦涉及到企业机密信息，就需要采用相应手段进行过滤，从而最大程度的保护了企业信息外泄的风险。 

    企业所面临的各种风险无疑对当前的应用流量识别技术发起了新一轮的挑战，在这个社交化应用盛行的时代，急需有一种全新的技术来应对当前复杂多变的社交应用，同时还需要对这些应用所承载的数据内容进行深入而全面的识别，由此最大程度为企业解决当前所面临的各种问题。作为安全防护的“黄金地基”-应用识别技术，如何为企业解决社交化应用、移动化应用所带来的安全问题，如何保障应用防护大厦的稳固发展，我们拭目以待！ 

    “黄金地基”现状以及面临的挑战 

    针对当前移动化应用、社交化应用所呈现的种类繁多、更新甚快以及应用嵌套等特点，应用识别技术也在不断的更新与发展。传统的应用识别通常以五元组（源IP、源端口、目的IP、目的端口和协议类型）标识的流为基础，根据所采用的协议特征不同，当前所采用的流量识别方法大致分为三类： 

    基于端口的应用识别 

    应用识别最初所依赖的是端口识别。例如对于网页，识别80端口作为网页的特征，相应地封堵也是依赖于端口。作为路由器或防火墙的一个附属功能，很长时间内是网络管理者对应用管理的唯一手段。但随着互联网技术的发展，应用出现了爆炸性的增长，越来越多的应用将不再依赖于端口，对于网页而言，QQ也同样是使用80端口，而迅雷则随机占用大量端口。 
 
    深度包检测（DPI：Deep Packet Inspection） 

    此时，不依赖端口的应用识别技术便应运而生，这就是DPI。DPI通过检测包中的特殊字段来判定应用，这样更加准确。以网页应用为例，通过DPI技术识别出数据包中有http和website的字段，由此就可以准确判断此应用为http的网页访问。原本做到这样就足以满足网络管理者对应用管理的需求。但是随着以VOIP和P2P为代表的加密应用的出现，DPI已经无法在这些包中检测到明文字段，从而识别出具体应用。 

    深度流检测（DFI：Deep Flow Inspection） 

    由此引发了DFI技术的出现，它是将应用流量行为作为协议特征。不同应用的流量特征有很多差异，通过对流特征的识别，可以实现对应用的识别。但是DFI只适用于识别某大类应用，无法精确识别某个具体应用，同时对于数据流统计特征的提取则需要花费较长时间（甚至持续到流结束），故亦不适用于在线流量识别。 
 

    应用识别技术经历了前后几代的演进，每一代识别技术都随着层出不穷的应用，呈现出“英雄无用武之地”的窘态，在此现状下，企业迫切需要一种全新的流量识别技术来挑战当前爆炸性增长的应用所带来的安全防护问题，为企业去除解决社交化应用、移动化应用所带来的几块“心病”。面对林林总总的应用识别技术，究竟具备哪些精华方可铸造安全防护的黄金地基，我们一直在期待。随着新一代网络、新一代数据时代的到来，我们找到了答案：全新的应用识别技术将融合“精准的动态识别技术、全方位的精确识别技术、细粒度的管控技术”来应对愈发愈烈的安全挑战。 

    应运而生的新“黄金地基” 

     精准的动态识别技术 

    随着社交化、移动化、云计算虚拟化等新兴应用技术的广泛发展，在各种新应用技术盛行、在新应用业务的发展促使下，企业更需要一种对应用流量的高精度动态识别技术，使得部署基于动态识别技术的安全策略可以实现对企业应用网络的细粒度管控。 

    目前高精度动态识别技术需要融合多种识别技术，比如统计识别，单包特征识别、统计特征识别、多包特征识别、算法插件识别、深度解析识别等动态识别技术，通过每种识别技术所基于的不同的应用领域，从而实现对应用网络的细粒度识别与管控。比如单包特征识别技术多用于识别采用明文方式进行通信的应用；多包特征识别技术不仅能用以识别采用明文方式进行通信的应用，也能用以识别简单的加密应用流量；算法插件识别技术和统计识别技术通常用于识别采用复杂协议加密算法的通信应用以及强加密业务应用的精确识别。通过各种识别技术的有效融合，在最大程度上解决了当前移动化应用、社交化应用所呈现的种类繁多、更新甚快以及应用嵌套等特点所带来的安全问题。 

    全方位的精确识别技术 

    互联网已经无孔不入的影响着我们的生活和工作，全世界的互联网用户24亿，占总人口的1/3，他们每秒钟，发送280万封E-mail、在Google进行1.1万次搜索、从App Store下载216次iPhone软件。我们的生活已经与各种社交化、移动化应用息息相关，由此我们也需要无时无刻的面临这些应用所带来的各种安全问题。如何保障应用防护大厦的稳固发展，如何为企业解决社交化应用、移动化应用所带来的安全问题，那么就需要对当前应用进行全方位识别。 

    这种全方位识别，可以包括对普通互联网边界行为的应用进行识别，如P2P、IM、视频等；对当前流行的移动互联应用的有效识别，如微 信、微 博、手机QQ等；同时对于BT加密、迅雷加密、网络视频加密或Skype加密等强加密业务的识别也必须不甘示弱，通过加密流量识别模型以及独特的解密检测技术，对加密业务实现高精度的动态识别与管控；此外对于各种丰富的企业内网应用如LotusNotes、RTX、Oracle EBS、金蝶EAS也可应对自如，满足企业内网数据中心的要求。
 

     细粒度的管控技术 

    随着对应用流量 “全方位、高精度、速匹配、低误识”的识别，为了更好的解决企业所面临的各种问题，则需要融合应用管控技术，从而提供了双管齐下的解决方案。结合应用流量的高精度识别技术，实现对应用流量的可视化管控，实现流量管控精度为1kbps。同时将各种应用管控数据通过丰富的报表统计进行展示，具体包括网卡流量、各应用协议/协议组的日图表、周图表、月图表以及连接统计、节点统计、协议统计、PPS统计等。通过高精度的识别、细粒度的管控、丰富的可视化从而实现对应用流量的统一管控。 

    天融信安全防护的“黄金地基” 

    天融信第六代猎豹应用识别引擎TopSNIPER 

    天融信第六代猎豹应用识别引擎TopSNIPER基于天融信NGTOS安全操作系统平台，TopSNIPER应用识别引擎以安全引擎的模式运行在NGTOS中，通过协议分析、模式识别、扩展协议特征识别等综合技术实现“全方位、高精度、速匹配、低误识”的流量识别。TopSNIPER应用识别引擎采用了构件化、模块化、多实例化和易配置化的设计思想，体现了“高聚合、低耦合”的原则，具有高效、可靠、易扩展等特点。同时该应用识别引擎支持多实例化，每个引擎实例与不同的CPU核心进行绑定，同时，输入流量可通过硬件平台（例如支持Flow Director的NIC）的分流机制（例如RSS）被直接分发到不同的CPU核心，各个引擎实例实现了独立调度和并行执行，可通过增加引擎实例的数目实现整体匹配性能的线性增长，具备强大的性能扩展能力。 

    TopSNIPER应用识别引擎对于五大核心模块采用了可热插拔的模块化架构，通过统一的引擎配置接口和命令行接口进行核心模块的配置。五大核心模块中除了单包特征匹配核心模块外，其余模块包含统计特征匹配、多包特征匹配、算法插件匹配、深度解析匹配等核心模块均可以根据配置进行动态加载/卸载，从而打开或关闭相应模块的识别功能，满足各种识别功能模块组合和定制的需求。通过可热插拔的模块化设计，确保了用户因需制宜的业务需求，同时识别业务的高吞吐、高精度、速匹配。

 

    高识别率与实时升级 

    基于天融信第六代猎豹应用识别引擎TopSNIPER的先进性：基于专利技术的Dynamic Sampling统计识别模型以及强大的特征规则描述，并综合运用单包特征识别、统计特征识别、多包特征识别、算法插件识别、深度解析识别、强关联识别等多种识别方式进行细粒度、深层次应用和协议识别，从而使得该识别拘束具有极高的应用协议识别率与精确度，确保主流应用流量识别率高于99%，加密流量识别率大于99.5%，远远大于业界50%-60%的识别率。 

    为了保证高精准的识别率，TopSNIPER应用识别引擎支持规则库的在线升级和手动升级两种方式，同时确保每天1次的升级频率，远高于业界每月一次的升级频率。另外，支持规则库的无缝切换，在保障业务连续性的条件下实现规则库的实时升级。规则库的无缝切换技术主要是通过支持复杂应用和协议的识别算法插件动态库的在线添加、注册和即时生效技术，而无需改动、重新编译或重启动引擎，具有高度灵活的应用支持升级能力，从而在更新引擎功能的同时保证业务的连续性。 

    自动互联网应用与内容分析平台 

    天融信第六代猎豹应用识别引擎TopSNIPER提供了一个专业的自动互联网应用与内容分析平台，用以测试和评估规则库的可用性和有效性。该平台目前已具备固网不同系统PC应用及WIFI网络移动终端应用报文获取能力，具备网内及网间报文获取能力。 

    自动互联网应用与内容分析平台包括一个庞大的经过人工分类并正确标记的已捕获应用报文库和一个基于应用识别引擎的报文回放验证工具，支持命令行方式的引擎参数配置、管理和调试，支持规则库的加载和更新、单个报文回放、批量报文回放，支持生成HTML格式、Excel格式以及文本格式的识别率与误报率报表，提供全部报文和单个报文的汇总的流、字节、包三个层面的识别率与误报率统计数据以及已识别出的应用协议类型列表，同时提供单个报文的每条流的五元组、识别状态、识别结果、识别方法、识别包的位置等详细统计数据，从而可以作为应用协议分析和规则库维护人员评估规则库质量的基准。 
 

    
    随着互联网的快速发展，互联网设备特别是智能终端数量剧增，互联网有明显的移动化趋势，IT消费化引入了新的工作方式，造就了当下互联网服务成为万物皆可为应用程序的时代。在这个应用程序充斥的时代，如何感知，如何识别，如何铸造应用层安全的黄金地基，我们在期待！