应用层防火墙专利技术综述

潘秋羽

【摘要】下一代防火墙技术是在网络应用的不断增多，识别难度不断增大的情况下提出来的，这就使得下一代防火墙的技术核心在于应用层防火墙，即实现对应用的识别。本文通过分析应用层防火墙技术历年申请趋势、发展脉络、优缺点等，从基于端口的应用识别技术、深度数据包检测技术（DPI）、深度数据流检测技术（DFI）和机器学习技术等多个角度对涉及应用层防火墙的专利技术进行了综述。

【关键词】应用识别 防火墙 端口 DPI DFI 机器学习

一、引言

随着互联网技术的发展，网络应用越来越丰富，用户对网络安全关注的焦点已经开始关注如何精确的识别出每个应用、禁用有安全问题的应用、保证合法有效的应用正常使用、防止网络应用的端口盗用等问题。因此，应用层防火墙应运而生。

二、全球范围的专利申请状况

通过检索获得129件国内外专利申请，通过分析可知，在2010年之前，应用层防火墙技术专利的申请量较少，主要是因为下一代防火墙的定义由著名研究机构Gartner在2009年才提出来。在2010年，虽有少量这方面的申请，但是数量还是较少，也即应用层防火墙技术还处在初级阶段。直到2011年，申请数量才明显增加，并且此后逐年增加，2014年和2015年的申请量在数量上有所降低，但由于2014年和2015年的申请并未公开完全，因此不能统计完全，相信随着下一代防火墙技术的发展，2014年和2015年涉及应用层防火墙技术的专利申请量相对于2013年仍会继续增长。

三、主要技术分支和申请量

纵观检索获得的129篇专利申请，可以将其大致可分为4个技术分支：基于端口的应用识别、基于DPI的应用识别和基于DFI的应用识别、基于机器学习的应用识别。

同时，在2010-2015年期间，各个分支的发展程度也不一样，为了获取将来可能成为应用层防火墙技术的研究重点的分支，本文对各个分支的年度申请数量也进行了分析，如图1所示。

从图1可知：（1）基于端口的应用识别发展呈现增长趋势，但每一年的申请量都有限，也即虽然该技术的发展整体呈增长趋势，但其已经不再适用于网络应用越来越多的现代网络；（2）基于DPI的应用识别的发展整体呈上升趋势，可见，DPI技术不仅对数据包得TP层进行检查，还能对数据包内容进行检查，每个应用协议都有自己的数据特征，充分理解各种应用协议的变化规律和流程，就可以准确快速地识别出应用协议，从而达到精确识别和控制应用的效果，满足了应用层防护墙的需求；（3）基于DFI的应用识别的发展整体不存在显著的规律性，主要由于数据流特征不明显，应用协议多变的应用很难通过基于DFI的应用识别进行识别，因此很难满足应用层防火墙的需求；（4）基于机器学习的应用识别的发展整体也呈现增长趋势，并且申请量几乎已经占到了所有专利申请量的一半，可以看出主动防御学习将成为未来应用层防火墙的发展趋势。

四、结束语

应用层防火墙还在不断研究和发展之中，网络应用也越来越多，随着应用协议的变化，现有的识别方法可能不再适用，必须继续加入扩展，不断更新识别方法才能保持识别库不被淘汰，因此，机器学习和自动防御将成为未来应用层防火墙的必然趋势。