[发明专利]多级过滤防火墙系统及多级过滤方法

权利要求书

1.一种多级过滤防火墙系统，包括：

数据包截获装置，用于从网卡上截获每一个输入和输出的网络数据包；

数据包过滤装置，基于网络层访问规则，对所述截获的网络数据包进行合法性判断和过滤；

应用程序进程监控装置，用于截获和监控传输层中所有需要访问网络的应用程序，确认所述应用程序是否具有访问网络的权限；

木马攻击行为检测装置，用于分析和检测应用层中所述数据包中的木马攻击行为，进一步对所述数据包进行过滤。

2.根据权利要求1所述的多级过滤防火墙系统，其中，所述数据包截获装置通过以下步骤截获所述数据包：

i)在NDIS网络驱动层中注册一个小端口驱动接口和一个协议驱动接口；

ii)所述数据包截获装置利用协议驱动与底层的链路层通讯，当所述链路层有数据包向上传输时，由所述协议驱动及时截获所述数据包；

iii)所述数据包截获装置利用小端口驱动与高层的协议层通讯，当所述传输层有数据包向外发送时，由所述小端口驱动及时截获所述数据包。

3.根据权利要求1或2所述的多级过滤防火墙系统，其中，所述数据包过滤装置过滤所述数据包的步骤具体包括：

a)对数据包是否为传输控制协议包进行初步判断；

b)对判断为传输控制协议包的，判断其是否为首包，如果是，则进入步骤c)，如果否，则进一步判断其是否为尾包，对于判断为尾包的，删除其对应的特征信息，对于判断非为尾包的，进入步骤d)；

c)设置过滤规则表，将该数据包与过滤规则表进行匹配，并判断是否匹配安全访问控制规则，如果匹配，则将该数据包的特征信息写入连接表中，接下来由其他模块继续处理该数据包；否则，丢弃该数据包，结束；

d)在连接表中查找该数据包的特征信息，如果找到，接下来由其他模块继续处理该数据包；否则，丢弃该数据包，结束。

4.根据权利要求1-3任一项所述的多级过滤防火墙系统，其中，所述木马攻击行为检测装置的检测过程具体包括：

通过snort的插件和规则匹配，产生相应的告警；

对数据库中一段时间内的历史告警数据进行模式挖掘，提取告警中频繁出现的特征模式；

对告警属性进行正则表达式的匹配，选出满足匹配规则的告警；

对经过告警筛选模块过滤后的告警信息进行实时在线的聚类分析，将具有相同或相似特征的告警整理成告警簇，并提取每个簇抽象特征形成超告警存储到数据库中；

当收到聚类分析产生的超告警XML文件后，将启动攻击序列识别函数，将超告警中的告警生成新的攻击序列或插入已有的攻击序列中。

5.一种防火墙多级过滤方法，其中，所述方法包括：

从网卡上截获每一个输入和输出的网络数据包；

基于网络层访问规则，对所述截获的网络数据包进行合法性判断和过滤；

截获和监控传输层中所有需要访问网络的应用程序，确认所述应用程序是否具有访问网络的权限；

分析和检测应用层中所述数据包中的木马攻击行为，进一步对所述数据包进行过滤。

6.根据权利要求5所述的防火墙多级过滤方法，其中，所述截获每一个输入和输出的网络数据包具体包括：

i)在NDIS网络驱动层中注册一个小端口驱动接口和一个协议驱动接口；

ii)所述数据包截获装置利用协议驱动与底层的链路层通讯，当所述链路层有数据包向上传输时，由所述协议驱动及时截获所述数据包；

iii)所述数据包截获装置利用小端口驱动与高层的协议层通讯，当所述传输层有数据包向外发送时，由所述小端口驱动及时截获所述数据包。

7.根据权利要求5或6所述的防火墙多级过滤方法，其中，所述过滤数据包的步骤具体包括：

a)对数据包是否为传输控制协议包进行初步判断；

b)对判断为传输控制协议包的，判断其是否为首包，如果是，则进入步骤c)，如果否，则进一步判断其是否为尾包，对于判断为尾包的，删除其对应的特征信息，对于判断非为尾包的，进入步骤d)；

c)设置过滤规则表，将该数据包与过滤规则表进行匹配，并判断是否匹配安全访问控制规则，如果匹配，则将该数据包的特征信息写入连接表中，接下来由其他模块继续处理该数据包；否则，丢弃该数据包，结束；

d)在连接表中查找该数据包的特征信息，如果找到，接下来由其他模块继续处理该数据包；否则，丢弃该数据包，结束。

8.根据权利要求5-7任一项所述的防火墙多级过滤方法，其中，所述分析并检测所述数据包中的木马攻击行为具体包括：

通过snort的插件和规则匹配，产生相应的告警；

对数据库中一段时间内的历史告警数据进行模式挖掘，提取告警中频繁出现的特征模式；

对告警属性进行正则表达式的匹配，选出满足匹配规则的告警；

对经过告警筛选模块过滤后的告警信息进行实时在线的聚类分析，将具有相同或相似特征的告警整理成告警簇，并提取每个簇抽象特征形成超告警存储到数据库中；

当收到聚类分析产生的超告警XML文件后，将启动攻击序列识别函数，将超告警中的告警生成新的攻击序列或插入已有的攻击序列中。