本發(fā)明涉及光纖通信系統(tǒng)光網(wǎng)絡安全領域，具體為一種用于光子防火墻的模式匹配域的劃分和識別方法，以實現(xiàn)光子防火墻的入侵檢測和安全防護。

背景技術(shù)：

光網(wǎng)絡作為整個通信系統(tǒng)中的物理鏈路層，因其傳輸介質(zhì)封閉絕緣，信號速率和可靠性高等特點，傳統(tǒng)意義上被認為具有較高的安全性保障，因此光網(wǎng)絡中的業(yè)務傳輸?shù)陌踩雷o措施通常只在電層實現(xiàn)。光網(wǎng)絡可以承載多種類型的業(yè)務，包括語音、視頻、數(shù)據(jù)等。為提高光網(wǎng)絡的承載效率和進行一些運維操作，通常將最原始的信息進行封裝，加入管控信息組成一個消息體，然后再調(diào)制成光信號，利用光網(wǎng)絡進行信息傳遞，例如sdh、otn等。傳統(tǒng)電層防火墻的入侵檢測和安全防護通常是識別消息體中特定的字段，例如來源ip地址、來源端口號、目的ip地址或端口號、服務類型等，然后根據(jù)網(wǎng)絡管理者配置的特定規(guī)則進行入侵檢測的識別，對有安全威脅的消息體按照相對應的規(guī)則進行操作。電層防火墻的入侵檢測需要進行電-光和光-電的轉(zhuǎn)化，光電轉(zhuǎn)化具有成本高、處理速度慢、處理帶寬小等缺陷，僅僅在電層對傳輸數(shù)據(jù)進行入侵檢測和安全防護，不能適應光網(wǎng)絡高速、大容量、低時延的傳輸特征。隨著光通信技術(shù)的迅猛發(fā)展，預計近5-10年，光網(wǎng)絡單信道的傳輸容量將達到1tbps，面對如此高速的信息傳遞，僅僅依賴電層的入侵檢測和安全防護將遠遠不能滿足高速、大容量光網(wǎng)絡的安全需要。并且光網(wǎng)絡作為承載網(wǎng)，需要對上層業(yè)務信息進行封裝、調(diào)制/解調(diào)、復用/解復用、路由等一系列操作，安全威脅可能隱藏在任意一個環(huán)節(jié)，迫切需要在光層能夠直接進行基于業(yè)務內(nèi)容、傳輸模式、編碼方式、調(diào)制格式等不同特征的入侵檢測和安全防護。同時，由于光網(wǎng)絡長期采用透明開放的管控模式，并不關心數(shù)據(jù)內(nèi)容、數(shù)據(jù)特征、數(shù)據(jù)用途，任憑有害數(shù)據(jù)肆意揮霍著頻譜資源，迫切需要在光層建設一堵安全可靠的防火墻，阻隔所有有害數(shù)據(jù)。當前，光網(wǎng)絡安全問題已成為網(wǎng)絡安全領域不可忽視的區(qū)域。

光子防火墻作為一種重要的光層入侵檢測和安全防護技術(shù)儲備，可廣泛應用于廣域骨干網(wǎng)、城域網(wǎng)等光纖接入網(wǎng)，對各種入侵信息進行鑒別過濾，保障光信息傳輸?shù)陌踩?。但是目前的光子防火墻的研究僅僅針對光突發(fā)交換傳輸模式的光包，對光包進行模式匹配和安全操作。然而目前骨干網(wǎng)、城域網(wǎng)、本地網(wǎng)、校園網(wǎng)等中已部署的光網(wǎng)絡主要采用基于電路交換的傳輸模式(包括sdh、otn等)，光網(wǎng)絡中傳輸?shù)氖沁B續(xù)光信號。為實現(xiàn)面向連續(xù)光信號的入侵檢測，基于模式匹配的光子防火墻首先需要對連續(xù)的光信號進行模式匹配域的劃分，進行連續(xù)光信號的離散化，然后對已經(jīng)離散化的光片段進行模式匹配，基于模式匹配的結(jié)果，根據(jù)已部署的安全策略進行針對此光片段的安全操作。連續(xù)光信號的模式匹配域的劃分需要綜合考慮光子防火墻的安全策略和業(yè)務的類型，同時，光子防火墻需要快速地識別模式匹配域，以提高對連續(xù)光信號進行模式匹配的效率。目前還沒有針對連續(xù)光信號的模式匹配域的劃分和識別方法，此為實現(xiàn)光子防火墻面向連續(xù)光信號的入侵檢測面臨的首位難題之一。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的是設計一種用于光子防火墻的模式匹配域的劃分和識別方法，在發(fā)送端對光網(wǎng)絡承載的光信號業(yè)務分類，調(diào)制時在相鄰的業(yè)務間插入業(yè)務特征光，在模式匹配域間插入域特征光。接收端的光子防火墻的1×2光開關對連續(xù)光信號進行采樣，輸出常規(guī)信號和采樣信號，采樣信號在分光器之后分為兩部分，分別為采樣檢測信號和采樣還原信號。常規(guī)信號和采樣還原信號經(jīng)不同的光纖延遲線接入2×1光開關。采樣檢測信號接入業(yè)務特征光識別模塊和域特征光識別模塊，根據(jù)采樣檢測信號中的業(yè)務特征光識別不同的業(yè)務信號送入安全操作模塊，安全操作模塊根據(jù)不同業(yè)務特征光激活對應的模式匹配模塊，根據(jù)域特征光識別模式匹配域位置，將其送入模式匹配模塊，與本地光信號進行模式匹配，匹配結(jié)果送至安全操作模塊，安全操作模塊控制2×1光開關按匹配結(jié)果將采樣還原信號丟棄或與常規(guī)信號拼接后輸出。

本發(fā)明設計的一種用于光子防火墻的模式匹配域的劃分和識別方法，各類業(yè)務加載于光發(fā)送端的連續(xù)光信號，光信號經(jīng)光纖鏈路傳輸至接收端，接收端的輸入端口設置光子防火墻。

在發(fā)送端對光信號進行預處理，對光網(wǎng)絡承載的光信號業(yè)務分類，并劃分每類業(yè)務的模式匹配域。激光器調(diào)制時在相鄰的業(yè)務類間插入業(yè)務特征光，在同一業(yè)務的模式匹配域前后插入域特征光，以快速識別模式匹配域，提高模式匹配的效率和靈活性。

接收端連續(xù)光信號先進入光子防火墻被檢測。所述光子防火墻包括1×2光開關，分光器，業(yè)務光識別模塊、域特征光識別模塊，模式匹配模塊和安全操作模塊。連續(xù)光信號進入光子防火墻后，1×2光開關先對其進行采樣，輸出常規(guī)信號和采樣信號，采樣信號送入分光器分為兩部分，分別為采樣檢測信號和采樣還原信號。常規(guī)信號和采樣還原信號經(jīng)不同的光纖延遲線后接入2×1光開關。采樣檢測信號依次進入業(yè)務特征光識別模塊、域特征光識別模塊和模式匹配模塊，業(yè)務特征光識別模塊檢測到業(yè)務特征光即將業(yè)務特征光的起始時間及類型發(fā)送到安全操作模塊、安全操作模塊將對應該業(yè)務類型的模式匹配模塊激活；當域特征光識別模塊檢測到域特征光時，將域特征光標注的該業(yè)務的模式匹配域送入安全操作模塊已選擇的模式匹配模塊。模式匹配模塊實施相對應的模式匹配，即對不同模式匹配域字段的屬性進行模式匹配的重構(gòu)。匹配結(jié)果送入安全操作模塊，安全操作模塊根據(jù)匹配結(jié)果進行安全操作，將采樣還原信號丟棄或與常規(guī)信號拼接后輸出。

本發(fā)明一種用于光子防火墻的模式匹配域的劃分和識別方法的具體步驟如下：

發(fā)送端部分、對光信號的預處理

ⅰ、業(yè)務分類

在發(fā)送端對所有光網(wǎng)絡承載的業(yè)務進行分類。對于某一傳輸速率和編碼格式的業(yè)務光信號，按照業(yè)務的特性進行分類，主要包括語音業(yè)務、視頻業(yè)務和ip業(yè)務三大類；語音業(yè)務和視頻業(yè)務大類又劃分為地址類和服務類；ip業(yè)務大類劃分為ip地址類、端口類和服務類三類。即共計7種業(yè)務類型。

ⅱ、模式匹配域的劃分

對每類業(yè)務進行模式匹配域的劃分；即從同一類的業(yè)務數(shù)據(jù)中抽取一段或多段與模式識別的本地光信號長度相等的業(yè)務數(shù)據(jù)作為模式匹配域。不同的業(yè)務類型對應的數(shù)據(jù)長度不同，劃分的模式匹配域個數(shù)不同，如地址類或端口類數(shù)據(jù)較短，其模式匹配域可能只有一段。

ⅲ、插入業(yè)務特征光和域特征光

激光器對各業(yè)務光信號進行調(diào)制時，在相鄰的業(yè)務類之間插入業(yè)務特征光，每一種業(yè)務類型對應一種業(yè)務特征光，7種業(yè)務類型對應7種不同的業(yè)務特征光。

在同一業(yè)務的相鄰模式匹配域之間插入域特征光。域特征光標注該模式匹配域的起始位和終止位，區(qū)分相鄰的模式匹配域。

接收端部分、光子防火墻檢測連續(xù)光信號

ⅳ、采樣

在發(fā)送端插入了業(yè)務特征光和域特征光的連續(xù)光信號經(jīng)光纖鏈路傳輸?shù)浇邮斩?，先進入光子防火墻的1×2光開關,1×2光開關對連續(xù)光信號采樣，輸出常規(guī)信號和采樣信號，常規(guī)信號經(jīng)主光纖延遲線接入2×1光開關，采樣信號接入分光器；

ⅴ、分光

分光器將所接收的連續(xù)光信號采樣信號分為兩路，一路為采樣還原信號，經(jīng)光纖延遲線接入2×1光開關，另一路為采樣檢測信號，送入業(yè)務特征光識別模塊；分光器的分光比優(yōu)先滿足模式匹配所需要的采樣檢測信號的光功率；

ⅵ、業(yè)務特征光檢測

業(yè)務特征光識別模塊在輸入端口中檢測到業(yè)務特征光時，記錄業(yè)務特征光的到達時間，將該時間和其識別的該業(yè)務類型一并發(fā)送給安全操作模塊，不同類型的業(yè)務字段有不同業(yè)務特征，對應不同的模式匹配模塊；安全操作模塊根據(jù)當前檢測到的業(yè)務類型激活對應的模式匹配模塊準備工作，同時控制連接7個模式匹配模塊的光開關連通相關光路；業(yè)務特征光識別模塊將后續(xù)的連續(xù)光采樣檢測信號送入域特征光識別模塊；同時業(yè)務特征光識別模塊監(jiān)聽下一個業(yè)務特征光的到達。

ⅶ、域特征光檢測

當域特征光識別模塊在輸入端口中檢測到域特征光時，將該域特征光后的模式匹配域經(jīng)光開關送入相應的模式匹配模塊，同時監(jiān)聽下一個域特征光的到達；直至完成本業(yè)務類的各模式匹配域均輸入到與之匹配的模式匹配模塊；

ⅷ、模式匹配

兩個相鄰的域特征光之間的模式匹配域的業(yè)務信號即用于模式匹配的業(yè)務字段；模式匹配模塊將采樣檢測信號的模式匹配域與本地的光信號進行模式匹配，并將匹配結(jié)果發(fā)送到安全操作模塊。

本地光信號是所述模式匹配模塊內(nèi)存儲的、對應某一類型業(yè)務的模式匹配域信號特征的字符串，不同類型的業(yè)務有不同的模式匹配模塊，配有不同的本地光信號。

接收端針對某種傳輸速率和編碼格式的業(yè)務光信號的7種業(yè)務類型配置對應的一套模式匹配模塊。當業(yè)務光信號的傳輸速率和編碼格式改變時，接收端更換另一套對應的模式匹配模塊。

ⅸ安全操作

安全操作模塊根據(jù)業(yè)務特征光識別模塊輸出的該業(yè)務的起始時間，劃分出該業(yè)務的時域，當連續(xù)光的采樣檢測信號中的模式匹配域與本地光信號匹配時，模式匹配模塊向安全操作模塊發(fā)送“匹配”信號，安全操作模塊判斷將該業(yè)務信號安全，控制2×1光開關將步驟ⅴ分光器分出的經(jīng)光纖延遲線緩存的采樣常規(guī)信號與光子防火墻的1×2光開關輸出的經(jīng)主光纖延遲線緩存的常規(guī)信號拼接后輸出，反之，若模式匹配模塊向安全操作模塊發(fā)送“不匹配”信號，安全操作模塊判斷將該業(yè)務信號不安全，控制2×1光開關將該業(yè)務的采樣還原信號丟棄，只輸出光子防火墻的1×2光開關輸出的經(jīng)主光纖延遲線緩存的常規(guī)信號。

與現(xiàn)有技術(shù)相比，本發(fā)明一種用于光子防火墻的模式匹配域的劃分和識別方法的有益效果為：1、利用模式匹配電路對光信號中的特性信息進行識別，然后根據(jù)模式匹配電路的輸出結(jié)果進行入侵檢測和安全防護，并不需要進行電-光和光-電的轉(zhuǎn)化，檢測迅速準確；2、發(fā)送端在相鄰的業(yè)務之間插入業(yè)務特征光，接收端根據(jù)業(yè)務特征光可快速方便地區(qū)分不同的業(yè)務；發(fā)送端在同一業(yè)務的相鄰模式匹配域之間插入域特征光，接收端可快速劃分和識別連續(xù)光信號的模式匹配作用域，用于與本地光信號的指定字段進行模式匹配，迅速判斷采樣信號中是否隱藏有潛在的網(wǎng)絡威脅和攻擊；實施簡單有效；3、光網(wǎng)絡管理者可以根據(jù)網(wǎng)絡安全需求，動態(tài)地增加模式匹配域和模式匹配模塊，不需要對光子防火墻進行復雜的調(diào)整。

附圖說明

圖1為本用于光子防火墻的模式匹配域的劃分和識別方法實施例的光子防火墻在光網(wǎng)絡中的部署示意圖；

圖2為圖1中光子防火墻的整體架構(gòu)示意圖；

圖3為本用于光子防火墻的模式匹配域的劃分和識別方法實施例的業(yè)務特征光和域特征光在連續(xù)光信號中的分布情況示意圖；

圖4為本用于光子防火墻的模式匹配域的劃分和識別方法實施例的流程圖。

具體實施方式

本用于光子防火墻的模式匹配域的劃分和識別方法實施例，光網(wǎng)絡各光節(jié)點的前端配置光子防火墻，如圖1所示，對所有輸入端的光信號進行入侵檢測和安全防護。各類業(yè)務加載于光發(fā)送端的連續(xù)光信號，光信號經(jīng)光纖鏈路傳輸至接收端，接收端的輸入端口設置光子防火墻。

圖2所示為本實施例的接收端光子防火墻的整體架構(gòu)，圖中實線表示光信號傳輸，虛線表示電信號傳輸。本例光子防火墻包括1×2光開關，分光器，業(yè)務光識別模塊、域特征光識別模塊，7個模式匹配模塊和安全操作模塊。連續(xù)光信號sin進入光子防火墻后，1×2光開關先對其進行采樣，輸出常規(guī)信號s1和采樣信號s2，采樣信號s2送入分光器分為兩部分，分別為采樣檢測信號s22和采樣還原信號s21。常規(guī)信號s1和采樣還原信號s21分別經(jīng)主光纖延遲線和光纖延遲線后接入2×1光開關。采樣檢測信號s22依次進入業(yè)務特征光識別模塊、域特征光識別模塊和模式匹配模塊，業(yè)務特征光識別模塊檢測到業(yè)務特征光即將業(yè)務特征光的起始時間及類型發(fā)送到安全操作模塊、安全操作模塊將對應該業(yè)務類型的模式匹配模塊激活；當域特征光識別模塊檢測到域特征光時，將域特征光標注的該業(yè)務的模式匹配域送入安全操作模塊已選擇的模式匹配模塊。模式匹配模塊實施相對應的模式匹配，即對不同模式匹配域字段的屬性進行模式匹配的重構(gòu)。匹配結(jié)果送入安全操作模塊，安全操作模塊根據(jù)匹配結(jié)果進行安全操作，將采樣還原信號丟棄或與常規(guī)信號拼接后輸出。

本例用于光子防火墻的模式匹配域的劃分和識別方法的流程圖如圖4所示，圖中實線表示光信號傳輸，虛線表示電信號傳輸。具體步驟如下：

發(fā)送端部分、對光信號的預處理，如圖4左側(cè)所示：

ⅰ、業(yè)務分類

在發(fā)送端對所有光網(wǎng)絡承載的業(yè)務進行分類。對于某一傳輸速率和編碼格式的業(yè)務光信號，按照業(yè)務的特性進行分類，主要包括語音業(yè)務、視頻業(yè)務和ip業(yè)務三大類；語音業(yè)務和視頻業(yè)務大類又劃分為地址類和服務類；ip業(yè)務大類劃分為ip地址類、端口類和服務類三類。即共計7種業(yè)務類型。

ⅱ、模式匹配域的劃分

對每類業(yè)務進行模式匹配域的劃分；即從同一類的業(yè)務數(shù)據(jù)中抽取一段或多段與模式識別的本地光信號長度相等的業(yè)務數(shù)據(jù)作為模式匹配域。不同的業(yè)務類型對應的數(shù)據(jù)長度不同，劃分的模式匹配域個數(shù)不同，如地址類或端口類數(shù)據(jù)較短，其模式匹配域可能只有一段。

ⅲ、插入業(yè)務特征光和域特征光

激光器對各業(yè)務光信號進行調(diào)制時，在相鄰的業(yè)務類之間插入業(yè)務特征光，每一種業(yè)務類型對應一種業(yè)務特征光，7種業(yè)務類型對應不同的7種業(yè)務特征光。圖3所示為連續(xù)光信號中的兩個業(yè)務光信號sa和sb，較寬的矩形條表示業(yè)務特征光，不同業(yè)務類型插入的業(yè)務特征光不同。

在同一業(yè)務的相鄰模式匹配域之間插入域特征光，圖3中用較窄的矩形條表示。域特征光標注該模式匹配域的起始位和終止位，區(qū)分相鄰的模式匹配域。圖3中sa分為三個等長的模式匹配域a1、a2和a3，sb只抽取了一個模式匹配域b1。

接收端部分、光子防火墻檢測連續(xù)光信號，如圖4右側(cè)所示：

ⅳ、采樣

在發(fā)送端插入了業(yè)務特征光和域特征光的連續(xù)光信號經(jīng)光纖鏈路傳輸?shù)浇邮斩?，先進入光子防火墻的1×2光開關,1×2光開關對連續(xù)光信號采樣，輸出常規(guī)信號s1和采樣信號s2，常規(guī)信號s1經(jīng)主光纖延遲線接入2×1光開關，采樣信號s2接入分光器；

ⅴ、分光

分光器將所接收的連續(xù)光信號采樣信號s2分為兩路，一路為采樣還原信號s21，經(jīng)光纖延遲線接入2×1光開關，另一路為采樣檢測信號s22，送入業(yè)務特征光識別模塊；分光器的分光比優(yōu)先滿足模式匹配所需要的采樣檢測信號s22的光功率；

ⅵ、業(yè)務特征光檢測

業(yè)務特征光識別模塊在輸入端口中檢測到業(yè)務特征光時，記錄業(yè)務特征光的到達時間，將該時間和其識別的該業(yè)務類型一并發(fā)送給安全操作模塊，不同類型的業(yè)務字段有不同業(yè)務特征，對應不同的模式匹配模塊；安全操作模塊根據(jù)當前檢測到的業(yè)務類型激活對應的模式匹配模塊準備工作，同時控制連接7個模式匹配模塊的光開關連通相關光路；業(yè)務特征光識別模塊將后續(xù)的連續(xù)光采樣檢測信號送入域特征光識別模塊；同時業(yè)務特征光識別模塊監(jiān)聽下一個業(yè)務特征光的到達。

ⅶ、域特征光檢測

當域特征光識別模塊在輸入端口中檢測到域特征光時，將該域特征光后的模式匹配域經(jīng)光開關送入相應的模式匹配模塊，同時監(jiān)聽下一個域特征光的到達；直至完成本業(yè)務類的各模式匹配域均輸入到與之匹配的模式匹配模塊；

ⅷ、模式匹配

兩個相鄰的域特征光之間的模式匹配域的業(yè)務信號即用于模式匹配的業(yè)務字段；模式匹配模塊將采樣檢測信號的模式匹配域與本地的光信號進行模式匹配，并將匹配結(jié)果發(fā)送到安全操作模塊。

本地光信號是所述模式匹配模塊內(nèi)存儲的、對應某一類型業(yè)務的模式匹配域信號特征的字符串，不同類型的業(yè)務有不同的模式匹配模塊，配有不同的本地光信號。

接收端針對某種傳輸速率和編碼格式的業(yè)務光信號的7種業(yè)務類型配置對應的一套模式匹配模塊。當業(yè)務光信號的傳輸速率和編碼格式改變時，接收端更換另一套對應的模式匹配模塊。

ⅸ、安全操作

安全操作模塊根據(jù)業(yè)務特征光識別模塊輸出的該業(yè)務的起始時間，劃分出該業(yè)務的時域，當連續(xù)光的采樣檢測信號s22中的模式匹配域與本地光信號匹配時，模式匹配模塊向安全操作模塊發(fā)送“匹配”信號，安全操作模塊判斷將該業(yè)務信號安全，控制2×1光開關將步驟ⅴ分光器分出的經(jīng)光纖延遲線緩存的采樣常規(guī)信號與光子防火墻的1×2光開關輸出的經(jīng)主光纖延遲線緩存的常規(guī)信號拼接后輸出，反之，若模式匹配模塊向安全操作模塊發(fā)送“不匹配”信號，安全操作模塊判斷將該業(yè)務信號不安全，控制2×1光開關將該業(yè)務的采樣還原信號丟棄，只輸出光子防火墻的1×2光開關輸出的經(jīng)主光纖延遲線緩存的常規(guī)信號。

上述實施例，僅為對本發(fā)明的目的、技術(shù)方案和有益效果進一步詳細說明的具體個例，本發(fā)明并非限定于此。凡在本發(fā)明的公開的范圍之內(nèi)所做的任何修改、等同替換、改進等，均包含在本發(fā)明的保護范圍之內(nèi)。