面向云数据中心环境防火墙即服务的并行防火墙规则异常检测的方法技术

本发明专利技术属于云计算和网络安全防火墙技术领域，具体为一种面向云数据中心环境防火墙即服务的并行防火墙规则异常检测的方法。本发明专利技术从云数据中心环境防火墙作为服务FWaaS出发，首先设计了一种同时基于数据包分类与规则分布的并行防火墙，对于并行防火墙规则异常检测的方法，本发明专利技术通过建立规则-子段表的方法来检测可能存在的规则异常，并引入重叠集来缩小检测范围，为后序对防火墙规则处理打下基础，并得到防火墙规则的逻辑顺序。实验证明，本发明专利技术所设计的并行防火墙规则异常检测方法符合多项功能和性能要求，可以以FWaaS服务的形式应用在云数据中心环境中。

【技术实现步骤摘要】
面向云数据中心环境防火墙即服务的并行防火墙规则异常检测的方法
本专利技术属于云计算和网络安全防火墙
，具体涉及一种面向云数据中心环境防火墙即服务的并行防火墙规则异常检测的方法。
技术介绍
随着互联网的发展与普及，网络安全问题引起了产业界与学术界的广泛关注。作为内部网络抵御外部威胁的第一道门槛，防火墙的安全性和可靠性至关重要。防火墙是一类防范措施的总称，它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。设置防火墙的目的是为了在内部网络与外部网络之间设立唯一的通道，简化网络安全的管理。对于流经防火墙的网络流量，防火墙会对其中的数据包进行检测，对那些不符合防火墙策略的数据包进行过滤。实施过滤的原则主要基于数据包中的源/目的地址、源/目的端口号、IP标识和报文传递的方向等具体信息。正因为防火墙的设计简单，非常易于实现，而且价格便宜，所以防火墙被广泛地部署在计算机系统中。也正因为防火墙得到了广泛地应用，所以对如何提高防火墙性能，如何方便地使用防火墙一直是学术研究的热点。现今，云计算提供“服务”的范围越来越广。除了传统的IaaS，PaaS，SaaS之外，现在已经有了存储即服务(SaaS,StorageasaService)，网络即服务(NaaS,NetworkasaService)，监测即服务(MaaS,MonitoringasaService)和认证即服务(AaaS,AuthenticationasaService)等其他类型的服务。甚至业界已经提出了一切皆服务(XaaS,XasaService)。这意味着在云数据中心环境下，有越来越多的功能会以“服务”的形式提供给租户。所以为了使未来下一代防火墙能更好地应用在云计算环境中，防火墙需要服务化和虚拟化。防火墙应该作为一种服务提供给消费者，即防火墙即服务(FWaaS,FirewallasaService)防火墙规则检测是一个智能化的防火墙中必须拥有的一个模块。众所周知，防火墙策略管理是一个非常有挑战的工作，因为防火墙规则之间有着复杂的相互依赖交叉关系。由于云数据中心环境下的网络越来越庞大，防火墙资源被服务化和虚拟化，防火墙的规则也越来越多，尤其云数据中心环境中的租户可以通过租用多条虚拟防火墙来组成自己的并行防火墙，这就出现了多个并行防火墙规则发生冲突的问题。如何保证防火墙规则的正确性和避免冲突是一个难题。因此，本设计侧重于设计面向云数据中心环境防火墙即服务的并行防火墙中规则异常检测的方法。经对现有技术的文献检索发现，S.Al-Shaer等在防火墙策略冲突检测方面做了很多的研究工作。在文献[Al-ShaerE,HamedH.Designandimplementationoffirewallpolicyadvisortools[J].DePaulUniversity,CTI,Tech.Rep,2002；Al-ShaerES,HamedHH.Firewallpolicyadvisorforanomalydiscoveryandruleediting[C]//IntegratedNetworkManagement,2003.IFIP/IEEEEighthInternationalSymposiumon.IEEE,2003:17-30；Al-ShaerES,HamedHH.Modelingandmanagementoffirewallpolicies[J].NetworkandServiceManagement,IEEETransactionson,2004,1(1):2-10.]中，作者提出防火墙规则的5种关系：ExactlyMatched，InclusivelyMatched，CompletelyDisjoint，PartiallyDisjoint，Correlated。基于这5种关系，作者画出了两条防火墙规则间关系的状态图，之后作者提出了基于状态图的规则异常检测方法。，S.Al-Shaer等又在[Al-ShaerES,HamedHH.Discoveryofpolicyanomaliesindistributedfirewalls[C]//INFOCOM2004.Twenty-thirdAnnualJointConferenceoftheIEEEComputerandCommunicationsSocieties.IEEE,2004,4:2605-2616；Al-ShaerE,HamedH,BoutabaR,etal.Conflictclassificationandanalysisofdistributedfirewallpolicies[J].SelectedAreasinCommunications,IEEEJournalon,2005,23(10):2069-2084.]中把成果扩展到分布式防火墙中，着手研究防火墙间的策略冲突检测。但这些成果都是基于传统的防火墙的，并不能直接应用在云数据中心环境下。在文献[FulpEW.Parallelfirewalldesignsforhigh-speednetworks[C]//INFOCOM2006.25thIEEEInternationalConferenceonComputerCommunications.Proceedings.IEEE,2006:1-4.]提出了一种并行防火墙的模型：可以把防火墙规则按一定的分类方式（比如按TCP，UDP分类）分布到不同的防火墙中。数据包按照自身是TCP或UDP分流到相应的防火墙中。这种防火墙的设计可以大大提高防火墙的效率。但作者只是提出了简单的分类方法，且分类方法没有和数据流量的特性关联起来，所设计的系统也不能进行动态扩展。在文献[HamedHH,El-AtawyA,Al-ShaerE.AdaptiveStatisticalOptimizationTechniquesforFirewallPacketFiltering[C]//INFOCOM.2006,6:1-12.]中，作者提出了应该尽早地过滤掉不需要的数据包，这样防火墙的效率才能提高。所以作者抽取出防火墙规则中“Deny”的规则，把这些规则集称为规则。规则集能尽早地过滤掉数据包，从而减少了数据包在防火墙内停留的时间。规则集能够依据数据流量的变化而进行动态调整，从而达到较好的效果。如果数据流中有较多可以拒绝的数据包，该防火墙在性能上是有很大的提升的；但是如果有数据流中存在大量能通过防火墙的包，那么防火墙的性能并没有多大的提升。而且，论文也没考虑不能匹配的数据包。虽然作者没有使用首次匹配方法，但尽早过滤数据包的思想仍值得借鉴。在文献[RupaliChaure,ShishirK.ShandilyaFirewallanamoliesdetectionandremovaltechniques–asurveyInternationalJournalonEmergingTechnologies1(1):71-74(2010)]中,作者调研了几种防火墙规则冲突的检测方法，然后提出“irrelevantanomaly”仍然是个研究的难点，因为防火墙是要根据数据包的动态变化而增减防火墙本文档来自技高网...

【技术保护点】
一种面向云数据中心环境防火墙即服务的并行防火墙规则异常检测的方法，其特征在于具体步骤为：第一步：并行防火墙的规则分段(1)分段与子段的规划在云数据中心环境防火墙作为服务面向多租户的并行防火墙的架构中，要对防火墙规则进行检测，分析出规则之间的异常；然后根据异常的类型，决定是否能自动解决，或是让管理员人工做决策，保证每条防火墙规则都能过滤符合要求的数据包；防火墙规则分段是指把规则的过滤空间划分成互相不重叠的子空间，其中每个子空间就代表一个子段；子段的集合就是防火墙规则分段的结果；用形式化语言把防火墙规则分段定义为：分段：S＝{s1，s2，s3，...sm}是R＝{r1，r2，r3，...rn}的分段∀k∃S′:rk=∪S′andS′⊆S]]>where 1≤i，j≤m，i≠j1≤k≤n其中，rk＝∪S′表示规则rk能够过滤的数据包的空间，与S′中子段所能过滤的数据包空间是一致的；规则中字段只有4种关系：＝，≠；在子段中，字段有5种关系：＝，∩，≠；由于段字段可以表示任意起始位置到终止位置的范围，其中规则中字段和子段中字段的＝，和这两中关系也称作字段匹配；子段中字段的关系说明：如果两个子段s1和s2所对应的字段取值为v1和v2，当v1和v2表示同一个范围时，那么有s1＝s2；如果有v1表示的范围是v2的子集，那么有如果有v1表示的范围是v2的超集，那么有若v1表示的范围与v2有相交，那么有s1∩s2；除此之外，s1和s2的关系为s1≠s2；所以，子段中的∩关系是排除了＝，的相交关系；表1 字段基础关系表为了把处理范围扩展到防火墙段，增加定义两种关系，即部分相交与完全相交：如果防火墙子段sx和sy有存在交集的字段，但也存在不匹配的字段，那么就称子段sx和sy是部分相交关系的；如果防火墙规则sx和sy所有字段都存在交集，那么就称规则sx和sy是部分完全相交关系的；把等价匹配，包含匹配，无关，部分包含匹配，相关匹配，部分相交，完全相交这7种关系称为防火墙规则的扩展关系；(2)并行防火墙规则分段分析防火墙规则中的字段很可能存在交集，所以防火墙规则所能过滤的数据包集合可能也存在交集，其中：如果两条防火墙规则匹配的数据包空间有重叠，当且仅当规则中所有字段都有交集；由此可知，只要两条规则存在不相交的字段，即包含″≠″关系，那么这两条规则表示的数据包空间就不可能重叠；部分包含，部分相交，无关都包含″≠″字段关系，所以这3种规则关系所对应的规则的数据包空间不重叠；现在只需考虑等价匹配，包含匹配，完全相交，相关这4种关系，具体如下表描述：表2 数据包重叠对于分段来说，只选取一个字段对防火墙规则进行划分，使得任意两个子段在该字段上都没有重叠，这也确保了每个子段所表示的数据包空间都是独立不相交的空间；由于重叠的字段只有＝，∩这4种情况，接下来将介绍如何对字段进行分割；可以把字段分割分成以下5种情况，其他情况可以转换成这5种情况之一；假设需要划分子段s1和子段s2，情况1：s1[i].start＜s2[i].start，s2[i].start≤s1[i].end，s1[i].end＜s2[i].end；这种情况下，s1[i]和s2[i]共可分割成4个部分，其中：p1＝(s1[i].start，s2[i].start)p2＝(s2[i].start，s1[i].end)p3＝(s2[i].start，s1[i].end)p4＝(s1[i].start，s2[i].end)即s1与s2的分段共产生4个子段，c1＝(s1[1]，...s1[i‑1]，p1，s1[i+1]，...)c2＝(s1[1]，...s1[i‑1]，p2，s1[i+1]，...)c3＝(s2[1]，...s2[i‑1]，p3，s2[i+1]，...)c4＝(s2[1]，...s2[i‑1]，p4，s2[i+1]，...)显然，s1分成了c1和c2两个子段，而s2被分成了c3和c4两个子段；情况2：s2[i].start＜s1[i].start，s1[i].start≤s2[i].end，s2[i].end＜s1[i].end；此时，s1[i]与s2[i]可被分为p1，p2，p3和p4，所对应的子段为：c1＝(s1[1]，...s1[i‑1]，(s1[i].start，s2[i].end)，s1[i+1]，...)c2＝(s1[1]，...s1[i‑1]，(s2[i].end，s1[i].end)，s1[i+1]，...)c3＝(s2[1]，...s2[i‑1]，(s2[i].start，s1[i].start)，s2[i+1]，...)c4＝(s2[1]，...s2[i‑1]，(s1[i].star...

【技术特征摘要】
1.一种面向云数据中心环境防火墙即服务的并行防火墙规则异常检测的方法，其特征在于具体步骤为：第一步：并行防火墙的规则分段(1)分段与子段的规划在云数据中心环境防火墙作为服务面向多租户的并行防火墙的架构中，要对防火墙规则进行检测，分析出规则之间的异常；然后根据异常的类型，决定是否能自动解决，或是让管理员人工做决策，保证每条防火墙规则都能过滤符合要求的数据包；防火墙规则分段是指把规则的过滤空间划分成互相不重叠的子空间，其中每个子空间就代表一个子段；子段的集合就是防火墙规则分段的结果；用形式化语言把防火墙规则分段定义为：分段：S＝{s1，s2，s3，...sm}是R＝{r1，r2，r3，...rn}的分段where1≤i，j≤m，i≠j1≤k≤n其中，rk＝∪S′表示规则rk能够过滤的数据包的空间，与S′中子段所能过滤的数据包空间是一致的；规则中字段只有4种关系：＝，≠；在子段中，字段有5种关系：＝，∩，≠；由于段字段可以表示任意起始位置到终止位置的范围，其中规则中字段和子段中字段的＝，和这两中关系也称作字段匹配；子段中字段的关系说明：如果两个子段s1和s2所对应的字段取值为v1和v2，当v1和v2表示同一个范围时，那么有s1＝s2；如果有v1表示的范围是v2的子集，那么有如果有v1表示的范围是v2的超集，那么有若v1表示的范围与v2有相交，那么有s1∩s2；除此之外，s1和s2的关系为s1≠s2；所以，子段中的∩关系是排除了＝，的相交关系；表1字段基础关系表为了把处理范围扩展到防火墙段，增加定义两种关系，即部分相交与完全相交：如果防火墙子段sx和sy有存在交集的字段，但也存在不匹配的字段，那么就称子段sx和sy是部分相交关系的；如果防火墙规则sx和sy所有字段都存在交集，那么就称规则sx和sy是部分完全相交关系的；把等价匹配，包含匹配，无关，部分包含匹配，相关匹配，部分相交，完全相交这7种关系称为防火墙规则的扩展关系；(2)并行防火墙规则分段分析防火墙规则中的字段很可能存在交集，所以防火墙规则所能过滤的数据包集合可能也存在交集，其中：如果两条防火墙规则匹配的数据包空间有重叠，当且仅当规则中所有字段都有交集；由此可知，只要两条规则存在不相交的字段，即包含″≠″关系，那么这两条规则表示的数据包空间就不可能重叠；部分包含，部分相交，无关都包含″≠″字段关系，所以这3种规则关系所对应的规则的数据包空间不重叠；现在只需考虑等价匹配，包含匹配，完全相交，相关这4种关系，具体如下表描述：表2数据包重叠对于分段来说，只选取一个字段对防火墙规则进行划分，使得任意两个子段在该字段上都没有重叠，这也确保了每个子段所表示的数据包空间都是独立不相交的空间；由于重叠的字段只有＝，∩这4种情况，接下来将介绍如何对字段进行分割；可以把字段分割分成以下5种情况，其他情况可以转换成这5种情况之一；假设需要划分子段s1和子段s2，情况1：s1[i].start＜s2[i].start，s2[i].start≤s1[i].end，s1[i].end＜s2[i].end；这种情况下，s1[i]和s2[i]共可分割成4个部分，其中：p1＝(s1[i].start，s2[i].start)p2＝(s2[i].start，s1[i].end)p3＝(s2[i].start，s1[i].end)p4＝(s1[i].start，s2[i].end)即s1与s2的分段共产生4个子段，c1＝(s1[1]，...s1[i-1]，p1，s1[i+1]，...)c2＝(s1[1]，...s1[i-1]，p2，s1[i+1]，...)c3＝(s2[1]，...s2[i-1]，p3，s2[i+1]，...)c4＝(s2[1]，...s2[i-1]，p4，s2[i+1]，...)显然，s1分成了c1和c2两个子段，而s2被分成了c3和c4两个子段；情况2：s2[i].start＜s1[i].start，s1[i].start≤s2[i].end，s2[i].end＜s1[i].end；此时，s1[i]与s2[i]可被分为p1，p2，p3和p4，所对应的子段为：c1＝(s1[1]，...s1[i-1]，(s1[i].start，s2[i].end)，s1[i+1]，...)c2＝(s1[1]，...s1[i-1]，(s2[i].end，s1[i].end)，s1[i+1]，...)c3＝(s2[1]，...s2[i-1]，(s2[i].start，s1[i].start)，s2[i+1]，...)c4＝(s2[1]，...s2[i-1]，(s1[i].start，s2[i].end)，s2[i+1]，...)情况3：s1[i].start＜s2[i].start，s2[i].end＜s1[i].end；此时，s1[i]与s2[i]可被分为p1，p2，p3和p4，所对应的子段为：c1＝(s1[1]，...s1[i-1]，(s1[i].start，s2[i].start)，s1[i+1]，...)c2＝(s1[1]，...s1[i-1]，(s2[i].start，s2[i].end)，s1[i+1]，...)c3＝(s1[1]，...

【专利技术属性】
技术研发人员：吕智慧，范康，吴杰，
申请(专利权)人：复旦大学，
类型：发明
国别省市：上海;31