【技术实现步骤摘要】
本专利技术涉及网络安全
,具体讲涉及一种基于判定树的防火墙策略冲突检测方法。
技术介绍
知识经济与信息资源共享的时代,互联网蓬勃发展,与社会生活的各个方面日益密切。随之而来的威胁是不可避免的,相关技术也越来越高明。因而网络安全的维护显得尤为重要,防火墙的设置便是一种有效的计算机网络安全维护措施。防火墙是网络系统的组成部分,它通过明确的安全策略对试图进入内部安全网络外界不安全数据包进行控制,它可以选择性的阻隔不良信息以及对外界站点设置访问权限,在有访问时,系统自动进行访问权限审核,识别不良网站和病毒,最大程度限制黑客侵入网络,从而限制某些网络活动,最终达到保护系统安全的目的。防火墙策略实际上就是过滤规则的有序链表,每一条过滤规则由若干个网络域构成,这些域理论上可以是IP包、TCP包、UDP包头中出现的任何域,实际经验表明通常只要匹配通信协议类型(protocol)、源IP地址(sourceIPaddress)、源端口(sourceport)、目标IP地址(destinationIPaddress)、目标端口(destinationport)、动作(action)这六个域。防火墙策略一般由几十条到上千条规则组成。防火墙中的规则是由管理人员根据需求及自身的经验来制定的,在规则数目较少时,制定出一个合理的策略并不困难,对规则的维护也相对简单,但是当规则不断地增加时,人为制定安全策略难免出现一些疏漏,此时就无法保证防火墙的高 ...
【技术保护点】
一种基于判定树的防火墙策略冲突检测方法,其特征在于,所述方法包括下述步骤:步骤201:初始化存储树;步骤202:协议域分类;步骤203:源/目的端口对分类;步骤204:比较源IP地址;步骤205:比较目的IP地址;步骤206:比较动作域。
【技术特征摘要】
1.一种基于判定树的防火墙策略冲突检测方法,其特征在于,所述方法包括下述步骤:
步骤201:初始化存储树;
步骤202:协议域分类;
步骤203:源/目的端口对分类;
步骤204:比较源IP地址;
步骤205:比较目的IP地址;
步骤206:比较动作域。
2.如权利要求1所述的防火墙策略冲突检测方法,其特征在于,所述步骤201中,初始
化存储树即创建树型结构,采用树型数据结构存储全部防火墙策略,包括:创建树型结构的
过程中,向树中插入防火墙策略,按照防火墙策略的协议域、源/目的端口对域、源IP地址
域、目的IP地址域以及动作域的顺序进行,并在动作域之后存储对应的防火墙策略id。
3.如权利要求2所述的防火墙策略冲突检测方法,其特征在于,所述创建树型结构包括
下述步骤:
(1)在插入防火墙策略的过程中,把要判定的下一个域作为当前域的最左侧的孩子节点;
(2)在创建的树型结构中,除动作域之外,就其他域各自对应的所有结点来说,除最左
侧孩子之外的结点是其父亲结点的真子集,存放的是不同防火墙策略当前域的内容;所述其
他域指的是协议域、源/目的端口对域、源IP地址域和目的IP地址域;
(3)在创建过程中,树非空时,在插入防火墙策略的过程中,将相应的域与树的各个结
点比较,如果相同则从最左侧孩子节点继续下一个域的判定;如果是当前结点的超集,则在
当前结点前插入一个结点存放待插入防火墙策略的当前域,把被比较的结点作为插入结点的
孩子结点,并把插入防火墙策略的下一个域作为插入结点最左侧的孩子节点;
如果是当前结点的子集,则把待插入防火墙策略当前域和该结点除最左侧一个之外的孩
子结点进行比较,如果相同则从最左侧孩子节点继续下一个域的判定;如果是当前结点的超
集,则在当前结点前插入一个结点存放待插入防火墙策略的当前域,把被比较的结点...
【专利技术属性】
技术研发人员:张涛,马媛媛,时坚,李伟,李星,邵志鹏,陈亚东,
申请(专利权)人:国家电网公司,中国电力科学研究院,国网智能电网研究院,江苏省电力公司,江苏省电力公司信息通信分公司,北京安码科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。