一种网络访问关系的生成方法及装置制造方法及图纸

本发明专利技术提出一种网络访问关系的生成方法，包括：采集设定时间段内通过网络防火墙传输的网络数据；根据在所述设定时间段内采集的通过所述网络防火墙传输的网络数据，解析得到在所述设定时间段内，通过所述网络防火墙传输的网络数据所归属的网络会话；将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系。采用本发明专利技术技术方案，能够自动根据网络数据生成网络访问关系，利于减轻用户工作量，提高得到网络访问关系的效率。

【技术实现步骤摘要】
一种网络访问关系的生成方法及装置
本专利技术涉及网络安全
，尤其涉及一种网络访问关系的生成方法及装置。
技术介绍
网络防火墙的访问控制功能是通过网络防火墙执行用户配置的网络访问控制策略实现的。网络防火墙根据用户配置的网络访问控制策略对网络访问进行控制，用户配置的网络访问控制策略与实际业务需求匹配度越高，网络防火墙的网络访问控制效果越好。在现有技术中，为了实现网络防火墙控制网络访问，用户自行根据网络访问情况，分析得到网络访问关系；再根据实际业务需求，结合分析得到的网络访问关系，配置网络防火墙网络访问控制策略。网络防火墙根据用户配置的网络访问控制策略，自动执行对网络访问的控制。在上述实现网络防火墙控制网络访问的过程中，需要由用户自行分析得到网络访问关系，自动化程度低，用户工作量大，工作效率低。
技术实现思路
基于上述现有技术的缺陷和不足，本专利技术提出一种网络访问关系的生成方法及装置，能够代替人工自动采集数据并根据采集的数据得到网络访问关系。一种网络访问关系的生成方法，包括：采集设定时间段内通过网络防火墙传输的网络数据；根据在所述设定时间段内采集的通过所述网络防火墙传输的网络数据，解析得到在所述设定时间段内，通过所述网络防火墙传输的网络数据所归属的网络会话；将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系。优选地，在将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系之后，该方法还包括：对聚合得到的在所述设定时间段内的网络访问关系进行归并处理。优选地，所述对聚合得到的在所述设定时间段内的网络访问关系进行归并处理，包括：将聚合得到的在所述设定时间段内的网络访问关系中的，目的IP地址、目的端口及协议均相同的网络访问关系进行归并处理。优选地，在将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系之后，该方法还包括：对聚合得到的在所述设定时间段内的网络访问关系进行排序处理。优选地，在将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系之后，该方法还包括：查找得到聚合得到的在所述设定时间段内的网络访问关系中的，没有对应规则的访问关系。一种网络访问关系的生成装置，包括：采集单元，用于采集设定时间段内通过网络防火墙传输的网络数据；解析单元，用于根据在所述设定时间段内采集的通过所述网络防火墙传输的网络数据，解析得到在所述设定时间段内，通过所述网络防火墙传输的网络数据所归属的网络会话；聚合处理单元，用于将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系。优选地，所述装置还包括：归并处理单元，用于在所述聚合处理单元将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系之后，对聚合得到的在所述设定时间段内的网络访问关系进行归并处理。优选地，所述归并处理单元对聚合得到的在所述设定时间段内的网络访问关系进行归并处理时，具体用于：将聚合得到的在所述设定时间段内的网络访问关系中的，目的IP地址、目的端口及协议均相同的网络访问关系进行归并处理。优选地，所述装置还包括：排序处理单元，用于在所述聚合处理单元将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系之后，对聚合得到的在所述设定时间段内的网络访问关系进行排序处理。优选地，所述装置还包括：过滤单元，用于在所述聚合处理单元将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系之后，查找得到聚合得到的在所述设定时间段内的网络访问关系中的，没有对应规则的访问关系。本专利技术提出的网络访问关系的生成方法，首先采集设定时间段内通过网络防火墙传输的网络数据；然后根据在所述设定时间段内采集的通过所述网络防火墙传输的网络数据，解析得到在所述设定时间段内，通过所述网络防火墙传输的网络数据所归属的网络会话；将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系。采用本专利技术提出的生成网络访问关系的方法，能够自动完成数据采集，从采集的数据解析得到网络会话，然后对网络会话进行聚合处理，得到网络访问关系，利于提高得到网络访问关系的效率。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。图1是本专利技术实施例提供的一种网络访问关系的生成方法的流程示意图；图2是本专利技术实施例提供的对网络会话进行聚合处理的示意图；图3是本专利技术实施例提供的另一种网络访问关系的生成方法的流程示意图；图4是本专利技术实施例提供的对网络访问关系进行归并处理的示意图；图5是本专利技术实施例提供的另一种网络访问关系的生成方法的流程示意图；图6是本专利技术实施例提供的对网络访问关系进行排序处理的示意图；图7是本专利技术实施例提供的从生成的网络访问关系中查找得到没有对应规则的网络访问关系的示意图；图8是本专利技术实施例提供的一种网络访问关系的生成装置的结构示意图；图9是本专利技术实施例提供的另一种网络访问关系的生成装置的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术实施例公开了一种网络访问关系的生成方法，参见图1所示，该方法包括：S101、采集设定时间段内通过网络防火墙传输的网络数据；具体的，本专利技术实施例采用旁路采集的方式采集设定时间段内通过网络防火墙传输的网络数据。在网络通信业务通过网络防火墙时，本专利技术实施例设置数据采集装置，在网络防火墙所在的网络链路的交换机或路由器等网络设备中采集数据。在一种实现方式中，在采集网络数据时，可以直接将流过网络防火墙的网络数据进行复制，得到完整而真实的，流过网络防火墙的网络数据。S102、根据在所述设定时间段内采集的通过所述网络防火墙传输的网络数据，解析得到在所述设定时间段内，通过所述网络防火墙传输的网络数据所归属的网络会话；具体的，在采集得到通过网络防火墙传输的网络数据后，本专利技术实施例进一步根据网络数据的源IP地址、目的IP地址、源端口、目的端口、协议、流量等参数信息，解析得到采集的网络数据所归属的网络会话。例如，假设采集到的一组网络数据的源IP地址为192.168.29.11，源端口为20214，目的IP地址为192.168.57.80，目的端口为80，协议为tcp，流量为120，则根据这些参数信息，可以确定该组网络数据属于源IP地址为192.168.29.11，源端口为20214，目的IP地址为192.168.57.80，目的端口为80，协议为tcp的网络会话。S103、将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系。具体的，本专利技术实施例对设定时间段内的网络会话进行聚合处理，实际上是利用到数据库中的聚合功能，将大量数据中的相同项本文档来自技高网...

【技术保护点】
一种网络访问关系的生成方法，其特征在于，包括：采集设定时间段内通过网络防火墙传输的网络数据；根据在所述设定时间段内采集的通过所述网络防火墙传输的网络数据，解析得到在所述设定时间段内，通过所述网络防火墙传输的网络数据所归属的网络会话；将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系。

【技术特征摘要】
1.一种网络访问关系的生成方法，其特征在于，包括：采集设定时间段内通过网络防火墙传输的网络数据；根据在所述设定时间段内采集的通过所述网络防火墙传输的网络数据，解析得到在所述设定时间段内，通过所述网络防火墙传输的网络数据所归属的网络会话；将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系。2.根据权利要求1所述的方法，其特征在于，在将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系之后，该方法还包括：对聚合得到的在所述设定时间段内的网络访问关系进行归并处理。3.根据权利要求2所述的方法，其特征在于，所述对聚合得到的在所述设定时间段内的网络访问关系进行归并处理，包括：将聚合得到的在所述设定时间段内的网络访问关系中的，目的IP地址、目的端口及协议均相同的网络访问关系进行归并处理。4.根据权利要求1所述的方法，其特征在于，在将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系之后，该方法还包括：对聚合得到的在所述设定时间段内的网络访问关系进行排序处理。5.根据权利要求1所述的方法，其特征在于，在将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系之后，该方法还包括：查找得到聚合得到的在所述设定时间段内的网络访问关系中的，没有对应规则的访问关系。6.一种网络访问关系的生成装置，其特征在于，包括：采集单元，用于采集设定时间段内通过...

【专利技术属性】
技术研发人员：翟明全，王建华，孙文艳，柏雪，严景，冯梨，马俊闯，
申请(专利权)人：北京启明星辰信息安全技术有限公司，启明星辰信息技术集团股份有限公司，
类型：发明
国别省市：北京,11