本发明专利技术涉及基于规则匹配命中率和分布方差的防火墙规则集优化方法,属于计算机与信息科学技术领域。本发明专利技术首先对防火墙初始化规则集进行预处理,预处理的内容包括规则集异常检测、异常处理及规则合并,预处理之后得到不存在异常规则的最简防火墙规则集。然后实时收集一段时间防火墙日志,根据防火墙日志信息计算规则权重,规则权重计算分为三个部分,分别是规则匹配命中频率统计、规则命中时间分布统计和根据这两项统计数据计算的规则权重值。最后根据计算出来的规则权重值,对防火墙规则集进行重排序,将权重值较高的规则放在优先级更高的位置。本发明专利技术相较于常规的防火墙规则集优化算法,有更好的优化效果,能够使防火墙保持较高的数据包过滤率,并且具备较好的灵活性和可移植性。
【技术实现步骤摘要】
基于规则匹配命中率和分布方差的防火墙规则集优化方法
本专利技术涉及基于规则匹配命中率和分布方差的防火墙规则集优化方法,属于计算机与信息科学
技术介绍
防火墙是目前使用最广泛、最主流的网络安全技术之一,是网络安全体系中的第一道防线。而防火墙的安全性很大程度上取决于策略的配置,即基于预先设定的安全策略而形成的一组有序的规则集。随着网络安全需求的提升,防火墙规则复杂度不断增加。而防火墙规则集之间具有严格的优先级,在网络环境稳定的情况下,规则集的过滤效率不会有太大波动,但是一般网络环境是不断变化的,规则集的过滤效率也会随着网络环境的变化而变化,极有可能出现规则集过滤效率低下的问题。因此,本专利技术将提供可根据网络环境而动态调整防火墙规则集优先级的方法,让规则集过滤数据包的效率一直保持在较高的水平。针对防火墙规则集复杂,而导致数据包过滤效率较低的问题。现有的防火墙规则集优化方法,通常可归为四类:1、基于异常检测的防火墙规则集优化算法一般防火墙规则集会存在相应的异常,异常包括屏蔽异常、交叉异常、冗余异常和包含异常,通过消除异常规则可以有效解决防火墙规则集配置出错的问题,从而得到正确配置的防火墙规则集。该方法属于静态优化方法,可以有效简化防火墙规则集,但是不够灵活且无法有效提升防火墙规则集的过滤效率。2、基于规则合并的防火墙规则集优化算法防火墙规则集一般存在相似规则。该方法通过规则合并操作,减少规则集中规则的数量,从而减少数据包匹配防火墙规则的平均次数,达到提升防火墙过滤效率的目的。然而这种方法,在防火墙规则集中规则数目较多时该类方法的优化效果更加明显,在规则数目较少时,防火墙过滤效率没有明显提升。3、基于统计分析的防火墙规则集优化算法该类方法通过统计一定时间内统计规则集中每一条规则的匹配命中信息,根据统计信息给每条规则计算一个权值,然后根据权值大小对规则进行降序排序,重新确定规则的优先级,使得权重较高的规则优先级更高,以此达到提升防火墙过滤效率的目的。该方法从一定程度上降低了数据包的匹配时间,提升了防火墙的过滤效率。但是规则的匹配命中信息不仅仅只有命中次数,还有当前网络流量大小、数据流持续时间等信息,这些信息也会对数据包匹配时间产生影响,因此在计算规则权重时应该加入这些相关参数,让计算出来的权重值更加合理,进一步提升防火墙的过滤效率。4、基于信息增益的防火墙规则集优化算法在数据包达到防火墙后,防火墙会将数据包与防火墙规则集中的规则按照顺序依次匹配,从第一条规则开始,与规则过滤域中的每一维属性依次比对。如果数据包与某一维过滤属性匹配成功,则继续匹配下一维过滤域属性,如果五维过滤域属性均匹配成功则执行该条规则的动作,如果数据包在匹配过程中与某一维过滤域属性匹配失败则结束该条规则的匹配,开始与下一条规则的过滤域进行匹配,所以对防火墙规则过滤域中的五元属性进行排序,可以减少数据包在匹配防火墙规则时属性比对的次数,减少规则匹配的时间,达到提升防火墙过滤效率的目的。但是这种方法,每一次优化都需要修改防火墙规则过滤域匹配流程,也需要对防火墙程序重新进行编译,开销较大。针对上述问题,从数据包匹配防火墙规则命中率和命中时间分布统计信息两个角度分析并计算规则权重值,提出基于规则匹配命中频率和命中时间分布方差的防火墙规则集优化方法。
技术实现思路
本专利技术的目的是为了提高防火墙数据包匹配效率并解决已有方法灵活性差、兼容性差问题,提出基于规则匹配命中频率和命中时间分布方差的防火墙规则集优化方法。本专利技术的设计原理为:首先对防火墙初始化规则集进行预处理,预处理的内容包括规则集异常检测、异常处理及规则合并,预处理之后得到不存在异常规则的最简防火墙规则集。然后收集防火墙运行一段时间后的防火墙日志,根据防火墙日志信息计算规则权重,规则权重计算分为三个部分,分别是规则匹配命中频率统计、规则命中时间分布统计和根据这两项统计数据计算规则权重值。最后根据计算出来的规则权重值,对防火墙规则集进行重排序,将权重值较高的规则放在优先级更高的位置。本专利技术的技术方案是通过如下步骤实现的:步骤1,规则集预处理。步骤1.1,规则集异常处理。包括对屏蔽异常、交叉异常、冗余异常和包含异常的处理。步骤1.2,规则合并。对冗余的防火墙规则进行合并,在不影响防火墙过滤策略正确性的基础之上减少规则的数目。步骤2,规则权重计算。步骤2.1,统计防火墙日志,计算匹配规则命中率。步骤2.2,统计防火墙日志,计算匹配规则命中时间分布方差。步骤2.3,结合匹配规则命中率和匹配规则命中时间分布方差,计算相应防火墙规则的权重值。步骤3,规则优先级调整。步骤3.1,实时统计当前网络流量的大小,并依此动态调整规则权重计算中日志统计的时间周期。步骤3.2,根据得出的防火墙规则权重值,动态调整防火墙规则的优先级。有益效果相比于基于异常检测的防火墙规则集优化方法,本专利技术具有更好的灵活性和好的优化效果。相比于基于统计分析的防火墙规则集优化方法,本专利技术对规则优先级的调整依据更加多元合理,优化效果更好。相比于基于信息增益理论的防火墙策略集规则优化方法,本专利技术不需要对防火墙程序进行修改,适用于绝大多数防火墙,具备良好的兼容性和可移植性。附图说明图1为本专利技术防火墙规则集优化方法原理框图。图2为具体合并操作前的规则树图。图3为具体合并后的规则树图。具体实施方式为了更好的说明本专利技术的目的和优点,下面结合实例对本专利技术方法的实施方式做进一步详细说明。具体流程为:步骤1,对防火墙规则集进行预处理。步骤1.1,防火墙规则集的异常情况分为四类:屏蔽异常、交叉异常、冗余异常和包含异常。分别针对这四种异常的规则进行处理,得到和原规则集具有同样功能的最简防火墙规则集。步骤1.2,防火墙规则合并。在进行防火墙规则集异常处理之后,得到一个没有异常、所有规则均不相关的规则集。一般网络数据包都属于某一个服务,由协议类型、源端口及目的端口可以确定一个服务,因此可以将防火墙策略集中的规则按照服务类型进行分组,对分组内的规则进行合并操作,可以在不影响防火墙过滤策略正确性的基础之上减少规则的数目,得到最简防火墙规则集。下面将详细说明规则合并的方法。在进行规则合并之前需要将防火墙规则集构造成一颗规则树。规则树的结构如下:树的根节点表示整个防火墙规则集,它的两个子节点分别是规则动作域Accept和Deny;动作域节点的子节点是由协议类型、源端口及目的端口三元属性对应的服务;服务节点的子节点是该类服务所对应的防火墙规则的源IP地址;源IP地址节点的子节点是对应防火墙规则的目的IP地址,目的IP地址为规则树的叶子节点。规则树构造结束后,通过检测节点以及子树的属性值来判断能否执行规则合并操作。规则合并有两个必要条件,一个是当前节点的属性值与待合并节点的属性值连续,另一个条件是它们的子树的属性值相同。下面将举例说明防火墙策略规则合并方法。表1合并操作前的规则集按照上述规则树构造方法将表1中的规则集构造成一颗规则树,见图2。然后对规则树的各个节点进行合并检测,检测发现有4条规则符合规则合并的要求。目的IP地址层的第一个节点的属性值10.15.8.10~100和第二个节点属性值10.15.8.101~150连续,因此规则R4和R5可以合并为一条新的规则R本文档来自技高网...
【技术保护点】
1.基于规则匹配命中率和分布方差的防火墙规则集优化方法,其特征在于所述方法包括如下步骤:步骤1,规则集预处理,首先对数据集进行屏蔽异常、交叉异常、冗余异常和包含异常的处理,然后通过构造规则树的方法对规则集进行规则合并;步骤2,规则权重计算,统计防火墙日志的匹配规则命中率和匹配时间命中方差,计算相应防火墙规则的权重值;步骤3,规则优先级调整,实时统计当前网络流量的大小,然后动态改变防火墙日志统计周期,并根据步骤2中的公式计算相应防火墙规则权重值然后动态调整防火墙规则权重值。
【技术特征摘要】
1.基于规则匹配命中率和分布方差的防火墙规则集优化方法,其特征在于所述方法包括如下步骤:步骤1,规则集预处理,首先对数据集进行屏蔽异常、交叉异常、冗余异常和包含异常的处理,然后通过构造规则树的方法对规则集进行规则合并;步骤2,规则权重计算,统计防火墙日志的匹配规则命中率和匹配时间命中方差,计算相应防火墙规则的权重值;步骤3,规则优先级调整,实时统计当前网络流量的大小,然后动态改变防火墙日志统计周期,并根据步骤2中的公式计算相应防火墙规则权重值然后动态调整防火墙规则权重值。2.根据权利要求1所述的防火墙规则集优化方法,其特征在于:步骤1中对防火墙规则集进行规则合并时,需要将防火墙规则集构造成一颗规则树,其结构如下:防火墙规则集表示根节点,它的两个子节点分别是规则动作域属性的接收和拒绝两个特征;动作域节点的子节点是由协议类型、源端口及目的端口三元属性对应的服务;服务节点的子节点是该类服务所对应的防火墙规则的源IP地址;源IP地址节点的子节点是对应防火墙规则的目的IP地址,目的IP地址为规则树的叶子节点;规则树构造结束后,通过检测节点以及子树的属性值来判断能否执行规则合并操作,如果满足当前节点的属性值与待合并节点的属性值连续,并且它们的子树的属性值相同,那么执行合并操作。3.根据权利要求1所述的防火墙规则集优化方法,其特征在于:步骤2中,匹配规则命中率:防火墙规则Ri的匹配命中频率计算方法如下:MFi=pi/P(1)公式(1)中MFi表示防火墙规则Ri的匹配命中频率,pi表示Ri在统计周期内匹配命中数据包的数量,P表示整个防火墙规则集在统计周期内匹配命中数据包的数量;公式2中pd表示防火墙规则集缺省规则在统计周期内匹配命中数据包的数...
【专利技术属性】
技术研发人员:罗森林,张寒青,潘丽敏,朱帅,张笈,
申请(专利权)人:北京理工大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。