防火墙策略优化方法、装置、设备及存储介质制造方法及图纸

本发明专利技术公开了一种防火墙策略优化方法、装置、设备及存储介质，该方法包括：采集通过防火墙的流量数据，并对采集的流量数据进行分析，从所述流量数据中剔除试探性攻击流量得到真实流量集合；获取防火墙中的策略配置文件，并对所述策略配置文件进行解析得到防火墙的初始策略集合；对所述真实流量集合和所述初始策略集合进行匹配分析，生成流量命中策略，并根据所述流量命中策略对所述初始策略集合中的初始策略进行优化。本方案可以剔除试探性攻击流量的干扰，只利用真实的业务流量对防火墙策略进行审计和优化，提高对防火墙策略审计和优化的准确性，并实现对防火墙策略的动态审计和持续性优化。持续性优化。持续性优化。

【技术实现步骤摘要】
防火墙策略优化方法、装置、设备及存储介质


[0001]本专利技术涉及网络安全
，尤其涉及一种防火墙策略优化方法、装置、终端设备及存储介质。

技术介绍

[0002]随着互联网的日益普及，人们能够通过互联网便利地获取信息和资源的同时也经常受到病毒和黑客攻击，网络安全也越来越多被关注和重视。防火墙作为保护网络安全的有效手段，可以在计算机网络的内网和外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性。随着防火墙设备数量的逐渐增加，防火墙上的配置策略数量巨大且仍在不断增长，海量配置复杂的策略，给防火墙策略的优化管理工作带来了巨大的挑战。目前，现有技术方案中公开了一些防火墙策略的审计和优化方法，如申请号为201910139126.X和201410796184.7的专利都公开了一种策略优化装置及方法。其中，前者是将防火墙的初始策略拆分为多个子策略，根据采集的流量日志确定每个子策略的命中数进而对初始策略进行审核并输出审计结果，而后者通过对防火墙的初始策略中的源地址集、目的地址集等进行对次拆分和扁平化处理得到中间策略，利用中间策略匹配索引流量日志并生成多条命中策略，根据生成的命中策略生成初始策略的优化方案。
[0003]但是，上述现有技术所使用的流量记录均是来源于防火墙自带的流量记录模块，真实场景中的业务流量巨大，利用防火墙自身的流量记录模块会占据防火墙大量的存储空间，从而影响防火墙自身的性能。更重要的是，对防火墙自身的流量记录模块中的业务流量进行分析时，无法区分业务流量与试探性攻击流量，将试探性攻击流量作为业务流量统一对待，从而对初始策略的优化方案产生干扰，影响策略优化的准确性。

技术实现思路

[0004]本专利技术的主要目的在于提供一种防火墙策略优化方法、装置、设备及存储介质，旨在实现不影响防火墙自身性能的前提下，利用真实业务流量对防火墙策略进行审计和优化，并根据审计结果对防火墙策略进行持续性的动态优化，提高策略优化的准确性。
[0005]为实现上述目的，本专利技术实施例提供一种防火墙策略优化方法，所述方法包括以下步骤：
[0006]采集通过防火墙的流量数据，并对采集的流量数据进行分析，从所述流量数据中剔除试探性攻击流量得到真实流量集合；
[0007]获取防火墙中的策略配置文件，并对所述策略配置文件进行解析得到防火墙的初始策略集合；
[0008]对所述真实流量集合和所述初始策略集合进行匹配分析，生成流量命中策略，并根据所述流量命中策略对所述初始策略集合中的初始策略进行优化。
[0009]此外，本专利技术实施例还提出一种防火墙策略优化装置，所述装置包括：
[0010]流量采集分析模块，用于采集通过防火墙的流量数据，并对采集的流量数据进行
分析，从所述流量数据中剔除试探性攻击流量得到真实流量集合；
[0011]策略解析模块，用于获取防火墙中的策略配置文件，并对所述策略配置文件进行解析得到防火墙的初始策略集合；
[0012]策略优化模块，用于对所述真实流量集合和所述初始策略集合进行匹配分析，生成流量命中策略，并根据所述流量命中策略对所述初始策略集合中的初始策略进行优化。
[0013]此外，本专利技术实施例还提出一种终端设备，所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如上所述的防火墙策略优化方法。
[0014]此外，本专利技术实施例还提出一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的防火墙策略优化方法。
[0015]此外，本专利技术实施例还提出一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现如上所述的防火墙策略优化方法。
[0016]本专利技术实施例提出的防火墙策略优化方法、装置、终端设备及存储介质，通过采集通过防火墙的流量数据并对采集的流量数据进行分析，从所述流量数据中剔除试探性攻击流量得到真实流量集合；获取防火墙中的策略配置文件，并对所述策略配置文件进行解析得到防火墙的初始策略集合；对所述真实流量集合和所述初始策略集合进行匹配分析，生成流量命中策略，并根据所述流量命中策略对所述初始策略集合中的初始策略进行优化。通过剔除试探性攻击流量，利用真实业务流量生成防火墙初始策略的流量命中策略，根据生成的流量命中策略对初始策略进行优化，减少了试探性攻击流量对策略优化的干扰。相比于现有的静态审计和优化方案，一方面，从防火墙前后连接的终端设备中采集通过防火墙的流量数据，减少了防火墙自身进行流量记录所占用的存储空间，保证了防火墙自身的性能，另一方面，可以从采集的流量数据中区分出攻击性试探流量并剔除，只利用真实的业务流量对防火墙策略进行审计和优化，从而减少试探性攻击流量对策略审计和优化的干扰，提高策略审计和优化的准确性，并实现对防火墙策略的动态审计和持续性优化。
附图说明
[0017]图1为本专利技术防火墙策略优化装置所属终端设备的功能模块示意图；
[0018]图2为本专利技术防火墙策略优化方法一示例性实施例的流程示意图；
[0019]图3为本专利技术防火墙策略优化方法一示例性实施例中的流量流转过程示意图；
[0020]图4为本专利技术防火墙策略优化方法一示例性实施例中的流量时长分布情况示意图；
[0021]图5为本专利技术防火墙策略优化方法又一示例性实施例的流程示意图；
[0022]图6为本专利技术防火墙策略优化方法又一示例性实施例的流程示意图；
[0023]图7为本专利技术防火墙策略优化方法实施例的细化流程示意图；
[0024]图8为本专利技术防火墙策略优化装置一实施例的功能模块示意图。
[0025]本专利技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
[0026]应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。
[0027]本专利技术实施例的主要解决方案是：采集通过防火墙的流量数据，并对采集的流量数据进行分析，从所述流量数据中剔除试探性攻击流量得到真实流量集合；获取防火墙中的策略配置文件，并对所述策略配置文件进行解析得到防火墙的初始策略集合；对所述真实流量集合和所述初始策略集合进行匹配分析，生成流量命中策略，并根据生成的流量命中策略对所述初始策略集合中的初始策略进行优化。由此，通过从防火墙前后连接的终端设备中采集通过防火墙的流量数据，减少了防火墙自身进行流量记录所占用的存储空间，保证了防火墙自身的性能，并且可以从采集的流量数据中区分出攻击性试探流量并剔除，从而减少试探性攻击流量对策略优化方案的干扰，相比于现有的静态审计和优化方案，一方面可以提高策略优化的准确性，另一方面可以实现对防火墙策略的持续性优化。
[0028]本专利技术实施例涉及的技术术语：
[0029]防火墙：通过结合用于安全管理与筛选的软件和硬件设备，在计算机网络的内网与外网之间构建一道相对隔绝的保本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种防火墙策略优化方法，其特征在于，所述防火墙策略优化方法包括以下步骤：采集通过防火墙的流量数据，并对采集的流量数据进行分析，从所述流量数据中剔除试探性攻击流量得到真实流量集合；获取防火墙中的策略配置文件，并对所述策略配置文件进行解析得到防火墙的初始策略集合；对所述真实流量集合和所述初始策略集合进行匹配分析，生成流量命中策略，并根据所述流量命中策略对所述初始策略集合中的初始策略进行优化。2.根据权利要求1所述的防火墙策略优化方法，其特征在于，所述流量数据包括防火墙的前端流量和后端流量，所述前端流量来自与防火墙前端连接的终端设备，所述后端流量来自与防火墙后端连接的终端设备，所述对采集的流量数据进行分析，从所述流量数据中剔除试探性攻击流量得到真实流量集合的步骤包括：从采集的流量数据中提取各个流量的特征信息、流量时长和时间点；对所述前端流量和所述后端流量中特征信息相同且时间点差值小于预设的时间差阈值的流量进行合并，得到第一流量集合；利用卡方检验对所述流量数据的流量时长分布进行拟合，并根据最优拟合度确定流量时长阈值，其中，所述流量时长阈值用于区分真实流量和试探性攻击流量；从所述第一流量集合中选取一条流量作为目标流量，若所述目标流量的流量时长大于流量时长阈值，则将所述目标流量作为一条真实流量进行保存，返回并执行所述从所述第一流量集合中选取一条流量作为目标流量的步骤，直到所述目标流量为所述第一流量集合中的最后一条流量为止；若所述目标流量的流量时长小于或等于流量时长阈值，则将所述目标流量作为试探性攻击流量进行剔除，返回并执行所述从所述第一流量集合中选取一条流量作为目标流量的步骤，直到所述目标流量为所述流量集合中的最后一条流量为止。3.根据权利要求1所述的防火墙策略优化方法，其特征在于，所述将所述策略配置文件解析为防火墙的初始策略集合的步骤包括：从所述策略配置文件中提取防火墙的配置信息和防火墙各初始策略的策略信息，其中，所述配置信息包括防火墙中定义的规则集；对所述配置信息中的规则集进行解析，得到防火墙配置的规则明细；根据所述策略信息确定防火墙的各所述初始策略的激活状态，其中，所述激活状态包括已激活和未激活；根据所述规则明细，确定激活状态为已激活的各初始策略的目标规则，得到防火墙的初始策略集合。4.根据权利要求1所述的防火墙策略优化方法，其特征在于，所述对所述真实流量集合和所述初始策略集合进行匹配分析，生成流量命中策略的步骤包括：根据所述初始策略集合生成各个初始策略的哈希映射表，并将所述哈希映射表发送至预设的双向链表中；从所述真实流量集合中选取一条真实流量作为目标真实流量，从所述双向链表中将各个策略的哈希映射表循环取出，并与所述目标真实流量的特征信息进行匹配，其中，所述目标真实流量的特征信息包括源地址、源端口、目的地址、目的端口和协议；
若匹配成功，则生成所述目标真实流量的流量命中策略，返回并执行所述从所述...

【专利技术属性】
技术研发人员：姜荣霞，徐良，吴佩瑶，何晓明，卢蓉，应越菲，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：