【技术实现步骤摘要】
防火墙策略优化方法、装置、设备及存储介质
[0001]本专利技术涉及网络安全
,尤其涉及一种防火墙策略优化方法、装置、终端设备及存储介质。
技术介绍
[0002]随着互联网的日益普及,人们能够通过互联网便利地获取信息和资源的同时也经常受到病毒和黑客攻击,网络安全也越来越多被关注和重视。防火墙作为保护网络安全的有效手段,可以在计算机网络的内网和外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性。随着防火墙设备数量的逐渐增加,防火墙上的配置策略数量巨大且仍在不断增长,海量配置复杂的策略,给防火墙策略的优化管理工作带来了巨大的挑战。目前,现有技术方案中公开了一些防火墙策略的审计和优化方法,如申请号为201910139126.X和201410796184.7的专利都公开了一种策略优化装置及方法。其中,前者是将防火墙的初始策略拆分为多个子策略,根据采集的流量日志确定每个子策略的命中数进而对初始策略进行审核并输出审计结果,而后者通过对防火墙的初始策略中的源地址集、目的地址集等进行对次拆分和扁平化处理得到中间策略,利用中间策略匹配索引流量日志并生成多条命中策略,根据生成的命中策略生成初始策略的优化方案。
[0003]但是,上述现有技术所使用的流量记录均是来源于防火墙自带的流量记录模块,真实场景中的业务流量巨大,利用防火墙自身的流量记录模块会占据防火墙大量的存储空间,从而影响防火墙自身的性能。更重要的是,对防火墙自身的流量记录模块中的业务流量进行分析时,无法区分业务流量与试探性攻击流量,将试探性攻击流量作为 ...
【技术保护点】
【技术特征摘要】
1.一种防火墙策略优化方法,其特征在于,所述防火墙策略优化方法包括以下步骤:采集通过防火墙的流量数据,并对采集的流量数据进行分析,从所述流量数据中剔除试探性攻击流量得到真实流量集合;获取防火墙中的策略配置文件,并对所述策略配置文件进行解析得到防火墙的初始策略集合;对所述真实流量集合和所述初始策略集合进行匹配分析,生成流量命中策略,并根据所述流量命中策略对所述初始策略集合中的初始策略进行优化。2.根据权利要求1所述的防火墙策略优化方法,其特征在于,所述流量数据包括防火墙的前端流量和后端流量,所述前端流量来自与防火墙前端连接的终端设备,所述后端流量来自与防火墙后端连接的终端设备,所述对采集的流量数据进行分析,从所述流量数据中剔除试探性攻击流量得到真实流量集合的步骤包括:从采集的流量数据中提取各个流量的特征信息、流量时长和时间点;对所述前端流量和所述后端流量中特征信息相同且时间点差值小于预设的时间差阈值的流量进行合并,得到第一流量集合;利用卡方检验对所述流量数据的流量时长分布进行拟合,并根据最优拟合度确定流量时长阈值,其中,所述流量时长阈值用于区分真实流量和试探性攻击流量;从所述第一流量集合中选取一条流量作为目标流量,若所述目标流量的流量时长大于流量时长阈值,则将所述目标流量作为一条真实流量进行保存,返回并执行所述从所述第一流量集合中选取一条流量作为目标流量的步骤,直到所述目标流量为所述第一流量集合中的最后一条流量为止;若所述目标流量的流量时长小于或等于流量时长阈值,则将所述目标流量作为试探性攻击流量进行剔除,返回并执行所述从所述第一流量集合中选取一条流量作为目标流量的步骤,直到所述目标流量为所述流量集合中的最后一条流量为止。3.根据权利要求1所述的防火墙策略优化方法,其特征在于,所述将所述策略配置文件解析为防火墙的初始策略集合的步骤包括:从所述策略配置文件中提取防火墙的配置信息和防火墙各初始策略的策略信息,其中,所述配置信息包括防火墙中定义的规则集;对所述配置信息中的规则集进行解析,得到防火墙配置的规则明细;根据所述策略信息确定防火墙的各所述初始策略的激活状态,其中,所述激活状态包括已激活和未激活;根据所述规则明细,确定激活状态为已激活的各初始策略的目标规则,得到防火墙的初始策略集合。4.根据权利要求1所述的防火墙策略优化方法,其特征在于,所述对所述真实流量集合和所述初始策略集合进行匹配分析,生成流量命中策略的步骤包括:根据所述初始策略集合生成各个初始策略的哈希映射表,并将所述哈希映射表发送至预设的双向链表中;从所述真实流量集合中选取一条真实流量作为目标真实流量,从所述双向链表中将各个策略的哈希映射表循环取出,并与所述目标真实流量的特征信息进行匹配,其中,所述目标真实流量的特征信息包括源地址、源端口、目的地址、目的端口和协议;
若匹配成功,则生成所述目标真实流量的流量命中策略,返回并执行所述从所述...
【专利技术属性】
技术研发人员:姜荣霞,徐良,吴佩瑶,何晓明,卢蓉,应越菲,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。