【技术实现步骤摘要】
本申请涉及网络安全通信,特别是涉及一种防火墙策略匹配方法、装置、设备、介质和产品。
技术介绍
1、防火墙策略是指在对应的安全域实施的一系列规则,用于管理和控制进出安全域的网络流量数据,以防止安全域内的设备受到来自安全域外的恶意攻击或者未经授权的访问。
2、传统的防火墙策略匹配方法是根据安全域中的业务需求,从防火墙策略库中选择对应的防火墙策略集合,以供防火墙设备管理员从中选择具体应用的目标防火墙策略。
3、然而,传统的防火墙策略匹配方法的效率低。
技术实现思路
1、基于此,有必要针对上述技术问题,提供一种能够提高防火墙策略匹配效率的防火墙策略匹配方法、装置、设备、介质和产品。
2、第一方面,本申请提供了一种防火墙策略匹配方法,所述方法包括:
3、获取目标安全域的当前策略数据、目标安全域内各终端设备的属性数据和各终端设备的流量数据;
4、根据当前策略数据对第一策略匹配模型中的第一策略数据集合进行冗余筛选和/或冲突筛选,得到第二策略匹配模型,第二策略匹配模型中的第二策略数据集合为第一策略数据集合的子集;第一策略匹配模型为基于核方法的机器学习模型;
5、将各属性数据和各流量数据输入至第二策略匹配模型,得到第二策略匹配模型输出的目标策略数据,目标策略数据用于基于目标策略数据确定目标安全域的防火墙应用策略。
6、在其中一个实施例中,提供的防火墙策略匹配方法还包括:
7、获取多个历史策略数据以及每个历
8、针对每个历史属性数据,对历史属性数据进行降维处理,得到低维属性数据;
9、针对每个历史流量数据,对历史流量数据进行降维处理,得到低维流量数据;
10、将每个历史策略数据作为样本标签,将每个历史策略数据对应的各低维属性数据和各低维流量数据作为样本数据,得到样本数据集;
11、基于样本数据集对初始策略匹配模型进行迭代训练处理,得到第一策略匹配模型。
12、在其中一个实施例中,提供的方法中对历史属性数据进行降维处理,得到低维属性数据的过程,包括:
13、对历史属性数据进行协方差矩阵化处理,得到属性协方差矩阵;
14、对属性协方差矩阵进行特征提取处理,得到低维属性基向量;
15、将历史属性数据通过低维属性基向量进行投影处理,得到低维属性数据。
16、在其中一个实施例中,提供的方法中基于样本数据集对初始策略匹配模型进行迭代训练处理,得到第一策略匹配模型的过程,包括:
17、获取多个初始个体,初始个体用于表征初始策略匹配模型对应的模型参数;
18、针对每个初始个体,利用样本数据集对初始个体对应的初始策略匹配模型进行交叉验证处理,得到初始个体对应的适应度值;
19、根据各初始个体对应的适应度值,对初始种群进行雌雄交配处理和筛选处理,得到多个中间个体;
20、将多个中间个体作为多个初始个体,重新执行得到初始个体对应的适应度值以及得到多个中间个体的过程,直至达到预设迭代条件时,输出各初始个体中适应度值最大的初始个体作为最优个体;
21、根据最优个体,得到第一策略匹配模型。
22、在其中一个实施例中,提供的方法中根据各初始个体对应的适应度值,对初始种群进行雌雄交配处理和筛选处理,得到多个中间个体的过程,包括:
23、对各初始个体进行雌雄交配,得到多个初始子代个体;
24、利用变异向量对多个初始子代个体进行变异处理,得到多个变异子代个体;
25、对多个变异子代个体和多个初始个体按照各自的适应度值进行筛选,得到多个中间个体。
26、在其中一个实施例中,提供的方法中获取多个初始个体的过程,包括:
27、基于混沌映射的方式得到多个初始个体。
28、第二方面,本申请还提供了一种防火墙策略匹配装置,装置包括:
29、数据获取模块,用于获取目标安全域的当前策略数据、目标安全域内各终端设备的属性数据和各终端设备的流量数据;
30、策略筛选模块,用于根据当前策略数据对第一策略匹配模型中的第一策略数据集合进行冗余筛选和/或冲突筛选,得到第二策略匹配模型,第二策略匹配模型中的第二策略数据集合为第一策略数据集合的子集;第一策略匹配模型为基于核方法的机器学习模型;
31、策略匹配模块,用于将各属性数据和各流量数据输入至第二策略匹配模型,得到第二策略匹配模型输出的目标策略数据,目标策略数据用于基于目标策略数据确定目标安全域的防火墙应用策略。
32、第三方面,本申请还提供了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现如第一方面所述的方法的步骤。
33、第四方面,本申请还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的方法的步骤。
34、第五方面,本申请还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现如第一方面所述的方法的步骤。
35、上述防火墙策略匹配方法、装置、设备、介质和产品,通过获取目标安全域的当前策略数据、目标安全域内各终端设备的属性数据和各终端设备的流量数据;根据当前策略数据对第一策略匹配模型中的第一标签集合进行冗余筛选和/或冲突筛选,得到第二策略匹配模型,第二策略匹配模型中的第二标签集合为第一标签集合的子集;根据各设备属性数据、各流量数据和第二策略匹配模型,得到目标安全域的目标策略数据;本申请中,根据目标安全域的当前策略数据对第一策略匹配模型中的第一标签集合进行冗余筛选和/或冲突筛选,得到第二策略匹配模型,能够避免第二策略匹配模型得到的目标策略数据在应用过程中产生冗余、冲突等问题,提高生成的目标策略数据的可用性;使用目标安全域内各终端设备的属性数据和流量数据作为第二策略匹配模型的输入数据,便于实时获取、降低数据获取的复杂度,同时减小第二策略匹配模型的标签集合的规模,能够加快第二策略匹配模型生成目标策略数据的速度,从而提高生成防火墙策略的效率。
本文档来自技高网...【技术保护点】
1.一种防火墙策略匹配方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求2所述的方法,其特征在于,所述对所述历史属性数据进行降维处理,得到低维属性数据,包括:
4.根据权利要求2所述的方法,其特征在于,所述基于所述样本数据集对初始策略匹配模型进行迭代训练处理,得到所述第一策略匹配模型,包括:
5.根据权利要求4所述的方法,其特征在于,所述根据各所述初始个体对应的适应度值,对所述初始种群进行雌雄交配处理和筛选处理,得到多个中间个体,包括:
6.根据权利要求4所述的方法,其特征在于,所述获取多个初始个体,包括:
7.一种防火墙策略匹配装置,其特征在于,所述装置包括:
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
...【技术特征摘要】
1.一种防火墙策略匹配方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求2所述的方法,其特征在于,所述对所述历史属性数据进行降维处理,得到低维属性数据,包括:
4.根据权利要求2所述的方法,其特征在于,所述基于所述样本数据集对初始策略匹配模型进行迭代训练处理,得到所述第一策略匹配模型,包括:
5.根据权利要求4所述的方法,其特征在于,所述根据各所述初始个体对应的适应度值,对所述初始种群进行雌雄交配处理和筛选处理,得到多个中间个体,包括:
6.根据权利要求...
【专利技术属性】
技术研发人员:曾诗钦,叶睿显,欧阳宇宏,李曼,车向北,康文倩,黄颖祺,
申请(专利权)人:深圳供电局有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。