本发明专利技术公开了一种网络访问控制方法、装置、设备及存储介质。包括:获取历史网络信息,根据历史网络信息生成策略规则库;根据策略规则库构建分类模型;获取待测网络信息,根据分类模型确定待测网络信息对应的策略脚本,调用策略脚本进行网络访问控制。通过对历史的防火墙策略日志和网络访问相关信息进行清洗和格式化处理生成策略规则库,通过支持向量机机算法进行分类和特征提取建立分类模型,通过分类模型即可确定待测网络信息对应的网络访问控制关系,进而生成策略脚本,以适应不断变化的网络攻击和防御需求,提高了防火墙设备对各种攻击的防范能力,同时降低了维护成本,提升了企业的整体安全性能,节约了人工成本,提高了工作效率。
【技术实现步骤摘要】
本专利技术涉及防火墙,尤其涉及一种网络访问控制方法、装置、设备及存储介质。
技术介绍
1、随着近年来银行金融业的迅猛发展,支撑银行业务的网络系统也面临更大的压力,网络工作日渐繁重。银行业务对网络的可用性、可靠性和及时性都有着很高的要求,同时金融业也面临着越来越多的安全挑战和工作要求。采用现代化的网络安全防御方式来保障网络系统和客户数据的安全,也成为网络工作的一大重点,网络控制访问技术正是业内广泛采用的保障网络安全的关键技术。
2、传统的网络访问控制策略生成中存在以下问题:银行数据中心网络防火墙设备因为多年运维存在大量老旧策略,随着全新业务量的上升,新的访问策略仍在呈几何式增长,造成了数据中心现有整体网络访问控制策略复杂难懂,新增策略容易存在重复添加的问题;数据中心现存防火墙设备品牌众多,不同厂商设备策略日志语言差异极大,学习成本较高且人工编写成本也极高;策略不易动态维护,造成往往只能增加难以减少的局面。
技术实现思路
1、本专利技术提供了一种网络访问控制方法、装置、设备及存储介质,以提高网络访问控制策略生成的准确性和效率,降低漏检率,提高防火墙管理的灵活性和自适应性。
2、根据本专利技术的一方面,提供了一种网络访问控制方法,该方法包括:
3、获取历史网络信息,根据历史网络信息生成策略规则库;
4、根据策略规则库构建分类模型;
5、获取待测网络信息,根据分类模型确定待测网络信息对应的策略脚本,调用策略脚本进行网络访问控制。</p>6、可选的,获取历史网络信息,包括:获取各指定厂商的防火墙策略日志和网络访问相关信息;将防火墙策略日志和网络访问相关信息存入指定地址以生成历史网络信息。
7、可选的,根据历史网络信息生成策略规则库,包括:根据预设的清洗规则确定历史网络信息中的待清洗数据,其中,待清洗数据包括空值、重复值、错误值和异常值;将历史网络信息中的待清洗数据进行删除以生成清洗后的历史网络信息;对清洗后的历史网络信息进行标记生成标记后的历史网络信息;将标记后的历史网络信息进行指定语法规则转化以生成标准网络策略;根据各标准网络策略生成策略规则库。
8、可选的,对清洗后的历史网络信息进行标记生成标记后的历史网络信息,包括:获取策略语法库,其中,策略语法库中包括各策略元素;通过策略语法库对清洗后的历史网络信息进行匹配,以确定与清洗后的历史网络信息对应的各目标策略元素;通过各目标策略元素对清洗后的历史网络信息进行标记生成标记后的历史网络信息。
9、可选的,根据策略规则库构建分类模型,包括:通过预设的特征提取算法从标准网络策略中提取特征信息,其中,特征信息包括源ip、目的ip、端口、传输协议、策略描述和源目的所属分区;通过分类算法根据特征信息确定标准网络策略对应的特征类别,其中,特征类别包括端口占用率、策略使用情况和跨分区非法访问情况;通过支持向量机对特征类别和标准网络策略进行训练以生成分类模型,其中,分类模型包括特征类别和标准网络策略的对应关系。
10、可选的,根据分类模型确定待测网络信息对应的策略脚本,包括:将待测网络信息输入分类模型,并获取分类模型输出的目标访问控制策略;确定目标访问控制策略标记的标记策略元素,根据目标访问控制策略和标记策略元素生成网络访问控制关系;将网络访问控制关系进行指定格式转换以生成策略脚本。
11、可选的,在调用策略脚本进行网络访问控制之后,还包括:获取访问监控参数,其中,访问监控参数包括网络流量变化和防火墙设备负载状态;当访问监控参数满足预设条件时,根据访问相关信息对标准网络策略进行调整以生成调整网络策略,根据调整网络策略进行网络控制访问。
12、根据本专利技术的另一方面,提供了一种网络访问控制装置,该装置包括:
13、策略规则库生成模块,用于获取历史网络信息,根据历史网络信息生成策略规则库;
14、分类模型构建模块,用于根据策略规则库构建分类模型;
15、网络访问控制模块,用于获取待测网络信息,根据分类模型确定待测网络信息对应的策略脚本,调用策略脚本进行网络访问控制。
16、根据本专利技术的另一方面,提供了一种电子设备,所述电子设备包括:
17、至少一个处理器;以及
18、与所述至少一个处理器通信连接的存储器;其中,
19、所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本专利技术任一实施例所述的一种网络访问控制方法。
20、根据本专利技术的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本专利技术任一实施例所述的一种网络访问控制方法。
21、本专利技术实施例的技术方案,通过对历史的防火墙策略日志和网络访问相关信息进行清洗和格式化处理生成策略规则库,通过支持向量机机算法进行分类和特征提取建立分类模型,通过分类模型即可确定待测网络信息对应的网络访问控制关系,进而生成策略脚本,以适应不断变化的网络攻击和防御需求,提高了防火墙设备对各种攻击的防范能力,同时降低了维护成本,提升了企业的整体安全性能,节约了人工成本,提高了工作效率。
22、应当理解,本部分所描述的内容并非旨在标识本专利技术的实施例的关键或重要特征,也不用于限制本专利技术的范围。本专利技术的其它特征将通过以下的说明书而变得容易理解。
本文档来自技高网...
【技术保护点】
1.一种网络访问控制方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述获取历史网络信息,包括:
3.根据权利要求1所述的方法,其特征在于,所述根据所述历史网络信息生成策略规则库,包括:
4.根据权利要求3所述的方法,其特征在于,所述对所述清洗后的历史网络信息进行标记生成标记后的历史网络信息,包括:
5.根据权利要求3所述的方法,其特征在于,所述根据所述策略规则库构建分类模型,包括:
6.根据权利要求5所述的方法,其特征在于,所述根据所述分类模型确定所述待测网络信息对应的策略脚本,包括:
7.根据权利要求5所述的方法,其特征在于,在所述调用所述策略脚本进行网络访问控制之后,还包括:
8.一种网络访问控制装置,其特征在于,包括:
9.一种电子设备,其特征在于,所述电子设备包括:
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求1-7中任一项所述的方法。
【技术特征摘要】
1.一种网络访问控制方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述获取历史网络信息,包括:
3.根据权利要求1所述的方法,其特征在于,所述根据所述历史网络信息生成策略规则库,包括:
4.根据权利要求3所述的方法,其特征在于,所述对所述清洗后的历史网络信息进行标记生成标记后的历史网络信息,包括:
5.根据权利要求3所述的方法,其特征在于,所述根据所述策略规则库构建分类模型,包括:
6.根据权利...
【专利技术属性】
技术研发人员:孙士斌,王立波,
申请(专利权)人:中国农业银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。