(19)中华人民共和国国家知识产权局
(12)发明专利申请
(10)申请公布号 (43)申请公布日 (21)申请号 202011253413.2
(22)申请日 2020.11.11
(71)申请人 中国电子科技集团公司第三十研究
所
地址 610000 四川省成都市高新区创业路6
号
(72)发明人 李雷 原蓓蓓 彭凯 艾磊 邵伟 光孔
(74)专利代理机构 成都九鼎天元知识产权代理
金丝雀定位有限公司 51214
代理人 卿诚
(51)Int.Cl.
H04L 29/06(2006.01)
(54)发明名称基于会话流量日志的防火墙安全策略自动生成方法(57)摘要本发明涉及网络信息技术领域,具体涉及基于会话流量日志的防火墙安全策略自动生成方法,该方法对流量信息先进行计算并排名,最后选取前n的信息作为策略生成的材料。n为可变参数,可根据网络规模及复杂程度进行调整, 增加了对不同网络环境的适应性,选取前n的流量信息进行分析,还可以去除后排微量流量对安全策略生成所带来的误差,提高了安全策略的准确度。该方法在生成过程中提供了多种风格的安全策略,用户可以在策略选择阶段根据网络情况及自身偏好选择合适的安全策略,增加了用户使用的灵活性。该方法对会话流量信息的处理均为标准的表格处理,很容易使用数据库工具、大数据工具、excel工具等实现, 操作方便。权利要求书2页 说明书11页 附图1页CN 112437058 A 2021.03.02
C N 112437058
A
1.基于会话流量日志的防火墙安全策略自动生成方法,其特征在于,包括:
会话流量日志搜集:获取时间t内会话流量日志;
会话流量日志处理:对获取到的会话流量日志进行合并,并按照字节数进行排序,从排序后的日志中选取备用数据;
对象提取:将备用数据按照数据类型进行分组,进行信息去重处理得到对象元素信息;
安全策略生成与处理:以备用数据组建信息表,将数据信息替换为ID得到原始安全策略表;将原始安全策略表中数据按单一元素分组,进行数据去重处理得到以某一元素分类的安全策略表;同时可采用对数据类型进行分类获取最简安全策略表;从三种策略表中选取一个作为选定的安全策略表;
安全策略创建:根据安全策略构建服务对象和服务表,调整服务表内容服务列并对服务表内每组数据进行匹配,对应用标识数据进行筛选并进行分离处理得到结果表,再根据结果表创建对象表;将结果表中每组数据替换为ID后得到最终安全策略表,并根据最终安全策略表创建防火墙安全策略。
2.根据权利要求1所述的基于会话流量日志的防火墙安全策略自动生成方法,其特征在于:
将防火墙布部署在网络边界上,配置全通策略,通过开启流量日志记录的方式搜集流量信息,以单个正常业务周期计算,每个流量日志获取时间t大于等于一个正常业务周期。
3.根据权利要求1所述的基于会话流量日志的防火墙安全策略自动生成方法,所述的对获取到的会话流量日志进行合并,其特征在于:
分别将相同类型、相同应用标识、相同协议、相同源地址、相同目的地址、相同源端口、相同目的端口、相同进接口或相同出接口的日志进行合并,字节数进行累加。
4.根据权利要求1或2所述的基于会话流量日志的防火墙安全策略自动生成方法,所述的按照字节数进
行排序,从排序后的日志中选取备用数据,其特征在于:
鼠尾粟
将合并的日志按照字节数进行排序,并按照排序从前往后选取备用数据,根据业务流量的复杂度调整选择备用数据的比例。
5.根据权利要求1所述的基于会话流量日志的防火墙安全策略自动生成方法,其特征在于:所述的对象元素信息,包括ID信息、数据类型信息和数据值信息。
6.根据权利要求5所述的基于会话流量日志的防火墙安全策略自动生成方法,其特征在于:所述的数据类型包括应用标识、协议、源地址、目的地址、源端口、目的端口、进接口和出接口。
7.根据权利要求1所述的基于会话流量日志的防火墙安全策略自动生成方法,所述的将原始安全策略表中数据按单一元素分组,进行数据去重处理得到以某一元素分类的安全策略表,其特征在于:按照应用标识、协议、源地址、目的地址、源端口、目的端口、进接口或出接口数据进行分组处理,得到按对应数据类型分组的安全策略表。
8.根据权利要求1所述的基于会话流量日志的防火墙安全策略自动生成方法,其特征在于:所述的服务对象由协议、源端口、目的端口组成。
9.根据权利要求1所述的基于会话流量日志的防火墙安全策略自动生成方法,所述的根据安全策略构建
服务对象和服务表,调整服务表内容服务列并对服务表内每组数据进行匹配,其特征在于:
人工抽脂
根据对应关系将服务表中的服务加入选定的安全策略表中,同时去除协议、源端口和目的端口列数据,增加服务列。
10.根据权利要求1所述的基于会话流量日志的防火墙安全策略自动生成方法,对应用标识数据进行筛选并进行分离处理得到结果表,其特征在于:
appid为2的应用识别号为0的代表未识别,在安全策略中可不予配置,则将appid为2的安全策略进行分离筛除并得到结果表。
基于会话流量日志的防火墙安全策略自动生成方法
技术领域
[0001]本发明涉及网络信息技术领域,具体涉及基于会话流量日志的防火墙安全策略自动生成方法。
背景技术
[0002]随着国家对网络安全重视程度的提高,防火墙作为一种通用边界防护设备的应用越来越广泛。
而对于防火墙的配置使用,通常掌握在专业的网络运维人员手中。在配置防火墙安全策略时,由于对网络拓扑认识不深,或者其它人为因素,很容易出现策略遗漏、冗余甚至错误等问题。
[0003]现有的策略配置方法往往依赖于策略配置模板、资源模板等,其策略生成的好坏取决于模板的好坏,不能适应复杂的网络拓扑,比如:专利《基于脚本模板化生成配置防火墙安全策略的方法》CN110430206A和专利《一种防火墙安全策略配置方法和装置、以及防火墙》CN105847236B。还有的一些配置方法需要防火墙的信息过多且操作复杂不易实现,比如:专利《防火墙安全策略配置方法及管理装置》CN101582900B。软膜布
[0004]因此,现有的网络信息安全领域中还没有特别便捷的方法,可促使防火墙安全策略的自动生成;故需要提出更为合理的技术方案,对现有技术中存在的问题进行改进。
发明内容
[0005]为了克服上述内容中提到的现有技术存在的缺陷,本发明提供了基于会话流量日志的防火墙安全策略自动生成方法,旨在解决当前防火墙策略生成方法存在的模板依赖度高,适应性差,操作复杂,准确度较低的问题。
[0006]为了实现上述目的,本发明具体采用的技术方案是:
电网监测[0007]基于会话流量日志的防火墙安全策略自动生成方法,包括:
[0008]会话流量日志搜集:获取时间t内会话流量日志;
[0009]会话流量日志处理:对获取到的会话流量日志进行合并,并按照字节数进行排序,从排序后的日志中选取备用数据;
[0010]对象提取:将备用数据按照数据类型进行分组,进行信息去重处理得到对象元素信息;
[0011]安全策略生成与处理:以备用数据组建信息表,将数据信息替换为ID得到原始安全策略表;将原始安全策略表中数据按单一元素分组,进行数据去重处理得到以某一元素分类的安全策略表;同时可采用对数据类型进行分类获取最简安全策略表;从三种策略表中选取一个作为选定的安全策略表;
[0012]安全策略创建:根据安全策略构建服务对象和服务表,调整服务表内容服务列并对服务表内每组数据进行匹配,对应用标识数据进行筛选并进行分离处理得到结果表,再根据结果表创建对象表;将结果表中每组数据替换为ID后得到最终安全策略表,并根据最终安全策略表创建防火墙安全策略。
[0013]上述公开的防火墙安全策略自动生成方法,通过对数据进行整合处理,去除了对安全策略生成无关的业务数据,选取得备用数据能够生成更为精准的安全策略。
[0014]进一步的,上述公开的会话流量日志搜集步骤中,将防火墙布部署在网络边界上,配置全通策略,通过开启流量日志记录的方式搜集流量信息,以单个正常业务周期计算,每个流量日志获取时间t大于等于一个正常业务周期。
[0015]进一步的,所述的对获取到的会话流量日志进行合并,即分别将相同类型、相同应用标识、相同协议、相同源地址、相同目的地址、相同源端口、相同目的端口、相同进接口或相同出接口的日志进行合并,字节数进行累加。
[0016]进一步的,所述的按照字节数进行排序,从排序后的日志中选取备用数据,是将合并的日志按照字节数进行排序,并按照排序从前往后选取n组备用数据,根据业务流量的复杂度调整选择备用数据的比例n。
[0017]进一步的,所述的对象元素信息,包括ID信息、数据类型信息和数据值信息。[0018]进一步的,所述的数据类型(type)包括应用标识(appid)、协议(proto)、源地址(saddr)、目的地址(daddr)、源端口(sport)、目的端口(dport)、进接口(iif)和出接口(oif)。
[0019]进一步的,所述的将原始安全策略表中数据按单一元素分组,进行数据去重处理得到以某一元素分类的安全策略表,具体的,按如下可行方案实行:按照应用标识、协议、源地址、目的地址、源端口、目的端口、进接口或出接口数据进行分组处理,得到按对应数据类型分组的安全策略表。
[0020]进一步的,所述的服务对象由协议、源端口、目的端口组成。
[0021]进一步的,所述的根据安全策略构建服务对象和服务表,调整服务表内容服务列并对服务表内每组数据进行匹配,具体的,根据对应关系将服务表中的服务加入选定的安全策略表中,同时去除协议、源端口和目的端口列数据,增加服务列。
[0022]进一步的,对应用标识数据进行筛选并进行分离处理得到结果表,菊科采用如下可行的方案:appid为2的应用识别号为0的代表未识别,在安全策略中可不予配置,则将appid为2的安全策略进行分离筛除并得到结果表。
[0023]与现有技术相比,本发明具有的有益效果是:
[0024]本发明充分利用基于会话防火墙所产生的流量日志信息并进行分析与计算后构建了一种防火墙安全策略自动生成方法。该方法对流量信息先进行计算并排名,最后选取前n的信息作为策略生成的材料。n为可变参数,可根据网络规模及复杂程度进行调整,增加了对不同网络环境的适应性,选取前n的流量信息进行分析,还可以去除后排微量流量对安全策略生成所带来的误差,提高了安全策略的准确度。
[0025]该方法在生成过程中提供了多种风格的安全策略,用户可以在策略选择阶段根据网络情况及自身偏好选择合适的安全策略,增加了用户使用的灵活性。
[0026]该方法对会话流量信息的处理均为标准的表格处理,很容易使用数据库工具、大数据工具、excel工具等实现,操作方便。
附图说明
[0027]为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附
