CN107332802B - 一种防火墙策略监控方法及装置 - Google Patents

一种防火墙策略监控方法及装置 Download PDF

Info

Publication number
CN107332802B
CN107332802B CN201610280260.8A CN201610280260A CN107332802B CN 107332802 B CN107332802 B CN 107332802B CN 201610280260 A CN201610280260 A CN 201610280260A CN 107332802 B CN107332802 B CN 107332802B
Authority
CN
China
Prior art keywords
matrix
information
port
weight
port number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610280260.8A
Other languages
English (en)
Other versions
CN107332802A (zh
Inventor
陈妍峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Group Jiangxi Co Ltd
Original Assignee
China Mobile Group Jiangxi Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Group Jiangxi Co Ltd filed Critical China Mobile Group Jiangxi Co Ltd
Priority to CN201610280260.8A priority Critical patent/CN107332802B/zh
Publication of CN107332802A publication Critical patent/CN107332802A/zh
Application granted granted Critical
Publication of CN107332802B publication Critical patent/CN107332802B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种防火墙策略监控方法及装置,所述方法包括:解析防火墙流量中的数据包,得到第一信息;所述第一信息至少包括端口号信息;对获得的端口号进行分类,将同一类别的端口号构造成邻接矩阵;获取同一类别的不同端口号之间的访问权值,并基于所述访问权值及所述类别对应的邻接矩阵得到判决矩阵;基于所述判决矩阵中不同端口号之间的矩阵权值及预设的判决门限值确定对应防火墙策略的异常情况。

Description

一种防火墙策略监控方法及装置
技术领域
本发明涉及业务支撑系统领域中的防火墙策略管理技术,尤其涉及一种防火墙策略监控方法及装置。
背景技术
在防火墙策略库中,有成千上万条策略,而当某个业务系统下线时,针对这个业务系统的防火墙策略却依然存在,这样给防火墙安全策略管理增加了很大的难度。现有的防火墙安全策略由于缺乏规则冲突性检查、完成性校验、流量解析等稽核机制,造成了防火墙策略众多、策略冗余、策略错误等现象,给安全和网络管理带来了问题,而这样的情况很容易造成将高级别的保密信息连接到高风险的Internet或其他外部系统上去,从而造成严重的安全隐患。
因此,提供一种防火墙策略监控方案,能够解决现有防火墙策略管理中存在的上述问题,实现对异常访问、非法数据流的及时发现,使管理员能够及时的删除冗余、错误的策略,已成为亟待解决的问题。
发明内容
有鉴于此,本发明实施例期望提供一种防火墙策略监控方法及装置,至少解决了现有技术存在的问题,能够实现对异常访问、非法数据流的及时发现,使管理员能够及时的删除冗余、错误的策略,实现防火墙策略的最小化。
为达到上述目的,本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种防火墙策略监控方法,所述方法包括:
解析防火墙流量中的数据包,得到第一信息;所述第一信息至少包括端口号信息;
对获得的端口号进行分类,将同一类别的端口号构造成邻接矩阵;
获取同一类别的不同端口号之间的访问权值,并基于所述访问权值及所述类别对应的邻接矩阵得到判决矩阵;
基于所述判决矩阵中不同端口号之间的矩阵权值及预设的判决门限值确定对应防火墙策略的异常情况。
上述方案中,所述第一信息还包括:源地址信息及目标地址信息;
所述对获得的端口号进行分类,包括:
提取解析得到的端口号中源地址及目标地址均相同的端口号,将源地址及目标地址均相同的端口号作为同一类别的端口号。
上述方案中,所述第一信息还包括:所述数据包对应的访问时间信息;所述端口号信息包括:源端口号信息及目标端口号信息;
所述获取同一类别的不同端口号之间的访问权值,包括:
获取第一时间段内各个源端口到目标端口的访问量信息,以及所述源端口及目标端口所属类别对应的业务权值信息;
基于所述访问量信息及所述业务权值信息确定不同端口号之间的访问权值。
上述方案中,所述端口号信息包括:源端口号信息及目标端口号信息;
所述基于所述判决矩阵中不同端口号之间的矩阵权值及预设的判决门限值确定对应防火墙策略的异常情况,包括:
将所述判决矩阵中各个源端口号与目标端口号之间的矩阵权值与预设的判决门限值进行比较,当所述矩阵权值大于所述预设的判决门限值时,确定相应的源端口号与目标端口号之间的防火墙策略可用;
当所述矩阵权值不大于所述预设的判决门限值时,确定相应的源端口号与目标端口号之间的防火墙策略不可用,并发出第一告警信息。
上述方案中,所述方法还包括:
分别获取所述判决矩阵中每一行的矩阵权值之和,确定行矩阵权值之和超过预设第一阈值时,发出第二告警信息;所述第二告警信息用于提示目标设备出现异常数据访问;
分别获取所述判决矩阵中每一列的矩阵权值之和,确定列矩阵权值之和超过预设第二阈值时,发出第三告警信息;所述第三告警信息用于提示源端设备出现异常流量数据;
分别将所述判决矩阵中的每个矩阵权值与预设第三阈值进行比较,确定所述矩阵权值超过第三阈值时,发出第四告警信息;所述第四告警信息用于提示所述矩阵权值对应的端口出现通信异常。
本发明实施例还提供了一种防火墙策略监控装置,所述装置包括:解析模块、分类模块、处理模块及确定模块;其中,
所述解析模块,用于解析防火墙流量中的数据包,得到第一信息;所述第一信息至少包括端口号信息;
所述分类模块,用于对获得的端口号进行分类;
所述处理模块,用于基于端口号之间的通信情况将同一类别的端口号构造成邻接矩阵;
以及,获取同一类别的不同端口号之间的访问权值,并基于所述访问权值及所述类别对应的邻接矩阵得到判决矩阵;
所述确定模块,用于基于所述判决矩阵中不同端口号之间的矩阵权值及预设的判决门限值确定对应防火墙策略的异常情况。
上述方案中,所述第一信息还包括:源地址信息及目标地址信息;
所述分类模块,还用于提取解析得到的端口号中源地址及目标地址均相同的端口号,将源地址及目标地址均相同的端口号作为同一类别的端口号。
上述方案中,所述第一信息还包括:所述数据包对应的访问时间信息;所述端口号信息包括:源端口号信息及目标端口号信息;
所述处理模块,还用于获取第一时间段内各个源端口到目标端口的访问量信息,以及所述源端口及目标端口所属类别对应的业务权值信息;
基于所述访问量信息及所述业务权值信息确定不同端口号之间的访问权值。
上述方案中,所述装置还包括第一告警模块;所述端口号信息包括:源端口号信息及目标端口号信息;
所述确定模块,还用于将所述判决矩阵中各个源端口号与目标端口号之间的矩阵权值与预设的判决门限值进行比较,当所述矩阵权值大于所述预设的判决门限值时,确定相应的源端口号与目标端口号之间的防火墙策略可用;
当所述矩阵权值不大于所述预设的判决门限值时,确定相应的源端口号与目标端口号之间的防火墙策略不可用,触发第一告警模块;
所述第一告警模块,用于发出第一告警信息。
上述方案中,所述装置还包括第二告警模块;
所述确定模块,还用于分别获取所述判决矩阵中每一行的矩阵权值之和,确定行矩阵权值之和超过预设第一阈值时,触发第二告警模块发出第二告警信息;所述第二告警信息用于提示目标设备出现异常数据访问;
所述确定模块,还用于分别获取所述判决矩阵中每一列的矩阵权值之和,确定列矩阵权值之和超过预设第二阈值时,触发第二告警模块发出第三告警信息;所述第三告警信息用于提示源端设备出现异常流量数据;
所述确定模块,还用于分别将所述判决矩阵中的每个矩阵权值与预设第三阈值进行比较,确定所述矩阵权值超过第三阈值时,触发第二告警模块发出第四告警信息;所述第四告警信息用于提示所述矩阵权值对应的端口出现通信异常。
本发明上述实施例提供的防火墙策略监控方法及装置,解析防火墙流量中的数据包,得到第一信息;所述第一信息至少包括端口号信息;对获得的端口号进行分类,将同一类别的端口号构造成邻接矩阵;获取同一类别的不同端口号之间的访问权值,并基于所述访问权值及所述类别对应的邻接矩阵得到判决矩阵;基于所述判决矩阵中不同端口号之间的矩阵权值及预设的判决门限值确定对应防火墙策略的异常情况;如此,能够实现对异常访问、非法数据流的及时发现,使管理员能够及时的删除冗余、错误的策略,实现防火墙策略的最小化。
附图说明
图1为本发明实施例中防火墙策略监控方法流程示意图一;
图2为本发明实施例中防火墙策略监控方法流程示意图二;
图3为本发明实施例中防火墙策略监控装置组成结构示意图;
图4为本发明实施例中防火墙策略监控系统组成结构示意图;
图5为本发明实施例中防火墙策略监控系统体系结构示意图。
具体实施方式
在本发明的各个实施例中,解析防火墙流量中的数据包,得到第一信息;所述第一信息至少包括端口号信息;对获得的端口号进行分类,将同一类别的端口号构造成邻接矩阵;获取同一类别的不同端口号之间的访问权值,并基于所述访问权值及所述类别对应的邻接矩阵得到判决矩阵;基于所述判决矩阵中不同端口号之间的矩阵权值及预设的判决门限值确定对应防火墙策略的异常情况。
下面结合附图及具体实施例对本发明再作进一步详细的说明。
实施例一
图1为本发明实施例中防火墙策略监控方法流程示意图,如图1所示,本发明实施例防火墙策略监控方法包括:
步骤101:解析防火墙流量中的数据包,得到第一信息。
这里,通过对防火墙流量中数据包的解析,至少可以得到端口号信息,也即所述第一信息至少包括端口号信息,该端口号信息可以包括源端口号信息及目标端口号信息,当然,还可以通过所述解析得到源地址信息、目标地址信息以及所述数据包对应的访问时间信息。
在实际实施时,本步骤之前,所述方法还包括:进行防火墙流量采集,以获得所述防火墙流量中的数据包;这里的采集可以为实时采集或周期性采集,相应的,对数据包的解析可以为实时解析或周期性的解析,优选的为实时采集并解析。
步骤102:对获得的端口号进行分类,将同一类别的端口号构造成邻接矩阵。
在实际应用中,通过对防火墙流量中数据包的解析可以得到源地址+目标地址不同的多个源端口号+多个目标端口号,因此,可以以源地址+目标地址作为分类标准,将源地址+目标地址相同的源端口号+目标端口号划分成一类,如此,便于分析从同一源端到同一目的主机的流量数据异常情况,以及同一类源端口号及目标端口号对应的不同的防火墙策略是否可用情况。
将同一类别的端口号构造成邻接矩阵,具体可以为基于不同端口号间是否能够正常通信将同一类别的端口号构造成邻接矩阵,如,将防火墙中既定策略定义成邻接矩阵,D[i][j],其中D[i]为源端口,D[j]为目标端口,构造成的邻接矩阵表示为:
Figure BDA0000977858680000061
上述矩阵中,A[n1][n2]表示第n1个源端口与第n2个目标端口之间的通信权值;n1,n2均为正整数,其中两个端口之间能正常通信则显示权值为1,未能进行正常显示则权值表示为0,例如,对于将源地址和目标地址相同的六个源端口及六个目标端口构造成邻接矩阵:
Figure BDA0000977858680000062
从上述邻接矩阵中可看出,第一个源端口与第一个目标端口、第四个目标端口均可以正常通信,但与第二、第三、第五及第六个目标端口均不能正常通信。
步骤103:获取同一类别的不同端口号之间的访问权值,并基于所述访问权值及所述类别对应的邻接矩阵得到判决矩阵。
这里,所述获取同一类别的不同端口号之间的访问权值,包括:
获取第一时间段内各个源端口到目标端口的访问量信息,以及所述源端口及目标端口所属类别对应的业务权值信息;
基于所述访问量信息及所述业务权值信息确定不同端口号之间的访问权值;
其中,所述第一时间段的具体取值可以依据实际情况选取,如1s;所述访问量指的是在所述第一时间段内从某个源端口到某个目标端口的访问次数,如S[i][j],即从源端口i到目标端口j的访问次数S;
由于端口号所属的类别是基于相应的源地址及目标地址确定的,而不同的目标地址对应不同的业务主机,根据业务主机所承载的业务的核心程度可确定该业务主机对应的权值Pn,如可以设定:核心业务主机的权值为4,一般业务主机的权值为3;因此,所述源端口及目标端口所属类别对应的业务权值信息,即为所述源端口及目标端口对应的目标业务主机的权值信息,设为P[j],可理解为目标端口j对应的权值。
基于所述访问量信息及所述业务权值信息确定不同端口号之间的访问权值,也即将访问量S[i][j]与目标地址的业务主机的权值P[j]相结合,得到不同端口号之间的访问权值X[i][j]=S[i][j]*P[j],通过矩阵表示如下:
Figure BDA0000977858680000071
上述矩阵中,X[n1][n2]表示第n1个源端口与第n2个目标端口之间的访问权值。
基于所述访问权值及所述类别对应的邻接矩阵得到判决矩阵,具体为将不同源端口与目标端口之间的访问权值,与对应的邻接矩阵中的通信权值相加,得到相应的判决矩阵E:
Figure BDA0000977858680000072
上述矩阵中,A[n1][n2]+X[n1][n2]表示判决矩阵中第n1个源端口与第n2个目标端口之间的矩阵权值。
步骤104:基于所述判决矩阵中不同端口号之间的矩阵权值及预设的判决门限值确定对应防火墙策略的异常情况。
优选地,判决门限值可设定为1,当源端口号与目标端口号之间的矩阵权值大于1时,表明对应的防火墙策略可用,当源端口号与目标端口号之间的矩阵权值不大于1时,表明对应的防火墙策略不可用,如为冗余策略,相应的,可发出告警,可携带相应的端口号信息;
在实际应用中,所述防火墙策略可以为人工录入的访问策略或从防火墙上自动采集的访问策略。
应用本发明上述实施例,通过对防火墙流量中数据包的解析、邻接矩阵的构造、判决矩阵的得出等操作,进而可实现自动对防火墙策略异常情况的判断及告警等,如此,以使管理员及时的删除该不可用的策略,进而提高系统的安全性及管理员日常运维的工作效率。
实施例二
图2为本发明实施例中防火墙策略监控方法流程示意图,如图2所示,本发明实施例防火墙策略监控方法包括:
步骤201:采集防火墙流量中的数据包并进行解析,得到第一信息。
这里,所述第一信息包括:源地址信息、目标地址信息、源端口号信息、目标端口号信息、访问时间信息等。
这里,所述采集可以为实时采集或周期性采集,相应的,对数据包的解析可以为实时解析或周期性的解析,优选的为实时采集并解析。
步骤202:对获得的端口号进行分类,将同一类别的端口号构造成邻接矩阵。
在实际应用中,通过对防火墙流量中数据包的解析可以得到源地址+目标地址不同的多个源端口号+多个目标端口号,因此,可以以源地址+目标地址作为分类标准,将源地址+目标地址相同的源端口号+目标端口号划分成一类,如此,便于分析从同一源端到同一目的主机的流量数据异常情况,以及同一类源端口号及目标端口号对应的不同的防火墙策略是否可用情况。
将同一类别的端口号构造成邻接矩阵,具体可以为基于不同端口号间是否能够正常通信将同一类别的端口号构造成邻接矩阵,如,将防火墙中既定策略定义成邻接矩阵,D[i][j],其中D[i]为源端口,D[j]为目标端口,构造成的邻接矩阵表示为:
Figure BDA0000977858680000091
上述矩阵中,A[n1][n2]表示第n1个源端口与第n2个目标端口之间的通信权值;n1,n2均为正整数,其中两个端口之间能正常通信则显示权值为1,未能进行正常显示则权值表示为0,例如,对于将源地址和目标地址相同的六个源端口及六个目标端口构造成邻接矩阵:
Figure BDA0000977858680000092
从上述邻接矩阵中可看出,第一个源端口与第一个目标端口、第四个目标端口均可以正常通信,但与第二、第三、第五及第六个目标端口均不能正常通信。
步骤203:获取同一类别的不同端口号之间的访问权值,并基于所述访问权值及所述类别对应的邻接矩阵得到判决矩阵。
这里,所述获取同一类别的不同端口号之间的访问权值,包括:
获取第一时间段内各个源端口到目标端口的访问量信息,以及所述源端口及目标端口所属类别对应的业务权值信息;
基于所述访问量信息及所述业务权值信息确定不同端口号之间的访问权值;
其中,所述第一时间段的具体取值可以依据实际情况选取,如1s;所述访问量指的是在所述第一时间段内从某个源端口到某个目标端口的访问次数,如S[i][j],即从源端口i到目标端口j的访问次数S;
由于端口号所属的类别是基于相应的源地址及目标地址确定的,而不同的目标地址对应不同的业务主机,根据业务主机所承载的业务的核心程度可确定该业务主机对应的权值Pn,如可以设定:核心业务主机的权值为4,一般业务主机的权值为3;因此,所述源端口及目标端口所属类别对应的业务权值信息,即为所述源端口及目标端口对应的目标业务主机的权值信息,设为P[j],可理解为目标端口j对应的权值。
基于所述访问量信息及所述业务权值信息确定不同端口号之间的访问权值,也即将访问量S[i][j]与目标地址的业务主机的权值P[j]相结合,得到不同端口号之间的访问权值X[i][j]=S[i][j]*P[j],通过矩阵表示如下:
Figure BDA0000977858680000101
上述矩阵中,X[n1][n2]表示第n1个源端口与第n2个目标端口之间的访问权值。
基于所述访问权值及所述类别对应的邻接矩阵得到判决矩阵,具体为将不同源端口与目标端口之间的访问权值,与对应的邻接矩阵中的通信权值相加,得到相应的判决矩阵E[n1][n2]:
Figure BDA0000977858680000102
上述矩阵中,A[n1][n2]+X[n1][n2]表示判决矩阵中第n1个源端口与第n2个目标端口之间的矩阵权值,即E[n1][n2]。
步骤204:分别将判决矩阵中每个矩阵权值及预设的判决门限值进行比较,判断矩阵权值是否大于预设的判决门限值,确定矩阵权值大于预设的判决门限值时,执行步骤205;确定矩阵权值不大于预设的判决门限值时,执行步骤208。
这里,判决门限值可设定为1,在实际应用中,每个源端口到一个目标端口的访问对应一条访问策略,当源端口号与目标端口号之间的矩阵权值大于1时,表明对应的防火墙策略可用,当源端口号与目标端口号之间的矩阵权值不大于1时,表明对应的防火墙策略不可用,如为冗余策略;在实际应用中,所述防火墙策略可以为人工录入的访问策略或从防火墙上自动采集的访问策略。
步骤205:分别获取判决矩阵中每一行的矩阵权值之和,将每一个行矩阵之和与预设第一阈值进行比较,判断行矩阵之和是否大于预设第一阈值,确定行矩阵权值之和未超过预设第一阈值时,执行步骤206;确定行矩阵权值之和超过预设第一阈值时,执行步骤209。
这里,所述预设第一阈值可以依据实际情况进行设定,当判决矩阵中某一行的矩阵权值之和突然异常增长超过预设第一阈值,表明当前的目标设备即目标地址的业务主机出现异常数据访问。
步骤206:分别获取所述判决矩阵中每一列的矩阵权值之和,将每一个列矩阵之和与预设第二阈值进行比较,判断列矩阵之和是否大于预设第二阈值,确定列矩阵权值之和未超过预设第二阈值时,执行步骤207;确定列矩阵权值之和超过预设第二阈值时,执行步骤210。
这里,所述预设第二阈值可以依据实际情况进行设定,当判决矩阵中某一列的矩阵权值之和突然异常增长超过预设第二阈值,表明源端设备即源端主机出现异常流量数据。
步骤207:分别将判决矩阵中的每个矩阵权值与预设第三阈值进行比较,判断矩阵权值是否大于预设第三阈值,确定所述矩阵权值超过第三阈值时,执行步骤211;确定所述矩阵权值未超过第三阈值时,执行步骤212。
这里,所述预设第三阈值可以依据实际情况进行设定,当判决矩阵中某一矩阵权值突然异常增长超过预设第三阈值,表明所述矩阵权值对应的端口出现通信异常,如判决矩阵中E[1][2]突然异常增长超过预设第三阈值,表明第1个源端口与第2个目标端口之间通信异常。
需要说明的是,操作步骤205、步骤206、步骤207的顺序并不限定是唯一的上述顺序,可以互换,如先执行步骤207、然后执行步骤205、最后执行步骤206。
步骤208:发出第一告警信息。
这里,所述第一告警信息用于提示当前的防火墙策略不可用,至少携带与该防火墙策略对应的源端口号与目标端口号信息。
步骤209:发出第二告警信息。
这里,所述第二告警信息用于提示目标设备出现异常数据访问;所述第二告警信息中可携带出现异常数据访问的目标设备的互联网协议(IP,Internet Protocol)地址、目标设备标识等信息,方便管理员进行查看及管理。
步骤210:发出第三告警信息。
这里,所述第三告警信息用于提示源端设备出现异常流量数据;所述第三告警信息中可携带出现异常流量数据的源端设备的IP地址、源端设备标识等信息,方便管理员进行查看及管理。
步骤211:发出第四告警信息。
这里,所述第四告警信息用于提示所述矩阵权值对应的端口出现通信异常;所述第四告警信息携带出现通信异常的源端口号及目标端口号信息,方便管理员进行查看及管理。
步骤212:结束本次处理流程。
应用本发明上述实施例,通过对防火墙流量中数据包的解析、邻接矩阵的构造、判决矩阵的得出等操作,可实现自动对防火墙策略异常情况的判断及相应的告警,如此,以使管理员及时的删除该不可用的策略,实现防火墙策略的最小化,进而提高管理员日常运维的工作效率;基于得出的判决矩阵还可进一步实现对网络流量情况的实时监控,能够及时的发现异常流量情况,便于防火墙策略的及时优化,提高系统的安全性。
实施例三
图3为本发明实施例中防火墙策略监控装置组成结构示意图,如图3所示,本发明实施例中防火墙策略监控装置组成包括:解析模块31、分类模块32、处理模块33及确定模块34;其中,
所述解析模块31,用于解析防火墙流量中的数据包,得到第一信息;所述第一信息至少包括端口号信息;
所述分类模块32,用于对获得的端口号进行分类;
所述处理模块33,用于基于端口号之间的通信情况将同一类别的端口号构造成邻接矩阵;
以及,获取同一类别的不同端口号之间的访问权值,并基于所述访问权值及所述类别对应的邻接矩阵得到判决矩阵;
所述确定模块34,用于基于所述判决矩阵中不同端口号之间的矩阵权值及预设的判决门限值确定对应防火墙策略的异常情况。
在一实施例中,所述解析模块31,还用于进行防火墙流量中数据包的采集。
在一实施例中,所述第一信息还包括:源地址信息及目标地址信息;
所述分类模块32,还用于提取解析得到的端口号中源地址及目标地址均相同的端口号,将源地址及目标地址均相同的端口号作为同一类别的端口号。
在一实施例中,所述第一信息还包括:所述数据包对应的访问时间信息;所述端口号信息包括:源端口号信息及目标端口号信息;
所述处理模块33,还用于获取第一时间段内各个源端口到目标端口的访问量信息,以及所述源端口及目标端口所属类别对应的业务权值信息;
基于所述访问量信息及所述业务权值信息确定不同端口号之间的访问权值。
在一实施例中,所述装置还包括第一告警模块35;所述端口号信息包括:源端口号信息及目标端口号信息;
所述确定模块34,还用于将所述判决矩阵中各个源端口号与目标端口号之间的矩阵权值与预设的判决门限值进行比较,当所述矩阵权值大于所述预设的判决门限值时,确定相应的源端口号与目标端口号之间的防火墙策略可用;
当所述矩阵权值不大于所述预设的判决门限值时,确定相应的源端口号与目标端口号之间的防火墙策略不可用,触发第一告警模块35;
所述第一告警模块35,用于发出第一告警信息。
在一实施例中,所述装置还包括第二告警模块36;
所述确定模块34,还用于分别获取所述判决矩阵中每一行的矩阵权值之和,确定行矩阵权值之和超过预设第一阈值时,触发第二告警模块36发出第二告警信息;所述第二告警信息用于提示目标设备出现异常数据访问;
所述确定模块34,还用于分别获取所述判决矩阵中每一列的矩阵权值之和,确定列矩阵权值之和超过预设第二阈值时,触发第二告警模块36发出第三告警信息;所述第三告警信息用于提示源端设备出现异常流量数据;
所述确定模块34,还用于分别将所述判决矩阵中的每个矩阵权值与预设第三阈值进行比较,确定所述矩阵权值超过第三阈值时,触发第二告警模块36发出第四告警信息;所述第四告警信息用于提示所述矩阵权值对应的端口出现通信异常。
实施例四
图4为本发明实施例中防火墙策略监控系统组成结构示意图,图5为本发明实施例中防火墙策略监控系统体系结构示意图;如图4、图5所示,本发明实施例中防火墙策略监控系统组成包括:防火墙策略监控装置41及安全运维平台前台42;其中,
防火墙策略监控装置41,用于解析防火墙流量中的数据包,得到第一信息;所述第一信息至少包括端口号信息;
以及,对获得的端口号进行分类,将同一类别的端口号构造成邻接矩阵;
以及,获取同一类别的不同端口号之间的访问权值,并基于所述访问权值及所述类别对应的邻接矩阵得到判决矩阵;
以及,基于所述判决矩阵中不同端口号之间的矩阵权值及预设的判决门限值确定对应防火墙策略的异常情况。
所述安全运维平台前台42,用于查询和维护防火墙的访问策略,可以查询人工录入的访问策略或者从防火墙上自动采集的访问策略。
以及,进行闲置防火墙策略展示,即展示没有使用过的访问策略;
以及,展现业务系统内各主机间的网络流量变化情况,展现单个业务系统流量、两个业务系统间的流量。
这里需要指出的是:以上涉及防火墙策略监控装置的描述,与上述方法描述是类似的,同方法的有益效果描述,不做赘述。对于本发明所述防火墙策略监控装置实施例中未披露的技术细节,请参照本发明方法实施例的描述。
在本发明实施例中,所述防火墙策略监控装置中的解析模块31、分类模块32、处理模块33、确定模块34、第一告警模块35及第二告警模块36,均可由终端中的中央处理器(CPU,Central Processing Unit)或数字信号处理器(DSP,Digital Signal Processor)、或现场可编程门阵列(FPGA,Field Programmable Gate Array)、或集成电路(ASIC,Application Specific Integrated Circuit)实现。
本领域的技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、随机存取存储器(RAM,Random Access Memory)、只读存储器(ROM,Read-Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、RAM、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。

Claims (8)

1.一种防火墙策略监控方法,其特征在于,所述方法包括:
解析防火墙流量中的数据包,得到第一信息;所述第一信息至少包括端口号信息、源地址信息及目标地址信息;
对获得的端口号进行分类,将同一类别的端口号构造成邻接矩阵;其中,所述对获得的端口号进行分类,包括:提取解析得到的端口号中源地址及目标地址均相同的端口号,将源地址及目标地址均相同的端口号作为同一类别的端口号;所述将同一类别的端口号构造成邻接矩阵,包括:将源地址及目标地址相同的至少一个源端口及至少一个目标端口构造成邻接矩阵;
获取同一类别的不同端口号之间的访问权值,并基于所述访问权值及所述类别对应的邻接矩阵得到判决矩阵;
基于所述判决矩阵中不同端口号之间的矩阵权值及预设的判决门限值确定对应防火墙策略的异常情况。
2.根据权利要求1所述方法,其特征在于,所述第一信息还包括:所述数据包对应的访问时间信息;所述端口号信息包括:源端口号信息及目标端口号信息;
所述获取同一类别的不同端口号之间的访问权值,包括:
获取第一时间段内各个源端口到目标端口的访问量信息,以及所述源端口及目标端口所属类别对应的业务权值信息;
基于所述访问量信息及所述业务权值信息确定不同端口号之间的访问权值。
3.根据权利要求1所述方法,其特征在于,所述端口号信息包括:源端口号信息及目标端口号信息;
所述基于所述判决矩阵中不同端口号之间的矩阵权值及预设的判决门限值确定对应防火墙策略的异常情况,包括:
将所述判决矩阵中各个源端口号与目标端口号之间的矩阵权值与预设的判决门限值进行比较,当所述矩阵权值大于所述预设的判决门限值时,确定相应的源端口号与目标端口号之间的防火墙策略可用;
当所述矩阵权值不大于所述预设的判决门限值时,确定相应的源端口号与目标端口号之间的防火墙策略不可用,并发出第一告警信息。
4.根据权利要求1所述方法,其特征在于,所述方法还包括:
分别获取所述判决矩阵中每一行的矩阵权值之和,确定行矩阵权值之和超过预设第一阈值时,发出第二告警信息;所述第二告警信息用于提示目标设备出现异常数据访问;
分别获取所述判决矩阵中每一列的矩阵权值之和,确定列矩阵权值之和超过预设第二阈值时,发出第三告警信息;所述第三告警信息用于提示源端设备出现异常流量数据;
分别将所述判决矩阵中的每个矩阵权值与预设第三阈值进行比较,确定所述矩阵权值超过第三阈值时,发出第四告警信息;所述第四告警信息用于提示所述矩阵权值对应的端口出现通信异常。
5.一种防火墙策略监控装置,其特征在于,所述装置包括:解析模块、分类模块、处理模块及确定模块;其中,
所述解析模块,用于解析防火墙流量中的数据包,得到第一信息;所述第一信息至少包括端口号信息、源地址信息及目标地址信息;
所述分类模块,用于对获得的端口号进行分类;其中,所述对获得的端口号进行分类,包括:提取解析得到的端口号中源地址及目标地址均相同的端口号,将源地址及目标地址均相同的端口号作为同一类别的端口号;
所述处理模块,用于基于端口号之间的通信情况将同一类别的端口号构造成邻接矩阵;
以及,获取同一类别的不同端口号之间的访问权值,并基于所述访问权值及所述类别对应的邻接矩阵得到判决矩阵;
其中,所述将同一类别的端口号构造成邻接矩阵,包括:将源地址及目标地址相同的至少一个源端口及至少一个目标端口构造成邻接矩阵;
所述确定模块,用于基于所述判决矩阵中不同端口号之间的矩阵权值及预设的判决门限值确定对应防火墙策略的异常情况。
6.根据权利要求5所述装置,其特征在于,所述第一信息还包括:所述数据包对应的访问时间信息;所述端口号信息包括:源端口号信息及目标端口号信息;
所述处理模块,还用于获取第一时间段内各个源端口到目标端口的访问量信息,以及所述源端口及目标端口所属类别对应的业务权值信息;
基于所述访问量信息及所述业务权值信息确定不同端口号之间的访问权值。
7.根据权利要求5所述装置,其特征在于,所述装置还包括第一告警模块;所述端口号信息包括:源端口号信息及目标端口号信息;
所述确定模块,还用于将所述判决矩阵中各个源端口号与目标端口号之间的矩阵权值与预设的判决门限值进行比较,当所述矩阵权值大于所述预设的判决门限值时,确定相应的源端口号与目标端口号之间的防火墙策略可用;
当所述矩阵权值不大于所述预设的判决门限值时,确定相应的源端口号与目标端口号之间的防火墙策略不可用,触发第一告警模块;
所述第一告警模块,用于发出第一告警信息。
8.根据权利要求5所述装置,其特征在于,所述装置还包括第二告警模块;
所述确定模块,还用于分别获取所述判决矩阵中每一行的矩阵权值之和,确定行矩阵权值之和超过预设第一阈值时,触发第二告警模块发出第二告警信息;所述第二告警信息用于提示目标设备出现异常数据访问;
所述确定模块,还用于分别获取所述判决矩阵中每一列的矩阵权值之和,确定列矩阵权值之和超过预设第二阈值时,触发第二告警模块发出第三告警信息;所述第三告警信息用于提示源端设备出现异常流量数据;
所述确定模块,还用于分别将所述判决矩阵中的每个矩阵权值与预设第三阈值进行比较,确定所述矩阵权值超过第三阈值时,触发第二告警模块发出第四告警信息;所述第四告警信息用于提示所述矩阵权值对应的端口出现通信异常。
CN201610280260.8A 2016-04-28 2016-04-28 一种防火墙策略监控方法及装置 Active CN107332802B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610280260.8A CN107332802B (zh) 2016-04-28 2016-04-28 一种防火墙策略监控方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610280260.8A CN107332802B (zh) 2016-04-28 2016-04-28 一种防火墙策略监控方法及装置

Publications (2)

Publication Number Publication Date
CN107332802A CN107332802A (zh) 2017-11-07
CN107332802B true CN107332802B (zh) 2020-08-07

Family

ID=60192395

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610280260.8A Active CN107332802B (zh) 2016-04-28 2016-04-28 一种防火墙策略监控方法及装置

Country Status (1)

Country Link
CN (1) CN107332802B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109413020B (zh) * 2018-04-28 2020-07-31 武汉思普崚技术有限公司 一种防火墙的策略配置方法和装置
CN109120448B (zh) * 2018-08-24 2020-05-05 武汉思普崚技术有限公司 一种告警方法及系统
CN109688009B (zh) * 2018-12-28 2022-03-11 山东中孚安全技术有限公司 一种基于业务流量空间图的网络异常数据挖掘方法
CN110912936B (zh) * 2019-12-20 2022-02-18 东软集团股份有限公司 媒体文件安全态势感知方法和防火墙

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103368976A (zh) * 2013-07-31 2013-10-23 电子科技大学 一种基于攻击图邻接矩阵的网络安全评估装置
CN103457949A (zh) * 2013-08-29 2013-12-18 哈尔滨工程大学 一种基于sFlow的大规模网络安全分析方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101895521B (zh) * 2009-05-22 2013-09-04 中国科学院研究生院 一种网络蠕虫检测与特征自动提取方法及其系统
JP5987627B2 (ja) * 2012-10-22 2016-09-07 富士通株式会社 不正アクセス検出方法、ネットワーク監視装置及びプログラム
CN104394021B (zh) * 2014-12-09 2017-08-25 中南大学 基于可视化聚类的网络流量异常分析方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103368976A (zh) * 2013-07-31 2013-10-23 电子科技大学 一种基于攻击图邻接矩阵的网络安全评估装置
CN103457949A (zh) * 2013-08-29 2013-12-18 哈尔滨工程大学 一种基于sFlow的大规模网络安全分析方法

Also Published As

Publication number Publication date
CN107332802A (zh) 2017-11-07

Similar Documents

Publication Publication Date Title
US11165807B2 (en) System and method for assigning threat valuations to network events and security events
US9565203B2 (en) Systems and methods for detection of anomalous network behavior
CN107332802B (zh) 一种防火墙策略监控方法及装置
CN109347827B (zh) 网络攻击行为预测的方法、装置、设备及存储介质
CN110300100A (zh) 日志审计的关联分析方法与系统
CN111935172A (zh) 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质
JP2006279930A (ja) 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置
CN108600003B (zh) 一种面向视频监控网络的入侵检测方法、装置及系统
CN104753863A (zh) 一种分布式拒绝服务攻击的防御方法、设备及系统
TWI234974B (en) Methodology of predicting distributed denial of service based on gray theory
CN112422554B (zh) 一种检测异常流量外连的方法、装置、设备及存储介质
CN112910918A (zh) 基于随机森林的工控网络DDoS攻击流量检测方法及装置
EP3242240B1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
CN116614287A (zh) 一种网络安全事件评估处理方法、装置、设备及介质
CN108712365B (zh) 一种基于流量日志的DDoS攻击事件检测方法及系统
CN111709021B (zh) 一种基于海量告警的攻击事件识别方法及电子装置
CN102104606A (zh) 一种内网蠕虫主机检测方法
CN117375985A (zh) 安全风险指数的确定方法及装置、存储介质、电子装置
CN110048905B (zh) 物联网设备通信模式识别方法及装置
WO2024007615A1 (zh) 模型训练方法、装置及相关设备
JP2017211806A (ja) 通信の監視方法、セキュリティ管理システム及びプログラム
CN114006719B (zh) 基于态势感知的ai验证方法、装置及系统
CN117391214A (zh) 模型训练方法、装置及相关设备
CN114584356A (zh) 网络安全监控方法及网络安全监控系统
JP2018169643A (ja) セキュリティ運用システム、セキュリティ運用管理装置およびセキュリティ運用方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant