CN107800671B - 一种防火墙规则的生成方法及装置 - Google Patents

一种防火墙规则的生成方法及装置 Download PDF

Info

Publication number
CN107800671B
CN107800671B CN201610804090.9A CN201610804090A CN107800671B CN 107800671 B CN107800671 B CN 107800671B CN 201610804090 A CN201610804090 A CN 201610804090A CN 107800671 B CN107800671 B CN 107800671B
Authority
CN
China
Prior art keywords
type
firewall
abnormal data
class
rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610804090.9A
Other languages
English (en)
Other versions
CN107800671A (zh
Inventor
原卓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Kingsoft Cloud Network Technology Co Ltd
Beijing Kingsoft Cloud Technology Co Ltd
Original Assignee
Beijing Kingsoft Cloud Network Technology Co Ltd
Beijing Kingsoft Cloud Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kingsoft Cloud Network Technology Co Ltd, Beijing Kingsoft Cloud Technology Co Ltd filed Critical Beijing Kingsoft Cloud Network Technology Co Ltd
Priority to CN201610804090.9A priority Critical patent/CN107800671B/zh
Publication of CN107800671A publication Critical patent/CN107800671A/zh
Application granted granted Critical
Publication of CN107800671B publication Critical patent/CN107800671B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明实施例公开了一种防火墙规则的生成方法及装置。该方法包括:收集防火墙接收到的用户输入数据;将收集到的用户输入数据分别与白名单规则库中的第一类防火墙规则进行匹配,获得与所述第一类防火墙规则不匹配的第一类异常数据;将所述第一类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与所述第二类防火墙规则不匹配的第二类异常数据;基于所述第二类异常数据,生成新的第一类防火墙规则。应用本发明实施例提供的方案生成新的用于白名单规则库的防火墙规则时,可以避免防火墙基于接收到的大量恶意数据生成白名单规则库中的防火墙规则,保证系统准确地生成用于白名单规则库的防火墙规则。

Description

一种防火墙规则的生成方法及装置
技术领域
本发明涉及计算机技术领域,特别涉及一种防火墙规则的生成方法及装置。
背景技术
防火墙(Firewall),也称防护墙,是一种位于内部网络与外部网络之间的网络安全系统,其依照防火墙规则库中特定的防火墙规则,允许或是限制传输的数据通过。防火墙规则库可以是黑名单规则库或白名单规则库,黑名单规则库中的防火墙规则是由具有攻击性的恶意数据中提取出来的,当防火墙接收到的数据与黑名单规则库中的任意一个防火墙规则匹配时,则系统判断该数据为恶意数据,系统根据预先定义的方式预警或阻断;白名单规则库中的防火墙规则是由正常的合法数据中提取出来的,当防火墙接收到的数据与白名单规则库中的任意一个防火墙规则匹配时,则系统判断该数据为合法数据,系统允许该数据通过防火墙。
目前,防火墙规则库中的防火墙规则是基于防火墙接收到的数据(即用户输入数据)所提取到的特征参数获得的,另外,防火墙需要不断更新其中的防火墙规则,现有技术中,自学习式的防火墙可以通过对不断接收到的数据进行学习来提取数据的特征参数,进而生成新的防火墙规则。
但是,对于白名单规则库,网络攻击者可以不断向防火墙发送大量相同或相似的恶意数据,以误导防火墙基于不断接收到的恶意数据,生成新的防火墙规则并添加到白名单规则库中,进而使得防火墙在此后将该类恶意数据当成合法的用户输入数据,不再对该类恶意数据进行阻断或预警。
发明内容
本发明实施例公开了一种防火墙规则的生成方法及装置,以避免防火墙基于接收到的大量恶意数据生成白名单规则库中的防火墙规则。技术方案如下:
为达上述目的,第一方面,本发明实施例公开了一种防火墙规则的生成方法,所述方法包括:
收集防火墙接收到的用户输入数据;
将收集到的用户输入数据分别与白名单规则库中的第一类防火墙规则进行匹配,获得与所述第一类防火墙规则不匹配的第一类异常数据;
将所述第一类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与所述第二类防火墙规则不匹配的第二类异常数据;
基于所述第二类异常数据,生成新的第一类防火墙规则。
优选的,所述基于所述第二类异常数据,生成新的第一类防火墙规则,包括:
从所述第一类异常数据中,确定与所述第二类防火墙规则匹配的第三类异常数据;
获得所述第三类异常数据对应的源IP地址的IP信誉度;
从所述第三类异常数据中,确定IP信誉度高于第一预设阈值的第四类异常数据;
基于所述第二类异常数据以及所述第四类异常数据,生成新的第一类防火墙规则。
优选的,所述将所述第一类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与所述第二类防火墙规则不匹配的第二类异常数据,包括:
获得所述第一类异常数据对应的源IP地址的IP信誉度;
从所述第一类异常数据中,确定IP信誉度高于第二预设阈值的第五类异常数据;
将所述第五类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与所述第二类防火墙规则不匹配的第二类异常数据。
优选的,所述方法还包括:
根据所述新的第一类防火墙规则更新所述白名单规则库。
优选的,所述根据所述新的第一类防火墙规则更新所述白名单规则库,包括:
获得所述新的第一类防火墙规则的有效期限;
将所述新的第一类防火墙规则和所述有效期限更新至所述白名单规则库。
优选的,所述方法还包括:
监测所述有效期限是否到期;
若为是,从所述白名单规则库中删除所述新的第一类防火墙规则。
优选的,所述方法还包括:
确定所述白名单规则库中与防火墙接收到的目标用户输入数据相匹配的目标规则;
延长所述白名单规则库中记录的所述目标规则的有效期限。
优选的,所述第二类防火墙规则中包含的关键词的数量不超过预设数量;
所述将所述第一类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与所述第二类防火墙规则不匹配的第二类异常数据,包括:
将所述第一类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与所述第二类防火墙规则不匹配的第二类异常数据,以及与所述第二类防火墙规则相匹配的第六类异常数据;
所述方法还包括:
基于所述第六类异常数据,生成新的第三类防火墙规则,其中,所述第三类防火墙规则为应用于黑名单规则库的防火墙规则。
优选的,所述基于所述第六类异常数据,生成新的第三类防火墙规则,包括:
获得所述第六类异常数据对应的源IP地址的IP信誉度;
从所述第六类异常数据中,确定IP信誉度低于第三预设阈值的第七类异常数据;
基于所述第七类异常数据,生成新的第三类防火墙规则。
优选的,所述方法还包括:
将生成的新的第三类防火墙规则更新到第二黑名单规则库。
优选的,所述将收集到的用户输入数据分别与白名单规则库中的第一类防火墙规则进行匹配,获得与所述第一类防火墙规则不匹配的第一类异常数据,包括:
将收集到的用户输入数据分别与白名单规则库中的第一类防火墙规则以及第二黑名单规则库中的第三类防火墙规则进行匹配,获得与所述第一类防火墙规则以及所述第三类防火墙规则均不匹配的第一类异常数据。
第二方面,本发明实施例公开了一种防火墙规则的生成装置,所述装置包括:
收集模块,用于收集防火墙接收到的用户输入数据;
第一获得模块,用于将收集到的用户输入数据分别与白名单规则库中的第一类防火墙规则进行匹配,获得与所述第一类防火墙规则不匹配的第一类异常数据;
第二获得模块,用于将所述第一类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与所述第二类防火墙规则不匹配的第二类异常数据;
第一生成模块,用于基于所述第二类异常数据,生成新的第一类防火墙规则。
优选的,所述第一生成模块,包括:
第一确定单元,用于从所述第一类异常数据中,确定与所述第二类防火墙规则匹配的第三类异常数据;
第一获得单元,用于获得所述第三类异常数据对应的源IP地址的IP信誉度;
第二确定单元,用于从所述第三类异常数据中,确定IP信誉度高于第一预设阈值的第四类异常数据;
第一生成单元,用于基于所述第二类异常数据以及所述第四类异常数据,生成新的第一类防火墙规则。
优选的,所述第二获得模块,包括:
第二获得单元,用于获得所述第一类异常数据对应的源IP地址的IP信誉度;
第三确定单元,用于从所述第一类异常数据中,确定IP信誉度高于第二预设阈值的第五类异常数据;
第三获得单元,用于将所述第五类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与所述第二类防火墙规则不匹配的第二类异常数据。
优选的,所述装置还包括:
第一更新模块,用于根据所述新的第一类防火墙规则更新所述白名单规则库。
优选的,所述更新模块,包括:
第四获得单元,用于获得所述新的第一类防火墙规则的有效期限;
更新单元,用于将所述新的第一类防火墙规则和所述有效期限更新至所述白名单规则库。
优选的,所述装置还包括:
监测模块,用于监测所述有效期限是否到期;
删除模块,用于在所述监测模块监测到所述有效期限到期时,从所述白名单规则库中删除所述新的第一类防火墙规则。
优选的,所述装置还包括:
确定模块,用于确定所述白名单规则库中与防火墙接收到的目标用户输入数据相匹配的目标规则;
延长模块,用于延长所述白名单规则库中记录的所述目标规则的有效期限。
优选的,所述第二类防火墙规则中包含的关键词的数量不超过预设数量;
所述第二获得模块,具体用于将所述第一类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与所述第二类防火墙规则不匹配的第二类异常数据,以及与所述第二类防火墙规则相匹配的第六类异常数据;
所述装置还包括:
第二生成模块,用于基于所述第六类异常数据,生成新的第三类防火墙规则,其中,所述第三类防火墙规则为应用于黑名单规则库的防火墙规则。
优选的,所述第二生成模块,包括:
第五获得单元,用于获得所述第六类异常数据对应的源IP地址的IP信誉度;
第四确定单元,用于从所述第六类异常数据中,确定IP信誉度低于第三预设阈值的第七类异常数据;
第二生成单元,用于基于所述第七类异常数据,生成新的第三类防火墙规则。
优选的,所述装置还包括:
第二更新模块,将生成的新的第三类防火墙规则更新到第二黑名单规则库。
优选的,所述第一获得模块,具体用于将收集到的用户输入数据分别与白名单规则库中的第一类防火墙规则以及第二黑名单规则库中的第三类防火墙规则进行匹配,获得与所述第一类防火墙规则以及所述第三类防火墙规则均不匹配的第一类异常数据。
由以上可见,在本发明实施例提供的方案中,首先收集防火墙接收到的用户输入数据;然后将收集到的用户输入数据分别与白名单规则库中的各个第一类防火墙规则进行匹配,获得与第一类防火墙规则不匹配的第一类异常数据;再将第一类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与第二类防火墙规则不匹配的第二类异常数据;最后基于所述第二类异常数据,生成新的第一类防火墙规则。与现有技术相比,本发明实施例提供的方案中,基于与白名单规则库以及第一黑名单规则库中的防火墙规则均不匹配的数据,来生成新的用于白名单规则库规则库的防火墙规则,生成新的防火墙规则的过程中,通过第一黑名单规则库排除了防火墙接收到的大量恶意数据,避免系统基于大量的恶意数据生成新的防火墙规则,保证系统准确地生成用于白名单规则库的防火墙规则。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种防火墙规则的生成方法的第一种流程示意图;
图2为本发明实施例提供的一种防火墙规则的生成方法的第二种流程示意图;
图3为本发明实施例提供的一种防火墙规则的生成方法的第三种流程示意图;
图4为本发明实施例提供的一种防火墙规则的生成方法的第四种流程示意图;
图5为本发明实施例提供的一种防火墙规则的生成方法的第五种流程示意图;
图6为本发明实施例提供的一种防火墙规则的生成方法的第六种流程示意图;
图7为本发明实施例提供的一种防火墙规则的生成方法的第七种流程示意图;
图8为本发明实施例提供的一种防火墙规则的生成方法的第八种流程示意图;
图9为本发明实施例提供的一种防火墙规则的生成装置的第一种结构示意图;
图10为本发明实施例提供的一种防火墙规则的生成装置的第二种结构示意图;
图11为本发明实施例提供的一种防火墙规则的生成装置的第三种结构示意图;
图12为本发明实施例提供的一种防火墙规则的生成装置的第四种结构示意图;
图13为本发明实施例提供的一种防火墙规则的生成装置的第五种结构示意图;
图14为本发明实施例提供的一种防火墙规则的生成装置的第六种结构示意图;
图15为本发明实施例提供的一种防火墙规则的生成装置的第七种结构示意图;
图16为本发明实施例提供的一种防火墙规则的生成装置的第八种结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
首先,针对本申请文件中涉及的技术术语进行简单介绍。
用户输入数据:网络中的用户相互访问时,在源主机和目的主机之间会产生数据流,防火墙通过对该数据流进行捕获和解析,获得该数据流中包含的源主机用户输入数据,本领域技术人员公知的是,用户输入数据反映了用户的操作意图和访问信息。现有技术中,防火墙将用户输入数据与防火墙规则库中的防火墙规则进行比对,确定是否拦截或通过该用户输入数据对应的用户访问。
自学习式防火墙:其可以在防火墙工作过程中,基于合法的用户输入数据生成用于白名单规则库的防火墙规则。以Web(万维网)应用防火墙为例,自学习式Web应用防火墙由合法通信的数据样本生成规则集,实现Web应用的深层安全防护。
基于目前的研究成果,可将自学习式防火墙的学习模式分为两种类型,一种是对Web应用网页的自学习技术,偏重于学习网页特点;这种学习模式中,通过一段时间收集的用户输入数据,WAF(Web Application Firewall,Web应用防火墙/Web应用防护系统)记录一个网页的访问模式,如其中有多少个输入点、输入的数据类型、长度范围等,学习完毕后,新生成的防火墙规则定义出这个网页的正常使用模式,只要有用户突破了这个模式,则WAF就会根据预先定义的方式预警或阻断。
另一种学习模式是对Web服务的用户行为模式的学习,偏重于学习用户访问规律,这种学习模式中,通过一段时间收集的用户输入数据,以及具体的Web应用服务,建立若干用户行为模型,学习完毕后,新生成的防火墙规则定义了正常的用户访问行为。
下面从与现有技术进行对比的角度对本发明进行详细介绍。
现有技术中,前述自学习式防火墙在工作过程中,生成新的用于白名单规则库的防火墙规则的方法包括:收集防火墙接收到的用户输入数据;将收集到的用户输入数据分别与白名单规则库中的防火墙规则进行匹配,获得与白名单规则库中的防火墙规则不匹配的异常数据;然后基于上述异常数据,生成新的用于白名单规则库的防火墙规则。
显而易见的,现有技术的防火墙在学习的过程中,网络攻击者可以不断向防火墙发送大量相同或相似的恶意数据,以误导防火墙基于不断接收到的恶意数据,生成新的防火墙规则添加到白名单规则库中,进而使得防火墙在此后将该类恶意数据当成合法的用户输入数据,不再对该类恶意数据进行阻断或预警。
而在本发明实施例中,生成新的用于白名单规则库的防火墙规则的方法包括:收集防火墙接收到的用户输入数据;将收集到的用户输入数据分别与白名单规则库中的第一类防火墙规则进行匹配,获得与上述第一类防火墙规则不匹配的第一类异常数据;将上述第一类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与上述第二类防火墙规则不匹配的第二类异常数据;基于上述第二类异常数据,生成新的第一类防火墙规则。
本发明实施例生成新的用于白名单规则库的防火墙规则时,所基于的异常数据为与上述白名单规则库以及上述第一黑名单规则库中的防火墙规则均不匹配的用户输入数据,相比于现有技术中直接基于与白名单规则库中的防火墙规则不匹配的异常数据,生成新的用于白名单规则库的防火墙规则,本发明实施例提供的方案可以通过第一黑名单规则库,从用于生成新的防火墙规则的用户输入数据中排除防火墙接收到的大量恶意数据,保证系统准确地生成用于白名单规则库的防火墙规则。
下面再通过具体实施例对本发明进行详细介绍。
本发明实施例提供的一种防火墙规则的生成方法,可以应用于防火墙系统的服务器,如图1所示,该方法包括:
S101:收集防火墙接收到的用户输入数据。
可以理解,在防火墙工作的过程,除了对接收到用户输入数据进行阻断、预警或放行通过外,还需要将经过防火墙的用户输入数据记录并收集下来。
在本发明实施例中,可以收集预设时长内防火墙收集到的用户输入数据,例如:收集时间长度为T的时间窗内防火墙接收到的用户输入数据;还可以是收集预设数量的用户输入数据,例如,收集10万个用户输入数据。
S102:将收集到的用户输入数据分别与白名单规则库中的第一类防火墙规则进行匹配,获得与上述第一类防火墙规则不匹配的第一类异常数据。
应该说明的是,与现有技术相同的是:在防火墙第一次工作前,防火墙系统中已经预先生成一个初始的白名单规则库,该初始的白名单规则库同样是由合法的用户输入数据生成,以Web应用防火墙为例,现有的多数商用应用在上线之前都会进行全面的测试,测试时可以收集到包含所有的用户输入模式和行为模式的样本数据集,该样本数据集较为全面、可靠,防火墙系统可以利用该样本数据集生成上述初始的白名单规则库。
在白名单规则库中,存储的第一类防火墙规则的数量较多,可能有成百上千个,每一个上述用户输入数据都应与白名单规则库中的各个第一类防火墙规则进行匹配,判断是否匹配,若某一个用户输入数据与白名单规则库中的所有第一类防火墙规则均不匹配,则确定该用户输入数据为第一类异常数据。
在本发明实施例中,判断用户输入数据是否与上述第一类防火墙规则匹配的具体方法,本发明实施例在此不再详细介绍。
S103:将上述第一类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与上述第二类防火墙规则不匹配的第二类异常数据。
本领域技术人员公知的是,黑名单规则库是基于已知攻击方式的特征建立的,在现有技术中,如果某一用户输入数据与黑名单规则库中的任一防火墙规则匹配,则确定该用户输入数据为恶意数据,防火墙对该恶意数据进行阻断或预警,但是通过黑名单规则库对恶意数据进行阻断或预警的方式具有如下缺点:
1)网络攻击者对于网络的攻击方式,尤其对于Web应用的攻击方式日益增多,相应的黑名单规则库也势必越来越庞大,维护这样的黑名单规则库会带来很多不必要的消耗和浪费,这也是阻止WAF广泛应用的巨大障碍。
2)当出现变种攻击或未知攻击时,仅使用黑名单规则库的防火墙只能做到“事后防护”,无法及时准确判断用户输入数据是否包含恶意攻击,防火墙易出现漏报的情况。
3)仅使用黑名单规则库的防火墙无法应对某些缺乏明显的攻击特征的HTTP攻击,如数据篡改等。
应该强调的是,与现有技术不同的是,当本发明实施例所提供的方案用于生成适用于白名单规则库的防火墙规则时,上述第一黑名单规则库的作用还可以在于:从上述第一类异常数据中排除与该第一黑名单规则库中的防火墙规则匹配的恶意数据。即,在防火墙的自学习过程中,如果网络攻击者向防火墙发送大量相同或相似的恶意数据,防火墙可以基于该第一黑名单规则库将大量的恶意数据排除,避免使用前述大量的恶意数据生成新的用于白名单规则库的防火墙规则。
另外,具体的,判断上述第一类异常数据是否与上述第二类防火墙规则匹配的具体方法,本发明实施例在此不再详细介绍。
应该说明的是,为了防止该第一黑名单规则库的过于庞大以占用和消耗过多的资源,在本发明实施例中,可以使用精简版的黑名单规则库,即该第一黑名单规则库中仅包括特定的关键词,而不包括关键词的组合。
当然,可以理解的是,本发明实例中的第一黑名单规则库也可以根据需要进行更新,具体的更新第一黑名单规则库的方法,本发明实施例在此不再赘述。
S104:基于上述第二类异常数据,生成新的第一类防火墙规则。
假设现有多个第二类异常数据,分别为a1、a2、a3…an-1和an,防火墙系统可以对上述n个用户数输入数据的特征进行提取、合并,生成新的第一类防火墙规则A1,可以理解,系统基于上述上述n个用户数输入数据,并不限于只生成一个新的第一类防火墙规则,还可以是多个,例如,还生成了新的第一类防火墙规则A2和A3
应该说明的是,对于基于用户输入数据生成防火墙规则的方法为现有技术,本领域技术人员可以借鉴现有技术生成新的第一类防火墙规则,本发明实施例在此不做限定。
为了避免防火墙基于第一黑名单规则库排除恶意数据时出现的误判情况,在本发明实施例中,如图2所示的一种防火墙规则的生成方法的第二种流程示意图,前述基于上述第二类异常数据,生成新的第一类防火墙规则(S104),可以包括:
S1041:从上述第一类异常数据中,确定与上述第二类防火墙规则匹配的第三类异常数据。
可以理解,此处的第三类异常数据为与上述白名单规则库中的第一类防火墙规则不匹配、与上述第一黑名单规则库的第二类防火墙规则相匹配的用户输入数据。
S1042:获得上述第三类异常数据对应的源IP地址的IP信誉度。
用户输入数据在网络中传输时,其报文头包含源IP(Internet Protocol,网络之间互连的协议)地址,防火墙系统可以读取该源IP地址,并查询现有技术中的IP信誉库获得该源IP地址对应的IP信誉度。
对于IP信誉库,本领域技术人员公知的是,在网络攻防战中,网络攻击行为发生的场景都不外乎从源IP地址到目的IP地址,现有的主流网络技术短期仍然没有脱离IP技术的可能,因此,在现有技术中,本领域技术人员基于大数据中获取到的足够多的攻防记录,对每个IP地址的各个属性进行统计记录,并持续地对每一个IP地址进行关注和评价,以对海量IP地址建立IP信誉库。如果一个IP地址,如黑客IP地址、代理IP地址、僵尸网络IP地址,作为源IP地址多次参与网络攻击事件,那么该IP地址对应的信誉度可能就比较低。
S1043:从上述第三类异常数据中,确定IP信誉度高于第一预设阈值的第四类异常数据。
例如,在实际的应用过程中,对于某一个第三类异常数据,其对应的源IP地址为X,IP信誉库中记录的信息表明IP地址X作为源IP地址一共参与过10次的网络攻击事件,假设设定的第一预设阈值为100次,则确定该第三类异常数据为第四类异常数据;或者,IP信誉库中记录的信息表明IP地址X对应的攻击比例为1%,假设设定的第一预设阈值为5%,则确定该第三类异常数据为第四类异常数据,其中,该攻击比例为该IP地址X作为源IP地址参与网络攻击事件的总次数,占IP地址X作为源IP地址访问网络的总次数的比例。
当然,IP信誉度主要是通过信息情报收集,大数据分析加工处理后得到的,并且IP信誉度是结合多个维度获得的,具体是哪些维度,以及具体的获得IP信誉度的方法,本发明实施例在此不做详细介绍。
可以理解,在本发明实施例中,该第四类异常数据为:与白名单规则库中的第一类防火墙规则不匹配、与第一黑名单规则库中的第二类防火墙规则匹配,同时对应的源IP地址的IP信誉度大于第一预设阈值的用户输入数据。
S1044:基于上述第二类异常数据以及第四类异常数据,生成新的第一类防火墙规则。
可以理解,上述步骤S1041~S1044所提供的方案中,通过IP信誉度可以避免防火墙基于第一黑名单规则库排除恶意数据时出现的误判情况;尤其应该注意,本发明实施例中,为了防止该第一黑名单规则库过于庞大以占用和消耗过多的资源,该第一黑名单规则库可以是上述精简版的黑名单规则库,精简版的黑名单规则库对于异常数据的判断所对应的误判率较高,所以基于异常数据对应的源IP地址的IP信誉度,可以防止第一黑名单规则库将一个正常的用户输入数据判定为异常数据,进一步保证生成的第一类防火墙规则的准确性。
在本发明实例的另一种方案中,还可以通过IP信誉度进一步减少上述第二类异常数据中所包含的恶意数据。
如图3所示的一种防火墙规则的生成方法的第三种流程示意图,上述将上述第一类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与上述第二类防火墙规则不匹配的第二类异常数据(S103),包括:
S1031:获得上述第一类异常数据对应的源IP地址的IP信誉度。
S1032:从上述第一类异常数据中,确定IP信誉度高于第二预设阈值的第五类异常数据。
S1033:将上述第五类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与上述第二类防火墙规则不匹配的第二类异常数据。
可以理解,步骤S1033确定的第二类异常数据为:与白名单规则库中的防火墙规则不匹配、与第一黑名单规则库中的防火墙规则不匹配,同时其对应的源IP地址的IP信誉度大于第二预设阈值的用户输入数据。步骤S1031~S1033提供的方案基于IP信誉库进一步地排除了存在潜在风险较大的用户输入数据。
假设在当前时刻,网络攻击者向防火墙发送大量的同类恶意数据,且该类恶意数据采用了新式的攻击方式,在防火墙的第一黑名单规则库中并没有记录该种新式的攻击方式,但是由于该网络攻击者对应的IP地址所对应的IP信誉较低,此时防火墙系统也不会基于上述以新式的攻击方式发送的恶意数据,生成新的防火墙规则。
因而,与图2所示的方法实施例不同的是,图3所示的方法实施例中,每个用以生成第一类防火墙规则的用户输入数据,其所对应的源IP地址的IP信誉度必须大于第二预设阈值,进一步保证了用以生成第一类防火墙规则的用户输入数据为正常的用户输入数据,排除恶意数据。
应该说明的是,在本发明实施例中,在得到第一类异常数据时,还可以先将第一类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,从第一类异常数据中获得与上述第二类防火墙规则不匹配的第八类异常数据,然后再针对每个第八类异常数据判断其所对应的IP地址的IP信誉度,从第八类异常数据中选择出对应的IP信誉度高于第二预设阈值的第九类异常数据,防火墙系统最终使用第九类异常数据生成第一类防火墙规则。这样同一可以应用IP信誉度保证生成的第一类防火墙规则的准群性。
由以上可见,在本发明实施例提供的方案中,首先收集防火墙接收到的用户输入数据;然后将收集到的用户输入数据分别与白名单规则库中的第一类防火墙规则进行匹配,获得与第一类防火墙规则不匹配的第一类异常数据;再将第一类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与第二类防火墙规则不匹配的第二类异常数据;最后基于所述第二类异常数据,生成新的第一类防火墙规则。与现有技术相比,本发明实施例提供的方案中,基于与白名单规则库以及第一黑名单规则库中的防火墙规则均不匹配的数据,来生成新的用于白名单规则库规则库的防火墙规则,生成新的防火墙规则的过程中,通过第一黑名单规则库排除了防火墙接收到的大量恶意数据,避免系统基于大量的恶意数据生成新的防火墙规则,保证系统准确地生成用于白名单规则库的防火墙规则。
相对于图1,如图4所示的一种防火墙规则的生成方法的第四种流程示意图,所述方法还包括:
S105:根据新的第一类防火墙规则更新该白名单规则库。
可以理解,上述步骤可以表示将步骤S104生成的第一类防火墙规则更新到白名单规则库中。
由前述内容可知,采用本发明实施例提供的方案生成新的防火墙规则的过程中,可避免系统基于大量的恶意数据生成新的防火墙规则,保证系统准确地生成用于白名单规则库的防火墙规则,并没有基于网络攻击者发送的大量恶意数据生成新的上述第一类防火墙规则,因此,基于该新的第一类防火墙规则更新的白名单规则库中,始终不会出现与网络攻击者发送的大量恶意数据相匹配的防火墙规则,保证了白名单规则库的准确性和合法性。
由于判断用户输入数据是否与上述第一类防火墙规则匹配时,需要分别将每个第一类防火墙规则与用户输入数据比对,白名单规则库中的第一类防火墙规则的数量越多,上述比对过程就越长,消耗的资源也越多。但是,随着网络的不断更新,有一部分第一类防火墙规则可能会仅在一段特殊时间内有意义,在该段时间之后,用户在正常的访问情况下,不会向防火墙发送可与该部分第一类防火墙规则相匹配的用户输入数据。
显然的,该部分第一类防火墙规则会增加用户输入数据与白名单规则库中的第一类防火墙规则比对的时间,增加资源的消耗,因此,在本发明实施例中,为了消除上述问题,如图5所示的一种防火墙规则的生成方法的第五种流程示意图,所述根据新的第一类防火墙规则更新该白名单规则库(S105),可以包括:
S1051:获得新的第一类防火墙规则的有效期限。
具体的,在本发明实施例中,可以通过设置时间戳和有效时长来设定上述有效期限,例如某一第一类防火墙规则在生成的时候,系统为该第一类防火墙规则生成一个时间戳和30天的有效时长,该时间戳表征了第一类防火墙规则的生成时间,假设该时间戳生成时间是2016年6月10日10时25分51秒,则该第一类防火墙规则的有效期限为:2016年6月10日10时25分51秒至2016年7月10日10时25分51秒。
在本发明实施例中,还可以直接在第一类防火墙规则生成的时候,系统为该第一类防火墙规则设置一个倒计时,例如,设置倒计时3个月,即表示从该第一类防火墙规则生成开始,在3个月后,该第一类防火墙规则自动失效。
S1052:将新的第一类防火墙规则和该有效期限更新至该白名单规则库。
可以理解,在该新的第一类防火墙规则的有效期限内,防火墙接收到的每个用户输入数据还需要与该新的第一类防火墙规则进行比对,以判别该用户输入数据与该新的第一类防火墙规则是否匹配,而在该新的第一类防火墙规则的有效期限过期后,防火墙接收到的每个用户输入数据不需要与该新的第一类防火墙规则进行比对。
可以理解,某一个第一类防火墙规则对应的有效期限到期后,该第一类第一类防火墙规则变为无效,任意一个用户输入数据与白名单规则库进行匹配时,不需要与该无效的第一类第一类防火墙规则进行比对,加快用户输入数据与白名单规则库的匹配速度,减少匹配所消耗的时间和资源。
在本发明实施例中,为了防止白名单规则库中的防火墙规则较多,占据较大的存储空间,对增加整个防火墙系统的维护成本,如图6所示的一种防火墙规则的生成方法的第六种流程示意图,该方法还包括:
S106:监测该有效期限是否到期。
若为是,执行步骤S107:从该白名单规则库中删除对应的新的第一类防火墙规则。
可以理解,当某一第一类防火墙规则到期后,则可以将该第一类防火墙规则以及对应的有效期限从白名单规则库中删除。
应该说明的是,本发明实施例中,还可以对白名单规则库中的所有第一类防火墙规则分别配置有效期限,并不限于上述新生成的第一类防火墙规则。另外应该强调的是,上述步骤S106以及S107并非限定于在上述步骤S104后才执行,较优的,可以设置步骤S106以及S107在防火墙工作的过程中实时进行或者每间隔一段时间执行一次。
可以理解,由于有些用户访问模式以及网页特点长期存在的,短时间内是不会发生改变的,因而在白名单规则库中,对应有部分第一类防火墙规则需要长期有效,为了避免发生同一个第一类防火墙规则在失效后需要再次生成的情况,在本发明实施例中,如图7所示的一种防火墙规则的生成方法的第七种流程示意图,该方法还包括:
S108:确定白名单规则库中与防火墙接收到的目标用户输入数据相匹配的目标规则。
S109:延长该白名单规则库中记录的目标规则的有效期限。
可以理解,上述步骤S108以及S109并非限定于在上述步骤S104后才执行(如图7),只要是防火墙接收到的任意一个用户输入数据与白名单规则库中的某一个第一类防火墙规则时,即可对该第一类防火墙规则执行步骤S109。
例如,白名单规则库中存在一第一类防火墙规则X,其对应的生成时间是2016年6月28日20时36分4秒,即有效期限的开始计算时间为2016年6月28日20时36分4秒,另外有效时长为20天,则该第一类防火墙规则X到2016年7月18日20时36分4秒失效。
但是,在防火墙工作的过程中,于2016年7月9日15时25分18秒收到一用户输入数据x,并且经比对发现:该用户输入数据x与第一类防火墙规则X相匹配,则此时延长第一类防火墙规则X的有效期限:将有效期限的开始计算时间调整为:2016年7月9日15时25分18秒,显然的,该第一类防火墙规则X的有效期限一直到2016年7月29日15时25分18秒。
由以上可见,在本发明实施例提供的方案中,首先收集防火墙接收到的用户输入数据;然后将收集到的用户输入数据分别与白名单规则库中的第一类防火墙规则进行匹配,获得与第一类防火墙规则不匹配的第一类异常数据;再将第一类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与第二类防火墙规则不匹配的第二类异常数据;最后基于所述第二类异常数据,生成新的第一类防火墙规则。与现有技术相比,本发明实施例提供的方案中,基于与白名单规则库以及第一黑名单规则库中的防火墙规则均不匹配的数据,来生成新的用于白名单规则库规则库的防火墙规则,生成新的防火墙规则的过程中,通过第一黑名单规则库排除了防火墙接收到的大量恶意数据,避免系统基于大量的恶意数据生成新的防火墙规则,保证系统准确地生成用于白名单规则库的防火墙规则。
另外,基于该新的第一类防火墙规则更新的白名单规则库中,始终不会出现与网络攻击者发送的大量恶意数据相匹配的防火墙规则,保证了白名单规则库的准确性和合法性。而且第一类防火墙规则所配置的有效期限,可以使得系统将长期不使用的第一类防火墙规则判定为失效,进而减少用户输入数据与白名单规则库中的所有第一类防火墙规则对比所消耗的时间,保证了防火墙的工作效率。
如图8所示的一种防火墙规则的生成方法的第八种流程示意图,上述第二类防火墙规则中包含的关键词的数量不超过预设数量。
此处应该说明的是,在现有技术中,防火墙规则可以由多个关键词组成,每个关键词都可以表征用户输入数据的某个特征。例如,对于黑名单规则库中的防火墙规则,当某一用户输入数据与该防火墙规则中的所有关键词都匹配上时,即该用户输入数据与该防火墙规则匹配,防火墙系统可以判定该用户输入数据为恶意数据;但是如果该防火墙规则中一部分的关键词都可以与该用户输入数据匹配,另一部分的关键词与该用户输入数据不匹配,则不能判定该用户输入数据为恶意数据。
显然的,防火墙规则中的关键词越多,对于合法数据与恶意数据的判定就会越准确;相反的,防火墙规则库中的关键词越少,对于合法数据与恶意数据的判定就会越不准确,但是,此类包含关键词较少的防火墙规则容易生成,所以本发明实施例中,可以基于此类包含关键词较少的防火墙规则生成包含关键词较多的防火墙规则。
前述将上述第一类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与上述第二类防火墙规则不匹配的第二类异常数据(S103),包括:
S1034:将上述第一类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与上述第二类防火墙规则不匹配的第二类异常数据,以及与上述第二类防火墙规则相匹配的第六类异常数据。此时,该方法还可以包括:
S201:基于上述第六类异常数据,生成新的第三类防火墙规则,其中,第三类防火墙规则为应用于黑名单规则库的防火墙规则。
可以理解,上述第六类异常数据与上述第二类防火墙规则相匹配,表明第六类异常数据很有可能是恶意数据,因此,基于此第六类异常数据,可以更加准确地生成用于第二黑名单规则库的第三类防火墙规则。
在本发明实施例中,为了防止误判,此处的基于上述第六类异常数据,生成新的第三类防火墙规则(S201),可以包括:
获得上述第六类异常数据对应的源IP地址的IP信誉度;
从上述第六类异常数据中,确定IP信誉度低于第三预设阈值的第七类异常数据;
基于上述第七类异常数据,生成新的第三类防火墙规则。
可以理解,上述包含关键词较少的防火墙规则的误判率较高,所以可以通过此处的IP信誉度来对用户输入数据做进一步的判断,使得用以生成第三类防火墙规则的用户输入数据,不但与第一黑名单规则库相匹配,还需要该用户输入数据对应的IP信誉度低于第三预设阈值,进而可以防止第一黑名单规则库将一个正常的用户输入数据判定为异常数据,进一步保证生成的第三类防火墙规则的准确性。
例如:获得第六类异常数据:y1、y2、y3…yn-1、yn、yn+1和yn+2,假设上述第三预设阈值为30,而获得的第六类异常数据中,yn、yn+1和yn+2的IP信誉度分别为50、60和70,其余的第六类异常数据对应的IP信誉度均小于30,则此时使用y1、y2、y3…yn-1来最终生成新的第三类防火墙规则。
同样的,此处的IP信誉度也可以通过现有技术中的IP信誉库获得。
本发明实施例所提供的一种防火墙规则的生成方法,还可以包括:
将生成的新的第三类防火墙规则更新到第二黑名单规则库。
相对于第一黑名单规则库,此处的第二黑名单规则库中的每个防火墙规则中的关键词的数量更多,因此,在防火墙后续的工作过程中,如果用户输入数据与该第二黑名单规则库中的任意一个第三类防火墙规则相匹配,则防火墙可以直接判定该用户输入数据为恶意数据。
另外,为了避免重复生成相同的第三类防火墙规则,前述将收集到的用户输入数据分别与白名单规则库中的第一类防火墙规则进行匹配,获得与上述第一类防火墙规则不匹配的第一类异常数据(S102),包括:
将收集到的用户输入数据分别与白名单规则库中的第一类防火墙规则以及第二黑名单规则库中的第三类防火墙规则进行匹配,获得与第一类防火墙规则以及第三类防火墙规则均不匹配的第一类异常数据。
可以理解,如果某一用户输入数据与第二黑名单规则库中的某一第三类防火墙规则匹配成功,表明该用户输入数据为恶意数据,同时,也表明与该用户输入数据对应的第三类防火墙规则也已经生成了,不需要再次基于该用户输入数据来生成第三类防护墙规则。
另外,与前述白名单规则库相同的是,本发明实施例中,同样可以针对第三类防火墙规则设置有效期限,具体的设置方法以及有效期限的使用方法可以参照图5~7所示方法实施例。
与现有技术相比,本发明实施例提供的方案中,基于与白名单规则库以及第一黑名单规则库中的防火墙规则均不匹配的数据,来生成新的用于白名单规则库规则库的防火墙规则,生成新的防火墙规则的过程中,通过第一黑名单规则库排除了防火墙接收到的大量恶意数据,避免系统基于大量的恶意数据生成新的防火墙规则,保证系统准确地生成用于白名单规则库的防火墙规则。
另外,本发明实施例提供的方案,还可以同时生成用于黑名单规则库的防火墙规则,基于用户输入数据的IP信誉度,可以进一步地保证系统准确地生成用于黑名单规则库的防火墙规则。
下面通过一个具体实例对本发明提供的一种防火墙规则的生成方法进行简单说明。
假设收集到的时间长度为1s的时间窗内防火墙接收到的用户输入数据中,与白名单规则库中的第一类白名单规则不匹配的用户输入数据包括c1、c2、c3…cn,d1、d2、d3…dn以及e1、e2、e3…en,然后防火墙系统将c1、c2、c3…cn,d1、d2、d3…dn以及e1、e2、e3…en与第一黑名单规则库对比,确定c1、c2、c3…cn与第一黑名单规则库中的第二类防火墙规则不匹配,d1、d2、d3…dn以及e1、e2、e3…en与第一黑名单规则库中的第二类防火墙规则相匹配。
然后系统基于IP信誉库分别查询d1、d2、d3…dn以及e1、e2、e3…en所对应的源IP地址的IP信誉度,并确定e1、e2、e3…en所对应的源IP地址的IP信誉度高于第一预设阈值。
此时,系统基于用户输入数据c1、c2、c3…cn以及e1、e2、e3…en,在2016年7月1日14时7分52秒生成新的第一类防火墙规则M,并且同时为该第一类防火墙规则M设置一个倒计时时限为15天,倒计时的时间起点为2016年7月1日14时7分52秒。
此后,在2016年7月8日4时14分2秒,防火墙接收到一个用户输入数据m,该用户输入数据m与该第一类防火墙规则M相匹配,防火墙对该用户输入数据m放行通过,同时延长该第一类防火墙规则M的有效期限:从2016年7月8日4时14分2秒开始,设置倒计时时限15天。
相应于图1所示方法实施例,如图9所示的一种防火墙规则的生成装置的第一种结构示意图,该装置包括:
收集模块110,用于收集防火墙接收到的用户输入数据;
第一获得模块120,用于将收集到的用户输入数据分别与白名单规则库中的第一类防火墙规则进行匹配,获得与所述第一类防火墙规则不匹配的第一类异常数据;
第二获得模块130,用于将所述第一类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与所述第二类防火墙规则不匹配的第二类异常数据;
第一生成模块140,用于基于所述第二类异常数据,生成新的第一类防火墙规则。
具体的,相应于图2所示方法实施例,如图10所示的一种防火墙规则的生成装置的第二种结构示意图,所述第一生成模块140,包括:
第一确定单元1401,用于从所述第一类异常数据中,确定与所述第二类防火墙规则匹配的第三类异常数据;
第一获得单元1402,用于获得所述第三类异常数据对应的源IP地址的IP信誉度;
第二确定单元1403,用于从所述第三类异常数据中,确定IP信誉度高于第一预设阈值的第四类异常数据;
第一生成单元1404,用于基于所述第二类异常数据以及所述第四类异常数据,生成新的第一类防火墙规则。
具体的,相应于图3所示方法实施例,如图11所示的一种防火墙规则的生成装置的第三种结构示意图,所述第二获得模块130,包括:
第二获得单元1301,用于获得所述第一类异常数据对应的源IP地址的IP信誉度;
第三确定单元1302,用于从所述第一类异常数据中,确定IP信誉度高于第二预设阈值的第五类异常数据;
第三获得单元1303,用于将所述第五类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与所述第二类防火墙规则不匹配的第二类异常数据。
由以上可见,在本发明实施例提供的方案中,首先收集防火墙接收到的用户输入数据;然后将收集到的用户输入数据分别与白名单规则库中的第一类防火墙规则进行匹配,获得与第一类防火墙规则不匹配的第一类异常数据;再将第一类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与第二类防火墙规则不匹配的第二类异常数据;最后基于所述第二类异常数据,生成新的第一类防火墙规则。与现有技术相比,本发明实施例提供的方案中,基于与白名单规则库以及第一黑名单规则库中的防火墙规则均不匹配的数据,来生成新的用于白名单规则库规则库的防火墙规则,生成新的防火墙规则的过程中,通过第一黑名单规则库排除了防火墙接收到的大量恶意数据,避免系统基于大量的恶意数据生成新的防火墙规则,保证系统准确地生成用于白名单规则库的防火墙规则。
具体的,相应于图4所示方法实施例,如图12所示的一种防火墙规则的生成装置的第四种结构示意图,所述装置还包括:
第一更新模块150,用于根据所述新的第一类防火墙规则更新所述白名单规则库。
具体的,相应于图5所示方法实施例,如图13所示的一种防火墙规则的生成装置的第五种结构示意图,所述第一更新模块150,包括:
第四获得单元1501,用于获得所述新的第一类防火墙规则的有效期限;
更新单元1502,用于将所述新的第一类防火墙规则和所述有效期限更新至所述白名单规则库。
具体的,相应于图6所示方法实施例,如图14所示的一种防火墙规则的生成装置的第六种结构示意图,所述装置还包括:
监测模块160,用于监测所述有效期限是否到期;
删除模块170,用于在所述监测模块160监测到所述有效期限到期时,从所述白名单规则库中删除所述新的第一类防火墙规则。
具体的,相应于图7所示方法实施例,如图15所示的一种防火墙规则的生成装置的第七种结构示意图,所述装置还包括:
确定模块180,用于确定所述白名单规则库中与防火墙接收到的目标用户输入数据相匹配的目标规则;
延长模块190,用于延长所述白名单规则库中记录的所述目标规则的有效期限。
由以上可见,在本发明实施例提供的方案中,首先收集防火墙接收到的用户输入数据;然后将收集到的用户输入数据分别与白名单规则库中的第一类防火墙规则进行匹配,获得与第一类防火墙规则不匹配的第一类异常数据;再将第一类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与第二类防火墙规则不匹配的第二类异常数据;最后基于所述第二类异常数据,生成新的第一类防火墙规则。与现有技术相比,本发明实施例提供的方案中,基于与白名单规则库以及第一黑名单规则库中的防火墙规则均不匹配的数据,来生成新的用于白名单规则库规则库的防火墙规则,生成新的防火墙规则的过程中,通过第一黑名单规则库排除了防火墙接收到的大量恶意数据,避免系统基于大量的恶意数据生成新的防火墙规则,保证系统准确地生成用于白名单规则库的防火墙规则。
另外,基于该新的第一类防火墙规则更新的白名单规则库中,始终不会出现与网络攻击者发送的大量恶意数据相匹配的防火墙规则,保证了白名单规则库的准确性和合法性。
而且第一类防火墙规则所配置的有效期限,可以使得系统将长期不使用的第一类防火墙规则判定为失效,进而减少用户输入数据与白名单规则库中的所有第一类防火墙规则对比所消耗的时间,保证了防火墙的工作效率。
相应于图8所示方法实施例,所述第二类防火墙规则中包含的关键词的数量不超过预设数量;如图16所示的一种防火墙规则的生成装置的第八种结构示意图,所述第二获得模块130,具体用于将所述第一类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与所述第二类防火墙规则不匹配的第二类异常数据,以及与所述第二类防火墙规则相匹配的第六类异常数据;
此时,所述装置还包括:第二生成模块210,用于基于所述第六类异常数据,生成新的第三类防火墙规则,其中,所述第三类防火墙规则为应用于黑名单规则库的防火墙规则。
具体的,所述第二生成模块210,包括:第五获得单元、第四确定单元和第二生成单元(图中未示出),
该第五获得单元,用于获得所述第六类异常数据对应的源IP地址的IP信誉度;
该第四确定单元,用于从所述第六类异常数据中,确定IP信誉度低于第三预设阈值的第七类异常数据;
该第二生成单元,用于基于所述第七类异常数据,生成新的第三类防火墙规则。
具体的,所述装置还包括第二更新模块(图中未示出),用于将生成的新的第三类防火墙规则更新到第二黑名单规则库。
具体的,所述第一获得模块120,具体用于将收集到的用户输入数据分别与白名单规则库中的第一类防火墙规则以及第二黑名单规则库中的第三类防火墙规则进行匹配,获得与所述第一类防火墙规则以及所述第三类防火墙规则均不匹配的第一类异常数据。
与现有技术相比,本发明实施例提供的方案中,基于与白名单规则库以及第一黑名单规则库中的防火墙规则均不匹配的数据,来生成新的用于白名单规则库规则库的防火墙规则,生成新的防火墙规则的过程中,通过第一黑名单规则库排除了防火墙接收到的大量恶意数据,避免系统基于大量的恶意数据生成新的防火墙规则,保证系统准确地生成用于白名单规则库的防火墙规则。
另外,本发明实施例提供的方案,还可以同时生成用于黑名单规则库的防火墙规则,基于用户输入数据的IP信誉度,可以进一步地保证系统准确地生成用于黑名单规则库的防火墙规则。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称得的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (20)

1.一种防火墙规则的生成方法,其特征在于,所述方法包括:
收集防火墙接收到的用户输入数据;
将收集到的用户输入数据分别与白名单规则库中的第一类防火墙规则进行匹配,获得与所述第一类防火墙规则不匹配的第一类异常数据;
获得所述第一类异常数据对应的源IP地址的IP信誉度;
从所述第一类异常数据中,确定IP信誉度高于第二预设阈值的第五类异常数据;
将所述第五类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与所述第二类防火墙规则不匹配的第二类异常数据;
基于所述第二类异常数据,生成新的第一类防火墙规则。
2.根据权利要求1所述的方法,其特征在于,所述基于所述第二类异常数据,生成新的第一类防火墙规则,包括:
从所述第一类异常数据中,确定与所述第二类防火墙规则匹配的第三类异常数据;
获得所述第三类异常数据对应的源IP地址的IP信誉度;
从所述第三类异常数据中,确定IP信誉度高于第一预设阈值的第四类异常数据;
基于所述第二类异常数据以及所述第四类异常数据,生成新的第一类防火墙规则。
3.根据权利要求1-2中任一项所述的方法,其特征在于,所述方法还包括:
根据所述新的第一类防火墙规则更新所述白名单规则库。
4.根据权利要求3所述的方法,其特征在于,所述根据所述新的第一类防火墙规则更新所述白名单规则库,包括:
获得所述新的第一类防火墙规则的有效期限;
将所述新的第一类防火墙规则和所述有效期限更新至所述白名单规则库。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
监测所述有效期限是否到期;
若为是,从所述白名单规则库中删除所述新的第一类防火墙规则。
6.根据权利要求4所述的方法,其特征在于,所述方法还包括:
确定所述白名单规则库中与防火墙接收到的目标用户输入数据相匹配的目标规则;
延长所述白名单规则库中记录的所述目标规则的有效期限。
7.根据权利要求1所述的方法,其特征在于,所述第二类防火墙规则中包含的关键词的数量不超过预设数量;
所述获得所述第一类异常数据对应的源IP地址的IP信誉度;从所述第一类异常数据中,确定IP信誉度高于第二预设阈值的第五类异常数据;将所述第五类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与所述第二类防火墙规则不匹配的第二类异常数据,包括:
获得所述第一类异常数据对应的源IP地址的IP信誉度;从所述第一类异常数据中,确定IP信誉度高于第二预设阈值的第五类异常数据;将所述第五类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与所述第二类防火墙规则不匹配的第二类异常数据,以及与所述第二类防火墙规则相匹配的第六类异常数据;
所述方法还包括:
基于所述第六类异常数据,生成新的第三类防火墙规则,其中,所述第三类防火墙规则为应用于黑名单规则库的防火墙规则。
8.根据权利要求7所述的方法,其特征在于,所述基于所述第六类异常数据,生成新的第三类防火墙规则,包括:
获得所述第六类异常数据对应的源IP地址的IP信誉度;
从所述第六类异常数据中,确定IP信誉度低于第三预设阈值的第七类异常数据;
基于所述第七类异常数据,生成新的第三类防火墙规则。
9.根据权利要求7或8所述的方法,其特征在于,所述方法还包括:
将生成的新的第三类防火墙规则更新到第二黑名单规则库。
10.根据权利要求9所述的方法,其特征在于,所述将收集到的用户输入数据分别与白名单规则库中的第一类防火墙规则进行匹配,获得与所述第一类防火墙规则不匹配的第一类异常数据,包括:
将收集到的用户输入数据分别与白名单规则库中的第一类防火墙规则以及第二黑名单规则库中的第三类防火墙规则进行匹配,获得与所述第一类防火墙规则以及所述第三类防火墙规则均不匹配的第一类异常数据。
11.一种防火墙规则的生成装置,其特征在于,所述装置包括:
收集模块,用于收集防火墙接收到的用户输入数据;
第一获得模块,用于将收集到的用户输入数据分别与白名单规则库中的第一类防火墙规则进行匹配,获得与所述第一类防火墙规则不匹配的第一类异常数据;
第二获得模块,用于获得所述第一类异常数据对应的源IP地址的IP信誉度;从所述第一类异常数据中,确定IP信誉度高于第二预设阈值的第五类异常数据;将所述第五类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与所述第二类防火墙规则不匹配的第二类异常数据;
第一生成模块,用于基于所述第二类异常数据,生成新的第一类防火墙规则。
12.根据权利要求11所述的装置,其特征在于,所述第一生成模块,包括:
第一确定单元,用于从所述第一类异常数据中,确定与所述第二类防火墙规则匹配的第三类异常数据;
第一获得单元,用于获得所述第三类异常数据对应的源IP地址的IP信誉度;
第二确定单元,用于从所述第三类异常数据中,确定IP信誉度高于第一预设阈值的第四类异常数据;
第一生成单元,用于基于所述第二类异常数据以及所述第四类异常数据,生成新的第一类防火墙规则。
13.根据权利要求11-12中任一项所述的装置,其特征在于,所述装置还包括:
第一更新模块,用于根据所述新的第一类防火墙规则更新所述白名单规则库。
14.根据权利要求13所述的装置,其特征在于,所述更新模块,包括:
第四获得单元,用于获得所述新的第一类防火墙规则的有效期限;
更新单元,用于将所述新的第一类防火墙规则和所述有效期限更新至所述白名单规则库。
15.根据权利要求14所述的装置,其特征在于,所述装置还包括:
监测模块,用于监测所述有效期限是否到期;
删除模块,用于在所述监测模块监测到所述有效期限到期时,从所述白名单规则库中删除所述新的第一类防火墙规则。
16.根据权利要求14所述的装置,其特征在于,所述装置还包括:
确定模块,用于确定所述白名单规则库中与防火墙接收到的目标用户输入数据相匹配的目标规则;
延长模块,用于延长所述白名单规则库中记录的所述目标规则的有效期限。
17.根据权利要求11所述的装置,其特征在于,所述第二类防火墙规则中包含的关键词的数量不超过预设数量;
所述第二获得模块,具体用于获得所述第一类异常数据对应的源IP地址的IP信誉度;从所述第一类异常数据中,确定IP信誉度高于第二预设阈值的第五类异常数据;将所述第五类异常数据与第一黑名单规则库中的第二类防火墙规则进行匹配,获得与所述第二类防火墙规则不匹配的第二类异常数据,以及与所述第二类防火墙规则相匹配的第六类异常数据;
所述装置还包括:
第二生成模块,用于基于所述第六类异常数据,生成新的第三类防火墙规则,其中,所述第三类防火墙规则为应用于黑名单规则库的防火墙规则。
18.根据权利要求17所述的装置,其特征在于,所述第二生成模块,包括:
第五获得单元,用于获得所述第六类异常数据对应的源IP地址的IP信誉度;
第四确定单元,用于从所述第六类异常数据中,确定IP信誉度低于第三预设阈值的第七类异常数据;
第二生成单元,用于基于所述第七类异常数据,生成新的第三类防火墙规则。
19.根据权利要求17或18所述的装置,其特征在于,所述装置还包括:
第二更新模块,用于将生成的新的第三类防火墙规则更新到第二黑名单规则库。
20.根据权利要求19所述的装置,其特征在于,所述第一获得模块,具体用于将收集到的用户输入数据分别与白名单规则库中的第一类防火墙规则以及第二黑名单规则库中的第三类防火墙规则进行匹配,获得与所述第一类防火墙规则以及所述第三类防火墙规则均不匹配的第一类异常数据。
CN201610804090.9A 2016-09-05 2016-09-05 一种防火墙规则的生成方法及装置 Active CN107800671B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610804090.9A CN107800671B (zh) 2016-09-05 2016-09-05 一种防火墙规则的生成方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610804090.9A CN107800671B (zh) 2016-09-05 2016-09-05 一种防火墙规则的生成方法及装置

Publications (2)

Publication Number Publication Date
CN107800671A CN107800671A (zh) 2018-03-13
CN107800671B true CN107800671B (zh) 2020-03-27

Family

ID=61530553

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610804090.9A Active CN107800671B (zh) 2016-09-05 2016-09-05 一种防火墙规则的生成方法及装置

Country Status (1)

Country Link
CN (1) CN107800671B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110505189B (zh) * 2018-05-18 2022-08-05 深信服科技股份有限公司 终端安全代理突破的识别方法、识别设备及存储介质
CN110213375A (zh) * 2019-06-04 2019-09-06 杭州安恒信息技术股份有限公司 一种基于云waf的ip访问控制的方法、装置及电子设备
CN112995092A (zh) * 2019-12-02 2021-06-18 阿里巴巴集团控股有限公司 一种数据传输方法和装置
CN112165460B (zh) * 2020-09-10 2023-07-25 杭州安恒信息技术股份有限公司 流量检测方法、装置、计算机设备和存储介质
CN112511524A (zh) * 2020-11-24 2021-03-16 北京天融信网络安全技术有限公司 一种访问控制策略配置方法及装置
CN113507454B (zh) * 2021-06-23 2022-05-13 北京惠而特科技有限公司 一种基于流量分析的工业防火墙策略自动生成部署方法
CN113472580B (zh) * 2021-07-01 2023-04-07 交通运输信息安全中心有限公司 基于动态加载机制的告警系统及告警方法
CN113904858A (zh) * 2021-10-19 2022-01-07 中国联合网络通信集团有限公司 Ip处理方法、装置、设备和存储介质
CN114070596A (zh) * 2021-11-10 2022-02-18 上海钧正网络科技有限公司 Web应用防护系统的性能优化方法、系统、终端及介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103428196A (zh) * 2012-12-27 2013-12-04 北京安天电子设备有限公司 一种基于url白名单的web应用入侵检测方法和装置
CN103763136A (zh) * 2014-01-07 2014-04-30 北京奇虎科技有限公司 一种白名单的维护方法及装置
CN104065644A (zh) * 2014-05-28 2014-09-24 北京知道创宇信息技术有限公司 基于日志分析的cc攻击识别方法和设备
CN104361283A (zh) * 2014-12-05 2015-02-18 网宿科技股份有限公司 防护Web攻击的方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8533821B2 (en) * 2007-05-25 2013-09-10 International Business Machines Corporation Detecting and defending against man-in-the-middle attacks

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103428196A (zh) * 2012-12-27 2013-12-04 北京安天电子设备有限公司 一种基于url白名单的web应用入侵检测方法和装置
CN103763136A (zh) * 2014-01-07 2014-04-30 北京奇虎科技有限公司 一种白名单的维护方法及装置
CN104065644A (zh) * 2014-05-28 2014-09-24 北京知道创宇信息技术有限公司 基于日志分析的cc攻击识别方法和设备
CN104361283A (zh) * 2014-12-05 2015-02-18 网宿科技股份有限公司 防护Web攻击的方法

Also Published As

Publication number Publication date
CN107800671A (zh) 2018-03-13

Similar Documents

Publication Publication Date Title
CN107800671B (zh) 一种防火墙规则的生成方法及装置
TWI711938B (zh) 用於使用無監督式機器學習和優先權演算法的高速威脅性情報管理的系統及方法
Wang et al. DBod: Clustering and detecting DGA-based botnets using DNS traffic analysis
Eckersley How unique is your web browser?
US8056115B2 (en) System, method and program product for identifying network-attack profiles and blocking network intrusions
Gates et al. Challenging the anomaly detection paradigm: A provocative discussion
CN111131137B (zh) 可疑封包检测装置及其可疑封包检测方法
CN111245793A (zh) 网络数据的异常分析方法及装置
US20140165207A1 (en) Method for detecting anomaly action within a computer network
Alsubhi et al. FuzMet: A fuzzy‐logic based alert prioritization engine for intrusion detection systems
US20140007238A1 (en) Collective Threat Intelligence Gathering System
JP6442051B2 (ja) コンピュータネットワークへの攻撃を検出する方法
Ghafir et al. DNS query failure and algorithmically generated domain-flux detection
US20200106791A1 (en) Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic metrics
EP3647982B1 (en) Cyber attack evaluation method and cyber attack evaluation device
Khan et al. Towards augmented proactive cyberthreat intelligence
Chakir et al. An efficient method for evaluating alerts of Intrusion Detection Systems
Nguyen et al. An efficient approach to reduce alerts generated by multiple IDS products
CN113196265A (zh) 安全检测分析
JP2020014061A (ja) 情報処理装置、通信検査方法及びプログラム
Hao et al. Unsupervised detection of botnet activities using frequent pattern tree mining
Chiba et al. Botprofiler: Profiling variability of substrings in http requests to detect malware-infected hosts
Meng et al. An effective high threating alarm mining method for cloud security management
Li An empirical analysis on threat intelligence: Data characteristics and real-world uses
Xi et al. Quantitative threat situation assessment based on alert verification

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant