CN113141369A - 基于人工智能的防火墙策略管理方法及相关设备 - Google Patents
基于人工智能的防火墙策略管理方法及相关设备 Download PDFInfo
- Publication number
- CN113141369A CN113141369A CN202110469009.7A CN202110469009A CN113141369A CN 113141369 A CN113141369 A CN 113141369A CN 202110469009 A CN202110469009 A CN 202110469009A CN 113141369 A CN113141369 A CN 113141369A
- Authority
- CN
- China
- Prior art keywords
- data set
- initial data
- target information
- updating
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及安全防护,提供一种基于人工智能的防火墙策略管理方法及相关设备。该方法能够检测初始数据集,当检测到初始数据集时,解析防火墙策略管理指令,得到指令类型及与目标信息,当指令类型为查询类型时,以目标信息在初始数据集中进行匹配,输出查询结果,当指令类型为IP更新类型时,确定IP更新类型的更新方式,根据目标信息以更新方式更新初始数据集,当指令类型为添加策略类型时,检测目标信息对应的逻辑实体是否存在,得到检测结果,根据检测结果选择添加方式,根据目标信息以添加方式向初始数据集中添加策略。本发明能够实现相关防火墙策略的一次性全面更新。此外,本发明还涉及区块链技术,所述初始数据集可存储于区块链中。
Description
技术领域
本发明涉及安全防护技术领域,尤其涉及一种基于人工智能的防火墙策略管理方法及相关设备。
背景技术
对于每一个大集团,防火墙在各个环境以及项目中都发挥着重要作用,在保证各个项目能够独立运行的同时也保证了项目之间的联通性。因此,对防火墙策略的管理则相当重要。
每一个项目从成立到后期发展不断迭代的过程中都需要开通很多防火墙,在项目结束之后再撤销对应的防火墙,而随着项目的增多和架构的增大,防火墙策略的管理成为了很多技术人员都为之困扰的问题。
现有技术中,对防火墙策略的管理主要存在以下问题:手工录入策略操作繁琐,容易出错,且无法准确定位错误原因,因此出错也难以定位及复原,同时在对逻辑实体对应IP地址进行添加或删除的时候,无法一次性更新该IP地址对应集群的相关策略。
发明内容
鉴于以上内容,有必要提供一种基于人工智能的防火墙策略管理方法及相关设备,能够实现相关防火墙策略的一次性全面更新。
一方面,本发明提出一种基于人工智能的防火墙策略管理方法,所述基于人工智能的防火墙策略管理方法包括:
响应于接收到的防火墙策略管理指令,检测初始数据集;
当检测到所述初始数据集时,解析所述防火墙策略管理指令,得到指令类型及与所述指令类型对应的目标信息;
当所述指令类型为查询类型时,以所述目标信息在所述初始数据集中进行匹配,输出查询结果;
当所述指令类型为IP更新类型时,确定所述IP更新类型的更新方式,根据所述目标信息以所述更新方式更新所述初始数据集;
当所述指令类型为添加策略类型时,检测所述目标信息对应的逻辑实体是否存在,得到检测结果,根据所述检测结果选择添加方式,根据所述目标信息以所述添加方式向所述初始数据集中添加策略。
根据本发明优选实施例,所述基于人工智能的防火墙策略管理方法还包括:
当未检测到所述初始数据集时,调取模板文件;
检测是否有处于服务状态的防火墙;
当未检测到没有处于服务状态的防火墙时,将所述模板文件确定为所述初始数据集;或者
当检测到有处于服务状态的防火墙时,根据所述处于服务状态的防火墙构建所述初始数据集。
根据本发明优选实施例,所述根据所述处于服务状态的防火墙构建所述初始数据集包括:
获取所述处于服务状态的防火墙的相关信息;
基于预设正则表达式提取所述相关信息中的目标字段;
将所述目标字段导入所述模板文件,生成所述初始数据集。
根据本发明优选实施例,所述以所述目标信息在所述初始数据集中进行匹配,输出查询结果包括:
当所述目标信息为端口号时,从所述初始数据集中获取端口列表,并以所述端口号在所述端口列表中进行遍历,输出匹配的端口号作为所述查询结果;或者
当所述目标信息为逻辑实体名时,基于所述逻辑实体名在所述初始数据集中进行查询,输出查询到的与所述逻辑实体名匹配的防火墙策略作为所述查询结果。
根据本发明优选实施例,所述更新方式包括添加IP或者删除IP,所述确定所述IP更新类型的更新方式,根据所述目标信息以所述更新方式更新所述初始数据集包括:
获取所述目标信息中的逻辑实体名;
利用所述逻辑实体名在所述初始数据集中进行模糊匹配,输出待选逻辑实体;
将所述待选逻辑实体按照使用频率由高到低进行排序,得到排序结果,并展示所述排序结果;
当监测到对任意待选逻辑实体的选择信号时,将选择的待选逻辑实体确定为目标逻辑实体;
获取所述目标信息中的目标IP;
根据配置格式对所述目标IP进行合法性校验;
当所述目标IP通过合法性校验时,根据所述目标IP及所述更新方式更新所述目标逻辑实体中的IP,并记录更新时间及更新者;
将更新后的目标逻辑实体导入所述初始数据集,以更新所述初始数据集,保存更新后的初始数据集至区块链。
根据本发明优选实施例,所述根据所述检测结果选择添加方式,根据所述目标信息以所述添加方式向所述初始数据集中添加策略包括:
当所述目标信息对应的逻辑实体不存在时,从所述目标信息中获取待添加策略,从所述待添加策略中获取待添加IP进行合法性校验,并对所述待添加策略进行空字段检测,当所述待添加IP通过合法性校验且所述待添加策略通过空字段检测时,向所述初始数据集中添加所述待添加策略,并记录添加时间及添加者;或者
当所述目标信息对应的逻辑实体存在时,从所述目标信息中获取预设关键字及所述待添加策略,根据所述预设关键字在所述初始数据集中匹配目标策略,从所述待添加策略中获取所述待添加IP进行合法性校验,并对所述待添加策略进行空字段检测,当所述待添加IP通过合法性校验且所述待添加策略通过空字段检测时,以所述待添加策略更新所述目标策略,并记录所述添加时间及所述添加者。
根据本发明优选实施例,所述基于人工智能的防火墙策略管理方法还包括:
当检测到所述初始数据集有数据改变时,备份改变后的初始数据集;
获取数据改变的时间及所述初始数据集的文件名;
以所述时间及所述文件名对备份的初始数据集进行重命名,并保存所述备份的初始数据集至区块链。
另一方面,本发明还提出一种基于人工智能的防火墙策略管理装置,所述基于人工智能的防火墙策略管理装置包括:
检测单元,用于响应于接收到的防火墙策略管理指令,检测初始数据集;
解析单元,用于当检测到所述初始数据集时,解析所述防火墙策略管理指令,得到指令类型及与所述指令类型对应的目标信息;
匹配单元,用于当所述指令类型为查询类型时,以所述目标信息在所述初始数据集中进行匹配,输出查询结果;
更新单元,用于当所述指令类型为IP更新类型时,确定所述IP更新类型的更新方式,根据所述目标信息以所述更新方式更新所述初始数据集;
添加单元,用于当所述指令类型为添加策略类型时,检测所述目标信息对应的逻辑实体是否存在,得到检测结果,根据所述检测结果选择添加方式,根据所述目标信息以所述添加方式向所述初始数据集中添加策略。
另一方面,本发明还提出一种电子设备,所述电子设备包括:
存储器,存储计算机可读指令;及
处理器,执行所述存储器中存储的计算机可读指令以实现所述基于人工智能的防火墙策略管理方法。
另一方面,本发明还提出一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可读指令,所述计算机可读指令被电子设备中的处理器执行以实现所述基于人工智能的防火墙策略管理方法。
由以上技术方案可以看出,本发明能够响应于接收到的防火墙策略管理指令,检测初始数据集,当检测到所述初始数据集时,解析所述防火墙策略管理指令,得到指令类型及与所述指令类型对应的目标信息,当所述指令类型为查询类型时,以所述目标信息在所述初始数据集中进行匹配,输出查询结果,由于所述初始数据集中具有完备的防火墙信息,因此有效提升了查询结果的准确性,当所述指令类型为IP更新类型时,确定所述IP更新类型的更新方式,根据所述目标信息以所述更新方式更新所述初始数据集,能够实现对防火墙中IP地址的自动更新,添加新的有效IP,并删除无效IP,以提升所述初始数据集中防火墙的可用性,当所述指令类型为添加策略类型时,检测所述目标信息对应的逻辑实体是否存在,得到检测结果,根据所述检测结果选择添加方式,根据所述目标信息以所述添加方式向所述初始数据集中添加策略,通过自动添加防火墙策略,实现相关防火墙策略的一次性全面更新,高效且准确。本发明还涉及区块链技术,更新后的初始数据集及备份的初始数据集存储于区块链上。本发明还涉及智慧安防,从而推动智慧城市的建设。
附图说明
图1是本发明基于人工智能的防火墙策略管理方法的较佳实施例的流程图。
图2是本发明基于人工智能的防火墙策略管理装置的较佳实施例的功能模块图。
图3是本发明实现基于人工智能的防火墙策略管理方法的较佳实施例的电子设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
如图1所示,是本发明基于人工智能的防火墙策略管理方法的较佳实施例的流程图。根据不同的需求,该流程图中步骤的顺序可以改变,某些步骤可以省略。
所述基于人工智能的防火墙策略管理方法应用于智慧安防场景中,从而推动智慧城市的建设。所述基于人工智能的防火墙策略管理方法应用于一个或者多个电子设备中,所述电子设备是一种能够按照事先设定或存储的计算机可读指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、可编程门阵列(Field-Programmable Gate Array,FPGA)、数字信号处理器(Digital Signal Processor,DSP)、嵌入式设备等。
所述电子设备可以是任何一种可与用户进行人机交互的电子产品,例如,个人计算机、平板电脑、智能手机、个人数字助理(Personal Digital Assistant,PDA)、游戏机、交互式网络电视(Internet Protocol Television,IPTV)、智能穿戴式设备等。
所述电子设备可以包括网络设备和/或用户设备。其中,所述网络设备包括,但不限于单个网络电子设备、多个网络电子设备组成的电子设备组或基于云计算(CloudComputing)的由大量主机或网络电子设备构成的云。
所述电子设备所处的网络包括,但不限于:互联网、广域网、城域网、局域网、虚拟专用网络(Virtual Private Network,VPN)等。
S10,响应于接收到的防火墙策略管理指令,检测初始数据集。
其中,所述防火墙策略管理指令可以由相关工作人员触发,本发明不限制。
在本实施例中,所述初始数据集中可以存储系统中所有防火墙的相关信息,属于防火墙信息的集合。
S11,当检测到所述初始数据集时,解析所述防火墙策略管理指令,得到指令类型及与所述指令类型对应的目标信息。
其中,所述指令类型包括,但不限于:查询类型、IP更新类型以及添加策略类型等。
所述目标信息可以包括,但不限于:目标IP、端口号、逻辑实体名、待添加策略以及预设关键字等。
在本发明的至少一个实施例中,所述基于人工智能的防火墙策略管理方法还包括:
当未检测到所述初始数据集时,调取模板文件;
检测是否有处于服务状态的防火墙;
当未检测到没有处于服务状态的防火墙时,将所述模板文件确定为所述初始数据集;或者
当检测到有处于服务状态的防火墙时,根据所述处于服务状态的防火墙构建所述初始数据集。
需要说明的是,要想实现对防火墙策略的统一管理,需要具有默认格式的文件作为基础,即所述初始文件集,因此,针对是否检测到处于服务状态的防火墙的两种情况,本案采取不同的方式构建所述初始文件集,以便顺利执行对防火墙策略的管理。
进一步地,所述电子设备根据所述处于服务状态的防火墙构建所述初始数据集包括:
获取所述处于服务状态的防火墙的相关信息;
基于预设正则表达式提取所述相关信息中的目标字段;
将所述目标字段导入所述模板文件,生成所述初始数据集。
通过上述实施方式,生成的所述初始数据集具备符合要求的格式,便于后续基于所述初始数据集执行数据处理,且由机器自动生成防火墙信息代替人工录入,有效降低了出错率,且机器执行的日志等信息还可以辅助进行具体操作的定位,便于定位数据的错误并辅助修正错误数据。
S12,当所述指令类型为查询类型时,以所述目标信息在所述初始数据集中进行匹配,输出查询结果。
其中,所述查询类型可以包括,但不限于:端口号查询、防火墙策略查询。
在本发明的至少一个实施例中,所述电子设备以所述目标信息在所述初始数据集中进行匹配,输出查询结果包括:
当所述目标信息为端口号时,从所述初始数据集中获取端口列表,并以所述端口号在所述端口列表中进行遍历,输出匹配的端口号作为所述查询结果;或者
当所述目标信息为逻辑实体名时,基于所述逻辑实体名在所述初始数据集中进行查询,输出查询到的与所述逻辑实体名匹配的防火墙策略作为所述查询结果。
在上述实施方式中,由于所述初始数据集中具有完备的防火墙信息,因此有效提升了查询结果的准确性。
S13,当所述指令类型为IP更新类型时,确定所述IP更新类型的更新方式,根据所述目标信息以所述更新方式更新所述初始数据集。
在本发明的至少一个实施例中,所述更新方式包括添加IP或者删除IP,所述电子设备确定所述IP更新类型的更新方式,根据所述目标信息以所述更新方式更新所述初始数据集包括:
获取所述目标信息中的逻辑实体名;
利用所述逻辑实体名在所述初始数据集中进行模糊匹配,输出待选逻辑实体;
将所述待选逻辑实体按照使用频率由高到低进行排序,得到排序结果,并展示所述排序结果;
当监测到对任意待选逻辑实体的选择信号时,将选择的待选逻辑实体确定为目标逻辑实体;
获取所述目标信息中的目标IP;
根据配置格式对所述目标IP进行合法性校验;
当所述目标IP通过合法性校验时,根据所述目标IP及所述更新方式更新所述目标逻辑实体中的IP,并记录更新时间及更新者;
将更新后的目标逻辑实体导入所述初始数据集,以更新所述初始数据集,保存更新后的初始数据集至区块链。
其中,所述根据配置格式对所述目标IP进行合法性校验包括:
以所述配置格式对所述目标IP进行逐位检测,当所述目标IP的所有位都符合所述配置格式的要求时,确定所述目标IP通过合法性校验,反之,则确定所述目标IP未通过合法性校验。
通过上述实施方式,能够实现对防火墙中IP地址的自动更新,添加新的有效IP,并删除无效IP,以提升所述初始数据集中防火墙的可用性。
S14,当所述指令类型为添加策略类型时,检测所述目标信息对应的逻辑实体是否存在,得到检测结果,根据所述检测结果选择添加方式,根据所述目标信息以所述添加方式向所述初始数据集中添加策略。
可以理解的是,针对是否存在对应的逻辑实体,在实际添加策略时的处理方式也有所不同。
具体地,所述电子设备根据所述检测结果选择添加方式,根据所述目标信息以所述添加方式向所述初始数据集中添加策略包括:
当所述目标信息对应的逻辑实体不存在时,从所述目标信息中获取待添加策略,从所述待添加策略中获取待添加IP进行合法性校验,并对所述待添加策略进行空字段检测,当所述待添加IP通过合法性校验且所述待添加策略通过空字段检测时,向所述初始数据集中添加所述待添加策略,并记录添加时间及添加者;或者
当所述目标信息对应的逻辑实体存在时,从所述目标信息中获取预设关键字及所述待添加策略,根据所述预设关键字在所述初始数据集中匹配目标策略,从所述待添加策略中获取所述待添加IP进行合法性校验,并对所述待添加策略进行空字段检测,当所述待添加IP通过合法性校验且所述待添加策略通过空字段检测时,以所述待添加策略更新所述目标策略,并记录所述添加时间及所述添加者。
在本实施例中,所述空字段检测是指利用指定脚本检测所述待添加策略中是否包括空白栏位,其中,备注栏除外。
通过上述实施方式,能够结合人工智能思想自动添加防火墙策略,实现相关防火墙策略的一次性全面更新。
在本发明的至少一个实施例中,所述基于人工智能的防火墙策略管理方法还包括:
当检测到所述初始数据集有数据改变时,备份改变后的初始数据集;
获取数据改变的时间及所述初始数据集的文件名;
以所述时间及所述文件名对备份的初始数据集进行重命名,并保存所述备份的初始数据集至区块链。
通过上述实施方式,能够实现对防火墙策略的及时备份,同时,为了提高安全性及隐私性,将备份的初始数据集保存至区块链,避免恶意篡改。
由以上技术方案可以看出,本发明能够响应于接收到的防火墙策略管理指令,检测初始数据集,当检测到所述初始数据集时,解析所述防火墙策略管理指令,得到指令类型及与所述指令类型对应的目标信息,当所述指令类型为查询类型时,以所述目标信息在所述初始数据集中进行匹配,输出查询结果,由于所述初始数据集中具有完备的防火墙信息,因此有效提升了查询结果的准确性,当所述指令类型为IP更新类型时,确定所述IP更新类型的更新方式,根据所述目标信息以所述更新方式更新所述初始数据集,能够实现对防火墙中IP地址的自动更新,添加新的有效IP,并删除无效IP,以提升所述初始数据集中防火墙的可用性,当所述指令类型为添加策略类型时,检测所述目标信息对应的逻辑实体是否存在,得到检测结果,根据所述检测结果选择添加方式,根据所述目标信息以所述添加方式向所述初始数据集中添加策略,通过自动添加防火墙策略,实现相关防火墙策略的一次性全面更新,高效且准确。本发明还涉及区块链技术,更新后的初始数据集及备份的初始数据集存储于区块链上。本发明还涉及智慧安防,从而推动智慧城市的建设。
如图2所示,是本发明基于人工智能的防火墙策略管理装置的较佳实施例的功能模块图。所述基于人工智能的防火墙策略管理装置11包括检测单元110、解析单元111、匹配单元112、更新单元113、添加单元114、调取单元115、确定单元116、构建单元117、备份单元118、获取单元119及保存单元120。本发明所称的模块/单元是指一种能够被处理器13所获取,并且能够完成固定功能的一系列计算机可读指令段,其存储在存储器12中。在本实施例中,关于各模块/单元的功能将在后续的实施例中详述。
检测单元110响应于接收到的防火墙策略管理指令,检测初始数据集。
其中,所述防火墙策略管理指令可以由相关工作人员触发,本发明不限制。
在本实施例中,所述初始数据集中可以存储系统中所有防火墙的相关信息,属于防火墙信息的集合。
当检测到所述初始数据集时,解析单元111解析所述防火墙策略管理指令,得到指令类型及与所述指令类型对应的目标信息。
其中,所述指令类型包括,但不限于:查询类型、IP更新类型以及添加策略类型等。
所述目标信息可以包括,但不限于:目标IP、端口号、逻辑实体名、待添加策略以及预设关键字等。
在本发明的至少一个实施例中,当未检测到所述初始数据集时,调取单元115调取模板文件;
所述检测单元110检测是否有处于服务状态的防火墙;
当未检测到没有处于服务状态的防火墙时,确定单元116将所述模板文件确定为所述初始数据集;或者
当检测到有处于服务状态的防火墙时,构建单元117根据所述处于服务状态的防火墙构建所述初始数据集。
需要说明的是,要想实现对防火墙策略的统一管理,需要具有默认格式的文件作为基础,即所述初始文件集,因此,针对是否检测到处于服务状态的防火墙的两种情况,本案采取不同的方式构建所述初始文件集,以便顺利执行对防火墙策略的管理。
进一步地,所述构建单元117根据所述处于服务状态的防火墙构建所述初始数据集包括:
获取所述处于服务状态的防火墙的相关信息;
基于预设正则表达式提取所述相关信息中的目标字段;
将所述目标字段导入所述模板文件,生成所述初始数据集。
通过上述实施方式,生成的所述初始数据集具备符合要求的格式,便于后续基于所述初始数据集执行数据处理,且由机器自动生成防火墙信息代替人工录入,有效降低了出错率,且机器执行的日志等信息还可以辅助进行具体操作的定位,便于定位数据的错误并辅助修正错误数据。
当所述指令类型为查询类型时,匹配单元112以所述目标信息在所述初始数据集中进行匹配,输出查询结果。
其中,所述查询类型可以包括,但不限于:端口号查询、防火墙策略查询。
在本发明的至少一个实施例中,所述匹配单元112以所述目标信息在所述初始数据集中进行匹配,输出查询结果包括:
当所述目标信息为端口号时,从所述初始数据集中获取端口列表,并以所述端口号在所述端口列表中进行遍历,输出匹配的端口号作为所述查询结果;或者
当所述目标信息为逻辑实体名时,基于所述逻辑实体名在所述初始数据集中进行查询,输出查询到的与所述逻辑实体名匹配的防火墙策略作为所述查询结果。
在上述实施方式中,由于所述初始数据集中具有完备的防火墙信息,因此有效提升了查询结果的准确性。
当所述指令类型为IP更新类型时,更新单元113确定所述IP更新类型的更新方式,根据所述目标信息以所述更新方式更新所述初始数据集。
在本发明的至少一个实施例中,所述更新方式包括添加IP或者删除IP,所述更新单元113确定所述IP更新类型的更新方式,根据所述目标信息以所述更新方式更新所述初始数据集包括:
获取所述目标信息中的逻辑实体名;
利用所述逻辑实体名在所述初始数据集中进行模糊匹配,输出待选逻辑实体;
将所述待选逻辑实体按照使用频率由高到低进行排序,得到排序结果,并展示所述排序结果;
当监测到对任意待选逻辑实体的选择信号时,将选择的待选逻辑实体确定为目标逻辑实体;
获取所述目标信息中的目标IP;
根据配置格式对所述目标IP进行合法性校验;
当所述目标IP通过合法性校验时,根据所述目标IP及所述更新方式更新所述目标逻辑实体中的IP,并记录更新时间及更新者;
将更新后的目标逻辑实体导入所述初始数据集,以更新所述初始数据集,保存更新后的初始数据集至区块链。
其中,所述根据配置格式对所述目标IP进行合法性校验包括:
以所述配置格式对所述目标IP进行逐位检测,当所述目标IP的所有位都符合所述配置格式的要求时,确定所述目标IP通过合法性校验,反之,则确定所述目标IP未通过合法性校验。
通过上述实施方式,能够实现对防火墙中IP地址的自动更新,添加新的有效IP,并删除无效IP,以提升所述初始数据集中防火墙的可用性。
当所述指令类型为添加策略类型时,添加单元114检测所述目标信息对应的逻辑实体是否存在,得到检测结果,根据所述检测结果选择添加方式,根据所述目标信息以所述添加方式向所述初始数据集中添加策略。
可以理解的是,针对是否存在对应的逻辑实体,在实际添加策略时的处理方式也有所不同。
具体地,所述添加单元114根据所述检测结果选择添加方式,根据所述目标信息以所述添加方式向所述初始数据集中添加策略包括:
当所述目标信息对应的逻辑实体不存在时,从所述目标信息中获取待添加策略,从所述待添加策略中获取待添加IP进行合法性校验,并对所述待添加策略进行空字段检测,当所述待添加IP通过合法性校验且所述待添加策略通过空字段检测时,向所述初始数据集中添加所述待添加策略,并记录添加时间及添加者;或者
当所述目标信息对应的逻辑实体存在时,从所述目标信息中获取预设关键字及所述待添加策略,根据所述预设关键字在所述初始数据集中匹配目标策略,从所述待添加策略中获取所述待添加IP进行合法性校验,并对所述待添加策略进行空字段检测,当所述待添加IP通过合法性校验且所述待添加策略通过空字段检测时,以所述待添加策略更新所述目标策略,并记录所述添加时间及所述添加者。
在本实施例中,所述空字段检测是指利用指定脚本检测所述待添加策略中是否包括空白栏位,其中,备注栏除外。
通过上述实施方式,能够结合人工智能思想自动添加防火墙策略,实现相关防火墙策略的一次性全面更新。
在本发明的至少一个实施例中,当检测到所述初始数据集有数据改变时,备份单元118备份改变后的初始数据集;
获取单元119获取数据改变的时间及所述初始数据集的文件名;
保存单元120以所述时间及所述文件名对备份的初始数据集进行重命名,并保存所述备份的初始数据集至区块链。
通过上述实施方式,能够实现对防火墙策略的及时备份,同时,为了提高安全性及隐私性,将备份的初始数据集保存至区块链,避免恶意篡改。
由以上技术方案可以看出,本发明能够响应于接收到的防火墙策略管理指令,检测初始数据集,当检测到所述初始数据集时,解析所述防火墙策略管理指令,得到指令类型及与所述指令类型对应的目标信息,当所述指令类型为查询类型时,以所述目标信息在所述初始数据集中进行匹配,输出查询结果,由于所述初始数据集中具有完备的防火墙信息,因此有效提升了查询结果的准确性,当所述指令类型为IP更新类型时,确定所述IP更新类型的更新方式,根据所述目标信息以所述更新方式更新所述初始数据集,能够实现对防火墙中IP地址的自动更新,添加新的有效IP,并删除无效IP,以提升所述初始数据集中防火墙的可用性,当所述指令类型为添加策略类型时,检测所述目标信息对应的逻辑实体是否存在,得到检测结果,根据所述检测结果选择添加方式,根据所述目标信息以所述添加方式向所述初始数据集中添加策略,通过自动添加防火墙策略,实现相关防火墙策略的一次性全面更新,高效且准确。本发明还涉及区块链技术,更新后的初始数据集及备份的初始数据集存储于区块链上。本发明还涉及智慧安防,从而推动智慧城市的建设。
如图3所示,是本发明实现基于人工智能的防火墙策略管理方法的较佳实施例的电子设备的结构示意图。
在本发明的一个实施例中,所述电子设备1包括,但不限于,存储器12、处理器13,以及存储在所述存储器12中并可在所述处理器13上运行的计算机可读指令,例如基于人工智能的防火墙策略管理程序。
本领域技术人员可以理解,所述示意图仅仅是电子设备1的示例,并不构成对电子设备1的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述电子设备1还可以包括输入输出设备、网络接入设备、总线等。
所述处理器13可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器13是所述电子设备1的运算核心和控制中心,利用各种接口和线路连接整个电子设备1的各个部分,及执行所述电子设备1的操作系统以及安装的各类应用程序、程序代码等。
示例性的,所述计算机可读指令可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器12中,并由所述处理器13执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机可读指令段,该计算机可读指令段用于描述所述计算机可读指令在所述电子设备1中的执行过程。例如,所述计算机可读指令可以被分割成检测单元110、解析单元111、匹配单元112、更新单元113、添加单元114、调取单元115、确定单元116、构建单元117、备份单元118、获取单元119及保存单元120。
所述存储器12可用于存储所述计算机可读指令和/或模块,所述处理器13通过运行或执行存储在所述存储器12内的计算机可读指令和/或模块,以及调用存储在存储器12内的数据,实现所述电子设备1的各种功能。所述存储器12可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据电子设备的使用所创建的数据等。存储器12可以包括非易失性和易失性存储器,例如:硬盘、内存、插接式硬盘,智能存储卡(SmartMedia Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他存储器件。
所述存储器12可以是电子设备1的外部存储器和/或内部存储器。进一步地,所述存储器12可以是具有实物形式的存储器,如内存条、TF卡(Trans-flash Card)等等。
所述电子设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机可读指令来指令相关的硬件来完成,所述的计算机可读指令可存储于一计算机可读存储介质中,该计算机可读指令在被处理器执行时,可实现上述各个方法实施例的步骤。
其中,所述计算机可读指令包括计算机可读指令代码,所述计算机可读指令代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机可读指令代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)。
本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
结合图1,所述电子设备1中的所述存储器12存储计算机可读指令实现一种基于人工智能的防火墙策略管理方法,所述处理器13可执行所述计算机可读指令从而实现:
响应于接收到的防火墙策略管理指令,检测初始数据集;
当检测到所述初始数据集时,解析所述防火墙策略管理指令,得到指令类型及与所述指令类型对应的目标信息;
当所述指令类型为查询类型时,以所述目标信息在所述初始数据集中进行匹配,输出查询结果;
当所述指令类型为IP更新类型时,确定所述IP更新类型的更新方式,根据所述目标信息以所述更新方式更新所述初始数据集;
当所述指令类型为添加策略类型时,检测所述目标信息对应的逻辑实体是否存在,得到检测结果,根据所述检测结果选择添加方式,根据所述目标信息以所述添加方式向所述初始数据集中添加策略。
具体地,所述处理器13对上述计算机可读指令的具体实现方法可参考图1对应实施例中相关步骤的描述,在此不赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述计算机可读存储介质上存储有计算机可读指令,其中,所述计算机可读指令被处理器13执行时用以实现以下步骤:
响应于接收到的防火墙策略管理指令,检测初始数据集;
当检测到所述初始数据集时,解析所述防火墙策略管理指令,得到指令类型及与所述指令类型对应的目标信息;
当所述指令类型为查询类型时,以所述目标信息在所述初始数据集中进行匹配,输出查询结果;
当所述指令类型为IP更新类型时,确定所述IP更新类型的更新方式,根据所述目标信息以所述更新方式更新所述初始数据集;
当所述指令类型为添加策略类型时,检测所述目标信息对应的逻辑实体是否存在,得到检测结果,根据所述检测结果选择添加方式,根据所述目标信息以所述添加方式向所述初始数据集中添加策略。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。
此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。所述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一、第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。
Claims (10)
1.一种基于人工智能的防火墙策略管理方法,其特征在于,所述基于人工智能的防火墙策略管理方法包括:
响应于接收到的防火墙策略管理指令,检测初始数据集;
当检测到所述初始数据集时,解析所述防火墙策略管理指令,得到指令类型及与所述指令类型对应的目标信息;
当所述指令类型为查询类型时,以所述目标信息在所述初始数据集中进行匹配,输出查询结果;
当所述指令类型为IP更新类型时,确定所述IP更新类型的更新方式,根据所述目标信息以所述更新方式更新所述初始数据集;
当所述指令类型为添加策略类型时,检测所述目标信息对应的逻辑实体是否存在,得到检测结果,根据所述检测结果选择添加方式,根据所述目标信息以所述添加方式向所述初始数据集中添加策略。
2.如权利要求1所述的基于人工智能的防火墙策略管理方法,其特征在于,所述基于人工智能的防火墙策略管理方法还包括:
当未检测到所述初始数据集时,调取模板文件;
检测是否有处于服务状态的防火墙;
当未检测到没有处于服务状态的防火墙时,将所述模板文件确定为所述初始数据集;或者
当检测到有处于服务状态的防火墙时,根据所述处于服务状态的防火墙构建所述初始数据集。
3.如权利要求2所述的基于人工智能的防火墙策略管理方法,其特征在于,所述根据所述处于服务状态的防火墙构建所述初始数据集包括:
获取所述处于服务状态的防火墙的相关信息;
基于预设正则表达式提取所述相关信息中的目标字段;
将所述目标字段导入所述模板文件,生成所述初始数据集。
4.如权利要求1所述的基于人工智能的防火墙策略管理方法,其特征在于,所述以所述目标信息在所述初始数据集中进行匹配,输出查询结果包括:
当所述目标信息为端口号时,从所述初始数据集中获取端口列表,并以所述端口号在所述端口列表中进行遍历,输出匹配的端口号作为所述查询结果;或者
当所述目标信息为逻辑实体名时,基于所述逻辑实体名在所述初始数据集中进行查询,输出查询到的与所述逻辑实体名匹配的防火墙策略作为所述查询结果。
5.如权利要求1所述的基于人工智能的防火墙策略管理方法,其特征在于,所述更新方式包括添加IP或者删除IP,所述确定所述IP更新类型的更新方式,根据所述目标信息以所述更新方式更新所述初始数据集包括:
获取所述目标信息中的逻辑实体名;
利用所述逻辑实体名在所述初始数据集中进行模糊匹配,输出待选逻辑实体;
将所述待选逻辑实体按照使用频率由高到低进行排序,得到排序结果,并展示所述排序结果;
当监测到对任意待选逻辑实体的选择信号时,将选择的待选逻辑实体确定为目标逻辑实体;
获取所述目标信息中的目标IP;
根据配置格式对所述目标IP进行合法性校验;
当所述目标IP通过合法性校验时,根据所述目标IP及所述更新方式更新所述目标逻辑实体中的IP,并记录更新时间及更新者;
将更新后的目标逻辑实体导入所述初始数据集,以更新所述初始数据集,保存更新后的初始数据集至区块链。
6.如权利要求1所述的基于人工智能的防火墙策略管理方法,其特征在于,所述根据所述检测结果选择添加方式,根据所述目标信息以所述添加方式向所述初始数据集中添加策略包括:
当所述目标信息对应的逻辑实体不存在时,从所述目标信息中获取待添加策略,从所述待添加策略中获取待添加IP进行合法性校验,并对所述待添加策略进行空字段检测,当所述待添加IP通过合法性校验且所述待添加策略通过空字段检测时,向所述初始数据集中添加所述待添加策略,并记录添加时间及添加者;或者
当所述目标信息对应的逻辑实体存在时,从所述目标信息中获取预设关键字及所述待添加策略,根据所述预设关键字在所述初始数据集中匹配目标策略,从所述待添加策略中获取所述待添加IP进行合法性校验,并对所述待添加策略进行空字段检测,当所述待添加IP通过合法性校验且所述待添加策略通过空字段检测时,以所述待添加策略更新所述目标策略,并记录所述添加时间及所述添加者。
7.如权利要求1所述的基于人工智能的防火墙策略管理方法,其特征在于,所述基于人工智能的防火墙策略管理方法还包括:
当检测到所述初始数据集有数据改变时,备份改变后的初始数据集;
获取数据改变的时间及所述初始数据集的文件名;
以所述时间及所述文件名对备份的初始数据集进行重命名,并保存所述备份的初始数据集至区块链。
8.一种基于人工智能的防火墙策略管理装置,其特征在于,所述基于人工智能的防火墙策略管理装置包括:
检测单元,用于响应于接收到的防火墙策略管理指令,检测初始数据集;
解析单元,用于当检测到所述初始数据集时,解析所述防火墙策略管理指令,得到指令类型及与所述指令类型对应的目标信息;
匹配单元,用于当所述指令类型为查询类型时,以所述目标信息在所述初始数据集中进行匹配,输出查询结果;
更新单元,用于当所述指令类型为IP更新类型时,确定所述IP更新类型的更新方式,根据所述目标信息以所述更新方式更新所述初始数据集;
添加单元,用于当所述指令类型为添加策略类型时,检测所述目标信息对应的逻辑实体是否存在,得到检测结果,根据所述检测结果选择添加方式,根据所述目标信息以所述添加方式向所述初始数据集中添加策略。
9.一种电子设备,其特征在于,所述电子设备包括:
存储器,存储有计算机可读指令;及
处理器,执行所述存储器中存储的计算机可读指令以实现如权利要求1至7中任意一项所述的基于人工智能的防火墙策略管理方法。
10.一种计算机可读存储介质,其特征在于:所述计算机可读存储介质中存储有计算机可读指令,所述计算机可读指令被电子设备中的处理器执行以实现如权利要求1至7中任意一项所述的基于人工智能的防火墙策略管理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110469009.7A CN113141369B (zh) | 2021-04-28 | 2021-04-28 | 基于人工智能的防火墙策略管理方法及相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110469009.7A CN113141369B (zh) | 2021-04-28 | 2021-04-28 | 基于人工智能的防火墙策略管理方法及相关设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113141369A true CN113141369A (zh) | 2021-07-20 |
CN113141369B CN113141369B (zh) | 2023-02-07 |
Family
ID=76816378
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110469009.7A Active CN113141369B (zh) | 2021-04-28 | 2021-04-28 | 基于人工智能的防火墙策略管理方法及相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113141369B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113722293A (zh) * | 2021-08-31 | 2021-11-30 | 平安科技(深圳)有限公司 | 基于人工智能的防火墙维护方法、装置、电子设备及介质 |
CN115865514A (zh) * | 2022-12-23 | 2023-03-28 | 深圳市拓普泰克技术股份有限公司 | 基于区块链的智能合约防火墙防护方法及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050138416A1 (en) * | 2003-12-19 | 2005-06-23 | Microsoft Corporation | Object model for managing firewall services |
US20150143502A1 (en) * | 2013-09-25 | 2015-05-21 | Veracode, Inc. | System and method for automated configuration of application firewalls |
US20170250951A1 (en) * | 2016-02-29 | 2017-08-31 | Level 3 Communications, Llc | Systems and methods for dynamic firewall policy configuration |
CN108092979A (zh) * | 2017-12-20 | 2018-05-29 | 国家电网公司 | 一种防火墙策略处理方法及装置 |
US20180176185A1 (en) * | 2016-12-19 | 2018-06-21 | Nicira, Inc. | Firewall rule management for hierarchical entities |
CN109802960A (zh) * | 2019-01-08 | 2019-05-24 | 深圳中兴网信科技有限公司 | 防火墙策略处理方法及装置、计算机设备和存储介质 |
-
2021
- 2021-04-28 CN CN202110469009.7A patent/CN113141369B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050138416A1 (en) * | 2003-12-19 | 2005-06-23 | Microsoft Corporation | Object model for managing firewall services |
US20150143502A1 (en) * | 2013-09-25 | 2015-05-21 | Veracode, Inc. | System and method for automated configuration of application firewalls |
US20170250951A1 (en) * | 2016-02-29 | 2017-08-31 | Level 3 Communications, Llc | Systems and methods for dynamic firewall policy configuration |
US20180176185A1 (en) * | 2016-12-19 | 2018-06-21 | Nicira, Inc. | Firewall rule management for hierarchical entities |
CN108092979A (zh) * | 2017-12-20 | 2018-05-29 | 国家电网公司 | 一种防火墙策略处理方法及装置 |
CN109802960A (zh) * | 2019-01-08 | 2019-05-24 | 深圳中兴网信科技有限公司 | 防火墙策略处理方法及装置、计算机设备和存储介质 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113722293A (zh) * | 2021-08-31 | 2021-11-30 | 平安科技(深圳)有限公司 | 基于人工智能的防火墙维护方法、装置、电子设备及介质 |
CN113722293B (zh) * | 2021-08-31 | 2023-06-09 | 平安科技(深圳)有限公司 | 基于人工智能的防火墙维护方法、装置、电子设备及介质 |
CN115865514A (zh) * | 2022-12-23 | 2023-03-28 | 深圳市拓普泰克技术股份有限公司 | 基于区块链的智能合约防火墙防护方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN113141369B (zh) | 2023-02-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111694840B (zh) | 数据同步方法、装置、服务器及存储介质 | |
CN113141369B (zh) | 基于人工智能的防火墙策略管理方法及相关设备 | |
CN111638908A (zh) | 接口文档生成方法、装置、电子设备及介质 | |
CN112163412B (zh) | 数据校验方法、装置、电子设备及存储介质 | |
CN111797351A (zh) | 页面数据管理方法、装置、电子设备及介质 | |
CN112001179A (zh) | 命名实体识别方法、装置、电子设备及可读存储介质 | |
CN114035827A (zh) | 应用程序更新方法、装置、设备及存储介质 | |
WO2021056731A1 (zh) | 基于日志数据分析的行为检测方法、装置、设备及介质 | |
CN112001159B (zh) | 文书生成方法、装置、电子设备及存储介质 | |
EP4213042A1 (en) | Merging and unmerging entity representations via resolver trees | |
CN112947986B (zh) | 多版本代码签入控制方法、装置、客户端及存储介质 | |
WO2021174836A1 (zh) | 差分包生成方法方法、装置、计算机设备及存储介质 | |
CN111798969A (zh) | 医学药品匹配方法、装置、电子设备及存储介质 | |
CN112199483B (zh) | 信息录入辅助方法、装置、电子设备及存储介质 | |
CN114116108A (zh) | 动态渲染方法、装置、设备及存储介质 | |
CN111933241B (zh) | 医疗数据解析方法、装置、电子设备及存储介质 | |
CN112434062A (zh) | 准实时数据处理方法、装置、服务器及存储介质 | |
US20130204839A1 (en) | Validating Files Using a Sliding Window to Access and Correlate Records in an Arbitrarily Large Dataset | |
CN111752958A (zh) | 智能关联标签方法、装置、计算机设备及存储介质 | |
CN109299613B (zh) | 数据库分区权限的设置方法和终端设备 | |
CN114124586B (zh) | 一种网络威胁检测方法及装置 | |
CN115878592A (zh) | 一种政务数据治理方法、装置、存储介质及电子设备 | |
CN115495620A (zh) | 基于图结构的数据管理方法及相关设备 | |
CN114692204A (zh) | 数据查询方法、装置、设备及存储介质 | |
CN113283677A (zh) | 指标数据处理方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |