CN113382019B - 流量数据处理方法 - Google Patents
流量数据处理方法 Download PDFInfo
- Publication number
- CN113382019B CN113382019B CN202110745266.9A CN202110745266A CN113382019B CN 113382019 B CN113382019 B CN 113382019B CN 202110745266 A CN202110745266 A CN 202110745266A CN 113382019 B CN113382019 B CN 113382019B
- Authority
- CN
- China
- Prior art keywords
- target
- rule
- parameter
- parameters
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Artificial Intelligence (AREA)
- Medical Informatics (AREA)
- Evolutionary Computation (AREA)
- Computer Security & Cryptography (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种流量数据处理方法。其中,该方法包括:通过预设的基础规则对业务系统的流量数据进行筛选;获取命中基础规则的目标流量数据,并确定目标流量数据的流量参数;根据流量参数,以及基础规则,生成对业务系统的目标规则,其中,目标规则用于对流量数据进行筛选和过滤。本发明解决了相关技术中的防火墙对初始建立的业务的流量进行筛选时,需要依赖于现有的处理策略,难以适应初次建立的业务的流量的有效筛选的技术问题。
Description
技术领域
本发明涉及流量处理领域,具体而言,涉及一种流量数据处理方法。
背景技术
策略是网络安全设备的基本功能,控制安全域间/不同地址段间的流量转发。默认情况下,安全设备会拒绝设备上所有安全域/地址段之间的信息传输。而策略则通过策略规则(Policy Rule)决定从一个(多个)安全域到另一个(多个)安全域/从一个地址段到另一个地址段的哪些流量该被允许,哪些流量该被拒绝。
但是在实际环境中,新增的防火墙或者新上业务系统,管理员不清楚如何设置策略。而且由于部分管理员无法提前收集和梳理未知的应用端口,加大了策略配置的难度。即使是已投入使用的业务,管理人员更换,缺少材料记录,业务系统的详细信息也难以有效传递。由于上述的各种原因,实际应用中,管理员需要花费大量时间配置相关策略,并且存在配置错误的可能。
相关技术中有一种防火墙策略的自动生成方法及系统,通过与已有的防火墙策略规则进行对比,调用相应的防火墙品牌的策略生成方法设置策略。该方法是一种防火墙策略的自动生成系统,获取策略申请信息,包括源地址、目的地址以及策略协议。在所述防火墙路径的每个防火墙上查询是否已包含符合所述策略协议的防火墙策略,若是,则将所述防火墙从所述防火墙路径中删除,若否,则保留所述防火墙。根据生成的防火墙策略新建工艺调用与所述保留的防火墙的品牌对应的策略写入方法,将防火墙策略写入所述保留的防火墙中。
但是,该方法需要和现有的防火墙策略进行比较,操作复杂。该方法主要用于同时使用多个防火墙品牌时,在哪些防火墙上配置策略,无法细化具体的策略规则。无法处理新增防火墙或新增业务时,如何设置策略。
相关技术还有一种防火墙安全策略配置方法和装置、以及防火墙,从数据包中获取协议和资产信息,与模型库进行匹配后生成策略。该方法主要是从网络环境中获取数据包,分析数据包,得到协议信息和数据信息,将数据信息与资产模型库进行匹配,得到资产信息,将资产信息和协议信息,与策略模型库进行匹配,得到与资产信息和协议信息对应的防火墙安全策略。通过资产模型库对资产进行识别,通过策略模型库获取资产信息和协议信息对应的防火墙安全策略,自动配置防火墙安全策略,避免防火墙安全策略配置中出现策略遗漏、策略错误和策略冗余等问题。
但是,该方法未结合协议和端口信息共同分析,无法帮助客户有效地发现网内未知端口的流量,不适用于金融、电力等复杂的专用系统。需要与策略模型库进行匹配后,得到与所述资产信息和协议信息对应的防火墙安全策略。这种方案需要完备的策略模型库,不适用于初次上线的业务。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种流量数据处理方法,以解决相关技术中的防火墙对初始建立的业务的流量进行筛选时,需要依赖于现有的处理策略,难以适应初次建立的业务的流量的有效筛选的技术问题。
根据本发明实施例的一个方面,提供了一种流量数据处理方法,包括:通过预设的基础规则对业务系统的流量数据进行筛选;获取命中所述基础规则的目标流量数据,并确定所述目标流量数据的流量参数;根据所述流量参数,以及所述基础规则,生成对所述业务系统的目标规则,其中,所述目标规则用于对所述流量数据进行筛选和过滤。
获取命中所述基础规则的目标流量数据,并确定所述流量数据的流量参数包括:获取并记录命中所述基础规则的目标流量数据;确定所述目标流量数据中与所述目标规则有关的流量参数,其中,所述流量参数包括:源地址,目的地址,协议和端口。
可选,根据所述流量参数,以及所述基础规则,生成对所述业务系统的目标规则,包括:根据所述流量参数和所述基础规则中与所述目标规则有关的规则参数,确定目标流量数据对应的学习规则的配置参数,其中,所述规则参数包括:源安全域,目的安全域;对所述配置参数进行处理,得到所述目标规则的目标参数;根据所述目标参数生成所述目标规则。
可选,对学习规则的所述配置参数进行处理,得到所述目标规则的目标参数,包括:根据多个所述目标流量数据对应学习规则的多个配置参数,确定该配置参数的多个参数范围,其中,所述目标流量数据与所述学习规则一一对应;将落在所述参数范围内的学习规则的配置参数,替换为所述参数范围;将替换后的配置参数进行合并,生成所述目标参数。
可选,将替换后的配置参数进行合并,生成所述目标参数,包括:接收聚合条件,其中,所述聚合条件包括进行聚合的配置参数;根据所述聚合条件,将需要聚合的配置参数相同的多个所述学习规则的其他配置参数进行聚合得到所述目标参数,其中,相同的配置参数进行合并作为所述配置参数对应的目标参数,不同的配置参数保留在同一项目标参数中。可选,在根据所述聚合条件,将需要聚合的配置参数相同的多个所述学习规则的其他配置参数进行聚合得到所述目标参数之后,所述方法还包括:根据包含多个不同配置参数的目标参数,生成所述目标参数对应的集合;将所述集合的标识作为所述目标参数。
可选的,所述目标参数为地址或协议与端口对应的服务,所述方法还包括:在所述目标参数为地址的情况下,所述目标参数对应的集合为地址簿,在所述目标参数为服务的情况下,所述目标参数对应的集合为服务簿。
根据本发明实施例的另一方面,还提供了一种流量数据处理装置,包括:筛选模块,用于通过预设的基础规则对业务系统的流量数据进行筛选;确定模块,用于获取命中所述基础规则的目标流量数据,并确定所述目标流量数据的流量参数;生成模块,用于根据所述流量参数,以及所述基础规则,生成对所述业务系统的目标规则,其中,所述目标规则用于对所述流量数据进行筛选和过滤。
根据本发明实施例的另一方面,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述中任意一项所述的流量数据处理方法。
根据本发明实施例的另一方面,还提供了一种计算机存储介质,所述计算机存储介质包括存储的程序,其中,在所述程序运行时控制所述计算机存储介质所在设备执行上述中任意一项所述的流量数据处理方法。
在本发明实施例中,采用通过预设的基础规则对业务系统的流量数据进行筛选;获取命中基础规则的目标流量数据,并确定目标流量数据的流量参数;根据流量参数,以及基础规则,生成对业务系统的目标规则的方式,通过基础规则对流量数据进行筛选,通过命中的目标流量数据进行统计和处理,确定流量参数,自动生成流量数据筛选的目标规则,达到了针对新建的业务系统,无需依赖已有的处理策略,实现自动学习生成目标规则的目的,从而实现了消除对现有策略的依赖,快速适应新建业务系统的规则要求的技术效果,进而解决了相关技术中的防火墙对初始建立的业务的流量进行筛选时,需要依赖于现有的处理策略,难以适应初次建立的业务的流量的有效筛选的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种流量数据处理方法的流程图;
图2是根据本发明实施方式的自动生成处理策略的流程图;
图3是根据本发明实施方式的窗口流量展示的示意图;
图4是根据本发明实施方式的窗口数据替换的示意图;
图5是根据本发明实施方式的窗口数据聚合的示意图;
图6是根据本发明实施方式的窗口地址簿生成的示意图;
图7是根据本发明实施方式的窗口服务簿生成的示意图;
图8是根据本发明实施方式的窗口策略生成的示意图;
图9是根据本发明实施例的一种流量数据处理装置的示意图;
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本发明实施例,提供了一种流量数据处理方法的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种流量数据处理方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,通过预设的基础规则对业务系统的流量数据进行筛选;
步骤S104,获取命中基础规则的目标流量数据,并确定目标流量数据的流量参数;
步骤S106,根据流量参数,以及基础规则,生成对业务系统的目标规则,其中,目标规则用于对流量数据进行筛选和过滤。
通过上述步骤,可以采用通过预设的基础规则对业务系统的流量数据进行筛选;获取命中基础规则的流量数据,并确定流量数据的流量参数;根据流量参数,以及基础规则,生成对业务系统的目标规则的方式,通过命中基础规则的目标流量数据进行统计和处理,确定流量参数,自动生成流量数据筛选的目标规则,从而实现了快速适应新建业务系统的规则要求的技术效果,进而解决了相关技术中的防火墙对初始建立的业务的流量进行筛选时,需要依赖于现有的处理策略,难以适应初次建立的业务的流量的有效筛选的技术问题。
上述预设的基础规则的范围较为宽泛,可以允许较多的流量数据通过,也即是对流量数据进行一个粗筛,例如,全通策略,可以保证全部的流量数据都可以通过,对通过的流量数据,也即是命中该基础规则的流量数进行统计和分析,可以确定流量数据的协议和端口,源地址和目的地址等信息。
上述流量参数可以包括协议和端口,服务,源地址和目的地址等,还可包括一些如流量类型等参数。实际上,上述每条命中的流量数据都可以代表一条具体的命中规则,通过多个命中的流量数据进行分析,就可以确定出一条或者多条目标规则,根据流量数据的处理要求,生成最终的目标规则。
需要说明的是,上述目标规则中也可以继承上述基础规则中的一部分规则,例如,对安全域的要求。上述基础规则中包括了流量数据的源安全域和目标安全域,以保证流量数据的安全性和有效性。上述目标规则中可以设置源安全域和目标安全域,并将上述流量数据在基础规则中的上述源安全域和目标安全域继承在上述目标规则中。使得上述目标规则更加完善和合理。
通过基础规则对流量数据进行筛选,通过命中的流量数据进行统计和处理,确定流量参数,自动生成流量数据筛选的目标规则,达到了针对新建的业务系统,无需依赖已有的处理策略,实现自动学习生成目标规则的目的,从而实现了消除对现有策略的依赖,快速适应新建业务系统的规则要求的技术效果,进而解决了相关技术中的防火墙对初始建立的业务的流量进行筛选时,需要依赖于现有的处理策略,难以适应初次建立的业务的流量的有效筛选的技术问题。
获取并记录命中基础规则的目标流量数据;确定目标流量数据中与目标规则有关的流量参数,其中,流量参数包括下列至少之一:源地址,目的地址,协议和端口。
上述源地址可以是流量数据的源设备的网络地址IP,上述目的地址可以为上述流量数据的目标设备的网络地址IP,上述协议和端口可以是上述流量数据具体的服务采用的协议和端口。
上述与目标规则有关的流量参数可以为流量数据中,与用户设定的目标规则中需要设定的参数一致的参数。或者流量数据中可以标识一个具体流量数据的一个或多个流量参数。例如,上述三个参数的组合就可以适当的表示一个流量参数。
可选的,根据流量参数,以及基础规则,生成对业务系统的目标规则包括:根据流量参数和基础规则中与目标规则有关的规则参数,确定命中的目标流量数据对应的学习规则的配置参数,其中,规则参数包括下列至少之一:源安全域,目的安全域;对配置参数进行处理,得到目标规则的目标参数;根据目标参数生成目标规则。
上述基础规则中与目标规则有关的规则参数,可以为基础规则中,与用户设定的目标规则的参数一致的参数,例如,安全域,包括源安全域和目的安全域。因此,上述目标流量数据对应的学习规则的配置参数,既包括了流量数据中与目标规则有关的流量参数,也包括了基础规则中与目标规则有关的规则参数。
根据该目标参数生成目标规则,也即是目标规则包含了对一项或者多项目标参数的限定。例如,端口协议确定的服务可以TCP20-25,该源地址需要处于预设的地址范围内。
可选的,对配置参数进行处理,得到目标规则的目标参数包括:根据命中的多个目标流量数据对应学习规则的多个配置参数,确定该配置参数的多个参数范围,其中,目标流量数据与学习规则一一对应;将落在参数范围内的学习规则的配置参数,替换为参数范围;将替换后的配置参数进行合并,生成目标参数。
上述学习规则也即是一条流量数据的流量参数和上述基础规则中的规则参数的集合,如图3所示,一条学习规则与一条流量数据对应,包括由流量数据的流量参数确定该学习规则的源IP,目的IP和服务(由协议和端口确定),还包括了基础规则中的源安全域和目的安全域。
上述图3中的多个学习规则,分别包括五个配置参数,每个配置参数,都可以进行合并,例如,两个学习规则的源地址为,1.1.1.1和1.1.1.5,则该两个学习规则可以通过一个源地址为1.1.1.1-1.1.1.5的地址范围进行替换。再例如,两个学习规则的服务分别为TCP20和TCP23,该两个学习规则可以通过一个服务为TCP20-TCP23的服务范围进行替换。
若第三个学习规则的源地址为1.1.1.3,服务为TCP25,则用源地址范围为1.1.1.1-1.1.1.5,源地址范围不变,服务范围为TCP20-TCP25,服务范围变宽,进行替换。通过填写协议和端口规则,可以把符合条件的端口替换成端口范围。
可选的,将替换后的配置参数进行合并,生成目标参数包括:接收聚合条件,其中,聚合条件包括进行聚合的配置参数;根据聚合条件,将需要聚合的配置参数相同的多个学习规则的其他配置参数进行聚合得到目标参数,其中,相同的配置参数进行合并作为配置参数对应的目标参数,不同的配置参数保留在同一项目标参数中。
分析流量数据,通过设置多个聚合条件,按照勾选的条件聚合策略数据,构造更符合用户期望的策略模型。如图5所示,勾选了聚合条件源IP后,可以将相同源地址,不同目的地址和服务的数据进行聚合。可选的,在根据聚合条件,将需要聚合的配置参数相同的多个学习规则的其他配置参数进行聚合得到目标参数之后,方法还包括:根据包含多个不同配置参数的目标参数,生成目标参数对应的集合;将集合的标识作为目标参数。对参数进行聚合后,不同的学习规则也进行了聚合,一项参数中多个不同的参数,将其集合,作为该参数在目标规则中对应的目标参数。从而保证目标规则的生成。
可选的,目标参数为地址或协议与端口对应的服务,方法还包括:在目标参数为地址的情况下,目标参数对应的集合为地址簿,在目标参数为服务的情况下,目标参数对应的集合为服务簿。
地址簿是用于储存IP地址范围预期名称的对应关系的数据库,便于地址管理,并进一步处理待生成策略数据。
服务簿用于储存和管理服务。服务是具有协议标准的信息流。服务具有一定的特征,例如相应的协议号、端口等。便于协议与端口的管理,并进一步处理待生成策略数据。
需要说明的是,本实施例还提供了一种可选的实施方式,下面对该实施方式进行详细说明。
本实施方式基于策略生成的现状和缺陷,希望可以有一种方法满足用户快速、简便地为新上线的业务配置策略的需求。无需配置详细的策略模型,无需复杂的比对,也不需要管理员清楚了解应用和端口,便可以迅速配置准确的策略。因此,本文提出一种基于流量的策略生成装置或工具可实现以下功能。
1/初上线的业务,用户往往无法提供相应的安全设置需求。通过短时间配置一个比较宽泛的策略并开启策略助手来进行学习,辅助用户快速、准确定义安全控制策略,无需用户提前收集和梳理出未知的应用端口,一键将规则转为策略。最终可删除该宽泛的策略。
2/辅助用户收敛策略,删除历史遗留的通用策略。
3/辅助用户快速、准确定义地址簿、服务簿。
本实施方式提出的方法是短时间内通过配置宽泛的策略(比如全通策略),获取命中该策略的流量,分析流量数据中的协议、端口、地址等信息,结合宽泛策略的安全域等信息,通过一系列数据处理,最终生成策略。
图2是根据本发明实施方式的自动生成处理策略的流程图,如图2所示,该方法的总体流程。
1、旁路部署防火墙作为策略的自动学习。
2、配置宽泛的策略,开启策略助手,用作学习策略。
3、从网络中获取并记录命中该策略的流量数据。
4、从流量数据分析得到相应的源IP、目的IP、协议与端口,如图3所示,图3是根据本发明实施方式的窗口流量展示的示意图。
5、分析学习策略,得到配置策略所需的其他配置信息安全域信息,
6分析流量数据,通过设置多个替换条件,可以将多个符合条件的策略数据中的相应条件更改为其满足的替换条件,并将源IP、目的IP、协议、端口均一致的数据进行去重。图4是根据本发明实施方式的窗口数据替换的示意图,如图3,图4所示,通过填写协议和端口规则,可以把符合条件的端口替换成端口范围,并对数据去重。
7、分析流量数据,通过设置多个聚合条件,按照勾选的条件聚合策略数据,构造更符合用户期望的策略模型。图5是根据本发明实施方式的窗口数据聚合的示意图,如图5所示,勾选了聚合条件源IP后,可以将相同源地址,不同目的地址和服务的数据进行聚合。
8、图6是根据本发明实施方式的窗口地址簿生成的示意图,如图6所示,利用处理后的数据一键生成用户所需地址簿,便于地址管理,并进一步处理待生成策略数据。
9、图7是根据本发明实施方式的窗口服务部生成的示意图,如图7所示,利用处理后的数据一键生成用户所需服务簿,便于协议与端口的管理,并进一步处理待生成策略数据。
10、图8是根据本发明实施方式的窗口策略生成的示意图,如图8所示,利用处理后的数据,一键生成用户所需策略规则。
11、根据用户使用需求删除或选中学习策略。
本实施方式可以应用在某金融用户在新增防火墙时,管理员不清楚如何设置策略。因此在现网设备的基础上,添加旁路设备。首先在旁路设备上短时间内配置了一全通策略并开启了策略助手功能。记录命中该策略的流量信息,从中分析得到源IP、目的IP、协议和端口。用户通过设置多个具体的替换和聚合条件,对待生成策略数据进行了去重聚合。按需生成相应的服务簿后,自动更新数据,一键生成策略后,删除初始的全通策略。有效帮助用户完成了策略的配置。
还可以应用在某运营商用户,经常收到其终端使用者反馈网络卡顿,为解决该问题,运营商需要收集相关目的IP。借助本文提出的方式,运营商运维人员在防火墙上开启一个指定一个或多个源地址的策略,该策略的目的地址、服务与应用均为any,并开启策略助手。然后运维人员使用指定的源IP来访问有问题的应用,通过本文中的方法抓取运维人员访问该应用时的所有流量,也可以获取到流量的目的IP,然后根据一定的规则,将这些目的IP生成地址簿,便于后续的分析处理。
本实施方式辅助用户收敛策略规则,快速有效地配置策略规则,减少运维难度。增加端口的观测,有助于用户配置更为精准的策略。辅助用户快速定位有问题的IP,协议等。
通过配置宽泛策略,不断收敛策略规则限制,达到业务要求,减少运维难度。该想法的关键点是无需用户配置精准的规则,通过不断细化宽泛规则的过程,帮助用户配置正确的规则。这个过程是该方法的核心。通过分析流量中的协议和端口,更为精准地配置策略。其关键点是:细化协议,在协议的基础上,同时分析端口。
优选的,通过替换与聚合等条件,使大量流量数据更接近用户需要的策略模型,防止配置大量策略,导致超过规格限制capacity。
优选的,该方法还可以帮助用户针对性地生成地址簿和服务簿等,便于运维分析。关键点是,在细化规则的过程中,不断存储优化可帮助用户分析的相关数据的流程。
图9是根据本发明实施例的一种流量数据处理装置的示意图,如图9所示,根据本发明实施例的另一方面,还提供了一种流量数据处理装置,包括:筛选模块92,确定模块94和生成模块96,下面对该装置进行详细说明。
筛选模块92,用于通过预设的基础规则对业务系统的流量数据进行筛选;确定模块94,与上述筛选模块92相连,用于获取命中基础规则的目标流量数据,并确定目标流量数据的流量参数;生成模块96,与上述确定模块94相连,用于根据流量参数,以及基础规则,生成对业务系统的目标规则,其中,目标规则用于对流量数据进行筛选和过滤。
通过上述装置,采用筛选模块92通过预设的基础规则对业务系统的流量数据进行筛选;采用确定模块94获取命中基础规则的目标流量数据,并确定目标流量数据的流量参数;采用生成模块96根据流量参数,以及基础规则,生成对业务系统的目标规则,的方式,通过基础规则对流量数据进行筛选,通过命中的目标流量数据进行统计和处理,确定流量参数,自动生成流量数据筛选的目标规则,达到了针对新建的业务系统,无需依赖已有的处理策略,实现自动学习生成目标规则的目的,从而实现了消除对现有策略的依赖,快速适应新建业务系统的规则要求的技术效果,进而解决了相关技术中的防火墙对初始建立的业务的流量进行筛选时,需要依赖于现有的处理策略,难以适应初次建立的业务的流量的有效筛选的技术问题。
根据本发明实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述中任意一项的流量数据处理方法。
根据本发明实施例的另一方面,还提供了一种计算机存储介质,计算机存储介质包括存储的程序,其中,在程序运行时控制计算机存储介质所在设备执行上述中任意一项的流量数据处理方法。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (7)
1.一种流量数据处理方法,其特征在于,包括:
通过预设的基础规则对业务系统的流量数据进行筛选;
获取命中所述基础规则的目标流量数据,并确定所述目标流量数据的流量参数;
根据所述流量参数,以及所述基础规则,生成对所述业务系统的目标规则,其中,所述目标规则用于对所述流量数据进行筛选和过滤;
其中,根据所述流量参数,以及所述基础规则,生成对所述业务系统的目标规则,包括:
根据所述流量参数和所述基础规则中与所述目标规则有关的规则参数,确定目标流量数据对应的学习规则的配置参数,其中,所述规则参数包括下列至少之一:源安全域,目的安全域;
对所述配置参数进行处理,得到所述目标规则的目标参数;
根据所述目标参数生成所述目标规则;
其中,对所述配置参数进行处理,得到所述目标规则的目标参数,包括:
根据多个所述目标流量数据对应学习规则的多个配置参数,确定该配置参数的多个参数范围,其中,所述目标流量数据与所述学习规则一一对应;
将落在所述参数范围内的学习规则的配置参数,替换为所述参数范围;
将替换后的配置参数进行合并,生成所述目标参数。
2.根据权利要求1所述的方法,其特征在于,获取命中所述基础规则的目标流量数据,并确定所述流量数据的流量参数包括:
获取并记录命中所述基础规则的目标流量数据;
确定所述目标流量数据中与所述目标规则有关的流量参数,其中,所述流量参数包括下列至少之一:源地址,目的地址,协议和端口。
3.根据权利要求1所述的方法,其特征在于,将替换后的配置参数进行合并,生成所述目标参数包括:
接收聚合条件,其中,所述聚合条件包括进行聚合的配置参数;
根据所述聚合条件,将需要聚合的配置参数相同的多个所述学习规则的其他配置参数进行聚合得到所述目标参数,其中,相同的配置参数进行合并作为所述配置参数对应的目标参数,不同的配置参数保留在同一项目标参数中。
4.根据权利要求3所述的方法,其特征在于,在根据所述聚合条件,将需要聚合的配置参数相同的多个所述学习规则的其他配置参数进行聚合得到所述目标参数之后,所述方法还包括:
根据包含多个不同配置参数的目标参数,生成所述目标参数对应的集合;
将所述集合的标识作为所述目标参数。
5.根据权利要求4所述的方法,其特征在于,所述目标参数为地址或协议与端口对应的服务,所述方法还包括:
在所述目标参数为地址的情况下,所述目标参数对应的集合为地址簿,在所述目标参数为服务的情况下,所述目标参数对应的集合为服务簿。
6.一种流量数据处理装置,其特征在于,包括:
筛选模块,用于通过预设的基础规则对业务系统的流量数据进行筛选;
确定模块,用于获取命中所述基础规则的目标流量数据,并确定所述目标流量数据的流量参数;
生成模块,用于根据所述流量参数,以及所述基础规则,生成对所述业务系统的目标规则,其中,所述目标规则用于对所述流量数据进行筛选和过滤;
其中,根据所述流量参数,以及所述基础规则,生成对所述业务系统的目标规则,包括:
根据所述流量参数和所述基础规则中与所述目标规则有关的规则参数,确定目标流量数据对应的学习规则的配置参数,其中,所述规则参数包括下列至少之一:源安全域,目的安全域;
对所述配置参数进行处理,得到所述目标规则的目标参数;
根据所述目标参数生成所述目标规则;
其中,对所述配置参数进行处理,得到所述目标规则的目标参数,包括:
根据多个所述目标流量数据对应学习规则的多个配置参数,确定该配置参数的多个参数范围,其中,所述目标流量数据与所述学习规则一一对应;
将落在所述参数范围内的学习规则的配置参数,替换为所述参数范围;
将替换后的配置参数进行合并,生成所述目标参数。
7.一种计算机存储介质,其特征在于,所述计算机存储介质存储有程序,其中,在所述程序运行时执行权利要求1至5中任意一项所述的流量数据处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110745266.9A CN113382019B (zh) | 2021-06-30 | 2021-06-30 | 流量数据处理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110745266.9A CN113382019B (zh) | 2021-06-30 | 2021-06-30 | 流量数据处理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113382019A CN113382019A (zh) | 2021-09-10 |
CN113382019B true CN113382019B (zh) | 2022-12-13 |
Family
ID=77580558
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110745266.9A Active CN113382019B (zh) | 2021-06-30 | 2021-06-30 | 流量数据处理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113382019B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114301841B (zh) * | 2021-12-20 | 2024-02-06 | 山石网科通信技术股份有限公司 | 基于k8s的微隔离策略的处理方法和装置 |
CN114430337A (zh) * | 2021-12-23 | 2022-05-03 | 深圳铸泰科技有限公司 | 物联网中基于网络流量的防火墙策略的梳理方法及系统 |
CN114374622B (zh) * | 2021-12-31 | 2023-12-19 | 恒安嘉新(北京)科技股份公司 | 一种基于融合分流设备的分流方法及融合分流设备 |
CN115150169B (zh) * | 2022-06-30 | 2024-02-09 | 北京天融信网络安全技术有限公司 | 一种策略收敛的方法、装置、系统及介质 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9894100B2 (en) * | 2014-12-30 | 2018-02-13 | Fortinet, Inc. | Dynamically optimized security policy management |
CN112491901B (zh) * | 2020-11-30 | 2023-03-24 | 北京锐驰信安技术有限公司 | 一种网络流量精细化筛选装置及方法 |
-
2021
- 2021-06-30 CN CN202110745266.9A patent/CN113382019B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN113382019A (zh) | 2021-09-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113382019B (zh) | 流量数据处理方法 | |
EP3175579B1 (en) | Systems and methods for network management | |
WO2019095719A1 (zh) | 网络流量异常检测方法、装置、计算机设备和存储介质 | |
CN111711616A (zh) | 网络区域边界安全防护系统、方法和设备 | |
DE10393571T5 (de) | Verfahren und System zum Validieren logischer End-to-End-Zugriffspfade in Storage Area Netzwerken | |
WO2020233251A1 (zh) | 一种数据管理方法及装置 | |
US20170317899A1 (en) | Using traffic data to determine network topology | |
US11604802B2 (en) | Computer network controlled data orchestration system and method for data aggregation, normalization, for presentation, analysis and action/decision making | |
CN107547262A (zh) | 告警级别的生成方法、装置和网管设备 | |
US20190007292A1 (en) | Apparatus and method for monitoring network performance of virtualized resources | |
CN108512678B (zh) | 一种基于overlay技术的实物设备接入虚拟网络的方法及系统 | |
CN111181978B (zh) | 异常网络流量的检测方法、装置、电子设备及存储介质 | |
US20150095492A1 (en) | Method and apparatus of matching monitoring sets to network devices | |
US9537749B2 (en) | Method of network connectivity analyses and system thereof | |
JP5204581B2 (ja) | 電子デバイスにおけるセキュリティルールの衝突を管理する方法、コンピュータプログラム、及びセキュリティルールの衝突を管理することが可能な電子デバイス | |
US20180054397A1 (en) | Filtration of Network Traffic Using Virtually-Extended Ternary Content-Addressable Memory (TCAM) | |
CN112019523A (zh) | 一种工控系统的网络审计方法和装置 | |
US20190007285A1 (en) | Apparatus and Method for Defining Baseline Network Behavior and Producing Analytics and Alerts Therefrom | |
CN109710676A (zh) | Cmdb模型的数据获取方法、装置及电子设备 | |
CN110392127B (zh) | 网络地址空间识别方法及装置 | |
CN105607983B (zh) | 数据异常监控方法和装置 | |
CN111026607A (zh) | 一种服务器监控系统、方法及服务器数据采集方法和系统 | |
CN114500247A (zh) | 工控网络故障诊断方法、装置、电子设备及可读存储介质 | |
CN111901138B (zh) | 一种工业网络非法接入的可视化审计方法 | |
CN111897869A (zh) | 一种数据展示方法、装置及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |