CN113411337B - 一种基于分类的防火墙策略收敛方法、系统、终端及存储介质 - Google Patents

一种基于分类的防火墙策略收敛方法、系统、终端及存储介质 Download PDF

Info

Publication number
CN113411337B
CN113411337B CN202110687558.1A CN202110687558A CN113411337B CN 113411337 B CN113411337 B CN 113411337B CN 202110687558 A CN202110687558 A CN 202110687558A CN 113411337 B CN113411337 B CN 113411337B
Authority
CN
China
Prior art keywords
srcaddr
dstport
protocol
dstaddr
srcport
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110687558.1A
Other languages
English (en)
Other versions
CN113411337A (zh
Inventor
宋天毅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Tianyuan Cloud Technology Co ltd
Original Assignee
Shenzhen Tianyuan Cloud Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Tianyuan Cloud Technology Co ltd filed Critical Shenzhen Tianyuan Cloud Technology Co ltd
Priority to CN202110687558.1A priority Critical patent/CN113411337B/zh
Publication of CN113411337A publication Critical patent/CN113411337A/zh
Application granted granted Critical
Publication of CN113411337B publication Critical patent/CN113411337B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Probability & Statistics with Applications (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于分类的防火墙策略收敛方法,与现有技术相比,本发明具有以下优点:(1)整个优化过程,只需指定cluster和W参数,其它无需人工参与,(2)使用带权重的距离公式,将防火墙策略中不同protocol的规则写在不同的策略中;从而解决了现有技术存在的策略收敛成本高、安全性低的问题。

Description

一种基于分类的防火墙策略收敛方法、系统、终端及存储介质
技术领域
本发明涉及防火墙技术领域,具体涉及一种基于分类的防火墙策略收敛方法、系统、终端及存储介质。
背景技术
在防火墙策略运维场景中,由于一些人为或环境因素,防火墙运维人员开通的的策略过于宽泛,如
permit any any tcp 80
该策略会允许所有访问80端口的tcp流量通过,会有很大的安全隐患,此类策略称之为过度宽容策略(Over permissive policy),解决问题的思路是添加多个明细策略(Strictly restricted policy)来代替该策略。由于匹配到该策略的流量会很多,人工添加大量明细策略去覆盖该策略的成本很高,而且会导致策略数过多。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种基于分类的防火墙策略收敛方法,解决现有技术存在的策略收敛成本高、安全性低的问题。
本发明是这样实现的,本发明提供的一种基于分类的防火墙策略收敛方法所采用的技术方案是:一种基于分类的防火墙策略收敛方法,设待优化的过度宽容策略为OVP,设经过收敛算法优化后的策略为SRP;
所述防火墙策略收敛方法包括以下步骤:
S1:通过防火墙日志或者CLI命令获取匹配到OVP的Session数据;
S2:提取每一条session数据并抽象为五元组<SrcAddr,DstAddr,Protocol,SrcPort,DstPort>,其中SrcAddr和DstAddr为IP地址的整数形式,Protocol为协议的整数形式,SrcPort和DstPort为端口的整数形式,命名为Quintuple;所有的Session数据以List<Quintuple>结构存储,命名为Sessions;
S3:使用kmeans算法对Sessions进行聚类,设kmeans所需的分类数量为C,距离公式为WSrcAddr(SrcAddri—SrcAddrj)2+WDstAddr(DstAddri—DstAddrj)2+WProtocol(Protocoli—Protocolj)2+WSrcPort(SrcPorti—SrcPortj)2+WDstPort(DstPorti—DstPortj)2,其中WSrcAddr、WDstAddr、WProtocol、WSrcPort、WDstPort为五元组各个元素的权重,且WSrcAddr+WDstAddr+WProtocol+WSrcPort+WDstPort=1,C和WSrcAddr、WDstAddr、WProtocol、WSrcPort、WDstPort可以根据需要调整,得到的分类结果cluster1...clusterC,clusteri为一个List<Quintuple>集合;
S4:遍历cluster1...clusterC,取当前clusteri,取clusteri的SrcAddr加入列表,遍历结束得到List<SrcAddr>,将List集合中的SrcAddr按照从小到大的顺序排序,得到排序后的集合;遍历排序后的集合,将连续的整数值合并为一个范围值,遍历结束得到一个合并后的集合List<Range<SrcAddrm,SrcAddrx>>,其中SrcAddrm和SrcAddrx在数值上是连续的;
S5:按照所述步骤S4的合并方法,合并DstAddr和SrcPort,DstPort及Protocol不需要合并,将合并后的集合分别组装,得到策略集合List<SRP>;
S6:返回结果List<SRP>;
所述步骤S4所述的合并方法可以保障合并后的集合等价于合并前的集合,如果不要求这一点,则将所述步骤S4替换为步骤S4.1,所述步骤S5替换为步骤S5.1,所述步骤S6替换为步骤S6.1,如下:
S4.1:采取最长公共前缀的合并方法,遍历List<SrcAddr>,计算各个SrcAddr的最长公共前缀BestPrefix,将BestPrefix作为合并后的源地址;
S5.1:按照所述步骤S4.1的方法,合并DstAddr、SrcPort,DstPort、Protocol不需要合并,将合并后的各个元素组装为策略SRP;
S6.1:返回结果SRP。
本发明还包括一种防火墙策略收敛系统,所述防火墙策略收敛系统用于实现如上所述的一种基于分类的防火墙策略收敛方法,所述防火墙策略过滤系统包括存储单元、计算单元以及执行单元;
所述存储单元,用于存储如上所述的防火墙策略收敛方法包括的数据、集合、源地址及策略;
所述计算单元,用于实现如上所述的防火墙策略收敛方法包括的步骤S1、S2、S3、S4、S5或S1、S2、S3、S4.1、S5.1;
所述执行单元,用于执行如上所述的防火墙策略收敛方法包括的步骤S6或S6.1。
本发明还包括一种终端,所述终端包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序以实现如上所述的防火墙策略收敛方法。
本发明还包括一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行以实现如上所述的防火墙策略收敛方法。
与现有技术相比,本发明的有益效果在于:本发明提供的一种基于分类的防火墙策略收敛方法,具有以下优点:(1)整个优化过程,只需指定cluster和W参数,其它无需人工参与,(2)使用带权重的距离公式,将防火墙策略中不同protocol的规则写在不同的策略中;从而解决了现有技术存在的策略收敛成本高、安全性低的问题。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种基于分类的防火墙策略收敛方法的实施例一流程示意图。
图2是本发明实施例提供的一种基于分类的防火墙策略收敛方法的实施例二流程示意图。
图3是本发明实施例提供的一种基于分类的防火墙策略收敛方法的Session数据的格式示意图。
图4是本发明实施例提供的一种防火墙策略收敛系统组成示意图。
上述附图中的标记为:1、防火墙策略收敛系统;101、存储单元;102、计算单元;103、执行单元。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本实施例的附图中相同或相似的标号对应相同或相似的部件;在本发明的描述中,需要说明的是,当元件被称为“固定于”另一个元件,它可以直接在另一个元件上或者也可以存在居中的元件。当一个元件被认为是“连接”另一个元件,它可以是直接连接到另一个元件或者可能同时存在居中元件,需要理解的是,若有术语“上”、“下”、“左”、“右”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此附图中描述位置关系的用语仅用于示例性说明,不能理解为对本专利的限制,对于本领域的普通技术人员而言,可以根据具体情况理解上述术语的具体含义。
以下结合附图与具体实施例,对本发明的技术方案做详细的说明。
本发明提供的一种基于分类的防火墙策略收敛方法,设待优化的过度宽容策略为OVP,设经过收敛算法优化后的策略为SRP;
实施例一
参照图1,所述防火墙策略收敛方法包括以下步骤:
S1:通过防火墙日志或者CLI命令获取匹配到OVP的Session数据;Session数据的格式如图3所示;
S2:提取每一条session数据并抽象为五元组<SrcAddr,DstAddr,Protocol,SrcPort,DstPort>,其中SrcAddr和DstAddr为IP地址的整数形式,Protocol为协议的整数形式,SrcPort和DstPort为端口的整数形式,命名为Quintuple;所有的Session数据以List<Quintuple>结构存储,命名为Sessions;
S3:使用kmeans算法对Sessions进行聚类,设kmeans所需的分类数量为C,距离公式为WSrcAddr(SrcAddri—SrcAddrj)2+WDstAddr(DstAddri—DstAddrj)2+WProtocol(Protocoli—Protocolj)2+WSrcPort(SrcPorti—SrcPortj)2+WDstPort(DstPorti—DstPortj)2,其中WSrcAddr、WDstAddr、WProtocol、WSrcPort、WDstPort为五元组各个元素的权重,且WSrcAddr+WDstAddr+WProtocol+WSrcPort+WDstPort=1,C和WSrcAddr、WDstAddr、WProtocol、WSrcPort、WDstPort可以根据需要调整,得到的分类结果cluster1...clusterC,clusteri为一个List<Quintuple>集合;
S4:遍历cluster1...clusterC,取当前clusteri,取clusteri的SrcAddr加入列表,遍历结束得到List<SrcAddr>,将List集合中的SrcAddr按照从小到大的顺序排序,得到排序后的集合;遍历排序后的集合,将连续的整数值合并为一个范围值,遍历结束得到一个合并后的集合List<Range<SrcAddrm,SrcAddrx>>,其中SrcAddrm和SrcAddrx在数值上是连续的;
S5:按照所述步骤S4的合并方法,合并DstAddr和SrcPort,DstPort及Protocol不需要合并,将合并后的集合分别组装,得到策略集合List<SRP>;
S6:返回结果List<SRP>;
实施例二
实施例一中的所述步骤S4所述的合并方法可以保障合并后的集合等价于合并前的集合,如果不要求这一点,则将所述步骤S4替换为步骤S4.1,所述步骤S5替换为步骤S5.1,所述步骤S6替换为步骤S6.1,参照图2,所述防火墙策略收敛方法包括以下步骤:
S1:通过防火墙日志或者CLI命令获取匹配到OVP的Session数据;Session数据的格式如图3所示;
S2:提取每一条session数据并抽象为五元组<SrcAddr,DstAddr,Protocol,SrcPort,DstPort>,其中SrcAddr和DstAddr为IP地址的整数形式,Protocol为协议的整数形式,SrcPort和DstPort为端口的整数形式,命名为Quintuple;所有的Session数据以List<Quintuple>结构存储,命名为Sessions;
S3:使用kmeans算法对Sessions进行聚类,设kmeans所需的分类数量为C,距离公式为WSrcAddr(SrcAddri—SrcAddrj)2+WDstAddr(DstAddri—DstAddrj)2+WProtocol(Protocoli—Protocolj)2+WSrcPort(SrcPorti—SrcPortj)2+WDstPort(DstPorti—DstPortj)2,其中WSrcAddr、WDstAddr、WProtocol、WSrcPort、WDstPort为五元组各个元素的权重,且WSrcAddr+WDstAddr+WProtocol+WSrcPort+WDstPort=1,C和WSrcAddr、WDstAddr、WProtocol、WSrcPort、WDstPort可以根据需要调整,得到的分类结果cluster1...clusterC,clusteri为一个List<Quintuple>集合;
S4.1:采取最长公共前缀的合并方法,遍历List<SrcAddr>,计算各个SrcAddr的最长公共前缀BestPrefix,将BestPrefix作为合并后的源地址;
S5.1:按照所述步骤S4.1的方法,合并DstAddr、SrcPort,DstPort、Protocol不需要合并,将合并后的各个元素组装为策略SRP;
S6.1:返回结果SRP。
上述提供的一种基于分类的防火墙策略收敛方法,与现有技术相比,本发明具有以下优点:(1)整个优化过程,只需指定cluster和W参数,其它无需人工参与,(2)使用带权重的距离公式,将防火墙策略中不同protocol的规则写在不同的策略中;从而解决了现有技术存在的策略收敛成本高、安全性低的问题。
本发明还提出了一种防火墙策略收敛系统,用于实现上述的防火墙策略收敛方法,如图4所示,防火墙策略收敛系统1包括存储单元101、计算单元102以及执行单元103;
存储单元101,用于存储如上所述的防火墙策略收敛方法包括的步骤S1、S2、S3、S4、S5、S6或S1、S2、S3、S4.1、S5.1、S6.1所包括的数据、集合、源地址及策略;
计算单元102,用于实现如上所述的防火墙策略收敛方法包括的步骤S1、S2、S3、S4、S5或S1、S2、S3、S4.1、S5.1;
执行单元103,用于执行如上所述的防火墙策略收敛方法包括的步骤S6或S6.1。
本发明还提出了一种终端,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序以实现上述的防火墙策略收敛方法。
本发明还提出了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行以实现上述的防火墙策略收敛方法。
优选地,本发明涉及的所有计算机程序采用已有的、公开的、开源的程序代码编写实现;本领域的软件编程人员按照本发明实施例所述的技术方案可以非常容易的实现。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (4)

1.一种基于分类的防火墙策略收敛方法,其特征在于,设待优化的过度宽容策略为OVP,设经过收敛算法优化后的策略为SRP;
所述防火墙策略收敛方法包括以下步骤:
S1:通过防火墙日志或者CLI命令获取匹配到OVP的Session数据;
S2:提取每一条session数据并抽象为五元组<SrcAddr,DstAddr,Protocol,SrcPort,DstPort>,其中SrcAddr和DstAddr为IP地址的整数形式,Protocol为协议的整数形式,SrcPort和DstPort为端口的整数形式,命名为Quintuple;所有的Session数据以List<Quintuple>结构存储,命名为Sessions;
S3:使用kmeans算法对Sessions进行聚类,设kmeans所需的分类数量为C,距离公式为WSrcAddr(SrcAddri—SrcAddrj)2+WDstAddr(DstAddri—DstAddrj)2+WProtocol(Protocoli—Protocolj)2+WSrcPort(SrcPorti—SrcPortj)2+WDstPort(DstPorti—DstPortj)2,其中WSrcAddr、WDstAddr、WProtocol、WSrcPort、WDstPort为五元组各个元素的权重,且WSrcAddr+WDstAddr+WProtocol+WSrcPort+WDstPort=1,C和WSrcAddr、WDstAddr、WProtocol、WSrcPort、WDstPort可以根据需要调整,得到的分类结果cluster1...clusterC,clusteri为一个List<Quintuple>集合;
S4:遍历cluster1...clusterC,取当前clusteri,取clusteri的SrcAddr加入列表,遍历结束得到List<SrcAddr>,将List集合中的SrcAddr按照从小到大的顺序排序,得到排序后的集合;遍历排序后的集合,将连续的整数值合并为一个范围值,遍历结束得到一个合并后的集合List<Range<SrcAddrm,SrcAddrx>>,其中SrcAddrm和SrcAddrx在数值上是连续的;
S5:按照所述步骤S4的合并方法,合并DstAddr和SrcPort,DstPort及Protocol不需要合并,将合并后的集合分别组装,得到策略集合List<SRP>;
S6:返回结果List<SRP>;
所述步骤S4所述的合并方法可以保障合并后的集合等价于合并前的集合,如果不要求这一点,则将所述步骤S4替换为步骤S4.1,所述步骤S5替换为步骤S5.1,所述步骤S6替换为步骤S6.1,如下:
S4.1:采取最长公共前缀的合并方法,遍历List<SrcAddr>,计算各个SrcAddr的最长公共前缀BestPrefix,将BestPrefix作为合并后的源地址;
S5.1:按照所述步骤S4.1的方法,合并DstAddr、SrcPort,DstPort、Protocol不需要合并,将合并后的各个元素组装为策略SRP;
S6.1:返回结果SRP。
2.一种防火墙策略收敛系统,其特征在于,所述防火墙策略收敛系统用于实现如权利要求1所述的防火墙策略收敛方法,所述防火墙策略收敛 系统包括存储单元、计算单元以及执行单元;
所述存储单元,用于存储如权利要求1所述的防火墙策略收敛方法包括的数据、集合、源地址及策略;
所述计算单元,用于实现如权利要求1所述的防火墙策略收敛方法包括的步骤S1、S2、S3、S4、S5或S1、S2、S3、S4.1、S5.1;
所述执行单元,用于执行如权利要求1所述的防火墙策略收敛方法包括的步骤S6或S6.1。
3.一种终端,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序以实现如权利要求1所述的防火墙策略收敛方法。
4.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行以实现如权利要求1所述的防火墙策略收敛方法。
CN202110687558.1A 2021-06-21 2021-06-21 一种基于分类的防火墙策略收敛方法、系统、终端及存储介质 Active CN113411337B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110687558.1A CN113411337B (zh) 2021-06-21 2021-06-21 一种基于分类的防火墙策略收敛方法、系统、终端及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110687558.1A CN113411337B (zh) 2021-06-21 2021-06-21 一种基于分类的防火墙策略收敛方法、系统、终端及存储介质

Publications (2)

Publication Number Publication Date
CN113411337A CN113411337A (zh) 2021-09-17
CN113411337B true CN113411337B (zh) 2023-04-18

Family

ID=77682171

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110687558.1A Active CN113411337B (zh) 2021-06-21 2021-06-21 一种基于分类的防火墙策略收敛方法、系统、终端及存储介质

Country Status (1)

Country Link
CN (1) CN113411337B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111786949A (zh) * 2020-05-22 2020-10-16 山东鲁能软件技术有限公司 防火墙安全策略自动适配系统及方法
CN112134736A (zh) * 2020-09-17 2020-12-25 叶晓斌 一种基于阻尼算法判定告警收敛恢复的方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8423483B2 (en) * 2008-05-16 2013-04-16 Carnegie Mellon University User-controllable learning of policies
CN106603471B (zh) * 2015-10-16 2019-09-13 北京启明星辰信息安全技术有限公司 一种防火墙策略检测方法及装置
US10848462B2 (en) * 2018-03-28 2020-11-24 Wipro Limited Method and system for managing policies in a network security system
CN109327472B (zh) * 2018-11-30 2021-06-25 深圳天元云科技有限公司 动态规划防火墙策略插入方法、系统、终端及存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111786949A (zh) * 2020-05-22 2020-10-16 山东鲁能软件技术有限公司 防火墙安全策略自动适配系统及方法
CN112134736A (zh) * 2020-09-17 2020-12-25 叶晓斌 一种基于阻尼算法判定告警收敛恢复的方法

Also Published As

Publication number Publication date
CN113411337A (zh) 2021-09-17

Similar Documents

Publication Publication Date Title
US11637762B2 (en) MDL-based clustering for dependency mapping
US9195939B1 (en) Scope in decision trees
US9137340B2 (en) Incremental update
US9183244B2 (en) Rule modification in decision trees
US20140279850A1 (en) Batch incremental update
US9208438B2 (en) Duplication in decision trees
US10229139B2 (en) Incremental update heuristics
CN109587156B (zh) 异常网络访问连接识别与阻断方法、系统、介质和设备
US10439926B2 (en) Network analysis
CN112565193A (zh) 一种网络安全策略冲突分解方法、系统、存储介质、设备
US8914841B2 (en) Method and system for mapping between connectivity requests and a security rule set
US9647947B2 (en) Block mask register key processing by compiling data structures to traverse rules and creating a new rule set
US20150195194A1 (en) Method and apparatus for compiling search trees for processing request keys based on a key size supported by underlying processing elements
EP3523940B1 (en) Enforcing network security policy using pre-classification
WO2015096580A1 (zh) 网络流量控制设备及其安全策略配置方法及装置
CN110061921B (zh) 一种云平台数据包分发方法及系统
CN114205191B (zh) 一种api网关系统及运行方法
US9275336B2 (en) Method and system for skipping over group(s) of rules based on skip group rule
CN107368578A (zh) 一种快速生成es查询语句的方法及系统
CN112866214A (zh) 防火墙策略下发方法、装置、计算机设备和存储介质
CN112866251A (zh) 一种多域云防护墙安全策略冲突消解方法及装置
CN113411337B (zh) 一种基于分类的防火墙策略收敛方法、系统、终端及存储介质
Zhang et al. A conflict resolution scheme in intent-driven network
CN114598499A (zh) 结合业务应用的网络风险行为分析方法
CN115941224A (zh) 一种网络访问信息管理方法、装置和计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant