CN113660281A - 一种基于历史场景自适应配置防火墙规则的方法和装置 - Google Patents
一种基于历史场景自适应配置防火墙规则的方法和装置 Download PDFInfo
- Publication number
- CN113660281A CN113660281A CN202110962552.0A CN202110962552A CN113660281A CN 113660281 A CN113660281 A CN 113660281A CN 202110962552 A CN202110962552 A CN 202110962552A CN 113660281 A CN113660281 A CN 113660281A
- Authority
- CN
- China
- Prior art keywords
- firewall
- historical
- data
- configuration
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0876—Aspects of the degree of configuration automation
- H04L41/0886—Fully automatic configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Computation (AREA)
- Software Systems (AREA)
- Artificial Intelligence (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于历史场景自适应配置防火墙规则的方法和装置。其方法部分主要包括:收集历史场景下的历史数据,并将历史数据转化为用于分析的待分析数据;对待分析数据进行分析并计算出对应场景下的防火墙配置参数;根据当前输入的场景以及对应的防火墙配置参数,得到相对应的防火墙规则并下发到防火墙设备中。本发明可以解决目前人工配置防火墙规则的复杂度高、效率低的问题。
Description
【技术领域】
本发明涉及SDN/NFV控制器领域,特别是涉及一种基于历史场景自适 应配置防火墙规则的方法和装置。
【背景技术】
软件定义网络(Software Defined Network,简称为SDN)是一种新型 的网络体系结构,通过将网络的控制平面和转发平面分离,将控制功能从 网络节点中抽取出来,以可编程的方式控制网络行为,构建动态的、可控 的网络体系结构。
网络功能虚拟化(Network Function Virtualization,简称为NFV)的 概念是随着云计算和SDN的出现而提出的,核心思想是将网络硬件设备通 过虚拟化技术,集成到通用的x86架构的服务器或者其他硬件平台上,然 后再通用标准的硬件平台上,执行路由器、交换机、负载均衡、防火墙、 入侵防御等功能。
防火墙(Firewall)是指隔离在内部网络与外部网络之间的一道防御 系统,它能挡住来自外部网络的攻击和入侵,保障内部网络的安全。防火 墙可以按照形态分为硬件防火墙及软件防火墙;按照保护对象划分可以分 为单机防火墙和网络防火墙等。防火墙具有的功能包括:包过滤、远程管 理、NAT技术、代理、流量控制(带宽管理)和统计分析、流量计费、VPN 等。
防火墙常见的部署目标包括以下五个方面:实现安全区域的划分与隔 离;实现对某重点安全区域(主机)的访问控制;实现常见的非法访问的 阻断和日志记录;实现内部用户访问互联网的行为控制(带宽分配、P2P 使用现状);实现对所有网络访问的基本日志记录。常见的部署位置包括: 网络边界、区域边界、主机边界、控制域边界等。
在SDN控制器应用的数据中心场景和云网一体化场景中,配置了主备 保护的硬件防火墙,一般配置在SDN网络(数据中心场景和云网一体化场 景)与外部网络的边界。
随着ICT(Information and Communication Technology,信息和通信 技术)的发展,网络运维的智能化和自动化的程度越来越高,传统配置防火 墙的方式为人工根据场景规划和拓扑应用,手动配置防火墙规则,绑定防 火墙策略,配置防火墙并下发到防火墙设备中。这样的方式在面对复杂的 数据中心场景时,可靠性和效率难以保证。
另一方面,由于在不同的数据中心应用中,网络拓扑和环境不同,需 要配置的防火墙配置不同。或者当前已有配置防火墙的网络拓扑发生了扩 缩容(即拓扑发生了改变,例如网络设备的增加或移除),需要更新防火 墙的配置。此时若采用传统手动配置防火墙规则的方式就显得太过复杂, 费时费力,且配置效率也不可能太高。
鉴于此,如何克服现有技术所存在的缺陷,解决目前防火墙规则人工 配置复杂度高、效率低的现象,是本技术领域待解决的问题。
【发明内容】
针对现有技术的以上缺陷或改进需求,本发明聚焦在背景技术中SDN 网络(数据中心场景和云网一体化场景)与外部网络的边界防火墙处,根 据对历史场景防火墙规则的分析得到防火墙配置参数,再结合当前场景计 算出应该配置的新的防火墙规则,实现防火墙规则的自适应配置,解决了 目前人工配置防火墙规则的复杂度高、效率低的问题。
本发明实施例采用如下技术方案:
第一方面,本发明提供了一种基于历史场景自适应配置防火墙规则的 方法,包括:
收集历史场景下的历史数据,并将所述历史数据转化为用于分析的待 分析数据;
对所述待分析数据进行分析并计算出对应场景下的防火墙配置参数;
根据当前输入的场景以及对应的防火墙配置参数,得到相对应的防火 墙规则并下发到防火墙设备中。
进一步的,所述历史数据包括历史场景下的网络拓扑以及对应场景下 配置的防火墙规则;所述待分析数据包括由所述网络拓扑转化成的输入数 据以及由所述防火墙规则转化成的输出数据。
进一步的,还包括:
实时读取当前场景中网络拓扑的变化情况,若有变化,及时感知并改 变当前待配置防火墙规则的输入数据。
进一步的,所述网络拓扑转化成输入数据的具体规则包括:
将所述网络拓扑转化为描述设备网络状况的数据矩阵,若设备数为n, 则矩阵的行数为n,矩阵的列数为n+1,其中,每一行描述一个设备的网络 状况,第一列描述n个设备的种类,第二列至第n+1列描述对应设备分别 与第一个设备至第n个设备的连接情况。
进一步的,所述防火墙规则转化成输出数据的具体规则包括:
提取所述防火墙规则的关键参数,将所述关键参数转换为x*m的矩阵, 其中,x为历史场景下需要配置的防火墙的条目数,m为关键参数的个数。
进一步的,对所述待分析数据进行分析并计算出对应场景下的防火墙 配置参数具体包括:
采用两层神经网络模型进行实际演练,将输入数据放入对应的输入层, 将输出数据放入对应的输出层,经过多级运算,计算出输入层到隐藏层的 配置参数以及隐藏层到输出层的配置参数。
进一步的,根据当前输入的场景以及对应的防火墙配置参数,得到相 对应的防火墙规则并下发到防火墙设备中具体包括:
根据当前场景以及对应的防火墙配置参数得到对应的防火墙配置模型;
根据所述防火墙配置模型的配置块进行配置下发,以将对应的防火墙 规则下发到防火墙设备中。
进一步的,将防火墙规则下发到防火墙设备后,还将对应的防火墙配 置模型缓存起来,以供网络变化时使用。
进一步的,还包括:
根据包过滤的原则和方法,对防火墙设备进行打流和ping包检测,校 验防火墙规则是否下发成功和生效。
另一方面,本发明提供了一种基于历史场景自适应配置防火墙规则的 装置,具体为:包括至少一个处理器和存储器,至少一个处理器和存储器 之间通过数据总线连接,存储器存储能被至少一个处理器执行的指令,指 令在被处理器执行后,用于完成第一方面中的基于历史场景自适应配置防 火墙规则的方法。
与现有技术相比,本发明实施例的有益效果在于:本发明根据对历史 场景防火墙规则的分析得到防火墙配置参数,再结合当前场景计算出应该 配置的新的防火墙规则,实现了数据中心场景、云化网络平台的防火墙规则 自适应配置;本发明在网络拓扑发生变化时,还能自适应的调整防火墙规 则的配置下发;本发明能自动校验防火墙规则下发是否生效;本发明降低 了防火墙规则配置的复杂度,可以适应不同的网络拓扑和应用场景。
【附图说明】
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例 中所需要使用的附图作简单地介绍。显而易见地,下面所描述的附图仅仅 是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性 劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于历史场景自适应配置防火墙规则 的方法流程图;
图2为本发明实施例提供的数据中心网络示例图;
图3为本发明实施例提供的简单拓扑示意图;
图4为本发明实施例提供的两层神经网络图;
图5为本发明实施例提供的一种基于历史场景自适应配置防火墙规则 的系统模块示意图;
图6为本发明实施例提供的当前场景配置模块的流程图;
图7为本发明实施例提供的一种基于历史场景自适应配置防火墙规则 的装置结构示意图。
【具体实施方式】
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图 及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体 实施例仅用以解释本发明,并不用于限定本发明。
本发明是一种特定功能系统的体系结构,因此在具体实施例中主要说 明各结构模组的功能逻辑关系,并不对具体软件和硬件实施方式做限定。
此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要 彼此之间未构成冲突就可以相互组合。下面就参考附图和实施例结合来详 细说明本发明。
实施例1:
如图1所示,本发明实施例提供一种基于历史场景自适应配置防火墙 规则的方法,具体步骤如下。
步骤101:收集历史场景下的历史数据,并将所述历史数据转化为用于 分析的待分析数据。
在本优选实施例中,所述历史数据包括历史场景下的网络拓扑以及对 应场景下配置的防火墙规则;所述待分析数据包括由所述网络拓扑转化成 的输入数据以及由所述防火墙规则转化成的输出数据。
在本优选实施例中,所述网络拓扑转化成输入数据的具体规则包括: 将所述网络拓扑转化为描述设备网络状况的数据矩阵,若设备数为n,则矩 阵的行数为n,矩阵的列数为n+1,其中,每一行描述一个设备的网络状况, 第一列描述n个设备的种类,第二列至第n+1列描述对应设备分别与第一 个设备至第n个设备的连接情况。
以图2描述的数据中心网络示例图为例,针对防火墙设备下挂的两种 交换机(Spine交换机、TOR交换机)进行抽象,形成如图3所示的简单拓 扑示意图,以图中三个设备、两种交换机为例,第一个设备编号Node1_type1, 第二个设备编号Node2_type2,第三个设备编号Node3_type2,其中,Node1、 Node2、Node3是设备个数的编号,type1、type2是交换机种类的编号。
对应于上述网络拓扑转化的数据矩阵,图3的矩阵连接便可描述为:
x1_type x11 x12 x13
x2_type x21 x22 x23
x3_type x31 x32 x33
其中,x1_type表示第一个设备的种类,x11表示第一个设备与自己的 连接情况,x12表示第一个设备与第二个设备的连接情况,x13表示第一个 设备与第三个设备的连接情况;x2_type表示第二个设备的种类,x21表示 第二个设备与第一个设备的连接情况,x22表示第二个设备与自己的连接情 况,x23表示第二个设备与第三个设备的连接情况;x3_type表示第三个设 备的种类,x31表示第三个设备与第一个设备的连接情况,x32表示第三个 设备与第二个设备的连接情况,x33表示第三个设备与自己的连接情况。
基于上述例子,定义一种仅包含数字0和1的转化规则来对应于网络 拓扑转化的数据矩阵。其对应规则如下:
type1-----0
type2-----1
有连接----1
无连接----0
这样一来,上述图3的矩阵对应取值为便为:
0 0 1 1
1 1 1 1
1 1 1 0
在本优选实施例中,所述防火墙规则转化成输出数据的具体规则包括: 提取所述防火墙规则的关键参数,将所述关键参数转换为x*m的矩阵,其 中,x为历史场景下需要配置的防火墙的条目数,m为关键参数的个数。
以一条防火墙配置为例,其关键参数和对应的取值如下:
协议类型:tcp/udp/icmp/any-----参数a1,依次对应取值为0,1,2,3 动作:允许/拒绝----------------参数a2,依次对应取值为0,1
ip地址版本:4/6----------------参数a3,依次对应取值为0,1
源ip地址:任意----------------参数a4,转化为ip地址的无符号 整型数,例如172.33.0.8—>2887843848
源端口范围:1-65535------------参数a5,为无符号整型数,取其值 即可,例如6500-->6500
宿ip地址:任意----------------参数a6,同参数a4方法
宿端口范围:1-65535------------参数a7,同参数a5方法
生效顺序:任意-----------------参数a8,为无符号整型数,取其值 即可,例如2--->2
以上例子转换的矩阵如下:a1,a2,a3,a4,a5,a6,a7,a8(因为 是以一条防火墙配置为例,所以x取值为1,而根据上述实施例中的关键参 数的个数,m取值为8)。
根据上述该场景下的关键参数取值为例,上述矩阵的展示值便为:
0,1,0,2887843848,6500,2887845988,7000,2
经过上述网络拓扑转化矩阵以及防火墙规则转化矩阵两个转换过程后, 历史场景的数据便收集转换完成,接下来进入第二个步骤。
步骤102:对所述待分析数据进行分析并计算出对应场景下的防火墙配 置参数。
在本优选实施例中,采用两层神经网络模型进行实际演练,将输入数 据放入对应的输入层,将输出数据放入对应的输出层,经过多级运算,计 算出输入层到隐藏层的配置参数以及隐藏层到输出层的配置参数。
如图4所示,在本优选实施例中,输入层表示为X(3*4矩阵),隐藏 层表示为H(50维度),输出层表示为Y(1*8矩阵)。由此可得输入层到 隐藏层的转换公式:H=X*W1+b1,以及隐藏层到输出层的转换公式: Y=H*W2+b2。由上述两个公式进行计算,首先计算出输入层到隐藏层的参数 W1(4*50矩阵)、b1,在隐藏层经过激活函数过滤散列值(ReLu)后,再 计算出隐藏层到输出层的参数W2(50*8矩阵)、b2,并利用仿真和反向传 播原理经过输出值反推到输入层,以使参数更加精确。
得到配置参数后,进入第三个步骤。
步骤103:根据当前输入的场景以及对应的防火墙配置参数,得到相对 应的防火墙规则并下发到防火墙设备中。
具体的,在本优选实施例中,该步骤具体包括:根据当前场景以及对 应的防火墙配置参数得到对应的防火墙配置模型;根据所述防火墙配置模 型的配置块进行配置下发,以将对应的防火墙规则下发到防火墙设备中。
其中,防火墙配置模型包括三个配置块,分别为:address块、service 块、policy块。三个配置块的配置转换规则如下:
address块:存储所有的address(地址)数据。
配置示例:address“address name”ip address 172.33.0.8。
其中“address name”为address的标识,是自定义配置,可以规定 统一用数字标号表示。ip地址可以用4字节的无符号整形数表示,因此上 述规则可以用1×2矩阵表示为:(1,2887843848)。其中1代表这是第1 条address规则,2887843848是由ip 172.33.0.8转换的无符号整型数据, 下发时可以转换为对应的ip。限定最多有5000条address配置,整个配置 块可以用5000×2的矩阵表示。
service块:存储所有的service(服务)数据。
配置示例:service“service name”tcp destport 12srcport 34。
其中“service name”为address的标识,是自定义配置,可以规定 统一用数字标号表示。tcp为协议类型,配置还支持udp/icmp/any,用1、 2、3、4表示不同协议。源端口(srcport)和目的端口(destport)看作 对应协议的配置参数。这条配置可以编码成1×4矩阵(1,1,12,34)。限 定最多有5000条service配置,整个配置块可以用5000×4的矩阵表示。
policy块:存储所有的policy(策略)数据。
配置示例:policy“源子接口”“宿子接口”“源地址”“宿地 址”“服务”“动作”。
其中子接口已经存在于拓扑中,为了简化描述提前建立一套映射表用 于规则翻译的编解码,例如:1——》子接口1。地址和服务为address 和service标识。动作只包含允许和拒绝用“0/1”表示。使用1×5矩阵 表示配置为(1,2,1,1,0)。限定最多有5000条policy配置,整个配置块 可以用5000×5的矩阵表示。
使用上述配置转化规则,可以将两层神经网络的输出值方便的转化为 上述配置块,根据上述配置块的配置示例进行配置下发,将计算出的输出 规则使用该种方式下发到防火墙设备中。
在本优选实施例中,在将防火墙规则下发到防火墙设备后,还将上述 对应的防火墙配置模型缓存起来,以供网络变化时使用。
在完成初次防火墙规则的下发配置后,进入下一步骤。
步骤104:实时读取当前场景中网络拓扑的变化情况,若有变化,及时 感知并改变当前待配置防火墙规则的输入数据。
具体的,本步骤会在上述配置规则下发完成后,继续监控当前网络的 运行情况,如出现网络拓扑扩缩容的变化或绑定的路由(即外网网关)发 生了变化,按照前述规则及时转换为已经训练好的两层神经网络系统可以 接受的输入数据(转换方法与前述训练时的矩阵转化方法一致),同时将 缓存的上次的防火墙配置下发的数据(即前述的防火墙配置模型的三个配 置块的数据)一起作为输入数据,通过前述两层神经网络系统训练适应后的参数值和公式,使系统可以自适应的计算出需要更新的防火墙规则,并 下发到设备上,实现防火墙设备的动态更新,无需人员进行防火墙配置的 重新规划,提升系统的可靠性和效率。
以图3描述的拓扑矩阵为例,当其拓扑矩阵发生了变化,拓扑进行了 扩容,新增了一个type2类型的交换机,并仅与Node1进行了连接,则根 据上述规则,此处矩阵变化为:
x1_type x11 x12 x13 x14
x2_type x21 x22 x23 x24
x3_type x31 x32 x33 x34
x4_type x41 x42 x43 x44
对应取值为:
0 0 1 1 1
1 1 1 1 0
1 1 1 1 0
1 1 0 0 0
在本优选实施例中,还包括步骤105:根据包过滤的原则和方法,对防 火墙设备进行打流和ping包检测,校验防火墙规则是否下发成功和生效。
该步骤具体为:根据包过滤的原则和方法,按照输出的防火墙规则对 防火墙设备进行打流(udp、tcp、icmp)和ping包检测,比较预期结果是 否和规则配置的动作(允许、拒绝)相符合,校验防火墙规则是否下发成 功和生效。
通过上述实施例,本发明根据对历史场景防火墙规则的分析得到防火 墙配置参数,再结合当前场景计算出应该配置的新的防火墙规则,实现了对 防火墙规则自适应配置;本发明在网络拓扑发生变化时,还能自适应的调 整防火墙规则的配置下发;本发明能自动校验防火墙规则下发是否生效; 本发明降低了防火墙规则配置的复杂度,可以适应不同的网络拓扑和应用 场景。
实施例2:
基于实施例1提供的基于历史场景自适应配置防火墙规则的方法,本 实施例2提供与实施例1对应的一种基于历史场景自适应配置防火墙规则 的系统,如图5所示,该系统包括收集场景数据模块、分析模块、当前场 景配置模块、效验模块。
其中,收集场景数据模块具备实施例1中步骤101的功能,能收集历 史场景下的网络拓扑以及对应场景下配置的防火墙规则,并将网络拓扑转 化为n*n+1的输入矩阵,将防火墙规则转化为x*m的输出矩阵。
具体的,将所述网络拓扑转化为描述设备网络状况的数据矩阵,若设 备数为n,则矩阵的行数为n,矩阵的列数为n+1,其中,每一行描述一个 设备的网络状况,第一列描述n个设备的种类,第二列至第n+1列描述对 应设备分别与第一个设备至第n个设备的连接情况。(具体功能与例子在 实施例1中步骤101已详细描述,在此不再赘述)
分析模块具备实施例1中步骤102的功能,该模块采用两层神经网络 模型进行实际演练,将输入矩阵放入对应的输入层,将输出矩阵放入对应 的输出层,经过多级运算,计算出输入层到隐藏层的配置参数W1、b1以及 隐藏层到输出层的配置参数W2、b2。(具体功能与例子在实施例1中步骤102已详细描述,在此不再赘述)
当前场景配置模块具备实施例1中步骤103、104的功能,能根据当前 输入的场景以及对应的防火墙配置参数,得到相对应的防火墙规则并下发 到防火墙设备中,在将防火墙规则下发到防火墙设备后,还将上述对应的 防火墙配置模型缓存起来,以供网络变化时使用;该模块还能实时读取当 前场景中网络拓扑的变化情况,若有变化,及时感知并改变当前待配置防 火墙规则的输入数据。(具体功能与例子在实施例1中步骤103、104已详 细描述,在此不再赘述)
如图6所示,该当前场景配置模块包括动态监控装置、分析计算装置, 该模块的运行流程大致如下:获取收集场景数据模块所输出的当前运行拓 扑数据和当前配置的防火墙数据,通过分析计算装置得到待配置的防火墙 规则集,并将本次的输出模型(即防火墙配置模型)缓存,当动态监控装 置监控到网络发生扩容、缩容,或绑定的路由发生变化等,就改变当前运 行拓扑,并将上次缓存的输出模型作为当前配置的防火墙数据,再次将当前运行拓扑数据和当前配置的防火墙数据进行分析计算以得到新的待配置 防火墙规则集。
效验模块具备实施例1中步骤105的功能,能根据包过滤的原则和方 法,对防火墙设备进行打流和ping包检测,校验防火墙规则是否下发成功 和生效。(具体功能与例子在实施例1中步骤105已详细描述,在此不再 赘述)
实施例3:
在上述实施例1至实施例2提供的基于历史场景自适应配置防火墙规 则的方法与系统的基础上,本发明还提供了一种可用于实现上述方法及系 统的基于历史场景自适应配置防火墙规则的装置,如图7所示,是本发明 实施例的装置架构示意图。本实施例的基于历史场景自适应配置防火墙规 则的装置包括一个或多个处理器21以及存储器22。其中,图7中以一个处 理器21为例。
处理器21和存储器22可以通过总线或者其他方式连接,图7中以通 过总线连接为例。
存储器22作为一种非易失性计算机可读存储介质,可用于存储非易失 性软件程序、非易失性计算机可执行程序以及模块,如实施例1至实施例2 中的基于历史场景自适应配置防火墙规则的方法、系统。处理器21通过运 行存储在存储器22中的非易失性软件程序、指令以及模块,从而执行基于 历史场景自适应配置防火墙规则的装置的各种功能应用以及数据处理,即 实现实施例1至实施例2的基于历史场景自适应配置防火墙规则的方法及 系统。
存储器22可以包括高速随机存取存储器,还可以包括非易失性存储器, 例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。 在一些实施例中,存储器22可选包括相对于处理器21远程设置的存储器, 这些远程存储器可以通过网络连接至处理器21。上述网络的实例包括但不 限于互联网、企业内部网、局域网、移动通信网及其组合。
程序指令/模块存储在存储器22中,当被一个或者多个处理器21执行 时,执行上述实施例1至实施例2中的基于历史场景自适应配置防火墙规 则的方法、系统,例如,执行以上描述的图1和图6所示的各个步骤。
本领域普通技术人员可以理解实施例的各种方法中的全部或部分步骤 是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可 读存储介质中,存储介质可以包括:只读存储器(Read Only Memory,简 写为:ROM)、随机存取存储器(RandomAccess Memory,简写为:RAM)、 磁盘或光盘等。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在 本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含 在本发明的保护范围之内。
Claims (10)
1.一种基于历史场景自适应配置防火墙规则的方法,其特征在于,包括:
收集历史场景下的历史数据,并将所述历史数据转化为用于分析的待分析数据;
对所述待分析数据进行分析并计算出对应场景下的防火墙配置参数;
根据当前输入的场景以及对应的防火墙配置参数,得到相对应的防火墙规则并下发到防火墙设备中。
2.根据权利要求1所述的基于历史场景自适应配置防火墙规则的方法,其特征在于,所述历史数据包括历史场景下的网络拓扑以及对应场景下配置的防火墙规则;所述待分析数据包括由所述网络拓扑转化成的输入数据以及由所述防火墙规则转化成的输出数据。
3.根据权利要求2所述的基于历史场景自适应配置防火墙规则的方法,其特征在于,还包括:
实时读取当前场景中网络拓扑的变化情况,若有变化,及时感知并改变当前待配置防火墙规则的输入数据。
4.根据权利要求2所述的基于历史场景自适应配置防火墙规则的方法,其特征在于,所述网络拓扑转化成输入数据的具体规则包括:
将所述网络拓扑转化为描述设备网络状况的数据矩阵,若设备数为n,则矩阵的行数为n,矩阵的列数为n+1,其中,每一行描述一个设备的网络状况,第一列描述n个设备的种类,第二列至第n+1列描述对应设备分别与第一个设备至第n个设备的连接情况。
5.根据权利要求2所述的基于历史场景自适应配置防火墙规则的方法,其特征在于,所述防火墙规则转化成输出数据的具体规则包括:
提取所述防火墙规则的关键参数,将所述关键参数转换为x*m的矩阵,其中,x为历史场景下需要配置的防火墙的条目数,m为关键参数的个数。
6.根据权利要求2所述的基于历史场景自适应配置防火墙规则的方法,其特征在于,对所述待分析数据进行分析并计算出对应场景下的防火墙配置参数具体包括:
采用两层神经网络模型进行实际演练,将输入数据放入对应的输入层,将输出数据放入对应的输出层,经过多级运算,计算出输入层到隐藏层的配置参数以及隐藏层到输出层的配置参数。
7.根据权利要求1所述的基于历史场景自适应配置防火墙规则的方法,其特征在于,根据当前输入的场景以及对应的防火墙配置参数,得到相对应的防火墙规则并下发到防火墙设备中具体包括:
根据当前场景以及对应的防火墙配置参数得到对应的防火墙配置模型;
根据所述防火墙配置模型的配置块进行配置下发,以将对应的防火墙规则下发到防火墙设备中。
8.根据权利要求7所述的基于历史场景自适应配置防火墙规则的方法,其特征在于,将防火墙规则下发到防火墙设备后,还将对应的防火墙配置模型缓存起来,以供网络变化时使用。
9.根据权利要求1所述的基于历史场景自适应配置防火墙规则的方法,其特征在于,还包括:
根据包过滤的原则和方法,对防火墙设备进行打流和ping包检测,校验防火墙规则是否下发成功和生效。
10.一种基于历史场景自适应配置防火墙规则的装置,其特征在于:
包括至少一个处理器和存储器,所述至少一个处理器和存储器之间通过数据总线连接,所述存储器存储能被所述至少一个处理器执行的指令,所述指令在被所述处理器执行后,用于完成权利要求1-9中任一项所述的基于历史场景自适应配置防火墙规则的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110962552.0A CN113660281B (zh) | 2021-08-20 | 2021-08-20 | 一种基于历史场景自适应配置防火墙规则的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110962552.0A CN113660281B (zh) | 2021-08-20 | 2021-08-20 | 一种基于历史场景自适应配置防火墙规则的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113660281A true CN113660281A (zh) | 2021-11-16 |
| CN113660281B CN113660281B (zh) | 2023-01-20 |
Family
ID=78480608
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110962552.0A Active CN113660281B (zh) | 2021-08-20 | 2021-08-20 | 一种基于历史场景自适应配置防火墙规则的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113660281B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116016185A (zh) * | 2022-12-27 | 2023-04-25 | 重庆富民银行股份有限公司 | 一种防火墙策略自动下发方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002261788A (ja) * | 2001-02-27 | 2002-09-13 | Mitsubishi Electric Corp | ファイアウォール管理装置および方法 |
| US20140164595A1 (en) * | 2012-12-11 | 2014-06-12 | International Business Machines Corporation | Firewall event reduction for rule use counting |
| CN108683632A (zh) * | 2018-04-04 | 2018-10-19 | 山石网科通信技术有限公司 | 防火墙安全策略调整方法及装置 |
| CN108833401A (zh) * | 2018-06-11 | 2018-11-16 | 中国人民解放军战略支援部队信息工程大学 | 基于贝叶斯演化博弈的网络主动防御策略选取方法及装置 |
| CN109660548A (zh) * | 2018-12-28 | 2019-04-19 | 北京奇安信科技有限公司 | 基于全局网络拓扑结构的防火墙规则生成方法及服务器 |
| CN111092912A (zh) * | 2019-12-31 | 2020-05-01 | 中国银行股份有限公司 | 安全防御方法及装置 |
| CN111277568A (zh) * | 2020-01-09 | 2020-06-12 | 武汉思普崚技术有限公司 | 一种分布式虚拟网络的隔离攻击方法及系统 |
-
2021
- 2021-08-20 CN CN202110962552.0A patent/CN113660281B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002261788A (ja) * | 2001-02-27 | 2002-09-13 | Mitsubishi Electric Corp | ファイアウォール管理装置および方法 |
| US20140164595A1 (en) * | 2012-12-11 | 2014-06-12 | International Business Machines Corporation | Firewall event reduction for rule use counting |
| CN108683632A (zh) * | 2018-04-04 | 2018-10-19 | 山石网科通信技术有限公司 | 防火墙安全策略调整方法及装置 |
| CN108833401A (zh) * | 2018-06-11 | 2018-11-16 | 中国人民解放军战略支援部队信息工程大学 | 基于贝叶斯演化博弈的网络主动防御策略选取方法及装置 |
| CN109660548A (zh) * | 2018-12-28 | 2019-04-19 | 北京奇安信科技有限公司 | 基于全局网络拓扑结构的防火墙规则生成方法及服务器 |
| CN111092912A (zh) * | 2019-12-31 | 2020-05-01 | 中国银行股份有限公司 | 安全防御方法及装置 |
| CN111277568A (zh) * | 2020-01-09 | 2020-06-12 | 武汉思普崚技术有限公司 | 一种分布式虚拟网络的隔离攻击方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| 张政: "浅析大型分布式数据中心的集中监控管理方案", 《数字技术与应用》 * |
| 王杰等: "基于入侵防御系统的完备化规则库", 《计算机工程与应用》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116016185A (zh) * | 2022-12-27 | 2023-04-25 | 重庆富民银行股份有限公司 | 一种防火墙策略自动下发方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113660281B (zh) | 2023-01-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Wang et al. | An entropy-based distributed DDoS detection mechanism in software-defined networking | |
| Flauzac et al. | SDN based architecture for IoT and improvement of the security | |
| US10911355B2 (en) | Multi-site telemetry tracking for fabric traffic using in-band telemetry | |
| Gonzalez et al. | SDN-based security framework for the IoT in distributed grid | |
| US9230213B2 (en) | Device and related method for scoring applications running on a network | |
| US20160191568A1 (en) | System and related method for network monitoring and control based on applications | |
| WO2017189765A1 (en) | Tunneling for network deceptions | |
| CN108833305B (zh) | 主机的虚拟网络装置 | |
| CN104994065A (zh) | 基于软件定义网络的访问控制列表运行系统和方法 | |
| US9894074B2 (en) | Method and system for extracting access control list | |
| CN109587156A (zh) | 异常网络访问连接识别与阻断方法、系统、介质和设备 | |
| CN116055254A (zh) | 一种安全可信网关系统、控制方法、介质、设备及终端 | |
| CN102811219A (zh) | 一种在集群系统中跨越网段远程访问内网计算机桌面的方法 | |
| Spiekermann et al. | Network forensic investigation in OpenFlow networks with ForCon | |
| CN105490995A (zh) | 一种在nvo3网络中nve转发报文的方法和设备 | |
| CN113660281B (zh) | 一种基于历史场景自适应配置防火墙规则的方法和装置 | |
| CN103997439A (zh) | 一种流量监测方法、装置和系统 | |
| CN107800722A (zh) | 隔离工控设备与外部网络服务器的方法及装置 | |
| CN111698110B (zh) | 一种网络设备性能分析方法、系统、设备及计算机介质 | |
| TaheriMonfared et al. | Multi-tenant network monitoring based on software defined networking | |
| WO2017131765A1 (en) | Verifying a service function chain | |
| CN116232777B (zh) | SDN-IIOT中基于统计度量的DDoS攻击检测与防御方法及相关设备 | |
| JP7156310B2 (ja) | 通信装置、通信システム、通信制御方法、プログラム | |
| Krishnan et al. | Mitigating DDoS attacks in software defined networks | |
| Morato et al. | Network simulation in a TCP-enabled industrial internet of things environment-reproducibility issues for performance evaluation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |