CN114050908A - 防火墙策略自动审核的方法、装置及计算设备计算机存储介质 - Google Patents
防火墙策略自动审核的方法、装置及计算设备计算机存储介质 Download PDFInfo
- Publication number
- CN114050908A CN114050908A CN202010721808.4A CN202010721808A CN114050908A CN 114050908 A CN114050908 A CN 114050908A CN 202010721808 A CN202010721808 A CN 202010721808A CN 114050908 A CN114050908 A CN 114050908A
- Authority
- CN
- China
- Prior art keywords
- target
- firewall
- firewall policy
- training
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例涉及通信技术领域,公开了一种防火墙策略自动审核的方法、装置及计算设备,该方法包括:获取目标防火墙策略;对目标防火墙策略进行文本处理,得到目标防火墙策略对应的目标序列;将目标序列中的每一个目标数值进行向量映射,得到每一个目标数值对应的目标词向量;将目标词向量输入预先训练好的防火墙策略审核模型中,得到目标防火墙策略对应的目标输出结果;目标输出结果中包括多个目标结果值,多个目标结果值的个数与预先设置的防火墙策略类别的总数相同,每一个目标结果值用于表征目标防火墙策略属于相应的防火墙策略类别的概率。通过上述方式,本发明实施例实现了防火墙策略的自动审核。
Description
技术领域
本发明实施例涉及通信技术领域,具体涉及一种SDN防火墙策略自动审核的方法、装置及计算设备。
背景技术
SDN防火墙能够被SDN控制器直接部署,利用SDN控制器直接对平台变成的特点,SDN防火墙能够轻松实现接收并部署SDN控制器下发的防火墙安全策略。
随着网络规模的增长和系统长期运行中访问需求不断调整,SDN防火墙上配置了数百或数千条访问控制策略。这些策略可能包含冗余、冲突、不合规、不安全的策略,为网络完全留下隐患。
现有的防火墙策略审核主要通过人工审核的方式,由于防火墙策略繁多、防火墙品牌较多的情况下,人工审核防火墙策略的方式效率低。
发明内容
鉴于上述问题,本发明实施例提供了一种SDN防火墙策略自动审核的方法、装置及计算设备,用于解决现有技术中存在的人工审核防火墙策略效率低的问题。
根据本发明实施例的一个方面,提供了一种防火墙策略自动审核的方法,所述方法包括:
获取目标防火墙策略;
对所述目标防火墙策略进行文本处理,得到所述目标防火墙策略对应的目标序列;
将所述目标序列中的每一个目标数值进行向量映射,得到每一个目标数值对应的目标词向量;
将所述目标词向量输入预先训练好的防火墙策略审核模型中,得到所述目标防火墙策略对应的目标输出结果;所述目标输出结果中包括多个目标结果值,所述多个目标结果值的个数与预先设置的防火墙策略类别的总数相同,每一个目标结果值用于表征所述目标防火墙策略属于相应的防火墙策略类别的概率;
所述预先训练好的防火墙策略审核模型是根据多组训练数据训练多通道卷积神经网络模型得到的;所述多组训练数据中的每一组均包括一组训练词向量和该组训练词向量对应的防火墙策略类别标签。
在一种可选的方式中,所述对目标防火墙策略进行文本处理,得到所述目标防火墙策略对应的目标序列,包括:
对所述目标防火墙策略进行文本清洗,得到标准目标防火墙策略;
通过文本序列化将所述标准目标防火墙策略转换为预设长度的序列,得到所述目标防火墙策略对应的目标序列。
在一种可选的方式中,所述对所述目标防火墙策略进行文本清洗,得到标准目标防火墙策略,包括:
去除所述目标防火墙策略中的标点符号,得到第一目标防火墙策略;
将所述第一目标防火墙策略中的英文字母转换为相应的小写字母,得到所述标准目标防火墙策略。
在一种可选的方式中,在获取目标防火墙策略之前,所述方法还包括:
获取多个历史防火墙策略及各历史防火墙策略对应的防火墙策略类别;
对各历史防火墙策略分别进行文本处理,得到相应的训练序列;
将所述训练序列中的每一个训练数值进行向量映射,得到每一个训练数值对应的训练词向量;
对各历史防火墙策略对应的防火墙策略类别进行编码,得到各历史防火墙策略对应的防火墙策略类别标签;
将一组训练词向量和相应的防火墙策略类别标签作为一组训练数据以得到多组训练数据;
根据所述多组训练数据训练多通道卷积神经网络模型,得到训练好的防火墙策略审核模型。
在一种可选的方式中,所述根据所述多组训练数据训练多通道卷积神经网络模型,得到训练好的防火墙策略审核模型,包括:
将所述训练词向量输入多通道卷积神经网络模型,得到所述训练词向量对应的第一输出结果;
根据所述第一输出结果和所述防火墙策略类别标签计算损失函数值;
根据所述损失函数值更新所述多通道卷积神经网络模型的权重,直至达到预设迭代次数;
将达到所述预设迭代次数时,使所述损失函数值最小的权重作为所述多通道卷积神经网络模型的权重,得到训练好的多通道卷积神经网络模型。
在一种可选的方式中,所述多通道卷积神经网络模型包括多个通道的特征提取层,与各个通道的特征提取层连接的合并层,与所述合并层连接的全连接层,以及与所述全连接层连接的输出层;每一个通道的特征提取层均包括卷积层、舍弃层、池化层和平整层;
所述卷积层用于接收所述训练词向量,并通过卷积核对所述训练词向量进行特征提取,得到第一特征;
所述舍弃层与所述卷积层连接,用于随机断开神经元,避免所述多通道卷积神经网络模型训练过拟合;
所述池化层用于对所述第一特征进行降维,得到第二特征;
所述平整层用于将所述第二特征转换为一维向量;
所述合并层用于将多个通道对应的一维向量合并,得到新的特征向量;
所述全连接层用于对所述新的特征向量进行加权计算,得到加权结果;
所述输出层用于对所述加权结果进行最大化输出,得到所述训练词向量对应的第一输出结果。
在一种可选的方式中,所述根据所述损失函数值更新所述多通道卷积神经网络模型的权重,直至达到预设迭代次数,包括:
根据所述损失函数值通过梯度下降法更新所述多通道卷积神经网络模型的权重,直至达到预设迭代次数。
根据本发明实施例的另一方面,提供了一种防火墙策略自动审核的装置,所述装置包括:
获取模块,用于获取目标防火墙策略;
处理模块,用于对所述目标防火墙策略进行文本处理,得到所述目标防火墙策略对应的目标序列;
映射模块,用于将所述目标序列中的每一个目标数值进行向量映射,得到每一个目标数值对应的目标词向量;
输入模块,用于将所述目标词向量输入预先训练好的防火墙策略审核模型中,得到所述目标防火墙策略对应的目标输出结果;所述目标输出结果中包括多个目标结果值,所述多个目标结果值的个数与预先设置的防火墙策略类别的总数相同,每一个目标结果值用于表征所述目标防火墙策略属于相应的防火墙策略类别的概率;
所述预先训练好的防火墙策略审核模型是根据多组训练数据训练多通道卷积神经网络模型得到;所述多组训练数据中的每一组均包括一组训练词向量和该组训练词向量对应的防火墙策略类别标签。
根据本发明实施例的另一方面,提供了一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述的一种防火墙策略自动审核的方法对应的操作。
根据本发明实施例的又一方面,提供了一种计算机可读存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使计算设备/装置执行上述的一种防火墙策略自动审核的方法对应的操作。
本发明实施例对获取的目标防火墙策略进行处理,得到目标防火墙策略对应的目标序列,将目标序列中每一个目标数值映射为一个目标词向量后,输入预先训练好的防火墙策略审核模型中,得到相应的目标输出结果,该目标输出结果可以用于表征目标防火墙策略属于相应的防火墙策略类别的概率,因此,根据目标输出结果可以确定目标防火墙策略所属的防火墙策略类别,从而实现了自动识别防火墙策略类别。此外,防火墙策略审核模型是根据多组训练数据训练多通道卷积神经网络模型得到的,每一组训练数据均包括一组训练词向量和该组训练词向量对应的防火墙策略类别标签,多通道卷积神经网络模型可以通过各个通道提取训练数据的多个特征,通过学习多个特征和对应的防火墙策略之间的关系得到防火墙策略审核模型。因此,通过防火墙策略审核模型对目标防火墙策略进行审核,得到的审核结果更加准确。
上述说明仅是本发明实施例技术方案的概述,为了能够更清楚了解本发明实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
附图仅用于示出实施方式,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种防火墙策略自动审核的方法的流程示意图;
图2示出了本发明实施例提供的一种防火墙策略自动审核的方法中防火墙策略审核模型的结构示意图;
图3示出了本发明另一实施例提供的一种防火墙策略自动审核的方法的流程示意图;
图4示出了本发明实施例提供的一种防火墙策略自动审核装置的功能框图;
图5示出了本发明实施例提供的一种计算设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。
本发明实施例的应用场景是防火墙策略审核,根据审核结果确定防火墙策略是否合规。对于合规的防火墙策略下发至防火墙以进行信令的拦截或选通,对于不合规的防火墙策略,可以通过防火墙策略审核结果确定防火墙策略不合规的原因,便于运维人员针对该不合规的原因对防火墙策略进行升级。本发明实施例中的防火墙策略类别可以包括正常,即合规类别,以及至少一种不合规类别。例如,在一些具体的实施方式中,防火墙策略类别包括以下九种。
(1)any to any
该防火墙策略类别为不合规防火墙类别,包括以下四种情况:如果防火墙策略是源IP和目的IP均为any,说明防火墙策略不合规。如果防火墙策略是firewall packet-filter default策略,说明防火墙策略不合规。如果防火墙策略是ACL策略,ACL策略中不包含任何规则的,说明防火墙策略不合规。
(2)不符合管理端口点对点
根据防火墙设备提供商检测相应端口中的配置。例如,对于一些设备供应商,检查vty接口中的配置,如果配置中直接配置0或any或缺省,则该防火墙设备中配置的防火墙策略不符合管理端口点对点。对于一些设备供应商,查看ssh、telnet策略,如果为0或any则不符合管理端口点对点,不合规。
(3)最末规则审核
防火墙策略在配置访问规则列表时,最后一条必须是拒绝一切流量。如果不是,则不符合最末规则,不合规。对于一些设备防火墙的firewall packet-filter default默认是拒绝的则在配置信息中无法显示,则如果每条acl最后有deny ip字段,则确定该acl符合最末规则。
(4)违背最小化
防火墙策略中最小范围开放、源地址、目的地址、服务端口中的任意两项值为any则违背最小化原则。
(5)由外而内高危端口
如果存在由外而内的高危端口的策略,则不合规。
(6)命中为0的策略
防火墙策略最后标有“0times matched”或者没有任何标记的,则该防火墙策略为0命中,不合规。
(7)策略冲突
同一策略组内,该策略的协议、IP、端口均为比其优先级更高策略的子集,且动作相反,则确定防火墙策略冲突,不合规。
(8)策略重复
同一策略组内,该策略的协议、IP、端口均为比其优先级更高策略的子集,且动作一致,则策略重复,不合规。
(9)正常
没有上述(1)-(8)的不合规情况,说明防火墙策略正常。
图1示出了本发明实施例的一种防火墙策略自动审核的方法的流程图。如图1所示,该方法包括以下步骤:
步骤110:获取目标防火墙策略。
在本步骤中,目标防火墙策略是需要进行审核的防火墙策略。在一些实施例中,本发明实施例中的防火墙策略为软件定义网络(software defined network,SDN)防火墙策略,执行本发明实施例的装置/设备设置在SDN控制器中。SDN应用层通过openstack plug-in接口将防火墙策略下发至SDN控制器。其中,openstack plug-in接口可实现对防火墙策略的管理,包括防火墙策略的创建和删除。SDN控制器接收到防火墙策略后,对接收到的防火墙策略进行逐一审核。SDN控制器将其中任意一个防火墙策略作为目标防火墙策略发送至执行本发明实施例的装置/设备中,以进行目标防火墙策略审核,确定目标防火墙策略的合法性。
在SDN控制器中,如果目标防火墙策略审核通过,则SDN控制器通过Netconf协议向软件或硬件防火墙下发配置命令,以执行目标防火墙策略。其中,Netconf是基于可扩展标记语言XML的网络配置和管理协议,提供了一套标准的操作来对网络设备进行管理。如果目标防火墙策略审核未通过,则SDN控制器根据审核结果确定目标防火墙策略的类别,以确定审核未通过的原因,便于运维人员根据该原因进行修改。
步骤120:对目标防火墙策略进行文本处理,得到目标防火墙策略对应的目标序列。
在本步骤中,对目标防火墙策略进行的文本处理与目标防火墙策略的形式相关。例如,在一种具体的实施方式中,目标防火墙策略为不包含任何标点符号的文本,且文本中的英文字母均为小写字母。则对目标防火墙策略直接进行文本序列化,得到目标防火墙策略对应的目标序列。
在一些实施例中,对目标防火墙策略进行文本清洗,得到标准目标防火墙策略;通过文本序列化将标准目标防火墙策略转换为预设长度的序列,得到目标防火墙策略对应的目标序列。其中,对目标防火墙策略进行的文本清洗包括但不仅限于:去除目标防火墙策略中的标点符号,得到第一目标防火墙策略;将第一目标防火墙策略中的英文字母转换为相应的小写字母,得到标准目标防火墙策略。
在本发明实施例中,文本序列化的具体方法不属于本发明实施例限定的范围。例如,在一种具体的实施方式中,通过Python中的tokenize模块实现文本序列化。在另外一些实施例中,也可以通过现有技术中任意一种文本序列化模块实现。
在本发明实施例中,得到的目标序列中的元素表征相应的目标防火墙策略文本中的字段。目标序列的长度与训练防火墙策略审核模型时使用的训练数据中的训练序列的长度相同。如果目标序列的长度与本发明实施例中的训练序列的长度不相同,则通过在相应的位置补零的方式将目标序列扩展为与训练序列相同的长度,以便于防火墙策略审核模型的计算,保证计算结果的可靠性。
步骤130:将所述目标序列中的每一个目标数值进行向量映射,得到每一个目标数值对应的目标词向量。
在本步骤中,目标序列中包括多个目标数值,将每一个目标数值映射为一个预设长度的向量,得到每一个目标数值对应的目标词向量。本发明实施例并不限定向量映射的具体方式,现有技术中任一种可以将数值转化为向量的方法均可。例如,在一些具体的实施方式中,通过词嵌入将每个目标数值转换为预设长度的向量,得到各目标数值对应的目标词向量。
步骤140:将目标词向量输入预先训练好的防火墙策略审核模型中,得到目标防火墙策略对应的目标输出结果。
在本步骤中,预先训练好的防火墙策略审核模型是根据多组训练数据训练多通道卷积神经网络模型得到的,多组训练数据中的每一组训练数据均包括一组训练词向量和该组训练词向量对应的防火墙策略类别标签。其中,防火墙策略类别标签是根据防火墙策略类别进行编码得到的。
目标输出结果中包括多个目标结果值,多个目标结果值的个数与预先设置的防火墙策略类别的总数相同,每一个目标结果值用于表征目标防火墙策略属于相应的防火墙策略类别的概率。例如,在一些具体的实施方式中,防火墙策略类别总数为9种,则得到的目标结果值为9个,9个目标结果值的和为1,9个目标结果值中最大值对应的防火墙策略类别即为目标防火墙策略对应的防火墙策略类别。
图2示出了本发明实施例提供的一种防火墙策略审核模型的结构示意图。如图2所示,该防火墙策略审核模型包括三个卷积通道层、合并层、全连接层和输出层。其中,三个卷积通道层中的每一个卷积通道层均包括一层卷积层、一层随机舍弃层、一层池化层和一层平整层。每一层卷积层均包括48个卷积核,三个卷积通道层的卷积核的空域窗分别设置为2、4、6,用于提取目标词向量的不同特征。三个卷积通道层的随机舍弃层分别与该通道的卷积层的卷积核连接,用于按照一定概率随机断开卷积核。池化层用于对卷积层提取的特征进行降维,得到降维后的特征。池化层的池化方式可以是平均池化、最大池化等,本发明实施例不以此为限。平整层将降维后的特征转换为一维向量。合并层将三个通道的一维向量进行合并,得到新的特征向量。全连接层对新的特征向量进行加权计算,得到加权结果。输出层通过归一化函数对加权结果进行最大化输出,得到目标词向量对应的目标输出结果。
本发明实施例对获取的目标防火墙策略进行处理,得到目标防火墙策略对应的目标序列,将目标序列中每一个目标数值映射为一个目标词向量后,输入预先训练好的防火墙策略审核模型中,得到相应的目标输出结果,该目标输出结果可以用于表征目标防火墙策略属于相应的防火墙策略类别的概率,因此,根据目标输出结果可以确定目标防火墙策略所属的防火墙策略类别,从而实现了自动识别防火墙策略类别。此外,防火墙策略审核模型是根据多组训练数据训练多通道卷积神经网络模型得到的,每一组训练数据均包括一组训练词向量和该组训练词向量对应的防火墙策略类别标签,多通道卷积神经网络模型可以通过各个通道提取训练数据的多个特征,通过学习多个特征和对应的防火墙策略之间的关系得到防火墙策略审核模型。因此,通过防火墙策略审核模型对目标防火墙策略进行审核,得到的审核结果更加准确。
图3示出了本发明另一个实施例的一种防火墙策略自动审核方法流程图。本发明实施例除包含图1中的步骤110~步骤140,在步骤110之前还包括如图3所示的以下步骤:
步骤210:获取多个历史防火墙策略及各历史防火墙策略对应的防火墙策略类别。
在本步骤中,历史防火墙策略是已知防火墙策略类别的防火墙策略。各历史防火墙策略对应的防火墙策略类别是根据专家经验对历史防火墙策略进行分类得到的。
步骤220:对各历史防火墙策略分别进行文本处理,得到相应的训练序列。
在本步骤中,对各历史防火墙策略进行的文本处理与步骤120中对目标防火墙策略进行的文本处理相同,请参阅图1中步骤120的具体说明,在此不做赘述。
步骤230:将训练序列中每一个训练数值进行向量映射,得到每一个训练数值对应的训练词向量。
在本步骤中,对训练序列中每一个训练数值进行向量映射的方法与步骤130中对目标序列中的目标数值进行映射的方法相同,请参阅图1中步骤130的具体说明。
步骤240:对各历史防火墙策略对应的防火墙策略类别进行编码,得到各历史防火墙策略对应的防火墙策略类别标签。
在本步骤中,对历史防火墙策略类别进行编码的方式可以由本领域技术人员在实施本发明实施例时人为设定,本发明实施例并不限定防火墙类别标签的具体编码方式。例如,每一种防火墙策略类别可以分别使用阿拉伯数字1-9表示。
在一种具体的实施方式中,防火墙策略类别标签以独热编码的方式表示。例如,防火墙策略的类别有九种,则防火墙类别标签为一个包含九个元素的向量,每一个元素分别对应一种防火墙策略类别。如果该元素对应的防火墙策略类别为该组训练词向量对应的防火墙策略类别,则该元素的数值为第一数值,否则,该元素的数值为第二数值。第一数值和第二数值不同,其具体值可以由本领域技术人员设定,本发明实施例并不以此为限。例如,第一数值为1,第二数值为0,以防火墙策略类别总数为9种,其中一组训练词向量对应的防火墙类别为第三种,则该训练词向量对应的防火墙类别标签为001000000。
步骤250:将一组训练词向量和相应的防火墙策略类别标签作为一组训练数据以得到多组训练数据。
步骤260:根据多组训练数据训练多通道卷积神经网络模型,得到训练好的防火墙策略审核模型。
在本步骤中,多通道卷积神经网络模型的架构如图2所示,通过训练各层中各神经元之间的权重得到训练好的防火墙策略审核模型。将训练词向量输入多通道卷积神经网络模型中,得到训练词向量对应的第一输出结果。第一输出结果用于表征输入的训练词向量通过该多通道卷积神经网络模型预测后得到的防火墙策略类别。第一输出结果包括多个数值,多个数值的个数与防火墙策略类别总数相同,每一个数值用于表征该防火墙策略属于相应的防火墙策略类别的概率。根据第一输出结果和相应的防火墙策略类别标签计算损失函数值,根据损失函数值更新多通道卷积神经网络模型的权重,直至达到预设迭代次数。每次迭代,根据损失函数值调整多通道卷积神经网络模型的权重。权重调整的方式可以采样神经网络模型参数调整策略中的任意一种方法,本发明实施例并不以此为限。在一些实施方式中,根据损失函数值通过梯度下降法调整多通道卷积神经网络模型的权重,直至达到预设迭代次数。将达到预设迭代次数时多通道卷积神经网络模型的权重作为防火墙策略审核模型的权重,以得到训练好的防火墙策略审核模型。
本发明实施例通过多组训练数据训练多通道卷积神经网络模型,从而得到训练好的防火墙策略审核模型,由于多通道卷积神经网络模型中每个通道不同的卷积核可以提取防火墙策略文本中不同长度的连续词,因此,可以提取到多种表征防火墙策略类别的特征,综合多个通道的特征提取结果进行防火墙策略审核模型的训练可以使训练得到的防火墙策略审核模型更加可靠。
图4示出了本发明实施例的一种防火墙策略自动审核装置的功能框图。如图4所示,该装置包括:获取模块310、处理模块320、映射模块330和输入模块340。获取模块310用于获取目标防火墙策略。处理模块320用于对所述目标防火墙策略进行文本处理,得到所述目标防火墙策略对应的目标序列;所述目标序列中包括多个目标数值,所述多个目标数值用于表征所述目标防火墙策略对应的文本。映射模块330用于将所述目标序列中的每一个目标数值进行向量映射,得到每一个目标数值对应的目标词向量。输入模块340用于将所述目标词向量输入预先训练好的防火墙策略审核模型中,得到所述目标防火墙策略对应的目标输出结果;所述目标输出结果中包括多个目标结果值,所述多个目标结果值的个数与预先设置的防火墙策略类别的总数相同,每一个目标结果值用于表征所述目标防火墙策略属于相应的防火墙策略类别的概率;所述预先训练好的防火墙策略审核模型是根据多组训练数据训练多通道卷积神经网络模型得到;所述多组训练数据中的每一组均包括一组训练词向量和该组训练词向量对应的防火墙策略类别标签。
在一种可选的方式中,处理模块320进一步用于:
对所述目标防火墙策略进行文本清洗,得到标准目标防火墙策略;
通过文本序列化将所述标准目标防火墙策略转换为预设长度的序列,得到所述目标防火墙策略对应的目标序列。
在一种可选的方式中,处理模块320进一步用于:
去除所述目标防火墙策略中的标点符号,得到第一目标防火墙策略;
将所述第一目标防火墙策略中的英文字母转换为相应的小写字母,得到所述标准目标防火墙策略。
在一种可选的方式中,该装置还包括:
第一获取模块350,用于获取多个历史防火墙策略及各历史防火墙策略对应的防火墙策略类别。
第一处理模块360,用于对各历史防火墙策略分别进行文本处理,得到相应的训练序列。
第一映射模块370,用于将所述训练序列中的每一个训练数值进行向量映射,得到每一个训练数值对应的训练词向量。
编码模块380,用于对各历史防火墙策略对应的防火墙策略类别进行编码,得到各历史防火墙策略对应的防火墙策略类别标签。
确定模块390,用于将一组训练词向量和相应的防火墙策略类别标签作为一组训练数据以得到多组训练数据。
训练模块300,用于根据所述多组训练数据训练多通道卷积神经网络模型,得到训练好的防火墙策略审核模型。
在一种可选的方式中,训练模块300进一步用于:
将所述训练词向量输入多通道卷积神经网络模型,得到所述训练词向量对应的第一输出结果;
根据所述第一输出结果和所述防火墙策略类别标签计算损失函数值;
根据所述损失函数值更新所述多通道卷积神经网络模型的权重,直至达到预设迭代次数;
将达到所述预设迭代次数时,使所述损失函数值最小的权重作为所述多通道卷积神经网络模型的权重,得到训练好的多通道卷积神经网络模型。
在一种可选的方式中,所述多通道卷积神经网络模型包括多个通道的特征提取层,与各个通道的特征提取层连接的合并层,与所述合并层连接的全连接层,以及与所述全连接层连接的输出层;每一个通道的特征提取层均包括卷积层、舍弃层、池化层和平整层;
所述卷积层用于接收所述训练词向量,并通过卷积核对所述训练词向量进行特征提取,得到第一特征;
所述舍弃层与所述卷积层连接,用于随机断开神经元,避免所述多通道卷积神经网络模型训练过拟合;
所述池化层用于对所述第一特征进行降维,得到第二特征;
所述平整层用于将所述第二特征转换为一维向量;
所述合并层用于将多个通道对应的一维向量合并,得到新的特征向量;
所述全连接层用于对所述新的特征向量进行加权计算,得到加权结果;
所述输出层用于对所述加权结果进行最大化输出,得到所述训练词向量对应的第一输出结果。
在一种可选的方式中,训练模块300进一步用于:
根据所述损失函数值通过梯度下降法更新所述多通道卷积神经网络模型的权重,直至达到预设迭代次数。
本发明实施例对获取的目标防火墙策略进行处理,得到目标防火墙策略对应的目标序列,将目标序列中每一个目标数值映射为一个目标词向量后,输入预先训练好的防火墙策略审核模型中,得到相应的目标输出结果,该目标输出结果可以用于表征目标防火墙策略属于相应的防火墙策略类别的概率,因此,根据目标输出结果可以确定目标防火墙策略所属的防火墙策略类别,从而实现了自动识别防火墙策略类别。此外,防火墙策略审核模型是根据多组训练数据训练多通道卷积神经网络模型得到的,每一组训练数据均包括一组训练词向量和该组训练词向量对应的防火墙策略类别标签,多通道卷积神经网络模型可以通过各个通道提取训练数据的多个特征,通过学习多个特征和对应的防火墙策略之间的关系得到防火墙策略审核模型。因此,通过防火墙策略审核模型对目标防火墙策略进行审核,得到的审核结果更加准确。
图5示出了本发明实施例的一种计算设备的结构示意图,本发明具体实施例并不对计算设备的具体实现做限定。
如图5所示,该计算设备可以包括:处理器(processor)402、通信接口(Communications Interface)404、存储器(memory)406、以及通信总线408。
其中:处理器402、通信接口404、以及存储器406通过通信总线408完成相互间的通信。通信接口404,用于与其它设备比如客户端或其它服务器等的网元通信。处理器402,用于执行程序410,具体可以执行上述用于防火墙策略自动审核的方法实施例中的相关步骤。
具体地,程序410可以包括程序代码,该程序代码包括计算机可执行指令。
处理器402可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。计算设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器406,用于存放程序410。存储器406可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序410具体可以被处理器402调用使计算设备执行图1中的步骤110~步骤140,图3中的步骤210~步骤260,或者实现图4中的模块310~模块300的功能。
本发明实施例提供了一种SDN控制器,所述SDN控制器包括至少一个计算装置,所述计算装置用于根据图1中的步骤110~140,图3中的步骤210~260,或者图4中的模块310~模块300对SDN防火墙策略进行审核。
本发明实施例提供了一种计算机可读存储介质,所述存储介质存储有至少一可执行指令,该可执行指令在计算设备/装置上运行时,使得所述计算设备/装置执行上述任意方法实施例中的一种防火墙策略自动审核的方法。
本发明实施例提供了一种计算机程序,所述计算机程序可被处理器调用使计算设备执行上述任意方法实施例中的一种防火墙策略自动审核的方法。
本发明实施例提供了一种计算机程序产品,计算机程序产品包括存储在计算机可读存储介质上的计算机程序,计算机程序包括程序指令,当程序指令在计算机上运行时,使得所述计算机执行上述任意方法实施例中的一种防火墙策略自动审核的方法。
在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明实施例也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。
本领域技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤,除有特殊说明外,不应理解为对执行顺序的限定。
Claims (10)
1.一种防火墙策略自动审核的方法,其特征在于,所述方法包括:
获取目标防火墙策略;
对所述目标防火墙策略进行文本处理,得到所述目标防火墙策略对应的目标序列;
将所述目标序列中的每一个目标数值进行向量映射,得到每一个目标数值对应的目标词向量;
将所述目标词向量输入预先训练好的防火墙策略审核模型中,得到所述目标防火墙策略对应的目标输出结果;所述目标输出结果中包括多个目标结果值,所述多个目标结果值的个数与预先设置的防火墙策略类别的总数相同,每一个目标结果值用于表征所述目标防火墙策略属于相应的防火墙策略类别的概率;
所述预先训练好的防火墙策略审核模型是根据多组训练数据训练多通道卷积神经网络模型得到的;所述多组训练数据中的每一组均包括一组训练词向量和该组训练词向量对应的防火墙策略类别标签。
2.根据权利要求1所述的方法,其特征在于,所述对目标防火墙策略进行文本处理,得到所述目标防火墙策略对应的目标序列,包括:
对所述目标防火墙策略进行文本清洗,得到标准目标防火墙策略;
通过文本序列化将所述标准目标防火墙策略转换为预设长度的序列,得到所述目标防火墙策略对应的目标序列。
3.根据权利要求2所述的方法,其特征在于,所述对所述目标防火墙策略进行文本清洗,得到标准目标防火墙策略,包括:
去除所述目标防火墙策略中的标点符号,得到第一目标防火墙策略;
将所述第一目标防火墙策略中的英文字母转换为相应的小写字母,得到所述标准目标防火墙策略。
4.根据权利要求1-3任一项所述的方法,其特征在于,在获取目标防火墙策略之前,所述方法还包括:
获取多个历史防火墙策略及各历史防火墙策略对应的防火墙策略类别;
对各历史防火墙策略分别进行文本处理,得到相应的训练序列;
将所述训练序列中的每一个训练数值进行向量映射,得到每一个训练数值对应的训练词向量;
对各历史防火墙策略对应的防火墙策略类别进行编码,得到各历史防火墙策略对应的防火墙策略类别标签;
将一组训练词向量和相应的防火墙策略类别标签作为一组训练数据以得到多组训练数据;
根据所述多组训练数据训练多通道卷积神经网络模型,得到训练好的防火墙策略审核模型。
5.根据权利要求4所述的方法,其特征在于,所述根据所述多组训练数据训练多通道卷积神经网络模型,得到训练好的防火墙策略审核模型,包括:
将所述训练词向量输入多通道卷积神经网络模型,得到所述训练词向量对应的第一输出结果;
根据所述第一输出结果和所述防火墙策略类别标签计算损失函数值;
根据所述损失函数值更新所述多通道卷积神经网络模型的权重,直至达到预设迭代次数;
将达到所述预设迭代次数时,使所述损失函数值最小的权重作为所述多通道卷积神经网络模型的权重,得到训练好的多通道卷积神经网络模型。
6.根据权利要求5所述的方法,其特征在于,所述多通道卷积神经网络模型包括多个通道的特征提取层,与各个通道的特征提取层连接的合并层,与所述合并层连接的全连接层,以及与所述全连接层连接的输出层;每一个通道的特征提取层均包括卷积层、舍弃层、池化层和平整层;
所述卷积层用于接收所述训练词向量,并通过卷积核对所述训练词向量进行特征提取,得到第一特征;
所述舍弃层与所述卷积层连接,用于随机断开神经元,避免所述多通道卷积神经网络模型训练过拟合;
所述池化层用于对所述第一特征进行降维,得到第二特征;
所述平整层用于将所述第二特征转换为一维向量;
所述合并层用于将多个通道对应的一维向量合并,得到新的特征向量;
所述全连接层用于对所述新的特征向量进行加权计算,得到加权结果;
所述输出层用于对所述加权结果进行最大化输出,得到所述训练词向量对应的第一输出结果。
7.根据权利要求5所述的方法,其特征在于,所述根据所述损失函数值更新所述多通道卷积神经网络模型的权重,直至达到预设迭代次数,包括:
根据所述损失函数值通过梯度下降法更新所述多通道卷积神经网络模型的权重,直至达到预设迭代次数。
8.一种防火墙策略自动审核的装置,其特征在于,所述装置包括:
获取模块,用于获取目标防火墙策略;
处理模块,用于对所述目标防火墙策略进行文本处理,得到所述目标防火墙策略对应的目标序列;
映射模块,用于将所述目标序列中的每一个目标数值进行向量映射,得到每一个目标数值对应的目标词向量;
输入模块,用于将所述目标词向量输入预先训练好的防火墙策略审核模型中,得到所述目标防火墙策略对应的目标输出结果;所述目标输出结果中包括多个目标结果值,所述多个目标结果值的个数与预先设置的防火墙策略类别的总数相同,每一个目标结果值用于表征所述目标防火墙策略属于相应的防火墙策略类别的概率;
所述预先训练好的防火墙策略审核模型是根据多组训练数据训练多通道卷积神经网络模型得到;所述多组训练数据中的每一组均包括一组训练词向量和该组训练词向量对应的防火墙策略类别标签。
9.一种计算设备,其特征在于,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-7任意一项所述的一种防火墙策略自动审核的方法对应的操作。
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一可执行指令,所述可执行指令在计算设备/装置上运行时,使得所述计算设备/装置执行如权利要求1-7任意一项所述的一种防火墙策略自动审核的方法对应的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010721808.4A CN114050908B (zh) | 2020-07-24 | 2020-07-24 | 防火墙策略自动审核的方法、装置、计算设备及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010721808.4A CN114050908B (zh) | 2020-07-24 | 2020-07-24 | 防火墙策略自动审核的方法、装置、计算设备及计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114050908A true CN114050908A (zh) | 2022-02-15 |
| CN114050908B CN114050908B (zh) | 2023-07-21 |
Family
ID=80204303
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010721808.4A Active CN114050908B (zh) | 2020-07-24 | 2020-07-24 | 防火墙策略自动审核的方法、装置、计算设备及计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114050908B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020138738A1 (en) * | 2001-03-20 | 2002-09-26 | Sames David L. | Method and apparatus for securely and dynamically managing user attributes in a distributed system |
| CN104135461A (zh) * | 2013-05-02 | 2014-11-05 | 中国移动通信集团河北有限公司 | 一种防火墙策略处理的方法及装置 |
| US20160182454A1 (en) * | 2014-12-22 | 2016-06-23 | Edgecast Networks, Inc. | Real-Time Reconfigurable Web Application Firewall For a Distributed Platform |
| CN105721188A (zh) * | 2014-12-04 | 2016-06-29 | 北京神州泰岳信息安全技术有限公司 | 防火墙策略核查方法及系统 |
| CN108933791A (zh) * | 2018-07-09 | 2018-12-04 | 国网山东省电力公司信息通信公司 | 一种基于电力信息网安全防护策略智能优化方法及装置 |
| CN109639743A (zh) * | 2018-12-13 | 2019-04-16 | 成都亚信网络安全产业技术研究院有限公司 | 一种防火墙策略检测方法及设备 |
| CN109802960A (zh) * | 2019-01-08 | 2019-05-24 | 深圳中兴网信科技有限公司 | 防火墙策略处理方法及装置、计算机设备和存储介质 |
| CN110309304A (zh) * | 2019-06-04 | 2019-10-08 | 平安科技(深圳)有限公司 | 一种文本分类方法、装置、设备及存储介质 |
-
2020
- 2020-07-24 CN CN202010721808.4A patent/CN114050908B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020138738A1 (en) * | 2001-03-20 | 2002-09-26 | Sames David L. | Method and apparatus for securely and dynamically managing user attributes in a distributed system |
| CN104135461A (zh) * | 2013-05-02 | 2014-11-05 | 中国移动通信集团河北有限公司 | 一种防火墙策略处理的方法及装置 |
| CN105721188A (zh) * | 2014-12-04 | 2016-06-29 | 北京神州泰岳信息安全技术有限公司 | 防火墙策略核查方法及系统 |
| US20160182454A1 (en) * | 2014-12-22 | 2016-06-23 | Edgecast Networks, Inc. | Real-Time Reconfigurable Web Application Firewall For a Distributed Platform |
| CN108933791A (zh) * | 2018-07-09 | 2018-12-04 | 国网山东省电力公司信息通信公司 | 一种基于电力信息网安全防护策略智能优化方法及装置 |
| CN109639743A (zh) * | 2018-12-13 | 2019-04-16 | 成都亚信网络安全产业技术研究院有限公司 | 一种防火墙策略检测方法及设备 |
| CN109802960A (zh) * | 2019-01-08 | 2019-05-24 | 深圳中兴网信科技有限公司 | 防火墙策略处理方法及装置、计算机设备和存储介质 |
| CN110309304A (zh) * | 2019-06-04 | 2019-10-08 | 平安科技(深圳)有限公司 | 一种文本分类方法、装置、设备及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 王旭东;陈清萍;李文;张信明;: "基于时间的多层防火墙访问控制列表策略审计方案", 计算机应用 * |
| 赵冠哲,闫卓旭,付旭轮,王立川: "防火墙策略深度审计系统", 信息化建设 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114050908B (zh) | 2023-07-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109559363B (zh) | 图像的风格化处理方法、装置、介质和电子设备 | |
| US20100198762A1 (en) | Automated predictive modeling of business future events based on historical data | |
| CN109948149A (zh) | 一种文本分类方法及装置 | |
| CN111428504B (zh) | 一种事件抽取方法和装置 | |
| DE112020002110T5 (de) | Ressourcenarme entitätsauflösung mit transfer learning | |
| CN108229485A (zh) | 用于测试用户界面的方法和装置 | |
| EP3432167B1 (en) | System and method for theme extraction | |
| CN110135413B (zh) | 一种字符识别图像的生成方法、电子设备和可读存储介质 | |
| DE112021004694T5 (de) | Trainieren eines frage-antwort-dialogsystems zum vermeiden von gegnerischen angriffen | |
| CN105446952B (zh) | 用于处理语义片段的方法和系统 | |
| CN113541980A (zh) | 网络切片故障根因定位方法、装置、计算设备及存储介质 | |
| CN113765683B (zh) | 网络切片的割接告警屏蔽方法及装置 | |
| CN114050908B (zh) | 防火墙策略自动审核的方法、装置、计算设备及计算机存储介质 | |
| CN113259145B (zh) | 网络切片的端到端组网方法、组网装置及网络切片设备 | |
| CN112203311A (zh) | 网元异常诊断方法、装置、设备及计算机存储介质 | |
| CN113825148B (zh) | 网络节点告警等级的确定方法、装置及计算设备 | |
| CN108182426A (zh) | 彩色图像分类方法及装置 | |
| WO2022057425A1 (en) | Identifying siem event types | |
| CN114898184A (zh) | 模型训练方法、数据处理方法、装置及电子设备 | |
| CN114780719A (zh) | 文本分类模型的训练方法、文本分类方法及装置 | |
| CN110414326B (zh) | 样本数据处理方法、装置、计算机装置及存储介质 | |
| CN113626605A (zh) | 信息分类方法、装置、电子设备及可读存储介质 | |
| CN114124654A (zh) | 告警合并方法、装置、计算设备及计算机存储介质 | |
| US20200090185A1 (en) | Product declaration validation | |
| CN117475291B (zh) | 画面信息识别方法、装置、电子设备和计算机可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |