CN114051248B - 基于沙盒的防火墙实现方法、系统、存储介质及计算机设备 - Google Patents
基于沙盒的防火墙实现方法、系统、存储介质及计算机设备 Download PDFInfo
- Publication number
- CN114051248B CN114051248B CN202111302785.4A CN202111302785A CN114051248B CN 114051248 B CN114051248 B CN 114051248B CN 202111302785 A CN202111302785 A CN 202111302785A CN 114051248 B CN114051248 B CN 114051248B
- Authority
- CN
- China
- Prior art keywords
- sandbox
- application
- policy
- firewall
- standard
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种基于沙盒的防火墙实现方法,通过沙盒模板的初始化,以构建防火墙的标准策略集;在用户终端检测到应用安装完成时,创建基于所述沙盒模板实例化的应用沙盒防火墙;根据所述应用的用户使用习惯以生成规范化策略集,并确定所述规范化策略集中区别于所述标准策略集的差异策略;根据对来自各个应用的若干所述差异策略进行归类划分,获得共性策略;将所述共性策略更新至所述沙盒模板中。本发明还提供了一种基于沙盒的防火墙实现系统、存储介质及计算机设备。借此,本发明解决了策略误判或者数据包误判问题,实现了动态自适应策略设置和预判机制,提升了智能终端安全可靠的用户体验。
Description
技术领域
本发明涉及防火墙技术领域,尤其涉及一种基于沙盒的防火墙实现方法、系统、存储介质及计算机设备。
背景技术
防火墙是指一种将内部网和公众访问网分开的方法,是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,是一种隔离技术。而随着移动智能终端的普及,配置于移动智能终端的防火墙技术也愈发重要。
现有技术虽然有公开在移动智能终端配置的防火墙技术方案,但也仅提供了对数据包过滤和处理方案,其均未能解决规则误判或和数据包误判的问题,更未能提供一种动态自适应规则设置和预判机制,对于“千人千面”个性化需求的智能终端用户,无法为其提供灵活便捷的用户体验。
综上可知,现有的方法在实际使用上,存在着较多的问题,所以有必要加以改进。
发明内容
针对上述的缺陷,本发明的目的在于提供一种基于沙盒的防火墙实现方法,系统、存储介质及其计算机设备,能够解决策略误判或者数据包误判问题,实现了动态自适应策略设置和预判机制,提升了智能终端安全可靠的用户体验。
为了实现上述目的,本发明提供一种基于沙盒的防火墙实现方法,包括步骤:
通过沙盒模板的初始化,以构建防火墙的标准策略集;
在用户终端检测到应用安装完成时,创建基于所述沙盒模板实例化的应用沙盒防火墙;
根据所述应用的用户使用习惯以生成规范化策略集,并确定所述规范化策略集中区别于所述标准策略集的差异策略;
根据对来自各个应用的若干所述差异策略进行归类划分,获得共性策略;
将所述共性策略更新至所述沙盒模板中。
可选的,所述根据所述应用的用户使用习惯以生成规范化策略集,并确定所述规范化策略集中区别于所述标准策略集的差异策略的步骤具体包括:
根据所述应用在使用过程中的所述用户使用习惯,以规范生成所述规范化策略集;
比对所述规范化策略集与所述标准策略集,确定区别于所述标准策略集的差异策略。
可选的,所述根据所述应用在使用过程中的所述用户使用习惯,以规范生成所述规范化策略集的步骤具体包括:
根据所述应用的IP地址访问记录中符合预设访问频率的IP地址,在所述应用沙盒防火墙中规范生成所述规范化策略集。
可选的,所述根据对来自各个应用的若干所述差异策略进行归类划分,获得共性策略的步骤具体包括:
定期获取来自至少一所述用户终端的各个应用的若干所述差异策略;
通过对若干所述差异策略进行归类划分,查找规范相同的所述共性策略。
可选的,所述将所述共性策略更新至所述沙盒模板中的步骤具体包括:
将所述共性策略添加至所述标准策略集,以实现对所述沙盒模板的更新。
可选的,所述将所述共性策略更新至所述沙盒模板中的步骤之后还包括:
向若干目标应用发布更新后的所述沙盒模板,以使所述目标应用基于更新后的所述沙盒模型对所述应用沙盒防火墙进行策略更新。
可选的,所述通过沙盒模板的初始化,以构建防火墙的标准策略集的步骤还包括:
根据所述沙盒模板的初始化,构建所述用户终端的系统预装应用的虚拟沙盒防火墙。
还提供了一种基于沙盒的防火墙实现系统,包括有:
初始化单元,用于通过沙盒模板的初始化,以构建防火墙的标准策略集;
实例孵化单元,用于在用户终端检测到应用安装完成时,创建基于所述沙盒模板实例化的应用沙盒防火墙;
差异策略单元,用于根据所述应用的用户使用习惯以生成规范化策略集,并确定所述规范化策略集中区别于所述标准策略集的差异策略;
策略管理单元,用于根据对来自各个应用的若干所述差异策略进行归类划分,获得共性策略;
更新单元,用于将所述共性策略更新至所述沙盒模板中。
另外,还提供了一种存储介质和计算机设备,所述存储介质用于存储一种用于执行上述基于沙盒的防火墙实现方法的计算机程序。
所述计算机设备包括存储介质、处理器以及存储在所述存储介质上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述的基于沙盒的防火墙实现方法。
本发明所述的基于沙盒的防火墙实现方法及其系统,预先在用户终端中配置一套默认的沙盒模板,进而通过沙盒模板的初始化,构建防火墙的标准策略集;当用户终端检测到任一应用安装完成时,创建基于该沙盒模板实例化的应用沙盒防火墙;再根据应用的用户使用习惯生成规范化策略集,并确定其中区别于标准策略集的差异策略;根据对来自各个应用的若干差异策略进行归类划分,获得共性策略;将所述共性策略更新至沙盒模板中。据此,可将多个应用之间的共性策略更新至默认的沙盒模板中,即本发明引入用户参与构建沙盒防火墙的机制,解决了策略误判或者数据包误判问题,实现了动态自适应策略设置和预判机制,提升了智能终端的用户体验。
附图说明
图1为本发明一实施例提供的基于沙盒的防火墙实现方法的步骤流程图;
图2为本发明一实施例提供的基于沙盒的防火墙实现方法用于获得所述差异策略可选的步骤流程图;
图3为本发明一实施例提供的基于沙盒的防火墙实现方法用于获得所述共性策略可选的步骤流程图;
图4为本发明一实施例提供的基于沙盒的防火墙实现系统的结构示意框图;
图5为本发明一实施例提供的基于沙盒的防火墙实现系统的所述差异策略单元可选的结构示意框图;
图6为本发明一实施例提供的基于沙盒的防火墙实现系统的所述策略管理单元可选的结构示意框图;
图7为本发明所述基于沙盒的防火墙系统方法的具体示例的原理示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
需要说明的,本说明书中针对“一个实施例”、“实施例”、“示例实施例”等的引用,指的是描述的该实施例可包括特定的特征、结构或特性,但是不是每个实施例必须包含这些特定特征、结构或特性。此外,这样的表述并非指的是同一个实施例。进一步,在结合实施例描述特定的特征、结构或特性时,不管有没有明确的描述,已经表明将这样的特征、结构或特性结合到其它实施例中是在本领域技术人员的知识范围内的。
此外,在说明书及后续的权利要求当中使用了某些词汇来指称特定组件或部件,所属领域中具有通常知识者应可理解,制造商可以用不同的名词或术语来称呼同一个组件或部件。本说明书及后续的权利要求并不以名称的差异来作为区分组件或部件的方式,而是以组件或部件在功能上的差异来作为区分的准则。在通篇说明书及后续的权利要求书中所提及的“包括”和“包含”为一开放式的用语,故应解释成“包含但不限定于”。以外,“连接”一词在此系包含任何直接及间接的电性连接手段。间接的电性连接手段包括通过其它装置进行连接。
图1示出本发明一实施例提供的基于沙盒的防火墙实现方法,包括步骤如下:
S101:通过沙盒模板的初始化,以构建防火墙的标准策略集。所述沙盒模板预先配置于用户终端中,具体在用户终端的出厂配置中预置一默认的沙盒模板。具体实施时,在用户终端首次开机时,系统自行完成对沙盒模板的初始化,从而构建形成防火墙的标准策略集。所述标准策略集中包含着若干条标准策略,例如设所述标准策略集为S{s1,s2,s3,…,sn},表示在该标准策略集中包含有n条标准策略。所述标准策略是指防火墙默认配置策略,每条策略一般包含有:IP协议类型,IP地址,端口,是否允许访问<1允许,0禁止>,系统预设还是用户设置<1系统,0用户>等。
可选的,步骤S101还包括:根据所述沙盒模板的初始化,构建用户终端的系统预装应用的虚拟沙盒防火墙。即本实施例在用户终端首次开机时,系统自动完成沙盒模板的初始化,形成一个标准策略集的构建和系统预装应用虚拟沙盒防火墙的构建。
S102:在用户终端检测到应用安装完成时,创建基于所述沙盒模板实例化的应用沙盒防火墙。当监测到任一应用安装完成时,依据所述沙盒模板创建出对应该应用实例化的应用沙盒防火墙;即新安装的每一应用均基于该沙盒模板创建出相对应的实例化的应用沙盒防火墙。本实施例具体通过用户终端的安装管理器监测应用的安装情况。
S103:根据所述应用的用户使用习惯以生成规范化策略集,并确定所述规范化策略集中区别于所述标准策略集的差异策略。具体实施时,通过收集用户在使用该应用过程中个性化的用户使用习惯,并据此生成对应的规范化策略集。其中,用户使用习惯可依据用户在应用使用过程中产生的防火墙日志等信息予以确定。所述规范化策略集中包含有至少一规范化策略,所述差异策略是指在规范化策略集中不同于标准策略集的某一策略,若该规范化策略集中的某一策略并不存在于标准策略集,则将其确定为所述差异策略;反之,若所述规范化策略集中的任一策略均存在于标准策略集中,则不存在差异策略。
S104:根据对来自各个应用的若干所述差异策略进行归类划分,获得共性策略。其中,各个应用既可以是来源于同一用户终端,又可以来源于不同的多个用户终端;并且各个应用既可以相同,也可以不同。本实施例收集多个应用的所述差异策略,并将全部的差异策略进行归类划分,例如将相同的策略规则的差异策略划分为同一类别;进而根据归类划分的结果,从所述差异策略中获得具有普遍性的共性策略。即所述共性策略是指从多数应用上均能获取到的所述差异策略。
S105:将所述共性策略更新至所述沙盒模板中。由于上述获取到的共性策略具有较高的普遍性,因此将共性策略更新至默认的沙盒模板中,以进一步完善沙盒模板的标准策略,进而提升防火墙的沙盒模板自适应机制,有效解决了策略误判或者数据包误判等问题。可选的,步骤S105具体包括:将所述共性策略添加至所述标准策略集,以实现对所述沙盒模板的更新。本实施例将从上述获取到的共性策略更新到标准策略集,设更新后的标准策略集为S{s1,s2,s3,...,sn,...,sn+k},即所述共性策略为{sn+1,...,sn+k}。
参见图2,一种可选的实施方式中,步骤S103具体包括:
S1031:根据所述应用在使用过程中的用户使用习惯,以规范生成所述规范化策略集。具体的,收集所述应用在一定时间后形成的用户使用习惯,并依据该用户使用习惯按照预设规则生成规范化策略集;随着时间的推移,用户在使用应用过程中会根据个人的喜好形成一套自己个性化的用户使用习惯,具体可通过应用沙盒防火墙会将其规范化。
可选的,步骤S1031具体包括:根据所述应用的IP地址访问记录中符合预设访问频率的IP地址,在所述应用沙盒防火墙中规范生成所述规范化策略集。预设访问频率可根据实际需要进行设置,即本实施例在监测到使用所述应用产生的IP地址访问记录中,某一IP地址达到预设访问频率时,即可确定其为用户使用习惯;进而根据该用户使用习惯生成规范化策略,并添加到规范化策略集中。例如:用户经常使用今日头条应用浏览【央视新闻】【人民日报】【新华社】等,那么就将对应各个网址加入到今日头条的应用沙盒防火墙,形成3条规范化策略:{TCP,103.254.188.41,80,1,0},{TCP,43.243.235.138,80,1,0},{TCP,43.243.235.138,80,1,0},{TCP,1.180.13.248,80,1,0}。
S1032:比对所述规范化策略集与标准策略集,确定区别于所述标准策略集的差异策略。将上述产生的规范化策略集的各个规范化策略与标准策略集中的各个标准策略进行比对,判断是否存在任一规范化策略不存在于所述标准策略集中,若有,则将对应的规范化策略确定为差异策略。
参见图3,一种可选的实施方式中,步骤S104具体包括:
S1041:定期获取来自至少一用户终端的各个应用的若干所述差异策略。
S1042:通过对若干所述差异策略进行归类划分,查找规范相同的所述共性策略。具体的,由各个用户终端将应用的差异策略定期发送给策略管理终端,进而由策略管理终端对获取到的差异策略进行归类划分,以从中查找到规范相同的共性策略。
可选的,步骤S105之后还包括:向若干目标应用发布更新后的所述沙盒模板,以使所述目标应用基于更新后的所述沙盒模型对所述应用沙盒防火墙进行策略更新。所述目标应用具体是指配置有对应的应用沙盒防火墙的应用,即本实施例在更新完所述沙盒模板之后,将更新信息发布给若干目标应用,以使所述目标应用根据更新后新的沙盒模板对所述应用沙盒防火墙进行策略更新;具体的,根据更新后新的沙盒模板对所述应用沙盒防火墙中的策略进行新增或删除或更改等操作。
参见图7,所述基于沙盒的防火墙实现方法可通过沙盒防火墙系统实现,在该沙盒防火墙系统中包括沙盒模板模块,沙盒实例孵化模块,沙盒策略同步模块,沙盒策略管理模块以及策略订阅/发布模块;所述沙盒模板模块用于在用户终端中实现对沙盒模板的初始化,在用户终端的安装管理器监测到某一应用安装完成时,通知所述沙盒防火墙系统,进而由沙盒实例孵化模块基于所述沙盒模板创建对应的应用沙盒防火墙实例;在所述应用使用一段时间之后,根据在此期间形成的用户使用习惯生成规范化策略集,并由沙盒策略同步模块通过对比找出和现有标准策略的差异策略,并定期将差异策略同步到沙盒防火墙系统;沙盒防火墙系统接收到应用发来的差异策略后,沙盒策略管理模块将各应用同步过来的差异策略集进行智能化归类划分,找出其共性策略并更新到标准策略集;标准策略集更新完成后,沙盒防火墙系统的沙盒策略订阅/发布模块将更新的后的标准策略集发布给全部应用,各应用收到通知后,将通过各自应用沙盒防火墙完成自身沙盒防墙的策略更新。
图4示出本发明一实施例所述的防火墙实现系统100,其包括有初始化单元10、实例孵化单元20、差异策略单元30、策略管理单元40以及更新单元50,其中:
初始化单元10用于通过沙盒模板的初始化,以构建防火墙的标准策略集;实例孵化单元20用于在用户终端检测到应用安装完成时,创建基于所述沙盒模板实例化的应用沙盒防火墙;差异策略单元30用于根据所述应用的用户使用习惯以生成规范化策略集,并确定所述规范化策略集中区别于所述标准策略集的差异策略;策略管理单元40用于根据对来自各个应用的若干所述差异策略进行归类划分,获得共性策略;更新单元50用于将所述共性策略更新至所述沙盒模板中。
参见图5,一种可选的实施方式中,差异策略单元30具体包括习惯规范化子单元31和比对确定子单元32,其中:
习惯规范化子单元31用于根据所述应用在使用过程中的所述用户使用习惯,以规范生成所述规范化策略集;比对确定子单元32用于比对所述规范化策略集与所述标准策略集,确定区别于所述标准策略集的差异策略。
可选的,所述习惯规范化子单元31具体用于:根据所述应用的IP地址访问记录中符合预设访问频率的IP地址,在所述应用沙盒防火墙中规范生成所述规范化策略集。
参见图6,一种可选的实施方式中,策略管理单元40具体包括获取子单元41和查找子单元42,其中:
获取子单元41用于定期获取来自至少一所述用户终端的各个应用的若干所述差异策略;查找子单元42用于通过对若干所述差异策略进行归类划分,查找规范相同的所述共性策略。
可选的,所述更新单元50具体用于:将所述共性策略添加至所述标准策略集,以实现对所述沙盒模板的更新。
一实施例中,还包括有发布单元,其用于向若干目标应用发布更新后的所述沙盒模板,以使所述目标应用基于更新后的所述沙盒模型对所述应用沙盒防火墙进行策略更新。
可选的,所述初始化单元10还用于:根据所述沙盒模板的初始化,构建所述用户终端的系统预装应用的虚拟沙盒防火墙。
本发明还提供一种存储介质,用于存储如图1~图3所述基于沙盒的防火墙实现方法的计算机程序。例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本申请的方法和/或技术方案。而调用本申请的方法的程序指令,可能被存储在固定的或可移动的存储介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输和/或被存储在根据程序指令运行的计算机设备的存储介质中。在此,根据本申请的一个实施例包括如图4所示基于沙盒的防火墙实现系统的计算机设备,所述计算机设备优选包括用于存储计算机程序的存储介质和用于执行计算机程序的处理器,其中,当该计算机程序被该处理器执行时,触发该计算机设备执行基于前述多个实施例中的方法和/或技术方案。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本申请的软件程序可以通过处理器执行以实现上文步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
根据本发明的方法可以作为计算机实现方法在计算机上实现、或者在专用硬件中实现、或以两者的组合的方式实现。用于根据本发明的方法的可执行代码或其部分可以存储在计算机程序产品上。计算机程序产品的示例包括存储器设备、光学存储设备、集成电路、服务器、在线软件等。优选地,计算机程序产品包括存储在计算机可读介质上以便当所述程序产品在计算机上执行时执行根据本发明的方法的非临时程序代码部件。
在优选实施例中,计算机程序包括适合于当计算机程序在计算机上运行时执行根据本发明的方法的所有步骤的计算机程序代码部件。优选地,在计算机可读介质上体现计算机程序。
综上所述,本发明所述的基于沙盒的防火墙实现方法及其系统,预先在用户终端中配置一套默认的沙盒模板,进而通过沙盒模板的初始化,构建防火墙的标准策略集;当用户终端检测到任一应用安装完成时,创建基于该沙盒模板实例化的应用沙盒防火墙;再根据应用的用户使用习惯生成规范化策略集,并确定其中区别于标准策略集的差异策略;根据对来自各个应用的若干差异策略进行归类划分,获得共性策略;将所述共性策略更新至沙盒模板中。据此,可将多个应用之间的共性策略更新至默认的沙盒模板中,即本发明引入用户参与构建沙盒防火墙的机制,解决了策略误判或者数据包误判问题,实现了动态自适应策略设置和预判机制,提升了智能终端的用户体验。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
本发明还提供了A1、一种基于沙盒的防火墙实现方法,包括步骤:
通过沙盒模板的初始化,以构建防火墙的标准策略集;
在用户终端检测到应用安装完成时,创建基于所述沙盒模板实例化的应用沙盒防火墙;
根据所述应用的用户使用习惯以生成规范化策略集,并确定所述规范化策略集中区别于所述标准策略集的差异策略;
根据对来自各个应用的若干所述差异策略进行归类划分,获得共性策略;
将所述共性策略更新至所述沙盒模板中。
A2、根据A1所述的基于沙盒的防火墙实现方法,所述根据所述应用的用户使用习惯以生成规范化策略集,并确定所述规范化策略集中区别于所述标准策略集的差异策略的步骤具体包括:
根据所述应用在使用过程中的用户使用习惯,以规范生成规范化策略集;
比对所述规范化策略集与所述标准策略集,确定区别于所述标准策略集的差异策略。
A3、根据A2所述的基于沙盒的防火墙实现方法,所述根据所述应用在使用过程中的所述用户使用习惯,以规范生成所述规范化策略集的步骤具体包括:
根据所述应用的IP地址访问记录中符合预设访问频率的IP地址,在所述应用沙盒防火墙中规范生成所述规范化策略集。
A4、根据A1所述的基于沙盒的防火墙实现方法,所述根据对来自各个应用的若干所述差异策略进行归类划分,获得共性策略的步骤具体包括:
定期获取来自至少一所述用户终端的各个应用的若干所述差异策略;
通过对若干所述差异策略进行归类划分,查找规范相同的所述共性策略。
A5、根据A1所述的基于沙盒的防火墙实现方法,所述将所述共性策略更新至所述沙盒模板中的步骤具体包括:
将所述共性策略添加至所述标准策略集,以实现对所述沙盒模板的更新。
A6、根据A1所述的基于沙盒的防火墙实现方法,所述将所述共性策略更新至所述沙盒模板中的步骤之后还包括:
向若干目标应用发布更新后的所述沙盒模板,以使所述目标应用基于更新后的所述沙盒模型对所述应用沙盒防火墙进行策略更新。
A7、根据A1所述的基于沙盒的防火墙实现方法,所述通过沙盒模板的初始化,以构建防火墙的标准策略集的步骤还包括:
根据所述沙盒模板的初始化,构建所述用户终端的系统预装应用的虚拟沙盒防火墙。
还提供了B8、一种基于沙盒的防火墙实现系统,包括有:
初始化单元,用于通过沙盒模板的初始化,以构建防火墙的标准策略集;
实例孵化单元,用于在用户终端检测到应用安装完成时,创建基于所述沙盒模板实例化的应用沙盒防火墙;
差异策略单元,用于根据所述应用的用户使用习惯以生成规范化策略集,并确定所述规范化策略集中区别于所述标准策略集的差异策略;
策略管理单元,用于根据对来自各个应用的若干所述差异策略进行归类划分,获得共性策略;
更新单元,用于将所述共性策略更新至所述沙盒模板中。
B9、根据B8所述的基于沙盒的防火墙实现系统,所述差异策略单元具体包括:
习惯规范化子单元,用于根据所述应用在使用过程中的用户使用习惯,以规范生成规范化策略集;
比对确定子单元,用于比对所述规范化策略集与所述标准策略集,确定区别于所述标准策略集的差异策略。
B10、根据B9所述的基于沙盒的防火墙实现系统,所述习惯规范化子单元具体用于:
根据所述应用的IP地址访问记录中符合预设访问频率的IP地址,在所述应用沙盒防火墙中规范生成所述规范化策略集。
B11、根据B8所述的基于沙盒的防火墙实现系统,所述策略管理单元具体包括:
获取子单元,用于定期获取来自至少一所述用户终端的各个应用的若干所述差异策略;
查找子单元,用于通过对若干所述差异策略进行归类划分,查找规范相同的所述共性策略。
B12、根据B8所述的基于沙盒的防火墙实现系统,B所述更新单元具体用于:
将所述共性策略添加至所述标准策略集,以实现对所述沙盒模板的更新。
B13、根据B8所述的基于沙盒的防火墙实现系统,还包括有:
发布单元,用于向若干目标应用发布更新后的所述沙盒模板,以使所述目标应用基于更新后的所述沙盒模型对所述应用沙盒防火墙进行策略更新。
B14、根据B8所述的基于沙盒的防火墙实现系统,所述初始化单元还用于:
根据所述沙盒模板的初始化,构建所述用户终端的系统预装应用的虚拟沙盒防火墙。
还提供了C15、一种存储介质,用于存储一种用于执行A1~A7中任意一种所述基于沙盒的防火墙实现方法的计算机程序。
还提供了D16、一种计算机设备,包括存储介质、处理器以及存储在所述存储介质上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现A1~A7任一项所述基于沙盒的防火墙实现方法。
Claims (16)
1.一种基于沙盒的防火墙实现方法,其特征在于,包括步骤:
通过沙盒模板的初始化,以构建防火墙的标准策略集;其中,所述标准策略集中包含着若干条标准策略,且所述标准策略包含有:IP协议类型、IP地址、端口以及访问许可;
在用户终端检测到应用安装完成时,创建基于所述沙盒模板实例化的应用沙盒防火墙;
根据所述应用的用户使用习惯以生成规范化策略集,并确定所述规范化策略集中区别于所述标准策略集的差异策略;其中,所述用户使用习惯为所述应用产生的IP地址访问记录中达到预设访问频率的IP地址;
根据对来自各个应用的若干所述差异策略进行归类划分,获得所述各个应用的所述差异策略共有的共性策略;
将所述共性策略更新至所述沙盒模板中。
2.根据权利要求1所述的基于沙盒的防火墙实现方法,其特征在于,所述根据所述应用的用户使用习惯以生成规范化策略集,并确定所述规范化策略集中区别于所述标准策略集的差异策略的步骤具体包括:
根据所述应用在使用过程中的用户使用习惯,以规范生成规范化策略集;
比对所述规范化策略集与所述标准策略集,确定区别于所述标准策略集的差异策略。
3.根据权利要求2所述的基于沙盒的防火墙实现方法,其特征在于,所述根据所述应用在使用过程中的所述用户使用习惯,以规范生成所述规范化策略集的步骤具体包括:
根据所述应用的IP地址访问记录中符合预设访问频率的IP地址,在所述应用沙盒防火墙中规范生成所述规范化策略集。
4.根据权利要求1所述的基于沙盒的防火墙实现方法,其特征在于,所述根据对来自各个应用的若干所述差异策略进行归类划分,获得所述各个应用的所述差异策略共有的共性策略的步骤具体包括:
定期获取来自至少一所述用户终端的各个应用的若干所述差异策略;
通过对若干所述差异策略进行归类划分,查找规范相同的所述共性策略。
5.根据权利要求1所述的基于沙盒的防火墙实现方法,其特征在于,所述将所述共性策略更新至所述沙盒模板中的步骤具体包括:
将所述共性策略添加至所述标准策略集,以实现对所述沙盒模板的更新。
6.根据权利要求1所述的基于沙盒的防火墙实现方法,其特征在于,所述将所述共性策略更新至所述沙盒模板中的步骤之后还包括:
向若干目标应用发布更新后的所述沙盒模板,以使所述目标应用基于更新后的所述沙盒模型对所述应用沙盒防火墙进行策略更新。
7.根据权利要求1所述的基于沙盒的防火墙实现方法,其特征在于,所述通过沙盒模板的初始化,以构建防火墙的标准策略集的步骤还包括:
根据所述沙盒模板的初始化,构建所述用户终端的系统预装应用的虚拟沙盒防火墙。
8.一种基于沙盒的防火墙实现系统,其特征在于,包括有:
初始化单元,用于通过沙盒模板的初始化,以构建防火墙的标准策略集;其中,所述标准策略集中包含着若干条标准策略,且所述标准策略包含有:IP协议类型、IP地址、端口以及访问许可;
实例孵化单元,用于在用户终端检测到应用安装完成时,创建基于所述沙盒模板实例化的应用沙盒防火墙;
差异策略单元,用于根据所述应用的用户使用习惯以生成规范化策略集,并确定所述规范化策略集中区别于所述标准策略集的差异策略;其中,所述用户使用习惯为所述应用产生的IP地址访问记录中达到预设访问频率的IP地址;
策略管理单元,用于根据对来自各个应用的若干所述差异策略进行归类划分,获得所述各个应用的所述差异策略共有的共性策略;
更新单元,用于将所述共性策略更新至所述沙盒模板中。
9.根据权利要求8所述的基于沙盒的防火墙实现系统,其特征在于,所述差异策略单元具体包括:
习惯规范化子单元,用于根据所述应用在使用过程中的用户使用习惯,以规范生成规范化策略集;
比对确定子单元,用于比对所述规范化策略集与所述标准策略集,确定区别于所述标准策略集的差异策略。
10.根据权利要求9所述的基于沙盒的防火墙实现系统,其特征在于,所述习惯规范化子单元具体用于:
根据所述应用的IP地址访问记录中符合预设访问频率的IP地址,在所述应用沙盒防火墙中规范生成所述规范化策略集。
11.根据权利要求8所述的基于沙盒的防火墙实现系统,其特征在于,所述策略管理单元具体包括:
获取子单元,用于定期获取来自至少一所述用户终端的各个应用的若干所述差异策略;
查找子单元,用于通过对若干所述差异策略进行归类划分,查找规范相同的所述共性策略。
12.根据权利要求8所述的基于沙盒的防火墙实现系统,其特征在于,所述更新单元具体用于:
将所述共性策略添加至所述标准策略集,以实现对所述沙盒模板的更新。
13.根据权利要求8所述的基于沙盒的防火墙实现系统,其特征在于,还包括有:
发布单元,用于向若干目标应用发布更新后的所述沙盒模板,以使所述目标应用基于更新后的所述沙盒模型对所述应用沙盒防火墙进行策略更新。
14.根据权利要求8所述的基于沙盒的防火墙实现系统,其特征在于,所述初始化单元还用于:
根据所述沙盒模板的初始化,构建所述用户终端的系统预装应用的虚拟沙盒防火墙。
15.一种存储介质,其特征在于,用于存储一种用于执行权利要求1~7中任意一种所述基于沙盒的防火墙实现方法的计算机程序。
16.一种计算机设备,包括存储介质、处理器以及存储在所述存储介质上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1~7任一项所述基于沙盒的防火墙实现方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111302785.4A CN114051248B (zh) | 2021-11-04 | 2021-11-04 | 基于沙盒的防火墙实现方法、系统、存储介质及计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111302785.4A CN114051248B (zh) | 2021-11-04 | 2021-11-04 | 基于沙盒的防火墙实现方法、系统、存储介质及计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114051248A CN114051248A (zh) | 2022-02-15 |
| CN114051248B true CN114051248B (zh) | 2023-10-03 |
Family
ID=80207308
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111302785.4A Active CN114051248B (zh) | 2021-11-04 | 2021-11-04 | 基于沙盒的防火墙实现方法、系统、存储介质及计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114051248B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
| EP3076326A1 (en) * | 2015-03-31 | 2016-10-05 | Juniper Networks, Inc. | Configuring a sandbox environment for malware testing |
| CN108429774A (zh) * | 2018-06-21 | 2018-08-21 | 蔡梦臣 | 一种防火墙策略集中优化管理方法及其系统 |
| CN112637179A (zh) * | 2020-12-17 | 2021-04-09 | 深信服科技股份有限公司 | 防火墙策略分析方法、装置、设备及存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3262815B1 (en) * | 2015-02-24 | 2020-10-14 | Cisco Technology, Inc. | System and method for securing an enterprise computing environment |
| US10187446B2 (en) * | 2015-03-23 | 2019-01-22 | Sonicwall Inc. | Firewall multi-level security dynamic host-based sandbox generation for embedded URL links |
| US9967210B2 (en) * | 2015-11-17 | 2018-05-08 | Juniper Networks, Inc. | Network device data plane sandboxes for third-party controlled packet forwarding paths |
| WO2018148834A1 (en) * | 2017-02-17 | 2018-08-23 | Royal Bank Of Canada | Web application firewall |
| US11184323B2 (en) * | 2017-09-28 | 2021-11-23 | L3 Technologies, Inc | Threat isolation using a plurality of containers |
| US11223601B2 (en) * | 2017-09-28 | 2022-01-11 | L3 Technologies, Inc. | Network isolation for collaboration software |
| US11210391B2 (en) * | 2018-11-29 | 2021-12-28 | Palo Alto Networks, Inc. | Application-level sandboxing on devices |
-
2021
- 2021-11-04 CN CN202111302785.4A patent/CN114051248B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
| EP3076326A1 (en) * | 2015-03-31 | 2016-10-05 | Juniper Networks, Inc. | Configuring a sandbox environment for malware testing |
| CN108429774A (zh) * | 2018-06-21 | 2018-08-21 | 蔡梦臣 | 一种防火墙策略集中优化管理方法及其系统 |
| CN112637179A (zh) * | 2020-12-17 | 2021-04-09 | 深信服科技股份有限公司 | 防火墙策略分析方法、装置、设备及存储介质 |
Non-Patent Citations (4)
| Title |
|---|
| Micro-firewalls for dynamic network security with distributed intrusion detection;Kai Hwang;《Proceedings IEEE International Symposium on Network Computing and Applications. NCA 2001》;全文 * |
| Simulation of Operation System and Hardware Stripping Based on Sandbox Technology;Zheheng Liang;《Advances in Intelligent Systems and Computing(AISC 1244)》;第633-638页 * |
| 于杰.基于贝叶斯算法的屏蔽策略优化研究及手机助手系统实现.中国优秀硕士学位论文全文数据库 (信息科技辑).2017, I138-317. * |
| 网络主动防御关键技术研究;罗跃斌;《中国博士学位论文全文数据库 (信息科技辑)》;I139-17 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114051248A (zh) | 2022-02-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20150201014A1 (en) | Synchronization of web service endpoints in a multi-master synchronization environment | |
| US11540201B2 (en) | Network awareness of device location | |
| US20120330915A1 (en) | Streaming transaction notifications | |
| US20090049166A1 (en) | Defining and Implementing Policies on Managed Object-Enabled Mobile Devices | |
| WO2018125558A1 (en) | Method and system for analytics-based updating of networked devices | |
| US20200120122A1 (en) | Multi-dimensional periodicity detection of iot device behavior | |
| WO2009021200A1 (en) | Managing and enforcing policies on mobile devices | |
| CA2745683A1 (en) | Selective database replication | |
| US20190230127A1 (en) | Secure publishing for policy updates | |
| CN107864143B (zh) | 自演进的高效的代理资源供应系统及方法 | |
| US11044241B2 (en) | Systems and methods for providing services | |
| US20040221007A1 (en) | Smart control points | |
| CN107181979A (zh) | 一种网络直播监控方法和装置 | |
| CN115685848A (zh) | 基于物模型的设备控制方法及相关设备 | |
| CN114051248B (zh) | 基于沙盒的防火墙实现方法、系统、存储介质及计算机设备 | |
| CN115941224A (zh) | 一种网络访问信息管理方法、装置和计算机可读存储介质 | |
| CN107517236B (zh) | 一种用于物联网的事件处理方法、装置和设备 | |
| CN110602172B (zh) | 一种链路标识生成方法及装置 | |
| US20210173729A1 (en) | Systems and methods of application program interface (api) parameter monitoring | |
| CN110740343A (zh) | 基于视频类型的播放控制实现方法、装置及计算机设备 | |
| CN115811636B (zh) | 一种智能电视上应用后台启动的安全管理方法 | |
| KR20130133237A (ko) | 분류된 데이터를 확장된 콘텐츠 계층을 이용해 노출 | |
| CN113259768B (zh) | 管理机顶盒中apk的方法、系统与介质 | |
| CN115473806A (zh) | 资源下载控制方法、装置、电子设备和计算机可读介质 | |
| CN113986238A (zh) | 应用协同方法、装置、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |