CN114124575B - 基于态势感知的防火墙acl自动生成方法和存储介质 - Google Patents

基于态势感知的防火墙acl自动生成方法和存储介质 Download PDF

Info

Publication number
CN114124575B
CN114124575B CN202210076347.9A CN202210076347A CN114124575B CN 114124575 B CN114124575 B CN 114124575B CN 202210076347 A CN202210076347 A CN 202210076347A CN 114124575 B CN114124575 B CN 114124575B
Authority
CN
China
Prior art keywords
access control
data packet
firewall
control list
initial
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210076347.9A
Other languages
English (en)
Other versions
CN114124575A (zh
Inventor
戚建淮
刁润
周杰
宋晶
刘建辉
唐娟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Y&D Electronics Information Co Ltd
Original Assignee
Shenzhen Y&D Electronics Information Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Y&D Electronics Information Co Ltd filed Critical Shenzhen Y&D Electronics Information Co Ltd
Priority to CN202210076347.9A priority Critical patent/CN114124575B/zh
Publication of CN114124575A publication Critical patent/CN114124575A/zh
Application granted granted Critical
Publication of CN114124575B publication Critical patent/CN114124575B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于态势感知的防火墙ACL自动生成方法,包括基于基本访问控制需求,构建初始访问控制列表;利用态势感知系统对需要搭建防火墙的网络节点进行流量监控和安全检测以获得数据包统计表单和端口访问控制列表;对所述数据包统计表单进行统计分析以形成访问控制permit语句集;基于所述初始访问控制列表、所述数据包统计表单、所述端口访问控制列表和所述访问控制permit语句集生成防火墙访问控制列表。本发明还涉及一种存储介质。本发明无需人为了解复杂网络拓扑结构,节约人力和财力,降低了访问控制列表生成难度,同时避免了人为疏漏产生的错误。

Description

基于态势感知的防火墙ACL自动生成方法和存储介质
技术领域
本发明涉及信息技术领域,更具体地说,涉及一种基于态势感知的防火墙访问控制列表(Access Control Lists,ACL)自动生成方法和存储介质。
背景技术
现有的防火墙访问控制列表是由网络安全专员编写,这需要网络安全专员对业务流程和网络拓扑结构有详细的了解,对于大型的企业和机构业务流程和网络拓扑结构都是十分庞杂的,做全面的了解和统计需要耗费大量的人力和物力。另一方面,人为的编写难免会出现疏漏,而这样的疏漏往往就会成为黑客进行网络攻击的跳板。
并且随着信息技术的发展,网络攻击行为越发频繁,同时网络拓扑结构也变得越来越复杂。在网络拓扑结构发生变化,或新增防火墙时,想要人为的掌握网络节点所有的数据流动变得十分困难,这更增加了防火墙访问控制列表的编写的阻碍。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种基于态势感知的防火墙ACL自动生成方法和存储介质,通过利用态势感知平台、统计网络节点通过的数据包信息,进行数据筛选和统计分析,从而自动生成防火墙访问控制列表,因此无需人为了解复杂网络拓扑结构,节约人力和财力,降低了访问控制列表生成难度,同时避免了人为疏漏产生的错误。
本发明解决其技术问题所采用的技术方案是:构造一种基于态势感知的防火墙ACL自动生成方法,包括以下步骤:
S1、基于基本访问控制需求,构建初始访问控制列表;
S2、利用态势感知系统对需要搭建防火墙的网络节点进行流量监控和安全检测以获得数据包统计表单和端口访问控制列表;
S3、对所述数据包统计表单进行统计分析以形成访问控制permit语句集;
S4、基于所述初始访问控制列表、所述数据包统计表单、所述端口访问控制列表和所述访问控制permit语句集生成防火墙访问控制列表。
在本发明所述的基于态势感知的防火墙ACL自动生成方法中,所述步骤S2包括以下步骤:
S21、在一个或者多个完整的工作周期内,利用所述态势感知系统统计通过所述网络节点的数据包信息以生成初始数据包统计表单,所述初始数据包统计表单包括初始进入数据包统计表单和初始离开数据包统计表单;
S22、根据现有的网络攻击库信息对端口进行访问限制并利用所述态势感知系统进行安全检测,以构建端口访问控制表;
S23、删除所述初始数据包统计表单中无法通过所述态势感知系统的安全检测的数据包条目和所述初始访问控制列表中已存在的数据包条目,然后对所述初始数据包统计表单重新进行排序以生成数据包统计表单。
在本发明所述的基于态势感知的防火墙ACL自动生成方法中,所述步骤S23包括以下步骤:
S231、删除所述初始数据包统计表单中无法通过所述态势感知系统的安全检测的数据包条目和所述初始访问控制列表中已存在的数据包条目;
S232、记录所述初始访问控制列表中每条语句的命中数目,得到包含所述命中数目的初始访问控制列表;
S233、对所述初始数据包统计表单按照源IP地址、目的IP地址、源端口、目的端口、通信协议依次进行升序排列,得到所述数据包统计表单,所述数据包统计表单包括进入数据包统计表单和离开数据包统计表单。
在本发明所述的基于态势感知的防火墙ACL自动生成方法中,在所述步骤S21中,分别对进出网络节点的数据包进行统计,将源IP地址、目的IP地址、源端口、目的端口、通信协议完全相同的数据包视为同一类型,并累计所有类型数据包的数量,得到所述初始进入数据包统计表单和所述初始离开数据包统计表单:
Figure DEST_PATH_IMAGE001
其中,
Figure 417737DEST_PATH_IMAGE002
表示某一种进入网络节点的数据包类型,
Figure DEST_PATH_IMAGE003
表示进入网络节点的i类型数据包数量,K表示进入网络节点的数据包类型数量;
Figure 881079DEST_PATH_IMAGE004
表示某一种离开网络节点的数据包类型,
Figure DEST_PATH_IMAGE005
表示离开网络节点的i类型数据包数量,L表示离开网络节点的数据包类型数量。
在本发明所述的基于态势感知的防火墙ACL自动生成方法中,所述步骤S3包括以下步骤:
S31、按照设定的IP地址范围将所述数据包统计表单中的IP地址分为三类;
S32、定义
Figure 959893DEST_PATH_IMAGE006
为描述数据包的源IP地址、目的IP地址、源端口、目的端口、通信协议的向量,且定义设定范围内的数据包数量为n,其中
Figure DEST_PATH_IMAGE007
其中U表示所述设定范围;
S33、选择所述数据包统计表单中n i 为最大值的数据包条目对所述数据包统计表单进行统计分析以形成初始访问控制permit语句集;
S34、基于防火墙进出口参考访问控制列表语句数融合所述初始访问控制permit语句集以生成所述访问控制permit语句集。
在本发明所述的基于态势感知的防火墙ACL自动生成方法中,所述步骤S33包括以下步骤:
S331、选择所述数据包统计表单中n i 为最大值的数据包条目作为基准,将n分别对
Figure 785767DEST_PATH_IMAGE008
做偏导,直至
Figure DEST_PATH_IMAGE009
以确定
Figure 291835DEST_PATH_IMAGE010
的范围
Figure DEST_PATH_IMAGE011
;其中,
Figure 39211DEST_PATH_IMAGE012
表示
Figure DEST_PATH_IMAGE013
取到的定值;
S332、通过范围集合
Figure 656137DEST_PATH_IMAGE014
,构建访问控制permit语句
Figure DEST_PATH_IMAGE015
,并记录其命中数
Figure 8621DEST_PATH_IMAGE016
Figure DEST_PATH_IMAGE017
其中,
Figure 279065DEST_PATH_IMAGE018
Figure DEST_PATH_IMAGE019
表示访问控制permit语句的数目;
S333、在所述数据包统计表单删除改语句命中的所有数据包条目;
S334、重复执行步骤S331-S333直至所述数据包统计表单中的全部数据包条目均被命中,并基于所述访问控制permit语句和命中数形成初始访问控制permit语句集。
在本发明所述的基于态势感知的防火墙ACL自动生成方法中,所述步骤S34包括以下步骤:
S341、设定所述防火墙进出口参考访问控制列表语句数分别为
Figure 717000DEST_PATH_IMAGE020
Figure DEST_PATH_IMAGE021
;取整所述防火墙进出口参考访问控制列表语句数获得单一语句参考命中数为
Figure 872038DEST_PATH_IMAGE022
Figure DEST_PATH_IMAGE023
S342、将所述初始访问控制permit语句集中所有命中数小于
Figure 344607DEST_PATH_IMAGE024
Figure DEST_PATH_IMAGE025
的permit语句进行融合,得到所述访问控制permit语句集。
在本发明所述的基于态势感知的防火墙ACL自动生成方法中,所述步骤S4包括以下步骤:
S41、将所述初始访问控制列表和所述访问控制permit语句集放在一起,按命中次数由大到小重新排列形成初始防火墙访问控制列表;
S42、将所述端口访问控制表放在所述初始防火墙访问控制列表之后,形成所述防火墙访问控制列表。
在本发明所述的基于态势感知的防火墙ACL自动生成方法中,进一步包括以下步骤:
S5、对所述防火墙访问控制列表进行冲突和冗余检测,然后将其写入防火墙中。
本发明解决其技术问题采用的另一技术方案是,构造一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现所述的基于态势感知的防火墙ACL自动生成方法。
本发明通过态势感知平台,通过数据统计的方法统计网络节点通过的数据包信息,不需要过多地关注业务流程和网络拓扑结构,节省了人力和物力,同时降低了访问控制列表构建的难度,根据网络节点的数据统计结果具有实时性,不会出现人为疏漏。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明的基于态势感知的防火墙ACL自动生成方法的优选实施例的流程图;
图2是本发明的基于态势感知的防火墙ACL自动生成方法的优选实施例的数据包统计表单和端口访问控制列表获取步骤的流程图;
图3是本发明的基于态势感知的防火墙ACL自动生成方法的优选实施例的统计分析步骤的流程图;
图4是本发明的基于态势感知的防火墙ACL自动生成方法的优选实施例的防火墙访问控制列表生成步骤的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明涉及一种基于态势感知的防火墙ACL自动生成方法,包括基于基本访问控制需求,构建初始访问控制列表;利用态势感知系统对需要搭建防火墙的网络节点进行流量监控和安全检测以获得数据包统计表单和端口访问控制列表;对所述数据包统计表单进行统计分析以形成访问控制permit语句集;基于所述初始访问控制列表、所述数据包统计表单、所述端口访问控制列表和所述访问控制permit语句集生成防火墙访问控制列表。
态势感知技术的发展,让我们可以全面感知网络中的数据流动和安全隐患,并及时做统计分析、评估和预测,为访问控制列表的自动编写提供了技术条件。本发明利用态势感知系统在需要设置防火墙的网络节点做流量监控,统计通过网络节点数据包的源IP地址、目的IP地址、源端口、目的端口、通信协议等信息,并进行聚类分析。另一方面,考虑现有网络攻击数据库中的信息,对网络攻击常利用的端口进行访问限制。利用态势感知分析结果和数据库信息,自动生成防火墙访问控制列表。因此,本发明通过态势感知平台,通过数据统计的方法统计网络节点通过的数据包信息,不需要过多地关注业务流程和网络拓扑结构,节省了人力和物力,同时降低了访问控制列表构建的难度,根据网络节点的数据统计结果具有实时性,不会出现人为疏漏。
图1是本发明的基于态势感知的防火墙ACL自动生成方法的优选实施例的流程图。如图1所示,在步骤S1中,基于基本访问控制需求,构建初始访问控制列表。在企业网络拓扑发生改变或刚开始实施网络安全方案时,需要在一些关键的网络节点部署防火墙,编写防火墙访问控制列表,实现访问控制。因此,首先可以根据企业的基本访问控制需求,构建初始访问控制列表,完成最基本的访问限制。
例如,根据企业访问控制的基本要求,如对部分区域禁止访问外网或禁止外网访问某些区域等,构建初始访问控制列表。这些列表比较简单,主要是deny语句,只实现简单的访问限制,例如,这些语句可以为
Figure 723636DEST_PATH_IMAGE026
Figure 648867DEST_PATH_IMAGE027
,其中
Figure 702536DEST_PATH_IMAGE028
Figure 29612DEST_PATH_IMAGE029
分别是防火墙进出口的某一条deny语句,
Figure 313963DEST_PATH_IMAGE030
Figure 726489DEST_PATH_IMAGE031
是进出口初始访问控制列表的语句数目。
在步骤S2中,利用态势感知系统对需要搭建防火墙的网络节点进行流量监控和安全检测以获得数据包统计表单和端口访问控制列表。态势感知技术的发展,让我们可以全面感知网络中的数据流动和安全隐患,并及时做统计分析、评估和预测。利用态势感知系统可以对需要建设防火墙的网络节点进行流量监控,统计通过网络节点的数据包的源IP地址、目的IP地址、源端口、目的端口、通信协议等信息。利用态势感知系统的现有病毒库,对病毒常用的攻击端口进行限制,得到一系列端口限制语句。然后,用初始访问控制列表和端口限制语句对数据进行筛选,获得数据包统计表单和端口访问控制列表。
图2是本发明的基于态势感知的防火墙ACL自动生成方法的优选实施例的数据包统计表单和端口访问控制列表获取步骤的流程图。下面参照图2对数据包统计表单和端口访问控制列表的获取过程详细说明如下。
如图2所示,在步骤S21中,在一个或者多个完整的工作周期内,利用所述态势感知系统统计通过所述网络节点的数据包信息以生成初始数据包统计表单,所述初始数据包统计表单包括初始进入数据包统计表单和初始离开数据包统计表单。
举例来说,在一个或者多个完整的工作周期内,分别对进出网络节点的数据包进行统计,将源IP地址、目的IP地址、源端口、目的端口、通信协议完全相同的数据包视为同一类型,并累计所有类型数据包的数量,得到初始进入数据包统计表单和初始离开数据包统计表单
Figure 223330DEST_PATH_IMAGE032
Figure 404912DEST_PATH_IMAGE033
。其中,
Figure 860165DEST_PATH_IMAGE034
表示某一种进入网络节点的数据包类型,
Figure 759987DEST_PATH_IMAGE035
表示进入网络节点的i类型数据包数量,K表示进入网络节点的数据包类型数量;
Figure 653994DEST_PATH_IMAGE004
表示某一种离开网络节点的数据包类型,
Figure 690083DEST_PATH_IMAGE005
表示离开网络节点的i类型数据包数量,L表示离开网络节点的数据包类型数量。在此,KL,K’,L’的取值均为正整数,其可以根据实际进行取值。
在本发明的优选实施例中,统计数据包信息时,考虑到数据流量庞大和计算能力有限,可以选取一个数据信息的提取时间间隔
Figure 316237DEST_PATH_IMAGE036
,合理的选取
Figure 703356DEST_PATH_IMAGE036
可以在保证数据完整性的同时降低计算时间、节约计算资源。
在步骤S22中,根据现有的网络攻击库信息对端口进行访问限制并利用所述态势感知系统进行安全检测,以构建端口访问控制表。举例来说,端口访问控制表的语句由通常deny语句构成,并且只对端口进行限制。可以利用态势感知系统对涉及这些端口的数据包进行安全检测,如果存在数据包通过安全检测,则在端口访问控制表删除该端口的deny语句,最终得到端口访问控制表:
Figure 807578DEST_PATH_IMAGE037
其中
Figure 494911DEST_PATH_IMAGE038
Figure 291966DEST_PATH_IMAGE039
表示防火墙进出口的端口访问控制语句,
Figure 900802DEST_PATH_IMAGE040
Figure 74294DEST_PATH_IMAGE041
表示防火墙进出口的端口访问控制语句的数量。
在步骤S23中,删除所述初始数据包统计表单中无法通过所述态势感知系统的安全检测的数据包条目和所述初始访问控制列表中已存在的数据包条目,然后对所述初始数据包统计表单重新进行排序以生成数据包统计表单。
例如,首先删除所述初始数据包统计表单中无法通过所述态势感知系统的安全检测的数据包条目和所述初始访问控制列表中已存在的数据包条目;记录所述初始访问控制列表中每条语句的命中数目,得到包含所述命中数目的初始访问控制列表;
Figure 819396DEST_PATH_IMAGE042
其中
Figure 787352DEST_PATH_IMAGE043
Figure 883484DEST_PATH_IMAGE044
表示防火墙进出口初始访问控制列表的语句数。
然后,对所述初始数据包统计表单按照源IP地址、目的IP地址、源端口、目的端口、通信协议依次进行升序排列,得到所述数据包统计表单。所述数据包统计表单包括进入数据包统计表单
Figure 329509DEST_PATH_IMAGE045
和离开数据包统计表单
Figure 788172DEST_PATH_IMAGE046
现在返回参照图1,执行步骤S3。在步骤S3中,对所述数据包统计表单进行统计分析以形成访问控制permit语句集。该统计分析过程的优选实施例可以参照图3所示的步骤。
如图3所示,在步骤S31中,按照设定的IP地址范围将所述数据包统计表单中的IP地址分为三类。举例来说,将数据包统计表单中的IP地址分为三类,第一类IP地址范围是1.0.0.1到127.255.255.254,第一段号码是网络号码,后三段号码是本地计算机号码;第二类IP地址范围是128.0.0.1到191.255.255.254,前两段号码是网络号码,后两段号码是本地计算机号码;第三类IP地址范围是192.0.0.1到223.255.255.254,前三段号码是网络号码,最后一段号码是本地计算机号码;在编写访问控制列表时,三类IP地址使用的通配符范围分别为:0.0.0.0-0.255.255.255、0.0.0.0-0.0.255.255、0.0.0.0-0.0.0.255。
在步骤S32中,定义描述数据包的源IP地址、目的IP地址、源端口、目的端口、通信协议的向量和设定范围内的数据包数量。
举例来说,定义
Figure 927029DEST_PATH_IMAGE047
为描述数据包的源IP地址、目的IP地址、源端口、目的端口、通信协议的向量,且定义设定范围内的数据包数量为n,其中
Figure 510458DEST_PATH_IMAGE048
其中U表示所述设定范围;i的取值为1到U之间的正整数。
在步骤S33中,选择所述数据包统计表单中n i 为最大值的数据包条目对所述数据包统计表单进行统计分析以形成初始访问控制permit语句集。
具体的,选择所述数据包统计表单中n i 为最大值的数据包条目作为基准,将n分别对
Figure 760173DEST_PATH_IMAGE049
做偏导,然后逐步从而依次逐步向两端放宽对
Figure 479868DEST_PATH_IMAGE050
的限制,直至
Figure 789626DEST_PATH_IMAGE051
以确定
Figure 860350DEST_PATH_IMAGE052
的范围
Figure 913757DEST_PATH_IMAGE053
;其中,
Figure 753537DEST_PATH_IMAGE054
表示
Figure 765355DEST_PATH_IMAGE055
取到的定值。
在本发明的优选实施例中,可以进一步考虑到,n
Figure 57797DEST_PATH_IMAGE056
都不是连续的,因此,可以根据数据包表单的数据密集程度和态势感知系统的计算性能为每一个
Figure 914894DEST_PATH_IMAGE057
选定合适的步长
Figure 435612DEST_PATH_IMAGE058
,将偏导数表示为
Figure 87173DEST_PATH_IMAGE059
本领域技术人员可以根据实际需要,采用任何已知方法选择这个步长
Figure 132490DEST_PATH_IMAGE060
。特别地,对于三类IP地址需使用的通配符范围:0.0.0.0-0.255.255.255、0.0.0.0-0.0.255.255、0.0.0.0-0.0.0.255,可以逐步放宽对IP地址的限制。
通过范围集合
Figure 527699DEST_PATH_IMAGE014
,构建访问控制permit语句
Figure 810913DEST_PATH_IMAGE061
,并记录其命中数
Figure 898954DEST_PATH_IMAGE062
Figure 165988DEST_PATH_IMAGE017
其中,
Figure 99308DEST_PATH_IMAGE063
Figure 96083DEST_PATH_IMAGE064
表示访问控制permit语句的数目。
随后,在所述数据包统计表单删除改语句命中的所有数据包条目,并且重复执行前述直至所述数据包统计表单中的全部数据包条目均被命中。然后,基于生成的所述访问控制permit语句和命中数形成初始访问控制permit语句集:
Figure 355026DEST_PATH_IMAGE065
其中,
Figure 843777DEST_PATH_IMAGE066
Figure 846368DEST_PATH_IMAGE067
表示访问控制permit语句的数目。
在步骤S34中,基于防火墙进出口参考访问控制列表语句数融合所述初始访问控制permit语句集以生成所述访问控制permit语句集。例如设定所述防火墙进出口参考访问控制列表语句数分别为
Figure 900911DEST_PATH_IMAGE020
Figure 65176DEST_PATH_IMAGE068
;取整所述防火墙进出口参考访问控制列表语句数获得单一语句参考命中数为
Figure 306802DEST_PATH_IMAGE069
Figure 847505DEST_PATH_IMAGE023
Figure 959817DEST_PATH_IMAGE070
其中
Figure 560563DEST_PATH_IMAGE071
是取整函数,K’表示进入网络节点的数据包类型数量,L’表示离开网络节点的数据包类型数量。
将所述初始访问控制permit语句集中所有命中数小于
Figure 23905DEST_PATH_IMAGE024
Figure 368299DEST_PATH_IMAGE025
的permit语句进行融合,得到所述访问控制permit语句集:
Figure 194172DEST_PATH_IMAGE072
现在返回参照图1,执行步骤S4,在步骤S4中,基于所述初始访问控制列表、所述数据包统计表单、所述端口访问控制列表和所述访问控制permit语句集生成防火墙访问控制列表。在该步骤中,按照按语句命中数对初始访问控制列表和数据包信息的访问控制语句从高到低进行排序,再将与数据包信息对比后的端口限制语句放在最后,得到防火墙访问控制列表。该防火墙访问控制列表生成过程的优选实施例可以参照图4所示的步骤。
如图4所示,在步骤S41中,将所述初始访问控制列表和所述访问控制permit语句集放在一起,按命中次数由大到小重新排列形成初始防火墙访问控制列表。即将初始访问控制列表
Figure 700240DEST_PATH_IMAGE073
Figure 916458DEST_PATH_IMAGE074
和所述访问控制permit语句集
Figure 798963DEST_PATH_IMAGE075
Figure 885868DEST_PATH_IMAGE076
放在一起,按命中次数由大到小重新排列形成初始防火墙访问控制列表。
在步骤S42中,将端口访问控制表
Figure 562837DEST_PATH_IMAGE077
Figure 771DEST_PATH_IMAGE078
放在初始防火墙访问控制列表之后,形成所述防火墙访问控制列表。
在本发明的进一步的优选实施例中,还可以对所述防火墙访问控制列表进行冲突和冗余检测,然后将其写入防火墙中。
本发明通过态势感知平台,通过数据统计的方法统计网络节点通过的数据包信息,不需要过多地关注业务流程和网络拓扑结构,节省了人力和物力,同时降低了访问控制列表构建的难度,根据网络节点的数据统计结果具有实时性,不会出现人为疏漏。
本发明还涉及一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序包含能够实现本发明方法的全部特征,当其安装到计算机系统中时或者被处理器执行时,可以实现本发明的基于态势感知的防火墙ACL自动生成方法。本文件中的计算机程序所指的是:可以采用任何程序语言、代码或符号编写的一组指令的任何表达式,该指令组使系统具有信息处理能力,以直接实现特定功能,或在进行下述一个或两个步骤之后实现特定功能:a)转换成其它语言、编码或符号;b)以不同的格式再现。
因此,本发明可以通过硬件、软件或者软、硬件结合来实现。本发明可以在至少一个计算机系统中以集中方式实现,或者由分布在几个互连的计算机系统中的不同部分以分散方式实现。任何可以实现本发明方法的计算机系统或其它设备都是可适用的。常用软硬件的结合可以是安装有计算机程序的通用计算机系统,通过安装和执行程序控制计算机系统,使其按本发明方法运行。
虽然本发明是通过具体实施例进行说明的,本领域技术人员应当明白,在不脱离本发明范围的情况下,还可以对本发明进行各种变换及等同替代。另外,针对特定情形或材料,可以对本发明做各种修改,而不脱离本发明的范围。因此,本发明不局限于所公开的具体实施例,而应当包括落入本发明权利要求范围内的全部实施方式。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (9)

1.一种基于态势感知的防火墙ACL自动生成方法,其特征在于,包括以下步骤:
S1、基于基本访问控制需求,构建初始访问控制列表;
S2、利用态势感知系统对需要搭建防火墙的网络节点进行流量监控和安全检测以获得数据包统计表单和端口访问控制列表;
S3、对所述数据包统计表单进行统计分析以形成访问控制permit语句集;
S4、基于所述初始访问控制列表、所述数据包统计表单、所述端口访问控制列表和所述访问控制permit语句集生成防火墙访问控制列表;
所述步骤S2包括以下步骤:
S21、在一个或者多个完整的工作周期内,利用所述态势感知系统统计通过所述网络节点的数据包信息以生成初始数据包统计表单,所述初始数据包统计表单包括初始进入数据包统计表单和初始离开数据包统计表单;
S22、根据现有的网络攻击库信息对端口进行访问限制并利用所述态势感知系统进行安全检测,以构建端口访问控制表;
S23、删除所述初始数据包统计表单中无法通过所述态势感知系统的安全检测的数据包条目和所述初始访问控制列表中已存在的数据包条目,然后对所述初始数据包统计表单重新进行排序以生成数据包统计表单。
2.根据权利要求1所述的基于态势感知的防火墙ACL自动生成方法,其特征在于,所述步骤S23包括以下步骤:
S231、删除所述初始数据包统计表单中无法通过所述态势感知系统的安全检测的数据包条目和所述初始访问控制列表中已存在的数据包条目;
S232、记录所述初始访问控制列表中每条语句的命中数目,得到包含所述命中数目的初始访问控制列表;
S233、对所述初始数据包统计表单按照源IP地址、目的IP地址、源端口、目的端口、通信协议依次进行升序排列,得到所述数据包统计表单,所述数据包统计表单包括进入数据包统计表单和离开数据包统计表单。
3.根据权利要求1所述的基于态势感知的防火墙ACL自动生成方法,其特征在于,在所述步骤S21中,分别对进出网络节点的数据包进行统计,将源IP地址、目的IP地址、源端口、目的端口、通信协议完全相同的数据包视为同一类型,并累计所有类型数据包的数量,得到所述初始进入数据包统计表单和所述初始离开数据包统计表单:
Figure 403151DEST_PATH_IMAGE001
其中,
Figure 582460DEST_PATH_IMAGE002
表示某一种进入网络节点的数据包类型,
Figure 857583DEST_PATH_IMAGE003
表示进入网络节点的i类型数据包数量,K表示进入网络节点的数据包类型数量;
Figure 501054DEST_PATH_IMAGE004
表示某一种离开网络节点的数据包类型,
Figure 23171DEST_PATH_IMAGE005
表示离开网络节点的i类型数据包数量,L表示离开网络节点的数据包类型数量。
4.根据权利要求1所述的基于态势感知的防火墙ACL自动生成方法,其特征在于,所述步骤S3包括以下步骤:
S31、按照设定的IP地址范围将所述数据包统计表单中的IP地址分为三类;
S32、定义
Figure 752093DEST_PATH_IMAGE006
为描述数据包的源IP地址、目的IP地址、源端口、目的端口、通信协议的向量,且定义设定范围内的数据包数量为n,其中
Figure 830907DEST_PATH_IMAGE007
其中U表示所述设定范围,
Figure 266568DEST_PATH_IMAGE008
表示源IP地址、目的IP地址、源端口、目的端口、通信协议的向量分别为
Figure 38215DEST_PATH_IMAGE006
的升序排列数据包的数量;
S33、选择所述数据包统计表单中n i 为最大值的数据包条目对所述数据包统计表单进行统计分析以形成初始访问控制permit语句集;
S34、基于防火墙进出口参考访问控制列表语句数融合所述初始访问控制permit语句集以生成所述访问控制permit语句集。
5.根据权利要求4所述的基于态势感知的防火墙ACL自动生成方法,其特征在于,所述步骤S33包括以下步骤:
S331、选择所述数据包统计表单中n i 为最大值的数据包条目作为基准,将n分别对
Figure 988853DEST_PATH_IMAGE009
做偏导,直至
Figure 58309DEST_PATH_IMAGE010
以确定
Figure 410793DEST_PATH_IMAGE011
的范围
Figure 353341DEST_PATH_IMAGE012
;其中,
Figure 791276DEST_PATH_IMAGE013
表示
Figure 149576DEST_PATH_IMAGE014
取到的定值;
S332、通过范围集合
Figure 622146DEST_PATH_IMAGE015
,构建访问控制permit语句
Figure 735595DEST_PATH_IMAGE016
,并记录其命中数
Figure 674925DEST_PATH_IMAGE017
Figure 899233DEST_PATH_IMAGE018
其中,
Figure 960730DEST_PATH_IMAGE019
Figure 182764DEST_PATH_IMAGE020
表示访问控制permit语句的数目;
S333、在所述数据包统计表单删除该语句命中的所有数据包条目;
S334、重复执行步骤S331-S333直至所述数据包统计表单中的全部数据包条目均被命中,并基于所述访问控制permit语句和命中数形成初始访问控制permit语句集。
6.根据权利要求4所述的基于态势感知的防火墙ACL自动生成方法,其特征在于,所述步骤S34包括以下步骤:
S341、设定所述防火墙进出口参考访问控制列表语句数分别为
Figure 595290DEST_PATH_IMAGE021
Figure 623289DEST_PATH_IMAGE022
;取整所述防火墙进出口参考访问控制列表语句数获得单一语句参考命中数为
Figure 991823DEST_PATH_IMAGE023
Figure 181496DEST_PATH_IMAGE024
S342、将所述初始访问控制permit语句集中所有命中数小于
Figure 81318DEST_PATH_IMAGE025
Figure 647429DEST_PATH_IMAGE026
的permit语句进行融合,得到所述访问控制permit语句集。
7.根据权利要求1所述的基于态势感知的防火墙ACL自动生成方法,其特征在于,所述步骤S4包括以下步骤:
S41、将所述初始访问控制列表和所述访问控制permit语句集放在一起,按命中次数由大到小重新排列形成初始防火墙访问控制列表;
S42、将所述端口访问控制表放在所述初始防火墙访问控制列表之后,形成所述防火墙访问控制列表。
8.根据权利要求1所述的基于态势感知的防火墙ACL自动生成方法,其特征在于,进一步包括以下步骤:
S5、对所述防火墙访问控制列表进行冲突和冗余检测,然后将其写入防火墙中。
9.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现根据权利要求1-8中任意一项权利要求所述的基于态势感知的防火墙ACL自动生成方法。
CN202210076347.9A 2022-01-24 2022-01-24 基于态势感知的防火墙acl自动生成方法和存储介质 Active CN114124575B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210076347.9A CN114124575B (zh) 2022-01-24 2022-01-24 基于态势感知的防火墙acl自动生成方法和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210076347.9A CN114124575B (zh) 2022-01-24 2022-01-24 基于态势感知的防火墙acl自动生成方法和存储介质

Publications (2)

Publication Number Publication Date
CN114124575A CN114124575A (zh) 2022-03-01
CN114124575B true CN114124575B (zh) 2022-05-10

Family

ID=80361134

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210076347.9A Active CN114124575B (zh) 2022-01-24 2022-01-24 基于态势感知的防火墙acl自动生成方法和存储介质

Country Status (1)

Country Link
CN (1) CN114124575B (zh)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108494810A (zh) * 2018-06-11 2018-09-04 中国人民解放军战略支援部队信息工程大学 面向攻击的网络安全态势预测方法、装置及系统

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2410457A4 (en) * 2009-03-18 2014-04-02 Nec Corp DIRECTIVE CONSTRUCTION AND CONVERSION SYSTEM, DIRECTIVITY DISTRIBUTION SYSTEM AND METHOD AND PROGRAM THEREFOR
CN107276858A (zh) * 2017-08-17 2017-10-20 深信服科技股份有限公司 一种访问关系梳理方法及系统
WO2020140153A1 (en) * 2019-01-04 2020-07-09 Cybernetiq, Inc. Visualizing firewall-permitted network paths for assessing security of network configuration
US11558423B2 (en) * 2019-09-27 2023-01-17 Stealthpath, Inc. Methods for zero trust security with high quality of service
CN112039894B (zh) * 2020-08-31 2023-01-10 北京天融信网络安全技术有限公司 一种网络准入控制方法、装置、存储介质和电子设备
CN112583788B (zh) * 2020-11-03 2022-10-25 惠州市德赛西威智能交通技术研究院有限公司 一种车载防火墙策略智能生成方法及系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108494810A (zh) * 2018-06-11 2018-09-04 中国人民解放军战略支援部队信息工程大学 面向攻击的网络安全态势预测方法、装置及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
一种针对访问控制系统的安全态势感知模型;李琰等;《软件导刊》;20190729(第12期);全文 *

Also Published As

Publication number Publication date
CN114124575A (zh) 2022-03-01

Similar Documents

Publication Publication Date Title
CN111123888B (zh) 一种工控协议测试方法、系统及电子设备和存储介质
US9553845B1 (en) Methods for validating and testing firewalls and devices thereof
EP1832037B1 (en) Template access control lists
US8032529B2 (en) Enhanced bloom filters
US9208438B2 (en) Duplication in decision trees
US8442931B2 (en) Graph-based data search
US20150040142A1 (en) Efficient dfa generation for non-matching characters and character classes in regular expressions
KR20140041391A (ko) 특정 데이터 조합 보호 방법 및 장치
Soldo et al. Optimal source-based filtering of malicious traffic
US10681007B2 (en) String search and matching for gate functionality
CN105825137B (zh) 一种确定敏感数据扩散行为的方法及装置
Hallahan et al. Automated repair by example for firewalls
Brandao et al. Log Files Analysis for Network Intrusion Detection
KR20030062055A (ko) 네트워크 보안 정책의 표현,저장 및 편집 방법
US11184282B1 (en) Packet forwarding in a network device
CN114124575B (zh) 基于态势感知的防火墙acl自动生成方法和存储介质
US9413662B1 (en) Intra-term logical or operation in a network filter
Wakabayashi et al. Traffic-aware access control list reconstruction
US8892492B2 (en) Declarative network access control
CN116633865B (zh) 网络流量控制方法、装置、电子设备及存储介质
Wilson et al. Using grammatical evolution for evolving intrusion detection rules
EP3304852B1 (en) String search and matching for gate functionality
Zhang et al. Attack grammar: A new approach to modeling and analyzing network attack sequences
CN118400200B (zh) 一种安全策略的编译、集中管控、转发并行方法及装置
Khummanee et al. The Policy Mapping Algorithm for High-speed Firewall Policy Verifying.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant