CN114244555B - 一种安全策略的调整方法 - Google Patents

一种安全策略的调整方法 Download PDF

Info

Publication number
CN114244555B
CN114244555B CN202111302318.1A CN202111302318A CN114244555B CN 114244555 B CN114244555 B CN 114244555B CN 202111302318 A CN202111302318 A CN 202111302318A CN 114244555 B CN114244555 B CN 114244555B
Authority
CN
China
Prior art keywords
access
path
address
security policy
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111302318.1A
Other languages
English (en)
Other versions
CN114244555A (zh
Inventor
马勇
王栩
申大伟
唐培全
李�杰
王晓磊
王志翔
刘晓雨
刘彩虹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huaneng Information Technology Co Ltd
Original Assignee
Huaneng Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huaneng Information Technology Co Ltd filed Critical Huaneng Information Technology Co Ltd
Priority to CN202111302318.1A priority Critical patent/CN114244555B/zh
Publication of CN114244555A publication Critical patent/CN114244555A/zh
Application granted granted Critical
Publication of CN114244555B publication Critical patent/CN114244555B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及电网工程技术领域,公开了一种安全策略的调整方法,获取待访问网页的地址,调用访问日志,提取访问日志中所有与目的地IP地址相关的访问记录,从所述的访问记录中提取出所有可行的访问路径,所述的可行的访问路径指的是能够从源IP地址处到达目的地IP地址的网络路径,此处将该网络路径定义为安全网络路径,提取上述安全网络路径,并统计出不同的所述的安全网络路径在访问记录中出现的频率,将出现频率最高的安全网络路径定义为该目的地IP地址的安全策略路径,并将其录入防火墙的安全策略中,在后续访问过程中该安全策略路径将作为访问目的地IP地址的唯一访问路径,从而达到安全策略能够跟随使用环境进行实时调整的效果。

Description

一种安全策略的调整方法
技术领域
本发明涉及网络安全技术领域,具体涉及一种安全策略的调整方法。
背景技术
互联网(internet),又称国际网络,是指网络与网络之间所串连成的庞大网络,这些网络以一组通用的协议相连,形成逻辑上的单一巨大国际网络,开始于1969年。它与万维网(WWW)不同,其可以提供广泛的信息资源、点对点网络、文件共享以及IP电话服务等。而在日常使用互联网的过程中,需要使用防火墙来保证其网络环境的安全性。防火墙(Firewall),又称防护墙、火墙,是由吉尔·舍伍德于1993年发明并引入国际互联网的网络安全系统。其功能主要包括及时发现并处理计算机网络运行时潜在的安全风险、数据传输等问题,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络正常运行。
为了应对不同的使用场景,防火墙内部通常都会设置有多组安全策略。而通过使用人员进行操作,可以人为配置安全策略,从而限定计算机的访问权限。但是这种人为配置安全策略的方式,常常会因为操作人员的认识局限性而导致判断错误,或者无法针对快速切换的使用场景做出相应的改变,从而使得安全策略配置出现延迟。
发明内容
本发明的目的在于提供一种安全策略的调整方法,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:
一种安全策略的调整方法,所述的方法包括:
取待访问网页的地址,此处的地址指的是将要访问的目的地IP地址;
调用访问日志,提取访问日志中所有与目的地IP地址相关的访问记录,从所述的访问记录中提取出所有可行的访问路径,所述的可行的访问路径指的是能够从源IP地址处到达目的地IP地址的网络路径,此处将该网络路径定义为安全网络路径;
提取上述安全网络路径,并统计出不同的所述的安全网络路径在访问记录中出现的频率,将出现频率最高的安全网络路径定义为该目的地IP地址的安全策略路径,并将其录入防火墙的安全策略中,在后续访问过程中该安全策略路径将作为访问目的地IP地址的唯一访问路径。
6、作为本发明进一步的方案,当获取到待访问的目的地IP地址和访问日志后,无法在访问日志中提出与目的地IP地址相关的访问记录时,通过如下步骤取得该目的地IP地址的安全策略路径:
提取所有能够从源IP地址处到达目的地IP地址的安全网络路径;
设定多个虚拟IP地址,通过这些虚拟IP地址同时经过不同的可行网络途径访问目的地IP地址,所述的虚拟IP地址与安全网络路径一一对应,并且每次访问完成之后结束该次访问历程并再次重复访问;
提取一定时间间隔内上述访问过程中产生的访问记录,统计出不同的所述的安全网络路径在访问记录中出现的频率,将出现频率最高的安全网络路径定义为该目的地IP地址的安全策略路径。
作为本发明进一步的方案,还设置有数据库,所述的数据库中存放有源IP地址处到达目的地IP地址的所有网络路径,当网络无法通过安全策略中的安全策略路径正确访问目的地IP地址时,则会对所述的安全策略路径进行替换,其具体步骤如下:
提取属于该目的地IP地址的除安全策略路径之外的所有安全网络路径,并生成数据库用于存放上述的安全网络路径;
按照不同的安全网络路径出现的频率进行分级,其中出现频率高的安全网络路径的优先级大于出现频率低的安全网络路径;
当网络无法通过安全策略中的安全策略路径正确访问目的地IP地址时,提取数据库中优先级最高的安全网络路径,并将其与安全策略中的安全策略路径进行替换,成为新的安全策略路径,删除原先的安全策略路径。
作为本发明进一步的方案,当网络无法通过安全策略中的安全策略路径正确访问目的地IP地址,将数据库中优先级最高的安全网络路径与安全策略中的安全策略路径进行替换后,将所述的安全网络路径从数据库中删除,当多次进行替换而导致数据库中的安全网络路径全部被删除时,将认为其等同于无法在访问日志中提出与目的地IP地址相关的访问记录的情况,并进行与该情况下相同的操作,重新录入安全网络路径。
作为本发明的进一步方案,在提取访问记录中的安全网络路径是会同时提取其响应时间,所述的响应时间指的是从所述的安全网络路径从源IP地址处到达目的地IP地址时所花费的时间。
作为本发明进一步的方案,提取访问记录中的安全网络路径的响应时间后,会将多条响应时间进行求和并算出平均数,所述的平均数即为所述的安全网络路径的标准响应时间,以所述的标准响应时间为基础设定一个参数,将该参数定义为极限响应时间,所述的极限响应时间等于标准响应时间乘以偏差系数,所述的偏差系数为常数。
作为本发明进一步的方案,当通过安全策略路径访问目的地IP地址的同时会开始计时,当到达后目的地IP地址后将本次访问所需要的时间与该安全策略路径的标准响应时间进行比对,如果访问时间小于或等于标准响应时间,则本次访问为安全访问;如果访问时间大于标准响应时间但小于或等于极限响应时间,则本次访问为风险访问。
作为本发明进一步的方案,当访问目的地IP地址时,出现风险访问的频率超过所设定的阈值时,将通过数据库中优先级最高的安全网络路径对目的地IP地址时进行访问,如果该次访问为安全访问,则将该安全网络路径与该目的地IP地址的安全策略路径进行替换,原先的安全策略路径存储至数据库中并继承所述的安全网络路径的优先级。
作为本发明进一步的方案,记录访问过程访问时间超过极限响应时间的次数,当访问时间超过极限响应时间的次数超过设定阈值时,舍弃该安全策略路径,并将数据库优先级最高的安全网络路径与该安全策略进行替换,而原先的安全策略路径将被定义为危险网络路径,并不再录入数据库中和设置为安全策略路径。
与现有技术相比,本发明的有益效果是:通过设置上述的数据库可以收录所有能够从源IP地址处到达目的地IP地址的网络路径,并通过后续的比对和筛选,来为这些网络路径进行优先级划分,设定最优方案为安全策略路径,并在后续访问的过程中优先通过安全策略路径到达目的地IP地址,并且当原设定的安全策略路径在使用场景发生变化而无法成为源IP地址处到达目的地IP地址的最优方案,可以自动将数据库中的其他网络路径与安全策略路径进行替换,从而保证所述的安全策略能够跟随使用环境进行实时调整。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中的一些实施例。
图1为本发明实施例提供的适用于本发明实施例的一种安全策略的调整方法的流程示意图。
图2为本发明一种优选的实施例中提供的一种获得目的地IP地址的安全策略路径的流程示意图。
图3为本发明一种优选的实施例中提供的安全策略路径替换的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明,若本发明实施例中有方向性指示(诸如上、下、左、右、前、后......),则其仅用于解释在某一特定姿态下各部件之间的相对位置关系、运动情况等,如果该特定姿态发生改变时,则该方向性指示也相应地随之改变。
另外,若在本发明中涉及“第一”、“第二”等的描述,则其仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
以下结合具体实施例对本发明的具体实现进行详细描述:
为了应对不同的使用场景,防火墙内部通常都会设置有多组安全策略。而通过使用人员进行操作,可以人为配置安全策略,从而限定计算机的访问权限。但是这种人为配置安全策略的方式,常常会因为操作人员的认识局限性而导致判断错误,或者无法针对快速切换的使用场景做出相应的改变,从而使得安全策略配置出现延迟。
在本实施例中,获取待访问网页的地址;服调用访问日志,提取访问日志中所有与目的地IP地址相关的访问记录,从所述的访问记录中提取出所有可行的访问路径;提取上述安全网络路径,并统计出不同的所述的安全网络路径在访问记录中出现的频率,将出现频率最高的安全网络路径定义为该目的地IP地址的安全策略路径的方式来确定最佳访问方式。通过设置上述的数据库可以收录所有能够从源IP地址处到达目的地IP地址的网络路径,并通过后续的比对和筛选,来为这些网络路径进行优先级划分,设定最优方案为安全策略路径,并在后续访问的过程中优先通过安全策略路径到达目的地IP地址,并且当原设定的安全策略路径在使用场景发生变化而无法成为源IP地址处到达目的地IP地址的最优方案,可以自动将数据库中的其他网络路径与安全策略路径进行替换,从而保证所述的安全策略能够跟随使用环境进行实时调整。
实施例1
图1示出了本发明中大数据采集方法的的实现流程,该大数据采集方法应用于能够实时连接互联网的设备,该设备可以是手机、平板电脑和计算机等可以通信的设备,此处不做具体限定,所述的大数据采集方法详述如下:
步骤S100,获取待访问网页的地址,此处的地址指的是将要访问的目的地IP地址;
步骤S200,调用访问日志,提取访问日志中所有与目的地IP地址相关的访问记录,从所述的访问记录中提取出所有可行的访问路径,所述的可行的访问路径指的是能够从源IP地址处到达目的地IP地址的网络路径,此处将该网络路径定义为安全网络路径;
步骤S300,提取上述安全网络路径,并统计出不同的所述的安全网络路径在访问记录中出现的频率,将出现频率最高的安全网络路径定义为该目的地IP地址的安全策略路径,并将其录入防火墙的安全策略中,在后续访问过程中该安全策略路径将作为访问目的地IP地址的唯一访问路径。
在本发明实施例中,所述的IP地址(Internet Protocol Address),全称为网际协议地址,是一种在Internet上的给主机编址的方式。它是IP协议提供的一种统一的地址格式,常见的IP地址分为IPv4与IPv6两大类,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。IP是英文Internet Protocol的缩写,意思是“网络之间互连的协议”,也就是为计算机网络相互连接进行通信而设计的协议。在因特网中,它是能使连接到网上的所有计算机网络实现相互通信的一套规则,规定了计算机在因特网上进行通信时应当遵守的规则。任何厂家生产的计算机系统,只要遵守IP协议就可以与因特网互连互通。正是因为有了IP协议,因特网才得以迅速发展成为世界上最大的、开放的计算机通信网络。因此,IP协议也可以叫做“因特网协议”。IP地址被用来给Internet上的电脑一个编号。大家日常见到的情况是每台联网的PC上都需要有IP地址,才能正常通信。我们可以把“个人电脑”比作“一台电话”,那么“IP地址”就相当于“电话号码”,而Internet中的路由器,就相当于电信局的“程控式交换机”。
另外值得注意的是,防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
另外,在图2中示出了本发明实施例中当获取到待访问的目的地IP地址和访问日志后,无法在访问日志中提出与目的地IP地址相关的访问记录时,取得该目的地IP地址的安全策略路径的具体步骤:
步骤S101,提取所有能够从源IP地址处到达目的地IP地址的安全网络路径;
步骤S102,设定多个虚拟IP地址,通过这些虚拟IP地址同时经过不同的可行网络途径访问目的地IP地址,所述的虚拟IP地址与安全网络路径一一对应,并且每次访问完成之后结束该次访问历程并再次重复访问;
步骤S103,提取一定时间间隔内上述访问过程中产生的访问记录,统计出不同的所述的安全网络路径在访问记录中出现的频率,将出现频率最高的安全网络路径定义为该目的地IP地址的安全策略路径。
本发明实施例中,可以理解的是,网络地址非常多,服务器并不一定访问过所有的IP地址,因此当目的地IP地址在访问记录中没有出现过的情况也是有的很大的概率发生,在这种情况下就无法通过搜索访问记录来确定该目的地IP地址的安全策略路径,因此需要通过搜索所有能够从IP地址处到达目的地IP地址的安全网络路径,并通过这些安全网络路径来访问目的地IP地址,从而达到采样的目的,而其中在访问目的地IP地址是为了确保自身的网络安全,需要事先设定虚拟IP地址,通过虚拟IP地址来访问目的地IP地址,虚拟IP地址(VIP)是一个不与特定计算机或一个计算机中的网络接口卡(NIC)相连的IP地址。数据包被发送到这个VIP地址,但是所有的数据还是经过真实的网络接口。VIPs大部分用于连接冗余;一个VIP地址也可能在一台计算机或NIC发生故障时可用,交由另一个可选计算机或NIC响应连接。虚拟IP地址的例子如:一个Loopback(无电路IP地址)作为不与在主机或路由器中任何一个特定接口(或电路)相关的IP地址。
而图3示出了本发明另一个优选的实施例,其中设置有数据库,所述的数据库中存放有源IP地址处到达目的地IP地址的所有网络路径,当网络无法通过安全策略中的安全策略路径正确访问目的地IP地址时,则会对所述的安全策略路径进行替换,其具体步骤如下:
步骤S201,提取属于该目的地IP地址的除安全策略路径之外的所有安全网络路径,并生成数据库用于存放上述的安全网络路径;
步骤S202,按照不同的安全网络路径出现的频率进行分级,其中出现频率高的安全网络路径的优先级大于出现频率低的安全网络路径;
步骤S203,当网络无法通过安全策略中的安全策略路径正确访问目的地IP地址时,提取数据库中优先级最高的安全网络路径,并将其与安全策略中的安全策略路径进行替换,成为新的安全策略路径,删除原先的安全策略路径。
在本发明另一个优选的实施例,当网络无法通过安全策略中的安全策略路径正确访问目的地IP地址,将数据库中优先级最高的安全网络路径与安全策略中的安全策略路径进行替换后,将所述的安全网络路径从数据库中删除,当多次进行替换而导致数据库中的安全网络路径全部被删除时,将认为其等同于无法在访问日志中提出与目的地IP地址相关的访问记录的情况,并进行与该情况下相同的操作,重新录入安全网络路径。
在本发明另一个优选的实施例,在提取访问记录中的安全网络路径是会同时提取其响应时间,所述的响应时间指的是从所述的安全网络路径从源IP地址处到达目的地IP地址时所花费的时间。
在上述实施例中,提取访问记录中的安全网络路径的响应时间后,会将多条响应时间进行求和并算出平均数,所述的平均数即为所述的安全网络路径的标准响应时间,以所述的标准响应时间为基础设定一个参数,将该参数定义为极限响应时间,所述的极限响应时间等于标准响应时间乘以偏差系数,所述的偏差系数为常数。
值得注意的是,当通过安全策略路径访问目的地IP地址的同时会开始计时,当到达后目的地IP地址后将本次访问所需要的时间与该安全策略路径的标准响应时间进行比对,如果访问时间小于或等于标准响应时间,则本次访问为安全访问;如果访问时间大于标准响应时间但小于或等于极限响应时间,则本次访问为风险访问。
可以理解的是,当访问目的地IP地址时,出现风险访问的频率超过所设定的阈值时,将通过数据库中优先级最高的安全网络路径对目的地IP地址时进行访问,如果该次访问为安全访问,则将该安全网络路径与该目的地IP地址的安全策略路径进行替换,原先的安全策略路径存储至数据库中并继承所述的安全网络路径的优先级。
而在本发明另一个优选的实施例中,记录访问过程访问时间超过极限响应时间的次数,当访问时间超过极限响应时间的次数超过设定阈值时,舍弃该安全策略路径,并将数据库优先级最高的安全网络路径与该安全策略进行替换,而原先的安全策略路径将被定义为危险网络路径,并不再录入数据库中和设置为安全策略路径。
所述一种安全策略的调整方法所能实现的功能均由计算机设备完成,所述计算机设备包括一个或多个处理器和一个或多个存储器,所述一个或多个存储器中存储有至少一条程序代码,所述程序代码由所述一个或多个处理器加载并执行以实现所述电网工程设计单位管理方法的功能。
处理器从存储器中逐条取出指令、分析指令,然后根据指令要求完成相应操作,产生一系列控制命令,使计算机各部分自动、连续并协调动作,成为一个有机的整体,实现程序的输入、数据的输入以及运算并输出结果,这一过程中产生的算术运算或逻辑运算均由运算器完成;所述存储器包括只读存储器(Read-Only Memory,ROM),所述只读存储器用于存储计算机程序,所述存储器外部设有保护装置。
示例性的,计算机程序可以被分割成一个或多个模块,一个或者多个模块被存储在存储器中,并由处理器执行,以完成本发明。一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述计算机程序在终端设备中的执行过程。
本领域技术人员可以理解,上述服务设备的描述仅仅是示例,并不构成对终端设备的限定,可以包括比上述描述更多或更少的部件,或者组合某些部件,或者不同的部件,例如可以包括输入输出设备、网络接入设备、总线等。
所称处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,上述处理器是上述终端设备的控制中心,利用各种接口和线路连接整个用户终端的各个部分。
上述存储器可用于存储计算机程序和/或模块,上述处理器通过运行或执行存储在存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现上述终端设备的各种功能。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如信息采集模板展示功能、产品信息发布功能等)等;存储数据区可存储根据泊位状态显示系统的使用所创建的数据(比如不同产品种类对应的产品信息采集模板、不同产品提供方需要发布的产品信息等)等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例系统中的全部或部分模块/单元,也可以通过计算机程序来指令相关的硬件来完成,上述的计算机程序可存储于计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个系统实施例的功能。其中,计算机程序包括计算机程序代码,计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括:能够携带计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random AccessMemory)、电载波信号、电信信号以及软件分发介质等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (8)

1.一种安全策略的调整方法,其特征在于,所述的方法包括:
获取待访问网页的地址,此处的地址指的是将要访问的目的地IP地址;
调用访问日志,提取访问日志中所有与目的地IP地址相关的访问记录,从所述的访问记录中提取出所有可行的访问路径,所述的可行的访问路径指的是能够从源IP地址处到达目的地IP地址的网络路径,此处将该网络路径定义为安全网络路径;
提取上述安全网络路径,并统计出不同的所述的安全网络路径在访问记录中出现的频率,将出现频率最高的安全网络路径定义为该目的地IP地址的安全策略路径,并将其录入防火墙的安全策略中,在后续访问过程中该安全策略路径将作为访问目的地IP地址的唯一访问路径;
当获取到待访问的目的地IP地址和访问日志后,无法在访问日志中提出与目的地IP地址相关的访问记录时,通过如下步骤取得该目的地IP地址的安全策略路径:
提取所有能够从源IP地址处到达目的地IP地址的安全网络路径;
设定多个虚拟IP地址,通过这些虚拟IP地址同时经过不同的可行网络途径访问目的地IP地址,所述的虚拟IP地址与安全网络路径一一对应,并且每次访问完成之后结束该次访问历程并再次重复访问;
提取一定时间间隔内上述访问过程中产生的访问记录,统计出不同的所述的安全网络路径在访问记录中出现的频率,将出现频率最高的安全网络路径定义为该目的地IP地址的安全策略路径。
2.根据权利要求1所述的一种安全策略的调整方法,其特征在于,还设置有数据库,所述的数据库中存放有源IP地址处到达目的地IP地址的所有网络路径,当网络无法通过安全策略中的安全策略路径正确访问目的地IP地址时,则会对所述的安全策略路径进行替换,其具体步骤如下:
提取属于该目的地IP地址的除安全策略路径之外的所有安全网络路径,并生成数据库用于存放上述的安全网络路径;
按照不同的安全网络路径出现的频率进行分级,其中出现频率高的安全网络路径的优先级大于出现频率低的安全网络路径;
当网络无法通过安全策略中的安全策略路径正确访问目的地IP地址时,提取数据库中优先级最高的安全网络路径,并将其与安全策略中的安全策略路径进行替换,成为新的安全策略路径,删除原先的安全策略路径。
3.根据权利要求2所述的一种安全策略的调整方法,其特征在于,当网络无法通过安全策略中的安全策略路径正确访问目的地IP地址,将数据库中优先级最高的安全网络路径与安全策略中的安全策略路径进行替换后,将所述的安全网络路径从数据库中删除,当多次进行替换而导致数据库中的安全网络路径全部被删除时,将认为其等同于无法在访问日志中提出与目的地IP地址相关的访问记录的情况,并进行与该情况下相同的操作,重新录入安全网络路径。
4.根据权利要求1-3任一所述的一种安全策略的调整方法,其特征在于,在提取访问记录中的安全网络路径是会同时提取其响应时间,所述的响应时间指的是从所述的安全网络路径从源IP地址处到达目的地IP地址时所花费的时间。
5.根据权利要求4所述的一种安全策略的调整方法,其特征在于,提取访问记录中的安全网络路径的响应时间后,会将多条响应时间进行求和并算出平均数,所述的平均数即为所述的安全网络路径的标准响应时间,以所述的标准响应时间为基础设定一个参数,将该参数定义为极限响应时间,所述的极限响应时间等于标准响应时间乘以偏差系数,所述的偏差系数为常数。
6.根据权利要求5所述的一种安全策略的调整方法,其特征在于,当通过安全策略路径访问目的地IP地址的同时会开始计时,当到达后目的地IP地址后将本次访问所需要的时间与该安全策略路径的标准响应时间进行比对,如果访问时间小于或等于标准响应时间,则本次访问为安全访问;如果访问时间大于标准响应时间但小于或等于极限响应时间,则本次访问为风险访问。
7.根据权利要求6所述的一种安全策略的调整方法,其特征在于,当访问目的地IP地址时,出现风险访问的频率超过所设定的阈值时,将通过数据库中优先级最高的安全网络路径对目的地IP地址时进行访问,如果该次访问为安全访问,则将该安全网络路径与该目的地IP地址的安全策略路径进行替换,原先的安全策略路径存储至数据库中并继承所述的安全网络路径的优先级。
8.根据权利要求7所述的一种安全策略的调整方法,其特征在于,记录访问过程访问时间超过极限响应时间的次数,当访问时间超过极限响应时间的次数超过设定阈值时,舍弃该安全策略路径,并将数据库优先级最高的安全网络路径与该安全策略进行替换,而原先的安全策略路径将被定义为危险网络路径,并不再录入数据库中和设置为安全策略路径。
CN202111302318.1A 2021-11-04 2021-11-04 一种安全策略的调整方法 Active CN114244555B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111302318.1A CN114244555B (zh) 2021-11-04 2021-11-04 一种安全策略的调整方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111302318.1A CN114244555B (zh) 2021-11-04 2021-11-04 一种安全策略的调整方法

Publications (2)

Publication Number Publication Date
CN114244555A CN114244555A (zh) 2022-03-25
CN114244555B true CN114244555B (zh) 2024-01-26

Family

ID=80748417

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111302318.1A Active CN114244555B (zh) 2021-11-04 2021-11-04 一种安全策略的调整方法

Country Status (1)

Country Link
CN (1) CN114244555B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115842664A (zh) * 2022-11-23 2023-03-24 紫光云技术有限公司 一种公有云网络流量安全的实现方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101340290A (zh) * 2008-08-27 2009-01-07 张树新 一种内外网间安全传输数据的方法、系统及其传输卡
CN110505262A (zh) * 2018-05-18 2019-11-26 深信服科技股份有限公司 云环境下的动态微分段方法、系统、云服务器及存储介质
CN111277586A (zh) * 2020-01-17 2020-06-12 武汉思普崚技术有限公司 一种防火墙安全策略的调整方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10021117B2 (en) * 2016-01-04 2018-07-10 Bank Of America Corporation Systems and apparatus for analyzing secure network electronic communication and endpoints

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101340290A (zh) * 2008-08-27 2009-01-07 张树新 一种内外网间安全传输数据的方法、系统及其传输卡
CN110505262A (zh) * 2018-05-18 2019-11-26 深信服科技股份有限公司 云环境下的动态微分段方法、系统、云服务器及存储介质
CN111277586A (zh) * 2020-01-17 2020-06-12 武汉思普崚技术有限公司 一种防火墙安全策略的调整方法及装置

Also Published As

Publication number Publication date
CN114244555A (zh) 2022-03-25

Similar Documents

Publication Publication Date Title
CN111819544B (zh) 用于虚拟计算资源的部署前安全分析器服务
CN113169975B (zh) 用于网络微分段和纳分段的安全规则的自动生成
US10623232B2 (en) System and method for determining and forming a list of update agents
CN103607385B (zh) 基于浏览器进行安全检测的方法和装置
EP3646549B1 (en) Firewall configuration manager
EP3788755B1 (en) Accessing cloud resources using private network addresses
CN107948205B (zh) 防火墙策略生成方法、装置、设备及介质
CN108616490A (zh) 一种网络访问控制方法、装置及系统
CN112165455A (zh) 数据访问控制方法、装置、计算机设备和存储介质
EP4012980A1 (en) Application identification method and apparatus, and storage medium
JP2019097133A (ja) 通信監視システム及び通信監視方法
CN111709023A (zh) 一种基于可信操作系统的应用隔离方法及系统
WO2023041039A1 (zh) 基于dns解析的安全访问控制方法、系统、装置及设备
CN113596033A (zh) 访问控制方法及装置、设备、存储介质
CN114244555B (zh) 一种安全策略的调整方法
US10897483B2 (en) Intrusion detection system for automated determination of IP addresses
CN113238923B (zh) 基于状态机的业务行为溯源方法及系统
Zhan et al. CIADL: cloud insider attack detector and locator on multi-tenant network isolation: an OpenStack case study
CN113098852A (zh) 一种日志处理方法及装置
US10057291B1 (en) Comparing networking access control lists
KR101017015B1 (ko) 네트워크 기반 고성능 콘텐츠 보안 시스템 및 방법
CN114157633B (zh) 一种报文转发方法及装置
CN115604103A (zh) 云计算系统的配置方法、装置、存储介质以及电子设备
EP4307615A1 (en) Method and apparatus for deploying network device, and device, system and storage medium
CN105871749A (zh) 一种基于路由器的网络访问控制方法、系统及相关设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant