CN114745208A - 一种防火墙访问控制列表的异常检测与修正方法 - Google Patents

Abstract

本发明公开了一种防火墙访问控制列表的异常检测与修正方法，包括：在一个或多个工作周期内防火墙所在网络节点的数据包进行统计，标记每条语句的数据包命中数；根据企业应用场景制定基本访问控制列表，并根据数据包命中数标记基本访问控制列表中每条语句的语句命中数；依据所述语句命中数对所有语句由多到少排序；对排序的所有语句进行相互对比以判断是否存在异常，请对存在异常的语句进行修正。本发明的有益效果：摆脱异常检测和修正对网络管理员的依赖，在节约人力资源的同时也预防人为疏漏所造成的配置错误。

Description

一种防火墙访问控制列表的异常检测与修正方法

技术领域

本发明涉及防火墙访问控制技术领域，更具体地说，涉及一种防火墙访问控制列表的异常检测与修正方法。

背景技术

防火墙访问控制列表在编写完成之后，并非是一成不变的。随着网络结构的变化，业务变更，网络对防火墙访问控制列表的需求也会有相应改变。网络管理员可能会随时对防火墙访问控制列表进行更改，在反复更改的过程中难免会出现很多异常情况，导致防火墙访问控制列表效率降低，增加网络延迟，甚至出现错误地对数据包进行拦截或让原本不应该通过的数据包通过。

现有的防火墙访问控制列表由网络管理人为编写和管控，防火墙在使用的过程中会逐步出现很多不足或语句冲突，如果全靠人为发现和处理需要耗费大量的人力成本，同时也会出现不同程度的疏漏。另一方面，现存一些访问控制列表的异常检测技术，都只能发现访问控制列表中存在的问题，而不能解决问题，最终还是需要网络管理员处理。

发明内容

本发明提供了一种防火墙访问控制列表的异常检测与修正方法，解决现有的防火墙访问控制列表全靠人为发现和处理需要耗费大量的人力成本，同时也会出现不同程度的疏漏的问题。

为解决上述问题，一方面，本发明提供一种防火墙访问控制列表的异常检测与修正方法，包括：

在一个或多个工作周期内防火墙所在网络节点的数据包进行统计，标记每条语句的数据包命中数；

根据企业应用场景制定基本访问控制列表，并根据数据包命中数标记基本访问控制列表中每条语句的语句命中数；

依据所述语句命中数对所有语句由多到少排序；

对排序的所有语句进行相互对比以判断是否存在异常，请对存在异常的语句进行修正。

还包括：

对防火墙访问控制列表中的语句进行形式化描述和标记。

所述对防火墙访问控制列表中的语句进行形式化描述和标记，包括：

将序号为i的语句的源IP地址、目的IP地址、源端口、目的端口及通信协议构成语句集合并将所述语句集合记为L_i；其中，i=1,2,3…；

将序号为i的语句所执行的动作记为A_i；

若L_i∩L_j≠∅且A_i≠A_j，则称序号为i的语句和序号为j的语句相互冲突；其中，j=1,2,3…，i≠j；

若L_i∩L_j≠∅且A_i＝A_j，则称序号为i的语句和序号为j的语句相互冗余。

所述对排序的所有语句进行相互对比以判断是否存在异常，请对存在异常的语句进行修正，包括步骤：

S41、从序号为i的语句开始，依次使序号在i后的语句与第i条语句对比以确定序号为i的语句是否存在异常，并对存在异常的语句进行修正；

S42、使i自加1，重复步骤S41直至i=N-1；其中，初始i=1，N为所有语句的数量。

所述步骤S41包括步骤：

S411、若序号为i的语句与序号为j的语句没有冲突及冗余，则不做任何处理，继续本次遍历；

S412、若序号为i的语句与序号为j的语句出现冗余，依据序号为i的语句与序号为j的语句之间的关系对出现冗余的序号为i的语句与序号为j的语句进行处理；

S413、若序号为i的语句与序号为j的语句出现冲突，依据序号为i的语句与序号为j的语句之间的关系对出现冲突的序号为i的语句与序号为j的语句进行处理。

所述步骤S412包括：

若L_i⊂L_j，则删除序号为i的语句，则令i自减1，N自减1，结束本次遍历；

若L_i⊇L_j，则删除序号为j的语句，令j自减1，N自减1，继续本次遍历；

若L_i-L_i∩L_j≠∅且L_j-L_i∩L_j≠∅，不做任何处理，继续本次遍历。

所述步骤S413包括：

若L_i⊂L_j且序号为i的语句优先于序号为j的语句，不做任何处理，继续本次遍历；

若L_i⊂L_j且序号为j的语句优先于序号为i的语句，则删除序号为i的语句，令i自减1，N自减1，结束本次遍历；

若L_i⊇L_j且序号为i的语句优先于序号为j的语句，则删除序号为j的语句，令j自减1，N自减1，继续本次遍历；

若L_i⊇L_j且序号为j的语句优先于序号为i的语句，则将序号为j的语句移至序号为i的语句之前，令i自加1，继续本次遍历；

若L_i-L_i∩L_j≠∅且L_j-L_i∩L_j≠∅，且序号为i的语句优先于序号为j的语句，不做任何处理，继续本次遍历；

若L_i-L_i∩L_j≠∅且L_j-L_i∩L_j≠∅，且序号为j的语句优先于序号为i的语句，则将序号为i的语句移至序号为j的语句之后，令i自减1，结束本次遍历。

所述步骤S4还包括步骤S44：

S44、设置新的访问控制列表，对列表中的语句进行重新编号以使i=5,10,15⋯，将其重新应用在防火墙中。

还包括：

将基本访问控制列表中与防火墙访问控制列表中不同的语句添加进防火墙访问控制列表，使应被禁止的数据包不被放行，允许通过的数据包不被禁止。

一方面，提供一种计算机可读存储介质，所述存储介质中存储有多条指令，所述指令适于由处理器加载以执行以上所述的一种防火墙访问控制列表的异常检测与修正方法。

本发明的有益效果是：摆脱异常检测和修正对网络管理员的依赖，在节约人力资源的同时也预防人为疏漏所造成的配置错误。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一实施例提供的一种防火墙访问控制列表的异常检测与修正方法的流程图；

图2是本发明一实施例提供的对存在异常的语句进行修正的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个特征。在本发明的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。

在本发明中，“示例性”一词用来表示“用作例子、例证或说明”。本发明中被描述为“示例性”的任何实施例不一定被解释为比其它实施例更优选或更具优势。为了使本领域任何技术人员能够实现和使用本发明，给出了以下描述。在以下描述中，为了解释的目的而列出了细节。应当明白的是，本领域普通技术人员可以认识到，在不使用这些特定细节的情况下也可以实现本发明。在其它实例中，不会对公知的结构和过程进行详细阐述，以避免不必要的细节使本发明的描述变得晦涩。因此，本发明并非旨在限于所示的实施例，而是与符合本发明所公开的原理和特征的最广范围相一致。

本发明提出一种防火墙访问控制列表异常检测与修正算法，首先定义访问控制列表语句冲突和冗余的形式化描述，在一个或多个工作周期内统计每条语句的命中数，删除命中数为零的语句，再根据企业网络安全基本需求构建基本访问控制列表，与防火墙访问控制列表对比后，在防火墙访问控制列表中增加未涉及的语句，最后按命中数对所有语句由大到小排列。对访问控制列表的语句进行相关分析，得到语句间存在的冲突和冗余关系，并对冲突和冗余的语句进行处理，生成新的访问控制语句，重新组合这些语句得到新的访问控制列表。最后将新的访问控制列表写入防火墙。一方面可以检测出访问控制列表存在的异常为网络管理员提供参考，另一方面能自动修正访问控制列表中的问题，生成新的访问控制列表。使网络管理更加智能化，大幅度降低了人力成本，也避免了人为处理可能造成的疏漏。

本发明，从数学上定义了防火墙访问控制列表的冲突和冗余。遍历访问控制列表判别访问控制列表语句中的异常，并作出对应修正解决异常。提供了一种防火墙访问控制列表异常检测和异常修正的一体化解决方案。可以摆脱异常检测和修正对网络管理员的依赖，在节约人力资源的同时也预防人为疏漏所造成的配置错误。

参见图1，图1是本发明一实施例提供的一种防火墙访问控制列表的异常检测与修正方法的流程图，所述防火墙访问控制列表的异常检测与修正方法包括步骤S1-S5：

S1、在一个或多个工作周期内防火墙所在网络节点的数据包进行统计，标记每条语句的数据包命中数。

本实施例中，在一个或多个工作周期内防火墙所在网络节点的数据包进行统计，标记每条语句的数据包命中数。

S2、根据企业应用场景制定基本访问控制列表，并根据数据包命中数标记基本访问控制列表中每条语句的语句命中数。

本实施例中，根据现在企业应用场景，制定一个企业基本访问控制列表，并根据步骤S1中的数据包信息，标记基本访问控制列表中每条语句的命中数。

S3、依据所述语句命中数对所有语句由多到少排序。

本实施例中，按命中数对所有语句由多到少排序，删除命中数为零的语句，设此时访问控制列表的语句数N=N₀。

S4、对排序的所有语句进行相互对比以判断是否存在异常，请对存在异常的语句进行修正。步骤S4包括步骤S41-S42：

S41、从序号为i的语句开始，依次使序号在i后的语句与第i条语句对比以确定序号为i的语句是否存在异常，并对存在异常的语句进行修正；所述步骤S41包括步骤S411-S413：

S411、若序号为i的语句与序号为j的语句没有冲突及冗余，则不做任何处理，继续本次遍历。

本实施例中，对基本访问控制列表进行语法分析，从第i条语句开始，依次遍历后续语句与第i条语句对比，判定是否存在冲突和冗余，并对存在异常的语句进行修正，初始i=1。i语句与j语句没有冲突和冗余，不做任何处理，继续本次遍历。

S412、若序号为i的语句与序号为j的语句出现冲突，依据序号为i的语句与序号为j的语句之间的关系对出现冲突的序号为i的语句与序号为j的语句进行处理；所述步骤S412包括：

若L_i⊂L_j，则删除序号为i的语句，则令i自减1，N自减1，结束本次遍历。

本实施例中，i语句与j语句出现冗余，如果L_i⊂L_j，则删除i语句，令i=i-1，N=N-1，结束本次遍历。

若L_i⊇L_j，则删除序号为j的语句，令j自减1，N自减1，继续本次遍历。

本实施例中，如果L_i⊇L_j，则删除j语句，令j=j-1，N=N-1，继续本次遍历。

若L_i-L_j∩L_j≠∅且L_j-L_j∩L_j≠∅，不做任何处理，继续本次遍历。

本实施例中，如果L_i-L_j∩L_j≠∅且L_j-L_j∩L_j≠∅，这样的冗余消除会增加访问控制列表的复杂程度，将其分为多条语句反而会增加判定时间，因此不做任何处理，继续本次遍历。

S413、若序号为i的语句与序号为j的语句出现冲突，依据序号为i的语句与序号为j的语句之间的关系对出现冲突的序号为i的语句与序号为j的语句进行处理。所述步骤S413包括：

若L_i⊂L_j且序号为i的语句优先于序号为j的语句，不做任何处理，继续本次遍历。

本实施例中，i语句与j语句出现冲突，在遵从基本访问控制列表的前提下采取否定优先。如果L_i⊂L_j，且i语句优先于j语句，标记为i≻j，j语句中的冲突部分会被i语句，不会出现错误，且拆分j语句会产生更多的语句，降低访问控制列表的效率，所以选择不处理，继续本次遍历。

若L_i⊂L_j且序号为j的语句优先于序号为i的语句，则删除序号为i的语句，令i自减1，N自减1，结束本次遍历。

本实施例中，如果L_i⊂L_j，且j≻i，L_i在前，会出现错误的访问控制，则删除i语句，令i=i-1，N=N-1，结束本次遍历。

若L_i⊇L_j且序号为i的语句优先于序号为j的语句，则删除序号为j的语句，令j自减1，N自减1，继续本次遍历。

本实施例中，如果L_i⊇L_j，且i≻j，则删除j语句，令j=j-1,N=N-1，继续本次遍历。

若L_i⊇L_j且序号为j的语句优先于序号为i的语句，则将序号为j的语句移至序号为i的语句之前，令i自加1，继续本次遍历。

本实施例中，如果L_i⊇L_j，且j≻i，则将j语句移至i语句之前，令i=i+1，继续本次遍历。

若L_i-L_j∩L_j≠∅且L_j-L_j∩L_j≠∅，且序号为i的语句优先于序号为j的语句，不做任何处理，继续本次遍历。

本实施例中，如果L_i-L_j∩L_j≠∅且L_j-L_j∩L_j≠∅，且i≻j，语句j中的冲突部分会被i语句屏蔽，不会出现错误，且拆分j语句会产生更多的语句，降低访问控制列表的效率，所以选择不处理，继续本次遍历。

若L_i-L_j∩L_j≠∅且L_j-L_j∩L_j≠∅，且序号为j的语句优先于序号为i的语句，则将序号为i的语句移至序号为j的语句之后，令i自减1，结束本次遍历。

本实施例中，如果L_i-L_j∩L_j≠∅且L_j-L_j∩L_j≠∅，且j≻i，因为L_j存在未被L_i语句包含的部分，需要在后续过程中与其它语句对比，所以将i语句移至j语句之后，令i=i-1，结束本次遍历。

S42、使i自加1，重复步骤S41直至i=N-1；其中，初始i=1，N为所有语句的数量。

本实施例中，i=i+1，重复步骤五直至i=N-1，其中N是访问控制列表的语句数。

优选的，所述步骤S4还包括步骤S43：

S43、设置新的访问控制列表，对列表中的语句进行重新编号以使i=5,10,15⋯，将其重新应用在防火墙中。

本实施例中，得到新的访问控制列表，对列表中的语句进行重新编号i=5,10,15…，将其重新应用在防火墙中。

S5、对防火墙访问控制列表中的语句进行形式化描述和标记。步骤S5包括步骤S51-S54：

S51、将序号为i的语句的源IP地址、目的IP地址、源端口、目的端口及通信协议构成语句集合并将所述语句集合记为L_i；其中，i=1,2,3…。

本实施例中，访问控制列表六元组：源IP地址、目的IP地址、源端口、目的端口、通信协议和动作的前五项构成语句集合，记为L_i，下标i,j=1,2,3…表示语句的序号标识。例如，如果i=1，L₁可以表述为：

L₁={11.22.1.* *.*.*.* * * tcp}

其中，*表示可以取范围允许的任意值。L_i中元素l_i具有确定的IP地址、目的IP地址、源端口、目的端口和通信协议，例如，

l₁={11.22.1.1 11.22.33.1 80 80tcp},l₁∈L₁

S52、将序号为i的语句所执行的动作记为A_i。

本实施例中，语句所执行的动作记为A_i，A_i可能的取值包括deny和permit，A₁可以表述为：

A₁=deny

S53、若L_i∩L_j≠∅且A_i≠A_j，则称序号为i的语句和序号为j的语句相互冲突；其中，j=1,2,3…，i≠j。

本实施例中，若任意语句i和语句j，满足L_i∩L_j≠∅，A_i≠A_j，则称语句i和语句j相互冲突。

S54、若L_i∩L_j≠∅且A_i＝A_j，则称序号为i的语句和序号为j的语句相互冗余。

本实施例中，若任意语句i和语句j，满足L_i∩L_j≠∅，A_i＝A_j，则称语句i和语句j相互冗余。

优选的，所述防火墙访问控制列表的异常检测与修正方法还包括步骤S6：

S6、将基本访问控制列表中与防火墙访问控制列表中不同的语句添加进防火墙访问控制列表，使应被禁止的数据包不被放行，允许通过的数据包不被禁止。

本实施例中，将基本访问控制列表中与防火墙访问控制列表中不同的语句，添加进防火墙访问控制列表，保障在满足企业基本需求的情况下，应被禁止的数据包不被放行，允许通过的数据包不被禁止。

综上，由于企业网络防火墙访问控制列表在使用一段时间后，企业网络拓扑的变化或业务的变化，网络管理员会对访问控制列表进行不同程度的更改。随着时间的积累，访问控制列表会出现不同程度的语句冲突和异常，需要进行异常检测和修正，才能正常的工作。另一方面，新编写的防火墙访问控制列表也有必要进行异常检测，以确保其准确性。每一个访问控制列表的语句都是一个六元组，包括：源IP地址、目的IP地址、源端口、目的端口、通信协议和动作，每一条语句都描述一个数据包集合，是否能够进入或离开防火墙。对访问控制列表的语句进行分析处理，找到其中存在的异常，再处理异常形成新的访问控制语句。将新的访问控制列表部署在防火墙中，在在一个或多个工作周期内统计每条语句的命中数和是否存在大量需要通过的数据被拦截，删除命中数为零的语句，增加需要通过的数据包语句，最后按命中数对所有语句由大到小排列，得到最终的访问控制列表。

本领域普通技术人员可以理解，上述实施例的各种方法中的全部或部分步骤可以通过指令来完成，或通过指令控制相关的硬件来完成，该指令可以存储于一计算机可读存储介质中，并由处理器进行加载和执行。为此，本发明实施例提供一种存储介质，其中存储有多条指令，该指令能够被处理器进行加载，以执行本发明实施例所提供的任一种防火墙访问控制列表的异常检测与修正方法中的步骤。

其中，该存储介质可以包括：只读存储器(ROM，Read Only Memory)、随机存取记忆体(RAM，Random Access Memory)、磁盘或光盘等。

由于该存储介质中所存储的指令，可以执行本发明实施例所提供的任一种防火墙访问控制列表的异常检测与修正方法中的步骤，因此，可以实现本发明实施例所提供的任一种防火墙访问控制列表的异常检测与修正方法所能实现的有益效果，详见前面的实施例，在此不再赘述。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种防火墙访问控制列表的异常检测与修正方法，其特征在于，包括：

在一个或多个工作周期内防火墙所在网络节点的数据包进行统计，标记每条语句的数据包命中数；

根据企业应用场景制定基本访问控制列表，并根据数据包命中数标记基本访问控制列表中每条语句的语句命中数；

依据所述语句命中数对所有语句由多到少排序；

对排序的所有语句进行相互对比以判断是否存在异常，请对存在异常的语句进行修正。

2.根据权利要求1所述的异常检测与修正方法，其特征在于，还包括：

对防火墙访问控制列表中的语句进行形式化描述和标记。

3.根据权利要求2所述的异常检测与修正方法，其特征在于，所述对防火墙访问控制列表中的语句进行形式化描述和标记，包括：

将序号为i的语句的源IP地址、目的IP地址、源端口、目的端口及通信协议构成语句集合并将所述语句集合记为L_i；其中，i=1,2,3…；

将序号为i的语句所执行的动作记为A_i；

若L_i∩L_j≠∅且A_i≠A_j，则称序号为i的语句和序号为j的语句相互冲突；其中，j=1,2,3…，i≠j；

若L_i∩L_j≠∅且A_i＝A_j，则称序号为i的语句和序号为j的语句相互冗余。

4.根据权利要求3所述的异常检测与修正方法，其特征在于，所述对排序的所有语句进行相互对比以判断是否存在异常，请对存在异常的语句进行修正，包括步骤：

S41、从序号为i的语句开始，依次使序号在i后的语句与第i条语句对比以确定序号为i的语句是否存在异常，并对存在异常的语句进行修正；

S42、使i自加1，重复步骤S41直至i=N-1；其中，初始i=1，N为所有语句的数量。

5.根据权利要求4所述的异常检测与修正方法，其特征在于，所述步骤S41包括步骤：

S411、若序号为i的语句与序号为j的语句没有冲突及冗余，则不做任何处理，继续本次遍历；

S412、若序号为i的语句与序号为j的语句出现冗余，依据序号为i的语句与序号为j的语句之间的关系对出现冗余的序号为i的语句与序号为j的语句进行处理；

S413、若序号为i的语句与序号为j的语句出现冲突，依据序号为i的语句与序号为j的语句之间的关系对出现冲突的序号为i的语句与序号为j的语句进行处理。

6.根据权利要求5所述的异常检测与修正方法，其特征在于，所述步骤S412包括：

若L_i⊂L_j，则删除序号为i的语句，则令i自减1，N自减1，结束本次遍历；

若L_i⊇L_j，则删除序号为j的语句，令j自减1，N自减1，继续本次遍历；

若L_i-L_i∩L_j≠∅且L_j-L_i∩L_j≠∅，不做任何处理，继续本次遍历。

7.根据权利要求5所述的异常检测与修正方法，其特征在于，所述步骤S413包括：

若L_i⊂L_j且序号为i的语句优先于序号为j的语句，不做任何处理，继续本次遍历；

若L_i⊂L_j且序号为j的语句优先于序号为i的语句，则删除序号为i的语句，令i自减1，N自减1，结束本次遍历；

若L_i⊇L_j且序号为i的语句优先于序号为j的语句，则删除序号为j的语句，令j自减1，N自减1，继续本次遍历；

若L_i⊇L_j且序号为j的语句优先于序号为i的语句，则将序号为j的语句移至序号为i的语句之前，令i自加1，继续本次遍历；

若L_i-L_i∩L_j≠∅且L_j-L_i∩L_j≠∅，且序号为i的语句优先于序号为j的语句，不做任何处理，继续本次遍历；

若L_i-L_i∩L_j≠∅且L_j-L_i∩L_j≠∅，且序号为j的语句优先于序号为i的语句，则将序号为i的语句移至序号为j的语句之后，令i自减1，结束本次遍历。

8.根据权利要求4所述的异常检测与修正方法，其特征在于，所述步骤S4还包括步骤S44：

S44、设置新的访问控制列表，对列表中的语句进行重新编号以使i=5,10,15⋯，将其重新应用在防火墙中。

9.根据权利要求1所述的异常检测与修正方法，其特征在于，还包括：

将基本访问控制列表中与防火墙访问控制列表中不同的语句添加进防火墙访问控制列表，使应被禁止的数据包不被放行，允许通过的数据包不被禁止。

10.一种计算机可读存储介质，其特征在于，所述存储介质中存储有多条指令，所述指令适于由处理器加载以执行权利要求1至9任一项所述的一种防火墙访问控制列表的异常检测与修正方法。

Images