CN115603931A - 一种策略分析方法、装置、设备及可读存储介质 - Google Patents

一种策略分析方法、装置、设备及可读存储介质 Download PDF

Info

Publication number
CN115603931A
CN115603931A CN202110778964.9A CN202110778964A CN115603931A CN 115603931 A CN115603931 A CN 115603931A CN 202110778964 A CN202110778964 A CN 202110778964A CN 115603931 A CN115603931 A CN 115603931A
Authority
CN
China
Prior art keywords
address
firewall protection
strategy
similarity
firewall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110778964.9A
Other languages
English (en)
Inventor
程叶霞
何申
李肖肖
郭智慧
刘海霞
陈璨璨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Communications Ltd Research Institute filed Critical China Mobile Communications Group Co Ltd
Priority to CN202110778964.9A priority Critical patent/CN115603931A/zh
Publication of CN115603931A publication Critical patent/CN115603931A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请公开了一种策略分析方法、装置、设备及可读存储介质,涉及通信技术领域,以降低被安全攻击的风险。该方法包括:分别获取IPv4地址集合和IPv6地址集合;进行资产指纹信息分析,得到待处理IP地址集合;其中,待处理IP地址集合中包括至少一个IP地址对;对于任意第一IP地址对,获取第一IP地址对中的第一IPv4地址对应的第一防火墙防护策略以及第一IP地址对中的第一IPv6地址对应的第二防火墙防护策略;确定第一防火墙防护策略和第二防火墙防护策略之间的相似度;基于相似度,得到调整策略。本申请实施例可以降低被安全攻击的风险。

Description

一种策略分析方法、装置、设备及可读存储介质
技术领域
本申请涉及通信技术领域,尤其涉及一种策略分析方法、装置、设备及可读存储介质。
背景技术
IP地址是通信网络建设的重要基础资源。IPv6(Internet Protocol Version 6,互联网协议第6版)协议是用于替代IPv4(Internet Protocol Version 4,互联网协议第4版)协议的下一代IP协议。IPv6通过扩展地址长度到128位,可有效解决IPv4地址数量不足的问题。
在IPv6的普及过程中,大部分采取的是由IPv4逐步向IPv6过渡的方案,具体采用的方案包括双栈、隧道、翻译等方案。其中,采用IPv4和IPv6双栈方案的占有较多的比例,由此带来了对应的过渡机制的安全风险,即存在着IPv4与IPv6实施的双栈配置等过渡期的安全风险。
具体地,过渡期间双栈部署的网络中同时运行着IPv4、IPv6两个逻辑通道,增加了设备与系统的暴露面。相应地,设备与系统需要同时配置双栈防护策略。此外,也意味着防火墙、安全网关等防护设备需同时配置双栈策略,从而导致策略管理的复杂度增加,安全防护被穿透的机会增加。
IPv4和IPv6双栈防护策略,在防火墙、网关等防护设备的双栈防护策略方面,存在以下两个方面的问题:其一,防护策略不一致的问题;其二,防护策略缺或者漏的问题。由此,进而带来其他的安全问题,例如,攻击者发起攻击,攻陷企业内网或者运营商现网全网等。
因此,针对防火墙、网关等防护设备的双栈防护策略,亟需相应的分析与预警机制,以利于及时发现IPv4和IPv6双栈防护策略所存在的问题,进而更好地进行安全防护策略改进与加固,以降低被安全攻击的风险。
发明内容
本申请实施例提供一种策略分析方法、装置、设备及可读存储介质,以降低被安全攻击的风险。
第一方面,本申请实施例提供了一种策略分析方法,包括:
分别获取IPv4地址集合和IPv6地址集合;
对所述IPv4地址集合和所述IPv6地址集合进行资产指纹信息分析,得到待处理IP地址集合;其中,所述待处理IP地址集合中包括至少一个IP地址对,所述IP地址对包括IPv4地址和IPv6地址,每个IP地址对中的IPv4地址对应的资产指纹信息与IPv6地址对应的资产指纹信息完全相同或者部分相同;
对于所述IP地址对中的任意第一IP地址对,获取所述第一IP地址对中的第一IPv4地址对应的第一防火墙防护策略以及所述第一IP地址对中的第一IPv6地址对应的第二防火墙防护策略;
确定所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度;
基于所述相似度,得到调整策略。
其中,所述对所述IPv4地址集合和所述IPv6地址集合进行资产指纹信息分析,得到待处理IP地址集合,包括:
分别获取所述IPv4地址集合中每个IPv4地址的第一多元组以及所述IPv6地址集合中每个IPv6地址的第二多元组;
对于任意的目标IPv4地址,当所述目标IPv4地址的第一多元组的全部或部分元素与目标IPv6地址的第二多元组的全部或部分元素相同时,利用所述目标IPv4地址和所述目标IPv6地址形成IP地址对;
利用获得的多个IP地址对形成所述待处理IP地址集合;
其中,多元组包括OS(Operating System,操作系统)信息、端口数、端口信息、服务信息、服务版本信息、主机名信息。
其中,防火墙防护策略包括如下信息:源IP地址,源端口号,目的IP地址,目的端口号,动作信息;
所述确定所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度,包括:
分别计算所述第一防火墙策略中的每个元素和所述第二防火墙策略中的对应元素之间的文本相似度,得到多个文本相似度;
计算获得的多个文本相似度的平均值,并将所述平均值作为所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度。
其中,防火墙防护策略包括如下信息:源IP地址,源端口号,目的IP地址,目的端口号,动作信息;
所述确定所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度,包括:
根据所述第一防火墙防护策略形成第一策略图;
根据所述第二防火墙防护策略形成第二策略图;
将所述第一策略图和所述第二策略图之间的相似度,作为所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度。
其中,按照如下方式形成策略图:
将防火墙防护策略中的源IP地址、目的IP地址分别作为不同的点;
以防火墙防护策略中的源端口号作为角的顶点,形成第一角;以防火墙防护策略中的目的端口号作为角的顶点,形成第二角,其中,不同的端口号对应的角度不同;
以防火墙防护策略中的动作信息作为角的顶点,形成第三角;
利用所述点、所述第一角、所述第二角和所述第三角形成策略图。
其中,当所述第一防火墙防护策略和第二防火墙防护策略为一个时,所述基于所述相似度,得到调整策略,包括:
当所述相似度大于或等于相似度阈值时,确定所述第一防火墙防护策略和所述第二防火墙防护策略一致,无需进行策略调整;
当所述相似度小于所述相似度阈值时,确定所述第一防火墙防护策略和所述第二防火墙防护策略不一致,调整所述第一防火墙防护策略和所述第二防火墙防护策略一致。
其中,当所述第一防火墙防护策略为多个,或者第二防火墙防护策略为多个时,所述确定所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度,包括:
对于多个第一防火墙防护策略中的任意第一防火墙防护策略,确定所述第一防火墙防护策略和每个第二防火墙之间的相似度,得到多个相似度;
所述基于所述相似度,得到调整策略,包括:
当多个相似度均大于或等于相似度阈值时,确定所述第一防火墙防护策略和所述第二防火墙防护策略一致,无需进行策略调整;
当多个相似度中的一个或多个相似度小于所述相似度阈值时,确定所述第一防火墙防护策略和所述第二防火墙防护策略不一致,调整所述第一防火墙防护策略和所述第二防火墙防护策略一致。
第二方面,本申请实施例还提供一种策略分析装置,包括:
第一获取模块,用于分别获取IPv4地址集合和IPv6地址集合;
第二获取模块,用于对所述IPv4地址集合和所述IPv6地址集合进行资产指纹信息分析,得到待处理IP地址集合;其中,所述待处理IP地址集合中包括至少一个IP地址对,所述IP地址对包括IPv4地址和IPv6地址,每个IP地址对中的IPv4地址对应的资产指纹信息与IPv6地址对应的资产指纹信息完全相同或者部分相同;
第三获取模块,用于对于所述IP地址对中的任意第一IP地址对,获取所述第一IP地址对中的第一IPv4地址对应的第一防火墙防护策略以及所述第一IP地址对中的第一IPv6地址对应的第二防火墙防护策略;
第一确定模块,用于确定所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度;
第四获取模块,用于基于所述相似度,得到调整策略。
其中,所述第二获取模块包括:
第一获取子模块,用于分别获取所述IPv4地址集合中每个IPv4地址的第一多元组以及所述IPv6地址集合中每个IPv6地址的第二多元组;
第二获取子模块,用于对于任意的目标IPv4地址,当所述目标IPv4地址的第一多元组的全部或部分元素与目标IPv6地址的第二多元组的全部或部分元素相同时,利用所述目标IPv4地址和所述目标IPv6地址形成IP地址对;
第三获取子模块,用于利用获得的多个IP地址对形成所述待处理IP地址集合;
其中,多元组包括操作系统OS信息、端口数、端口信息、服务信息、服务版本信息、主机名信息。
其中,防火墙防护策略包括如下信息:源IP地址,源端口号,目的IP地址,目的端口号,动作信息;
所述第一确定模块包括:
第一计算子模块,用于分别计算所述第一防火墙策略中的每个元素和所述第二防火墙策略中的对应元素之间的文本相似度,得到多个文本相似度;
第一确定子模块,用于根据所述多个文本相似度,确定所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度。
其中,第一防火墙防护策略包括如下信息:源IP地址,源端口号,目的IP地址,目的端口号,动作信息;
所述第一确定模块包括:
第一获取子模块,用于根据所述第一防火墙防护策略形成第一策略图;
第二获取子模块,用于根据所述第二防火墙防护策略形成第二策略图;
第一确定子模块,用于将所述第一策略图和所述第二策略图之间的相似度,作为所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度。
其中,按照如下方式形成策略图:
将防火墙防护策略中的源IP地址、目的IP地址分别作为不同的点;
以防火墙防护策略中的源端口号作为角的顶点,形成第一角;以防火墙防护策略中的目的端口号作为角的顶点,形成第二角,其中,不同的端口号对应的角度不同;
以防火墙防护策略中的动作信息作为角的顶点,形成第三角;
利用所述点、所述第一角、所述第二角和所述第三角形成策略图。
其中,所述第四获取模块包括:
第一获取子模块,用于当所述第一防火墙防护策略和第二防火墙防护策略为一个时,若所述相似度大于或等于相似度阈值,则确定所述第一防火墙防护策略和所述第二防火墙防护策略一致,无需进行策略调整;
第二获取子模块,用于当所述相似度小于所述相似度阈值时,确定所述第一防火墙防护策略和所述第二防火墙防护策略不一致,调整所述第一防火墙防护策略和所述第二防火墙防护策略一致。
其中,所述第一确定模块,用于当所述第一防火墙防护策略为多个,或者第二防火墙防护策略为多个时,对于多个第一防火墙防护策略中的任意第一防火墙防护策略,确定所述第一防火墙防护策略和每个第二防火墙之间的相似度,得到多个相似度。
其中,所述第四获取模块包括:
第三获取子模块,用于当所述第一防火墙防护策略为多个,或者第二防火墙防护策略为多个时,若多个相似度均大于或等于相似度阈值,则确定所述第一防火墙防护策略和所述第二防火墙防护策略一致,无需进行策略调整;
第四获取子模块,用于当多个相似度中的一个或多个相似度小于所述相似度阈值时,确定所述第一防火墙防护策略和所述第二防火墙防护策略不一致,调整所述第一防火墙防护策略和所述第二防火墙防护策略一致。
第三方面,本申请实施例还提供一种策略分析装置,包括:处理器和收发器;
所述处理器,用于:
分别获取IPv4地址集合和IPv6地址集合;
对所述IPv4地址集合和所述IPv6地址集合进行资产指纹信息分析,得到待处理IP地址集合;其中,所述待处理IP地址集合中包括至少一个IP地址对,所述IP地址对包括IPv4地址和IPv6地址,每个IP地址对中的IPv4地址对应的资产指纹信息与IPv6地址对应的资产指纹信息完全相同或者部分相同;
对于所述IP地址对中的任意第一IP地址对,获取所述第一IP地址对中的第一IPv4地址对应的第一防火墙防护策略以及所述第一IP地址对中的第一IPv6地址对应的第二防火墙防护策略;
确定所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度;
基于所述相似度,得到调整策略。
其中,所述处理器用于:
分别获取所述IPv4地址集合中每个IPv4地址的第一多元组以及所述IPv6地址集合中每个IPv6地址的第二多元组;
对于任意的目标IPv4地址,当所述目标IPv4地址的第一多元组的全部或部分元素与目标IPv6地址的第二多元组的全部或部分元素相同时,利用所述目标IPv4地址和所述目标IPv6地址形成IP地址对;
利用获得的多个IP地址对形成所述待处理IP地址集合;
其中,多元组包括操作系统OS信息、端口数、端口信息、服务信息、服务版本信息、主机名信息。
其中,防火墙防护策略包括如下信息:源IP地址,源端口号,目的IP地址,目的端口号,动作信息;所述处理器用于:
分别计算所述第一防火墙策略中的每个元素和所述第二防火墙策略中的对应元素之间的文本相似度,得到多个文本相似度;
根据所述多个文本相似度,确定所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度。
其中,防火墙防护策略包括如下信息:源IP地址,源端口号,目的IP地址,目的端口号,动作信息;所述处理器用于:
根据所述第一防火墙防护策略形成第一策略图;
根据所述第二防火墙防护策略形成第二策略图;
将所述第一策略图和所述第二策略图之间的相似度,作为所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度。
其中,所述处理器用于,按照如下方式形成策略图:
将防火墙防护策略中的源IP地址、目的IP地址分别作为不同的点;
以防火墙防护策略中的源端口号作为角的顶点,形成第一角;以防火墙防护策略中的目的端口号作为角的顶点,形成第二角,其中,不同的端口号对应的角度不同;
以防火墙防护策略中的动作信息作为角的顶点,形成第三角;
利用所述点、所述第一角、所述第二角和所述第三角形成策略图。
其中,所述处理器用于:
当所述第一防火墙防护策略和第二防火墙防护策略为一个时,若所述相似度大于或等于相似度阈值,则确定所述第一防火墙防护策略和所述第二防火墙防护策略一致,无需进行策略调整;
当所述相似度小于所述相似度阈值时,确定所述第一防火墙防护策略和所述第二防火墙防护策略不一致,调整所述第一防火墙防护策略和所述第二防火墙防护策略一致。
其中,所述处理器用于:当所述第一防火墙防护策略为多个,或者第二防火墙防护策略为多个时,
对于多个第一防火墙防护策略中的任意第一防火墙防护策略,确定所述第一防火墙防护策略和每个第二防火墙之间的相似度,得到多个相似度;
当所述第一防火墙防护策略为多个,或者第二防火墙防护策略为多个时,若多个相似度均大于或等于相似度阈值,则确定所述第一防火墙防护策略和所述第二防火墙防护策略一致,无需进行策略调整;
当多个相似度中的一个或多个相似度小于所述相似度阈值时,确定所述第一防火墙防护策略和所述第二防火墙防护策略不一致,调整所述第一防火墙防护策略和所述第二防火墙防护策略一致。
第四方面,本申请实施例还提供一种通信设备,包括:存储器、处理器及存储在存储器上并可在处理器上运行的程序,所述处理器执行所述程序时实现如上所述的策略分析方法中的步骤。
第五方面,本申请实施例还提供一种可读存储介质,所述可读存储介质上存储程序,所述程序被处理器执行时实现如上所述的策略分析方法中的步骤。
在本申请实施例中,对获取的IPv4地址集合和IPv6地址集合进行资产指纹信息分析,获取待处理IP地址集合。对获取的待处理IP地址集合的IP地址对的IPv4地址和IPv6地址对应的防火墙防护策略计算相似度,从而可根据相似度确定调整策略。因此,利用本申请实施例的方案,可针对防火墙、网关等防护设备的双栈防护策略进行分析,进而发现策略中的缺失或者不一致的问题,从而降低被安全攻击的风险。
附图说明
图1是本申请实施例提供的策略分析方法的流程图之一;
图2是本申请实施例提供的策略分析系统的示意图;
图3(a)是本申请实施例提供的策略分析方法的流程图之二;
图3(b)是本申请实施例提供的策略分析方法的流程图之二;
图4是本申请实施例提供的策略分析装置的结构图之一;
图5是本申请实施例提供的策略分析装置的结构图之二;
图6是本申请实施例提供的策略分析装置的结构图之三。
具体实施方式
本申请实施例中术语“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
本申请实施例中术语“多个”是指两个或两个以上,其它量词与之类似。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,并不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参见图1,图1是本申请实施例提供的策略分析方法的流程图,如图1所示,包括以下步骤:
步骤101、分别获取IPv4地址集合和IPv6地址集合。
其中,IPv4地址集合和IPv6地址集合可以分别是IPv4地址段和IPv6地址段,可分别包括一个或多个IPv4地址和IPv6地址。在实际应用中,可以根据机构或者行政区域的地址大段,或者是园区的地址大段直接获取IPv4地址集合和IPv6地址集合。
步骤102、对所述IPv4地址集合和所述IPv6地址集合进行资产指纹信息分析,得到待处理IP地址集合。
其中,所述待处理IP地址集合中包括至少一个IP地址对,所述IP地址对包括IPv4地址和IPv6地址,每个IP地址对中的IPv4地址对应的资产指纹信息与IPv6地址对应的资产指纹信息完全相同或者部分相同。
所述资产指纹信息可以采取nmap、get、telnet等方式获取。提取出的资产指纹信息,包括但不限于OS(Operating System,操作系统)信息、端口数(port number)、端口信息(port)、服务信息(service name)、服务版本信息(service version)、主机名信息(hostname),并将其作为多元组进行记录,例如,[OS|port number|port|service name|service version|hostname]。
具体的,在此步骤中,分别获取所述IPv4地址集合中每个IPv4地址的第一多元组以及所述IPv6地址集合中每个IPv6地址的第二多元组。对于任意的目标IPv4地址,当所述目标IPv4地址的第一多元组的全部或部分元素与目标IPv6地址的第二多元组的全部或部分元素相同时,利用所述目标IPv4地址和所述目标IPv6地址形成IP地址对。之后,可利用获得的多个IP地址对形成所述待处理IP地址集合。其中,所述目标IPv4地址可以是任意的IPv4地址,所述目标IPv6地址也可以是任意的IPv6地址。
其中,每个多元组包括OS信息、端口数、端口信息、服务信息、服务版本信息、主机名信息。
在此,完全相同指的是多元组中的所有元素都相同;部分相同指的是多元组中的部分元素都相同。在进行比较时,可采用文本比较法,也可以采用字符比较法或者其他比较法。例如,某个IPv4地址的多元组和IPv6地址的多元组中的元素全部相同,则可认为是资产指纹信息完全相同;某个IPv4地址的多元组和IPv6地址的多元组中的OS信息相同,则可认为是资产指纹信息部分相同。
步骤103、对于所述IP地址对中的任意第一IP地址对,获取所述第一IP地址对中的第一IPv4地址对应的第一防火墙防护策略以及所述第一IP地址对中的第一IPv6地址对应的第二防火墙防护策略。
对于所述第一IPv4地址,在防火墙中提取出所有的对应的防火墙防护策略,作为第一防火墙防护策略;对于所述第一IPv6地址,在防火墙中提取出所有的对应的防火墙防护策略,作为第二防火墙防护策略。在此,获取的第一防火墙防护策略可以有一个或多个,第二防火墙防护策略也可以有一个或多个。
具体的,获取的防火墙防护策略可记作如下形式,包括但不限于策略五元组[srcIP,srcPort,dstIP,dstPort,Action],该策略五元组中的元素分别表示源IP地址,源端口号,目的IP地址,目的端口号,动作信息。
步骤104、确定所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度。
在此步骤中,可以采用文本相似度计算方法,也可以采用基于图的相似度计算方法计算相似度。
具体的,当采用文本相似度计算方法时,可分别计算所述第一防火墙策略中的每个元素和所述第二防火墙策略中的对应元素之间的文本相似度,得到多个文本相似度,然后,根据所述多个文本相似度,确定所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度。
其中,每个防火墙防护策略可包括如下信息:源IP地址,源端口号,目的IP地址,目的端口号,动作信息。
上述的“对应元素”,可以理解为,所述第一防火墙防护策略的源IP地址的对应元素为所述第二防火墙防护策略的源IP地址;所述第一防火墙防护策略的源端口号的对应元素为所述第二防火墙防护策略的源端口号;所述第一防火墙防护策略的目的IP地址的对应元素为所述第二防火墙防护策略的目的IP地址;所述第一防火墙防护策略的目的端口号的对应元素为所述第二防火墙防护策略的目的端口号;所述第一防火墙防护策略的目的端口号的动作信息为所述第二防火墙防护策略的目的动作信息。
在根据多个文本相似度计算所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度时,可以将多个文本相似度的平均值作为所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度,或者,还可以将每个文本相似度和对应的权值相乘之后,再将获得的多个乘积相加,得到所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度。当然,还可以采用其他方式确定所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度,本申请实施例对此不做限定。
以[srcIP,srcPort,dstIP,dstPort,Action]策略五元组为例,在计算文本相似度时,将五元组里的每个元素作为文本,然后将对应元素进行相应的比较,算出IPv4和IPv6对子所对应的防火墙防护策略的文本相似度。
在本申请实施例中,还可基于图的相似度确定所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度。
具体的,[srcIP,srcPort,dstIP,dstPort,Action]策略五元组为例,将获得的防火墙防护策略按照以下规则转换为图的形式:
将防火墙防护策略中的源IP地址、目的IP地址分别作为不同的点。也即,源IP地址、目的IP地址分别对应不同的点。
以防火墙防护策略中的源端口号作为角的顶点,形成第一角;以防火墙防护策略中的目的端口号作为角的顶点,形成第二角,其中,不同的端口号对应的角度不同;端口号和角度之间的对应关系可根据需要设置。
以防火墙防护策略中的动作信息作为角的顶点,形成第三角。所述动作信息可以包括同意和拒绝等,那么,不同的动作信息可对应不同的角度,二者之间的对应关系可根据需要设置。
利用所述点、所述第一角、所述第二角和所述第三角形成策略图。例如,在此,可将点、第一角的顶点、第二角的顶点以及第三角的顶点依次连接,从而形成图。
那么,根据以上规则,在此步骤中,可根据所述第一防火墙防护策略形成第一策略图以及根据所述第二防火墙防护策略形成第二策略图。之后,将所述第一策略图和所述第二策略图之间的相似度,作为所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度。在计算两个策略图之间的相似度时,可根据图中各点形成的连线的弧度、方向,以及图中各角度的大小等确定相似度。例如,可将图中连线的相似度、各角度之间的相似度的均值作为两个测量图之间的相似度等。
在实际应用中,还可能有多个第一防火墙防护策略和多个第二防火墙防护策略。那么,对于每个第一防火墙策略,都可按照上述方法计算出和每个第二防火墙策略之间的相似度。
步骤105、基于所述相似度,得到调整策略。
当所述第一防火墙防护策略和第二防火墙防护策略为一个时,若所述相似度大于或等于相似度阈值,则确定所述第一防火墙防护策略和所述第二防火墙防护策略一致,无需进行策略调整;当所述相似度小于所述相似度阈值时,确定所述第一防火墙防护策略和所述第二防火墙防护策略不一致,调整所述第一防火墙防护策略和所述第二防火墙防护策略一致。其中,所述调整策略可以是将所述第一防火墙防护策略和所述第二防火墙防护策略调整为一致的策略。例如,可以利用第一防火墙防护策略或第二防火墙防护策略作为第一IPv4地址和第一IPv6地址对应的防火墙防护策略,或者还可以重新为第一IPv4地址和第一IPv6地址确定其他的一致的防护墙防护策略。
其中,所述相似度阈值可根据需要设置,例如,可以设为100%,99%,95%等等。
如前所述,在实际应用中,还可能有多个第一防火墙防护策略或多个第二防火墙防护策略。那么,对于每个第一防火墙策略,都可按照上述方法计算出和每个第二防火墙策略之间的相似度。
那么,可将每个第一防火墙策略,都可按照上述方法计算出和每个第二防火墙策略之间的相似度,从而获得多个相似度。在步骤105中,只有在多个相似度都大于或等于相似度阈值时,才确定第一IPv4地址和第一IPv6地址对应的防火墙防护策略一致,无需进行策略调整;否则当多个相似度中的一个或多个相似度小于所述相似度阈值时,确定第一IPv4地址和第一IPv6地址对应的防火墙防护策略不一致,调整所述第一防火墙防护策略和所述第二防火墙防护策略一致。
在本申请实施例中,对获取的IPv4地址集合和IPv6地址集合进行资产指纹信息分析,获取待处理IP地址集合。对获取的待处理IP地址集合的IP地址对的IPv4地址和IPv6地址对应的防火墙防护策略计算相似度,从而可根据相似度确定调整策略。因此,利用本申请实施例的方案,可针对防火墙、网关等防护设备的双栈防护策略进行分析,进而发现策略中的缺失或者不一致的问题,从而降低被安全攻击的风险。
如图2所示,为本申请实施例的策略分析系统的示意图。该系统包括:带IPv6地址和IPv4地址的终端节点201、路由器202以及防火墙组件203。其中,带IPv6地址和IPv4地址的终端节点组件,可以是笔记本电脑、台式机、物联网设备、工业互联网设备等各种联网设备。其通过双栈的方式实现IPv6,既有IPv4地址,也有IPv6地址。路由器组件,是网络的路由通路中的各个路由器。可以是一个,也可以是多个。路由器实现了终端设备的网络可达。防火墙组件,是网络的安全防护设备。其实现了对网络的各项安全防护,及时发现并处理网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对网络安全当中的各项操作实施记录与检测,以确保网络运行的安全性。
参见图3(a),图3(a)是本申请实施例提供的策略分析方法的流程图,如图3(a)所示,包括以下步骤:
步骤301、获取IPv4地址集合和IPv6地址集合。
在实际应用中,可以根据机构或者行政区域的地址大段,或者是园区的地址大段直接获取IPv4地址集合和IPv6地址集合。
步骤302、对IPv4地址集合和IPv6地址集合进行资产指纹信息。
具体可以采取nmap、get、telnet等方式进行IPv4地址集合和IPv6地址集合的资产指纹信息的获取。
步骤303、对资产指纹信息进行比较,获得待处理IP地址集合。
其中,在步骤302中提出的资产指纹信息包括但不限于OS信息、banner信息、主机名信息等,并将其作为[OS|banner|hostname]等多元组进行记录。
假设获取的资产指纹信息包括:OS信息、端口数、端口信息、服务信息、服务版本信息、主机名信息,将其作为[OS|port number|port|service name|service version|hostname]多元组。
在进行资产指纹信息的比较时,实际是进行上述多元组的比较。此处的比较方法可以采用文本比较法,也可以采用字符比较法或者其他比较法。通过资产指纹信息的比较,可以确定一个或多个IP地址对,每个IP地址对包括IPv4地址和IPv6地址。其中,每个IP地址对中的IPv4地址对应的资产指纹信息与IPv6地址对应的资产指纹信息完全相同或者部分相同。
其中,资产指纹信息完全相同指的是,当且仅当IPv4地址和IPv6地址的[OS|portnumber|port|service name|service version|hostname]多元组里的信息完全相同时,则判定IPv4地址和IPv6地址的资产指纹信息相同。某个IPv4地址的多元组和IPv6地址的多元组中的OS信息相同,则可认为是资产指纹信息部分相同。
通过以上比较,可得到资产指纹信息相同的IPv4地址和IPv6地址,将其作为IP地址对。
步骤304、对待处理IP地址集合中的IP地址对,提取出每个IP地址对中的IPv4地址对应的防火墙防护策略和IPv6地址对应的防火墙防护策略。
例如,可在防火墙中提取出所有的对应的防火墙防护策略。具体的,防火墙防护策略记作如下形式,包括但不限于策略五元组[srcIP,srcPort,dstIP,dstPort,Action]。该策略五元组中的元素分别表示源IP地址,源端口号,目的IP地址,目的端口号,动作信息。
步骤305、对每一个IP地址对中的IPv4地址和IPv6地址对应的防火墙防护策略进行比较,计算相似度。
此处的防火墙防护策略的相似度计算方法,可以采用文本相似度计算方法,也可以采用基于图的相似度计算方法。
具体地,以[srcIP,srcPort,dstIP,dstPort,Action]策略五元组为例,文本相似度计算,是将策略五元组里的元素作为文本,然后将相应元素进行比较,从而计算出IPv4和IPv6对子所对应的防火墙防护策略之间的相似度。
对于策略五元组中的五个元素,在计算相应元素之前的相似度时,可得到五个相似度。那么,在此,可对这五个相似度求取均值作为最终的文本相似度。当然,还可通过其他方式通过这五个相似度获取最终的文本相似度。
基于图的相似度计算,是将IPv4地址和IPv6地址所对应的策略五元组[srcIP,srcPort,dstIP,dstPort,Action],按照一定的相同的规则转换为相应的图,然后直接比较图的相似度。
具体的,将策略五元组的元素srcIP,dstIP对应到点。将策略五元组的元素srcPort,dstPort分别作为角的顶点,并形成角度;不同的端口对应到不同的角度,端口和角度之间的关系可以自行设定。将策略五元组的元素Action对应到角的顶点,并形成角度。不同的Action对应不同的角度,具体的角度与Action的对应关系可以自行设定。得到图之后,即可计算图的相似度。
步骤306、将相似度和相似度阈值进行比较。
当相似度大于或等于相似度阈值m时,执行步骤307;否则执行步骤308。此处的相似度阈值m可根据情况进行相应的设置,可以设为100%,也可以依情况设为99%,95%等等。
步骤307、如果相似度大于或等于m,则确定IP地址对中的IPv4地址和IPv6地址的防火墙防护策略一致。
步骤308、如果相似度小于m,则确定IP地址对中的IPv4地址和IPv6地址的防火墙防护策略不一致。
步骤309、得到防火墙防护策略加固与改进策略。
对于IPv4和IPv6对子的防火墙防护策略不一致的,则给出对应的防火墙防护策略加固与改进建议。例如,可以利用IPv4地址对应的防火墙防护策略或IPv6地址对应的防火墙防护策略作为防火墙防护策略,或者还可以重新为IPv4地址和IPv6地址确定其他的一致的防护墙防护策略。
参见图3(b),图3(b)是本申请实施例提供的策略分析方法的流程图,如图3(b)所示,包括以下步骤:
步骤3011-步骤3105、步骤3011至步骤3015的描述可参照前述步骤301至305的描述。
其中,不同的是,在步骤3105中,某一个或多个IP地址对中的IPv4地址或IPv6地址对应的防火墙防护策略为多个。那么,对于其中任意一个IPv4地址对应的防火墙防护策略,计算的是它和每个IPv6地址对应的防火墙防护策略之间的相似度,从而,对于一个IP地址对,在步骤3105中可得到多个相似度。
步骤3016、将多个相似度分别和相似度阈值进行比较。
当多个相似度均大于或等于相似度阈值m时,执行步骤3017;否则执行步骤3108。此处的相似度阈值m可根据情况进行相应的设置,可以设为100%,也可以依情况设为99%,95%等等。
步骤3017、如果多个相似度均大于或等于m,则确定IP地址对中的IPv4地址和IPv6地址的防火墙防护策略一致。
步骤3018、如果一个或多个相似度小于m,则确定IP地址对中的IPv4地址和IPv6地址的防火墙防护策略不一致。
步骤3019、得到防火墙防护策略加固与改进策略。
对于IPv4和IPv6对子的防火墙防护策略不一致的,则给出对应的防火墙防护策略加固与改进建议。例如,可以利用IPv4地址对应的防火墙防护策略或IPv6地址对应的防火墙防护策略作为防火墙防护策略,或者还可以重新为IPv4地址和IPv6地址确定其他的一致的防护墙防护策略。
在本申请实施例中,对获取的IPv4地址集合和IPv6地址集合进行资产指纹信息分析,获取待处理IP地址集合。对获取的待处理IP地址集合的IP地址对的IPv4地址和IPv6地址对应的防火墙防护策略计算相似度,从而可根据相似度确定调整策略。因此,利用本申请实施例的方案,可针对防火墙、网关等防护设备的双栈防护策略进行分析,进而发现策略中的缺失或者不一致的问题,从而降低被安全攻击的风险。同时,利用本申请实施例的方案,可实现针对面向防火墙等防护设备的IPv4和IPv6双栈防护策略的分析与预警机制,利于及时发现面向防火墙等防护设备的IPv4和IPv6双栈防护策略所存在的问题,进而更好地进行防火墙安全防护策略改进与加固,降低被安全攻击的风险。
本申请实施例还提供了一种策略分析装置。参见图4,图4是本申请实施例提供的策略分析装置的结构图。由于策略分析装置解决问题的原理与本申请实施例中策略分析方法相似,因此该策略分析装置的实施可以参见方法的实施,重复之处不再赘述。
如图4所示,策略分析装置400包括:
第一获取模块401,用于分别获取IPv4地址集合和IPv6地址集合;第二获取模块402,用于对所述IPv4地址集合和所述IPv6地址集合进行资产指纹信息分析,得到待处理IP地址集合;其中,所述待处理IP地址集合中包括至少一个IP地址对,所述IP地址对包括IPv4地址和IPv6地址,每个IP地址对中的IPv4地址对应的资产指纹信息与IPv6地址对应的资产指纹信息完全相同或者部分相同;第三获取模块403,用于对于所述IP地址对中的任意第一IP地址对,获取所述第一IP地址对中的第一IPv4地址对应的第一防火墙防护策略以及所述第一IP地址对中的第一IPv6地址对应的第二防火墙防护策略;第一确定模块404,用于确定所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度;第四获取模块405,用于基于所述相似度,得到调整策略。
其中,所述第二获取模块包括:
第一获取子模块,用于分别获取所述IPv4地址集合中每个IPv4地址的第一多元组以及所述IPv6地址集合中每个IPv6地址的第二多元组;
第二获取子模块,用于对于任意的目标IPv4地址,当所述目标IPv4地址的第一多元组的全部或部分元素与目标IPv6地址的第二多元组的全部或部分元素相同时,利用所述目标IPv4地址和所述目标IPv6地址形成IP地址对;
第三获取子模块,用于利用获得的多个IP地址对形成所述待处理IP地址集合;
其中,每个多元组包括操作系统OS信息、端口数、端口信息、服务信息、服务版本信息、主机名信息。
其中,每个防火墙防护策略可包括如下信息:源IP地址,源端口号,目的IP地址,目的端口号,动作信息;所述第一确定模块包括:
第一计算子模块,用于分别计算所述第一防火墙策略中的每个元素和所述第二防火墙策略中的对应元素之间的文本相似度,得到多个文本相似度;
第一确定子模块,用于根据所述多个文本相似度,确定所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度。
其中,每个防火墙防护策略可包括如下信息:源IP地址,源端口号,目的IP地址,目的端口号,动作信息;所述第一确定模块包括:
第一获取子模块,用于根据所述第一防火墙防护策略形成第一策略图;
第二获取子模块,用于根据所述第二防火墙防护策略形成第二策略图;
第一确定子模块,用于将所述第一策略图和所述第二策略图之间的相似度,作为所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度。
其中,按照如下方式形成策略图:
将防火墙防护策略中的源IP地址、目的IP地址分别作为不同的点;
以防火墙防护策略中的源端口号作为角的顶点,形成第一角;以防火墙防护策略中的目的端口号作为角的顶点,形成第二角,其中,不同的端口号对应的角度不同;
以防火墙防护策略中的动作信息作为角的顶点,形成第三角;
利用所述点、所述第一角、所述第二角和所述第三角形成策略图。
其中,所述第四获取模块包括:
第一获取子模块,用于当所述第一防火墙防护策略和第二防火墙防护策略为一个时,若所述相似度大于或等于相似度阈值,则确定所述第一防火墙防护策略和所述第二防火墙防护策略一致,无需进行策略调整;
第二获取子模块,用于当所述相似度小于所述相似度阈值时,确定所述第一防火墙防护策略和所述第二防火墙防护策略不一致,调整所述第一防火墙防护策略和所述第二防火墙防护策略一致。
其中,所述第一确定模块,用于当所述第一防火墙防护策略为多个,或者第二防火墙防护策略为多个时,对于多个第一防火墙防护策略中的任意第一防火墙防护策略,确定所述第一防火墙防护策略和每个第二防火墙之间的相似度,得到多个相似度。所述第四获取模块包括:
第三获取子模块,用于当所述第一防火墙防护策略为多个,或者第二防火墙防护策略为多个时,若多个相似度均大于或等于相似度阈值,则确定所述第一防火墙防护策略和所述第二防火墙防护策略一致,无需进行策略调整;
第四获取子模块,用于当多个相似度中的一个或多个相似度小于所述相似度阈值时,确定所述第一防火墙防护策略和所述第二防火墙防护策略不一致,调整所述第一防火墙防护策略和所述第二防火墙防护策略一致。
本申请实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
如图5所示,策略分析装置500包括:IPv6地址和IPv4地址输入模块501、资产指纹分析模块502、防火墙防护策略提取模块503、防火墙防护策略检测模块504,防火墙防护策略加固及改进模块505。其中:
其中,IPv6地址和IPv4地址输入模块501,用于获取IPv4地址集合和IPv6地址集合;
资产指纹分析模块502,用于对IPv4地址集合和IPv6地址集合进行资产指纹信息的获取、提取、比较,则得到资产指纹信息相同的IPv4和IPv6对子;
防火墙防护策略提取模块503,用于对资产指纹信息相同的IPv4和IPv6对子所对应的IPv4和IPv6地址,在防火墙中提取出所有的对应的防火墙防护策略;
防火墙防护策略检测模块504,用于对IPv4和IPv6对子所对应的防火墙防护策略进行比较,计算防护策略的相似度,对相似度进行大小比较,判定IPv4和IPv6对子的防火墙防护策略的一致性;
防火墙防护策略加固及改进模块505,用于对防火墙防护策略不一致的IPv4和IPv6对子进行防火墙防护策略加固与改进建议。
本申请实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
如图6所示,本申请实施例还提供一种策略分析装置,包括:处理器601和收发器602;
所述处理器601,用于:
分别获取IPv4地址集合和IPv6地址集合;
对所述IPv4地址集合和所述IPv6地址集合进行资产指纹信息分析,得到待处理IP地址集合;其中,所述待处理IP地址集合中包括至少一个IP地址对,所述IP地址对包括IPv4地址和IPv6地址,每个IP地址对中的IPv4地址对应的资产指纹信息与IPv6地址对应的资产指纹信息完全相同或者部分相同;
对于所述IP地址对中的任意第一IP地址对,获取所述第一IP地址对中的第一IPv4地址对应的第一防火墙防护策略以及所述第一IP地址对中的第一IPv6地址对应的第二防火墙防护策略;
确定所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度;
基于所述相似度,得到调整策略。
其中,所述处理器601用于:
分别获取所述IPv4地址集合中每个IPv4地址的第一多元组以及所述IPv6地址集合中每个IPv6地址的第二多元组;
对于任意的目标IPv4地址,当所述目标IPv4地址的第一多元组的全部或部分元素与目标IPv6地址的第二多元组的全部或部分元素相同时,利用所述目标IPv4地址和所述目标IPv6地址形成IP地址对;
利用获得的多个IP地址对形成所述待处理IP地址集合;
其中,多元组包括操作系统OS信息、端口数、端口信息、服务信息、服务版本信息、主机名信息。
其中,每个防火墙防护策略可包括如下信息:源IP地址,源端口号,目的IP地址,目的端口号,动作信息;所述处理器601用于:
分别计算所述第一防火墙策略中的每个元素和所述第二防火墙策略中的对应元素之间的文本相似度,得到多个文本相似度;
根据所述多个文本相似度,确定所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度。
其中,每个防火墙防护策略可包括如下信息:源IP地址,源端口号,目的IP地址,目的端口号,动作信息;所述处理器601用于:
根据所述第一防火墙防护策略形成第一策略图;
根据所述第二防火墙防护策略形成第二策略图;
将所述第一策略图和所述第二策略图之间的相似度,作为所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度。
其中,所述处理器601用于,按照如下方式形成策略图:
将防火墙防护策略中的源IP地址、目的IP地址分别作为不同的点;
以防火墙防护策略中的源端口号作为角的顶点,形成第一角;以防火墙防护策略中的目的端口号作为角的顶点,形成第二角,其中,不同的端口号对应的角度不同;
以防火墙防护策略中的动作信息作为角的顶点,形成第三角;
利用所述点、所述第一角、所述第二角和所述第三角形成策略图。
其中,所述处理器601用于:
当所述第一防火墙防护策略和第二防火墙防护策略为一个时,若所述相似度大于或等于相似度阈值,则确定所述第一防火墙防护策略和所述第二防火墙防护策略一致,无需进行策略调整;
当所述相似度小于所述相似度阈值时,确定所述第一防火墙防护策略和所述第二防火墙防护策略不一致,调整所述第一防火墙防护策略和所述第二防火墙防护策略一致。
其中,所述处理器601用于:
当所述第一防火墙防护策略为多个,或者第二防火墙防护策略为多个时,对于多个第一防火墙防护策略中的任意第一防火墙防护策略,确定所述第一防火墙防护策略和每个第二防火墙之间的相似度,得到多个相似度;
当所述第一防火墙防护策略为多个,或者第二防火墙防护策略为多个时,若多个相似度均大于或等于相似度阈值,则确定所述第一防火墙防护策略和所述第二防火墙防护策略一致,无需进行策略调整;
当多个相似度中的一个或多个相似度小于所述相似度阈值时,确定所述第一防火墙防护策略和所述第二防火墙防护策略不一致,调整所述第一防火墙防护策略和所述第二防火墙防护策略一致。
本申请实施例提供的装置,可以执行上述方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
需要说明的是,本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请实施例还提供一种通信设备,包括:存储器、处理器及存储在存储器上并可在处理器上运行的程序,所述处理器执行所述程序时实现如上所述的策略分析方法中的步骤。
本申请实施例还提供一种可读存储介质,可读存储介质上存储有程序,该程序被处理器执行时实现上述策略分析方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的可读存储介质,可以是处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。根据这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁盘、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
上面结合附图对本申请的实施例进行了描述,但是本申请并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本申请的启示下,在不脱离本申请宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本申请的保护之内。

Claims (11)

1.一种策略分析方法,其特征在于,包括:
分别获取IPv4地址集合和IPv6地址集合;
对所述IPv4地址集合和所述IPv6地址集合进行资产指纹信息分析,得到待处理IP地址集合;其中,所述待处理IP地址集合中包括至少一个IP地址对,所述IP地址对包括IPv4地址和IPv6地址,每个IP地址对中的IPv4地址对应的资产指纹信息与IPv6地址对应的资产指纹信息完全相同或者部分相同;
对于所述IP地址对中的任意第一IP地址对,获取所述第一IP地址对中的第一IPv4地址对应的第一防火墙防护策略以及所述第一IP地址对中的第一IPv6地址对应的第二防火墙防护策略;
确定所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度;
基于所述相似度,得到调整策略。
2.根据权利要求1所述的方法,其特征在于,所述对所述IPv4地址集合和所述IPv6地址集合进行资产指纹信息分析,得到待处理IP地址集合,包括:
分别获取所述IPv4地址集合中每个IPv4地址的第一多元组以及所述IPv6地址集合中每个IPv6地址的第二多元组;
对于任意的目标IPv4地址,当所述目标IPv4地址的第一多元组的全部或部分元素与目标IPv6地址的第二多元组的全部或部分元素相同时,利用所述目标IPv4地址和所述目标IPv6地址形成IP地址对;
利用获得的多个IP地址对形成所述待处理IP地址集合;
其中,多元组包括操作系统OS信息、端口数、端口信息、服务信息、服务版本信息、主机名信息。
3.根据权利要求1或2所述的方法,其特征在于,
防火墙防护策略包括如下信息:源IP地址,源端口号,目的IP地址,目的端口号,动作信息;
所述确定所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度,包括:
分别计算所述第一防火墙策略中的每个元素和所述第二防火墙策略中的对应元素之间的文本相似度,得到多个文本相似度;
根据所述多个文本相似度,确定所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度。
4.根据权利要求1或2所述的方法,其特征在于,防火墙防护策略包括如下信息:源IP地址,源端口号,目的IP地址,目的端口号,动作信息;
所述确定所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度,包括:
根据所述第一防火墙防护策略形成第一策略图;
根据所述第二防火墙防护策略形成第二策略图;
将所述第一策略图和所述第二策略图之间的相似度,作为所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度。
5.根据权利要求4所述的方法,其特征在于,按照如下方式形成策略图:
将防火墙防护策略中的源IP地址、目的IP地址分别作为不同的点;
以防火墙防护策略中的源端口号作为角的顶点,形成第一角;以防火墙防护策略中的目的端口号作为角的顶点,形成第二角,其中,不同的端口号对应的角度不同;
以防火墙防护策略中的动作信息作为角的顶点,形成第三角;
利用所述点、所述第一角、所述第二角和所述第三角形成策略图。
6.根据权利要求1所述的方法,其特征在于,当所述第一防火墙防护策略和第二防火墙防护策略为一个时,所述基于所述相似度,得到调整策略,包括:
当所述相似度大于或等于相似度阈值时,确定所述第一防火墙防护策略和所述第二防火墙防护策略一致,无需进行策略调整;
当所述相似度小于所述相似度阈值时,确定所述第一防火墙防护策略和所述第二防火墙防护策略不一致,调整所述第一防火墙防护策略和所述第二防火墙防护策略一致。
7.根据权利要求1所述的方法,其特征在于,当所述第一防火墙防护策略为多个,或者第二防火墙防护策略为多个时,所述确定所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度,包括:
对于多个第一防火墙防护策略中的任意第一防火墙防护策略,确定所述第一防火墙防护策略和每个第二防火墙之间的相似度,得到多个相似度;
所述基于所述相似度,得到调整策略,包括:
当多个相似度均大于或等于相似度阈值时,确定所述第一防火墙防护策略和所述第二防火墙防护策略一致,无需进行策略调整;
当多个相似度中的一个或多个相似度小于所述相似度阈值时,确定所述第一防火墙防护策略和所述第二防火墙防护策略不一致,调整所述第一防火墙防护策略和所述第二防火墙防护策略一致。
8.一种策略分析装置,其特征在于,包括:
第一获取模块,用于分别获取IPv4地址集合和IPv6地址集合;
第二获取模块,用于对所述IPv4地址集合和所述IPv6地址集合进行资产指纹信息分析,得到待处理IP地址集合;其中,所述待处理IP地址集合中包括至少一个IP地址对,所述IP地址对包括IPv4地址和IPv6地址,每个IP地址对中的IPv4地址对应的资产指纹信息与IPv6地址对应的资产指纹信息完全相同或者部分相同;
第三获取模块,用于对于所述IP地址对中的任意第一IP地址对,获取所述第一IP地址对中的第一IPv4地址对应的第一防火墙防护策略以及所述第一IP地址对中的第一IPv6地址对应的第二防火墙防护策略;
第一确定模块,用于确定所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度;
第四获取模块,用于基于所述相似度,得到调整策略。
9.一种策略分析装置,其特征在于,包括:处理器和收发器;
所述处理器,用于:
分别获取IPv4地址集合和IPv6地址集合;
对所述IPv4地址集合和所述IPv6地址集合进行资产指纹信息分析,得到待处理IP地址集合;其中,所述待处理IP地址集合中包括至少一个IP地址对,所述IP地址对包括IPv4地址和IPv6地址,每个IP地址对中的IPv4地址对应的资产指纹信息与IPv6地址对应的资产指纹信息完全相同或者部分相同;
对于所述IP地址对中的任意第一IP地址对,获取所述第一IP地址对中的第一IPv4地址对应的第一防火墙防护策略以及所述第一IP地址对中的第一IPv6地址对应的第二防火墙防护策略;
确定所述第一防火墙防护策略和所述第二防火墙防护策略之间的相似度;
基于所述相似度,得到调整策略。
10.一种通信设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;其特征在于,
所述处理器,用于读取存储器中的程序实现如权利要求1至7中任一项所述的策略分析方法中的步骤。
11.一种可读存储介质,用于存储程序,其特征在于,所述程序被处理器执行时实现权利要求1至7中任一项所述的策略分析方法中的步骤。
CN202110778964.9A 2021-07-09 2021-07-09 一种策略分析方法、装置、设备及可读存储介质 Pending CN115603931A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110778964.9A CN115603931A (zh) 2021-07-09 2021-07-09 一种策略分析方法、装置、设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110778964.9A CN115603931A (zh) 2021-07-09 2021-07-09 一种策略分析方法、装置、设备及可读存储介质

Publications (1)

Publication Number Publication Date
CN115603931A true CN115603931A (zh) 2023-01-13

Family

ID=84840579

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110778964.9A Pending CN115603931A (zh) 2021-07-09 2021-07-09 一种策略分析方法、装置、设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN115603931A (zh)

Similar Documents

Publication Publication Date Title
US9270704B2 (en) Modeling network devices for behavior analysis
US8844041B1 (en) Detecting network devices and mapping topology using network introspection by collaborating endpoints
Coull et al. Playing Devil's Advocate: Inferring Sensitive Information from Anonymized Network Traces.
CN109587156B (zh) 异常网络访问连接识别与阻断方法、系统、介质和设备
US20060190998A1 (en) Determining firewall rules for reverse firewalls
US11743153B2 (en) Apparatus and process for monitoring network behaviour of Internet-of-things (IoT) devices
US8214522B2 (en) Internet protocol version 6 network connectivity in a virtual computer system
CN108965248B (zh) 一种基于流量分析的p2p僵尸网络检测系统及方法
CN108881328B (zh) 数据包过滤方法、装置、网关设备及存储介质
CN107733867B (zh) 一种发现僵尸网络及防护的方法、系统和存储介质
US20120047572A1 (en) Decapsulation of data packet tunnels to process encapsulated ipv4 or ipv6 packets
CN111835681A (zh) 一种大规模流量异常主机检测方法和装置
CN111698110B (zh) 一种网络设备性能分析方法、系统、设备及计算机介质
US11201852B2 (en) Network address translation
US10965642B2 (en) Network address translation
Samak et al. Firecracker: A framework for inferring firewall policies using smart probing
CN107493234B (zh) 一种基于虚拟网桥的报文处理方法以及装置
CN115603931A (zh) 一种策略分析方法、装置、设备及可读存储介质
US20140294006A1 (en) Direct service mapping for nat and pnat
US20230319095A1 (en) Assessing entity risk based on exposed services
CN112187743B (zh) 一种基于ip地址最长前缀的网络策略匹配方法及系统
Chomsiri et al. Limitation of listed-rule firewall and the design of tree-rule firewall
CN114244555A (zh) 一种安全策略的调整方法
CN115604219A (zh) 一种策略分析方法、装置、设备及可读存储介质
US20220407876A1 (en) Method for detection of lateral movement of malware

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination