CN116137600A - 防火墙的安全度预测方法及装置 - Google Patents

防火墙的安全度预测方法及装置 Download PDF

Info

Publication number
CN116137600A
CN116137600A CN202111362543.4A CN202111362543A CN116137600A CN 116137600 A CN116137600 A CN 116137600A CN 202111362543 A CN202111362543 A CN 202111362543A CN 116137600 A CN116137600 A CN 116137600A
Authority
CN
China
Prior art keywords
data
firewall
security
matching
preset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111362543.4A
Other languages
English (en)
Inventor
滕滨
陈春松
张琳
李洋
吴长领
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Information Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Information Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202111362543.4A priority Critical patent/CN116137600A/zh
Publication of CN116137600A publication Critical patent/CN116137600A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种防火墙的安全度预测方法及装置。所述方法包括:将任一时间点防火墙的各安全策略数据,与各安全策略数据一一对应的各预设审计数据,根据预设匹配规则一一进行匹配,获取各匹配记录;根据各所述匹配记录,生成策略合规性矩阵;根据所述策略合规性矩阵和预设权重矩阵,确定所述防火墙在所述时间点的安全度;所述预设审计数据为存在风险的防火墙安全策略。本申请实施例提供的防火墙的安全度预测方法能够在任一时间点对防火墙的安全度进行预测,以便在防火墙安全策略配置不合规性趋于恶化之前,及早进行预警处理。

Description

防火墙的安全度预测方法及装置
技术领域
本申请涉及网络信息安全技术领域,具体涉及一种防火墙的安全度预测方法及装置。
背景技术
大规模私有云资源池的防火墙策略的安全度的确定,通常采用人工审计的方式。但是,依靠人工查看防火墙底层配置,存在自动化程度不高,对防火墙策略的安全度预测不准确,且预测效率低的问题。
为此,相关技术中,可采用专业的策略审计设备确定防火墙策略的安全度。但是,现网部署的防火墙策略审计设备都是单一设备,对安全策略的指标量化、趋势分析处理有限,其往往只有在防火墙出现问题时,才针对该问题进行防火墙安全度的简单判断,无法提前对防火墙的策略配置的安全度进行预测,导致无法提早发现不安全因素以进行预警,从而使得对防火墙的安全度的预测效果差。
发明内容
本申请实施例提供一种防火墙的安全度预测方法及装置,能够在任一时间点对防火墙的安全度进行预测,以便在防火墙安全策略配置不合规性趋于恶化之前,及早进行预警处理。
第一方面,本申请实施例提供一种防火墙的安全度预测方法,包括:
将任一时间点防火墙的各安全策略数据,与各安全策略数据一一对应的各预设审计数据,根据预设匹配规则一一进行匹配,获取各匹配记录;
根据各所述匹配记录,生成策略合规性矩阵;
根据所述策略合规性矩阵和预设权重矩阵,确定所述防火墙在所述时间点的安全度;
所述预设审计数据为存在风险的防火墙安全策略。
在一个实施例中,所述将任一时间点防火墙的各安全策略数据,与各安全策略数据一一对应的各预设审计数据,根据预设匹配规则一一进行匹配,获取各匹配记录,包括:
根据所述安全策略数据中各第一数据的数据类型,从所述预设审计数据中,获取与各所述第一数据一一对应的各所述第二数据;
将所述第二数据根据所述预设匹配规则中与所述第一数据的数据类型对应的子规则进行匹配,获取匹配结果;
根据各所述匹配结果,生成与所述安全策略数据对应的所述匹配记录。
在一个实施例中,将所述第一数据与对应的预设审计数据,根据所述预设匹配规则中与所述第一数据的数据类型对应的子规则进行匹配,获取匹配结果,包括:
将所述第一数据与对应的所述第二数据,根据与所述第一数据的数据类型对应的所述子规则进行匹配;
当所述第一数据与所述第二数据之间符合所述子规则时,生成表示所述第一数据与所述第二数据相匹配的第一匹配结果;
否则,生成表示所述第一数据与所述第二数据不匹配的第一匹配结果。
在一个实施例中,所述预设权重矩阵根据所述防火墙当前所处的网络环境确定。
在一个实施例中,还包括:
将各所述时间点的安全度,根据各所述时间点对应的预设权重进行加权,获取未来时间点的安全度的预测值;
其中,所述时间点对应的预设权重,与所述时间点和所述未来时间点的时间差成反比。
在一个实施例中,所述预设权重由初始权重根据所述时间差调整后确定,所述初始权重根据各所述时间点的安全度的波动幅度确定。
在一个实施例中,在将任一时间点防火墙的各安全策略数据,与各安全策略数据一一对应的各预设审计数据,根据预设匹配规则一一进行匹配,获取各匹配记录之前,还包括:
将各所述安全策略数据进行冲突检测;
当检测到存在冲突时,生成预警信息;
否则,执行将任一时间点防火墙的各安全策略数据,与预设审计数据根据预设匹配规则进行匹配的步骤。
第二方面,本申请实施例提供一种防火墙的安全度预测装置,包括:
数据匹配模块,用于将任一时间点防火墙的各安全策略数据,与各安全策略数据一一对应的各预设审计数据,根据预设匹配规则一一进行匹配,获取各匹配记录;
矩阵生成模块,用于根据各所述匹配记录,生成策略合规性矩阵;
安全度预测模块,用于根据所述策略合规性矩阵和预设权重矩阵,确定所述防火墙在所述时间点的安全度;
所述预设审计数据为存在风险的防火墙安全策略。
第三方面,本申请实施例提供一种电子设备,包括处理器和存储有计算机程序的存储器,所述处理器执行所述程序时实现第一方面所述的防火墙的安全度预测方法的步骤。
第四方面,本申请实施例提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现第一方面所述的防火墙的安全度预测方法的步骤。
本申请实施例提供的防火墙的安全度预测方法及装置,通过将任一时间点的防火墙的各安全策略数据,与预设审计数据根据预设匹配规则进行匹配,获取各匹配记录后,根据由各匹配记录生成的策略合规性矩阵以及与预设权重矩阵,确定防火墙在该时间点的安全度,从而能够通过自动化的预测流程,在任一时间点将防火墙的安全策略进行量化,预测防火墙策略的安全度,避免在防火墙出现问题时再对防火墙的策略配置的安全度进行预测导致无法提早发现不安全因素的情况,进而能够在防火墙安全策略配置不合规性趋于恶化之前,及早进行预警。
附图说明
为了更清楚地说明本申请或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的防火墙的安全度预测方法的流程示意图;
图2是本发明提供的防火墙的安全度预测装置的结构示意图;
图3是本发明提供的电子设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面结合附图对本申请实施例进行详细的阐述。
参见图1,是本发明实施例提供的防火墙的安全度预测方法的流程示意图之一,该方法应用与电子设备中,其中电子设备具体可以是服务器或终端设备,用于预测防火墙策略的安全度。如图1所示,本实施例提供的一种防火墙的安全度预测方法包括:
步骤101,将任一时间点防火墙的各安全策略数据,与各安全策略数据一一对应的各预设审计数据,根据预设匹配规则一一进行匹配,获取各匹配记录;
步骤102,根据各所述匹配记录,生成策略合规性矩阵;
步骤103,根据所述策略合规性矩阵和预设权重矩阵,确定所述防火墙在所述时间点的安全度;
所述预设审计数据为存在风险的防火墙安全策略。
通过将任一时间点的防火墙的各安全策略数据,与预设审计数据根据预设匹配规则进行匹配,获取各匹配记录后,根据由各匹配记录生成的策略合规性矩阵以及与预设权重矩阵,确定防火墙在该时间点的安全度,从而能够通过自动化的预测流程,在任一时间点将防火墙的安全策略进行量化,预测防火墙策略的安全度,避免在防火墙出现问题时再对防火墙的策略配置的安全度进行预测导致无法提早发现不安全因素的情况,进而能够在防火墙安全策略配置不合规性趋于恶化之前,及早进行预警。
在步骤101中,防火墙的一条安全策略即为安全策略数据。每一条安全策略数据都预设有对应的预设审计数据。预设审计数据为安全策略检查的审计规则,该审计规则用于对防火墙的安全策略数据进行预测分析,当安全策略数据中的参数,与预设审计数据中设定的参数之间满足预设的匹配规则时,表明防火墙可能存在与该预设规则对应的风险。如安全策略中的地址端口信息为tcp 20,21,文件传输协议为FTP,与对应的预设审计数据中的地址端口信息以及文件传输协议相同,则其存在“允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4)”的风险。
示例性的,预设审计数据与可能产生的风险的对应关系可如下表所示:
Figure BDA0003359841370000061
Figure BDA0003359841370000071
其中,地址端口信息和服务为预设审计数据,风险说明为该预设审计数据对应产生的风险信息。
在一实施例中,预设匹配规则可以是匹配安全策略数据是否与预设审计数据相同,或者匹配安全策略数据是否属于预设审计数据。若是,则判定安全策略数据与预设审计数据相匹配,并记录其匹配程度;否则,判定安全策略数据与预设审计数据不匹配。
由于防火墙上的一条安全策略数据,其必备因素通常包括:dir-方向(出/入)、IP地址范围(源/目的)、端口号范围(源/目的)、protocal-传输协议类型、action-动作(允许/禁止)、creattime-策略创建时间,即一条安全策略数据,就是一个8维向量:
p=(dirp,ipStartp,ipEndp,portStartp,portEndp,protocalp,actionp,creattimep)
因此,为了使后续的安全度预测更为准确,需要将安全策略数据中每个维度的数据均与预设审计数据进行匹配。具体的,所述将任一时间点防火墙的各安全策略数据,与各安全策略数据一一对应的各预设审计数据,根据预设匹配规则一一进行匹配,获取各匹配记录,包括:
根据所述安全策略数据中各第一数据的数据类型,从所述预设审计数据中,获取与各所述第一数据一一对应的各所述第一数据;
将所述第二数据根据所述预设匹配规则中与所述第一数据的数据类型对应的子规则进行匹配,获取匹配结果;
根据各所述匹配结果,生成与所述安全策略数据对应的所述匹配记录。
在一实施例中,各第一数据即为安全策略数据在每个维度上的向量,如:
dirp,ipStartp,ipEndp,portStartp,portEndp,protocalp,actionp,creattimep
在从安全策略数据中获取各第一数据后,可先将各个第一数据依据对应的数据类型,按下表进行量化处理:
Figure BDA0003359841370000081
若一个防火墙上有n条安全策略数据,则所有的安全策略数据的集合可以表示为一个n×8的安全策略矩阵:
Figure BDA0003359841370000091
同样的,每条预设审计数据中也存在用于对进行各第一数据进行审计的各第二数据。当各第一数据的类型包括上述8个维度的数据类型时,则从预设审计数据中,获取上述8个维度的第二数据,即预设审计数据为:
r=(dirr,ipStartr,ipEndr,portStartr,portEndr,protocalr,actionr,nowtimer)
同理,为了便于运算,在得到各第二数据后,也可根据对应的数据类型,按下表进行量化处理:
Figure BDA0003359841370000092
其中,第一数据中策略创建时间的数据类型,在第二数据中对应的数据类型为当前审计时间。
假设共有m条预设审计数据,则所有预设审计数据同样可以表示为一个M×8的规范矩阵:
Figure BDA0003359841370000101
在一实施例中,在从预设审计数据中,根据各第一数据得数据类型,得到与一条安全策略数据中各第一数据一一对应的各第二数据后,可将各第一数据和各第二数据,根据预设匹配规则中,与数据类型对应的各子规则进行匹配。具体的,将所述第一数据与对应的预设审计数据,根据所述预设匹配规则中与所述第一数据的数据类型对应的子规则进行匹配,获取匹配结果,包括:
将所述第一数据与对应的所述第二数据,根据与所述第一数据的数据类型对应的所述子规则进行匹配;
当所述第一数据与所述第二数据之间符合所述子规则时,生成表示所述第一数据与所述第二数据相匹配的第一匹配结果;
否则,生成表示所述第一数据与所述第二数据不匹配的第一匹配结果。
如对于数据类型为dir的第一数据dirp以及第二数据dirr,对应的子规则为判断第一数据dirp是否属于第二数据dirr。若是,则判断匹配结果为第一数据dirp与第二数据dirr相匹配的第一匹配结果,并将第一匹配结果进行参数化,记录为1;否则,判断匹配结果第一数据dirp与第二数据dirr不匹配的第二匹配结果,并将第二匹配结果进行参数化,记录为0。
对于数据类型为ipStart和ipEnd的第一数据ipStartp、第一数据ipEndp,以及第二数据ipStartr、第二数据ipEndr,对应的子规则为判断第一数据ipStartp到第一数据ipEndp之间的IP范围,是否与第二数据ipStartr到第二数据ipEndr之间的IP范围存在交集;若存在,则生成表示第一数据ipStartp与第二数据ipStartr相匹配,同时第一数据ipEndp与第二数据ipEndr相匹配的第一匹配结果,并将两个IP范围的交集记录到第一匹配结果中;否则,生成第二匹配结果,并将第二匹配结果进行参数化,记录为0。
对于数据类型为portStart和portEnd的第一数据portStartp、第一数据portEndp,以及第二数据portStartr、第二数据portEndr,对应的子规则为判断第一数据portStartp到第一数据portEndp之间的port范围,是否与第二数据portStartr到第二数据portEndr之间的IP范围存在交集;若存在,则生成表示第一数据portStartp与第二数据portStartr相匹配,同时第一数据portEndp与第二数据portStartr相匹配的第一匹配结果,并将两个port范围的交集记录到第一匹配结果中;否则,生成第二匹配结果,并将第二匹配结果进行参数化,记录为0。
对于数据类型为protocal的第一数据protocalp以及第二数据protocalr,对应的子规则为判断第一数据protocalp是否属于第二数据protocalr。若是,则判断匹配结果为第一数据protocalp与第二数据protocalr相匹配的第一匹配结果,并将第一匹配结果进行参数化,记录为1;否则,判断匹配结果第一数据protocalp与第二数据protocalr不匹配的第二匹配结果,并将第二匹配结果进行参数化,记录为0。
对于数据类型为action的第一数据actionp以及第二数据actionr,对应的子规则为判断第一数据actionp是否与第二数据actionr相同。若是,则判断匹配结果为第一数据actionp与第二数据actionr相匹配的第一匹配结果,并将第一匹配结果进行参数化,记录为1;否则,判断匹配结果第一数据actionp与第二数据actionr不匹配的第二匹配结果,并将第二匹配结果进行参数化,记录为0。
而对于数据类型为creatime的第一数据creattimep,以及与creatime对应的数据类型nowtime的第二数据nowtimer,则于其他数据类型不同,其对应的子规则为检测第二数据nowtimer与第一数据creattimep之间的时间差t,并将匹配结果记录为:
Figure BDA0003359841370000121
在一实施例中,在得到各第一数据与各第二数据的匹配结果后,即可将各匹配结果对应的参数进行相乘,各匹配结果对应的参数的乘积,即为与安全策略数据对应的参数化的匹配记录Mij
通过将安全策略数据中各维度的数据均进行匹配,使得在与预设审计数据进行匹配时,考虑了组成防火墙的所有数据的影响因素,从而使得到的匹配结果更为全面的体现防火墙在该时间点的安全审计结果,进而提高后续进行防火墙安全度预测时的准确性。
在步骤102中,在得到每个安全策略数据对应的各匹配记录Mij后,即可将所有的匹配记录进行整合,从而得到一个策略合规性矩阵Match。
在步骤103中,针对不同的安全策略数据的数据类型,在预设权重矩阵中可配置不同的权重分数。具体权重分数值得设置可根据实际情况进行设定。
在一实施例中,在生成策略合规性矩阵Match后,即可将其与预设权重矩阵W进行相乘,得到由各安全策略数据的评分形成的安全度矩阵:
Figure BDA0003359841370000122
在得到由各安全策略数据的评分形成的安全度矩阵后,将安全度矩阵中的各评分相加,即可确定防火墙在对应时间点的安全度为:
Figure BDA0003359841370000123
该值代表了一个防火墙在特定的网络环境下安全策略配置情况的一个综合评分,能够体现出防火墙策略的安全情况。若安全度的值越高,则表示越不安全。当取值为0时,则代表所有安全策略数据对应的安全策略均符合审计规则。
考虑到防火墙的安全度会受网络环境的影响,因此为使防火墙的安全度预测更为准确,在一实施例中,所述预设权重矩阵根据所述防火墙当前所处的网络环境确定。
在一实施例中,网络环境包括内网环境和外网环境。对于不同的网络环境,预设有不同的权重矩阵。在确定各安全策略数据的评分之前,预先检测防火墙当前所处的网络环境,根据检测到的网络环境,获取对应的权重矩阵,再根据获取到的权重矩阵和策略合规性矩阵,来确定各安全策略数据的评分。从而避免由于网络环境的影响导致最终预测到的防火墙的安全度不准确,进而提高对防火墙安全度预测的准确性。
为了能够更早地进行预警,在一实施例中,在确定任一时间点的防火墙的安全度后,还包括:
将各所述时间点的安全度,根据各所述时间点对应的预设权重进行加权,获取未来时间点的安全度的预测值;
其中,所述时间点对应的预设权重,与所述时间点和所述未来时间点的时间差成反比。
在一实施例中,电子设备的数据库中,可预先存储有时差与预设权重的对应关系表。在对应关系表中,若时差越大,对应的预设权重则越小。在得到任一时间点对应的防火墙安全度后,可根据各时间点与未来时间点的时差,从对应关系表中获取每个时间点对应的预设权重,然后将每个时间点的安全度,根据每个时间点的预设权重进行加权,即可得到未来时间点的安全度的预测值。
通过获取防火墙安全度的时间序列,并利用防火墙安全度的时间序列,对防火墙安全度的走势做趋势预测分析,从而能够在防火墙安全策略配置不合规性趋于恶化之前,提前预知防火墙安全策略不合规,进而能够更早地进行预警处理。
为使对未来时间点的安全度的预测更为准确,在一实施例中,还可通过指数平滑法进行未来时间点的安全度的预测。指数平滑法分为一次指数平滑法、二次指数平滑法和三次指数平滑法等,它们的基本思想都是:预测值是以前观测值的加权和,且对不同的数据给予不同的权数,新数据给予较大的权数,旧数据给予较小的权数。由于可能存在人为调整安全策略导致安全度变化较大的情况,防火墙安全度的走向呈现一定的趋势性和季节性,而三次指数平滑在时间序列存在一定的趋势性和季节性上,有很好的预测效果,因此可选择采用三次指数平滑法来对未来时间点的安全度进行预测。
示例性的,针对某个时间点t,在其后的T未来时间点,其安全度的三次指数平滑预测值的数学模型为:
Figure BDA0003359841370000141
Figure BDA0003359841370000142
Figure BDA0003359841370000143
Figure BDA0003359841370000144
其中,
Figure BDA0003359841370000145
为t+T时刻的预测值,at,bt,ct是预测公式中的三个系数,
Figure BDA0003359841370000146
分别为t时刻的一次、二次、三次指数平滑的取值;α是预设权重,α的取值范围是[0-1],其值是主观选定的,值越大表示对未来时间点防火墙的安全度预测中,越靠近未来时间点的时间点对应的安全度权重越大。
为进一步提高对未来时间点的防火墙的安全度预测的准确性,在一实施例中,所述预设权重由初始权重根据所述时间差调整后确定,所述初始权重根据各所述时间点的安全度的波动幅度确定。
示例性的,当各时间点对应的安全度比较平稳,即安全度的时间序列比较平稳时,可以选择较小初始权重,如0.05-0.20。当安全度的时间序列有波动,但长期趋势没大的变化,可选稍大的初始权重,如0.10-0.40。当安全度的时间序列波动很大,长期趋势变化大有明显的上升或下降趋势时,则选择较大的初始权重,如0.0.60-0.80。当安全度的时间序列是上升或下降序列,即安全度随着时间点的增大而上升或下降时,选择较大的初始权重,如0.60-1。
通过检测各时间点的安全度的波动幅度,来获得对应的初始权重,再根据各时间点与未来时间点的时间差,来调整初始权重,使得最终确定的时间点的预设权重,与防火墙的安全度的实际变化趋势更吻合,从而进一步提高对未来时间点的防火墙的安全度预测的准确性。
除通过各时间点的安全度的波动幅度来确定初始权重外,还可以线性规划最优求解法来确定初始权重。如通过引入预测的均方差的概念来判断初始权重α是否准确,即可设:
Figure BDA0003359841370000151
其中St是t时刻的平滑值,yt是t时刻的预测值,那么上式构成了一个初始权重α′关于σ的函数σ(α′),则最优α′的确认变成了求解方差函数σ(α′)最小值的问题,此时可以直接采用线性规划法对其进行求解,在此不做赘述。
考虑到防火墙的安全策略之间经常会出现冲突或遗漏的情况发生,此时即使确定出防火墙对应的安全度,该防火墙的安全策略也可能由于出现冲突而需要进行修改,使得在安全策略冲突的情况下得到的安全度并不具备较好的参考性,导致电子设备中的运算资源被浪费,影响安全度的预测效率。为此,在一实施例中,在将任一时间点防火墙的各安全策略数据,与各安全策略数据一一对应的各预设审计数据,根据预设匹配规则一一进行匹配,获取各匹配记录之前,还包括:
将各所述安全策略数据进行冲突检测;
当检测到存在冲突时,生成预警信息;
否则,执行将任一时间点防火墙的各安全策略数据,与预设审计数据根据预设匹配规则进行匹配的步骤。
在一实施例中,各安全策略数据的冲突检测,可包括单策略的基本合规性检测、单防火墙的策略中途检测以及基于业务路径的策略冲突检测三层。
对于基本合规性检测,可以为针对每一条单独的安全策略数据,先根据第一自定义规则,判断其源/目的地址范围是否合规,以及根据第二自定义规则,判断其源/目的端口号范围是否合规,以及根据第三自定义规则,判断其传输协议是否合规;若其中任一条不合规,则判断该安全策略数据存在冲突;否则,判断该安全策略数据合规。
对于基本合规性检测后通过的各安全策略数据,再进行基于单防火墙的策略冲突检测。具体的,判断安全策略数据中的动作,在端口列表中的记录,与端口通断表中的记录是否一致;若一致,则判断合规;否则,判断该安全策略数据存在冲突。示例性的,若端口列表中的记录允许安全策略数据中的动作通过,而端口通断表中的记录不允许该安全策略数据中的动作通过,此时则判定该安全策略数据存在冲突。
针对云上的业务系统而言,一般情况下会经过内网防火墙和外网防火墙两道门才能将业务分发出去,由于两个防火墙的策略是分开配置的,有时会出现策略冲突的可能性,导致业务不通。因此对于基于单防火墙的策略冲突检测后通过的各安全策略数据,还需再进行基于业务路径的多防火墙策略冲突检测。具体的,检测安全策略数据是否与业务路径上另一防火墙的安全策略数据出现冲突,若是,则判断该安全策略数据存在冲突,否则,判断该安全策略数据合规。
在上述三层策略冲突检测中,若任一层检测到安全策略数据存在冲突,则生成预警信息,并发送预警信息至指定终端进行告警。若通过上述三层策略冲突检测后,各安全策略数据均合规,则进行安全度预测。
通过在检测到各安全策略数据均不存在冲突时,再进行防火墙的安全度预测,从而避免运算资源被浪费,提高防火墙安全度的预测效率。
下面对本发明提供的防火墙的安全度预测装置进行描述,下文描述的防火墙的安全度预测装置与上文描述的防火墙的安全度预测方法可相互对应参照。
在一实施例中,如图2所示,提供了一种防火墙的安全度预测装置,包括:
数据匹配模块210,用于将任一时间点防火墙的各安全策略数据,与各安全策略数据一一对应的各预设审计数据,根据预设匹配规则一一进行匹配,获取各匹配记录;
矩阵生成模块220,用于根据各所述匹配记录,生成策略合规性矩阵;
安全度预测模块230,用于根据所述策略合规性矩阵和预设权重矩阵,确定所述防火墙在所述时间点的安全度;
所述预设审计数据为存在风险的防火墙安全策略。
在一实施例中,数据匹配模块210具体用于:
根据所述安全策略数据中各第一数据的数据类型,从所述预设审计数据中,获取与各所述第一数据一一对应的各所述第二数据;
将所述第二数据根据所述预设匹配规则中与所述第一数据的数据类型对应的子规则进行匹配,获取匹配结果;
根据各所述匹配结果,生成与所述安全策略数据对应的所述匹配记录。
在一实施例中,数据匹配模块210具体用于:
将所述第一数据与对应的所述第二数据,根据与所述第一数据的数据类型对应的所述子规则进行匹配;
当所述第一数据与所述第二数据之间符合所述子规则时,生成表示所述第一数据与所述第二数据相匹配的第一匹配结果;
否则,生成表示所述第一数据与所述第二数据不匹配的第一匹配结果。
在一实施例中,所述预设权重矩阵根据所述防火墙当前所处的网络环境确定。
在一实施例中,安全度预测模块230还用于:
将各所述时间点的安全度,根据各所述时间点对应的预设权重进行加权,获取未来时间点的安全度的预测值;
其中,所述时间点对应的预设权重,与所述时间点和所述未来时间点的时间差成反比。
在一实施例中,所述预设权重由初始权重根据所述时间差调整后确定,所述初始权重根据各所述时间点的安全度的波动幅度确定。
在一实施例中,数据匹配模块210还用于:
将各所述安全策略数据进行冲突检测;
当检测到存在冲突时,生成预警信息;
否则,执行将任一时间点防火墙的各安全策略数据,与预设审计数据根据预设匹配规则进行匹配的步骤。
图3示例了一种电子设备的实体结构示意图,如图3所示,该电子设备可以包括:处理器(processor)810、通信接口(Communication Interface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的计算机程序,以执行防火墙的安全度预测方法的步骤,例如包括:
将任一时间点防火墙的各安全策略数据,与各安全策略数据一一对应的各预设审计数据,根据预设匹配规则一一进行匹配,获取各匹配记录;
根据各所述匹配记录,生成策略合规性矩阵;
根据所述策略合规性矩阵和预设权重矩阵,确定所述防火墙在所述时间点的安全度;
所述预设审计数据为存在风险的防火墙安全策略。
此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本申请实施例还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,所述计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各实施例所提供的防火墙的安全度预测方法的步骤,例如包括:
将任一时间点防火墙的各安全策略数据,与各安全策略数据一一对应的各预设审计数据,根据预设匹配规则一一进行匹配,获取各匹配记录;
根据各所述匹配记录,生成策略合规性矩阵;
根据所述策略合规性矩阵和预设权重矩阵,确定所述防火墙在所述时间点的安全度;
所述预设审计数据为存在风险的防火墙安全策略。
另一方面,本申请实施例还提供一种处理器可读存储介质,所述处理器可读存储介质存储有计算机程序,所述计算机程序用于使处理器执行上述各实施例提供的方法的步骤,例如包括:
将任一时间点防火墙的各安全策略数据,与各安全策略数据一一对应的各预设审计数据,根据预设匹配规则一一进行匹配,获取各匹配记录;
根据各所述匹配记录,生成策略合规性矩阵;
根据所述策略合规性矩阵和预设权重矩阵,确定所述防火墙在所述时间点的安全度;
所述预设审计数据为存在风险的防火墙安全策略。
所述处理器可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NANDFLASH)、固态硬盘(SSD))等。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (10)

1.一种防火墙的安全度预测方法,其特征在于,包括:
将任一时间点防火墙的各安全策略数据,与各安全策略数据一一对应的各预设审计数据,根据预设匹配规则一一进行匹配,获取各匹配记录;
根据各所述匹配记录,生成策略合规性矩阵;
根据所述策略合规性矩阵和预设权重矩阵,确定所述防火墙在所述时间点的安全度;
所述预设审计数据为存在风险的防火墙安全策略。
2.根据权利要求1所述的防火墙的安全度预测方法,其特征在于,所述将任一时间点防火墙的各安全策略数据,与各安全策略数据一一对应的各预设审计数据,根据预设匹配规则一一进行匹配,获取各匹配记录,包括:
根据所述安全策略数据中各第一数据的数据类型,从所述预设审计数据中,获取与各所述第一数据一一对应的各所述第二数据;
将所述第二数据根据所述预设匹配规则中与所述第一数据的数据类型对应的子规则进行匹配,获取匹配结果;
根据各所述匹配结果,生成与所述安全策略数据对应的所述匹配记录。
3.根据权利要求2所述的防火墙的安全度预测方法,其特征在于,将所述第一数据与对应的预设审计数据,根据所述预设匹配规则中与所述第一数据的数据类型对应的子规则进行匹配,获取匹配结果,包括:
将所述第一数据与对应的所述第二数据,根据与所述第一数据的数据类型对应的所述子规则进行匹配;
当所述第一数据与所述第二数据之间符合所述子规则时,生成表示所述第一数据与所述第二数据相匹配的第一匹配结果;
否则,生成表示所述第一数据与所述第二数据不匹配的第一匹配结果。
4.根据权利要求1所述的防火墙的安全度预测方法,其特征在于,所述预设权重矩阵根据所述防火墙当前所处的网络环境确定。
5.根据权利要求1-4任意一项所述的防火墙的安全度预测方法,其特征在于,还包括:
将各所述时间点的安全度,根据各所述时间点对应的预设权重进行加权,获取未来时间点的安全度的预测值;
其中,所述时间点对应的预设权重,与所述时间点和所述未来时间点的时间差成反比。
6.根据权利要求5所述的防火墙的安全度预测方法,其特征在于,所述预设权重由初始权重根据所述时间差调整后确定,所述初始权重根据各所述时间点的安全度的波动幅度确定。
7.根据权利要求1所述的防火墙的安全度预测方法,其特征在于,在将任一时间点防火墙的各安全策略数据,与各安全策略数据一一对应的各预设审计数据,根据预设匹配规则一一进行匹配,获取各匹配记录之前,还包括:
将各所述安全策略数据进行冲突检测;
当检测到存在冲突时,生成预警信息;
否则,执行将任一时间点防火墙的各安全策略数据,与预设审计数据根据预设匹配规则进行匹配的步骤。
8.一种防火墙的安全度预测装置,包括:
数据匹配模块,用于将任一时间点防火墙的各安全策略数据,与各安全策略数据一一对应的各预设审计数据,根据预设匹配规则一一进行匹配,获取各匹配记录;
矩阵生成模块,用于根据各所述匹配记录,生成策略合规性矩阵;
安全度预测模块,用于根据所述策略合规性矩阵和预设权重矩阵,确定所述防火墙在所述时间点的安全度;
所述预设审计数据为存在风险的防火墙安全策略。
9.一种电子设备,包括处理器和存储有计算机程序的存储器,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述的防火墙的安全度预测方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7任一项所述的防火墙的安全度预测方法的步骤。
CN202111362543.4A 2021-11-17 2021-11-17 防火墙的安全度预测方法及装置 Pending CN116137600A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111362543.4A CN116137600A (zh) 2021-11-17 2021-11-17 防火墙的安全度预测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111362543.4A CN116137600A (zh) 2021-11-17 2021-11-17 防火墙的安全度预测方法及装置

Publications (1)

Publication Number Publication Date
CN116137600A true CN116137600A (zh) 2023-05-19

Family

ID=86334095

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111362543.4A Pending CN116137600A (zh) 2021-11-17 2021-11-17 防火墙的安全度预测方法及装置

Country Status (1)

Country Link
CN (1) CN116137600A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117201189A (zh) * 2023-11-03 2023-12-08 北京微步在线科技有限公司 一种防火墙联动方法、装置、计算机设备和存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117201189A (zh) * 2023-11-03 2023-12-08 北京微步在线科技有限公司 一种防火墙联动方法、装置、计算机设备和存储介质
CN117201189B (zh) * 2023-11-03 2024-01-30 北京微步在线科技有限公司 一种防火墙联动方法、装置、计算机设备和存储介质

Similar Documents

Publication Publication Date Title
AU2017437537B2 (en) Training tree-based machine-learning modeling algorithms for predicting outputs and generating explanatory data
CN112884016B (zh) 云平台可信评估模型训练方法和云平台可信评估方法
RU2592460C1 (ru) Система и способ управления привилегиями потребителей персональных данных
McIntosh Improving the evaluation of model fit in confirmatory factor analysis: A commentary on Gundy, CM, Fayers, PM, Groenvold, M., Petersen, M. Aa., Scott, NW, Sprangers, MAJ, Velikov, G., Aaronson, NK (2011). Comparing higher-order models for the EORTC QLQ-C30. Quality of Life Research, doi: 10.1007/s11136-011-0082-6
CN116137600A (zh) 防火墙的安全度预测方法及装置
CN111860568B (zh) 数据样本的均衡分布方法、装置及存储介质
CN114125848A (zh) 一种电力移动互联业务安全防护方法及系统
WO2023219647A2 (en) Nlp based identification of cyberattack classifications
CN112686369A (zh) 中心方选择方法、存储介质和系统
CN116067524B (zh) 一种用于油浸变压器内部组件的实时温度监测方法
CN115277250B (zh) 一种车端攻击路径识别方法、设备和存储介质
CN111680346A (zh) 户型图补全方法和装置、计算机可读存储介质、电子设备
CN116319026A (zh) 一种零信任架构中的信任评估方法、装置及电子设备
CN116599688A (zh) 基于探针机制实现车载防火墙上报告警事件的方法及系统
CN117391214A (zh) 模型训练方法、装置及相关设备
RU2589863C2 (ru) Система и способ оценки ресурсов в компьютерной сети с позиции объектов интереса
JP7075362B2 (ja) 判定装置、判定方法及び判定プログラム
CN110782276B (zh) 一种访问分流策略干扰判断方法、装置及电子设备
CN109436980B (zh) 电梯部件的状态检测方法和系统
CN115134805B (zh) 预测潜在携入的异网号码的方法、装置、设备及存储介质
WO2023144905A1 (ja) 情報処理装置、情報処理方法及び非一時的なコンピュータ可読媒体
Ramos et al. Adaptive local false discovery rate procedures for highly spiky data and their application RNA sequencing data of yeast SET4 deletion mutants
RU2783224C1 (ru) Способ определения уязвимостей программного обеспечения, формирующих условия для нарушения безопасности информации в информационной системе вследствие компьютерной атаки
US20220405632A1 (en) Machine learning replacements for legacy cyber security
WO2021161440A1 (ja) 音声品質推定装置、音声品質推定方法及びプログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination