CN117499148A - 一种网络访问控制方法、装置、设备及存储介质 - Google Patents

一种网络访问控制方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN117499148A
CN117499148A CN202311617708.7A CN202311617708A CN117499148A CN 117499148 A CN117499148 A CN 117499148A CN 202311617708 A CN202311617708 A CN 202311617708A CN 117499148 A CN117499148 A CN 117499148A
Authority
CN
China
Prior art keywords
network
strategy
policy
network information
access control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311617708.7A
Other languages
English (en)
Inventor
孙士斌
王立波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Agricultural Bank of China
Original Assignee
Agricultural Bank of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Agricultural Bank of China filed Critical Agricultural Bank of China
Priority to CN202311617708.7A priority Critical patent/CN117499148A/zh
Publication of CN117499148A publication Critical patent/CN117499148A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/213Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2411Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/10Machine learning using kernel methods, e.g. support vector machines [SVM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Medical Informatics (AREA)
  • General Business, Economics & Management (AREA)
  • Mathematical Physics (AREA)
  • Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络访问控制方法、装置、设备及存储介质。包括:获取历史网络信息,根据历史网络信息生成策略规则库;根据策略规则库构建分类模型;获取待测网络信息,根据分类模型确定待测网络信息对应的策略脚本,调用策略脚本进行网络访问控制。通过对历史的防火墙策略日志和网络访问相关信息进行清洗和格式化处理生成策略规则库,通过支持向量机机算法进行分类和特征提取建立分类模型,通过分类模型即可确定待测网络信息对应的网络访问控制关系,进而生成策略脚本,以适应不断变化的网络攻击和防御需求,提高了防火墙设备对各种攻击的防范能力,同时降低了维护成本,提升了企业的整体安全性能,节约了人工成本,提高了工作效率。

Description

一种网络访问控制方法、装置、设备及存储介质
技术领域
本发明涉及防火墙技术领域,尤其涉及一种网络访问控制方法、装置、设备及存储介质。
背景技术
随着近年来银行金融业的迅猛发展,支撑银行业务的网络系统也面临更大的压力,网络工作日渐繁重。银行业务对网络的可用性、可靠性和及时性都有着很高的要求,同时金融业也面临着越来越多的安全挑战和工作要求。采用现代化的网络安全防御方式来保障网络系统和客户数据的安全,也成为网络工作的一大重点,网络控制访问技术正是业内广泛采用的保障网络安全的关键技术。
传统的网络访问控制策略生成中存在以下问题:银行数据中心网络防火墙设备因为多年运维存在大量老旧策略,随着全新业务量的上升,新的访问策略仍在呈几何式增长,造成了数据中心现有整体网络访问控制策略复杂难懂,新增策略容易存在重复添加的问题;数据中心现存防火墙设备品牌众多,不同厂商设备策略日志语言差异极大,学习成本较高且人工编写成本也极高;策略不易动态维护,造成往往只能增加难以减少的局面。
发明内容
本发明提供了一种网络访问控制方法、装置、设备及存储介质,以提高网络访问控制策略生成的准确性和效率,降低漏检率,提高防火墙管理的灵活性和自适应性。
根据本发明的一方面,提供了一种网络访问控制方法,该方法包括:
获取历史网络信息,根据历史网络信息生成策略规则库;
根据策略规则库构建分类模型;
获取待测网络信息,根据分类模型确定待测网络信息对应的策略脚本,调用策略脚本进行网络访问控制。
可选的,获取历史网络信息,包括:获取各指定厂商的防火墙策略日志和网络访问相关信息;将防火墙策略日志和网络访问相关信息存入指定地址以生成历史网络信息。
可选的,根据历史网络信息生成策略规则库,包括:根据预设的清洗规则确定历史网络信息中的待清洗数据,其中,待清洗数据包括空值、重复值、错误值和异常值;将历史网络信息中的待清洗数据进行删除以生成清洗后的历史网络信息;对清洗后的历史网络信息进行标记生成标记后的历史网络信息;将标记后的历史网络信息进行指定语法规则转化以生成标准网络策略;根据各标准网络策略生成策略规则库。
可选的,对清洗后的历史网络信息进行标记生成标记后的历史网络信息,包括:获取策略语法库,其中,策略语法库中包括各策略元素;通过策略语法库对清洗后的历史网络信息进行匹配,以确定与清洗后的历史网络信息对应的各目标策略元素;通过各目标策略元素对清洗后的历史网络信息进行标记生成标记后的历史网络信息。
可选的,根据策略规则库构建分类模型,包括:通过预设的特征提取算法从标准网络策略中提取特征信息,其中,特征信息包括源IP、目的IP、端口、传输协议、策略描述和源目的所属分区;通过分类算法根据特征信息确定标准网络策略对应的特征类别,其中,特征类别包括端口占用率、策略使用情况和跨分区非法访问情况;通过支持向量机对特征类别和标准网络策略进行训练以生成分类模型,其中,分类模型包括特征类别和标准网络策略的对应关系。
可选的,根据分类模型确定待测网络信息对应的策略脚本,包括:将待测网络信息输入分类模型,并获取分类模型输出的目标访问控制策略;确定目标访问控制策略标记的标记策略元素,根据目标访问控制策略和标记策略元素生成网络访问控制关系;将网络访问控制关系进行指定格式转换以生成策略脚本。
可选的,在调用策略脚本进行网络访问控制之后,还包括:获取访问监控参数,其中,访问监控参数包括网络流量变化和防火墙设备负载状态;当访问监控参数满足预设条件时,根据访问相关信息对标准网络策略进行调整以生成调整网络策略,根据调整网络策略进行网络控制访问。
根据本发明的另一方面,提供了一种网络访问控制装置,该装置包括:
策略规则库生成模块,用于获取历史网络信息,根据历史网络信息生成策略规则库;
分类模型构建模块,用于根据策略规则库构建分类模型;
网络访问控制模块,用于获取待测网络信息,根据分类模型确定待测网络信息对应的策略脚本,调用策略脚本进行网络访问控制。
根据本发明的另一方面,提供了一种电子设备,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明任一实施例所述的一种网络访问控制方法。
根据本发明的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本发明任一实施例所述的一种网络访问控制方法。
本发明实施例的技术方案,通过对历史的防火墙策略日志和网络访问相关信息进行清洗和格式化处理生成策略规则库,通过支持向量机机算法进行分类和特征提取建立分类模型,通过分类模型即可确定待测网络信息对应的网络访问控制关系,进而生成策略脚本,以适应不断变化的网络攻击和防御需求,提高了防火墙设备对各种攻击的防范能力,同时降低了维护成本,提升了企业的整体安全性能,节约了人工成本,提高了工作效率。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例一提供的一种网络访问控制方法的流程图;
图2是根据本发明实施例一提供的一种网络访问控制系统的结构示意图;
图3是根据本发明实施例一提供的另一种网络访问控制方法的流程图;
图4是根据本发明实施例二提供的另一种网络访问控制方法的流程图;
图5是根据本发明实施例三提供的一种网络访问控制装置的结构示意图;
图6是实现本发明实施例的一种网络访问控制方法的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例一
图1为本发明实施例一提供了一种网络访问控制方法的流程图,本实施例可适用于通过防火墙进行网络运维的情况,该方法可以由网络访问控制装置来执行,该网络访问控制装置可以采用硬件和/或软件的形式实现,该网络访问控制装置可配置于计算机控制器中。如图1所示,该方法包括:
S110、获取历史网络信息,根据历史网络信息生成策略规则库。
其中,历史网络信息是指抓取的现存防火墙访问控制策略日志和其他网络信息。策略规则库中包括规范化后的多条标准网络控制策略。网络访问控制策略是指网络安全的基本措施,用于控制网络用户及设备对网络资源的访问行为,以防止网络攻击和未授权访问。
具体的,本发明实施例的技术方案是基于支持向量机(Support vectormachines,SVM)的网络访问控制策略管理和自动生成及优化的系统,SVM是一种常见的机器学习算法,用于分类和回归分析,其基本思想是找到一个最优的分离超平面,将不同类别的数据点分隔开。图2为本发明实施例一提供了一种网络访问控制系统的结构示意图,如图2所示,该系统包括:网络访问控制策略提取模块、模型训练模块、网络访问控制策略生成和优化模块以及测试评估模块。其中,网络访问控制策略提取模块用于控制策略提取、语法规则化、数据集标记和规则库建立。模型训练模块用于策略数据预处理、策略特征提取、SVM模型训练和SVM模型优化。网络访问控制策略生成和优化模块用于生成访问控制关系、策略脚本自动生成、历史策略优化和策略风险评估。测试评估模块用于策略测试和策略评估。
图3为本发明实施例一提供了一种网络访问控制方法的流程图,步骤S110主要包括如下的步骤S111至步骤S115:
S111、获取历史网络信息。
可选的,获取历史网络信息,包括:获取各指定厂商的防火墙策略日志和网络访问相关信息;将防火墙策略日志和网络访问相关信息存入指定地址以生成历史网络信息。
具体的,对于不同厂商的现有主流防火墙策略的语法差异性,通过网络访问控制策略提取模块可以对防火墙策略日志和网络访问相关信息进行抓取,并将数据存储在指定地址的数据库中。
S112、根据预设的清洗规则确定历史网络信息中的待清洗数据,其中,待清洗数据包括空值、重复值、错误值和异常值。
S113、将历史网络信息中的待清洗数据进行删除以生成清洗后的历史网络信息。
具体的,通过网络访问控制策略提取模块可以对历史网络信息进行清洗、去重、格式化和标记。清洗数据过程中,需要处理可能存在的空值、重复值、错误值和异常值问题,以确保数据的完整性和准确性。
S114、对清洗后的历史网络信息进行标记生成标记后的历史网络信息。
可选的,对清洗后的历史网络信息进行标记生成标记后的历史网络信息,包括:获取策略语法库,其中,策略语法库中包括各策略元素;通过策略语法库对清洗后的历史网络信息进行匹配,以确定与清洗后的历史网络信息对应的各目标策略元素;通过各目标策略元素对清洗后的历史网络信息进行标记生成标记后的历史网络信息。
具体的,通过网络访问控制策略提取模块还可以检查策略语法,并标记策略中的各种元素信息,以便后续的处理和使用。标记过程中,系统根据预先建立的策略语法库,策略语法库中包括各策略元素,通过策略语法库对清洗后的历史网络信息进行匹配即可对清洗后的历史网络信息中的目标策略元素进行标记。
S115、将标记后的历史网络信息进行指定语法规则转化以生成标准网络策略,根据各标准网络策略生成策略规则库。
具体的,针对不同厂商现有主流网络访问控制策略的语法差异性,利用自然语言处理技术提取网络访问控制策略语法,并将其转化为适应机器学习模型的数据格式。这样做可以保证机器学习算法的输入数据规范化和兼容性,提高网络访问控制策略生成的准确性和效率。进一步的,在访问控制策略提取和规范化处理之后,系统需要进一步建立策略规则库。建立策略规则库时,系统通过长期的经验积累和网络运维专家指导,收集和整理常见或重要的网络访问控制策略,形成策略规则库。
S120、根据策略规则库构建分类模型。
具体的,通过模型训练模块可以从策略规则库的标准网络策略中提取关键属性特征,并使用机器学习算法生成分类模型。在构建分类模型前,模型训练模块也会对策略规则库中的标准网络策略按照指定规则进行预处理,预处理可以包括数据清洗、去噪、格式化和标记。通过对标准网络策略进行预处理,可以进一步提高数据的准确性。
S130、获取待测网络信息,根据分类模型确定待测网络信息对应的策略脚本,调用策略脚本进行网络访问控制。
可选的,根据分类模型确定待测网络信息对应的策略脚本,包括:将待测网络信息输入分类模型,并获取分类模型输出的目标访问控制策略;确定目标访问控制策略标记的标记策略元素,根据目标访问控制策略和标记策略元素生成网络访问控制关系;将网络访问控制关系进行指定格式转换以生成策略脚本。
具体的,通过将待测网络信息输入分类模型,可以对待测网络信息进行特征提取,然后进行访问控制策略匹配,即可确定待测网络信息对应的目标访问控制策略,网络访问控制策略生成和优化模块可以根据目标访问控制策略和标记策略元素生成网络访问控制关系,并将将网络访问控制关系进行指定格式转换以生成策略脚本。具体可以使用自然语言处理技术自动生成策略脚本。示例性的,先将访问控制关系转换为可以用于自然语言处理的语格式,接着使用自然语言处理技术将数据转换成相应的格式,最终生成策略脚本。
可选的,在调用策略脚本进行网络访问控制之后,还包括:获取访问监控参数,其中,访问监控参数包括网络流量变化和防火墙设备负载状态;当访问监控参数满足预设条件时,根据访问相关信息对标准网络策略进行调整以生成调整网络策略,根据调整网络策略进行网络控制访问。
具体的,网络访问控制策略生成和优化模块还用于对访问控制策略进行调整优化,利用实时监测到的网络流量和网络威胁咨询数据,以及底层防火墙设备的负载状态等信息,对生成的网络访问控制策略进行调优,以进一步提高网络的安全性和稳定性,降低网络控制的复杂性。具体实施时可以根据网络流量的变化和防火墙设备的负载状态等信息,动态优化调整网络访问控制策略,以确保策略的稳定和可靠。
进一步的,本实施例还包括测试评估模块对生成的目标网络访问控制策略进行测试评估,测试评估模块可以通过预先定义标准的性能指标和模拟测试,以评估和测试生成的目标网络访问控制策略的策略脚本是否能在实际应用中达到最优性能,从而进一步提高网络的安全性和稳定性。
在一个具体的实施方式中,该模块的实现可以分为以下几个步骤:制定性能指标和模拟测试计划,以确保生成的目标网络访问控制策略在实际应用中达到最优性能。性能指标可以包括:精度、召回率、准确度、效率以及覆盖范围等。采用标准测试用例,对生成的目标网络访问控制策略进行测试。通过测试,可以评估目标网络访问控制策略的功能和性能,并发现可改进的地方。收集测试结果并进行分析,识别目标访问控制策略存在的问题和差距,并根据实际网络测试结果,进一步评估系统在不同场景下的网络访问控制能力和适应性。最终根据测试结果,评估和确定目标网络访问控制策略的最终版本,并对系统进行必要的调整和优化,以进一步完善和提高网络的安全性和稳定性。
本发明实施例的技术方案,通过对历史的防火墙策略日志和网络访问相关信息进行清洗和格式化处理生成策略规则库,通过支持向量机机算法进行分类和特征提取建立分类模型,通过分类模型即可确定待测网络信息对应的网络访问控制关系,进而生成策略脚本,以适应不断变化的网络攻击和防御需求,提高了防火墙设备对各种攻击的防范能力,同时降低了维护成本,提升了企业的整体安全性能,节约了人工成本,提高了工作效率。
实施例二
图4为本发明实施例二提供的一种网络访问控制方法的流程图,本实施例在上述实施例一的基础上对根据策略规则库构建分类模型过程进行具体说明。其中,步骤S210和S250的具体内容与实施例一中的步骤S110和S130大致相同,因此本实施方式中不再进行赘述。如图4所示,该方法包括:
S210、获取历史网络信息,根据历史网络信息生成策略规则库。
可选的,获取历史网络信息,包括:获取各指定厂商的防火墙策略日志和网络访问相关信息;将防火墙策略日志和网络访问相关信息存入指定地址以生成历史网络信息。
可选的,根据历史网络信息生成策略规则库,包括:根据预设的清洗规则确定历史网络信息中的待清洗数据,其中,待清洗数据包括空值、重复值、错误值和异常值;将历史网络信息中的待清洗数据进行删除以生成清洗后的历史网络信息;对清洗后的历史网络信息进行标记生成标记后的历史网络信息;将标记后的历史网络信息进行指定语法规则转化以生成标准网络策略;根据各标准网络策略生成策略规则库。
可选的,对清洗后的历史网络信息进行标记生成标记后的历史网络信息,包括:获取策略语法库,其中,策略语法库中包括各策略元素;通过策略语法库对清洗后的历史网络信息进行匹配,以确定与清洗后的历史网络信息对应的各目标策略元素;通过各目标策略元素对清洗后的历史网络信息进行标记生成标记后的历史网络信息。
S220、通过预设的特征提取算法从标准网络策略中提取特征信息,其中,特征信息包括源IP、目的IP、端口、传输协议、策略描述和源目的所属分区。
具体的,模型训练模块可以根据具体的场景和实际应用需求设置特征提取算法,然后根据特征提取算法确定标准网络策略中的特征信息,特征信息是指策略的特征和属性信息,具体包括源IP、目的IP、端口、传输协议、策略描述和源目的所属分区。
S230、通过分类算法根据特征信息确定标准网络策略对应的特征类别,其中,特征类别包括端口占用率、策略使用情况和跨分区非法访问情况。
具体的,模型训练模块利用特征提取算法,从预处理后的数据中提取特征信息,并使用分类算法分配到相应的类别中,生成特征集,如端口占用率、策略使用情况、跨分区非法访问情况。
S240、通过支持向量机对特征类别和标准网络策略进行训练以生成分类模型,其中,分类模型包括特征类别和标准网络策略的对应关系。
具体的,通过支持向量机对特征类别和标准网络策略进行训练即可生成分类模型。利用模型对访问控制策略进行分类,结合规则库进行行为自动化识别,能够自动识别并确认合理的访问逻辑,有助于梳理现有网络访问策略和保证新生成策略的合理性。
S250、获取待测网络信息,根据分类模型确定待测网络信息对应的策略脚本,调用策略脚本进行网络访问控制。
可选的,根据分类模型确定待测网络信息对应的策略脚本,包括:将待测网络信息输入分类模型,并获取分类模型输出的目标访问控制策略;确定目标访问控制策略标记的标记策略元素,根据目标访问控制策略和标记策略元素生成网络访问控制关系;将网络访问控制关系进行指定格式转换以生成策略脚本。
可选的,在调用策略脚本进行网络访问控制之后,还包括:获取访问监控参数,其中,访问监控参数包括网络流量变化和防火墙设备负载状态;当访问监控参数满足预设条件时,根据访问相关信息对标准网络策略进行调整以生成调整网络策略,根据调整网络策略进行网络控制访问。
本发明实施例的技术方案,通过对历史的防火墙策略日志和网络访问相关信息进行清洗和格式化处理生成策略规则库,通过支持向量机机算法进行分类和特征提取建立分类模型,通过分类模型即可确定待测网络信息对应的网络访问控制关系,进而生成策略脚本,以适应不断变化的网络攻击和防御需求,提高了防火墙设备对各种攻击的防范能力,同时降低了维护成本,提升了企业的整体安全性能,节约了人工成本,提高了工作效率。
实施例三
图5为本发明实施例三提供的一种网络访问控制装置的结构示意图。如图5所示,该装置包括:策略规则库生成模块310,用于获取历史网络信息,根据历史网络信息生成策略规则库;
分类模型构建模块320,用于根据策略规则库构建分类模型;
网络访问控制模块330,用于获取待测网络信息,根据分类模型确定待测网络信息对应的策略脚本,调用策略脚本进行网络访问控制。
可选的,策略规则库生成模块310,具体包括:历史网络信息获取单元,用于:获取各指定厂商的防火墙策略日志和网络访问相关信息;将防火墙策略日志和网络访问相关信息存入指定地址以生成历史网络信息。
可选的,策略规则库生成模块310,具体包括:策略规则库生成单元,包括:待清洗数据确定子单元,用于:根据预设的清洗规则确定历史网络信息中的待清洗数据,其中,待清洗数据包括空值、重复值、错误值和异常值;数据清洗子单元,用于:将历史网络信息中的待清洗数据进行删除以生成清洗后的历史网络信息;数据标记子单元,用于:对清洗后的历史网络信息进行标记生成标记后的历史网络信息;标准网络策略转化子单元,用于:将标记后的历史网络信息进行指定语法规则转化以生成标准网络策略;策略规则库生成子单元,用于:根据各标准网络策略生成策略规则库。
可选的,数据标记子单元,具体用于:获取策略语法库,其中,策略语法库中包括各策略元素;通过策略语法库对清洗后的历史网络信息进行匹配,以确定与清洗后的历史网络信息对应的各目标策略元素;通过各目标策略元素对清洗后的历史网络信息进行标记生成标记后的历史网络信息。
可选的,分类模型构建模块320,具体用于:通过预设的特征提取算法从标准网络策略中提取特征信息,其中,特征信息包括源IP、目的IP、端口、传输协议、策略描述和源目的所属分区;通过分类算法根据特征信息确定标准网络策略对应的特征类别,其中,特征类别包括端口占用率、策略使用情况和跨分区非法访问情况;通过支持向量机对特征类别和标准网络策略进行训练以生成分类模型,其中,分类模型包括特征类别和标准网络策略的对应关系。
可选的,网络访问控制模块330,具体包括:策略脚本确定单元,用于:将待测网络信息输入分类模型,并获取分类模型输出的目标访问控制策略;确定目标访问控制策略标记的标记策略元素,根据目标访问控制策略和标记策略元素生成网络访问控制关系;将网络访问控制关系进行指定格式转换以生成策略脚本。
可选的,装置还包括:策略调整模块,用于在调用策略脚本进行网络访问控制之后,获取访问监控参数,其中,访问监控参数包括网络流量变化和防火墙设备负载状态;当访问监控参数满足预设条件时,根据访问相关信息对标准网络策略进行调整以生成调整网络策略,根据调整网络策略进行网络控制访问。
本发明实施例的技术方案,通过对历史的防火墙策略日志和网络访问相关信息进行清洗和格式化处理生成策略规则库,通过支持向量机机算法进行分类和特征提取建立分类模型,通过分类模型即可确定待测网络信息对应的网络访问控制关系,进而生成策略脚本,以适应不断变化的网络攻击和防御需求,提高了防火墙设备对各种攻击的防范能力,同时降低了维护成本,提升了企业的整体安全性能,节约了人工成本,提高了工作效率。
本发明实施例所提供的一种网络访问控制装置可执行本发明任意实施例所提供的一种网络访问控制方法,具备执行方法相应的功能模块和有益效果。
实施例四
图6示出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图6所示,电子设备10包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM 13中,还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
电子设备10中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘、鼠标等;输出单元17,例如各种类型的显示器、扬声器等;存储单元18,例如磁盘、光盘等;以及通信单元19,例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理,例如一种网络访问控制方法。也即:获取历史网络信息,根据历史网络信息生成策略规则库;根据策略规则库构建分类模型;获取待测网络信息,根据分类模型确定待测网络信息对应的策略脚本,调用策略脚本进行网络访问控制。
在一些实施例中,一种网络访问控制方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元18。在一些实施例中,计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM 13并由处理器11执行时,可以执行上文描述的一种网络访问控制方法的一个或多个步骤。备选地,在其他实施例中,处理器11可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行一种网络访问控制方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。

Claims (10)

1.一种网络访问控制方法,其特征在于,包括:
获取历史网络信息,根据所述历史网络信息生成策略规则库;
根据所述策略规则库构建分类模型;
获取待测网络信息,根据所述分类模型确定所述待测网络信息对应的策略脚本,调用所述策略脚本进行网络访问控制。
2.根据权利要求1所述的方法,其特征在于,所述获取历史网络信息,包括:
获取各指定厂商的防火墙策略日志和网络访问相关信息;
将所述防火墙策略日志和所述网络访问相关信息存入指定地址以生成所述历史网络信息。
3.根据权利要求1所述的方法,其特征在于,所述根据所述历史网络信息生成策略规则库,包括:
根据预设的清洗规则确定所述历史网络信息中的待清洗数据,其中,所述待清洗数据包括空值、重复值、错误值和异常值;
将所述历史网络信息中的所述待清洗数据进行删除以生成清洗后的历史网络信息;
对所述清洗后的历史网络信息进行标记生成标记后的历史网络信息;
将所述标记后的历史网络信息进行指定语法规则转化以生成标准网络策略;
根据各所述标准网络策略生成所述策略规则库。
4.根据权利要求3所述的方法,其特征在于,所述对所述清洗后的历史网络信息进行标记生成标记后的历史网络信息,包括:
获取策略语法库,其中,所述策略语法库中包括各策略元素;
通过所述策略语法库对所述清洗后的历史网络信息进行匹配,以确定与所述清洗后的历史网络信息对应的各目标策略元素;
通过各所述目标策略元素对所述清洗后的历史网络信息进行标记生成标记后的历史网络信息。
5.根据权利要求3所述的方法,其特征在于,所述根据所述策略规则库构建分类模型,包括:
通过预设的特征提取算法从所述标准网络策略中提取特征信息,其中,所述特征信息包括源IP、目的IP、端口、传输协议、策略描述和源目的所属分区;
通过分类算法根据所述特征信息确定所述标准网络策略对应的特征类别,其中,所述特征类别包括端口占用率、策略使用情况和跨分区非法访问情况;
通过支持向量机对所述特征类别和所述标准网络策略进行训练以生成所述分类模型,其中,所述分类模型包括特征类别和标准网络策略的对应关系。
6.根据权利要求5所述的方法,其特征在于,所述根据所述分类模型确定所述待测网络信息对应的策略脚本,包括:
将所述待测网络信息输入所述分类模型,并获取所述分类模型输出的目标访问控制策略;
确定所述目标访问控制策略标记的标记策略元素,根据所述目标访问控制策略和所述标记策略元素生成网络访问控制关系;
将所述网络访问控制关系进行指定格式转换以生成所述策略脚本。
7.根据权利要求5所述的方法,其特征在于,在所述调用所述策略脚本进行网络访问控制之后,还包括:
获取访问监控参数,其中,所述访问监控参数包括网络流量变化和防火墙设备负载状态;
当所述访问监控参数满足预设条件时,根据所述访问相关信息对所述标准网络策略进行调整以生成调整网络策略,根据所述调整网络策略进行网络控制访问。
8.一种网络访问控制装置,其特征在于,包括:
策略规则库生成模块,用于获取历史网络信息,根据所述历史网络信息生成策略规则库;
分类模型构建模块,用于根据所述策略规则库构建分类模型;
网络访问控制模块,用于获取待测网络信息,根据所述分类模型确定所述待测网络信息对应的策略脚本,调用所述策略脚本进行网络访问控制。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求1-7中任一项所述的方法。
CN202311617708.7A 2023-11-29 2023-11-29 一种网络访问控制方法、装置、设备及存储介质 Pending CN117499148A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311617708.7A CN117499148A (zh) 2023-11-29 2023-11-29 一种网络访问控制方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311617708.7A CN117499148A (zh) 2023-11-29 2023-11-29 一种网络访问控制方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN117499148A true CN117499148A (zh) 2024-02-02

Family

ID=89667370

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311617708.7A Pending CN117499148A (zh) 2023-11-29 2023-11-29 一种网络访问控制方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN117499148A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118041708A (zh) * 2024-04-15 2024-05-14 建信金融科技有限责任公司 访问请求的数据处理方法、装置和服务器

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118041708A (zh) * 2024-04-15 2024-05-14 建信金融科技有限责任公司 访问请求的数据处理方法、装置和服务器

Similar Documents

Publication Publication Date Title
CN117499148A (zh) 一种网络访问控制方法、装置、设备及存储介质
CN115529595A (zh) 一种日志数据的异常检测方法、装置、设备及介质
CN115686910A (zh) 一种故障分析方法、装置、电子设备及介质
CN115632874A (zh) 一种实体对象的威胁检测方法、装置、设备及存储介质
CN113965497B (zh) 服务器异常识别方法、装置、计算机设备及可读存储介质
CN115687406B (zh) 一种调用链数据的采样方法、装置、设备及存储介质
CN116755974A (zh) 云计算平台运维方法、装置、电子设备及存储介质
CN117034149A (zh) 故障处理策略确定方法、装置、电子设备和存储介质
CN115134386B (zh) 一种物联网态势感知系统、方法、设备及介质
CN116645082A (zh) 一种系统巡检方法、装置、设备以及存储介质
CN114881112A (zh) 一种系统异常检测方法、装置、设备及介质
CN114693116A (zh) 代码评审有效性的检测方法及装置、电子设备
CN111722977A (zh) 系统巡检方法、装置及电子设备
CN116882724B (zh) 一种业务流程优化方案的生成方法、装置、设备及介质
CN115422555B (zh) 后门程序检测方法、装置、电子设备及存储介质
CN116823159A (zh) 金融项目的工作量预估方法、装置及程序产品
CN117493060A (zh) 数据库组件异常检测方法、装置、设备及介质
CN115879166A (zh) 数据识别方法、装置、电子设备以及存储介质
CN117609723A (zh) 一种对象识别方法、装置、电子设备及存储介质
CN117714193A (zh) 一种诊断方法、装置、电子设备和存储介质
CN117454350A (zh) 服务响应方法、装置、电子设备及存储介质
CN115619411A (zh) 一种可疑交易监测方法、装置、设备及存储介质
CN116225568A (zh) 一种应用系统接口的管理方法、装置、设备及存储介质
CN117009497A (zh) 一种报文检测方法、装置、设备及可读存储介质
CN117081939A (zh) 一种流量数据处理方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination