本发明专利技术一种网络安全策略的优化方法,包括:A.网络安全策略优化系统周期性接收各个防火墙的网络安全策略,进行预处理后得到各个防火墙的策略信息;B.根据得到的策略信息计算各个防火墙单个策略的命中率;C.根据策略的命中率和策略重要性计算各个防火墙单个策略的综合得分;D.根据策略的综合得分计算各个防火墙单个策略的最终得分;E.按照防火墙每个策略的最终得分进行排序,根据排序对策略进行调整优化。本发明专利技术进行网络安全策略优化时综合考虑了策略命中率和策略的重要性级别,并且结合了高可用架构中的策略关联关系,既保证了高优先级的策略是命中率和重要性加权高的,又通过关联关系保障了相关策略的优先级。
An optimization method of network security policy
【技术实现步骤摘要】
一种网络安全策略的优化方法
本专利技术涉及网络信息安全
,具体将涉及一种网络安全策略的优化方法。
技术介绍
网络安全策略作为网络安全防范和保护的主要手段,维护着网络系统安全并保护网络资源不被非法访问。各种安全策略通过相互配合对网络起到保护作用。随着企业的日积月累的信息化建设,在安全设备上配置的网络安全策略越积越多,一方面网络安全策略数量过多可能会导致防火墙或其他网络安全设备的性能瓶颈;另一方面很多策略长期出于没有被命中,却没有一种行之有效的方法对其进行整理,久而久之,形成了一种恶性循环,冗余策略越积越多,但是仍然需要新增网络安全策略。这就需要定期进行策略优化。目前的网络安全策略优化方案一是基于合并同类项原则,对具有同一目的的网络安全策略进行合并,虽然可以一定程度上减少网络安全策略的数量,但对于冗余的策略仍然不能进行有效清理。另一种已有专利技术专利一种基于大数据分析的防火墙策略优化方法及系统(CN108418801A)该专利技术能针对某条安全策略统计其命中率,根据命中率调整安全策略优先级。但是直接根据每条网络安全策略的命中率来进行优先级排序,这样可以把长期无命中次数的网络安全策略给筛选出来并清理,但没有结合业务的重要性进行筛选,有可能把与重要业务相关的策略给清理掉。
技术实现思路
针对上述问题,本专利技术提供一种网络安全策略的优化方法,能够结合应用层面的使用情况和业务重要性对网络安全策略进行优先级排序,在有效地清理冗余的网络安全策略的同时能够保留重要性高命中率低的这部分策略。<br>一种网络安全策略的优化方法,包括:A.网络安全策略优化系统周期性接收各个防火墙的网络安全策略,进行预处理后得到各个防火墙的策略信息;B.根据得到的策略信息计算各个防火墙单个策略的命中率;C.根据策略的命中率和策略重要性计算各个防火墙单个策略的综合得分;D.根据策略的综合得分计算各个防火墙单个策略的最终得分;E.按照防火墙每个策略的最终得分进行排序,根据排序对策略进行调整优化。本专利技术进行网络安全策略优化时综合考虑了策略命中率和策略的重要性级别,并且结合了高可用架构中的策略关联关系,既保证了高优先级的策略是命中率和重要性加权高的,又通过关联关系保障了相关策略的优先级。进一步的,步骤A包括:网络安全策略优化系统周期性地接收各个防火墙的网络安全策略,进行预处理后得到包括策略全局ID、策略详情、策略重要性、策略命中次数以及策略的关联策略ID;其中关联策略可以和策略位于同一防火墙也可以位于不同防火墙。进一步的,步骤B包括:根据防火墙中单个策略的命中次数以及该防火墙上所有策略的命中次数总和,由单个策略的命中次数和防火墙上所有策略命中次数总和之比得到该单个策略的命中率;由此得到各个防火墙上所有单个策略的命中率。进一步的,步骤C包括:根据策略重要性和单个策略命中率,由α×策略重要性+β×单个策略命中率得到防火墙单个策略的综合得分,其中α和β为加权系数,可根据具体应用场景进行配置;由此得到各个防火墙上所有单个策略的综合得分。进一步的,步骤D包括:根据单个策略的综合得分以及该策略的关联策略得分中取最大值得到该单个策略的最终得分,如果该单个策略不存在关联策略,则该单个策略的最终得分等于其综合得分;由此得到各个防火墙上所有单个策略的最终得分。所述步骤D能够保证灾备链路即使无命中也能具有和关联策略同等的优先级,保证了高可用架构在策略上的可靠性。进一步的,步骤E包括:根据各个防火墙上所有单个策略的最终得分按照其分数高低进行排序;对排名靠前的策略调整其优先级用于优先匹配,对于策略命中率为0且排名靠后的策略进行禁用或者删除。所述步骤E不仅考虑了策略本身的重要性等级,同时也考虑了其关联策略的重要性,能够在有效地清理冗余的网络安全策略的同时能够保留重要性高命中率低的这部分策略。本专利技术一种网络安全策略的优化方法,能够结合策略的重要性等级来进行优先级调整,这样优化后的优先级更合理。并且考虑了高可用架构中的策略关联关系,对于高可用架构,用作灾备的链路在一个优化计量周期里可能是闲置的,即命中率=0,如果按照现有方案这种策略将会被禁用或清理,那么在发生故障切换时灾备链路即不可用,而本专利技术能够保证灾备链路即使无命中也能具有和关联策略同等的优先级,保证了高可用架构在策略上的可靠性。附图说明图1为本专利技术一种网络安全策略的优化方法的流程图。具体实施方式以下结合实施例的具体实施方式,对本专利技术的上述内容再作进一步的详细说明。但不应将此理解为本专利技术上述主题的范围仅限于以下的实例。在不脱离本专利技术上述技术思想情况下,根据本领域普通技术知识和惯用手段做出的各种替换或变更,均应包括在本专利技术的范围内。如图1所示本专利技术一种网络安全策略的优化方法,包括:1.周期性获取或接收防火墙策略信息网络安全策略优化系统接收各个防火墙的网络安全策略,进行预处理后得到包括策略全局ID、策略详情、策略重要性、策略命中次数和策略关联的策略ID,以下以防火墙F1为例进行说明,多个防火墙以此类推。其中I_F1_Pi为防火墙F1的策略Pi的重要性权重,取值区间为(0,1],(该策略重要性的取值范围不一定局限为0到1)。关联策略可以是同一个墙上的,也可以位于不同墙上。2.计算各个防火墙单个策略的命中率根据防火墙中单个策略的命中次数以及该防火墙上所有策略的命中次数总和,由单个策略的命中次数和防火墙上所有策略命中次数总和之比得到该单个策略的命中率R_F1_Pi;即R_F1_Pi=N_F1_Pi/SUM(N_F1_P1,N_F1_P2,…,N_F1_Pn)3.计算各个防火墙单个策略的综合得分根据策略重要性和单个策略命中率,由α×策略重要性+β×单个策略命中率得到防火墙单个策略的综合得分S_Fi_Pi,其中α和β为加权系数,可根据具体应用场景进行配置;即S_Fi_Pi=α×I_Fi_Pi+β×R_F1_Pi;如果S_Fi_Pi没有关联策略,则关联策略得分为0。4.计算各个防火墙单个策略的最终得分根据单个策略的综合得分以及该策略的关联策略得分中取最大值得到该单个策略的最终得分FS_F1_Pi,如果该单个策略不存在关联策略,则该单个策略的最终得分等于其综合得分;即FS_F1_Pi=MAX(S_F1_Pi,S_F1’_Pi)5.周期性地清理低优先级且命中率为0的策略根据各个防火墙上所有单个策略的最终得分按照其分数高低进行排序;对排名靠前的策略调整其优先级用于优先匹配,对于策略命中率为0且排名靠后的策略进行禁用或者删除。本专利技术一种网络安全策略的优化方法,能够结合策略的重要性等级来进行优先级调整,这样优化后的优先级更合理。并且考虑了高可用架构中的策略关联关系本文档来自技高网...
【技术保护点】
1.一种网络安全策略的优化方法,其特征在于,包括;/nA.网络安全策略优化系统周期性接收各个防火墙的网络安全策略,进行预处理后得到各个防火墙的策略信息;/nB.根据得到的策略信息计算各个防火墙单个策略的命中率;/nC.根据策略的命中率和策略重要性计算各个防火墙单个策略的综合得分;/nD.根据策略的综合得分计算各个防火墙单个策略的最终得分;/nE.按照防火墙每个策略的最终得分进行排序,根据排序对策略进行调整优化。/n
【技术特征摘要】
1.一种网络安全策略的优化方法,其特征在于,包括;
A.网络安全策略优化系统周期性接收各个防火墙的网络安全策略,进行预处理后得到各个防火墙的策略信息;
B.根据得到的策略信息计算各个防火墙单个策略的命中率;
C.根据策略的命中率和策略重要性计算各个防火墙单个策略的综合得分;
D.根据策略的综合得分计算各个防火墙单个策略的最终得分;
E.按照防火墙每个策略的最终得分进行排序,根据排序对策略进行调整优化。
2.如权利要求1所述的一种网络安全策略的优化方法,其特征在于,步骤A包括:
网络安全策略优化系统周期性地接收各个防火墙的网络安全策略,进行预处理后得到包括策略全局ID、策略详情、策略重要性、策略命中次数以及策略的关联策略ID;
其中关联策略可以和策略位于同一防火墙也可以位于不同防火墙。
3.如权利要求2所述的一种网络安全策略的优化方法,其特征在于,步骤B包括:
根据防火墙中单个策略的命中次数以及该防火墙上所有策略的命中次数总和,由单个策略的命中次数和防火墙上所有策略命...
【专利技术属性】
技术研发人员:杨雪皎,吴博,向上文,
申请(专利权)人:四川新网银行股份有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。