【技术实现步骤摘要】
一种防火墙策略优化方法和系统
[0001]本专利技术涉及防火墙策略优化
,尤其涉及一种防火墙策略优化方法和系统
。
技术介绍
[0002]当前,随着电力监控系统业务规模不断扩大
,
防火墙策略数量呈爆炸式增长
,
一个关键节点防火墙上往往部署着近万条策略规则,但是,这些策略通常都是在应对单一业务需求时添加,缺乏统一规划,容易存在大量冗余
、
相互冲突且过于宽泛的策略,因此,防火墙过宽策略优化对电力监控系统的稳定运行至关重要
。
[0003]在现有技术中,主要是通过人工逐条审核,将过宽策略中无效
、
冗余的端口组合进行删除,以对过宽的策略进行优化,但需要耗费大量的人力资源,且无法应对快速变化的网络环境,降低了电力监控系统的可靠性
。
技术实现思路
[0004]本专利技术提供了一种防火墙策略优化方法和系统,解决了现有的防火墙策略优化主要是通过人工逐条审核,将过宽策略中无效
、
冗余的端口组合进行删除,以对过宽的策略进行优化,但需要耗费大量的人力资源,且无法应对快速变化的网络环境,降低了电力监控系统的可靠性的技术问题
。
[0005]本专利技术第一方面提供的一种防火墙策略优化方法,包括:
[0006]响应接收到策略优化请求,确定待优化防火墙对应的流量信息和策略配置信息;
[0007]根据所述流量信息和所述策略配置信息,生成多个流量七元组和多个配置七元组; />[0008]分别将所述流量七元组和所述配置七元组输入预设的特征向量模型,生成流量特征向量和配置特征向量;
[0009]采用全部所述流量特征向量,构建策略命中流量索引数据库;
[0010]根据全部所述配置特征向量和所述策略命中流量索引数据库,更新所述策略配置信息
。
[0011]可选地,所述根据所述流量信息和所述策略配置信息,生成多个流量七元组和多个配置七元组的步骤,包括:
[0012]采用正则表达式分别提取所述流量信息中的多个中间七元组和所述策略配置信息中的多个初始配置七元组;
[0013]基于预设的解构规则对所述初始配置七元组进行解构,生成多个配置七元组;
[0014]从多个所述中间七元组中选取预置时间段内的实时七元组;
[0015]根据元组类型统计各个所述实时七元组的元组类型个数,并生成多个流量七元组
。
[0016]可选地,所述特征向量模型包括平面随机投影哈希模型
、
立方体哈希模型
、
双线性
哈希模型,所述分别将所述流量七元组和所述配置七元组输入预设的特征向量模型,生成流量特征向量和配置特征向量的步骤,包括:
[0017]将所述流量七元组分别输入所述平面随机投影哈希模型
、
所述立方体哈希模型和所述双线性哈希模型,生成对应的第一哈希值
、
第二哈希值和第三哈希值;
[0018]采用所述第一哈希值
、
所述第二哈希值和所述第三哈希值,确定所述流量七元组对应的流量特征向量;
[0019]将所述配置七元组分别输入所述平面随机投影哈希模型
、
所述立方体哈希模型和所述双线性哈希模型,生成对应的第四哈希值
、
第五哈希值和第六哈希值;
[0020]采用所述第四哈希值
、
所述第五哈希值和所述第六哈希值,确定所述配置七元组对应的配置特征向量
。
[0021]可选地,所述根据全部所述配置特征向量和所述策略命中流量索引数据库,更新所述策略配置信息的步骤,包括:
[0022]将所述配置特征向量与所述策略命中流量索引数据库中的流量特征向量逐一匹配;
[0023]当所述配置特征向量与任一所述流量特征向量均不适配时,则将所述配置特征向量确定为未命中策略向量;
[0024]剔除所述策略配置信息中与所述未命中策略向量对应的防火墙策略,生成新的策略配置信息
。
[0025]可选地,所述采用所述第一哈希值
、
所述第二哈希值和所述第三哈希值,确定所述流量七元组对应的流量特征向量的步骤,包括
[0026]将所述第一哈希值与预设的哈希取模值进行取模处理,生成第一取模值;
[0027]将所述第二哈希值与所述哈希取模值进行取模处理,生成第二取模值;
[0028]将所述第三哈希值与所述哈希取模值进行取模处理,生成第三取模值;
[0029]采用所述第一取模值
、
所述第二取模值和所述第三取模值,生成所述流量七元组对应的流量特征向量
。
[0030]可选地,所述解构规则包括
IP
元组解构规则和端口元组解构规则,所述基于预设的解构规则对所述初始配置七元组进行解构,生成多个配置七元组的步骤,包括:
[0031]基于所述
IP
元组解构规则对所述初始配置七元组进行拆分,生成多个
IP
七元组;
[0032]基于所述端口元组解构规则对所述初始配置七元组进行拆分,生成多个端口七元组;
[0033]采用全部所述
IP
七元组和全部所述端口七元组进行组合,生成多个配置七元组
。
[0034]本专利技术第二方面提供的一种防火墙策略优化系统,包括:
[0035]信息采集模块,用于响应接收到策略优化请求,确定待优化防火墙对应的流量信息和策略配置信息;
[0036]元组模块,用于根据所述流量信息和所述策略配置信息,生成多个流量七元组和多个配置七元组;
[0037]特征向量模块,用于分别将所述流量七元组和所述配置七元组输入预设的特征向量模型,生成流量特征向量和配置特征向量;
[0038]策略命中流量索引数据库模块,用于采用全部所述流量特征向量,构建策略命中
流量索引数据库;
[0039]更新模块,用于根据全部所述配置特征向量和所述策略命中流量索引数据库,更新所述策略配置信息
。
[0040]可选地,所述元组模块,包括:
[0041]正则转换子模块,用于采用正则表达式分别提取所述流量信息中的多个中间七元组和所述策略配置信息中的多个初始配置七元组;
[0042]配置七元组模块,用于基于预设的解构规则对所述初始配置七元组进行解构,生成多个配置七元组;
[0043]选取子模块,用于从多个所述中间七元组中选取预置时间段内的实时七元组;
[0044]流量七元组子模块,用于根据元组类型统计各个所述实时七元组的元组类型个数,并生成多个流量七元组
。
[0045]可选地,所述特征向量模型包括平面随机投影哈希模型
、
立方体哈希模型
、
双线性哈希模型,所述特征向量模块,包括:
[0046]流量特本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种防火墙策略优化方法,其特征在于,包括:响应接收到策略优化请求,确定待优化防火墙对应的流量信息和策略配置信息;根据所述流量信息和所述策略配置信息,生成多个流量七元组和多个配置七元组;分别将所述流量七元组和所述配置七元组输入预设的特征向量模型,生成流量特征向量和配置特征向量;采用全部所述流量特征向量,构建策略命中流量索引数据库;根据全部所述配置特征向量和所述策略命中流量索引数据库,更新所述策略配置信息
。2.
根据权利要求1所述的防火墙策略优化方法,其特征在于,所述根据所述流量信息和所述策略配置信息,生成多个流量七元组和多个配置七元组的步骤,包括:采用正则表达式分别提取所述流量信息中的多个中间七元组和所述策略配置信息中的多个初始配置七元组;基于预设的解构规则对所述初始配置七元组进行解构,生成多个配置七元组;从多个所述中间七元组中选取预置时间段内的实时七元组;根据元组类型统计各个所述实时七元组的元组类型个数,并生成多个流量七元组
。3.
根据权利要求1所述的防火墙策略优化方法,其特征在于,所述特征向量模型包括平面随机投影哈希模型
、
立方体哈希模型
、
双线性哈希模型,所述分别将所述流量七元组和所述配置七元组输入预设的特征向量模型,生成流量特征向量和配置特征向量的步骤,包括:将所述流量七元组分别输入所述平面随机投影哈希模型
、
所述立方体哈希模型和所述双线性哈希模型,生成对应的第一哈希值
、
第二哈希值和第三哈希值;采用所述第一哈希值
、
所述第二哈希值和所述第三哈希值,确定所述流量七元组对应的流量特征向量;将所述配置七元组分别输入所述平面随机投影哈希模型
、
所述立方体哈希模型和所述双线性哈希模型,生成对应的第四哈希值
、
第五哈希值和第六哈希值;采用所述第四哈希值
、
所述第五哈希值和所述第六哈希值,确定所述配置七元组对应的配置特征向量
。4.
根据权利要求1所述的防火墙策略优化方法,其特征在于,所述根据全部所述配置特征向量和所述策略命中流量索引数据库,更新所述策略配置信息的步骤,包括:将所述配置特征向量与所述策略命中流量索引数据库中的流量特征向量逐一匹配;当所述配置特征向量与任一所述流量特征向量均不适配时,则将所述配置特征向量确定为未命中策略向量;剔除所述策略配置信息中与所述未命中策略向量对应的防火墙策略,生成新的策略配置信息
。5.
根据权利要求3所述的防火墙策略优化方法,其特征在于,所述采用所述第一哈希值
、
所述第二哈希值和所述第三哈希值,确定所述流量七元组对应的流量特征向量的步骤,包括将所述第一哈希值与预设的哈希取模值进行取模处理,生成第一取模值;将所述第二哈希值与所述哈希取模值进行取模处理,生成第二取模值;将所述第三哈希值与所述哈希取模值进行取模处理,生成第三取模值;
采用所述第一取模值
、
所述第二取模值和所述第三取模值,生成所述流量七元组对应的流量特征向量
。6.
根据权利要求2所述的防...
【专利技术属性】
技术研发人员:叶伟铨,黄亮浩,黄高敏,何健伟,陈钢,张峻,邓瑞麒,王坤明,郑广勇,李永乐,丁勇,李骞,宋惠宇,柳军停,晏梦璇,梁社潮,詹一佳,
申请(专利权)人:广东电网有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。