本發明實施例公開了一種防火墻規則的生成方法及裝置。該方法包括：收集防火墻接收到的用戶輸入數據；將收集到的用戶輸入數據分別與白名單規則庫中的第一類防火墻規則進行匹配，獲得與所述第一類防火墻規則不匹配的第一類異常數據；將所述第一類異常數據與第一黑名單規則庫中的第二類防火墻規則進行匹配，獲得與所述第二類防火墻規則不匹配的第二類異常數據；基于所述第二類異常數據，生成新的第一類防火墻規則。應用本發明實施例提供的方案生成新的用于白名單規則庫的防火墻規則時，可以避免防火墻基于接收到的大量惡意數據生成白名單規則庫中的防火墻規則，保證系統準確地生成用于白名單規則庫的防火墻規則。

技術領域

本發明涉及計算機技術領域，特別涉及一種防火墻規則的生成方法及裝置。

背景技術

防火墻(Firewall)，也稱防護墻，是一種位于內部網絡與外部網絡之間的網絡安全系統，其依照防火墻規則庫中特定的防火墻規則，允許或是限制傳輸的數據通過。防火墻規則庫可以是黑名單規則庫或白名單規則庫，黑名單規則庫中的防火墻規則是由具有攻擊性的惡意數據中提取出來的，當防火墻接收到的數據與黑名單規則庫中的任意一個防火墻規則匹配時，則系統判斷該數據為惡意數據，系統根據預先定義的方式預警或阻斷；白名單規則庫中的防火墻規則是由正常的合法數據中提取出來的，當防火墻接收到的數據與白名單規則庫中的任意一個防火墻規則匹配時，則系統判斷該數據為合法數據，系統允許該數據通過防火墻。

目前，防火墻規則庫中的防火墻規則是基于防火墻接收到的數據(即用戶輸入數據)所提取到的特征參數獲得的，另外，防火墻需要不斷更新其中的防火墻規則，現有技術中，自學習式的防火墻可以通過對不斷接收到的數據進行學習來提取數據的特征參數，進而生成新的防火墻規則。

但是，對于白名單規則庫，網絡攻擊者可以不斷向防火墻發送大量相同或相似的惡意數據，以誤導防火墻基于不斷接收到的惡意數據，生成新的防火墻規則并添加到白名單規則庫中，進而使得防火墻在此后將該類惡意數據當成合法的用戶輸入數據，不再對該類惡意數據進行阻斷或預警。

發明內容

本發明實施例公開了一種防火墻規則的生成方法及裝置，以避免防火墻基于接收到的大量惡意數據生成白名單規則庫中的防火墻規則。技術方案如下：

為達上述目的，第一方面，本發明實施例公開了一種防火墻規則的生成方法，所述方法包括：

收集防火墻接收到的用戶輸入數據；

將收集到的用戶輸入數據分別與白名單規則庫中的第一類防火墻規則進行匹配，獲得與所述第一類防火墻規則不匹配的第一類異常數據；

將所述第一類異常數據與第一黑名單規則庫中的第二類防火墻規則進行匹配，獲得與所述第二類防火墻規則不匹配的第二類異常數據；

基于所述第二類異常數據，生成新的第一類防火墻規則。

優選的，所述基于所述第二類異常數據，生成新的第一類防火墻規則，包括：

從所述第一類異常數據中，確定與所述第二類防火墻規則匹配的第三類異常數據；

獲得所述第三類異常數據對應的源IP地址的IP信譽度；

從所述第三類異常數據中，確定IP信譽度高于第一預設閾值的第四類異常數據；

基于所述第二類異常數據以及所述第四類異常數據，生成新的第一類防火墻規則。

優選的，所述將所述第一類異常數據與第一黑名單規則庫中的第二類防火墻規則進行匹配，獲得與所述第二類防火墻規則不匹配的第二類異常數據，包括：

獲得所述第一類異常數據對應的源IP地址的IP信譽度；

從所述第一類異常數據中，確定IP信譽度高于第二預設閾值的第五類異常數據；