本發(fā)明公開了一種基于堆結(jié)構(gòu)的防火墻規(guī)則集動態(tài)優(yōu)化方法，其特征在于，具體包括：步驟SS1：構(gòu)建堆結(jié)構(gòu)的構(gòu)造模型，所述堆結(jié)構(gòu)的構(gòu)造模型包括最小堆、單鏈表；步驟SS2：提出堆結(jié)構(gòu)的動態(tài)調(diào)整算法，所述動態(tài)調(diào)整算法包括最小堆調(diào)整算法、堆結(jié)構(gòu)調(diào)整算法。本發(fā)明所達到的有益效果：與現(xiàn)有的統(tǒng)計分析方法相比，本發(fā)明提出了一種基于堆結(jié)構(gòu)的防火墻規(guī)則集動態(tài)優(yōu)化算法，通過對網(wǎng)絡(luò)數(shù)據(jù)包的相關(guān)特性進行分析，提出了優(yōu)先級計算的三個公式，用于實現(xiàn)規(guī)則優(yōu)先級的快速計算。同時根據(jù)三個計算公式，提出了一種高效的調(diào)整算法，使得防火墻規(guī)則集能實現(xiàn)高效可靠的改變，降低防火墻規(guī)則集的命中次數(shù)。

技術(shù)領(lǐng)域

本發(fā)明涉及一種基于堆結(jié)構(gòu)的防火墻規(guī)則集動態(tài)優(yōu)化方法，屬于防火墻規(guī)則集優(yōu)化技術(shù)領(lǐng)域。

背景技術(shù)

防火墻規(guī)則在其添加到規(guī)則集中的時候已經(jīng)決定了其規(guī)則匹配的順序，在以后的規(guī)則匹配中，除非人工進行修改，否則其匹配順序是固定不變的。防火墻的這種設(shè)計模式大大影響了，其在規(guī)則匹配的時候的運行效率。

原有的防火墻規(guī)則集匹配順序是由上至下的，在本章的研究中，我們動態(tài)調(diào)整防火墻規(guī)則集中的規(guī)則順序，使得優(yōu)先級高的規(guī)則在排序上處于規(guī)則集的上端。

統(tǒng)計分析算法是目前關(guān)于防火墻規(guī)則集動態(tài)研究中常用的一種方法。在相關(guān)文獻中詳細介紹了統(tǒng)計分析在防火墻規(guī)則優(yōu)化中的應(yīng)用，提出了一種衡量防火墻匹配速率的指標(biāo)，該指標(biāo)被記為平均規(guī)則匹配次數(shù)，其算法公式如下所示：

其中W表示規(guī)則的平均匹配次數(shù)，p_i表示第i條規(guī)則被命中的概率。W是防火墻工作性能的評價標(biāo)準(zhǔn)，對于優(yōu)先級低的規(guī)則在防火墻匹配中無疑增加了匹配的次數(shù)，從而降低了防火墻的命中效率。同時從上述公式發(fā)現(xiàn)，如果規(guī)則數(shù)越多，W的值將會越大，因此需要統(tǒng)計分析算法來實現(xiàn)防火墻規(guī)則集的動態(tài)調(diào)整，從而提高防火墻的命中效率。

發(fā)明內(nèi)容

本發(fā)明針對過濾網(wǎng)絡(luò)數(shù)據(jù)包的防火墻規(guī)則集，提出一種基于堆結(jié)構(gòu)的規(guī)則集動態(tài)優(yōu)化方法。本發(fā)明針對網(wǎng)絡(luò)數(shù)據(jù)包的三種特點，提出了三種算法公式，分別是初次命中公式、優(yōu)先級增加公式和優(yōu)先級減小公式。三種算法公式實時改變了防火墻規(guī)則的優(yōu)先級，使得優(yōu)先級調(diào)整算法高效可靠。

在基于統(tǒng)計分析的防火墻規(guī)則集動態(tài)研究中，防火墻規(guī)則優(yōu)先級的計算方法存在一個缺陷，如果有連續(xù)數(shù)據(jù)包命中同一條規(guī)則時，需要極快的調(diào)整這條規(guī)則的優(yōu)先級，這種缺陷源于統(tǒng)計分析的先天不足造成的，統(tǒng)計分析是一個量變引起質(zhì)變的過程，但是在實時的防火墻研究中需要的是高效的調(diào)整算法，因此本算法的研究重點就是如何高效調(diào)整防火墻規(guī)則集。

根據(jù)相關(guān)文獻中提出的網(wǎng)絡(luò)數(shù)據(jù)包的特點：

(1)具有10個以上報文的數(shù)據(jù)流占網(wǎng)絡(luò)數(shù)據(jù)流量的70％；

(2)從開始報文到結(jié)束報文的時間為10秒以上的數(shù)據(jù)流占網(wǎng)絡(luò)數(shù)據(jù)流的60％；

(3)如果一個數(shù)據(jù)流的空閑時間大于60秒，則這個數(shù)據(jù)流將會不有后續(xù)報文。

由此得出如下結(jié)論：

(1)當(dāng)一條防火墻規(guī)則第一次被命中后，會有70％的概率被命中10次以上；

(2)60％的防火墻規(guī)則從第一次命中到最后一次的命中時間會大于10秒；

(3)如果一條規(guī)則在大于60秒的時間內(nèi)沒有被命中，則不會在短期內(nèi)不會在被命中。

由于防火墻規(guī)則集的匹配方式(從第一條規(guī)則開始匹配)，為了減少規(guī)則的命中次數(shù)，因此需要計算求得N個最常會被命中規(guī)則，同時需要對這N個規(guī)則進行不停地進行修改。

基于上述思想，同時由于防火墻在大型企業(yè)防火墻中，防火墻規(guī)則的數(shù)目是成百上千的，因此本發(fā)明擬打算使用堆結(jié)構(gòu)來實現(xiàn)這種規(guī)則的排序。