本發(fā)明涉及網(wǎng)絡(luò)信息技術(shù)領(lǐng)域，具體涉及基于會話流量日志的防火墻安全策略自動生成方法，該方法對流量信息先進(jìn)行計算并排名，最后選取前n的信息作為策略生成的材料。n為可變參數(shù)，可根據(jù)網(wǎng)絡(luò)規(guī)模及復(fù)雜程度進(jìn)行調(diào)整，增加了對不同網(wǎng)絡(luò)環(huán)境的適應(yīng)性，選取前n的流量信息進(jìn)行分析，還可以去除后排微量流量對安全策略生成所帶來的誤差，提高了安全策略的準(zhǔn)確度。該方法在生成過程中提供了多種風(fēng)格的安全策略，用戶可以在策略選擇階段根據(jù)網(wǎng)絡(luò)情況及自身偏好選擇合適的安全策略，增加了用戶使用的靈活性。該方法對會話流量信息的處理均為標(biāo)準(zhǔn)的表格處理，很容易使用數(shù)據(jù)庫工具、大數(shù)據(jù)工具、excel工具等實現(xiàn)，操作方便。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)信息技術(shù)領(lǐng)域，具體涉及基于會話流量日志的防火墻安全策略自動生成方法。

背景技術(shù)

隨著國家對網(wǎng)絡(luò)安全重視程度的提高，防火墻作為一種通用邊界防護(hù)設(shè)備的應(yīng)用越來越廣泛。而對于防火墻的配置使用，通常掌握在專業(yè)的網(wǎng)絡(luò)運(yùn)維人員手中。在配置防火墻安全策略時，由于對網(wǎng)絡(luò)拓?fù)湔J(rèn)識不深，或者其它人為因素，很容易出現(xiàn)策略遺漏、冗余甚至錯誤等問題。

現(xiàn)有的策略配置方法往往依賴于策略配置模板、資源模板等，其策略生成的好壞取決于模板的好壞，不能適應(yīng)復(fù)雜的網(wǎng)絡(luò)拓?fù)洌热纾?a title="鉆瓜專利網(wǎng)">專利《基于腳本模板化生成配置防火墻安全策略的方法》CN110430206A和專利《一種防火墻安全策略配置方法和裝置、以及防火墻》CN105847236B。還有的一些配置方法需要防火墻的信息過多且操作復(fù)雜不易實現(xiàn)，比如：專利《防火墻安全策略配置方法及管理裝置》CN101582900B。

因此，現(xiàn)有的網(wǎng)絡(luò)信息安全領(lǐng)域中還沒有特別便捷的方法，可促使防火墻安全策略的自動生成；故需要提出更為合理的技術(shù)方案，對現(xiàn)有技術(shù)中存在的問題進(jìn)行改進(jìn)。

發(fā)明內(nèi)容

為了克服上述內(nèi)容中提到的現(xiàn)有技術(shù)存在的缺陷，本發(fā)明提供了基于會話流量日志的防火墻安全策略自動生成方法，旨在解決當(dāng)前防火墻策略生成方法存在的模板依賴度高，適應(yīng)性差，操作復(fù)雜，準(zhǔn)確度較低的問題。

為了實現(xiàn)上述目的，本發(fā)明具體采用的技術(shù)方案是：

基于會話流量日志的防火墻安全策略自動生成方法，包括：

會話流量日志搜集：獲取時間t內(nèi)會話流量日志；

會話流量日志處理：對獲取到的會話流量日志進(jìn)行合并，并按照字節(jié)數(shù)進(jìn)行排序，從排序后的日志中選取備用數(shù)據(jù)；

對象提取：將備用數(shù)據(jù)按照數(shù)據(jù)類型進(jìn)行分組，進(jìn)行信息去重處理得到對象元素信息；

安全策略生成與處理：以備用數(shù)據(jù)組建信息表，將數(shù)據(jù)信息替換為ID得到原始安全策略表；將原始安全策略表中數(shù)據(jù)按單一元素分組，進(jìn)行數(shù)據(jù)去重處理得到以某一元素分類的安全策略表；同時可采用對數(shù)據(jù)類型進(jìn)行分類獲取最簡安全策略表；從三種策略表中選取一個作為選定的安全策略表；

安全策略創(chuàng)建：根據(jù)安全策略構(gòu)建服務(wù)對象和服務(wù)表，調(diào)整服務(wù)表內(nèi)容服務(wù)列并對服務(wù)表內(nèi)每組數(shù)據(jù)進(jìn)行匹配，對應(yīng)用標(biāo)識數(shù)據(jù)進(jìn)行篩選并進(jìn)行分離處理得到結(jié)果表，再根據(jù)結(jié)果表創(chuàng)建對象表；將結(jié)果表中每組數(shù)據(jù)替換為ID后得到最終安全策略表，并根據(jù)最終安全策略表創(chuàng)建防火墻安全策略。

上述公開的防火墻安全策略自動生成方法，通過對數(shù)據(jù)進(jìn)行整合處理，去除了對安全策略生成無關(guān)的業(yè)務(wù)數(shù)據(jù)，選取得備用數(shù)據(jù)能夠生成更為精準(zhǔn)的安全策略。

進(jìn)一步的，上述公開的會話流量日志搜集步驟中，將防火墻布部署在網(wǎng)絡(luò)邊界上，配置全通策略，通過開啟流量日志記錄的方式搜集流量信息，以單個正常業(yè)務(wù)周期計算，每個流量日志獲取時間t大于等于一個正常業(yè)務(wù)周期。

進(jìn)一步的，所述的對獲取到的會話流量日志進(jìn)行合并，即分別將相同類型、相同應(yīng)用標(biāo)識、相同協(xié)議、相同源地址、相同目的地址、相同源端口、相同目的端口、相同進(jìn)接口或相同出接口的日志進(jìn)行合并，字節(jié)數(shù)進(jìn)行累加。