一种网络访问关系的生成方法及装置与流程

文档序号:11156597阅读:475来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
一种网络访问关系的生成方法及装置与制造工艺

本发明涉及网络安全技术领域,尤其涉及一种网络访问关系的生成方法及装置。



背景技术:

网络防火墙的访问控制功能是通过网络防火墙执行用户配置的网络访问控制策略实现的。网络防火墙根据用户配置的网络访问控制策略对网络访问进行控制,用户配置的网络访问控制策略与实际业务需求匹配度越高,网络防火墙的网络访问控制效果越好。

在现有技术中,为了实现网络防火墙控制网络访问,用户自行根据网络访问情况,分析得到网络访问关系;再根据实际业务需求,结合分析得到的网络访问关系,配置网络防火墙网络访问控制策略。网络防火墙根据用户配置的网络访问控制策略,自动执行对网络访问的控制。在上述实现网络防火墙控制网络访问的过程中,需要由用户自行分析得到网络访问关系,自动化程度低,用户工作量大,工作效率低。



技术实现要素:

基于上述现有技术的缺陷和不足,本发明提出一种网络访问关系的生成方法及装置,能够代替人工自动采集数据并根据采集的数据得到网络访问关系。

一种网络访问关系的生成方法,包括:

采集设定时间段内通过网络防火墙传输的网络数据;

根据在所述设定时间段内采集的通过所述网络防火墙传输的网络数据,解析得到在所述设定时间段内,通过所述网络防火墙传输的网络数据所归属的网络会话;

将所述设定时间段内的网络会话进行聚合处理,得到在所述设定时间段内的网络访问关系。

优选地,在将所述设定时间段内的网络会话进行聚合处理,得到在所述设定时间段内的网络访问关系之后,该方法还包括:

对聚合得到的在所述设定时间段内的网络访问关系进行归并处理。

优选地,所述对聚合得到的在所述设定时间段内的网络访问关系进行归并处理,包括:

将聚合得到的在所述设定时间段内的网络访问关系中的,目的IP地址、目的端口及协议均相同的网络访问关系进行归并处理。

优选地,在将所述设定时间段内的网络会话进行聚合处理,得到在所述设定时间段内的网络访问关系之后,该方法还包括:

对聚合得到的在所述设定时间段内的网络访问关系进行排序处理。

优选地,在将所述设定时间段内的网络会话进行聚合处理,得到在所述设定时间段内的网络访问关系之后,该方法还包括:

查找得到聚合得到的在所述设定时间段内的网络访问关系中的,没有对应规则的访问关系。

一种网络访问关系的生成装置,包括:

采集单元,用于采集设定时间段内通过网络防火墙传输的网络数据;

解析单元,用于根据在所述设定时间段内采集的通过所述网络防火墙传输的网络数据,解析得到在所述设定时间段内,通过所述网络防火墙传输的网络数据所归属的网络会话;

聚合处理单元,用于将所述设定时间段内的网络会话进行聚合处理,得到在所述设定时间段内的网络访问关系。

优选地,所述装置还包括:

归并处理单元,用于在所述聚合处理单元将所述设定时间段内的网络会话进行聚合处理,得到在所述设定时间段内的网络访问关系之后,对聚合得到的在所述设定时间段内的网络访问关系进行归并处理。

优选地,所述归并处理单元对聚合得到的在所述设定时间段内的网络访问关系进行归并处理时,具体用于:

将聚合得到的在所述设定时间段内的网络访问关系中的,目的IP地址、目的端口及协议均相同的网络访问关系进行归并处理。

优选地,所述装置还包括:

排序处理单元,用于在所述聚合处理单元将所述设定时间段内的网络会话进行聚合处理,得到在所述设定时间段内的网络访问关系之后,对聚合得到的在所述设定时间段内的网络访问关系进行排序处理。

优选地,所述装置还包括:

过滤单元,用于在所述聚合处理单元将所述设定时间段内的网络会话进行聚合处理,得到在所述设定时间段内的网络访问关系之后,查找得到聚合得到的在所述设定时间段内的网络访问关系中的,没有对应规则的访问关系。

本发明提出的网络访问关系的生成方法,首先采集设定时间段内通过网络防火墙传输的网络数据;然后根据在所述设定时间段内采集的通过所述网络防火墙传输的网络数据,解析得到在所述设定时间段内,通过所述网络防火墙传输的网络数据所归属的网络会话;将所述设定时间段内的网络会话进行聚合处理,得到在所述设定时间段内的网络访问关系。采用本发明提出的生成网络访问关系的方法,能够自动完成数据采集,从采集的数据解析得到网络会话,然后对网络会话进行聚合处理,得到网络访问关系,利于提高得到网络访问关系的效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。

图1是本发明实施例提供的一种网络访问关系的生成方法的流程示意图;

图2是本发明实施例提供的对网络会话进行聚合处理的示意图;

图3是本发明实施例提供的另一种网络访问关系的生成方法的流程示意图;

图4是本发明实施例提供的对网络访问关系进行归并处理的示意图;

图5是本发明实施例提供的另一种网络访问关系的生成方法的流程示意图;

图6是本发明实施例提供的对网络访问关系进行排序处理的示意图;

图7是本发明实施例提供的从生成的网络访问关系中查找得到没有对应规则的网络访问关系的示意图;

图8是本发明实施例提供的一种网络访问关系的生成装置的结构示意图;

图9是本发明实施例提供的另一种网络访问关系的生成装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。

本发明实施例公开了一种网络访问关系的生成方法,参见图1所示,该方法包括:

S101、采集设定时间段内通过网络防火墙传输的网络数据;

具体的,本发明实施例采用旁路采集的方式采集设定时间段内通过网络防火墙传输的网络数据。在网络通信业务通过网络防火墙时,本发明实施例设置数据采集装置,在网络防火墙所在的网络链路的交换机或路由器等网络设备中采集数据。在一种实现方式中,在采集网络数据时,可以直接将流过网络防火墙的网络数据进行复制,得到完整而真实的,流过网络防火墙的网络数据。

S102、根据在所述设定时间段内采集的通过所述网络防火墙传输的网络数据,解析得到在所述设定时间段内,通过所述网络防火墙传输的网络数据所归属的网络会话;

具体的,在采集得到通过网络防火墙传输的网络数据后,本发明实施例进一步根据网络数据的源IP地址、目的IP地址、源端口、目的端口、协议、流量等参数信息,解析得到采集的网络数据所归属的网络会话。

例如,假设采集到的一组网络数据的源IP地址为192.168.29.11,源端口为20214,目的IP地址为192.168.57.80,目的端口为80,协议为tcp,流量为120,则根据这些参数信息,可以确定该组网络数据属于源IP地址为192.168.29.11,源端口为20214,目的IP地址为192.168.57.80,目的端口为80,协议为tcp的网络会话。

S103、将所述设定时间段内的网络会话进行聚合处理,得到在所述设定时间段内的网络访问关系。

具体的,本发明实施例对设定时间段内的网络会话进行聚合处理,实际上是利用到数据库中的聚合功能,将大量数据中的相同项进行叠加处理。上述“相同项”可以设置为单项或多项,也就是说,可以以单项参数为依据进行相同项叠加处理,也可以以多项参数为依据进行相同项叠加处理。叠加处理之后的网络会话,称为网络访问关系。

例如,假设本发明实施例以源IP地址、目的IP地址、目的端口及协议四项参数为基础,对设定时间段内的网络会话进行聚合处理,如图2所示,具体聚合过程为:将图2中上方表格中所示的,在设定时间段内解析得到的网络会话中的,源IP地址相同、目的IP地址相同、目的端口相同,并且协议也相同的会话进行叠加处理,得到图2中下方表格所示的网络访问关系。

本发明提出的网络访问关系的生成方法,首先采集设定时间段内通过网络防火墙传输的网络数据;然后根据在所述设定时间段内采集的通过所述网络防火墙传输的网络数据,解析得到在所述设定时间段内,通过所述网络防火墙传输的网络数据所归属的网络会话;将所述设定时间段内的网络会话进行聚合处理,得到在所述设定时间段内的网络访问关系。采用本发明提出的生成网络访问关系的方法,能够自动完成数据采集,从采集的数据解析得到网络会话,然后对网络会话进行聚合处理,得到网络访问关系,利于减少用户工作量。

可选的,在本发明的另一个实施例中,参见图3所示,在将所述设定时间段内的网络会话进行聚合处理,得到在所述设定时间段内的网络访问关系之后,该方法还包括:

S304、对聚合得到的在所述设定时间段内的网络访问关系进行归并处理。

具体的,本发明实施例对网络访问关系进行归并处理,是指将所有的网络访问关系中的,某一项或某几项参数相同的网络访问关系进行归并处理。例如将目的IP地址相同的网络访问关系进行归并处理。具体归并所依据的参数,可以根据需求而决定。

本实施例中的步骤S301~S303分别对应图1所示的方法实施例中的步骤S101~S103,其具体内容请参加对应图1所示的方法实施例的内容,此处不再赘述。

可选的,在本发明的另一个实施例中,所述对聚合得到的在所述设定时间段内的网络访问关系进行归并处理,包括:

将聚合得到的在所述设定时间段内的网络访问关系中的,目的IP地址、目的端口及协议均相同的网络访问关系进行归并处理。

具体的,在本实施例中,以网络访问关系的目的IP地址、目的端口及协议为基础对网络访问关系进行归并,即将目的IP地址、目的端口及协议均相同的网络访问关系进行归并。如图4所示,将网络访问关系中的,目的IP地址、目的端口及协议均相同的网络访问关系进行归并,得到图4中下方表格中的归并结果。可以理解的是,用户可以根据需求,自由设定根据哪些参数对网络访问关系进行归并处理,例如根据源IP地址、目的端口及协议对网络访问关系进行归并处理等。

可选的,在本发明的另一个实施例中,参见图5所示,在将所述设定时间段内的网络会话进行聚合处理,得到在所述设定时间段内的网络访问关系之后,该方法还包括:

S504、对聚合得到的在所述设定时间段内的网络访问关系进行排序处理。

具体的,本发明实施例根据聚合得到的网络访问关系的某一项参数,对网络访问关系进行排序处理。如图6所示,将网络访问关系按照出现频次由高到低的顺序进行排序,可以得到图6中下方表格所示的排序结果。进一步的,当本发明实施例得到网络访问关系后,可以供给用户制定网络访问控制策略,在用户制定网络访问控制策略后,对已经被用户制定为网络访问控制策略的网络访问关系进行排序,可以更进一步地使用户明了制定的控制策略是否符合实际情况,以便于用户对控制策略进行更改。

本实施例中的步骤S501~S503对应图1所示的方法实施例中的步骤S101~S103,其具体内容请参见对应图1所示的方法实施例中的内容,此处不再赘述。

可选的,在本发明的另一个实施例中,在将所述设定时间段内的网络会话进行聚合处理,得到在所述设定时间段内的网络访问关系之后,该方法还包括:

查找得到聚合得到的在所述设定时间段内的网络访问关系中的,没有对应规则的访问关系。

具体的,本发明实施例在得到网络访问关系后,可供用户根据网络访问关系制定网络访问控制策略。用户在将网络访问关系制定为网络访问控制策略时,为网络访问关系设置标签,该标签成为该网络访问关系的对应规则。本发明实施例在用户为网络访问关系设置标签后,查找得到没有被用户设置标签的网络访问关系,以便用户对已设置标签的网络访问关系进行管理。

例如图7中所示,本发明实施例从图7中上方表格中所示的网络访问关系中,查找得到图中下方表格中所示的没有对应规则的网络访问关系。用户可以选择将没有对应规则的网络访问关系删除,或进行进一步的编辑处理。

本发明实施例还公开了一种网络访问关系的生成装置,参见图8所示,包括:

采集单元801,用于采集设定时间段内通过网络防火墙传输的网络数据;

解析单元802,用于根据在所述设定时间段内采集的通过所述网络防火墙传输的网络数据,解析得到在所述设定时间段内,通过所述网络防火墙传输的网络数据所归属的网络会话;

聚合处理单元803,用于将所述设定时间段内的网络会话进行聚合处理,得到在所述设定时间段内的网络访问关系。

具体的,本发明实施例中各个单元的具体工作内容,请参见对应的方法实施例的内容,此处不不再赘述。

本发明提出的网络访问关系生成装置,在生成网络访问关系时,首先由采集单元801采集设定时间段内通过网络防火墙传输的网络数据;然后由解析单元802根据在所述设定时间段内采集的通过所述网络防火墙传输的网络数据,解析得到在所述设定时间段内,通过所述网络防火墙传输的网络数据所归属的网络会话;最后聚合处理单元803将所述设定时间段内的网络会话进行聚合处理,得到在所述设定时间段内的网络访问关系。本发明提出的网络访问关系生成装置,能够自动完成数据采集,从采集的数据解析得到网络会话,然后对网络会话进行聚合处理,得到网络访问关系,利于提高得到网络访问关系的效率。

可选的,在本发明的另一个实施例中,参见图9所示,所述装置还包括:

归并处理单元804,用于在所述聚合处理单元803将所述设定时间段内的网络会话进行聚合处理,得到在所述设定时间段内的网络访问关系之后,对聚合得到的在所述设定时间段内的网络访问关系进行归并处理。

具体的,本实施例中的归并处理单元804的具体工作内容,请参见对应的方法实施例的内容,此处不再赘述。

可选的,在本发明的另一个实施例中,所述归并处理单元804对聚合得到的在所述设定时间段内的网络访问关系进行归并处理时,具体用于:

将聚合得到的在所述设定时间段内的网络访问关系中的,目的IP地址、目的端口及协议均相同的网络访问关系进行归并处理。

具体的,本实施例中归并处理单元804的具体工作内容,请参见对应的方法实施例的内容,此处不再赘述。

可选的,在本发明的另一个实施例中,所述装置还包括:

排序处理单元,用于在所述聚合处理单元将所述设定时间段内的网络会话进行聚合处理,得到在所述设定时间段内的网络访问关系之后,对聚合得到的在所述设定时间段内的网络访问关系进行排序处理。

具体的,本实施例中的排序处理单元的具体工作内容,请参见对应的方法实施例的内容,此处不再赘述。

可选的,在本发明的另一个实施例中,所述装置还包括:

过滤单元,用于在所述聚合处理单元将所述设定时间段内的网络会话进行聚合处理,得到在所述设定时间段内的网络访问关系之后,查找得到聚合得到的在所述设定时间段内的网络访问关系中的,没有对应规则的访问关系。

具体的,本实施例中过滤单元的具体工作内容,请参见对应的方法实施例的内容,此处不再赘述。

对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

完整全部详细技术资料下载
当前第1页1 2 3 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:翟明全;王建华;孙文艳;柏雪;严景;冯梨;马俊闯
  • 技术所有人:北京启明星辰信息安全技术有限公司;启明星辰信息技术集团股份有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2