专利名称:根据网络安全报警自动调整安全策略的计算机防火墙的制作方法
技术领域:
本发明专利涉及一种通过对网络安全报警进行分析而自动添加和删除网络数据 过滤规则的计算机防火墙系统。
背景技术:
防火墙(Firewall)是一种被配置在两个计算机网络(单独一台计算机也可以视 为一个微型网络)之间的设备。其核心是计算机程序,但是也可以固化在路由器等硬件上 而成为硬件的一部分。两个网络间的一切通信都必须通过防火墙,而防火墙则根据预先设 定的规则选择性地允许或禁止某些数据的通过。防火墙的核心是预设的规则,即程序化地描述符合哪些特征的数据应该被允许或 禁止通过。防火墙的规则通常由网络管理员进行人工设置,规则的优劣直接影响防火墙的 有效性和其所保护的计算机网络的安全性。常用的防火墙规则设置可以概括为“默认禁止”与“默认允许”。被设置为“默认禁 止”的防火墙对于一切与当前防火墙规则不匹配的数据一律禁止通过,在提高了安全性的 同时也增加了网络管理员的工作量,需要经常添加新的规则才能保证正常的网络应用。大 多数的商业网络都采用“默认允许”的防火墙规则,即除了防火墙规则明确地要求阻止的数 据,防火墙一律允许通过。“默认允许”的防火墙在安全性上有很大的缺陷,虽然设置简单, 但是很容易遭到入侵和攻击,且常常因为数据流量巨大,网络管理员难以及时发现这些恶 意的行为并做出应对。防火墙的过滤规则理论上可以应用于网络任何一个层(物理层、数据链路层、网 络层、传输层、会话层、表示层和应用层)的数据,所以也常以此被分为网络层防火墙和应 用层防火墙等。入侵检测系统(Intrusion Detection System)是通过对以网络数据为主的计算 机数据进行分析(通常为实时分析),发现可疑的数据并产生相应报警的系统。入侵检测系 统常被用来协助网络管理员及时发现网络中的问题(不仅包括入侵,还包括攻击和其他违 规应用)。一条告警信息常常包含下列信息的全部或部分入侵源头的网络地址,入侵源头 的端口号,入侵目标的网络地址,入侵目标的端口号,入侵所使用的网络协议,入侵类型,入 侵所涉及的数据包和数据流的代码以及报警时间等。现有的入侵检测系统虽然漏报率较低 但是误报率很高,即时同时使用多个入侵检测系统并对数据进行综合分析也难以获得值得 信赖的报警。所以其报警在很大程度上只能用于参考。现有的防火墙,无论是“默认允许”,“默认禁止”,还是工作在任何一个网络层,其 规则都是静态的。即,在没有明确的人工修改时,规则是一成不变的。而计算机网络的状态 却始终在改变。新的入侵、攻击或其他违规应用随时都会出现,却常常不能被现有的防火墙 规则所阻止,特别是在被设置为“默认允许”的防火墙所保护的网络中。而被防火墙规则所 明确允许的数据特征,也不能保证其无法被恶意地使用,有可能在将来被用于危害网络安 全的行为。
3
静态的防火墙规则的另一个缺陷是对外而不对内。防火墙的规则的制定都是基于 安全威胁来自于外部的假设,而内部的问题一经发现则可以通过其他方式解决,比如对在 办公网络中玩网络游戏的职员进行行政处罚,而不是通过防火墙规则去屏蔽。一旦网络内 部的电脑被恶意地使用,在其危害发展到可以被明显地察觉之前,都难以得到有效制止。因 此,一旦内部网络中的电脑被恶意使用,经常导致如机密外泄等严重后果。尽管入侵检测系统为网络管理员制定和修改防火墙规则带来了一些方便,因为其 误报率过高,其报警内容无法直接被用于制定和修改防火墙规则,而必须首先经过人工的 筛选,对于维护网络安全难以有实质性的帮助。
发明内容
现有的防火墙因为使用静态规则并依赖人工设置而导致了一系列的缺陷,不但 难以对新的安全威胁做出及时、有效的应对,还会因为不当的规则设置而完全忽视一些潜 在的安全威胁,并且对于内部的安全威胁也无法有效应对。为了克服现有防火墙的这些缺 陷,本发明提供一种新型的防火墙,这种防火墙通过对网络报警系统产生的实时报警进行 分析,结合针对不同类型网络而设定的参数及函数综合计算不同潜在防火墙规则的利弊得 失,动态地添加和删除防火墙规则,以使防火墙规则能随时都适应和针对当前的网络安全 形势,更好地维护网络安全。本发明解决这些问题所采用的技术方案如下以入侵检测系统所生成的实时报 警信息作为更改防火墙规则的主要参考,周期性地对一段时期(回顾期)以来的所有未被 成功阻止的报警信息进行分析,根据每一条报警信息生成若干基本的参考用防火墙屏蔽规 则,并对这些规则进行扩展(渐进地增加其所涵盖网络地址及计算机端口的范围)而产 生更多的参考用规则;针对每一条参考用基本规则和参考用扩展规则,按照预设的环境参 数量化地计算其相应的“利”(如果采用此规则而可以消灭的回顾期内的告警的价值)与 “弊”(如果采取此规则而无法访问的网络资源的价值),如果“利”超过“弊”的程度(数量 或倍数)达到或超过预设的临界值,即选定此规则作为新的防火墙规则;如果从同一个告 警信息产生的多个参考用规则都符合此条件,则可以根据需要自动选取其中的一个或多个 作为新的防火墙规则;每一条新的防火墙规则在被采用时都同时根据其“利”与“弊”设定一 个有效期,在其有效期内,每当该规则被成功地应用而阻止了一个报警,则相应地增加其有 效期,并增加此规则的成绩分数;当一条规则的有效期结束的时候,该规则将被自动删除; 对于在有效期内发挥了显著功效的防火墙规则(用其阻止的报警的总价值,或者单位时间 阻止报警的平均价值来衡量)以及其发挥显著作用时网络活动的特征进行记录,以使网络 管理员在事后可以了解和分析威胁网络安全的因素及威胁的模式和特征。本发明的有益效果是,防火墙规则是根据当前网络安全形势而动态添加和删除 的,能够随时针对最新的网络安全威胁做出相应的调整,在减轻网络管理员工作负担的同 时明显地缩短系统对于新的安全威胁做出应对的周期;因为只有在一条备选防火墙规则 的利益明显大于弊端,即仅屏蔽较少资源就可以消除大量的报警时,该规则才会被采纳,所 以入侵检测系统误报的不良影响被显著降低;防火墙规则的寿命由其使用效果决定,使用 效果良好的防火墙规则得以保留,直到其所针对的威胁消除,而效果不好的防火墙规则却 会很快被删除,在维护了网络安全的前提下最大限度地保障了网络资源的正常访问;通过在内部网络中安装入侵检测系统和防火墙,内部网络中的入侵、攻击及其他违规应用也会 产生报警和相应的防火墙屏蔽规则,让防火墙不但可以对外防御,也能够对来自内部的威 胁做出反应;通过保存和整理有价值的防火墙规则的相关信息,网络管理员对于网络安全 形势会有更好的了解,方便其有针对性发现安全隐患并及时调整宏观安全策略;防火墙的 行为特征由若干设置参数及函数决定,这些设置可以根据实际网络环境和应用效果进行调 整,以更好地保护目标网络。
具体实施例方式本发明的具体实施需要用到的参数及函数如下1与时间相关的参数a)规则更新周期(P_Update,默认值为5秒)防火墙规则应该每隔多久计算并更 新一次;b)回顾周期(P_LookBaCk,默认值为30秒)每次更新防火墙规则时应将过去多 长时间内的未被阻止的告警信息纳入考察范围;2与计算防火墙规则“利”与“弊”相关的参数与函数a)每个报警类型所对应的价值(V_Alert,所有类型的默认值都是1),对于误报率 极高且威胁很小的报警类型,应将其价值设定得较小甚至是0,而对于误报率低且威胁很大 的报警类型,应赋予其较高的价值;b)每一个外网地址的一个端口的价值(V_EXPort,所有的端口的默认值都是1), 如果同一个地址被阻止的端口总价值超过其网络地址的价值,以其网络地址的价值为准;c)每一个外网地址的价值(V_ExAddr,所有地址的默认值都是1),对于已知安全 且重要的外网资源,可以单独设定较高的价值;d)每一个内网地址的一个端口的价值(V_InP0rt,所有端口的默认值都是1),如 果同一个地址被阻止的端口总价值超过其网络地址的价值,以其网络地址的价值为准;e)每一个内网地址的价值(V_InAddr,所有地址的默认值都是50),内网资源因为 是被保护的对象,其价值应当明显高于外网资源,对于重要的内网资源,比如重要的服务器 等,应单独设定其价值高于一般资源;f)从一条报警产生若干基本参考用防火墙屏蔽规则的函数(F_BaSiCRuleS,默认 为生成6条基本参考用防火墙屏蔽规则阻止一切来自入侵源头网络地址的入侵源头所用 端口的数据、阻止一切来自入侵源头网络地址的数据、阻止一切来自或去向入侵源头网络 地址的数据、阻止一切去向入侵目标地址的入侵目标端口数据、阻止一切去向入侵目标地 址的数据和阻止一切来自或去向入侵目标地址的数据);g)渐进地增加一条参考用防火墙规则的覆盖范围的函数(F_EXtendRUle,默认为 将当前参考用规则所覆盖的网络地址范围加倍,如将匹配IPv4地址192. 168. 3. 21的全部 32位扩展为匹配其前31位,即从192. 168. 3. 21/32扩展到192. 168. 3. 21/31,下一次扩展 则是扩展到192. 168. 3. 21/30,以此类推),此函数根据其所获得的参考用防火墙屏蔽规则 生成一条覆盖范围有所扩展的新参考用屏蔽规则;扩展的对象应当局限于网络地址的覆盖 范围,而不应对端口范围和网络协议等参数进行扩展;h)判断是否继续扩展防火墙屏蔽规则的函数(F_ShouldEXtend,默认为当新生成的参考用屏蔽规则的“利”小于“弊”时,即停止扩展)此函数根据其所获得的参考用防火 墙规则,考察其扩展前后一系列参考用规则的“利”、“弊”变化情况,判断是否继应该续对其 进行扩展;i)计算一个网络地址区段的价值的函数(F_EXRangeValUe,默认为网络区 段价值=其区间内所有地址的总价值/[该地址区段的长度+1],如IPv4地址区段 192. 168. 2. 21/30的地址区段的长度是32-30 = 2,所包含的地址为2的平方,即4个,如果 每个外部地址的价值是1,总价值即为4,那么该区段的价值则等于4/[2+1] = 1.333) — 般而言,如果两个区段A和B,A区段包含B区段,且A区段所包含的地址数量大于B区段所 包含的地址数量,那么A区段的价值就应该大于B区段的价值,否则规则扩展所导致净增加 的“弊”会是0或者负数,导致产生的防火墙屏蔽规则的覆盖范围过度扩大,妨碍正常的网 络资源访问;与防火墙规则的应用相关的参数与函数a)通过比较“利”与“弊”判断一条防火墙规则是否应当被采用的函数(F_ ShouldAdopt,默认为添加可以被其阻止的报警的总价值大于被其屏蔽的网络资源的总价 值的两倍,且可以被其阻止的报警总价值大于10的一切参考用屏蔽规则)此函数应将 同一条报警所衍生的所有参考用防火墙规则纳入考虑,根据上述与计算防火墙规则“利”、 “弊”相关的参数与函数进行计算,以决定是否应当采用这些规则的一个子集合(可以是空 集)作为新的防火墙规则;理想的结果是从每个报警所产生的所有参考用屏蔽规则中最多 只挑选出一个最有价值的成为新的防火墙屏蔽规则;b)计算一条新的防火墙规则的初始有效期的函数(FJnitialLifetime,默认为 10秒+[其所能阻止的所有报警的总价值]秒,如果结果大于100秒,即将其设定为100 秒)有效期的计算应当参考此规则的“利”与“弊”,但不应超过一个预设的上限;c)计算当一条现有防火墙规则成功阻止一条报警后其新的有效期的函数(F_ NewLifetime,默认为当前有效期+[该报警的价值X2]秒,如果新的有效期大于300秒,即 将其设定为300秒)此函数应当限制防火墙规则的最大有效期,以避免成功阻止大量报警 的防火墙规则在攻击停止后依然长期存在。d)判断一条防火墙规则是否有参考价值的函数(F_RUleValUe,默认为此规则从 被添加起至今,平均每秒所阻止的报警的价值,如果达到或超过30,即认定为有参考价值, 否则为尚无参考价值)此函数对于已持续存在一段较长时间的防火墙规则和刚刚过期的 防火墙规则进行审核,根据其有效期内阻止报警的成绩判断其是否具有参考价值而应被记 录和存档;4衡量防火墙规则有效性的相关参数a)成功阻止的报警数量占报警总数的比例;b)成功阻止的报警的价值占所有报警的总价值的比例;c)平均响应时间(从入侵检测系统生成一条报警,到防火墙判断其有威胁并生成 可以对其有效阻止的新防火墙规则的平均时间,未导致新防火墙规则产生的报警不计入此 统计);以上参数和函数中的1至3类(与时间相关的参数、与计算防火墙规则“利”、“弊” 相关的参数与函数、与防火墙规则的应用相关的参数与函数)应在使用前设定好,其设定
6值直接影响本发明所提出的新型防火墙效能。上文中所提供的默认数值和算法均是建议的 默认值,应在使用中根据实际情况(如参照类4中所描述的防火墙有效性的衡量标准)进 行调整以获得最理想的防护效果。本发明所提出的新型防火墙的具体实施方案如下1将入侵检测系统布置在本发明所提出的防火墙之前,即,在对数据进过滤前首先 对其进行入侵检测;2本发明所提出的防火墙应被配置为“默认允许”,可以工作在任何一个网络层,但 是具体使用效果会有所区别;3本发明所提出的防火墙可以同时使用静态和动态规则,静态规则不会被防火墙 程序自动删除;当动态与静态规则相冲突时,应以人工设定的静态规则为准;4规则更新程序每隔预设的规则更新周期(P_Update)即执行一次更新流程;5每当更新流程开始时,收集其之前一个回顾周期(P_LookBaCk)内所有的未被阻 止的报警信息;6对于每一条未被阻止的报警信息,运行F_BaSiCRuleS函数以生成若干基本的参 考用防火墙屏蔽规则;7对于每一条参考用防火墙规则,运行防火墙规则扩展函数F_EXtendRUle对其进 行渐进扩展,直到判断是否应继续该扩展屏蔽规则的函判断此扩展应
当停止;8对于所生成的所有参考用防火墙屏蔽规则,使用函数F_ShoUldAdopt综合计算 其利弊(阻止报警的总价值为利,所屏蔽的网络资源的价值为弊),并判断是否应采用其作 为新的防火墙屏蔽规则;9添加新的防火墙屏蔽规则,并用FJnitialLifetime函数计算及设定其初始有 效期;10对于每一条新产生且被防火墙成功阻止的报警信息,根据F_NeWLifetime函数 重新设定导致该报警被阻止的防火墙屏蔽规则的有效期,并更新该防火墙屏蔽规则的成绩 记录;11用F_RUleValUe函数判断每条现有防火墙规则的价值,对于被判定为有参考价 值的防火墙屏蔽规则记录并存档;12删除所有已到达有效期的防火墙规则。
权利要求
一种根据网络安全报警自动调整安全策略的计算机防火墙,被配置于计算机网络之间,根据防火墙规则对计算机网络间的数据进行过滤,选择性地阻止和允许数据通行,其特征是以入侵检测系统所产生的报警作为依据,对在报警基础上衍生推导出的一系列备选防火墙屏蔽规则进行量化的利弊权衡,选择有价值的备选规则作为新的防火墙屏蔽规则并为其设定有效期,并自动删除到达有效期的防火墙规则。
2.根据权利要求1所述的根据网络安全报警自动调整安全策略的计算机防火墙,其特 征是以未被屏蔽的报警所涉及的网络地址、端口和网络协议中的一个或多个作为屏蔽对 象而产生若干基本的备选防火墙屏蔽规则,渐进地改变其所屏蔽网络资源的范围而产生一 系列的备选防火墙屏蔽规则。
3.根据权利要求1所述的根据网络安全报警自动调整安全策略的计算机防火墙,其特 征是将因为采用一条备选防火墙屏蔽规则而可以阻止的过去一段时间内的报警的价值量 化作为利益,将因为采用此备选防火墙屏蔽规则而无法访问的网络资源的价值量化作为弊 端,通过量化地衡量利益和弊端来判断是否将此备选防火墙屏蔽规则采纳成为正式的防火 墙屏蔽规则。
4.根据权利要求1所述的根据网络安全报警自动调整安全策略的计算机防火墙,其特 征是根据未被成功阻止的报警来推导和衍生出备选防火墙屏蔽规则,根据被成功阻止的 报警来修正成功将其阻止的现有防火墙屏蔽规则的有效期。
全文摘要
一种根据网络安全报警自动调整安全策略的计算机防火墙。它根据入侵检测系统发出的最新告警信息计算出一系列相关的备选防火墙屏蔽规则,并根据预设参数量化地计算每个备选屏蔽规则的利与弊,以决定是否采纳此规则。每条被采纳的防火墙规则都被赋予一个有效期,每当一条防火墙规则成功地阻止了报警,防火墙会根据被阻止的报警的重要性适当延长此规则的有效期,而到达有效期的防火墙规则则会被删除。
文档编号H04L12/26GK101931604SQ200910072320
公开日2010年12月29日 申请日期2009年6月18日 优先权日2009年6月18日
发明者原少甫 申请人:原少甫