基于规则生命周期检测的防火墙自适应能力提升方法与流程

本发明涉及基于规则生命周期检测的防火墙自适应能力提升方法，属于计算机与信息科学技术领域。

背景技术：

随着网络技术的快速发展，给我们的工作和生活带来了方便，但是各种网络安全问题也随之出现，防火墙作为保证网络安全的重要工具，其性能也应该不断地提高，来适应当前的网络情况。到目前为止，防火墙规则生成的触发条件比较单一；同时，现有防火墙技术只考虑了防火墙规则的生成，但是随着新规则越来越多，无效匹配次数也不断增加，最终导致防火墙过滤效率降低。因此，本发明将提供基于规则生命周期检测的防火墙自适应能力提升方法，来提高防火墙的安全性和过滤效率。

防火墙自适应能力提升方法需要解决的基本问题是：增加规则生成触发条件以及根据网络环境动态的增加和删除防火墙规则，提高防火墙的过滤效率和安全性。综合现有的防火墙自适应能力提升方法，通常使用方法可归为两类：

1.基于日志分析的防火墙规则生成方法

基于日志分析的防火墙规则生成方法是读取防火墙的日志记录，将日志记录中有攻击行为的记录标记，再从这些记录中提取攻击源的协议类型、源ip、源端口、目的ip、目的端口，根据这五元特征值生成规则，添加到防火墙规则集中。

2.基于入侵检测的防火墙规则生成方法

基于入侵检测的防火墙规则生成方法是通过抓取防火墙的数据包，将数据包的信息与入侵特征库的信息进行对比，如果其特征信息与特征库的信息匹配，则说明有攻击行为，根据数据包的来源信息生成防火墙规则并添加到规则集中。

综上所述，现有的防火墙自适应能力提升方法只生成新规则，并不会对规则进行删除，随着规则数目越来越多，导致过多的无效匹配次数进而降低了防火墙的过滤效率。所以本发明提出基于规则生命周期检测的防火墙自适应能力提升方法。

技术实现要素：

本发明的目的是为了解决防火墙规则触发条件单一和无法动态删除新规则造成的防火墙过滤效率降低的问题，所以提出了基于规则生命周期检测的防火墙自适应能力提升方法。

本发明的设计原理为：本发明首先对防火墙日志中的匹配缺省规则的次数较多的数据包信息进行提取，根据数据包信息生成新的防火墙规则，将新生成的规则进行合并，把满足添加条件的新规则添加到规则集中；然后抓取到达防火墙的数据包，对合法的数据包进行入侵行为检测，若有入侵行为则生成警告信息，根据警告信息生成新规则并添加到规则集中；最后，对新规则定期进行生命周期检测，及时删除生命周期结束的规则。

本发明的技术方案是通过如下步骤实现的：

步骤1，根据防火墙日志信息生成防火墙规则。

步骤1.1，从防火墙日志中提取数据包信息。

步骤1.2，根据数据包信息生成新的防火墙规则。

步骤1.3，按照与防火墙原规则不冲突的原则，对新规则进行合并。

步骤1.4，将满足一定条件的防火墙规则添加到防火墙规则集中。

步骤2，根据入侵检测信息生成防火墙规则。

步骤2.1，对网络数据包进行捕获，将不符合防火墙规则的数据包丢弃。

步骤2.2，将剩下的数据包与入侵特征库中的特征信息进行匹配检测，若有入侵信息，则发出警告信息。

步骤2.3，根据警告信息生成新的防火墙规则。

步骤3，为新规则设定其生命周期。

步骤3.1，定期统计新添加规则的匹配命中率,计算规则删除条件，即规则的生命周期，将满足条件的规则进行删除。

有益效果

相比于日志分析及入侵检测的任意一种防火墙规则生成方法，本发明不仅结合了这两种方法生成规则，大大提高了防火墙的安全性；而且加入了规则生命周期检测机制，解决了因为生成新规则过多造成无效匹配次数增加问题，提高了防火墙的过滤效率。

附图说明

图1为本发明基于规则生命周期检测的防火墙自适应能力提升方法的原理图。

具体实施方式

为了更好的说明本发明的目的和优点，下面结合实例对本发明方法的实施方式做进一步详细说明。

具体流程为：

步骤1，根据防火墙日志信息生成新的防火墙规则。

步骤1.1，首先从防火墙日志中提取匹配缺省规则的数据包信息，然后按照协议类型、源ip、源端口、目的ip、目的端口属性对数据包进行分类并统计各类数据包占总数据包数的比例。

步骤1.2，用比例较高的数据包信息生成新规则，规则属性如下：规则号暂时为空，加入规则集时再确定；协议类型、源ip、源端口、目的ip、目的端口按照数据包信息确定；动作域默认为拒绝。

步骤1.3，将新规则按照协议类型进行分组，同组的规则进行合并，合并方法是：协议类型不变，源ip、源端口、目的ip、目的端口取所有规则的并集作为合并后的规则，动作域为拒绝；判定合并后的规则是否与规则集中规则有异常关系，有则说明规则不能合并，没有则说明可以合并。

步骤1.4，判断新规则是否满足不等式其中n为防火墙的原规则数，i为规则在规则集中的位置，pnew为新规则的匹配命中率，pdefault为缺省规则的匹配命中率，pn为第n条规则的匹配命中率，α为常数因子，一般取值为1.05～1.2；满足上述不等式则可以添加到规则集中，其在规则集中的位置按照规则匹配命中率由高到低排列。

步骤2，根据入侵检测信息生成防火墙规则。

步骤2.1，首先抓取进入防火墙的数据包，然后将数据包与防火墙规则进行匹配，留下合法的数据包。

步骤2.2，将留下的数据包进行入侵行为检测，一旦发现有入侵行为，立刻产生报警信息。

步骤2.3，根据报警信息生成规则，并添加到防火墙规则集中最高优先集处。

步骤3，设定新规则的生命周期。

步骤3.1，定期统计新规则的匹配命中率pcurrent，当其满足不等式时，说明新规则的生命周期结束，应予以删除。在不等式中，n为防火墙原规则数，pdefault为缺省规则的匹配命中率，pn为原规则中第n条规则的匹配命中率，β为常数因子，取值一般为1.05～1.2。

测试结果：实验基于规则生命周期检测的防火墙自适应能力提升方法，本发明在不影响防火墙策略的情况下，分别采用日志分析和入侵检测两种方法生成了防火墙规则，并加入了规则周期检测机制，解决了新规则过多造成的臃肿，降低了数据包的平均匹配次数，提高了防火墙的过滤效率，效果见表1和表2，有效的实现了防火墙的自适应。

表1.防火墙添加规则前实验结果

表2.防火墙添加规则后实验结果

以上所述的具体描述，对发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。