防火墙策略处理方法及装置、计算机设备和存储介质与流程

本发明涉及防火墙策略优化技术领域，具体而言，涉及防火墙策略处理方法、防火墙策略处理装置、计算机设备和计算机可读存储介质。

背景技术：

目前，现有传统的防火墙策略顺序确定方式为：管理员一般按照防火墙策略的命中数，把防火墙策略按命中数从大到小顺序排列。但是，管理员一般看到的防火墙策略的命中数都是较短时间内的流量且是随机的流量，并不能体现实际的正常业务流量大小，所以依据短期内且随机的流量确定防火墙策略的顺序缺乏合理性。而且，由于防火墙策略的命中数一般是由管理员主观确定的，即管理员主观地认为某个流量较大就把其对应的防火墙策略放在前面，也就是说，网络流量大的防火墙策略排在前面，则当策略规则一旦多变时，管理员主观也不好确定流量大小，可见按防火墙策略的命中数管理员手工配置其顺序的方式随机性较大且缺乏科学性。

因此，如何更加合理而科学地确定防火墙顺序，成为亟待解决的技术问题。

技术实现要素：

本发明旨在至少解决现有技术或相关技术中存在的技术问题之一。

为此，本发明的一个目的在于提出了一种新的防火墙策略处理方法，可以更加科学而合理地确定防火墙策略的顺序，以能够按照最优的顺序优化调整防火墙策略的排序。

本发明的另一个目的在于对应提出了防火墙策略处理装置、计算机设备和计算机可读存储介质。

为实现上述至少一个目的，根据本发明的第一方面，提出了一种防火墙策略处理方法，包括：采集第一预设时间段内实时出入防火墙的初始网络流量数据；将所述初始网络流量数据输入预先训练好的流量检测模型中，识别并去除其中包含的异常流量数据，以得到目标网络流量数据；确定所述防火墙的所有安全策略中包含的所有非冗余安全策略；根据所述目标网络流量数据对所述所有非冗余安全策略的排列顺序进行优化处理。

在该技术方案中，基于预先训练好的流量检测模型识别并去除第一预设时间段内实时出入防火墙的初始网络流量数据中的异常流量数据，以去除初始网络流量数据中不具有一般性的且持续的随机流量数据，从而体现实际的正常数据流量大小，并对防火墙的安全策略进行去冗余处理，继而依据去除异常流量数据后得到的目标网络流量数据对经去冗余处理得到的所有非冗余安全策略进行排序优化处理，如此，可以减小策略顺序确定过程中的随机性，以更加科学而合理地确定防火墙策略的顺序，并能够依据该经优化处理的顺序调整防火墙策略的排序，从而增强防火墙的防护作用、提高防火墙的安全性。

在上述技术方案中，优选地，所述根据所述目标网络流量数据对所述所有非冗余安全策略的排列顺序进行优化处理，包括：将所述目标网络流量数据中每个网络流量数据的字段信息分别与每个所述非冗余安全策略进行匹配；统计与每个所述非冗余安全策略匹配的流量数据总数，以作为所述目标网络流量数据对每个所述非冗余安全策略的命中数；根据每个所述非冗余安全策略的命中数确定所有所述非冗余安全策略的最优顺序；根据所述最优顺序调整所有所述非冗余安全策略的排列顺序。

在该技术方案中，当根据不包含异常流量数据的目标网络流量数据对去冗余处理得到的防火墙的所有非冗余安全策略的排序进行调整时，基于每个目标网络流量数据的字段信息与每个非冗余安全策略的匹配情况确定每个非冗余安全策略的命中数，进而则可以依据各命中数科学而合理地得到最优顺序，以用于调整所有非冗余安全策略的排列顺序。

进一步地，在上述技术方案中，所述最优顺序优选地以顺序优化建议报表的形式输出，则在基于最优顺序调整所有所述非冗余安全策略的排列顺序时可供管理员进一步结合实际需要，使调整后的顺序更加合理。

在上述任一技术方案中，优选地，所述确定所述防火墙的所有安全策略中包含的所有非冗余安全策略，包括：按照所述所有安全策略的初始排列顺序，依次将相邻的两个安全策略中排列在前的第一安全策略与排列在后的第二安全策略进行比较；根据比较结果确定所述所有安全策略中包含的冗余安全策略，并依次删除所述冗余安全策略，以得到所述所有非冗余安全策略。

在该技术方案中，对防火墙的所有安全策略进行去冗余处理时，依次将现有剩余的所有安全策略中相邻的两个安全策略按照初始排列顺序中的前后位次进行比较筛选冗余安全策略，并对所有的冗余安全策略执行进一步的删除操作，以完成对所有安全策略的精简得到所有非冗余安全策略，有助于提高对防火墙的安全策略排列顺序的调整效率。

在上述任一技术方案中，优选地，所述根据比较结果确定所述所有安全策略中包含的冗余安全策略，并依次删除所述冗余安全策略，以得到所述所有非冗余安全策略，包括：当确定所述第一安全策略包含所述第二安全策略时，将所述第二安全策略作为所述冗余安全策略进行删除；当确定所述第一安全策略不包含所述第二安全策略时，将所述第二安全策略作为新的所述第一安全策略，并按照所述初始排列顺序与新的所述第二安全策略进行比较，直至完成对所述所有安全策略的比较，以将得到的至少一个未被删除的安全策略作为所述非冗余安全策略。

在该技术方案中，当筛选并剔除冗余安全策略时，具体地在防火墙的所有安全策略的初始排列顺序中，若排在前面位次的第一安全策略完全包含了相邻的排在后面位次的第二安全策略的所有内容则可以确定排在后面位次的安全策略是冗余的，则可以将当前的该第二安全策略确定为冗余安全策略，若第一安全策略未安全包含该第二安全策略的内容，则可以将当前的该第二安全策略作为新的第一安全策略，以与排列在其后且相邻的新的第二安全策略进行比较，依次完成所有安全策略的比较，并在删除所有的冗余安全策略后得到所有非冗余安全策略，简单高效且确保无遗漏。

在上述任一技术方案中，优选地，所述防火墙策略处理方法在所述获取实时采集的初始网络流量数据前还包括：获取预设时间段内的网络流量数据样本；根据预设机器学习算法对所述网络流量数据样本进行训练，得到所述流量检测模型。

在该技术方案中，具体可以依据预设机器学习算法对较长时间(即预设时间段)内出入防火墙的正常的网络流量数据样本进行训练得到流量数据模型，其中，网络流量数据样本为出入防火墙的已发生无异常流量数据的历史网络流量数据，进而通过该流量数据模型识别实时网络流量中的异常流量数据，确保用于调整非冗余安全策略的排列顺序的网络流量数据来源的可靠性。

在上述任一技术方案中，优选地，所述预设机器学习算法包括孤立森林iforest算法。

在上述任一技术方案中，优选地，所述目标网络流量数据为按时间顺序变动的正常网络流量数据。

根据本发明的第二方面，提出了一种防火墙策略处理装置，包括：采集模块，用于采集第一预设时间段内实时出入防火墙的初始网络流量数据；检测模块，用于将所述初始网络流量数据输入预先训练好的流量检测模型中，识别并去除其中包含的异常流量数据，以得到目标网络流量数据；确定模块，用于确定所述防火墙的所有安全策略中包含的所有非冗余安全策略；处理模块，用于根据所述目标网络流量数据对所述所有非冗余安全策略的排列顺序进行优化处理。

在该技术方案中，基于预先训练好的流量检测模型识别并去除第一预设时间段内实时出入防火墙的初始网络流量数据中的异常流量数据，以去除初始网络流量数据中不具有一般性的且持续的随机流量数据，从而体现实际的正常数据流量大小，并对防火墙的安全策略进行去冗余处理，继而依据去除异常流量数据后得到的目标网络流量数据对经去冗余处理得到的所有非冗余安全策略进行排序优化处理，如此，可以减小策略顺序确定过程中的随机性，以更加科学而合理地确定防火墙策略的顺序，并能够依据该经优化处理的顺序调整防火墙策略的排序，从而增强防火墙的防护作用、提高防火墙的安全性。

根据本发明的第三方面，提供了一种计算机设备，包括：处理器；用于储存处理器可执行指令的存储器，其中，处理器用于执行存储器中储存的可执行指令时实现如上述第一方面的技术方案中任一项的防火墙策略处理方法的步骤。

根据本发明的第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现如上述第一方面的技术方案中任一项的防火墙策略处理方法的步骤。

本发明的附加方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：

图1示出了本发明实施例的防火墙策略处理方法的流程示意图；

图2示出了本发明实施例的确定非冗余安全策略的方法流程示意图；

图3示出了本发明实施例的防火墙策略处理装置的示意框图；

图4示出了本发明实施例的计算机设备的示意框图。

具体实施方式

为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本申请的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限制。

下面结合图1和图2对本发明实施例的防火墙策略处理方法进行具体说明。

如图1所示，根据本发明实施例的防火墙策略处理方法，具体包括以下流程步骤：

步骤s102，采集第一时间段内实时出入防火墙的初始网络流量数据。

具体可以在连接防火墙的交换机/大数据存储服务器中采集所述初始网络数据流量。

步骤s104，将所述初始网络流量数据输入预先训练好的流量检测模型中，识别并去除其中包含的异常流量数据，以得到目标网络流量数据。

具体地，所述目标网络流量数据为按时间顺序变动的正常网络流量数据，所述异常流量数据集包括突发的大文件传输等产生的网络流量数据。

步骤s106，确定所述防火墙的所有安全策略中包含的所有非冗余安全策略。

步骤s108，根据所述目标网络流量数据对所述所有非冗余安全策略的排列顺序进行优化处理。

在该实施例中，基于预先训练好的流量检测模型识别并去除第一预设时间段内实时出入防火墙的初始网络流量数据中的异常流量数据，以去除初始网络流量数据中不具有一般性的且持续的随机流量数据，从而体现实际的正常数据流量大小，并对防火墙的安全策略进行去冗余处理，继而依据去除异常流量数据后得到的目标网络流量数据对经去冗余处理得到的所有非冗余安全策略进行排序优化处理，如此，可以减小策略顺序确定过程中的随机性，以更加科学而合理地确定防火墙策略的顺序，并能够依据该经优化处理的顺序调整防火墙策略的排序，从而增强防火墙的防护作用、提高防火墙的安全性。

进一步地，上述实施例中的步骤s108具体可以执行为：将所述目标网络流量数据中每个网络流量数据的字段信息分别与每个所述非冗余安全策略进行匹配；统计与每个所述非冗余安全策略匹配的流量数据总数，以作为所述目标网络流量数据对每个所述非冗余安全策略的命中数；根据每个所述非冗余安全策略的命中数确定所有所述非冗余安全策略的最优顺序；根据所述最优顺序调整所有所述非冗余安全策略的排列顺序。

在该实施例中，当根据不包含异常流量数据的目标网络流量数据对去冗余处理即静态分析得到的防火墙的所有非冗余安全策略的排序进行调整时，基于每个目标网络流量数据的字段信息与每个非冗余安全策略的匹配情况确定每个非冗余安全策略的命中数，进而则可以依据各命中数科学而合理地得到最优顺序，以用于调整所有非冗余安全策略的排列顺序。

其中，每个网络流量数据的字段信息包括源ip地址、目的ip地址、源端口、目的端口、流量协议等。

由上可见，上述对于每个非冗余安全策略的命中数是基于去除异常流量数据且进行了一段时间(即第一预设时间段，比如一周)的数据累计且持续变动的目标网络流量数据得到，如此，可以有效避免现有配置中一成不变的策略和人为操作的错误，并能够提高防火墙的系统处理效率。

进一步地，在上述实施例中，所述最优顺序优选地以顺序优化建议报表的形式输出，则在基于最优顺序调整所有所述非冗余安全策略的排列顺序时可供管理员进一步结合实际需要，使调整后的顺序更加合理。

进一步地，上述实施例中的步骤s106可以具体执行为如图2所示的流程步骤，包括：

步骤s202，按照所述所有安全策略的初始排列顺序，依次将相邻的两个安全策略中排列在前的第一安全策略与排列在后的第二安全策略进行比较。

步骤s204，根据比较结果确定所述所有安全策略中包含的冗余安全策略，并依次删除所述冗余安全策略，以得到所述所有非冗余安全策略。

在该实施例中，对防火墙的所有安全策略进行去冗余处理时，依次将现有剩余的所有安全策略中相邻的两个安全策略按照初始排列顺序中的前后位次进行比较筛选冗余安全策略，并对所有的冗余安全策略执行进一步的删除操作，以完成对所有安全策略的精简得到所有非冗余安全策略，有助于提高对防火墙的安全策略排列顺序的调整效率。

进一步地，上述实施例中的步骤s204可以具体执行为：当确定所述第一安全策略包含所述第二安全策略时，将所述第二安全策略作为所述冗余安全策略进行删除；当确定所述第一安全策略不包含所述第二安全策略时，将所述第二安全策略作为新的所述第一安全策略，并按照所述初始排列顺序与新的所述第二安全策略进行比较，直至完成对所述所有安全策略的比较，以将得到的至少一个未被删除的安全策略作为所述非冗余安全策略。

在该实施例中，当筛选并剔除冗余安全策略时，具体地在防火墙的所有安全策略的初始排列顺序中，若排在前面位次的第一安全策略完全包含了相邻的排在后面位次的第二安全策略的所有内容则可以确定排在后面位次的安全策略是冗余的，则可以将当前的该第二安全策略确定为冗余安全策略，可对其进行提示管理以进行删除，若第一安全策略未安全包含该第二安全策略的内容，则可以将当前的该第二安全策略作为新的第一安全策略，以与排列在其后且相邻的新的第二安全策略进行比较，依次完成所有安全策略的比较，并在删除所有的冗余安全策略后得到所有非冗余安全策略，简单高效且确保无遗漏。

具体地，通过比较第一安全策略和第二安全策略的源ip地址、目的ip地址、源端口、目的端口、服务内容等确定第一安全策略是否完全包含第二安全策略。

进一步地，上述实施例所述的防火墙策略处理方法在所述步骤s102之前，还包括：获取预设时间段内的网络流量数据样本；根据预设机器学习算法对所述网络流量数据样本进行训练，得到所述流量检测模型。

在该实施例中，具体可以依据预设机器学习算法对较长时间(即预设时间段)内出入防火墙的正常的网络流量数据样本进行训练得到流量数据模型，其中，网络流量数据样本为出入防火墙的已发生无异常流量数据的历史网络流量数据，进而通过该流量数据模型识别实时网络流量中的异常流量数据，确保用于调整非冗余安全策略的排列顺序的网络流量数据来源的可靠性。

进一步地，在上述实施例中，所述预设机器学习算法包括孤立森林iforest算法。

在构建上述流量数据模型的一个具体实施例中，首先进行网络流量数据样本的采集，比如使用距离当前时间最近的一个月内出入防火墙的网络流量数据作为样本数据，则进一步基于网络流量数据样本中的网络流量数据，使用孤立森林iforest(isolationforest)算法，解析获取访问ip地址、端口、服务流量协议和访问时间等相关数据并分析其变化规律，消除异常流量数据的影响，以生成正常的流量检测模型，以用于检测实时采集的网络流量数据中包含的异常流量数据，进而助于形成随时间变动的正常的网络流量数据。

可知的是，孤立森林iforest算法是一种基于ensemble(集成)的快速异常检测方法，具有线性时间复杂度和高精准度，是符合大数据处理要求的算法。

下面结合图3对本发明实施例的防火墙策略处理装置进行具体说明。

如图3所示，根据本发明实施例的书法练习装置30，包括：采集模块302、检测模块304、确定模块306和处理模块308。

其中，所述采集模块302用于采集第一预设时间段内实时出入防火墙的初始网络流量数据；所述检测模块304用于将所述初始网络流量数据输入预先训练好的流量检测模型中，识别并去除其中包含的异常流量数据，以得到目标网络流量数据；所述确定模块306用于确定所述防火墙的所有安全策略中包含的所有非冗余安全策略；所述处理模块308用于根据所述目标网络流量数据对所述所有非冗余安全策略的排列顺序进行优化处理。

在该实施例中，基于预先训练好的流量检测模型识别并去除第一预设时间段内实时出入防火墙的初始网络流量数据中的异常流量数据，以去除初始网络流量数据中不具有一般性的且持续的随机流量数据，从而体现实际的正常数据流量大小，并对防火墙的安全策略进行去冗余处理，继而依据去除异常流量数据后得到的目标网络流量数据对经去冗余处理得到的所有非冗余安全策略进行排序优化处理，如此，可以减小策略顺序确定过程中的随机性，以更加科学而合理地确定防火墙策略的顺序，并能够依据该经优化处理的顺序调整防火墙策略的排序，从而增强防火墙的防护作用、提高防火墙的安全性。

进一步地，在上述实施例中，所述处理模块308具体用于：将所述目标网络流量数据中每个网络流量数据的字段信息分别与每个所述非冗余安全策略进行匹配；统计与每个所述非冗余安全策略匹配的流量数据总数，以作为所述目标网络流量数据对每个所述非冗余安全策略的命中数；根据每个所述非冗余安全策略的命中数确定所有所述非冗余安全策略的最优顺序；根据所述最优顺序调整所有所述非冗余安全策略的排列顺序。

进一步地，在上述实施例中，所述最优顺序优选地以顺序优化建议报表的形式输出。

进一步地，在上述实施例中，所述确定模块306具体用于：按照所述所有安全策略的初始排列顺序，依次将相邻的两个安全策略中排列在前的第一安全策略与排列在后的第二安全策略进行比较；根据比较结果确定所述所有安全策略中包含的冗余安全策略，并依次删除所述冗余安全策略，以得到所述所有非冗余安全策略。

进一步地，在上述实施例中，所述确定模块306具体还用于：当确定所述第一安全策略包含所述第二安全策略时，将所述第二安全策略作为所述冗余安全策略进行删除；当确定所述第一安全策略不包含所述第二安全策略时，将所述第二安全策略作为新的所述第一安全策略，并按照所述初始排列顺序与新的所述第二安全策略进行比较，直至完成对所述所有安全策略的比较，以将得到的至少一个未被删除的安全策略作为所述非冗余安全策略。

进一步地，在上述实施例中，所述采集模块302在获取实时采集的初始网络流量数据前还用于：获取第二预设时间段内的网络流量数据样本；所述处理模块308还用于：根据预设机器学习算法对所述网络流量数据样本进行训练，得到所述流量检测模型。

进一步地，在上述实施例中，所述预设机器学习算法包括孤立森林iforest算法。

进一步地，在上述实施例中，所述目标网络流量数据为按时间顺序变动的正常网络流量数据。

图4示出了本发明实施例的计算机设备的示意框图。

如图4所示，根据本发明实施例的计算机设备40，包括处理器402和存储器404，其中，存储器404上存储有可在处理器402上运行的计算机程序，其中存储器404和处理器402之间可以通过总线连接，该处理器402用于执行存储器404中存储的计算机程序时实现如上实施例中的防火墙策略处理方法的步骤。

本发明实施例的防火墙策略处理方法中的步骤可以根据实际需要进行顺序调整、合并和删减。

本发明实施例的防火墙策略处理装置和计算机设备中的单元可以根据实际需要进行合并、划分和删减。

根据本发明的实施例，提出了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现如上实施例中的防火墙策略处理方法的步骤。

进一步地，可以理解的是，流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(ram)，只读存储器(rom)，可擦除可编辑只读存储器(eprom或闪速存储器)，光纤装置，以及便携式光盘只读存储器(cdrom)。另外，计算机可读介质甚至可以是可在其上打印程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得程序，然后将其存储在计算机存储器中。

应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(pga)，现场可编程门阵列(fpga)等。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本发明各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。

上述提到的存储介质可以是只读存储器，磁盘或光盘等；以及上述提到的计算机设备可以是服务器。

在本发明的实施例中，术语“第一”和“第二”仅用于描述的目的，而不能理解为指示或暗示相对重要性，对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明实施例中的具体含义。

以上仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。