[发明专利]一种防火墙策略监控方法及装置

权利要求书

1.一种防火墙策略监控方法，其特征在于，所述方法包括：

解析防火墙流量中的数据包，得到第一信息；所述第一信息至少包括端口号信息、源地址信息及目标地址信息；

对获得的端口号进行分类，将同一类别的端口号构造成邻接矩阵；其中，所述对获得的端口号进行分类，包括：提取解析得到的端口号中源地址及目标地址均相同的端口号，将源地址及目标地址均相同的端口号作为同一类别的端口号；所述将同一类别的端口号构造成邻接矩阵，包括：将源地址及目标地址相同的至少一个源端口及至少一个目标端口构造成邻接矩阵；

获取同一类别的不同端口号之间的访问权值，并基于所述访问权值及所述类别对应的邻接矩阵得到判决矩阵；

基于所述判决矩阵中不同端口号之间的矩阵权值及预设的判决门限值确定对应防火墙策略的异常情况。

2.根据权利要求1所述方法，其特征在于，所述第一信息还包括：所述数据包对应的访问时间信息；所述端口号信息包括：源端口号信息及目标端口号信息；

所述获取同一类别的不同端口号之间的访问权值，包括：

获取第一时间段内各个源端口到目标端口的访问量信息，以及所述源端口及目标端口所属类别对应的业务权值信息；

基于所述访问量信息及所述业务权值信息确定不同端口号之间的访问权值。

3.根据权利要求1所述方法，其特征在于，所述端口号信息包括：源端口号信息及目标端口号信息；

所述基于所述判决矩阵中不同端口号之间的矩阵权值及预设的判决门限值确定对应防火墙策略的异常情况，包括：

将所述判决矩阵中各个源端口号与目标端口号之间的矩阵权值与预设的判决门限值进行比较，当所述矩阵权值大于所述预设的判决门限值时，确定相应的源端口号与目标端口号之间的防火墙策略可用；

当所述矩阵权值不大于所述预设的判决门限值时，确定相应的源端口号与目标端口号之间的防火墙策略不可用，并发出第一告警信息。

4.根据权利要求1所述方法，其特征在于，所述方法还包括：

分别获取所述判决矩阵中每一行的矩阵权值之和，确定行矩阵权值之和超过预设第一阈值时，发出第二告警信息；所述第二告警信息用于提示目标设备出现异常数据访问；

分别获取所述判决矩阵中每一列的矩阵权值之和，确定列矩阵权值之和超过预设第二阈值时，发出第三告警信息；所述第三告警信息用于提示源端设备出现异常流量数据；

分别将所述判决矩阵中的每个矩阵权值与预设第三阈值进行比较，确定所述矩阵权值超过第三阈值时，发出第四告警信息；所述第四告警信息用于提示所述矩阵权值对应的端口出现通信异常。

5.一种防火墙策略监控装置，其特征在于，所述装置包括：解析模块、分类模块、处理模块及确定模块；其中，

所述解析模块，用于解析防火墙流量中的数据包，得到第一信息；所述第一信息至少包括端口号信息、源地址信息及目标地址信息；

所述分类模块，用于对获得的端口号进行分类；其中，所述对获得的端口号进行分类，包括：提取解析得到的端口号中源地址及目标地址均相同的端口号，将源地址及目标地址均相同的端口号作为同一类别的端口号；

所述处理模块，用于基于端口号之间的通信情况将同一类别的端口号构造成邻接矩阵；

以及，获取同一类别的不同端口号之间的访问权值，并基于所述访问权值及所述类别对应的邻接矩阵得到判决矩阵；

其中，所述将同一类别的端口号构造成邻接矩阵，包括：将源地址及目标地址相同的至少一个源端口及至少一个目标端口构造成邻接矩阵；

所述确定模块，用于基于所述判决矩阵中不同端口号之间的矩阵权值及预设的判决门限值确定对应防火墙策略的异常情况。

6.根据权利要求5所述装置，其特征在于，所述第一信息还包括：所述数据包对应的访问时间信息；所述端口号信息包括：源端口号信息及目标端口号信息；

所述处理模块，还用于获取第一时间段内各个源端口到目标端口的访问量信息，以及所述源端口及目标端口所属类别对应的业务权值信息；

基于所述访问量信息及所述业务权值信息确定不同端口号之间的访问权值。