[发明专利]一种防火墙策略监控方法及装置

说明书

本发明公开了一种防火墙策略监控方法及装置，所述方法包括：解析防火墙流量中的数据包，得到第一信息；所述第一信息至少包括端口号信息；对获得的端口号进行分类，将同一类别的端口号构造成邻接矩阵；获取同一类别的不同端口号之间的访问权值，并基于所述访问权值及所述类别对应的邻接矩阵得到判决矩阵；基于所述判决矩阵中不同端口号之间的矩阵权值及预设的判决门限值确定对应防火墙策略的异常情况。

技术领域

本发明涉及业务支撑系统领域中的防火墙策略管理技术，尤其涉及一种防火墙策略监控方法及装置。

背景技术

在防火墙策略库中，有成千上万条策略，而当某个业务系统下线时，针对这个业务系统的防火墙策略却依然存在，这样给防火墙安全策略管理增加了很大的难度。现有的防火墙安全策略由于缺乏规则冲突性检查、完成性校验、流量解析等稽核机制，造成了防火墙策略众多、策略冗余、策略错误等现象，给安全和网络管理带来了问题，而这样的情况很容易造成将高级别的保密信息连接到高风险的Internet或其他外部系统上去，从而造成严重的安全隐患。

因此，提供一种防火墙策略监控方案，能够解决现有防火墙策略管理中存在的上述问题，实现对异常访问、非法数据流的及时发现，使管理员能够及时的删除冗余、错误的策略，已成为亟待解决的问题。

发明内容

有鉴于此，本发明实施例期望提供一种防火墙策略监控方法及装置，至少解决了现有技术存在的问题，能够实现对异常访问、非法数据流的及时发现，使管理员能够及时的删除冗余、错误的策略，实现防火墙策略的最小化。

为达到上述目的，本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种防火墙策略监控方法，所述方法包括：

解析防火墙流量中的数据包，得到第一信息；所述第一信息至少包括端口号信息；

对获得的端口号进行分类，将同一类别的端口号构造成邻接矩阵；

获取同一类别的不同端口号之间的访问权值，并基于所述访问权值及所述类别对应的邻接矩阵得到判决矩阵；

基于所述判决矩阵中不同端口号之间的矩阵权值及预设的判决门限值确定对应防火墙策略的异常情况。

上述方案中，所述第一信息还包括：源地址信息及目标地址信息；

所述对获得的端口号进行分类，包括：

提取解析得到的端口号中源地址及目标地址均相同的端口号，将源地址及目标地址均相同的端口号作为同一类别的端口号。

上述方案中，所述第一信息还包括：所述数据包对应的访问时间信息；所述端口号信息包括：源端口号信息及目标端口号信息；

所述获取同一类别的不同端口号之间的访问权值，包括：

获取第一时间段内各个源端口到目标端口的访问量信息，以及所述源端口及目标端口所属类别对应的业务权值信息；

基于所述访问量信息及所述业务权值信息确定不同端口号之间的访问权值。

上述方案中，所述端口号信息包括：源端口号信息及目标端口号信息；

所述基于所述判决矩阵中不同端口号之间的矩阵权值及预设的判决门限值确定对应防火墙策略的异常情况，包括：

将所述判决矩阵中各个源端口号与目标端口号之间的矩阵权值与预设的判决门限值进行比较，当所述矩阵权值大于所述预设的判决门限值时，确定相应的源端口号与目标端口号之间的防火墙策略可用；

当所述矩阵权值不大于所述预设的判决门限值时，确定相应的源端口号与目标端口号之间的防火墙策略不可用，并发出第一告警信息。

上述方案中，所述方法还包括：