[发明专利]一种网络访问关系的生成方法及装置

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络访问关系的生成方法及装置。

背景技术

网络防火墙的访问控制功能是通过网络防火墙执行用户配置的网络访问控制策略实现的。网络防火墙根据用户配置的网络访问控制策略对网络访问进行控制，用户配置的网络访问控制策略与实际业务需求匹配度越高，网络防火墙的网络访问控制效果越好。

在现有技术中，为了实现网络防火墙控制网络访问，用户自行根据网络访问情况，分析得到网络访问关系；再根据实际业务需求，结合分析得到的网络访问关系，配置网络防火墙网络访问控制策略。网络防火墙根据用户配置的网络访问控制策略，自动执行对网络访问的控制。在上述实现网络防火墙控制网络访问的过程中，需要由用户自行分析得到网络访问关系，自动化程度低，用户工作量大，工作效率低。

发明内容

基于上述现有技术的缺陷和不足，本发明提出一种网络访问关系的生成方法及装置，能够代替人工自动采集数据并根据采集的数据得到网络访问关系。

一种网络访问关系的生成方法，包括：

采集设定时间段内通过网络防火墙传输的网络数据；

根据在所述设定时间段内采集的通过所述网络防火墙传输的网络数据，解析得到在所述设定时间段内，通过所述网络防火墙传输的网络数据所归属的网络会话；

将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系。

优选地，在将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系之后，该方法还包括：

对聚合得到的在所述设定时间段内的网络访问关系进行归并处理。

优选地，所述对聚合得到的在所述设定时间段内的网络访问关系进行归并处理，包括：

将聚合得到的在所述设定时间段内的网络访问关系中的，目的IP地址、目的端口及协议均相同的网络访问关系进行归并处理。

优选地，在将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系之后，该方法还包括：

对聚合得到的在所述设定时间段内的网络访问关系进行排序处理。

优选地，在将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系之后，该方法还包括：

查找得到聚合得到的在所述设定时间段内的网络访问关系中的，没有对应规则的访问关系。

一种网络访问关系的生成装置，包括：

采集单元，用于采集设定时间段内通过网络防火墙传输的网络数据；

解析单元，用于根据在所述设定时间段内采集的通过所述网络防火墙传输的网络数据，解析得到在所述设定时间段内，通过所述网络防火墙传输的网络数据所归属的网络会话；

聚合处理单元，用于将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系。

优选地，所述装置还包括：

归并处理单元，用于在所述聚合处理单元将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系之后，对聚合得到的在所述设定时间段内的网络访问关系进行归并处理。

优选地，所述归并处理单元对聚合得到的在所述设定时间段内的网络访问关系进行归并处理时，具体用于：

将聚合得到的在所述设定时间段内的网络访问关系中的，目的IP地址、目的端口及协议均相同的网络访问关系进行归并处理。

优选地，所述装置还包括：

排序处理单元，用于在所述聚合处理单元将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系之后，对聚合得到的在所述设定时间段内的网络访问关系进行排序处理。

优选地，所述装置还包括：

过滤单元，用于在所述聚合处理单元将所述设定时间段内的网络会话进行聚合处理，得到在所述设定时间段内的网络访问关系之后，查找得到聚合得到的在所述设定时间段内的网络访问关系中的，没有对应规则的访问关系。