[发明专利]一种基于堆结构的防火墙规则集动态优化方法

说明书

本发明公开了一种基于堆结构的防火墙规则集动态优化方法，其特征在于，具体包括：步骤SS1：构建堆结构的构造模型，所述堆结构的构造模型包括最小堆、单链表；步骤SS2：提出堆结构的动态调整算法，所述动态调整算法包括最小堆调整算法、堆结构调整算法。本发明所达到的有益效果：与现有的统计分析方法相比，本发明提出了一种基于堆结构的防火墙规则集动态优化算法，通过对网络数据包的相关特性进行分析，提出了优先级计算的三个公式，用于实现规则优先级的快速计算。同时根据三个计算公式，提出了一种高效的调整算法，使得防火墙规则集能实现高效可靠的改变，降低防火墙规则集的命中次数。

技术领域

本发明涉及一种基于堆结构的防火墙规则集动态优化方法，属于防火墙规则集优化技术领域。

背景技术

防火墙规则在其添加到规则集中的时候已经决定了其规则匹配的顺序，在以后的规则匹配中，除非人工进行修改，否则其匹配顺序是固定不变的。防火墙的这种设计模式大大影响了，其在规则匹配的时候的运行效率。

原有的防火墙规则集匹配顺序是由上至下的，在本章的研究中，我们动态调整防火墙规则集中的规则顺序，使得优先级高的规则在排序上处于规则集的上端。

统计分析算法是目前关于防火墙规则集动态研究中常用的一种方法。在相关文献中详细介绍了统计分析在防火墙规则优化中的应用，提出了一种衡量防火墙匹配速率的指标，该指标被记为平均规则匹配次数，其算法公式如下所示：

其中W表示规则的平均匹配次数，p_i表示第i条规则被命中的概率。W是防火墙工作性能的评价标准，对于优先级低的规则在防火墙匹配中无疑增加了匹配的次数，从而降低了防火墙的命中效率。同时从上述公式发现，如果规则数越多，W的值将会越大，因此需要统计分析算法来实现防火墙规则集的动态调整，从而提高防火墙的命中效率。

发明内容

本发明针对过滤网络数据包的防火墙规则集，提出一种基于堆结构的规则集动态优化方法。本发明针对网络数据包的三种特点，提出了三种算法公式，分别是初次命中公式、优先级增加公式和优先级减小公式。三种算法公式实时改变了防火墙规则的优先级，使得优先级调整算法高效可靠。

在基于统计分析的防火墙规则集动态研究中，防火墙规则优先级的计算方法存在一个缺陷，如果有连续数据包命中同一条规则时，需要极快的调整这条规则的优先级，这种缺陷源于统计分析的先天不足造成的，统计分析是一个量变引起质变的过程，但是在实时的防火墙研究中需要的是高效的调整算法，因此本算法的研究重点就是如何高效调整防火墙规则集。

根据相关文献中提出的网络数据包的特点：

(1)具有10个以上报文的数据流占网络数据流量的70％；

(2)从开始报文到结束报文的时间为10秒以上的数据流占网络数据流的60％；

(3)如果一个数据流的空闲时间大于60秒，则这个数据流将会不有后续报文。

由此得出如下结论：

(1)当一条防火墙规则第一次被命中后，会有70％的概率被命中10次以上；

(2)60％的防火墙规则从第一次命中到最后一次的命中时间会大于10秒；

(3)如果一条规则在大于60秒的时间内没有被命中，则不会在短期内不会在被命中。

由于防火墙规则集的匹配方式(从第一条规则开始匹配)，为了减少规则的命中次数，因此需要计算求得N个最常会被命中规则，同时需要对这N个规则进行不停地进行修改。

基于上述思想，同时由于防火墙在大型企业防火墙中，防火墙规则的数目是成百上千的，因此本发明拟打算使用堆结构来实现这种规则的排序。