[发明专利]一种基于流量分析的工业防火墙策略自动生成部署方法

权利要求书

1.一种基于流量分析的工业防火墙策略自动生成部署方法，其特征在于，所述方法为：

管理员通过工业防火墙的管理口ip地址登录到工业防火墙管理模块；

通过策略自动学习配置模块选择学习时长、学习粒度、防护粒度和应用场景条目，进行学习；

策略自动学习配置模块将管理员配置的学习粒度和应用场景条目下发至智能流量分析模块；

智能流量分析模块根据配置条目，包括：学习粒度和应用场景条目，解析流入工业防火墙的流量，并将解析后的元数据存储到存储模块；

策略自动学习配置模块根据管理员设置的学习时长启动定时器模块，定时器超时触发策略生成模块运行；

策略生成模块根据管理员配置的防护粒度、应用场景条目和存储模块中的元数据，利用策略生成算法生成多维度的防护策略，策略生成完成后自动部署，策略生效。

2.如权利要求1所述的一种基于流量分析的工业防火墙策略自动生成部署方法，其特征在于，所述智能流量分析模块根据管理员配置的学习粒度和应用场景条目对流入工业防火墙的流量进行分析处理，解析流量的五元组和应用层数据以及数据流向信息生成多维度的元数据，将元数据存入存储模块。

3.如权利要求2所述的一种基于流量分析的工业防火墙策略自动生成部署方法，其特征在于，所述智能流量分析模块根据配置的应用场景条目对流量进行过滤，根据流量的源ip、目的ip、源mac、目的mac和协议字段解析出五元组，根据设置的学习粒度对工业应用层数据进行等粒度的报文深度解析，统计单位时间内各应用流量的大小和总流量的大小分别形成基于工业应用协议的流量速率和以太网接口流量速率信息；根据流量报文的流向形成数据流向信息；策略生成模块根据五元组信息生成ip/mac绑定策略，根据设置的防护粒度、五元组和数据流向信息生成对应防护粒度的访问控制策略，根据应用场景条目和应用层数据生成工业入侵检测策略，根据流量速率信息生成对应以太网接口的流量告警策略和工业应用协议的流量告警策略，根据报文深度解析出的工业应用层数据生成工业白名单策略。

4.如权利要求1所述的一种基于流量分析的工业防火墙策略自动生成部署方法，其特征在于，所述工业防火墙在工业生产网络发生变化时，通过增量学习配置模块持续进行策略学习。

5.如权利要求4所述的一种基于流量分析的工业防火墙策略自动生成部署方法，其特征在于，所述增量学习配置模块将之前的学习粒度和应用场景条目下发至智能流量分析模块；

智能流量分析模块根据配置条目，包括：学习粒度和应用场景条目，解析流入工业防火墙的流量，并将解析后的元数据存储到存储模块；

策略自动学习配置模块根据管理员设置的学习时长启动定时器模块，定时器超时触发策略生成模块运行；

策略生成模块根据管理员配置的防护粒度、应用场景条目和存储模块中的元数据，利用策略生成算法生成多维度的防护策略，策略生成完成后自动部署，策略生效。

6.如权利要求5所述的一种基于流量分析的工业防火墙策略自动生成部署方法，其特征在于，所述智能流量分析模块不清空存储模块的内容，并持续存入元数据，存入的元数据在存储模块里已经存在则忽略，不存在则加入。

7.如权利要求5所述的一种基于流量分析的工业防火墙策略自动生成部署方法，其特征在于，所述智能流量分析模块对于元数据冲突的情况则进行归并调整以适应新的网络环境要求，对于增量学习未学习到但存储模块原先已有的元数据仍然保留。