[发明专利]一种基于流量分析的工业防火墙策略自动生成部署方法

说明书

本发明公开了一种基于流量分析的工业防火墙策略自动生成部署方法，管理员登录工业防火墙管理模块；通过策略自动学习配置模块选择学习时长、学习粒度、防护粒度和应用场景条目进行学习；策略自动学习配置模块将管理员配置的学习粒度、应用场景条目下发至智能流量分析模块；智能流量分析模块根据配置条目解析流入工业防火墙的流量，并将解析后的元数据进行储存；策略自动学习配置模块根据设置的学习时长启动定时器模块，定时器超时触发策略生成模块运行；策略生成模块根据管理员配置的防护粒度、应用场景和存储模块中的元数据，利用策略生成算法生成多维度的防护策略并自动部署。本发明解决了现有工业防火墙难以快速应对网络环境变化的问题。

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于流量分析的工业防火墙策略自动生成部署方法。

背景技术

现有的工业防火墙需要管理员使用管理终端通过工业防火墙的管理地址进行访问和管理工业防火墙，管理员需要了解内部网络情况然后制定相应的防护策略部署在工业防火墙上，例如，只允许内部网络ip地址为A的用户访问外部网络，而禁止其他用户访问，当内部网络发生变更时(如新增了ip地址为B的用户需要连接外部网络)需要管理员了解新的内部网路情况并手动变更工业防火墙上的防护策略。

因此，需要管理员了解需要保护的内部网络情况，并且深入了解工业防火墙各个防护功能的意义和使用方法，当内部网络发生变更时需要管理员手动更改工业防火墙的防护策略且有可能新增防护策略与原先存在的防护策略存在冲突而不感知。导致管理员的任务重、压力较大，容易出错，防火墙起不到应有的作用。

发明内容

为此，本发明提供一种基于流量分析的工业防火墙策略自动生成部署方法，以解决现有工业防火墙难以快速应对网络环境变化的问题。

为了实现上述目的，本发明提供如下技术方案：

本发明公开了一种基于流量分析的工业防火墙策略自动生成部署方法，所述方法为：

管理员通过工业防火墙的管理口ip地址登录到工业防火墙管理模块；

通过策略自动学习配置模块选择学习时长和学习粒度以及防护粒度和应用场景条目，进行学习；

策略自动学习配置模块将管理员配置的学习粒度和应用场景条目下发至智能流量分析模块；

智能流量分析模块根据配置条目解析流入工业防火墙的流量，并将解析后的元数据存储到存储模块；

策略自动学习配置模块根据管理员设置的学习时长启动定时器模块，定时器超时触发策略生成模块运行；

策略生成模块根据管理员配置的防护粒度、应用场景和存储模块中的元数据，利用策略生成算法生成多维度的防护策略，策略生成完成后自动部署，策略生效。

进一步地，所述智能流量分析模块根据管理员配置的学习粒度和应用场景条目对流入工业防火墙的流量进行分析处理，解析流量的五元组、应用层数据、数据流向信息生成多维度的元数据，将元数据存入存储模块。

进一步地，所述智能流量分析模块根据配置的应用场景对流量进行过滤，根据流量的源ip、目的ip、源mac、目的mac和协议字段解析出五元组，根据设置的学习粒度对工业应用层数据进行等粒度的报文深度解析，统计单位时间内各应用流量的大小和总流量的大小分别形成基于工业应用协议的流量速率和以太网接口流量速率数据；根据流量报文的流向形成数据流向数据。

进一步地，所述策略生成模块根据五元组信息生成ip/mac绑定策略，根据设置的防护粒度、五元组和数据流向信息生成对应防护粒度的访问控制策略，根据应用场景和应用层数据生成工业入侵检测策略，根据流量速率信息生成对应以太网接口的流量告警策略和工业应用协议的流量告警策略，根据报文深度解析出的工业应用层数据生成工业白名单策略。