[发明专利]一种防火墙访问控制列表的异常检测与修正方法

说明书

本发明公开了一种防火墙访问控制列表的异常检测与修正方法，包括：在一个或多个工作周期内防火墙所在网络节点的数据包进行统计，标记每条语句的数据包命中数；根据企业应用场景制定基本访问控制列表，并根据数据包命中数标记基本访问控制列表中每条语句的语句命中数；依据所述语句命中数对所有语句由多到少排序；对排序的所有语句进行相互对比以判断是否存在异常，请对存在异常的语句进行修正。本发明的有益效果：摆脱异常检测和修正对网络管理员的依赖，在节约人力资源的同时也预防人为疏漏所造成的配置错误。

技术领域

本发明涉及防火墙访问控制技术领域，更具体地说，涉及一种防火墙访问控制列表的异常检测与修正方法。

背景技术

防火墙访问控制列表在编写完成之后，并非是一成不变的。随着网络结构的变化，业务变更，网络对防火墙访问控制列表的需求也会有相应改变。网络管理员可能会随时对防火墙访问控制列表进行更改，在反复更改的过程中难免会出现很多异常情况，导致防火墙访问控制列表效率降低，增加网络延迟，甚至出现错误地对数据包进行拦截或让原本不应该通过的数据包通过。

现有的防火墙访问控制列表由网络管理人为编写和管控，防火墙在使用的过程中会逐步出现很多不足或语句冲突，如果全靠人为发现和处理需要耗费大量的人力成本，同时也会出现不同程度的疏漏。另一方面，现存一些访问控制列表的异常检测技术，都只能发现访问控制列表中存在的问题，而不能解决问题，最终还是需要网络管理员处理。

发明内容

本发明提供了一种防火墙访问控制列表的异常检测与修正方法，解决现有的防火墙访问控制列表全靠人为发现和处理需要耗费大量的人力成本，同时也会出现不同程度的疏漏的问题。

为解决上述问题，一方面，本发明提供一种防火墙访问控制列表的异常检测与修正方法，包括：

在一个或多个工作周期内防火墙所在网络节点的数据包进行统计，标记每条语句的数据包命中数；

根据企业应用场景制定基本访问控制列表，并根据数据包命中数标记基本访问控制列表中每条语句的语句命中数；

依据所述语句命中数对所有语句由多到少排序；

对排序的所有语句进行相互对比以判断是否存在异常，请对存在异常的语句进行修正。

还包括：

对防火墙访问控制列表中的语句进行形式化描述和标记。

所述对防火墙访问控制列表中的语句进行形式化描述和标记，包括：

将序号为i的语句的源IP地址、目的IP地址、源端口、目的端口及通信协议构成语句集合并将所述语句集合记为L_i；其中，i=1,2,3…；

将序号为i的语句所执行的动作记为A_i；

若L_i∩L_j≠∅且A_i≠A_j，则称序号为i的语句和序号为j的语句相互冲突；其中，j=1,2,3…，i≠j；

若L_i∩L_j≠∅且A_i＝A_j，则称序号为i的语句和序号为j的语句相互冗余。

所述对排序的所有语句进行相互对比以判断是否存在异常，请对存在异常的语句进行修正，包括步骤：

S41、从序号为i的语句开始，依次使序号在i后的语句与第i条语句对比以确定序号为i的语句是否存在异常，并对存在异常的语句进行修正；

S42、使i自加1，重复步骤S41直至i=N-1；其中，初始i=1，N为所有语句的数量。

所述步骤S41包括步骤：

S411、若序号为i的语句与序号为j的语句没有冲突及冗余，则不做任何处理，继续本次遍历；