CN108566382B - 基于规则生命周期检测的防火墙自适应能力提升方法 - Google Patents

基于规则生命周期检测的防火墙自适应能力提升方法 Download PDF

Info

Publication number
CN108566382B
CN108566382B CN201810233995.4A CN201810233995A CN108566382B CN 108566382 B CN108566382 B CN 108566382B CN 201810233995 A CN201810233995 A CN 201810233995A CN 108566382 B CN108566382 B CN 108566382B
Authority
CN
China
Prior art keywords
rule
firewall
rules
new
life cycle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201810233995.4A
Other languages
English (en)
Other versions
CN108566382A (zh
Inventor
罗森林
王子文
潘丽敏
朱帅
张笈
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Institute of Technology BIT
Original Assignee
Beijing Institute of Technology BIT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Institute of Technology BIT filed Critical Beijing Institute of Technology BIT
Priority to CN201810233995.4A priority Critical patent/CN108566382B/zh
Publication of CN108566382A publication Critical patent/CN108566382A/zh
Application granted granted Critical
Publication of CN108566382B publication Critical patent/CN108566382B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及基于规则生命周期检测的防火墙自适应能力提升方法,属于计算机与信息科学技术领域。本发明首先对防火墙日志中的匹配缺省规则的次数较多的数据包信息进行提取,根据数据包信息生成新的防火墙规则,将新生成的规则进行合并,把满足条件的新规则添加到规则集中;然后抓取到达防火墙的数据包,对合法的数据包进行入侵行为检测,若有入侵行为则生成警告信息,根据信息生成新规则添加到规则集中;最后,对新规则定期进行生命周期检测,及时删除生命周期结束的规则。本发明在不影响防火墙策略的情况下,分别采用日志分析和入侵检测两种方法生成防火墙规则,并加入了规则周期检测机制,解决了新规则过多造成的规则集臃肿问题,降低了数据包的平均匹配次数,提高了防火墙的过滤效率,有效的实现了防火墙的自适应能力。

Description

基于规则生命周期检测的防火墙自适应能力提升方法
技术领域
本发明涉及基于规则生命周期检测的防火墙自适应能力提升方法,属于计算机与信息科学技术领域。
背景技术
随着网络技术的快速发展,给我们的工作和生活带来了方便,但是各种网络安全问题也随之出现,防火墙作为保证网络安全的重要工具,其性能也应该不断地提高,来适应当前的网络情况。到目前为止,防火墙规则生成的触发条件比较单一;同时,现有防火墙技术只考虑了防火墙规则的生成,但是随着新规则越来越多,无效匹配次数也不断增加,最终导致防火墙过滤效率降低。因此,本发明将提供基于规则生命周期检测的防火墙自适应能力提升方法,来提高防火墙的安全性和过滤效率。
防火墙自适应能力提升方法需要解决的基本问题是:增加规则生成触发条件以及根据网络环境动态的增加和删除防火墙规则,提高防火墙的过滤效率和安全性。综合现有的防火墙自适应能力提升方法,通常使用方法可归为两类:
1.基于日志分析的防火墙规则生成方法
基于日志分析的防火墙规则生成方法是读取防火墙的日志记录,将日志记录中有攻击行为的记录标记,再从这些记录中提取攻击源的协议类型、源IP、源端口、目的IP、目的端口,根据这五元特征值生成规则,添加到防火墙规则集中。
2.基于入侵检测的防火墙规则生成方法
基于入侵检测的防火墙规则生成方法是通过抓取防火墙的数据包,将数据包的信息与入侵特征库的信息进行对比,如果其特征信息与特征库的信息匹配,则说明有攻击行为,根据数据包的来源信息生成防火墙规则并添加到规则集中。
综上所述,现有的防火墙自适应能力提升方法只生成新规则,并不会对规则进行删除,随着规则数目越来越多,导致过多的无效匹配次数进而降低了防火墙的过滤效率。所以本发明提出基于规则生命周期检测的防火墙自适应能力提升方法。
发明内容
本发明的目的是为了解决防火墙规则触发条件单一和无法动态删除新规则造成的防火墙过滤效率降低的问题,所以提出了基于规则生命周期检测的防火墙自适应能力提升方法。
本发明的设计原理为:本发明首先对防火墙日志中的匹配缺省规则的次数较多的数据包信息进行提取,根据数据包信息生成新的防火墙规则,将新生成的规则进行合并,把满足添加条件的新规则添加到规则集中;然后抓取到达防火墙的数据包,对合法的数据包进行入侵行为检测,若有入侵行为则生成警告信息,根据警告信息生成新规则并添加到规则集中;最后,对新规则定期进行生命周期检测,及时删除生命周期结束的规则。
本发明的技术方案是通过如下步骤实现的:
步骤1,根据防火墙日志信息生成防火墙规则。
步骤1.1,从防火墙日志中提取数据包信息。
步骤1.2,根据数据包信息生成新的防火墙规则。
步骤1.3,按照与防火墙原规则不冲突的原则,对新规则进行合并。
步骤1.4,将满足一定条件的防火墙规则添加到防火墙规则集中。
步骤2,根据入侵检测信息生成防火墙规则。
步骤2.1,对网络数据包进行捕获,将不符合防火墙规则的数据包丢弃。
步骤2.2,将剩下的数据包与入侵特征库中的特征信息进行匹配检测,若有入侵信息,则发出警告信息。
步骤2.3,根据警告信息生成新的防火墙规则。
步骤3,为新规则设定其生命周期。
步骤3.1,定期统计新添加规则的匹配命中率,计算规则删除条件,即规则的生命周期,将满足条件的规则进行删除。
有益效果
相比于日志分析及入侵检测的任意一种防火墙规则生成方法,本发明不仅结合了这两种方法生成规则,大大提高了防火墙的安全性;而且加入了规则生命周期检测机制,解决了因为生成新规则过多造成无效匹配次数增加问题,提高了防火墙的过滤效率。
附图说明
图1为本发明基于规则生命周期检测的防火墙自适应能力提升方法的原理图。
具体实施方式
为了更好的说明本发明的目的和优点,下面结合实例对本发明方法的实施方式做进一步详细说明。
具体流程为:
步骤1,根据防火墙日志信息生成新的防火墙规则。
步骤1.1,首先从防火墙日志中提取匹配缺省规则的数据包信息,然后按照协议类型、源IP、源端口、目的IP、目的端口属性对数据包进行分类并统计各类数据包占总数据包数的比例。
步骤1.2,用比例较高的数据包信息生成新规则,规则属性如下:规则号暂时为空,加入规则集时再确定;协议类型、源IP、源端口、目的IP、目的端口按照数据包信息确定;动作域默认为拒绝。
步骤1.3,将新规则按照协议类型进行分组,同组的规则进行合并,合并方法是:协议类型不变,源IP、源端口、目的IP、目的端口取所有规则的并集作为合并后的规则,动作域为拒绝;判定合并后的规则是否与规则集中规则有异常关系,有则说明规则不能合并,没有则说明可以合并。
步骤1.4,判断新规则是否满足不等式
Figure GDA0002706120890000031
其中N为防火墙的原规则数,i为规则在规则集中的位置,Pnew为新规则的匹配命中率,Pdefault为缺省规则的匹配命中率,Pn为原规则中第n条规则的匹配命中率,α为常数因子,取值范围为1.05~1.2;满足上述不等式则可以添加到规则集中,其在规则集中的位置按照规则匹配命中率由高到低排列。
步骤2,根据入侵检测信息生成防火墙规则。
步骤2.1,首先抓取进入防火墙的数据包,然后将数据包与防火墙规则进行匹配,留下合法的数据包。
步骤2.2,将留下的数据包进行入侵行为检测,一旦发现有入侵行为,立刻产生报警信息。
步骤2.3,根据报警信息生成规则,并添加到防火墙规则集中最高优先集处。
步骤3,设定新规则的生命周期。
步骤3.1,定期统计新规则的匹配命中率Pcurrent,当其满足不等式
Figure GDA0002706120890000041
时,说明新规则的生命周期结束,应予以删除。在不等式中,N为防火墙原规则数,Pdefault为缺省规则的匹配命中率,Pn为原规则中第n条规则的匹配命中率,β为常数因子,取值范围为1.05~1.2。
测试结果:实验基于规则生命周期检测的防火墙自适应能力提升方法,本发明在不影响防火墙策略的情况下,分别采用日志分析和入侵检测两种方法生成了防火墙规则,并加入了规则周期检测机制,解决了新规则过多造成的臃肿,降低了数据包的平均匹配次数,提高了防火墙的过滤效率,效果见表1和表2,有效的实现了防火墙的自适应。
表1.防火墙添加规则前实验结果
Figure GDA0002706120890000042
表2.防火墙添加规则后实验结果
Figure GDA0002706120890000043
以上所述的具体描述,对发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (2)

1.基于规则生命周期检测的防火墙自适应能力提升方法,其特征在于所述方法包括如下步骤:
步骤1,将匹配缺省规则较多的日志信息生成新规则后进行合并,满足添加条件的合并后的新规则可添加到规则集中,新规则添加条件为新规则是否满足不等式
Figure FDA0002706120880000011
其中N为防火墙的原规则数,i为规则在规则集中的位置,Pnew为新规则的匹配命中率,Pdefault为缺省规则的匹配命中率,Pn为原规则中第n条规则的匹配命中率,α为常数因子,取值范围为1.05~1.2;
步骤2,将到达防火墙的合法数据包进行入侵检测,发现有入侵行为的数据包会产生警告信息,通过警告信息生成新规则,添加到规则集中;
步骤3,对新添加的规则进行生命周期检测,及时删除生命周期结束的新规则,新规则的删除判定条件为新规则是否满足不等式
Figure FDA0002706120880000012
Figure FDA0002706120880000013
其中Pcurrent为新规则的匹配命中率,Pdefault为缺省规则的匹配命中率,Pn为原规则中第n条规则的匹配命中率,N为防火墙原规则数,β为常数因子,取值范围为1.05~1.2,新规则满足上述不等式时则视为生命周期结束,删除该新规则。
2.根据权利要求1所述的基于规则生命周期检测的防火墙自适应能力提升方法,其特征在于:步骤1中规则合并方法为构造规则树,根节点为整个规则集,它的子节点为动作域,动作域的子节点为协议类型、源端口、目的端口所对应的服务,服务节点的子节点为源IP地址,源IP地址的子节点为目的IP地址,节点属性连续且子节点属性值相同的规则可合并。
CN201810233995.4A 2018-03-21 2018-03-21 基于规则生命周期检测的防火墙自适应能力提升方法 Expired - Fee Related CN108566382B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810233995.4A CN108566382B (zh) 2018-03-21 2018-03-21 基于规则生命周期检测的防火墙自适应能力提升方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810233995.4A CN108566382B (zh) 2018-03-21 2018-03-21 基于规则生命周期检测的防火墙自适应能力提升方法

Publications (2)

Publication Number Publication Date
CN108566382A CN108566382A (zh) 2018-09-21
CN108566382B true CN108566382B (zh) 2020-12-08

Family

ID=63532010

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810233995.4A Expired - Fee Related CN108566382B (zh) 2018-03-21 2018-03-21 基于规则生命周期检测的防火墙自适应能力提升方法

Country Status (1)

Country Link
CN (1) CN108566382B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109495504B (zh) * 2018-12-21 2021-05-25 东软集团股份有限公司 一种防火墙设备及其报文处理方法以及介质
US11233816B2 (en) * 2019-02-15 2022-01-25 Verizon Patent And Licensing Inc. User-determined network traffic filtering
CN110995693A (zh) * 2019-11-28 2020-04-10 杭州迪普信息技术有限公司 一种攻击特征的提取方法、装置及设备

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101753542A (zh) * 2008-12-03 2010-06-23 北京天融信网络安全技术有限公司 一种加速防火墙过滤规则匹配的方法及装置
CN101931604A (zh) * 2009-06-18 2010-12-29 原少甫 根据网络安全报警自动调整安全策略的计算机防火墙
CN102790758A (zh) * 2011-05-18 2012-11-21 海尔集团公司 防火墙***及其处理方法
CN103763323A (zh) * 2014-01-23 2014-04-30 杭州华三通信技术有限公司 一种防火墙规则管理方法及装置
CN104113516A (zh) * 2013-04-19 2014-10-22 ***通信集团设计院有限公司 一种识别防火墙的规则冲突的方法和终端
CN104954335A (zh) * 2014-03-27 2015-09-30 ***通信集团安徽有限公司 一种阻断高风险网络入侵的方法及***
CN105187435A (zh) * 2015-09-24 2015-12-23 浪潮电子信息产业股份有限公司 一种防火墙规则过滤优化方法
CN107682312A (zh) * 2017-08-25 2018-02-09 中国科学院信息工程研究所 一种安全防护***及方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101753542A (zh) * 2008-12-03 2010-06-23 北京天融信网络安全技术有限公司 一种加速防火墙过滤规则匹配的方法及装置
CN101931604A (zh) * 2009-06-18 2010-12-29 原少甫 根据网络安全报警自动调整安全策略的计算机防火墙
CN102790758A (zh) * 2011-05-18 2012-11-21 海尔集团公司 防火墙***及其处理方法
CN104113516A (zh) * 2013-04-19 2014-10-22 ***通信集团设计院有限公司 一种识别防火墙的规则冲突的方法和终端
CN103763323A (zh) * 2014-01-23 2014-04-30 杭州华三通信技术有限公司 一种防火墙规则管理方法及装置
CN104954335A (zh) * 2014-03-27 2015-09-30 ***通信集团安徽有限公司 一种阻断高风险网络入侵的方法及***
CN105187435A (zh) * 2015-09-24 2015-12-23 浪潮电子信息产业股份有限公司 一种防火墙规则过滤优化方法
CN107682312A (zh) * 2017-08-25 2018-02-09 中国科学院信息工程研究所 一种安全防护***及方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"基于默认规则及冲突检测的防火墙规则优化算法";高飞等;《安徽理工大学学报(自然科学版)》;20151215;第3节 *
"防火墙与入侵检测***的联动分析";姚兰等;《信息安全与通信保密》;20020610;第1-3节 *

Also Published As

Publication number Publication date
CN108566382A (zh) 2018-09-21

Similar Documents

Publication Publication Date Title
CN108429761B (zh) 智慧协同网络中资源适配解析服务器DDoS攻击检测防御方法
CN108566382B (zh) 基于规则生命周期检测的防火墙自适应能力提升方法
WO2020135233A1 (zh) 僵尸网络检测方法、***及存储介质
US9356844B2 (en) Efficient application recognition in network traffic
RU2014124009A (ru) Метод и система потоковой передачи данных для обработки сетевых метаданных
CN100553206C (zh) 基于报文采样和应用签名的互联网应用流量识别方法
CN110417729B (zh) 一种加密流量的服务与应用分类方法及***
CN107222511B (zh) 恶意软件的检测方法及装置、计算机装置及可读存储介质
CN112434298B (zh) 一种基于自编码器集成的网络威胁检测***
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
CN111367874B (zh) 一种日志处理方法、装置、介质和设备
CN103841096A (zh) 自动调整匹配算法的入侵检测方法
CN105704259B (zh) 一种域名权威服务来源ip识别方法和***
Yang et al. Empowering sketches with machine learning for network measurements
Zhang et al. Toward unsupervised protocol feature word extraction
Dai et al. Identifying and estimating persistent items in data streams
CN108833430B (zh) 一种软件定义网络的拓扑保护方法
US10291632B2 (en) Filtering of metadata signatures
WO2022183794A1 (zh) 一种流量处理方法、及防护***
CN101795273B (zh) 一种垃圾邮件过滤方法及装置
Aldwairi et al. n‐Grams exclusion and inclusion filter for intrusion detection in Internet of Energy big data systems
CN115296904B (zh) 域名反射攻击检测方法及装置、电子设备、存储介质
CN109391583B (zh) 一种基于恶意应用的攻击者溯源方法和***
CN108566335B (zh) 一种基于NetFlow的网络拓扑生成方法
US20200021647A1 (en) Method of P2P Botnet Detection Based on Netflow Sessions

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20201208

CF01 Termination of patent right due to non-payment of annual fee