[发明专利]一种基于二元决策图的防火墙差异性计算方法

说明书

本发明公开了一种基于二元决策图的防火墙差异性计算方法，包括了以下步骤：步骤1：将两个防火墙转换成两个二元决策图；步骤2：计算两个二元决策图的差异性；步骤3：由两个二元决策图生成二进制格式规则；步骤4：将二进制格式规则转换为人类可读的规则。

技术领域

本发明隶属于计算机网络安全技术领域，尤其涉及一种基于二元决策图的防火墙差异性计算方法。

背景技术

防火墙作为恶意攻击和非法流量的第一道防线，对于大型企业网络、私人网络，甚至家庭网络都是至关重要的。防火墙是一种位于内部网络与外部网络之间的网络安全系统，其主要作用是检测每个传入和传出的数据包并决定哪些数据包被接受，哪些数据包被丢弃，这些往往是根据一系列的防火墙规则所决定。然而，随着网络规模的日益增大和网络复杂性的加剧，防火墙规则也越来越多，导致一些冗余的防火墙规则，加之大量安全规则管理的复杂性，极大地降低防火墙的安全性能。如何有效地检测并去除冗余规则成为了提高防火墙安全的关键技术之一。

传统的防火墙冗余去除的核心数据结构多是防火墙决策图，然而此算法只能限于对冗余冲突的识别，并不能实现对冲突源的回溯。另一方面，一个防火墙可能会被同一电脑上的不同管理员所修改，因此，理解并计算防火墙的差异性对于网络安全也是至关重要的。目前很少有基于二元决策图的计算防火墙的差异性的方法，并能以人类可读的格式输出差异性。

发明内容

发明目的：本发明所要解决的技术问题是针对现有技术的不足，提供了一种有效地防火墙冗余去除和防火墙差异性计算的方法。

技术方案：本发明包括了以下步骤：

步骤1：将两个防火墙转换成两个二元决策图；

步骤2：计算两个二元决策图的差异性；

步骤3：由两个二元决策图生成二进制格式规则；

步骤4：将二进制格式规则转换为人类可读的规则。

本发明步骤1中，将防火墙转换成二元决策图的方法如下：

步骤1-1，将原始防火墙规则转换成二进制格式：将防火墙规则转换成一个或两个以上二进制格式规则，同时记录映射关系，即：一个防火墙规则映射为一个或者两个以上二进制格式规则；

步骤1-2，转换成二元决策图：将步骤1得到的的每个二进制格式规则转换成一个二元决策图；

步骤1-3，对于得到的二元决策图，向上冗余去除，在向上冗余去除的同时侦测冗余的二进制格式规则；

步骤1-4，向下冗余去除，在向下冗余去除的同时侦测冗余的二进制格式规则；

步骤1-5，计算原始的冗余：利用步骤1-4得到的冗余二进制格式规则和步骤1-1记录的映射关系计算原始的防火墙冗余；

步骤1-6，对两个防火墙分别执行步骤1-1～步骤1-5，得到两个二元决策图。

本发明步骤1-1包括以下步骤：

步骤1-1-1，针对每个防火墙规则，选择5个字段：源IP地址，目的IP地址，源端口号，目的端口号和协议类型，对应的数据包长度分别为32,32,16,16,8，单位为比特，同时加上额外1比特，代表防火墙的决定，则每个二进制规则的长度是105比特；

步骤1-1-2，记录映射关系，即：一个防火墙规则映射为一个或者两个以上二进制格式规则。

本发明步骤1-3包括以下步骤：