[发明专利]基于规则匹配命中率和分布方差的防火墙规则集优化方法

说明书

本发明涉及基于规则匹配命中率和分布方差的防火墙规则集优化方法，属于计算机与信息科学技术领域。本发明首先对防火墙初始化规则集进行预处理，预处理的内容包括规则集异常检测、异常处理及规则合并，预处理之后得到不存在异常规则的最简防火墙规则集。然后实时收集一段时间防火墙日志，根据防火墙日志信息计算规则权重，规则权重计算分为三个部分，分别是规则匹配命中频率统计、规则命中时间分布统计和根据这两项统计数据计算的规则权重值。最后根据计算出来的规则权重值，对防火墙规则集进行重排序，将权重值较高的规则放在优先级更高的位置。本发明相较于常规的防火墙规则集优化算法，有更好的优化效果，能够使防火墙保持较高的数据包过滤率，并且具备较好的灵活性和可移植性。

技术领域

本发明涉及基于规则匹配命中率和分布方差的防火墙规则集优化方法，属于计算机与信息科学技术领域。

背景技术

防火墙是目前使用最广泛、最主流的网络安全技术之一，是网络安全体系中的第一道防线。而防火墙的安全性很大程度上取决于策略的配置，即基于预先设定的安全策略而形成的一组有序的规则集。随着网络安全需求的提升，防火墙规则复杂度不断增加。而防火墙规则集之间具有严格的优先级，在网络环境稳定的情况下，规则集的过滤效率不会有太大波动，但是一般网络环境是不断变化的，规则集的过滤效率也会随着网络环境的变化而变化，极有可能出现规则集过滤效率低下的问题。因此，本发明将提供可根据网络环境而动态调整防火墙规则集优先级的方法，让规则集过滤数据包的效率一直保持在较高的水平。

针对防火墙规则集复杂，而导致数据包过滤效率较低的问题。现有的防火墙规则集优化方法，通常可归为四类：

1、基于异常检测的防火墙规则集优化算法

一般防火墙规则集会存在相应的异常，异常包括屏蔽异常、交叉异常、冗余异常和包含异常，通过消除异常规则可以有效解决防火墙规则集配置出错的问题，从而得到正确配置的防火墙规则集。该方法属于静态优化方法，可以有效简化防火墙规则集，但是不够灵活且无法有效提升防火墙规则集的过滤效率。

2、基于规则合并的防火墙规则集优化算法

防火墙规则集一般存在相似规则。该方法通过规则合并操作，减少规则集中规则的数量，从而减少数据包匹配防火墙规则的平均次数，达到提升防火墙过滤效率的目的。然而这种方法，在防火墙规则集中规则数目较多时该类方法的优化效果更加明显，在规则数目较少时，防火墙过滤效率没有明显提升。

3、基于统计分析的防火墙规则集优化算法

该类方法通过统计一定时间内统计规则集中每一条规则的匹配命中信息，根据统计信息给每条规则计算一个权值，然后根据权值大小对规则进行降序排序，重新确定规则的优先级，使得权重较高的规则优先级更高，以此达到提升防火墙过滤效率的目的。该方法从一定程度上降低了数据包的匹配时间，提升了防火墙的过滤效率。但是规则的匹配命中信息不仅仅只有命中次数，还有当前网络流量大小、数据流持续时间等信息，这些信息也会对数据包匹配时间产生影响，因此在计算规则权重时应该加入这些相关参数，让计算出来的权重值更加合理，进一步提升防火墙的过滤效率。

4、基于信息增益的防火墙规则集优化算法

在数据包达到防火墙后，防火墙会将数据包与防火墙规则集中的规则按照顺序依次匹配，从第一条规则开始，与规则过滤域中的每一维属性依次比对。如果数据包与某一维过滤属性匹配成功，则继续匹配下一维过滤域属性，如果五维过滤域属性均匹配成功则执行该条规则的动作，如果数据包在匹配过程中与某一维过滤域属性匹配失败则结束该条规则的匹配，开始与下一条规则的过滤域进行匹配，所以对防火墙规则过滤域中的五元属性进行排序，可以减少数据包在匹配防火墙规则时属性比对的次数，减少规则匹配的时间，达到提升防火墙过滤效率的目的。但是这种方法，每一次优化都需要修改防火墙规则过滤域匹配流程，也需要对防火墙程序重新进行编译，开销较大。