[发明专利]基于会话流量日志的防火墙安全策略自动生成方法

权利要求书

1.基于会话流量日志的防火墙安全策略自动生成方法，其特征在于，包括：

会话流量日志搜集：获取时间t内会话流量日志；

会话流量日志处理：对获取到的会话流量日志进行合并，并按照字节数进行排序，从排序后的日志中选取备用数据；

对象提取：将备用数据按照数据类型进行分组，进行信息去重处理得到对象元素信息；所述的对象元素信息，包括ID信息、数据类型信息和数据值信息；

安全策略生成与处理：以备用数据组建信息表，将数据信息替换为ID得到原始安全策略表；将原始安全策略表中数据按单一元素分组，进行数据去重处理得到以某一元素分类的安全策略表；同时可采用对数据类型进行分类获取最简安全策略表；从三种策略表中选取一个作为选定的安全策略表；

安全策略创建：根据安全策略构建服务对象和服务表，调整服务表内容服务列并对服务表内每组数据进行匹配，对应用标识数据进行筛选并进行分离处理得到结果表，再根据结果表创建对象表；将结果表中每组数据替换为ID后得到最终安全策略表，并根据最终安全策略表创建防火墙安全策略。

2.根据权利要求1所述的基于会话流量日志的防火墙安全策略自动生成方法，其特征在于：

将防火墙布部署在网络边界上，配置全通策略，通过开启流量日志记录的方式搜集流量信息，以单个正常业务周期计算，每个流量日志获取时间t大于等于一个正常业务周期。

3.根据权利要求1所述的基于会话流量日志的防火墙安全策略自动生成方法，所述的对获取到的会话流量日志进行合并，其特征在于：

分别将相同类型、相同应用标识、相同协议、相同源地址、相同目的地址、相同源端口、相同目的端口、相同进接口或相同出接口的日志进行合并，字节数进行累加。

4.根据权利要求1或2所述的基于会话流量日志的防火墙安全策略自动生成方法，所述的按照字节数进行排序，从排序后的日志中选取备用数据，其特征在于：

将合并的日志按照字节数进行排序，并按照排序从前往后选取备用数据，根据业务流量的复杂度调整选择备用数据的比例。

5.根据权利要求1所述的基于会话流量日志的防火墙安全策略自动生成方法，其特征在于：所述的数据类型包括应用标识、协议、源地址、目的地址、源端口、目的端口、进接口和出接口。

6.根据权利要求1所述的基于会话流量日志的防火墙安全策略自动生成方法，所述的将原始安全策略表中数据按单一元素分组，进行数据去重处理得到以某一元素分类的安全策略表，其特征在于：按照应用标识、协议、源地址、目的地址、源端口、目的端口、进接口或出接口数据进行分组处理，得到按对应数据类型分组的安全策略表。

7.根据权利要求1所述的基于会话流量日志的防火墙安全策略自动生成方法，其特征在于：所述的服务对象由协议、源端口、目的端口组成。

8.根据权利要求1所述的基于会话流量日志的防火墙安全策略自动生成方法，所述的根据安全策略构建服务对象和服务表，调整服务表内容服务列并对服务表内每组数据进行匹配，其特征在于：

根据对应关系将服务表中的服务加入选定的安全策略表中，同时去除协议、源端口和目的端口列数据，增加服务列。

9.根据权利要求1所述的基于会话流量日志的防火墙安全策略自动生成方法，对应用标识数据进行筛选并进行分离处理得到结果表，其特征在于：

appid为2的应用识别号为0的代表未识别，在安全策略中可不予配置，则将appid为2的安全策略进行分离筛除并得到结果表。