【技術實現步驟摘要】
本專利技術屬于網絡安全設備自動化編排領域,提供了一種安全需求分析的防火墻自動化分配和配置方法及存儲介質。
技術介紹
1、隨著網絡攻擊方式的復雜多變和網絡安全威脅不斷演變進化,傳統的基于網絡安全需求的手動編排及配置網絡安全設備的防御手段已經無法有效應對需要快速響應的攻擊形式。這種手動編排及配置的方法效率低下,特別是隨著網絡規模性高速增長和復雜性指數提升的背景下,不僅更容易造成防火墻的過度部署,導致資源浪費,而且更容易出現配置錯誤,從而顯著增加系統被攻擊并成功入侵的風險。
2、鑒于此,本專利技術提出一種自動化分配和配置防火墻的方法。該方法具有更高的迅速性和靈活性,可以使防火墻根據變化的網絡安全需求重新編排,及時應對新的威脅和攻擊。這一方法不僅在保證網絡安全需求得到滿足的前提下,有效減少防火墻的部署數量,從而降低整體的開銷,還能夠減少操作失誤的風險,顯著提高系統的可靠性和安全性。
技術實現思路
1、本專利技術目的在于解決傳統手動編排及配置網絡安全設備防御手段效率低下、資源浪費和易出錯的問題。通過自動化分配和配置防火墻,該方案能夠快速響應新的威脅和攻擊,同時減少防火墻的部署數量,降低安全開銷,提高系統可靠性和安全性。
2、為了實現上述目的本專利技術采用以下技術方案:
3、本專利技術提供了一種安全需求分析的防火墻自動化分配和配置方法,包括以下步驟:
4、對網絡進行模型抽象與構建,同時構建自定義網絡安全需求和關聯三元組集合;
5、進行
6、進行防火墻試分配,根據路徑共享度排序,選擇路徑共享度最高的位置試分配防火墻;
7、生成防火墻規則并消除己滿足的安全需求,根據試分配位置對應的路徑序列和網絡安全需求,生成防火墻規則,并更新網絡安全需求。
8、上述方法中,對網絡進行模型抽象與構建,包括以下步驟:
9、終端設備和除防火墻外的其他設備抽象為圖中的節點,它們之間的連接抽象為邊,建立初始網絡拓撲圖;
10、將真實的網絡拓撲建模為連通的無向無權無環圖模型g(v,e),其中集合v=d∪s={v1,v2,…,vn}表示各網絡節點集合,d={d1,d2,…,dx}表示終端設備的集合,s={sx+1,sx+2,…,sx+y}表示除防火墻外的設備的集合,x+y=n,集合e={e1,e2,…,em}定義網絡節點間的連接關系,其中任意邊ek(1≤k≤m)表示通過該邊連接的兩個節點vi和vi(1≤i≤n,1≤j≤n且i≠j)的雙向直接連接關系;
11、建立ip映射表與網絡節點的對應關系addr(vi),addr(vi)表示網絡拓撲圖的網絡節點vi對應的ip地址;
12、建立子網節點集合組subnetset={ss1,ss2,…,ssnum};
13、定義邊的路徑共享度屬性sharedegree={ε1,ε2,…,εm},并初始化為0,εk
14、=0(1≤k≤m),εk表示路徑共享度。
15、上述方法中,構建自定義網絡安全需求,包括以下步驟:
16、用六元組(sip,dip,protocol,sport,dport,type)建模用戶自定義的網絡安全需求nsr,其中sip、dip、protocol、sport、dport分別表示源ip、目的ip、協議、源端口、目的端口,type定義了數據包在網絡中的連通屬性,用nsr.x來表示1條網絡安全需求nsr中的某個元素值,其中x∈{sip,dip,protocol,sport,dport,type};
17、通過計算規則,計算每條nsr的重要程度δ值。
18、上述方法中,所述計算規則具體為:
19、定義get(nsr)函數,用于計算一條nsr的δ值,該值是經過所有滿足的計算規則計算后得到的最終δ值;
20、get(nsr)函數定義為:
21、初始化所有nsr的δ值為1,表示初始時所有nsr的重要程度一致;
22、重復執行以下步驟a直到所有nsr的δ值經過所有滿足的計算規則計算完畢:
23、步驟a:對于每條nsr,遍歷所有計算規則,檢查是否滿足,若某條nsr滿足一條計算規則,則根據該計算規則對應的δ計算方式更新該nsr的δ值。
24、上述方法中,構建關聯三元組集合,包括以下步驟:
25、用終端設備dr1、終端設備dr2,以及終端設備dr1和終端設備dr2對應的關聯度θr值來定義關聯三元組集合p={p1,p2,…,pq},pr=(dr1,dr2,θr),關聯三元組集合p的構建方式及關聯度θr值的計算方式如下:
26、初始化集合p={},對于dr1∈d、dr2∈d,r1≠r2,找到addr(dr1)、addr(dr2)在網絡安全需求securityr中同時能匹配源ip地址和目標ip地址的所有nsr,并使用get(nsr)獲得δ值,則θr是所有獲得的δ值的和,將dr1、dr2、θr添加到三元組集合p中。
27、上述方法中,路徑共享度分析具體包括以下步驟:
28、遍歷拓撲圖,將所有的關聯三元組集合p中的關聯三元組pr=(dr1、dr2、θr)依據dr1分配到對應的子網節點集合ssix,ssix∈subnetset,并加入ssix對應的關聯三元組的子網三元組映射集sasix,并為每個子網三元組映射集sasix創建對應的路徑集合saspath
29、對每個子網三元組映射集sasix中的關聯三元組pk=(dk1、dk2、θk),進行深度優先搜索,生成路徑序列saspathix,并用θk更新路徑序列中所包含的邊ek的路徑共享度εk;
30、對子網三元組映射集sasix中的其他關聯三元組,根據共享路徑更新路徑共享度;
31、對所有子網三元組映射集sasix處理,得到所有關聯三元組對應的路徑序列和路徑共享度。
32、上述方法中,防火墻試分配具體包括以下步驟:
33、對路徑共享度進行排序,在路徑共享度最高的位置試分配防火墻,若有多個路徑共享度最高的位置,則生成一個隨機數,根據定義的隨機數與位置的映射關系來選擇一個試分配的防火墻位置;
34、在選定的防火墻位置,根據網絡安全需求securityr生成防火墻中的對應規則,并消除已滿足的安全需求,若所有安全需求滿足,則任務完成;若部分滿足,則使用剩余的securityr查找關聯三元組,重新分析路徑共享度,并重復執行防火墻試分配直至所有安全需求滿足。
35、上述方法中,生成防火墻規則并消除己滿足的安全需求包括以下步驟:
36、依據分配防火墻位置所在的邊的路徑序列對應的關聯三元組對應的nsr建立規則;
37、遍歷所有的nsr,檢查每次建立規則后是否與原來的nsr完全沖突;
<本文檔來自技高網...【技術保護點】
1.一種安全需求分析的防火墻自動化分配和配置方法,其特征在于,包括以下步驟:
2.根據權利要求1所述的一種安全需求分析的防火墻自動化分配和配置方法,其特征在于,對網絡進行模型抽象與構建,包括以下步驟:
3.根據權利要求1所述的一種安全需求分析的防火墻自動化分配和配置方法,其特征在于,構建自定義網絡安全需求,包括以下步驟:
4.根據權利要求3所述的一種安全需求分析的防火墻自動化分配和配置方法,其特征在于,所述計算規則具體為:
5.根據權利要求4所述的一種安全需求分析的防火墻自動化分配和配置方法,其特征在于,所述計算規則具體為:
6.根據權利要求1所述的一種安全需求分析的防火墻自動化分配和配置方法,其特征在于,構建關聯三元組集合,包括以下步驟:
7.根據權利要求1任一所述的一種安全需求分析的防火墻自動化分配和配置方法,其特征在于,路徑共享度分析,并更新路徑共享度具體包括以下步驟:
8.根據權利要求1所述的一種安全需求分析的防火墻自動化分配和配置方法,其特征在于,防火墻試分配具體包括以下步驟:
<...【技術特征摘要】
1.一種安全需求分析的防火墻自動化分配和配置方法,其特征在于,包括以下步驟:
2.根據權利要求1所述的一種安全需求分析的防火墻自動化分配和配置方法,其特征在于,對網絡進行模型抽象與構建,包括以下步驟:
3.根據權利要求1所述的一種安全需求分析的防火墻自動化分配和配置方法,其特征在于,構建自定義網絡安全需求,包括以下步驟:
4.根據權利要求3所述的一種安全需求分析的防火墻自動化分配和配置方法,其特征在于,所述計算規則具體為:
5.根據權利要求4所述的一種安全需求分析的防火墻自動化分配和配置方法,其特征在于,所述計算規則具體為:
6.根據權利要求1所述的一種安全需求分析的防火墻自...
【專利技術屬性】
技術研發人員:楊浩,吳越,郎蕊霞,丁旭陽,曾曉宇,
申請(專利權)人:國網江西省電力有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。