專利名稱:根據(jù)網(wǎng)絡(luò)安全報(bào)警自動(dòng)調(diào)整安全策略的計(jì)算機(jī)防火墻的制作方法
技術(shù)領(lǐng)域:
本發(fā)明專利涉及一種通過對(duì)網(wǎng)絡(luò)安全報(bào)警進(jìn)行分析而自動(dòng)添加和刪除網(wǎng)絡(luò)數(shù)據(jù) 過濾規(guī)則的計(jì)算機(jī)防火墻系統(tǒng)。
背景技術(shù):
防火墻(Firewall)是一種被配置在兩個(gè)計(jì)算機(jī)網(wǎng)絡(luò)(單獨(dú)一臺(tái)計(jì)算機(jī)也可以視 為一個(gè)微型網(wǎng)絡(luò))之間的設(shè)備���。其核心是計(jì)算機(jī)程序��,但是也可以固化在路由器等硬件上 而成為硬件的一部分���。兩個(gè)網(wǎng)絡(luò)間的一切通信都必須通過防火墻���,而防火墻則根據(jù)預(yù)先設(shè) 定的規(guī)則選擇性地允許或禁止某些數(shù)據(jù)的通過。防火墻的核心是預(yù)設(shè)的規(guī)則����,即程序化地描述符合哪些特征的數(shù)據(jù)應(yīng)該被允許或 禁止通過。防火墻的規(guī)則通常由網(wǎng)絡(luò)管理員進(jìn)行人工設(shè)置�,規(guī)則的優(yōu)劣直接影響防火墻的 有效性和其所保護(hù)的計(jì)算機(jī)網(wǎng)絡(luò)的安全性。常用的防火墻規(guī)則設(shè)置可以概括為“默認(rèn)禁止”與“默認(rèn)允許”��。被設(shè)置為“默認(rèn)禁 止”的防火墻對(duì)于一切與當(dāng)前防火墻規(guī)則不匹配的數(shù)據(jù)一律禁止通過�����,在提高了安全性的 同時(shí)也增加了網(wǎng)絡(luò)管理員的工作量��,需要經(jīng)常添加新的規(guī)則才能保證正常的網(wǎng)絡(luò)應(yīng)用�。大 多數(shù)的商業(yè)網(wǎng)絡(luò)都采用“默認(rèn)允許”的防火墻規(guī)則,即除了防火墻規(guī)則明確地要求阻止的數(shù) 據(jù)����,防火墻一律允許通過?�!澳J(rèn)允許”的防火墻在安全性上有很大的缺陷���,雖然設(shè)置簡(jiǎn)單�, 但是很容易遭到入侵和攻擊�����,且常常因?yàn)閿?shù)據(jù)流量巨大�,網(wǎng)絡(luò)管理員難以及時(shí)發(fā)現(xiàn)這些惡 意的行為并做出應(yīng)對(duì)。防火墻的過濾規(guī)則理論上可以應(yīng)用于網(wǎng)絡(luò)任何一個(gè)層(物理層���、數(shù)據(jù)鏈路層��、網(wǎng) 絡(luò)層���、傳輸層、會(huì)話層�����、表示層和應(yīng)用層)的數(shù)據(jù)����,所以也常以此被分為網(wǎng)絡(luò)層防火墻和應(yīng) 用層防火墻等�。入侵檢測(cè)系統(tǒng)(Intrusion Detection System)是通過對(duì)以網(wǎng)絡(luò)數(shù)據(jù)為主的計(jì)算 機(jī)數(shù)據(jù)進(jìn)行分析(通常為實(shí)時(shí)分析)��,發(fā)現(xiàn)可疑的數(shù)據(jù)并產(chǎn)生相應(yīng)報(bào)警的系統(tǒng)�����。入侵檢測(cè)系 統(tǒng)常被用來協(xié)助網(wǎng)絡(luò)管理員及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的問題(不僅包括入侵���,還包括攻擊和其他違 規(guī)應(yīng)用)����。一條告警信息常常包含下列信息的全部或部分入侵源頭的網(wǎng)絡(luò)地址���,入侵源頭 的端口號(hào)�����,入侵目標(biāo)的網(wǎng)絡(luò)地址�,入侵目標(biāo)的端口號(hào)��,入侵所使用的網(wǎng)絡(luò)協(xié)議��,入侵類型,入 侵所涉及的數(shù)據(jù)包和數(shù)據(jù)流的代碼以及報(bào)警時(shí)間等?��,F(xiàn)有的入侵檢測(cè)系統(tǒng)雖然漏報(bào)率較低 但是誤報(bào)率很高���,即時(shí)同時(shí)使用多個(gè)入侵檢測(cè)系統(tǒng)并對(duì)數(shù)據(jù)進(jìn)行綜合分析也難以獲得值得 信賴的報(bào)警�����。所以其報(bào)警在很大程度上只能用于參考?,F(xiàn)有的防火墻,無論是“默認(rèn)允許”�����,“默認(rèn)禁止”�,還是工作在任何一個(gè)網(wǎng)絡(luò)層,其 規(guī)則都是靜態(tài)的��。即��,在沒有明確的人工修改時(shí)���,規(guī)則是一成不變的�����。而計(jì)算機(jī)網(wǎng)絡(luò)的狀態(tài) 卻始終在改變���。新的入侵����、攻擊或其他違規(guī)應(yīng)用隨時(shí)都會(huì)出現(xiàn)�����,卻常常不能被現(xiàn)有的防火墻 規(guī)則所阻止�,特別是在被設(shè)置為“默認(rèn)允許”的防火墻所保護(hù)的網(wǎng)絡(luò)中。而被防火墻規(guī)則所 明確允許的數(shù)據(jù)特征�����,也不能保證其無法被惡意地使用��,有可能在將來被用于危害網(wǎng)絡(luò)安 全的行為��。
3
靜態(tài)的防火墻規(guī)則的另一個(gè)缺陷是對(duì)外而不對(duì)內(nèi)�。防火墻的規(guī)則的制定都是基于 安全威脅來自于外部的假設(shè),而內(nèi)部的問題一經(jīng)發(fā)現(xiàn)則可以通過其他方式解決��,比如對(duì)在 辦公網(wǎng)絡(luò)中玩網(wǎng)絡(luò)游戲的職員進(jìn)行行政處罰,而不是通過防火墻規(guī)則去屏蔽�。一旦網(wǎng)絡(luò)內(nèi) 部的電腦被惡意地使用,在其危害發(fā)展到可以被明顯地察覺之前�,都難以得到有效制止。因 此��,一旦內(nèi)部網(wǎng)絡(luò)中的電腦被惡意使用����,經(jīng)常導(dǎo)致如機(jī)密外泄等嚴(yán)重后果���。盡管入侵檢測(cè)系統(tǒng)為網(wǎng)絡(luò)管理員制定和修改防火墻規(guī)則帶來了一些方便���,因?yàn)槠?誤報(bào)率過高,其報(bào)警內(nèi)容無法直接被用于制定和修改防火墻規(guī)則���,而必須首先經(jīng)過人工的 篩選�����,對(duì)于維護(hù)網(wǎng)絡(luò)安全難以有實(shí)質(zhì)性的幫助���。
發(fā)明內(nèi)容
現(xiàn)有的防火墻因?yàn)槭褂渺o態(tài)規(guī)則并依賴人工設(shè)置而導(dǎo)致了一系列的缺陷,不但 難以對(duì)新的安全威脅做出及時(shí)、有效的應(yīng)對(duì)����,還會(huì)因?yàn)椴划?dāng)?shù)囊?guī)則設(shè)置而完全忽視一些潛 在的安全威脅,并且對(duì)于內(nèi)部的安全威脅也無法有效應(yīng)對(duì)���。為了克服現(xiàn)有防火墻的這些缺 陷���,本發(fā)明提供一種新型的防火墻,這種防火墻通過對(duì)網(wǎng)絡(luò)報(bào)警系統(tǒng)產(chǎn)生的實(shí)時(shí)報(bào)警進(jìn)行 分析���,結(jié)合針對(duì)不同類型網(wǎng)絡(luò)而設(shè)定的參數(shù)及函數(shù)綜合計(jì)算不同潛在防火墻規(guī)則的利弊得 失����,動(dòng)態(tài)地添加和刪除防火墻規(guī)則���,以使防火墻規(guī)則能隨時(shí)都適應(yīng)和針對(duì)當(dāng)前的網(wǎng)絡(luò)安全 形勢(shì)��,更好地維護(hù)網(wǎng)絡(luò)安全��。本發(fā)明解決這些問題所采用的技術(shù)方案如下以入侵檢測(cè)系統(tǒng)所生成的實(shí)時(shí)報(bào) 警信息作為更改防火墻規(guī)則的主要參考���,周期性地對(duì)一段時(shí)期(回顧期)以來的所有未被 成功阻止的報(bào)警信息進(jìn)行分析����,根據(jù)每一條報(bào)警信息生成若干基本的參考用防火墻屏蔽規(guī) 則���,并對(duì)這些規(guī)則進(jìn)行擴(kuò)展(漸進(jìn)地增加其所涵蓋網(wǎng)絡(luò)地址及計(jì)算機(jī)端口的范圍)而產(chǎn) 生更多的參考用規(guī)則���;針對(duì)每一條參考用基本規(guī)則和參考用擴(kuò)展規(guī)則,按照預(yù)設(shè)的環(huán)境參 數(shù)量化地計(jì)算其相應(yīng)的“利”(如果采用此規(guī)則而可以消滅的回顧期內(nèi)的告警的價(jià)值)與 “弊”(如果采取此規(guī)則而無法訪問的網(wǎng)絡(luò)資源的價(jià)值)����,如果“利”超過“弊”的程度(數(shù)量 或倍數(shù))達(dá)到或超過預(yù)設(shè)的臨界值,即選定此規(guī)則作為新的防火墻規(guī)則��;如果從同一個(gè)告 警信息產(chǎn)生的多個(gè)參考用規(guī)則都符合此條件�,則可以根據(jù)需要自動(dòng)選取其中的一個(gè)或多個(gè) 作為新的防火墻規(guī)則���;每一條新的防火墻規(guī)則在被采用時(shí)都同時(shí)根據(jù)其“利”與“弊”設(shè)定一 個(gè)有效期����,在其有效期內(nèi)��,每當(dāng)該規(guī)則被成功地應(yīng)用而阻止了一個(gè)報(bào)警���,則相應(yīng)地增加其有 效期���,并增加此規(guī)則的成績(jī)分?jǐn)?shù)���;當(dāng)一條規(guī)則的有效期結(jié)束的時(shí)候,該規(guī)則將被自動(dòng)刪除���; 對(duì)于在有效期內(nèi)發(fā)揮了顯著功效的防火墻規(guī)則(用其阻止的報(bào)警的總價(jià)值��,或者單位時(shí)間 阻止報(bào)警的平均價(jià)值來衡量)以及其發(fā)揮顯著作用時(shí)網(wǎng)絡(luò)活動(dòng)的特征進(jìn)行記錄���,以使網(wǎng)絡(luò) 管理員在事后可以了解和分析威脅網(wǎng)絡(luò)安全的因素及威脅的模式和特征。本發(fā)明的有益效果是����,防火墻規(guī)則是根據(jù)當(dāng)前網(wǎng)絡(luò)安全形勢(shì)而動(dòng)態(tài)添加和刪除 的,能夠隨時(shí)針對(duì)最新的網(wǎng)絡(luò)安全威脅做出相應(yīng)的調(diào)整��,在減輕網(wǎng)絡(luò)管理員工作負(fù)擔(dān)的同 時(shí)明顯地縮短系統(tǒng)對(duì)于新的安全威脅做出應(yīng)對(duì)的周期����;因?yàn)橹挥性谝粭l備選防火墻規(guī)則 的利益明顯大于弊端,即僅屏蔽較少資源就可以消除大量的報(bào)警時(shí)��,該規(guī)則才會(huì)被采納,所 以入侵檢測(cè)系統(tǒng)誤報(bào)的不良影響被顯著降低�����;防火墻規(guī)則的壽命由其使用效果決定�����,使用 效果良好的防火墻規(guī)則得以保留�����,直到其所針對(duì)的威脅消除�����,而效果不好的防火墻規(guī)則卻 會(huì)很快被刪除���,在維護(hù)了網(wǎng)絡(luò)安全的前提下最大限度地保障了網(wǎng)絡(luò)資源的正常訪問;通過在內(nèi)部網(wǎng)絡(luò)中安裝入侵檢測(cè)系統(tǒng)和防火墻��,內(nèi)部網(wǎng)絡(luò)中的入侵�、攻擊及其他違規(guī)應(yīng)用也會(huì) 產(chǎn)生報(bào)警和相應(yīng)的防火墻屏蔽規(guī)則,讓防火墻不但可以對(duì)外防御�����,也能夠?qū)碜詢?nèi)部的威 脅做出反應(yīng);通過保存和整理有價(jià)值的防火墻規(guī)則的相關(guān)信息�,網(wǎng)絡(luò)管理員對(duì)于網(wǎng)絡(luò)安全 形勢(shì)會(huì)有更好的了解,方便其有針對(duì)性發(fā)現(xiàn)安全隱患并及時(shí)調(diào)整宏觀安全策略�;防火墻的 行為特征由若干設(shè)置參數(shù)及函數(shù)決定,這些設(shè)置可以根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境和應(yīng)用效果進(jìn)行調(diào) 整����,以更好地保護(hù)目標(biāo)網(wǎng)絡(luò)。
具體實(shí)施例方式本發(fā)明的具體實(shí)施需要用到的參數(shù)及函數(shù)如下1與時(shí)間相關(guān)的參數(shù)a)規(guī)則更新周期(P_Update�����,默認(rèn)值為5秒)防火墻規(guī)則應(yīng)該每隔多久計(jì)算并更 新一次�����;b)回顧周期(P_LookBaCk�����,默認(rèn)值為30秒)每次更新防火墻規(guī)則時(shí)應(yīng)將過去多 長(zhǎng)時(shí)間內(nèi)的未被阻止的告警信息納入考察范圍��;2與計(jì)算防火墻規(guī)則“利”與“弊”相關(guān)的參數(shù)與函數(shù)a)每個(gè)報(bào)警類型所對(duì)應(yīng)的價(jià)值(V_Alert�,所有類型的默認(rèn)值都是1)���,對(duì)于誤報(bào)率 極高且威脅很小的報(bào)警類型,應(yīng)將其價(jià)值設(shè)定得較小甚至是0�,而對(duì)于誤報(bào)率低且威脅很大 的報(bào)警類型,應(yīng)賦予其較高的價(jià)值��;b)每一個(gè)外網(wǎng)地址的一個(gè)端口的價(jià)值(V_EXPort����,所有的端口的默認(rèn)值都是1), 如果同一個(gè)地址被阻止的端口總價(jià)值超過其網(wǎng)絡(luò)地址的價(jià)值�����,以其網(wǎng)絡(luò)地址的價(jià)值為準(zhǔn)���;c)每一個(gè)外網(wǎng)地址的價(jià)值(V_ExAddr����,所有地址的默認(rèn)值都是1)�,對(duì)于已知安全 且重要的外網(wǎng)資源,可以單獨(dú)設(shè)定較高的價(jià)值�;d)每一個(gè)內(nèi)網(wǎng)地址的一個(gè)端口的價(jià)值(V_InP0rt�����,所有端口的默認(rèn)值都是1),如 果同一個(gè)地址被阻止的端口總價(jià)值超過其網(wǎng)絡(luò)地址的價(jià)值�����,以其網(wǎng)絡(luò)地址的價(jià)值為準(zhǔn)�����;e)每一個(gè)內(nèi)網(wǎng)地址的價(jià)值(V_InAddr����,所有地址的默認(rèn)值都是50),內(nèi)網(wǎng)資源因?yàn)?是被保護(hù)的對(duì)象����,其價(jià)值應(yīng)當(dāng)明顯高于外網(wǎng)資源,對(duì)于重要的內(nèi)網(wǎng)資源����,比如重要的服務(wù)器 等,應(yīng)單獨(dú)設(shè)定其價(jià)值高于一般資源�;f)從一條報(bào)警產(chǎn)生若干基本參考用防火墻屏蔽規(guī)則的函數(shù)(F_BaSiCRuleS���,默認(rèn) 為生成6條基本參考用防火墻屏蔽規(guī)則阻止一切來自入侵源頭網(wǎng)絡(luò)地址的入侵源頭所用 端口的數(shù)據(jù)�����、阻止一切來自入侵源頭網(wǎng)絡(luò)地址的數(shù)據(jù)���、阻止一切來自或去向入侵源頭網(wǎng)絡(luò) 地址的數(shù)據(jù)�、阻止一切去向入侵目標(biāo)地址的入侵目標(biāo)端口數(shù)據(jù)�、阻止一切去向入侵目標(biāo)地 址的數(shù)據(jù)和阻止一切來自或去向入侵目標(biāo)地址的數(shù)據(jù))���;g)漸進(jìn)地增加一條參考用防火墻規(guī)則的覆蓋范圍的函數(shù)(F_EXtendRUle�����,默認(rèn)為 將當(dāng)前參考用規(guī)則所覆蓋的網(wǎng)絡(luò)地址范圍加倍,如將匹配IPv4地址192. 168. 3. 21的全部 32位擴(kuò)展為匹配其前31位,即從192. 168. 3. 21/32擴(kuò)展到192. 168. 3. 21/31,下一次擴(kuò)展 則是擴(kuò)展到192. 168. 3. 21/30,以此類推),此函數(shù)根據(jù)其所獲得的參考用防火墻屏蔽規(guī)則 生成一條覆蓋范圍有所擴(kuò)展的新參考用屏蔽規(guī)則;擴(kuò)展的對(duì)象應(yīng)當(dāng)局限于網(wǎng)絡(luò)地址的覆蓋 范圍,而不應(yīng)對(duì)端口范圍和網(wǎng)絡(luò)協(xié)議等參數(shù)進(jìn)行擴(kuò)展;h)判斷是否繼續(xù)擴(kuò)展防火墻屏蔽規(guī)則的函數(shù)(F_ShouldEXtend,默認(rèn)為當(dāng)新生成的參考用屏蔽規(guī)則的“利”小于“弊”時(shí)�����,即停止擴(kuò)展)此函數(shù)根據(jù)其所獲得的參考用防火 墻規(guī)則����,考察其擴(kuò)展前后一系列參考用規(guī)則的“利”、“弊”變化情況���,判斷是否繼應(yīng)該續(xù)對(duì)其 進(jìn)行擴(kuò)展�����;i)計(jì)算一個(gè)網(wǎng)絡(luò)地址區(qū)段的價(jià)值的函數(shù)(F_EXRangeValUe��,默認(rèn)為網(wǎng)絡(luò)區(qū) 段價(jià)值=其區(qū)間內(nèi)所有地址的總價(jià)值/[該地址區(qū)段的長(zhǎng)度+1]�,如IPv4地址區(qū)段 192. 168. 2. 21/30的地址區(qū)段的長(zhǎng)度是32-30 = 2��,所包含的地址為2的平方��,即4個(gè),如果 每個(gè)外部地址的價(jià)值是1����,總價(jià)值即為4���,那么該區(qū)段的價(jià)值則等于4/[2+1] = 1.333) — 般而言�����,如果兩個(gè)區(qū)段A和B�����,A區(qū)段包含B區(qū)段���,且A區(qū)段所包含的地址數(shù)量大于B區(qū)段所 包含的地址數(shù)量��,那么A區(qū)段的價(jià)值就應(yīng)該大于B區(qū)段的價(jià)值����,否則規(guī)則擴(kuò)展所導(dǎo)致凈增加 的“弊”會(huì)是0或者負(fù)數(shù)�,導(dǎo)致產(chǎn)生的防火墻屏蔽規(guī)則的覆蓋范圍過度擴(kuò)大,妨礙正常的網(wǎng) 絡(luò)資源訪問;與防火墻規(guī)則的應(yīng)用相關(guān)的參數(shù)與函數(shù)a)通過比較“利”與“弊”判斷一條防火墻規(guī)則是否應(yīng)當(dāng)被采用的函數(shù)(F_ ShouldAdopt�����,默認(rèn)為添加可以被其阻止的報(bào)警的總價(jià)值大于被其屏蔽的網(wǎng)絡(luò)資源的總價(jià) 值的兩倍���,且可以被其阻止的報(bào)警總價(jià)值大于10的一切參考用屏蔽規(guī)則)此函數(shù)應(yīng)將 同一條報(bào)警所衍生的所有參考用防火墻規(guī)則納入考慮����,根據(jù)上述與計(jì)算防火墻規(guī)則“利”����、 “弊”相關(guān)的參數(shù)與函數(shù)進(jìn)行計(jì)算,以決定是否應(yīng)當(dāng)采用這些規(guī)則的一個(gè)子集合(可以是空 集)作為新的防火墻規(guī)則;理想的結(jié)果是從每個(gè)報(bào)警所產(chǎn)生的所有參考用屏蔽規(guī)則中最多 只挑選出一個(gè)最有價(jià)值的成為新的防火墻屏蔽規(guī)則;b)計(jì)算一條新的防火墻規(guī)則的初始有效期的函數(shù)(FJnitialLifetime,默認(rèn)為 10秒+[其所能阻止的所有報(bào)警的總價(jià)值]秒,如果結(jié)果大于100秒�,即將其設(shè)定為100 秒)有效期的計(jì)算應(yīng)當(dāng)參考此規(guī)則的“利”與“弊”�,但不應(yīng)超過一個(gè)預(yù)設(shè)的上限����;c)計(jì)算當(dāng)一條現(xiàn)有防火墻規(guī)則成功阻止一條報(bào)警后其新的有效期的函數(shù)(F_ NewLifetime�,默認(rèn)為當(dāng)前有效期+[該報(bào)警的價(jià)值X2]秒����,如果新的有效期大于300秒��,即 將其設(shè)定為300秒)此函數(shù)應(yīng)當(dāng)限制防火墻規(guī)則的最大有效期,以避免成功阻止大量報(bào)警 的防火墻規(guī)則在攻擊停止后依然長(zhǎng)期存在����。d)判斷一條防火墻規(guī)則是否有參考價(jià)值的函數(shù)(F_RUleValUe���,默認(rèn)為此規(guī)則從 被添加起至今����,平均每秒所阻止的報(bào)警的價(jià)值,如果達(dá)到或超過30���,即認(rèn)定為有參考價(jià)值���, 否則為尚無參考價(jià)值)此函數(shù)對(duì)于已持續(xù)存在一段較長(zhǎng)時(shí)間的防火墻規(guī)則和剛剛過期的 防火墻規(guī)則進(jìn)行審核,根據(jù)其有效期內(nèi)阻止報(bào)警的成績(jī)判斷其是否具有參考價(jià)值而應(yīng)被記 錄和存檔�����;4衡量防火墻規(guī)則有效性的相關(guān)參數(shù)a)成功阻止的報(bào)警數(shù)量占報(bào)警總數(shù)的比例��;b)成功阻止的報(bào)警的價(jià)值占所有報(bào)警的總價(jià)值的比例��;c)平均響應(yīng)時(shí)間(從入侵檢測(cè)系統(tǒng)生成一條報(bào)警��,到防火墻判斷其有威脅并生成 可以對(duì)其有效阻止的新防火墻規(guī)則的平均時(shí)間����,未導(dǎo)致新防火墻規(guī)則產(chǎn)生的報(bào)警不計(jì)入此 統(tǒng)計(jì));以上參數(shù)和函數(shù)中的1至3類(與時(shí)間相關(guān)的參數(shù)�����、與計(jì)算防火墻規(guī)則“利”�、“弊” 相關(guān)的參數(shù)與函數(shù)、與防火墻規(guī)則的應(yīng)用相關(guān)的參數(shù)與函數(shù))應(yīng)在使用前設(shè)定好�,其設(shè)定
6值直接影響本發(fā)明所提出的新型防火墻效能。上文中所提供的默認(rèn)數(shù)值和算法均是建議的 默認(rèn)值�����,應(yīng)在使用中根據(jù)實(shí)際情況(如參照類4中所描述的防火墻有效性的衡量標(biāo)準(zhǔn))進(jìn) 行調(diào)整以獲得最理想的防護(hù)效果�。本發(fā)明所提出的新型防火墻的具體實(shí)施方案如下1將入侵檢測(cè)系統(tǒng)布置在本發(fā)明所提出的防火墻之前,即�,在對(duì)數(shù)據(jù)進(jìn)過濾前首先 對(duì)其進(jìn)行入侵檢測(cè);2本發(fā)明所提出的防火墻應(yīng)被配置為“默認(rèn)允許”���,可以工作在任何一個(gè)網(wǎng)絡(luò)層��,但 是具體使用效果會(huì)有所區(qū)別��;3本發(fā)明所提出的防火墻可以同時(shí)使用靜態(tài)和動(dòng)態(tài)規(guī)則����,靜態(tài)規(guī)則不會(huì)被防火墻 程序自動(dòng)刪除;當(dāng)動(dòng)態(tài)與靜態(tài)規(guī)則相沖突時(shí)��,應(yīng)以人工設(shè)定的靜態(tài)規(guī)則為準(zhǔn)�;4規(guī)則更新程序每隔預(yù)設(shè)的規(guī)則更新周期(P_Update)即執(zhí)行一次更新流程;5每當(dāng)更新流程開始時(shí)���,收集其之前一個(gè)回顧周期(P_LookBaCk)內(nèi)所有的未被阻 止的報(bào)警信息��;6對(duì)于每一條未被阻止的報(bào)警信息��,運(yùn)行F_BaSiCRuleS函數(shù)以生成若干基本的參 考用防火墻屏蔽規(guī)則���;7對(duì)于每一條參考用防火墻規(guī)則,運(yùn)行防火墻規(guī)則擴(kuò)展函數(shù)F_EXtendRUle對(duì)其進(jìn) 行漸進(jìn)擴(kuò)展��,直到判斷是否應(yīng)繼續(xù)該擴(kuò)展屏蔽規(guī)則的函判斷此擴(kuò)展應(yīng)
當(dāng)停止���;8對(duì)于所生成的所有參考用防火墻屏蔽規(guī)則���,使用函數(shù)F_ShoUldAdopt綜合計(jì)算 其利弊(阻止報(bào)警的總價(jià)值為利,所屏蔽的網(wǎng)絡(luò)資源的價(jià)值為弊)�,并判斷是否應(yīng)采用其作 為新的防火墻屏蔽規(guī)則;9添加新的防火墻屏蔽規(guī)則��,并用FJnitialLifetime函數(shù)計(jì)算及設(shè)定其初始有 效期����;10對(duì)于每一條新產(chǎn)生且被防火墻成功阻止的報(bào)警信息,根據(jù)F_NeWLifetime函數(shù) 重新設(shè)定導(dǎo)致該報(bào)警被阻止的防火墻屏蔽規(guī)則的有效期���,并更新該防火墻屏蔽規(guī)則的成績(jī) 記錄��;11用F_RUleValUe函數(shù)判斷每條現(xiàn)有防火墻規(guī)則的價(jià)值���,對(duì)于被判定為有參考價(jià) 值的防火墻屏蔽規(guī)則記錄并存檔;12刪除所有已到達(dá)有效期的防火墻規(guī)則��。
權(quán)利要求
一種根據(jù)網(wǎng)絡(luò)安全報(bào)警自動(dòng)調(diào)整安全策略的計(jì)算機(jī)防火墻���,被配置于計(jì)算機(jī)網(wǎng)絡(luò)之間����,根據(jù)防火墻規(guī)則對(duì)計(jì)算機(jī)網(wǎng)絡(luò)間的數(shù)據(jù)進(jìn)行過濾�,選擇性地阻止和允許數(shù)據(jù)通行,其特征是以入侵檢測(cè)系統(tǒng)所產(chǎn)生的報(bào)警作為依據(jù)�,對(duì)在報(bào)警基礎(chǔ)上衍生推導(dǎo)出的一系列備選防火墻屏蔽規(guī)則進(jìn)行量化的利弊權(quán)衡��,選擇有價(jià)值的備選規(guī)則作為新的防火墻屏蔽規(guī)則并為其設(shè)定有效期�,并自動(dòng)刪除到達(dá)有效期的防火墻規(guī)則�。
2.根據(jù)權(quán)利要求1所述的根據(jù)網(wǎng)絡(luò)安全報(bào)警自動(dòng)調(diào)整安全策略的計(jì)算機(jī)防火墻,其特 征是以未被屏蔽的報(bào)警所涉及的網(wǎng)絡(luò)地址�����、端口和網(wǎng)絡(luò)協(xié)議中的一個(gè)或多個(gè)作為屏蔽對(duì) 象而產(chǎn)生若干基本的備選防火墻屏蔽規(guī)則�����,漸進(jìn)地改變其所屏蔽網(wǎng)絡(luò)資源的范圍而產(chǎn)生一 系列的備選防火墻屏蔽規(guī)則���。
3.根據(jù)權(quán)利要求1所述的根據(jù)網(wǎng)絡(luò)安全報(bào)警自動(dòng)調(diào)整安全策略的計(jì)算機(jī)防火墻��,其特 征是將因?yàn)椴捎靡粭l備選防火墻屏蔽規(guī)則而可以阻止的過去一段時(shí)間內(nèi)的報(bào)警的價(jià)值量 化作為利益��,將因?yàn)椴捎么藗溥x防火墻屏蔽規(guī)則而無法訪問的網(wǎng)絡(luò)資源的價(jià)值量化作為弊 端��,通過量化地衡量利益和弊端來判斷是否將此備選防火墻屏蔽規(guī)則采納成為正式的防火 墻屏蔽規(guī)則�。
4.根據(jù)權(quán)利要求1所述的根據(jù)網(wǎng)絡(luò)安全報(bào)警自動(dòng)調(diào)整安全策略的計(jì)算機(jī)防火墻���,其特 征是根據(jù)未被成功阻止的報(bào)警來推導(dǎo)和衍生出備選防火墻屏蔽規(guī)則��,根據(jù)被成功阻止的 報(bào)警來修正成功將其阻止的現(xiàn)有防火墻屏蔽規(guī)則的有效期����。
全文摘要
一種根據(jù)網(wǎng)絡(luò)安全報(bào)警自動(dòng)調(diào)整安全策略的計(jì)算機(jī)防火墻���。它根據(jù)入侵檢測(cè)系統(tǒng)發(fā)出的最新告警信息計(jì)算出一系列相關(guān)的備選防火墻屏蔽規(guī)則�,并根據(jù)預(yù)設(shè)參數(shù)量化地計(jì)算每個(gè)備選屏蔽規(guī)則的利與弊�����,以決定是否采納此規(guī)則����。每條被采納的防火墻規(guī)則都被賦予一個(gè)有效期,每當(dāng)一條防火墻規(guī)則成功地阻止了報(bào)警���,防火墻會(huì)根據(jù)被阻止的報(bào)警的重要性適當(dāng)延長(zhǎng)此規(guī)則的有效期���,而到達(dá)有效期的防火墻規(guī)則則會(huì)被刪除。
文檔編號(hào)H04L12/26GK101931604SQ200910072320
公開日2010年12月29日 申請(qǐng)日期2009年6月18日 優(yōu)先權(quán)日2009年6月18日
發(fā)明者原少甫 申請(qǐng)人:原少甫