本發(fā)明涉及業(yè)務支撐系統(tǒng)領域中的防火墻策略管理技術，尤其涉及一種防火墻策略監(jiān)控方法及裝置。

背景技術：

在防火墻策略庫中，有成千上萬條策略，而當某個業(yè)務系統(tǒng)下線時，針對這個業(yè)務系統(tǒng)的防火墻策略卻依然存在，這樣給防火墻安全策略管理增加了很大的難度?，F(xiàn)有的防火墻安全策略由于缺乏規(guī)則沖突性檢查、完成性校驗、流量解析等稽核機制，造成了防火墻策略眾多、策略冗余、策略錯誤等現(xiàn)象，給安全和網(wǎng)絡管理帶來了問題，而這樣的情況很容易造成將高級別的保密信息連接到高風險的internet或其他外部系統(tǒng)上去，從而造成嚴重的安全隱患。

因此，提供一種防火墻策略監(jiān)控方案，能夠解決現(xiàn)有防火墻策略管理中存在的上述問題，實現(xiàn)對異常訪問、非法數(shù)據(jù)流的及時發(fā)現(xiàn)，使管理員能夠及時的刪除冗余、錯誤的策略，已成為亟待解決的問題。

技術實現(xiàn)要素：

有鑒于此，本發(fā)明實施例期望提供一種防火墻策略監(jiān)控方法及裝置，至少解決了現(xiàn)有技術存在的問題，能夠實現(xiàn)對異常訪問、非法數(shù)據(jù)流的及時發(fā)現(xiàn)，使管理員能夠及時的刪除冗余、錯誤的策略，實現(xiàn)防火墻策略的最小化。

為達到上述目的，本發(fā)明實施例的技術方案是這樣實現(xiàn)的：

本發(fā)明實施例提供了一種防火墻策略監(jiān)控方法，所述方法包括：

解析防火墻流量中的數(shù)據(jù)包，得到第一信息；所述第一信息至少包括端口號信息；

對獲得的端口號進行分類，將同一類別的端口號構造成鄰接矩陣；

獲取同一類別的不同端口號之間的訪問權值，并基于所述訪問權值及所述類別對應的鄰接矩陣得到判決矩陣；

基于所述判決矩陣中不同端口號之間的矩陣權值及預設的判決門限值確定對應防火墻策略的異常情況。

上述方案中，所述第一信息還包括：源地址信息及目標地址信息；

所述對獲得的端口號進行分類，包括：

提取解析得到的端口號中源地址及目標地址均相同的端口號，將源地址及目標地址均相同的端口號作為同一類別的端口號。

上述方案中，所述第一信息還包括：所述數(shù)據(jù)包對應的訪問時間信息；所述端口號信息包括：源端口號信息及目標端口號信息；

所述獲取同一類別的不同端口號之間的訪問權值，包括：

獲取第一時間段內(nèi)各個源端口到目標端口的訪問量信息，以及所述源端口及目標端口所屬類別對應的業(yè)務權值信息；

基于所述訪問量信息及所述業(yè)務權值信息確定不同端口號之間的訪問權值。

上述方案中，所述端口號信息包括：源端口號信息及目標端口號信息；

所述基于所述判決矩陣中不同端口號之間的矩陣權值及預設的判決門限值確定對應防火墻策略的異常情況，包括：

將所述判決矩陣中各個源端口號與目標端口號之間的矩陣權值與預設的判決門限值進行比較，當所述矩陣權值大于所述預設的判決門限值時，確定相應的源端口號與目標端口號之間的防火墻策略可用；

當所述矩陣權值不大于所述預設的判決門限值時，確定相應的源端口號與目標端口號之間的防火墻策略不可用，并發(fā)出第一告警信息。

上述方案中，所述方法還包括：

分別獲取所述判決矩陣中每一行的矩陣權值之和，確定行矩陣權值之和超過預設第一閾值時，發(fā)出第二告警信息；所述第二告警信息用于提示目標設備出現(xiàn)異常數(shù)據(jù)訪問；

分別獲取所述判決矩陣中每一列的矩陣權值之和，確定列矩陣權值之和超過預設第二閾值時，發(fā)出第三告警信息；所述第三告警信息用于提示源端設備出現(xiàn)異常流量數(shù)據(jù)；

分別將所述判決矩陣中的每個矩陣權值與預設第三閾值進行比較，確定所述矩陣權值超過第三閾值時，發(fā)出第四告警信息；所述第四告警信息用于提示所述矩陣權值對應的端口出現(xiàn)通信異常。

本發(fā)明實施例還提供了一種防火墻策略監(jiān)控裝置，所述裝置包括：解析模塊、分類模塊、處理模塊及確定模塊；其中，

所述解析模塊，用于解析防火墻流量中的數(shù)據(jù)包，得到第一信息；所述第一信息至少包括端口號信息；

所述分類模塊，用于對獲得的端口號進行分類；

所述處理模塊，用于基于端口號之間的通信情況將同一類別的端口號構造成鄰接矩陣；

以及，獲取同一類別的不同端口號之間的訪問權值，并基于所述訪問權值及所述類別對應的鄰接矩陣得到判決矩陣；

所述確定模塊，用于基于所述判決矩陣中不同端口號之間的矩陣權值及預設的判決門限值確定對應防火墻策略的異常情況。

上述方案中，所述第一信息還包括：源地址信息及目標地址信息；

所述分類模塊，還用于提取解析得到的端口號中源地址及目標地址均相同的端口號，將源地址及目標地址均相同的端口號作為同一類別的端口號。

上述方案中，所述第一信息還包括：所述數(shù)據(jù)包對應的訪問時間信息；所述端口號信息包括：源端口號信息及目標端口號信息；

所述處理模塊，還用于獲取第一時間段內(nèi)各個源端口到目標端口的訪問量信息，以及所述源端口及目標端口所屬類別對應的業(yè)務權值信息；

基于所述訪問量信息及所述業(yè)務權值信息確定不同端口號之間的訪問權值。

上述方案中，所述裝置還包括第一告警模塊；所述端口號信息包括：源端口號信息及目標端口號信息；

所述確定模塊，還用于將所述判決矩陣中各個源端口號與目標端口號之間的矩陣權值與預設的判決門限值進行比較，當所述矩陣權值大于所述預設的判決門限值時，確定相應的源端口號與目標端口號之間的防火墻策略可用；

當所述矩陣權值不大于所述預設的判決門限值時，確定相應的源端口號與目標端口號之間的防火墻策略不可用，觸發(fā)第一告警模塊；

所述第一告警模塊，用于發(fā)出第一告警信息。

上述方案中，所述裝置還包括第二告警模塊；

所述確定模塊，還用于分別獲取所述判決矩陣中每一行的矩陣權值之和，確定行矩陣權值之和超過預設第一閾值時，觸發(fā)第二告警模塊發(fā)出第二告警信息；所述第二告警信息用于提示目標設備出現(xiàn)異常數(shù)據(jù)訪問；

所述確定模塊，還用于分別獲取所述判決矩陣中每一列的矩陣權值之和，確定列矩陣權值之和超過預設第二閾值時，觸發(fā)第二告警模塊發(fā)出第三告警信息；所述第三告警信息用于提示源端設備出現(xiàn)異常流量數(shù)據(jù)；

所述確定模塊，還用于分別將所述判決矩陣中的每個矩陣權值與預設第三閾值進行比較，確定所述矩陣權值超過第三閾值時，觸發(fā)第二告警模塊發(fā)出第四告警信息；所述第四告警信息用于提示所述矩陣權值對應的端口出現(xiàn)通信異常。

本發(fā)明上述實施例提供的防火墻策略監(jiān)控方法及裝置，解析防火墻流量中的數(shù)據(jù)包，得到第一信息；所述第一信息至少包括端口號信息；對獲得的端口號進行分類，將同一類別的端口號構造成鄰接矩陣；獲取同一類別的不同端口號之間的訪問權值，并基于所述訪問權值及所述類別對應的鄰接矩陣得到判決矩陣；基于所述判決矩陣中不同端口號之間的矩陣權值及預設的判決門限值確定對應防火墻策略的異常情況；如此，能夠實現(xiàn)對異常訪問、非法數(shù)據(jù)流的及時發(fā)現(xiàn)，使管理員能夠及時的刪除冗余、錯誤的策略，實現(xiàn)防火墻策略的最小化。

附圖說明

圖1為本發(fā)明實施例中防火墻策略監(jiān)控方法流程示意圖一；

圖2為本發(fā)明實施例中防火墻策略監(jiān)控方法流程示意圖二；

圖3為本發(fā)明實施例中防火墻策略監(jiān)控裝置組成結構示意圖；

圖4為本發(fā)明實施例中防火墻策略監(jiān)控系統(tǒng)組成結構示意圖；

圖5為本發(fā)明實施例中防火墻策略監(jiān)控系統(tǒng)體系結構示意圖。

具體實施方式

在本發(fā)明的各個實施例中，解析防火墻流量中的數(shù)據(jù)包，得到第一信息；所述第一信息至少包括端口號信息；對獲得的端口號進行分類，將同一類別的端口號構造成鄰接矩陣；獲取同一類別的不同端口號之間的訪問權值，并基于所述訪問權值及所述類別對應的鄰接矩陣得到判決矩陣；基于所述判決矩陣中不同端口號之間的矩陣權值及預設的判決門限值確定對應防火墻策略的異常情況。

下面結合附圖及具體實施例對本發(fā)明再作進一步詳細的說明。

實施例一

圖1為本發(fā)明實施例中防火墻策略監(jiān)控方法流程示意圖，如圖1所示，本發(fā)明實施例防火墻策略監(jiān)控方法包括：

步驟101：解析防火墻流量中的數(shù)據(jù)包，得到第一信息。

這里，通過對防火墻流量中數(shù)據(jù)包的解析，至少可以得到端口號信息，也即所述第一信息至少包括端口號信息，該端口號信息可以包括源端口號信息及目標端口號信息，當然，還可以通過所述解析得到源地址信息、目標地址信息以及所述數(shù)據(jù)包對應的訪問時間信息。

在實際實施時，本步驟之前，所述方法還包括：進行防火墻流量采集，以獲得所述防火墻流量中的數(shù)據(jù)包；這里的采集可以為實時采集或周期性采集，相應的，對數(shù)據(jù)包的解析可以為實時解析或周期性的解析，優(yōu)選的為實時采集并解析。

步驟102：對獲得的端口號進行分類，將同一類別的端口號構造成鄰接矩陣。

在實際應用中，通過對防火墻流量中數(shù)據(jù)包的解析可以得到源地址+目標地址不同的多個源端口號+多個目標端口號，因此，可以以源地址+目標地址作為分類標準，將源地址+目標地址相同的源端口號+目標端口號劃分成一類，如此，便于分析從同一源端到同一目的主機的流量數(shù)據(jù)異常情況，以及同一類源端口號及目標端口號對應的不同的防火墻策略是否可用情況。

將同一類別的端口號構造成鄰接矩陣，具體可以為基于不同端口號間是否能夠正常通信將同一類別的端口號構造成鄰接矩陣，如，將防火墻中既定策略定義成鄰接矩陣，d[i][j]，其中d[i]為源端口，d[j]為目標端口，構造成的鄰接矩陣表示為：

上述矩陣中，a[n1][n2]表示第n1個源端口與第n2個目標端口之間的通信權值；n1，n2均為正整數(shù)，其中兩個端口之間能正常通信則顯示權值為1，未能進行正常顯示則權值表示為0，例如，對于將源地址和目標地址相同的六個源端口及六個目標端口構造成鄰接矩陣：

從上述鄰接矩陣中可看出，第一個源端口與第一個目標端口、第四個目標端口均可以正常通信，但與第二、第三、第五及第六個目標端口均不能正常通信。

步驟103：獲取同一類別的不同端口號之間的訪問權值，并基于所述訪問權值及所述類別對應的鄰接矩陣得到判決矩陣。

這里，所述獲取同一類別的不同端口號之間的訪問權值，包括：

獲取第一時間段內(nèi)各個源端口到目標端口的訪問量信息，以及所述源端口及目標端口所屬類別對應的業(yè)務權值信息；

基于所述訪問量信息及所述業(yè)務權值信息確定不同端口號之間的訪問權值；

其中，所述第一時間段的具體取值可以依據(jù)實際情況選取，如1s；所述訪問量指的是在所述第一時間段內(nèi)從某個源端口到某個目標端口的訪問次數(shù)，如s[i][j]，即從源端口i到目標端口j的訪問次數(shù)s；

由于端口號所屬的類別是基于相應的源地址及目標地址確定的，而不同的目標地址對應不同的業(yè)務主機，根據(jù)業(yè)務主機所承載的業(yè)務的核心程度可確定該業(yè)務主機對應的權值pn，如可以設定：核心業(yè)務主機的權值為4，一般業(yè)務主機的權值為3；因此，所述源端口及目標端口所屬類別對應的業(yè)務權值信息，即為所述源端口及目標端口對應的目標業(yè)務主機的權值信息，設為p[j]，可理解為目標端口j對應的權值。

基于所述訪問量信息及所述業(yè)務權值信息確定不同端口號之間的訪問權值，也即將訪問量s[i][j]與目標地址的業(yè)務主機的權值p[j]相結合，得到不同端口號之間的訪問權值x[i][j]＝s[i][j]*p[j]，通過矩陣表示如下：

上述矩陣中，x[n1][n2]表示第n1個源端口與第n2個目標端口之間的訪問權值。

基于所述訪問權值及所述類別對應的鄰接矩陣得到判決矩陣，具體為將不同源端口與目標端口之間的訪問權值，與對應的鄰接矩陣中的通信權值相加，得到相應的判決矩陣e：

上述矩陣中，a[n1][n2]+x[n1][n2]表示判決矩陣中第n1個源端口與第n2個目標端口之間的矩陣權值。

步驟104：基于所述判決矩陣中不同端口號之間的矩陣權值及預設的判決門限值確定對應防火墻策略的異常情況。

優(yōu)選地，判決門限值可設定為1，當源端口號與目標端口號之間的矩陣權值大于1時，表明對應的防火墻策略可用，當源端口號與目標端口號之間的矩陣權值不大于1時，表明對應的防火墻策略不可用，如為冗余策略，相應的，可發(fā)出告警，可攜帶相應的端口號信息；

在實際應用中，所述防火墻策略可以為人工錄入的訪問策略或從防火墻上自動采集的訪問策略。

應用本發(fā)明上述實施例，通過對防火墻流量中數(shù)據(jù)包的解析、鄰接矩陣的構造、判決矩陣的得出等操作，進而可實現(xiàn)自動對防火墻策略異常情況的判斷及告警等，如此，以使管理員及時的刪除該不可用的策略，進而提高系統(tǒng)的安全性及管理員日常運維的工作效率。

實施例二

圖2為本發(fā)明實施例中防火墻策略監(jiān)控方法流程示意圖，如圖2所示，本發(fā)明實施例防火墻策略監(jiān)控方法包括：

步驟201：采集防火墻流量中的數(shù)據(jù)包并進行解析，得到第一信息。

這里，所述第一信息包括：源地址信息、目標地址信息、源端口號信息、目標端口號信息、訪問時間信息等。

這里，所述采集可以為實時采集或周期性采集，相應的，對數(shù)據(jù)包的解析可以為實時解析或周期性的解析，優(yōu)選的為實時采集并解析。

步驟202：對獲得的端口號進行分類，將同一類別的端口號構造成鄰接矩陣。

在實際應用中，通過對防火墻流量中數(shù)據(jù)包的解析可以得到源地址+目標地址不同的多個源端口號+多個目標端口號，因此，可以以源地址+目標地址作為分類標準，將源地址+目標地址相同的源端口號+目標端口號劃分成一類，如此，便于分析從同一源端到同一目的主機的流量數(shù)據(jù)異常情況，以及同一類源端口號及目標端口號對應的不同的防火墻策略是否可用情況。

將同一類別的端口號構造成鄰接矩陣，具體可以為基于不同端口號間是否能夠正常通信將同一類別的端口號構造成鄰接矩陣，如，將防火墻中既定策略定義成鄰接矩陣，d[i][j]，其中d[i]為源端口，d[j]為目標端口，構造成的鄰接矩陣表示為：

上述矩陣中，a[n1][n2]表示第n1個源端口與第n2個目標端口之間的通信權值；n1，n2均為正整數(shù)，其中兩個端口之間能正常通信則顯示權值為1，未能進行正常顯示則權值表示為0，例如，對于將源地址和目標地址相同的六個源端口及六個目標端口構造成鄰接矩陣：

從上述鄰接矩陣中可看出，第一個源端口與第一個目標端口、第四個目標端口均可以正常通信，但與第二、第三、第五及第六個目標端口均不能正常通信。

步驟203：獲取同一類別的不同端口號之間的訪問權值，并基于所述訪問權值及所述類別對應的鄰接矩陣得到判決矩陣。

這里，所述獲取同一類別的不同端口號之間的訪問權值，包括：

獲取第一時間段內(nèi)各個源端口到目標端口的訪問量信息，以及所述源端口及目標端口所屬類別對應的業(yè)務權值信息；

基于所述訪問量信息及所述業(yè)務權值信息確定不同端口號之間的訪問權值；

其中，所述第一時間段的具體取值可以依據(jù)實際情況選取，如1s；所述訪問量指的是在所述第一時間段內(nèi)從某個源端口到某個目標端口的訪問次數(shù)，如s[i][j]，即從源端口i到目標端口j的訪問次數(shù)s；

由于端口號所屬的類別是基于相應的源地址及目標地址確定的，而不同的目標地址對應不同的業(yè)務主機，根據(jù)業(yè)務主機所承載的業(yè)務的核心程度可確定該業(yè)務主機對應的權值pn，如可以設定：核心業(yè)務主機的權值為4，一般業(yè)務主機的權值為3；因此，所述源端口及目標端口所屬類別對應的業(yè)務權值信息，即為所述源端口及目標端口對應的目標業(yè)務主機的權值信息，設為p[j]，可理解為目標端口j對應的權值。

基于所述訪問量信息及所述業(yè)務權值信息確定不同端口號之間的訪問權值，也即將訪問量s[i][j]與目標地址的業(yè)務主機的權值p[j]相結合，得到不同端口號之間的訪問權值x[i][j]＝s[i][j]*p[j]，通過矩陣表示如下：

上述矩陣中，x[n1][n2]表示第n1個源端口與第n2個目標端口之間的訪問權值。

基于所述訪問權值及所述類別對應的鄰接矩陣得到判決矩陣，具體為將不同源端口與目標端口之間的訪問權值，與對應的鄰接矩陣中的通信權值相加，得到相應的判決矩陣e[n1][n2]：

上述矩陣中，a[n1][n2]+x[n1][n2]表示判決矩陣中第n1個源端口與第n2個目標端口之間的矩陣權值，即e[n1][n2]。

步驟204：分別將判決矩陣中每個矩陣權值及預設的判決門限值進行比較，判斷矩陣權值是否大于預設的判決門限值，確定矩陣權值大于預設的判決門限值時，執(zhí)行步驟205；確定矩陣權值不大于預設的判決門限值時，執(zhí)行步驟208。

這里，判決門限值可設定為1，在實際應用中，每個源端口到一個目標端口的訪問對應一條訪問策略，當源端口號與目標端口號之間的矩陣權值大于1時，表明對應的防火墻策略可用，當源端口號與目標端口號之間的矩陣權值不大于1時，表明對應的防火墻策略不可用，如為冗余策略；在實際應用中，所述防火墻策略可以為人工錄入的訪問策略或從防火墻上自動采集的訪問策略。

步驟205：分別獲取判決矩陣中每一行的矩陣權值之和，將每一個行矩陣之和與預設第一閾值進行比較，判斷行矩陣之和是否大于預設第一閾值，確定行矩陣權值之和未超過預設第一閾值時，執(zhí)行步驟206；確定行矩陣權值之和超過預設第一閾值時，執(zhí)行步驟209。

這里，所述預設第一閾值可以依據(jù)實際情況進行設定，當判決矩陣中某一行的矩陣權值之和突然異常增長超過預設第一閾值，表明當前的目標設備即目標地址的業(yè)務主機出現(xiàn)異常數(shù)據(jù)訪問。

步驟206：分別獲取所述判決矩陣中每一列的矩陣權值之和，將每一個列矩陣之和與預設第二閾值進行比較，判斷列矩陣之和是否大于預設第二閾值，確定列矩陣權值之和未超過預設第二閾值時，執(zhí)行步驟207；確定列矩陣權值之和超過預設第二閾值時，執(zhí)行步驟210。

這里，所述預設第二閾值可以依據(jù)實際情況進行設定，當判決矩陣中某一列的矩陣權值之和突然異常增長超過預設第二閾值，表明源端設備即源端主機出現(xiàn)異常流量數(shù)據(jù)。

步驟207：分別將判決矩陣中的每個矩陣權值與預設第三閾值進行比較，判斷矩陣權值是否大于預設第三閾值，確定所述矩陣權值超過第三閾值時，執(zhí)行步驟211；確定所述矩陣權值未超過第三閾值時，執(zhí)行步驟212。

這里，所述預設第三閾值可以依據(jù)實際情況進行設定，當判決矩陣中某一矩陣權值突然異常增長超過預設第三閾值，表明所述矩陣權值對應的端口出現(xiàn)通信異常，如判決矩陣中e[1][2]突然異常增長超過預設第三閾值，表明第1個源端口與第2個目標端口之間通信異常。

需要說明的是，操作步驟205、步驟206、步驟207的順序并不限定是唯一的上述順序，可以互換，如先執(zhí)行步驟207、然后執(zhí)行步驟205、最后執(zhí)行步驟206。

步驟208：發(fā)出第一告警信息。

這里，所述第一告警信息用于提示當前的防火墻策略不可用，至少攜帶與該防火墻策略對應的源端口號與目標端口號信息。

步驟209：發(fā)出第二告警信息。

這里，所述第二告警信息用于提示目標設備出現(xiàn)異常數(shù)據(jù)訪問；所述第二告警信息中可攜帶出現(xiàn)異常數(shù)據(jù)訪問的目標設備的互聯(lián)網(wǎng)協(xié)議(ip，internetprotocol)地址、目標設備標識等信息，方便管理員進行查看及管理。

步驟210：發(fā)出第三告警信息。

這里，所述第三告警信息用于提示源端設備出現(xiàn)異常流量數(shù)據(jù)；所述第三告警信息中可攜帶出現(xiàn)異常流量數(shù)據(jù)的源端設備的ip地址、源端設備標識等信息，方便管理員進行查看及管理。

步驟211：發(fā)出第四告警信息。

這里，所述第四告警信息用于提示所述矩陣權值對應的端口出現(xiàn)通信異常；所述第四告警信息攜帶出現(xiàn)通信異常的源端口號及目標端口號信息，方便管理員進行查看及管理。

步驟212：結束本次處理流程。

應用本發(fā)明上述實施例，通過對防火墻流量中數(shù)據(jù)包的解析、鄰接矩陣的構造、判決矩陣的得出等操作，可實現(xiàn)自動對防火墻策略異常情況的判斷及相應的告警，如此，以使管理員及時的刪除該不可用的策略，實現(xiàn)防火墻策略的最小化，進而提高管理員日常運維的工作效率；基于得出的判決矩陣還可進一步實現(xiàn)對網(wǎng)絡流量情況的實時監(jiān)控，能夠及時的發(fā)現(xiàn)異常流量情況，便于防火墻策略的及時優(yōu)化，提高系統(tǒng)的安全性。

實施例三

圖3為本發(fā)明實施例中防火墻策略監(jiān)控裝置組成結構示意圖，如圖3所示，本發(fā)明實施例中防火墻策略監(jiān)控裝置組成包括：解析模塊31、分類模塊32、處理模塊33及確定模塊34；其中，

所述解析模塊31，用于解析防火墻流量中的數(shù)據(jù)包，得到第一信息；所述第一信息至少包括端口號信息；

所述分類模塊32，用于對獲得的端口號進行分類；

所述處理模塊33，用于基于端口號之間的通信情況將同一類別的端口號構造成鄰接矩陣；

以及，獲取同一類別的不同端口號之間的訪問權值，并基于所述訪問權值及所述類別對應的鄰接矩陣得到判決矩陣；

所述確定模塊34，用于基于所述判決矩陣中不同端口號之間的矩陣權值及預設的判決門限值確定對應防火墻策略的異常情況。

在一實施例中，所述解析模塊31，還用于進行防火墻流量中數(shù)據(jù)包的采集。

在一實施例中，所述第一信息還包括：源地址信息及目標地址信息；

所述分類模塊32，還用于提取解析得到的端口號中源地址及目標地址均相同的端口號，將源地址及目標地址均相同的端口號作為同一類別的端口號。

在一實施例中，所述第一信息還包括：所述數(shù)據(jù)包對應的訪問時間信息；所述端口號信息包括：源端口號信息及目標端口號信息；

所述處理模塊33，還用于獲取第一時間段內(nèi)各個源端口到目標端口的訪問量信息，以及所述源端口及目標端口所屬類別對應的業(yè)務權值信息；

基于所述訪問量信息及所述業(yè)務權值信息確定不同端口號之間的訪問權值。

在一實施例中，所述裝置還包括第一告警模塊35；所述端口號信息包括：源端口號信息及目標端口號信息；

所述確定模塊34，還用于將所述判決矩陣中各個源端口號與目標端口號之間的矩陣權值與預設的判決門限值進行比較，當所述矩陣權值大于所述預設的判決門限值時，確定相應的源端口號與目標端口號之間的防火墻策略可用；

當所述矩陣權值不大于所述預設的判決門限值時，確定相應的源端口號與目標端口號之間的防火墻策略不可用，觸發(fā)第一告警模塊35；

所述第一告警模塊35，用于發(fā)出第一告警信息。

在一實施例中，所述裝置還包括第二告警模塊36；

所述確定模塊34，還用于分別獲取所述判決矩陣中每一行的矩陣權值之和，確定行矩陣權值之和超過預設第一閾值時，觸發(fā)第二告警模塊36發(fā)出第二告警信息；所述第二告警信息用于提示目標設備出現(xiàn)異常數(shù)據(jù)訪問；

所述確定模塊34，還用于分別獲取所述判決矩陣中每一列的矩陣權值之和，確定列矩陣權值之和超過預設第二閾值時，觸發(fā)第二告警模塊36發(fā)出第三告警信息；所述第三告警信息用于提示源端設備出現(xiàn)異常流量數(shù)據(jù)；

所述確定模塊34，還用于分別將所述判決矩陣中的每個矩陣權值與預設第三閾值進行比較，確定所述矩陣權值超過第三閾值時，觸發(fā)第二告警模塊36發(fā)出第四告警信息；所述第四告警信息用于提示所述矩陣權值對應的端口出現(xiàn)通信異常。

實施例四

圖4為本發(fā)明實施例中防火墻策略監(jiān)控系統(tǒng)組成結構示意圖，圖5為本發(fā)明實施例中防火墻策略監(jiān)控系統(tǒng)體系結構示意圖；如圖4、圖5所示，本發(fā)明實施例中防火墻策略監(jiān)控系統(tǒng)組成包括：防火墻策略監(jiān)控裝置41及安全運維平臺前臺42；其中，

防火墻策略監(jiān)控裝置41，用于解析防火墻流量中的數(shù)據(jù)包，得到第一信息；所述第一信息至少包括端口號信息；

以及，對獲得的端口號進行分類，將同一類別的端口號構造成鄰接矩陣；

以及，獲取同一類別的不同端口號之間的訪問權值，并基于所述訪問權值及所述類別對應的鄰接矩陣得到判決矩陣；

以及，基于所述判決矩陣中不同端口號之間的矩陣權值及預設的判決門限值確定對應防火墻策略的異常情況。

所述安全運維平臺前臺42，用于查詢和維護防火墻的訪問策略，可以查詢?nèi)斯や浫氲脑L問策略或者從防火墻上自動采集的訪問策略。

以及，進行閑置防火墻策略展示，即展示沒有使用過的訪問策略；

以及，展現(xiàn)業(yè)務系統(tǒng)內(nèi)各主機間的網(wǎng)絡流量變化情況，展現(xiàn)單個業(yè)務系統(tǒng)流量、兩個業(yè)務系統(tǒng)間的流量。

這里需要指出的是：以上涉及防火墻策略監(jiān)控裝置的描述，與上述方法描述是類似的，同方法的有益效果描述，不做贅述。對于本發(fā)明所述防火墻策略監(jiān)控裝置實施例中未披露的技術細節(jié)，請參照本發(fā)明方法實施例的描述。

在本發(fā)明實施例中，所述防火墻策略監(jiān)控裝置中的解析模塊31、分類模塊32、處理模塊33、確定模塊34、第一告警模塊35及第二告警模塊36，均可由終端中的中央處理器(cpu，centralprocessingunit)或數(shù)字信號處理器(dsp，digitalsignalprocessor)、或現(xiàn)場可編程門陣列(fpga，fieldprogrammablegatearray)、或集成電路(asic，applicationspecificintegratedcircuit)實現(xiàn)。

本領域的技術人員可以理解：實現(xiàn)上述方法實施例的全部或部分步驟可以通過程序指令相關的硬件來完成，前述的程序可以存儲于一計算機可讀取存儲介質中，該程序在執(zhí)行時，執(zhí)行包括上述方法實施例的步驟；而前述的存儲介質包括：移動存儲設備、隨機存取存儲器(ram，randomaccessmemory)、只讀存儲器(rom，read-onlymemory)、磁碟或者光盤等各種可以存儲程序代碼的介質。

或者，本發(fā)明上述集成的單元如果以軟件功能模塊的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時，也可以存儲在一個計算機可讀取存儲介質中。基于這樣的理解，本發(fā)明實施例的技術方案本質上或者說對相關技術做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品存儲在一個存儲介質中，包括若干指令用以使得一臺計算機設備(可以是個人計算機、服務器、或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分。而前述的存儲介質包括：移動存儲設備、ram、rom、磁碟或者光盤等各種可以存儲程序代碼的介質。

以上所述，僅為本發(fā)明的具體實施方式，但本發(fā)明的保護范圍并不局限于此，任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內(nèi)，可輕易想到變化或替換，都應涵蓋在本發(fā)明的保護范圍之內(nèi)。