本發(fā)明涉及信息技術(shù)領(lǐng)域，具體地，涉及一種生成網(wǎng)絡(luò)白名單的方法和裝置。

背景技術(shù)：

網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)主要用于控制系統(tǒng)分層間的邏輯/物理隔離和安全防護(hù)上，控制系統(tǒng)一般分為現(xiàn)場層，監(jiān)督控制層，和運營管理層。在現(xiàn)場層和監(jiān)督控制層中，控制系統(tǒng)上可能會運行通用的實時/或非實時數(shù)據(jù)庫、特殊工業(yè)控制系統(tǒng)的一種或幾種單一協(xié)議，但在監(jiān)督控制層之上，監(jiān)督控制層和運營管理層之間，以及監(jiān)督控制層之外，會運行各種辦公，工業(yè)控制等定制和/或公開的協(xié)議。因此需要針對各種協(xié)議進(jìn)行網(wǎng)絡(luò)完全控制?，F(xiàn)有技術(shù)中根據(jù)預(yù)先配置的條件生成網(wǎng)絡(luò)白名單來控制網(wǎng)絡(luò)中會話，但是該方法依賴人工配置進(jìn)行，使得網(wǎng)絡(luò)安全控制方式不夠靈活而且效率較低。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的是提供生成網(wǎng)絡(luò)白名單的方法和裝置，以解決上述技術(shù)問題，或者至少部分地解決上述技術(shù)問題。

為了實現(xiàn)上述目的，本發(fā)明提供一種生成網(wǎng)絡(luò)白名單的方法，該方法包括：抓取網(wǎng)絡(luò)中通過網(wǎng)絡(luò)安全設(shè)備的數(shù)據(jù)包，所述數(shù)據(jù)包中攜帶地址、端口和應(yīng)用層協(xié)議類型；根據(jù)所述數(shù)據(jù)包攜帶的應(yīng)用層協(xié)議類型判斷所述數(shù)據(jù)包相關(guān)聯(lián)的會話是否具有子會話；當(dāng)確定所述會話具有子會話時，為所述子會話創(chuàng)建動態(tài)端口范圍；存儲所述會話相應(yīng)的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口，所述相關(guān)聯(lián)的端口包括用于所述會話的端口和用于所述會話的子會話的動態(tài)端口范圍；利用所存儲的會話相應(yīng)的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口生成網(wǎng)絡(luò)白名單。

可選地，所述方法還包括：當(dāng)確定所述會話不具有子會話時，直接存儲所述會話相應(yīng)的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口，所述相關(guān)聯(lián)的端口包括用于所述會話的端口。

可選地，所述存儲所述會話相應(yīng)的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口包括：采用樹狀結(jié)構(gòu)以傳輸層協(xié)議類型為根節(jié)點，分別以地址和相關(guān)聯(lián)的端口為各級子節(jié)點進(jìn)行存儲。

可選地，所述存儲所述會話相應(yīng)的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口包括：判斷所述樹狀結(jié)構(gòu)中兄弟節(jié)點中的地址或相關(guān)聯(lián)的端口是否連續(xù)；當(dāng)兄弟節(jié)點中的地址或相關(guān)聯(lián)的端口連續(xù)時，將所述兄弟節(jié)點合并為存儲地址或相關(guān)聯(lián)的端口的連續(xù)范圍的單一節(jié)點。

可選地，所述存儲所述會話相應(yīng)的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口包括：判斷樹狀結(jié)構(gòu)中各級節(jié)點中是否存在存儲相同地址或相關(guān)聯(lián)的端口的節(jié)點；如果存在存儲相同地址或相關(guān)聯(lián)的端口的節(jié)點，則將存儲相同地址或相關(guān)聯(lián)的端口的節(jié)點合并為單一節(jié)點。

可選地，所述利用所存儲的會話相應(yīng)的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口生成網(wǎng)絡(luò)白名單包括：對于所述樹狀結(jié)構(gòu)中從根節(jié)點到葉子節(jié)點的各條鏈路，從鏈路的節(jié)點中提取存儲的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口來組成信息條目；從所述信息條目中提取傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口填入白名單語句模板中生成網(wǎng)絡(luò)白名單。

可選地，所述方法還包括：當(dāng)數(shù)據(jù)包相關(guān)聯(lián)的會話為子會話時，從所創(chuàng)建的動態(tài)端口范圍中選擇分配給所述子會話的端口；記錄所述子會話相應(yīng)的地址和端口以對所述子會話進(jìn)行跟蹤；在所述子會話結(jié)束時，釋放分配給所述子會話的端口。

根據(jù)本發(fā)明的另一方面，提供了一種生成網(wǎng)絡(luò)白名單的裝置，該裝置包括：抓取模塊，用于抓取網(wǎng)絡(luò)中通過網(wǎng)絡(luò)安全設(shè)備的數(shù)據(jù)包，所述數(shù)據(jù)包中攜帶地址、端口和應(yīng)用層協(xié)議類型；處理模塊，用于根據(jù)所述數(shù)據(jù)包攜帶的應(yīng)用層協(xié)議類型判斷所述數(shù)據(jù)包相關(guān)聯(lián)的會話是否具有子會話，當(dāng)確定所述會話具有子會話時，為所述子會話創(chuàng)建動態(tài)端口范圍，指示存儲模塊進(jìn)行存儲；所述存儲模塊用于存儲所述會話相應(yīng)的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口，所述相關(guān)聯(lián)的端口包括用于所述會話的端口和用于所述會話的子會話的動態(tài)端口范圍；生成模塊，用于利用所存儲的會話相應(yīng)的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口生成網(wǎng)絡(luò)白名單。

可選地，所述處理模塊還用于當(dāng)確定所述會話不具有子會話時，直接指示所述存儲模塊存儲所述會話相應(yīng)的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口，所述相關(guān)聯(lián)的端口包括用于所述會話的端口。

可選地，所述存儲模塊用于采用樹狀結(jié)構(gòu)以傳輸層協(xié)議類型為根節(jié)點，分別以地址和相關(guān)聯(lián)的端口為各級子節(jié)點進(jìn)行存儲。

可選地，所述存儲模塊用于判斷所述樹狀結(jié)構(gòu)中兄弟節(jié)點中的地址或相關(guān)聯(lián)的端口是否連續(xù)；當(dāng)兄弟節(jié)點中的地址或相關(guān)聯(lián)的端口連續(xù)時，將所述兄弟節(jié)點合并為存儲地址或相關(guān)聯(lián)的端口的連續(xù)范圍的單一節(jié)點。

可選地，所述存儲模塊用于判斷樹狀結(jié)構(gòu)中各級節(jié)點中是否存在存儲相同地址或相關(guān)聯(lián)的端口的節(jié)點；如果存在存儲相同地址或相關(guān)聯(lián)的端口的節(jié)點，將存儲相同地址或相關(guān)聯(lián)的端口的節(jié)點合并為單一節(jié)點。

可選地，所述生成模塊用于對于所述樹狀結(jié)構(gòu)中從根節(jié)點到葉子節(jié)點的各條鏈路，從鏈路的節(jié)點中提取存儲的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口來組成信息條目；從所述信息條目中提取傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口填入白名單語句模板中生成網(wǎng)絡(luò)白名單。

可選地，所述處理模塊還用于當(dāng)數(shù)據(jù)包相關(guān)聯(lián)的會話為子會話時，從所創(chuàng)建的動態(tài)端口范圍中選擇分配給所述子會話的端口；記錄所述子會話相應(yīng)的地址和端口以對所述子會話進(jìn)行跟蹤；在所述子會話結(jié)束時，釋放分配給所述子會話的端口。

通過上述技術(shù)方案，抓取網(wǎng)絡(luò)中通過網(wǎng)絡(luò)安全設(shè)備的數(shù)據(jù)包；根據(jù)數(shù)據(jù)包攜帶的應(yīng)用層協(xié)議類型判斷所述數(shù)據(jù)包相關(guān)聯(lián)的會話是否具有子會話；當(dāng)確定會話具有子會話時，為子會話創(chuàng)建動態(tài)端口范圍；存儲會話相應(yīng)的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口，相關(guān)聯(lián)的端口包括用于所述會話的端口和用于所述會話的子會話的動態(tài)端口范圍；利用所存儲的會話相應(yīng)的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口生成網(wǎng)絡(luò)白名單；該方法自動收集通過網(wǎng)絡(luò)安全設(shè)備的數(shù)據(jù)包，自動生成白名單，減少了網(wǎng)絡(luò)安全控制的復(fù)雜性，并且無需操作人員了解現(xiàn)場實施的數(shù)據(jù)流細(xì)節(jié)，節(jié)省了實施成本并提高了實施效率。

本發(fā)明的其它特征和優(yōu)點將在隨后的具體實施方式部分予以詳細(xì)說明。

附圖說明

附圖是用來提供對本發(fā)明的進(jìn)一步理解，并且構(gòu)成說明書的一部分，與下面的具體實施方式一起用于解釋本發(fā)明，但并不構(gòu)成對本發(fā)明的限制。在附圖中：

圖1是根據(jù)本發(fā)明實施方式的生成網(wǎng)絡(luò)白名單的方法的流程圖；

圖2是根據(jù)本發(fā)明實施方式的存儲會話的相關(guān)信息的樹狀結(jié)構(gòu)的示意圖；

圖3是根據(jù)本發(fā)明實施方式的處理子會話的過程的流程圖；以及

圖4是根據(jù)本發(fā)明實施方式的生成網(wǎng)絡(luò)白名單的裝置的結(jié)構(gòu)圖。

具體實施方式

以下結(jié)合附圖對本發(fā)明的具體實施方式進(jìn)行詳細(xì)說明。應(yīng)當(dāng)理解的是，此處所描述的具體實施方式僅用于說明和解釋本發(fā)明，并不用于限制本發(fā)明。

圖1是根據(jù)本發(fā)明實施方式的生成網(wǎng)絡(luò)白名單的方法的流程圖，該方法可用于各種設(shè)備，例如網(wǎng)絡(luò)防火墻、服務(wù)器等。如圖1所示，該方法可包括如下步驟。

在步驟S110中，抓取網(wǎng)絡(luò)中通過網(wǎng)絡(luò)安全設(shè)備的數(shù)據(jù)包。

數(shù)據(jù)包中可攜帶地址、端口和應(yīng)用層協(xié)議類型，例如攜帶源IP地址、目的IP地址、源端口號、目的端口號和應(yīng)用層協(xié)議類型。

舉例而言，設(shè)備可以對網(wǎng)絡(luò)中數(shù)據(jù)流進(jìn)行偵聽，收集經(jīng)過網(wǎng)絡(luò)安全設(shè)備的數(shù)據(jù)包。該數(shù)據(jù)包已經(jīng)被網(wǎng)絡(luò)安全設(shè)備放行，說明該數(shù)據(jù)包相關(guān)聯(lián)的會話為可靠的會話，因而可以將該數(shù)據(jù)包相關(guān)聯(lián)的會話記入白名單。

在步驟S120中，根據(jù)數(shù)據(jù)包攜帶的應(yīng)用層協(xié)議類型判斷數(shù)據(jù)包相關(guān)聯(lián)的會話是否具有子會話。

舉例而言，可以維護(hù)會話表，在會話表中記錄會話的五元組，即傳輸層協(xié)議類型、源IP地址、目的IP地址、源端口、目的端口。接收到數(shù)據(jù)包后，在會話中查找數(shù)據(jù)包相關(guān)聯(lián)的會話，如果沒有查找到，則在會話表中創(chuàng)建數(shù)據(jù)包的相應(yīng)會話，并記錄下會話的五元組。

根據(jù)解析出的數(shù)據(jù)包攜帶的應(yīng)用層類型判斷數(shù)據(jù)包相關(guān)聯(lián)的會話在后續(xù)過程中是否會具有子會話。例如，http協(xié)議的會話不會具有子會話，ftp協(xié)議的會話可能會具有子會話。舉例而言，存儲應(yīng)用層協(xié)議類型與是否具有子會話的對應(yīng)關(guān)系，當(dāng)應(yīng)用層協(xié)議類型具有子會話時，對應(yīng)標(biāo)志位為1，當(dāng)應(yīng)用層協(xié)議類型不具有子會話時，對應(yīng)標(biāo)志位為0。在抓取到數(shù)據(jù)包從中獲得應(yīng)用層類型后，在對應(yīng)關(guān)系中查找應(yīng)用層協(xié)議類型，當(dāng)查找到的對應(yīng)標(biāo)志位為1時，確定具有子會話，當(dāng)查找到的對應(yīng)標(biāo)志位為0時，確定不具有子會話。

在步驟S130中，當(dāng)確定會話具有子會話時，為子會話創(chuàng)建動態(tài)端口范圍。

舉例而言，當(dāng)確定會話后續(xù)具有子會話時，創(chuàng)建動態(tài)端口范圍來為該會話的后續(xù)子會話使用。

在步驟S140中，存儲會話相應(yīng)的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口。

其中，相關(guān)聯(lián)的端口包括用于會話的端口和用于會話的子會話的動態(tài)端口范圍。

舉例而言，對會話的相關(guān)信息進(jìn)行存儲，該會話的相關(guān)信息中可包括所創(chuàng)建的動態(tài)端口范圍，會話的傳輸層協(xié)議類型，例如TCP、UDP、SCTP等，以及源IP地址、目的IP地址、源端口和目的端口。所創(chuàng)建的動態(tài)端口范圍中端口可作為子會話的服務(wù)器端口使用，例如在從客戶端到服務(wù)器的會話中，服務(wù)器端口為目的端口，即動態(tài)端口范圍中端口可作為目的端口，在從服務(wù)器到客戶端的會話中，服務(wù)器端口為源端口，即動態(tài)端口范圍中端口可作為源端口。

在一實施例中，所述方法還可包括當(dāng)確定會話不具有子會話時，直接存儲會話相應(yīng)的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口。

相關(guān)聯(lián)的端口包括用于會話的端口。

舉例而言，對于從客戶端到服務(wù)器的http協(xié)議會話，確定該會話不具有子會話，可以存儲該會話的傳輸層協(xié)議類型、源IP地址(即客戶端IP地址)、目的IP地址(即服務(wù)器IP地址)、源端口(即客戶端端口)、目的端口(即服務(wù)器端口)。

在一實施例中，所述存儲所述會話相應(yīng)的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口可包括：采用樹狀結(jié)構(gòu)以傳輸層協(xié)議類型為根節(jié)點，分別以地址和相關(guān)聯(lián)的端口為各級子節(jié)點進(jìn)行存儲。

如圖2所示，采用樹狀結(jié)構(gòu)對用于生成白名單的信息進(jìn)行存儲。在樹狀結(jié)構(gòu)中以傳輸層協(xié)議為根節(jié)點，以“到服務(wù)器”和“到客戶端”兩個節(jié)點為二層節(jié)點，即區(qū)分從服務(wù)器到客戶端的會話和從客戶端到服務(wù)器的會話，以源IP地址為三層節(jié)點，以目的IP地址為四層節(jié)點，以源端口為五層節(jié)點，以目的端口為六層節(jié)點。

在樹狀結(jié)構(gòu)中存儲抓取的通過網(wǎng)絡(luò)安全設(shè)備的數(shù)據(jù)包所關(guān)聯(lián)的具有子會話和不具有子會話的會話相關(guān)信息，但不存儲子會話的相關(guān)信息。對于具有子會話的會話，如果會話從客戶端到服務(wù)器，則在“到服務(wù)器”節(jié)點分支上的會話對應(yīng)的目的端口節(jié)點中存儲用于子會話的動態(tài)地址范圍；如果會話從服務(wù)器到客戶端，則在“到客戶端”節(jié)點分支上的會話對應(yīng)的源端口節(jié)點中存儲用于子會話的動態(tài)地址范圍。

在一實施例中，所述存儲會話相應(yīng)的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口可包括：判斷樹狀結(jié)構(gòu)中兄弟節(jié)點中的地址或相關(guān)聯(lián)的端口是否連續(xù)；當(dāng)兄弟節(jié)點中的地址或相關(guān)聯(lián)的端口連續(xù)時，將所述兄弟節(jié)點合并為存儲地址或相關(guān)聯(lián)的端口的連續(xù)范圍的單一節(jié)點。

其中，合并后的單一節(jié)點可以以之前各個兄弟節(jié)點的子節(jié)點為子節(jié)點，或者對于合并后的源IP地址節(jié)點或目的IP地址節(jié)點所在分支上的源端口節(jié)點或目的端口節(jié)點中端口簡化為任意端口。舉例而言，三個兄弟源IP地址節(jié)點中分別存儲有源IP地址192.168.1.1、192.168.1.2、192.168.1.3，將上述三個源IP地址節(jié)點存儲為一個IP地址節(jié)點192.168.1.1-192.168.1.3。

如此，可以減少節(jié)點遍歷的復(fù)雜度，并減少白名單的生成條目。

例如，將如下所示的白名單條目進(jìn)行合并。

pass udp 192.168.1.2 2569->192.168.1.1/32 1024(tid:598826；)

pass udp 192.168.1.3 43569->192.168.1.1/32 1024(tid:598827；)

pass udp 192.168.1.4 43343->192.168.1.1/32 1024(tid:598828；)

pass udp 192.168.1.5 12573->192.168.1.1/32 1024(tid:598829；)

pass udp 192.168.1.6 12573->192.168.1.1/32 1024(tid:598810；)

pass udp 192.168.1.7 13982->192.168.1.1/32 1024(tid:598811；)

pass udp 192.168.1.8 25573->192.168.1.1/32 1024(tid:598812；)

合并后生成的白名單為pass udp 192.168.1.2-192.168.1.8any->192.168.1.1/32 1024(sid:598846；rev:1；)。

其中，pass表示允許通過，192.168.1.2-192.168.8為源IP地址，192.168.1.1/32為目的IP地址，any表示源端口為任意端口，1024為目的端口，tid為條目標(biāo)識ID，sid為合并后的標(biāo)識ID。

在一實施例中，所述存儲會話相應(yīng)的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口可包括：判斷樹狀結(jié)構(gòu)中各級節(jié)點中是否存在存儲相同地址或相關(guān)聯(lián)的端口的節(jié)點；如果存在存儲相同地址或相關(guān)聯(lián)的端口的節(jié)點，則將存儲相同地址或相關(guān)聯(lián)的端口的節(jié)點合并為單一節(jié)點。

除了對樹狀結(jié)構(gòu)中節(jié)點做合并處理外，還可以對樹狀結(jié)構(gòu)中節(jié)點做去重處理，將同一層的相同節(jié)點合并為單一節(jié)點，合并后的單一節(jié)點可以以合并前各個節(jié)點的子節(jié)點為子節(jié)點，或者對于合并后的源IP地址節(jié)點或目的IP地址節(jié)點所在分支上的源端口節(jié)點或目的端口節(jié)點中端口簡化為任意端口。

通過去重操作，可以減少信息的存儲空間，并提高遍歷速度。

在一實施例中，如圖3所示，所述方法還可包括如下步驟。

在步驟S302中，當(dāng)數(shù)據(jù)包相關(guān)聯(lián)的會話為子會話時，從所創(chuàng)建的動態(tài)端口范圍中選擇分配給子會話的端口。

在步驟S304中，記錄該子會話的相應(yīng)的地址和端口以對當(dāng)前會話進(jìn)行跟蹤。

在步驟S306中，在子會話結(jié)束時，釋放分配給該子會話的端口。

舉例而言，當(dāng)抓取的數(shù)據(jù)包相關(guān)聯(lián)的會話為子會話時，從其父會話的動態(tài)端口中選擇未被使用的端口分配給該子會話，在會話表中記錄該子會話的五元組，并將該會話的屬性標(biāo)記為需要銷毀，該子會話的記錄不用于生成白名單，而用于跟蹤子會話，并且在該子會話結(jié)束時，收回分配該該子會話的端口，并將會話表中記錄的子會話的相關(guān)信息刪除。

在步驟S150中，利用所存儲的會話相應(yīng)的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口生成網(wǎng)絡(luò)白名單。

在一實施例中，所述利用所存儲的會話相應(yīng)的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口生成網(wǎng)絡(luò)白名單可包括：對于樹狀結(jié)構(gòu)中從根節(jié)點到葉子節(jié)點的各條鏈路，從鏈路的節(jié)點中提取存儲的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口來組成信息條目；從信息條目中提取傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口填入白名單語句模板中生成網(wǎng)絡(luò)白名單。

其中，白名單語句模板為配置的語句模板，例如針對“到服務(wù)器”的會話配置對應(yīng)的語句模板，針對“到客戶端”的會話配置對應(yīng)的語句模板。

舉例而言，在如圖2所示的樹狀結(jié)構(gòu)中在從根節(jié)點到葉子節(jié)點的一條鏈路為一信息條目，從該信息條目中確定該條目是針對“到客戶端”的會話還是針對“到服務(wù)器”的會話。如果是針對“到服務(wù)器”的會話，調(diào)用對應(yīng)白名單語句模板，例如“從客戶端A端口B到C服務(wù)器D端口E”，如果是針對“到客戶端”的會話，調(diào)用對應(yīng)白名單語句模板，例如“從C服務(wù)器A端口B到客戶端D端口E”，其中，A表示源IP地址，B表示源端口，C表示傳輸層協(xié)議，D表示目的IP地址，E表示目的端口。A–E的信息可從信息條目中獲得。

例如，對于信息條目pass udp toserver 192.168.1.2-192.168.1.8any->192.168.1.1/32 1024可生成白名單條目“從客戶端192.168.1.2-192.168.1.8端口任意一個到UDP服務(wù)器192.168.1.1/32端口1024”。

通過上述實施例能夠生成便于用戶查看的白名單，增強了用戶的可讀性，便于用戶使用。

通過上述技術(shù)方案，能夠自動收集通過網(wǎng)絡(luò)安全設(shè)備的數(shù)據(jù)包，自動生成白名單，減少了網(wǎng)絡(luò)安全控制的復(fù)雜性，并且無需操作人員了解現(xiàn)場實施的數(shù)據(jù)流細(xì)節(jié)，節(jié)省了實施成本并提高了實施效率。

圖4是根據(jù)本發(fā)明實施方式的生成網(wǎng)絡(luò)白名單的裝置的結(jié)構(gòu)圖，該裝置可用于各種設(shè)備，例如網(wǎng)絡(luò)防火墻、服務(wù)器等。如圖4所示，該裝置可包括如下模塊。

抓取模塊410，用于抓取網(wǎng)絡(luò)中通過網(wǎng)絡(luò)安全設(shè)備的數(shù)據(jù)包。

數(shù)據(jù)包中攜帶地址、端口和應(yīng)用層協(xié)議類型。

處理模塊420，用于根據(jù)數(shù)據(jù)包攜帶的應(yīng)用層協(xié)議類型判斷所述數(shù)據(jù)包相關(guān)聯(lián)的會話是否具有子會話，當(dāng)確定所述會話具有子會話時，為所述子會話創(chuàng)建動態(tài)端口范圍，指示存儲模塊430進(jìn)行存儲。

存儲模塊430用于存儲所述會話相應(yīng)的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口。

其中，相關(guān)聯(lián)的端口包括用于會話的端口和用于會話的子會話的動態(tài)端口范圍。

生成模塊440，用于利用所存儲的會話相應(yīng)的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口生成網(wǎng)絡(luò)白名單。

在一實施例中，處理模塊420還用于當(dāng)確定所述會話不具有子會話時，直接指示存儲模塊430存儲所述會話相應(yīng)的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口，相關(guān)聯(lián)的端口包括用于會話的端口。

在一實施例中，存儲模塊430用于采用樹狀結(jié)構(gòu)以傳輸層協(xié)議類型為根節(jié)點，分別以地址和相關(guān)聯(lián)的端口為各級子節(jié)點進(jìn)行存儲。

進(jìn)一步地，存儲模塊430用于判斷樹狀結(jié)構(gòu)中兄弟節(jié)點中的地址或相關(guān)聯(lián)的端口是否連續(xù)；當(dāng)兄弟節(jié)點中的地址或相關(guān)聯(lián)的端口連續(xù)時，將所述兄弟節(jié)點合并為存儲地址或相關(guān)聯(lián)的端口的連續(xù)范圍的單一節(jié)點。

進(jìn)一步地，存儲模塊430用于判斷樹狀結(jié)構(gòu)中各級節(jié)點中是否存在存儲相同地址或相關(guān)聯(lián)的端口的節(jié)點；如果存在存儲相同地址或相關(guān)聯(lián)的端口的節(jié)點，將存儲相同地址或相關(guān)聯(lián)的端口的的節(jié)點合并為單一節(jié)點。

在一實施例中，生成模塊440用于對于樹狀結(jié)構(gòu)中從根節(jié)點到葉子節(jié)點的各條鏈路，從鏈路的節(jié)點中提取存儲的傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口來組成信息條目；從信息條目中提取傳輸層協(xié)議類型、地址和相關(guān)聯(lián)的端口填入白名單語句模板中生成網(wǎng)絡(luò)白名單。

在一實施例中，處理模塊420還用于當(dāng)數(shù)據(jù)包相關(guān)聯(lián)的會話為子會話時，從所創(chuàng)建的動態(tài)端口范圍中選擇分配給所述子會話的端口；記錄所述子會話相應(yīng)的地址和端口以對所述子會話進(jìn)行跟蹤；在所述子會話結(jié)束時，釋放分配給所述子會話的端口。

上述裝置與前述方法相對應(yīng)，其具體實施方式可參見前述方法中詳細(xì)描述，在此不再贅述。

通過上述技術(shù)方案，能夠自動收集通過網(wǎng)絡(luò)安全設(shè)備的數(shù)據(jù)包，自動生成白名單，減少了網(wǎng)絡(luò)安全控制的復(fù)雜性，并且無需操作人員了解現(xiàn)場實施的數(shù)據(jù)流細(xì)節(jié)，節(jié)省了實施成本并提高了實施效率。

以上結(jié)合附圖詳細(xì)描述了本發(fā)明的優(yōu)選實施方式，但是，本發(fā)明并不限于上述實施方式中的具體細(xì)節(jié)，在本發(fā)明的技術(shù)構(gòu)思范圍內(nèi)，可以對本發(fā)明的技術(shù)方案進(jìn)行多種簡單變型，這些簡單變型均屬于本發(fā)明的保護(hù)范圍。

另外需要說明的是，在上述具體實施方式中所描述的各個具體技術(shù)特征，在不矛盾的情況下，可以通過任何合適的方式進(jìn)行組合，為了避免不必要的重復(fù)，本發(fā)明對各種可能的組合方式不再另行說明。

此外，本發(fā)明的各種不同的實施方式之間也可以進(jìn)行任意組合，只要其不違背本發(fā)明的思想，其同樣應(yīng)當(dāng)視為本發(fā)明所公開的內(nèi)容。