本發(fā)明涉及一種基于網(wǎng)絡(luò)流量的防火墻策略數(shù)據(jù)分析裝置及方法����。
背景技術(shù):
國(guó)網(wǎng)各省電力公司營(yíng)銷業(yè)務(wù)應(yīng)用信息系統(tǒng)是面向全省的集中化系統(tǒng)�,其訪問(wèn)量大�,使用人數(shù)多,尤其是四川這個(gè)人口大省���。大量的訪問(wèn)�����,給系統(tǒng)造成了系統(tǒng)安全防護(hù)上的一些缺陷��。如何配置一條正確的防火墻安全策略����?如何確定防火墻上的安全策略配置是否正確���?是當(dāng)前營(yíng)銷系統(tǒng)防火墻安全亟需解決的兩個(gè)問(wèn)題。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明為了解決上述技術(shù)問(wèn)題提供一種基于網(wǎng)絡(luò)流量的防火墻策略數(shù)據(jù)分析裝置及方法�,其可生成防火墻訪問(wèn)策略配置報(bào)表,為防火墻安全管理人員提供輔助決策作用���,幫助工作人員對(duì)防火墻的策略配置的正確性進(jìn)行判斷��,保證在信息系統(tǒng)的正常運(yùn)行的情況下���,提高其運(yùn)行的安全性�����。
本發(fā)明通過(guò)下述技術(shù)方案實(shí)現(xiàn):
基于網(wǎng)絡(luò)流量的防火墻策略數(shù)據(jù)分析裝置���,包括:連接在交換機(jī)上,用以獲得防火墻所有訪問(wèn)數(shù)據(jù)的鏡像交換機(jī)�;對(duì)鏡像交換機(jī)獲得的數(shù)據(jù)進(jìn)行預(yù)處理并生成相應(yīng)的txt文件進(jìn)行存儲(chǔ)的鏡像流量采集服務(wù)器;根據(jù)MapReduce算法對(duì)數(shù)據(jù)進(jìn)行分析歸并以生成統(tǒng)計(jì)報(bào)表的分析裝置���。本方案的鏡像交換機(jī)通過(guò)在交換機(jī)上建立一旁路鏡像���,對(duì)防火墻訪問(wèn)數(shù)據(jù)的實(shí)時(shí)采集,由于通過(guò)鏡像流量采集到的數(shù)據(jù)都是以txt文件進(jìn)行存儲(chǔ)��,故對(duì)鏡像數(shù)據(jù)進(jìn)行預(yù)處理�,將數(shù)據(jù)變換為適合數(shù)據(jù)分析的形式,分析裝置對(duì)數(shù)據(jù)進(jìn)行歸并分析生成統(tǒng)計(jì)報(bào)表��,即防火墻訪問(wèn)策略配置報(bào)表��,為防火墻安全管理人員提供輔助決策作用,幫助工作人員對(duì)防火墻的策略配置的正確性進(jìn)行判斷��,保證在信息系統(tǒng)的正常運(yùn)行的情況下�����,提高其運(yùn)行的安全性����。
作為優(yōu)選,所述鏡像流量采集服務(wù)器將數(shù)據(jù)存儲(chǔ)在分布式存儲(chǔ)器中��。
基于網(wǎng)絡(luò)流量的防火墻策略數(shù)據(jù)分析方法�,包括以下步驟:
步驟1、建立防火墻訪問(wèn)數(shù)據(jù)入口及出口的旁路鏡像���,對(duì)防火墻所有訪問(wèn)數(shù)據(jù)進(jìn)行實(shí)時(shí)采集�;
步驟2����、對(duì)鏡像數(shù)據(jù)格式進(jìn)行預(yù)處理、提取特征矢量后以報(bào)文的形式進(jìn)行存儲(chǔ)����;
步驟3、采用分布式計(jì)算框架對(duì)數(shù)據(jù)進(jìn)行分析����。
作為優(yōu)選,在步驟3中����,分析的過(guò)程具體包括:過(guò)濾非IPv4格式的訪問(wèn)流量、過(guò)濾不符合源IP前綴格式的訪問(wèn)數(shù)據(jù)��、提取訪問(wèn)源IP數(shù)據(jù)及被訪問(wèn)的目的IP數(shù)據(jù)�、根據(jù)訪問(wèn)IP或被訪問(wèn)IP的一致性規(guī)則對(duì)數(shù)據(jù)進(jìn)行歸并。
作為優(yōu)選�����,所述過(guò)濾非IPv4格式的訪問(wèn)流量具體為:將IPv4格式的數(shù)據(jù)歸并為某一掩碼的子網(wǎng)�,識(shí)別流量中格式為IPv4的數(shù)據(jù),然后將子網(wǎng)間的流量進(jìn)行歸并���,對(duì)非IPv4格式的訪問(wèn)流量進(jìn)行過(guò)濾�。
進(jìn)一步的�,所述過(guò)濾不符合前綴的訪問(wèn)數(shù)據(jù)具體為:利用輸入IPv4的前綴進(jìn)行具體分析,過(guò)濾不符合前綴的訪問(wèn)數(shù)據(jù)流量����。
進(jìn)一步的�,對(duì)數(shù)據(jù)進(jìn)行歸并通過(guò)mapreduce算法完成���。
作為優(yōu)選���,所述步驟2中,利用數(shù)據(jù)平滑�、數(shù)據(jù)概化、離散化特征值技術(shù)對(duì)鏡像數(shù)據(jù)進(jìn)行預(yù)處理����。
本發(fā)明與現(xiàn)有技術(shù)相比,具有如下的優(yōu)點(diǎn)和有益效果:
本發(fā)明通過(guò)在交換機(jī)上建立一旁路鏡像�,對(duì)防火墻訪問(wèn)數(shù)據(jù)的實(shí)時(shí)采集,最終生成防火墻訪問(wèn)策略配置報(bào)表���,為防火墻安全管理人員提供輔助決策作用�����,幫助工作人員對(duì)防火墻的策略配置的正確性進(jìn)行判斷���,保證在信息系統(tǒng)的正常運(yùn)行的情況下�,提高其運(yùn)行的安全性���。。
附圖說(shuō)明
此處所說(shuō)明的附圖用來(lái)提供對(duì)本發(fā)明實(shí)施例的進(jìn)一步理解��,構(gòu)成本申請(qǐng)的一部分����,并不構(gòu)成對(duì)本發(fā)明實(shí)施例的限定。在附圖中:
圖1為本發(fā)明結(jié)構(gòu)示意圖����。
具體實(shí)施方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白����,下面結(jié)合實(shí)施例和附圖,對(duì)本發(fā)明作進(jìn)一步的詳細(xì)說(shuō)明�,本發(fā)明的示意性實(shí)施方式及其說(shuō)明僅用于解釋本發(fā)明,并不作為對(duì)本發(fā)明的限定���。
實(shí)施例1
如圖1所示基于網(wǎng)絡(luò)流量的防火墻策略數(shù)據(jù)分析裝置�,包括:
鏡像交換機(jī)�,連接在交換機(jī)上���,獲得防火墻所有訪問(wèn)數(shù)據(jù);
鏡像流量采集服務(wù)器����,對(duì)鏡像交換機(jī)獲得的數(shù)據(jù)進(jìn)行預(yù)處理并生成相應(yīng)的txt文件進(jìn)行存儲(chǔ);
分析裝置��,根據(jù)MapReduce算法對(duì)數(shù)據(jù)進(jìn)行分析歸并以生成統(tǒng)計(jì)報(bào)表��。
為了便于在大規(guī)模數(shù)據(jù)條件下的流量數(shù)據(jù)快速分析�,鏡像流量采集服務(wù)器將數(shù)據(jù)存儲(chǔ)在分布式存儲(chǔ)器中。
實(shí)施例2
基于網(wǎng)絡(luò)流量的防火墻策略數(shù)據(jù)分析方法�,包括以下步驟:
步驟1、建立防火墻訪問(wèn)數(shù)據(jù)入口及出口的旁路鏡像���,對(duì)防火墻所有訪問(wèn)數(shù)據(jù)進(jìn)行實(shí)時(shí)采集�����;
步驟2�����、對(duì)鏡像數(shù)據(jù)格式進(jìn)行預(yù)處理��、提取特征矢量后以報(bào)文的形式進(jìn)行存儲(chǔ)�����;
步驟3�����、采用分布式計(jì)算框架對(duì)數(shù)據(jù)進(jìn)行分析���。
在步驟3中,分析的過(guò)程具體包括:1.過(guò)濾非IPv4格式的訪問(wèn)流量���;2.過(guò)濾不符合前綴的訪問(wèn)數(shù)據(jù)�,比如��,防火墻規(guī)則中需設(shè)置對(duì)目的IP訪問(wèn)的源IP前綴格式�,譬如為192.168.15.*,則凡是不符合源IP前綴格式的所有訪問(wèn)地址均會(huì)被防火墻進(jìn)行過(guò)濾�,禁止訪問(wèn);3.提取訪問(wèn)源IP數(shù)據(jù)及被訪問(wèn)的目的IP數(shù)據(jù)�;4.根據(jù)訪問(wèn)IP或被訪問(wèn)IP的一致性規(guī)則對(duì)數(shù)據(jù)進(jìn)行歸并。
所述過(guò)濾非IPv4格式的訪問(wèn)流量具體為:將IPv4格式的數(shù)據(jù)歸并為某一掩碼的子網(wǎng)���,識(shí)別流量中格式為IPv4的數(shù)據(jù)�,然后將子網(wǎng)間的流量進(jìn)行歸并,對(duì)非IPv4格式的訪問(wèn)流量進(jìn)行過(guò)濾����。
所述過(guò)濾不符合前綴的訪問(wèn)數(shù)據(jù)具體為:利用輸入IPv4的前綴進(jìn)行具體分析,過(guò)濾不符合前綴的訪問(wèn)數(shù)據(jù)流量�����。
所述步驟2中�����,利用數(shù)據(jù)平滑���、數(shù)據(jù)概化��、離散化特征值技術(shù)對(duì)鏡像數(shù)據(jù)進(jìn)行預(yù)處理����。
下面以四川省電力公司營(yíng)銷系統(tǒng)防火墻的實(shí)例對(duì)本方案的方法進(jìn)行詳細(xì)說(shuō)明����。
如圖1所示��,因?yàn)榉阑饓Φ乃袛?shù)據(jù)都會(huì)經(jīng)過(guò)交換機(jī)��,在交換機(jī)上建立一旁路鏡像��,鏡像交換機(jī)對(duì)防火墻訪問(wèn)數(shù)據(jù)的實(shí)時(shí)采集后發(fā)送到鏡像流量采集服務(wù)器����,鏡像流量采集服務(wù)器對(duì)該數(shù)據(jù)進(jìn)行預(yù)處理并生成相應(yīng)的txt文件進(jìn)行存儲(chǔ)�,然后定時(shí)將數(shù)據(jù)傳送到分布式存儲(chǔ)器�����,完成數(shù)據(jù)采集���。
預(yù)處理主要采用數(shù)據(jù)平滑����、數(shù)據(jù)概化�����、離散化特征值等理論與技術(shù)進(jìn)行預(yù)處理��。
分析裝置根據(jù)MapReduce算法對(duì)數(shù)據(jù)進(jìn)行分析歸并以生成統(tǒng)計(jì)報(bào)表。整個(gè)分析過(guò)程被分為過(guò)濾非IPv4格式的訪問(wèn)流量��、過(guò)濾不符合前綴的訪問(wèn)數(shù)據(jù)���、提取訪問(wèn)涉及的兩個(gè)IP數(shù)據(jù)�����、對(duì)數(shù)據(jù)進(jìn)行歸并四大過(guò)程�����。
過(guò)濾非IPv4格式的訪問(wèn)流量即根據(jù)國(guó)網(wǎng)網(wǎng)絡(luò)分配要求���,IPv4格式的數(shù)據(jù)子網(wǎng)掩碼均為255.255.255.0,因此,可以將IPv4格式的數(shù)據(jù)歸并成掩碼為255.255.255.0的子網(wǎng)���,識(shí)別流量中格式為IPv4的數(shù)據(jù)�,然后將子網(wǎng)間的流量進(jìn)行歸并�,對(duì)非IPv4格式的訪問(wèn)流量進(jìn)行過(guò)濾,為進(jìn)一步驗(yàn)證提供基礎(chǔ)����。
過(guò)濾不符合前綴的訪問(wèn)數(shù)據(jù)即利用輸入IPv4的前綴進(jìn)行具體分析����,過(guò)濾不符合前綴的訪問(wèn)數(shù)據(jù)流量��。
根據(jù)客戶端輸入條件即提取訪問(wèn)設(shè)計(jì)的兩個(gè)IP數(shù)據(jù)�����,為數(shù)據(jù)歸并統(tǒng)計(jì)提供數(shù)據(jù)源�����。
對(duì)數(shù)據(jù)進(jìn)行歸即由于整個(gè)分析的中心思想即為數(shù)據(jù)歸并�,貫穿整個(gè)分析模型的計(jì)算框架即為MapReduce算法����。整個(gè)分析過(guò)程中共產(chǎn)生兩次mapreduce操作。第一次mapreduce操作是以獲取的鏡像文件中的網(wǎng)關(guān)為key值�,以所有IP為value值,進(jìn)行mapreduce操作后�,生成以255.255.255.0為網(wǎng)關(guān)的key1值,以IPv4為value1值��,作為下次進(jìn)行mapreduce操作的數(shù)據(jù)源;第二次mapreduce操作則是以255.255.255.0的網(wǎng)關(guān)為key值����,以IPv4為value值,與客戶端輸入的源IP條件�、目的IP條件、訪問(wèn)端口號(hào)進(jìn)行對(duì)比��,進(jìn)行map操作��,提取出符合條件的IP及端口信息��,最后通過(guò)reduce操作����,對(duì)源IP相同或目的IP相同的結(jié)果進(jìn)行歸并,統(tǒng)計(jì)出IP訪問(wèn)次數(shù)或被訪問(wèn)次數(shù)�,并生成統(tǒng)計(jì)報(bào)表。而該報(bào)表則會(huì)成為安全操作人員進(jìn)行正確配置防火墻策略的一個(gè)重要判斷依據(jù)���。
由于MapReduce計(jì)算框架中將涉及到shuffle操作����,而shuffle操作涉及到了大量的磁盤(pán)讀寫(xiě)和網(wǎng)絡(luò)傳輸���,故在傳統(tǒng)的Hadoop架構(gòu)下運(yùn)行會(huì)拖慢整個(gè)分析程序的執(zhí)行效率效率��。因此為了減小shuffle對(duì)程序執(zhí)行效率的影響����,在模型設(shè)計(jì)中,四川省電力公司加入了Spark分布式內(nèi)存計(jì)算技術(shù)����。由于Spark將大量的運(yùn)算過(guò)程都存放到內(nèi)存中計(jì)算,因此大幅度的減少了對(duì)磁盤(pán)的讀寫(xiě)操作����。從而提升了程序執(zhí)行效率。
以上所述的具體實(shí)施方式���,對(duì)本發(fā)明的目的��、技術(shù)方案和有益效果進(jìn)行了進(jìn)一步詳細(xì)說(shuō)明�,所應(yīng)理解的是�����,以上所述僅為本發(fā)明的具體實(shí)施方式而已���,并不用于限定本發(fā)明的保護(hù)范圍����,凡在本發(fā)明的精神和原則之內(nèi)���,所做的任何修改����、等同替換��、改進(jìn)等�,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。