[发明专利]基于拉伸过滤的防火墙规则更新方法及其系统

权利要求书

1.基于拉伸过滤的防火墙规则更新方法，其特征在于，所述方法包括：

获取IP规则文本集；

对IP规则文本集进行识别与重构，获取对应的规则策略；

根据对应的规则策略，对某一安全层数下的某一输入端与某一输出端，基于拉伸过滤算法进行识别运算，获取并输出运算结果；

对IP规则文本集进行识别与重构，获取对应的规则策略的步骤，包括以下具体步骤：

对IP规则文本集进行过滤，去除不符合IP识别规则的文本；

对过滤后的IP规则文本集进行去重，去除重复的IP规则文本；

对去重后的IP规则文本集进行排序；

对排序后的IP规则文本集进行切割，并分配至编号为A～J数字组，以映射方式标记各数字组元素之间的关系，获取映射关系的数字组；

对同一映射关系的数字组进行重构，形成规则策略；

对同一映射关系的数字组进行重构，形成规则策略的步骤，包括以下具体步骤：

判断同一映射关系下编号为A～D与F～I的数字组中各数字组是否由0～255的全部数字组成或存在256；

若是，则标记该数字组为(-1，-1)元组；

若否，则用(a，b)元组表示从a开始到a+b但不包括a+b区间的数字；

判断同一映射关系下编号为E与J的数字组是否由10000～99999的全部数字组成或首位是0；

若是，则返回标记该数字组为(-1，-1)元组的步骤；

若否，则返回用(a，b)元组表示从a开始到a+b但不包括a+b区间的数字的步骤；

获取元素为(a，b)的元组集以及相关映射关系形成规则策略；

根据对应的规则策略，对某一安全层数下的某一输入端与某一输出端，基于拉伸过滤算法进行识别运算，获取并输出运算结果的步骤，包括以下具体步骤：

将规则策略分配至编号为A～J的计算单元内；

获取安全层级、输入IP地址以及输出IP地址的检测请求字串；

判断输入IP地址与输出IP地址是否存在于A～J的计算单元中任一计算单元的元组范围内；

若否，则以广播形式中断各计算单元的计算任务，并输出无有效路径消息；

若是，则检测E计算单元内的元组是否可满足F～J数字组中的任一数字组且迭代层数为1；

若是，则输出存在直连路径的消息；

若否，则选择性启动A～J计算单元进行迭代计算，并汇总各计算单元的计算结果。

2.根据权利要求1所述的基于拉伸过滤的防火墙规则更新方法，其特征在于，选择性启动A～J计算单元进行迭代计算，并汇总各计算单元的计算结果的步骤，包括以下具体步骤：

将编号为A～E计算单元与编号为F～J计算单元作为两个整体，区分出两个整体的元组内的要素组合；

标记两个整体的交集元组为边组、两个整体的非交集元组作各自的顶点组以及第一个顶点组为起始顶点组；

判断输入IP地址与端口是否不在A～E计算单元的起始顶点组或输出IP地址与端口不在F～J计算单元的起始顶点组；

若是，则结束计算任务并输出无有效路径的消息；

若否，将符合输入IP地址与端口所映射的F～J计算单元内的元组要素组合与符合输出IP地址与端口的A～E计算单元内的元组要素组合，重新组合成两个新的整体进行拉伸过滤迭代计算，重新计算出新的顶点组与边组；

判断在迭代计算中是否存在元素在边组或上一个顶点组或在起始顶点组；

若是，则结束计算任务；

输出相应的迭代次数与各整体随迭代生成的IP联结路径作为输出结果。

3.根据权利要求2所述的基于拉伸过滤的防火墙规则更新方法，其特征在于，输出相应的迭代次数与各整体随迭代生成的IP联结路径作为输出结果的步骤，包括以下具体步骤：

判断当前的迭代次数加1是否等于迭代层数；

若是，则输出存在有效路径，路径结果为A～E计算单元计算出的IP联结路径与F～J计算单元计算出的IP联结路径的有序化合并；

若否，则获取与迭代层数减1最接近的迭代次数结果；

输出存在相近有效路径，路径结果为A～E计算单元计算出的IP联结路径与F～J计算单元计算出的IP联结路径的有序化合并。