[发明专利]一种车载防火墙策略智能生成方法及系统

说明书

本发明提供一种车载防火墙策略智能生成方法及系统，根据对网络日志文件进行日志信息的清洗和学习获得有效的通信信息；进而采用netfilter/iptables的语法，通过策略学习模块对通信信息进行学习，生成相应的防火墙策略，为了进一步提高所生成防火墙策略的适用性，采用策略调整模块进行防火墙策略结构上的调整，最终生成完整的包过滤防火墙策略文件，实现了防火墙策略的灵活生成和调整，大大降低编程成本，减少安全漏洞的出现。

技术领域

本发明涉及网络安全技术领域，尤其是涉及一种车载防火墙策略智能生成方法及系统。

背景技术

防火墙是一种保护计算机网络安全的技术性措施，它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络，以阻挡来自外部的网络入侵。防火墙策略是指防火墙所要参照的规定、规则、要求或者过滤条款，策略信息一般包括源IP地址、目的IP地址、协议、目的端口等信息。在构建系统的包过滤防火墙策略时，传统的方法是根据客户的需求手动地设计和编写防火墙策略，这也往往容易出现需求缺漏的情况，由于需求不完整而导致包过滤防火墙策略设计的不合理进而引发无法通信的问题；且人工设计和编写包过滤防火墙策略十分耗时，工作量大、效率低下，并且十分容易出现策略的语法问题和逻辑问题；此外，如果策略的设计者和编写者经验不足，容易导致包过滤防火墙策略的设计出现安全漏洞，增加系统被入侵的风险。

发明内容

针对上述现有技术中存在的问题，本发明提出了一种车载防火墙策略智能生成方法及系统，采用编程语言实现一个通过自动学习智能生成防火墙策略的工具，该工具可以根据系统的网络通信日志智能地进行学习，然后生成包过滤防火墙策略，从而满足用户端多种需求。

具体的，本发明所述的一种车载防火墙策略智能生成方法，包括以下步骤：

S1：在系统的网络功能启动之前，先对必须放行的网络数据包设置防火墙策略，然后设置打印网络数据包日志的防火墙策略；

S2：在系统的网络功能开启时，启动信息采集模块，所述信息采集模块每隔预设时间段进行读取日志文件，采集包过滤防火墙相关的日志信息；

S3：采用信息清洗模块对所述日志信息进行清洗，获得有效的通信信息；

S4：通过策略学习模块对通信信息进行学习，生成相应的防火墙策略，并归集至所属防火墙链中；

S5：策略调整模块对S4中所述防火墙策略进行结构上的调整，生成完整的包过滤防火墙策略文件。

所述通信信息至少包括：源端口信息、目的端口信息、源IP地址、目的IP地址、通讯协议、通讯网口、以及通讯流量大小信息。

所述S4至少还包括：

S41：判断所述源IP地址和所述目的IP地址是否是随机的，若是，继续判断所述源IP地址和所述目的IP地址是否属于预设范围值内，若属于，转S43；若不属于，则忽略当前所述源IP地址和所述目的IP地址；否则，转S43；

S42：判断所述源端口信息和所述目的端口信息是否是随机的，若是，继续判断所述源端口信息和所述目的端口信息是否属于预设范围值内，若属于，转S43；若不属于，则忽略当前所述源端口信息和所述目的端口信息；否则，转S43；

S43：使用netfilter/iptables的语法，将从所述S41和S42得到的所述源端口信息，所述目的端口信息，所述源IP地址和所述目的IP地址组合起来，再加上通讯协议参数和通讯网口参数，生成netfilter/iptables策略。

进一步的，所述S4至少还包括：

根据通讯流量的大小，使用netfilter/iptables语法设置通讯流量的阈值。

其中，所述通讯流量的阈值为：同一条日志信息出现的次数+同一条日志信息出现的次数*。