[发明专利]一种基于基因式的防火墙规则异常处理优化方法

权利要求书

1.一种基于基因式的防火墙规则异常优化处理方法，其特征是：首先通过Enhanced-ARAR树分析的结果快速找出防火墙规则异常，针对树叶节点中有异常区域进行优化；优化的第一个步骤先计算各规则与Enhanced-ARAR树的节点面积，第二步骤是利用面积算法更新各规则面积，当规则面积计算结果为0时，表示该规则为不匹配规则，并予以删除；第三步骤使用基因算法将剩余规则进行区块编码，编码结束之后，将基因相同之规则进行选择或是复制，直到所有规则优化结束；其步骤如下：

1)、计算各规则面积与Enhanced-ARAR树节点面积，

在进行规则优化之前，先将规则表中分类成每一个接口中的input或是output；防火墙interface 0中input规则，在进行规则优化之前，先计算规则中每一条规则之面积，其算法为规则中的S_IP长度乘上D_IP长度，同时计算由规则转换得Enhanced-ARAR树节点面积，节点面积也是由节点中的S_IP长度乘上D_IP长度，并记录节点中所存在的规则；

2)、删除不匹配规则

计算完各规则与Enhanced-ARAR树之节点面积后，通过下面流程，将所得到的规则总面积扣除规则存在树叶节点中不为第一条规则之节点面积，扫描完所有的树叶节点的所有规则后，当有规则的面积最后结果为0时，则删除该规则，同时删除Enhanced-ARAR树中存在的之规则；

第0000节点的R7不为第一条规则，因此规则总面积里R7之Total area扣除第0000节点中R7的面积；

第0001节点中，R3、R7不为该节点中的第一个规则，总面积里R3、R7的Total area扣除第0001节点中R3、R7的面积，当所有节点都扫描完之后，总面积里R8、R9的Total area为0，因此删除R8、R9，而其他规则的Total area皆不做任何变动，之后便完成更新规则面积；

3)、基因算法

上述删除不匹配规则之方法，是删除防火墙中的Shadow Rule，和Action相同，优先权较低，同时被包含的Redundancy Rule，至于若是要删除优先权较高，但被优先权低得规则包含的Redundancy Rule，则使用基因算法来删除，

基因算法(Genetic algorithms,GAs)，是一种用于搜寻近似最佳解的方法，基因算法中组成的元素有族群(population)、染色体(chromosomes)、基因(genetic)、与适应函数(fitness function)，分别介绍以下元素：

(1).族群：染色体组成的集合，初始族群是随机产生的；

(2).染色体：由基因编码组成的序列，编码方式为位串行(bitstring)，染色体代表一组完整的解，代表单一规则；

(3).基因：基因算法中的基本单位，编码过程有许多方式，二进制编码、实数编码、符号编码，代表规则的Action，若Action为Accept，基因设为1，反之设为0；

(4).适应函数：选择所需染色体的条件，就是环境中的“天择”，当适应函数数值越大表示染色体适应的程度越好；

基因算法依据这些元素，先确定染色体编码方式，而后随机产生族群，便完成族群初始化；再利用适应函数挑选出目前适合的个体；适合的个体再经由选择(selection)、交配(crossover)、突变(mutation)计算产生下一子代，直到设定的子代次数或是找到最佳解，满足这些终止条件才会停止演化；

其计算方式有三种，选择(selection)或复制(reproduction)、交配(crossover)、突变(mutation)，重复三种计算直到演化结束；

(1).选择或复制：复制或是选择较优良的染色体，并保留给下一代；

(2).交配：将两个挑选出的染色体，重新排列基因组合，产生出新的染色体；交配方式有三种：单点交配、双点交配、多点交配；

(3).突变：为偶然生发事件，发生机率很低；为某一条染色体的其中某些基因，基因值编码改变；交配方式有三种：单点突变、双点突变、多点突变；选择复制当作基因算法之计算；

a基因编码

在进行基因算法之前，须先做基因编码，编码方式是将S_IP和D_IP最大值除上当前的RSV值取整数，称为node_S_IP或node_D_IP，将node_S_IP和node_D_IP归类成ㄧ组，而第二次切割的编码值会编列在第一次切割编码值后面；node_S_IP切割方式，编码结束之后，各规则便在存在的编码位置填上基因，而定义为若试规则Action为Accept基因设为1，反之为0；直到最后一条规则填完，便完成规则编码；

b基因算法选择或复制

建立完基因编码之后，便开始针对优先权来选择染色体进行选择或复制的计算，若是遇到不相同染色体中的基因，便将两者的染色体保留，反之，若是遇到相同基因，则只复制优先权较低的染色体，删除优先权较高之染色体；

首先挑选到R0规则，R0规则在(11,00)、(11,01)有存在基因，所以比较(11,00)、(11,01)两个基因位置的编码；在(11,00)位置中R0与下一个基因，也就是R1基因比较，两条的规则基因不同，因此两个规则基因皆保留；因为(11,00)在已经比对完之后R0的基因保留，所以(11,01)中存在R0与R7的基因，这组基因是不需要比对了，最后R0规则被保留；

R0规则基因比较完之后，接着R1规则的基因比较；R1在(10,00)、(11,00)有存在基因，所以比较(10,00)、(11,00)中存在的基因；(10,00)中存在的基因有R1与R4的基因，R1与R4基因不相同，因此两个规则基因皆保留；而因为在(10,00)确定R1的基因已经被保留了，所以在(11,00)中存在R1与R7的基因，这组基因是不需要比对，最后R1规则被保留；

R1规则基因比较完之后，接着R2规则的基因比较，R2在(00,01)、(01,01)有存在基因，所以比较(00,01)、(01,01)中存在的基因，(00,01)中存在的基因有R2与R3的基因，R2与R3基因相同，但R3的优先权较低，因此保留R3的基因；而(01,01)中存在R2与R7的基因，R2与R7基因相同，但R7优先权较低，因此保留R7的基因，R2在(00,01)、(01,01)中的基因皆没有保留，因此R2规则就被删除；

R2删除完之后，依照优先权选到R3规则的基因比较；R3在(00,00)、(00,01)、(00,10)、(00,11)有存在基因，所以比较规则表(00,00)、(00,01)、(00,10)、(00,11)中的基因；(00,00)、(00,01)、(01,01)、(00,11)中存在的基因皆有R3与R7的基因，R3与R7基因相同，但R7的优先权较低，因此保留R7的基因；R3规则所有的基因都被淘汰，所以R3规则被删除；

重复上述步骤，直到选取至最后一条规则，便停止复制及选择，更新完的规则表，也就是产生的新子代；新的子代再依照刚刚上述算法重新操作直到找到最佳解或是设定的子代次数便停止演化。