[发明专利]一种基于基因式的防火墙规则异常处理优化方法

说明书

本发明涉及网络安全技术领域，公开的一种基于基因式的防火墙规则异常优化处理方法，首先通过树分析的结果快速找出防火墙规则异常，针对树叶节点中有异常区域进行优化；优化的第一个步骤先计算各规则与树的节点面积，第二步骤是利用面积算法更新各规则面积，当规则面积计算结果为0时，表示该规则为不匹配规则，并予以删除；第三步骤使用基因算法将剩余规则进行区块编码，编码结束之后，将基因相同之规则进行选择或是复制，直到所有规则优化结束。本发明能够将会产生规则异常的情况降至最低，达到优化的目的并设计可视化功能，同时将冗余的规则剔除掉，达到规则异常优化之目的。减少规则异常的情况发生，及对于优化规则的效能进行评估。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于基因式的防火墙规则异常处理优化方法。

背景技术

现今的网络已突破时间与空间的限制，为世界带来便利性，但所有事物都有一体两面，带来便利性的同时，也会发生一些安全上的隐忧。网络上的任意入侵攻击程序会让有心人士轻易破坏没有设置防护的网络或是设备；为避免此危害，网络防火墙是目前用来保护内部网络的设备之一，管理者设定防火墙管理政策(Firewall Policy)，正确对防火墙进行访问控制设定(Access Control Configuration)来防护内部网络避免来自外部的攻击。网络防火墙的保护措施是利用封包过滤(Packet filtering)方式，依据管理者订定的规则条件(Firewall rules)，将通过防火墙的封包进行检查，并依据规则的优先权(Order)加以比对，若符合设定的规则条件便执行处理行为(Action)，决定允许通过(Accept)或是丢弃(Drop)此封包。

防火墙有优先匹配(First Matching)特性，而当防火墙规则数目不断增加，大型企业防火墙通常有数万条以上的规则，管理者在制定防火墙规则政策时，容易产生规则互相抵触的情况，进而产生安全漏洞，此现象称为规则异常(Rule Anomaly)。防火墙规则异常有几种情况，通常依照规则之间的Action不同、分布范围与规则优先权分成五种：ShadowAnomaly、Redundancy Anomaly、Correlation Anomaly、Generalization Anomaly、NonAnomaly。

防火墙是网络中负责保护内部网络，为避免受到外界攻击之重要设备，防火墙中的规则设定与依序安排都需要谨慎的考虑与严谨的规划。因为防火墙的规则设定错误，会影响到网络上封包的管理出现漏洞，而造成网络安全的危险。因此，防火墙规则的布署变成一项困难与废时的工作。特别是大型企业的防火墙中，管理者需要根据当下流量的变化而变换防火墙中的规则设置。因此需要有效维护防火墙之策略安全。

防火墙规则的优化方式有许多种，第一种是改变规则之间的顺序，第二种则是移除多余的规则，以减少规则异常的部分。第一种在规则改变顺序时，若是没有仔细思考规则Action或是规则之间的作用影响，反而会造成更多的规则异常，举例来说，一个防火墙中有20条规则，其中有3条规则的比对成功机率较大，而这3条规则的顺序偏偏是防火墙中优先权最低的规则，当相关的封包进来防火墙，要进行条件比对时，必须将比对到最后一条规则才能比对成功，如此一来，会造成许多不必要的比对时间，但若是随意将规则的顺序更动，有可能会造成更多的防火墙规则异常。第二种是将多余规则移除，减少规则数量，以缩短封包的比对时间，多余的规则产生的异常情况包含Shadow Anomaly、Redundancy Anomaly。