[发明专利]防火墙洞察处理与机器学习

说明书

一种计算机实现的方法(600)使得数据处理硬件(204)执行训练防火墙利用模型(402)的操作。操作包括接收(602)在利用周期期间由防火墙接收的连接请求(28)的防火墙利用数据(352)。防火墙利用数据包括与至少一个防火墙规则(312)相关联的每个子规则(322)的命中计数。操作还包括基于防火墙利用数据生成(604)训练数据(432)。训练数据包括在利用周期期间没有命中的未使用子规则(432b)和在利用周期期间具有大于零命中的命中子规则(432a)。操作还包括在训练数据上训练(606)防火墙利用模型。操作还包括，对于与至少一个防火墙规则相关联的每个子规则，确定(608)相应的子规则利用概率(452)，相应的子规则利用概率指示子规则将被用于将来的连接请求的可能性。

技术领域

本公开涉及使用机器学习的防火墙洞察处理。

背景技术

虚拟私有云(Virtual Private Cloud，VPC)是在公共云环境内分配的共享计算资源的按需可配置池。VPC为用户提供与其他云用户的隔离。VPC可以执行一个或多个虚拟机(Virtual Machine，VM)，虚拟机(VM)可以经由虚拟专用网络(Virtual Private Network，VPN)与用户的内部(on-premises)网络或其它远程资源进行通信。由于VPC的潜在规模和复杂性，其可包括任何数目的VM，网络网关，负载均衡器等，因此操作和维护VPC常常需要大量的网络配置。例如，通常需要通过更新防火墙规则来优化防火墙配置。防火墙规则的复杂特性使得用户难以理解使用的规则以及这些规则的效果。这产生的一个问题是很难随时间维护防火墙规则。在操作环境改变时，曾经有意义的规则可能不再有用。

发明内容

本公开的一个方面提供了一种计算机实现的方法，当在数据处理硬件上执行时，该方法使数据处理硬件执行用于训练防火墙利用模型的操作。所述操作包括接收在利用周期期间由防火墙接收的连接请求的防火墙利用数据，所述防火墙利用数据包括在利用周期期间与至少一个防火墙规则相关联的子规则集合中的每个子规则的命中计数。所述操作还包括基于所述防火墙利用数据生成训练数据，所述训练数据包括与在所述利用周期期间没有命中的子规则相对应的未使用的子规则，以及与在所述利用周期期间具有多于零个命中的子规则相对应的命中子规则。操作还包括在训练数据上训练防火墙利用模型。所述操作还包括：对于与所述至少一个防火墙规则相关联的子规则集合中的每个子规则，使用经训练的防火墙利用模型来确定相应的子规则利用概率，所述相应的子规则利用概率指示所述子规则将被用于将来的连接请求的可能性。

本公开的方面可以包括一个或多个以下可选特征。在一些示例中，所述操作还包括：确定所述至少一个防火墙规则的防火墙属性分组，每个防火墙属性分组包括至少一个防火墙属性；以及基于所述防火墙属性分组确定与所述至少一个防火墙规则相关联的第一子规则集合。

在一些实施方式中，所述操作还包括接收与在所述利用周期期间由所述防火墙接收的连接请求相关联的多个防火墙日志。在一些配置中，操作包括基于过滤标准过滤多个防火墙日志。在一些示例中，操作包括确定与所述多个防火墙日志相关联的第二子规则集合，以及基于所述第一子规则集合和所述第二子规则集合生成所述利用数据。在一些实施方式中，所述防火墙属性分组包括源属性分组，目标属性分组，端口范围或因特网协议(IP)中的至少三个。在一些示例中，所述源属性分组包括源IP范围，源标签和源服务帐户。在一些配置中，目标属性分组包括目标标签和目标服务帐户。

在一些配置中，所述操作还包括从可达性模块接收防火墙可达性洞察，基于为每个子规则确定的相应子规则利用概率生成防火墙利用洞察，聚集所述防火墙可达性洞察和所述防火墙利用洞察，以及基于经聚集的防火墙可达性洞察和经聚集的防火墙利用洞察生成防火墙配置建议。在一些示例中，所述操作包括：确定所述利用期间未使用的防火墙规则属性；对于每个未使用的防火墙规则属性，聚合包括所述未使用的防火墙规则属性在内的所有子规则的子规则利用概率；以及基于经聚集的子规则概率确定属性在将来被命中的概率。