[发明专利]防火墙的异常监测方法、装置及系统、电子设备

说明书

本发明公开了一种防火墙的异常监测方法、装置及系统、电子设备，涉及信息安全技术领域，其中，该方法包括：响应监控指令，运行对防火墙设备的监控脚本，其中，监控脚本按照异常检测规则对每台待监控的防火墙设备的运行状态进行监测，得到状态监测报告，异常检测规则是由历史过程中在防火墙设备发生运行异常后归纳得到的检测规则，每种防火墙设备对应设置一种监控脚本；基于状态监测报告以及防火墙设备的访问IP地址，对监测到的运行状态进行归类分析，得到异常分析报告。本发明解决了相关技术中无法对防火墙设备的异常问题进行有效监测，导致异常持续不断的技术问题。

技术领域

本发明涉及信息安全技术领域，具体而言，涉及一种防火墙的异常监测方法、装置及系统、电子设备。

背景技术

防火墙是网络安全的基础设备，无论是在网络的出口还是网络内部，都需要使用大量的防火墙设备来保证网络的安全。随着客户网络及应用场景复杂度的提升，防火墙在实际的应用场景中难免会出现一些难以复现的异常问题，这些问题如果未能有效及时的发现及提醒维护人员及时处理，很可能对用户业务造成极大地影响。

相关技术中，在进行防火墙设备的异常问题检测时，使用的方式，一种是入侵检测方法，例如，在对于车载以太网的入侵检测，是通过获取面向服务的数据交互中间件SOME/IP报文，若通过SOME/IP报文的预设检测流程确定SOME/IP报文存在异常，则确定以太网报文为入侵报文，其是通过SOME/IP报文的头部关键字段的格式的检测流程、SOME/IP报文的规则的检测流程和SOME/IP报文的会话状态的检测流程中至少一个检测流程进行入侵检测来判断以太报文是否为入侵报文。但是这种检测方式，存在明显的弊端：主要是通过报文解析来判断异常，缺少异常出现的原因的定位，跟踪，及分析手段。

另一组异常问题检测方式，使用规则比对方式，通过便携终端接入目标网络或目标防火墙设备进行探测，对存在的防火墙设备进行活性探测，再根据探测出的设备型号便携终端自动去命令库中读取对应的配置获取命令并获取防火墙的相应配置信息；基于所获取的信息，用从正确的规则库中获取到的信息和用命令读取的配置信息进行比对即可确定目标防火墙设备的配置是否正确，如若正确则结束本次检测，否则终端设备可以根据用户设定的规则进行自动修改，同时也支持用户手动修改防火墙配置。但是这种检测方式，也存在明显的弊端：虽然能够通过防火墙的相应配置信息与正确的规则库中获取到的信息进行对比的方式确定配置信息是否存在异常，并在存在异常的情况下修改异常的配置信息，并未涉及出现异常的问题原因跟踪和探究，这样容易加大人工成本和时间成本，设备在实际应用场景的可持续稳定性差。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种防火墙的异常监测方法、装置及系统、电子设备，以至少解决相关技术中无法对防火墙设备的异常问题进行有效监测，导致异常持续不断的技术问题。

根据本发明实施例的一个方面，提供了一种防火墙的异常监测方法，包括：响应监控指令，运行对防火墙设备的监控脚本，其中，所述监控脚本按照异常检测规则对每台待监控的防火墙设备的运行状态进行监测，得到状态监测报告，所述异常检测规则是由历史过程中在所述防火墙设备发生运行异常后归纳得到的检测规则，每种所述防火墙设备对应设置一种所述监控脚本；基于所述状态监测报告以及所述防火墙设备的访问IP地址，对监测到的运行状态进行归类分析，得到异常分析报告。

可选地，在响应监控指令，运行对防火墙设备的监控脚本之前，还包括：在检测到各类所述防火墙设备发生运行异常的情况下，获取预设历史时间段中发出的检测命令以及使用的异常问题匹配规则；在检测到各类所述防火墙设备发生运行异常的情况下，获取预设历史时间段中异常问题类型、异常问题描述信息以及对异常问题的处理建议；在检测到各类所述防火墙设备发生运行异常的情况下，获取预设历史时间段中对所述防火墙设备进行监测时使用的监控脚本；基于所述检测命令、所述异常问题匹配规则、所述异常问题类型、所述异常问题描述信息、所述对异常问题的处理建议以及所述监控脚本，构建监控配置表。