防火墙规则优化方法、装置、电子设备、介质及程序产品与流程

1.本公开实施例涉及数据安全技术领域，具体涉及一种防火墙规则优化方法、装置、电子设备、介质及程序产品。

背景技术：

2.防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障，从而实现对计算机不安全网络因素的阻断。防火墙依照其配置的网络安全规则，按序检测通过的数据包，防止非法数据入侵内部网络实现安全防护。随着互联网的发展，网络规模不断扩大，数据包日益增大，防火墙作为内、外网安全屏障，起到至关重要的安全作用。
3.随着防火墙的长期使用，配置的防火墙规则越积越多，一方面防火墙规则数量过多可能会导致防火墙的性能瓶颈；另一方面很多规则长期没有被命中，却没有一种行之有效的方法对其进行整理，久而久之，形成了一种恶性循环，冗余规则越积越多，但是仍然需要新增网络安全规则，因此目前亟需对防火墙规则进行优化。

技术实现要素：

4.为了解决相关技术中的问题，本公开实施例提供一种防火墙规则优化方法、装置、电子设备、介质及程序产品。
5.第一方面，本公开实施例中提供了一种防火墙规则优化方法。
6.具体的，所述防火墙规则优化方法，包括：
7.获取防火墙规则及其关联规则的规则信息，所述规则信息包括规则命中次数的时间序列、规则重要性和规则详情；
8.基于所述防火墙规则及其关联规则的规则信息对所述防火墙规则进行打分，得到所述防火墙规则的分值；
9.基于所述规则详情对防火墙中的多个防火墙规则进行聚类，得到至少一个聚类簇，每个聚类簇中包括至少一个防火墙规则；
10.基于所述聚类簇中的各防火墙规则的分值，对所述聚类簇进行排序；
11.按照各防火墙规则的分值及其所在聚类簇的排序进行综合打分，得到综合分值；
12.根据各防火墙规则的综合分值对防火墙规则进行清理。
13.在一种可能的实施方式中，所述基于所述防火墙规则及其关联规则的规则信息对所述防火墙规则进行打分，得到所述防火墙规则的分值，包括：
14.将所述防火墙规则及其关联规则的规则信息输入预设的评估模型，执行所述评估模型，得到所述防火墙规则对应的分值。
15.在一种可能的实施方式中，所述预设的评估模型包括时序特征提取层和输出层；所述将所述防火墙规则及其关联规则的规则信息输入预设的评估模型，执行所述评估模型，得到所述防火墙规则对应的分值，包括：
16.将所述防火墙规则及其关联规则的规则命中次数的时间序列输入所述时序特征
提取层，提取所述防火墙规则的时序特征；
17.基于所述防火墙规则的规则重要性和规则详情，获取所述防火墙规则的属性特征；
18.将所述防火墙规则的时序特征和属性特征拼接为所述防火墙规则拼接特征；
19.将所述防火墙规则拼接特征输入至所述输出层，得到所述输出层输出的所述防火墙规则对应的分值。
20.在一种可能的实施方式中，所述将所述防火墙规则的时序特征和属性特征拼接为所述防火墙规则拼接特征，包括：
21.将所述防火墙规则的时序特征和属性特征输入至所述权重特征提取层，得到所述权重特征提取层输出的时序权重特征和属性权重特征；
22.将所述时序权重特征和属性权重特征拼接为防火墙规则拼接特征。
23.在一种可能的实施方式中，所述方法还包括：
24.针对每个防火墙规则，按照所述防火墙规则中各规则参数的历史匹配失败次数，对所述防火墙规则中的各规则参数进行排序；
25.在匹配所述防火墙规则时，按照所述防火墙规则中各规则参数的排序依次进行匹配。
26.在一种可能的实施方式中，所述方法还包括：
27.对综合分值最低的n个防火墙规则进行合并，得到合并后的防火墙规则。
28.第二方面，本公开实施例中提供了一种防火墙规则清理装置。
29.具体的，所述防火墙规则清理装置，包括：
30.获取模块，被配置为获取防火墙规则及其关联规则的规则信息，所述规则信息包括规则命中次数的时间序列、规则重要性和规则详情；
31.第一打分模块，被配置为基于所述防火墙规则及其关联规则的规则信息对所述防火墙规则进行打分，得到所述防火墙规则的分值；
32.聚类模块，被配置为基于所述规则详情对防火墙中的多个防火墙规则进行聚类，得到至少一个聚类簇，每个聚类簇中包括至少一个防火墙规则；
33.第一排序模块，被配置为基于所述聚类簇中的各防火墙规则的分值，对所述聚类簇进行排序；
34.第二打分模块，被配置为按照各防火墙规则的分值及其所在聚类簇的排序进行综合打分，得到综合分值；
35.清理模块，被配置为根据各防火墙规则的综合分值对防火墙规则进行清理。
36.在一种可能的实施方式中，所述第一打分模块被配置为：
37.将所述防火墙规则及其关联规则的规则信息输入预设的评估模型，执行所述评估模型，得到所述防火墙规则对应的分值。
38.在一种可能的实施方式中，所述预设的评估模型包括时序特征提取层和输出层；所述第一打分模块中所述将所述防火墙规则及其关联规则的规则信息输入预设的评估模型，执行所述评估模型，得到所述防火墙规则对应的分值的部分配置为：
39.将所述防火墙规则及其关联规则的规则命中次数的时间序列输入所述时序特征提取层，提取所述防火墙规则的时序特征；
40.基于所述防火墙规则的规则重要性和规则详情，获取所述防火墙规则的属性特征；
41.将所述防火墙规则的时序特征和属性特征拼接为所述防火墙规则拼接特征；
42.将所述防火墙规则拼接特征输入至所述输出层，得到所述输出层输出的所述防火墙规则对应的分值。
43.在一种可能的实施方式中，所述第一打分模块中所述将所述防火墙规则的时序特征和属性特征拼接为所述防火墙规则拼接特征的部分配置为：
44.将所述防火墙规则的时序特征和属性特征输入至所述权重特征提取层，得到所述权重特征提取层输出的时序权重特征和属性权重特征；
45.将所述时序权重特征和属性权重特征拼接为防火墙规则拼接特征。
46.在一种可能的实施方式中，所述装置还包括：
47.第二排序模块，被配置为针对每个防火墙规则，按照所述防火墙规则中各规则参数的历史匹配失败次数，对所述防火墙规则中的各规则参数进行排序；
48.匹配模块，被配置为在匹配所述防火墙规则时，按照所述防火墙规则中各规则参数的排序依次进行匹配。
49.在一种可能的实施方式中，所述装置还包括：
50.合并模块，被配置为对综合分值最低的n个防火墙规则进行合并，得到合并后的防火墙规则。
51.第三方面，本公开实施例提供了一种电子设备，包括存储器和处理器，所述存储器用于存储一条或多条支持防火墙规则优化装置执行上述防火墙规则优化方法的计算机指令，所述处理器被配置为用于执行所述存储器中存储的计算机指令。所述防火墙规则优化装置还可以包括通信接口，用于防火墙规则优化装置与其他设备或通信网络通信。
52.第四方面，本公开实施例提供了一种计算机可读存储介质，用于存储防火墙规则优化装置所用的计算机指令，其包含用于执行上述防火墙规则优化方法为防火墙规则优化装置所涉及的计算机指令。
53.第五方面，本公开实施例提供了一种计算机程序产品，包括计算机程序/指令，其中，该计算机程序/指令被处理器执行时实现上述防火墙规则优化方法中的步骤。
54.根据本公开实施例提供的技术方案，可以获取防火墙规则及其关联规则的规则信息，基于所述防火墙规则及其关联规则的规则信息对所述防火墙规则进行打分，得到所述防火墙规则的分值；基于所述规则详情对防火墙中的多个防火墙规则进行聚类，得到至少一个聚类簇，每个聚类簇中包括至少一个防火墙规则；基于所述聚类簇中的各防火墙规则的分值，对所述聚类簇进行排序；按照各防火墙规则的分值及其所在聚类簇的排序进行综合打分，得到综合分值；根据各防火墙规则的综合分值对防火墙规则进行调整清理。如此，综合考虑防火墙规则及其关联规则的命中次数、重要性等信息，以及相似规则的命中次数、重要性等信息来对防火墙规则进行综合打分，根据各防火墙规则的综合分值对防火墙规则进行调整清理，避免了命中次数较低但较重要规则被清除，实现防火墙规则的精准清理。
55.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开实施例。
附图说明
56.结合附图，通过以下非限制性实施方式的详细描述，本公开实施例的其它特征、目的和优点将变得更加明显。在附图中：
57.图1a示出根据本公开一实施方式的防火墙规则优化方法的流程图；
58.图1b示出根据本公开一实施方式的评估模型的评估流程示意图；
59.图1c示出根据本公开一实施方式的防火墙规则优化方法的流程图；
60.图1d示出根据本公开一实施方式的防火墙规则优化方法的流程图；
61.图1e示出根据本公开一实施方式的防火墙规则优化方法的使用场景示意图；
62.图2示出根据本公开一实施方式的防火墙规则优化装置的结构框图；
63.图3示出根据本公开一实施方式的电子设备的结构框图；
64.图4是适于用来实现根据本公开一实施方式的防火墙规则优化方法的计算机系统的结构示意图。
具体实施方式
65.下文中，将参考附图详细描述本公开的示例性实施例，以使本领域技术人员可容易地实现它们。此外，为了清楚起见，在附图中省略了与描述示例性实施例无关的部分。
66.在本公开中，应理解，诸如“包括”或“具有”等的术语旨在指示本说明书中所公开的特征、数字、步骤、行为、部件、部分或其组合的存在，并且不欲排除一个或多个其他特征、数字、步骤、行为、部件、部分或其组合存在或被添加的可能性。
67.另外还需要说明的是，在不冲突的情况下，本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
68.在本公开中，对用户信息或用户数据的获取均为经用户授权、确认，或由用户主动选择的操作。
69.上文提及，防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障，从而实现对计算机不安全网络因素的阻断。防火墙依照其配置的网络安全规则，按序检测通过的数据包，防止非法数据入侵内部网络实现安全防护。随着互联网的发展，网络规模不断扩大，数据包日益增大，防火墙作为内、外网安全屏障，起到至关重要的安全作用。随着防火墙的长期使用，配置的防火墙规则越积越多，一方面防火墙规则数量过多可能会导致防火墙的性能瓶颈；另一方面很多规则长期没有被命中，却没有一种行之有效的方法对其进行整理，久而久之，形成了一种恶性循环，冗余规则越积越多，但是仍然需要新增网络安全规则，因此目前亟需对防火墙规则进行优化。
70.考虑到上述问题，本公开提出一种防火墙规则优化方法，该方法可以综合考虑防火墙规则及其关联规则的命中次数、重要性等信息，以及相似规则的命中次数、重要性等信息来对防火墙规则进行综合打分，根据各防火墙规则的综合分值对防火墙规则进行调整清理，避免了命中次数较低但较重要规则被清除，实现防火墙规则的精准清理。
71.图1a示出根据本公开一实施方式的防火墙规则优化方法的流程图，如图1a所示，所述防火墙规则优化方法包括以下步骤s101-s106：
72.在步骤s101中，获取防火墙规则及其关联规则的规则信息，所述规则信息包括规则命中次数的时间序列、规则重要性和规则详情；
73.在步骤s102中，基于所述防火墙规则及其关联规则的规则信息对所述防火墙规则进行打分，得到所述防火墙规则的分值；
74.在步骤s103中，基于所述规则详情对防火墙中的多个防火墙规则进行聚类，得到至少一个聚类簇，每个聚类簇中包括至少一个防火墙规则；
75.在步骤s104中，基于所述聚类簇中的各防火墙规则的分值，对所述聚类簇进行排序；
76.在步骤s105中，按照各防火墙规则的分值及其所在聚类簇的排序进行综合打分，得到综合分值；
77.在步骤s106中，根据各防火墙规则的综合分值对防火墙规则进行清理。
78.在本公开一实施方式中，所述防火墙规则优化方法适用于可执行防火墙规则清理的计算机、计算设备、电子设备、服务器、服务器集等。
79.在本公开一实施方式中，可以周期性获取各防火墙规则的规则信息，比如说可以通过syslog(系统日志)协议接收防火墙日志，从该防火墙日志中获取各个防火墙规则的规则命中时刻，进而统计得到各序列时间内各防火墙规则的规则命中次数，如当前时刻之前一天内各防火墙规则的规则命中次数，当前时刻之前一周内各防火墙规则的规则命中次数，当前时刻之前一月内各防火墙规则的规则命中次数，当前时刻之前半年内各防火墙规则的规则命中次数等等，如此即可得到各防火墙规则的规则命中次数的时间序列，该规则命中次数的时间序列可以反应长期和短期内各防火墙规则的命中情况。
80.在本公开一实施方式中，该规则重要性指的是该防火墙规则所防护的业务的重要性，比如说，防护病毒入侵的规则的重要性大于执行邮件过滤的规则的重要性，等等，各防火墙规则的重要性可以是本领域内专家基于经验和防火墙应用场景配置的。每个防火墙规则的重要性的取值区间可以是(0，1]。
81.在本公开一实施方式中，该防火墙规则的规则详情包括匹配条件和动作，示例的，该防火墙规则可以是允许内网10.1.1.0/24网段的pc访问internet，匹配条件是内网10.1.1.0/24网段的pc访问internet，动作为允许。
82.在本公开一实施方式中，防火墙规则的关联规则指的是主用链路与灾备链路上相同或相应的防火墙规则，如果没有发生灾备就不会使用灾备链路，该灾备链路上的防火墙规则的命中次数就是0，而主用链路上与该防火墙规则相同的关联规则的命中次数不为0，故为了避免该灾备链路上的防火墙规则的分值过低，打分不准确，造成灾备链路上的防火墙规则被误清理，故需要综合考虑防火墙规则及其关联规则的规则信息。
83.在本公开一实施方式中，在对防火墙规则进行打分时，可以综合分析防火墙规则的规则命中次数的时间序列、规则重要性和规则详情，以及该防火墙规则的关联规则的规则命中次数的时间序列、规则重要性和规则详情来对该防火墙规则进行打分，比如说防火墙规则的规则命中次数的时间序列中命中次数越多，则打分越高，重要性越高则打分也越高，其关联规则的命中次数越高、重要性越高，该防火墙规则的打分也越高。
84.在本公开一实施方式中，在对防火墙规则进行排序时不仅要考虑防火墙规则及其关联规则的命中情况和重要性，同时为了更精确地对防火墙规则进行排序，还需要参考相似防火墙规则的情况。故本实施方式可以基于各防火墙规则的规则详情，将这些防火墙规则中相似的防火墙规则聚为一类，得到多个聚类簇，每个聚类簇中的防火墙规则都是相似
的同一类防火墙规则。可以计算每个聚类簇中防火墙规则的平均分值，得到该聚类簇对应的分值，按照该聚类簇对应的分值进行排序，可以得到聚类簇排序。
85.在本公开一实施方式中，可以按照各防火墙规则的分值及其所在聚类簇的排序进行综合打分，得到综合分值；示例的，该防火墙规则的分值为p，其所在聚类簇的排序为n，可以得到综合分值该排序分值为p*a^n，其中，n为防火墙规则所在聚类簇的排序，a^n指的是a的n次方，a为经验值，可以根据实际情况进行调整，示例的，该a可以取值为0.9。
86.在本公开一实施方式中，可以将各防火墙规则按照综合得分从高到低进行综合排序，按照所述综合排序匹配防火墙规则，对于规则命中次数为0且排名靠后的规则进行禁用或者删除，如此清楚冗余规则，同时由于还参考了防火墙规则及其关联规则的重要性，以及相似规则的命中次数和重要性来对防火墙规则进行排序，也避免了命中次数较低但较重要规则被清除，实现防火墙规则的精准清理。
87.在一种可能的实施方式中，所述基于所述防火墙规则以及关联规则的规则信息对所述防火墙规则进行打分，得到所述防火墙规则的分值，包括：
88.将所述防火墙规则及其关联规则的规则信息输入预设的评估模型，执行所述评估模型，得到所述防火墙规则对应的分值。
89.在该实施方式中，该评估模型可以是一种深度神经网络模型，用于对防火墙规则及其关联规则的规则信息进行分析，得到该防火墙规则的评估结果即分值。
90.本实施方式中使用评估模型来对防火墙规则进行评估打分，打分更准确。
91.在一种可能的实施方式中，图1b示出根据本公开一实施方式的评估模型的评估流程示意图，如图1b所示，所述预设的评估模型包括时序特征提取层和输出层；所述将所述防火墙规则及其关联规则的规则信息输入预设的评估模型，执行所述评估模型，得到所述防火墙规则对应的分值，包括：
92.将所述防火墙规则及其关联规则的规则命中次数的时间序列输入所述时序特征提取层，提取所述防火墙规则的时序特征；
93.基于所述防火墙规则的规则重要性和规则详情，获取所述防火墙规则的属性特征；
94.将所述防火墙规则的时序特征和属性特征拼接为所述防火墙规则拼接特征；
95.将所述防火墙规则拼接特征输入至所述输出层，得到所述输出层输出的所述防火墙规则对应的分值。
96.在该实施方式中，该时序特征提取层用于提取防火墙规则及其关联规则的规则命中次数的时间序列中的时序特征，得到防火墙规则的时序特征，该时序特征提取层可以是rnn(recurrent neural networks，循环神经网络)模型，示例的，该时序特征提取层可以包括至少一层lstm(long short-term memory，长短期记忆)网络和池化层。
97.在该实施方式中，可以对所述防火墙规则的规则重要性和规则详情进行特征提取，得到所述防火墙规则的属性特征；然后，将防火墙规则的时序特征和属性特征拼接在一起形成所述防火墙规则拼接特征；最后将所述防火墙规则拼接特征输入至输出层，得到所述输出层输出的分值。
98.本实施方式中使用时序特征提取层来提取规则命中次数的时间序列中的时序特征，特征提取更准确，进而使得到的分值更准确。
99.在一种可能的实施方式中，所述将所述防火墙规则的时序特征和属性特征拼接为所述防火墙规则拼接特征，包括：
100.将所述防火墙规则的时序特征和属性特征输入至权重特征提取层，得到所述权重特征提取层输出的时序权重特征和属性权重特征；
101.将所述时序权重特征和属性权重特征拼接为防火墙规则拼接特征。
102.在该实施方式中，所述预设的评估模型还包括权重特征提取层，该权重特征提取层的输入是防火墙规则的时序特征和属性特征，输出为被赋予权重的时序特征和属性特征也即时序权重特征和属性权重特征。该权重特征提取层用于学习时序特征和属性特征的权重，得到的权重值用于表示该时序特征和属性重特征对该防火墙规则的分值的重要性，该权重特征提取层可以是决策树模型，输出的结果是时序特征及其权重值的乘积即时序权重特征、属性特征及其权重值的乘积即属性权重特征。
103.在该实施方式中，可以将所述时序权重特征和属性权重特征拼接为拼接特征，基于该拼接特征进行打分，对于重要性高的权重特征充分使用，使得打分更准确。
104.在一种可能的实施方式中，图1c示出根据本公开一实施方式的防火墙规则优化方法的流程图，如图1c所示，上述防火墙规则优化方法还可以包括以下步骤s107和s108：
105.在步骤s107中，针对每个防火墙规则，按照所述防火墙规则中各规则参数的历史匹配失败次数，对所述防火墙规则中的各规则参数进行排序；
106.在步骤s108中，在匹配所述防火墙规则时，按照所述防火墙规则中各规则参数的排序依次进行匹配。
107.在该实施方式中，针对每个防火墙规则，在进行匹配时会按照各规则参数的排序依次进行匹配，如果匹配成功则继续下一个规则参数的匹配，如果匹配失败则继续下一个防火墙规则的匹配。故为了提高防火墙规则的命中效率，每个防火墙规则中的规则参数可以按照各规则参数的历史匹配失败次数进行排序，即匹配失败次数越高的规则参数排在越前方，这样在匹配防火墙规则时，可以优先匹配失败次数最高的规则参数，如果匹配失败就可以快速进行下一个规则的匹配，这样排序可以提高每个防火墙规则的匹配失败的效率，快速进入下一个规则的匹配，进而提高防火墙规则的命中效率。
108.在一种可能的实施方式中，图1d示出根据本公开一实施方式的防火墙规则优化方法的流程图，如图1d所示，上述防火墙规则优化方法还可以包括以下步骤s109：
109.在步骤s109中，对综合分值最低的n个防火墙规则进行合并，得到合并后的防火墙规则。
110.在该实施方式中，对于综合分值最低的n个防火墙规则，由于这些防火墙规则都是些不重要且命中率较低的规则，为了减少规则的数量，从而减少数据包匹配防火墙规则的平均次数，达到提升防火墙过滤效率的目的，可以对这些规则进行合并，比如说，可以采用合并同类项的方式合并防火墙规则，假设该防火墙规则1为允许内网10.1.1.0/24网段的pc访问internet，该防火墙规则2允许内网10.1.1.0/25网段的pc访问internet，则可以合并成以下防火墙规则：允许内网10.1.1.0/24和10.1.1.0/25网段的pc访问internet。
111.本实施方式可以对综合分值最低的n个防火墙规则进行合并操作，将能够合并的防火墙规则合并在一起，这样可以减少规则数量，从而减少数据包匹配防火墙规则的平均次数，达到提升防火墙过滤效率的目的；同时由于合并的是综合分值最低的n个防火墙规
则，这些合并也不会影响综合分值高的防火墙规则的匹配。
112.示例的，图1e示出根据本公开一实施方式的防火墙规则优化方法的使用场景示意图，如图1e所示，防火墙设备11位于内部与外部网络之间，对内外的通信进行访问控制，该防火墙设备11可以按照上述实施方式中的方法对防火墙设备内存储的防火墙规则进行排序、清理、合并等优化操作，这样，内部网络与外部网络之间的网络通信数据都需要经过防火墙设备11，若内部网络的主机或服务器向外部网络发送通信数据，防火墙设备11可以对该通信数据使用优化的防火墙规则进行匹配，在匹配成功时，若匹配成功的防火墙规则的动作为允许，则该内部网络的主机或服务器发送的通信数据可以通过防火墙设备11到达该外部网络，若匹配成功的防火墙规则中动作为禁止，则拒绝该内部网络的主机或服务器发送至外部网络的该通信数据通过防火墙设备11。
113.下述为本公开装置实施例，可以用于执行本公开方法实施例。
114.图2示出根据本公开一实施方式的防火墙规则优化装置的结构框图，该装置可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。如图2所示，所述防火墙规则优化装置200包括：
115.获取模块201，被配置为获取防火墙规则及其关联规则的规则信息，所述规则信息包括规则命中次数的时间序列、规则重要性和规则详情；
116.第一打分模块202，被配置为基于所述防火墙规则及其关联规则的规则信息对所述防火墙规则进行打分，得到所述防火墙规则的分值；
117.聚类模块203，被配置为基于所述规则详情对防火墙中的多个防火墙规则进行聚类，得到至少一个聚类簇，每个聚类簇中包括至少一个防火墙规则；
118.第一排序模块204，被配置为基于所述聚类簇中的各防火墙规则的分值，对所述聚类簇进行排序；
119.第二打分模块205，被配置为按照各防火墙规则的分值及其所在聚类簇的排序进行综合打分，得到综合分值；
120.清理模块206，被配置为根据各防火墙规则的综合分值对防火墙规则进行清理。
121.在本公开一实施方式中，所述防火墙规则优化装置适用于可执行防火墙规则清理的计算机、计算设备、电子设备、服务器、服务器集等。
122.在本公开一实施方式中，可以周期性获取各防火墙规则的规则信息，比如说可以通过syslog(系统日志)协议接收防火墙日志，从该防火墙日志中获取各个防火墙规则的规则命中时刻，进而统计得到各序列时间内各防火墙规则的规则命中次数，如当前时刻之前一天内各防火墙规则的规则命中次数，当前时刻之前一周内各防火墙规则的规则命中次数，当前时刻之前一月内各防火墙规则的规则命中次数，当前时刻之前半年内各防火墙规则的规则命中次数等等，如此即可得到各防火墙规则的规则命中次数的时间序列，该规则命中次数的时间序列可以反应长期和短期内各防火墙规则的命中情况。
123.在本公开一实施方式中，该规则重要性指的是该防火墙规则所防护的业务的重要性，比如说，防护病毒入侵的规则的重要性大于执行邮件过滤的规则的重要性，等等，各防火墙规则的重要性可以是本领域内专家基于经验和防火墙应用场景配置的。每个防火墙规则的重要性的取值区间可以是(0，1]。
124.在本公开一实施方式中，该防火墙规则的规则详情包括匹配条件和动作，示例的，
该防火墙规则可以是允许内网10.1.1.0/24网段的pc访问internet，匹配条件是内网10.1.1.0/24网段的pc访问internet，动作为允许。
125.在本公开一实施方式中，防火墙规则的关联规则指的是主用链路与灾备链路上相同或相应的防火墙规则，如果没有发生灾备就不会使用灾备链路，该灾备链路上的防火墙规则的命中次数就是0，而主用链路上与该防火墙规则相同的关联规则的命中次数不为0，故为了避免该灾备链路上的防火墙规则的分值过低，打分不准确，造成灾备链路上的防火墙规则被误清理，故需要综合考虑防火墙规则及其关联规则的规则信息。
126.在本公开一实施方式中，在对防火墙规则进行打分时，可以综合分析防火墙规则的规则命中次数的时间序列、规则重要性和规则详情，以及该防火墙规则的关联规则的规则命中次数的时间序列、规则重要性和规则详情来对该防火墙规则进行打分，比如说防火墙规则的规则命中次数的时间序列中命中次数越多，则打分越高，重要性越高则打分也越高，其关联规则的命中次数越高、重要性越高，该防火墙规则的打分也越高。
127.在本公开一实施方式中，在对防火墙规则进行排序时不仅要考虑防火墙规则及其关联规则的命中情况和重要性，同时为了更精确地对防火墙规则进行排序，还需要参考相似防火墙规则的情况。故本实施方式可以基于各防火墙规则的规则详情，将这些防火墙规则中相似的防火墙规则聚为一类，得到多个聚类簇，每个聚类簇中的防火墙规则都是相似的同一类防火墙规则。可以计算每个聚类簇中防火墙规则的平均分值，得到该聚类簇对应的分值，按照该聚类簇对应的分值进行排序，可以得到聚类簇排序。
128.在本公开一实施方式中，可以按照各防火墙规则的分值及其所在聚类簇的排序进行综合打分，得到综合分值；示例的，该防火墙规则的分值为p，其所在聚类簇的排序为n，可以得到综合分值该排序分值为p*a^n，其中，n为防火墙规则所在聚类簇的排序，a^n指的是a的n次方，a为经验值，可以根据实际情况进行调整，示例的，该a可以取值为0.9。
129.在本公开一实施方式中，可以将各防火墙规则按照综合得分从高到低进行综合排序，按照所述综合排序匹配防火墙规则，对于规则命中次数为0且排名靠后的规则进行禁用或者删除，如此清楚冗余规则，同时由于还参考了防火墙规则及其关联规则的重要性，以及相似规则的命中次数和重要性来对防火墙规则进行排序，也避免了命中次数较低但较重要规则被清除，实现防火墙规则的精准清理。
130.在一种可能的实施方式中，所述第一打分模块202被配置为：
131.将所述防火墙规则及其关联规则的规则信息输入预设的评估模型，执行所述评估模型，得到所述防火墙规则对应的分值。
132.在该实施方式中，该评估模型可以是一种深度神经网络模型，用于对防火墙规则及其关联规则的规则信息进行分析，得到该防火墙规则的评估结果即分值。
133.本实施方式中使用评估模型来对防火墙规则进行评估打分，打分更准确。
134.在一种可能的实施方式中，所述预设的评估模型包括时序特征提取层和输出层；所述第一打分模块202中所述将所述防火墙规则及其关联规则的规则信息输入预设的评估模型，执行所述评估模型，得到所述防火墙规则对应的分值的部分配置为：
135.将所述防火墙规则及其关联规则的规则命中次数的时间序列输入所述时序特征提取层，提取所述防火墙规则的时序特征；
136.基于所述防火墙规则的规则重要性和规则详情，获取所述防火墙规则的属性特
征；
137.将所述防火墙规则的时序特征和属性特征拼接为所述防火墙规则拼接特征；
138.将所述防火墙规则拼接特征输入至所述输出层，得到所述输出层输出的所述防火墙规则对应的分值。
139.在该实施方式中，该时序特征提取层用于提取防火墙规则及其关联规则的规则命中次数的时间序列中的时序特征，得到防火墙规则的时序特征，该时序特征提取层可以是rnn(recurrent neural networks，循环神经网络)模型，示例的，该时序特征提取层可以包括至少一层lstm(long short-term memory，长短期记忆)网络和池化层。
140.在该实施方式中，可以对所述防火墙规则的规则重要性和规则详情进行特征提取，得到所述防火墙规则的属性特征；然后，将防火墙规则的时序特征和属性特征拼接在一起形成所述防火墙规则拼接特征；最后将所述防火墙规则拼接特征输入至输出层，得到所述输出层输出的分值。
141.本实施方式中使用时序特征提取层来提取规则命中次数的时间序列中的时序特征，特征提取更准确，进而使得到的分值更准确。
142.在一种可能的实施方式中，所述第一打分模块202中所述将所述防火墙规则的时序特征和属性特征拼接为所述防火墙规则拼接特征的部分配置为：
143.将所述防火墙规则的时序特征和属性特征输入至所述权重特征提取层，得到所述权重特征提取层输出的时序权重特征和属性权重特征；
144.将所述时序权重特征和属性权重特征拼接为防火墙规则拼接特征。
145.在该实施方式中，所述预设的评估模型还包括权重特征提取层，该权重特征提取层的输入是防火墙规则的时序特征和属性特征，输出为被赋予权重的时序特征和属性特征也即时序权重特征和属性权重特征。该权重特征提取层用于学习时序特征和属性特征的权重，得到的权重值用于表示该时序特征和属性重特征对该防火墙规则的分值的重要性，该权重特征提取层可以是决策树模型，输出的结果是时序特征及其权重值的乘积即时序权重特征、属性特征及其权重值的乘积即属性权重特征。
146.在该实施方式中，可以将所述时序权重特征和属性权重特征拼接为拼接特征，基于该拼接特征进行打分，对于重要性高的权重特征充分使用，使得打分更准确。
147.在一种可能的实施方式中，所述装置还包括：
148.第二排序模块，被配置为针对每个防火墙规则，按照所述防火墙规则中各规则参数的历史匹配失败次数，对所述防火墙规则中的各规则参数进行排序；
149.匹配模块，被配置为在匹配所述防火墙规则时，按照所述防火墙规则中各规则参数的排序依次进行匹配。
150.在该实施方式中，针对每个防火墙规则，在进行匹配时会按照各规则参数的排序依次进行匹配，如果匹配成功则继续下一个规则参数的匹配，如果匹配失败则继续下一个防火墙规则的匹配。故为了提高防火墙规则的命中效率，每个防火墙规则中的规则参数可以按照各规则参数的历史匹配失败次数进行排序，即匹配失败次数越高的规则参数排在越前方，这样在匹配防火墙规则时，可以优先匹配失败次数最高的规则参数，如果匹配失败就可以快速进行下一个规则的匹配，这样排序可以提高每个防火墙规则的匹配失败的效率，快速进入下一个规则的匹配，进而提高防火墙规则的命中效率。
151.在一种可能的实施方式中，所述装置还包括：
152.合并模块，被配置为对综合分值最低的n个防火墙规则进行合并，得到合并后的防火墙规则。
153.在该实施方式中，对于综合分值最低的n个防火墙规则，由于这些防火墙规则都是些不重要且命中率较低的规则，为了减少规则的数量，从而减少数据包匹配防火墙规则的平均次数，达到提升防火墙过滤效率的目的，可以对这些规则进行合并，比如说，可以采用合并同类项的方式合并防火墙规则，假设该防火墙规则1为允许内网10.1.1.0/24网段的pc访问internet，该防火墙规则2允许内网10.1.1.0/25网段的pc访问internet，则可以合并成以下防火墙规则：允许内网10.1.1.0/24和10.1.1.0/25网段的pc访问internet。
154.本实施方式可以对综合分值最低的n个防火墙规则进行合并操作，将能够合并的防火墙规则合并在一起，这样可以减少规则数量，从而减少数据包匹配防火墙规则的平均次数，达到提升防火墙过滤效率的目的；同时由于合并的是综合分值最低的n个防火墙规则，这些合并也不会影响综合分值高的防火墙规则的匹配。
155.本公开还公开了一种电子设备，图3示出根据本公开一实施方式的电子设备的结构框图。
156.如图3所示，所述电子设备300包括存储器301和处理器302；其中，所述存储器301用于存储一条或多条计算机指令，其中，所述一条或多条计算机指令被所述处理器302执行以实现上述方法步骤。
157.图4是适于用来实现根据本公开一实施方式的防火墙规则优化方法的计算机系统的结构示意图。
158.如图4所示，计算机系统400包括处理单元401，其可以根据存储在只读存储器(rom)402中的程序或者从存储部分408加载到随机访问存储器(ram)403中的程序而执行上述实施方式中的各种处理。在ram403中，还存储有系统400操作所需的各种程序和数据。处理单元401、rom402以及ram403通过总线404彼此相连。输入/输出(i/o)接口405也连接至总线404。
159.以下部件连接至i/o接口405：包括键盘、鼠标等的输入部分406；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分407；包括硬盘等的存储部分408；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分409。通信部分409经由诸如因特网的网络执行通信处理。驱动器410也根据需要连接至i/o接口405。可拆卸介质411，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器410上，以便于从其上读出的计算机程序根据需要被安装入存储部分408。其中，所述处理单元401可实现为cpu、gpu、tpu、fpga、npu等处理单元。
160.特别地，根据本公开的实施方式，上文描述的方法可以被实现为计算机软件程序。例如，本公开的实施方式包括一种计算机程序产品，其包括有形地包含在及其可读介质上的计算机程序，所述计算机程序包含用于执行所述防火墙规则优化方法的程序代码。在这样的实施方式中，该计算机程序可以通过通信部分409从网络上被下载和安装，和/或从可拆卸介质411被安装。
161.附图中的流程图和框图，图示了按照本公开各种实施方式的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，路程图或框图中的每个方框可以
代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
162.描述于本公开实施方式中所涉及到的单元或模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中，这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。
163.作为另一方面，本公开实施例还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施方式中所述装置中所包含的计算机可读存储介质；也可以是单独存在，未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序，所述程序被一个或者一个以上的处理器用来执行描述于本公开实施例的方法。
164.以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本公开实施例中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离所述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开实施例中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

技术特征：

1.一种防火墙规则优化方法，其特征在于，包括：获取防火墙规则及其关联规则的规则信息，所述规则信息包括规则命中次数的时间序列、规则重要性和规则详情；基于所述防火墙规则及其关联规则的规则信息对所述防火墙规则进行打分，得到所述防火墙规则的分值；基于所述规则详情对防火墙中的多个防火墙规则进行聚类，得到至少一个聚类簇，每个聚类簇中包括至少一个防火墙规则；基于所述聚类簇中的各防火墙规则的分值，对所述聚类簇进行排序；按照各防火墙规则的分值及其所在聚类簇的排序进行综合打分，得到综合分值；根据各防火墙规则的综合分值对防火墙规则进行清理。2.根据权利要求1所述的方法，其特征在于，所述基于所述防火墙规则及其关联规则的规则信息对所述防火墙规则进行打分，得到所述防火墙规则的分值，包括：将所述防火墙规则及其关联规则的规则信息输入预设的评估模型，执行所述评估模型，得到所述防火墙规则对应的分值。3.根据权利要求2所述的方法，其特征在于，所述预设的评估模型包括时序特征提取层和输出层；所述将所述防火墙规则及其关联规则的规则信息输入预设的评估模型，执行所述评估模型，得到所述防火墙规则对应的分值，包括：将所述防火墙规则及其关联规则的规则命中次数的时间序列输入所述时序特征提取层，提取所述防火墙规则的时序特征；基于所述防火墙规则的规则重要性和规则详情，获取所述防火墙规则的属性特征；将所述防火墙规则的时序特征和属性特征拼接为所述防火墙规则拼接特征；将所述防火墙规则拼接特征输入至所述输出层，得到所述输出层输出的所述防火墙规则对应的分值。4.根据权利要求3所述的方法，其特征在于，所述将所述防火墙规则的时序特征和属性特征拼接为所述防火墙规则拼接特征，包括：将所述防火墙规则的时序特征和属性特征输入至所述权重特征提取层，得到所述权重特征提取层输出的时序权重特征和属性权重特征；将所述时序权重特征和属性权重特征拼接为防火墙规则拼接特征。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：针对每个防火墙规则，按照所述防火墙规则中各规则参数的历史匹配失败次数，对所述防火墙规则中的各规则参数进行排序；在匹配所述防火墙规则时，按照所述防火墙规则中各规则参数的排序依次进行匹配。6.根据权利要求1所述的方法，其特征在于，所述方法还包括：对综合分值最低的n个防火墙规则进行合并，得到合并后的防火墙规则。7.一种防火墙规则优化装置，其特征在于，包括：获取模块，被配置为获取防火墙规则及其关联规则的规则信息，所述规则信息包括规则命中次数的时间序列、规则重要性和规则详情；第一打分模块，被配置为基于所述防火墙规则及其关联规则的规则信息对所述防火墙规则进行打分，得到所述防火墙规则的分值；
聚类模块，被配置为基于所述规则详情对防火墙中的多个防火墙规则进行聚类，得到至少一个聚类簇，每个聚类簇中包括至少一个防火墙规则；第一排序模块，被配置为基于所述聚类簇中的各防火墙规则的分值，对所述聚类簇进行排序；第二打分模块，被配置为按照各防火墙规则的分值及其所在聚类簇的排序进行综合打分，得到综合分值；清理模块，被配置为根据各防火墙规则的综合分值对防火墙规则进行清理。8.一种电子设备，包括存储器和至少一个处理器；其特征在于，所述存储器用于存储一条或多条计算机指令，其中，所述一条或多条计算机指令被所述至少一个处理器执行以实现权利要求1-6任一项所述的方法步骤。9.一种计算机可读存储介质，其特征在于，其上存储有计算机指令，该计算机指令被处理器执行时实现权利要求1-6任一项所述的方法步骤。10.一种计算机程序产品，其特征在于，包括计算机程序/指令，计算机程序/指令被处理器执行时实现权利要求1-6任一项所述的方法步骤。

技术总结

本公开实施例公开了一种防火墙规则优化方法、装置、电子设备、介质及程序产品，该方法包括：获取防火墙规则及其关联规则的规则信息，基于所述防火墙规则及其关联规则的规则信息对所述防火墙规则进行打分，得到所述防火墙规则的分值；基于所述规则详情对防火墙中的多个防火墙规则进行聚类，得到至少一个聚类簇，每个聚类簇中包括至少一个防火墙规则；基于所述聚类簇中的各防火墙规则的分值，对所述聚类簇进行排序；按照各防火墙规则的分值及其所在聚类簇的排序进行综合打分，得到综合分值；根据各防火墙规则的综合分值对防火墙规则进行调整清理。该技术方案能够对防火墙规则进行更准确的排序，进而更精准地清理冗余的防火墙规则。则。则。