基于防火墙的网络安全分析方法、系统及存储介质与流程

本发明涉及网络安全，具体为基于防火墙的网络安全分析方法、系统及存储介质。

背景技术：

1、防火墙作为网络安全的核心设备或软件，通过控制网络的进出流量，有效保护计算机或网络免受未经授权的访问和恶意攻击。它通过对数据包、连接请求等网络活动进行筛选和过滤，构建了一道安全屏障，阻止恶意行为进入网络；因此，针对防火墙的网络安全分析尤为重要；

2、传统防火墙主要通过设定外部边界来控制进出网络的流量，然而，随着网络技术的发展以及云计算、物联网和移动办公等新兴技术的广泛应用，企业的网络边界变得越来越模糊，外部和内部威胁的界限不再那么清晰；因此当攻击者已经进入网络内部或内部用户因疏忽泄露数据时，防火墙的效用大大降低；此外，防火墙缺乏对内部用户行为和设备之间通信等的深入监控，难以识别和防范内部的安全风险。

技术实现思路

1、本发明提供了基于防火墙的网络安全分析方法、系统及存储介质，用于解决上述的技术问题。

2、本发明第一方面提供了基于防火墙的网络安全分析方法，包括以下步骤：

3、step1：通过采集站内的各用户的行为数据、各设备的通信数据和各用户的历史登录信息，并将其进行保存；其中行为数据包括登录时刻、登录ip地址、操作次数以及每次操作对应的操作类型、操作数据和操作时长；通信数据包括流量、数据传输量、内存使用量和cpu负载；

4、step2：基于行为数据和通信数据分别对各用户和各设备进行细粒度安全分析以得到行为指数和通信指数，并将其发送至step3；

5、step3：基于用户的行为指数和设备的通信指数动态调整用户的访问模式和设备的通信模式，具体为：

6、调取各用户的行为指数，并将其与设定的行为区间进行比较分析，当行为指数大于设定的行为区间中的最大值时，则将该用户进行锁定处理，只能进行查询数据操作；当行为指数存在处于设定的行为区间中时，则将该用户的账户进行限制处理，只能进行查询数据和下载数据操作；当行为指数小于设定的行为区间中的最小值时，则无需进行任何限制，保持正常访问权限；

7、调取各设备的通信指数，并将其与设定的通信区间进行比较分析，当通信指数小于设定的通信区间中的最小值时，则将该设备记为安全设备；当通信指数处于设定的通信区间中时，则将该设备记为中度风险设备，并将其进行隔离处理，具体的隔离方式为：通过sdn将中度风险设备的通信流量重定向到安全设备以形成一个独立的逻辑子网中；当通信指数大于设定的通信区间中的最大值时，则将该设备记为高度风险设备，并控制该设备进入孤岛模式。

8、可选的，基于行为数据进行细粒度的安全分析的具体过程为：

9、201：调取各用户的行为数据，其中行为数据包括登录时刻、登录ip地址、操作次数以及每次操作对应的操作类型、操作数据和操作时长，并将操作时长记为tj，其中i＝1,2,3……j，j取值为正整数，j表示的是操作总类型，j表示的其中任意一种操作类型；

10、202：设定用户存在若干个时间段，每个时间段分别对应一个习惯系数，将用户此次登录的登录时刻与设定的各时间段进行比对以匹配到对应的习惯系数；设定账户登录若干个登录ip地址，每个ip地址分别对应一个置信系数，将用户此次登录的登录ip地址与设定的所有登录ip地址进行比对以匹配到对应的置信系数；

11、203：将用户每次操作的操作数据与用户进行关联分析得到操作风险值；

12、204：将习惯系数g1、置信系数g2和操作风险值ht通过设定的公式进行计算得到行为指数gh，其中f3、f4、f5分别为设定的比例系数；当完成一次登录行为时，则累计一次历史登录信息，其中历史登录信息包括历史登录时刻和、历史登录ip，并将其累计更新至服务器；

13、205：调取用户的历史登录信息，其中历史登录信息包括历史登录次数、历史登录时刻、历史登录ip；将一天二十四小时分为若干个时间段，将历史登录时刻与各时间段进行匹配，若历史登录时刻属于某一时间段时，则该时间段累计一次登录；由此可将历史登录次数分别累计至各时间段内；分别统计各时间段内的累次次数，并将其除以历史登录次数得到各时间段的次数占比；将各时间段的次数占比乘以设定的习惯转换系数得到习惯系数；

14、遍历历史登录次数以提取若干个ip地址，将每次登录的登录ip地址与所有ip地址进行匹配以得到每个ip地址的累计登录次数，并将其除以历史登录次数得到各ip地址的次数占比；将各ip地址的次数占比乘以设定的置信转换系数得到置信系数；

15、将各时间段的习惯系数和各ip地址的置信系数更新至202。

16、可选的，关联分析的具体过程为：

17、调取每次操作对应的操作数据，利用自然语言处理技术提取操作数据的若干个关键词，利用tf-idf技术得到每个关键词于操作数据中的重要分数；将用户的关键词与操作数据的关键词进行比较以得到交集关键词数量和并集关键词数量，并将其分别记为i和n；由此可得每个交集关键词对应的重要分数记为fi，其中i＝1,2,3……i，i取值为正整数，i表示的是交集关键词的总数，i表示的其中任意一个交集关键词；

18、将各交集关键词的重要分数与设定的分数区间进行比较分析以将重要分数对应的交集关键词分为重度关键词、中度关键词和轻度关键词，分别统计重度关键词、中度关键词和轻度关键词的数量，并将其分别记为h1、h2、h3；

19、将h1、h2、h3、i、n和fi代入设定的公式进行计算得到各操作数据与用户之间的关联度ha，其中分别为设定的比例系数，且a1＞a2＞a3＞0；由此可得各类型操作对应的关联度记为haj，并将其与对应的操作时长tj代入设定的公式进行计算得到操作风险值ht，其中为αj各类型操作对应的比例常数，f1、f2分别为设定的比例系数。

20、可选的，基于行通信数据进行细粒度的安全分析的具体过程为：

21、401：调取各设备于各采集时刻的通信数据，其中通信数据包括流量、数据传输量、内存使用量和cpu负载，并将其分别记为lk、ck、yk和zk，其中k＝1,2,3……k，k取值为正整数，k表示的是采集时刻的总数，k表示的是其中任意一个采集时刻的序号；

22、402：设定每个设备分别对应一个常规通信基线，其中常规通信基线包括预期流量、预期数据传输量、预期内存使用量和预期cpu负载，并将其分别记为ql、qc、qy和qz；

23、403：将lk、ck、yk、zk、ql、qc、qy和qz代入设定的公式进行计算得到各采集时刻的通信风险值zg，其中g1、g2、g3、g4分别为设定的比例系数；

24、403：以时间为横坐标，以通信风险值为纵坐标构建二维直角坐标系，按照通信风险值按照其对应的采集时刻于坐标轴中描点以得到若干个通信点，并将各通信点依次连接得到通信风险随着时间变化折线图，对通信风险随着时间变化折线图进行图形解析以得到通信指数。

25、可选的，对通信风险随着时间变化折线图进行图形解析的具体过程为：

26、计算相邻两个通信点组成的线段的斜率记为将大于零的斜率进行求和计算得到风险增加值记为a1，并将小于零的斜率进行求和计算得到风险减少值记为2；

27、将等于零的斜率记为平衡斜率，并将其对应的相邻两个采集时刻对应的通信风险值进行均值计算得到平衡值；由此可得各平衡斜率对应的平衡值；将各平衡值与设定的平衡区间进行比较分析以将各平衡值分为风险平衡、中风险平衡和轻风险平衡，分别统计高风险平衡、中风险平衡和轻风险平衡的数量，并将其分别记为p1、p2和p3；将各平衡值进行均值计算得到平衡均值记为p4；将p1、p2、p3和p4代入设定的公式进行计算得到平衡程度值pb，其中b1、b2、b3分别为设定的比例系数，且b1＞b2＞b3＞1；

28、将斜率风险增加值a1、风险减少值a2和平衡程度值pb通过设定的公式进行计算得到通信指数ap，其中h1、h2、h3分别为设定的比例系数，为各斜率均值。

29、本发明第二方面提供了基于防火墙的网络安全分析系统，该系统包括：服务器、安全分析模块和安全管控模块；

30、服务器通过采集站内的各用户的行为数据、各设备的通信数据和各用户的历史登录信息，并将其进行保存；其中行为数据包括登录时刻、登录ip地址、操作次数以及每次操作对应的操作类型、操作数据和操作时长；通信数据包括流量、数据传输量、内存使用量和cpu负载；

31、安全分析模块基于行为数据和通信数据分别对各用户和各设备进行细粒度安全分析以得到行为指数和通信指数，并将其发送至安全管控模块；

32、安全管控模块基于用户的行为指数和设备的通信指数动态调整用户的访问模式和设备的通信模式，具体为：

33、调取各用户的行为指数，并将其与设定的行为区间进行比较分析，当行为指数大于设定的行为区间中的最大值时，则将该用户进行锁定处理，只能进行查询数据操作；当行为指数存在处于设定的行为区间中时，则将该用户的账户进行限制处理，只能进行查询数据和下载数据操作；当行为指数小于设定的行为区间中的最小值时，则无需进行任何限制，保持正常访问权限；

34、调取各设备的通信指数，并将其与设定的通信区间进行比较分析，当通信指数小于设定的通信区间中的最小值时，则将该设备记为安全设备；当通信指数处于设定的通信区间中时，则将该设备记为中度风险设备，并将其进行隔离处理，具体的隔离方式为：通过sdn将中度风险设备的通信流量重定向到安全设备以形成一个独立的逻辑子网中；当通信指数大于设定的通信区间中的最大值时，则将该设备记为高度风险设备，并控制该设备进入孤岛模式。

35、本发明的第三方面提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述的基于防火墙的网络安全分析方法。

36、本发明提供的技术方案中，与现有技术相比，有益效果是：

37、1、通过对用户的行为数据和设备的通信数据进行细粒度安全分析以得到行为指数和通信指数，形成全面的安全评估，结合多个维度的数据，提供了一种全方位的分析方法；实现了细粒度监控，为防火墙的安全管控决策提供数据支持，有效提升了对潜在威胁的响应速度和准确性，确保了对异常行为和设备风险的实时监控；

38、2、通过对用户行为指数和设备通信指数的实时监控与分析，能够实现动态调整用户的访问模式和设备的通信模式，这种基于行为和通信风险的动态调整方式，大幅提升了系统的灵活性和应对潜在威胁的能力，确保在出现异常行为时能够迅速限制用户或设备的权限；整个过程基于自动化监控分析和动态调整，能够及时适应不断变化的安全形势，并结合行为监控和sdn技术实现对潜在攻击的快速响应和隔离，增强了整体防御能力。