一种计算机网络防火墙开启方法和系统

1.本发明属于数据传输技术领域，尤其涉及一种计算机网络防火墙开启方法和系统。


背景技术：

2.网络防火墙是一种用来加强网络之间访问控制的特殊网络互联设备，计算机流入流出的所有网络通信均要经过此防火墙，防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。
3.防火墙还可以关闭不使用的端口，而且它还能禁止特定端口的流出通信，封锁木马，最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。
4.在当前的计算机网络当中，所有数据均需要通过网络防火墙进行识别和处理，因此数据处理量大，会造成数据传输时延增加。


技术实现要素：

5.本发明实施例的目的在于提供一种计算机网络防火墙开启方法，旨在解决数据处理量大，会造成数据传输时延增加的问题。
6.本发明实施例是这样实现的，一种计算机网络防火墙开启方法，所述方法包括：获取待验证数据和先验数据，所述先验数据提取于待验证数据，且包含验证字符串；从先验数据中解析得到字符串，根据字符串查询函数库，得到查询结果，所述查询结果包含数据提取函数；根据查询结果中的数据提取函数对待验证数据进行数据提取，得到特征数据；计算特征数据与先验数据之间的重合度，根据重合度确定网络防火墙防护等级，利用网络防火墙对待验证数据进行扫描。
7.优选的，所述从先验数据中解析得到字符串，根据字符串查询函数库，得到查询结果的步骤，具体包括：按照预设的提取数据长度从先验数据的预设位置截图得到字符串；根据字符串查询字符串核验表，若不存在匹配项，则视为数据身份异常，将网络防火墙防护等级设置为最高；在存在匹配项时，从函数库中调取相应的数据提取函数，生成查询结果。
8.优选的，所述根据查询结果中的数据提取函数对待验证数据进行数据提取，得到特征数据的步骤，具体包括：对字符串进行预处理，得到函数自变量；将函数自变量逐个输入到数据提取函数中，得到数据提取位置串码；根据数据提取位置串码对待验证数据进行数据提取，提取完成后，得到特征数据。
9.优选的，所述计算特征数据与先验数据之间的重合度，根据重合度确定网络防火
墙防护等级，利用网络防火墙对待验证数据进行扫描的步骤，具体包括：对特征数据和先验数据进行逐位比对，根据比对情况计算重合度；根据重合度查询防护等级表，确定当前重合度对应的防护等级；按照防护等级执行，对待验证数据进行扫描处理。
10.优选的，为每一个待验证数据确定相应的防护等级。
11.优选的，所述字符串由待验证数据的来源设备生成。
12.本发明实施例的另一目的在于提供一种计算机网络防火墙开启系统，所述系统包括：数据获取模块，用于获取待验证数据和先验数据，所述先验数据提取于待验证数据，且包含验证字符串；数据查询模块，用于从先验数据中解析得到字符串，根据字符串查询函数库，得到查询结果，所述查询结果包含数据提取函数；数据提取模块，用于根据查询结果中的数据提取函数对待验证数据进行数据提取，得到特征数据；防护等级计算模块，用于防火墙计算特征数据与先验数据之间的重合度，根据重合度确定网络防火墙防护等级，利用网络防火墙对待验证数据进行扫描。
13.优选的，所述数据查询模块包括：数据截取单元，用于按照预设的提取数据长度从先验数据的预设位置截图得到字符串；字符串核验单元，用于根据字符串查询字符串核验表，若不存在匹配项，则视为数据身份异常，将网络防火墙防护等级设置为最高；函数查询单元，用于在存在匹配项时，从函数库中调取相应的数据提取函数，生成查询结果。
14.优选的，所述数据提取模块包括：字符串预处理单元，用于对字符串进行预处理，得到函数自变量；串码生成单元，用于将函数自变量逐个输入到数据提取函数中，得到数据提取位置串码；特征提取单元，用于根据数据提取位置串码对待验证数据进行数据提取，提取完成后，得到特征数据。
15.优选的，所述防护等级计算模块包括：重合度计算单元，用于对特征数据和先验数据进行逐位比对，根据比对情况计算重合度；等级查询单元，用于根据重合度查询防护等级表，确定当前重合度对应的防护等级；数据扫描单元，用于按照防护等级执行，对待验证数据进行扫描处理。
16.本发明实施例提供的一种计算机网络防火墙开启方法，通过对待传输的数据进行提前抽取，从而实现对待传输的数据的提前审核，根据提前审核情况判定是否全面开启计算机网络防火墙，减少了数据处理量，避免了由于数据处理量大造成的时延高的问题。
附图说明
17.图1为本发明实施例提供的一种计算机网络防火墙开启方法的流程图；图2为本发明实施例提供的从先验数据中解析得到字符串，根据字符串查询函数库，得到查询结果的步骤的流程图；图3为本发明实施例提供的根据查询结果中的数据提取函数对待验证数据进行数据提取，得到特征数据的步骤的流程图；图4为本发明实施例提供的计算特征数据与先验数据之间的重合度，根据重合度确定网络防火墙防护等级，利用网络防火墙对待验证数据进行扫描的步骤的流程图；图5为本发明实施例提供的一种计算机网络防火墙开启系统的架构图；图6为本发明实施例提供的一种数据查询模块的架构图；图7为本发明实施例提供的一种数据提取模块的架构图；图8为本发明实施例提供的一种防护等级计算模块的架构图。
具体实施方式
18.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
19.可以理解，本技术所使用的术语“第一”、“第二”等可在本文中用于描述各种元件，但除非特别说明，这些元件不受这些术语限制。这些术语仅用于将第一个元件与另一个元件区分。举例来说，在不脱离本技术的范围的情况下，可以将第一xx脚本称为第二xx脚本，且类似地，可将第二xx脚本称为第一xx脚本。
20.如图1所示，为本发明实施例提供的一种计算机网络防火墙开启方法的流程图，所述方法包括：s100，获取待验证数据和先验数据，所述先验数据提取于待验证数据，且包含验证字符串。
21.在本步骤中，获取待验证数据和先验数据，所述待验证数据和先验数据均来自于数据数据源设备，如某个内部计算机设备（其产生的数据视为安全数据），该计算机设备在形成待验证数据时，调取预设的字符串，根据字符串确定对应的数据提取函数，根据数据提取函数对待验证数据进行提取，得到先验数据，字符串来源于字符串数据库，所述字符串数据库中包含有字符串和数据提取函数，并且字符串和数据提取函数之间具有对应关系，即一个字符串对应由一个数据提取函数。
22.s200，从先验数据中解析得到字符串，根据字符串查询函数库，得到查询结果，所述查询结果包含数据提取函数。
23.在本步骤中，从先验数据中解析得到字符串，在数据源设备发出数据时，直接将字符串附加在先验数据中的固定位置，如将字符串设置在先验数据的头部，在通过传输时，在抵达网络防火墙时，对先验数据的头部的字符串进行提取，在得到字符串之后，同样的，查询函数库，在函数库中，也存储有相应的字符串以及对应的数据提取函数，那么根据字符串即可确定得到对应的数据提取函数，查询结果中即包含了上述查询得到的数据提取函数，在无法查询得到对应的数据提取函数时，则说明字符串被篡改，那么视为当前数据被篡改，
网络防火墙直接以最高防护等级对待验证数据进行扫描，以保证安全性。
24.s300，根据查询结果中的数据提取函数对待验证数据进行数据提取，得到特征数据。
25.在本步骤中，根据查询结果中的数据提取函数对待验证数据进行数据提取，在数据传输过程中，若待验证数据没有被篡改，那么就能够保证数据的安全性，为了确定待验证数据是否被篡改，则需要对其进行验证，但是如果全面进行验证，则会导致数据处理量大，因此，在本步骤中，仅进行数据提取，从而得到特征数据，根据特征数据来判定数据是否被篡改。
26.s400，计算特征数据与先验数据之间的重合度，根据重合度确定网络防火墙防护等级，利用网络防火墙对待验证数据进行扫描。
27.在本步骤中，计算特征数据与先验数据之间的重合度，特征数据和先验数据均是直接来源于待验证数据的，不同的是，先验数据是来源于未经传输的待验证数据，而特征数据是来源于经过传输之后的待验证数据，那么若该待验证数据在传输过程中经过了篡改，那么最终提取得到的特征数据会与先验数据不同，通过计算重合度，以重合度表示两者之间的数据重合情况，重合度越低，说明数据篡改越严重，安全性月底，那么根据重合度即可设置不同的防护等级，根据该防护等级对待验证数据进行扫描处理，当重合度为100%时，则直接以最低防护等级对其进行扫描，也可以直接放行。
28.如图2所示，作为本发明的一个优选实施例，所述从先验数据中解析得到字符串，根据字符串查询函数库，得到查询结果的步骤，具体包括：s201，按照预设的提取数据长度从先验数据的预设位置截图得到字符串。
29.在本步骤中，确定提取数据长度，如预设的提取数据长度为十个字节，那么在进行截取时，则截取十个字节，将其作为字符串，截取位置也是预设的，如从先验数据的头部进行数据截取。
30.s202，根据字符串查询字符串核验表，若不存在匹配项，则视为数据身份异常，将网络防火墙防护等级设置为最高。
31.在本步骤中，根据字符串查询字符串核验表，在字符串核验表中记录有所有的字符串，并且每一个字符串对应的数据提取函数均记载在其中，因此，根据字符串可以查询得到对应的数据提取函数，若查询不到，则说明当前先验数据已经出现了变化，说明存在篡改，因此需要将网络防火墙防护等级设置为最高，直接对待验证数据进行扫描。
32.s203，在存在匹配项时，从函数库中调取相应的数据提取函数，生成查询结果。
33.在本步骤中，在存在匹配项时，从函数库中调取相应的数据提取函数，存在匹配项则说明当前的先验数据是安全的，没有被篡改，查询对应的数据提取函数即可。
34.如图3所示，作为本发明的一个优选实施例，所述根据查询结果中的数据提取函数对待验证数据进行数据提取，得到特征数据的步骤，具体包括：s301，对字符串进行预处理，得到函数自变量。
35.在本步骤中，对字符串进行预处理，按照预设的映射规则，将字符串映射为相应的函数自变量，如每次从字符串中截取两个字符01，查询映射规则，得到函数自变量a，a具体可以为数字1，从而确定所有的函数自变量。
36.s302，将函数自变量逐个输入到数据提取函数中，得到数据提取位置串码。
37.在本步骤中，将函数自变量逐个输入到数据提取函数中，输入一个函数自变量则得到一个因变量，将所有函数自变量都输入之后，则得到一系列因变量，该系列因变量即用于确定数据提取位置，即为数据提取位置串码。
38.s303，根据数据提取位置串码对待验证数据进行数据提取，提取完成后，得到特征数据。
39.在本步骤中，根据数据提取位置串码对待验证数据进行数据提取，如，数据提取位置串码包含内容为2、6和8，第三位数字8用于确定待验证数据被均分的段数，第二位数字6用于确定提取的字节数，第一位数字2用于确定提取数字的位置，其中偶数代表从分段数据的头部进行提取，奇数代表从分段数据的尾部进行提取，从而提取得到特征数据。
40.如图4所示，作为本发明的一个优选实施例，所述计算特征数据与先验数据之间的重合度，根据重合度确定网络防火墙防护等级，利用网络防火墙对待验证数据进行扫描的步骤，具体包括：s401，对特征数据和先验数据进行逐位比对，根据比对情况计算重合度。
41.在本步骤中，对特征数据和先验数据进行逐位比对，先对特征数据和先验数据进行对齐处理，具体的，识别特征数据和先验数据的头部数据和尾部数据，当两者头部数据相同时，则从头部对其，反正则从尾部对其，若头部尾部均无法对齐，则视为重合度为零，在对齐之后，逐位比对，并进行统计，若存在100位数据，有80个数据对应，则重合度为0.8。
42.s402，根据重合度查询防护等级表，确定当前重合度对应的防护等级。
43.s403，按照防护等级执行，对待验证数据进行扫描处理。
44.在本步骤中，根据重合度查询防护等级表，在防护等级表中，对重合度进行分区，如0-0.5，对应最高防护等级，0.5-0.8为中度防护等级，0.8-1为最低防护等级，根据查询得到的防护等级，利用网络防火墙进行执行，对待验证数据进行相应等级的扫描处理；为每一个待验证数据确定相应的防护等级，即得到一组待验证数据执行一次本发明公开的方法。
45.如图5所示，为本发明实施例提供的一种计算机网络防火墙开启系统，所述系统包括：数据获取模块100，用于获取待验证数据和先验数据，所述先验数据提取于待验证数据，且包含验证字符串。
46.在本系统中，数据获取模块100获取待验证数据和先验数据，所述待验证数据和先验数据均来自于数据数据源设备，如某个内部计算机设备（其产生的数据视为安全数据），该计算机设备在形成待验证数据时，调取预设的字符串，根据字符串确定对应的数据提取函数，根据数据提取函数对待验证数据进行提取，得到先验数据，字符串来源于字符串数据库，所述字符串数据库中包含有字符串和数据提取函数，并且字符串和数据提取函数之间具有对应关系，即一个字符串对应由一个数据提取函数。
47.数据查询模块200，用于从先验数据中解析得到字符串，根据字符串查询函数库，得到查询结果，所述查询结果包含数据提取函数。
48.在本系统中，数据查询模块200从先验数据中解析得到字符串，在数据源设备发出数据时，直接将字符串附加在先验数据中的固定位置，如将字符串设置在先验数据的头部，在通过传输时，在抵达网络防火墙时，对先验数据的头部的字符串进行提取，在得到字符串之后，同样的，查询函数库，在函数库中，也存储有相应的字符串以及对应的数据提取函数，
那么根据字符串即可确定得到对应的数据提取函数，查询结果中即包含了上述查询得到的数据提取函数，在无法查询得到对应的数据提取函数时，则说明字符串被篡改，那么视为当前数据被篡改，网络防火墙直接以最高防护等级对待验证数据进行扫描，以保证安全性。
49.数据提取模块300，用于根据查询结果中的数据提取函数对待验证数据进行数据提取，得到特征数据。
50.在本系统中，数据提取模块300根据查询结果中的数据提取函数对待验证数据进行数据提取，在数据传输过程中，若待验证数据没有被篡改，那么就能够保证数据的安全性，为了确定待验证数据是否被篡改，则需要对其进行验证，但是如果全面进行验证，则会导致数据处理量大，因此，在本步骤中，仅进行数据提取，从而得到特征数据，根据特征数据来判定数据是否被篡改。
51.防护等级计算模块400，用于防火墙计算特征数据与先验数据之间的重合度，根据重合度确定网络防火墙防护等级，利用网络防火墙对待验证数据进行扫描。
52.在本系统中，防护等级计算模块400计算特征数据与先验数据之间的重合度，特征数据和先验数据均是直接来源于待验证数据的，不同的是，先验数据是来源于未经传输的待验证数据，而特征数据是来源于经过传输之后的待验证数据，那么若该待验证数据在传输过程中经过了篡改，那么最终提取得到的特征数据会与先验数据不同，通过计算重合度，以重合度表示两者之间的数据重合情况，重合度越低，说明数据篡改越严重，安全性月底，那么根据重合度即可设置不同的防护等级，根据该防护等级对待验证数据进行扫描处理，当重合度为100%时，则直接以最低防护等级对其进行扫描，也可以直接放行。
53.如图6所示，作为本发明的一个优选实施例，所述数据查询模块200包括：数据截取单元201，用于按照预设的提取数据长度从先验数据的预设位置截图得到字符。
54.在本模块中，数据截取单元201确定提取数据长度，如预设的提取数据长度为十个字节，那么在进行截取时，则截取十个字节，将其作为字符串，截取位置也是预设的，如从先验数据的头部进行数据截取。
55.字符串核验单元202，用于根据字符串查询字符串核验表，若不存在匹配项，则视为数据身份异常，将网络防火墙防护等级设置为最高。
56.在本模块中，字符串核验单元202根据字符串查询字符串核验表，在字符串核验表中记录有所有的字符串，并且每一个字符串对应的数据提取函数均记载在其中，因此，根据字符串可以查询得到对应的数据提取函数，若查询不到，则说明当前先验数据已经出现了变化，说明存在篡改，因此需要将网络防火墙防护等级设置为最高，直接对待验证数据进行扫描。
57.函数查询单元203，用于在存在匹配项时，从函数库中调取相应的数据提取函数，生成查询结果。
58.在本模块中，函数查询单元203在存在匹配项时，从函数库中调取相应的数据提取函数，存在匹配项则说明当前的先验数据是安全的，没有被篡改，查询对应的数据提取函数即可。
59.如图7所示，作为本发明的一个优选实施例，所述数据提取模块300包括：字符串预处理单元301，用于对字符串进行预处理，得到函数自变量。
60.在本模块中，字符串预处理单元301对字符串进行预处理，按照预设的映射规则，将字符串映射为相应的函数自变量，如每次从字符串中截取两个字符01，查询映射规则，得到函数自变量a，a具体可以为数字1，从而确定所有的函数自变量。
61.串码生成单元302，用于将函数自变量逐个输入到数据提取函数中，得到数据提取位置串码。
62.在本模块中，串码生成单元302将函数自变量逐个输入到数据提取函数中，输入一个函数自变量则得到一个因变量，将所有函数自变量都输入之后，则得到一系列因变量，该系列因变量即用于确定数据提取位置，即为数据提取位置串码。
63.特征提取单元303，用于根据数据提取位置串码对待验证数据进行数据提取，提取完成后，得到特征数据。
64.在本模块中，特征提取单元303根据数据提取位置串码对待验证数据进行数据提取，如，数据提取位置串码包含内容为2、6和8，第三位数字8用于确定待验证数据被均分的段数，第二位数字6用于确定提取的字节数，第一位数字2用于确定提取数字的位置，其中偶数代表从分段数据的头部进行提取，奇数代表从分段数据的尾部进行提取，从而提取得到特征数据。
65.如图8所示，作为本发明的一个优选实施例，所述防护等级计算模块400包括：重合度计算单元401，用于对特征数据和先验数据进行逐位比对，根据比对情况计算重合度。
66.在本模块中，重合度计算单元401对特征数据和先验数据进行逐位比对，先对特征数据和先验数据进行对齐处理，具体的，识别特征数据和先验数据的头部数据和尾部数据，当两者头部数据相同时，则从头部对其，反正则从尾部对其，若头部尾部均无法对齐，则视为重合度为零，在对齐之后，逐位比对，并进行统计，若存在100位数据，有80个数据对应，则重合度为0.8。
67.等级查询单元402，用于根据重合度查询防护等级表，确定当前重合度对应的防护等级。
68.数据扫描单元403，用于按照防护等级执行，对待验证数据进行扫描处理。
69.在本模块中，根据重合度查询防护等级表，在防护等级表中，对重合度进行分区，如0-0.5，对应最高防护等级，0.5-0.8为中度防护等级，0.8-1为最低防护等级，根据查询得到的防护等级，利用网络防火墙进行执行，对待验证数据进行相应等级的扫描处理；为每一个待验证数据确定相应的防护等级，即得到一组待验证数据执行一次本发明公开的方法。
70.应该理解的是，虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
71.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一非易失性计算机可读取
存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器（rom）、可编程rom（prom）、电可编程rom（eprom）、电可擦除可编程rom（eeprom）或闪存。易失性存储器可包括随机存取存储器（ram）或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram（sram）、动态ram（dram）、同步dram（sdram）、双数据率sdram（ddrsdram）、增强型sdram（esdram）、同步链路（synchlink） dram（sldram）、存储器总线（rambus）直接ram（rdram）、直接存储器总线动态ram（drdram）、以及存储器总线动态ram（rdram）等。
72.以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
73.以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。
74.以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。