一种策略冗余的检测方法及装置制造方法及图纸

本申请提供一种策略冗余的检测方法及装置，所述方法包括：将目标安全策略组中的各预设字段预配置的对象组分别展开，并合并展开后得到的冗余对象；当所述冗余对象合并完成后，基于所述目标安全策略组中各预设字段对应的对象组的数量，将所述目标安全策略组拆分为若干条安全策略；其中，所述若干条安全策略的各预设字段分别对应唯一的对象组；然后遍历拆分出的所述若干条安全策略，基于预设策略检测所述若干条安全策略中的冗余安全策略。本申请技术方案可以有效地检测出安全策略中的冗余安全策略，以由用户针对冗余安全策略进行处理，提高了安全设备的可维护性和策略冗余关系的检测效率。

Method and device for detecting policy redundancy

The present invention provides a method and a device for detecting redundancy strategy, the method comprises the following steps: the target security strategy in the group the preset field of pre configured object group respectively, and combining the redundant object obtained after the merger; when the redundant object is completed, the number of the target object security strategy in each group the default field corresponds to the group based on the target security strategy group split into several security strategies; among them, the preset field and a plurality of security policy corresponding to group objects only; then traverse split out a plurality of security strategy, security strategy of redundant preset strategy and a plurality of safety detection based on the strategy. This application scheme can be redundant safely policy in effectively detect, by the user for the redundant security strategy for processing, to improve the safety of equipment maintenance detection efficiency and redundancy relations strategy.

【技术实现步骤摘要】

本申请涉及信息安全领域，特别涉及一种策略冗余的检测方法及装置。
技术介绍
安全设备根据用户配置的安全策略处理接收到的报文。用户配置的安全策略数量众多，通常多达上万条。安全设备根据安全策略匹配时，基于安全策略的优先级，优先匹配位置靠前的安全策略。然而，由于安全策略为长期积累，且数量众多，用户往往无法记住安全策略是否存在冗余，例如，优先级靠前的策略1为源IP：192.168.0.0/16，目的IP无限制，动作为丢包；新增的策略2为源IP192.168.1.0/24，目的IP无限制，动作为通过，如果策略2的优先级在策略1之后，则策略2无法生效。真实规则比上述举例更为复杂，因此，用户在维护安全设备，检测安全策略冗余时，工作量巨大，检测效率较低。
技术实现思路
有鉴于此，本申请提供一种策略冗余的检测方法及装置，用于快速有效地检测安全策略中的冗余安全策略，提高了安全设备的可维护性和策略冗余检测的检测效率。具体地，本申请是通过如下技术方案实现的：一种策略冗余的检测方法，应用于安全设备，所述安全设备预配置了若干条安全策略组，其中，所述安全策略组由若干预设字段构成；各预设字段分别对应若干待匹配的对象组；包括：将目标安全策略组中各预设字段预配置的对象组分别进行展开，并合并展开后得到的冗余对象；当所述冗余对象合并完成后，基于所述目标安全策略组中各预设字段对应的对象组的数量，将所述目标安全策略组拆分为若干条安全策略；其中，所述若干条安全策略的各预设字段分别对应唯一的对象组；遍历拆分出的所述若干条安全策略，基于预设策略检测所述若干条安全策略中的冗余安全策略。在所述策略冗余的检测方法中，所述方法还包括：当所述冗余对象合并完成后，将所述目标安全策略组中的IP对象组转换为标准的表示格式。在所述策略冗余的检测方法中，所述标准的表示格式，为IP+通配符的表示格式。在所述策略冗余的检测方法中，所述基于预设策略检测所述若干条安全策略中的冗余安全策略，包括：将所述若干条安全策略依次选定为目标安全策略；将所述目标安全策略与其它安全策略进行匹配；如果所述目标安全策略包含任一其它安全策略，记录所述目标安全策略与该其它安全策略的冗余关系。在所述策略冗余的检测方法中，所述方法还包括：在基于预设策略检测所述若干条安全策略中的冗余安全策略前，基于各安全策略的优先级，对所述若干条安全策略进行排序。一种策略冗余的检测装置，应用于安全设备，所述安全设备预配置了若干条安全策略组，其中，所述安全策略组由若干预设字段构成；各预设字段分别对应若干待匹配的对象组；包括：合并单元，用于将目标安全策略组中各预设字段预配置的对象组分别进行展开，并合并展开后得到的冗余对象；拆分单元，用于当所述冗余对象合并完成后，基于所述目标安全策略组中各预设字段对应的对象组的数量，将所述目标安全策略组拆分为若干条安全策略；其中，所述若干条安全策略的各预设字段分别对应唯一的对象组；检测单元，用于遍历拆分出的所述若干条安全策略，基于预设策略检测所述若干条安全策略中的冗余安全策略。在所述策略冗余的装置中，所述装置还包括：转换单元，用于当所述冗余对象合并完成后，将所述目标安全策略组中的IP对象组转换为标准的表示格式。在所述策略冗余的装置中，所述标准的表示格式，为IP+通配符的表示格式。在所述策略冗余的装置中，所述检测单元，进一步用于：将所述若干条安全策略依次选定为目标安全策略；将所述目标安全策略与其它安全策略进行匹配；如果所述目标安全策略包含任一其它安全策略，记录所述目标安全策略与该其它安全策略的冗余关系。在所述策略冗余的装置中，所述装置还包括：排列单元，用于在基于预设策略检测所述若干条安全策略中的冗余安全策略前，基于各安全策略的优先级，对所述若干条安全策略进行排序。在本申请实施例中，安全设备将目标安全策略组中的各预设字段预配置的对象组分别进行展开，并合并展开后得到的冗余对象，当所述冗余对象合并完成后，基于所述目标安全策略组中各预设字段对应的对象组的数量，将所述目标安全策略拆分为若干条安全策略，其中，所述若干条安全策略的各预设字段分别对应唯一的对象组；然后遍历拆分出的所述若干条安全策略，基于预设策略检测所述若干条安全策略中的冗余安全策略；由于在本申请实施例中，安全设备可以在目标安全策略组中包含若干待匹配的对象组的情况下，通过针对所述目标安全策略组进行内部去冗余的方式，对所述目标安全策略组的内部结构重新进行组织，并将所述目标安全策略拆分成为各预设字段分别对应唯一对象组的若干条安全策略，然后针对拆分后的各安全策略进行策略冗余检测；从而可以简化策略冗余检测，提高安全设备的可维护性和策略冗余检测的检测效率。附图说明图1是本申请示出的一种策略冗余的检测方法的流程图；图2是本申请示出的一种安全策略组的结构示意图；图3是本申请示出的另一种安全策略组的结构示意图；图4是本申请示出的一种安全策略的结构示意图；图5是本申请示出的一种策略冗余的检测装置的实施例框图；图6是本申请示出的一种策略冗余的检测装置的硬件结构图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案，并使本专利技术实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对现有技术方案和本专利技术实施例中的技术方案作进一步详细的说明。用户通常会根据网络中出现的攻击源和攻击方式，向安全设备配置相对应的安全策略。安全设备基于用户配置的安全策略处理接收到的报文。随着攻击源和攻击方式的变化，安全设备上被添加的安全策略的数量会越来越多，往往多达上万条。安全设备使用安全策略时，会首先选择优先级高的安全策略对接收到的报文进行匹配。用户往往无法完全清楚此前配置的全部安全策略，在后续添加新的安全策略时，新的安全策略可能因为优先级的问题，无法被匹配，造成策略冗余。由于安全策略是长期累积的，条目数量众多，难免出现策略冗余的情况，例如，优先级靠前的策略1为源IP：192.168.0.0/16，目的IP无限制，动作为丢包；新增的策略2为源IP192.168.1.0/24，目的IP无限制，动作为通过，如果策略2的优先级在策略1之后，则策略2无法生效。实际应用中，策略冗余的情况更为复杂，例如，一条安全策略配置时源IP可以引用不止一个IP对象或IP对象组，其中IP对象组可以根据IP+掩码、IP范围或者IP+通配符等表示格式来表示，不同的IP对象组中包括的IP对象可能存在重复、交叉等情况。安全策略中的其它预设字段，如目的IP、协议、端口号等，也可能出现类似的情况。其中，当一条安全策略的各预设字段分别对应若干待匹配的对象组时，可以将该安全策略视为一个安全策略组。因此，用户在维护安全设备，检测安全策略冗余时，会出现很多的重复检查，造成工作量巨大，检测效率低下。为解决上述问题，在本申请实施例中，将每个安全策略组内部的各预设字段中的对象组去冗余，再将去冗余后的安全策略组拆分为多条安全策略，然后遍历拆分出的所有安全策略，进而确定出策略冗余关系。参见图1，为本申请示出的一种策略冗余的检测方法的流程图，该实施例的执行主体是安全设备，该安全设备预配置了若干条安全策略组，其中，各安全策略组由若干个预设字段构成，各预设字段分别对应若干待匹配的对象组；所述方法包括以下步骤：步骤10本文档来自技高网...

【技术保护点】
一种策略冗余的检测方法，应用于安全设备，所述安全设备预配置了若干条安全策略组，其中，所述安全策略组由若干预设字段构成；各预设字段分别对应若干待匹配的对象组；其特征在于，包括：将目标安全策略组中各预设字段预配置的对象组分别进行展开，并合并展开后得到的冗余对象；当所述冗余对象合并完成后，基于所述目标安全策略组中各预设字段对应的对象组的数量，将所述目标安全策略组拆分为若干条安全策略；其中，所述若干条安全策略的各预设字段分别对应唯一的对象组；遍历拆分出的所述若干条安全策略，基于预设策略检测所述若干条安全策略中的冗余安全策略。

【技术特征摘要】
1.一种策略冗余的检测方法，应用于安全设备，所述安全设备预配置了若干条安全策略组，其中，所述安全策略组由若干预设字段构成；各预设字段分别对应若干待匹配的对象组；其特征在于，包括：将目标安全策略组中各预设字段预配置的对象组分别进行展开，并合并展开后得到的冗余对象；当所述冗余对象合并完成后，基于所述目标安全策略组中各预设字段对应的对象组的数量，将所述目标安全策略组拆分为若干条安全策略；其中，所述若干条安全策略的各预设字段分别对应唯一的对象组；遍历拆分出的所述若干条安全策略，基于预设策略检测所述若干条安全策略中的冗余安全策略。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：当所述冗余对象合并完成后，将所述目标安全策略组中的IP对象组转换为标准的表示格式。3.根据权利要求2所述的方法，其特征在于，所述标准的表示格式，为IP+通配符的表示格式。4.根据权利要求1所述的方法，其特征在于，所述基于预设策略检测所述若干条安全策略中的冗余安全策略，包括：将所述若干条安全策略依次选定为目标安全策略；将所述目标安全策略与其它安全策略进行匹配；如果所述目标安全策略包含任一其它安全策略，记录所述目标安全策略与该其它安全策略的冗余关系。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：在基于预设策略检测所述若干条安全策略中的冗余安全策略前，基于各安全策略的优先级，对所述若干条安全策略进行排序。6.一种策略冗余的...

【专利技术属性】
技术研发人员：袁野，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江;33