【技术实现步骤摘要】
策略编译方法、装置、电子设备及计算机存储介质
本申请涉及网络安全领域,特别涉及策略编译方法、装置、电子设备及计算机存储介质。
技术介绍
安全设备根据用户配置的安全策略处理接收到的报文。用户配置的安全策略数量众多,通常多达上万条。安全设备根据安全策略匹配时,基于安全策略的优先级,优先匹配位置靠前的安全策略。
技术实现思路
安全设备的某些策略条目的要求数量会很多,通常以万为单位,而且根据优先级的排序还有顺序要求。如果按照优先级顺序依次从数万计的策略条目中查找到对应的策略条目,查找效率非常低下。在这种情况下,为了提高查找效率,通常会将策略编译成可以快速找到相应第一条策略的一种树形结构。但是,本申请的专利技术人在研究中发现,策略编译在某些条件下(如,当某两维或者两维以上的策略的配置较离散,且规则数较多时)会非常耗时并占用大量内存,以导致修改策略不能及时生效。为了缓解此问题,通常是手动调整编译时叶子节点的最大规则数,从而可以调整拆分规则的次数,以加快匹配速度或编译速度。但手动调整只能是发现有此问题后才能实施,这样影响策略编译效率,且也不利于用户维护设备。有鉴于此,本申请提供策略...
【技术保护点】
1.一种策略编译方法,其特征在于,包括:获取最大内存值和最大节点数中的至少一个以及叶子节点的最大规则数;根据所述叶子节点的最大规则数对策略进行编译,在编译过程中,如果当前已申请的内存大于或等于所述最大内存值,和/或,如果当前已拆分出的节点数大于或等于所述最大节点数,停止编译;修改叶子节点的最大规则数;根据修改后的所述叶子节点的最大规则数重新对策略进行编译。
【技术特征摘要】
1.一种策略编译方法,其特征在于,包括:获取最大内存值和最大节点数中的至少一个以及叶子节点的最大规则数;根据所述叶子节点的最大规则数对策略进行编译,在编译过程中,如果当前已申请的内存大于或等于所述最大内存值,和/或,如果当前已拆分出的节点数大于或等于所述最大节点数,停止编译;修改叶子节点的最大规则数;根据修改后的所述叶子节点的最大规则数重新对策略进行编译。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:如果当前已申请的内存小于所述最大内存值以及当前已拆分出的节点数小于所述最大节点数,继续编译,直到编译完成。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:在停止编译后,释放之前编译过程中产生的数据。4.根据权利要求1-3中任一项所述的方法,其特征在于,所述修改叶子节点的最大规则数包括:将叶子节点的最大规则数增加2的倍数。5.根据权利要求1-3中任一项所述的方法,其特征在于,获取的所述叶子节点的最大规则数为上一次编译成功时最后使用的叶子节点的最大规则数。6.一种策略编译装置,其特征在于,包括:获取单元,用于获取最大内存值和最大节点数中的至少一个以及叶子节点的最大规则数;编译单元,用于根据所述叶子节点的最大规则数对策略进行编译,在编译过程中,如果当前已申请的内存大于或...
【专利技术属性】
技术研发人员:袁野,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。