本申请实施例提供了一种策略生成的方法及装置,涉及网络安全技术领域,该方法包括:通过预设的安全策略,对接收到的流量进行安全检测;针对每条安全策略,识别命中该安全策略的流量的应用类型;当接收到针对目标安全策略的第一查询指令时,根据识别出的命中目标安全策略的流量的目标应用类型、以及预设的应用类型和风险信息的对应关系,查询目标应用类型对应的目标风险信息,并根据目标风险信息确定待使用的目标安全防护动作;接收策略配置指令,策略配置指令用于指示使用目标安全防护动作对命中目标安全策略的流量进行DPI检测;生成包含目标安全防护动作的目标DPI策略,并关联目标安全策略与目标DPI策略。采用本申请可以提高策略配置的合理性。
A Method and Device for Policy Generation
【技术实现步骤摘要】
一种策略生成的方法及装置
本申请涉及网络安全
,特别是涉及一种策略生成的方法及装置。
技术介绍
随着信息技术的快速发展,网络应用正在从传统、小型业务系统逐渐向大型、关键业务系统扩展,网络所承载的数据应用也日益增加,呈现复杂化、多元化趋势。然而,网络在使得我们的工作和生活快捷、方便的同时也带来了许多安全问题,比如,信息泄露和计算机感染病毒等。为了保证数据内容的安全,人们通常会在网络设备(比如防火墙设备)中配置安全策略,比如,可以配置访问控制列表(英文:AccessControlList,简称:ACL)。网络设备可以通过配置的安全策略对报文进行安全检测,并根据检测结果对报文进行安全控制处理。例如,若检测结果为该报文是安全报文,则放行该报文,若检测结果为该报文是攻击报文,则丢弃该报文。为了提高安全检测的准确性,对于确定出的安全报文,可以进一步通过深度报文检测(英文:DeepPacketInspection,简称:DPI)技术进行安全检测。通过DPI技术可以实现多种安全防护动作,比如入侵防御、数据过滤和统一资源定位符(英文:UniformResourceLocator,简称:URL)过滤等。网络设置中可以预先配置安全策略和DPI策略的关联关系,每个DPI策略包含至少一个安全防护动作。这样,在某报文命中该安全策略后,可以进一步调用与该安全策略关联的DPI策略进行深度检测。然而,各DPI策略包含的安全防护动作是由技术人员根据经验配置的,策略配置的合理性可能较差。
技术实现思路
本申请实施例的目的在于提供一种策略生成的方法及装置,以提高策略配置的合理性。具体技术方案如下:第一方面,提供了一种策略生成的方法,所述方法包括:通过预设的安全策略,对接收到的流量进行安全检测;针对每条安全策略,识别命中该安全策略的流量的应用类型;当接收到针对目标安全策略的第一查询指令时,根据识别出的命中所述目标安全策略的流量的目标应用类型、以及预设的应用类型和风险信息的对应关系,查询所述目标应用类型对应的目标风险信息,并根据所述目标风险信息确定待使用的目标安全防护动作;接收策略配置指令,所述策略配置指令用于指示使用所述目标安全防护动作对命中所述目标安全策略的流量进行DPI检测;生成包含所述目标安全防护动作的目标DPI策略,并关联所述目标安全策略与所述目标DPI策略。可选的,所述识别命中该安全策略的流量的应用类型之后,还包括:针对识别出的每种应用类型,统计命中该安全策略、且属于该应用类型的流量的数据量;当接收到针对目标安全策略的第二查询指令时,显示命中所述目标安全策略、且属于所述目标应用类型的流量的数据量。可选的,所述关联所述目标安全策略与所述目标DPI策略,包括:在预设的安全策略和DPI策略的关联关系中,将与所述目标安全策略关联的DPI策略修改为所述目标DPI策略;或者,复制所述目标安全策略,设置复制的目标安全策略的匹配次序优先于原始的目标安全策略的匹配次序,并关联所述复制的目标安全策略与所述目标DPI策略。可选的,所述目标风险信息包括目标风险类型和目标风险等级;所述根据所述目标风险信息确定待使用的目标安全防护动作,包括:根据预先存储的风险类型、风险等级和安全防护动作的对应关系,确定与所述目标风险类型和目标风险等级对应的安全防护动作,将确定出的安全防护动作作为待使用的目标安全防护动作。可选的,所述根据所述目标风险信息确定待使用的目标安全防护动作,包括:显示所述目标风险信息;接收根据所述目标风险信息得到的安全防护动作的选择指令,将所述选择指令对应的安全防护动作确定为待使用的目标安全防护动作。第二方面,提供了一种策略生成的装置,所述装置包括:安全策略模块,用于通过预设的安全策略,对接收到的流量进行安全检测;深度报文检测DPI模块,用于针对每条安全策略,识别命中该安全策略的流量的应用类型;web模块,用于当接收到针对目标安全策略的第一查询指令时,触发所述DPI模块根据识别出的命中所述目标安全策略的流量的目标应用类型、以及预设的应用类型和风险信息的对应关系,查询所述目标应用类型对应的目标风险信息,并根据所述目标风险信息确定待使用的目标安全防护动作;所述web模块,还用于接收策略配置指令,所述策略配置指令用于指示使用所述目标安全防护动作对命中所述目标安全策略的流量进行DPI检测;所述DPI模块,还用于生成包含所述目标安全防护动作的目标DPI策略,并关联所述目标安全策略与所述目标DPI策略。可选的,所述装置还包括显示模块;所述安全策略模块,还用于针对识别出的每种应用类型,统计命中该安全策略、且属于该应用类型的流量的数据量;所述显示模块,用于当接收到针对目标安全策略的第二查询指令时,显示命中所述目标安全策略、且属于所述目标应用类型的流量的数据量。可选的,所述DPI模块,具体用于:在预设的安全策略和DPI策略的关联关系中,将与所述目标安全策略关联的DPI策略修改为所述目标DPI策略;或者,复制所述目标安全策略,设置复制的目标安全策略的匹配次序优先于原始的目标安全策略的匹配次序,并关联所述复制的目标安全策略与所述目标DPI策略。可选的,所述目标风险信息包括目标风险类型和目标风险等级;所述DPI模块,具体用于:根据预先存储的风险类型、风险等级和安全防护动作的对应关系,确定与所述目标风险类型和所述目标风险等级对应的安全防护动作,将确定出的安全防护动作作为待使用的目标安全防护动作。可选的,所述显示模块,用于显示所述目标风险信息;所述web模块,还用于接收根据所述目标风险信息得到的安全防护动作的选择指令,将所述选择指令对应的安全防护动作确定为待使用的目标安全防护动作并传输给所述DPI模块。第三方面,提供了一种网络设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;存储器,用于存放计算机程序;处理器,用于执行存储器上所存放的程序时,实现第一方面任一所述的方法步骤。第四方面,提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面任一所述的方法步骤。第五方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面所述的方法。本申请实施例提供的一种策略生成的方法及装置。其中,网络设备可以通过预设的安全策略,对接收到的流量进行安全检测。针对每条安全策略,网络设备可以识别命中该安全策略的流量的应用类型。当接收到针对目标安全策略的第一查询指令时,根据识别出的命中目标安全策略的流量的目标应用类型、以及预设的应用类型和风险信息的对应关系,查询目标应用类型对应的目标风险信息,并根据目标风险信息确定待使用的目标安全防护动作。然后,可以接收策略配置指令,该策略配置指令用于指示使用目标安全防护动作对命中目标安全策略的流量进行DPI检测,进而生成包含目标安全防护动作的目标DPI策略,并关联目标安全策略与目标DPI策略。这样,可以避免技术人员根据经验配置策略,提高了策略配置的合理性。当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述本文档来自技高网...
【技术保护点】
1.一种策略生成的方法,其特征在于,所述方法包括:通过预设的安全策略,对接收到的流量进行安全检测;针对每条安全策略,识别命中该安全策略的流量的应用类型;当接收到针对目标安全策略的第一查询指令时,根据识别出的命中所述目标安全策略的流量的目标应用类型、以及预设的应用类型和风险信息的对应关系,查询所述目标应用类型对应的目标风险信息,并根据所述目标风险信息确定待使用的目标安全防护动作;接收策略配置指令,所述策略配置指令用于指示使用所述目标安全防护动作对命中所述目标安全策略的流量进行DPI检测;生成包含所述目标安全防护动作的目标DPI策略,并关联所述目标安全策略与所述目标DPI策略。
【技术特征摘要】
1.一种策略生成的方法,其特征在于,所述方法包括:通过预设的安全策略,对接收到的流量进行安全检测;针对每条安全策略,识别命中该安全策略的流量的应用类型;当接收到针对目标安全策略的第一查询指令时,根据识别出的命中所述目标安全策略的流量的目标应用类型、以及预设的应用类型和风险信息的对应关系,查询所述目标应用类型对应的目标风险信息,并根据所述目标风险信息确定待使用的目标安全防护动作;接收策略配置指令,所述策略配置指令用于指示使用所述目标安全防护动作对命中所述目标安全策略的流量进行DPI检测;生成包含所述目标安全防护动作的目标DPI策略,并关联所述目标安全策略与所述目标DPI策略。2.根据权利要求1所述的方法,其特征在于,所述识别命中该安全策略的流量的应用类型之后,还包括:针对识别出的每种应用类型,统计命中该安全策略、且属于该应用类型的流量的数据量;当接收到针对目标安全策略的第二查询指令时,显示命中所述目标安全策略、且属于所述目标应用类型的流量的数据量。3.根据权利要求1所述的方法,其特征在于,所述关联所述目标安全策略与所述目标DPI策略,包括:在预设的安全策略和DPI策略的关联关系中,将与所述目标安全策略关联的DPI策略修改为所述目标DPI策略;或者,复制所述目标安全策略,设置复制的目标安全策略的匹配次序优先于原始的目标安全策略的匹配次序,并关联所述复制的目标安全策略与所述目标DPI策略。4.根据权利要求1所述的方法,其特征在于,所述目标风险信息包括目标风险类型和目标风险等级;所述根据所述目标风险信息确定待使用的目标安全防护动作,包括:根据预先存储的风险类型、风险等级和安全防护动作的对应关系,确定与所述目标风险类型和所述目标风险等级对应的安全防护动作,将确定出的安全防护动作作为待使用的目标安全防护动作。5.根据权利要求1所述的方法,其特征在于,所述根据所述目标风险信息确定待使用的目标安全防护动作,包括:显示所述目标风险信息;接收根据所述目标风险信息得到的安全防护动作的选择指令,将所述选择指令对应的安全防护动作确定为待使用的目标安全防护动作。6.一种策略生成的装置,其特征在于,所述装置包括:安全策略模块,用于通过预设的安全策略,对接收到的流量进行安全检测;深度报文检测DPI模块,用于针对每条安全策略,识别命中该安全策略的流量的应用类型;web模块,用于当接收到针对目标安全...
【专利技术属性】
技术研发人员:文强,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽,34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。