一种策略识别方法及装置制造方法及图纸

本申请提供了一种策略识别方法及装置，应用于安全业务管理平台，该安全业务管理平台用于纳管安全设备，该安全业务管理平台预先配置有多个安全策略；该方法包括：获取安全策略组，该安全策略组包括至少两个安全策略，且该安全策略组中的各个安全策略的优先级不同；从安全策略组中剔除满足不可用策略的检测条件的安全策略，得到目标安全策略组；根据目标安全策略组中的每个安全策略的五元组信息，判断任意两个安全策略是否属于包含关系或可合并关系；若属于包含关系则根据两个安全策略的优先级识别两个安全策略中的冗余策略；若属于可合并关系则对两个安全策略进行合并处理。从而在不依赖防火墙等安全设备情况下有效地识别出冗余的安全策略。

【技术实现步骤摘要】
一种策略识别方法及装置
本申请涉及网络安全
，尤其涉及一种策略识别方法及装置。
技术介绍
安全策略是一种部署在入侵防御系统(IntrusionPreventionSystem，IPS)或防火墙(FireWall，FW)上的用于对符合指定条件的报文执行指定动作的控制策略。安全策略的过滤条件为关于安全策略的五元组的相关条件，其中安全策略的五元组包括安全域、地址组、服务组、应用/应用组、时间段等。通过指定五元组的过滤条件匹配出特定的报文，并根据预先设定的策略动作对此报文进行处理。在安全业务管理平台上给IPS和FW配置安全策略时，根据不同阶段的需求，需要预设大量的安全策略也即在IPS或FW上配置大量的安全策略，然而在使用时往往不同安全策略之间可能存在功能重叠或互斥的情况，管理员无法用肉眼观察出哪些安全策略是有效的。目前的安全策略分析方法大多数依赖FW和IPS等安全设备，各厂家的FW和IPS仅支持简单的冗余分析功能，而且需要将所有的安全策略配置到FW和IPS安全设备上才能进行分析，不仅过于依赖FW和IPS，而且每个安全设备对安全策略的分析结果也可能不同，不便于安全业务管理平台统筹全局。而且每个安全设备的策略分析功能比较简单，分析规则过少无法深度检测配置项复杂的安全策略。因此，如何在不依赖防火墙等安全设备情况下，有效地对安全策略进行识别以识别出无用的安全策略是值得考虑的技术问题之一。
技术实现思路
有鉴于此，本申请提供一种策略识别方法及装置，用以在不依赖防火墙等安全设备情况下，有效地识别安全策略，以识别出无用的安全策略。具体地，本申请是通过如下技术方案实现的：根据本申请的第一方面，提供一种策略识别方法，应用于安全业务管理平台，所述安全业务管理平台用于纳管安全设备，所述安全业务管理平台预先配置有多个安全策略；所述方法，包括：获取安全策略组，所述安全策略组包括至少两个安全策略，且所述安全策略组中的各个安全策略的优先级不同；从所述安全策略组中剔除满足不可用策略的检测条件的安全策略，得到目标安全策略组；根据所述目标安全策略组中的每个安全策略的五元组信息，判断任意两个安全策略是否属于包含关系或可合并关系；若属于包含关系，则根据所述两个安全策略的优先级识别所述两个安全策略中的冗余策略；若属于可合并关系，则对所述两个安全策略进行合并处理。根据本申请的第二方面，提供一种报文处理装置，应用于安全业务管理平台，所述安全业务管理平台用于纳管安全设备，所述安全业务管理平台预先配置有多个安全策略；所述装置，包括：获取模块，用于获取安全策略组，所述安全策略组包括至少两个安全策略，且所述安全策略组中的各个安全策略的优先级不同；剔除模块，用于从所述安全策略组中剔除满足不可用策略的检测条件的安全策略，得到目标安全策略组；判断模块，用于根据所述目标安全策略组中的每个安全策略的五元组信息，判断任意两个安全策略是否属于包含关系或可合并关系；识别模块，用于若所述判断模块的判断结果为属于包含关系，则根据所述两个安全策略的优先级识别所述两个安全策略中的冗余策略；合并模块，用于若所述判断模块的判断结果为属于可合并关系，则对所述两个安全策略进行合并处理。根据本申请的第三方面，提供一种电子设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。根据本申请的第四方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本申请实施例第一方面所提供的方法。本申请实施例的有益效果：采用本实施例提供的策略识别方法，可以有效识别出安全策略中的冗余策略，也能够识别出安全设备识别不出来的冗余策略，以便于用户进行策略优化处理，进而减少了无用策略，达到了精简策略的目的，大大减少了运维工作同时提升了运维效率。附图说明图1是本申请实施例提供的一种策略识别方法的流程示意图；图2是本申请实施例提供的一种策略识别装置的结构示意图；图3是本申请实施例提供的实施策略识别方法的电子设备的硬件结构示意图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。下面对本申请提供的策略识别方法进行详细地说明。参见图1，图1是本申请提供的一种策略识别方法的流程图，该策略识别方法应用于安全业务管理平台，所述安全业务管理平台用于纳管安全设备，所述安全业务管理平台预先配置有多个安全策略；安全业务管理平台实施上述策略识别方法时可包括如下所示步骤：S101、获取安全策略组。其中，安全策略组包括至少两个安全策略，且所述安全策略组中的各个安全策略的优先级不同。具体地，用户在安全业务管理平台可以创建多个符合业务需求的安全策略，然后可以选择指定的一些安全策略构成一个安全策略组，然后为每个安全策略配置不同的优先级。需要说明的是，在构成安全策略组时，安全策略组中的安全策略可以按照优先级的先后顺序进行排列，当然也可以乱序排列。为了描述方便，本实施例中以安全策略组中的安全策略按优先级的先后顺序进行排列为例进行说明，即以安全策略组中排列的先后顺序决定安全策略的优先级，排在前面的安全策略的优先级高于排在后面的安全策略的优先级。实际应用中，用户可以配置一个或多个安全策略组，也即安全策略组的数量不进行限定。在获取到安全策略组后，安全策略的冗余分析则在该安全策略组中进行，通过识别出安全策略组中的冗余的安全策略，可以达到精简安全策略的目的。S102、从所述安全策略组中剔除满足不可用策略的检测条件的安全策略，得到目标安全策略组。本步骤中，上述不可用策略即使下发到安全设备上也是不可用的，因此可以将安全策略组中识别出的满足不可用策略的检测条件的安全策略确定为冗余策略。上述不可用策略可以但不限于包括空对象的安全本文档来自技高网...

【技术保护点】
1.一种策略识别方法，其特征在于，应用于安全业务管理平台，所述安全业务管理平台用于纳管安全设备，所述安全业务管理平台预先配置有多个安全策略；所述方法，包括：/n获取安全策略组，所述安全策略组包括至少两个安全策略，且所述安全策略组中的各个安全策略的优先级不同；/n从所述安全策略组中剔除满足不可用策略的检测条件的安全策略，得到目标安全策略组；/n根据所述目标安全策略组中的每个安全策略的五元组信息，判断任意两个安全策略是否属于包含关系或可合并关系；/n若属于包含关系，则根据所述两个安全策略的优先级识别所述两个安全策略中的冗余策略；/n若属于可合并关系，则对所述两个安全策略进行合并处理。/n

【技术特征摘要】
1.一种策略识别方法，其特征在于，应用于安全业务管理平台，所述安全业务管理平台用于纳管安全设备，所述安全业务管理平台预先配置有多个安全策略；所述方法，包括：
获取安全策略组，所述安全策略组包括至少两个安全策略，且所述安全策略组中的各个安全策略的优先级不同；
从所述安全策略组中剔除满足不可用策略的检测条件的安全策略，得到目标安全策略组；
根据所述目标安全策略组中的每个安全策略的五元组信息，判断任意两个安全策略是否属于包含关系或可合并关系；
若属于包含关系，则根据所述两个安全策略的优先级识别所述两个安全策略中的冗余策略；
若属于可合并关系，则对所述两个安全策略进行合并处理。


2.根据权利要求1所述的方法，其特征在于，从所述安全策略组中剔除满足不可用策略的检测条件的安全策略，包括：
针对所述安全策略组的每个安全策略，若该安全策略的至少一个过滤条件对应的内容为空，则确定该安全策略为满足不可用策略的检测条件的安全策略，则从所述安全策略组中剔除该安全策略，并确定该安全策略为冗余策略；或者，
针对所述安全策略组的每个安全策略，若该安全策略未启用，则确定该安全策略为满足不可用策略的检测条件的安全策略，则从所述安全策略组中剔除该安全策略，并确定该安全策略为冗余策略。


3.根据权利要求1所述的方法，其特征在于，
根据所述目标安全策略组中的每个安全策略的五元组信息，判断任意两个安全策略是否属于包含关系，包括：
若所述两个安全策略的五元组信息均满足五元组信息对应的包含关系检测条件，则确定所述两个安全策略属于包含关系；
根据所述目标安全策略组中的每个安全策略的五元组信息，判断任意两个安全策略是否属于可合并关系，包括：
若所述两个安全策略的五元组信息中仅有一项五元组信息不满足该五元组信息对应的可合并关系检测条件，则确认所述两个安全策略属于可合并关系。


4.根据权利要求3所述的方法，其特征在于，所述五元组信息包括地址组，则
按照下述方法判断所述两个安全策略的五元组信息是否满足五元组信息对应的包含关系检测条件或可合并关系检测条件：
分别将两个安全策略的地址组的地址区间进行合并处理，得到第一地址区间和第二地址区间；
若所述第一地址区间与所述第二地址区间具有包含关系，则确定所述两个安全策略的地址组满足地址组对应的包含关系检测条件；
若所述第一地址区间与所述第二地址区间相同，则确定所述两个安全策略的地址组满足地址组对应的可合并关系检测条件；
若所述第一地址区间与所述第二地址区间不相同且不具有包含关系，则确定所述两个安全策略的地址组不满足地址组对应的可合并关系检测条件。


5.根据权利要求3所述的方法，其特征在于，所述五元组信息包括安全域，则
按照下述方法判断所述两个安全策略的五元组信息是否满足五元组信息对应的包含关系检测条件或可合并关系检测条件：
分别对所述两个安全策略的安全域所包括的接口信息进行合并处理，得到第一接口集合和第二接口集合；
若所述第一接口集合与所述第二接口集合具有包含关系，则确定所述两个安全策略的安全域满足安全域对应的包含关系检测条件；
若所述第一接口集合与所述第二接口集合相同，则确定所述两个安全策略的安全域满足安全域对应的可合并检测条件；
若所述第一接口集合与所述第二接口集合不相同且不具有包含关系，则确定所述两个安全策略的安全域不满足安全域对应的可合并检测条件。


6.根据权利要求3所述的方法，其特征在于，所述五元组信息包括服务组，则
按照下述方法判断所述两个安全策略的五元组信息是否满足五元组信息对应的包含关系检测条件或可合并关系检测条件：
分别对所述两个安全策略的服务组所包括的端口范围进行合并处理，得到第一端口区间和第二端口区间；
若所述第一端口区间与所述第二端口...

【专利技术属性】
技术研发人员：鲍越，
申请(专利权)人：新华三信息安全技术有限公司，
类型：发明
国别省市：安徽;34