【技术实现步骤摘要】
一种策略识别方法及装置
本申请涉及网络安全
,尤其涉及一种策略识别方法及装置。
技术介绍
安全策略是一种部署在入侵防御系统(IntrusionPreventionSystem,IPS)或防火墙(FireWall,FW)上的用于对符合指定条件的报文执行指定动作的控制策略。安全策略的过滤条件为关于安全策略的五元组的相关条件,其中安全策略的五元组包括安全域、地址组、服务组、应用/应用组、时间段等。通过指定五元组的过滤条件匹配出特定的报文,并根据预先设定的策略动作对此报文进行处理。在安全业务管理平台上给IPS和FW配置安全策略时,根据不同阶段的需求,需要预设大量的安全策略也即在IPS或FW上配置大量的安全策略,然而在使用时往往不同安全策略之间可能存在功能重叠或互斥的情况,管理员无法用肉眼观察出哪些安全策略是有效的。目前的安全策略分析方法大多数依赖FW和IPS等安全设备,各厂家的FW和IPS仅支持简单的冗余分析功能,而且需要将所有的安全策略配置到FW和IPS安全设备上才能进行分析,不仅过于依赖FW和IPS,而且每个安全设备对安全策略的分析结果也可能不同,不便于安全业务管理平台统筹全局。而且每个安全设备的策略分析功能比较简单,分析规则过少无法深度检测配置项复杂的安全策略。因此,如何在不依赖防火墙等安全设备情况下,有效地对安全策略进行识别以识别出无用的安全策略是值得考虑的技术问题之一。
技术实现思路
有鉴于此,本申请提供一种策略识别方法及装置,用以在不依赖防火墙等安全设备情况下,有 ...
【技术保护点】
1.一种策略识别方法,其特征在于,应用于安全业务管理平台,所述安全业务管理平台用于纳管安全设备,所述安全业务管理平台预先配置有多个安全策略;所述方法,包括:/n获取安全策略组,所述安全策略组包括至少两个安全策略,且所述安全策略组中的各个安全策略的优先级不同;/n从所述安全策略组中剔除满足不可用策略的检测条件的安全策略,得到目标安全策略组;/n根据所述目标安全策略组中的每个安全策略的五元组信息,判断任意两个安全策略是否属于包含关系或可合并关系;/n若属于包含关系,则根据所述两个安全策略的优先级识别所述两个安全策略中的冗余策略;/n若属于可合并关系,则对所述两个安全策略进行合并处理。/n
【技术特征摘要】
1.一种策略识别方法,其特征在于,应用于安全业务管理平台,所述安全业务管理平台用于纳管安全设备,所述安全业务管理平台预先配置有多个安全策略;所述方法,包括:
获取安全策略组,所述安全策略组包括至少两个安全策略,且所述安全策略组中的各个安全策略的优先级不同;
从所述安全策略组中剔除满足不可用策略的检测条件的安全策略,得到目标安全策略组;
根据所述目标安全策略组中的每个安全策略的五元组信息,判断任意两个安全策略是否属于包含关系或可合并关系;
若属于包含关系,则根据所述两个安全策略的优先级识别所述两个安全策略中的冗余策略;
若属于可合并关系,则对所述两个安全策略进行合并处理。
2.根据权利要求1所述的方法,其特征在于,从所述安全策略组中剔除满足不可用策略的检测条件的安全策略,包括:
针对所述安全策略组的每个安全策略,若该安全策略的至少一个过滤条件对应的内容为空,则确定该安全策略为满足不可用策略的检测条件的安全策略,则从所述安全策略组中剔除该安全策略,并确定该安全策略为冗余策略;或者,
针对所述安全策略组的每个安全策略,若该安全策略未启用,则确定该安全策略为满足不可用策略的检测条件的安全策略,则从所述安全策略组中剔除该安全策略,并确定该安全策略为冗余策略。
3.根据权利要求1所述的方法,其特征在于,
根据所述目标安全策略组中的每个安全策略的五元组信息,判断任意两个安全策略是否属于包含关系,包括:
若所述两个安全策略的五元组信息均满足五元组信息对应的包含关系检测条件,则确定所述两个安全策略属于包含关系;
根据所述目标安全策略组中的每个安全策略的五元组信息,判断任意两个安全策略是否属于可合并关系,包括:
若所述两个安全策略的五元组信息中仅有一项五元组信息不满足该五元组信息对应的可合并关系检测条件,则确认所述两个安全策略属于可合并关系。
4.根据权利要求3所述的方法,其特征在于,所述五元组信息包括地址组,则
按照下述方法判断所述两个安全策略的五元组信息是否满足五元组信息对应的包含关系检测条件或可合并关系检测条件:
分别将两个安全策略的地址组的地址区间进行合并处理,得到第一地址区间和第二地址区间;
若所述第一地址区间与所述第二地址区间具有包含关系,则确定所述两个安全策略的地址组满足地址组对应的包含关系检测条件;
若所述第一地址区间与所述第二地址区间相同,则确定所述两个安全策略的地址组满足地址组对应的可合并关系检测条件;
若所述第一地址区间与所述第二地址区间不相同且不具有包含关系,则确定所述两个安全策略的地址组不满足地址组对应的可合并关系检测条件。
5.根据权利要求3所述的方法,其特征在于,所述五元组信息包括安全域,则
按照下述方法判断所述两个安全策略的五元组信息是否满足五元组信息对应的包含关系检测条件或可合并关系检测条件:
分别对所述两个安全策略的安全域所包括的接口信息进行合并处理,得到第一接口集合和第二接口集合;
若所述第一接口集合与所述第二接口集合具有包含关系,则确定所述两个安全策略的安全域满足安全域对应的包含关系检测条件;
若所述第一接口集合与所述第二接口集合相同,则确定所述两个安全策略的安全域满足安全域对应的可合并检测条件;
若所述第一接口集合与所述第二接口集合不相同且不具有包含关系,则确定所述两个安全策略的安全域不满足安全域对应的可合并检测条件。
6.根据权利要求3所述的方法,其特征在于,所述五元组信息包括服务组,则
按照下述方法判断所述两个安全策略的五元组信息是否满足五元组信息对应的包含关系检测条件或可合并关系检测条件:
分别对所述两个安全策略的服务组所包括的端口范围进行合并处理,得到第一端口区间和第二端口区间;
若所述第一端口区间与所述第二端口...
【专利技术属性】
技术研发人员:鲍越,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽;34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。