CN113810237B - 一种网络设备配置合规性的检查方法 - Google Patents
一种网络设备配置合规性的检查方法 Download PDFInfo
- Publication number
- CN113810237B CN113810237B CN202111353933.5A CN202111353933A CN113810237B CN 113810237 B CN113810237 B CN 113810237B CN 202111353933 A CN202111353933 A CN 202111353933A CN 113810237 B CN113810237 B CN 113810237B
- Authority
- CN
- China
- Prior art keywords
- hit
- text
- configuration
- expression
- characters
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0866—Checking the configuration
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络设备配置合规性的检查方法,该方法包括:获取配置文本、自定义的命中字符以及预选的命中标准模式;根据所述命中字符,生成命中表达式,根据所述命中表达式和所述命中标准模式,提取所述配置文本中的命中文本行;根据所述命中文本行、所述命中标准模式和所述命中表达式,判断网络设备配置是否合规。本发明通过合规检查算法,命中对应的文本行,进行有效的分类,并识别出各类违规,直观展现给用户,助力安全合规。
Description
技术领域
本发明涉及网络管理技术领域,尤其涉及一种网络设备配置合规性的检查方法。
背景技术
在互联网时代,IT应用几乎主导了企业的方方面面,而在网络应用过程中,众多IT专家的分析一再表明,大多数网络中断的最常见原因是配置更改错误。为满足各种业务需求,网络管理员经常对网络设备进行配置更改。对网络设备配置的每一次更改都伴随着造成网络中断、安全问题甚至性能下降的风险。当来自多个供应商的多个设备和多个管理员管理网络并执行更改时,问题变得更加复杂,且计划外的更改使网络容易受到意外中断的影响。因此,如何进行高效的网络设备配置合规性的检查成为亟待解决的问题。
发明内容
有鉴于此,有必要提供一种网络设备配置合规性的检查方法,用以克服现有技术中无法高效检查网络设备配置合规的问题。
本发明提供一种网络设备配置合规性的检查方法,包括:
获取配置文本、用户自定义的命中字符以及用户选择的命中标准模式;
根据所述命中字符,生成命中表达式,根据所述命中表达式和所述命中标准模式,提取所述配置文本中的命中文本行;
根据所述命中文本行、所述命中标准模式和所述命中表达式,判断网络设备配置是否合规。
进一步地,所述命中字符包括文本字符、正则字符、逻辑字符、分割字符和策略字符,所述命中表达式包括正则表达式、逻辑关系、切割表达式和策略表达式,所述根据所述命中字符,生成命中表达式,包括:
根据所述文本字符,生成用于反馈文本命中规则的所述文本表达式;
根据所述正则字符,生成用于反馈正则命中规则的若干所述正则表达式;
根据所述逻辑字符,生成若干所述正则表达式之间的所述逻辑关系;
根据所述分割字符,生成用于切割所述配置文本的所述切割表达式;
根据所述策略字符,生成用于反馈命中策略的所述策略表达式。
进一步地,所述命中字符还包括顺序字符和次数字符,所述命中表达式还包括规定命中顺序和规定命中次数,所述根据所述命中字符,生成命中表达式,还包括:
根据所述顺序字符,生成所述规定命中顺序,其中,所述规定命中顺序用于规定所述文本表达式中的所述文本字符的命中顺序;
根据所述次数字符,生成所述规定命中次数,其中,所述规定命中次数用于规定每个所述正则表达式或每个所述文本字符对应的命中次数。
进一步地,所述根据所述命中表达式和所述命中标准模式,提取所述配置文本中的命中文本行,包括:
若所述命中标准模式为简单标准模式,判断所述配置文本中的文本行是否包含所述文本表达式中的所述文本字符,若包含,则为所述文本字符对应的所述命中文本行;
若所述命中标准模式为高级标准模式,基于模式匹配器,根据若干所述正则表达式对所述配置文本中的文本行进行命中,确定每个所述正则表达式对应命中的所述命中文本行;
若所述命中标准模式为高级自定义模式,根据所述切割表达式,将所述配置文本切割,形成若干切割文本,基于所述模式匹配器,根据若干所述正则表达式对所述切割文本中的文本行进行命中,确定每个所述切割文本对应命中的所述命中文本行;
若所述命中标准模式为策略标准模式,根据所述策略表达式,对所述配置文本解析后的属性对象进行命中,设置若干条件检索式,确定每个所述策略表达式对应命中的所述命中文本行;
其中,所述简单标准模式、所述高级标准模式和所述高级自定义模式针对包括所述配置文本中有关网络设备的原始配置信息,所述策略标准模式针对将所述原始配置信息解析后的通用标准信息,并对所述通用标准信息的所述属性对象进行全文检索。
进一步地,所述根据所述切割表达式,将所述配置文本切割,形成若干切割文本,包括:
根据所述切割表达式,确定块开始字符、块结束字符和条件字符;
根据所述块开始字符和所述块结束字符对所述配置文本进行命中,提取出对应的文本段;
根据所述条件字符,确定对应的选取条件,判断所述文本段是否满足所述选取条件;
若满足,则所述文本段为所述切割文本,进行对应的提取。
进一步地,所述根据所述命中文本行、所述命中标准模式和所述命中表达式,判断网络设备配置是否合规,包括:
若所述命中标准模式为所述简单标准模式,则记录所述文本字符在所述配置文本中的实际命中次数、匹配位置;
根据每个所述文本字符的所述匹配位置,确定对应的实际命中顺序;
若每个所述文本字符的所述实际命中次数与所述规定命中次数相符合,和/或所述实际命中顺序与所述规定命中顺序一致,则网络设备配置合规。
进一步地,所述根据所述命中文本行、所述命中标准模式和所述命中表达式,判断网络设备配置是否合规,包括:
若所述命中标准模式为所述高级标准模式,则记录每个所述正则表达式在所述配置文本中的所述命中文本行的命中文本数目;
若所述命中标准模式为所述高级自定义模式,则记录每个所述正则表达式在所述切割文本中的所述命中文本行的命中文本数目;
根据每个所述正则表达式的所述命中文本数目与所述规定命中次数的相符与否,生成对应的匹配结果;
根据所述逻辑关系,对所述匹配结果进行逻辑运算,根据逻辑运算结果判断网络设备配置是否合规。
进一步地,所述根据所述逻辑关系,对所述匹配结果进行逻辑运算,根据逻辑运算结果判断网络设备配置是否合规,包括:
若所述逻辑关系为与,则对所述匹配结果进行与运算,若每个所述正则表达式都满足所述规定命中次数,则网络设备配置合规;
若所述逻辑关系为或,则对所述匹配结果进行或运算,若任一所述正则表达式满足所述规定命中次数,则网络设备配置合规。
进一步地,所述根据所述命中文本行、所述命中标准模式和所述命中表达式,判断网络设备配置是否合规,包括:
若所述命中标准模式为所述策略标准模式,当存在任一所述策略表达式对应命中的所述命中文本行时,判定为违规规则,则网络设备配置不合规。
进一步地,所述方法还包括:定位和显示所述违规规则,提醒用户进行纠正。
与现有技术相比,本发明的有益效果包括:首先,对配置文本、用户定义的多种命中字符以及用户选择的命中标准模式进行有效的获取,反馈用户的操作意图,适应于多种应用场景;然后,基于用户自定义的命中字符,生成相应的命中表达式,再结合命中表达式和用户选择的命中标准模式,对配置文本中的文本行进行命中,得到对应的命中文本行,保证命中的灵活性和高效性;最后,结合上述命中文本行、命中标准模式和命中表达式进行相应的命中结果分析,有效判断网络设备的配置是否合规。综上,本发明通过合规检查算法,命中对应的文本行,进行有效的分类,并识别出各类违规,直观展现给用户,助力安全合规。
附图说明
图1为本发明提供的网络设备配置合规性的检查方法的应用系统一实施例的场景示意图;
图2为本发明提供的网络设备配置合规性的检查方法一实施例的流程示意图;
图3为本发明提供的确定切割文本一实施例的流程示意图;
图4为本发明提供的图2中步骤S3一实施例的流程示意图;
图5为本发明提供的图2中步骤S3一实施例的流程示意图;
图6为本发明提供的图5中步骤S37一实施例的流程示意图;
图7为本发明提供的网络设备配置合规性的检查装置一实施例的结构示意图。
具体实施方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理,并非用于限定本发明的范围。
在本发明的描述中,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。此外,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本发明的描述中,提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,所描述的实施例可以与其它实施例相结合。
本发明提供了一种网络设备配置合规性的检查方法,基于用户自定义的多种命中字符,生成多种命中表达式,对配置文本进行命中,根据命中结果进行分析,为进一步高效检查网络设备的合规性提供了新思路。在进行具体实施例的描述之前,对涉及的技术名词进行解释如下:
简单标准模式,用于检查配置文件中是否存在指定的单行或一组行或集合;
高级标准模式,用于使用正则表达式指定更多、更复杂的条件,支持与、或关联;
高级自定义标准模式,用于按指定字符或正则切割配置文件,得到多个符合条件的文本块后,再进行高级标准的检查;
策略标准模式,是一种“全文检索”的传递使用,系统解析配置文件后,得到各种属性对象,针对各属性对象进行文本、数量、范围的全方位匹配;支持多条件的与、或关联;支持数量的大于、大于等于、小于、小于等于、等于、不等于匹配;支持IP地址的等于、包含、被包含、相交、不相交匹配;
正则表达式,是计算机科学的一个概念,是对字符串的一种逻辑公式,就是用事先定义好的一些特定字符、及这些特定字符的组合,组成一个“公式”,这个“公式”用来表达对字符串的一种过滤逻辑;
Pattern Matcher,翻译成中文“模式匹配器”,是编程语言执行正则表达式的通用工具组件;
While循环,是计算机的一种基本循环模式,让计算机根据条件做循环计算,在满足条件时继续循环,条件不满足时退出循环;
配置文本,是通过计算机脚本语言与硬件设备(防火墙、交换机、负载均衡等)交互,得到文件,文件的内容称为“配置文本”;
逻辑与计算,是参加运算的2个对象,必须2个都为真,其结果为真,反之就是假。
逻辑或计算,是参加运算的2个对象,一个为真,则结果为真;
包含、被包含,是数学名词,用于表示数集之间的包含关系;
相交、不相交,是数学名词,用于表示数集之间的相交关系。
以下分别对具体实施例进行详细说明:
本发明实施例提供了一种网络设备配置合规性的检查方法的应用系统,图1为本发明提供的网络设备配置合规性的检查方法的应用系统一实施例的场景示意图,该系统可以包括服务器100,服务器100中集成有网络设备配置合规性的检查装置,如图1中的服务器。
本发明实施例中服务器100主要用于:
获取配置文本、用户自定义的命中字符以及用户选择的命中标准模式;
根据命中字符,生成命中表达式,根据命中表达式和命中标准模式,提取配置文本中的命中文本行;
根据命中文本行、命中标准模式和命中表达式,判断网络设备配置是否合规。
本发明实施例中,该服务器100可以是独立的服务器,也可以是服务器组成的服务器网络或服务器集群,例如,本发明实施例中所描述的服务器100,其包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云服务器。其中,云服务器由基于云计算(Cloud Computing)的大量计算机或网络服务器构成。
可以理解的是,本发明实施例中所使用的终端200可以是既包括接收和发射硬件的设备,即具有能够在双向通信链路上,执行双向通信的接收和发射硬件的设备。这种设备可以包括:蜂窝或其他通信设备,其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备。具体的终端200可以是台式机、便携式电脑、网络服务器、掌上电脑(Personal Digital Assistant,PDA)、移动手机、平板电脑、无线终端设备、通信设备、嵌入式设备等,本实施例不限定终端200的类型。
本领域技术人员可以理解,图1中示出的应用环境,仅仅是与本发明方案一种应用场景,并不构成对本发明方案应用场景的限定,其他的应用环境还可以包括比图1中所示更多或更少的终端,例如图1中仅示出2个终端,可以理解的,该网络设备配置合规性的检查方法的应用系统还可以包括一个或多个其他终端,具体此处不作限定。
另外,如图1所示,该网络设备配置合规性的检查方法的应用系统还可以包括存储器200,用于存储数据,如配置文本、命中字符、命中表达式和命中文本行等。
需要说明的是,图1所示的网络设备配置合规性的检查方法的应用系统的场景示意图仅仅是一个示例,本发明实施例描述的网络设备配置合规性的检查方法的应用系统以及场景是为了更加清楚的说明本发明实施例的技术方案,并不构成对于本发明实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络设备配置合规性的检查方法的应用系统的演变和新业务场景的出现,本发明实施例提供的技术方案对于类似的技术问题,同样适用。
本发明实施例提供了一种网络设备配置合规性的检查方法,结合图2来看,图2为本发明提供的网络设备配置合规性的检查方法一实施例的流程示意图,包括步骤S1至步骤S3,其中:
在步骤S1中,获取配置文本、用户自定义的命中字符以及用户选择的命中标准模式;
在步骤S2中,根据命中字符,生成命中表达式,根据命中表达式和命中标准模式,提取配置文本中的命中文本行;
在步骤S3中,根据命中文本行、命中标准模式和命中表达式,判断网络设备配置是否合规。
在本发明实施例中,首先,对配置文本、用户定义的多种命中字符以及用户选择的命中标准模式进行有效的获取,反馈用户的操作意图,适应于多种应用场景;然后,基于用户自定义的命中字符,生成相应的命中表达式,再结合命中表达式和用户选择的命中标准模式,对配置文本中的文本行进行命中,得到对应的命中文本行,保证命中的灵活性和高效性;最后,结合上述命中文本行、命中标准模式和命中表达式进行相应的命中结果分析,有效判断网络设备的配置是否合规。
作为优选的实施例,命中字符包括文本字符、正则字符、逻辑字符、分割字符和策略字符,命中表达式包括正则表达式、逻辑关系、切割表达式和策略表达式,上述步骤S2中,根据命中字符,生成命中表达式,包括:
根据文本字符,生成用于反馈文本命中规则的文本表达式;
根据正则字符,生成用于反馈正则命中规则的若干正则表达式;
根据逻辑字符,生成若干正则表达式之间的逻辑关系;
根据分割字符,生成用于切割配置文本的切割表达式;
根据策略字符,生成用于反馈命中策略的策略表达式。
在本发明实施例中,基于用户输入的不同形式的字符,确定不同的命中表达式,便于后续对配置文本中的文本行进行筛选。
作为更具体的实施例,用户通过页面录入的方式,自定义上述文本字符、正则字符、逻辑字符、分割字符、策略字符。可以理解的是,自定义命中字符的方式可以有多种,不限于页面录入的方式,只要能达到自定义的效果即可。
作为优选的实施例,上述步骤S2中,根据命中字符,生成命中表达式,还包括:
根据顺序字符,生成规定命中顺序,其中,规定命中顺序用于规定文本表达式中的文本字符的命中顺序;
根据次数字符,生成规定命中次数,其中,规定命中用于规定每个正则表达式或每个文本字符对应的命中次数。
在本发明实施例中,基于用户输入的不同顺序字符和次数字符,确定用户对命中属性的多方面规定,满足多方面命中的需求,让命中更为灵活、高效、准确。
作为优选的实施例,上述步骤S2中,根据命中表达式和命中标准模式,提取配置文本中的命中文本行,包括:
若命中标准模式为简单标准模式,判断配置文本中的文本行是否包含文本表达式中的文本字符,若包含,则为文本字符对应的命中文本行;
若命中标准模式为高级标准模式,基于模式匹配器,根据若干正则表达式对配置文本中的文本行进行命中,确定每个正则表达式对应命中的命中文本行;
若命中标准模式为高级自定义模式,根据切割表达式,将配置文本切割,形成若干切割文本,基于模式匹配器,根据若干正则表达式对切割文本中的文本行进行命中,确定每个切割文本对应命中的命中文本行;
若命中标准模式为策略标准模式,根据策略表达式,对配置文本解析后的属性对象进行命中,设置若干条件检索式,确定每个策略表达式对应命中的命中文本行;
其中,简单标准模式、高级标准模式和高级自定义模式针对包括配置文本中有关网络设备的原始配置信息,策略标准模式针对将原始配置信息解析后的通用标准信息,并对通用标准信息的属性对象进行全文检索。
在本发明实施例中,基于不同的命中标准模式,选择不同的命中字符,按照不同的方式对文本行进行命中,保证命中满足多种场景下的需求。
需要说明的是,上述文本表达式中的文本字符的匹配和正则表达式的匹配,都利用了Pattern Matcher 模式匹配器、while循环,获取到所有满足条件的文本行(即命中文本行)和总个数,以及该文本的起始位置、结束位置。
在本发明一个具体的实施例中,有如下配置文本,目标是想获取所有的描述信息、或判断是否有描述:
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
description abc
description 123
!
其中,将上述文本作为配置文本,指定正则“description\s\S+”,通过模式匹配器,循环过滤不匹配的,得到成功匹配的文本行(即命中文本行): description abc;description 123。以表格形式显示结果如下:
表1
| 正则表达式 | description\\s\\S+ |
| 成功匹配次数 | 2 |
| 第一次 | 开始位置:120 结束位置:135 成功匹配的文本:description abc |
| 第二次 | 开始位置:137 结束位置:152 成功匹配的文本:description 123 |
作为优选的实施例,结合图3来看,图3为本发明提供的确定切割文本一实施例的流程示意图,包括步骤S001至步骤S003,其中:
在步骤S001中,根据切割表达式,确定块开始字符、块结束字符和条件字符;
在步骤S002中,根据块开始字符和块结束字符对配置文本进行命中,提取出对应的文本段;
在步骤S003中,根据条件字符,确定对应的选取条件,判断文本段是否满足选取条件;
在步骤S004中,若满足,则文本段为切割文本,进行对应的提取。
在本发明实施例中,基于切割表达式,确定对应的块开始字符、块结束字符和条件字符,对整个配置文本进行分割,实现初次的筛选归类,提高命中效率,避免对无效的文本块进行重复选择。
在本发明一个具体的实施例中,配置文本示例如下:
ASA Version 8.6(1)2
!
hostname ABT-DEMO
domain-name ccfccb.cn
enable password 8UqIHv7vte5N1G7a encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.98.10.4 255.255.255.248 standby 10.98.10.5
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.98.10.9 255.255.255.248 standby 10.98.10.10
!
interface GigabitEthernet0/2
nameif RenHang
security-level 0
ip address 10.98.10.17 255.255.255.248 standby 10.98.10.18
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/4
description LAN Failover Interface
!
interface GigabitEthernet0/5
description STATE Failover Interface
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
boot system disk0:/asa861-2-smp-k8.bin
ftp mode passive
clock timezone bj 8
其中,切割表达式中的块开始字符为“interface”,块结束字符为“!”,条件字符为“不包含”、“shutdown”,则选取条件为不包含“shutdown”单词,针对上述配置文本,提取出多个满足条件的切割文本,形成文本块集合,过程如下:
第一步,使用模式匹配器过滤文本,定位快开始字符“interface”的文本位置,定位快结束字符“!”的文本位置,2个位置之间的文本,则是满足条件的文本块,需要切割出来,形成切割文本;然后继续循环逻辑,继续切割,得到更多满足条件的文本块;
第二步,判断是否有选取条件,若无,则第一步返回文本块,就是最终的切割文本,形成文本块集合;
第三步,若有选取条件,则针对第一步的文本块集合进行二次过滤;将选取条件作为参数,形成正则表达式,基于模式匹配,得到匹配详情,若匹配详情中成功匹配次数大于0,表示包含,反之,不包含;拿匹配结果与选取条件判断,若一致,则匹配成功,不一致,则需要丢弃当前的切割文本,继续进行下一个切割文本的过滤,直到第一步的文本块集合判断完毕;
上述配置文本中,选取满足“interface”块开始、“!”块结束条件,但不包含“shutdown”的文本块,形成切割文本,以表格形式展示切割后,提取的切割文本的集合如下,即:
表2
| 序号 | 成功切割,提取出来的块 |
| 1 | interface GigabitEthernet0/0 nameif outside security-level 0 ip address 10.98.10.4 255.255.255.248 standby 10.98.10.5 ! |
| 2 | interface GigabitEthernet0/1 nameif inside security-level 100 ip address 10.98.10.9 255.255.255.248 standby 10.98.10.10 ! |
| 3 | interface GigabitEthernet0/2 nameif RenHang security-level 0 ip address 10.98.10.17 255.255.255.248 standby 10.98.10.18 ! |
| 4 | interface GigabitEthernet0/4 description LAN Failover Interface ! |
| 5 | interface GigabitEthernet0/5 description STATE Failover Interface ! |
| 6 | interface Management0/0 nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 management-only ! |
作为优选的实施例,结合图4来看,图4为本发明提供的图2中步骤S3一实施例的流程示意图,包括步骤S31至步骤S33,其中:
在步骤S31中,若命中标准模式为简单标准模式,则记录文本字符在配置文本中的实际命中次数、匹配位置;
在步骤S32中,根据每个文本字符的匹配位置,确定对应的实际命中顺序;
在步骤S33中,若每个文本字符的实际命中次数与规定命中次数相符合,和/或实际命中顺序与规定命中顺序一致,则网络设备配置合规。
在本发明实施例中,在简单标准模式下,记录每个文本字符的实际命中次数和匹配位置,并与用户规定的次数和顺序进行比较,确定是否符合用户需求,进而判断是否合规。
在本发明一个具体的实施例中,在用户选择简单标准模式后,输入文本字符,按“回车换行符”分割成文本队列,如用户输入123(回车)abc(回车)def(回车),形成的文本队列如下:
123
abc
def
其中,对上述文本字符的识别过程如下:
(1)包含指定的单行或一组行,要求出现指定的次数
第一步,对每个文本字符(123、abc、def)进行命中匹配,得到每个文本的具体的匹配结果:若结果中成功匹配次数为0,则当前文本识别为不包含项。若成功匹配次数大于0,则当前文本识别为包含项,记录匹配次数、以及每次出现的位置;
第二步,若包含项为空,识别为“违规”,原因:未按标准配置;
第三步,包含项不为空时,若包含项的个数不等于队列的长度,识别为“违规”,原因:有未匹配的文本字符;
第四步,若标准中,未要求次数,是任意的,则其它情况识别为:合规;
第五步,若标准中,要求次数,则需要判断每个包含项的匹配次数是否大于等于要求的次数;只要其中有一个包含项的匹配次数小于要求次数,则识别为“违规”,原因:次数错误;反之,都大于或等于,则识别为:合规。
(2)不包含指定的单行或一组行,要求小于指定的次数
第一步,与上述逻辑的第一步相同,记录每个文本的匹配结果;
第二步,判断每个包含项是否为空,若为空,则表示都不包含,是合规状态;
第三步,若非空,继续判断次数;若标准中,未要求次数,则识别为“违规”,原因:有文本匹配成功了,配置中出现违规信息。若有次数要求,则判断包含项的匹配次数是否大于等于要求的次数,只要其中有一个是次数大于等于的,则识别为“违规”,原因:有文本匹配成功了,且次数达标;反之,小于要求的次数,则识别为:合规。
(3)包含指定顺序的集合
第一步,与上述逻辑的第一步相同,记录每个文本的匹配结果;
第二步,判断包含项是否为空,若为空,识别为“违规”,原因:未按标准配置;
第三步,包含项非空时,若包含项的个数不等于队列的长度,识别为“违规”,原因:有未匹配的文本字符;
第四步,循环每个包含项,将当前文本与下一个文本的位置进行比较;若当前文本是包含项的最后一个,跳过比较;若一个文本出现多次,则默认取第一次出现的位置,判断是否按顺序出现,若非顺序,则识别为违规,原因:未按指定顺序出现,反之是合规的(示例:123与abc的匹配位置比较,abc与def的匹配位置比较,判断这三个文本字符的先后顺序)。
(4)不包含指定顺序的集合
与上述“包含指定顺序的集合”相反,在此不再赘述。
作为优选的实施例,结合图5来看,图5为本发明提供的图2中步骤S3一实施例的流程示意图,包括步骤S34至步骤S37,其中:
在步骤S34中,若命中标准模式为高级标准模式,则记录每个正则表达式在配置文本中的命中文本行的命中文本数目;
在步骤S35中,若命中标准模式为高级自定义模式,则记录每个正则表达式在切割文本中的命中文本行的命中文本数目;
在步骤S36中,根据每个正则表达式的命中文本数目与规定命中次数的相符与否,生成对应的匹配结果;
在步骤S37中,根据逻辑关系,对匹配结果进行逻辑运算,根据逻辑运算结果判断网络设备配置是否合规。
在本发明实施例中,在高级标准模式和高级自定义模式下,针对每一个正则表达式进行匹配,对多个正则表达式的匹配结果进行逻辑关系的运算,从而判断其是否合规。
作为优选的实施例,结合图6来看,图6为本发明提供的图5中步骤S37一实施例的流程示意图,包括步骤S371至步骤S372,其中:
在步骤S371中,若逻辑关系为与,则对匹配结果进行与运算,若每个正则表达式都满足规定命中次数,则网络设备配置合规;
在步骤S372中,若逻辑关系为或,则对匹配结果进行或运算,若任一正则表达式满足规定命中次数,则网络设备配置合规。
在本发明实施例中,对匹配结果进行有效的逻辑运算。
在本发明一个具体的实施例中,在用户选择高级标准模式后,输入正则字符和逻辑字符,传入页面用户录入的正则字符,对于形成的每一个正则表达式与配置文本进行模式匹配,具体流程如下:
第一步,传入页面的正则表达式,与配置文本进行模式匹配,得到匹配的文本行(命中文本行)和成功匹配次数(命中文本数目);
第二步,若用户指定条件是包含,则判断第1步的成功匹配次数是否大于0,大于0则是包含,是合规状态;等于0,表示没有匹配上,不符合预期,是违规状态;
第三步,若用户指定的条件是不包含,逻辑与第2步相反,即:判断第1步的成功匹配次数是否大于0,大于0,表示配置文本中包含符合正则表达式的配置信息,与预期不符,是违规的,反之,就是步包含,与预期一致,是合规的;
第四步,若只有一个正则表达式,则第一步的返回结果就是本次检查的最终结果;
第五步,若有多个正则表达式,则进行多次调用;页面在指定正则表达式时,可指定多个表达式之间的逻辑关系;
第六步,若是“逻辑与”计算,将结果进行“与”操作,每个表达式的匹配结果都满足条件,则本次检查是合规的,只要其中有一个不满足,则是违规;
第七步,若是“逻辑或”计算,将结果进行“或”操作,至少有一个是满足条件的,则本次检查是合规的,反之违规。
在本发明一个具体的实施例中,在用户选择高级自定义模式后,输入正则字符、逻辑字符和切割字符,根据切割字符形成切割表达式,确定用户指定的块开始字符、块结束字符、选取条件进行切割提取,拆散成多个更小更精确的切割文本;传入页面用户录入的正则字符,对于形成的每一个正则表达式与每一个切割文本进行模式匹配,具体流程如下:
第一步,接收用户输入的块开始字符、块结束字符、选取条件,对配置文本进行切割提取,得到多个满足条件的切割文本(具体方法参见上文描述,在此不再赘述);
第二步,针对每一个切割文本,接收用户输入的正则表达式和对应的逻辑关系,做高级匹配操作,实现过程参见上述高级标准模式的匹配过程。
作为优选的实施例,上述步骤S3还包括:
若命中标准模式为策略标准模式,当存在任一策略表达式对应命中的命中文本行时,判定为违规规则,则网络设备配置不合规。
在本发明实施例中,利用策略标准模式,有效识别违规文本行,即违规规则。
作为优选的实施例,上述方法还包括:定位和显示违规规则,提醒用户进行纠正。
在本发明实施例中,在识别到违规文本行,提醒用户对相应的配置数据进行修正。
在本发明一个具体的实施例中,策略标准模式是全文检索功能的传递使用。从网络设备对象的各个方面进行检索,遇到数字的,支持大于、小于、等于等数学运算;遇到IP地址的,支持相交、包含、不包含、等于等数学运算;遇到字符的,支持关键字模糊匹配;
其中,在使用策略标准模式时,用户输入检索信息后,若存在符合条件的数据,则是违规的,反之是合规的。即:利用反例子,反标准来检查违规性;
示例1:安全策略目的IP=any、服务=any;若查询到符合条件的数据,则证明设备是有宽松风险的,是违规的,需要用户进行纠正。
示例 2:目的端口=22 或目的端口=21;若查询到符合条件的数据,则证明设备上出现高危端口,有外部攻击风险,是违规的,需要用户进行处理,纠正。
需要说明的是,策略标准模式与前面三类方法形成了一个闭环检查。前面三类是在获取到网络设备的原始配置后进行的检查,而策略标准是在配置解析成通用标准格式,入库完成,提供全文检索功能后进行检查的。差异如下表3所示:
表3
| 名称 | 检查时间点 | 支持厂商 | 依赖 | 使用对象 |
| 简单标准模式 | 设备原始配置 | 定制 | 无 | 所有人 |
| 高级标准模式 | 设备原始配置 | 定制 | 无 | 网络运维人员 |
| 高级自定义标准模式 | 设备原始配置 | 定制 | 无 | 网络运维人员 |
| 策略标准模式 | 软件平台解析成通用标准格式,提供检索功能后 | 通用 | 软件平台转换标准格式 | 所有人 |
下面一个具体的应用例,对本发明方案进行更为详细的阐述:
结合上述4类标准释义(简单标准模式、高级标准模式、高级自定义标准模式、策略标准模式)后,详细检查步骤如下:
第一步,根据网络安全防护要求、行业法规制定基准规则;规则中包含1个标准、违反该标准时的风险等级、针对该违规情况的具体补救措施;
第二步,结合厂商、设备共性、业务特点、逻辑,将规则进行分组、归类,作用是便于选择,示例如下:
示例1:根据厂商分类,将针对思科防火墙的规则归类到一组;针对华为防火墙的规则归类到一组。
示例2:根据业务特点分类,将所有检查空地址对象、空服务对象、空时间对象的规则分到一组,简称“空对象规则组”;将检查宽松风险的归类到一组。
示例3:根据逻辑,将思科日志检查的归类到一组;将思科服务检查的归类到一组(思科服务检查包含多种,示例:DHCP、PAD 、IP HTTP、domain);
第三步,制定检查任务,选取该任务要使用的规则组,选取要检查的网络设备后,指定一个触发点即可;触发点包含三种:立即执行任务、手动触发执行任务或在一个未来时间点自动执行任务;
第四步,达到触发点后,执行任务,待完成后,即可得到检查结果或报表;执行任务,针对任务中的所有设备,获取设备当前时刻的配置,对配置进行规则的检查(规则是在制定任务时,选取的规则组,每个规则组中包含若干个规则);
第五步,根据检查结果、报表信息可获知一个设备在指定的规则组下,每个规则的具体检查结果,针对违规的规则,选取规则中事先定义好的补救措施,执行补救措施进行修复,完成合规性的闭环操作(发现问题、解决问题)。
本发明实施例还提供了一种网络设备配置合规性的检查装置,结合图7来看,图7为本发明提供的网络设备配置合规性的检查装置一实施例的结构示意图,网络设备配置合规性的检查装置700包括:
获取单元701,用于获取配置文本、用户自定义的命中字符以及用户选择的命中标准模式;
处理单元702,用于根据命中字符,生成命中表达式,根据命中表达式和命中标准模式,提取配置文本中的命中文本行;
判断单元703,用于根据命中文本行、命中标准模式和命中表达式,判断网络设备配置是否合规。
网络设备配置合规性的检查装置的各个单元的更具体实现方式可以参见对于本网络设备配置合规性的检查方法的描述,且具有与之相似的有益效果,在此不再赘述。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时,实现如上所述的网络设备配置合规性的检查方法。
一般来说,用于实现本发明方法的计算机指令的可以采用一个或多个计算机可读的存储介质的任意组合来承载。非临时性计算机可读存储介质可以包括任何计算机可读介质,除了临时性地传播中的信号本身。
计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言,特别是可以使用适于神经网络计算的Python语言和基于TensorFlow、PyTorch等平台框架。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
本发明实施例还提供了一种计算设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时,实现如上所述的网络设备配置合规性的检查方法。
根据本发明上述实施例提供的计算机可读存储介质和计算设备,可以参照根据本发明实现如上所述的网络设备配置合规性的检查方法具体描述的内容实现,并具有与如上所述的网络设备配置合规性的检查方法类似的有益效果,在此不再赘述。
本发明公开了一种网络设备配置合规性的检查方法,首先,对配置文本、用户定义的多种命中字符以及用户选择的命中标准模式进行有效的获取,反馈用户的操作意图,适应于多种应用场景;然后,基于用户自定义的命中字符,生成相应的命中表达式,再结合命中表达式和用户选择的命中标准模式,对配置文本中的文本行进行命中,得到对应的命中文本行,保证命中的灵活性和高效性;最后,结合上述命中文本行、命中标准模式和命中表达式进行相应的命中结果分析,有效判断网络设备的配置是否合规。
本发明技术方案,通过用户自定义的命中字符和选择的命中标准模式,生成合规检查算法,命中对应的文本行,进行有效的分类,并识别出各类违规,直观展现给用户,助力安全合规,适应于多种应用场景。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种网络设备配置合规性的检查方法,其特征在于,包括:
获取配置文本、自定义的命中字符以及预选的命中标准模式;
根据所述命中字符,生成命中表达式,根据所述命中表达式和所述命中标准模式,提取所述配置文本中的命中文本行,其中,针对不同的所述命中标准模式,根据所述命中字符确定不同的所述命中表达式对所述配置文本进行命中,提取所述配置文本中的所述命中文本行;
根据所述命中文本行、所述命中标准模式和所述命中表达式,判断网络设备配置是否合规,其中,针对不同的所述命中标准模式,统计每个所述命中字符和/或所述命中文本行的命中结果,根据所述命中结果判断网络设备配置是否合规。
2.根据权利要求1所述的网络设备配置合规性的检查方法,其特征在于,所述命中字符包括文本字符、正则字符、逻辑字符、分割字符和策略字符,所述命中表达式包括文本表达式、正则表达式、逻辑关系、切割表达式和策略表达式;所述根据所述命中字符,生成命中表达式,包括:
根据所述文本字符,生成用于反馈文本命中规则的所述文本表达式;
根据所述正则字符,生成用于反馈正则命中规则的若干所述正则表达式;
根据所述逻辑字符,生成若干所述正则表达式之间的所述逻辑关系;
根据所述分割字符,生成用于切割所述配置文本的所述切割表达式;
根据所述策略字符,生成用于反馈命中策略的所述策略表达式。
3.根据权利要求2所述的网络设备配置合规性的检查方法,其特征在于,所述命中字符还包括顺序字符和次数字符,所述命中表达式还包括规定命中顺序和规定命中次数;所述根据所述命中字符,生成命中表达式,还包括:
根据所述顺序字符,生成所述规定命中顺序,其中,所述规定命中顺序用于规定所述文本表达式中的所述文本字符的命中顺序;
根据所述次数字符,生成所述规定命中次数,其中,所述规定命中次数用于规定每个所述正则表达式或每个所述文本字符对应的命中次数。
4.根据权利要求3所述的网络设备配置合规性的检查方法,其特征在于,所述根据所述命中表达式和所述命中标准模式,提取所述配置文本中的命中文本行,包括:
若所述命中标准模式为简单标准模式,判断所述配置文本中的文本行是否包含所述文本表达式中的所述文本字符,若包含,则为所述文本字符对应的所述命中文本行;
若所述命中标准模式为高级标准模式,基于模式匹配器,根据若干所述正则表达式对所述配置文本中的文本行进行命中,确定每个所述正则表达式对应命中的所述命中文本行;
若所述命中标准模式为高级自定义模式,根据所述切割表达式,将所述配置文本切割,形成若干切割文本,基于所述模式匹配器,根据若干所述正则表达式对所述切割文本中的文本行进行命中,确定每个所述切割文本对应命中的所述命中文本行;
若所述命中标准模式为策略标准模式,根据所述策略表达式,对所述配置文本解析后的属性对象进行命中,设置若干条件检索式,确定每个所述策略表达式对应命中的所述命中文本行;
其中,所述简单标准模式、所述高级标准模式和所述高级自定义模式针对包括所述配置文本中有关网络设备的原始配置信息,所述策略标准模式针对将所述原始配置信息解析后的通用标准信息,并对所述通用标准信息的所述属性对象进行全文检索。
5.根据权利要求4所述的网络设备配置合规性的检查方法,其特征在于,所述根据所述切割表达式,将所述配置文本切割,形成若干切割文本,包括:
根据所述切割表达式,确定块开始字符、块结束字符和条件字符;
根据所述块开始字符和所述块结束字符对所述配置文本进行命中,提取出对应的文本段;
根据所述条件字符,确定对应的选取条件,判断所述文本段是否满足所述选取条件;
若满足所述选取条件,则所述文本段为所述切割文本,进行对应的提取。
6.根据权利要求4所述的网络设备配置合规性的检查方法,其特征在于,所述根据所述命中文本行、所述命中标准模式和所述命中表达式,判断网络设备配置是否合规,包括:
若所述命中标准模式为所述简单标准模式,则记录所述文本字符在所述配置文本中的实际命中次数、匹配位置;
根据每个所述文本字符的所述匹配位置,确定对应的实际命中顺序;
若每个所述文本字符的所述实际命中次数与所述规定命中次数相符合,和/或所述实际命中顺序与所述规定命中顺序一致,则网络设备配置合规。
7.根据权利要求4所述的网络设备配置合规性的检查方法,其特征在于,所述根据所述命中文本行、所述命中标准模式和所述命中表达式,判断网络设备配置是否合规,包括:
若所述命中标准模式为所述高级标准模式,则记录每个所述正则表达式在所述配置文本中的所述命中文本行的命中文本数目;
若所述命中标准模式为所述高级自定义模式,则记录每个所述正则表达式在所述切割文本中的所述命中文本行的命中文本数目;
根据每个所述正则表达式的所述命中文本数目与所述规定命中次数的相符与否,生成对应的匹配结果;
根据所述逻辑关系,对所述匹配结果进行逻辑运算,根据逻辑运算结果判断网络设备配置是否合规。
8.根据权利要求7所述的网络设备配置合规性的检查方法,其特征在于,所述根据所述逻辑关系,对所述匹配结果进行逻辑运算,根据逻辑运算结果判断网络设备配置是否合规,包括:
若所述逻辑关系为与,则对所述匹配结果进行与运算,若每个所述正则表达式都满足所述规定命中次数,则网络设备配置合规;
若所述逻辑关系为或,则对所述匹配结果进行或运算,若任一所述正则表达式满足所述规定命中次数,则网络设备配置合规。
9.根据权利要求4所述的网络设备配置合规性的检查方法,其特征在于,所述根据所述命中文本行、所述命中标准模式和所述命中表达式,判断网络设备配置是否合规,包括:
若所述命中标准模式为所述策略标准模式,当存在任一所述策略表达式对应命中的所述命中文本行时,判定为违规规则,则网络设备配置不合规。
10.根据权利要求9所述的网络设备配置合规性的检查方法,其特征在于,所述方法还包括:定位和显示所述违规规则。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111353933.5A CN113810237B (zh) | 2021-11-16 | 2021-11-16 | 一种网络设备配置合规性的检查方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111353933.5A CN113810237B (zh) | 2021-11-16 | 2021-11-16 | 一种网络设备配置合规性的检查方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113810237A CN113810237A (zh) | 2021-12-17 |
| CN113810237B true CN113810237B (zh) | 2022-02-15 |
Family
ID=78938326
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111353933.5A Active CN113810237B (zh) | 2021-11-16 | 2021-11-16 | 一种网络设备配置合规性的检查方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113810237B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118400193B (zh) * | 2024-06-27 | 2024-09-20 | 武汉思普崚技术有限公司 | 一种网络边界设备的配置检测方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103678118A (zh) * | 2013-10-18 | 2014-03-26 | 北京奇虎测腾科技有限公司 | 一种Java源代码的合规性检测方法和装置 |
| CN109558479A (zh) * | 2018-11-29 | 2019-04-02 | 北京羽扇智信息科技有限公司 | 一种规则匹配方法、装置、设备及存储介质 |
| CN110457478A (zh) * | 2019-08-09 | 2019-11-15 | 泰康保险集团股份有限公司 | 文本合规性检查方法及装置、电子设备和计算机可读介质 |
| CN112468370A (zh) * | 2020-11-30 | 2021-03-09 | 北京锐驰信安技术有限公司 | 一种支持自定义规则的高速网络报文监测分析方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10911495B2 (en) * | 2018-06-27 | 2021-02-02 | Cisco Technology, Inc. | Assurance of security rules in a network |
-
2021
- 2021-11-16 CN CN202111353933.5A patent/CN113810237B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103678118A (zh) * | 2013-10-18 | 2014-03-26 | 北京奇虎测腾科技有限公司 | 一种Java源代码的合规性检测方法和装置 |
| CN109558479A (zh) * | 2018-11-29 | 2019-04-02 | 北京羽扇智信息科技有限公司 | 一种规则匹配方法、装置、设备及存储介质 |
| CN110457478A (zh) * | 2019-08-09 | 2019-11-15 | 泰康保险集团股份有限公司 | 文本合规性检查方法及装置、电子设备和计算机可读介质 |
| CN112468370A (zh) * | 2020-11-30 | 2021-03-09 | 北京锐驰信安技术有限公司 | 一种支持自定义规则的高速网络报文监测分析方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 基于正则表达式匹配的网络设备自动管理系统;李林广等;《微计算机信息》;20121015;第28卷(第10期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113810237A (zh) | 2021-12-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11971898B2 (en) | Method and system for implementing machine learning classifications | |
| US11023533B2 (en) | Node task data display method and apparatus, storage medium and computer equipment | |
| US10237295B2 (en) | Automated event ID field analysis on heterogeneous logs | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| CN110113315B (zh) | 一种业务数据的处理方法及设备 | |
| US20150213272A1 (en) | Conjoint vulnerability identifiers | |
| CN113157947A (zh) | 知识图谱的构建方法、工具、装置和服务器 | |
| CN113946546B (zh) | 异常检测方法、计算机存储介质及程序产品 | |
| CN109582155B (zh) | 输入联想词的推荐方法、装置、存储介质及电子设备 | |
| CN113254577A (zh) | 敏感文件检测方法、装置、设备及存储介质 | |
| CN111026765A (zh) | 严格平衡二叉树的动态处理方法、设备、存储介质及装置 | |
| CN113221032A (zh) | 链接风险检测方法、装置以及存储介质 | |
| CN111314063A (zh) | 一种基于物联网大数据信息管理方法、系统及装置 | |
| CN110109888A (zh) | 一种文件处理方法及装置 | |
| CN113810237B (zh) | 一种网络设备配置合规性的检查方法 | |
| CN108650104A (zh) | 一种群消息的处理方法和装置 | |
| CN113157315A (zh) | 一种软件不同版本的差异信息识别方法、装置、设备及介质 | |
| CN112800197A (zh) | 一种目标故障信息的确定方法和装置 | |
| CN110245281B (zh) | 互联网资产信息收集方法及终端设备 | |
| CN114676231A (zh) | 一种目标信息检测方法、设备和介质 | |
| CN113312258A (zh) | 一种接口测试方法、装置、设备及存储介质 | |
| CN115809466A (zh) | 基于stride模型的安全需求生成方法、装置、电子设备及介质 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| US12001416B1 (en) | Systems and methods for generic data parsing applications | |
| CN112085590B (zh) | 规则模型的安全性的确定方法、装置和服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |