CN114389897A - It基础设施安全策略集中管控优化方法 - Google Patents

It基础设施安全策略集中管控优化方法 Download PDF

Info

Publication number
CN114389897A
CN114389897A CN202210266538.1A CN202210266538A CN114389897A CN 114389897 A CN114389897 A CN 114389897A CN 202210266538 A CN202210266538 A CN 202210266538A CN 114389897 A CN114389897 A CN 114389897A
Authority
CN
China
Prior art keywords
optimization
security
security policy
policy
basic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210266538.1A
Other languages
English (en)
Other versions
CN114389897B (zh
Inventor
鞠鑫
张俊杰
姚永刚
赵亚
陈亮亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou City Health Family Planning Statistics Information Center
Original Assignee
Suzhou City Health Family Planning Statistics Information Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou City Health Family Planning Statistics Information Center filed Critical Suzhou City Health Family Planning Statistics Information Center
Priority to CN202210266538.1A priority Critical patent/CN114389897B/zh
Publication of CN114389897A publication Critical patent/CN114389897A/zh
Application granted granted Critical
Publication of CN114389897B publication Critical patent/CN114389897B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0823Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种IT基础设施安全策略集中管控优化方法,所述基础设施包括多个基础设备,通过以下步骤对安全策略进行集中管控优化,具体包括:获取目标范围内IT基础设施的设备配置文件,提取每个设备配置文件中的安全策略集、以及安全策略集中每个安全策略的命中率,将命中率大于预设值的安全策略作为第一类的安全策略,将命中率小于等于预设值的安全策略作为第二类的安全策略;将所有前置设备相同的第二类的安全策略作为第一优化策略,对第一基础设备中与第一优化策略对应的安全策略优化处理;将前置设备和后置设备相同的第二类的安全策略作为第二优化策略,对第二基础设备中与第二优化策略对应的安全策略优化处理。

Description

IT基础设施安全策略集中管控优化方法
技术领域
本发明涉及数字信息传输技术领域,尤其涉及一种IT基础设施安全策略集中管控优化方法。
背景技术
随着网络规模、业务应用的不断增长,以及安全事件的逐渐增加,在网络安全建设方面,用户往往通过部署各种类型的安全设备,实现对信息网络的分域分级保护。通常网络安全产品多聚焦在安全策略上,通过安全策略缓解网络威胁。但网络和安全设备中可能存在着成千上万条策略规则,大量安全规则的管理越来越复杂,这种管理上的复杂性影响了设备的安全和性能,当运维人员对过滤规则集中进行添加、删除和修改时,大量的过滤规则就有可能产生冗余规则,从而导致设备的管理难度加大,吞吐率下降。
所以亟需一种技术方案,能够对IT基础设施安全策略集进行管控、优化,降低网络和安全设备中的策略规则。
发明内容
本发明实施例提供一种IT基础设施安全策略集中管控优化方法,能够对IT基础设施安全策略集进行管控、优化,降低网络和安全设备中的策略规则,降低了冗余规则的产生,降低设备的管理难度,提高吞吐率。
本发明实施例的第一方面,提供一种IT基础设施安全策略集中管控优化方法,所述基础设施包括多个基础设备,通过以下步骤对基础设施中多个设备的安全策略进行集中管控优化,具体包括:
获取目标范围内IT基础设施的设备配置文件,提取每个设备配置文件中的安全策略集、以及安全策略集中每个安全策略的命中率,将命中率大于预设值的安全策略作为第一类的安全策略,将命中率小于等于预设值的安全策略作为第二类的安全策略;
获取基础设施中多个基础设备的连接关系,根据基础设备的连接关系确定每个设备的所有前置设备和/或后置设备;
若判断第一基础设备的数据流是单向传输的,则获取第一基础设备所对应的所有前置设备,将所有前置设备分别具有相同的第二类的安全策略作为第一优化策略,对所述第一基础设备中与所述第一优化策略对应的安全策略优化处理;
若判断第一基础设备的数据流是双向传输的,则获取第一基础设备所对应的前置设备和后置设备,将所有前置设备和后置设备分别具有相同的第二类的安全策略作为第二优化策略,对所述第一基础设备中与所述第二优化策略对应的安全策略优化处理。
可选地,在第一方面的一种可能实现方式中,在获取目标范围内IT基础设施的设备配置文件,提取每个设备配置文件中的安全策略集、以及安全策略集中每个安全策略的命中率,将命中率大于预设值的安全策略作为第一类的安全策略,将命中率小于等于预设值的安全策略作为第二类的安全策略的步骤中,具体包括:
获取预设时间段内、目标范围内IT基础设施的设备配置文件,确定设备配置文件中相应的安全策略集;
统计安全策略集中每个安全策略在预设时间段内的命中数量,将命中数量与基准值比对得到相对应的命中率;
将命中率大于预设值的安全策略作为第一类的安全策略,将命中率小于等于预设值的安全策略作为第二类的安全策略。
可选地,在第一方面的一种可能实现方式中,在获取基础设施中多个基础设备的连接关系,根据基础设备的连接关系确定每个设备的所有前置设备和/或后置设备的步骤中,具体包括:
获取基础设施中多个基础设备的连接关系,根据基础设施中的多个基础设备的连接关系生成设备拓扑图;
接收用户在设备拓扑图中的第一数据传输支路所确定的数据流传输方向,根据所述数据流传输方向确定第一数据传输支路中每个设备的所有前置设备和/或后置设备。
可选地,在第一方面的一种可能实现方式中,在接收用户在设备拓扑图中的第一数据传输支路所确定的数据流传输方向,根据所述数据流传输方向确定第一数据传输支路中每个设备的所有前置设备和/或后置设备的步骤中,具体包括:
接收用户选定的中心设备;
以所述中心设备为设备拓扑图的中心点,确定在设备拓扑图中与所述第一数据传输支路相同侧的第二数据传输支路,为所述第二数据传输支路匹配与所述第一数据传输支路相同的数据流传输方向;
确定在设备拓扑图中与所述第一数据传输支路不同侧的第三数据传输支路,为所述第三数据传输支路匹配与所述第一数据传输支路相对应的数据流传输方向。
可选地,在第一方面的一种可能实现方式中,在获取基础设施中多个基础设备的连接关系,根据基础设备的连接关系确定每个设备的所有前置设备和/或后置设备的步骤中,具体包括:
获取基础设施中每个基础设备的属性信息;
若判断所述基础设施中任意一个基础设备的属性信息为单向属性,则与该基础设备所连接的其他基础设备作为该基础设备的后置设备;
若判断所述基础设施中任意一个基础设备的属性信息为双向属性,则与该基础设备所连接的其他基础设备作为该基础设备的前置设备或后置设备中的任意一个。
可选地,在第一方面的一种可能实现方式中,在若判断第一基础设备的数据流是单向传输的,则获取第一基础设备所对应的所有前置设备,将所有前置设备分别具有相同的第二类的安全策略作为第一优化策略,对所述第一基础设备中与所述第一优化策略对应的安全策略优化处理的步骤中,具体包括:
获取每一个前置设备所具有的安全策略的数量,基于所有前置设备的安全策略的数量对多个前置设备进行排序得到升序排序结果;
获取安全策略数量最少的前置设备所具有的所有安全策略生成第一策略集;
遍历第一策略集中每一个安全策略依次按照所述升序排序结果与每一个前置设备所对应的安全策略进行比对,统计所有前置设备相同的第二类的安全策略作为第一优化策略;
将第一基础设备中与所述第一优化策略对应的安全策略删除,以实现对第一基础设备的安全策略优化处理。
可选地,在第一方面的一种可能实现方式中,在若判断第一基础设备的数据流是双向传输的,则获取第一基础设备所对应的前置设备和后置设备,将所有前置设备和后置设备分别具有相同的第二类的安全策略作为第二优化策略,对所述第一基础设备中与所述第二优化策略对应的安全策略优化处理的步骤中,具体包括:
获取每一个前置设备所具有的安全策略的数量,基于所有前置设备的安全策略的数量对多个前置设备进行排序得到前置设备的升序排序结果;
获取每一个后置设备所具有的安全策略的数量,基于所有前置设备的安全策略的数量对多个前置设备进行排序得到后置设备的升序排序结果;
获取安全策略数量最少的前置设备所具有的所有安全策略生成第一策略集、获取安全策略数量最少的后置设备所具有的所有安全策略生成第二策略集;
确定所述第一策略集和第二策略集中的交集得到策略交集;
遍历策略交集中每一个安全策略依次按照所述前置设备的升序排序结果、后置设备的升序排序结果、与每一个前置设备、后置设备所对应的安全策略进行比对,统计所有前置设备、后置设备相同的第二类的安全策略作为第二优化策略;
将第一基础设备中与所述第二优化策略对应的安全策略删除,以实现对第一基础设备的安全策略优化处理。
可选地,在第一方面的一种可能实现方式中,获取每一个第一基础设备中安全策略集删除的安全策略的数量值得到策略数量差值;
获取优化前的IT基础设施中所有基础设备的第一吞吐量值、优化后的IT基础设施中所有基础设备的第二吞吐量值,根据所述第一吞吐量值和第二吞吐量值得到吞吐量数量差值;
根据所述策略数量差值、吞吐量数量差值得到相对应的优化系数。
可选地,在第一方面的一种可能实现方式中,在根据所述策略数量差值、吞吐量数量差值得到相对应的优化系数的步骤中,具体包括:
通过以下公式计算优化系数,
Figure 884335DEST_PATH_IMAGE001
其中,
Figure 4737DEST_PATH_IMAGE002
为优化系数,
Figure 253316DEST_PATH_IMAGE003
为IT基础设施的量级权重值,
Figure 117367DEST_PATH_IMAGE004
为第
Figure 197318DEST_PATH_IMAGE005
个第一基础设备在进 行安全策略集删除前的安全策略数量值,
Figure 223043DEST_PATH_IMAGE006
为第
Figure 457453DEST_PATH_IMAGE005
个第一基础设备在进行安全策略集删除 后的安全策略数量值,
Figure 921933DEST_PATH_IMAGE007
为第
Figure 794074DEST_PATH_IMAGE005
个第一基础设备的策略数量差值,
Figure 256279DEST_PATH_IMAGE008
为计算策略数量差 值时第一基础设备的上限值,
Figure 276188DEST_PATH_IMAGE009
为第
Figure 482041DEST_PATH_IMAGE005
个第一基础设备的设备权重值,
Figure 208689DEST_PATH_IMAGE010
为第
Figure 107375DEST_PATH_IMAGE011
个第一设备 的第一吞吐量值,
Figure 614579DEST_PATH_IMAGE012
为第
Figure 358544DEST_PATH_IMAGE011
个第一设备的第二吞吐量值,
Figure 205278DEST_PATH_IMAGE013
为计算吞吐量数量差值时第一基 础设备的上限值,
Figure 510750DEST_PATH_IMAGE014
为优化权重值;
判断所述优化系数大于第一优化阈值,则不输出人工优化提醒;
判断所述优化系数小于等于第一优化阈值,则输出人工优化提醒。
可选地,在第一方面的一种可能实现方式中,还包括:
若判断未输出人工优化提醒、且未来的预设时间段内管理员存在人工优化行为, 则对所述优化权重值
Figure 505251DEST_PATH_IMAGE014
减小第一预设比例得到调整后的优化权重值
Figure 787328DEST_PATH_IMAGE015
若判断输出人工优化提醒、且未来的预设时间段内管理员未存在人工优化行为, 则对所述优化权重值
Figure 754147DEST_PATH_IMAGE014
增加第二预设比例得到调整后的优化权重值
Figure 791373DEST_PATH_IMAGE016
通过以下公式对优化权重值
Figure 210853DEST_PATH_IMAGE014
调整,
Figure 296621DEST_PATH_IMAGE017
其中,
Figure 117946DEST_PATH_IMAGE015
为优化权重值
Figure 326074DEST_PATH_IMAGE014
减小调整后的数值,
Figure 232850DEST_PATH_IMAGE018
为第一预设比例,
Figure 856729DEST_PATH_IMAGE016
为优化权重值
Figure 296676DEST_PATH_IMAGE014
减小增加调整后的数值,
Figure 675704DEST_PATH_IMAGE019
为第二预设比例。
本发明提供的一种IT基础设施安全策略集中管控优化方法。会对基础设施中所有基础设备的设备配置文件进行获取,根据设备配置文件中安全策略的命中率对安全策略进行分类,进而使得后续处理过程中会对不同类别的安全策略采取不同的处理方式。本发明提供的技术方案,在对安全策略进行优化处理时,会根据每一个第一基础设备不同的数据流的传输方式确定每一个第一基础设备需要优化的安全策略,进而达到对所有基础设备中的安全策略进行整体优化的目的,去除IT基础设施中冗余的安全策略,降低网络和安全设备中的策略规则,降低了冗余规则的产生,降低设备的管理难度,提高吞吐率。
本发明提供的技术方案,会根据基础设备的连接关系得到相应的设备拓扑图,结合用户所选定的中心设备、第一数据传输支路快速确定设备拓扑图中与所述第一数据传输支路的数据流传输方向相同或相对应的第一数据传输支路、第三数据传输支路,进而使得本发明提供的技术方案,可以自动、快速的确定每一个基础设备的前置设备和/或后置设备,进而根据前置设备和/或后置设备的安全策略对基础设备的安全策略进行调整,提高了整个基础设施的安全策略的优化效率。
本发明提供的技术方案,在将多个前置设备和/或后置设备的安全策略集中的安全策略进行比对时,会通过排序的方式确定安全策略较少的安全策略集,并优先对安全策略较少的安全策略集进行比对,进而快速锁定具有重复可能的较少数量的安全策略,提高了重复性安全策略的选中效率。
本发明提供的技术方案,会对IT基础设施在每次优化时的相关信息进行统计,根据删除前的安全策略数量值、删除后的安全策略数量值、第一吞吐量值以及第二吞吐量值得到相对应的优化系数,通过该优化系数来对用户评判本次IT基础设施的优化效果,并且会对预设时间段内的管理员的行为进行统计,根据管理员的行为对计算优化系数的公式进行更新,使得本发明在计算优化系数时更符合当前的IT基础设施的场景,使得管理员能够定期对IT基础设施中每个基础设备的安全策略进行优化,进而提高IT基础设施的吞吐量、提高数据传输效率。
附图说明
图1为IT基础设施安全策略集中管控优化方法的第一种实施方式的流程图;
图2为IT基础设施安全策略集中管控优化方法的第二种实施方式的流程图;
图3为第一种设备拓扑图的结构示意图;
图4为第二种设备拓扑图的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
应当理解,在本发明的各种实施例中,各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
应当理解,在本发明中,“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本发明中,“多个”是指两个或两个以上。“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。“包含A、B和C”、“包含A、B、C”是指A、B、C三者都包含,“包含A、B或C”是指包含A、B、C三者之一,“包含A、B和/或C”是指包含A、B、C三者中任1个或任2个或3个。
应当理解,在本发明中,“与A对应的B”、“与A相对应的B”、“A与B相对应”或者“B与A相对应”,表示B与A相关联,根据A可以确定B。根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其他信息确定B。A与B的匹配,是A与B的相似度大于或等于预设的阈值。
取决于语境,如在此所使用的“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。
下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
本发明提供一种IT基础设施安全策略集中管控优化方法,所述基础设施包括多个基础设备。基础设备可以是服务器、网关、交换机、路由器等设备,对于基础设备的具体形式本发明不做任何限定。
如图1所示,通过以下步骤对基础设施中多个设备的安全策略进行集中管控优化,具体包括:
步骤S110、获取目标范围内IT基础设施的设备配置文件,提取每个设备配置文件中的安全策略集、以及安全策略集中每个安全策略的命中率,将命中率大于预设值的安全策略作为第一类的安全策略,将命中率小于等于预设值的安全策略作为第二类的安全策略。本发明所说的目标范围可以是某一个控制系统,例如某个电力系统、公司内部的数据传输系统等等。本发明会提取IT基础设施中每个基础设备的设备配置文件,根据基础设备的设备配置文件得到安全策略集、以及安全策略集中每个安全策略的命中率,安全策略可以是多种,例如说对数据传输量值的验证策略、对数据传输身份的验证测策略。例如说,IT基础设施内的每个基础设备只传递白名单内身份的数据,所以每个IT基础设施可能都会具有相应的身份验证策略。本发明会根据安全策略的命中率对安全策略进行分类。
本发明提供的技术方案,在一个可能的实施方式中,如图2所示,步骤S110具体包括:
步骤S1101、获取预设时间段内、目标范围内IT基础设施的设备配置文件,确定设备配置文件中相应的安全策略集。本发明提供的技术方案,预设时间段内可以是一个月、半年、一年等等,一般来说,IT基础设施内的安全策略都会根据场景的发生进行改变,所以本发明会统计预设时间段内、目标范围内IT基础设施的设备配置文件,得到每个设备配置文件中相应的安全策略集,预设时间段内的安全策略集内的安全策略可以看作时最新的安全策略。
步骤S1102、统计安全策略集中每个安全策略在预设时间段内的命中数量,将命中数量与基准值比对得到相对应的命中率。本发明提供的技术方案会统计命中数量与基准值比对得到相对应的命中率,基准数量可以是100、1000等等。命中数量即可以是某一个安全策略所触发的情况,例如安全策略为只传递白名单内身份的数据,此时安全策略检测到一个非白名单内的身份数据,对该数据进行了屏蔽、删除,此时即可认为相应的安全策略命中一次,通过该种方式可以得到每种安全策略的命中热度。
步骤S1103、将命中率大于预设值的安全策略作为第一类的安全策略,将命中率小于等于预设值的安全策略作为第二类的安全策略。本发明提供的技术方案,会将命中率大于预设值的安全策略作为第一类的安全策略,即命中热度高的安全策略。会将命中率小于等于预设值的安全策略作为第一类的安全策略,即命中热度低的安全策略。预设值可以是0、0.01、0.1等等。
步骤S120、获取基础设施中多个基础设备的连接关系,根据基础设备的连接关系确定每个设备的所有前置设备和/或后置设备。本发明提供的技术方案,会得到基础设施中多个基础设备的连接关系,例如说路由器与网关连接、网关与服务器连接等等,此时本发明会根据基础设备的连接关系确定每个设备的所有前置设备和/或后置设备,前置设备和后置设备都是相对的,A可能是B的前置设备,A同时也可能是C的后置设备,所以本发明会根据基础设备的连接关系确定每个设备的所有前置设备和/或后置设备。
本发明提供的技术方案,在确定每个设备的所有前置设备和/或后置设备的第一种确定方式的步骤中,具体包括:
获取基础设施中多个基础设备的连接关系,根据基础设施中的多个基础设备的连接关系生成设备拓扑图。如图3和图4所示,可以是本发明根据基础设备的连接关系所生成的设备拓扑图。可以包括图像采集设备、交换机、服务器、路由器等设备。
接收用户在设备拓扑图中的第一数据传输支路所确定的数据流传输方向,根据所述数据流传输方向确定第一数据传输支路中每个设备的所有前置设备和/或后置设备。本发明提供的技术方案,会根据接收用户在设备拓扑图中的第一数据传输支路所确定的数据流传输方向。
例如第一数据传输支路为电压传感器和路由器,电压传感器和路由器之间的数据流传输方向为图像采集设备→路由器→显示器,则此时认为第一数据传输支路是但向传输的。则此时只能在图像采集设备→路由器→服务器的数据传输支路上确定每个设备的前置设备和/或后置设备,即此时图像采集设备是路由器的前置设备,图像采集设备不具有前置设备,路由器的前置设备为图像采集设备,路由器的后置设备为服务器。
例如第一数据传输支路为工作主交换机、交换机、工作站,所确定的数据流传输方向为主交换机→交换机→工作站以及工作站→交换机→主交换机,则此时认为第一数据传输支路是双向传输的。则此时可以在不同的数据流传输中确定每个设备的前置设备和/或后置设备。
本发明提供的技术方案,在一个可能的实施方式中,在接收用户在设备拓扑图中的第一数据传输支路所确定的数据流传输方向,根据所述数据流传输方向确定第一数据传输支路中每个设备的所有前置设备和/或后置设备的步骤中,具体包括:
接收用户选定的中心设备。一般来说,网络拓扑图中都会存在一个中心设备,该中心设备可以是网络拓扑图中吞吐量最大的设备,例如中心的服务器等等,也可以是中心交换机等等。
以所述中心设备为设备拓扑图的中心点,确定在设备拓扑图中与所述第一数据传输支路相同侧的第二数据传输支路,为所述第二数据传输支路匹配与所述第一数据传输支路相同的数据流传输方向。在图4所示的示意图中,以社区中心交换机为中心点,例如第一数据传输支路包括HIS服务器集群、HIS系统交换机,第二数据传输支路包括LIS服务器集群、LIS系统交换机,本发明可以根据每个传输支路所包括的基础设备的属性确定是否为相同侧,例如与第一数据传输支路中的连接结构相同,第一数据传输支路中的连接结构为PC组、交换机,同样的第二数据传输支路中的连接结构也为PC组、交换机,所以可以将第二数据传输支路归类为与第一数据传输支路同侧的支路。
例如为第一数据传输支路匹配双向的数据流方向,则此时也会为第一数据传输支路匹配双向的数据流方向。另一个第二数据传输支路可以是PACS服务器集群、PACS系统交换机、社区中心交换机,则此时PACS服务器集群、PACS系统交换机、社区中心交换机也会根据第一数据传输支路匹配双向的数据流方向。相同侧可以理解为是传输平行的数据流。
确定在设备拓扑图中与所述第一数据传输支路不同侧的第三数据传输支路,为所述第三数据传输支路匹配与所述第一数据传输支路相对应的数据流传输方向。本发明可以根据第一数据传输支路确定第三数据传输支路,例如第一数据传输支路的数据最终需要传输至普通业务交换机,则此时普通业务交换机、核心交换机、汇聚交换机所构成的数据传输支路即可以认为是第三数据传输支路,第三数据传输支路可以理解为是与第一数据传输支路串行、进行相同数据传输的支路。本发明会根据用户对一个传输支路匹配的一个数据流同时对多个不同属性的传输支路匹配相应的数据流。
本发明提供的技术方案,在确定每个设备的所有前置设备和/或后置设备的第二种确定方式的步骤中,具体包括:
获取基础设施中每个基础设备的属性信息。本发明提供的技术方案,会得到基础设备的属性信息,属性信息可以是预先设置的,例如服务器、摄像头就具有不同的属性,服务器会具有双向数据传输的需求,摄像头一般来说只有数据采集、传输的需求,所有摄像头内的通讯模块一般只负责发送数据,不负责接收数据。基于此,本发明可以将基础设备的属性信息分为单向属性和双向属性。
若判断所述基础设施中任意一个基础设备的属性信息为单向属性,则与该基础设备所连接的其他基础设备作为该基础设备的后置设备。在判断某一个基础设备的属性信息为单向属性时,则此时与该基础设备所连接的所有的基础设备都是该基础设备的后置设备。
若判断所述基础设施中任意一个基础设备的属性信息为双向属性,则与该基础设备所连接的其他基础设备作为该基础设备的前置设备或后置设备中的任意一个。在判断某一个基础设备的属性信息为双向属性时,则此时与该基础设备所连接的其他基础设备都可能会根据数据流的方向不同,成为该基础设备的前置设备或后置设备。
步骤S130、若判断第一基础设备的数据流是单向传输的,则获取第一基础设备所对应的所有前置设备,将所有前置设备分别具有相同的第二类的安全策略作为第一优化策略,对所述第一基础设备中与所述第一优化策略对应的安全策略优化处理。在多个基础设备所组成的数据传输支路中,本发明会根据数据流的双向、单向传输来确定相应的传输设备。例如第一基础设备的数据流是单向传输的,则此时向其传输数据的基础设备只有前置设备,后置设备并不会向该第一基础设备传输数据。此时,本发明会得到所有前置设备分别具有相同的第二类的安全策略作为第一优化策略,并根据第一优化策略对第一基础设备中现有的安全策略优化处理。
需要说明的是,第一基础设备的数据流是单向传输的,则此时第一基础设备所接收到的数据流都是其前置设备按照前置设备所对应的安全策略校验过的,所以第一基础设备在进行相同的校验已经没有意义,所以则认为第一基础设备所有前置设备所对应的安全策略在第一基础设备是冗余的,此时需要对相应的安全策略进行优化处理。
本发明提供的技术方案,在一个可能的实施方式中,步骤S130具体包括:
获取每一个前置设备所具有的安全策略的数量,基于所有前置设备的安全策略的数量对多个前置设备进行排序得到升序排序结果。本发明会根据安全策略的数量对所有的前置设备进行排序,使安全策略的数量最少的前置设备排在第一位。
获取安全策略数量最少的前置设备所具有的所有安全策略生成第一策略集。本发明会提取安全策略数量最少的前置设备的安全策略得到第一策略集,可以这样理解,后面所被被优化的安全策略将会在第一策略集中进行确定。
遍历第一策略集中每一个安全策略依次按照所述升序排序结果与每一个前置设备所对应的安全策略进行比对,统计所有前置设备相同的第二类的安全策略作为第一优化策略。本发明提供的技术方案,会遍历第一策略集中的每个安全策略,并将相应的安全策略按照升序排序结果与每一个前置设备所对应的安全策略进行比对,进而确定所有前置设备相同的第二类的安全策略作为第一优化策略,此时所确定的第一优化策略即认为是第一基础设备内所冗余的安全策略。
将第一基础设备中与所述第一优化策略对应的安全策略删除,以实现对第一基础设备的安全策略优化处理。
步骤S140、若判断第一基础设备的数据流是双向传输的,则获取第一基础设备所对应的前置设备和后置设备,将所有前置设备和后置设备分别具有相同的第二类的安全策略作为第二优化策略,对所述第一基础设备中与所述第二优化策略对应的安全策略优化处理。本发明提供的技术方案,在判断第一基础设备的数据流是双向传输的时,则会得到第一基础设备所对应的前置设备和后置设备,所以此时会认为前置设备和后置设备都具有的安全策略是第一基础设备所冗余的安全策略,所以此时会将相应安全策略删除。
本发明提供的技术方案,在一个可能的实施方式中,步骤S140具体包括:
获取每一个前置设备所具有的安全策略的数量,基于所有前置设备的安全策略的数量对多个前置设备进行排序得到前置设备的升序排序结果。
获取每一个后置设备所具有的安全策略的数量,基于所有前置设备的安全策略的数量对多个前置设备进行排序得到后置设备的升序排序结果。
通过以上的步骤,使得本发明会对第一基础设备所有的前置设备、后置设备分别进行排序。
获取安全策略数量最少的前置设备所具有的所有安全策略生成第一策略集、获取安全策略数量最少的后置设备所具有的所有安全策略生成第二策略集。
确定所述第一策略集和第二策略集中的交集得到策略交集。一般来说,因为前置设备和后置设备的部署方式不同,其安全策略也会存在一定的区别,所以本发明会得到第一策略集和第二策略集的交集得到策略交集,进而降低了所有前置设备、后置设备潜在的相同的安全策略的数量,进而在接下来依次精确比对的过程中,降低数据处理量。
遍历策略交集中每一个安全策略依次按照所述前置设备的升序排序结果、后置设备的升序排序结果、与每一个前置设备、后置设备所对应的安全策略进行比对,统计所有前置设备、后置设备相同的第二类的安全策略作为第二优化策略。本发明提供的技术方案,会对所有前置设备、后置设备相同的第二类的安全策略进行统计,得到第一基础设备所冗余的安全策略。
将第一基础设备中与所述第二优化策略对应的安全策略删除,以实现对第一基础设备的安全策略优化处理。
可以这样理解,在所有前置设备、后置设备都具有相同的安全策略时,则此时所有前置设备、后置设备所传输的数据都是被该相同的安全策略校验过的,所以此时第一基础设备可以不再具有相应的安全策略。
本发明提供的技术方案,在一个可能的实施方式中,还包括:
获取每一个第一基础设备中安全策略集删除的安全策略的数量值得到策略数量差值。本发明会在每次优化后对安全策略集中所删除的安全策略的数量值进行统计,并得到相应的策略数量差值。
获取优化前的IT基础设施中所有基础设备的第一吞吐量值、优化后的IT基础设施中所有基础设备的第二吞吐量值,根据所述第一吞吐量值和第二吞吐量值得到吞吐量数量差值。本发明提供的技术方案,会对优化前和优化后的吞吐量进行统计,吞吐量数量差值越大,则认为此时优化的效果越明显。
根据所述策略数量差值、吞吐量数量差值得到相对应的优化系数。本发明可以根据策略数量差值、吞吐量数量差确定相应的优化系数。一般来说策略数量差值、吞吐量数量差值是成正比的,但是不同基础设备量级的IT基础设施中,策略数量差值与吞吐量数量差值之间的比值会具有很大的区别,基础设备量级较大的IT基础设施和基础设备量级较小的IT基础设施分别对应相同的策略数量差值时,基础设备量级较大的IT基础设施所对应的吞吐量数量差值越小,基础设备量级较小的IT基础设施所对应的吞吐量数量差值越大。所以,需要通过对策略数量差值、吞吐量数量差值进行计算得到与相应量级的IT基础设施所对应的优化系数,使得该优化系数不仅考虑了所删除的安全策略的数量,也会考虑IT基础设施的量级。
本发明提供的技术方案,在一个可能的实施方式中,在根据所述策略数量差值、吞吐量数量差值得到相对应的优化系数的步骤中,具体包括:
通过以下公式计算优化系数,
Figure 804197DEST_PATH_IMAGE020
其中,
Figure 497347DEST_PATH_IMAGE002
为优化系数,
Figure 824423DEST_PATH_IMAGE003
为IT基础设施的量级权重值,
Figure 577615DEST_PATH_IMAGE004
为第
Figure 193404DEST_PATH_IMAGE005
个第一基础设备在进 行安全策略集删除前的安全策略数量值,
Figure 486983DEST_PATH_IMAGE006
为第
Figure 137407DEST_PATH_IMAGE005
个第一基础设备在进行安全策略集删除 后的安全策略数量值,
Figure 530342DEST_PATH_IMAGE007
为第
Figure 695744DEST_PATH_IMAGE005
个第一基础设备的策略数量差值,
Figure 730696DEST_PATH_IMAGE008
为计算策略数量差 值时第一基础设备的上限值,
Figure 737092DEST_PATH_IMAGE009
为第
Figure 566507DEST_PATH_IMAGE005
个第一基础设备的设备权重值,
Figure 219206DEST_PATH_IMAGE010
为第
Figure 792269DEST_PATH_IMAGE011
个第一设备 的第一吞吐量值,
Figure 151707DEST_PATH_IMAGE012
为第
Figure 214341DEST_PATH_IMAGE011
个第一设备的第二吞吐量值,
Figure 292018DEST_PATH_IMAGE021
为计算吞吐量数量差值时第一基 础设备的上限值,
Figure 668773DEST_PATH_IMAGE014
为优化权重值。通过
Figure 148296DEST_PATH_IMAGE022
可以得到所有第一基础设备的 安全策略集所删除的安全策略的总数量,通过
Figure 381831DEST_PATH_IMAGE023
可以得到所有吞吐量的增加值, 通过
Figure 946804DEST_PATH_IMAGE024
可以得到每增加单位吞吐量所删除的安全策略的数量,
Figure 360206DEST_PATH_IMAGE024
越大,则证明安全策略的删除量与所增加的吞吐量的比值越大,则此时的优化系数越大,量 级权重值可以是根据IT基础设施的量级的不同预先设置的,优化权重值可以是根据实际的 适用场景由管理员主动确定的。
判断所述优化系数大于第一优化阈值,则不输出人工优化提醒。在优化系数大于第一优化阈值时,则证明此时该IT基础设施相对于其自身设备量级来说,优化效果较好,此时无需人工介入进行手动的优化配置。
判断所述优化系数小于等于第一优化阈值,则输出人工优化提醒。在优化系数小于等于第一优化阈值时,则证明此时该IT基础设施相对于其自身设备量级来说,优化效果较差,此时需人工介入进行手动的优化配置,以提高整个IT基础设施的吞吐量。
本发明提供的技术方案,在一个可能的实施方式中, 还包括:
若判断未输出人工优化提醒、且未来的预设时间段内管理员存在人工优化行为, 则对所述优化权重值
Figure 694235DEST_PATH_IMAGE014
减小第一预设比例得到调整后的优化权重值
Figure 98672DEST_PATH_IMAGE015
。在该种场景下,管 理员对该IT基础设施的吞吐量要求较高,所以此时需要对优化权重值
Figure 150941DEST_PATH_IMAGE014
进行减小的调整, 以使下次再同样的场景下时,进行工优化提醒。
若判断输出人工优化提醒、且未来的预设时间段内管理员未存在人工优化行为, 则对所述优化权重值
Figure 603920DEST_PATH_IMAGE014
增加第二预设比例得到调整后的优化权重值
Figure 854772DEST_PATH_IMAGE016
。在该种场景下,管 理员对该IT基础设施的吞吐量要求较低,所以此时需要对优化权重值
Figure 633372DEST_PATH_IMAGE014
进行增大的调整, 以使下次再同样的场景下时,不再进行工优化提醒。
通过以下公式对优化权重值
Figure 907359DEST_PATH_IMAGE014
调整,
Figure 226345DEST_PATH_IMAGE025
其中,
Figure 534966DEST_PATH_IMAGE015
为优化权重值
Figure 218889DEST_PATH_IMAGE014
减小调整后的数值,
Figure 481636DEST_PATH_IMAGE018
为第一预设比例,
Figure 604313DEST_PATH_IMAGE016
为优化权重值
Figure 767441DEST_PATH_IMAGE014
减小增加调整后的数值,
Figure 622265DEST_PATH_IMAGE019
为第二预设比例。本发明提供的技术方案,可以通过以上的公 式计算优化权重值
Figure 136422DEST_PATH_IMAGE014
调整后的数值,确保下次输出人工优化提醒或不输出人工优化提醒, 使得本发明所计算的优化系数更符合当前的场景。
本发明提供的技术方案,可以对同一个设备里配置文件是否重复进行判断、采集,如果出现安全策略重复的情况也可以优化删除,尤其像防火墙,里面安全策略很多,重复的也多,遍历同一个防火墙配置文件中的策略,删除相同的,可以提升防火墙性能、交换机、路由器等设备的吞吐性。
本发明提供的技术方案,不仅可以根据本设备的安全策略的情况对本设备进行优化,还可以对整体网络相关设备进行统一优化。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (10)

1.一种IT基础设施安全策略集中管控优化方法,所述基础设施包括多个基础设备,其特征在于,通过以下步骤对基础设施中多个设备的安全策略进行集中管控优化,具体包括:
获取目标范围内IT基础设施的设备配置文件,提取每个设备配置文件中的安全策略集、以及安全策略集中每个安全策略的命中率,将命中率大于预设值的安全策略作为第一类的安全策略,将命中率小于等于预设值的安全策略作为第二类的安全策略;
获取基础设施中多个基础设备的连接关系,根据基础设备的连接关系确定每个设备的所有前置设备和/或后置设备;
若判断第一基础设备的数据流是单向传输的,则获取第一基础设备所对应的所有前置设备,将所有前置设备分别具有相同的第二类的安全策略作为第一优化策略,对所述第一基础设备中与所述第一优化策略对应的安全策略优化处理;
若判断第一基础设备的数据流是双向传输的,则获取第一基础设备所对应的前置设备和后置设备,将所有前置设备和后置设备分别具有相同的第二类的安全策略作为第二优化策略,对所述第一基础设备中与所述第二优化策略对应的安全策略优化处理。
2.根据权利要求1所述的IT基础设施安全策略集中管控优化方法,其特征在于,
在获取目标范围内IT基础设施的设备配置文件,提取每个设备配置文件中的安全策略集、以及安全策略集中每个安全策略的命中率,将命中率大于预设值的安全策略作为第一类的安全策略,将命中率小于等于预设值的安全策略作为第二类的安全策略的步骤中,具体包括:
获取预设时间段内、目标范围内IT基础设施的设备配置文件,确定设备配置文件中相应的安全策略集;
统计安全策略集中每个安全策略在预设时间段内的命中数量,将命中数量与基准值比对得到相对应的命中率;
将命中率大于预设值的安全策略作为第一类的安全策略,将命中率小于等于预设值的安全策略作为第二类的安全策略。
3.根据权利要求1所述的IT基础设施安全策略集中管控优化方法,其特征在于,
在获取基础设施中多个基础设备的连接关系,根据基础设备的连接关系确定每个设备的所有前置设备和/或后置设备的步骤中,具体包括:
获取基础设施中多个基础设备的连接关系,根据基础设施中的多个基础设备的连接关系生成设备拓扑图;
接收用户在设备拓扑图中的第一数据传输支路所确定的数据流传输方向,根据所述数据流传输方向确定第一数据传输支路中每个设备的所有前置设备和/或后置设备。
4.根据权利要求3所述的IT基础设施安全策略集中管控优化方法,其特征在于,
在接收用户在设备拓扑图中的第一数据传输支路所确定的数据流传输方向,根据所述数据流传输方向确定第一数据传输支路中每个设备的所有前置设备和/或后置设备的步骤中,具体包括:
接收用户选定的中心设备;
以所述中心设备为设备拓扑图的中心点,确定在设备拓扑图中与所述第一数据传输支路相同侧的第二数据传输支路,为所述第二数据传输支路匹配与所述第一数据传输支路相同的数据流传输方向;
确定在设备拓扑图中与所述第一数据传输支路不同侧的第三数据传输支路,为所述第三数据传输支路匹配与所述第一数据传输支路相对应的数据流传输方向。
5.根据权利要求1所述的IT基础设施安全策略集中管控优化方法,其特征在于,
在获取基础设施中多个基础设备的连接关系,根据基础设备的连接关系确定每个设备的所有前置设备和/或后置设备的步骤中,具体包括:
获取基础设施中每个基础设备的属性信息;
若判断所述基础设施中任意一个基础设备的属性信息为单向属性,则与该基础设备所连接的其他基础设备作为该基础设备的后置设备;
若判断所述基础设施中任意一个基础设备的属性信息为双向属性,则与该基础设备所连接的其他基础设备作为该基础设备的前置设备或后置设备中的任意一个。
6.根据权利要求1所述的IT基础设施安全策略集中管控优化方法,其特征在于,
在若判断第一基础设备的数据流是单向传输的,则获取第一基础设备所对应的所有前置设备,将所有前置设备分别具有相同的第二类的安全策略作为第一优化策略,对所述第一基础设备中与所述第一优化策略对应的安全策略优化处理的步骤中,具体包括:
获取每一个前置设备所具有的安全策略的数量,基于所有前置设备的安全策略的数量对多个前置设备进行排序得到升序排序结果;
获取安全策略数量最少的前置设备所具有的所有安全策略生成第一策略集;
遍历第一策略集中每一个安全策略依次按照所述升序排序结果与每一个前置设备所对应的安全策略进行比对,统计所有前置设备相同的第二类的安全策略作为第一优化策略;
将第一基础设备中与所述第一优化策略对应的安全策略删除,以实现对第一基础设备的安全策略优化处理。
7.根据权利要求1所述的IT基础设施安全策略集中管控优化方法,其特征在于,
在若判断第一基础设备的数据流是双向传输的,则获取第一基础设备所对应的前置设备和后置设备,将所有前置设备和后置设备分别具有相同的第二类的安全策略作为第二优化策略,对所述第一基础设备中与所述第二优化策略对应的安全策略优化处理的步骤中,具体包括:
获取每一个前置设备所具有的安全策略的数量,基于所有前置设备的安全策略的数量对多个前置设备进行排序得到前置设备的升序排序结果;
获取每一个后置设备所具有的安全策略的数量,基于所有前置设备的安全策略的数量对多个前置设备进行排序得到后置设备的升序排序结果;
获取安全策略数量最少的前置设备所具有的所有安全策略生成第一策略集、获取安全策略数量最少的后置设备所具有的所有安全策略生成第二策略集;
确定所述第一策略集和第二策略集中的交集得到策略交集;
遍历策略交集中每一个安全策略依次按照所述前置设备的升序排序结果、后置设备的升序排序结果、与每一个前置设备、后置设备所对应的安全策略进行比对,统计所有前置设备、后置设备相同的第二类的安全策略作为第二优化策略;
将第一基础设备中与所述第二优化策略对应的安全策略删除,以实现对第一基础设备的安全策略优化处理。
8.根据权利要求6或7中任意一项所述的IT基础设施安全策略集中管控优化方法,其特征在于,
获取每一个第一基础设备中安全策略集删除的安全策略的数量值得到策略数量差值;
获取优化前的IT基础设施中所有基础设备的第一吞吐量值、优化后的IT基础设施中所有基础设备的第二吞吐量值,根据所述第一吞吐量值和第二吞吐量值得到吞吐量数量差值;
根据所述策略数量差值、吞吐量数量差值得到相对应的优化系数。
9.根据权利要求8所述的IT基础设施安全策略集中管控优化方法,其特征在于,
在根据所述策略数量差值、吞吐量数量差值得到相对应的优化系数的步骤中,具体包括:
通过以下公式计算优化系数,
Figure 705673DEST_PATH_IMAGE001
其中,
Figure 99745DEST_PATH_IMAGE002
为优化系数,
Figure 651949DEST_PATH_IMAGE003
为IT基础设施的量级权重值,
Figure 182287DEST_PATH_IMAGE004
为第
Figure 732217DEST_PATH_IMAGE005
个第一基础设备在进行安 全策略集删除前的安全策略数量值,
Figure 488952DEST_PATH_IMAGE006
为第
Figure 720213DEST_PATH_IMAGE005
个第一基础设备在进行安全策略集删除后的 安全策略数量值,
Figure 495271DEST_PATH_IMAGE007
为第
Figure 950523DEST_PATH_IMAGE005
个第一基础设备的策略数量差值,
Figure 319188DEST_PATH_IMAGE008
为计算策略数量差值时 第一基础设备的上限值,
Figure 963927DEST_PATH_IMAGE009
为第
Figure 734437DEST_PATH_IMAGE005
个第一基础设备的设备权重值,
Figure 360590DEST_PATH_IMAGE010
为第
Figure 341184DEST_PATH_IMAGE011
个第一设备的第 一吞吐量值,
Figure 179827DEST_PATH_IMAGE012
为第
Figure 149052DEST_PATH_IMAGE011
个第一设备的第二吞吐量值,
Figure 211686DEST_PATH_IMAGE014
为计算吞吐量数量差值时第一基础设 备的上限值,
Figure 289363DEST_PATH_IMAGE015
为优化权重值;
判断所述优化系数大于第一优化阈值,则不输出人工优化提醒;
判断所述优化系数小于等于第一优化阈值,则输出人工优化提醒。
10.根据权利要求9所述的IT基础设施安全策略集中管控优化方法,其特征在于,还包括:
若判断未输出人工优化提醒、且未来的预设时间段内管理员存在人工优化行为,则对 所述优化权重值
Figure 790751DEST_PATH_IMAGE015
减小第一预设比例得到调整后的优化权重值
Figure 270274DEST_PATH_IMAGE016
若判断输出人工优化提醒、且未来的预设时间段内管理员未存在人工优化行为,则对 所述优化权重值
Figure 503810DEST_PATH_IMAGE015
增加第二预设比例得到调整后的优化权重值
Figure 947079DEST_PATH_IMAGE017
通过以下公式对优化权重值
Figure 861945DEST_PATH_IMAGE015
调整,
Figure 320609DEST_PATH_IMAGE018
其中,
Figure 725045DEST_PATH_IMAGE016
为优化权重值
Figure 777315DEST_PATH_IMAGE015
减小调整后的数值,
Figure 105659DEST_PATH_IMAGE019
为第一预设比例,
Figure 559774DEST_PATH_IMAGE017
为优化权重值
Figure 135112DEST_PATH_IMAGE015
减 小增加调整后的数值,
Figure 799311DEST_PATH_IMAGE020
为第二预设比例。
CN202210266538.1A 2022-03-18 2022-03-18 It基础设施安全策略集中管控优化方法 Active CN114389897B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210266538.1A CN114389897B (zh) 2022-03-18 2022-03-18 It基础设施安全策略集中管控优化方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210266538.1A CN114389897B (zh) 2022-03-18 2022-03-18 It基础设施安全策略集中管控优化方法

Publications (2)

Publication Number Publication Date
CN114389897A true CN114389897A (zh) 2022-04-22
CN114389897B CN114389897B (zh) 2022-06-10

Family

ID=81204791

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210266538.1A Active CN114389897B (zh) 2022-03-18 2022-03-18 It基础设施安全策略集中管控优化方法

Country Status (1)

Country Link
CN (1) CN114389897B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009020782A (ja) * 2007-07-13 2009-01-29 Hitachi Software Eng Co Ltd セキュアosのセキュリティポリシの最適化方法及びプログラム
US20130111548A1 (en) * 2010-05-07 2013-05-02 Wael Kanoun Method for adapting security policies of an information system infrastructure
CN104717181A (zh) * 2013-12-13 2015-06-17 中国电信股份有限公司 虚拟安全网关的安全策略配置系统与方法
CN104735026A (zh) * 2013-12-19 2015-06-24 华为技术有限公司 安全策略控制方法和装置
CN107094143A (zh) * 2017-04-28 2017-08-25 杭州迪普科技股份有限公司 一种策略冗余的检测方法及装置
US20170353459A1 (en) * 2016-06-06 2017-12-07 Cisco Technology, Inc. Security policy efficacy visualization
CN111835551A (zh) * 2019-04-16 2020-10-27 罗伯特·博世有限公司 运行通信基础设施中的网络部件和监控实体的方法和设备
CN114039853A (zh) * 2021-11-15 2022-02-11 北京天融信网络安全技术有限公司 一种检测安全策略的方法、装置、存储介质和电子设备

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009020782A (ja) * 2007-07-13 2009-01-29 Hitachi Software Eng Co Ltd セキュアosのセキュリティポリシの最適化方法及びプログラム
US20130111548A1 (en) * 2010-05-07 2013-05-02 Wael Kanoun Method for adapting security policies of an information system infrastructure
CN104717181A (zh) * 2013-12-13 2015-06-17 中国电信股份有限公司 虚拟安全网关的安全策略配置系统与方法
CN104735026A (zh) * 2013-12-19 2015-06-24 华为技术有限公司 安全策略控制方法和装置
US20170353459A1 (en) * 2016-06-06 2017-12-07 Cisco Technology, Inc. Security policy efficacy visualization
CN107094143A (zh) * 2017-04-28 2017-08-25 杭州迪普科技股份有限公司 一种策略冗余的检测方法及装置
CN111835551A (zh) * 2019-04-16 2020-10-27 罗伯特·博世有限公司 运行通信基础设施中的网络部件和监控实体的方法和设备
CN114039853A (zh) * 2021-11-15 2022-02-11 北京天融信网络安全技术有限公司 一种检测安全策略的方法、装置、存储介质和电子设备

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
S.V.BELIM 等: "The Security Policies Optimization Problem for Composite Information Systems", 《2020 INTERNATIONAL MULTI-CONFERENCE ON INDUSTRIAL ENGINEERING AND MODERN TECHNOLOGIES (FAREASTCON)》 *
鞠鑫: "市级卫生计生信息中心安全建设的探索与实践", 《中国卫生信息管理》 *

Also Published As

Publication number Publication date
CN114389897B (zh) 2022-06-10

Similar Documents

Publication Publication Date Title
KR101703446B1 (ko) DoS 공격의 탐지가 가능한 네트워크 및 이의 제어 방법과, 상기 네트워크에 포함되는 게이트웨이 및 관리 서버
CN111224940B (zh) 一种嵌套在加密隧道中的匿名服务流量关联识别方法及系统
CN108900541A (zh) 一种针对云数据中心sdn安全态势感知系统及方法
CN103858386A (zh) 通过优化的决策树进行的包分类
CN103414711B (zh) 基于信任的网络群体异常感知方法
CN104102700A (zh) 一种面向因特网不平衡应用流的分类方法
CN100459589C (zh) 流量监管方法及流量监管设备
CN108768695B (zh) Kqi的问题定位方法及装置
US11507076B2 (en) Network analysis program, network analysis device, and network analysis method
CN114866485B (zh) 一种基于聚合熵的网络流量分类方法及分类系统
Berral et al. Adaptive distributed mechanism against flooding network attacks based on machine learning
CN109150859A (zh) 一种基于网络流量流向相似性的僵尸网络检测方法
CN112352412B (zh) 网络流量处理方法、装置、存储介质及计算机设备
CN105490865A (zh) 一种实现流量分析的方法及装置
CN114389897B (zh) It基础设施安全策略集中管控优化方法
CN1992673B (zh) 一种路由器或防火墙中实现分组流识别的方法
CN106530198A (zh) 基于参数拟合安全容量的自适应批量隐写方法
CN112235254A (zh) 一种高速主干网中Tor网桥的快速识别方法
Maia et al. Internet traffic classification using a Hidden Markov Model
Bekkerman et al. Heuristic approximation method for a random flow of events by an MC-flow with arbitrary number of states
CN106603722A (zh) 一种管理设备的确定方法及装置
CN116095006A (zh) 一种视频直播服务的动态流控方法和系统
CN105429852B (zh) 适用于大容量分组传送系统的自适应消息处理系统
KR101615059B1 (ko) 홈 네트워크 품질을 결정하기 위한 방법 및 서버
CN114125845A (zh) 一种基于物联网的智能设备自动连网方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant