CN115065538A - 安全策略的优化方法及装置、电子设备、存储介质 - Google Patents
安全策略的优化方法及装置、电子设备、存储介质 Download PDFInfo
- Publication number
- CN115065538A CN115065538A CN202210686993.7A CN202210686993A CN115065538A CN 115065538 A CN115065538 A CN 115065538A CN 202210686993 A CN202210686993 A CN 202210686993A CN 115065538 A CN115065538 A CN 115065538A
- Authority
- CN
- China
- Prior art keywords
- strategy
- target
- policy
- target strategy
- judgment result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Hardware Redundancy (AREA)
Abstract
本申请提供一种安全策略的优化方法及装置、电子设备、计算机可读存储介质,方法包括:针对多个待处理策略,根据优先级顺序逐个选择每一待处理策略作为目标策略;其中,目标策略为接受优化处理的策略;针对目标策略执行多种异常类型的分析判定,确定与目标策略对应的判定结果;根据目标策略对应的判定结果,生成与判定结果对应的优化提示信息;返回根据优先级顺序逐个选择每一待处理策略作为目标策略的步骤,重复上述过程,直至对多个待处理策略优化完毕。本申请方案,选中目标策略后,对目标策略执行多种异常类型的分析判定,从而生成与判定结果对应的优化提示信息,用于对网络安全设备的策略信息进行精简优化,从而提升网络请求的处理效率。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种安全策略的优化方法及装置、电子设备、计算机可读存储介质。
背景技术
当前网络安全设备对管辖设备的访问限制愈发细化严谨,很多可配置策略的网络安全设备中存在相当多的策略信息。网络安全设备在处理网络请求时,通过优先级顺序遍历所有策略信息,从而对网络请求进行阻断或放行。然而,由于网络安全策略配置的策略信息数量过多,会导致处理网络请求的效率低下。
发明内容
本申请实施例的目的在于提供一种安全策略的优化方法及装置、电子设备、计算机可读存储介质,用于精简策略信息,提高利用策略信息处理网络请求的效率。
一方面,本申请提供了一种安全策略的优化方法,包括:
针对多个待处理策略,根据优先级顺序逐个选择每一待处理策略作为目标策略;其中,所述目标策略为接受优化处理的策略;
针对所述目标策略执行多种异常类型的分析判定,确定与所述目标策略对应的判定结果;
根据所述目标策略对应的判定结果,生成与所述判定结果对应的优化提示信息;
返回所述根据优先级顺序逐个选择每一待处理策略作为目标策略的步骤,重复上述过程,直至对所述多个待处理策略优化完毕。
在依据优先级顺序遍历每一待处理策略时,对该待处理策略执行多种异常类型的分析判定,可以得到精细的判定结果,从而生成与判定结果对应的优化提示信息,用于对网络安全设备的策略信息进行精简优化,从而提升网络请求的处理效率;而遍历过程中,选中任一待处理策略即执行多种分析判定,也可高效地生成判定结果,提升整个优化处理过程的效率。
在一实施例中,所述异常类型包括空闲、冗余、被覆盖、冲突、可合并中至少两种的组合;
所述针对所述目标策略执行多种异常类型的分析判定,包括:
如果异常类型为空闲,判断所述目标策略是否为空闲策略;
如果所述异常类型为冗余,按照优先级顺序逐个比对第一策略与所述目标策略,判断所述第一策略是否使所述目标策略冗余;其中,所述第一策略为优先级低于所述目标策略的策略;
如果所述异常类型为被覆盖,按照优先级顺序逐个比对第二策略与所述目标策略,判断所述第二策略是否使所述目标策略被覆盖;其中,所述第二策略为优先级高于所述目标策略的策略;
如果所述异常类型为冲突,按照优先级顺序逐个比对第三策略与所述目标策略,判断所述第三策略是否与所述目标策略存在冲突;其中,所述第三策略为除目标策略以外的策略;
如果所述异常类型为可合并,按照优先级顺序逐个比对所述第三策略与所述目标策略,判断所述第三策略是否与所述目标策略可合并。
通过上述措施,在配置不同异常类型的分析判定任务时,可以相对应地对目标策略进行分析,以得到判定结果。
在一实施例中,所述针对所述目标策略执行多种异常类型的分析判定,包括:
依据指定顺序,对所述目标策略执行多种异常类型的分析判定;其中,所述指定顺序指示多种异常类型的处理顺序。
通过上述措施,可以根据需求以指定顺序说明各种异常类型的优先级,从而得到侧重于优先级高的异常类型的判定结果。
在一实施例中,所述根据所述目标策略对应的判定结果,生成与所述判定结果对应的优化提示信息,包括:
如果判定结果指示所述目标策略为空闲策略,生成指示删除所述目标策略的优化提示信息;
如果判定结果指示所述目标策略为冗余策略,生成指示删除所述目标策略的优化提示信息;
如果判定结果指示所述目标策略为被覆盖策略,生成指示删除所述目标策略的优化提示信息;
如果所述判定结果指示所述目标策略与任一策略存在冲突,生成指示冲突异常的优化提示信息;
如果所述判定结果指示所述目标策略与任一策略可合并,生成指示合并建议的优化提示信息。
通过上述措施,可以针对不同异常类型的判定结果,生成相对应的优化提示信息。
在一实施例中,在所述根据所述目标策略对应的判定结果,生成与所述判定结果对应的优化提示信息之前,所述方法还包括:
如果所述判定结果指示第四策略与所述目标策略存在冗余关系,或者,优先级低于所述目标策略的第四策略与所述目标策略可合并,遍历优先级介于所述目标策略与所述第四策略之间的每一指定策略;其中,所述指定策略的执行动作与所述目标策略的执行动作不同;
判断每一指定策略对应的匹配特征与所述目标策略对应的匹配特征是否存在交集;
若任一指定策略对应的匹配特征与所述目标策略的匹配特征存在交集,取消所述目标策略对应的判定结果。
通过上述措施,可以进行安全区判定,避免后续依据优化提示信息对目标策略进行处理后,使得网络安全设备对部分流量执行与策略优化前相反的动作。
在一实施例中,所述判断每一指定策略对应的匹配特征与所述目标策略对应的匹配特征是否存在交集,包括:
判断每一指定策略对应的服务与所述目标策略对应的服务是否存在交集;
若任一指定策略对应的服务与所述目标策略对应的服务存在交集,判断所述指定策略对应的IP地址与所述目标策略对应的IP地址是否存在交集。
通过上述措施,对匹配特征交集分两阶段来确定,提高了处理效率。
在一实施例中,所述方法还包括:
如果所述优化提示信息指示删除所述目标策略,为所述目标策略添加预设标记;其中,所述预设标记指示所述目标策略不参与后续的优化过程。
通过上述措施,可以极大地降低整个优化处理过程的工作量,提高优化处理的工作效率。
另一方面,本申请提供了一种安全策略的优化装置,包括:
选择模块,用于针对多个待处理策略,根据优先级顺序逐个选择每一待处理策略作为目标策略;其中,所述目标策略为接受优化处理的策略;
判定模块,用于针对所述目标策略执行多种异常类型的分析判定,确定与所述目标策略对应的判定结果;
生成模块,用于根据所述目标策略对应的判定结果,生成与所述判定结果对应的优化提示信息;
返回模块,用于返回所述根据优先级顺序逐个选择每一待处理策略作为目标策略的步骤,重复上述过程,直至对所述多个待处理策略优化完毕。
进一步的,本申请提供了一种电子设备,所述电子设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行上述安全策略的优化方法。
此外,本申请提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序可由处理器执行以完成上述安全策略的优化方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍。
图1为本申请一实施例提供的安全策略的优化方法的应用场景示意图;
图2为本申请一实施例提供的电子设备的结构示意图;
图3为本申请一实施例提供的安全策略的优化方法的流程示意图;
图4为本申请一实施例提供的异常类型的判定流程示意图;
图5为本申请一实施例提供的安全区判定的流程示意图;
图6为本申请另一实施例提供的安全区判定的流程示意图;
图7为本申请一实施例提供的安全策略的优化装置的框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
图1为本申请实施例提供的安全策略的优化方法的应用场景示意图。如图1所示,该应用场景包括客户端20和服务端30;客户端20可以是网络安全设备,用于向服务端30发送自身所配置的策略信息;服务端30可以是服务器、服务器集群或云计算中心,用于对客户端20上的策略信息进行优化处理。
如图2所示,本实施例提供一种电子设备1,包括:至少一个处理器11和存储器12,图2中以一个处理器11为例。处理器11和存储器12通过总线10连接,存储器12存储有可被处理器11执行的指令,指令被处理器11执行,以使电子设备1可执行下述的实施例中方法的全部或部分流程。在一实施例中,电子设备1可以是上述服务端30,用于执行安全策略的优化方法。
存储器12可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read Only Memory,简称EPROM),可编程只读存储器(Programmable Red-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。
本申请还提供了一种计算机可读存储介质,存储介质存储有计算机程序,计算机程序可由处理器11执行以完成本申请提供的安全策略的优化方法。
参见图3,为本申请一实施例提供的安全策略的优化方法的流程示意图,如图3所示,该方法可以包括以下步骤310-步骤340。
步骤310:针对多个待处理策略,根据优先级顺序逐个选择每一待处理策略作为目标策略;其中,目标策略为接受优化处理的策略。
待处理策略为网络安全设备上需要接受优化处理的安全策略。待处理策略用于指示对流量数据的处理方式,可以包括匹配特征和执行动作。这里,匹配特征可以包括访问协议、源IP(Internet Protocol Address,互联网协议地址)、目的IP、源端口、目的端口,执行动作可以是放行或阻断。
网络安全设备上配置多个安全策略时,各安全策略被设置不同优先级,使得网络安全设备在处理网络请求时,可以根据优先级从大到小的顺序选择安全策略与网络请求进行匹配,从而确定相应的执行动作。
服务端可以从网络安全设备获取多个待处理策略,可以按照优先级从大到小的顺序逐个选择待处理策略作为目标策略,从而对目标策略进行优化处理。
步骤320:针对目标策略执行多种异常类型的分析判定,确定与目标策略对应的判定结果。
其中,异常类型可以为空闲、冗余、被覆盖、冲突、可合并等。
服务端可以对目标策略依次执行多种异常类型的分析判定,从而得到判定结果。
步骤330:根据目标策略对应的判定结果,生成与判定结果对应的优化提示信息。
在获得目标策略对应的判定结果之后,服务端可以生成与该判定结果对应的优化提示信息,该优化提示信息用于提示运维人员对目标策略的优化方式。服务端可以将目标策略对应的优化提示信息写入优化信息库内。
步骤340:返回根据优先级顺序逐个选择每一待处理策略作为目标策略的步骤,重复上述过程,直至对多个待处理策略优化完毕。
在对目标策略优化处理之后,服务端可以返回步骤310,选择优先级顺序中下一待处理策略,作为目标策略,重新执行前述优化处理流程。服务端逐个处理待处理策略,直至所有待处理策略优化完毕。
通过上述措施,服务端在遍历待处理策略时,选中一个待处理策略后,可以直接对其进行多种异常类型的分析判定,从而得到全面综合的判定结果,进而可生成优化提示信息,可在后续对网络安全设备的策略信息进行精简优化,提高网络请求的处理效率。
在一实施例中,多种异常类型包括空闲、冗余、被覆盖、冲突、可合并中至少两种的组合。
空闲指目标策略未被命中,此时目标策略处于空闲状态,对于安全防护并无作用。冗余指目标策略与优先级更低的安全策略具有相同执行动作,且该安全策略的匹配特征包含目标策略的所有匹配特征,此时,目标策略处于冗余状态。被覆盖指存在某一安全策略,该安全策略的优先级高于目标策略,且该安全策略的匹配特征包含目标策略的所有匹配特征,此时,目标策略由于优先级较低,在安全防护中被覆盖,完全不起作用。冲突指存在某一安全策略,该安全策略与目标策略的执行动作相反,且该安全策略的匹配特征与目标策略的匹配特征存在交集。可合并指存在某一安全策略,该安全策略与目标策略的执行动作相同,且安全策略的多项匹配特征中仅有一项与目标策略的匹配特征存在差异。
服务端在对目标策略执行多种异常类型的分析判定时,如果异常类型为空闲,服务端可以判断目标策略是否为空闲策略。服务端可以检查在指定历史时间段内,命中目标策略的网络请求的数量是否为0。这里,指定历史时间段可以根据需求预配置,比如,指定历史时间段可以是进行优化处理前一个月内,或者,指定历史时间段可以是网络安全设备配置目标策略至优化处理的这段时间。一方面,若命中目标策略的网络请求的数量为0,则目标策略为空闲策略。另一方面,若命中目标策略的网络请求的数量不为0,则目标策略不是空闲策略。
如果异常类型为冗余,服务端可以按照优先级顺序逐个比对第一策略与目标策略,判断第一策略是否使目标策略冗余。其中,第一策略为优先级低于目标策略的策略。示例性的,优先级低于目标策略的第一策略共有5条,服务端可以按照优先级从大到小的顺序,逐个选择第一策略与目标策略进行比较。
这里,第一策略使目标策略冗余的条件为,第一策略与目标策略的执行动作相同,且第一策略的匹配特征包含了目标策略的匹配特征。当匹配特征为五元组时,只有当第一策略中五元组的每一项均包含目标策略中对应项的内容时,才可以认为第一策略的匹配特征包含目标策略的匹配特征。
如果异常类型为被覆盖,服务端可以按照优先级顺序逐个比对第二策略与目标策略,判断第二策略是否使目标策略被覆盖。其中,第二策略为优先级高于目标策略的策略。示例性的,优先级高于目标策略的第二策略共有4条,服务端可以按照优先级从大到小的顺序,逐个选择第二策略与目标策略进行比较。
这里,第二策略使目标策略被覆盖的条件为,第二策略的匹配特征包含了目标策略的匹配特征。当匹配特征为五元组时,只有当第二策略中五元组的每一项均包含目标策略中对应项的内容时,才可以认为第二策略的匹配特征包含目标策略的匹配特征。
如果异常类型为冲突,服务端可以按照优先级顺序逐个比对第三策略与目标策略,判断第三策略是否与目标策略存在冲突。其中,第三策略为除了目标策略以外的策略。
这里,第三策略与目标策略存在冲突的条件为,第三策略与目标策略的执行动作不同,且第三策略的匹配特征与目标策略的匹配特征存在交集。这里,当匹配特征存在多项时,每一项匹配特征均存在交集时第三策略与目标策略存在冲突。示例性的,匹配特征为五元组,当某一第三策略与目标策略的执行动作不同,且该第三策略中的访问协议、源IP、目的IP、源端口、目的端口分别与目标策略中的访问协议、源IP、目的IP、源端口、目的端口存在交集,此时,该第三策略与目标策略存在冲突。
如果异常类型为可合并,服务端可以案子优先级顺序逐个比对第三策略与目标策略,判断第三策略是否与目标策略可合并。其中,第三策略为除了目标策略以外的策略。
这里,第三策略与目标策略可合并的条件为,第三策略与目标策略的执行动作相同,且第三策略的多项匹配特征中仅有一项与目标策略的多项匹配特征存在差异。示例性的,匹配特征为五元组信息,某一第三策略的访问协议、源IP、目的IP、源端口分别与目标策略的访问协议、源IP、目的IP、源端口完全一致,且该第三策略的目的端口与目标策略的目的端口存在差异,此时,该第三策略与目标策略可合并。
在一实施例中,对目标策略执行多种异常类型的分析判定时,服务端可以依据指定顺序,对目标策略执行多种异常类型的分析判定。其中,指定顺序指示多种异常类型的处理顺序。
示例性的,多种异常类型包括空闲、冗余、被覆盖、冲突、可合并,指定顺序可以为依次处理空闲、冗余、被覆盖、冲突、可合并这五种异常类型。或者,指定顺序可以为依次处理空闲、冲突、冗余、被覆盖、可合并这五种异常类型。
参见图4,为本申请一实施例提供的异常类型的判定流程示意图,如图4所示,获得网络安全设备的多条待处理策略后,依据优先级顺序遍历每一待处理策略,作为目标策略,进而对目标策略依次执行空闲判定、冗余判定、被覆盖判定、冲突判定、可合并判定,从而得到目标策略的判定结果,并将判定结果写入优化信息库中。
通过指定顺序进行分析判定,该指定顺序指示了各种异常类型的优先级,从而得到维护人员更为关注的异常类型的判定结果。
在一实施例中,根据目标策略对应的判定结果,生成优化提示信息时,如果判定结果指示目标策略为空闲策略,服务端可以生成指示删除目标策略的优化提示信息。该优化提示信息可以说明目标策略为空闲策略,建议删除。
如果判定结果指示目标策略为冗余策略,服务端可以生成指示删除目标策略的优化提示信息。该优化提示信息可以说明优先级较低某一安全策略使该目标策略冗余,建议删除该目标策略。
如果判定结果指示目标策略为被覆盖策略,服务端可以生成指示删除目标策略的优化提示信息。该优化提示信息可以说明目标策略被优先级较高的某一安全策略覆盖,建议删除该目标策略。
如果判定结果指示目标策略与任一策略存在冲突,服务端可以生成指示冲突异常的优化提示信息。该优化提示信息可以说明目标策略与某一安全策略存在冲突,并可以说明冲突涉及的范围,也就是两者匹配特征中存在交集的部分。
如果判定结果指示目标策略与任一策略可合并,服务端可以生成指示合并建议的优化提示信息。该优化提示信息可以指示目标策略与其可合并的安全策略存在差异的匹配特征,并说明两者可合并。
通过上述措施,针对不同异常类型的判定结果,可以针对性地生成优化提示信息,使得后续维护人员可以基于优化提示信息对安全策略进行相应的优化处理,从而精简优化网络安全设备上的安全策略。
在一实施例中,服务端在根据目标策略对应的判定结果,生成相对应的优化提示信息之前,如果判定结果指示第四策略与目标策略存在冗余关系,或者,判定结果指示优先级低于目标策略的第四策略与目标策略可合并,服务端可以对判定结果执行安全区判定,从而根据优化提示信息对目标策略进行删除或合并之后,导致策略优化前后对同一流量的执行动作不同。这里,第四策略表示具体某个与目标策略存在冗余关系的安全策略,或者,第四策略表示具体某个与目标策略可合并的安全策略。
参见图5,为本申请一实施例提供的安全区判定的流程示意图,如图5所示,安全区判定包括如下步骤327-步骤329。
步骤327:遍历优先级介于目标策略与第四策略之间的每一指定策略;其中,指定策略的执行动作与目标策略的执行动作不同。
服务端可以根据目标策略的优先级和第四策略的优先级,筛选出优先级介于两者的优先级之间的多个安全策略。服务端可以从筛选出的多个安全策略中确定执行动作与目标策略不同的安全策略,作为指定策略。
服务端可以遍历每一指定策略,进行安全区判定。
步骤328:判断每一指定策略对应的匹配特征与目标策略对应的匹配特征是否存在交集。
步骤329:若任一指定策略对应的匹配特征与目标策略的匹配特征存在交集,取消目标策略对应的判定结果。
针对每一指定策略,服务端可以检查该指定策略的匹配特征是否与目标策略的匹配特征存在交集。当存在多项匹配特征时,需检查是否多项匹配特征均存在交集。示例性的,匹配特征为五元组信息,需检查指定策略与目标策略之间的服务协议、源IP、目的IP、源端口、目的端口均存在交集。
一方面,若指定策略与目标策略的匹配特征之间无交集,服务端可以选择下一指定策略进行判定,重复这个过程,对所有指定策略判定完毕。另一方面,若任一指定策略的匹配特征与目标策略的匹配特征存在交集,可以确定删除目标策略后,会导致后续处理交集部分流量时网络安全设备执行删除目标策略前相反的动作。示例性的,目标策略为阻断匹配特征交集部分的流量,如果删除目标策略,或将目标策略与优先级较低的第四策略合并,则后续网络安全设备以指定策略处理流量时会放行。这种情况下,服务端可以取消目标策略对应的判定结果。
此外,如果优先级高于目标策略的第四策略与目标策略可合并,服务端可以通过比对指定策略与第四策略之间的匹配特征是否存在交集,从而确定是否取消目标策略的判定结果。具体处理流程可参照前文,在此不再赘述。
通过上述措施,经过安全区判定,避免生成错误的优化提示信息,从而保证网络安全设备可以正常运行。
在一实施例中,在判断指定策略与目标策略之间的匹配特征是否存在交集时,服务端可以判断每一指定策略对应的服务与目标策略对应的服务是否存在交集。
这里,安全策略中的服务可以通过五元组信息中的服务协议、源端口和目的端口来确定。一条安全协议中可以包括若干服务协议、若干源端口和若干目的端口。服务端可以检查指定策略与目标策略之间,是否在服务协议、源端口和目的端口上均存在交集。
一方面,若在服务协议、源端口和目的端口的某一项(比如:服务协议)上,指定策略与目标策略不存在交集,说明两者的匹配特征无交集。另一方面,若在服务协议、源端口和目的端口上,指定策略与目标策略均存在交集,说明指定策略对应的服务与目标策略对应的服务存在交集。
若任一指定策略对应的服务与目标策略对应的服务存在交集,服务端可以判断指定策略对应的IP地址和目标策略对应的IP地址是否存在交集。服务端可以判断该指定策略中的源IP、目的IP是否均与目标策略中的源IP、目的IP存在交集。
一方面,若源IP或目的IP不存在交集,确定指定策略与目标策略之间的匹配特征无交集。另一方面,若源IP和目的IP均存在交集,确定指定策略与目标策略之间的匹配特征存在交集。
通过上述措施,对匹配特征的交集判断分成两个部分进行,可以在服务无交集的情况下快速确定匹配特征无交集,提高了判断效率。
参见图6,为本申请另一实施例提供的安全区判定的流程示意图,如图6所示,确定B策略使A策略冗余之后,可以遍历优先级介于A策略与B策略之间,且执行动作与A策略相反的指定策略。服务端可以判断指定策略与A策略的服务是否存在交集。一方面,若无交集,确定A策略与B策略的冗余关系安全,可以继续选择下一指定策略进行判断。另一方面,若存在交集,服务端可以判断指定策略与A策略指示的IP地址是否存在交集。一种情况下,IP地址无交集,可以确定A策略与B策略的冗余关系安全,可以继续选择下一指定策略进行判断。另一种情况下,IP地址有交集,说明A策略与指定策略的匹配特征存在交集,这种情况下,取消A策略与B策略之间的冗余关系。
在一实施例中,如果优化提示信息指示删除目标策略,服务端可以为目标策略添加预设标记。其中,预设标记指示目标策略不参与后续的优化过程。
示例性的,以图4顺序对G策略进行分析判定的过程中,确定G策略为空闲策略。这种情况下,可以为G策略添加预设标记,并停止对G策略进行冗余判定、被覆盖判定、冲突判定和可合并判定。此外,添加预设标记的G策略,也不再作为比较对象,参与其它目标策略的分析判定过程。换而言之,在对N策略进行某种异常类型(比如:冲突)的分析判定时,无需选择已经添加预设标记的G策略。
通过该措施,可以极大地降低整个优化处理过程的工作量,提高优化处理的工作效率。
图7是本发明一实施例的一种安全策略的优化装置的框图,如图7所示,该装置可以包括:
选择模块710,用于针对多个待处理策略,根据优先级顺序逐个选择每一待处理策略作为目标策略;其中,所述目标策略为接受优化处理的策略;
判定模块720,用于针对所述目标策略执行多种异常类型的分析判定,确定与所述目标策略对应的判定结果;
生成模块730,用于根据所述目标策略对应的判定结果,生成与所述判定结果对应的优化提示信息;
返回模块740,用于返回所述根据优先级顺序逐个选择每一待处理策略作为目标策略的步骤,重复上述过程,直至对所述多个待处理策略优化完毕。
上述装置中各个模块的功能和作用的实现过程具体详见上述安全策略的优化方法中对应步骤的实现过程,在此不再赘述。
在本申请所提供的几个实施例中,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
Claims (10)
1.一种安全策略的优化方法,其特征在于,包括:
针对多个待处理策略,根据优先级顺序逐个选择每一待处理策略作为目标策略;其中,所述目标策略为接受优化处理的策略;
针对所述目标策略执行多种异常类型的分析判定,确定与所述目标策略对应的判定结果;
根据所述目标策略对应的判定结果,生成与所述判定结果对应的优化提示信息;
返回所述根据优先级顺序逐个选择每一待处理策略作为目标策略的步骤,重复上述过程,直至对所述多个待处理策略优化完毕。
2.根据权利要求1所述的方法,其特征在于,所述异常类型包括空闲、冗余、被覆盖、冲突、可合并中至少两种的组合;
所述针对所述目标策略执行多种异常类型的分析判定,包括:
如果异常类型为空闲,判断所述目标策略是否为空闲策略;
如果所述异常类型为冗余,按照优先级顺序逐个比对第一策略与所述目标策略,判断所述第一策略是否使所述目标策略冗余;其中,所述第一策略为优先级低于所述目标策略的策略;
如果所述异常类型为被覆盖,按照优先级顺序逐个比对第二策略与所述目标策略,判断所述第二策略是否使所述目标策略被覆盖;其中,所述第二策略为优先级高于所述目标策略的策略;
如果所述异常类型为冲突,按照优先级顺序逐个比对第三策略与所述目标策略,判断所述第三策略是否与所述目标策略存在冲突;其中,所述第三策略为除目标策略以外的策略;
如果所述异常类型为可合并,按照优先级顺序逐个比对所述第三策略与所述目标策略,判断所述第三策略是否与所述目标策略可合并。
3.根据权利要求2所述的方法,其特征在于,所述针对所述目标策略执行多种异常类型的分析判定,包括:
依据指定顺序,对所述目标策略执行多种异常类型的分析判定;其中,所述指定顺序指示多种异常类型的处理顺序。
4.根据权利要求1所述的方法,其特征在于,所述根据所述目标策略对应的判定结果,生成与所述判定结果对应的优化提示信息,包括:
如果判定结果指示所述目标策略为空闲策略,生成指示删除所述目标策略的优化提示信息;
如果判定结果指示所述目标策略为冗余策略,生成指示删除所述目标策略的优化提示信息;
如果判定结果指示所述目标策略为被覆盖策略,生成指示删除所述目标策略的优化提示信息;
如果所述判定结果指示所述目标策略与任一策略存在冲突,生成指示冲突异常的优化提示信息;
如果所述判定结果指示所述目标策略与任一策略可合并,生成指示合并建议的优化提示信息。
5.根据权利要求1或4所述的方法,其特征在于,在所述根据所述目标策略对应的判定结果,生成与所述判定结果对应的优化提示信息之前,所述方法还包括:
如果所述判定结果指示第四策略与所述目标策略存在冗余关系,或者,优先级低于所述目标策略的第四策略与所述目标策略可合并,遍历优先级介于所述目标策略与所述第四策略之间的每一指定策略;其中,所述指定策略的执行动作与所述目标策略的执行动作不同;
判断每一指定策略对应的匹配特征与所述目标策略对应的匹配特征是否存在交集;
若任一指定策略对应的匹配特征与所述目标策略的匹配特征存在交集,取消所述目标策略对应的判定结果。
6.根据权利要求5所述的方法,其特征在于,所述判断每一指定策略对应的匹配特征与所述目标策略对应的匹配特征是否存在交集,包括:
判断每一指定策略对应的服务与所述目标策略对应的服务是否存在交集;
若任一指定策略对应的服务与所述目标策略对应的服务存在交集,判断所述指定策略对应的IP地址与所述目标策略对应的IP地址是否存在交集。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述优化提示信息指示删除所述目标策略,为所述目标策略添加预设标记;其中,所述预设标记指示所述目标策略不参与后续的优化过程。
8.一种安全策略的优化装置,其特征在于,包括:
选择模块,用于针对多个待处理策略,根据优先级顺序逐个选择每一待处理策略作为目标策略;其中,所述目标策略为接受优化处理的策略;
判定模块,用于针对所述目标策略执行多种异常类型的分析判定,确定与所述目标策略对应的判定结果;
生成模块,用于根据所述目标策略对应的判定结果,生成与所述判定结果对应的优化提示信息;
返回模块,用于返回所述根据优先级顺序逐个选择每一待处理策略作为目标策略的步骤,重复上述过程,直至对所述多个待处理策略优化完毕。
9.一种电子设备,其特征在于,所述电子设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行权利要求1-7任意一项所述的安全策略的优化方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序可由处理器执行以完成权利要求1-7任意一项所述的安全策略的优化方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210686993.7A CN115065538B (zh) | 2022-06-16 | 2022-06-16 | 安全策略的优化方法及装置、电子设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210686993.7A CN115065538B (zh) | 2022-06-16 | 2022-06-16 | 安全策略的优化方法及装置、电子设备、存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115065538A true CN115065538A (zh) | 2022-09-16 |
| CN115065538B CN115065538B (zh) | 2023-09-26 |
Family
ID=83201791
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210686993.7A Active CN115065538B (zh) | 2022-06-16 | 2022-06-16 | 安全策略的优化方法及装置、电子设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115065538B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006105093A2 (en) * | 2005-03-28 | 2006-10-05 | Wake Forest University | Methods, systems, and computer program products for network firewall policy optimization |
| US20130019277A1 (en) * | 2011-07-12 | 2013-01-17 | Cisco Technology, Inc. | Zone-Based Firewall Policy Model for a Virtualized Data Center |
| CN103905406A (zh) * | 2012-12-28 | 2014-07-02 | 中国移动通信集团公司 | 一种失效的防火墙策略检测方法和装置 |
| US20160191466A1 (en) * | 2014-12-30 | 2016-06-30 | Fortinet, Inc. | Dynamically optimized security policy management |
| CN111988273A (zh) * | 2020-07-07 | 2020-11-24 | 国网思极网安科技(北京)有限公司 | 一种防火墙策略管理方法及装置 |
| CN112788059A (zh) * | 2021-01-28 | 2021-05-11 | 新华三信息安全技术有限公司 | 一种策略识别方法及装置 |
| CN114039853A (zh) * | 2021-11-15 | 2022-02-11 | 北京天融信网络安全技术有限公司 | 一种检测安全策略的方法、装置、存储介质和电子设备 |
| CN114205130A (zh) * | 2021-12-03 | 2022-03-18 | 紫光云(南京)数字技术有限公司 | 一种防火墙对象策略规则优先级的实现方法 |
-
2022
- 2022-06-16 CN CN202210686993.7A patent/CN115065538B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006105093A2 (en) * | 2005-03-28 | 2006-10-05 | Wake Forest University | Methods, systems, and computer program products for network firewall policy optimization |
| US20130019277A1 (en) * | 2011-07-12 | 2013-01-17 | Cisco Technology, Inc. | Zone-Based Firewall Policy Model for a Virtualized Data Center |
| CN103905406A (zh) * | 2012-12-28 | 2014-07-02 | 中国移动通信集团公司 | 一种失效的防火墙策略检测方法和装置 |
| US20160191466A1 (en) * | 2014-12-30 | 2016-06-30 | Fortinet, Inc. | Dynamically optimized security policy management |
| CN111988273A (zh) * | 2020-07-07 | 2020-11-24 | 国网思极网安科技(北京)有限公司 | 一种防火墙策略管理方法及装置 |
| CN112788059A (zh) * | 2021-01-28 | 2021-05-11 | 新华三信息安全技术有限公司 | 一种策略识别方法及装置 |
| CN114039853A (zh) * | 2021-11-15 | 2022-02-11 | 北京天融信网络安全技术有限公司 | 一种检测安全策略的方法、装置、存储介质和电子设备 |
| CN114205130A (zh) * | 2021-12-03 | 2022-03-18 | 紫光云(南京)数字技术有限公司 | 一种防火墙对象策略规则优先级的实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115065538B (zh) | 2023-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105721424B (zh) | 基于策略的网络安全 | |
| EP3021546B1 (en) | Selection of countermeasures against cyber attacks | |
| US8739290B1 (en) | Generating alerts in event management systems | |
| US11736511B2 (en) | Information technology security assessment model for process flows and associated automated remediation | |
| US8484729B2 (en) | Security operation management system, security operation management method, and security operation management program | |
| JP7333814B2 (ja) | 情報セキュリティリスクの自動評価 | |
| CN111541686B (zh) | 一种扫描器的调用方法和装置 | |
| CN111445206A (zh) | 工作流控制方法和系统 | |
| KR20210065687A (ko) | 시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치, 방법, 기록 매체 및 컴퓨터 프로그램 | |
| CN110781200B (zh) | 一种区块链异常数据的处理方法、装置、设备和介质 | |
| CN111159702B (zh) | 一种进程名单生成方法和装置 | |
| CN116846619A (zh) | 一种自动化网络安全风险评估方法、系统及可读存储介质 | |
| CN116527514A (zh) | 一种内生安全云服务场景构建方法、装置、设备及介质 | |
| JP2019219898A (ja) | セキュリティ対策検討ツール | |
| CN115065538B (zh) | 安全策略的优化方法及装置、电子设备、存储介质 | |
| US20210342900A1 (en) | Methods for customized rule engines for automated medical bill review and devices thereof | |
| CN116074113B (zh) | 基于业务流程约束的安全防护方法、装置及存储介质 | |
| JP2022537124A (ja) | サイバーリスクをリアルタイムで継続的に判定、処理、修正するためのソフトウェアアプリケーション | |
| CN114584391B (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
| US20240152608A1 (en) | Method for supporting decision-making in security control environment based on artificial intelligence | |
| Thanasegaran et al. | A topology-based conflict detection system for firewall policies using bit-vector-based spatial calculus | |
| US11973776B2 (en) | Intelligent monitoring and logging platform | |
| KR102439817B1 (ko) | 보안 취약점 관리 시스템과 방법 및 그 기록매체 | |
| CN110795220B (zh) | 一种任务合并方法、装置和计算机可读存储介质 | |
| Munoz-Gama et al. | Assessing Severity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |