CN116846670A - 网络安全配置策略的生成方法、装置和计算机设备 - Google Patents

网络安全配置策略的生成方法、装置和计算机设备 Download PDF

Info

Publication number
CN116846670A
CN116846670A CN202310950717.1A CN202310950717A CN116846670A CN 116846670 A CN116846670 A CN 116846670A CN 202310950717 A CN202310950717 A CN 202310950717A CN 116846670 A CN116846670 A CN 116846670A
Authority
CN
China
Prior art keywords
security configuration
network security
policy
strategy
correct
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310950717.1A
Other languages
English (en)
Inventor
曾诗钦
欧阳宇宏
叶睿显
李曼
车向北
康文倩
黄颖祺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Power Supply Bureau Co Ltd
Original Assignee
Shenzhen Power Supply Bureau Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Power Supply Bureau Co Ltd filed Critical Shenzhen Power Supply Bureau Co Ltd
Priority to CN202310950717.1A priority Critical patent/CN116846670A/zh
Publication of CN116846670A publication Critical patent/CN116846670A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/085Retrieval of network configuration; Tracking network configuration history
    • H04L41/0859Retrieval of network configuration; Tracking network configuration history by keeping history of different configuration generations or by rolling back to previous configuration versions
    • H04L41/0863Retrieval of network configuration; Tracking network configuration history by keeping history of different configuration generations or by rolling back to previous configuration versions by rolling back to previous configuration versions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0876Aspects of the degree of configuration automation
    • H04L41/0883Semiautomatic configuration, e.g. proposals from system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种网络安全配置策略的生成方法、装置和计算机设备。所述方法包括:识别网络安全设备数据中的安全配置意图;将所述安全配置意图与历史策略数据进行比对,根据比对结果对所述安全配置意图进行转译;根据转译后的安全配置意图以及预设策略映射模型,生成网络安全配置策略;根据历史生成的正确安全配置策略对所述网络安全配置策略进行正确性验证,得到正确的网络安全配置策略。采用本方法能够规避潜在的网络安全风险。

Description

网络安全配置策略的生成方法、装置和计算机设备
技术领域
本申请涉及计算机技术领域,特别是涉及一种网络安全配置策略的生成方法、装置、计算机设备、存储介质和计算机程序产品。
背景技术
网络安全配置策略是网络安全管理和网络正常运行的基础,是与网络安全相关的行为规则描述。网络安全配置策略在实际应用中通常表现为一系列约束规则集合,通过对安全设备进行配置,实施网络高层安全策略。
传统技术中,是根据输入的用户应得权限矩阵和用户初始权限矩阵,应用遗传算法寻找最优的网络安全设备配置,并输出该配置及相应的用户实际权限矩阵。然而传统技术可能会存在配置策略错误或者不合理的问题,难以规避潜在的网络安全风险。
发明内容
基于此,有必要针对上述技术问题,提供一种能够规避潜在的网络安全风险的网络安全配置策略的生成方法、装置、计算机设备、存储介质和计算机程序产品。
第一方面,本申请提供了一种网络安全配置策略的生成方法。该方法包括:
识别网络安全设备数据中的安全配置意图;
将安全配置意图与历史策略数据进行比对,根据比对结果对安全配置意图进行转译;
根据转译后的安全配置意图以及预设策略映射模型,生成网络安全配置策略;
根据历史生成的正确安全配置策略对网络安全配置策略进行正确性验证,得到正确的网络安全配置策略。
在其中一个实施例中,根据历史生成的正确安全配置策略对网络安全配置策略进行正确性验证,得到正确的网络安全配置策略包括:
将网络安全配置策略与历史生成的正确安全配置策略进行比对,得到策略比对结果;
若策略比对结果为存在差异,则根据历史生成的正确安全配置策略对网络安全配置策略进行修复,并将修复后的安全配置策略更新为网络安全配置策略,返回将网络安全配置策略与历史生成的正确安全配置策略进行比对的步骤;
若策略比对结果为不存在差异,则对网络安全配置策略进行试运行;
若试运行结果为运行正确,则确定网络安全配置策略通过正确性验证,将网络安全配置策略确定为正确的网络安全配置策略。
在其中一个实施例中,该方法还包括:
若试运行结果为运行错误,则未通过正确性验证,根据历史生成的正确安全配置策略对网络安全配置策略进行修复,并将修复后的安全配置策略更新为网络安全配置策略,返回将网络安全配置策略与历史生成的正确安全配置策略进行比对的步骤。
在其中一个实施例中,根据历史生成的正确安全配置策略对网络安全配置策略进行修复包括:
在网络安全配置策略中提取错误配置数据;
在历史生成的正确安全配置策略中选取与错误配置数据最相似的样本块;
根据最相似的样本块对最相似的样本块对应的错误配置数据进行更正。
在其中一个实施例中,根据转译后的安全配置意图以及预设策略映射模型,生成网络安全配置策略包括:
在预设策略映射模型中确定转译后的安全配置意图对应的属性数据;
根据属性数据对属性数据对应的安全配置意图进行赋值,得到网络安全配置策略。
在其中一个实施例中,该方法还包括:
当网络安全配置策略未通过正确性验证时,生成网络安全配置策略对应的警报信息;
将警报信息发送至终端;终端用于根据警报信息定位网络安全配置策略中的错误配置数据,根据历史生成的正确安全配置策略对网络安全配置策略中的错误配置数据进行修复;
接收修复后的安全配置策略,将修复后的安全配置策略更新为网络安全配置策略,返回根据历史生成的正确安全配置策略对网络安全配置策略进行正确性验证的步骤,直至网络安全配置策略通过正确性验证。
第二方面,本申请还提供了一种网络安全配置策略的生成装置。该装置包括:
意图识别模块,用于识别网络安全设备数据中的安全配置意图;
意图比对模块,用于将安全配置意图与历史策略数据进行比对,根据比对结果对安全配置意图进行转译;
策略生成模块,用于根据转译后的安全配置意图以及预设策略映射模型,生成网络安全配置策略;
策略验证模块,用于根据历史生成的正确安全配置策略对网络安全配置策略进行正确性验证,得到正确的网络安全配置策略。
第三方面,本申请还提供了一种计算机设备。该计算机设备包括存储器和处理器,该存储器存储有计算机程序,该处理器执行该计算机程序时实现以下步骤:
识别网络安全设备数据中的安全配置意图;
将安全配置意图与历史策略数据进行比对,根据比对结果对安全配置意图进行转译;
根据转译后的安全配置意图以及预设策略映射模型,生成网络安全配置策略;
根据历史生成的正确安全配置策略对网络安全配置策略进行正确性验证,得到正确的网络安全配置策略。
第四方面,本申请还提供了一种计算机可读存储介质。该计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以下步骤:
识别网络安全设备数据中的安全配置意图;
将安全配置意图与历史策略数据进行比对,根据比对结果对安全配置意图进行转译;
根据转译后的安全配置意图以及预设策略映射模型,生成网络安全配置策略;
根据历史生成的正确安全配置策略对网络安全配置策略进行正确性验证,得到正确的网络安全配置策略。
第五方面,本申请还提供了一种计算机程序产品。该计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
识别网络安全设备数据中的安全配置意图;
将安全配置意图与历史策略数据进行比对,根据比对结果对安全配置意图进行转译;
根据转译后的安全配置意图以及预设策略映射模型,生成网络安全配置策略;
根据历史生成的正确安全配置策略对网络安全配置策略进行正确性验证,得到正确的网络安全配置策略。
上述网络安全配置策略的生成方法、装置、计算机设备、存储介质和计算机程序产品,通过将安全配置意图与历史策略数据进行比对,并根据比对结果对安全配置意图进行转译,有利于快速提取安全意图数据。之后可根据转译后的安全配置意图以及预设策略映射模型,自动生成网络安全配置策略,在安全配置策略生成过程中,改变了传统的管理员手动生成网络安全设备配置的方式,提高了安全配置策略生成的自动化。在生成安全配置后,根据历史生成的正确安全配置策略对网络安全配置策略进行正确性验证,以实现对错误配置进行修复和多次验证,降低网络中因设备配置错误而造成的潜在的网络安全风险。
附图说明
图1为一个实施例中网络安全配置策略的生成方法的应用环境图;
图2为一个实施例中网络安全配置策略的生成方法的流程示意图;
图3为一个实施例中对网络安全配置策略进行正确性验证的流程示意图;
图4为一个实施例中根据历史生成的正确安全配置策略对网络安全配置策略进行修复的流程示意图;
图5为另一个实施例中网络安全配置策略的生成方法的流程示意图;
图6为一个实施例中网络安全配置策略的生成装置的结构框图;
图7为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的网络安全配置策略的生成方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上,也可以放在云上或其他网络服务器上。终端102发送网络安全配置策略生成请求至服务器104,服务器104对网络安全策略生成请求进行解析,得到该请求携带的网络安全设备数据,识别网络安全设备数据中的安全配置意图,从而将安全配置意图与历史策略数据进行比对,根据比对结果对安全配置意图进行转译,根据转译后的安全配置意图以及预设策略映射模型,生成网络安全配置策略,进而根据历史生成的正确安全配置策略对网络安全配置策略进行正确性验证,得到正确的网络安全配置策略。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和物联网设备。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种网络安全配置策略的生成方法,以该方法应用于图1中的服务器为例进行说明,包括以下步骤:
步骤202,识别网络安全设备数据中的安全配置意图。
其中,网络安全设备数据是指与网络安全设备相关的数据。安全配置意图是指为维持网络安全对网络安全设备参数的设置要求。
具体地,服务器获取终端发送的网络安全配置策略生成请求,对网络安全策略生成请求进行解析,得到该请求携带的网络安全设备数据。网络安全设备数据可以包括设备数据、端口数据、用户数据等多种数据。如设备数据可以包括设备类型、设备品牌、操作系统版本号等。通过辨识性模型识别网络安全设备数据中的安全配置意图。例如,辨识性模型可以是深度学习模型、传统机器学习模型等用于意图识别的模型或者算法。网络安全设备数据中的安全配置意图可以包括与基站发射功率、基站天线俯仰角、传输带宽等物理参数相关的控制指令和数值设定。
可选地,在获取到网络安全设备数据后,可以对网络安全设备数据进行整理,剔除其中的干扰数据信息,再从剔除处理后的网络安全设备数据中识别安全配置意图。由此可避免干扰数据信息对安全配置意图识别的影响。
可选地,将识别出的安全配置意图输入至知识库内。通过知识库将安全配置意图与历史策略数据进行比对,并根据比对结果对安全配置意图进行转译。转译后的安全配置意图仍然存储于知识库中。
步骤204,将安全配置意图与历史策略数据进行比对,根据比对结果对安全配置意图进行转译。
其中,历史策略数据是指历史生成的正确安全配置策略在生成过程中的策略数据。转译是指将安全配置意图数据的语言转译为历史策略数据的语言。
具体的,将安全配置意图与历史策略数据进行比对,得到比对结果。若比对结果为存在遗漏数据,则补充遗漏的数据至安全配置意图。之后,将安全配置意图按照历史策略数据进行转译。若比对结果为不存在遗漏数据,则直接将安全配置意图按照历史策略数据进行转译。
可选地,历史策略数据存储于知识库中,每次进行安全配置策略后的数据,即历史策略数据均会被储存在知识库内部,在进行安全配置时,可对该些数据进行调取。知识库连接云端数据库,能够对历史策略数据进行同步备份。
知识库可以剔除输入的安全配置意图中的无用和干扰数据,得到剔除处理后的安全配置意图。对知识库中的历史策略数据进行调取,将安全配置意图与历史策略数据进行比对,得到比对结果。在比对结果为不存在遗漏数据时,按照历史策略数据,对安全配置意图进行转译。
步骤206,根据转译后的安全配置意图以及预设策略映射模型,生成网络安全配置策略。
其中,预设策略映射模型是指意图与属性的映射关系表。网络安全配置策略是指对网络安全设备的配置方案。
具体的,将转译后的安全配置意图构建至预设策略映射模型中,根据该安全配置意图与预设策略配置模型中属性的映射关系,生成网络安全配置策略。
可选地,预设策略映射模型是通过大量的历史安全配置意图集合,确定意图与属性的关联关系,从而建立的映射关系表。
可选地,对知识库中转译后的安全配置意图进行提取,将提取的安全配置意图构建至预设策略映射模型中,生成网络安全配置策略。
进一步地,由于在对转译后的安全配置意图进行提取时,可能会存在部分数据在识别时丢失的情况,导致部分数据未被提取,需要通过检测模块对提取的数据进行检测,将未提取出的数据反馈至步骤204中再次进行处理,将处理后的数据再次进行配置生成,由此可防止出现数据丢失未提取的情况出现。
步骤208,根据历史生成的正确安全配置策略对网络安全配置策略进行正确性验证,得到正确的网络安全配置策略。
在生成网络安全配置策略后,对策略进行正确性验证。具体的,将生成的网络安全配置策略送至验证区域,通过验证区域根据历史生成的正确安全配置策略对网络安全配置策略进行正确性验证,若验证未通过,则对网络安全配置策略进行修复,再对修复后的安全配置策略进行正确性验证,直至通过验证,得到正确的网络安全配置策略。若通过正确性验证,则将当前的网络安全配置策略确定为正确的网络安全配置策略。
当接收到多个终端发送的网络安全配置策略的生成请求时,会在得到正确的网络安全配置策略后,将生成的正确的网络安全配置策略与终端对应的用户标识进行匹配,将匹配后的正确的网络安全配置策略发送给对应的终端,终端可以使用正确的配置,同时将正确的安全配置策略保存在知识库内,对知识库进行更新。知识库连接有云端设备,将数据备份在云端数据库内,云端数据库设置有管理模块,可定期对失效的信息进行清理,保证对有效信息的准确储存。
上述网络安全配置策略的生成方法中,通过将安全配置意图与历史策略数据进行比对,并根据比对结果对安全配置意图进行转译,有利于快速提取安全意图数据。之后可根据转译后的安全配置意图以及预设策略映射模型,自动生成网络安全配置策略,在安全配置策略生成过程中,改变了传统的管理员手动生成网络安全设备配置的方式,提高了安全配置策略生成的自动化。在生成安全配置后,根据历史生成的正确安全配置策略对网络安全配置策略进行正确性验证,以实现对错误配置进行修复和多次验证,降低网络中因设备配置错误而造成的潜在的网络安全风险。
在一个实施例中,如图3所示,根据历史生成的正确安全配置策略对网络安全配置策略进行正确性验证,得到正确的网络安全配置策略包括:
步骤302,将网络安全配置策略与历史生成的正确安全配置策略进行比对,得到策略比对结果;若策略比对结果为存在差异,则执行步骤304;若策略比对结果为不存在差异,则执行步骤306。
步骤304,根据历史生成的正确安全配置策略对网络安全配置策略进行修复,并将修复后的安全配置策略更新为网络安全配置策略,返回步骤302。
步骤306,对网络安全配置策略进行试运行;若试运行结果为运行正确,则确定网络安全配置策略通过正确性验证,执行步骤308;若试运行结果为运行错误,则未通过正确性验证,返回步骤304。
步骤308,将网络安全配置策略确定为正确的网络安全配置策略。
正确性验证的方式包括与历史生成的正确安全配置策略进行差异性对比和对生成的网络安全配置策略进行试运行两种验证方式。只有在两种验证方式全部通过时,才确定通过正确性验证。任一验证方式未通过时,需要对网络安全配置策略进行修复,之后再重复正确性验证的过程,直至通过正确性验证。
具体的,将生成的网络安全配置策略与历史生成的正确安全配置策略进行对比,得到策略比对结果。识别策略比对结果是否具有差异性。在策略比对结果具有差异性时,进入修复过程,修复后,再返回将生成的网络安全配置策略与历史生成的正确安全配置策略进行对比的步骤。在策略比对结果没有差异性时,进入试运行步骤,将生成的网络安全配置策略送入模拟的运行程序中,对生成的网络安全配置策略进行试运行,通过试运行结果对配置进行验证。在试运行结果正确时,确定网络安全配置策略通过正确性验证,将网络安全配置策略确定为正确的网络安全配置策略,向终端送正确的提示消息和生成的正确网络安全配置策略。在试运行结果错误时,执行修复过程。
本实施例中,通过与历史生成的正确安全配置策略进行差异性对比和对生成的网络安全配置策略进行试运行两种验证方式对生成的网络安全配置策略进行正确性验证,在未通过验证时,对配置策略进行修复,将修复后的配置重新进行准确性验证,通过对错误配置进行修复和多次验证,能够大大降低网络中因设备配置错误而造成的网络风险。
进一步的,如图4所示,根据历史生成的正确安全配置策略对网络安全配置策略进行修复包括:
步骤402,在网络安全配置策略中提取错误配置数据。
步骤404,在历史生成的正确安全配置策略中选取与错误配置数据最相似的样本块。
步骤406,根据最相似的样本块对最相似的样本块对应的错误配置数据进行更正。
其中,样本块是指历史生成的正确安全配置策略中的配置项。
当生成的网络安全配置策略未通过正确性验证时,需要在网络安全配置策略中确定错误配置数据。将错误配置数据按照优先级从高到低进行排列。在历史生成的正确安全配置策略中选取与各错误配置数据最相似的样本块,根据选取的样本块更正相应的错误配置数据,实现配置策略的修复。将修复后的安全配置策略更新为网络安全配置策略,返回将网络安全配置策略与历史生成的正确安全配置策略进行比对的步骤。
在本实施例中,在历史生成的正确安全配置策略中选取与错误配置数据最相似的样本块,对错误配置数据进行修复,能够对错误配置进行准确修复。
在一个实施例中,根据转译后的安全配置意图以及预设策略映射模型,生成网络安全配置策略包括:在预设策略映射模型中确定转译后的安全配置意图对应的属性数据;根据属性数据对属性数据对应的安全配置意图进行赋值,得到网络安全配置策略。
预设策略映射模型中存储有意图与属性的映射关系。识别预设策略映射模型中是否存在转译后的安全配置意图对应的属性数据,若识别到该意图对应的属性数据,则根据属性数据对该意图进行赋值,按照该方式生成网络安全配置策略,能够快速且准确地生成网络安全配置策略。
在一个实施例中,该方法还包括:当网络安全配置策略未通过正确性验证时,生成网络安全配置策略对应的警报信息;将警报信息发送至终端;终端用于根据警报信息定位网络安全配置策略中的错误配置数据,根据历史生成的正确安全配置策略对网络安全配置策略中的错误配置数据进行修复;接收修复后的安全配置策略,将修复后的安全配置策略更新为网络安全配置策略,返回根据历史生成的正确安全配置策略对网络安全配置策略进行正确性验证的步骤,直至网络安全配置策略通过正确性验证。
在对网络安全配置策略进行正确性验证的过程中,若与历史生成的正确安全配置策略存在差异,会根据存在差异的配置数据生成策略比对结果。若在试运行验证过程中,出现运行错误,会根据出现错误的配置数据生成试运行结果。若与历史生成的正确安全配置策略存在差异,或者试运行验证过程中,出现运行错误,均表明未通过正确性验证。此时,会根据存在差异的配置数据或者出现错误的配置数据生成警报信息,将警报信息发送至终端。
终端获取报警信息,同时获取报警信息的发送位置,根据该发送位置确定存在错误的网络安全配置策略,并根据警报信息定位网络安全配置策略中的错误配置数据。将报警信息进行备份记录到工作日志中,同时将该报警信息备份至云端数据库中。
之后,根据历史生成的正确安全配置策略对网络安全配置策略中的错误配置数据进行修复。修复过程和前述服务器的修复过程是相同的,此处不再赘述。终端将修复后的安全配置策略发送至服务器。服务器将修复后的安全配置策略更新为网络安全配置策略,返回根据历史生成的正确安全配置策略对网络安全配置策略进行正确性验证的步骤,直至网络安全配置策略通过正确性验证。
在本实施例中,当网络安全配置策略未通过正确性验证时,生成网络安全配置策略对应的警报信息,发送至终端,通过终端进行策略修复。能够及时提醒终端对错误的配置策略进行修复,提高网络安全配置策略的生成效率。
在另一个实施例中,如图5所示,提供了一种网络安全配置策略的生成方法,包括以下步骤:
步骤502,识别网络安全设备数据中的安全配置意图。
步骤504,将安全配置意图与历史策略数据进行比对,根据比对结果对安全配置意图进行转译。
步骤506,识别预设策略映射模型中转译后的安全配置意图对应的属性数据;根据属性数据对属性数据对应的安全配置意图进行赋值,得到网络安全配置策略。
步骤508,将网络安全配置策略与历史生成的正确安全配置策略进行比对,得到策略比对结果;若策略比对结果为存在差异,则执行步骤510;若策略比对结果为不存在差异,则执行步骤512。
步骤510,生成网络安全配置策略对应的警报信息;将警报信息发送至终端;终端用于根据警报信息定位网络安全配置策略中的错误配置数据,在历史生成的正确安全配置策略中选取与错误配置数据最相似的样本块;根据最相似的样本块对最相似的样本块对应的错误配置数据进行更正,得到修复后的安全配置策略;接收修复后的安全配置策略,将修复后的安全配置策略更新为网络安全配置策略,返回步骤508。
步骤512,对网络安全配置策略进行试运行;若试运行结果为运行正确,则确定网络安全配置策略通过正确性验证,执行步骤514;若试运行结果为运行错误,则未通过正确性验证,返回步骤510。
步骤514,将网络安全配置策略确定为正确的网络安全配置策略,进行配置策略使用。
在本实施例中,通过将安全配置意图与历史策略数据进行比对,并根据比对结果对安全配置意图进行转译,有利于快速提取安全意图数据。之后可根据转译后的安全配置意图以及预设策略映射模型,自动生成网络安全配置策略,在安全配置策略生成过程中,改变了传统的管理员手动生成网络安全设备配置的方式,提高了安全配置策略生成的自动化。在生成安全配置后,根据历史生成的正确安全配置策略对网络安全配置策略进行正确性验证,以实现对错误配置进行修复和多次验证,降低网络中因设备配置错误而造成的潜在的网络安全风险。当网络安全配置策略未通过正确性验证时,生成网络安全配置策略对应的警报信息,发送至终端,通过终端进行策略修复。能够及时提醒终端对错误的配置策略进行修复,提高网络安全配置策略的生成效率。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的网络安全配置策略的生成方法的网络安全配置策略的生成装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个网络安全配置策略的生成装置实施例中的具体限定可以参见上文中对于网络安全配置策略的生成方法的限定,在此不再赘述。
在一个实施例中,如图6所示,提供了一种网络安全配置策略的生成装置,包括:意图识别模块602、意图比对模块604、策略生成模块606和策略验证模块608,其中:
意图识别模块602,用于识别网络安全设备数据中的安全配置意图。
意图比对模块604,用于将安全配置意图与历史策略数据进行比对,根据比对结果对安全配置意图进行转译。
策略生成模块606,用于根据转译后的安全配置意图以及预设策略映射模型,生成网络安全配置策略。
策略验证模块608,用于根据历史生成的正确安全配置策略对网络安全配置策略进行正确性验证,得到正确的网络安全配置策略。
在一个实施例中,策略验证模块608还用于将网络安全配置策略与历史生成的正确安全配置策略进行比对,得到策略比对结果;若策略比对结果为存在差异,则根据历史生成的正确安全配置策略对网络安全配置策略进行修复,并将修复后的安全配置策略更新为网络安全配置策略,返回将网络安全配置策略与历史生成的正确安全配置策略进行比对的步骤;若策略比对结果为不存在差异,则对网络安全配置策略进行试运行;若试运行结果为运行正确,则确定网络安全配置策略通过正确性验证,将网络安全配置策略确定为正确的网络安全配置策略。
在一个实施例中,策略验证模块608还用于若试运行结果为运行错误,则未通过正确性验证,根据历史生成的正确安全配置策略对网络安全配置策略进行修复,并将修复后的安全配置策略更新为网络安全配置策略,返回将网络安全配置策略与历史生成的正确安全配置策略进行比对的步骤。
在一个实施例中,策略验证模块608还用于在网络安全配置策略中提取错误配置数据;在历史生成的正确安全配置策略中选取与错误配置数据最相似的样本块;根据最相似的样本块对最相似的样本块对应的错误配置数据进行更正。
在一个实施例中,策略生成模块606还用于在预设策略映射模型中确定转译后的安全配置意图对应的属性数据;根据属性数据对属性数据对应的安全配置意图进行赋值,得到网络安全配置策略。
在一个实施例中,该装置还包括:
警报模块,用于当网络安全配置策略未通过正确性验证时,生成网络安全配置策略对应的警报信息;将警报信息发送至终端;终端用于根据警报信息定位网络安全配置策略中的错误配置数据,根据历史生成的正确安全配置策略对网络安全配置策略中的错误配置数据进行修复。
策略验证模块608还用于接收修复后的安全配置策略,将修复后的安全配置策略更新为网络安全配置策略,返回根据历史生成的正确安全配置策略对网络安全配置策略进行正确性验证的步骤,直至网络安全配置策略通过正确性验证。
上述网络安全配置策略的生成装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图7所示。该计算机设备包括处理器、存储器、输入/输出接口(Input/Output,简称I/O)和通信接口。其中,处理器、存储器和输入/输出接口通过系统总线连接,通信接口通过输入/输出接口连接到系统总线。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储历史策略数据、预设策略映射模型、历史生成的正确安全配置策略等数据。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络安全配置策略的生成方法。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (10)

1.一种网络安全配置策略的生成方法,其特征在于,所述方法包括:
识别网络安全设备数据中的安全配置意图;
将所述安全配置意图与历史策略数据进行比对,根据比对结果对所述安全配置意图进行转译;
根据转译后的安全配置意图以及预设策略映射模型,生成网络安全配置策略;
根据历史生成的正确安全配置策略对所述网络安全配置策略进行正确性验证,得到正确的网络安全配置策略。
2.根据权利要求1所述的方法,其特征在于,所述根据历史生成的正确安全配置策略对所述网络安全配置策略进行正确性验证,得到正确的网络安全配置策略包括:
将所述网络安全配置策略与历史生成的正确安全配置策略进行比对,得到策略比对结果;
若所述策略比对结果为存在差异,则根据所述历史生成的正确安全配置策略对所述网络安全配置策略进行修复,并将修复后的安全配置策略更新为所述网络安全配置策略,返回所述将所述网络安全配置策略与历史生成的正确安全配置策略进行比对的步骤;
若所述策略比对结果为不存在差异,则对所述网络安全配置策略进行试运行;
若试运行结果为运行正确,则确定所述网络安全配置策略通过正确性验证,将所述网络安全配置策略确定为正确的网络安全配置策略。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
若所述试运行结果为运行错误,则未通过正确性验证,根据所述历史生成的正确安全配置策略对所述网络安全配置策略进行修复,并将修复后的安全配置策略更新为所述网络安全配置策略,返回所述将所述网络安全配置策略与历史生成的正确安全配置策略进行比对的步骤。
4.根据权利要求2或3所述的方法,其特征在于,所述根据所述历史生成的正确安全配置策略对所述网络安全配置策略进行修复包括:
在所述网络安全配置策略中提取错误配置数据;
在所述历史生成的正确安全配置策略中选取与所述错误配置数据最相似的样本块;
根据所述最相似的样本块对所述最相似的样本块对应的错误配置数据进行更正。
5.根据权利要求1所述的方法,其特征在于,所述根据转译后的安全配置意图以及预设策略映射模型,生成网络安全配置策略包括:
在预设策略映射模型中确定转译后的安全配置意图对应的属性数据;
根据所述属性数据对所述属性数据对应的安全配置意图进行赋值,得到网络安全配置策略。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述网络安全配置策略未通过正确性验证时,生成所述网络安全配置策略对应的警报信息;
将所述警报信息发送至终端;所述终端用于根据所述警报信息定位所述网络安全配置策略中的错误配置数据,根据历史生成的正确安全配置策略对所述网络安全配置策略中的错误配置数据进行修复;
接收修复后的安全配置策略,将所述修复后的安全配置策略更新为所述网络安全配置策略,返回所述根据历史生成的正确安全配置策略对所述网络安全配置策略进行正确性验证的步骤,直至所述网络安全配置策略通过正确性验证。
7.一种网络安全配置策略的生成装置,其特征在于,所述装置包括:
意图识别模块,用于识别网络安全设备数据中的安全配置意图;
意图比对模块,用于将所述安全配置意图与历史策略数据进行比对,根据比对结果对所述安全配置意图进行转译;
策略生成模块,用于根据转译后的安全配置意图以及预设策略映射模型,生成网络安全配置策略;
策略验证模块,用于根据历史生成的正确安全配置策略对所述网络安全配置策略进行正确性验证,得到正确的网络安全配置策略。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
CN202310950717.1A 2023-07-28 2023-07-28 网络安全配置策略的生成方法、装置和计算机设备 Pending CN116846670A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310950717.1A CN116846670A (zh) 2023-07-28 2023-07-28 网络安全配置策略的生成方法、装置和计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310950717.1A CN116846670A (zh) 2023-07-28 2023-07-28 网络安全配置策略的生成方法、装置和计算机设备

Publications (1)

Publication Number Publication Date
CN116846670A true CN116846670A (zh) 2023-10-03

Family

ID=88167213

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310950717.1A Pending CN116846670A (zh) 2023-07-28 2023-07-28 网络安全配置策略的生成方法、装置和计算机设备

Country Status (1)

Country Link
CN (1) CN116846670A (zh)

Similar Documents

Publication Publication Date Title
CN109977110B (zh) 数据清洗方法、装置及设备
CN109032824B (zh) 数据库校验方法、装置、计算机设备和存储介质
CN110309125B (zh) 数据校验方法、电子装置及存储介质
CN110781231B (zh) 基于数据库的批量导入方法、装置、设备及存储介质
CN110162516B (zh) 一种基于海量数据处理的数据治理的方法及系统
US9454561B2 (en) Method and a consistency checker for finding data inconsistencies in a data repository
CN113626241B (zh) 应用程序的异常处理方法、装置、设备及存储介质
CN113238924B (zh) 分布式图数据库系统中的混沌工程实现方法和系统
CN110263104B (zh) Json字符串处理方法及装置
CN112559526A (zh) 数据表导出方法、装置、计算机设备及存储介质
CN114443503A (zh) 测试用例的生成方法、装置、计算机设备、存储介质
CN113343677B (zh) 一种意图识别方法、装置、电子设备及存储介质
CN114238474A (zh) 基于排水系统的数据处理方法、装置、设备及存储介质
CN111522881B (zh) 业务数据处理方法、装置、服务器及存储介质
CN116401229A (zh) 数据库的数据校验方法、装置及设备
CN116846670A (zh) 网络安全配置策略的生成方法、装置和计算机设备
CN115827691A (zh) 批量处理结果验证方法、装置、计算机设备、存储介质
CN114462859A (zh) 工作流处理方法、装置、计算机设备和存储介质
CN114416847A (zh) 一种数据转换的方法、装置、服务器及存储介质
CN113806504B (zh) 一种多维度报表数据计算方法、装置和计算机设备
CN117349131A (zh) 系统错误信息的显示方法、装置和计算机设备
CN117971649A (zh) 数据处理方法、装置、计算机设备和存储介质
CN117094316A (zh) 日志模板提取方法、装置、计算机设备和存储介质
CN116881163A (zh) 金融信息系统中测试数据的生成处理方法、装置和设备
CN117541193A (zh) 业务审核方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination