一种安全策略的编译、集中管控、转发并行方法及装置与流程
- 国知局
- 2024-08-02 14:54:28
本申请涉及网络安全,尤其涉及一种安全策略的编译、集中管控、转发并行方法及装置。
背景技术:
1、网安融合设备通常部署在核心网络的出入口,以便对整个网络进行全面的安全防护。随着网络规模和网络流量的持续扩张,各种网络应用和网络攻击层出不穷,对网络安全的威胁也日益复杂和多样化。
2、在这种环境下,网安融合设备的安全策略的数量就成为一个至关重要的指标。在网络安全领域,安全策略就是根据用户配置的规则对进出网络的报文进行过滤,根据匹配到的安全策略的不同而采取特定的过滤策略。
3、安全策略通常由源ip地址、目的ip地址、端口号、协议等字段组成。但是每条安全策略的各个字段组成的是一个多维数据,而对多维数据的处理通常没有什么特别好的办法,并且某些字段的拆分也会造成整个安全策略数量的扩张。
4、高配置的网安融合设备通常支持10万级的安全策略,网安融合设备需要将安全策略的规则或定义编译为可由网安融合设备直接使用的形式。这个编译过程可以确保安全策略的一致性和准确性,从而在网安融合设备中有效地实施安全策略。
5、但是,随着安全策略的量级变大,使用已有的编译算法对安全策略进行编译,会导致编译速度慢、编译时间久等问题出现。
技术实现思路
1、为克服相关技术中存在的问题,本申请提供了一种安全策略的编译、集中管控、转发并行方法及装置。
2、根据本申请任一实施例的第一方面,提供了一种安全策略的编译、集中管控、转发并行方法,所述方法包括:
3、统计全部安全策略信息中的各个规则项的重复数量,将所述重复数量符合预设数量范围的规则项划分为策略模版;
4、将命中所述策略模版的安全策略信息,归类为所述策略模版对应的第一策略信息;
5、将未命中所述策略模版的安全策略信息,归类为决策树对应的第二策略信息;
6、对所述第一策略信息和所述第二策略信息进行分类编译,获得编译结果;其中,所述第二策略信息是通过所述决策树的方式进行编译的。
7、根据本申请任一实施例的第二方面,提供了一种安全策略的编译、集中管控、转发并行装置,所述装置包括:
8、策略模板划分模块,用于统计全部安全策略信息中的各个规则项的重复数量,将所述重复数量符合预设数量范围的规则项划分为策略模版;
9、策略模版归类模块,用于将命中所述策略模版的安全策略信息,归类为所述策略模版对应的第一策略信息;
10、决策树归类模块,用于将未命中所述策略模版的安全策略信息,归类为决策树对应的第二策略信息;
11、安全策略处理模块,用于对所述第一策略信息和所述第二策略信息进行分类编译,获得编译结果;其中,所述第二策略信息是通过所述决策树的方式进行编译的。
12、根据本申请任一实施例的第三方面,提供了一种电子设备,包括:
13、处理器;
14、用于存储处理器可执行指令的存储器;
15、其中,所述处理器通过运行所述可执行指令以实现本申请任一实施例中所述的方法。
16、根据本申请任一实施例的第四方面,提供了一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现如上述本申请任一实施例中所述的方法。
17、根据本申请任一实施例的第五方面,提供了一种计算机程序产品,其上存储有计算机程序/指令,该计算机程序/指令被处理器执行时实现如上述本申请任一实施例中所述的方法。
18、本申请提供的技术方案可以包括以下有益效果:
19、根据上述实施例可知,通过统计全部安全策略信息中各个规则项的重复数量,将重复数量符合预设数量范围的规则项划分为策略模版,将命中策略模版中的规则项的安全策略信息,归类为策略模版对应的第一策略信息,将未命中规则项的安全策略信息,归类为决策树对应的第二策略信息,可以降低决策树的深度和节点数量,对第一策略信息和第二策略信息进行分类编译,获得编译结果,通过对归类为策略模版对应的第一策略信息和归类为决策树对应的第二策略信息分类编译,大幅减少整机策略的编译时间,有效提高安全策略信息的解析效率,提高设备整机的吞吐量。
20、应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
技术特征:1.一种安全策略的编译、集中管控、转发并行方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
4.根据权利要求1所述的方法,其特征在于,所述编译结果,包括:所述第一策略信息对应的第一编译结果和所述第二策略信息对应的第二编译结果;
5.根据权利要求1所述的方法,其特征在于,所述策略模版,包括:通用模版和特殊模版;所述第一编译结果,包括:所述通用模板对应的通用编译结果和所述特殊模板对应的特殊编译结果;
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
7.一种安全策略的编译、集中管控、转发并行装置,其特征在于,所述装置包括:
8.一种电子设备,其特征在于,包括:
9.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如权利要求1-6中任一项所述的方法。
10.一种计算机程序产品,其上存储有计算机程序/指令,其特征在于,该计算机程序/指令被处理器执行时实现如权利要求1-6中任一项所述的方法。
技术总结本申请提供一种安全策略的编译、集中管控、转发并行方法及装置。根据本申请的一个示例,该方法可以包括:统计全部安全策略信息中的各个规则项的重复数量,将重复数量符合预设数量范围的规则项划分为策略模版;将命中策略模版的安全策略信息,归类为策略模版对应的第一策略信息;将未命中策略模版的安全策略信息,归类为决策树对应的第二策略信息;对第一策略信息和第二策略信息进行分类编译,获得编译结果;其中,第二策略信息是通过决策树的方式进行编译的。技术研发人员:董俊文,陈艳姣,徐文渊,王树太,徐强受保护的技术使用者:杭州迪普科技股份有限公司技术研发日:技术公布日:2024/7/29本文地址:https://www.jishuxx.com/zhuanli/20240801/244281.html
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 YYfuon@163.com 举报,一经查实,本站将立刻删除。
下一篇
返回列表