CN106230791A - 一种单业务多策略快速匹配的方法和装置 - Google Patents

一种单业务多策略快速匹配的方法和装置 Download PDF

Info

Publication number
CN106230791A
CN106230791A CN201610581346.4A CN201610581346A CN106230791A CN 106230791 A CN106230791 A CN 106230791A CN 201610581346 A CN201610581346 A CN 201610581346A CN 106230791 A CN106230791 A CN 106230791A
Authority
CN
China
Prior art keywords
strategy
action
matching characteristic
policy library
matching
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610581346.4A
Other languages
English (en)
Inventor
谭天
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201610581346.4A priority Critical patent/CN106230791A/zh
Publication of CN106230791A publication Critical patent/CN106230791A/zh
Priority to US15/654,535 priority patent/US10491636B2/en
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • H04L41/046Network management architectures or arrangements comprising network management agents or mobile agents therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/085Retrieval of network configuration; Tracking network configuration history
    • H04L41/0853Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
    • H04L41/0856Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information by backing up or archiving configuration information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供一种单业务多策略快速匹配方法和装置,应用于网络安全设备,所述方法包括:获取待添加策略;所述待添加策略包含该策略id与若干条规则的映射关系;所述规则包含匹配特征,以及与该匹配特征对应的动作;判断将所述待添加策略添加到预设的策略库中后,所述策略库中匹配特征相同的规则数量是否达到预设的阈值;当所述匹配特征相同的规则数量达到预设的阈值时,针对所述策略库中的策略进行重构;其中,重构后的策略,包含匹配特征,以及与该匹配特征存在映射关系的目标二元组;所述目标二元组,由与该匹配特征对应的策略id和动作组成。应用本实施例,可以避免了对相同匹配特征的策略重复匹配,提高了查询效率。

Description

一种单业务多策略快速匹配的方法和装置
技术领域
本申请涉及网络通信技术领域,特别涉及一种单业务多策略快速匹配的方法和装置。
背景技术
网络安全产品中,每个单一业务都会配置许多安全策略。其中,每个安全策略包含许多的规则,每个规则又由一条匹配特征,以及与该匹配特征对应的动作组成。
在现有技术中,策略与规则之间通常是一种一对多的映射关系。在针对报文进行策略匹配时,通常会遍历策略库中的策略,将报文特征与每个策略中的所有匹配特征进行匹配,当匹配到相应的匹配特征时,则执行与该匹配特征对应的动作,对该报文进行相应的处理。
然而,用户在配置安全策略时,通常不太会关注多个策略之间,或者当前配置的策略与之前已经配置好的策略之间的匹配特征是否重复。随着安全策略数量的增加,相同匹配特征的数量也相对增加,如果仍按采用遍历匹配所有的安全策略的方式,则会极大地降低了查询效率。
发明内容
有鉴于此,本申请提供一种单业务多策略快速匹配方法和装置,在匹配安全策略时,提高查询效率。
具体地,本申请是通过如下技术方案实现的:
一种单业务多策略快速匹配的方法,应用于网络安全设备,包括:
获取待添加策略;所述待添加策略包含该策略id与若干条规则的映射关系;所述规则包含匹配特征,以及与该匹配特征对应的动作;
判断将所述待添加策略添加到预设的策略库中后,所述策略库中匹配特征相同的规则数量是否达到预设的阈值;
当所述匹配特征相同的规则数量达到预设的阈值时,针对所述策略库中的策略进行重构;其中,重构后的策略,包含匹配特征,以及与该匹配特征存在映射关系的目标二元组;所述目标二元组,由与该匹配特征对应的策略id和动作组成。
一种单业务多策略快速匹配的装置,应用于网络安全设备,包括:
获取单元,用于获取待添加策略;所述待添加策略包含该策略id与若干条规则的映射关系;所述规则包含匹配特征,以及与该匹配特征对应的动作;
第一判断单元,用于判断将所述待添加策略添加到预设的策略库中后,所述策略库中匹配特征相同的规则数量是否达到预设的阈值;
重构单元,用于当所述匹配特征相同的规则数量达到预设的阈值时,针对所述策略库中的策略进行重构;其中,重构后的策略,包含匹配特征,以及与该匹配特征存在映射关系的目标二元组;所述目标二元组,由与该匹配特征对应的策略id和动作组成。
由以上本申请提供的技术方案可见,网络安全设备通过获取待添加策略,所述待添加策略包含该策略id与干条规则的映射关系所述规则包含匹配特征,以及与该匹配特征对应的动作,并通过判断将所述待添加策略添加到预设的策略库中后,所述策略库中匹配特征相同的规则数量是否达到预设的阈值。当所述匹配特征相同的规则数量达到预设的阈值时,针对所述策略库中的策略进行重构;其中,重构后的策略,包含匹配特征,以及与该匹配特征存在映射关系的目标二元组;所述目标二元组,由与该匹配特征对应的策略id和动作组成。由于本申请对策略以匹配特征为主键进行了重构,因此实现了在针对接收到的报文进行安全策略匹配时,可以以匹配特征为主键,进行安全策略的匹配,而可以不再采用以策略id为主键的匹配方式,从而可以避免对相同匹配特征的策 略重复匹配,提高了策略匹配的效率。
附图说明
图1是本申请示出的一种单业务多策略快速匹配方法的流程图;
图2是本申请示出的一种单业务多策略快速匹配装置的硬件结构图;
图3是本申请示出的一种单业务多策略快速匹配装置。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
在相关技术中,网络安全产品中针对单一业务通常会配置许多的安全策略,而每一个安全策略通常会包含一个规则集合,而每个规则由一条匹配特征和一个匹配该匹配特征后所要执行的动作组成。
例如,请参见表1,表1为本申请示出的相关技术中安全策略的格式表。
表1
例如,如表1所示,假设安全策略id分别为P1、P2、P3的三条策略,每一条策略中包含有三条规则,每一条规则中分别由一个匹配特征以及与该匹配特征对应的动作组成。
在相关技术中,网络安全设备获取到需要匹配的报文后,将该报文与预设的策略库中的策略进行匹配时,通常以策略id为主键,依次与策略库中的每一条策略进行匹配。
结合表1所示的安全策略的格式表,获取的报文与安全策略进行匹配时,按如下所述的步骤执行:
(1)获取到的报文先与策略id为P1的安全策略匹配,首先可以将该报文与规则1进行匹配,该规则1由Pattern1和Action1组成,如果命中规则,网络安全设备将执行规则1中的Action1,接着可以继续与规则2进行匹配。如果没有命中规则,该报文接着也会继续与规则2进行匹配,该规则2由Pattern2和Action2组成。与规则2匹配完成之后就继续与规则3匹配,直到该报文与策略id为P1所包含的规则全部匹配完成。
(2)获取到的报文与策略id为P1的安全策略匹配完成之后,与策略id为P2的安全策略进行匹配,首先将可以该报文与规则4进行匹配,该规则4由Pattern4和Action4组成,如果命中规则,网络安全设备将执行规则4中的Action4,接着可以继续与规则5进行匹配。如果没有命中规则,该报文接着也会继续与规则5进行匹配,直到该报文与策略id为P2所包含的规则全部匹配完成。
(3)该报文会接着与策略id为P3的安全策略进行匹配,匹配的步骤和顺序就和报文与策略id为P1和P2进行匹配时一样。其中所述策略id为P1、P2、P3所包含的规则数量与内容是可以根据用户需要和实际试验的情况来定的,表1中所配置的安全策略的方式是为了描述方便,P1、P2、P3中可以包含很多且不同数量的规则。
由以上相关技术提供的方案可以看出,网络安全设备在将接收到的报文,与预设的策略库中的策略进行匹配时,通常是以策略id为主键,依次与所述策略库中的每个策略进行匹配。而用户在配置安全策略的时候通常不会关注多个安全策略之间,以及当前配置的策略与之前已经配置好的策略之间的匹配特征是否有重复,并且重复的匹配特征对应的动作也有可能不同。为了能够全面执行策略库中的每条策略所包含的动作,网络安全设备在针对接收到的报文进行安全策略匹配时,通常需要与所有的策略进性一一匹配。因而,当策略库中安全策略数量很大的时候,重复的匹配特征的数量通常也会很大,如果仍然采用报文与策略库中的策略依次匹配的方式,就会导致匹配效率非常低下。
为了解决上述相关技术中的问题,本申请提供了一种单业务多策略快速匹配的方法,通过获取待添加策略,并通过判断将所述待添加策略添加到预设的策略库中后,所述策略库中匹配特征相同的规则数量是否达到预设的阈值。当所述匹配特征相同的规则数量达到预设的阈值时,针对所述策略库中的策略进行重构;其中,重构后的策略,包含匹配特征,以及与该匹配特征存在映射关系的目标二元组;所述目标二元组,由与该匹配特征对应的策略id和动作组成。由于本申请对策略以匹配特征为主键进行了重构,因此实现了在针对接收到的报文进行安全策略匹配时,可以以匹配特征为主键,进行安全策略的匹配, 而可以不再采用以策略id为主键的匹配方式,从而可以避免对相同匹配特征的策略重复匹配,提高了策略匹配的效率。
请参见图1,图1为本申请示出的一种单业务多策略快速匹配的方法流程图,应用于网络安全设备侧,具体执行以下步骤:
步骤101:获取待添加策略;所述待添加策略包含该策略id与若干条规则的映射关系;所述规则包含匹配特征,以及与该匹配特征对应的动作;
步骤102:判断将所述待添加策略添加到预设的策略库中后,所述策略库中匹配特征相同的规则数量是否达到预设的阈值;
步骤103:当所述匹配特征相同的规则数量达到预设的阈值时,针对所述策略库中的策略进行重构;其中,重构后的策略,包含匹配特征,以及与该匹配特征存在映射关系的目标二元组;所述目标二元组,由与该匹配特征对应的策略id和动作组成。
上述网络安全设备可以是网络安全服务器,或者具有报文过滤功能的路由器和交换机。
用户新添加安全策略时,网络安全设备获取待添加策略,所述待添加策略的格式如表1中所示。所述待添加策略包含该策略id与若干条规则的映射关系。其中,所述规则包含匹配特征,以及与该匹配特征对应的动作。
网络安全设备获取到所述待添加策略后,网络安全设备将会判断预设的策略库中的策略是否已经进行过重构。所述策略重构,请参见表2,表2为本申请示出的进行策略重构后的格式表。
表2
根据表1和表2可以看出,相关技术中,策略中的规则形式为
Rule=<Pattern,Action> (1-1)
而本申请提供的方法中,策略中的规则形式为
Rule=<P,Action> (1-2)
相关技术中,策略是策略id与(1-1)所示规则的映射关系,而本申请提供的方法中,策略是匹配特征与(1-2)所示规则的映射关系。
当预设的策略库中的策略是策略id与(1-1)所示规则的映射关系时,网络安全设备将会判断将所述待添加策略添加到预设的策略库中后,所述策略库中匹配特征相同的规则数量是否达到预设的阈值。
其中,由于重构的后的策略会占用较大的内存空间,当策略中不存在重复的匹配特征或者重复的匹配特征数量较少时,网络安全设备对策略进行重构,不仅性能上没什么显著提升,反而会造成内存空间的浪费。因此本申请提供的方法中,策略基于预设的阈值进行动态重构。
所述预设的阈值可以由用户根据具体的需求进行配置。如果用户因为内存空间较小等原因不想对策略进行重构,则可以将阈值设一个非常大值,只要大于所有匹配特征的总数量即可。如果用户对性能要求很高,则可以将阈值设定一个较小的值。
如果将所述待添加策略添加待预设的策略库中后,所述匹配特征相同的规则数量达到预设的阈值,网络安全设备将会把所述待添加策略添加到预设的策略库中,与预设的策略库中的策略一起进行策略重构。将策略重构成匹配特征与(1-2)所示规则的映射关系。
在示出的一种实施方式中,所述策略库中的策略进行重构后,以所述匹配特征为主键,针对所述策略库中匹配特征相同的策略进行合并。
为了避免对匹配特征相同的策略重复匹配,提高安全策略的匹配效率,可以针对所述策略库中匹配特征相同的策略,以所述匹配特征为主键进行合并。假如有如表3中两个重构后的策略Px、Py,表3为本申请示出的另一个进行策略重构后的格式表。
匹配特征 规则 二元组<策略id,动作>
Patterna Rule1 <Px,Actiona>
Patternb Rule2 <Px,Actionb>
Patternc Rule3 <Px,Actionc>
Patternd Rule4 <Py,Actiond>
Patterne Rule5 <Py,Actione>
Patternf Rule6 <Py,Actionf>
表3
(a)、若策略Px,Py之间没有相同的匹配特征,即,Patterna,Patternb,Patternc三个匹配特征中的任意一个与Patternd,Patterne,Patternf三个匹配特征中的任意一个不相同,此时对两个策略按简单的集合并运算进行合并,合并后与表3一样,没任何变化。
参照表2和表3,假如表2中的策略P1、P2、P3没有相同的匹配特征,则表2进行合并操作之后,就和表2一样,没有任何改变。
(b)、若策略Px,Py之间存在相同的匹配特征,即存在Patterna,Patternb,Patternc三个匹配特征中有与Patternd,Patterne,Patternf三个匹配特征中的相同,假如Patternc=Patternd,但同时Actionc≠Actiond,则可以先将匹配特征相同的规则进行合并,如下所示:
NRc=<Patternc,{<Px,Actionc>,<Py,Actiond>}>
或者NRd=<Patternd,{<Px,Actionc>,<Py,Actiond>}>
对匹配特征相同的规则进行合并后,通过(a)的合并方式对策略Px和Py进行集合的并运算,合并之后如表4所示,表4为本申请示出的另一种进行策略重构后的格式表。
匹配特征 规则 二元组<策略id,动作>
Patterna Rule1 <Px,Actiona>
Patternb Rule2 <Px,Actionb>
Patternc/Pattrend Rule3 <Px,Actionc>,<Py,Actiond>
Patterne Rule4 <Py,Actione>
Patternf Rule5 <Py,Actionf>
表4
参照表2和表4,假如表2中的Pattern3=Pattern4,但同时Action3≠Action4,则表2可以合并成表5所示的形式,表5为本申请示出的另一种进行合并操作后的策略格式表。
匹配特征 规则 二元组<策略id,动作>
Pattern1 Rule1 <P1,Action1>
Pattern2 Rule2 <P1,Action2>
Pattern3/Pattern4 Rule3 <P1,Action3>,<P2,Action4>
Pattern5 Rule4 <P2,Action5>
Pattern6 Rule5 <P2,Action6>
Pattern7 Rule6 <P3,Action7>
Pattern8 Rule7 <P3,Action8>
Pattern9 Rule8 <P3,Action9>
表5
在示出的一种实施方式中,所述策略库中匹配特征相同的策略合并后,以所述动作为主键,针对所述同一策略中的相同动作进行合并。
(c)、在(b)的情况下,如果Actionc=Actiond,则NRc,NRd可以进一步合并为:
NRc=<Patternc,{<{Px,Py},Actionc>}>
将上述情况的规则进行合并之后,然后按照(a)所述的简单集合并运算对策略进行合并操作。
参照表5和上述的合并方式,假如表5中的Action3=Action4,则表5可以进行合并成表6所示的形式,表6为本申请示出的另一种进行合并操作后的策略格式表。
匹配特征 规则 二元组<策略id,动作>
Pattern1 Rule1 <P1,Action1>
Pattern2 Rule2 <P1,Action2>
Pattern3/Pattern4 Rule3 <{P1,P2},Action3>
Pattern5 Rule4 <P2,Action5>
Pattern6 Rule5 <P2,Action6>
Pattern7 Rule6 <P3,Action7>
Pattern8 Rule7 <P3,Action8>
Pattern9 Rule8 <P3,Action9>
表6
如果将所述待添加策略添加待预设的策略库中后,所述匹配特征相同的规则数量未达到预设的阈值,网络安全设备将会把所述待添加策略添加到预设的策略库中,不进行策略格式的重构,按照相关技术,对策略库中的策略依次顺次进行匹配。
当预设的策略库中的策略是匹配特征与(1-2)所示的规则的映射关系时,网络安全设备将所述待添加的策略进行重构,重构成策略是匹配特征与(1-2)所示的规则的映射关系。所述待添加策略重构完成后,将所述待添加策略添加到预设的策略库中,与策略库中的策略进行合并,根据策略库中安全策略的形 式,参照(a)、(b)、(c)对策略库中的策略进行合并操作。
策略库中的策略进行重构,以及对匹配特征相同的策略进行合并之后,网络安全设备接收到报文之后,则可以以匹配特征为主键,将该报文与策略库中的策略进行查找匹配。
在示出的另一种实施方式中,当命中策略库中的规则时,可以判断该规则是否对应多个策略;如果该规则对应多个策略,可以基于为该多个策略预先设置的优先级大小,来为与策略对应的动作设置执行顺序。
其中,上述多个策略预先设置了不同的优先级。在设置策略的优先级时,可以根据策略对应的动作的严重级别来设置。其中,每一个动作都对应一个严重级别level,这是根据执行动作后造成后果的严重程度而设定的,动作可以分为两类:阻断类动作,非阻断类动作。阻断类动作只能执行一次,且执行一个阻断类动作之后其它的动作都不能再执行,非阻断类动作则可以多次执行。阻断类动作的严重级别都要高于非阻断类动作。比如,可以把阻断类动作的策略设置较高的优先级,优先执行该策略对应的动作。
1)、当命中的规则中包含多个策略以及对应的动作时,需要对所有的动作指定执行顺序。其中,动作的执行顺序可以是根据动作所对应的策略的优先级来确定。
比如:NRc=<Patternc,{<Px,Actionc>,<Py,Actiond>}>
上述规则中包含两个策略以及对应的两个动作,Actionc与Actiond的执行顺序可以根据该两个动作对应的策略的优先级来决定。当Px的优先级高于Py的优先级,则命中该规则时,先执行Actionc;反之,如果Py的优先级高于Px的优先级,则命中该规则时,先执行Actiond
2)、当命中的规则包含的多个策略对应于同一个动作时,比如:
NRc=<Patternc,{<{Px,Py},Actionc>,<Pz,Actiont>}>
在这种情况下,Actionc将Px和Py中优先级高的作为自己的策略优先级,当Px的优先级高于Py的优先级,则Px作为Actionc的策略优先级,反之,当Py的优先级高于Px的优先级,则Py作为Actionc的策略优先级。Actionc的策略优先 级确定好以后,结合1)的方式,决定Actionc和Actiont的执行顺序。
在示出的另一种实施方式中,当命中的规则中包含唯一策略,在执行与该策略对应的动作时;或者,在基于优先级设置的执行顺序,按顺序的执行多个策略对应的动作时,可以判断执行的策略是否对应多个动作;如果是,还可以基于为该多个动作预先设置的优先级大小,来设置动作执行顺序。
其中,上述多个动作预先设置了不同的优先级。在设置动作的优先级时,每一个动作都对应一个严重级别level,这是根据执行动作后造成后果的严重程度而设定的。动作可以分成两类:阻断类动作和非阻断类动作。其中,阻断类动作只能执行一次,且执行一个阻断类动作之后其它动作都不能再执行,非阻断类动作则可以多次执行。阻断类动作的严重级别都要高于非阻断类动作。比如,用户配置仅执行阻断类动作。由于阻断类动作之间具有排他性,所以只需执行一个阻断类即可。这是仅将level值最大的动作放在动作列表的最前面即可。
3)、当命中的规则包含唯一策略,而该唯一策略对应多个动作时,比如:
NRc=<Patternc,{<Px,{Actionc,Actiond}>}>
在这种情况下,Actionc与Actiond的执行顺序根据动作本身的优先级来决定。优先级高的可以先执行,优先级低的可以后执行。
当然,动作的执行顺序可以由用户在配置安全策略时定制,不一定优先级高的先执行,也可以优先级低的先执行。
如果命中规则时,规则中不存在多个策略以及对应的多个动作的情况,就只是如下的情况:
NRa=<Patterna,<Px,Actiona>>
在这种情况下,只需执行Actiona
4)、当命中的规则包含多个策略,在基于优先级设置的执行顺序,按顺序的执行多个策略对应的动作时,如果执行的策略对应多个动作,比如:
NRx=<Patternx,{<Px,{Actionx,Actiony,Actionz}>,<Pm,Actionm>,<Pn,Actionn>}>
基于优先级设置的执行顺序,Px对应的动作先执行,Pm对应的动作接着执 行,Pn对应的动作最后执行,此时,Px对应了三个动作,在这种情况下,Actionx,Actiony,Actionz的执行顺序由他们本身动作的优先级来确定,优先级高的先执行。当然,根据用户的需求,在设置时,也可以设定优先级低的先执行。
由以上本申请提供的技术方案可见,网络安全设备通过获取待添加策略,所述待添加策略包含该策略id与干条规则的映射关系所述规则包含匹配特征,以及与该匹配特征对应的动作,并通过判断将所述待添加策略添加到预设的策略库中后,所述策略库中匹配特征相同的规则数量是否达到预设的阈值。当所述匹配特征相同的规则数量达到预设的阈值时,针对所述策略库中的策略进行重构;其中,重构后的策略,包含匹配特征,以及与该匹配特征存在映射关系的目标二元组;所述目标二元组,由与该匹配特征对应的策略id和动作组成。由于本申请对策略以匹配特征为主键进行了重构,因此实现了在针对接收到的报文进行安全策略匹配时,可以以匹配特征为主键,进行安全策略的匹配,而可以不再采用以策略id为主键的匹配方式,从而可以避免对相同匹配特征的策略重复匹配,提高了策略匹配的效率。
同时,对安全策略进行重构后,对策略库中的策略,以匹配特征为主键进行合并,可以减少策略库中规则的大小,节省了内存空间。
另外,对策略库中的策略进行合并操作之后,对规则中的多个动作设置了优先级,可以实现执行顺序的灵活定制。
与前述一种单业务多策略快速匹配方法的实施例相对应,本申请还提供了一种单业务多策略快速匹配装置的实施例。
本申请一种单业务多策略快速匹配装置的实施例可以应用在网络安全设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在网络安全设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图2所示,为本申请一种单业务多策略快速匹配装置所在网络安全设备的一种硬件结构图,除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的网络安全设备通常根据该 单业务多策略快速匹配的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图3,图3为本申请示出的一种单业务多策略快速匹配装置,应用于网络安全设备上,所述装置包括:获取单元310,第一判断单元320,重构单元330,第二判断单元340。
其中,获取单元310,用于获取待添加策略;所述待添加策略包含该策略id与若干条规则的映射关系;所述规则包含匹配特征,以及与该匹配特征对应的动作;第一判断单元320,用于判断将所述待添加策略添加到预设的策略库中后,所述策略库中匹配特征相同的规则数量是否达到预设的阈值;重构单元330,用于当所述匹配特征相同的规则数量达到预设的阈值时,针对所述策略库中的策略进行重构;其中,重构后的策略,包含匹配特征,以及与该匹配特征存在映射关系的目标二元组;所述目标二元组,由与该匹配特征对应的策略id和动作组成。所述重构单元具体用于:所述策略库中的策略进行重构后,以所述匹配特征为主键,针对所述策略库中匹配特征相同的策略进行合并。此外,所述重构单元进一步用于:所述策略库中匹配特征相同的策略合并后,以所述动作为主键,针对所述同一策略中的相同动作进行合并。
在本实施例中,还包括第二判断单元340,用于当命中策略库中的规则时,判断所述规则是否对应多个策略;如果所述规则对应多个策略,基于所述多个策略的优先级,优先执行与优先级最高的策略相对应的动作;其中,所述多个策略预先设置了不同的优先级。此外,所述第二判断单元340进一步用于:当执行与所述策略相对应的动作时,判断该策略是否对应多个动作;如果是,基于所述动作的优先级,优先执行优先级最高的动作;其中,所述多个动作预先设置了不同的优先级。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元 显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种单业务多策略快速匹配的方法,应用于网络安全设备,其特征在于,包括:
获取待添加策略;所述待添加策略包含该策略id与若干条规则的映射关系;所述规则包含匹配特征,以及与该匹配特征对应的动作;
判断将所述待添加策略添加到预设的策略库中后,所述策略库中匹配特征相同的规则数量是否达到预设的阈值;
当所述匹配特征相同的规则数量达到预设的阈值时,针对所述策略库中的策略进行重构;其中,重构后的策略,包含匹配特征,以及与该匹配特征存在映射关系的目标二元组;所述目标二元组,由与该匹配特征对应的策略id和动作组成。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述策略库中的策略进行重构后,以所述匹配特征为主键,针对所述策略库中匹配特征相同的策略进行合并。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
所述策略库中匹配特征相同的策略合并后,以所述动作为主键,针对所述同一策略中的相同动作进行合并。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
当命中策略库中的规则时,判断所述规则是否对应多个策略;
如果所述规则对应多个策略,基于所述多个策略的优先级,优先执行与优先级最高的策略相对应的动作;其中,所述多个策略预先设置了不同的优先级。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
当执行与策略相对应的动作时,判断该策略是否对应多个动作;
如果是,基于所述动作的优先级,优先执行优先级最高的动作;其中,所述多个动作预先设置了不同的优先级。
6.一种单业务多策略快速匹配的装置,应用于网络安全设备,其特征在于,包括:
获取单元,用于获取待添加策略;所述待添加策略包含该策略id与若干条规则的映射关系;所述规则包含匹配特征,以及与该匹配特征对应的动作;
第一判断单元,用于判断将所述待添加策略添加到预设的策略库中后,所述策略库中匹配特征相同的规则数量是否达到预设的阈值;
重构单元,用于当所述匹配特征相同的规则数量达到预设的阈值时,针对所述策略库中的策略进行重构;其中,重构后的策略,包含匹配特征,以及与该匹配特征存在映射关系的目标二元组;所述目标二元组,由与该匹配特征对应的策略id和动作组成。
7.根据权利要求6所述的装置,其特征在于,包括:
所述重构单元具体用于:
所述策略库中的策略进行重构后,以所述匹配特征为主键,针对所述策略库中匹配特征相同的策略进行合并。
8.根据权利要求7所述的装置,其特征在于,包括:
所述重构单元进一步用于:
所述策略库中匹配特征相同的策略合并后,以所述动作为主键,针对所述同一策略中的相同动作进行合并。
9.根据权利要求8所述的装置,其特征在于,包括:
第二判断单元,用于当命中策略库中的规则时,判断所述规则是否对应多个策略;如果是,基于所述策略的优先级,执行与所述策略相对应的动作;其中,所述多个策略预先设置了不同的优先级。
10.根据权利要求9所述的装置,其特征在于,包括:
所述第二判断单元进一步用于:
当执行与所述策略相对应的动作时,判断该策略是否对应多个动作;如果是,基于所述动作的优先级,执行对应的动作;其中,所述多个动作预先设置了不同的优先级。
CN201610581346.4A 2016-07-20 2016-07-20 一种单业务多策略快速匹配的方法和装置 Pending CN106230791A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201610581346.4A CN106230791A (zh) 2016-07-20 2016-07-20 一种单业务多策略快速匹配的方法和装置
US15/654,535 US10491636B2 (en) 2016-07-20 2017-07-19 Managing security policy

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610581346.4A CN106230791A (zh) 2016-07-20 2016-07-20 一种单业务多策略快速匹配的方法和装置

Publications (1)

Publication Number Publication Date
CN106230791A true CN106230791A (zh) 2016-12-14

Family

ID=57532199

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610581346.4A Pending CN106230791A (zh) 2016-07-20 2016-07-20 一种单业务多策略快速匹配的方法和装置

Country Status (2)

Country Link
US (1) US10491636B2 (zh)
CN (1) CN106230791A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108055278A (zh) * 2017-12-26 2018-05-18 杭州迪普科技股份有限公司 一种查找会话信息的方法及装置
CN108768879A (zh) * 2018-04-26 2018-11-06 新华三信息安全技术有限公司 一种策略优先级调整方法和装置
CN112256737A (zh) * 2020-10-30 2021-01-22 深圳前海微众银行股份有限公司 一种hive规则匹配数据的方法、设备及存储介质
CN114070786A (zh) * 2021-11-11 2022-02-18 北京天融信网络安全技术有限公司 一种策略路由动态调度方法及装置

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10958622B2 (en) * 2018-01-10 2021-03-23 Cisco Technology, Inc. Hierarchical security group identifiers
CN115292764B (zh) * 2022-10-08 2023-03-24 山东云海国创云计算装备产业创新中心有限公司 一种总线的安全防护方法、装置及介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1898916A (zh) * 2003-10-20 2007-01-17 英特尔公司 使用最具体的过滤器匹配和传输层共享进行两级分组分类的方法和装置
CN101431430A (zh) * 2007-11-07 2009-05-13 中兴通讯股份有限公司 策略执行***及其执行方法
CN102291440A (zh) * 2011-07-28 2011-12-21 清华大学 一种云环境下规则优化方法及装置
CN102891805A (zh) * 2011-07-20 2013-01-23 中兴通讯股份有限公司 一种在网络设备中实现优先级映射的方法及装置
CN103338155A (zh) * 2013-07-01 2013-10-02 安徽中新软件有限公司 一种数据包的高效过滤方法
CN104468361A (zh) * 2014-12-15 2015-03-25 盛科网络(苏州)有限公司 带有优先级的tcam储存和查找方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8204999B2 (en) * 2000-07-10 2012-06-19 Oracle International Corporation Query string processing
US9838454B2 (en) * 2014-04-23 2017-12-05 Cisco Technology, Inc. Policy-based payload delivery for transport protocols

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1898916A (zh) * 2003-10-20 2007-01-17 英特尔公司 使用最具体的过滤器匹配和传输层共享进行两级分组分类的方法和装置
CN101431430A (zh) * 2007-11-07 2009-05-13 中兴通讯股份有限公司 策略执行***及其执行方法
CN102891805A (zh) * 2011-07-20 2013-01-23 中兴通讯股份有限公司 一种在网络设备中实现优先级映射的方法及装置
CN102291440A (zh) * 2011-07-28 2011-12-21 清华大学 一种云环境下规则优化方法及装置
CN103338155A (zh) * 2013-07-01 2013-10-02 安徽中新软件有限公司 一种数据包的高效过滤方法
CN104468361A (zh) * 2014-12-15 2015-03-25 盛科网络(苏州)有限公司 带有优先级的tcam储存和查找方法及装置

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108055278A (zh) * 2017-12-26 2018-05-18 杭州迪普科技股份有限公司 一种查找会话信息的方法及装置
CN108055278B (zh) * 2017-12-26 2020-12-29 杭州迪普科技股份有限公司 一种查找会话信息的方法及装置
CN108768879A (zh) * 2018-04-26 2018-11-06 新华三信息安全技术有限公司 一种策略优先级调整方法和装置
CN108768879B (zh) * 2018-04-26 2022-04-22 新华三信息安全技术有限公司 一种策略优先级调整方法和装置
CN112256737A (zh) * 2020-10-30 2021-01-22 深圳前海微众银行股份有限公司 一种hive规则匹配数据的方法、设备及存储介质
CN112256737B (zh) * 2020-10-30 2024-05-28 深圳前海微众银行股份有限公司 一种hive规则匹配数据的方法、设备及存储介质
CN114070786A (zh) * 2021-11-11 2022-02-18 北京天融信网络安全技术有限公司 一种策略路由动态调度方法及装置

Also Published As

Publication number Publication date
US20180027021A1 (en) 2018-01-25
US10491636B2 (en) 2019-11-26

Similar Documents

Publication Publication Date Title
CN106230791A (zh) 一种单业务多策略快速匹配的方法和装置
Dolev et al. Uniform dynamic self-stabilizing leader election
JP6225261B2 (ja) データを記憶する方法及び装置
JP6469878B2 (ja) データ系統図のフィルタリング
JP2018511106A (ja) データ系統図のフィルタリング
EP3101841B1 (en) Method, system and computer readable medium for network management automation
CN110134659B (zh) 运行程序的日志监控***、方法、介质及设备
EP3101842B1 (en) Method, system and computer readable medium for network management automation
WO2017162026A1 (zh) 生成描述信息的方法及装置
CN105225125B (zh) 信息校验方法及设备
CN106776146A (zh) 一种数据校验方法、装置及***
CN107087032A (zh) 实现集群组建的方法和装置
US20210318947A1 (en) Methods and apparatuses for generating smart contract test case
CN103580918B (zh) 一种配置数据处理方法及装置
CN110399600A (zh) 生成宽表的方法及装置
CN105703941B (zh) 配置事务的处理方法及装置
CN104954415B (zh) 处理http请求的方法及装置
CN115422075A (zh) 一种接口校验方法、装置、计算机设备和存储介质
CN113535225B (zh) 应用软件的环境配置文件处理方法、装置、设备和介质
Sepehr et al. Inferring the structure of polytree networks of dynamic systems with hidden nodes
CN104283736A (zh) 一种基于改良自动状态机的网络通信五元组快速匹配算法
CN105491094A (zh) 处理http请求的方法及装置
CN108897865A (zh) 分布式集群的索引副本数量评估方法及装置
CN106778864A (zh) 初始样本选择方法及装置
CN106302177A (zh) 一种路由过滤规则的组织方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building

Applicant after: Hangzhou Dipu Polytron Technologies Inc

Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building

Applicant before: Hangzhou Dipu Technology Co., Ltd.

RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20161214