CN110505186A - 一种安全规则冲突的识别方法、识别设备及存储介质 - Google Patents

一种安全规则冲突的识别方法、识别设备及存储介质 Download PDF

Info

Publication number
CN110505186A
CN110505186A CN201810485801.XA CN201810485801A CN110505186A CN 110505186 A CN110505186 A CN 110505186A CN 201810485801 A CN201810485801 A CN 201810485801A CN 110505186 A CN110505186 A CN 110505186A
Authority
CN
China
Prior art keywords
safety regulation
rule
measured
raw security
raw
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810485801.XA
Other languages
English (en)
Inventor
陈晓帆
古亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN201810485801.XA priority Critical patent/CN110505186A/zh
Publication of CN110505186A publication Critical patent/CN110505186A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Alarm Systems (AREA)

Abstract

本发明公开了一种安全规则冲突的识别方法、识别设备及存储介质。本发明的识别设备首先获取目标网络内各终端安全代理的原始安全规则,并根据各终端安全代理的原始安全规则生成安全规则模型;再接收目标网络中待测终端安全代理发送的待测安全规则;最后将待测安全规则与安全规则模型中的各原始安全规则进行匹配,进而能够高效地识别出新增的待测安全规则是否会与目标网络内各终端的原有的安全规则发生冲突,在所述待测安全规则与安全规则模型中的一原始安全规则匹配成功时,认定待测安全规则与原始安全规则发生冲突,即使目标网络为规模较大的网络时,也能及时地识别出与新增的待测安全规则有冲突的原始安全规则,为目标网络的稳定性提供了保障。

Description

一种安全规则冲突的识别方法、识别设备及存储介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种安全规则冲突的识别方法、识别设备及存储介质。
背景技术
安全代理Agent一般安装在终端设备上面,这些终端设备可以包括物理服务器、虚拟机、容器(一种比虚拟机轻量化的虚拟技术),安全代理Agent通常以软件的形式运行在终端设备中,安全代理Agent主要负责终端设备安全策略的实施,例如安全策略可以是ACL(access control list,访问控制列表)规则,即ACL规则部署于终端设备上。
而一个目标网络中可以包括多个终端设备,每个终端设备上都部署有安全代理Agent;同时,管理人员可以将目标网络划分区域,那么每个区域内就多台终端设备,每台终端有安全代理Agent。假设该目标网络中的某台装有安全代理Agent的终端设备要对区域进行安全策略下发,则安全策略可以自动同步到该区域内每个安全代理Agent中。这样可以达到终端设备单机间的安全防护,也可以实现区域间的安全防护。一般会有中央控制端,作为用户操作界面,用户通过操作界面,对安全代理Agent下发安全策略,实现的主机/虚拟机或区域的防护。
但目前存在以下两个问题:(1)在该目标网络的规模较大时,往往容易发生这样的问题,下发的规则互相冲突,包括单机内规则冲突,域内主机/虚拟机间规则冲突,甚至域间规则冲突;(2)无法预测到安全策略下发后,会对客户业务造成怎样的影响。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种安全规则冲突的识别方法、识别设备及存储介质,旨在解决现有技术中在目标网络规模较大时,无法有效地识别出新增的安全策略和原有的安全规则相冲突的技术问题。
为实现上述目的,本发明提供一种安全规则冲突的识别方法,所述方法包括以下步骤:
识别设备获取目标网络内各终端安全代理的原始安全规则,并根据各终端安全代理的原始安全规则生成安全规则模型;
接收所述目标网络中待测终端安全代理发送的待测安全规则;
将所述待测安全规则与所述安全规则模型中的各原始安全规则进行匹配,在所述待测安全规则与所述安全规则模型中的一原始安全规则匹配成功时,认定所述待测安全规则与原始安全规则发生冲突。
优选地,所述识别设备获取目标网络内各终端安全代理的原始安全规则,并根据各终端安全代理的原始安全规则生成安全规则模型,具体包括:
识别设备向目标网络内的各终端安全代理发送规则采集请求,以使得各终端安全代理根据所述规则采集请求反馈原始安全规则;
接收各终端安全代理反馈的原始安全规则;
基于各终端安全代理反馈的原始安全规则按照预设数据结构建立安全规则模型。
优选地,所述预设数据结构为预设树形结构;
相应地,所述基于各终端安全代理的原始安全规则按照预设数据结构建立安全规则模型,具体包括:
从所述原始安全规则中分别获取与预设树形结构中各预设参数类型对应的参数信息;
在所述预设树形结构中选取与所述参数信息对应的叶子结点;
将所述原始安全规则保存至选取的叶子节点,以建立安全规则模型。
优选地,所述接收各终端安全代理反馈的原始安全规则,具体包括:
接收各终端安全代理反馈的原始安全规则,以及终端设备标识;
相应地,将所述原始安全规则保存至选取的叶子节点,以建立安全规则模型,具体包括:
将所述原始安全规则和所述终端设备标识保存至选取的叶子节点,以建立安全规则模型。
优选地,所述将所述待测安全规则与所述安全规则模型中的各原始安全规则进行匹配,在所述待测安全规则与所述安全规则模型中的一原始安全规则匹配成功时,认定所述待测安全规则与原始安全规则发生冲突,具体包括:
将所述待测安全规则与所述安全规则模型中的各原始安全规则进行匹配;
在所述待测安全规则与所述安全规则模型中的目标原始安全规则相同时,认定所述待测安全规则与所述目标原始安全规则发生冲突,所述目标原始安全规则为与所述待测安全规则匹配成功的原始安全规则;
相应地,所述在所述待测安全规则与所述安全规则模型中的一原始安全规则匹配成功时,认定所述待测安全规则与原始安全规则发生冲突之后,还包括:
确定所述目标原始安全规则对应的目标终端设备标识,对所述目标终端设备标识以及所述目标原始安全规则进行展示。
优选地,所述将所述待测安全规则与所述安全规则模型的各原始安全规则进行匹配,在所述待测安全规则与所述安全规则模型的一个原始安全规则匹配成功时,认定所述待测安全规则与原始安全规则发生冲突,具体包括:
从所述待测安全规则中读取访问控制规则;
分别确定所述安全规则模型中各原始安全规则的禁止规则;
将所述访问控制规则与各原始安全规则的禁止规则进行匹配,以判断所述访问控制规则是否为禁止规则;
在所述访问控制规则为禁止规则时,认定所述待测安全规则与所述禁止规则对应的目标原始安全规则发生冲突;
相应地,所述在所述待测安全规则与所述安全规则模型中的一原始安全规则匹配成功时,认定所述待测安全规则与原始安全规则发生冲突之后,还包括:
确定所述目标原始安全规则对应的目标终端设备标识,对所述目标终端设备标识以及所述目标原始安全规则进行展示。
优选地,所述在所述待测安全规则与所述安全规则模型中的一原始安全规则匹配成功时,认定所述待测安全规则与原始安全规则发生冲突之后,所述方法还包括:
对所述待测安全规则进行拦截。
优选地,所述将所述原始安全规则和所述设备标识保存至选取的叶子节点,以建立安全规则模型之后,所述方法还包括:
按照预设周期获取所述目标网络中各终端安全代理的原始安全规则;
根据各终端安全代理的原始安全规则更新所述安全规则模型。
此外,为实现上述目的,本发明还提出一种识别设备,所述识别设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的安全规则冲突的识别程序,所述安全规则冲突的识别程序被所述处理器执行时实现如权利要求1至8中任一项所述的安全规则冲突的识别方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有安全规则冲突的识别程序,所述安全规则冲突的识别程序被处理器执行时实现如权利要求1至8中任一项所述的安全规则冲突的识别方法的步骤。
本发明的识别设备首先获取目标网络内各终端安全代理的原始安全规则,并根据各终端安全代理的原始安全规则生成安全规则模型;再接收目标网络中待测终端安全代理发送的待测安全规则;最后将待测安全规则与安全规则模型中的各原始安全规则进行匹配,进而能够高效地识别出新增的待测安全规则是否会与目标网络内各终端的原有的安全规则发生冲突,在所述待测安全规则与安全规则模型中的一原始安全规则匹配成功时,认定待测安全规则与原始安全规则发生冲突,即使目标网络为规模较大的网络时,也能及时地识别出与新增的待测安全规则有冲突的原始安全规则,为目标网络的稳定性提供了保障。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的识别设备结构示意图;
图2为本发明安全规则冲突的识别方法第一实施例的流程示意图;
图3为本发明安全规则冲突的识别方法第二实施例的流程示意图;
图4为本发明安全规则冲突的识别方法一实施例中预设树形结构的示意图;
图5为本发明安全规则冲突的识别方法一实施例中一个维度的预设树形结构的示意图;
图6为本发明安全规则冲突的识别方法第三实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的识别设备的结构示意图。
如图1所示,该识别设备可以包括:处理器1001,例如CPU,通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。
其中,所述识别设备可为服务器等其他网络设备。
本领域技术人员可以理解,图1中示出的结构并不构成对所述识别设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作***、网络通信模块、用户接口模块以及安全规则冲突的识别程序。
图1所示的识别设备中,网络接口1004主要用于与外部网络进行数据通信;用户接口1003主要用于接收用户的输入指令;所述安全设备通过处理器1001调用存储器1005中存储的安全规则冲突的识别程序,并执行以下操作:
获取目标网络内各终端安全代理的原始安全规则,并根据各终端安全代理的原始安全规则生成安全规则模型;
接收所述目标网络中待测终端安全代理发送的待测安全规则;
将所述待测安全规则与所述安全规则模型中的各原始安全规则进行匹配,在所述待测安全规则与所述安全规则模型中的一原始安全规则匹配成功时,认定所述待测安全规则与原始安全规则发生冲突。
进一步地,处理器1001可以调用存储器1005中存储的安全规则冲突的识别程序,还执行以下操作:
向目标网络内的各终端安全代理发送规则采集请求,以使得各终端安全代理根据所述规则采集请求反馈原始安全规则;
接收各终端安全代理反馈的原始安全规则;
基于各终端安全代理反馈的原始安全规则按照预设数据结构建立安全规则模型。
进一步地,处理器1001可以调用存储器1005中存储的安全规则冲突的识别程序,还执行以下操作:
从所述原始安全规则中分别获取与预设树形结构中各预设参数类型对应的参数信息;
在所述预设树形结构中选取与所述参数信息对应的叶子结点;
将所述原始安全规则保存至选取的叶子节点,以建立安全规则模型。
进一步地,处理器1001可以调用存储器1005中存储的安全规则冲突的识别程序,还执行以下操作:
接收各终端安全代理反馈的原始安全规则,以及终端设备标识;
将所述原始安全规则和所述终端设备标识保存至选取的叶子节点,以建立安全规则模型。
进一步地,处理器1001可以调用存储器1005中存储的安全规则冲突的识别程序,还执行以下操作:
将所述待测安全规则与所述安全规则模型中的各原始安全规则进行匹配;
在所述待测安全规则与所述安全规则模型中的目标原始安全规则相同时,认定所述待测安全规则与所述目标原始安全规则发生冲突,所述目标原始安全规则为与所述待测安全规则匹配成功的原始安全规则;
确定所述目标原始安全规则对应的目标终端设备标识,对所述目标终端设备标识以及所述目标原始安全规则进行展示。
进一步地,处理器1001可以调用存储器1005中存储的安全规则冲突的识别程序,还执行以下操作:
从所述待测安全规则中读取访问控制规则;
分别确定所述安全规则模型中各原始安全规则的禁止规则;
将所述访问控制规则与各原始安全规则的禁止规则进行匹配,以判断所述访问控制规则是否为禁止规则;
在所述访问控制规则为禁止规则时,认定所述待测安全规则与所述禁止规则对应的目标原始安全规则发生冲突;
确定所述目标原始安全规则对应的目标终端设备标识,对所述目标终端设备标识以及所述目标原始安全规则进行展示。
进一步地,处理器1001可以调用存储器1005中存储的安全规则冲突的识别程序,还执行以下操作:
对所述待测安全规则进行拦截。
进一步地,处理器1001可以调用存储器1005中存储的安全规则冲突的识别程序,还执行以下操作:
按照预设周期获取所述目标网络中各终端安全代理的原始安全规则;
根据各终端安全代理的原始安全规则更新所述安全规则模型。
本实施例的识别设备首先获取目标网络内各终端安全代理的原始安全规则,并根据各终端安全代理的原始安全规则生成安全规则模型;再接收目标网络中待测终端安全代理发送的待测安全规则;最后将待测安全规则与安全规则模型中的各原始安全规则进行匹配,进而能够高效地识别出新增的待测安全规则是否会与目标网络内各终端的原有的安全规则发生冲突,在所述待测安全规则与安全规则模型中的一原始安全规则匹配成功时,认定待测安全规则与原始安全规则发生冲突,即使目标网络为规模较大的网络时,也能及时地识别出与新增的待测安全规则有冲突的原始安全规则,为目标网络的稳定性提供了保障。
基于上述硬件结构,提出本发明安全规则冲突的识别方法实施例。
参照图2,图2为本发明安全规则冲突的识别方法第一实施例的流程示意图。
在第一实施例中,所述安全规则冲突的识别方法包括以下步骤:
步骤S10:识别设备获取目标网络内各终端安全代理的原始安全规则,并根据各终端安全代理的原始安全规则生成安全规则模型;
需要说明的是,本实施例的执行主体为识别设备,所述识别设备可以为服务器等网络设备。目标网络中包括多个终端设备,这些终端设备之间为物理直接连接或者网络间接连接,其中,这些终端设备可以包括物理服务器、虚拟机、以及容器(比如应用容器引擎Docker);其中,终端设备安装有安全代理Agent,安全代理以软件的形式运行在终端设备中,负责安全策略/规则(以下统称安全规则),比如访问控制规则(Access Control List,ACL),在终端设备的部署。同时,管理人员可以将目标网络划分区域,那么每个区域内就有多台终端设备,每台终端有安全代理agent。假设该目标网络中的某台装有安全代理Agent的终端设备要对区域进行安全规则下发,则安全规则可以自动同步到该区域内每个安全代理Agent中。
可理解的是,所述原始安全规则亦可理解为各终端安全代理的当前的安全规则;
在具体实现中,识别设备通过获取目标网络内各终端安全代理的原始安全规则,基于获取到的原始安全规则对该目标网络进行profiling,形成或修正网络模型(即安全规则模型),并将所述安全规则模型存放于数据库中。安全规则模型是整个***的核心。为了保证***的安全规则模型和虚拟或物理网络的真实情况不会有偏差,***会周期性主动从各终端里获取当前的安全规则,以修正网络模型和真实网络情况的偏差,周期长度可调整。
步骤S20:接收所述目标网络中待测终端安全代理发送的待测安全规则;
可以理解的是,用户可通过目标网络中的某台装有安全代理Agent的终端设备对区域或整个网络新增下发一个安全规则,我们可以将这个新增的安全规则称之为待测安全规则。
步骤S30:将所述待测安全规则与所述安全规则模型中的各原始安全规则进行匹配,在所述待测安全规则与所述安全规则模型中的一原始安全规则匹配成功时,认定所述待测安全规则与原始安全规则发生冲突。
可理解的是,识别设备获取新增的安全规则(即待测安全规则)后,需要验证或识别新增的安全规则是否会与目标网络中各个终端安全代理的原始安全规则发生冲突,具体地,识别设备会将新增的安全规则放入所述安全规则模型进行匹配,若新增的安全规则与所述安全规则模型中的某个原始安全规则相匹配,即说明新增的安全规则对该原始安全规则有冲突影响。
本实施例的识别设备首先获取目标网络内各终端安全代理的原始安全规则,并根据各终端安全代理的原始安全规则生成安全规则模型;再接收目标网络中待测终端安全代理发送的待测安全规则;最后将待测安全规则与安全规则模型中的各原始安全规则进行匹配,进而能够高效地识别出新增的待测安全规则是否会与目标网络内各终端的原有的安全规则发生冲突,在所述待测安全规则与安全规则模型中的一原始安全规则匹配成功时,认定待测安全规则与原始安全规则发生冲突,即使目标网络为规模较大的网络时,也能及时地识别出与新增的待测安全规则有冲突的原始安全规则,为目标网络的稳定性提供了保障。
参照图3,图3为本发明安全规则冲突的识别方法第二实施例的流程示意图。基于本发明安全规则冲突的识别方法第一实施例提出本发明安全规则冲突的识别方法第二实施例。
本实施例中,所述步骤S10具体包括:
步骤S101:识别设备向目标网络内的各终端安全代理发送规则采集请求,以使得各终端安全代理根据所述规则采集请求反馈原始安全规则;
步骤S102:接收各终端安全代理反馈的原始安全规则;
可理解的是,识别设备会实时地向各终端安全代理发送规则采集请求,以使得各终端安全代理根据所述规则采集请求反馈流量统计信息;识别设备在接收到终端安全代理反馈流量统计信息时,将流量统计信息转化为该终端安全代理当前的安全规则(即原始安全规则),然后对相同的原始安全规则进行去重处理(当然也可以在将流量统计信息转化为安全规则之前,先对流量统计信息进行去重处理);
进一步地,在步骤S102之后,识别终端会基于各终端安全代理反馈的原始安全规则按照预设数据结构建立安全规则模型,本实施例中的预设数据结构为预设树形结构,相应地,所述基于各终端安全代理的原始安全规则按照预设数据结构建立安全规则模型,具体包括:
步骤S103:从所述原始安全规则中分别获取与预设树形结构中各预设参数类型对应的参数信息;
可理解的是,安全规则中包括五元组(即源IP地址,源端口,目的IP地址,目的端口,和传输层协议),本实施例将五元组称之为预设参数类型。
在具体实现中,为了更加方便地进行将所述待测安全规则与所述安全规则模型中的各原始安全规则进行匹配,可以建立一个数据结构,将所述目标网络中的终端安全代理的原始安全规则全部存储在所述数据结构中,简化搜索与匹配的时间。
本实施例中的数据结构可为预设树形结构,可参见图4,图4为预设树形结构的示意图,预设树形结构为多级树形结构,每一级树都是一个维度,比如,维度1、维度2、维度3、维度4及维度5等。其中,每一维度都对应着一类的预设参数类型,可以理解的是,所述预设参数类型应该与安全规则的特征信息(包括五元组)相对应,可以包括,源IP地址、目的IP地址、源MAC地址(Media Access Control Address,媒体访问控制地址)、目的MAC地址及端口号,维度与预设参数类型的具体对应关系本实施例不加以限制。
应当理解的是,在获取到一条安全规则时,可以提取出该条安全规则的源IP地址、目的IP地址、源MAC地址、目的MAC地址及端口号,比如,提取出的参数信息包括源IP地址为1.0.0.1、目的IP地址为1.0.0.25、源MAC地址为X1.X2.X3.X4、目的MAC地址为X5.X6.X7.X8以及端口号为X9。
步骤S104:在所述预设树形结构中选取与所述参数信息对应的叶子结点;
在具体实现中,在提取出上述各参数类型的参数信息后,将在如图4所示的预设树形结构中查找到对应的叶子节点以将当前安全规则保存至该叶子节点中。
参见图5,图5为一个维度的预设树形结构的示意图。需要说明的,在所述预设树形结构中,每一级树都是一个维度,每一维度都对应着一类的预设参数类型,每一级树的高度为该预设参数类型的字段的长度。
可以理解的是,根据图5可知,比如,图5所示的维度X为表征源IP地址的维度1,由于源IP地址为32比特,则对应的树形结构的高度也为32,即维度1的树形结构的每一层表示一个比特。
在本实施例中,每一层存在三种走向,分别为1、0以及通配符*,其中,“*”表示0或1都可。比如,源IP地址为1.0.0.1,则维度1对应的树形结构的取值应该为0000000100000000 00000000 00000001。从图4中可知,先可确定维度1对应的树形结构的第一层的走向为0,第二层的走向为0……第8层的走向为1……第32层的走向为1,而第32层也是维度1对应的树形结构的最后一层。在到达维度1对应的树形结构的最后一层后,下一步将进入维度2对应的树形结构的第一层,直至最终到达如图4所示的维度5的树形结构的最后一层。通过设计该种预设树形结构,可以将安全规则按照多种不同的参数类型进行分类存储。其中,本实施例不限制维度的具体数量。
步骤S105:将所述原始安全规则保存至选取的叶子节点,以建立安全规则模型。
在具体实现中,在根据走向来确定安全规则最终对应的节点后,若该条安全规则同时存在上述5种参数类型的参数信息,则最终会在维度5对应的树形结构的最后一层设置一个叶子节点,并将当前安全规则保存至该维度5对应的树形结构的最后一层中确定的叶子节点,而最终基于预设树形结构处理完各终端安全代理的原始安全规则后获得的树形结构即为安全规则模型。
进一步地,在建立安全规则模型之后,识别设备会将新增的安全规则放入所述安全规则模型进行匹配,若新增的安全规则与所述安全规则模型中的某个原始安全规则相匹配,即说明新增的安全规则对该原始安全规则对应的流量统计信息有冲突影响。最后会对所述待测安全规则进行拦截。
本实施例中的预设树形结构的优点在于占用空间小,搜索时间短。上万条规则的内存消耗大概为50MB,验证的时间开销为毫秒级,通过将所述目标网络中各终端安全代理的原始安全规则统一存储在所述预设树形结构中,减少安全规则的储存空间,缩短了待测安全规则与安全规则模型中的各原始安全规则的匹配时间。
参照图6,图6为本发明安全规则冲突的识别方法第三实施例的流程示意图。基于本发明安全规则冲突的识别方法第二实施例提出本发明安全规则冲突的识别方法第三实施例。
本实施例中,所述步骤S102具体包括:
步骤S1021:接收各终端安全代理反馈的原始安全规则,以及终端设备标识;
可理解的是,本实施例中,所述终端设备标识是该终端的MAC地址;凡是作为区别该终端的身份信息的都可以作为该终端的终端设备标识,本实施例再次不以赘述。
相应地,所述步骤S105具体包括:
步骤S1051:将所述原始安全规则和所述终端设备标识保存至选取的叶子节点,以建立安全规则模型。
可理解的是,将目标网络中的终端安全代理的安全规则进行了集中存储之后,可以将目标网络中各终端的设备标识也保存至选取的叶子节点中,在所述待测安全规则与所述安全规则模型中的一原始安全规则匹配成功时,能够确定与新增的待测安全规则匹配成功的原始安全规则,也就可以通过设备标识快速查找出所述目标网络中与新增的待测安全规则相冲突的原始安全规则所在的终端。
相应地,所述步骤S30具体包括:
步骤S301:将所述待测安全规则与所述安全规则模型中的各原始安全规则进行匹配;
步骤S302:在所述待测安全规则与所述安全规则模型中的目标原始安全规则相同时,认定所述待测安全规则与所述目标原始安全规则发生冲突,所述目标原始安全规则为与所述待测安全规则匹配成功的原始安全规则;
步骤S302`:从所述待测安全规则中读取访问控制规则,分别确定所述安全规则模型中各原始安全规则的禁止规则,将所述访问控制规则与各原始安全规则的禁止规则进行匹配,以判断所述访问控制规则是否为禁止规则,在所述访问控制规则为禁止规则时,认定所述待测安全规则与所述禁止规则对应的目标原始安全规则发生冲突;
在具体实现中,本实施例以ACL访问控制规则作为安全规则为例进行说明,识别设备在验证新增的待测安全规则是否产生冲突时,首先会读取待测安全规则中的ACL访问控制规则,同时确定所述安全规则模型中各原始安全规则的允许规则和禁止规则;而本实施例是通过两种情况判定新增的待测安全规则是否发生冲突:第一种是在所述待测安全规则与所述安全规则模型中的目标原始安全规则相同时,认定新增的待测安全规则是否发生冲突(对应所述步骤S302),第二种是在新增的待测安全规则为禁止规则时,认定新增的待测安全规则是否发生冲突(对应所述步骤S302`)。
可理解的是,按照本实施的以上步骤检验新增的安全规则和原始的安全规则是否冲突时,可以验证所述待测终端自身的安全规则是否发生冲突,也可以验证所述目标网络内某个域内各终端单机之间的安全规则是否发生冲突,还可以验证所述目标网络内各个域之间的安全规则是否发生冲突。例如如果这个新增的安全规则是对某个区域下发的安全规则,那么在新增安全规则可能会同时影响多个终端单机agent的安全策略,如果该区域内终端的安全规则相同,则影响的是一个IP段的安全规则。
进一步地,所述步骤S30之后,还包括:
步骤S40:确定所述目标原始安全规则对应的目标终端设备标识,对所述目标终端设备标识以及所述目标原始安全规则进行展示。
可理解的是,本实施例的识别设备通过目标终端设备标识快速查找出所述目标网络中与新增的待测安全规则相冲突的原始安全规则所在的目标终端,并将对应的目标终端和原始安全规则进行展示,能够有针对性地帮助用户预测安全规则对业务的影响。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有安全规则冲突的识别程序,所述安全规则冲突的识别程序被处理器执行时实现如下操作:
获取目标网络内各终端安全代理的原始安全规则,并根据各终端安全代理的原始安全规则生成安全规则模型;
接收所述目标网络中待测终端安全代理发送的待测安全规则;
将所述待测安全规则与所述安全规则模型中的各原始安全规则进行匹配,在所述待测安全规则与所述安全规则模型中的一原始安全规则匹配成功时,认定所述待测安全规则与原始安全规则发生冲突。
进一步地,所述安全规则冲突的识别程序被处理器执行时还实现如下操作:
向目标网络内的各终端安全代理发送规则采集请求,以使得各终端安全代理根据所述规则采集请求反馈原始安全规则;
接收各终端安全代理反馈的原始安全规则;
基于各终端安全代理反馈的原始安全规则按照预设数据结构建立安全规则模型。
进一步地,所述安全规则冲突的识别程序被处理器执行时还实现如下操作:
从所述原始安全规则中分别获取与预设树形结构中各预设参数类型对应的参数信息;
在所述预设树形结构中选取与所述参数信息对应的叶子结点;
将所述原始安全规则保存至选取的叶子节点,以建立安全规则模型。
进一步地,所述安全规则冲突的识别程序被处理器执行时还实现如下操作:
接收各终端安全代理反馈的原始安全规则,以及终端设备标识;
将所述原始安全规则和所述终端设备标识保存至选取的叶子节点,以建立安全规则模型。
进一步地,所述安全规则冲突的识别程序被处理器执行时还实现如下操作:
将所述待测安全规则与所述安全规则模型中的各原始安全规则进行匹配;
在所述待测安全规则与所述安全规则模型中的目标原始安全规则相同时,认定所述待测安全规则与所述目标原始安全规则发生冲突,所述目标原始安全规则为与所述待测安全规则匹配成功的原始安全规则;
确定所述目标原始安全规则对应的目标终端设备标识,对所述目标终端设备标识以及所述目标原始安全规则进行展示。
进一步地,所述安全规则冲突的识别程序被处理器执行时还实现如下操作:
从所述待测安全规则中读取访问控制规则;
分别确定所述安全规则模型中各原始安全规则的禁止规则;
将所述访问控制规则与各原始安全规则的禁止规则进行匹配,以判断所述访问控制规则是否为禁止规则;
在所述访问控制规则为禁止规则时,认定所述待测安全规则与所述禁止规则对应的目标原始安全规则发生冲突;
确定所述目标原始安全规则对应的目标终端设备标识,对所述目标终端设备标识以及所述目标原始安全规则进行展示。
进一步地,所述安全规则冲突的识别程序被处理器执行时还实现如下操作:
对所述待测安全规则进行拦截。
进一步地,所述安全规则冲突的识别程序被处理器执行时还实现如下操作:
按照预设周期获取所述目标网络中各终端安全代理的原始安全规则;
根据各终端安全代理的原始安全规则更新所述安全规则模型。
本实施例的识别设备首先获取目标网络内各终端安全代理的原始安全规则,并根据各终端安全代理的原始安全规则生成安全规则模型;再接收目标网络中待测终端安全代理发送的待测安全规则;最后将待测安全规则与安全规则模型中的各原始安全规则进行匹配,进而能够高效地识别出新增的待测安全规则是否会与目标网络内各终端的原有的安全规则发生冲突,在所述待测安全规则与安全规则模型中的一原始安全规则匹配成功时,认定待测安全规则与原始安全规则发生冲突,即使目标网络为规模较大的网络时,也能及时地识别出与新增的待测安全规则有冲突的原始安全规则,为目标网络的稳定性提供了保障。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者***不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者***所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者***中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种安全规则冲突的识别方法,其特征在于,所述方法包括以下步骤:
识别设备获取目标网络内各终端安全代理的原始安全规则,并根据各终端安全代理的原始安全规则生成安全规则模型;
接收所述目标网络中待测终端安全代理发送的待测安全规则;
将所述待测安全规则与所述安全规则模型中的各原始安全规则进行匹配,在所述待测安全规则与所述安全规则模型中的一原始安全规则匹配成功时,认定所述待测安全规则与原始安全规则发生冲突。
2.如权利要求1所述的方法,其特征在于,所述识别设备获取目标网络内各终端安全代理的原始安全规则,并根据各终端安全代理的原始安全规则生成安全规则模型,具体包括:
识别设备向目标网络内的各终端安全代理发送规则采集请求,以使得各终端安全代理根据所述规则采集请求反馈原始安全规则;
接收各终端安全代理反馈的原始安全规则;
基于各终端安全代理反馈的原始安全规则按照预设数据结构建立安全规则模型。
3.如权利要求2所述的方法,其特征在于,所述预设数据结构为预设树形结构;
相应地,所述基于各终端安全代理的原始安全规则按照预设数据结构建立安全规则模型,具体包括:
从所述原始安全规则中分别获取与预设树形结构中各预设参数类型对应的参数信息;
在所述预设树形结构中选取与所述参数信息对应的叶子结点;
将所述原始安全规则保存至选取的叶子节点,以建立安全规则模型。
4.如权利要求3所述的方法,其特征在于,所述接收各终端安全代理反馈的原始安全规则,具体包括:
接收各终端安全代理反馈的原始安全规则,以及终端设备标识;
相应地,将所述原始安全规则保存至选取的叶子节点,以建立安全规则模型,具体包括:
将所述原始安全规则和所述终端设备标识保存至选取的叶子节点,以建立安全规则模型。
5.如权利要求4所述的方法,其特征在于,所述将所述待测安全规则与所述安全规则模型中的各原始安全规则进行匹配,在所述待测安全规则与所述安全规则模型中的一原始安全规则匹配成功时,认定所述待测安全规则与原始安全规则发生冲突,具体包括:
将所述待测安全规则与所述安全规则模型中的各原始安全规则进行匹配;
在所述待测安全规则与所述安全规则模型中的目标原始安全规则相同时,认定所述待测安全规则与所述目标原始安全规则发生冲突,所述目标原始安全规则为与所述待测安全规则匹配成功的原始安全规则;
相应地,所述在所述待测安全规则与所述安全规则模型中的一原始安全规则匹配成功时,认定所述待测安全规则与原始安全规则发生冲突之后,还包括:
确定所述目标原始安全规则对应的目标终端设备标识,对所述目标终端设备标识以及所述目标原始安全规则进行展示。
6.如权利要求4所述的方法,其特征在于,所述将所述待测安全规则与所述安全规则模型的各原始安全规则进行匹配,在所述待测安全规则与所述安全规则模型的一个原始安全规则匹配成功时,认定所述待测安全规则与原始安全规则发生冲突,具体包括:
从所述待测安全规则中读取访问控制规则;
分别确定所述安全规则模型中各原始安全规则的禁止规则;
将所述访问控制规则与各原始安全规则的禁止规则进行匹配,以判断所述访问控制规则是否为禁止规则;
在所述访问控制规则为禁止规则时,认定所述待测安全规则与所述禁止规则对应的目标原始安全规则发生冲突;
相应地,所述在所述待测安全规则与所述安全规则模型中的一原始安全规则匹配成功时,认定所述待测安全规则与原始安全规则发生冲突之后,还包括:
确定所述目标原始安全规则对应的目标终端设备标识,对所述目标终端设备标识以及所述目标原始安全规则进行展示。
7.如权利要求1-6任一项所述的方法,其特征在于,所述在所述待测安全规则与所述安全规则模型中的一原始安全规则匹配成功时,认定所述待测安全规则与原始安全规则发生冲突之后,所述方法还包括:
对所述待测安全规则进行拦截。
8.如权利要求1-6任一项所述的方法,其特征在于,所述将所述原始安全规则和所述设备标识保存至选取的叶子节点,以建立安全规则模型之后,所述方法还包括:
按照预设周期获取所述目标网络中各终端安全代理的原始安全规则;
根据各终端安全代理的原始安全规则更新所述安全规则模型。
9.一种识别设备,其特征在于,所述识别设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的安全规则冲突的识别程序,所述安全规则冲突的识别程序被所述处理器执行时实现如权利要求1至8中任一项所述的安全规则冲突的识别方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有安全规则冲突的识别程序,所述安全规则冲突的识别程序被处理器执行时实现如权利要求1至8中任一项所述的安全规则冲突的识别方法的步骤。
CN201810485801.XA 2018-05-18 2018-05-18 一种安全规则冲突的识别方法、识别设备及存储介质 Pending CN110505186A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810485801.XA CN110505186A (zh) 2018-05-18 2018-05-18 一种安全规则冲突的识别方法、识别设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810485801.XA CN110505186A (zh) 2018-05-18 2018-05-18 一种安全规则冲突的识别方法、识别设备及存储介质

Publications (1)

Publication Number Publication Date
CN110505186A true CN110505186A (zh) 2019-11-26

Family

ID=68584179

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810485801.XA Pending CN110505186A (zh) 2018-05-18 2018-05-18 一种安全规则冲突的识别方法、识别设备及存储介质

Country Status (1)

Country Link
CN (1) CN110505186A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113472756A (zh) * 2021-06-18 2021-10-01 深信服科技股份有限公司 一种策略冲突检测方法、装置及存储介质
CN114285657A (zh) * 2021-12-28 2022-04-05 中国工商银行股份有限公司 防火墙安全策略变更验证方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008009990A1 (en) * 2006-07-19 2008-01-24 Chronicle Solutions (Uk) Limited System
CN107508836A (zh) * 2017-09-27 2017-12-22 杭州迪普科技股份有限公司 一种acl规则下发的方法及装置
CN107800640A (zh) * 2017-09-19 2018-03-13 北京邮电大学 一种流规则的检测和处理的方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008009990A1 (en) * 2006-07-19 2008-01-24 Chronicle Solutions (Uk) Limited System
CN107800640A (zh) * 2017-09-19 2018-03-13 北京邮电大学 一种流规则的检测和处理的方法
CN107508836A (zh) * 2017-09-27 2017-12-22 杭州迪普科技股份有限公司 一种acl规则下发的方法及装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113472756A (zh) * 2021-06-18 2021-10-01 深信服科技股份有限公司 一种策略冲突检测方法、装置及存储介质
CN114285657A (zh) * 2021-12-28 2022-04-05 中国工商银行股份有限公司 防火墙安全策略变更验证方法及装置
CN114285657B (zh) * 2021-12-28 2024-05-17 中国工商银行股份有限公司 防火墙安全策略变更验证方法及装置

Similar Documents

Publication Publication Date Title
EP3178011B1 (en) Method and system for facilitating terminal identifiers
US7592906B1 (en) Network policy evaluation
US10225145B2 (en) Method and device for updating client
CN105049502B (zh) 一种云端网络管理***中设备软件更新的方法和装置
CN111464355A (zh) Kubernetes容器集群的伸缩容控制方法、装置和网络设备
EP3493472B1 (en) Network function (nf) management method and nf management device
WO2016004981A1 (en) Network topology estimation based on event correlation
CN109284140B (zh) 配置方法及相关设备
CN103119974A (zh) 用于维护无线网络中的隐私的***和方法
CN109829287A (zh) Api接口权限访问方法、设备、存储介质及装置
CN111258627A (zh) 一种接口文档生成方法和装置
CN115039379A (zh) 使用分类器层级确定设备属性的***和方法
KR20170057030A (ko) 시그니처 기반 네트워크 공격 탐지 및 공격 시그니처 생성 방법 및 장치
CN112565334A (zh) 物联网设备的接入方法、装置及mqtt网关
CN111901317B (zh) 一种访问控制策略处理方法、***和设备
US8060592B1 (en) Selectively updating network devices by a network management application
CN110505186A (zh) 一种安全规则冲突的识别方法、识别设备及存储介质
CN105933467A (zh) 一种客户端主机信息变更的周期性检测方法
CN102281189A (zh) 一种基于第三方设备私有属性的业务实现方法及其装置
CN109428788B (zh) 功能测试方法及***
WO2021136233A1 (zh) 业务升级的方法、装置和***
CN114492849B (zh) 一种基于联邦学习的模型更新方法及装置
CN108650320B (zh) 一种集群环境下同构级联设备配置文件同步方法
CN107545004A (zh) 一种搜索的方法、装置和搜索引擎***
CN110505189A (zh) 终端安全代理突破的识别方法、识别设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20191126

RJ01 Rejection of invention patent application after publication