一种策略优化装置及方法与流程

本发明涉及通信领域，尤其涉及一种策略优化装置及方法。
背景技术：
：随着互联网的日益普及，人们能够便利地获取信息和资源的同时也经常受到病毒和黑客等攻击，网络安全也得到了越来越多的关注。防火墙作为保护内网安全、隔离外网攻击的有效手段备受青睐。由于防火墙设备数量的逐渐增加，防火墙上配置的策略数量巨大，且策略数量存在不断增长的趋势，并且防火墙上配置的策略中存在大量有包含关系的策略或重复策略。策略的管理工作包括对防火墙上配置的策略进行优化。面对数量多且配置复杂的策略，策略的管理工作变的异常艰难。现有技术中通常采用静态配置的方法进行策略优化，即根据策略管理人员的经验和历史数据进行策略优化，此种策略优化方法效率和准确度都很低，且容易造成策略覆盖范围过大的问题。若根据策略命中计数器来统计策略的使用频率，进而优化策略，由于策略命中计数器统计的策略命中次数是一个累计值，没有时间上的概念，当策略频繁变更时，导致策略命中计数器统计的策略使用频率不准确。综上所述，采用现有技术对防护墙上配置的策略进行优化时，存在效率低、准确度低的问题。技术实现要素：本发明提供了一种策略优化装置及方法，用以为防火墙上配置的策略提供优化方案，进而提高策略管理的效率和准确度。第一方面，本发明提供一种策略优化装置，包括：信息获取单元，用于获取防火墙的初始策略，以及获取采集器在预设时间范围内采集的流量日志；中间策略生成单元，用于根据所述信息获取单元获取的所述初始策略中的公共对象中的一个或多个，对所述初始策略进行扁平化处理，生成中间策略；流量日志记录确定单元，用于根据所述中间策略生成单元生成的所述中间策略的匹配索引查找所述信息获取单元获取的所述流量日志，确定多条流量日志记录；所述匹配索引包括策略标识、防火墙标识以及所述公共对象中的一个或多个；命中策略生成单元，用于根据所述流量日志记录确定单元确定的多条流量日志记录和所述中间策略生成单元生成的中间策略，生成多条命中策略，每条命中策略对应一条流量日志记录，每条命中策略包括对应的流量日志记录和所述中间策略；优化方案生成单元，用于根据所述命中策略生成单元生成的多条命中策略，生成所述初始策略的优化方案。结合第一方面，在第一种可能的实现方式中，所述信息获取单元在获取防火墙的初始策略之前，还用于：接收策略优化请求消息，所述策略优化请求消息包括所述防火墙的标识和预设时间范围。结合第一方面，在第二种可能的实现方式中，所述公共对象包括地址集和服务协议集中的至少一个；所述中间策略生成单元根据所述信息获取单元获取的所述初始策略中的公共对象中的一个或多个，对所述初始策略进行扁平化处理时，具体用于执行以下操作中的至少一个：将所述初始策略中的地址集拆分成单个地址；和将所述初始策略中的服务协议集拆分成单个服务协议。结合第一方面，以及第一方面的第一或第二种可能的实现方式，在第三种可能的实现方式中，所述优化方案生成单元具体用于：根据所述多条命中策略，生成所述初始策略的精简方案；或者根据所述多条命中策略，生成所述初始策略的优先级调整方案。结合第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中，所述优化方案生成单元根据所述多条命中策略，生成所述初始策略的精简方案时，具体用于：设置合并参数，所述合并参数包括源地址、目的地址、服务协议以及网段范围中的至少一个；根据每条命中策略包括的流量日志记录和所述中间策略，确定每条命中策略中的合并参数；将所述多条命中策略中具有相同合并参数的命中策略进行合并，生成一个或多个合并后的命中策略；根据所述一个或多个合并后的命中策略，生成所述初始策略的精简方案。结合第一方面的第四种可能的实现方式，在第一方面的第五种可能的实现方式中，所述优化方案生成单元设置合并参数时，具体用于：设置颗粒度权值，所述颗粒度权值用于表示风险等级；根据所述颗粒度权值，分别确定源地址权值、目的地址权值以及服务协议权值；根据预设的源地址、目的地址以及服务协议与权值之间的对应关系，分别确定所述源地址、所述目的地址以及所述服务协议；将确定的所述源地址、所述目的地址以及所述服务协议设置为合并参数。结合第一方面的第三种可能的实现方式，在第一方面的第六种可能的实现方式中，所述优化方案生成单元根据所述多条命中策略，生成所述初始策略的优先级调整方案时，具体用于：根据所述多条命中策略，统计所述预设时间范围内，所述初始策略的使用频率；根据所述初始策略的使用频率，生成在所述预设时间范围内所述初始策略的优先级调整方案。结合第一方面、第一方面的第一种至第六种中任意一种可能的实现方式，在第一方面的第七种可能的实现方式中，所述优化方案生成单元在所述命中策略生成单元根据所述流量日志记录确定单元确定的多条流量日志记录和所述中间策略生成单元生成的中间策略，生成多条命中策略之后，还用于：根据所述命中策略生成单元生成的所述多条命中策略，确定所述预设时间范围内基于所述初始策略中的应用的安全策略调整方案。结合第一方面的第七种可能的实现方式，在第一方面的第八种可能的实现方式中，所述优化方案生成单元根据所述命中策略生成单元生成的所述多条命中策略，确定所述预设时间范围内基于所述初始策略中的应用的安全策略调整方案时，具体用于：确定所述多条命中策略中的应用标识；统计所述多条命中策略中同一应用标识的使用频率；根据所述多条命中策略中的每个应用标识的使用频率以及预设的应用与安全策略的对应关系，确定所述预设时间范围内每个应用标识对应的应用的安全策略调整方案。第二方面，本发明提供一种策略优化方法，包括：获取防火墙的初始策略，以及获取采集器在预设时间范围内采集的流量日志；根据所述初始策略中的公共对象中的一个或多个，对所述初始策略进行扁平化处理，得到中间策略；根据所述中间策略的匹配索引查找所述流量日志，得到多条流量日志记录；所述匹配索引包括策略标识、防火墙标识以及所述公共对象中的一个或多个；根据所述多条流量日志记录和所述中间策略，生成多条命中策略，每条命中策略对应一条流量日志记录，每条命中策略包括对应的流量日志记录和所述中间策略；根据所述多条命中策略，生成所述初始策略的优化方案。结合第二方面，在第一种可能的实现方式中，在所述获取防火墙的初始策略之前，所述方法还包括：接收策略优化请求消息，所述策略优化请求消息包括所述防火墙的标识和预设时间范围。结合第二方面，在第二种可能的实现方式中，所述公共对象包括地址集和服务协议集中的至少一个；根据所述初始策略中的公共对象中的一个或多个，对所述初始策略进行扁平化处理，包括以下操作中的至少一个：将所述初始策略中的地址集拆分成单个地址；和将所述初始策略中的服务协议集拆分成单个服务协议。结合第二方面，以及第二方面的第一或第二种可能的实现方式，在第三种可能的实现方式中，所述根据所述多条命中策略，生成所述初始策略的优化方案，包括：根据所述多条命中策略，生成所述初始策略的精简方案；或者根据所述多条命中策略，生成所述初始策略的优先级调整方案。结合第二方面的第三种可能的实现方式，在第二方面的第四种可能的实现方式中，所述根据所述多条命中策略，生成所述初始策略的精简方案，包括：设置合并参数，所述合并参数包括源地址、目的地址、服务协议以及网段范围中的至少一个；根据每条命中策略包括的流量日志记录和所述中间策略，确定每条命中策略中的合并参数；将所述多条命中策略中具有相同合并参数的命中策略进行合并，生成一个或多个合并后的命中策略；根据所述一个或多个合并后的命中策略，生成所述初始策略的精简方案。结合第二方面的第四种可能的实现方式，在第二方面的第五种可能的实现方式中，所述设置合并参数，包括：设置颗粒度权值，所述颗粒度权值用于表示风险等级；根据所述颗粒度权值，分别确定源地址权值、目的地址权值以及服务协议权值；根据预设的源地址、目的地址以及服务协议与权值之间的对应关系，分别确定所述源地址、所述目的地址以及所述服务协议；将确定的所述源地址、所述目的地址以及所述服务协议设置为合并参数。结合第二方面的第三种可能的实现方式，在第二方面的第六种可能的实现方式中，所述根据所述多条命中策略，生成所述初始策略的优先级调整方案，包括：根据所述多条命中策略，统计所述预设时间范围内，所述初始策略的使用频率；根据所述初始策略的使用频率，生成在所述预设时间范围内所述初始策略的优先级调整方案。结合第二方面、第二方面的第一种至第六种中任意一种可能的实现方式，在第二方面的第七种可能的实现方式中，所述根据所述多条流量日志记录和所述中间策略，生成多条命中策略之后，所述方法还包括：根据所述多条命中策略，确定所述预设时间范围内基于所述初始策略中的应用的安全策略调整方案。结合第二方面的第七种可能的实现方式，在第二方面的第八种可能的实现方式中，所述根据所述多条命中策略，确定所述预设时间范围内基于所述初始策略中的应用的安全策略调整方案，包括：确定所述多条命中策略中的应用标识；统计所述多条命中策略中同一应用标识的使用频率；根据所述多条命中策略中的每个应用标识的使用频率以及预设的应用与安全策略的对应关系，确定所述预设时间范围内每个应用标识对应的应用的安全策略调整方案。本发明中，通过获取防火墙的初始策略，以及获取采集器在预设时间范围内采集的流量日志；根据初始策略中的公共对象中的一个或多个，对初始策略进行扁平化处理，得到中间策略；根据中间策略的匹配索引查找流量日志，得到多条流量日志记录；根据多条流量日志记录和中间策略，生成多条命中策略；根据多条命中策略，生成初始策略的优化方案，进而可以根据生成的初始策略的优化方案对防火墙的初始策略进行优化，以提高防火墙策略管理的效率和准确度。本发明中生成策略优化方案是基于预设时间范围内的，相对于现有的策略优化方案，准确性更高。附图说明图1为本发明实施例提供的一种策略优化装置结构示意图；图2为本发明实施例提供的一种策略优化方法流程示意图；图3为本发明实施例提供的另一种策略优化方法流程示意图；图4为本发明实施例提供的一种根据预设颗粒度生成初始策略精简方案的方法流程示意图；图5为本发明实施例提供的另一种策略优化装置结构示意图。具体实施方式本发明实施例提供了一种策略优化装置及方法，用以为防火墙上配置的策略提供优化方案，进而提高策略管理的效率和准确度。如图1所示，本发明实施例提供了一种策略优化装置，包括：信息获取单元11，用于获取防火墙的初始策略，以及获取采集器在预设时间范围内采集的流量日志；中间策略生成单元12，用于根据所述信息获取单元11获取的所述初始策略中的公共对象中的一个或多个，对所述初始策略进行扁平化处理，生成中间策略；流量日志记录确定单元13，用于根据所述中间策略生成单元12生成的所述中间策略的匹配索引查找所述信息获取单元11获取的所述流量日志，确定多条流量日志记录；所述匹配索引包括策略标识、防火墙标识以及所述公共对象中的一个或多个；命中策略生成单元14，用于根据所述流量日志记录确定单元13确定的多条流量日志记录和所述中间策略生成单元12生成的中间策略，生成多条命中策略，每条命中策略对应一条流量日志记录，每条命中策略包括对应的流量日志记录和所述中间策略；优化方案生成单元15，用于根据所述命中策略生成单元14生成的多条命中策略，生成所述初始策略的优化方案。较佳地，所述信息获取单元11在获取防火墙的初始策略之前，还用于：接收策略优化请求消息，所述策略优化请求消息包括所述防火墙的标识和预设时间范围。较佳地，所述公共对象包括地址集和服务协议集中的至少一个；所述中间策略生成单元12根据所述信息获取单元11获取的所述初始策略中的公共对象中的一个或多个，对所述初始策略进行扁平化处理时，具体用于执行以下操作中的至少一个：将所述初始策略中的地址集拆分成单个地址；和将所述初始策略中的服务协议集拆分成单个服务协议。较佳地，所述优化方案生成单元15具体用于：根据所述多条命中策略，生成所述初始策略的精简方案；或者根据所述多条命中策略，生成所述初始策略的优先级调整方案。较佳地，所述优化方案生成单元15根据所述多条命中策略，生成所述初始策略的精简方案时，具体用于：设置合并参数，所述合并参数包括源地址、目的地址、服务协议以及网段范围中的至少一个；根据每条命中策略包括的流量日志记录和所述中间策略，确定每条命中策略中的合并参数；将所述多条命中策略中具有相同合并参数的命中策略进行合并，生成一个或多个合并后的命中策略；根据所述一个或多个合并后的命中策略，生成所述初始策略的精简方案。较佳地，所述优化方案生成单元15设置合并参数时，具体用于：设置颗粒度权值，所述颗粒度权值用于表示风险等级；根据所述颗粒度权值，分别确定源地址权值、目的地址权值以及服务协议权值；根据预设的源地址、目的地址以及服务协议与权值之间的对应关系，分别确定所述源地址、所述目的地址以及所述服务协议；将确定的所述源地址、所述目的地址以及所述服务协议设置为合并参数。较佳地，所述优化方案生成单元15根据所述多条命中策略，生成所述初始策略的优先级调整方案时，具体用于：根据所述多条命中策略，统计所述预设时间范围内，所述初始策略的使用频率；根据所述初始策略的使用频率，生成在所述预设时间范围内所述初始策略的优先级调整方案。较佳地，所述优化方案生成单元15在所述命中策略生成单元14根据所述流量日志记录确定单元13确定的多条流量日志记录和所述中间策略生成单元12生成的中间策略，生成多条命中策略之后，还用于：根据所述命中策略生成单元生成的所述多条命中策略，确定所述预设时间范围内基于所述初始策略中的应用的安全策略调整方案。较佳地，所述优化方案生成单元15根据所述命中策略生成单元14生成的所述多条命中策略，确定所述预设时间范围内基于所述初始策略中的应用的安全策略调整方案时，具体用于：确定所述多条命中策略中的应用标识；统计所述多条命中策略中同一应用标识的使用频率；根据所述多条命中策略中的每个应用标识的使用频率以及预设的应用与安全策略的对应关系，确定所述预设时间范围内每个应用标识对应的应用的安全策略调整方案。本实施例中的所述装置具体可以为服务器。本发明实施例一中，信息获取单元11获取防火墙的初始策略，以及获取采集器在预设时间范围内采集的流量日志；中间策略生成单元12根据信息获取单元11获取的初始策略中的公共对象中的一个或多个，对初始策略进行扁平化处理，得到中间策略；流量日志记录确定单元13根据中间策略生成单元12生成的中间策略的匹配索引查找信息获取单元11获取的流量日志，得到多条流量日志记录；命中策略生成单元14根据流量日志记录确定单元13确定的多条流量日志记录和中间策略生成单元12生成的中间策略，生成多条命中策略；优化方案生成单元15根据命中策略生成单元14生成的多条命中策略，生成初始策略的优化方案，进而可以根据生成的初始策略的优化方案对防火墙的初始策略进行优化，以提高防火墙策略管理的效率和准确度。下面分别对本发明实施例中防火墙策略和流量日志作简要概述：防火墙的策略：防火墙设备的策略用于对经过防火墙的数据包进行过滤和内容安全检测，策略可以根据五元组(源地址、源端口、目的地址、目的端口、协议号)中的一个或多个以及其他信息生成。流量日志：防火墙部署在外部网络和受保护网络之间，当有流量通过防火墙时会产生会话。会话经过一段时间老化后，防火墙会记录流量日志。流量日志中包含五元组、用户、应用和攻击类型等相关信息，通过查看流量日志，管理员可以获知网络中的流量特征，了解当前网络的安全策略配置的生效情况。以syslog日志为例，syslog常被称为系统日志或系统记录，是一种用来在互联网协议，例如传输控制协议(英文：transmissioncontrolprotocol，简称：tcp)、因特网协议(英文：internetprotocol，简称：ip)中传递记录档讯息的标准，如下是一条示例性的syslog日志记录：<187>2012-03-0716:23:07eudemon8000e-x3％％01sec/4/policydeny(l):protocol＝1,source-ip＝21.21.21.1,source-port＝1024,destination-ip＝21.21.21.1,destination-port＝208,time＝2000/04/0206:24:42,interzone-trust(public)-local(public)inbound,policy＝0如图2所示，本发明实施例提供了一种策略优化方法，所述方法的执行主体可以为服务器，所述方法包括：s21、获取防火墙的初始策略，以及获取采集器在预设时间范围内采集的流量日志；s22、根据所述初始策略中的公共对象中的一个或多个，对所述初始策略进行扁平化处理，得到中间策略；s23、根据所述中间策略的匹配索引查找所述流量日志，得到多条流量日志记录；所述匹配索引包括策略标识、防火墙标识以及所述公共对象中的一个或多个；s24、根据所述多条流量日志记录和所述中间策略，生成多条命中策略，每条命中策略对应一条流量日志记录，每条命中策略包括对应的流量日志记录和所述中间策略；s25、根据所述多条命中策略，生成所述初始策略的优化方案。较佳地，在s21获取防火墙的初始策略之前，所述方法还包括：接收策略优化请求消息，所述策略优化请求消息包括所述防火墙的标识和预设时间范围。较佳地，所述公共对象包括地址集和服务协议集中的至少一个；s22中根据所述初始策略中的公共对象中的一个或多个，对所述初始策略进行扁平化处理，包括以下操作中的至少一个：将所述初始策略中的地址集拆分成单个地址；和将所述初始策略中的服务协议集拆分成单个服务协议。具体的，若对初始策略进行扁平化处理的公共对象为地址集，由于初始策略中的公共对象中引用的源地址或目的地址是以地址集的形式存在的，而流量日志中源地址或目的地址是以单个地址的形式存在的，因此需要将初始策略中的地址集拆分成单个地址的形式才能与流量日志进行匹配。同理，若对所述初始策略进行扁平化处理的公共对象为服务协议集，由于所述初始策略中的公共对象中引用的服务协议是以服务协议集的形式存在的，流量日志中服务协议是以单个服务协议的形式存在的，因此需要将所述初始策略中的服务协议集拆分成单个服务协议的形式才能与流量日志进行匹配。较佳地，s25中根据所述多条命中策略，生成所述初始策略的优化方案，包括：根据所述多条命中策略，生成所述初始策略的精简方案；或者根据所述多条命中策略，生成所述初始策略的优先级调整方案。较佳地，所述根据所述多条命中策略，生成所述初始策略的精简方案，包括：设置合并参数，所述合并参数包括源地址、目的地址、服务协议以及网段范围中的至少一个；根据每条命中策略包括的流量日志记录和所述中间策略，确定每条命中策略中的合并参数；将所述多条命中策略中具有相同合并参数的命中策略进行合并，生成一个或多个合并后的命中策略；根据所述一个或多个合并后的命中策略，生成所述初始策略的精简方案。具体的，所述设置合并参数的方法包括：设置颗粒度权值，所述颗粒度权值用于表示风险等级；根据所述颗粒度权值，分别确定源地址权值、目的地址权值以及服务协议权值；根据预设的源地址、目的地址以及服务协议与权值之间的对应关系，分别确定所述源地址、所述目的地址以及所述服务协议；将确定的所述源地址、所述目的地址以及所述服务协议设置为合并参数。较佳地，所述根据所述多条命中策略，生成所述初始策略的优先级调整方案，包括：根据所述多条命中策略，统计所述预设时间范围内，所述初始策略的使用频率；根据所述初始策略的使用频率，生成在所述预设时间范围内所述初始策略的优先级调整方案。较佳地，在s24根据所述多条流量日志记录和所述中间策略，生成多条命中策略之后，所述方法还包括：根据所述多条命中策略，确定所述预设时间范围内基于所述初始策略中的应用的安全策略调整方案。较佳地，所述根据所述多条命中策略，确定所述预设时间范围内基于所述初始策略中的应用的安全策略调整方案，包括：确定所述多条命中策略中的应用标识；统计所述多条命中策略中同一应用标识的使用频率；根据所述多条命中策略中的每个应用标识的使用频率以及预设的应用与安全策略的对应关系，确定所述预设时间范围内每个应用标识对应的应用的安全策略调整方案。本发明实施例中，服务器获取防火墙的初始策略，以及获取采集器在预设时间范围内采集的流量日志；根据初始策略中的公共对象中的一个或多个，对初始策略进行扁平化处理，得到中间策略；根据中间策略的匹配索引查找流量日志，得到多条流量日志记录；根据多条流量日志记录和中间策略，生成多条命中策略；根据多条命中策略，生成初始策略的优化方案，进而可以根据生成的初始策略的优化方案对防火墙的初始策略进行优化，以提高防火墙策略管理的效率和准确度。本发明中生成策略优化方案是基于预设时间范围内的，相对于现有的策略优化方案，准确性更高。在图2所示的一种策略优化方法的基础上，如图3所示，本发明实施例提供了另一种策略优化方法，：s301、确定预设时间范围和防火墙标识。其中，预设时间范围用于指示获取采集器在预设时间范围内采集的流量日志，例如：获取采集器在近一个月内采集的流量日志，所述流量日志包括dataflow日志和syslog日志；所述防火墙的标识用于指示获取所述标识对应的防火墙的初始策略。所述预设时间范围和防火墙标识可以根据管理员发送的策略优化请求消息确定，管理员预先设置所述预设时间范围和防火墙的标识。s302、获取所述防火墙标识对应的防火墙的初始策略，以及获取采集器在所述预设时间范围内采集的流量日志。其中，获取的流量日志可以包括多条流量日志记录；获取的初始策略可以为一个或多个。本实施例以获取一条初始策略为例进行说明。在获取多个初始策略的情况下，对每个初始策略的处理过程是相同的。每条流量日志记录包括策略标识、防火墙标识(用于标识所述流量日志记录来自哪个防火墙)以及公共对象等信息；所述初始策略包括策略标识、防火墙标识以及策略引用的公共对象等信息；公共对象包括一个或多个，例如地址集、时间段、服务集等，其中，地址集是ip地址的集合，服务集是协议和端口的集合，例如对于常见的超文本传送协议(英文：hypertexttransferprotocol，简称：http)服务，其对应的协议是http，端口是80。采集器周期性地采集流量日志，并将采集时间满足某个时间段的流量日志整理在一起，以便缩短查找流量日志的时间，提高流量日志查询效率。例如：采集器每隔5分钟采集一次流量日志，根据流量日志的采集时间，将同一个小时内采集的流量日志整理在一起，将同一天内采集的流量日志整理在一起；时间段除类似一小时、一天的时间单位外，也可以是类似三小时、5天的时间段。较佳地，采集器将整理后的流量日志统计在同一张表格中，所述表格的一项代表一条流量日志记录。s303、根据所述初始策略中的公共对象中的一个或多个，对所述初始策略进行扁平化处理，得到中间策略。公共对象包括地址集和服务协议集中的至少一个。若对所述初始策略进行扁平化处理的公共对象为地址集，由于所述初始策略中的公共对象中引用的源地址或目的地址是以地址集的形式存在的，流量日志中源地址或目的地址是以单个地址的形式存在的，因此需要将所述初始策略的公共对象中的地址集拆分成单个地址的形式才能与流量日志进行匹配。此时，s303具体包括：将所述初始策略中的地址集拆分成单个地址，得到所述中间策略。若对所述初始策略进行扁平化处理的公共对象为服务协议集，由于所述初始策略中的公共对象中引用的服务协议是以服务协议集的形式存在的，流量日志中服务协议是以单个服务协议的形式存在的，因此需要将所述初始策略的公共对象中的服务协议集拆分成单个服务协议的形式才能与流量日志进行匹配。此时，s303具体包括：将所述初始策略中的服务协议集拆分成单个服务协议，得到所述中间策略。需要说明的是，除地址集和/或服务协议集外，公共对象中还包括其他集合，例如用户组、应用组、时间段等，本发明实施例中可以根据所述初始策略中的公共对象中任意一个或多个，对所述初始策略进行扁平化处理。s304、根据所述中间策略的匹配索引查找所述流量日志，得到多条流量日志记录。具体的，可以将中间策略中的部分信息作为匹配索引来查找流量日志。所述匹配索引包括策略标识、防火墙标识以及所述公共对象中的一个或多个。其中，所述策略标识与所述初始策略的标识相同；所述防火墙标识用于标识所述初始策略来自哪个防火墙。所述公共对象为所述初始策略的公共对象中的一个或多个。需要说明的是，所述匹配索引并不局限于策略标识、防火墙标识以及公共对象，也可以包含其他信息。s305、根据所述多条流量日志记录和所述中间策略，生成多条命中策略。其中，每条命中策略对应一条流量日志记录，每条命中策略包括对应的流量日志记录和所述中间策略。较佳地，命中策略按照如下数据结构进行存储，此数据结构中记录的信息均来源于查找到的流量日志记录和所述中间策略：structhitpolicyresult{unsignedlongtime；//命中策略中流量日志的采集时间unsignedlongdeviceid；//防火墙标识unsignedlongpolicyid；//策略标识unsignedlongamount；//命中策略次数unsignedlongprotoclid；//协议标识unsignedlonguseid；//用户标识unsignedlongappid；//应用标识stringaction；//动作stringinterzone；//安全域间stringdirection；//域方向stringsrcip；//源ipstringdstip；//目的ipstringsrcport；//源端口stringdstport；//目的端口stringprotocol；//协议stringuser；//用户list<string>secprof；//此命中策略适用的安全应用}；s306、根据所述多条命中策略，生成所述初始策略的优化方案，以及基于应用的安全策略调整方案。初始策略的优化方案主要包括两部分，分别是初始策略精简方案和初始策略优先级调整方案。所述初始策略的优化方案和基于应用的安全策略调整方案。具体如下：一、初始策略的精简方案初始策略精简方案是指，针对所述多条命中策略，通过合并具有相同合并参数的命中策略，将所述初始策略精简成一个或多个合并后的命中策略，以达到精简初始策略，缩小初始策略覆盖范围的目的。其中，所述合并参数可以是源地址、目的地址、服务协议以及网段中的至少一个。例如，针对命中策略，将具有相同源地址的命中策略进行合并，形成多个合并后的命中策略，方案将初始策略精简成多个合并后的命中策略。本发明实施例中提供一种根据预设颗粒度生成初始策略精简方案的方法，如图4所示，具体方法流程如下：s401、设置颗粒度权值；颗粒度是指策略访问范围的抽象计算数值粒度，颗粒度权值主要是根据源地址权值、目的地址权值和服务协议权值计算出来的权值，源地址、目的地址和服务协议作为合并命中策略的合并参数。设置颗粒度权值后，可以根据颗粒度权值，确定源地址权值、目的地址权值和服务协议权值的范围，进而确定源地址、目的地址和服务协议，根据确定的源地址、目的地址和服务协议合并所述多个命中策略，形成一个或多个合并后的命中策略，根据所述一个或多个合并后的命中策略，生成所述初始策略的精简方案。颗粒度权值越大，利用所述颗粒度权值合并后的命中策略的覆盖范围越大，安全漏洞越大；颗粒度权值越小，利用所述颗粒度权值合并后的命中策略的覆盖范围越小，安全漏洞越小。具体的，颗粒度权值与源地址、目的地址和服务协议之间的关系可以用如下公式表示：pv＝sa+da+sp上述公式中，pv表示颗粒度权值，颗粒度权值的范围是1～100；sa表示源地址权值，源地址权值与源地址之间的对应关系包括：源地址权值的范围为1～40。源地址值权值为40时，对应的源地址包括任何地址(用any表示)；源地址权值为30时，对应的源地址为a类子网地址；源地址权值为20时，对应的源地址为b类子网地址；源地址权值为10时，对应的源地址为c类子网地址；源地址权值为1时，对应的源地址为单个地址。其中，子网(英文：communicationsubnet)是由用作信息交换的节点计算机和通信线路组成的独立的通信系统，它承担全网的数据传输、转接、加工和交换等通信处理工作。因特网(英文：internet)组织机构定义了五种因特网协议(英文：internetprotocol，简称：ip)地址，ip地址有三种基本类型，分别为a、b、c三类子网地址，不同类型的子网地址由网络号的第一组数字来表示。其中，a类子网地址的第一组数字为1～126，b类地址的第一组数字为128～191，c类地址的第一组数字为192～223。例如：网络号是202.206.64--79，它的第一组数字为202，因此202.206.64.34是c类子网地址，而159.266.1.1则是b类子网地址。da表示目的地址权值，目的地址权值与目的地址之间的对应关系包括：目的地址权值的范围为1～40。目的地址权值为40时，对应的目的地址包括任何地址(用any表示)；目的地址权值为30时，对应的目的地址为a类子网地址；目的地址权值为20时，对应的目的地址为b类子网地址；目的地址权值为10时，对应的目的地址为c类子网地址；目的地址权值为1时，对应的源地址为单个地址。sp表示服务协议权值，服务协议权值与服务协议之间的对应关系包括：服务协议权值的范围为1～20。服务协议权值为20时，对应的服务协议包括任何协议(用any表示)；服务协议权值为1时，对应的服务协议为单个协议。颗粒度权值范围为1～20时，对应的安全风险等级为低，颗粒度权值范围为21～30时，对应的安全风险等级为中，颗粒度权值范围为41～100时，对应的安全风险等级为高。颗粒度、源地址、目的地址、服务协议以及安全风险等级之间的对应关系是预先设置的，可以如下表一所示：表一源地址目的地址服务协议颗粒度风险等级192.168.1.0172.16.20.3http1低172.16.10.0/16172.16.20.3http21低10.1.0.0/8172.16.20.3http31中192.168.1.0/24172.16.20.3any32中172.16.10.0/16172.16.20.3any42高10.1.0.0/8anyany91高anyanyany100高需要说明的是，各权值并不局限于本发明实施例中提供的值，可以根据实际情况进行设置。s402、根据所述颗粒度权值，分别确定源地址权值、目的地址权值以及服务协议权值。s403、根据预设的源地址、目的地址以及服务协议与权值之间的对应关系，分别确定源地址、目的地址以及服务协议。具体的，根据实际情况，s402中根据所述颗粒度权值所确定的源地址权值、目的地址权值以及服务协议权值的情况可能有所不同，然后s403中根据预设的源地址、目的地址以及服务协议与权值之间的对应关系，分别确定源地址、目的地址以及服务协议。例如：当所述颗粒度权值为31时，可以将源地址权值、目的地址权值以及服务协议权值分别确定为1、10和20，此时对应的源地址、目的地址以及服务协议分别为单个地址、c类子网地址和任何协议；当所述颗粒度权值为31时，也可以将源地址权值、目的地址权值以及服务协议权值分别确定为10、1和20，此时对应的源地址、目的地址以及服务协议分别为c类子网地址、单个地址和任何协议。s404、将所述多条命中策略中具有所述源地址、目的地址以及服务协议的命中策略合并，得到一条或多条合并后的命中策略，生成所述初始策略的精简方案。其中，所述精简方案具体包括将所述初始策略精简成所述一个或多个合并后的命中策略。二、初始策略的优先级调整方案初始策略的优先级调整方案是指，根据所述多条命中策略，统计所述预设时间范围内，所述初始策略的使用频率；根据所述初始策略的使用频率，生成在所述预设时间范围内所述初始策略的优先级调整方案。具体的，当在预设时间范围内所述初始策略的使用频率较高时，生成在预设时间范围内调高所述初始策略的优先级的方案；当在预设时间范围内所述初始策略的使用频率较低时，生成在预设时间范围内调低所述初始策略的优先级的方案；当在预设时间范围内没有使用所述初始策略时，生成在预设时间范围内调低所述初始策略的优先级，或者生成在预设时间范围内删除所述初始策略的方案。其中，所述初始策略的使用频率与所述初始策略的优先级调整之间的对应关系，可以根据经验或历史数据进行设置，本发明实施例中并不限制。三、基于应用的安全策略调整方案基于应用的安全策略调整方案是指，针对所述多个命中策略，统计在所述预设时间范围内每个应用标识的出现次数，再结合应用与安全策略的对应关系，给出在预设时间范围内针对初始策略中的每个应用的安全策略调整方案。针对所述多个命中策略，在预设时间范围内命中策略中一个应用标识出现的次数越多，说明在此段时间范围内所述应用标识对应的应用使用较频繁。基于应用的安全策略调整方案例如：在预设时间范围内点对点(英文：peertopeer，简称：p2p)下载应用的使用频率较高，则调整方案建议管理员开启统一资源定位器(英文：uniformresourcelocator，简称：url)过滤和应用行为过滤；在预设时间范围内简单邮件传送协议(英文：simplemailtransferprotocol，简称：smtp)应用的使用频率较高，则调整方案建议管理员开启邮件过滤和内容安全过滤。其中，根据应用与安全策略的对应关系，能够查询当任一应用开启时需要采取的安全策略。应用与安全策略的对应关系是根据历史数据以及管理员的策略管理经验设置的，可以实时的进行维护，包括增加应用与安全策略的对应关系和删除应用与安全策略的对应关系。应用与安全策略的对应关系采用如下数据结构：structappprofile{stringapplication；//应用stringsecporfile；//安全策略内容}应用与安全策略的对应关系列表举例如下表二所示：表二应用安全策略smtp邮件过滤、内容安全过滤p2p应用行为过滤、需要说明的时，应用与安全策略的对应关系的数据结构并不局限于本发明实施例中提供的数据结构。应用与安全策略的对应关系列表并不局限于本发明实施例中提供的表二。本实施例中，服务器通过获取防火墙的初始策略，以及获取采集器在预设时间范围内采集的流量日志；根据初始策略中的公共对象中的一个或多个，对初始策略进行扁平化处理，得到中间策略；根据中间策略的匹配索引查找流量日志，得到多条流量日志记录；根据多条流量日志记录和中间策略，生成多条命中策略；根据多条命中策略，生成初始策略的优化方案以及基于所述初始策略中的应用的安全策略调整方案，进而可以根据生成的初始策略的优化方案和基于所述初始策略中的应用的安全策略调整方案对防火墙的初始策略进行优化，以提高防火墙策略管理的效率和准确度。如图5所示，本发明实施例提供了另一种策略优化装置，包括：处理器51，用于获取防火墙的初始策略，以及获取采集器在预设时间范围内采集的流量日志；存储器52，用于存储所述处理器51获取的防火墙的初始策略，以及获取采集器在预设时间范围内采集的流量日志；所述处理器51，还用于根据所述存储器52存储的所述初始策略中的公共对象中的一个或多个，对所述初始策略进行扁平化处理，生成中间策略；根据所述中间策略的匹配索引查找所述存储器52存储的所述流量日志，确定多条流量日志记录；所述匹配索引包括策略标识、防火墙标识以及所述公共对象中的一个或多个；根据所述多条流量日志记录和所述中间策略，生成多条命中策略，每条命中策略对应一条流量日志记录，每条命中策略包括对应的流量日志记录和所述中间策略；根据所述多条命中策略，生成所述初始策略的优化方案。所述存储器52，还用于存储所述处理器51生成的所述初始策略的优化方案。较佳地，所述装置还包括：收发器53，用于在所述处理器51获取防火墙的初始策略之前，接收策略优化请求消息，所述策略优化请求消息包括所述防火墙的标识和预设时间范围；所述处理器51，还用于确定所述收发器53接收的所述策略优化请求消息。较佳地，所述公共对象包括地址集和服务协议集中的至少一个；所述处理器51根据所述初始策略中的公共对象中的一个或多个，对所述初始策略进行扁平化处理时，具体用于执行以下操作中的至少一个：将所述初始策略中的地址集拆分成单个地址；和将所述初始策略中的服务协议集拆分成单个服务协议。较佳地，所述处理器51根据所述多条命中策略，生成所述初始策略的优化方案时，具体用于：根据所述多条命中策略，生成所述初始策略的精简方案；或者根据所述多条命中策略，生成所述初始策略的优先级调整方案。较佳地，所述处理器51根据所述多条命中策略，生成所述初始策略的精简方案时，具体用于：设置合并参数，所述合并参数包括源地址、目的地址、服务协议以及网段范围中的至少一个；根据每条命中策略包括的流量日志记录和所述中间策略，确定每条命中策略中的合并参数；将所述多条命中策略中具有相同合并参数的命中策略进行合并，生成一个或多个合并后的命中策略；根据所述一个或多个合并后的命中策略，生成所述初始策略的精简方案。较佳地，所述处理器51设置所述合并参数时，具体用于：设置颗粒度权值，所述颗粒度权值用于表示风险等级；根据所述颗粒度权值，分别确定源地址权值、目的地址权值以及服务协议权值；根据预设的源地址、目的地址以及服务协议与权值之间的对应关系，分别确定所述源地址、所述目的地址以及所述服务协议；将确定的所述源地址、所述目的地址以及所述服务协议设置为合并参数。较佳地，所述处理器51根据所述多条命中策略，生成所述初始策略的优先级调整方案时，具体用于：根据所述多条命中策略，统计所述预设时间范围内，所述初始策略的使用频率；根据所述初始策略的使用频率，生成在所述预设时间范围内所述初始策略的优先级调整方案。较佳地，所述处理器51在根据所述多条流量日志记录和所述中间策略，生成多条命中策略之后，还用于：根据所述多条命中策略，确定所述预设时间范围内基于所述初始策略中的应用的安全策略调整方案。较佳地，所述处理器51根据所述多条命中策略，确定所述预设时间范围内基于所述初始策略中的应用的安全策略调整方案时，具体用于：确定所述多条命中策略中的应用标识；统计所述多条命中策略中同一应用标识的使用频率；根据所述多条命中策略中的每个应用标识的使用频率以及预设的应用与安全策略的对应关系，确定所述预设时间范围内每个应用标识对应的应用的安全策略调整方案。本发明实施例四中，通过所述处理器51、所述存储器52以及所述收发器53，生成初始策略的优化方案和基于所述初始策略中的应用的安全策略调整方案，进而可以根据生成的初始策略的优化方案和基于所述初始策略中的应用的安全策略调整方案对防火墙的初始策略进行优化，以提高防火墙策略管理的效率和准确度。本发明中生成策略优化方案是基于预设时间范围内的，相对于现有的策略优化方案，准确性更高。本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在所述计算机可读存储器中的指令产生包括指令装置的制造品，所述指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的范围。这样，倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。当前第1页1 2 3