一种策略冗余的检测方法及装置与流程

本申请涉及信息安全领域，特别涉及一种策略冗余的检测方法及装置。

背景技术：

安全设备根据用户配置的安全策略处理接收到的报文。用户配置的安全策略数量众多，通常多达上万条。安全设备根据安全策略匹配时，基于安全策略的优先级，优先匹配位置靠前的安全策略。

然而，由于安全策略为长期积累，且数量众多，用户往往无法记住安全策略是否存在冗余，例如，优先级靠前的策略1为源ip：192.168.0.0/16，目的ip无限制，动作为丢包；新增的策略2为源ip192.168.1.0/24，目的ip无限制，动作为通过，如果策略2的优先级在策略1之后，则策略2无法生效。

真实规则比上述举例更为复杂，因此，用户在维护安全设备，检测安全策略冗余时，工作量巨大，检测效率较低。

技术实现要素：

有鉴于此，本申请提供一种策略冗余的检测方法及装置，用于快速有效地检测安全策略中的冗余安全策略，提高了安全设备的可维护性和策略冗余检测的检测效率。

具体地，本申请是通过如下技术方案实现的：

一种策略冗余的检测方法，应用于安全设备，所述安全设备预配置了若干条安全策略组，其中，所述安全策略组由若干预设字段构成；各预设字段分别对应若干待匹配的对象组；包括：

将目标安全策略组中各预设字段预配置的对象组分别进行展开，并合并展开后得到的冗余对象；

当所述冗余对象合并完成后，基于所述目标安全策略组中各预设字段对应的对象组的数量，将所述目标安全策略组拆分为若干条安全策略；其中，所述若干条安全策略的各预设字段分别对应唯一的对象组；

遍历拆分出的所述若干条安全策略，基于预设策略检测所述若干条安全策略中的冗余安全策略。

在所述策略冗余的检测方法中，所述方法还包括：

当所述冗余对象合并完成后，将所述目标安全策略组中的ip对象组转换为标准的表示格式。

在所述策略冗余的检测方法中，所述标准的表示格式，为ip+通配符的表示格式。

在所述策略冗余的检测方法中，所述基于预设策略检测所述若干条安全策略中的冗余安全策略，包括：

将所述若干条安全策略依次选定为目标安全策略；

将所述目标安全策略与其它安全策略进行匹配；

如果所述目标安全策略包含任一其它安全策略，记录所述目标安全策略与该其它安全策略的冗余关系。

在所述策略冗余的检测方法中，所述方法还包括：

在基于预设策略检测所述若干条安全策略中的冗余安全策略前，基于各安全策略的优先级，对所述若干条安全策略进行排序。

一种策略冗余的检测装置，应用于安全设备，所述安全设备预配置了若干条安全策略组，其中，所述安全策略组由若干预设字段构成；各预设字段分别对应若干待匹配的对象组；包括：

合并单元，用于将目标安全策略组中各预设字段预配置的对象组分别进行展开，并合并展开后得到的冗余对象；

拆分单元，用于当所述冗余对象合并完成后，基于所述目标安全策略组中各预设字段对应的对象组的数量，将所述目标安全策略组拆分为若干条安全策略；其中，所述若干条安全策略的各预设字段分别对应唯一的对象组；

检测单元，用于遍历拆分出的所述若干条安全策略，基于预设策略检测所述若干条安全策略中的冗余安全策略。

在所述策略冗余的装置中，所述装置还包括：

转换单元，用于当所述冗余对象合并完成后，将所述目标安全策略组中的ip对象组转换为标准的表示格式。

在所述策略冗余的装置中，所述标准的表示格式，为ip+通配符的表示格式。

在所述策略冗余的装置中，所述检测单元，进一步用于：

将所述若干条安全策略依次选定为目标安全策略；

将所述目标安全策略与其它安全策略进行匹配；

如果所述目标安全策略包含任一其它安全策略，记录所述目标安全策略与该其它安全策略的冗余关系。

在所述策略冗余的装置中，所述装置还包括：

排列单元，用于在基于预设策略检测所述若干条安全策略中的冗余安全策略前，基于各安全策略的优先级，对所述若干条安全策略进行排序。

在本申请实施例中，安全设备将目标安全策略组中的各预设字段预配置的对象组分别进行展开，并合并展开后得到的冗余对象，当所述冗余对象合并完成后，基于所述目标安全策略组中各预设字段对应的对象组的数量，将所述目标安全策略拆分为若干条安全策略，其中，所述若干条安全策略的各预设字段分别对应唯一的对象组；然后遍历拆分出的所述若干条安全策略，基于预设策略检测所述若干条安全策略中的冗余安全策略；

由于在本申请实施例中，安全设备可以在目标安全策略组中包含若干待匹配的对象组的情况下，通过针对所述目标安全策略组进行内部去冗余的方式，对所述目标安全策略组的内部结构重新进行组织，并将所述目标安全策略拆分成为各预设字段分别对应唯一对象组的若干条安全策略，然后针对拆分后的各安全策略进行策略冗余检测；从而可以简化策略冗余检测，提高安全设备的可维护性和策略冗余检测的检测效率。

附图说明

图1是本申请示出的一种策略冗余的检测方法的流程图；

图2是本申请示出的一种安全策略组的结构示意图；

图3是本申请示出的另一种安全策略组的结构示意图；

图4是本申请示出的一种安全策略的结构示意图；

图5是本申请示出的一种策略冗余的检测装置的实施例框图；

图6是本申请示出的一种策略冗余的检测装置的硬件结构图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对现有技术方案和本发明实施例中的技术方案作进一步详细的说明。

用户通常会根据网络中出现的攻击源和攻击方式，向安全设备配置相对应的安全策略。安全设备基于用户配置的安全策略处理接收到的报文。随着攻击源和攻击方式的变化，安全设备上被添加的安全策略的数量会越来越多，往往多达上万条。

安全设备使用安全策略时，会首先选择优先级高的安全策略对接收到的报文进行匹配。用户往往无法完全清楚此前配置的全部安全策略，在后续添加新的安全策略时，新的安全策略可能因为优先级的问题，无法被匹配，造成策略冗余。

由于安全策略是长期累积的，条目数量众多，难免出现策略冗余的情况，例如，优先级靠前的策略1为源ip：192.168.0.0/16，目的ip无限制，动作为丢包；新增的策略2为源ip192.168.1.0/24，目的ip无限制，动作为通过，如果策略2的优先级在策略1之后，则策略2无法生效。

实际应用中，策略冗余的情况更为复杂，例如，一条安全策略配置时源ip可以引用不止一个ip对象或ip对象组，其中ip对象组可以根据ip+掩码、ip范围或者ip+通配符等表示格式来表示，不同的ip对象组中包括的ip对象可能存在重复、交叉等情况。安全策略中的其它预设字段，如目的ip、协议、端口号等，也可能出现类似的情况。其中，当一条安全策略的各预设字段分别对应若干待匹配的对象组时，可以将该安全策略视为一个安全策略组。

因此，用户在维护安全设备，检测安全策略冗余时，会出现很多的重复检查，造成工作量巨大，检测效率低下。

为解决上述问题，在本申请实施例中，将每个安全策略组内部的各预设字段中的对象组去冗余，再将去冗余后的安全策略组拆分为多条安全策略，然后遍历拆分出的所有安全策略，进而确定出策略冗余关系。

参见图1，为本申请示出的一种策略冗余的检测方法的流程图，该实施例的执行主体是安全设备，该安全设备预配置了若干条安全策略组，其中，各安全策略组由若干个预设字段构成，各预设字段分别对应若干待匹配的对象组；所述方法包括以下步骤：

步骤101：将目标安全策略组中各预设字段预配置的对象组分别进行展开，并合并展开后得到的冗余对象。

步骤102：当所述冗余对象合并完成后，基于所述目标安全策略组中各预设字段对应的对象组的数量，将所述目标安全策略组拆分为若干条安全策略；其中，所述若干条安全策略的各预设字段分别对应唯一的对象组。

步骤103：遍历拆分出的所述若干条安全策略，基于预设策略检测所述若干条安全策略中的冗余安全策略。

如前所述，由于同一安全策略组内部的一个预设字段中对应多个对象组，而各对象组的表示格式可能不同，各对象组中的对象可能出现重复。因此，在针对安全策略检测冗余时，首先可以先去除同一安全策略组内部的冗余。

具体地，在本申请实施例中，安全设备在对目标安全策略组进行内部去冗余时，首先可以将该目标安全策略组中的各预设字段预配置的对象组分别展开，获得各对象组中的多个对象。

在示出的一种实施方式中，安全设备可以将上述目标安全策略组中的各ip字段预配置的多个ip对象组分别进行展开，从而获得各ip对象组中的多个ip对象。

请参见图2，为本申请示出的一种安全策略组的结构示意图，如图2所示，安全策略组的预设字段可以包括源ip、目的ip、服务、动作和其它信息，其中，服务包括协议号、源端口和目的端口。

其中，源ip字段可以包括多个ip对象组，各ip对象组中可以包含多个ip对象。安全设备可以将源ip字段中的多个ip对象组分别进行展开，获得多个ip对象。如图2所示，ip对象组1-1展开后获得ip对象1-1-1、1-1-2、1-1-3……1-1-m；ip对象组1-n展开后获得ip对象1-n-1、1-n-2、1-n-3……1-n-m。ip对象组1-1与ip对象组1-n之间还可以有多个ip对象组，同样展开获得多个ip对象。

需要指出的是，图2中的ip对象组和ip对象仅用于示意ip对象组的展开过程，实际ip对象组和ip对象并非图中的表示的方式；如果以实际的ip对象组展开为例，ip对象组192.168.1.1-192.168.1.10展开后可以获得ip对象192.168.1.1、192.168.1.2、192.168.1.3、192.168.1.4、192.168.1.5、192.168.1.6、192.168.1.7、192.168.1.8、192.168.1.9和192.168.1.10。

安全设备除了将上述目标安全策略组的源ip字段中的多个ip对象组展开，获得多个ip对象，还可以以等同的方式将目的ip字段中的多个ip对象组展开，获得多个ip对象。

此外，安全设备还可以将其它预设字段中的对象组展开，获得多个对象。仍以图2为例，安全设备将服务字段中的对象组服务对象1展开获得包括(protocol1-1；sport1-1；dport1-1)在内的多个服务对象。

在本申请实施例中，安全设备在将目标安全策略组中的各预设字段预配置的若干个待匹配的对象组分别展开，获得多个对象后，可以合并各预设字段中的冗余对象，达到安全策略组内部去冗余的目的，此时，安全设备即可获得去除冗余后的目标安全策略组。

在示出的一种实施方式中，安全设备可以将上述目标安全策略组中的各ip字段中的展开后的多个ip对象中相同的ip对象进行合并，从而达到在ip字段中去除冗余的目的。

例如：源ip字段中有ip对象组192.168.1.1-192.168.1.10和ip对象组192.168.1.8-192.168.1.20，ip对象组192.168.1.1-192.168.1.10展开后可以获得ip对象192.168.1.1、192.168.1.2、192.168.1.3、192.168.1.4、192.168.1.5、192.168.1.6、192.168.1.7、192.168.1.8、192.168.1.9和192.168.1.10；

ip对象组192.168.1.8-192.168.1.20展开后可以获得ip对象192.168.1.8、192.168.1.9、192.168.1.10、192.168.1.11、192.168.1.12、192.168.1.13、192.168.1.14、192.168.1.15、192.168.1.16、192.168.1.17、192.168.1.18、192.168.1.19、192.168.1.20；

安全设备将上述两个ip对象组中的冗余ip对象192.168.1.8、192.168.1.9和192.168.1.10合并。

参见图3，为本申请示出的另一种安全策略组的结构示意图，如图3所示，安全策略组在内部去除冗余后，各预设字段对应的各对象都是唯一的。

安全设备合并上述目标安全策略组的各个预设字段中的冗余对象后，可以获得新的对象组。其中，新的对象组的数量相对去除冗余前的对象组的数量有所减少。

例如，以合并源ip字段中的ip对象组192.168.1.1-192.168.1.10和ip对象组192.168.1.8-192.168.1.20为例，在合并后，上述目标安全策略组的源ip字段中出现了新的ip对象组192.168.1.1-192.168.1.20。

在示出的一种实施方式，安全设备合并上述目标安全策略组的各ip字段中的相同的ip对象，并获得新的ip对象组后，可以将新的ip对象组转换为标准的表示格式，使得后续可以更方便地在不同的安全策略之间比较各ip字段中的ip对象组。

在ip对象组的几种表示格式中，一方面，如果将ip+通配符形式的ip对象组转换为ip范围的表示格式，通常情况下，一个ip+通配符形式的ip对象组会产生多个ip范围形式的ip对象组。

因此，在将源ip字段或目的ip字段中的ip+通配符形式的ip对象组转换为ip范围形式的ip对象组时，源ip字段中的ip对象组的数量会增加。随着ip字段中的ip对象组的数量增加，上述目标安全策略组内部的ip策略条目会膨胀。如果上述目标安全策略组内部的ip策略条目数量过多，会导致后续比较各安全策略之间各ip字段的ip对象组时，工作量过大。

另一方面，如果将上述目标安全策略组内部的ip范围形式的ip对象组转换为ip+通配符形式，则上述目标安全策略组内部的ip策略条目膨胀较小。

因此，上述安全设备可以将上述目标安全策略组的各ip字段中的ip对象组统一转换为ip+通配符的表示格式。通过该措施，上述安全设备在后续可以更方便地比较各安全策略内部的ip对象组。

在本申请实施例中，上述安全设备在上述目标安全策略组内部去除冗余，并将各ip字段中的ip对象组转换为ip+通配符的表示格式后，为了后续更方便地检测各安全策略之间的冗余关系，可以基于上述目标安全策略组中各预设字段对应的对象组的数量，将上述目标安全策略组拆分为若干条安全策略。

其中，上述安全设备可以为拆分出的各安全策略添加策略标识以及上述目标安全策略组的策略组标识，以便于后续可以基于上述策略标识和目标安全策略组的策略组标识记录检测到策略冗余关系。

需要指出的是，拆分出的各安全策略的各预设字段分别对应唯一的对象组，仍以图3所示，如果去除冗余后的目标安全策略组的源ip字段包括x个ip对象组、目标ip字段包括y个ip对象组、服务字段包括z个服务对象组(协议对象组)，则当上述安全设备基于各预设字段对应的对象组的数量，将上述目标安全策略组拆分获得安全策略后，可以得到的安全策略的总数m＝x*y*z。

在本申请实施例中，当上述安全设备将本地预配置的所有安全策略组基于上述措施在内部去除冗余并拆分出若干条安全策略后，可以遍历拆分出的所有安全策略，然后基于预设策略检测所有安全策略中的冗余安全策略。

在示出的一种实施方式中，上述安全设备在检测安全策略中的冗余安全策略前，首先可以将所有安全策略基于其对应的安全策略组的预设的优先级进行排列。

此外，为便于后续比较各安全策略的各预设字段的对象组，上述安全设备还可以将安全策略中的多级结构展开。比如，可以将上述服务字段展开为协议号字段、源端口字段和目的端口字段。

参见图4，为本申请示出的一种安全策略的结构示意图，如图4所示，上述安全设备将预配置的所有安全策略组展开得到共计n条安全策略，安全策略组拆分出的安全策略的优先级沿用该安全策略组的优先级，因此，可以将优先级高的安全策略排在前列。同一安全策略组拆分出的各安全策略互相之间的排列顺序对后续检测冗余的过程没有影响，可以任意排列。

其中，上述安全设备可以把为各安全策略添加的策略标识和其对应的安全策略组的策略组标识写入到其它信息字段中，如图4所示，info1中就记录了排列在第一位的安全策略的策略标识以及该安全策略对应的安全策略组的策略组标识。

在将预配置的全部安全策略组拆分出的安全策略，并将所有安全策略基于对应的优先级进行排序后，上述安全设备可以从第一条安全策略开始，将所有安全策略依次选定为目标安全策略，然后将该目标安全策略与其它安全策略进行匹配。

例如，仍以图4为例，在将上述第一条安全策略选定为目标安全策略后，上述安全设备可以将第一条安全策略的(除了动作字段以外)各预设字段与第二条安全策略的各预设字段进行比较，检查第一条安全策略的每一项预设字段中的对象组是否完全覆盖第二条安全策略的每一项预设字段中的对象组，也就是检查sip1、dip1、protocol1、sport1、dport1是否分别覆盖sip2、dip2、protocol2、sport2、dport2；

如果第一条安全策略存在任一预设字段的对象组无法覆盖第二条安全策略的该预设字段的对象组，则说明第一条安全策略并未包含第二条安全策略，此时不做处理；

如果第一条安全策略的各预设字段的对象组分别覆盖了第二条安全策略的各预设字段的对象组，则说明第一条安全策略包含了第二条安全策略，由于第一条安全策略对应的安全策略组的优先级大于第二条安全策略对应的安全策略组的优先级，因此第二条安全策略始终无法被匹配，此时可以记录第一条安全策略与第二条安全策略之间的策略冗余关系；

上述安全设备在将第一条安全策略的各预设字段的对象组与第二条安全策略的各预设字段的对象组比较完成后，可以继续将第一条安全策略与第三条安全策略进行匹配，直到完成第一条安全策略与第n条安全策略的匹配，然后选定第二条安全策略为目标安全策略，分别与其它安全策略进行匹配，处理方式如上，直到完成以第n条安全策略为目标安全策略进行匹配的过程。

上述安全设备在完成各安全策略之间的比较后，可以确定所有安全策略之间的策略冗余关系，进而获得了预配置的所有安全策略组之间的策略冗余关系。

其中，上述策略冗余关系可以记录为优先级高的安全策略的策略标识和策略组标识，与优先级低的安全策略的策略标识和策略组标识的关联关系。

例如，如果一条安全策略组的策略组标识为a，该安全策略组拆分出两条安全策略，两条安全策略的策略标识分别为1和2；另一条安全策略组的策略组标识为b，该安全策略组拆分出三条安全策略，三条安全策略的策略标识分别为1、2和3；其中，上述安全设备检测出安全策略组a的第一条安全策略的各预设字段的对象组分别覆盖了安全策略组b的第二条安全策略的各预设字段的对象组，则可以记录策略冗余关系为(a-1；b-2)，优先级高的安全策略组写在前面，表示安全策略组a的第一条安全策略与安全策略组b的第二条安全策略存在冗余，安全策略组b的第二条安全策略为冗余安全策略，无法被匹配。

上述安全设备在检测出安全策略中的策略冗余关系后，用户可以基于上述安全设备记录的策略冗余关系，对冗余安全策略进行处理。

综上所述，在本申请实施例中，安全设备可以将目标安全策略组中各预设字段预配置的对象组分别进行展开，并合并展开后得到的冗余对象，当所述冗余对象合并完成后，可以基于所述目标安全策略组中各预设字段对应的对象组的数量，将所述目标安全策略组拆分为若干条安全策略，其中，所述若干条安全策略的各预设字段分别对应唯一的对象组；然后遍历拆分出的所述若干条安全策略，并基于预设策略检测所述若干条安全策略中的冗余安全策略；

由于在本申请中，可以在目标安全策略组中包含若干待匹配的对象组的情况下，通过针对所述目标安全策略组进行内部去冗余的方式，对所述目标安全策略组的内部结构重新进行组织，并将所述目标安全策略拆分成为各预设字段分别对应唯一对象组的若干条安全策略，然后针对拆分后的各安全策略进行策略冗余检测；从而可以简化策略冗余检测，提高安全设备的可维护性和策略冗余检测的检测效率。

与前述策略冗余的检测方法的实施例相对应，本申请还提供了策略冗余的检测装置的实施例。

参见图5，为本申请示出的一种策略冗余的检测装置的实施例框图：

如图5所示，该策略冗余的检测装置50包括：

合并单元510，用于将目标安全策略组中各预设字段预配置的对象组分别进行展开，并合并展开后得到的冗余对象。

拆分单元520，用于当所述冗余对象合并完成后，基于所述目标安全策略组中各预设字段对应的对象组的数量，将所述目标安全策略组拆分为若干条安全策略；其中，所述若干条安全策略的各预设字段分别对应唯一的对象组。

检测单元530，用于遍历拆分出的所述若干条安全策略，基于预设策略检测所述若干条安全策略中的冗余安全策略。

在本例中，所述装置还包括：

转换单元540，用于当所述冗余对象合并完成后，将所述目标安全策略组中的ip对象组转换为标准的表示格式。

在本例中，所述标准的表示格式，为ip+通配符的表示格式。

在本例中，所述检测单元530，进一步用于：

将所述若干条安全策略依次选定为目标安全策略；

将所述目标安全策略与其它安全策略进行匹配；

如果所述目标安全策略包含任一其它安全策略，记录所述目标安全策略与该其它安全策略的冗余关系。

在本例中，所述装置还包括：

排列单元550，用于在基于预设策略检测所述若干条安全策略中的冗余安全策略前，基于各安全策略的优先级，对所述若干条安全策略进行排序。

本申请策略冗余的检测装置的实施例可以应用在安全设备上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在安全设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图6所示，为本申请策略冗余的检测装置所在安全设备的一种硬件结构图，除了图6所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的安全设备通常根据该策略冗余的检测装置的实际功能，还可以包括其他硬件，对此不再赘述。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。