安全规则的动态实现的制作方法

网络安全策略可以包括文档，其概述了用于计算机网络访问、网络流量等的规则。规则可以管控数据访问、网页浏览习惯、密码的使用以及加密、电子邮件附件等。网络安全策略可以指定针对整个公司的个体或个体的群体的规则。

技术实现要素：

根据一些可能的实现方式，一种设备可以包括一个或多个处理器，其用于接收信息，该信息标识条件集合和安全动作集合。该条件集合可以控制安全规则集合的实现。该安全动作集合可以与条件集合相关联。当条件集合被满足并且安全规则集合应用于流量时，设备可以执行安全动作集合。设备可以确定要由条件集合控制的安全规则集合。安全规则集合可以与网络安全策略相关联。该设备可以修改与安全规则集合有关的信息，以使安全规则集合的实现由条件集合控制。在修改与安全规则集合有关的信息之前，安全规则集合可能尚未与条件集合相关联。该修改可以使设备处理安全规则集合，以基于条件集合的满足来动态地实现安全动作集合。该修改可以准许实现安全规则集合以适应网络中的改变集合。设备可以在修改与安全规则集合有关的信息之后执行动作。

根据一些可能的实现方式，一种非暂态计算机可读介质可以存储一个或多个指令，该一个或多个指令当由一个或多个处理器执行时，使得一个或多个处理器接收信息，该信息标识与控制安全规则集合的实现有关的条件集合。条件集合可以与安全动作集合相关联，设备基于条件集合是否被满足而将要执行该安全动作集合。一个或多个指令当由一个或多个处理器执行时，可以使得一个或多个处理器使用与安全规则集合有关的信息来确定要由条件集合控制的安全规则集合。安全规则集合可以与网络安全策略相关联。一个或多个指令当由一个或多个处理器执行时，可以使得一个或多个处理器修改与安全规则集合有关的信息，以使得安全规则集合的实现由条件集合控制。在修改与安全规则集合有关的信息之前，安全规则集合可能尚未与条件集合相关联。该修改可以使得设备处理安全规则集合以基于条件集合的满足来动态地实现安全动作集合。该修改可以准许实现安全规则集合以适应网络中的改变集合。一个或多个指令当由一个或多个处理器执行时，可以使得一个或多个处理器在修改与安全规则集合有关的信息之后执行动作。该动作可以包括确定条件集合是否被满足。

根据一些可能的实现方式，一种方法可以包括：通过设备接收信息，该信息标识条件集合和安全动作集合。条件集合可以控制安全规则集合的实现。设备可以基于条件集合是否被满足来执行安全动作集合。该方法可以包括：通过设备使用与安全规则集合有关的信息来确定要由条件集合控制的安全规则集合。与安全规则集合有关的信息可以标识该安全规则集合应用的流量源，或该安全规则集合应用的流量目的地。该方法可以包括：通过设备修改与安全规则集合有关的信息以使得设备在执行安全动作集合之前确定条件集合是否被满足。在修改与安全规则集合有关的信息之前，安全规则集合可能尚未与条件集合相关联。该修改可以使得设备处理安全规则集合以基于条件集合的满足来动态地实现安全动作集合。该修改可以准许实现安全规则集合以适应网络中的改变集合。该方法可以包括：在修改与安全规则集合有关的信息之后，通过设备执行安全动作集合中的安全动作。

附图说明

图1a和图1b是本文中所描述的示例实现方式的概述的图；

图2是其中可以实现本文中所描述的系统和/或方法的示例环境的图；

图3是图2的一个或多个设备的示例组件的图；

图4是用于安全规则的动态实现的示例过程的流程图；

图5是用于安全规则的动态实现的示例过程的流程图；以及

图6是本文中所描述的示例实现方式的图。

具体实施方式

示例实现方式的以下具体实施方式参考附图。不同附图中的相同附图标记可以标识相同或相似的元件。

网络管理员可能想要在不同场景中实现不同的安全规则集合。例如，网络管理员可能想要在假期(例如，当网络上的流量可以满足阈值时)实现第一安全规则集合，当网络受到攻击时实现第二安全规则集合，在工作时间期间实现第三安全规则集合，在非工作时间期间实现第四安全规则集合等。在一些情况下，网络管理员可能必须手动配置安全规则集合来实现特定的安全规则集合(例如，通过打开或关闭特定的安全规则，修改安全规则所实现的安全动作等)。这可能消耗网络管理员的时间、降低为不同场景而修改安全规则集合的效率(例如，降低响应于网络攻击的效率，这可能导致对网络资源的消耗或损坏)、经由存储用于不同场景中的多个安全规则集合消耗网络设备的存储器资源等。另外，在不同场景中实现安全规则时的错误(诸如错误地打开或关闭安全规则)可能通过通信丢失或失败、流量的不当处理等消耗了网络设备的处理资源。

本文中所描述的一些实现方式提供了能够自动配置安全规则集合的网络设备，使得基于安全规则集合执行的安全动作依据各种条件的满足而变化。例如，网络设备可以配置安全规则，使得网络设备当满足第一条件时将安全规则应用于流量时，执行第一安全动作，并且当满足第二条件时将安全规则应用于流量时，执行第二安全动作。这样，网络设备可以基于满足的各种标准自动并动态地实施安全规则集合。

这准许网络设备在不同场景中快速有效地执行各种安全动作，从而提高了对不同场景的响应效率。另外，这节省了由于对特定场景(例如，网络攻击、阈值流量场景等)的延迟响应而可能被消耗或损坏的网络资源。进一步地，这减少了为不同场景重新配置安全规则集合所需的时间量，从而提高了重新配置安全规则集合的效率。进一步地，这节省了由于在手动修改安全规则以在不同场景中实现不同的安全规则时的错误而被消耗的网络设备的处理资源。进一步地，这通过减少或消除网络设备存储用于多个场景的多个安全规则集合的需求来节省网络设备的存储器资源。

图1a和图1b是本文中所描述的示例实现方式100的概述的图。如图1a和图1b所示，示例实现方式100可以包括网络设备和客户端设备。尽管图1a和图1b示出了单个网络设备和单个客户端设备，但是实际上可能有数百、数千、数百万等个网络设备和/或客户端设备。图1a和图1b示出了配置安全规则集合以基于各种条件的满足来实现各种安全动作的网络设备的示例。实际上，网络设备可以配置数百、数千、数百万等个安全规则。这样，网络设备可以处理不能被手动地或客观地由人类行为者处理的安全规则集合。

如图1a所示，并且如附图标记105所示，网络设备可以接收信息，该信息标识要用于控制安全规则集合和对应安全动作集合的实现的条件集合。例如，网络设备可以从客户端设备接收信息(例如，基于来自客户端设备的用户的输入)。在一些实现方式中，条件集合可以与当安全规则要被应用时的场景集合有关。例如，第一条件可以与第一场景有关，第二条件可以与第二场景有关等。在一些实现方式中，网络设备可以依据条件集合是否被满足来执行安全动作集合。例如，当不同的条件被满足时，网络设备可以在不同的场景中执行不同的安全动作。在一些实现方式中，条件集合可以旨在控制数千、数百万、数十亿等个安全规则。

如图1a进一步所示，并且如附图标记110所示，条件可以与安全动作集合相关联。例如，一个条件可能与网络是否受到攻击有关，并且安全动作集合可能基于网络是否受到攻击而有所不同。在这种情况下，如果网络受到攻击(“真”)，那么网络设备将拒绝社交媒体流量。类似地，如果网络没有受到攻击(“假”)，那么网络设备将允许社交媒体流量。这样，条件可能与在不同场景中(例如，网络受到攻击或没有受到攻击的场景)动态地实现不同的安全动作有关。

如图1a进一步所示，并且如附图标记115所示，网络设备可以接收信息，该信息标识与条件集合相关的标准集合。在一些实现方式中，标准集合可以用来确定条件集合是否被满足。例如，如果网络设备确定网络正在经历拒绝服务攻击、中间人攻击(man-in-the-middleattack)等，则网络设备可以确定网络受到攻击。附加地或可替代地，并且作为另一示例，网络设备可以从客户端设备的用户或者从外部设备(例如，外部安全分析设备)接收条件集合被满足(例如，网络受到攻击)的指示。这样，网络设备可以基于标准集合来确定条件集合是否被满足(例如，以准许网络设备确定要执行的安全动作集合)。

如图1a进一步所示，并且如附图标记120所示，网络设备可以确定要由条件集合控制的安全规则集合。在一些实现方式中，网络设备可以确定修改特定安全规则，使得特定安全规则由条件集合控制。例如，网络设备可以基于网络是否受到攻击来确定要被用于实现安全动作集合的网络安全策略中所包括的安全规则集合。

如图1a进一步所示，附图标记125示出了被包括在网络安全策略中的示例安全规则集合。如附图标记125进一步所示，安全规则可以包括信息，其标识安全规则要应用到的流量源(例如，源流量标准)、安全规则要应用的流量目的地(例如，目的地流量标准)、当安全规则应用于流量时网络设备要执行的安全动作等。

如图1a进一步所示，并且如附图标记130所示，网络设备可以标识要由从客户端设备接收到的要由条件集合控制的安全规则。例如，网络设备可以基于条件集合来标识安全规则，并且该安全规则应用于相同的流量源、相同的流量目的地等。在这种情况下，网络设备可以解析条件集合和/或安全规则以标识被包括在条件集合和/或安全规则中的标识符、条件集合和/或安全规则中所包括的术语和/或短语(例如，使用自然语言处理)等，其标识条件集合和/或安全规则要被应用的方式。继续先前示例，网络设备可以基于均应用于社交媒体流量的条件集合和安全规则1来确定安全规则1(例如，由附图标记130所标识的)要由条件集合控制。

如图1b所示，并且如附图标记135所示，网络设备可以修改安全规则集合，使得条件集合控制安全规则集合的实现。例如，网络设备可以修改与安全规则集合有关的信息，以使得安全规则集合由条件集合(例如，存储与安全规则集合有关的信息的数据结构)所控制。

如在图1b中进一步所示，并且由附图标记140所示，网络设备可以修改用于安全规则(例如，安全规则1)的安全动作，以使得安全规则由条件集合控制。在这种情况下，网络设备可以修改与安全规则有关的信息，使得该信息指示网络设备要执行的安全动作取决于某条件的满足。例如，如所示出的，网络设备可以修改与安全规则有关的信息，使得网络设备当网络受到攻击时拒绝社交媒体流量，并且当网络没有受到攻击时，准许社交媒体流量。在一些实施方式中，客户端设备的用户可以修改用于安全规则的安全动作，以使得安全规则由条件集合控制。这样，网络设备可以修改安全规则以准许安全规则的动态实现。

如图1b进一步所示，并且如附图标记145所示，网络设备可以在修改安全规则集合之后执行动作。例如，网络设备可以执行动作来监控流量、监控网络以确定条件集合是否被满足(例如，网络是否受到攻击)、生成与修改要由条件集合控制的安全规则集合有关的报告等。如附图标记150所示，网络设备可以提供与安全规则、条件和/或安全动作有关的信息以供经由客户端设备显示。另外，网络设备可以基于条件是否被满足来执行安全动作。例如，如果网络设备确定网络受到攻击，则网络设备可以拒绝经由网络交换社交媒体流量。附加地或可替代地，并且作为另一示例，如果网络设备确定网络没有受到攻击，则网络设备可以准许经由网络的社交媒体流量。

这样，网络设备可以基于被满足的各种标准来自动并动态地实现安全规则集合。这准许网络设备在不同场景中快速有效地执行各种安全动作，从而提高了对不同场景的响应效率。另外，这节省了由于对特定场景(例如，网络攻击、阈值流量场景等)的延迟响应而可能导致消耗或损坏的网络资源。进一步地，这减少了为不同场景重新配置安全规则集合所需的时间量，从而提高了重新配置安全规则集合的效率。进一步地，这节省了由于在手动修改安全规则以在不同场景中实现不同的安全规则时的错误而可能被消耗的网络设备的处理资源。进一步地，这通过减少或消除网络设备存储用于多个场景的多个安全规则集合的需求来节省网络设备的存储器资源。

如上文所指示的，图1a和图1b仅作为示例提供。其他示例是可能的并且可能不同于关于图1a和图1b所描述的示例。例如，并且在零售环境中，零售组织可能想要在特定时间段或一年中的某一天(例如，黑色星期五)期间将非创收(non-revenue-generating)流量降至最低。继续先前示例，本文中所描述的实现方式可以准许零售组织快速有效地配置安全规则集合，使得安全规则基于特定时间段或一年中的某一天(例如，基于被满足的条件集合)来实现不同的安全动作。这简化了控制安全规则集合的实现的条件的生成，并且基于客户定义的条件来创建动态网络安全策略。

图2是其中可以实现本文中所描述的系统和/或方法的示例环境200的图。如图2所示，环境200可以包括网络设备210、客户端设备220和网络230。环境200的设备可以经由有线连接、无线连接或者有线和无线连接的组合来互连。

网络设备210包括一个或多个设备(例如，一个或多个流量传送设备)，其能够接收、生成、存储、处理和/或提供与安全规则有关的信息。例如，网络设备210可以包括防火墙、路由器、网关、交换机、集线器、网桥、反向代理、服务器(例如，代理服务器)、安全设备、入侵检测设备、负载平衡器或类似设备。在一些实现方式中，如本文中别处所描述的，网络设备210可以接收信息，该信息标识条件集合以控制安全规则集合。附加地或可替代地，如本文中别处所描述的，网络设备210可以修改安全规则集合，使得当安全规则集合应用于流量时执行的安全动作随着条件集合的满足而变化。在一些实现方式中，网络设备210可以是在诸如机架的外壳内实现的物理设备。在实现方式中，网络设备210可以是由云计算环境或数据中心的一个或多个计算机设备实现的虚拟设备。尽管图2示出了单个网络设备210，但是实际上可能有数百、数千、数百万等个网络设备210。

客户端设备220包括一个或多个设备，其能够接收、生成、存储、处理和/或提供与安全规则相关联的信息。例如，客户端设备220可以包括移动电话(例如，智能电话、无线电话等)、膝上型计算机、平板计算机、手持式计算机、游戏设备、可穿戴式通信设备(例如，智能手表、一副智能眼镜等)或类似设备。在一些实现方式中，如本文中别处所描述的，客户端设备220可以向网络设备210提供要控制安全规则集合的条件集合。附加地或可替代地，如本文中别处所描述的，客户端设备220可以从网络设备210接收信息，其指示其中安全规则集合被修改为要由条件集合控制的方式。尽管图2示出了单个客户端设备220，但是实际上可能有数百、数千、数百万等个客户端设备220。

网络230包括一个或多个有线和/或无线网络。例如，网络230可以包括蜂窝网络(例如，长期演进(lte)网络、码分多址(cdma)网络、3g网络、4g网络、5g网络、另一类型的蜂窝网络等)、公共陆地移动网络(plmn)、局域网(lan)、广域网(wan)、城域网(man)、电话网络(例如，公共交换电话网络pstn))、私人网络、自组织(adhoc)网络、内联网、互联网、基于光纤的网络、云计算网络等,和/或这些或其他类型的网络的组合。

图2中所示的设备和网络的数目和布置作为示例而被提供。实际上，可能存在与图2中所示的那些相比附加的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络、或者不同布置的设备和/或网络。更进一步地，图2中所示的两个或更多个设备可以在单个设备内实现，或者图2中所示的单个设备可以被实现为多个分布式设备。附加地或可替代地，环境200的设备集合(例如，一个或多个设备)可以执行被描述为由环境200的另一设备集合所执行的一个或多个功能。

图3是设备300的示例组件的图。设备300可以与网络设备210和/或客户端设备220相对应。在一些实现方式中，网络设备210和/或客户端设备220可以包括一个或多个设备300和/或设备300的一个或多个组件。如图3所示，设备300可以包括一个或多个输入组件305-1至305-b(b≥1)(以下统称为“输入组件305”，并且单独地称为“输入组件305”)、交换组件310、一个或多个输出组件315-1至315-c(c≥1)(以下统称为“输出组件315”，并且单独称为“输出组件315”)以及控制器320。

输入组件305可以是用于物理链路的连接点，并且可以是诸如分组的输入流量的入口点。输入组件305可以诸如通过执行数据链路层封装或解封装来处理输入流量。在一些实现方式中，输入组件305可以发送和/或接收分组。在一些实现方式中，输入组件305可以包括输入线卡，其包括一个或多个分组处理组件(例如，以集成电路的形式)，诸如一个或多个接口卡(ifc)、分组转发组件、线卡控制器组件、输入端口、处理器、存储器和/或输入队列。在一些实现方式中，设备300可以包括一个或多个输入组件305。

交换组件310可以将输入组件305与输出组件315互连。在一些实现方式中，交换组件310可以经由一个或多个交叉开关、经由总线和/或使用共享存储器来实现。共享存储器可以充当临时缓冲器以在分组被最终调度以递送到输出组件315之前存储来自输入组件305的分组。在一些实现方式中，交换组件310可以使得输入组件305、输出组件315和/或控制器320能够通讯。

输出组件315可以存储分组并且可以调度分组以在输出物理链路上进行传输。输出组件315可以支持数据链路层封装或解封装、和/或多种更高层协议。在一些实现方式中，输出组件315可以发送分组和/或接收分组。在一些实现方式中，输出组件315可以包括输出线卡，其包括一个或多个分组处理组件(例如，以集成电路的形式)，诸如一个或多个ifc、分组转发组件、线卡控制器组件、输出端口、处理器、存储器和/或输出队列。在一些实现方式中，设备300可以包括一个或多个输出组件315。在一些实现方式中，输入组件305和输出组件315可以由相同的组件集合来实现(例如，输入/输出组件可以是输入组件305和输出组件315的组合)。

控制器320包括以例如中央处理单元(cpu)、图形处理单元(gpu)、加速处理单元(apu)、微处理器、微控制器、数字信号处理器(dsp)、现场可编程门阵列(fpga)、专用集成电路(asic)和/或另一类型的处理器为形式的处理器。处理器以硬件、固件或硬件和软件的组合来实现。在一些实现方式中，控制器320可以包括一个或多个处理器，其可以被编程为执行功能。

在一些实现方式中，控制器320可以包括随机存取存储器(ram)、只读存储器(rom)和/或另一类型的动态或静态存储设备(例如，闪存、磁存储器、光存储器等)，其存储供控制器320使用的信息和/或指令。

在一些实现方式中，控制器320可以与连接到设备300的其他设备、网络和/或系统通信以交换关于网络拓扑的信息。控制器320可以基于网络拓扑信息来创建路由表，基于路由表来创建转发表，以及将转发表转发给输入组件305和/或输出组件315。输入组件305和/或输出组件315可以使用转发表来执行输入和/或输出分组的路由查找。

控制器320可以执行本文中所描述的一个或多个过程。响应于执行由非暂态计算机可读介质存储的软件指令，控制器320可以执行这些过程。计算机可读介质在本文中被定义为非暂态存储器设备。存储器设备包括单个物理存储设备内的存储器空间或跨多个物理存储设备分布的存储器空间。

经由通信接口，软件指令可以从另一计算机可读介质或者从另一设备被读取到与控制器320相关联的存储器和/或存储组件中。当被执行时，存储在与控制器320相关联的存储器和/或存储组件中的软件指令可以使得控制器320执行本文中所描述的一个或多个过程。附加地或可替代地，硬连线电路可以用来代替软件指令或与软件指令结合来执行本文中所描述的一个或多个过程。因此，本文中所描述的实现方式不限于硬件电路和软件的任何特定组合。

图3中所示的组件的数目和布置被作为示例提供。实际上，设备300可以包括与图3中所示的那些相比更多的组件、更少的组件、不同的组件或者不同布置的组件。附加地或者可替代地，设备300的组件集合(例如，一个或多个组件)可以执行被描述为由设备300的另一组件集合执行的一个或多个功能。

图4是用于动态实现安全规则的示例过程400的流程图。在一些实现方式中，图4的一个或多个过程框可以由网络设备210执行。在一些实现方式中，图4的一个或多个过程框可以由独立于或包括网络设备210的另一设备或设备组来执行(诸如客户端设备220和/或与网络设备210相关联的管理系统)。图4示出了网络设备210修改与安全规则集合有关的信息以使得安全规则集合的实现由先前与该安全规则集合不相关联的条件集合控制的示例。

如图4所示，过程400可以包括：接收标识条件集合的信息，该条件集合用于控制网络设备基于该条件集合是否被满足而要执行的安全规则集合和对应的安全动作集合的实现(框410)。例如，网络设备210可以接收标识条件集合的信息，该条件集合用于控制网络设备210基于该条件集合是否被满足来而要执行的安全规则集合和对应的安全动作集合的实现。在一些实现方式中，网络设备210可以根据时间表、基于来自客户端设备220的用户的输入、基于请求信息等来周期性地接收信息。在一些实现方式中，网络设备210可以接收标识数千、数百万、数十亿等个条件的信息。这样，网络设备210可以接收不能由人类行为者手动地或客观地处理的信息。

在一些实现方式中，条件可以与安全规则要被应用(或未被应用)的场景有关。在一些实现方式中，条件可以控制安全规则的实现。例如，条件的满足可以使得网络设备210执行第一安全动作，并且不满足或以不同方式满足(例如，满足第一阈值而非第二阈值)可以使得网络设备210当安全规则应用于流量时执行第二安全动作。在一些实现方式中，例如，条件可以与网络230是否受到攻击、当前日是否对应于一年中的特定日期(例如，黑色星期五)、网络230是否正在经历维护等相对应。在一些实现方式中，网络设备210可以使用各种标准来确定条件是否被满足。例如，标准可以包括网络设备210可以使用其来确定条件是否被满足的阈值、特定值、来自客户端设备220的用户的输入等。

在一些实现方式中，安全规则可以包括与访问网络230有关的规则、经由网络230准许的流量等。在一些实现方式中，安全规则可以与网络安全策略相关联。例如，安全规则集合可能形成网络安全策略。在一些实现方式中，网络安全策略可以包括数千、数百万、数十亿、数万亿等个安全规则。

在一些实现方式中，安全规则可以与安全动作相关联。在一些实现方式中，安全动作可以包括当网络设备210标识安全规则所应用的流量时网络设备210所执行的动作。例如，安全动作可以包括准许流量、拒绝流量、记录流量、路由流量等。

在一些实现方式中，流量可以指代分组集合。在一些实现方式中，分组可以指代用于传送信息的通信结构，诸如协议数据单元(pdu)、网络分组、数据报、分段、消息、块、信元、帧、子帧、时隙、符号、以上各项中的任一项的一部分、和/或能够经由网络230发传送的另一类型的格式化或未格式化的数据单元。

这样，网络设备210可以接收标识条件集合的信息，该条件集合用于基于条件集合是否被满足来控制网络设备210要执行的安全规则集合和对应的安全动作集合的实现。

如图4进一步所示，过程400可以包括：确定要由条件集合控制的安全规则集合(框420)。例如，网络设备210可以确定要由条件集合控制的安全规则集合。在一些实现方式中，网络设备210可以在接收到标识条件集合的信息之后、基于从客户端设备220的用户接收确定安全规则集合的指示、在接收到标识条件集合的信息的阈值量之后等来确定安全规则集合。在一些实现方式中，网络设备210可以确定数千、数百万、数十亿等个安全规则。这样，网络设备210可以确定不能由人类行为者手动地或客观地确定或处理的安全规则集合。

在一些实现方式中，网络设备210可以使用一种或多种技术来确定安全规则集合。例如，网络设备210可以执行标识符的比较，该标识符标识与条件集合和安全规则集合相关联的流量源、流量目的地等，并且当比较结果指示匹配时，可以确定要由条件集合控制的安全规则集合。附加地或可替代地，并且作为另一示例，网络设备210可以执行标识符的比较，该标识符标识与源或目的地相关联的端口、用于向源或目的地传送流量和/或从其传送流量的信道、用于向源或目的地传送流量和/或从其传送流量的协议、与去往和/或来自源或目的地的流量相关联的流、与源或目的地相关联的数据中心、与源或目的地相关联的边缘设备、源或目的地与之通信的特定网络设备210、与源或目的地相关联的实体等。在一些实现方式中，网络设备210可以解析与条件集合和安全规则集合有关的信息以确定该标识符。

在一些实现方式中，网络设备210可以标识被包括在标识条件集合和/或安全规则集合的信息中的术语和/或短语(例如，使用自然语言处理、计算语言学、文本分析等)，并且可以确定安全规则集合和/或条件集合是否具有匹配的术语和/或短语。例如，当与条件集合和安全规则集合相关联的术语和/或短语的比较指示匹配时，网络设备210可以确定要由条件集合控制的安全规则集合。在一些实现方式中，网络设备210可以使用来自客户端设备220的用户的输入来确定安全规则集合。例如，客户端设备220的用户可以输入信息，其标识要由条件集合控制的安全规则集合。

在一些实现方式中，网络设备210可以基于安全规则集合的意图来确定安全规则集合。在一些实现方式中，网络设备210可以基于来自客户端设备220的用户的输入(例如，基于从预先定义的意图的集合的选择)来确定意图。在一些实现方式中，网络设备210可以使用与安全规则集合相关联的信息来确定意图(例如，在意图由安全动作集合指示的情况下，通过标识安全规则集合要应用到的流量源和/或目的地的信息)。在一些实现方式中，网络设备210可以通过解析(例如，分析或处理)与安全规则集合相关联的信息来确定安全规则集合的意图。例如，网络设备210可以标识被包括在信息中的标识符，该标识符标识当安全规则集合应用于流量时网络设备210要执行的安全动作集合、安全规则集合要应用的流量源、安全规则集合要应用的流量目的地等。

在一些实现方式中，网络设备210可以通过使用自然语言处理、文本分析、计算语言学等来确定意图(例如，以标识术语、短语等，其标识安全规则集合的意图)。例如，网络设备210可以基于被包括在与安全规则集合相关联的信息中的、指示安全规则集合要应用于雇员或雇员子集的术语和/或短语，来确定安全规则集合旨在应用于雇员或雇员子集。

在一些实现方式中，网络设备210可以通过使用机器学习来确定意图。例如，网络设备210可以基于确定安全规则集合类似于网络设备210在其上训练的安全规则集合(例如，在网络设备210在标识各种安全规则和对应意图的数据集上训练的情况下)来确定安全规则集合的意图。

在一些实现方式中，当使用机器学习时，网络设备210可以训练模型以确定安全规则集合的意图。例如，网络设备210可以训练模型以基于安全规则集合要应用的流量目的地、安全规则集合要应用的流量源、当安全规则集合应用时执行的安全动作集合等来确定意图。在一些实现方式中，网络设备210外部的设备可以执行机器学习。例如，外部设备可以针对多个网络设备210执行机器学习，并且可以向多个网络设备210提供与机器学习的结果有关的信息以准许网络设备210确定意图。在一些实现方式中，多个网络设备210可以向外部设备提供与标识安全规则集合的意图的结果有关的信息，诸如以改善外部设备的机器学习。

在一些实现方式中，使用机器学习可以准许网络设备210标识指示安全规则集合的意图的与安全规则集合有关的信息。例如，网络设备210可以确定标识该安全规则集合要应用的流量源的信息比标识安全规则集合要应用的流量目的地的信息更多地指示该安全规则集合的意图。这通过准许网络设备210快速有效地确定安全规则集合的意图来节省网络设备210的处理资源。在一些实现方式中，网络设备210可以对与安全规则集合有关的不同信息加权，并且可以使用用于安全规则集合的加权分数、与和安全规则集合有关的不同信息相关联的权重的平均值等来确定安全规则集合的意图。

在一些实现方式中，当安全规则集合的意图和条件集合的意图匹配时，网络设备210可以确定安全规则集合。在一些实现方式中，当确定安全规则集合的意图和条件集合的意图是否匹配时，网络设备210可以确定与安全规则集合和条件集合(或它们的部分)有关的信息是否匹配。例如，网络设备210可以确定安全规则集合和条件集合是否与相同的源、相同的目的地等相关联。继续先前示例，网络设备210可以确定当安全规则集合和条件集合应用于相同的源、相同的目的地时，安全规则集合的意图和条件集合的意图匹配。

附加地或可替代地，网络设备210可以执行与安全规则集合和条件集合有关的信息的加权匹配(例如，在对标识流量源的信息比标识流量目的地的信息被更多加权的情况下)，并且当与阈值权重相关联的信息匹配时，可以确定匹配。附加地或可替代地，网络设备210可以确定用于与安全规则集合和条件集合有关的信息的相似性测量。例如，相似性测量可以被基于包括在信息中的类似的术语和/或短语，应用于相似类型的源或目的地(例如，应用、设备、地理位置等)的安全规则集合和条件集合等。附加地或可替代地，网络设备210可以基于在安全规则集合和条件集合之间匹配的信息量来确定分数，并且当分数满足阈值时，可以确定匹配。

在一些实现方式中，当网络设备210被包括在云计算环境中时，另一设备可以确定安全规则集合。例如，网络设备210可以向该另一设备提供标识网络设备210所存储的网络安全策略的安全规则的信息。在这种情况下，该另一设备可以确定要由条件集合控制的安全规则集合，并且可以向网络设备210提供指示安全规则集合的信息。

这样，网络设备210可以确定要由条件集合控制的安全规则集合，以准许网络设备210修改与安全规则集合有关的信息，使得安全规则集合由条件集合控制。

如图4进一步所示，过程400可以包括：修改与安全规则集合有关的信息，使得条件集合控制安全规则集合的实现(框430)。例如，网络设备210可以修改与安全规则集合有关的信息，使得条件集合控制安全规则集合的实现。在一些实现方式中，网络设备210可以在确定要由条件集合控制的安全规则集合之后、基于从客户端设备220的用户接收到输入等来修改安全规则集合。在一些实现方式中，网络设备210可以修改与数千、数百万、数十亿等个安全规则有关的信息，从而修改与不能由人类行为者手动地或客观地处理的安全规则集合有关的信息。

在一些实现方式中，对与安全规则集合有关的信息的修改可以使得网络设备210处理安全规则集合，以基于条件集合的满足来动态地实现安全动作集合。例如，修改可以使得网络设备210基于被满足的不同条件来实现不同的安全动作。附加地或者可替代地，修改可以准许安全规则集合的实现适应网络230中的改变集合(例如，应用正在运行或正在执行的位置的改变、用户正在被连接到网络230的位置的改变、网络230的环境的改变，等等)。这相对于无法动态或自适应实现的安全规则集合改善了安全规则集合的使用。

在一些实现方式中，网络设备210可以通过修改与安全规则集合相关联的信息来修改安全规则集合，使得安全规则集合的实现由条件集合控制。例如，网络设备210可以修改标识当安全规则集合应用于流量时要被执行的安全动作集合的信息。在这种情况下，网络设备210可以修改安全规则集合，使得要被执行的安全动作集合取决于条件集合的满足。这样，当网络设备210针对安全规则集合执行安全动作集合的查找时，网络设备210可以确定条件集合是否被满足以确定要执行的安全动作集合。

附加地或可替代地，网络设备210可以生成和/或存储指示安全规则集合要由条件集合控制的指令集合。例如，该指令集合可以使得网络设备210确定条件集合是否被满足，以确定当安全规则集合应用于流量时要执行的安全动作集合。这样，网络设备210可以生成和/或存储指令集合，其使得网络设备210确定条件集合是否被满足以确定当安全规则集合应用于流量时要执行的安全动作集合。

在一些实现方式中，网络设备210可以修改数据结构中的信息以包括标识条件集合的信息、要由条件集合控制的对应的安全规则集合等。在这种情况下，当网络设备210确定规则集合应用于流量时，网络设备210可以使用该数据结构来基于条件集合是否被满足来确定要执行的安全动作集合。这样，网络设备210可修改数据结构中的信息以使得网络设备210确定条件集合是否被满足，以确定当安全规则集合应用于流量时要执行的安全动作集合。

在一些实现方式中，网络设备210可以在修改与安全规则集合有关的信息之后执行网络安全策略的分析。例如，网络设备210可以执行网络安全策略的测试以确定与网络安全策略相关联的安全规则是否冲突(例如，在第一安全规则指示丢弃分组而第二安全规则指示准许该相同的分组的情况下)、安全规则是否不可操作等。这通过减少或消除与修改网络安全策略和/或安全规则集合有关的错误来改善对网络安全策略和/或安全规则集合的修改。

这样，网络设备210可以修改与安全规则集合有关的信息，使得条件集合控制安全规则集合的实现。

如图4进一步所示，过程400可以包括：在修改与安全规则集合有关的信息之后，执行动作(框440)。例如，网络设备210可以在修改与安全规则集合有关的信息之后，执行动作。在一些实现方式中，网络设备210可以执行与数千、数百万、数十亿等个安全规则有关的动作，从而处理不能由人类行为者手动地或客观地处理的安全规则集合。

在一些实现方式中，例如，网络设备210可以执行动作以监控流量(例如，经由网络设备210交换的)以确定何时实施安全规则。附加地或可替代地，并且作为另一示例，网络设备210可以执行动作以确定条件是否被满足。例如，网络设备210可以监控网络230以检测网络230何时受到攻击(例如，基于流量源、基于流量模式、基于来自客户端设备220的用户的指示、基于流量的量等)、确定当前日是否是周、月、年等的特定日期、确定网络230是否正在经历维护等。在一些实现方式中，网络设备210可以从客户端设备220的用户接收条件集合被满足的指示。

附加地或可替代地，作为另一示例，网络设备210可以执行动作以从客户端设备220的用户请求对与安全规则集合有关的信息的修改的确认(例如，在修改与安全规则集合有关的信息之前)。附加地或可替代地，并且作为另一示例，网络设备210可以执行动作来存储标识该修改的信息，以准许网络设备210生成用于另一安全规则集合的推荐的修改、以改善对要由条件集合控制的安全规则集合的未来标识、以改善对要通过另一网络设备210由条件集合控制的安全规则集合的标识等。

附加地或可替代地，并且作为另一示例，网络设备210可以执行动作以生成与安全规则集合有关的报告。例如，当条件被满足时，网络设备210可以生成报告，该报告包括标识正在使得网络设备210基于被满足的条件来实现不同的安全动作的安全规则集合的信息、标识用于安全规则集合的先满足和后满足安全动作的信息、标识由条件集合控制的安全规则集合的信息等。在一些实现方式中，报告可以标识安全规则之间是否存在冲突、特定安全规则是否基于冲突而被覆盖等。在一些实现方式中，并且作为另一示例，在基于条件集合的满足来实现不同的安全动作之前，网络设备210可以提供用于显示的报告以准许客户端设备220的用户确认不同安全动作的执行。

附加地或可替代地，并且作为另一示例，网络设备210可以执行动作来存储信息和/或生成与对与安全规则集合有关的信息的修改有关的报告。继续该示例，网络设备210可以存储信息，该信息标识对安全规则集合的修改、条件被满足的日期和/或时间(以及可能已经被提供条件被满足的指示的用户)、作为条件得到满足的结果而正在实现不同安全动作的安全规则等。

这样，网络设备210可以在修改与安全规则集合有关的信息之后执行动作。

尽管图4示出了过程400的示例框，但是在一些实现方式中，过程400可以包括与图4中所描绘的那些相比的附加的框、较少的框、不同的框、或不同布置的框。附加地或另替代地，过程400的两个或更多个框可以被并行执行。

图5是用于动态实现安全规则的示例过程500的流程图。在一些实现方式中，图5的一个或多个过程框可以由网络设备210执行。在一些实现方式中，图5的一个或多个过程框可以由独立于或包括网络设备210的另一设备或设备组来执行(诸如客户端设备220)。图5示出了与基于被满足的条件来确定要执行的安全动作有关的示例过程。

如图5所示，过程500可以包括：接收条件集合中的条件已经被满足的指示(框510)。例如，网络设备210可以接收条件集合中的条件已经被满足的指示。在一些实现方式中，网络设备210可以基于监控条件的满足、基于来自客户端设备220的用户的输入等来接收指示。在一些实现方式中，网络设备210可以接收数千、数百万、数十亿等个条件已经被满足的指示，从而接收不能由人类行为者手动地或客观地处理的信息。

在一些实现方式中，网络设备210可以通过监控指示来接收条件已经被满足的指示，或者确定条件已经被满足。例如，网络设备210可以通过监控网络230和/或经由网络230的流量(诸如来自特定源的流量)、通过确定网络230是否受到攻击(例如，基于标识经由网络230的流量模式、基于通过网络230的流量类型、基于流量的量等)、特定事件是否正在发生(例如，一年中的特定日期、网络230的一部分的中断、对网络230的维护等)等来接收指示。附加地或可替代地，并且作为另一示例，网络设备210可以监控与网络230相关联的用户组(例如，用户集合的活动、用户集合在哪里被连接到网络230等)、应用正在运行、执行或正在被托管的位置、经由网络230的流量、网络230的环境(例如，连接到网络230的设备、网络230被连接到的其他网络230等)等。附加地或可替代地，并且作为另一示例，网络设备210可以使用标识用于确定条件是否被满足的标准的信息来确定条件被满足，诸如通过执行值和阈值的比较、确定流量模式是否与用于攻击的已知流量模式匹配等。

在一些实现方式中，除了网络设备210之外的设备可以确定条件是否被满足。例如，除了网络设备210以外的设备可以监控流量以确定条件是否被满足。在一些实现方式中，设备可以监控与多个网络设备210有关的流量。这通过使设备接收由与网络230相关联的多个网络设备210接收的流量的网络230宽视图来改善确定条件是否被满足。进一步地，设备可以向网络设备210集合提供指令以修改正在被执行以响应被满足的条件的安全动作，可以向网络设备210提供指示条件已经被满足的信息等。这样，另一设备可以管理用于多个网络设备210的安全规则的实现。在一些实现方式中，特定网络设备210可以针对与网络230相关联的其他网络设备210执行这些功能。

这样，网络设备210可以接收条件集合中的条件已经被满足的指示，以准许网络设备210确定要执行的安全动作。

如图5进一步所示，过程500可以包括：基于被满足的条件来确定要执行的安全动作集合中的安全动作(框520)。例如，网络设备210可以基于被满足的条件来确定要执行的安全动作集合中的安全动作。在一些实现方式中，网络设备210可以确定要执行的数千、数百万、数十亿等个安全动作，从而处理不能由人类行为者手动地或客观地处理的信息。

在一些实现方式中，网络设备210可以基于执行与条件满足相对应的安全动作的查找来确定要执行的安全动作。附加地或可替代地，网络设备210可以基于来自客户端设备220的用户的输入来确定安全动作。例如，网络设备210可以提供指示所确定的安全动作的信息并且可以请求客户端设备220的用户确认执行安全动作和/或请求用户输入网络设备210要执行的不同安全动作。

附加地或可替代地，网络设备210可以基于网络设备210所执行的在先安全动作来确定安全动作。例如，网络设备210可以基于当条件被满足时所执行的在先安全动作来确定安全动作。附加地或可替代地，并且作为另一示例，网络设备210可以基于来自客户端设备220的用户的在先输入来确定安全动作。继续先前示例，网络设备210可以确定客户端设备220的用户输入信息，该信息标识当条件先前被满足时的安全动作的信息(例如，标识与网络设备210经由执行查找确定的安全动作不同的安全动作的信息)。

在这种情况下，网络设备210可以确定执行与当相同条件先前被满足时相同的安全动作(例如，而不是执行经由执行查找所标识的安全动作)。这准许网络设备210更精确地确定要执行的安全动作(例如，相对于确定要执行的安全动作而不考虑客户端设备220的用户的在先输入)，从而节省了由于对安全动作的确定不准确而可能被消耗的网络设备210的处理资源。

在一些实现方式中，基于被满足的条件来确定要执行的安全动作准许网络设备210基于条件是否满足来动态地实现各种安全动作。这通过减少或消除网络设备210存储对不同场景执行的不同安全动作集合的需求来节省网络设备210的存储资源。另外，这通过减少或消除网络管理员手动重新配置与安全规则集合有关的信息以使得网络设备210基于场景的改变来实现不同的安全动作集合的需求，来改善网络管理员基于场景的改变来重新配置安全规则集合的能力。附加地，这通过减少或消除手动干预来响应改变的场景以修改由网络设备210实现的安全动作集合而提高了网络230的安全性。

这样，网络设备210可以基于被满足的条件来确定要执行的安全动作集合中的安全动作，以准许网络设备210执行安全动作和/或另一动作。

如图5进一步所示，过程500可以包括：执行安全动作和/或另一动作(框530)。例如，网络设备210可以执行安全动作和/或另一动作。在一些实现方式中，网络设备210可以执行数千、数百万、数十亿等个动作，从而执行不能由人类行为者手动地或客观地执行的动作集合。

在一些实现方式中，例如，网络设备210可以执行安全动作以丢弃流量、准许流量、拒绝流量、路由流量、隔离流量、记录流量等。附加地或可替代地，并且作为另一示例，网络设备210可以执行动作以生成报告，该报告标识被丢弃、被准许、被记录、被路由等的流量。附加地或可替代地，并且作为另一示例，网络设备210可以执行动作以提供用于显示的信息，该信息指示被执行的安全动作和/或另一动作。附加地或可替代地，并且作为另一示例，网络设备210可以向另一网络设备210和/或客户端设备220发送指令集合，以使得另一网络设备210和/或客户端设备220执行安全动作和/或另一动作。附加地或可替代地，并且作为另一示例，网络设备210可以存储标识网络设备210所执行的安全动作和/或其他动作的信息。例如，网络设备210可以存储该信息以改善对安全动作和/或其他动作的未来执行，以改善由另一网络设备210对安全动作和/或其他动作的执行等。

以这样的方式，网络设备210可以执行该安全动作和/或其他动作。

尽管图5示出了过程500的示例框，但是在一些实现方式中，过程500可以包括与图5中所描绘的那些相比的附加的框、较少的框、不同的框或不同布置的框。附加地或备选地，过程500的两个或更多个框可以被并行执行。

图6是与图4所示的示例过程400有关的示例实现方式600的图。图6示出了其中可以实现本文中所描述的实现方式的示例环境。

如图6所示，实现方式600可以包括客户端设备220和/或网络设备210。如附图标记610所示，示例实现方式600可以包括服务器设备集合(例如，互联网服务器设备、数据库服务器设备等)。在一些实现方式中，服务器设备可以包括一个或多个设备，其能够接收、生成、存储、处理和/或提供信息。例如，服务器设备可以包括服务器(例如，数据中心或云计算环境中的)、数据中心(例如，多服务器微数据中心)、工作站计算机、在云计算环境中提供的虚拟机(vm)、或类似类型的设备。在一些实现方式中，服务器设备可以(例如，向客户端设备220)提供服务，诸如网络服务、网页服务、数据库服务、云应用等。

如附图标记620所示，网络设备210可以存储标识与本文中别处所描述的安全规则集合类似的安全规则集合的信息。例如，网络设备210可以使用安全规则集合来确定客户端设备220是否被准许访问由服务器设备集合所提供的服务、由该服务器设备集合所存储的信息等。

这样，网络设备210可以位于客户端设备220和服务器设备集合之间以管理对该服务器设备集合的访问。

如上文所指示的，图6仅作为示例提供。其他示例是可能的并且可能不同于关于图6所描述的示例。

在一些实现方式中，本文中所描述的实现方式可以由规则处理组件(例如，与交换组件310相关联)执行，该规则处理组件处理安全规则、确定要执行的安全动作、确定条件是否被满足等。

本文中所描述的一些实现方式提供了一种网络设备，其能够配置安全规则集合，使得基于安全规则集合执行的安全动作依据各种条件的满足而变化。例如，网络设备可以配置安全规则，使得网络设备当满足第一条件时将安全规则应用于流量时，执行第一安全动作，并且当满足第二条件时将安全规则应用于流量时，执行第二安全动作。这样，网络设备可以基于被满足的各种标准来自动并动态地实现安全规则集合。

这使得网络设备能够在不同场景中快速有效地执行各种安全动作，从而提高了对不同场景的响应效率。另外，这节省了由于对特定场景(例如，网络攻击、阈值流量场景等)的延迟响应而可能导致消耗或损坏的网络资源。进一步地，这减少了为不同场景重新配置安全规则集合所需的时间量，从而提高了重新配置安全规则集合的效率。进一步地，这节省了由于在手动修改安全规则以在不同场景中实现不同的安全规则时的错误而可能被消耗的网络设备的处理资源。进一步地，这通过减少或消除网络设备存储用于多个场景的多个安全规则集合的需求来节省网络设备的存储器资源。

本文中所呈现的公开内容可以参考以下方面。

a.一种设备，包括：

一个或多个处理器，其用于：

接收标识条件集合和安全动作集合的信息，

该条件集合控制安全规则集合的实现，

该安全动作集合与条件集合相关联，

当条件集合被满足并且安全规则集合应用于流量时，设备执行安全动作集合；

确定要由条件集合控制的安全规则集合，

安全规则集合与网络安全策略相关联；

修改与安全规则集合有关的信息以使得安全规则集合的实现由条件集合控制，

安全规则集合在修改与安全规则集合有关的信息之前尚未与条件集合相关联，

修改使得设备处理安全规则集合以基于条件集合的满足来动态地实现安全动作集合，

修改准许安全规则集合的实现以适应于网络中的改变集合；以及

在修改与安全规则集合有关的信息之后执行动作。

b.根据方面a的设备，其中一个或多个处理器还用于：

接收条件集合中的条件已被满足的指示；

确定安全动作集合中的、要执行的安全动作，

安全动作与条件相关联；以及

其中一个或多个处理器当执行动作时用于：

基于确定安全动作来执行安全动作。

c.根据方面a的设备，其中一个或多个处理器当确定安全规则集合时用于：

处理与安全规则集合有关的信息以标识信息，该信息标识条件集合和安全动作集合以及标识与安全规则集合、条件集合或安全动作集合相关联的标识符集合；以及

执行与安全规则集合、条件集合或安全动作集合相关联的标识符集合的比较，以确定要由条件集合控制的安全规则集合。

d.根据方面a的设备，其中一个或多个处理器当修改与安全规则集合有关的信息时用于：

修改标识当安全规则集合应用于流量时设备要执行的安全动作的信息，以使得设备在执行动作之前确定条件集合是否被满足。

e.根据方面a的设备，其中一个或多个处理器当执行动作时用于：

生成标识安全动作集合中的、设备基于条件集合被满足而正在实现的安全动作的报告；以及

提供报告以用于经由其他设备显示。

f.根据方面a的设备，其中一个或多个处理器进一步用于：

确定条件集合中的条件被满足；以及

使用标识设备当条件先前被满足时所执行的在先安全动作的信息来确定执行安全动作集合中的、要执行的安全动作。

g.根据方面a的设备，其中一个或多个处理器当执行动作时用于：

监控网络、与网络相关联的用户集合、与网络相关联的流量、设备的环境或与网络相关联的应用集合；以及

基于监控网络、用户集合、流量、环境或应用集合来确定条件集合中的条件是否被满足。

h.一种非暂态计算机可读介质，其存储指令，指令包括：

一个或多个指令，指令当由一个或多个处理器执行时，使得一个或多个处理器：

接收标识与控制安全规则集合的实现有关的条件集合的信息，

该条件集合与设备基于条件集合是否被满足而要执行的安全动作集合相关联；

使用与安全规则集合有关的信息来确定要由条件集合控制的安全规则集合，

安全规则集合与网络安全策略相关联；

修改与安全规则集合有关的信息以使得安全规则集合的实现由条件集合控制，

安全规则集合在修改与安全规则集合有关的信息之前尚未与条件集合相关联，

修改使得设备处理安全规则集合，以基于条件集合的满足来动态地实现安全动作集合，

修改准许安全规则集合的实现以适应于网络中的改变集合；以及

在修改与安全规则集合有关的信息之后，执行动作，

动作包括确定条件集合是否被满足。

i.根据方面h的非暂态计算机可读介质，其中一个或多个指令当由一个或多个处理器执行时，还使得一个或多个处理器：

确定标识条件集合的信息和与安全规则集合有关的信息是否包括匹配术语或短语；以及

其中使得一个或多个处理器确定安全规则集合的一个或多个指令使得一个或多个处理器：

基于确定标识条件集合的信息和与安全规则集合有关的信息是否包括匹配术语或短语，来确定安全规则集合。

j.根据方面h的非暂态计算机可读介质，其中一个或多个指令当由一个或多个处理器执行时，还使得一个或多个处理器：

确定安全动作集合中的、当第一条件集合被满足时要执行的第一安全动作，或者

确定安全动作集合中的、在以下情况下要执行的第二安全动作：

第一条件集合不被满足，或者

第二条件集合被满足，

第一条件集合和第二条件集合包括不同的条件。

k.根据方面h的非暂态计算机可读介质，其中一个或多个指令当由一个或多个处理器执行时，还使得一个或多个处理器：

基于确定条件集合中的条件被满足，确定执行安全动作集合中的第一安全动作；以及

其中使得一个或多个处理器执行动作的一个或多个指令使得一个或多个处理器：

基于从另一设备的用户接收到执行安全动作集合中的第二安全动作而非第一安全动作的指示，执行第二安全动作。

l.根据方面h的非暂态计算机可读介质，其中一个或多个指令当由一个或多个处理器执行时，还使得一个或多个处理器：

接收条件集合中的条件已经被满足的指示，

该指示从另一设备接收；以及

确定安全动作集合中的、要执行的安全动作，

该安全动作与条件相关联。

m.根据方面h的非暂态计算机可读介质，其中使得一个或多个处理器执行动作的一个或多个指令使得一个或多个处理器：

基于条件集中的条件被满足，生成标识安全规则子集的报告，该设备正在针对该安全规则子集实现不同的安全动作，

该报告指示在安全规则集合中的安全规则之间是否存在冲突，以及特定安全动作是否基于该冲突而被覆盖；以及

提供报告以用于经由另一设备显示。

n.根据方面h的非暂态计算机可读媒体，其中一个或多个指令当由一个或多个处理器执行时，进一步使得一个或多个处理器：

使用标准集合来确定条件集合是否被满足；以及

其中使得一个或多个处理器执行动作的一个或多个指令使得一个或多个处理器：

基于使用标准集合确定条件集合是否被满足，来执行动作。

o.一种方法，包括：

通过设备接收信息，该信息标识条件集合和安全动作集合，

条件集合控制安全规则集合的实现，

基于条件集合是否被满足，设备执行安全动作集合；

通过设备使用与安全规则集合有关的信息来确定要由条件集合控制的安全规则集合，

与安全规则集合相关的信息标识：

安全规则集合应用到的流量源，或

安全规则集合应用到的流量目的地；

通过设备修改与安全规则集合有关的信息，以使得设备在执行安全动作集合之前，确定条件集合是否被满足，

安全规则集合在修改与安全规则集合有关的信息之前尚未与条件集合相关联，

修改使得设备处理安全规则集合以基于条件集合的满足来动态地实现安全动作集合，

修改准许安全规则集合的实现以适应于网络中的改变集合；以及

在修改与安全规则集合有关的信息之后，通过设备执行安全动作集合中的安全动作。

p.根据方面o的方法，其中确定安全规则集合包括：

使用来自另一设备的输入来确定安全规则集合，

该输入标识安全规则集合。

q.根据方面o的方法，还包括：

生成指令集合，该指令集合与使得设备在执行安全动作集合之前确定条件集合是否被满足有关；以及

其中修改与安全规则集合有关的信息包括：

修改与安全规则集合有关的信息以使得设备使用指令集合。

r.根据方面o的方法，其中修改与安全规则集合有关的信息包括：

修改被包括在数据结构中的信息，以使得设备在执行安全动作集合之前确定条件集合是否被满足，

该数据结构被用于确定当安全规则集应用于流量时该设备要执行的安全动作集合。

s.根据方面o的方法，还包括：

基于来自另一设备的输入，确定安全动作集合中的安全动作；以及

其中执行安全动作包括：

在确定安全动作之后，执行安全动作。

t.根据方面o的方法，还包括：

确定条件集合中的条件被满足；

基于被满足的条件，确定安全动作集合中的、要执行的安全动作；以及

其中执行安全动作包括：

基于确定安全动作来执行安全动作。

前面的公开内容提供了说明和描述，但并非旨在穷举或将实现方式限制到所公开的精确形式。鉴于上述公开内容，修改和变型是可能的，或者可以从实现方式的实践中获得。

如本文中所使用的，术语“组件”旨在被广义地解释为硬件、固件和/或硬件和软件的组合。

本文中结合阈值对一些实现方式进行了描述。如本文中所使用的，满足阈值可以指代大于阈值、多于阈值、高于阈值、大于或等于阈值、小于阈值、少于阈值、低于阈值、小于或等于阈值、等于阈值等的值。

显而易见的是，本文中所描述的系统和/或方法可以以不同形式的硬件、固件或者硬件和软件的组合来实现。用于实现这些系统和/或方法的实际专用控制硬件或软件代码不是对实现方式的限制。因此，本文中描述了系统和/或方法的操作和行为，而没有参考具体软件代码，应当理解，软件和硬件可以被设计为基于本文中的描述来实现系统和/或方法。

即使特征的特定组合在权利要求中得以记载和/或在说明书中得以公开，但是这些组合不旨在限制可能实现方式的公开内容。事实上，这些特征中的许多特征可以以未在权利要求中具体记载和/或在说明书中具体公开的方式被组合。尽管下文列出的每个从属权利要求可以仅直接依赖于一项权利要求，但是可能的实现方式的公开内容包括每个从属权利要求与权利要求集合中的每个其他权利要求的组合。

除非明确地如此描述，否则本文中所使用的任何元素、动作或指令都不应被解释为关键或必要的。此外，如本文中所使用的，冠词“一”和“一个”旨在包括一个或多个项，并且可以与“一个或多个”互换使用。更进一步地，如本文中所使用的，术语“集合”旨在包括一个或多个项(例如，相关项、非相关项、相关项和非相关项的组合等)，并且可以与“一个或多个”互换使用。在只有一个项是预期的情况下，使用术语“一个”或类似的语言。此外，如本文中所使用的，术语“具有(has)”、“具有(have)”、“具有(having)”等旨在是开放式术语。进一步地，除非另有明确说明，否则短语“基于”旨在表示“至少部分地基于”。