一种策略优先级调整方法和装置与流程

本申请涉及计算机网络
技术领域：
，特别是涉及一种策略优先级调整方法和装置。
背景技术：
网络设备通常需要配置安全策略，以对接收到的报文(通常为业务报文)进行过滤，安全策略中可以定义报文信息匹配项与处理动作的对应关系，处理动作可以为放行报文或者丢弃报文。当网络设备接收到业务报文后，可以根据业务报文的报文信息与各安全策略进行匹配检测。当检测到某一安全策略中定义的报文信息匹配项，与接收到的业务报文的报文信息相匹配时，网络设备可以根据该安全策略中定义的处理动作对该业务报文进行安全控制处理，即放行该业务报文或丢弃该业务报文。现有技术中，为了提高处理报文的效率，通常会配置安全策略的优先级，根据安全策略的优先级，由高到低依次将每一安全策略与接收到的业务报文进行匹配检测。然而，在某些业务场景下，网络设备接收到的业务报文的报文信息，与预设的安全策略的优先级的匹配度较低，例如，网络设备某一时间段内接收到的业务报文中，业务模块x对应的业务报文所占的比例较大，而业务模块x对应的安全策略a的预设的优先级较低，每次接收到业务模块x对应的业务报文时，网络设备需要进行多次匹配检测。当匹配到安全策略a时，网络设备才可以根据安全策略a中定义的处理动作，对业务模块x对应的业务报文进行处理，导致网络设备对报文进行处理的效率低。技术实现要素：本申请实施例的目的在于提供一种策略优先级调整方法和装置，以提高报文处理的效率。具体技术方案如下：第一方面，为了达到上述目的，本发明实施例公开了一种策略优先级调整方法，所述方法包括：根据预设的各安全策略的当前优先级，在所述各安全策略中确定出有效安全策略，其中，所述有效安全策略为预设的各安全策略中除冗余安全策略以外的安全策略；获取预设时间段内所述有效安全策略的命中次数，其中，有效安全策略的命中次数为该有效安全策略与接收到的业务报文相匹配的次数；根据预设时间段内所述有效安全策略的命中次数，调整所述有效安全策略的优先级。可选的，所述根据预设时间段内所述有效安全策略的命中次数，调整所述有效安全策略的优先级，包括：若预设时间段内所述有效安全策略的命中次数大于预设阈值时，则调高所述有效安全策略的优先级。可选的，所述有效安全策略包括处理动作为丢弃报文的第一有效安全策略和处理动作为放行报文的第二有效安全策略，所述安全策略的优先级包括第一优先级和第二优先级，所述第一有效安全策略的第一优先级高于所述第二有效安全策略的第一优先级，所述第二优先级用于表示各第一有效安全策略的匹配次序先后或各第二有效安全策略的匹配次序先后；则所述根据预设时间段内所述有效安全策略的命中次数，调整所述有效安全策略的优先级，包括：若预设时间段内所述第一有效安全策略的命中次数大于预设阈值时，则调高所述第一有效安全策略的第二优先级，并保持所述第一有效安全策略的第一优先级高于所述第二有效安全策略的第一优先级；和/或若预设时间段内所述第二有效安全策略的命中次数大于预设阈值时，则调高所述第二有效安全策略的第二优先级，并保持所述第一有效安全策略的第一优先级高于所述第二有效安全策略的第一优先级。可选的，所述方法还包括：在调整所述有效安全策略的优先级时，根据所述有效安全策略优先级的调整方向及幅度，同步调整被所述有效安全策略冗余的冗余安全策略的优先级。可选的，所述方法还包括：接收处理动作修改指令，其中，所述处理动作修改指令中携带有策略标识和目标处理动作，所述策略标识用于标识待修改处理动作的目标安全策略；根据所述策略标识，将对应目标安全策略中定义的处理动作修改为所述目标处理动作。第二方面，为达到上述目的，本发明实施例还公开了一种策略优先级调整装置，所述装置包括：确定模块，用于根据预设的各安全策略的当前优先级，在所述各安全策略中确定出有效安全策略，其中，所述有效安全策略为预设的各安全策略中除冗余安全策略以外的安全策略；获取模块，用于获取预设时间段内所述有效安全策略的命中次数，其中，有效安全策略的命中次数为该有效安全策略与接收到的业务报文相匹配的次数；调整模块，用于根据预设时间段内所述有效安全策略的命中次数，调整所述有效安全策略的优先级。可选的，所述调整模块，具体用于若预设时间段内所述有效安全策略的命中次数大于预设阈值时，则调高所述有效安全策略的优先级。可选的，所述有效安全策略包括处理动作为丢弃报文的第一有效安全策略和处理动作为放行报文的第二有效安全策略，所述安全策略的优先级包括第一优先级和第二优先级，所述第一有效安全策略的第一优先级高于所述第二有效安全策略的第一优先级，所述第二优先级用于表示各第一有效安全策略的匹配次序先后或各第二有效安全策略的匹配次序先后；所述调整模块，具体用于若预设时间段内所述第一有效安全策略的命中次数大于预设阈值时，则调高所述第一有效安全策略的第二优先级，并保持所述第一有效安全策略的第一优先级高于所述第二有效安全策略的第一优先级；和/或若预设时间段内所述第二有效安全策略的命中次数大于预设阈值时，则调高所述第二有效安全策略的第二优先级，并保持所述第一有效安全策略的第一优先级高于所述第二有效安全策略的第一优先级。可选的，所述调整模块，还用于在调整所述有效安全策略的优先级时，根据所述有效安全策略优先级的调整方向及幅度，同步调整被所述有效安全策略冗余的冗余安全策略的优先级。可选的，所述装置还包括：修改模块，用于接收处理动作修改指令，其中，所述处理动作修改指令中携带有策略标识和目标处理动作，所述策略标识用于标识待修改处理动作的目标安全策略；根据所述策略标识，将对应目标安全策略中定义的处理动作修改为所述目标处理动作。第三方面，为达到上述目的，本发明实施例还公开了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现第一方面所述的方法步骤。第四方面，为达到上述目的，本发明实施例还公开了一种机器可读存储介质，存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器：实现第一方面所述的方法步骤。本申请实施例提供的策略优先级调整方法和装置，可以根据预设的各安全策略的当前优先级，在各安全策略中确定出有效安全策略，获取预设时间段内有效安全策略的命中次数，根据预设时间段内有效安全策略的命中次数，调整有效安全策略的优先级。基于上述处理，可以根据有效安全策略调整后的优先级对接收到的业务报文进行匹配检测，能够减少对业务报文进行匹配检测的次数，进而提高报文的处理效率。当然，实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本发明实施例提供的一种组网架构的框架图；图2为本发明实施例提供的一种策略优先级调整方法的流程图；图3为本发明实施例提供的一种策略优先级调整方法的示例的流程图；图4为本发明实施例提供的一种策略优先级调整装置的结构图；图5为本发明实施例提供的一种电子设备的结构图。具体实施方式下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。本发明实施例提供了一种策略优先级调整方法和装置，可以应用于网络设备，该网络设备可以为路由器或其他网关设备。参见图1，图1为本发明实施例提供的一种组网架构的框架图，为一种可能的应用场景。该组网包括：网络设备、多个终端和多个服务器。当终端需要访问服务器时，可以通过网络设备向服务器发送业务报文。网络设备则可以接收到终端发送的业务报文，根据预设的各安全策略及各安全策略的优先级，由高到低依次将每一安全策略与该业务报文进行匹配检测。当检测到某一安全策略中定义的报文信息匹配项，与该业务报文的报文信息相匹配时，网络设备可以根据该安全策略中定义的处理动作，对该业务报文进行安全控制处理，包括丢弃该业务报文或者放行该业务报文。应当说明的是，图1所示的组网架构中，网络设备与终端之间可能具有其他设备，用于将终端发送的业务报文发送至网络设备。同样的，网络设备与服务器之间也可能具有其他设备，用于将网络设备放行的业务报文转发至响应该业务报文的服务器。参见图2，图2为本发明实施例提供的一种策略优先级调整方法的流程图，该方法可以包括以下步骤。s201：根据预设的各安全策略的当前优先级，在各安全策略中确定出有效安全策略。其中，有效安全策略可以为预设的各安全策略中除冗余安全策略以外的安全策略。各安全策略可以由技术人员根据业务需要设置，各安全策略的当前优先级可以是技术人员预设的，也可以是网络设备上一次对各安全策略的优先级进行调整得到的。网络设备中可以设置有冗余规则，用于在各安全策略中确定出有效安全策略，冗余规则可以由技术人员根据经验进行设置。一般来说，冗余规则可以为：如果高优先级安全策略的所有条件都冗余低优先级安全策略的条件，则低优先级安全策略被冗余，报文只匹配高优先级安全策略；反之，如果低优先级安全策略的所有条件都冗余高优先级安全策略的条件，则此时高、低优先级两安全策略都生效，不存在冗余情况。即只存在高优先级安全策略冗余低优先级安全策略的情况。当网络设备接收到某一业务报文时，可以解析该业务报文，得到该业务报文中携带的源ip(internetprotocol，网络协议)地址、目的ip地址、用户标识和应用标识。另外，网络设备还可以确定接收该业务报文所使用的接口所属的源安全域、发送该业务报文所使用的接口所属的目的安全域和接收到该业务报文的时间。即，网络设备可以将以下信息中的至少一项统称为该业务报文的报文信息：该业务报文中携带的源ip地址、目的ip地址、用户标识、应用标识、接收该业务报文所使用的接口所属的源安全域、发送该业务报文所使用的接口所属的目的安全域和接收到该业务报文的时间。相应的，网络设备可以在各安全策略中配置对应的报文信息匹配项。在实施中，网络设备可以调用本地的冗余规则，根据各安全策略中定义的报文信息匹配项和各安全策略的当前优先级，确定出冗余安全策略。具体的，针对两个安全策略，如果高优先级安全策略中定义的报文信息匹配项，包含低优先级安全策略中定义的报文信息匹配项，则低优先级安全策略被高优先级安全策略冗余，即低优先级安全策略为冗余安全策略。在对业务报文进行匹配检测时，网络设备可以只根据有效安全策略进行匹配检测，即当前时刻冗余安全策略暂时失效。例如，可以参见表(1)。表(1)表(1)中包含安全策略a、安全策略b、安全策略c、安全策略d和安全策略e的优先级数值和定义的报文信息匹配项，其中，优先级数值越小，则安全策略的优先级越高。表(1)并未对各安全策略的处理动作进行限制，在实际操作中，技术人员可以根据业务需要设置各安全策略的处理动作。各安全策略的优先级可以是预设的，也可以是网络设备上一次根据各安全策略的命中次数，对各安全策略的优先级进行调整得到的。可以看出，安全策略a的优先级高于安全策略d的优先级，且安全策略a中定义的报文信息匹配项包含安全策略d中定义的报文信息匹配项，因此，网络设备可以确定安全策略d被安全策略a冗余。同理，网络设备可以确定安全策略e被安全策略b冗余。网络设备可以将安全策略d和安全策略e确定为冗余安全策略，可以得到如表(2)所示的安全策略的列表。表(2)有效安全策略优先级数值冗余安全策略/优先级数值a1d/4b2e/5c3-表(2)中，网络设备可以得到有效安全策略a、有效安全策略b和有效安全策略c，进而，网络设备可以根据有效安全策略a、有效安全策略b、有效安全策略c的顺序，对接收到的业务报文进行匹配检测。具体的，网络设备可以在各安全策略配置结束后，根据冗余规则，确定出有效安全策略，并根据有效安全策略，对接收到的业务报文进行匹配检测。s202：获取预设时间段内有效安全策略的命中次数。其中，有效安全策略的命中次数可以为该有效安全策略与接收到的业务报文相匹配的次数，匹配一次即为命中一次。预设时间段可以由技术人员根据经验进行设置，可以为周期时间段，如每天的某一时间段，或者，每周中固定一天的某一时间段，预设时间段也可以是从某一预设时间点开始，至某一安全策略的命中次数达到预设阈值时的时间段。在实施中，网络设备中可以配置多个有效安全策略。当网络设备接收到某一业务报文时，网络设备可以根据有效安全策略的当前优先级，以优先级高到优先级低的顺序，依次将每一有效安全策略与该业务报文进行匹配检测，直至该业务报文的报文信息与某一有效安全策略中定义的报文信息匹配项相匹配。针对每一有效安全策略，网络设备可以记录该有效安全策略中定义的报文信息匹配项，与接收到的业务报文的报文信息相匹配的次数(即命中次数)。s203：根据预设时间段内有效安全策略的命中次数，调整有效安全策略的优先级。为避免在报文速率高峰时造成丢包，本实施例可以当报文速率低于预设速率时进行优先级的调整：网络设备可以在接收到的业务报文的速率小于预设速率时，调整有效安全策略的优先级。本实施例也可以在达到预设的调整周期时，对有效安全策略进行优先级的调整。网络设备根据预设时间段内有效安全策略的命中次数，调整有效安全策略的优先级的方法可以是多种多样的，可选的，网络设备可以采取以下两种方式。方式一，若预设时间段内有效安全策略的命中次数大于预设阈值时，则调高有效安全策略的优先级。在实施中，当网络设备判定某一有效安全策略的命中次数大于或等于预设阈值(可以称为第一预设阈值)时，网络设备可以调高该有效安全策略的优先级。相应的，网络设备还可以根据预设时间段内其他有效安全策略的命中次数，对其他有效安全策略的优先级进行调整。具体的，网络设备可以获取预设时间段内有效安全策略的命中次数，根据对应的命中次数从高到低或者从低到高的顺序，对有效安全策略进行排序，然后，网络设备可以根据排序结果，对有效安全策略的优先级进行调整。网络设备可以直接将排序结果，作为有效安全策略调整后的优先级对应的顺序。例如，有效安全策略可以包括：有效安全策略a、有效安全策略b和有效安全策略c，第一预设阈值可以为95。当前时刻，有效安全策略a的优先级数值为1，有效安全策略b的优先级数值为2，有效安全策略c的优先级数值为3。预设时间段内，有效安全策略a的命中次数为80，有效安全策略b的命中次数为95，有效安全策略c的命中次数为95。网络设备对有效安全策略进行排序的结果可以为：有效安全策略b、有效安全策略c、有效安全策略a；或者，有效安全策略c、有效安全策略b、有效安全策略a。网络设备对有效安全策略的优先级进行调整可以得到：有效安全策略b的优先级数值为1，有效安全策略c的优先级数值为2，有效安全策略a的优先级数值为3；或者，有效安全策略c的优先级数值为1，有效安全策略b的优先级数值为2，有效安全策略a的优先级数值为3。另外，网络设备还可以结合有效安全策略的当前优先级，确定有效安全策略调整后的优先级。针对多个命中次数相同的有效安全策略，网络设备还可以参考有效安全策略的当前优先级，使多个有效安全策略调整后优先级的高低和大小之差保持不变。上述示例中，有效安全策略b和有效安全策略c的命中次数都为95，有效安全策略b的当前优先级高于有效安全策略c的当前优先级。因此，网络设备可以确定有效安全策略b调整后的优先级高于有效安全策略c调整后的优先级，网络设备对有效安全策略的优先级进行调整可以得到：有效安全策略b的优先级数值为1，有效安全策略c的优先级数值为2，有效安全策略a的优先级数值为3。另外，当两个有效安全策略的当前优先级的优先级数值之差大于第二预设阈值，且命中次数之差小于第三预设阈值时，网络设备可以保持该两个有效安全策略的优先级的相对顺序不变。例如，当前时刻，有效安全策略a的优先级数值为1，有效安全策略b的优先级数值为2，有效安全策略c的优先级数值为3。预设时间段内，有效安全策略a的命中次数为80，有效安全策略b的命中次数为70，有效安全策略c的命中次数为83，第二预设阈值可以为1，第三预设阈值可以为10。有效安全策略a和有效安全策略c的当前优先级的优先级数值之差为3-1＝2大于1，且命中次数之差为83-80＝3小于10，而有效安全策略b和有效安全策略c的命中次数之差为83-70＝13大于10，则网络设备可以保持有效安全策略a和有效安全策略c的优先级的相对顺序不变，调整有效安全策略b和有效安全策略c的优先级的相对顺序。网络设备对有效安全策略的优先级进行调整可以得到：有效安全策略a的优先级数值为1，有效安全策略c的优先级数值为2，有效安全策略b的优先级数值为3。本发明实施例仅以上述示例进行说明，实际网络设备根据有效安全策略的命中次数，调整有效安全策略的优先级的方法并不限于此。方式二，有效安全策略包括处理动作为丢弃报文的第一有效安全策略和处理动作为放行报文的第二有效安全策略，安全策略的优先级包括第一优先级和第二优先级。第一优先级的高低根据安全策略的处理动作确定，比如处理动作为丢弃报文的安全策略的第一优先级高于处理动作为放行报文的安全策略的第一优先级，即第一有效安全策略的第一优先级高于第二有效安全策略的第一优先级。第二优先级用于表示各第一有效安全策略的匹配次序先后或各第二有效安全策略的匹配次序先后。若预设时间段内第一有效安全策略的命中次数大于预设阈值时，则调高第一有效安全策略的第二优先级，并保持第一有效安全策略的第一优先级第二有效安全策略的第一优先级。和/或若预设时间段内第二有效安全策略的命中次数大于预设阈值时，则调高第二有效安全策略的第二优先级，并保持第一有效安全策略的第一优先级高于第二有效安全策略的第一优先级。在实施中，网络设备可以首先在有效安全策略中，确定出处理动作为丢弃报文的有效安全策略(即第一有效安全策略)，确定出处理动作为放行报文的有效安全策略(即第二有效安全策略)，网络设备可以设置第一有效安全策略的第一优先级高于第二有效安全策略的第一优先级。网络设备在调整有效安全策略的优先级时，可以保持第一有效安全策略的第一优先级高于第二有效安全策略的第一优先级。然后，分别统计预设时间段内第一有效安全策略的命中次数(可称为丢弃命中次数集)、和第二有效安全策略的命中次数(可称为放行命中次数集)。当网络设备判定预设时间段内第一有效安全策略的命中次数大于预设阈值(即第一预设阈值)时，网络设备可以根据丢弃命中次数集，对第一有效安全策略的优先级进行调整，具体的，可以参考上述方式一中网络设备调高有效安全策略的优先级的详细介绍。当网络设备判定预设时间段内第二有效安全策略的命中次数大于预设阈值(即第一预设阈值)时，网络设备可以根据放行命中次数集，对第二有效安全策略的优先级进行调整，具体的，可以参考上述方式一中网络设备调高有效安全策略的优先级的详细介绍。例如，参见表(3)。表(3)有效安全策略第一优先级数值第二优先级数值处理动作a11丢弃报文b12丢弃报文c13丢弃报文d24放行报文e25放行报文f26放行报文表(3)中包含有效安全策略a、有效安全策略b、有效安全策略c、有效安全策略d、有效安全策略e和有效安全策略f的第一优先级数值、第二优先级数值和对应的处理动作。如果预设时间段内，有效安全策略a的命中次数为80，有效安全策略b的命中次数为90，有效安全策略c的命中次数为83，有效安全策略d的命中次数为79，有效安全策略e的命中次数为75，有效安全策略f的命中次数为90。第一预设阈值可以为90。此时，有效安全策略b的命中次数和有效安全策略e的命中次数都达到90。网络设备则可以分别调高有效安全策略b和有效安全策略e的第二优先级。具体的，网络设备可以根据有效安全策略a、有效安全策略b和有效安全策略c的命中次数，对有效安全策略a、有效安全策略b和有效安全策略c的第二优先级进行调整，调整方法可以参考上述方式一中网络设备调高有效安全策略的优先级的详细介绍。网络设备可以根据有效安全策略d、有效安全策略e和有效安全策略f的命中次数，对有效安全策略d、有效安全策略e和有效安全策略f的第二优先级进行调整，调整方法可以参考上述方式一中网络设备调高有效安全策略的优先级的详细介绍。同时，网络设备可以保持有效安全策略a、有效安全策略b和有效安全策略c的第一优先级高于有效安全策略d、有效安全策略e和有效安全策略f的第一优先级，可以得到如表(4)所示的有效安全策略的列表。表(4)有效安全策略第一优先级数值第二优先级数值处理动作b11丢弃报文c12丢弃报文a13丢弃报文f24放行报文d25放行报文e26放行报文根据上述两种方式，网络设备可以调整有效安全策略的优先级，使得网络设备可以在接收到业务报文时，根据有效安全策略调整后的优先级从高到低的顺序，依次将该业务报文与每一有效各安全策略进行匹配检测。当检测到某一有效安全策略中定义的报文信息匹配项与该业务报文的报文信息相匹配时，网络设备可以根据该有效安全策略中定义的处理动作，对该业务报文进行安全控制处理，包括丢弃该业务报文，或者，发送该业务报文。相应的，网络设备还可以更新该有效安全策略的命中次数，以使网络设备可以根据该有效安全策略更新后命中次数，再次调整有效安全策略的优先级。当该业务报文与各有效安全策略都不匹配时，网络设备可以将该业务报文发送至响应该业务报文的服务器。可选的，网络设备还可以调整冗余安全策略的优先级。具体的，该方法还可以包括以下步骤：在调整有效安全策略的优先级时，根据有效安全策略优先级的调整方向及幅度，同步调整被有效安全策略冗余的冗余安全策略的优先级。在这里，调整方向包括调高或调低，幅度可以为调整前后的优先级之差。在实施中，网络设备还可以根据有效安全策略优先级的调整方向及幅度，同步调整被有效安全策略冗余的冗余安全策略的优先级。例如，针对表(2)中的安全策略，如果在预设时间段内，有效安全策略b的命中次数大于有效安全策略a的命中次数，有效安全策略a的命中次数大于有效安全策略c的命中次数，网络设备对各安全策略的优先级进行调整后可以得到如(5)所示的安全策略的列表。表(5)有效安全策略优先级数值冗余安全策略/优先级数值b1e/4a2d/5c3-由表(5)可以看出，网络设备可以将有效安全策略b的优先级数值设置为1，以提高有效安全策略b的优先级。结合表(2)，可知有效安全策略b的调整方向为调高，幅度为1。相应的，网络设备可以将被有效安全策略b冗余的冗余安全策略e的优先级调高1级，即将冗余安全策略e的优先级数值设置为4，以提高冗余安全策略e的优先级。同理，网络设备可以将有效安全策略a的优先级数值设置为2，将对应的冗余安全策略d的优先级数值设置为5。另外，当删除某一有效安全策略或者修改某一有效安全策略时，会导致被该有效安全策略冗余的冗余安全策略生效。或者，当修改某一冗余安全策略时，也会导致该冗余安全策略生效。因此，在对任一安全策略进行修改后，网络设备可以根据预设的冗余规则，在各安全策略中重新确定有效安全策略和冗余安全策略。然后，网络设备再根据重新确定的有效安全策略，执行本实施例提供的策略优先级调整方法。修改安全策略的方式包括以下至少一项：修改安全策略的处理动作、修改安全策略的报文信息匹配项、优先级。应当理解的是，优先级包括第一优先级、第二优先级，而第一优先级的高低则是根据安全策略的处理动作确定，故当修改安全策略的处理动作时，第一优先级也会随着处理动作的修改而修改。例如：策略a1第二优先级为99处理动作为禁止(即丢弃报文)；策略b1第二优先级为100处理动作为允许(即放行报文)；策略c2第二优先级为101处理动作为允许(即放行报文)。则上述信息可以如下表(6)所示。表(6)有效安全策略第一优先级数值第二优先级数值处理动作a1199丢弃报文b12100放行报文c12101放行报文当将策略a1的处理动作修改为允许后，则调整后的策略如下表(7)所示。表(7)有效安全策略第一优先级数值第二优先级数值处理动作a1299放行报文b12100放行报文c12101放行报文可选的，用户还可以对安全策略中定义的处理动作进行修改。具体的，上述方法还可以包括以下步骤：接收处理动作修改指令；根据策略标识，将对应目标安全策略中定义的处理动作修改为目标处理动作。其中，处理动作修改指令中可以携带有策略标识和目标处理动作，策略标识用于标识待修改处理动作的目标安全策略，目标处理动作可以为丢弃报文、放行报文或其他处理动作。在实施中，当用户需要对某一安全策略(即目标安全策略)中定义的处理动作进行修改时，可以通过网络设备的输入部件，向网络设备输入处理动作修改指令，网络设备则可以接收到该处理动作修改指令，解析该处理动作修改指令，得到目标安全策略的策略标识和目标处理动作，将目标安全策略中定义的处理动作修改为目标处理动作。例如，针对表(1)所示的安全策略的列表，如果当前安全策略e中定义的处理动作为丢弃报文，当用户需要将安全策略e的处理动作修改为放行报文时，用户可以向网络设备输入对应安全策略e的处理动作修改指令，网络设备则可以接收并解析该处理动作修改指令，根据安全策略e的策略标识和目标处理动作，将安全策略e的处理动作修改为放行报文。由于安全策略e被安全策略b冗余，相应的，网络设备还可以对安全策略b进行修改，例如，将安全策略b中接收业务报文的时间设置为周四。可以看出，此时安全策略e不再被安全策略b冗余。因此，网络设备在对安全策略的处理动作进行修改后，可以根据预设的冗余规则，在各安全策略中重新确定有效安全策略和冗余安全策略。然后，网络设备再根据重新确定的有效安全策略，执行本实施例提供的策略优先级调整方法。参见图3，图3为本发明实施例提供的一种策略优先级调整方法的示例的流程图，该方法可以包括以下步骤。s301：根据预设的各安全策略的当前优先级，在各安全策略中，确定有效安全策略。其中，有效安全策略为各安全策略中除冗余安全策略以外的安全策略。s302：获取预设时间段内有效安全策略的命中次数。其中，预设时间段可以由技术人员根据经验进行设置。s303：当达到预设的调整周期时，根据预设时间段内有效安全策略的命中次数，调整有效安全策略的优先级，并根据有效安全策略优先级的调整方向及幅度，同步调整被有效安全策略冗余的冗余安全策略的优先级。s304：当接收到业务报文时，根据有效安全策略及有效安全策略的优先级，判断是否存在与该业务报文相匹配的有效安全策略，如果存在与该业务报文相匹配的有效安全策略，执行s305，如果不存在与该业务报文相匹配的有效安全策略，执行s306。s305：根据与该业务报文相匹配的有效安全策略中定义的处理动作，对该业务报文进行安全控制处理，并更新该有效安全策略的命中次数。s306：转发该业务报文。由以上可见，基于本发明实施例的策略优先级调整方法，可以根据预设的各安全策略的当前优先级，在各安全策略中确定出有效安全策略，获取预设时间段内有效安全策略的命中次数，根据预设时间段内有效安全策略的命中次数，调整有效安全策略的优先级。基于上述处理，可以根据有效安全策略调整后的优先级对接收到的业务报文进行匹配检测，能够减少对业务报文进行匹配检测的次数，进而提高报文的处理效率。与图2的方法实施例相对应，参见图4，图4为本发明实施例提供的一种策略优先级调整装置的结构图，该装置可以包括：确定模块401，用于根据预设的各安全策略的当前优先级，在所述各安全策略中确定出有效安全策略，其中，所述有效安全策略为预设的各安全策略中除冗余安全策略以外的安全策略；获取模块402，用于获取预设时间段内所述有效安全策略的命中次数，其中，有效安全策略的命中次数为该有效安全策略与接收到的业务报文相匹配的次数；调整模块403，用于根据预设时间段内所述有效安全策略的命中次数，调整所述有效安全策略的优先级。可选的，所述调整模块403，具体用于若预设时间段内所述有效安全策略的命中次数大于预设阈值时，则调高所述有效安全策略的优先级。可选的，所述有效安全策略包括处理动作为丢弃报文的第一有效安全策略和处理动作为放行报文的第二有效安全策略，所述安全策略的优先级包括第一优先级和第二优先级，所述第一有效安全策略的第一优先级高于所述第二有效安全策略的第一优先级，所述第二优先级用于表示各第一有效安全策略的匹配次序先后或各第二有效安全策略的匹配次序先后；所述调整模块403，具体用于若预设时间段内所述第一有效安全策略的命中次数大于预设阈值时，则调高所述第一有效安全策略的第二优先级，并保持所述第一有效安全策略的第一优先级高于所述第二有效安全策略的第一优先级；和/或若预设时间段内所述第二有效安全策略的命中次数大于预设阈值时，则调高所述第二有效安全策略的第二优先级，并保持所述第一有效安全策略的第一优先级高于所述第二有效安全策略的第一优先级。可选的，所述调整模块403，还用于在调整所述有效安全策略的优先级时，根据所述有效安全策略优先级的调整方向及幅度，同步调整被所述有效安全策略冗余的冗余安全策略的优先级。可选的，所述装置还包括：修改模块，用于接收处理动作修改指令，其中，所述处理动作修改指令中携带有策略标识和目标处理动作，所述策略标识用于标识待修改处理动作的目标安全策略；根据所述策略标识，将对应目标安全策略中定义的处理动作修改为所述目标处理动作。由以上可见，基于本发明实施例的策略优先级调整装置，可以根据预设的各安全策略的当前优先级，在各安全策略中确定出有效安全策略，获取预设时间段内有效安全策略的命中次数，根据预设时间段内有效安全策略的命中次数，调整有效安全策略的优先级。基于上述处理，可以根据有效安全策略调整后的优先级对接收到的业务报文进行匹配检测，能够减少对业务报文进行匹配检测的次数，进而提高报文的处理效率。本申请实施例还提供了一种电子设备，如图5所示，包括处理器501、通信接口502、存储器503和通信总线504，其中，处理器501，通信接口502，存储器503通过通信总线504完成相互间的通信，存储器503，用于存放计算机程序；处理器501，用于执行存储器503上所存放的程序时，以使电子设备执行如下步骤，该步骤包括：根据预设的各安全策略的当前优先级，在所述各安全策略中确定出有效安全策略，其中，所述有效安全策略为预设的各安全策略中除冗余安全策略以外的安全策略；获取预设时间段内所述有效安全策略的命中次数，其中，有效安全策略的命中次数为该有效安全策略与接收到的业务报文相匹配的次数；根据预设时间段内所述有效安全策略的命中次数，调整所述有效安全策略的优先级。可选的，所述根据预设时间段内所述有效安全策略的命中次数，调整所述有效安全策略的优先级，包括：若预设时间段内所述有效安全策略的命中次数大于预设阈值时，则调高所述有效安全策略的优先级。可选的，所述有效安全策略包括处理动作为丢弃报文的第一有效安全策略和处理动作为放行报文的第二有效安全策略，所述安全策略的优先级包括第一优先级和第二优先级，所述第一有效安全策略的第一优先级高于第二有效安全策略的第一优先级，所述第二优先级用于表示各第一有效安全策略的匹配次序先后或各第二有效安全策略的匹配次序先后；则所述根据预设时间段内所述有效安全策略的命中次数，调整所述有效安全策略的优先级，包括：若预设时间段内所述第一有效安全策略的命中次数大于预设阈值时，则调高所述第一有效安全策略的第二优先级，并保持第一有效安全策略的第一优先级高于第二有效安全策略的第一优先级；和/或若预设时间段内所述第二有效安全策略的命中次数大于预设阈值时，则调高所述第二有效安全策略的第二优先级，并保持第一有效安全策略的第一优先级高于第二有效安全策略的第一优先级。可选的，上述步骤还包括：在调整所述有效安全策略的优先级时，根据所述有效安全策略优先级的调整方向及幅度，同步调整被所述有效安全策略冗余的冗余安全策略的优先级。可选的，上述步骤还包括：接收处理动作修改指令，其中，所述处理动作修改指令中携带有策略标识和目标处理动作，所述策略标识用于标识待修改处理动作的目标安全策略；根据所述策略标识，将对应目标安全策略中定义的处理动作修改为所述目标处理动作。机器可读存储介质可以包括ram(randomaccessmemory，随机存取存储器)，也可以包括nvm(non-volatilememory，非易失性存储器)，例如至少一个磁盘存储器。另外，机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。上述处理器可以是通用处理器，包括cpu(centralprocessingunit，中央处理器)、np(networkprocessor，网络处理器)等；还可以是dsp(digitalsignalprocessing，数字信号处理器)、asic(applicationspecificintegratedcircuit，专用集成电路)、fpga(field-programmablegatearray，现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。由以上可见，在本发明实施例中，可以根据预设的各安全策略的当前优先级，在各安全策略中确定出有效安全策略，获取预设时间段内有效安全策略的命中次数，根据预设时间段内有效安全策略的命中次数，调整有效安全策略的优先级。基于上述处理，可以根据有效安全策略调整后的优先级对接收到的业务报文进行匹配检测，能够减少对业务报文进行匹配检测的次数，进而提高报文的处理效率。需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、电子设备、机器可读存储介质实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。以上所述仅为本申请的较佳实施例而已，并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本申请的保护范围内。当前第1页12