一种策略识别方法及装置与流程

本申请涉及网络安全技术领域，尤其涉及一种策略识别方法及装置。

背景技术：

安全策略是一种部署在入侵防御系统(intrusionpreventionsystem，ips)或防火墙(firewall，fw)上的用于对符合指定条件的报文执行指定动作的控制策略。安全策略的过滤条件为关于安全策略的五元组的相关条件，其中安全策略的五元组包括安全域、地址组、服务组、应用/应用组、时间段等。通过指定五元组的过滤条件匹配出特定的报文，并根据预先设定的策略动作对此报文进行处理。

在安全业务管理平台上给ips和fw配置安全策略时，根据不同阶段的需求，需要预设大量的安全策略也即在ips或fw上配置大量的安全策略，然而在使用时往往不同安全策略之间可能存在功能重叠或互斥的情况，管理员无法用肉眼观察出哪些安全策略是有效的。

目前的安全策略分析方法大多数依赖fw和ips等安全设备，各厂家的fw和ips仅支持简单的冗余分析功能，而且需要将所有的安全策略配置到fw和ips安全设备上才能进行分析，不仅过于依赖fw和ips，而且每个安全设备对安全策略的分析结果也可能不同，不便于安全业务管理平台统筹全局。而且每个安全设备的策略分析功能比较简单，分析规则过少无法深度检测配置项复杂的安全策略。

因此，如何在不依赖防火墙等安全设备情况下，有效地对安全策略进行识别以识别出无用的安全策略是值得考虑的技术问题之一。

技术实现要素：

有鉴于此，本申请提供一种策略识别方法及装置，用以在不依赖防火墙等安全设备情况下，有效地识别安全策略，以识别出无用的安全策略。

具体地，本申请是通过如下技术方案实现的：

根据本申请的第一方面，提供一种策略识别方法，应用于安全业务管理平台，所述安全业务管理平台用于纳管安全设备，所述安全业务管理平台预先配置有多个安全策略；所述方法，包括：

获取安全策略组，所述安全策略组包括至少两个安全策略，且所述安全策略组中的各个安全策略的优先级不同；

从所述安全策略组中剔除满足不可用策略的检测条件的安全策略，得到目标安全策略组；

根据所述目标安全策略组中的每个安全策略的五元组信息，判断任意两个安全策略是否属于包含关系或可合并关系；

若属于包含关系，则根据所述两个安全策略的优先级识别所述两个安全策略中的冗余策略；

若属于可合并关系，则对所述两个安全策略进行合并处理。

根据本申请的第二方面，提供一种报文处理装置，应用于安全业务管理平台，所述安全业务管理平台用于纳管安全设备，所述安全业务管理平台预先配置有多个安全策略；所述装置，包括：

获取模块，用于获取安全策略组，所述安全策略组包括至少两个安全策略，且所述安全策略组中的各个安全策略的优先级不同；

剔除模块，用于从所述安全策略组中剔除满足不可用策略的检测条件的安全策略，得到目标安全策略组；

判断模块，用于根据所述目标安全策略组中的每个安全策略的五元组信息，判断任意两个安全策略是否属于包含关系或可合并关系；

识别模块，用于若所述判断模块的判断结果为属于包含关系，则根据所述两个安全策略的优先级识别所述两个安全策略中的冗余策略；

合并模块，用于若所述判断模块的判断结果为属于可合并关系，则对所述两个安全策略进行合并处理。

根据本申请的第三方面，提供一种电子设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。

根据本申请的第四方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本申请实施例第一方面所提供的方法。

本申请实施例的有益效果：

采用本实施例提供的策略识别方法，可以有效识别出安全策略中的冗余策略，也能够识别出安全设备识别不出来的冗余策略，以便于用户进行策略优化处理，进而减少了无用策略，达到了精简策略的目的，大大减少了运维工作同时提升了运维效率。

附图说明

图1是本申请实施例提供的一种策略识别方法的流程示意图；

图2是本申请实施例提供的一种策略识别装置的结构示意图；

图3是本申请实施例提供的实施策略识别方法的电子设备的硬件结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

下面对本申请提供的策略识别方法进行详细地说明。

参见图1，图1是本申请提供的一种策略识别方法的流程图，该策略识别方法应用于安全业务管理平台，所述安全业务管理平台用于纳管安全设备，所述安全业务管理平台预先配置有多个安全策略；安全业务管理平台实施上述策略识别方法时可包括如下所示步骤：

s101、获取安全策略组。

其中，安全策略组包括至少两个安全策略，且所述安全策略组中的各个安全策略的优先级不同。

具体地，用户在安全业务管理平台可以创建多个符合业务需求的安全策略，然后可以选择指定的一些安全策略构成一个安全策略组，然后为每个安全策略配置不同的优先级。需要说明的是，在构成安全策略组时，安全策略组中的安全策略可以按照优先级的先后顺序进行排列，当然也可以乱序排列。为了描述方便，本实施例中以安全策略组中的安全策略按优先级的先后顺序进行排列为例进行说明，即以安全策略组中排列的先后顺序决定安全策略的优先级，排在前面的安全策略的优先级高于排在后面的安全策略的优先级。

实际应用中，用户可以配置一个或多个安全策略组，也即安全策略组的数量不进行限定。

在获取到安全策略组后，安全策略的冗余分析则在该安全策略组中进行，通过识别出安全策略组中的冗余的安全策略，可以达到精简安全策略的目的。

s102、从所述安全策略组中剔除满足不可用策略的检测条件的安全策略，得到目标安全策略组。

本步骤中，上述不可用策略即使下发到安全设备上也是不可用的，因此可以将安全策略组中识别出的满足不可用策略的检测条件的安全策略确定为冗余策略。上述不可用策略可以但不限于包括空对象的安全策略和未启用的安全策略，上述空对象的安全策略是指安全策略的一个或多个过滤条件的内容为空。而未启用的安全策略是指没有启用的安全策略。

在此基础上，可以按照下述过程执行步骤s102：针对所述安全策略组的每个安全策略，若该安全策略的至少一个过滤条件对应的内容为空，则确定该安全策略为满足不可用策略的检测条件的安全策略，则从所述安全策略组中剔除该安全策略，并确定该安全策略为冗余策略；或者，针对所述安全策略组的每个安全策略，若该安全策略未启用，则确定该安全策略为满足不可用策略的检测条件的安全策略，则从所述安全策略组中剔除该安全策略，并确定该安全策略为冗余策略。

具体地，每个安全策略的过滤条件包括关于五元组信息的过滤条件、用户和虚拟路径转发(virtualroutingandforwarding，vrf)等过滤条件，因此可以判断五元组信息的过滤条件对应的内容是否为空，例如安全策略的过滤条件包括地址组和服务组，则判断地址组对应的内容是否为空，服务组对应的内容是否为空，也即服务组(服务对象组)是否包括实际成员等等，当任一判断结果为空时，则确定该安全策略属于空对象的安全策略，而空对象的安全策略即使下发到安全设备也是不可用的，因此可以将该空对象的安全策略确定为冗余策略。

一般情况下，安全策略一旦被启用会进行标记处理，如标记已启用，因此在逐个遍历安全策略组中的安全策略时，可以判断该安全策略是否被标记为已启用，如果已被标记则确认该安全策略不是未启用安全策略。

可选地，本实施例对判断安全策略的至少一个过滤条件的内容是否为空的步骤与判断安全策略是否启用的步骤的实施顺序不进行限定。例如，在执行安全策略检测时，可以先逐个分析安全策略组中每个安全策略的过滤条件的内容是否为空，也即判断每个安全策略是否为空对象的安全策略，从而从安全策略组中筛选出空对象的安全策略。然后再逐个针对安全策略组中的安全策略是否未启用，也即逐个判断每个安全策略是否为未启用的安全策略，从而从安全策略组中筛选出未启用安全策略。

可选地，在执行上述判断过程时，还可以对安全策略组中的安全策略进行逐个分析。即，在逐个分析安全策略组中的每个安全策略时，可以先判断该安全策略是否启用，若未启用则确定该安全策略满足不可用策略的检测条件，即确定该安全策略属于未启用的安全策略，也即确定该安全策略为不可用策略，进而确定该安全策略为冗余策略；若已启用则再判断该安全策略的过滤条件的内容是否为空，若为空则表明该安全策略满足不可用策略的检测条件，即确定该安全策略属于空对象的安全策略，也即确定该安全策略为不可用策略，进而确定该安全策略为冗余策略。

当筛选出不可用策略后，剔除这些不可用策略得到目标安全策略组，同时可以将不可用策略进行标识处理，如未启用的安全策略标识为未启用，空对象的安全策略标识为空对象，以便展示给用户后，用户方便决策。

s103、根据所述目标安全策略组中的每个安全策略的五元组信息，判断任意两个安全策略是否属于包含关系或可合并关系，若属于包含关系，则执行步骤s104；若属于可合并关系，则执行步骤s105。

需要说明的是，两个安全策略属于包含关系可以理解为策略“包含”，策略“包含”是指优先级高的安全策略所描述的流量完全包含了优先级低的安全策略所描述的流量，但处理动作可以相同或相反。一旦满足策略“包含”规则，则可以确定两个安全策略中优先级低的安全策略属于冗余策略。此外，两个安全策略属于可合并关系可以理解为两个安全策略属于“可合并”策略，而“可合并”策略是指可以做合并处理的策略，如两条安全策略的仅有一项五元组信息不满足该五元组信息对应的可合并检测条件，其余几项五元组信息均满足各自的可合并检测条件，且处理动作相同则确认两个安全策略属于“可合并”策略。

本步骤中，在执行步骤s103时，可以依次判断任意两个安全策略是否属于包含关系或可合并关系。具体地，可以使用嵌套循环遍历比较方法，假设一个目的安全策略组内的安全策略的数目是num，则需要遍历分析的次数为redundance_count＝num*(num-1)。具体来说，外层遍历目的安全策略组内的安全策略，依次将num条安全策略作为高优先级策略，内层继续遍历num-1条安全策略，将下一条安全策略作为低优先级策略。例如将目前安全策略组内的所有安全策略当做一个数组p[num]，将p0当做高优先级的安全策略，p1…p(num-1)当做低优先级的安全策略进行对比分析；一次遍历完成后，将p1当做高优先级的安全策略，p2…p(num-1)当做低优先级的安全策略进行对比分析等等，以此类推，直到所有安全策略都完成分析，此时遍历的总次数为redundance_count＝num*(num-1)。例如，目的安全策略组＝[安全策略1，安全策略2，安全策略3]，则先从安全策略1开始遍历，将安全策略1当做高优先级，安全策略2和安全策略3当做低优先级，然后比较安全策略1与安全策略2是否满足包含/可合并关系，当判断完成后再比较安全策略1与安全策略3是否满足包含/可合并关系。当判断完成后再将安全策略2当做高优先级，安全策略3当做低优先级，然后比较安全策略2与安全策略3是否满足包含/可合并关系。

可选地，还可以先不考虑各个安全策略的优先级，直接依次比对任意两个安全策略是否满足包含/可合并关系，然后再考虑两个安全策略的优先级。

需要说明的是，在分析目的安全策略组中的安全策略时，也可以考虑安全业务管理平台当前的处理能力，若处理能力较低，则可以筛选几个安全策略执行步骤s103，旨在识别出目的安全策略组中的冗余策略，即，只要识别出目前安全策略组中的冗余策略就可以达到识别出无用的安全策略的目的。

可选地，可以按照下述过程实施步骤s103中根据所述目标安全策略组中的每个安全策略的五元组信息，判断任意两个安全策略是否属于包含关系：若所述两个安全策略的五元组信息均满足五元组信息对应的包含关系检测条件，则确定所述两个安全策略属于包含关系。

具体地，本实施例中的五元组信息可以但不限于包括：地址组、安全域、服务组、时间段、应用/应用组、用户和vrf等等。当上述两个安全策略包括多个五元组信息时，则需要两个安全策略的上述多个五元组信息都满足五元组信息对应的包含关系检测条件，才能确定两个安全策略属于包含关系。

可选地，可以按照下述过程实施步骤s103中根据所述目标安全策略组中的每个安全策略的五元组信息，判断任意两个安全策略是否属于可合并关系：若所述两个安全策略的五元组信息中仅有一项五元组信息不满足该五元组信息对应的可合并关系检测条件，则确认所述两个安全策略属于可合并关系。

具体地，当五元组信息包括多项时，则需要有一项五元组信息不满足该五元组信息对应的可合并检测条件，其他几项五元组信息需要满足各五元组信息对应的可合并检测条件，才能确定两个安全策略属于可合并关系。例如，两个安全策略包括5项五元组信息，则需要有4项五元组信息满足五元组信息各自对应的可合并检测条件，然后有1项五元组信息不满足其对应的可合并检测条件，才能确定上述两个安全策略属于可合并关系。

需要说明的是，本实施例对判断两个安全策略是否属于包含关系或可合并关系的实施顺序不进行限定，例如可以先依次对目的安全策略组中任意两个安全策略是否属于包含关系进行判断，直至判断完所有安全策略为止，然后再依次对目的安全策略组中的任意两个安全策略是否属于可合并关系进行判断，直至判断完目的安全策略组中所有安全策略为止。例如，当先依次判断目的安全策略组中任意两个安全策略是否具有包含关系后，可以筛选出具有包含关系的安全策略，而且具有包含关系的两个安全策略不会再具有可合并关系，因此，可以从目的安全策略组中筛选出具有包含关系的安全策略，然后再从剩下的安全策略中两两判断安全策略是否属于可合并关系。或者，在筛选出具有包含关系的安全策略后，由于具有包含关系的两个安全策略肯定有一个安全策略属于冗余策略，因此可以从各对具有包含关系的安全策略中识别出各对安全策略中的冗余策略，然后从目的安全策略组中剔除识别出的冗余策略，然后得到一个新的目的安全策略组，然后再基于新的目的安全策略组依次判断任意两个安全策略是否满足可合并关系等等。

此外，还可以先依次判断目的安全策略组中任意两个安全策略是否具有可合并关系，待所有安全策略判断完后，再依次判断目的安全策略组中任意两个安全策略是否具有包含关系，例如，当从目的安全策略组中筛选出具有可合并关系的安全策略后，由于具有可合并关系的两个安全策略不会再具有包含关系，因此可以余下的安全策略中两两判断安全策略是否具有包含关系；此外，在判断目的安全策略组中任意两个安全策略具有可合并关系后，可以对这两个安全策略进行合并处理，然后作为一个新的安全策略替换掉这两个安全策略，待所有可合并关系策略执行安全策略合并处理后，会得到一个新的目的安全策略组，然后可以依次从新的目的安全策略组中判断任意两个安全策略是否具有包含关系。

另外，还可以在判断目的安全策略组中任意两个安全策略是否具有包含关系后，当得出的判断结果是上述两个安全策略不具有包含关系时，则可以再判断这两个安全策略是否属于可合并关系，待得出上述两个安全策略是否属于可合并关系的判断结果后，再选择两个安全策略重复执行上述过程，直至遍历完目的安全策略组中所有安全策略为止。为了描述方便，后续以该判断方式为例进行说明。

可选地，当五元组信息包括地址组，则可以按照下述方法判断目的安全策略组中任意两个安全策略的五元组信息是否满足五元组信息对应的包含关系检测条件或可合并关系检测条件：分别将两个安全策略的地址组的地址区间进行合并处理，得到第一地址区间和第二地址区间；若所述第一地址区间与所述第二地址区间具有包含关系，则确定所述两个安全策略的地址组满足地址组对应的包含关系检测条件；若所述第一地址区间与所述第二地址区间相同，则确定所述两个安全策略的地址组满足地址组对应的可合并关系检测条件；若所述第一地址区间与所述第二地址区间不相同且不具有包含关系，则确定所述两个安全策略的地址组不满足地址组对应的可合并关系检测条件。

具体地，安全策略的五元组信息中的组地址组包括源地址组和目的地址组，且一个安全策略可能包括不止一个源地址组和不止一个目的地址组，可以分别配置网段、主机地址和ip地址范围等等，因此对安全策略进行地址合并时需要做分开合并处理，例如安全策略1与安全策略2分别进行地址合并时，安全策略1的源地址组进行合并会得到源地址组的第一地址区间，安全策略1的目的地址组进行合并会得到目的地址组的第一地址区间；相应地，安全策略2的源地址组进行合并会得到源地址组的第二地址区间，安全策略2的目的地址组进行合并会得到目的地址组的第二地址区间。然后分别判断安全策略1的源地址组的第一地址区间和安全策略2的源地址组的第二地址区间是否具有包含关系，同时可以判断安全策略1的目的地址组的第一地址区间和安全策略2的目的地址组的第二地址区间是否具有包含关系，当判断结果均为满足包含关系时，则可以确定安全策略1与安全策略2的地址组满足地址组对应的包含关系检测条件；当任一判断结果为不具备包含关系时，则确定安全策略1与安全策略2的地址组不满足地址组对应的包含关系检测条件。

当上述任一判断结果为不具备包含关系时，则可以判断安全策略1的源地址组的第一地址区间与安全策略2的源地址组的第二地址区间是否相同，以及判断安全策略1的目的地址组的第一地址区间和安全策略2的目的地址组的第二地址区间是否相同，当判断结果均为相同时则确定安全策略1与安全策略2的地址组满足地址组对应的可合并关系检测条件。当任一判断结果为不相同且不满足包含关系检测条件时，则确定安全策略1与安全策略2的地址组不满足地址组对应的可合并关系检测条件。

需要说明的是，在此介绍下如何判断安全策略的至少一个过滤条件的内容是否为空：在将安全策略1的源地址组条件不为空，但是源地址组合并得到的第一地址区间为空时则可以确定安全策略的至少一个过滤条件的内容为空。目的地址组的判断方法与源地址组的判断方法类似，此处不再一一列举。此外，安全策略2的判断方法与安全策略1的判断方法一致，此处也不再详细说明。

可选地，当五元组信息包括安全域，则可以按照下述方法判断所述两个安全策略的五元组信息是否满足五元组信息对应的包含关系检测条件或可合并关系检测条件：分别对所述两个安全策略的安全域所包括的接口信息进行合并处理，得到第一接口集合和第二接口集合；若所述第一接口集合与所述第二接口集合具有包含关系，则确定所述两个安全策略的安全域满足安全域对应的包含关系检测条件；若所述第一接口集合与所述第二接口集合相同，则确定所述两个安全策略的安全域满足安全域对应的可合并检测条件；若所述第一接口集合与所述第二接口集合不相同且不具有包含关系，则确定所述两个安全策略的安全域不满足安全域对应的可合并检测条件。

具体地，安全策略的五元组信息中的安全域实际上包括源安全域和目的安全域，在执行上述安全域是否满足安全域对应的包含关系检测条件时，需要分开进行判断，此外，安全域所包括的接口信息可能包括不止一个，因此，需要对安全策略1的源安全域所包括的接口信息进行合并处理，得到安全策略1的源安全域对应的第一接口集合，同理对安全策略1的目的安全域所包括的接口信息进行合并处理，得到安全策略1的目的安全域对应的第一接口集合；然后对安全策略2的源安全域所包括的接口信息进行合并处理，得到安全策略2的源安全域对应的第二接口集合，同理对安全策略2的目的安全域所包括的接口信息进行合并处理，得到安全策略2的目的安全域对应的第二接口集合。然后判断安全策略1的源安全域的第一接口集合与安全策略2的源安全域的第二接口集合是否具有包含关系，同时可以判断安全策略1的目的安全域的第一接口集合与安全策略2的目的安全域的第二接口集合是否具有包含关系，当判断结果均为具有包含关系时，则可以确定安全策略1与安全策略2的安全域满足安全域对应的包含关系检测条件；当任一判断结果为不具有包含关系时，则确定安全策略1与安全策略2的安全域不满足安全域对应的包含关系检测条件。

而当上述任一结果为不具有包含关系时，则可以判断安全策略1的源安全域的第一接口集合与安全策略2的源安全域的第二接口集合是否相同，以及判断安全策略2的目的安全域的第一接口集合与安全2的目的安全域的第二接口集合是否相同，当判断结果均为相同则确定安全策略1与安全策略2的安全域满足安全域对应的可合并关系检测条件；当任一判断结果为不相同且不满足包含关系检测条件时，则确定安全策略1与安全策略2的安全域不满足安全域对应的可合并关系检测条件。

需要说明的是，当安全策略仅包括地址组和安全域时，当安全策略1和安全策略2的地址组满足地址组对应的包含关系检测条件，且安全策略1和安全策略2的安全域满足安全域对应的包含关系检测条件时，则可以确定安全策略1与安全策略2具有包含关系。当地址组和安全域任一不满足包含关系检测条件时则确定安全策略1与安全策略2不具有包含关系。而当安全策略1与安全策略2的地址组和安全域任一满足可合并关系检测条件时，则可以确定安全策略1与安全策略2具有可合并关系，然后将安全策略1和安全策略2中不满足可合并关系检测条件的地址组或者安全域进行合并处理，例如，在安全策略1和安全策略2不具有包含关系的前提下，安全策略1和安全策略2的地址组满足地址组对应的可合并检测条件，但是安全域不满足安全域对应的可合并关系检测条件，则确定安全策略1与安全策略2具有可合并关系，同时将安全策略1和安全策略2进行合并处理，也即将安全策略1和安全策略2的安全域进行合并处理，得到一个新的安全策略。

需要说明的是，在此介绍下如何判断安全策略的至少一个过滤条件的内容是否为空：若该安全策略的安全域具有配置项，但不存在任何接口信息的情况，则确定安全策略的安全域的内容为空，从而确定该安全策略为冗余策略。值得注意的是，若该安全策略的安全域被设置为local或management时，即使该安全策略的安全域没有配置接口信息，则该安全策略不为空对象的安全策略，无需从安全策略组中剔除该安全策略。

可选地，当五元组信息包括服务组时，则可以按照下述方法判断所述两个安全策略的五元组信息是否满足五元组信息对应的包含关系检测条件或可合并关系检测条件：分别对所述两个安全策略的服务组所包括的端口范围进行合并处理，得到第一端口区间和第二端口区间；若所述第一端口区间与所述第二端口区间具有包含关系，则确定所述两个安全策略的服务组满足服务组对应的包含关系检测条件；若所述第一端口区间与所述第二端口区间相同，则确定所述两个安全策略的服务组满足服务组对应的可合并关系检测条件；若所述第一端口区间与所述第二端口区间不相同且不具有包含关系，则确定所述两个安全策略的服务组不满足服务组对应的可合并关系检测条件。

具体地，在对安全策略1和安全策略2的服务组进行判断时，服务器包括源端口范围和目的端口范围，且包括的源端口范围和目的端口范围不止一个，则可以将安全策略1的服务组所包括的源端口范围进行合并处理，然后得到源端口对应的第一端口区间，同时将安全策略1的服务器所包括的目的端口范围进行合并处理，得到安全策略1的目的端口对应的第一端口区间；同理，得到安全策略2的源端口对应的第二端口区间和目的端口对应的第二端口区间。然后判断安全策略1的源端口对应的第一端口区间和安全策略2的源端口对应的第二端口区间是否具有包含关系，以及判断安全策略1的目的端口对应的第一端口区间和安全策略2的目的端口对应的第二端口区间是否具有包含关系，当判断结果均为包含关系时，则确定安全策略1与安全策略2的服务组满足服务器对应的包含关系检测条件；当任一判断结果为不具有包含关系时，则确定安全策略1与安全策略2的服务组不满足服务器对应的包含关系检测条件。

当安全策略1与安全策略2的服务组不满足服务组对应的包含关系检测条件时，则判断安全策略1的源端口对应的第一端口区间与安全策略2的源端口对应的第二端口区间是否相同，以及判断安全策略1的目的端口对应的第一端口区间与安全策略2的目的端口对应的第二端口区间是否相同，当判断结果均为相同时，则确定安全策略1与安全策略2的服务组满足服务组对应的可合并关系检测条件；当任一判断结果为不相同时且不具有包括关系时，则确定安全策略1与安全策略2的服务组不满足服务组对应的可合并关系检测条件。

可选地，在对安全策略1和安全策略2的服务组进行判断时，可以按照成员的协议类型进行分类。具体来说，不同协议对应的端口范围不同，在此基础上，可以对安全策略1在每个协议下的源端口范围进行合并处理得到各个协议下源端口对应的第一端组区间，以及对安全策略1在每个协议下的目的端口范围进行合并处理得到各个协议下目的端口对应的第一端口区间；同理可以得到安全策略2在各个协议下源端口对应的第二端口区间，以及安全策略2在各个协议下目的端口对应的第二端口区间，然后再针对每个协议判断安全策略1的源端口对应的第一端口区间与安全策略2的源端口对应的第二端口区间是否具有包含关系/是否相同，以及针对每个协议判断安全策略1的目的端口对应的第一端口区间与安全策略2的目的端口对应的第二端口区间是否具有包含关系/是否相同，当在各个协议下的判断结果均为具有包含关系或在各个协议下的判断结果均为相同时，则确认安全策略1与安全策略2的服务组满足服务组对应的包含关系检测条件/可合并关系检测条件，当任一判断结果为不具有包含关系/不相同时，则确定确认安全策略1与安全策略2的服务组不满足服务组对应的包含关系检测条件/可合并关系检测条件。

需要说明的是，当安全策略1和安全策略2的五元组包括地址组、安全域和服务组时，只有安全策略1和安全策略2的地址组、安全域和服务组均满足各自对应的包含关系检测条件时，则确定安全策略1与安全策略2具有包含关系；否则安全策略1与安全策略2不具有包含关系；当安全策略1和安全策略2的地址组、安全域和服务组中有2项满足可合并关系检测条件，1项不满足其对应的可合并检测条件，则确定安全策略1与安全策略2具有可合并关系。

可选地，当五元组信息包括时间段，上述时间段包括周期时间段和绝对时间段，则可以按照下述方法判断所述两个安全策略的五元组信息是否满足五元组信息对应的包含关系检测条件或可合并关系检测条件：针对所述两个安全策略中的每个安全策略，对该安全策略的周期时间段进行取并集处理，得到第一时间区间；对该安全策略的绝对时间段进行取并集处理，得到第二时间区间；将所述第一时间区间和所述第二时间区间进行取交集处理，得到该安全策略的第三时间区间；若所述两个安全策略各自的第三时间区间具有包含关系，则确定所述两个安全策略的时间段满足时间段对应的包含关系检测条件；若所述两个安全策略各自的第三时间区间相同，则确定所述两个安全策略的时间段满足时间段对应的可合并关系检测条件；若所述两个安全策略各自的第三时间区间不相同且不具有包含关系，则确定所述两个安全策略的时间段不满足时间段对应的可合并关系检测条件。

具体地，上述绝对时间段是一个给定的日期范围，2020-8-110:00到2020-8-212:00；周期时间段为指定星期几的一个时间范围，例如每个星期一和星期二的15:00～17:00。当一个时间段内包含有多个周期时间段和绝对时间段时，将取各个周期时间段的并集得到第一时间区间，然后取各个绝对时间段的并集得到第二时间区间，然后再取第一时间区间和第二时间区间的交集作为该时间段最终生效的时间范围，即得到第三时间区间。然后再按照上述判断方法确定安全策略1与安全策略2的时间段是否满足时间段对应的包含关系检测条件/可合并关系检测条件，此处不再详细描述。

需要说明的是，当安全策略1和安全策略2的五元组包括地址组、安全域、服务组和时间段时，只有安全策略1和安全策略2的地址组、安全域、服务组和时间段均满足各自对应的包含关系检测条件时，则确定安全策略1与安全策略2具有包含关系；否则安全策略1与安全策略2不具有包含关系；当安全策略1和安全策略2的地址组、安全域、服务组和时间段中有3项满足可合并关系检测条件，1项不满足其对应的可合并检测条件，则确定安全策略1与安全策略2具有可合并关系。

可选地，当五元组信息包括应用组时，则可以按照下述方法判断所述两个安全策略的五元组信息是否满足五元组信息对应的包含关系检测条件或可合并关系检测条件：针对所述两个安全策略中的每个安全策略，根据该安全策略的应用组对应的端口映射类别，确定该安全策略在对应的各个端口映射类别下的端口区间；针对每个端口映射类别，判断所述两个安全策略在该端口映射类别下的端口区间是否具有包含关系；若在每个端口映射类别下的判断结果均为具有包含关系，则确定所述两个安全策略的应用组满足应用组对应的包含关系检测条件；若针对每个端口映射类别，判断所述两个安全策略在该端口映射类别下的端口区间是否相同；若在每个端口映射类别下的判断结果均为相同，则确定所述两个安全策略的应用组满足应用组对应的可合并关系检测条件；若在每个端口映射类别下的任一判断结果不相同且不具有包含关系，则确定所述两个安全策略的应用组不满足应用组对应的可合并关系检测条件。

具体地，上述端口映射类别可以但不限于包括通用端口映射、基于ip地址的主机端口映射、基于网段的主机端口映射和基于acl(访问控制列表)的主机端口映射。在此基础上，按照上述应用组的判断方法判断安全策略1与安全策略2的应用组是否满足应用组对应的包含关系检测条件/可合并关系检测条件，此处不再详细描述。

需要说明的是，当安全策略1和安全策略2的五元组包括地址组、安全域、服务组、时间段和应用组时，只有安全策略1和安全策略2的地址组、安全域、服务组、时间段和应用组均满足各自对应的包含关系检测条件时，则确定安全策略1与安全策略2具有包含关系；否则安全策略1与安全策略2不具有包含关系；当安全策略1和安全策略2的地址组、安全域、服务组、时间段和应用组中有3项满足可合并关系检测条件，1项不满足其对应的可合并检测条件，则确定安全策略1与安全策略2具有可合并关系。

具体地，若上述任意两个安全策略既不属于包含关系也不属于可合并关系，则确定上述两个安全策略均不是冗余策略，无需优化处理。

s104、根据所述两个安全策略的优先级识别所述两个安全策略中的冗余策略。

可选地，可以按照下述方法执行步骤s104：若所述两个安全策略中优先级低的安全策略包含优先级高的安全策略，且所述两个安全策略对应的处理动作相同，则确定所述两个安全策略中优先级高的安全策略为冗余策略；若所述两个安全策略中优先级高的安全策略包含优先级低的安全策略，且所述两个安全策略对应的处理动作相同或相反，则确定所述两个安全策略中优先级低的安全策略为冗余策略。

具体地，策略“冗余”是指优先级低的一条安全策略所描述的流量完全包含优先级高的一条安全策略所描述的流量，并且处理动作相同，则确认优先级高的策略为冗余策略。在此基础上，当确认安全策略1与安全策略2具有包含关系时，则可以判断安全策略1与安全策略2的优先级，若安全策略1包含安全策略2，且安全策略1的优先级高于安全策略2的优先级，且安全策略1与安全策略2的处理动作相同或相反，则确定安全策略2为冗余策略。若安全策略2包含安全策略1，安全策略2的优先级低于安全策略1的优先级，且安全策略1与安全策略2的处理动作相同，则确定安全策略1为冗余策略，从而准确地识别出了安全策略组中的冗余策略。

s105、对所述两个安全策略进行合并处理。

具体地，当确认安全策略1与安全策略2具有可合并关系时，则可以将安全策略1与安全策略2进行合并处理，即，将安全策略1与安全策略2的五元组进行合并处理，从而得到新的安全策略，实现了安全策略的简化处理。

在筛选出安全策略组中的冗余策略后，就可以将安全策略组中的安全策略下发给安全设备，当进入安全设备的报文与任一安全策略的过滤条件匹配时，若该安全策略的处理动作为允许，则允许通过匹配上所有过滤条件的报文；若报文未匹配上该安全策略的过滤条件，则丢弃该报文；而当安全策略中未配置过滤条件时，则该安全策略将匹配所有报文。

在识别出冗余策略后，可以对属于冗余策略的安全策略进行标识处理，以便展示给用户，由用户决定是否优化冗余策略。

通过实施本申请提供的策略识别方法，可以有效识别出安全策略中的冗余策略，也能够识别出安全设备识别不出来的冗余策略，以便于用户进行策略优化处理，进而减少了无用策略，达到了精简策略的目的，大大减少了运维工作同时提升了运维效率。此外，本申请在安全业务管理平台上进行策略识别，不依赖安全设备进行全局统筹策略的配置优化。

基于同一发明构思，本申请还提供了与上述策略识别方法对应的策略识别装置。该策略识别装置的实施具体可以参考上述对策略识别方法的描述，此处不再一一论述。

参见图2，图2是本申请一示例性实施例提供的一种策略识别装置，应用于安全业务管理平台，所述安全业务管理平台用于纳管安全设备，所述安全业务管理平台预先配置有多个安全策略；所述装置，包括：

获取模块201，用于获取安全策略组，所述安全策略组包括至少两个安全策略，且所述安全策略组中的各个安全策略的优先级不同；

剔除模块202，用于从所述安全策略组中剔除满足不可用策略的检测条件的安全策略，得到目标安全策略组；

判断模块203，用于根据所述目标安全策略组中的每个安全策略的五元组信息，判断任意两个安全策略是否属于包含关系或可合并关系；

识别模块204，用于若所述判断模块203的判断结果为属于包含关系，则根据所述两个安全策略的优先级识别所述两个安全策略中的冗余策略；

合并模块205，用于若所述判断模块203的判断结果为属于可合并关系，则对所述两个安全策略进行合并处理。

可选地，上述剔除模块202，具体用于针对所述安全策略组的每个安全策略，若该安全策略的至少一个过滤条件对应的内容为空，则确定该安全策略为满足不可用策略的检测条件的安全策略，则从所述安全策略组中剔除该安全策略，并确定该安全策略为冗余策略；或者，对所述安全策略组的每个安全策略，若该安全策略未启用，则确定该安全策略为满足不可用策略的检测条件的安全策略，则从所述安全策略组中剔除该安全策略，并确定该安全策略为冗余策略。

可选地，上述判断模块203，具体用于若所述两个安全策略的五元组信息均满足五元组信息对应的包含关系检测条件，则确定所述两个安全策略属于包含关系；若所述两个安全策略的五元组信息中仅有一项五元组信息不满足该五元组信息对应的可合并关系检测条件，则确认所述两个安全策略属于可合并关系。

可选地，上述所述五元组信息包括地址组，则

上述判断模块203，具体用于按照下述方法判断所述两个安全策略的五元组信息是否满足五元组信息对应的包含关系检测条件或可合并关系检测条件：分别将两个安全策略的地址组的地址区间进行合并处理，得到第一地址区间和第二地址区间；若所述第一地址区间与所述第二地址区间具有包含关系，则确定所述两个安全策略的地址组满足地址组对应的包含关系检测条件；若所述第一地址区间与所述第二地址区间相同，则确定所述两个安全策略的地址组满足地址组对应的可合并关系检测条件；若所述第一地址区间与所述第二地址区间不相同且不具有包含关系，则确定所述两个安全策略的地址组不满足地址组对应的可合并关系检测条件。

可选地，上述所述五元组信息包括安全域，则

上述判断模块203，具体用于按照下述方法判断所述两个安全策略的五元组信息是否满足五元组信息对应的包含关系检测条件或可合并关系检测条件：分别对所述两个安全策略的安全域所包括的接口信息进行合并处理，得到第一接口集合和第二接口集合；若所述第一接口集合与所述第二接口集合具有包含关系，则确定所述两个安全策略的安全域满足安全域对应的包含关系检测条件；若所述第一接口集合与所述第二接口集合相同，则确定所述两个安全策略的安全域满足安全域对应的可合并检测条件；若所述第一接口集合与所述第二接口集合不相同且不具有包含关系，则确定所述两个安全策略的安全域不满足安全域对应的可合并检测条件。

可选地，上述五元组信息包括服务组，则

上述判断模块203，具体用于按照下述方法判断所述两个安全策略的五元组信息是否满足五元组信息对应的包含关系检测条件或可合并关系检测条件：分别对所述两个安全策略的服务组所包括的端口范围进行合并处理，得到第一端口区间和第二端口区间；若所述第一端口区间与所述第二端口区间具有包含关系，则确定所述两个安全策略的服务组满足服务组对应的包含关系检测条件；若所述第一端口区间与所述第二端口区间相同，则确定所述两个安全策略的服务组满足服务组对应的可合并关系检测条件；若所述第一端口区间与所述第二端口区间不相同且不具有包含关系，则确定所述两个安全策略的服务组不满足服务组对应的可合并关系检测条件。

可选地，上述五元组信息包括时间段，所述时间段包括周期时间段和绝对时间段，则

上述判断模块203，具体用于按照下述方法判断所述两个安全策略的五元组信息是否满足五元组信息对应的包含关系检测条件或可合并关系检测条件：针对所述两个安全策略中的每个安全策略，对该安全策略的周期时间段进行取并集处理，得到第一时间区间；对该安全策略的绝对时间段进行取并集处理，得到第二时间区间；将所述第一时间区间和所述第二时间区间进行取交集处理，得到该安全策略的第三时间区间；若所述两个安全策略各自的第三时间区间具有包含关系，则确定所述两个安全策略的时间段满足时间段对应的包含关系检测条件；若所述两个安全策略各自的第三时间区间相同，则确定所述两个安全策略的时间段满足时间段对应的可合并关系检测条件；若所述两个安全策略各自的第三时间区间不相同且不具有包含关系，则确定所述两个安全策略的时间段不满足时间段对应的可合并关系检测条件。

可选地，上述五元组信息包括应用组；则

上述判断模块203，具体用于按照下述方法判断所述两个安全策略的五元组信息是否满足五元组信息对应的包含关系检测条件或可合并关系检测条件：针对所述两个安全策略中的每个安全策略，根据该安全策略的应用组对应的端口映射类别，确定该安全策略在对应的各个端口映射类别下的端口区间；针对每个端口映射类别，判断所述两个安全策略在该端口映射类别下的端口区间是否具有包含关系；若在每个端口映射类别下的判断结果均为具有包含关系，则确定所述两个安全策略的应用组满足应用组对应的包含关系检测条件；若针对每个端口映射类别，判断所述两个安全策略在该端口映射类别下的端口区间是否相同；若在每个端口映射类别下的判断结果均为相同，则确定所述两个安全策略的应用组满足应用组对应的可合并关系检测条件；若在每个端口映射类别下的任一判断结果不相同且不具有包含关系，则确定所述两个安全策略的应用组不满足应用组对应的可合并关系检测条件。

可选地，上述识别模块204，具体用于若所述两个安全策略中优先级低的安全策略包含优先级高的安全策略，且所述两个安全策略对应的处理动作相同，则确定所述两个安全策略中优先级高的安全策略为冗余策略；若所述两个安全策略中优先级高的安全策略包含优先级低的安全策略，且所述两个安全策略对应的处理动作相同或相反，则确定所述两个安全策略中优先级低的安全策略为冗余策略。

本申请实施例提供了一种电子设备，该电子设备可以为安全业务管理平台，如图3所示，包括处理器301和机器可读存储介质302，机器可读存储介质302存储有能够被处理器301执行的计算机程序，处理器301被计算机程序促使执行本申请实施例所提供的策略识别方法。

上述计算机可读存储介质可以包括ram(randomaccessmemory，随机存取存储器)、ddrsram(doubledataratesynchronousdynamicrandomaccessmemory，双倍速率同步动态随机存储器)，也可以包括nvm(non-volatilememory，非易失性存储器)，例如至少一个磁盘存储器。可选的，计算机可读存储介质还可以是至少一个位于远离前述处理器的存储装置。

上述处理器可以是通用处理器，包括cpu(centralprocessingunit，中央处理器)、np(networkprocessor，网络处理器)等；还可以是dsp(digitalsignalprocessor，数字信号处理器)、asic(applicationspecificintegratedcircuit，专用集成电路)、fpga(field-programmablegatearray，现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

另外，本申请实施例提供了一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本申请实施例所提供的策略识别方法。

对于电子设备以及机器可读存储介质实施例而言，由于其涉及的方法内容基本相似于前述的方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的，作为单元/模块显示的部件可以是或者也可以不是物理单元/模块，即可以位于一个地方，或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。