1.一种策略识别方法,其特征在于,应用于安全业务管理平台,所述安全业务管理平台用于纳管安全设备,所述安全业务管理平台预先配置有多个安全策略;所述方法,包括:
获取安全策略组,所述安全策略组包括至少两个安全策略,且所述安全策略组中的各个安全策略的优先级不同;
从所述安全策略组中剔除满足不可用策略的检测条件的安全策略,得到目标安全策略组;
根据所述目标安全策略组中的每个安全策略的五元组信息,判断任意两个安全策略是否属于包含关系或可合并关系;
若属于包含关系,则根据所述两个安全策略的优先级识别所述两个安全策略中的冗余策略;
若属于可合并关系,则对所述两个安全策略进行合并处理。
2.根据权利要求1所述的方法,其特征在于,从所述安全策略组中剔除满足不可用策略的检测条件的安全策略,包括:
针对所述安全策略组的每个安全策略,若该安全策略的至少一个过滤条件对应的内容为空,则确定该安全策略为满足不可用策略的检测条件的安全策略,则从所述安全策略组中剔除该安全策略,并确定该安全策略为冗余策略;或者,
针对所述安全策略组的每个安全策略,若该安全策略未启用,则确定该安全策略为满足不可用策略的检测条件的安全策略,则从所述安全策略组中剔除该安全策略,并确定该安全策略为冗余策略。
3.根据权利要求1所述的方法,其特征在于,
根据所述目标安全策略组中的每个安全策略的五元组信息,判断任意两个安全策略是否属于包含关系,包括:
若所述两个安全策略的五元组信息均满足五元组信息对应的包含关系检测条件,则确定所述两个安全策略属于包含关系;
根据所述目标安全策略组中的每个安全策略的五元组信息,判断任意两个安全策略是否属于可合并关系,包括:
若所述两个安全策略的五元组信息中仅有一项五元组信息不满足该五元组信息对应的可合并关系检测条件,则确认所述两个安全策略属于可合并关系。
4.根据权利要求3所述的方法,其特征在于,所述五元组信息包括地址组,则
按照下述方法判断所述两个安全策略的五元组信息是否满足五元组信息对应的包含关系检测条件或可合并关系检测条件:
分别将两个安全策略的地址组的地址区间进行合并处理,得到第一地址区间和第二地址区间;
若所述第一地址区间与所述第二地址区间具有包含关系,则确定所述两个安全策略的地址组满足地址组对应的包含关系检测条件;
若所述第一地址区间与所述第二地址区间相同,则确定所述两个安全策略的地址组满足地址组对应的可合并关系检测条件;
若所述第一地址区间与所述第二地址区间不相同且不具有包含关系,则确定所述两个安全策略的地址组不满足地址组对应的可合并关系检测条件。
5.根据权利要求3所述的方法,其特征在于,所述五元组信息包括安全域,则
按照下述方法判断所述两个安全策略的五元组信息是否满足五元组信息对应的包含关系检测条件或可合并关系检测条件:
分别对所述两个安全策略的安全域所包括的接口信息进行合并处理,得到第一接口集合和第二接口集合;
若所述第一接口集合与所述第二接口集合具有包含关系,则确定所述两个安全策略的安全域满足安全域对应的包含关系检测条件;
若所述第一接口集合与所述第二接口集合相同,则确定所述两个安全策略的安全域满足安全域对应的可合并检测条件;
若所述第一接口集合与所述第二接口集合不相同且不具有包含关系,则确定所述两个安全策略的安全域不满足安全域对应的可合并检测条件。
6.根据权利要求3所述的方法,其特征在于,所述五元组信息包括服务组,则
按照下述方法判断所述两个安全策略的五元组信息是否满足五元组信息对应的包含关系检测条件或可合并关系检测条件:
分别对所述两个安全策略的服务组所包括的端口范围进行合并处理,得到第一端口区间和第二端口区间;
若所述第一端口区间与所述第二端口区间具有包含关系,则确定所述两个安全策略的服务组满足服务组对应的包含关系检测条件;
若所述第一端口区间与所述第二端口区间相同,则确定所述两个安全策略的服务组满足服务组对应的可合并关系检测条件;
若所述第一端口区间与所述第二端口区间不相同且不具有包含关系,则确定所述两个安全策略的服务组不满足服务组对应的可合并关系检测条件。
7.根据权利要求3所述的方法,其特征在于,所述五元组信息包括时间段,所述时间段包括周期时间段和绝对时间段,则
按照下述方法判断所述两个安全策略的五元组信息是否满足五元组信息对应的包含关系检测条件或可合并关系检测条件:
针对所述两个安全策略中的每个安全策略,对该安全策略的周期时间段进行取并集处理,得到第一时间区间;
对该安全策略的绝对时间段进行取并集处理,得到第二时间区间;
将所述第一时间区间和所述第二时间区间进行取交集处理,得到该安全策略的第三时间区间;
若所述两个安全策略各自的第三时间区间具有包含关系,则确定所述两个安全策略的时间段满足时间段对应的包含关系检测条件;
若所述两个安全策略各自的第三时间区间相同,则确定所述两个安全策略的时间段满足时间段对应的可合并关系检测条件;
若所述两个安全策略各自的第三时间区间不相同且不具有包含关系,则确定所述两个安全策略的时间段不满足时间段对应的可合并关系检测条件。
8.根据权利要求3所述的方法,其特征在于,所述五元组信息包括应用组;则
按照下述方法判断所述两个安全策略的五元组信息是否满足五元组信息对应的包含关系检测条件或可合并关系检测条件:
针对所述两个安全策略中的每个安全策略,根据该安全策略的应用组对应的端口映射类别,确定该安全策略在对应的各个端口映射类别下的端口区间;
针对每个端口映射类别,判断所述两个安全策略在该端口映射类别下的端口区间是否具有包含关系;
若在每个端口映射类别下的判断结果均为具有包含关系,则确定所述两个安全策略的应用组满足应用组对应的包含关系检测条件;
若针对每个端口映射类别,判断所述两个安全策略在该端口映射类别下的端口区间是否相同;
若在每个端口映射类别下的判断结果均为相同,则确定所述两个安全策略的应用组满足应用组对应的可合并关系检测条件;
若在每个端口映射类别下的任一判断结果不相同且不具有包含关系,则确定所述两个安全策略的应用组不满足应用组对应的可合并关系检测条件。
9.根据权利要求1所述的方法,其特征在于,若属于包含关系,则根据所述两个安全策略的优先级识别所述两个安全策略中的冗余策略,包括:
若所述两个安全策略中优先级低的安全策略包含优先级高的安全策略,且所述两个安全策略对应的处理动作相同,则确定所述两个安全策略中优先级高的安全策略为冗余策略;
若所述两个安全策略中优先级高的安全策略包含优先级低的安全策略,且所述两个安全策略对应的处理动作相同或相反,则确定所述两个安全策略中优先级低的安全策略为冗余策略。
10.一种报文处理装置,其特征在于,应用于安全业务管理平台,所述安全业务管理平台用于纳管安全设备,所述安全业务管理平台预先配置有多个安全策略;所述装置,包括:
获取模块,用于获取安全策略组,所述安全策略组包括至少两个安全策略,且所述安全策略组中的各个安全策略的优先级不同;
剔除模块,用于从所述安全策略组中剔除满足不可用策略的检测条件的安全策略,得到目标安全策略组;
判断模块,用于根据所述目标安全策略组中的每个安全策略的五元组信息,判断任意两个安全策略是否属于包含关系或可合并关系;
识别模块,用于若所述判断模块的判断结果为属于包含关系,则根据所述两个安全策略的优先级识别所述两个安全策略中的冗余策略;
合并模块,用于若所述判断模块的判断结果为属于可合并关系,则对所述两个安全策略进行合并处理。