一种网络安全管理方法、装置、设备及机器可读存储介质与流程

1.本公开涉及通信技术领域，尤其是涉及一种网络安全管理方法、装置、设备及机器可读存储介质。


背景技术：

2.ips(intrusion prevention system，入侵防御系统)是一种可以对应用层攻击进行检测并防御的安全防御技术。ips设备首先升级加载攻击特征库，用户通过配置ips策略筛选攻击特征并将攻击特征添加到内核的深度报文检测引擎。网络流量进入ips设备时，其通过ac(aho-corasick)算法扫描ac树检测入侵行为，并通过一定的响应动作来阻断入侵行为，实现保护企业信息系统和网络免遭攻击的目的。
3.vsystem是一种轻量级的虚拟化技术，能将一台物理设备划分为多台相互独立的逻辑设备。每个vsystem相当于一台真实的设备对外服务，拥有独立的接口、vlan、路由表项、地址范围、策略以及用户/用户组。因此ips设备能利用vsystem实现多租户的网络隔离。
4.在ips设备支持vsystem实现多租户后，每租户都需要ips特征库的攻击特征，在租户配置ips策略功能后筛选加载的特征库的攻击特征，并下发到内核。如果ips开启多个租户，并且存在部分特征库的攻击特征同时被多个租户配置的ips策略筛选中，并下到内核。这样一来内核就会存储多份该攻击特征，浪费了设备内存，进而导致设备对数据流的转发性能降低。


技术实现要素：

5.有鉴于此，本公开提供一种网络安全管理方法、装置及电子设备、机器可读存储介质，以改善上述多租户内存占用大的问题。
6.具体地技术方案如下：
7.本公开提供了一种网络安全管理方法，应用于网络安全设备，所述网络安全设备具有至少两个租户，所述方法包括：根据各租户配置的ips策略，标记开启生效表中将相应的攻击特征，其中所述ips策略包括关联的租户开启的各类型需要检测的攻击特征，所述生效表用于记录各租户开启检测的攻击特征；接收待检测报文，根据生效表，检测待检测报文是否命中具有租户开启检测的攻击特征；根据生效表，检测命中具有租户开启检测的攻击特征的待检测报文关联的租户是否开启了该攻击特征的检测；根据所述开启了该攻击特征的检测的租户配置的策略，执行相应的处理动作。
8.作为一种技术方案，所述接收待检测报文，根据生效表，检测待检测报文是否命中具有租户开启检测的攻击特征，包括：放行未命中具有租户开启检测的攻击特征的待检测报文。
9.作为一种技术方案，所述根据生效表，检测命中具有租户开启的攻击特征的待检测报文关联的租户是否开启了该攻击特征的检测，包括：放行所述待检测报文，被放行的待检测报文关联的租户相应攻击特征的检测，其中相应攻击特征是指根据生效表，待检测报
文命中的具有租户开启检测的攻击特征。
10.作为一种技术方案，所述根据各租户配置的ips策略，标记开启生效表中将相应的攻击特征，其中所述ips策略包括关联的租户开启的各类型需要检测的攻击特征，所述生效表用于记录各租户开启检测的攻击特征，包括：加载具有租户开启检测的攻击特征至内存存储空间。
11.本公开同时提供了一种网络安全管理装置，应用于网络安全设备，所述网络安全设备具有至少两个租户，所述装置包括：表项模块，用于根据各租户配置的ips策略，标记开启生效表中将相应的攻击特征，其中所述ips策略包括关联的租户开启的各类型需要检测的攻击特征，所述生效表用于记录各租户开启检测的攻击特征；检测模块，用于接收待检测报文，根据生效表，检测待检测报文是否命中具有租户开启检测的攻击特征；匹配模块，用于根据生效表，检测命中具有租户开启检测的攻击特征的待检测报文关联的租户是否开启了该攻击特征的检测；处理模块，用于根据所述开启了该攻击特征的检测的租户配置的策略，执行相应的处理动作。
12.作为一种技术方案，所述接收待检测报文，根据生效表，检测待检测报文是否命中具有租户开启检测的攻击特征，包括：放行未命中具有租户开启检测的攻击特征的待检测报文。
13.作为一种技术方案，所述根据生效表，检测命中具有租户开启的攻击特征的待检测报文关联的租户是否开启了该攻击特征的检测，包括：放行所述待检测报文，被放行的待检测报文关联的租户相应攻击特征的检测，其中相应攻击特征是指根据生效表，待检测报文命中的具有租户开启检测的攻击特征。
14.作为一种技术方案，所述根据各租户配置的ips策略，标记开启生效表中将相应的攻击特征，其中所述ips策略包括关联的租户开启的各类型需要检测的攻击特征，所述生效表用于记录各租户开启检测的攻击特征，包括：加载具有租户开启检测的攻击特征至内存存储空间。
15.本公开同时提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，处理器执行所述机器可执行指令以实现前述的网络安全管理方法。
16.本公开同时提供了一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现前述的网络安全管理方法。
17.本公开提供的上述技术方案至少带来了以下有益效果：
18.在生效表中统一记录各租户开启检测的攻击特征，根据生效表检测待检测报文是否命中攻击特征、关联的租户是否开启检测相应的攻击特征，从而判断待检测报文是否被放行，无需为每个租户分别加载其开启的攻击特征，避免同一攻击特征被重复加载造成内存空间的浪费。
附图说明
19.为了更加清楚地说明本公开实施方式或者现有技术中的技术方案，下面将对本公开实施方式或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述
中的附图仅仅是本公开中记载的一些实施方式，对于本领域普通技术人员来讲，还可以根据本公开实施方式的这些附图获得其他的附图。
20.图1是本公开一种实施方式中的网络安全管理方法的流程图；
21.图2是本公开一种实施方式中的网络安全管理装置的结构图；
22.图3是本公开一种实施方式中的电子设备的硬件结构图。
具体实施方式
23.在本公开实施方式使用的术语仅仅是出于描述特定实施方式的目的，而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
24.应当理解，尽管在本公开实施方式可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
25.本公开提供一种网络安全管理方法、装置及电子设备、机器可读存储介质，以改善上述多租户内存占用大的问题。
26.具体地，技术方案如后述。
27.在一种实施方式中，本公开提供了一种网络安全管理方法，应用于网络安全设备，所述网络安全设备具有至少两个租户，所述方法包括：根据各租户配置的ips策略，标记开启生效表中将相应的攻击特征，其中所述ips策略包括关联的租户开启的各类型需要检测的攻击特征，所述生效表用于记录各租户开启检测的攻击特征；接收待检测报文，根据生效表，检测待检测报文是否命中具有租户开启检测的攻击特征；根据生效表，检测命中具有租户开启检测的攻击特征的待检测报文关联的租户是否开启了该攻击特征的检测；根据所述开启了该攻击特征的检测的租户配置的策略，执行相应的处理动作。
28.具体地，如图1，包括以下步骤：
29.步骤s11，根据各租户配置的ips策略，标记开启生效表中将相应的攻击特征；
30.步骤s12，接收待检测报文，根据生效表，检测待检测报文是否命中具有租户开启检测的攻击特征；
31.步骤s13，根据生效表，检测命中具有租户开启检测的攻击特征的待检测报文关联的租户是否开启了该攻击特征的检测；
32.步骤s14，根据所述开启了该攻击特征的检测的租户配置的策略，执行相应的处理动作。
33.在生效表中统一记录各租户开启检测的攻击特征，根据生效表检测待检测报文是否命中攻击特征、关联的租户是否开启检测相应的攻击特征，从而判断待检测报文是否被放行，无需为每个租户分别加载其开启的攻击特征，避免同一攻击特征被重复加载造成内存空间的浪费。
34.在一种实施方式中，所述接收待检测报文，根据生效表，检测待检测报文是否命中
具有租户开启检测的攻击特征，包括：放行未命中具有租户开启检测的攻击特征的待检测报文。
35.在一种实施方式中，所述根据生效表，检测命中具有租户开启的攻击特征的待检测报文关联的租户是否开启了该攻击特征的检测，包括：放行所述待检测报文，被放行的待检测报文关联的租户相应攻击特征的检测，其中相应攻击特征是指根据生效表，待检测报文命中的具有租户开启检测的攻击特征。
36.在一种实施方式中，所述根据各租户配置的ips策略，标记开启生效表中将相应的攻击特征，其中所述ips策略包括关联的租户开启的各类型需要检测的攻击特征，所述生效表用于记录各租户开启检测的攻击特征，包括：加载具有租户开启检测的攻击特征至内存存储空间。
37.支持多租户的ips设备，用户态以从特征库中解析出来的攻击特征的id为key存一个哈希表，用以记录已经被其中某一租户筛选中下入内核的特征，该哈希表称为生效表。在网络安全设备，如安全ips设备中，最多支持创建4095个租户，并且每个租户都会分配一个不重复的id，在以上存储在哈希表的数据节点除了包括攻击特征的内容外，新建一个位图，记录租户的id所在的比特位是否被置位，如果一个攻击特征同时被多个租户配置的ips策略筛选中，那么该攻击特征的位图对应的租户id的位都会被置成1，如果某租户去除筛选该特征，那么将其比特位清0，然后用户保存配置提交，特征就会下到报文检测引擎进行检测。
38.多租户ips设备配置ips策略筛选攻击特征，进入租户环境，配置ips筛选攻击特征，获取配置层面当前租户id，遍历筛选中的攻击特征，用特征id从生效表中查找该特征节点，如果查到了，获取该特征的位图，没查到就新建特征哈希节点，创建特征位图，并置位；查到并且获取到该特征的位图，判断该租户id对应位是否置1，如果置1了，直接遍历下一个被筛选中的攻击特征进行处理，如果没有置1，就置1，继续下一个处理；所有特征都遍历处理完了，提交保存配置并激活，通知内核进行更新处理。
39.在报文检测引擎会将从用户态下来的攻击特征信息(包含位图)也会存一个哈希表，用户每次配置策略筛选完特征以后提交激活配置，都会先清空哈希表，根据用户态下发的最新的攻击特征数据新建节点并插入到哈希表，这样就保证用户态最新的位图和其他特征信息得到更新保持一致。
40.报文在进入报文检测引擎后，如果命中了某一条攻击特征，会获取到当前转发线程的租户上下文，即当前转发报文的租户id，然后拿该id做该特征的位图匹配。
41.报文进入检测引擎以后利用ac算法扫描树，扫到ac串以后，会用该串的记录信息中取到对应攻击特征信息，随后从rule_option、特征级选项进行规则推导是否命中攻击特征；如果命中攻击特征，获取当前租户id，如果没命中，表示在租户放行该报文；获取到当前租户的id后，去做该特征的位图匹配，即用租户id去检查在该攻击特征的位图上是否置位1。如果是，则表示是该租户命中了特征，执行该租户配置的动作，否则就表示该特征没有被该租户筛选，是其他租户配置ips策略筛选中的，执行默认的放行动作。
42.针对以上场景所述cpu只处理一条新建流量的首包，后续包都是通过硬件逻辑实现高速业务处理和转发。
43.通过以上的处理，在多租户的ips设备环境中，给每个需要下到报文处理引擎的特征数据加上一个位图，实现攻击特征在多租户环境中共用，从而解决攻击特征同时被多个
租户配置的ips策略筛选中，并下到内核存储多份导致浪费内存的问题。
44.在一种实施方式中，本公开同时提供了一种网络安全管理装置，如图2，应用于网络安全设备，所述网络安全设备具有至少两个租户，所述装置包括：表项模块21，用于根据各租户配置的ips策略，标记开启生效表中将相应的攻击特征，其中所述ips策略包括关联的租户开启的各类型需要检测的攻击特征，所述生效表用于记录各租户开启检测的攻击特征；检测模块22，用于接收待检测报文，根据生效表，检测待检测报文是否命中具有租户开启检测的攻击特征；匹配模块23，用于根据生效表，检测命中具有租户开启检测的攻击特征的待检测报文关联的租户是否开启了该攻击特征的检测；处理模块24，用于根据所述开启了该攻击特征的检测的租户配置的策略，执行相应的处理动作。
45.在一种实施方式中，所述接收待检测报文，根据生效表，检测待检测报文是否命中具有租户开启检测的攻击特征，包括：放行未命中具有租户开启检测的攻击特征的待检测报文。
46.在一种实施方式中，所述根据生效表，检测命中具有租户开启的攻击特征的待检测报文关联的租户是否开启了该攻击特征的检测，包括：放行所述待检测报文，被放行的待检测报文关联的租户相应攻击特征的检测，其中相应攻击特征是指根据生效表，待检测报文命中的具有租户开启检测的攻击特征。
47.在一种实施方式中，所述根据各租户配置的ips策略，标记开启生效表中将相应的攻击特征，其中所述ips策略包括关联的租户开启的各类型需要检测的攻击特征，所述生效表用于记录各租户开启检测的攻击特征，包括：加载具有租户开启检测的攻击特征至内存存储空间。
48.装置实施方式与对应的方法实施方式相同或相似，在此不再赘述。
49.在一种实施方式中，本公开提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，处理器执行所述机器可执行指令以实现前述的网络安全管理方法，从硬件层面而言，硬件架构示意图可以参见图3所示。
50.在一种实施方式中，本公开提供了一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现前述的网络安全管理方法。
51.这里，机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：ram(radom access memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。
52.上述实施方式阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
53.为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本
公开时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
54.本领域内的技术人员应明白，本公开的实施方式可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方面的实施方式的形式。而且，本公开实施方式可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
55.本公开是参照根据本公开实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
56.而且，这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
57.这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
58.本领域技术人员应明白，本公开的实施方式可提供为方法、系统或计算机程序产品。因此，本公开可以采用完全硬件实施方式、完全软件实施方式、或者结合软件和硬件方面的实施方式的形式。而且，本公开可以采用在一个或者多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
59.以上所述仅为本公开的实施方式而已，并不用于限制本公开。对于本领域技术人员来说，本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本公开的权利要求范围之内。