本發(fā)明公開(kāi)了一種策略聚合方法及裝置、電子設(shè)備。其中，該方法包括：獲取策略交集集合；在策略交集集合為空的情況下，遍歷第一策略集合和第二策略集合中的所有策略標(biāo)識(shí)；查詢與第一策略集合中每條策略標(biāo)識(shí)對(duì)應(yīng)的策略的目的IP列表以及與第二策略集合中每條策略標(biāo)識(shí)對(duì)應(yīng)的策略的源IP列表；在目的IP列表與待下發(fā)策略的目的IP地址列表一致，或者，源IP列表與待下發(fā)策略的源IP地址列表一致的情況下，將策略標(biāo)識(shí)對(duì)應(yīng)的策略與待下發(fā)策略進(jìn)行聚合處理。本發(fā)明解決了相關(guān)技術(shù)中，在態(tài)勢(shì)感知系統(tǒng)向防火墻下發(fā)大量策略時(shí)，會(huì)出現(xiàn)下發(fā)相似策略的技術(shù)問(wèn)題。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，具體而言，涉及一種策略聚合方法及裝置、電子設(shè)備。

背景技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全重要性逐漸凸顯，態(tài)勢(shì)感知開(kāi)始在網(wǎng)絡(luò)安全領(lǐng)域嶄露頭角，態(tài)勢(shì)感知系統(tǒng)能夠?qū)θW(wǎng)流量進(jìn)行多維度安全分析，快速判斷當(dāng)前及未來(lái)形勢(shì)，進(jìn)行聯(lián)動(dòng)響應(yīng)閉環(huán)處置。圖1是現(xiàn)有技術(shù)的一種態(tài)勢(shì)感知系統(tǒng)和防火墻的總體框架圖，如圖1所示，當(dāng)態(tài)勢(shì)感知系統(tǒng)威脅檢測(cè)模塊(圖1中以“威脅檢測(cè)”示意)檢測(cè)到威脅事件后，會(huì)在事件響應(yīng)模塊(圖1中以“事件響應(yīng)”示意)執(zhí)行劇本配置的聯(lián)動(dòng)動(dòng)作，聯(lián)動(dòng)防火墻設(shè)備以自動(dòng)響應(yīng)威脅事件，聯(lián)動(dòng)動(dòng)作中有一種就是向防火墻設(shè)備下發(fā)策略來(lái)阻斷威脅事件的威脅流量。

由于威脅事件存在重復(fù)性和相似性，由威脅事件觸發(fā)的策略，很多可能具有相同的源IP地址或者目的IP地址，如果每檢測(cè)到一個(gè)威脅事件，就向防火墻下發(fā)一條策略，會(huì)導(dǎo)致態(tài)勢(shì)感知系統(tǒng)向防火墻下發(fā)大量策略，過(guò)多占用防火墻的策略容量，并且存在大量的相似策略。

相關(guān)技術(shù)中，為解決上述問(wèn)題，在態(tài)勢(shì)感知系統(tǒng)向防火墻下發(fā)的策略時(shí)，進(jìn)行了策略重復(fù)校驗(yàn)和聚合處理，只要是不重復(fù)的策略直接下發(fā)到防火墻，這樣做雖然可以減少一部分策略的下發(fā)，但也存在如下弊端：第一，相關(guān)技術(shù)中的重復(fù)校驗(yàn)和聚合只局限于態(tài)勢(shì)感知系統(tǒng)下發(fā)的策略范圍，下發(fā)的策略對(duì)于防火墻來(lái)說(shuō)還是存在重復(fù)可能；第二，聚合時(shí)使用HashMap構(gòu)建源IP(Internet Protocol，網(wǎng)際互連協(xié)議)、目的IP和對(duì)應(yīng)策略ID的存儲(chǔ)結(jié)構(gòu)，占用大量的內(nèi)存空間，當(dāng)有大量策略出現(xiàn)時(shí)，系統(tǒng)存在運(yùn)行風(fēng)險(xiǎn)。

針對(duì)上述的問(wèn)題，目前尚未提出有效的解決方案。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供了一種策略聚合方法及裝置、電子設(shè)備，以至少解決相關(guān)技術(shù)中，在態(tài)勢(shì)感知系統(tǒng)向防火墻下發(fā)大量策略時(shí)，會(huì)出現(xiàn)下發(fā)相似策略的技術(shù)問(wèn)題。

根據(jù)本發(fā)明實(shí)施例的一個(gè)方面，提供了一種策略聚合方法，包括：獲取策略交集集合，其中，所述策略交集集合為與待下發(fā)策略的源IP地址列表對(duì)應(yīng)的第一策略集合以及與所述待下發(fā)策略的目的IP地址列表對(duì)應(yīng)的第二策略集合之間取交集的集合，所述待下發(fā)策略為態(tài)勢(shì)感知系統(tǒng)檢測(cè)到威脅事件后需要向防火墻設(shè)備下發(fā)的阻斷所述威脅事件的策略；在所述策略交集集合為空的情況下，遍歷所述第一策略集合和所述第二策略集合中的所有策略標(biāo)識(shí)，其中，每條所述策略標(biāo)識(shí)對(duì)應(yīng)有策略；查詢與所述第一策略集合中每條所述策略標(biāo)識(shí)對(duì)應(yīng)的策略的目的IP列表以及與所述第二策略集合中每條所述策略標(biāo)識(shí)對(duì)應(yīng)的策略的源IP列表；在所述目的IP列表與所述待下發(fā)策略的目的IP地址列表一致，或者，所述源IP列表與所述待下發(fā)策略的源IP地址列表一致的情況下，將所述策略標(biāo)識(shí)對(duì)應(yīng)的策略與所述待下發(fā)策略進(jìn)行聚合處理。

可選地，在獲取策略交集集合之前，還包括：接收所述防火墻設(shè)備注冊(cè)到所述態(tài)勢(shì)感知系統(tǒng)的系統(tǒng)信息；獲取所述防火墻設(shè)備中存儲(chǔ)的歷史策略配置庫(kù)；遍歷所述歷史策略配置庫(kù)，得到符合聚合條件的所有歷史配置策略的策略條目信息，其中，所述策略條目信息至少包括：歷史源IP地址和歷史目的IP地址；將每條所述歷史配置策略中的所述歷史源IP地址和所述歷史目的IP地址轉(zhuǎn)換為指定地址格式的地址。