一种策略匹配方法及装置与流程

本申请涉及通信，尤其涉及一种策略匹配方法及装置。

背景技术：

1、在网络安全防护中，安全策略可以支持引用ip地址作为过滤条件进行安全防护。而当网络安全设备中海量的安全策略中配置了海量ip地址时，传统逐个进行策略检查的方案已不能满足高性能的需求。因此，对于给定的ip地址需要一种快速查询机制来实现策略的快速匹配。

2、目前提供的策略匹配方案中，网络安全设备将ip地址统一转换成网段，构建字典树(trie)加速表，利用该加速表进行ip地址的快速匹配。但是该方法中，当安全策略引用海量ip地址时，构建上述字典树加速表不仅耗时长，而且会消耗海量的内存，甚至导致网络安全设备的内存耗尽；而且在基于该加速表进行策略匹配时，也会影响策略查找速度。

技术实现思路

1、有鉴于此，本申请提供一种策略匹配方法及装置，用以提升基于ip地址进行策略匹配的匹配速度。

2、具体地，本申请是通过如下技术方案实现的：

3、根据本申请的第一方面，提供一种策略匹配方法，应用于网络安全设备中，所述方法，包括：

4、接收业务报文；

5、利用所述业务报文中的目标ip地址，按照与ip策略组相匹配的查找算法，查询ip策略组，确定所述目标ip地址所命中的目标ip地址子范围段对应的目标安全策略；所述ip策略组为按照设定算法基于预先配置的多个ip地址和每个ip地址对应的安全策略构建得到的，其中，所述ip策略组的关键字为对每个ip地址所属ip地址范围段进行划分得到的ip地址子范围段，所述ip策略组的关键值为每个ip地址子范围段所属ip地址范围段对应的安全策略，所述ip策略组中各ip地址子范围段之间是有序的，且各ip地址子范围段之间无重叠；

6、利用所述目标安全策略对所述业务报文进行策略匹配处理。

7、根据本申请的第二方面，提供一种策略匹配装置，应用于网络安全设备中，所述装置，包括：

8、接收单元，用于接收业务报文；

9、查询单元，用于利用所述业务报文中的目标ip地址，按照与ip策略组相匹配的查找算法，查询ip策略组，确定所述目标ip地址所命中的目标ip地址子范围段对应的目标安全策略；所述ip策略组为按照设定算法基于预先配置的多个ip地址和每个ip地址对应的安全策略构建得到的，其中，所述ip策略组的关键字为对每个ip地址所属ip地址范围段进行划分得到的ip地址子范围段，所述ip策略组的关键值为每个ip地址子范围段所属ip地址范围段对应的安全策略，所述ip策略组中各ip地址子范围段之间是有序的，且各ip地址子范围段之间无重叠；

10、匹配单元，用于利用所述目标安全策略对所述业务报文进行策略匹配处理。

11、根据本申请的第三方面，提供一种电子设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。

12、根据本申请的第四方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本申请实施例第一方面所提供的方法。

13、本申请实施例的有益效果：

14、本申请实施例提供的策略匹配方法及装置，接收业务报文；利用所述业务报文中的目标ip地址，按照与ip策略组相匹配的查找算法，查询ip策略组，确定所述目标ip地址所命中的目标ip地址子范围段对应的目标安全策略；利用所述目标安全策略对所述业务报文进行策略匹配处理。

15、由于上述ip策略组为按照设定算法基于预先配置的多个ip地址和每个ip地址对应的安全策略构建得到的，且在进行策略查找时是基于ip策略组对应的查找算法进行的，基于相适应的查找算法进行策略查找时，就能够保证安全策略的查找速度；而且，上述ip策略组的关键字为对每个ip地址所属ip地址范围段进行划分得到的ip地址子范围段，所述ip策略组的关键值为每个ip地址子范围段所属ip地址范围段对应的安全策略，所述ip策略组中各ip地址子范围段之间是有序的，这样，基于有序的ip策略组进行策略查找时，能够更进一步地提升策略查找速度；再者，ip策略组的各ip地址子范围段之间无重叠，这样，在基于目标ip地址进行策略查找时，就可以避免命中至少两个ip地址子范围段的情况发生，进而避免因匹配到多个ip地址子范围段而导致查找到不准确的的多个安全策略的发生。

技术特征：

1.一种策略匹配方法，其特征在于，应用于网络安全设备中，所述方法，包括：

2.根据权利要求1所述的方法，其特征在于，利用所述业务报文中的目标ip地址，按照与ip策略组相匹配的查找算法，查询ip策略组，包括：

3.根据权利要求1所述的方法，其特征在于，利用所述业务报文中的目标ip地址，按照与ip策略组相匹配的查找算法，查询ip策略组，确定所述目标ip地址所命中的目标ip地址子范围段对应的目标安全策略，包括：

4.根据权利要求1所述的方法，其特征在于，所述ip地址子范围段的确定方法为：

5.根据权利要求4所述的方法，其特征在于，每个相同的ip地址子范围段对应一个安全策略组，该安全策略组包括该相同的ip地址子范围段分别所属的ip地址范围段对应的安全策略；

6.一种策略匹配装置，其特征在于，应用于网络安全设备中，所述装置，包括：

7.根据权利要求6所述的装置，其特征在于，

8.根据权利要求6所述的装置，其特征在于，所述查找单元，具体用于：

9.根据权利要求6所述的装置，其特征在于，还包括：

10.根据权利要求6所述的装置，其特征在于，每个相同的ip地址子范围段对应一个安全策略组，该安全策略组包括该相同的ip地址子范围段分别所属的ip地址范围段对应的安全策略；

技术总结
本申请提供了一种策略匹配方法及装置。该方法中，接收业务报文；利用业务报文中的目标ip地址，按照与ip策略组相匹配的查找算法，查询ip策略组，确定目标ip地址所命中的目标ip地址子范围段对应的目标安全策略；利用目标安全策略对业务报文进行策略匹配处理。由于ip策略组的关键字为对每个ip地址所属ip地址范围段进行划分得到的ip地址子范围段，ip策略组的关键值为每个ip地址子范围段所属ip地址范围段对应的安全策略，ip策略组中各ip地址子范围段之间是有序的；每个ip地址所属ip地址范围段划分得到的多个ip地址子范围段之间无重叠，提升了策略匹配速度。

技术研发人员：岳伟国
受保护的技术使用者：新华三信息安全技术有限公司
技术研发日：
技术公布日：2024/12/5