[发明专利]使用预分类来实施网络安全策略

说明书

一种计算机系统通过对网络业务进行预分类来实施网络安全策略。一维预分类器过滤器分析网络业务以填充预分类器位阵列。与通过创建多维过滤器来使过滤器爆炸相反，由其他层和/或过滤器使用预分类器位阵列来实施网络安全策略。此外，由于包括预分类器层和预分类器位阵列，简化了由于网络安全性变化而导致的网络业务的重新分类。

背景技术

网络安全策略的实施已经变得越来越重要并且也越来越困难。高级安全策略被转换为很多不同的过滤器和/或规则，这些过滤器和/或规则在整个网络堆栈中的各个层中被实施，以提供针对病毒和/或各种其他基于网络的攻击的有效且可定制的保护。过滤器可以是多维的，以针对可能大的集合和/或值范围来检查各种不同的网络业务属性。实施系统必须频繁地实施一个或多个规则，这些规则需要处理多组值的交叉乘积，以创建过滤器的组合“爆炸”。

由于过滤器爆炸，策略和所得到的过滤器变得太大而不能在合理的时间量内进行有效地处理。由于它们数量众多，因此添加、删除或枚举过滤器也变得困难。此外，由于实施策略的过滤器非常复杂，因此很难对策略进行修改。此外，由于很多过滤器的多维特性，有效的匹配查找技术(诸如散列)是不实用的。当在网络堆栈的一个层完成网络业务的分类时，由于每个级别的复杂过滤器中的差异，分类工作可能无法在另一层中重复使用。这些问题导致在实施和修改策略时与数据路径中所需要的相比更多的存储器和处理器资源消耗。

发明内容

提供本“发明内容”是为了以简化的形式介绍一些概念，这些概念将在下面的“具体实施方式”中进一步描述。本“发明内容”不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于限制所要求保护的主题的范围。

一种计算机化方法包括：由处理器接收网络业务；在至少一个预分类器层中，基于至少一个网络业务属性来对网络业务进行分类；由处理器基于至少一个预分类器层中的网络业务的至少一个分类结果来填充至少一个预分类器位阵列；在至少一个网络安全层中，将至少一个预分类器位阵列中的至少一个位与至少一个过滤器条件进行比较；在至少一个网络安全层中，当比较指示网络业务的允许时，允许网络业务；以及在至少一个网络安全层中，当比较指示网络业务的阻止时，阻止网络业务。

很多伴随特征将更容易理解，因为这些特征通过参考结合附图考虑的以下详细描述将变得更好理解。

附图说明

从以下根据附图阅读的详细描述将能够更好地理解本说明书，在附图中：

图1示出了包括控制器和实施器的示例系统的框图。

图2示出了包括网络安全层的示例实施器的框图；

图3示出了使用预分类器层和网络安全层的组合对网络业务进行分类的示例方法的流程图；

图4示出了使用预分类器前缀树搜索技术对网络业务进行分类的示例方法的流程图；

图5示出了在影响预分类器层和/或网络安全层的网络安全性变化的情况下重新分类网络业务的示例方法的流程图；以及

图6示出了作为功能框图的示例计算装置。

在图1至6中，系统被示出为示意图。附图可能不按比例绘制。

具体实施方式

以下结合附图提供的详细描述旨在作为多个实施例的描述，而非旨在表示可以构造、实现或利用实施例的唯一形式。尽管本文中可以将实施例描述和示出为在诸如服务器、个人计算机、移动设备等设备中实现，但是这仅是示例性实现而非限制。如本领域技术人员将理解的，本实施例适用于各种不同类型的计算设备中的应用。术语“计算机”、“计算装置”、“移动设备”等在本文中用于指代具有处理能力使得其可以执行指令的任何设备。本领域技术人员将认识到，这种处理能力被并入很多不同的设备中，并且因此术语“计算机”和“计算装置”每个可以包括PC、服务器、膝上型计算机、移动电话(包括智能电话)、平板计算机、可穿戴设备、媒体播放器、游戏机、个人数字助理和很多其他设备。