[发明专利]安全策略配置方法、装置、网络设备及介质

说明书

本申请提供一种安全策略配置方法、装置、网络设备及介质，属于网络技术领域。本申请通过在获取到目标网络中满足设定条件的第一数据包的特征信息后，即基于特征信息，从包括多个场景信息以及各个场景信息对应的预设特征信息的目标数据库中，确定出特征信息对应的目标场景信息，即可得到目标网络所应用的场景，从而可以基于目标场景信息对应的预设特征信息，自动生成目标网络的安全策略，从而能够提高策略配置过程的效率，而且，所生成的安全策略与目标网络所应用的场景更加匹配，提高了策略配置过程的准确性。

技术领域

本说明书涉及网络技术领域，尤其涉及一种安全策略配置方法、装置、网络设备及介质。

背景技术

随着计算机技术和网络技术应用范围的不断扩大，如何提高网络安全性能，使得网络可以更好地为用户提供服务，逐渐成为了一个重要研究方向。通常，可以通过预先配置一些网络安全防护策略，如传输层策略、应用层策略和抗攻击策略等，从而通过网络安全防护策略，来对网络所传输的数据包进行检查，对不满足安全防护策略的数据包进行丢弃，以保证网络的安全性。

以城市工控安全系统的网络安全防护策略为例，相关技术中，在进行网络安全防护策略的配置时，需要由运维人员对工控网络中固有的数据通信情况，以及工控软件的控制器所执行的操作进行摸排，以根据摸排结果配置传输层策略和应用层策略，而抗攻击策略则只能使用默认的阈值，从而使得策略配置过程的效率和准确性都比较低。

发明内容

为克服相关技术中存在的问题，本申请提供了一种安全策略配置方法、装置、网络设备及介质。

根据本申请实施例的第一方面，提供一种安全策略配置方法，该方法包括：

获取目标网络中满足设定条件的第一数据包的特征信息，特征信息用于指示第一数据包所使用的协议和/或第一数据包对应的待执行操作的特征；

基于特征信息，从目标数据库中，确定特征信息对应的目标场景信息，目标数据库中包括多个场景信息以及各个场景信息对应的预设特征信息；

基于目标场景信息对应的预设特征信息，生成目标网络的安全策略。

在本申请的一些实施例中，基于特征信息，从目标数据库中，确定特征信息对应的目标场景信息，包括：

从目标数据库中，确定所对应的预设特征信息与特征信息匹配的至少一个候选场景信息，以及各个候选场景信息所对应的匹配次数；

从至少一个候选场景信息中，确定匹配次数最大的候选场景信息，作为目标场景信息。

在本申请的一些实施例中，特征信息包括协议信息、数据特征信息、组合特征信息、时间特征信息和频率特征信息中的至少一项，协议信息用于指示第一数据包所使用的网络协议，述数据特征信息用于指示第一数据包对应的待执行操作的操作值，组合特征信息用于指示第一数据包对应的待执行操作的顺序和/或组合方式，时间特征信息用于指示第一数据包对应的待执行操作的时间，频率特征信息用于指示第一数据包对应的待执行操作的频率。

在本申请的一些实施例中，从目标数据库中，确定所对应的预设特征信息与特征信息匹配的至少一个候选场景信息，以及各个候选场景信息所对应的匹配次数，包括下述至少一项：

对于特征信息所包括的协议信息，将目标数据库中与协议信息匹配的预设协议信息对应的场景信息，确定为候选场景信息，并确定候选场景信息对应的匹配次数；

对于特征信息所包括的数据特征信息，将目标数据库中与数据特征信息匹配的预设数据特征信息对应的场景信息，确定为候选场景信息，并确定候选场景信息对应的匹配次数；

对于特征信息所包括的组合特征信息，将目标数据库中与组合特征信息匹配的预设组合特征信息对应的场景信息，确定为候选场景信息，并确定候选场景信息对应的匹配次数；