[发明专利]一种网间互联安全控制策略规则映射方法

摘要

本发明公开了一种网间互联安全控制策略规则映射方法，属于网络安全领域。首先在对象映射数据库中完成子网名称到子网网段的映射后进行策略编辑，编辑好后生成安全控制策略；词法分析模块读取安全控制策略，发送到语法分析模块识别关键词，生成对应的短语执行读取操作，填入对应的节点，生成对应的具体AST；语义分析模块将子网名称映射成网段值，替换具体AST中子网名称节点的内容，生成带有语义的AST；安全规则范式匹配模块将带有语义的AST转化为XML形式的安全规则；安全规则生成器将XML形式的安全规则转化为可执行的规则代码或命令，完成映射。本发明解决了业务工作人员对规则难配置、难维护、难管控和难理解的问题，实现了简单有效的管理方式。

主权项

1.一种网间互联安全控制策略规则映射方法，其特征在于，具体步骤如下：步骤一、构建映射处理体系架构，从上到下依次分布表现层、映射匹配层和规则生成层；表现层包括策略编辑模块和状态反馈两个模块；映射匹配层对表现层的安全控制策略进行语义分析及映射，并将安全控制策略转化为XML形式的安全规则；具体包括：词法分析模块，语法分析模块，对象映射数据库，语义分析模块及安全规则范式匹配模块；规则生成层包含一个安全规则生成器，将XML形式的安全规则转化为一条或多条可执行的规则代码或命令；步骤二、在映射匹配层的对象映射数据库中完成子网名称到子网网段的映射；步骤三、业务工作人员在表现层的策略编辑模块的界面进行策略编辑，编辑好后生成待部署的安全控制策略；步骤四、词法分析模块以字符流的形式读取待部署的安全控制策略，将字符序列转换为单词序列，发送到语法分析模块；步骤五、语法分析模块识别单词序列中的关键词，依据自定义的安全控制策略语法将符合该语法的关键词生成对应的短语；同时依据自定义的AST结构对短语执行读取操作，将读取到的内容填入自定义的AST结构中对应的节点，从而生成对应的具体AST；步骤六、语义分析模块根据对象映射数据库中建立的映射将子网名称映射成网段值，替换具体AST中子网名称节点的内容，然后审查各节点内容是否符合规范性，如果是，则生成最终的带有语义的AST，执行步骤七，否则，向状态反馈模块发送异常信息，执行步骤八；步骤七、安全规则范式匹配模块通过读取最终带有语义的AST节点的内容，将最终带有语义的AST转化为XML形式的安全规则，若匹配成功则执行步骤九，若失败则发送反馈消息给状态反馈模块，执行步骤八；步骤八、状态反馈模块对收到的反馈消息进行处理，提示业务工作人员，返回步骤三对待部署的安全控制策略重新编辑；步骤九、规则生成层的安全规则生成器根据具体应用场景需要提供的规则服务，将XML形式的安全规则转化为一条或多条可执行的规则代码或命令，若成功则完成待部署的安全控制策略到规则的映射，否则发送反馈消息给反馈模块，执行步骤八。