一种策略生成的方法及装置与流程

本申请涉及网络安全技术领域，特别是涉及一种策略生成的方法及装置。

背景技术：

随着信息技术的快速发展，网络应用正在从传统、小型业务系统逐渐向大型、关键业务系统扩展，网络所承载的数据应用也日益增加，呈现复杂化、多元化趋势。然而，网络在使得我们的工作和生活快捷、方便的同时也带来了许多安全问题，比如，信息泄露和计算机感染病毒等。

为了保证数据内容的安全，人们通常会在网络设备(比如防火墙设备)中配置安全策略，比如，可以配置访问控制列表(英文：accesscontrollist，简称：acl)。网络设备可以通过配置的安全策略对报文进行安全检测，并根据检测结果对报文进行安全控制处理。例如，若检测结果为该报文是安全报文，则放行该报文，若检测结果为该报文是攻击报文，则丢弃该报文。为了提高安全检测的准确性，对于确定出的安全报文，可以进一步通过深度报文检测(英文：deeppacketinspection，简称：dpi)技术进行安全检测。通过dpi技术可以实现多种安全防护动作，比如入侵防御、数据过滤和统一资源定位符(英文：uniformresourcelocator，简称：url)过滤等。网络设置中可以预先配置安全策略和dpi策略的关联关系，每个dpi策略包含至少一个安全防护动作。这样，在某报文命中该安全策略后，可以进一步调用与该安全策略关联的dpi策略进行深度检测。

然而，各dpi策略包含的安全防护动作是由技术人员根据经验配置的，策略配置的合理性可能较差。

技术实现要素：

本申请实施例的目的在于提供一种策略生成的方法及装置，以提高策略配置的合理性。具体技术方案如下：

第一方面，提供了一种策略生成的方法，所述方法包括：

通过预设的安全策略，对接收到的流量进行安全检测；

针对每条安全策略，识别命中该安全策略的流量的应用类型；

当接收到针对目标安全策略的第一查询指令时，根据识别出的命中所述目标安全策略的流量的目标应用类型、以及预设的应用类型和风险信息的对应关系，查询所述目标应用类型对应的目标风险信息，并根据所述目标风险信息确定待使用的目标安全防护动作；

接收策略配置指令，所述策略配置指令用于指示使用所述目标安全防护动作对命中所述目标安全策略的流量进行dpi检测；

生成包含所述目标安全防护动作的目标dpi策略，并关联所述目标安全策略与所述目标dpi策略。

可选的，所述识别命中该安全策略的流量的应用类型之后，还包括：

针对识别出的每种应用类型，统计命中该安全策略、且属于该应用类型的流量的数据量；

当接收到针对目标安全策略的第二查询指令时，显示命中所述目标安全策略、且属于所述目标应用类型的流量的数据量。

可选的，所述关联所述目标安全策略与所述目标dpi策略，包括：

在预设的安全策略和dpi策略的关联关系中，将与所述目标安全策略关联的dpi策略修改为所述目标dpi策略；或者，

复制所述目标安全策略，设置复制的目标安全策略的匹配次序优先于原始的目标安全策略的匹配次序，并关联所述复制的目标安全策略与所述目标dpi策略。

可选的，所述目标风险信息包括目标风险类型和目标风险等级；

所述根据所述目标风险信息确定待使用的目标安全防护动作，包括：

根据预先存储的风险类型、风险等级和安全防护动作的对应关系，确定与所述目标风险类型和目标风险等级对应的安全防护动作，将确定出的安全防护动作作为待使用的目标安全防护动作。

可选的，所述根据所述目标风险信息确定待使用的目标安全防护动作，包括：

显示所述目标风险信息；

接收根据所述目标风险信息得到的安全防护动作的选择指令，将所述选择指令对应的安全防护动作确定为待使用的目标安全防护动作。

第二方面，提供了一种策略生成的装置，所述装置包括：

安全策略模块，用于通过预设的安全策略，对接收到的流量进行安全检测；

深度报文检测dpi模块，用于针对每条安全策略，识别命中该安全策略的流量的应用类型；

web模块，用于当接收到针对目标安全策略的第一查询指令时，触发所述dpi模块根据识别出的命中所述目标安全策略的流量的目标应用类型、以及预设的应用类型和风险信息的对应关系，查询所述目标应用类型对应的目标风险信息，并根据所述目标风险信息确定待使用的目标安全防护动作；

所述web模块，还用于接收策略配置指令，所述策略配置指令用于指示使用所述目标安全防护动作对命中所述目标安全策略的流量进行dpi检测；

所述dpi模块，还用于生成包含所述目标安全防护动作的目标dpi策略，并关联所述目标安全策略与所述目标dpi策略。

可选的，所述装置还包括显示模块；

所述安全策略模块，还用于针对识别出的每种应用类型，统计命中该安全策略、且属于该应用类型的流量的数据量；

所述显示模块，用于当接收到针对目标安全策略的第二查询指令时，显示命中所述目标安全策略、且属于所述目标应用类型的流量的数据量。

可选的，所述dpi模块，具体用于：

在预设的安全策略和dpi策略的关联关系中，将与所述目标安全策略关联的dpi策略修改为所述目标dpi策略；或者，

复制所述目标安全策略，设置复制的目标安全策略的匹配次序优先于原始的目标安全策略的匹配次序，并关联所述复制的目标安全策略与所述目标dpi策略。

可选的，所述目标风险信息包括目标风险类型和目标风险等级；

所述dpi模块，具体用于：

根据预先存储的风险类型、风险等级和安全防护动作的对应关系，确定与所述目标风险类型和所述目标风险等级对应的安全防护动作，将确定出的安全防护动作作为待使用的目标安全防护动作。

可选的，

所述显示模块，用于显示所述目标风险信息；

所述web模块，还用于接收根据所述目标风险信息得到的安全防护动作的选择指令，将所述选择指令对应的安全防护动作确定为待使用的目标安全防护动作并传输给所述dpi模块。

第三方面，提供了一种网络设备，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

存储器，用于存放计算机程序；

处理器，用于执行存储器上所存放的程序时，实现第一方面任一所述的方法步骤。

第四方面，提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现第一方面任一所述的方法步骤。

第五方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面所述的方法。

本申请实施例提供的一种策略生成的方法及装置。其中，网络设备可以通过预设的安全策略，对接收到的流量进行安全检测。针对每条安全策略，网络设备可以识别命中该安全策略的流量的应用类型。当接收到针对目标安全策略的第一查询指令时，根据识别出的命中目标安全策略的流量的目标应用类型、以及预设的应用类型和风险信息的对应关系，查询目标应用类型对应的目标风险信息，并根据目标风险信息确定待使用的目标安全防护动作。然后，可以接收策略配置指令，该策略配置指令用于指示使用目标安全防护动作对命中目标安全策略的流量进行dpi检测，进而生成包含目标安全防护动作的目标dpi策略，并关联目标安全策略与目标dpi策略。这样，可以避免技术人员根据经验配置策略，提高了策略配置的合理性。

当然，实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种策略生成的方法的流程图；

图2为本申请实施例提供的一种查询结果页面的示意图；

图3为本申请实施例提供的一种调优页面的示意图；

图4为本申请实施例提供的一种对安全策略test修改后的示意图；

图5为本申请实施例提供的另一种对安全策略test修改后的示意图；

图6为本申请实施例提供的一种策略生成的装置的结构示意图；

图7为本申请实施例提供的一种策略生成的装置的结构示意图；

图8为本申请实施例提供的一种网络设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例提供了一种安全策略的配置方法，该方法可以应用于网络设备，其中，该网络设备可以为安全设备，比如防火墙、路由器等设备。网络设备中可以配置安全策略。在一种实现方式中，可以配置访问控制列表(英文：accesscontrollist，简称：acl)。网络设备可以通过配置的安全策略对报文进行安全检测，并根据检测结果对报文进行安全控制处理。例如，若检测结果为该报文是安全报文，则放行该报文，若检测结果为该报文是攻击报文，则丢弃该报文。另外，网络设备中还可以支持深度报文检测(英文：deeppacketinspection，简称：dpi)技术。dpi技术具体可以实现多种安全防护动作，比如入侵防御、数据过滤和统一资源定位符(英文：uniformresourcelocator，简称：url)等。相应的网络设备中可以预先配置有多个dpi策略，每个dpi策略包含至少一个安全防护动作。安全防护动作可以包括：启用入侵防御系统(英文：intrusionpreventionsystem，简称：ips)、数据过滤(英文：datafiltering，简称：df)和url过滤、文件过滤(英文：filefiltering，简称：ff)、防病毒(英文：antivirus，简称：av)。网络设备中还可以配置有安全策略和dpi策略的关联关系，当某报文命中该安全策略后，可以进一步调用与该安全策略关联的dpi策略进行深度检测。

本申请实施例中，网络设备中包括有dpi模块、安全策略模块和web模块。其中，网络设备可以为dpi模块分配处理器的内核资源(比如内核处理资源和内核存储资源)，这样，dpi模块可以利用分配的内核资源加载dpi策略，以实现对流量的dpi检测，dpi模块还可以利用分配的内核资源加载风险特征库，风险特征库可以包括应用类型、风险信息和防护动作的对应关系，风险信息可以包括风险级别和风险类型。另外，dpi模块还可以实现流量的应用类型的识别功能、以及对流量进行周期性统计的功能。安全策略模块具有安全检测功能、以及对dpi模块周期性统计出的流量进行汇总的功能，安全策略模块还可以响应web模块的查询请求，向dpi模块查询安全策略对应的风险信息。web模块可以向安全策略模块请求流量的统计数据和安全策略对应的风险信息。在一个示例中，dpi模块、安全策略模块和web模块以软件程序形式安装在网络设备中。

下面将结合具体实施方式，对本申请实施例提供的一种策略生成的方法行详细的说明，如图1所示，具体步骤如下：

步骤101，通过预设的安全策略，对接收到的流量进行安全检测。

本申请实施例中，网络设备中可以配置有多条安全策略(比如多条acl策略)，当网络设备在接收到其他设备发送的流量后，可以通过安全策略对流量进行安全检测。具体的，对于接收到的每个数据包，网络设备可以通过安全策略模块判断数据包中的信息与安全策略是否匹配，如果匹配，则确定该数据包命中该安全策略，如果不匹配，则确定该数据包未命中该安全策略。

步骤102，针对每条安全策略，识别命中该安全策略的流量的应用类型。

本申请实施例中，针对每条安全策略，网络设备在确定命中该安全策略的流量后，并可以根据预先配置的安全策略和dpi策略的关联关系，确定与该安全策略关联的dpi策略。然后，网络设备通过dpi模块对该流量进行dpi检测。另外，网络设备的dpi模块还可以利用分配的内核资源识别流量的应用类型。其中，识别应用类型的方式可以是多种多样的。例如，可以预先配置端口号和应用类型的对应关系，相应的，dpi模块可以利用分配的内核资源提取数据包中的端口号，然后根据端口号和应用类型的对应关系，确定数据包中的端口号对应的应用类型。又如，也可以对数据包中应用层的数据进行解析，以确定该数据包的应用类型。其中，应用层的数据中可以包含应用标识，dpi模块可以利用分配的内核资源解析应用层的数据包，并提取应用层的数据包含的应用标识，根据该应用标识确定该数据包的应用类型。例如，当用户访问新浪网时，应用层的数据中会包含新浪网的网址，dpi模块可以根据新浪网的网址，确定该数据包的应用类型为“新浪网页”。现有技术中识别流量的应用类型的策略均可应用于本申请实施例中，本申请实施例不做限定。

针对每个安全策略，网络设备可以通过dpi模块统计命中该安全策略的全部流量的应用类型。这样，网络设备可以统计命中每条安全策略的流量的全部应用类型。

可选的，网络设备还可以对各应用类型对应的流量进行计数。具体的处理过程可以为：针对识别出的每种应用类型，统计命中该安全策略、且属于该应用类型的流量的数据量。

本申请实施例中，针对识别出的每种应用类型，dpi模块可以利用分配的内核资源统计命中该安全策略、且属于该应用类型的流量的数据量。例如，dpi模块可以对命中安全策略1、且应用类型为aa的数据包的数据量进行累加，得到命中安全策略1的流量中应用类型为aa的流量的数据量。另外，dpi模块可以利用分配的内核资源统计命中该安全策略的全部数据包的数据量，得到命中该安全策略的总流量的数据量。

网络设备还可以根据总流量的数据量、以及每种应用类型对应的数据量，计算命中该安全策略的流量中每种应用类型的流量所占的百分比，以便用户进行查看。

在一种实现方式中，网络设备中的安全策略模块周期性的向dpi模块发送统计数据的请求消息(比如每隔5分钟发送一次请求消息)，dpi模块接收到该请求消息后，将该周期内统计到的各安全策略对应的统计数据发送给该安全策略模块。其中，安全策略的统计数据可以包括命中该安全策略的流量的应用类型、命中该安全策略且属于该应用类型的流量的数据量，还可以包括命中该安全策略的总流量的数据量。dpi模块发送统计数据后，可以对该统计数据进行清零，然后重新进行统计。这样，避免占用dpi模块中较多的内核存储资源。安全策略模块将接收到的统计数据与本地存储的统计数据进行对应的累加，得到更新后的统计数据。安全策略模块还可以根据更新后的统计数据，计算总流量中各应用类型对应的流量的数据量、以及每种应用类型的流量所占的百分比。

安全策略模块获取到统计数据后，可以关联统计数据与安全策略，从而建立安全策略和统计数据的对应关系，以便后续用户进行查看。

步骤103，当接收到针对目标安全策略的第一查询指令时，根据识别出的命中目标安全策略的流量的目标应用类型、以及预设的应用类型和风险信息的对应关系，查询目标应用类型对应的目标风险信息，并根据目标风险信息确定待使用的目标安全防护动作。

其中，风险信息包括风险类型和风险级别。

本申请实施例中，网络设备中还存储有风险特征库，该风险特征库中包含应用类型、风险级别、风险类型和防护动作的对应关系。其中，风险特征库中的数据可以预先配置。在一种可行的实现方式中，风险特征库可以由dpi模块加载。如表一所示，为本申请实施例提供的一种风险特征库的示例。

表一

其中，风险级别的数值越高，表示风险级别越高，风险越大。

用户可以在网络设备中查看某安全策略的相关配置信息。当网络设备接收到针对目标安全策略的第一查询指令时，网络设备根据识别出的命中目标安全策略的流量的目标应用类型、以及预设的应用类型和风险信息的对应关系，确定目标应用类型对应的目标风险信息，然后，显示查询结果页面，该查询结果页面中可以包含目标应用类型、以及目标应用类型对应的目标风险信息，并根据目标风险信息确定待使用的目标安全防护动作。其中，目标安全策略的数目可以为一个，也可以为多个。

在一种实现方式中，网络设备接收到针对目标安全策略的第一查询指令后，网络设备的web模块可以通过与安全策略模块之间的预设的接口，从安全策略模块中获取目标安全策略的相关配置信息，然后web模块可以通过网络设备的显示装置(比如显示器)对获取到的信息进行显示。

另外，网络设备还可以确定目标安全策略对应的风险级别。以表一所示的风险特征库为例，网络设备查询到目标应用类型对应的目标风险类型和目标风险级别，并且，可以根据查询到的各目标风险级别，确定目标安全策略对应的风险级别。例如，可以直接将查询到的目标风险级别，作为目标安全策略对应的风险级别。由于目标安全策略可能会对应多种目标应用类型，因此，可能会查询到多个目标风险级别。该情况下，可以将各目标风险级别中的最高风险级别，作为目标安全策略对应的风险级别。例如，参照表一，若查询到的目标风险级别包括风险级别1、风险级别2和风险级别3，则目标安全策略对应的风险级别为风险级别3。

在另一种实现方式中，风险特征库中可以存储每种风险类型对应的分值，如表二所示，为本申请实施例提供的另一种风险特征库的示例。

表二

基于表二所示的风险特征库，网络设备确定出该多种目标风险类型后，可以计算目标风险类型对应的风险分值的和值，进而根据预设的风险级别对应的分值范围，确定该和值所属的分值范围，将该分值范围对应的风险级别作为目标安全策略对应的风险级别。例如，风险级别1对应的分值范围是15～20，风险级别2对应的分值范围是10～15，风险级别3对应的分值范围是0～10，目标安全策略对应的应用类型为g和h、风险类型为易规避和降低工作效率，其中，易规避对应的风险分值为5，降低工作效率对应的分值为7，5+7＝12，则目标安全策略对应的风险级别为2。

可选的，针对每条安全策略，用户还可以查看上述统计出的命中该安全策略的流量的应用类型、命中该安全策略的总流量的数据量、总流量中各应用类型对应的流量的数据量、以及每种应用类型的流量所占的百分比的情况，相应的，当网络设备接收到针对目标安全策略的第二查询指令时，可以对这些内容进行显示。其中，第二查询指令与第一查询指令可以为同一指令，也可以为不同指令。如图2所示，为本申请实施例提供的一种查询结果页面的示意图，该查询结果页面中包括安全策略的名称、安全策略的内容、风险级别、命中该安全策略的流量的应用类型、命中该安全策略的总流量的数据量、总流量中各应用类型对应的流量的数据量、以及每种应用类型的流量所占的百分比。

可选的，查询结果页面中包含调优选项(比如图2中调优处理一列的选项)，当用户需要对目标安全策略进行调优时，用户通过输入装置(例如鼠标、触摸屏等)在查询结果页面选择该调优选项，网络设备则可以接收到对应目标安全策略的调优指令。然后，网络设备显示调优页面，调优页面中可以包括应用类型、每种应用类型对应的流量的数据量、目标风险信息(比如风险级别和风险类型)、以及安全防护动作，以便确定待使用的目标安全防护动作。如图3所示，为本申请实施例提供的一种调优页面的示意图。其中，调优页面中显示的安全防护动作，可以是dpi模块中支持的全部安全防护动作。在一种实现方式中，web模块可以通过调用dpi模块提供的预设接口，以获取dpi模块支持的安全防护动作，并通过显示装置进行显示。

其中，确定待使用的目标安全防护动作的方式可以是多种多样的，本申请实施例提供了两种确定方式，具体如下。

方式一、根据预先存储的风险类型、风险等级和安全防护动作的对应关系，确定与目标风险类型和目标风险等级对应的安全防护动作，将确定出的安全防护动作作为待使用的目标安全防护动作。

本申请实施例中，风险特征库中可以包含应用类型、风险级别、风险类型和防护动作的对应关系。网络设备可以在风险特征库中，查找与目标风险类型和目标风险等级对应的安全防护动作，将确定出的安全防护动作作为待使用的目标安全防护动作。例如，调优界面中显示有“调优建议”选项(如图3所示)，用户通过输入装置(例如鼠标、触摸屏等)点击“调优建议”选项后，web应用模块向安全策略模块发送安全防护动作的查询指令，安全策略模块调用dpi模块提供的预设接口，查询与目标风险类型和目标风险等级对应的安全防护动作，然后反馈给web模块，web模块则会将反馈的安全防护动作确定为待使用的目标安全防护动作，并通过显示装置显示目标安全防护动作以及各目标安全防护动作对应的选中标记。

其中，一条安全策略通常对应多个应用类型，相应的，可以确定出多个目标风险信息、以及多种安全防护动作。网络设备确定出每个目标风险信息对应的安全防护动作后，可以确定这些安全防护动作的并集，得到安全防护动作集合，然后将安全防护动作集合中的安全防护动作确定为目标安全防护动作。

方式二、显示目标风险信息，接收根据目标风险信息得到的安全防护动作的选择指令，将选择指令对应的安全防护动作确定为待使用的目标安全防护动作。

本申请实施例中，网络设备的web模块可以通过显示装置显示调优页面，调优页面中可以包括应用类型、每种应用类型对应的流量的数据量、目标风险信息(比如风险级别和风险类型)、以及安全防护动作，以便确定待使用的目标安全防护动作。其中，调优页面中显示的安全防护动作，可以是dpi模块中支持的全部安全防护动作。用户也可以在调优界面中显示的安全防护动作中，通过输入装置手动选择安全防护动作。比如，用户可以在图3所示的调优页面中，通过输入装置选择需要使用的安全防护动作：入侵防御、防病毒和url过滤。网络设备可以接收到根据目标风险信息得到的安全防护动作的选择指令，然后，可以将选择指令对应的安全防护动作确定为待使用的目标安全防护动作。

步骤104，接收策略配置指令。

其中，策略配置设置指令用于指示使用目标安全防护动作对命中目标安全策略的流量进行dpi检测。

本申请实施例中，在确定待使用的目标安全防护动作之后，网络设备可以接收到接收策略配置指令。比如，用户可以在图3所示的调优页面中，通过输入装置点击确认按钮，网络设备则会接收到策略配置指令。

步骤105，生成包含目标安全防护动作的目标dpi策略，并关联目标安全策略与目标dpi策略。

本申请实施例中，网络设备可以通过dpi模块创建一个dpi策略并引用目标安全防护动作，以生成包含目标安全防护动作的目标dpi策略。然后，网络设备可以关联目标安全策略与目标dpi策略。

可选的，关联目标安全策略与目标dpi策略的方式可以是多种多样的，本申请实施例提供了两种可行的实现方式，具体如下。

方式一、在预设的安全策略和dpi策略的关联关系中，将与目标安全策略关联的dpi策略修改为目标dpi策略。

本申请实施例中，网络设备中可以预先存储有安全策略和dpi策略的关联关系，网络设备可以直接将该关联关系中与目标安全策略关联的dpi策略修改为目标dpi策略。例如，如图3所示，调优页面中可以设置有新策略选项，用户通过输入装置选择“在原策略的基础上直接修改”，则网络设备可以直接将该关联关系中与目标安全策略关联的dpi策略修改为目标dpi策略。如图4所示，为对安全策略test修改后的示意图，其中包括安全策略test的具体内容、应用类型(即图4中未完全显示的“应…”)、修改后的安全防护动作、安全策略test的命中次数和总流量的数据量等信息。图4中，安全策略test的具体内容包括安全策略test的匹配条件，即源安全域、目的安全域、策略类型、安全策略的id(即标识)、源地址、目的地址和服务，安全策略test的具体内容还包括用户(即针对哪些用户启用该安全策略)、安全策略test启用的时间(比如在任意时间均启用该安全策略)和动作(比如允许该数据包传输)。

方式二、复制目标安全策略，设置复制的目标安全策略的匹配次序优先于原始的目标安全策略的匹配次序，并关联复制的目标安全策略与目标dpi策略。

本申请实施例中，网络设备也可以复制目标安全策略，设置复制的目标安全策略的匹配次序优先于原始的目标安全策略的匹配次序，然后，关联复制的目标安全策略与目标dpi策略，以建立目标安全策略与目标dpi策略的关联关系。在一种实现方式中，安全策略的匹配次序越小，则安全策略的匹配顺序越优先。一个示例中，可以将复制的目标安全策略的匹配次序，设置为原始的目标安全策略的匹配次序之前，例如，原始的目标安全策略的匹配次序为n，则复制的目标安全策略的匹配次序为n-1。例如，如图3所示，调优页面中可以设置有新策略选项，用户通过输入装置选择“生成一条新的策略放在原策略之前”，则网络设备可以设置复制的目标安全策略的匹配次序小于原始的目标安全策略的匹配次序。用户还可以设置复制后的目标安全策略的名称，例如，原始的安全策略的名称为“test”，复制的目标安全策略的名称可以为“test-6011”。

基于上述处理，可以将复制出的目标安全策略作为一个新的安全策略进行存储，同时，添加目标安全策略与目标dpi策略的关联关系。在实际应用中，当接收到流量后，会按照安全策略的配置的次序依次进行匹配。比如有3条相同的安全策略a、b、c，那么该流量命中安全策略a后，将不会与b和c进行匹配，也即，该流量只会命中流量a。因此，复制出来一个新的安全策略，移动到原安全策略之前，可以使复制出的安全策略代替原安全策略，并且，可以避免修改原配置的安全策略，以便于安全策略的恢复。

如图5所示，为对安全策略test修改后的示意图，由图4、图5可以看出，安全策略test对应的原安全防护动作为启用ips系统、av和url过滤，修改后，安全策略test对应的安全防护动作为启用ips系统、av和url过滤、df和ff。

本申请实施例中，网络设备可以通过预设的安全策略，对接收到的流量进行安全检测。针对每条安全策略，网络设备可以识别命中该安全策略的流量的应用类型。当接收到针对目标安全策略的第一查询指令时，根据识别出的命中目标安全策略的流量的目标应用类型、以及预设的应用类型和风险信息的对应关系，查询目标应用类型对应的目标风险信息，并根据目标风险信息确定待使用的目标安全防护动作。然后，可以接收策略配置指令，该策略配置指令用于指示使用目标安全防护动作对命中目标安全策略的流量进行dpi检测，进而生成包含目标安全防护动作的目标dpi策略，并关联目标安全策略与目标dpi策略。这样，可以避免技术人员根据经验配置策略，提高了策略配置的合理性。而且，本方案中网络设备可以根据各应用类型对应的风险信息(比如风险类型和风险等级)对dpi策略进行调优，即确定风险信息对应的目标安全防护动作，并创建包含目标安全防护动作的dpi策略，策略配置的合理性较高，比较灵活，能够阻断风险，防患未然。

基于相同的技术构思，本申请实施例还提供了一种策略生成的装置，如图6所示，该装置包括：

安全策略模块610，用于通过预设的安全策略，对接收到的流量进行安全检测；

dpi模块620，用于针对每条安全策略，识别命中该安全策略的流量的应用类型；

web模块630，用于当接收到针对目标安全策略的第一查询指令时，触发所述dpi模块根据识别出的命中所述目标安全策略的流量的目标应用类型、以及预设的应用类型和风险信息的对应关系，查询所述目标应用类型对应的目标风险信息，并根据所述目标风险信息确定待使用的目标安全防护动作；

所述web模块630，还用于接收策略配置指令，所述策略配置指令用于指示使用所述目标安全防护动作对命中所述目标安全策略的流量进行dpi检测；

所述dpi模块620，还用于生成包含所述目标安全防护动作的目标dpi策略，并关联所述目标安全策略与所述目标dpi策略。

可选的，如图7所示，所述装置还包括显示模块640；

所述安全策略模块610，还用于针对识别出的每种应用类型，统计命中该安全策略、且属于该应用类型的流量的数据量；

所述显示模块640，用于当接收到针对目标安全策略的第二查询指令时，显示命中所述目标安全策略、且属于所述目标应用类型的流量的数据量。在具体的示例中，显示模块640为显示器。

可选的，所述dpi模块620，具体用于：

在预设的安全策略和dpi策略的关联关系中，将与所述目标安全策略关联的dpi策略修改为所述目标dpi策略；或者，

复制所述目标安全策略，设置复制的目标安全策略的匹配次序优先于原始的目标安全策略的匹配次序，并关联所述复制的目标安全策略与所述目标dpi策略。

可选的，所述目标风险信息包括目标风险类型和目标风险等级；

所述dpi模块620，具体用于：

根据预先存储的风险类型、风险等级和安全防护动作的对应关系，确定与所述目标风险类型和所述目标风险等级对应的安全防护动作，将确定出的安全防护动作作为待使用的目标安全防护动作。

可选的，

所述显示模块640，用于显示所述目标风险信息；

所述web模块630，还用于接收根据所述目标风险信息得到的安全防护动作的选择指令，将所述选择指令对应的安全防护动作确定为待使用的目标安全防护动作并传输给所述dpi模块620。

本申请实施例中，网络设备可以通过预设的安全策略，对接收到的流量进行安全检测。针对每条安全策略，网络设备可以识别命中该安全策略的流量的应用类型。当接收到针对目标安全策略的第一查询指令时，根据识别出的命中目标安全策略的流量的目标应用类型、以及预设的应用类型和风险信息的对应关系，查询目标应用类型对应的目标风险信息，并根据目标风险信息确定待使用的目标安全防护动作。然后，可以接收策略配置指令，该策略配置指令用于指示使用目标安全防护动作对命中目标安全策略的流量进行dpi检测，进而生成包含目标安全防护动作的目标dpi策略，并关联目标安全策略与目标dpi策略。这样，可以避免技术人员根据经验配置策略，提高了策略配置的合理性。

本申请实施例还提供了一种网络设备，如图8所示，包括处理器801、通信接口802、存储器803和通信总线804，其中，处理器801，通信接口802，存储器803通过通信总线804完成相互间的通信，

存储器803，用于存放计算机程序；

处理器801，用于执行存储器803上所存放的程序时，实现如下步骤：

通过预设的安全策略，对接收到的流量进行安全检测；

针对每条安全策略，识别命中该安全策略的流量的应用类型；

当接收到针对目标安全策略的第一查询指令时，根据识别出的命中所述目标安全策略的流量的目标应用类型、以及预设的应用类型和风险信息的对应关系，查询所述目标应用类型对应的目标风险信息，并根据所述目标风险信息确定待使用的目标安全防护动作；

接收策略配置指令，所述策略配置指令用于指示使用所述目标安全防护动作对命中所述目标安全策略的流量进行dpi检测；

生成包含所述目标安全防护动作的目标dpi策略，并关联所述目标安全策略与所述目标dpi策略。

可选的，所述识别命中该安全策略的流量的应用类型之后，还包括：

针对识别出的每种应用类型，统计命中该安全策略、且属于该应用类型的流量的数据量；

当接收到针对目标安全策略的第二查询指令时，显示命中所述目标安全策略、且属于所述目标应用类型的流量的数据量。

可选的，所述关联所述目标安全策略与所述目标dpi策略，包括：

在预设的安全策略和dpi策略的关联关系中，将与所述目标安全策略关联的dpi策略修改为所述目标dpi策略；或者，

复制所述目标安全策略，设置复制的目标安全策略的匹配次序优先于原始的目标安全策略的匹配次序，并关联所述复制的目标安全策略与所述目标dpi策略。

可选的，所述目标风险信息包括目标风险类型和目标风险等级；

所述根据所述目标风险信息确定待使用的目标安全防护动作，包括：

根据预先存储的风险类型、风险等级和安全防护动作的对应关系，确定与所述目标风险类型和目标风险等级对应的安全防护动作，将确定出的安全防护动作作为待使用的目标安全防护动作。

可选的，所述根据所述目标风险信息确定待使用的目标安全防护动作，包括：

显示所述目标风险信息；

接收根据所述目标风险信息得到的安全防护动作的选择指令，将所述选择指令对应的安全防护动作确定为待使用的目标安全防护动作。

上述网络设备提到的通信总线可以是外设部件互连标准(英文：peripheralcomponentinterconnect，简称：pci)总线或扩展工业标准结构(英文：extendedindustrystandardarchitecture，简称：eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述网络设备与其他设备之间的通信。

存储器可以包括随机存取存储器(英文：randomaccessmemory，简称：ram)，也可以包括非易失性存储器(英文：non-volatilememory，简称：nvm)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(英文：centralprocessingunit，简称：cpu)、网络处理器(英文：networkprocessor，简称：np)等；还可以是数字信号处理器(英文：digitalsignalprocessing，简称：dsp)、专用集成电路(英文：applicationspecificintegratedcircuit，简称：asic)、现场可编程门阵列(英文：field-programmablegatearray，简称：fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

基于相同的技术构思，本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述策略生成的方法步骤。

基于相同的技术构思，本申请实施例还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述策略生成的方法步骤。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘solidstatedisk(ssd))等。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本申请的较佳实施例而已，并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本申请的保护范围内。