(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111349994.4 (22)申请日 2021.11.15 (71)申请人 北京天融信网络安全技 术有限公司 地址 100000 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 周强　范鸿雷　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 李飞 (51)Int.Cl. H04L 41/0894(2022.01) H04L 43/0823(2022.01) H04L 9/40(2022.01) (54)发明名称 一种检测安全策略的方法、 装置、 存储介质 和电子设备 (57)摘要 本申请实施例提供一种检测安全策略的方 法、 装置、 存储介质和电子设备， 该方法包括： 获 取安全策略集； 确定用于检测安全 策略集中多个 安全策略的策略检测模式， 其中， 策略检测模式 包括冗余策略检测模式和/或冲突策略检测模 式； 按照策略检测模式对多个安全策略进行检 测， 获得安全策略检测结果； 其中， 安全 策略检测 结果包括通过冗余策略检测模式检测获得的冗 余策略检测结果和/或通过冲突策略检测模式检 测获得的冲突策略检测结果。 借助于上述技术方 案， 本申请实施例能够实现冗余策略和冲突策略 的检测。 权利要求书2页 说明书9页 附图4页 CN 114039853 A 2022.02.11 CN 114039853 A 1.一种检测安全策略的方法， 其特 征在于， 包括： 获取安全策略集； 确定用于检测所述安全策略集中多个安全策略的策略检测模式， 其中， 所述策略检测 模式包括冗余策略检测模式和/或冲突策略检测模式； 按照所述策略检测模式对所述多个安全策略进行检测， 获得安全策略检测结果； 其中， 所述安全策略检测结果包括通过所述冗余策略检测模式检测获得的冗余策略检测结果和/ 或通过所述冲突策略检测模式检测获得的冲突策略检测结果。 2.根据权利要求1所述的方法， 其特征在于， 所述策略检测模式为所述冗余策略检测模 式， 并且所述多个安全策略中每 个安全策略均具有对应的匹配优先级； 其中， 所述按照所述策略检测模式对所述多个安全策略进行检测， 获得安全策略检测 结果， 包括： 按照所述每个安全策略的匹配优先级由低到高的顺序， 从所述多个安全策略中确定一 个未删除过的目标安全策略； 从所述安全策略集中删除所述目标安全策略， 获得待比对策略集； 利用所述待比对策略集中的所有安全策略对预设数据流进行测试， 获得待比对测试结 果； 根据所述待比对测试 结果， 确定所述冗余策略检测结果。 3.根据权利要求2所述的方法， 其特征在于， 所述根据所述待比对测试结果， 确定所述 冗余策略检测结果， 包括： 获取所述安全策略集对应的目标测试结果； 其中， 所述目标测试结果是利用所述多个 安全策略中所有安全策略对所述预设数据流进行测试后获得的结果； 若所述目标测试结果和所述待比对测试结果一致， 则确定所述目标安全策略为所述安 全策略集中的冗余策略。 4.根据权利要求1所述的方法， 其特征在于， 所述策略检测模式为所述冲突策略检测模 式， 并且所述多个安全策略中每 个安全策略均具有对应的匹配优先级； 其中， 所述按照所述策略检测模式对所述多个安全策略进行检测， 获得安全策略检测 结果， 包括： 在预设数据流按照所述每个安全策略的匹配优先级顺序通过所述安全策略集的情况 下， 从所述多个安全策略中确定当前命中的安全策略； 确定所述当前命中的安全策略对预设数据流的执行动作， 其中， 所述执行动作包括放 行动作或者阻断动作； 在确定所述当前命中的安全策略对预设数据流的执行动作和预先确定的参考安全策 略对预设数据流的执行动作不一致的情况下， 确定所述当前命中的安全策略为所述预先确 定的参考安全策略的冲突策略。 5.一种检测安全策略的装置， 其特 征在于， 包括： 获取模块， 用于获取安全策略集； 确定模块， 用于确定用于检测所述安全策略集中多个安全策略的策略检测模式， 其中， 所述策略检测模式包括冗余策略检测模式和/或冲突策略检测模式； 检测模块， 用于按照所述策略检测模式对所述多个安全策略进行检测， 获得安全策略权　利　要　求　书 1/2 页 2 CN 114039853 A 2检测结果； 其中， 所述安全策略检测结果包括通过所述冗余策略检测模式检测获得 的冗余 策略检测结果和/或通过 所述冲突策略检测模式检测获得的冲突策略检测结果。 6.根据权利要求5所述的装置， 其特征在于， 所述策略检测模式为所述冗余策略检测模 式， 并且所述多个安全策略中每 个安全策略均具有对应的匹配优先级； 所述检测模块， 具体用于： 按照所述每个安全策略的匹配优先级由低到高的顺序， 从所 述多个安全策略中确定一个未删除过的目标安全策略； 从所述安全策略集中删除所述目标 安全策略， 获得待比对策略集； 利用所述待比对策略集中的所有安全策略对预设数据流进 行测试， 获得待比对测试 结果； 根据所述待比对测试 结果， 确定所述冗余策略检测结果。 7.根据权利要求6所述的装置， 其特征在于， 所述检测模块， 具体用于： 获取所述安全策 略集对应的目标测试结果； 其中， 所述 目标测试结果是利用所述多个安全策略中所有安全 策略对所述预设数据流进 行测试后获得的结果； 若所述目标测试结果和所述待比对测试结 果一致， 则确定所述目标安全策略为所述 安全策略集中的冗余策略。 8.根据权利要求5所述的装置， 其特征在于， 所述策略检测模式为所述冲突策略检测模 式， 并且所述多个安全策略中每 个安全策略均具有对应的匹配优先级； 所述检测模块， 具体用于： 在预设数据流按照所述每个安全策略的匹配优先级顺序通 过所述安全策略集的情况下， 从所述多个安全策略中确定当前命中的安全策略； 确定所述 当前命中的安全策略对预设数据流的执行动作， 其中， 所述执行动作包括放行动作或者阻 断动作； 在确定所述当前命中的安全策略对预设数据流的执行动作和预先确定的参考安全 策略对预设数据流的执行动作不一致的情况下， 确定所述当前命中的安全 策略为所述预先 确定的参 考安全策略的冲突策略。 9.一种存储介质， 其特征在于， 所述存储介质上存储有计算机程序， 所述计算机程序被 处理器运行时执 行如权利要求1至4任一所述的检测安全策略的方法。 10.一种电子设备， 其特征在于， 所述电子设备包括： 处理器、 存储器和总线， 所述存储 器存储有所述处理器可执行 的机器可读指令， 当所述电子设备运行时， 所述处理器与所述 存储器之 间通过总线通信， 所述机器可读指 令被所述处理器执行时执行如权利要求 1至4任 一所述的检测安全策略的方法。权　利　要　求　书 2/2 页 3 CN 114039853 A 3