数据流量处理方法、装置、电子设备和存储介质与流程

1.本公开涉及网络安全技术领域，特别是涉及一种数据流量处理方法、装置、电子设备和计算机可读存储介质。


背景技术：

2.随着互联网的不断发展，网络安全威胁以及网络攻击越来越多，为了确保计算机系统、网络服务器以及通信链路的安全性，大量的安全设备被部署到网络中，安全设备通过利用大量的安全策略，从而阻断网络安全威胁以及网络攻击，安全策略是一种部署在入侵防御系统或防火墙上的用于对符合指定条件的报文执行动作的控制策略，能够有效的抵御网络安全威胁、以及网络攻击。
3.目前，现有技术中通过将安全策略以字符的形式进行保存，生成相对应的文本文件，并以人为的方式将安全策略输入至安全设备中，从而阻断网络威胁以及网络攻击。
4.但是，采用现有技术，存在大量重复和冲突的冗余策略，且安全设备在执行相对应的安全策略时，需要对包含安全策略的文本文件进一步进行解析处理，导致对安全策略的执行效率较低。


技术实现要素：

5.基于此，有必要针对上述技术问题，提供了一种数据流量处理方法、装置、电子设备和计算机可读存储介质。
6.本公开实施例提供了一种数据流量处理方法，应用于网络安全设备，所述方法包括：获取安全策略矩阵表，所述安全策略矩阵表包括至少两个安全策略，所述安全策略矩阵表是根据所述至少两个安全策略分别对应的源互联网协议、目的互联网协议以及安全动作得到的，所述至少两个安全策略分别对应的源互联网协议、目的互联网协议不同；
7.根据所述安全策略矩阵表，对数据流量进行匹配处理，获取与所述数据流量相匹配的预设安全策略；
8.根据所述预设安全策略，对所述数据流量执行预设安全动作，其中，所述预设安全动作与所述预设安全策略相对应。
9.在一个实施例中，所述获取安全策略矩阵表之前，还包括：
10.根据所述安全策略的源互联网协议以及所述安全策略的目的互联网协议，建立所述安全策略矩阵表，其中，所述安全策略矩阵表为空矩阵表，所述安全策略的目的互联网协议为所述安全策略矩阵表的列方向，所述安全策略的源互联网协议为所述安全策略矩阵表的行方向。
11.在一个实施例中，所述方法还包括：
12.基于安全策略集，依次提取所述安全策略；其中，所述安全策略集包括至少两个安全策略；
13.在当前安全策略为所述安全策略集中的首个安全策略的情况下，将所述首个安全
策略的目的互联网协议标记在所述安全策略矩阵表的列方向的首个标记点，将所述首个安全策略的源互联网协议标记在所述安全策略矩阵表的行方向的首个标记点，将所述首个安全策略的安全动作标记在所述安全策略矩阵表的列方向与所述安全策略矩阵表的行方向的交汇点上。
14.在一个实施例中，所述方法还包括：
15.在所述当前安全策略为所述安全策略集中的第二个安全策略以及第二个安全策略之后的安全策略的情况下，判断所述当前安全策略的目的互联网协议是否标记在所述安全策略矩阵表的列方向上；
16.若否，则将所述当前安全策略的目的互联网协议标记在所述安全策略矩阵表的列方向上。
17.在一个实施例中，所述方法还包括：
18.若确定所述当前安全策略的目的互联网协议标记在所述安全策略矩阵表的列方向上；
19.判断所述当前安全策略的源互联网协议是否标记在所述安全策略矩阵表的行方向上；
20.若否，则将所述当前安全策略的源互联网协议标记在所述安全策略矩阵表的行方向上。
21.在一个实施例中，所述方法还包括：
22.若确定所述当前安全策略的源互联网协议标记在所述安全策略矩阵表的行方向上；
23.判断所述当前安全策略的安全动作是否标记在所述安全策略矩阵表的列方向与所述安全策略矩阵表的行方向的交汇点上；
24.若否，则将所述当前安全策略的安全动作标记在所述安全策略矩阵表的列方向与所述安全策略矩阵表的行方向的交汇点上。
25.在一个实施例中，所述安全策略对应的安全动作至少包括策略动作、杀毒检测以及威胁引擎动作。
26.本公开实施例提供了一种数据流量处理装置，所述装置包括：
27.安全策略矩阵表获取模块，用于获取安全策略矩阵表，所述安全策略矩阵表包括至少两个安全策略，所述安全策略矩阵表是根据所述至少两个安全策略分别对应的源互联网协议、目的互联网协议以及安全动作得到的，所述至少两个安全策略分别对应的源互联网协议、目的互联网协议不同；
28.匹配模块，用于根据所述安全策略矩阵表，对数据流量进行匹配处理，获取与所述数据流量相匹配的预设安全策略；
29.执行模块，用于根据所述预设安全策略，对所述数据流量执行预设安全动作，其中，所述预设安全动作与所述预设安全策略相对应。
30.本公开实施例提供了一种电子设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现本公开任意实施例所提供的一种数据流量处理方法的步骤。
31.本公开实施例提供了一种计算机可读存储介质，其上存储有计算机程序，所述计
算机程序被处理器执行时实现本公开任意实施例所提供的一种数据流量处理方法的步骤。
32.本公开实施例所提供的数据流量处理方法、装置、电子设备和计算机可读存储介质，采用该方式通过构建安全策略矩阵表，将每个安全策略对应的源互联网协议、目的互联网协议以及安全动作进行标记，且安全策略矩阵表中的任意两个安全策略对应的源互联网协议和目的互联网协议均不相同，以此避免安全策略矩阵表具有重复以及冲突的冗余策略，从而在对数据流量进行匹配处理以及执行相对应的安全动作时，能够提高安全策略的执行效率。
附图说明
33.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。
34.为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
35.图1为本公开实施例提供的一种数据流量处理方法的流程示意图；
36.图2为本公开实施例提供的另一种数据流量处理方法的流程示意图；
37.图3为本公开实施例提供的再一种数据流量处理方法的流程示意图；
38.图4为本公开实施例提供的又一种数据流量处理方法的流程示意图；
39.图5为本公开实施例提供的又一种数据流量处理方法的流程示意图；
40.图6为本公开实施例提供的又一种数据流量处理方法的流程示意图；
41.图7为本公开实施例提供的一种数据流量处理装置的结构示意图。
具体实施方式
42.为了能够更清楚地理解本公开的上述目的、特征和优点，下面将对本公开的方案进行进一步描述。需要说明的是，在不冲突的情况下，本公开的实施例及实施例中的特征可以相互组合。
43.在下面的描述中阐述了很多具体细节以便于充分理解本公开，但本公开还可以采用其他不同于在此描述的方式来实施；显然，说明书中的实施例只是本公开的一部分实施例，而不是全部的实施例。
44.随着互联网的不断发展，网络安全威胁以及网络攻击越来越多，为了确保计算机系统、网络服务器以及通信链路的安全性，大量的安全设备被部署到网络中，安全设备通过利用大量的安全策略，从而阻断网络安全威胁以及网络攻击，安全策略是一种部署在入侵防御系统或防火墙上的用于对符合指定条件的报文执行动作的控制策略，能够有效的抵御网络安全威胁、以及网络攻击。
45.目前，通过将安全策略以字符的形式进行保存，生成相对应的文本文件，并以人为的方式将安全策略输入至安全设备中，从而利用安全设备阻断网络威胁以及网络攻击。但是，采用现有技术，存在大量重复和冲突的冗余策略，且安全设备在执行相对应的安全策略时，需要对包含安全策略的文本文件进一步进行解析处理，导致对安全策略的执行效率较低。
46.本公开提供一种数据流量处理方法、装置、设备和计算机存储介质，通过获取安全策略矩阵表，安全策略矩阵表包括至少两个安全策略，安全策略矩阵表是根据至少两个安全策略分别对应的源互联网协议、目的互联网协议以及安全动作得到的，至少两个安全策略分别对应的源互联网协议、目的互联网协议不同；根据安全策略矩阵表，对数据流量进行匹配处理，获取与数据流量相匹配的预设安全策略；根据预设安全策略，对数据流量执行预设安全动作，其中，预设安全动作与预设安全策略相对应。这样，通过构建安全策略矩阵表，将每个安全策略对应的源互联网协议、目的互联网协议以及安全动作进行标记，且安全策略矩阵表中的任意两个安全策略对应的源互联网协议和目的互联网协议均不相同，以此避免安全策略矩阵表具有重复以及冲突的冗余策略，从而在对数据流量进行匹配处理以及执行相对应的安全动作时，能够提高安全策略的执行效率。
47.在一个实施例中，如图1所示，图1为本公开实施例提供的一种数据流量处理方法的流程示意图，具体包括以下步骤：
48.s101：获取安全策略矩阵表。
49.其中，安全策略矩阵表包括至少两个安全策略，安全策略矩阵表是根据至少两个安全策略分别对应的源互联网协议、目的互联网协议以及安全动作得到的，至少两个安全策略分别对应的源互联网协议、目的互联网协议不同，安全策略是一种部署在入侵防御系统或防火墙上的用于对符合指定条件的报文执行动作的控制策略，用来保护计算机系统、网络服务器以及通信链路等受到网络攻击。安全策略矩阵表是根据安全策略集中的安全策略构建的，针对每个安全策略，安全策略矩阵表包含了每个安全策略对应的源互联网协议、目的互联网协议以及安全动作，其中，该安全动作包括策略动作例如阻断、否认和放行等、杀毒检测、入侵防御系统(intrusion prevention system,ips)检测等，但不限于此，本公开不具体限制。需要说明的是，安全策略矩阵表具体应用于网络安全设备，例如该网络安全设备可以是ip协议密码机、安全路由器、线路密码机、传真密码机、异步数据密码机、安全服务器、安全加密套件、金融加密机、安全操作系统、防病毒软件、入侵检测系统等，但不限于此，本公开不具体限制。
50.具体的，网络安全设备例如安全路由器获取由安全策略的源互联网协议、目的互联网协议、以及安全动作构建安全策略矩阵表，例如可以将构建的安全策略矩阵表发送至网络安全设备中，也可以是由其自身根据安全策略集进行构建，从而获取安全策略矩阵表，但不限于此，本公开不具体限制。
51.需要说明的是，在网络安全设备获取到安全策略矩阵表之后，将该安全策略矩阵表以数据结构的形式进行保存，该数据结构中可以包括一条或者多条安全策略的信息，本公开不具体限制，对于该数据结构，将其转换成对应的二进制可执行文件，可执行文件是指即可以由操作系统进行加载执行的文件，在不同的操作系统环境下，可执行程序的呈现方式不同。
52.s102：根据安全策略矩阵表，对数据流量进行匹配处理，获取与数据流量相匹配的预设安全策略。
53.其中，数据流量是指在计算机网络中进行数据传输和处理时，由于需要上网或使用相关数据增值业务而产生的数据流量，该数据流量例如可以是通用分组无线服务技术(general packet radio service，gprs)，但不限于此，本公开不具体限制。预设安全策略
是指根据数据流量的属性信息与安全策略矩阵表中的属性信息相匹配获取得到的安全策略，其中，该属性信息可以包括源互联网协议、源端口、目的互联网协议、目的端口以及网络数据交换规则(protocol)例如传输控制协议(transmission control protocol，tcp)、用户数据报协议(user datagram protocol，udp)等连接的信息，但不限于此，本公开不具体限制。需要说明的是，在本实施例中，通过获取当前数据流量的源互联网协议以及目的互联网协议，与安全策略矩阵表中所包含的安全策略进行匹配处理，从而获取数据流量对应的预设安全策略。
54.具体的，根据获取的安全策略矩阵表，获取当前数据流量的源互联网协议以及目的互联网协议，与安全策略矩阵表中所包含的安全策略进行匹配处理，若当前数据流量的源互联网协议以及目的互联网协议与安全策略矩阵表中所包含的一个安全策略对应的源互联网协议以及目的互联网协议相同时，即该安全策略为当前数据流量相匹配的预设安全策略。
55.s103：根据预设安全策略，对数据流量执行预设安全动作。
56.其中，预设安全动作与预设安全策略相对应，该预设安全动作包括策略动作如阻断、否认和放行等、杀毒检测、入侵防御系统(intrusion prevention system,ips)检测等，但不限于此，本公开不具体限制。
57.具体的，根据获取的安全策略矩阵表，以及当前数据流量的源互联网协议以及目的互联网协议，获取当前数据流量相匹配的预设安全策略，在安全策略矩阵表中，查找预设安全策略对应的预设安全动作，对数据流量执行预设安全动作。
58.示例性的，当在计算机网络中传输一报文时，网络安全设备对接收到的报文进行解析处理，得到该报文的属性信息如源互联网协议以及目的互联网协议，将该报文的源互联网协议以及目的互联网协议与安全策略矩阵表中包含的安全策略进行匹配，得到与其相匹配的预设安全策略，并根据该预设安全策略对应的预设安全动作例如为放行，则对该报文执行放行的操作，但不限于此，本公开不具体限制。
59.这样，本实施例通过获取安全策略矩阵表，安全策略矩阵表包括至少两个安全策略，安全策略矩阵表是根据至少两个安全策略分别对应的源互联网协议、目的互联网协议以及安全动作得到的，至少两个安全策略分别对应的源互联网协议、目的互联网协议不同；根据安全策略矩阵表，对数据流量进行匹配处理，获取与数据流量相匹配的预设安全策略；根据预设安全策略，对数据流量执行预设安全动作，其中，预设安全动作与预设安全策略相对应。这样，通过构建安全策略矩阵表，将每个安全策略对应的源互联网协议、目的互联网协议以及安全动作进行标记，且安全策略矩阵表中的任意两个安全策略对应的源互联网协议和目的互联网协议均不相同，以此避免安全策略矩阵表具有重复以及冲突的冗余策略，从而在对数据流量进行匹配处理以及执行相对应的安全动作时，能够提高安全策略的执行效率。
60.图2为本公开实施例提供的另一种数据流量处理方法的流程示意图，图2是在图1所示实施例的基础上，进一步地，如图2所示：在执行s101之前还包括：
61.s100：根据安全策略的源互联网协议以及安全策略的目的互联网协议，建立安全策略矩阵表。
62.其中，安全策略矩阵表为空矩阵表，安全策略的目的互联网协议为安全策略矩阵
表的列方向，安全策略的源互联网协议为安全策略矩阵表的行方向，该空矩阵表用来保存安全策略集中的所有安全策略。
63.具体的，在获取安全策略矩阵表之前，构建一个空的安全策略矩阵表，该安全策略矩阵表的列方向为每条安全策略对应的目的互联网协议，安全策略矩阵表的行方向为每条安全策略对应的源互联网协议。
64.这样，本实施例通过构建一个以安全策略的目的互联网协议为列方向，安全策略的源互联网协议为行方向的空安全策略矩阵表，进一步根据安全策略建立安全策略矩阵表，避免安全策略矩阵表具有重复以及冲突的冗余策略，能够提高安全策略的执行效率。
65.图3为本公开实施例提供的再一种数据流量处理方法的流程示意图，进一步地，建立安全策略矩阵表的一种可能的实现方式的描述，如图3所示：
66.s301：基于安全策略集，依次提取安全策略。
67.其中，安全策略集包括至少两个安全策略，该安全策略集中可能存在目的互联网协议、源互联网协议以及安全动作相同的冗余策略，也可能存在目的互联网协议相同，源互联网协议以及安全动作不同的冗余策略等，但不限于此，本公开不具体限制。
68.s302：在当前安全策略为安全策略集中的首个安全策略的情况下，将首个安全策略的目的互联网协议标记在安全策略矩阵表的列方向的首个标记点，将首个安全策略的源互联网协议标记在安全策略矩阵表的行方向的首个标记点，将首个安全策略的安全动作标记在安全策略矩阵表的列方向与安全策略矩阵表的行方向的交汇点上。
69.具体的，根据安全策略集中包括的多个安全策略，依次提取安全策略作为当前安全策略，对于当前安全策略，若当前安全策略为安全策略集中的首个安全策略，将该首个安全策略的目的互联网协议标记在安全策略矩阵表的列方向的首个标记点，将首个安全策略的源互联网协议标记在安全策略矩阵表的行方向的首个标记点，将首个安全策略的安全动作标记在安全策略矩阵表的列方向与行方向的交汇点上，即将安全策略集中的首个安全策略作为建立安全策略矩阵表中的第一个进行标记的安全策略。
70.示例性的，根据安全策略集中的多个安全策略，提取当前安全策略，对于当前安全策略为安全策略集中的首个安全策略时，将该首个安全策略的目的互联网协议例如98.76.54.32标记在安全策略矩阵表的列方向的首个标记点，将首个安全策略的源互联网协议例如192.168.1.10标记在安全策略矩阵表的行方向的首个标记点，将首个安全策略的安全动作例如策略动作如阻断、否认以及放行等、杀毒检测、ips检测等标记在安全策略矩阵表的列方向与行方向的交汇点上，即将安全策略集中的首个安全策略作为建立安全策略矩阵表中的第一个进行标记的安全策略，但不限于此，本公开不具体限制。
71.需要说明的是，在构建安全策略矩阵表时，通过在安全策略集中依次提取安全策略，直至安全策略集中的所有安全策略均被提取，从而避免在构建安全策略矩阵表时，存在将安全策略未进行标记的问题。
72.这样，本实施例通过提取安全策略集中的安全策略，并将安全策略集中的首个安全策略作为安全策略矩阵表中列方向、行方向的首个标记点，同时在列方向以及行方向的交汇点处标记首个安全策略对应的安全动作，以此建立不具有重复与冲突的冗余策略的安全策略矩阵表，提高安全策略的执行效率。
73.图4为本公开实施例提供的又一种数据流量处理方法的流程示意图，图4是在图3
所示实施例的基础上，进一步地，建立安全策略矩阵表的实现方式的描述，如图4所示：
74.s401：在当前安全策略为安全策略集中的第二个安全策略以及第二个安全策略之后的安全策略的情况下，判断当前安全策略的目的互联网协议是否标记在安全策略矩阵表的列方向上。
75.具体的，从安全策略集中提取第二个安全策略作为当前安全策略，并判断当前安全策略对应的目的互联网协议与安全策略矩阵表的列方向上已经标记的目的互联网协议是否相同。
76.s402：若当前安全策略的目的互联网协议标记在安全策略矩阵表的列方向上，则将当前安全策略的目的互联网协议在安全策略矩阵表的列方向上不进行标记。
77.具体的，若当前安全策略对应的目的互联网协议与安全策略矩阵表的列方向上已经标记的目的互联网协议相同，则表示当前安全策略的目的互联网协议已经被标记在安全策略矩阵表的列方向上，则不进行标记处理。
78.s403：若当前安全策略的目的互联网协议未标记在安全策略矩阵表的列方向上，则将当前安全策略的目的互联网协议标记在安全策略矩阵表的列方向上。
79.具体的，若当前安全策略的目的互联网协议与安全策略矩阵表的列方向上已经标记的目的互联网协议不相同时，则表示当前安全策略的目的互联网协议未被标记在安全策略矩阵表的列方向上，则将当前安全策略的目的互联网协议标记在安全策略矩阵表的列方向上。
80.需要说明的是，对于安全策略集的第二个安全策略以及第二个安全策略之后的所有安全策略，基于已经标记在安全策略矩阵表上的安全策略对应的目的互联网协议进行比较判断，从而判断其对应的目的互联网协议是否被标记在安全策略矩阵表上。
81.示例性的，根据安全策略集中的多个安全策略，依次提取安全策略，将首个安全策略的目的互联网协议例如98.76.54.32标记在安全策略矩阵表的列方向的首个标记点，将首个安全策略的源互联网协议例如192.168.1.10标记在安全策略矩阵表的行方向的首个标记点，将首个安全策略的安全动作例如策略动作如阻断、否认以及放行等、杀毒检测、ips检测等标记在安全策略矩阵表的列方向与行方向的交汇点上，进一步的确定第二个安全策略的目的互联网协议例如12.34.56.78与安全策略矩阵表的列方向的已标记目的互联网协议例如98.76.54.32不相同时，将第二个安全策略的目的互联网协议例如12.34.56.78标记在安全策略矩阵表的列方向上，但不限于此，本公开不具体限制。
82.这样，本实施例通过将提取的安全策略的目的互联网协议与安全策略矩阵表的列方向上已经进行标记的目的互联网协议进行比较判断，当不同时，才会将当前安全策略的目的互联网协议标记在安全策略矩阵表的列方向上，从而避免了在建立的安全策略矩阵表中存在目的互联网协议相同的冗余策略，提高安全策略的执行效率。
83.图5为本公开实施例提供的又一种数据流量处理方法的流程示意图，图5是在图4所示实施例的基础上，进一步地，对建立安全策略矩阵表的的实现方式的描述，如图5所示：
84.s501：确定当前安全策略的目的互联网协议标记在安全策略矩阵表的列方向上。
85.s502：判断当前安全策略的源互联网协议是否标记在安全策略矩阵表的行方向上。
86.s503：若当前安全策略的源互联网协议标记在安全策略矩阵表的行方向上，则将
当前安全策略的源互联网协议在安全策略矩阵表的行方向上不进行标记。
87.s504：若当前安全策略的源互联网协议未标记在安全策略矩阵表的行方向上，则将当前安全策略的源互联网协议标记在安全策略矩阵表的行方向上。
88.具体的，当确定当前安全策略对应的目的互联网协议已经被标记在安全策略矩阵表的列方向上。进一步的判断当前安全策略对应的源互联网协议与安全策略矩阵表的行方向上已经标记的源互联网协议是否相同，若相同，则表示当前安全策略对应的源互联网协议已经被标记在安全策略矩阵表的列方向上，则不进行标记处理。若当前安全策略对应的源互联网协议与安全策略矩阵表的行方向上已经标记的源互联网协议不相同时，则表示当前安全策略对应的源互联网协议未被标记在安全策略矩阵表的行方向上，则将当前安全策略对应的源互联网协议标记在安全策略矩阵表的行方向上。
89.示例性的，根据安全策略集中的多个安全策略，依次提取安全策略，将首个安全策略的目的互联网协议例如98.76.54.32标记在安全策略矩阵表的列方向的首个标记点，将首个安全策略的源互联网协议例如192.168.1.10标记在安全策略矩阵表的行方向的首个标记点，将首个安全策略的安全动作例如策略动作如阻断、否认以及放行等、杀毒检测、ips检测等标记在安全策略矩阵表的列方向与安全策略矩阵表的行方向的交汇点上，确定第二个安全策略的目的互联网协议例如12.34.56.78已经被标记在安全策略矩阵表的列方向上时，进一步的确定第二个安全策略的源互联网协议例如192.168.1.11与安全策略矩阵表的列方向的已标记源互联网协议例如192.168.1.10不相同时，将第二个安全策略的源互联网协议例如192.168.1.11标记在安全策略矩阵表的行方向上，但不限于此，本公开不具体限制。
90.这样，本实施例通过在确定当前安全策略的目的互联网协议已经标记在安全策略矩阵表色列方向上时，将安全策略的源互联网协议与安全策略矩阵表的行方向上标记的源互联网协议进行比较判断，当不同时，才会将当前安全策略的源互联网协议标记在安全策略矩阵表的行方向上，从而避免了在建立的安全策略矩阵表中存在源互联网协议相同的冗余策略，提高安全策略的执行效率。
91.图6为本公开实施例提供的又一种数据流量处理方法的流程示意图，图6是在图5所示实施例的基础上，进一步地，对建立安全策略矩阵表的的实现方式的描述，如图6所示：
92.s601：若确定当前安全策略的源互联网协议标记在安全策略矩阵表的行方向上。
93.s602：判断当前安全策略的安全动作是否标记在安全策略矩阵表的列方向与安全策略矩阵表的行方向的交汇点上。
94.s603：若当前安全策略的安全动作标记在安全策略矩阵表的列方向与安全策略矩阵表的行方向的交汇点上，则将当前安全策略的安全动作在安全策略矩阵表的列方向与安全策略矩阵表的行方向的交汇点上不进行标记。
95.s604：若当前安全策略的安全动作未标记在安全策略矩阵表的列方向与安全策略矩阵表的行方向的交汇点上，则将当前安全策略的安全动作标记在安全策略矩阵表的列方向与安全策略矩阵表的行方向的交汇点上。
96.具体的，当确定当前安全策略的目的互联网协议以及源互联网协议已经被标记在安全策略矩阵表的列方向与行方向上。进一步的判断当前安全策略对应的安全动作是否已经被标记安全策略矩阵表中的列方向与行方向的交汇点上，若在交汇点处标记的安全动作
与当前安全策略对应的安全动作相同，则不进行标记处理。若在交汇点处标记的安全动作与当前安全策略对应的安全动作不同，则将当前安全策略对应的安全动作在安全策略矩阵表中的列方向与行方向的交汇点上进行标记处理。
97.这样，本实施例通过在确定当前安全策略的目的互联网协议以及源互联网协议已经被标记在安全策略矩阵表的列方向与行方向上时，将安全策略的安全动作与安全策略矩阵表的列方向以及行方向的交汇点处的安全动作进行比较判断，当不同时，才会将当前安全策略的安全动作标记安全策略矩阵表的列方向以及行方向的交汇点处，从而避免了在建立的安全策略矩阵表中存在安全动作相同的冗余策略，提高安全策略的执行效率。
98.在上述实施例的基础上，本公开的一些实施例中，所述安全策略对应的安全动作至少包括策略动作、杀毒检测以及威胁引擎动作。。但不限于此，本公开不具体限制。
99.应该理解的是，虽然图1
‑
图6的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图1
‑
图6中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
100.在一个实施例中，如图7所示，提供了一种数据流量处理装置，包括：安全策略矩阵表获取模块110、匹配模块120、执行模块130，其中，安全策略矩阵表获取模块110，用于获取安全策略矩阵表，安全策略矩阵表包括至少两个安全策略，安全策略矩阵表是根据至少两个安全策略分别对应的源互联网协议、目的互联网协议以及安全动作得到的，至少两个安全策略分别对应的源互联网协议、目的互联网协议不同；匹配模块120，用于根据安全策略矩阵表，对数据流量进行匹配处理，获取与数据流量相匹配的预设安全策略；执行模块130，用于根据预设安全策略，对数据流量执行预设安全动作，其中，预设安全动作与预设安全策略相对应。
101.在本发明实施例一实施方式中，所述装置还包括，安全策略矩阵表建立模块，用于根据安全策略的源互联网协议以及安全策略的目的互联网协议，建立安全策略矩阵表，其中，安全策略矩阵表为空矩阵表，安全策略的目的互联网协议为安全策略矩阵表的列方向，安全策略的源互联网协议为安全策略矩阵表的行方向。
102.在本发明实施例一实施方式中，安全策略矩阵表建立模块，具体用于基于安全策略集，依次提取安全策略；其中，安全策略集包括至少两个安全策略；在当前安全策略为安全策略集中的首个安全策略的情况下，将首个安全策略的目的互联网协议标记在安全策略矩阵表的列方向的首个标记点，将首个安全策略的源互联网协议标记在安全策略矩阵表的行方向的首个标记点，将首个安全策略的安全动作标记在安全策略矩阵表的列方向与安全策略矩阵表的行方向的交汇点上。
103.在本发明实施例一实施方式中，安全策略矩阵表建立模块，具体还用于在当前安全策略为安全策略集中的第二个安全策略以及第二个安全策略之后的安全策略的情况下，判断当前安全策略的目的互联网协议是否标记在安全策略矩阵表的列方向上；若否，则将当前安全策略的目的互联网协议标记在安全策略矩阵表的列方向上。
104.在本发明实施例一实施方式中，安全策略矩阵表建立模块，具体还用于若确定当前安全策略的目的互联网协议标记在安全策略矩阵表的列方向上；判断当前安全策略的源互联网协议是否标记在安全策略矩阵表的行方向上；若否，则将当前安全策略的源互联网协议标记在安全策略矩阵表的行方向上。
105.在本发明实施例一实施方式中，安全策略矩阵表建立模块，具体还用于若确定当前安全策略的源互联网协议标记在安全策略矩阵表的行方向上；判断当前安全策略的安全动作是否标记在安全策略矩阵表的列方向与安全策略矩阵表的行方向的交汇点上；若否，则将当前安全策略的安全动作标记在安全策略矩阵表的列方向与安全策略矩阵表的行方向的交汇点上。
106.在本发明实施例一实施方式中，安全策略对应的安全动作至少包括策略动作、杀毒检测以及威胁引擎动作。
107.在上述实施例中，安全策略矩阵表获取模块110，用于获取安全策略矩阵表，安全策略矩阵表包括至少两个安全策略，安全策略矩阵表是根据至少两个安全策略分别对应的源互联网协议、目的互联网协议以及安全动作得到的，至少两个安全策略分别对应的源互联网协议、目的互联网协议不同；匹配模块120，用于根据安全策略矩阵表，对数据流量进行匹配处理，获取与数据流量相匹配的预设安全策略；执行模块130，用于根据预设安全策略，对数据流量执行预设安全动作，其中，预设安全动作与预设安全策略相对应。采用该方式通过构建安全策略矩阵表，将每个安全策略对应的源互联网协议、目的互联网协议以及安全动作进行标记，且安全策略矩阵表中的任意两个安全策略对应的源互联网协议和目的互联网协议均不相同，以此避免安全策略矩阵表具有重复以及冲突的冗余策略，从而在对数据流量进行匹配处理以及执行相对应的安全动作时，能够提高安全策略的执行效率。
108.关于数据流量处理装置的具体限定可以参见上文中对于数据流量处理方法的限定，在此不再赘述。上述数据流量处理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
109.在一个实施例中，提供了一种电子设备，包括存储器和处理器，该存储器存储有计算机程序，该处理器执行计算机程序时实现以下步骤：获取安全策略矩阵表，安全策略矩阵表包括至少两个安全策略，安全策略矩阵表是根据至少两个安全策略分别对应的源互联网协议、目的互联网协议以及安全动作得到的，至少两个安全策略分别对应的源互联网协议、目的互联网协议不同；根据安全策略矩阵表，对数据流量进行匹配处理，获取与数据流量相匹配的预设安全策略；根据预设安全策略，对数据流量执行预设安全动作，其中，预设安全动作与预设安全策略相对应。
110.在一个实施例中，处理器执行计算机程序时还实现以下步骤：获取安全策略矩阵表之前，还包括：根据安全策略的源互联网协议以及安全策略的目的互联网协议，建立安全策略矩阵表，其中，安全策略矩阵表为空矩阵表，安全策略的目的互联网协议为安全策略矩阵表的列方向，安全策略的源互联网协议为安全策略矩阵表的行方向。
111.在一个实施例中，处理器执行计算机程序时还实现以下步骤：基于安全策略集，依次提取安全策略；其中，安全策略集包括至少两个安全策略；在当前安全策略为安全策略集
中的首个安全策略的情况下，将首个安全策略的目的互联网协议标记在安全策略矩阵表的列方向的首个标记点，将首个安全策略的源互联网协议标记在安全策略矩阵表的行方向的首个标记点，将首个安全策略的安全动作标记在安全策略矩阵表的列方向与安全策略矩阵表的行方向的交汇点上。
112.在一个实施例中，处理器执行计算机程序时还实现以下步骤：在当前安全策略为安全策略集中的第二个安全策略以及第二个安全策略之后的安全策略的情况下，判断当前安全策略的目的互联网协议是否标记在安全策略矩阵表的列方向上；若否，则将当前安全策略的目的互联网协议标记在安全策略矩阵表的列方向上。
113.在一个实施例中，处理器执行计算机程序时还实现以下步骤：若确定当前安全策略的目的互联网协议标记在安全策略矩阵表的列方向上；判断当前安全策略的源互联网协议是否标记在安全策略矩阵表的行方向上；若否，则将当前安全策略的源互联网协议标记在安全策略矩阵表的行方向上。
114.在一个实施例中，处理器执行计算机程序时还实现以下步骤：若确定当前安全策略的源互联网协议标记在安全策略矩阵表的行方向上；判断当前安全策略的安全动作是否标记在安全策略矩阵表的列方向与安全策略矩阵表的行方向的交汇点上；若否，则将当前安全策略的安全动作标记在安全策略矩阵表的列方向与安全策略矩阵表的行方向的交汇点上。
115.在一个实施例中，处理器执行计算机程序时还实现以下步骤：安全策略对应的安全动作至少包括策略动作、杀毒检测以及威胁引擎动作。
116.在上述实施例中，通过获取安全策略矩阵表，安全策略矩阵表包括至少两个安全策略，安全策略矩阵表是根据至少两个安全策略分别对应的源互联网协议、目的互联网协议以及安全动作得到的，至少两个安全策略分别对应的源互联网协议、目的互联网协议不同；根据安全策略矩阵表，对数据流量进行匹配处理，获取与数据流量相匹配的预设安全策略；根据预设安全策略，对数据流量执行预设安全动作，其中，预设安全动作与预设安全策略相对应。这样，通过构建安全策略矩阵表，将每个安全策略对应的源互联网协议、目的互联网协议以及安全动作进行标记，且安全策略矩阵表中的任意两个安全策略对应的源互联网协议和目的互联网协议均不相同，以此避免安全策略矩阵表具有重复以及冲突的冗余策略，从而在对数据流量进行匹配处理以及执行相对应的安全动作时，能够提高安全策略的执行效率。
117.在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：获取安全策略矩阵表，安全策略矩阵表包括至少两个安全策略，安全策略矩阵表是根据至少两个安全策略分别对应的源互联网协议、目的互联网协议以及安全动作得到的，至少两个安全策略分别对应的源互联网协议、目的互联网协议不同；根据安全策略矩阵表，对数据流量进行匹配处理，获取与数据流量相匹配的预设安全策略；根据预设安全策略，对数据流量执行预设安全动作，其中，预设安全动作与预设安全策略相对应。
118.在一个实施例中，计算机程序被处理器执行时实现以下步骤：获取安全策略矩阵表之前，还包括：根据安全策略的源互联网协议以及安全策略的目的互联网协议，建立安全策略矩阵表，其中，安全策略矩阵表为空矩阵表，安全策略的目的互联网协议为安全策略矩
阵表的列方向，安全策略的源互联网协议为安全策略矩阵表的行方向。
119.在一个实施例中，计算机程序被处理器执行时实现以下步骤：基于安全策略集，依次提取安全策略；其中，安全策略集包括至少两个安全策略；在当前安全策略为安全策略集中的首个安全策略的情况下，将首个安全策略的目的互联网协议标记在安全策略矩阵表的列方向的首个标记点，将首个安全策略的源互联网协议标记在安全策略矩阵表的行方向的首个标记点，将首个安全策略的安全动作标记在安全策略矩阵表的列方向与安全策略矩阵表的行方向的交汇点上。
120.在一个实施例中，计算机程序被处理器执行时实现以下步骤：在当前安全策略为安全策略集中的第二个安全策略以及第二个安全策略之后的安全策略的情况下，判断当前安全策略的目的互联网协议是否标记在安全策略矩阵表的列方向上；若否，则将当前安全策略的目的互联网协议标记在安全策略矩阵表的列方向上。
121.在一个实施例中，计算机程序被处理器执行时实现以下步骤：若确定当前安全策略的目的互联网协议标记在安全策略矩阵表的列方向上；判断当前安全策略的源互联网协议是否标记在安全策略矩阵表的行方向上；若否，则将当前安全策略的源互联网协议标记在安全策略矩阵表的行方向上。
122.在一个实施例中，计算机程序被处理器执行时实现以下步骤：若确定当前安全策略的源互联网协议标记在安全策略矩阵表的行方向上；判断当前安全策略的安全动作是否标记在安全策略矩阵表的列方向与安全策略矩阵表的行方向的交汇点上；若否，则将当前安全策略的安全动作标记在安全策略矩阵表的列方向与安全策略矩阵表的行方向的交汇点上。
123.在一个实施例中，计算机程序被处理器执行时实现以下步骤：安全策略对应的安全动作至少包括策略动作、杀毒检测以及威胁引擎动作。
124.在上述实施例中，通过获取安全策略矩阵表，安全策略矩阵表包括至少两个安全策略，安全策略矩阵表是根据至少两个安全策略分别对应的源互联网协议、目的互联网协议以及安全动作得到的，至少两个安全策略分别对应的源互联网协议、目的互联网协议不同；根据安全策略矩阵表，对数据流量进行匹配处理，获取与数据流量相匹配的预设安全策略；根据预设安全策略，对数据流量执行预设安全动作，其中，预设安全动作与预设安全策略相对应。这样，通过构建安全策略矩阵表，将每个安全策略对应的源互联网协议、目的互联网协议以及安全动作进行标记，且安全策略矩阵表中的任意两个安全策略对应的源互联网协议和目的互联网协议均不相同，以此避免安全策略矩阵表具有重复以及冲突的冗余策略，从而在对数据流量进行匹配处理以及执行相对应的安全动作时，能够提高安全策略的执行效率。
125.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本公开所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read
‑
only memory，rom)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形
式可得，比如静态随机存取存储器(static random access memory，sram)和动态随机存取存储器(dynamic random access memory，dram)等。
126.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
127.以上所述实施例仅表达了本公开的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本公开构思的前提下，还可以做出若干变形和改进，这些都属于本公开的保护范围。因此，本公开专利的保护范围应以所附权利要求为准。