[发明专利]使用预分类来实施网络安全策略

权利要求书

1.一种用于实施网络安全策略的系统，包括：

至少一个计算机处理器；以及

包括计算机程序代码的至少一个存储器，所述计算机程序代码被配置为使所述至少一个计算机处理器：

根据网络安全策略创建针对网络业务属性的预分类器层，所述预分类器层具有针对与所述网络业务属性相关联的一组元素中的每个元素的预分类器过滤器；

在所述预分类器层中，基于所述网络业务属性对入站网络业务或出站网络业务进行分类；

基于在所述预分类器层中对所述网络业务进行分类，为每个预分类器过滤器设置预分类器位阵列中的位，其中所述位表示所述网络业务的分类；以及

在网络安全层中，基于所述预分类器位阵列中的所述位，允许或拒绝所述网络业务。

2.根据权利要求1所述的系统，其中所述预分类器层是一维的，并且所述网络安全层是多维的。

3.根据权利要求1所述的系统，所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个计算机处理器一起还使所述至少一个计算机处理器：

在所述网络安全层中，将过滤器条件与所述预分类器位阵列中的所述位进行比较；

在所述网络安全层中，基于将所述过滤器条件与所述预分类器位阵列中的所述位进行的所述比较的结果，允许或拒绝所述网络业务。

4.根据权利要求1所述的系统，其中对所述网络业务进行分类包括：通过对网络业务属性值进行散列，将所述网络业务属性值与所述一组元素进行比较。

5.根据权利要求4所述的系统，其中所述网络业务属性是地址，并且将所述网络业务属性值与所述一组元素进行比较包括搜索由子网组成的前缀树。

6.根据权利要求5所述的系统，其中设置所述预分类器位阵列中的位还包括：为所述前缀树中的每个测试节点设置所述预分类器位阵列中的位，每个设置位表示所述网络业务属性值与关联于节点的子网相匹配。

7.根据权利要求3所述的系统，其中将所述过滤器条件与所述预分类器位阵列中的所述位进行比较包括：对所述预分类器位阵列执行按位运算。

8.根据权利要求1所述的系统，其中所述网络安全层包括网络层、传输层或应用层中的至少一项。

9.根据权利要求1所述的系统，其中所述网络业务与以下中的至少一项相关联：传输控制协议(TCP)、用户数据报协议(UDP)、超文本传输协议(HTTP)、文件传输协议(FTP)、简单邮件传输协议(SMTP)或Telnet。

10.根据权利要求1所述的系统，所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个计算机处理器一起还使所述至少一个计算机处理器：

由控制器接收所述网络安全策略；

由所述控制器根据所述网络安全策略来配置所述网络安全层。

11.一种用于实施网络安全策略的计算机化方法，包括：

由计算机处理器接收网络业务；

根据网络安全策略创建针对至少一个网络业务属性的至少一个预分类器层，所述至少一个预分类器层具有针对与所述至少一个网络业务属性相关联的一组元素中的每个元素的预分类器过滤器；

在所述至少一个预分类器层中，基于所述至少一个网络业务属性对所述网络业务进行分类；

由所述处理器基于在所述至少一个预分类器层中对所述网络业务进行分类的至少一个结果来填充至少一个预分类器位阵列，所述填充包括：基于在所述预分类器层中对所述网络业务进行分类，为每个预分类器过滤器设置所述至少一个预分类器位阵列中的位，其中所述位表示所述网络业务的分类；

在至少一个网络安全层中，基于所述预分类器位阵列中的所述位，允许或拒绝所述网络业务。

12.根据权利要求11所述的计算机化方法，其中所述至少一个预分类器层是一维的，并且所述至少一个网络安全层是多维的。