本發(fā)明涉及工業(yè)控制系統(tǒng)網(wǎng)絡(luò)技術(shù)領(lǐng)域，具體來(lái)說(shuō)，涉及一種用于加速工控防火墻規(guī)則匹配的方法。

背景技術(shù)：

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)是由工業(yè)自動(dòng)化生產(chǎn)設(shè)備組成的網(wǎng)絡(luò)，不同于IT網(wǎng)絡(luò)，工控網(wǎng)絡(luò)有著專有的通信協(xié)議和通信機(jī)制，對(duì)網(wǎng)絡(luò)實(shí)時(shí)性要求更高。根據(jù)工控網(wǎng)絡(luò)的特點(diǎn)，西安兗礦提出了提出“白環(huán)境”的解決方案，即“只有可信任的設(shè)備，才能接入控制網(wǎng)絡(luò)；只有可信任的消息，才能在網(wǎng)絡(luò)上傳輸；只有可信任的軟件，才允許被執(zhí)行”。

由于工控防火墻需要實(shí)時(shí)攔截網(wǎng)絡(luò)數(shù)據(jù)包并進(jìn)行白名單規(guī)則匹配確定是否放行，工作過(guò)程勢(shì)必會(huì)造成網(wǎng)絡(luò)數(shù)據(jù)的延遲。為了盡量降低對(duì)原有工業(yè)系統(tǒng)造成的影響，數(shù)據(jù)延遲已經(jīng)成為衡量工業(yè)防火墻的重要性能指標(biāo)。

現(xiàn)有工業(yè)防火墻主要采用黑名單和白名單兩種技術(shù)辨別數(shù)據(jù)包是否合法，根據(jù)預(yù)先設(shè)定的規(guī)則進(jìn)行后續(xù)處理(通過(guò)，丟棄或告警等)。所以當(dāng)有工業(yè)協(xié)議數(shù)據(jù)包經(jīng)過(guò)防火墻后，防火墻首先進(jìn)行協(xié)議解碼，解出若干關(guān)鍵字段。然后與預(yù)制的黑名單或者白名單規(guī)則進(jìn)行逐條比較，直到找到匹配項(xiàng)或者所有規(guī)則逐一比較后均無(wú)匹配項(xiàng)目，最后做出處理。現(xiàn)有的相關(guān)技術(shù)還存在如下幾個(gè)缺點(diǎn)：

1.當(dāng)黑白名單規(guī)則條目較多的時(shí)候，明顯增加匹配時(shí)間；

2.一個(gè)數(shù)據(jù)包是否可以快速匹配，取決于對(duì)應(yīng)規(guī)則的存放順序；

3.對(duì)于高頻率出現(xiàn)的數(shù)據(jù)包，不能優(yōu)先快速匹配。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于提出一種用于加速工控防火墻規(guī)則匹配的方法，能夠根據(jù)網(wǎng)絡(luò)數(shù)據(jù)報(bào)文情況，自動(dòng)調(diào)整優(yōu)化規(guī)則匹配方式。

為實(shí)現(xiàn)上述發(fā)明目的，本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的：

一種用于加速工控防火墻規(guī)則匹配的方法，包括以下步驟：

1)對(duì)網(wǎng)絡(luò)數(shù)據(jù)報(bào)文進(jìn)行解碼，得出若干關(guān)鍵字段信息；

2)將白名單規(guī)則列表分成三組，分別記為高頻率規(guī)則表、中頻率規(guī)則表和低頻率規(guī)則表，并使用傳統(tǒng)方法組織存放；

3)將經(jīng)過(guò)步驟1)處理后的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文與高頻率規(guī)則表進(jìn)行匹配，如果匹配成功則結(jié)束，進(jìn)行匹配成功處理，如果匹配失敗，則進(jìn)入步驟4)；

4)將經(jīng)過(guò)步驟1)處理后的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文與中頻率規(guī)則表進(jìn)行匹配，如果匹配成功則結(jié)束，進(jìn)行匹配成功處理，如果匹配失敗，則進(jìn)入步驟5)；

5)將經(jīng)過(guò)步驟1)處理后的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文與低頻率規(guī)則表進(jìn)行匹配，如果匹配成功則結(jié)束，進(jìn)行匹配成功處理，如果匹配失敗，則進(jìn)行匹配失敗處理。

進(jìn)一步的，步驟2)中，所述傳統(tǒng)方法為以首字段進(jìn)行排序的方法。

進(jìn)一步的，設(shè)定高頻率規(guī)則、中頻率規(guī)則和低頻率規(guī)則的初始化權(quán)重均為零，以及設(shè)定高頻率規(guī)則、中頻率規(guī)則和低頻率規(guī)則相互轉(zhuǎn)化的規(guī)則，所述相互轉(zhuǎn)化的規(guī)則如下：

設(shè)定將高頻率規(guī)則轉(zhuǎn)移到中頻率規(guī)則表的第一權(quán)重閾值、將中頻率規(guī)則轉(zhuǎn)移到低頻率規(guī)則表的第二權(quán)重閾值、將中頻率規(guī)則轉(zhuǎn)移到高頻率規(guī)則表的第三權(quán)重閾值和將低頻率規(guī)則轉(zhuǎn)移到中頻率規(guī)則表的第四權(quán)重閾值，經(jīng)過(guò)步驟1)處理過(guò)的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文與白名單規(guī)則列表進(jìn)行匹配時(shí)，若匹配成功，則對(duì)應(yīng)用來(lái)匹配的規(guī)則的權(quán)重加一，若匹配不成功，則對(duì)應(yīng)用來(lái)匹配的規(guī)則的權(quán)重減一，當(dāng)?shù)皖l率規(guī)則的權(quán)重達(dá)到第四權(quán)重閾值時(shí)，將所述低頻率規(guī)則轉(zhuǎn)移到中頻率規(guī)則表作為新的中頻率規(guī)則，當(dāng)中頻率規(guī)則的權(quán)重達(dá)到第三權(quán)重閾值時(shí)，將所述中頻率規(guī)則轉(zhuǎn)移到高頻率規(guī)則表作為新的高頻率規(guī)則，當(dāng)高頻率規(guī)則的權(quán)重達(dá)到第一權(quán)重閾值時(shí)，將所述高頻率規(guī)則轉(zhuǎn)移到中頻率規(guī)則表作為新的中頻率規(guī)則，當(dāng)中頻率規(guī)則的權(quán)重達(dá)到第二權(quán)重閾值時(shí)，將所述中頻率規(guī)則轉(zhuǎn)移到低頻率規(guī)則表作為新的低頻率規(guī)則。

進(jìn)一步的，初始化階段將白名單規(guī)則列表隨機(jī)分為三組，并按照所述傳統(tǒng)方法進(jìn)行排序，規(guī)則轉(zhuǎn)移分組中，規(guī)則移除時(shí)不影響原有分組的排序，分組插入新的規(guī)則時(shí)根據(jù)首字段值使用二分法插入。

進(jìn)一步的，所述權(quán)重的計(jì)算周期設(shè)定為一分鐘，在所述一分鐘內(nèi)以所述高頻率規(guī)則、中頻率規(guī)則和低頻率規(guī)則所占比例分別為30％、40％和30％的標(biāo)準(zhǔn)自動(dòng)進(jìn)行第一權(quán)重閾值、第二權(quán)重閾值、第三權(quán)重閾值和第四權(quán)重閾值的調(diào)整。

進(jìn)一步的，所述第一權(quán)重閾值與第三權(quán)重閾值的大小相同，所述第二權(quán)重閾值與第四權(quán)重閾值的大小相同。

進(jìn)一步的，步驟1)中，所述關(guān)鍵字段信息包括功能碼、對(duì)象號(hào)、功能參數(shù)和訪問(wèn)路徑中的一項(xiàng)或多項(xiàng)。

本發(fā)明的有益效果：

1、使用頻率高的規(guī)則被放入高頻率分組優(yōu)先匹配，減少匹配比較時(shí)間；

2、根據(jù)現(xiàn)場(chǎng)數(shù)據(jù)使用情況隨時(shí)自動(dòng)調(diào)整優(yōu)先級(jí)，加快處理速度；

3、以原有的匹配方法為基礎(chǔ)，升級(jí)改動(dòng)量較小。

附圖說(shuō)明

圖1是本發(fā)明所述的相互轉(zhuǎn)化的規(guī)則的簡(jiǎn)要流程圖。

具體實(shí)施方式

下面結(jié)合本發(fā)明的附圖，對(duì)本發(fā)明的技術(shù)方案進(jìn)行清楚、完整地描述。

如圖1所示，本發(fā)明所述一種用于加速工控防火墻規(guī)則匹配的方法，包括以下步驟：

1)對(duì)網(wǎng)絡(luò)數(shù)據(jù)報(bào)文進(jìn)行解碼，得出若干關(guān)鍵字段信息；

2)將白名單規(guī)則列表分成三組，分別記為高頻率規(guī)則表、中頻率規(guī)則表和低頻率規(guī)則表，并使用傳統(tǒng)方法組織存放；

3)將經(jīng)過(guò)步驟1)處理后的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文與高頻率規(guī)則表進(jìn)行匹配，如果匹配成功則結(jié)束，進(jìn)行匹配成功處理，如果匹配失敗，則進(jìn)入步驟4)；

4)將經(jīng)過(guò)步驟1)處理后的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文與中頻率規(guī)則表進(jìn)行匹配，如果匹配成功則結(jié)束，進(jìn)行匹配成功處理，如果匹配失敗，則進(jìn)入步驟5)；

5)將經(jīng)過(guò)步驟1)處理后的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文與低頻率規(guī)則表進(jìn)行匹配，如果匹配成功則結(jié)束，進(jìn)行匹配成功處理，如果匹配失敗，則進(jìn)行匹配失敗處理。

為了方便理解本發(fā)明的上述技術(shù)方案，以下通過(guò)具體使用方式上對(duì)本發(fā)明的上述技術(shù)方案進(jìn)行詳細(xì)說(shuō)明。

具體操作時(shí)，首先根據(jù)端口號(hào)和協(xié)議指紋特征進(jìn)行協(xié)議識(shí)別，對(duì)不能識(shí)別的協(xié)議進(jìn)行放行處理，對(duì)能夠識(shí)別的協(xié)議按照協(xié)議規(guī)范解析取出報(bào)文負(fù)載信息。工業(yè)控制協(xié)議主要由功能碼、對(duì)象號(hào)、功能參數(shù)和訪問(wèn)路徑中一項(xiàng)或者多項(xiàng)組成，這些信息將作為白名單控制的關(guān)鍵字段信息。

初始化階段將白名單規(guī)則列表隨機(jī)分為三組，并按照傳統(tǒng)方法進(jìn)行排序，這里的傳統(tǒng)方法為以首字段進(jìn)行排序的方法。設(shè)定高頻率規(guī)則、中頻率規(guī)則和低頻率規(guī)則的初始化權(quán)重均為零，以一分鐘為權(quán)重值的統(tǒng)計(jì)周期，同時(shí)設(shè)定設(shè)定高頻率規(guī)則、中頻率規(guī)則和低頻率規(guī)則相互轉(zhuǎn)化的規(guī)則，所述相互轉(zhuǎn)化的規(guī)則如下：

設(shè)定將高頻率規(guī)則轉(zhuǎn)移到中頻率規(guī)則表的第一權(quán)重閾值、將中頻率規(guī)則轉(zhuǎn)移到低頻率規(guī)則表的第二權(quán)重閾值、將中頻率規(guī)則轉(zhuǎn)移到高頻率規(guī)則表的第三權(quán)重閾值和將低頻率規(guī)則轉(zhuǎn)移到中頻率規(guī)則表的第四權(quán)重閾值，經(jīng)過(guò)步驟1)處理過(guò)的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文與白名單規(guī)則列表進(jìn)行匹配時(shí)，若匹配成功，則對(duì)應(yīng)用來(lái)匹配的規(guī)則的權(quán)重加一，若匹配不成功，則對(duì)應(yīng)用來(lái)匹配的規(guī)則的權(quán)重減一，當(dāng)?shù)皖l率規(guī)則的權(quán)重達(dá)到第四權(quán)重閾值時(shí)，將所述低頻率規(guī)則轉(zhuǎn)移到中頻率規(guī)則表作為新的中頻率規(guī)則，當(dāng)中頻率規(guī)則的權(quán)重達(dá)到第三權(quán)重閾值時(shí)，將所述中頻率規(guī)則轉(zhuǎn)移到高頻率規(guī)則表作為新的高頻率規(guī)則，當(dāng)高頻率規(guī)則的權(quán)重達(dá)到第一權(quán)重閾值時(shí)，將所述高頻率規(guī)則轉(zhuǎn)移到中頻率規(guī)則表作為新的中頻率規(guī)則，當(dāng)中頻率規(guī)則的權(quán)重達(dá)到第二權(quán)重閾值時(shí)，將所述中頻率規(guī)則轉(zhuǎn)移到低頻率規(guī)則表作為新的低頻率規(guī)則。

在上述實(shí)施例中，所述第一權(quán)重閾值與第三權(quán)重閾值的大小相同或不同，所述第二權(quán)重閾值與第四權(quán)重閾值的大小相同或不同。并且，在每一個(gè)統(tǒng)計(jì)周期結(jié)束后，以所述高頻率規(guī)則、中頻率規(guī)則和低頻率規(guī)則所占比例分別為30％、40％和30％的標(biāo)準(zhǔn)自動(dòng)進(jìn)行第一權(quán)重閾值、第二權(quán)重閾值、第三權(quán)重閾值和第四權(quán)重閾值的調(diào)整。

在上述實(shí)施例中，對(duì)于匹配成功的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文，白名單系統(tǒng)放行所述網(wǎng)絡(luò)數(shù)據(jù)報(bào)文；對(duì)于匹配失敗的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文，白名單系統(tǒng)將所述網(wǎng)絡(luò)數(shù)據(jù)報(bào)文進(jìn)行攔截并向管理平臺(tái)發(fā)出告警信息。

為了保證白名單規(guī)則列表排序的有序性，在規(guī)則轉(zhuǎn)移分組中，規(guī)則移除時(shí)不影響原有分組的排序，分組插入新的規(guī)則時(shí)根據(jù)首字段值使用二分法插入。

以上所述僅為本發(fā)明的較佳實(shí)施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。