CN105516162B - 一种基于规则描述语言的动态配置过滤规则的方法 - Google Patents
一种基于规则描述语言的动态配置过滤规则的方法 Download PDFInfo
- Publication number
- CN105516162B CN105516162B CN201510958869.1A CN201510958869A CN105516162B CN 105516162 B CN105516162 B CN 105516162B CN 201510958869 A CN201510958869 A CN 201510958869A CN 105516162 B CN105516162 B CN 105516162B
- Authority
- CN
- China
- Prior art keywords
- session connection
- rule
- connection
- field
- integer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于规则描述语言的动态配置过滤规则的方法,所述方法主要包括:建立规则描述语言,建立会话连接,确定会话连接状态,进行过滤字段,匹配规则字段,赋予操作语句表达式,会话连接的操作动作,定义操作运算符,过滤字段字符的转换操作,进行动态过滤等。本发明所述方法的优越效果在于:基于规则描述语言动态过滤规则广泛适用于防火墙、网关、网络通讯处理机、各类带有网络接口的计算设备以及工业用的控制器等的有效过滤保护。
Description
技术领域
本发明涉及网络通讯设备的安全防护方法,更详细地说,涉及防火墙、网关、网络通讯处理机以及各类带有网络接口的计算设备、工业用的控制器、PLC、RTU中应用的网络过滤保护方法。
背景技术
在现有的防火墙、网关、网络通讯设备以及各类带有网络接口的计算设备,如计算机、工业用的控制器、PLC、RTU的过滤技术中,防火墙得到快速发展,典型的防火墙是用于对网络边界的保护或用于对于不同的安全域之间的网络通讯实施安全规则的过滤。
在现有技术中广泛应用的包过滤型的防火墙,是依据安全保护的原则,根据已知的网络帧的结构特征,如IP源地址、IP目的地址、协议类型、目的端口号(有时还包括MAC地址,源端口号)设置是否放行还是禁止的过滤规则,对网络帧进行匹配,为了保障安全性,有时还要对网络包中的有效数据内容进行分析匹配过滤。
现有的防火墙是根据已知的网络结构和可预见的网络数据内容设计过滤规则程序,开发成防火墙产品,在网络现场应用时根据用户的安全要求对过滤规则进行配置,然后下装到防火墙过滤模块中,启动防火墙进行防护过滤。
如果在防火墙应用中,出现了新的结构特征或对网络数据内容有了更多的过滤要求,而现有的防火墙设计没有能覆盖这些要求时,则需对防火墙软件进行修改,再升级更新防火墙,配置过滤规则后,实施新的网络安全保护。
在现有专利技术中,如专利公开号CN104519065,发明名称为一种支持过滤ModbusTCP协议的工控防火墙实现方法,所述方法包括如下步骤:
1)将防火墙设置为桥接模式,将Modbus TCP主站和Modbus TCP从站分别设置于防火墙不同的以太网接口上;
2)防火墙包过滤模块对所有进入防火墙的数据包进行系统安全检查;
3)管理员自定义数据包过滤规则,当数据包满足自定义数据包过滤规则时允许通过,否则将数据包丢弃;
4)防火墙包过滤模块对数据包是否为Modbus TCP协议进行检测,当数据包为Modbus TCP协议时允许通过,否则将数据包丢弃;
5)防火墙通过Modbus TCP模块进行Modbus TCP协议过滤。
上述专利申请在使用上具有局限性。
发明内容
为了克服现有技术中的缺陷,本发明提供的一种基于规则描述语言的动态配置过滤规则的方法。本发明所述方法的具体步骤如下:
步骤一、建立规则描述语言
1、建立会话连接
建立会话连接正向与会话连接逆向,即由客户机向服务器发出连接请求的方向,由关键字forward link(前向链路)整数表示,从0开始,0,1,2……;会话连接逆向,即由服务器向客户机做出响应的方向;由关键字backrward link(后向链路)整数表示,从0开始,0,1,2……;
其中,同一个会话连接中,会话连接正向和会话连接逆向的整数须相等。
2、确定会话连接状态
所述一个会话连接由两个或两个以上的状态组成,由关键字stat整数表示,整数从0开始,按序增加为0,1,2……;会话创建时的状态为会话开始状态,会话结束时为会话结束状态,
其中,所述会话开始状态、所述会话结束状态,其中,依据会话连接状况还能够包含会话连接其它多个状态,如客户机基于TCP的应用协议,向服务器发起连接的SYN帧时进入stat0,服务器同意建立连接发SYN、ACK帧时进入stat1,客户机收到后发ACK确认帧进入stat2,这就是所称的TCP建立连接时的三次交互的握手过程,同样TCP协议正常结束时有四次交互的断开连接的过程,这也能够用四个状态表示,这个TCP协议从建立连接到结束断开连接的过程就是一个会话,中间还应有有效数据的传输,它还可能由应用协议构成,中间还可分若干个状态,这取决于对其内容过滤的需要,上述会话连接状态的作用域为一个会话连接,包括会话连接正向和会话连接逆向。
3、进行过滤字段
过滤字段是指网络帧中的一段16进制字节数据,过滤字段的属性是:开始地址,从网络帧开始计算,以字节为单位;字段长度,以字节为单位。所述过滤字段表示为:filter整数(开始地址,字段长度),所述整数为0,1,2……,过滤字段的作用域为一个会话连接,包括话连接正向和会话连接逆向。
4、匹配规则字段
用于匹配网络帧中过滤字段的16进制字节数据,所述规则字段的属性是:字段长度,以字节为单位,所述规则字段以关键字加整数后缀表示为:rule整数(字段长度),所述整数为0,1,2……。
5、赋予操作语句表达式
所述赋予操作语句表达式是指用匹配规则字段对网络帧中的特定过滤字段进行比对时进行的操作,例如:对以下操作:
if(表达式)
{操作语句系列1;
}
else
{操作语句系列2;
};
可用例子解释为:
if(网络帧中的特定过滤字段==匹配规则字段)
{丢弃,并记日志;
}
else
{放行;
};
6、会话连接的操作动作
会话连接的操作动作是指用匹配规则字段对网络帧中的某一过滤字段进行比对后要采取的操作,会话连接的操作动作:1表示放行,2表示丢弃,3表示记日志,4表示创建新的会话连接,5表示转入另一个状态。
进一步的,会话连接的操作动作也能够是中间运算的结果,所述中间运算的结果是一个待过滤的帧的开始地址,待创建新的会话连接的TCP协议的目的端口号。
7、定义操作运算符
所述操作方法的操作运算符定义类似C语言,操作运算符包括运算符含义/运算符类型/结合方向等,用于对网络帧中的过滤字段进行操作。
8、过滤字段字符的转换操作
所述过滤字段字符的转换操作是指把两字节网络过滤字段字符,即用2字节表示数字的字符转换成两字节整数,把4字节的网络过滤字段数据转换成4字节的浮点数。
步骤二、动态过滤的实现
防火墙以包过滤状态检测技术为基础,并预置了:
(1)、动态增加深度过滤的接口;
(2)、预留了状态转换处理函数;
(3)、建立各类过滤算法库。
进一步的,如果在防火墙应用中,出现了新的结构特征或对网络数据内容有了进一步的过滤要求,而现有的防火墙设计未能覆盖这些要求时,则修改或设计防火墙软件,再升级更新防火墙,配置过滤规则后,再实现动态过滤,实施新的网络安全保护。
本发明对定义的规则语言所描述的过滤需求,能够实现对网络帧在任何地方、对任何长度的规则字段进行过滤,根据过滤规则,过滤是多个,实际上在过滤程序中是按照一个对任意长度的多个字段的分类算法,本发明提出了一个高效的分类算法实现了对网络帧在任何地方、对任何长度的规则字段进行过滤的需求。
用户定义规则时,往往会用到一段连续的空间,如一个IP网段,一段端口号等,而在这连续的区间内有着同样规则要求及属性,因此能够把这一集合当做一个树节点来处理,对于n维空间的函数求值,实际上可化为对n维空间的一个查找过程,用逐步降维的方法转化为面向集合的三叉树方法来解决这个问题.
对集合的分类查找采用三叉树的方法,前提条件是要查找的集合已被处理成为在空间上连续的闭区间,代表这个集合树节点的关键字不再是一个键值,而是由2个键分别表示这个集合的闭区间的上下界端点值,我们称为这个集合结点的右键和左键,例如:在IP源地址空间上有3个网段集,128.0.0.11-128.0.0.16,128.0.0.40-128.0.0.45,128.0.0.51-128.0.0.53,面向集合的三叉树结点结构如下所示:
struct s_tree{
struct s_tree*left_s;//指向左子树
struct s_tree*right_s;//指向右子树
unsigned int left_key;//左键值
unsigned int right_key;//右键值
struct s_tree*next;//指向中子树
int bal;
}*tree_pt;
用关键字id查找匹配安全规则的程序段如下所示,tree_pt为指向面向集合三叉树根节点的指针,
使用三叉树查找,获得log3级别的查找时间复杂度,且每步处理简洁,开销小,同样对网络帧中任意开始地址的任意长度的字段,也可以构造三叉树处理。
对为新增安全需求的规则进行解析下装后,即可实现过滤。
本发明所述基于规则描述语言的动态配置过滤规则的方法的优越效果在于:
所述方法设置的基于规则描述语言动态过滤规则能够广泛适用于防火墙、网关、网络通讯处理机以及各类带有网络接口的计算设备、工业用的控制器等实现有效的过滤保护。
具体实施方式
下面详细描述本发明所述一种基于规则描述语言的动态配置过滤规则的方法的具体实施方式。
步骤一、确定规则描述语言
1、建立会话连接
所述会话连接是流经防火墙的由客户机和服务器模型表会话连接逆向示的两个实体之间建立的网络通讯。会话连接进一步细分为:会话连接正向与会话连接逆向,会话连接正向即由客户机向服务器发出连接请求的方向,由关键字forward link(前向链路)整数表示,从0开始,0,1,2……;会话连接逆向,即由服务器向客户机做出响应的方向;由关键字backrward link(后向链路)整数表示,从0开始,0,1,2……;同一个会话连接中,会话连接正向和会话连接逆向的整数须相等。
例如:当一个客户机向跨过防火墙的服务器发出一个由IP源地址、IP目的地址、协议类型、源端口号、目的端口号的TCP协议(Transmission Control Protocol,传输控制协议)的连接请求,如果防火墙的设置的安全规则允许放行,则这个会话连接正向建立,同时这个会话连接逆向也建立。其中,对于UDP协议(User Datagram Protocol,用户数据报协议),本身是无连接的,但为了跟踪检查网络通讯,也建立会话连接正向和会话连接逆向,通讯先发起一方为会话连接正向,如果防火墙的设置的安全规则允许放行,会话连接正向和会话连接逆向也同时建立;当一个协议如TCP协议会话连接结束时或中断(rst包),话连接正向和会话连接逆向也结束;UDP协议由防火墙的定时器计时,超过规定的时间段后,话连接正向和会话连接逆向也结束。
2、确定会话连接状态
一个会话连接由两个或两个以上的状态组成。由关键字stat整数表示,整数从0开始,按序增加为0,1,2……;会话创建时的状态为开始状态,会话结束时为结束状态,中间还可由其它多个状态组成。状态的作用域为一个会话连接,包括会话连接正向和会话连接逆向。
3、进行过滤字段
过滤字段是指网络帧中的一段16进制字节数据。过滤字段的属性是:开始地址,从网络帧开始计算以字节为单位;字段长度,以字节为单位。
所述过滤字段表示为:filter整数(开始地址,字段长度),整数为0,1,2……。
所述过滤字段的作用域为一个会话连接,包括话连接正向和会话连接逆向。
4、匹配规则字段
用于匹配网络帧中过滤字段的16进制字节数据。规则字段的属性是:字段长度,以字节为单位。规则字段以关键字加整数后缀表示为:rule整数(字段长度),整数为0,1,2……。
5、赋予操作语句
if(表达式)
{操作语句系列1;
}
else
{操作语句系列2;
};
6、操作动作的描述
会话连接操作动作的描述,如表示值数字1其功能为放行,表示值数字1的功能为放弃,表示值数字1的功能为丢弃等等。详见下表1所示。
表1
| 表示值 | 功能 | 说明 |
| 1 | 放行 | |
| 2 | 丢弃 | |
| 3 | 记日志 | |
| 4 | 创建新的会话连接 | |
| 5 | 转入另一个状态 |
7、定义操作运算符
操作运算符定义类似C语言,如下表2所示。
表2
8、过滤字段字符的转换操作
转换操作是指把两字节网络过滤字段字符(用2字节表示数字的字符)转换成两字节整数,把4字节的网络过滤字段数据转换成4字节的浮点数。如下表3所示。
表3
步骤二、动态过滤的实现
防火墙以包过滤状态检测技术为基础,并预置了:
1、动态增加深度过滤的接口,
2、预留了状态转换处理函数;
3、建立各类过滤算法库;
4、如果在防火墙应用中,出现了新的结构特征或对网络数据内容有了进一步的过滤要求,而现有的防火墙设计未能覆盖这些要求时,则修改或设计防火墙软件,再升级更新防火墙,配置过滤规则后,再实现动态过滤,实施新的网络安全保护。
本发明能够对一些深度内容过滤需求,用规则语言说明新的过滤规则下装到防火墙中过滤,而不必重新设计防火墙软件。
本发明是能够实现对网络帧在任何地方对任何长度的规则字段进行过滤,
以对OPC协议的过滤为例,假如在应用中对OPC服务器的某个标签名的异步写操作规定了一个保护上限值,高于上限值3.3丢弃,小于等于上限值3.3则放行,
从OPC客户机请求数据通讯建起的TCP连接后,即可开始对OPC客户机发出的网络帧查异步操作的UUID码,异步操作的UUID码的地址=DCERPC头地址(0x36)+0x20=0x56,用UUID={39C13A71-011E-11D0-9675-0020AFD8ADB3},在网络中的编码序列是71 3A C1 391E 01 D0 11 96 75 00 20 AF D8 AD B3进行查找,找到第208帧,其数据单元如下所示:
找出与异步UUID相对应的异步Object
当OPC服务器发回的一个应答帧(第209帧)之后,在下一个从OPC客户机发出的网络帧(第210帧)中找到一个动态生成的16字节长的异步Object,异步Object地址=DCERPC头地址(0x36)+0x18=0x4E,
得到异步Object={00009C08-0EC4-0000-8FF6-72BA32281A73},以网络单元的顺序表示为Object={08 9c 00 00 c4 0e 00 00 8f f6 72 ba 32 28 1a 73},此帧与含有异步UUID的第208帧同属一个CallId=0C 00 00 00,
CallId的地址=DCERPC头地址(0x36)+0xC=0x42,
操作码Opnum的地址=DCERPC头地址(0x36)+0x16=0x4C,
操作码为0400,这是写操作;
相关于标签名的异步写的句柄地址=DCERPC头地址(0x36)+0x50=0x86,
数据类型的地址=DCERPC头地址(0x36)+0x70=0xA6,
数据类型为04,是Single float单精度浮点数,
数据的地址=DCERPC头地址(0x36)+0x74=0xAA,
需要注意的是:在这个网络帧中,OPC客户机发出了异步写操作,随后从OPC服务器发出的返回帧(它们同属一个CallId)仅仅表示对OPC客户机发出的异步写操作的接收确认,并不表示已经写入到OPC服务器,OPC服务器是根据异步策略适时更新数据。OPC客户机只有在由OPC服务器请求数据更新所动态建立的TCP连接中,才能读到由OPC服务器发出的异步更新的写操作状态。
第210帧如下所示:
在上述会话中,可在原有的基础上,加入以下语言描述的规则:
stat10:if(filter1(0x56,16)==0x71 3a c1 39 1e 01 d0 11 96 75 00 20af d8 ad b3)
{rule1(4)=filter1(0x42,4);
}
else
{
};
进入stat11;
stat11:if((filter2(0x42,4)==rule1(4))&&(filter3(0x4c,2)==0x0400))
{rule2(4)=filter4(0xaa,4);
rule3(4)=datatofloat(rule2(4));
if(rule3(4)<=3.3)
{放行;
}
else
{丢弃;
};
}
else
{放行;
};
……。
防火墙即可根据上述规则解释执行过滤。
本发明并不限于上述实施方式,在不背离本发明的实质内容的情况下,本领域技术人员可以想到的任何变形、改进、替换均落入本发明的保护范围。
Claims (5)
1.一种基于规则描述语言的动态配置过滤规则的方法,其特征在于,所述方法包括以下操作步骤:
步骤1、建立规则描述语言:
步骤1.1、建立会话连接
建立会话连接,所述会话连接包括会话连接正向与会话连接逆向,所述会话连接正向即由客户机向服务器发出连接请求的方向,由关键字forward link整数表示,从0开始,0,1,2……;所述会话连接逆向,即由服务器向客户机做出响应的方向;由关键字backrwardlink整数表示,从0开始,0,1,2……;
步骤1.2、确定会话连接状态
所述一个会话连接由两个或两个以上的状态组成,由关键字stat整数表示,整数从0开始,按序增加为0,1,2……;会话创建时的状态为会话开始状态,会话结束时为会话结束状态;
步骤1.3、进行过滤字段
过滤字段是指网络帧中的一段16进制字节数据,过滤字段的属性是:开始地址,从网络帧开始计算,以字节为单位;字段长度,以字节为单位;
步骤1.4、匹配规则字段
用于匹配网络帧中过滤字段的16进制字节数据,所述规则字段的属性是:字段长度,以字节为单位,所述规则字段以关键字加整数后缀表示为:rule整数,rule整数表示为字段长度,所述整数为0,1,2……;
步骤1.5、赋予操作语句表达式
所述赋予操作语句表达式是指用匹配规则字段对网络帧中的特定过滤字段进行比对时进行的操作;
步骤1.6、会话连接的操作动作
会话连接的操作动作是指用匹配规则字段对网络帧中的某一过滤字段进行比对后要采取的操作,会话连接的操作动作:1表示放行,2表示丢弃,3表示记日志,4表示创建新的会话连接,5表示转入另一个状态;
步骤1.7、定义操作运算符
操作运算符包括运算符含义/运算符类型/结合方向,用于对网络帧中的过滤字段进行操作;
步骤1.8、过滤字段字符的转换操作
所述过滤字段字符的转换操作是指把两字节网络过滤字段字符,即用2字节表示数字的字符转换成两字节整数,把4字节的网络过滤字段数据转换成4字节的浮点数;
步骤2、动态过滤的实现:
防火墙以包过滤状态检测技术为基础,并预置了:
步骤2.1、动态增加深度过滤的接口;
步骤2.2、预留了状态转换处理函数;
步骤2.3、建立各类过滤算法库;
所述步骤2.2依据会话连接状态还能够包含会话连接其它多个状态,当客户机基于TCP的应用协议,向服务器发起连接的SYN帧时进入stat0,服务器同意建立连接发SYN、ACK帧时进入stat1,客户机收到后发ACK确认帧进入stat2,即为所称的TCP建立连接时的三次交互的握手过程;另外,所述TCP协议正常结束时有四次交互的断开连接的过程,这同样能够用四个状态表示,所述TCP协议从建立连接到结束断开连接的过程即为一个会话,中间还需要有有效数据的传输以及构成需要的应用协议,并依据对内容过滤的需要,中间还分为若干个状态,所述会话连接状态的作用域为一个会话连接,包括会话连接正向和会话连接逆向。
2.按照权利要求1所述基于规则描述语言的动态配置过滤规则的方法,其特征在于,所述步骤1.1中所述会话连接正向和会话连接逆向的整数相等。
3.按照权利要求1所述基于规则描述语言的动态配置过滤规则的方法,其特征在于,所述步骤1.3中所述过滤字段表示为filter整数:filter整数表示为开始地址,字段长度,所述整数为0,1,2……,过滤字段的作用域为一个会话连接,包括话连接正向和会话连接逆向。
4.按照权利要求1所述基于规则描述语言的动态配置过滤规则的方法,其特征在于,所述步骤1.6中所述会话连接的操作动作也能够包含中间运算的结果,所述中间运算的结果是一个待过滤的帧的开始地址,以及待创建新的会话连接的TCP协议的目的端口号。
5.按照权利要求1所述基于规则描述语言的动态配置过滤规则的方法,其特征在于,所述步骤2中,当防火墙应用中出现了新的结构特征或对网络数据内容有了进一步的过滤要求,而现有的防火墙设计未能覆盖这些要求时,则修改或设计防火墙软件,再升级更新防火墙,配置过滤规则后,再进行动态过滤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510958869.1A CN105516162B (zh) | 2015-12-18 | 2015-12-18 | 一种基于规则描述语言的动态配置过滤规则的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510958869.1A CN105516162B (zh) | 2015-12-18 | 2015-12-18 | 一种基于规则描述语言的动态配置过滤规则的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105516162A CN105516162A (zh) | 2016-04-20 |
| CN105516162B true CN105516162B (zh) | 2019-02-19 |
Family
ID=55723798
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510958869.1A Active CN105516162B (zh) | 2015-12-18 | 2015-12-18 | 一种基于规则描述语言的动态配置过滤规则的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105516162B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106302177A (zh) * | 2016-08-23 | 2017-01-04 | 杭州迪普科技有限公司 | 一种路由过滤规则的组织方法和装置 |
| CN106886558B (zh) * | 2016-12-28 | 2020-10-16 | 浙江宇视科技有限公司 | 一种数据处理方法以及服务器 |
| CN110417745B (zh) * | 2019-07-03 | 2021-09-03 | 长沙学院 | 一种支持ModbusTCP低延时处理的规则匹配方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101060521A (zh) * | 2006-04-18 | 2007-10-24 | 华为技术有限公司 | 信息包过滤方法及网络防火墙 |
| CN103944858A (zh) * | 2013-01-18 | 2014-07-23 | 北京睿骊通电子技术有限公司 | 内外测网间隔离计算机 |
| CN104426837A (zh) * | 2013-08-20 | 2015-03-18 | 中兴通讯股份有限公司 | Ftp的应用层报文过滤方法及装置 |
| CN104519065A (zh) * | 2014-12-22 | 2015-04-15 | 北京卓越信通电子股份有限公司 | 一种支持过滤Modbus TCP协议的工控防火墙实现方法 |
-
2015
- 2015-12-18 CN CN201510958869.1A patent/CN105516162B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101060521A (zh) * | 2006-04-18 | 2007-10-24 | 华为技术有限公司 | 信息包过滤方法及网络防火墙 |
| CN103944858A (zh) * | 2013-01-18 | 2014-07-23 | 北京睿骊通电子技术有限公司 | 内外测网间隔离计算机 |
| CN104426837A (zh) * | 2013-08-20 | 2015-03-18 | 中兴通讯股份有限公司 | Ftp的应用层报文过滤方法及装置 |
| CN104519065A (zh) * | 2014-12-22 | 2015-04-15 | 北京卓越信通电子股份有限公司 | 一种支持过滤Modbus TCP协议的工控防火墙实现方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于Linux高校网络防火墙的设计;张海春,屈爽;《微计算机信息》;20090125;第25卷(第1-3期);第77页 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105516162A (zh) | 2016-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Cui et al. | A session-packets-based encrypted traffic classification using capsule neural networks | |
| Su et al. | Distributed consensus control of multi-agent systems with higher order agent dynamics and dynamically changing directed interaction topologies | |
| CN106464577B (zh) | 网络系统、控制装置、通信装置以及通信控制方法 | |
| Zuo et al. | Robust consensus control of uncertain multi‐agent systems with input delay: a model reduction method | |
| CN105516162B (zh) | 一种基于规则描述语言的动态配置过滤规则的方法 | |
| US9031959B2 (en) | Method and apparatus for identifying application protocol | |
| Ogiwara et al. | Maximizing algebraic connectivity in the space of graphs with a fixed number of vertices and edges | |
| CN106506486A (zh) | 一种基于白名单矩阵的智能工控网络信息安全监控方法 | |
| EP2768200B1 (en) | Receiving data packets | |
| Liu et al. | Sampled-data-based consensus of multi-agent systems under asynchronous denial-of-service attacks | |
| GB2365668A (en) | Network data packet classification and demultiplexing | |
| US20150201047A1 (en) | Block mask register | |
| Alhussain et al. | A Neural Network-Based Trust Management System for Edge Devices in Peer-to-Peer Networks. | |
| CN105359472A (zh) | 一种用于OpenFlow网络的数据处理方法和装置 | |
| US9275336B2 (en) | Method and system for skipping over group(s) of rules based on skip group rule | |
| CN109413069A (zh) | 基于区块链的虚拟网站防火墙的应用方法及装置 | |
| CN105871856B (zh) | 批处理包过滤防火墙的实现方法 | |
| CN113904950A (zh) | 基于流的网络监测方法、装置、计算机设备及存储介质 | |
| Wang et al. | Consensus design for continuous-time multi-agent systems with communication delay | |
| CN106549969B (zh) | 数据过滤方法及装置 | |
| Choi et al. | Traffic-locality-based creation of flow whitelists for SCADA networks | |
| WO2020170802A1 (ja) | 検知装置および検知方法 | |
| Andon et al. | Modeling conflict processes on the internet | |
| Xu et al. | Minimization of job waiting time variance on identical parallel machines | |
| Chen et al. | A new lookup model for multiple flow tables of open flow with implementation and optimization considerations |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190709 Address after: Room 622, Building A, China Electronic Information Security Industry Base, Changping District, Beijing, 102200 Co-patentee after: No.6 Research Institute of China Electronics Corporation Patentee after: Zhongdian Intelligent Technology Co., Ltd. Address before: No. 25 Tsinghua East Road, Haidian District, Beijing 100085 Patentee before: No.6 Research Institute of China Electronics Corporation |
|
| TR01 | Transfer of patent right | ||
| CB03 | Change of inventor or designer information |
Inventor after: Song Liding Inventor after: Feng Dajun Inventor after: Fu Yifan Inventor after: Gong Chunyan Inventor after: Wang Shuai Inventor before: Feng Dajun Inventor before: Fu Yifan Inventor before: Gong Chunyan Inventor before: Wang Shuai |
|
| CB03 | Change of inventor or designer information |