CN106790068A - 一种用于加速工控防火墙规则匹配的方法 - Google Patents
一种用于加速工控防火墙规则匹配的方法 Download PDFInfo
- Publication number
- CN106790068A CN106790068A CN201611189827.7A CN201611189827A CN106790068A CN 106790068 A CN106790068 A CN 106790068A CN 201611189827 A CN201611189827 A CN 201611189827A CN 106790068 A CN106790068 A CN 106790068A
- Authority
- CN
- China
- Prior art keywords
- rule
- match
- list
- frequency rule
- weight
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种用于加速工控防火墙规则匹配的方法,包括以下步骤:1)对网络数据报文进行解码处理2)将白名单规则列表分成高频率规则表、中频率规则表和低频率规则表,3)将解码后的网络数据报文与高频率规则表进行匹配,匹配成功则结束,匹配失败,则进入步骤4);4)将解码后的网络数据报文与中频率规则表进行匹配,匹配成功则结束,匹配失败,则进入步骤5);5)将解码后的网络数据报文与低频率规则表进行匹配,匹配成功则结束,匹配失败,则进行匹配失败处理。本发明可以根据网络数据报文情况,自动调整优化规则匹配方式;当网络负载较大的情况下明显加开规则匹配速度,减少匹配时间,降低网络数据延迟。
Description
技术领域
本发明涉及工业控制系统网络技术领域,具体来说,涉及一种用于加速工控防火墙规则匹配的方法。
背景技术
工业控制系统网络是由工业自动化生产设备组成的网络,不同于IT网络,工控网络有着专有的通信协议和通信机制,对网络实时性要求更高。根据工控网络的特点,西安兖矿提出了提出“白环境”的解决方案,即“只有可信任的设备,才能接入控制网络;只有可信任的消息,才能在网络上传输;只有可信任的软件,才允许被执行”。
由于工控防火墙需要实时拦截网络数据包并进行白名单规则匹配确定是否放行,工作过程势必会造成网络数据的延迟。为了尽量降低对原有工业系统造成的影响,数据延迟已经成为衡量工业防火墙的重要性能指标。
现有工业防火墙主要采用黑名单和白名单两种技术辨别数据包是否合法,根据预先设定的规则进行后续处理(通过,丢弃或告警等)。所以当有工业协议数据包经过防火墙后,防火墙首先进行协议解码,解出若干关键字段。然后与预制的黑名单或者白名单规则进行逐条比较,直到找到匹配项或者所有规则逐一比较后均无匹配项目,最后做出处理。现有的相关技术还存在如下几个缺点:
1.当黑白名单规则条目较多的时候,明显增加匹配时间;
2.一个数据包是否可以快速匹配,取决于对应规则的存放顺序;
3.对于高频率出现的数据包,不能优先快速匹配。
发明内容
本发明的目的在于提出一种用于加速工控防火墙规则匹配的方法,能够根据网络数据报文情况,自动调整优化规则匹配方式。
为实现上述发明目的,本发明的技术方案是这样实现的:
一种用于加速工控防火墙规则匹配的方法,包括以下步骤:
1)对网络数据报文进行解码,得出若干关键字段信息;
2)将白名单规则列表分成三组,分别记为高频率规则表、中频率规则表和低频率规则表,并使用传统方法组织存放;
3)将经过步骤1)处理后的网络数据报文与高频率规则表进行匹配,如果匹配成功则结束,进行匹配成功处理,如果匹配失败,则进入步骤4);
4)将经过步骤1)处理后的网络数据报文与中频率规则表进行匹配,如果匹配成功则结束,进行匹配成功处理,如果匹配失败,则进入步骤5);
5)将经过步骤1)处理后的网络数据报文与低频率规则表进行匹配,如果匹配成功则结束,进行匹配成功处理,如果匹配失败,则进行匹配失败处理。
进一步的,步骤2)中,所述传统方法为以首字段进行排序的方法。
进一步的,设定高频率规则、中频率规则和低频率规则的初始化权重均为零,以及设定高频率规则、中频率规则和低频率规则相互转化的规则,所述相互转化的规则如下:
设定将高频率规则转移到中频率规则表的第一权重阈值、将中频率规则转移到低频率规则表的第二权重阈值、将中频率规则转移到高频率规则表的第三权重阈值和将低频率规则转移到中频率规则表的第四权重阈值,经过步骤1)处理过的网络数据报文与白名单规则列表进行匹配时,若匹配成功,则对应用来匹配的规则的权重加一,若匹配不成功,则对应用来匹配的规则的权重减一,当低频率规则的权重达到第四权重阈值时,将所述低频率规则转移到中频率规则表作为新的中频率规则,当中频率规则的权重达到第三权重阈值时,将所述中频率规则转移到高频率规则表作为新的高频率规则,当高频率规则的权重达到第一权重阈值时,将所述高频率规则转移到中频率规则表作为新的中频率规则,当中频率规则的权重达到第二权重阈值时,将所述中频率规则转移到低频率规则表作为新的低频率规则。
进一步的,初始化阶段将白名单规则列表随机分为三组,并按照所述传统方法进行排序,规则转移分组中,规则移除时不影响原有分组的排序,分组插入新的规则时根据首字段值使用二分法插入。
进一步的,所述权重的计算周期设定为一分钟,在所述一分钟内以所述高频率规则、中频率规则和低频率规则所占比例分别为30%、40%和30%的标准自动进行第一权重阈值、第二权重阈值、第三权重阈值和第四权重阈值的调整。
进一步的,所述第一权重阈值与第三权重阈值的大小相同,所述第二权重阈值与第四权重阈值的大小相同。
进一步的,步骤1)中,所述关键字段信息包括功能码、对象号、功能参数和访问路径中的一项或多项。
本发明的有益效果:
1、使用频率高的规则被放入高频率分组优先匹配,减少匹配比较时间;
2、根据现场数据使用情况随时自动调整优先级,加快处理速度;
3、以原有的匹配方法为基础,升级改动量较小。
附图说明
图1是本发明所述的相互转化的规则的简要流程图。
具体实施方式
下面结合本发明的附图,对本发明的技术方案进行清楚、完整地描述。
如图1所示,本发明所述一种用于加速工控防火墙规则匹配的方法,包括以下步骤:
1)对网络数据报文进行解码,得出若干关键字段信息;
2)将白名单规则列表分成三组,分别记为高频率规则表、中频率规则表和低频率规则表,并使用传统方法组织存放;
3)将经过步骤1)处理后的网络数据报文与高频率规则表进行匹配,如果匹配成功则结束,进行匹配成功处理,如果匹配失败,则进入步骤4);
4)将经过步骤1)处理后的网络数据报文与中频率规则表进行匹配,如果匹配成功则结束,进行匹配成功处理,如果匹配失败,则进入步骤5);
5)将经过步骤1)处理后的网络数据报文与低频率规则表进行匹配,如果匹配成功则结束,进行匹配成功处理,如果匹配失败,则进行匹配失败处理。
为了方便理解本发明的上述技术方案,以下通过具体使用方式上对本发明的上述技术方案进行详细说明。
具体操作时,首先根据端口号和协议指纹特征进行协议识别,对不能识别的协议进行放行处理,对能够识别的协议按照协议规范解析取出报文负载信息。工业控制协议主要由功能码、对象号、功能参数和访问路径中一项或者多项组成,这些信息将作为白名单控制的关键字段信息。
初始化阶段将白名单规则列表随机分为三组,并按照传统方法进行排序,这里的传统方法为以首字段进行排序的方法。设定高频率规则、中频率规则和低频率规则的初始化权重均为零,以一分钟为权重值的统计周期,同时设定设定高频率规则、中频率规则和低频率规则相互转化的规则,所述相互转化的规则如下:
设定将高频率规则转移到中频率规则表的第一权重阈值、将中频率规则转移到低频率规则表的第二权重阈值、将中频率规则转移到高频率规则表的第三权重阈值和将低频率规则转移到中频率规则表的第四权重阈值,经过步骤1)处理过的网络数据报文与白名单规则列表进行匹配时,若匹配成功,则对应用来匹配的规则的权重加一,若匹配不成功,则对应用来匹配的规则的权重减一,当低频率规则的权重达到第四权重阈值时,将所述低频率规则转移到中频率规则表作为新的中频率规则,当中频率规则的权重达到第三权重阈值时,将所述中频率规则转移到高频率规则表作为新的高频率规则,当高频率规则的权重达到第一权重阈值时,将所述高频率规则转移到中频率规则表作为新的中频率规则,当中频率规则的权重达到第二权重阈值时,将所述中频率规则转移到低频率规则表作为新的低频率规则。
在上述实施例中,所述第一权重阈值与第三权重阈值的大小相同或不同,所述第二权重阈值与第四权重阈值的大小相同或不同。并且,在每一个统计周期结束后,以所述高频率规则、中频率规则和低频率规则所占比例分别为30%、40%和30%的标准自动进行第一权重阈值、第二权重阈值、第三权重阈值和第四权重阈值的调整。
在上述实施例中,对于匹配成功的网络数据报文,白名单系统放行所述网络数据报文;对于匹配失败的网络数据报文,白名单系统将所述网络数据报文进行拦截并向管理平台发出告警信息。
为了保证白名单规则列表排序的有序性,在规则转移分组中,规则移除时不影响原有分组的排序,分组插入新的规则时根据首字段值使用二分法插入。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种用于加速工控防火墙规则匹配的方法,其特征在于,包括以下步骤:
1)对网络数据报文进行解码,得出若干关键字段信息;
2)将白名单规则列表分成三组,分别记为高频率规则表、中频率规则表和低频率规则表,并使用传统方法组织存放;
3)将经过步骤1)处理后的网络数据报文与高频率规则表进行匹配,如果匹配成功则结束,进行匹配成功处理,如果匹配失败,则进入步骤4);
4)将经过步骤1)处理后的网络数据报文与中频率规则表进行匹配,如果匹配成功则结束,进行匹配成功处理,如果匹配失败,则进入步骤5);
5)将经过步骤1)处理后的网络数据报文与低频率规则表进行匹配,如果匹配成功则结束,进行匹配成功处理,如果匹配失败,则进行匹配失败处理。
2.根据权利要求1所述的方法,其特征在于,步骤2)中,所述传统方法为以首字段进行排序的方法。
3.根据权利要求2所述的方法,其特征在于,设定高频率规则、中频率规则和低频率规则的初始化权重均为零,以及设定高频率规则、中频率规则和低频率规则相互转化的规则,所述相互转化的规则如下:
设定将高频率规则转移到中频率规则表的第一权重阈值、将中频率规则转移到低频率规则表的第二权重阈值、将中频率规则转移到高频率规则表的第三权重阈值和将低频率规则转移到中频率规则表的第四权重阈值,经过步骤1)处理过的网络数据报文与白名单规则列表进行匹配时,若匹配成功,则对应用来匹配的规则的权重加一,若匹配不成功,则对应用来匹配的规则的权重减一,当低频率规则的权重达到第四权重阈值时,将所述低频率规则转移到中频率规则表作为新的中频率规则,当中频率规则的权重达到第三权重阈值时,将所述中频率规则转移到高频率规则表作为新的高频率规则,当高频率规则的权重达到第一权重阈值时,将所述高频率规则转移到中频率规则表作为新的中频率规则,当中频率规则的权重达到第二权重阈值时,将所述中频率规则转移到低频率规则表作为新的低频率规则。
4.根据权利要求3所述的方法,其特征在于,初始化阶段将白名单规则列表随机分为三组,并按照所述传统方法进行排序,规则转移分组中,规则移除时不影响原有分组的排序,分组插入新的规则时根据首字段值使用二分法插入。
5.根据权利要求4所述的方法,其特征在于,所述权重的计算周期设定为一分钟,在所述一分钟内以所述高频率规则、中频率规则和低频率规则所占比例分别为30%、40%和30%的标准自动进行第一权重阈值、第二权重阈值、第三权重阈值和第四权重阈值的调整。
6.根据权利要求3或5所述的方法,其特征在于,所述第一权重阈值与第三权重阈值的大小相同,所述第二权重阈值与第四权重阈值的大小相同。
7.根据权利要求1所述的方法,其特征在于,步骤1)中,所述关键字段信息包括功能码、对象号、功能参数和访问路径中的一项或多项。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611189827.7A CN106790068B (zh) | 2016-12-21 | 2016-12-21 | 一种用于加速工控防火墙规则匹配的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611189827.7A CN106790068B (zh) | 2016-12-21 | 2016-12-21 | 一种用于加速工控防火墙规则匹配的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106790068A true CN106790068A (zh) | 2017-05-31 |
CN106790068B CN106790068B (zh) | 2019-08-06 |
Family
ID=58896585
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611189827.7A Active CN106790068B (zh) | 2016-12-21 | 2016-12-21 | 一种用于加速工控防火墙规则匹配的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106790068B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113992364A (zh) * | 2021-10-15 | 2022-01-28 | 湖南恒茂高科股份有限公司 | 一种网络数据包阻断优化方法以及系统 |
CN114598530A (zh) * | 2022-03-09 | 2022-06-07 | 上海中广核工程科技有限公司 | 工控防火墙白名单规则匹配方法、装置及相关设备 |
CN114785601A (zh) * | 2022-04-25 | 2022-07-22 | 中国农业银行股份有限公司 | 规则匹配的优化方法及装置 |
CN113992364B (zh) * | 2021-10-15 | 2024-06-07 | 湖南恒茂高科股份有限公司 | 一种网络数据包阻断优化方法以及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101605132A (zh) * | 2009-07-13 | 2009-12-16 | 深圳市深信服电子科技有限公司 | 一种网络数据流识别方法 |
WO2012130523A1 (en) * | 2011-03-29 | 2012-10-04 | Nec Europe Ltd. | A method for providing a firewall rule and a corresponding system |
CN103873441A (zh) * | 2012-12-12 | 2014-06-18 | 中国电信股份有限公司 | 防火墙安全规则优化方法及装置 |
-
2016
- 2016-12-21 CN CN201611189827.7A patent/CN106790068B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101605132A (zh) * | 2009-07-13 | 2009-12-16 | 深圳市深信服电子科技有限公司 | 一种网络数据流识别方法 |
WO2012130523A1 (en) * | 2011-03-29 | 2012-10-04 | Nec Europe Ltd. | A method for providing a firewall rule and a corresponding system |
CN103873441A (zh) * | 2012-12-12 | 2014-06-18 | 中国电信股份有限公司 | 防火墙安全规则优化方法及装置 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113992364A (zh) * | 2021-10-15 | 2022-01-28 | 湖南恒茂高科股份有限公司 | 一种网络数据包阻断优化方法以及系统 |
CN113992364B (zh) * | 2021-10-15 | 2024-06-07 | 湖南恒茂高科股份有限公司 | 一种网络数据包阻断优化方法以及系统 |
CN114598530A (zh) * | 2022-03-09 | 2022-06-07 | 上海中广核工程科技有限公司 | 工控防火墙白名单规则匹配方法、装置及相关设备 |
CN114785601A (zh) * | 2022-04-25 | 2022-07-22 | 中国农业银行股份有限公司 | 规则匹配的优化方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN106790068B (zh) | 2019-08-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107295594B (zh) | 网络切换方法、装置及移动终端 | |
CN107222491B (zh) | 一种基于工业控制网络变种攻击的入侵检测规则创建方法 | |
CN111064711A (zh) | 基于区块链的数据流检测方法、装置及服务器 | |
CN106790068A (zh) | 一种用于加速工控防火墙规则匹配的方法 | |
CN112184436B (zh) | 数据同步方法、电子设备及可读存储介质 | |
CN108551674A (zh) | 一种基于设备物理指纹特征的无线网络接入安全防护系统及方法 | |
EP4021060A1 (en) | Detection method, apparatus and system | |
CN105743702B (zh) | 一种goose报文的订阅识别方法 | |
CN110798459A (zh) | 一种基于安全功能虚拟化的多安全节点联动防御方法 | |
CN115766242A (zh) | 一种基于安全隔离通讯的环保管理系统 | |
CN107305570A (zh) | 一种数据检索方法及系统 | |
CN103733581B (zh) | 一种消息处理的方法及基站 | |
CN111597411B (zh) | 一种电力规约数据帧的区分识别方法及系统 | |
CN110933055B (zh) | 一种基于物联网设备的认证系统 | |
CN109600361B (zh) | 基于哈希算法的验证码防攻击方法、装置、电子设备及非暂态计算机可读存储介质 | |
CN106411892A (zh) | Ddos系统地址信息传输、访问请求过滤方法、装置及服务器 | |
CN107979580B (zh) | 一种访问控制方法、装置及服务器 | |
CN112134856A (zh) | 应用程序的禁用方法、系统、服务器及存储介质 | |
CN108521413A (zh) | 一种未来信息战争的网络抵抗和防御方法及系统 | |
CN110621035A (zh) | 波束失败恢复方法、基站及用户设备 | |
CN117478706B (zh) | 一种基于区块链的机加工平台数据共享系统 | |
US9462608B2 (en) | Method and device for regulating transmission in a telecommunication network | |
CN116506208B (zh) | 一种基于局域网内计算机软件信息安全维护系统 | |
CN116015978B (zh) | 一种基于拟态安全技术的异构冗余流量检测系统 | |
CN117040929B (zh) | 一种访问处理方法、装置、设备、介质及程序产品 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |