CN110677425B - 一种匹配goose报文的防火墙系统的匹配方法 - Google Patents
一种匹配goose报文的防火墙系统的匹配方法 Download PDFInfo
- Publication number
- CN110677425B CN110677425B CN201910945759.XA CN201910945759A CN110677425B CN 110677425 B CN110677425 B CN 110677425B CN 201910945759 A CN201910945759 A CN 201910945759A CN 110677425 B CN110677425 B CN 110677425B
- Authority
- CN
- China
- Prior art keywords
- goose message
- matching
- bytes
- goose
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种匹配GOOSE报文的防火墙系统的匹配方法,包括防火墙系统,防火墙系统预设有第一白名单固定内容和第一白名单可变内容,防火墙系统能捕获和拦截GOOSE报文,防火墙系统提取捕获到的GOOSE报文信息;防火墙系统允许与第一报文信息库匹配的GOOSE报文进入过程总线防火墙;本发明方法进行两轮匹配,GOOSE报文固定内容与第一白名单固定内容进行第一轮匹配,第一轮匹配通过时,再将GOOSE报文可变内容与第一白名单可变内容进行第二轮匹配;这样当GOOSE报文在第一轮匹配不通过时,防火墙拦截GOOSE报文,避免GOOSE报文进行第二轮匹配运算量小,算法快;匹配方式快捷高效,安全性高。
Description
技术领域
本发明涉及智能变电站网络安全领域,尤其涉及一种匹配GOOSE报文的防火墙系统的匹配方法。
背景技术
为满足智能变电站通讯要求,智能变电站过程层采用GOOSE(面向通用对象的变电站事件:Generic Object Oriented Substation Event)报文实现与保护、测控等装置的通讯。过程层GOOSE报文以组播方式传播,目前多通过交换机划分VLAN方案,使过程层GOOSE以A、B套双网完全独立运行,此种方式简单易操作,网络报文和装置之间
通讯链路清晰,有效提高控制数据的快速性和冗余性。但双网之间数据无任何方式交互共享,将导致不同网络内的保护设备无法接收到所有需要的跳合闸状态等信息,如间隔层的母线保护设备需要所有过程层设备发送的组播数据报文,划分VLAN以后,将使解决此类问题多从过程层交换机的软件入手,需在交换机进行复杂的配置,降低了系统运行的安全性和可靠性,也不利于系统的灵活性和互操作。
在中国申请号为201910071877.2,公布日为2019.04.12的专利文献中公开了一种智能变电站过程层网络报文过滤转发装置,该装置安装在过程层中心交换机GOOSE网络的A、B网之间,只连接A、B网的GOOSE通信,对接收的GOOSE报文进行参数合法性检查并与预设的白名单中GOOSE报文的关键信息比对,过滤其它类型的报文、丢弃单播报文和广播报文,只有在白名单中出现的组播报文才被转发。针对智能变电站双重化保护对应的两组相互独立的过程层网络,可依据面向对象的变电站事件报文的组播传输方式、目的MAC地址、EthernetType、APPID进行报文过滤转发,并可对端口转发报文进行流量控制,实现两组过程层网络之间数据有限的共享。
但是在转发GOOSE报文前进行的信息对比需要先检查GOOSE报文的MAC地址、EthernetType、APPID范围、VLAN范围和PORT范围的参数合法性,检查全部合格后,再将GOOSE报文与白名单中的MAC地址、EthernetType和APPID三部分关键信息对比,对比信息全部一致后,再判断GOOSE报文是否为风暴报文,当GOOSE报文不是风暴报文时,该装置才转发接收到的GOOSE报文。这种信息对比方式需要对比的内容过多,对比时间长,匹配效率较低。
发明内容
本发明提供一种高效的匹配GOOSE报文的防火墙系统的匹配方法。
为达到上述目的,本发明一方面提供一种匹配GOOSE报文的防火墙系统的匹配方法,包括以下步骤:
a1).预设第一白名单固定内容和第一白名单可变内容;
a2).捕获进入防火墙的GOOSE报文,依次提取GOOSE报文MAC目的地址,GOOSE报文MAC源地址,GOOSE报文TPID和GOOSE报文Ethertype;将GOOSE报文MAC目的地址六个字节中的四个字节组成GOOSE报文第一字节组,将GOOSE报文MAC目的地址六个字节中的两个字节组成GOOSE报文第二字节组;
a3).将GOOSE报文第一字节组、GOOSE报文TPID和GOOSE报文Ethertype按顺序组成GOOSE报文固定内容;将GOOSE报文第二字节组和GOOSE报文MAC源地址按顺序组成GOOSE报文可变内容;
a4).采用异或计算,将GOOSE报文固定内容与预设第一白名单固定内容进行第一轮匹配,若异或计算结果为非0,GOOSE报文固定内容与第一白名单固定内容匹配不通过,进行步骤a5);若异或计算结果为0,GOOSE报文固定内容与预设第一白名单固定内容匹配通过,进行步骤a6);
a5).防火墙拦截GOOSE报文;
a6).将GOOSE报文可变内容与预设第一白名单可变内容进行第二轮匹配,匹配不通过进行步骤a7);匹配通过进行步骤a8);
a7).防火墙拦截GOOSE报文;
a8).防火墙放行GOOSE报文。
上述GOOSE报文拦截方法,进行两轮匹配,GOOSE报文固定内容与第一白名单固定内容进行第一轮匹配,第一轮匹配通过时,再将GOOSE报文可变内容与第一白名单可变内容进行第二轮匹配;这样当GOOSE报文在第一轮匹配不通过时,防火墙拦截GOOSE报文,避免GOOSE报文进行第二轮匹配,运算量小,算法快;当第二轮匹配通过时,防火墙放行GOOSE报文;当第二轮匹配不通过时,防火墙拦截GOOSE报文,这样进行两轮运算的分层算法,匹配准确率高。
进一步的,第一白名单固定内容由第一MAC目标地址六个字节中四个字节组成的第一字节组、第一TPID和第一Ethertype按顺序组成;第一白名单可变内容由第一MAC目标地址六个字节中两个字节组成的第二字节组和第一MAC源地址按顺序组成。将MAC目标地址分成第一字节组和第二字节组,然后第一字节组分别与TPID和Ethertype组成第一白名单固定内容,将第二字节组和第一MAC源地址组成第一白名单可变内容,然后对第一名单固定内容以及第一白名单可变内容与GOOSE报文进行匹配,匹配效率高,同时由于需要对整个MAC目标地址、MAC源地址、TPID和、Ethertype进行匹配,安全性高。
进一步的,第一字节组为第一MAC目的地址六个字节中按前后顺序排列的前四个字节。按序组合减少匹配的复杂性,提高匹配效率。
进一步的,第二字节组为第一MAC目的地址六个字节中按前后顺序排列的后两个字节。按序组合减少匹配的复杂性,提高匹配效率。
进一步的,GOOSE报文第一字节组为GOOSE报文MAC目的地址六个字节中按前后顺序排列的前四个字节。这样组合,GOOSE报文第一字节组能与第一字节组匹配,按序组合减少匹配的复杂性。
进一步的,GOOSE报文第二字节组为GOOSE报文MAC目的地址六个字节中按前后顺序排列的后两个字节。这样组合,GOOSE报文第二字节组能与第二字节组匹配;按序组合减少匹配的复杂性。
进一步的,第二轮匹配采用Knuth-Morris-Pratt算法。Knuth-Morris-Pratt算法的字符少,运算量小,进一步的提高运算速度。
附图说明
图1为本发明中第一白名单固定内容的排列顺序;
图2为本发明中第一白名单可变内容的排列顺序;
图3为本发明中GOOSE报文固定内容的排列顺序;
图4为本发明中GOOSE报文可变内容的排列顺序;
图5为本发明中GOOSE报文匹配方法的流程图。
具体实施方式
下面结合附图和具体实施方式对本发明做进一步详细说明。
一种匹配GOOSE报文的防火墙系统的匹配方法,包括以下步骤,如图5所示,
a1).预设第一白名单固定内容和第一白名单可变内容;
a2).捕获进入防火墙的GOOSE报文,依次提取GOOSE报文MAC目的地址,GOOSE报文MAC源地址,GOOSE报文TPID和GOOSE报文Ethertype;将GOOSE报文MAC目的地址六个字节中的四个字节组成GOOSE报文第一字节组,将GOOSE报文MAC目的地址六个字节中的两个字节组成GOOSE报文第二字节组;
a3).将GOOSE报文第一字节组、GOOSE报文TPID和GOOSE报文Ethertype按顺序组成GOOSE报文固定内容;将GOOSE报文第二字节组和GOOSE报文MAC源地址按顺序组成GOOSE报文可变内容;
a4).采用异或计算,将GOOSE报文固定内容与预设第一白名单固定内容进行第一轮匹配,若异或计算结果为非0,GOOSE报文固定内容与第一白名单固定内容匹配不通过,进行步骤a5);若异或计算结果为0,GOOSE报文固定内容与预设第一白名单固定内容匹配通过,进行步骤a6);
a5).防火墙拦截GOOSE报文;
a6).将GOOSE报文可变内容与预设第一白名单可变内容进行第二轮匹配,匹配不通过进行步骤a7);匹配通过进行步骤a8);
a7).防火墙拦截GOOSE报文;
a8).防火墙放行GOOSE报文。
第二轮匹配中采用Knuth-Morris-Pratt算法,Knuth-Morris-Pratt算法的字符少,运算量小,进一步的提高运算速度,Knuth-Morris-Pratt算法为现有的匹配算法,在此不再累述。
如图1-4所示,第一白名单固定内容由第一MAC目标地址六个字节中四个字节组成的第一字节组、第一TPID和第一Ethertype按顺序组成;第一白名单可变内容由第一MAC目标地址六个字节中两个字节组成的第二字节组和第一MAC源地址按顺序组成。第一MAC目标地址、第一MAC源地址、第一TPID和第一Ethertype是防火墙系统中第一报文信息库记载的的报文信息。
将第一报文信息库中内容依据MAC目标地址分成第一字节组和第二字节组,然后第一字节组分别与TPID以及Ethertype组成第一白名单固定内容,将第二字节组和第一MAC源地址组成第一白名单可变内容,然后对第一名单固定内容以及第一白名单可变内容与GOOSE报文进行匹配,匹配效率高,同时由于需要对整个MAC目标地址、MAC源地址、TPID和、Ethertype进行匹配,安全性高。
第一字节组可以为第一MAC目的地址六个字节中随机的四个字节,也可以为第一MAC目的地址六个字节中按顺序排列的前四个字节;第二字节组可以为第一MAC目的地址六个字节中不与第一字节组重复的其它两个字节;也可以为第一MAC目的地址六个字节中按顺序排列的后两个字节。
在本实施例中,第一字节组为第一MAC目的地址六个字节中按前后顺序排列的前四个字节;第二字节组为第一报文MAC目的地址六个字节中按前后顺序排列的后两个字节;这样按序组合减少匹配的复杂性,提高匹配效率。
GOOSE报文第一字节组可以为GOOSE报文MAC目的地址六个字节中随机的四个字节,也可以为GOOSE报文MAC目的地址六个字节中按前后顺序排列的前四个字节;GOOSE报文第二字节组可以为GOOSE报文MAC目的地址六个字节中不与GOOSE报文第一字节组重复的其它两个字节,也可以为GOOSE报文MAC目的地址六个字节中按前后顺序排列的后两个字节。
在本实施例中,为了GOOSE报文固定内容能与第一白名单固定内容匹配,GOOSE报文可变内容能与第一白名单可变内容匹配;GOOSE报文第一字节组为GOOSE报文MAC目的地址六个字节中按前后顺序排列的前四个字节;GOOSE报文第二字节组为GOOSE报文MAC目的地址六个字节中按前后顺序排列的后两个字节。
上述GOOSE报文拦截方法,进行两轮匹配,GOOSE报文固定内容与第一白名单固定内容进行第一轮匹配,第一轮匹配通过时,再将GOOSE报文可变内容与第一白名单可变内容进行第二轮匹配;这样当GOOSE报文在第一轮匹配不通过时,防火墙拦截GOOSE报文,避免GOOSE报文进行第二轮匹配,运算量小,算法快;当第二轮匹配通过时,防火墙放行GOOSE报文;当第二轮匹配不通过时,防火墙拦截GOOSE报文,这样进行两轮运算的分层算法,匹配准确率高。
Claims (7)
1.一种匹配GOOSE报文的防火墙系统的匹配方法,其特征在于:包括以下步骤:
a1).预设第一白名单固定内容和第一白名单可变内容;
a2).捕获进入防火墙的GOOSE报文,依次提取GOOSE报文MAC目的地址,GOOSE报文MAC源地址,GOOSE报文TPID和GOOSE报文Ethertype;将GOOSE报文MAC目的地址六个字节中的四个字节组成GOOSE报文第一字节组,将GOOSE报文MAC目的地址六个字节中的两个字节组成GOOSE报文第二字节组;
a3).将GOOSE报文第一字节组、GOOSE报文TPID和GOOSE报文Ethertype按顺序组成GOOSE报文固定内容;将GOOSE报文第二字节组和GOOSE报文MAC源地址按顺序组成GOOSE报文可变内容;
a4).采用异或计算,将GOOSE报文固定内容与预设第一白名单固定内容进行第一轮匹配,若异或计算结果为非0,GOOSE报文固定内容与第一白名单固定内容匹配不通过,进行步骤a5);若异或计算结果为0,GOOSE报文固定内容与预设第一白名单固定内容匹配通过,进行步骤a6);
a5).防火墙拦截GOOSE报文;
a6).将GOOSE报文可变内容与预设第一白名单可变内容进行第二轮匹配,匹配不通过进行步骤a7);匹配通过进行步骤a8);
a7).防火墙拦截GOOSE报文;
a8).防火墙放行GOOSE报文。
2.根据权利要求1所述的一种匹配GOOSE报文的防火墙系统的匹配方法,其特征在于:第一白名单固定内容由第一MAC目标地址六个字节中四个字节组成的第一字节组、第一TPID和第一Ethertype按顺序组成;第一白名单可变内容由第一MAC目标地址六个字节中两个字节组成的第二字节组和第一MAC源地址按顺序组成。
3.根据权利要求2所述的一种匹配GOOSE报文的防火墙系统的匹配方法,其特征在于:第一字节组为第一MAC目的地址六个字节中按前后顺序排列的前四个字节。
4.根据权利要求2所述的一种匹配GOOSE报文的防火墙系统的匹配方法,其特征在于:第二字节组为第一MAC目的地址六个字节中按前后顺序排列的后两个字节。
5.根据权利要求1所述的一种匹配GOOSE报文的防火墙系统的匹配方法,其特征在于:GOOSE报文第一字节组为GOOSE报文MAC目的地址六个字节中按前后顺序排列的前四个字节。
6.根据权利要求1所述的一种匹配GOOSE报文的防火墙系统的匹配方法,其特征在于:GOOSE报文第二字节组为GOOSE报文MAC目的地址六个字节中按前后顺序排列的后两个字节。
7.根据权利要求1所述的一种匹配GOOSE报文的防火墙系统的匹配方法,其特征在于:第二轮匹配采用Knuth-Morris-Pratt算法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910945759.XA CN110677425B (zh) | 2019-09-30 | 2019-09-30 | 一种匹配goose报文的防火墙系统的匹配方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910945759.XA CN110677425B (zh) | 2019-09-30 | 2019-09-30 | 一种匹配goose报文的防火墙系统的匹配方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110677425A CN110677425A (zh) | 2020-01-10 |
| CN110677425B true CN110677425B (zh) | 2021-09-21 |
Family
ID=69080779
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910945759.XA Active CN110677425B (zh) | 2019-09-30 | 2019-09-30 | 一种匹配goose报文的防火墙系统的匹配方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110677425B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113839791A (zh) * | 2020-06-08 | 2021-12-24 | 南京南瑞继保工程技术有限公司 | 一种报文转发方法、系统及智能变电站过程层交换机 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101090334A (zh) * | 2007-05-23 | 2007-12-19 | 西安交大捷普网络科技有限公司 | 一种解决入侵检测系统中海量报警的方法 |
| CN101795230A (zh) * | 2010-02-23 | 2010-08-04 | 西安交通大学 | 一种网络流量还原方法 |
| CN102821052A (zh) * | 2012-08-22 | 2012-12-12 | 迈普通信技术股份有限公司 | 虚拟专用局域网业务网络中查找转发信息的方法和装置 |
| CN103051530A (zh) * | 2012-12-26 | 2013-04-17 | 北京四方继保自动化股份有限公司 | 一种用于智能变电站报文的多网口发送优化方法 |
| CN109617923A (zh) * | 2019-01-25 | 2019-04-12 | 南京国电南自电网自动化有限公司 | 一种智能变电站过程层网络报文过滤转发装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107360184B (zh) * | 2017-08-14 | 2020-09-08 | 杭州迪普科技股份有限公司 | 终端设备认证方法和装置 |
-
2019
- 2019-09-30 CN CN201910945759.XA patent/CN110677425B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101090334A (zh) * | 2007-05-23 | 2007-12-19 | 西安交大捷普网络科技有限公司 | 一种解决入侵检测系统中海量报警的方法 |
| CN101795230A (zh) * | 2010-02-23 | 2010-08-04 | 西安交通大学 | 一种网络流量还原方法 |
| CN102821052A (zh) * | 2012-08-22 | 2012-12-12 | 迈普通信技术股份有限公司 | 虚拟专用局域网业务网络中查找转发信息的方法和装置 |
| CN103051530A (zh) * | 2012-12-26 | 2013-04-17 | 北京四方继保自动化股份有限公司 | 一种用于智能变电站报文的多网口发送优化方法 |
| CN109617923A (zh) * | 2019-01-25 | 2019-04-12 | 南京国电南自电网自动化有限公司 | 一种智能变电站过程层网络报文过滤转发装置 |
Non-Patent Citations (1)
| Title |
|---|
| 结合域含义的GOOSE报文加解密方法;王智东,王钢;《华南理工大学学报》;20160430;第44卷(第4期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110677425A (zh) | 2020-01-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2016107210A1 (zh) | 具有报文多级滤清及业务分类控制的冗余工业以太网系统 | |
| CN105357137B (zh) | 报文过滤方法及所适用的fpga、智能变电站 | |
| CN104767752A (zh) | 一种分布式网络隔离系统及方法 | |
| CN101599963B (zh) | 网络疑似威胁信息筛选器及筛选处理方法 | |
| CN103200123B (zh) | 一种交换机端口安全控制方法 | |
| KR102030837B1 (ko) | 침입 탐지 장치 및 방법 | |
| CN101820383B (zh) | 限制交换机远程访问的方法及装置 | |
| CN108810023A (zh) | 安全加密方法、密钥共享方法以及安全加密隔离网关 | |
| CN102594814A (zh) | 基于端末的网络访问控制系统 | |
| CN106302371A (zh) | 一种基于用户业务系统的防火墙控制方法和系统 | |
| CN107819730B (zh) | 数据传输方法、安全隔离装置及车载以太网系统 | |
| CN108881302A (zh) | 工业以太网与blvds总线互联通讯装置及工业控制系统 | |
| CN109391661A (zh) | 物联网终端的区块链组网方法和系统 | |
| CN103117946A (zh) | 基于隔离装置与隔离网关结合应用的流量分担方法 | |
| CN110677425B (zh) | 一种匹配goose报文的防火墙系统的匹配方法 | |
| Shitharth et al. | A comparative analysis between two countermeasure techniques to detect DDoS with sniffers in a SCADA network | |
| CN110380842A (zh) | 适用于智慧网联汽车的can总线报文签名方法、装置和系统 | |
| CN103812752A (zh) | 一种电力通信网中vlan间资源共享的方法 | |
| CN110661806B (zh) | 一种智能变电站过程总线防火墙系统 | |
| CN110933385B (zh) | 基于可见光单向网络隔离的视频流传输系统 | |
| Jeon et al. | A study on traffic characteristics for anomaly detection of Ethernet-based IVN | |
| Wei et al. | Application layer security proxy for smart Grid substation automation systems | |
| CN107040507A (zh) | 网络封锁方法及设备 | |
| CN108712398B (zh) | 认证服务器的端口认证方法、服务器、交换机和存储介质 | |
| Girdhar et al. | Cybersecurity of process bus network in digital substations |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |