CN113965386B - 工控协议报文处理方法、装置、设备及存储介质 - Google Patents
工控协议报文处理方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113965386B CN113965386B CN202111241985.3A CN202111241985A CN113965386B CN 113965386 B CN113965386 B CN 113965386B CN 202111241985 A CN202111241985 A CN 202111241985A CN 113965386 B CN113965386 B CN 113965386B
- Authority
- CN
- China
- Prior art keywords
- industrial control
- control protocol
- security policy
- rule set
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 14
- 238000000034 method Methods 0.000 claims abstract description 53
- 238000012545 processing Methods 0.000 claims abstract description 39
- 230000015654 memory Effects 0.000 claims description 25
- 238000004590 computer program Methods 0.000 claims description 13
- 238000010276 construction Methods 0.000 claims description 9
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 claims description 3
- 238000001514 detection method Methods 0.000 description 34
- 230000008569 process Effects 0.000 description 16
- 238000010586 diagram Methods 0.000 description 10
- 238000012423 maintenance Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000004886 process control Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 241000272814 Anser sp. Species 0.000 description 2
- 230000004075 alteration Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Communication Control (AREA)
Abstract
本申请公开了一种工控协议报文处理方法、装置、设备及存储介质,属于工业互联网技术领域,用于将数据链路层工控协议规则和应用层工控协议规则统一进行安全策略的配置以及检测匹配,降低策略配置的繁复程度,以及降低后续故障定位的复杂度。该方法包括:接收工控协议报文,并判断所述工控协议报文的目标工控协议类型;根据所述目标工控协议类型,从预先存储的安全策略中,查找与所述目标工控协议类型匹配的目标安全策略;基于所述目标安全策略关联的目标工控协议规则集中的各条工控协议规则,分别对所述工控协议报文进行协议规则匹配,获得匹配结果;基于获得的所述匹配结果,对所述工控协议报文进行相应的报文处理。
Description
技术领域
本申请涉及工业互联网技术领域,尤其涉及工业流量监测技术领域,提供一种工控协议报文处理方法、装置、设备及存储介质。
背景技术
在工业互联网中,存在这大量的工控协议报文,为了提升工控协议报文的安全传输,工业现场开始部署支持工控协议报文检测能力的工业安全网关类产品。通常而言,工控协议可以包括基于传输层的应用层工控协议以及基于数据链路层的工控协议等,应用层工控协议如用于过程控制的OLE统一架构(OLE for Process Control unifiedarchitecture,OPCUA)协议、S7协议等,OLE是指对象连接与嵌入(Object Linking andEmbedding,OLE)技术的简称,数据链路层工控协议如goose协议、profinet协议等,一般应用于如电力、能源行业的过程控制,工控协议报文的传输易被利用发起恶意攻击,因而需要对数据链路层工控协议报文和应用层工控协议报文进行检测。
但是,目前对于工控协议报文的检测方案中,数据链路层工控协议报文的检测与应用层工控协议报文的检测是独立的,需要分别进行两种工控协议的安全策略配置,使得策略配置过程繁复,系统资源消耗多并且,两种工控协议报文的检测逻辑不一致,后续故障定位的复杂度高。
发明内容
本申请实施例提供一种工控协议报文处理方法、装置、设备及存储介质,用于将数据链路层工控协议规则和应用层工控协议规则统一进行安全策略的配置以及检测匹配,降低策略配置的繁复程度,以及降低后续故障定位的复杂度。
一方面,提供一种工控协议报文处理方法,所述方法包括:
接收工控协议报文,并判断所述工控协议报文的目标工控协议类型;
根据所述目标工控协议类型,从预先存储的安全策略中,查找与所述目标工控协议类型匹配的目标安全策略;其中,所述预先存储的安全策略包括至少一条关联了工控协议规则集的安全策略,所述工控协议规则集包括至少一种工控协议对应的工控协议规则;
基于所述目标安全策略关联的目标工控协议规则集中的各条工控协议规则,分别对所述工控协议报文进行协议规则匹配,获得匹配结果;
基于获得的所述匹配结果,对所述工控协议报文进行相应的报文处理。
可选的,在基于当前读取的安全策略中,规则集指示字段的值确定读取的安全策略是否关联了工控协议规则集之后,所述方法还包括:
若所述当前读取的安全策略未关联工控协议规则集,则将当前读取的安全策略的第一数据结构插入到所述第二数据结构中。
可选的,所述方法还包括:
接收请求创建工控协议规则集的创建请求,并获取所述创建请求携带的待创建的工控协议规则集包括的至少一个工控协议规则;其中,所述至少一个工控协议规则包括至少一种工控协议类型对应的工控协议规则;
基于所述至少一个工控协议规则,创建工控协议规则集。
一方面,提供一种工控协议报文处理装置,所述装置包括:
协议类型判断单元,用于接收工控协议报文,并判断所述工控协议报文的目标工控协议类型;
安全策略查找单元,用于根据所述目标工控协议类型,从预先存储的安全策略中,查找与所述目标工控协议类型匹配的目标安全策略;其中,所述预先存储的安全策略包括至少一条关联了工控协议规则集的安全策略,所述工控协议规则集包括至少一类工控协议对应的工控协议规则;
协议规则匹配单元,用于基于所述目标安全策略关联的目标工控协议规则集中的各条工控协议规则,分别对所述工控协议报文进行协议规则匹配,获得匹配结果;
报文处理单元,用于基于获得的所述匹配结果,对所述工控协议报文进行相应的报文处理。
可选的,所述装置还包括配置单元,用于:
基于接收的用于创建安全策略的配置请求,获取待创建安全策略的配置信息;
初始化所述待创建安全策略对应的第一数据结构,所述第一数据结构包括规则集指示字段,所述规则集指示字段用于指示待创建安全策略关联的工控协议规则集;
基于所述配置信息指示的工控协议规则集,对所述第一数据结构中所述规则集指示字段的值进行配置,获得已配置的安全策略。
可选的,所述规则集指示字段包括第一子字段和第二子字段,所述第一字段用于指示是否存在关联的工控协议规则集,所述第二字段用于指示关联的工控协议规则集的标识信息;
则所述配置单元,具体用于:
将所述第一子字段的值配置为指示存在关联的工控协议规则集的第一值;并,
将所述第二子字段的值配置为所述配置信息指示的工控协议规则集的标识信息。
可选的,所述第一数据结构还包括工控协议标识字段,工控协议标识字段的值用于唯一标识所有关联了工控协议规则集的安全策略中的其中一个安全策略;
则所述配置单元,具体用于:
分别将所述规则集指示字段与所述工控协议标识字段的值配置为初始值。
可选的,所述配置单元,还用于:
加载已配置的安全策略,并对已配置的安全策略进行解析;
初始化安全策略树的第二数据结构,所述第二数据结构包括用于指示当前加载的安全策略的安全策略索引变量;
依次读取已解析的安全策略,并基于当前读取的安全策略中,所述规则集指示字段的值确定所述当前读取的安全策略是否关联了工控协议规则集;
若所述当前读取的安全策略关联了工控协议规则集,则更新所述安全策略索引变量的值,并以更新后的安全策略索引变量的值,更新所述当前读取的安全策略中所述工控协议标识字段的值;
将当前读取的安全策略的第一数据结构插入到所述第二数据结构中;
在所有安全策略加载完成时,完成所述安全策略树的构建。
可选的,所述配置单元,还用于:
若所述当前读取的安全策略未关联工控协议规则集,则将当前读取的安全策略的第一数据结构插入到所述第二数据结构中。
可选的,所述配置单元,具体用于:
确定所述当前读取的安全策略是否处于已启用状态;
若确定所述当前读取的安全策略处于已启用状态,基于当前读取的安全策略中,所述规则集指示字段的值确定所述当前读取的安全策略是否关联了工控协议规则集;
若确定所述当前读取的安全策略未处于已启用状态,则读取下一条安全策略。
可选的,所述至少一类工控协议包括数据链路层工控协议和应用层工控协议;
则所述安全策略查找单元,具体用于:
若确定所述目标工控协议类型为所述数据链路层工控协议,则从所述安全策略树中,查找所述工控协议标识字段的值为预设值的所述目标安全策略;
若所述目标工控协议类型为所述应用层工控协议,则将所述工控协议报文的五元组与所述安全策略树中各安全策略的五元组进行匹配,并将匹配成功的安全策略确定为所述目标安全策略。
可选的,所述配置单元,还用于:
接收请求创建工控协议规则集的创建请求,并获取所述创建请求携带的待创建的工控协议规则集包括的至少一个工控协议规则;其中,所述至少一个工控协议规则包括至少一种工控协议类型对应的工控协议规则;
基于所述至少一个工控协议规则,创建工控协议规则集。
一方面,提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任一种方法的步骤。
一方面,提供一种计算机存储介质,其上存储有计算机程序指令,该计算机程序指令被处理器执行时实现上述任一种方法的步骤。
一方面,提供一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述任一种方法的步骤。
本申请实施例中,支持工控协议检测的安全策略可以通过关联工控协议规则集来实现,而一个工控协议规则集中可以支持多种工控协议规则,也就是说,可以在一个工控协议规则集中,同时进行数据链路层工控协议和应用层工控协议的配置,从而能够实现这两种工控协议的统一配置。此外,当接收到工控协议报文时,可以基于其对应的目标工控协议类型,查找匹配的目标安全策略,从而利用目标安全策略中的各条工控协议规则进行协议规则匹配,来确定对该工控协议报文如何进行处理,可见,无论是何种工控协议,都可以统一按照上述的过程来实现安全策略的检测匹配,实现了不同工控协议的安全策略的检测匹配逻辑一致,从而降低了后续故障定位的复杂度。
附图说明
为了更清楚地说明本申请实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的应用场景示意图;
图2为本申请实施例提供的工控协议报文处理方法的流程示意图;
图3为本申请实施例提供的创建工控协议规则集的创建界面的示意图;
图4为本申请实施例提供的安全策略配置界面的示意图;
图5为本申请实施例提供的第一数据结构的示意图;
图6为本申请实施例提供的安全策略树的构建过程的流程示意图;
图7为本申请实施例提供的基于安全策略树的报文处理过程的流程示意图;
图8为本申请实施例提供的工控协议报文处理装置的一种结构示意图;
图9为本申请实施例提供的计算机设备的一种结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
为便于理解本申请实施例提供的技术方案,这里先对本申请实施例使用的一些关键名词进行解释:
五元组:一个五元组是由源网际互连协议(Internet Protocol,source IP)地址,源端口(source port)地址,目标源网际互连协议(destination IP)地址,目标端口(destination port)地址,4层通信协议(the layer 4protocol)组成的,通过这5个字段来表示一个会话。
数据链路层:是指网络中五层协议体系结构中的第二层,介乎于物理层和网络层之间,数据链路层在物理层提供的服务的基础上向网络层提供服务,其最基本的服务是将源自物理层来的数据可靠地传输到相邻节点的目标机网络层。
应用层:是指五层协议体系结构中的第五层,在传输层之上,直接为用户的应用进程提供服务,应用进程是指正在运行的程序,包含支持万维网应用的超文本传输协议(Hyper Text Transfer Protocol,HTTP)协议、支持西门子可编程逻辑控制器(Programmable Logic Controller,PLC)控制的S7协议等等。
工控协议:是指在工业控制领域中,用于现场总线数据传输的通讯协议。
安全策略树:是指一种软件系统中,用于安全策略存储实现的一种数据结构,具体的数据结构组织实现方式不局限。
下面对本申请实施例的设计思想进行简要介绍。
目前,大多数的工业安全网关类产品都需要同时具备对数据链路层工控协议报文和应用层工控协议报文的检测。通常而言,可以包括如下两种实现方式:
(1)第一种方式中,通过在应用层协议安全策略之外,创建独立的数据链路层工控协议策略,仅用于检测数据链路层工控协议。但是,这种实现方式在工业现场的多工控设备以及多工控协议传输的场景中,往往需要创建大量的单一策略,消耗较多系统资源。并且由于数据链路层工控协议策略与应用层工控协议的安全策略配置方式不一致,使得配置繁复,维保人员体验差,不同层级工控协议在系统中的检测匹配逻辑不一致,给后续的故障定位处理也带来了一定的难度。
(2)第二种方式中,通过分别给不同层级工控协议打上不同的协议标记,即用于数据链路层工控协议检测的安全策略打上数据链路层协议标记,给用于应用层工控协议检测的安全策略打上应用层协议标记。但是,这种方式在多工控协议传输场景中,仍需要大量配置检测工控协议的安全策略,既消耗较多系统资源,同时在存在多条安全策略的情况下,由于安全策略较相似,策略的增删、编辑、启用或禁用时要考虑安全策略之间是否冲突以及安全策略之间的匹配优先级,使得现场部署与维保人员(后文统称操作人员)的操作复杂度较高,部署与维护效率较低。
可见,目前的数据链路层工控协议报文检测实现方案都尚不完善。鉴于此,本申请实施例提供一种工控协议报文处理方法,在该方法中,支持工控协议检测的安全策略可以通过关联工控协议规则集来实现,而一个工控协议规则集中可以支持多种工控协议规则,也就是说,可以在一个工控协议规则集中,同时进行数据链路层工控协议和应用层工控协议的配置,从而能够实现这两种工控协议的统一配置。此外,当接收到工控协议报文时,可以基于其对应的目标工控协议类型,查找匹配的目标安全策略,从而利用目标安全策略中的各条工控协议规则进行协议规则匹配,来确定对该工控协议报文如何进行处理,可见,无论是何种工控协议,都可以统一按照上述的过程来实现安全策略的检测匹配,实现了不同工控协议的安全策略的检测匹配逻辑一致,从而降低了后续故障定位的复杂度。
本申请实施例中,不再区分对数据链路层工控协议的检测和对应用层工控协议的检测,用于工控协议检测的安全策略配置整体统一,安全策略检测匹配逻辑一致,同时安全策略变更调整不影响数据链路层工控协议的安全策略匹配,安全策略配置非常灵活,场景适应性提升,也极大的提升产品使用易用性,降低部署难度和维护成本。
在介绍完本申请实施例的设计思想之后,下面对本申请实施例的技术方案能够适用的应用场景做一些简单介绍,需要说明的是,以下介绍的应用场景仅用于说明本申请实施例而非限定。在具体实施过程中,可以根据实际需要灵活地应用本申请实施例提供的技术方案。
本申请实施例提供的方案可以适用于大多数工业互联网场景中,如图1所示,为本申请实施例提供的一种应用场景示意图,在该场景中,可以包括管理设备101、安全网关设备102、报文发送设备103和报文接收设备104。
管理设备101例如可以为手机、平板电脑(PAD)、笔记本电脑、台式电脑、智能电视以及智能可穿戴设备等。管理设备101可以打开对工业安全网关设备102进行管理配置的管理配置页面,通过该管理配置页面可对工业安全网关设备102进行安全策略的配置。
安全网关设备102可以为任意的网关设备,报文发送设备103为发送报文的设备,例如可以为对工业设备进行远程操作的设备,或者也可以为需要向其他工业设备进行通信的工业设备,报文接收设备104为接收报文的设备,例如可以为工业设备。
在实际应用时,操作人员可以通过管理设备101为安全网关设备102配置安全策略,可以包括支持工控协议检测的安全策略以及普通的安全策略,进而安全网关设备102可以采用本申请实施例提供的工控协议报文处理方法,进行安全策略的配置,以及基于已配置的安全策略进行安全策略树的构建。
当安全网关设备102接收到报文发送设备103发送给报文接收设备104的报文时,则可以利用本申请实施例提供的工控协议报文处理方法,进行工控协议报文的检测。具体而言,当接收的报文为工控协议报文时,则判断该工控协议报文的目标工控协议类型,并基于目标工控协议类型,从安全策略树中查找匹配的安全策略,并基于获取的安全策略进行匹配以及相应的报文处理。其中,每个支持工控协议的安全策略都关联了工控协议规则集,工控协议规则集为一种工控协议规则的集合,可以同时支持数据链路层工控协议规则和应用层工控协议规则,从而每个支持工控协议的安全策略都可以同时支持数据链路层工控协议和应用层工控协议的检测,无需分别独立的进行配置和检测,减少资源消耗,同时减少后续维护人员的维护难度。
当采用安全策略对工控协议报文进行检测之后,则可以机与检测结果进行转发,例如当安全策略采用白名单类型的规则时,则工控协议报文能够匹配安全策略时,则安全网关设备102将工控协议报文转发至报文接收设备104,而若是工控协议报文未能够匹配安全策略时,则安全网关设备102过滤报文或者输出示警。
当然,除了数据链路层工控协议和应用层工控协议之外,其他类型的工控协议也是同理。
上述的管理设备101、安全网关设备102、报文发送设备103和报文接收设备104之间可以通过一个或者多个网络105进行直接或间接的通信连接。该网络105可以是有线网络,也可以是无线网络,例如无线网络可以是移动蜂窝网络,或者可以是无线保真(Wireless-Fidelity,WIFI)网络,当然还可以是其他可能的网络,本发明实施例对此不做限制。
需要说明的是,在本申请实施例中,上述的各个设备在实际应用中可以根据实际需求进行合并,例如,报文发送设备103和安全网关设备102可以进行合并,也就是将安全网关部署于报文发送设备103的报文出口处,用于对报文发送设备103的报文进行检测;或者,也可以将报文接收设备104和安全网关设备102可以进行合并,也就是将安全网关部署于报文接收设备104的报文入口处,用于对报文接收设备104接收的报文进行检测。
当然,本申请实施例提供的方法并不限用于图1所示的应用场景中,还可以用于其他可能的应用场景,本申请实施例并不进行限制。对于图1所示的应用场景的各个设备所能实现的功能将在后续的方法实施例中一并进行描述,在此先不过多赘述。
本申请各实施例中提供的方法流程,下面以该方法通过图1中的安全网关设备102来执行为例进行介绍。参见图2所示,为本申请实施例提供的工控协议报文处理方法的流程示意图。
步骤201:接收工控协议报文,并判断工控协议报文的目标工控协议类型。
在实际应用中,当需要对某个工业设备进行控制时,可以通过工控协议报文来实现,如数据链路层工控协议goose协议报文等,可用于进行电力、能源行业的过程控制,为了提升工业设备的安全,通常需要部署相应的安全网关设备,来进行各种工控协议报文的检测。
那么,当安全网关设备接收到工控协议报文时,虽然同一安全策略可以支持不同类型的工控协议,但是针对由于不同类型的工控协议的特性,如应用层协议规则通常会设置针对的五元组,能够精确的匹配到相应的安全策略,而数据链路层工控协议规则通常只会设置针对的对象的IP地址或者媒体存取控制(Media Access Control,MAC)地址,匹配的安全策略范围可能很广,无法精确匹配到相应的安全策略,因而针对不同类型的工控协议报文,需要基于其工控协议类型来进行安全策略的匹配,进而,在接收工控协议报文后,则需要判断工控协议报文的目标工控协议类型。
具体的,接收到工控协议报文后,可以对该工控协议报文进行报文解码,获得报文内容,以结合报文内容中的各个字段特征来判断工控协议报文的目标工控协议类型。
当然,安全网关设备除了会接收到工控协议报文之外,还会接收到其他类型协议的报文,其他类型协议的报文则可以按照后续的处理流程进行安全策略的匹配以及相应的处理。
步骤202:根据目标工控协议类型,从预先存储的安全策略中,查找与目标工控协议类型匹配的目标安全策略;其中,预先存储的安全策略包括至少一条关联了工控协议规则集的安全策略,工控协议规则集包括至少一类工控协议对应的工控协议规则。
本申请实施例中,在安全网关设备正式进行报文检测之前,通过预先进行安全策略的配置,在安全网关设备中存储了多种安全策略,因而确定接收到的工控协议报文之后,则可以根据确定的目标工控协议类型,从存储的安全策略中,查找与目标工控协议类型匹配的目标安全策略。
其中,安全网关设备中可以配置一条或者多个支持工控协议检测的安全策略,且支持工控协议检测的安全策略均关联有工控协议规则集,工控协议规则集是一个工控协议规则的集合,工控协议规则集可以包括至少一类工控协议对应的工控协议规则,即在一个安全策略关联的工控协议规则集中,可以同时包含多种类型的工控协议规则,例如可以同时包含数据链路层工控协议和应用层工控协议,从而一个安全策略不再仅仅支持一种工控协议,而可以同时支持多种工控协议的检测。
步骤203:基于目标安全策略关联的目标工控协议规则集中的各条工控协议规则,分别对工控协议报文进行协议规则匹配,获得匹配结果。
具体的,当确定了当前检测的工控协议报文匹配的目标安全策略,则可以基于该目标安全策略确定其关联的目标工控协议规则集,从而利用目标工控协议规则集中的各条工控协议规则,分别对工控协议报文进行协议规则匹配,获得匹配结果。
其中,在进行协议规则匹配时,可以提取工控协议报文的报文特征值,采用遍历的方式,将报文特征值逐一与各条工控协议规则进行匹配,获得最终的匹配结果。
例如,工控协议规则可以为采用白名单的方式,即规定了只有命中白名单中的工控协议报文才能够继续进行报文处理,那么将提取的报文特征值与白名单逐一进行匹配,获得该工控协议报文是否能够命中白名单的匹配结果。
或者,工控协议规则可以为采用黑名单的方式,即规定了命中黑名单中的工控协议报文需要进行过滤,或者进行其他的处理,那么将提取的报文特征值与黑名单逐一进行匹配,获得该工控协议报文是否能够命中黑名单的匹配结果。
步骤204:基于获得的匹配结果,对工控协议报文进行相应的报文处理。
具体的,根据匹配结果的指示,来确定需要对工控协议报文进行何种处理。例如,针对上述白名单的方式,当工控协议报文命中白名单时,那么则可以继续转发该报文。或者,在工控协议规则中可以设置对工控协议报文的处理方式,则可以根据命中的工控协议规则指定的处理方式进行报文处理,具体的报文处理方式可以根据实际的需求进行设定,本申请实施例对此并不进行限制。
本申请实施例中,在利用安全策略进行工控协议报文的检测之前,首先需要进行安全策略的配置,而创建一个支持工控协议的安全策略时,由于需要关联工控协议规则集,那么在此之前还需要进行工控协议规则集的创建。
具体的,参见图3所示,为创建工控协议规则集的创建界面的示意图。其中,操作人员可以配置本次配置的安全策略的策略名称,以及配置该工控协议规则集所包含的工控协议规则,配置完成之后,选择“确认”提交创建请求至安全网关设备,安全网关设备则会基于接收的该创建请求进行工控协议规则集的创建。
其中,在进行工控协议的添加时,可在同一个工控协议规则集中添加不同工控协议类型的规则,如图3所示的,在工控协议规则集AAA1内,同时添加有属于数据链路层工控协议类型的规则B1和应用层工控协议类型的规则C1。当然,在实际应用时,除了数据链路层工控协议和应用层工控协议类型这两种类型之外,还可以视需求添加其他类型的工控协议规则。
此外,除了自行编辑输入规则之外,还可以在已有的规则库中选择规则来组成工控协议规则集。
相应的,安全网关设备接收请求创建工控协议规则集的创建请求后,获取创建请求携带的待创建的工控协议规则集的信息,如图3所示的名称以及各个工控协议规则,进而相应的,基于至少一个工控协议规则,创建工控协议规则集,并存储至本地。
下面,对安全策略的配置进行介绍。
在进行安全策略的配置时,操作人员可以在配置界面中输入本次配置的安全策略的配置信息。参见图4所示,为一种配置界面的示意图。其中,操作人员可以配置本次配置的安全策略的策略名称,以及选择该安全策略是否支持工控协议,若支持工控协议,则操作人员需要选择该安全策略所要引用的工控协议规则集,如图4所示的之前创建的工控协议规则集“AAA1”。当然,除了上述的配置信息之后,还可以配置其他任何可能的配置信息,本申请实施例对此不做限制。
当操作人员配置完成之后,选择“确认”提交配置请求至安全网关设备,安全网关设备则会基于该配置请求进行安全策略的配置。
具体的,安全网关设备可以基于接收的用于创建安全策略的配置请求,获取待创建安全策略的配置信息,即如图4所示的策略名称、引用的工控协议规则集等信息。
当需要创建一个安全策略时,获取一个初始化的待创建安全策略对应的第一数据结构。需要说明的是,第一数据结构即特指安全策略的数据结构,其中的“第一”并不指代特定安全策略。参见图5所示,为第一数据结构的示意图,其中,第一数据结构包括如下内容:
(1)安全策略标识字段
针对每个安全策略,都会对应唯一的一个安全策略标识,一个安全策略标识唯一对应的一个安全策略,当新建一个安全策略时,则会为其分配一个安全策略标识,安全策略标识字段的值即为安全策略标识。
(2)规则集指示字段
规则集指示字段用于指示待创建安全策略关联的工控协议规则集,参见图5所示,规则集指示字段可以包括第一子字段和第二子字段,其中,第一字段用于指示是否存在关联的工控协议规则集,第二字段用于指示关联的工控协议规则集的标识信息。
在实际应用时,规则集指示字段也可以仅包括第二子字段,根据第二子字段的值来判断安全策略是否关联工控协议规则集。
(3)工控协议标识字段
工控协议标识字段用于唯一标识所有关联了工控协议规则集的安全策略中的其中一个安全策略,工控协议标识字段用于后续安全策略树的构建,并可标识已启动并引用了工控协议规则集的安全策略。
当然,除了上述的字段之外,安全策略的第一数据结构还可以包括其他可能的字段,本申请实施例对此不做限制。
在实际应用时,针对待创建安全策略,其进行初始化时,其规则集指示字段和工控协议标识字段等字段均为初始值,通过将配置请求中获取的配置信息对其初始化的第一数据结构进行赋值,来获得已配置的安全策略。
其中,规则集指示字段的初始值可以指示未关联工控协议规则集,例如当0表示未关联工控协议规则集,1表示关联了工控协议规则集时,则规则集指示字段的初始值为0,以及工控协议标识字段的初始值可以为0,即指示不支持工控协议的安全策略。
具体的,针对关联了工控协议规则集的安全策略,在对第一数据结构中规则集指示字段的值进行配置时,可以将第一子字段的值配置为指示存在关联的工控协议规则集的第一值,并将第二子字段的值配置为配置信息指示的工控协议规则集的标识信息。例如,以图4的安全策略为例,则将将第一子字段的值配置为1,且将第二子字段的值配置为“AAA1”。
采用上述类似的方法,还可以在安全网关设备中进行其他安全策略的配置。
本申请实施例中,针对支持工控协议的安全策略其配置方式统一,配置过程操作复杂度低,数据链路层工控协议与应用层工控协议安全策略不再区分配置,可任意定制配置工控协议规则集即可。这样,安全策略配置数量大大减少,系统资源占用减少,无需按不同工控协议来区分添加不同的安全策略。同时,对工控协议场景适应性较好,即可配置引用包含一种工控协议的工控协议规则集,也可以配置引用包含多种工控协议的工控协议规则集,还可选择不引用工控协议规则集,让策略只基于传统的安全策略进行检测防护,使用方式更加灵活。
本申请实施例中,当安全策略配置完成之后,则可以加载安全策略配置信息来构建安全策略树。参见图6所示,为安全策略树的构建过程的流程示意图。
步骤601:加载已配置的安全策略,并对加载的安全策略进行解析。
本申请实施例中,每当有安全策略更新或者新增安全策略时,都可以重新进行安全策略树的构建。
步骤602:初始化安全策略树的第二数据结构,第二数据结构包括用于指示当前加载的安全策略的安全策略索引变量temp_index。
其中,第二数据结构是指安全策略的存储结构,其可以为任意可能的存储结构,例如可以采用链式存储结构或者树型存储结构等,本申请实施例对此不做限制。
步骤603:是否成功读取一条已解析的安全策略。
若未读取成功,则表明安全策略已全部读取完毕,则流程结束,完成安全策略树的构建。
步骤604:若步骤603的结果为是,则判断当前读取的安全策略是否处于已启用状态。
若步骤604的判断结果为否,即当前读取的安全策略未处于已启用状态时,则跳转至步骤603执行,即继续读取下一条安全策略。
步骤605:若步骤604的结果为是,则确定当前读取的安全策略是否支持工控协议。
具体的,可以基于当前读取的安全策略中,规则集指示字段的值来确定当前读取的安全策略是否关联了工控协议规则集,以判断安全策略是否支持工控协议,当安全策略关联了工控协议规则集时,则该安全策略支持工控协议,否则当安全策略未关联工控协议规则集时,则该安全策略不支持工控协议。
其中,当步骤604的结果为否,即当前读取的安全策略不支持工控协议时,则跳转至步骤607执行。
步骤606:若步骤605的结果为是,则更新安全策略索引变量的值,并以更新后的安全策略索引变量的值,更新当前读取的安全策略中工控协议标识字段的值。
在一种实施方式中,若当前读取的安全策略支持工控协议时,则temp_index自增加一,并将该值赋给当前读取的安全策略的工控协议标识字段;若当前读取的安全策略不支持工控协议,则temp_index保持不变。
步骤607:将当前读取的安全策略的第一数据结构插入到第二数据结构中。
本申请实施例中,插入完成后,则跳转至步骤603执行,继续读取下一条安全策略。
步骤608:流程结束,完成安全策略树的构建。
本申请实施例中,安全策略树的构建过程实现简单,不区分处理数据链路层工控协议与应用层工控协议安全策略,并且在安全策略任意变更时,数据链路层工控协议流量检测都不会收到影响。
本申请实施例中,安全策略树构建完成之后,则可以基于构建成功的安全策略树进行安全策略的匹配。参见图7所示,为基于安全策略树的报文处理过程的流程示意图。
步骤701:接收工控协议报文,解码工控协议报文。
步骤702:根据解码得到的报文内容,判断工控协议报文的目标工控协议类型。
若目标工控协议类型为数据链路层工控协议,则跳转至步骤703执行,若目标工控协议类型为应用层工控协议,则跳转至步骤704执行。
步骤703:从安全策略树中,查找工控协议标识字段的值为预设值的目标安全策略。
本申请实施例中,为了数据链路层工控协议的安全策略能够精确匹配,并且为了后续进行维护时更能够有针对性的维护,预设值可以为操作人员预先设置的固定值,例如可以为1,那么当工控协议报文为数据链路层工控协议报文时,则从安全策略树中查找控协议标识字段为1的安全策略。当然,除了1之外,也可以设置为当前工控协议标识字段已存在的值中的其他任何值,例如3或者4等。
步骤704:将工控协议报文的五元组与安全策略树中各安全策略的五元组进行匹配,并将匹配成功的安全策略确定为目标安全策略。
本申请实施例中,考虑到应用层工控协议报文可以进行五元组的精确匹配,因而可以按照该工控协议报文的五元组,与各个安全策略进行匹配,以获取与五元组能够完全匹配的安全策略,该安全策略即为该工控协议报文的目标安全策略。
步骤705:是否查找到目标安全策略。
若未查到匹配的目标安全策略,那么表明该工控协议报文与任意安全策略均不匹配,则根据查找结果对报文进行下一步处理。其中,这里的处理方式可以是预先设置好的处理方式,具体是何种处理方式本申请对此并不进行限制。
步骤706:遍历目标安全策略引用的工控协议规则集,按报文特征值匹配工控协议规则,获得匹配结果。
步骤707:根据步骤705的查找结果或者步骤706的匹配结果,对报文进行下一步处理。
本申请实施例中,数据链路层工控协议报文检测只需匹配首条已启用并引用了工控协议规则集的安全策略,无论安全策略如何调整,均能保证数据链路层工控协议报文的检测,安全策略的使用更加灵活。并且,安全策略功能逻辑清晰,实现该方法系统资源占用大大减少,由于数据链路层工控协议流量与应用层工控协议报文的策略匹配入口与出口一致,设计上逻辑复用,系统资源占用较少,也更实现容易。
综上所述,本申请实施例提供的工控协议报文处理方法中,通过安全策略支持配置引用工控协议防护规则集,工控协议防护规则集支持同时添加数据链路层工控协议规则和应用层工控协议规则,配置安全策略时可选择引用工控协议规则集或不引用工控协议规则集,来实现所有工控协类型议的安全策略配置方式一致。并且,当工控协议报文到达时,经过协议解码后,通过查找安全策略匹配树,判断报文的工控协议类型,若报文是数据链路层工控协议报文,则查找工控协议标识字段为指定值的安全策略;若报文是应用层工控协议报文,则查找报文五元组与安全策略五元组配置相匹配的安全策略,当查到安全策略时,则根据安全策略引用的工控协议规则集是否与报文特征值相匹配,执行对报文的下一步处理;如果未查到安全策略,执行未查找到安全策略,对报文的下一步处理,从而实现了所有工控协议类型的安全策略检测匹配一致。
请参见图8,基于同一发明构思,本申请实施例还提供了一种工控协议报文处理装置80,该装置包括:
协议类型判断单元801,用于接收工控协议报文,并判断工控协议报文的目标工控协议类型;
安全策略查找单元802,用于根据目标工控协议类型,从预先存储的安全策略中,查找与目标工控协议类型匹配的目标安全策略;其中,预先存储的安全策略包括至少一条关联了工控协议规则集的安全策略,工控协议规则集包括至少一类工控协议对应的工控协议规则;
协议规则匹配单元803,用于基于目标安全策略关联的目标工控协议规则集中的各条工控协议规则,分别对工控协议报文进行协议规则匹配,获得匹配结果;
报文处理单元804,用于基于获得的匹配结果,对工控协议报文进行相应的报文处理。
可选的,该装置还包括配置单元805,用于:
基于接收的用于创建安全策略的配置请求,获取待创建安全策略的配置信息;
初始化待创建安全策略对应的第一数据结构,第一数据结构包括规则集指示字段,规则集指示字段用于指示待创建安全策略关联的工控协议规则集;
基于配置信息指示的工控协议规则集,对第一数据结构中规则集指示字段的值进行配置,获得已配置的安全策略。
可选的,规则集指示字段包括第一子字段和第二子字段,第一字段用于指示是否存在关联的工控协议规则集,第二字段用于指示关联的工控协议规则集的标识信息;
则配置单元805,具体用于:
将第一子字段的值配置为指示存在关联的工控协议规则集的第一值;并,
将第二子字段的值配置为配置信息指示的工控协议规则集的标识信息。
可选的,第一数据结构还包括工控协议标识字段,工控协议标识字段的值用于唯一标识所有关联了工控协议规则集的安全策略中的其中一个安全策略;
则配置单元805,具体用于:
分别将规则集指示字段与工控协议标识字段的值配置为初始值。
可选的,配置单元805,还用于:
加载已配置的安全策略,并对已配置的安全策略进行解析;
初始化安全策略树的第二数据结构,第二数据结构包括用于指示当前加载的安全策略的安全策略索引变量;
依次读取已解析的安全策略,并基于当前读取的安全策略中,规则集指示字段的值确定当前读取的安全策略是否关联了工控协议规则集;
若当前读取的安全策略关联了工控协议规则集,则更新安全策略索引变量的值,并以更新后的安全策略索引变量的值,更新当前读取的安全策略中工控协议标识字段的值;
将当前读取的安全策略的第一数据结构插入到第二数据结构中;
在所有安全策略加载完成时,完成安全策略树的构建。
可选的,配置单元805,还用于:
若当前读取的安全策略未关联工控协议规则集,则将当前读取的安全策略的第一数据结构插入到第二数据结构中。
可选的,配置单元805,具体用于:
确定当前读取的安全策略是否处于已启用状态;
若确定当前读取的安全策略处于已启用状态,基于当前读取的安全策略中,规则集指示字段的值确定当前读取的安全策略是否关联了工控协议规则集;
若确定当前读取的安全策略未处于已启用状态,则读取下一条安全策略。
可选的,至少一类工控协议包括数据链路层工控协议和应用层工控协议;
则安全策略查找单元802,具体用于:
若确定目标工控协议类型为数据链路层工控协议,则从安全策略树中,查找工控协议标识字段的值为预设值的目标安全策略;
若目标工控协议类型为应用层工控协议,则将工控协议报文的五元组与安全策略树中各安全策略的五元组进行匹配,并将匹配成功的安全策略确定为目标安全策略。
可选的,配置单元805,还用于:
接收请求创建工控协议规则集的创建请求,并获取创建请求携带的待创建的工控协议规则集包括的至少一个工控协议规则;其中,至少一个工控协议规则包括至少一种工控协议类型对应的工控协议规则;
基于至少一个工控协议规则,创建工控协议规则集。
该装置可以用于执行本申请各实施例中所示的方法,因此,对于该装置的各功能模块所能够实现的功能等可参考前述实施例的描述,不多赘述。通过该装置,支持工控协议检测的安全策略可以通过关联工控协议规则集来实现,而一个工控协议规则集中可以支持多种工控协议规则,也就是说,可以在一个工控协议规则集中,同时进行数据链路层工控协议和应用层工控协议的配置,从而能够实现这两种工控协议的统一配置。此外,当接收到工控协议报文时,可以基于其对应的目标工控协议类型,查找匹配的目标安全策略,从而利用目标安全策略中的各条工控协议规则进行协议规则匹配,来确定对该工控协议报文如何进行处理,可见,无论是何种工控协议,都可以统一按照上述的过程来实现安全策略的检测匹配,实现了不同工控协议的安全策略的检测匹配逻辑一致,从而降低了后续故障定位的复杂度。
请参见图9,基于同一技术构思,本申请实施例还提供了一种计算机设备90,该计算机设备90可以为图1所示的安全网关设备,该计算机设备90可以包括存储器901和处理器902。
所述存储器901,用于存储处理器902执行的计算机程序。存储器901可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据计算机设备的使用所创建的数据等。处理器902,可以是一个中央处理单元(central processing unit,CPU),或者为数字处理单元等等。本申请实施例中不限定上述存储器901和处理器902之间的具体连接介质。本申请实施例在图9中以存储器901和处理器902之间通过总线903连接,总线903在图9中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线903可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器901可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器901也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器901是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器901可以是上述存储器的组合。
处理器902,用于调用所述存储器901中存储的计算机程序时执行上述各个实施例中设备所执行的方法。
在一些可能的实施方式中,本申请提供的方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在计算机设备上运行时,所述程序代码用于使所述计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的方法中的步骤,例如,所述计算机设备可以执行上述各个实施例中设备所执行的方法。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种工控协议报文处理方法,其特征在于,所述方法包括:
接收工控协议报文,并判断所述工控协议报文的目标工控协议类型;
根据所述目标工控协议类型,从预先存储的安全策略中,查找与所述目标工控协议类型匹配的目标安全策略;其中,所述预先存储的安全策略包括至少一条关联了工控协议规则集的安全策略,所述工控协议规则集包括至少一类工控协议对应的工控协议规则;
基于所述目标安全策略关联的目标工控协议规则集中的各条工控协议规则,分别对所述工控协议报文进行协议规则匹配,获得匹配结果;
基于获得的所述匹配结果,对所述工控协议报文进行相应的报文处理。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
基于接收的用于创建安全策略的配置请求,获取待创建安全策略的配置信息;
初始化所述待创建安全策略对应的第一数据结构,所述第一数据结构包括规则集指示字段,所述规则集指示字段用于指示待创建安全策略关联的工控协议规则集;
基于所述配置信息指示的工控协议规则集,对所述第一数据结构中所述规则集指示字段的值进行配置,获得已配置的安全策略。
3.如权利要求2所述的方法,其特征在于,所述规则集指示字段包括第一子字段和第二子字段,所述第一子字段用于指示是否存在关联的工控协议规则集,所述第二子字段用于指示关联的工控协议规则集的标识信息;
则基于所述配置信息指示的工控协议规则集,对所述第一数据结构中所述规则集指示字段的值进行配置,包括:
将所述第一子字段的值配置为指示存在关联的工控协议规则集的第一值;并,
将所述第二子字段的值配置为所述配置信息指示的工控协议规则集的标识信息。
4.如权利要求2所述的方法,其特征在于,所述第一数据结构还包括工控协议标识字段,工控协议标识字段的值用于唯一标识所有关联了工控协议规则集的安全策略中的其中一个安全策略;
则初始化所述待创建安全策略对应的第一数据结构,包括:
分别将所述规则集指示字段与所述工控协议标识字段的值配置为初始值。
5.如权利要求4所述的方法,其特征在于,在基于所述配置信息指示的工控协议规则集,对所述第一数据结构中所述规则集指示字段的值进行配置,获得已配置的安全策略之后,所述方法还包括:
加载已配置的安全策略,并对已配置的安全策略进行解析;
初始化安全策略树的第二数据结构,所述第二数据结构包括用于指示当前加载的安全策略的安全策略索引变量;
依次读取已解析的安全策略,并基于当前读取的安全策略中,所述规则集指示字段的值确定所述当前读取的安全策略是否关联了工控协议规则集;
若所述当前读取的安全策略关联了工控协议规则集,则更新所述安全策略索引变量的值,并以更新后的安全策略索引变量的值,更新所述当前读取的安全策略中所述工控协议标识字段的值;
将当前读取的安全策略的第一数据结构插入到所述第二数据结构中;
在所有安全策略加载完成时,完成所述安全策略树的构建。
6.如权利要求5所述的方法,其特征在于,基于当前读取的安全策略中,所述规则集指示字段的值确定所述当前读取的安全策略是否关联了工控协议规则集,包括:
确定所述当前读取的安全策略是否处于已启用状态;
若确定所述当前读取的安全策略处于已启用状态,基于当前读取的安全策略中,所述规则集指示字段的值确定所述当前读取的安全策略是否关联了工控协议规则集;
若确定所述当前读取的安全策略未处于已启用状态,则读取下一条安全策略。
7.如权利要求5或6所述的方法,其特征在于,所述至少一类工控协议包括数据链路层工控协议和应用层工控协议;
则根据所述目标工控协议类型,从预先存储的安全策略中,查找与所述目标工控协议类型匹配的目标安全策略,包括:
若确定所述目标工控协议类型为所述数据链路层工控协议,则从所述安全策略树中,查找所述工控协议标识字段的值为预设值的所述目标安全策略;
若所述目标工控协议类型为所述应用层工控协议,则将所述工控协议报文的五元组与所述安全策略树中各安全策略的五元组进行匹配,并将匹配成功的安全策略确定为所述目标安全策略。
8.一种工控协议报文处理装置,其特征在于,所述装置包括:
协议类型判断单元,用于接收工控协议报文,并判断所述工控协议报文的目标工控协议类型;
安全策略查找单元,用于根据所述目标工控协议类型,从预先存储的安全策略中,查找与所述目标工控协议类型匹配的目标安全策略;其中,所述预先存储的安全策略包括至少一条关联了工控协议规则集的安全策略,所述工控协议规则集包括至少一类工控协议对应的工控协议规则;
协议规则匹配单元,用于基于所述目标安全策略关联的目标工控协议规则集中的各条工控协议规则,分别对所述工控协议报文进行协议规则匹配,获得匹配结果;
报文处理单元,用于基于获得的所述匹配结果,对所述工控协议报文进行相应的报文处理。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,
所述处理器执行所述计算机程序时实现权利要求1至7任一项所述方法的步骤。
10.一种计算机存储介质,其上存储有计算机程序指令,其特征在于,
该计算机程序指令被处理器执行时实现权利要求1至7任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111241985.3A CN113965386B (zh) | 2021-10-25 | 2021-10-25 | 工控协议报文处理方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111241985.3A CN113965386B (zh) | 2021-10-25 | 2021-10-25 | 工控协议报文处理方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113965386A CN113965386A (zh) | 2022-01-21 |
CN113965386B true CN113965386B (zh) | 2023-11-03 |
Family
ID=79466777
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111241985.3A Active CN113965386B (zh) | 2021-10-25 | 2021-10-25 | 工控协议报文处理方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113965386B (zh) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1581803A (zh) * | 2004-05-20 | 2005-02-16 | 中国科学院软件研究所 | 用于网络数据交换的安全平台 |
EP2175603A1 (en) * | 2008-10-09 | 2010-04-14 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
CN102480462A (zh) * | 2010-11-23 | 2012-05-30 | 中国电信股份有限公司 | 通用协议适配方法及装置 |
CN107222496A (zh) * | 2017-06-29 | 2017-09-29 | 北京东土军悦科技有限公司 | 基于现场层设备的报文的安全策略匹配方法和现场层设备 |
CN109379375A (zh) * | 2018-11-28 | 2019-02-22 | 杭州迪普科技股份有限公司 | 访问控制规则的获取方法、装置及网络设备 |
CN109617927A (zh) * | 2019-01-30 | 2019-04-12 | 新华三信息安全技术有限公司 | 一种匹配安全策略的方法及装置 |
CN109889546A (zh) * | 2019-03-28 | 2019-06-14 | 北京邮电大学 | 一种快速细粒度多域网络互联安全控制方法 |
CN110120942A (zh) * | 2019-04-17 | 2019-08-13 | 新华三信息安全技术有限公司 | 安全策略规则匹配方法及装置、防火墙设备及介质 |
CN110620729A (zh) * | 2019-10-25 | 2019-12-27 | 新华三信息安全技术有限公司 | 一种报文转发方法、装置及报文转发设备 |
CN111147519A (zh) * | 2019-12-31 | 2020-05-12 | 奇安信科技集团股份有限公司 | 数据检测方法、装置、电子设备和介质 |
CN112788059A (zh) * | 2021-01-28 | 2021-05-11 | 新华三信息安全技术有限公司 | 一种策略识别方法及装置 |
CN113132419A (zh) * | 2021-06-17 | 2021-07-16 | 紫光恒越技术有限公司 | 报文转发方法、装置、交换机、路由器及服务器 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6988106B2 (en) * | 2003-07-09 | 2006-01-17 | Cisco Technology, Inc. | Strong and searching a hierarchy of items of particular use with IP security policies and security associations |
US9379998B2 (en) * | 2014-02-07 | 2016-06-28 | International Business Machines Corporation | Symmetric coherent request/response policy enforcement |
US10721275B2 (en) * | 2017-01-23 | 2020-07-21 | Fireeye, Inc. | Automated enforcement of security policies in cloud and hybrid infrastructure environments |
-
2021
- 2021-10-25 CN CN202111241985.3A patent/CN113965386B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1581803A (zh) * | 2004-05-20 | 2005-02-16 | 中国科学院软件研究所 | 用于网络数据交换的安全平台 |
EP2175603A1 (en) * | 2008-10-09 | 2010-04-14 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
CN102480462A (zh) * | 2010-11-23 | 2012-05-30 | 中国电信股份有限公司 | 通用协议适配方法及装置 |
CN107222496A (zh) * | 2017-06-29 | 2017-09-29 | 北京东土军悦科技有限公司 | 基于现场层设备的报文的安全策略匹配方法和现场层设备 |
CN109379375A (zh) * | 2018-11-28 | 2019-02-22 | 杭州迪普科技股份有限公司 | 访问控制规则的获取方法、装置及网络设备 |
CN109617927A (zh) * | 2019-01-30 | 2019-04-12 | 新华三信息安全技术有限公司 | 一种匹配安全策略的方法及装置 |
CN109889546A (zh) * | 2019-03-28 | 2019-06-14 | 北京邮电大学 | 一种快速细粒度多域网络互联安全控制方法 |
CN110120942A (zh) * | 2019-04-17 | 2019-08-13 | 新华三信息安全技术有限公司 | 安全策略规则匹配方法及装置、防火墙设备及介质 |
CN110620729A (zh) * | 2019-10-25 | 2019-12-27 | 新华三信息安全技术有限公司 | 一种报文转发方法、装置及报文转发设备 |
CN111147519A (zh) * | 2019-12-31 | 2020-05-12 | 奇安信科技集团股份有限公司 | 数据检测方法、装置、电子设备和介质 |
CN112788059A (zh) * | 2021-01-28 | 2021-05-11 | 新华三信息安全技术有限公司 | 一种策略识别方法及装置 |
CN113132419A (zh) * | 2021-06-17 | 2021-07-16 | 紫光恒越技术有限公司 | 报文转发方法、装置、交换机、路由器及服务器 |
Also Published As
Publication number | Publication date |
---|---|
CN113965386A (zh) | 2022-01-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107342952B (zh) | 业务链路选择控制方法以及设备 | |
TWI674012B (zh) | 一種無線上網流量控制的方法和裝置 | |
EP3337219A1 (en) | Carrier configuration processing method, device and system, and computer storage medium | |
EP3972207B1 (en) | Message processing method, device, and computer storage medium | |
CN108377262A (zh) | 管理网络设备处的服务链的方法、对应的网络设备 | |
CN109819498A (zh) | 一种智能设备、智能设备自动配网方法及系统 | |
CN107371234B (zh) | 注册方法、装置及终端 | |
CN111756674A (zh) | 网络通信方法、系统、设备及计算机可读存储介质 | |
CN106789486B (zh) | 共享接入的检测方法、装置、电子设备及计算机可读存储介质 | |
CN112423322B (zh) | 型号信息发送方法、装置、存储介质及电子装置 | |
CN108337739A (zh) | 建立无线调试连接的方法及装置、数据处理方法 | |
CN111263377A (zh) | 网络配置方法、装置、设备、系统和配网测试方法、系统 | |
CN105744593A (zh) | 一种节点入网方法及装置 | |
CN107645789A (zh) | 入网的方法、装置及系统 | |
CN113965386B (zh) | 工控协议报文处理方法、装置、设备及存储介质 | |
CN112954716A (zh) | 网状网络的入网方法、装置、计算机设备以及存储介质 | |
CN102904935B (zh) | 基于家庭网关的下载方法、设备和系统 | |
KR20210043654A (ko) | 자원 구성을 위한 방법, 장치 및 저장 매체 | |
JP4689388B2 (ja) | 通信装置、その制御方法及び制御プログラム | |
CN108574637B (zh) | 一种地址自学习的方法、装置及交换机 | |
CN113132332B (zh) | 组网登录方法、家电设备、家电系统及存储介质 | |
CN116489237A (zh) | 数据包处理方法、装置及网络设备 | |
CN110505189B (zh) | 终端安全代理突破的识别方法、识别设备及存储介质 | |
CN106559439A (zh) | 一种业务处理方法及设备 | |
CN113079128A (zh) | 信息封堵方法、装置、计算设备及计算机存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |