CN115086056A - 一种车载以太网防火墙分类统计方法、装置和设备 - Google Patents

Abstract

本发明提供一种车载以太网防火墙分类统计方法、装置和设备，方案首先配置防火墙规则，为每一条防火墙规则定义唯一的标签信息，并基于预先定义的预设规则统计信息，设定各个规则统计组基于所述标签信息的过滤条件，在获取到防火墙规则统计信息及其对应的标签信息后，通过各个规则统计组的过滤条件以及上述标签信息，来确定防火墙规则统计信息与所述规则统计组之间的对应关系，以使得规则统计组能够统计制定目标的防火墙规则统计信息，使得系统对于防火墙规则统计信息能够进行灵活管理，从而更能满足用户的不同需求，极大地方便了用户的统计信息收集。

Description

一种车载以太网防火墙分类统计方法、装置和设备

技术领域

本发明涉及通信技术领域，特别涉及一种通过netfilter/iptables实现的车载以太网防火墙分类统计方法、装置和设备。

背景技术

Linux的包过滤防火墙是基于netfilter/iptables实现的，管理员可以通过iptables命令来配置规则，对接收到的数据报文进行过滤。这些规则通常指定了源IP地址，目的IP地址，源端口，目的端口，传输协议等需要匹配的信息，以及匹配上规则所要采取的动作。当接收到的数据报文与某条规则匹配，则根据该规则所定义的动作来进行处理，并且统计匹配规则的报文个数和字节数。

现有的防火墙定义的规则中，定义了报文需要匹配的字段，各规则都是独立存在的，如果要收集所有规则的统计信息，并按照服务类型对这些信息进行分类汇总，只能基于规则逐条处理，分析匹配字段的特征，识别出该条规则属于哪类服务，然后，按照服务类型进行汇总，显然，这样处理是非常低效的。

发明内容

有鉴于此，本发明实施例提供一种车载以太网防火墙分类统计方法、装置和设备，以提高所有规则的处理数据的高效统计。

为实现上述目的，本发明实施例提供如下技术方案：

一种车载以太网防火墙分类统计方法，包括：

配置防火墙规则，其中，在配置防火墙规则时，为iptables的每一条防火墙规则定义唯一的标签信息，所述标签信息包括多元组信息；

获取预先定义的待统计的信息和预设规则统计信息，其中，所述待统计的信息与所述多元组信息中的每个成员组对应设置；

基于所述预设规则统计信息，设定各个规则统计组基于所述标签信息的过滤条件，其中，所述过滤条件包括所述多元组信息中的任何一个或者多个成员的组合；

获取防火墙规则统计信息及其对应的标签信息；

基于所述防火墙规则统计信息对应的标签信息匹配统计组过滤条件，并根据匹配结果，将所述防火墙规则统计信息计入相应的统计组。

可选的，上述车载以太网防火墙分类统计方法中，所述多元组信息包括五元组信息或六元组信息；

所述五元组信息或六元组信息至少用于定义所述防火墙规则所匹配的报文的来源、去处、报文的方向以及报文类型。

可选的，上述车载以太网防火墙分类统计方法中，

所述五元组信息或所述六元组信息以字符串形式保存在对应的所述匹配规则中；

所述五元组信息或所述六元组信息中的每个成员均以字符串形式表示，成员之间采用“_”连接。

可选的，上述车载以太网防火墙分类统计方法中，所述五元组信息中的成员信息包括：

入接口或出接口标识；

转发方向标识；

来源标识；

去向标识；

服务类型标识；

所述六元组信息中的成员包括：

入接口标识；

转发方向标识；

出接口标识；

来源标识；

去向标识；

指服务类型标识。

可选的，上述车载以太网防火墙分类统计方法中，当所述匹配规则隶属于INPUT链或OUTPUT链时，所述匹配规则对应的标签信息为五元组信息；

当所述匹配规则隶属于FORWARD链时，所述匹配规则对应的标签信息为六元组信息。

可选的，上述车载以太网防火墙分类统计方法中，所述预设规则统计信息，包括：

第一规则统计组用于统计从接口eth1上收到的，目的为本地ECU的报文数；

第二规则统计组用于统计从CVS上发送过来的，目的为本ECU的MQTT报文数；

第三规则统计组用于统计从本地发出的去往CVS的所有报文；

第四规则统计组用于统计从CVS发送到云端经过TBOX转发的IDPS报文数。

可选的，上述车载以太网防火墙分类统计方法中，基于所述预设规则统计信息，设定各个规则统计组基于所述标签信息的过滤条件，包括：

设定所述第一规则统计组的过滤条件为：tuple5(eth1,in,any,TBOX,any)；

设定所述第二规则统计组的过滤条件为：tuple5(any,in,CVS,TBOX，MQTT)；

设定所述第三规则统计组的过滤条件为：tuple5(any,out,TBOX,CVS,any)；

设定所述第四规则统计组的过滤条件为：tuple6(any,Fwd,any,CVS,Remote,IDPS)；

其中，所述tuple5中的各个成员与所述五元组信息中的各个成员一一对应，所述tuple6中的各个成员与所述六元组信息中的各个成员一一对应，所述any表示，该成员为任意值。

可选的，上述车载以太网防火墙分类统计方法中，所述获取防火墙规则统计信息及其对应的标签信息，包括：

用户通过iptables或者libiptc库来获取防火墙中每一个防火墙规则的详细信息，其中，所述详细信息至少包括该防火墙规则的统计信息、防火墙规则对应的标签信息。

可选的，上述车载以太网防火墙分类统计方法中，基于所述防火墙规则统计信息对应的标签信息匹配统计组过滤条件，并根据匹配结果，将所述防火墙规则统计信息计入相应的统计组，包括：

将所述防火墙规则统计信息对应的标签信息匹配所有的规则统计组对应的过滤条件，以确定每个防火墙规则统计信息对应的一个或多个规则统计组，并将该防火墙规则统计信息的统计信息添加到对应的一个或多个规则统计组中。

一种车载以太网防火墙分类统计装置，包括：

标签配置单元，用于配置防火墙规则，其中，在配置防火墙规则时，为iptables的每一条防火墙规则定义唯一的标签信息，所述标签信息包括多元组信息；

统计信息定义单元，用于获取预先定义的待统计的信息和预设规则统计信息，其中，所述待统计的信息与所述多元组信息中的每个成员组对应设置；

过滤条件配置单元，用于基于所述预设规则统计信息，设定各个规则统计组基于所述标签信息的过滤条件，其中，所述过滤条件包括所述多元组信息中的任何一个或者多个成员的组合；

统计信息分配单元，用于获取防火墙规则统计信息及其对应的标签信息，基于所述防火墙规则统计信息对应的标签信息匹配统计组过滤条件，并根据匹配结果，将所述防火墙规则统计信息计入相应的统计组。

基于上述技术方案，本发明实施例提供的上述方案，首先配置防火墙规则，为每一条防火墙规则定义唯一的标签信息，并基于预先定义的预设规则统计信息，设定各个规则统计组基于所述标签信息的过滤条件，在获取到防火墙规则统计信息及其对应的标签信息后，通过各个规则统计组的过滤条件以及上述标签信息，来确定防火墙规则统计信息与所述规则统计组之间的对应关系，以使得规则统计组能够统计制定目标的防火墙规则统计信息，使得系统对于防火墙规则统计信息能够进行灵活管理，从而更能满足用户的不同需求，极大地方便了用户的统计信息收集

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为基于Netfilter架构下的iptables filter表的规则匹配流程图；

图2为INPUT链，OUTPUT链，FORWARD链规则的特征信息与标签的各字段的对应关系示意图；

图3为本申请实施例公开的车载以太网防火墙分类统计方法的流程示意图；

图4为本申请实施例提供的一种防火墙统计信息与规则统计组的对应关系示意图；

图5为本申请实施例提供的一种防火墙统计信息与规则统计组的对应关系示意图；

图6为本申请实施例公开的车载以太网防火墙分类统计装置示意图；

图7为本申请实施例公开的对应的车载以太网防火墙分类统计设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在防火墙系统中，INPUT链，FORWARD链和OUTPUT链是通用防火墙软件(简称iptables，其用于定义Netfilter框架中的规则，运行在用户平面)定义的规则链，用户可以在INPUT链，FORWARD链和OUTPUT链中利用iptables命令添加预先设置的规则，所有添加的规则形成链表，例如，所添加的规则的格式可以为：iptables-A INPUT-i eth1-p udp–dport 53-j ACCEPT，该条规则中，A INPUT表示：在INPUT规则链尾部添加规则，-i eth1表示：数据包是从eth1口接收上来的，-p udp表示：数据包为UDP包，--dport表示：目的端口为53，-j ACCEPT表示：接受匹配上面条件的数据包，该规则可以在INPUT链尾添加如上规则，该规则的动作为ACCEPT，表示匹配上该规则的报文要继续处理。规则的动作还有DROP，REJECT，表示匹配该规则的报文要丢弃。当一个数据包从网络接口接收上来，到达IP层，查找路由后，如果发现这个数据包目的地址是本地IP，即到达本地的数据包，会匹配iptablesINPUT链中的各条防火墙规则，如果数据包匹配上某条防火墙规则，则执行该规则的定义的动作；对于目的地址不是本地的数据包，会匹配iptables FORWARD链中的各条防火墙规则；对于本地发出的数据包，在查找路由之后，会匹配iptables OUTPUT链中的各条防火墙规则。

在Netfilter架构(Linux系统中用于报文过滤的框架，提供一整套hook函数的管理机制)下的iptables filter表的规则匹配流程图如图1所示，处理流程可以包括：

S0：待处理的数据包到达物理接口Interface 1；

S1：将数据包送到IP层准备进行路由查找；

S2：根据查找路由的结果，如果该数据包的目的地址为本地IP，则顺序匹配INPUT链的所有规则，并根据匹配到的规则的行为决定是继续处理，还是丢弃；

在查找路由时，主要是根据目的IP来查找系统路由表，当目的IP为本地任何一个网络接口的IP时，该数据包即为到达本地的数据包。

S3：将需要继续处理的数据包送到本地应用；

S4：如果查找路由的结果，发现该数据包是需要转发的数据包时，则顺序匹配FORWARD链的所有规则，并根据匹配到的规则的行为决定是继续处理，还是丢弃；

如果路由查找结果表明目的地址不是本地IP，则是需要转发的数据包；根据查找路由的结果可以确定该数据包需要从哪个网络接口发送出去，以及对应的网关IP是多少。

S5：本地应用向防火墙发送数据包，进入路由模块Route；

S6：路由查找后，则将所述数据包顺序匹配OUPUT链上的所有规则，并根据匹配到的规则的行为决定是继续处理、还是丢弃数据包；

S7：对于需要继续处理的数据包，发送到对应的物理接口；

S8：将数据包从物理接口发送出去。

为了实现对服务类型的快速汇总，本申请在不改变原有功能的基础上，对iptables的功能进行了扩展，增加了标签字段，该标签字段定义了防火墙规则所对应的服务类型等关键信息，在收集防火墙规则的统计信息时，只需按照设定的标签字段的服务类型进行统计，从而实现按服务进行快速分类统计的功能。

图2是本发明的INPUT链，OUTPUT链，FORWARD链规则的特征信息与标签的各字段的对应关系，图2中INPUT链，OUTPUT链，FORWARD链对应的行中的字符分别表示各个链的防火墙规则对应的字段内容，TAG对应的行中的各字符则是对应的标签的各个字段。

参见图2，对于INPUT链和OUTPUT链中iptables规则对应的标签的各字段包括以下信息：接口，方向，源ECU，目的ECU，服务。

如果是INPUT链中iptables的标签，

接口：指入接口，即数据包是从该接口接收上来的；

方向：入方向；

源ECU：指数据包从哪个ECU发送过来的，该字段与iptables INPUT链规则中的源IP相对应，即规则中的源IP为标签字段中源ECU接口的某个IP地址；

目的ECU：指数据包发送到哪个ECU，该字段与iptables INPUT链规则中的目的IP相对应，即规则中的目的IP为标签字段中目的ECU接口的某个IP地址；

服务：为了基于服务类型进行统计，我们根据不同的目的端口和协议定义了不同的服务类型。

如果是OUTPUT链中iptables规则的标签：

接口：指出接口，即数据包从该接口发送出去；

方向：出方向；

其它字段INPUT链的标签字段；

对于FORWARD链中iptables规则对应的标签各个字段包括：入接口，方向，出接口，源ECU，目的ECU，服务。

其中，入接口，出接口，源ECU，目的ECU，服务与前面描述相同；方向为转发方向。

参见图3，本申请实施例公开的基于标签的统计方法，可以包括：

步骤S101：配置防火墙规则；

其中，在配置防火墙规则时，为iptables的每一条防火墙规则定义唯一的标签信息，所述标签信息包括多元组信息；

在本步骤中，需要通过iptables/libiptc配置防火墙规则，在配置防火墙规则时，需要为每一条防火墙规则指定唯一的标签信息，通过标签来记录iptables规则(防火墙规则)的特性，所述标签的具体类型和内容可以根据用户需求自行设定，例如，在本申请实施例公开的技术方案中，如果本方案的应用场景为车载以太网时，考虑车上ECU的数据报文特点，为了便于统计信息更有利于分析车内数据流，该标签可以包括预设的多元组信息，例如五元组信息或六元组信息，通过所述五元组信息或六元组信息的成员，即可表明其对应的iptables规则的特性，通过该特性可以表明所述iptables规则的特性至少用于表征所述iptables规则处理的报文数据的发送者和接收者。在为每条iptables规则配置标签信息时，可以基于所述iptables规则所属的链的类型不同，为所述iptables规则配置不同类型的标签信息，具体的，可以包括：判断所述iptables规则所对应的链的类型；当判定所述iptables规则为INPUT链和OUTPUT链上的规则时，为所述iptables规则配置五元组信息；当判定所述iptables规则为FORWARD链上的规则时，为所述iptables规则配置六元组信息。

具体所述标签信息的定义方法，参考图2，对于INPUT链和OUTPUT链上的iptables规则，对应的标签信息为五元组信息tuple5(Interface,Direction,From Ecu,To Ecu,Service)，其中Interface对应规则中的入接口或出接口标识；Direction指规则的方向标识，如果iptables规则是INPUT链上的规则，则其对应的五元组信息tuple5中的Direction为in，即入方向，如果是iptables规则OUTPUT链上的规则，则其对应的五元组信息tuple5中的Direction为out，即出方向；From ECU为该规则的来源标识(来源ECU)，由规则中的源IP来确定；To ECU为该规则的去向标识(去向ECU)，由规则中的目的IP来确定；Service指服务类型标识，由规则中的目的端口和协议来确定。例如，tuple5(eth1,in,TBOX,CVS,DNS)表示在CVS上，统计从eth1接口接收到的从TBOX到本ECU的DNS报文。

对于FORWARD链上的规则，对应的标签为六元组信息tuple6(Ingress Interface,Direction,Egress Interface,From Ecu,To Ecu,Service)，其中Ingress Interface对应规则中的入接口标识；Direction为forward，即转发方向标识；Egress Interface对应规则中的出接口标识；From ECU为该规则的来源标识(来源ECU)，由规则中的源IP来确定；ToECU为该规则的去向标识(去向ECU)，由规则中的目的IP来确定；Service指服务类型标识，由规则中的目的端口和协议来确定。例如，tuple6(eth1,Fwd,wwan0,CVS,Remote,MQTT)表示在TBOX上统计从CVS发往外网的，从TBOX的eth1接收进来，经TBOX从wwan0转发出去的MQTT报文。

这些五元组信息或六元组信息定义了防火墙规则所匹配的报文来源、去处、报文的方向(是本ECU接收的，发送或者是转发的)以及报文类型，通过这些五元组信息或六元组信息可以全面记录一个ECU上数据流的情况。

为了便于数据处理，所述五元组信息或所述六元组信息可以以字符串形式保存在对应的所述匹配规则中。所述五元组信息或所述六元组信息中的每个成员均以字符串形式表示，成员之间用“_”连接，形成的标签以字符串的形式保存在每一个防火墙规则中。用户在配置防火墙规则时，都要根据上述的原则，通过预先配置的iptables命令选项“-T<Tag>”，为每条防火墙规则指定一个标签信息。在读取防火墙规则的统计信息时，该标签信息也会随着每一条防火墙规则的统计信息一起获取到。

如，用户通过iptables配置了下面一条关于DNS服务的规则rule1，其具体表现形式为：

iptables-A INPUT-T“eth1_in_DNS_RDU_TBOX”-i eth1-s 192.168.1.12-d192.168.1.24-p udp–dport 53-j ACCEPT。

步骤S102：获取预先定义的待统计的信息和预设规则统计信息；

本步骤中，具体用于根据用户的使用需求，预先定义待统计的信息和预设规则统计信息，所述待统计的信息与所述多元组信息中的每个成员组对应设置。所述预设规则统计信息用于规定各个规则统计组统计何种报文，例如，在本方案中可以预先配置第一规则统计组、第二规则统计组、第三规则统计组和第四规则统计组，基于所述预设统计规则统计信息定义：第一规则统计组用于统计从接口eth1上收到的，目的为本地ECU的报文数；第二规则统计组用于统计从CVS上发送过来的，目的为本ECU的MQTT报文数；第三规则统计组用于统计从本地发出的去往CVS的所有报文；第四规则统计组用于统计从CVS发送到云端经过TBOX转发的IDPS报文数。

步骤S103：基于所述预设规则统计信息，设定各个规则统计组基于所述标签信息的过滤条件。

在本方案中，不同的规则统计组所统计的内容不同，为了便于确定防火墙规则的统计内容与所述规则统计组之间的对应关系，在确定所述预设规则统计信息以后，可以基于所述预设规则统计信息为各个规则统计组配置相应的过滤条件，通过所述过滤条件使得每个防火墙规则的统计信息与所述规则统计组相对应，以使得所述规则统计组能够对相应的防火墙规则所处理的报文的情况进行统计。

在配置所述规则统计组所对应的过滤条件时，可以基于所述预设规则统计信息确定该规则统计组所需统计的报文对应的一个或多个防火墙规则，再基于这些防火墙规则所对应的标签信息，配置相应的过滤条件，通过这些过滤条件，即可将将防火墙规则统计信息划分至各个规则统计组中。

在本方案中，每个规则统计组可以设置至少一个过滤条件，只要所述防火墙规则统计信息对应的标签信息满足其中任意一个过滤条件时，就可以认为该防火墙规则统计信息，与所述标签信息相对应，所述过滤条件可以是五元组信息或六元组信息中的所有成员组，当然也可以是其中的任何一个或者多个成员的组合。例如，上面例子中提到的第一预设统计组是要统计从接口eth1上收到的，目的为本地ECU的报文数，其配置的基于标签信息的过滤条件C1为：Interface为eth1，Direction为in，Service为any。即，所述过滤条件与五元组信息适配，该过滤条件可以表示为：tuple5(eth1,in,any,TBOX,any)，其中any表示该元组可以为任意值，所述过滤条件中的各个成员与所述标签信息中的各个成员一一对应，所述第二规则统计组是要统计从CVS上发送过来的，目的为本ECU的MQTT报文数，则对应的基本标签过滤条件C2为：From ECU为CVS，Direction为in，Service为MQTT服务。所述过滤条件C2可以表示为tuple5(any,in,CVS,TBOX，MQTT)；第三规则统计组是要统计从本地发出的去往CVS的所有报文，则对应的基本标签过滤条件C3为：To ECU为CVS，Direction为out。所述过滤条件C3可以表示为tuple5(any,out,TBOX,CVS,any)；第四规则统计组4是要统计从CVS发送到云端经过TBOX转发的IDPS报文数，则对应的基本标签过滤条件C4为：From ECU为CVS，To ECU为Remote，Direction为Fwd，Service为IDPS。所述过滤条件C4可以表示为tuple6(any,Fwd,any,CVS,Remote,IDPS)。

步骤S104：获取防火墙规则统计信息及其对应的标签信息；

每个防火墙在处理完报文以后，会生成对应的防火墙规则统计信息，在本方案中，建立这些防火墙规则统计信息与所述防火墙规则的标签信息之间的映射关系或者是将两者进行绑定，在获取到所述防火墙规则统计信息以后，可以基于该映射关系或者是绑定关系获取与其对应的标签信息。

步骤S105：基于所述防火墙规则统计信息对应的标签信息匹配统计组过滤条件，并根据匹配结果，将所述防火墙规则统计信息计入相应的统计组。

在本步骤中，在获取到所述防火墙规则统计信息后，将所述防火墙规则统计信息对应的标签信息匹配所有的规则统计组对应的过滤条件，可以确定每个防火墙规则统计信息对应的一个或多个规则统计组，在确定其对应的规则统计组后，并将该防火墙规则统计信息的统计信息添加到与其对应的一个或多个规则统计组中。

参见图4，同一个防火墙规则统计信息可以同时匹配上多个不同的过滤条件，参见图5，多个不同的防火墙规则统计信息也可以同时匹配上同一个过滤条件，具体的，所述防火墙规则统计信息所匹配上的过滤条件的数量由其对应的标签信息以及各个规则统计组对应的过滤条件的本身配置内容决定。

由上述方案可见，在本方案中，通过在防火墙规则中增加标签信息，通过各个规则统计组的过滤条件以及上述标签信息，来确定防火墙规则统计信息与所述规则统计组之间的对应关系，以使得规则统计组能够统计制定目标的防火墙规则统计信息，使得系统对于防火墙规则统计信息能够进行灵活管理，从而更能满足用户的不同需求，极大地方便了用户的统计信息收集。

对应于上述方法，本实施例中公开了一种车载以太网防火墙分类统计装置，装置中的各个单元的具体工作内容，请参见上述方法实施例的内容。

下面对本发明实施例提供的车载以太网防火墙分类统计装置进行描述，下文描述的车载以太网防火墙分类统计装置与上文描述的车载以太网防火墙分类统计方法可相互对应参照。

参见图6，本申请实施例公开的车载以太网防火墙分类统计装置可以包括：标签配置单元A、统计信息定义单元B、过滤条件配置单元C、统计信息分配单元D；

所述标签配置单元A，其与上述方法中步骤S101相对应，用于配置防火墙规则，其中，在配置防火墙规则时，为iptables的每一条防火墙规则定义唯一的标签信息，所述标签信息包括多元组信息；

统计信息定义单元B，其与上述方法中步骤S102相对应，用于获取预先定义的待统计的信息和预设规则统计信息，其中，所述待统计的信息与所述多元组信息中的每个成员组对应设置；

过滤条件配置单元C，其与上述方法中步骤S103相对应，用于基于所述预设规则统计信息，设定各个规则统计组基于所述标签信息的过滤条件，其中，所述过滤条件可以包括所述多元组信息中的任何一个或者多个成员的组合；

统计信息分配单元D，其与上述方法中步骤S104-S105相对应，用于获取防火墙规则统计信息及其对应的标签信息，基于所述防火墙规则统计信息对应的标签信息匹配统计组过滤条件，并根据匹配结果，将所述防火墙规则统计信息计入相应的统计组。

上述方法中的各个单元的具体工作方式请参见方法实施例的介绍，在此不再进行累述。

对应于上述车载以太网防火墙分类统计方法，本申请还公开了一种车载以太网防火墙分类统计装置设备，参见图7，设备可以包括：至少一个处理器100，至少一个通信接口200，至少一个存储器300和至少一个通信总线400；

在本发明实施例中，处理器100、通信接口200、存储器300、通信总线400的数量为至少一个，且处理器100、通信接口200、存储器300通过通信总线400完成相互间的通信；显然，图7所示的处理器100、通信接口200、存储器300和通信总线400所示的通信连接示意仅是可选的；

可选的，通信接口200可以为通信模块的接口，如GSM模块的接口；

处理器100可能是一个中央处理器CPU，或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit)，或者是被配置成实施本发明实施例的一个或多个集成电路。

存储器300可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。

其中，处理器100具体用于：

配置防火墙规则，其中，在配置防火墙规则时，为iptables的每一条防火墙规则定义唯一的标签信息，所述标签信息包括多元组信息；

获取预先定义的待统计的信息和预设规则统计信息，其中，所述待统计的信息与所述多元组信息中的每个成员组对应设置；

基于所述预设规则统计信息，设定各个规则统计组基于所述标签信息的过滤条件，其中，所述过滤条件可以包括所述多元组信息中的任何一个或者多个成员的组合；

获取防火墙规则统计信息及其对应的标签信息；

基于所述防火墙规则统计信息对应的标签信息匹配统计组过滤条件，并根据匹配结果，将所述防火墙规则统计信息计入相应的统计组。

为了描述的方便，描述以上系统时以功能分为各种模块分别描述。当然，在实施本发明时可以把各模块的功能在同一个或多个软件和/或硬件中实现。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种车载以太网防火墙分类统计方法，其特征在于，包括：

配置防火墙规则，其中，在配置防火墙规则时，为iptables的每一条防火墙规则定义唯一的标签信息，所述标签信息包括多元组信息；

获取预先定义的待统计的信息和预设规则统计信息，其中，所述待统计的信息与所述多元组信息中的每个成员组对应设置；

基于所述预设规则统计信息，设定各个规则统计组基于所述标签信息的过滤条件，其中，所述过滤条件包括所述多元组信息中的任何一个或者多个成员的组合；

获取防火墙规则统计信息及其对应的标签信息；

基于所述防火墙规则统计信息对应的标签信息匹配统计组过滤条件，并根据匹配结果，将所述防火墙规则统计信息计入相应的统计组。

2.根据权利要求1所述的车载以太网防火墙分类统计方法，其特征在于，所述多元组信息包括五元组信息或六元组信息；

所述五元组信息或六元组信息至少用于定义所述防火墙规则所匹配的报文的来源、去处、报文的方向以及报文类型。

3.根据权利要求2所述的车载以太网防火墙分类统计方法，其特征在于，

所述五元组信息或所述六元组信息以字符串形式保存在对应的所述匹配规则中；

所述五元组信息或所述六元组信息中的每个成员均以字符串形式表示，成员之间采用“_”连接。

4.根据权利要求3所述的车载以太网防火墙分类统计方法，其特征在于，

所述五元组信息中的成员信息包括：

入接口或出接口标识；

转发方向标识；

来源标识；

去向标识；

服务类型标识；

所述六元组信息中的成员包括：

入接口标识；

转发方向标识；

出接口标识；

来源标识；

去向标识；

指服务类型标识。

5.根据权利要求4所述的车载以太网防火墙分类统计方法，其特征在于，

当所述匹配规则隶属于INPUT链或OUTPUT链时，所述匹配规则对应的标签信息为五元组信息；

当所述匹配规则隶属于FORWARD链时，所述匹配规则对应的标签信息为六元组信息。

6.根据权利要求2所述的车载以太网防火墙分类统计方法，其特征在于，所述预设规则统计信息，包括：

第一规则统计组用于统计从接口eth1上收到的，目的为本地ECU的报文数；

第二规则统计组用于统计从CVS上发送过来的，目的为本ECU的MQTT报文数；

第三规则统计组用于统计从本地发出的去往CVS的所有报文；

第四规则统计组用于统计从CVS发送到云端经过TBOX转发的IDPS报文数。

7.根据权利要求6所述的车载以太网防火墙分类统计方法，其特征在于，基于所述预设规则统计信息，设定各个规则统计组基于所述标签信息的过滤条件，包括：

设定所述第一规则统计组的过滤条件为：tuple5(eth1,in,any,TBOX,any)；

设定所述第二规则统计组的过滤条件为：tuple5(any,in,CVS,TBOX，MQTT)；

设定所述第三规则统计组的过滤条件为：tuple5(any,out,TBOX,CVS,any)；

设定所述第四规则统计组的过滤条件为：tuple6(any,Fwd,any,CVS,Remote,IDPS)；

其中，所述tuple5中的各个成员与所述五元组信息中的各个成员一一对应，所述tuple6中的各个成员与所述六元组信息中的各个成员一一对应，所述any表示，该成员为任意值。

8.根据权利要求6所述的车载以太网防火墙分类统计方法，其特征在于，所述获取防火墙规则统计信息及其对应的标签信息，包括：

用户通过iptables或者libiptc库来获取防火墙中每一个防火墙规则的详细信息，其中，所述详细信息至少包括该防火墙规则的统计信息、防火墙规则对应的标签信息。

9.根据权利要求6所述的车载以太网防火墙分类统计方法，其特征在于，基于所述防火墙规则统计信息对应的标签信息匹配统计组过滤条件，并根据匹配结果，将所述防火墙规则统计信息计入相应的统计组，包括：

将所述防火墙规则统计信息对应的标签信息匹配所有的规则统计组对应的过滤条件，以确定每个防火墙规则统计信息对应的一个或多个规则统计组，并将该防火墙规则统计信息的统计信息添加到对应的一个或多个规则统计组中。

10.一种车载以太网防火墙分类统计装置，其特征在于，包括：

标签配置单元，用于配置防火墙规则，其中，在配置防火墙规则时，为iptables的每一条防火墙规则定义唯一的标签信息，所述标签信息包括多元组信息；

统计信息定义单元，用于获取预先定义的待统计的信息和预设规则统计信息，其中，所述待统计的信息与所述多元组信息中的每个成员组对应设置；

过滤条件配置单元，用于基于所述预设规则统计信息，设定各个规则统计组基于所述标签信息的过滤条件，其中，所述过滤条件包括所述多元组信息中的任何一个或者多个成员的组合；

统计信息分配单元，用于获取防火墙规则统计信息及其对应的标签信息，基于所述防火墙规则统计信息对应的标签信息匹配统计组过滤条件，并根据匹配结果，将所述防火墙规则统计信息计入相应的统计组。

Images