本发明涉及工业控制系统网络技术领域,具体来说,涉及一种用于加速工控防火墙规则匹配的方法。
背景技术:
工业控制系统网络是由工业自动化生产设备组成的网络,不同于IT网络,工控网络有着专有的通信协议和通信机制,对网络实时性要求更高。根据工控网络的特点,西安兖矿提出了提出“白环境”的解决方案,即“只有可信任的设备,才能接入控制网络;只有可信任的消息,才能在网络上传输;只有可信任的软件,才允许被执行”。
由于工控防火墙需要实时拦截网络数据包并进行白名单规则匹配确定是否放行,工作过程势必会造成网络数据的延迟。为了尽量降低对原有工业系统造成的影响,数据延迟已经成为衡量工业防火墙的重要性能指标。
现有工业防火墙主要采用黑名单和白名单两种技术辨别数据包是否合法,根据预先设定的规则进行后续处理(通过,丢弃或告警等)。所以当有工业协议数据包经过防火墙后,防火墙首先进行协议解码,解出若干关键字段。然后与预制的黑名单或者白名单规则进行逐条比较,直到找到匹配项或者所有规则逐一比较后均无匹配项目,最后做出处理。现有的相关技术还存在如下几个缺点:
1.当黑白名单规则条目较多的时候,明显增加匹配时间;
2.一个数据包是否可以快速匹配,取决于对应规则的存放顺序;
3.对于高频率出现的数据包,不能优先快速匹配。
技术实现要素:
本发明的目的在于提出一种用于加速工控防火墙规则匹配的方法,能够根据网络数据报文情况,自动调整优化规则匹配方式。
为实现上述发明目的,本发明的技术方案是这样实现的:
一种用于加速工控防火墙规则匹配的方法,包括以下步骤:
1)对网络数据报文进行解码,得出若干关键字段信息;
2)将白名单规则列表分成三组,分别记为高频率规则表、中频率规则表和低频率规则表,并使用传统方法组织存放;
3)将经过步骤1)处理后的网络数据报文与高频率规则表进行匹配,如果匹配成功则结束,进行匹配成功处理,如果匹配失败,则进入步骤4);
4)将经过步骤1)处理后的网络数据报文与中频率规则表进行匹配,如果匹配成功则结束,进行匹配成功处理,如果匹配失败,则进入步骤5);
5)将经过步骤1)处理后的网络数据报文与低频率规则表进行匹配,如果匹配成功则结束,进行匹配成功处理,如果匹配失败,则进行匹配失败处理。
进一步的,步骤2)中,所述传统方法为以首字段进行排序的方法。
进一步的,设定高频率规则、中频率规则和低频率规则的初始化权重均为零,以及设定高频率规则、中频率规则和低频率规则相互转化的规则,所述相互转化的规则如下:
设定将高频率规则转移到中频率规则表的第一权重阈值、将中频率规则转移到低频率规则表的第二权重阈值、将中频率规则转移到高频率规则表的第三权重阈值和将低频率规则转移到中频率规则表的第四权重阈值,经过步骤1)处理过的网络数据报文与白名单规则列表进行匹配时,若匹配成功,则对应用来匹配的规则的权重加一,若匹配不成功,则对应用来匹配的规则的权重减一,当低频率规则的权重达到第四权重阈值时,将所述低频率规则转移到中频率规则表作为新的中频率规则,当中频率规则的权重达到第三权重阈值时,将所述中频率规则转移到高频率规则表作为新的高频率规则,当高频率规则的权重达到第一权重阈值时,将所述高频率规则转移到中频率规则表作为新的中频率规则,当中频率规则的权重达到第二权重阈值时,将所述中频率规则转移到低频率规则表作为新的低频率规则。
进一步的,初始化阶段将白名单规则列表随机分为三组,并按照所述传统方法进行排序,规则转移分组中,规则移除时不影响原有分组的排序,分组插入新的规则时根据首字段值使用二分法插入。
进一步的,所述权重的计算周期设定为一分钟,在所述一分钟内以所述高频率规则、中频率规则和低频率规则所占比例分别为30%、40%和30%的标准自动进行第一权重阈值、第二权重阈值、第三权重阈值和第四权重阈值的调整。
进一步的,所述第一权重阈值与第三权重阈值的大小相同,所述第二权重阈值与第四权重阈值的大小相同。
进一步的,步骤1)中,所述关键字段信息包括功能码、对象号、功能参数和访问路径中的一项或多项。
本发明的有益效果:
1、使用频率高的规则被放入高频率分组优先匹配,减少匹配比较时间;
2、根据现场数据使用情况随时自动调整优先级,加快处理速度;
3、以原有的匹配方法为基础,升级改动量较小。
附图说明
图1是本发明所述的相互转化的规则的简要流程图。
具体实施方式
下面结合本发明的附图,对本发明的技术方案进行清楚、完整地描述。
如图1所示,本发明所述一种用于加速工控防火墙规则匹配的方法,包括以下步骤:
1)对网络数据报文进行解码,得出若干关键字段信息;
2)将白名单规则列表分成三组,分别记为高频率规则表、中频率规则表和低频率规则表,并使用传统方法组织存放;
3)将经过步骤1)处理后的网络数据报文与高频率规则表进行匹配,如果匹配成功则结束,进行匹配成功处理,如果匹配失败,则进入步骤4);
4)将经过步骤1)处理后的网络数据报文与中频率规则表进行匹配,如果匹配成功则结束,进行匹配成功处理,如果匹配失败,则进入步骤5);
5)将经过步骤1)处理后的网络数据报文与低频率规则表进行匹配,如果匹配成功则结束,进行匹配成功处理,如果匹配失败,则进行匹配失败处理。
为了方便理解本发明的上述技术方案,以下通过具体使用方式上对本发明的上述技术方案进行详细说明。
具体操作时,首先根据端口号和协议指纹特征进行协议识别,对不能识别的协议进行放行处理,对能够识别的协议按照协议规范解析取出报文负载信息。工业控制协议主要由功能码、对象号、功能参数和访问路径中一项或者多项组成,这些信息将作为白名单控制的关键字段信息。
初始化阶段将白名单规则列表随机分为三组,并按照传统方法进行排序,这里的传统方法为以首字段进行排序的方法。设定高频率规则、中频率规则和低频率规则的初始化权重均为零,以一分钟为权重值的统计周期,同时设定设定高频率规则、中频率规则和低频率规则相互转化的规则,所述相互转化的规则如下:
设定将高频率规则转移到中频率规则表的第一权重阈值、将中频率规则转移到低频率规则表的第二权重阈值、将中频率规则转移到高频率规则表的第三权重阈值和将低频率规则转移到中频率规则表的第四权重阈值,经过步骤1)处理过的网络数据报文与白名单规则列表进行匹配时,若匹配成功,则对应用来匹配的规则的权重加一,若匹配不成功,则对应用来匹配的规则的权重减一,当低频率规则的权重达到第四权重阈值时,将所述低频率规则转移到中频率规则表作为新的中频率规则,当中频率规则的权重达到第三权重阈值时,将所述中频率规则转移到高频率规则表作为新的高频率规则,当高频率规则的权重达到第一权重阈值时,将所述高频率规则转移到中频率规则表作为新的中频率规则,当中频率规则的权重达到第二权重阈值时,将所述中频率规则转移到低频率规则表作为新的低频率规则。
在上述实施例中,所述第一权重阈值与第三权重阈值的大小相同或不同,所述第二权重阈值与第四权重阈值的大小相同或不同。并且,在每一个统计周期结束后,以所述高频率规则、中频率规则和低频率规则所占比例分别为30%、40%和30%的标准自动进行第一权重阈值、第二权重阈值、第三权重阈值和第四权重阈值的调整。
在上述实施例中,对于匹配成功的网络数据报文,白名单系统放行所述网络数据报文;对于匹配失败的网络数据报文,白名单系统将所述网络数据报文进行拦截并向管理平台发出告警信息。
为了保证白名单规则列表排序的有序性,在规则转移分组中,规则移除时不影响原有分组的排序,分组插入新的规则时根据首字段值使用二分法插入。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。