The embodiment of this specification provides an access control rule acquisition method, device and network device. In the embodiment of this specification, when receiving the industrial protocol message, the target industrial protocol corresponding to the industrial protocol message is identified. According to the corresponding relationship between the preset industrial protocol and the self-learning parameters, the target self-learning parameters corresponding to the target industrial protocol are obtained. Based on the target self-learning parameters, the rule self-learning of the industrial protocol message is carried out and the corresponding access of the target industrial protocol is obtained. The control rules can automatically and intelligently acquire the corresponding access control rules of industrial protocols without manual configuration, thus avoiding the errors caused by human factors and improving the accuracy of the configuration of access control rules.
【技术实现步骤摘要】
访问控制规则的获取方法、装置及网络设备
本说明书涉及网络通信
,尤其涉及一种访问控制规则的获取方法、装置及网络设备。
技术介绍
工业协议是一种应用于工业系统中的通信协议。工业协议自身没有加密、认证等措施,因此,工业协议报文是明文传输的,具有较大的安全隐患。为了降低这种安全隐患,相关技术中在工业客户端和工业服务器之间设置了工业防火墙。在工业防火墙上,通过人工方式手动配置一种工业协议的访问控制规则,通过访问控制规则来过滤和转发该种工业协议的报文。这种方式中,访问控制规则需要人工手动配置,工作量大,过程繁琐,因此容易出错。
技术实现思路
为克服相关技术中存在的问题,本说明书提供了一种访问控制规则的获取方法、装置及网络设备。根据本说明书实施例的第一方面,提供一种访问控制规则的获取方法,所述方法包括:在接收到工业协议报文时,识别所述工业协议报文对应的工业协议,作为目标工业协议;根据预设的工业协议与自学习参数的对应关系,获取所述目标工业协议对应的目标自学习参数;基于所述目标自学习参数对所述工业协议报文进行规则自学习,得到所述目标工业协议对应的访问控制规则。根据本说明书实施例的第二方面,提供一种访问控制规则的获取装置,所述装置包括:协议识别模块,用于在接收到工业协议报文时,识别所述工业协议报文对应的工业协议,作为目标工业协议;参数获取模块,用于根据预设的工业协议与自学习参数的对应关系,获取所述目标工业协议对应的目标自学习参数;规则学习模块,用于基于所述目标自学习参数对所述工业协议报文进行规则自学习,得到所述目标工业协议对应的访问控制规则。根据本说明书实施例的第三方面, ...
【技术保护点】
1.一种访问控制规则的获取方法,其特征在于,所述方法包括:在接收到工业协议报文时,识别所述工业协议报文对应的工业协议,作为目标工业协议;根据预设的工业协议与自学习参数的对应关系,获取所述目标工业协议对应的目标自学习参数;基于所述目标自学习参数对所述工业协议报文进行规则自学习,得到所述目标工业协议对应的访问控制规则。
【技术特征摘要】
1.一种访问控制规则的获取方法,其特征在于,所述方法包括:在接收到工业协议报文时,识别所述工业协议报文对应的工业协议,作为目标工业协议;根据预设的工业协议与自学习参数的对应关系,获取所述目标工业协议对应的目标自学习参数;基于所述目标自学习参数对所述工业协议报文进行规则自学习,得到所述目标工业协议对应的访问控制规则。2.根据权利要求1所述的方法,其特征在于,所述自学习参数包括学习深度;所述基于所述目标自学习参数对所述工业协议报文进行规则自学习,得到所述目标工业协议对应的访问控制规则,包括:根据所述目标自学习参数中的目标学习深度,解析所述工业协议报文,得到解析结果;根据所述目标学习深度,确定目标规则粒度;根据所述解析结果,生成所述目标工业协议对应的符合所述目标规则粒度的访问控制规则。3.根据权利要求1所述的方法,其特征在于,所述识别所述工业协议报文对应的工业协议,包括:获取所述工业协议报文携带的传输控制协议TCP会话的目的端口,作为目标目的端口;根据预设的目的端口与工业协议的对应关系,查找与所述目标目的端口匹配的工业协议,作为所述工业协议报文对应的工业协议。4.根据权利要求1所述的方法,其特征在于,所述识别所述工业协议报文对应的工业协议,包括:获取所述工业协议报文携带的目的介质访问控制MAC地址和以太网类型,分别作为目标MAC地址和目标以太网类型;根据预设的MAC地址和以太网类型的组合与工业协议的对应关系,查找与所述目标MAC地址和所述目标以太网类型的组合匹配的工业协议,作为所述工业协议报文对应的工业协议。5.根据权利要求1~4任一项所述的方法,其特征在于,所述方法还包括:在所述目标工业协议对应的实时性程度低于或等于指定阈值时,根据所述访问控制规则生成软件形式的业务运行匹配规则;在所述目标工业协议对应的实时性程度大于所述指定阈值时,根据所述访问控制规则生成访问控制列表,并将所述访问控制列表下发给报文转发芯片。6.一种访问控制规则的获取装置,其特征在于,所述装置包括:协议识别模块,用于在接收到工业协议报...
【专利技术属性】
技术研发人员:贾新奎,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。