访问控制规则的获取方法、装置及网络设备制造方法及图纸

本说明书实施例提供一种访问控制规则的获取方法、装置及网络设备。本说明书实施例中，在接收到工业协议报文时，识别工业协议报文对应的目标工业协议，根据预设的工业协议与自学习参数的对应关系，获取目标工业协议对应的目标自学习参数，基于目标自学习参数对工业协议报文进行规则自学习，得到目标工业协议对应的访问控制规则，能够自动、智能地获取工业协议对应的访问控制规则，不需要人工手动配置，从而避免了人为因素导致的访问控制规则配置错误，提高了访问控制规则配置的准确性。

Access Control Rules Acquisition Method, Device and Network Equipment

The embodiment of this specification provides an access control rule acquisition method, device and network device. In the embodiment of this specification, when receiving the industrial protocol message, the target industrial protocol corresponding to the industrial protocol message is identified. According to the corresponding relationship between the preset industrial protocol and the self-learning parameters, the target self-learning parameters corresponding to the target industrial protocol are obtained. Based on the target self-learning parameters, the rule self-learning of the industrial protocol message is carried out and the corresponding access of the target industrial protocol is obtained. The control rules can automatically and intelligently acquire the corresponding access control rules of industrial protocols without manual configuration, thus avoiding the errors caused by human factors and improving the accuracy of the configuration of access control rules.

【技术实现步骤摘要】
访问控制规则的获取方法、装置及网络设备
本说明书涉及网络通信
，尤其涉及一种访问控制规则的获取方法、装置及网络设备。
技术介绍
工业协议是一种应用于工业系统中的通信协议。工业协议自身没有加密、认证等措施，因此，工业协议报文是明文传输的，具有较大的安全隐患。为了降低这种安全隐患，相关技术中在工业客户端和工业服务器之间设置了工业防火墙。在工业防火墙上，通过人工方式手动配置一种工业协议的访问控制规则，通过访问控制规则来过滤和转发该种工业协议的报文。这种方式中，访问控制规则需要人工手动配置，工作量大，过程繁琐，因此容易出错。
技术实现思路
为克服相关技术中存在的问题，本说明书提供了一种访问控制规则的获取方法、装置及网络设备。根据本说明书实施例的第一方面，提供一种访问控制规则的获取方法，所述方法包括：在接收到工业协议报文时，识别所述工业协议报文对应的工业协议，作为目标工业协议；根据预设的工业协议与自学习参数的对应关系，获取所述目标工业协议对应的目标自学习参数；基于所述目标自学习参数对所述工业协议报文进行规则自学习，得到所述目标工业协议对应的访问控制规则。根据本说明书实施例的第二方面，提供一种访问控制规则的获取装置，所述装置包括：协议识别模块，用于在接收到工业协议报文时，识别所述工业协议报文对应的工业协议，作为目标工业协议；参数获取模块，用于根据预设的工业协议与自学习参数的对应关系，获取所述目标工业协议对应的目标自学习参数；规则学习模块，用于基于所述目标自学习参数对所述工业协议报文进行规则自学习，得到所述目标工业协议对应的访问控制规则。根据本说明书实施例的第三方面，提供一种网络设备，包括：内部总线、以及通过内部总线连接的存储器、处理器和外部接口，其中，所述处理器，用于读取所述存储器上的机器可读指令，并执行所述指令实现如下操作：在接收到工业协议报文时，识别所述工业协议报文对应的工业协议，作为目标工业协议；根据预设的工业协议与自学习参数的对应关系，获取所述目标工业协议对应的目标自学习参数；基于所述目标自学习参数对所述工业协议报文进行规则自学习，得到所述目标工业协议对应的访问控制规则。根据本说明书实施例的第四方面，提供一种计算机可读存储介质，所述计算机可读存储介质上有若干计算机指令，所述计算机指令被执行时进行如下处理：在接收到工业协议报文时，识别所述工业协议报文对应的工业协议，作为目标工业协议；根据预设的工业协议与自学习参数的对应关系，获取所述目标工业协议对应的目标自学习参数；基于所述目标自学习参数对所述工业协议报文进行规则自学习，得到所述目标工业协议对应的访问控制规则。本说明书的实施例提供的技术方案可以包括以下有益效果：本说明书实施例中，通过在接收到工业协议报文时，识别工业协议报文对应的目标工业协议，根据预设的工业协议与自学习参数的对应关系，获取目标工业协议对应的目标自学习参数，基于目标自学习参数对工业协议报文进行规则自学习，得到目标工业协议对应的访问控制规则，自动、智能地获取工业协议对应的访问控制规则，不需要人工手动配置，从而避免了人为因素导致的访问控制规则配置错误，提高了访问控制规则配置的准确性。应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本说明书。附图说明此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本说明书的实施例，并与说明书一起用于解释本说明书的原理。图1是本说明书实施例提供的访问控制规则的获取方法的流程示例图。图2是本说明书实施例提供的访问控制规则的获取方法的应用场景示例图。图3是本说明书实施例提供的访问控制规则的获取装置的功能方块图。图4是本说明书实施例提供的网络设备的一个硬件结构图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。在本说明书使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。接下来对本说明书实施例进行详细说明。图1是本说明书实施例提供的访问控制规则的获取方法的流程示例图。如图1所示，该方法可以包括以下步骤：S101，在接收到工业协议报文时，识别工业协议报文对应的工业协议，作为目标工业协议。S102，根据预设的工业协议与自学习参数的对应关系，获取目标工业协议对应的目标自学习参数。S103，基于目标自学习参数对工业协议报文进行规则自学习，得到目标工业协议对应的访问控制规则。其中，工业协议报文对应的工业协议可以是ModbusTCP(TransmissionControlProtocol，传输控制协议)协议、S7协议、Ethernet/IP(Ethernet/InternetProtocol，以太网/因特网互联协议)协议、IEC104(InternationalElectrotechnicalCommission104规约，国际电工委员会104规约)协议、IEC61850/GOOSE(InternationalElectrotechnicalCommission61850/GenericObjectOrientedSubstationEvent，国际电工委员会61850/面向通用对象的变电站事件)协议、IEC61850/SV(InternationalElectrotechnicalCommission61850/SampledValue，国际电工委员会61850/采样值)协议、DNP3(DistributedNetworkProtocol3，分布式网络协议3)协议等。通过步骤S101，可以识别到多种工业协议的报文，从而能够为多种工业协议的自学习提供基础，支持多种工业协议同时自学习，满足多种工业协议共存的应用场景。步骤S102中，自学习参数可以包括学习深度、学习阈值、学习时长等。学习深度越深，对报文的解析粒度、学习到的规则的粒度越精细、系统运行时安全度越高，但是学习效率与业务运行效率越慢。最深的学习深度适用于实时性要求不高，工业网络中周期性传输的报文场景。学习深度越浅，学习效率与业务运行效率越快，但安全性越低。最浅的学习深度适用于实时性要求高，用于传送需要快速响应的突发事件的场景。因此，通过为不同工业协议配置不同的学习深度，可以控制获得的访问控制规则的粒度，进而控制工业协议所在系统的安全度和业务运行效率。在应用中，可以为本文档来自技高网...

【技术保护点】
1.一种访问控制规则的获取方法，其特征在于，所述方法包括：在接收到工业协议报文时，识别所述工业协议报文对应的工业协议，作为目标工业协议；根据预设的工业协议与自学习参数的对应关系，获取所述目标工业协议对应的目标自学习参数；基于所述目标自学习参数对所述工业协议报文进行规则自学习，得到所述目标工业协议对应的访问控制规则。

【技术特征摘要】
1.一种访问控制规则的获取方法，其特征在于，所述方法包括：在接收到工业协议报文时，识别所述工业协议报文对应的工业协议，作为目标工业协议；根据预设的工业协议与自学习参数的对应关系，获取所述目标工业协议对应的目标自学习参数；基于所述目标自学习参数对所述工业协议报文进行规则自学习，得到所述目标工业协议对应的访问控制规则。2.根据权利要求1所述的方法，其特征在于，所述自学习参数包括学习深度；所述基于所述目标自学习参数对所述工业协议报文进行规则自学习，得到所述目标工业协议对应的访问控制规则，包括：根据所述目标自学习参数中的目标学习深度，解析所述工业协议报文，得到解析结果；根据所述目标学习深度，确定目标规则粒度；根据所述解析结果，生成所述目标工业协议对应的符合所述目标规则粒度的访问控制规则。3.根据权利要求1所述的方法，其特征在于，所述识别所述工业协议报文对应的工业协议，包括：获取所述工业协议报文携带的传输控制协议TCP会话的目的端口，作为目标目的端口；根据预设的目的端口与工业协议的对应关系，查找与所述目标目的端口匹配的工业协议，作为所述工业协议报文对应的工业协议。4.根据权利要求1所述的方法，其特征在于，所述识别所述工业协议报文对应的工业协议，包括：获取所述工业协议报文携带的目的介质访问控制MAC地址和以太网类型，分别作为目标MAC地址和目标以太网类型；根据预设的MAC地址和以太网类型的组合与工业协议的对应关系，查找与所述目标MAC地址和所述目标以太网类型的组合匹配的工业协议，作为所述工业协议报文对应的工业协议。5.根据权利要求1～4任一项所述的方法，其特征在于，所述方法还包括：在所述目标工业协议对应的实时性程度低于或等于指定阈值时，根据所述访问控制规则生成软件形式的业务运行匹配规则；在所述目标工业协议对应的实时性程度大于所述指定阈值时，根据所述访问控制规则生成访问控制列表，并将所述访问控制列表下发给报文转发芯片。6.一种访问控制规则的获取装置，其特征在于，所述装置包括：协议识别模块，用于在接收到工业协议报...

【专利技术属性】
技术研发人员：贾新奎，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江,33