工控防火墙白名单规则匹配方法、装置及相关设备制造方法及图纸

本申请公开了一种工控防火墙白名单规则匹配方法、装置及相关设备。其中，该方法包括：获取白名单规则，并对白名单规则中的字段排序及获取字段的梯度值；根据字段的梯度值，设置第一梯度字段过滤规则和非第一梯度字段过滤规则；获取待匹配报文，采用第一梯度字段过滤规则对待匹配报文进行初级过滤，得到过滤后的白名单规则列表，采用非第一梯度字段过滤规则对过滤后的白名单规则列表进行二级过滤，得到目标白名单规则列表；根据目标白名单规则列表，对目标白名单规则列表中剩余的规则项数进行规则判定。该方法通过利用白名单规则的梯度实现更高效率的匹配，提高了匹配效率，规避因白名单规则扩充而导致匹配性能线性下降的问题。题。题。

【技术实现步骤摘要】
工控防火墙白名单规则匹配方法、装置及相关设备


[0001]本申请涉及工控安全
，尤其涉及一种工控防火墙白名单规则匹配方法、装置、电子设备和计算机可读存储介质。

技术介绍

[0002]目前，白名单技术已经成为工控安全防护的基础性技术，基于工业控制网络，只要工艺流程、业务数据固定下来，白名单就基本稳定。其中，基于防火墙的深度解析技术可以针对工控现场的MODBUS、OPC等做工控协议层面的白名单。进而对系统环境中的流量进行白名单检查，阻断非法协议报文。因此白名单匹配是工控防火墙的典型防护动作，匹配效率的高低直接影响整机的吞吐、业务时延等系统性能，因此，如何更好的实现白名单规则匹配成为亟待解决的问题。

技术实现思路

[0003]本专利技术的目的旨在至少在一定程度上解决相关技术中的技术问题之一。
[0004]为此，本专利技术的第一个目的在于提出一种工控防火墙白名单规则匹配方法。该方法通过利用白名单规则的梯度实现更高效率的匹配，提高了匹配效率，规避因白名单规则扩充而导致匹配性能线性下降的问题。
[0005]本申请的第二个目的在于提出一种工控防火墙白名单规则匹配装置。
[0006]本申请的第三个目的在于提出一种电子设备。
[0007]本申请的第四个目的在于提出一种计算机可读存储介质。
[0008]为达到上述目的，本申请第一方面实施例提出了一种工控防火墙白名单规则匹配方法，所述方法包括：获取白名单规则，并对白名单规则中的字段排序及获取字段的梯度值；根据字段的梯度值，设置第一梯度字段过滤规则和非第一梯度字段过滤规则；获取待匹配报文，采用第一梯度字段过滤规则对待匹配报文进行初级过滤，得到过滤后的白名单规则列表，采用非第一梯度字段过滤规则对过滤后的白名单规则列表进行二级过滤，得到目标白名单规则列表；根据目标白名单规则列表，对目标白名单规则列表中剩余的规则项数进行规则判定。
[0009]根据本申请实施例的工控防火墙白名单规则匹配方法，可获取白名单规则，并对白名单规则中的字段排序及获取字段的梯度值，然后根据字段的梯度值，设置第一梯度字段过滤规则和非第一梯度字段过滤规则，获取待匹配报文，采用第一梯度字段过滤规则对待匹配报文进行初级过滤，得到过滤后的白名单规则列表，采用非第一梯度字段过滤规则对过滤后的白名单规则列表进行二级过滤，得到目标白名单规则列表，之后根据目标白名单规则列表，对目标白名单规则列表中剩余的规则项数进行规则判定。该方法通过利用白名单规则的梯度实现更高效率的匹配，提高了匹配效率，规避因白名单规则扩充而导致匹配性能线性下降的问题。
[0010]根据本申请的一个实施例，所述对所述白名单规则中的字段排序及获取所述字段
的梯度值，包括：对所述白名单规则中的字段进行排序，得到所述字段排序列表；根据所述字段排序列表，计算所述字段排序列表中所述字段的梯度值。
[0011]根据本申请的一个实施例，还包括：根据所述字段的梯度值，组成梯度值数组；获取所述梯度值数组中所述梯度值最大的字段，并将所述梯度值最大的字段作为进行所述初级过滤的第一梯度字段，将其他字段作为进行所述二级过滤的非第一梯度字段。
[0012]根据本申请的一个实施例，所述根据所述字段的梯度值，组成梯度值数组，包括：获取所述字段的n和n+1时刻的梯度值，并判断所述n和所述n+1时刻的所述梯度值是否相等；若否，所述字段的梯度值增加1，以对所述字段的梯度值更新，并将更新后的所述字段的梯度值压栈进所述梯度值数组中。
[0013]根据本申请的一个实施例，所述获取待匹配报文，所述采用所述第一梯度字段过滤规则对待匹配报文进行初级过滤，包括：对所述待匹配报文进行报文解析，得到所述待匹配报文的第一梯度字段的值；在所述字段排序列表中做二分查找，找到与所述第一梯度字段的值相等的白名单规则列表，并将与所述第一梯度字段的值相等的白名单规则列表作为所述过滤后的白名单规则列表。
[0014]根据本申请的一个实施例，所述采用所述非第一梯度字段过滤规则对所述过滤后的白名单规则列表进行二级过滤，得到目标白名单规则列表，包括：对所述待匹配报文进行报文解析，得到所述待匹配报文的字段的值；获取所述过滤后的白名单规则列表中与所述字段的值相同的规则，并将与所述字段的值相同的规则更新至所述过滤后的白名单规则列表，并将所述更新过滤的白名单规则列表作为目标白名单规则列表。
[0015]根据本申请的一个实施例，所述根据所述目标白名单规则列表，对所述目标白名单规则列表中剩余的规则项数进行规则判定，包括：判断所述目标白名单规则列表中剩余的规则项数是否为空，若否，则所述白名单规则匹配成功。
[0016]为达到上述目的，本申请第二方面实施例提出了一种工控防火墙白名单规则匹配装置，所述装置包括：获取模块，用于获取白名单规则，并对所述白名单规则中的字段排序及获取所述字段的梯度值；设置模块，用于根据所述字段的梯度值，设置第一梯度字段过滤规则和非第一梯度字段过滤规则；过滤模块，用于获取待匹配报文，采用所述第一梯度字段过滤规则对所述待匹配报文进行初级过滤，得到过滤后的白名单规则列表，采用所述非第一梯度字段过滤规则对所述过滤后的白名单规则列表进行二级过滤，得到目标白名单规则列表；判定模块，用于根据所述目标白名单规则列表，对所述目标白名单规则列表中剩余的规则项数进行规则判定。
[0017]根据本申请实施例的工控防火墙白名单规则匹配装置，可获取白名单规则，并对白名单规则中的字段排序及获取字段的梯度值，然后根据字段的梯度值，设置第一梯度字段过滤规则和非第一梯度字段过滤规则，获取待匹配报文，采用第一梯度字段过滤规则对待匹配报文进行初级过滤，得到过滤后的白名单规则列表，采用非第一梯度字段过滤规则对过滤后的白名单规则列表进行二级过滤，得到目标白名单规则列表，之后根据目标白名单规则列表，对目标白名单规则列表中剩余的规则项数进行规则判定。由此通过利用白名单规则的梯度实现更高效率的匹配，提高了匹配效率，规避因白名单规则扩充而导致匹配性能线性下降的问题。
[0018]为达到上述目的，本申请第三方面实施例提出了电子设备，包括：存储器、处理器
及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现本申请第一方面实施例所述的工控防火墙白名单规则匹配方法。
[0019]为达到上述目的，本申请第四方面实施例提出了一种计算机可读存储介质，所述计算机程序被处理器执行时实现本申请第一方面实施例所述的工控防火墙白名单规则匹配方法。
[0020]本申请附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本申请的实践了解到。
附图说明
[0021]本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：
[0022]图1是根据本申请一个实施例的工控防火墙白名单规则匹配方法的流程图；
[0023]图2是根据本申请一个具体实施例的工控防火墙白名单本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种工控防火墙白名单规则匹配方法，其特征在于，包括：获取白名单规则，并对所述白名单规则中的字段排序及获取所述字段的梯度值；根据所述字段的梯度值，设置第一梯度字段过滤规则和非第一梯度字段过滤规则；获取待匹配报文，采用所述第一梯度字段过滤规则对所述待匹配报文进行初级过滤，得到过滤后的白名单规则列表，采用所述非第一梯度字段过滤规则对所述过滤后的白名单规则列表进行二级过滤，得到目标白名单规则列表；根据所述目标白名单规则列表，对所述目标白名单规则列表中剩余的规则项数进行规则判定。2.根据权利要求1所述的方法，其特征在于，所述对所述白名单规则中的字段排序及获取所述字段的梯度值，包括：对所述白名单规则中的字段进行排序，得到所述字段排序列表；根据所述字段排序列表，计算所述字段排序列表中所述字段的梯度值。3.根据权利要求2所述的方法，其特征在于，还包括：根据所述字段的梯度值，组成梯度值数组；获取所述梯度值数组中所述梯度值最大的字段，并将所述梯度值最大的字段作为进行所述初级过滤的第一梯度字段，将其他字段作为进行所述二级过滤的非第一梯度字段。4.根据权利要求3所述的方法，其特征在于，所述根据所述字段的梯度值，组成梯度值数组，包括：获取所述字段的n和n+1时刻的梯度值，并判断所述n和所述n+1时刻的所述梯度值是否相等；若否，所述字段的梯度值增加1，以对所述字段的梯度值更新，并将更新后的所述字段的梯度值压栈进所述梯度值数组中。5.根据权利要求2所述的方法，其特征在于，所述获取待匹配报文，所述采用所述第一梯度字段过滤规则对待匹配报文进行初级过滤，包括：对所述待匹配报文进行报文解析，得到所述待匹配报文的第一梯度字段的值；在所述字段排序列表中做二分查找，找到与所述第一梯度字段的值相等的白名单规则列表，并将与所述第一梯度字段的值相等的白名单规则列表作为所述过滤后的白名单规则列表。6.根据权利要求1
‑
5所述的方法，其特征在于，所述采用所述非第一梯度字段过滤规则对所述过滤后的白名单规则列表进行二级过滤，得到目标白名单规则列表，包括：对所述待匹配报文进行报文解析，得到所述待匹配报文的字段的值；获取所述过滤后的白名单规则列表中与所述字段的值相同的规则，并将与所述字段的值相同的规则更新至所述过滤后的白名单规则列表，并将所述更新过滤的白名单规则列表作为目标白名单规则列表。7.根据权利要求1所述的方法，其特征在于，所述根据所述目标白名单规则列表，对所述目标白名单规则列表中剩余的规则项数进行规则判定，包括：判断所述目标白名单规则列表中剩余的规则项数是否为空，若否，则所述白名单规则匹配成功。8.一种工控防火墙白名单规则匹配装置，其特征在于，包括：
获取模块，用于获取白名单规则，并对所述白名单规则中的字段排序及获...

【专利技术属性】
技术研发人员：江国进，刘元，白涛，张换欣，邹来龙，孟庆军，李红霞，吴显东，杨景利，郭晓飞，吕亮，褚瑞，李寒，李启凌，姚红云，颜元超，高超，刘松，石秦，
申请(专利权)人：北京广利核系统工程有限公司，
类型：发明
国别省市：