本发明专利技术实施例提供一种在DCS域间隔离器中实现的数据管道过滤方法及装置,属于工控信息安全技术领域。所述方法包括:获取待处理网络数据包;使用预设的过滤规则对所述待处理网络数据包进行过滤,获得过滤输出的数据包;将所述过滤输出的数据包发送至目的接口。本发明专利技术实施例所述方法不仅提高了DCS域间隔离器的整体过滤转发效率,还提升了DCS域间数据访问的控制粒度,可使网络访问策略精细化、最小化。最小化。最小化。
【技术实现步骤摘要】
在DCS域间隔离器中实现的数据管道过滤方法及装置
[0001]本专利技术涉及工控信息安全
,具体地涉及一种在DCS域间隔离器中实现的数据管道过滤方法、一种在DCS域间隔离器中实现的数据管道过滤装置、一种机器可读存储介质及一种处理器。
技术介绍
[0002]DCS应用于发电控制系统时,按被控对象的关联度划分控制域,通常一个单元机组一个域,公用系统一个域,辅控系统一个域。域间即相互独立,又有一定的逻辑关联,每个单元机组之间不需要数据交互,公用系统和每个单元机组要交互数据,辅控系统域和每个单元机组要交互数据。
[0003]目前,DCS控制域之间的逻辑隔离是通过交换机ACL功能或工控防火墙策略控制来实现的。交换机ACL和工控防火墙通常使用源/目的IP地址、源/目的MAC地址、目的端口、协议类型这类五元组信息进行访问控制。工控防火墙可以识别应用协议和常见工业协议并进行应用层数据过滤。
[0004]然而,当网络白名单地址不连续时,需要配置多条ACL策略,来覆盖全部放行需求,配置繁琐,易出错;ACL条目增多也会增加工控防火墙的数据处理负荷,降低过滤转发效率。现有技术的上述方案存在过滤转发效率低以及过滤精度不高的问题。
技术实现思路
[0005]本申请实施例的目的是提供一种在DCS域间隔离器中实现的数据管道过滤方法及装置,能够提高DCS域间隔离器的整体过滤转发效率,以及提升DCS域间数据访问的控制粒度。
[0006]为了实现上述目的,本申请第一方面提供一种在DCS域间隔离器中实现的数据管道过滤方法,包括:
[0007]获取待处理网络数据包;
[0008]使用预设的过滤规则对所述待处理网络数据包进行过滤,获得过滤输出的数据包;
[0009]将所述过滤输出的数据包发送至目的接口。
[0010]在本申请实施例中,所述使用预设的过滤规则对所述待处理网络数据包进行过滤,包括:
[0011]对所述待处理网络数据包的报文头部进行拆解,获得二层协议ID;
[0012]将所述二层协议ID与预设的二层协议白名单进行匹配;
[0013]若匹配不成功,则将所述数据包放入数据包垃圾桶;
[0014]若匹配成功,则将所述数据包放行,获得通过二层协议过滤的数据包。
[0015]在本申请实施例中,还包括:根据设定的攻击检测策略对所述通过二层协议过滤的数据包进行判定;
[0016]若判定为攻击包,则将所述数据包放入数据包垃圾桶;
[0017]若判定为非攻击包,则将所述数据包放行,获得通过攻击检测过滤的数据包。
[0018]在本申请实施例中,还包括:
[0019]对所述通过攻击检测过滤的数据包的报文头部进行拆解,获得五元组信息;所述五元组信息包括:源IP地址、源端口、目的IP地址、目的端口和协议类型;
[0020]将所述五元组信息与预设的ACL白名单进行匹配;
[0021]若匹配不成功,则将所述数据包放入数据包垃圾桶;
[0022]若匹配成功,则将所述数据包放行,获得通过ACL五元组过滤的数据包。
[0023]在本申请实施例中,还包括:
[0024]确定所述通过ACL五元组过滤的数据包的IP地址;所述IP地址包括:源IP地址和目的IP地址;
[0025]将所述IP地址与预设的IP地址黑名单进行匹配;
[0026]若匹配成功,则将所述数据包放入数据包垃圾桶;
[0027]若匹配不成功,则将所述数据包放行,获得通过地址黑名过滤的数据包。
[0028]在本申请实施例中,还包括:
[0029]对所述通过地址黑名过滤的数据包的应用层数据进行拆解,获得工控协议ID;
[0030]通过工控协议ID判断工控协议是否为已定义的工控协议;
[0031]若不是已定义的工控协议,则根据预设的规则判断所述数据包是否为允许通过的数据包,将允许通过的数据包放行到目的接口,将不允许通过的数据包放入数据包垃圾桶。
[0032]在本申请实施例中,还包括:
[0033]若是已定义的工控协议,则进入工控协议过滤环节;
[0034]所述工控协议过滤环节包括:基于预设的工控协议特征字与所述工控协议的特征字进行匹配;所述预设的工控协议特征字包括自定义的工控协议特征;
[0035]若匹配成功,则根据预设的规则判断所述数据包是否为允许通过的数据包;将允许通过的数据包放行到目的接口,将不允许通过的数据包放入数据包垃圾桶;
[0036]若匹配不成功,则将所述数据包放入数据包垃圾桶。
[0037]本申请第二方面提供一种在DCS域间隔离器中实现的数据管道过滤装置,包括:
[0038]获取模块,用于获取待处理网络数据包;
[0039]过滤模块,用于使用预设的过滤规则对所述待处理网络数据包进行过滤,获得过滤输出的数据包;
[0040]发送模块,用于将所述过滤输出的数据包发送至目的接口。
[0041]本申请第三方面提供一种处理器,被配置成执行上述的在DCS域间隔离器中实现的数据管道过滤方法。
[0042]本申请第四方面提供一种机器可读存储介质,该机器可读存储介质上存储有指令,该指令在被处理器执行时使得所述处理器被配置成执行上述的在DCS域间隔离器中实现的数据管道过滤方法。
[0043]与现有技术相比,本专利技术的上述技术方案具有如下有益效果:
[0044]本申请提供一种在DCS域间隔离器中实现的数据管道过滤方法及装置,所述方法使用预设的过滤规则对所述待处理网络数据包进行过滤,再将过滤之后的数据包发送至目
的接口,不仅提高了DCS域间隔离器的整体过滤效率,还提升了DCS域间数据访问的控制粒度,可使网络访问策略精细化、最小化。
[0045]本申请实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
[0046]附图是用来提供对本专利技术实施例的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本专利技术实施例,但并不构成对本专利技术实施例的限制。在附图中:
[0047]图1示意性示出了现有技术中DCS域间隔离器数据管道过滤处理过程示意图;
[0048]图2示意性示出了根据本申请实施例的在DCS域间隔离器中实现的数据管道过滤方法的流程示意图;
[0049]图3示意性示出了根据本申请实施例的在DCS域间隔离器中实现的数据管道过滤方法具体实现流程图;
[0050]图4示意性示出了根据本申请实施例的在DCS域间隔离器中实现的数据管道过滤装置的结构框图。
具体实施方式
[0051]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,应当理解的是,此处所描述的具体实施方式仅用于说明和解释本申请实施例,并不用于限制本申请实施例。基于本申请中的实施例,本领域普通技术人本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种在DCS域间隔离器中实现的数据管道过滤方法,其特征在于,包括:获取待处理网络数据包;使用预设的过滤规则对所述待处理网络数据包进行过滤,获得过滤输出的数据包;将所述过滤输出的数据包发送至目的接口。2.根据权利要求1所述的在DCS域间隔离器中实现的数据管道过滤方法,其特征在于,所述使用预设的过滤规则对所述待处理网络数据包进行过滤,包括:对所述待处理网络数据包的报文头部进行拆解,获得二层协议ID;将所述二层协议ID与预设的二层协议白名单进行匹配;若匹配不成功,则将所述数据包放入数据包垃圾桶;若匹配成功,则将所述数据包放行,获得通过二层协议过滤的数据包。3.根据权利要求2所述的在DCS域间隔离器中实现的数据管道过滤方法,其特征在于,还包括:根据设定的攻击检测策略对所述通过二层协议过滤的数据包进行判定;若判定为攻击包,则将所述数据包放入数据包垃圾桶;若判定为非攻击包,则将所述数据包放行,获得通过攻击检测过滤的数据包。4.根据权利要求3所述的在DCS域间隔离器中实现的数据管道过滤方法,其特征在于,还包括:对所述通过攻击检测过滤的数据包的报文头部进行拆解,获得五元组信息;所述五元组信息包括:源IP地址、源端口、目的IP地址、目的端口和协议类型;将所述五元组信息与预设的ACL白名单进行匹配;若匹配不成功,则将所述数据包放入数据包垃圾桶;若匹配成功,则将所述数据包放行,获得通过ACL五元组过滤的数据包。5.根据权利要求4所述的在DCS域间隔离器中实现的数据管道过滤方法,其特征在于,还包括:确定所述通过ACL五元组过滤的数据包的IP地址;所述IP地址包括:源IP地址和目的IP地址;将所述IP地址与预设的IP地址黑名单进行匹配;若匹配成功,则将所述数据包放...
【专利技术属性】
技术研发人员:翟婉波,梁华林,刘利,周海东,王朝辉,白伟明,梁一凡,袁富,姚慧卿,常伟,杨立业,
申请(专利权)人:国能智深控制技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。