[发明专利]一种基于十字链表的工业防火墙规则库分析方法

说明书

技术领域

本发明属于工业防火墙网络安全领域，具体地说，涉及一种基于十字链表的工业防火墙规则库分析方法。

背景技术

工业防火墙在部署到工业控制网络后，保护工业控制网络环境安全。被保护的环境包括环境中特定的资产，也包括资产之间的关系。资产之间的关系往往通过资产间交互的数据流体现。

管理员明确定义资产间数据流的关系来保证资产间正常的交流被允许。例如：工控网中炼油测温系统定期获取某高压阀门当前压力值。

管理员明确定义资产间某种数据流关系为异常情况被阻断。例如：工控网中炼油测温系统给系统中控压力检测仪发送重置命令。

管理员定义的全部针对资产数据流允许或阻断，形成了工业防火墙的规则库。工业防火墙通过针对特定工业控制网络环境的规则库，来进行特定工业控制网络环境安全管控。

在工业控制网络被保护环境中通过工业防火墙的每一个数据包都会被工业防火墙处理，通过或阻断。

工业控制网络中有很多关键业务对实时性要求高，反应速度要求在秒、毫秒级。

一个复杂的工业控制网络环境中，规则条数大于8千条。而数据包工业协议种类丰富，涉及格式、识别内容更是千差万别。如何提高规则匹配速度，在不降低工业防火墙安全能力的前提下提高处理性能，是工业防火墙迫切需要处理的问题。

数据包过滤(Packet Filtering)是指在网络层对数据包进行分析、选择。通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。

状态检测包过滤是传统包过滤上的功能扩展。状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。

深度包检测技术即DPI技术是一种基于应用层的流量检测和控制技术，当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时，该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组，从而得到整个应用程序的内容，然后按照系统定义的管理策略对流量进行整形操作。

现有技术主要有三种，其各自有显著的优点，但缺点也很严重。

第一种如图1所示，为不对规则进行处理的技术，针对每一条规则进行一次数据包解析，直到匹配某条规则，则处理结束。每一条规则都是一个包解析过滤器。采用此方法程序结构清晰，逻辑简单。针对每条规则要求进行包解析，完成规则匹配判断，整体过程效率低。

第二种如图2所示，为根据协议类型对规则进行一定整理技术。根据协议类型，对规则集进行一定整理，针对每组规则处理数据包，直到匹配某条规则，则处理结束。规则组一般采用链表组织结构，通常根据协议类型形成一些数组式规则数据结构，当解析到数据包的某一层时处理对应协议的规则组。采用此技术能减少一定的包解析次数，但对于应用多样的深度内容分析则同样需要反复多次进行包解析，整体过程效率有一定提高。

第三种为根据协议类型对规则进行一定整理的技术。通常根据协议类型形成一些数组式规则数据结构，当解析到数据包的某一层时处理对应协议的规则组。采用此技术能减少一定的包解析次数，但对于应用多样的深度内容分析则同样需要反复多次进行包解析，整体过程效率有一定提高。

现有的各种技术，都是从规则来解析包。在规则差异极大的情况下，无法避免对包的反复解析提取指定内容的操作。

发明内容

为解决背景技术中的问题，本发明提出了一种具体的应用在工业控制网络中规则库分析方法，通过采用十字链表的组织形式将协议，内容，规则有机组合，达到一次解析数据包，遍历工业防火墙全部规则的目的，很好的提高了工业防火墙数据包处理能力，提高了工业控制网络中数据包规则库分析速度，达到了工业控制网络对数据包低延迟要求的目的。

本发明的技术方案为：

一种基于十字链表的工业防火墙规则库分析方法，其特征在于：其步骤如下：

步骤一：在工业控制网络环境下，系统管理员对网络环境进行安全分析后，确定安全规则集，安全规则集由具体规则0～规则N组成，N为大于1的正整数，对每条规则进行定义，其中规则N为缺省会加的末条规则，定义为阻断数据包并上报；

步骤二：系统根据系统管理员输入的安全规则集生成对应的十字链表；

步骤三：系统对十字链表进行归并操作，将相同内容进行归一，归并后，数据结构仍然是一个十字链表；

步骤四：根据十字链表的行索引数据，确定此安全规则集下需要从数据包中提取的数据集；