[发明专利]一种用于加速工控防火墙规则匹配的方法

权利要求书

1.一种用于加速工控防火墙规则匹配的方法，其特征在于，包括以下步骤：

1)对网络数据报文进行解码，得出若干关键字段信息；

2)将白名单规则列表分成三组，分别记为高频率规则表、中频率规则表和低频率规则表，并使用传统方法组织存放；所述传统方法为以首字段进行排序的方法；

设定高频率规则、中频率规则和低频率规则的初始化权重均为零，以及设定高频率规则、中频率规则和低频率规则相互转化的规则，所述相互转化的规则如下：

设定将高频率规则转移到中频率规则表的第一权重阈值、将中频率规则转移到低频率规则表的第二权重阈值、将中频率规则转移到高频率规则表的第三权重阈值和将低频率规则转移到中频率规则表的第四权重阈值，经过步骤1)处理过的网络数据报文与白名单规则列表进行匹配时，若匹配成功，则对应用来匹配的规则的权重加一，若匹配不成功，则对应用来匹配的规则的权重减一，当低频率规则的权重达到第四权重阈值时，将所述低频率规则转移到中频率规则表作为新的中频率规则，当中频率规则的权重达到第三权重阈值时，将所述中频率规则转移到高频率规则表作为新的高频率规则，当高频率规则的权重达到第一权重阈值时，将所述高频率规则转移到中频率规则表作为新的中频率规则，当中频率规则的权重达到第二权重阈值时，将所述中频率规则转移到低频率规则表作为新的低频率规则；

3)将经过步骤1)处理后的网络数据报文与高频率规则表进行匹配，如果匹配成功则结束，进行匹配成功处理，如果匹配失败，则进入步骤4)；

4)将经过步骤1)处理后的网络数据报文与中频率规则表进行匹配，如果匹配成功则结束，进行匹配成功处理，如果匹配失败，则进入步骤5)；

5)将经过步骤1)处理后的网络数据报文与低频率规则表进行匹配，如果匹配成功则结束，进行匹配成功处理，如果匹配失败，则进行匹配失败处理。

2.根据权利要求1所述的方法，其特征在于，初始化阶段将白名单规则列表随机分为三组，并按照所述传统方法进行排序，规则转移分组中，规则移除时不影响原有分组的排序，分组插入新的规则时根据首字段值使用二分法插入。

3.根据权利要求2所述的方法，其特征在于，所述权重的计算周期设定为一分钟，在所述一分钟内以所述高频率规则、中频率规则和低频率规则所占比例分别为30％、40％和30％的标准自动进行第一权重阈值、第二权重阈值、第三权重阈值和第四权重阈值的调整。

4.根据权利要求1或3所述的方法，其特征在于，所述第一权重阈值与第三权重阈值的大小相同，所述第二权重阈值与第四权重阈值的大小相同。

5.根据权利要求1所述的方法，其特征在于，步骤1)中，所述关键字段信息包括功能码、对象号、功能参数和访问路径中的一项或多项。