[发明专利]一种用于加速工控防火墙规则匹配的方法

说明书

本发明公开了一种用于加速工控防火墙规则匹配的方法，包括以下步骤：1)对网络数据报文进行解码处理2)将白名单规则列表分成高频率规则表、中频率规则表和低频率规则表，3)将解码后的网络数据报文与高频率规则表进行匹配，匹配成功则结束，匹配失败，则进入步骤4)；4)将解码后的网络数据报文与中频率规则表进行匹配，匹配成功则结束，匹配失败，则进入步骤5)；5)将解码后的网络数据报文与低频率规则表进行匹配，匹配成功则结束，匹配失败，则进行匹配失败处理。本发明可以根据网络数据报文情况，自动调整优化规则匹配方式；当网络负载较大的情况下明显加开规则匹配速度，减少匹配时间，降低网络数据延迟。

技术领域

本发明涉及工业控制系统网络技术领域，具体来说，涉及一种用于加速工控防火墙规则匹配的方法。

背景技术

工业控制系统网络是由工业自动化生产设备组成的网络，不同于IT网络，工控网络有着专有的通信协议和通信机制，对网络实时性要求更高。根据工控网络的特点，西安兖矿提出了提出“白环境”的解决方案，即“只有可信任的设备，才能接入控制网络；只有可信任的消息，才能在网络上传输；只有可信任的软件，才允许被执行”。

由于工控防火墙需要实时拦截网络数据包并进行白名单规则匹配确定是否放行，工作过程势必会造成网络数据的延迟。为了尽量降低对原有工业系统造成的影响，数据延迟已经成为衡量工业防火墙的重要性能指标。

现有工业防火墙主要采用黑名单和白名单两种技术辨别数据包是否合法，根据预先设定的规则进行后续处理(通过，丢弃或告警等)。所以当有工业协议数据包经过防火墙后，防火墙首先进行协议解码，解出若干关键字段。然后与预制的黑名单或者白名单规则进行逐条比较，直到找到匹配项或者所有规则逐一比较后均无匹配项目，最后做出处理。现有的相关技术还存在如下几个缺点：

1.当黑白名单规则条目较多的时候，明显增加匹配时间；

2.一个数据包是否可以快速匹配，取决于对应规则的存放顺序；

3.对于高频率出现的数据包，不能优先快速匹配。

发明内容

本发明的目的在于提出一种用于加速工控防火墙规则匹配的方法，能够根据网络数据报文情况，自动调整优化规则匹配方式。

为实现上述发明目的，本发明的技术方案是这样实现的：

一种用于加速工控防火墙规则匹配的方法，包括以下步骤：

1)对网络数据报文进行解码，得出若干关键字段信息；

2)将白名单规则列表分成三组，分别记为高频率规则表、中频率规则表和低频率规则表，并使用传统方法组织存放；

3)将经过步骤1)处理后的网络数据报文与高频率规则表进行匹配，如果匹配成功则结束，进行匹配成功处理，如果匹配失败，则进入步骤4)；

4)将经过步骤1)处理后的网络数据报文与中频率规则表进行匹配，如果匹配成功则结束，进行匹配成功处理，如果匹配失败，则进入步骤5)；

5)将经过步骤1)处理后的网络数据报文与低频率规则表进行匹配，如果匹配成功则结束，进行匹配成功处理，如果匹配失败，则进行匹配失败处理。

进一步的，步骤2)中，所述传统方法为以首字段进行排序的方法。

进一步的，设定高频率规则、中频率规则和低频率规则的初始化权重均为零，以及设定高频率规则、中频率规则和低频率规则相互转化的规则，所述相互转化的规则如下：