本發明公開了一種用于加速工控防火墻規則匹配的方法，包括以下步驟：1)對網絡數據報文進行解碼處理2)將白名單規則列表分成高頻率規則表、中頻率規則表和低頻率規則表，3)將解碼后的網絡數據報文與高頻率規則表進行匹配，匹配成功則結束，匹配失敗，則進入步驟4)；4)將解碼后的網絡數據報文與中頻率規則表進行匹配，匹配成功則結束，匹配失敗，則進入步驟5)；5)將解碼后的網絡數據報文與低頻率規則表進行匹配，匹配成功則結束，匹配失敗，則進行匹配失敗處理。本發明可以根據網絡數據報文情況，自動調整優化規則匹配方式；當網絡負載較大的情況下明顯加開規則匹配速度，減少匹配時間，降低網絡數據延遲。

技術領域

本發明涉及工業控制系統網絡技術領域，具體來說，涉及一種用于加速工控防火墻規則匹配的方法。

背景技術

工業控制系統網絡是由工業自動化生產設備組成的網絡，不同于IT網絡，工控網絡有著專有的通信協議和通信機制，對網絡實時性要求更高。根據工控網絡的特點，西安兗礦提出了提出“白環境”的解決方案，即“只有可信任的設備，才能接入控制網絡；只有可信任的消息，才能在網絡上傳輸；只有可信任的軟件，才允許被執行”。

由于工控防火墻需要實時攔截網絡數據包并進行白名單規則匹配確定是否放行，工作過程勢必會造成網絡數據的延遲。為了盡量降低對原有工業系統造成的影響，數據延遲已經成為衡量工業防火墻的重要性能指標。

現有工業防火墻主要采用黑名單和白名單兩種技術辨別數據包是否合法，根據預先設定的規則進行后續處理(通過，丟棄或告警等)。所以當有工業協議數據包經過防火墻后，防火墻首先進行協議解碼，解出若干關鍵字段。然后與預制的黑名單或者白名單規則進行逐條比較，直到找到匹配項或者所有規則逐一比較后均無匹配項目，最后做出處理。現有的相關技術還存在如下幾個缺點：

1.當黑白名單規則條目較多的時候，明顯增加匹配時間；

2.一個數據包是否可以快速匹配，取決于對應規則的存放順序；

3.對于高頻率出現的數據包，不能優先快速匹配。

發明內容

本發明的目的在于提出一種用于加速工控防火墻規則匹配的方法，能夠根據網絡數據報文情況，自動調整優化規則匹配方式。

為實現上述發明目的，本發明的技術方案是這樣實現的：

一種用于加速工控防火墻規則匹配的方法，包括以下步驟：

1)對網絡數據報文進行解碼，得出若干關鍵字段信息；

2)將白名單規則列表分成三組，分別記為高頻率規則表、中頻率規則表和低頻率規則表，并使用傳統方法組織存放；

3)將經過步驟1)處理后的網絡數據報文與高頻率規則表進行匹配，如果匹配成功則結束，進行匹配成功處理，如果匹配失敗，則進入步驟4)；

4)將經過步驟1)處理后的網絡數據報文與中頻率規則表進行匹配，如果匹配成功則結束，進行匹配成功處理，如果匹配失敗，則進入步驟5)；

5)將經過步驟1)處理后的網絡數據報文與低頻率規則表進行匹配，如果匹配成功則結束，進行匹配成功處理，如果匹配失敗，則進行匹配失敗處理。

進一步的，步驟2)中，所述傳統方法為以首字段進行排序的方法。

進一步的，設定高頻率規則、中頻率規則和低頻率規則的初始化權重均為零，以及設定高頻率規則、中頻率規則和低頻率規則相互轉化的規則，所述相互轉化的規則如下：