絡(luò)單元的順 序表示為0bject={08 9c 00 00 c4 0e 00 00 8f f6 72 ba 32 28 la 73}，此幀與含有 異步UUID的第208幀同屬一個(gè)CallId = 0C 00 00 00，
[0120] Ca 111 d的地址=DCERPC 頭地址（0x36) +0xC = 0x42，
[0121] 操作碼 Opnum 的地址=DCERPC 頭地址（0x36) +0x 16 = 0x4C，
[0122] 操作碼為0400,這是寫(xiě)操作；
[0123] 相關(guān)于標(biāo)簽名的異步寫(xiě)的句柄地址=DCERPC頭地址(0x36) +0x50 = 0x86，
[0124] 數(shù)據(jù)類型的地址=DCERPC頭地址(0x36) +0x70 = 0xA6，
[0125]數(shù)據(jù)類型為04,是Single float單精度浮點(diǎn)數(shù)，
[0126] 數(shù)據(jù)的地址=DCERPC 頭地址（0x36) +0x74 = OxAA，
[0127] 需要注意的是:在這個(gè)網(wǎng)絡(luò)幀中，OPC客戶機(jī)發(fā)出了異步寫(xiě)操作，隨后從OPC服務(wù)器 發(fā)出的返回幀（它們同屬一個(gè)Cal 1 Id)僅僅表示對(duì)0PC客戶機(jī)發(fā)出的異步寫(xiě)操作的接收確 認(rèn)，并不表示已經(jīng)寫(xiě)入到0PC服務(wù)器，0PC服務(wù)器是根據(jù)異步策略適時(shí)更新數(shù)據(jù)。0PC客戶機(jī) 只有在由0PC服務(wù)器請(qǐng)求數(shù)據(jù)更新所動(dòng)態(tài)建立的TCP連接中，才能讀到由0PC服務(wù)器發(fā)出的 異步更新的寫(xiě)操作狀態(tài)。
[0128] 第210幀如下所示：
[0129]
[0130] 在上述會(huì)話中，可在原有的基礎(chǔ)上，加入以下語(yǔ)言描述的規(guī)則：
[0131] statl0：if(filterl(0x56a6) = =0x71 3a cl 39 le 01 dO 11 96 75 00 20 af d8 ad b3)
[0132] {rule 1(4) = filterl(0x42,4)；
[0133] }
[0134] else
[0135] {
[0136] }；
[0137] 進(jìn)入 statll;
[0138] statll: if ((filter2(0x42,4) = =rulel(4))&&(filter3(0x4c,2) = =0x0400))
[0139] {rule2(4) = filter4(0xaa,4)；
[0140] rule3(4) =datatof loat(rule2(4))；
[0141 ] if(rule3(4)< = 3.3)
[0142] {放行；
[0143] }
[0144] else
[0145] {丟棄；
[0146] }；
[0147] }
[0148] else
[0149] {放行；
[0150] }；
[0151] ……。
[0152] 防火墻即可根據(jù)上述規(guī)則解釋執(zhí)行過(guò)濾。
[0153] 本發(fā)明并不限于上述實(shí)施方式，在不背離本發(fā)明的實(shí)質(zhì)內(nèi)容的情況下，本領(lǐng)域技 術(shù)人員可以想到的任何變形、改進(jìn)、替換均落入本發(fā)明的保護(hù)范圍。
【主權(quán)項(xiàng)】
1. 一種基于規(guī)則描述語(yǔ)言的動(dòng)態(tài)配置過(guò)濾規(guī)則的方法，其特征在于，所述方法包括以 下操作步驟： 步驟一、建立規(guī)則描述語(yǔ)言： 步驟（1)建立會(huì)話連接 建立會(huì)話連接，所述會(huì)話連接包括會(huì)話連接正向與會(huì)話連接逆向，所述會(huì)話連接正向 即由客戶機(jī)向服務(wù)器發(fā)出連接請(qǐng)求的方向，由關(guān)鍵字forward link(前向鏈路)整數(shù)表示， 從〇開(kāi)始，〇, 1，2……；所述會(huì)話連接逆向，即由服務(wù)器向客戶機(jī)做出響應(yīng)的方向；由關(guān)鍵字 backrward link(后向鏈路)整數(shù)表示，從0開(kāi)始，0，1，2......。 步驟(2)確定會(huì)話連接狀態(tài) 所述一個(gè)會(huì)話連接由兩個(gè)或兩個(gè)以上的狀態(tài)組成，由關(guān)鍵字stat整數(shù)表示，整數(shù)從0開(kāi) 始，按序增加為〇，1，2……；會(huì)話創(chuàng)建時(shí)的狀態(tài)為會(huì)話開(kāi)始狀態(tài)，會(huì)話結(jié)束時(shí)為會(huì)話結(jié)束狀 ??τ 〇 步驟(3)進(jìn)行過(guò)濾字段 過(guò)濾字段是指網(wǎng)絡(luò)幀中的一段16進(jìn)制字節(jié)數(shù)據(jù)，過(guò)濾字段的屬性是:開(kāi)始地址，從網(wǎng)絡(luò) 幀開(kāi)始計(jì)算，以字節(jié)為單位;字段長(zhǎng)度，以字節(jié)為單位。 步驟(4)匹配規(guī)則字段 用于匹配網(wǎng)絡(luò)幀中過(guò)濾字段的16進(jìn)制字節(jié)數(shù)據(jù)，所述規(guī)則字段的屬性是:字段長(zhǎng)度，以 字節(jié)為單位，所述規(guī)則字段以關(guān)鍵字加整數(shù)后綴表示為:rule整數(shù)，rule整數(shù)表示為字段長(zhǎng) 度，所述整數(shù)為〇，1，2……。 步驟(5)賦予操作語(yǔ)句表達(dá)式 所述賦予操作語(yǔ)句表達(dá)式是指用匹配規(guī)則字段對(duì)網(wǎng)絡(luò)幀中的特定過(guò)濾字段進(jìn)行比對(duì) 時(shí)進(jìn)行的操作，例如:對(duì)以下操作： if(表達(dá)式） {操作語(yǔ)句系列1; } else {操作語(yǔ)句系列2; }; 可用例子解釋為： if (網(wǎng)絡(luò)幀中的特定過(guò)濾字段==匹配規(guī)則字段） {丟棄，并記日志； } else {放行； ....... 步驟(6)會(huì)話連接的操作動(dòng)作 會(huì)話連接的操作動(dòng)作是指用匹配規(guī)則字段對(duì)網(wǎng)絡(luò)幀中的某一過(guò)濾字段進(jìn)行比對(duì)后要 采取的操作，會(huì)話連接的操作動(dòng)作：1表示放行，2表示丟棄，3表示記日志，4表示創(chuàng)建新的會(huì) 話連接，5表示轉(zhuǎn)入另一個(gè)狀態(tài)。 進(jìn)一步的，會(huì)話連接的操作動(dòng)作也能夠是中間運(yùn)算的結(jié)果，所述中間運(yùn)算的結(jié)果是一 個(gè)待過(guò)濾的幀的開(kāi)始地址，待創(chuàng)建新的會(huì)話連接的TCP協(xié)議的目的端口號(hào)。 步驟(7)定義操作運(yùn)算符 所述操作方法的操作運(yùn)算符定義類似C語(yǔ)言，操作運(yùn)算符包括運(yùn)算符含義/運(yùn)算符類 型/結(jié)合方向等，用于對(duì)網(wǎng)絡(luò)幀中的過(guò)濾字段進(jìn)行操作。 步驟(8)過(guò)濾字段字符的轉(zhuǎn)換操作 所述過(guò)濾字段字符的轉(zhuǎn)換操作是指把兩字節(jié)網(wǎng)絡(luò)過(guò)濾字段字符，即用2字節(jié)表示數(shù)字 的字符轉(zhuǎn)換成兩字節(jié)整數(shù)，把4字節(jié)的網(wǎng)絡(luò)過(guò)濾字段數(shù)據(jù)轉(zhuǎn)換成4字節(jié)的浮點(diǎn)數(shù)。 步驟二、動(dòng)態(tài)過(guò)濾的實(shí)現(xiàn)： 防火墻以包過(guò)濾狀態(tài)檢測(cè)技術(shù)為基礎(chǔ)，并預(yù)置了： 步驟(1)、動(dòng)態(tài)增加深度過(guò)濾的接口； 步驟(2)、預(yù)留了狀態(tài)轉(zhuǎn)換處理函數(shù)； 步驟(3 )、建立各類過(guò)濾算法庫(kù)。2. 按照權(quán)利要求1所述基于規(guī)則描述語(yǔ)言的動(dòng)態(tài)配置過(guò)濾規(guī)則的方法，其特征在于，所 述步驟(1)所述會(huì)話連接正向和會(huì)話連接逆向的整數(shù)須相等。3. 按照權(quán)利要求1所述基于規(guī)則描述語(yǔ)言的動(dòng)態(tài)配置過(guò)濾規(guī)則的方法，其特征在于，步 驟(2)所述確定會(huì)話連接狀態(tài)，依據(jù)會(huì)話連接狀況還能夠包含會(huì)話連接其它多個(gè)狀態(tài)，當(dāng)客 戶機(jī)基于TCP的應(yīng)用協(xié)議，向服務(wù)器發(fā)起連接的SYN幀時(shí)進(jìn)入statO,服務(wù)器同意建立連接發(fā) SYN、ACK幀時(shí)進(jìn)入statl，客戶機(jī)收到后發(fā)ACK確認(rèn)幀進(jìn)入stat2,這就是所稱的TCP建立連接 時(shí)的三次交互的握手過(guò)程；同樣TCP協(xié)議正常結(jié)束時(shí)有四次交互的斷開(kāi)連接的過(guò)程，這同樣 能夠用四個(gè)狀態(tài)表示，所述TCP協(xié)議從建立連接到結(jié)束斷開(kāi)連接的過(guò)程即為一個(gè)會(huì)話，中間 還需要有有效數(shù)據(jù)的傳輸，它還需要由應(yīng)用協(xié)議構(gòu)成，取決于對(duì)其內(nèi)容過(guò)濾的需要中間還 分為若干個(gè)狀態(tài)，所述會(huì)話連接狀態(tài)的作用域?yàn)橐粋€(gè)會(huì)話連接，包括會(huì)話連接正向和會(huì)話 連接逆向。4. 按照權(quán)利要求1所述基于規(guī)則描述語(yǔ)言的動(dòng)態(tài)配置過(guò)濾規(guī)則的方法，其特征在于，步 驟(3)所述過(guò)濾字段表示為filter整數(shù):filter整數(shù)表示為開(kāi)始地址，字段長(zhǎng)度，所述整數(shù) 為〇，1，2……，過(guò)濾字段的作用域?yàn)橐粋€(gè)會(huì)話連接，包括話連接正向和會(huì)話連接逆向。5. 按照權(quán)利要求1所述基于規(guī)則描述語(yǔ)言的動(dòng)態(tài)配置過(guò)濾規(guī)則的方法，其特征在于，步 驟(6)所述會(huì)話連接的操作動(dòng)作也能夠包含中間運(yùn)算的結(jié)果，所述中間運(yùn)算的結(jié)果是一個(gè) 待過(guò)濾的幀的開(kāi)始地址，待創(chuàng)建新的會(huì)話連接的TCP協(xié)議的目的端口號(hào)。6. 按照權(quán)利要求1所述基于規(guī)則描述語(yǔ)言的動(dòng)態(tài)配置過(guò)濾規(guī)則的方法，其特征在于，所 述步驟二中，當(dāng)防火墻應(yīng)用中出現(xiàn)了新的結(jié)構(gòu)特征或?qū)W(wǎng)絡(luò)數(shù)據(jù)內(nèi)容有了進(jìn)一步的過(guò)濾要 求，而現(xiàn)有的防火墻設(shè)計(jì)未能覆蓋這些要求時(shí)，則修改或設(shè)計(jì)防火墻軟件，再升級(jí)更新防火 墻，配置過(guò)濾規(guī)則后，再進(jìn)行動(dòng)態(tài)過(guò)濾。
【專利摘要】本發(fā)明涉及一種基于規(guī)則描述語(yǔ)言的動(dòng)態(tài)配置過(guò)濾規(guī)則的方法，所述方法主要包括：建立規(guī)則描述語(yǔ)言,建立會(huì)話連接，確定會(huì)話連接狀態(tài)，進(jìn)行過(guò)濾字段，匹配規(guī)則字段，賦予操作語(yǔ)句表達(dá)式，會(huì)話連接的操作動(dòng)作，定義操作運(yùn)算符，過(guò)濾字段字符的轉(zhuǎn)換操作，進(jìn)行動(dòng)態(tài)過(guò)濾等。本發(fā)明所述方法的優(yōu)越效果在于：基于規(guī)則描述語(yǔ)言動(dòng)態(tài)過(guò)濾規(guī)則廣泛適用于防火墻、網(wǎng)關(guān)、網(wǎng)絡(luò)通訊處理機(jī)、各類帶有網(wǎng)絡(luò)接口的計(jì)算設(shè)備以及工業(yè)用的控制器等的有效過(guò)濾保護(hù)。
【IPC分類】H04L29/06
【公開(kāi)號(hào)】CN105516162
【申請(qǐng)?zhí)枴緾N201510958869
【發(fā)明人】豐大軍, 傅一帆, 貢春燕, 王帥
【申請(qǐng)人】中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所
【公開(kāi)日】2016年4月20日
【申請(qǐng)日】2015年12月18日