专利 一种基于配置的数据过滤方法

(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202111368608.6 (22)申请日 2021.11.18 (71)申请人许昌许继软件技术有限公司地址 461000 河南省许昌市许继大道170 6 号 (72)发明人郭宏燕　窦中山　王旭宁　孙航飞　罗欣　孟新昊　陈豆　常卫　 (74)专利代理机构北京中创云知识产权代理事务所(普通合伙) 11837 代理人刘佳音 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/22(2022.01) (54)发明名称一种基于配置的数据过滤方法 (57)摘要一种基于配置的数据过滤方法，包括：通过隔离装置管理工具对拟接入类型协议创建协议模板；对拟接入设备进行建模；拟接入设备根据业务需求向隔离装置发送报文请求，装置解析报文类型与数据库中设备模型中是否匹配；判断装置解析报文结构与该装置的设备协议模型是否匹配；判断装置解析报文内容与该装置的设备协议模型是否匹配；判断报文是否符合安全策略；报文透传，判断设备报文是否发送完毕。本发明提高了电力二次网络安全隔离装置协议解析程序的通用性和免维护性。权利要求书2页说明书5页附图1页 CN 114095243 A 2022.02.25 CN 114095243 A 1.一种基于配置的数据过滤方法，其特征在于，包括如下步骤：步骤S100，通过隔离装置管理工具对拟接入类型协议创建协议模板；步骤S200，对拟接入设备进行建模；步骤S300，拟接入设备根据业务需求向隔离装置发送报文请求，装置解析报文类型与数据库中设备模型中是否匹配，若匹配则执行步骤S40 0，若不匹配，则丢弃报文；步骤S400，判断装置解析报文结构与该装置的设备协议模型是否匹配，若匹配则执行步骤S500，若不匹配，则丢弃报文；步骤S500，判断装置解析报文内容与该装置的设备协议模型是否匹配，若匹配则执行步骤S600，若不匹配，则丢弃报文；步骤S600，判断报文是否符合安全策略，若符合则执行步骤S700，若不符合，则阻断网络；步骤S700，报文透传，判断设备报文是否发送完毕，若信道中数据发送完毕则退出流程，若没有发送完毕则转到步骤S3 00。 2.根据权利要求1所述的一种基于配置的数据过滤方法，其特征在于，所述步骤S100 中，协议模板针对相应的协议类型，支持电力系统常用协议类型以及自定义协议。 3.根据权利要求2所述的一种基于配置的数据过滤方法，其特征在于，所述步骤S100 中，协议管理数据表定义包括以下字段：协议标识、协议描述、协议配置模板信息、协议分析插件名。 4.根据权利要求3所述的一种基于配置的数据过滤方法，其特征在于，所述步骤S200 中，对拟接入设备进行建模的具体实现方法为：在隔离装置管理工具软件中对所要进行 “信息摆渡”的设备进行管理，确定设备通信协议类型例及所属策略；通过选取步骤S100中定义好的协议模板，并根据装置的具体协议要求对协议模板进行实例化，最终生成设备协议模型。 5.根据权利要求4所述的一种基于配置的数据过滤方法，其特征在于，步骤S300中，设备与隔离装置建立正常连接之后，设备向隔离装置发送请求报文，隔离装置提取报文中表征不同协议类型以及协议字段的特征，与该设备的协议模型进行对比，若协议类型不匹配，则报“协议错误”，丢弃报文；若协议类型匹配，则执行步骤S40 0。 6.根据权利要求5所述的一种基于配置的数据过滤方法，其特征在于，步骤S400中，隔离装置按照识别到的协议标识匹配协议字段模板库中该协议类型对应的协议解析模型，按照解析模型对应的解析格式解析报文，检查协议格式是否符合模型规范，若符合则执行步骤S500，若不符合则丢弃报文。 7.根据权利要求6所述的一种基于配置的数据过滤方法，其特征在于，所述步骤S500 中，隔离装置按照解析模型对应的解析格式解析报文，进一步检查协议内容是否符合模型规范。如装置地址与配置是否匹配，若不匹配，则报 “地址非法 ”，丢弃报文；若设备地址与设备模型中配置一致则进行协议属性的进一步解析。 8.根据权利要求7所述的一种基于配置的数据过滤方法，其特征在于，所述步骤S600 中，对报文按照安全策略要求进行检查，若符合安全策略则放行报文，若不符合则阻断网络。权　利　要　求　书 1/2 页 2 CN 114095243 A 29.根据权利要求8所述的一种基于配置的数据过滤方法，其特征在于，还包括，重复步骤S300， S400， S500， S600,直至信道中不存在数据。权　利　要　求　书 2/2 页 3 CN 114095243 A 3

专利 一种基于配置的数据过滤方法

专利一种基于配置的数据过滤方法