一种协议白名单配置方法及装置

技术领域

本申请涉及物联网安全领域，尤其涉及一种协议白名单配置方法及装置。

背景技术

对于物联网安全，通常采用协议白名单的方式进行安全控制，由于安全设备上默认集成的协议白名单有限，需要根据告警日志人工分析出协议特征对协议白名单进行手动配置，该过程需要重复多次才能完成；并且，在人工提取协议特征时，需要查询大量的告警日志，并对其进行分析归纳提取出协议特征，对相关技术人员要求较高；上述整体过程占用人力物力多、提取与配置的准确性较低。

发明内容

有鉴于此，本申请提供一种协议白名单配置方法及装置。

为实现上述目的，本申请提供技术方案如下：

根据本申请的第一方面，提出了一种协议白名单配置方法，具体为：

获取安全设备根据自身维护的协议白名单对收到的流量进行处理而生成的告警日志；

从所述告警日志中提取所述流量所采用的通信协议的协议特征，并根据所述协议特征生成对应于所述通信协议的白名单信息；

根据所述白名单信息对所述协议白名单进行配置。

根据本申请的第二方面，提出了一种协议白名单配置装置，具体为：

获取单元，获取安全设备根据自身维护的协议白名单对收到的流量进行处理而生成的告警日志；

提取单元，从所述告警日志中提取所述流量所采用的通信协议的协议特征，并根据所述协议特征生成对应于所述通信协议的白名单信息；

配置单元，根据所述白名单信息对所述协议白名单进行配置。

根据本申请的第三方面，提出了一种电子设备，具体为：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器通过运行所述可执行指令以实现如第一方面所述的方法。

根据本申请的第四方面，提出了一种计算机可读存储介质，其上存储有计算机指令，该指令被处理器执行时实现如第一方面所述方法的步骤。

由以上技术方案可见，本申请通过获取流量通过安全设备后产生的告警日志，并从中提取流量所采用的通信协议的协议特征，生成对应于所述通信协议的白名单信息，根据白名单信息对协议白名单进行配置；与手动配置协议白名单相比，实现了自动提取协议特征和自动配置协议白名单，节省了人力物力资源，提升了配置效率，提高了配置的准确性。

附图说明

图1是本申请一示例性实施例示出的一种协议白名单配置方法的示意流程图；

图2为本申请的实施例示出的一种应用于协议白名单配置方法的网络架构图；

图3是本申请一示例性实施例示出的另一种协议白名单配置方法的示意流程图；

图4是本申请一示例性实施例示出的一种验证协议白名单配置结果的示意流程图；

图5是本申请一示例性实施例示出的一种验证生成的白名单有效性的示意流程图；

图6是本申请一示例性实施例示出的一种电子设备的结构示意图；

图7是本申请一示例性实施例示出的一种协议白名单配置装置的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

图1为本申请的实施例示出的一种协议白名单配置方法的示意流程图，图2为本申请的实施例示出的一种应用于上述方法的网络架构图，下面结合图1与图2对本实施例所示的协议白名单配置方法的步骤进行详细描述：

步骤102，获取安全设备12根据自身维护的协议白名单对收到的流量进行处理而生成的告警日志。

在一实施例中，所述安全设备22中集成有协议白名单，安全设备22开启阻断功能时，安全设备22将根据自身维护的协议白名单对通过的流量进行处理，仅放通采用的通信协议的协议特征与自身维护的协议白名单符合的流量，如果流量采用的通信协议的协议特征与安全设备22自身维护的协议白名单不符合，安全设备22对上述流量处理时会产生告警日志，并阻断上述与其自身维护的协议白名单不符合的流量通过。

在一实施例中，配置管理中心23可以向安全设备22发送获取上述告警日志的请求，安全设备22接收到上述请求后向配置管理中心23发送上述告警日志，其中，配置管理中心23可以按照预设周期向安全设备22发送请求，预设周期可以根据实际情况进行设置，当产生告警日志较为频繁时，预设周期可以适当缩短，当产生告警日志较少时，预设周期可以适当增加。

在一实施例中，安全设备22可以配置管理中心23发送告警日志，而不需要在接收到配置管理中心23获取告警日志的请求后才作出响应，其中，安全设备22可以按照预设周期向配置管理中心23发送告警日志，也可以在产生的告警日志达到预设数量时向配置管理中心23发送所述告警日志。预设周期与预设数量均可以根据实际情况设置和调整，根据预设数量调整发送告警日志的时机可以避免产生少量告警日志时频繁发送造成的对传输资源的浪费。

在一实施例中，通过安全设备22的流量可以为测试仪21根据预设可通过流量建立的模拟流量。在现有的物联网部署设备时，由于现有物联网设备种类繁多、网络流量复杂，为防止开安全设备22启阻断功能时阻断正常的业务流量，造成正常业务板不通，可以将正常业务流量，即对现有物联网安全没有损害的流量作为预设可通过流量，使测试仪21可以根据上述预设可通过流量进行模拟，建立与预设可通过流量采用的协议特征相同的模拟流量，在真实的流量通过安全设备22之前，使上述模拟流量先通过安全设备22，由于模拟流量与预设可通过流量的协议特征相同，因此安全设备22上会产生与安全设备22处理预设可通过流量时相同的告警日志，便于后续对协议特征的提取与对协议白名单的配置。通过建立模拟流量，可以产生与真实预设可通过流量相同的告警日志，从而根据上述告警日志提前对协议白名单进行配置。因此，当安全设备22对真实的预设可通过流量进行处理时，安全设备22中的协议白名单已经配置完成，就不会对预设可通过流量进行阻断，避免了由于预设可通过流量的协议特征与安全设备22自身维护的协议白名单不符合而造成的对正常业务流量的阻断。

步骤104，从所述告警日志中提取所述流量所采用的通信协议的协议特征，并根据所述协议特征生成对应于所述通信协议的白名单信息。

在一实施例中，协议特征可以为终端类型和端口特征，其中端口特征可以包括源端口号、目的端口号；其中，提取的协议特征中必须包含终端类型，端口特征可以包含源端口号和目的端口号中的至少一个。

在一实施例中，提取告警日志中的终端类型，根据终端类型对告警日志进行分类，即将终端类型相同的告警日志分为一类，分别从每一类告警日志中提取端口特征；对于每一类告警日志，若其中存在目的端口相同的告警日志，则提取出相同的目的端口作为端口特征；对于剩余的不存在相同目的端口的告警日志，检测是否存在源端口相同的告警日志，若存在，提取相同的源端口作为端口特征；对于剩余既不存在相同目的端口也不存在相同源端口的告警日志，提取目的端口号范围作为端口特征；将提取出的端口特征与终端类型作为协议特征，并生成对应于所述通信协议的白名单信息。

在一实施例中，提取告警日志中的终端类型，根据终端类型对告警日志进行分类，将终端类型相同的告警日志分为一类，再将每一类告警日志按照协议类型分类，例如将每一类终端类型相同的告警日志分为采用TCP协议(Transmission Control Protocol，传输控制协议)的告警日志和采用UDP协议(User Datagram Protocol，用户数据报协议)的告警日志；再对每一类终端类型相同且采用协议相同告警日志提取端口特征；将提取出的端口特征与终端类型作为协议特征，并生成对应于所述通信协议的白名单信息。

步骤106，根据所述白名单信息对所述协议白名单进行配置。

在一实施例中，使用上述步骤生成的白名单信息配置安全设备22中自身维护的协议白名单，即利用生成的白名单信息更新安全设备22中原本维护的协议白名单，将从告警日志中提取出协议特征进而生成的白名单信息添加至原本安全设备22维护的协议白名单中，以使安全设备22处理上述预设流量时不再产生告警日志，避免安全设备22阻断正常流量通过。

在一实施例中，上述方法还可以包括：查询上述协议白名单的配置结果，并将上述配置结果将所述配置结果与所述生成的白名单信息对比，生成对比结果；若对比结果不一致，则生成记录文件以记录对比结果，和/或根据所述白名单信息重新对所述协议白名单进行配置。在上述步骤中，根据从告警日志中提取出协议特征进而生成的白名单信息对协议白名单进行配置，即将白名单信息下发至安全设备22自身原本维护的协议白名单中，在下发配置的过程中，可能会出现错误，因此可以在配置完成后，查询安全设备22中协议白名单的配置结果，与从上述告警日志中提取出协议特征进而生成的白名单信息进行对比，如果一致，则说明在下发配置的过程中没有出现错误，配置给安全设备22的白名单信息与上述步骤提取出的白名单信息一致；如果不一致，说明下发配置的过程中存在错误，需要重新利用上述生成的白名单信息配置安全设备22中原本维护的协议白名单中，避免由于在下发配置的过程中出现错误导致错误地配置协议白名单，进而使得一些正常的流量无法通过安全设备22。

在一实施例中，上述方法还可以包括：在根据所述白名单信息对所述协议白名单进行配置之后，若继续接收到所述安全设备22生成的告警日志，则判定所述白名单信息无效，并重新生成对应于所述通信协议的白名单信息，以根据重新生成的白名单信息对所述协议白名单进行配置。在使用从告警日志中提取出协议特征进而生成的白名单信息配置协议白名单后，如果所有预设可通过流量采用的协议特征均被提取，则生成的白名单信息应是对应全部预设可通过流量的完整的白名单信息，那么上述预设可通过流量经由安全设备22处理后，则不会再产生告警日志，安全设备22也不会再阻断上述预设可通过流量；如果上述提取协议特征的过程中，某些预设可通过流量采用的协议特征未被提取，则生成的白名单信息不是对应全部预设可通过流量的完整的白名单信息，当上述未被提取协议特征的预设可通过流量通过安全设备22时，将会继续产生告警日志，说明生成的上述白名单信息无效，需要重新提取预设可通过流量所采用的通信协议的协议特征，进而生成新的白名单信息对安全设备22维护的协议白名单进行配置。在本实施例中，根据安全设备22是否继续收到预设可通过流量的对应的告警日志，判断是否将所有预设可通过流量对应的协议特征提取完整，进而判断生成的协议白名单是否有效，在生成协议白名单无效的情况下，及时重新提取协议特征生成新的白名单信息，重新配置安全设备22维护的协议白名单。

由上述实施例可知，本申请通过获取流量通过安全设备22后产生的告警日志，并从中提取流量所采用的通信协议的协议特征，生成对应于所述通信协议的白名单信息，根据白名单信息对协议白名单进行配置，实现了自动提取协议特征和自动配置协议白名单，节省了人力物力资源，提升了配置效率。在生成上述协议白名单之后，通过将协议白名单的配置结果与生成的协议白名单信息对比，检测协议白名单下发是否正确，根据是否继续接收到告警日志，判断生成的白名单信息是否有效，可以及时检验协议白名单配置过程是否出现错误并自动纠正，及时针对已经出现的问题进行相应处理，提升了配置的准确性，避免由于上述错误影响正常的白名单配置过程，节省人工检测错误并处理所需的人力成本。

参见图3，图3为本申请一示例性实施例示出的另一种协议白名单配置方法的示意流程图，下面结合图3对上述方法的具体步骤进行详细描述：

步骤302-步骤304，从安全设备处获取安全设备根据自身维护的协议白名单对收到的流量进行处理而生成的告警日志，并提取告警日志中的终端类型，如表1所示，从安全设备中获取15份告警日志，每份告警日志记载了至少如下内容，其中终端类型分为类型1、类型2、类型3等。

表1

步骤306，根据终端类型对告警日志分类，如表1所示，可以将表1中的告警日志按照终端类型分为类型1对应的告警日志、类型2对应的告警日志、类型3对应的告警日志。

步骤308，对每一类告警日志按照协议类型分类；以类型1对应的告警日志为例，对类型1对应的告警日志按照协议类型进行分类，由表1中的数据可知，类型1对应的告警日志可以进而分成采用TCP协议的告警日志与采用UDP协议的告警日志，其中采用UDP协议的告警日志为第5、7、9条告警日志，剩余1～4、6、8、10～12条告警日志为采用TCP协议的告警日志。

步骤310，对任一类告警日志，判断是否存在相同的目的端口；表1中终端类型为类型1且采用TCP协议的告警日志如下表2所示：

表2

表2中第一条与第三条告警日志的目的端口相同，均为61号端口；第二条与第六条告警日志的目的端口相同，均为62号端口；根据步骤210a，提取相同的目的端口号，即61号与62号目的端口；对于剩余的告警日志，进入步骤312。

步骤312，对剩余告警日志，判断是否存在相同的源端口；由上述步骤可知，剩余的告警日志如下表3所示：

表3

表3中第四条与第八条告警日志存在相同的源端口，均为54号端口；根据步骤312a，提取相同的源端口号，即54号端口；对于剩余的10～12条告警日志，进入步骤314。

步骤314，对剩余告警日志，提取目的端口的范围；由上述步骤可知，第10～12条告警日志既不存在相同的目的端口也不存在相同的源端口，提取10～12条告警日志的目的端口号范围，即65～67号端口。

因此，对于终端类型为类型1且采用协议为TCP协议的告警日志，提取到的端口特征为：目的端口61、62、源端口54、目的端口65～67。

值得说明的是，对于终端类型为类型1且采用协议为UDP的告警日志，和其他终端类型对应的告警日志均采用与上述相同的方法提取端口特征与终端类型，在此不再赘述。

步骤316-318，根据上述终端类型与端口特征生成白名单信息，并根据白名单信息对协议白名单进行配置；通过上述步骤提取的终端类型与端口特征可以作为协议特征，根据协议特征生成白名单信息，并根据上述白名单信息对安全设备自身维护的协议白名单进行配置。

由上述步骤可知，本申请通过将告警日志先根据终端类型分类，再根据采用的协议分类，进而依次判断是否存在相同的目的端口与相同的源端口，可以自动提取对应于全部告警日志的完整协议特征；根据上述协议特征生成白名单信息配置协议白名单，完成了对协议白名单的自动配置。

参见图4，图4为本申请一示例性实施例示出的一种验证协议白名单配置结果的示意流程图，下面结合图3对上述方法的具体步骤进行详细描述：

步骤402，根据白名单信息对协议白名单进行配置；由上述实施例可知，例如，对于终端类型为类型1且采用协议为TCP协议的告警日志，提取到的端口特征为：目的端口61、62、源端口54、目的端口65～67；因此对应于终端类型为类型1且采用协议为TCP协议的告警日志的白名单信息为：终端类型为类型1；端口特征为目的端口61、62、源端口54、目的端口65～67；使用上述白名单信息配置安全设备原本维护的协议白名单中。

步骤404，查询所述协议白名单的配置结果；查询安全设备中维护的协议白名单经由步骤402中的配置操作后得到的配置结果，例如，可以查询经过配置的协议白名单中是否包括“终端类型为类型1；端口特征为目的端口61、62、源端口54、目的端口65～67”的白名单信息。

步骤406，判断与生成的白名单信息是否一致；如果经过配置后的协议白名单中包括“终端类型为类型1；端口特征为目的端口61、62、源端口54、目的端口65～67”的白名单信息，说明配置结果与生成的白名单信息一致，可以进入步骤406a，说明配置成功；如果如果经过配置后的协议白名单中不包括“终端类型为类型1；端口特征为目的端口61、62、源端口54、目的端口65～67”的白名单信息，或者仅包括上述白名单信息中的一部分，说明说明配置过程中出现错误，配置结果与生成的白名单信息不一致，进入步骤406b，重新对上述协议白名单进行配置，并且可以记录对比结果，便于后续查看。

由上述步骤可知，本申请将配置结果与生成的白名单信息进行对比，及时检测配置白名单信息的过程是否出现错误，在出现错误时重新对协议白名单进行配置，实现了自动纠正上述错误，直至配置成功；记录配置错误时的对比结果，便于相关人员在后续处理时查看记录，从而进行检修或优化。

参见图5，图5为本申请一示例性实施例示出的一种验证生成的白名单有效性的示意流程图，下面结合图5对上述方法的具体步骤进行详细描述：

步骤502，根据白名单信息对协议白名单进行配置；由上述实施例可知，例如，对于终端类型为类型1且采用协议为TCP协议的告警日志，提取到的端口特征为：目的端口61、62；源端口54；目的端口65～67，因此对应于终端类型为类型1且采用协议为TCP协议的告警日志的白名单信息为：终端类型为类型1；端口特征为目的端口61、62、源端口54、目的端口65～67；使用上述白名单信息配置安全设备原本维护的协议白名单中。

步骤504，判断是否继续接收到告警日志；如果在上述生成白名单信息并配置的过程中，已经提取到终端类型为类型1且采用协议为TCP协议的流量对应的全部协议特征，那么后续终端类型为类型1且采用协议为TCP协议的流量再经过安全设备时，安全设备处理上述流量不会再产生告警日志，也不会对上述流量进行阻断；如果不再接收到上述流量对应的告警日志，则进入步骤504b，说明提取的白名单信息有效；如果继续接受到上述流量对应的告警日志，进入步骤504b，判定白名单信息无效并重新生成对应上述流量的白名单信息，进而进入步骤506a，根据重新生成的白名单信息配置协议白名单，其中步骤504a与步骤506a中重新生成白名单信息并配置的具体过程参见上述实施例，在此不再赘述。

由上述步骤可知，本申请根据是否继续接收到告警日志判断生成的白名单信息是否有效，实现了对生成白名单信息有效性的自动检测；进而在生成的白名单信息无效时重新生成并下发配置，实现了自动纠正错误的白名单信息，直至提取到完整且有效的白名单信息，省去了在白名单信息提取出现错误时进行检测并处理的人工成本，提升了故障处理效率。

与上述方法实施例相对应，本说明书还提供了一种装置的实施例。

图6示出了根据本申请的一示例性实施例的电子设备示意结构图。请参考图6，在硬件层面，该电子设备包括处理器602、内部总线604、网络接口606、内存608以及非易失性存储器610，当然还可能包括其他业务所需要的硬件。处理器602从非易失性存储器610中读取对应的计算机程序到内存608中然后运行，在逻辑层面上形成协议白名单配置装置。当然，除了软件实现方式之外，本申请并不排除其他实现方式，比如逻辑器件抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单元，也可以是硬件或逻辑器件。

请参考图7，在软件实施方式中，该协议白名单配置装置可以包括获取单元701、提取单元702、配置单元703，其中：

获取单元701，用于获取安全设备根据自身维护的协议白名单对收到的流量进行处理而生成的告警日志；

提取单元702，用于从所述告警日志中提取所述流量所采用的通信协议的协议特征，并根据所述协议特征生成对应于所述通信协议的白名单信息；

配置单元703，用于根据所述白名单信息对所述协议白名单进行配置。

可选的，所述流量包括：测试仪根据预设可通过流量建立的模拟流量。

可选的，协议特征包括：终端类型和端口特征。

可选的，所述从所述告警日志中提取所述流量所采用的通信协议的协议特征，包括：

提取所述告警日志中的终端类型；

根据终端类型对告警日志进行分类，并分别从每类告警日志中提取端口特征；其中，对于任一类告警日志：若存在相同目的端口的告警日志，则提取相同的目的端口的端口号作为端口特征，若不存在相同目的端口的告警日志但存在相同源端口的告警日志，则提取相同的源端口的端口号作为端口特征，若不存在相同目的端口且不存在相同源端口的告警日志，则提取目的端口的端口号范围作为端口特征。

可选的，所述根据终端类型对告警日志进行分类，包括：根据终端类型对告警日志进行分类，对每一类告警日志按照协议类型分类，并分别从每类告警日志中提取端口特征。

可选的，该协议白名单配置装置还可以包括：

查询单元704，用于查询所述协议白名单的配置结果；

对比单元705，用于将所述配置结果与所述生成的白名单信息对比，生成对比结果；

若对比结果不一致，则生成记录文件以记录对比结果，和/或根据所述白名单信息重新对所述协议白名单进行配置。

可选的，该协议白名单配置装置还可以包括：

判定单元706，用于判定白名单信息是否有效，在根据所述白名单信息对所述协议白名单进行配置之后，若继续接收到所述安全设备生成的告警日志，则判定所述白名单信息无效，并重新生成对应于所述通信协议的白名单信息，以根据重新生成的白名单信息对所述协议白名单进行配置。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器，上述指令可由……装置的处理器执行以实现如上述实施例中任一所述的方法。

其中，所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等，本申请并不对此进行限制。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。