CN110545219A - 工业资产的被动识别方法、装置和电子设备 - Google Patents
工业资产的被动识别方法、装置和电子设备 Download PDFInfo
- Publication number
- CN110545219A CN110545219A CN201910913045.0A CN201910913045A CN110545219A CN 110545219 A CN110545219 A CN 110545219A CN 201910913045 A CN201910913045 A CN 201910913045A CN 110545219 A CN110545219 A CN 110545219A
- Authority
- CN
- China
- Prior art keywords
- asset
- industrial
- information base
- information
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000004458 analytical method Methods 0.000 claims description 18
- 238000005516 engineering process Methods 0.000 claims description 7
- 238000012795 verification Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000003860 storage Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 238000004590 computer program Methods 0.000 description 5
- 238000005206 flow analysis Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 2
- 238000009411 base construction Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/04—Manufacturing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/668—Internet protocol [IP] address subnets
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Economics (AREA)
- General Health & Medical Sciences (AREA)
- Environmental & Geological Engineering (AREA)
- Manufacturing & Machinery (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提出一种工业资产的被动识别方法、装置和电子设备,涉及工业资产识别领域,其中,在该工业资产的被动识别方法中,工业资产预先连接至网络互联设备,该方法包括:获取所述网络互联设备的流量;基于所述流量识别所述工业资产。因此,本发明实施例提供的技术方案,通过获取流量,然后基于流量对工业资产进行识别,可以缓解现有技术中存在的无法识别的问题,能够提高识别率。
Description
技术领域
本发明涉及工控资产识别领域,具体而言,涉及一种工业资产的被动识别方法、装置和电子设备。
背景技术
工业控制***网络安全已经纳入了《信息安全技术网络安全等级保护基本要求》的要求,《信息安全技术网络安全等级保护基本要求》工业控制***安全扩展要求提出控制设备应在经过充分测试评估后,在不影响***安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作,因而需要对工控网络中的资产进行识别。
目前,现有的工业资产主要是通过主动发包的方式,然而由于工业控制***网络的实时性和高可用性的要求主动发包会占用网络资源引起网络堵塞,另一方面由于一些DCS***本身协议的私有性不支持外来的设备对于DCS***的扫描,因而造成无法识别的现象。
发明内容
有鉴于此,本发明的目的在于提供一种工业资产的被动识别方法、装置和电子设备。
为了实现上述目的,本发明实施例采用的技术方案如下:
第一方面,本发明实施例提供一种工业资产的被动识别方法,所述工业资产预先连接至网络互联设备,所述方法包括以下步骤:
获取所述网络互联设备的流量;
基于所述流量识别所述工业资产。
在可选的实施方式中,所述基于所述流量识别所述工业资产,包括:
对所述流量进行解析,得到所述工业资产的资产指纹信息;
基于所述资产指纹信息识别所述工业资产。
在可选的实施方式中,所述资产指纹信息包括应用层数据;
所述基于所述资产指纹信息识别所述工业资产,包括:
对所述应用层数据进行解析,生成解析结果;
如果所述解析结果指示数据解析成功,则将所述工业资产标记为已知资产;
如果所述解析结果指示数据解析失败,则将所述工业资产标记为未知资产。
在可选的实施方式中,所述方法还包括:
基于所述解析结果构建控制器的固件版本信息库。
在可选的实施方式中,所述资产指纹信息包括网络五元组的至少一项;
所述基于所述资产指纹信息识别所述工业资产,包括:
将所述网络五元组的至少一项与预先构建的资产信息库进行匹配,生成匹配结果;
如果所述匹配结果指示匹配成功,则将所述工业资产标记为已知资产;
如果所述匹配结果指示匹配失败,则将所述工业资产标记为未知资产。
在可选的实施方式中,所述将所述网络五元组的至少一项与预先构建的资产信息库进行匹配,包括:
验证IP地址和MAC地址在预先构建的资产信息库中是否存在匹配项。
在可选的实施方式中,所述资产信息库包括手动资产信息库;所述手动资产信息库是基于用户导入的台账信息构建得到的。
在可选的实施方式中,所述资产信息库包括自动资产信息库;所述自动资产信息库是基于网络爬虫技术从互联网收集的工业资产信息构建得到的。
第二方面,本发明实施例提供一种工业资产的被动识别装置,所述工业资产预先连接至网络互联设备,所述装置包括:
流量接入模块,用于获取所述网络互联设备的流量;
流量解析模块,用于基于所述流量识别所述工业资产。
第三方面,本发明实施例提供一种电子设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当计算机设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行上述的工业资产的被动识别方法的步骤。
第四方面,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如前述实施方式中任一项所述的空调远程控制方法。
本发明实施例带来了以下有益效果:
本发明实施例提供的工业资产的被动识别方法、装置、电子设备和计算机可读存储介质,其中,该工业资产的被动识别方法,所述工业资产预先连接至网络互联设备,该方法包括:获取所述网络互联设备的流量;基于所述流量识别所述工业资产。因此,本发明实施例提供的技术方案,通过获取流量,然后基于流量对工业资产进行识别,可以缓解现有技术中存在的无法识别或识别率低的问题,能够提高识别率。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本发明实施例提供的一种工业资产的被动识别方法的流程图;
图2示出了本发明实施例提供的一种工业资产的被动识别装置的示意图;
图3示出了本发明实施例提供的工业资产的被动识别装置的一种应用流程图;
图4示出了本发明实施例提供的工业资产的被动识别装置的原理图;
图5示出了本发明实施例提供的工业资产的被动识别装置的一种决策算法的流程图;
图6示出了本发明实施例提供的一种电子设备的示意图。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
工业控制***网络中有很多资产例如工程师站、操作站、服务器以及控制器(DCS、PLC)交换机、安全网络设备等等,这些设备本身会存在漏洞,一旦这些设备的漏洞被利用会对工业控制***带来巨大危害,由于工业控制***的重要性一旦被破坏不但带来财产损失也会造成安全事故或引起社会动荡,因而识别工业控制***网络中的资产信息,及时解决资产的漏洞是十分重要的。
目前,现有的一种工控网络资产识别是通常使用主动发包的方式,然而由于工业控制***网络的实时性和高可用性的要求主动发包会占用网络资源引起网络堵塞,另一方面由于一些DCS***本身协议的私有性不支持外来的设备对于DCS***的扫描,因而造成无法识别的现象。
另一种是通过网络空间搜索的方式进行识别,例如利用最流行的网络空间搜索引擎Shodan,它可以扫描HTTP,FTP,SSH,Telnet,SNMP和SIP等协议,通过分析客户端与服务端交互过程中的信息,来识别工控设备,然而,上述针对工控资产识别采用网络空间搜索方式的缺点在于:由于部分工控设备本身并不支持HTTP,FTP,SSH,Telnet,SNMP和SIP等协议,因而会带来无法识别的局限性。
综上,现有的工业资产识别存在无法识别或识别率低的问题。
基于此,本发明实施例提供的一种工业资产的被动识别方法、装置和电子设备,可以缓解现有技术中存在的无法识别或识别率低的问题,不会占用网络资源同时也提高了识别能力。
下面对本申请中提及的主要术语进行如下说明:
术语1:工控资产指的是工业控制网络中的工程师站、操作站、DCS、PLC以及网络设备、安全设备等实体的通讯主体。
术语2:DCS(Distribution Control System)分散式控制***也称集散控制***是以微处理器为基础,采用控制功能分散、显示操作集中、兼顾分而自治和综合协调的设计原则的新一代仪表控制***。集散控制***简称DCS,也可直译为“分散控制***”或“分布式计算机控制***”。
术语3:PLC(Programmable Logic Controller)可编程逻辑控制器是一种专门为在工业环境下应用而设计的数字运算操作电子***。它采用一种可编程的存储器,在其内部存储执行逻辑运算、顺序控制、定时、计数和算术运算等操作的指令,通过数字式或模拟式的输入输出来控制各种类型的机械设备或生产过程。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种AGV调度方法进行详细介绍。
第一实施例
参照图1,本发明实施例提供了一种工业资产的被动识别方法,该方法包括:
步骤S102,获取网络互联设备的流量;
步骤S104,基于流量识别工业资产。
其中,在步骤S102中,网络互联设备包括但不限于交换机、路由器等网络接入设备;上述的流量可以是镜像或分光获取的流量数据包,这里称为流量镜像或镜像流量。
在可选的实施方式中,该步骤S102可以通过以下步骤实现:
通过使用网络互联设备(例如交换机或路由器)的镜像功能将连接至网络互联设备的工控资产的所有流量镜像到一个端口或接口,即从所述端口或接口来获取到镜像流量。
对于步骤S104,通过使用流量分析技术对获取的镜像流量进行分析来被动识别业控制***网络中的工业资产。
在可能的实施方式中,该步骤S104主要通过以下步骤执行:
1、对所述流量进行解析,得到所述工业资产的资产指纹信息;
2、基于所述资产指纹信息识别所述工业资产。
其中,步骤1中,上述的资产指纹信息包括但不限于网络五元组和应用层数据。网络五元组包括源IP地址、源MAC地址、目的IP地址、目的MAC地址、应用层协议;需要说明的而是,本实施例中,应用层协议包含工控协议,例如MODBUS、S7、ETHERNET/IP、PROFIBUS-DP等。
需要指出的是,对流量中对应的每个工业资产都进行识别。
相应的,步骤2通过以下方式的至少一种实现:
方式A:对于资产指纹信息包括应用层数据的情况;
A1对所述应用层数据进行解析,生成解析结果;
A2如果所述解析结果指示数据解析成功,则将所述工业资产标记为已知资产;
即所述工业资产可以被正常识别,此时将所述工业资产标记为已知资产。“已知”的含义可以理解为登记在册。
可选的,所述将所述工业资产标记为已知资产的步骤包括:
1)将所述工业资产的资产版本信息标识位置为预设成功标识符。其中预设成功标识符可以是数字、字母或其他字符,这里例如可以将资产版本信息标识位(例如指定为A)置为1,以表明工业资产被正常识别。
2)获取所述工业资产的控制器的固件版本信息;
A3如果所述解析结果指示数据解析失败,则将所述工业资产标记为未知资产。
可选的,所述将所述工业资产标记为未知资产的步骤包括:
1)将所述工业资产的资产版本信息标识位置为预设失败标识符。其中预设失败标识符也可以是数字、字母或其他字符,这里例如可以将资产版本信息标识位(例如指定为A)置为0,以表明工业资产未被识别。
通常DCS、PLC在做应用组态下装过程中会对工程师站的数据库控制器版本信息与控制器的固件版本信息做对比用来判断工控***的组态程序的一致性,通过判断解析结果是否包括下装字段信息即可确定解析是否成功,如果解析结果包括下装字段信息,则解析成功,否则,解析失败。
进一步的,该方法还可以包括:
版本库构建步骤,基于所述解析结果构建控制器的固件版本信息库。
通过构建控制器的固件版本信息库,可以对固件版本信息库进行完善,同时便于后续的工业资产识别,有利于提高识别效率。
需要说明的是,在得到下装字段信息后,通过解析下装字段信息还可以得到工业资产的控制器的固件版本信息。
方式B:对于资产指纹信息包括网络五元组的至少一项的情况;
B1将所述网络五元组的至少一项与预先构建的资产信息库进行匹配,生成匹配结果;
其中,资产信息库可以是手动资产信息库,也可以是自动资产信息库;所述手动资产信息库是基于用户导入的台账信息构建得到的;所述自动资产信息库是基于网络爬虫技术从互联网收集的工业资产信息构建得到的;上述的网络五元组包括源IP地址、目标IP地址、源MAC地址、目标MAC地址以及应用层协议。
B2如果所述匹配结果指示匹配成功,则将所述工业资产标记为已知资产;
B3如果所述匹配结果指示匹配失败,则将所述工业资产标记为未知资产。
可选的,该步骤B1可以通过以下方式中的至少一种执行:
B11将网络五元组的至少一项信息与手动资产信息库做匹配,生成匹配结果;
如手动信息库中有匹配信息,即匹配结果指示匹配成功,则在手动信息资源库中将手动信息库匹配标识(例如指定为B)置为1(预设成功标识符),以表明网络五元组对应的工业资产已匹配,为已知资产;若无匹配信息,即匹配结果指示匹配失败,则在手动信息库中将手动信息库匹配标识(例如指定为B)置为0(预设失败标识符),以表明所述工业资产未匹配,为未知资产。
B12将网络五元组的至少一项信息与自动资产信息库做匹配,生成匹配结果;
可选的,该步骤B1可以通过以下步骤执行:
验证IP地址和MAC地址在预先构建的资产信息库中是否存在匹配项。
这里的IP地址可以是源IP地址、也可以是目标IP地址,还可以是包括源IP地址和目标IP地址两者;MAC地址可以是源MAC地址,也可以是目标MAC地址,还可以包括源MAC地址和目标MAC地址;这里的资产信息库可以是手动资产信息库,也可以是自动资产信息库。
本实施例中,IP地址包括源IP地址和目标IP地址,此时可以同时实现对源IP地址和目标IP地址对应的工业资产的验证,提高验证效率。同样的,MAC地址包括源MAC地址和目标MAC地址,可以同时实现对MAC地址和目标MAC地址对应的工业资产的验证,提高验证效率。此外,本实施例提供对IP地址和MAC地址一起验证,防止由于IP地址或MAC地址被篡改导致验证结果不准确的问题,提高了验证的准确度。
同时,这里的资源信息库包括手动资产信息库和自动资产信息库,可以分别在手动资产信息库和自动资产信息库进行匹配,例如可以先在手动资产信息库进行匹配,当手动资产信息库未匹配时,可以再在自动资产信息库进行二次匹配;当然,也可以先在自动资产信息库进行匹配,当自动资产信息库未匹配时,可以再在手动资产信息库进行二次匹配;即对于匹配的顺序不作限定。
本发明实施例提供的工业资产的被动识别方法,用于解决工业控制***网络中资产识别问题,该方法的原理在于使用旁路流量被动识别的方式而不主动发包,例如通过交换机引流的方式通过分析旁路流量来识别资产信息,不发包不占用网络资源。因此,该方法缓解了现有技术中存在的无法识别或识别率低的问题,能够在不会占用网络资源同时也提高了识别能力。
第二实施例
参照图2,本发明实施例提供了一种工业资产的被动识别装置200,所述工业资产预先连接至网络互联设备,该工业资产的被动识别装置200包括流量接入模块201以及流量解析模块202:
其中,流量接入模块201,用于获取所述网络互联设备的流量;
流量解析模块202,用于基于所述流量识别所述工业资产。
可选的,该流量解析模块202,用于对所述流量进行解析,得到所述工业资产的资产指纹信息;基于所述资产指纹信息识别所述工业资产。
可选的,所述资产指纹信息包括应用层数据;该流量解析模块202在基于所述资产指纹信息识别所述工业资产时,用于对所述应用层数据进行解析,生成解析结果;如果所述解析结果指示数据解析成功,则将所述工业资产标记为已知资产;如果所述解析结果指示数据解析失败,则将所述工业资产标记为未知资产。
可选的,流量解析模块202,用于基于所述解析结果构建控制器的固件版本信息库。
可选的,所述资产指纹信息包括网络五元组的至少一项;该装置还包括决策模块203,用于将所述网络五元组的至少一项与预先构建的资产信息库进行匹配,生成匹配结果;如果所述匹配结果指示匹配成功,则将所述工业资产标记为已知资产;如果所述匹配结果指示匹配失败,则将所述工业资产标记为未知资产。
可选的,决策模块203,用于验证IP地址和MAC地址在预先构建的资产信息库中是否存在匹配项。
可选的,所述资产信息库包括手动资产信息库;所述手动资产信息库是基于用户导入的台账信息构建得到的。
可选的,所述资产信息库包括自动资产信息库;所述自动资产信息库是基于网络爬虫技术从互联网收集的工业资产信息构建得到的。
本发明实施例提供的工业资产的被动识别装置,与上述实施例提供的工业资产的被动识别方法具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。
为了便于理解,下面结合图3和图4对本发明实施例提供的工业资产的被动识别装置的实际应用流程进行说明:
该应用流程包括以下步骤:
步骤S302,从交换机取镜像流量;
具体的,流量接入模块通过使用交换机的镜像功能将交换机的所有流量镜像到一个接口,将该接口的流量引流到流量解析模块。
步骤S304,流量五元组解析;
具体的,流量解析模块通过接入的镜像流量并对镜像流量进行解析,分离出源IP地址、源MAC地址、目的IP地址、目的MAC地址、应用层协议(含工控协议,例如MODBUS、S7、ETHERNET/IP、PROFIBUS-DP等)。
步骤S306,应用层数据解析;
具体的,流量解析模块五元组解析后同时对应用层数据进行解析,通常DCS、PLC在做应用组态下装过程中会对工程师站的数据库控制器版本信息与控制器的固件版本信息做对比用来判断工控***的组态程序的一致性,通过解析下装字段信息可以得到工业资产的控制器的固件版本信息。
步骤S308,资产版本信息构建;
通过步骤S306的解析结果构建成为控制器的固件版本信息库,其中,该解析结果包括解析成功(表明工业资产正常识别)和解析失败(表明工业资产未识别),如工业资产正常识别则将资产版本信息标识位(例如指定为A)置为1,工业资产未识别则资产版本信息标识位置为0。
以上是图4中对于流量解析模块的说明。
步骤S310,验证MAC和IP在手动资产信息库中是否有匹配项。
决策模块将流量解析模块的五元组信息与手动资产信息库做匹配,如手动信息库中有匹配信息则手动信息库匹配标识(例如指定为B)置为1,无匹配信息则置为0。
步骤S312,验证MAC和IP在自动资产信息库中是否有匹配项。
决策模块将流量解析模块的五元组信息与自动资产信息库做匹配,如自动信息库中有匹配信息则自动信息库匹配标识(例如指定为C)置为1,无匹配信息则置为0。
请参阅图5,该装置在实际验证过程中采用的一种决策算法为:首先验证上述的A=1与否,若A=0则验证上述的B=1与否;若A=1也验证B=1与否,如B=1,则将工业资产标记为已知资产并存入已知资产库(列为资产);如果B=0则验证上述的C=1与否,如果C=1,则将所述工业资产标记为已知资产并存入已知资产库(列为资产);如果C=0,则将所述工业资产标记为未知资产(疑似资产)。
该决策算法在版本验证的基础上进一步结合资产信息库验证的方式,确保了识别结果更加精确。
可选的,对于列为未知资产的MAC/IP对应的工业资产,需要报警提醒示运维人员是否为入侵行为,例如可以采取人工处理的方式进一步确认,如进一步确认为正常资产则将该工业资产的资产指纹信息补充完整后列入资产库,同时将该工业资产的资产指纹信息更新到资产信息库中;如为非法资产将采取措施列为黑名单阻止该资产进入工业控制***网络中。
需要说明的是,上述资产版本信息库的构建可以在得到解析结果后的任意步骤执行,即步骤S308可以在步骤S306之后的任意步骤,例如可以在步骤S312之后再执行等,因此,该序号S308仅为描述方便使用,不应理解为对执行顺序的限制。同样的,步骤S310和步骤S312可以同时执行,也可以先后执行,上述仅示意性的示出了一种执行方式。
此外,资产信息库的建立由下面两种方式构成:
(1)手动资产信息库:由于工业控制***网络的确定性,工控的维护人员会有台账存在,再通过导入的方式将台账的信息导入到资产信息库中,以MAC地址来标定资产,同时关联IP、厂商、型号、版本、应用协议。
(2)自动资产信息库:通过互联网收集工控资产信息库,通过推送的方式或定期升级的方式完善自动资产信息库,以MAC地址来标定资产,同时关联IP、厂商、型号、版本、应用协议。
本发明实施例提供的工业资产的被动识别装置,有效的解决工业控制***网络中资产识别问题,通过被动的流量识别MAC/IP与工控资产库信息对比的方式同时使用决策算法,可以精确识别工业控制***的资产,同时对工业控制***网络零资源占用。此外,该装置对工业控制***的专有协议解析以及决策算法形成的资产识别信息更适用于工业控制***的网络资产识别场景。
参见图6,本发明实施例还提供一种电子设备100,包括:
处理器41、存储器42、和总线43;存储器42用于存储执行指令,包括内存421和外部存储器422;这里的内存421也称内存储器,用于暂时存放处理器41中的运算数据,以及与硬盘等外部存储器422交换的数据,处理器41通过内存421与外部存储器422进行数据交换。
在一种可能的实时方式中,该电子设备100可以是工业资产的被动识别装置,所述工业资产预先连接至网络互联设备,此时,当所述电子设备100运行时,所述处理器41与所述存储器42之间通过总线43通信,使得所述处理器41在用户态执行以下指令:获取所述网络互联设备的流量;基于所述流量识别所述工业资产。
可选地,处理器41执行的指令中,所述基于所述流量识别所述工业资产,包括:对所述流量进行解析,得到所述工业资产的资产指纹信息;基于所述资产指纹信息识别所述工业资产。
可选地,处理器41执行的指令中,所述资产指纹信息包括应用层数据;
所述基于所述资产指纹信息识别所述工业资产,包括:对所述应用层数据进行解析,生成解析结果;如果所述解析结果指示数据解析成功,则将所述工业资产标记为已知资产;如果所述解析结果指示数据解析失败,则将所述工业资产标记为未知资产。
可选地,处理器41执行的指令中,还包括:基于所述解析结果构建控制器的固件版本信息库。
可选地,处理器41执行的指令中,所述资产指纹信息包括网络五元组的至少一项;
所述基于所述资产指纹信息识别所述工业资产,包括:将所述网络五元组的至少一项与预先构建的资产信息库进行匹配,生成匹配结果;如果所述匹配结果指示匹配成功,则将所述工业资产标记为已知资产;如果所述匹配结果指示匹配失败,则将所述工业资产标记为未知资产。
可选地,处理器41执行的指令中,所述将所述网络五元组的至少一项与预先构建的资产信息库进行匹配,包括:验证IP地址和MAC地址在预先构建的资产信息库中是否存在匹配项。
可选地,处理器41执行的指令中,所述资产信息库包括手动资产信息库;所述手动资产信息库是基于用户导入的台账信息构建得到的。
可选地,处理器41执行的指令中,所述资产信息库包括自动资产信息库;所述自动资产信息库是基于网络爬虫技术从互联网收集的工业资产信息构建得到的。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器运行时执行上述实施例提供的工业资产的被动识别方法的步骤。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和结构图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,结构图和/或流程图中的每个方框、以及结构图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块或单元可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或更多个模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是智能手机、个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
Claims (10)
1.一种工业资产的被动识别方法,其特征在于,所述工业资产预先连接至网络互联设备,所述方法包括以下步骤:
获取所述网络互联设备的流量;
基于所述流量识别所述工业资产。
2.根据权利要求1所述的方法,其特征在于,所述基于所述流量识别所述工业资产,包括:
对所述流量进行解析,得到所述工业资产的资产指纹信息;
基于所述资产指纹信息识别所述工业资产。
3.根据权利要求2所述的方法,其特征在于,所述资产指纹信息包括应用层数据;
所述基于所述资产指纹信息识别所述工业资产,包括:
对所述应用层数据进行解析,生成解析结果;
如果所述解析结果指示数据解析成功,则将所述工业资产标记为已知资产;
如果所述解析结果指示数据解析失败,则将所述工业资产标记为未知资产。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
基于所述解析结果构建控制器的固件版本信息库。
5.根据权利要求2所述的方法,其特征在于,所述资产指纹信息包括网络五元组的至少一项;
所述基于所述资产指纹信息识别所述工业资产,包括:
将所述网络五元组的至少一项与预先构建的资产信息库进行匹配,生成匹配结果;
如果所述匹配结果指示匹配成功,则将所述工业资产标记为已知资产;
如果所述匹配结果指示匹配失败,则将所述工业资产标记为未知资产。
6.根据权利要求5所述的方法,其特征在于,所述将所述网络五元组的至少一项与预先构建的资产信息库进行匹配,包括:
验证IP地址和MAC地址在预先构建的资产信息库中是否存在匹配项。
7.根据权利要求5所述的方法,其特征在于,所述资产信息库包括手动资产信息库;所述手动资产信息库是基于用户导入的台账信息构建得到的。
8.根据权利要求5所述的方法,其特征在于,所述资产信息库包括自动资产信息库;所述自动资产信息库是基于网络爬虫技术从互联网收集的工业资产信息构建得到的。
9.一种工业资产的被动识别装置,其特征在于,所述工业资产预先连接至网络互联设备,所述装置包括:
流量接入模块,用于获取所述网络互联设备的流量;
流量解析模块,用于基于所述流量识别所述工业资产。
10.一种电子设备,其特征在于,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当计算机设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行上述权利要求1至8任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910913045.0A CN110545219A (zh) | 2019-09-25 | 2019-09-25 | 工业资产的被动识别方法、装置和电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910913045.0A CN110545219A (zh) | 2019-09-25 | 2019-09-25 | 工业资产的被动识别方法、装置和电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110545219A true CN110545219A (zh) | 2019-12-06 |
Family
ID=68714653
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910913045.0A Pending CN110545219A (zh) | 2019-09-25 | 2019-09-25 | 工业资产的被动识别方法、装置和电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110545219A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111970141A (zh) * | 2020-06-30 | 2020-11-20 | 浙江远望信息股份有限公司 | 基于ip地址和mac地址相似性的办公网硬件资产划分方法 |
CN112202609A (zh) * | 2020-09-28 | 2021-01-08 | 全球能源互联网研究院有限公司 | 一种工控资产探测方法、装置、电子设备及存储介质 |
CN112667896A (zh) * | 2020-12-29 | 2021-04-16 | 成都科来网络技术有限公司 | 一种基于网络行为推导的资产识别方法、计算机程序及存储介质 |
CN113923024A (zh) * | 2021-10-09 | 2022-01-11 | 京东科技信息技术有限公司 | 基于网络流量镜像的资产性质的识别方法和装置 |
CN113973059A (zh) * | 2021-10-21 | 2022-01-25 | 浙江大学 | 基于网络协议指纹的被动式工业互联网资产识别方法及装置 |
CN114124837A (zh) * | 2021-10-22 | 2022-03-01 | 南京中新赛克科技有限责任公司 | 一种基于被动流量的资产信息发现***及方法 |
CN114189348A (zh) * | 2021-10-18 | 2022-03-15 | 中国电子科技网络信息安全有限公司 | 一种适用于工控网络环境的资产识别方法 |
CN115550034A (zh) * | 2022-09-29 | 2022-12-30 | 国网重庆市电力公司电力科学研究院 | 一种配网电力监控***业务流量监测方法及装置 |
CN115695593A (zh) * | 2022-12-27 | 2023-02-03 | 国家工业信息安全发展研究中心 | 基于多维探测的被动式工业互联网资产识别方法及*** |
CN118018460A (zh) * | 2024-04-07 | 2024-05-10 | 杭州海康威视数字技术股份有限公司 | Api资产识别方法、装置及设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103229528A (zh) * | 2010-11-25 | 2013-07-31 | 汤姆逊许可公司 | 无线通信设备的指纹识别的方法和设备 |
CN106713449A (zh) * | 2016-12-21 | 2017-05-24 | 中国电子科技网络信息安全有限公司 | 一种快速识别联网工控设备的方法 |
CN106936667A (zh) * | 2017-04-17 | 2017-07-07 | 东南大学 | 一种基于应用程序流量分布式分析的主机实时识别方法 |
CN109246685A (zh) * | 2018-11-29 | 2019-01-18 | 锐捷网络股份有限公司 | 基于mac地址的客流量统计方法、设备及存储介质 |
CN110113345A (zh) * | 2019-05-13 | 2019-08-09 | 四川长虹电器股份有限公司 | 一种基于物联网流量的资产自动发现的方法 |
CN110213124A (zh) * | 2019-05-06 | 2019-09-06 | 清华大学 | 基于tcp多会话的被动操作***识别方法及装置 |
-
2019
- 2019-09-25 CN CN201910913045.0A patent/CN110545219A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103229528A (zh) * | 2010-11-25 | 2013-07-31 | 汤姆逊许可公司 | 无线通信设备的指纹识别的方法和设备 |
CN106713449A (zh) * | 2016-12-21 | 2017-05-24 | 中国电子科技网络信息安全有限公司 | 一种快速识别联网工控设备的方法 |
CN106936667A (zh) * | 2017-04-17 | 2017-07-07 | 东南大学 | 一种基于应用程序流量分布式分析的主机实时识别方法 |
CN109246685A (zh) * | 2018-11-29 | 2019-01-18 | 锐捷网络股份有限公司 | 基于mac地址的客流量统计方法、设备及存储介质 |
CN110213124A (zh) * | 2019-05-06 | 2019-09-06 | 清华大学 | 基于tcp多会话的被动操作***识别方法及装置 |
CN110113345A (zh) * | 2019-05-13 | 2019-08-09 | 四川长虹电器股份有限公司 | 一种基于物联网流量的资产自动发现的方法 |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111970141A (zh) * | 2020-06-30 | 2020-11-20 | 浙江远望信息股份有限公司 | 基于ip地址和mac地址相似性的办公网硬件资产划分方法 |
CN112202609A (zh) * | 2020-09-28 | 2021-01-08 | 全球能源互联网研究院有限公司 | 一种工控资产探测方法、装置、电子设备及存储介质 |
CN112667896A (zh) * | 2020-12-29 | 2021-04-16 | 成都科来网络技术有限公司 | 一种基于网络行为推导的资产识别方法、计算机程序及存储介质 |
CN113923024A (zh) * | 2021-10-09 | 2022-01-11 | 京东科技信息技术有限公司 | 基于网络流量镜像的资产性质的识别方法和装置 |
CN114189348A (zh) * | 2021-10-18 | 2022-03-15 | 中国电子科技网络信息安全有限公司 | 一种适用于工控网络环境的资产识别方法 |
CN113973059A (zh) * | 2021-10-21 | 2022-01-25 | 浙江大学 | 基于网络协议指纹的被动式工业互联网资产识别方法及装置 |
CN114124837A (zh) * | 2021-10-22 | 2022-03-01 | 南京中新赛克科技有限责任公司 | 一种基于被动流量的资产信息发现***及方法 |
CN115550034A (zh) * | 2022-09-29 | 2022-12-30 | 国网重庆市电力公司电力科学研究院 | 一种配网电力监控***业务流量监测方法及装置 |
CN115550034B (zh) * | 2022-09-29 | 2024-07-19 | 国网重庆市电力公司电力科学研究院 | 一种配网电力监控***业务流量监测方法及装置 |
CN115695593A (zh) * | 2022-12-27 | 2023-02-03 | 国家工业信息安全发展研究中心 | 基于多维探测的被动式工业互联网资产识别方法及*** |
CN115695593B (zh) * | 2022-12-27 | 2023-03-10 | 国家工业信息安全发展研究中心 | 基于多维探测的被动式工业互联网资产识别方法及*** |
CN118018460A (zh) * | 2024-04-07 | 2024-05-10 | 杭州海康威视数字技术股份有限公司 | Api资产识别方法、装置及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110545219A (zh) | 工业资产的被动识别方法、装置和电子设备 | |
CN109802953B (zh) | 一种工控资产的识别方法及装置 | |
CN112134762B (zh) | 针对区块链网络结构的测试方法、装置、终端和存储介质 | |
CN112468360A (zh) | 一种基于指纹的资产发现识别和检测方法及*** | |
EP2336890A1 (en) | Root cause analysis method targeting information technology (it) device not to acquire event information, device and program | |
CN110635971A (zh) | 工控资产探测及管理方法、装置和电子设备 | |
CN112134893B (zh) | 物联网安全防护方法、装置、电子设备及存储介质 | |
CN113949748A (zh) | 一种网络资产识别方法、装置、存储介质及电子设备 | |
CN113572752B (zh) | 异常流量的检测方法和装置、电子设备、存储介质 | |
WO2019190403A1 (en) | An industrial control system firewall module | |
CN115733646A (zh) | 网络安全威胁评估方法、装置、设备及可读存储介质 | |
CN115277241A (zh) | 一种基于流量分层的异常流量检测方法、装置及存储介质 | |
CN111193727A (zh) | 运行监测***及运行监测方法 | |
CN110569987A (zh) | 自动化运维方法、运维设备、存储介质及装置 | |
CN110378154B (zh) | 一种文件集完整性校验的方法及装置 | |
CN114205146B (zh) | 一种多源异构安全日志的处理方法及装置 | |
CN108040067B (zh) | 一种云平台入侵检测方法、装置及*** | |
CN109302381B (zh) | Radius属性扩展方法、装置、电子设备和计算机可读介质 | |
CN110768934A (zh) | 网络访问规则的检查方法和装置 | |
CN114281668A (zh) | 异常用例生成方法、装置、电子设备以及存储介质 | |
KR101512700B1 (ko) | 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 시스템 및 그 제어 방법 | |
CN114817928A (zh) | 网络空间数据融合分析方法、***、电子设备及存储介质 | |
CN114615015A (zh) | 服务***修复优先级的确定方法、装置、设备及介质 | |
CN114817482A (zh) | 一种产品制造程序的确定方法、装置、设备及存储介质 | |
CN109560964B (zh) | 一种设备合规检查方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191206 |
|
RJ01 | Rejection of invention patent application after publication |