CN111193727A - 运行监测***及运行监测方法 - Google Patents

Abstract

本申请属于工业控制技术领域，公开了一种运行监测***及运行监测方法。所述***包括：获取模块，用于获取工业设备的IP信息，并根据所述工业设备的IP信息，扫描确定当前处于运行状态的工业设备；确定模块，用于向所述当前处于运行状态的工业设备发送通信协议数据包，并接收、解析所述工业设备响应于所述通信协议数据包反馈的运行信息；监测模块，用于根据所述反馈的运行信息查找预先配置的漏洞数据库，确定所述工业设备的运行漏洞。通过本申请实施例，可以快速、准确地查找出各个所述工业设备的潜在运行漏洞，从而实现了对整个工业控制***中所有处于运行状态的工业设备的安全运行监控，提高了整个工业控制***的安全性能。

Description

运行监测***及运行监测方法

技术领域

本申请属于工业控制技术领域，尤其涉及一种运行监测***及运行监测方法。

背景技术

随着工业网络的融合发展，工业控制***逐步由物理隔离、封闭转化为开放、互联。但随之而来的是，传统的网络攻击行为也逐渐渗透到工业控制网络中。工业控制***的安全威胁来源更加广泛，工业控制***面临的安全形势愈发严峻。此外，由于工业控制***的工业通信协议相对简单，加之工业操作***和工业软件缺乏较好安全防护措施，使得工业控制***的上述漏洞很容易受到不良分子的攻击。更进一步的是，工业控制***在部署时往往具有设备众多、地域分布广等特点，不少工业设备直接与互联网相连接，因而存在较大的安全隐患。

而且，在相关技术中，尚没有一种快速、准确地查找出各个工业设备的潜在运行漏洞，因此根本无法保证整个工业控制***的安全性能。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本申请的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

有鉴于此，本申请实施例提供了一种运行监测***及运行监测方法，以解决现有技术中无法快速、准确地查找出各个工业设备的潜在运行漏洞的技术问题。

本申请的第一方面，提供了一种运行监测***，包括：获取模块、确定模块、监测模块；

所述获取模块包括IP列表获取子模块和IP扫描子模块，其中，所述IP列表获取子模块用于获取工业设备的IP信息，所述IP扫描子模块用于根据所述工业设备的IP信息，扫描确定当前处于运行状态的工业设备；

所述确定模块包括发送子模块和接收子模块，其中，所述发送子模块用于向所述当前处于运行状态的工业设备发送通信协议数据包，接收子模块用于接收并解析所述工业设备响应于所述通信协议数据包反馈的运行信息；

所述监测模块包括查找子模块，用于根据所述反馈的运行信息查找预先配置的漏洞数据库，确定所述工业设备的运行漏洞。

在本申请的一些实施例中，所述确定模块还包括：至少2个对应于不同通信协议类型的插件子模块和与所述插件子模块对应的配置子模块，其中，所述插件子模块用于根据对应的通信协议类型，向所述工业设备发送对应通信协议格式的数据包，所述配置子模块用于设置所述插件子模块对应的通信协议类型、扫描速率以及扫描周期。

在本申请的一些实施例中，所述运行监测***还包括：展示模块，用于按照预设方式对所述工业设备的运行漏洞进行区分显示。

在本申请的一些实施例中，所述运行监测***还包括：风险管理模块，包括安全指数计算子模块，所述安全指数计算子模块用于根据所述工业设备的运行漏洞的风险等级和预先配置的各个运行漏洞风险等级的权重，计算得到所述工业设备的安全指数。

在本申请的一些实施例中，所述风险管理模块还包括：漏洞修复子模块，用于根据所述工业设备的运行漏洞种类和所述工业设备的安全指数，确定所述工业设备的漏洞修复方案。

在本申请的一些实施例中，所述运行监测***还包括：数据传送模块，用于将所述工业设备的运行信息、运行漏洞以及与运行漏洞对应的修复方案上传至指定平台。

在本申请的一些实施例中，所述运行监测***还包括：管理模块，包括历史信息管理子模块、用户信息管理子模块和***管理子模块，其中，所述历史信息管理子模块用于管理所述工业设备的历史运行信息，并对所述工业设备进行风险标记，用户信息管理子模块用于对使用所述运行监测***的用户进行信息管理，***管理子模块用于对使用所述运行监测***的用户进行使用权限分配。

本申请的第二方面，提供了一种运行监测方法，所述方法包括：

获取工业设备的IP信息；

根据所述工业设备的IP信息，扫描确定当前处于运行状态的工业设备；

向所述当前处于运行状态的工业设备发送通信协议数据包；

接收并解析所述工业设备响应于所述通信协议数据包反馈的运行信息；

根据所述反馈的运行信息查找预先配置的漏洞数据库，确定所述工业设备的运行漏洞。

在本申请的一些实施例中，所述向所述处于运行状态的工业设备发送通信协议数据包，包括：

预先确定所述工业设备的通信协议类型，并向所述工业设备发送对应通信协议格式的数据包。

在本申请的一些实施例中，所述方法还包括：

根据所述工业设备的运行漏洞的风险等级和预先配置的各个运行漏洞风险等级的权重，计算得到所述工业设备的安全指数；

根据所述工业设备的运行漏洞种类和所述工业设备的安全指数，确定所述工业设备的漏洞修复方案。

本申请实施例与现有技术相比存在的有益效果是：首先通过获取所述运行监测***中所有工业设备的IP信息；并根据所述IP信息扫描确定所述运行监测***中处于运行状态的工业设备；之后向所述处于运行状态的工业设备发送通信协议数据包；接着接收并解析所述工业设备响应于所述通信协议数据包反馈的运行信息；最后，根据所述反馈的运行信息查找预先配置的漏洞数据库，确定所述工业设备的运行漏洞。这样一来，达到了对所有处于运行状态的工业设备的自动、有效的监测效果。可以说，本申请技术方案可以快速、准确地查找出各个所述工业设备的潜在运行漏洞，从而实现了对整个工业控制***中所有处于运行状态的工业设备的安全运行监控，提高了整个工业控制***的安全性能。

本申请的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本申请的实践而习得。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。

图1为本申请一个实施例中一种运行监测***及运行监测方法应用的***架构示意图；

图2为本申请一个实施例中一种运行监测***的各模块的结构关系示意图；

图3为本申请一个实施例中一种运行监测方法的示意流程图；

图4为本申请一个实施例中另一种运行监测方法的示意流程图；

图5为本申请实施例中一种监控服务器的示意框图。

具体实施方式

为使得本申请的发明目的、特征、优点能够更加的明显和易懂，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本申请一部分实施例，而非全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本申请说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本申请。如在本申请说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

还应当进一步理解，在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

如在本说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。

另外，在本申请的描述中，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

如图1所示，是本申请实施例提供的一种运行监测***及运行监测方法应用的***架构示意图。该***架构包括监控服务器1、至少2个工业设备2以及总监控平台3。监控服务器1可以是由用户预先设置的一个运行监控装置；所述总监控平台3是对所述各个监控服务器1进行监控的总平台，所述总监控平台3与所述监控服务器1通过网络单元6连接，所述监控服务器1与所述工业设备2也通过网络单元6连接。网络单元6可以包括各种连接类型，例如有线通信链路、无线通信链路等等。总监控平台3可以向监控服务器1下发最新潜在运行漏洞，以便所述监控服务器1将所述最新潜在运行漏洞加入到自身存储的漏洞数据库中。

如图2所示，是本申请一个实施例提供的一种运行监测***的各模块的结构关系示意图，所述运行监测***可以由图1中的监控服务器1执行，所述运行监测***至少包括：获取模块210、确定模块220、监测模块230；

所述获取模块210，包括IP列表获取子模块和IP扫描子模块，其中，所述IP列表获取子模块用于获取工业设备的IP信息，所述IP扫描子模块用于根据所述工业设备的IP信息，扫描确定当前处于运行状态的工业设备。

可以理解，所述IP列表获取子模块用于获取工业设备的IP信息，具体地，可以从总监控平台3等渠道获取所述工业设备的IP信息。所述IP信息包括：IP地址、端口标识等。

所述IP扫描子模块用于根据所述工业设备的IP信息，扫描确定当前处于运行状态的工业设备。具体地，所述IP扫描子模块可以根据所述工业设备的IP信息进行批量IP扫描，扫描方式包括但不限于使用Ping、TCPConnect等，从而检测出当前处于运行状态的工业设备。例如，可以通过向工业设备发送ICMP echo、ICMP timestamp、TCPConnect、SYN等请求包，通过分析所述工业设备是否接收请求包并发送响应包来探测所述工业设备是否处于运行状态。

在本申请的一个实施例中，IP信息可以是根据所述工业设备的地理区域不同划分为不同的IP区段并形成IP地址库，从而便于IP扫描子模块进行调用。当然，所述IP信息也可以是用户从自定义的IP列表库导入的或者其他方式预先确定的。

所述确定模块220，包括发送子模块和接收子模块，其中，所述发送子模块用于向所述当前处于运行状态的工业设备发送通信协议数据包，接收子模块用于接收并解析所述工业设备响应于所述通信协议数据包反馈的运行信息。

可以理解，在确定处于运行状态的工业设备后，确定模块中的发送子模块可以向所述工业设备发送通信协议数据包。

可以理解，所述接收子模块，用于接收并解析所述工业设备响应于所述通信协议数据包反馈的运行信息。例如，所述通信协议数据包中含有请求访问所述工业设备中某一端口服务的信息，若所述工业设备查找预先存储的端口访问权限表，发现该通信协议数据包具有访问该端口的权限时，则在接收到所述通信协议数据包时，所述工业设备向所述监控服务器返回对应的应答数据包作为响应信息。解析子模块可以在对上述应答数据包进行解析后，得到所述工业设备的运行信息。所述运行信息可以包括以下信息中的一种或多种：工业设备类型标识、工业设备型号、工业设备制造厂商标识、工业设备使用的软件版本标识、工业设备归属地标识和经纬度信息等。相反，若所述工业设备查找预先存储的端口访问权限表，发现该通信协议数据包不具有访问该端口的权限时或相应端口处于暂停服务等异常状态时，则不向所述监控服务器返回应答数据包。

在本申请的一个实施例中，所述确定模块还包括：所述确定模块还包括：至少2个对应于不同通信协议类型的插件子模块和与所述插件子模块对应的配置子模块，其中，所述插件子模块用于根据对应的通信协议类型，向所述工业设备发送对应通信协议格式的数据包，所述配置子模块用于设置所述插件子模块对应的通信协议类型、扫描速率以及扫描周期。

可以理解，虽然每个工业设备与监控服务器都是通过网络连接的，但每个工业设备采用的通信协议并不相同。因此，需要预先确定适用于各个工业设备的通信协议。具体地，可以利用所述插件子模块，根据对应的通信协议类型，向所述工业设备发送对应通信协议规定格式的数据包。具体地，确定模块可以通过多个不同通信协议类型的插件子模块分别向使用不同通信协议的工业设备发送对应通信协议的数据包。所述插件子模块，可以包括OPCUA插件子模块、Modbus插件子模块、IEC61850插件子模块等工业通信协议插件子模块。

可以理解，所述配置子模块，用于设置所述插件子模块对应的通信协议类型、扫描速率以及扫描周期。具体地，预先设置所述插件子模块对应的通信协议类型，便于准确地向具体某一类型的工业设备发送其可以接受并响应的数据包。预先设置所述插件子模块的扫描速率，可以避免所述插件子模块在扫描工业设备时因速率过高而产生丢包现象。预先设置所述插件子模块的扫描周期，可以保证扫描任务的按照预定的扫描节奏进行，从而保证获取数据包的时效性。

在本申请的一个实施例中，所述工业设备可以按照各个端口的历史被访问总次数、平均每日被访问次数等参量进行排名排序，得到端口访问顺序表。

这样做的好处是，可以按照所述端口访问顺序表依次向所述工业设备的各个端口发送探测数据包，从而缩短对所述工业设备的总探测时间。

所述监测模块230，包括查找子模块，用于根据所述反馈的运行信息查找预先配置的漏洞数据库，确定所述工业设备的运行漏洞。

可以理解，所述查找子模块用于根据所述反馈的运行信息查找预先配置的漏洞数据库，确定所述工业设备的运行漏洞。具体地，所述监测模块可以用于根据所述反馈的运行信息和预先配置的漏洞数据库，确定所述工业设备当前时刻可能存在的潜在运行漏洞。例如，根据工业设备使用的软件版本标识，结合预先配置的漏洞数据库中的各个软件版本的漏洞列表信息，分析出所述工业设备当前时刻的潜在运行漏洞。

所述工业设备的运行漏洞，包括但不限于以下信息：工业设备的漏洞名称、漏洞类型、漏洞影响范围等。

在本申请的一个实施例中，所述运行监测***还包括：风险管理模块，包括安全指数计算子模块，所述安全指数计算子模块用于根据所述工业设备的运行漏洞的风险等级和预先配置的各个运行漏洞风险等级的权重，计算得到所述工业设备的安全指数。

可以理解，可以预先将运行漏洞的种类按照风险高低分为不同等级，例如A等级、B等级、C等级、D等级。同时可以根据各个风险等级的危害程度，给各个风险等级预置不同的权重值。例如，给A等级风险分配权重为0.1、给B等级风险分配权重为0.2、给C等级风险分配权重为0.3、给D等级风险分配权重为0.4。之后，可以根据所述风险等级和与各个风险等级对应的权重，来计算所述工业设备的安全指数。

在本申请的另一个实施例中，所述风险管理模块，可以根据监测结果生成潜在安全风险提示列表和/或潜在安全风险统计报表，从而实现风险量化。

在本申请的一个实施例中，所述风险管理模块还包括：漏洞修复子模块，用于根据所述工业设备的运行漏洞种类和所述工业设备的安全指数，确定所述工业设备的漏洞修复方案。

可以理解，所述漏洞修复子模块，用于根据所述工业设备的运行漏洞种类和所述工业设备的安全指数，确定所述工业设备的漏洞修复方案对于所述工业设备存在的安全漏洞。例如，当所述工业设备的运行漏洞种类为注入型漏洞，且所述工业设备的安全指数大于0.5小于0.8时，对应的漏洞修复方案为：过滤参数，保障输入信息合法性。又如，当所述工业设备的运行漏洞种类为业务逻辑漏洞，且所述工业设备的安全指数大于0.5小于0.8时，对应的漏洞修复方案为：至少对业务流程进行2次校验，防止出现逻辑错误。再如，当所述工业设备的运行漏洞种类为***漏洞时，无论所述工业设备的安全指数为多大，对应的漏洞修复方案都为：升级补丁。

在本申请的一个实施例中，所述运行监测***还包括：展示模块，用于按照预设方式对所述工业设备的运行漏洞进行区分显示。

可以理解，所述展示模块，用于按照预设方式对所述工业设备的运行漏洞进行区分显示。具体地，区分显示子模块可以将所述工业设备的运行状态、运行漏洞和对应的漏洞修复方案等信息，在预设区域地图中进行高亮展示。当然，还可以用不同颜色、颜色深度等来区分显示不同等级的漏洞风险，以便于监控人员可以直观地了解整个工业***的漏洞风险区域分布情况。

在本申请的一个实施例中，所述运行监测***还包括：数据传送模块，用于将所述工业设备的运行信息、运行漏洞以及与运行漏洞对应的修复方案上传至指定平台。

可以理解，所述运行监测***还包括：数据传送模块，用于将所述工业设备的运行信息、运行漏洞以及与运行漏洞对应的修复方案上传至指定平台。例如，上传至国家级平台、省级平台等指定平台。

这样做的好处是，便于所述指定平台根据各个监控服务器的监测结果，进行大数据分析，梳理出当前各个监控服务器普遍存在的漏洞、风险较高的漏洞等量化数据。

在本申请的一个实施例中，所述运行监测***还包括：管理模块，包括历史信息管理子模块、用户信息管理子模块和***管理子模块，其中，所述历史信息管理子模块用于管理所述工业设备的历史运行信息，并对所述工业设备进行风险标记，用户信息管理子模块用于对使用所述运行监测***的用户进行信息管理，***管理子模块用于对使用所述运行监测***的用户进行使用权限分配。

可以理解，所述用户信息管理子模块用于对使用所述运行监测***的用户进行信息管理，例如对用户登录日志查看进行管理。所述***管理子模块用于对使用所述运行监测***的用户进行使用权限分配，例如对用户查看操作日志的范围进行权限分配。其中，所述操作日志可以是对所述工业设备进行风险标定、风险确认等操作行为的记录。

如图3所示，是本申请一个实施例提供的一种运行监测方法的流程图，所述运行监测方法包括以下步骤：

步骤S310、获取工业设备的IP信息；

步骤S320、根据所述工业设备的IP信息，扫描确定当前处于运行状态的工业设备；

步骤S330、向所述当前处于运行状态的工业设备发送通信协议数据包；

步骤S340、接收并解析所述工业设备响应于所述通信协议数据包反馈的运行信息；

步骤S350、根据所述反馈的运行信息查找预先配置的漏洞数据库，确定所述工业设备的运行漏洞。

下面，对上述步骤进行详细说明。

在步骤S310中，获取工业设备的IP信息。

可以理解，可以利用获取模块210中的IP列表获取子模块，获取工业设备的IP信息，所述IP信息包括：IP地址、端口标识等。

在步骤S320中，根据所述工业设备的IP信息，扫描确定当前处于运行状态的工业设备。

可以理解，可以利用获取模块210中的IP扫描子模块，根据所述工业设备的IP信息，扫描确定当前处于运行状态的工业设备。具体地，所述IP扫描子模块可以根据所述工业设备的IP信息进行批量IP扫描，扫描方式包括但不限于使用Ping、TCPConnect等，从而检测出当前处于运行状态的工业设备。例如，可以通过向工业设备发送ICMP echo、ICMPtimestamp、TCPConnect、SYN等请求包，通过分析所述工业设备是否接收请求包并发送响应包来探测所述工业设备是否处于运行状态。

在步骤S330中，向所述当前处于运行状态的工业设备发送通信协议数据包。

可以理解，在确定处于运行状态的工业设备后，可以利用确定模块中的发送子模块向所述当前处于运行状态的工业设备发送通信协议数据包。

在步骤S340中，接收并解析所述工业设备响应于所述通信协议数据包反馈的运行信息。

可以理解，可以利用确定模块中的接收子模块，接收并解析所述工业设备响应于所述通信协议数据包反馈的运行信息。所述运行信息可以包括以下信息中的一种或多种：工业设备类型标识、工业设备型号、工业设备制造厂商标识、工业设备使用的软件版本标识、工业设备归属地标识和经纬度信息等。

在步骤S350中，根据所述反馈的运行信息查找预先配置的漏洞数据库，确定所述工业设备的运行漏洞。

可以理解，可以利用所述监测模块中的查找子模块，根据所述反馈的运行信息查找预先配置的漏洞数据库，确定所述工业设备的运行漏洞。所述工业设备的运行漏洞，包括但不限于以下信息：工业设备的漏洞名称、漏洞类型、漏洞影响范围等。

在本申请的一个实施例中，所述向所述处于运行状态的工业设备发送通信协议数据包，包括：预先确定所述工业设备的通信协议类型，并向所述工业设备发送对应通信协议格式的数据包。

可以理解，虽然每个工业设备与监控服务器都是通过网络连接的，但每个工业设备采用的通信协议并不相同。因此，需要预先确定适用于各个工业设备的通信协议。具体地，可以利用所述确定模块中的配置子模块，按照各个不同通信协议的工业设备，分别配置多个不同通信协议类型的插件子模块，并利用所述插件子模块向所述工业设备发送对应通信协议的数据包。

如图4所示，在本申请的一个实施例中，所述方法包括以下步骤：

步骤S410、根据所述工业设备的运行漏洞的风险等级和预先配置的各个运行漏洞风险等级的权重，计算得到所述工业设备的安全指数。

可以理解，可以预先将运行漏洞的种类按照风险高低分为不同等级，例如A等级、B等级、C等级、D等级。同时可以根据各个风险等级的危害程度，给各个风险等级预置不同的权重值。例如，给A等级风险分配权重为0.1、给B等级风险分配权重为0.2、给C等级风险分配权重为0.3、给D等级风险分配权重为0.4。之后，可以根据所述风险等级和与各个风险等级对应的权重，来计算所述工业设备的安全指数。

步骤S420、根据所述工业设备的运行漏洞种类和所述工业设备的安全指数，确定所述工业设备的漏洞修复方案。

可以理解，所述漏洞修复子模块，用于根据所述工业设备的运行漏洞种类和所述工业设备的安全指数，确定所述工业设备的漏洞修复方案对于所述工业设备存在的安全漏洞。例如，当所述工业设备的运行漏洞种类为注入型漏洞，且所述工业设备的安全指数大于0.5小于0.8时，对应的漏洞修复方案为：过滤参数，保障输入信息合法性。又如，当所述工业设备的运行漏洞种类为业务逻辑漏洞，且所述工业设备的安全指数大于0.5小于0.8时，对应的漏洞修复方案为：至少对业务流程进行2次校验，防止出现逻辑错误。再如，当所述工业设备的运行漏洞种类为***漏洞时，无论所述工业设备的安全指数为多大，对应的漏洞修复方案都为：升级补丁。

应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置，模块和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

图5示出了本申请实施例提供的一种监控服务器的示意框图，为了便于说明，仅示出了与本申请实施例相关的部分。

如图5所示，该实施例的监控服务器5包括：处理器50、存储器51以及存储在所述存储器51中并可在所述处理器50上运行的计算机程序52。所述处理器50执行所述计算机程序52时实现上述各运行监测方法实施例中的步骤，例如图3所示的步骤S310至步骤S350。或者，所述处理器50执行所述计算机程序52时实现上述各装置实施例中各模块/单元的功能，例如图2所示模块210至模块230的功能。

示例性的，所述计算机程序52可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述存储器51中，并由所述处理器50执行，以完成本申请。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序52在所述监控服务器5中的执行过程。

所述监控服务器5可以是带有PLC控制单元的工业设备。本领域技术人员可以理解，图5仅仅是监控服务器5的示例，并不构成对监控服务器5的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述监控服务器5还可以包括输入输出设备、网络接入设备、总线等。

所述处理器50可以是中央处理单元(Central Processing Unit，CPU)，还可以是其它通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述存储器51可以是所述监控服务器5的内部存储单元，例如监控服务器5的硬盘或内存。所述存储器51也可以是所述监控服务器5的外部存储设备，例如所述监控服务器5上配备的插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)等。进一步地，所述存储器51还可以既包括所述监控服务器5的内部存储单元也包括外部存储设备。所述存储器51用于存储所述计算机程序以及所述监控服务器5所需的其它程序和数据。所述存储器51还可以用于暂时地存储已经输出或者将要输出的数据。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。上述***中单元、模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

在本申请所提供的实施例中，应该理解到，所揭露的装置/终端设备和方法，可以通过其它的方式实现。例如，以上所描述的装置/终端设备实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口，装置或单元的间接耦合或通讯连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

以上所述实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围，均应包含在本申请的保护范围之内。

Claims (10)

1.一种运行监测***，其特征在于，至少包括：获取模块、确定模块、监测模块；

所述获取模块包括IP列表获取子模块和IP扫描子模块，其中，所述IP列表获取子模块用于获取工业设备的IP信息，所述IP扫描子模块用于根据所述工业设备的IP信息，扫描确定当前处于运行状态的工业设备；

所述确定模块包括发送子模块和接收子模块，其中，所述发送子模块用于向所述当前处于运行状态的工业设备发送通信协议数据包，接收子模块用于接收并解析所述工业设备响应于所述通信协议数据包反馈的运行信息；

所述监测模块包括查找子模块，用于根据所述反馈的运行信息查找预先配置的漏洞数据库，确定所述工业设备的运行漏洞。

2.根据权利要求1所述的运行监测***，其特征在于，所述确定模块还包括：至少2个对应于不同通信协议类型的插件子模块和与所述插件子模块对应的配置子模块，其中，所述插件子模块用于根据对应的通信协议类型，向所述工业设备发送对应通信协议格式的数据包，所述配置子模块用于设置所述插件子模块对应的通信协议类型、扫描速率以及扫描周期。

3.根据权利要求1或2所述的运行监测***，其特征在于，所述运行监测***还包括：展示模块，用于按照预设方式对所述工业设备的运行漏洞进行区分显示。

4.根据权利要求1或2所述的运行监测***，其特征在于，所述运行监测***还包括：风险管理模块，包括安全指数计算子模块，所述安全指数计算子模块用于根据所述工业设备的运行漏洞的风险等级和预先配置的各个运行漏洞风险等级的权重，计算得到所述工业设备的安全指数。

5.根据权利要求4所述的运行监测***，其特征在于，所述风险管理模块还包括：漏洞修复子模块，用于根据所述工业设备的运行漏洞种类和所述工业设备的安全指数，确定所述工业设备的漏洞修复方案。

6.根据权利要求1所述的运行监测***，其特征在于，所述运行监测***还包括：数据传送模块，用于将所述工业设备的运行信息、运行漏洞以及与运行漏洞对应的修复方案上传至指定平台。

7.根据权利要求1所述的运行监测***，其特征在于，所述运行监测***还包括：管理模块，包括历史信息管理子模块、用户信息管理子模块和***管理子模块，其中，所述历史信息管理子模块用于管理所述工业设备的历史运行信息，并对所述工业设备进行风险标记，用户信息管理子模块用于对使用所述运行监测***的用户进行信息管理，***管理子模块用于对使用所述运行监测***的用户进行使用权限分配。

8.一种运行监测方法，其特征在于，所述方法包括：

获取工业设备的IP信息；

根据所述工业设备的IP信息，扫描确定当前处于运行状态的工业设备；

向所述当前处于运行状态的工业设备发送通信协议数据包；

接收并解析所述工业设备响应于所述通信协议数据包反馈的运行信息；

根据所述反馈的运行信息查找预先配置的漏洞数据库，确定所述工业设备的运行漏洞。

9.根据权利要求8所述的运行监测方法，其特征在于，所述向所述处于运行状态的工业设备发送通信协议数据包，包括：

预先确定所述工业设备的通信协议类型，并向所述工业设备发送对应通信协议格式的数据包。

10.根据权利要求8所述的运行监测方法，其特征在于，所述方法还包括：

根据所述工业设备的运行漏洞的风险等级和预先配置的各个运行漏洞风险等级的权重，计算得到所述工业设备的安全指数；

根据所述工业设备的运行漏洞种类和所述工业设备的安全指数，确定所述工业设备的漏洞修复方案。

Images