CN114301676B - 一种电力监控***的无损化资产探测方法、装置和存储介质 - Google Patents
一种电力监控***的无损化资产探测方法、装置和存储介质 Download PDFInfo
- Publication number
- CN114301676B CN114301676B CN202111628606.6A CN202111628606A CN114301676B CN 114301676 B CN114301676 B CN 114301676B CN 202111628606 A CN202111628606 A CN 202111628606A CN 114301676 B CN114301676 B CN 114301676B
- Authority
- CN
- China
- Prior art keywords
- data packet
- target address
- port
- asset information
- industrial control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种电力监控***的无损化资产探测方法,包括:获取目标地址;根据预先构建的第一数据包和第二数据包,对目标地址进行异步无状态端口扫描;根据异步无状态端口扫描结果,建立存活的工控设备数据库;根据存活的工控设备数据库,向任一工控设备发送资产信息请求数据包,获得设备资产信息数据。本发明提供的电力监控***的无损化资产探测方法,通过预先构建的TCP FIN+ACK数据包和TCP RST数据包进行异步无状态端口扫描,可以有效降低被防火墙或入侵检测***监测到的概率,不影响正常业务运行。通过该方法进行端口探测的过程没有形成完整的连接,无需维护跟踪每个探测的连接状态,提高扫描速度及实现隐蔽扫描。
Description
技术领域
本发明涉及电力监控***技术领域,具体涉及一种电力监控***的无损化资产探测方法。
背景技术
电力监控***是国家关键信息基础设施,支撑着电力***运行控制的自动化,是典型的工业控制***。当前,网络攻击已成为破坏电力等国家关键基础设施的新型武器。通过网络空间资产探测,可以及时地发现潜在的安全风险,避免被不法之徒攻击。因此设备资产识别对网络安全评估与威胁预警有着重要的意义。而现有的风险排查技术中,扫描方式采用非无损的方法,对电力监控***和网络安全性和稳定性影响不可控。
现有的无状态端口扫描使用的是TCP SYN扫描,这种扫描容易被对方的入侵检测***或防火墙检测到,影响工控设备的正常工作。且现有的端口扫描过程采用固定频率发送数据包,会在网络中产生大量的探测和响应数据包,对网络造成沉重的流量负载和频繁的拥塞。
发明内容
因此,本发明要解决的技术问题在于克服现有技术中的扫描方式会对电力监控***造成影响且网络负载大的缺陷,从而提供一种电力监控***的无损化资产探测方法。
根据第一方面,本发明提供了一种电力监控***的无损化资产探测方法,包括:获取目标地址;根据预先构建的第一数据包和第二数据包,对所述目标地址进行异步无状态端口扫描;所述第一数据包基于传输控制协议,包括结束标志位和确认标志位;所述第二数据包基于传输控制协议,包括重置标志位;根据所述异步无状态端口扫描结果,建立存活的工控设备数据库;根据所述存活的工控设备数据库,向任一工控设备发送资产信息请求数据包,获得设备资产信息数据。
可选地,所述异步无状态端口扫描或所述向任一工控设备发送资产信息请求数据包,包括:根据当前网络预设的繁忙等级对应的频率向所述目标地址发送数据包;根据发送数据包与接收数据包之间的时间间隔与预设最大时间间隔,更新网络的繁忙等级;根据当前网络更新的繁忙等级调整所述频率。
可选地,所述获取目标地址之后,还包括:根据所述目标地址,判断所述目标地址是否合法;当判断所述目标地址不合法时,报错结束程序。
可选地,所述根据预先构建的第一数据包和所述第二数据包,对所述目标地址进行异步无状态端口扫描,包括:建立发送数据包线程和接收数据包线程;通过所述发送数据包线程将所述第一数据包和所述第二数据包同时发送至所述目标地址的预设端口;当所述接收数据包线程在预设时间内未接收到返回的扫描响应数据包时,判断所述目标地址对应的端口处于存活状态;当在预设时间内,所述接收数据包线程接收到返回的扫描响应数据包时,判断所述目标地址对应的端口处于未存活状态;重复上述步骤,直至获得目标地址对应的所有端口的端口状态。
可选地,所述根据所述异步无状态端口扫描结果,建立存活的工控设备数据库,包括:遍历所述目标地址对应的所有端口的端口状态,提取处于存活状态的端口号;根据所述处于存活状态的端口号,判断所述目标地址使用的工控协议;按照所述工控协议将所述目标地址进行分类,建立存活的工控设备数据库。
可选地,所述根据所述存活的工控设备数据库,向任一工控设备发送资产信息请求数据包,获得设备资产信息数据,包括:根据所述目标地址使用的工控协议,构建资产信息请求数据包;将所述资产信息请求数据包发送至所述目标地址;接收所述目标地址返回的资产信息数据包;根据所述资产信息数据包,获取所述目标地址对应的资产信息。
可选地,所述根据所述存活的工控设备数据库,向任一工控设备发送资产信息请求数据包,获得设备资产信息数据,还包括:根据所述目标地址使用的工控协议,判断当前获取的资产信息是否完整;当判断所述资产信息不完整时,按照预设规则调整资产信息请求数据包内参数,生成新的资产信息请求数据包;利用所述新的资产信息请求数据包重新获取资产信息,直至获取完整的资产信息。
根据第二方面,本发明公开了一种电力监控***的无损化资产探测装置,包括:获取模块,用于获取目标地址;扫描模块,用于根据预先构建的第一数据包和第二数据包,对所述目标地址进行异步无状态端口扫描;所述第一数据包基于传输控制协议,包括结束标志位和确认标志位;所述第二数据包基于传输控制协议,包括重置标志位;建库模块,用于根据所述异步无状态端口扫描结果,建立存活的工控设备数据库;探测模块,用于根据所述存活的工控设备数据库,向任一工控设备发送资产信息请求数据包,获得设备资产信息数据。
根据第三方面,本发明公开了一种电子设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行如第一方面和第一方面任一可选实施例所述的电力监控***的无损化资产探测方法的步骤。
根据第四方面,本发明公开了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面和第一方面任一可选实施例所述的电力监控***的无损化资产探测方法的步骤。
本发明技术方案,具有如下优点:
1.本发明提供的电力监控***的无损化资产探测方法,通过预先构建的TCP FIN+ACK数据包和TCP RST数据包对目标地址进行异步无状态端口扫描,可以有效降低被对方的防火墙或入侵检测***监测到概率,不影响正常业务运行。并且异步无状态扫描技术,可快速获取到暴露面存活资产,扫描速度远超过传统端口扫描器。通过该方法进行端口探测的过程没有形成完整的连接,无需维护跟踪每个探测的连接状态,可以区别有效的响应和网络背景流量技术,用以提高扫描速度及实现隐蔽扫描。通过发送TCP RST数据包,可以判断目标主机是否被过滤,能更多地获取工控设备的存活信息,避免因为禁ping问题而做出的错误判断,提高端口探测的准确率。
2.本发明提供的电力监控***的无损化资产探测方法,通过发送带有工控协议特定端口标识信息的数据包,与全网工控设备建立通信连接,并获取端口开放结果信息。并且通过基于组合扫描的异步无状态端口扫描方法实现隐蔽扫描,同时解决工控设备的禁Ping问题。通过发送探测报文到接收探测报文的时间间隔和丢包率来自适应计算目标主机的繁忙等级,然后以在线方式相应地改变扫描频率,解决现有技术中端口扫描过程对网络造成沉重的流量负载和频繁的拥塞的问题。避免触发目标的网络的监控策略,从而实现对电力监控***和网络安全性和稳定性影响最小化。同时,对使用不同协议的设备,发送资产探测数据包与目标工控设备建立连接,获得设备资产信息数据,并对返回不完整资产信息的设备,分析原因,针对性构造探测数据包,再次探测,实现了对工控设备精准的探测,增强了资产探测的准确率。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中电力监控***的无损化资产探测方法的一个具体示例的流程图;
图2为本发明实施例中电力监控***的无损化资产探测方法的另一个具体示例的流程图;
图3为本发明实施例中电力监控***的无损化资产探测方法的另一个具体示例的流程图;
图4为本发明实施例中电力监控***的无损化资产探测方法的另一个具体示例的流程图;
图5为本发明实施例中电力监控***的无损化资产探测方法的另一个具体示例的流程图;
图6为本发明实施例中电力监控***的无损化资产探测方法的一个具体示例的原理框图;
图7为本发明实施例中电子设备的一个具体实例图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,还可以是两个元件内部的连通,可以是无线连接,也可以是有线连接。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
本发明公开了一种电力监控***的无损化资产探测方法,如图1和图2所示,包括如下步骤:
步骤S1,获取目标地址。
其中,在获取目标地址之后,先根据目标地址,判断目标地址是否合法,当判断目标地址不合法时,报错结束程序。当判断目标地址合法时,进行下一步骤。
具体地,目标地址可以是互联网协议(Internet Protocol,IP)地址或域名。当获取到的目标地址为域名时,可以采用现有技术中的域名服务器(Domain Name Server,DNS)进行域名解析,将域名转换为对应的IP地址。一般地,IP地址的格式通常为(1~255).(0~255).(0~255).(0~255),判断目标地址是否合法即为判断IP地址的格式是否正确,可以采用现有技术中的正则表达式判定法、字符串拆解法和引入类库等方法,本发明对此不作限定。
步骤S2,根据预先构建的第一数据包和第二数据包,对目标地址进行异步无状态端口扫描。
其中,第一数据包基于传输控制(Transmission Control Protocol,TCP)协议,包括结束标志位和确认标志位(TCP FIN+ACK);第二数据包基于TCP协议,包括重置标志位(TCP RST)。
示例性地,第一数据包和第二数据包均基于TCP协议构建,数据包可以为IP数据包,包括首部和数据负载,IP数据包的首部包括源IP地址、目的IP地址等内容,IP数据包的数据负载包括TCP报文。类似地,TCP报文包括首部和数据,TCP报文的首部包括源端口号、目的端口号、标志位等内容,TCP报文的数据部分可以为空。进一步地,为每一IP地址预先构建若干组数据包,每组均包括一个TCP FIN+ACK数据包和一个TCP RST数据包,每组数据包均对应不同的端口号。可以根据网络内工控设备的特性决定数据包的组数,一般每一IP地址最多可构建65536组数据包,即65536个TCP FIN+ACK数据包和65536个TCP RST数据包。
具体地,异步无状态端口扫描中,异步指建立不同线程,使数据包的发送过程和数据包的接收过程互不影响;无状态指不需要操作***关心TCP连接的状态,应用程序在底层直接进行管理和维持,不需要操作***对连接状态进行会话组包。在进行异步无状态端口扫描时,收发包模块间在数据包传输过程中使用组合扫描技术,同时发送TCP FIN+ACK数据包和TCP RST数据包扫描目标IP地址对应的主机。
其中,在向目标地址发送TCP FIN+ACK数据包和TCP RST数据包之前,根据当前网络预设的繁忙等级对应的频率向目标地址发送数据包;根据发送数据包与接收数据包之间的时间间隔与预设最大时间间隔,更新网络的繁忙等级;根据当前网络更新的繁忙等级调整频率。
具体地,预先设置默认网络的繁忙等级、默认扫描频率和最大时间间隔值。首先根据默认网络繁忙等级对应的扫描频率发送探测数据包,然后每隔固定的时间,计算该时间段内发送探测报文到接收探测报文的平均时间间隔与最大时间间隔值的比值,若该比值为50%,将当前网络繁忙等级更新为正常,若该比值低于50%,则将当前网络繁忙等级更新为空闲,若该比值高于50%,则将当前网络繁忙等级更新为繁忙。当网络繁忙等级为空闲时,采用200%的默认扫描频率发送数据包;当网络繁忙等级为正常时,采用默认扫描频率发送数据包;当网络繁忙等级为繁忙时,采用50%的默认扫描频率发送数据包。
步骤S3,根据异步无状态端口扫描结果,建立存活的工控设备数据库。
具体地,首先遍历目标地址对应的所有端口的端口状态,提取处于存活状态的端口号;随后根据处于存活状态的端口号,判断目标地址使用的工控协议;最后按照工控协议将目标地址进行分类,建立存活的工控设备数据库。
其中,异步无状态端口扫描结果会反映出任一IP地址未被过滤,且该地址的某一端口打开,将未被过滤的地址及该地址打开的端口对应记录,形成存活的工控设备数据库。
进一步地,工控协议与端口具有对应关系,不同的工控协议使用不同的端口。根据目标IP地址当前开放的端口,即可判断目标IP地址正在使用的工控协议。示例性地,当获取到某一IP地址的502端口开放,根据互联网编号分配管理机构(Internet AssignedNumbers Authority,IANA)给Modbus协议赋予的TCP端口号为502,即可判断该IP地址正在使用Modbus协议。
步骤S4,根据存活的工控设备数据库,向任一工控设备发送资产信息请求数据包,获得设备资产信息数据。
具体地,根据工控设备采用的工控协议,设计有效载荷(Payload)数据包,将Payload数据包发送至目标地址的对应端口后,根据端口返回的应答信息数据包即可获得设备资产信息数据。
其中,在向目标地址发送资产信息请求数据包之前,根据当前网络的繁忙等级对应的频率向目标地址发送数据包;根据发送数据包与接收数据包之间的时间间隔与预设最大时间间隔,更新网络的繁忙等级;根据当前网络更新的繁忙等级调整频率。
类似地,预先设置默认扫描频率和最大时间间隔值。首先根据端口扫描阶段更新的网络繁忙等级对应的扫描频率发送探测数据包,然后每隔固定的时间,计算该时间段内发送探测报文到接收探测报文的平均时间间隔与最大时间间隔值的比值,若该比值为50%,将当前网络繁忙等级更新为正常,若该比值低于50%,则将当前网络繁忙等级更新为空闲,若该比值高于50%,则将当前网络繁忙等级更新为繁忙。当网络繁忙等级为空闲时,采用200%的默认扫描频率发送数据包;当网络繁忙等级为正常时,采用默认扫描频率发送数据包;当网络繁忙等级为繁忙时,采用50%的默认扫描频率发送数据包。
本发明提供的电力监控***的无损化资产探测方法,通过预先构建的TCP FIN+ACK数据包和TCP RST数据包对目标地址进行异步无状态端口扫描,可以有效降低被对方的防火墙或入侵检测***监测到概率,不影响正常业务运行。并且异步无状态扫描技术,可快速获取到暴露面存活资产,扫描速度远超过传统端口扫描器。通过该方法进行端口探测的过程没有形成完整的连接,无需维护跟踪每个探测的连接状态,可以区别有效的响应和网络背景流量技术,用以提高扫描速度及实现隐蔽扫描。通过发送TCP RST数据包,可以判断目标主机是否被过滤,能更多地获取工控设备的存活信息,避免因为禁ping问题而做出的错误判断,提高端口探测的准确率。
作为本发明的一种可选地实施方式,如图3所示,根据预先构建的第一数据包和第二数据包,对目标地址进行异步无状态端口扫描,包括如下步骤:
步骤S21,建立发送数据包线程和接收数据包线程。
具体地,如图4所示,线程是程序执行中一个单一的顺序控制流程,是程序执行流的最小单元,是处理器调度和分派的基本单位。对每一个网卡建立一个异步处理的线程对,分别作为发送数据包线程和接收数据包线程,发送数据包线程只负责发送,接收数据包线程只接收特定字段的数据包,可以保证发送数据包与接收数据包之间互不影响,达到异步的目的。示例性地,将发送数据包线程分配到偶数编号的中央处理器(Central ProcessingUnit,CPU),将接收数据包线程分配到奇数编号的CPU,能实现更好的异步操作。同时,建立线程的过程可以采用现有技术中的分配和建立进程控制块表项、建立资源表格并分配资源、加载程序并建立地址空间等操作,本发明对此不作限定。
步骤S22,通过发送数据包线程将第一数据包和第二数据包同时发送至目标地址的预设端口。
具体地,如图4所示,根据TCP FIN+ACK数据包和TCP RST数据包中的目的IP地址,将TCP FIN+ACK数据包和TCP RST数据包通过发送数据包线程发送至对应的IP地址。位于该IP地址的主机网卡在接收到TCP FIN+ACK数据包和TCP RST数据包后,通过数据包中的目的端口将数据包转发至对应端口。
步骤S23,当接收数据包线程在预设时间内未接收到返回的扫描响应数据包时,判断目标地址对应的端口处于存活状态。
具体地,如图4所示,根据互联网工程任务组(Internet Engineering TaskForce,IETF)发布的意见征集(Requests for Comment,RFC)文档中的RFC793协议规定,当主机收到TCP RST数据包时,尽管TCP堆栈不会响应这个类型的数据包,但如果无法访问目标计算机,路由器将发送ICMP数据包。因此,如果没有返回ICMP数据包,则表示目标存在;否则,目标不存在。根据RFC 793协议规定,当向目标主机发送TCP FIN+ACK数据包时,若未收到响应,则表示目标端口打开或者目标主机被过滤;若收到RST数据包,则表示目标端口关闭。
步骤S24,当在预设时间内,接收数据包线程接收到返回的扫描响应数据包时,判断目标地址对应的端口处于未存活状态。
具体地,预设时间即为往返时间(Round Trip Time,RTT)超时值。示例性地,在等待返回的扫描响应数据包时,会维持一个RTT超时值,决定等待数据包响应的时间,以及再次发送数据包的间隔。一般地,RTT超时值可以动态调整,最大RTT超时缺省值为10秒。较低的RTT超时值,可以保证较快的端口扫描速度以及较高的效率;较高RTT超时值,则能够防止在网络状况不佳的情况下遗漏扫描响应数据包。示例性地,在快速/可靠的网络下,RTT超时值最小可以为100毫秒;在慢速/不可靠的网络下,RTT超时值最大可以为10000毫秒。
步骤S25,重复上述步骤,直至获得目标地址对应的所有端口的端口状态。
作为本发明的一种可选地实施方式,如图5所示,根据存活的工控设备数据库,向任一工控设备发送资产信息请求数据包,获得设备资产信息数据,包括:
步骤S41,根据目标地址使用的工控协议,构建资产信息请求数据包。
具体地,针对不同IP地址及对应的工控协议,建立带有工控协议特定端口标识信息的Payload探测数据包。示例性地,以Modbus协议为例,Payload探测数据包中的model格式配置文件中包含了Modbus协议的名称,协议端口号502,传输类型TCP,使用的功能码序号和value字段。value字段定义了id值,表明了发包的顺序。
步骤S42,将资产信息请求数据包发送至目标地址。
示例性地,以Modbus协议为例,存活的工控设备数据库中获取到使用Modbus协议的工控设备,探测主机与此类目标设备建立通信连接,在确认连接后,主机向目标设备发送设计构造的基于Modbus工控协议的请求资产信息Payload探测数据包。
步骤S43,接收目标地址返回的资产信息数据包。
步骤S44,根据资产信息数据包,获取目标地址对应的资产信息。
具体地,目标地址在收到Payload探测数据包后,就会返回相应的PSH-ACK数据包,应答信息中就包含目标的版本、厂商、型号等资产信息。
作为本发明的一种可选地实施方式,如图5所示,根据存活的工控设备数据库,向任一工控设备发送资产信息请求数据包,获得设备资产信息数据,还包括:
步骤S45,根据目标地址使用的工控协议,判断当前获取的资产信息是否完整。
示例性地,以Modbus协议为例,该协议规定了返回的资产信息中应包含版本、厂商和型号。根据当前获取的资产信息是否包括版本、厂商和型号即可判断当前获取的资产信息是否完整。
步骤S46,当判断资产信息不完整时,按照预设规则调整资产信息请求数据包内参数,生成新的资产信息请求数据包。
具体地,按照预设规则调整资产信息请求数据包内参数的过程可以采用现有技术中的调整方法,本发明对此不作限定。示例性地,可以通过调整Payload探测数据包中的寄存器地址和偏移量,生成新的资产信息请求数据包。
步骤S47,利用新的资产信息请求数据包重新获取资产信息,直至获取完整的资产信息。
本发明提供的电力监控***的无损化资产探测方法,通过发送带有工控协议特定端口标识信息的数据包,与全网工控设备建立通信连接,并获取端口开放结果信息。并且通过基于组合扫描的异步无状态端口扫描方法实现隐蔽扫描,同时解决工控设备的禁Ping问题。通过发送探测报文到接收探测报文的时间间隔和丢包率来自适应计算目标主机的繁忙等级,然后以在线方式相应地改变扫描频率,解决现有技术中端口扫描过程对网络造成沉重的流量负载和频繁的拥塞的问题。避免触发目标的网络的监控策略,从而实现对电力监控***和网络安全性和稳定性影响最小化。同时,对使用不同协议的设备,发送Payload数据包与目标工控设备建立连接,获得设备资产信息数据,并对返回不完整资产信息的设备,分析原因,针对性构造探测数据包,再次探测,实现了对工控设备精准的探测,增强了资产探测的准确率。
本发明还公开了一种电力监控***的无损化资产探测装置,如图6所示,包括:
获取模块101,用于获取目标地址;具体内容参见上述方法实施例对应部分,在此不再赘述。
扫描模块102,用于根据预先构建的第一数据包和第二数据包,对目标地址进行异步无状态端口扫描;第一数据包基于传输控制协议,包括结束标志位和确认标志位;第二数据包基于传输控制协议,包括重置标志位;具体内容参见上述方法实施例对应部分,在此不再赘述。
建库模块103,用于根据异步无状态端口扫描结果,建立存活的工控设备数据库;具体内容参见上述方法实施例对应部分,在此不再赘述。
探测模块104,用于根据存活的工控设备数据库,向任一工控设备发送资产信息请求数据包,获得设备资产信息数据。具体内容参见上述方法实施例对应部分,在此不再赘述。
本发明提供的电力监控***的无损化资产探测装置,通过预先构建的TCP FIN+ACK数据包和TCP RST数据包对目标地址进行异步无状态端口扫描,可以有效降低被对方的防火墙或入侵检测***监测到概率,不影响正常业务运行。并且异步无状态扫描技术,可快速获取到暴露面存活资产,扫描速度远超过传统端口扫描器。通过该方法进行端口探测的过程没有形成完整的连接,无需维护跟踪每个探测的连接状态,可以区别有效的响应和网络背景流量技术,用以提高扫描速度及实现隐蔽扫描。通过发送TCP RST数据包,可以判断目标主机是否被过滤,能更多地获取工控设备的存活信息,避免因为禁ping问题而做出的错误判断,提高端口探测的准确率。
本发明实施例提供的电力监控***的无损化资产探测装置的功能描述详细参见上述实施例中电力监控***的无损化资产探测方法描述。
本发明实施例还提供了一种电子设备,如图7所示,该电子设备可以包括处理器201和存储器202,其中处理器201和存储器202可以通过总线或者其他方式连接,图7中以通过总线连接为例。
处理器201可以为中央处理器(Central Processing Unit,CPU)。处理器201还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器202作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的电力监控***的无损化资产探测方法对应的程序指令/模块。处理器201通过运行存储在存储器202中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的电力监控***的无损化资产探测方法。
存储器202可以包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需要的应用程序;存储数据区可存储处理器201所创建的数据等。此外,存储器202可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器202可选包括相对于处理器201远程设置的存储器,这些远程存储器可以通过网络连接至处理器201。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
一个或者多个模块存储在存储器202中,当被处理器201执行时,执行如图1所示实施例中的电力监控***的无损化资产探测方法。
虽然关于示例实施例及其优点已经详细说明,但是本领域技术人员可以在不脱离本发明的精神和所附权利要求限定的保护范围的情况下对这些实施例进行各种变化、替换和修改,这样的修改和变型均落入由所附权利要求所限定的范围之内。对于其他例子,本领域的普通技术人员应当容易理解在保持本发明保护范围内的同时,工艺步骤的次序可以变化。
此外,本发明的应用范围不局限于说明书中描述的特定实施例的工艺、机构、制造、物质组成、手段、方法及步骤。从本发明的公开内容,作为本领域的普通技术人员将容易地理解,对于目前已存在或者以后即将开发出的工艺、机构、制造、物质组成、手段、方法或步骤,其中它们执行与本发明描述的对应实施例大体相同的功能或者获得大体相同的结果,依照本发明可以对它们进行应用。因此,本发明所附权利要求旨在将这些工艺、机构、制造、物质组成、手段、方法或步骤包含在其保护范围内。
Claims (9)
1.一种电力监控***的无损化资产探测方法,其特征在于,包括:
获取目标地址;
根据预先构建的第一数据包和第二数据包,对所述目标地址进行异步无状态端口扫描;所述第一数据包基于传输控制协议,包括结束标志位和确认标志位;所述第二数据包基于传输控制协议,包括重置标志位;
根据所述异步无状态端口扫描结果,建立存活的工控设备数据库;
根据所述存活的工控设备数据库,向任一工控设备发送资产信息请求数据包,获得设备资产信息数据;
所述根据预先构建的第一数据包和所述第二数据包,对所述目标地址进行异步无状态端口扫描,包括:
建立发送数据包线程和接收数据包线程;
通过所述发送数据包线程将所述第一数据包和所述第二数据包同时发送至所述目标地址的预设端口;
当所述接收数据包线程在预设时间内未接收到返回的扫描响应数据包时,判断所述目标地址对应的端口处于存活状态;
当在预设时间内,所述接收数据包线程接收到返回的扫描响应数据包时,判断所述目标地址对应的端口处于未存活状态;
重复上述步骤,直至获得目标地址对应的所有端口的端口状态。
2.根据权利要求1所述的方法,其特征在于,所述异步无状态端口扫描或所述向任一工控设备发送资产信息请求数据包,包括:
根据当前网络预设的繁忙等级对应的频率向所述目标地址发送数据包;
根据发送数据包与接收数据包之间的时间间隔与预设最大时间间隔,更新网络的繁忙等级;
根据当前网络更新的繁忙等级调整所述频率。
3.根据权利要求1所述的方法,其特征在于,所述获取目标地址之后,还包括:
根据所述目标地址,判断所述目标地址是否合法;
当判断所述目标地址不合法时,报错结束程序。
4.根据权利要求1所述的方法,其特征在于,所述根据所述异步无状态端口扫描结果,建立存活的工控设备数据库,包括:
遍历所述目标地址对应的所有端口的端口状态,提取处于存活状态的端口号;
根据所述处于存活状态的端口号,判断所述目标地址使用的工控协议;
按照所述工控协议将所述目标地址进行分类,建立存活的工控设备数据库。
5.根据权利要求4所述的方法,其特征在于,所述根据所述存活的工控设备数据库,向任一工控设备发送资产信息请求数据包,获得设备资产信息数据,包括:
根据所述目标地址使用的工控协议,构建资产信息请求数据包;
将所述资产信息请求数据包发送至所述目标地址;
接收所述目标地址返回的资产信息数据包;
根据所述资产信息数据包,获取所述目标地址对应的资产信息。
6.根据权利要求5所述的方法,其特征在于,所述根据所述存活的工控设备数据库,向任一工控设备发送资产信息请求数据包,获得设备资产信息数据,还包括:
根据所述目标地址使用的工控协议,判断当前获取的资产信息是否完整;
当判断所述资产信息不完整时,按照预设规则调整资产信息请求数据包内参数,生成新的资产信息请求数据包;
利用所述新的资产信息请求数据包重新获取资产信息,直至获取完整的资产信息。
7.一种电力监控***的无损化资产探测装置,其特征在于,包括:
获取模块,用于获取目标地址;
扫描模块,用于根据预先构建的第一数据包和第二数据包,对所述目标地址进行异步无状态端口扫描;所述第一数据包基于传输控制协议,包括结束标志位和确认标志位;所述第二数据包基于传输控制协议,包括重置标志位;
建库模块,用于根据所述异步无状态端口扫描结果,建立存活的工控设备数据库;
探测模块,用于根据所述存活的工控设备数据库,向任一工控设备发送资产信息请求数据包,获得设备资产信息数据;
所述根据预先构建的第一数据包和所述第二数据包,对所述目标地址进行异步无状态端口扫描,包括:
建立发送数据包线程和接收数据包线程;
通过所述发送数据包线程将所述第一数据包和所述第二数据包同时发送至所述目标地址的预设端口;
当所述接收数据包线程在预设时间内未接收到返回的扫描响应数据包时,判断所述目标地址对应的端口处于存活状态;
当在预设时间内,所述接收数据包线程接收到返回的扫描响应数据包时,判断所述目标地址对应的端口处于未存活状态;
重复上述步骤,直至获得目标地址对应的所有端口的端口状态。
8.一种电子设备,其特征在于,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行如权利要求1-6任一所述的电力监控***的无损化资产探测方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-6中任一项所述的电力监控***的无损化资产探测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111628606.6A CN114301676B (zh) | 2021-12-28 | 2021-12-28 | 一种电力监控***的无损化资产探测方法、装置和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111628606.6A CN114301676B (zh) | 2021-12-28 | 2021-12-28 | 一种电力监控***的无损化资产探测方法、装置和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114301676A CN114301676A (zh) | 2022-04-08 |
CN114301676B true CN114301676B (zh) | 2023-07-18 |
Family
ID=80971803
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111628606.6A Active CN114301676B (zh) | 2021-12-28 | 2021-12-28 | 一种电力监控***的无损化资产探测方法、装置和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114301676B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115225530B (zh) * | 2022-07-02 | 2023-09-05 | 北京华顺信安科技有限公司 | 一种资产状态监测方法、装置、设备和介质 |
CN115412471A (zh) * | 2022-07-12 | 2022-11-29 | 广州大学 | 一种基于分布式的无状态端口扫描方法 |
CN115277483A (zh) * | 2022-07-27 | 2022-11-01 | 西安热工研究院有限公司 | 一种工控网络的监视方法、装置及存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108011893A (zh) * | 2017-12-26 | 2018-05-08 | 广东电网有限责任公司信息中心 | 一种基于网络资产信息采集的资产管理*** |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3319287A1 (en) * | 2016-11-04 | 2018-05-09 | Nagravision SA | Port scanning |
CN106713449A (zh) * | 2016-12-21 | 2017-05-24 | 中国电子科技网络信息安全有限公司 | 一种快速识别联网工控设备的方法 |
CN109951359B (zh) * | 2019-03-21 | 2021-02-02 | 北京国舜科技股份有限公司 | 分布式网络资产异步扫描方法及设备 |
CN110324310B (zh) * | 2019-05-21 | 2022-04-29 | 国家工业信息安全发展研究中心 | 网络资产指纹识别方法、***及设备 |
CN112636985B (zh) * | 2020-12-30 | 2023-04-18 | 国网青海省电力公司信息通信公司 | 基于自动化发现算法的网络资产探测装置 |
CN112883031B (zh) * | 2021-02-24 | 2023-04-18 | 杭州迪普科技股份有限公司 | 工控资产信息获取方法及装置 |
CN113240258B (zh) * | 2021-04-30 | 2023-04-28 | 山东云天安全技术有限公司 | 一种工业资产探测方法、设备及装置 |
CN113542270A (zh) * | 2021-07-14 | 2021-10-22 | 山东林天信息科技有限责任公司 | 一种互联网资产指纹快速探测方法与*** |
-
2021
- 2021-12-28 CN CN202111628606.6A patent/CN114301676B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108011893A (zh) * | 2017-12-26 | 2018-05-08 | 广东电网有限责任公司信息中心 | 一种基于网络资产信息采集的资产管理*** |
Also Published As
Publication number | Publication date |
---|---|
CN114301676A (zh) | 2022-04-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114301676B (zh) | 一种电力监控***的无损化资产探测方法、装置和存储介质 | |
US9130978B2 (en) | Systems and methods for detecting and preventing flooding attacks in a network environment | |
US10355961B2 (en) | Network traffic capture analysis | |
US9473346B2 (en) | System and method for network path validation | |
EP2398198A1 (en) | Method, apparatus, and system for diagnosing route in network based on diameter protocol | |
US11307945B2 (en) | Methods and apparatus for detecting, eliminating and/or mitigating split brain occurrences in high availability systems | |
CN110839046B (zh) | 多协议的互通方法和*** | |
US7404210B2 (en) | Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs | |
CN102075508A (zh) | 针对网络协议的漏洞挖掘***和方法 | |
CN113595891B (zh) | 数据通信方法、装置和电子设备 | |
US20080181215A1 (en) | System for remotely distinguishing an operating system | |
US10097418B2 (en) | Discovering network nodes | |
TWI523456B (zh) | 網路通訊之連線方法與管理伺服器 | |
CN113872949B (zh) | 一种地址解析协议的应答方法及相关装置 | |
CN115632963A (zh) | 一种确认隧道连接状态的方法、设备、装置及介质 | |
US9083586B2 (en) | Verifying availability and reachability through a network device | |
US20040199579A1 (en) | Collaboration bus apparatus and method | |
US8811233B2 (en) | Topology detection method and topology detection apparatus | |
WO2014132774A1 (ja) | ノード情報検出装置、ノード情報検出方法、及びプログラム | |
CN105025028A (zh) | 基于流量分析的ip黑洞发现方法 | |
CN110912997B (zh) | 一种三角组网Loopback接口的检查方法及装置 | |
CN116708285A (zh) | 一种网络管理的方法、设备和*** | |
CN116032807A (zh) | 一种探测方法、装置、电子设备及存储介质 | |
CN118157903A (zh) | 互联网外联探测通道的失效检测方法、装置和设备 | |
JP2014171017A (ja) | 通信情報検出装置、方法、及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |