CN114584477B - 工控资产的探测方法、装置、终端及存储介质 - Google Patents
工控资产的探测方法、装置、终端及存储介质 Download PDFInfo
- Publication number
- CN114584477B CN114584477B CN202210125179.8A CN202210125179A CN114584477B CN 114584477 B CN114584477 B CN 114584477B CN 202210125179 A CN202210125179 A CN 202210125179A CN 114584477 B CN114584477 B CN 114584477B
- Authority
- CN
- China
- Prior art keywords
- detection
- node
- target
- asset
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请适用于网络安全技术领域,提供一种工控资产的探测方法、装置、终端及存储介质,其中方法包括:匹配与资产探测任务对应的探测方式及探测参数;在探测方式下,基于探测参数依照与目标探测节点对应的协议规则,与目标探测节点进行报文探测交互;基于报文探测交互中目标探测节点的反馈数据包,确定目标探测节点的目标端口所处的端口状态;若目标探测节点的目标端口处于开放状态,则根据预设的端口与服务特征对照关系库,识别在目标端口下目标探测节点提供的节点服务;建立节点服务与身份识别号之间的关联关系并存储。该方案能够实现对工控设备的有效探测、发现及识别。
Description
技术领域
本申请属于网络安全技术领域,尤其涉及一种工控资产的探测方法、装置、终端及存储介质。
背景技术
随着对工控网络的安全性的重视程度的提高,越来越多的企业开始对工控网络进行安全评估。其中,对工控网络进行安全评估的首要工作是对工控网络中的资产进行有效的梳理,明确工控网络中的资产情况。但是工控网络与传统的IT网络相比,工控网络的资产型号众多,通信连接复杂,这导致明确工控网络中的资产信息的难度较高。
现有的工控网络例如为典型的ICS(Internet Connection Sharing,因特网连接共享)网络,在ICS网络中包含各家厂商出品的控制器,例如PLC(Programmable LogicController,可编程逻辑控制器)、RTU(Remote Terminal Unit,远程终端单元)、DCS(Distributed control system,分布式控制***),不同厂商例如通用电气、罗克韦尔自动化、西门子和施耐德电气。每种技术都有其独特的要求和难点,若不清楚范围内都部署了哪种资产,就难以规划维护项目和设计有效防护。
发明内容
本申请实施例提供了一种工控资产的探测方法、装置、终端及存储介质,以解决现有技术中工控网络的资产型号众多,通信连接复杂,难以规划维护项目和设计有效防护的问题。
本申请实施例的第一方面提供了一种工控资产的探测方法,包括:
获取工控资产探测任务,匹配与所述资产探测任务对应的探测方式及与所述探测方式对应的探测参数;
在所述探测方式下,基于所述探测参数依照与目标探测节点对应的协议规则,与所述目标探测节点进行报文探测交互;
基于所述报文探测交互中所述目标探测节点的反馈数据包,确定所述目标探测节点的目标端口所处的端口状态;
若所述目标探测节点的目标端口处于开放状态,则根据预设的端口与服务特征对照关系库,识别在所述目标端口下所述目标探测节点提供的节点服务;
建立所述目标探测节点在所述目标端口下提供的所述节点服务与所述目标探测节点的身份识别号之间的关联关系并存储。
本申请实施例的第二方面提供了一种工控资产的探测装置,包括:
获取模块,用于获取工控资产探测任务,匹配与所述资产探测任务对应的探测方式及与所述探测方式对应的探测参数;
交互模块,用于在所述探测方式下,基于所述探测参数依照与目标探测节点对应的协议规则,与所述目标探测节点进行报文探测交互;
状态确定模块,用于基于所述报文探测交互中所述目标探测节点的反馈数据包,确定所述目标探测节点的目标端口所处的端口状态;
服务识别模块,用于若所述目标探测节点的目标端口处于开放状态,则根据预设的端口与服务特征对照关系库,识别在所述目标端口下所述目标探测节点提供的节点服务;
存储模块,用于建立所述目标探测节点在所述目标端口下提供的所述节点服务与所述目标探测节点的身份识别号之间的关联关系并存储。
本申请实施例的第三方面提供了一种终端,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面所述方法的步骤。
本申请实施例的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述方法的步骤。
本申请的第五方面提供了一种计算机程序产品,当所述计算机程序产品在终端上运行时,使得所述终端执行上述第一方面所述方法的步骤。
由上可见,本申请实施例中,通过匹配与资产探测任务对应的探测方式及对应的探测参数,在该探测方式下,基于探测参数依照与目标探测节点对应的协议规则,与目标探测节点进行报文探测交互,基于报文探测交互中目标探测节点的反馈数据包,确定目标探测节点的目标端口所处的端口状态,并在目标端口处于开放状态时,识别得到目标端口下目标探测节点提供的节点服务,建立该目标探测节点的节点服务与身份识别号之间的关联关系并存储。实现通过轻量级的工控主动探测技术,以工业特有通信协议与工控资源进行交互,搜索工控设备的必要信息,实现对工控设备的探测、发现及识别。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种工控资产的探测方法的流程图一;
图2是本申请实施例提供的一种工控资产的探测方法的流程图二;
图3是本申请实施例提供的一种工控资产的探测装置的结构图;
图4是本申请实施例提供的一种终端的结构图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定***结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的***、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本申请说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本申请。如在本申请说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
具体实现中,本申请实施例中描述的终端包括但不限于诸如具有触摸敏感表面(例如,触摸屏显示器和/或触摸板)的移动电话、膝上型计算机或平板计算机之类的其它便携式设备。还应当理解的是,在某些实施例中,所述设备并非便携式通信设备,而是具有触摸敏感表面(例如,触摸屏显示器和/或触摸板)的台式计算机。
在接下来的讨论中,描述了包括显示器和触摸敏感表面的终端。然而,应当理解的是,终端可以包括诸如物理键盘、鼠标和/或控制杆的一个或多个其它物理用户接口设备。
终端支持各种应用程序,例如以下中的一个或多个:绘图应用程序、演示应用程序、文字处理应用程序、网站创建应用程序、盘刻录应用程序、电子表格应用程序、游戏应用程序、电话应用程序、视频会议应用程序、电子邮件应用程序、即时消息收发应用程序、锻炼支持应用程序、照片管理应用程序、数码相机应用程序、数字摄影机应用程序、web浏览应用程序、数字音乐播放器应用程序和/或数字视频播放器应用程序。
可以在终端上执行的各种应用程序可以使用诸如触摸敏感表面的至少一个公共物理用户接口设备。可以在应用程序之间和/或相应应用程序内调整和/或改变触摸敏感表面的一个或多个功能以及终端上显示的相应信息。这样,终端的公共物理架构(例如,触摸敏感表面)可以支持具有对用户而言直观且透明的用户界面的各种应用程序。
应理解,本实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
为了说明本申请所述的技术方案,下面通过具体实施例来进行说明。
参见图1,图1是本申请实施例提供的一种工控资产的探测方法的流程图一。如图1所示,一种工控资产的探测方法,该方法包括以下步骤:
步骤101,获取工控资产探测任务,匹配与资产探测任务对应的探测方式及与探测方式对应的探测参数。
工控资产探测任务中设置有工控资产探测对象、工控资产探测要求、工控资产探测条件等信息。
基于工控资产探测任务中包含的内容,得到与其对应的工控资产探测方式及与探测方式对应的探测参数。
具体地,匹配与资产探测任务对应的探测方式及与探测方式对应的探测参数时,具体可以借助于预设的配置数据库进行数据匹配,实现对探测方式及与探测方式对应的探测参数的获取。
在一个具体的实施方式中,该匹配与资产探测任务对应的探测方式及与探测方式对应的探测参数,包括:
基于工控资产探测任务,确定工控资产探测任务指示的探测方式及至少一个目标探测节点;
基于至少一个目标探测节点,从预设的配置数据库中匹配在该探测方式下每一目标探测节点分别对应的探测参数。
目标探测节点具体为与工控资产的探测装置位于同一网段或者连接同一交换机的设备节点。
探测方式包括主动探测、被动探测。
其中主动探测的探测方式下,工控资产的探测装置需要向被探测对象所在节点进行信息交互,实现主动式的资产信息探测。被动探测的探测方式下,工控资产的探测装置则不与被探测对象所在节点进行直接信息交互,采用信息抓取并解析的方式,实现被动式的资产信息探测。
不同的目标探测节点在不同的探测方式下对应有相应的探测参数。
该探测参数例如为探测节点的通信地址(ip地址)、通信端口、探测节点对应的协议规则、数据采集速率等。
其中,数据采集速率可以通过管控数据采集线程数量实现调整,管控数据采集线程数量与数据采集速率正相关。
不同的探测节点对应的工业特有通信协议可能会存在差别,对应有不同的工控设备传输的协议特征。
具体地,在一个可选的实施方式中,该基于至少一个目标探测节点,从预设的配置数据库中匹配在探测方式下每一目标探测节点分别对应的探测参数,包括:
当探测方式为主动探测时,基于至少一个目标探测节点,从预设的配置数据库中匹配在探测方式下每一目标探测节点的通信地址、至少一个通信端口及每一目标探测节点对应的协议规则;
当探测方式为被动探测时,基于至少一个目标探测节点,从预设的配置数据库中匹配在探测方式下每一目标探测节点对应的协议规则。
至少一个目标探测节点具体为被标记为同一探测方式的探测节点。
进一步地,至少一个目标探测节点具体为与工控资产的探测装置在同一网段内或者连接至同一交换机的探测节点。
步骤102,在探测方式下,基于探测参数依照与目标探测节点对应的协议规则,与目标探测节点进行报文探测交互;
该报文探测交互,具体需要工控资产的探测装置向目标探测节点发出探测报文,并获取目标探测节点的反馈报文。
报文的探测交互过程中,报文的生成及对反馈报文的解析需要基于与目标探测节点对应的协议规则来实施。
其中,在一个具体的实施方式中,在探测方式下,基于探测参数依照与目标探测节点对应的协议规则,与目标探测节点进行报文探测交互,包括:
当探测方式为主动探测时,依照每一目标探测节点对应的协议规则,生成指示有目标探测节点的通信地址及目标端口的会话确认数据包;
将会话确认数据包发送至对应的目标探测节点。
该过程实现会话确认数据包的生成,并将会话确认数据包发送至目标探测节点,触发与目标探测节点间的报文探测交互。
其中,为了进一步确保报文探测交互及工控资产的探测效率,在探测方式下,基于探测参数依照与目标探测节点对应的协议规则,与目标探测节点进行报文探测交互,包括:
将配置数据库中的探测方式及探测参数下载至本地;基于本地存储的探测方式及探测参数,依照与目标探测节点对应的协议规则,与目标探测节点进行报文探测交互。
步骤103,基于报文探测交互中目标探测节点的反馈数据包,确定目标探测节点的目标端口所处的端口状态。
主动探测中需要工控资产的探测装置基于探测参数中探测节点的通信地址,向目标探测节点发送依照目标探测节点对应的协议规则伪装生成的会话确认数据包,该会话确认数据包的目标地址为目标探测节点的通信地址,同时可以以异步方式接收目标探测节点返回的反馈数据包;该反馈数据包中包括目标探测节点的端口状态和身份识别号,进而确定该反馈数据包所对应的工控网络资产,判断该工控网络资产的对应端口是否处于开放状态,并根据该反馈数据包包括的身份识别号(例如为CPU编号、***版本号、网卡编号等)。
步骤104,若目标探测节点的目标端口处于开放状态,则根据预设的端口与服务特征对照关系库,识别在目标端口下目标探测节点提供的节点服务;
若工控网络资产对应的目标探测节点的目标端口处于开放状态,则根据预设的端口与服务特征对照关系库识别该工控网络资产提供的服务即可。
步骤105,建立目标探测节点在目标端口下提供的节点服务与目标探测节点的身份识别号之间的关联关系并存储。
将目标探测节点在目标端口下提供的节点服务确定为工控网络中资产的探测结果。
该过程中,资产识别与扫描功能具备针对主流工控厂商如西门子、施耐德、罗克韦尔、通用电气、三菱、欧姆龙、MOXA、研华等不少于100个厂商的工控设备的软硬件进行发现与识别,实现简单快速的发现工控网络中的资产信息。
进一步地,当探测方式为被动探测时,在一个可选的实施方式中,获取工控资产探测任务,匹配与资产探测任务对应的探测方式及与探测方式对应的探测参数之后,还包括:
当探测方式为被动探测时,获取工控网络中的网络流量;
依照协议特征库中预设的协议特征,匹配得到网络流量对应的***互联协议;
基于***互联协议,对网络流量进行协议格式解析,得到与网络流量对应的探测节点提供的节点服务及身份识别号,对节点服务及身份识别号进行关联存储。
在本步骤中,具体地,在获取工控网络中的网络流量时,可以持续地被动接收交换机镜像口的网络流量。
在一个应用过程中,该网络流量具体为资产之间互相通信的流量信息。
工控网络中设备与上位机等均与交互机连接,此时可以通过接收交互机镜像口的网络流量的方式,来获取工控网络中所有工控协议通信接口的网络流量。
这样通过被动的获取工控网络中的网络流量,使得不会对工控网络产生干扰和影响,保证了工控网络的安全性。
在具体应用中,能自动发现的资产包含且不限如下类型资产:
通用/私有工控协议类(如Modbus、IEC104、DNP3、OPC UA、MQTT、DLT645等工控协议),PLC/RTU/DTU类(西门子、施耐德、通用、欧姆龙、三菱、红狮、霍尼韦尔、台达、菲尼克斯、四信、宏电等设备),SCADA类(亚控、力控、研华等SCADA组态软件),视频监控类(海康威视、大华等视频监控设备),实时数据库(RTDB)类(霍尼韦尔PHD等),工控通信类(Moxa串口服务器、研华EKI串口服务器等)等等工控***协议、设备、服务的资产,根据流量和协议的匹配进行资产信息发现。
协议库中预设的协议特征,例如为通信协议对应的报文结构构成、关键字段值、协议标识符等信息。
***互联协议具体为OSI(Open System Interconnect,开放式***互连协议)。该协议中包括应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。可以依据每层的不同特征,匹配得到网络流量对应的***互联协议属于哪个层的协议。
进而基于***互联协议,对网络流量进行协议格式解析,得到与网络流量对应的探测节点提供的节点服务及身份识别号,对节点服务及身份识别号进行关联存储。
例如,通过数据链路层协议格式解析出资产mac地址信息,通过网络层解析出资产的ip地址信息,传输层获取资产开放端口,应用层解析资产的服务信息(还会包括设备类型、厂商)等。
该过程中,引入被动探测处理过程,由于工控***环境错综复杂,有时候不能直接对资产信息进行信息采集,本实施例中采用被动识别功能解决这一问题。
进一步地,在上述过程中,主动探测和被动探测过程中,均可以依照配置的探测速率执行数据操作。具体地,可以对探测速率进行配置,根据具体需求控制采集线程数的大小从而控制被动探测中对工控网络中的网络流量的抓取速率,及控制主动探测中与目标探测节点进行报文探测交互的交互频率。
最后,在建立目标探测节点在目标端口下提供的节点服务与目标探测节点的身份识别号之间的关联关系并存储后,进行报告生成。
本申请实施例中,通过匹配与资产探测任务对应的探测方式及对应的探测参数,在该探测方式下,基于探测参数依照与目标探测节点对应的协议规则,与目标探测节点进行报文探测交互,基于报文探测交互中目标探测节点的反馈数据包,确定目标探测节点的目标端口所处的端口状态,并在目标端口处于开放状态时,识别得到目标端口下目标探测节点提供的节点服务,建立该目标探测节点的节点服务与身份识别号之间的关联关系并存储。实现通过轻量级的工控主动探测技术,以工业特有通信协议与工控资源进行交互,搜索工控设备的必要信息,实现对工控设备的探测、发现及识别。
本申请实施例中还提供了工控资产的探测方法的不同实施方式。
参见图2,图2是本申请实施例提供的一种工控资产的探测方法的流程图二。如图2所示,一种工控资产的探测方法,该方法包括以下步骤:
步骤201,获取工控资产探测任务,匹配与资产探测任务对应的探测方式及与探测方式对应的探测参数;
该步骤的实现过程与前述实施方式中的步骤101的实现过程相同,此处不再赘述。
步骤202,在探测方式下,基于探测参数依照与目标探测节点对应的协议规则,与目标探测节点进行报文探测交互;
该步骤的实现过程与前述实施方式中的步骤102的实现过程相同,此处不再赘述。
步骤203,基于报文探测交互中目标探测节点的反馈数据包,确定目标探测节点的目标端口所处的端口状态;
该步骤的实现过程与前述实施方式中的步骤103的实现过程相同,此处不再赘述。
步骤204,若目标探测节点的目标端口处于开放状态,则根据预设的端口与服务特征对照关系库,识别在目标端口下目标探测节点提供的节点服务;
该步骤的实现过程与前述实施方式中的步骤104的实现过程相同,此处不再赘述。
步骤205,建立目标探测节点在目标端口下提供的节点服务与目标探测节点的身份识别号之间的关联关系并存储。
该步骤的实现过程与前述实施方式中的步骤105的实现过程相同,此处不再赘述。
步骤206,若目标探测节点的目标端口处于开放状态,且在根据预设的端口与服务特征对照关系库,未识别出在目标端口下目标探测节点提供的节点服务时,从反馈数据包中提取服务签名信息,从模糊信息数据库中对服务签名信息进行数据匹配,得到服务签名信息的扩展信息;
该步骤中,对于不能根据预设的端口与服务特征对照关系识别的节点服务,需要基于预设的基础服务特征库,对工控网络资产反馈的服务签名信息进行模糊识别,还可以引入服务识别探针组,根据模糊识别内容调度相应的探针进行服务的精准识别,探针包括针对服务的连接指令发起、指令回显抓取以及对回显信息的正则匹配,从而实现自动扩充服务签名信息的自动扩展。
进一步地,在基于报文探测交互中目标探测节点的反馈数据包,确定目标探测节点所开放的端口和服务开放信息后,还可以利用装置内置的大量资产指纹信息插件,根据处于开放状态的端口信息去匹配对应的指纹信息插件进行调用,得到指纹信息插件的调用返回结果,例如资产型号信息、设备类型、厂商信息等,实现对更细致的资产信息的获取。
步骤207,建立服务签名信息及扩展信息与目标探测节点的身份识别号之间的关联关系并存储。
本申请实施例中,通过匹配与资产探测任务对应的探测方式及对应的探测参数,在该探测方式下,基于探测参数依照与目标探测节点对应的协议规则,与目标探测节点进行报文探测交互,基于报文探测交互中目标探测节点的反馈数据包,确定目标探测节点的目标端口所处的端口状态,并在目标端口处于开放状态时,识别得到目标端口下目标探测节点提供的节点服务,建立该目标探测节点的节点服务与身份识别号之间的关联关系并存储,并进一步利用模糊信息数据库对服务签名信息进行数据匹配,得到服务签名信息的扩展信息,实现通过轻量级的工控主动探测技术,以工业特有通信协议与工控资源进行交互,搜索工控设备的必要信息,实现对工控设备的探测、发现及识别。
参见图3,图3是本申请实施例提供的一种工控资产的探测装置的结构图,为了便于说明,仅示出了与本申请实施例相关的部分。
所述工控资产的探测装置300包括:
获取模块301,用于获取工控资产探测任务,匹配与所述资产探测任务对应的探测方式及与所述探测方式对应的探测参数;
交互模块302,用于在所述探测方式下,基于所述探测参数依照与目标探测节点对应的协议规则,与所述目标探测节点进行报文探测交互;
状态确定模块303,用于基于所述报文探测交互中所述目标探测节点的反馈数据包,确定所述目标探测节点的目标端口所处的端口状态;
服务识别模块304,用于若所述目标探测节点的目标端口处于开放状态,则根据预设的端口与服务特征对照关系库,识别在所述目标端口下所述目标探测节点提供的节点服务;
存储模块305,用于建立所述目标探测节点在所述目标端口下提供的所述节点服务与所述目标探测节点的身份识别号之间的关联关系并存储。
其中,所述获取模块301,具体用于:
基于所述工控资产探测任务,确定所述工控资产探测任务指示的探测方式及至少一个目标探测节点;
基于所述至少一个目标探测节点,从预设的配置数据库中匹配在所述探测方式下每一所述目标探测节点分别对应的所述探测参数。
其中,所述获取模块301,更具体用于:
当所述探测方式为主动探测时,基于所述至少一个目标探测节点,从预设的配置数据库中匹配在所述探测方式下每一所述目标探测节点的通信地址、至少一个通信端口及每一所述目标探测节点对应的协议规则;
当所述探测方式为被动探测时,基于所述至少一个目标探测节点,从预设的配置数据库中匹配在所述探测方式下每一所述目标探测节点对应的协议规则。
其中,所述交互模块302,具体用于:
当所述探测方式为主动探测时,依照每一所述目标探测节点对应的协议规则,生成指示有所述目标探测节点的所述通信地址及所述目标端口的会话确认数据包;
将所述会话确认数据包发送至对应的所述目标探测节点。
该装置还包括:
匹配模块,用于若所述目标探测节点的目标端口处于开放状态,且在根据预设的端口与服务特征对照关系库,未识别出在所述目标端口下所述目标探测节点提供的节点服务时,从所述反馈数据包中提取服务签名信息,从模糊信息数据库中对所述服务签名信息进行数据匹配,得到所述服务签名信息的扩展信息;
所述存储模块305,还用于建立所述服务签名信息及所述扩展信息与所述目标探测节点的身份识别号之间的关联关系并存储。
其中,该装置还包括:
当所述探测方式为被动探测时,获取工控网络中的网络流量;
依照协议特征库中预设的协议特征,匹配得到所述网络流量对应的***互联协议;
基于所述***互联协议,对所述网络流量进行协议格式解析,得到与所述网络流量对应的探测节点提供的节点服务及身份识别号,对所述节点服务及所述身份识别号进行关联存储。
本申请实施例提供的工控资产的探测装置能够实现上述工控资产的探测方法的实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
图4是本申请实施例提供的一种终端的结构图。如该图所示,该实施例的终端4包括:至少一个处理器40(图4中仅示出一个)、存储器41以及存储在所述存储器41中并可在所述至少一个处理器40上运行的计算机程序42,所述处理器40执行所述计算机程序42时实现上述任意各个方法实施例中的步骤。
所述终端4可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述终端4可包括,但不仅限于,处理器40、存储器41。本领域技术人员可以理解,图4仅仅是终端4的示例,并不构成对终端4的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述终端还可以包括输入输出设备、网络接入设备、总线等。
所述处理器40可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器41可以是所述终端4的内部存储单元,例如终端4的硬盘或内存。所述存储器41也可以是所述终端4的外部存储设备,例如所述终端4上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器41还可以既包括所述终端4的内部存储单元也包括外部存储设备。所述存储器41用于存储所述计算机程序以及所述终端所需的其他程序和数据。所述存储器41还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述***中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/终端和方法,可以通过其它的方式实现。例如,以上所描述的装置/终端实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机程序产品来实现,当计算机程序产品在终端上运行时,使得所述终端执行时实现可实现上述各个方法实施例中的步骤。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (10)
1.一种工控资产的探测方法,其特征在于,包括:
获取工控资产探测任务,匹配与所述资产探测任务对应的探测方式及与所述探测方式对应的探测参数;
在所述探测方式下,基于所述探测参数依照与目标探测节点对应的协议规则,与所述目标探测节点进行报文探测交互;
基于所述报文探测交互中所述目标探测节点的反馈数据包,确定所述目标探测节点的目标端口所处的端口状态;
若所述目标探测节点的目标端口处于开放状态,则根据预设的端口与服务特征对照关系库,识别在所述目标端口下所述目标探测节点提供的节点服务;
建立所述目标探测节点在所述目标端口下提供的所述节点服务与所述目标探测节点的身份识别号之间的关联关系并存储;
其中,所述探测方式包括主动探测或者被动探测,在所述主动探测的探测方式下,工控资产的探测装置向被探测对象所在节点进行信息交互实施资产信息探测,在所述被动探测的探测方式下,所述工控资产的探测装置采用信息抓取并解析的方式实施资产信息探测。
2.根据权利要求1所述的方法,其特征在于,所述匹配与所述资产探测任务对应的探测方式及与所述探测方式对应的探测参数,包括:
基于所述工控资产探测任务,确定所述工控资产探测任务指示的探测方式及至少一个目标探测节点;
基于所述至少一个目标探测节点,从预设的配置数据库中匹配在所述探测方式下每一所述目标探测节点分别对应的所述探测参数。
3.根据权利要求2所述的方法,其特征在于,所述基于所述至少一个目标探测节点,从预设的配置数据库中匹配在所述探测方式下每一所述目标探测节点分别对应的所述探测参数,包括:
当所述探测方式为主动探测时,基于所述至少一个目标探测节点,从预设的配置数据库中匹配在所述探测方式下每一所述目标探测节点的通信地址、至少一个通信端口及每一所述目标探测节点对应的协议规则;
当所述探测方式为被动探测时,基于所述至少一个目标探测节点,从预设的配置数据库中匹配在所述探测方式下每一所述目标探测节点对应的协议规则。
4.根据权利要求3所述的方法,其特征在于,所述在所述探测方式下,基于所述探测参数依照与目标探测节点对应的协议规则,与所述目标探测节点进行报文探测交互,包括:
当所述探测方式为主动探测时,依照每一所述目标探测节点对应的协议规则,生成指示有所述目标探测节点的所述通信地址及所述目标端口的会话确认数据包;
将所述会话确认数据包发送至对应的所述目标探测节点。
5.根据权利要求1所述的方法,其特征在于,所述基于所述报文探测交互中所述目标探测节点的反馈数据包,确定所述目标探测节点的目标端口所处的端口状态之后,还包括:
若所述目标探测节点的目标端口处于开放状态,且在根据预设的端口与服务特征对照关系库,未识别出在所述目标端口下所述目标探测节点提供的节点服务时,从所述反馈数据包中提取服务签名信息,从模糊信息数据库中对所述服务签名信息进行数据匹配,得到所述服务签名信息的扩展信息;
建立所述服务签名信息及所述扩展信息与所述目标探测节点的身份识别号之间的关联关系并存储。
6.根据权利要求1所述的方法,其特征在于,所述获取工控资产探测任务,匹配与所述资产探测任务对应的探测方式及与所述探测方式对应的探测参数之后,还包括:
当所述探测方式为被动探测时,获取工控网络中的网络流量;
依照协议特征库中预设的协议特征,匹配得到所述网络流量对应的***互联协议;
基于所述***互联协议,对所述网络流量进行协议格式解析,得到与所述网络流量对应的探测节点提供的节点服务及身份识别号,对所述节点服务及所述身份识别号进行关联存储。
7.一种工控资产的探测装置,其特征在于,包括:
获取模块,用于获取工控资产探测任务,匹配与所述资产探测任务对应的探测方式及与所述探测方式对应的探测参数;
交互模块,用于在所述探测方式下,基于所述探测参数依照与目标探测节点对应的协议规则,与所述目标探测节点进行报文探测交互;
状态确定模块,用于基于所述报文探测交互中所述目标探测节点的反馈数据包,确定所述目标探测节点的目标端口所处的端口状态;
服务识别模块,用于若所述目标探测节点的目标端口处于开放状态,则根据预设的端口与服务特征对照关系库,识别在所述目标端口下所述目标探测节点提供的节点服务;
存储模块,用于建立所述目标探测节点在所述目标端口下提供的所述节点服务与所述目标探测节点的身份识别号之间的关联关系并存储;
其中,所述探测方式包括主动探测或者被动探测,在所述主动探测的探测方式下,工控资产的探测装置向被探测对象所在节点进行信息交互实施资产信息探测,在所述被动探测的探测方式下,所述工控资产的探测装置采用信息抓取并解析的方式实施资产信息探测。
8.根据权利要求7所述的装置,其特征在于,所述获取模块,具体用于:
基于所述工控资产探测任务,确定所述工控资产探测任务指示的探测方式及至少一个目标探测节点;
基于所述至少一个目标探测节点,从预设的配置数据库中匹配在所述探测方式下每一所述目标探测节点分别对应的所述探测参数。
9.一种终端,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210125179.8A CN114584477B (zh) | 2022-02-10 | 2022-02-10 | 工控资产的探测方法、装置、终端及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210125179.8A CN114584477B (zh) | 2022-02-10 | 2022-02-10 | 工控资产的探测方法、装置、终端及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114584477A CN114584477A (zh) | 2022-06-03 |
| CN114584477B true CN114584477B (zh) | 2023-06-27 |
Family
ID=81770684
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210125179.8A Active CN114584477B (zh) | 2022-02-10 | 2022-02-10 | 工控资产的探测方法、装置、终端及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114584477B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114793204B (zh) * | 2022-06-27 | 2022-09-02 | 山东林天信息科技有限责任公司 | 一种网络资产探测方法 |
| CN115242692B (zh) * | 2022-07-08 | 2023-06-09 | 北京华顺信安科技有限公司 | 网络资产自定义协议识别方法、装置、终端及存储介质 |
| CN115277483A (zh) * | 2022-07-27 | 2022-11-01 | 西安热工研究院有限公司 | 一种工控网络的监视方法、装置及存储介质 |
| CN115442259A (zh) * | 2022-08-30 | 2022-12-06 | 奇安信网神信息技术(北京)股份有限公司 | ***识别方法及装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106713449A (zh) * | 2016-12-21 | 2017-05-24 | 中国电子科技网络信息安全有限公司 | 一种快速识别联网工控设备的方法 |
| CN107733581A (zh) * | 2017-10-11 | 2018-02-23 | 杭州安恒信息技术有限公司 | 基于全网环境下的快速互联网资产特征探测方法及装置 |
| CN109525427A (zh) * | 2018-11-12 | 2019-03-26 | 广东省信息安全测评中心 | 分布式资产信息探测方法与*** |
| CN109660401A (zh) * | 2018-12-20 | 2019-04-19 | 中国电子科技集团公司第三十研究所 | 一种分布式网络资产探测方法 |
| CN109768870A (zh) * | 2017-11-09 | 2019-05-17 | 国网青海省电力公司电力科学研究院 | 一种基于主动探测技术的工控网络资产发现方法及*** |
| CN110635971A (zh) * | 2019-10-16 | 2019-12-31 | 杭州安恒信息技术股份有限公司 | 工控资产探测及管理方法、装置和电子设备 |
| CN112202609A (zh) * | 2020-09-28 | 2021-01-08 | 全球能源互联网研究院有限公司 | 一种工控资产探测方法、装置、电子设备及存储介质 |
| CN113240258A (zh) * | 2021-04-30 | 2021-08-10 | 山东云天安全技术有限公司 | 一种工业资产探测方法、设备及装置 |
| CN113259197A (zh) * | 2021-05-13 | 2021-08-13 | 北京天融信网络安全技术有限公司 | 一种资产探测方法、装置及电子设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100064362A1 (en) * | 2008-09-05 | 2010-03-11 | VolPshield Systems Inc. | Systems and methods for voip network security |
-
2022
- 2022-02-10 CN CN202210125179.8A patent/CN114584477B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106713449A (zh) * | 2016-12-21 | 2017-05-24 | 中国电子科技网络信息安全有限公司 | 一种快速识别联网工控设备的方法 |
| CN107733581A (zh) * | 2017-10-11 | 2018-02-23 | 杭州安恒信息技术有限公司 | 基于全网环境下的快速互联网资产特征探测方法及装置 |
| CN109768870A (zh) * | 2017-11-09 | 2019-05-17 | 国网青海省电力公司电力科学研究院 | 一种基于主动探测技术的工控网络资产发现方法及*** |
| CN109525427A (zh) * | 2018-11-12 | 2019-03-26 | 广东省信息安全测评中心 | 分布式资产信息探测方法与*** |
| CN109660401A (zh) * | 2018-12-20 | 2019-04-19 | 中国电子科技集团公司第三十研究所 | 一种分布式网络资产探测方法 |
| CN110635971A (zh) * | 2019-10-16 | 2019-12-31 | 杭州安恒信息技术股份有限公司 | 工控资产探测及管理方法、装置和电子设备 |
| CN112202609A (zh) * | 2020-09-28 | 2021-01-08 | 全球能源互联网研究院有限公司 | 一种工控资产探测方法、装置、电子设备及存储介质 |
| CN113240258A (zh) * | 2021-04-30 | 2021-08-10 | 山东云天安全技术有限公司 | 一种工业资产探测方法、设备及装置 |
| CN113259197A (zh) * | 2021-05-13 | 2021-08-13 | 北京天融信网络安全技术有限公司 | 一种资产探测方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114584477A (zh) | 2022-06-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114584477B (zh) | 工控资产的探测方法、装置、终端及存储介质 | |
| CN112653618B (zh) | 微服务应用api端点的网关注册方法及装置 | |
| CN110225104A (zh) | 数据获取方法、装置及终端设备 | |
| CN112583797B (zh) | 多协议数据处理方法、装置、设备及计算机可读存储介质 | |
| CN111176202A (zh) | 工业控制网络的安全管理方法、装置、终端设备及介质 | |
| CN101771565A (zh) | 单一服务器实现大批量或不同种基板管理控制器模拟方法 | |
| CN114598512A (zh) | 一种基于蜜罐的网络安全保障方法、装置及终端设备 | |
| CN113485282B (zh) | 分散控制***消息跟踪展示方法、***、设备及存储介质 | |
| CN117176802B (zh) | 一种业务请求的全链路监控方法、装置、电子设备及介质 | |
| CN112948224A (zh) | 一种数据处理方法、装置、终端及存储介质 | |
| CN116976898B (zh) | 一种数据获取方法、数据可视化方法、装置及相关产品 | |
| CN112367296B (zh) | 一种业务控制方法及装置 | |
| CN111385293B (zh) | 一种网络风险检测方法和装置 | |
| CN113765924A (zh) | 基于用户跨服务器访问的安全监测方法、终端及设备 | |
| CN113014610B (zh) | 一种远程访问方法、装置及*** | |
| CN113726612A (zh) | 一种获取测试数据的方法、装置、电子设备及存储介质 | |
| CN110417574B (zh) | 一种拓扑分析方法、装置和存储介质 | |
| CA3163595A1 (en) | A system and method for determining authenticity of a mobile device | |
| CN112667512A (zh) | 数据驱动测试方法、装置、设备和计算机可读存储介质 | |
| CN112367298B (zh) | 一种业务控制方法及装置 | |
| US20240028745A1 (en) | System and method for hunt, incident response, and forensic activities on an agnostic platform | |
| CN117130318B (zh) | 工业数据采集方法、装置、***和可读存储介质 | |
| CN115941358B (zh) | 漏洞挖掘方法、装置、终端设备及存储介质 | |
| CN116743508B (zh) | 一种电力***网络攻击链检测方法、装置、设备及介质 | |
| CN113242205B (zh) | 网络流量分类控制方法、装置、服务器及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |