CN115150207A - 工业网络设备识别方法、装置、终端设备及存储介质 - Google Patents
工业网络设备识别方法、装置、终端设备及存储介质 Download PDFInfo
- Publication number
- CN115150207A CN115150207A CN202211081829.XA CN202211081829A CN115150207A CN 115150207 A CN115150207 A CN 115150207A CN 202211081829 A CN202211081829 A CN 202211081829A CN 115150207 A CN115150207 A CN 115150207A
- Authority
- CN
- China
- Prior art keywords
- industrial
- information
- network
- protocol
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Communication Control (AREA)
Abstract
本发明公开了一种工业网络设备识别方法、装置、终端设备及存储介质,属于工业网络安全领域,该工业网络设备识别方法包括:对接收的网络报文进行协议解析,获取介质访问控制信息和特征信息;根据所述介质访问控制信息,识别出设备所属厂商信息;将所述特征信息与预设的工业协议或工业应用特征库中的信息进行比对,得到工业协议或工业应用识别结果;结合所述厂商信息和所述识别结果,识别出发送所述网络报文的设备类型。本发明能准确识别出工业设备类型,将其应用于网络安全产品,增强了网络安全的可视性,且对工业生产网络不产生任何干扰,有助于从业人员快速熟悉、掌握工业生产网络中各设备安全情况,从而保证工业网络的安全与工业生产的稳定。
Description
技术领域
本发明涉及工业网络安全领域,尤其涉及一种工业网络设备识别方法、装置、终端设备及存储介质。
背景技术
随着工业控制网络的普及,网络攻击事件频发,网络安全不断地受到威胁,因此,工业防火墙、工业审计等网络安全产品日益成为企业的安全生产、经营的必需品。
当前,这些网络安全产品大多以IT网络安全技术为背景发展起来的,而工业控制从业人员更为熟悉的是设备类型、设备名称,如PLC、RTU等等。在现有的网络安全产品中,对于工业设备的识别有两种方式,一是主动识别方式;二是被动识别方式。其中,主动识别的方式是工业防火墙或审计主动向网络的设备发送探测消息,通过设备回复的信息对其进行识别。这种方式加重了原有工业网络的负荷,可能会造成工业网络设备出现停止、重启或产生其它的错误操作,会给工业控制网络带来不稳定因素,非但不能起到安全防护和审计的作用,反而影响了工业生产的安全。
而现有的被动识别方式在一定程度上解决了这个问题。但是现有的被动识别的方式只能识别出设备所属厂商,并不能识别出设备类型,对于工业控制从业人员帮助不大。因此,如何通过被动识别方式既能识别出设备的所属厂商,又能准确识别出设备类型,以增加工业网络安全的可视性与保持工业生产的稳定性是当前亟待解决的问题。
发明内容
本发明实施例的主要目的在于提供一种工业网络设备识别方法、装置、终端设备及存储介质,旨在解决现有的被动识别方式无法识别工业设备类型的技术问题。
为实现上述目的,本发明实施例提供一种工业网络设备识别方法,应用于工业网络安全领域,所述工业网络设备识别方法包括:
接收设备发出的流经网络安全产品的网络报文;
对所述网络报文进行协议解析,获取介质访问控制信息和特征信息;
根据所述介质访问控制信息,识别出所述设备所属厂商信息;
将所述特征信息与预设的工业协议或工业应用特征库中的信息进行比对,得到识别结果,所述识别结果是指所述设备使用的工业协议或运行的工业应用;
结合所述厂商信息和所述识别结果,识别出发送所述网络报文的设备类型。
可选地,所述将所述特征信息与预设的工业协议或工业应用特征库中的信息进行比对,得到识别结果的步骤包括:
将所述特征信息与预设的工业协议或工业应用特征库中的信息进行比对,判断所述特征库中是否存在所述特征信息,若存在所述特征信息,则从所述特征库中查找对应的工业协议或工业应用作为识别结果。
可选地,所述结合所述厂商信息和所述识别结果,识别出发送所述网络报文的设备类型的步骤包括:
结合所述厂商信息和所述识别结果,与工业设备知识信息库进行比对,从工业设备知识信息库中查找出所述厂商信息和所述识别结果对应的设备类型,得到发送网络报文的设备类型。
可选地,所述对所述网络报文进行协议解析,获取介质访问控制信息和特征信息的步骤包括:
通过网络协议对所述网络报文进行协议解析,获取链路层数据、传输层和应用层数据;
从所述链路层数据中提取得到介质访问控制信息,从所述传输层和应用层数据提取得到工业协议或工业应用的特征信息。
可选地,所述根据所述介质访问控制信息,识别出所述设备所属厂商信息的步骤包括:
将所述介质访问控制信息与厂商介质访问控制信息管理库进行比对,从厂商介质访问控制信息管理库中找出所述介质访问控制信息对应的厂商信息作为所述设备所属厂商信息。
可选地,所述接收设备发出的流经网络安全产品的网络报文的步骤之前还包括:
基于预设的规则,收集各个工业设备对应的厂商信息、工业协议或工业应用,并将收集结果储存在工业设备知识信息库中。
可选地,其特征在于,所述收集各个工业设备对应的厂商信息、工业协议或工业应用,并将收集结果储存在工业设备知识信息库中的步骤之前还包括:
采集原始网络流量数据;
根据所述流量数据,根据网络协议进行协议解析,得到厂商信息协议特征、工业协议或工业应用相应的特征;
将所述厂商信息协议特征储存在厂商介质访问控制信息管理库中;
将所述工业协议或工业应用相应的特征储存在所述预设的工业协议或工业应用特征库中。
本发明实施例还提供一种工业网络设备识别装置,所述工业网络设备识别装置包括:
网络报文接收模块,用于接收设备发出的流经网络安全产品的网络报文;
协议解析模块,用于对所述网络报文进行协议解析,获取介质访问控制信息和特征信息;
厂商识别模块,用于根据所述介质访问控制信息,识别出所述设备所属厂商信息;
协议或应用识别模块,用于将所述特征信息与预设的工业协议或工业应用特征库中的信息进行比对,得到识别结果,所述识别结果是指所述设备使用的工业协议或运行的工业应用;
设备类型识别模块,用于结合所述厂商信息和所述识别结果,识别出发送所述网络报文的设备类型。
本发明实施例还提供一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的工业网络设备识别程序,所述工业网络设备识别程序被所述处理器执行时实现所述工业网络设备识别方法的步骤。
本发明实施例还提出一种存储介质,所述存储介质上存储有工业网络设备识别程序,所述工业网络设备识别程序被所述处理器执行时实现所述工业网络设备识别方法的步骤。
本发明实施例提出一种工业网络设备识别方法、装置、终端设备及存储介质,通过接收设备发出的流经网络安全产品的网络报文,对所述网络报文进行协议解析,获取介质访问控制信息和特征信息;根据所述介质访问控制信息,识别出所述设备所属厂商信息;将所述特征信息与预设的工业协议或工业应用特征库中的信息进行比对,得到识别结果,所述识别结果是指所述设备使用的工业协议或运行的工业应用;结合所述厂商信息和所述识别结果,识别出发送所述网络报文的设备类型。本方案通过采集并解析原始网络流量数据,将解析结果中的协议特征提取出来并加以储存后,与获取的所述介质访问控制信息、所述特征信息进行比对,识别出所述设备所属厂商信息和使用的工业协议或者运行的工业应用,进而识别出发送所述网络报文的设备类型,实现了准确识别出工业设备类型,将其应用于网络安全产品,增强了网络安全的可视性,且对工业生产网络不产生任何干扰,有助于从业人员快速熟悉、掌握工业生产网络中各设备安全情况,从而保证工业网络的安全与工业生产的稳定。
附图说明
图1为本发明工业网络设备识别装置所属终端设备的功能模块示意图;
图2为本发明工业网络设备识别方法第一示例性实施例的流程示意图;
图3为本发明工业网络设备识别方法第四示例性实施例的流程示意图;
图4为本发明工业网络设备识别方法第五示例性实施例的流程示意图;
图5为本发明工业网络设备识别方法第六示例性实施例的流程示意图;
图6为本发明工业网络设备识别装置的整体架构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:通过接收设备发出的流经网络安全产品的网络报文,对所述网络报文进行协议解析,获取介质访问控制信息和特征信息;根据所述介质访问控制信息,识别出所述设备所属厂商信息;将所述特征信息与预设的工业协议或工业应用特征库中的信息进行比对,得到识别结果,所述识别结果是指所述设备使用的工业协议或运行的工业应用;结合所述厂商信息和所述识别结果,识别出发送所述网络报文的设备类型。基于本方案,通过采集并解析原始网络流量数据,将解析结果中的协议特征提取出来并加以储存后,与获取的所述介质访问控制信息、所述特征信息进行比对,识别出所述设备所属厂商信息和使用的工业协议或者运行的工业应用,进而识别出发送所述网络报文的设备类型,实现了准确识别出工业设备类型,将其应用于网络安全产品,增强了网络安全的可视性,有助于从业人员快速熟悉、掌握工业生产网络中各设备安全情况,从而保证工业网络的安全与工业生产的稳定。
具体地,参照图1,图1为本发明工业网络设备识别装置所属终端设备的功能模块示意图。该工业网络设备识别装置可以为终端设备的、能够识别出发送网络报文的设备类型的装置,其可以通过硬件或软件的形式承载于终端设备上。该终端设备可以为手机、平板电脑等具有数据处理功能的智能移动终端,还可以为具有数据处理功能的固定终端设备或服务器等。
在本实施例中,该工业网络设备识别装置所属终端设备至少包括输出模块110、处理器120、存储器130以及通信模块140。
存储器130中存储有操作***以及工业网络设备识别程序;输出模块110可为显示屏等。通信模块140可以包括WIFI模块、移动通信模块以及蓝牙模块等,通过通信模块140与外部设备或服务器进行通信。
其中,存储器130中的工业网络设备识别程序被处理器执行时实现以下步骤:
接收设备发出的流经网络安全产品的网络报文;
对所述网络报文进行协议解析,获取介质访问控制信息和特征信息;
根据所述介质访问控制信息,识别出所述设备所属厂商信息;
将所述特征信息与预设的工业协议或工业应用特征库中的信息进行比对,得到识别结果,所述识别结果是指所述设备使用的工业协议或运行的工业应用;
结合所述厂商信息和所述识别结果,识别出发送所述网络报文的设备类型。
进一步地,存储器130中的工业网络设备识别程序被处理器执行时还实现以下步骤:
将所述特征信息与预设的工业协议或工业应用特征库中的信息进行比对,判断所述特征库中是否存在所述特征信息,若存在所述特征信息,则从所述特征库中查找对应的工业协议或工业应用作为识别结果。
进一步地,存储器130中的工业网络设备识别程序被处理器执行时还实现以下步骤:
结合所述厂商信息和所述识别结果,与工业设备知识信息库进行比对,从工业设备知识信息库中查找出所述厂商信息和所述识别结果对应的设备类型,得到发送网络报文的设备类型。
进一步地,存储器130中的工业网络设备识别程序被处理器执行时还实现以下步骤:
通过网络协议对所述网络报文进行协议解析,获取链路层数据、传输层和应用层数据;
从所述链路层数据中提取得到介质访问控制信息,从所述传输层和应用层数据提取得到工业协议或工业应用的特征信息。
进一步地,存储器130中的工业网络设备识别程序被处理器执行时还实现以下步骤:
将所述介质访问控制信息与厂商介质访问控制信息管理库进行比对,从厂商介质访问控制信息管理库中找出所述介质访问控制信息对应的厂商信息作为所述设备所属厂商信息。
进一步地,存储器130中的工业网络设备识别程序被处理器执行时还实现以下步骤:
基于预设的规则,收集各个工业设备对应的厂商信息、工业协议或工业应用,并将收集结果储存在工业设备知识信息库中。
进一步地,存储器130中的工业网络设备识别程序被处理器执行时还实现以下步骤:
采集原始网络流量数据;
根据所述流量数据,根据网络协议进行协议解析,得到厂商信息协议特征、工业协议或工业应用相应的特征;
将所述厂商信息协议特征储存在厂商介质访问控制信息管理库中;
将所述工业协议或工业应用相应的特征储存在所述预设的工业协议或工业应用特征库中。
参照图2,图2为本发明工业网络设备识别方法第一示例性实施例的流程示意图。所述工业网络设备识别方法包括:
步骤S110,接收设备发出的流经网络安全产品的网络报文;
具体地,以被动的方式接收由工业设备发出的流经工业防火墙或者工业审计等网络安全产品的网络报文。
其中,网络报文是网络中交换与传输的数据单元,即站点一次性要发送的数据块,网络报文包含了将要发送的完整的数据信息,其长短很不一致,长度不限且可变;它也是网络传输的单位,传输过程中会不断的封装成分组、包、帧来传输,封装的方式就是添加一些信息段,那些就是网络报文头以一定格式组织起来的数据,比如里面有报文类型、报文版本、报文长度、报文实体等信息。
步骤S120,对所述网络报文进行协议解析,获取介质访问控制信息和特征信息;
具体地,通过网络协议对所述网络报文进行协议解析,获取链路层数据、传输层和应用层数据;从所述链路层数据中提取得到介质访问控制信息,从所述传输层和应用层数据提取得到工业协议或工业应用的特征信息。
由于网络报文是在各个***之间进行请求和响应时用来交换信息的,因此需要遵守规定好的格式,而根据网络协议,不同数据层的网络报文格式不同,因此需要对所述网络报文进行协议解析,以得到不同数据层的报文,再从解析得到的不同数据层的网络报文获取介质访问控制信息和特征信息。
步骤S130,根据所述介质访问控制信息,识别出所述设备所属厂商信息;
具体地,将所述介质访问控制信息与厂商介质访问控制信息管理库进行比对,从厂商介质访问控制信息管理库中找出所述介质访问控制信息对应的厂商信息作为所述设备所属厂商信息。
其中,介质访问控制(Media Access Control,MAC)地址专注于数据链路层,将一个数据帧从一个节点传送到相同链路的另一个节点,所以也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。介质访问控制地址与网络无关,即无论将带有这个地址的硬件(如网卡、集线器、路由器等)接入到网络的何处,都有相同的介质访问控制地址,它由厂商写在网卡的基本输入输出***(Basic Input Output System,BIOS)里。
因此,要识别设备所属厂商信息需要获取介质访问控制信息,而该信息需要从链路层数据中提取得到,再往前地,链路层数据需要根据网络协议对获取的网络报文进行协议解析获得。因此,根据网络协议从网络报文中获取数据链路层数据,再从所述链路层数据中提取出所述介质访问控制信息,接着将所述介质访问控制信息与厂商介质访问控制信息管理库进行比对,进而识别出所述设备所属厂商信息。
步骤S140,将所述特征信息与预设的工业协议或工业应用特征库中的信息进行比对,得到识别结果,所述识别结果是指所述设备使用的工业协议或运行的工业应用;
具体地,将所述特征信息与预设的工业协议或工业应用特征库中的信息进行比对,从所述特征库中查找对应的工业协议或工业应用作为识别结果。
其中,工业协议,又称通讯协议,是一种应用在工业自动化的通信协定,由开放DeviceNet厂商协会(Open DeviceNet Vendors Association,ODVA)所维护,是通讯双方对数据传送控制的一种约定。约定中包括对数据格式、同步方式、传送速度、传送步骤、检纠错方式以及控制字符定义等问题做出统一规定,通信双方必须共同遵守,它也叫做链路控制规程,比如Modbus通讯协议(Modbus protocol)、S7通信协议等等。
Modbus通信协议是Modicon公司(现在的施耐德电气 Schneider Electric)于1979年为使用可编程逻辑控制器(Programmable Logic Controller,PLC)通信而发表,是一项应用层报文传输协议,它通过主从式的请求/应答模式提供功能码规定的服务,在自控设备的通讯中应用很广泛。
S7通信协议是西门子S7系列PLC内部集成的一种通信协议,是S7系列PLC的精髓所在,它是一种运行在传输层之上的(会话层/表示层/应用层)、经过特殊优化的通信协议。
步骤S150,结合所述厂商信息和所述识别结果,识别出发送所述网络报文的设备类型。
具体地,结合所述厂商信息和所述识别结果,与工业设备知识信息库进行比对,从工业设备知识信息库中查找出所述厂商信息和所述识别结果对应的设备类型,得到发送网络报文的设备类型。
本实施例通过上述方案,具体通过接收设备发出的流经网络安全产品的网络报文,对所述网络报文进行协议解析,获取介质访问控制信息和特征信息;根据所述介质访问控制信息,识别出所述设备所属厂商信息;将所述特征信息与预设的工业协议或工业应用特征库中的信息进行比对,得到识别结果,所述识别结果是指所述设备使用的工业协议或运行的工业应用;结合所述厂商信息和所述识别结果,识别出发送所述网络报文的设备类型。本方案通过采集并解析原始网络流量数据,将解析结果中的协议特征提取出来并加以储存后,与获取的所述介质访问控制信息、所述特征信息进行比对,识别出所述设备所属厂商信息和使用的工业协议或者运行的工业应用,进而识别出发送所述网络报文的设备类型,实现了准确识别出工业设备类型,将其应用于网络安全产品,增强了网络安全的可视性,且对工业生产网络不产生任何干扰,有助于从业人员快速熟悉、掌握工业生产网络中各设备安全情况,从而保证工业网络的安全与工业生产的稳定。
进一步地,基于上述图2所示的实施例,在本实施例中,上述步骤S140,所述将所述特征信息与预设的工业协议或工业应用特征库中的信息进行比对,得到识别结果的步骤包括:
步骤S1401,将所述特征信息与预设的工业协议或工业应用特征库中的信息进行比对,判断所述特征库中是否存在所述特征信息,若存在所述特征信息,则从所述特征库中查找对应的工业协议或工业应用作为识别结果。
具体地,所述特征信息是对设备发出的报文进行协议解析、获取传输层和应用层数据后,从该数据中提取得到的;假设特征信息共有五点,则将这五点特征信息与预设的工业协议或工业应用特征库中的信息比对,看所述特征库中是否有相同特征信息,如果有这五点特征信息,则从所述特征库中查找出这五点特征所对应的工业协议或者工业应用,即为发送报文的设备使用的工业协议或者使用的工业应用。比如,通过这五点特征信息对比后,发现对应的是S7通信协议。
本实施例通过上述方案,具体通过从获取的传输层和应用层数据中提取出特征信息,之所以提取特征信息是因为不同的工业协议或工业应用具有各自独有的特点,因此只要将这些特点提取出来就能查找并识别出对应的工业协议或工业应用,而有了预设的工业协议或工业应用特征库能大大加快识别出发送报文设备使用的工业协议或者工业应用。比如,通过比对发现,发送报文的设备使用的工业协议是S7通信协议,则可以根据该协议进一步缩小设备类型的识别范围,为后面的设备类型准确识别作准备。
进一步地,基于上述图2所示的实施例,在本实施例中,上述步骤S150,结合所述厂商信息和所述识别结果,识别出发送所述网络报文的设备类型的步骤包括:
步骤S1501,结合所述厂商信息和所述识别结果,与工业设备知识信息库进行比对,从工业设备知识信息库中查找出所述厂商信息和所述识别结果对应的设备类型,得到发送网络报文的设备类型。
具体地,所述厂商信息是指生产该设备的生产厂商,所述识别结果是指上述步骤得出的发送报文的设备所使用的工业协议或者运行的工业应用,所述的发送报文的设备是指工业控制***中的工业生产设备,结合所述厂商信息和所述识别结果,从预先建立好的工业设备知识信息库中查找对应的设备类型。
比如所述厂商信息是西门子,所述识别结果是S7通信协议,则将西门子与S7通信协议结合,从所述的工业设备知识信息库中查找使用S7通信协议的西门子设备类型,进而得到设备是西门子PLC。
本实施例通过上述方案,具体通过将获取到的厂商信息与识别出来的工业协议或者工业应用从所述的工业设备知识信息库中查找,得出设备类型,使得设备类型的呈现方式更加符合工业从业人员的工作描述习惯,有助于工业从业人员快速掌握设备类型的安全情况并及时采取应对措施。
进一步地,参照图3,图3为工业网络设备识别方法第四示例性实施例的流程示意图。本实施例基于上述图2所示的实施例,在本实施例中,上述步骤S120,所述对所述网络报文进行协议解析,获取介质访问控制信息和特征信息的步骤包括:
步骤S1201,通过网络协议对所述网络报文进行协议解析,获取链路层数据、传输层和应用层数据;
具体地,网络协议为计算机网络中进行数据交换而建立的规则、标准或约定的集合。例如,网络中一个微机用户和一个大型主机的操作员进行通信,由于这两个数据终端所用字符集不同,因此操作员所输入的命令彼此不认识。为了能进行通信,规定每个终端都要将各自字符集中的字符先变换为标准字符集的字符后,才进入网络传送,到达目的终端之后,再变换为该终端字符集的字符。当然,对于不相容终端,除了需变换字符集字符外,显示格式、行长、行数、屏幕滚动方式等其他特性也需作相应的变换。网络协议对数据的传输格式、传输速率、传输步骤等做了统一规定,通信双方必须同时遵守才能完成数据交换。比如:传输控制协议/因特网互联协议( Transmission Control Protocol/Internet Protocol,TCP/IP)。
TCP/IP不是一个协议,而是一个协议族的统称,比如S7通信协议是该协议族中的一员。TCP/IP定义了计算机如何连入因特网,以及数据如何在它们之间传输的标准。它的内部包含一系列的用于处理数据通信的协议,并采用了四层的分层模型,每一层都呼叫它的下一层所提供的协议来完成自己的需求。TCP/IP包括数据链路层、网络层、传输层和应用层,每层分别负责不同的通信功能。
因此需要根据网络协议对网络报文进行协议解析,以获取链路层数据、传输层和应用层数据,为从这些数据中提取介质访问控制信息和工业协议或工业应用的特征信息作准备。
步骤S1202,从所述链路层数据中提取得到介质访问控制信息,从所述传输层和应用层数据提取得到工业协议或工业应用的特征信息。
具体地,介质访问控制层是数据链路层的两个子层之一,因此获取链路层数据后,需要从链路层数据中提取出介质访问控制信息。传输层提供了节点间的数据传送,应用程序之间的通信服务,主要功能是数据格式化、数据确认和丢失重传等,如TCP、用户数据报协议(User Datagram Protocol,UDP)等,TCP和UDP给数据包加入传输数据并把它传输到下一层中,这一层负责传送数据,并且确定数据已被送达并接收;应用层是负责应用程序间沟通的层,如简单电子邮件传输协议(Simple Mail Transfer Protocol,SMTP)、文件传输协议(FileTransferProtocol,FTP)等。因此,从获取的传输层和应用层数据中提取出工业协议或者工业应用的特征信息,能为进一步识别设备使用的工业协议或者运行的工业应用做准备。
本实施例通过上述方案,具体通过对被动接收的网络报文根据网络协议进行协议解析,获取链路层数据、传输层和应用层数据,并从获取的不同层数据中分别提取介质访问控制信息、工业协议或者工业应用的特征信息,为接下来的厂商信息识别、工业协议与工业应用的识别作准备,提高了设备识别的效率。
进一步地,参照图4,图4为工业网络设备识别方法第五示例性实施例的流程示意图。本实施例基于上述图2所示的实施例,在本实施例中,上述步骤S110,接收设备发出的流经网络安全产品的网络报文之前,所述工业网络设备识别方法还包括:
步骤S100,基于预设的规则,收集各个工业设备对应的厂商信息、工业协议或工业应用,并将收集结果储存在工业设备知识信息库中。
具体地,由于需要对设备类型进行识别,因此为了提高识别效率,需要预先建立工业设备知识信息库,将各个工业设备所使用的工业协议或运行的工业应用、相应的厂商信息予以收集并整理在工业信息库中,并且对该信息库进行持续更新,使得信息库的信息尽可能全面、准确。
本实施例通过上述方案,具体通过收集各个工业设备对应的生产厂商信息、工业协议或者工业应用,并将所收集到的结果整理到工业设备知识信息库中,比如西门子PLC设备,该设备的生产厂商是西门子,所使用的工业协议是S7通信协议,则将S7通信协议、西门子以及对应的设备类型西门子PLC等信息储存在工业设备信息库中。这样,当接收到设备的厂商信息和所使用的工业协议或者运行的工业应用时,即可查找出该设备类型,如此,有助于工业从业人员更加直观地了解该设备类型及其安全情况,并快速地做出安全应对措施。
进一步地,参照图5,图5为工业网络设备识别方法第六示例性实施例的流程示意图。本实施例基于上述图6所示的实施例,在本实施例中,在上述步骤S100,收集各个工业设备对应的厂商信息、工业协议或工业应用,并将收集结果储存在工业设备知识信息库中之前,所述工业网络设备识别方法还包括:
步骤S60,采集原始网络流量数据;
具体地,网络流量是单位时间内通过网络链路的数据包的总体,是衡量网络负荷和转发性能的基本指标,而采集网络流量数据是对网络IP数据报文的收集。采集网络原始网络流量数据是进行流量分析的基础。
步骤S70,根据所述流量数据,根据网络协议进行协议解析,得到厂商信息协议特征、工业协议或工业应用相应的特征;
具体地,对所述流量数据根据网络协议进行协议解析,获取链路层数据、传输层和应用层数据,并从获得的链路层数据中厂商信息协议特征,从传输层和应用层数据中获取工业协议或者工业应用相应的特征。
步骤S80,将所述厂商信息协议特征储存在厂商介质访问控制信息管理库中;
具体地,将获取的厂商信息协议特征以及其对应的生产厂商信息储存在厂商介质访问控制信息管理库中,以便于后续的厂商信息识别。
步骤S90,将所述工业协议或工业应用相应的特征储存在所述预设的工业协议或工业应用特征库中。
具体地,预设的工业协议或者工业应用特征库主要储存着各种工业协议和工业应用以及它们对应的特征,这些特征是通过抓取原始网络流量数据并加以协议分析获得的。
需要说明的是,上述步骤S60-S90可以不限一定在S100之前实施,比如还可以在步骤S110之前实施。
本实施例通过上述方案,具体通过将收集得到的工业协议或者工业应用的特征进行分析,将分析得到的结果予以整理后储存在预设的工业协议或者工业应用特征库中,作为被动接收的网络报文中的工业协议或者工业应用特征信息的对比对象,以识别出发送报文的设备所使用的工业协议或者运行的工业应用,进而缩小设备类型识别范围,是后续识别设备类型的前提。
此外,参照图6,图6为所述工业网络设备识别装置的整体架构示意图。本发明实施例还提出一种工业网络设备识别装置,所述工业网络设备识别装置包括:
网络报文接收模块,用于接收设备发出的流经网络安全产品的网络报文;
协议解析模块,用于对所述网络报文进行协议解析,获取介质访问控制信息和特征信息;
厂商识别模块,用于根据所述介质访问控制信息,识别出所述设备所属厂商信息;
协议或应用识别模块,用于将所述特征信息与预设的工业协议或工业应用特征库中的信息进行比对,得到识别结果,所述识别结果是指所述设备使用的工业协议或运行的工业应用;
设备类型识别模块,用于结合所述厂商信息和所述识别结果,识别出发送所述网络报文的设备类型。
本实施例实现的工业网络设备识别原理及实施过程,请参照上述各实施例,在此不再赘述。
此外,本发明实施例还提出一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的工业网络设备识别程序,所述工业网络设备识别程序被所述处理器执行时实现所述工业网络设备识别方法的步骤。
由于本工业网络设备识别程序被处理器执行时,采用了前述所有实施例的全部技术方案,因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果,在此不再一一赘述。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有工业网络设备识别程序,所述工业网络设备识别程序被处理器执行时实现如上所述的工业网络设备识别方法的步骤。
由于本工业网络设备识别程序被处理器执行时,采用了前述所有实施例的全部技术方案,因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果,在此不再一一赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者***不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者***所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者***中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,被控终端,或者网络设备等)执行本发明每个实施例的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种工业网络设备识别方法,其特征在于,所述工业网络设备识别方法包括以下步骤:
接收设备发出的流经网络安全产品的网络报文;
对所述网络报文进行协议解析,获取介质访问控制信息和特征信息;
根据所述介质访问控制信息,识别出所述设备所属厂商信息;
将所述特征信息与预设的工业协议或工业应用特征库中的信息进行比对,得到识别结果;
结合所述厂商信息和所述识别结果,识别出发送所述网络报文的设备类型。
2.如权利要求1所述的工业网络设备识别方法,其特征在于,所述将所述特征信息与预设的工业协议或工业应用特征库中的信息进行比对,得到识别结果的步骤包括:
将所述特征信息与预设的工业协议或工业应用特征库中的信息进行比对,判断所述特征库中是否存在所述特征信息,若存在所述特征信息,则从所述特征库中查找对应的工业协议或工业应用作为识别结果。
3.如权利要求1所述的工业网络设备识别方法,其特征在于,所述结合所述厂商信息和所述识别结果,识别出发送所述网络报文的设备类型的步骤包括:
结合所述厂商信息和所述识别结果,与工业设备知识信息库进行比对,从工业设备知识信息库中查找出所述厂商信息和所述识别结果对应的设备类型,得到发送网络报文的设备类型。
4.如权利要求1所述的工业网络设备识别方法,其特征在于,所述对所述网络报文进行协议解析,获取介质访问控制信息和特征信息的步骤包括:
通过网络协议对所述网络报文进行协议解析,获取链路层数据、传输层和应用层数据;
从所述链路层数据中提取得到介质访问控制信息,从所述传输层和应用层数据提取得到工业协议或工业应用的特征信息。
5.如权利要求1所述的工业网络设备识别方法,其特征在于,所述根据所述介质访问控制信息,识别出所述设备所属厂商信息的步骤包括:
将所述介质访问控制信息与厂商介质访问控制信息管理库进行比对,从厂商介质访问控制信息管理库中找出所述介质访问控制信息对应的厂商信息作为所述设备所属厂商信息。
6.如权利要求1所述的工业网络设备识别方法,其特征在于,所述接收设备发出的流经网络安全产品的网络报文的步骤之前还包括:
基于预设的规则,收集各个工业设备对应的厂商信息、工业协议或工业应用,并将收集结果储存在工业设备知识信息库中。
7.根据权利要求6所述的工业网络设备识别方法,其特征在于,所述收集各个工业设备对应的厂商信息、工业协议或工业应用,并将收集结果储存在工业设备知识信息库中的步骤之前还包括:
采集原始网络流量数据;
根据所述流量数据,根据网络协议进行协议解析,得到厂商信息协议特征、工业协议或工业应用相应的特征;
将所述厂商信息协议特征储存在厂商介质访问控制信息管理库中;
将所述工业协议或工业应用相应的特征储存在所述预设的工业协议或工业应用特征库中。
8.一种工业网络设备识别装置,其特征在于,所述工业网络设备识别装置包括:
网络报文接收模块,用于接收设备发出的流经网络安全产品的网络报文;
协议解析模块,用于对所述网络报文进行协议解析,获取介质访问控制信息和特征信息;
厂商识别模块,用于根据所述介质访问控制信息,识别出所述设备所属厂商信息;
协议或应用识别模块,用于将所述特征信息与预设的工业协议或工业应用特征库中的信息进行比对,得到识别结果;
设备类型识别模块,用于结合所述厂商信息和所述识别结果,识别出发送所述网络报文的设备类型。
9.一种终端设备,其特征在于,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的工业网络设备识别程序,所述工业网络设备识别程序被所述处理器执行时实现如权利要求1-7中任一项所述工业网络设备识别方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有工业网络设备识别程序,所述工业网络设备识别程序被所述处理器执行时实现如权利要求1-7中任一项所述工业网络设备识别方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211081829.XA CN115150207B (zh) | 2022-09-06 | 2022-09-06 | 工业网络设备识别方法、装置、终端设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211081829.XA CN115150207B (zh) | 2022-09-06 | 2022-09-06 | 工业网络设备识别方法、装置、终端设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115150207A true CN115150207A (zh) | 2022-10-04 |
| CN115150207B CN115150207B (zh) | 2022-11-29 |
Family
ID=83415552
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211081829.XA Active CN115150207B (zh) | 2022-09-06 | 2022-09-06 | 工业网络设备识别方法、装置、终端设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115150207B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115379029A (zh) * | 2022-10-27 | 2022-11-22 | 北京六方云信息技术有限公司 | 报文识别方法、装置、终端设备以及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040216128A1 (en) * | 2001-07-03 | 2004-10-28 | Elzbieta Cochard Plociennik | Method of controlling exchanges of data between two applications, namely a client-type application and a server-type application respectively |
| CN106487879A (zh) * | 2016-09-20 | 2017-03-08 | 北京知道未来信息技术有限公司 | 一种基于设备指纹库的网络设备识别方法和装置 |
| CN109391700A (zh) * | 2018-12-12 | 2019-02-26 | 北京华清信安科技有限公司 | 基于深度流量感知的物联网安全云平台 |
| CN110336896A (zh) * | 2019-07-17 | 2019-10-15 | 山东中网云安智能科技有限公司 | 一种局域网设备类型识别方法 |
| CN112260861A (zh) * | 2020-10-13 | 2021-01-22 | 上海奇甲信息科技有限公司 | 一种基于流量感知的网络资产拓扑识别方法 |
| CN112532489A (zh) * | 2020-12-01 | 2021-03-19 | 深圳万物安全科技有限公司 | 物联网设备识别方法、***及存储介质 |
| CN113676459A (zh) * | 2021-07-28 | 2021-11-19 | 中国石油化工股份有限公司 | 一种实时的工控被动识别罗克韦尔设备的方法 |
-
2022
- 2022-09-06 CN CN202211081829.XA patent/CN115150207B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040216128A1 (en) * | 2001-07-03 | 2004-10-28 | Elzbieta Cochard Plociennik | Method of controlling exchanges of data between two applications, namely a client-type application and a server-type application respectively |
| CN106487879A (zh) * | 2016-09-20 | 2017-03-08 | 北京知道未来信息技术有限公司 | 一种基于设备指纹库的网络设备识别方法和装置 |
| CN109391700A (zh) * | 2018-12-12 | 2019-02-26 | 北京华清信安科技有限公司 | 基于深度流量感知的物联网安全云平台 |
| CN110336896A (zh) * | 2019-07-17 | 2019-10-15 | 山东中网云安智能科技有限公司 | 一种局域网设备类型识别方法 |
| CN112260861A (zh) * | 2020-10-13 | 2021-01-22 | 上海奇甲信息科技有限公司 | 一种基于流量感知的网络资产拓扑识别方法 |
| CN112532489A (zh) * | 2020-12-01 | 2021-03-19 | 深圳万物安全科技有限公司 | 物联网设备识别方法、***及存储介质 |
| CN113676459A (zh) * | 2021-07-28 | 2021-11-19 | 中国石油化工股份有限公司 | 一种实时的工控被动识别罗克韦尔设备的方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115379029A (zh) * | 2022-10-27 | 2022-11-22 | 北京六方云信息技术有限公司 | 报文识别方法、装置、终端设备以及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115150207B (zh) | 2022-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20170244792A1 (en) | Power-Line Carrier Terminal Control Apparatus, System, and Method | |
| Kulik et al. | The heterogeneous gateways in the industrial internet of things | |
| CN111083161A (zh) | 数据传输的处理方法及装置、物联网设备 | |
| CN112751733B (zh) | 一种链路检测方法、装置、设备、***及交换机 | |
| CN112769598B (zh) | 一种网络通信***及其通信实现方法 | |
| US20220303198A1 (en) | Method and apparatus for detecting anomaly of traffic of internet of things device based on automata | |
| CN115150207B (zh) | 工业网络设备识别方法、装置、终端设备及存储介质 | |
| EP3226518A1 (en) | Content delivery across heterogeneous networks | |
| CN110912944A (zh) | 一种can设备安全测试***及测试方法 | |
| EP3226516A1 (en) | Unified data networking across heterogeneous networks | |
| CN107241307B (zh) | 一种基于报文内容的自学习的网络隔离安全装置和方法 | |
| CN114338287A (zh) | 一种基于主动标识的工业边缘网关数据管理方法 | |
| KR102094041B1 (ko) | IoT 단말 간 실시간으로 자율적인 상호작용을 위한 RDF 그래프 기반의 Semantic 엔진을 구비한 시스템 | |
| CN113904950B (zh) | 基于流的网络监测方法、装置、计算机设备及存储介质 | |
| CN109474540B (zh) | 一种识别opc流量的方法及装置 | |
| CN112486706B (zh) | 一种基于mqtt消息驱动机制的物联网本地设备联动方法 | |
| EP2472785B1 (en) | Service linkage control system and method | |
| CN116232777B (zh) | SDN-IIOT中基于统计度量的DDoS攻击检测与防御方法及相关设备 | |
| Francia III et al. | Towards an in-depth understanding of deep packet inspection using a suite of industrial control systems protocol packets | |
| CN115226100A (zh) | 一种基于5g的工业异构网络边缘网关 | |
| CN110493829A (zh) | 一种基于无线链路状态的web界面请求自适应反馈方法 | |
| CN113163025B (zh) | 一种数据传输方法、装置、设备及存储介质 | |
| CN114615170B (zh) | 报文处理方法、设备及计算机存储介质 | |
| CN111934929B (zh) | 一种路由器设置方法及路由器 | |
| CN110011820B (zh) | 一种***间的连接方法、设备及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |