CN115442276A - 一种被动获取工控设备日志的方法 - Google Patents
一种被动获取工控设备日志的方法 Download PDFInfo
- Publication number
- CN115442276A CN115442276A CN202211014604.2A CN202211014604A CN115442276A CN 115442276 A CN115442276 A CN 115442276A CN 202211014604 A CN202211014604 A CN 202211014604A CN 115442276 A CN115442276 A CN 115442276A
- Authority
- CN
- China
- Prior art keywords
- protocol
- data
- flow
- industrial control
- tool
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 238000012216 screening Methods 0.000 claims abstract description 6
- 239000000284 extract Substances 0.000 claims description 12
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000001914 filtration Methods 0.000 claims 1
- 238000004458 analytical method Methods 0.000 abstract description 5
- 238000001514 detection method Methods 0.000 abstract description 4
- 238000012423 maintenance Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000012106 screening analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种被动获取工控设备日志的方法,包括以下步骤:S1连入交换机并配置镜像端口;S2抓取流量包,工具会抓取所有通过中央交换机的网络流量数据,并进行后续分析;S3识别流量包协议并筛选;S4提取有效内容;S5录入数据库,将识别到的内容及产生此数据的时间一起保存进数据库;S6生成日志,调取数据库中的内容,按照日志的格式输出给使用者。本发明优化改进了传统检测方式,被动抓取流量数据的同时,能识别、分类各种网络中的信息,将操作指令,设备访问等记录进日志,并以方便阅读的方式展现给使用者。
Description
技术领域
本发明涉及互联网运营维护安全技术领域,具体为一种被动获取工控设备日志的方法。
背景技术
对广大IT工作者,尤其是运维和安全人员来说,“日志”是一个再熟悉不过的名词。机房中的各种软件(***、防火墙)和硬件(交换机、路由器等),都在不断地生成日志。IT安全业界的无数实践告诉我们,健全的日志记录和分析***,是***正常运营、优化以及安全事故响应的基础,虽然安全***厂商提供了繁多的安全解决方案,但基石仍是具有充足性、可用性、安全性的日志记录***。作为一名互联网运营维护的安全人员,了解日志的概念,了解日志的配置和分析方法,是发现威胁、抵御攻击的重要技能,有了这方面的深刻认识,各种自动化安全解决方案才能真正地发挥效能。
然而在工控***中,查看工控网络控制层设备(如PLC、DTU)的日志难度较大。此类设备人机交互所设的功能有限,很难直接在设备上查看日志信息。在PLC、DTU的上位机软件中,记录下的日志又只针对于设备的运作情况,并不会将网络及安全情况录入日志。再加上设备数量巨大,对于工控网络的运维人员来说,发现、排查工控***中的网络问题越到底层就越难。
目前在工控网络中,控制层的日志可由运维人员手动分析查看。在相对应的上位机软件中,日志可查看部分网络信息记录。其他网络信息需通过网络检测工具获取,如Wireshark可抓取产生的网络流量包。运维人员再对流量包进行筛选分析,获取关键的网络信息。
但手动获取日志存在一定的缺陷,首先信息不全面,上位机软件提供的日志只会记录本软件对控制层设备发出的指令等信息,其他网络信息例如其他设备对上位机或控制层设备的访问,就无法获得。
其次,信息繁杂,用其他工具(如Wireshark)抓取所有控制层产生的网络流量包,其中包含许多无效信息,运维人员需人工筛选后,识别流量包中的内容才能获得日志信息。
除此之外还有信息识别困难的问题,在网络中产生的流量数据是按照特定的工控协议相互传输,各厂商的协议并不统一,如人工识别难度较大。设备数量众多的情况下,产生的数据量同样巨大,识别起来更加困难。
发明内容
为克服现有技术中存在的问题,本发明目的在于提供一种被动获取工控设备日志的方法,将探测设备架设在底层设备与上位机的网络之间,将其中产生的流量数据进行识别并记录下所需的数据,这些数据最终形成日志保存下来,以供需要时查看。本发明优化改进了传统检测方式,被动抓取流量数据的同时,能识别、分类各种网络中的信息,将操作指令,设备访问等记录进日志。
为实现上述目的,本发明提供了如下技术方案:一种被动获取工控设备日志的方法,包括以下步骤:
S1:连入交换机并配置镜像端口,产生网络流量;
S2:抓取流量包,抓取所有通过中央交换机的网络流量数据;
S3:识别流量包协议并筛选;
S4:提取有效内容,剔除不相关的流量包;
S5:录入数据库,将识别到的有效内容及产生此数据的时间一起保存进数据库;
S6:生成日志。
本发明进一步设置为:所述的步骤S1具体为,将搭载了工具的设备连入控制层网络中的中央交换机,并设置交换机,将连入工具的接口配置成镜像端口,让工具可抓取中央交换机产生的流量数据。
本发明进一步设置为:所述的步骤S3识别流量包协议并筛选包括:
S31:根据流量包的头部数据判断识别协议,若与控制层设备相关,首先保留工控协议,其次保留常见网络协议如TCP、ICMP、UDP,并进入下一步骤;
S32:根据流量包的头部数据判断识别协议,若判断流量包协议与控制层设备无关,则删除该流量包。
本发明进一步设置为:所述的头部数据包括IP包中的版本、服务类型以及TCP/UDP包中的源端口、目的端口。
本发明进一步设置为:步骤S3中所述的流量包为在工控网络控制层中产生的所有流量包。
本发明进一步设置为:所述的步骤S4提取有效内容的方法为通过匹配协议的数据格式自动提取工控网络中协议的传输内容。所述的工具会识别并提取流量包中的有效内容,通过匹配各类协议中的数据格式,将有效数据内容从流量包中剥离出来,剔除内容不相关的流量包头等信息。
本发明进一步设置为:所述的流量包有效内容包括工控协议的操作指令,TCP协议的连接请求,ICMP协议的双方连接。
本发明进一步设置为:所述的步骤S4中,如出现所述的工具不支持的协议,使其无法通过匹配协议的数据格式自动提取工控网络中协议的传输内容,工具会提取流量包中的原始数据,输出后进行人工识别。
本发明进一步设置为:步骤S6所述的生成日志的方法为调取数据库中的内容,并按照日志的格式输出给使用者。
在工作过程中,由运维人员提供设置交换机的工具,以及交换机的权限认证,按以下步骤进行操作:
S1:连入交换机并配置镜像端口,将搭载了工具的设备连入控制层网络中的中央交换机,并设置交换机,将连入工具的接口配置成镜像端口,让工具可抓取中央交换机产生的流量数据。
S2:抓取流量包,工具会抓取所有通过中央交换机的网络流量数据,并进行后续分析。
S3:进行识别流量包协议并筛选,由于部分流量包属于无用消息,工具需先根据协议筛除此类数据。根据流量包的头部数据(包括IP包中的版本、服务类型等,TCP/UDP包中的源端口、目的端口等),判断识别协议。首先保留工控协议。其次保留常见网络协议如TCP、ICMP、UDP。若判断流量包协议与控制层设备无关,则删除该流量包。
S4:提取有效内容,获取到流量包的数据后,多数无法直接辨认。工具会识别并提取流量包中的有效内容,通过匹配各类协议中的数据格式,将数据内容从流量包中剥离出来,剔除内容不相关的流量包头等信息。流量包内容如工控协议的操作指令,TCP协议的连接请求,ICMP协议的双方连接。如出现工具不支持的协议,工具会提取流量包中的原始数据,输出后进行人工识别。
S5:录入数据库,将识别到的内容及产生此数据的时间一起保存进数据库。
S6:生成日志,调取数据库中的内容,按照日志的格式输出给使用者。
综上,本发明的上述技术方案的有益效果如下:
1、本发明中,优化改进了传统检测方式,被动抓取流量数据的同时,能识别、分类各种网络中的信息,将操作指令,设备访问等记录进日志,并以方便阅读的方式展现给使用者。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明方法总体流程图。
具体实施方式
为了使本领域的人员更好地理解本发明的技术方案,下面结合本发明的附图,对本发明的技术方案进行清楚、完整的描述,基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的其它类同实施例,都应当属于本申请保护的范围。此外,以下实施例中提到的方向词,例如“上”“下”“左”“右”等仅是参考附图的方向,因此,使用的方向用词是用来说明而非限制本发明创造。
如图1所示,结合本发明的工作流程示意图对本发明做进一步说明:
S1:连入交换机并配置镜像端口。将搭载了工具的设备连入控制层网络中的中央交换机,并设置交换机,将连入工具的接口配置成镜像端口,让工具可访问中央交换机产生的网络流量。
S2:抓取流量包。工具会抓取所有通过中央交换机的网络流量数据,并进行后续分析。
S3:进行识别流量包协议并筛选,由于部分流量包属于无用消息,工具需先根据协议筛除此类数据。
S31:根据流量包的头部数据,判断识别协议。若与控制层设备相关,首先保留工控协议,其次保留常见网络协议如TCP、ICMP、UDP,并进入下一步骤。所述的头部数据包括IP包中的版本、服务类型等,TCP/UDP包中的源端口、目的端口等。
S32:若判断流量包协议与控制层设备无关,则删除该流量包。
S4:提取有效内容。由于获取到流量包的数据后,多数无法直接辨认,工具会识别并提取流量包中的有效内容,通过匹配各类协议中的数据格式,将数据内容从流量包中剥离出来,剔除内容不相关的流量包头等信息。流量包内容如工控协议的操作指令,TCP协议的连接请求,ICMP协议的双方连接。如出现工具不支持的协议,工具会提取流量包中的原始数据,输出后进行人工识别。
S5:录入数据库,将识别到的内容及产生此数据的时间一起保存进数据库。
S6:生成日志,调取数据库中的内容,按照日志的格式输出给使用者。
最后应当说明的是,以上内容仅用以说明本发明的技术方案,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (9)
1.一种被动获取工控设备日志的方法,其特征在于,包括以下步骤:
S1:连入交换机并配置镜像端口,产生网络流量;
S2:抓取流量包,抓取所有通过中央交换机的网络流量数据;
S3:识别流量包协议并筛选;
S4:提取有效内容,剔除不相关的流量包;
S5:录入数据库,将识别到的有效内容及产生此数据的时间一起保存进数据库;
S6:生成日志。
2.根据权利要求1所述的一种被动获取工控设备日志的方法,其特征在于,所述的步骤S1具体为,将搭载了工具的设备连入控制层网络中的中央交换机,并设置交换机,将连入工具的接口配置成镜像端口,让工具可抓取中央交换机产生的流量数据。
3.根据权利要求1所述的一种被动获取工控设备日志的方法,其特征在于,所述的步骤S3识别流量包协议并筛选包括:
S31:根据流量包的头部数据判断识别协议,若与控制层设备相关,首先保留工控协议,其次保留常见网络协议如TCP、ICMP、UDP,并进入下一步骤;
S32:根据流量包的头部数据判断识别协议,若判断流量包协议与控制层设备无关,则删除该流量包。
4.根据权利要求3所述的一种被动获取工控设备日志的方法,其特征在于,所述的头部数据包括IP包中的版本、服务类型以及TCP/UDP包中的源端口、目的端口。
5.根据权利要求3所述的一种被动获取工控设备日志的方法,其特征在于,步骤S3中所述的流量包为在工控网络控制层中产生的所有流量包。
6.根据权利要求1所述的一种被动获取工控设备日志的方法,其特征在于,所述的步骤S4提取有效内容的方法为通过匹配协议的数据格式自动提取工控网络中协议的传输内容;所述的工具会识别并提取流量包中的有效内容,通过匹配各类协议中的数据格式,将有效数据内容从流量包中剥离出来,剔除内容不相关的流量包。
7.根据权利要6求所述的一种被动获取工控设备日志的方法,其特征在于,所述的流量包有效内容包括工控协议的操作指令,TCP协议的连接请求,ICMP协议的双方连接。
8.根据权利要求6所述的一种被动获取工控设备日志的方法,其特征在于,所述的步骤S4中,如出现所述的工具不支持的协议,使其无法通过匹配协议的数据格式自动提取工控网络中协议的传输内容,工具会提取流量包中的原始数据,输出后进行人工识别。
9.根据权利要求1所述的一种被动获取工控设备日志的方法,其特征在于,步骤S6所述的生成日志的方法为调取数据库中的内容,并按照日志的格式输出给使用者。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211014604.2A CN115442276B (zh) | 2022-08-23 | 2022-08-23 | 一种被动获取工控设备日志的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211014604.2A CN115442276B (zh) | 2022-08-23 | 2022-08-23 | 一种被动获取工控设备日志的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115442276A true CN115442276A (zh) | 2022-12-06 |
CN115442276B CN115442276B (zh) | 2024-06-28 |
Family
ID=84243779
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211014604.2A Active CN115442276B (zh) | 2022-08-23 | 2022-08-23 | 一种被动获取工控设备日志的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115442276B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102857369A (zh) * | 2012-08-07 | 2013-01-02 | 北京鼎震科技有限责任公司 | 一种网站日志保存***及方法和装置 |
US20160006740A1 (en) * | 2014-07-03 | 2016-01-07 | Electronics And Telecommunications Research Institute | Method and system for extracting access control list |
WO2020119481A1 (zh) * | 2018-12-11 | 2020-06-18 | 深圳先进技术研究院 | 一种基于深度学习的网络流量分类方法、***及电子设备 |
CN114205126A (zh) * | 2021-11-25 | 2022-03-18 | 北京国泰网信科技有限公司 | 一种工业***中攻击检测的方法、设备及介质 |
CN114640548A (zh) * | 2022-05-18 | 2022-06-17 | 宁波市镇海区大数据投资发展有限公司 | 一种基于大数据的网络安全感知和预警的方法及*** |
CN114710416A (zh) * | 2022-02-23 | 2022-07-05 | 沈阳化工大学 | 一种基于工艺流程并网络流量的实时数据采集方法 |
-
2022
- 2022-08-23 CN CN202211014604.2A patent/CN115442276B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102857369A (zh) * | 2012-08-07 | 2013-01-02 | 北京鼎震科技有限责任公司 | 一种网站日志保存***及方法和装置 |
US20160006740A1 (en) * | 2014-07-03 | 2016-01-07 | Electronics And Telecommunications Research Institute | Method and system for extracting access control list |
WO2020119481A1 (zh) * | 2018-12-11 | 2020-06-18 | 深圳先进技术研究院 | 一种基于深度学习的网络流量分类方法、***及电子设备 |
CN114205126A (zh) * | 2021-11-25 | 2022-03-18 | 北京国泰网信科技有限公司 | 一种工业***中攻击检测的方法、设备及介质 |
CN114710416A (zh) * | 2022-02-23 | 2022-07-05 | 沈阳化工大学 | 一种基于工艺流程并网络流量的实时数据采集方法 |
CN114640548A (zh) * | 2022-05-18 | 2022-06-17 | 宁波市镇海区大数据投资发展有限公司 | 一种基于大数据的网络安全感知和预警的方法及*** |
Also Published As
Publication number | Publication date |
---|---|
CN115442276B (zh) | 2024-06-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109600317B (zh) | 一种自动识别流量并提取应用规则的方法及装置 | |
CN110401624A (zh) | 源网荷***交互报文异常的检测方法及*** | |
CN113794605B (zh) | 一种基于eBPF的内核丢包检测方法、***和装置 | |
CN110958231A (zh) | 基于互联网的工控安全事件监测平台及其方法 | |
CN112235161A (zh) | 一种基于fsm的摄像头网络协议模糊测试方法 | |
CN111654486A (zh) | 一种服务器设备判定识别方法 | |
CN111818077A (zh) | 一种基于sdn技术的工控混合蜜罐*** | |
CN103873285A (zh) | 信息网络统一管理平台 | |
CN114611576A (zh) | 电网中终端设备的精准识别技术 | |
CN108712369A (zh) | 一种工业控制网多属性约束访问控制决策***和方法 | |
WO2020132949A1 (zh) | 用于工业控制***的监测方法、装置、***和计算机可读介质 | |
CN111931182B (zh) | 一种自动化安全漏洞扫描***和方法 | |
CN111698168B (zh) | 消息处理方法、装置、存储介质及处理器 | |
CN112688916A (zh) | 远程自动化抓包的实现方法、装置及*** | |
CN115442276A (zh) | 一种被动获取工控设备日志的方法 | |
CN114553546B (zh) | 基于网络应用的报文抓取的方法和装置 | |
CN114338244B (zh) | 设备网络行为分类记录方法、装置及回溯举证方法、装置 | |
Malek et al. | A Study of Packet Sniffing as an Imperative Security Solution in Cybersecurity | |
JP3648520B2 (ja) | ネットワーク通信の監視・制御方法及びこれを利用した監視・制御装置並びにネットワーク通信の監視・制御プログラムを記録したコンピュータ読み取り可能な記録媒体 | |
CN109379356A (zh) | 自动捕获cpu攻击报文的方法及装置 | |
CN114579961A (zh) | 基于多行业检测规则的敏感数据识别方法及相关装置 | |
KR102318686B1 (ko) | 개선된 네트워크 보안 방법 | |
CN2819663Y (zh) | 内网ip地址发现与阻断*** | |
CN114244727A (zh) | 一种电力物联网通信全景图即时生成方法及*** | |
KR20060079782A (ko) | 아이피버젼포와 아이피버젼식스 혼재 망에서의 상호 운용성향상을 위한 보안 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |