CN109802953B - 一种工控资产的识别方法及装置 - Google Patents
一种工控资产的识别方法及装置 Download PDFInfo
- Publication number
- CN109802953B CN109802953B CN201811633512.6A CN201811633512A CN109802953B CN 109802953 B CN109802953 B CN 109802953B CN 201811633512 A CN201811633512 A CN 201811633512A CN 109802953 B CN109802953 B CN 109802953B
- Authority
- CN
- China
- Prior art keywords
- asset
- information
- industrial control
- network traffic
- level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000004891 communication Methods 0.000 claims description 92
- 238000004590 computer program Methods 0.000 claims description 12
- 238000012795 verification Methods 0.000 claims description 8
- 238000001514 detection method Methods 0.000 claims description 6
- 238000000605 extraction Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种工控资产的识别方法及装置,其中所述方法包括:获取工控网络中的网络流量;检测所述网络流量中是否包含有与预先设置的资产签名库中的预设资产签名信息相匹配的工控资产信息;当检测到所述网络流量中包含有与所述资产签名库中的预设资产签名信息相匹配的工控资产信息时,将与所述工控资产信息相匹配的预设资产签名信息确定为所述工控网络中资产的第一识别结果。本发明实施例提高了工控资产识别的效率和准确率。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种工控资产的识别方法及装置。
背景技术
随着对工控网络的安全性的重视程度的提高,越来越多的企业开始对工控网络进行安全评估。其中,对工控网络进行安全评估的首要工作是对工控网络中的资产进行有效的梳理,明确工控网络中的资产情况。但是工控网络与传统的IT网络相比,工控网络的资产型号众多,通信连接复杂,且网络本身不能受外界干扰,这导致明确工控网络中的资产信息的难度较高。
目前,在对工控网络中的资产进行识别时,通常会向目标网络发送一定数量的网络数据包,探测存活主机的主机指纹信息及web指纹信息,并且通过配置不同资产的规则判定所探测主机是否资产,但这种方式会导致网络数据包对目标网络产生一定影响,进而影响工控网络的安全性,并且不能够有效准确地获取工控网络中的工控资产信息。
综上所述,现有技术中在对工控网络中的工控资产进行识别时存在效率和准确率较低的问题。
发明内容
本发明实施例提供一种工控资产的识别方法及装置,以解决现有技术中在对工控网络中的工控资产进行识别时存在的效率和准确率较低的问题。
为了解决上述技术问题,第一方面,本发明实施例提供一种工控资产的识别方法,所述方法包括:
获取工控网络中的网络流量;
检测所述网络流量中是否包含有与预先设置的资产签名库中的预设资产签名信息相匹配的工控资产信息;
当检测到所述网络流量中包含有与所述资产签名库中的预设资产签名信息相匹配的工控资产信息时,将与所述工控资产信息相匹配的预设资产签名信息确定为所述工控网络中资产的第一识别结果。
第二方面,本发明实施例提供一种工控资产的识别装置,所述装置包括:
第一获取模块,用于获取工控网络中的网络流量;
检测模块,用于检测所述网络流量中是否包含有与预先设置的资产签名库中的预设资产签名信息相匹配的工控资产信息;
第一确定模块,用于当检测到所述网络流量中包含有与所述资产签名库中的预设资产签名信息相匹配的工控资产信息时,将与所述工控资产信息相匹配的预设资产签名信息确定为所述工控网络中资产的第一识别结果。
第三方面,本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现所述的资产的识别方法的步骤。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现所述的资产的识别方法的步骤。
本发明实施例提供的资产的识别方法及装置,通过获取工控网络中的网络流量,并检测网络流量中是否包含有与预先设置的资产签名库中的预设资产签名信息相匹配的工控资产信息,并当检测到网络流量中包含有与资产签名库中的预设资产签名信息相匹配的工控信息时,将与工控资产信息相匹配的预设资产签名信息确定为工控网络中资产的第一识别结果,实现了通过被动监听工控网络中的网络流量实现对资产的识别,进而实现了在不影响工控网络的前提下识别工控资产,避免了在对工控网络主动探测扫描时造成的对工控网络的影响;此外,通过预先设置的资产签名库进行资产识别,避免了在对工控网络协议进行逆向识别后再进行资产识别时的低效性,提高了资产识别的效率和准确率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1表示本发明实施例中工控资产的识别方法的步骤流程图;
图2表示本发明实施例中资产识别的装置的模块框图;
图3表示本发明实施例中电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,为本发明实施例中工控资产的识别方法的步骤流程图,该方法包括如下步骤:
步骤101:获取工控网络中的网络流量。
在本步骤中,具体的,在获取工控网络中的网络流量时,可以持续地被动接收交换机镜像口的网络流量。
具体的,工控网络中设备与上位机等均与交互机连接,此时可以通过接收交互机镜像口的网络流量的方式,来获取工控网络中所有工控协议通信接口的网络流量。当然,基于非工控协议通信接口的网络流量,例如IT网络流量的接口数据不能够用于识别工控资产,则可以不获取此类网络流量。
这样通过被动的获取工控网络中的网络流量,使得不会对工控网络产生干扰和影响,保证了工控网络的安全性。
步骤102:检测网络流量中是否包含有与预先设置的资产签名库中的预设资产签名信息相匹配的工控资产信息。
在本步骤中,具体的,预设资产签名信息包括具有预设对应关系的资产信息和通信信息;其中,所述资产信息包括资产的供应商信息以及资产的型号和/或系列号信息;所述通信信息包括通信协议、通信端口和/或资产签名在数据帧中的位置信息。
此外,具体的,在获取到工控网络中的网络流量之后,可以检测网络流量中是否包含有与预先设置的资产签名库中的预设资产签名信息相匹配的工控资产信息。
其中,本实施例中预先设置有资产签名库,且资产签名库中记录有预设资产签名信息,此时可以将网络流量中的信息与资产签名库中的预设资产签名信息进行比较,来检测网络流量中是否包含有与资产签名库中的预设资产签名信息相匹配的工控资产信息,即检测网络流量中是否包含有与资产签名库中的预设资产签名信息相同的工控资产信息,从而来对工控网络中的资产进行识别。
这样,基于工控网络中协议较多,且多为私有协议的特性,通过检测网络流量中是否包含有与预先设置的资产签名库中的预设资产签名信息相匹配的工控资产信息对资产进行识别,避免了在对私有协议进行逆向识别后再进行资产识别导致的识别效率低且准确率较低的问题,提高了资产识别的效率和准确率。
步骤103:当检测到网络流量中包含有与资产签名库中的预设资产签名信息相匹配的工控资产信息时,将与工控资产信息相匹配的预设资产签名信息确定为工控网络中资产的第一识别结果。
在本步骤中,具体的,当检测到网络流量中包含有与资产签名库中的预设资产签名信息相匹配的工控资产信息时,可以将与工控资产信息相匹配的预设资产签名信息确定为工控网络中资产的第一识别结果,从而实现工控网络中资产的识别。
这样,通过被动地监听工控网络中的网络流量,并基于预先设置的资产签名库中的预设资产签名信息进行资产识别,避免了通过主动探测工控网络中的网络流量进行资产识别时导致的对工控网络造成干扰的问题,并且避免了在通过对网络流量中的私有协议逐一逆向破解后再根据特定字段进行资产识别时导致的识别效率和准确率低的问题,实现了以较低的成本快速识别多种型号的工控资产,实现了在不对工控网络造成干扰的同时,提高资产识别的效率和准确率。
在本发明实施例中,进一步地,在检测网络流量中是否包含有与预先设置的资产签名库中的预设资产签名信息相匹配的工控资产信息之前,还可以从所述网络流量中提取源媒体访问控制(简称MAC)地址和目的MAC地址;然后根据预先设置的MAC地址库中MAC地址与资产的供应商信息之间的预设对应关系,获取源MAC地址所对应的资产的供应商信息以及目的MAC地址所对应的资产的供应商信息;最后将所述源MAC地址所对应的资产的供应商信息以及目的MAC地址所对应的资产的供应商信息确定为所述工控网络中资产的第二识别结果。
具体的,本实施例中预先设置有MAC地址库,且MAC地址库中记录有MAC地址与资产的供应商信息之间的预设对应关系,基于每个资产,即每个设备的MAC地址的差异性,这使得能够根据网络流量中的MAC地址以及MAC地址库,查询到工控网络中MAC地址所对应的资产的供应商信息,并将MAC地址所对应的资产的供应商信息确定为资产的第二识别结果,实现了对工控网络中资产的供应商信息的识别。
此外,其中,在将与所述工控资产信息相匹配的预设资产签名信息确定为所述工控网络中资产的第一识别结果之后,还可以根据第二识别结果对所述第一识别结果进行验证;其中,当所述第二识别结果中存在与所述第一识别结果中资产的供应商信息相同的信息时,对所述第一识别结果的验证成功。
当然,具体的,当所述第二识别结果中存在与所述第一识别结果中资产的供应商信息相同的信息时,还可以认为第一识别结果具有高的置信度。
具体的,第一识别结果中包括有资产的供应商信息,此时可以将第一识别结果中所包括的供应商信息和第二识别结果中所包括的源MAC地址所对应的资产的供应商信息和目的MAC地址所对应的资产的供应商信息进行比较,此时若第二识别结果中存在与第一识别结果中的供应商信息相同的供应商信息,则说明对资产的识别结果的进一步验证成功,保证了所得到的资产的第一识别结果的准确性。
当然,在此需要说明的是,本实施例可以将资产的MAC地址添加至资产的第一识别结果中,以能够为资产的通信状态的识别提供便利。
此外,在本发明实施例中,预设资产签名信息包括具有预设对应关系的资产信息和通信信息;其中,所述资产信息包括资产的供应商信息以及资产的型号和/或系列号信息;所述通信信息包括通信协议、通信端口和/或资产签名在数据帧中的位置信息。
具体的,资产签名库中的预设资产签名信息用于描述特定约束条件下的资产信息,即用于描述资产信息和通信信息之间的预设对应关系。其中约束条件即通信信息可以包括通信协议、通信端口、资产签名在数据帧中的位置等,通信协议可以包括以太网(ethernet)、传输控制协议(简称TCP)和用户数据报协议(简称UDP)等,资产签名可以包括资产型号或者订货号等;此外,资产信息可以包括资产的供应商信息以及资产的型号或者系列号信息。
当然,在此需要说明的是,在资产信息中,资产型号的识别结果等级大于资产系列号的识别结果等级,资产系列号的识别结果等级大于资产的供应商信息的识别结果等级。
下面通过下述表格对预设资产签名信息进行说明。
如下表所示,资产签名库中预设资产签名信息的其中一种示例如下:
在上述表格中,第一条记录表示,当TCP协议的102端口出现包括资产签名“6ES7314-6EH04-0AB0”的数据帧时,则存在供应商“西门子”的型号为“CPU314C-2PN/DP”的设备在与其他设备进行通信;此外,第二条记录表示,当UDP协议的65534端口通信,且UDP应用层的数据从第0字节开始为资产签名“Suny”时,则存在供应商“中自”的型号为“SunyPCC800”的设备在与其他设备进行通信。即在预设资产签名信息中记录有资产信息和通信信息的对应关系。
这样,通过在资产签名库中记录的预设资产签名信息中记录具有预设对应关系的资产信息和通信信息,使得能够通过预设资产签名信息同时获取资产的资产信息和通信情况,进而使得在对工控网络中的资产进行识别时,能够同时识别得到资产的资产信息和通信信息,进而为建立工控网络的通信拓扑模型提供了保障。
此外,其中,结合预设资产签名信息包括的具有预设对应关系的资产信息和通信信息,在当检测到所述网络流量中包含有与所述资产签名库中的预设资产签名信息相匹配的工控资产信息时,将与所述工控资产信息相匹配的预设资产签名信息确定为所述工控网络中资产的第一识别结果时,可以当检测到所述网络流量中包含有所述资产签名库中具有预设对应关系的资产信息和通信信息时,将所述具有预设对应关系的资产信息和通信信息确定为所述工控网络中资产的第一识别结果。
这样,通过在检测到网络流量中包含有资产签名库中具有预设对应关系的资产信息和通信信息时,将具有预设对应关系的资产信息和通信信息确定为工控网络中资产的第一识别结果,使得能够从工控网络中所有的第一识别结果中能够获知工控网络中各资产之间的通信状态,从而获得工控网络中所有资产的工控资产信息,即获得工控网络中各个节点的资产属性和各节点之间的通信拓扑,进而为用户对工控网络具有更清晰的认知提供了便利。
此外,在本发明实施例中,具体的,在将与所述工控资产信息相匹配的预设资产签名信息确定为所述工控网络中资产的第一识别结果之后,还可以基于所述工控网络中资产的第一识别结果,得到所述工控网络中资产的通信拓扑模型。
具体的,在获得工控网络中资产的第一识别结果之后,可以基于工控网络中各资产的第一识别结果,进一步获得工控网络的通信拓扑模型。其中,通信拓扑模型中可以包括如下字段:源MAC地址、目的MAC地址、源IP地址、目的IP地址、目的端口和协议(protocol),其中源MAC地址和目的MAC地址是工控资产的主键;此外,当网络流量完全基于二层协议时,源IP地址、目的IP地址和目的端口均可以忽略。这样,通过各资产的第一识别结果建立工控网络的通信拓扑模型,增加了通信拓扑模型的直观性,为用户分析工控网络提供了便利。
当然,在此需要说明的是,随着持续获得的网络流量,能够使得所识别到的工控网络中的资产信息越来越清晰,从而能够使得资产的网络拓扑模型越来越清晰。
其中,下面对通过工控网络中资产的第一识别结果,得到工控网络中资产的通信拓扑模型进行说明。
例如,通过对网络流量分析,得到工控网络中共有四个工控节点进行通信,工控节点的资产列表如下:
通过对网络流量做进一步分析,得到的拓扑模型为,存在一台vmware虚拟机,作为TCP客户端与西门子CPU 314C-2PN/DP设备的TCP 102端口进行S7COMM通信;同时,该vmware虚拟机作为TCP客户端与施耐德140CPU651 50设备的TCP 502端口进行Modbus通信;此外,该vmware虚拟机与第二台vmware虚拟机存在PAC DA通信,且第二台vmware虚拟机与西门子和施耐德之间没有任何通信流量。当然,在此需要说明的是,工控网络中存在的服务器报文块协议(简称SMB)、地址解析协议(简称ARP)和Internet控制报文协议(简称ICMP)等流量信息,由于与资产识别无关,因此不体现在最终的网络拓扑模型中。
另外,在本发明实施例中,在获取工控网络中的网络流量之后,还可以根据所述网络流量中的信息,确定所述网络流量所对应的资产识别能力等级;然后根据所述资产识别能力等级,更新所述资产签名库。
具体的,本实施例通过确定网络流量所对应的资产识别能力等级,实现了对网络流量资产识别的能力进行了定性的理论说明,并为持续性提高资产签名库自身的识别能力提供了基础。
下面对根据所述网络流量中的信息,确定网络流量所对应的资产识别能力等级进行说明。
其一,当所述网络流量中不包括工控协议时,确定所述网络流量所对应的资产识别能力等级为第一等级。
具体的,当网络流量中仅包括不在资产识别范围内的协议时,例如包括SMB、ARP和ICMP等时,将网络流量所对应的资产识别能力确定为第一等级。其中,第一等级为资产识别能力最低的等级,此时可以直接将该等级的网络流量忽略,即不对该等级的网络流量进行任何处理。
其二,当所述网络流量中包括未记录于所述资产签名库中的新增资产信息和/或新增通信信息时,确定所述网络流量所对应的资产识别等级为第二等级。
具体的,当网络流量中包括未记录于资产签名库中的新增资产信息和/或新增通信信息时,可以进行日志记录并对流量进行留存,用于提高资产签名库的多样性。
此时,在根据所述资产识别能力等级,更新所述资产签名库时,当所述网络流量所对应的资产识别等级为第二等级时,对所述新增资产信息和/或新增通信信息进行分析,得到所述新增资产信息和/或新增通信信息相对应的新增资产签名信息,并将所述新增资产签名信息添加至所述资产签名库中。
具体的,对所述新增资产信息和/或新增通信信息进行分析时,可以先确定第二等级的网络流量中的资产的供应商信息,并通过供应商或工业编程/组态软件,调研得到该供应商的设备型号,然后调研该设备型号在网络流量中的存储形式,例如资产签名的表现形式为hex还是ascii、是否存在通信信息(例如tcp、udp、ethernet、端口和范围等),从而提取得到资产的指纹特征(资产签名信息),并将提取的指纹特征进行测试,并在测试通过后将指纹特征添加到资产签名库中。这样,通过对资产签名库进行升级,提升了通过资产签名库识别资产的能力。
其三,当所述网络流量中包括工控协议且不包括资产信息时,确定所述网络流量所对应的资产识别等级为第三等级。
具体的,该等级的网络流量中包括工控协议,但无资产信息,例如IEC104、ATG等,这类协议广泛应用于命令控制或信息交换场景,但网络流量中不含资产信息。
具体的,通过第三等级的网络流量,使得能够明确该网络为工控网络,明确了应用场景。
其四,当所述网络流量中包括工控协议,且所述工控协议中包括第一级别的资产信息时,确定所述网络流量所对应的资产识别等级为第四等级;其中所述第一级别的资产信息包括与资产相关的对象信息。
具体的,与资产相关的对象信息,指与资产相关联的对象的信息。
具体的,例如,该等级的网络流量中包括OPC数据访问(OPC DA)、楼宇自动控制网络数据通讯协议(BACnet)等,该类协议存在弱的资产信息,即第一级别的资产信息。例如,OPC DA中的Calling workstation domain和name字段说明OPC工作站的域名和主机名,即说明与资产相关的对象的对象信息,但是不能识别到工控资产的供应商以及型号。再例如,BACnet的vendor-name字段是在工程编程过程中配置的BACnet Object名称,并非备的供应商及型号。
具体的,在确定网络流量所对应的资产识别等级为第四等级时,若未获取到工控资产的供应商以及型号等资产信息时,则可以先将第一级别的资产信息,即与资产相关的对象信息确定为工控网络中资产的识别结果。
其五,当所述网络流量中包括工控协议,且所述工控协议中包括第二级别的资产信息时,确定所述网络流量所对应的资产识别等级为第五等级;其中,所述第二级别的资产信息包括资产的型号信息。
具体的,所述第一等级至所述第五等级的识别等级依次增高。
此外,具体的,该等级的网络流量只对特定型号的设备支持,如Modbus、S7等。该类协议含有明确的资产签名,例如Modbus报文中,明确说明当前资产的型号信息,再例如S7报文,也明确说明当前资产的型号信息。
另外,其中,在根据所述资产识别能力等级,更新所述资产签名库时,当所述网络流量所对应的资产识别等级为第五等级时,根据所述第二级别的资产信息,获取与所述第二级别的资产信息相关的系列资产的资产信息和通信信息,并将所述系列资产的资产信息和通信信息添加至所述资产签名库中。
具体的,当网络流量所对应的资产识别等级为第五等级时,可以对全系列产品支持,集成全系列产品的签名。在第五等级的基础上,对当前设备的资产型号通过工业编程(组态)软件或设备供应商官网的产品型号信息进行全面地调研,从而获得该设备的全系列型号。这样使得能够很大程度的丰富资产签名库,进而提高了根据资产签名库进行资产识别时的效率。
这样,本实施例通过确定网络流量所对应的资产识别等级,从而能够定性地描述工控网络资产识别的能力。此外,实现了在遇到第二等级的网络流量时,可以通过保存未知协议的网络流量,持续丰富资产签名库中的预设资产签名信息,为识别新资产提供了有力判据;并实现了在当资产识别能力达到第五等级时,通过对编程(组态)软件、工控设备供应商官网的设备型号做全面调研,确定这些型号在网络流量中的特征,从而能够将资产识别能力快速扩展到对全系列设备进行设备识别的能力。
本发明实施例通过获取工控网络中的网络流量,并检测网络流量中是否包含有与预先设置的资产签名库中的预设资产签名信息相匹配的工控资产信息,并当检测到网络流量中包含有与资产签名库中的预设资产签名信息相匹配的工控信息时,将与工控资产信息相匹配的预设资产签名信息确定为工控网络中资产的第一识别结果,实现了通过被动监听工控网络中的网络流量实现对资产的识别,进而实现了在不影响工控网络的前提下识别工控资产,避免了在对工控网络主动探测扫描时造成的对工控网络的影响;此外,通过预先设置的资产签名库进行资产识别,避免了在对工控网络协议进行逆向识别后再进行资产识别时的低效性,提高了资产识别的效率和准确率。
此外,如图2所示,为本发明实施例中资产的识别装置的模块框图,该装置包括:
第一获取模块201,用于获取工控网络中的网络流量;
检测模块202,用于检测所述网络流量中是否包含有与预先设置的资产签名库中的预设资产签名信息相匹配的工控资产信息;
第一确定模块203,用于当检测到所述网络流量中包含有与所述资产签名库中的预设资产签名信息相匹配的工控资产信息时,将与所述工控资产信息相匹配的预设资产签名信息确定为所述工控网络中资产的第一识别结果。
可选地,所述装置还包括:
提取模块,用于从所述网络流量中提取源媒体访问控制MAC地址和目的MAC地址;
第二获取模块,用于根据预先设置的MAC地址库中MAC地址与资产的供应商信息之间的预设对应关系,获取源MAC地址所对应的资产的供应商信息以及目的MAC地址所对应的资产的供应商信息;
第二确定模块,用于将所述源MAC地址所对应的资产的供应商信息以及目的MAC地址所对应的资产的供应商信息确定为所述工控网络中资产的第二识别结果。
可选地,所述装置还包括:
验证模块,用于根据所述第二识别结果对所述第一识别结果进行验证;其中,
当所述第二识别结果中存在与所述第一识别结果中资产的供应商信息相同的信息时,对所述第一识别结果的验证成功。
可选地,所述预设资产签名信息包括具有预设对应关系的资产信息和通信信息;其中,所述资产信息包括资产的供应商信息以及资产的型号和/或系列号信息;所述通信信息包括通信协议、通信端口和/或资产签名在数据帧中的位置;
所述第一确定模块用于,当检测到所述网络流量中包含有所述资产签名库中具有预设对应关系的资产信息和通信信息时,将所述具有预设对应关系的资产信息和通信信息确定为所述工控网络中资产的第一识别结果。
可选地,所述装置还包括:
第三获取模块,用于基于所述工控网络中资产的第一识别结果,得到所述工控网络中资产的通信拓扑模型。
可选地,所述装置还包括:
第三确定模块,用于根据所述网络流量中的信息,确定所述网络流量所对应的资产识别能力等级;
更新模块,用于根据所述资产识别能力等级,更新所述资产签名库。
可选地,所述第三确定模块包括:
第一确定单元,用于当所述网络流量中不包括工控协议时,确定所述网络流量所对应的资产识别能力等级为第一等级;
第二确定单元,用于当所述网络流量中包括未记录于所述资产签名库中的新增资产信息和/或新增通信信息时,确定所述网络流量所对应的资产识别等级为第二等级;
第三确定单元,用于当所述网络流量中包括工控协议且不包括资产信息时,确定所述网络流量所对应的资产识别等级为第三等级;
第四确定单元,用于当所述网络流量中包括工控协议,且所述工控协议中包括第一级别的资产信息时,确定所述网络流量所对应的资产识别等级为第四等级;其中所述第一级别的资产信息包括与资产相关的对象信息;
第五确定单元,用于当所述网络流量中包括工控协议,且所述工控协议中包括第二级别的资产信息时,确定所述网络流量所对应的资产识别等级为第五等级;其中,所述第二级别的资产信息包括资产的型号信息;所述第一等级至所述第五等级的识别等级依次增高。
可选地,所述更新模块包括:
第一更新单元,用于当所述网络流量所对应的资产识别等级为第二等级时,对所述新增资产信息和/或新增通信信息进行分析,得到所述新增资产信息和/或新增通信信息相对应的新增资产签名信息,并将所述新增资产签名信息添加至所述资产签名库中;
第二更新单元,用于当所述网络流量所对应的资产识别等级为第五等级时,根据所述第二级别的资产信息,获取与所述第二级别的资产信息相关的系列资产的资产信息和通信信息,并将所述系列资产的资产信息和通信信息添加至所述资产签名库中。
本发明实施例提供的装置通过获取工控网络中的网络流量,并检测网络流量中是否包含有与预先设置的资产签名库中的预设资产签名信息相匹配的工控资产信息,并当检测到网络流量中包含有与资产签名库中的预设资产签名信息相匹配的工控信息时,将与工控资产信息相匹配的预设资产签名信息确定为工控网络中资产的第一识别结果,实现了通过被动监听工控网络中的网络流量实现对资产的识别,进而实现了在不影响工控网络的前提下识别工控资产,避免了在对工控网络主动探测扫描时造成的对工控网络的影响;此外,通过预先设置的资产签名库进行资产识别,避免了在对工控网络协议进行逆向识别后再进行资产识别时的低效性,提高了资产识别的效率和准确率。
此外,如图3所示,为本发明实施例提供的电子设备的实体结构示意图,该电子设备可以包括:处理器(processor)310、通信接口(CommunicationsInterface)320、存储器(memory)330和通信总线340,其中,处理器310,通信接口320,存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储在存储器330上并可在处理器310上运行的计算机程序,以执行上述各实施例提供的方法,例如包括:获取工控网络中的网络流量;检测所述网络流量中是否包含有与预先设置的资产签名库中的预设资产签名信息相匹配的工控资产信息;当检测到所述网络流量中包含有与所述资产签名库中的预设资产签名信息相匹配的工控资产信息时,将与所述工控资产信息相匹配的预设资产签名信息确定为所述工控网络中资产的第一识别结果。
此外,上述的存储器330中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的方法,例如包括:获取工控网络中的网络流量;检测所述网络流量中是否包含有与预先设置的资产签名库中的预设资产签名信息相匹配的工控资产信息;当检测到所述网络流量中包含有与所述资产签名库中的预设资产签名信息相匹配的工控资产信息时,将与所述工控资产信息相匹配的预设资产签名信息确定为所述工控网络中资产的第一识别结果。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (14)
1.一种工控资产的识别方法,其特征在于,所述方法包括:
获取工控网络中的网络流量;
检测所述网络流量中是否包含有与预先设置的资产签名库中的预设资产签名信息相匹配的工控资产信息;
当检测到所述网络流量中包含有与所述资产签名库中的预设资产签名信息相匹配的工控资产信息时,将与所述工控资产信息相匹配的预设资产签名信息确定为所述工控网络中资产的第一识别结果;
所述获取工控网络中的网络流量之后,所述方法还包括:
根据所述网络流量中的信息,确定所述网络流量所对应的资产识别能力等级;
根据所述资产识别能力等级,更新所述资产签名库;
所述根据所述网络流量中的信息,确定所述网络流量所对应的资产识别能力等级,包括:
当所述网络流量中不包括工控协议时,确定所述网络流量所对应的资产识别能力等级为第一等级;
当所述网络流量中包括未记录于所述资产签名库中的新增资产信息和/或新增通信信息时,确定所述网络流量所对应的资产识别等级为第二等级;
当所述网络流量中包括工控协议且不包括资产信息时,确定所述网络流量所对应的资产识别等级为第三等级;
当所述网络流量中包括工控协议,且所述工控协议中包括第一级别的资产信息时,确定所述网络流量所对应的资产识别等级为第四等级;其中所述第一级别的资产信息包括与资产相关的对象信息;
当所述网络流量中包括工控协议,且所述工控协议中包括第二级别的资产信息时,确定所述网络流量所对应的资产识别等级为第五等级;其中,所述第二级别的资产信息包括资产的型号信息;所述第一等级至所述第五等级的识别等级依次增高。
2.根据权利要求1所述的方法,其特征在于,所述检测所述网络流量中是否包含有与预先设置的资产签名库中的预设资产签名信息相匹配的工控资产信息之前,所述方法还包括:
从所述网络流量中提取源媒体访问控制MAC地址和目的MAC地址;
根据预先设置的MAC地址库中MAC地址与资产的供应商信息之间的预设对应关系,获取源MAC地址所对应的资产的供应商信息以及目的MAC地址所对应的资产的供应商信息;
将所述源MAC地址所对应的资产的供应商信息以及目的MAC地址所对应的资产的供应商信息确定为所述工控网络中资产的第二识别结果。
3.根据权利要求2所述的方法,其特征在于,所述将与所述工控资产信息相匹配的预设资产签名信息确定为所述工控网络中资产的第一识别结果之后,所述方法还包括:
根据所述第二识别结果对所述第一识别结果进行验证;其中,
当所述第二识别结果中存在与所述第一识别结果中资产的供应商信息相同的信息时,对所述第一识别结果的验证成功。
4.根据权利要求1所述的方法,其特征在于,所述预设资产签名信息包括具有预设对应关系的资产信息和通信信息;其中,所述资产信息包括资产的供应商信息以及资产的型号和/或系列号信息;所述通信信息包括通信协议、通信端口和/或资产签名在数据帧中的位置;
所述当检测到所述网络流量中包含有与所述资产签名库中的预设资产签名信息相匹配的工控资产信息时,将与所述工控资产信息相匹配的预设资产签名信息确定为所述工控网络中资产的第一识别结果,包括:
当检测到所述网络流量中包含有所述资产签名库中具有预设对应关系的资产信息和通信信息时,将所述具有预设对应关系的资产信息和通信信息确定为所述工控网络中资产的第一识别结果。
5.根据权利要求1所述的方法,其特征在于,所述将与所述工控资产信息相匹配的预设资产签名信息确定为所述工控网络中资产的第一识别结果之后,所述方法还包括:
基于所述工控网络中资产的第一识别结果,得到所述工控网络中资产的通信拓扑模型。
6.根据权利要求1所述的方法,其特征在于,所述根据所述资产识别能力等级,更新所述资产签名库,包括:
当所述网络流量所对应的资产识别等级为第二等级时,对所述新增资产信息和/或新增通信信息进行分析,得到所述新增资产信息和/或新增通信信息相对应的新增资产签名信息,并将所述新增资产签名信息添加至所述资产签名库中;
当所述网络流量所对应的资产识别等级为第五等级时,根据所述第二级别的资产信息,获取与所述第二级别的资产信息相关的系列资产的资产信息和通信信息,并将所述系列资产的资产信息和通信信息添加至所述资产签名库中。
7.一种工控资产的识别装置,其特征在于,所述装置包括:
第一获取模块,用于获取工控网络中的网络流量;
检测模块,用于检测所述网络流量中是否包含有与预先设置的资产签名库中的预设资产签名信息相匹配的工控资产信息;
第一确定模块,用于当检测到所述网络流量中包含有与所述资产签名库中的预设资产签名信息相匹配的工控资产信息时,将与所述工控资产信息相匹配的预设资产签名信息确定为所述工控网络中资产的第一识别结果;
所述装置还包括:
第三确定模块,用于根据所述网络流量中的信息,确定所述网络流量所对应的资产识别能力等级;
更新模块,用于根据所述资产识别能力等级,更新所述资产签名库;
所述第三确定模块包括:
第一确定单元,用于当所述网络流量中不包括工控协议时,确定所述网络流量所对应的资产识别能力等级为第一等级;
第二确定单元,用于当所述网络流量中包括未记录于所述资产签名库中的新增资产信息和/或新增通信信息时,确定所述网络流量所对应的资产识别等级为第二等级;
第三确定单元,用于当所述网络流量中包括工控协议且不包括资产信息时,确定所述网络流量所对应的资产识别等级为第三等级;
第四确定单元,用于当所述网络流量中包括工控协议,且所述工控协议中包括第一级别的资产信息时,确定所述网络流量所对应的资产识别等级为第四等级;其中所述第一级别的资产信息包括与资产相关的对象信息;
第五确定单元,用于当所述网络流量中包括工控协议,且所述工控协议中包括第二级别的资产信息时,确定所述网络流量所对应的资产识别等级为第五等级;其中,所述第二级别的资产信息包括资产的型号信息;所述第一等级至所述第五等级的识别等级依次增高。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
提取模块,用于从所述网络流量中提取源媒体访问控制MAC地址和目的MAC地址;
第二获取模块,用于根据预先设置的MAC地址库中MAC地址与资产的供应商信息之间的预设对应关系,获取源MAC地址所对应的资产的供应商信息以及目的MAC地址所对应的资产的供应商信息;
第二确定模块,用于将所述源MAC地址所对应的资产的供应商信息以及目的MAC地址所对应的资产的供应商信息确定为所述工控网络中资产的第二识别结果。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
验证模块,用于根据所述第二识别结果对所述第一识别结果进行验证;其中,
当所述第二识别结果中存在与所述第一识别结果中资产的供应商信息相同的信息时,对所述第一识别结果的验证成功。
10.根据权利要求7所述的装置,其特征在于,所述预设资产签名信息包括具有预设对应关系的资产信息和通信信息;其中,所述资产信息包括资产的供应商信息以及资产的型号和/或系列号信息;所述通信信息包括通信协议、通信端口和/或资产签名在数据帧中的位置;
所述第一确定模块用于,当检测到所述网络流量中包含有所述资产签名库中具有预设对应关系的资产信息和通信信息时,将所述具有预设对应关系的资产信息和通信信息确定为所述工控网络中资产的第一识别结果。
11.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第三获取模块,用于基于所述工控网络中资产的第一识别结果,得到所述工控网络中资产的通信拓扑模型。
12.根据权利要求7所述的装置,其特征在于,所述更新模块包括:
第一更新单元,用于当所述网络流量所对应的资产识别等级为第二等级时,对所述新增资产信息和/或新增通信信息进行分析,得到所述新增资产信息和/或新增通信信息相对应的新增资产签名信息,并将所述新增资产签名信息添加至所述资产签名库中;
第二更新单元,用于当所述网络流量所对应的资产识别等级为第五等级时,根据所述第二级别的资产信息,获取与所述第二级别的资产信息相关的系列资产的资产信息和通信信息,并将所述系列资产的资产信息和通信信息添加至所述资产签名库中。
13.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6中任一项所述的工控资产的识别方法的步骤。
14.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至6中任一项所述的工控资产的识别方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811633512.6A CN109802953B (zh) | 2018-12-29 | 2018-12-29 | 一种工控资产的识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811633512.6A CN109802953B (zh) | 2018-12-29 | 2018-12-29 | 一种工控资产的识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109802953A CN109802953A (zh) | 2019-05-24 |
| CN109802953B true CN109802953B (zh) | 2022-03-22 |
Family
ID=66558028
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811633512.6A Active CN109802953B (zh) | 2018-12-29 | 2018-12-29 | 一种工控资产的识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109802953B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110401662B (zh) * | 2019-07-29 | 2021-12-31 | 华能阜新风力发电有限责任公司 | 一种工控设备指纹识别方法、存储介质 |
| CN112350846B (zh) * | 2019-08-07 | 2024-01-09 | 浙江木链物联网科技有限公司 | 一种智能变电站的资产学习方法、装置、设备及存储介质 |
| CN111030887B (zh) * | 2019-12-19 | 2021-11-05 | 杭州安恒信息技术股份有限公司 | web服务器发现方法、装置和电子设备 |
| CN111555936B (zh) * | 2020-04-27 | 2022-03-25 | 杭州迪普科技股份有限公司 | 一种工控资产探测方法、装置和设备 |
| WO2021237621A1 (zh) * | 2020-05-28 | 2021-12-02 | 西门子股份公司 | 一种信息泄露检测方法、装置和计算机可读介质 |
| CN112039853B (zh) * | 2020-08-11 | 2022-09-30 | 深信服科技股份有限公司 | 局域网的资产识别方法及装置、设备和可读存储介质 |
| CN113315769B (zh) * | 2021-05-27 | 2023-04-07 | 杭州迪普科技股份有限公司 | 工控资产信息收集方法及装置 |
| CN113949748B (zh) * | 2021-10-15 | 2023-11-28 | 北京知道创宇信息技术股份有限公司 | 一种网络资产识别方法、装置、存储介质及电子设备 |
| CN114500261B (zh) * | 2022-01-24 | 2024-01-02 | 深信服科技股份有限公司 | 一种网络资产识别方法、装置及电子设备和存储介质 |
| CN114995306A (zh) * | 2022-05-30 | 2022-09-02 | 浙江中控技术股份有限公司 | 一种基于工业控制系统的工控资产识别方法及系统 |
| CN115314319B (zh) * | 2022-08-26 | 2024-08-23 | 绿盟科技集团股份有限公司 | 一种网络资产识别方法、装置、电子设备及存储介质 |
| CN115776465A (zh) * | 2022-11-16 | 2023-03-10 | 湖北天融信网络安全技术有限公司 | 工控资产管理方法、装置、电子设备和存储介质 |
| CN116015876B (zh) * | 2022-12-27 | 2024-01-26 | 北京天融信网络安全技术有限公司 | 访问控制方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104639667A (zh) * | 2014-12-31 | 2015-05-20 | 北京奇虎科技有限公司 | 一种基于mac地址的设备识别方法、装置和系统 |
| CN108205569A (zh) * | 2016-12-19 | 2018-06-26 | 中国移动通信集团山西有限公司 | 用于更新配置管理数据库的方法和装置 |
| CN109063486A (zh) * | 2018-08-01 | 2018-12-21 | 杭州安恒信息技术股份有限公司 | 一种基于plc设备指纹识别的安全渗透测试方法与系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180295151A1 (en) * | 2017-04-11 | 2018-10-11 | F5 Networks, Inc. | Methods for mitigating network attacks through client partitioning and devices thereof |
-
2018
- 2018-12-29 CN CN201811633512.6A patent/CN109802953B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104639667A (zh) * | 2014-12-31 | 2015-05-20 | 北京奇虎科技有限公司 | 一种基于mac地址的设备识别方法、装置和系统 |
| CN108205569A (zh) * | 2016-12-19 | 2018-06-26 | 中国移动通信集团山西有限公司 | 用于更新配置管理数据库的方法和装置 |
| CN109063486A (zh) * | 2018-08-01 | 2018-12-21 | 杭州安恒信息技术股份有限公司 | 一种基于plc设备指纹识别的安全渗透测试方法与系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109802953A (zh) | 2019-05-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109802953B (zh) | 一种工控资产的识别方法及装置 | |
| CN107888574B (zh) | 检测数据库风险的方法、服务器及存储介质 | |
| CN107302527B (zh) | 一种设备异常检测方法及装置 | |
| CN107360145B (zh) | 一种多节点蜜罐系统及其数据分析方法 | |
| WO2019144549A1 (zh) | 漏洞测试方法、装置、计算机设备和存储介质 | |
| KR20140025316A (ko) | 통신 네트워크 내의 노드 상에서 작동되는 운영 시스템을 핑커프린팅하는 방법 및 시스템 | |
| CN113468071B (zh) | 模糊测试用例生成方法、系统、计算机设备及存储介质 | |
| US20210360013A1 (en) | Detection method for malicious domain name in domain name system and detection device | |
| WO2018159362A1 (ja) | ログ分析装置、ログ分析方法およびログ分析プログラム | |
| CN110300027A (zh) | 一种异常登录检测方法 | |
| US11206277B1 (en) | Method and apparatus for detecting abnormal behavior in network | |
| CN116980468A (zh) | 工控环境下资产的发现和管理方法、装置、设备及介质 | |
| CN110213255A (zh) | 一种对主机进行木马检测的方法、装置及电子设备 | |
| CN112769635A (zh) | 多粒度特征解析的服务识别方法及装置 | |
| KR102318496B1 (ko) | 블록체인 네트워크에 기반하여 어뷰징을 탐지하는 방법 및 이를 이용한 블록체인 노드 | |
| JP6962374B2 (ja) | ログ分析装置、ログ分析方法及びプログラム | |
| CN112261046A (zh) | 一种基于机器学习的工控蜜罐识别方法 | |
| CN114499974B (zh) | 设备探测方法、装置、计算机设备和存储介质 | |
| CN114461864A (zh) | 一种告警溯源方法和装置 | |
| JP2020502703A (ja) | ネットワーク・マッピングのためのフィンガープリントの決定 | |
| WO2024113953A1 (zh) | C2服务器识别方法、装置、电子设备及可读存储介质 | |
| JP6676790B2 (ja) | リクエスト制御装置、リクエスト制御方法、および、リクエスト制御プログラム | |
| CN111625807A (zh) | 一种设备类型识别方法与装置 | |
| CN110493254A (zh) | 工业云安全评估方法及装置 | |
| CN116346395A (zh) | 一种工控网络资产识别方法、系统、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100088 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant after: QAX Technology Group Inc. Address before: 100015 Jiuxianqiao Chaoyang District Beijing Road No. 10, building 15, floor 17, layer 1701-26, 3 Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |