CN109067569A - 一种工控网络拓扑结构可视化方法 - Google Patents

Abstract

本发明涉及工业控制系统，旨在提供一种工控网络拓扑结构可视化方法。该种工控网络拓扑结构可视化方法包括步骤：将平台部署到需要进行拓扑的工控网络中，保证工控网络中的设备都能够达到；根据平台在工控网络中的位置，采用定时任务对工控网络内的设备进行扫描，并将整理后的节点信息保存到数据库中；利用整合的节点信息，获得拓扑线；根据获得的拓扑线，返回各个设备的端口连接信息，绘制各个设备节点之间的连接关系，并最终获得该工控网络的拓扑网络图。本发明采用了非常简单的方式，即通过最基础的ARP协议和SNMP协议获得需要拓扑的网络结构，并将其结构展示在可视化界面上，避免了复杂算法可能出现的逻辑错误。

Description

一种工控网络拓扑结构可视化方法

技术领域

本发明是关于工业控制系统领域，特别涉及一种工控网络拓扑结构可视化方法。

背景技术

“工业4.0”的到来以及“中国制造2025”行动纲领的提出，加速了我国工业化与信息化的融合进程，提高了社会生产效率，同时也使得越来越多的原先处于封闭环境下的工业控制设备，暴露在了互联网上，直接承受着来自互联网的攻击威胁。相对于传统的信息安全，工控系统安全问题引发的后果往往更严重，甚至是灾难性的，如造成大面积停产、人员的伤亡、设备及环境的破坏等。

当前各国都把网络空间安全作为国家安全的重要组成部分，而网络空间的物联网系统安全又是重中之重。一方面，在国与国的博弈中，掌握对方的关键基础设施工业控制系统的基本情况和风险信息，是各国在网络空间谈判的一种重要战略资源。另一方面，全球越来越多的非国家行为体，比如恐怖势力、极端组织等，正在通过不断发展自身的网络攻击能力来实现其政治目的。随着攻击难度和攻击成本的降低，工业控制系统已经成为当今网络部队、黑客、极端势力的打击目标，而这些对我们国家的安全已造成了巨大的威胁。

由于网络的互联互通对工业企业安全造成重大威胁，工业企业已经在技术和管理上采取了一些手段来防御，然而随之而来暴露出了多个典型的问题：

1)工业安全设备管理繁杂：安全管理人员在运维大量的工业安全设备时需要逐个登录管理，导致工业网络中出现问题时得不到及时的排查，需要人工定位后再登录相应的安全设备判断问题原因，这样一来就延长了生产系统停车时间。

2)工业安全设备无法协同：随着工业信息安全需求的旺盛，工业安全设备随着增加，这些安全防线都仅仅抵御来自某个方面的安全威胁，形成了一个个“安全防御孤岛”，无法产生协同效应。这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件，形成了大量“信息孤岛”。有限的安全管理人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，显得束手无策，工作效率极低，难以发现真正的安全隐患。

很明显，想要实现对设备的统一的管理，首先需要的是对整个网络结构的了解，因此网络拓扑结构的可视化是最基本的需求。

在获得网络拓扑结构方面，现有专利“一种基于网络探针的网络拓扑自动发现方法”，它是在网络相应的节点中插入网络探针，然后收集探针的上下游数据进行分析，最后得到网络的拓扑图。但是存在下述缺点：需要布置很多个探针节点，然后对所有节点的数据在进行汇总和整理，并且采用的整理算法比较复杂。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种除了能应用在工业网络中，还能用于任何其它的分布式网络中的工控网络拓扑结构可视化方法。为解决上述技术问题，本发明的解决方案是：

提供一种工控网络拓扑结构可视化方法，具体包括下述步骤：

步骤一：将平台部署到需要进行拓扑的工控网络中，保证工控网络中的设备都能够达到(即保证网络中的所有设备，都能在步骤二中采用ICMP协议ping的方式能ping通)；

所述平台是能探测和展示拓扑结构的程序模块(应用程序)；

步骤二：工控网络包括若干子网，设平台部署在工控网络的子网A中(需要拓扑的网络可能包含多个子网，即要拓扑的可能是多个子网的结构，那么至少该网络中包括子网A)；

根据平台在工控网络中的位置，采用定时任务(在应用程序中开启一个定时任务，用来定时的探测网络中的网络结构，以便发现新接入的设备，定时任务的执行时间以及执行周期可以应用程序的管理界面上进行设置)分两种方式对工控网络内的设备进行扫描：

方式1)在子网A内，采用ARP协议，获得子网A内所有设备的拓扑关系(包括IP地址)；

方式2)在除子网A外的其余子网内，采用ICMP协议ping的方式，获得不同子网内存活的设备信息(包括IP地址)；

步骤三：对于步骤二中采用方式2)扫描获得的存活设备，若该设备中存在网络通信设备，则采用SNMP协议，获得网络通信设备的接口表、地址转发表和ARP表，并将整理后的节点信息保存到数据库中；

其中，所述地址转发表是指接口和MAC地址的对应信息；所述ARP表是指IP和MAC地址的对应信息；

步骤四：利用步骤三中整合的节点信息，获得拓扑线，具体方法如下：

1)利用步骤三中整合的节点信息，获得工控网络中所有设备的接口、IP地址和MAC信息对应表；

2)当终端设备(即需要拓扑的工控网络中的设备)经过交换机对平台的数据库服务器(即用来探测和展示拓扑结构的应用程序的服务器上的数据库，即用来存储节点信息的数据库服务器)进行了访问，根据终端设备IP和各交换机IP，则获得从终端设备出发到数据库服务器(DB服务器)的整个拓扑线；

步骤五：根据步骤四获得的拓扑线，返回各个设备的端口连接信息(即每个设备节点IP、它在整个网络中和哪些设备节点连接以及该设备和其它设备是通过哪个网口连接的信息)，绘制各个设备节点之间的连接关系，并最终获得该工控网络的拓扑网络图。

在本发明中，所述步骤三中的节点信息包括：每个设备节点的IP，该设备在整个网络中和哪些设备节点连接，以及该设备和其它设备是通过哪个网口连接。

在本发明中，所述步骤三中，整理后的节点信息(不规则的信息)采用nosql的方式存储在数据库中。

在本发明中，所述步骤四中，终端设备经过交换机对平台的数据库服务器进行了访问；根据终端设备IP和各交换机IP，获得从终端设备出发到数据库服务器的整个拓扑线，存在：

场景一：数据库中存储有各交换机的完整接口、IP地址和MAC信息对应表IP，以及终端设备的IP地址和MAC信息、数据库服务器的IP地址和MAC信息，则能直接获得从终端设备出发到数据库服务器的整个拓扑线；

场景二：数据库中存储的各交换机的接口、IP地址和MAC信息对应表IP不完整，存在交换机缺少终端信息，则根据该缺少终端信息的交换机相邻设备的信息，推测出可能性最大的从终端设备出发到数据库服务器的整个拓扑线。

提供一种存储设备，其中存储有多条指令，所述指令适用于由处理器加载并执行：

步骤一：将平台部署到需要进行拓扑的工控网络中，保证工控网络中的设备都能够达到(即保证网络中的所有设备，都能在步骤二中采用ICMP协议ping的方式能ping通)；

所述平台是能探测和展示拓扑结构的程序模块(应用程序)；

步骤二：工控网络包括若干子网，设平台部署在工控网络的子网A中(需要拓扑的网络可能包含多个子网，即要拓扑的可能是多个子网的结构，那么至少该网络中包括子网A)；

根据平台在工控网络中的位置，采用定时任务(在应用程序中开启一个定时任务，用来定时的探测网络中的网络结构，以便发现新接入的设备，定时任务的执行时间以及执行周期可以应用程序的管理界面上进行设置)分两种方式对工控网络内的设备进行扫描：

方式1)在子网A内，采用ARP协议，获得子网A内所有设备的拓扑关系(包括IP地址)；

方式2)在除子网A外的其余子网内，采用ICMP协议ping的方式，获得不同子网内存活的设备信息(包括IP地址)；

步骤三：对于步骤二中采用方式2)扫描获得的存活设备，若该设备中存在网络通信设备，则采用SNMP协议，获得网络通信设备的接口表、地址转发表和ARP表，并将整理后的节点信息保存到数据库中；

其中，所述地址转发表是指接口和MAC地址的对应信息；所述ARP表是指IP和MAC地址的对应信息；

步骤四：利用步骤三中整合的节点信息，获得拓扑线，具体方法如下：

1)利用步骤三中整合的节点信息，获得工控网络中所有设备的接口、IP地址和MAC信息对应表；

2)当终端设备(即需要拓扑的工控网络中的设备)经过交换机对平台的数据库服务器(即用来探测和展示拓扑结构的应用程序的服务器上的数据库，即用来存储节点信息的数据库服务器)进行了访问，根据终端设备IP和各交换机IP，则获得从终端设备出发到数据库服务器(DB服务器)的整个拓扑线；

步骤五：根据步骤四获得的拓扑线，返回各个设备的端口连接信息(即每个设备节点IP、它在整个网络中和哪些设备节点连接以及该设备和其它设备是通过哪个网口连接的信息)，绘制各个设备节点之间的连接关系，并最终获得该工控网络的拓扑网络图。

提供一种移动终端，包括处理器，适于实现各指令；以及存储设备，适于存储多条指令，所述指令适用于由处理器加载并执行：

步骤一：将平台部署到需要进行拓扑的工控网络中，保证工控网络中的设备都能够达到(即保证网络中的所有设备，都能在步骤二中采用ICMP协议ping的方式能ping通)；

所述平台是能探测和展示拓扑结构的程序模块(应用程序)；

步骤二：工控网络包括若干子网，设平台部署在工控网络的子网A中(需要拓扑的网络可能包含多个子网，即要拓扑的可能是多个子网的结构，那么至少该网络中包括子网A)；

根据平台在工控网络中的位置，采用定时任务(在应用程序中开启一个定时任务，用来定时的探测网络中的网络结构，以便发现新接入的设备，定时任务的执行时间以及执行周期可以应用程序的管理界面上进行设置)分两种方式对工控网络内的设备进行扫描：

方式1)在子网A内，采用ARP协议，获得子网A内所有设备的拓扑关系(包括IP地址)；

方式2)在除子网A外的其余子网内，采用ICMP协议ping的方式，获得不同子网内存活的设备信息(包括IP地址)；

步骤三：对于步骤二中采用方式2)扫描获得的存活设备，若该设备中存在网络通信设备，则采用SNMP协议，获得网络通信设备的接口表、地址转发表和ARP表，并将整理后的节点信息保存到数据库中；

其中，所述地址转发表是指接口和MAC地址的对应信息；所述ARP表是指IP和MAC地址的对应信息；

步骤四：利用步骤三中整合的节点信息，获得拓扑线，具体方法如下：

1)利用步骤三中整合的节点信息，获得工控网络中所有设备的接口、IP地址和MAC信息对应表；

2)当终端设备(即需要拓扑的工控网络中的设备)经过交换机对平台的数据库服务器(即用来探测和展示拓扑结构的应用程序的服务器上的数据库，即用来存储节点信息的数据库服务器)进行了访问，根据终端设备IP和各交换机IP，则获得从终端设备出发到数据库服务器(DB服务器)的整个拓扑线；

步骤五：根据步骤四获得的拓扑线，返回各个设备的端口连接信息(即每个设备节点IP、它在整个网络中和哪些设备节点连接以及该设备和其它设备是通过哪个网口连接的信息)，绘制各个设备节点之间的连接关系，并最终获得该工控网络的拓扑网络图。

本发明的原理：本发明采用了ARP和SNMP协议，在同一子网内，采用ARP协议获取设备中端口和MAC地址的对应关系，在不同子网内，根据SNMP协议获取网络通信设备的地址转发表，得到IP和端口的对应关系，将两者结合起来，对获取的信息进行组织计算，得到最后的拓扑网络图。

ARP协议：ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写，基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

SNMP协议：SNMP(SimpleNetworkManagementProtocol,简单网络管理协议)的前身是简单网关监控协议(SGMP)，用来对通信线路进行管理。随后，人们对SGMP进行了很大的修改，特别是加入了符合Internet定义的SMI和MIB：体系结构，改进后的协议就是著名的SNMP。

与现有技术相比，本发明的有益效果是：

本发明采用了非常简单的方式，即通过最基础的ARP协议和SNMP协议获得需要拓扑的网络结构，并将其结构展示在可视化界面上，避免了复杂算法可能出现的逻辑错误。

附图说明

图1为实施例中的场景一示意图。

图2为实施例中的场景二示意图。

具体实施方式

首先需要说明的是，本发明是计算机技术在容器技术领域的一种应用。在本发明的实现过程中，会涉及到多个软件功能模块的应用。申请人认为，如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后，在结合现有公知技术的情况下，本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。凡本发明申请文件提及的均属此范畴，申请人不再一一列举。

下面结合附图与具体实施方式对本发明作进一步详细描述：

一种工控网络拓扑结构可视化方法，具体包括下述步骤：

步骤一：将平台部署到需要进行拓扑的网络中，如果需要拓扑的主机和平台网络不可达，当然是无法进行拓扑发现的。

步骤二：采用定时任务对网络内的设备进行扫描，首先在子网内通过ARP方式获得可达的设备的IP地址，然后对于不同子网的设备采用ICMP协议的ping的方式获得可达的设备的IP地址。

步骤三：通过SNMP获取网络设备的接口表、地址转发表、ARP表等信息，将整理后的节点信息保存到数据库中。对于这种不规则的信息采用nosql的方式进行存储。具体结构以key-value的形式存储，如：{“ip”:“192.168.0.251”,“other_info”:“...”,“eth1”:[{“ip”:“192.168.0.254”,“other_info”:“...”},...],“eth2”:[...]}。

步骤四：利用步骤三中整合的节点信息，进行梳理和计算获得拓扑线，具体方法如下：

如图1所示的场景一，如果有一台终端设备访问了平台的数据库服务器，在整个网络中就会留下其“足迹”，只要平台可以访问到整个网络中，可以通过SNMP协议获取到各交换机的地址转发表，即接口和MAC地址的对应信息；通过SNMP协议获取到各交换机的ARP表，即IP和MAC地址的对应信息，最终合并起来可以得到图1中的接口、IP地址和MAC信息的对应表，然后根据终端IP和各交换机IP就可以知道终端是从交换机B的eth1口接入的，而核心交换机是从交换机B的eth2口接入的，交换机B是从核心交换机的eth1口接入的，而交换机A是从核心交换机的eth2口接入的，核心交换机是从交换机A的eth1口接入的，而数据库服务器是从交换机A的eth2口接入的，从终端出发的到DB服务器的整个拓扑就完成了。

当然在有些情况下，可能并不是整条拓扑线都是完整的，如图2所示的场景二，交换机B中缺少终端的信息，但是根据核心交换机连接到交换机B的eth2口，交换机B连接到核心交换机的eth1口，终端连接到核心交换机的eth1口，推测出最有可能性的结果是终端连接在交换机B的eth1口。

步骤五：根据步骤四获得的拓扑线，返回各个设备的端口连接的设备信息，在前端绘制各个设备节点之间的连接关系，并最终获得该网络的拓扑网络图。

最后，需要注意的是，以上列举的仅是本发明的具体实施例。显然，本发明不限于以上实例，还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形，均应认为是本发明的保护范围。

Claims (6)

1.一种工控网络拓扑结构可视化方法，其特征在于，具体包括下述步骤：

步骤一：将平台部署到需要进行拓扑的工控网络中，保证工控网络中的设备都能够达到；

所述平台是能探测和展示拓扑结构的程序模块；

步骤二：工控网络包括若干子网，设平台部署在工控网络的子网A中；

根据平台在工控网络中的位置，采用定时任务分两种方式对工控网络内的设备进行扫描：

方式1)在子网A内，采用ARP协议，获得子网A内所有设备的拓扑关系；

方式2)在除子网A外的其余子网内，采用ICMP协议ping的方式，获得不同子网内存活的设备信息；

步骤三：对于步骤二中采用方式2)扫描获得的存活设备，若该设备中存在网络通信设备，则采用SNMP协议，获得网络通信设备的接口表、地址转发表和ARP表，并将整理后的节点信息保存到数据库中；

其中，所述地址转发表是指接口和MAC地址的对应信息；所述ARP表是指IP和MAC地址的对应信息；

步骤四：利用步骤三中整合的节点信息，获得拓扑线，具体方法如下：

1)利用步骤三中整合的节点信息，获得工控网络中所有设备的接口、IP地址和MAC信息对应表；

2)当终端设备经过交换机对平台的数据库服务器进行了访问，根据终端设备IP和各交换机IP，则获得从终端设备出发到数据库服务器的整个拓扑线；

步骤五：根据步骤四获得的拓扑线，返回各个设备的端口连接信息，绘制各个设备节点之间的连接关系，并最终获得该工控网络的拓扑网络图。

2.根据权利要求1所述的一种工控网络拓扑结构可视化方法，其特征在于，所述步骤三中的节点信息包括：每个设备节点的IP，该设备在整个网络中和哪些设备节点连接，以及该设备和其它设备是通过哪个网口连接。

3.根据权利要求1所述的一种工控网络拓扑结构可视化方法，其特征在于，所述步骤三中，整理后的节点信息采用nosql的方式存储在数据库中。

4.根据权利要求1所述的一种工控网络拓扑结构可视化方法，其特征在于，所述步骤四中，终端设备经过交换机对平台的数据库服务器进行了访问；根据终端设备IP和各交换机IP，获得从终端设备出发到数据库服务器的整个拓扑线，存在：

场景一：数据库中存储有各交换机的完整接口、IP地址和MAC信息对应表IP，以及终端设备的IP地址和MAC信息、数据库服务器的IP地址和MAC信息，则能直接获得从终端设备出发到数据库服务器的整个拓扑线；

场景二：数据库中存储的各交换机的接口、IP地址和MAC信息对应表IP不完整，存在交换机缺少终端信息，则根据该缺少终端信息的交换机相邻设备的信息，推测出可能性最大的从终端设备出发到数据库服务器的整个拓扑线。

5.一种存储设备，其中存储有多条指令，所述指令适用于由处理器加载并执行：

步骤一：将平台部署到需要进行拓扑的工控网络中，保证工控网络中的设备都能够达到；

所述平台是能探测和展示拓扑结构的程序模块；

步骤二：工控网络包括若干子网，设平台部署在工控网络的子网A中；

根据平台在工控网络中的位置，采用定时任务分两种方式对工控网络内的设备进行扫描：

方式1)在子网A内，采用ARP协议，获得子网A内所有设备的拓扑关系；

方式2)在除子网A外的其余子网内，采用ICMP协议ping的方式，获得不同子网内存活的设备信息；

步骤三：对于步骤二中采用方式2)扫描获得的存活设备，若该设备中存在网络通信设备，则采用SNMP协议，获得网络通信设备的接口表、地址转发表和ARP表，并将整理后的节点信息保存到数据库中；

其中，所述地址转发表是指接口和MAC地址的对应信息；所述ARP表是指IP和MAC地址的对应信息；

步骤四：利用步骤三中整合的节点信息，获得拓扑线，具体方法如下：

1)利用步骤三中整合的节点信息，获得工控网络中所有设备的接口、IP地址和MAC信息对应表；

2)当终端设备经过交换机对平台的数据库服务器进行了访问，根据终端设备IP和各交换机IP，则获得从终端设备出发到数据库服务器的整个拓扑线；

步骤五：根据步骤四获得的拓扑线，返回各个设备的端口连接信息，绘制各个设备节点之间的连接关系，并最终获得该工控网络的拓扑网络图。

6.一种移动终端，包括处理器，适于实现各指令；以及存储设备，适于存储多条指令，所述指令适用于由处理器加载并执行：

步骤一：将平台部署到需要进行拓扑的工控网络中，保证工控网络中的设备都能够达到；

所述平台是能探测和展示拓扑结构的程序模块；

步骤二：工控网络包括若干子网，设平台部署在工控网络的子网A中；

根据平台在工控网络中的位置，采用定时任务分两种方式对工控网络内的设备进行扫描：

方式1)在子网A内，采用ARP协议，获得子网A内所有设备的拓扑关系；

方式2)在除子网A外的其余子网内，采用ICMP协议ping的方式，获得不同子网内存活的设备信息；

步骤三：对于步骤二中采用方式2)扫描获得的存活设备，若该设备中存在网络通信设备，则采用SNMP协议，获得网络通信设备的接口表、地址转发表和ARP表，并将整理后的节点信息保存到数据库中；

其中，所述地址转发表是指接口和MAC地址的对应信息；所述ARP表是指IP和MAC地址的对应信息；

步骤四：利用步骤三中整合的节点信息，获得拓扑线，具体方法如下：

1)利用步骤三中整合的节点信息，获得工控网络中所有设备的接口、IP地址和MAC信息对应表；

2)当终端设备经过交换机对平台的数据库服务器进行了访问，根据终端设备IP和各交换机IP，则获得从终端设备出发到数据库服务器的整个拓扑线；

步骤五：根据步骤四获得的拓扑线，返回各个设备的端口连接信息，绘制各个设备节点之间的连接关系，并最终获得该工控网络的拓扑网络图。