CN109274551A - 一种精确高效的工控资源定位方法 - Google Patents

一种精确高效的工控资源定位方法 Download PDF

Info

Publication number
CN109274551A
CN109274551A CN201811075656.4A CN201811075656A CN109274551A CN 109274551 A CN109274551 A CN 109274551A CN 201811075656 A CN201811075656 A CN 201811075656A CN 109274551 A CN109274551 A CN 109274551A
Authority
CN
China
Prior art keywords
industrial control
control system
agreement
industry control
port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811075656.4A
Other languages
English (en)
Inventor
傅涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu's Software Polytron Technologies Inc
Original Assignee
Jiangsu's Software Polytron Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu's Software Polytron Technologies Inc filed Critical Jiangsu's Software Polytron Technologies Inc
Priority to CN201811075656.4A priority Critical patent/CN109274551A/zh
Publication of CN109274551A publication Critical patent/CN109274551A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/52Network services specially adapted for the location of the user terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明面向工业控制领域,采用自行设计的工控资源识别算法,实现快速准确识别互联网空间内的工控系统,识别工控系统数量、所处地理位置、所使用的厂商、型号、开放端口服务等信息。

Description

一种精确高效的工控资源定位方法
技术领域
本发明创造涉及工业控制领域,尤其涉及工业控制领域的工控资源定位的领域。
背景技术
在中国智能制造2025、互联网+、工业互联网及两化融合等大背景下,越来越多的工控厂商工业控制系统,如PLC、DCS、SCADA、HDMI、Modbus子站暴露在互联网的网络空间中,极其容易被黑客攻击,造成基础设施的破坏。
为了掌握全球范围内有多少工控系统暴露在网络空间里,有多少种工控系统的类型、型号、数量规模及地理分布,迫切需要采用相关技术对互联网空间内的工控系统进行分级主动精确探测识别。
由于互联网空间内的工控系统在网络上具有其自身相应的指纹特性:主要包括设备使用互联网的独有IP、使用的工控协议和开放的特定端口服务,所以目前识别并统计互联网空间内的工业控制系统的通用方法是:
(1)首先明确工控系统所在区域IP地址段;
(2)针对该IP地址段中的每一个IP及相关端口,依次根据各类工控系统的工控协议所对应的端口,建立TCP协议三次握手连接并主动发起对应的数据报文;
(3)如主机不可到达或端口不开放则等待超时时间,如主机可到达或端口开放,则工控系统返回相应的数据报文;
(4)应用程序对返回的数据报文进行解码,找到应用层数据报文,根据应用层数据报文内容中的关键信息与工控设备指纹库里的指纹进行匹配并进行工控系统识别;
(5)如没有接收到返回的数据报文,则依次使用下一个新的IP和端口建立TCP三次握手连接,并发送特定的数据报文。
发明内容
以上背景技术所阐述的现有技术的缺陷有:
1)没有构建完善的地理位置信息库、工控设备指纹库和工控协议插件库,导致不能准确识别工控系统的地理位置、厂商、类型、型号和设备参数等信息。
2)未做主机的存活性和端口的开放性判断,直接对工控系统进行TCP三次握手连接,连接成功则发送工控设备数据报文,连接失败则进入下一个工控系统的探测,导致主机不可到达或端口未开放带来的超时等待时间过长问题。
3)采用单一的主动识别方式而未采用工控协议分级探测方式,导致识别工控系统速度慢,准确度低等问题。
4)不能准确分析工控系统所在的地理位置,如区县。
鉴于现有技术的缺陷,本发明创造采用的技术解决方案如下:
一种精确高效的工控资源定位方法,由无状态扫描、地理位置库、工控系统指纹库、工控协议插件库和工控系统分析组成,其特征在于所述的定位方法由协议初级探测、协议中级探测和协议高级探测分级探测实现。
有益效果:
与现有技术相比,本发明具有以下优点:(1)采用随机分组算法、随机变化源端口、mac地址技术可以有效躲避入侵检测系统的和防火墙的检测。2.采用多线程加无状态扫描技术,并在发送工控协议数据报文前,采用了存活IP和开放端口的检测,减少了对非存活IP和非开放端口建立TCP连接并发送数据报文带来的响应超时的问题,极大提高了后面的工控系统探测效率。
附图说明:
图1本发明创造的流程图。
具体实施方式:
下面结合附图,对本发明创造做进一步阐述:
如图1,本发明创造的前置条件为:地理位置库、工控协议插建库和工控系统指纹库的构建。
(1)地理位置库来源有两种:一种是采用公开的地址库,如纯真数据库,这种直接使用查询里面IP对应的地理位置信息即可。另一种是自主创建的地理位置数据库。自主创建的地理数据库的创建与维护。首先收集公开的地理位置及对应的唯一行政区代码,其次根据通过IP查询行政区域代码的接口进行IP行政区代码查询,最后将接口返回的行政代码与地理位置进行关联,则获取到精确的地理位置,精确到区县级别。
(2)工控系统指纹库来源有两种:一种是开源的工控协议和公开的工控设备探测模块,这种直接搜集里面关键指纹添加到我们的指纹库中即可,另一种是自主发现、挖掘的设备指纹。自主工控系统指纹大多由私有工控协议里的指纹构成,由于缺乏对私有工控协议的手册、研究资料和仿真工具等,所以只能采取抓包、逆向分析技术、补丁对比技术和参考其它工控协议规约特征来建立模型,分析数据内容,协议结构,通信消息,报文序列,来深度解析功能码及对应的含义等信息。
(3)工控协议插件的构建,通过收集研究工控协议资料和开源WIRESHARK协议插件,根据业务需要创建各种工控协议的插件库。基于工控系统指纹机进行协议插件内容的完善。
分级探测的实现主要由协议初级探测、协议中级探测和协议高级探测三部分组成
(1)协议初级探测,首先对IP地址段采用负载均衡机制,将任务均衡的分配给空闲的线程。2.利用IP随机分组算法对指定IP地址段进行拆分避免扫描连续IP地址而触发目标网络的入侵检测设备或防火墙的阻断。3.探测时需要随机变换源端口和源MAC地址,防止触发目标网络里的入侵检测设备或防火墙的阻断,并给指定IP的工控设备端口发送TCP-SYN报文要求建立连接,当目标IP主机存活且端口也开放的时候会返回TCP-SYN+ACK包,当探测线程收到这个报文并确认端口打开后,直接发送TCP-RST报文放弃建立连接,以此来判断该IP主机存活和端口的开放状况,将存活的IP地址存入到协议中级探测的任务池里。
(2)协议中级探测,1.从存活IP和开放端口任务池中对单个IP和协议特定端口去建立完整的TCP连接。2.连接建立成功后,发送该端口特定的工控协议数据报文去等待服务端响应。3.等待超时时间,工控系统返回应答数据包;4.根据协议规约解应答数据报文特定字段的数据与工控系统指纹库进行匹配,精确识别出工控系统所使用的厂商、系统类型、系统型号等信息。5.提取应答数据报文的ip地址与地理位置库进行匹配,精确识别出工控系统所在的地理位置信息。
(3)协议高级探测,将协议初级探测的结果IP地址进行深度探测,利用漏洞巡检和主机扫描等方式,精确识别出工控系统软硬件版本和开放的所有端口及服务,并做脆弱性分析。

Claims (1)

1.一种精确高效的工控资源定位方法,由无状态扫描、地理位置库、工控系统指纹库、工控协议插件库和工控系统分析组成,其特征在于所述的定位方法由协议初级探测、协议中级探测和协议高级探测分级探测实现。
CN201811075656.4A 2018-09-14 2018-09-14 一种精确高效的工控资源定位方法 Pending CN109274551A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811075656.4A CN109274551A (zh) 2018-09-14 2018-09-14 一种精确高效的工控资源定位方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811075656.4A CN109274551A (zh) 2018-09-14 2018-09-14 一种精确高效的工控资源定位方法

Publications (1)

Publication Number Publication Date
CN109274551A true CN109274551A (zh) 2019-01-25

Family

ID=65188350

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811075656.4A Pending CN109274551A (zh) 2018-09-14 2018-09-14 一种精确高效的工控资源定位方法

Country Status (1)

Country Link
CN (1) CN109274551A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111523782A (zh) * 2020-04-14 2020-08-11 杭州迪普科技股份有限公司 工控资产管理方法、装置、设备及存储介质
CN112631222A (zh) * 2020-12-17 2021-04-09 哈尔滨工大天创电子有限公司 互联网工业控制系统的处理方法、系统及计算设备
WO2021138956A1 (zh) * 2020-01-09 2021-07-15 厦门网宿有限公司 一种网络质量的探测方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106713449A (zh) * 2016-12-21 2017-05-24 中国电子科技网络信息安全有限公司 一种快速识别联网工控设备的方法
CN106973071A (zh) * 2017-05-24 2017-07-21 北京匡恩网络科技有限责任公司 一种漏洞扫描方法和装置
US20170353491A1 (en) * 2016-06-01 2017-12-07 Acalvio Technologies, Inc. Deception to Detect Network Scans
CN108390861A (zh) * 2018-01-29 2018-08-10 中国电子科技网络信息安全有限公司 一种网络空间工控资产的威胁检测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170353491A1 (en) * 2016-06-01 2017-12-07 Acalvio Technologies, Inc. Deception to Detect Network Scans
CN106713449A (zh) * 2016-12-21 2017-05-24 中国电子科技网络信息安全有限公司 一种快速识别联网工控设备的方法
CN106973071A (zh) * 2017-05-24 2017-07-21 北京匡恩网络科技有限责任公司 一种漏洞扫描方法和装置
CN108390861A (zh) * 2018-01-29 2018-08-10 中国电子科技网络信息安全有限公司 一种网络空间工控资产的威胁检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
马强等: "联网工业控制系统主动感知预警技术研究", 《信息技术与网络安全》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021138956A1 (zh) * 2020-01-09 2021-07-15 厦门网宿有限公司 一种网络质量的探测方法及装置
CN111523782A (zh) * 2020-04-14 2020-08-11 杭州迪普科技股份有限公司 工控资产管理方法、装置、设备及存储介质
CN111523782B (zh) * 2020-04-14 2023-04-28 杭州迪普科技股份有限公司 工控资产管理方法、装置、设备及存储介质
CN112631222A (zh) * 2020-12-17 2021-04-09 哈尔滨工大天创电子有限公司 互联网工业控制系统的处理方法、系统及计算设备
CN112631222B (zh) * 2020-12-17 2022-05-10 哈尔滨工大天创电子有限公司 互联网工业控制系统的处理方法、系统及计算设备

Similar Documents

Publication Publication Date Title
CN107404465B (zh) 网络数据分析方法及服务器
CN111147513B (zh) 基于攻击行为分析的蜜网内横向移动攻击路径确定方法
WO2019153384A1 (zh) 一种漏洞扫描方法、服务端及系统
EP2760162B1 (en) Method and device for detecting rule optimization configuration
CN106713449A (zh) 一种快速识别联网工控设备的方法
CN109274551A (zh) 一种精确高效的工控资源定位方法
CN109995582B (zh) 基于实时状态的资产设备管理系统及方法
CN104205774A (zh) 网络地址储存库管理
US20120304130A1 (en) Systems, methods, and computer-readable media for monitoring communications on a network
CN108270602A (zh) 一种数据链路的检测方法、装置及系统
CN102404396A (zh) P2p流量识别方法、装置、设备和系统
CN113489720B (zh) 一种超大规模网络中攻击暴露面分析方法及系统
CN111225002A (zh) 一种网络攻击溯源方法、装置、电子设备和存储介质
CN102647302A (zh) 一种针对集群节点网络及端口的监控与管理方法
CN110313161B (zh) 对数据库上的放大攻击的基于ipfix的检测
CN105991755B (zh) 业务报文分发方法及装置
CN110912887A (zh) 一种基于Bro的APT监测系统和方法
CN114189348A (zh) 一种适用于工控网络环境的资产识别方法
EP3944582B1 (en) Monitoring of abnormal host
CN102724068B (zh) 一种在IPv6混合网络中进行审计日志资产识别的方法
CN114760216B (zh) 一种扫描探测事件确定方法、装置及电子设备
Lange et al. Time series data mining for network service dependency analysis
CN113660134A (zh) 端口探测方法、装置、电子装置和存储介质
Barthakur et al. Clusibothealer: botnet detection through similarity analysis of clusters
Hou et al. Survey of cyberspace resources scanning and analyzing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
CB02 Change of applicant information

Address after: 5 / F, building C, Runhe Software Park, 168 software Avenue, Yuhua District, Nanjing City, Jiangsu Province, 210012

Applicant after: Bozhi Safety Technology Co.,Ltd.

Address before: 5 / F, building C, Runhe Software Park, 168 software Avenue, Yuhua District, Nanjing City, Jiangsu Province, 210012

Applicant before: JIANGSU BOZHI SOFTWARE TECHNOLOGY Co.,Ltd.

CB02 Change of applicant information
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20190125

RJ01 Rejection of invention patent application after publication