CN109474540B - 一种识别opc流量的方法及装置 - Google Patents
一种识别opc流量的方法及装置 Download PDFInfo
- Publication number
- CN109474540B CN109474540B CN201811061139.1A CN201811061139A CN109474540B CN 109474540 B CN109474540 B CN 109474540B CN 201811061139 A CN201811061139 A CN 201811061139A CN 109474540 B CN109474540 B CN 109474540B
- Authority
- CN
- China
- Prior art keywords
- data packet
- target data
- connection
- sub
- opc
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 230000003287 optical effect Effects 0.000 title description 5
- 238000012937 correction Methods 0.000 title description 3
- 230000006854 communication Effects 0.000 claims abstract description 109
- 238000004891 communication Methods 0.000 claims abstract description 100
- 230000005540 biological transmission Effects 0.000 claims abstract description 20
- 238000003860 storage Methods 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000009776 industrial production Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000012098 association analyses Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004141 dimensional analysis Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/133—Protocols for remote procedure calls [RPC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的实施例公开了一种识别OPC流量的方法及装置,该方法在服务器和终端建立了通信连接后,获取传输的目标数据包,若判断出该目标数据包是调用DCOM子连接协商接口传输的,则在检测到基于该通信连接创建了子连接后,检测目标数据包的传输的动态接口和协议接口,若传输目标数据包的动态接口就是该子连接的动态接口且协议接口也是属于OPC的协议接口,则该目标数据包生成的流量是OPC流量。该方法充分考虑OPC通信业务的特点,结合通信过程中创建的动态接口和通信过程中使用的协议接口对传输的数据包生成的流量是否属于OPC流量进行判断,实现了对OPC流量的精准识别,消除了数据传输中存在的安全隐患,也为准确地进行OPC流量的统计提供了保障。
Description
技术领域
本发明实施例涉及工控网络安全技术领域,尤其是涉及一种识别OPC流量的方法及装置。
背景技术
随着IT(Information Technology,信息科技)与OT(Operation Technology,操作技术)一体化进程不断的推进,原有的封闭的工控内网也越来越多的与企业IT网络打通。工控自动化、信息化为企业带来了很多便利,但同时也带来了安全隐患。目前安全隐患的防范主要是在IT和工控网络边界部署工业安全网络设备,进行适当的网络风险隔离。
OPC(OLE for Process Control,用于过程控制的OLE,是一种工业标准。本申请中的OPC指的是OPC-Classic)协议基于微软的DCOM(分布式组件对象模式)实现,作为工控领域的重要标准使用很广泛。然而,现有的安全网关设备对OPC的识别仅仅使用了简单粗糙识别技术,在TCP/IP网络模型中也仅仅使用了L4/L7(服务器框架)两个维度进行识别,即DCOM服务和MSRPC协议头部特征识别。目前的这种对OPC进行识别的技术有很大误识别的概率,常常会将普通的MSRPC流量识别成OPC流量,造成系统的误报。如果误识别的流量分发给其他高级功能作进一步处理,可能会引发更严重的错误,甚至影响网络连通性,同时浪费系统资源影响性能。
在实现本发明实施例的过程中,发明人发现现有的对OPC流量的识别方法仅基于DCOM服务和MSRPC协议头部特征进行识别,误识别率较高,使得数据传输存在安全隐患且不利于进行流量的精确统计。
发明内容
本发明要解决现有的对OPC流量的识别方法仅基于DCOM服务和MSRPC协议头部特征进行识别,误识别率较高,使得数据传输存在安全隐患且不利于进行流量的精确统计的问题。
针对以上技术问题,本发明的实施例提供了一种识别OPC流量的方法,包括:
在检测到服务器和终端建立通信连接后,获取通过所述通信连接传输的目标数据包;
若所述目标数据包为调用DCOM子连接协商接口传输的数据包,则判断是否创建了基于所述通信连接的子连接,若是,则获取所述子连接对应的第一动态端口;
根据所述第一动态端口、对应于OPC的协议接口、传输所述目标数据包的第二动态端口和传输所述目标数据包对应的协议接口识别传输所述目标数据包生成的流量是否是OPC流量。
本实施例提供了一种识别OPC流量的装置,包括:
获取模块,用于在检测到服务器和终端建立通信连接后,获取通过所述通信连接传输的目标数据包;
判断模块,用于若所述目标数据包为调用DCOM子连接协商接口传输的数据包,则判断是否创建了基于所述通信连接的子连接,若是,则获取所述子连接对应的第一动态端口;
识别模块,用于根据所述第一动态端口、对应于OPC的协议接口、传输所述目标数据包的第二动态端口和传输所述目标数据包对应的协议接口识别传输所述目标数据包生成的流量是否是OPC流量。
本实施例提供了一种电子设备,包括:
至少一个处理器、至少一个存储器、通信接口和总线;其中,
所述处理器、存储器、通信接口通过所述总线完成相互间的通信;
所述通信接口用于该电子设备和终端或者服务器的通信设备之间的信息传输;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行对应于终端的任一所述的方法。
本实施例提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行对应于终端的任一项所述的方法。
本发明的实施例提供了一种识别OPC流量的方法及装置,该方法在服务器和终端建立了通信连接后,获取传输的目标数据包,若判断出该目标数据包是调用DCOM子连接协商接口传输的,则在检测到基于该通信连接创建了子连接后,检测目标数据包的传输的动态接口和协议接口,若传输目标数据包的动态接口就是该子连接的动态接口且协议接口也是属于OPC的协议接口,则该目标数据包生成的流量是OPC流量。该方法充分考虑OPC通信业务的特点,结合通信过程中创建的动态接口和通信过程中使用的协议接口对传输的数据包生成的流量是否属于OPC流量进行判断,实现了对OPC流量的精准识别,消除了数据传输中存在的安全隐患,也为准确地进行OPC流量的统计提供了保障。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例提供的识别OPC流量的方法的流程示意图;
图2是本发明另一个实施例提供的具体的识别OPC流量的方法的流程示意图;
图3是本发明另一个实施例提供的识别OPC流量的装置的结构框图;
图4是本发明另一个实施例提供的电子设备的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是本实施例提供的一种识别OPC流量的方法的流程示意图,参见图1,该方法包括:
101:在检测到服务器和终端建立通信连接后,获取通过所述通信连接传输的目标数据包;
102:若所述目标数据包为通过DCOM协议传输的数据包,则判断是否创建了基于所述通信连接的子连接,若是,则获取所述子连接对应的第一动态端口;
103:根据所述第一动态端口、对应于OPC的协议接口、传输所述目标数据包的第二动态端口和传输所述目标数据包对应的协议接口识别传输所述目标数据包生成的流量是否是OPC流量。
本实施例提供的方法可以由网关设备、工控网络审计设备、专用的流量统计设备等执行,本实施例对此不做具体限制。本实施例中的服务器通常指OPC服务器(用于存储工业生产的生产数据或者监控数据的服务器),终端通常指OPC终端(用于从OPC服务器或者工业生产数据的终端或者发送工业生产相关命令的终端),OPC服务器和OPC终端作为工控网络中的硬件设备,通常进行工业生产相关数据的传输。执行上述方法的设备通常设置在OPC服务器和OPC终端之间,以对OPC服务器和OPC终端之间传输的数据生成的流量是否为OPC流量进行识别。服务器和终端之间建立的通信连接通常为TCP连接。
需要说明的是,RPC协议中有一些接口是用作DCOM子连接协商接口的,通过接口的UUID(Universally Unique Identifier,通用唯一识别码)判断该接口是否是DCOM子连接协商接口。OPC的通信过程是建立在DCOM子连接的基础上的,且用于进行OPC通信的协议接口也是RPC协议中的一些特定接口,因此,在判断目标数据包是通过子连接传输后,再进行协议接口的判断即可确定出传输的目标数据包生成的流量是否是OPC流量。
本实施例提供了一种识别OPC流量的方法,该方法在服务器和终端建立了通信连接后,获取传输的目标数据包,若判断出该目标数据包是调用DCOM子连接协商接口传输的,则在检测到基于该通信连接创建了子连接后,检测目标数据包的传输的动态接口和协议接口,若传输目标数据包的动态接口就是该子连接的动态接口且协议接口也是属于OPC的协议接口,则该目标数据包生成的流量是OPC流量。该方法充分考虑OPC通信业务的特点,结合通信过程中创建的动态接口和通信过程中使用的协议接口对传输的数据包生成的流量是否属于OPC流量进行判断,实现了对OPC流量的精准识别,消除了数据传输中存在的安全隐患,也为准确地进行OPC流量的统计提供了保障。
进一步地,在上述实施例的基础上,所述根据所述第一动态端口、对应于OPC的协议接口、传输所述目标数据包的第二动态端口和传输所述目标数据包对应的协议接口识别传输所述目标数据包生成的流量是否是OPC流量,包括:
获取传输所述目标数据包的第二动态端口,判断所述第二动态端口与所述第一动态端口是否相同;
若所述第二动态端口与所述第一动态端口相同,则解析通过所述子连接传输所述目标数据包的RPC协议接口的UUID;
若解析出通过所述子连接传输所述目标数据包的RPC协议接口的UUID属于对应于OPC的协议接口的UUID,则传输所述目标数据包生成的流量是OPC流量;
若解析出通过所述子连接传输所述目标数据包的RPC协议接口的UUID不属于对应于OPC的协议接口的UUID,则传输所述目标数据包生成的流量不是OPC流量。
进一步地,在上述各实施例的基础上,还包括:
若所述第二动态端口与所述第一动态端口不相同,则传输所述目标数据包生成的流量不是OPC流量。
第一动态接口是建立子连接时,通过DCOM子连接协商接口协商出的动态接口。由于子连接是通过DCOM子连接协商接口协商出的动态接口,因此子连接中数据传输的通信协议也是RPC协议。
在确定建立了通信连接的子连接后,从目标数据包的TCP头部获取通过子连接传输的第二动态接口,若第二动态接口和创建的子连接的第一动态接口相同,则进一步对目标数据包传输的协议接口进行解析,若解析出的接口的UUID属于对应于OPC的协议接口的UUID,则目标数据包生成的流量是OPC流量。
例如,在RPC协议中,用于在子连接中的OPC的协议接口的UUID可以通过表1表示。
表1 OPC协议接口报文
本实施例提供了一种识别OPC流量的方法,在子连接建立后,结合目标数据包的动态端口和协议接口对目标数据包生成的流量是否属于OPC流量进行判断,能够准确识别出传输的OPC数据。
进一步地,在上述各实施例的基础上,所述在检测到服务器和终端建立通信连接后,获取通过所述通信连接传输的目标数据包之后,还包括:
从所述目标数据包中获取目的端口,判断所述目的端口是否为预设端口;
若所述目的端口为所述预设端口,则判断所述目标数据包是否包含RPC协议特征;
若所述目标数据包包含RPC协议特征,则根据所述目标数据包解析出通过所述通信连接传输所述目标数据包的RPC协议接口的UUID,判断解析出的通过所述通信连接传输所述目标数据包的RPC协议接口的UUID是否属于对应于DCOM子连接协商接口中的UUID;
若解析出的通过所述通信连接传输所述目标数据包的RPC协议接口的UUID属于对应于DCOM子连接协商接口中的UUID,则所述目标数据包为调用DCOM子连接协商接口传输的数据包;
其中,所述预设端口为进行DCOM子连接协商的专用端口。
由于OPC通信是建立在通过DCOM子连接协商接口建立的子连接中,因此需要对建立的通信连接(子连接的父连接)的端口是否为进行DCOM子连接协商的专用端口进行判断。在通信连接的端口是专用端口后,再进一步对协议接口进行判断。目前,本实施例中的预设端口为135端口。
目的端口从目标数据包的TCP头部即可得到。RPC协议特征是目标数据包首包的前两个字节中的05 00的字符。对应于DCOM子连接协商接口是RPC协议中的一些特定接口,这些接口的UUID可以通过表2表示。
表2 DCOM子连接协商接口报文
在获取到目标数据包后,从目标数据包的TCP头部获取目的端口,若该目的端口是135端口,则进一步确认目标数据包传输的通信协议。读取目标数据包首包前两个字符,若首包前两个字符为05 00,则目标数据包传输的通信协议为RPC通信协议。若目标数据包传输的通信协议为RPC通信协议,则读取目标数据包中的bind数据包,解析出RPC协议接口UUID,若UUID是DCOM子连接协商接口的UUID(如表2中所示的UUID),则目标数据包为调用DCOM子连接协商接口传输的数据包。
本实施例提供了一种识别OPC流量的方法,在父连接中通过目的端口、通信协议和协议接口一一判断,对目标数据包是否为调用DCOM子连接协商接口传输的数据包进行判断,只有在目标数据包是调用DCOM子连接协商接口传输的数据包的前提下,目标数据包生成的流量才可能是OPC流量。
进一步地,在上述各实施例的基础上,还包括:
若所述目的端口不是所述预设端口,则所述目标数据包不是通过DCOM协议传输的数据包;
若所述目标数据包不包含RPC协议特征,则所述目标数据包不是通过DCOM协议传输的数据包;
若解析出的通过所述通信连接传输所述目标数据包的RPC协议接口的UUID不属于对应于DCOM子连接协商接口中的UUID,则所述目标数据包不是调用DCOM子连接协商接口传输的数据包。
本实施例提供了一种识别OPC流量的方法,在父连接中,若目标端口不是预设端口、目标数据包不包含RPC协议特征或者通过所述通信连接传输所述目标数据包的RPC协议接口的UUID不属于对应于DCOM子连接协商接口中的UUID,则目标数据包不是调用DCOM子连接协商接口传输的数据包,目标数据包生成的流量也不是OPC流量。
进一步地,在上述各实施例的基础上,所述若所述目标数据包为调用DCOM子连接协商接口传输的数据包,则判断是否创建了基于所述通信连接的子连接,若是,则获取所述子连接对应的第一动态端口,包括:
若所述目标数据包为调用DCOM子连接协商接口传输的数据包,判断是否检测到基于所述通信连接创建TCP连接,若是,则基于所述通信连接创建的TCP连接为所述子连接,获取创建的TCP连接的动态端口作为所述第一动态端口,否则,传输所述目标数据包生成的流量不是OPC流量。
本实施例提供了一种识别OPC流量的方法,由于子连接也是TCP连接,因此在判断目标数据包为调用DCOM子连接协商接口传输的数据包后,直接对是否在父连接上创建了TCP连接。通过创建的TCP连接得到第一动态端口。
图2为本实施例提供的具体的识别OPC流量的方法的流程示意图,图2中的S1表示DCOM父连接。S2表示DCOM子连接。X1表示DCOM子连接协商接口集合,如表2所示。X2表示OPC专有接口集合,如表1所示。参见图2,该识别OPC流量的方法包括:
通信连接通过TCP三次握手建立,即父连接建立,获取父连接S1数据包,从S1数据包的TCP头部得到S1数据包的目的端口;
判断该目的端口是否是135端口,若是,则该S1数据包的传输协议疑似RPC协议,否则,S1数据包的传输协议不是RPC协议,S1数据包生成的流量也不是OPC流量;
若目的端口是135端口,则判断S1数据包的首包前两个字节是否包含05 00的RPC特征,若是,则S1数据包的传输协议是RPC协议,否则,S1数据包的传输协议不是RPC协议,S1数据包生成的流量也不是OPC流量;
若S1数据包的传输协议是RPC协议,则解析RPC接口UUID,若解析出的UUID属于X1,则S1数据包属于DCOM流量,S1数据包生成的流量有可能为OPC流量,否则,S1数据包生成的流量不是OPC流量;
解析出由X1集合中的端口协商的子连接S2,在检测到基于S1创建TCP连接得到子连接的操作后,判断S1数据包的动态端口是否和创建的子连接的动态端口相同,若是,则S1数据包对应的流量为DCOM子连接流量,S1数据包生成的流量有可能为OPC流量,否则,S1数据包生成的流量不是OPC流量;
在判断S1数据包对应的流量为DCOM子连接流量后,解析子连接上的RPC接口UUID,判断解析出的UUID是否属于集合X2,若是,则S1数据包生成的流量是OPC流量,否则,S1数据包生成的流量不是OPC流量。
通俗来说,OPC-Classic基于DCOM实现,终端和服务器之间的通信一般是先建立DCOM协商(135端口),然后在此基础上创建动态端口子连接,真正的OPC通信业务,都是发生在子连接的,子连接所使用的端口是随机的。本实施例提供的识别OPC流量的方法识别DCOM子连接协商接口报文,并进行深入解析,从而识别出子连接的端口,进而可以将DCOM父子连接进行关联分析。OPC通信存在于DCOM子连接中,本实施例提供的识别OPC流量的方法在识别出DCOM子连接的基础之上,进一步识别是否是真实OPC通信;基于OPC通信接口是固定有限的事实,针对子连接报文进行深度解析,对子连接的操作接口进行识别,与OPC接口集合进行匹配。该方法针对OPC-Classic流量进行多维度分析判断,实现对OPC流量的精准识别。
图3示出了本发明的实施例提供的一种识别OPC流量的装置的结构框图,参见图3,本实施例提供的识别OPC流量的装置包括获取模块301、判断模块302和识别模块303,其中,
获取模块301,用于在检测到服务器和终端建立通信连接后,获取通过所述通信连接传输的目标数据包;
判断模块302,用于若所述目标数据包为调用DCOM子连接协商接口传输的数据包,则判断是否创建了基于所述通信连接的子连接,若是,则获取所述子连接对应的第一动态端口;
识别模块303,用于根据所述第一动态端口、对应于OPC的协议接口、传输所述目标数据包的第二动态端口和传输所述目标数据包对应的协议接口识别传输所述目标数据包生成的流量是否是OPC流量。
本实施例提供的识别OPC流量的装置适用于上述实施例中提供的识别OPC流量的方法,在此不再赘述。
本发明的实施例提供了一种识别OPC流量的装置,该装置在服务器和终端建立了通信连接后,获取传输的目标数据包,若判断出该目标数据包是调用DCOM子连接协商接口传输的,则在检测到基于该通信连接创建了子连接后,检测目标数据包的传输的动态接口和协议接口,若传输目标数据包的动态接口就是该子连接的动态接口且协议接口也是属于OPC的协议接口,则该目标数据包生成的流量是OPC流量。该装置充分考虑OPC通信业务的特点,结合通信过程中创建的动态接口和通信过程中使用的协议接口对传输的数据包生成的流量是否属于OPC流量进行判断,实现了对OPC流量的精准识别,消除了数据传输中存在的安全隐患,也为准确地进行OPC流量的统计提供了保障。
图4是示出本实施例提供的电子设备的结构框图。
参照图4,所述电子设备包括:处理器(processor)401、存储器(memory)402、通信接口(Communications Interface)403和总线404;
其中,
所述处理器401、存储器402、通信接口403通过所述总线404完成相互间的通信;
所述通信接口403用于该电子设备和终端或者服务器的通信设备之间的信息传输;
所述处理器401用于调用所述存储器402中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:在检测到服务器和终端建立通信连接后,获取通过所述通信连接传输的目标数据包;若所述目标数据包为调用DCOM子连接协商接口传输的数据包,则判断是否创建了基于所述通信连接的子连接,若是,则获取所述子连接对应的第一动态端口;根据所述第一动态端口、对应于OPC的协议接口、传输所述目标数据包的第二动态端口和传输所述目标数据包对应的协议接口识别传输所述目标数据包生成的流量是否是OPC流量。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:在检测到服务器和终端建立通信连接后,获取通过所述通信连接传输的目标数据包;若所述目标数据包为调用DCOM子连接协商接口传输的数据包,则判断是否创建了基于所述通信连接的子连接,若是,则获取所述子连接对应的第一动态端口;根据所述第一动态端口、对应于OPC的协议接口、传输所述目标数据包的第二动态端口和传输所述目标数据包对应的协议接口识别传输所述目标数据包生成的流量是否是OPC流量。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如,包括:在检测到服务器和终端建立通信连接后,获取通过所述通信连接传输的目标数据包;若所述目标数据包为调用DCOM子连接协商接口传输的数据包,则判断是否创建了基于所述通信连接的子连接,若是,则获取所述子连接对应的第一动态端口;根据所述第一动态端口、对应于OPC的协议接口、传输所述目标数据包的第二动态端口和传输所述目标数据包对应的协议接口识别传输所述目标数据包生成的流量是否是OPC流量。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的电子设备等实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上各实施例仅用以说明本发明的实施例的技术方案,而非对其限制;尽管参照前述各实施例对本发明的实施例进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明的实施例各实施例技术方案的范围。
Claims (14)
1.一种识别OPC流量的方法,其特征在于,包括:
在检测到服务器和终端建立通信连接后,获取通过所述通信连接传输的目标数据包;
若所述目标数据包为调用分布式组件对象模式DCOM子连接协商接口传输的数据包,则判断是否创建了基于所述通信连接的子连接,若是,则获取所述子连接对应的第一动态端口;
根据所述第一动态端口、对应于OPC的协议接口、传输所述目标数据包的第二动态端口和传输所述目标数据包对应的协议接口识别传输所述目标数据包生成的流量是否是OPC流量。
2.根据权利要求1所述的方法,其特征在于,所述根据所述第一动态端口、对应于OPC的协议接口、传输所述目标数据包的第二动态端口和传输所述目标数据包对应的协议接口识别传输所述目标数据包生成的流量是否是OPC流量,包括:
获取传输所述目标数据包的第二动态端口,判断所述第二动态端口与所述第一动态端口是否相同;
若所述第二动态端口与所述第一动态端口相同,则解析通过所述子连接传输所述目标数据包的RPC协议接口的通用唯一识别码UUID;
若解析出通过所述子连接传输所述目标数据包的RPC协议接口的UUID属于对应于OPC的协议接口的UUID,则传输所述目标数据包生成的流量是OPC流量;
若解析出通过所述子连接传输所述目标数据包的RPC协议接口的UUID不属于对应于OPC的协议接口的UUID,则传输所述目标数据包生成的流量不是OPC流量。
3.根据权利要求2所述的方法,其特征在于,还包括:
若所述第二动态端口与所述第一动态端口不相同,则传输所述目标数据包生成的流量不是OPC流量。
4.根据权利要求1所述的方法,其特征在于,所述在检测到服务器和终端建立通信连接后,获取通过所述通信连接传输的目标数据包之后,还包括:
从所述目标数据包中获取目的端口,判断所述目的端口是否为预设端口;
若所述目的端口为所述预设端口,则判断所述目标数据包是否包含RPC协议特征;
若所述目标数据包包含RPC协议特征,则根据所述目标数据包解析出通过所述通信连接传输所述目标数据包的RPC协议接口的UUID,判断解析出的通过所述通信连接传输所述目标数据包的RPC协议接口的UUID是否属于对应于DCOM子连接协商接口中的UUID;
若解析出的通过所述通信连接传输所述目标数据包的RPC协议接口的UUID属于对应于DCOM子连接协商接口中的UUID,则所述目标数据包为调用DCOM子连接协商接口传输的数据包;
其中,所述预设端口为进行DCOM子连接协商的专用端口。
5.根据权利要求4所述的方法,其特征在于,还包括:
若所述目的端口不是所述预设端口,则所述目标数据包不是通过DCOM协议传输的数据包;
若所述目标数据包不包含RPC协议特征,则所述目标数据包不是通过DCOM协议传输的数据包;
若解析出的通过所述通信连接传输所述目标数据包的RPC协议接口的UUID不属于对应于DCOM子连接协商接口中的UUID,则所述目标数据包不是调用DCOM子连接协商接口传输的数据包。
6.根据权利要求1所述的方法,其特征在于,所述若所述目标数据包为调用DCOM子连接协商接口传输的数据包,则判断是否创建了基于所述通信连接的子连接,若是,则获取所述子连接对应的第一动态端口,包括:
若所述目标数据包为调用DCOM子连接协商接口传输的数据包,判断是否检测到基于所述通信连接创建TCP连接,若是,则基于所述通信连接创建的TCP连接为所述子连接,获取创建的TCP连接的动态端口作为所述第一动态端口,否则,传输所述目标数据包生成的流量不是OPC流量。
7.一种识别OPC流量的装置,其特征在于,包括:
获取模块,用于在检测到服务器和终端建立通信连接后,获取通过所述通信连接传输的目标数据包;
判断模块,用于若所述目标数据包为调用分布式组件对象模式DCOM子连接协商接口传输的数据包,则判断是否创建了基于所述通信连接的子连接,若是,则获取所述子连接对应的第一动态端口;
识别模块,用于根据所述第一动态端口、对应于OPC的协议接口、传输所述目标数据包的第二动态端口和传输所述目标数据包对应的协议接口识别传输所述目标数据包生成的流量是否是OPC流量。
8.根据权利要求7所述的装置,其特征在于,所述识别模块还用于获取传输所述目标数据包的第二动态端口,判断所述第二动态端口与所述第一动态端口是否相同;若所述第二动态端口与所述第一动态端口相同,则解析通过所述子连接传输所述目标数据包的RPC协议接口的通用唯一识别码UUID;若解析出通过所述子连接传输所述目标数据包的RPC协议接口的UUID属于对应于OPC的协议接口的UUID,则传输所述目标数据包生成的流量是OPC流量;若解析出通过所述子连接传输所述目标数据包的RPC协议接口的UUID不属于对应于OPC的协议接口的UUID,则传输所述目标数据包生成的流量不是OPC流量。
9.根据权利要求8所述的装置,其特征在于,所述识别模块还用于若所述第二动态端口与所述第一动态端口不相同,则传输所述目标数据包生成的流量不是OPC流量。
10.根据权利要求7所述的装置,其特征在于,所述获取模块还用于从所述目标数据包中获取目的端口,判断所述目的端口是否为预设端口;若所述目的端口为所述预设端口,则判断所述目标数据包是否包含RPC协议特征;若所述目标数据包包含RPC协议特征,则根据所述目标数据包解析出通过所述通信连接传输所述目标数据包的RPC协议接口的UUID,判断解析出的通过所述通信连接传输所述目标数据包的RPC协议接口的UUID是否属于对应于DCOM子连接协商接口中的UUID;若解析出的通过所述通信连接传输所述目标数据包的RPC协议接口的UUID属于对应于DCOM子连接协商接口中的UUID,则所述目标数据包为调用DCOM子连接协商接口传输的数据包;
其中,所述预设端口为传输DCOM数据专用端口。
11.根据权利要求10所述的装置,其特征在于,所述获取模块还用于若所述目的端口不是所述预设端口,则所述目标数据包不是通过DCOM协议传输的数据包;若所述目标数据包不包含RPC协议特征,则所述目标数据包不是通过DCOM协议传输的数据包;若解析出的通过所述通信连接传输所述目标数据包的RPC协议接口的UUID不属于对应于DCOM子连接协商接口中的UUID,则所述目标数据包不是调用DCOM子连接协商接口传输的数据包。
12.根据权利要求7所述的装置,其特征在于,所述判断模块还用于若所述目标数据包为调用DCOM子连接协商接口传输的数据包,判断是否检测到基于所述通信连接创建TCP连接,若是,则基于所述通信连接创建的TCP连接为所述子连接,获取创建的TCP连接的动态端口作为所述第一动态端口,否则,传输所述目标数据包生成的流量不是OPC流量。
13.一种电子设备,其特征在于,包括:
至少一个处理器、至少一个存储器、通信接口和总线;其中,
所述处理器、存储器、通信接口通过所述总线完成相互间的通信;
所述通信接口用于该电子设备和终端或者服务器的通信设备之间的信息传输;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至6中任一项所述的方法。
14.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至6任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811061139.1A CN109474540B (zh) | 2018-09-12 | 2018-09-12 | 一种识别opc流量的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811061139.1A CN109474540B (zh) | 2018-09-12 | 2018-09-12 | 一种识别opc流量的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109474540A CN109474540A (zh) | 2019-03-15 |
| CN109474540B true CN109474540B (zh) | 2022-06-10 |
Family
ID=65664286
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811061139.1A Active CN109474540B (zh) | 2018-09-12 | 2018-09-12 | 一种识别opc流量的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109474540B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111343144B (zh) * | 2020-01-23 | 2022-09-02 | 奇安信科技集团股份有限公司 | 基于Linux的OPC网闸系统及数据处理方法 |
| CN112039916B (zh) * | 2020-09-07 | 2023-04-07 | 北京天融信网络安全技术有限公司 | 基于opc协议的通信方法、装置、电子设备及存储介质 |
| CN114978807A (zh) * | 2022-05-12 | 2022-08-30 | 北京天融信网络安全技术有限公司 | 一种通信方法及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104734903A (zh) * | 2013-12-23 | 2015-06-24 | 中国科学院沈阳自动化研究所 | 基于动态跟踪技术的opc协议的安全防护方法 |
| CN105556916A (zh) * | 2014-08-25 | 2016-05-04 | 华为技术有限公司 | 网络流的信息统计方法和装置 |
| CN105704145A (zh) * | 2016-03-22 | 2016-06-22 | 英赛克科技(北京)有限公司 | 针对opc协议的安全防护方法和系统 |
| CN105827472A (zh) * | 2015-01-04 | 2016-08-03 | 华为技术有限公司 | 网络数据流类型检测方法及装置 |
| CN106921676A (zh) * | 2017-04-20 | 2017-07-04 | 电子科技大学 | 一种基于OPCClassic的入侵检测方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7496668B2 (en) * | 2002-06-28 | 2009-02-24 | Honeywell International Inc. | OPC server redirection manager |
| US9088558B2 (en) * | 2013-08-21 | 2015-07-21 | Owl Computing Technologies, Inc. | Secure one-way interface for OPC data transfer |
-
2018
- 2018-09-12 CN CN201811061139.1A patent/CN109474540B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104734903A (zh) * | 2013-12-23 | 2015-06-24 | 中国科学院沈阳自动化研究所 | 基于动态跟踪技术的opc协议的安全防护方法 |
| CN105556916A (zh) * | 2014-08-25 | 2016-05-04 | 华为技术有限公司 | 网络流的信息统计方法和装置 |
| CN105827472A (zh) * | 2015-01-04 | 2016-08-03 | 华为技术有限公司 | 网络数据流类型检测方法及装置 |
| CN105704145A (zh) * | 2016-03-22 | 2016-06-22 | 英赛克科技(北京)有限公司 | 针对opc协议的安全防护方法和系统 |
| CN106921676A (zh) * | 2017-04-20 | 2017-07-04 | 电子科技大学 | 一种基于OPCClassic的入侵检测方法 |
Non-Patent Citations (2)
| Title |
|---|
| "Modern Distributed Data Acquisition and Control Systems Based on OPC Techniques";Vu Van Tan 等;《 14th Annual IEEE International Conference and Workshops on the Engineering of Computer-Based Systems (ECBS"07)》;20070410;全文 * |
| 工业控制网络互联互通的安全问题;傅一帆等;《微型机与应用》;20171110(第21期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109474540A (zh) | 2019-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106936791B (zh) | 拦截恶意网址访问的方法和装置 | |
| CN109474540B (zh) | 一种识别opc流量的方法及装置 | |
| CN109802953A (zh) | 一种工控资产的识别方法及装置 | |
| CA3159619C (en) | Packet processing method and apparatus, device, and computer-readable storage medium | |
| CN108718298A (zh) | 一种恶意外连流量检测方法及装置 | |
| CN114553730B (zh) | 一种应用识别方法、装置、电子设备及存储介质 | |
| WO2017054307A1 (zh) | 用户信息的识别方法及装置 | |
| CN115442259A (zh) | 系统识别方法及装置 | |
| CN107241307B (zh) | 一种基于报文内容的自学习的网络隔离安全装置和方法 | |
| CN115150207A (zh) | 工业网络设备识别方法、装置、终端设备及存储介质 | |
| CN113938312B (zh) | 一种暴力破解流量的检测方法及装置 | |
| CN112822146A (zh) | 网络连接的监控方法、装置、系统和计算机可读存储介质 | |
| CN101547127A (zh) | 一种内、外网络报文的识别方法 | |
| CN108650274B (zh) | 一种网络入侵检测方法及系统 | |
| CN110635970A (zh) | 物联网设备在线状态识别方法、在线信息平台及服务器 | |
| EP3985920A1 (en) | Network traffic analysis | |
| CN110910233B (zh) | 一种互联网金融平台信用风险监测方法、装置及电子设备 | |
| EP3979583B1 (en) | Smart device identity recognition method and system, electronic device, and storage medium | |
| CN114401103A (zh) | Smb远程传输文件检测方法及装置 | |
| WO2018035770A1 (zh) | 网络异常的处理方法及系统 | |
| CN111404920B (zh) | 应用于工业控制环境的异常检测方法 | |
| CN114189395B (zh) | Plc受攻击停止的风险检测包获取方法及装置 | |
| CN112839084B (zh) | 一种业务处理方法、装置、设备及计算机可读存储介质 | |
| WO2023000819A1 (zh) | 设备查找方法、装置、系统和计算机可读介质 | |
| CN109299218B (zh) | 一种用户信息提取的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Address before: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing. Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |