CN109768870A - 一种基于主动探测技术的工控网络资产发现方法及系统 - Google Patents
一种基于主动探测技术的工控网络资产发现方法及系统 Download PDFInfo
- Publication number
- CN109768870A CN109768870A CN201711095197.1A CN201711095197A CN109768870A CN 109768870 A CN109768870 A CN 109768870A CN 201711095197 A CN201711095197 A CN 201711095197A CN 109768870 A CN109768870 A CN 109768870A
- Authority
- CN
- China
- Prior art keywords
- information
- target device
- address
- industry control
- control network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例涉及计算机网络安全技术领域,具体涉及一种基于主动探测技术的工控网络漏资产发现方法及系统。根据指定的IP范围,自动发现网络中的工控设备,并且自动识别该设备的信息。通过对设备的多个端口进行同时探测,提高目标设备的信息收集效率的准确率。最后通过对比该设备返回的数据包信息与本地的指纹库进行对比,确认该设备上的开放服务信息,将该设备信息和设备服务信息进行入库存储。
Description
技术领域
本发明实施例涉及计算机网络安全技术领域,具体涉及一种基于主动探测技术的工控网络资产发现方法及系统。
背景技术
大多数工业控制系统(ICS)都是几十年前设计和部署的。因而,它们缺乏 IT网络中基本的资产发现和管理功能。不同于高度进化的IT网络世界,工业网络常依赖于人工过程、注释和电子表格,自动化发现解决方案和高级资产管理实践不太完善。很多工控系统管理中存储的工程信息系统的设备信息杂乱,难以获得自身资产的完整视图,跟踪这些资产的改变就变得更加困难了。ICS网络资产管理通常在3个主要方面存在缺陷:发现、维护准确的当前资产清单,以及跟踪资产变化。
自动化资产发现是保护这些网络安全的关键。发现刚部署的新资产,或者退役的旧资产,可提供保护ICS网络所需的可见性,有助于安排安全工作优先级。因为网络部署往往伴随着对原始设计的有记录更改,依赖原始蓝图是不靠谱的。
工控网络具有非常鲜明的特点,首先是封闭性,SCADA、DCS等控制系统和PLC等控制设备;其次是复杂性,工控网络常见的总线协议和应用层协议有几十种,每种通信协议的数据接口不完全相同,这些协议的规约实现也不相同。
典型的ICS网络包含各家厂商出品的控制器(PLC(可编程逻辑控制器)、 RTU(远程终端单元)、DCS(分布式控制系统)),比如通用电气、罗克韦尔自动化、西门子和施耐德电气。每种技术都尤其独特的要求和难点。若不清楚范围内都部署了哪种资产,就难以规划维护项目和设计有效防护。一份包含制造商、当前固件版本、最新补丁和当前配置的,全面完整的资产清单,可以为这些设备带来更好的持续管理,在需要重置设备时也能提供支持备份和恢复。
同时,清单管理通常采用人工过程来跟踪变更,这往往是不准确且易出错的。由于这些网络随时间流逝不断改变,确保完整准确资产清单的唯一办法,就是实现自动化的持续发现过程。由此,网络上新增资产可被及时发现,也有助于跟踪和确认资产是否恰当部署或退役。
发明内容
本发明实施例的一个目的是解决现有的工控网络中资产无法集中发现、维护准确的当前资产清单,以及跟踪资产变化的问题。
本发明实施例提出了一种基于主动探测技术的工控网络资产发现方法,包括:
获取工控网络中设备的IP地址;
根据IP地址获取目标设备的基础信息和服务开放信息;
根据目标信息生成资产信息;
发送所述至少一个测试用例至所述目标设备,并获取所述目标设备响应所述至少一个测试用例生成的反应数据;
根据所述至少一个测试用例和所述反应数据判断所述目标设备的类型以及获取设备信息和设备开放服务。
所述根据IP地址获取所述目标设备的属性信息和设备开放服务的步骤具体包括:
获取所述目标设备组中的目标设备的IP地址。
对所述目标设备的IP地址进行设备协议支持识别、信息通信和指纹识别处理,获取所述目标设备的信息和设备开放服务。
本发明还提出了一种基于主动探测技术的工控网络资产发现的系统,包括:
获取模块,用于获取工控网络中目标设备的IP地址和开放端口;
采集模块,用于根据所述IP地址获取所述目标设备获取所述目标设备发送的反应数据;
生成模块,用于根据所述属性信息生成对应的发送数据包;
分析模块,用于根据接收到的信息根据不同的协议进行分析;
存储模块,用于存储目标设备信息和目标服务信息。
附图说明
通过参考附图会更加清楚的理解本发明的特征和优点,附图是示意性的而不应理解为对本发明进行任何限制,在附图中:
图1示出了本发明一实施例提供的一种基于主动探测技术的工控网络资产发现方法的流程示意图;
图2示出了本发明另一实施例提供的一种基于主动探测技术的工控网络资产发现方法的结构示意图;
图3示出了本发明一实施例提供的一种基于主动探测技术的工控网络资产发现系统的结构示意图;
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1示出了本发明一实施例提供的一种基于主动探测技术的工控网络资产发现方法的流程示意图,参见图1,所述方法可由工控网络资产发现系统来实现,包括:
110、获取工控网络中设备的IP地址;
工控网络在构建的过程中会根据其功能进行区域划分,由于需要接入监控设备所以会为工控终端设备分配IP地址。
进而,处理器可基于目标设备的IP地址范围对设备进行存活扫描。
120、根据所述IP地址远程发送探测数据包;
130、根据所述IP地址的响应数据进行解析判断设备支持的协议;
需要说明的是,在工控网络环境中,工控的设备、软件的数据传输广泛的使用了行业专有与私有通信协议,如Modbus、IEC101/104、DNP3等通用工控协议,当然也存在大量的私有协议。
140、发送所述IP支持的协议内容进行进一步的设备信息和服务信息探测;
150、根据所述IP的响应内容进行解析,识别设备的硬件,操作系统,运行软件(及其相关的版本号,配置参数)等信息。
图2示出了本发明一实施例提供的一种基于主动探测技术的工控网络资产发现方法的结构示意图,参见图2,该方法包括:
S21、根据目标设备的IP地址设置探测的IP范围,从而通过所述测试口的IP地址与所述目标设备建立通信数据通信;
对所述目标设备的IP地址进行探测,发现存活的设备。
S22、发送端口探测包,探测设备端口支持的协议。
S23、根据设备的响应数据包进行解析,进行设备指纹识别处理,获取所述目标设备的属性信息,识别设备的硬件,操作系统,运行软件(及其相关的版本号,配置参数)等信息。
需要说明的是,为了进一步地提高监测效果,步骤S22综合运用多种协议同时对设备的端口进行发包探测,提高端口服务的识别率和识别速度。
S24、测试完成后,自动将设备信息和服务信息进行结构化保存到本地数据库。
图3示出了本发明一实施例提供的一种基于主动探测技术的工控网络资产发现系统的结构示意图,参见图3,该工控网络资产发现系统,包括:获取模块310、采集模块320、生成模块330、分析模块340、以及存储模块350,其中;
310,获取模块,用于获取工控网络中目标设备的IP地址和开放端口;
320,采集模块,用于根据所述IP地址获取所述目标设备获取所述目标设备发送的反应数据;
330,生成模块,用于根据所述属性信息生成对应的发送数据包;
340,分析模块,用于根据接收到的信息根据不同的协议进行分析;
350,存储模块,用于存储目标设备信息和目标服务信息。
需要说明的是,在被触发启动检测是,获取模块310检测目标范围内设备的IP地址,并发送至采集模块320;采集模块320根据所述IP地址获取所述目标设备的属性信息,并将获取到的网络数据包发送给生成模330,由生成模块 330根据所述数据包生成匹配所述目标格式的数据包发送给目标,并通过分析模块340将所述目标端口的返回信息进行分析、获取所述目标设备发送的反应数据,分析模块340将把获取的信息发送给存储模块350,由存储模块350进行保存入库。
Claims (3)
1.一种基于主动探测技术的工控网络资产发现方法,其特征在于,包括:
获取工控网络中设备的IP地址;
根据IP地址获取目标设备的基础信息和服务开放信息;
根据目标信息生成资产信息。
2.根据权利要求1所述的方法,其特征在于,所述根据IP地址获取所述目标设备的属性信息和设备开放服务的步骤具体包括:
获取所述目标设备组中的目标设备的IP地址。
对所述目标设备的IP地址进行设备协议支持识别、信息通信和指纹识别处理,获取所述目标设备的信息和设备开放服务。
3.一种基于主动探测技术的工控网络资产发现系统,其特征在于,包括:
获取模块,用于获取工控网络中目标设备的IP地址和开放端口;
采集模块,用于根据所述IP地址获取所述目标设备获取所述目标设备发送的反应数据;
生成模块,用于根据所述属性信息生成对应的发送数据包;
分析模块,用于根据接收到的信息根据不同的协议进行分析;
存储模块,用于存储目标设备信息和目标服务信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711095197.1A CN109768870A (zh) | 2017-11-09 | 2017-11-09 | 一种基于主动探测技术的工控网络资产发现方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711095197.1A CN109768870A (zh) | 2017-11-09 | 2017-11-09 | 一种基于主动探测技术的工控网络资产发现方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109768870A true CN109768870A (zh) | 2019-05-17 |
Family
ID=66449291
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711095197.1A Pending CN109768870A (zh) | 2017-11-09 | 2017-11-09 | 一种基于主动探测技术的工控网络资产发现方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109768870A (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110247904A (zh) * | 2019-06-04 | 2019-09-17 | 菜鸟智能物流控股有限公司 | 一种扫描方法和装置 |
| CN110351251A (zh) * | 2019-06-20 | 2019-10-18 | 哈尔滨工业大学(威海) | 一种基于过滤技术的工控设备资产探测方法 |
| CN110635971A (zh) * | 2019-10-16 | 2019-12-31 | 杭州安恒信息技术股份有限公司 | 工控资产探测及管理方法、装置和电子设备 |
| CN111709009A (zh) * | 2020-06-17 | 2020-09-25 | 杭州安恒信息技术股份有限公司 | 联网工业控制系统的探测方法、装置、计算机设备和介质 |
| CN111865701A (zh) * | 2020-08-03 | 2020-10-30 | 北京知道创宇信息技术股份有限公司 | 资产确定方法、装置、电子设备及存储介质 |
| CN112202609A (zh) * | 2020-09-28 | 2021-01-08 | 全球能源互联网研究院有限公司 | 一种工控资产探测方法、装置、电子设备及存储介质 |
| CN112235336A (zh) * | 2020-07-08 | 2021-01-15 | 国家计算机网络与信息安全管理中心 | 一种基于协议指纹的区块链节点主动发现方法 |
| CN112637159A (zh) * | 2020-12-14 | 2021-04-09 | 杭州安恒信息技术股份有限公司 | 一种基于主动探测技术的网络资产扫描方法、装置及设备 |
| CN112671553A (zh) * | 2020-11-26 | 2021-04-16 | 中国电子科技网络信息安全有限公司 | 基于主被动探测的工控网络拓扑图生成方法 |
| CN112688806A (zh) * | 2020-12-18 | 2021-04-20 | 国家工业信息安全发展研究中心 | 一种网络资产呈现的方法及系统 |
| CN112883031A (zh) * | 2021-02-24 | 2021-06-01 | 杭州迪普科技股份有限公司 | 工控资产信息获取方法及装置 |
| CN113315769A (zh) * | 2021-05-27 | 2021-08-27 | 杭州迪普科技股份有限公司 | 工控资产信息收集方法及装置 |
| CN114448844A (zh) * | 2022-01-13 | 2022-05-06 | 中国电子科技网络信息安全有限公司 | 一种扫描互联网工业信息系统的方法 |
| CN114448829A (zh) * | 2022-01-18 | 2022-05-06 | 五凌电力有限公司 | 一种工控网络资产探测装置及其探测方法 |
| CN114584477A (zh) * | 2022-02-10 | 2022-06-03 | 烽台科技(北京)有限公司 | 工控资产的探测方法、装置、终端及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101242306A (zh) * | 2008-02-28 | 2008-08-13 | 华为技术有限公司 | 实现网络设备自动发现的方法、系统、设备及服务器 |
| CN101771720A (zh) * | 2009-01-07 | 2010-07-07 | 上海三零卫士信息安全有限公司 | 主动管理技术终端的扫描发现方法 |
| CN104272650A (zh) * | 2012-04-11 | 2015-01-07 | 迈克菲公司 | 资产检测系统 |
| CN105117821A (zh) * | 2015-07-31 | 2015-12-02 | 上海三零卫士信息安全有限公司 | 一种基于分区分域的工控系统信息安全资产识别方法 |
| CN106888106A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 智能电网中的it资产大规模侦测系统 |
-
2017
- 2017-11-09 CN CN201711095197.1A patent/CN109768870A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101242306A (zh) * | 2008-02-28 | 2008-08-13 | 华为技术有限公司 | 实现网络设备自动发现的方法、系统、设备及服务器 |
| CN101771720A (zh) * | 2009-01-07 | 2010-07-07 | 上海三零卫士信息安全有限公司 | 主动管理技术终端的扫描发现方法 |
| CN104272650A (zh) * | 2012-04-11 | 2015-01-07 | 迈克菲公司 | 资产检测系统 |
| EP2837135A1 (en) * | 2012-04-11 | 2015-02-18 | McAfee, Inc. | Asset detection system |
| CN105117821A (zh) * | 2015-07-31 | 2015-12-02 | 上海三零卫士信息安全有限公司 | 一种基于分区分域的工控系统信息安全资产识别方法 |
| CN106888106A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 智能电网中的it资产大规模侦测系统 |
Non-Patent Citations (1)
| Title |
|---|
| 汪航: ""IP资产发现及安全风险管理系统的设计与实现"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110247904A (zh) * | 2019-06-04 | 2019-09-17 | 菜鸟智能物流控股有限公司 | 一种扫描方法和装置 |
| CN110351251A (zh) * | 2019-06-20 | 2019-10-18 | 哈尔滨工业大学(威海) | 一种基于过滤技术的工控设备资产探测方法 |
| CN110351251B (zh) * | 2019-06-20 | 2020-09-01 | 哈尔滨工业大学(威海) | 一种基于过滤技术的工控设备资产探测方法 |
| CN110635971A (zh) * | 2019-10-16 | 2019-12-31 | 杭州安恒信息技术股份有限公司 | 工控资产探测及管理方法、装置和电子设备 |
| CN111709009A (zh) * | 2020-06-17 | 2020-09-25 | 杭州安恒信息技术股份有限公司 | 联网工业控制系统的探测方法、装置、计算机设备和介质 |
| CN112235336A (zh) * | 2020-07-08 | 2021-01-15 | 国家计算机网络与信息安全管理中心 | 一种基于协议指纹的区块链节点主动发现方法 |
| CN111865701B (zh) * | 2020-08-03 | 2023-08-11 | 北京知道创宇信息技术股份有限公司 | 资产确定方法、装置、电子设备及存储介质 |
| CN111865701A (zh) * | 2020-08-03 | 2020-10-30 | 北京知道创宇信息技术股份有限公司 | 资产确定方法、装置、电子设备及存储介质 |
| CN112202609A (zh) * | 2020-09-28 | 2021-01-08 | 全球能源互联网研究院有限公司 | 一种工控资产探测方法、装置、电子设备及存储介质 |
| CN112671553A (zh) * | 2020-11-26 | 2021-04-16 | 中国电子科技网络信息安全有限公司 | 基于主被动探测的工控网络拓扑图生成方法 |
| CN112637159A (zh) * | 2020-12-14 | 2021-04-09 | 杭州安恒信息技术股份有限公司 | 一种基于主动探测技术的网络资产扫描方法、装置及设备 |
| CN112688806A (zh) * | 2020-12-18 | 2021-04-20 | 国家工业信息安全发展研究中心 | 一种网络资产呈现的方法及系统 |
| CN112883031A (zh) * | 2021-02-24 | 2021-06-01 | 杭州迪普科技股份有限公司 | 工控资产信息获取方法及装置 |
| CN113315769A (zh) * | 2021-05-27 | 2021-08-27 | 杭州迪普科技股份有限公司 | 工控资产信息收集方法及装置 |
| CN113315769B (zh) * | 2021-05-27 | 2023-04-07 | 杭州迪普科技股份有限公司 | 工控资产信息收集方法及装置 |
| CN114448844A (zh) * | 2022-01-13 | 2022-05-06 | 中国电子科技网络信息安全有限公司 | 一种扫描互联网工业信息系统的方法 |
| CN114448829A (zh) * | 2022-01-18 | 2022-05-06 | 五凌电力有限公司 | 一种工控网络资产探测装置及其探测方法 |
| CN114584477A (zh) * | 2022-02-10 | 2022-06-03 | 烽台科技(北京)有限公司 | 工控资产的探测方法、装置、终端及存储介质 |
| CN114584477B (zh) * | 2022-02-10 | 2023-06-27 | 烽台科技(北京)有限公司 | 工控资产的探测方法、装置、终端及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109768870A (zh) | 一种基于主动探测技术的工控网络资产发现方法及系统 | |
| US11586256B2 (en) | Server rack for improved data center management | |
| CN103856579A (zh) | 基于mac地址匹配的智能变电站网络设备拓扑动态识别方法 | |
| CN112350846B (zh) | 一种智能变电站的资产学习方法、装置、设备及存储介质 | |
| CN105141449A (zh) | 监控配置的添加方法及装置 | |
| CN102811145B (zh) | 一种网络中板卡的温度监测方法及温度监测系统 | |
| CN111523782B (zh) | 工控资产管理方法、装置、设备及存储介质 | |
| CN102223251A (zh) | 一种网络运维采集分析方法及业务处理装置 | |
| CN105245386A (zh) | 服务器连接关系的自动定位方法和系统 | |
| CN111614778A (zh) | 基于云平台的测试设备远程管控方法 | |
| CN113039755B (zh) | 用于工业控制系统的监测方法、装置、系统和计算机可读介质 | |
| CN204463278U (zh) | 一种点巡检终端、标识设备和点巡检系统 | |
| US11736504B2 (en) | Method and system to detect abnormal message transactions on a network | |
| CN109274551A (zh) | 一种精确高效的工控资源定位方法 | |
| CN113259425A (zh) | 基于61850标准的数据转换方法、变电站网关及存储介质 | |
| CN104915308A (zh) | 一种同时支持tcp和udp的串口接口通信协议栈的方法及装置 | |
| CN111010362B (zh) | 一种异常主机的监控方法及装置 | |
| CN108040131A (zh) | 整机柜服务器自动配置节点管理模块网口地址的方法 | |
| CN101512450B (zh) | 数据记录装置 | |
| CN104065495A (zh) | 判断长发光onu的方法、装置及无源光网络系统 | |
| CN108684039A (zh) | 一种ac集群的自动化管理方法 | |
| CN104092677A (zh) | 物联网数据的交换方法和交换装置 | |
| CN102142996B (zh) | 云操作系统中一种物理节点的识别方法及装置 | |
| CN105515841B (zh) | 基于FPGA的Snmp信息采集系统及监控方法 | |
| CN110505443A (zh) | 一种视频监控设备替换自动检测方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190517 |