CN109922026A - 一个ot系统的监测方法、装置、系统和存储介质 - Google Patents
一个ot系统的监测方法、装置、系统和存储介质 Download PDFInfo
- Publication number
- CN109922026A CN109922026A CN201711329002.5A CN201711329002A CN109922026A CN 109922026 A CN109922026 A CN 109922026A CN 201711329002 A CN201711329002 A CN 201711329002A CN 109922026 A CN109922026 A CN 109922026A
- Authority
- CN
- China
- Prior art keywords
- assets
- information
- data grouping
- api
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/26—Special purpose or proprietary protocols or architectures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及工业安全技术领域,尤其涉及运营技术OT系统的监测方法、装置、系统和存储介质,以提高一个OT系统的可视性,有效防范安全风险。本发明实施例提供的一个OT监测系统包括:至少一个网络传感器,被配置为用于获取一个OT系统中传输的至少一个数据分组并发送至一个OT监测装置;OT监测装置,被配置为用于从获取的至少一个数据分组中提取OT系统中包括的至少一个资产的信息,根据提取的至少一个资产的信息提供第一应用程序编程接口API,第一API被调用时生成OT系统的资产目录,或者根据提取的至少一个资产的信息确定OT系统的资产目录。OT系统的资产目录能够提高OT系统的可视性,使得安全风险定位更准确。
Description
技术领域
本发明涉及工业安全技术领域,尤其涉及一种运营技术(OperationalTechnology,OT)系统的监测方法、装置、系统和存储介质。
背景技术
OT系统,也可称为工业控制系统(Industrial Control System,ICS),用于实现工业过程的自动控制。一个OT系统可以是一个风力发电系统、一个汽车制造车间、一个制药厂、一个城市的污水处理系统等。
传统的OT系统采用封闭式设计,网络攻击很难对其造成威胁。但是随着自动化制造、过程控制技术的发展,OT系统广泛采用了信息技术(Information Technology,IT)技术,已不是一个封闭的系统,但目前的OT系统还缺少完备的安全监测机制以及时发现OT系统面临的安全风险。
OT系统的复杂性和可变性增加了安全监测的难度。如何对一个复杂的、动态变化的OT系统进行有效的安全监测成为目前亟需解决的问题。
发明内容
为了更好地监测一个OT系统,准确定位安全风险,首先需要提高该OT系统的可视性。本发明实施例提供一种OT系统的监测方法、装置、系统和存储介质,用以提高一个OT系统的可视性,以便更好地监测该OT系统,有效防范安全风险。
第一方面,提供一种运营技术OT监测方法。该方法可由本发明实施例提供的OT监测装置执行。该方法中,首先获取一个OT系统中传输的至少一个数据分组;然后从获取的所述至少一个数据分组中提取所述OT系统中包括的至少一个资产的信息;最后根据提取的所述至少一个资产的信息,确定所述OT系统的资产目录。其中,OT系统的资产目录能够提高OT系统的可视性,使得安全风险定位更准确。其中,OT系统的资产可包括但不限于OT系统中的各个设备、软件、程序等,比如:工业控制器、工业主机、路由器和交换机等网络设备,以及工业软件等。
可选地,从获取的所述至少一个数据分组的传输层头部中,提取所述至少一个资产的网络信息,并确定所述资产目录中包括所述至少一个资产的网络信息。这样,在资产目录中包括资产的网络信息,便于安全风险在网络中的定位。
可选地,将获取的所述至少一个数据分组按照工业协议进行分类,对于分类得到的每一种工业协议,从采用该工业协议的数据分组中该工业协议的数据载荷中提取所涉及的资产的资产描述信息,确定所述资产目录中包括所述至少一个资产的资产描述信息。通过对数据分组按照工业协议分类,可深入分析数据分组中某种工业协议的数据载荷以获取资产的资产描述信息,将资产描述信息置于资产目录中,可进一步高OT系统的可视性。
可选地,还可根据获取的所述至少一个数据分组,确定所述OT系统中包括的至少一个资产之间的网络连接关系;根据确定的所述至少一个资产之间的网络连接关系,确定所述OT系统的网络拓扑。这样,给出了一种获得OT系统的网络拓扑的方案。
进一步地,对于所述OT系统的至少一个子网中的每一个,分别获取该子网的数据分组;根据从所述至少一个子网中的每一个子网获取的数据分组,确定该子网所包括的资产;进而确定所述OT系统的网络拓扑中包括所述至少一个子网的信息。在网络拓扑中包括子网的信息,在出现网络风险时可进一步缩小定位范围。
可选地,所述至少一个资产的数量为复数个,所述方法中,还可从获取的所述至少一个数据分组中提取所述至少一个资产之间的通信信息,根据确定的所述至少一个资产之间的通信信息确定所述至少一个资产的资产特征,并根据确定的所述至少一个资产的通信信息,确定所述OT系统中的所述至少一个资产的资产特征的变化。这样,可达到对OT系统变化的监测,有助于快速发现OT系统可能存在的异常情况。
可选地,该方法中,还可将获取的所述至少一个数据分组按照工业协议进行分类,对于分类得到的每一种工业协议,从采用该工业协议的数据分组中的该工业协议的数据载荷中提取针对所涉及的资产的操作信息,根据提取的操作信息确定针对所述OT系统的操作。这样可实现对OT系统操作的监测,可及时发现针对OT系统的异常操作。
第二方面,提供一种运营技术OT监测方法,该方法可由本发明实施例提供的OT监测装置执行。该方法中,首先,获取一个OT系统中传输的各个数据分组,然后,从获取的所述至少一个数据分组中提取所述OT系统中包括的至少一个资产的信息,最终,根据提取的所述至少一个资产的信息提供第一应用程序编程接口API,所述第一API用于被调用以生成所述OT系统的资产目录。其中,OT系统的资产目录能够提高OT系统的可视性,使得安全风险定位更准确。
可选地,从获取的所述至少一个数据分组的传输层头部中,提取所述至少一个资产的网络信息,并提供所述第一API,以使所述第一API被调用时,在生成的所述OT系统的资产名录中的资产的信息中包括该资产的网络信息。这样,在资产目录中包括资产的网络信息,便于安全风险在网络中的定位。
可选地,将获取的所述至少一个数据分组按照工业协议进行分类,对于分类得到的每一种工业协议,从采用该工业协议的数据分组中该工业协议的数据载荷中提取所涉及的资产的资产描述信息,提供所述第一API,以使所述第一API被调用时,在生成的OT系统的资产名录中的资产的信息中包括该资产的资产描述信息。通过对数据分组按照工业协议分类,可深入分析数据分组中某种工业协议的数据载荷以获取资产的资产描述信息,将资产描述信息置于资产目录中,可进一步高OT系统的可视性。
可选地,还可根据获取的所述至少一个数据分组,确定所述OT系统中包括的至少一个资产之间的网络连接关系,并根据确定的所述至少一个资产之间的网络连接关系提供一个第二API,所述第二API用于被调用以生成所述OT系统的网络拓扑。这样,给出了一种获得OT系统的网络拓扑的方案。
进一步地,对于所述OT系统的至少一个子网中的每一个,分别获取该子网的数据分组,并根据从所述至少一个子网中的每一个子网获取的数据分组,确定该子网所包括的资产,进而提供所述第二API,以使所述第二API被调用时,在生成的所述OT系统的网络拓扑中包括所述至少一个子网的信息。在网络拓扑中包括子网的信息,在出现网络风险时可进一步缩小定位范围。
可选地,所述至少一个资产的数量为复数个,所述方法中,还可从获取的所述至少一个数据分组中提取所述至少一个资产之间的通信信息,根据确定的所述至少一个资产之间的通信信息提供一个第三API,所述第三API用于被调用以确定所述OT系统中的所述至少一个资产的资产特征,所述第三API还用于被调用以确定所述OT系统违反确定的所述至少一个资产的资产特征的变化。这样,可达到对OT系统变化的监测,有助于快速发现OT系统可能存在的异常情况。
可选地,该方法中,还可将获取的所述至少一个数据分组按照工业协议进行分类,对于分类得到的每一种工业协议,从采用该工业协议的数据分组中的该工业协议的数据载荷中提取针对所涉及的资产的操作信息,并根据提取的操作信息提供一个第四API,所述第四API用于被调用以确定针对所述OT系统的操作。这样,可实现对OT系统操作的监测,可及时发现针对OT系统的异常操作。
第三方面,提供一种运营技术OT系统监测方法。该方法可由本发明实施例提供的OT监测应用装置执行,该方法中,调用至少一个API,通过调用所述至少一个API以实现对一个OT系统的如下监测项目中的至少一项:生成所述OT系统的资产名录,确定所述OT系统的网络拓扑,确定所述OT系统中的至少一个资产的资产特征,确定所述OT系统中的所述至少一个资产的资产特征的变化,确定针对所述OT系统的操作。这样,通过调用API可方便地获得一个OT系统的诸如资产目录、网络拓扑、资产特征及其变化,以及对OT系统的操作,可提高该OT系统的可视性,使得安全风险定位更准确。
第四方面,提供一种运营技术OT监测系统。该系统可包括:至少一个网络传感器,被配置为用于获取一个OT系统中传输的至少一个数据分组,并发送至一个OT监测装置;所述OT监测装置,被配置为用于从所述至少一个网络传感器处获取所述至少一个数据分组,从获取的所述至少一个数据分组中提取所述OT系统中包括的至少一个资产的信息,根据提取的所述至少一个资产的信息提供第一应用程序编程接口API,所述第一API用于被调用以生成所述OT系统的资产目录,或者根据提取的所述至少一个资产的信息确定所述OT系统的资产目录。其中,OT系统的资产目录能够提高OT系统的可视性,使得安全风险定位更准确。
可选地,可从抓取的数据分组的传输层头部获取资产的网络信息。对抓取的数据分组按照工业协议分类,并从工业协议的数据载荷中获取资产的描述信息。网络信息和资产的描述信息被提供在OT系统的资产名录中,可进一步提高OT系统的可视性。
可选地,还可确定OT系统的网络拓扑、通过为网络流量标识子网标识,可确定一个资产所属的子网,并在OT系统的网络拓扑中对一个资产所属的子网进行标识,可在OT系统出现安全风险时更准确地定位风险。
可选地,还可根据资产之间的通信信息确定资产的资产特征,进而根据通信信息确定OT系统的变化,及时发现OT系统的资产特征变化和可能存在的安全风险。
可选地,采用本发明实施例还可对抓取的数据分组按照工业协议进行分类,对于不同的工业协议,从该工业协议的数据载荷中提取对资产的操作信息,进而确定对OT系统的操作。可及时发现针对OT系统的危险操作。
第五方面,提供一种运营技术OT监测装置。该装置可用于执行第一方面或第一方面的任一种可能的实现方式提供的方法。其中,该装置中的数据获取模块可被配置为用于获取一个OT系统中传输的至少一个数据分组;该装置中的信息提取模块可被配置为用于从所述数据获取模块获取的所述至少一个数据分组中提取所述OT系统中包括的至少一个资产的信息(其中可包括资产的网络信息、资产的资产描述信息等),此外,信息提取模块还可提取所述至少一个资产之间的网络连接关系、资产所属的子网的信息、所述至少一个资产之间的通信信息、针对资产的操作信息等;该装置中的监测模块被配置为用于根据所述信息提取模块提取的所述至少一个资产的信息,确定所述OT系统的资产目录,此外,还可被配置为用于生成所述OT系统的网络拓扑,可选地,可在网络拓扑中包括资产所属的子网的信息,此外,还可被配置为用于确定资产的资产特征及其变化,以及针对所述OT系统的操作。或者,该装置中的监测模块被配置为用于根据所述信息提取模块提取的所述至少一个资产的信息提供第一应用程序编程接口API,所述第一API用于被调用以生成所述OT系统的资产目录、生成所述OT系统的网络拓扑、确定资产的资产特征及其变化,以及确定针对所述OT系统的操作等。
OT系统的资产目录能够提高OT系统的可视性,使得安全风险定位更准确。网络信息和资产的描述信息被提供在OT系统的资产名录中,可进一步提高OT系统的可视性。确定OT系统的网络拓扑,及在网络拓扑标识资产所属的子网,可在OT系统出现安全风险时更准确地定位风险。根据资产间的通信信息确定OT系统的变化,可及时发现OT系统的资产变化和可能存在的安全风险。对抓取的数据分组按照工业协议进行分类,对于不同的工业协议,从该工业协议的数据载荷中提取对资产的操作信息,进而确定对OT系统的操作,可及时发现针对OT系统的危险操作。
第六方面,提供一种运营技术OT监测应用装置,包括一个应用程序编程API调用模块,被配置为用于调用至少一个API;一个应用实现模块,被配置为用于通过调用所述至少一个API以实现对一个OT系统的如下监测项目中的至少一项:生成所述OT系统的资产名录、确定所述OT系统的网络拓扑、确定所述OT系统中的至少一个资产之间的逻辑关系、确定所述OT系统的所述至少一个资产的资产特征的变化,和确定针对所述OT系统的操作。OT系统的资产目录能够提高OT系统的可视性,使得安全风险定位更准确。确定OT系统的网络拓扑,可在OT系统出现安全风险时更准确地定位风险。确定资产间的资产特征及其变化,可及时发现OT系统的资产变化和可能存在的安全风险。确定对OT系统的操作,可及时发现针对OT系统的危险操作。
第七方面,提供一种OT监测装置,包括:至少一个存储器,被配置为用于存储机器可读指令,至少一个处理器,被配置为用于调用所述至少一个存储器上存储的机器可读指令执行第一方面、第一方面的任一种可能的实现方式、第二方面或第二方面的任一种可能的实现方式提供的方法。
第八方面,提供一种OT监测应用装置,包括:至少一个存储器,被配置为用于存储机器可读指令;至少一个处理器,被配置为用于调用所述至少一个存储器上存储的机器可读指令执行第三方面提供的方法。
第九方面,提供一种机器可读介质,其上存储有机器可读指令,所述机器可读指令在被至少一个处理器调用时执行第一方面、第一方面的任一种可能的实现方式、第二方面、第二方面的任一种可能的实现方式或第三方面提供的方法。
附图说明
图1为一种OT系统的示意图;
图2为本发明实施例提供的一种OT监测系统的示意图。
图3为本发明实施例提供的一种OT监测系统的协议栈结构示意图。
图4为本发明实施例提供的一种OT监测方法的流程图。
图5为本发明实施例提供的一种OT监测装置的结构示意图。
图6为本发明实施例提供的另一种OT监测装置的结构示意图。
图7为本发明实施例提供的OT监测应用装置的一种结构示意图。
图8为本发明实施例提供的OT监测应用装置的另一种结构示意图。
附图标记列表:
具体实施方式
如前所述,OT系统的复杂性和可变性增加了对OT系统进行安全监测的难度。本发明实施例中,通过提高一个OT系统的可视性,改善对该OT系统的监测结果,以有效防范安全风险。其中,一个OT监测系统抓取该OT系统中传输的数据分组,从抓取的数据分组中提取该OT系统中包括的至少一个资产的信息,进而根据提取的至少一个资产的信息,确定该OT系统的资产目录。OT系统的资产目录能够提高OT系统的可视性,使得安全风险定位更准确。
其中,可从抓取的数据分组的传输层头部获取资产的网络信息。对抓取的数据分组按照工业协议分类,并从工业协议的数据载荷中获取资产的描述信息。网络信息和资产的描述信息被提供在OT系统的资产名录中,可进一步提高OT系统的可视性。
此外,采用本发明实施例还能够确定OT系统的网络拓扑、通过为网络流量标识子网标识,可确定一个资产所属的子网,并在OT系统的网络拓扑中对一个资产所属的子网进行标识,可在OT系统出现安全风险时更准确地定位风险。
此外,采用本发明实施例还可根据资产之间的通信信息确定资产的资产特征,进而根据通信信息确定OT系统的资产特征变化,及时发现OT系统的资产变化和可能存在的安全风险。
此外,采用本发明实施例还可对抓取的数据分组按照工业协议进行分类,对于不同的工业协议,从该工业协议的数据载荷中提取对资产的操作信息,进而确定对OT系统的操作。可及时发现针对OT系统的危险操作。
为了使本发明更容易被理解,下面,对OT系统以及本发明实施例中涉及的一些描述加以解释。需要说明的是,这些解释不应视为对本发明所要求保护范围的限定。
1、OT系统
OT利用硬件和软件,通过直接的监测和/或控制一个企业中的物理设备(physicaldevice)、过程和事件而实现检测或控制。一个OT系统使用计算机来监测或改变一个系统的物理状态。OT系统的例子有:数据采集与监测控制(Supervisory Control And DataAcquisition,SCADA)系统、分布式控制系统(Distributed Control System,DCS)、计算机数字控制(Computer Numerical Control,CNC)系统(包括计算机化的机械工具),以及科学设备(比如:数字示波器)。
图1为一个OT系统10的示意图。如图1所示,该OT系统10可包括但不限于如下设备:
1)至少一个工业控制器1011
一个工业控制器1011可为一个可编程逻辑控制器(Programmable LogicalController,PLC)、DCS控制器、RTU等。
2)至少一个工业主机1012
工业主机1012可包括基于个人电脑(Personal Computer,PC)实现的各种工作站或服务器等上位机。比如工程师站、操作员站、服务器等。工业主机1012还可包括人机界面(Human Machine Interface,HMI)。一个工业控制系统中,一个工业主机通过工业以太网监测和控制工业控制器1011,比如:控制工业控制器1011从现场设备处读取数据(例如从传感器读取现场设备的状态参数),将数据保存到历史数据库中,按照操作员的指令或按照预设的控制程序或逻辑,向工业控制器1011发送控制命令等。其中,工程师站也可对工业控制器1011进行配置。
3)至少一个网络设备1013
网络设备1013构成一个工业控制网络,以连接各个工业控制器1011和工业主机1012。目前,越来越多的工业控制网络基于工业以太网实现,工业以太网内的通信可基于传输控制协议(Transmission Control Protocol,TCP)、用户数据报协议(User DatagramProtocol,UDP)、互联网协议(Internet Protocol,IP)等。网络设备1013可包括但不限于:路由器、交换机等。
OT系统10中包括的各设备,比如:工业控制器1011、工业主机1012以及网络设备1013也可称为OT系统10中的资产,此外,资产还可包括OT系统10中运行的一些软件、程序等。其中,部分资产可属于同一个子网100,如图1所示。
2、网络监测
网络监测的方法或工具可包括但不限于如下两类:主动的(active)网络监测和被动的(passive)网络监测。主动的网络监测向网络发送探测的网络流量,测量或监测网络的反馈。主动的网络监测就像是一个受控的实验,较适用于获取网络性能的特定方面的数据。被动的网络监测仅监测已经在网络上传输的网络流量,通过在网络上连接的设备抓取网络分组用于分析。
本发明实施例,可通过部署网络传感器抓取一个OT系统的网络流量,对OT系统进行被动的网络监测,OT系统自身运行不受影响。
3、网络流量的抓取
网络流量的抓取,或称为分组抓取,用于获得一个特定的网络中传输的数据分组,可采用一段计算机程序或硬件将一个网络或网络的部分中传输的网络流量进行翻译和记录。当分组在网络中传输时进行抓取,按需解码分组的原始数据,给出分组中各个不同字段的取值并分析分组内容。抓取的网络流量可包括下列流量中的至少一种:在网络内部的设备之间传输的数据分组、从外部设备进入网络的数据分组,以及从网络传输到外部的数据分组等。
对于有线的广播局域网,诸如以太网、令牌环网、光纤分布式数据接口(FiberDistributed Data Interface,FDDI)网等,取决于网络结构(基于交换机或基于hub),可通过一个单独的设备抓取该网络的全部或部分的网络流量。在一个网络上部署抓取设备的方法包括但不限于:将抓取设备连接到该网络的一台交换机或路由器的交换端口分析器(Switch Port Analyzer,SPAN)端口上进行端口镜像,可抓取经过该交换机的所有端口的所有分组。或者,使用一个网络分流器(network tap),这样网络流量就会从网络中流向该网络分流器。对于无线局域网,可在某一个特定的信道上抓取网络流量,或者使用多个适配器在几个信道上抓取网络流量。
本发明的部分实施例中,在抓取网络流量时,可抓取网络流量中的数据分组的整个报文(包括数据载荷)。这样做的好处是,可从中提取所有以太网或IP活动的信息,用于网络取证(network forensics)或网络安全分析。抓取网络流量中的数据分组的整个报文,以避免因为遗漏了任何数据分组而无法再重新获取。这对于无法预测网络行为的情况更为重要,比如:网络管理员通常并不知道一个高级持续性威胁(Advanced Persistent Threat,APT)的特征和运行方式,这样就无法预测APT的到来,通过抓取网络中传输的数据分组的整个报文,进而进行数据分析,能够避免信息遗漏,准确获取APT的特征,进而进行风险评估和预测,有效防范网络安全威胁。
本发明实施例可采用被动的网络监测方法,抓取OT系统中传输的大量的数据分组(包括分组头部和数据载荷),并从抓取的数据分组中提取大量信息。比如:从传输控制协议(Transmission Control Protocol,TCP)头部中获取信息以确定OT系统的网络拓扑,识别在网络设备上运行的服务和操作系统,和潜在的恶意行为。
安全风险防范能力的不足以及较长的运行时间,使得一个OT系统较容易收到网络攻击。本发明实施例中,可通过抓取OT系统中传输的数据分组,运行各种应用以监测OT系统,建立OT系统的资产目录、发现网络拓扑、监测系统变化以及网络行为、针对OT系统的操作等,可有效提高OT系统的可视性。其中,可采用被动的网络监测方法以避免向OT系统诸如额外的数据分组而影响OT系统的运行。
下面,结合附图对本发明各实施例进行详细说明。
图2为本发明实施例提供的一种OT监测系统11的示意图。如图2所示,该OT监测系统11可包括:
至少一个网络传感器111,可部署在OT系统10的各个子网上,获取OT系统10中传输的至少一个数据分组20。可选地,网络传感器111可获取OT系统10中传输的所有数据分组20,以实现对OT系统10的完整的准确的监测。网络传感器111可将收到的至少一个数据分组20组织成PCAP数据发送到OT监测装置112。本发明实施例中,网络传感器111可采用被动的网络监测方法获取数据分组20,比如使用SPAN进行端口镜像,或者使用网络分流器。网络传感器111的使用提供了一种专用的、适应工业环境的低成本的数据分组抓取方案,可用于抓取一个OT系统10中不同子网的数据分组20。网络传感器111在硬件结构上可具有两个网络接口,一个用于从OT系统10中抓取数据分组20,另一个用于将抓取的数据分组20转发至OT监测装置112。使用两个网络接口可避免转发数据分组20占用OT系统10的网络带宽,避免影响OT系统10的生产和运行。
一个OT监测装置112,用于接收来自网络传感器111的数据分组20,进行数据准备和分析。OT监测装置112可向每一个网络传感器111提供一个服务,以使得网络传感器111上传从OT系统10的不同子网抓取的数据分组20。一种可选的实现方式是,OT监测装置112从数据分组20中提取OT监测系统11的信息30,并基于信息30向外提供API,供第三方应用12调用以实现对OT系统10的监测。另一种可选的实现方式是,OT监测装置112自身基于信息实现对OT系统10的监测。
图3为本发明实施例提供的OT监测系统10的一种可选的协议栈结构的示意图。如图3所示,该协议栈可包括如下五层:
数据获取层501
该层用于获取OT系统10中传输的数据分组20。
该层可包括网络传感器111和OT监测装置112中的汇聚功能,用于汇聚来自不同的网络传感器111的PCAP格式的数据分组20。数据获取层501还可从OT系统10中的各个子网100处获取数据分组20,合并到一起,并进行数据清洗,比如:去掉由不同的网络传感器111抓取的冗余的数据分组20,为数据分组20标记网络传感器111的标识,以用于下一步的处理。
数据准备层502
该层主要包括以下几部分:
1)数据过滤模块5021
该模块用于将原始的数据分组20按照协议分为不同的分组序列,相同协议或同类协议的数据分组20分到一个序列中。比如:采用链路层发现协议(Link Layer DiscoveryProtocol,LLDP)的所有数据分组20会分到一个序列中,采用的S7通信(S7Comm)的所有数据分组会分到另一个序列中,等等。
2)信息提取模块5022
该模块可用于从数据分组20的帧或分组中获取通用IT协议的信息,比如从数据分组20的MAC/IP/TCP/UDP头中获取如下信息:媒体访问控制(Medium Access Control,MAC)地址、互联网协议(Internet Protocol,IP)地址、传输控制协议(Transmission ControlProtocol,TPC)/用户数据报协议(User Datagram Protocol,UDP)端口号、TCP标记(flag)等。
该模块还可基于网络传感器111的部署推导出OT系统10中资产之间的网络连接关系302。比如:来自同一个网络传感器111的数据分组20可能来自同一个路由器或交换机1013,即来自同一个子网。
该模块还可基于网络协议的知识监测OT系统10的网络行为。比如:当一个TCP分组经过一个路由器时,该路由器会将TTL字段的取值减1,因此,当该模块监测到该TTL字段取值减1的现象,则可确定该TCP分组经过了一个路由器而不是交换机。
该模块还可基于网络的基本知识进一步推导。比如:如果一组资产101均具有诸如192.168.0.*这样的前缀,则可确定该组资产101所属的子网的地址可能是192.168.0.0/24。
3)深度报文解析(Deep Packet Analytic,DPA)插件
用于从一个指定协议的数据分组20的数据载荷中提取信息,还可用于将提取出的各种信息进行关联,以生成对OT系统10有价值的信息。根据DPA插件处理的协议部分,可分为:DPA LLDP插件5023a、DPA PN-DCP插件5023b、DPA S7Comm插件5023c以及DPA其他5023d(用于处理其他协议)。DPA插件得到的信息包括但不限于:资产的信息301,比如:资产名称、硬件版本、固件版本等。DPA插件可从各个工业协议,诸如LLDP、PROFINET-DCP等的数据载荷中提取这些信息;以及OT系统10中资产之间的通信信息303,和针对OT系统10中资产的操作信息304。
数据存储层503
用于存储由数据准备层502准备好的信息30,其中可包括:OT系统10中资产的信息301、OT系统10中资产之间的网络连接关系302、OT系统10中资产之间的通信信息303,以及针对OT系统10中资产的操作信息304。信息存储的形式包括但不限于:数据库存储、文件存储、缓存等。
API504
基于从数据存储层503存储的各项信息30,向各种不同的应用505提供API。
应用505
通过调用API,获得OT系统10的信息30,可实现的应用505包括但不限于:
1)资产目录生成应用5051(生成资产目录401)
2)网络拓扑发现应用5052(确定OT系统10的网络拓扑402)
3)变化监测应用5053(确定OT系统10中资产的资产特征4031和OT系统10的变化)
4)操作监测应用5054(确定针对OT系统10的操作)
此外,还可包括网络负载监测、网络行为监测、工业应用监测,威胁监测等。
一种可选的实现方式是,上述协议栈结构中,OT监测装置112实现了数据获取层501中的数据清洗等功能(如前所述)、数据准备层502的功能、数据存储层503的功能,以及API504的功能,向外提供API。而应用505由其他第三方设备开发和实现。另一种可选的实现方式是,OT监测装置112不提供API,而是由自身完成各种应用505,对于该方式,应用505可视为OT监测装置112的一部分。
图4为本发明实施例提供的一种OT监测方法的流程图。如图4所示,该方法可包括如下步骤:
S401:网络传感器111抓取OT系统10中传输的至少一个数据分组20。
如前所示,网络传感器111可部署在OT系统10的不同子网上。通过在一个子网的交换机或路由器上配置SPAN端口,或在线缆上部署网络分流器,网络传感器111可采用被动的网络监测方式从OT系统10中抓取数据分组20。可选地,网络传感器111抓取OT系统10中传输的所有分组。
S402:网络传感器111将抓取的数据分组20发送至OT监测装置112。
网络传感器111可将抓取的数据分组20以PCAP格式发送至OT监测装置112。为了避免影响OT系统10自身的通信,网络传感器111可通过单独的网络接口发送抓取的数据分组20。可选地,网络传感器111还可具有本地缓存的功能,当其与OT监测装置112断开连接是可存储一定量的数据分组20,待连接恢复再将缓存的数据分组20发送出去。
S403:OT监测装置112对于抓取的数据分组20进行数据清洗。
OT监测装置112在从网络传感器111处获取数据分组20后,可首先进行数据清洗,包括但不限于:去除不相关的数据分组20,去除冗余的数据分组20,将重复发送的数据分组20合并等。
S404:OT监测装置112为数据分组20标记网络传感器111的标识。
S405:OT监测装置112从数据分组20中提取信息30。
该步骤中,被清洗过且标识了网络传感器111标识的数据分组20被分析以提取关于OT系统10中各个资产101以及网络的信息30。信息30可包括:以太帧或IT/TCP/TDP分组的头中提取的网络信息,比如:MAC地址、IP地址、TCP/UDP端口号、TCP标记等。
该步骤中,还可基于网络传感器111的部署推导出OT系统10中资产之间的网络连接关系302。比如:来自同一个网络传感器111的数据分组20可能来自同一个路由器或交换机1013,即来自同一个子网。
该步骤中,还可基于网络协议的知识监测OT系统10的网络行为。比如:当一个TCP分组经过一个路由器时,该路由器会将TTL字段的取值减1,因此,当该模块监测到该TTL字段取值减1的现象,则可确定该TCP分组经过了一个路由器而不是交换机。
该步骤中,还可基于网络的基本知识进一步推导。比如:如果一组资产101均具有诸如192.168.0.*这样的前缀,则可确定该组资产101所属的子网的地址可能是192.168.0.0/24。
可选地,步骤S405中,可包括如下子步骤:
S4051:OT监测装置112将抓取的数据分组20按照工业协议分类,分为不同的序列或组。
S4052:OT监测装置112对于分类后的数据分组20进行深度分组分析(Deep PacketAnalytic,DPA)。采用DPA,可从工业协议的数据载荷中提取信息,并且还可以将提取的各项信息进行关联以获取关于OT系统10的有价值的信息。提取的信息30可包括但不限于:
OT系统10中资产的信息301,该信息301可从诸如LLDP、PROFINET-DCP这些工业信息的数据载荷中直接提取。
S406:OT监测装置112将提取的信息30存储在数据库中。
S407:OT监测装置112通过API向应用505提供信息30。
其中,API实现的方式包括但不限于:RESTful API、XML-RPC API,或JSON RPC API等。
S408:应用调用API实现监测功能并展示监测结果。
基于信息30,应用12可实现如下监测功能:
1)资产目录生成
通过将提取到的资产101的信息301与资产101的MAC地址相关联,可以得到一个资产101的如下特征:
MAC地址;
与MAC地址绑定的IP地址。对于一台交换机1013,一个IP地址可对应多个MAC地址;
供应商,可从该资产101的MAC地址中获得,因为MAC地址的前24位用于标识供应商;
资产101开放的端口或服务,可从该资产的目的端口号推导出;
资产101的类型,可从IP/TCP/UDP的指定字段中提取,比如:IP报文中的TTL字段、IP报文中的ID字段、TCP窗长、TCP SYN和TCP SYN+ACK中的选项,以及动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)、互联网控制报文协议(InternetControl Message Protocol,ICMP)ICMP、超文本传输协议(Hypertext TransferProtocol,HTTP)报文中的字段等;
资产101是否存在的信息,比如:当一个TCP分组经过一个路由器时,该路由器会将TTL字段的取值减1,因此,当该模块监测到该TTL字段取值减1的现象,则可确定该TCP分组经过了一个路由器而不是交换机。
此外,还可包括资产101的主机名、设备类型、设备标识、硬件版本、固件版本等,可从诸如LLDP、PROFINET-DCP、S7Comm,、OPC UA等工业协议的数据载荷中得到。根据这些信息可以确定资产101是工作站、服务器、人机界面、工业控制器,还是交换机或路由器。OT系统中的许多资产101会广播其属性,比如:可通过以太网层的LLDP、PROFINET-DCP的特定报文提供设备名称、IP地址、设备型号、固件版本等。OT监视装置112可识别出这些报文,从中抽取出上述信息并记录到资产名录401中。
2)网络拓扑发现
可采用如下方法得到OT监测系统11的网络拓扑:
根据来自一个特定的网络传感器111的数据分组20,可确定连接到同一台交换机或路由器上的资产101。通常,在一个OT系统10中,工业主机部署在管理层、PLC等其他工业控制器部署在控制层、交换机或路由器等位于管理层和控制层之间,资产101之间网络连接关系302可进一步获得,比如:基于资产101的IP地址的前面部分确定具有属于同一子网100的资产。可选地,可根据数据分组20所来自的网络传感器111,可以识别出数据分组20所来自的交换机,以及该交换机所连接的其他资产101,以(资产A,资产B)的方式记录资产之间的连接,并将所有的连接保存到一个集合中,就形成了OT系统10的网络拓扑402。并且,当OT系统10中的资产101发生变化时,可生成一个新的连接的集合,并记录各个集合形成的时间、结束的时间,这样可回溯OT系统10的网络拓扑402的变化。
3)变化监测
通过对OT系统10的持续监测,记录诸如新出现的资产101的时间和资产的信息,旧资产的过时信息(比如:72小时内没有活动),可对OT系统10进行变化监测。
通常,一个OT系统是一个高确定性的系统,在配置完成后,资产之间的通信关系就固定了。因此,也可以通过对OT系统10中资产101之间的通信进行长期监测以识别资产101之间的关系,并可进一步识别违反该关系的异常变化。
4)操作监测
通过对特定工业协议的数据载荷进行DPA,可获取资产101的控制变量及其取值。因此,可基于提取的针对OT系统10资产的操作信息,确定针对OT系统10的操作。进而可进行预测维护、诊断分析。
通过上述应用的运行,可获得OT系统10的资产名录401、网络拓扑402、资产间关系4031、系统变化4032以及针对OT系统10的操作等。这些获得的信息可进一步显示出来,显示方式包括但不限于:
以列表的形式显示资产名录401中一个资产101的信息;
以如下布局展示OT系统10的网络拓扑402:
将工业主机1012显示在屏幕的上方;
将工业控制器1011显示的屏幕的下方;
将路由器或交换机1013显示在屏幕的中央,用以连接工业主机就1012和工业控制器1011。
显示OT系统10的网络拓扑402的演变过程,可选地,可以在特定的时间点标记出网络拓扑402的变化。用户可在屏幕上选择不同的时间点,相应地展示在该选择的时间点处的网络拓扑402,以及该时间点发生的变化。可选地,用户还可以在资产目录401中补充信息,比如:资产属主、资产地理位置等。
图5为本发明实施例提供的OT监测装置112的一种结构的示意图。如图5所示,该装置112可包括:
一个数据获取模块1121,被配置为用于获取一个OT系统10中传输的至少一个数据分组20;
一个信息提取模块1122,被配置为用于从数据获取模块1121获取的至少一个数据分组20中提取OT系统10中包括的至少一个资产101的信息301;
一个监测模块1123,被配置为用于根据信息提取模块1122提取的至少一个资产101的信息301,确定OT系统10的资产目录401。
可选地,信息提取模块1122,具体被配置为用于从获取的至少一个数据分组20的传输层头部中,提取至少一个资产101的网络信息;监测模块1123,具体被配置为用于确定资产目录401中包括至少一个资产101的网络信息。
可选地,信息提取模块1122,具体被配置为用于:将获取的至少一个数据分组20按照工业协议进行分类;对于分类得到的每一种工业协议,从采用该工业协议的数据分组20中该工业协议的数据载荷中提取所涉及的资产101的资产描述信息;监测模块1123,具体被配置为用于确定资产目录401中包括至少一个资产101的资产描述信息。
可选地,信息提取模块1122,还被配置为用于根据数据获取模块1121获取的至少一个数据分组20,确定OT系统10中包括的至少一个资产101之间的网络连接关系302;监测模块1123,还被配置为用于根据确定的至少一个资产101之间的网络连接关系302,确定OT系统10的网络拓扑402。进一步地,数据获取模块1121,具体被配置为用于对于OT系统10的至少一个子网100中的每一个,分别获取该子网100的数据分组20;信息提取模块1122,具体被配置为用于根据从至少一个子网100中的每一个子网100获取的数据分组20,确定该子网100所包括的资产101;监测模块1123,具体被配置为用于确定OT系统10的网络拓扑402中包括至少一个子网100的信息。
可选地,至少一个资产101的数量为复数个,信息提取模块1122,还被配置为用于从获取的至少一个数据分组20中提取至少一个资产101之间的通信信息303;监测模块1123,还被配置为用于根据信息提取模块1122确定的至少一个资产101之间的通信信息303确定至少一个资产101的资产特征4031(其中,该资产特征4031可为至少一个资产101之间的逻辑关系)。进一步地,监测模块1123,还被配置为用于根据信息提取模块1122确定的至少一个资产101的通信信息303,确定OT系统10中的至少一个资产101的资产特征4031的变化4032(该变化1032可为违反确定的上述至少一个资产101之间的逻辑关系的变化)。
可选地,信息提取模块1122,具体被配置为用于将获取的至少一个数据分组20按照工业协议进行分类;对于分类得到的每一种工业协议,从采用该工业协议的数据分组20中的该工业协议的数据载荷中提取针对所涉及的资产101的操作信息304;监测模块1123,还被配置为用于根据信息提取模块1122提取的操作信息304确定针对OT系统10的操作404。
上述OT监测装置112的可选方案中,监测模块1123实现了监测应用的功能,比如:生成资产目录、网络拓扑、确定资产的资产特征及其变化以及针对OT系统的操作等。另一种可选的实现方式是,监测模块1123向外提供API,被应用调用来实现上述的监测应用的一项或多项功能。具体地,该运营技术OT监测装置112可包括:
一个数据获取模块1121,被配置为用于获取一个OT系统10中传输的各个数据分组20;
一个信息提取模块1122,被配置为用于从数据获取模块1121获取的至少一个数据分组20中提取OT系统10中包括的至少一个资产101的信息301;
一个监测模块1123,被配置为用于根据信息提取模块1122提取的至少一个资产101的信息301提供第一应用程序编程接口API,第一API用于被调用以生成OT系统10的资产目录401。
可选地,信息提取模块1122,具体被配置为用于从获取的至少一个数据分组20的传输层头部中,提取至少一个资产101的网络信息;监测模块1123,具体被配置为用于提供第一API101,以使第一API被调用时,在生成的OT系统10的资产名录401中的资产101的信息30中包括该资产101的网络信息。
可选地,信息提取模块1122,具体被配置为用于:将数据获取模块1121获取的至少一个数据分组20按照工业协议进行分类;对于分类得到的每一种工业协议,从采用该工业协议的数据分组20中该工业协议的数据载荷中提取所涉及的资产101的资产描述信息;监测模块1123,具体被配置为用于提供第一API,以使第一API被调用时,在生成的OT系统10的资产名录401中的资产101的信息30中包括该资产101的资产描述信息。
可选地,信息提取模块1122,还被配置为用于根据获取的至少一个数据分组20,确定OT系统10中包括的至少一个资产101之间的网络连接关系302;监测模块1123,还被配置为用于根据信息提取模块1122确定的至少一个资产101之间的网络连接关系302提供一个第二API,第二API用于被调用以生成OT系统10的网络拓扑402。
可选地,数据获取模块1121,具体被配置为用于对于OT系统10的至少一个子网100中的每一个,分别获取该子网100的数据分组20;信息提取模块1122,具体被配置为用于根据从至少一个子网100中的每一个子网100获取的数据分组20,确定该子网100所包括的资产101;监测模块1123,具体被配置为用于提供第二API,以使第二API被调用时,在生成的OT系统10的网络拓扑402中包括至少一个子网100的信息。
可选地,至少一个资产101的数量为复数个,信息提取模块1122,还被配置为用于从数据获取模块1121获取的至少一个数据分组20中提取至少一个资产101之间的通信信息303;监测模块1123,还被配置为用于根据信息提取模块1122确定的至少一个资产101之间的通信信息303提供一个第三API,第三API用于被调用以确定OT系统10中的至少一个资产101的资产特征4031。进一步地,监测模块1123,还被配置为用于根据提供第三API,其中,第三API用于被调用以确定OT系统10违反确定的至少一个资产101的资产特征4031的变化4032。
可选地,信息提取模块1122,具体被配置为用于:将数据获取模块1121获取的至少一个数据分组20按照工业协议进行分类;对于分类得到的每一种工业协议,从采用该工业协议的数据分组20中的该工业协议的数据载荷中提取针对所涉及的资产101的操作信息304;监测模块1123,还被配置为用于根据信息提取模块1122提取的操作信息304提供一个第四API,第四API用于被调用以确定针对OT系统10的操作404。
图6为本发明实施例提供的OT监测装置112的另一种结构的示意图。该结构中,OT监测装置112包括至少一个存储器1124,被配置为用于存储机器可读指令,至少一个处理器1125,被配置为用于调用至少一个存储器1124上存储的机器可读指令执行本发明实施例中OT监测装置112所执行的方法。可选地,该结构中还可包括一个显示器1126,用于显示OT监测装置112对OT系统10监测的结果,比如:资产目录、网络拓扑、资产间关系变化以及对OT系统10的操作等。至少一个处理器1125、至少一个存储器1124和显示器1126之间可通过总线连接。
图7为本发明实施例提供的OT监测应用装置12的一种结构示意图。该结构中,OT监测应用装置12可包括:一个应用程序编程API调用模块121,被配置为用于调用至少一个API504;一个应用实现模块122,被配置为用于通过调用至少一个API504以实现对一个OT系统10的如下监测项目中的至少一项:生成OT系统10的资产名录401、确定OT系统10的网络拓扑402、确定OT系统10中的至少一个资产101的资产特征4031、确定OT系统10的至少一个资产101的资产特征4031的变化4032,以及确定针对OT系统10的操作404。
图8为本发明实施例提供的OT监测应用装置12的另一种结构示意图。该结构中,OT监测应用装置12可包括:至少一个存储器123,被配置为用于存储机器可读指令;至少一个处理器124,被配置为用于调用至少一个存储器123上存储的机器可读指令执行本发明实施例中OT监测应用装置12所执行的方法。可选地,该结构中还可包括一个显示器125,用于显示对OT系统10监测的结果,比如:资产目录、网络拓扑、资产特征变化以及对OT系统10的操作等。至少一个处理器124、至少一个存储器123和显示器125之间可通过总线连接。
本发明实施例还提供一种存储介质,该存储介质上可存储有机器可读指令。该机器可读指令在被处理器调用时可执行本发明实施例提供的OT监测方法。该存储介质可为软盘、硬盘、内存、磁光盘、光盘、磁带和非易失性存储卡。该存储介质也可为远程服务器(比如:应用服务器,该远程服务器可部署在云上)上的存储资源,本发明实施例提供的OT监测装置112可从远程服务器上下载该机器可读指令,并在本地设备上运行,或者该机器可读指令可以微服务的形式运行。
需要说明的是,上述各流程和各系统结构图中不是所有的步骤和模块都是必须的,可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的,可以根据需要进行调整。上述各实施例中描述的系统结构可以是物理结构,也可以是逻辑结构,即,有些模块可能由同一物理实体实现,或者,有些模块可能分由多个物理实体实现,或者,可以由多个独立设备中的某些部件共同实现。
以上各实施例中,硬件单元可以通过机械方式或电气方式实现。例如,一个硬件单元可以包括永久性专用的电路或逻辑(如专门的处理器,FPGA或ASIC)来完成相应操作。硬件单元还可以包括可编程逻辑或电路(如通用处理器或其它可编程处理器),可以由软件进行临时的设置以完成相应操作。具体的实现方式(机械方式、或专用的永久性电路、或者临时设置的电路)可以基于成本和时间上的考虑来确定。
上文通过附图和优选实施例对本发明进行了详细展示和说明,然而本发明不限于这些已揭示的实施例,基与上述多个实施例本领域技术人员可以知晓,可以组合上述不同实施例中的代码审核手段得到本发明更多的实施例,这些实施例也在本发明的保护范围之内。
Claims (22)
1.运营技术OT监测系统(11),其特征在于,包括:
至少一个网络传感器(111),被配置为用于获取一个OT系统(10)中传输的至少一个数据分组(20),并发送至一个OT监测装置(112);
所述OT监测装置(112),被配置为用于:
从所述至少一个网络传感器(111)处获取所述至少一个数据分组(20);
从获取的所述至少一个数据分组(20)中提取所述OT系统(10)中包括的至少一个资产(101)的信息(301);
根据提取的所述至少一个资产(101)的信息(301)提供第一应用程序编程接口API,所述第一API用于被调用以生成所述OT系统(10)的资产目录(401),或者根据提取的所述至少一个资产(101)的信息(301)确定所述OT系统(10)的资产目录(401)。
2.运营技术OT监测方法,其特征在于,包括:
获取一个OT系统(10)中传输的至少一个数据分组(20);
从获取的所述至少一个数据分组(20)中提取所述OT系统(10)中包括的至少一个资产(101)的信息(301);
根据提取的所述至少一个资产(101)的信息(301),确定所述OT系统(10)的资产目录(401)。
3.如权利要求2所述的方法,其特征在于,
从获取的所述至少一个数据分组(20)中提取所述OT系统(10)中包括的至少一个资产(101)的信息(301),包括:从获取的所述至少一个数据分组(20)的传输层头部中,提取所述至少一个资产(101)的网络信息;
根据提取的所述至少一个资产(101)的信息(301),确定所述OT系统(10)的资产目录(401),包括:确定所述资产目录(401)中包括所述至少一个资产(101)的网络信息。
4.如权利要求2所述的方法,其特征在于,
从获取的至少一个数据分组(20)中提取所述OT系统(10)中包括的至少一个资产(101)的信息(301),包括:
将获取的所述至少一个数据分组(20)按照工业协议进行分类;
对于分类得到的每一种工业协议,从采用该工业协议的数据分组(20)中该工业协议的数据载荷中提取所涉及的资产(101)的资产描述信息;
根据提取的所述至少一个资产(101)的信息(301),确定所述OT系统(10)的资产目录(401),包括:确定所述资产目录(401)中包括所述至少一个资产(101)的资产描述信息。
5.如权利要求2~4任一项所述的方法,其特征在于,在获取所述OT系统(10)中传输的至少一个数据分组(20)之后,还包括:
根据获取的所述至少一个数据分组(20),确定所述OT系统(10)中包括的至少一个资产(101)之间的网络连接关系(302);
根据确定的所述至少一个资产(101)之间的网络连接关系(302),确定所述OT系统(10)的网络拓扑(402)。
6.如权利要求5所述的方法,其特征在于,
获取所述OT系统(10)中传输的至少一个数据分组(20),包括:对于所述OT系统(10)的至少一个子网(100)中的每一个,分别获取该子网(100)的数据分组(20);
根据获取的所述至少一个数据分组(20),确定所述OT系统(10)中包括的至少一个资产(101)之间的网络连接关系(302),包括:根据从所述至少一个子网(100)中的每一个子网(100)获取的数据分组(20),确定该子网(100)所包括的资产(101);
根据确定的所述至少一个资产(101)之间的网络连接关系(302),确定所述OT系统(10)的网络拓扑(402),包括:确定所述OT系统(10)的网络拓扑(402)中包括所述至少一个子网(100)的信息。
7.如权利要求2~6任一项所述的方法,其特征在于,所述至少一个资产(101)的数量为复数个,所述方法还包括:
从获取的所述至少一个数据分组(20)中提取所述至少一个资产(101)之间的通信信息(303);
根据确定的所述至少一个资产(101)之间的通信信息(303)确定所述至少一个资产(101)的资产特征(4031)和/或根据确定的所述至少一个资产(101)的通信信息(303),确定所述OT系统(10)中的所述至少一个资产的资产特征(4031)的变化(4032)。
8.如权利要求2~7任一项所述的方法,其特征在于,
从获取的所述至少一个数据分组(20)中提取所述OT系统(10)中包括的至少一个资产(101)的信息(301),包括:
将获取的所述至少一个数据分组(20)按照工业协议进行分类;
对于分类得到的每一种工业协议,从采用该工业协议的数据分组(20)中的该工业协议的数据载荷中提取针对所涉及的资产(101)的操作信息(304);
所述方法还包括:根据提取的操作信息(304)确定针对所述OT系统(10)的操作(404)。
9.运营技术OT监测方法,其特征在于,包括:
获取一个OT系统(10)中传输的各个数据分组(20);
从获取的所述至少一个数据分组(20)中提取所述OT系统(10)中包括的至少一个资产(101)的信息(301);
根据提取的所述至少一个资产(101)的信息(301)提供第一应用程序编程接口API,所述第一API用于被调用以生成所述OT系统(10)的资产目录(401)。
10.如权利要求9所述的方法,其特征在于,
从获取的所述至少一个数据分组(20)中提取所述OT系统(10)中包括的至少一个资产(101)的信息(301),包括:从获取的所述至少一个数据分组(20)的传输层头部中,提取所述至少一个资产(101)的网络信息;
根据提取的所述至少一个资产(101)的信息(301)提供一个第一API,包括:提供所述第一API(101),以使所述第一API被调用时,在生成的所述OT系统(10)的资产名录(401)中的资产(101)的信息(30)中包括该资产(101)的网络信息。
11.如权利要求9所述的方法,其特征在于,
从获取的所述至少一个数据分组(20)中提取所述OT系统(10)中包括的至少一个资产(101)的信息(301),包括:
将获取的所述至少一个数据分组(20)按照工业协议进行分类;
对于分类得到的每一种工业协议,从采用该工业协议的数据分组(20)中该工业协议的数据载荷中提取所涉及的资产(101)的资产描述信息;
根据提取的所述至少一个资产(101)的信息(301)提供一个第一API,包括:提供所述第一API,以使所述第一API被调用时,在生成的OT系统(10)的资产名录(401)中的资产(101)的信息(30)中包括该资产(101)的资产描述信息。
12.如权利要求9~11任一项所述的方法,其特征在于,在获取所述OT系统(10)中传输的至少一个数据分组(20)之后,还包括:
根据获取的所述至少一个数据分组(20),确定所述OT系统(10)中包括的至少一个资产(101)之间的网络连接关系(302);
根据确定的所述至少一个资产(101)之间的网络连接关系(302)提供一个第二API,所述第二API用于被调用以生成所述OT系统(10)的网络拓扑(402)。
13.如权利要求12所述的方法,其特征在于,
获取所述OT系统(10)中传输的至少一个数据分组(20),包括:对于所述OT系统(10)的至少一个子网(100)中的每一个,分别获取该子网(100)的数据分组(20);
根据获取的所述至少一个数据分组(20),确定所述OT系统(10)中包括的至少一个资产(101)之间的网络连接关系(302),包括:根据从所述至少一个子网(100)中的每一个子网(100)获取的数据分组(20),确定该子网(100)所包括的资产(101);
根据确定的所述至少一个资产(101)之间的网络连接关系(302)提供一个第二API,包括:提供所述第二API,以使所述第二API被调用时,在生成的所述OT系统(10)的网络拓扑(402)中包括所述至少一个子网(100)的信息。
14.如权利要求9~13任一项所述的方法,其特征在于,所述至少一个资产(101)的数量为复数个,所述方法还包括:
从获取的所述至少一个数据分组(20)中提取所述至少一个资产(101)之间的通信信息(303);
根据确定的所述至少一个资产(101)之间的通信信息(303)提供一个第三API,所述第三API用于被调用以确定
所述OT系统(10)中的所述至少一个资产(101)的资产特征(4031),和/或
所述OT系统(10)中的所述至少一个资产(101)的资产特征(4031)的变化(4032)。
15.如权利要求9~14任一项所述的方法,其特征在于,
从获取的所述至少一个数据分组(20)中提取所述OT系统(10)中包括的至少一个资产(101)的信息(301),包括:
将获取的所述至少一个数据分组(20)按照工业协议进行分类;
对于分类得到的每一种工业协议,从采用该工业协议的数据分组(20)中的该工业协议的数据载荷中提取针对所涉及的资产(101)的操作信息(304);
所述方法还包括:根据提取的操作信息(304)提供一个第四API,所述第四API用于被调用以确定针对所述OT系统(10)的操作(404)。
16.运营技术OT系统监测方法,其特征在于,包括:
调用至少一个API(504);
通过调用所述至少一个API(504)以实现对一个OT系统(10)的如下监测项目中的至少一项:
生成所述OT系统(10)的资产名录(401);
确定所述OT系统(10)的网络拓扑(402);
确定所述OT系统(10)中的至少一个资产(101)的资产特征(4031);
确定所述OT系统(10)中的所述至少一个资产(101)的资产特征(4031)的变化(4032);
确定针对所述OT系统(10)的操作(404)。
17.运营技术OT监测装置(112),其特征在于,包括:
一个数据获取模块(1121),被配置为用于获取一个OT系统(10)中传输的至少一个数据分组(20);
一个信息提取模块(1122),被配置为用于从所述数据获取模块(1121)获取的所述至少一个数据分组(20)中提取所述OT系统(10)中包括的至少一个资产(101)的信息(301);
一个监测模块(1123),被配置为用于根据所述信息提取模块(1122)提取的所述至少一个资产(101)的信息(301),确定所述OT系统(10)的资产目录(401)。
18.运营技术OT监测装置(112),其特征在于,包括:
一个数据获取模块(1121),被配置为用于获取一个OT系统(10)中传输的各个数据分组(20);
一个信息提取模块(1122),被配置为用于从所述数据获取模块(1121)获取的所述至少一个数据分组(20)中提取所述OT系统(10)中包括的至少一个资产(101)的信息(301);
一个监测模块(1123),被配置为用于根据所述信息提取模块(1122)提取的所述至少一个资产(101)的信息(301)提供第一应用程序编程接口API,所述第一API用于被调用以生成所述OT系统(10)的资产目录(401)。
19.运营技术OT监测应用装置(12),其特征在于,包括:
一个应用程序编程API调用模块(121),被配置为用于调用至少一个API(504);
一个应用实现模块(122),被配置为用于通过调用所述至少一个API(504)以实现对一个OT系统(10)的如下监测项目中的至少一项:
生成所述OT系统(10)的资产名录(401);
确定所述OT系统(10)的网络拓扑(402);
确定所述OT系统(10)中的至少一个资产(101)的资产特征(4031);
确定所述OT系统(10)中的所述至少一个资产(101)的资产特征(4031)的变化(4032);
确定针对所述OT系统(10)的操作(404)。
20.运营技术OT监测装置(112),其特征在于,包括:
至少一个存储器(1124),被配置为用于存储机器可读指令;
至少一个处理器(1125),被配置为用于调用所述至少一个存储器(1124)上存储的机器可读指令执行如权利要求2~15任一项所述的方法。
21.运营技术OT监测应用装置(12),其特征在于,包括:
至少一个存储器(123),被配置为用于存储机器可读指令;
至少一个处理器(124),被配置为用于调用所述至少一个存储器(123)上存储的机器可读指令执行如权利要求16所述的方法。
22.一种机器可读介质,其上存储有机器可读指令,其特征在于,所述机器可读指令在被至少一个处理器调用时执行如权利要求2~16任一项所述的方法。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711329002.5A CN109922026A (zh) | 2017-12-13 | 2017-12-13 | 一个ot系统的监测方法、装置、系统和存储介质 |
| US16/059,208 US20190182368A1 (en) | 2017-12-13 | 2018-08-09 | Ot system monitoring method, apparatus, and system, and storage medium |
| EP18188422.2A EP3499837A1 (en) | 2017-12-13 | 2018-08-10 | Ot system monitoring method, apparatus, system, and storage medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711329002.5A CN109922026A (zh) | 2017-12-13 | 2017-12-13 | 一个ot系统的监测方法、装置、系统和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109922026A true CN109922026A (zh) | 2019-06-21 |
Family
ID=63244416
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711329002.5A Pending CN109922026A (zh) | 2017-12-13 | 2017-12-13 | 一个ot系统的监测方法、装置、系统和存储介质 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20190182368A1 (zh) |
| EP (1) | EP3499837A1 (zh) |
| CN (1) | CN109922026A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113765704A (zh) * | 2021-08-10 | 2021-12-07 | 广州天懋信息系统股份有限公司 | 一种专网数据采集方法、装置、设备及储存介质 |
| CN113765890A (zh) * | 2021-08-10 | 2021-12-07 | 广州天懋信息系统股份有限公司 | 一种专网安全风险处理方法、装置、设备及储存介质 |
| CN114253210A (zh) * | 2021-12-15 | 2022-03-29 | 昆船智能技术股份有限公司 | 基于Json-RPC的PLC通讯系统及方法 |
| CN114270281A (zh) * | 2019-08-29 | 2022-04-01 | 西门子股份公司 | 用于对ot系统进行安全监控的方法和系统 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3543813A1 (en) * | 2018-03-19 | 2019-09-25 | CODESYS Holding GmbH | A server-client architecture for an industrial control network |
| US10749774B1 (en) * | 2019-03-07 | 2020-08-18 | Verizon Patent And Licensing, Inc. | Reducing data storage and network traffic with data compression |
| US11202179B2 (en) * | 2019-12-23 | 2021-12-14 | Accenture Global Solutions Limited | Monitoring and analyzing communications across multiple control layers of an operational technology environment |
| CN114817641B (zh) * | 2022-02-19 | 2023-06-20 | 英赛克科技(北京)有限公司 | 一种工业数据采集方法、装置及电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050060453A1 (en) * | 2003-08-20 | 2005-03-17 | Matsushita Electric Industrial Co., Ltd. | Instruction supply control unit and semiconductor device |
| CN102624696A (zh) * | 2011-12-27 | 2012-08-01 | 中国航天科工集团第二研究院七〇六所 | 一种网络安全态势评估方法 |
| CN105204487A (zh) * | 2014-12-26 | 2015-12-30 | 北京邮电大学 | 基于通信模型的工业控制系统的入侵检测方法及系统 |
| CN105429963A (zh) * | 2015-11-04 | 2016-03-23 | 北京工业大学 | 基于Modbus/Tcp的入侵检测分析方法 |
-
2017
- 2017-12-13 CN CN201711329002.5A patent/CN109922026A/zh active Pending
-
2018
- 2018-08-09 US US16/059,208 patent/US20190182368A1/en not_active Abandoned
- 2018-08-10 EP EP18188422.2A patent/EP3499837A1/en not_active Withdrawn
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050060453A1 (en) * | 2003-08-20 | 2005-03-17 | Matsushita Electric Industrial Co., Ltd. | Instruction supply control unit and semiconductor device |
| CN102624696A (zh) * | 2011-12-27 | 2012-08-01 | 中国航天科工集团第二研究院七〇六所 | 一种网络安全态势评估方法 |
| CN105204487A (zh) * | 2014-12-26 | 2015-12-30 | 北京邮电大学 | 基于通信模型的工业控制系统的入侵检测方法及系统 |
| CN105429963A (zh) * | 2015-11-04 | 2016-03-23 | 北京工业大学 | 基于Modbus/Tcp的入侵检测分析方法 |
Non-Patent Citations (1)
| Title |
|---|
| MAHESH WAKCHAURE 等: "Reconnaissance of Industrial Control System By Deep Packet Inspection", 《2016 IEEE INTERNATIONAL CONFERENCE ON ENGINEERING AND TECHNOLOGY (ICETECH)》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114270281A (zh) * | 2019-08-29 | 2022-04-01 | 西门子股份公司 | 用于对ot系统进行安全监控的方法和系统 |
| CN113765704A (zh) * | 2021-08-10 | 2021-12-07 | 广州天懋信息系统股份有限公司 | 一种专网数据采集方法、装置、设备及储存介质 |
| CN113765890A (zh) * | 2021-08-10 | 2021-12-07 | 广州天懋信息系统股份有限公司 | 一种专网安全风险处理方法、装置、设备及储存介质 |
| CN114253210A (zh) * | 2021-12-15 | 2022-03-29 | 昆船智能技术股份有限公司 | 基于Json-RPC的PLC通讯系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3499837A1 (en) | 2019-06-19 |
| US20190182368A1 (en) | 2019-06-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109922026A (zh) | 一个ot系统的监测方法、装置、系统和存储介质 | |
| CN109167796B (zh) | 一种基于工业scada系统的深度包检测平台 | |
| Mirian et al. | An internet-wide view of ics devices | |
| Wang et al. | A smart home gateway platform for data collection and awareness | |
| EP2566102A1 (en) | Security event logging and conversion of security event messages in process control | |
| Fuentes-García et al. | Present and future of network security monitoring | |
| CN106357470B (zh) | 一种基于sdn控制器网络威胁快速感知方法 | |
| Kush et al. | Gap analysis of intrusion detection in smart grids | |
| CN114710416B (zh) | 一种基于工艺流程的网络流量实时数据采集方法 | |
| US20180013783A1 (en) | Method of protecting a communication network | |
| Pan et al. | Anomaly based intrusion detection for building automation and control networks | |
| CN112688932A (zh) | 蜜罐生成方法、装置、设备及计算机可读存储介质 | |
| CN114125083B (zh) | 工业网络分布式数据采集方法、装置、电子设备及介质 | |
| Matoušek et al. | Efficient modelling of ICS communication for anomaly detection using probabilistic automata | |
| Rajesh et al. | Detection and blocking of replay, false command, and false access injection commands in scada systems with modbus protocol | |
| CN114531273A (zh) | 一种防御工业网络系统分布式拒绝服务攻击的方法 | |
| Jung et al. | Anomaly Detection in Smart Grids based on Software Defined Networks. | |
| Waagsnes et al. | Intrusion Detection System Test Framework for SCADA Systems. | |
| Izzuddin et al. | Mapping threats in smart grid system using the mitre att&ck ics framework | |
| CN110262420A (zh) | 一种分布式工业控制网络安全检测系统 | |
| Cheminod et al. | Performance impact of commercial industrial firewalls on networked control systems | |
| CN107733941A (zh) | 一种基于大数据的数据采集平台的实现方法及系统 | |
| CN111698168B (zh) | 消息处理方法、装置、存储介质及处理器 | |
| CN114553546B (zh) | 基于网络应用的报文抓取的方法和装置 | |
| US10338544B2 (en) | Communication configuration analysis in process control systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190621 |