CN110113335A - 一种工控设备指纹归一化方法 - Google Patents
一种工控设备指纹归一化方法 Download PDFInfo
- Publication number
- CN110113335A CN110113335A CN201910369838.0A CN201910369838A CN110113335A CN 110113335 A CN110113335 A CN 110113335A CN 201910369838 A CN201910369838 A CN 201910369838A CN 110113335 A CN110113335 A CN 110113335A
- Authority
- CN
- China
- Prior art keywords
- industrial control
- control equipment
- information
- industrial
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种工控设备指纹归一化方法,包括以下步骤:旁路镜像方式获得工控设备信息,通过镜像交换机,待测工控设备之间进行业务相关的网络通讯,由工控设备探测装置分析待测工控设备之间的网络通讯流量,获得待测工控设备的指纹信息;主动探测方式获得工控设备信息,工控设备探测装置采用传统的网络端口信息获取技术,通过交换机与待测工控设备发生网络通讯进行主动探测,来获取待测工控设备的工控指纹信息;工控设备指纹归一化。
Description
技术领域
本发明属于工业控制系统技术领域,具体涉及一种工控设备指纹归一化方法。
背景技术
工业控制系统用于工业场景,是由计算机与工业过程控制部件组成的自动控制系统。工业过程控制部件对实时数据进行采集、监测,在计算机的调配下,实现设备自动化运行以及对业务流程的管理与监控。其特点主要表现在数据传送的实时性、数据的事件驱动及数据源主动推送等。工业控制系统已经广泛运用于核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、军工、城市供水供气供热以及其他与国计民生紧密相关的领域。
随着我国“工业4.0”时代的来临,“互联网+”、“中国制造2025”的提出,越来越多的网络安全隐患被带入了工业控制领域,威胁不断加剧。对工业控制网络和系统的攻击,可能破坏企业重要装置的正常工艺流程,从而引发灾难性的后果。
国家对工业控制领域的安全问题极其重视。2011年,中华人民共和国国家质量监督检验检疫总局联合中国国家标准化管理委员会发布了《工业控制网络安全风险评估规范》GB/T 26333-2010。2014年,又发布了《工业控制系统信息安全第一部分:评估规范》GB/T30976.1-2014,该标准明确了工业控制系统信息安全评估的目标、评估的内容、实施过程等。2015年2月,国家能源局发布国能安全第36号文件《电力监控系统安全防护总体方案》,其中规定了对于电力生产监控系统应该每年进行一次安全评估。2016年10月,工业和信息化部印发《工业控制系统信息安全防护指南》,2017年,工信部再度印发《工业控制系统信息安全防护能力评估工作管理办法》,明确了针对于工业控制系统的安全评估方案。2017年6月1日,《中华人民共和国网络安全法》正式施行。在国家层面,对于工业控制系统的漏洞探测和风险评估越来越重视。
要探测工控系统的脆弱性,就需要收集工控系统的设备指纹。工控系统的设备指纹是工控系统设备的固有属性及其在工控网络中进行通讯时留下的痕迹。工控系统的设备指纹包括但不限于设备厂商、设备类型、设备型号、设备名称、IP地址、MAC地址、使用的端口、使用的工控协议、固件版本、模块信息、特征码、订货号、序列号、操作系统等。
因为工控设备的厂商和型号非常多,所使用的工控协议规约也各有不同,所以通过基于协议的工控系统指纹逆向识别得到工控系统的相关指纹后,导致每个工控协议获取的指纹参数错综复杂,这将导致后期对于指纹信息二次利用的价值无法良好体现。
发明内容
鉴于以上存在的技术问题,本发明用于提供一种工控设备指纹归一化方法。
为解决上述技术问题,本发明采用如下的技术方案:
一种工控设备指纹归一化方法,包括以下步骤:
旁路镜像方式获得工控设备信息,通过镜像交换机,待测工控设备之间进行业务相关的网络通讯,由工控设备探测装置分析待测工控设备之间的网络通讯流量,获得待测工控设备的指纹信息;
主动探测方式获得工控设备信息,工控设备探测装置采用传统的网络端口信息获取技术,通过交换机与待测工控设备发生网络通讯进行主动探测,来获取待测工控设备的工控指纹信息;
将记录下来的设备信息,既有来自旁路镜像方式获得的信息,也有来自主动探测方式获得的信息,对信息进行汇总;
对汇总后的信息进行分类,首先根据IP地址,对信息进行分类,然后依据端口和协议进行分类,一个IP地址代表一个工控设备;
加载内置工控设备库,内置工控设备库包含设备的厂商、型号、类型、版本信息;
对分类后的数据提取关键数据,根据内置工控设备库的数据,将设备信息中无用的数据过滤掉,保留有用的数据;
清洗关键数据,将保留下来的关键数据,依照内置工控设备库的数据,进行格式化,得到相对统一的关键数据;
形成设备标识,设备标识包括设备类型、厂商、型号、版本,一个工控设备有一个或者多个标识;
如果发现了内置工控设备库没有的信息,包括设备厂商、型号、类型、版本,则更新到内置工控设备库。
优选地,所述提取关键数据过程如下:
基于端口和协议,从内置工控设备库中,缩小厂商的范围;
依据内置工控设备库中的厂商信息,通过字符串匹配,从设备信息中获得厂商信息;
依据内置工控设备库中的型号信息,通过字符串匹配,从设备信息中获得设备型号;
根据内置工控设备库,由厂商和型号信息,判断设备的类型;
通过字符串匹配,从设备信息中获得设备名称;
通过字符串匹配,从设备信息中获得版本信息;
通过字符串匹配,从设备信息中获得其它信息,包括模块信息、特征码、订货号、序列号、操作系统。
优选地,所述旁路镜像方式获得工控设备信息具体包括:
镜像交换机将通讯流量镜像给工控设备探测装置,通讯流量包括工控协议和传统以太网协议;
工控设备探测装置获取网络流量后,对网络流量进行解析,根据TCP/IP结构,依次解析物理层、数据链路层、网络层、传输层、应用层;
网络流量解析后,从网络流量的网络层记录源IP地址和目标IP地址,从网络流量的传输层记录源端口和目标端口,通过解析应用层协议或者数据链路层之上的协议,判断网络流量使用的哪种协议,并记录下来;
对网络流量进行过滤,获得跟工控协议相关的流量数据;
对工控流量进行分析,判断工控流量中是否包含设备信息;
如果工控流量中包含设备信息,则记录设备信息,留待后续进行进一步处理。
优选地,所述主动探测方式获得工控设备信息具体包括:
对于工控网络内的所有待测工控设备,进行全网扫描,探测正在运行的工控设备及其IP地址;
进行TCP端口探测,判断工控设备的端口开放情况;
对于TCP端口,根据IP地址、TCP端口,从工控协议库中选择端口使用的工控协议,将探测数据转换为工控协议数据;对于UDP端口,基于已探测得到的IP地址和工控协议库中的UDP端口和UDP协议,将探测数据转换为工控协议数据;
将转换后的工控协议数据发送给待测工控设备;
接收待测工控设备返回的响应流量,同时对网络流量进行解析;
判断解析后的流量中,是否包含工控设备信息;
将这些设备信息记录下来,留待后续进行进一步处理。
优选地,所述清洗关键数据具体过程如下:
依据内置工控设备库中的厂商信息,对提取出来的厂商信息进行清洗和统一;
依据内置工控设备库中的该厂商下的型号信息,对提取出来的型号信息进行清洗和统一;
依据内置工控设备库中的该厂商和该型号下的版本信息,对提取出来的版本信息进行清洗和统一。
优选地,所述工控系统厂商包括:ABB、西门子、施耐德、通用电气、罗克韦尔、霍尼韦尔、倍福、巴赫曼、欧姆龙、福克斯波罗、三菱、菲尼克斯、台达、光洋、研华智博、和利时、中控、南瑞继保、国电南自、力控华康。
优选地,所述工控协议包括:Modbus、AMS/ADS、Ethernet/IP、BACnet、Profinet、Proconos、Crimson、Melsec-q、Bachmann、S7、Fins、DNP3、IEC103、IEC104、Hollysys。
优选地,所述工控设备类型包括:PLC、DCS、RTU、SCADA、HMI、数控机床、工业网关、工业交换机、工程师站、操作员站、工业防火墙、工业审计系统、IDS、IPS、OPC服务器。
采用本发明具有如下的有益效果:因为工控设备的厂商和型号非常多,所使用的的工控协议也各有不同,导致目标区域内的工控系统的指纹信息错综复杂,本发明实施例的方法分别通过旁路镜像方式和主动探测方式,获得工控设备信息,然后通过指纹归一化的过程,对区域内所有工控系统的设备信息进行统一梳理,来获得规范和有效的资产信息,从而为后续构建区域拓扑结构,匹配漏洞信息,进行区域评分做好准备,使工控设备的指纹信息得到良好的使用。
附图说明
图1为本发明实施例的工控指纹归一化方法的步骤流程图;
图2为本发明实施例的工控指纹归一化方法中旁路镜像的网络拓扑图;
图3为本发明实施例的工控指纹归一化方法中旁路镜像的步骤流程图;
图4为本发明实施例的工控指纹归一化方法中主动探测的网络拓扑图;
图5为本发明实施例的工控指纹归一化方法中主动探测的步骤流程图;
图6为本发明实施例的工控指纹归一化方法中指纹归一化的步骤流程图;
图7为本发明实施例的工控指纹归一化方法中提取关键数据的步骤流程图;
图8为本发明实施例的工控指纹归一化方法中清洗关键数据的步骤流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
工控网络中,工控系统之间有大量周期性的网络通讯。本发明中的待测工控设备包括但不限于PLC(Programmable Logic Controller,可编程逻辑控制器)、DCS(Distributed Control System,分布式控制系统)、RTU(Remote Terminal Unit,远程终端单元)、SCADA(Supervisory Control And Data Acquisition,数据采集与监视控制系统)、HMI(Human Machine Interface,人机接口)、数控机床、工业网关、工业交换机、工程师站(Engineering Working Station,EWS)、操作员站(Operator Work Station,OWS)、工业防火墙、工业审计系统、IDS(Intrusion Detection Systems,入侵检测系统)、IPS(IntrusionPrevention System,入侵防御系统)和OPC(OLE for Process Control,用于过程控制的OLE))服务器等。
工控系统的设备指纹包括但不限于设备厂商、设备类型、设备型号、设备名称、IP地址、MAC地址、开放端口、使用的工控协议、固件版本、模块信息、特征码、订货号、序列号、操作系统等。
不同厂家的工控系统涉及的设备指纹略有不同,比较共同的设备指纹包括设备的IP地址、MAC地址、开放端口、使用的工控协议、设备厂商,设备类型,设备型号、设备名称、设备版本。
根据工业控制系统特点,指纹信息的二次利用包括但不局限于,根据指纹信息达到自动获取设备各类信息,根据获取信息构建设备分布的拓扑结构,根据指纹信息匹配已知漏洞库的潜在漏洞,根据漏洞详情对设备及整个系统进行评分等。
本算法分别通过旁路镜像方式和主动探测方式,获得工控设备信息,然后通过指纹归一化的过程,来获得区域内所有工控系统的有效资产信息。从而为后续构建区域拓扑结构,匹配漏洞信息,进行区域评分做好准备。
参照图1,所示为本发明实施例的工控设备指纹归一化方法的步骤流程图,其包括以下步骤:
S100,旁路镜像方式,获得工控设备信息;
S200,主动探测方式,获得工控设备信息;
S300,工控设备指纹归一化。
以下进一步对S100,S200和S300的过程进行描述。
S100,通过镜像交换机,待测工控设备之间会进行业务相关的大量的网络通讯。镜像交换机将这些通讯流量镜像给工控设备探测装置。工控设备探测装置不与待测工控设备之间进行网络通讯,由工控设备探测装置分析待测工控设备之间的网络通讯流量,获得待测工控设备的指纹信息。
旁路镜像方式的网络结构如图2所示,旁路镜像方式的步骤流程图如图3所示,其进一步包括以下步骤:
S110,镜像交换机将这些通讯流量镜像给工控设备探测装置。这些通讯流量既有可能是工控协议,也有可能是传统以太网协议,例如FTP、NTP、HTTP协议。
S120,工控设备探测装置获取网络流量后,会对网络流量进行解析。根据TCP/IP结构,依次解析物理层、数据链路层、网络层、传输层、应用层,大部分工控协议会出现在应用层,但有少部分工控协议出现在数据链路层之上。
S130,网络流量解析后,可以从网络流量的网络层记录源IP地址和目标IP地址,从网络流量的传输层记录源端口和目标端口,通过解析应用层协议或者数据链路层之上的协议,判断网络流量使用的哪种协议,并记录下来。
S140,根据S130的结果,对网络流量进行过滤,获得跟工控协议相关的流量数据;
S150,基于S140的结果,对工控流量进行分析,判断工控流量中是否包含设备信息。大部分的工控通讯流量承载的是业务数据(例如Ethernet/IP协议,DNP3协议),并不包含工控设备的设备信息。
S160,S150中,如果工控流量中包含设备信息,则将这些设备信息记录下来,留待后续进行进一步处理。
通过旁路镜像方式,可以知道工控网络中有哪些设备之间在进行通讯,这些设备使用的IP地址、端口、协议,也有可能从协议中知道设备的设备信息。
可以理解的是,旁路获取的网络流量,包含许多设备的流量,每个设备又包含了很多通讯协议。网络流量一般为目标设备的业务通讯的交互过程。业务通讯过程,很少包含设备的设备属性。系统可以根据协议格式,识别出该目标设备使用了哪种通讯协议。大部分工控设备的工控协议会使用常用端口,例如Modbus/TCP通常使用502。但是少量设备的工控协议会使用非常规端口。
S200,主动探测方式获得工控设备信息,工控设备探测装置采用传统的网络端口信息获取技术,通过交换机与待测工控设备发生网络通讯进行主动探测,来获取待测工控设备的工控指纹信息。
具体应用实例中,主动探测方式的网络结构如图4所示,主动探测方式的流程图如图5所示,其包括如下步骤:
S210,对于工控网络内的所有待测工控设备,进行全网扫描,探测正在运行的工控设备及其IP地址。
S220,基于S210的结果,进行TCP端口探测,判断工控设备的端口开放情况。
S230,对于TCP端口,基于S210和S220的结果,根据IP地址、TCP端口,从工控协议库中选择端口可能使用的工控协议,将探测数据转换为工控协议数据;对于UDP端口,基于S210发现的IP地址和工控协议库中的UDP端口和UDP协议,将探测数据转换为工控协议数据。
S240,将转换后的工控协议数据发送给待测工控设备。
S250,接收待测工控设备返回的响应流量,同时对网络流量进行解析。
S260,判断解析后的流量中,是否包含工控设备信息。
S270,将这些设备信息记录下来,留待后续进行进一步处理。
通过主动探测整个工控网络,可以获得网络内工控资产的完整情况。
可以理解的是,通常一个IP地址对应一个工控设备,该设备可能有多种身份,例如该设备既是上位机,又是数据库服务器,还是一个web服务器。
基于旁路镜像方式和主动探测方式,可获得工控网络中待测工控设备的较完整但比较初级的指纹信息,需要将这些信息进行汇总和提炼,得到有效的资产信息。
具体的,参见图6,S300,工控设备指纹归一化方法具体包括如下步骤:
S310,记录下来的设备信息,既有来自S100旁路镜像方式获得的信息,也有来自S200主动探测方式获得的信息,需要对这些信息进行汇总。
S320,对汇总后的信息进行分类,首先根据IP地址,对信息进行分类。然后依据端口和协议进行分类。一个IP地址代表一个工控设备,一个工控设备可能开放多个端口,每个端口有可能使用多个协议。例如一个工控设备既可能是操作员站,运行step7软件,也可能是一个数据库。
S330,加载内置工控设备库,内置工控设备库包含设备的厂商、型号、类型、版本等信息,供S340提取关键数据和S350清洗关键数据时使用。
S340,对分类后的数据提取关键数据。根据内置工控设备库的数据,将设备信息中无用的数据过滤掉,保留有用的数据。
S350,清洗关键数据。将S350保留下来的关键数据,依照内置工控设备库的数据,进行格式化,得到相对统一的关键数据。
S360,形成设备标识,例如设备类型、厂商、型号、版本等就是设备标识。一个工控设备有一个或者多个标识。
S370,如果在S340和S350发现了内置工控设备库没有的信息,包括但不限于设备厂商、型号、类型、版本等信息,则会在这时更新到内置工控设备库。在更新到内置工控设备库之前,有时需要人工判断这些信息的合理性,是否应该更新。
进一步的,参见图7,S330进一步包括如下步骤:
设备的指纹信息可能是一段非常长的字符串,需要从中提取出关键信息,例如:设备厂商,设备类型,设备型号,设备名称,设备版本,设备描述信息。
针对不同厂商,不同型号的工控设备,通过字符串匹配的方式来获取这些关键数据。例如指纹信息中包含“Rockwell Automation/Allen-Bradley MicroLogix-1100V2.16”,这就是关键数据,其中Rockwell是厂商,Automation/Allen-Bradley是罗克韦尔的子品牌,MicroLogix-1100是一款PLC,V2.16是PLC的版本。
S331,基于端口和协议,从内置工控设备库中,缩小厂商的范围。
S332,依据内置工控设备库中的厂商信息,通过字符串匹配,从设备信息中获得厂商信息。
S333,依据内置工控设备库中的型号信息,通过字符串匹配,从设备信息中获得设备型号。
S334,根据内置工控设备库,由厂商和型号信息,判断设备的类型。
S335,通过字符串匹配,从设备信息中获得设备名称。
S336,通过字符串匹配,从设备信息中获得版本信息。
S337,通过字符串匹配,从设备信息中获得其它信息。包括但不限于模块信息、特征码、订货号、序列号、操作系统等。
进一步的,参见图8,S340进一步包括如下步骤:
提取的关键数据,都可能是非标准数据。例如西门子PLC S7 1200,有可能为S71200,有可能为S7_1200,也有可能是S7-1200。需要对类似这样的数据进行清洗,依据内置工控设备库,得到统一标准的数据。
进一步包括如下步骤:
S341,依据内置工控设备库中的厂商信息,对提取出来的厂商信息进行清洗和统一。
S342,依据内置工控设备库中的该厂商下的型号信息,对提取出来的型号信息进行清洗和统一。
S341,依据内置工控设备库中的该厂商和该型号下的版本信息,对提取出来的版本信息进行清洗和统一。
应当理解,本文所述的示例性实施例是说明性的而非限制性的。尽管结合附图描述了本发明的一个或多个实施例,本领域普通技术人员应当理解,在不脱离通过所附权利要求所限定的本发明的精神和范围的情况下,可以做出各种形式和细节的改变。
Claims (8)
1.一种工控设备指纹归一化方法,其特征在于,包括以下步骤:
旁路镜像方式获得工控设备信息,通过镜像交换机,待测工控设备之间进行业务相关的网络通讯,由工控设备探测装置分析待测工控设备之间的网络通讯流量,获得待测工控设备的指纹信息;
主动探测方式获得工控设备信息,工控设备探测装置采用传统的网络端口信息获取技术,通过交换机与待测工控设备发生网络通讯进行主动探测,来获取待测工控设备的工控指纹信息;
将记录下来的设备信息,既有来自旁路镜像方式获得的信息,也有来自主动探测方式获得的信息,对信息进行汇总;
对汇总后的信息进行分类,首先根据IP地址,对信息进行分类,然后依据端口和协议进行分类,一个IP地址代表一个工控设备;
加载内置工控设备库,内置工控设备库包含设备的厂商、型号、类型、版本信息;
对分类后的数据提取关键数据,根据内置工控设备库的数据,将设备信息中无用的数据过滤掉,保留有用的数据;
清洗关键数据,将保留下来的关键数据,依照内置工控设备库的数据,进行格式化,得到相对统一的关键数据;
形成设备标识,设备标识包括设备类型、厂商、型号、版本,一个工控设备有一个或者多个标识;
如果发现了内置工控设备库没有的信息,包括设备厂商、型号、类型、版本,则更新到内置工控设备库。
2.如权利要求1所述的工控设备指纹归一化方法,其特征在于,所述提取关键数据过程如下:
基于端口和协议,从内置工控设备库中,缩小厂商的范围;
依据内置工控设备库中的厂商信息,通过字符串匹配,从设备信息中获得厂商信息;
依据内置工控设备库中的型号信息,通过字符串匹配,从设备信息中获得设备型号;
根据内置工控设备库,由厂商和型号信息,判断设备的类型;
通过字符串匹配,从设备信息中获得设备名称;
通过字符串匹配,从设备信息中获得版本信息;
通过字符串匹配,从设备信息中获得其它信息,包括模块信息、特征码、订货号、序列号、操作系统。
3.如权利要求1所述的工控设备指纹归一化方法,其特征在于,所述旁路镜像方式获得工控设备信息具体包括:
镜像交换机将通讯流量镜像给工控设备探测装置,通讯流量包括工控协议和传统以太网协议;
工控设备探测装置获取网络流量后,对网络流量进行解析,根据TCP/IP结构,依次解析物理层、数据链路层、网络层、传输层、应用层;
网络流量解析后,从网络流量的网络层记录源IP地址和目标IP地址,从网络流量的传输层记录源端口和目标端口,通过解析应用层协议或者数据链路层之上的协议,判断网络流量使用的哪种协议,并记录下来;
对网络流量进行过滤,获得跟工控协议相关的流量数据;
对工控流量进行分析,判断工控流量中是否包含设备信息;
如果工控流量中包含设备信息,则记录设备信息,留待后续进行进一步处理。
4.如权利要求1所述的工控设备指纹归一化方法,其特征在于,所述主动探测方式获得工控设备信息具体包括:
对于工控网络内的所有待测工控设备,进行全网扫描,探测正在运行的工控设备及其IP地址;
进行TCP端口探测,判断工控设备的端口开放情况;
对于TCP端口,根据IP地址、TCP端口,从工控协议库中选择端口使用的工控协议,将探测数据转换为工控协议数据;对于UDP端口,基于已探测得到的IP地址和工控协议库中的UDP端口和UDP协议,将探测数据转换为工控协议数据;
将转换后的工控协议数据发送给待测工控设备;
接收待测工控设备返回的响应流量,同时对网络流量进行解析;
判断解析后的流量中,是否包含工控设备信息;
将这些设备信息记录下来,留待后续进行进一步处理。
5.如权利要求1至4任一所述的工控设备指纹归一化方法,其特征在于,所述清洗关键数据具体过程如下:
依据内置工控设备库中的厂商信息,对提取出来的厂商信息进行清洗和统一;
依据内置工控设备库中的该厂商下的型号信息,对提取出来的型号信息进行清洗和统一;
依据内置工控设备库中的该厂商和该型号下的版本信息,对提取出来的版本信息进行清洗和统一。
6.如权利要求5所述的工控设备指纹归一化方法,其特征在于,所述工控系统厂商包括:ABB、西门子、施耐德、通用电气、罗克韦尔、霍尼韦尔、倍福、巴赫曼、欧姆龙、福克斯波罗、三菱、菲尼克斯、台达、光洋、研华智博、和利时、中控、南瑞继保、国电南自、力控华康。
7.如权利要求5所述的工控设备指纹归一化方法,其特征在于,所述工控协议包括:Modbus、AMS/ADS、Ethernet/IP、BACnet、Profinet、Proconos、Crimson、Melsec-q、Bachmann、S7、Fins、DNP3、IEC103、IEC104、Hollysys。
8.如权利要求5所述的工控设备指纹归一化方法,其特征在于,所述工控设备类型包括:PLC、DCS、RTU、SCADA、HMI、数控机床、工业网关、工业交换机、工程师站、操作员站、工业防火墙、工业审计系统、IDS、TPS、OPC服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910369838.0A CN110113335A (zh) | 2019-05-06 | 2019-05-06 | 一种工控设备指纹归一化方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910369838.0A CN110113335A (zh) | 2019-05-06 | 2019-05-06 | 一种工控设备指纹归一化方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110113335A true CN110113335A (zh) | 2019-08-09 |
Family
ID=67488107
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910369838.0A Pending CN110113335A (zh) | 2019-05-06 | 2019-05-06 | 一种工控设备指纹归一化方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110113335A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110868404A (zh) * | 2019-11-05 | 2020-03-06 | 北京航空航天大学 | 一种基于tcp/ip指纹的工控设备自动识别方法 |
| CN110958231A (zh) * | 2019-11-21 | 2020-04-03 | 博智安全科技股份有限公司 | 基于互联网的工控安全事件监测平台及其方法 |
| CN111555936A (zh) * | 2020-04-27 | 2020-08-18 | 杭州迪普科技股份有限公司 | 一种工控资产探测方法、装置和设备 |
| CN111709009A (zh) * | 2020-06-17 | 2020-09-25 | 杭州安恒信息技术股份有限公司 | 联网工业控制系统的探测方法、装置、计算机设备和介质 |
| CN111770114A (zh) * | 2020-09-01 | 2020-10-13 | 北京安帝科技有限公司 | 一种基于指纹采集的工业控制应用程序安全监测方法 |
| CN112118256A (zh) * | 2020-09-17 | 2020-12-22 | 浙江齐安信息科技有限公司 | 工控设备指纹归一化方法、装置、计算机设备及存储介质 |
| CN112787846A (zh) * | 2020-12-23 | 2021-05-11 | 北京珞安科技有限责任公司 | 一种设备发现方法、装置及计算机设备 |
| CN112800408A (zh) * | 2021-04-15 | 2021-05-14 | 工业信息安全(四川)创新中心有限公司 | 一种基于主动探测的工控设备指纹提取与识别方法 |
| CN113079186A (zh) * | 2021-06-07 | 2021-07-06 | 北京网藤科技有限公司 | 基于工控终端特征识别的工业网络边界防护方法和系统 |
| CN114189348A (zh) * | 2021-10-18 | 2022-03-15 | 中国电子科技网络信息安全有限公司 | 一种适用于工控网络环境的资产识别方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106713449A (zh) * | 2016-12-21 | 2017-05-24 | 中国电子科技网络信息安全有限公司 | 一种快速识别联网工控设备的方法 |
| CN106888106A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 智能电网中的it资产大规模侦测系统 |
| CN108092976A (zh) * | 2017-12-15 | 2018-05-29 | 北京知道创宇信息技术有限公司 | 设备指纹构造方法及装置 |
| US20180211251A1 (en) * | 2014-03-19 | 2018-07-26 | Bluefin Payment Systems, LLC | Systems and methods for creating fingerprints of encryption devices |
| CN109600386A (zh) * | 2018-12-29 | 2019-04-09 | 江苏博智软件科技股份有限公司 | 一种工控态势感知主动探测系统 |
-
2019
- 2019-05-06 CN CN201910369838.0A patent/CN110113335A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180211251A1 (en) * | 2014-03-19 | 2018-07-26 | Bluefin Payment Systems, LLC | Systems and methods for creating fingerprints of encryption devices |
| CN106888106A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 智能电网中的it资产大规模侦测系统 |
| CN106713449A (zh) * | 2016-12-21 | 2017-05-24 | 中国电子科技网络信息安全有限公司 | 一种快速识别联网工控设备的方法 |
| CN108092976A (zh) * | 2017-12-15 | 2018-05-29 | 北京知道创宇信息技术有限公司 | 设备指纹构造方法及装置 |
| CN109600386A (zh) * | 2018-12-29 | 2019-04-09 | 江苏博智软件科技股份有限公司 | 一种工控态势感知主动探测系统 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110868404B (zh) * | 2019-11-05 | 2020-11-24 | 北京航空航天大学 | 一种基于tcp/ip指纹的工控设备自动识别方法 |
| CN110868404A (zh) * | 2019-11-05 | 2020-03-06 | 北京航空航天大学 | 一种基于tcp/ip指纹的工控设备自动识别方法 |
| CN110958231A (zh) * | 2019-11-21 | 2020-04-03 | 博智安全科技股份有限公司 | 基于互联网的工控安全事件监测平台及其方法 |
| CN111555936B (zh) * | 2020-04-27 | 2022-03-25 | 杭州迪普科技股份有限公司 | 一种工控资产探测方法、装置和设备 |
| CN111555936A (zh) * | 2020-04-27 | 2020-08-18 | 杭州迪普科技股份有限公司 | 一种工控资产探测方法、装置和设备 |
| CN111709009A (zh) * | 2020-06-17 | 2020-09-25 | 杭州安恒信息技术股份有限公司 | 联网工业控制系统的探测方法、装置、计算机设备和介质 |
| CN111770114A (zh) * | 2020-09-01 | 2020-10-13 | 北京安帝科技有限公司 | 一种基于指纹采集的工业控制应用程序安全监测方法 |
| CN112118256A (zh) * | 2020-09-17 | 2020-12-22 | 浙江齐安信息科技有限公司 | 工控设备指纹归一化方法、装置、计算机设备及存储介质 |
| CN112118256B (zh) * | 2020-09-17 | 2023-03-24 | 浙江齐安信息科技有限公司 | 工控设备指纹归一化方法、装置、计算机设备及存储介质 |
| CN112787846A (zh) * | 2020-12-23 | 2021-05-11 | 北京珞安科技有限责任公司 | 一种设备发现方法、装置及计算机设备 |
| CN112800408A (zh) * | 2021-04-15 | 2021-05-14 | 工业信息安全(四川)创新中心有限公司 | 一种基于主动探测的工控设备指纹提取与识别方法 |
| CN112800408B (zh) * | 2021-04-15 | 2021-06-18 | 工业信息安全(四川)创新中心有限公司 | 一种基于主动探测的工控设备指纹提取与识别方法 |
| CN113079186A (zh) * | 2021-06-07 | 2021-07-06 | 北京网藤科技有限公司 | 基于工控终端特征识别的工业网络边界防护方法和系统 |
| CN114189348A (zh) * | 2021-10-18 | 2022-03-15 | 中国电子科技网络信息安全有限公司 | 一种适用于工控网络环境的资产识别方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110113335A (zh) | 一种工控设备指纹归一化方法 | |
| CN110008713A (zh) | 一种新型工控系统漏洞探测方法及系统 | |
| WO2020143226A1 (zh) | 一种基于集成学习的工业控制系统入侵检测方法 | |
| CN106055608A (zh) | 自动采集和分析交换机日志的方法和装置 | |
| CN107360145B (zh) | 一种多节点蜜罐系统及其数据分析方法 | |
| CN110401624A (zh) | 源网荷系统交互报文异常的检测方法及系统 | |
| CN109768952A (zh) | 一种基于可信模型的工控网络异常行为检测方法 | |
| CN110086810A (zh) | 基于特征行为分析的被动式工控设备指纹识别方法及装置 | |
| CN111930592A (zh) | 一种实时检测日志序列异常的方法和系统 | |
| CN109922085A (zh) | 一种基于plc中cip协议的安全防护系统及方法 | |
| CN111600863B (zh) | 网络入侵检测方法、装置、系统和存储介质 | |
| CN110099058A (zh) | Modbus报文检测方法、装置、电子设备及存储介质 | |
| CN110392039A (zh) | 基于日志和流量采集的网络系统事件溯源方法及系统 | |
| CN109922026A (zh) | 一个ot系统的监测方法、装置、系统和存储介质 | |
| CN112688932A (zh) | 蜜罐生成方法、装置、设备及计算机可读存储介质 | |
| CN110138770A (zh) | 一种基于物联网威胁情报生成和共享系统及方法 | |
| CN108737367A (zh) | 一种视频监控网络的异常检测方法及系统 | |
| CN110266680B (zh) | 一种基于双重相似性度量的工业通信异常检测方法 | |
| CN114598499B (zh) | 结合业务应用的网络风险行为分析方法 | |
| CN114125083A (zh) | 工业网络分布式数据采集方法、装置、电子设备及介质 | |
| CN112788145A (zh) | 一种基于非嵌入式探针的跨域功能安全异常检测溯源方法 | |
| CN114553546B (zh) | 基于网络应用的报文抓取的方法和装置 | |
| CN102904770A (zh) | 一种高带宽VoIP检测系统 | |
| Kreimel et al. | Neural net-based anomaly detection system in substation networks | |
| CN115883169A (zh) | 基于蜜罐系统的工控网络攻击报文响应方法及响应系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190809 |