CN110351251B - 一种基于过滤技术的工控设备资产探测方法 - Google Patents
一种基于过滤技术的工控设备资产探测方法 Download PDFInfo
- Publication number
- CN110351251B CN110351251B CN201910534090.5A CN201910534090A CN110351251B CN 110351251 B CN110351251 B CN 110351251B CN 201910534090 A CN201910534090 A CN 201910534090A CN 110351251 B CN110351251 B CN 110351251B
- Authority
- CN
- China
- Prior art keywords
- industrial control
- detection
- control equipment
- filtering
- detection method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/9035—Filtering based on additional data, e.g. user or group profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于电通讯技术领域,涉及一种工控设备资产探测方法。一种基于过滤技术的工控设备资产探测方法,包括:首先使用Shodan过滤出目标网段中未被识别为工控设备的IP;对所述IP使用主动探测进行扫描,将主动探测的结果存入数据库,此时数据库中就是所需要的探测结果。本发明提出的基于过滤技术的工控资产设备探测方法,能够对目标网段中的工控设备进行较为全面的探测,为资产探测过程提供了新思路。
Description
技术领域
本发明属于电通讯技术领域,涉及一种工控设备资产探测方法。
背景技术
随着网络技术的迅猛发展,越来越多的工控设备接入到互联网当中,随着网络规模的不断扩大,对工控网络的安全管理带来了极大的不便。工控设备资产探测不仅为网络安全监控、威胁态势感知提供了系统认知基础,而且在提高入侵检测系统的效率、安全威胁分析等方面也有较多应用。
目前,资产探测的方法主要分为三种,主动探测,被动探测和基于搜索引擎的非入侵式探测方法。主动探测的方法是指通过主动向目标网络发送构造的数据包,并从返回的数据包的相关信息中提取目标指纹,然后与指纹数据库中的指纹进行比对来实现对开放端口、操作系统、服务以及应用类型的探测。被动探测是指采集目标网络的流量对流量中数据包中的特殊字段或者指纹特征进行分析,从而实现对网络资产信息的探测。基于搜索引擎的探测是指依托与搜索引擎获取的网络爬虫结果或专用服务器扫描结果,提供一种搜索查询的方式间接的实现资产探测。
主动探测方法适用于各种规模的网络,探测速度快,且能够探测不产生网络流量的资产,但是噪声大,对于工控设备而言,大量网络流量噪声很容易对需要持续运行的工控系统造成影响,且仅能了解探测当时的情况;被动探测方法入侵性小,支持历史数据的积累,但应用范围仅限于内网,对不产生网络流量的资产无效。基于搜索引擎的非入侵式探测隐蔽性强,速度快但是探测能力受限于搜索引擎的数据获取能力,准确率相对较低。
发明内容
基于现有探测方式中存在的问题,本发明提出了一种基于过滤技术的混合探测方法,解决基于搜索引擎的探测方法中存在的受限于搜索引擎的数据获取能力,并且准确率较低的问题,能够实现对目标网络更准确,更全面的探测。
本发明解决其技术问题采用的技术方案是:一种基于过滤技术的工控设备资产探测方法,包括:首先使用Shodan过滤出目标网段中未被识别为工控设备的IP;对所述IP使用主动探测进行扫描,将主动探测的结果存入数据库,此时数据库中就是所需要的探测结果。
优选地,所述的首先使用Shodan过滤出目标网段中未被识别为工控设备的IP具体方法为:使用API对目标网段的IP进行探测,对返回的信息进行解析,从中获取开放工控协议端口的IP,并将IP和对应的资产信息存入数据库;使用全球IP数据库,筛选出目标网段中的有效IP,根据已经确定的工控IP,过滤出未被判定的有效IP。
优选地,对所述IP使用主动探测进行扫描的具体方法为:对过滤出未被判定的有效IP进行端口探活;根据工控协议的通信方式和数据报文形式来构造数据包,向探测到确实存活的IP发送构造好的数据包,并开启接收数据包和分析数据包的线程。
优选地,所述的工控协议包括Modbus、S7、Dnp3以及BACnet。
本发明提出的基于过滤技术的工控资产设备探测方法,能够对目标网段中的工控设备进行较为全面的探测,为资产探测过程提供了新思路,有益效果为:使得用户能够更全面的探测到目标网络中的工控设备;提高了工控资产探测的正确率;提出了“过滤”探测的技术,提供了资产探测的新思路。
附图说明
图1是本发明的基于过滤技术的工控设备资产探测方法的流程图;
图2是Shodan搜索流程图。
具体实施方式
下面结合附图和实施例对本发明的基于过滤技术的工控设备资产探测方法进行详细的阐述。
如图1所示,本发明的基于过滤技术的工控设备资产探测方法,具体步骤为:
1、使用Shodan中提供的API函数对目标网段的IP进行探测,对返回的信息进行解析,从中获取开放工控协议端口的IP,并将IP和对应的资产信息存入数据库;使用全球IP数据库,筛选出目标网段中的有效IP,根据已经确定的工控IP,过滤出未被判定的有效IP,流程如图2所示。
2、对于过滤出来的IP进一步使用主动探测的方式进行资产信息探测,首先过滤出来的IP进行端口探活,探测到存活的IP之后,根据工控协议的通信方式和数据报文形式来构造数据包,向探测到确实存活的IP发送构造好的数据包,并开启接收数据包和分析数据包的线程。然后根据返回数据包的格式对返回的信息进行解析和处理。将主动探测的结果同样存入数据库,此时数据库中就是所需要的探测结果。
由于各个协议的不同所以构造数据包的具体内容也不同。目前已知的Modbus、S7、Dnp3以及BACnet都可以通过构造数据包的方式,获得目标系统的资产信息。使用Modbus举例,构造的数据包如表1所示。
表1构造的Modbus的请求数据包
前7个字节为Modbus的报文头,03是功能码代表读寄存器数据的功能,0x0000为读取的地址,0x0001为读取的寄存器的数量,将数据包发送出去之后根据返回的Modbus的数据包就能得到设备的资产信息。返回的Modbus数据包的结构如表2所示。
表2返回的Modbus的响应数据包
响应数据包的前七个字节同样是Modbus的报文头,通信事务处理标识符,协议标识符,设备地址,功能码要与对应的请求数据包保持一致,如果出错则功能码为80h+原功能码。0x02代表读到的数据长度,单位为字节,根据请求数据包我们可以发现从0x0000寄存器中读到的数据为1234h。由此可以获取目标设备的资产信息。
Claims (3)
1.一种基于过滤技术的工控设备资产探测方法,其特征在于,包括:首先使用Shodan过滤出目标网段中未被识别为工控设备的IP;对所述IP使用主动探测进行扫描,将主动探测的结果存入数据库,此时数据库中就是所需要的探测结果;
使用Shodan过滤出目标网段中未被识别为工控设备的IP具体方法为:使用API对目标网段的IP进行探测,对返回的信息进行解析,从中获取开放工控协议端口的IP,并将IP和对应的资产信息存入数据库;使用全球IP数据库,筛选出目标网段中的有效IP,根据已经确定的工控IP,过滤出未被判定的有效IP。
2.根据权利要求1所述的基于过滤技术的工控设备资产探测方法,其特征在于,对所述IP使用主动探测进行扫描的具体方法为:对过滤出未被判定的有效IP进行端口探活;根据工控协议的通信方式和数据报文形式来构造数据包,向探测到确实存活的IP发送构造好的数据包,并开启接收数据包和分析数据包的线程。
3.根据权利要求2所述的基于过滤技术的工控设备资产探测方法,其特征在于,所述的工控协议包括Modbus、S7、Dnp3以及BACnet。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910534090.5A CN110351251B (zh) | 2019-06-20 | 2019-06-20 | 一种基于过滤技术的工控设备资产探测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910534090.5A CN110351251B (zh) | 2019-06-20 | 2019-06-20 | 一种基于过滤技术的工控设备资产探测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110351251A CN110351251A (zh) | 2019-10-18 |
CN110351251B true CN110351251B (zh) | 2020-09-01 |
Family
ID=68182451
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910534090.5A Active CN110351251B (zh) | 2019-06-20 | 2019-06-20 | 一种基于过滤技术的工控设备资产探测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110351251B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111555936B (zh) * | 2020-04-27 | 2022-03-25 | 杭州迪普科技股份有限公司 | 一种工控资产探测方法、装置和设备 |
CN111726337A (zh) * | 2020-05-14 | 2020-09-29 | 北京邮电大学 | 一种设备资产探测方法及装置 |
CN111934946A (zh) * | 2020-07-16 | 2020-11-13 | 深信服科技股份有限公司 | 网络设备识别方法、装置、设备及可读存储介质 |
CN112202609A (zh) * | 2020-09-28 | 2021-01-08 | 全球能源互联网研究院有限公司 | 一种工控资产探测方法、装置、电子设备及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106230800A (zh) * | 2016-07-25 | 2016-12-14 | 恒安嘉新(北京)科技有限公司 | 一种对资产主动探测和漏洞预警的方法 |
CN107395573A (zh) * | 2017-06-30 | 2017-11-24 | 北京航空航天大学 | 一种工业控制系统的探测方法及装置 |
CN107579876A (zh) * | 2017-09-15 | 2018-01-12 | 中国移动通信集团广东有限公司 | 一种资产增量自动探测分析方法及装置 |
CN108390861A (zh) * | 2018-01-29 | 2018-08-10 | 中国电子科技网络信息安全有限公司 | 一种网络空间工控资产的威胁检测方法 |
CN108900554A (zh) * | 2018-08-22 | 2018-11-27 | 杭州安恒信息技术股份有限公司 | Http协议资产检测方法、系统、设备及计算机介质 |
CN109768870A (zh) * | 2017-11-09 | 2019-05-17 | 国网青海省电力公司电力科学研究院 | 一种基于主动探测技术的工控网络资产发现方法及系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10171318B2 (en) * | 2014-10-21 | 2019-01-01 | RiskIQ, Inc. | System and method of identifying internet-facing assets |
US10284589B2 (en) * | 2016-10-31 | 2019-05-07 | Acentium Inc. | Methods and systems for ranking, filtering and patching detected vulnerabilities in a networked system |
CN106453386A (zh) * | 2016-11-09 | 2017-02-22 | 深圳市魔方安全科技有限公司 | 基于分布式技术的自动化互联网资产监控和风险检测方法 |
CN107979597A (zh) * | 2017-11-24 | 2018-05-01 | 上海携程商务有限公司 | 分布式扫描的内网资产管理方法、系统、设备及存储介质 |
-
2019
- 2019-06-20 CN CN201910534090.5A patent/CN110351251B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106230800A (zh) * | 2016-07-25 | 2016-12-14 | 恒安嘉新(北京)科技有限公司 | 一种对资产主动探测和漏洞预警的方法 |
CN107395573A (zh) * | 2017-06-30 | 2017-11-24 | 北京航空航天大学 | 一种工业控制系统的探测方法及装置 |
CN107579876A (zh) * | 2017-09-15 | 2018-01-12 | 中国移动通信集团广东有限公司 | 一种资产增量自动探测分析方法及装置 |
CN109768870A (zh) * | 2017-11-09 | 2019-05-17 | 国网青海省电力公司电力科学研究院 | 一种基于主动探测技术的工控网络资产发现方法及系统 |
CN108390861A (zh) * | 2018-01-29 | 2018-08-10 | 中国电子科技网络信息安全有限公司 | 一种网络空间工控资产的威胁检测方法 |
CN108900554A (zh) * | 2018-08-22 | 2018-11-27 | 杭州安恒信息技术股份有限公司 | Http协议资产检测方法、系统、设备及计算机介质 |
Non-Patent Citations (2)
Title |
---|
一种针对工控设备的资产探测方法;于新铭;《计算机工程与应用》;20181221;1-8 * |
网络资产探测技术研究;王宸东;《计算机科学》;20181231;第45卷(第12期);1-8 * |
Also Published As
Publication number | Publication date |
---|---|
CN110351251A (zh) | 2019-10-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110351251B (zh) | 一种基于过滤技术的工控设备资产探测方法 | |
CN112085039B (zh) | 一种基于随机森林的icmp隐蔽通道检测方法 | |
CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
CN110138770B (zh) | 一种基于物联网威胁情报生成和共享系统及方法 | |
CN107145779B (zh) | 一种离线恶意软件日志的识别方法和装置 | |
US20100162392A1 (en) | Apparatus and method for monitoring security status of wireless network | |
CN106790062B (zh) | 一种基于反向dns查询属性聚合的异常检测方法及系统 | |
CN102594825A (zh) | 一种内网木马的检测方法和装置 | |
EP3282643B1 (en) | Method and apparatus of estimating conversation in a distributed netflow environment | |
CN113206860B (zh) | 一种基于机器学习和特征选择的DRDoS攻击检测方法 | |
CN112491867B (zh) | 一种基于会话相似性分析的ssh中间人攻击检测系统 | |
CN114189348A (zh) | 一种适用于工控网络环境的资产识别方法 | |
CN101547211B (zh) | 一种针对ip地址段扫描发现特定网站的方法 | |
CN106850272A (zh) | 中央服务器、业务服务器及其异常检测方法和系统 | |
CN111200543A (zh) | 一种基于主动服务探测引擎技术的加密协议识别方法 | |
CN103701821B (zh) | 文件类型识别方法及装置 | |
Zhang et al. | Mbst: detecting packet-level traffic anomalies by feature stability | |
CN110290188A (zh) | 一种适用于大规模网络环境的https流服务在线标识方法 | |
JP2010239392A (ja) | サービス不能攻撃制御システム、装置、および、プログラム | |
CN108347447B (zh) | 基于周期性通讯行为分析的p2p僵尸网络检测方法、系统 | |
KR101901738B1 (ko) | 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치 및 방법 | |
Cheng et al. | A research on identification method for WiFi-based home automation device suites | |
KR20190083178A (ko) | 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법 | |
CN117041070B (zh) | 一种网络空间测绘节点发现与归属判别方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |