CN110401662B - 一种工控设备指纹识别方法、存储介质 - Google Patents
一种工控设备指纹识别方法、存储介质 Download PDFInfo
- Publication number
- CN110401662B CN110401662B CN201910688662.5A CN201910688662A CN110401662B CN 110401662 B CN110401662 B CN 110401662B CN 201910688662 A CN201910688662 A CN 201910688662A CN 110401662 B CN110401662 B CN 110401662B
- Authority
- CN
- China
- Prior art keywords
- industrial control
- control equipment
- fingerprint information
- fingerprint
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
- H04L43/0894—Packet rate
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/18—Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
Abstract
本发明公开了一种工控设备指纹识别方法,涉及工控设备指纹识别技术领域,其包括以下步骤:S100,构建工控设备指纹信息库,该工控设备指纹信息库包括多种工控设备的至少如下信息:设备厂商、设备型号、网络流量特征;S200,通过镜像口采集待识别工控设备网络的流量数据,提取出待识别工控设备中的网络流量特征;S300,将步骤S200所得与工控设备指纹信息库相匹配,完成工控设备指纹的识别,本发明的有益效果是:通过镜像ICS系统中的流量,对不同工控设备分别分析其不同协议的网络流量特征,然后通过与工控设备指纹信息库做对比,识别该工控设备的具体厂家,型号等信息,在工作时对ICS系统网络没有任何影响,所以对ICS系统运作不会造成不利因素。
Description
技术领域
本发明涉及工控设备指纹识别技术领域,具体是一种工控设备指纹识别方法、存储介质。
背景技术
指纹识别是利用不同信息描述运行于网络中的设备或者软件的一种技术。工控设备指纹被用来远程识别ICS网络中的的工控设备,包括设备的厂家、品牌、运行软件(及其相关的软件版本号)等信息。当前的工控设备指纹识别技术主要采用主动发送协议探测报文,根据设备回复的协议包来识别工控设备指纹。通常,主动式指纹识别成功识别工控设备的概率更大些。这是因为主动式识别意味着收集所有生成工控设备指纹所需要的信息。
工控设备指纹识别技术应用于ICS网络的过程中有可利用的优势同时也伴随着挑战。ICS系统组件相对于常规互联网有着其固有的特性和缺陷。相较于传统信息网络,ICS系统中工控设备具有长生命周期,且网络拓扑稳定,流量规律性较强。工控设备供应商的私有协议是一把双刃剑,私有协议允许检测者对ICS系统进行定位或者识别特定设备,而相对私有协议做报文分析因没有协议文档说明,而显得很困难。
所以,主动式工控设备指纹识别并不是任何时候都能够起作用,探测扫描更易造成网络繁忙,且易导致ICS系统(Industry Control System,工业控制系统)故障。例如,在SCADA系统(Supervisory Control And Data Acquisition,数据采集与监视控制系统)中,主动式扫描可能造成系统过载。主动式扫描会使设备处理的报文数量增长,工控设备如PLC(Programmable Logic Controller,可编程逻辑控制器)和RTU(Remote Terminal Unit,远程终端控制系统)无法支持超出的流量,从而导致正常请求无法响应。
发明内容
本发明的目的在于提供一种工控设备指纹识别方法、存储介质,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:
一种工控设备指纹识别方法,包括以下步骤:
S100,构建工控设备指纹信息库,该工控设备指纹信息库包括多种工控设备的至少如下信息:
设备厂商、设备型号、网络流量特征;
S200,通过镜像口采集待识别工控设备网络中的流量数据,提取出待识别工控设备的网络流量特征;
S300,将步骤S200所得与工控设备指纹信息库相匹配,完成工控设备指纹的识别。
作为本发明进一步的方案:步骤S300中,若步骤S200所得与工控设备指纹信息库匹配失败,则将该工控设备的信息更新至工控设备指纹信息库中。
作为本发明再进一步的方案:所述网络流量特征包括OUI信息、协议种类和每种协议的流量速率和报文响应频率。
作为本发明再进一步的方案:步骤S200中,待识别工控设备的网络流量特征的获取方法包括以下步骤:
S201,通过镜像口采集ICS系统网络流量数据;
S202,对网络流量数据中的MAC地址进行分类,将源MAC地址或目的MAC地址一致的网络流量汇总形成数据集,该数据集即表示某个工控设备在进行指纹识别时的总流量;
S203,分别识别每个工控设备的流量数据,根据不同的协议分开统计,计算该工控设备的某种协议在这段时间内的流量速率和报文的响应频率。
作为本发明再进一步的方案:步骤S300中,对OUI信息、协议种类、每种协议的流量速率和报文响应频率进行依次匹配。
作为本发明再进一步的方案:步骤S300中,工控设备指纹的识别方法包括以下步骤:
S301,在对工控设备进行指纹识别时,首先根据该工控设备的MAC地址提取出该工控设备的OUI,在工控设备指纹信息库中匹配该OUI,获得匹配结果;
S302,若不存在匹配条目,则匹配失败;
若工控设备指纹信息库存在匹配条目,将该工控设备每种协议的流量速率和报文的响应频率与工控设备指纹信息库中对应协议的流量速率和报文响应频率进行对比;
S303,当每种协议中流量速率和报文响应频率的差值均处在设定的阈值内时,则匹配成功;否则,匹配失败。
一种存储介质,其上存储有程序,所述程序被处理器执行时实现所述工控设备指纹识别方法的步骤。
与现有技术相比,本发明的有益效果是:通过镜像ICS系统中的流量,对不同工控设备分别分析其不同协议的网络流量特征,然后通过与工控设备指纹信息库做对比,识别该工控设备的具体厂家,型号等信息,由于流量是镜像ICS系统获得的,因此其在工作时对ICS系统网络没有任何影响,所以对ICS系统运作不会造成不利因素。
附图说明
图1为一种工控设备指纹识别方法中网络流量特征获取的流程图。
图2为一种工控设备指纹识别方法中匹配过程的流程图。
图3为一种工控设备指纹识别方法的流程图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本实施例公开的一些方面相一致的装置和方法的例子。
实施例1
请参阅图1~3,本发明实施例中,一种工控设备指纹识别方法,包括以下步骤:
S100,构建工控设备指纹信息库,该工控设备指纹信息库包括多种工控设备的至少如下信息:
设备厂商、设备型号、网络流量特征(即OUI信息、协议种类和每种协议的流量速率和报文响应频率);
S200,通过镜像口采集待识别工控设备网络中的流量数据,提取出待识别工控设备中的网络流量特征(即OUI信息、协议种类和每种协议的流量速率和报文响应频率),本步骤是通过镜像的方式来获得工控设备的流量数据,其在工作时对ICS系统网络没有任何影响,所以对ICS系统运作不会造成不利因素;
具体的来说,其首先通过镜像口采集ICS系统网络流量数据,然后对网络流量数据中的MAC地址进行分类,将源MAC地址或目的MAC地址一致的网络流量汇总形成数据集,该数据集即表示某个工控设备在进行指纹识别时的总流量;再分别识别每个工控设备的流量数据,根据不同的协议分开统计,计算该工控设备的某种协议在这段时间内的流量速率和报文的响应频率;
此处,需要特别说明,本发明适用于二层交换网络,这样工控设备原始的MAC地址不会改变。
S300,将步骤S200所得与工控设备指纹信息库相匹配,即OUI信息、协议种类、每种协议的流量速率和报文响应频率的依次匹配,完成工控设备指纹的识别;当然,如果此处识别未成功的话,那么表明工控设备指纹信息库内没有储存该工控设备的相关信息,所以在此处,通过人工干预,将该工控设备的信息更新至工控设备指纹信息库中,即将其作为未知设备添加到工控设备指纹信息库中,随着时间的推移,其丰富程度越大,那么识别成功率就越高。
具体的来说,其匹配过程如下:
在对工控设备进行指纹识别时,首先根据该工控设备的MAC地址提取出该工控设备的OUI(Organizationally Unique Identifier,即组织唯一标识符,网卡中MAC地址的前三个字节,表明了网卡的制造商),在工控设备指纹信息库中匹配该OUI,获得匹配结果;
若不存在匹配条目,则匹配失败,此时,通过人工干预,将该工控设备的信息更新至工控设备指纹信息库中;
若工控设备指纹信息库存在匹配条目,将该工控设备每种协议的流量速率和报文的响应频率与工控设备指纹信息库中对应协议的流量速率和报文响应频率进行对比;
当每种协议中流量速率和报文响应频率的差值均处在设定的阈值内时,则匹配成功,判断是否是工控设备指纹信息库中最后一条协议(即所有协议是否匹配完成),如果是,则匹配结束,如果不是,继续下一条协议的匹配;
否则,匹配失败,此时,通过人工干预,将该工控设备的信息更新至工控设备指纹信息库中。
定义待识别工控设备的流量速率和报文响应频率分别为Sn和Fn,工控设备指纹信息库中的流量速率和报文响应频率分别为S和F,在对比时,当S*90%≤Sn≤S*110%且F*90%≤Fn≤F*110%时,即差值在±10%的范围内时,认为两者匹配成功。
实施例2
本发明实施例中,还提出了一种存储介质,其上存储有程序,所述程序被处理器执行时实现所述工控设备指纹识别方法的步骤。
需要特别说明的是,本技术方案中,通过镜像ICS系统中的流量,对不同工控设备分别分析其不同协议的网络流量特征,然后通过与工控设备指纹信息库做对比,识别该工控设备的具体厂家,型号等信息,由于流量是镜像ICS系统获得的,因此其在工作时对ICS系统网络没有任何影响,所以对ICS系统运作不会造成不利因素。
本领域技术人员在考虑说明书及实施例处的公开后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (2)
1.一种工控设备指纹识别方法,其特征在于,包括以下步骤:
S100,构建工控设备指纹信息库,该工控设备指纹信息库包括多种工控设备的至少如下信息:设备厂商、设备型号、网络流量特征;
S200,通过镜像口采集待识别工控设备网络中的流量数据,提取出待识别工控设备的网络流量特征;
S300,将步骤S200所得与工控设备指纹信息库相匹配,完成工控设备指纹的识别;
所述网络流量特征包括OUI信息、协议种类和每种协议的流量速率和报文响应频率;
步骤S300中,对OUI信息、协议种类、每种协议的流量速率和报文响应频率进行依次匹配;
步骤S300中,工控设备指纹的识别方法包括以下步骤:
S301,在对工控设备进行指纹识别时,首先根据该工控设备的MAC地址提取出该工控设备的OUI,在工控设备指纹信息库中匹配该OUI,获得匹配结果;
S302,若不存在匹配条目,则匹配失败;若工控设备指纹信息库存在匹配条目,将该工控设备每种协议的流量速率和报文的响应频率与工控设备指纹信息库中对应协议的流量速率和报文响应频率进行对比;定义待识别工控设备的流量速率和报文响应频率分别为Sn和Fn,工控设备指纹信息库中的流量速率和报文响应频率分别为S和F,在对比时,当S*90%≤Sn≤S*110%且F*90%≤Fn≤F*110%时,即差值在±10%的范围内时,认为两者匹配成功;
S303,当每种协议中流量速率和报文响应频率的差值均处在设定的阈值内时,则匹配成功;否则,匹配失败;
步骤S300中,若步骤S200所得与工控设备指纹信息库匹配失败,则将该工控设备的信息更新至工控设备指纹信息库中;
步骤S200中,待识别工控设备的网络流量特征的获取方法包括以下步骤:
S201,通过镜像口采集ICS系统网络流量数据;
S202,对网络流量数据中的MAC地址进行分类,将源MAC地址或目的MAC地址一致的网络流量汇总形成数据集,该数据集即表示某个工控设备在进行指纹识别时的总流量;
S203,分别识别每个工控设备的流量数据,根据不同的协议分开统计,计算该工控设备的某种协议在这段时间内的流量速率和报文的响应频率。
2.一种存储介质,其特征在于,其上存储有程序,所述程序被处理器执行时实现如权利要求1所述工控设备指纹识别方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910688662.5A CN110401662B (zh) | 2019-07-29 | 2019-07-29 | 一种工控设备指纹识别方法、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910688662.5A CN110401662B (zh) | 2019-07-29 | 2019-07-29 | 一种工控设备指纹识别方法、存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110401662A CN110401662A (zh) | 2019-11-01 |
| CN110401662B true CN110401662B (zh) | 2021-12-31 |
Family
ID=68326445
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910688662.5A Active CN110401662B (zh) | 2019-07-29 | 2019-07-29 | 一种工控设备指纹识别方法、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110401662B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111385297B (zh) * | 2020-03-04 | 2021-12-28 | 西安交通大学 | 无线设备指纹识别方法、系统、设备及可读存储介质 |
| CN111447153A (zh) * | 2020-04-03 | 2020-07-24 | 北京天地和兴科技有限公司 | 一种工业设备指纹的识别方法 |
| CN111523782B (zh) * | 2020-04-14 | 2023-04-28 | 杭州迪普科技股份有限公司 | 工控资产管理方法、装置、设备及存储介质 |
| CN112118256B (zh) * | 2020-09-17 | 2023-03-24 | 浙江齐安信息科技有限公司 | 工控设备指纹归一化方法、装置、计算机设备及存储介质 |
| CN112787846A (zh) * | 2020-12-23 | 2021-05-11 | 北京珞安科技有限责任公司 | 一种设备发现方法、装置及计算机设备 |
| CN112714045B (zh) * | 2020-12-31 | 2023-05-19 | 浙江远望信息股份有限公司 | 一种基于设备指纹和端口的快速协议识别方法 |
| CN112800408B (zh) * | 2021-04-15 | 2021-06-18 | 工业信息安全(四川)创新中心有限公司 | 一种基于主动探测的工控设备指纹提取与识别方法 |
| CN113572761B (zh) * | 2021-07-22 | 2023-06-30 | 四川英得赛克科技有限公司 | 一种设备识别方法、装置、电子设备及存储介质 |
| CN113746849A (zh) * | 2021-09-07 | 2021-12-03 | 深信服科技股份有限公司 | 一种网络中的设备识别方法、装置、设备及存储介质 |
| CN116708001B (zh) * | 2023-07-13 | 2024-01-23 | 浙江齐安信息科技有限公司 | 工业控制系统私有协议漏洞探测方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106713449A (zh) * | 2016-12-21 | 2017-05-24 | 中国电子科技网络信息安全有限公司 | 一种快速识别联网工控设备的方法 |
| CN107204975A (zh) * | 2017-05-11 | 2017-09-26 | 四川大学 | 一种基于场景指纹的工业控制系统网络攻击检测技术 |
| CN107566388A (zh) * | 2017-09-18 | 2018-01-09 | 杭州安恒信息技术有限公司 | 工控漏洞探测方法、装置及系统 |
| CN108696544A (zh) * | 2018-09-05 | 2018-10-23 | 杭州安恒信息技术股份有限公司 | 基于工控系统的安全漏洞探测方法和装置 |
| CN109639733A (zh) * | 2019-01-24 | 2019-04-16 | 南方电网科学研究院有限责任公司 | 适用于工控系统的安全检测与监控系统 |
| CN109802953A (zh) * | 2018-12-29 | 2019-05-24 | 北京奇安信科技有限公司 | 一种工控资产的识别方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101542496B (zh) * | 2007-09-19 | 2012-09-05 | 美国威诚股份有限公司 | 利用物理不可克隆功能的身份验证 |
| US20180048550A1 (en) * | 2015-03-06 | 2018-02-15 | Georgia Tech Research Corporation | Device fingerprinting for cyber-physical systems |
-
2019
- 2019-07-29 CN CN201910688662.5A patent/CN110401662B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106713449A (zh) * | 2016-12-21 | 2017-05-24 | 中国电子科技网络信息安全有限公司 | 一种快速识别联网工控设备的方法 |
| CN107204975A (zh) * | 2017-05-11 | 2017-09-26 | 四川大学 | 一种基于场景指纹的工业控制系统网络攻击检测技术 |
| CN107566388A (zh) * | 2017-09-18 | 2018-01-09 | 杭州安恒信息技术有限公司 | 工控漏洞探测方法、装置及系统 |
| CN108696544A (zh) * | 2018-09-05 | 2018-10-23 | 杭州安恒信息技术股份有限公司 | 基于工控系统的安全漏洞探测方法和装置 |
| CN109802953A (zh) * | 2018-12-29 | 2019-05-24 | 北京奇安信科技有限公司 | 一种工控资产的识别方法及装置 |
| CN109639733A (zh) * | 2019-01-24 | 2019-04-16 | 南方电网科学研究院有限责任公司 | 适用于工控系统的安全检测与监控系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110401662A (zh) | 2019-11-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110401662B (zh) | 一种工控设备指纹识别方法、存储介质 | |
| CN110115015B (zh) | 通过监测其行为检测未知IoT设备的系统和方法 | |
| CN108322345B (zh) | 一种故障修复数据包的发布方法及服务器 | |
| WO2016004981A1 (en) | Network topology estimation based on event correlation | |
| CN112602304A (zh) | 基于行为属性标识设备类型 | |
| CN111083179B (zh) | 物联网云平台、基于物联网云平台的设备交互方法及装置 | |
| CN105721203A (zh) | 升级处理方法及装置 | |
| CN102780681A (zh) | Url过滤系统及过滤url的方法 | |
| CN107465621B (zh) | 一种路由器发现方法、sdn控制器、路由器和网络系统 | |
| CN113852476A (zh) | 确定异常事件关联对象的方法、装置及系统 | |
| CN108769118B (zh) | 一种分布式系统中主节点的选取方法及装置 | |
| CN108900347B (zh) | 集群初始化配置方法、装置、系统、设备及可读存储介质 | |
| CN109901950A (zh) | 一种规避应用程序崩溃的方法及装置 | |
| CN106533818B (zh) | 基于nfv资源池的监控方法和通信方法、系统以及设备 | |
| CN109067603B (zh) | 一种确定变电站网络vlan配置问题的方法及系统 | |
| CN111698321A (zh) | 物联网设备数据同步方法、装置及控制中心 | |
| CN113971093A (zh) | 一种消息处理方法、装置、设备及计算机存储介质 | |
| CN110430093B (zh) | 一种数据处理方法、装置及计算机可读存储介质 | |
| WO2017118430A1 (zh) | 一种实现报文检错的方法及装置 | |
| CN114327817A (zh) | 一种任务分片方法、装置和电子设备 | |
| CN116567095B (zh) | 一种云计算的分布式调度第三方服务网格系统及方法 | |
| CN111104414B (zh) | 一种基于桶哈希的sdn控制器审计方法 | |
| CN104038361B (zh) | 基于snmp的无线接入设备生命周期的监测方法 | |
| CN111200534B (zh) | 终端信息的确定方法和装置 | |
| CN109547305B (zh) | 运行控制方法、设备、家电设备、系统和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |