CN111130883B - 工控设备拓扑图的确定方法、装置及电子设备 - Google Patents

工控设备拓扑图的确定方法、装置及电子设备 Download PDF

Info

Publication number
CN111130883B
CN111130883B CN201911361393.8A CN201911361393A CN111130883B CN 111130883 B CN111130883 B CN 111130883B CN 201911361393 A CN201911361393 A CN 201911361393A CN 111130883 B CN111130883 B CN 111130883B
Authority
CN
China
Prior art keywords
industrial
industrial control
network
flow
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911361393.8A
Other languages
English (en)
Other versions
CN111130883A (zh
Inventor
李长彬
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN201911361393.8A priority Critical patent/CN111130883B/zh
Publication of CN111130883A publication Critical patent/CN111130883A/zh
Application granted granted Critical
Publication of CN111130883B publication Critical patent/CN111130883B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种工控设备拓扑图的确定方法、装置及电子设备,该方法由服务器执行,该服务器与工业网络中的交换机通信连接,该方法包括:获取交换机在指定时长内传输的流量数据;基于预先配置的工控协议插件对流量数据进行解析,得到工业网络的流量信息和工业网络中的设备信息;其中,工业网络的流量信息包括:工业网络的传输层、网络层和应用层分别对应的流量信息;再基于工业网络的流量信息和工业网络中的设备信息确定工控设备拓扑图。本发明提升了解决工控安全问题的及时性。

Description

工控设备拓扑图的确定方法、装置及电子设备
技术领域
本发明涉及工业控制技术领域,尤其是涉及一种工控设备拓扑图的确定方法、装置及电子设备。
背景技术
目前,工控系统被广泛应用到电力、石化、交通、市政以及关键制造业等涉及国计民生的重要行业中,如受到攻击或影响的将不仅是相关企业的经济损失,甚至会引起相应的社会问题,因此,工控安全问题已成为当前各行业重视的安全问题。然而,现有的工控设备拓扑图仅为简单的ip到ip的关系图,无法直观体现工业环境,工厂运维技术人员基于现有的工控设备拓扑图对设备只是能大概了解设备间的简单交互概括,对于具体设备之间的流量传输并没有详细的认知,当设备之间出现异常的协议数据或异常数据交互关系时,难以及时解决工控安全问题。
发明内容
本发明实施例的目的在于提供一种工控设备拓扑图的确定方法、装置及电子设备,提升了解决工控安全问题的及时性。
第一方面,本发明实施例提供了一种工控设备拓扑图的确定方法,其所述方法由服务器执行,所述服务器与工业网络中的交换机通信连接,所述方法包括:获取所述交换机在指定时长内传输的流量数据;基于预先配置的工控协议插件对所述流量数据进行解析,得到所述工业网络的流量信息和所述工业网络中的设备信息;其中,所述工业网络的流量信息包括:所述工业网络的传输层、网络层和应用层分别对应的流量信息;基于所述工业网络的流量信息和所述工业网络中的设备信息确定工控设备拓扑图。
在可选的实施方式中,所述应用层的流量信息包括工控协议;所述基于预先配置的工控协议插件对所述流量数据进行解析,得到所述工业网络的流量信息和所述工业网络中的设备信息的步骤,包括:对所述流量数据进行对包解码,得到传输层的流量数据、网络层的流量数据和工业网络中的资产信息;对所述流量数据进行对包重组,得到合格的数据报文;其中,所述合格的数据报文中包括工控协议;基于所述工控协议的协议类型,从预先配置的工控协议插件中选取对应的工控协议插件对所述数据报文进行解析得到工控协议。
在可选的实施方式中,所述工控协议包括Modbus、S7、Profinet、Fins、CIP、IEC-104中的任意一种或多种。
在可选的实施方式中,所述工控协议插件是基于所述工控协议的数据文档得到的。
在可选的实施方式中,所述传输层的流量信息包括TCP流量信息和UDP流量信息;所述网络层的流量信息包括IP流量信息和ICMP流量信息;所述工业网络中的设备信息包括源IP、目的IP、源IP的MAC、目的IP的MAC及设备名称。
在可选的实施方式中,所述工控设备拓扑图包括:所述工业网络中每个设备24小时的流量数据图、多点关系图、单个IP的资产表、单个IP的流量柱状图和点对点关系图。
在可选的实施方式中,所述方法还包括:通过比对不同时间段确定的所述工控设备拓扑图,得到所述工控设备拓扑图中的异常数据;基于所述异常数据确定该异常数据对应的设备。
第二方面,本发明实施例提供了一种工控设备拓扑图的确定装置,所述装置设置于服务器,所述服务器与工业网络交换机通信连接,所述装置包括:数据获取模块,用于获取所述交换机在指定时长内传输的流量数据;数据解析模块,用于基于预先配置的工控协议插件对所述流量数据进行解析,得到所述工业网络的流量信息和所述工业网络中的设备信息;其中,所述工业网络的流量信息包括:所述工业网络的传输层、网络层和应用层分别对应的流量信息;拓扑图确定模块,用于基于所述工业网络的流量信息和所述工业网络中的设备信息确定工控设备拓扑图。
第三方面,本发明实施例提供了一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其中,所述处理器执行所述计算机程序时实现如第一方面所述的方法的步骤。
第四方面,本发明实施例提供了一种计算机可读介质,其中,所述计算机可读介质存储有计算机可执行指令,所述计算机可执行指令在被处理器调用和执行时,所述计算机可执行指令促使所述处理器实现如第一方面所述的方法。
本发明实施例提供了一种工控设备拓扑图的确定方法、装置及电子设备,该方法由服务器执行,该服务器与工业网络中的交换机通信连接,该方法包括:首先获取交换机在指定时长内传输的流量数据;再基于预先配置的工控协议插件对流量数据进行解析,得到工业网络的流量信息(包括工业网络的传输层、网络层和应用层分别对应的流量信息)和工业网络中的设备信息;最后基于工业网络的流量信息和工业网络中的设备信息确定工控设备拓扑图。在该方法中,通过基于各个网络层的流量信息和工业网络中的资产信息确定工控设备拓扑图,使生成的工控设备拓扑图的内容更加具体,可以便于工作人员根据工控设备拓扑图检测异常流量行为的发生,并该基于工控设备拓扑图及时进行维修工作,提升了解决工控安全问题的及时性。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种工控设备拓扑图的确定方法流程图;
图2为本发明实施例提供的一种工控设备拓扑图的确定方法流程图;
图3为本发明实施例提供的一种工控设备拓扑图内容汇总图;
图4为本发明实施例提供的一种工控设备拓扑图的确定装置结构示意图;
图5为本发明实施例提供的一种电子设备结构示意图。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
考虑到现有的工控设备拓扑图还存在难以帮助运维人员及时解决工控安全问题,本发明实施例提供了一种工控设备拓扑图的确定方法、装置及电子设备,可以应用于提升解决工控安全问题的及时性。
本发明实施例提供了一种工控设备拓扑图的确定方法,参见如图1所示的工控设备拓扑图的确定方法流程图,该方法可以由服务器执行,该服务器与工业网络交换机通信连接,该方法包括以下步骤S102~步骤S106:
步骤S102:获取交换机在指定时长内传输的流量数据。
在工业环境下,采用旁路部署方式,将服务器部署在交换机层,通过流量检测引擎,获取流经交换机的所有流量数据。这样流量检测引擎获取整个工业网络的全部流量数据,且不影响原有工业系统的数据流向,不会对原有工业系统造成影响。
步骤S104:基于预先配置的工控协议插件对流量数据进行解析,得到工业网络的流量信息和工业网络中的设备信息;其中,工业网络的流量信息包括:工业网络的传输层、网络层和应用层分别对应的流量信息。
具体的,对流量数据进行对包解码,得到传输层的流量数据、网络层的流量数据和工业网络中的资产信息。其中,上述传输层的流量信息包括TCP流量信息和UDP流量信息;网络层的流量信息包括IP流量信息和ICMP流量信息;工业网络中的设备信息包括源IP、目的IP、源IP的MAC、目的IP的MAC及设备名称。
对流量数据进行对包重组,得到合格的数据报文;其中,合格的数据报文中包括工控协议;基于工控协议的协议类型,从预先配置的工控协议插件中选取对应的工控协议插件对数据报文进行解析得到工控协议。上述工控协议包括Modbus、S7、Profinet、Fins、CIP、IEC-104中的任意一种或多种。上述工控协议插件是基于工控协议的数据文档得到的。
在使用工控协议插件对数据报文进行解析得到工控协议时,根据工控协议的通信端口进入对应的工控协议插件中,然后,匹配该协议的特征信息,如果该特征信息符合要求,根据该工控协议的官方约定,解析出该工控协议的相关信息。诸如modbus协议,该协议的通信端口为502,根据该通信端口可以判断出是modbus协议,modbus解析插件对modbus协议进行解析,从而将数据包中的功能码有读/写线圈,读/写寄存器,数据内容,地址,数据包长度等信息输出。
步骤S106:基于工业网络的流量信息和工业网络中的设备信息确定工控设备拓扑图。
通过对各个网络层的流量信息和工业网络中的资产信息进行数据分析汇总,可以得到工控设备拓扑图,其中,该工控设备拓扑图可以通过前端程序展示出来,以供运维人员进行流量数据的监控。上述工控设备拓扑图所展示的内容主要包括:每个资产设备24小时的流量数据图、多点关系图、单个IP的资产表、单个IP的流量柱状图和点对点关系图。
其中,上述每个资产设备24小时的流量数据图可以以流量折线图的形式呈现,从而可以将单ip一天24的流量数据图展示出来,且该24小时的流量数据图可以与近3个月内同时段的流量折线图进行对比,以便发现异常流量数据。因为工业环境中流量一天是固定,通过24小时的流量数据图可以监测到异常流量行为的发生,当出现异常大流量时,便于运维人员追溯攻击行为。
上述单个IP的资产表可以包括IP、MAC和别名,其中,该别名可以包括诸如操作站、工程师站或开关标识,该标识可以是人为设定的标识。上述单个IP的流量柱状图可以包括总流量、流入流量、流出流量、传输层流量、网络层流量和应用层流量。上述点对点关系图可以包括IP到IP的交互流量大小的交互的协议类型,该协议类型可以包括诸如HTTP、S7、Modbus、CIP和IEC-104等协议中的一种或多种。
本实施例提供的上述工控设备拓扑图的确定方法,通过基于各个网络层的流量信息和工业网络中的资产信息确定工控设备拓扑图,使生成的工控设备拓扑图的内容更加具体,可以便于工作人员根据工控设备拓扑图检测异常流量行为的发生,并该基于工控设备拓扑图及时进行维修工作,提升了解决工控安全问题的及时性。
为了帮助运维人员及时发现工业网络中的隐患,本实施例提供的方法还包括:
通过比对不同时间段确定的工控设备拓扑图,得到工控设备拓扑图中的异常数据;基于异常数据确定该异常数据对应的设备。由于上述工控设备拓扑图中包括对于工业网络中每个设备24小时的流量数据图,实时监控设备的流量数据,通过比对多个时间段内得到的工控设备拓扑图中的设备流量可以得到与一般流量数据不同的异常数据,并根据该异常流量从上述工控设备拓扑图中的获取到产生异常流量的设备,以便使运维人员及时对出现异常的设备进行维护。
在实际应用中,参见如图2所示的工控设备拓扑图的确定方法流程图,可以采用以下步骤S202~步骤S206确定工控设备拓扑图:
步骤S202:获取工业网络的流量数据。对该工业网络进行环境部署,将该服务器通过旁路部署的方式,部署在交换机一层,通过libpcap方式获取流经网卡的流量数据,该流量数据包含了工厂环境交换机所有流量数据,这样探针可以接收整个工业网络的所有流量数据,且不影响原有工业系统的数据流向,也不会对原有工业系统造成影响。
步骤S204:对获取到的流量数据进行解析。根据上述获取的流量数据,可以解析出传输层TCP,UDP,IP协议流量数据大小,并保存到数据库中,以便为工控设备拓扑图中的tcp,udp,icmp流量大小,源ip,源mac,目的ip,源mac信息,总流量信息的确定提供依据。
通过流量监测引擎,获取解析流量数据,将解析后的流量数据保存到数据库,使用搜索引擎创建索引。上述流量监测引擎,采用开源项目snort2.9开发出工控协议插件,以增添需要的数据内容信息。上述流量数据的解析主要分为四步:数据包捕获/解码;预处理器插件处理;规则解析和检测;输出插件工作。数据保存采用mysql,可以和搜索引擎sphinx结合起来,利于数据的查询。工控协议插件需要自主基于snort开源项目进行代码开发工作,目前已经支持:Profinet、S7、Modbus、IEC-104、DNP3、Ethernet/IP、CIP、BACnet、Fox、Crimson V3、FINS、PCwox、Melsec、MMS、OPC和Ovation DCS。其他工控协议可以通过插件方式添加。
上述工控协议插件的实现步骤包括:根据官方提供的spp_template.h、spp_template.c文件、snort开源项目的官方文档以及工控协议的数据文档,实现工控协议插件的配置文件编写,基于插件注册函数实现对应工控协议的解析代码的开发,将其编译成动态库,加载在流量检测引擎snort插件链表中,即可实现该工控协议的解析功能。
根据不同的工控协议插件,可以解析不同的工控协议。不同的工控协议插件,解析流量数据的报文的方式也是不同的,获取流量数据中不同的报文包的协议类型和流量大小,根据报文包的协议类型选择合适的工控协议插件进行解析。诸如,Ethernet/IP插件(tcp端口:44818/2222):可以解析出指令:List Services,List Identify,ListInterfaces,Register Session,CIP I/O等指令码和其他数据内容。DNP3插件(tcp端口:20000):可以解析出指令码:Confirm,Read,Write,Select,Operate等指令信息和其他响应数据内容。BACnet插件(tcp端口:47808):可以解析出指令码:BVLC-Result,Forwarded-NPDU,Register-Foreign-Device等指令信息和其他响应数据内容。
步骤S206:根据解析出的流量数据生成工控设备拓扑图。上述工控设备拓扑图可以使中间件java程序通过搜索引擎从数据库中流量数据解析得到的数据及24小时内的流量数据,按照json的数据格式发送给前端程序,进行上述数据的展示,完成工控设备拓扑图的展示。上述流量数据解析得到的数据包括工业网络的资产信息和各个网络层的流量数据。参见如图3所示的工控设备拓扑图内容汇总图,生成的公开资产拓扑图主要包括每个资产设备24小时的流量数据图(可以以流量折线图的形式呈现)、多点关系图、单个IP的资产表(包括IP、MAC和别名,诸如操作站、工程师站或开关标识)、单个IP的流量柱状图(包括总流量、流入流量、流出流量、传输层流量、网络层流量和应用层流量)和点对点关系图(包括IP到IP的交互流量大小的交互的协议类型)。上述24小时的流量数据图可以与近3个月内同时段的流量折线图进行对比,以便发现异常流量数据。
本发明实施例提供的上述工控设备拓扑图的确定方法,该工控设备拓扑图可以展示一天24小时的流量数据图,还可以展示传输层、网络层的流量信息及应用层的工控协议等数据,也可以和三个月内任意一天的流量数据做比较,利于技术员分析流量异常情况,提升了解决工控安全问题的及时性。
对应于上述工控设备拓扑图的确定方法,本实施例提供了一种工控设备拓扑图的确定装置,该装置设置于服务器,服务器与工业网络交换机通信连接,参见如图4所示的工控设备拓扑图的确定装置结构示意图,该装置包括:
数据获取模块41,用于获取交换机在指定时长内传输的流量数据。
数据解析模块42,用于基于预先配置的工控协议插件对流量数据进行解析,得到工业网络的流量信息和工业网络中的设备信息;其中,工业网络的流量信息包括:工业网络的传输层、网络层和应用层分别对应的流量信息。
拓扑图确定模块43,用于基于工业网络的流量信息和工业网络中的设备信息确定工控设备拓扑图。
本实施例提供的上述工控设备拓扑图的确定装置,通过基于各个网络层的流量信息和工业网络中的资产信息确定工控设备拓扑图,使生成的工控设备拓扑图的内容更加具体,可以便于工作人员根据工控设备拓扑图检测异常流量行为的发生,并该基于工控设备拓扑图及时进行维修工作,提升了解决工控安全问题的及时性。
在一种实施方式中,上述应用层的流量信息包括工控协议;上述数据解析模块42,进一步用于对流量数据进行对包解码,得到传输层的流量数据、网络层的流量数据和工业网络中的资产信息;对流量数据进行对包重组,得到合格的数据报文;其中,合格的数据报文中包括工控协议;基于工控协议的协议类型,从预先配置的工控协议插件中选取对应的工控协议插件对数据报文进行解析得到工控协议。
在一种实施方式中,上述工控协议包括Modbus、S7、Profinet、Fins、CIP、IEC-104中的任意一种或多种。
在一种实施方式中,上述工控协议插件是基于工控协议的数据文档得到的。
在一种实施方式中,上述传输层的流量信息包括TCP流量信息和UDP流量信息;网络层的流量信息包括IP流量信息和ICMP流量信息;工业网络中的设备信息包括源IP、目的IP、源IP的MAC、目的IP的MAC及设备名称。
在一种实施方式中,上述工控设备拓扑图包括:工业网络中每个设备24小时的流量数据图、多点关系图、单个IP的资产表、单个IP的流量柱状图和点对点关系图。
在一种实施方式中,上述装置还包括:
异常设备确定模块,用于通过比对不同时间段确定的工控设备拓扑图,得到工控设备拓扑图中的异常数据;基于异常数据确定该异常数据对应的设备。
本发明实施例提供的上述工控设备拓扑图的确定装置,该工控设备拓扑图可以展示一天24小时的流量数据图,还可以展示传输层、网络层的流量信息及应用层的工控协议等数据,也可以和三个月内任意一天的流量数据做比较,利于技术员分析流量异常情况,提升了解决工控安全问题的及时性。
本实施例所提供的装置,其实现原理及产生的技术效果和前述实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
本发明实施例提供了一种电子设备,如图5所示的电子设备结构示意图,电子设备包括处理器51、存储器52,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述实施例提供的方法的步骤。
参见图5,电子设备还包括:总线54和通信接口53,处理器51、通信接口53和存储器52通过总线54连接。处理器51用于执行存储器52中存储的可执行模块,例如计算机程序。
其中,存储器52可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口53(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线54可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(ExtendedIndustry Standard Architecture,扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器52用于存储程序,所述处理器51在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器51中,或者由处理器51实现。
处理器51可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器51中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器51可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等。还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器52,处理器51读取存储器52中的信息,结合其硬件完成上述方法的步骤。
本发明实施例提供了一种计算机可读介质,其中,所述计算机可读介质存储有计算机可执行指令,所述计算机可执行指令在被处理器调用和执行时,所述计算机可执行指令促使所述处理器实现上述实施例所述的方法。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (9)

1.一种工控设备拓扑图的确定方法,其特征在于,所述方法由服务器执行,所述服务器采用旁路部署的方式设置在交换机层,所述服务器与工业网络中的交换机通信连接,所述方法包括:
通过流量检测引擎获取所述交换机在指定时长内传输的流量数据;
基于预先配置的工控协议插件对所述流量数据进行解析,得到所述工业网络的流量信息和所述工业网络中的设备信息;其中,所述工业网络的流量信息包括:所述工业网络的传输层、网络层和应用层分别对应的流量信息;
基于所述工业网络的流量信息和所述工业网络中的设备信息确定工控设备拓扑图;其中,所述工控设备拓扑图包括:所述工业网络中每个设备24小时的流量数据图、多点关系图、单个IP的资产表、单个IP的流量柱状图和包括IP到IP的交互流量大小的交互的协议类型的点对点关系图。
2.根据权利要求1所述的方法,其特征在于,所述应用层的流量信息包括工控协议;
所述基于预先配置的工控协议插件对所述流量数据进行解析,得到所述工业网络的流量信息和所述工业网络中的设备信息的步骤,包括:
对所述流量数据进行对包解码,得到传输层的流量数据、网络层的流量数据和工业网络中的资产信息;
对所述流量数据进行对包重组,得到合格的数据报文;其中,所述合格的数据报文中包括工控协议;
基于所述工控协议的协议类型,从预先配置的工控协议插件中选取对应的工控协议插件对所述数据报文进行解析得到工控协议。
3.根据权利要求2所述的方法,其特征在于,所述工控协议包括Modbus、S7、Profinet、Fins、CIP、IEC-104中的任意一种或多种。
4.根据权利要求2所述的方法,其特征在于,所述工控协议插件是基于所述工控协议的数据文档得到的。
5.根据权利要求1所述的方法,其特征在于,所述传输层的流量信息包括TCP流量信息和UDP流量信息;
所述网络层的流量信息包括IP流量信息和ICMP流量信息;
所述工业网络中的设备信息包括源IP、目的IP、源IP的MAC、目的IP的MAC及设备名称。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述方法还包括:
通过比对不同时间段确定的所述工控设备拓扑图,得到所述工控设备拓扑图中的异常数据;
基于所述异常数据确定该异常数据对应的设备。
7.一种工控设备拓扑图的确定装置,其特征在于,所述装置设置于服务器,所述服务器采用旁路部署的方式设置在交换机层,所述服务器与工业网络交换机通信连接,所述装置包括:
数据获取模块,用于通过流量检测引擎获取所述交换机在指定时长内传输的流量数据;
数据解析模块,用于基于预先配置的工控协议插件对所述流量数据进行解析,得到所述工业网络的流量信息和所述工业网络中的设备信息;其中,所述工业网络的流量信息包括:所述工业网络的传输层、网络层和应用层分别对应的流量信息;
拓扑图确定模块,用于基于所述工业网络的流量信息和所述工业网络中的设备信息确定工控设备拓扑图;其中,所述工控设备拓扑图包括:所述工业网络中每个设备24小时的流量数据图、多点关系图、单个IP的资产表、单个IP的流量柱状图和包括IP到IP的交互流量大小的交互的协议类型的点对点关系图。
8.一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1-6任一项所述的方法。
9.一种计算机可读介质,其特征在于,所述计算机可读介质存储有计算机可执行指令,所述计算机可执行指令在被处理器调用和执行时,所述计算机可执行指令促使所述处理器实现权利要求1-6任一项所述的方法。
CN201911361393.8A 2019-12-25 2019-12-25 工控设备拓扑图的确定方法、装置及电子设备 Active CN111130883B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911361393.8A CN111130883B (zh) 2019-12-25 2019-12-25 工控设备拓扑图的确定方法、装置及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911361393.8A CN111130883B (zh) 2019-12-25 2019-12-25 工控设备拓扑图的确定方法、装置及电子设备

Publications (2)

Publication Number Publication Date
CN111130883A CN111130883A (zh) 2020-05-08
CN111130883B true CN111130883B (zh) 2022-12-30

Family

ID=70502609

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911361393.8A Active CN111130883B (zh) 2019-12-25 2019-12-25 工控设备拓扑图的确定方法、装置及电子设备

Country Status (1)

Country Link
CN (1) CN111130883B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111654477A (zh) * 2020-05-21 2020-09-11 杭州安恒信息技术股份有限公司 基于fins协议的工控网络的信息拓扑方法、装置和计算机设备
CN112822063A (zh) * 2020-08-17 2021-05-18 北京辰信领创信息技术有限公司 通过被动网络行为探测实现物联网终端网络指纹测绘设计
CN112671553A (zh) * 2020-11-26 2021-04-16 中国电子科技网络信息安全有限公司 基于主被动探测的工控网络拓扑图生成方法
EP4264857A4 (en) * 2021-01-27 2024-09-18 Siemens Ag INDUSTRIAL NETWORK-BASED CODELESS TRACKING ANALYSIS METHOD AND APPARATUS FOR INDUSTRIAL SOFTWARE
CN115208905A (zh) * 2022-08-12 2022-10-18 杭州安恒信息技术股份有限公司 设备信息同步方法、装置、系统、电子装置和存储介质
CN115514653B (zh) * 2022-10-09 2024-07-26 科来网络技术股份有限公司 工控网络的拓扑图生成方法、装置、电子设备及存储介质
CN117978893B (zh) * 2024-04-02 2024-06-14 成都汉度科技有限公司 一种通用Modbus协议解析方法、装置及设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102215136A (zh) * 2010-04-01 2011-10-12 中国科学院计算技术研究所 流量拓扑生成方法和装置
CN110430080A (zh) * 2019-08-07 2019-11-08 国家计算机网络与信息安全管理中心 网络拓扑探测方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120026914A1 (en) * 2010-07-28 2012-02-02 Swapnesh Banerjee Analyzing Network Activity by Presenting Topology Information with Application Traffic Quantity

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102215136A (zh) * 2010-04-01 2011-10-12 中国科学院计算技术研究所 流量拓扑生成方法和装置
CN110430080A (zh) * 2019-08-07 2019-11-08 国家计算机网络与信息安全管理中心 网络拓扑探测方法及装置

Also Published As

Publication number Publication date
CN111130883A (zh) 2020-05-08

Similar Documents

Publication Publication Date Title
CN111130883B (zh) 工控设备拓扑图的确定方法、装置及电子设备
CN112468488B (zh) 工业异常监测方法、装置、计算机设备及可读存储介质
CN112235326B (zh) 物联网设备数据的解析方法、装置和电子设备
CN113949748B (zh) 一种网络资产识别方法、装置、存储介质及电子设备
US7903555B2 (en) Packet tracing
US8789182B2 (en) Security event logging in process control
CN114710416B (zh) 一种基于工艺流程的网络流量实时数据采集方法
CN111427307B (zh) 一种工控异常检测方法、装置及设备
CN103401930A (zh) 一种基于Web Service的工业监控方法及装置
CN113364746A (zh) 设备识别方法、装置、设备及计算机存储介质
CN111654477A (zh) 基于fins协议的工控网络的信息拓扑方法、装置和计算机设备
CN114553749B (zh) 私有协议分析方法、装置、计算机设备及可读存储介质
CN113973111B (zh) 数据转发方法、装置、网关设备及计算机可读存储介质
CN115150207A (zh) 工业网络设备识别方法、装置、终端设备及存储介质
CN113238923B (zh) 基于状态机的业务行为溯源方法及系统
CN111698168B (zh) 消息处理方法、装置、存储介质及处理器
CN114285769B (zh) 共享上网检测方法、装置、设备及存储介质
CN113645241B (zh) 一种工控专有协议的入侵检测方法、装置及设备
CN114374838A (zh) 一种网络摄像头监测方法、装置、设备及介质
CN109462496B (zh) 一种视联网终端的数据处理方法和装置
CN111181984B (zh) 一种基于环保212协议的安全防护方法、装置、系统、终端及存储介质
CN117749648B (zh) 工控流量审计方法及装置
CN116939669B (zh) 基于ip学习表的网元识别方法、系统、设备及可读介质
CN115426245B (zh) 云平台网络故障自动检测方法、设备及计算机可读介质
CN115442284B (zh) 一种测试设备的系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant