CN111654477A - 基于fins协议的工控网络的信息拓扑方法、装置和计算机设备 - Google Patents
基于fins协议的工控网络的信息拓扑方法、装置和计算机设备 Download PDFInfo
- Publication number
- CN111654477A CN111654477A CN202010434819.4A CN202010434819A CN111654477A CN 111654477 A CN111654477 A CN 111654477A CN 202010434819 A CN202010434819 A CN 202010434819A CN 111654477 A CN111654477 A CN 111654477A
- Authority
- CN
- China
- Prior art keywords
- fins
- data
- industrial control
- control network
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 238000004458 analytical method Methods 0.000 claims abstract description 11
- 230000003993 interaction Effects 0.000 claims description 30
- 238000012550 audit Methods 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 12
- 239000000523 sample Substances 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 claims description 4
- 230000002452 interceptive effect Effects 0.000 abstract description 13
- 238000005516 engineering process Methods 0.000 abstract description 12
- 238000012544 monitoring process Methods 0.000 abstract description 12
- 230000000694 effects Effects 0.000 abstract description 5
- 238000004891 communication Methods 0.000 description 12
- 230000002159 abnormal effect Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 230000000670 limiting effect Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 231100000989 no adverse effect Toxicity 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种基于FINS协议的工控网络的信息拓扑方法、装置、计算机设备和计算机可读存储介质,其中,该基于FINS协议的工控网络的信息拓扑方法包括:获取工控网络的交换机的流量数据;对工控网络的交换机的流量数据进行FINS协议识别及解析,得到与FINS协议对应的源数据;根据源数据,得到所述工控网络的信息拓扑图。通过本申请,解决了相关技术中对交互数据监测能力低的问题,实现了提高了对工控网络中交互数据的监测能力的技术效果。
Description
技术领域
本申请实施例涉及网络安全技术领域,特别是涉及一种基于FINS协议的工控网络的信息拓扑方法、装置、计算机设备和计算机可读存储介质。
背景技术
随着目前互联网的发展,工控网络正发挥着越来越重要的作用。随着信息技术在企业中的应用,工控网络中大量采用通用TCP/IP和用于过程控制的OLE协议(ObjectLinking and Embedding(OLE)for Process Control,简称为OPC)技术,Interne连接共享(InternetConnectionSharing,简称为ICS)网络和企业管理网的联系越来越紧密。
工控设备网络接口服务(FactoryInterface Network Service,简称为FINS)通信协议是欧姆龙公司开发的用于工业自动化控制网络的指令/响应系统。使用FINS指令可实现各种网络间的无缝通信,包括用于信息网络的以太网,用于控制网络CONTROLLER LINK和SYSMAC LINK。通过编程发送FINS指令,上位机或可编程逻辑控制器(Programmable LogicController,简称为PLC)就能够读写另一个PLC数据区的内容,甚至控制其运行状态,从而简化了用户程序。FINS协议支持工业以太网,这就为OMRON PLC与上位机以太网通信的实现提供了可能。
目前,相关技术中的工控网络的安全防护技术往往是针对FINS协议的合规性进行检测,对工控网络中的数据源IP、源端口、目的IP、目的端口、传输层协议的五元组信息进行监测,展示工控网络中的IP资产和通讯协议,并未对在工控网络中进行交互的数据进行监测。因此,在工控网络被来自相同五元组报文的异常数据攻击的情况下,工控网络无法及时监测出异常数据,容易导致工业系统受到破坏甚至停止运转。
目前针对相关技术中对交互数据监测能力低的问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种基于FINS协议的工控网络的信息拓扑方法、装置、计算机设备和计算机可读存储介质,以至少解决相关技术中对交互数据监测能力低的问题。
第一方面,本申请实施例提供了一种基于FINS协议的工控网络的信息拓扑方法,所述方法包括:获取工控网络的交换机的流量数据;
对所述工控网络的交换机的流量数据进行FINS协议识别及解析,得到与所述FINS协议对应的源数据;
根据所述源数据,得到所述工控网络的信息拓扑图。
在其中一些实施例中,获取工控网络的交换机的流量数据包括:
通过所述交换机的镜像口对经过所述交换机的流量数据进行实时镜像,并发送所述流量数据至旁路部署在交换机一层的审计服务器;
通过所述审计服务器中的审计探针获取所述工控网络的交换机的数据流量。
在其中一些实施例中,对所述工控网络的数据流量进行FINS协议识别及解析,得到与所述FINS协议对应的源数据包括:
获取FINS协议的规则,其中,所述规则包括FINS指令以及FINS参数;
抓取所述工控网络的交换机的流量数据中的数据包;
对所述数据包进行目的端口识别,在目的端口识别通过的情况下,识别所述数据包为FINS数据包;
根据所述FINS协议的规则,解析所述FINS数据包,得到所述FINS数据包对应的指令信息、数据信息以及参数信息;
至少根据所述指令信息、所述数据信息以及所述参数信息,得到所述FINS数据包对应的源数据,并保存所述源数据。
在其中一些实施例中,对所述数据包进行目的端口识别,在目的端口识别通过的情况下,识别所述数据包为FINS数据包包括:
判断所述数据包的目的端口是否为预设端口;
在所述数据包的目的端口为预设端口的情况下,识别所述数据包为FINS数据包。
在其中一些实施例中,根据所述FINS协议的规则,解析所述FINS数据包包括:
根据所述FINS协议的规则,判断所述FINS数据包是否合规;
在所述FINS数据包合规的情况下,解析所述FINS数据包。
在其中一些实施例中,所述源数据包括以下至少之一:源IP、源IP的MAC、目的IP、目的IP的MAC、工控设备名、总流量数据容量、流入数据容量、流出数据容量、基于FINS协议的流入数据容量、基于FINS协议的流出数据容量、应用层协议指令的发送次数以及参数信息。
在其中一些实施例中,根据所述源数据,得到所述工控网络的信息拓扑图包括:
根据所述源数据中的源IP、源IP的MAC、基于FINS协议的流入数据容量、基于FINS协议的流出数据容量、应用层协议指令的发送次数以及关联资产IP的协议交互信息,得到所述工控网络的单资产IP的信息拓扑图;
根据所述单资产IP的信息拓扑图以及所述源数据中关联资产IP的协议交互信息,得到所述工控网络的单资产IP与单资产IP的数据交互信息拓扑图。
第二方面,本申请实施例提供了一种基于FINS协议的工控网络的信息拓扑装置,所述装置包括:获取模块,用于获取工控网络的交换机的流量数据;
解析模块,用于对所述工控网络的交换机的流量数据进行FINS协议识别及解析,得到与所述FINS协议对应的源数据;
拓扑模块,用于根据所述源数据,得到所述工控网络的信息拓扑图。
第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的基于FINS协议的工控网络的信息拓扑方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的基于FINS协议的工控网络的信息拓扑方法。
相比于相关技术,本申请实施例提供的基于FINS协议的工控网络的信息拓扑方法、装置、计算机设备和计算机可读存储介质,通过对工控网络的交换机的流量数据进行FINS协议识别及解析,得到与FINS协议对应的源数据,从源数据中提取源IP、源IP的MAC、目的IP、目的IP的MAC、流入数据容量、流出数据容量、应用层协议指令的发送次数以及参数信息等信息,并制作拓扑图,展示工控网络中的交互数据,解决了相关技术中对交互数据监测能力低的问题,实现了提高了对工控网络中交互数据的监测能力的技术效果。
本申请实施例的一个或多个实施例的细节在以下附图和描述中提出,以使本申请实施例的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请实施例的进一步理解,构成本申请实施例的一部分,本申请实施例的示意性实施例及其说明用于解释本申请实施例,并不构成对本申请实施例的不当限定。在附图中:
图1是根据本申请实施例的基于FINS协议的工控网络的信息拓扑方法的流程图;
图2是根据本申请优选实施例的基于FINS协议的工控网络的信息拓扑方法的流程图;
图3是根据本申请实施例的基于FINS协议的工控网络的信息拓扑装置的结构示意图;
图4是根据本申请实施例的计算机设备的硬件结构示意图。
具体实施方式
为了使本申请实施例的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请实施例进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请实施例,并不用于限定本申请实施例。基于本申请实施例提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请实施例保护的范围。
显而易见地,下面描述中的附图仅仅是本申请实施例的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请实施例应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请实施例公开的内容相关的本领域的普通技术人员而言,在本申请实施例揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请实施例公开的内容不充分。
在本申请实施例中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请实施例的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请实施例所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请实施例所涉及的技术术语或者科学术语应当为本申请实施例所属技术领域内具有一般技能的人士所理解的通常意义。本申请实施例所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请实施例所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请实施例所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请实施例所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请实施例所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本实施例提供了一种基于FINS协议的工控网络的信息拓扑方法。图1是根据本申请实施例的基于FINS协议的工控网络的信息拓扑方法的流程图,如图1所示,该流程包括如下步骤:
步骤S101,获取工控网络的交换机的流量数据。
在本实施例中,将审计服务器通过旁路部署的方式部署在工控网络的交换机一层,审计服务器中的审计探针可以接收整个工控网络的所有流量数据,且不会影响对应于工控网络的工业系统的数据流向。
在其中一些实施例中,获取工控网络的交换机的流量数据包括:通过交换机的镜像口对经过交换机的流量数据进行实时镜像,并发送流量数据至旁路部署在交换机一层的审计服务器;通过审计服务器中的审计探针获取工控网络的交换机的数据流量。
其中,交换机的各个端口可以连接基于不同工业以太网协议的设备,例如,工程师站,Modbus主站,Modbus从站,Profinet控制器,Profinet设备,OPC UA(统一架构,UnifiedArchitecture,简称为UA)服务器,OPC UA客户端,或者基于不同工业以太网协议的设备。
在本实施例中,在工控网络中每个交换机位置旁路部署一台审计服务器,每个审计服务器通过交换机的镜像端口复制一份经过该交换机的所有流量数据。同时,由于审计服务器以旁路部署的方式部署在交换机位置,审计服务器中的审计探针将只接收经过交换机的所有流量数据,不会向工控网络发送任何干扰报文,对工业系统的正常运行不会产生任何不良影响。
步骤S102,对工控网络的交换机的流量数据进行FINS协议识别及解析,得到与FINS协议对应的源数据。
在本实施例中,通过Linux系统下的Libpcap(数据包捕获函数库)对工控网络的交换机的流量数据中的数据包进行数据采集。
在其他另一些实施例中,还可以通过其他数据包捕获函数库来实现对流量数据中的数据包的数据采集,例如,Winpcap库。
在其中一些实施例中,对工控网络的数据流量进行FINS协议识别及解析,得到与FINS协议对应的源数据包括:获取FINS协议的规则,其中,规则包括FINS指令以及FINS参数;抓取工控网络的交换机的流量数据中的数据包;对数据包进行目的端口识别,在目的端口识别通过的情况下,识别数据包为FINS数据包;根据FINS协议的规则,解析FINS数据包,得到FINS数据包对应的指令信息、数据信息以及参数信息;至少根据指令信息、数据信息以及参数信息,得到FINS数据包对应的源数据,并保存源数据。
在本实施例中,根据FINS指令和FINS指令所对应的FINS参数,实现对FINS数据包的解析,并解析出FINS协议中的ICF(信息控制域,Informed consent form,简称为ICF)、RSV(系统预留,Reserved by System,简称为RSV)、GCT(网关计数,Permissible Number ofGateways,简称为GCT)、DNA(目的网络地址,Destination Network Address,简称为DNA)、DA1(目的节点地址,Destination Node Address,简称为DA1)、DA2(目的单位地址,Destination Unit Address,简称为DA2)、SNA(源网络地址,Source Network Address,简称为SNA)、SA1(源节点地址,Source Node Address,简称为SA1)、SA2(源单位地址,SourceUnit Address,简称为SA2)、SID(服务ID,Service ID,简称为SID)等报文信息、FINS协议中Command code(指令)与TEXT的数据信息、FINS协议中对应于报文信息的End code的数据信息以及FINS协议中对应于Command code的参数信息。
从上述信息中提取FINS数据包的指令信息、数据信息以及参数信息,其中,指令信息包括但不限于以下至少之一:应用层协议指令的参数信息、应用层协议指令的发送次数;数据信息包括但不限于以下至少之一:源IP、源端口、目的IP、目的端口、FINS协议类型。
在提取FINS数据包的指令信息、数据信息以及参数信息之后,根据指令信息、数据信息以及参数信息,可以获得FINS数据包对应的源数据。
在其中一些实施例中,对数据包进行目的端口识别,在目的端口识别通过的情况下,识别数据包为FINS数据包包括:判断数据包的目的端口是否为预设端口;在数据包的目的端口为预设端口的情况下,识别数据包为FINS数据包。
在本实施例汇总,预设端口为9600,只有在数据包的目的端口为9600的情况下,才对数据包进行FINS识别。
在其他另一些实施例中,预设端口还可以为其他地址。
在其中一些实施例中,根据FINS协议的规则,解析FINS数据包包括:根据FINS协议的规则,判断FINS数据包是否合规;在FINS数据包合规的情况下,解析FINS数据包。
在本实施例中,通过对FINS数据包进行初步解析,获得与FINS数据包对应的FINS命令字以及FINS参数,并将与FINS数据包对应的FINS命令字以及FINS参数与FINS协议的规则进行匹配,若不能完全匹配,则丢弃不匹配规则的FINS数据包,保证FINS数据包信息正确,提高工控网络的可靠性。
通过上述步骤,对工控网络的交换机的流量数据进行深度解析,不仅能对工控网络中的数据源IP、源端口、目的IP、目的端口、传输层协议的五元组信息进行监测,还可以对工控网络中的工业设备之间进行数据交互的应用层协议指令发送次数以及参数信息进行监测,并对基于FINS协议的流量数据进行监测,实现了可对工控网络中交互数据进行监测的技术效果,同时还能够避免相同五元组信息的报文攻击工控网络,从而有效保护关键设备的正常运行,提高工业系统的安全防护能力。
步骤S103,根据源数据,得到工控网络的信息拓扑图。
目前工控网络中的工控设备繁多,工厂技术人员往往无法掌握工厂内的工控设备数量,以及哪些工控设备暴露在互联网环境下,也无法掌握每台工控设备每天的流量容量以及进行交互的应用层协议指令次数和参数信息。
因此,一旦出现异常数据攻击工控网络的情况,工厂技术人员往往无法做到及时发现与防护。
在本实施例中,从源数据中提取出源IP、源IP的MAC(媒体存取控制位址,MediaAccess Control Address,简称为MAC)、目的IP、目的IP的MAC、工控设备名、总流量数据容量、流入数据容量、流出数据容量、基于FINS协议的流入数据容量、基于FINS协议的流出数据容量、应用层协议指令的发送次数以及参数信息,并将根据这些信息,并结合工厂的环境制作得到工控网络的信息拓扑图。
通过上述步骤,将工控网络中涉及FINS协议的资产数据以拓扑图的方式展示出来,从而解决工厂技术人员无法掌握工控网络的资产信息,导致无法及时发现和防护异常数据对工控网络的攻击的问题。
在其中一些实施例中,根据源数据,得到工控网络的信息拓扑图包括:根据源数据中的源IP、源IP的MAC、基于FINS协议的流入数据容量、基于FINS协议的流出数据容量、应用层协议指令的发送次数以及关联资产IP的协议交互信息,得到工控网络的单资产IP的信息拓扑图;根据单资产IP的信息拓扑图以及源数据中关联资产IP的协议交互信息,得到工控网络的单资产IP与单资产IP的数据交互信息拓扑图。
相关技术中往往只是展示资产IP使用了FINS协议,并没有资产IP使用应用层协议指令参数信息、指令发送次数、数据交互对象以交互数据容量,这使得工厂技术人员无法掌握工控网络中每个工控设备的交互数据信息。
在本实施例中,通过得到工控网络的单资产IP的信息拓扑图以及工控网络的单资产IP与单资产IP的数据交互信息拓扑图,工厂技术人员可以掌握工控网络的工控设备的数据交互信息,对工控设备的使用应用层协议指令、指令发送次数、数据交互对象以及交互数据容量进行监测,若工控设备被异常数据攻击,工厂技术人员可以第一时间检测到异常数据攻击的来源并对工控网络进行防护。
通过步骤S101至步骤S103,相对于相关技术而言,本申请实施例通过对工控网络的交换机的流量数据进行FINS协议识别及解析,得到与FINS协议对应的源数据,从源数据中提取源IP、源IP的MAC、目的IP、目的IP的MAC、流入数据容量、流出数据容量、应用层协议指令的发送次数以及参数信息等信息,并制作拓扑图,展示工控网络中的交互数据,使得工厂技术人员可以掌握工控网络的工控设备的数据交互信息,对工控设备的使用应用层协议指令、指令发送次数、数据交互对象以及交互数据容量进行监测,解决了相关技术中对交互数据监测能力低的问题,实现了提高了对工控网络中交互数据的监测能力的技术效果。
图2示出了本申请优选实施例的基于FINS协议的工控网络的信息拓扑方法的流程图,如图2所示,该流程包括以下步骤:
步骤S201,获取工控网络的交换机的流量数据。
步骤S202,对工控网络的交换机的流量数据进行FINS协议识别及解析,得到与FINS协议对应的源数据。
步骤S203,通过审计服务器存储与FINS协议对应的源数据,并实时记录工控网络中的源数据。
步骤S204,根据源数据,得到工控网络的信息拓扑图。
步骤S205,展示工控网络的信息拓扑图。
在本实施例中,通过将源数据存储于审计服务器中并通过审计服务器实时记录工控网络中的源数据,实现对工控网络中工控设备交互数据的实时监测,同时还能够避免相同五元组信息的报文攻击工控网络,从而有效保护关键设备的正常运行,提高工业系统的安全防护能力。
在其中一些实施例中,审计服务器中还包括白名单,其中,本申请实施例提供的一种基于FINS协议的工控网络的信息拓扑方法将对白名单以外的工控设备进行的数据交互进行异常告警监测,对其数据流向以及流量容量大小进行解析,无需监测工控网络中所有工控设备,减轻了计算机负担。
本实施例还提供了一种基于FINS协议的工控网络的信息拓扑装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图3是根据本申请实施例的一种基于FINS协议的工控网络的信息拓扑装置的结构示意图,如图3所示,该装置包括:获取模块30,解析模块31,拓扑模块32,其中,
获取模块30,用于获取工控网络的交换机的流量数据;
解析模块31,用于对工控网络的交换机的流量数据进行FINS协议识别及解析,得到与FINS协议对应的源数据;
拓扑模块32,用于根据源数据,得到工控网络的信息拓扑图。
在其中一些实施例中,获取模块30用于通过交换机的镜像口对经过交换机的流量数据进行实时镜像,并发送流量数据至旁路部署在交换机一层的审计服务器,并通过审计服务器中的审计探针获取工控网络的交换机的数据流量。
在其中一些实施例中,解析模块31用于获取FINS协议的规则,其中,规则包括FINS命令码以及FINS参数;抓取工控网络的交换机的流量数据中的数据包;对数据包进行目的端口识别,在目的端口识别通过的情况下,识别数据包为FINS数据包;根据FINS协议的规则,解析FINS数据包,得到FINS数据包对应的指令信息、数据信息以及参数信息;至少根据指令信息、数据信息以及参数信息,得到FINS数据包对应的源数据,并保存源数据。
在其中一些实施例中,解析模块31还用于判断数据包的目的端口是否为预设端口;在数据包的目的端口为预设端口的情况下,识别数据包为FINS数据包。
在其中一些实施例中,解析模块31还用于根据FINS协议的规则,判断FINS数据包是否合规;在FINS数据包合规的情况下,解析FINS数据包。
在其中一些实施例中,源数据包括以下至少之一:源IP、源IP的MAC、目的IP、目的IP的MAC、工控设备名、总流量数据容量、流入数据容量、流出数据容量、基于FINS协议的流入数据容量、基于FINS协议的流出数据容量、应用层协议指令的发送次数以及参数信息。
在其中一些实施例中,拓扑模块32用于根据源数据中的源IP、源IP的MAC、基于FINS协议的流入数据容量、基于FINS协议的流出数据容量、应用层协议指令的发送次数以及关联资产IP的协议交互信息,得到工控网络的单资产IP的信息拓扑图;根据单资产IP的信息拓扑图以及源数据中关联资产IP的协议交互信息,得到工控网络的单资产IP与单资产IP的数据交互信息拓扑图。
另外,结合图1描述的本申请实施例的基于FINS协议的工控网络的信息拓扑方法可以由计算机设备来实现。图4为根据本申请实施例的计算机设备的硬件结构示意图。
计算机设备可以包括存储器42、处理器41以及存储在存储器上并可在处理器上运行的计算机程序。
具体地,上述处理器41可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器42可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器42可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器42可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器42可在数据处理装置的内部或外部。在特定实施例中,存储器42是非易失性(Non-Volatile)存储器。在特定实施例中,存储器42包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(RandomAccess Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory,简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory,简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory,简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-Access Memory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器42可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器41所执行的可能的计算机程序指令。
处理器41通过读取并执行存储器42中存储的计算机程序指令,以实现上述实施例中的任意一种基于FINS协议的工控网络的信息拓扑方法。
在其中一些实施例中,计算机设备还可包括通信接口43和总线40。其中,如图4所示,处理器41、存储器42、通信接口43通过总线40连接并完成相互间的通信。
通信接口43用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信接口43还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线40包括硬件、软件或两者,将计算机设备的部件彼此耦接在一起。总线40包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线40可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(Front Side Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture,简称为MCA)总线、外围组件互连(Peripheral Component Interconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment,简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线40可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请实施例考虑任何合适的总线或互连。
另外,结合上述实施例中的基于FINS协议的工控网络的信息拓扑方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种基于FINS协议的工控网络的信息拓扑方法。
相关技术中的工控网络的安全防护技术往往是针对FINS协议的合规性进行检测,对工控网络中的数据源IP、源端口、目的IP、目的端口、传输层协议的五元组信息进行监测,展示工控网络中的IP资产和通讯协议,并未对在工控网络中进行交互的数据进行监测。因此,在工控网络被来自相同五元组报文的异常数据攻击的情况下,工控网络无法及时监测出异常数据,容易导致工业系统受到破坏甚至停止运转。
相比于相关技术,本申请实施例有以下优势:
(1)本申请实施例通过拓扑图展示工控网络中的交互数据,使得工厂技术人员可以掌握工控网络的工控设备的数据交互信息,对工控设备的使用应用层协议指令、指令发送次数、数据交互对象以及交互数据容量进行监测。
(2)本申请实施例基于FINS协议对工控设备中的流量数据进行深度解析,获得工控设备交互数据的流入数据容量、流出数据容量、应用层协议指令的发送次数以及参数信息,解决了相关技术中对交互数据监测能力低的问题,实现了提高了对工控网络中交互数据的监测能力的技术效果。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请实施例的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请实施例构思的前提下,还可以做出若干变形和改进,这些都属于本申请实施例的保护范围。因此,本申请实施例专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种基于FINS协议的工控网络的信息拓扑方法,其特征在于,所述方法包括:
获取工控网络的交换机的流量数据;
对所述工控网络的交换机的流量数据进行FINS协议识别及解析,得到与所述FINS协议对应的源数据;
根据所述源数据,得到所述工控网络的信息拓扑图。
2.根据权利要求1所述的基于FINS协议的工控网络的信息拓扑方法,其特征在于,获取工控网络的交换机的流量数据包括:
通过所述交换机的镜像口对经过所述交换机的流量数据进行实时镜像,并发送所述流量数据至旁路部署在交换机一层的审计服务器;
通过所述审计服务器中的审计探针获取所述工控网络的交换机的数据流量。
3.根据权利要求1所述的基于FINS协议的工控网络的信息拓扑方法,其特征在于,对所述工控网络的数据流量进行FINS协议识别及解析,得到与所述FINS协议对应的源数据包括:
获取FINS协议的规则,其中,所述规则包括FINS指令以及FINS参数;
抓取所述工控网络的交换机的流量数据中的数据包;
对所述数据包进行目的端口识别,在目的端口识别通过的情况下,识别所述数据包为FINS数据包;
根据所述FINS协议的规则,解析所述FINS数据包,得到所述FINS数据包对应的指令信息、数据信息以及参数信息;
至少根据所述指令信息、所述数据信息以及所述参数信息,得到所述FINS数据包对应的源数据,并保存所述源数据。
4.根据权利要求3所述的基于FINS协议的工控网络的信息拓扑方法,其特征在于,对所述数据包进行目的端口识别,在目的端口识别通过的情况下,识别所述数据包为FINS数据包包括:
判断所述数据包的目的端口是否为预设端口;
在所述数据包的目的端口为预设端口的情况下,识别所述数据包为FINS数据包。
5.根据权利要求3所述的基于FINS协议的工控网络的信息拓扑方法,其特征在于,根据所述FINS协议的规则,解析所述FINS数据包包括:
根据所述FINS协议的规则,判断所述FINS数据包是否合规;
在所述FINS数据包合规的情况下,解析所述FINS数据包。
6.根据权利要求1所述的基于FINS协议的工控网络的信息拓扑方法,其特征在于,所述源数据包括以下至少之一:源IP、源IP的MAC、目的IP、目的IP的MAC、工控设备名、总流量数据容量、流入数据容量、流出数据容量、基于FINS协议的流入数据容量、基于FINS协议的流出数据容量、应用层协议指令的发送次数以及参数信息。
7.根据权利要求1所述的基于FINS协议的工控网络的信息拓扑方法,其特征在于,根据所述源数据,得到所述工控网络的信息拓扑图包括:
根据所述源数据中的源IP、源IP的MAC、基于FINS协议的流入数据容量、基于FINS协议的流出数据容量、应用层协议指令的发送次数以及关联资产IP的协议交互信息,得到所述工控网络的单资产IP的信息拓扑图;
根据所述单资产IP的信息拓扑图以及所述源数据中关联资产IP的协议交互信息,得到所述工控网络的单资产IP与单资产IP的数据交互信息拓扑图。
8.一种基于FINS协议的工控网络的信息拓扑装置,其特征在于,包括:
获取模块,用于获取工控网络的交换机的流量数据;
解析模块,用于对所述工控网络的交换机的流量数据进行FINS协议识别及解析,得到与所述FINS协议对应的源数据;
拓扑模块,用于根据所述源数据,得到所述工控网络的信息拓扑图。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的基于FINS协议的工控网络的信息拓扑方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至7中任一项所述的基于FINS协议的工控网络的信息拓扑方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010434819.4A CN111654477A (zh) | 2020-05-21 | 2020-05-21 | 基于fins协议的工控网络的信息拓扑方法、装置和计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010434819.4A CN111654477A (zh) | 2020-05-21 | 2020-05-21 | 基于fins协议的工控网络的信息拓扑方法、装置和计算机设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111654477A true CN111654477A (zh) | 2020-09-11 |
Family
ID=72350696
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010434819.4A Pending CN111654477A (zh) | 2020-05-21 | 2020-05-21 | 基于fins协议的工控网络的信息拓扑方法、装置和计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111654477A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112202609A (zh) * | 2020-09-28 | 2021-01-08 | 全球能源互联网研究院有限公司 | 一种工控资产探测方法、装置、电子设备及存储介质 |
| CN113949748A (zh) * | 2021-10-15 | 2022-01-18 | 北京知道创宇信息技术股份有限公司 | 一种网络资产识别方法、装置、存储介质及电子设备 |
| CN114157461A (zh) * | 2021-11-22 | 2022-03-08 | 绿盟科技集团股份有限公司 | 工控协议数据流处理方法、装置、设备及存储介质 |
| CN114553537A (zh) * | 2022-02-22 | 2022-05-27 | 上海帝焚思信息科技有限公司 | 一种面向工业互联网的异常流量监测方法和系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170195331A1 (en) * | 2015-12-31 | 2017-07-06 | General Electric Company | Identity management and device enrollment in a cloud service |
| CN109510726A (zh) * | 2018-12-21 | 2019-03-22 | 深圳市万网博通科技有限公司 | 网络可视化实现方法、装置、计算机设备和存储介质 |
| CN110221581A (zh) * | 2019-04-26 | 2019-09-10 | 工业互联网创新中心(上海)有限公司 | 工业控制网络监测装置和方法 |
| CN110752951A (zh) * | 2019-10-24 | 2020-02-04 | 杭州安恒信息技术股份有限公司 | 工业网络流量监测审计方法、装置及系统 |
| CN110808865A (zh) * | 2019-11-13 | 2020-02-18 | 北京理工大学 | 一种被动工控网络拓扑发现方法及工控网络安全管理系统 |
| CN111130883A (zh) * | 2019-12-25 | 2020-05-08 | 杭州安恒信息技术股份有限公司 | 工控设备拓扑图的确定方法、装置及电子设备 |
| CN111130859A (zh) * | 2019-12-10 | 2020-05-08 | 中国电子科技网络信息安全有限公司 | 一种基于全流量的工控网络拓扑图生成方法 |
-
2020
- 2020-05-21 CN CN202010434819.4A patent/CN111654477A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170195331A1 (en) * | 2015-12-31 | 2017-07-06 | General Electric Company | Identity management and device enrollment in a cloud service |
| US20170195332A1 (en) * | 2015-12-31 | 2017-07-06 | General Electric Company | Device enrollment in a cloud service using an authenticated application |
| CN109510726A (zh) * | 2018-12-21 | 2019-03-22 | 深圳市万网博通科技有限公司 | 网络可视化实现方法、装置、计算机设备和存储介质 |
| CN110221581A (zh) * | 2019-04-26 | 2019-09-10 | 工业互联网创新中心(上海)有限公司 | 工业控制网络监测装置和方法 |
| CN110752951A (zh) * | 2019-10-24 | 2020-02-04 | 杭州安恒信息技术股份有限公司 | 工业网络流量监测审计方法、装置及系统 |
| CN110808865A (zh) * | 2019-11-13 | 2020-02-18 | 北京理工大学 | 一种被动工控网络拓扑发现方法及工控网络安全管理系统 |
| CN111130859A (zh) * | 2019-12-10 | 2020-05-08 | 中国电子科技网络信息安全有限公司 | 一种基于全流量的工控网络拓扑图生成方法 |
| CN111130883A (zh) * | 2019-12-25 | 2020-05-08 | 杭州安恒信息技术股份有限公司 | 工控设备拓扑图的确定方法、装置及电子设备 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112202609A (zh) * | 2020-09-28 | 2021-01-08 | 全球能源互联网研究院有限公司 | 一种工控资产探测方法、装置、电子设备及存储介质 |
| CN113949748A (zh) * | 2021-10-15 | 2022-01-18 | 北京知道创宇信息技术股份有限公司 | 一种网络资产识别方法、装置、存储介质及电子设备 |
| CN113949748B (zh) * | 2021-10-15 | 2023-11-28 | 北京知道创宇信息技术股份有限公司 | 一种网络资产识别方法、装置、存储介质及电子设备 |
| CN114157461A (zh) * | 2021-11-22 | 2022-03-08 | 绿盟科技集团股份有限公司 | 工控协议数据流处理方法、装置、设备及存储介质 |
| CN114157461B (zh) * | 2021-11-22 | 2023-08-01 | 绿盟科技集团股份有限公司 | 工控协议数据流处理方法、装置、设备及存储介质 |
| CN114553537A (zh) * | 2022-02-22 | 2022-05-27 | 上海帝焚思信息科技有限公司 | 一种面向工业互联网的异常流量监测方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111654477A (zh) | 基于fins协议的工控网络的信息拓扑方法、装置和计算机设备 | |
| CN112468488B (zh) | 工业异常监测方法、装置、计算机设备及可读存储介质 | |
| WO2018218537A1 (zh) | 工业控制系统及其网络安全的监视方法 | |
| CN111130883B (zh) | 工控设备拓扑图的确定方法、装置及电子设备 | |
| CN111709009A (zh) | 联网工业控制系统的探测方法、装置、计算机设备和介质 | |
| JP2008104027A (ja) | パケット情報収集装置およびパケット情報収集プログラム | |
| CN109309591B (zh) | 流量数据统计方法、电子设备及存储介质 | |
| US11546295B2 (en) | Industrial control system firewall module | |
| CN111756761A (zh) | 基于流量转发的网络防御系统、方法和计算机设备 | |
| CN110740144B (zh) | 确定攻击目标的方法、装置、设备及存储介质 | |
| US20160277547A1 (en) | Packet monitoring device and packet monitoring method for communication packet | |
| CN111131339A (zh) | 一种基于ip标识号的nat设备识别方法及系统 | |
| US11347488B2 (en) | Compiling domain-specific language code to generate executable code targeting an appropriate type of processor of a network device | |
| US9641595B2 (en) | System management apparatus, system management method, and storage medium | |
| US10296746B2 (en) | Information processing device, filtering system, and filtering method | |
| CN112688932A (zh) | 蜜罐生成方法、装置、设备及计算机可读存储介质 | |
| US20220263857A1 (en) | System and method for using weighting factor values of inventory rules to efficiently identify devices of a computer network | |
| CN112217780A (zh) | 用于在计算机网络中识别攻击的设备和方法 | |
| Keliris et al. | Remote field device fingerprinting using device-specific modbus information | |
| Choi et al. | Implementation and Design of a Zero‐Day Intrusion Detection and Response System for Responding to Network Security Blind Spots | |
| CN113168460A (zh) | 用于数据分析的方法、设备和系统 | |
| EP1883187A1 (en) | Packet processing device, communication system, packet processing method, and program executing the method | |
| EP3346663B1 (en) | Apparatus, system, and method for accelerating security inspections using inline pattern matching | |
| US11870693B2 (en) | Kernel space based capture using intelligent packet selection paradigm and event output storage determination methodology | |
| CN113965629A (zh) | Udp应用层协议识别方法、装置、存储介质及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200911 |