CN112118256A - 工控设备指纹归一化方法、装置、计算机设备及存储介质 - Google Patents
工控设备指纹归一化方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN112118256A CN112118256A CN202010979664.2A CN202010979664A CN112118256A CN 112118256 A CN112118256 A CN 112118256A CN 202010979664 A CN202010979664 A CN 202010979664A CN 112118256 A CN112118256 A CN 112118256A
- Authority
- CN
- China
- Prior art keywords
- industrial control
- control protocol
- information
- fingerprint
- protocol script
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/164—Adaptation or special uses of UDP protocol
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Collating Specific Patterns (AREA)
Abstract
本申请涉及一种工控设备指纹归一化方法、装置、计算机设备及存储介质,该方法包括:获取待测工控设备的存活端口信息;基于所述存活端口信息和对应的预设工控协议脚本对所述待测工控设备进行指纹探测,以获取待测工控设备的指纹信息;其中,预先对工控协议脚本进行可信度内置,得到预设工控协议脚本;所述可信度用于标记基于所述预设工控协议脚本获取到的指纹信息的可信任程度;基于所述预设工控协议脚本对所述指纹信息进行归一化处理。本申请保证了工控设备信息的一致性并能够提升工控设备信息的准确性。
Description
技术领域
本申请涉及工业控制技术领域,特别是涉及一种工控设备指纹归一化方法、装置、计算机设备及存储介质。
背景技术
在我国,电力、化工、城市交通、市政等涉及国计民生的重点行业领域都在广泛应用工业控制系统。随着互联网与工业控制网络加速融合,各种通用标准协议规约在工业控制系统中得到广泛应用,一方面实现了设备运行的网络化和自动化,大大提高了设备的互操作性;另一方面,标准协议规约的开放性和标准性也带来很多信息安全问题。在全球智能化社会背景下,一直以来被认为相对安全的工业控制系统日益成为敌对势力和黑客攻击的重要目标,对安全和民生造成严重威胁。
对网络空间中的工控设备进行安全测试,就需要收集工控系统的设备指纹。工控设备指纹收集是基于开放的端口信息以及工控协议,获取工控设备资产信息集合。目前,针对工控设备资产信息集合分为两种情况,一种是类网络空间搜索引擎,通常只对各端口协议获取的信息进行简单的粗放式呈现,并没有对数据集合进行归一化处理。另一种是对各端口协议获取的信息进行收集后,采取覆盖更新的方式进行归一化处理,归一方式完全不受控,存在多次探测同一设备,而结果不一致性的情况以及存在单次探测准确性低的问题,导致无法准确的呈现设备的实际属性。
发明内容
本申请实施例提供了一种工控设备指纹归一化方法、装置、计算机设备及存储介质,以至少解决相关技术中工控设备指纹探测准确性低的问题。
第一方面,本申请实施例提供了一种工控设备指纹归一化方法,包括:
获取待测工控设备的存活端口信息;
基于所述存活端口信息和对应的预设工控协议脚本对所述待测工控设备进行指纹探测,以获取待测工控设备的指纹信息;其中,预先对工控协议脚本进行可信度内置,得到预设工控协议脚本;所述可信度用于标记基于所述预设工控协议脚本获取到的指纹信息的可信任程度;
基于所述预设工控协议脚本对所述指纹信息进行归一化处理。
在其中一些实施例中,所述获取待测工控设备的存活端口信息,包括:
对待测工控设备发送探测报文,以获取待测工控设备中的存活IP;
对所述存活IP进行全端口预扫描,确定存活端口信息。
在其中一些实施例中,所述基于所述存活端口信息和对应的预设工控协议脚本对所述待测工控设备进行指纹探测,以获取待测工控设备的指纹信息包括:
基于所述存活端口信息获取存活端口;所述存活端口包括TCP端口和UDP端口;
根据所述存活端口与工控协议脚本的映射关系确定所述存活端口对应的预设工控协议脚本;
基于所述存活端口对应的IP地址、端口号以及预设工控协议脚本获取待测工控设备的指纹信息。
在其中一些实施例中,预先对工控协议脚本进行可信度内置,得到预设工控协议脚本,包括:
基于指纹信息的解析粒度对工控协议脚本内置可信度,得到预设工控协议脚本;和/或
基于指纹信息的字符串匹配精度对工控协议脚本内置可信度,得到预设工控协议脚本。
在其中一些实施例中,所述基于指纹信息的解析粒度对工控协议脚本内置可信度,得到预设工控协议脚本,包括:
获取可信度的表征方式;
基于所述表征方式和工控协议脚本的解析粒度对所述工控协议脚本进行可信度表征。
在其中一些实施例中,所述基于指纹信息的字符串匹配精度对工控协议脚本内置可信度,得到预设工控协议脚本,包括:
获取可信度的表征方式;
基于所述表征方式和工控协议脚本中字符串匹配表达式的精准度对所述工控协议脚本进行可信度表征;其中,所述指纹信息经所述字符串匹配表达式进行匹配得到。
在其中一些实施例中,所述基于所述预设协议脚本对所述指纹信息进行归一化处理,包括:
以IP地址为主键对所述指纹信息归集,得到IP地址对应的归集信息;所述归集信息为所述IP地址对应的设备信息集合;
基于预设工控协议脚本的可信度对所述归集信息进行归一化处理,得到所述IP地址对应的可靠设备信息。
第二方面,本申请实施例提供了一种工控设备指纹归一化装置,包括:
存活端口获取单元,用于获取待测工控设备的存活端口信息;
指纹信息获取单元,用于基于所述存活端口信息和对应的预设工控协议脚本对所述待测工控设备进行指纹探测,以获取待测工控设备的指纹信息;其中,预先对工控协议脚本进行可信度内置,得到预设工控协议脚本;所述可信度用于标记基于所述预设工控协议脚本获取到的指纹信息的可信任程度;
归一化单元,用于基于预设工控协议脚本对所述指纹信息进行归一化处理。
第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的工控设备指纹归一化方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的工控设备指纹归一化方法。
相比于相关技术,本申请实施例提供的工控设备指纹归一化方法,通过预先对工控协议脚本进行可信度内置得到预设工控协议脚本,并基于所述预设工控协议脚本对所述指纹信息进行归一化处理,实现了基于可信度对错综复杂的指纹信息的统一梳理,进而得到可靠的设备资产信息,有利于保证工控设备信息的一致性并能够提升工控设备信息的准确性,为后续的信息二次利用提供了良好的数据基础。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本申请其中一个实施例中工控设备指纹归一化方法的流程示意图;
图2是本申请其中一个优选实施例中工控设备指纹归一化方法的流程示意图;
图3是本申请其中一个实施例中工控设备指纹归一化装置的结构框图;
图4是本申请其中一个实施例中计算机设备的结构示意图。
附图说明:201、存活端口获取单元;202、指纹信息获取单元;203、归一化单元;30、总线;31、处理器;32、存储器;33、通信接口。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
工业控制系统(ICS)是包括监控和数据采集系统(SCADA)、分布式控制系统(DCS),可编程控制器(PLC)等多种类型控制系统的统称,是对诸如图像、语音信号等大数据量、高速率传输的要求,又催生了当前在商业领域风靡的以太网与控制网络的结合,将诸如嵌入式技术、多标准工业控制网络互联、无线技术等多种流行技术融合起来,广泛运用于石油、石化、冶金、电力、燃气、煤矿、烟草以及市政等领域,用于控制关键生产设备的运行。工控系统安全事关经济发展、社会稳定和国家安全,针对工业控制系统的安全研究迫在眉睫。
本申请中提供的工控设备指纹归一化方法可应用于工业控制系统中工控设备的指纹信息收集过程中,可提高数据归集的一致性,为后续构建和监控区域拓扑结构、安全测试与评估(如渗透测试、漏洞信息匹配、区域评分)等数据二次利用提供可靠的数据基础。
本实施例还提供了一种工控设备指纹归一化方法。图1是根据本申请实施例的工控设备指纹归一化方法的流程图,如图1所示,该流程包括如下步骤:
步骤S101,获取待测工控设备的存活端口信息。
在本实施例中,工控设备的指纹信息收集是指基于存活的端口信息以及工控协议,获取工控设备资产信息集合。其中,所述获取待测工控设备的存活端口信息,包括以下步骤:步骤S1011,对待测工控设备发送探测报文,以获取待测工控设备中的存活IP。步骤S1012,对所述存活IP进行全端口预扫描,确定存活端口信息。
在本实施例中,每一个IP地址对应一台工控设备,一台工控设备开放多个活跃端口。首先对网络中的对待测工控设备发送探测报文,以确定联网的运行中的所有工控设备所在的IP地址段,初步筛选得到存活的IP。然后针对存活IP中的每一个端口,采用TCP或UDP网络协议进行全端口预扫描探测端口的开放情况,直至遍历所有端口,筛选得到存活端口信息。所述存活端口信息包括端口所在IP、存活端口号、端口服务以及端口状态集等。
其中,所述待测工控设备可以是可编程逻辑控制器(PLC)、分布式控制系统(DCS)、远程终端单元(RTU)、数据采集与监视控制系统(SCADA)、人机接口(HMI)、数控机床、工业网关、工业交换机、工程师站、操作员站、工业防火墙、工业审计系统、入侵测试系统(IDS)、OPC服务器等等。
工控设备的指纹信息包括由工控设备的各项数据信息组合在一起构成的唯一标识设备的设备指纹信息,包括但不限于设备厂商、设备类型、设备型号、设备名称、IP地址、MAC地址、开放端口、使用的工控协议、固件版本、模块信息、特征码、订货号、序列号、操作系统等。其中,工控设备指纹核心四元组包括:IP地址、设备厂商、设备型号和固件版本。
步骤S102,基于所述存活端口信息和对应的预设工控协议脚本对所述待测工控设备进行指纹探测,以获取待测工控设备的指纹信息;其中,预先对工控协议脚本进行可信度内置,得到预设工控协议脚本;所述可信度用于标记基于所述预设工控协议脚本获取到的指纹信息的可信任程度。
在本实施例中,对于存活的端口,基于存活端口信息从工控协议库中选择对应的预设工控协议进行指纹信息收集。基于所述存活端口信息和对应的预设工控协议脚本对所述待测工控设备进行指纹探测时,由于工控设备厂商、型号信息众多,对应的工控协议脚本也各不相同,存在多次探测同一设备,探测结果不一致性且可靠度可信任的程度不同的情况,导致获取到的指纹信息错综复杂。通过对工控协议脚本内置可信度,标记基于所述预设工控协议脚本获取到的指纹信息的可信任程度,便于后续对指纹信息进行归一化处理。
步骤S103,基于所述预设工控协议脚本对所述指纹信息进行归一化处理。
在本实施例中,基于所述存活端口信息和对应的预设工控协议脚本对所述待测工控设备进行指纹探测获取到的指纹信息错综复杂,因而无法准确反映工控设备的实际属性,需要基于预设工控协议脚本的可信度进一步对所述指纹信息进行归一化处理,以进行进一步筛选和提炼,得到可靠的设备指纹信息。
综上,本申请实施例提供的工控设备指纹归一化方法,通过预先对工控协议脚本进行可信度内置得到预设工控协议脚本,并基于所述预设工控协议脚本对所述指纹信息进行归一化处理,实现了基于可信度对错综复杂的指纹信息的统一梳理,进而得到可靠的设备资产信息,有利于保证工控设备信息的一致性并能够提升工控设备信息的准确性,为后续的信息二次利用提供了良好的数据基础。
在其中一些实施例中,所述步骤S102,包括:
步骤S1021,基于所述存活端口信息获取存活端口;所述存活端口包括TCP端口和UDP端口;
步骤S1022,根据所述存活端口与工控协议脚本的映射关系确定所述存活端口对应的预设工控协议脚本;
步骤S1023,基于所述存活端口对应的IP地址、端口号以及预设工控协议脚本获取待测工控设备的指纹信息。
具体的,在本实施例中,所述存活端口包括TCP端口和UDP端口。对于TCP端口,根据对应存活端口信息中的IP地址和TCP端口号,以及存活端口与预设工控协议脚本的映射关系确定的对应的预设工控协议脚本,将探测数据转换为工控协议数据发送至待测工控设备,以获取待测工控设备返回的指纹信息。对于UDP端口,根据对应存活端口信息中的IP地址和UDP端口号,以及UDP端口号对应的UDP协议确定的对应的预设工控协议脚本,将探测数据转换为工控协议数据发送至待测工控设备,以获取待测工控设备返回的指纹信息。
在其中一些实施例中,所述预先对工控协议脚本进行可信度内置,得到预设工控协议脚本,包括:
基于指纹信息的解析粒度对工控协议脚本内置可信度,得到预设工控协议脚本;和/或
基于指纹信息的字符串匹配精度对工控协议脚本内置可信度,得到预设工控协议脚本。
在本实施例中,对工控设备进行指纹探测所用工控协议脚本多种多样,在一些实施例中,工控协议脚本中严格定义协议中设备厂商、型号、版本等设备信息对应的字段和格式等,可信度较高;在另一些实施例中,基于工控协议脚本获取到的指纹信息是字符串,需要通过字符串匹配从字符串中提取出设备信息,可信度相对较低。
在一种具体的实施方式中,所述基于指纹信息的解析粒度对工控协议脚本内置可信度,得到预设工控协议脚本,包括:获取可信度的表征方式,并基于所述表征方式和工控协议脚本的解析粒度对所述工控协议脚本进行可信度表征。
在本实施例中,所述协议解析粒度是指基于预设工控协议脚本得到的指纹信息的数据细化和综合程度。所述可信度的表征方式可以是等级(如1-10级)、信度系数(如0-1)、数据相关性(如高、较高、低)等等,本申请不做具体限定。当协议解析粒度越大时,数据细化程度越低,基于对应的工控协议脚本得到的数据的可信度越低,可以用较低的等级、较小的信度系数等内置对应工控协议脚本的可信度。反之,当协议解析粒度越小时,对应的工控协议脚本的可信度越高,可以用较高的等级、较大的信度系数等内置对应工控协议脚本的可信度。
在另一种具体的实施方式中,所述基于指纹信息的字符串匹配精度对工控协议脚本内置可信度,得到预设工控协议脚本,包括:获取可信度的表征方式,并基于所述表征方式和工控协议脚本中字符串匹配表达式的精准度对所述工控协议脚本进行可信度表征;其中,所述指纹信息经所述字符串匹配表达式进行匹配得到。
在本实施例中,基于预设工控协议获取到的指纹信息是字符串,需要通过正则表达式、关键词分词等技术进行字符串匹配来获取到所述字符串中的设备信息。其中,可以通过字符串匹配表达式的复杂度、匹配范围等方面来判定所述字符串匹配表达式的精准度。例如,根据字符串匹配表达式的复杂度进行可信度表征:当字符串匹配表达式的复杂度越高时,基于对应的工控协议脚本得到的数据的可信度越高,可以用较高的等级、较大的信度系数等内置对应工控协议脚本的可信度;当字符串匹配表达式的复杂度越低时,基于对应的工控协议脚本得到的数据的可信度越低,可以用较低的等级、较小的信度系数等内置对应工控协议脚本的可信度。
可以理解,在其他实施例中,也可以通过其他方式如基于协议类型、可靠度等方式对工控协议脚本内置可信度,得到预设工控协议脚本,这些都在本申请的保护范围之内。
如图2所示,在上述实施例的基础上,在一个优选实施例中,所述步骤S103,包括:
步骤S1031,以IP地址为主键对所述指纹信息归集,得到IP地址对应的归集信息;所述归集信息为所述IP地址对应的设备信息集合。
步骤S1032,基于预设工控协议脚本的可信度对所述归集信息进行归一化处理,得到所述IP地址对应的可靠设备信息。
在本实施例中,每一个IP地址对应一台工控设备,每一台工控设备可能开放一个或多个端口。首先对待测工控设备发送探测报文,以获取待测工控设备中的存活IP,对所述存活IP进行全端口预扫描,确定存活端口信息。然后基于所述存活端口信息获取存活端口(TCP端口和UDP端口),基于所述存活端口和对应的预设工控协议脚本对所述待测工控设备进行指纹探测,以获取待测工控设备的指纹信息。
当获取到指纹信息后,首先根据IP地址对指纹信息进行归集,得到每一所述IP地址对应的设备信息集合。由于每个端口可能适用多个预设工控协议脚本探测得到指纹信息,可根据工控协议脚本的可信度对对应的所述指纹信息进行进一步筛选和过滤,得到所述IP地址对应的可靠设备信息。
例如,对于工业控制系统中某一活跃工程师站,开放了端口P1和P2。通过P1端口和对应的预设工控协议脚本A,扫描到指纹信息:工程师站的操作系统为win7的字符串描述,辅以正则表达式匹配得到工程师站的操作系统为win7;通过P2端口和对应的预设工控脚本协议B,扫描到指纹信息:工程师站的操作系统为windows 7pro 7601sp1。然后以IP地址为主键对所有指纹信息归集,得到该工程师站的IP地址对应的归集信息为:操作系统为win7和操作系统为windows 7pro 7601sp1。最后基于预设工控协议脚本的可信度对所述归集信息进行归一化处理,当所述预设工控协议脚本A的可信度为8级,所述预设工控协议脚本B的可信度为10级时,得到所述工程师站对应的可靠操作系统为windows 7pro 7601sp1。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本实施例还提供了一种工控设备指纹归一化装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图3是根据本申请实施例的工控设备指纹归一化装置的结构框图,如图3所示,该装置包括:存活端口获取单元201、指纹信息获取单元202和归一化单元203。
存活端口获取单元201,用于获取待测工控设备的存活端口信息;
指纹信息获取单元202,用于基于所述存活端口信息和对应的预设工控协议脚本对所述待测工控设备进行指纹探测,以获取待测工控设备的指纹信息;其中,预先对工控协议脚本进行可信度内置,得到预设工控协议脚本;所述可信度用于标记基于所述预设工控协议脚本获取到的指纹信息的可信任程度;
归一化单元203,用于基于预设工控协议脚本对所述指纹信息进行归一化处理。
所述存活端口获取单元201,包括:IP获取模块和存活端口信息获取模块。
IP获取模块,用于对待测工控设备发送探测报文,以获取待测工控设备中的存活IP;
存活端口信息获取模块,用于对所述存活IP进行全端口预扫描,确定存活端口信息。
所述指纹信息获取单元202,包括:端口获取模块、脚本获取模块、可信度内置模块和指纹信息获取模块。
端口获取模块,用于基于所述存活端口信息获取存活端口;所述存活端口包括TCP端口和UDP端口;
脚本获取模块,用于根据所述存活端口与工控协议脚本的映射关系确定所述存活端口对应的预设工控协议脚本;
可信度内置模块,用于基于指纹信息的解析粒度对工控协议脚本内置可信度,得到预设工控协议脚本;和/或
基于指纹信息的字符串匹配精度对工控协议脚本内置可信度,得到预设工控协议脚本;
指纹信息获取模块,用于基于所述存活端口对应的IP地址、端口号以及预设工控协议脚本获取待测工控设备的指纹信息。
所述可信度内置模块,包括:第一表征方式获取模块和第一可信度表征模块。
第一表征方式获取模块,用于获取可信度的表征方式;
第一可信度表征模块,用于基于所述表征方式和工控协议脚本的解析粒度对所述工控协议脚本进行可信度表征。
所述可信度内置模块,还包括:第二表征方式获取模块和第二可信度表征模块。
第二表征方式获取模块,用于获取可信度的表征方式;
第二可信度表征模块,用于基于所述表征方式和工控协议脚本中字符串匹配表达式的精准度对所述工控协议脚本进行可信度表征;其中,所述指纹信息经所述字符串匹配表达式进行匹配得到。
归一化单元203,包括:归集模块和可靠设备信息获取模块。
归集模块,用于以IP地址为主键对所述指纹信息归集,得到IP地址对应的归集信息;所述归集信息为所述IP地址对应的设备信息集合;
可靠设备信息获取模块,用于基于预设工控协议脚本的可信度对所述归集信息进行归一化处理,得到所述IP地址对应的可靠设备信息。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
另外,结合图1描述的本申请实施例工控设备指纹归一化方法可以由计算机设备来实现。图4为根据本申请实施例的计算机设备的硬件结构示意图。
计算机设备可以包括处理器31以及存储有计算机程序指令的存储器32。
具体地,上述处理器31可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器32可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器32可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器32可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器32可在数据处理装置的内部或外部。在特定实施例中,存储器32是非易失性(Non-Volatile)存储器。在特定实施例中,存储器32包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(RandomAccess Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory,简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory,简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory,简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-Access Memory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器32可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器31所执行的可能的计算机程序指令。
处理器31通过读取并执行存储器32中存储的计算机程序指令,以实现上述实施例中的任意一种工控设备指纹归一化方法。
在其中一些实施例中,计算机设备还可包括通信接口33和总线30。其中,如图4所示,处理器31、存储器32、通信接口33通过总线30连接并完成相互间的通信。
通信接口33用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信接口33还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线30包括硬件、软件或两者,将计算机设备的部件彼此耦接在一起。总线30包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线30可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(Front Side Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture,简称为MCA)总线、外围组件互连(Peripheral Component Interconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment,简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线30可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该计算机设备可以基于获取到的计算机程序,执行本申请实施例中的工控设备指纹归一化方法,从而实现结合图1描述的工控设备指纹归一化方法。
另外,结合上述实施例中的工控设备指纹归一化方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种工控设备指纹归一化方法。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种工控设备指纹归一化方法,其特征在于,包括:
获取待测工控设备的存活端口信息;
基于所述存活端口信息和对应的预设工控协议脚本对所述待测工控设备进行指纹探测,以获取待测工控设备的指纹信息;其中,预先对工控协议脚本进行可信度内置,得到预设工控协议脚本;所述可信度用于标记基于所述预设工控协议脚本获取到的指纹信息的可信任程度;
基于所述预设工控协议脚本对所述指纹信息进行归一化处理。
2.根据权利要求1所述的工控设备指纹归一化方法,其特征在于,所述获取待测工控设备的存活端口信息,包括:
对待测工控设备发送探测报文,以获取待测工控设备中的存活IP;
对所述存活IP进行全端口预扫描,确定存活端口信息。
3.根据权利要求1所述的工控设备指纹归一化方法,其特征在于,所述基于所述存活端口信息和对应的预设工控协议脚本对所述待测工控设备进行指纹探测,以获取待测工控设备的指纹信息包括:
基于所述存活端口信息获取存活端口;所述存活端口包括TCP端口和UDP端口;
根据所述存活端口与工控协议脚本的映射关系确定所述存活端口对应的预设工控协议脚本;
基于所述存活端口对应的IP地址、端口号以及预设工控协议脚本获取待测工控设备的指纹信息。
4.根据权利要求1所述的工控设备指纹归一化方法,其特征在于,预先对工控协议脚本进行可信度内置,得到预设工控协议脚本,包括:
基于指纹信息的解析粒度对工控协议脚本内置可信度,得到预设工控协议脚本;和/或
基于指纹信息的字符串匹配精度对工控协议脚本内置可信度,得到预设工控协议脚本。
5.根据权利要求4所述的工控设备指纹归一化方法,其特征在于,所述基于指纹信息的解析粒度对工控协议脚本内置可信度,得到预设工控协议脚本,包括:
获取可信度的表征方式;
基于所述表征方式和工控协议脚本的解析粒度对所述工控协议脚本进行可信度表征。
6.根据权利要求4所述的工控设备指纹归一化方法,其特征在于,所述基于指纹信息的字符串匹配精度对工控协议脚本内置可信度,得到预设工控协议脚本,包括:
获取可信度的表征方式;
基于所述表征方式和工控协议脚本中字符串匹配表达式的精准度对所述工控协议脚本进行可信度表征;其中,所述指纹信息经所述字符串匹配表达式进行匹配得到。
7.根据权利要求1所述的工控设备指纹归一化方法,其特征在于,所述基于所述预设协议脚本对所述指纹信息进行归一化处理,包括:
以IP地址为主键对所述指纹信息归集,得到IP地址对应的归集信息;所述归集信息为所述IP地址对应的设备信息集合;
基于预设工控协议脚本的可信度对所述归集信息进行归一化处理,得到所述IP地址对应的可靠设备信息。
8.一种工控设备指纹归一化装置,其特征在于,包括:
存活端口获取单元,用于获取待测工控设备的存活端口信息;
指纹信息获取单元,用于基于所述存活端口信息和对应的预设工控协议脚本对所述待测工控设备进行指纹探测,以获取待测工控设备的指纹信息;其中,预先对工控协议脚本进行可信度内置,得到预设工控协议脚本;所述可信度用于标记基于所述预设工控协议脚本获取到的指纹信息的可信任程度;
归一化单元,用于基于预设工控协议脚本对所述指纹信息进行归一化处理。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的工控设备指纹归一化方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至7中任一项所述的工控设备指纹归一化方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010979664.2A CN112118256B (zh) | 2020-09-17 | 2020-09-17 | 工控设备指纹归一化方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010979664.2A CN112118256B (zh) | 2020-09-17 | 2020-09-17 | 工控设备指纹归一化方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112118256A true CN112118256A (zh) | 2020-12-22 |
| CN112118256B CN112118256B (zh) | 2023-03-24 |
Family
ID=73799746
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010979664.2A Active CN112118256B (zh) | 2020-09-17 | 2020-09-17 | 工控设备指纹归一化方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112118256B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112800408A (zh) * | 2021-04-15 | 2021-05-14 | 工业信息安全(四川)创新中心有限公司 | 一种基于主动探测的工控设备指纹提取与识别方法 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106888106A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 智能电网中的it资产大规模侦测系统 |
| CN108092976A (zh) * | 2017-12-15 | 2018-05-29 | 北京知道创宇信息技术有限公司 | 设备指纹构造方法及装置 |
| US20180211251A1 (en) * | 2014-03-19 | 2018-07-26 | Bluefin Payment Systems, LLC | Systems and methods for creating fingerprints of encryption devices |
| CN109002733A (zh) * | 2018-06-20 | 2018-12-14 | 阿里巴巴集团控股有限公司 | 一种对设备进行可信性评价的方法及装置 |
| CN109086377A (zh) * | 2018-07-24 | 2018-12-25 | 江苏通付盾科技有限公司 | 设备画像的生成方法、装置及计算设备 |
| CN109600386A (zh) * | 2018-12-29 | 2019-04-09 | 江苏博智软件科技股份有限公司 | 一种工控态势感知主动探测系统 |
| CN110113335A (zh) * | 2019-05-06 | 2019-08-09 | 杭州齐安科技有限公司 | 一种工控设备指纹归一化方法 |
| CN110401662A (zh) * | 2019-07-29 | 2019-11-01 | 华能阜新风力发电有限责任公司 | 一种工控设备指纹识别方法、存储介质 |
| CN110427785A (zh) * | 2019-07-23 | 2019-11-08 | 腾讯科技(深圳)有限公司 | 设备指纹的获取方法和装置、存储介质及电子装置 |
| CN110635971A (zh) * | 2019-10-16 | 2019-12-31 | 杭州安恒信息技术股份有限公司 | 工控资产探测及管理方法、装置和电子设备 |
| CN110661669A (zh) * | 2019-10-11 | 2020-01-07 | 云南电网有限责任公司德宏供电局 | 一种基于icmp、tcp、udp协议的网络设备的网络拓扑自动发现方法 |
| CN111131320A (zh) * | 2019-12-31 | 2020-05-08 | 奇安信科技集团股份有限公司 | 资产识别方法、装置、系统、介质、和程序产品 |
-
2020
- 2020-09-17 CN CN202010979664.2A patent/CN112118256B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180211251A1 (en) * | 2014-03-19 | 2018-07-26 | Bluefin Payment Systems, LLC | Systems and methods for creating fingerprints of encryption devices |
| CN106888106A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 智能电网中的it资产大规模侦测系统 |
| CN108092976A (zh) * | 2017-12-15 | 2018-05-29 | 北京知道创宇信息技术有限公司 | 设备指纹构造方法及装置 |
| CN109002733A (zh) * | 2018-06-20 | 2018-12-14 | 阿里巴巴集团控股有限公司 | 一种对设备进行可信性评价的方法及装置 |
| CN109086377A (zh) * | 2018-07-24 | 2018-12-25 | 江苏通付盾科技有限公司 | 设备画像的生成方法、装置及计算设备 |
| CN109600386A (zh) * | 2018-12-29 | 2019-04-09 | 江苏博智软件科技股份有限公司 | 一种工控态势感知主动探测系统 |
| CN110113335A (zh) * | 2019-05-06 | 2019-08-09 | 杭州齐安科技有限公司 | 一种工控设备指纹归一化方法 |
| CN110427785A (zh) * | 2019-07-23 | 2019-11-08 | 腾讯科技(深圳)有限公司 | 设备指纹的获取方法和装置、存储介质及电子装置 |
| CN110401662A (zh) * | 2019-07-29 | 2019-11-01 | 华能阜新风力发电有限责任公司 | 一种工控设备指纹识别方法、存储介质 |
| CN110661669A (zh) * | 2019-10-11 | 2020-01-07 | 云南电网有限责任公司德宏供电局 | 一种基于icmp、tcp、udp协议的网络设备的网络拓扑自动发现方法 |
| CN110635971A (zh) * | 2019-10-16 | 2019-12-31 | 杭州安恒信息技术股份有限公司 | 工控资产探测及管理方法、装置和电子设备 |
| CN111131320A (zh) * | 2019-12-31 | 2020-05-08 | 奇安信科技集团股份有限公司 | 资产识别方法、装置、系统、介质、和程序产品 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112800408A (zh) * | 2021-04-15 | 2021-05-14 | 工业信息安全(四川)创新中心有限公司 | 一种基于主动探测的工控设备指纹提取与识别方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112118256B (zh) | 2023-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109922160B (zh) | 一种基于电力物联网的终端安全接入方法、装置及系统 | |
| CN111709009A (zh) | 联网工业控制系统的探测方法、装置、计算机设备和介质 | |
| CN107623754B (zh) | 基于真伪MAC识别的WiFi采集系统及其方法 | |
| CN109063486B (zh) | 一种基于plc设备指纹识别的安全渗透测试方法与系统 | |
| CN113328985B (zh) | 一种被动物联网设备识别方法、系统、介质及设备 | |
| CN106713351B (zh) | 一种基于串口服务器的安全通讯方法及装置 | |
| CN111585989A (zh) | 联网工控设备的漏洞检测方法、装置和计算机设备 | |
| EP3905084A1 (en) | Method and device for detecting malware | |
| CN112671724B (zh) | 一种终端安全检测分析方法、装置、设备及可读存储介质 | |
| WO2019190403A1 (en) | An industrial control system firewall module | |
| WO2024007615A1 (zh) | 模型训练方法、装置及相关设备 | |
| CN111385309A (zh) | 在线办公设备的安全检测方法、系统及终端 | |
| CN112118256B (zh) | 工控设备指纹归一化方法、装置、计算机设备及存储介质 | |
| CN112787875B (zh) | 设备识别方法、装置及设备、存储介质 | |
| CN111726352A (zh) | 可视化监测探针状态的方法、装置、计算机设备和介质 | |
| CN105207829B (zh) | 一种入侵检测数据处理方法、装置,及系统 | |
| CN110472410B (zh) | 识别数据的方法、设备和数据处理方法 | |
| CN111148185A (zh) | 建立用户关系的方法及装置 | |
| CN116668145A (zh) | 一种基于工控协议通信模型的工控设备厂商识别方法 | |
| CN110661799B (zh) | 一种arp欺骗行为的检测方法及系统 | |
| CN113612771A (zh) | 一种基于物联认证的保护方法和装置 | |
| CN114036314A (zh) | 一种基于知识图谱的渗透路径识别方法及系统 | |
| CN109962898B (zh) | 僵尸网络控制节点的检测方法及装置 | |
| CN110620682A (zh) | 资源信息的获取方法及装置、存储介质、终端 | |
| CN118413324B (zh) | 一种电力网络实体身份标识方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |