CN112202609A - 一种工控资产探测方法、装置、电子设备及存储介质 - Google Patents
一种工控资产探测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN112202609A CN112202609A CN202011045225.0A CN202011045225A CN112202609A CN 112202609 A CN112202609 A CN 112202609A CN 202011045225 A CN202011045225 A CN 202011045225A CN 112202609 A CN112202609 A CN 112202609A
- Authority
- CN
- China
- Prior art keywords
- asset
- industrial control
- assets
- unknown
- communication protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 97
- 238000004891 communication Methods 0.000 claims abstract description 58
- 238000000034 method Methods 0.000 claims abstract description 26
- 230000015654 memory Effects 0.000 claims description 18
- 238000005206 flow analysis Methods 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 2
- 230000004044 response Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5077—Network service management, e.g. ensuring proper service fulfilment according to agreements wherein the managed service relates to simple transport services, i.e. providing only network infrastructure
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种工控资产探测方法、装置、电子设备及存储介质,其中,方法包括:获取工控资产的资产源数据;对所述资产源数据进行解析,得到所述工控资产的类型;当所述工控资产的类型为已知工控资产,根据所述已知工控资产对应的通信协议类型进行资产探测,其中,所述已知工控资产为预先获知目标IP、端口及其对应通信协议的资产;当所述工控资产的类型为未知工控资产,采用通过通用协议进行资产探测和对未知工控资产的目标网络数据进行分析的方式对所述未知工控资产的资产信息进行探测。通过实施本发明,能够实现对所有资产的全面探测。
Description
技术领域
本发明涉及资产识别领域,具体涉及一种工控资产探测方法、装置、电子设备及存储介质
背景技术
工控资产是工业控制系统及设备的集合,随着时间推移和业务发展变化,工控资产的跟踪维护变得日益困难。许多工业控制系统及设备都被列入关键信息基础设施,需要进行重点保护、防范各类网络攻击。因此,通过工控资产探测全面了解工控资产状态是确保工业控制系统安全的必然要求,具有重要的现实意义。
相关技术中,工控资产探测主要通过自动化探测模式,包括主动探测方式或被动探测方式。对于主动探测方式其通过主动发送大量的通用协议数据包进行工控资产的资产信息探测,此种通信方式仅能满足同样使用通用协议的工控资产的资产探测;对于通过采集目标网络中的流量并对应用层协议进行分析而获取资产信息的被动探测方式,对于不产生网络流量的设备并不适用,因此存在扫描结果不够全面的问题。因此,亟需提出一种新的工控资产探测方法,以解决现有工控资产探测方式对工控资产信息探测范围有限的问题。
发明内容
有鉴于此,本发明实施例提供了一种工控资产探测方法、装置、电子设备及存储介质,以解决现有技术中工控资产探测方式对工控资产信息探测范围有限的问题的缺陷。
根据第一方面,本发明实施例提供一种工控资产探测方法,包括如下步骤:获取工控资产的资产源数据;对所述资产源数据进行解析,得到所述工控资产的类型;当所述工控资产的类型为已知工控资产,根据所述已知工控资产对应的通信协议类型进行资产探测,其中,所述已知工控资产为预先获知目标IP、端口及其对应通信协议的资产;当所述工控资产的类型为未知工控资产,采用通过通用协议进行资产探测和对未知工控资产的目标网络数据进行分析的方式对所述未知工控资产的资产信息进行探测。
可选地,所述预先获知目标IP、端口及其对应通信协议的资产,包括:获取所述工控资产的资产标记;根据所述资产标记,查询预先设置的内部特征库,得到所述工控资产的目标IP、端口及其对应通信协议的资产。
可选地,当所述工控资产的类型为未知工控资产,对未知工控资产的目标网络数据进行分析的方式对所述未知工控资产的资产信息进行探测,包括:获取未知工控资产对应网段的网络流量;解析所述网络流量得到目标网络数据,所述网络数据包括报文、日志;根据所述网络数据,查询预先设置的内部特征库,得到所述未知工控资产的资产信息。
可选地,所述预先设置的内部特征库包括:多个工控资产的资产信息,所述资产信息包括对应工控资产的命名规范、协议、端口、报文首字节、报文长度。
可选地,所述方法还包括:根据资产探测得到的工控资产绘制网络拓扑图并生成资产清单。
根据第二方面,本发明实施例提供一种工控资产探测装置,包括:资产源数据获取模块,用于获取工控资产的资产源数据;工控资产类型确定模块,用于对所述资产源数据进行解析,得到所述工控资产的类型;已知资产探测模块,用于当所述工控资产的类型为已知工控资产,根据所述已知工控资产对应的通信协议类型进行资产探测,其中,所述已知工控资产为预先获知目标IP、端口及其对应通信协议的资产;未知资产探测模块,用于当所述工控资产的类型为未知工控资产,采用通过通用协议进行资产探测和对未知工控资产的目标网络数据进行分析的方式对所述未知工控资产的资产信息进行探测。
可选地,所述已知资产探测模块,包括:资产标记获取模块,用于获取所述工控资产的资产标记;通信协议类型确定模块,用于根据所述资产标记,查询预先设置的内部特征库,得到所述工控资产的目标IP、端口及其对应通信协议的资产。
可选地,未知资产探测模块,包括:网络流量获取模块,用于获取未知工控资产对应网段的网络流量;流量解析模块,用于解析所述网络流量得到目标网络数据,所述网络数据包括报文、日志;未知资产探测子模块,用于根据所述网络数据,查询预先设置的内部特征库,得到所述未知工控资产的资产信息。
根据第三方面,本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现第一方面或第一方面任一实施方式所述的工控资产探测方法的步骤。
根据第四方面,本发明实施例提供一种存储介质,其上存储有计算机指令,该指令被处理器执行时实现第一方面或第一方面任一实施方式所述的工控资产探测方法的步骤。
本发明技术方案,具有如下优点:
本实施例提供的工控资产探测方法/装置,通过对资产进行解析,判断资产的资产类型,将资产类型划分为已知工控资产和未知工控资产,对于不同的资产类型采用不同的探测方式。对于已知工控资产,由于知道其目标IP、端口及其对应通信协议,所以直接采用主动探测的方式即可快速实现对该工控资产的探测,并且可以根据历史资产信息中的通信协议构造特定的报文,能够防止由于直接使用常用通信协议进行主动探测,导致探测报文无响应或者响应结果无法识别等问题;另外,对于未知资产,由于不知道其目标IP、端口及其对应通信协议,可能存在对于某些采用特定协议传输的设备由于采用常用通信协议进行主动探测,导致报文无响应的问题,并且未知工控资产可能是不产生网络流量的设备,因此,在本实施例中利用通用协议进行资产探测和对未知工控资产的目标网络数据进行分析的方式相互补充,共同保证了对未知工控资产探测的准确性以及全面性。另外,将资产源数据根据不同资产类型采用不同的探测方式,能够实现对所有资产的全面探测。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中工控资产探测方法的一个具体示例的流程图;
图2为本发明实施例中工控资产探测装置的一个具体示例图;
图3为本发明实施例中电子设备的一个具体示例的原理框图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,还可以是两个元件内部的连通,可以是无线连接,也可以是有线连接。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
本实施例提供一种工控资产探测方法,如图1所示,包括如下步骤:
S101,获取工控资产的资产源数据。
示例性地,获取工控资产的资产源数据的方式可以是通过导入资产清单文件、读取资产管理系统信息等方式,通过这些方式能够对隔离装置、网闸等这类因自身特性无法被探测的工控资产进行有效地记录与识别,本实施例对获取工控资产的资产源数据的方式不做限定,本领域技术人员可以根据需要确定。
S102,对资产源数据进行解析,得到工控资产的类型。
示例性地,工控资产的类型包括已知工控资产和未知工控资产。已知资产表示预先能够获知目标IP、端口及其对应通信协议的资产,比如,在资产清单文件中记载了目标IP、端口、通信协议的资产属于已知资产,本实施例对预先获知目标IP、端口及其对应通信协议的方式不做限定,本领域技术人员可以根据需要确定。
未知资产则表示不能预先获知目标IP、端口及其对应通信协议的资产,可以是通过解析资产源数据中的IP地址和子网掩码,识别工控资产所在网段,除去已知工控资产所占用的网段,余下的网段则可以认为是未知工控资产网段。解析资产源数据中的IP地址和子网掩码的方式可以是假如IP地址为192.168.82.21、子网掩码为255.255.255.0,那么所在网段为192.168.82.1-254;但如果未记录子网掩码,则采用最长分段匹配原则进行网段解析,例如IP地址分别为192.168.154.3、192.168.154.21、192.168.154.33,则所在网段为192.168.154.1-254。对于未知工控资产的网段不仅仅可以是对资产源数据的网段进行解析得到,也可以是人工添加的一段网段。
未知资产还可以是原本在资产清单文件中记录有目标IP、端口及其对应通信协议,但发生变更的工控资产,比如,针对该工控资产按照资产清单文件中记录的通信协议对其构造并发送探测包进行主动探测,但探测失败,则表示该工控资产可能已经发生变更。
S103,当工控资产的类型为已知工控资产,根据已知工控资产对应的通信协议类型进行资产探测,其中,已知工控资产为预先获知目标IP、端口及其对应通信协议的资产。
示例性地,当工控资产的类型为已知工控资产,根据已知工控资产对应的通信协议类型进行资产探测,比如,南瑞交换机6028预先获知的目标端口信息是161端口,且报文特征的对象标识符OID为1.3.6.1.4.1.46157.1,通信协议为SNMP协议,那么根据对象标识符OID数值构造SNMP协议的get-request报文,发送至目标主机的161端口,进行资产探测,资产探测的结果包括资产存活性、硬件地址、操作系统、开放端口和服务信息(如SNMP服务)等。
S104,当工控资产的类型为未知工控资产,利用通用协议进行资产探测的方式和对未知工控资产的目标网络数据进行分析的方式对未知工控资产的资产信息进行探测。
示例性地,通用协议一般是TCP协议,当工控资产的类型为未知工控资产,采用通过通用协议进行资产探测的方式可以是向在未知工控资产网段范围的IP地址发送探测报文,通过对响应报文的解析识别未知工控资产的工控设备系统、服务等信息,例如向IP地址192.168.82.21的22端口发送TCP报文,解析返回报文中的host字段,若包含VxWorks,则该未知工控资产采用VxWorks系统。
对未知工控资产的目标网络数据进行分析的方式对所述未知工控资产的资产信息进行探测的方式可以是截取未知工控资产网段范围的镜像流量,通过网络流量解析,从报文、日志等信息中提取资产信息。
本实施例提供的工控资产探测方法,通过对资产进行解析,判断资产的资产类型,将资产类型划分为已知工控资产和未知工控资产,对于不同的资产类型采用不同的探测方式。对于已知工控资产,由于知道其目标IP、端口及其对应通信协议,所以直接采用主动探测的方式即可快速实现对该工控资产的探测,并且可以根据历史资产信息中的通信协议构造特定的报文,能够防止由于直接使用通用通信协议进行主动探测,导致探测报文无响应或者响应结果无法识别等问题;另外,对于未知资产,由于不知道其目标IP、端口及其对应通信协议,可能存在对于某些采用特定协议传输的设备由于采用常用通信协议进行主动探测,导致报文无响应的问题,并且未知工控资产可能是不产生网络流量的设备,因此,在本实施例中利用通用协议进行资产探测和对未知工控资产的目标网络数据进行分析的方式相互补充,共同保证了对未知工控资产探测的准确性以及全面性。另外,将资产源数据根据不同资产类型采用不同的探测方式,能够实现对所有资产的全面探测,探测范围不受限。
作为本实施例一种可选的实施方式,所述预先获知通信协议类型的步骤包括:
首先,获取所述工控资产的资产标记。资产标记包括资产名称、备注等信息,资产清单文件或者资产管理系统中存在部分工控资产的资产名称和备注。
其次,根据所述资产标记,查询预先设置的内部特征库,得到工控资产的目标IP、端口及其对应通信协议的资产。
示例性地,预先设置的内部特征库可以是通过获取设备厂商的技术资料、MAC地址前缀-组织对应表、实验抓包等方式构造,本实施例对此不做限定,本领域技术人员可以根据需要确定。内部特征库中记录设备类型、厂商名称、命名规则、协议、常用端口、硬件特征、报文特征,比如:{"序号":1501,"设备类型":"工业以太网交换机","厂商名称":"南瑞科技,nariTech","命名规则":"EPS6028","协议":"SNMP","端口":161,"报文特征":{"首字节":"0x30","OID":"1.3.6.1.4.1.46157.1"}},当然,内部特征库中还记录有工控资产的目标IP。
通过资产标记,如资产名称、备注等信息,查找内部特征库,构造并发送特定通信协议的报文进行主动探测,例如,根据资产标记为“南瑞交换机6028”查找内部特征库,使用字符串匹配到结果{"序号":1501,"设备类型":"工业以太网交换机","厂商名称":"南瑞科技,nariTech","命名规则":"EPS6028","协议":"SNMP","端口":161,"报文特征":{"首字节":"0x30","OID":"1.3.6.1.4.1.46157.1"}},可知设备类型为工业以太网交换机,需采用SNMP通信协议。
本实施例提供的工控资产探测方法,通过预先设置的内部特征库得到更加准确、全面的工控资产信息,而在进行工控资产探测时,只需要知道工控资产的备注就可以借助内部特征库对该工控资产的通信协议、端口等进行准确获知,以便该工控资产根据对应的通信协议类型,构造并发送少量特定类型的报文进行探测,相比普通扫描方式采用全端口(65535个)探测,提高了检测效率、减少了工控网络带宽占用、降低了扫描风险。
作为本实施例一种可选的实施方式,当所述工控资产的类型为未知工控资产,对未知工控资产的目标网络数据进行分析的方式对所述未知工控资产的资产信息进行探测,包括:
首先,获取未知工控资产对应网段的网络流量。获取未知工控资产对应网段的网络流量的方式可以是截取该网段的镜像流量。
其次,解析所述网络流量得到目标网络数据,所述目标网络数据包括报文、日志。根据所述网络数据,查询预先设置的内部特征库,得到所述未知工控资产的资产信息。
示例性地,解析网络流量的方式可以是对网络流量进行分析,提取出报文、日志等信息,从报文、日志中提取资产信息。根据网络数据,查询预先设置的内部特征库,得到未知工控资产的资产信息的方式可以是解析网络报文,提取源IP地址、源端口、目的IP地址、目的端口、通信协议、报文长度和数据载荷,比对内部特征库,完成资产识别。比如,解析出的报文载荷加密且吞吐报文长度大都为1024,查询内部特征库可知该设备为加密装置。
根据网络数据,查询预先设置的内部特征库,得到未知工控资产的资产信息的方式还可以是通过报文重组,提取SNMP、Syslog等类型的日志并解析出资产信息,比如,通过SNMP报文的OID识别设备厂商,具体例子可以是:报文的源IP为192.168.1.21、源端口161、数据载荷中首字节为0x30,查找内部特征库,根据报文特征0x30,匹配到多个结果{"序号":1501,"设备类型":"工业以太网交换机","厂商名称":"南瑞科技,nariTech","命名规则":"EPS6028","协议":"SNMP","端口":161,"报文特征":{"首字节":"0x30","OID":"1.3.6.1.4.1.46157.1"}}、{"序号":1502,"设备类型":"工业以太网交换机","厂商名称":"锐捷,ruijie","命名规则":"RG-IS2700G","协议":"SNMP","端口":161,"报文特征":{"首字节":"0x30","OID":"1.3.6.1.2.1.1.2"}},再根据SNMP报文中的OID号1.3.6.1.4.1.46157.1,采用字符串最长匹配可知192.168.1.21为南瑞EPS6028工业以太网交换机。此时,即可得知该工控资产的资产信息。
本实施例提供的工控资产探测方法,通过预先设置的内部特征库,根据网络数据查询该内部特征库,能够有效识别加密装置,并根据网络数据完整获知该工控资产的资产信息。
作为本实施例一种可选的实施方式,所述预先设置的内部特征库包括:多个工控资产的资产信息,所述资产信息包括对应工控资产的命名规则、通信协议、常用端口、报文首字节、报文长度。
作为本实施例一种可选的实施方式,工控资产探测方法还包括:根据资产探测得到的工控资产绘制网络拓扑图并生成资产清单。根据工控资产探测结果,绘制网络拓扑图、生成新的资产清单,包括资产IP、设备名称、设备类型、厂商名称、存活性、硬件地址、操作系统、开放端口和服务信息,并对发生变化的资产信息标注资产变化情况。
本实施例提供一种工控资产探测装置,如图2所示,包括:
资产源数据获取模块201,用于获取工控资产的资产源数据;具体内容参见上述方法实施例对应部分,在此不再赘述。
工控资产类型确定模块202,用于对所述资产源数据进行解析,得到所述工控资产的类型;具体内容参见上述方法实施例对应部分,在此不再赘述。
已知资产探测模块203,用于当所述工控资产的类型为已知工控资产,根据所述已知工控资产对应的通信协议类型进行资产探测,其中,所述已知工控资产为预先获知目标IP、端口及其对应通信协议的资产;具体内容参见上述方法实施例对应部分,在此不再赘述。
未知资产探测模块204,用于当所述工控资产的类型为未知工控资产,采用通过通用协议进行资产探测和对未知工控资产的目标网络数据进行分析的方式对所述未知工控资产的资产信息进行探测。具体内容参见上述方法实施例对应部分,在此不再赘述。
作为本实施例一种可选的实施方式,所述已知资产探测模块,包括:
资产标记获取模块,用于获取所述工控资产的资产标记;具体内容参见上述方法实施例对应部分,在此不再赘述。
通信协议类型确定模块,用于根据所述资产标记,查询预先设置的内部特征库,得到所述工控资产的目标IP、端口及其对应通信协议的资产;具体内容参见上述方法实施例对应部分,在此不再赘述。
作为本实施例一种可选的实施方式,未知资产探测模块,包括:
网络流量获取模块,用于获取未知工控资产对应网段的网络流量;具体内容参见上述方法实施例对应部分,在此不再赘述。
流量解析模块,用于解析所述网络流量得到目标网络数据,所述网络数据包括报文、日志;具体内容参见上述方法实施例对应部分,在此不再赘述。
未知资产探测子模块,用于根据所述网络数据,查询预先设置的内部特征库,得到所述未知工控资产的资产信息。具体内容参见上述方法实施例对应部分,在此不再赘述。
作为本实施例一种可选的实施方式,所述预先设置的内部特征库包括:多个工控资产的资产信息,所述资产信息包括对应工控资产的命名规范、协议、端口、报文首字节、报文长度。具体内容参见上述方法实施例对应部分,在此不再赘述。
作为本实施例一种可选的实施方式,工控资产探测方法还包括:资产整理模块,用于根据资产探测得到的工控资产绘制网络拓扑图并生成资产清单。具体内容参见上述方法实施例对应部分,在此不再赘述。
本申请实施例还提供一种电子设备,如图3所示,处理器310和存储器320,其中处理器310和存储器320可以通过总线或者其他方式连接。
处理器310可以为中央处理器(Central Processing Unit,CPU)。处理器310还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器320作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的工控资产探测方法对应的程序指令/模块。处理器通过运行存储在存储器中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理。
存储器320可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器320可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
所述一个或者多个模块存储在所述存储器320中,当被所述处理器310执行时,执行如图1所示实施例中的工控资产探测方法。
上述电子设备的具体细节可以对应参阅图1所示的实施例中对应的相关描述和效果进行理解,此处不再赘述。
本实施例还提供了一种计算机存储介质,所述计算机存储介质存储有计算机可执行指令,该计算机可执行指令可执行上述任意方法实施例1中工控资产探测方法。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-StateDrive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (10)
1.一种工控资产探测方法,其特征在于,包括如下步骤:
获取工控资产的资产源数据;
对所述资产源数据进行解析,得到所述工控资产的类型;
当所述工控资产的类型为已知工控资产,根据所述已知工控资产对应的通信协议类型进行资产探测,其中,所述已知工控资产为预先获知目标IP、端口及其对应通信协议的资产;
当所述工控资产的类型为未知工控资产,采用通过通用协议进行资产探测和对未知工控资产的目标网络数据进行分析的方式对所述未知工控资产的资产信息进行探测。
2.根据权利要求1所述的方法,其特征在于,所述预先获知目标IP、端口及其对应通信协议的资产,包括:
获取所述工控资产的资产标记;
根据所述资产标记,查询预先设置的内部特征库,得到所述工控资产的目标IP、端口及其对应通信协议的资产。
3.根据权利要求1所述的方法,其特征在于,当所述工控资产的类型为未知工控资产,对未知工控资产的目标网络数据进行分析的方式对所述未知工控资产的资产信息进行探测,包括:
获取未知工控资产对应网段的网络流量;
解析所述网络流量得到目标网络数据,所述网络数据包括报文、日志;
根据所述网络数据,查询预先设置的内部特征库,得到所述未知工控资产的资产信息。
4.根据权利要求2所述的方法,其特征在于,所述预先设置的内部特征库包括:多个工控资产的资产信息,所述资产信息包括对应工控资产的命名规范、协议、端口、报文首字节、报文长度。
5.根据权利要求1-4任一所述的方法,其特征在于,还包括:根据资产探测得到的工控资产绘制网络拓扑图并生成资产清单。
6.一种工控资产探测装置,其特征在于,包括:
资产源数据获取模块,用于获取工控资产的资产源数据;
工控资产类型确定模块,用于对所述资产源数据进行解析,得到所述工控资产的类型;
已知资产探测模块,用于当所述工控资产的类型为已知工控资产,根据所述已知工控资产对应的通信协议类型进行资产探测,其中,所述已知工控资产为预先获知目标IP、端口及其对应通信协议的资产;
未知资产探测模块,用于当所述工控资产的类型为未知工控资产,采用通过通用协议进行资产探测和对未知工控资产的目标网络数据进行分析的方式对所述未知工控资产的资产信息进行探测。
7.根据权利要求6所述的装置,其特征在于,所述已知资产探测模块,包括:
资产标记获取模块,用于获取所述工控资产的资产标记;
通信协议类型确定模块,用于根据所述资产标记,查询预先设置的内部特征库,得到所述工控资产的目标IP、端口及其对应通信协议的资产。
8.根据权利要求6所述的装置,其特征在于,未知资产探测模块,包括:
网络流量获取模块,用于获取未知工控资产对应网段的网络流量;
流量解析模块,用于解析所述网络流量得到目标网络数据,所述网络数据包括报文、日志;
未知资产探测子模块,用于根据所述网络数据,查询预先设置的内部特征库,得到所述未知工控资产的资产信息。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-5任一所述的工控资产探测方法的步骤。
10.一种存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现权利要求1-5任一所述的工控资产探测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011045225.0A CN112202609A (zh) | 2020-09-28 | 2020-09-28 | 一种工控资产探测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011045225.0A CN112202609A (zh) | 2020-09-28 | 2020-09-28 | 一种工控资产探测方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112202609A true CN112202609A (zh) | 2021-01-08 |
Family
ID=74007799
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011045225.0A Pending CN112202609A (zh) | 2020-09-28 | 2020-09-28 | 一种工控资产探测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112202609A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113315769A (zh) * | 2021-05-27 | 2021-08-27 | 杭州迪普科技股份有限公司 | 工控资产信息收集方法及装置 |
| CN113572761A (zh) * | 2021-07-22 | 2021-10-29 | 四川英得赛克科技有限公司 | 一种设备识别方法、装置、电子设备及存储介质 |
| CN114003796A (zh) * | 2021-11-01 | 2022-02-01 | 北京顶象技术有限公司 | 工控资产的发现方法、装置和电子设备 |
| CN114124837A (zh) * | 2021-10-22 | 2022-03-01 | 南京中新赛克科技有限责任公司 | 一种基于被动流量的资产信息发现系统及方法 |
| CN114422341A (zh) * | 2022-01-14 | 2022-04-29 | 杭州立思辰安科科技有限公司 | 一种基于指纹特征的工控资产识别方法及系统 |
| CN114448822A (zh) * | 2022-01-21 | 2022-05-06 | 中国电子信息产业集团有限公司第六研究所 | 节点探测数据表示方法、装置、电子设备及存储介质 |
| CN114584477A (zh) * | 2022-02-10 | 2022-06-03 | 烽台科技(北京)有限公司 | 工控资产的探测方法、装置、终端及存储介质 |
| WO2022254420A1 (en) * | 2021-05-31 | 2022-12-08 | Claroty Ltd. | Network discovery and maintenance for industrial plants |
| CN117640258A (zh) * | 2024-01-25 | 2024-03-01 | 远江盛邦(北京)网络安全科技股份有限公司 | 网络资产测绘的防护方法、装置、设备和存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170277920A1 (en) * | 2015-10-08 | 2017-09-28 | Rockwell Automation Technologies, Inc. | Identification of industrial equipment using micro-location services |
| CN109768870A (zh) * | 2017-11-09 | 2019-05-17 | 国网青海省电力公司电力科学研究院 | 一种基于主动探测技术的工控网络资产发现方法及系统 |
| CN110351251A (zh) * | 2019-06-20 | 2019-10-18 | 哈尔滨工业大学(威海) | 一种基于过滤技术的工控设备资产探测方法 |
| CN110545219A (zh) * | 2019-09-25 | 2019-12-06 | 杭州安恒信息技术股份有限公司 | 工业资产的被动识别方法、装置和电子设备 |
| CN110635971A (zh) * | 2019-10-16 | 2019-12-31 | 杭州安恒信息技术股份有限公司 | 工控资产探测及管理方法、装置和电子设备 |
| CN111427336A (zh) * | 2020-05-08 | 2020-07-17 | 杭州安恒信息技术股份有限公司 | 一种工业控制系统的漏洞扫描方法、装置及设备 |
| CN111654477A (zh) * | 2020-05-21 | 2020-09-11 | 杭州安恒信息技术股份有限公司 | 基于fins协议的工控网络的信息拓扑方法、装置和计算机设备 |
-
2020
- 2020-09-28 CN CN202011045225.0A patent/CN112202609A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170277920A1 (en) * | 2015-10-08 | 2017-09-28 | Rockwell Automation Technologies, Inc. | Identification of industrial equipment using micro-location services |
| CN109768870A (zh) * | 2017-11-09 | 2019-05-17 | 国网青海省电力公司电力科学研究院 | 一种基于主动探测技术的工控网络资产发现方法及系统 |
| CN110351251A (zh) * | 2019-06-20 | 2019-10-18 | 哈尔滨工业大学(威海) | 一种基于过滤技术的工控设备资产探测方法 |
| CN110545219A (zh) * | 2019-09-25 | 2019-12-06 | 杭州安恒信息技术股份有限公司 | 工业资产的被动识别方法、装置和电子设备 |
| CN110635971A (zh) * | 2019-10-16 | 2019-12-31 | 杭州安恒信息技术股份有限公司 | 工控资产探测及管理方法、装置和电子设备 |
| CN111427336A (zh) * | 2020-05-08 | 2020-07-17 | 杭州安恒信息技术股份有限公司 | 一种工业控制系统的漏洞扫描方法、装置及设备 |
| CN111654477A (zh) * | 2020-05-21 | 2020-09-11 | 杭州安恒信息技术股份有限公司 | 基于fins协议的工控网络的信息拓扑方法、装置和计算机设备 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113315769A (zh) * | 2021-05-27 | 2021-08-27 | 杭州迪普科技股份有限公司 | 工控资产信息收集方法及装置 |
| WO2022254420A1 (en) * | 2021-05-31 | 2022-12-08 | Claroty Ltd. | Network discovery and maintenance for industrial plants |
| CN113572761A (zh) * | 2021-07-22 | 2021-10-29 | 四川英得赛克科技有限公司 | 一种设备识别方法、装置、电子设备及存储介质 |
| CN114124837A (zh) * | 2021-10-22 | 2022-03-01 | 南京中新赛克科技有限责任公司 | 一种基于被动流量的资产信息发现系统及方法 |
| CN114003796A (zh) * | 2021-11-01 | 2022-02-01 | 北京顶象技术有限公司 | 工控资产的发现方法、装置和电子设备 |
| CN114422341A (zh) * | 2022-01-14 | 2022-04-29 | 杭州立思辰安科科技有限公司 | 一种基于指纹特征的工控资产识别方法及系统 |
| CN114422341B (zh) * | 2022-01-14 | 2022-12-30 | 杭州立思辰安科科技有限公司 | 一种基于指纹特征的工控资产识别方法及系统 |
| CN114448822A (zh) * | 2022-01-21 | 2022-05-06 | 中国电子信息产业集团有限公司第六研究所 | 节点探测数据表示方法、装置、电子设备及存储介质 |
| CN114584477A (zh) * | 2022-02-10 | 2022-06-03 | 烽台科技(北京)有限公司 | 工控资产的探测方法、装置、终端及存储介质 |
| CN114584477B (zh) * | 2022-02-10 | 2023-06-27 | 烽台科技(北京)有限公司 | 工控资产的探测方法、装置、终端及存储介质 |
| CN117640258A (zh) * | 2024-01-25 | 2024-03-01 | 远江盛邦(北京)网络安全科技股份有限公司 | 网络资产测绘的防护方法、装置、设备和存储介质 |
| CN117640258B (zh) * | 2024-01-25 | 2024-04-26 | 远江盛邦(北京)网络安全科技股份有限公司 | 网络资产测绘的防护方法、装置、设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112202609A (zh) | 一种工控资产探测方法、装置、电子设备及存储介质 | |
| CN110113345B (zh) | 一种基于物联网流量的资产自动发现的方法 | |
| Sivanathan et al. | Can we classify an iot device using tcp port scan? | |
| CN109802924B (zh) | 一种识别加密数据流的方法及装置 | |
| CN112260861A (zh) | 一种基于流量感知的网络资产拓扑识别方法 | |
| EP1238515B1 (en) | Automatically identifying subnetworks in a network | |
| US10547674B2 (en) | Methods and systems for network flow analysis | |
| CN106487879A (zh) | 一种基于设备指纹库的网络设备识别方法和装置 | |
| CN110313147B (zh) | 数据处理方法、装置和系统 | |
| CN112468364B (zh) | Cip资产的探测方法、装置、计算机设备及可读存储介质 | |
| CN108063833B (zh) | Http dns解析报文处理方法及装置 | |
| US8552839B2 (en) | Method and apparatus for managing radio frequency identification (RFID) tags | |
| CN108429739B (zh) | 一种识别蜜罐的方法、系统及终端设备 | |
| CN108111548A (zh) | 一种域名系统攻击检测方法、装置及系统 | |
| EP3941100B1 (en) | Network device identification | |
| US20170034004A1 (en) | Discovering network nodes | |
| CN116708253B (zh) | 设备识别方法、装置、设备及介质 | |
| CN116684329A (zh) | 一种网络资产发现方法、装置和存储介质 | |
| CN116719868A (zh) | 网络资产的识别方法、装置及设备 | |
| CN115296891B (zh) | 数据探测系统和数据探测方法 | |
| JP4655028B2 (ja) | ワームの感染防止システム | |
| CN116366465A (zh) | 一种工业控制系统网络分析报告生成方法及系统 | |
| JP3903969B2 (ja) | ワームの感染防止システム | |
| CN115297006A (zh) | 基于合作网络空间资产信息地图异常检测隔离方法及系统 | |
| CN110661799B (zh) | 一种arp欺骗行为的检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210108 |
|
| RJ01 | Rejection of invention patent application after publication |