CN112468364B - Cip资产的探测方法、装置、计算机设备及可读存储介质 - Google Patents
Cip资产的探测方法、装置、计算机设备及可读存储介质 Download PDFInfo
- Publication number
- CN112468364B CN112468364B CN202011337951.XA CN202011337951A CN112468364B CN 112468364 B CN112468364 B CN 112468364B CN 202011337951 A CN202011337951 A CN 202011337951A CN 112468364 B CN112468364 B CN 112468364B
- Authority
- CN
- China
- Prior art keywords
- mac address
- equipment
- cip
- information
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/065—Generation of reports related to network devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种CIP资产的探测方法、装置、计算机设备及可读存储介质,该方法包括:采集网络流量并进行网络镜像分析获取IP‑MAC关系对,并从IP‑MAC关系对中取预设MAC地址;判断预设MAC地址在数据库中是否唯一;若是,则根据预设MAC地址查询IEEE的OUI文件得到网卡厂商信息;判断网卡厂商信息对应的网卡厂商是否为自动化设备厂商;若否,则判断预设MAC地址的所属设备是否发生过CIP协议的通讯;若是,则判定预设MAC地址所属设备为接收指令的接收设备;将MAC距离最近的设备信息设定为接收设备的设备信息。本发明基于对Ethernet/IP‑CIP协议的深层次解析,结合获取的CIP协议的报文特征,对CIP资产进行识别,便于对PLC、DCS等工控设备的统计和管理,用于针对工控环境做分析和针对性防护。
Description
技术领域
本发明涉及工业控制领域,特别是涉及一种CIP资产的探测方法、装置、计算机设备及可读存储介质。
背景技术
目前,随着互联网的发展,网络攻击难度和攻击成本的降低,工业控制系统已经成为当今网络部队、黑客、极端势力的打击目标,而这些对我们国家的安全也造成了巨大的威胁。因此,为了保障工业控制系统,需要通过管理运维人员对工业环境中的工控资产进行基本的识别和统计。
然而,在工业网络中,由于生产场景的复杂性和工业协议的特殊性,还未出现相关防护系统能够对Ethernet/IP-CIP协议的资产进行识别和统计,致使管理者无法获取当前环境中的基于CIP协议通讯的工控设备,不利于对PLC等工控设备的统计和管理,不利于针对工控环境做分析和针对性防护。
发明内容
本发明的一个目的在于提出一种CIP资产的探测方法、装置、计算机设备及可读存储介质,以解决现有的工控防护系统无法获取当前环境中的基于CIP协议通讯的工控设备,不利于对PLC等工控设备的统计和管理,不利于针对工控环境做分析和针对性防护的问题。
本发明提出一种CIP资产的探测方法,包括以下步骤:
采集网络流量并进行网络镜像分析获取IP-MAC关系对,并从所述IP-MAC关系对中取预设MAC地址;
判断所述预设MAC地址在数据库中是否唯一;
若是,则根据所述预设MAC地址查询IEEE的OUI文件得到网卡厂商信息;
判断所述网卡厂商信息对应的网卡厂商是否为自动化设备厂商;
若否,则判断所述预设MAC地址的所属设备是否发生过CIP协议的通讯;
若是,则判定所述预设MAC地址所属设备为接收指令的接收设备;
根据所述预设MAC地址在CIP设备数据库查询MAC距离最近的设备信息;
将MAC距离最近的设备信息设定为所述接收设备的设备信息。
另外,根据本发明提供的CIP资产的探测方法,还可以具有如下附加的技术特征:
进一步地,所述判断所述预设MAC地址在数据库中是否唯一的步骤后,所述方法还包括:
若否,则判定所述预设MAC地址的所属设备为网络设备,并根据IP地址进行标注;
根据所述预设MAC地址查询IEEE的OUI文件得到网卡厂商信息。
进一步地,所述判断所述网卡厂商信息对应的网卡厂商是否为自动化设备厂商的步骤后,所述方法还包括:
若所述网卡厂商信息对应的网卡厂商为自动化设备厂商,则对所述预设MAC地址所属设备的厂商信息直接进行更新。
进一步地,所述采集网络流量并进行网络镜像分析获取IP-MAC关系对的步骤中,通过DPI技术对报文数据的链路层和网络层进行分析获取IP-MAC关系对。
进一步地,所述采集网络流量并进行网络镜像分析获取IP-MAC关系对,并从所述IP-MAC关系对中取预设MAC地址的步骤后,所述方法还包括:
在数据库中查询是否存在ARP的response报文;
若是,则根据response报文信息对所述预设MAC地址进行更新。
进一步地,若在实时采集的网络流量中发现CIP协议的设备识别指令信息,则以该指令信息的返回消息来标识该设备信息。
本发明提出一种CIP资产的探测装置,包括:
流量分析模块:用于采集网络流量并进行网络镜像分析获取IP-MAC关系对,并从所述IP-MAC关系对中取预设MAC地址;
MAC地址唯一性查询模块:用于判断所述预设MAC地址在数据库中是否唯一;
网卡厂商信息查询模块:用于若是,则根据所述预设MAC地址查询IEEE的OUI文件得到网卡厂商信息;
网卡厂商判断模块:用于判断所述网卡厂商信息对应的网卡厂商是否为自动化设备厂商;
CIP协议判断模块:用于若否,则判断所述预设MAC地址的所属设备是否发生过CIP协议的通讯;
接收设备判定模块:用于若是,则判定所述预设MAC地址所属设备为接收指令的接收设备;
设备信息查询模块:用于根据所述预设MAC地址在CIP设备数据库查询MAC距离最近的设备信息;
设备信息设定模块:用于将MAC距离最近的设备信息设定为所述接收设备的设备信息。
另外,根据本发明提供的CIP资产的探测装置,还可以具有如下附加的技术特征:
进一步地,所述MAC地址唯一性查询模块:还用于若所述预设MAC地址在数据库中唯一,则判定所述预设MAC地址的所属设备为网络设备,并根据IP地址进行标注;
根据所述预设MAC地址查询IEEE的OUI文件得到网卡厂商信息。
本发明提出了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述所述的CIP资产的探测方法。
本发明提出了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述所述的CIP资产的探测方法。
相比于相关技术,本申请提供的一种CIP资产的探测方法、装置及系统,判断所述预设MAC地址在数据库中是否唯一;
若不重复,则根据所述预设MAC地址查询IEEE的OUI文件得到网卡厂商信息;
更新所述预设MAC的网卡厂商信息;
判断所述网卡厂商信息对应的网卡厂商是否为自动化设备厂商;
若不是,则判断所述预设MAC地址所属设备是否发生过CIP协议的通讯;
若发生过,则判断所述预设MAC地址所属设备为接收指令的设备;
根据所述预设MAC地址查询CIP设备数据库获得“MAC距离最近”的设备信息;
将“MAC距离最近”的设备信息设定为所述预设MAC地址所属设备信息。
相比于相关技术,本申请提供的一种工业异常监测方法、装置及系统,基于对Ethernet/IP-CIP协议的深层次解析,结合获取的CIP协议的报文特征,对环境中的CIP资产进行识别,便于对PLC、DCS等工控设备的统计和管理,用于针对工控环境做分析和针对性防护。
本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本发明第一实施例CIP资产的探测方法的流程图;
图2为本发明第一实施例入侵监测平台部署结构;
图3为本发明第二实施例CIP资产的探测装置的系统框图;
图4为本发明第三实施例CIP资产的探测计算机设备的硬件结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
实施例1
本实施例提供了一种CIP资产的探测方法。图1是根据本申请实施例的一种CIP资产的探测方法的流程图,如图1所示,该流程包括如下步骤S101~S109:
步骤S101,采集网络流量并进行网络镜像分析获取IP-MAC关系对,并从所述IP-MAC关系对中取预设MAC地址;
其中,所述采集网络流量并进行网络镜像分析获取IP-MAC关系对,并从所述IP-MAC关系对中取预设MAC地址的步骤后,所述方法还包括:
在数据库中查询是否存在ARP的response报文;
若是,则根据response报文信息对所述预设MAC地址进行更新。
步骤S102,判断所述预设MAC地址在数据库中是否唯一。
其中,所述判断所述预设MAC地址在数据库中是否唯一的步骤后,所述方法还包括:
若否,则判定所述预设MAC地址的所属设备为网络设备,并根据IP地址进行标注;
根据所述预设MAC地址查询IEEE的OUI文件得到网卡厂商信息。
步骤S103,若是,则根据所述预设MAC地址查询IEEE的OUI文件得到网卡厂商信息。
其中,所述判断所述预设MAC地址在数据库中是否唯一的步骤后,所述方法还包括:
若否,则判定所述预设MAC地址的所属设备为网络设备,并根据IP地址进行标注;
根据所述预设MAC地址查询IEEE的OUI文件得到网卡厂商信息。
步骤S104,判断所述网卡厂商信息对应的网卡厂商是否为自动化设备厂商。
其中,所述判断所述网卡厂商信息对应的网卡厂商是否为自动化设备厂商的步骤后,所述方法还包括:
若所述网卡厂商信息对应的网卡厂商为自动化设备厂商,则对所述预设MAC地址所属设备的厂商信息直接进行更新。
步骤S105,若否,则判断所述预设MAC地址的所属设备是否发生过CIP协议的通讯。
其中,所述判断所述预设MAC地址的所属设备是否发生过CIP协议的通讯的步骤中,需要对Ethernet/IP-CIP协议报文进行深层次解析,从而能够识别CIP协议通讯数据。
步骤S106,若是,则判定所述预设MAC地址所属设备为接收指令的接收设备。
步骤S107,根据所述预设MAC地址在CIP设备数据库查询MAC距离最近的设备信息;
步骤S108,将MAC距离最近的设备信息设定为所述接收设备的设备信息。
若在实时采集的网络流量中发现CIP协议的设备识别指令信息,则以该指令信息的返回消息来标识该设备信息。
本实施例中,具体还包括以下流程:
Ethernet/IP-CIP入侵监测平台部署:该装置在实际工厂的部署方式,在控制网络中的每个工业交换机位置旁路部署一台Ethernet/IP-CIP监测平台,每个工Ethernet/IP-CIP监测平台通过交换机镜像口复制一份经过该交换机的所有网络流量。由于是旁路部署,且Ethernet/IP-CIP监测平台的审计探针只接收网络流量,不会对工控网络发生任何干扰报文,所以对生产工艺过程不会造成任何影响,如图2所示。
采用DPI的技术对网络流量进行解析,在此我们关注对于CIP协议及背后的资产的分析,主要过程如下:
a.流量镜像获取IP-MAC关系对,如IP1-MAC1,这个步骤通过DPI技术,分析报文的数据链路层和网络层即可得出。
b.若在网络流量中发现ARP的response报文,则根据response中的信息更新IP1的MAC地址。这是因为,正常通过步骤a(网络镜像分析获取IP-MAC关系)中得到的MAC地址,会因为报文经过网络通路上的交换机、路由器等网络设备而改变,源MAC地址变为网络设备的MAC地址。为了后续对设备信息的精准识别,我们需要知道详细、准确的设备MAC地址,而这可以通过ARP的response报文中获取。
c.获取MAC地址后,在数据库中查找,是否存在别的设备的MAC地址和IP1对应的MAC地址相同。若存在,则执行步骤d;若不存在,则执行步骤h。
d.相同的地址MAC1所代表设备device_1的是网络设备,进行标注。IP1代表的设备是挂在device_1后的。以此更新网络拓扑结构。
e.将MAC1地址和IEEE的OUI文件(IEEE对MAC地址的分配方式,http://standards-oui.ieee.org/oui.txt)进行比对,获得MAC1对应的网卡厂商netcard_vendor_1。
f.将MAC1对应的网络设备device_1的网卡厂商信息更新为netcard_vendor_1。
g.将网络设备device_1的设备厂商信息更新为netcard_vendor_1。
h.将MAC1地址和IEEE的OUI文件(IEEE对MAC地址的分配方式,http://standards-oui.ieee.org/oui.txt)进行比对,获得MAC1对应的网卡厂商netcard_vendor_2。
i.将MAC1对应的网络设备device_1的网卡厂商信息更新为netcard_vendor_1。
j.判断netcard_vendor_2对应的厂商netcard_vendor_1是否为自动化设备厂商,若是,则执行步骤k,若否,则执行步骤l。
k.更新device_1厂商信息为netcard_vendor_1。
l.IP1对应的设备device_1是否发生过CIP协议的通讯,若是,则执行步骤m。
m.CIP协议通过过程中,device_1是接收指令的一方(代表device_1是PLC、DCS等控制设备,而不是上位机设备)。
n.拿着MAC1这个地址到已搜集好的CIP设备数据库中查找“MAC距离最近”的设备信息,<vendor、product、product number、serial number、MAC、software、release year>。
o.以距离最近的设备信息来推断device_1的设备信息,即将device_1的资产信息更新为步骤n中的<vendor、product、product number、serial number、MAC、software、release year>。
接下来对“已搜集好的CIP设备数据库”和“MAC距离最近”进行说明。
在之前的研究过程中,对CIP设备的信息做了大量搜集,包括从Censys、Shodan、Google和市场信息中进行搜索和整理,建立了初始CIP设备信息库。库的字段格式如下所示:
现有待考察设备(MAC地址为XX:XX:XX:01:23:60),初始数据库中有大量记录,找到“MAC距离最近”的设备如图3所示。
计算待确认资产与每条记录之间的MAC地址距离,找到距离最近的设备。在上图中就是设备X。
若在网络流量中发现CIP协议的设备识别指令信息,则以该指令信息的返回消息来标识该设备信息。
其中,Ethernet/IP协议的ListIdentity指令的交互过程中可能会包含设备的具体信息。
Ethernet/IP连接的发起者可能会使用ListIdentity指令来定位和确认目标。这个指令通过UDP广播发送,且不需要建立连接。
请求指令格式如下:
响应格式:
其中,ListIdentity Item的内容至少要包含CIP的项目内容,内容如下:
Ethernet/IP:EtherNet Industry Protocol。
CIP:Common Industrial Protocol,一种应用在工业自动化的通信协定。
本实施例提供的CIP资产的探测方法,有益效果在于:该方法基于对Ethernet/IP协议的深层次解析,结合CIP协议的报文特征,从而发现当前环境中的CIP资产,便于对PLC、DCS等工控设备的统计和管理,用于针对工控环境做分析和针对性防护。
本实施例还提供了一种CIP资产的探测装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
实施例2
图3是根据本申请实施例的一种CIP资产的探测装置的结构框图,如图3所示,该装置包括:
流量分析模块:用于采集网络流量并进行网络镜像分析获取IP-MAC关系对,并从所述IP-MAC关系对中取预设MAC地址;
MAC地址唯一性查询模块:用于判断所述预设MAC地址在数据库中是否唯一;
网卡厂商信息查询模块:用于若是,则根据所述预设MAC地址查询IEEE的OUI文件得到网卡厂商信息;
网卡厂商判断模块:用于判断所述网卡厂商信息对应的网卡厂商是否为自动化设备厂商;
CIP协议判断模块:用于若否,则判断所述预设MAC地址的所属设备是否发生过CIP协议的通讯;
接收设备判定模块:用于若是,则判定所述预设MAC地址所属设备为接收指令的接收设备;
设备信息查询模块:用于根据所述预设MAC地址在CIP设备数据库查询MAC距离最近的设备信息;
设备信息设定模块:用于将MAC距离最近的设备信息设定为所述接收设备的设备信息。
其中,所述网卡厂商信息查询模块:还用于若否,则判定所述预设MAC地址的所属设备为网络设备,并根据IP地址进行标注;
根据所述预设MAC地址查询IEEE的OUI文件得到网卡厂商信息。
流量分析模块:还用于所述采集网络流量并进行网络镜像分析获取IP-MAC关系对的步骤中,通过DPI技术对报文数据的链路层和网络层进行分析获取IP-MAC关系对。
该装置还包括:
设备厂商信息更新模块:所述判断所述网卡厂商信息对应的网卡厂商是否为自动化设备厂商的步骤后,所述方法还包括:
若所述网卡厂商信息对应的网卡厂商为自动化设备厂商,则对所述预设MAC地址所属设备的厂商信息直接进行更新。
MAC地址更新模块:用于所述采集网络流量并进行网络镜像分析获取IP-MAC关系对,并从所述IP-MAC关系对中取预设MAC地址的步骤后,还包括:
在数据库中查询是否存在ARP的response报文;
若存在,则根据response报文信息对所述预设MAC地址进行更新。
CIP设备标记模块:若在实时采集的网络流量中发现CIP协议的设备识别指令信息,则以该指令信息的返回消息来标识该设备信息。
本实施例中,具体还包括:
Ethernet/IP-CIP入侵监测平台部署:该装置在实际工厂的部署方式,在控制网络中的每个工业交换机位置旁路部署一台Ethernet/IP-CIP监测平台,每个工Ethernet/IP-CIP监测平台通过交换机镜像口复制一份经过该交换机的所有网络流量。由于是旁路部署,且Ethernet/IP-CIP监测平台的审计探针只接收网络流量,不会对工控网络发生任何干扰报文,所以对生产工艺过程不会造成任何影响,如图2所示。
采用DPI的技术对网络流量进行解析,在此我们关注对于CIP协议及背后的资产的分析,主要过程如下:
a.流量镜像获取IP-MAC关系对,如IP1-MAC1,这个步骤通过DPI技术,分析报文的数据链路层和网络层即可得出。
b.若在网络流量中发现ARP的response报文,则根据response中的信息更新IP1的MAC地址。这是因为,正常通过步骤a(网络镜像分析获取IP-MAC关系)中得到的MAC地址,会因为报文经过网络通路上的交换机、路由器等网络设备而改变,源MAC地址变为网络设备的MAC地址。为了后续对设备信息的精准识别,我们需要知道详细、准确的设备MAC地址,而这可以通过ARP的response报文中获取。
c.获取MAC地址后,在数据库中查找,是否存在别的设备的MAC地址和IP1对应的MAC地址相同。若存在,则执行步骤d;若不存在,则执行步骤h。
d.相同的地址MAC1所代表设备device_1的是网络设备,进行标注。IP1代表的设备是挂在device_1后的。以此更新网络拓扑结构。
e.将MAC1地址和IEEE的OUI文件(IEEE对MAC地址的分配方式,http://standards-oui.ieee.org/oui.txt)进行比对,获得MAC1对应的网卡厂商netcard_vendor_1。
f.将MAC1对应的网络设备device_1的网卡厂商信息更新为netcard_vendor_1。
g.将网络设备device_1的设备厂商信息更新为netcard_vendor_1。
h.将MAC1地址和IEEE的OUI文件(IEEE对MAC地址的分配方式,http://standards-oui.ieee.org/oui.txt)进行比对,获得MAC1对应的网卡厂商netcard_vendor_2。
i.将MAC1对应的网络设备device_1的网卡厂商信息更新为netcard_vendor_1。
j.判断netcard_vendor_2对应的厂商netcard_vendor_1是否为自动化设备厂商,若是,则执行步骤k,若否,则执行步骤l。
k.更新device_1厂商信息为netcard_vendor_1。
l.IP1对应的设备device_1是否发生过CIP协议的通讯,若是,则执行步骤m。
m.CIP协议通过过程中,device_1是接收指令的一方(代表device_1是PLC、DCS等控制设备,而不是上位机设备)。
n.拿着MAC1这个地址到已搜集好的CIP设备数据库中查找“MAC距离最近”的设备信息,<vendor、product、product number、serial number、MAC、software、release year>。
o.以距离最近的设备信息来推断device_1的设备信息,即将device_1的资产信息更新为步骤n中的<vendor、product、product number、serial number、MAC、software、release year>。
接下来对“已搜集好的CIP设备数据库”和“MAC距离最近”进行说明。
在之前的研究过程中,对CIP设备的信息做了大量搜集,包括从Censys、Shodan、Google和市场信息中进行搜索和整理,建立了初始CIP设备信息库。库的字段格式如下所示:
现有待考察设备(MAC地址为XX:XX:XX:01:23:60),初始数据库中有大量记录,找到“MAC距离最近”的设备如图3所示。
计算待确认资产与每条记录之间的MAC地址距离,找到距离最近的设备。在上图中就是设备X。
若在网络流量中发现CIP协议的设备识别指令信息,则以该指令信息的返回消息来标识该设备信息。
其中,Ethernet/IP协议的ListIdentity指令的交互过程中可能会包含设备的具体信息。
Ethernet/IP连接的发起者可能会使用ListIdentity指令来定位和确认目标。这个指令通过UDP广播发送,且不需要建立连接。
请求指令格式如下:
响应格式:
其中,ListIdentity Item的内容至少要包含CIP的项目内容,内容如下:
本实施例提供的CIP资产的探测装置,有益效果在于:该装置基于对Ethernet/IP协议的深层次解析,结合CIP协议的报文特征,从而发现当前环境中的CIP资产,便于对PLC、DCS等工控设备的统计和管理,用于针对工控环境做分析和针对性防护。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
另外,结合图1描述的本申请实施例CIP资产的探测方法可以由CIP资产的探测计算机设备来实现。图4为根据本申请实施例的CIP资产的探测计算机设备的硬件结构示意图。
CIP资产的探测计算机设备可以包括处理器81以及存储有计算机程序指令的存储器82。
具体地,上述处理器81可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器82可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器82可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器82可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器82可在数据处理装置的内部或外部。在特定实施例中,存储器82是非易失性(Non-Volatile)存储器。在特定实施例中,存储器82包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(RandomAccess Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory,简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory,简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory,简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-Access Memory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器82可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器82所执行的可能的计算机程序指令。
处理器81通过读取并执行存储器82中存储的计算机程序指令,以实现上述实施例中的任意一种CIP资产的探测方法。
在其中一些实施例中,CIP资产的探测计算机设备还可包括通信接口83和总线80。其中,如图4所示,处理器81、存储器82、通信接口83通过总线80连接并完成相互间的通信。
通信接口83用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信接口83还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线80包括硬件、软件或两者,将CIP资产的探测计算机设备的部件彼此耦接在一起。总线80包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线80可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(Front Side Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(MicroChannel Architecture,简称为MCA)总线、外围组件互连(Peripheral ComponentInterconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SerialAdvanced Technology Attachment,简称为SATA)总线、视频电子标准协会局部(VideoElectronics Standards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线80可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该CIP资产的探测计算机设备可以基于获取到的CIP资产的探测,执行本申请实施例中的CIP资产的探测方法,从而实现结合图1描述的CIP资产的探测方法。
另外,结合上述实施例中的CIP资产的探测方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种CIP资产的探测方法。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种CIP资产的探测方法,其特征在于,包括以下步骤:
采集网络流量并进行网络镜像分析获取IP-MAC关系对,并从所述IP-MAC关系对中取预设MAC地址;
判断所述预设MAC地址在数据库中是否唯一;
在判断到所述预设MAC地址在数据库中唯一的情况下,则根据所述预设MAC地址查询IEEE的OUI文件得到网卡厂商信息;
判断所述网卡厂商信息对应的网卡厂商是否为自动化设备厂商;
在判断到所述网卡厂商信息对应的网卡厂商不为自动化设备厂商的情况下,则判断所述预设MAC地址的所属设备是否发生过CIP协议的通讯;
在判断到述预设MAC地址的所属设备发生过CIP协议的通讯的情况下,则判定所述预设MAC地址所属设备为接收指令的接收设备;
根据所述预设MAC地址在CIP设备数据库查询MAC距离最近的设备信息;
将MAC距离最近的设备信息设定为所述接收设备的设备信息。
2.根据权利要求1所述的CIP资产的探测方法,其特征在于,所述判断所述预设MAC地址在数据库中是否唯一后,所述方法还包括:
在判断到所述预设MAC地址在数据库中不唯一的情况下,则判定所述预设MAC地址的所属设备为网络设备,并根据IP地址进行标注;
根据所述预设MAC地址查询IEEE的OUI文件得到网卡厂商信息。
3.根据权利要求1所述的CIP资产的探测方法,其特征在于,所述判断所述网卡厂商信息对应的网卡厂商是否为自动化设备厂商的步骤后,所述方法还包括:
若所述网卡厂商信息对应的网卡厂商为自动化设备厂商,则对所述预设MAC地址所属设备的厂商信息直接进行更新。
4.根据权利要求1所述的CIP资产的探测方法,其特征在于,所述采集网络流量并进行网络镜像分析获取IP-MAC关系对的步骤中,通过DPI技术对报文数据的链路层和网络层进行分析获取IP-MAC关系对。
5.根据权利要求1所述的CIP资产的探测方法,其特征在于,所述采集网络流量并进行网络镜像分析获取IP-MAC关系对,并从所述IP-MAC关系对中取预设MAC地址的步骤后,所述方法还包括:
在数据库中查询是否存在ARP的response报文;
若是,则根据response报文信息对所述预设MAC地址进行更新。
6.根据权利要求1所述的CIP资产的探测方法,其特征在于,若在实时采集的网络流量中发现CIP协议的设备识别指令信息,则以该指令信息的返回消息来标识该设备信息。
7.一种CIP资产的探测装置,其特征在于,包括:
流量分析模块:用于采集网络流量并进行网络镜像分析获取IP-MAC关系对,并从所述IP-MAC关系对中取预设MAC地址;
MAC地址唯一性查询模块:用于判断所述预设MAC地址在数据库中是否唯一;
网卡厂商信息查询模块:用于在判断到所述预设MAC地址在数据库中唯一的情况下,则根据所述预设MAC地址查询IEEE的OUI文件得到网卡厂商信息;
网卡厂商判断模块:用于判断所述网卡厂商信息对应的网卡厂商是否为自动化设备厂商;
CIP协议判断模块:用于在判断到所述网卡厂商信息对应的网卡厂商不为自动化设备厂商的情况下,则判断所述预设MAC地址的所属设备是否发生过CIP协议的通讯;
接收设备判定模块:用于在判断到述预设MAC地址的所属设备发生过CIP协议的通讯的情况下,则判定所述预设MAC地址所属设备为接收指令的接收设备;
设备信息查询模块:用于根据所述预设MAC地址在CIP设备数据库查询MAC距离最近的设备信息;
设备信息设定模块:用于将MAC距离最近的设备信息设定为所述接收设备的设备信息。
8.根据权利要求7所述的CIP资产的探测装置,其特征在于,所述MAC地址唯一性查询模块:还用于若所述预设MAC地址在数据库中唯一,则判定所述预设MAC地址的所属设备为网络设备,并根据IP地址进行标注;
根据所述预设MAC地址查询IEEE的OUI文件得到网卡厂商信息。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6中任一项所述的CIP资产的探测方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至6中任一项所述的CIP资产的探测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011337951.XA CN112468364B (zh) | 2020-11-25 | 2020-11-25 | Cip资产的探测方法、装置、计算机设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011337951.XA CN112468364B (zh) | 2020-11-25 | 2020-11-25 | Cip资产的探测方法、装置、计算机设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112468364A CN112468364A (zh) | 2021-03-09 |
| CN112468364B true CN112468364B (zh) | 2022-02-22 |
Family
ID=74798949
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011337951.XA Active CN112468364B (zh) | 2020-11-25 | 2020-11-25 | Cip资产的探测方法、装置、计算机设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112468364B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113162828B (zh) * | 2021-05-19 | 2023-04-07 | 中国工商银行股份有限公司 | 网络设备厂商信息异常检测方法及装置 |
| CN113406910A (zh) * | 2021-06-29 | 2021-09-17 | 辽宁晨晖智慧能源有限公司 | 一种供电用的控制系统、平台及方法 |
| CN114189348A (zh) * | 2021-10-18 | 2022-03-15 | 中国电子科技网络信息安全有限公司 | 一种适用于工控网络环境的资产识别方法 |
| CN114390118B (zh) * | 2021-12-28 | 2023-11-07 | 绿盟科技集团股份有限公司 | 一种工控资产识别方法、装置、电子设备及存储介质 |
| CN113992451B (zh) * | 2021-12-29 | 2022-04-22 | 北京微步在线科技有限公司 | 一种资产数据处理方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103414596A (zh) * | 2013-08-28 | 2013-11-27 | 上海斐讯数据通信技术有限公司 | 基于简单管理网络协议识别所有厂商Trap及处理的方法 |
| EP3190472A2 (en) * | 2016-01-08 | 2017-07-12 | Rockwell Automation Technologies, Inc. | System for analyzing an industrial control network |
| CN110008713A (zh) * | 2019-05-06 | 2019-07-12 | 杭州齐安科技有限公司 | 一种新型工控系统漏洞探测方法及系统 |
| CN111523782A (zh) * | 2020-04-14 | 2020-08-11 | 杭州迪普科技股份有限公司 | 工控资产管理方法、装置、设备及存储介质 |
| CN111709009A (zh) * | 2020-06-17 | 2020-09-25 | 杭州安恒信息技术股份有限公司 | 联网工业控制系统的探测方法、装置、计算机设备和介质 |
-
2020
- 2020-11-25 CN CN202011337951.XA patent/CN112468364B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103414596A (zh) * | 2013-08-28 | 2013-11-27 | 上海斐讯数据通信技术有限公司 | 基于简单管理网络协议识别所有厂商Trap及处理的方法 |
| EP3190472A2 (en) * | 2016-01-08 | 2017-07-12 | Rockwell Automation Technologies, Inc. | System for analyzing an industrial control network |
| CN110008713A (zh) * | 2019-05-06 | 2019-07-12 | 杭州齐安科技有限公司 | 一种新型工控系统漏洞探测方法及系统 |
| CN111523782A (zh) * | 2020-04-14 | 2020-08-11 | 杭州迪普科技股份有限公司 | 工控资产管理方法、装置、设备及存储介质 |
| CN111709009A (zh) * | 2020-06-17 | 2020-09-25 | 杭州安恒信息技术股份有限公司 | 联网工业控制系统的探测方法、装置、计算机设备和介质 |
Non-Patent Citations (1)
| Title |
|---|
| 联网工业控制系统主动感知预警技术研究;马强等;《信息技术与网络安全》;20180110(第01期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112468364A (zh) | 2021-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112468364B (zh) | Cip资产的探测方法、装置、计算机设备及可读存储介质 | |
| CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| US8904524B1 (en) | Detection of fast flux networks | |
| CN111212053B (zh) | 一种面向工控蜜罐的同源攻击分析方法 | |
| US20100212013A1 (en) | Log-based traceback system and method using centroid decomposition technique | |
| CN111709009A (zh) | 联网工业控制系统的探测方法、装置、计算机设备和介质 | |
| US11178114B2 (en) | Data processing method, device, and system | |
| JP2013545196A (ja) | 通信ネットワークのノードで動作するオペレーティングシステムをフィンガープリント処理する方法及びシステム | |
| CN112202609A (zh) | 一种工控资产探测方法、装置、电子设备及存储介质 | |
| CN111585989A (zh) | 联网工控设备的漏洞检测方法、装置和计算机设备 | |
| US8943195B2 (en) | Node detection apparatus, node detection method and computer readable medium | |
| CN112632064A (zh) | 一种基于handle系统的区块链增强方法及系统 | |
| US11546356B2 (en) | Threat information extraction apparatus and threat information extraction system | |
| CN111953810B (zh) | 识别代理互联网协议地址的方法、装置及存储介质 | |
| US9847927B2 (en) | Information processing device, method, and medium | |
| CN111970262B (zh) | 网站的第三方服务启用状态的检测方法、装置和电子装置 | |
| CN112087532B (zh) | 信息获取方法、装置、设备及存储介质 | |
| CN111368595A (zh) | 一种识别设备指纹的系统 | |
| CN111010362B (zh) | 一种异常主机的监控方法及装置 | |
| JP2000124952A (ja) | 電子データの追跡方法及びシステム、記録媒体 | |
| JP3892322B2 (ja) | 不正アクセス経路解析システム及び不正アクセス経路解析方法 | |
| CN112688899A (zh) | 云内安全威胁检测方法、装置、计算设备及存储介质 | |
| CN113595812B (zh) | 一种客户端识别方法、装置、存储介质及网络设备 | |
| CN115065592A (zh) | 信息处理方法、装置及存储介质 | |
| CN110661799B (zh) | 一种arp欺骗行为的检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |