CN112787875A

CN112787875A - 设备识别方法、装置及设备、存储介质

Info

Publication number: CN112787875A
Application number: CN201911078290.0A
Authority: CN
Inventors: 刘松; 王滨; 万里
Original assignee: Hangzhou Hikvision Digital Technology Co Ltd
Current assignee: Hangzhou Hikvision Digital Technology Co Ltd
Priority date: 2019-11-06
Filing date: 2019-11-06
Publication date: 2021-05-11
Anticipated expiration: 2039-11-06
Also published as: CN112787875B

Abstract

本发明提供一种设备识别方法、装置及设备、存储介质，可提升识别效率。该方法应用于电子设备，包括：向目标设备发送已设置的至少一个探测数据包，不同的探测数据包对应不同的应用层协议；接收所述目标设备返回的探测响应数据包，其中，所述探测响应数据包是所述目标设备在所述探测数据包对应的应用层协议与所述目标设备应用的应用层协议相同时返回的；依据所述探测响应数据包确定所述目标设备应用的目标应用层协议；确定所述目标应用层协议对应的数据提取规则；依据所述数据提取规则从所述探测响应数据包中识别所述目标设备的属性信息。

Description

设备识别方法、装置及设备、存储介质

技术领域

本发明涉及安全技术领域，尤其涉及的是一种设备识别方法、装置及设备、存储介质。

背景技术

工业互联网是新一代信息通信技术与现代工业技术深度融合的产物，是制造业数字化、网络化、智能化的重要载体，也是全球新议论产业竞争的制高点。伴随着工业互联网智能化、网络化和集成化的进程，越来越多的工业互联网设备接入到了网络中，越来越多的工业互联网设备暴露在互联网上，极易带来更多的安全风险隐患。若能够及时发现网络中工业互联网设备，及时掌握工业互联网设备分布情况，对于保护工业互联网设备安全乃至工业互联网络安全至关重要。

相关设备识别的方式中，需要预先设置一个设备指纹库。设备指纹库中包含很多种设备的设备指纹。同时，还需要针对设备指纹库中每一设备指纹设置对应的探测数据包。在对目标设备识别时，将已设置的每一设备指纹设置对应的探测数据包发送给目标设备，当接收到目标设备返回的响应数据包时，将目标设备返回的响应数据包与设备指纹库中设备指纹做模糊匹配或精确匹配，以识别设备。

在应用中，每一个设备都有至少一个设备指纹。应用于上述设备识别的方式中，则设备指纹库中的设备指纹数量就很庞大，同样，探测数据包的数量也会很庞大，这使得在识别一个目标设备时会传输大量探测数据包，浪费网络传输资源，也降低设备识别效率。

发明内容

有鉴于此，本发明提供一种设备识别方法、装置及设备、存储介质，可提升识别效率。

本发明第一方面提供一种设备识别方法，该方法应用于电子设备，包括：

向目标设备发送已设置的至少一个探测数据包，不同的探测数据包对应不同的应用层协议；

接收所述目标设备返回的探测响应数据包，其中，所述探测响应数据包是所述目标设备在所述探测数据包对应的应用层协议与所述目标设备应用的应用层协议相同时返回的；

依据所述探测响应数据包确定所述目标设备应用的目标应用层协议；

确定所述目标应用层协议对应的数据提取规则；

依据所述数据提取规则从所述探测响应数据包中识别所述目标设备的属性信息。

根据本发明的一个实施例，向目标设备发送已设置的至少一个探测数据包，包括：

触发已构建的指纹插件化识别框架中的至少一个指纹插件，以利用被触发的指纹插件发送该指纹插件对应的探测数据包；所述指纹插件包括：所述指纹插件支持的应用层协议的指纹信息；

其中，所述指纹插件发送的探测数据包至少包括传输层协议类型和目的端口，所述传输层协议类型为所述指纹插件支持的应用层协议所支持的传输层上的协议类型，所述目的端口为所述应用层协议开放的传输层协议端口。

根据本发明的一个实施例，依据所述探测响应数据包确定所述目标设备应用的目标应用层协议，包括：

针对每一探测数据包对应的应用层协议验证标识，检查所述探测响应数据包中是否存在与该应用层协议验证标识匹配的数据；

若存在，则确定该探测数据包对应的应用层协议为目标应用层协议。

根据本发明的一个实施例，确定所述目标应用层协议对应的数据提取规则，包括：

在已构建的指纹插件化识别框架中查找所述目标应用层协议对应的目标指纹插件；所述目标指纹插件包括：所述目标指纹插件支持的应用层协议的目标指纹信息；所述目标指纹信息至少包括：数据提取规则；

从所述目标指纹插件中获取所述数据提取规则。

根据本发明的一个实施例，

所述依据所述数据提取规则从所述探测响应数据包中识别所述目标设备的属性信息包括：

依据所述数据提取规则从所述探测响应数据包中提取出设备属性值集合；

针对所述设备属性值集合中每一设备属性值，识别该设备属性值所属的属性；

将设备属性值、该设备属性值所属的属性确定为所述目标设备的属性信息。

根据本发明的一个实施例，

所述针对所述设备属性值集合中每一设备属性值，识别该设备属性值所属的属性包括：

针对所述设备属性值集合中每一设备属性值，在本地已设置的属性库中查找该设备属性值，如果查找到，将所述属性库中与该设备属性值对应的属性确定为该设备属性值所属的属性。

根据本发明的一个实施例，

针对所述设备属性值集合中每一设备属性值，识别该设备属性值中是否存在设定的属性字符串，如果是，确定该设备属性值所属的属性为所述属性字符串对应的属性。

本发明第二方面提供一种设备识别装置，该装置应用于电子设备，包括：

数据包发送模块，用于向目标设备发送已设置的至少一个探测数据包，不同的探测数据包对应不同的应用层协议；

数据包接收模块，用于接收所述目标设备返回的探测响应数据包，其中，所述探测响应数据包是所述目标设备在所述探测数据包对应的应用层协议与所述目标设备应用的应用层协议相同时返回的；

协议确定模块，用于依据所述探测响应数据包确定所述目标设备应用的目标应用层协议；

规则确定模块，用于确定所述目标应用层协议对应的数据提取规则；

属性信息识别模块，用于依据所述数据提取规则从所述探测响应数据包中识别所述目标设备的属性信息。

根据本发明的一个实施例，数据包发送模块向目标设备发送已设置的至少一个探测数据包时，具体用于：

根据本发明的一个实施例，协议确定模块依据所述探测响应数据包确定所述目标设备应用的目标应用层协议时，具体用于：

根据本发明的一个实施例，规则确定模块确定所述目标应用层协议对应的数据提取规则时，具体用于：

从所述目标指纹插件中获取所述数据提取规则。

根据本发明的一个实施例，

所述属性信息识别模块依据所述数据提取规则从所述探测响应数据包中识别所述目标设备的属性信息时，具体用于：

根据本发明的一个实施例，

所述属性信息识别模块针对所述设备属性值集合中每一设备属性值，识别该设备属性值所属的属性时，具体用于：

根据本发明的一个实施例，

本发明第三方面提供一种电子设备，包括处理器及存储器；所述存储器存储有可被处理器调用的程序；其中，所述处理器执行所述程序时，实现如前述实施例所述的设备识别方法。

本发明第四方面提供一种机器可读存储介质，其上存储有程序，该程序被处理器执行时，实现如前述实施例所述的设备识别方法。

本发明实施例具有以下有益效果：

本发明实施例中，可以在电子设备中为应用层协议设置对应的探测数据包，而不是为设备的设备指纹设置对应探测数据包，应用层协议的数量相比于互联网中设备的数量少很多，所以需要准备的探测数据包的数量可以大大减少，在对目标设备进行识别时，只需发送每一应用层协议对应的探测数据包即可，目标设备仅会在应用的应用层协议与探测数据包对应的应用层协议相同时，返回探测响应数据包，所以电子设备可以根据探测响应数据包来确定目标设备应用的目标应用层协议，从而根据目标应用层协议对应的数据提取规则识别目标设备的属性信息，整个识别过程中，大大减少了数据包的传输量，节省网络传输资源，也提升了设备识别效率。

附图说明

图1是本发明一实施例的设备识别方法的流程示意图；

图2是本发明一实施例的设备识别装置的结构框图；

图3是本发明一实施例的探测响应数据包的示意图；

图4是本发明一实施例的电子设备的结构框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。

在本发明使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本发明可能采用术语第一、第二、第三等来描述各种器件，但这些信息不应限于这些术语。这些术语仅用来将同一类型的器件彼此区分开。例如，在不脱离本发明范围的情况下，第一器件也可以被称为第二器件，类似地，第二器件也可以被称为第一器件。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

为了使得本发明实施例的描述更清楚简洁，下面对其中的一些技术术语进行一下解释。

工业互联网：工业互联网的本质和核心是通过工业互联网平台把设备、生产线、工厂、供应商、产品和客户紧密地连接融合起来。可以帮助制造业拉长产业链，形成跨设备、跨系统、跨厂区、跨地区的互联互通，从而提高效率，推动整个制造服务体系智能化。

OSI：Open System Interconnection的缩写，意为开放式系统互联。国际标准化组织(ISO)制定了OSI模型，该模型定义了不同计算机互联的标准，是设计和描述计算机网络通信的基本框架。OSI模型把网络通信的工作分为7层，分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。

TCP：Transmission Control Protocol，传输控制协议，一种面向连接的、可靠的、基于字节流的传输层协议。

UDP：User Datagram Protocol，用户数据报协议，一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。

MODBUS：一种串行应用层协议，MODBUS已经成为工业领域应用层协议的业界标准，是目前工业电子设备之间常用的连接方式。

BACNET：用于智能建筑的应用层协议，是国际标准化组织(ISO)、美国国家标准协会(ANSI)及美国采暖、制冷与空调工程师学会(ASHRAE)定义的应用层协议。

下面对本发明实施例的设备识别方法进行更具体的描述，但不应以此为限。

在一个实施例中，参看图1，一种设备识别方法，应用于电子设备，该方法包括以下步骤：

S100：向目标设备发送已设置的至少一个探测数据包，不同的探测数据包对应不同的应用层协议；

S200：接收所述目标设备返回的探测响应数据包，其中，所述探测响应数据包是所述目标设备在所述探测数据包对应的应用层协议与所述目标设备应用的应用层协议相同时返回的；

S300：依据所述探测响应数据包确定所述目标设备应用的目标应用层协议；

S400：确定所述目标应用层协议对应的数据提取规则；

S500：依据所述数据提取规则从所述探测响应数据包中识别所述目标设备的属性信息。

本发明实施例的设备识别方法的执行主体为电子设备，电子设备可以是计算机设备或者嵌入式设备，具体类型不限。电子设备可以连接在互联网中，可以对互联网中待识别的目标设备进行交互，以识别目标设备。互联网优选为工业互联网(IndustrialInternet)，当然具体不限于此。

步骤S100中，向目标设备发送已设置的至少一个探测数据包，不同的探测数据包对应不同的应用层协议。

目标设备可以是互联网中任一待识别的设备。电子设备与目标设备之间可以通过互联网进行通信，比如，电子设备通过互联网向目标设备发送数据包等。

可以预先在电子设备中设置至少一个(优选是多个)探测数据包，不同应用层协议对应的探测数据包不同。应用层协议的类型可以为工业控制应用层协议，包括：工业控制公开协议、工业控制私有协议、视频监控控制公开协议、视频监控控制私有协议、物联网设备控制协议等。具体的，应用层协议可以包括MODBUS、BACNET、SIEMENS S7(一种以太网通讯协议)等。当然，此处仅是应用层协议的几个例子，实际还可以有其他应用层协议。

可以为互联网中每一种被设备应用的应用层协议设置探测数据包。比如，如果互联网中所有设备采用的应用层协议有100种，为每种应用层协议设置一个探测数据包，这样电子设备中就需设置100个探测数据包。或者，也可以从互联网中各设备采用的所有应用层协议中选择几种，为选择的每一应用层协议设置探测数据包。当然，也可以为感兴趣的应用层协议设置相应的探测数据包，具体不限于此。

电子设备可以将已设置的所有探测数据包均发送给目标设备，目标设备可以接收电子设备发送的探测数据包。当然，如果某个探测数据包的传输层协议类型与电子设备不符、或者到达不了目标设备的传输层协议端口，目标设备也有可能收不到该探测数据包。探测数据包用于探测目标设备的属性信息。

步骤S200中，接收所述目标设备返回的探测响应数据包，其中，所述探测响应数据包是所述目标设备在所述探测数据包对应的应用层协议与所述目标设备应用的应用层协议相同时返回的。

目标设备可以根据探测数据包确定出该探测数据包对应的应用层协议。比如，探测数据包中可以携带有对应应用层协议的特有信息，目标设备可以根据探测数据包中携带的特有信息来确定对应的应用层协议；或者，探测数据包的数据格式是应用层协议规定的格式，目标设备可以根据探测数据包的数据格式来确定对应的应用层协议。上述方式仅是举例，具体不限于此。

目标设备可以检查探测数据包对应的应用层协议是否与其应用的应用层协议相同，在目标设备应用的应用层协议与探测数据包对应的应用层协议相同的情况下，目标设备返回探测响应数据包，该探测响应数据包中会携带有目标设备的属性信息。

比如，电子设备向目标设备发送了100种应用层协议对应的探测数据包，其中有MODBUS、BACNET、SIEMENS S7等对应的探测数据包，目标设备采用的应用层协议为MODBUS，那么目标设备只会针对MODBUS对应的探测数据包进行响应，返回MODBUS对应的探测响应数据包。

由于目标设备仅会在应用的应用层协议与探测数据包对应的应用层协议相同时，才可以对探测数据包做出响应，发送携带有目标设备的属性信息的探测响应数据包给电子设备。

所以电子设备只会接收到目标设备针对目标设备应用的应用层协议对应的探测数据包返回的探测响应数据包。比如，目标设备应用的应用层协议为MODBUS，那么电子设备会接收到MODBUS对应的探测响应数据包。

步骤S300中，依据所述探测响应数据包确定所述目标设备应用的目标应用层协议。

由于电子设备发送了多种应用层协议对应的探测数据包给目标设备，而目标设备仅针对目标设备应用的应用层协议对应的探测数据包返回探测响应数据包，所以电子设备可以依据探测响应数据包确定目标设备应用的目标应用层协议。

为了保证识别效率，各应用层协议对应的探测数据包可同时发送给目标设备，或者探测数据包的发送时间间隔很短。这种情况下，在收到目标设备的探测响应数据包时，无法直接确定该探测响应数据包是目标设备对哪一个探测数据包做出的响应，即无法直接确定目标设备应用的应用层协议，需要通过对探测响应数据包进行分析来确定。

与探测数据包同理的，探测响应数据包也可以携带有应用层协议的特有信息，电子设备可以根据探测响应数据包中携带的特有信息来确定目标设备应用的目标应用层协议；或者，可以根据探测数据包的数据格式来确定目标设备应用的目标应用层协议。上述方式仅是举例，具体不限于此。

当然，在牺牲一定识别效率的情况下，可以每发送一个探测数据包给目标设备，等待目标设备做出响应，如果收到目标设备返回的探测响应数据包，则可以直接确定发送的探测数据包对应的应用层协议为目标设备应用的目标应用层协议，如果等待超时，则说明发送的探测数据包对应的应用层协议不是目标设备应用的目标应用层协议，继续发送一下探测数据包给目标设备。

步骤S400中，确定所述目标应用层协议对应的数据提取规则。

电子设备中可以预先设置有各应用层协议对应的数据提取规则。不同应用层协议对应的探测响应数据包中，与属性信息相关数据的格式可能会有所不同(当然也不排除相同的情况)，因而需要为不同应用层协议设置对应的数据提取规则，保证可以基于数据提取规则准确识别出对应探测响应数据包中的属性信息。

或者，可以接收外部输入的数据提取规则，作为目标应用层协议对应的数据提取规则。数据提取规则的确定方式具体不限。

步骤S500中，依据所述数据提取规则从所述探测响应数据包中识别所述目标设备的属性信息。

目标设备的属性可以包括：设备品牌、设备类型、设备型号、设备序列号、设备CPU信息等，探测响应数据包中可以携带有上述任一种或几种属性的相关信息。当然具体属性不限于此，还可以包括其他属性，比如设备安装的固件版本等。

依据所述数据提取规则可以从所述探测响应数据包中提取出与属性相关的信息，可以将提取出的信息确定为目标设备的属性信息，或者对提取出的信息进一步进行处理，以得到目标设备的属性信息。

比如，数据提取规则用于提取设备序列号，那么，可以将从目标设备中提取出的信息确定为目标设备的设备序列号。当然，此处仅是举例，实际当然还可以有目标设备的其他属性信息。

相关方式中，需要将设备指纹库中每一设备指纹对应的探测数据包发给目标设备，由于设备指纹是属于设备的，每一个设备都有至少一个设备指纹，所以在对目标设备识别时，需要发送大量的探测数据包给目标设备，浪费网络传输资源，也降低设备识别效率。

此外，本发明实施例中，无需设置设备指纹库，省去了大批量设备指纹的收集工作，可以节约收集工作的成本与时间。

在一个实施例中，上述方法流程可由设备识别装置执行，如图2所示，设备识别装置100可以包含5个模块：数据包发送模块101、数据包接收模块102、协议确定模块103、规则确定模块104和属性信息识别模块105。数据包发送模块101用于执行上述步骤S100，数据包接收模块102用于执行上述步骤S200，协议确定模块103用于执行上述步骤S300，规则确定模块104用于执行上述步骤S400，属性信息识别模块105用于执行上述步骤S500。

在一个实施例中，步骤S100中，向目标设备发送已设置的至少一个探测数据包，包括：

指纹插件化识别框架可以用于生成指纹插件，用户只需将应用层协议的指纹信息输入到指纹插件化识别框架即可生成相应的指纹插件，生成的指纹插件中包含输入的指纹信息。

可以根据需要在指纹插件化识别框架添加新的指纹插件。比如，在新引入一种应用层协议时，可以在指纹插件化识别框架中输入新引入的应用层协议的指纹信息，从而生成包含该指纹信息的新指纹插件。

将指纹信息插件化，每一个指纹信息作为一个插件设置在电子设备中。只要输入指纹信息，就可以在纹插件化识别框架中添加包含该指纹信息的指纹插件，可以实现指纹信息的快速添加。

一个应用层协议的指纹信息可以包括：应用层协议对应的探测数据包、应用层协议对应的数据提取规则、应用层协议开放的传输层协议端口、应用层协议对应的传输层协议类型、及应用层协议对应的应用层协议验证标识。当然，指纹信息还可以包括其他信息，比如应用层协议的名称；或者在实际使用时，可以根据需要对上述指纹信息中的内容进行取舍。

探测数据包可以用于探测目标设备的属性信息。将探测数据包发送给目标设备后，在目标设备应用的应用层协议与探测数据包对应的应用层协议相同时，目标设备会返回携带有目标设备的属性信息的探测响应数据包。

传输层协议类型指的是应用层协议所支持的OSI七层模型中传输层上的协议类型，具体可以为：TCP和/或，UDP。

相应的，传输层协议端口可以为TCP、和/或UDP端口。

应用层协议验证标识用于识别探测响应数据包的应用层协议。依据应用层协议验证标识可以从探测响应数据包中确定出目标设备应用的目标应用层协议。

数据提取规则用于从探测响应数据包中提取目标设备的属性信息。

不同指纹信息中的探测数据包、数据提取规则、传输层协议端口、传输层协议类型、及应用层协议验证标识会有所不同，具体可以根据应用层协议而定。

例如，添加一个MODBUS协议的指纹插件，需要提供的指纹信息为：(MODBUS，UDP，502，'\x0e\x01\00'，'^\x2b'，'^--.*(？＝:).*')。其中，该指纹插件中包含的应用层协议名称为MODBUS，该应用层协议所支持的传输层上的协议类型是UDP，该应用层协议开放的UDP端口是502，该应用层协议对应的探测数据包是'\x0e\x01\00'，其验证标识是'^\x2b'，其提取规则是'^--.*(？＝:).*'。

本发明实施例中，指纹信息是应用层协议的，与设备无关，而应用层协议相比于设备来说数量少了很多，因此，所需的指纹信息大大减少，也无需收集大批量设备的指纹，可以减少生成指纹信息所需的成本与时间。而且，指纹信息也不需要通过与设备进行数据包交互、再通过人工从数据包中提取特征字符串的方式来获取，获取方式更方便。

电子设备在对目标设备进行识别时，可以触发指纹插件化识别框架中已生成的每一指纹插件，以利用被触发的指纹插件发送该指纹插件对应的探测数据包，从而可以向目标设备发送每一应用层协议对应的探测数据包。

探测数据包至少包括传输层协议类型和目的端口，所述传输层协议类型为所述指纹插件支持的应用层协议所支持的传输层上的协议类型，所述目的端口为所述应用层协议开放的传输层协议端口。所以，根据相应的传输层协议，探测数据包可以到达目标设备的传输层协议端口。目标设备可以通过其传输层协议端口接收到探测数据包。

一个应用层协议对应的传输层协议类型与开放的传输层协议端口是对应的，比如，传输层协议类型为TCP，则开放的传输层协议端口为TCP端口；传输层协议类型为UDP，则开放的传输层协议端口为UDP端口。

本实施例中，不同应用层协议开放的传输层协议端口可以不同，比如一些应用层协议开放的传输层协议端口为TCP端口，另一些应用层协议开放的传输层协议端口为UDP端口，当然，有些应用层协议也可以同时开放TCP和UDP两个传输层协议端口具体可以根据应用层协议而定的，应用层协议会约定开放哪个传输层协议端口。

如此，无论目标设备是开放了TCP端口，还是开放了UDP端口，都可以从应用层协议端口收到探测数据包，从而可返回探测响应数据包给电子设备进行设备识别。

因此，本实施例中，可以识别互联网中开放了TCP端口设备与开放UDP端口的设备，不会进局限于开放某一种UDP端口的设备，应用范围更广。

在一个实施例中，步骤S300中，依据所述探测响应数据包确定所述目标设备应用的目标应用层协议，包括以下步骤：

S301：针对每一探测数据包对应的应用层协议验证标识，检查所述探测响应数据包中是否存在与该应用层协议验证标识匹配的数据；

S302：若存在，则确定该探测数据包对应的应用层协议为目标应用层协议。

在设置每一应用层协议对应的探测数据包时，可以同时设置该探测数据包对应的应用层协议验证标识。探测数据包和应用层协议验证标识可以作为对应应用层协议的指纹信息的一部分。

应用层协议验证标识可以根据对应的应用层协议而定。比如，应用层协议为MODBUS，采用MODBUS封装的数据包是以'x2b'这一字符串开始的，对应的应用层协议标识可以为'^\x2b'；应用层协议为Ethernet/IP，采用Ethernet/IP封装的数据包是以'\x63\x00'这一字符串开始的，对应的应用层协议标识为'^\x63\x00'。

可以遍历每一探测数据包对应的应用层协议验证标识，检查收到的探测响应数据包中是否存在与该应用层协议验证标识匹配的数据，如果存在，说明该探测响应数据包是依据该探测数据包对应的应用层协议封装的，将该应用层协议确定为目标设备应用的目标应用层协议。

具体的，以应用层协议为MODBUS为例，对应的应用层协议标识可以为'^\x2b'，检查收到的探测响应数据包中是否存在与'^\x2b'匹配的数据时，可以检查探测响应数据包头部是否以'\x2b'这一字符串开始，比如，探测响应数据包为'\x20\x00\x00\x00\x44\x48\x49......'时，该探测响应数据包就是以'\x2b'这一字符串开始，所以可确定探测响应数据包中存在与'^\x2b'匹配的数据。

当然，上述依据所述探测响应数据包确定所述目标设备应用的目标应用层协议仅是优选方式。实际还可以采用其他方式，比如，可以从探测响应数据包中提取出用于指示目标设备应用的应用层协议的数据，根据提取出的数据确定匹配的目标应用层协议。

在一个实施例中，步骤S400中，确定所述目标应用层协议对应的数据提取规则，包括：

S401：在已构建的指纹插件化识别框架中查找所述目标应用层协议对应的目标指纹插件；所述目标指纹插件包括：所述目标指纹插件支持的应用层协议的目标指纹信息；所述目标指纹信息至少包括：数据提取规则；

S402：从所述目标指纹插件中获取所述数据提取规则。

可以根据目标应用层协议的名称在已构建的指纹插件化识别框架中查找所述目标应用层协议对应的目标指纹插件，比如，查找包含目标应用层协议的名称的指纹插件作为目标指纹插件。

在查找到目标指纹插件的情况下，从目标指纹插件中获取所述数据提取规则，该数据提取规则用于从探测响应数据包中识别目标设备的属性信息。

不同应用层协议对应的数据提取规则不同，具体可以根据应用层协议而定。以目标应用层协议为Ethernet/IP为例，参看图3，目标设备按照Ethernet/IP规定返回的探测响应数据包中，呈现属性与属性值的格式为“属性：属性值”，所以，可以将对应的数据提取规则设置为'…(？:)…'，以从探测响应数据包中提取“：”之后的数据，当然此处仅是举例，并不作为限制。

在一个实施例中，步骤S500中，所述依据所述数据提取规则从所述探测响应数据包中识别所述目标设备的属性信息包括：

S501：依据所述数据提取规则从所述探测响应数据包中提取出设备属性值集合；

S502：针对所述设备属性值集合中每一设备属性值，识别该设备属性值所属的属性；

S503：将设备属性值、该设备属性值所属的属性确定为所述目标设备的属性信息。

本实施例中，依据数据提取规则从探测响应数据包中提取出设备属性值集合，但是，还不能确定设备属性值集合中的各设备属性值分别属于设备的什么属性。比如，提取出了设备品牌和设备类型这两个属性的设备属性值之后，电子设备还不能确定这两个设备属性值中哪个属于设备品牌，哪个属于设备类型。

因此，针对设备属性值集合中每一设备属性值，识别该设备属性值所属的属性。从而，确定设备属性值集合中每一设备属性值所属的属性。

不同的设备属性值具有不同的特征，所以可以根据设备属性值的特征来进行识别。比如，设备序列号中会带有比如“0x”这样的字符串，设备CPU信息中会带有比如“CPU”这样的字符串，可以根据这些特征来确定设备属性值所属的属性。当然，具体方式不限，比如还可以根据外部输入的指令来确定等。

将设备属性值、该设备属性值所属的属性确定为目标设备的属性信息。比如，识别出目标设备的设备品牌为D1，则将设备品牌与D1确定为目标设备的属性信息。其他设备属性值与所属的属性也是类似，在此不再赘述。

步骤S502中，针对所述设备属性值集合中每一设备属性值，识别该设备属性值所属的属性，方式可以有以下两种：

第一种：针对所述设备属性值集合中每一设备属性值，在本地已设置的属性库中查找该设备属性值，如果查找到，将所述属性库中与该设备属性值对应的属性确定为该设备属性值所属的属性。

本地已设置的属性库中可以包含多种属性对应的设备属性值，比如，可以设置有设备品牌、设备类型、设备型号、设备序列号、设备CPU信息这些属性对应的所有设备属性值，具体不做限制。

针对设备属性值集合中每一设备属性值，在属性库中查找该设备属性值，由于不知道该设备属性值所属的属性，所以可以遍历属性库中每一设备属性值，判断遍历到的设备属性值是否与该设备属性值一致，如果是，说明在属性库中查找到了该设备属性值，将属性库中与该设备属性值对应的属性确定为该设备属性值所属的属性。

以设备属性值为CJ2M-CPU33为例，假设在属性库中查找到了该CJ2M-CPU33，并且该CJ2M-CPU33对应的属性为设备CPU信息，则确定设备CPU信息为该CJ2M-CPU33所属的属性，其他设备属性值也是类似，在此不再赘述。

第二种：针对所述设备属性值集合中每一设备属性值，识别该设备属性值中是否存在设定的属性字符串，如果是，确定该设备属性值所属的属性为所述属性字符串对应的属性。

可以预先设置好各属性对应的属性字符串，比如，设备序列号对应的属性字符串可以为“0x”，设备CPU信息对应的属性字符串可以为“CPU”。

以设备属性值为CJ2M-CPU33为例，如果识别出该设备属性值中存在“CPU”这一属性字符串，可以将该属性字符串对应的属性即设备CPU信息确定为该设备属性值所属的属性。

当然，也可以将上述第一方式与第二方式结合起来，比如，针对所述设备属性值集合中每一设备属性值，识别该设备属性值所属的属性可以包括：

针对所述设备属性值集合中每一设备属性值，识别该设备属性值中是否存在设定的属性字符串，如果是，确定该设备属性值所属的属性为所述属性字符串对应的属性，如果否，在本地已设置的属性库中查找该设备属性值，如果查找到，将所述属性库中与该设备属性值对应的属性确定为该设备属性值所属的属性。

可以为一些属性设置对应的属性字符串，这些属性对应的设备属性值中会携带用于标识属性的信息，比如设备CPU信息、设备序列号等；为另一些属性在属性库中设置对应的设备属性值，这些属性对应的设备属性值中不会携带用于标识属性的信息，比如设备品牌、设备类型、设备型号等。

上述识别设备属性值集合中各设备属性值所属的属性仅是优选方式，并不作为限制。

下面提供一种更具体的实施方式，以更清楚地阐述本发明的设备识别方法。

例如，电子设备向目标设备发送多个探测数据包，其中包括应用层协议为Ethernet/IP对应的探测数据包，具体为：\x63\x00\x00\x00\x00\x00\......'，应用层协议所支持的传输层协议类型为：TCP，传输层协议端口是：44818。

电子设备接收目标设备发送的探测响应数据包，图3所示，该探测响应数据包是目标设备针对应用层协议为Ethernet/IP对应的探测数据包返回的探测响应数据包。

电子设备收到目标设备发送的探测响应数据包后，可以针对每一探测数据包对应的应用层协议验证标识，检查所述探测响应数据包中是否存在与该应用层协议验证标识匹配的数据，若存在，则确定该探测数据包对应的应用层协议为目标应用层协议。其中，在检查探测响应数据包中是否存在Ethernet/IP对应的应用层协议验证标识'^\x63\x00'时，可以检查探测响应数据包是否是以'\x63\x00'开始的，结果为是，所以可以确定目标设备应用的目标应用层协议为Ethernet/IP。

接着，电子设备使用Ethernet/IP对应的数据提取规则'…(？:)…'，从探测响应数据包中提取得到目标设备的设备属性值集合，具体的，设备属性值集合为(1766-L32BWAA，B/16.00，Rockwell Automation/Allen-Bradley，0x6096444d，Programmable LogicController，CJ2M-CPU33，192.168.10.199)。

接着，电子设备针对设备属性值集合中每一设备属性值，识别该设备属性值所属的属性，将设备属性值、该设备属性值所属的属性确定为所述目标设备的属性信息。目标设备的属性信息包括：设备品牌为Rockwell；设备类型为Programmable Logic Controller(简称PLC)；设备型号为1766-L32BWAA；设备序列号为0x6096444d；设备CPU信息为：CJ2M-CPU33。

本发明还提供一种设备识别装置，该装置应用于电子设备，参看图2，该设备识别装置100包括：

数据包发送模块101，用于向目标设备发送已设置的至少一个探测数据包，不同的探测数据包对应不同的应用层协议；

数据包接收模块102，用于接收所述目标设备返回的探测响应数据包，其中，所述探测响应数据包是所述目标设备在所述探测数据包对应的应用层协议与所述目标设备应用的应用层协议相同时返回的；

协议确定模块103，用于依据所述探测响应数据包确定所述目标设备应用的目标应用层协议；

规则确定模块104，用于确定所述目标应用层协议对应的数据提取规则；

属性信息识别模块105，用于依据所述数据提取规则从所述探测响应数据包中识别所述目标设备的属性信息。

在一个实施例中，数据包发送模块向目标设备发送已设置的至少一个探测数据包时，具体用于：

在一个实施例中，协议确定模块依据所述探测响应数据包确定所述目标设备应用的目标应用层协议时，具体用于：

在一个实施例中，规则确定模块确定所述目标应用层协议对应的数据提取规则时，具体用于：

从所述目标指纹插件中获取所述数据提取规则。

在一个实施例中，

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元。

本发明还提供一种电子设备，包括处理器及存储器；所述存储器存储有可被处理器调用的程序；其中，所述处理器执行所述程序时，实现如前述实施例中所述的设备识别方法。

本发明设备识别装置的实施例可以应用在电子设备上。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在电子设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图4所示，图4是本发明根据一示例性实施例示出的设备识别装置100所在电子设备的一种硬件结构图，除了图4所示的处理器510、内存530、接口520、以及非易失性存储器540之外，实施例中装置100所在的电子设备通常根据该电子采集设备的实际功能，还可以包括其他硬件，对此不再赘述。

本发明还提供一种机器可读存储介质，其上存储有程序，该程序被处理器执行时，实现如前述实施例中任意一项所述的设备识别方法。

本发明可采用在一个或多个其中包含有程序代码的存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。机器可读存储介质包括永久性和非永久性、可移动和非可移动媒体，可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。机器可读存储介质的例子包括但不限于：相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

Claims

1.一种设备识别方法，其特征在于，该方法应用于电子设备，包括：

确定所述目标应用层协议对应的数据提取规则；

2.如权利要求1所述的设备识别方法，其特征在于，向目标设备发送已设置的至少一个探测数据包，包括：

3.如权利要求1所述的设备识别方法，其特征在于，依据所述探测响应数据包确定所述目标设备应用的目标应用层协议，包括：

4.如权利要求1所述的设备识别方法，其特征在于，确定所述目标应用层协议对应的数据提取规则，包括：

从所述目标指纹插件中获取所述数据提取规则。

5.如权利要求1所述的设备识别方法，其特征在于，

6.如权利要求5所述的设备识别方法，其特征在于，

7.如权利要求5所述的设备识别方法，其特征在于，

8.一种设备识别装置，其特征在于，该装置应用于电子设备，包括：

9.一种电子设备，其特征在于，包括处理器及存储器；所述存储器存储有可被处理器调用的程序；其中，所述处理器执行所述程序时，实现如权利要求1-7中任意一项所述的设备识别方法。

10.一种机器可读存储介质，其特征在于，其上存储有程序，该程序被处理器执行时，实现如权利要求1-7中任意一项所述的设备识别方法。