CN112800408B - 一种基于主动探测的工控设备指纹提取与识别方法 - Google Patents
一种基于主动探测的工控设备指纹提取与识别方法 Download PDFInfo
- Publication number
- CN112800408B CN112800408B CN202110404447.5A CN202110404447A CN112800408B CN 112800408 B CN112800408 B CN 112800408B CN 202110404447 A CN202110404447 A CN 202110404447A CN 112800408 B CN112800408 B CN 112800408B
- Authority
- CN
- China
- Prior art keywords
- fingerprint
- information
- equipment
- matching
- industrial control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于主动探测的工控设备指纹提取与识别方法,包括以下步骤:S1、利用工业控制协议脚本对指定的IP段或端口进行扫描,通过各协议将扫描结果进行校验并格式化处理后,与加载在内存中的指纹信息按协议名称进行匹配;S2、若匹配成功,则将该设备的厂商、类型和型号信息标识出来,将扫描到的设备信息存放在数据库中;S3、若匹配未成功,则通过检索提取该设备的厂商、类型、型号和指纹唯一标识符信息,在信息验证无误后,录入到指纹数据库中;S4、通过系统周期性执行加载指纹数据库中的指纹信息到内存的任务,使指纹信息能及时与扫描数据进行匹配。
Description
技术领域
本发明涉及工业控制技术领域,具体涉及一种基于主动探测的工控设备指纹提取与识别方法。
背景技术
一提到工业控制,大多数人都会想到企业、制造、工厂等一系列庞大的词汇,殊不知,它与我们每个人的生活都息息相关。在我们的日常生活中,小到网络电视、机顶盒、智能热水器、智能水表、ATM机、交通红绿灯控制,大到气象预报、楼宇视频监控、航空飞行控制、地震预警等,这些都离不开工业控制系统的支撑。
伴随着第四次工业革命的到来,传统工业逐渐向互联网模式的智能化方向发展,工业控制系统已经成为人们生活和工作中不可或缺的一部分。置身于互联网的浪潮,来自外部的恶意攻击与威胁无处不在。而在工业控制系统的数据传输过程中,大多都是明文,未进行严格的加密操作,这样很容易被黑客攻击,例如恶意篡改文件导致设备无法使用,或者伪造数据引起系统瘫痪。更糟糕的是攻击者通过木马移植将恶意程序或病毒嵌入到设备中,以此盗取企业的内部信息,进而勒索、变卖企业信息,对企业造成无法挽回的损失。因此针对工业控制系统信息安全方面的防护,保障工业控制系统的稳定运行,是工控行业的重中之重。
目前比较出名的利用指纹识别技术进行资产识别的扫描引擎有SHODAN、白帽汇(FOFA)、钟馗之眼(ZOOMEYE),扫描工具有NMAP,但由于工控协议众多且存在大量的私有协议,这些扫描引擎和工具并不能完全满足工控系统的识别能力。因此在提升工业控制系统的识别能力方面,还任重道远。
发明内容
针对现有技术中的上述不足,本发明提供的一种基于主动探测的工控设备指纹提取与识别方法解决了工业控制系统的识别能力较差的问题。
为了达到上述发明目的,本发明采用的技术方案为:一种基于主动探测的工控设备指纹提取与识别方法,包括以下步骤:
S1、利用工业控制协议脚本对指定的IP段或端口进行扫描,通过各协议将扫描结果进行校验并格式化处理后,与加载在内存中的指纹信息按协议名称进行匹配;
S2、若匹配成功,则将该设备的厂商、类型和型号信息标识出来,将扫描到的设备信息存放在数据库中;
S3、若匹配未成功,则通过检索提取该设备的厂商、类型、型号和指纹唯一标识符信息,在信息验证无误后,录入到指纹数据库中;
S4、通过系统周期性执行加载指纹数据库中的指纹信息到内存的任务,使指纹信息能及时与扫描数据进行匹配。
进一步地:所述步骤S1中IP段的指定方式包括直接指定和按区域指定。
进一步地:所述步骤S1中同一协议的扫描结果属性具有相似性,不同协议的扫描结果属性相互独立,各协议针对自己的扫描结果进行数据校验,校验通过则进行格式化处理,否则舍弃。
进一步地:所述步骤S1中格式化处理后保留的关键信息包括识别型号、厂商、版本、设备名称、设备状态、设备编号、操作系统和序列号。
进一步地:所述步骤S1中匹配的方法为:将指纹信息按协议分类,避免不同协议的指纹雷同,并制定关键字段进行指纹匹配,提高匹配的准确率。
进一步地:所述步骤S4中指纹数据库的构建方法为:
从设备数据中筛选出未匹配指纹的原始设备数据,结合各协议的扫描结果属性以及设备相关资料,从中提取出能唯一识别该设备的特征信息,确定设备的厂商、类型、型号,并标识出来;
将特征信息按照指定格式进行加密处理,把厂商、类型、型号和加密数据按协议分类录入到指纹数据库中。
进一步地:所述步骤S4的具体步骤为:
S41、通过直接访问指纹数据库或调用接口的方式,从指纹数据库中将指纹信息提取出来,并得到指纹匹配信息;
S42、将指纹匹配信息以加密的形式存放在指纹数据库中,防止信息泄露;
S43、获取到指纹数据库后,对指纹匹配信息进行解密,并按照指定格式存放在内存中以供调用;
S44、周期性加载指纹数据到系统内存,使用最新的指纹与扫描数据进行匹配。
本发明的有益效果为:本发明通过工控协议脚本主动探测的方式,能准确快速地发现设备,为提取设备指纹信息提供了重要的数据依据。专业人员能针对性的从协议原始数据中提取设备指纹信息,提升员工工作效率的同时也保障了指纹数据的准确性、全面性。通过提取的指纹,能定位出设备的厂商、类型或型号,从而发现设备的脆弱性以及可能遭受的攻击类型,为工业控制体系的稳定、高速、智能化发展道路打下良好的基础。
附图说明
图1为本发明工作原理图;
图2为本发明中指纹数据表结构及厂商数据表结构。
具体实施方式
下面对本发明的具体实施方式进行描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
如图1所示,一种基于主动探测的工控设备指纹提取与识别方法,包括以下步骤:
S1、利用工业控制协议脚本对指定的IP段或端口进行扫描,通过各协议将扫描结果进行校验并格式化处理后,与加载在内存中的指纹信息按协议名称进行匹配;
系统调用工控协议脚本去主动探测指定的IP和端口:
目标IP有两种指定方式,一是直接指定IP或IP段,二是按区域,按区域时,系统会去存活IP表中获取该区域所有的IP;
工控协议的目标端口基本都是固定的,系统会给每个协议配置默认端口,同时用户也可以自定义协议的扫描端口。
将扫描结果进行数据校验并格式化处理:
同一协议的扫描结果属性具有相似性,不同协议的扫描结果属性相互独立,各协议针对自己的扫描结果进行数据校验,校验通过则进行格式化处理,否则舍弃;
如图2所示,数据格式化后保留的关键信息可以是设备型号、厂商、版本、设备名称、设备状态、设备编号、操作系统、序列号等。
将格式化处理后的数据与该协议的指纹进行匹配:
指纹信息按协议分类,避免不同协议的指纹雷同,造成设备识别错误;
指定关键字段进行指纹匹配,提高匹配的准确率。
S2、若匹配成功,则将该设备的厂商、类型和型号信息标识出来,将扫描到的设备信息存放在数据库中;
S3、若匹配未成功,则通过检索提取该设备的厂商、类型、型号和指纹唯一标识符信息,在信息验证无误后,录入到指纹数据库中;
S4、通过系统周期性执行加载指纹数据库中的指纹信息到内存的任务,使指纹信息能及时与扫描数据进行匹配。具体步骤为:
S41、通过直接访问指纹数据库或调用接口的方式,从指纹数据库中将指纹信息提取出来,并得到指纹匹配信息;
S42、将指纹匹配信息以加密的形式存放在指纹数据库中,防止信息泄露;
S43、获取到指纹数据库后,对指纹匹配信息进行解密,并按照指定格式存放在内存中以供调用;
S44、周期性加载指纹数据到系统内存,使用最新的指纹与扫描数据进行匹配。
专业人员从设备数据库中筛选出未匹配指纹的原始设备数据,结合各协议的扫描结果属性以及设备相关资料,从中提取出能唯一识别该设备的特征信息;若能确定设备的厂商、类型、型号,则一并标识出来;
将特征信息按指定格式进行加密处理,把厂商、类型、型号、加密数据按协议分类录入到指纹数据库中;
为提高匹配的精确度,同一协议的指纹数据匹配时有优先级之分,数值越大,优先级越高。
本发明通过工控协议脚本主动探测的方式,能准确快速地发现设备,为提取设备指纹信息提供了重要的数据依据。专业人员能针对性的从协议原始数据中提取设备指纹信息,提升员工工作效率的同时也保障了指纹数据的准确性、全面性。通过提取的指纹,能定位出设备的厂商、类型或型号,从而发现设备的脆弱性以及可能遭受的攻击类型,为工业控制体系的稳定、高速、智能化发展道路打下良好的基础。
Claims (6)
1.一种基于主动探测的工控设备指纹提取与识别方法,其特征在于,包括以下步骤:
S1、利用工业控制协议脚本对指定的IP段或端口进行扫描,通过各协议将扫描结果进行校验并格式化处理后,与加载在内存中的指纹信息按协议名称进行匹配;
S2、若匹配成功,则将该设备的厂商、类型和型号信息标识出来,将扫描到的设备信息存放在数据库中;
S3、若匹配未成功,则通过检索提取该设备的厂商、类型、型号和指纹唯一标识符信息,在信息验证无误后,录入到指纹数据库中;
S4、通过系统周期性执行加载指纹数据库中的指纹信息到内存的任务,使指纹信息能及时与扫描数据进行匹配;
指纹数据库的构建方法为:
从设备数据中筛选出未匹配指纹的原始设备数据,结合各协议的扫描结果属性以及设备相关资料,从中提取出能唯一识别该设备的特征信息,确定设备的厂商、类型、型号,并标识出来;
将特征信息按照指定格式进行加密处理,把厂商、类型、型号和加密数据按协议分类录入到指纹数据库中。
2.根据权利要求1所述的基于主动探测的工控设备指纹提取与识别方法,其特征在于,所述步骤S1中IP段的指定方式包括直接指定和按区域指定。
3.根据权利要求1所述的基于主动探测的工控设备指纹提取与识别方法,其特征在于,所述步骤S1中同一协议的扫描结果属性具有相似性,不同协议的扫描结果属性相互独立,各协议针对自己的扫描结果进行数据校验,校验通过则进行格式化处理,否则舍弃。
4.根据权利要求1所述的基于主动探测的工控设备指纹提取与识别方法,其特征在于,所述步骤S1中格式化处理后保留的关键信息包括识别型号、厂商、版本、设备名称、设备状态、设备编号、操作系统和序列号。
5.根据权利要求1所述的基于主动探测的工控设备指纹提取与识别方法,其特征在于,所述步骤S1中匹配的方法为:将指纹信息按协议分类,避免不同协议的指纹雷同,并制定关键字段进行指纹匹配,提高匹配的准确率。
6.根据权利要求1所述的基于主动探测的工控设备指纹提取与识别方法,其特征在于,所述步骤S4的具体步骤为:
S41、通过直接访问指纹数据库或调用接口的方式,从指纹数据库中将指纹信息提取出来,并得到指纹匹配信息;
S42、将指纹匹配信息以加密的形式存放在指纹数据库中,防止信息泄露;
S43、获取到指纹数据库后,对指纹匹配信息进行解密,并按照指定格式存放在内存中以供调用;
S44、周期性加载指纹数据到系统内存,使用最新的指纹与扫描数据进行匹配。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110404447.5A CN112800408B (zh) | 2021-04-15 | 2021-04-15 | 一种基于主动探测的工控设备指纹提取与识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110404447.5A CN112800408B (zh) | 2021-04-15 | 2021-04-15 | 一种基于主动探测的工控设备指纹提取与识别方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112800408A CN112800408A (zh) | 2021-05-14 |
| CN112800408B true CN112800408B (zh) | 2021-06-18 |
Family
ID=75811434
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110404447.5A Active CN112800408B (zh) | 2021-04-15 | 2021-04-15 | 一种基于主动探测的工控设备指纹提取与识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112800408B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113946592B (zh) * | 2021-12-21 | 2022-03-22 | 湖南天云软件技术有限公司 | 配置管理数据库更新方法、装置、设备、介质及程序产品 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108933658A (zh) * | 2018-08-13 | 2018-12-04 | 杭州安恒信息技术股份有限公司 | 基于工控设备指纹的白名单库创建方法及装置 |
| CN110113335A (zh) * | 2019-05-06 | 2019-08-09 | 杭州齐安科技有限公司 | 一种工控设备指纹归一化方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8555373B2 (en) * | 2008-02-14 | 2013-10-08 | Rockwell Automation Technologies, Inc. | Network security module for Ethernet-receiving industrial control devices |
| CN108390861A (zh) * | 2018-01-29 | 2018-08-10 | 中国电子科技网络信息安全有限公司 | 一种网络空间工控资产的威胁检测方法 |
| US10721223B2 (en) * | 2018-04-12 | 2020-07-21 | Rockwell Automation Technologies, Inc. | Method and apparatus for secure device provisioning in an industrial control system |
| CN109613899A (zh) * | 2018-12-21 | 2019-04-12 | 国家计算机网络与信息安全管理中心 | 一种基于配置表的工控系统安全风险评估的方法 |
| CN110401662B (zh) * | 2019-07-29 | 2021-12-31 | 华能阜新风力发电有限责任公司 | 一种工控设备指纹识别方法、存储介质 |
| CN111709009A (zh) * | 2020-06-17 | 2020-09-25 | 杭州安恒信息技术股份有限公司 | 联网工业控制系统的探测方法、装置、计算机设备和介质 |
| CN112118256B (zh) * | 2020-09-17 | 2023-03-24 | 浙江齐安信息科技有限公司 | 工控设备指纹归一化方法、装置、计算机设备及存储介质 |
-
2021
- 2021-04-15 CN CN202110404447.5A patent/CN112800408B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108933658A (zh) * | 2018-08-13 | 2018-12-04 | 杭州安恒信息技术股份有限公司 | 基于工控设备指纹的白名单库创建方法及装置 |
| CN110113335A (zh) * | 2019-05-06 | 2019-08-09 | 杭州齐安科技有限公司 | 一种工控设备指纹归一化方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112800408A (zh) | 2021-05-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7685637B2 (en) | System security approaches using sub-expression automata | |
| CN111988339B (zh) | 一种基于dikw模型的网络攻击路径发现、提取和关联的方法 | |
| CN108600193B (zh) | 一种基于机器学习的工控蜜罐识别方法 | |
| US9990583B2 (en) | Match engine for detection of multi-pattern rules | |
| CN109495520B (zh) | 一体化网络攻击取证溯源方法、系统、设备及存储介质 | |
| CN107247902B (zh) | 恶意软件分类系统及方法 | |
| US11546295B2 (en) | Industrial control system firewall module | |
| CN113315767B (zh) | 一种电力物联网设备安全检测系统及方法 | |
| CN110896386B (zh) | 识别安全威胁的方法、装置、存储介质、处理器和终端 | |
| CN110460611B (zh) | 基于机器学习的全流量攻击检测技术 | |
| CN110071924B (zh) | 基于终端的大数据分析方法及系统 | |
| CN112818352B (zh) | 数据库的检测方法及装置、存储介质及电子装置 | |
| CN112948821A (zh) | 一种apt检测预警方法 | |
| CN111104395A (zh) | 数据库审计方法、设备、存储介质及装置 | |
| CN112565278A (zh) | 一种捕获攻击的方法及蜜罐系统 | |
| CN112800408B (zh) | 一种基于主动探测的工控设备指纹提取与识别方法 | |
| CN113923003A (zh) | 一种攻击者画像生成方法、系统、设备以及介质 | |
| CN114124476B (zh) | 一种Web应用的敏感信息泄露漏洞检测方法、系统及装置 | |
| CN107220262B (zh) | 信息处理方法和装置 | |
| CN112261046A (zh) | 一种基于机器学习的工控蜜罐识别方法 | |
| CN113726826B (zh) | 一种威胁情报生成方法及装置 | |
| CN114510710A (zh) | 一种基于xss与sql注入的蜜罐攻击事件识别系统及方法 | |
| CN113572776A (zh) | 非法侵入检测装置及方法 | |
| CN116055083B (zh) | 一种提升网络安全性方法及相关设备 | |
| CN113055396B (zh) | 一种跨终端溯源分析的方法、装置、系统和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |