CN113301049B - 一种工控设备的审计方法、装置、设备及可读存储介质 - Google Patents

一种工控设备的审计方法、装置、设备及可读存储介质 Download PDF

Info

Publication number
CN113301049B
CN113301049B CN202110578575.1A CN202110578575A CN113301049B CN 113301049 B CN113301049 B CN 113301049B CN 202110578575 A CN202110578575 A CN 202110578575A CN 113301049 B CN113301049 B CN 113301049B
Authority
CN
China
Prior art keywords
industrial control
target
control equipment
protocol
protocol analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110578575.1A
Other languages
English (en)
Other versions
CN113301049A (zh
Inventor
王斌
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN202110578575.1A priority Critical patent/CN113301049B/zh
Publication of CN113301049A publication Critical patent/CN113301049A/zh
Application granted granted Critical
Publication of CN113301049B publication Critical patent/CN113301049B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种工控设备的审计方法,该方法包括以下步骤:获取目标工控设备的网络报文;遍历动态链接库对网络报文进行工控协议解析,得到协议解析结果;其中,动态链接库中包含部署有目标工控设备对应的协议解析组件的工控协议预处理器;利用审计钩子函数将协议解析结果写入目标工控设备对应的目标共享内存中,以使工控监测审计引擎从目标共享内存中调取协议解析结果对目标工控设备进行审计操作。应用本发明所提供的工控设备的审计方法,实现了对部署有私密工控协议的工控设备的审计,实现了对工控风险的有效检测。本发明还公开了一种工控设备的审计装置、设备及存储介质,具有相应技术效果。

Description

一种工控设备的审计方法、装置、设备及可读存储介质
技术领域
本发明涉及自动化技术领域,特别是涉及一种工控设备的审计方法、装置、设备及计算机可读存储介质。
背景技术
随着工控系统高速发展,工控系统暴露出来的安全漏洞与安全事件也越来越多,工控互联网安全逐渐成为人们关注话题与焦点。工控安全事件频发从侧面反映出工控互联网也需要像传统互联网那样使用多种安全技术进行加固。
目前比较流行的安全加固技术主要是入侵检测系统(Intrusion DetectionSystem,IDS),入侵检测系统是通过对工控协议进行解析,分析网络中流量包的内容可以进行基于特征或基于异常的行为分析。基于特征是指先定义违背安全策略的规则集,这些规则中指明了违背安全策略的数据特征,当网络包的头信息或者包体部分内容匹配了这些特征,入侵检测系统便会给出相应的告警信息,并能够对入侵者行为进行审计。但有些厂商是自己开发具有私密协议的工控设备,这些私密工控协议不对外公开,导致无法审计这些工控设备,无法检测由此带来的工控风险。
综上所述,如何有效地解决厂商私密工控协议不对外公开,导致无法审计这些工控设备,无法检测由此带来的工控风险等问题,是目前本领域技术人员急需解决的问题。
发明内容
本发明的目的是提供一种工控设备的审计方法,该方法实现了对部署有私密工控协议的工控设备的审计,实现了对工控风险的有效检测;本发明的另一目的是提供一种工控设备的审计装置、设备及计算机可读存储介质。
为解决上述技术问题,本发明提供如下技术方案:
一种工控设备的审计方法,包括:
获取目标工控设备的网络报文;
遍历动态链接库对所述网络报文进行工控协议解析,得到协议解析结果;其中,所述动态链接库中包含部署有所述目标工控设备对应的协议解析组件的工控协议预处理器;
利用审计钩子函数将所述协议解析结果写入所述目标工控设备对应的目标共享内存中,以使工控监测审计引擎从所述目标共享内存中调取所述协议解析结果对所述目标工控设备进行审计操作。
在本发明的一种具体实施方式中,遍历动态链接库对所述网络报文进行工控协议解析,得到协议解析结果,包括:
调用预置工控扩展协议识别接口遍历所述动态链接库对所述网络报文进行工控协议解析。
在本发明的一种具体实施方式中,遍历动态链接库对所述网络报文进行工控协议解析,包括:
遍历所述动态链接库中按照预置snort配置文件对所述网络报文进行工控协议解析。
在本发明的一种具体实施方式中,获取目标工控设备的网络报文,包括:
接收抓包引擎发送的所述目标工控设备对应分组的网络报文。
在本发明的一种具体实施方式中,工控监测审计引擎从所述共享内存中调取所述协议解析结果对所述目标工控设备进行审计操作,包括:
所述工控监测审计引擎利用所述目标共享内存对应的目标snort进程,从所述共享内存中调取所述协议解析结果对所述目标工控设备进行审计操作。
一种工控设备的审计装置,包括:
报文获取模块,用于获取目标工控设备的网络报文;
协议解析模块,用于遍历动态链接库对所述网络报文进行工控协议解析,得到协议解析结果;其中,所述动态链接库中包含部署有所述目标工控设备对应的协议解析组件的工控协议预处理器;
设备审计模块,用于利用审计钩子函数将所述协议解析结果写入所述目标工控设备对应的目标共享内存中,以使工控监测审计引擎从所述目标共享内存中调取所述协议解析结果对所述目标工控设备进行审计操作。
在本发明的一种具体实施方式中,所述协议解析模块具体为调用预置工控扩展协议识别接口遍历所述动态链接库对所述网络报文进行工控协议解析的模块。
在本发明的一种具体实施方式中,所述协议解析模块具体为遍历所述动态链接库按照预置snort配置文件对所述网络报文进行工控协议解析的模块。
一种工控设备的审计设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如前所述工控设备的审计方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如前所述工控设备的审计方法的步骤。
本发明所提供的工控设备的审计方法,获取目标工控设备的网络报文;遍历动态链接库对网络报文进行工控协议解析,得到协议解析结果;其中,动态链接库中包含部署有目标工控设备对应的协议解析组件的工控协议预处理器;利用审计钩子函数将协议解析结果写入目标工控设备对应的目标共享内存中,以使工控监测审计引擎从目标共享内存中调取协议解析结果对目标工控设备进行审计操作。
由上述技术方案可知,通过建立动态链接库,动态链接库中包含目标工控设备对应的各工控协议预处理器,各工控协议预处理器中部署有目标工控设备对应的协议解析组件。当获取到目标工控设备的网络报文时,通过遍历动态链接库,利用各工控协议预处理器中的协议解析组件对网络报文进行协议解析,并预先设置审计钩子函数和目标共享内存,通过审计钩子函数将获得的协议解析结果输出至目标共享内存,从而工控监测审计引擎能够从目标共享内存中调取协议解析结果对目标工控设备进行审计操作,实现了对部署有私密工控协议的工控设备的审计,实现了对工控风险的有效检测。
相应的,本发明还提供了与上述工控设备的审计方法相对应的工控设备的审计装置、设备和计算机可读存储介质,具有上述技术效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中工控设备的审计方法的一种实施流程图;
图2为本发明实施例中工控设备的审计方法的另一种实施流程图;
图3为本发明实施例中一种工控设备的审计装置的结构框图;
图4为本发明实施例中一种工控设备的审计设备的结构框图;
图5为本实施例提供的一种工控设备的审计设备的具体结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,图1为本发明实施例中工控设备的审计方法的一种实施流程图,该方法可以包括以下步骤:
S101:获取目标工控设备的网络报文。
当需要对目标工控设备进行审计操作时,获取目标工控设备的网络报文。如可以通过抓包引擎采集目标工控设备的网络流量、网络报文等网口数据包。
S102:遍历动态链接库对网络报文进行工控协议解析,得到协议解析结果。
其中,动态链接库中包含各工控协议预处理器中部署有目标工控设备对应的协议解析组件的工控协议预处理器。
网络报文中包含目标工控设备对应的目标工控协议,目标工控协议可以包含Modbus、S7等通用协议,还可以包括目标工控设备的厂商自定义的私密协议。厂商的协议管理中心预先对目标工控设备涉及的各种工控协议分别设置相应的工控协议预处理器,工控协议预处理器中部署有相应的协议解析组件,由各种工控协议预处理器创建动态链接库,如将各种工控协议预处理器编译成“.so”这样的动态链接库。
在获取到目标工控设备的网络报文之后,遍历动态链接库对网络报文进行工控协议解析,得到协议解析结果。协议解析结果可以包含标识协议解析成功与否的信息和目标工控设备对应的目标工控协议,从而标识出目标工控协议是否为在协议解析成功的基础上获得的。
S103:利用审计钩子函数将协议解析结果写入目标工控设备对应的目标共享内存中,以使工控监测审计引擎从目标共享内存中调取协议解析结果对目标工控设备进行审计操作。
预先设置审计钩子函数和目标共享内存,在获取到协议解析结果之后,利用审计钩子函数将协议解析结果写入目标工控设备对应的目标共享内存中,如通过钩子函数将协议解析结果以先保存值的长度,后保存值本身的对象存储方式进行保存。工控监测审计引擎从目标共享内存中调取协议解析结果对目标工控设备进行审计操作。
共享内存可以采用CSingleMDB(Message Driven Bean),CSingleMDB是进程间通信的高效工具,CSingleMDB将共享内存模拟成一种环形队列(不加锁),提供保存(Save)方法保存数据,提供查找(Find)方法取出数据。虽然环形队列没有加锁,但在实际测试情况下并没有出现数据竞争导致的错误,此外,共享内存是进程间通信较快方法,效率较高,当进程挂掉,数据仍在共享内存中。
协议解析结果中可以包含网际互连协议(Internet Protocol,IP)信息、协议信息,端口信息等,在对目标工控设备进行审计时,可以将协议解析结果推送给第三方平台(如第三方安全日志审计系统,第三方工控行为分析系统)进行审计。
本发明可以扩展工控监测审计系统功能,对第三方厂商提供了便利渠道,使得厂商在不暴露实现细节的前提下开发自定义协议解析组件,这些组件又可以灵活得集成到工控监测审计引擎中,可按照自定义协议编程框架对私密协议进行深度解析,从而达到风险检测和数据审计的目的。
由上述技术方案可知,通过建立动态链接库,动态链接库中包含目标工控设备对应的各工控协议预处理器,各工控协议预处理器中部署有目标工控设备对应的协议解析组件。当获取到目标工控设备的网络报文时,通过遍历动态链接库,利用各工控协议预处理器中的协议解析组件对网络报文进行协议解析,并预先设置审计钩子函数和目标共享内存,通过审计钩子函数将获得的协议解析结果输出至目标共享内存,从而工控监测审计引擎能够从目标共享内存中调取协议解析结果对目标工控设备进行审计操作,实现了对部署有私密工控协议的工控设备的审计,实现了对工控风险的有效检测。
需要说明的是,基于上述实施例,本发明实施例还提供了相应的改进方案。在后续实施例中涉及与上述实施例中相同步骤或相应步骤之间可相互参考,相应的有益效果也可相互参照,在下文的改进实施例中不再一一赘述。
参见图2,图2为本发明实施例中工控设备的审计方法的另一种实施流程图,该方法可以包括以下步骤:
S201:接收抓包引擎发送的目标工控设备对应分组的网络报文。
工控监测审计引擎预先对各工控设备对应的网络报文进行分组。当需要对目标工控设备进行审计操作时,预先设置抓包引擎,抓包引擎可以设置为单进程单线程模式,通过抓包引擎采集目标工控设备对应分组的网络报文,并将目标工控设备对应分组的网络报文发送给协议管理中心,协议管理中心接收抓包引擎发送的目标工控设备对应分组的网络报文。通过利用抓包引擎直接抓取目标工控设备对应分组的网络报文,提高了协议解析效率。
S202:调用预置工控扩展协议识别接口遍历动态链接库,按照预置snort配置文件对网络报文进行工控协议解析,得到协议解析结果。
其中,动态链接库中包含部署有目标工控设备对应的协议解析组件的工控协议预处理器。
预先设置对动态链接库进行遍历的统一工控扩展协议识别接口,并设置snort配置文件,snort配置文件中存储有相应的协议解析流程。在接收到目标工控设备对应分组的网络报文之后,调用预置工控扩展协议识别接口遍历动态链接库,按照预置snort配置文件对网络报文进行工控协议解析,得到协议解析结果。通过设置对动态链接库进行遍历的统一工控扩展协议识别接口,将此接口开放给第三方厂商进行工控协议解析,在获取到网络报文之后,可直接调取简单易用的工控扩展协议识别接口进行协议解析,较大地提高了协议解析的便利性。通过预先设置snort配置文件,为对网络报文的工控协议解析提供有效依据,提升了工控协议解析效率。
Snort是一种基于特征匹配的入侵检测系统开源组件,其已被广泛运用于互联网的入侵检测系统中。
S203:利用审计钩子函数将协议解析结果写入目标工控设备对应的目标共享内存中,以使工控监测审计引擎利用目标共享内存对应的目标snort进程,从共享内存中调取协议解析结果对目标工控设备进行审计操作。
一个抓包引擎对应多个snort进程,不同snort进程通过不同的共享内存与抓包引擎通信。在得到协议解析结果之后,用审计钩子函数将协议解析结果写入目标工控设备对应的目标共享内存中,从而工控监测审计引擎利用目标共享内存对应的目标snort进程,从共享内存中调取协议解析结果对目标工控设备进行审计操作。通过设置同snort进程通过不同的共享内存与抓包引擎通信,提升了通信效率,提高了工控设备的审计效率。
本实施例区别于独立权利要求1所要求保护的技术方案对应的实施例一,还增加了从属权利要求2至5对应要求保护的技术方案,当然,根据实际情况和要求的不同,可将各从属权利要求对应要求保护的技术方案在不影响方案完整性的基础上进行灵活组合,以更加符合不同使用场景的要求,本实施例只是给出了其中一种包含方案最多、效果最优的方案,因为情况复杂,无法对所有可能存在的方案一一列举,本领域技术人员应能意识到根据本申请提供的基本方法原理结合实际情况可以存在很多的例子,在不付出足够的创造性劳动下,应均在本申请的保护范围内。
相应于上面的方法实施例,本发明还提供了一种工控设备的审计装置,下文描述的工控设备的审计装置与上文描述的工控设备的审计方法可相互对应参照。
参见图3,图3为本发明实施例中一种工控设备的审计装置的结构框图,该装置可以包括:
报文获取模块31,用于获取目标工控设备的网络报文;
协议解析模块32,用于遍历动态链接库对网络报文进行工控协议解析,得到协议解析结果;其中,动态链接库中包含部署有目标工控设备对应的协议解析组件的工控协议预处理器;
设备审计模块33,用于利用审计钩子函数将协议解析结果写入目标工控设备对应的目标共享内存中,以使工控监测审计引擎从目标共享内存中调取协议解析结果对目标工控设备进行审计操作。
由上述技术方案可知,通过建立动态链接库,动态链接库中包含目标工控设备对应的各工控协议预处理器,各工控协议预处理器中部署有目标工控设备对应的协议解析组件。当获取到目标工控设备的网络报文时,通过遍历动态链接库,利用各工控协议预处理器中的协议解析组件对网络报文进行协议解析,并预先设置审计钩子函数和目标共享内存,通过审计钩子函数将获得的协议解析结果输出至目标共享内存,从而工控监测审计引擎能够从目标共享内存中调取协议解析结果对目标工控设备进行审计操作,实现了对部署有私密工控协议的工控设备的审计,实现了对工控风险的有效检测。
在本发明的一种具体实施方式中,协议解析模块32具体为调用预置工控扩展协议识别接口遍历动态链接库对网络报文进行工控协议解析的模块。
在本发明的一种具体实施方式中,协议解析模块32具体为遍历动态链接库按照预置snort配置文件对网络报文进行工控协议解析的模块。
在本发明的一种具体实施方式中,报文获取模块31具体为接收抓包引擎发送的目标工控设备对应分组的网络报文的模块。
在本发明的一种具体实施方式中,设备审计模块33具体为工控监测审计引擎利用目标共享内存对应的目标snort进程,从共享内存中调取协议解析结果对目标工控设备进行审计操作的模块。
相应于上面的方法实施例,参见图4,图4为本发明所提供的工控设备的审计设备的示意图,该设备可以包括:
存储器332,用于存储计算机程序;
处理器322,用于执行计算机程序时实现上述方法实施例的工控设备的审计方法的步骤。
具体的,请参考图5,图5为本实施例提供的一种工控设备的审计设备的具体结构示意图,该工控设备的审计设备可因配置或性能不同而产生比较大的差异,可以包括处理器(central processing units,CPU)322(例如,一个或一个以上处理器)和存储器332,存储器332存储有一个或一个以上的计算机应用程序342或数据344。其中,存储器332可以是短暂存储或持久存储。存储在存储器332的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,处理器322可以设置为与存储器332通信,在工控设备的审计设备301上执行存储器332中的一系列指令操作。
工控设备的审计设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。
上文所描述的工控设备的审计方法中的步骤可以由工控设备的审计设备的结构实现。
相应于上面的方法实施例,本发明还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可实现如下步骤:
获取目标工控设备的网络报文;遍历动态链接库对网络报文进行工控协议解析,得到协议解析结果;其中,动态链接库中包含部署有目标工控设备对应的协议解析组件的工控协议预处理器;利用审计钩子函数将协议解析结果写入目标工控设备对应的目标共享内存中,以使工控监测审计引擎从目标共享内存中调取协议解析结果对目标工控设备进行审计操作。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本发明提供的计算机可读存储介质的介绍请参照上述方法实施例,本发明在此不做赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置、设备及计算机可读存储介质而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。

Claims (9)

1.一种工控设备的审计方法,其特征在于,包括:
获取目标工控设备的网络报文;
遍历动态链接库对所述网络报文进行工控协议解析,得到协议解析结果;其中,所述动态链接库中包含部署有所述目标工控设备对应的协议解析组件的工控协议预处理器;其中,所述协议解析结果包含标识协议解析成功与否的信息和所述目标工控设备对应的目标工控协议;
利用审计钩子函数将所述协议解析结果写入所述目标工控设备对应的目标共享内存中,以使工控监测审计引擎从所述目标共享内存中调取所述协议解析结果对所述目标工控设备进行审计操作;
其中,工控监测审计引擎从所述共享内存中调取所述协议解析结果对所述目标工控设备进行审计操作,包括:
所述工控监测审计引擎利用所述目标共享内存对应的目标snort进程,从所述共享内存中调取所述协议解析结果对所述目标工控设备进行审计操作;
其中,一个抓包引擎对应多个snort进程,不同snort进程通过不同的共享内存与抓包引擎通信。
2.根据权利要求1所述的工控设备的审计方法,其特征在于,遍历动态链接库对所述网络报文进行工控协议解析,包括:
调用预置工控扩展协议识别接口遍历所述动态链接库对所述网络报文进行工控协议解析。
3.根据权利要求1或2所述的工控设备的审计方法,其特征在于,遍历动态链接库对所述网络报文进行工控协议解析,包括:
遍历所述动态链接库按照预置snort配置文件对所述网络报文进行工控协议解析。
4.根据权利要求1所述的工控设备的审计方法,其特征在于,获取目标工控设备的网络报文,包括:
接收抓包引擎发送的所述目标工控设备对应分组的网络报文。
5.一种工控设备的审计装置,其特征在于,包括:
报文获取模块,用于获取目标工控设备的网络报文;
协议解析模块,用于遍历动态链接库对所述网络报文进行工控协议解析,得到协议解析结果;其中,所述动态链接库中包含部署有所述目标工控设备对应的协议解析组件的工控协议预处理器;其中,所述协议解析结果包含标识协议解析成功与否的信息和所述目标工控设备对应的目标工控协议;
设备审计模块,用于利用审计钩子函数将所述协议解析结果写入所述目标工控设备对应的目标共享内存中,以使工控监测审计引擎从所述目标共享内存中调取所述协议解析结果对所述目标工控设备进行审计操作;
其中,工控监测审计引擎从所述共享内存中调取所述协议解析结果对所述目标工控设备进行审计操作,包括:
所述工控监测审计引擎利用所述目标共享内存对应的目标snort进程,从所述共享内存中调取所述协议解析结果对所述目标工控设备进行审计操作;
其中,一个抓包引擎对应多个snort进程,不同snort进程通过不同的共享内存与抓包引擎通信。
6.根据权利要求5所述的工控设备的审计装置,其特征在于,所述协议解析模块具体为调用预置工控扩展协议识别接口遍历所述动态链接库对所述网络报文进行工控协议解析的模块。
7.根据权利要求5或6所述的工控设备的审计装置,其特征在于,所述协议解析模块具体为遍历所述动态链接库按照预置snort配置文件对所述网络报文进行工控协议解析的模块。
8.一种工控设备的审计设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至4任一项所述工控设备的审计方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述工控设备的审计方法的步骤。
CN202110578575.1A 2021-05-26 2021-05-26 一种工控设备的审计方法、装置、设备及可读存储介质 Active CN113301049B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110578575.1A CN113301049B (zh) 2021-05-26 2021-05-26 一种工控设备的审计方法、装置、设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110578575.1A CN113301049B (zh) 2021-05-26 2021-05-26 一种工控设备的审计方法、装置、设备及可读存储介质

Publications (2)

Publication Number Publication Date
CN113301049A CN113301049A (zh) 2021-08-24
CN113301049B true CN113301049B (zh) 2023-02-24

Family

ID=77325338

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110578575.1A Active CN113301049B (zh) 2021-05-26 2021-05-26 一种工控设备的审计方法、装置、设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN113301049B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114363169B (zh) * 2021-12-27 2023-10-27 紫光云(南京)数字技术有限公司 一种基于spi的设备审计方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101426000A (zh) * 2007-10-30 2009-05-06 北京启明星辰信息技术有限公司 一种通用协议解析方法及系统
CN103312565A (zh) * 2013-06-28 2013-09-18 南京邮电大学 一种基于自主学习的对等网络流量识别方法
CN105302691A (zh) * 2015-10-20 2016-02-03 浪潮(北京)电子信息产业有限公司 一种元数据性能监控方法及系统
CN106027511A (zh) * 2016-05-13 2016-10-12 北京工业大学 一种基于Modbus/TCP深度解析的协议隔离方法
CN109547580A (zh) * 2019-01-22 2019-03-29 网宿科技股份有限公司 一种处理数据报文的方法和装置
CN109639733A (zh) * 2019-01-24 2019-04-16 南方电网科学研究院有限责任公司 适用于工控系统的安全检测与监控系统
CN110752951A (zh) * 2019-10-24 2020-02-04 杭州安恒信息技术股份有限公司 工业网络流量监测审计方法、装置及系统
CN112256339A (zh) * 2019-07-22 2021-01-22 百度在线网络技术(北京)有限公司 多进程管理方法、装置、电子设备和存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106850285A (zh) * 2017-01-19 2017-06-13 薛辉 视频安全监控设备、审计系统及其部署结构以及方法
CN111586058A (zh) * 2020-05-09 2020-08-25 成都安恒信息技术有限公司 一种运维审计系统混合协议代理系统及方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101426000A (zh) * 2007-10-30 2009-05-06 北京启明星辰信息技术有限公司 一种通用协议解析方法及系统
CN103312565A (zh) * 2013-06-28 2013-09-18 南京邮电大学 一种基于自主学习的对等网络流量识别方法
CN105302691A (zh) * 2015-10-20 2016-02-03 浪潮(北京)电子信息产业有限公司 一种元数据性能监控方法及系统
CN106027511A (zh) * 2016-05-13 2016-10-12 北京工业大学 一种基于Modbus/TCP深度解析的协议隔离方法
CN109547580A (zh) * 2019-01-22 2019-03-29 网宿科技股份有限公司 一种处理数据报文的方法和装置
CN109639733A (zh) * 2019-01-24 2019-04-16 南方电网科学研究院有限责任公司 适用于工控系统的安全检测与监控系统
CN112256339A (zh) * 2019-07-22 2021-01-22 百度在线网络技术(北京)有限公司 多进程管理方法、装置、电子设备和存储介质
CN110752951A (zh) * 2019-10-24 2020-02-04 杭州安恒信息技术股份有限公司 工业网络流量监测审计方法、装置及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
基于XML模板的Wireshark私有协议解析接口设计;邹连英等;《荆楚理工学院学报》;20160825;第31卷(第04期);第0节 引言 *
计算机辅助测验中基于消息监控与包过滤技术的监考方法;张新林;《计算机科学》;20080325(第03期);全文 *

Also Published As

Publication number Publication date
CN113301049A (zh) 2021-08-24

Similar Documents

Publication Publication Date Title
CN113392402B (zh) 一种基于模糊测试的电力物联网协议漏洞检测系统及方法
CN110740141A (zh) 一体化网络安全态势感知方法、装置及计算机设备
CN111752799A (zh) 一种业务链路跟踪方法、装置、设备及储存介质
US11546295B2 (en) Industrial control system firewall module
CN111984561B (zh) 一种bmc的ipmi命令处理方法、系统、设备以及介质
US11681606B2 (en) Automatic configuration of logging infrastructure for software deployments using source code
CN113301049B (zh) 一种工控设备的审计方法、装置、设备及可读存储介质
CN115329170A (zh) 网页抓取方法、装置、设备以及存储介质
CN101442539B (zh) 实现字段过滤的方法和装置
CN112257065A (zh) 一种进程事件处理方法和装置
CN113031569B (zh) 一种核聚变控制系统的监听方法、系统、终端及介质
CN113297148A (zh) 业务日志数据的采集方法、装置、设备及可读存储介质
CN113014587A (zh) 一种api检测方法、装置、电子设备及存储介质
CN112769923A (zh) 一种大数据场景下监控网络设备性能指标的方法、装置及存储介质
CN113242205B (zh) 网络流量分类控制方法、装置、服务器及存储介质
CN117539439B (zh) 轻量实时应用开发方法、装置、设备及存储介质
CN114024869B (zh) 终端间网络连接状态的检测方法、装置、设备及存储介质
CN116566726A (zh) 网际互连协议ip处理方法、装置、设备及存储介质
CN112769599B (zh) 一种资源自动接入方法、系统及可读存储介质
CN112541183B (zh) 数据处理方法及装置、边缘计算设备、存储介质
CN111181759B (zh) 一种网络设备的异常识别方法、装置、设备及存储介质
CN117061373A (zh) 一种网络流量安全检测方法、装置、设备及可读存储介质
CN110943994A (zh) 一种基于Netty处理的通讯交互方法及模块
CN117955854A (zh) 数据处理方法及系统
CN116055118A (zh) 一种安全编排与自动化响应处理方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant