CN113676459A - 一种实时的工控被动识别罗克韦尔设备的方法 - Google Patents

Abstract

本发明公开了一种实时的工控被动识别罗克韦尔设备的方法，涉及资产设备识别技术领域，本方法包括以下步骤：预置罗克韦尔指纹库；初步解析报文；设备基础信息备份；报文深度解析；持续识别工程师站；对比指纹库获得设备信息；本发明的实时的工控被动识别罗克韦尔设备的方法，其指纹库为罗克韦尔工控设备特有的特征，如品牌、系列、匹配字串和分隔符，除了识别操作系统、厂商、端口服务外，还能识别设备的型号、序列码和PLC版本信息；通过被动识别，对罗克韦尔通信协议的应用层报文解析，按不同功能码对报文做分析以获得正确的设备信息。

Description

一种实时的工控被动识别罗克韦尔设备的方法

技术领域

本发明涉及资产设备识别技术领域，具体说是一种实时的工控被动识别罗克韦尔设备的方法。

背景技术

工控设备识别分为主动识别和被动识别，主动识别有以下问题，第一，主动识别需要主动探测获取设备信息，但是如果不知道探测包的组装将无法识别到该设备；第二，主动识别需要接入主网络，在发送探测包时会影响到主网络的通信，可能会对主网络产生攻击，而有些主网络为了安全性如果装有防火墙，则主动识别无法进行；第三，主动识别无法知道操作的设备和被操作的设备，仅对符合主动识别策略的设备进行探测，应用具有局限性；如中国专利CN 106487879A一种基于设备指纹库的网络设备识别方法和装置，其识别方式即为主动识别，其识别方式只能发送报文进行主动探测，一旦设备开启防火墙将无法探测到设备，并且正则表达式无法对工控设备应用协议作出准确的解析。

另外，目前被动识别设备也一般是到传输层为止，识别内容仅仅为操作系统、厂商和端口服务，而其匹配方式也是和内容对应的，主要是操作系统、厂商、端口服务匹配指纹库中的操作系统信息、OUI、端口列表，该匹配方式无法准确获得设备的详细信息如系列、型号、序列码和版本无法准确识别。

罗克韦尔设备是以罗克韦尔PLC控制器为核心的设备，罗克韦尔设备已广泛应用冶金、石油、化工、建材、机械制造、电力、汽车及轻工等各行各业，随着PCL性能价格比的不断提高，其应用领域还在不断扩大，但是目前并没有针对性的、针对工控网络中的罗克韦尔设备的准确识别方法。

另外，采用目前的技术对被动资产识别局限性较大，需要将用户的罗克韦尔设备资产先进行导入操作，并将这些资产的ip地址、型号、类型、操作系统等进行人工维护，再通过分析网络中的数据流，获取五元组，只有五元组匹配上预置的设备库，方可展示设备信息，否则会显示未知设备，这样采用上述方法在新接入设备或者更改设备ip、信息时将无法实时更新罗克韦尔设备库。

发明内容

为解决上述问题，本发明的目的是提供一种实时的工控被动识别罗克韦尔设备的方法。

本发明为实现上述目的，通过以下技术方案实现：

一种实时的工控被动识别罗克韦尔设备的方法，包括以下步骤：

⑴预置罗克韦尔指纹库；

⑵初步解析报文：采集网络环境中的流量数据，解析数据报，提取其源ip，源端口，目的ip，目的端口，ENIP、CIP协议信息；若无法提取上述信息，说明报文无有效信息，过滤该报文，不继续对此报文做进一步处理；

⑶设备基础信息备份：解析ENIP、CIP协议，通过分析设备的MAC地址前三位字节OUI，判断设备是否是罗克韦尔设备：

若是，将源ip、目的ip作为资产ip存储到设备缓存中，并根据报文流的方向，初步判断该资产属于罗克韦尔PLC、罗克韦尔操作员站，资产状态为在线；

若不是，过滤该报文，不继续对此报文做进一步处理；

⑷报文深度解析：对应答包进一步分析报文，获取报文的特征码，以及从报文中获取信息，如根据ENIP报文解析到的层级信息，包括但不限于：报文长度、连接状态、发送内容、版本、items(items为ENIP协议自设计的特有的报文分组)、service信息(ENIP协议自设计在某些功能码后会有service，而功能码为0x000x6F、0x000x70的报文，在items组后的报文，为本专利需要的service信息)、网络地址(网络地址为PLC网络地址，通过此也可识别出流的方向)；

⑸持续识别工程师站：持续识别采集到的报文，分析报文信息，当功能码为0x4b0x72、0x4b 0x67，将步骤⑶中获取到的罗克韦尔操作员站更新为罗克韦尔工程师站，存储至设备库；

⑹对比指纹库获得设备信息：根据步骤⑷获取的型号，通过正则表达式匹配步骤⑴中预置的指纹库，匹配到的报文则获取系列码，并将得到的设备信息存储到设备库中；设备库的存储内容一般包括品牌、系列、型号、运行状态、威胁评分(自定义)、网卡型号、设备ip、设备mac、固件版本、时钟信息、程序区内存大小、IO区内存大小、动态内存区通道数、扩展内存区大小、内存卡大小、内存卡类型、可信标志。

优选的，步骤⑴预置罗克韦尔指纹库的具体过程为：

从公共网络中罗克韦尔的所有设备中提取关键信息，并对这些设备的类型、系列做编码，设置匹配报文应用层信息的规则，形成指纹库。

优选的，步骤⑶中解析ENIP、CIP协议，通过分析设备的MAC地址前三位字节OUI的具体操作步骤为：

初步解析ENIP协议应用层首部两个字节，当这两个字节属于罗克韦尔指令，且此时报文中源端口或目的端口为44818，则说明该条报文中有罗克韦尔设备操作产生的流；报文中对应端口44818的ip为罗克韦尔PLC，另一ip暂定为罗克韦尔操作员站；如同时识别到操作流，则说明设备在线，将在线信息标注到设备库中。

优选的，步骤⑷报文深度解析的具体步骤为：

①分析报文头部，获取报文功能码，若功能码是0x000x63、0x000x6F、0x000x70，说明该报文后半部分可能为罗克韦尔设备信息，继续下一步操作，若不是上述功能码则该流量数据对应的设备不是罗克韦尔设备，停止识别过程；

②对功能码0x000x63的报文，获取其后继的typeid，对typeid 0x000x0c的报文做设备信息识别处理，其他typeid不做后继处理；

③对功能码0x000x6F、0x000x70的报文，获取其item type；

对item type 0x000xb1和0x000xb2报文，做进一步解析，获取service信息，否则不做后继处理；

对service 0x01的报文做设备信息识别处理，否则不做后继处理；

④对步骤②和③识别到的设备信息做备份。

优选的，对item type 0x000xb1和0x000xb2报文，做进一步解析，获取service信息的过程为：在item部分之后协议详细信息中的第一个字节后7位为serviceid。

优选的，对service 0x01的报文做设备信息识别处理的具体过程为：

service 0x01的报文，对协议详细信息的第五个字节开始获取参数信息，从参数信息中获取需要的设备信息，参数信息中第1、2个字节表示厂商，3、4个字节表示设备类型，从第15个字节开始为设备型号。

本发明相比现有技术具有以下优点：

本发明的实时的工控被动识别罗克韦尔设备的方法，其指纹库为罗克韦尔工控设备特有的特征，如品牌、系列、匹配字串和分隔符，除了识别操作系统、厂商、端口服务外，还能识别设备的型号、序列码和PLC版本信息；通过被动识别，对罗克韦尔通信协议的应用层报文解析，按不同功能码对报文做分析，以获得正确的设备信息；

本发明的实时的工控被动识别罗克韦尔设备的方法，通过从旁路获取工控网络中的数据流量，实时分析报文序列和报文的指纹信息，根据功能码、特征码获取报文中的有效信息，对照已有的罗克韦尔指纹库，识别工控网络中的罗克韦尔资产，初步根据功能码、特征码获得罗克韦尔资产，通过分析后继的报文，来完善罗克韦尔资产信息，得到它们的型号、类型、系列、操作系统、网卡等资产信息。该方法能够不断更新资产库，以达到获取具有实时、准确的罗克韦尔资产信息的目的。

本发明的被动识别相比现有技术中的主动识别有以下优点：第一，相比主动识别需要通过主动探测获取设备信息，不知道探测包的组装将无法识别到设备，被动识别可通过流量方向、通信关系获取设备信息；第二，相比主动识别接入主网络，在发送探测包时会影响主网络的通信，也可能对主网络产生攻击，被动识别仅对设备间通信流量进行识别，不会影响到主网络的通信，更加安全快捷；相比主动识别无法知道操作的设备与被操作的设备，仅对符合主动识别策略的设备进行探测，局限性较大，本发明的被动识别方法通过DPI技术深度解析enip报文内容，根据操作系统信息判别是否是罗克韦尔设备间的通信，获取报文指纹信息，结合已有的指纹库，对设备信息做矫正，为用户管理罗克韦尔资产提供了技术支撑。

附图说明

图1为本发明实施例的一种实时的工控被动识别罗克韦尔设备的方法的流程示意图；

图2为报文深度解析的流程示意图。

具体实施方式

本发明的目的是提供一种实时的工控被动识别罗克韦尔设备的方法，通过以下技术方案实现：

一种实时的工控被动识别罗克韦尔设备的方法，包括以下步骤：

⑴预置罗克韦尔指纹库；

⑵初步解析报文：采集网络环境中的流量数据，解析数据报，提取其源ip，源端口，目的ip，目的端口，ENIP、CIP协议信息；若无法提取上述信息，说明报文无有效信息，过滤该报文，不继续对此报文做进一步处理；

⑶设备基础信息备份：解析ENIP、CIP协议，通过分析设备的MAC地址前三位字节OUI，判断设备是否是罗克韦尔设备：

若是，将源ip、目的ip作为资产ip存储到设备缓存中，并根据报文流的方向，初步判断该资产属于罗克韦尔PLC、罗克韦尔操作员站，资产状态为在线；

若不是，过滤该报文，不继续对此报文做进一步处理；

⑷报文深度解析：对应答包进一步分析报文，获取报文的特征码，以及从报文中获取各种信息，如根据ENIP报文解析到的层级信息，包括但不限于：报文长度、连接状态、发送内容、版本、items(items为ENIP协议自设计的特有的报文分组)、service信息(ENIP协议自设计在某些功能码后会有service，而功能码为0x000x6F、0x000x70的报文，在items组后的报文，为本专利需要的service信息)、网络地址(网络地址为PLC网络地址，通过此也可识别出流的方向)；

⑸持续识别工程师站：持续识别采集到的报文，分析报文信息，当功能码为0x4b0x72、0x4b 0x67，将步骤⑶中获取到的罗克韦尔操作员站更新为罗克韦尔工程师站，存储至设备库；

⑹对比指纹库获得设备信息：根据步骤⑷获取的型号，通过正则表达式匹配步骤⑴中预置的指纹库，匹配到的报文则获取系列码，并将得到的设备信息存储到设备库中；设备库的存储内容一般包括品牌、系列、型号、运行状态、威胁评分(自定义)、网卡型号、设备ip、设备mac、固件版本、时钟信息、程序区内存大小、IO区内存大小、动态内存区通道数、扩展内存区大小、内存卡大小、内存卡类型、可信标志。

本发明的实时的工控被动识别罗克韦尔设备的方法，根据当前罗克韦尔在售或已停售设备型号预置设备指纹库；根据罗克韦尔设备间交互的报文特征分析关键信息所在的报文序列，完善指纹库；分析指纹库中设备型号，根据型号类别更新指纹库中的设备系列信息；采用数据挖掘的模式采集数据流量；运用DPI技术对报文做深度检测，以获取报文的指纹信息；对比报文的指纹信息和预置的罗克韦尔设备指纹库，来获取设备型号、系列等信息；根据后继流量情况判断设备是离线还是在线。

优选的，步骤⑴预置罗克韦尔指纹库的具体过程为：

从公共网络中罗克韦尔的所有设备中提取关键信息，并对这些设备的类型、系列做编码，设置匹配报文应用层信息的规则，形成指纹库。

优选的，步骤⑶的具体操作步骤为：

初步解析ENIP协议应用层首部两个字节，当这两个字节属于罗克韦尔指令，且此时报文中源端口或目的端口为44818，则说明该条报文中有罗克韦尔设备操作产生的流；报文中对应端口44818的ip为罗克韦尔PLC，另一ip暂定为罗克韦尔操作员站；如同时识别到操作流，则说明设备在线，将在线信息标注到设备库中。

优选的，步骤⑷报文深度解析的具体步骤为：

①分析报文头部，获取报文功能码，若功能码是0x000x63、0x000x6F、0x000x70，说明该报文后半部分可能为罗克韦尔设备信息，继续下一步操作，若不是上述功能码则该流量数据对应的设备不是罗克韦尔设备，停止识别过程；

②对功能码0x000x63的报文，获取其后继的typeid，对typeid 0x000x0c的报文做设备信息识别处理，其他typeid不做后继处理；

③对功能码0x000x6F、0x000x70的报文，获取其item type；

对item type 0x000xb1和0x000xb2报文，做进一步解析，获取service信息，否则不做后继处理；(ENIP协议自设计在某些功能码后会有service，而功能码0x000x6F、0x000x70的报文，在items组后的报文，为需要的service信息)

对service 0x01的报文做设备信息识别处理，否则不做后继处理；

④对步骤②和③识别到的设备信息做备份。

优选的，对item type 0x000xb1和0x000xb2报文，做进一步解析，获取service信息的过程为：在item部分之后协议详细信息中的第一个字节后7位为serviceid。

优选的，对service 0x01的报文做设备信息识别处理的具体过程为：

service 0x01的报文，对协议详细信息的第五个字节开始获取参数信息，从参数信息中获取需要的设备信息，参数信息中第1、2个字节表示厂商，3、4个字节表示设备类型，从第15个字节开始为设备型号。

以下结合具体实施例来对本发明作进一步的描述。

实施例1

一种实时的工控被动识别罗克韦尔设备的方法，如图1所示，包括以下步骤：

⑴预置罗克韦尔指纹库；

⑵初步解析报文：采集网络环境中的流量数据，解析数据报，提取其源ip，源端口，目的ip，目的端口，ENIP、CIP协议信息；若无法提取上述信息，说明报文无有效信息，过滤该报文，不继续对此报文做进一步处理；

⑶设备基础信息备份：解析ENIP、CIP协议，通过分析设备的MAC地址前三位字节OUI，判断设备是否是罗克韦尔设备：

若是，将源ip、目的ip作为资产ip存储到设备缓存中，并根据报文流的方向，初步判断该资产属于罗克韦尔PLC、罗克韦尔操作员站，资产状态为在线；

若不是，过滤该报文，不继续对此报文做进一步处理；

⑷报文深度解析：对应答包进一步分析报文，获取报文的特征码，以及从报文中获取各种信息，如根据ENIP报文解析到的层级信息，包括但不限于：报文长度、连接状态、发送内容、版本、items(items为ENIP协议自设计的特有的报文分组)、service信息(ENIP协议自设计在某些功能码后会有service，而功能码为0x000x6F、0x000x70的报文，在items组后的报文，为本专利需要的service信息)、网络地址(网络地址为PLC网络地址，通过此也可识别出流的方向)；

⑸持续识别工程师站：持续识别采集到的报文，分析报文信息，当功能码为0x4b0x72、0x4b 0x67，将步骤⑶中获取到的罗克韦尔操作员站更新为罗克韦尔工程师站，存储至设备库；

⑹对比指纹库获得设备信息：根据步骤⑷获取的型号，通过正则表达式匹配步骤⑴中预置的指纹库，匹配到的报文则获取系列码，并将得到的设备信息存储到设备库中；设备库的存储内容一般包括品牌、系列、型号、运行状态、威胁评分(自定义)、网卡型号、设备ip、设备mac、固件版本、时钟信息、程序区内存大小、IO区内存大小、动态内存区通道数、扩展内存区大小、内存卡大小、内存卡类型、可信标志。

实施例2

采用实施例1的实时的工控被动识别罗克韦尔设备的方法，其中步骤⑴预置罗克韦尔指纹库的具体过程为：

从公共网络中罗克韦尔的所有设备中提取关键信息，并对这些设备的类型、系列做编码，设置匹配报文应用层信息的规则，形成指纹库。

实施例3

采用实施例1的实时的工控被动识别罗克韦尔设备的方法，其中步骤⑴预置罗克韦尔指纹库的具体过程为：

从公共网络中罗克韦尔的所有设备中提取关键信息，并对这些设备的类型、系列做编码，设置匹配报文应用层信息的规则，形成指纹库；

步骤⑶的具体操作步骤为：

初步解析ENIP协议应用层首部两个字节，当这两个字节属于罗克韦尔指令，且此时报文中源端口或目的端口为44818，则说明该条报文中有罗克韦尔设备操作产生的流；报文中对应端口44818的ip为罗克韦尔PLC，另一ip暂定为罗克韦尔操作员站；如同时识别到操作流，则说明设备在线，将在线信息标注到设备库中。

实施例4

一种实时的工控被动识别罗克韦尔设备的方法，包括以下步骤：

⑴预置罗克韦尔指纹库；

从公共网络中罗克韦尔的所有设备中提取关键信息，并对这些设备的类型、系列做编码，设置匹配报文应用层信息的规则，形成指纹库；

⑵初步解析报文：采集网络环境中的流量数据，解析数据报，提取其源ip，源端口，目的ip，目的端口，ENIP、CIP协议信息；若无法提取上述信息，说明报文无有效信息，过滤该报文，不继续对此报文做进一步处理；

⑶设备基础信息备份：解析ENIP、CIP协议，通过分析设备的MAC地址前三位字节OUI，判断设备是否是罗克韦尔设备，具体的：初步解析ENIP协议应用层首部两个字节，当这两个字节属于罗克韦尔指令，且此时报文中源端口或目的端口为44818，则说明该条报文中有罗克韦尔设备操作产生的流；

若是，将源ip、目的ip作为资产ip存储到设备缓存中，并根据报文流的方向，初步判断该资产属于罗克韦尔PLC、罗克韦尔操作员站，资产状态为在线；报文中对应端口44818的ip为罗克韦尔PLC，另一ip暂定为罗克韦尔操作员站；如同时识别到操作流，则说明设备在线，将在线信息标注到设备库中；

若不是，过滤该报文，不继续对此报文做进一步处理；

⑷报文深度解析：对应答包进一步分析报文，获取报文的特征码，以及从报文中获取各种信息，具体的流程如图2所示：

①分析报文头部，获取报文功能码，若功能码是0x000x63、0x000x6F、0x000x70，说明该报文后半部分可能为罗克韦尔设备信息，继续下一步操作，若不是上述功能码则该流量数据对应的设备不是罗克韦尔设备，停止识别过程；

②对功能码0x000x63的报文，获取其后继的typeid，对typeid 0x000x0c的报文做设备信息识别处理，其他typeid不做后继处理；

③对功能码0x000x6F、0x000x70的报文，获取其item type；

当报文内容为item type 0x000xb1和0x000xb2时，做进一步解析，获取service信息，在item部分之后协议详细信息中的第一个字节后7位为serviceid；否则不做后继处理；

当报文内容为service 0x01时，做设备信息识别处理，对协议详细信息的第五个字节开始获取参数信息，从参数信息中获取需要的设备信息，参数信息中第1、2个字节表示厂商，3、4个字节表示设备类型，从第15个字节开始为设备型号；否则不做后继处理；

④对步骤②和③识别到的设备信息做备份；

⑸持续识别工程师站：持续识别采集到的报文，分析报文信息，当功能码为0x4b0x72、0x4b 0x67，将步骤⑶中获取到的罗克韦尔操作员站更新为罗克韦尔工程师站，存储至设备库；

⑹对比指纹库获得设备信息：根据步骤⑷获取的型号，通过正则表达式匹配步骤⑴中预置的指纹库，匹配到的报文则获取系列码，并将得到的设备信息存储到设备库中；设备库的存储内容一般包括品牌、系列、型号、运行状态、威胁评分(自定义)、网卡型号、设备ip、设备mac、固件版本、时钟信息、程序区内存大小、IO区内存大小、动态内存区通道数、扩展内存区大小、内存卡大小、内存卡类型、可信标志。

Claims (6)

1.一种实时的工控被动识别罗克韦尔设备的方法，其特征在于：包括以下步骤：

⑴预置罗克韦尔指纹库；

⑵初步解析报文：采集网络环境中的流量数据，解析数据报，提取其源ip，源端口，目的ip，目的端口，ENIP、CIP协议信息；若无法提取上述信息，说明报文无有效信息，过滤该报文，不继续对此报文做进一步处理；

⑶设备基础信息备份：解析ENIP、CIP协议，通过分析设备的MAC地址前三位字节OUI，判断设备是否是罗克韦尔设备：

若是，将源ip、目的ip作为资产ip存储到设备缓存中，并根据报文流的方向，初步判断该资产属于罗克韦尔PLC、罗克韦尔操作员站，资产状态为在线；

若不是，过滤该报文，不继续对此报文做进一步处理；

⑷报文深度解析：对应答包进一步分析报文，获取报文的特征码，以及从报文中获取信息；

⑸持续识别工程师站：持续识别采集到的报文，分析报文信息，当功能码为0x4b0x72、0x4b 0x67，将步骤⑶中获取到的罗克韦尔操作员站更新为罗克韦尔工程师站，存储至设备库；

⑹对比指纹库获得设备信息：根据步骤⑷获取的型号，通过正则表达式匹配步骤⑴中预置的指纹库，匹配到的报文则获取系列码，并将得到的设备信息存储到设备库中。

2.根据权利要求1所述的一种实时的工控被动识别罗克韦尔设备的方法，其特征在于：步骤⑴预置罗克韦尔指纹库的具体过程为：

从公共网络中罗克韦尔的所有设备中提取关键信息，并对这些设备的类型、系列做编码，设置匹配报文应用层信息的规则，形成指纹库。

3.根据权利要求1所述的一种实时的工控被动识别罗克韦尔设备的方法，其特征在于：步骤⑶的具体操作步骤为：

初步解析ENIP协议应用层首部两个字节，当这两个字节属于罗克韦尔指令，且此时报文中源端口或目的端口为44818，则说明该条报文中有罗克韦尔设备操作产生的流；报文中对应端口44818的ip为罗克韦尔PLC，另一ip暂定为罗克韦尔操作员站；如同时识别到操作流，则说明设备在线，将在线信息标注到设备库中。

4.根据权利要求1所述的一种实时的工控被动识别罗克韦尔设备的方法，其特征在于：步骤⑷报文深度解析的具体步骤为：

①分析报文头部，获取报文功能码，若功能码是0x000x63、0x000x6F、0x000x70，继续下一步操作，若不是上述功能码则该流量数据对应的设备不是罗克韦尔设备，停止识别过程；

②对功能码0x000x63的报文，获取其后继的typeid，对typeid 0x000x0c的报文做设备信息识别处理，其他typeid不做后继处理；

③对功能码0x000x6F、0x000x70的报文，获取其item type；

对item type 0x000xb1和0x000xb2报文，做进一步解析，获取service信息，否则不做后继处理；

对service 0x01的报文做设备信息识别处理，否则不做后继处理；

④对步骤②和③识别到的设备信息做备份。

5.根据权利要求4所述的一种实时的工控被动识别罗克韦尔设备的方法，其特征在于：对item type 0x000xb1和0x000xb2报文，做进一步解析，获取service信息的过程为：在item部分之后协议详细信息中的第一个字节后7位为serviceid。

6.根据权利要求4所述的一种实时的工控被动识别罗克韦尔设备的方法，其特征在于：对service 0x01的报文做设备信息识别处理的具体过程为：

service 0x01的报文，对协议详细信息的第五个字节开始获取参数信息，从参数信息中获取需要的设备信息，参数信息中第1、2个字节表示厂商，3、4个字节表示设备类型，从第15个字节开始为设备型号。

Images