CN113973059A - 基于网络协议指纹的被动式工业互联网资产识别方法及装置 - Google Patents
基于网络协议指纹的被动式工业互联网资产识别方法及装置 Download PDFInfo
- Publication number
- CN113973059A CN113973059A CN202111226554.XA CN202111226554A CN113973059A CN 113973059 A CN113973059 A CN 113973059A CN 202111226554 A CN202111226554 A CN 202111226554A CN 113973059 A CN113973059 A CN 113973059A
- Authority
- CN
- China
- Prior art keywords
- data
- equipment
- protocol
- fingerprint
- passive
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 238000004458 analytical method Methods 0.000 claims abstract description 19
- 230000002159 abnormal effect Effects 0.000 claims abstract description 9
- 238000000605 extraction Methods 0.000 claims abstract description 7
- 230000004083 survival effect Effects 0.000 claims description 10
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000013481 data capture Methods 0.000 claims description 3
- 238000013467 fragmentation Methods 0.000 claims description 3
- 238000006062 fragmentation reaction Methods 0.000 claims description 3
- 238000004519 manufacturing process Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 2
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000009825 accumulation Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于网络协议指纹的被动式工业互联网资产识别方法及装置。利用抓包插件以被动方式自动在工业互联网中抓取流量数据;对抓包数据进行协议解析以及内容解析;对解析后的数据进行特征提取,并与指纹库里的工控设备指纹比对,如果符合已知设备则输出设备型号,构建设备网络拓扑,否则判定为识别异常;本发明通过被动式扫描方式来识别工业互联网中相关的软硬件资产,不需要主动向资产发送询问请求。该方法解决了现有的扫描技术在工业系统中采用主动方式扫描后,系统异常甚至宕机的技术问题,并且提出了工业互联网资产识别的指纹提取和认证方案。
Description
技术领域
本发明属于工控资产识别领域,尤其涉及一种基于网络协议指纹的被动式工业互联网资产识别方法及装置。
背景技术
传统IT系统中采用主动扫描等方式来识别相关的软硬件的资产,需要主动向资产发送询问请求。在工业互联网环境下,大量的控制类设备和物联网设备由于计算和通信资源有限,不支持扫描或者扫描后导致系统异常甚至宕机,因此需要研究通过被动式的方式来对资产进行识别。
发明内容
本发明的目的在于针对现有技术的不足,从流量特征入手,研发被动式工业互联网资产识别技术,可以对工业现场设备进行被动式识别,并搭建相关原型系统进行实验验证。
本发明的目的是通过以下技术方案来实现的:
本发明一方面公开了一种基于网络协议指纹的被动式工业互联网资产识别方法,该方法包括如下步骤:
S1:使用抓包插件以被动方式自动在工业互联网中抓取流量数据;
S2:对抓取到的流量数据进行协议解析;
S3:对抓取到的流量数据进行内容解析;
S4:对抓取到的流量数据进行特征提取,特征数据包括协议类型、MAC地址、端口号、滑动窗口、生存时间和时钟偏移;
S5:将提取的特征数据与指纹库里的工控设备指纹比对;如果符合已知设备的指纹特征,则输出设备型号,并添加至设备网络拓扑中;如果不符合已知设备的指纹特征,则判定为识别异常,放弃该流量数据。
进一步地,所述步骤S1中,所述抓包插件为基于python编程、利用pyshark工具包开发的工业互联网抓包插件。
进一步地,所述步骤S2中,将流量协议类型解析为以下几种:S7COMM、S7COMM-PLUS、MODBUS、CIPPCCC、CIPCLS。
进一步地,所述步骤S2中,流量数据以python中类的方式存在,所述流量数据的协议类型为这个类的成员,在抓取流量数据的同时,数据包的协议类型会被解析出来并存在该成员下。
进一步地,所述步骤S3中,基于TCP\IP协议的报文格式,将流量数据解析为4位首部长度、分片标志位、ACK标志、SYN标志、16位窗口大小、TCP可选项部分。
进一步地,所述步骤S3中,将内容解析得到的数据与协议类型一同存储在流量数据的成员之中。
进一步地,所述步骤S4中,所述滑动窗口为TCP数据包头中的滑动窗口值,不同的控制器在传输数据时会设置不同的滑动窗口值。
进一步地,所述步骤S4中,所述生存时间为数据包能在网络传输过程中生存的时间,不同厂家PLC设置的生存时间存在差异。
进一步地,所述步骤S4中,所述时钟偏移为:由于制造工艺的物理限制导致主机硬件之间存在微小差异,该差异产生主机时钟相对于标准时钟细微的时钟偏移,通过时钟偏移对设备进行识别。
本发明另一方面公开了一种基于网络协议指纹的被动式工业互联网资产识别装置,包括:
流量数据抓取模块:使用抓包插件以被动方式自动在工业互联网中抓取流量数据;
协议解析模块:对流量数据进行协议解析;
内容解析模块:对流量数据进行内容解析;
特征提取模块:对流量数据进行特征提取,特征数据包括协议类型、MAC地址、端口号、滑动窗口、生存时间和时钟偏移;
设备识别模块:将提取的特征数据与指纹库里的工控设备指纹比对;如果符合已知设备的指纹特征,则输出设备型号,并添加至设备网络拓扑中;如果不符合已知设备的指纹特征,则判定为识别异常,放弃该流量数据。
本发明的优点及有益效果是:本发明基于网络协议指纹,利用抓包插件以被动方式自动在工业互联网中抓取流量数据,对抓包数据进行协议解析以及内容解析。对解析后的数据进行特征提取,并与指纹库里的工控设备指纹比对。实现了以被动方式在网络中监听,不需要通过主动发送数据包判断控制器类型,避免了主动发送数据包导致系统异常甚至宕机、控制器不能响应请求数据包等问题。
附图说明
图1为本发明实施例提供的基于网络协议指纹的被动式工业互联网资产识别方法流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
如图1所示,本发明提供了一种基于网络协议指纹的被动式工业互联网资产识别方法,该方法包括如下步骤:
S1:使用抓包插件以被动方式自动在工业互联网中抓取流量数据;这里的抓包插件指基于python编程、利用pyshark工具包开发的工业互联网抓包插件。
当抓包插件开始运行时,反复调用抓取流量数据的函数。通过函数返回的数据可以判断是否抓取到流量数据,如果抓取到流量数据则继续进行下一步。
S2:对抓取到的流量数据进行协议解析。调用pyshark工具包中的抓取流量数据的函数时同时会解析出该流量数据的协议类型,具体地将流量协议解析为以下几种:S7COMM、S7COMM-PLUS、MODBUS、CIPPCCC、CIPCLS。
流量数据以python中类的方式存在(pkt),该流量数据的协议类型为这个类的成员(pkt.highest_layer),在抓取流量数据的同时,该数据包的协议类型会被解析出来并存在该成员(pkt.highest_layer)下。
S3:对抓取到的流量数据进行内容解析。基于TCP\IP协议的报文格式,将流量数据解析为4位首部长度、分片标志位、ACK标志、SYN标志、16位窗口大小、TCP可选项部分等重要部分。
这些数据与协议类型一同存储在流量数据(pkt)的成员之中,如:pkt.window、pkt.destination、pkt.ip id、pkt.length、pkt.time等。
S4:对抓取到的流量数据进行特征提取。基于不同工控设备的TCP\IP协议栈之间存在的信息差异,提取特征数据。特征数据具体包括:Protocol(协议类型)、MAC地址、Port(端口号)、Slide Window(滑动窗口)、Time To Live(生存时间)、TCP timestamp(时钟偏移)等。
根据实验发现,不同工控设备的主要区别主要体现在协议类型、MAC地址的前三个字节、开放的端口号、该流量数据TCP协议中的滑动窗口大小、IP协议的生存时间、时钟偏移等。
MAC地址是一个用来确认网络设备位置的位址。MAC地址用于在网络中唯一标示一个网卡,一台设备若有一个或多个网卡,则每个网卡都需要并会有一个唯一的MAC地址。MAC地址的长度为48位(6个字节),通常表示为12个16进制数,如:00-16-EA-AE-3C-40就是一个MAC地址,其中前3个字节,16进制数00-16-EA代表网络硬件制造商的编号,通过这个编号可以用于区别不同的控制器厂家。
不同的控制器在传输数据时可能开放不同的端口,如施耐德的M340一般使用1347端口,M580一般使用44569端口。
Slide Window(滑动窗口):TCP数据包头中的滑动窗口值。不同的控制器在传输数据时会设置不同的滑动窗口值,如:施耐德的M221一般为4380,M580一般为10000。
Time To Live(生存时间):数据包能在网络传输过程中生存的时间,不同厂家PLC设置的生存时间也存在一定差异。
时钟偏移:由于当下制造工艺的物理限制导致主机硬件之间存在微小的差异,该差异产生了主机时钟相对于标准时钟细微的时钟偏移(TCP timestamp),经过长时间的积累主机时钟相对于标准时钟的偏移变得可观测和可测量。可通过该偏移量对设备进行识别。
S5:将提取的特征数据与指纹库里的工控设备指纹比对。不同设备可能存在不同的特征指纹维度,例如判断西门子的S7-1200需要从MAC地址、协议类型来判断,而判断施耐德的M340还需要通过WS(Window Size)来判断。
S6:如果符合已知设备的指纹特征,则输出设备型号,并添加至设备网络拓扑中;如果不符合已知设备的指纹特征,则判定为识别异常,放弃该流量数据。
本发明实施例还提供了一种基于网络协议指纹的被动式工业互联网资产识别装置,包括:
流量数据抓取模块:使用抓包插件以被动方式自动在工业互联网中抓取流量数据;
协议解析模块:对流量数据进行协议解析;
内容解析模块:对流量数据进行内容解析;
特征提取模块:对流量数据进行特征提取,特征数据包括协议类型、MAC地址、端口号、滑动窗口、生存时间和时钟偏移;
设备识别模块:将提取的特征数据与指纹库里的工控设备指纹比对;如果符合已知设备的指纹特征,则输出设备型号,并添加至设备网络拓扑中;如果不符合已知设备的指纹特征,则判定为识别异常,放弃该流量数据。
以上所述仅是本发明的优选实施方式,虽然本发明已以较佳实施例披露如上,然而并非用以限定本发明。任何熟悉本领域的技术人员,在不脱离本发明技术方案范围情况下,都可利用上述揭示的方法和技术内容对本发明技术方案做出许多可能的变动和修饰,或修改为等同变化的等效实施例。因此,凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所做的任何的简单修改、等同变化及修饰,均仍属于本发明技术方案保护的范围内。
Claims (10)
1.一种基于网络协议指纹的被动式工业互联网资产识别方法,其特征在于,该方法包括如下步骤:
S1:使用抓包插件以被动方式自动在工业互联网中抓取流量数据;
S2:对抓取到的流量数据进行协议解析;
S3:对抓取到的流量数据进行内容解析;
S4:对抓取到的流量数据进行特征提取,特征数据包括协议类型、MAC地址、端口号、滑动窗口、生存时间和时钟偏移;
S5:将提取的特征数据与指纹库里的工控设备指纹比对;如果符合已知设备的指纹特征,则输出设备型号,并添加至设备网络拓扑中;如果不符合已知设备的指纹特征,则判定为识别异常,放弃该流量数据。
2.根据权利要求1所述的基于网络协议指纹的被动式工业互联网资产识别方法,其特征在于,所述步骤S1中,所述抓包插件为基于python编程、利用pyshark工具包开发的工业互联网抓包插件。
3.根据权利要求1所述的基于网络协议指纹的被动式工业互联网资产识别方法,其特征在于,所述步骤S2中,将流量协议类型解析为以下几种:S7COMM、S7COMM-PLUS、MODBUS、CIPPCCC、CIPCLS。
4.根据权利要求1所述的基于网络协议指纹的被动式工业互联网资产识别方法,其特征在于,所述步骤S2中,流量数据以python中类的方式存在,所述流量数据的协议类型为这个类的成员,在抓取流量数据的同时,数据包的协议类型会被解析出来并存在该成员下。
5.根据权利要求1所述的基于网络协议指纹的被动式工业互联网资产识别方法,其特征在于,所述步骤S3中,基于TCP\IP协议的报文格式,将流量数据解析为4位首部长度、分片标志位、ACK标志、SYN标志、16位窗口大小、TCP可选项部分。
6.根据权利要求1所述的基于网络协议指纹的被动式工业互联网资产识别方法,其特征在于,所述步骤S3中,将内容解析得到的数据与协议类型一同存储在流量数据的成员之中。
7.根据权利要求1所述的基于网络协议指纹的被动式工业互联网资产识别方法,其特征在于,所述步骤S4中,所述滑动窗口为TCP数据包头中的滑动窗口值,不同的控制器在传输数据时会设置不同的滑动窗口值。
8.根据权利要求1所述的基于网络协议指纹的被动式工业互联网资产识别方法,其特征在于,所述步骤S4中,所述生存时间为数据包能在网络传输过程中生存的时间,不同厂家PLC设置的生存时间存在差异。
9.根据权利要求1所述的基于网络协议指纹的被动式工业互联网资产识别方法,其特征在于,所述步骤S4中,所述时钟偏移为:由于制造工艺的物理限制导致主机硬件之间存在微小差异,该差异产生主机时钟相对于标准时钟细微的时钟偏移,通过时钟偏移对设备进行识别。
10.一种基于网络协议指纹的被动式工业互联网资产识别装置,其特征在于,包括:
流量数据抓取模块:使用抓包插件以被动方式自动在工业互联网中抓取流量数据;
协议解析模块:对流量数据进行协议解析;
内容解析模块:对流量数据进行内容解析;
特征提取模块:对流量数据进行特征提取,特征数据包括协议类型、MAC地址、端口号、滑动窗口、生存时间和时钟偏移;
设备识别模块:将提取的特征数据与指纹库里的工控设备指纹比对;如果符合已知设备的指纹特征,则输出设备型号,并添加至设备网络拓扑中;如果不符合已知设备的指纹特征,则判定为识别异常,放弃该流量数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111226554.XA CN113973059A (zh) | 2021-10-21 | 2021-10-21 | 基于网络协议指纹的被动式工业互联网资产识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111226554.XA CN113973059A (zh) | 2021-10-21 | 2021-10-21 | 基于网络协议指纹的被动式工业互联网资产识别方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113973059A true CN113973059A (zh) | 2022-01-25 |
Family
ID=79587705
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111226554.XA Pending CN113973059A (zh) | 2021-10-21 | 2021-10-21 | 基于网络协议指纹的被动式工业互联网资产识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113973059A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114584497A (zh) * | 2022-05-05 | 2022-06-03 | 北京安盟信息技术股份有限公司 | 一种被动式工业控制系统资产识别方法及装置 |
| CN115242675A (zh) * | 2022-07-25 | 2022-10-25 | 北京天融信网络安全技术有限公司 | 一种物联网终端的类型识别方法及系统 |
| CN115695593A (zh) * | 2022-12-27 | 2023-02-03 | 国家工业信息安全发展研究中心 | 基于多维探测的被动式工业互联网资产识别方法及系统 |
| CN116070218A (zh) * | 2023-03-28 | 2023-05-05 | 北京六方云信息技术有限公司 | 工业资产的探测方法、终端设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160380867A1 (en) * | 2015-06-23 | 2016-12-29 | Above Security Inc. | Method and System for Detecting and Identifying Assets on a Computer Network |
| CN110545219A (zh) * | 2019-09-25 | 2019-12-06 | 杭州安恒信息技术股份有限公司 | 工业资产的被动识别方法、装置和电子设备 |
| CN110868404A (zh) * | 2019-11-05 | 2020-03-06 | 北京航空航天大学 | 一种基于tcp/ip指纹的工控设备自动识别方法 |
-
2021
- 2021-10-21 CN CN202111226554.XA patent/CN113973059A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160380867A1 (en) * | 2015-06-23 | 2016-12-29 | Above Security Inc. | Method and System for Detecting and Identifying Assets on a Computer Network |
| CN110545219A (zh) * | 2019-09-25 | 2019-12-06 | 杭州安恒信息技术股份有限公司 | 工业资产的被动识别方法、装置和电子设备 |
| CN110868404A (zh) * | 2019-11-05 | 2020-03-06 | 北京航空航天大学 | 一种基于tcp/ip指纹的工控设备自动识别方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114584497A (zh) * | 2022-05-05 | 2022-06-03 | 北京安盟信息技术股份有限公司 | 一种被动式工业控制系统资产识别方法及装置 |
| CN115242675A (zh) * | 2022-07-25 | 2022-10-25 | 北京天融信网络安全技术有限公司 | 一种物联网终端的类型识别方法及系统 |
| CN115695593A (zh) * | 2022-12-27 | 2023-02-03 | 国家工业信息安全发展研究中心 | 基于多维探测的被动式工业互联网资产识别方法及系统 |
| CN115695593B (zh) * | 2022-12-27 | 2023-03-10 | 国家工业信息安全发展研究中心 | 基于多维探测的被动式工业互联网资产识别方法及系统 |
| CN116070218A (zh) * | 2023-03-28 | 2023-05-05 | 北京六方云信息技术有限公司 | 工业资产的探测方法、终端设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113973059A (zh) | 基于网络协议指纹的被动式工业互联网资产识别方法及装置 | |
| CN110113345B (zh) | 一种基于物联网流量的资产自动发现的方法 | |
| CN112104654B (zh) | 多协议自动识别与转换方法,存储介质及智能网关 | |
| CN109802953B (zh) | 一种工控资产的识别方法及装置 | |
| CN107360145B (zh) | 一种多节点蜜罐系统及其数据分析方法 | |
| CN110336896B (zh) | 一种局域网设备类型识别方法 | |
| CN109768952B (zh) | 一种基于可信模型的工控网络异常行为检测方法 | |
| CN111709009A (zh) | 联网工业控制系统的探测方法、装置、计算机设备和介质 | |
| CN103916294A (zh) | 协议类型的识别方法和装置 | |
| CN111371651A (zh) | 一种工业通讯协议逆向分析方法 | |
| CN111191767A (zh) | 一种基于向量化的恶意流量攻击类型的判断方法 | |
| CN110740144B (zh) | 确定攻击目标的方法、装置、设备及存储介质 | |
| JP2022000987A (ja) | 通信装置 | |
| CN111478925B (zh) | 应用于工业控制环境的端口扫描检测方法、系统 | |
| CN112787875A (zh) | 设备识别方法、装置及设备、存储介质 | |
| CN109936566B (zh) | 一种数据传输方法系统、装置及计算机可读存储介质 | |
| CN109474540B (zh) | 一种识别opc流量的方法及装置 | |
| CN115442259A (zh) | 系统识别方法及装置 | |
| CN114189348A (zh) | 一种适用于工控网络环境的资产识别方法 | |
| CN113676459A (zh) | 一种实时的工控被动识别罗克韦尔设备的方法 | |
| CN113765891A (zh) | 一种设备指纹识别方法以及装置 | |
| CN116668145A (zh) | 一种基于工控协议通信模型的工控设备厂商识别方法 | |
| CN114726607B (zh) | 一种基于交换机监视网络数据的网络安全监测系统 | |
| CN111935069B (zh) | 一种基于时序的流量攻击可视化表征方法 | |
| CN114285769A (zh) | 共享上网检测方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220125 |
|
| RJ01 | Rejection of invention patent application after publication |