CN114355853A - 一种工控数据取证方法、装置、电子设备及存储介质 - Google Patents
一种工控数据取证方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114355853A CN114355853A CN202111657556.4A CN202111657556A CN114355853A CN 114355853 A CN114355853 A CN 114355853A CN 202111657556 A CN202111657556 A CN 202111657556A CN 114355853 A CN114355853 A CN 114355853A
- Authority
- CN
- China
- Prior art keywords
- sensitive operation
- operation information
- industrial control
- industrial
- engineering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Programmable Controllers (AREA)
Abstract
本申请涉及工控安全技术领域,尤其涉及一种工控数据取证方法、装置、电子设备及存储介质,获取工业控制器的工控流量数据和工程数据,工程数据中包含有多个工程变量的变量地址;基于各工程变量的变量地址,结合预设的各工程变量与变量名称之间的映射关系,获得相应的目标变量名称,并分别基于各目标变量名称,从工程数据中获得相应的第一敏感操作信息;以及,从工控流量数据中,解析获得各第二敏感操作信息;生成包含有各第一敏感操作信息和各第二敏感操作信息的敏感操作信息集合,并基于敏感操作信息集合进行相应处理。这样,将难以理解的工程变量转化为变量名称,能够提高敏感操作信息的可读性,并且,还能够提高工控数据取证的效率和准确度。
Description
技术领域
本申请涉及工控安全技术领域,尤其涉及一种工控数据取证方法、装置、电子设备及存储介质。
背景技术
目前,随着工业控制技术的发展,工控系统的事故也越来越多。例如,工控系统和工控设备年久失修,自身功能出现故障从而导致的工控事故;又例如,针对工控系统的定向性、隐蔽性的攻击,从而导致的工控事故。因此,为了保留工控事故的证据,需要对工控数据进行取证。
相关技术中,在对工控数据进行取证时,通常是采用传统的IT取证方式进行对工控事故进行取证,然而,相关技术中的这种取证方式,对于工控系统的针对性不强,因此,会降低工控数据取证的效率和准确度。
发明内容
本申请实施例提供一种工控数据取证方法、装置、电子设备及存储介质,以提高工控数据中的敏感操作信息的可读性,并提高工控数据取证的效率和准确度。
本申请实施例提供的具体技术方案如下:
一种工控数据取证方法,应用于取证设备,包括:
获取所述工业控制器的工控流量数据和工程数据,其中,所述工程数据中包含有多个工程变量的变量地址;
基于各工程变量的变量地址,结合预设的各工程变量与变量名称之间的映射关系,获得相应的目标变量名称,并分别基于各目标变量名称,从所述工程数据中获得相应的第一敏感操作信息;以及,从所述工控流量数据中,解析获得各第二敏感操作信息;
生成包含有各第一敏感操作信息和所述各第二敏感操作信息的敏感操作信息集合,并基于所述敏感操作信息集合进行相应处理。
可选的,获取所述工业控制器的工控流量数据和工程数据,具体包括:
确定所述工业控制器运行完成后,采集所述工业控制器的工控流量数据;以及,
向所述工业控制器发送上载指令,并接收所述工业控制器基于所述上载指令返回的工程数据,其中,所述工程数据为所述工业控制器响应于所述上载指令,将存储的工程数据返回给所述取证设备后获得的。
可选的,分别基于各目标变量名称,从所述工程数据中获得相应的第一敏感操作信息,具体包括:
分别针对各目标变量名称,执行以下操作:
基于任意一个目标变量名称,确定该目标变量名称在所述工程数据中的变量信息;
基于该目标变量名称和变量信息,获得相应的第一敏感操作信息。
可选的,从所述工控流量数据中,解析获得各第二敏感操作信息,具体包括:
确定所述工业控制器对应的工控协议,其中,每种工业控制器对应有相应的工控协议;
基于所述工控协议,对所述工控流量数据进行识别,获得各待处理敏感操作,以及所述各敏感操作各自对应的命令地址和命令值;
分别基于所述各待处理敏感操作,以及对应的命令地址和命令值,获得相应的第二敏感操作信息。
可选的,还包括:
扫描工控网络中的资产信息,获得所述工控网络中的工业控制器对应的设备属性信息;
基于所述设备属性信息,确定所述工业控制器对应的工控协议。
可选的,基于所述敏感操作信息集合进行相应处理,具体包括:
基于所述敏感操作信息集合中,各敏感操作信息各自对应的时间信息,对所述各敏感操作信息进行排序,获得排序后的各敏感操作信息;
将所述排序后的敏感操作信息发送给工控上位机,以使所述工控上位机展示所述排序后的各敏感操作信息。
一种工控数据取证装置,应用于取证设备,包括:
获取模块,用于获取所述工业控制器的工控流量数据和工程数据,其中,所述工程数据中包含有多个工程变量的变量地址;
第一处理模块,用于基于各工程变量的变量地址,结合预设的各工程变量与变量名称之间的映射关系,获得相应的目标变量名称,并分别基于各目标变量名称,从所述工程数据中获得相应的第一敏感操作信息;以及,所述第一处理模块用于从所述工控流量数据中,解析获得各第二敏感操作信息;
第二处理模块,用于生成包含有各第一敏感操作信息和所述各第二敏感操作信息的敏感操作信息集合,并基于所述敏感操作信息集合进行相应处理。
可选的,获取所述工业控制器的工控流量数据和工程数据时,所述获取模块还用于:
确定所述工业控制器运行完成后,采集所述工业控制器的工控流量数据;以及,
向所述工业控制器发送上载指令,并接收所述工业控制器基于所述上载指令返回的工程数据,其中,所述工程数据为所述工业控制器响应于所述上载指令,将存储的工程数据返回给所述取证设备后获得的。
可选的,分别基于各目标变量名称,从所述工程数据中获得相应的第一敏感操作信息时,第一处理模块还用于:
分别针对各目标变量名称,执行以下操作:
基于任意一个目标变量名称,确定该目标变量名称在所述工程数据中的变量信息;
基于该目标变量名称和变量信息,获得相应的第一敏感操作信息。
可选的,从所述工控流量数据中,解析获得各第二敏感操作信息时,第一处理模块还用于:
确定所述工业控制器对应的工控协议,其中,每种工业控制器对应有相应的工控协议;
基于所述工控协议,对所述工控流量数据进行识别,获得各待处理敏感操作,以及所述各敏感操作各自对应的命令地址和命令值;
分别基于所述各待处理敏感操作,以及对应的命令地址和命令值,获得相应的第二敏感操作信息。
可选的,还包括扫描模块,所述扫描模块用于:
扫描工控网络中的资产信息,获得所述工控网络中的工业控制器对应的设备属性信息;
基于所述设备属性信息,确定所述工业控制器对应的工控协议。
可选的,基于所述敏感操作信息集合进行相应处理时,第二处理模块还用于:
基于所述敏感操作信息集合中,各敏感操作信息各自对应的时间信息,对所述各敏感操作信息进行排序,获得排序后的各敏感操作信息;
将所述排序后的敏感操作信息发送给工控上位机,以使所述工控上位机展示所述排序后的各敏感操作信息。
一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述工控数据取证方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述工控数据取证方法的步骤。
本申请实施例中,获取工业控制器的工控流量数据和工程数据,工程数据中包含有多个第一敏感操作的命令地址,基于各第一敏感操作的命令地址,结合预设的各命令地址与命令名称之间的映射关系,获得相应的目标命令名称,并分别基于各目标命令名称,从工程数据中获得相应的第一敏感操作信息,以及,从工控流量数据中,解析获得各第二敏感操作信息,最后,生成包含有各第一敏感操作信息和各第二敏感操作信息的敏感操作信息集合,并基于敏感操作信息集合进行相应处理。这样,通过对工业控制的工控流量数据和工程数据进行分析,提取出关键的敏感操作信息,对工控系统具有针对性的分析,能够进一步增强工控取证的专业性,并且,本申请实施例中,将难以理解的变量地址转化为可读的变量名称,能够提高敏感操作信息的可读性,从而提高工控取证的效率和准确度。
附图说明
图1为本申请实施例中一种工控系统的架构图;
图2为本申请实施例中一种工控数据取证方法的流程示意图;
图3为本申请实施例中一种工控数据取证方法的另一流程示意图;
图4为本申请实施例中工控数据取证装置的结构示意图;
图5为本申请实施例中电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,并不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
以下对本申请实施例中的部分用语进行解释说明,以便于本领域技术人员理解。
工控系统:工业控制系统的简称,是一个通用术语,它包括多种工业生产中使用的控制系统,包括监控和数据采集系统(Supervisory Control And Data Acquisition,SCADA)、分布式控制系统(Distributed Control System,DCS)和可编程逻辑控制器(Programmable Logic Controller,PLC)等,现已广泛应用在工业部门和关键基础设施中。
工控协议:工业控制系统内的通信协议,包含但不限于对象链接与嵌入的过程控制(OLE for Process Control,OPC)、OPC统一架构(Unified Architecture,UA)、S7协议、ENIP、Modbus等。
取证:对物证的科学分析。取证属于、用于或适用于法院法庭或公开讨论和辩论及其相关事件的调查定性。
工业控制器:依据传感器信号,来调整发送至执行器的输出信号,用以改变受控设备状况的装置,在工业系统中包含但不限于PLC、远程终端单元()Remote Terminal Unit,RTU)、DCS等。
控制器工程:运行在控制器上的逻辑程序。
PLC:通过数字运算操作对工业生产装备进行控制的电子设备。PLC主要执行各类运算、顺序控制、定时执行等指令,并通过数字量、模拟量输入和输出,控制各种类型的机械或生产过程。
工控上位机:指可以直接发出操控命令的计算机。一般是一台PC机,运行SCADA。
下面对本申请实施例的设计思想进行简要介绍:
目前,在工业系统领域,随着工业控制技术的发展,工控系统的事故也越来越多。其中,工控事故包括但不限于以下几类:
1)工控系统和工控设备年久失修,自身功能出现故障从而导致的工控事故;
2)工业企业内部员工故意导致的生产事故,以及工业企业内部员工无意导致的生产事故;
3)目前面临严峻的网络安全局势,尤其是针对工控系统的定向性、有组织性、隐蔽性的攻击,从而导致的工控事故,例如,停电事故、水务系统遭受的攻击等。
因此,为了保留工控事故的证据,需要对工控数据进行取证。
相关技术中,面临工业系统的事故,通常是采用传统的IT取证方式对工控事故进行取证的,然而,相关技术中的这种方式,对于工控系统的针对性不强;并且,在借助工具对目标系统提取出关键的信息时,由于借助的工具并非是针对工控系统设计的,因此,需要工作人员花费大量的时间对提取出的关键的信息进行分析,从而降低了工控数据取证的效率和准确度。
为了解决上述问题,本申请实施例中,提供了一种工控数据取证方法、装置、电子设备及存储介质,获取工业控制器的工控流量数据和工程数据,其中,工程数据中包含有多个第一敏感操作的命令地址;基于各第一敏感操作的命令地址,结合预设的各命令地址与命令名称之间的映射关系,获得相应的目标命令名称,并分别基于各目标命令名称,从工程数据中获得相应的第一敏感操作信息;以及,从工控流量数据中,解析获得各第二敏感操作信息;生成包含有各第一敏感操作信息和各第二敏感操作信息的敏感操作信息集合,并基于敏感操作信息集合进行相应处理。这样,能够将难以理解的工程变量转化为变量名称,从而提高了敏感操作信息的可读性,同时,还能够提高工控数据取证的效率和准确度。
以下结合说明书附图对本申请的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本申请,并不用于限定本申请,并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
首先,对本申请实施例中的工控系统的架构图进行说明,参阅图1所示,为本申请实施例中一种工控系统的架构图,包括工控上位机100、取证设备110和工业控制器120。
其中,工控上位机100用于向取证设备发送取证指令,还用于在接收到排序后的各敏感操作信息后,展示排序后的各敏感操作信息。
工控上位机100与取证设备110之间可以通过通信网络进行通信,在一种可选的实施方式中,通信网络可以是有线网络或无线网络,因此,工控上位机100以及取证设备110可通过有线或无线通信方式进行直接或间接地连接,本申请实施例在此不做具体限制。
取证设备110用于响应于针对工业控制器的取证指令,获取工业控制器120的工控流量数据和工程数据,基于各操作命令的命令地址,结合预设的各命令地址与命令名称之间的映射关系,获得相应的目标命令名称,并分别基于各目标命令名称,从工程数据中获得相应的第一敏感操作信息,以及,从工控流量数据中,解析获得各第二敏感操作信息,生成包含有各第一敏感操作信息和各第二敏感操作信息的敏感操作信息集合,并对敏感操作信息集合中的各敏感操作信息进行排序,获得排序后的各敏感操作信息,最后,将排序后的各敏感操作信息发送给工控上位机100。
取证设备110与工业控制器120之间可以通过通信网络进行通信,在一种可选的实施方式中,通信网络可以是有线网络或无线网络,因此,取证设备110以及工业控制器120可通过有线或无线通信方式进行直接或间接地连接,本申请实施例在此不做具体限制。
工业控制器120可以为可编程逻辑控制器(Programmable Logic Controller,PLC)、数控机床、机器人等,本申请实施例中对此并不进行限制。
基于上述实施例,参阅图2所示,为本申请实施例中一种工控数据取证方法的流程示意图,具体包括:
S20:获取工业控制器的工控流量数据和工程数据。
其中,工程数据中包含有多个工程变量的变量地址。
本申请实施例中,取证设备获取工业控制器的工控流量数据和工程数据。
可选的,本申请实施例中,为获取工业控制器的工控流量数据和工程数据提供了一种可能的实施方式,下面对本申请实施例中获取工业控制器的工控流量数据和工程数据的过程进行详细阐述,具体包括:
首先,确定工业控制器运行完成后,采集工业控制器的工控流量数据。
本申请实施例中,确定工业控制器运行完成后,采集工业控制器的工控流量。
需要说明的是,工控流量数据表征工业控制器在运行过程中,与其它设备进行交互时产生的数据。
然后,向工业控制器发送上载指令,并接收工业控制器基于上载指令返回的工程数据。
其中,工程数据为工业控制器响应于上载指令,将存储的工程数据返回给取证设备后获得的。
本申请实施例中,通过工业控制器对应的工控协议,向工业控制器发送上载指令,从而工业控制器在接收到上载指令后,响应于接收到的上载指令,读取存储的工程数据,并将存储的工程数据通过工业控制器对应的工控协议发送给取证设备,从而取证设备能够接收到工业控制器发送的工程数据。
需要说明的是,本申请实施例中的工程数据为工业控制器在执行操作命令后,运行过程中所产生的数据,包含有多个工程变量的变量地址,本申请实施例中对此并不进行限制。
还需要说明的是,本申请实施例中的工程数据是一个二进制文件,不同厂家的工业控制器的工程数据的格式不同,但工程数据中均包含有变量地址和变量名称之前的映射关系。
例如:使用A方案的工控厂家,使用的工程数据的格式相同。
另外,需要说明的是,本申请实施例中并不限制执行S201和S202的顺序,可以先执行S201,再执行S202,也可以先执行S202,再执行201,当然,还可以同时执行S201和S202,本申请实施例中对此并不进行限制。
S21:基于各工程变量的变量地址,结合预设的各工程变量与变量名称之间的映射关系,获得相应的目标变量名称,并分别基于各目标变量名称,从工程数据中获得相应的第一敏感操作信息;以及,从工控流量数据中,解析获得各第二敏感操作信息。
本申请实施例中,获取预设的各变量地址与变量名称之间的映射关系,并基于各工程变量的变量地址,结合各变量地址与变量名称之间的映射关系,分别确定与各变量地址映射的目标变量名称,然后,基于各目标变量名称,从工程数据中获得相应的第一敏感操作信息。同时,对工程流量数据进行解析,从工程流量数据中解析获得各第二敏感操作信息。
首先,对本申请实施例中获得相应的第一敏感操作信息的过程进行详细阐述,具体包括:
A1:获取预设的各变量地址与变量名称之间的映射关系。
本申请实施例中,获取预设的各变量地址与变量名称之间的映射关系。
需要说明的是,预设的各变量地址与变量名称之间的映射关系,可以存储在工程数据中,具体的,在工控上位机中配置各变量地址与变量名称之间的映射关系,然后,将配置的映射关系发送给工业控制器,从而工业控制器将配置的映射关系存储在工程数据中,也即,工程数据中还包含有各变量地址与变量名称之间的映射关系,从而取证设备向工业控制器发送上载指令后接收到工程数据,并在上载完成后,对工程数据进行解析,获得各变量地址与变量名称之间的映射关系。
需要说明的是,各变量地址与变量名称之间的映射关系用于将工程数据中的变量地址转换为命变量名称,从而提高工程数据的可读性。
其中,变量名称例如可以为阀门、压力值等,本申请实施例中对此并不进行限制。
A2:基于各工程变量的变量地址,结合预设的各变量地址与变量名称之间的映射关系,获得相应的目标变量名称。
本申请实施例中,分别针对各工程变量的变量地址,执行以下操作:
基于任意一个工程变量的变量地址,结合预设的各变量地址与变量名称之间的映射关系,将该变量地址映射为目标变量名称。
例如,假设变量地址为0x3426,则可将该变量地址“0x3426”映射为目标变量名称“阀门1开关”。
A3:分别基于各目标变量名称,从工程数据中获得相应的第一敏感操作信息。
可选的,本申请实施例中,为确定第一敏感操作信息提供了一种可能的实施方式,下面以任意一个目标变量名称为例,对本申请实施例中分别基于各目标变量名称,从工程数据中获得相应的第一敏感操作信息的过程进行说明,具体包括:
首先,基于任意一个目标变量名称,确定该目标变量名称在工程数据中的变量信息。
本申请实施例中,基于任意一个目标变量名称,确定工程数据中,与该目标变量名称关联的变量信息。
其中,变量信息可以为目标变量名称的时间信息、IP等,本申请实施例中对此并不进行限制。
然后,基于该目标变量名称和变量信息,获得相应的第一敏感操作信息。
本申请实施例中,将目标变量名称和变量信息按照预设的格式进行组合,获得相应的第一敏感操作信息。
例如,2020-02-18 11:26:52IP:10.65.60.78对PLC:10.65.60.79执行“将阀门2变量置为0”操作,其中,阀门2为目标变量名称。
下面对本申请实施例中从工控流量数据中,解析获得各第二敏感操作信息的过程进行详细阐述,具体包括:
首先,确定工业控制器对应的工控协议。
其中,每种工业控制器对应有相应的工控协议。
本申请实施例中,确定工业控制器对应的工控协议。
可选的,本申请实施例中,为确定工业控制器对应的工控协议提供了一种可能的实施方式,具体包括:
扫描工控网络中的资产信息,获得工控网络中的工业控制器对应的设备属性信息。
本申请实施例中,主动扫描工控网络中的资产信息,确定工控网络中连接的工业控制器,并获取工业控制器对应的设备属性信息。
其中,设备属性信息至少包括以下一种:型号、IP地址、固件版本,本申请实施例中对此并不进行限制。
基于设备属性信息,确定工业控制器对应的工控协议。
本申请实施例中,根据设备属性信息,以及各候选工控协议各自对应的候选识别属性信息,从各候选工控协议中,确定出与设备属性信息相同的候选设备属性信息,以及候选识别属性信息对应的候选工控协议,并将确定出的候选工控协议作为工业控制器对应的工控协议。
例如,候选工控协议为候选工控协议A、候选工控协议B和候选工控协议C,候选工控协议A对应的候选设备属性信息中的IP地址为10.65.60.78,候选工控协议B对应的候选设备属性信息中的IP地址为10.65.60.79,候选工控协议C对应的候选设备属性信息中的IP地址为10.65.60.80,工业控制器对应的设备属性信息中的IP地址为10.65.60.78,因此,将候选工控协议A作为工业控制器对应的工控协议。
需要说明的是,本申请实施例中的工控协议可以通过开源渠道获得;可以通过合作获得;还可以通过逆向工控上位机软件实现对私有协议的流量解析支持从而获得,本申请实施例中对此并不进行限制。
然后,基于工控协议,对工控流量数据进行识别,获得各待处理敏感操作,以及各敏感操作各自对应的命令地址和命令值。
本申请实施例中,基于工控协议,对工控流量数据进行识别,获得各待处理敏感操作,以及各敏感操作各自对应的命令地址和命令值。
例如,基于工控协议可知,命令值“01”对应的敏感操作为“停止”设备;命令值“02”对应的敏感操作为“运行”设备;命令值“03”对应的敏感操作为“下装”工程,并且,在该命令值后跟“工程数据”;命令值04对应的敏感操作为“上载”工程,将命令值“04”发送给控制器后,控制器返回:04+“工程数据”;命令值“05”对应的敏感操作为对指定地址进行读操作,后跟地址和值;命令值“06”对应的敏感操作为对指定地址进行写操作,后跟地址和值。
其中,敏感操作还可以为对PLC的工程下装、对PLC启动、对PLC停止、对工业控制器中的变量写入等,本申请实施例中对此并不进行限制。
最后,分别基于各待处理敏感操作,以及对应的命令地址和命令值,获得相应的第二敏感操作信息。
本申请实施例中,分别基于各待处理敏感操作,以及每个待处理敏感操作对应的命令地址和命令值,获得相应的第二敏感操作信息。
S22:生成包含有各第一敏感操作信息和各第二敏感操作信息的敏感操作信息集合,并基于敏感操作信息集合进行相应处理。
本申请实施例中,基于各第一敏感操作信息和各第二敏感操作信息,生成敏感操作信息集合,因此,敏感操作信息集合中包括各第一敏感操作信息和各第二敏感操作信息,然后,基于生成的敏感操作信息集合进行相应的处理。
其中,本申请实施例中,为基于生成的敏感操作信息集合进行相应处理提供了一种可能的实施方式,具体包括:
基于敏感操作信息集合中,各敏感操作信息各自对应的时间信息,对各敏感操作信息进行排序,获得排序后的各敏感操作信息。
本申请实施例中,确定敏感操作信息集合中,每个第一敏感操作信息对应的时间信息,以及每个第二敏感操作信息对应的时间信息,对各第一敏感操作信息和各第二敏感操作信息进行排序,获得排序后的各第一敏感操作信息和各第二敏感操作信息,因此,排序后的各第一敏感操作信息和各第二敏感操作信息是按照时间线排序的。
例如,假设第二敏感操作信息A为2020-02-18 11:21:32IP:10.65.60.78对PLC:10.65.60.79执行“停止”操作,第一敏感操作信息B为2020-02-18 11:26:52IP:10.65.60.78对PLC:10.65.60.79执行“将阀门2变量置为0”操作,第二敏感操作信息C为2020-02-18 11:25:35IP:10.65.60.78对PLC:10.65.60.79执行“下装工程”操作,则按照时间顺序对各第一敏感操作信息和各第二敏感操作信息进行排序,获得排序后的各第一敏感操作信息和各第二敏感操作信息为第二敏感操作信息A、第二敏感操作信息C和第一敏感操作信息B,即,2020-02-18 11:21:32IP:10.65.60.78对PLC:10.65.60.79执行“停止”操作、2020-02-18 11:25:35IP:10.65.60.78对PLC:10.65.60.79执行“下装工程”操作、2020-02-18 11:26:52IP:10.65.60.78对PLC:10.65.60.79执行“将阀门2变量置为0”操作。
将排序后的敏感操作信息发送给工控上位机,以使工控上位机展示排序后的各敏感操作信息。
本申请实施例中,将排序后的各第一敏感操作信息和各第二敏感操作信息发送给工控上位机,由工控上位机将排序后的各第一敏感操作信息和各第二敏感操作信息展示给取证分析人员。
需要说明的是,工控上位机在接收到排序后的各第一敏感操作信息和各第二敏感操作信息之后,将排序后的各第一敏感操作信息和各第二敏感操作信息存储至数据库中。
本申请实施例中,通过对工控流量数据和工程数据进行深入分析,从工控流量数据和工程数据中提取出关键的敏感操作信息,可以进一步增强工控取证的专业性,并且,通过上载工程数据并构建映射表的方法,将难以理解的变量地址转化为变量名称,能够大大提高可读性,方便取证人员进行分析,另外,通过识别工控流量数据和工程数据中的敏感操作,构造敏感操作信息的时间线,能够让取证人员了解在什么时间什么IP对工业控制器执行的操作,从而能够保住取证人员进行高效的取证分析。
基于上述实施例,参阅图3所示,为本申请实施例中一种工控数据取证方法的另一流程示意图,具体包括:
S300:对工业控制器进行资产扫描。
本申请实施例中,扫描工控网络中的资产信息,获得工控网络中的工业控制器对应的设备属性信息。
S301:向工业控制器发送上载指令,并接收工业控制器基于上载指令返回的工程数据。
S302:基于各工程变量的变量地址,结合预设的各工程变量与变量名称之间的映射关系,获得相应的目标变量名称,并分别基于各目标变量名称,从工程数据中获得相应的第一敏感操作信息。
S303:确定工业控制器运行完成后,采集工业控制器的工控流量数据,并从工控流量数据中,解析获得各第二敏感操作信息。
S304:基于各第一敏感操作信息和各第二敏感操作信息,生成敏感操作日志。
本申请实施例中,首先通过资产扫描获取到工控网络中的工业控制器,对工业控制器的工程文件进行上载后,通过解析工程数据来构建变量名称和地址的映射信息,同时,通过工控协议解析识别出流量中敏感的操作,提取出敏感操作信息,因此,通过本申请实施例中的方法能够很好地对工控系统中的通信数据进行取证,大大缩短调查取证的时间。
基于同一发明构思,本申请实施例中还提供了一种工控数据取证装置,该工控数据取证装置例如可以是前述实施例中的取证设备,该工控数据取证装置可以是硬件结构、软件模块、或硬件结构加软件模块。基于上述实施例,参阅图4所示为本申请实施例中工控数据取证装置的结构示意图,具体包括:
获取模块400,用于获取所述工业控制器的工控流量数据和工程数据,其中,所述工程数据中包含有多个工程变量的变量地址;
第一处理模块410,用于基于各工程变量的变量地址,结合预设的各工程变量与变量名称之间的映射关系,获得相应的目标变量名称,并分别基于各目标变量名称,从所述工程数据中获得相应的第一敏感操作信息;以及,所述第一处理模块用于从所述工控流量数据中,解析获得各第二敏感操作信息;
第二处理模块420,用于生成包含有各第一敏感操作信息和所述各第二敏感操作信息的敏感操作信息集合,并基于所述敏感操作信息集合进行相应处理。
可选的,获取所述工业控制器的工控流量数据和工程数据时,所述获取模块400还用于:
确定所述工业控制器运行完成后,采集所述工业控制器的工控流量数据;以及,
向所述工业控制器发送上载指令,并接收所述工业控制器基于所述上载指令返回的工程数据,其中,所述工程数据为所述工业控制器响应于所述上载指令,将存储的工程数据返回给所述取证设备后获得的。
可选的,分别基于各目标变量名称,从所述工程数据中获得相应的第一敏感操作信息时,第一处理模块410还用于:
分别针对各目标变量名称,执行以下操作:
基于任意一个目标变量名称,确定该目标变量名称在所述工程数据中的变量信息;
基于该目标变量名称和变量信息,获得相应的第一敏感操作信息。
可选的,从所述工控流量数据中,解析获得各第二敏感操作信息时,第一处理模块410还用于:
确定所述工业控制器对应的工控协议,其中,每种工业控制器对应有相应的工控协议;
基于所述工控协议,对所述工控流量数据进行识别,获得各待处理敏感操作,以及所述各敏感操作各自对应的命令地址和命令值;
分别基于所述各待处理敏感操作,以及对应的命令地址和命令值,获得相应的第二敏感操作信息。
可选的,还包括扫描模块430,所述扫描模块430用于:
扫描工控网络中的资产信息,获得所述工控网络中的工业控制器对应的设备属性信息;
基于所述设备属性信息,确定所述工业控制器对应的工控协议。
可选的,基于所述敏感操作信息集合进行相应处理时,第二处理模块420还用于:
基于所述敏感操作信息集合中,各敏感操作信息各自对应的时间信息,对所述各敏感操作信息进行排序,获得排序后的各敏感操作信息;
将所述排序后的敏感操作信息发送给工控上位机,以使所述工控上位机展示所述排序后的各敏感操作信息。
基于上述实施例,参阅图5所示为本申请实施例中电子设备的结构示意图。
本申请实施例提供了一种电子设备,该电子设备可以包括处理器510(CenterProcessing Unit,CPU)、存储器520、输入设备530和输出设备540等,输入设备530可以包括键盘、鼠标、触摸屏等,输出设备540可以包括显示设备,如液晶显示器(Liquid CrystalDisplay,LCD)、阴极射线管(Cathode Ray Tube,CRT)等。
存储器520可以包括只读存储器(ROM)和随机存取存储器(RAM),并向处理器510提供存储器520中存储的程序指令和数据。在本申请实施例中,存储器520可以用于存储本申请实施例中任一种工控数据取证方法的程序。
处理器510通过调用存储器520存储的程序指令,处理器510用于按照获得的程序指令执行本申请实施例中任一种工控数据取证方法。
基于上述实施例,本申请实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意方法实施例中的工控数据取证方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种工控数据取证方法,其特征在于,应用于取证设备,包括:
获取所述工业控制器的工控流量数据和工程数据,其中,所述工程数据中包含有多个工程变量的变量地址;
基于各工程变量的变量地址,结合预设的各工程变量与变量名称之间的映射关系,获得相应的目标变量名称,并分别基于各目标变量名称,从所述工程数据中获得相应的第一敏感操作信息;以及,从所述工控流量数据中,解析获得各第二敏感操作信息;
生成包含有各第一敏感操作信息和所述各第二敏感操作信息的敏感操作信息集合,并基于所述敏感操作信息集合进行相应处理。
2.如权利要求1所述的方法,其特征在于,获取所述工业控制器的工控流量数据和工程数据,具体包括:
确定所述工业控制器运行完成后,采集所述工业控制器的工控流量数据;以及,
向所述工业控制器发送上载指令,并接收所述工业控制器基于所述上载指令返回的工程数据,其中,所述工程数据为所述工业控制器响应于所述上载指令,将存储的工程数据返回给所述取证设备后获得的。
3.如权利要求1所述的方法,其特征在于,分别基于各目标变量名称,从所述工程数据中获得相应的第一敏感操作信息,具体包括:
分别针对各目标变量名称,执行以下操作:
基于任意一个目标变量名称,确定该目标变量名称在所述工程数据中的变量信息;
基于该目标变量名称和变量信息,获得相应的第一敏感操作信息。
4.如权利要求1所述的方法,其特征在于,从所述工控流量数据中,解析获得各第二敏感操作信息,具体包括:
确定所述工业控制器对应的工控协议,其中,每种工业控制器对应有相应的工控协议;
基于所述工控协议,对所述工控流量数据进行识别,获得各待处理敏感操作,以及所述各敏感操作各自对应的命令地址和命令值;
分别基于所述各待处理敏感操作,以及对应的命令地址和命令值,获得相应的第二敏感操作信息。
5.如权利要求3所述的方法,其特征在于,还包括:
扫描工控网络中的资产信息,获得所述工控网络中的工业控制器对应的设备属性信息;
基于所述设备属性信息,确定所述工业控制器对应的工控协议。
6.如权利要求1所述的方法,其特征在于,基于所述敏感操作信息集合进行相应处理,具体包括:
基于所述敏感操作信息集合中,各敏感操作信息各自对应的时间信息,对所述各敏感操作信息进行排序,获得排序后的各敏感操作信息;
将所述排序后的敏感操作信息发送给工控上位机,以使所述工控上位机展示所述排序后的各敏感操作信息。
7.一种工控数据取证装置,其特征在于,应用于取证设备,包括:
获取模块,用于获取所述工业控制器的工控流量数据和工程数据,其中,所述工程数据中包含有多个工程变量的变量地址;
第一处理模块,用于基于各工程变量的变量地址,结合预设的各工程变量与变量名称之间的映射关系,获得相应的目标变量名称,并分别基于各目标变量名称,从所述工程数据中获得相应的第一敏感操作信息;以及,所述第一处理模块用于从所述工控流量数据中,解析获得各第二敏感操作信息;
第二处理模块,用于生成包含有各第一敏感操作信息和所述各第二敏感操作信息的敏感操作信息集合,并基于所述敏感操作信息集合进行相应处理。
8.如权利要求7所述的装置,其特征在于,从所述工控流量数据中,解析获得各第二敏感操作信息时,所述第一处理模块还用于:
确定所述工业控制器对应的工控协议,其中,每种工业控制器对应有相应的工控协议;
基于所述工控协议,对所述工控流量数据进行识别,获得各待处理敏感操作,以及所述各敏感操作各自对应的命令地址和命令值;
分别基于所述各待处理敏感操作,以及对应的命令地址和命令值,获得相应的第二敏感操作信息。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-6任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1-6任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111657556.4A CN114355853B (zh) | 2021-12-30 | 2021-12-30 | 一种工控数据取证方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111657556.4A CN114355853B (zh) | 2021-12-30 | 2021-12-30 | 一种工控数据取证方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114355853A true CN114355853A (zh) | 2022-04-15 |
| CN114355853B CN114355853B (zh) | 2023-09-19 |
Family
ID=81106156
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111657556.4A Active CN114355853B (zh) | 2021-12-30 | 2021-12-30 | 一种工控数据取证方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114355853B (zh) |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9032522B1 (en) * | 2012-07-23 | 2015-05-12 | Sandia Corporation | PLC backplane analyzer for field forensics and intrusion detection |
| CN109144023A (zh) * | 2017-06-27 | 2019-01-04 | 西门子(中国)有限公司 | 一种工业控制系统的安全检测方法和设备 |
| CN109639733A (zh) * | 2019-01-24 | 2019-04-16 | 南方电网科学研究院有限责任公司 | 适用于工控系统的安全检测与监控系统 |
| CN110033174A (zh) * | 2019-03-20 | 2019-07-19 | 烽台科技(北京)有限公司 | 一种工业信息安全保障体系建设方法 |
| CN110351235A (zh) * | 2019-01-30 | 2019-10-18 | 清华大学 | 监测方法和装置、工业控制系统和计算机可读介质 |
| CN110376957A (zh) * | 2019-07-04 | 2019-10-25 | 哈尔滨工业大学(威海) | 一种基于安全规约自动构建的plc安全事件取证方法 |
| CN110678864A (zh) * | 2017-05-24 | 2020-01-10 | 西门子股份公司 | 危害和取证数据的plc指标的收集 |
| CN111628994A (zh) * | 2020-05-26 | 2020-09-04 | 杭州安恒信息技术股份有限公司 | 一种工控环境的异常检测方法、系统及相关装置 |
| CN111897284A (zh) * | 2020-08-21 | 2020-11-06 | 湖南匡安网络技术有限公司 | 一种plc设备的安全防护方法和系统 |
| WO2020249112A1 (zh) * | 2019-06-14 | 2020-12-17 | 山东省计算中心(国家超级计算济南中心) | 基于内存取证和区块链的电子证据固定和网络取证方法及系统 |
| CN112347501A (zh) * | 2019-08-06 | 2021-02-09 | 中国移动通信集团广东有限公司 | 数据处理方法、装置、设备及存储介质 |
| CN112637220A (zh) * | 2020-12-25 | 2021-04-09 | 中能融合智慧科技有限公司 | 一种工控系统安全防护方法及装置 |
| CN112799358A (zh) * | 2020-12-30 | 2021-05-14 | 上海磐御网络科技有限公司 | 一种工业控制安全防御系统 |
| CN113704799A (zh) * | 2021-09-08 | 2021-11-26 | 深圳前海微众银行股份有限公司 | 分箱数据的处理方法、装置、设备、存储介质及程序产品 |
-
2021
- 2021-12-30 CN CN202111657556.4A patent/CN114355853B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9032522B1 (en) * | 2012-07-23 | 2015-05-12 | Sandia Corporation | PLC backplane analyzer for field forensics and intrusion detection |
| CN110678864A (zh) * | 2017-05-24 | 2020-01-10 | 西门子股份公司 | 危害和取证数据的plc指标的收集 |
| CN109144023A (zh) * | 2017-06-27 | 2019-01-04 | 西门子(中国)有限公司 | 一种工业控制系统的安全检测方法和设备 |
| CN109639733A (zh) * | 2019-01-24 | 2019-04-16 | 南方电网科学研究院有限责任公司 | 适用于工控系统的安全检测与监控系统 |
| CN110351235A (zh) * | 2019-01-30 | 2019-10-18 | 清华大学 | 监测方法和装置、工业控制系统和计算机可读介质 |
| CN110033174A (zh) * | 2019-03-20 | 2019-07-19 | 烽台科技(北京)有限公司 | 一种工业信息安全保障体系建设方法 |
| WO2020249112A1 (zh) * | 2019-06-14 | 2020-12-17 | 山东省计算中心(国家超级计算济南中心) | 基于内存取证和区块链的电子证据固定和网络取证方法及系统 |
| CN110376957A (zh) * | 2019-07-04 | 2019-10-25 | 哈尔滨工业大学(威海) | 一种基于安全规约自动构建的plc安全事件取证方法 |
| CN112347501A (zh) * | 2019-08-06 | 2021-02-09 | 中国移动通信集团广东有限公司 | 数据处理方法、装置、设备及存储介质 |
| CN111628994A (zh) * | 2020-05-26 | 2020-09-04 | 杭州安恒信息技术股份有限公司 | 一种工控环境的异常检测方法、系统及相关装置 |
| CN111897284A (zh) * | 2020-08-21 | 2020-11-06 | 湖南匡安网络技术有限公司 | 一种plc设备的安全防护方法和系统 |
| CN112637220A (zh) * | 2020-12-25 | 2021-04-09 | 中能融合智慧科技有限公司 | 一种工控系统安全防护方法及装置 |
| CN112799358A (zh) * | 2020-12-30 | 2021-05-14 | 上海磐御网络科技有限公司 | 一种工业控制安全防御系统 |
| CN113704799A (zh) * | 2021-09-08 | 2021-11-26 | 深圳前海微众银行股份有限公司 | 分箱数据的处理方法、装置、设备、存储介质及程序产品 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114355853B (zh) | 2023-09-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10126921B2 (en) | Field device management apparatus, device information display method, computer-readable storage medium | |
| US10635556B2 (en) | Device maintenance apparatus, method for maintaining device, and storage medium | |
| CN109933019B (zh) | 工业控制系统及其支持装置、控制支持方法和存储介质 | |
| US10620615B2 (en) | Engineering tool coordination device, engineering tool coordination method, and non-transitory computer readable storage medium | |
| JP3963174B2 (ja) | 表示・編集装置及び表示方法並びにプログラム | |
| CN111176642B (zh) | 一种基于平面图的交互可视化处理系统及应用方法 | |
| CN101853157A (zh) | 一种应用软件gui对象自动识别方法 | |
| US9146556B2 (en) | Plant monitoring control system | |
| CN113010359B (zh) | 总线测试系统生成方法、系统、设备及存储介质 | |
| CN111095195A (zh) | 控制器、控制方法以及控制程序 | |
| CN115277882A (zh) | Can报文数据库建立方法、装置、车载电子设备及存储介质 | |
| CN113597664A (zh) | 确定不良原因的方法、电子设备、存储介质及系统 | |
| CN110579998A (zh) | 一种数据采集方法 | |
| CN116739388B (zh) | 减排措施评估方法、装置及存储介质 | |
| JP4971226B2 (ja) | 設計支援装置 | |
| CN113189961A (zh) | 一种强制状态查找处理方法 | |
| CN114355853A (zh) | 一种工控数据取证方法、装置、电子设备及存储介质 | |
| CN116167935A (zh) | 二维码的修复方法、装置、设备及介质 | |
| CN113673797A (zh) | 生产监测方法、装置及计算机可读存储介质 | |
| CN111158827A (zh) | 一种图形组态工具关联计算值信息的方法及装置 | |
| KR20210075358A (ko) | 스마트공장의 운영 분석 시스템 및 방법 | |
| CN107861725B (zh) | 一种iOS数据反向自动解析策略 | |
| CN112580942A (zh) | 一种变电站操作票库配置方法及顺控操作任务生成方法 | |
| CN111786824A (zh) | 数据中心能效比优化方法、系统、设备及可读存储介质 | |
| JP5205305B2 (ja) | プラント制御監視装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |