CN114422341B - 一种基于指纹特征的工控资产识别方法及系统 - Google Patents

一种基于指纹特征的工控资产识别方法及系统 Download PDF

Info

Publication number
CN114422341B
CN114422341B CN202210041096.0A CN202210041096A CN114422341B CN 114422341 B CN114422341 B CN 114422341B CN 202210041096 A CN202210041096 A CN 202210041096A CN 114422341 B CN114422341 B CN 114422341B
Authority
CN
China
Prior art keywords
information
industrial control
asset
assets
task
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210041096.0A
Other languages
English (en)
Other versions
CN114422341A (zh
Inventor
史永坚
武方
苗维杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Rischen Anke Technology Co ltd
Original Assignee
Hangzhou Rischen Anke Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Rischen Anke Technology Co ltd filed Critical Hangzhou Rischen Anke Technology Co ltd
Priority to CN202210041096.0A priority Critical patent/CN114422341B/zh
Publication of CN114422341A publication Critical patent/CN114422341A/zh
Application granted granted Critical
Publication of CN114422341B publication Critical patent/CN114422341B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/024Standardisation; Integration using relational databases for representation of network management data, e.g. managing via structured query language [SQL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Collating Specific Patterns (AREA)

Abstract

本发明涉及一种基于指纹特征的工控资产识别方法及系统,包括,收集日志信息,所述日志信息为待识别工控资产所产生的信息;对所述日志信息进行解析处理,提取出所述待识别工控资产的特征信息;根据所述特征信息与预设的指纹特征库进行匹配,确定所述待识别工控资产的类型。主要通过收集的日志信息通过定义的指纹特征库比对被动识别工控资产,旨在解决工控信息安全领域,现有企业中未知设备资产探测方法入侵性强、成本高、效率低的问题。它具有非侵入的发现网络中设备资产,可根据配置灵活选择采集方式,根据日志的事件等信息定期、定时的更新特征库,具有入侵性弱、成本低、灵活性高、扩展性好等特点。

Description

一种基于指纹特征的工控资产识别方法及系统
技术领域
本发明涉及工控信息安全领域,尤其涉及一种基于指纹特征的工控资产识别方法及系统。
背景技术
本发明对背景技术的描述属于与本发明的相关技术,仅仅是用于说明和便于理解本发明的发明内容,不应理解为申请人明确认为或推定申请人认为是本发明在首次提出申请的申请日的现有技术。
在工控信息安全领域,资产是指任何对组织有价值的东西,也是要保护的对象。在工控业务系统当中,IT资产是业务系统和网络的基本组成单元,是业务系统就正常运行的基础保障。如何进行有效的IT资产管理是当前大多数企业和组织面临的重大挑战。
近年来随着计算机技术的迅猛发展,IT资产正逐步成为企业和组织运行、管理的重要工具和支撑,企业和组织的业务不断壮大的同时,各种业务支持平台、管理系统越来越多,web服务器、存储设备、网络设备、安全设备越来越复杂,带给管理员的资产管理工作也愈发困难,久而久之,日积月累,产生大量的无主资产、僵尸资产,并且这些资产长时间无人维护导致存在大量的漏洞及配置违规,为企业和组织安全带来极大的隐患,更为严重的是管理员无法察觉,不能有效的做好防护措施。
企业中存在的一系列未知的设备资产如何发现管理的问题,传统网络资产探测人工统计是最原始的资产探测方法,基于客户端的自动统计方法需要在每台设备上安装客户端,入侵性最强、成本较高,效率低下,可能会影响到业务系统的业务流转。
发明内容
本发明的主要目的在于提供一种基于指纹特征的工控资产识别方法及系统,旨在解决工控信息安全领域,现有企业中未知设备资产探测方法入侵性强、成本高、效率低的问题。
针对以上问题,本发明提供一种基于指纹特征的工控资产识别方法及系统,主要通过收集的日志信息通过定义的指纹特征库比对被动识别工控资产,它具有1、感知资产,梳理资产,发现无主设备;2、非侵入的发现网络中设备资产,在监控日志的告警的同时,发现未知的待定资产3、可根据配置灵活选择采集方式,根据日志的事件等信息定期、定时的更新特征库,具有入侵性弱、成本低、灵活性高、扩展性好等特点。
本发明提供一种基于指纹特征的工控资产识别方法,其特征在于,包括以下步骤:
收集日志信息,所述日志信息为待识别工控资产所产生的信息;
对所述日志信息进行解析处理,提取出所述待识别工控资产的特征信息;
根据所述特征信息与预设的指纹特征库进行匹配,确定所述待识别工控资产的类型。
较优的,收集日志信息的方式包括syslog采集任务、文件或目录服务、SNMP TRAP和JDBC中的一种或多种;
进一步的,syslog采集任务包括任务名称、所使用的协议、端口、任务状态,通过定时任务定时采集日志信息;借助于syslog采集器获取网络流量中的日志信息,适用于不同操作系统产生的各种系统日志。
进一步的,所述文件或目录服务包括任务名称、采集方式、文件或目录、包含子目录层级、原始编码、转义标准、加密算法、压缩方式、ZIP、任务状态;所述文件或目录服务采集方式主要是获取主机设备的指定目录的日志信息。
进一步的,SNMP TRAP包括任务名称、SNMP版本、端口、团体字符串、任务状态;SNMPTRAP采集方式主要使用广泛支持的snmp协议采集日志信息,可以适应各类设备的采集。
进一步的,jdbc包括任务名称、服务器IP、用户名称、用户密码、原始编码、SQL语句、数据库类型、任务状态;Jdbc采集方式主要是采集应用系统的日志信息来做匹配分析。
较优的,所述预设的指纹特征库为预先建立的包含特征名称、工控资产类型、所属组、启用或禁用状态、特征描述、日志样本、匹配表达式;所述日志样本为获取各类日志的原始信息,是包含工控资产特征信息的样本信息;匹配表达式是基于所述日志样本解析识别工控资产特征信息的规则,通过正则表达式进行占位匹配,根据配置的字段映射表数据项获取到关联字段的有效信息。
较优的,将识别出的工控资产添加到待定资产管理列表,资产标识为待定;根据资产定义的属性信息进行资产信息的完善,将资产提交为正式资产完成工控资产的识别。
较优的,所述任务状态包括启用或禁用,通过配置任务状态实现日志采集方式的选择配置。
本发明还提供本发明提供一种基于指纹特征的工控资产识别系统,其特征在于,包括:待识别的工控资产、采集设备、指纹特征库;
采集设备,用于收集日志信息,所述日志信息为待识别工控资产所产生的信息;
对所述日志信息进行解析处理,提取出所述待识别工控资产的特征信息;
根据所述特征信息与预设的指纹特征库进行匹配,确定所述待识别工控资产的类型。
较优的,收集日志信息的方式包括syslog采集任务、文件或目录服务、SNMP TRAP和JDBC中的一种或多种;
进一步的,syslog采集任务包括任务名称、所使用的协议、端口、任务状态,通过定时任务定时采集日志信息;借助于syslog采集器获取网络流量中的日志信息,适用于不同操作系统产生的各种系统日志。
进一步的,所述文件或目录服务包括任务名称、采集方式、文件或目录、包含子目录层级、原始编码、转义标准、加密算法、压缩方式、ZIP、任务状态;所述文件或目录服务采集方式主要是获取主机设备的指定目录的日志信息。
进一步的,SNMP TRAP包括任务名称、SNMP版本、端口、团体字符串、任务状态;SNMPTRAP采集方式主要使用广泛支持的snmp协议采集日志信息,可以适应各类设备的采集。
进一步的,jdbc包括任务名称、服务器IP、用户名称、用户密码、原始编码、SQL语句、数据库类型、任务状态;Jdbc采集方式主要是采集应用系统的日志信息来做匹配分析。
较优的,所述预设的指纹特征库为预先建立的包含特征名称、工控资产类型、所属组、启用或禁用状态、特征描述、日志样本、匹配表达式;所述日志样本为获取各类日志的原始信息,是包含工控资产特征信息的样本信息;匹配表达式是基于所述日志样本解析识别工控资产特征信息的规则,通过正则表达式进行占位匹配,根据配置的字段映射表数据项获取到关联字段的有效信息。
较优的,将识别出的工控资产添加到待定资产管理列表,资产标识为待定;根据资产定义的属性信息进行资产信息的完善,将资产提交为正式资产完成工控资产的识别。
较优的,所述任务状态包括启用或禁用,通过配置任务状态实现日志采集方式的选择配置。
本发明产生的有益效果是:解决了现有企业中未知设备资产探测方法入侵性强、成本高、效率低的问题,主要通过收集的日志信息通过定义的指纹特征库比对被动识别工控资产,它具有1、感知资产,梳理资产,发现无主设备;2、非侵入的发现网络中设备资产,在监控日志的告警的同时,发现未知的待定资产;3、可根据配置灵活选择采集方式,根据日志的事件等信息定期、定时的更新特征库,具有入侵性弱、成本低、灵活性高、扩展性好等特点。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍:
图1示出了本发明实施例的一种基于指纹特征的工控资产识别方法的流程图。
图2示出了本发明实施例的一种基于指纹特征的工控资产识别系统的示意图。
图3示出了本发明实施例的日志收集配置功能。
图4示出了本发明实施例的指纹特征库配置功能。
图5示出了本发明实施例的匹配表达式的匹配过程示意图。
具体实施方式
为了使本发明的目的、技术方案以及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。
在下述介绍中,术语“第一”、“第二”仅用于描述的目的,而不能理解为暗示其相对重要性。
下述介绍提供了本发明的多个实施例,不同实施例之间可以替换或者合并组合,因此本发明也可认为包含所记载的相同和/或不同实施例的所有可能组合。因而,如果一个实施例包含特征A、B、C,另一个实施例包含特征B、D,那么本发明也应视为包括含有A、B、C、D的一个或多个所有其他可能的组合的实施例,尽管该实施例可能并未在以下内容中有明确的文字记载。
实施例一
图1示出了本发明第一实施例的一种基于指纹特征的工控资产识别方法的流程图。
如图1所示,本发明的一种基于指纹特征的工控资产识别方法,包括以下步骤:
步骤S101,收集日志信息,所述日志信息为待识别工控资产所产生的信息;
步骤S102,对所述日志信息进行解析处理,提取出所述待识别工控资产的特征信息;
步骤S103,根据所述特征信息与预设的指纹特征库进行匹配,确定所述待识别工控资产的类型。
较优的,所述步骤S101中,收集日志信息的方式包括syslog采集任务、文件或目录服务、SNMP TRAP和JDBC中的一种或多种;
进一步的,所述syslog采集任务包括任务名称、所使用的协议、端口、任务状态,通过定时任务定时采集日志信息;借助于syslog采集器获取网络流量中的日志信息,适用于不同操作系统产生的各种系统日志。
进一步的,所述文件或目录服务包括任务名称、采集方式、文件或目录、包含子目录层级、原始编码、转义标准、加密算法、压缩方式、ZIP、任务状态;所述文件或目录服务采集方式主要是获取主机设备的指定目录的日志信息。
进一步的,所述SNMPTRAP包括任务名称、SNMP版本、端口、团体字符串、任务状态;SNMP TRAP采集方式主要使用广泛支持的snmp协议采集日志信息,可以适应各类设备的采集。
进一步的,所述jdbc包括任务名称、服务器IP、用户名称、用户密码、原始编码、SQL语句、数据库类型、任务状态;Jdbc采集方式主要是采集应用系统的日志信息来做匹配分析。
较优的,所述步骤S102中,所述预设的指纹特征库为预先建立的包含特征名称、工控资产类型、所属组、启用或禁用状态、特征描述、日志样本、匹配表达式;所述日志样本为获取各类日志的原始信息,是包含工控资产特征信息的样本信息;匹配表达式是基于所述日志样本解析识别工控资产特征信息的规则,通过正则表达式进行占位匹配,根据配置的字段映射表数据项获取到关联字段的有效信息。
较优的,所述方法还包括,步骤S104,将识别出的工控资产添加到待定资产管理列表,资产标识为待定;根据资产定义的属性信息进行资产信息的完善,将资产提交为正式资产完成工控资产的识别。
较优的,所述步骤S101中,所述任务状态包括启用或禁用,通过配置任务状态实现日志采集方式的选择配置。
图2示出了本发明的第一实施例的一种通用的协议解析框架实现装置的示意图。
待识别的工控资产201、采集设备202、指纹特征库203;
待识别的工控资产201,即网络中各种工控、安全设备是要被识别的资产主体;
采集设备202,日志收集工具,可支持各种传输协议:TCP、UDP、FTP、SFTP、SNMP等收集资产设备产生的各种日志信息,用于匹配、分析;用于收集日志信息,所述日志信息为待识别工控资产201所产生的信息;对所述日志信息进行解析处理,提取出所述待识别工控资产的特征信息;
根据所述特征信息与预设的指纹特征库进行匹配,确定所述待识别工控资产的类型。
指纹特征库203:定义用于识别资产的特征信息,主要通过数据字典、字段映射、组合特征信息(通过匹配表达式)解析日志信息。各个特征库关联不同的设备类型、经过特征比对识别后,自动使该资产匹配所属分类。
各类资产设备204:是本发明方法的产出物,识别的资产默认进入待定资产管理列表,便于下一步管理。
图3示出了本发明的第一实施例的日志收集配置功能。
日志收集主要是针对于网络中的各类资产设备204,这些设备是日志信息的数据源。通过各类设备支持的一种或者多种采集方式获取各类日志信息,日志信息经过指纹特征库的匹配识别为待定资产。同时将日志信息存储到elasticsearch数据库,便于做进一步的分析或者告警处理。
采集方式介绍
1、Syslog采集任务:
主要内容项:任务名称、使用协议、使用端口、任务状态(启用、禁用)通过定时任务定时采集设备的系统日志信息。各类设备基于不同的操作系统都会产生各种的系统日志,此类采集器主要是用来采集这类日志。主要是借助采集器获取网络流量中的日志信息。
2、文件或者目录:
主要内容项:任务名称、采集方式、文件或者目录、包含子目录层级、原始编码、转义标准、加密算法、压缩方式、ZIP、任务状态(启用、禁用);
此采集方式主要是获取主机设备的指定目录的日志信息。
Figure GDA0003880053190000051
Figure GDA0003880053190000061
原始编码
UTF-8
Figure GDA0003880053190000062
3、SNMP TRAP
主要内容项:任务名称、snmp版本(snmpv1/v2)、端口、团体字符串、任务状态(启用、禁用);
此采集方式主要使用广泛支持的snmp协议采集日志信息,可以适应各类设备的采集。
4、Jdbc
主要内容项:任务名称、服务器IP、用户名称、用户密码、原始编码、SQL语句、数据库类型(各关系型数据库);
此采集方式主要是采集应用系统的日志信息来做匹配分析。
图4示出了本发明第一实施例的指纹特征库配置功能。
本功能主要用来定义指纹特征库:数据字典、字段、字段值映射、资产设备类型树都是作为特征库定义的基础信息。
数据字典主要是作为单个字段对应的数据项内容定义。
字段是指纹特征的最小单位,代表一个最细的特证元素。
资产设备树是需要内置好支持的类型,可以多级维护
字段值映射是将定义的字段与映射表关联,需要将每个映射表关联在资产设备树上,一个映射表可定义多组值映射,每组包含映射原值、映射后值。
指纹特征库是与设备树关联,每个指纹特征组可以关联在设备树的子节点上。定义特征可以关联在指纹特征组上,指纹特征库是资产识别的核心。
各元素定义
·数据字典
主要数据项:主数据项:字典名称、显示名
子数据项:原值、字典取值、是否自定义
规则:一个主数据项可以包含多个子数据项,可灵活定义子数据项内容
·资产设备树
主要数据项:名字、描述、父级类型;
规则:此设备树可以用来关联字段值映射、指纹特征库,对相应的配置信息进行归类,便于对配信息及识别后资产归类
·字段
主要数据项:名称、显示名、描述、类型、字段长度、数据字典、是否自定义;
规则:字段分为通用字段、所有字段。通用字段为非自定义字段即系统内置字段、不可做修改。
本定义主要是用来字段值映射表的元素信息。
Figure GDA0003880053190000071
·字段值映射
主要数据项:主数据项:映射表名称、映射表描述、映射字段;
子数据项:映射原始值、映射后取值;
规则:本定义主数据项需要与设备树做关联,一个映射表关联上文配置的字段信息,一个映射表包含多个子数据项。可根据需要灵活添加子数据项。
·指纹特征库
主要数据项:特征名称、设备类型、所属组、状态(启用、禁用)、特征描述、日志样本、匹配表达式。
核心内容:日志样本、匹配表达式
日志样本为获取各类日志的原始信息,是一类有特殊含义的样本信息。
匹配表达式是基于日志样本解析识别有用信息的规则,可以使用各种正则表达式进行占位匹配,然后根据配置的字段映射表子数据项获取到关联字段的有效信息。通过此特征库比对得到关键的设备标识信息比如IP、PORT、主要协议。
图5示出了本发明实施例的匹配表达式的匹配过程示意图。
处理结果:日志信息经过匹配的结果存储到elasticsearch数据库中待处理。
通过此匹配过程的结果数据比对生成待定资产信息。
具体地说,通过特征库匹配的结果数据关键信息IP、网卡信息与已识别资产进行筛选获取到待定资产列表信息存储到结构化数据库mysql中,资产标识为待定。
待定资产的主要数据项IP、网卡、设备类型等。
根据资产定义的属性信息进行资产信息的完善,将资产提交为正式资产完成整个资产的识别。
也可以将此待定资产合并到已有的正式资产中。
待定的资产也可以做删除、导出等操作。
本发明产生的有益效果是:解决了现有企业中未知设备资产探测方法入侵性强、成本高、效率低的问题,主要通过收集的日志信息通过定义的指纹特征库比对被动识别工控资产,它具有1、感知资产,梳理资产,发现无主设备;2、非侵入的发现网络中设备资产,在监控日志的告警的同时,发现未知的待定资产;3、可根据配置灵活选择采集方式,根据日志的事件等信息定期、定时的更新特征库,具有入侵性弱、成本低、灵活性高、扩展性好等特点。
本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述基于指纹特征的工控资产识别方法的步骤。其中,计算机可读存储介质可以包括但不限于任何类型的盘,包括软盘、光盘、DVD、CD-ROM、微型驱动器以及磁光盘、ROM、RAM、EPROM、EEPROM、DRAM、VRAM、闪速存储器设备、磁卡或光卡、纳米系统(包括分子存储器IC),或适合于存储指令和/或数据的任何类型的媒介或设备。
本发明还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,处理器执行程序时实现基于指纹特征的工控资产识别方法的步骤。在本发明实施例中,处理器为计算机系统的控制中心,可以是实体机的处理器,也可以是虚拟机的处理器。
以上介绍仅为本发明的优选实施例而已,并非对本发明作任何实质和形式上的限制。虽然本发明已以较佳实施例揭示如上,然而并非用以限定本发明,对于本领域的技术人员来说,在不脱离本发明技术方案范围内,可以利用上述揭示的技术内容作出各种更改和变化的等效实施例。但凡未脱离本发明的精神和原则,依据本发明的技术实质对以上实施例所作的任何简单修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种基于指纹特征的工控资产识别方法,其特征在于,包括以下步骤:
收集日志信息,所述日志信息为待识别工控资产所产生的信息;
对所述日志信息进行解析处理,提取出所述待识别工控资产的特征信息;
根据所述特征信息与预设的指纹特征库进行匹配,确定所述待识别工控资产的类型;
其中,所述收集日志信息的方式包括syslog采集任务、文件或目录服务、SNMPTRAP和JDBC中的一种或多种;
所述syslog采集任务包括任务名称、所使用的协议、端口和任务状态,通过定时任务定时采集日志信息;借助于syslog采集器获取网络流量中的日志信息,适用于不同操作系统产生的各种系统日志;
所述文件或目录服务包括任务名称、采集方式、文件或目录、包含子目录层级、原始编码、转义标准、加密算法、压缩方式和任务状态;所述文件或目录服务采集方式获取主机设备的指定目录的日志信息;
所述SNMP TRAP包括任务名称、SNMP版本、端口、团体字符串和任务状态;SNMPTRAP采集方式使用广泛支持的SNMP协议采集日志信息,适应各类设备的采集;
所述JDBC包括任务名称、服务器IP、用户名称、用户密码、原始编码、SQL语句、数据库类型和任务状态;JDBC采集方式采集应用系统的日志信息来做匹配分析;
所述预设的指纹特征库为预先建立的包含特征名称、工控资产类型、所属组、启用或禁用状态、特征描述、日志样本和匹配表达式;所述日志样本为获取各类日志的原始信息,是包含工控资产特征信息的样本信息;匹配表达式是基于所述日志样本解析识别工控资产特征信息的规则,通过正则表达式进行占位匹配,根据配置的字段映射表数据项获取到关联字段的有效信息;
所述指纹特征库与资产设备树关联,每个指纹特征组关联在所述资产设备树的子节点上;所述资产设备树包括名字、描述和父级类型;所述资产设备树用来关联字段值映射,对相应的资产配置信息进行归类。
2.如权利要求1所述的方法,其特征在于:将识别出的工控资产添加到待定资产管理列表,资产标识为待定;根据资产定义的属性信息进行资产信息的完善,将资产提交为正式资产完成工控资产的识别。
3.如权利要求1所述的方法,其特征在于:所述任务状态包括启用或禁用,通过配置任务状态实现日志采集方式的选择配置。
4.一种基于指纹特征的工控资产识别系统,其特征在于,包括:待识别的工控资产、采集设备、指纹特征库;
采集设备,用于收集日志信息,所述日志信息为待识别工控资产所产生的信息;
对所述日志信息进行解析处理,提取出所述待识别工控资产的特征信息;
根据所述特征信息与预设的指纹特征库进行匹配,确定所述待识别工控资产的类型;
其中,所述收集日志信息的方式包括syslog采集任务、文件或目录服务、SNMPTRAP和JDBC中的一种或多种;
所述syslog采集任务包括任务名称、所使用的协议、端口和任务状态,通过定时任务定时采集日志信息;借助于syslog采集器获取网络流量中的日志信息,适用于不同操作系统产生的各种系统日志;
所述文件或目录服务包括任务名称、采集方式、文件或目录、包含子目录层级、原始编码、转义标准、加密算法、压缩方式、和任务状态;所述文件或目录服务采集方式主要是获取主机设备的指定目录的日志信息;
所述SNMP TRAP包括任务名称、SNMP版本、端口、团体字符串和任务状态;SNMPTRAP采集方式使用广泛支持的SNMP协议采集日志信息,可以适应各类设备的采集;
所述JDBC包括任务名称、服务器IP、用户名称、用户密码、原始编码、SQL语句、数据库类型和任务状态;JDBC采集方式采集应用系统的日志信息来做匹配分析;
所述预设的指纹特征库为预先建立的包含特征名称、工控资产类型、所属组、启用或禁用状态、特征描述、日志样本和匹配表达式;所述日志样本为获取各类日志的原始信息,是包含工控资产特征信息的样本信息;匹配表达式是基于所述日志样本解析识别工控资产特征信息的规则,通过正则表达式进行占位匹配,根据配置的字段映射表数据项获取到关联字段的有效信息;
所述指纹特征库与资产设备树关联,每个指纹特征组关联在所述资产设备树的子节点上;所述资产设备树包括名字、描述和父级类型;所述资产设备树用来关联字段值映射,对相应的资产配置信息进行归类。
5.如权利要求4所述的系统,其特征在于:将识别出的工控资产添加到待定资产管理列表,资产标识为待定;根据资产定义的属性信息进行资产信息的完善,将资产提交为正式资产完成工控资产的识别。
6.如权利要求4所述的系统,其特征在于:所述任务状态包括启用或禁用,通过配置任务状态实现日志采集方式的选择配置。
7.一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现权利要求1-3任一项所述方法的步骤。
8.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,处理器执行程序时实现权利要求1-3任一项所述方法的步骤。
CN202210041096.0A 2022-01-14 2022-01-14 一种基于指纹特征的工控资产识别方法及系统 Active CN114422341B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210041096.0A CN114422341B (zh) 2022-01-14 2022-01-14 一种基于指纹特征的工控资产识别方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210041096.0A CN114422341B (zh) 2022-01-14 2022-01-14 一种基于指纹特征的工控资产识别方法及系统

Publications (2)

Publication Number Publication Date
CN114422341A CN114422341A (zh) 2022-04-29
CN114422341B true CN114422341B (zh) 2022-12-30

Family

ID=81272527

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210041096.0A Active CN114422341B (zh) 2022-01-14 2022-01-14 一种基于指纹特征的工控资产识别方法及系统

Country Status (1)

Country Link
CN (1) CN114422341B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116980468B (zh) * 2023-09-20 2023-12-19 长扬科技(北京)股份有限公司 工控环境下资产的发现和管理方法、装置、设备及介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109544349A (zh) * 2018-11-29 2019-03-29 广东电网有限责任公司 一种基于网络资产信息采集方法、装置、设备及存储介质
CN110958231A (zh) * 2019-11-21 2020-04-03 博智安全科技股份有限公司 基于互联网的工控安全事件监测平台及其方法
CN112202609A (zh) * 2020-09-28 2021-01-08 全球能源互联网研究院有限公司 一种工控资产探测方法、装置、电子设备及存储介质
CN113157994A (zh) * 2021-03-02 2021-07-23 昆山九华电子设备厂 一种多源异构平台数据处理方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2996960C (en) * 2017-03-02 2021-11-23 Discovered Intelligence Inc. System for aggregation and prioritization of it asset field values from real-time event logs and method thereof
CN108011893A (zh) * 2017-12-26 2018-05-08 广东电网有限责任公司信息中心 一种基于网络资产信息采集的资产管理系统
CN113240258B (zh) * 2021-04-30 2023-04-28 山东云天安全技术有限公司 一种工业资产探测方法、设备及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109544349A (zh) * 2018-11-29 2019-03-29 广东电网有限责任公司 一种基于网络资产信息采集方法、装置、设备及存储介质
CN110958231A (zh) * 2019-11-21 2020-04-03 博智安全科技股份有限公司 基于互联网的工控安全事件监测平台及其方法
CN112202609A (zh) * 2020-09-28 2021-01-08 全球能源互联网研究院有限公司 一种工控资产探测方法、装置、电子设备及存储介质
CN113157994A (zh) * 2021-03-02 2021-07-23 昆山九华电子设备厂 一种多源异构平台数据处理方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
联网工业控制系统主动感知预警技术研究;马强等;《信息技术与网络安全》;20180110(第01期);参见全文 *

Also Published As

Publication number Publication date
CN114422341A (zh) 2022-04-29

Similar Documents

Publication Publication Date Title
CN108664375B (zh) 用于检测计算机网络系统用户的异常行为的方法
WO2021088385A1 (zh) 一种在线日志解析方法、系统及其电子终端设备
Li et al. On challenges in evaluating malware clustering
CN106572117B (zh) 一种WebShell文件的检测方法和装置
CN111585955B (zh) 一种http请求异常检测方法及系统
CN112114995B (zh) 基于进程的终端异常分析方法、装置、设备及存储介质
CN110569214B (zh) 用于日志文件的索引构建方法、装置及电子设备
KR101676366B1 (ko) 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템 및 방법
CN111651767A (zh) 一种异常行为检测方法、装置、设备及存储介质
WO2014021866A1 (en) Vulnerability vector information analysis
RU2722693C1 (ru) Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника
Tang et al. Discovering lag intervals for temporal dependencies
CN112100149B (zh) 日志自动化分析系统
CN113706100B (zh) 配电网物联终端设备实时探测识别方法与系统
CN113132311A (zh) 异常访问检测方法、装置和设备
CN114915479A (zh) 一种基于Web日志的Web攻击阶段分析方法及系统
CN114422341B (zh) 一种基于指纹特征的工控资产识别方法及系统
CN108763916B (zh) 业务接口安全评估方法及装置
CN115174205B (zh) 一种网络空间安全实时监测方法、系统及计算机存储介质
CN114969450B (zh) 一种用户行为分析方法、装置、设备及存储介质
CN114116793A (zh) 一种数据资产发现平台
CN112131215B (zh) 自底向上的数据库信息获取方法及装置
CN115001724A (zh) 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质
CN111611483A (zh) 一种对象画像构建方法、装置、设备及存储介质
CN113032774A (zh) 异常检测模型的训练方法、装置、设备及计算机存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CB02 Change of applicant information

Address after: 311215 Room 216, Floor 2, Building B, No. 858, Jianshe Second Road, Xiaoshan Economic and Technological Development Zone, Xiaoshan District, Hangzhou City, Zhejiang Province

Applicant after: Hangzhou Zhongdian Anke Modern Technology Co.,Ltd.

Address before: 310051 building 3, 351 Changhe Road, Changhe street, Binjiang District, Hangzhou City, Zhejiang Province

Applicant before: Hangzhou rischen Anke Technology Co.,Ltd.

CB02 Change of applicant information