CN115695593A - 基于多维探测的被动式工业互联网资产识别方法及系统 - Google Patents
基于多维探测的被动式工业互联网资产识别方法及系统 Download PDFInfo
- Publication number
- CN115695593A CN115695593A CN202211678968.0A CN202211678968A CN115695593A CN 115695593 A CN115695593 A CN 115695593A CN 202211678968 A CN202211678968 A CN 202211678968A CN 115695593 A CN115695593 A CN 115695593A
- Authority
- CN
- China
- Prior art keywords
- protocol
- industrial internet
- field
- current message
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于多维探测的被动式工业互联网资产识别方法及系统,属于工业互联网资产识别领域。包括:根据工业互联网资产协议识别初筛规则库对待识别工业互联网流量进行范围筛选,判断是否命中初筛规则,若是进入编码回调函数,解析并提取当前报文的字段;若否,对各网络层级进行比对与校验,判断承载协议是否为工业互联网资产协议,若是,判断承载协议是否为已知工业互联网资产协议,若是,对当前报文进行字段解析,输出自定义解析话单,若否,根据工业领域高频词汇表或厂家信息表对负载进行匹配扫描,通过解析负载对非工业互联网资产协议还原,提取协议信息字段,输出自定义解析话单;若否跳过处理。本发明提高了工业互联网资产识别准确率。
Description
技术领域
本发明涉及工业互联网资产识别领域,特别是涉及一种基于多维探测的被动式工业互联网资产识别方法及系统。
背景技术
信息安全对工业互联网至关重要,对工业信息网络的监管需求日益迫切。
由于工业资产的多样性、协议类型丰富、通信环境复杂性等因素,导致工业互联网流量分析产品普遍遭遇如下问题:
工业资产协议类型格式多样,难以统一,协议特征不明显。文本化格式的数据和二进制格式数据常常混合传输,采用特征规则的资产识别方式误识别率高。
对数据的解析逻辑过于简单化,识别规则或管控规则容易绕过,导致漏检测。通常采用特征规则匹配方式进行工业互联网资产识别时,因现实中的工业系统互联所用的TCP端口号存在随意性,甚至与IETF分配的标准协议端口相冲突。采用TCP端口号作为规则特征参数来进行流量识别,势必出现误识别或漏识别问题。
流量解析的网络层级深度不够。采用规则匹配方式的产品,普遍是直接检测标准以太网的网络层和传输层的协议头域及传输层的载荷,且是把传输层载荷全部作为工控数据进行检测。事实上,工业互联网环境下,很多现场总线协议被嵌入到标准以太网的各个内层,甚至嵌入在传输层的载荷中,比如EtherNet/IP(Industrial Protocol)协议(网络层)、COTP协议(会话层)、TPKT协议(表示层)等。对位于以太网其他网络层级的协议数据,做深度解析,单采用特征规则是无法正确识别和数据提取。
基于HTTP协议承载工业协议数据时,监测任务得不到正确处理。一是会作为HTTP协议直接被忽略;二是若不对HTTP数据,包括http头数据、post表单和响应数据做还原,则无法正确获取全面的待检测数据;三是HTTP的数据是文本和二进制混合方式,没有明确的业务特征指代,通常嵌入的工控系统业务数据格式与传统互联网应用格式类型类似,比如JSON,XML,或key-value对的文本串,难以判断数据是否与工业互联网相关。
针对上述问题,现有技术方案通常采用单一的协议规则库,通过比对报文中的负载以及特定端口对工业互联网资产进行识别,而这种形式的识别方式通常识别准确率不高,容易导致误识别。
发明内容
本发明的目的是提供一种基于多维探测的被动式工业互联网资产识别方法及系统,以解决对工业互联网资产识别准确率低且易误识别的问题。
为实现上述目的,本发明提供了如下方案:
一种基于多维探测的被动式工业互联网资产识别方法,包括:
获取待识别工业互联网流量,并加载工业互联网资产协议识别初筛规则库;
根据所述工业互联网资产协议识别初筛规则库对所述待识别工业互联网流量进行范围筛选,判断是否命中初筛规则,得到第一判断结果;
若所述第一判断结果表示为命中初筛规则,进入命中的初筛规则对应的已知工业互联网资产协议的编码回调函数,并对所述待识别工业互联网流量中的当前报文进行字段解析,提取所述当前报文的字段;
若所述第一判断结果表示为未命中初筛规则,对所述当前报文的各网络层级进行比对与校验,确定协议识别结果;
根据所述识别结果判断所述当前报文的承载协议是否为工业互联网资产协议,得到第二判断结果;
若所述第二判断结果表示为所述当前报文的承载协议为工业互联网资产协议,判断所述当前报文的承载协议是否为已知工业互联网资产协议,得到第三判断结果;
若所述第三判断结果表示为所述当前报文的承载协议为已知工业互联网资产协议,进入对应的所述已知工业互联网资产协议的编码回调函数,并对所述当前报文进行字段解析,输出自定义解析话单;
若所述第二判断结果表示为所述当前报文的承载协议为非工业互联网资产协议,根据工业领域高频词汇表或厂家信息表对所述当前报文中的负载进行匹配扫描,通过解析所述负载对所述非工业互联网资产协议进行还原,并根据还原内容提取协议信息字段,输出自定义解析话单;
若所述第三判断结果表示为所述当前报文的承载协议为非已知工业互联网资产协议,对所述当前报文跳过处理,不进行协议解析与提取。
可选的,所述进入命中的初筛规则对应的已知工业互联网资产协议的编码回调函数,并对所述待识别工业互联网流量中的当前报文进行字段解析,提取所述当前报文的字段,具体包括:
根据命中的初筛规则的协议类型进入对应的所述已知工业互联网资产协议的编码回调函数,并利用所述编码回调函数对所述命中的初筛规则对应的协议的每一层进行验证,确定所述命中的初筛规则对应的协议的正确性;
根据所述命中的初筛规则对应的协议对所述待识别工业互联网流量中的当前报文进行字段解析,提取所述当前报文的字段。
可选的,所述对所述当前报文的各网络层级进行比对与校验,确定协议识别结果,具体包括:
对所述当前报文进行报文格式对比,确定所述当前报文各网络层级的协议类型,并标记各网络层级使用的协议;
基于各网络层级使用的协议对每一层所述网络层级进行协议特征字比对,确定特征字比对结果;
基于所述特征字比对结果,对所述当前报文进行包长与checksum校验,确定协议识别结果。
可选的,所述进入对应的所述已知工业互联网资产协议的编码回调函数,并对所述当前报文进行字段解析,输出自定义解析话单,具体包括:
判断所述当前报文的协议包的负载是否满足协议字段要求,得到第四判断结果;
若所述第四判断结果表示为所述当前报文的协议包的负载满足协议字段要求,定位报文协议头以及报文负载,并判断是否定位到对应字段,得到第五判断结果;
若所述第五判断结果表示为定位到对应字段,提取所述当前报文中的字段,输出自定义解析话单;
若所述第五判断结果表示为未定位到对应字段,结束提取字段;
若所述第四判断结果表示为所述当前报文的协议包的负载未满足协议字段要求,确定所述当前报文的协议包的负载长度不符,无法提取字段。
可选的,所述对所述当前报文跳过处理,不进行协议解析与提取,之后还包括:
判断所述当前报文是否需要抓包留存,得到第六判断结果;
若所述第六判断结果表示为所述当前报文需要抓包留存,将所述当前报文留存在本地,以进一步资产识别并扩展资产识别的支持范围;
若所述第六判断结果表示为所述当前报文不需要抓包留存,结束对所述当前报文的处理。
一种基于多维探测的被动式工业互联网资产识别系统,包括:
初始规则库加载模块,用于获取待识别工业互联网流量,并加载工业互联网资产协议识别初始规则库;
第一判断模块,用于根据所述工业互联网资产协议识别初始规则库对所述待识别工业互联网流量进行范围筛选,判断是否命中初筛规则,得到第一判断结果;
字段解析提取模块,用于若所述第一判断结果表示为命中初筛规则,进入命中的初筛规则对应协议的编码回调函数,并对所述待识别工业互联网流量中的当前报文进行字段解析,提取所述当前报文的字段;
比对与校验模块,用于若所述第一判断结果表示为未命中初筛规则,对所述当前报文的各网络层级进行比对与校验,确定协议识别结果;
第二判断模块,用于根据所述识别结果判断所述当前报文的承载协议是否为工业互联网资产协议,得到第二判断结果;
第三判断模块,用于若所述第二判断结果表示为所述当前报文的承载协议为工业互联网资产协议,判断所述当前报文的承载协议是否为已知工业互联网资产协议,得到第三判断结果;
自定义解析话单第一输出模块,用于若所述第三判断结果表示为所述当前报文的承载协议为已知工业互联网资产协议,进入对应协议的编码回调函数,并对所述当前报文进行字段解析,输出自定义解析话单;
自定义解析话单第二输出模块,用于若所述第二判断结果表示为所述当前报文的承载协议为非工业互联网资产协议,根据工业领域高频词汇表或厂家信息表对所述当前报文中的负载进行匹配扫描,通过解析所述负载对所述非工业互联网资产协议进行还原,并根据还原内容提取协议信息字段,输出自定义解析话单;
跳过处理模块,用于若所述第三判断结果表示为所述当前报文的承载协议为非已知工业互联网资产协议,对所述当前报文跳过处理,不进行协议解析与提取。
根据本发明提供的具体实施例,本发明公开了以下技术效果:本发明提供了一种基于多维探测的被动式工业互联网资产识别方法及系统,基于工业互联网资产协议识别初筛规则库,通过对所述当前报文的各网络层级进行比对与校验,以使得协议识别的网络层级足够深,能够覆盖现有工业互联网涉及到的所有网络层级,资产识别的准确率更高,可提取字段更多,从而提高了对工业互联网资产识别准确率,避免了误识别的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明所提供的基于多维探测的被动式工业互联网资产识别方法流程图;
图2为本发明所提供的另一种基于多维探测的被动式工业互联网资产识别方法流程图;
图3为本发明所提供的编码回调函数对报文解析的过程以及协议校验方法流程图;
图4为本发明所提供的编码回调函数提取特征信息的方法流程图;
图5为本发明提供的多维化探测识别装置结构示意图;
图6为本发明所提供的工控协议报文处理装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种基于多维探测的被动式工业互联网资产识别方法及系统,提高了对工业互联网资产识别准确率,避免了误识别的问题。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1为本发明所提供的基于多维探测的被动式工业互联网资产识别方法流程图,如图1所示,一种基于多维探测的被动式工业互联网资产识别方法,包括:
步骤101:获取待识别工业互联网流量,并加载工业互联网资产协议识别初筛规则库。
步骤102:根据所述工业互联网资产协议识别初筛规则库对所述待识别工业互联网流量进行范围筛选,判断是否命中初筛规则,若是,执行步骤103,若否,执行步骤104。
步骤103:进入命中的初筛规则对应的已知工业互联网资产协议的编码回调函数,并对所述待识别工业互联网流量中的当前报文进行字段解析,提取所述当前报文的字段。
所述步骤103具体包括:根据命中的初筛规则的协议类型进入对应的所述已知工业互联网资产协议的编码回调函数,并利用所述编码回调函数对所述命中的初筛规则对应的协议的每一层进行验证,确定所述命中的初筛规则对应的协议的正确性;根据所述命中的初筛规则对应的协议对所述待识别工业互联网流量中的当前报文进行字段解析,提取所述当前报文的字段。
步骤104:对所述当前报文的各网络层级进行比对与校验,确定协议识别结果。
所述步骤104具体包括:对所述当前报文进行报文格式对比,确定所述当前报文各网络层级的协议类型,并标记各网络层级使用的协议;基于各网络层级使用的协议对每一层所述网络层级进行协议特征字比对,确定特征字比对结果;基于所述特征字比对结果,对所述当前报文进行包长与checksum校验,确定协议识别结果。
步骤105:根据所述识别结果判断所述当前报文的承载协议是否为工业互联网资产,若是,执行步骤106,若否,执行步骤108。
步骤106:判断所述当前报文的承载协议是否为已知工业互联网资产,若是,执行步骤107,若否,执行步骤109。
步骤107:进入对应的所述已知工业互联网资产协议的编码回调函数,并对所述当前报文进行字段解析,输出自定义解析话单。
所述步骤107具体包括:判断所述当前报文的协议包的负载是否满足协议字段要求,得到第四判断结果;若所述第四判断结果表示为所述当前报文的协议包的负载满足协议字段要求,定位报文协议头以及报文负载,并判断是否定位到对应字段,得到第五判断结果;若所述第五判断结果表示为定位到对应字段,提取所述当前报文中的字段,输出自定义解析话单;若所述第五判断结果表示为未定位到对应字段,结束提取字段;若所述第四判断结果表示为所述当前报文的协议包的负载未满足协议字段要求,确定所述当前报文的协议包的负载长度不符,无法提取字段。
步骤108:根据工业领域高频词汇表或厂家信息表对所述当前报文中的负载进行匹配扫描,通过解析所述负载对所述非工业互联网资产协议进行还原,并根据还原内容提取协议信息字段,输出自定义解析话单。
步骤109:对所述当前报文跳过处理,不进行协议解析与提取。
所述步骤109之后还包括:判断所述当前报文是否需要抓包留存,得到第六判断结果;若所述第六判断结果表示为所述当前报文需要抓包留存,将所述当前报文留存在本地,以进一步资产识别并扩展资产识别的支持范围;若所述第六判断结果表示为所述当前报文不需要抓包留存,结束对所述当前报文的处理。
基于本发明所提供的基于多维探测的被动式工业互联网资产识别方法,将其应用于实际中,图2为本发明所提供的另一种基于多维探测的被动式工业互联网资产识别方法流程图,具体步骤如下:
流程-1:加载工业互联网资产协议识别初筛规则库。在接入工业互联网流量进行资产识别前,需要先加载工业互联网资产协议识别初筛规则库,在接入需要识别的工业互联网流量后,通过该工业互联网资产协议识别初筛规则库对当前待识别工业互联网流量内进行范围筛选,以过滤掉当前待识别工业互联网流量内的非工业互联网资产协议,来达到加快识别效率的目的。同时该工业互联网资产协议识别初筛规则库,还可以通过定制回调的方式,在命中相关规则后,进入对应协议的解析回调函数直接对报文进行解析。
流程-2:是否命中初筛规则。判断是否命中初筛规则,如果命中了初筛规则,则进入流程3,如果没有命中规则,则进如流程4。
流程-3:进入命中的初筛规则对应的已知工业互联网资产协议的编码回调函数,对当前报文进行字段解析。当命中了初筛规则后,此时就可以大概判断该协议是命中规则的协议类型,在进行一些简单的校验后,对该协议报文进行字段提取即可。编码回调函数对报文解析的过程以及协议校验方法流程如图3所示,命中初筛规则;进入对应协议的编码回调函数,如命中CIP协议的初筛规则,则进入CIP特定的编码回调函数中;针对CIP协议进行包物理层以及数据链路层协议校验,CIP协议规定的物理层以及数据链路层使用的是以太网协议,如果当前包使用的是以太网协议,则进行下一步传输层校验,如果不是说明与CIP协议规范不符,判断不是该协议;针对CIP协议进行包传输层校验,CIP协议默认使用的是TCP/IP协议族中的协议,那么这里的回调函数就会判断当前包的传输层是不是TCP/IP协议族的协议;对报文进行传输层端口校验,CIP协议传输层通常使用的是2222端口以及44818端口,如果报文端口不符合规范,则也判断不是这个协议;经过以上校验,则可以判断协议识别结果;校验流程结束。
流程-4:对当前报文进行报文格式比对。在此流程中,引入工控协议报文头格式库,当前协议报文没有命中初筛规则,可以判断该协议较为复杂,进入该流程进行二进制编码比对识别。首先通过报文格式比对,判断出当前报文各网络层级的协议类型,如通用工业协议(Common Industrial Protocol,CIP)协议,识别该协议首先需要判断该报文网络层的协议类型为EtherNet/IP(Industrial Protocol)协议,在进行报文格式比对后,即可获得当前报文各网络层级使用的协议,并对每个网络层级进行标记。报文格式比对的是当前需要识别的应用层协议的中间层协议是否符合规范,例如本例子中的CIP协议的通讯需要基于EtherNet/IP协议,而如果当前报文使用的网络层协议为TCP/IP协议族的协议而不是EtherNet/IP协议,那么就可以判断当前的报文并不是CIP协议,可以增加识别准确性。
流程-5:对当前报文进行协议特征字比对。在此流程中,引入工控协议报文特征字库,在得知当前网络协议报文各层级使用的协议后,通过对每一层进行协议特征字比对,即可确定当前层级的真实协议是否是之前比对的结果,对比对结果进行验证,提高资产识别的准确率。
流程-6:对当前报文进行包长与checksum校验,得出当前报文的协议识别结果。进一步根据协议格式对当前报文进行一系列的包长和checksum的校验。Checksum校验具体是指对包负载长度与协议规范中规定的报文头加报文内容的长度进行比较从而提高协议识别的准确率。
流程-7:当前报文承载协议是否是工业互联网资产协议。此处需要根据流程-6中得出的协议识别结果(详细协议识别结果请参照表1,表1为协议识别分析表),并根据该报文的协议识别结果判断当前报文的承载协议是否是工业互联网资产协议,如果是工业互联网资产协议则进入流程-8,如果不是工业互联网资产协议则进入流程-14,进行承载协议非工业互联网资产协议的还原(例如承载协议为HTTP的华中数控HNC协议)。
表1
工业互联网 | S7 | 企业私有协议 | 西门子PLC支持的通讯协议(Siemens S7) | 主要应用于西门子公司设备通讯。 |
工业互联网 | OMRON_UDP | 企业私有协议 | 欧姆龙工业控制协议,可编程逻辑控制器(PLC) | 用于工业自动化控制网络的指令/响应系统。 |
工业互联网 | BACNET | ISO 16484 | 楼宇自动化与控制网络 | 用在暖通空调系统、照明控制、门禁系统、火警侦测系统及其相关的设备。 |
工业互联网 | MODBUS | 行业标准 | 工业互联网标准协议,由 “ModbusOrganization”组织定义 | 工业电子设备之间相当常用的连接方式 |
工业互联网 | DNP3 | IEEE 1815-2012 | 分布式网络协议第3版 | 主要用于电力行业的变电和馈电设备自动化。 |
工业互联网 | DTU_DDP_TCP | 企业私有协议 | DTU与DSC之间的通讯协议 | 用于数据的传输和DTU管理 |
工业互联网 | PROCONOS | 企业私有协议 | ProConOs专有的工业互联网资产协议 | 用于ProConOs操作系统的通信 |
工业互联网 | MOXA_NPORT | 企业私有协议 | 串口服务器通信协议 | 用于串口服务器的通信 |
工业互联网 | ANSI_TCP | ANSIC12.22-2008 | 数据通信网络接口连接用协议 | 用于智能电网的电表网络的应用层协议 |
工业互联网 | ENIP_TCP | 行业标准 | 工业以太网标准协议,由“ODVA“组织定义 | 用于控制系统及其元件之间建立通讯 |
工业互联网 | IEC104 | IEC 104 | 输配电通讯协议 | 用于电力、城市轨道交通等行业 |
工业互联网 | HARTIP_UDP | 企业私有协议 | 可寻址远程传感器高速通道的开放通信协议 | 用于现场智能仪表和控制室设备之间的通信协议 |
工业互联网 | MELSEC_Q_UDP | 企业私有协议 | 三菱Q PLC支持的通讯协议 | 用于三菱可编程控制器的通信 |
工业互联网 | MELSEC_Q_TCP | 企业私有协议 | 三菱Q PLC支持的通讯协议 | 用于三菱可编程控制器的通信 |
数据库 | DRDA | 企业私有协议 | 分布式关系数据库体系结构通信协议 | 用于分布式关系数据库体系结构间通信 |
数据库 | CQL | 企业私有协议 | Cassandra数据库通信协议 | 用于Cassandra数据库的通信 |
数据库 | PGSQL | 企业私有协议 | PostgreSQL数据库通信协议 | 用于PostgreSQL数据库的通信 |
工业互联网 | GE_SRTP | 企业私有协议 | 通用电气安全实时传输协议 | 用于GE PLC直接的数据通信和数据传输 |
工业互联网 | SYNPHASOR_TCP | IEEEC37.118 | 电力系统同步相量测量IEEE标准协议 | 用于电力系统同步相量测量 |
工业互联网 | SYNPHASOR_UDP | IEEEC37.118 | 电力系统同步相量测量IEEE标准协议 | 用于电力系统同步相量测量 |
工业互联网 | AMS | 企业私有协议 | CCSDS提出的基于DTN的应用层协议 | 用于实现了消息中间件的功能 |
数据库 | MEMCACHE_UDP | 企业私有协议 | MemCache数据库协议 | MemCache数据库通信 |
数据库 | REDIS | 企业私有协议 | Redis数据库协议 | Redis数据库通信 |
工业互联网 | LONTALK_TCP | 企业私有协议 | 埃施朗公司的LonWorks技术所使用的通讯协议 | LonTalk协议支持双绞线、电力线、无线射频、红外线、同轴电缆以及光缆等不同类型的传输媒介 |
工业互联网 | LONTALK_UDP | 企业私有协议 | 埃施朗公司的LonWorks技术所使用的通讯协议 | LonTalk协议支持双绞线、电力线、无线射频、红外线、同轴电缆以及光缆等不同类型的传输媒介 |
物联网 | DICOM | 企业私有协议 | 医学数字成像和通信协议 | 用于放射医疗、心血管成像以及放射诊疗诊断设备等 |
工业互联网 | LANTRONIX_TCP | 企业私有协议 | Lantronix串口服务器通信协议 | 用于Lantronix串口服务器的通信 |
工业互联网 | LANTRONIX_UDP | 企业私有协议 | Lantronix串口服务器通信协议 | 用于Lantronix串口服务器的通信 |
工业互联网 | ATG | 企业私有协议 | 液位仪器的私有通讯协议 | 用于油罐液位仪监测的数据通信 |
物联网 | LPD | RFC1179 | 行式打印机后台程序协议 | 用于打印机数据通信 |
物联网 | AMQP | ISO/IEC19464 | 高级消息队列协议 | 用于交换机,路由器数据通信 |
物联网 | BJNP | 企业私有协议 | 佳能打印机和扫描仪使用的网络协议 | 用于佳能打印机和扫描仪 |
工业互联网 | HNC | 企业私有协议 | 华中数控私有协议 | 用于数控车床 |
数据库 | MONGODB | 企业私有协议 | MongoDB数据库协议 | MongoDB数据库通信 |
工业互联网 | FOX | 企业私有协议 | NiagaraAX平台专有通信协议 | 用于楼宇自动化控制系统 |
物联网 | RTSP | RFC2326 | 实时流传输协议 | 用于控制声音或影像的多媒体串流 |
工业互联网 | EGD | 企业私有协议 | GE Fanuc为PLC开发的通讯协定 | 用于在PLC / GE驱动系统/ GE HMI系统之间交换数据 |
物联网 | COAP_UDP | RFC 7252 | ConstrainedApplicationProtocol,物联网的类web协议 | 用于资源受限的物联网设备 |
工业互联网 | RTPS_UDP | IEC-PAS-62030 | 实时发布订阅协议 | 用于在单播和多播中通过 UDP等不可靠传输进行尽力而为的可靠发布 |
物联网 | MQTT | ISO/IECPRF 20922 | 消息队列遥测传输协议(Message QueuingTelemetryTransport) | 在智能家居、及一些小型化设备中已广泛使用 |
物联网 | XMPP | RFC 3920、RFC 3921 | 可扩展消息处理现场协议(ExtensibleMessaging andPresence Protocol) | 用于服务类实时通讯、表示和需求响应服务中的XML数据元流式传输 |
物联网 | SIP_UDP | RFC 3261 | 会话初始协议(Session InitiationProtocol) | 用于多媒体通信 |
物联网 | DJIUAV | 企业私有协议 | 大疆无人机控制协议(DJI UAV DroneControl Protocol ) | 用于大疆无人机控制 |
物联网 | HIKVISION_SIP | 企业私有协议 | 海康威视网络摄像机通信协议 | 用于海康威视的网络摄像机 |
车联网 | JT808 | 行业标准JT/T 808-2019 | 道路运输车辆卫星定位系统 终端通讯协议及数据格式 | 用于车联网中车载终端与监控平台间的通信 |
数据库 | MYSQL | 企业私有协议 | MYSQL数据库协议 | 用于MySQL数据库 |
数据库 | TDS | 企业私有协议 | 微软SQL Server表格数据流协议 | 用于微软TDS数据库 |
数据库 | TNS | 企业私有协议 | ORACLE TNS数据库协议 | 用于oracle tns数据库 |
工业互联网 | OPCUA | IEC 62541 | OPC统一架构 | 工业设备间通信 |
工业互联网 | OPC_TCP | IEC 62541 | OPC数据采集协议 | 工业设备间通信 |
工业互联网 | RTPS_TCP | IEC-PAS-62030 | Real-time Publish/Subscribe,实时发布订阅协议 | 航空航天和国防领域的标准,用于实时应用 |
车联网 | GRYPHON | 企业私有协议 | Dearborn Group开发的车用通信协议 | 汽车/工业自动化网络 |
工业互联网 | OPENSAFETY | 行业标准 | 开源安全应用协议 | 可以应用于任何现场总线和工业以太网 |
工业互联网 | FF_TCP | IEC1158-2 | FoudationFieldbus,基金会现场总线协议 | 广泛用于自动化领域 |
工业互联网 | FF_UDP | IEC1158-2 | FoudationFieldbus,基金会现场总线协议 | 广泛用于自动化领域 |
工业互联网 | MMS | IEC 61850 | ManufacturingMessageSpecification,制造报文规范 | 用于工业过程控制、工业机器人、电力系统通信等领域 |
工业互联网 | PRES | RFC1085 | 用于控制工业互联网设备间数据的传输 | 西门子公司产品协议运行在该协议之上 |
工业互联网 | COTP | RFC1006 | onnection-OrientedTransportProtocol,面向连接的传输协议 | 西门子公司产品协议运行在该协议之上 |
物联网 | SNMP_UDP | RFC1098 | 简单网络管理协议 | 全面监控交换机,服务器,虚拟机,路由器和防火墙 |
通用 | SOAP | RFC-2119 | 简单对象访问协议 | WEB上交换结构化的和固化的信息 |
通用 | NTP | RFC-1059 | 网络时间协议 | 智能公交车 汽车联网 高速无感收费 |
工业互联网 | SSDP | RFC 2616 | 简单服务发现协议 | 发现局域网里面的设备和服务 |
工业互联网 | PCWORX | IEC61131-3 | 菲尼克斯电气公司的专用协议 | 用于工控软件PCWORX的通信 |
工业互联网 | HARTIP_TCP | 企业私有协议 | 可寻址远程传感器高速通道的开放通信协议 | 用于现场智能仪表和控制室设备之间的通信协议 |
物联网 | DAHUA_DVR | 企业私有协议 | 浙江大华安防监控设备的私有通信协议 | 视频监控和其他物理安全领域 |
工业互联网 | CODESYS | 企业私有协议 | CODESYS软件工具编程接口协议 | 用于CODESYS相关软件和工具 |
工业互联网 | CIP_TCP | 行业标准 | Common IndustrialProtocol,通用工业协议 | 工业自动化的通信协议 |
工业互联网 | CIP_UDP | 行业标准 | Common IndustrialProtocol,通用工业协议 | 工业自动化的通信协议 |
工业互联网 | SBUS | 企业私有协议 | Futaba公司定义的一种串口通信协议 | 用于与 PCD(过程控制设备)进行通信 |
工业互联网 | ESIO | 企业私有协议 | 用于PLC与RIO之间的数据传输 | 各种电控开关 |
物联网 | ONVIF | 开放性行业标准 | 网络视频产品标准化网络开放式接口 | 用于视频监控和其他物理安全领域 |
车联网 | CAN | ISO11898及ISO11519 | Controller AreaNetwork,控制器局域网络 | 汽车计算机控制系统和嵌入式工业控制 |
车联网 | JT809 | 行业标准JT/T 809-2019 | 道路运输车辆卫星定位系统平台数据交换 | 用于道路运输车辆卫星定位系统监管与监控平台之间的数据交换和服务 |
车联网 | GBT32960 | GB-T 32960 | 电动汽车远程服务与管理系统技术通信协议 | 用于电动汽车远程服务与管理系统中平台间的通信,车载终端至平台的数据传输 |
车联网 | SOMEIP_TCP | 企业私有协议 | Scalabe service-OrientedMiddlewarE over IPprotocol,车载以太网通信 | 用于车载以太网通信 |
车联网 | SOMEIP_UDP | 企业私有协议 | Scalabe service-OrientedMiddlewarE over IPprotocol,车载以太网通信 | 用于车载以太网通信 |
物联网 | KNXNET | ISO/IEC14543-3 | 全球性的住宅和楼宇控制标准协议 | 用于家居和楼宇自动化 |
工业互联网 | CSPV4 | 企业私有协议 | 识别PLC5/SLC 500控制器的服务协议 | 用于识别PLC5/SLC500控制器 |
车联网 | TRDP | IEC61375-2-3 | Train Real-timeData Protocol,列车实时数据通信协议 | 用于轨道交通实时以太网络 |
车联网 | DOIP_TCP | ISO-13400 | Diagnosticcommunication overInternet Protocol,道路车辆诊断通信协议 | 用于道路车辆装置、检查、维修和试验设备 |
车联网 | DOIP_UDP | ISO-13400 | Diagnosticcommunication overInternet Protocol,道路车辆诊断通信协议 | 用于道路车辆装置、检查、维修和试验设备 |
工业互联网 | DTU_DDP_UDP | 企业私有协议 | DTU与DSC之间的通讯协议 | 用于数据的传输和DTU管理 |
工业互联网 | SINEC_H1 | 企业私有协议 | 西门子工业以太网协议 | 用于控制系统之间的数据传输 |
工业互联网 | ANSI_UDP | ANSIC12.22-2008 | 数据通信网络接口连接用协议 | 用于智能电网的电表网络的应用层协议 |
工业互联网 | ENIP_UDP | 行业标准 | 工业以太网标准协议,由“ODVA“组织定义 | 用于控制系统及其元件之间建立通讯 |
物联网 | HL7 | 行业标准 | 标准化卫生信息传输协议 | 用于各个医疗机构在异构系统之间进行数据交互 |
工业互联网 | OMRON_TCP | 企业私有协议 | 欧姆龙工业控制协议,可编程逻辑控制器(PLC) | 用于工业自动化控制网络的指令/响应系统。 |
物联网 | HIKVISION_RTSP | 企业私有协议 | 海康威视网络摄像机通信协议 | 用于海康威视的网络摄像机 |
工业互联网 | TPKT | 行业标准 | 工业高层协议使用TPKT协议传输数据 | 各大工业厂商工业协议运载的控制协议 |
数据库 | MEMCACHE_TCP | 企业私有协议 | MemCache数据库协议 | MemCache数据库通信 |
物联网 | SIP_TCP | RFC 3261 | 会话初始协议(Session InitiationProtocol) | 用于多媒体通信 |
物联网 | EDP | 基于TCP 的协议 | Enhanced DeviceProtocol,增强设备协议是OneNET 平台根据物联网特点专门定制的完全公开的基于TCP的协议 | 可以广泛应用于家居、交通、物流、能源以及其他行业应用中。 |
车联网 | JT_T905 | 行业标准 | JT/T 905规定了市级客运出租汽车服务管理信息系统与省部平台之间数据交换的技术要求,包括通信方式、安全认证、功能实现流程、协议消息格式和数据实体格式等内容。 | 适用于出租汽车服务管理信息系统与省部平台之间的数据交换与共享。 |
物联网 | MIDEA-TCP | 私有协议 | MIDEA-TCP是一个家电控制及状态监控信息的通讯协议 | 智能家居 |
工业互联网 | PROFIBUS | 私有协议 | PROFIBUS是一个用在自动化技术的现场总线标准,为要求严苛的通信任务所设计 | 用于分散外设间的高速传输,适合于加工自动化领域的应用 |
工业互联网 | ACN | 行业标准 | Advanced ControlNetwork 先进控制网络协议,也被称为 BSRE1.17。旨在提供下一代灯光控制网络数据传输的先进控制网络标准,允许单一网络传输很多不同种类的调光及其他相关数据,并且使不同厂家的调光设备相互连接。ACN 通常使用UDP作为其传输协议。 | 在同一网络,ACN协议应能支持多个控制数据发送以及多个数据接收设备协同工作,此协议应当可以允许在单一网络支持多种独立控制方式。例如,对大型而复杂的装置,可随意动态配置具有独立地址的副场作为独立的控制区域,等等。此外,可以将音频和灯光控制集成在一个控制器上.虽然这样做要看是否必要,因为两个系统总是独立操作,但是两种操作能够共享一个网络的方法可能会很有用。 |
工业互联网 | HCrt | 基于数据报的协议 | Hotline Command-responseTransaction,热线命令-响应事务协议。热线命令响应事务(HCrt)是基于数据报的协议,用于发送命令请求和通过传输层接收响应。 | 应用在主机之间,主机与fpga设备之间进行通讯 |
工业互联网 | HOLLYSYS_MACS | 企业私有协议 | Hollysys DCS的通讯协议 | 常见于电力、石油、化工等行业 |
工业互联网 | HOLLYSYS_LK | 企业私有协议 | Hollysys PLC的通讯协议 | 常见于电力、石油、化工等行业 |
工业互联网 | WDBRPC | 企业私有协议 | VxWorks的远程调试端口通信协议 | 用于运行VxWorks系统的PLC设备软件 |
物联网 | UPNP_TCP | 企业私有协议 | Universal Plug andPlay,通用即插即用协议 | 用于网络中设备的无缝连接 |
物联网 | UPNP_UDP | 企业私有协议 | Universal Plug andPlay,通用即插即用协议 | 用于网络中设备的无缝连接 |
流程-8:是否是已知工业互联网资产协议。协议识别的流程到这里基本可以判断该网络报文的协议类型了,如果是已开发支持的协议则进入流程-9对当前报文进行特定协议的解析提取,如果当前报文的协议类型为尚不支持的协议则进入流程-10。
流程-9:进入对应的所述已知工业互联网资产协议的编码回调函数,对当前报文进行字段解析。如果判断是当前已支持的协议解析,则进入对应协议的解析回调函数,针对当前报文进行协议解析,并进入流程-11。图4为本发明所提供的编码回调函数提取特征信息的方法流程图,如图4所示,开始进行协议字段解析;判断协议包的负载是否满足协议字段要求,若是,定位报文协议头以及报文负载,是否能定位到对应的字段,若是,定位到对应字段,并将报文信息提取到设备内存中,提取字段结束,若否,当前报文没有对应需要提取的字段,提取字段结束;若否,当前协议包负载长度不符,无法提取字段,提取字段结束。
流程-10:当前报文跳过处理。如果判断当前报文为未知格式的报文,则对当前报文进行跳过,不进行协议解析和提取,并进入流程-12。
流程-11:解析完成,并输出自定义解析话单。通过编码回调函数将报文中的特定提取信息提取到装置的存储中(特征提取信息具体是根据协议决定的,例如车联网相关协议如GBT32960、JT/T808、JT/T905协议报文中,提取的特征提取信息为报文中的车牌号、手机号码、车辆VIN码等等信息,数据库相关的协议如MYSQL、PostgreSQL特征提取信息则是对应报文的数据库操作指令),并输出为格式自定义的工业互联网解析话单,至此该流程处理完毕。
流程-12:是否需要抓包留存用于分析,扩展工业互联网识别协议范围。对于不支持的协议报文,根据可配置的规则进行判断是否需要抓包留存,可配置规则支持根据源目的IP、源目的端口、应用层协议、包负载内容等条件对流量进行过滤。如果需要抓包留存则进入流程-13,不需要则结束当前包的处理流程。
流程-13:调用装置中的抓包模块进行抓包留存用于进一步资产识别扩展资产识别的支持范围。如果根据配置的抓包规则判断当前包需要留存,则通过对报文进行本地留存。通过对未知协议报文的指定留存,可以通过不断的资产识别,扩充现有的识别规则库与识别特征校验库。至此流程结束。
流程-14:根据工业领域高频词汇表或厂家信息表判断当前承载协议为何种协议并对其进行还原。即:对当前报文中的负载进行匹配扫描,如果命中了对应的工业高频词汇或厂家信息即可判断承载协议为何种协议并通过解析报文负载的方式对其进行还原。其中,通过代码解析对应协议报文的负载内容,并根据协议规范对报文进行的还原。根据工业领域高频词汇表或厂家信息表,对还原的内容进行快扫方式,确定其是否为某类工业互联网系统业务,并在判断确定为某种工业互联网系统业务后,通过本发明实现的还原功能对HTTP中body部分内容进行还原,并进入流程-15。
流程-15:提取相关协议字段。根据还原内容提取相关协议的协议信息字段,并进入流程-11,输出自定义解析话单。
本发明提供了一种基于多维探测的被动式工业互联网资产识别系统,包括:
初始规则库加载模块,用于获取待识别工业互联网流量,并加载工业互联网资产协议识别初筛规则库。
第一判断模块,用于根据所述工业互联网资产协议识别初筛规则库对所述待识别工业互联网流量进行范围筛选,判断是否命中初筛规则,得到第一判断结果。
字段解析提取模块,用于若所述第一判断结果表示为命中初筛规则,进入命中的初筛规则对应的已知工业互联网资产协议的编码回调函数,并对所述待识别工业互联网流量中的当前报文进行字段解析,提取所述当前报文的字段。
比对与校验模块,用于若所述第一判断结果表示为未命中初筛规则,对所述当前报文的各网络层级进行比对与校验,确定协议识别结果。
第二判断模块,用于根据所述识别结果判断所述当前报文的承载协议是否为工业互联网资产协议,得到第二判断结果。
第三判断模块,用于若所述第二判断结果表示为所述当前报文的承载协议为工业互联网资产协议,判断所述当前报文的承载协议是否为已知工业互联网资产协议,得到第三判断结果。
自定义解析话单第一输出模块,用于若所述第三判断结果表示为所述当前报文的承载协议为已知工业互联网资产协议,进入对应的所述已知工业互联网资产协议的编码回调函数,并对所述当前报文进行字段解析,输出自定义解析话单。
自定义解析话单第二输出模块,用于若所述第二判断结果表示为所述当前报文的承载协议为非工业互联网资产协议,根据工业领域高频词汇表或厂家信息表对所述当前报文中的负载进行匹配扫描,通过解析所述负载对所述非工业互联网资产协议进行还原,并根据还原内容提取协议信息字段,输出自定义解析话单。
跳过处理模块,用于若所述第三判断结果表示为所述当前报文的承载协议为非已知工业互联网资产协议,对所述当前报文跳过处理,不进行协议解析与提取。
所述字段解析提取模块,具体包括:验证单元,用于根据命中的初筛规则的协议类型进入对应的所述已知工业互联网资产协议的编码回调函数,并利用所述编码回调函数对所述命中的初筛规则对应的协议的每一层进行验证,确定所述命中的初筛规则对应的协议的正确性;字段解析提取单元,用于根据所述命中的初筛规则对应的协议对所述待识别工业互联网流量中的当前报文进行字段解析,提取所述当前报文的字段。
所述比对与校验模块,具体包括:协议类型确定单元,用于对所述当前报文进行报文格式对比,确定所述当前报文各网络层级的协议类型,并标记各网络层级使用的协议;特征字比对结果确定单元,用于基于各网络层级使用的协议对每一层所述网络层级进行协议特征字比对,确定特征字比对结果;包长与checksum校验单元,用于基于所述特征字比对结果,对所述当前报文进行包长与checksum校验,确定协议识别结果。
所述自定义解析话单第一输出模块,具体包括:第四判断单元,用于判断所述当前报文的协议包的负载是否满足协议字段要求,得到第四判断结果;第五判断单元,用于若所述第四判断结果表示为所述当前报文的协议包的负载满足协议字段要求,定位报文协议头以及报文负载,并判断是否定位到对应字段,得到第五判断结果;自定义解析话单第一输出单元,用于若所述第五判断结果表示为定位到对应字段,提取所述当前报文中的字段,输出自定义解析话单;字段提取结束单元,用于若所述第五判断结果表示为未定位到对应字段,结束提取字段;负载长度不符确定单元,用于若所述第四判断结果表示为所述当前报文的协议包的负载未满足协议字段要求,确定所述当前报文的协议包的负载长度不符,无法提取字段。
本发明还包括:第六判断模块,用于判断所述当前报文是否需要抓包留存,得到第六判断结果;抓包留存模块,用于若所述第六判断结果表示为所述当前报文需要抓包留存,将所述当前报文留存在本地,以进一步资产识别并扩展资产识别的支持范围;处理结束模块,用于若所述第六判断结果表示为所述当前报文不需要抓包留存,结束对所述当前报文的处理。
本发明还提供了一种基于多维探测的被动式工业互联网资产识别装置,图5为本发明提供的多维化探测识别装置结构示意图,如图5所示,该多维化探测识别装置即为基于多维探测的被动式工业互联网资产识别装置。
该基于多维探测的被动式工业互联网资产识别装置至少包括以下几个单元:
协议规则库匹配初筛单元,该单元实现了通过协议规则库对流量进行初筛的功能。
协议网络层级判断单元,该单元用于判断当前报文的不同网络层级。
报文格式比对校验单元,该单元用于初步判断当前报文的不同网络层级使用的协议。
报文协议特征字比对校验单元,该单元用于对协议特征字进行比对校验,提高协议识别的准确率和成功率。
报文包长与checksum比对校验单元,该单元用于对报文中的包长字段和checksum字段进行比对校验,提高协议识别的准确率和成功率。
各网络层级协议报文提取处理单元,该单元用于对当前报文各个网络层级的协议识别结果进行解析,并提取相关字段到装置的存储空间当中。
报文负载快扫执行单元,该单元用于读取和加载工业领域高频词汇表或头厂家信息表。并根据工业领域高频词汇表或头厂家信息表对已还原报文负载进行快扫,并将快扫识别结果填充到装置存储当中。
图6为本发明所提供的工控协议报文处理装置的结构示意图,该工控协议即为工业互联网资产协议,图6用于展示实现的工业互联网报文处理装置所包含的抽象程序模块。
至少包括以下几个模块,且各个模块功能如下:
多维化探测识别装置,该模块用于对工业互联网资产协议报文的多网络层级协议进行解析识别,并对该报文进行提取特殊字段的操作。
抓包模块,该模块用于在命中对应的抓包规则后,对所命中的报文进行抓取和本地留存。抓包规则支持动态可配置,可进行动态加载。当多维化探测识别装置无法识别特定工业互联网资产协议的时候,可以根据工业互联网资产协议的某些特征编写相应的规则,以实现当出现无法识别的报文时,可以通过该模块进行抓取和留存,并支持后续进行相关的资产识别和开发,扩充探测识别装置的可识别工业互联网资产协议的数量,达到更大的识别范围。
话单日志输出模块,该模块用于在多维化探测识别装置对流量进行了协议识别和协议解析后,将所提取到的工业互联网资产协议信息输出到指定格式的自定义话单当中。且该话单支持动态加载和配置。方便用户对当前待识别工业互联网流量的识别和提取结果有个直观清晰的了解。
监测封堵模块,该模块可以在发现当前工业互联网内存在非法及可疑流量时,具备对指定流量进行监测和封堵的能力,可以用于提高当前网络内的网络安全性。
协议识别规则库加载模块,该模块用于进行协议识别规则库的加载和初始化,以及进行动态的实时更新。当规则库进行修改时,可以不影响本实施例的检测和识别,进行不间断的协议识别和解析。同时实现了用于当流量接入进来时,对流量进行规则匹配初筛的功能。
由此可见,本发明具有以下优势:
1)协议识别的网络层级足够深,能够覆盖现有工业互联网涉及到的所有网络层级。各网络层级包括:数据链路层、网络层、传输层、会话层、表示层、应用层中的工业协议和报文通过采用多维探测的技术可以做到均支持协议解析以及识别,并且协议识别的准确率更高,可提取字段更多。
2)协议识别的特征依赖性不强,不再依赖于协议的特定端口。采用多维探测的技术可以做到解绑对协议特定端口的依赖,不再用协议端口作为协议识别的唯一条件,而是作为协议识别探测中的一个维度,作为最表层过滤的一层手段。同时,可识别协议范围更广,识别准确率更高,即使端口进行了自定义,采用该项技术的装置仍可以通过编码对协议报文进行准确的识别,输出正确的结果。
3)通过对工业领域高频词汇表或头厂家信息进行快扫的方式,可以达到精准定位和识别的目的,提高识别准确率的目的同时可以解决该种协议难以识别、解析的问题。
4)被动式的协议探测使装置具有更高的稳定度和可维护性,且在对装置进行维护时,不会影响到原有网络的正常运行。
本发明针对现有工业互联网资产识别方式的不足,提升了对工业互联网资产识别的准确率与工业互联网数据字段提取成功率,有效丰富了工业互联网资产识别的种类,提升了工业互联网监管平台的安全防护能力。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种基于多维探测的被动式工业互联网资产识别方法,其特征在于,包括:
获取待识别工业互联网流量,并加载工业互联网资产协议识别初筛规则库;
根据所述工业互联网资产协议识别初筛规则库对所述待识别工业互联网流量进行范围筛选,判断是否命中初筛规则,得到第一判断结果;
若所述第一判断结果表示为命中初筛规则,进入命中的初筛规则对应的已知工业互联网资产协议的编码回调函数,并对所述待识别工业互联网流量中的当前报文进行字段解析,提取所述当前报文的字段;
若所述第一判断结果表示为未命中初筛规则,对所述当前报文的各网络层级进行比对与校验,确定协议识别结果;
根据所述识别结果判断所述当前报文的承载协议是否为工业互联网资产协议,得到第二判断结果;
若所述第二判断结果表示为所述当前报文的承载协议为工业互联网资产协议,判断所述当前报文的承载协议是否为已知工业互联网资产协议,得到第三判断结果;
若所述第三判断结果表示为所述当前报文的承载协议为已知工业互联网资产协议,进入对应的所述已知工业互联网资产协议的编码回调函数,并对所述当前报文进行字段解析,输出自定义解析话单;
若所述第二判断结果表示为所述当前报文的承载协议为非工业互联网资产协议,根据工业领域高频词汇表或厂家信息表对所述当前报文中的负载进行匹配扫描,通过解析所述负载对所述非工业互联网资产协议进行还原,并根据还原内容提取协议信息字段,输出自定义解析话单;
若所述第三判断结果表示为所述当前报文的承载协议为非已知工业互联网资产协议,对所述当前报文跳过处理,不进行协议解析与提取。
2.根据权利要求1所述的基于多维探测的被动式工业互联网资产识别方法,其特征在于,所述进入命中的初筛规则对应的已知工业互联网资产协议的编码回调函数,并对所述待识别工业互联网流量中的当前报文进行字段解析,提取所述当前报文的字段,具体包括:
根据命中的初筛规则的协议类型进入对应的所述已知工业互联网资产协议的编码回调函数,并利用所述编码回调函数对所述命中的初筛规则对应的协议的每一层进行验证,确定所述命中的初筛规则对应的协议的正确性;
根据所述命中的初筛规则对应的协议对所述待识别工业互联网流量中的当前报文进行字段解析,提取所述当前报文的字段。
3.根据权利要求1所述的基于多维探测的被动式工业互联网资产识别方法,其特征在于,所述对所述当前报文的各网络层级进行比对与校验,确定协议识别结果,具体包括:
对所述当前报文进行报文格式对比,确定所述当前报文各网络层级的协议类型,并标记各网络层级使用的协议;
基于各网络层级使用的协议对每一层所述网络层级进行协议特征字比对,确定特征字比对结果;
基于所述特征字比对结果,对所述当前报文进行包长与checksum校验,确定协议识别结果。
4.根据权利要求1所述的基于多维探测的被动式工业互联网资产识别方法,其特征在于,所述进入对应的所述已知工业互联网资产协议的编码回调函数,并对所述当前报文进行字段解析,输出自定义解析话单,具体包括:
判断所述当前报文的协议包的负载是否满足协议字段要求,得到第四判断结果;
若所述第四判断结果表示为所述当前报文的协议包的负载满足协议字段要求,定位报文协议头以及报文负载,并判断是否定位到对应字段,得到第五判断结果;
若所述第五判断结果表示为定位到对应字段,提取所述当前报文中的字段,输出自定义解析话单;
若所述第五判断结果表示为未定位到对应字段,结束提取字段;
若所述第四判断结果表示为所述当前报文的协议包的负载未满足协议字段要求,确定所述当前报文的协议包的负载长度不符,无法提取字段。
5.根据权利要求1所述的基于多维探测的被动式工业互联网资产识别方法,其特征在于,所述对所述当前报文跳过处理,不进行协议解析与提取,之后还包括:
判断所述当前报文是否需要抓包留存,得到第六判断结果;
若所述第六判断结果表示为所述当前报文需要抓包留存,将所述当前报文留存在本地,以进一步资产识别并扩展资产识别的支持范围;
若所述第六判断结果表示为所述当前报文不需要抓包留存,结束对所述当前报文的处理。
6.一种基于多维探测的被动式工业互联网资产识别系统,其特征在于,包括:
初始规则库加载模块,用于获取待识别工业互联网流量,并加载工业互联网资产协议识别初筛规则库;
第一判断模块,用于根据所述工业互联网资产协议识别初筛规则库对所述待识别工业互联网流量进行范围筛选,判断是否命中初筛规则,得到第一判断结果;
字段解析提取模块,用于若所述第一判断结果表示为命中初筛规则,进入命中的初筛规则对应的已知工业互联网资产协议的编码回调函数,并对所述待识别工业互联网流量中的当前报文进行字段解析,提取所述当前报文的字段;
比对与校验模块,用于若所述第一判断结果表示为未命中初筛规则,对所述当前报文的各网络层级进行比对与校验,确定协议识别结果;
第二判断模块,用于根据所述识别结果判断所述当前报文的承载协议是否为工业互联网资产协议,得到第二判断结果;
第三判断模块,用于若所述第二判断结果表示为所述当前报文的承载协议为工业互联网资产协议,判断所述当前报文的承载协议是否为已知工业互联网资产协议,得到第三判断结果;
自定义解析话单第一输出模块,用于若所述第三判断结果表示为所述当前报文的承载协议为已知工业互联网资产协议,进入对应的所述已知工业互联网资产协议的编码回调函数,并对所述当前报文进行字段解析,输出自定义解析话单;
自定义解析话单第二输出模块,用于若所述第二判断结果表示为所述当前报文的承载协议为非工业互联网资产协议,根据工业领域高频词汇表或厂家信息表对所述当前报文中的负载进行匹配扫描,通过解析所述负载对所述非工业互联网资产协议进行还原,并根据还原内容提取协议信息字段,输出自定义解析话单;
跳过处理模块,用于若所述第三判断结果表示为所述当前报文的承载协议为非已知工业互联网资产协议,对所述当前报文跳过处理,不进行协议解析与提取。
7.根据权利要求6所述的基于多维探测的被动式工业互联网资产识别系统,其特征在于,所述字段解析提取模块,具体包括:
验证单元,用于根据命中的初筛规则的协议类型进入对应的所述已知工业互联网资产协议的编码回调函数,并利用所述编码回调函数对所述命中的初筛规则对应的协议的每一层进行验证,确定所述命中的初筛规则对应的协议的正确性;
字段解析提取单元,用于根据所述命中的初筛规则对应的协议对所述待识别工业互联网流量中的当前报文进行字段解析,提取所述当前报文的字段。
8.根据权利要求6所述的基于多维探测的被动式工业互联网资产识别系统,其特征在于,所述比对与校验模块,具体包括:
协议类型确定单元,用于对所述当前报文进行报文格式对比,确定所述当前报文各网络层级的协议类型,并标记各网络层级使用的协议;
特征字比对结果确定单元,用于基于各网络层级使用的协议对每一层所述网络层级进行协议特征字比对,确定特征字比对结果;
包长与checksum校验单元,用于基于所述特征字比对结果,对所述当前报文进行包长与checksum校验,确定协议识别结果。
9.根据权利要求6所述的基于多维探测的被动式工业互联网资产识别系统,其特征在于,所述自定义解析话单第一输出模块,具体包括:
第四判断单元,用于判断所述当前报文的协议包的负载是否满足协议字段要求,得到第四判断结果;
第五判断单元,用于若所述第四判断结果表示为所述当前报文的协议包的负载满足协议字段要求,定位报文协议头以及报文负载,并判断是否定位到对应字段,得到第五判断结果;
自定义解析话单第一输出单元,用于若所述第五判断结果表示为定位到对应字段,提取所述当前报文中的字段,输出自定义解析话单;
字段提取结束单元,用于若所述第五判断结果表示为未定位到对应字段,结束提取字段;
负载长度不符确定单元,用于若所述第四判断结果表示为所述当前报文的协议包的负载未满足协议字段要求,确定所述当前报文的协议包的负载长度不符,无法提取字段。
10.根据权利要求6所述的基于多维探测的被动式工业互联网资产识别系统,其特征在于,还包括:
第六判断模块,用于判断所述当前报文是否需要抓包留存,得到第六判断结果;
抓包留存模块,用于若所述第六判断结果表示为所述当前报文需要抓包留存,将所述当前报文留存在本地,以进一步资产识别并扩展资产识别的支持范围;
处理结束模块,用于若所述第六判断结果表示为所述当前报文不需要抓包留存,结束对所述当前报文的处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211678968.0A CN115695593B (zh) | 2022-12-27 | 2022-12-27 | 基于多维探测的被动式工业互联网资产识别方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211678968.0A CN115695593B (zh) | 2022-12-27 | 2022-12-27 | 基于多维探测的被动式工业互联网资产识别方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115695593A true CN115695593A (zh) | 2023-02-03 |
CN115695593B CN115695593B (zh) | 2023-03-10 |
Family
ID=85055389
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211678968.0A Active CN115695593B (zh) | 2022-12-27 | 2022-12-27 | 基于多维探测的被动式工业互联网资产识别方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115695593B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117156465A (zh) * | 2023-08-10 | 2023-12-01 | 浙江亿视电子技术有限公司 | 针对物联网无线终端信息安全的通讯协议分析装置及方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180246944A1 (en) * | 2017-02-28 | 2018-08-30 | General Electric Company | System and method for the ingestion of industrial internet data |
CN110445750A (zh) * | 2019-06-18 | 2019-11-12 | 国家计算机网络与信息安全管理中心 | 一种车联网协议流量识别方法及装置 |
CN110545219A (zh) * | 2019-09-25 | 2019-12-06 | 杭州安恒信息技术股份有限公司 | 工业资产的被动识别方法、装置和电子设备 |
CN112788015A (zh) * | 2020-12-31 | 2021-05-11 | 天津大学 | 一种基于工业网关的工控协议识别与解析方法 |
CN113556354A (zh) * | 2021-07-29 | 2021-10-26 | 国家工业信息安全发展研究中心 | 一种基于流量分析的工业互联网安全威胁检测方法与系统 |
WO2021218068A1 (zh) * | 2020-04-28 | 2021-11-04 | 网络通信与安全紫金山实验室 | 基于icn的工业互联网标识解析系统及数据访问方法 |
CN113973059A (zh) * | 2021-10-21 | 2022-01-25 | 浙江大学 | 基于网络协议指纹的被动式工业互联网资产识别方法及装置 |
-
2022
- 2022-12-27 CN CN202211678968.0A patent/CN115695593B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180246944A1 (en) * | 2017-02-28 | 2018-08-30 | General Electric Company | System and method for the ingestion of industrial internet data |
CN110445750A (zh) * | 2019-06-18 | 2019-11-12 | 国家计算机网络与信息安全管理中心 | 一种车联网协议流量识别方法及装置 |
CN110545219A (zh) * | 2019-09-25 | 2019-12-06 | 杭州安恒信息技术股份有限公司 | 工业资产的被动识别方法、装置和电子设备 |
WO2021218068A1 (zh) * | 2020-04-28 | 2021-11-04 | 网络通信与安全紫金山实验室 | 基于icn的工业互联网标识解析系统及数据访问方法 |
CN112788015A (zh) * | 2020-12-31 | 2021-05-11 | 天津大学 | 一种基于工业网关的工控协议识别与解析方法 |
CN113556354A (zh) * | 2021-07-29 | 2021-10-26 | 国家工业信息安全发展研究中心 | 一种基于流量分析的工业互联网安全威胁检测方法与系统 |
CN113973059A (zh) * | 2021-10-21 | 2022-01-25 | 浙江大学 | 基于网络协议指纹的被动式工业互联网资产识别方法及装置 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117156465A (zh) * | 2023-08-10 | 2023-12-01 | 浙江亿视电子技术有限公司 | 针对物联网无线终端信息安全的通讯协议分析装置及方法 |
CN117156465B (zh) * | 2023-08-10 | 2024-05-24 | 浙江亿视电子技术有限公司 | 针对物联网无线终端信息安全的通讯协议分析装置及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN115695593B (zh) | 2023-03-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10922904B2 (en) | Method and apparatus for remotely communicating vehicle information to the cloud | |
US7852860B2 (en) | Protocol conversion apparatus, communication apparatus, method and program | |
US8769106B2 (en) | Universal configurable device gateway | |
CN102439818B (zh) | 自动生成变电站goose信号连接拓扑关系的方法和设备 | |
CN107770022B (zh) | 基于rtu协议的数据采集方法、电子设备及存储介质 | |
US8984089B2 (en) | Network communications in an industrial automation environment | |
CN112542888B (zh) | 一种实现配用电智能设备即插即用的方法 | |
CN115695593B (zh) | 基于多维探测的被动式工业互联网资产识别方法及系统 | |
CN106603565A (zh) | 一种数据传输、显示的方法及设备 | |
CN110768882B (zh) | 一种数据监控方法、系统、监听设备及车辆 | |
CN101803285A (zh) | 设备类型的设备类型管理器中的网络扫描和管理 | |
CN112822276B (zh) | 一种变电站站控层通信方法、系统、电子设备及存储介质 | |
EP2633433A1 (en) | A method and a system for managing communications in industrial supervision and control systems | |
CN112039833A (zh) | 一种通讯管理机系统及工程配置方法 | |
CN105162252A (zh) | 基于cid文件的即插即用配电终端信息实现自动映射的方法 | |
CN102710656A (zh) | 基于汽车网关系统的通信协议逆向解析方法 | |
US10917263B1 (en) | Universal configurable device gateway | |
CN102710479A (zh) | 用于通信协议逆向解析的汽车网关系统 | |
US10379935B2 (en) | Agent system for intelligent system management by digital substation and operation method therefor | |
Choi | Wireless communications for SCADA systems utilizing mobile nodes | |
CN114726916A (zh) | 一种基于边缘物联代理的数据传输管理系统、方法 | |
Kang et al. | Compartmentalization of protocols in SCADA communication | |
US10579545B2 (en) | Method for accessing a peripheral device by a host device via an access device | |
CN202634475U (zh) | 用于解析汽车网络节点间通信协议的汽车协议解析器 | |
Stutz et al. | Automated Integration of Remote Terminal Units via IEC Protocol with the Module Type Package |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |