CN116070218B - 工业资产的探测方法、终端设备及存储介质 - Google Patents

工业资产的探测方法、终端设备及存储介质 Download PDF

Info

Publication number
CN116070218B
CN116070218B CN202310310781.3A CN202310310781A CN116070218B CN 116070218 B CN116070218 B CN 116070218B CN 202310310781 A CN202310310781 A CN 202310310781A CN 116070218 B CN116070218 B CN 116070218B
Authority
CN
China
Prior art keywords
industrial asset
data
industrial
mac address
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310310781.3A
Other languages
English (en)
Other versions
CN116070218A (zh
Inventor
李瀚辰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing 6Cloud Technology Co Ltd
Beijing 6Cloud Information Technology Co Ltd
Original Assignee
Beijing 6Cloud Technology Co Ltd
Beijing 6Cloud Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing 6Cloud Technology Co Ltd, Beijing 6Cloud Information Technology Co Ltd filed Critical Beijing 6Cloud Technology Co Ltd
Priority to CN202310310781.3A priority Critical patent/CN116070218B/zh
Publication of CN116070218A publication Critical patent/CN116070218A/zh
Application granted granted Critical
Publication of CN116070218B publication Critical patent/CN116070218B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/04Manufacturing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/30Computing systems specially adapted for manufacturing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Business, Economics & Management (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Manufacturing & Machinery (AREA)
  • Data Mining & Analysis (AREA)
  • Medical Informatics (AREA)
  • Economics (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提出一种工业资产的探测方法、终端设备及存储介质,属于工业资产探测技术领域,本发明提出的工业资产的探测方法包括:获取工业资产的流量数据;对所述流量数据进行解析,得到解析数据;根据所述解析数据、预设的映射关系,确定所述工业资产的类型;根据所述工业资产的类型和所述解析数据,对所述工业资产进行探测,确定所述工业资产的画像数据;将所述工业资产的画像数据保存到工业资产库中。基于本申请,实现了从工业网络中获取流量数据,从流量数据中得到工业资产的画像数据并存储的目的,达到了准确、全面、低成本地获取工业资产的画像数据的效果。

Description

工业资产的探测方法、终端设备及存储介质
技术领域
本发明涉及工业资产探测技术领域,尤其涉及工业资产的探测方法、终端设备及存储介质。
背景技术
随着信息技术的持续发展,网络安全变得越来越重要,工业资产逐渐网络化,工控安全的问题日趋严峻。因此,维护工控网络环境中的资产与安全防护显得更加重要和迫切。
目前工控网络环境中的资产识别方法包括了传统网络的资产识别、人工统计;然而,上述两种方式存在人工成本高、效率低的问题。需要在每台设备安装客户端,此种方式的入侵性最强、成本较高,效率低下,还可能出现系统的业务流转问题。或者基于SNMP协议,它使用嵌入到网络设施中的代理软件来收集网络通信信息和相关资产设备信息、或者基于Masscan、Nmap等扫描软件,实现快速基于端口的扫描来进行识别,这两种方式都会对网络造成影响。
因此,如何准确、全面且低成本地探测出工控网络中的工业资产是当前亟待解决的问题。
发明内容
本申请的主要目的在于提供工业资产的探测方法、终端设备及存储介质,旨在解决如何准确、全面且低成本地探测出工控网络中的工业资产的问题。
为实现上述目的,本申请提供工业资产的探测方法,应用于第一终端领域,所述工业资产的探测方法包括以下步骤:
获取工业资产的流量数据;
对所述流量数据进行解析,得到解析数据;
根据所述解析数据、预设的映射关系,确定所述工业资产的类型;
根据所述工业资产的类型和所述解析数据,对所述工业资产进行探测,确定所述工业资产的画像数据;
将所述工业资产的画像数据保存到工业资产库中。
可选的,所述对所述流量数据进行解析,得到解析数据的步骤包括:
对所述工业资产的流量数据按照工业协议S7报文结构进行解析,得到五元组信息和/或工业资产的MAC地址,作为解析数据。
可选的,所述预设的映射关系包括MAC地址与厂商信息的映射关系、厂商信息与工业资产的类型的映射关系,所述根据所述解析数据、预设的映射关系,确定所述工业资产的类型的步骤包括:
将所述解析数据中的MAC地址、所述MAC地址与厂商的映射关系进行匹配,得到所述工业资产的厂商信息;
根据所述工业资产的厂商信息,所述厂商信息与工业资产的类型的映射关系,确定所述工业资产的类型。
可选的,所述工业资产的类型为OT类型,所述根据所述工业资产的类型和所述解析数据,对所述工业资产进行探测,确定所述工业资产的画像数据的步骤包括:
获取所述工业资产的MAC地址所属的二层网络交换机的MAC转发协议表;或从所述工业资产所属三层网络的DNS服务器的ARP表中获取所述工业资产的IP地址对应的MAC地址;
根据所述MAC转发协议表获取所述工业资产的MAC地址对应的端口;
将所述工业资产的MAC地址和对应的端口,与预设的设备指纹库进行匹配,得到匹配成功的厂商信息;
根据所述厂商信息确定对应的指纹探测脚本;
通过所述对应的指纹探测脚本对所述厂商信息对应的MAC地址进行探测;
当探测成功时,从探测得到的响应包中提取所述工业资产的画像数据。
可选的,所述将所述工业资产的MAC地址和对应的端口,与预设的设备指纹库进行匹配的步骤之后还包括:
若未匹配到对应的厂商信息,则根据所述解析数据和所述MAC地址从预设的指纹存储库中获取所述工业资产的画像数据;
若未从所述指纹存储库中获取到所述工业资产的画像数据,则将所述解析数据、所述厂商信息、所述MAC地址和/或对应的IP地址缓存到生产消费缓存库。
可选的,所述将所述解析数据、所述厂商信息、所述MAC地址和/或对应的IP地址缓存到生产消费缓存库的步骤之后包括:
从所述生产消费缓存库中获取预先缓存的MAC地址和/或对应的IP地址;
从所述预先缓存的MAC地址和/或对应的IP地址所属工业网络中监听第二工业资产的流量数据;
从所述第二工业资产的流量数据中筛选出所述预先缓存的MAC地址和/或对应的IP地址为目标地址和源地址的第三流量数据;
保存所述第三流量数据、所述预先缓存的MAC地址和/或对应的IP地址的工业资产映射关系;
对所述第三流量数据进行解析,得到第三解析数据;
从所述工业资产库中查询所述第三解析数据对应的工业资产画像数据;
根据所述第三解析数据对应的工业资产画像数据、所述工业资产映射关系、预设的工业资产层级映射表,确定所述预先缓存的MAC地址和/或对应的IP地址相关的工业资产画像数据。
可选的,所述确定所述预先缓存的MAC地址和/或对应的IP地址相关的工业资产画像数据的步骤之后包括:
根据所述预先缓存的IP地址的工业资产画像数据,对所述工业资产进行探测,接收第二响应信息;
将所述第二响应信息与操作系统指纹库或应用程序指纹库进行匹配,将匹配成功的操作系统或应用程序相关信息作为所述预先缓存的IP地址相关的工业资产画像数据。
可选的,所述确定所述预先缓存的MAC地址和/或对应的IP地址相关的工业资产画像数据的步骤之后还包括:
将所述工业资产的画像数据通过预先训练的监督分类模型进行分类,得到分类结果;
根据所述分类结果,对所述工业资产的画像数据进行补正,得到补正后的工业资产的画像数据;
对所述工业资产进行漏洞扫描,根据所述漏洞扫描的结果,补正所述工业资产的画像数据;
对所述工业资产进行信道扫描,根据所述信道扫描的结果,补正所述工业资产的画像数据。
本申请实施案例还提出一种工业资产的探测装置,所述工业资产的探测装置包括:
获取流量模块,用于获取工业资产的流量数据;
解析流量模块,用于对所述流量数据进行解析,得到解析数据;
确定类型模块,用于根据所述解析数据、预设的映射关系,确定所述工业资产的类型;
探测资产模块,用于根据所述工业资产的类型和所述解析数据,对所述工业资产进行探测,确定所述工业资产的画像数据;
保存资产模块,用于将所述工业资产的画像数据保存到工业资产库中。
本申请实施案例还提出一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的工业资产的探测的程序,所述工业资产的探测的程序被所述处理器执行时实现所述工业资产的探测方法的步骤。
本申请实施案例还提出一种存储介质,所述存储介质上存储有 工业资产的探测的程序,所述工业资产的探测的程序被处理器执行时实现所述工业资产的探测方法的步骤。
本申请提出的工业资产的探测方法、终端设备及存储介质。通过获取工业资产的流量数据;对所述流量数据进行解析,得到解析数据;根据所述解析数据、预设的映射关系,确定所述工业资产的类型;根据所述工业资产的类型和所述解析数据,对所述工业资产进行探测,确定所述工业资产的画像数据;将所述工业资产的画像数据保存到工业资产库中。基于本申请,实现了从工业网络中获取流量数据,从流量数据中得到工业资产的画像数据并存储的目的,达到了准确、全面、低成本地获取工业资产的画像数据的效果。
附图说明
图1为本申请工业资产的探测装置所属终端设备的功能模块示意图;
图2为本申请工业资产的探测方法第一示例性实施例的流程示意图;
图3为本申请工业资产的探测方法第二示例性实施例的流程示意图;
图4为本申请工业资产的探测方法第三示例性实施例的流程示意图;
图5为本申请工业资产的探测方法第四示例性实施例的流程示意图;
图6为本申请工业资产的探测方法第五示例性实施例的流程示意图;
图7为本申请工业资产的探测方法第六示例性实施例的流程示意图;
图8为本申请工业资产的探测方法第七示例性实施例的流程示意图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施案例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例的主要解决方案是获取工业资产的流量数据;对所述流量数据进行解析,得到解析数据;根据所述解析数据、预设的映射关系,确定所述工业资产的类型;根据所述工业资产的类型和所述解析数据,对所述工业资产进行探测,确定所述工业资产的画像数据;将所述工业资产的画像数据保存到工业资产库中。基于本方案,实现了从工业网络中获取流量数据,从流量数据中得到工业资产的画像数据并存储的目的,达到了准确、全面、低成本地获取工业资产的画像数据的效果。
具体地,参照图1,图1为本申请工业资产的探测的装置所属终端设备的功能模块示意图。该工业资产的探测的装置为基于终端设备的、能够从工业网络中获取流量数据,从流量数据中得到工业资产的画像数据并存储,从而达到准确、全面、低成本地获取工业资产的画像数据的装置,其可以通过硬件或软件的形式承载于终端设备上。
在本实施例中,该工业资产的探测的装置所属终端设备至少包括输出模块110、处理器120、存储器130以及通信模块140。
存储器130中存储有操作系统以及工业资产的探测的程序,所述工业资产的探测的装置可以获取工业资产的流量数据;对所述流量数据进行解析,得到解析数据;根据所述解析数据、预设的映射关系,确定所述工业资产的类型;根据所述工业资产的类型和所述解析数据,对所述工业资产进行探测,确定所述工业资产的画像数据;将所述工业资产的画像数据保存到工业资产库中等信息存储于该存储器130中;输出模块110可为显示屏等。通信模块140可以包括WIFI模块、移动通信模块以及蓝牙模块等,通过通信模块140与外部设备或服务器进行通信。
其中,存储器130中的工业资产的探测的程序,所述工业资产的探测的程序被处理器执行时实现以下步骤:
获取工业资产的流量数据;
对所述流量数据进行解析,得到解析数据;
根据所述解析数据、预设的映射关系,确定所述工业资产的类型;
根据所述工业资产的类型和所述解析数据,对所述工业资产进行探测,确定所述工业资产的画像数据;
将所述工业资产的画像数据保存到工业资产库中。
进一步地,存储器130中的用户意向度的统计程序被处理器执行时还实现以下步骤:
对所述工业资产的流量数据按照工业协议S7报文结构进行解析,得到五元组信息和/或工业资产的MAC地址,作为解析数据。
进一步地,存储器130中的用户意向度的统计程序被处理器执行时还实现以下步骤:
将所述解析数据中的MAC地址、所述MAC地址与厂商的映射关系进行匹配,得到所述工业资产的厂商信息;
根据所述工业资产的厂商信息,所述厂商信息与工业资产的类型的映射关系,确定所述工业资产的类型。
进一步地,存储器130中的用户意向度的统计程序被处理器执行时还实现以下步骤:
获取所述工业资产的MAC地址所属的二层网络交换机的MAC转发协议表;或从所述工业资产所属三层网络的DNS服务器的ARP表中获取所述工业资产的IP地址对应的MAC地址;
根据所述MAC转发协议表获取所述工业资产的MAC地址对应的端口;
将所述工业资产的MAC地址和对应的端口,与预设的设备指纹库进行匹配,得到匹配成功的厂商信息;
根据所述厂商信息确定对应的指纹探测脚本;
通过所述对应的指纹探测脚本对所述厂商信息对应的MAC地址进行探测;
当探测成功时,从探测得到的响应包中提取所述工业资产的画像数据。
进一步地,存储器130中的用户意向度的统计程序被处理器执行时还实现以下步骤:
若未匹配到对应的厂商信息,则根据所述解析数据和所述MAC地址从预设的指纹存储库中获取所述工业资产的画像数据;
若未从所述指纹存储库中获取到所述工业资产的画像数据,则将所述解析数据、所述厂商信息、所述MAC地址和/或对应的IP地址缓存到生产消费缓存库。
进一步地,存储器130中的用户意向度的统计程序被处理器执行时还实现以下步骤:
从所述生产消费缓存库中获取预先缓存的MAC地址和/或对应的IP地址;
从所述预先缓存的MAC地址和/或对应的IP地址所属工业网络中监听第二工业资产的流量数据;
从所述第二工业资产的流量数据中筛选出所述预先缓存的MAC地址和/或对应的IP地址为目标地址和源地址的第三流量数据;
保存所述第三流量数据、所述预先缓存的MAC地址和/或对应的IP地址的工业资产映射关系;
对所述第三流量数据进行解析,得到第三解析数据;
从所述工业资产库中查询所述第三解析数据对应的工业资产画像数据;
根据所述第三解析数据对应的工业资产画像数据、所述工业资产映射关系、预设的工业资产层级映射表,确定所述预先缓存的MAC地址和/或对应的IP地址相关的工业资产画像数据。
进一步地,存储器130中的用户意向度的统计程序被处理器执行时还实现以下步骤:
根据所述预先缓存的IP地址的工业资产画像数据,对所述工业资产进行探测,接收第二响应信息;
将所述第二响应信息与操作系统指纹库或应用程序指纹库进行匹配,将匹配成功的操作系统或应用程序相关信息作为所述预先缓存的IP地址相关的工业资产画像数据。
进一步地,存储器130中的用户意向度的统计程序被处理器执行时还实现以下步骤:
将所述工业资产的画像数据通过预先训练的监督分类模型进行分类,得到分类结果;
根据所述分类结果,对所述工业资产的画像数据进行补正,得到补正后的工业资产的画像数据;
对所述工业资产进行漏洞扫描,根据所述漏洞扫描的结果,补正所述工业资产的画像数据;
对所述工业资产进行信道扫描,根据所述信道扫描的结果,补正所述工业资产的画像数据。
基于上述终端设备架构但不限于上述架构,提出本申请方法实施例。
参照图2,图2为本申请工业资产的探测方法第一示例性实施例的流程示意图。应用于第一终端,所述工业资产的探测方法包括:
步骤S110,获取工业资产的流量数据;
具体地,工业资产的流量数据主要是通过从工业网络中接收流量数据获取到的。
步骤S120,对所述流量数据进行解析,得到解析数据;
具体地,对所述工业资产的流量数据按照工业协议S7报文结构进行解析,得到五元组信息和/或工业资产的MAC地址,作为解析数据,五元组信息至少包括发送IP地址、接收IP地址、发送端口、接收端口、MAC地址;工业资产的MAC地址包括发送设备的MAC地址、接收设备的MAC地址。
步骤S130,根据所述解析数据、预设的映射关系,确定所述工业资产的类型;
具体地,预设的映射关系包括MAC地址与厂商信息的映射关系、厂商信息与工业资产的类型的映射关系,将解析数据中的MAC地址、MAC地址与厂商信息的映射关系进行匹配,得到所述工业资产的厂商信息;进一步地,通过发送设备的MAC地址和接收设备的MAC地址,分别与预先得到的MAC地址与厂商信息的映射关系进行匹配,可以确定出工业资产所属厂商的相关信息,包括设备型号、厂商名称等;根据所述工业资产的厂商信息,所述厂商信息与工业资产的类型的映射关系,确定所述工业资产的类型。通过厂商名称、设备型号可以判断出工业资产的类型是IT类资产还是OT类资产。根据工业资产的厂商信息,将厂商信息与工业资产的类型的映射关系进行匹配,确定所述工业资产的类型。
步骤S140,根据所述工业资产的类型和所述解析数据,对所述工业资产进行探测,确定所述工业资产的画像数据;
具体地,工业资产类型不同,探测的方式也有所不同,每个不同的厂商可以通过对应的指定脚本或命令去探测,以符合工业资产的通信协议,发送探测请求,获取响应信息确定工业资产的画像数据。
步骤S150,将所述工业资产的画像数据保存到工业资产库中。
本实施例通过上述方案,具体通过获取工业资产的流量数据;对所述流量数据进行解析,得到解析数据;根据所述解析数据、预设的映射关系,确定所述工业资产的类型;根据所述工业资产的类型和所述解析数据,对所述工业资产进行探测,确定所述工业资产的画像数据;将所述工业资产的画像数据保存到工业资产库中。基于本方案,通过从工业网络中获取流量数据,从流量数据中得到工业资产的画像数据并存储的目的,达到了准确、全面、低成本地获取工业资产的画像数据的效果。
参照图3,图3为本申请工业资产的探测方法第二示例性实施例的流程示意图。所述根据所述工业资产的类型和所述解析数据,对所述工业资产进行探测,确定所述工业资产的画像数据的步骤包括:
步骤S1401,当所述工业资产的类型为IT类型时,根据所述解析数据中的四元组信息对所述工业资产进行探测,接收第二响应信息;
具体地,如果是IT类资产,将IT类资产放入消息队列中,接着对IT类资产通过对应厂商发送指定探测请求脚本,对IP地址和端口进行探测,得到第二响应信息。第二响应信息的内容包括IP头中的总长度、标识符ID、TTL字段、分片信息等,TCP报文的head中的wsize,SYN-ACK包重传延时,ICMP或UDP等协议指纹;FIN、ISN采样、ACK值、DF位、TCP初始窗口大小、ICMP消息引用、ICMP出错消息抑制以及回射完整性、重叠分片处理等。
步骤S1402,将所述第二响应信息与指纹识别库进行匹配,得到所述工业资产的画像数据。
具体地,将响应信息与操作系统指纹库或者应用程序指纹库进行匹配,得到工业资产的画像数据,操作系统指纹库具体匹配如TTL域、TCP窗口大小和TCP标记位、ID域、Don`t Fragment位、Sequence Number域,应用程序指纹库主要识别banner等。
本实施例通过上述方案,具体通过当所述工业资产的类型为IT类型时,根据所述解析数据中的四元组信息对所述工业资产进行探测,接收第二响应信息;将所述第二响应信息与指纹识别库进行匹配,得到所述工业资产的画像数据。基于本方案,通过对IT类工业资产进行探测,匹配指纹识别库从而确定工业资产的画像数据,达到了准确获取IT类工业资产的画像数据的效果。
参照图4,图4为本申请工业资产的探测方法第三示例性实施例的流程示意图。所述工业资产的类型为OT类型,所述根据所述工业资产的类型和所述解析数据,对所述工业资产进行探测,确定所述工业资产的画像数据的步骤包括:
步骤S1403,获取所述工业资产的MAC地址所属的二层网络交换机的MAC转发协议表;或从所述工业资产所属三层网络的DNS服务器的ARP表中获取所述工业资产的IP地址对应的MAC地址;
具体地,通过网络中交换机的MAC转发协议表即可知道当前MAC地址所在工业二层网络中的设备的MAC地址,通过IP地址所在的三层网络的DNS服务器,就可以根据DNS服务器中的ARP表与IP地址匹配,从而确定对应的MAC地址。
步骤S1404,根据所述MAC转发协议表获取所述工业资产的MAC地址对应的端口;
步骤S1405,将所述工业资产的MAC地址和对应的端口,与预设的设备指纹库进行匹配,得到匹配成功的厂商信息;
具体地,设备指纹库中保存了厂商的名称、MAC地址、端口号、设备型号等信息,通过将MAC转发协议表中的MAC地址,对应的端口依次与设备指纹库中MAC地址和端口号进行匹配,可以确定出对应的厂商名称、设备型号等信息。
步骤S1406,根据所述厂商信息确定对应的指纹探测脚本;
步骤S1407,通过所述对应的指纹探测脚本对所述厂商信息对应的MAC地址进行探测;
具体地,如果匹配成功的厂商信息唯一,则可以直接确定厂商信息,如果不唯一则通过轮询的方式对不同的厂商通过MAC地址和端口号发送不同厂商的指定的探测脚本,从而确定出MAC地址和端口对应的唯一的厂商信息。
步骤S1408,当探测成功时,从探测得到的响应包中提取所述工业资产的画像数据。
具体地,第一响应信息中可以获取到的工业资产的画像数据包括厂商、设备类型、以及版本。
本实施例通过上述方案,具体通过获取所述工业资产的MAC地址所属的二层网络交换机的MAC转发协议表;或从所述工业资产所属三层网络的DNS服务器的ARP表中获取所述工业资产的IP地址对应的MAC地址;根据所述MAC转发协议表获取所述工业资产的MAC地址对应的端口;将所述工业资产的MAC地址和对应的端口,与预设的设备指纹库进行匹配,得到匹配成功的厂商信息;根据所述厂商信息确定对应的指纹探测脚本;通过所述对应的指纹探测脚本对所述厂商信息对应的MAC地址进行探测;当探测成功时,从探测得到的响应包中提取所述工业资产的画像数据。基于本方案,通过对OT类的工业资产进行探测,从而得到工业资产的画像数据,达到了准确地获取0T类工业资产的画像数据的效果。
参照图5,图5为本申请工业资产的探测方法第四示例性实施例的流程示意图。所述将所述工业资产的MAC地址和对应的端口,与预设的设备指纹库进行匹配的步骤之后还包括:
步骤S1409,若未匹配到对应的厂商信息,则根据所述解析数据和所述MAC地址从预设的指纹存储库中获取所述工业资产的画像数据;
具体地,预设的指纹存储库存储了MAC地址、端口信息、五元组信息,通过将解析数据数据中MAC地址与指纹存储库中的工业资产指纹数据匹配,确定唯一的工业资产画像数据,此处得到的工业资产画像数据是预先存储起来的。
步骤S1400,若未从所述指纹存储库中获取到所述工业资产的画像数据,则将所述解析数据、所述厂商信息、所述MAC地址和/或对应的IP地址缓存到生产消费缓存库。
具体地,生产消费缓存库包括但不限于消息队列、kafka,进行缓存,为方便后续对所得到的工业资产相关信息通过其他方式确定工业资产画像数据。
本实施例通过上述方案,具体通过若未匹配到对应的厂商信息,则根据所述解析数据和所述MAC地址从预设的指纹存储库中获取所述工业资产的画像数据;若未从所述指纹存储库中获取到所述工业资产的画像数据,则将所述解析数据、所述厂商信息、所述MAC地址和/或对应的IP地址缓存到生产消费缓存库。基于本方案,通过将未确定的工业资产相关信息存储起来,方便后续进一步确认。
参照图6,图6为本申请工业资产的探测方法第五示例性实施例的流程示意图。所述将所述解析数据、所述厂商信息、所述MAC地址和/或对应的IP地址缓存到生产消费缓存库的步骤之后包括:
步骤S1500,从所述生产消费缓存库中获取预先缓存的MAC地址和/或对应的IP地址;
步骤S1501,从所述预先缓存的MAC地址和/或对应的IP地址所属工业网络中监听第二工业资产的流量数据;
具体地,所述预先缓存的MAC地址和/或对应的IP地址所属工业网络可以确定所属为第二网络或第三网络的交换机,从而获取第二工业资产的流量数据。
步骤S1502,从所述第二工业资产的流量数据中筛选出所述预先缓存的MAC地址和/或对应的IP地址为目标地址和源地址的第三流量数据;
步骤S1503,保存所述第三流量数据、所述预先缓存的MAC地址和/或对应的IP地址的工业资产映射关系;
具体地,为了通过其他的工业资产信息确定当前工业资产的画像数据,需要将以预先缓存的MAC地址和/或对应的IP地址为目标地址或源地址的流量数据对应保存起来,方便后续通过已知工业资产传输数据关系映射,确定当前工业资产的画像数据。
步骤S1504,对所述第三流量数据进行解析,得到第三解析数据;
步骤S1505,从所述工业资产库中查询所述第三解析数据对应的工业资产画像数据;
具体地,工业资产库中存在已知的工业资产画像数据,通过查询当得到以IP或MAC地址为源地址或目标地址的工业资产的画像数据,方便后续通过已知的工业资产映射关系,得到当前工业资产的画像数据。
步骤S1506,根据所述第三解析数据对应的工业资产画像数据、所述工业资产映射关系、预设的工业资产层级映射表,确定所述预先缓存的MAC地址和/或对应的IP地址相关的工业资产画像数据。
本实施例通过上述方案,具体通过从所述生产消费缓存库中获取预先缓存的MAC地址和/或对应的IP地址;从所述预先缓存的MAC地址和/或对应的IP地址所属工业网络中监听第二工业资产的流量数据;从所述第二工业资产的流量数据中筛选出所述预先缓存的MAC地址和/或对应的IP地址为目标地址和源地址的第三流量数据;保存所述第三流量数据、所述预先缓存的MAC地址和/或对应的IP地址的工业资产映射关系;对所述第三流量数据进行解析,得到第三解析数据;从所述工业资产库中查询所述第三解析数据对应的工业资产画像数据;根据所述第三解析数据对应的工业资产画像数据、所述工业资产映射关系、预设的工业资产层级映射表,确定所述预先缓存的MAC地址和/或对应的IP地址相关的工业资产画像数据。基于本方案,达到了对当前工业资产的画像数据通过其他工业资产的画像数据得到的目的。
参照图7,图7为本申请工业资产的探测方法第六示例性实施例的流程示意图。所述确定所述预先缓存的MAC地址和/或对应的IP地址相关的工业资产画像数据的步骤之后包括:
步骤S1601,根据所述预先缓存的IP地址的工业资产画像数据,对所述工业资产进行探测,接收第二响应信息;
步骤S1602,将所述第二响应信息与操作系统指纹库或应用程序指纹库进行匹配,将匹配成功的操作系统或应用程序相关信息作为所述预先缓存的IP地址相关的工业资产画像数据。
本实施例通过上述方案,具体通过根据所述预先缓存的IP地址的工业资产画像数据,对所述工业资产进行探测,接收第二响应信息;将所述第二响应信息与操作系统指纹库或应用程序指纹库进行匹配,将匹配成功的操作系统或应用程序相关信息作为所述预先缓存的IP地址相关的工业资产画像数据。基于本方案,通过操作系统指纹库或应用程序指纹库对工业资产的画像数据进一步确认,使得工业资产的画像数据更加准确。
参照图8,图8为本申请工业资产的探测方法第七示例性实施例的流程示意图。所述确定所述预先缓存的MAC地址和/或对应的IP地址相关的工业资产画像数据的步骤之后还包括:
步骤S1603,将所述工业资产的画像数据通过预先训练的监督分类模型进行分类,得到分类结果;
具体地,通过预先训练的监督分类模型对工业资产的画像数据进行分类,分类模型算法可以包括但不限于决策树、XGBoost等。
步骤S1604,根据所述分类结果,对所述工业资产的画像数据进行补正,得到补正后的工业资产的画像数据;
具体地,分类时会对数据进行相关性的验证,将不相关的数据进行剔除,将分类后的工业资产的画像数据,根据同类的工业资产已经存在数据进行补充。
步骤S1605,对所述工业资产进行漏洞扫描,根据所述漏洞扫描的结果,补正所述工业资产的画像数据;
具体地,通过对工业资产进行漏洞扫描,从而根据扫描到工业资产的漏洞,进一步地对工业资产的画像数据进行补充和修正,保证工业资产的画像数据的准确性。
步骤S1606,对所述工业资产进行信道扫描,根据所述信道扫描的结果,补正所述工业资产的画像数据。
具体地,通过对工业资产进行信道扫描,从而发现更多工业资产相关数据,根据得到的工业资产相关数据,进一步地补正工业资产的画像数据,使得工业资产的画像数据更加全面。
本实施例通过上述方案,具体通过将所述工业资产的画像数据通过预先训练的监督分类模型进行分类,得到分类结果;根据所述分类结果,对所述工业资产的画像数据进行补正,得到补正后的工业资产的画像数据;对所述工业资产进行漏洞扫描,根据所述漏洞扫描的结果,补正所述工业资产的画像数据;对所述工业资产进行信道扫描,根据所述信道扫描的结果,补正所述工业资产的画像数据。基于本方案,通过对IT类型的工业资产数据进一步地补正,达到了准确、全面地探测工业资产IT类数据的效果。
此外,本申请实施案例还提出一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的 工业资产的探测的程序,所述 工业资产的探测的程序被所述处理器执行时实现所述 工业资产的探测方法的步骤。
由于本 工业资产的探测的程序被处理器执行时,采用了前述所有实施例的全部技术方案,因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果,在此不再一一赘述。
此外,本申请实施案例还提出一种存储介质,所述存储介质上存储有 工业资产的探测的程序,所述 工业资产的探测的程序被处理器执行时实现所述 工业资产的探测方法的步骤。
由于本 工业资产的探测的程序被处理器执行时,采用了前述所有实施例的全部技术方案,因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果,在此不再一一赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是计算机,服务器,被控客户端,或者网络设备等)执行本申请每个实施例的方法。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。

Claims (8)

1.一种工业资产的探测方法,其特征在于,所述工业资产的探测方法包括以下步骤:
获取工业资产的流量数据;
对所述工业资产的流量数据按照工业协议S7报文结构进行解析,得到解析数据,所述解析数据包括五元组信息和/或工业资产的MAC地址;
根据所述解析数据、预设的映射关系,确定所述工业资产的类型;
根据所述工业资产的类型和所述解析数据,对所述工业资产进行探测,确定所述工业资产的画像数据;
将所述工业资产的画像数据保存到工业资产库中;
其中,所述工业资产的类型为OT类型,所述根据所述工业资产的类型和所述解析数据,对所述工业资产进行探测,确定所述工业资产的画像数据的步骤包括:
获取所述工业资产的MAC地址所属的二层网络交换机的MAC转发协议表;
从所述工业资产所属三层网络的DNS服务器的ARP表中获取所述工业资产的IP地址对应的MAC地址;
根据所述MAC转发协议表获取所述工业资产的MAC地址对应的端口;
将所述工业资产的MAC地址和对应的端口,与预设的设备指纹库进行匹配,得到匹配成功的厂商信息;
根据所述厂商信息确定对应的指纹探测脚本;
通过所述对应的指纹探测脚本对所述厂商信息对应的MAC地址进行探测;
当探测成功时,从探测得到的响应包中提取所述工业资产的画像数据。
2.根据权利要求1所述的工业资产的探测方法,其特征在于,所述预设的映射关系包括MAC地址与厂商信息的映射关系、厂商信息与工业资产的类型的映射关系,所述根据所述解析数据、预设的映射关系,确定所述工业资产的类型的步骤包括:
将所述解析数据中的MAC地址、所述MAC地址与厂商的映射关系进行匹配,得到所述工业资产的厂商信息;
根据所述工业资产的厂商信息,所述厂商信息与工业资产的类型的映射关系,确定所述工业资产的类型。
3.根据权利要求2所述的工业资产的探测方法,其特征在于,所述将所述工业资产的MAC地址和对应的端口,与预设的设备指纹库进行匹配的步骤之后还包括:
若未匹配到对应的厂商信息,则根据所述解析数据和所述MAC地址从预设的指纹存储库中获取所述工业资产的画像数据;
若未从所述指纹存储库中获取到所述工业资产的画像数据,则将所述解析数据、通过所述MAC地址和所述MAC地址与厂商的映射关系匹配得到的所述厂商信息、所述MAC地址和/或对应的IP地址缓存到生产消费缓存库。
4.根据权利要求3所述的工业资产的探测方法,其特征在于,所述将所述解析数据、通过所述MAC地址和所述MAC地址与厂商的映射关系匹配得到的所述厂商信息、所述MAC地址和/或对应的IP地址缓存到生产消费缓存库的步骤之后包括:
从所述生产消费缓存库中获取预先缓存的MAC地址和/或对应的IP地址;
从所述预先缓存的MAC地址和/或对应的IP地址所属工业网络中监听所述工业资产的第二流量数据;
从所述第二流量数据中筛选出所述预先缓存的MAC地址和/或对应的IP地址为目标地址和源地址的第三流量数据;
保存所述第三流量数据、所述预先缓存的MAC地址和/或对应的IP地址的工业资产映射关系;
对所述第三流量数据进行解析,得到第三解析数据;
从所述工业资产库中查询所述第三解析数据对应的工业资产画像数据;
根据所述第三解析数据对应的工业资产画像数据、所述工业资产映射关系、预设的工业资产层级映射表,确定所述预先缓存的MAC地址和/或对应的IP地址相关的工业资产画像数据。
5.根据权利要求4所述的工业资产的探测方法,其特征在于,所述确定所述预先缓存的MAC地址和/或对应的IP地址相关的工业资产画像数据的步骤之后包括:
根据所述预先缓存的IP地址的工业资产画像数据,对所述工业资产进行探测,接收第二响应信息;
将所述第二响应信息与操作系统指纹库或应用程序指纹库进行匹配,将匹配成功的操作系统或应用程序相关信息作为所述预先缓存的IP地址相关的工业资产画像数据。
6.根据权利要求5所述的工业资产的探测方法,其特征在于,所述确定所述预先缓存的MAC地址和/或对应的IP地址相关的工业资产画像数据的步骤之后还包括:
将所述工业资产的画像数据通过预先训练的监督分类模型进行分类,得到分类结果;
根据所述分类结果,对所述工业资产的画像数据进行补正,得到补正后的工业资产的画像数据;
对所述工业资产进行漏洞扫描,根据所述漏洞扫描的结果,补正所述工业资产的画像数据;
对所述工业资产进行信道扫描,根据所述信道扫描的结果,补正所述工业资产的画像数据。
7.一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的工业资产的探测的程序,所述工业资产的探测的程序被所述处理器执行时实现如权利要求1-6中任一项所述工业资产的探测方法的步骤。
8.一种存储介质,其特征在于,所述存储介质上存储有工业资产的探测的程序,所述工业资产的探测的程序被处理器执行时实现如权利要求1-6中任一项所述工业资产的探测方法的步骤。
CN202310310781.3A 2023-03-28 2023-03-28 工业资产的探测方法、终端设备及存储介质 Active CN116070218B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310310781.3A CN116070218B (zh) 2023-03-28 2023-03-28 工业资产的探测方法、终端设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310310781.3A CN116070218B (zh) 2023-03-28 2023-03-28 工业资产的探测方法、终端设备及存储介质

Publications (2)

Publication Number Publication Date
CN116070218A CN116070218A (zh) 2023-05-05
CN116070218B true CN116070218B (zh) 2023-06-30

Family

ID=86173481

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310310781.3A Active CN116070218B (zh) 2023-03-28 2023-03-28 工业资产的探测方法、终端设备及存储介质

Country Status (1)

Country Link
CN (1) CN116070218B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117499267B (zh) * 2023-12-29 2024-03-26 深圳万物安全科技有限公司 网络设备的资产测绘方法、设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110008713A (zh) * 2019-05-06 2019-07-12 杭州齐安科技有限公司 一种新型工控系统漏洞探测方法及系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111427336B (zh) * 2020-05-08 2021-02-09 杭州安恒信息技术股份有限公司 一种工业控制系统的漏洞扫描方法、装置及设备
CN112260861A (zh) * 2020-10-13 2021-01-22 上海奇甲信息科技有限公司 一种基于流量感知的网络资产拓扑识别方法
CN114466084A (zh) * 2020-10-22 2022-05-10 华为技术有限公司 用于检测视频监控设备的方法和电子设备
CN113240258B (zh) * 2021-04-30 2023-04-28 山东云天安全技术有限公司 一种工业资产探测方法、设备及装置
CN113973059A (zh) * 2021-10-21 2022-01-25 浙江大学 基于网络协议指纹的被动式工业互联网资产识别方法及装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110008713A (zh) * 2019-05-06 2019-07-12 杭州齐安科技有限公司 一种新型工控系统漏洞探测方法及系统

Also Published As

Publication number Publication date
CN116070218A (zh) 2023-05-05

Similar Documents

Publication Publication Date Title
USRE49126E1 (en) Real-time adaptive processing of network data packets for analysis
CN110113345B (zh) 一种基于物联网流量的资产自动发现的方法
Han et al. A timing-based scheme for rogue AP detection
CN101873259B (zh) Sctp报文识别方法和装置
CN112714045A (zh) 一种基于设备指纹和端口的快速协议识别方法
US20170048155A1 (en) Protocol type identification method and apparatus
US7607049B2 (en) Apparatus and method for detecting network failure location
CN110336896B (zh) 一种局域网设备类型识别方法
US10834126B2 (en) Method and system for processing forged TCP packet
CN116070218B (zh) 工业资产的探测方法、终端设备及存储介质
US20080141369A1 (en) Method, Device and Program for Detecting Address Spoofing in a Wireless Network
US20120090027A1 (en) Apparatus and method for detecting abnormal host based on session monitoring
US8593974B2 (en) Communication conditions determination method, communication conditions determination system, and determination apparatus
CN109450733B (zh) 一种基于机器学习的网络终端设备识别方法及系统
CN112020862B (zh) 在远程网络上标识设备的方法、系统和计算机可读存储介质
KR101775325B1 (ko) Nat 장치를 탐지하기 위한 방법 및 장치
CN112087532A (zh) 信息获取方法、装置、设备及存储介质
US20080263660A1 (en) Method, Device and Program for Detection of Address Spoofing in a Wireless Network
KR20020049462A (ko) 인터넷상 트래픽의 상위 계층 프로토콜들을 구분하는 방법및 장치
CN114726607B (zh) 一种基于交换机监视网络数据的网络安全监测系统
KR101891705B1 (ko) 사설 네트워크 파악 방법 및 그 장치
KR101976162B1 (ko) 단말식별방법 및 그 장치
KR20110040152A (ko) 공격자 패킷 역추적 방법 및 이를 위한 시스템
CN117579525B (zh) 一种网络协议特征识别系统
CN113726689B (zh) 一种安全业务处理方法以及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant