CN116405578A - 一种资产识别方法及装置 - Google Patents
一种资产识别方法及装置 Download PDFInfo
- Publication number
- CN116405578A CN116405578A CN202310213545.XA CN202310213545A CN116405578A CN 116405578 A CN116405578 A CN 116405578A CN 202310213545 A CN202310213545 A CN 202310213545A CN 116405578 A CN116405578 A CN 116405578A
- Authority
- CN
- China
- Prior art keywords
- protocol
- asset
- address
- source
- communication message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000004891 communication Methods 0.000 claims abstract description 188
- 238000003860 storage Methods 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 6
- 238000009776 industrial production Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000010355 oscillation Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 244000072347 Fraxinus griffithii Species 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/18—Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Communication Control (AREA)
Abstract
本说明书提供一种资产识别方法及装置。所述方法包括:获取用于工控设备之间进行通讯的通讯报文;根据所述通讯报文的源IP地址和所述通讯报文对应的协议之间的对应关系,确定所述源IP地址对应的至少一种协议与资产协议库中的任一协议集合是否匹配成功;其中,所述资产协议库包含协议集合与资产类型之间的至少一种对应关系;如果所述源IP地址对应的至少一种协议与资产协议库中的任一协议集合匹配成功,则将所述任一协议集合对应的资产类型确定为与所述源IP地址对应的资产的目标资产类型。
Description
技术领域
本申请涉及工业控制技术领域,尤其涉及一种资产识别方法、装置、电子设备及机器可读存储介质。
背景技术
网络资产,主要是计算机网络或者通讯网络中使用的各种设备。其中,工业资产是指用于工业生产中的网络资产,包括电力设备、安防设备等。由于对工业生产中的网络资产的资产类型不清楚,难以对工业资产进行管理,因此需要对工业生产中的网络资产进行识别,以便于后续对该资产进行管理。
在目前的技术中,可以通过主动扫描探测的方式对网络资产进行识别,具体而言,需要向全网中的开放端口发送特定的请求报文来获取网络资产的指纹特征,以根据该指纹特征,识别网络资产的资产类型,但大量的请求报文容易导致网络震荡。
还可以通过被动扫描的方式识别网络资产,不需要对全网发送请求报文,避免了资产识别导致的网络震荡,该方式是通过提取工控设备之间进行通讯的通讯报文中的指纹特征,来识别通讯报文对应的资产的资产类型。由于该通讯报文中的指纹特征较少且不易识别,因此,传统的被动扫描的方式识别网络资产的准确率较低。
发明内容
本申请提供一种资产识别方法,所述方法包括:
获取用于工控设备之间进行通讯的通讯报文;
根据所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系,确定所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合是否匹配成功;其中,所述资产协议库包含协议集合与资产类型之间的至少一种对应关系;
如果所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合匹配成功,则将所述任一协议集合对应的资产类型确定为与所述源I P地址对应的资产的目标资产类型。
可选的,所述根据所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系,确定所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合是否匹配成功之前,所述方法还包括:
根据所述通讯报文包含的报文字段,确定所述通讯报文对应的协议;其中,所述报文字段为各个协议分别对应的字段;
基于所述通讯报文对应的协议,建立所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系。
可选的,所述方法还包括:
如果所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合没有匹配成功,则向所述源I P地址对应的资产发送针对所述源I P地址对应的至少一种协议中的任一协议的请求报文;
根据与所述任一协议的请求报文对应的响应报文,获取与所述任一协议对应的用于识别报文对应的资产类型的数据特征;
基于所述至少一种协议中的所有协议对应的全部数据特征确定所述资产的目标资产类型。
可选的,所述资产协议库包含协议集合与资产类型之间的至少一种对应关系,包括:
所述资产协议库包含协议集合对应的协议号集合与资产类型之间的至少一种对应关系;
基于所述通讯报文对应的协议,建立所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系之前,所述方法还包括:
根据预设的所述协议与协议号之间的对应关系,将与所述协议对应的协议号确定为与所述通讯报文对应的协议号;
基于所述通讯报文对应的协议,建立所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系,包括:
基于所述通讯报文对应的协议号,建立所述通讯报文的源I P地址和所述通讯报文对应的协议号之间的对应关系;
根据所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系,确定所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合是否匹配成功,包括:
根据所述通讯报文的源I P地址和所述源I P地址对应的协议号之间的对应关系,确定所述源I P地址对应的至少一个协议号与资产协议库中的任一协议号集合是否匹配成功;
如果所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合匹配成功,则将所述任一协议集合对应的资产类型确定为与所述源I P地址对应的资产的目标资产类型,包括:
如果所述源I P地址对应的至少一个协议号与资产协议库中的任一协议号集合匹配成功,则将所述任一协议号集合对应的资产类型确定为与所述源I P地址对应的资产的目标资产类型。
可选的,基于所述通讯报文对应的协议,建立所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系,包括:
基于所述通讯报文对应的协议,在Hash散列表中,建立所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系。
可选的,所述资产协议库包括以下示出的协议库中的一种或多种的组合:
私有协议库,用于识别工控设备中的私有资产;
通用协议库,用于识别工控设备中的通用资产;
自定义协议库,用于识别工控设备中的自定义资产。
可选的,根据所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系,确定所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合是否匹配成功,包括:
在预设时间段内,根据所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系,确定所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合是否匹配成功。
本申请还提供一种资产识别装置,所述装置包括:
获取单元,用于获取用于工控设备之间进行通讯的通讯报文;
第一确定单元,用于根据所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系,确定所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合是否匹配成功;其中,所述资产协议库包含协议集合与资产类型之间的至少一种对应关系;
第二确定单元,用于如果所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合匹配成功,则将所述任一协议集合对应的资产类型确定为与所述源I P地址对应的资产的目标资产类型。
本申请还提供一种电子设备,包括通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接;
所述存储器中存储机器可读指令,所述处理器通过调用所述机器可读指令,执行所述资产识别方法。
本申请还提供一种机器可读存储介质,所述机器可读存储介质存储有机器可读指令,所述机器可读指令在被处理器调用和执行时,实现所述资产识别方法。
本申请提供的技术方案至少可以包括以下有益效果:
通过以上实施例,可以预置有包含协议集合与资产类型之间的至少一种对应关系的资产协议库,可以获取用于工控设备之间进行通讯的通讯报文,并根据所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系,确定所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合是否匹配成功;如果所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合匹配成功,则可以将所述任一协议集合对应的资产类型确定为与所述源I P地址对应的资产的目标资产类型;可以基于获取的所述通讯报文的源I P地址,确定工业生产中的当前资产,并可以基于所述源I P地址对应的至少一种协议和预置的资产协议库的匹配结果,确定所述当前资产对应的资产类型,提高了资产识别的准确性。
附图说明
图1是一示例性的实施例示出的一种资产识别方法的流程图;
图2是一示例性的实施例示出的另一种资产识别方法的流程图;
图3是一示例性的实施例示出的一种资产识别装置所在电子设备的硬件结构图;
图4是一示例性的实施例示出的一种资产识别装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
需要说明的是:在其他实施例中并不一定按照本说明书示出和描述的顺序来执行相应方法的步骤。在一些其他实施例中,其方法所包括的步骤可以比本说明书所描述的更多或更少。此外,本说明书中所描述的单个步骤,在其他实施例中可能被分解为多个步骤进行描述;而本说明书中所描述的多个步骤,在其他实施例中也可能被合并为单个步骤进行描述。
网络资产,主要是计算机网络或者通讯网络中使用的各种设备,主要包括主机、网络设备(路由器、交换机等)和安全设备(防火墙等)。其中,工业资产是指用于工业生产中的网络资产,包括电力设备、安防设备等。
由于对工业生产中的网络资产的资产类型不清楚,难以对工业资产进行管理,因此需要对工业生产中的网络资产进行识别,确定当前工业生产中包含哪些资产以及这些资产分别对应的资产类型,以便后续对这些资产进行管理。
在目前的技术中,可以通过主动扫描探测的方式对网络资产进行识别,该方式是利用资产测绘引擎,在网络中的一个或多个节点,对网络中I P地址空间及域名空间通过预先配置好的策略进行扫描与协议分析,进而获取当前工业生产中的资产以及资产对应的资产类型。由于通过主动扫描探测的方式对网络资产进行识别时,需要向全网中的开放端口发送特定的请求报文来获取网络资产的指纹特征,以根据该指纹特征识别网络资产的资产类型,因此,大量的请求报文容易导致网络震荡,从而影响工业生产中网络设备的正常运行。
还可以通过被动扫描的方式识别网络资产,不需要对全网发送请求报文,避免了资产识别导致的网络震荡,该方式是通过获取工控设备之间进行通讯的通讯报文,并提取该通讯报文中的指纹特征,以识别该通讯报文对应的资产的资产类型。由于工控设备之间进行通讯的通讯报文中的指纹特征较少且不易识别,因此,传统的被动扫描的方式识别网络资产的准确率较低。
综上所述,现有的网络资产识别存在识别的准确率较低的问题。
有鉴于此,本申请旨在提出一种资产识别方法。该方法基于通讯报文的源I P地址对应的至少一种协议与资产协议库的匹配结果,确定所述通讯报文对应的资产的资产类型。
在实现时,可以获取用于工控设备之间进行通讯的通讯报文;
进一步地,可以根据所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系,确定所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合是否匹配成功;其中,所述资产协议库包含协议集合与资产类型之间的至少一种对应关系;
进一步地,可以如果所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合匹配成功,则将所述任一协议集合对应的资产类型确定为与所述源I P地址对应的资产的目标资产类型。
通过以上实施例,可以预置有包含协议集合与资产类型之间的至少一种对应关系的资产协议库,可以获取用于工控设备之间进行通讯的通讯报文,并根据所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系,确定所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合是否匹配成功;如果所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合匹配成功,则可以将所述任一协议集合对应的资产类型确定为与所述源I P地址对应的资产的目标资产类型;可以基于获取的所述通讯报文的源I P地址,确定工业生产中的当前资产,并可以基于所述源I P地址对应的至少一种协议和预置的资产协议库的匹配结果,确定所述当前资产对应的资产类型,提高了资产识别的准确性。
下面通过具体实施例,并结合具体的应用场景对本申请进行描述。
请参见图1,图1是一示例性的实施例示出的一种资产识别方法的流程图。如图1所示,所述方法可以包括以下步骤:
步骤102,获取用于工控设备之间进行通讯的通讯报文。
关于所述方法的执行主体,本说明书不做限定。例如,所述方法的执行主体可以是资产识别系统,还可以是用于进行资产识别的硬件设备。
在示出的一种实施方式中,所述执行主体可以是用于进行资产识别的硬件设备。
例如,可以将所述硬件设备部署在工控设备之间,以获取工控设备之间进行通讯的通讯报文。
通过获取所述通讯报文的方式,能够基于所述通讯报文的源I P地址确定所述网络资产中当前存活的工业资产。
步骤104,根据所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系,确定所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合是否匹配成功;其中,所述资产协议库包含协议集合与资产类型之间的至少一种对应关系。
在实际应用中,所述资产协议库包含协议集合与资产类型之间的至少一种对应关系。其中,所述协议集合可以指工业资产中配置的至少一种协议,所述资产类型可以是所述工业资产的资产类型。
在示出的一种实施方式中,所述资产协议库可以包括以下示出的协议库中的一种或多种的组合:私有协议库,可以用于识别工控设备中的私有资产;通用协议库,可以用于识别工控设备中的通用资产;自定义协议库,可以用于识别工控设备中的自定义资产。
在实际应用中,所述私有协议库可以包含工业私有协议集合与资产类型之间的至少一种对应关系。例如,所述工业私有协议集合可以包含s7comm协议,由于所述协议为西门子私有协议,因此,所述协议可以对应于工控设备中的西门子PLC。
所述通用协议库可以包含工业通用协议集合与资产类型之间的至少一种对应关系。例如,所述工业通用协议集合可以包含P I协议,由于所述协议为数据库的通用协议,因此,所述协议可以对应于服务器中的数据库服务器。
所述自定义协议库可以包含自定义协议集合与资产类型之间的至少一种对应关系。例如,所述自定义协议集合可以包含协议1,可以自定义所述协议1对应于工控设备1。
在实际应用中,由于同一工控设备可以配置有至少一种协议,而基于所述至少一种协议中的任一协议,所述工控设备可以与其他工控设备进行通讯,因此,所述工控设备发送的至少一个通讯报文可以分别对应不同的协议,可以基于所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系,确定所述源I P地址对应的至少一种协议。
例如,工控设备A的I P地址可以为源I P地址1,所述工控设备A可以发送通讯报文1给工控设备B,也可以发送通讯报文2给工控设备C,由于所述通讯报文1对应于协议1,所述通讯报文2对应于协议2,因此,可以确定与所述源I P地址1对应的协议包含协议1与协议2。
关于如何建立所述通讯报文的源I P地址与所述通讯报文的协议之间的对应关系,本说明书不做限定。
在示出的一种实施方式中,可以根据所述通讯报文包含的报文字段,确定所述通讯报文对应的协议;其中,所述报文字段为各个协议分别对应的字段;可以基于所述通讯报文对应的协议,建立所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系。
在实际应用中,所述报文字段可以为各个协议分别对应的字段。例如,POST字段或者GET字段可以对应于HTTP协议。
在实际应用中,可以基于所述通讯报文对应的协议,建立所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系。
例如,所述通讯报文可以包含有报文字段“POST”,则可以确定所述通讯报文对应的协议有HTTP协议,所述通讯报文可以对应于源I P地址1,则可以建立所述源I P地址1与所述HTTP协议之间的对应关系。
在示出的一种实施方式中,所述根据所述通讯报文包含的报文字段,确定所述通讯报文对应的协议,还可以包括:根据所述通讯报文对应的端口以及所述通讯报文包含的报文字段,确定与所述通讯报文对应的协议。
例如,可以先根据与所述通讯报文对应的端口,以及与所述端口对应的至少一种协议,确定与所述通讯报文对应的至少一种协议,并可以根据所述通讯报文包含的报文字段,从所述至少一种协议中,确定出与所述通讯报文对应的协议。
关于所述源I P地址与所述协议之间的对应关系的具体形式,本说明书不做限定。例如,可以用hash散列表表示所述对应关系,还可以用键值对的形式表示所述对应关系。
在示出的一种实施方式中,可以基于所述通讯报文对应的协议,在Hash散列表中,建立所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系。
例如,可以将基于所述源I P地址计算得到的散列值存储在散列表中,并可以建立所述源I P地址的散列值与所述通讯报文对应的协议之间的对应关系。
在实际应用中,可以将所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合进行匹配,并确定所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合是否匹配成功。
例如,所述资产协议库包含的所述协议集合与资产类型之间的至少一种对应关系可以用资产协议表来表示;其中,所述资产协议表可以包括用于描述所述至少一种对应关系的一个或多个表项。请参见表1,表1是一示例性的实施例示出的一种资产协议表。
| 协议集合 | 资产类型 |
| 协议1,协议2 | 资产类型1 |
| 协议2,协议4 | 资产类型2 |
| 协议1,协议3,协议5 | 资产类型3 |
| 协议3,协议4 | 资产类型4 |
表1
如表1所示,所述协议集合可以包括“协议1,协议2”、“协议2,协议4”、“协议1,协议3,协议5”和“协议3,协议4”;所述资产类型可以包括“资产类型1”、“资产类型2”、“资产类型3”和“资产类型4”。
具体而言,如果所述源I P地址对应的至少一种协议包含所述协议1与协议2,则所述源I P地址对应的资产的资产类型为资产类型1;如果所述源I P地址对应的至少一种协议包含所述协议2与协议4,则所述源I P地址对应的资产的资产类型为资产类型2;如果所述源I P地址对应的至少一种协议包含所述协议1、协议3与协议5,则所述源I P地址对应的资产的资产类型为资产类型3;如果所述源I P地址对应的至少一种协议包含所述协议3与协议4,则所述源I P地址对应的资产的资产类型为资产类型4。
又例如,所述资产协议库包含的所述协议集合与资产类型之间的至少一种对应关系可以用另一个资产协议表来表示;其中,所述资产协议表可以包括用于描述所述至少一种对应关系的一个或多个表项。请参见表2,表2是一示例性的实施例示出的一种资产协议表。
表2
如表1所示,所述协议集合可以包括“包含协议集合”以及“不包含协议集合”,所述包含协议集合可以包括“协议1,协议2”和“协议2,协议4”,所述不包含协议集合可以包括“协议1”、“协议3”以及“协议4”,所述资产类型可以包括“资产类型1”、“资产类型2”、“资产类型3”和“资产类型4”。
具体而言,如果所述源I P地址对应的至少一种协议包含所述协议1与协议2,且所述至少一种协议不包含协议3,则所述源I P地址对应的资产的资产类型为资产类型1;如果所述源I P地址对应的至少一种协议包含所述协议1与协议2,且所述至少一种协议不包含协议4,则所述源I P地址对应的资产的资产类型为资产类型2;如果所述源I P地址对应的至少一种协议包含所述协议2、协议4,且所述至少一种协议不包含协议1,则所述源I P地址对应的资产的资产类型为资产类型3;如果所述源I P地址对应的至少一种协议包含所述协议2与协议4,且所述至少一种协议不包含协议3,则所述源I P地址对应的资产的资产类型为资产类型4。
通过将所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合进行匹配的方式,能够确定所述源I P地址对应的资产的资产类型。
在示出的一种实施方式中,在预设时间段内,根据所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系,确定所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合是否匹配成功。
在实际应用中,无需实时进行资产识别,因此可以设定在特定的时间段内进行资产识别,既可以满足资产识别的需求,又可以将资产识别安排在所述硬件设备较为空闲的时段,以提高所述硬件设备的使用率。
例如,可以在预设的凌晨三点至五点,根据所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系,确定所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合是否匹配成功。
步骤106,如果所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合匹配成功,则将所述任一协议集合对应的资产类型确定为与所述源I P地址对应的资产的目标资产类型。
例如,如果所述源I P地址对应的至少一种协议包含所述协议1与协议2,所述资产协议库中包含协议集合“协议1,协议2”与资产类型1之间的对应关系,则所述源I P地址对应的所述至少一种协议与资产协议库中的所述协议集合匹配成功,可以将与所述协议集合对应的资产类型1确定为与所述源I P地址对应的资产的资产类型。
在示出的一种实施方式中,如果所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合没有匹配成功,则向所述源I P地址对应的资产发送针对所述源I P地址对应的至少一种协议中的任一协议的请求报文;根据与所述任一协议的请求报文对应的响应报文,获取与所述任一协议对应的用于识别报文对应的资产类型的数据特征;基于所述至少一种协议中的所有协议对应的全部数据特征确定所述资产的目标资产类型。
在实际应用中,可以预置有资产特征库,所述资产特征库可以包括数据特征与资产类型的对应关系,可以获取与所述任一协议对应的用于识别报文对应的资产类型的目标数据特征,并将所述目标数据特征与所述资产特征库中的数据特征进行匹配,如果所述目标数据特征与所述资产特征库中的任一数据特征匹配成功,则可以将与所述任一数据特征对应的资产类型确定为所述资产的目标资产类型。
例如,如果所述源I P地址对应的至少一种协议包含所述协议5与协议6,所述资产协议库中不包含协议集合“协议5,协议6”与任一资产类型之间的对应关系,则所述源I P地址对应的所述至少一种协议与资产协议库中的所述协议集合没有匹配成功,可以向所述源I P地址对应的资产发送针对所述协议5的定向请求报文1或者针对所述协议6的定向请求报文2,并可以根据与所述定向请求报文1对应的响应报文1,获取与所述协议5对应的数据特征1,以及可以根据与所述定向请求报文2对应的响应报文2,获取与所述协议6对应的数据特征2;可以将所述数据特征1以及所述数据特征2与所述资产特征库分别进行匹配,如果所述数据特征1与所述资产特征库中的任一数据特征匹配成功,或者,如果所述数据特征2与所述资产特征库中的任一数据特征匹配成功,则可以将所述任一数据特征对应的资产类型确定为所述资产的资产类型。
通过这种方式,能够对未与资产协议库匹配成功的未知资产定向探测,避免全网发送请求报文导致的网络波动,提高资产识别的安全性。
在示出的一种实施方式中,所述资产协议库包含协议集合与资产类型之间的至少一种对应关系,可以包括:所述资产协议库包含协议集合对应的协议号集合与资产类型之间的至少一种对应关系;则基于所述通讯报文对应的协议,建立所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系之前,可以根据预设的所述协议与协议号之间的对应关系,将与所述协议对应的协议号确定为与所述通讯报文对应的协议号;并可以基于所述通讯报文对应的协议号,建立所述通讯报文的源I P地址和所述通讯报文对应的协议号之间的对应关系;可以根据所述通讯报文的源I P地址和所述源I P地址对应的协议号之间的对应关系,确定所述源I P地址对应的至少一个协议号与资产协议库中的任一协议号集合是否匹配成功;如果所述源I P地址对应的至少一个协议号与资产协议库中的任一协议号集合匹配成功,则将所述任一协议号集合对应的资产类型确定为与所述源I P地址对应的资产的目标资产类型。
例如,所述资产协议库包含的所述协议集合对应的协议号集合与资产类型之间的至少一种对应关系也可以用另一个资产协议表来表示;其中,所述资产协议表可以包括用于描述所述至少一种对应关系的一个或多个表项。请参见表3,表3是一示例性的实施例示出的另一种资产协议表。
| 协议号集合 | 资产类型 |
| 协议号1,协议号2 | 资产类型1 |
| 协议号2,协议号4 | 资产类型2 |
| 协议号1,协议号3,协议号5 | 资产类型3 |
| 协议号3,协议号4 | 资产类型4 |
表3
如表3所示,所述协议集合可以包括“协议号1,协议号2”、“协议号2,协议号4”、“协议号1,协议号3,协议号5”和“协议号3,协议号4”;所述资产类型可以包括“资产类型1”、“资产类型2”、“资产类型3”和“资产类型4”。
具体而言,如果所述源I P地址对应的至少一种协议包含所述协议号1与协议号2,则所述源I P地址对应的资产的资产类型为资产类型1;如果所述源I P地址对应的至少一种协议包含所述协议号2与协议号4,则所述源I P地址对应的资产的资产类型为资产类型2;如果所述源I P地址对应的至少一种协议包含所述协议号1、协议号3与协议号5,则所述源I P地址对应的资产的资产类型为资产类型3;如果所述源I P地址对应的至少一种协议包含所述协议号3与协议号4,则所述源I P地址对应的资产的资产类型为资产类型4。
为了使本技术领域的人员更好地理解本说明书实施例中的技术方案,下面结合如图2所示的资产识别方法的流程图对本说明书中的实施例进行说明。请参见图2,图2是一示例性的实施例示出的另一种资产识别方法的流程图。
可以将所述硬件设备部署在工控设备之间,以获取工控设备之间进行通讯的通讯报文。所述硬件设备可以预置有资产协议库,所述资产协议库可以包括私有协议库、通用协议库以及自定义协议库。
工控设备A的I P地址可以为源I P地址1,所述工控设备A可以发送通讯报文1给工控设备B,也可以发送通讯报文2给工控设备C,所述硬件设备可以获取所述通讯报文1以及所述通讯报文2,所述通讯报文1包含与协议1对应的报文字段,则可以建立所述源I P地址1与协议1之间的对应关系,所述通讯报文2包含与协议2对应的报文字段,则可以建立所述源I P地址1与协议2之间的对应关系,可以确定与所述源I P地址1对应的协议包含协议1与协议2。
可以在预设的凌晨三点至五点,根据所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系,确定所述源I P地址对应的协议1和协议2与资产协议库中的任一协议集合是否匹配成功。
所述资产协议库可以包含协议集合“协议1,协议2”与资产类型1之间的对应关系,则所述源I P地址对应的所述至少一种协议与资产协议库中的所述协议集合匹配成功,可以将与所述协议集合对应的资产类型1确定为与所述源I P地址1对应的资产的资产类型。
与所述资产识别方法的实施例对应的,本说明书还提供了一种资产识别装置的实施例。
请参见图3,图3是一示例性的实施例示出的一种资产识别装置所在电子设备的硬件结构图。在硬件层面,该设备包括处理器302、内部总线304、网络接口306、内存308以及非易失性存储器310,当然还可能包括其他业务所需要的硬件。本说明书一个或多个实施例可以基于软件方式来实现,比如由处理器302从非易失性存储器310中读取对应的计算机程序到内存308中然后运行。当然,除了软件实现方式之外,本说明书一个或多个实施例并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
请参见图4,图4是一示例性的实施例示出的一种资产识别装置的框图。该资产识别装置可以应用于图3所示的电子设备中,以实现本说明书的技术方案。所述装置包括:
获取单元402,用于获取用于工控设备之间进行通讯的通讯报文;
第一确定单元404,用于根据所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系,确定所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合是否匹配成功;其中,所述资产协议库包含协议集合与资产类型之间的至少一种对应关系;
第二确定单元406,用于如果所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合匹配成功,则将所述任一协议集合对应的资产类型确定为与所述源I P地址对应的资产的目标资产类型。
在本实施例中,所述装置还可以包括建立单元,用于:
根据所述通讯报文包含的报文字段,确定所述通讯报文对应的协议;其中,所述报文字段为各个协议分别对应的字段;
基于所述通讯报文对应的协议,建立所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系。
在本实施例中,所述装置还可以包括第三确定单元,用于:
如果所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合没有匹配成功,则向所述源I P地址对应的资产发送针对所述源I P地址对应的至少一种协议中的任一协议的请求报文;
根据与所述任一协议的请求报文对应的响应报文,获取与所述任一协议对应的用于识别报文对应的资产类型的数据特征;
基于所述至少一种协议中的所有协议对应的全部数据特征确定所述资产的目标资产类型。
在本实施例中,所述资产协议库可以包含协议集合对应的协议号集合与资产类型之间的至少一种对应关系;
所述装置还可以包括第四确定单元,用于:
根据预设的所述协议与协议号之间的对应关系,将与所述协议对应的协议号确定为与所述通讯报文对应的协议号;
所述建立单元,具体可以用于:
基于所述通讯报文对应的协议号,建立所述通讯报文的源I P地址和所述通讯报文对应的协议号之间的对应关系;
所述第一确定单元,具体可以用于:
根据所述通讯报文的源I P地址和所述源I P地址对应的协议号之间的对应关系,确定所述源I P地址对应的至少一个协议号与资产协议库中的任一协议号集合是否匹配成功;
所述第二确定单元,具体可以用于:
如果所述源I P地址对应的至少一个协议号与资产协议库中的任一协议号集合匹配成功,则将所述任一协议号集合对应的资产类型确定为与所述源I P地址对应的资产的目标资产类型。
在本实施例中,所述建立单元,具体可以用于:
基于所述通讯报文对应的协议,在Hash散列表中,建立所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系。
在本实施例中,所述资产协议库包括以下示出的协议库中的一种或多种的组合:
私有协议库,用于识别工控设备中的私有资产;
通用协议库,用于识别工控设备中的通用资产;
自定义协议库,用于识别工控设备中的自定义资产。
在本实施例中,所述第一确定单元,具体可以用于:
在预设时间段内,根据所述通讯报文的源I P地址和所述通讯报文对应的协议之间的对应关系,确定所述源I P地址对应的至少一种协议与资产协议库中的任一协议集合是否匹配成功。
所述装置中各个单元的功能和作用的实现过程具体详见所述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例只是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
所述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
在一个典型的配置中,计算机包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(f l ash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带、磁盘存储、量子存储器、基于石墨烯的存储介质或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(trans i tory med ia),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
所述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
在本说明书一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书一个或多个实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书一个或多个实施例范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
以上所述仅为本说明书一个或多个实施例的较佳实施例而已,并不用以限制本说明书一个或多个实施例,凡在本说明书一个或多个实施例的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书一个或多个实施例保护的范围之内。
本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准,并提供有相应的操作入口,供用户选择授权或者拒绝。
Claims (10)
1.一种资产识别方法,所述方法包括:
获取用于工控设备之间进行通讯的通讯报文;
根据所述通讯报文的源IP地址和所述通讯报文对应的协议之间的对应关系,确定所述源IP地址对应的至少一种协议与资产协议库中的任一协议集合是否匹配成功;其中,所述资产协议库包含协议集合与资产类型之间的至少一种对应关系;
如果所述源IP地址对应的至少一种协议与资产协议库中的任一协议集合匹配成功,则将所述任一协议集合对应的资产类型确定为与所述源IP地址对应的资产的目标资产类型。
2.根据权利要求1所述的方法,所述根据所述通讯报文的源IP地址和所述通讯报文对应的协议之间的对应关系,确定所述源IP地址对应的至少一种协议与资产协议库中的任一协议集合是否匹配成功之前,所述方法还包括:
根据所述通讯报文包含的报文字段,确定所述通讯报文对应的协议;其中,所述报文字段为各个协议分别对应的字段;
基于所述通讯报文对应的协议,建立所述通讯报文的源IP地址和所述通讯报文对应的协议之间的对应关系。
3.根据权利要求1所述的方法,所述方法还包括:
如果所述源IP地址对应的至少一种协议与资产协议库中的任一协议集合没有匹配成功,则向所述源IP地址对应的资产发送针对所述源IP地址对应的至少一种协议中的任一协议的请求报文;
根据与所述任一协议的请求报文对应的响应报文,获取与所述任一协议对应的用于识别报文对应的资产类型的数据特征;
基于所述至少一种协议中的所有协议对应的全部数据特征确定所述资产的目标资产类型。
4.根据权利要求2所述的方法,所述资产协议库包含协议集合与资产类型之间的至少一种对应关系,包括:
所述资产协议库包含协议集合对应的协议号集合与资产类型之间的至少一种对应关系;
基于所述通讯报文对应的协议,建立所述通讯报文的源IP地址和所述通讯报文对应的协议之间的对应关系之前,所述方法还包括:
根据预设的所述协议与协议号之间的对应关系,将与所述协议对应的协议号确定为与所述通讯报文对应的协议号;
基于所述通讯报文对应的协议,建立所述通讯报文的源IP地址和所述通讯报文对应的协议之间的对应关系,包括:
基于所述通讯报文对应的协议号,建立所述通讯报文的源IP地址和所述通讯报文对应的协议号之间的对应关系;
根据所述通讯报文的源IP地址和所述通讯报文对应的协议之间的对应关系,确定所述源IP地址对应的至少一种协议与资产协议库中的任一协议集合是否匹配成功,包括:
根据所述通讯报文的源IP地址和所述源IP地址对应的协议号之间的对应关系,确定所述源IP地址对应的至少一个协议号与资产协议库中的任一协议号集合是否匹配成功;
如果所述源IP地址对应的至少一种协议与资产协议库中的任一协议集合匹配成功,则将所述任一协议集合对应的资产类型确定为与所述源IP地址对应的资产的目标资产类型,包括:
如果所述源IP地址对应的至少一个协议号与资产协议库中的任一协议号集合匹配成功,则将所述任一协议号集合对应的资产类型确定为与所述源IP地址对应的资产的目标资产类型。
5.根据权利要求2所述的方法,基于所述通讯报文对应的协议,建立所述通讯报文的源IP地址和所述通讯报文对应的协议之间的对应关系,包括:
基于所述通讯报文对应的协议,在Hash散列表中,建立所述通讯报文的源IP地址和所述通讯报文对应的协议之间的对应关系。
6.根据权利要求1所述的方法,所述资产协议库包括以下示出的协议库中的一种或多种的组合:
私有协议库,用于识别工控设备中的私有资产;
通用协议库,用于识别工控设备中的通用资产;
自定义协议库,用于识别工控设备中的自定义资产。
7.根据权利要求1所述的方法,根据所述通讯报文的源IP地址和所述通讯报文对应的协议之间的对应关系,确定所述源IP地址对应的至少一种协议与资产协议库中的任一协议集合是否匹配成功,包括:
在预设时间段内,根据所述通讯报文的源IP地址和所述通讯报文对应的协议之间的对应关系,确定所述源IP地址对应的至少一种协议与资产协议库中的任一协议集合是否匹配成功。
8.一种资产识别装置,所述装置包括:
获取单元,用于获取用于工控设备之间进行通讯的通讯报文;
第一确定单元,用于根据所述通讯报文的源IP地址和所述通讯报文对应的协议之间的对应关系,确定所述源IP地址对应的至少一种协议与资产协议库中的任一协议集合是否匹配成功;其中,所述资产协议库包含协议集合与资产类型之间的至少一种对应关系;
第二确定单元,用于如果所述源IP地址对应的至少一种协议与资产协议库中的任一协议集合匹配成功,则将所述任一协议集合对应的资产类型确定为与所述源IP地址对应的资产的目标资产类型。
9.一种电子设备,包括通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接;
所述存储器中存储机器可读指令,所述处理器通过调用所述机器可读指令,执行权利要求1至7任一项所述的资产识别方法。
10.一种机器可读存储介质,所述机器可读存储介质存储有机器可读指令,所述机器可读指令在被处理器调用和执行时,实现权利要求1至7任一项所述的资产识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310213545.XA CN116405578A (zh) | 2023-03-07 | 2023-03-07 | 一种资产识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310213545.XA CN116405578A (zh) | 2023-03-07 | 2023-03-07 | 一种资产识别方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116405578A true CN116405578A (zh) | 2023-07-07 |
Family
ID=87013233
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310213545.XA Pending CN116405578A (zh) | 2023-03-07 | 2023-03-07 | 一种资产识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116405578A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117439898A (zh) * | 2023-12-22 | 2024-01-23 | 深圳万物安全科技有限公司 | 网络设备识别方法、网络设备识别设备和存储介质 |
-
2023
- 2023-03-07 CN CN202310213545.XA patent/CN116405578A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117439898A (zh) * | 2023-12-22 | 2024-01-23 | 深圳万物安全科技有限公司 | 网络设备识别方法、网络设备识别设备和存储介质 |
| CN117439898B (zh) * | 2023-12-22 | 2024-03-12 | 深圳万物安全科技有限公司 | 网络设备识别方法、网络设备识别设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109347787B (zh) | 一种身份信息的识别方法及装置 | |
| US10341103B2 (en) | Data analytics on encrypted data elements | |
| CN110677384A (zh) | 钓鱼网站的检测方法及装置、存储介质、电子装置 | |
| CN110704418A (zh) | 区块链信息查询方法、装置和设备 | |
| CN110581835B (zh) | 一种漏洞检测方法、装置及终端设备 | |
| CN116405578A (zh) | 一种资产识别方法及装置 | |
| CN109474691B (zh) | 一种物联网设备识别的方法及装置 | |
| CN117278434A (zh) | 流量回放方法、装置、电子设备 | |
| CN110619022B (zh) | 基于区块链网络的节点检测方法、装置、设备及存储介质 | |
| CN114780537A (zh) | 流表存储及报文转发方法、装置、计算设备及介质 | |
| CN115174212A (zh) | 一种利用熵技术甄别网络数据传输是否加密的方法 | |
| CN112839055B (zh) | 面向tls加密流量的网络应用识别方法、装置及电子设备 | |
| CN118133345A (zh) | 报文数据处理方法、装置、计算机设备和存储介质 | |
| CN110071923A (zh) | 报文识别方法、装置、电子设备及机器可读存储介质 | |
| CN111541687B (zh) | 一种网络攻击检测方法及装置 | |
| CN115225308B (zh) | 大规模群体攻击流量的攻击团伙识别方法及相关设备 | |
| CN106921628B (zh) | 基于网络地址识别网络访问来源方法和装置 | |
| CN111339058B (zh) | 一种集合同步方法及装置 | |
| CN112073554A (zh) | 全局唯一标识生成方法、设备以及计算机可读存储介质 | |
| JP2014524210A (ja) | 可変長ノンスの生成 | |
| CN111241376A (zh) | 多级信息匹配方法、装置及云服务平台 | |
| US10783268B2 (en) | Data allocation based on secure information retrieval | |
| CN116489249A (zh) | 一种报文处理方法及装置 | |
| US20040158564A1 (en) | System and method for facilitating information transformations | |
| US12126618B1 (en) | System and method for identifying an application initiating a communication in a computing environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |