【技术实现步骤摘要】
一种工控网络拓扑结构可视化方法
本专利技术是关于工业控制系统领域,特别涉及一种工控网络拓扑结构可视化方法。
技术介绍
“工业4.0”的到来以及“中国制造2025”行动纲领的提出,加速了我国工业化与信息化的融合进程,提高了社会生产效率,同时也使得越来越多的原先处于封闭环境下的工业控制设备,暴露在了互联网上,直接承受着来自互联网的攻击威胁。相对于传统的信息安全,工控系统安全问题引发的后果往往更严重,甚至是灾难性的,如造成大面积停产、人员的伤亡、设备及环境的破坏等。当前各国都把网络空间安全作为国家安全的重要组成部分,而网络空间的物联网系统安全又是重中之重。一方面,在国与国的博弈中,掌握对方的关键基础设施工业控制系统的基本情况和风险信息,是各国在网络空间谈判的一种重要战略资源。另一方面,全球越来越多的非国家行为体,比如恐怖势力、极端组织等,正在通过不断发展自身的网络攻击能力来实现其政治目的。随着攻击难度和攻击成本的降低,工业控制系统已经成为当今网络部队、黑客、极端势力的打击目标,而这些对我们国家的安全已造成了巨大的威胁。由于网络的互联互通对工业企业安全造成重大威胁,工业企业已经在技术和管理上采取了一些手段来防御,然而随之而来暴露出了多个典型的问题:1)工业安全设备管理繁杂:安全管理人员在运维大量的工业安全设备时需要逐个登录管理,导致工业网络中出现问题时得不到及时的排查,需要人工定位后再登录相应的安全设备判断问题原因,这样一来就延长了生产系统停车时间。2)工业安全设备无法协同:随着工业信息安全需求的旺盛,工业安全设备随着增加,这些安全防线都仅仅抵御来自某个方面的安全 ...
【技术保护点】
1.一种工控网络拓扑结构可视化方法,其特征在于,具体包括下述步骤:步骤一:将平台部署到需要进行拓扑的工控网络中,保证工控网络中的设备都能够达到;所述平台是能探测和展示拓扑结构的程序模块;步骤二:工控网络包括若干子网,设平台部署在工控网络的子网A中;根据平台在工控网络中的位置,采用定时任务分两种方式对工控网络内的设备进行扫描:方式1)在子网A内,采用ARP协议,获得子网A内所有设备的拓扑关系;方式2)在除子网A外的其余子网内,采用ICMP协议ping的方式,获得不同子网内存活的设备信息;步骤三:对于步骤二中采用方式2)扫描获得的存活设备,若该设备中存在网络通信设备,则采用SNMP协议,获得网络通信设备的接口表、地址转发表和ARP表,并将整理后的节点信息保存到数据库中;其中,所述地址转发表是指接口和MAC地址的对应信息;所述ARP表是指IP和MAC地址的对应信息;步骤四:利用步骤三中整合的节点信息,获得拓扑线,具体方法如下:1)利用步骤三中整合的节点信息,获得工控网络中所有设备的接口、IP地址和MAC信息对应表;2)当终端设备经过交换机对平台的数据库服务器进行了访问,根据终端设备IP和各交 ...
【技术特征摘要】
1.一种工控网络拓扑结构可视化方法,其特征在于,具体包括下述步骤:步骤一:将平台部署到需要进行拓扑的工控网络中,保证工控网络中的设备都能够达到;所述平台是能探测和展示拓扑结构的程序模块;步骤二:工控网络包括若干子网,设平台部署在工控网络的子网A中;根据平台在工控网络中的位置,采用定时任务分两种方式对工控网络内的设备进行扫描:方式1)在子网A内,采用ARP协议,获得子网A内所有设备的拓扑关系;方式2)在除子网A外的其余子网内,采用ICMP协议ping的方式,获得不同子网内存活的设备信息;步骤三:对于步骤二中采用方式2)扫描获得的存活设备,若该设备中存在网络通信设备,则采用SNMP协议,获得网络通信设备的接口表、地址转发表和ARP表,并将整理后的节点信息保存到数据库中;其中,所述地址转发表是指接口和MAC地址的对应信息;所述ARP表是指IP和MAC地址的对应信息;步骤四:利用步骤三中整合的节点信息,获得拓扑线,具体方法如下:1)利用步骤三中整合的节点信息,获得工控网络中所有设备的接口、IP地址和MAC信息对应表;2)当终端设备经过交换机对平台的数据库服务器进行了访问,根据终端设备IP和各交换机IP,则获得从终端设备出发到数据库服务器的整个拓扑线;步骤五:根据步骤四获得的拓扑线,返回各个设备的端口连接信息,绘制各个设备节点之间的连接关系,并最终获得该工控网络的拓扑网络图。2.根据权利要求1所述的一种工控网络拓扑结构可视化方法,其特征在于,所述步骤三中的节点信息包括:每个设备节点的IP,该设备在整个网络中和哪些设备节点连接,以及该设备和其它设备是通过哪个网口连接。3.根据权利要求1所述的一种工控网络拓扑结构可视化方法,其特征在于,所述步骤三中,整理后的节点信息采用nosql的方式存储在数据库中。4.根据权利要求1所述的一种工控网络拓扑结构可视化方法,其特征在于,所述步骤四中,终端设备经过交换机对平台的数据库服务器进行了访问;根据终端设备IP和各交换机IP,获得从终端设备出发到数据库服务器的整个拓扑线,存在:场景一:数据库中存储有各交换机的完整接口、IP地址和MAC信息对应表IP,以及终端设备的IP地址和MAC信息、数据库服务器的IP地址和MAC信息,则能直接获得从终端设备出发到数据库服务器的整个拓扑线;场景二:数据库中存储的各交换机的接口、IP地址和MAC信息对应表IP不完整,存在交换机缺少终端信息,则根据该缺少终端信息的交换机相邻设备的信息,推测出可能性最大的从终端设备出发到数据库服务器的整个拓扑线。5.一种存储设备,其中存储有多条指令,所述指令适用于由处理器加载并执行:步骤一:将平台部署到需要进行拓扑的工控网络中,保证工控网络中的设备都能够...
【专利技术属性】
技术研发人员:胡燕萍,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。