本发明专利技术实施例涉及计算机网络安全技术领域,具体涉及一种基于主动探测技术的工控网络漏资产发现方法及系统。根据指定的IP范围,自动发现网络中的工控设备,并且自动识别该设备的信息。通过对设备的多个端口进行同时探测,提高目标设备的信息收集效率的准确率。最后通过对比该设备返回的数据包信息与本地的指纹库进行对比,确认该设备上的开放服务信息,将该设备信息和设备服务信息进行入库存储。
【技术实现步骤摘要】
一种基于主动探测技术的工控网络资产发现方法及系统
本专利技术实施例涉及计算机网络安全
,具体涉及一种基于主动探测技术的工控网络资产发现方法及系统。
技术介绍
大多数工业控制系统(ICS)都是几十年前设计和部署的。因而,它们缺乏IT网络中基本的资产发现和管理功能。不同于高度进化的IT网络世界,工业网络常依赖于人工过程、注释和电子表格,自动化发现解决方案和高级资产管理实践不太完善。很多工控系统管理中存储的工程信息系统的设备信息杂乱,难以获得自身资产的完整视图,跟踪这些资产的改变就变得更加困难了。ICS网络资产管理通常在3个主要方面存在缺陷:发现、维护准确的当前资产清单,以及跟踪资产变化。自动化资产发现是保护这些网络安全的关键。发现刚部署的新资产,或者退役的旧资产,可提供保护ICS网络所需的可见性,有助于安排安全工作优先级。因为网络部署往往伴随着对原始设计的有记录更改,依赖原始蓝图是不靠谱的。工控网络具有非常鲜明的特点,首先是封闭性,SCADA、DCS等控制系统和PLC等控制设备;其次是复杂性,工控网络常见的总线协议和应用层协议有几十种,每种通信协议的数据接口不完全相同,这些协议的规约实现也不相同。典型的ICS网络包含各家厂商出品的控制器(PLC(可编程逻辑控制器)、RTU(远程终端单元)、DCS(分布式控制系统)),比如通用电气、罗克韦尔自动化、西门子和施耐德电气。每种技术都尤其独特的要求和难点。若不清楚范围内都部署了哪种资产,就难以规划维护项目和设计有效防护。一份包含制造商、当前固件版本、最新补丁和当前配置的,全面完整的资产清单,可以为这些设备带来更好的持续管理,在需要重置设备时也能提供支持备份和恢复。同时,清单管理通常采用人工过程来跟踪变更,这往往是不准确且易出错的。由于这些网络随时间流逝不断改变,确保完整准确资产清单的唯一办法,就是实现自动化的持续发现过程。由此,网络上新增资产可被及时发现,也有助于跟踪和确认资产是否恰当部署或退役。
技术实现思路
本专利技术实施例的一个目的是解决现有的工控网络中资产无法集中发现、维护准确的当前资产清单,以及跟踪资产变化的问题。本专利技术实施例提出了一种基于主动探测技术的工控网络资产发现方法,包括:获取工控网络中设备的IP地址;根据IP地址获取目标设备的基础信息和服务开放信息;根据目标信息生成资产信息;发送所述至少一个测试用例至所述目标设备,并获取所述目标设备响应所述至少一个测试用例生成的反应数据;根据所述至少一个测试用例和所述反应数据判断所述目标设备的类型以及获取设备信息和设备开放服务。所述根据IP地址获取所述目标设备的属性信息和设备开放服务的步骤具体包括:获取所述目标设备组中的目标设备的IP地址。对所述目标设备的IP地址进行设备协议支持识别、信息通信和指纹识别处理,获取所述目标设备的信息和设备开放服务。本专利技术还提出了一种基于主动探测技术的工控网络资产发现的系统,包括:获取模块,用于获取工控网络中目标设备的IP地址和开放端口;采集模块,用于根据所述IP地址获取所述目标设备获取所述目标设备发送的反应数据;生成模块,用于根据所述属性信息生成对应的发送数据包;分析模块,用于根据接收到的信息根据不同的协议进行分析;存储模块,用于存储目标设备信息和目标服务信息。附图说明通过参考附图会更加清楚的理解本专利技术的特征和优点,附图是示意性的而不应理解为对本专利技术进行任何限制,在附图中:图1示出了本专利技术一实施例提供的一种基于主动探测技术的工控网络资产发现方法的流程示意图;图2示出了本专利技术另一实施例提供的一种基于主动探测技术的工控网络资产发现方法的结构示意图;图3示出了本专利技术一实施例提供的一种基于主动探测技术的工控网络资产发现系统的结构示意图;具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述。所描述的实施例是本专利技术的一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。图1示出了本专利技术一实施例提供的一种基于主动探测技术的工控网络资产发现方法的流程示意图,参见图1,所述方法可由工控网络资产发现系统来实现,包括:110、获取工控网络中设备的IP地址;工控网络在构建的过程中会根据其功能进行区域划分,由于需要接入监控设备所以会为工控终端设备分配IP地址。进而,处理器可基于目标设备的IP地址范围对设备进行存活扫描。120、根据所述IP地址远程发送探测数据包;130、根据所述IP地址的响应数据进行解析判断设备支持的协议;需要说明的是,在工控网络环境中,工控的设备、软件的数据传输广泛的使用了行业专有与私有通信协议,如Modbus、IEC101/104、DNP3等通用工控协议,当然也存在大量的私有协议。140、发送所述IP支持的协议内容进行进一步的设备信息和服务信息探测;150、根据所述IP的响应内容进行解析,识别设备的硬件,操作系统,运行软件(及其相关的版本号,配置参数)等信息。图2示出了本专利技术一实施例提供的一种基于主动探测技术的工控网络资产发现方法的结构示意图,参见图2,该方法包括:S21、根据目标设备的IP地址设置探测的IP范围,从而通过所述测试口的IP地址与所述目标设备建立通信数据通信;对所述目标设备的IP地址进行探测,发现存活的设备。S22、发送端口探测包,探测设备端口支持的协议。S23、根据设备的响应数据包进行解析,进行设备指纹识别处理,获取所述目标设备的属性信息,识别设备的硬件,操作系统,运行软件(及其相关的版本号,配置参数)等信息。需要说明的是,为了进一步地提高监测效果,步骤S22综合运用多种协议同时对设备的端口进行发包探测,提高端口服务的识别率和识别速度。S24、测试完成后,自动将设备信息和服务信息进行结构化保存到本地数据库。图3示出了本专利技术一实施例提供的一种基于主动探测技术的工控网络资产发现系统的结构示意图,参见图3,该工控网络资产发现系统,包括:获取模块310、采集模块320、生成模块330、分析模块340、以及存储模块350,其中;310,获取模块,用于获取工控网络中目标设备的IP地址和开放端口;320,采集模块,用于根据所述IP地址获取所述目标设备获取所述目标设备发送的反应数据;330,生成模块,用于根据所述属性信息生成对应的发送数据包;340,分析模块,用于根据接收到的信息根据不同的协议进行分析;350,存储模块,用于存储目标设备信息和目标服务信息。需要说明的是,在被触发启动检测是,获取模块310检测目标范围内设备的IP地址,并发送至采集模块320;采集模块320根据所述IP地址获取所述目标设备的属性信息,并将获取到的网络数据包发送给生成模330,由生成模块330根据所述数据包生成匹配所述目标格式的数据包发送给目标,并通过分析模块340将所述目标端口的返回信息进行分析、获取所述目标设备发送的反应数据,分析模块340将把获取的信息发送给存储模块350,由存储模块350进行保存入库。本文档来自技高网...
【技术保护点】
1.一种基于主动探测技术的工控网络资产发现方法,其特征在于,包括:获取工控网络中设备的IP地址;根据IP地址获取目标设备的基础信息和服务开放信息;根据目标信息生成资产信息。
【技术特征摘要】
1.一种基于主动探测技术的工控网络资产发现方法,其特征在于,包括:获取工控网络中设备的IP地址;根据IP地址获取目标设备的基础信息和服务开放信息;根据目标信息生成资产信息。2.根据权利要求1所述的方法,其特征在于,所述根据IP地址获取所述目标设备的属性信息和设备开放服务的步骤具体包括:获取所述目标设备组中的目标设备的IP地址。对所述目标设备的IP地址进行设备协议支持识别、信息通信和指纹识别处...
【专利技术属性】
技术研发人员:李楠芳,苏生平,钟应寿,刘圣龙,王旭,邵巍,司红星,李卫,李胜春,李宗容,赵蕾,
申请(专利权)人:国网青海省电力公司电力科学研究院,四维创智北京科技发展有限公司,
类型:发明
国别省市:青海,63
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。