【技术实现步骤摘要】
一种被动工控网络拓扑发现方法及工控网络安全管理系统
本专利技术涉及工业控制及网络安全领域,特别是涉及一种被动工控网络拓扑发现方法及工控网络安全管理系统。
技术介绍
随着美国“工业互联网”概念的提出,再到德国“工业4.0”的推行,两化的融合成为大势所趋。由于传统工业系统在建设之初仅考虑到了其实用性,未考虑到安全性问题,因此在与互联网的相互融合中完全暴露了其脆弱性,导致网络安全事件层出不穷,特别是针对工业控制系统等国家基础设施的入侵攻击,已严重影响到国家的国计民生。对工业系统网络安全进行有效检测并且提供实时的安全防护,从而进行网络安全管理是保护工业系统网络安全的关键技术,网络拓扑发现作为网络安全管理的工具,是实现上述关键技术的重要组成部分,是发现系统故障和监控设备性能的基础,只有准确得到工控系统的拓扑结构,才能对其操作系统、设备漏洞等相关安全信息进行态势感知,只有得到更细更深的网络拓扑结构及安全信息,最终才能实现工控系统的安全防护。网络拓扑是指各网络元素及其之间的连接关系,其中,网络元素可以是路由器,也可以是交换机、集线...
【技术保护点】
1.一种被动工控网络拓扑发现方法,其特征在于,包括:/n确定被测工控网络的核心交换机;/n将所述核心交换机的一端口设置为镜像端口,其余端口设置为源端口;/n通过所述镜像端口对所述被测工控网络的通信数据包进行嗅探;/n对嗅探得到的所述数据包进行降维处理;/n采用训练好的CART分类树模型对降维后的数据包进行分类,得到分类结果;所述分类结果用于表示:所述数据包的源地址所代表的设备与所述数据包的目的地址所代表的设备之间的连接类型,所述连接类型包括:交换机与路由器的连接、主机与交换机的连接以及交换机与交换机的连接;/n根据分类结果确定所述被测工控网络的拓扑结构。/n
【技术特征摘要】
1.一种被动工控网络拓扑发现方法,其特征在于,包括:
确定被测工控网络的核心交换机;
将所述核心交换机的一端口设置为镜像端口,其余端口设置为源端口;
通过所述镜像端口对所述被测工控网络的通信数据包进行嗅探;
对嗅探得到的所述数据包进行降维处理;
采用训练好的CART分类树模型对降维后的数据包进行分类,得到分类结果;所述分类结果用于表示:所述数据包的源地址所代表的设备与所述数据包的目的地址所代表的设备之间的连接类型,所述连接类型包括:交换机与路由器的连接、主机与交换机的连接以及交换机与交换机的连接;
根据分类结果确定所述被测工控网络的拓扑结构。
2.根据权利要求1所述的被动工控网络拓扑发现方法,其特征在于,所述CART分类树模型的训练方法包括:
确定一已知的工控网络模型;
将所述工控网络模型的核心交换机的一端口设置为镜像端口,其余端口设置为源端口;
通过所述工控网络模型的核心交换机上的镜像端口对所述工控网络模型的通信数据包进行嗅探,将得到的数据包记为样本数据包;
为所述样本数据包加上标签,所述标签用于表示所述样本数据包的源地址所代表的设备和所述样本数据包的目的地址所代表的设备在已知的所述工控网络模型中的连接类型,所述连接类型包括:交换机与路由器的连接、主机与交换机的连接以及交换机与交换机的连接;
对所述样本数据包进行降维处理;
采用所述样本数据包对CART分类树进行训练,得到所述CART分类树模型。
3.根据权利要求2所述的被动工控网络拓扑发现方法,其特征在于,所述样本数据包的协议类型包括ARP协议、STP协议和SNMP协议。
4.根据权利要求2所述的被动工控网络拓扑发现方法,其特征在于,各连接类型的样本数据包的数量相同。
5.根据权利要求1或2所述的被动工控网络拓扑发现方法,其特征在...
【专利技术属性】
技术研发人员:张百海,蓝敏迪,庞中华,柴森春,崔灵果,姚分喜,
申请(专利权)人:北京理工大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。