本申请实施例提供了一种工控资产识别方法、装置、电子设备及存储介质,用于提升工控资产识别的准确性。所述方法包括:获取待识别工控设备对应的多个报文;获取所述多个报文中每个报文的特征信息;其中,所述特征信息包括工控设备的通用协议、报文传输方向、数据包长度、源端口地址、目的端口地址、所述待识别工控设备所使用的工控协议、所述工控协议对应的功能码字段和报文到达时间;将所述每个报文的特征信息按照预设规则进行拼接,得到所述待识别工控设备对应的特征向量;根据所述特征向量确定所述待识别工控设备的设备型号。所述待识别工控设备的设备型号。所述待识别工控设备的设备型号。
【技术实现步骤摘要】
一种工控资产识别方法、装置、电子设备及存储介质
[0001]本专利技术涉及工控安全
,尤其涉及一种工控资产识别方法、装置、电子设备及存储介质。
技术介绍
[0002]工业控制系统(Industrial control system,ICS)(也可以简称为工控系统)是监测和控制工业生产的物理信息系统(Cyber Physical Systems,CPS),广泛应用于电力、水务、石油化工等基础设施行业。近年来,随着工业互联网技术的发展,工业控制系统和信息技术(Information Technology,IT)网络的“隔离墙”逐渐被打通,使得存在安全漏洞的工控设备可能暴露在网络上,工业控制系统面临的安全形势越来越严峻,越来越多的企业开始对ICS进行安全评估。其中,对ICS进行安全评估的首要工作是对ICS中的资产进行识别,明确ICS中的资产情况。而ICS与传统的IT网络相比,ICS的资产型号多,通信连接复杂,且系统本身不受外界干扰,使得明确ICS中的资产情况的难度较高。
[0003]目前,对ICS中的资产进行识别方法主要通过主动探测和被动识别;其中,主动探测通常是向目标系统发送一定数量的网络数据包,探测存活主机的主机指纹信息及网页web指纹信息,并且通过配置不同资产的规则判定所探测的主机是否为资产,但这种方式会导致网络数据包对目标网络产生一定影响,进而影响工控网络的安全性,同时由于ICS资源有限且对时间响应敏感,使得很多ICS系统不允许进行主动探测;被动识别一般采用旁路部署模式,不会对设备运转产生影响,即不会影响工控系统的安全性,其主要依赖于将设备指纹绑定到物理地址(Media Access Control Address,MAC)上,但MAC地址在经过网络地址转换(Network Address Translation,NAT)后MAC地址可能发生变化,使得对工控资产进行识别的准确性较低。
技术实现思路
[0004]本申请实施例提供了一种工控资产识别方法、装置、电子设备及存储介质,用于提升工控资产识别的准确性。
[0005]第一方面,提供一种工控资产识别方法,所述方法包括:
[0006]获取待识别工控设备对应的多个报文;
[0007]获取所述多个报文中每个报文的特征信息;其中,所述特征信息包括工控设备的通用协议、报文传输方向、数据包长度、源端口地址、目的端口地址、所述待识别工控设备所使用的工控协议、所述工控协议对应的功能码字段和报文到达时间;
[0008]将所述每个报文的特征信息按照预设规则进行拼接,得到所述待识别工控设备对应的特征向量;
[0009]根据所述特征向量确定所述待识别工控设备的设备型号。
[0010]可选的,所述将所述每个报文的特征信息按照预设规则进行拼接,得到所述待识别工控设备对应的特征向量,包括:
[0011]从所述多个报文中选取连续的n个报文;
[0012]将所述连续n个报文对应的特征信息按照预设规则进行拼接,得到所述待识别工控设备对应的特征向量。
[0013]可选的,所述将所述连续n个报文对应的特征信息按照预设规则进行拼接,得到所述待识别工控设备对应的特征向量,包括:
[0014]将所述连续n个报文中的每个报文对应的通用协议、报文传输方向、数据包长度、源端口地址、目的端口地址、和工控协议按报文顺序进行拼接,得到协议特征向量;
[0015]获取所述连续n个报文中的第一个报文对应的第一报文到达时间和所述连续n个报文对应中的第n个报文对应的第二报文到达时间;
[0016]确定所述第二报文到达时间和所述第一报文到达时间之间的时间差值,得到所述连续n个报文对应的时间特征向量;
[0017]将所述协议特征向量和所述时间特征向量进行拼接,得到所述待识别工控设备对应的特征向量。
[0018]可选的,所述将所述每个报文的特征信息按照预设规则进行拼接,得到所述待识别工控设备对应的特征向量之前,还包括:
[0019]获取所述待识别工控设备所使用的工控协议的功能码字段;
[0020]确定所述功能码字段对应的格式是否为预设格式;
[0021]若所述功能码字段对应的格式不为预设格式,则将所述功能码字段按照所述预设格式进行填充。
[0022]可选的,所述根据所述待识别工控设备对应的特征向量确定所述待识别工控设备的设备型号,包括:
[0023]通过训练好的分类器模型基于所述待识别工控设备对应的特征向量确定所述待识别工控设备的设备型号;其中,所述分类器模型的训练方式如下:
[0024]获取工控系统对应的全周期报文;其中,所述工控系统为所述待识别工控设备对应的工控系统,所述全周期报文为所述工控系统中所有工控设备对应的报文;
[0025]获取每个工控设备对应的连续n个报文中每个报文的特征信息;
[0026]将所述每个工控设备对应的每个报文的特征信息按照所述预设规则进行拼接,得到所述所有工控设备对应的特征向量集合;
[0027]将所述特征向量集合中的每个特征向量输入预设分类器模型,通过所述预设分类器模型确定所述每个工控设备对应的设备型号;
[0028]根据映射关系判断所述每个工控设备的设备型号是否正确;其中,所述映射关系为根据所述全周期报文建立的报文与设备型号之间的对应关系;
[0029]若设备型号正确的工控设备的数量小于预设数量,则对所述预设分类器对应的分类器参数进行调整,直到设备型号正确的工控设备的数量大于或等于所述预设数量时,结束模型训练,得到所述分类器模型。
[0030]可选的,所述通过训练好的分类器模型基于所述待识别工控设备对应的特征向量确定所述待识别工控设备的设备型号之后,还包括:
[0031]确定预设时长内所述待识别工控设备被确定为同一设备型号的概率;
[0032]若所述概率小于预设阈值,则确定所述待识别工控设备发生异常,并发送第一告
警信息,以使工作人员确认异常原因;
[0033]若所述待识别工控设备发生过异常的原因为所述待识别工控设备所处的生产环境发生变更,则获取所述待识别工控设备当前所处的生产环境对应的当前工控系统对应的全周期报文;
[0034]根据所述当前工控系统对应的全周期报文对所述分类器模型进行优化更新。
[0035]第二方面,提供一种工控资产识别装置,所述装置包括:
[0036]获取模块,用于获取待识别工控设备对应的多个报文;
[0037]所述获取模块,还用于获取所述多个报文中每个报文的特征信息;其中,所述特征信息包括工控设备的通用协议、报文传输方向、数据包长度、源端口地址、目的端口地址、所述待识别工控设备所使用的工控协议、所述工控协议对应的功能码字段和报文到达时间;
[0038]处理模块,用于将所述每个报文的特征信息按照预设规则进行拼接,得到所述待识别工控设备对应的特征向量;
[0039]所述处理模块,还用于根据所述特征向量确定所述本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种工控资产识别方法,其特征在于,所述方法包括:获取待识别工控设备对应的多个报文;获取所述多个报文中每个报文的特征信息;其中,所述特征信息包括工控设备的通用协议、报文传输方向、数据包长度、源端口地址、目的端口地址、所述待识别工控设备所使用的工控协议、所述工控协议对应的功能码字段和报文到达时间;将所述每个报文的特征信息按照预设规则进行拼接,得到所述待识别工控设备对应的特征向量;根据所述特征向量确定所述待识别工控设备的设备型号。2.如权利要求1所述的方法,其特征在于,所述将所述每个报文的特征信息按照预设规则进行拼接,得到所述待识别工控设备对应的特征向量,包括:从所述多个报文中选取连续的n个报文;将所述连续n个报文对应的特征信息按照预设规则进行拼接,得到所述待识别工控设备对应的特征向量。3.如权利要求2所述的方法,其特征在于,所述将所述连续n个报文对应的特征信息按照预设规则进行拼接,得到所述待识别工控设备对应的特征向量,包括:将所述连续n个报文中的每个报文对应的通用协议、报文传输方向、数据包长度、源端口地址、目的端口地址、和工控协议按报文顺序进行拼接,得到协议特征向量;获取所述连续n个报文中的第一个报文对应的第一报文到达时间和所述连续n个报文对应中的第n个报文对应的第二报文到达时间;确定所述第二报文到达时间和所述第一报文到达时间之间的时间差值,得到所述连续n个报文对应的时间特征向量;将所述协议特征向量和所述时间特征向量进行拼接,得到所述待识别工控设备对应的特征向量。4.如权利要求1所述的方法,其特征在于,所述将所述每个报文的特征信息按照预设规则进行拼接,得到所述待识别工控设备对应的特征向量之前,还包括:获取所述待识别工控设备所使用的工控协议的功能码字段;确定所述功能码字段对应的格式是否为预设格式;若所述功能码字段对应的格式不为预设格式,则将所述功能码字段按照所述预设格式进行填充。5.如权利要求1所述的方法,其特征在于,所述根据所述待识别工控设备对应的特征向量确定所述待识别工控设备的设备型号,包括:通过训练好的分类器模型基于所述待识别工控设备对应的特征向量确定所述待识别工控设备的设备型号;其中,所述分类器模型的训练方式如下:获取工控系统对应的全周期报文;其中,所述工控系统为所述待识别工控设备对应的工控系统,所述全周期报文为所述工控系统中所有工控设备对应的报文;获取每个工控设备对应的连续n个报文中每个报文的特征信息;将所述每个工控设备对应的每个报文的特征信息按照所述预设规则进行拼接,得到所述...
【专利技术属性】
技术研发人员:王建明,陈景妹,
申请(专利权)人:北京神州绿盟科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。