【技术实现步骤摘要】
一种基于工业控制系统的工控资产识别方法及系统
[0001]本专利技术涉及工控资产识别
,尤其涉及一种基于工业控制系统的工控资产识别方法和系统。
技术介绍
[0002]工业控制系统被广泛应用到电力、石化、交通、市政以及关键制造业等涉及国计民生的重要行业中。工业控制系统中的各种工控设备是工业生产的核心,也被称为工控资产。在对工控资产进行工控安全管理时,通常需要基于处理器,利用识别方法对工控资产进行识别,以作为对工控资产监控的一个技术手段,及时识别工控资产的异常状态并告警,提示管理员对异常情况进行处理,保证工业控制网络的工控安全。
[0003]在一个工业控制系统中,通常存在着大量不同厂商生产的不同设备型号的工控资产。现有技术提供的识别方法通常基于工控资产所发送的流量数据中所包含的协议类型、MAC地址前三个字节、开放的端口号、自身协议栈TCP协议中的滑动窗口大小、IP协议的生存时间、时钟偏移等指纹信息对工控资产进行识别的,但是在实际应用中,不同的设备类型可能具备相同的指纹特征,容易导致对工控资产的误识别,降低对工控资产的识别精度;此外,这种识别方法的识别结果通常是某某厂家生产的某某工控资产,而管理员实际上更关心一个工控资产在工业控制系统中承担的角色,以便更好地管理工控安全,但现有技术中尚无此方向的研究或产品,因而管理员基于识别结果对工控资产进行管理时,依然需要先消耗精力去分析该工控资产名下的各种信息,确定该工控资产在工业系统中承担的角色,才能做出合适的处理决策。
技术实现思路
[0004](一)...
【技术保护点】
【技术特征摘要】
1.一种基于工业控制系统的工控资产识别方法,其特征在于,包括:S01、基于工业控制系统的工控网络,从所述工控网络中交换机的端口获取当前工业控制系统的流量数据;S02、根据预先定义的解析策略,对所述流量数据进行解析,获取发送所述流量数据的工控资产的身份信息和使用的端口信息,并获取流量数据中包含的至少一个操作指令,将所述端口信息和操作指令作为所述身份信息对应的行为特征;S03、基于预先建立的工控行为特征库,将所述行为特征进行匹配,获得所述身份信息的工控行为识别结果,将所述工控行为识别结果记录在所述身份信息下;S04、对于一个待识别的工控资产,获取所述工控资产的身份信息下在第一预设时长内记录的所有工控行为,基于预先建立的资产行为基线库,将所述工控行为进行匹配,获得所述工控资产的资产类型识别结果;其中,所述资产行为基线库包括多个资产类型,及每个资产类型对应的行为基线,一个资产类型的行为基线包括至少一个工控行为。2.根据权利要求1所述的工控资产识别方法,其特征在于,所述流量数据为数据链路层流量数据,相应地,所述S02包括:S021、对数据链路层流量数据依次进行数据链路层协议解析、网络层协议解析和传输层协议解析,分别获得发送所述流量数据的工控资产的MAC地址、IP地址和应用层流量数据,将MAC地址和IP地址作为所述工控资产的身份信息;S022、通过会话管理,将所述应用层流量数据划分成若干个应用层会话,根据会话的方向确定所述应用层流量数据中由会话发起方发送的应用层流量数据,并将会话发起方对应的MAC地址和IP地址作为第一身份信息,将会话接收方对应的MAC地址和IP地址作为第二身份信息;S023、解析会话发起方发送的的应用层流量数据,得到一个或多个按照时间顺序排列的操作指令;S024、会话结束时,将当前会话的目的端口和当前会话下的所有操作指令作为第一身份信息对应的行为特征。3.根据权利要求2所述的工控资产识别方法,其特征在于,所述会话发起方发送的流量数据包括至少一个应用层数据包,所述S023包括:S023
‑
1、基于应用层数据包的关键字和/或应用层数据包的目的端口,确定所述应用层数据包的协议类型;S023
‑
2、基于所述协议类型,从预先建立的索引表中查找操作指令在该应用层数据包中的偏移量和字段长度;其中,所述索引表包括多个协议类型,及在一个协议类型对应的数据包中,操作指令所在字段的偏移量和字段长度。S023
‑
3、根据所述偏移量和字段长度读取应用层数据包的对应字段,得到该应用层数据包中的操作指令;其中,当所述操作指令的数量为至少两个时,操作指令按照获取的时间先后顺序进行排列。4.根据权利要求2所述的工控资产识别方法,其特征在于,所述S021还包括:
将获得的身份信息与当前的资产信息表进行匹配,若资产信息表中无所述身份信息,则在资产信息表中建立当前身份信息所属的新的资产信息;其中,所述资产信息...
【专利技术属性】
技术研发人员:褚健,葛文璟,章维,马纳,郭正飞,
申请(专利权)人:浙江中控技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。