本發(fā)明涉及工控資產(chǎn)識別領(lǐng)域，具體而言，涉及一種基于工控設(shè)備交互模式的層次識別方法。

背景技術(shù)：

1、網(wǎng)絡(luò)資產(chǎn)探測是指追蹤、掌握網(wǎng)絡(luò)資產(chǎn)情況的過程，是實現(xiàn)網(wǎng)絡(luò)安全管理的重要前提。it系統(tǒng)通常采用主動探測的方式進(jìn)行資產(chǎn)探測，但這種方式并不適用于工控系統(tǒng)。與傳統(tǒng)it系統(tǒng)相比，工控系統(tǒng)除了包括it系統(tǒng)中如主機(jī)、交換機(jī)、路由器等傳統(tǒng)設(shè)備，還包括特有的hmi、plc、rtu等工控設(shè)備。此外工控系統(tǒng)還具有設(shè)備異構(gòu)性、設(shè)備的計算能力弱以及tcp會話運(yùn)行時間長等特點，如果直接將傳統(tǒng)的資產(chǎn)探測方法應(yīng)用于工控系統(tǒng)，不僅無法獲取我們所需要的信息，還會干擾系統(tǒng)的正常平穩(wěn)運(yùn)行。

2、為了降低傳統(tǒng)資產(chǎn)探測方法對工控系統(tǒng)的干擾，有針對性的對工控設(shè)備進(jìn)行識別，解決在資產(chǎn)探測過程中對于設(shè)備類型區(qū)分不清時盲目探測引起對系統(tǒng)造成影響等問題，結(jié)合ics各設(shè)備敏感性不同的特點，提出在進(jìn)行資產(chǎn)探測時先對工控設(shè)備進(jìn)行設(shè)備層次識別，然后再對傳統(tǒng)it設(shè)備和工控設(shè)備采用不同的探測方式獲取詳細(xì)信息。在工控設(shè)備層次識別過程中，工控系統(tǒng)中同時存在工控設(shè)備和傳統(tǒng)it設(shè)備，它們之間的通信特點不同會產(chǎn)生不同的通信模式，兩種通信模式混合會對工控設(shè)備層次識別造成干擾?，F(xiàn)有方法直接對混合的流量進(jìn)行層次識別存在識別準(zhǔn)確率低的問題，所以為了提高設(shè)備層次識別的準(zhǔn)確性，需要將兩類設(shè)備的通信流量分開，再分別進(jìn)行層次識別。

3、符合普渡模型的工控系統(tǒng)包括五層結(jié)構(gòu)：企業(yè)網(wǎng)絡(luò)層及以上的設(shè)備主要由主機(jī)和服務(wù)器這些傳統(tǒng)it設(shè)備構(gòu)成，工控資產(chǎn)探測研究重點在3層以下的工控設(shè)備上，所以在設(shè)備層次識別時對這一部分不具體細(xì)分，統(tǒng)一識別為3層及以上設(shè)備。過程監(jiān)控層包括hmi、scada服務(wù)器、工程師站、歷史數(shù)據(jù)庫等，這些設(shè)備的作用是負(fù)責(zé)對現(xiàn)場的設(shè)備進(jìn)行監(jiān)視和控制，設(shè)備層次識別其為2層設(shè)備?，F(xiàn)場控制層主要與現(xiàn)場設(shè)備連接，包括plc、rtu、ied等，設(shè)備層次識別其為1層設(shè)備。現(xiàn)場設(shè)備層包括一些執(zhí)行器和傳感器等，在我們進(jìn)行層次識別的時候，因為remote?io安裝在遠(yuǎn)程現(xiàn)場，并且它沒有控制器，最后還要將數(shù)據(jù)傳輸?shù)娇刂茖釉O(shè)備，將其識別為0層設(shè)備。

技術(shù)實現(xiàn)思路

1、針對現(xiàn)有技術(shù)不足，本發(fā)明提出一種基于工控設(shè)備交互模式的層次識別方法，其目的在于解決現(xiàn)有方法存在的設(shè)備層次識別準(zhǔn)確率低以及受限于理想環(huán)境下的設(shè)備通信模式等問題，相比于目前的工控設(shè)備層次識別方法，提高了準(zhǔn)確率和通用性。

2、本發(fā)明為實現(xiàn)上述目的所采用的技術(shù)方案是：

3、一種基于工控設(shè)備交互模式的層次識別方法，包括以下步驟：

4、1)采集待識別工控系統(tǒng)網(wǎng)絡(luò)中的流量數(shù)據(jù)，并對其進(jìn)行預(yù)處理；

5、2)提取預(yù)處理后的流量數(shù)據(jù)中符合層次識別需求的設(shè)備交互特征屬性，構(gòu)成設(shè)備交互模式集合；

6、3)對設(shè)備交互模式集合進(jìn)行分流，得到使用工控協(xié)議進(jìn)行通信的設(shè)備ip地址對集合和不使用工控協(xié)議進(jìn)行通信的設(shè)備ip地址對集合；

7、4)分別對使用工控協(xié)議進(jìn)行通信的設(shè)備ip地址對集合和不使用工控協(xié)議進(jìn)行通信的設(shè)備ip地址對集合進(jìn)行三層以下設(shè)備識別和三層及以上設(shè)備識別。

8、所述步驟1)中預(yù)處理具體為：

9、直接剔除工控設(shè)備網(wǎng)絡(luò)流量中的廣播流量，采用手動補(bǔ)全會話的方式對工控設(shè)備網(wǎng)絡(luò)流量中丟失的報文，即會話不完整的交互報文進(jìn)行補(bǔ)充。

10、所述設(shè)備交互模式f為一組用于描述設(shè)備間交互信息的特征屬性，表示為：

11、f＝<clientip，serverip，clientport，serverport>

12、其中，clientip表示設(shè)備間會話的客戶端ip地址，serverip表示設(shè)備間會話的服務(wù)端ip地址，clientport表示設(shè)備間會話的客戶端端口號，serverport表示設(shè)備間會話的服務(wù)端端口號；

13、所述設(shè)備交互模式集合fs由多個設(shè)備交互模式f構(gòu)成，表示為：

14、fs＝{f1，f2，…，fn}

15、其中，n為設(shè)備交互模式集合元素個數(shù)；

16、所述符合層次識別需求的設(shè)備即該設(shè)備的特征屬性信息不缺少設(shè)備交互模式f中的任何信息。

17、所述步驟3)包括以下步驟：

18、3.1)對設(shè)備交互模式集合fs通過端口過濾，獲得地址對集合ipsf，所述地址對集合ipsf是由ip地址對ips構(gòu)成的集合，表示為

19、ipsf＝{ips1，ips2，…，ipsm}

20、其中，m為ip地址對元素個數(shù)；

21、3.2)判斷f中服務(wù)端端口號是否為工控協(xié)議特定的端口號，如果是，則該f為使用工控協(xié)議進(jìn)行通信的會話，將ip地址對ips存入集合ipsf_ics中；否則，該f為不使用工控協(xié)議進(jìn)行通信的會話，將ip地址對ips存入集合ipsf_noics中，其中ips表示為<clientip，serverip>。

22、所述對使用工控協(xié)議進(jìn)行通信的設(shè)備ip地址對集合進(jìn)行三層以下設(shè)備識別，包括以下步驟：

23、1)從ipsf_ics集合中分別提取出全部ip地址集合icsipset、客戶端ip地址集合clientipset和服務(wù)端ip地址集合serveripset；

24、2)對icsipset中的任意設(shè)備，如果該設(shè)備的ip地址deviceip只存在于clientipset中而不存在于serveripset中，則判定該設(shè)備為2層設(shè)備；

25、3)對icsipset中的任意設(shè)備，如果該設(shè)備的ip地址deviceip既存在于clientipset中又存在于serveripset中，則判定該設(shè)備為1層設(shè)備；

26、4)對icsipset中的任意設(shè)備，如果該設(shè)備的ip地址deviceip只存在于serveripset中且其對應(yīng)的客戶端設(shè)備為2層設(shè)備，則判定該設(shè)備為1層設(shè)備；

27、5)其余設(shè)備判定為0層設(shè)備。

28、所述對不使用工控協(xié)議進(jìn)行通信的設(shè)備ip地址對集合進(jìn)行三層以下設(shè)備識別，包括以下步驟：

29、1)提取ipsf_noics中的所有ip地址集合，篩選出不在icsipset集合中的ip存入nonicsipset；

30、2)對于nonicsipset中的任意設(shè)備，如果該設(shè)備與2層設(shè)備有通信，則判定該設(shè)備為3層及以上設(shè)備。

31、一種基于工控設(shè)備交互模式的層次識別系統(tǒng)，包括：

32、數(shù)據(jù)采集模塊，用于采集待識別工控系統(tǒng)網(wǎng)絡(luò)中的流量數(shù)據(jù)，并對其進(jìn)行預(yù)處理；

33、設(shè)備交互模式集合構(gòu)建模塊，用于提取預(yù)處理后的流量數(shù)據(jù)中符合層次識別需求的設(shè)備交互特征屬性，構(gòu)成設(shè)備交互模式集合；

34、分流模塊，用于對設(shè)備交互模式集合進(jìn)行分流，得到使用工控協(xié)議進(jìn)行通信的設(shè)備ip地址對集合和不使用工控協(xié)議進(jìn)行通信的設(shè)備ip地址對集合；

35、識別模塊，用于分別對使用工控協(xié)議進(jìn)行通信的設(shè)備ip地址對集合和不使用工控協(xié)議進(jìn)行通信的設(shè)備ip地址對集合進(jìn)行三層以下設(shè)備識別和三層及以上設(shè)備識別。

36、一種基于工控設(shè)備交互模式的層次識別系統(tǒng)，包括存儲器和處理器；所述存儲器，用于存儲計算機(jī)程序；所述處理器，用于當(dāng)執(zhí)行所述計算機(jī)程序時，實現(xiàn)所述的一種基于工控設(shè)備交互模式的層次識別方法。

37、一種計算機(jī)可讀存儲介質(zhì)，所述存儲介質(zhì)上存儲有計算機(jī)程序，當(dāng)所述計算機(jī)程序被處理器執(zhí)行時，實現(xiàn)所述的一種基于工控設(shè)備交互模式的層次識別方法。

38、本發(fā)明具有以下有益效果及優(yōu)點：

39、1.設(shè)備交互模式不是在理想狀態(tài)設(shè)備間通信模式下提取的，其能夠在真實工控場景下使用，具有較好的通用性及適用性。

40、2.解決了工控設(shè)備和傳統(tǒng)it設(shè)備的通信特點不同所產(chǎn)生的混合通信模式會對工控設(shè)備層次識別造成干擾的問題，利用工控協(xié)議過濾有效處理了工業(yè)控制系統(tǒng)中同時存在工控設(shè)備和傳統(tǒng)it設(shè)備的情況，提高了工控設(shè)備層次識別的準(zhǔn)確率。