一种适用于工控网络环境的资产识别方法与流程

1.本发明涉及工业控制系统信息网络的资产识别领域，更为具体的，涉及一种适用于工控网络环境的资产识别方法。


背景技术：

2.随着工业自动化发展，制造业新一轮的工业革命正在开始，以促进it与ot的深度融合为目的，将工业与信息合二为一，形成工业制造信息化。信息网络在打通ot壁垒的同时，也带来了网络的相关问题，对网络中资产的感知能力和管理能力一直是安全和运维的一大主要问题。目前针对于网络中资产的问题使用资产识别技术能够有效对网络未知资产的确认并方便运维人员管理。现有的网络资产识别技术分为主动扫描探测方式及被动流量监测方式。主动扫描探测资产识别通过主动扫描网络，确认网络中的资产，之后与资产进行报文交互，识别其属性。被动流量监测方式通过深度识别协议包，识别协议包中的资产指纹来实现资产识别，并识别其属性。
3.现有资产识别技术在工控领域的主要局限在于：
4.1)工控网络环境中以优先保证业务的正常运行为原则，主动的资产识别技术会在网络中与资产交互报文可能会导致网络中出现其他安全问题，给业务正常运行造成阻碍，工控网络中对于现场设备的管控一般也不允许这样操作；工控网络与传统互联网不同，工控网络环境将网络分离为三层：现场控制层、过程监控层、管理信息层，不同的层级中间以部署防火墙、网闸等设备进行隔离，利用主动探测的方式无法对网络中的所有节点进行探测；
5.2)工控网络中运行了大量的工业私有协议，而互联网协议使用较少，现有技术的被动的流量监测方式通过互联网协议的识别会造成资产指纹识别的准确性差，得到的资产信息不足的问题，同时针对工控领域中的重要资产：plc、rtu、scada等，因其几乎只运行业务相关的工业私有协议，不能够对其进行有效识别，如果把这种方式应用到工控网络环境中，资产识别率将大大降低；
6.综上所述，现有的资产识别技术并不能适用于工业控制系统信息网络的资产识别。


技术实现要素：

7.本发明的目的在于克服现有技术的不足，提供一种适用于工控网络环境的资产识别方法，能够解决主动扫描资产在工控网络环境中影响工业业务正常运行、扫描无法全覆盖的问题。同时，能够使得资产指纹丰富，资产识别率高，解决被动资产识别在工控网络环境中资产指纹识别的准确性差，得到的资产信息不足的问题。
8.本发明的目的是通过以下方案实现的：
9.一种适用于工控网络环境的资产识别方法，包括步骤：
10.解析工业私有协议和互联网协议生成相应格式化信息存入消息队列中；从消息队
列中流式获取格式化数据并根据格式化数据进行资产识别与提取资产相关指纹，通过与资产指纹库比对进一步识别资产属性，深度识别资产指纹。
11.进一步地，对深度识别资产指纹后的数据，通过聚合、关联分析操作将资产数据整合，存入到持久化数据库中。
12.进一步地，通过旁路网络流量采集方式收集工控现场网络协议，所述工控现场网络协议包括工业私有协议和互联网协议。
13.进一步地，所述解析工业私有协议和互联网协议生成相应格式化信息，包括如下步骤：
14.s11，通过交换机镜像口对旁路采集网络流量，解析网络流量数据包中的网络层、以太层、传输层以解析出ip-mac节点信息和协议信息，提取出网络数据；
15.s12，筛选出能够携带资产指纹的应用协议进行深度解析，提取出深度数据，合并到在步骤s1中提取的网络数据中；
16.s13，将网络数据与深度数据生成格式化数据推入到消息队列中。
17.进一步地，所述从消息队列中流式获取格式化数据并根据格式化数据进行资产识别与提取资产相关指纹，通过与资产指纹库比对进一步识别资产属性，包括如下步骤：
18.s21，从消息队列中通过时间窗口流式获取解析后格式化数据集，格式化数据集中每条数据生成源地址和目的地址两条资产信息，以mac经过哈希作为资产id；
19.s22，识别基本指纹，将网络数据中的相关属性，填入对应资产信息中；
20.s23，识别资产深度指纹，对于含有深度解析的数据，提取关键深度信息，通过资产指纹库检索，解析出对应资产的相关属性，将对应资产的相关属性填入对应信息中。
21.进一步地，在步骤s22中，网络数据中的相关属性ip、端口、协议、服务应用。
22.进一步地，在步骤s23中，解析出对应资产的相关属性，包含主机名、域名、操作系统、系统版本、生产厂商、设备类型。
23.进一步地，所述通过聚合、关联分析操作将资产数据整合，存入到持久化数据库中，包括如下步骤：
24.s31，提取格式化数据集中的源资产及目的资产信息，以mac的哈希id将当前格式化数据集中的资产进行聚合，将相同资产进行关联、去重，形成资产聚合数据集a；
25.s32，将持久化的资产信息库导入，与当前的资产以mac的哈希id的进行关联，更新相应资产信息，若未查询到历史资产记录，则以mac经过哈希作为id新建一条资产信息，将更新的资产和新建的资产作为资产聚合数据集b；
26.s33，将附带资产id的聚合数据集b持久化到分布式数据库中，形成资产信息库。
27.本发明的有益效果包括：
28.本发明提供一种适用于工业控制系统信息网络的资产自动识别方法，通过被动流量采集的方式，深度解析工业私有协议及互联网协议，利用协议中携带的资产指纹，对资产进行自动识别。通过本发明，能够解决主动扫描资产在工控网络环境中影响工业业务正常运行、扫描无法全覆盖的问题。同时，利用深度工业私有协议解析，使得资产指纹丰富，资产识别率高，解决被动资产识别在工控网络环境中资产指纹识别的准确性差，得到的资产信息不足的问题。
29.本发明的实施例，具有如下技术效果：
30.1)实现自动化：无需用户操作，通过被动流量采集的方式自动发现资产及其资产属性；
31.2)实现全网探测：基于强大的大数据处理能力，进行全网流量监测，获取全网资产信息；
32.3)提高实时性：基于大数据分布式计算能力,通过实时流量接入，实时更新资产属性；
33.4)实现高效性：通过对大范围的工业私有协议深度解析，能够工控网络资产识别率高，指纹信息丰富；
34.与现有技术相比，本发明实施例的优点包括：
35.1)能够大规模快速生成整个区域网络内的资产信息；
36.2)利用大数据处理方式，以流式处理资产，实时快速的掌握当前资产最新情况；
37.3)针对工业私有协议的针对性解析，能够有效识别工控资产指纹；
38.4)使用旁路的被动流量采集方式，不会对当前工控网络环境带来安全隐患；
39.5)具有应用的通用性，可以广泛适用于各种工控网络环境；
40.6)极大的降低了运维对资产管理的技术门槛及操作复杂度。
附图说明
41.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
42.图1为本发明实施例中资产识别工作流程图；
43.图2为本发明实施例中流量深度解析工作流程图；
44.it：信息技术
45.ot：操作技术
46.plc：可编程逻辑控制器
47.rtu：远程终端控制系统
48.dcs:分散控制系统
49.scada：数据采集与监视控制系统。
具体实施方式
50.本说明书中所有实施例公开的所有特征，或隐含公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合和/或扩展、替换。
51.如图1，2所示，一种适用于工控网络环境的资产识别方法，在本实施例，通过旁路网络流量采集方式收集工控现场网络协议，深度解析工业私有协议和互联网协议生成相应格式化信息存入消息队列中，从消息队列中流式获取格式化数据并根据格式化数据进行资产识别与提取资产相关指纹，通过与资产指纹库比对进一步识别资产属性，深度识别资产指纹。通过聚合、关联分析等操作将资产数据整合，存入到持久化数据库中。具体包括以下步骤：
52.1)流量数据深度解析：通过交换机镜像口对旁路采集网络流量，解析网络流量数据包中的网络层、以太层、传输层以解析出ip-mac节点信息，协议等信息，提取出网络数据。筛选出能够携带资产指纹的应用协议进行深度解析，提取出深度数据层，合并到此报文的网络数据中。将网络数据与深度数据生成格式化数据推入到消息队列中；
53.2)资产指纹识别：从消息队列中通过时间窗口流式获取解析后格式化数据集，格式化数据集中每条数据生成源地址和目的地址两条资产信息，以mac经过哈希作为资产id。首先识别基本指纹，将网络数据中的ip、端口、协议、服务应用等填入对应资产信息中；之后识别资产深度指纹，对于含有深度解析的数据，提取关键深度信息，通过资产指纹库检索，解析出对应资产的相关属性，包含主机名、域名、操作系统、系统版本、生产厂商、设备类型等，将相应属性填入对应信息中；
54.3)资产聚合、关联分析：提取格式化数据集中的源资产及目的资产信息，以mac的哈希id将当前格式化数据集中的资产进行聚合，将相同资产进行关联、去重，形成资产聚合数据集a。将持久化的资产信息库导入，与当前的资产以mac的哈希id的进行关联，更新相应资产信息，若未查询到历史资产记录，则以mac经过哈希作为id新建一条资产信息，将更新的资产和新建的资产作为资产聚合数据集b；
55.4)资产数据持久化：将附带资产id的聚合数据集b持久化到分布式数据库中，形成资产信息库。
56.在本实施例中，资产识别工作流程图如图1所示，上述步骤1)中流量数据深度解析采用多进程设计，采集进程包含以下步骤：
57.a)，读取采集接口信息，绑定接口，开启子进程进行等待；
58.b)，子进程持续从物理接口中抓包，只有当收到结束信号的时候才会关闭；
59.c)，收到报文后，解析网络报文网络层、以太层、传输层，形成网络数据，所有的报文的网络数据都是对资产识别有用的，可收集资产的基本信息，含盖mac,ip,运行服务，开放端口；
60.d)，判断网络数据中的协议是否属于指纹识别协议，若属于，进行深度解析，与网络数据整合形成深度数据，若不属于，则不处理，指纹识别协议包含cip、mms、s7comm、iec104、dnp3、modbus、bcatnet cdp、http、dns、smtp、imap、dhcp、ldap、nbns、browser；
61.e)，将网络数据和深度数据形成格式化数据转发到消息队列中。
62.流量数据深度解析工作流程图如图2所示。
63.步骤2)资产指纹识别中的基本指纹识别时，通过采集的mac，资产模块中内置有mac与生产厂商对应表，通过mac解析出生产厂商；
64.资产指纹库是通过收集协议中携带的资产指纹字段所汇聚的一个资产指纹信息库，cip、mms、s7comm、iec104、dnp3、modbus、bcatnet等工业私有协议，cdp、http、dns、smtp、imap、dhcp、ldap、nbns、browser等互联网协议，都可识别出资产的相关信息。利用工业私有协议的深度解析可获取出资产的类型(plc\rtu\scada等)、生产厂商、版本、操作系统、资产名称等，如modbus，modbus的某些功能码会标识出上报数据的下位机是plc还是rtu，当功能码为43时，下位机会上报设备信息，包含生产厂商、产品名称、软件版本等信息。
65.本发明未涉及部分均与现有技术相同或可采用现有技术加以实现。
66.上述技术方案只是本发明的一种实施方式，对于本领域内的技术人员而言，在本
发明公开了应用方法和原理的基础上，很容易做出各种类型的改进或变形，而不仅限于本发明上述具体实施方式所描述的方法，因此前面描述的方式只是优选的，而并不具有限制性的意义。
67.除以上实例以外，本领域技术人员根据上述公开内容获得启示或利用相关领域的知识或技术进行改动获得其他实施例，各个实施例的特征可以互换或替换，本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。
68.本发明功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，在一台计算机设备(可以是个人计算机，服务器，或者网络设备等)以及相应的软件中执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、或者光盘等各种可以存储程序代码的介质，进行测试或者实际的数据在程序实现中存在于只读存储器(random access memory，ram)、随机存取存储器(random access memory，ram)等。