[发明专利]一种工控设备指纹归一化方法

说明书

本发明公开了一种工控设备指纹归一化方法，包括以下步骤：旁路镜像方式获得工控设备信息，通过镜像交换机，待测工控设备之间进行业务相关的网络通讯，由工控设备探测装置分析待测工控设备之间的网络通讯流量，获得待测工控设备的指纹信息；主动探测方式获得工控设备信息，工控设备探测装置采用传统的网络端口信息获取技术，通过交换机与待测工控设备发生网络通讯进行主动探测，来获取待测工控设备的工控指纹信息；工控设备指纹归一化。

技术领域

本发明属于工业控制系统技术领域，具体涉及一种工控设备指纹归一化方法。

背景技术

工业控制系统用于工业场景，是由计算机与工业过程控制部件组成的自动控制系统。工业过程控制部件对实时数据进行采集、监测，在计算机的调配下，实现设备自动化运行以及对业务流程的管理与监控。其特点主要表现在数据传送的实时性、数据的事件驱动及数据源主动推送等。工业控制系统已经广泛运用于核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、军工、城市供水供气供热以及其他与国计民生紧密相关的领域。

随着我国“工业4.0”时代的来临，“互联网+”、“中国制造2025”的提出，越来越多的网络安全隐患被带入了工业控制领域，威胁不断加剧。对工业控制网络和系统的攻击，可能破坏企业重要装置的正常工艺流程，从而引发灾难性的后果。

国家对工业控制领域的安全问题极其重视。2011年，中华人民共和国国家质量监督检验检疫总局联合中国国家标准化管理委员会发布了《工业控制网络安全风险评估规范》GB/T 26333-2010。2014年，又发布了《工业控制系统信息安全第一部分：评估规范》GB/T30976.1-2014，该标准明确了工业控制系统信息安全评估的目标、评估的内容、实施过程等。2015年2月，国家能源局发布国能安全第36号文件《电力监控系统安全防护总体方案》，其中规定了对于电力生产监控系统应该每年进行一次安全评估。2016年10月，工业和信息化部印发《工业控制系统信息安全防护指南》，2017年，工信部再度印发《工业控制系统信息安全防护能力评估工作管理办法》，明确了针对于工业控制系统的安全评估方案。2017年6月1日，《中华人民共和国网络安全法》正式施行。在国家层面，对于工业控制系统的漏洞探测和风险评估越来越重视。

要探测工控系统的脆弱性，就需要收集工控系统的设备指纹。工控系统的设备指纹是工控系统设备的固有属性及其在工控网络中进行通讯时留下的痕迹。工控系统的设备指纹包括但不限于设备厂商、设备类型、设备型号、设备名称、IP地址、MAC地址、使用的端口、使用的工控协议、固件版本、模块信息、特征码、订货号、序列号、操作系统等。

因为工控设备的厂商和型号非常多，所使用的工控协议规约也各有不同，所以通过基于协议的工控系统指纹逆向识别得到工控系统的相关指纹后，导致每个工控协议获取的指纹参数错综复杂，这将导致后期对于指纹信息二次利用的价值无法良好体现。

发明内容

鉴于以上存在的技术问题，本发明用于提供一种工控设备指纹归一化方法。

为解决上述技术问题，本发明采用如下的技术方案：

一种工控设备指纹归一化方法，包括以下步骤：

旁路镜像方式获得工控设备信息，通过镜像交换机，待测工控设备之间进行业务相关的网络通讯，由工控设备探测装置分析待测工控设备之间的网络通讯流量，获得待测工控设备的指纹信息；

主动探测方式获得工控设备信息，工控设备探测装置采用传统的网络端口信息获取技术，通过交换机与待测工控设备发生网络通讯进行主动探测，来获取待测工控设备的工控指纹信息；

将记录下来的设备信息，既有来自旁路镜像方式获得的信息，也有来自主动探测方式获得的信息，对信息进行汇总；