一种基于主动探测的工控设备指纹提取与识别方法

技术领域

本发明涉及工业控制技术领域，具体涉及一种基于主动探测的工控设备指纹提取与识别方法。

背景技术

一提到工业控制，大多数人都会想到企业、制造、工厂等一系列庞大的词汇，殊不知，它与我们每个人的生活都息息相关。在我们的日常生活中，小到网络电视、机顶盒、智能热水器、智能水表、ATM机、交通红绿灯控制，大到气象预报、楼宇视频监控、航空飞行控制、地震预警等，这些都离不开工业控制系统的支撑。

伴随着第四次工业革命的到来，传统工业逐渐向互联网模式的智能化方向发展，工业控制系统已经成为人们生活和工作中不可或缺的一部分。置身于互联网的浪潮，来自外部的恶意攻击与威胁无处不在。而在工业控制系统的数据传输过程中，大多都是明文，未进行严格的加密操作，这样很容易被黑客攻击，例如恶意篡改文件导致设备无法使用，或者伪造数据引起系统瘫痪。更糟糕的是攻击者通过木马移植将恶意程序或病毒嵌入到设备中，以此盗取企业的内部信息，进而勒索、变卖企业信息，对企业造成无法挽回的损失。因此针对工业控制系统信息安全方面的防护，保障工业控制系统的稳定运行，是工控行业的重中之重。

目前比较出名的利用指纹识别技术进行资产识别的扫描引擎有SHODAN、白帽汇（FOFA）、钟馗之眼（ZOOMEYE），扫描工具有NMAP，但由于工控协议众多且存在大量的私有协议，这些扫描引擎和工具并不能完全满足工控系统的识别能力。因此在提升工业控制系统的识别能力方面，还任重道远。

发明内容

针对现有技术中的上述不足，本发明提供的一种基于主动探测的工控设备指纹提取与识别方法解决了工业控制系统的识别能力较差的问题。

为了达到上述发明目的，本发明采用的技术方案为：一种基于主动探测的工控设备指纹提取与识别方法，包括以下步骤：

S1、利用工业控制协议脚本对指定的IP段或端口进行扫描，通过各协议将扫描结果进行校验并格式化处理后，与加载在内存中的指纹信息按协议名称进行匹配；

S2、若匹配成功，则将该设备的厂商、类型和型号信息标识出来，将扫描到的设备信息存放在数据库中；

S3、若匹配未成功，则通过检索提取该设备的厂商、类型、型号和指纹唯一标识符信息，在信息验证无误后，录入到指纹数据库中；

S4、通过系统周期性执行加载指纹数据库中的指纹信息到内存的任务，使指纹信息能及时与扫描数据进行匹配。

进一步地：所述步骤S1中IP段的指定方式包括直接指定和按区域指定。

进一步地：所述步骤S1中同一协议的扫描结果属性具有相似性，不同协议的扫描结果属性相互独立，各协议针对自己的扫描结果进行数据校验，校验通过则进行格式化处理，否则舍弃。

进一步地：所述步骤S1中格式化处理后保留的关键信息包括识别型号、厂商、版本、设备名称、设备状态、设备编号、操作系统和序列号。

进一步地：所述步骤S1中匹配的方法为：将指纹信息按协议分类，避免不同协议的指纹雷同，并制定关键字段进行指纹匹配，提高匹配的准确率。

进一步地：所述步骤S4中指纹数据库的构建方法为：

从设备数据中筛选出未匹配指纹的原始设备数据，结合各协议的扫描结果属性以及设备相关资料，从中提取出能唯一识别该设备的特征信息，确定设备的厂商、类型、型号，并标识出来；

将特征信息按照指定格式进行加密处理，把厂商、类型、型号和加密数据按协议分类录入到指纹数据库中。

进一步地：所述步骤S4的具体步骤为：

S41、通过直接访问指纹数据库或调用接口的方式，从指纹数据库中将指纹信息提取出来，并得到指纹匹配信息；

S42、将指纹匹配信息以加密的形式存放在指纹数据库中，防止信息泄露；

S43、获取到指纹数据库后，对指纹匹配信息进行解密，并按照指定格式存放在内存中以供调用；

S44、周期性加载指纹数据到系统内存，使用最新的指纹与扫描数据进行匹配。

本发明的有益效果为：本发明通过工控协议脚本主动探测的方式，能准确快速地发现设备，为提取设备指纹信息提供了重要的数据依据。专业人员能针对性的从协议原始数据中提取设备指纹信息，提升员工工作效率的同时也保障了指纹数据的准确性、全面性。通过提取的指纹，能定位出设备的厂商、类型或型号，从而发现设备的脆弱性以及可能遭受的攻击类型，为工业控制体系的稳定、高速、智能化发展道路打下良好的基础。

附图说明

图1为本发明工作原理图；

图2为本发明中指纹数据表结构及厂商数据表结构。

具体实施方式

下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

如图1所示，一种基于主动探测的工控设备指纹提取与识别方法，包括以下步骤：

S1、利用工业控制协议脚本对指定的IP段或端口进行扫描，通过各协议将扫描结果进行校验并格式化处理后，与加载在内存中的指纹信息按协议名称进行匹配；

系统调用工控协议脚本去主动探测指定的IP和端口：

目标IP有两种指定方式，一是直接指定IP或IP段，二是按区域，按区域时，系统会去存活IP表中获取该区域所有的IP；

工控协议的目标端口基本都是固定的，系统会给每个协议配置默认端口，同时用户也可以自定义协议的扫描端口。

将扫描结果进行数据校验并格式化处理：

同一协议的扫描结果属性具有相似性，不同协议的扫描结果属性相互独立，各协议针对自己的扫描结果进行数据校验，校验通过则进行格式化处理，否则舍弃；

如图2所示，数据格式化后保留的关键信息可以是设备型号、厂商、版本、设备名称、设备状态、设备编号、操作系统、序列号等。

将格式化处理后的数据与该协议的指纹进行匹配：

指纹信息按协议分类，避免不同协议的指纹雷同，造成设备识别错误；

指定关键字段进行指纹匹配，提高匹配的准确率。

S2、若匹配成功，则将该设备的厂商、类型和型号信息标识出来，将扫描到的设备信息存放在数据库中；

S3、若匹配未成功，则通过检索提取该设备的厂商、类型、型号和指纹唯一标识符信息，在信息验证无误后，录入到指纹数据库中；

S4、通过系统周期性执行加载指纹数据库中的指纹信息到内存的任务，使指纹信息能及时与扫描数据进行匹配。具体步骤为：

S41、通过直接访问指纹数据库或调用接口的方式，从指纹数据库中将指纹信息提取出来，并得到指纹匹配信息；

S42、将指纹匹配信息以加密的形式存放在指纹数据库中，防止信息泄露；

S43、获取到指纹数据库后，对指纹匹配信息进行解密，并按照指定格式存放在内存中以供调用；

S44、周期性加载指纹数据到系统内存，使用最新的指纹与扫描数据进行匹配。

专业人员从设备数据库中筛选出未匹配指纹的原始设备数据，结合各协议的扫描结果属性以及设备相关资料，从中提取出能唯一识别该设备的特征信息；若能确定设备的厂商、类型、型号，则一并标识出来；

将特征信息按指定格式进行加密处理，把厂商、类型、型号、加密数据按协议分类录入到指纹数据库中；

为提高匹配的精确度，同一协议的指纹数据匹配时有优先级之分，数值越大，优先级越高。

本发明通过工控协议脚本主动探测的方式，能准确快速地发现设备，为提取设备指纹信息提供了重要的数据依据。专业人员能针对性的从协议原始数据中提取设备指纹信息，提升员工工作效率的同时也保障了指纹数据的准确性、全面性。通过提取的指纹，能定位出设备的厂商、类型或型号，从而发现设备的脆弱性以及可能遭受的攻击类型，为工业控制体系的稳定、高速、智能化发展道路打下良好的基础。