[发明专利]一种工业设备指纹的识别方法

说明书

本发明实施例公开了一种工业设备指纹的识别方法，首先通过镜像口采集网络中的流量数据，提取某个MAC地址的数据流，解析数据流中的协议，进一步统计出每种协议的流量速率和协议报文响应速率。根据统计出来的信息，去匹配工业设备指纹知识库，如果未匹配中，则作为一种未知设备指纹加入到知识库中，通过人工干预，增加知识库容量。如果匹配中，则完成工业设备指纹的识别。本发明实施例提供一种工业设备指纹的识别方法，以解决现有技术中，由于主动式工业设备指纹识别引起工业控制网络流量激变和工业设备处理报文的负载增加，进而导致的工业控制系统工作异常的问题。

技术领域

本发明实施例涉及电子工业技术领域，具体涉及一种工业设备指纹的识别方法。

背景技术

工业新时代已经到来，从智能工厂到智能生产，实现智能化生产系统及过程，以及网络化分布式生产设施。要求工控现场的可靠性、稳定性、安全性、智能化、可控性、生产网络拓扑结构的监控以及现场设备型号、位置、性能、信息的采集就变得尤其重要。每一台终端设备也都拥有独特的特征，这些独特的属性，在终端设备与外界通讯的过程中都会体现出来。追踪设备通信行为，并用先进的数据模型分析其特征，就能准确识别和关联设备，就像每个人具有独一无二的指纹一样，设备的各项数据信息，组合在一起就构成了唯一标示这台设备的设备指纹信息。

当前，工业控制网络中的工业设备的指纹识别，主要依赖主动发包扫描的方式来实现，在实验室环境下，这种方式是没有问题的。但是，在实际工业现场中。由于主机扫描的机制需要给工业控制网络中的工业设备发送探测报文，可能会引起工业控制网络流量激变和工业设备处理报文的负载增加，从而导致工业控制系统的工作异常。例如，在SCADA系统中，主动式扫描可能造成系统过载。主动式扫描会使设备处理的报文数量增长，工业设备如PLC、IED、 DTU和RTU无法及时处理激增的流量，从而导致正常请求无法响应。因此，需要工业设备指纹识别的方法可以无损的自动识别工业控制系统中工业设备指纹的目的。

发明内容

为此，本发明实施例提供一种工业设备指纹的识别方法，以解决现有技术中，由于主动式工业设备指纹识别引起工业控制网络流量激变和工业设备处理报文的负载增加，进而导致的工业控制系统工作异常的问题。

为了实现上述目的，本发明实施例提供如下技术方案：

根据本发明实施例公开的一种工业设备指纹的识别方法，包括以下步骤：

S101、首先构建一个工业设备指纹知识库；S102、采集工业控制网络中的流量数据；S103、按照流量数据的源物理地址的不同，对流量数据进行分类和汇总；S104、对每个工业设备中的流量数据进行识别，然后按照流量数据协议的不同分开进行统计；S105、计算该工业设备的每种协议的流量速率和报文的平均响应频率；S106、针对该工业设备的指纹信息，先取该设备的物理地址前 3个字节提取该设备的组织唯一标识符，然后在工业设备指纹知识库中匹配该组织唯一标识符，如果工业设备指纹知识库中没有匹配的条目，则匹配失败；如果工业设备指纹知识库中有匹配的条目，则进入下一步骤；S107、取该工业设备每种协议的流量速率和报文响应频率去跟工业设备指纹知识库中匹配设备的流量速率和报文响应速率相对比，如匹配成功且推出匹配过程，否则进入下一步骤；S108、判断该信息是否是工业设备指纹知识库中最后一条信息，如果是，则匹配结束；否则取工业设备指纹知识库中的下一条信息进入步骤S107 中的处理流程。

进一步地，在S101中，所述工业设备指纹知识库包括的维度信息有生产厂商、产品型号、OUI信息、协议种类、每种协议的流量速率和\或每种协议的报文响应频率。

进一步地，在S102中，需要通过交换机的镜像端口对工业控制网络中的流量数据进行采集。

进一步地，在S103中，汇总的源物理地址一致的流量数据即表示某个工业设备的总流量。