[发明专利]一种实时的工控被动识别罗克韦尔设备的方法

权利要求书

1.一种实时的工控被动识别罗克韦尔设备的方法，其特征在于：包括以下步骤：

⑴预置罗克韦尔指纹库；

⑵初步解析流量数据：采集网络环境中的流量数据，解析流量数据，提取其源ip，源端口，目的ip，目的端口，ENIP、CIP协议信息；若无法提取上述信息，说明流量数据无有效信息，过滤该流量数据，不继续对此流量数据做进一步处理；

⑶设备基础信息备份：解析ENIP、CIP协议，通过分析设备的MAC地址前三位字节OUI，判断设备是否是罗克韦尔设备：

若是，将源ip、目的ip作为资产ip存储到设备缓存中，并根据流量数据流的方向，初步判断该资产属于罗克韦尔PLC、罗克韦尔操作员站，资产状态为在线；

若不是，过滤该流量数据，不继续对此流量数据做进一步处理；

具体操作步骤为：

初步解析ENIP协议应用层首部两个字节，当这两个字节属于罗克韦尔指令，且此时流量数据中源端口或目的端口为44818，则说明该条流量数据中有罗克韦尔设备操作产生的流；流量数据中对应端口44818的ip为罗克韦尔PLC，另一ip暂定为罗克韦尔操作员站；如同时识别到操作流，则说明设备在线，将在线信息标注到设备库中；

⑷流量数据深度解析：对应答包进一步分析流量数据，获取流量数据的特征码，以及从流量数据中获取信息；

⑸持续识别工程师站：持续识别采集到的流量数据，分析流量数据信息，当功能码为0x4b 0x72、0x4b 0x67，将步骤⑶中获取到的罗克韦尔操作员站更新为罗克韦尔工程师站，存储至设备库；

⑹对比指纹库获得设备信息：根据步骤⑷获取的型号，通过正则表达式匹配步骤⑴中预置的指纹库，匹配到的流量数据则获取系列码，并将得到的设备信息存储到设备库中。

2.根据权利要求1所述的一种实时的工控被动识别罗克韦尔设备的方法，其特征在于：步骤⑴预置罗克韦尔指纹库的具体过程为：

从公共网络中罗克韦尔的所有设备中提取关键信息，并对这些设备的类型、系列做编码，设置匹配流量数据应用层信息的规则，形成指纹库。

3.根据权利要求1所述的一种实时的工控被动识别罗克韦尔设备的方法，其特征在于：步骤⑷流量数据深度解析的具体步骤为：

①分析流量数据头部，获取流量数据功能码，若功能码是0x00 0x63、0x00 0x6F、0x000x70，继续下一步操作，若不是上述功能码则该流量数据对应的设备不是罗克韦尔设备，停止识别过程；

②对功能码0x00 0x63的流量数据，获取其后继的typeid，对typeid 0x00 0x0c的流量数据做设备信息识别处理，其他typeid不做后继处理；

③对功能码0x00 0x6F、0x00 0x70的流量数据，获取其item type；

对item type 0x00 0xb1和0x00 0xb2流量数据，做进一步解析，获取service信息，否则不做后继处理；

对service 0x01的流量数据做设备信息识别处理，否则不做后继处理；

④对步骤②和③识别到的设备信息做备份。

4.根据权利要求3所述的一种实时的工控被动识别罗克韦尔设备的方法，其特征在于：对item type 0x00 0xb1和0x00 0xb2流量数据，做进一步解析，获取service信息的过程为：在item部分之后协议详细信息中的第一个字节后7位为serviceid。

5.根据权利要求3所述的一种实时的工控被动识别罗克韦尔设备的方法，其特征在于：对service 0x01的流量数据做设备信息识别处理的具体过程为：

service 0x01的流量数据，对协议详细信息的第五个字节开始获取参数信息，从参数信息中获取需要的设备信息，参数信息中第1、2个字节表示厂商，3、4个字节表示设备类型，从第15个字节开始为设备型号。