[发明专利]一种实时的工控被动识别罗克韦尔设备的方法

说明书

本发明公开了一种实时的工控被动识别罗克韦尔设备的方法，涉及资产设备识别技术领域，本方法包括以下步骤：预置罗克韦尔指纹库；初步解析报文；设备基础信息备份；报文深度解析；持续识别工程师站；对比指纹库获得设备信息；本发明的实时的工控被动识别罗克韦尔设备的方法，其指纹库为罗克韦尔工控设备特有的特征，如品牌、系列、匹配字串和分隔符，除了识别操作系统、厂商、端口服务外，还能识别设备的型号、序列码和PLC版本信息；通过被动识别，对罗克韦尔通信协议的应用层报文解析，按不同功能码对报文做分析以获得正确的设备信息。

技术领域

本发明涉及资产设备识别技术领域，具体说是一种实时的工控被动识别罗克韦尔设备的方法。

背景技术

工控设备识别分为主动识别和被动识别，主动识别有以下问题，第一，主动识别需要主动探测获取设备信息，但是如果不知道探测包的组装将无法识别到该设备；第二，主动识别需要接入主网络，在发送探测包时会影响到主网络的通信，可能会对主网络产生攻击，而有些主网络为了安全性如果装有防火墙，则主动识别无法进行；第三，主动识别无法知道操作的设备和被操作的设备，仅对符合主动识别策略的设备进行探测，应用具有局限性；如中国专利CN 106487879A一种基于设备指纹库的网络设备识别方法和装置，其识别方式即为主动识别，其识别方式只能发送报文进行主动探测，一旦设备开启防火墙将无法探测到设备，并且正则表达式无法对工控设备应用协议作出准确的解析。

另外，目前被动识别设备也一般是到传输层为止，识别内容仅仅为操作系统、厂商和端口服务，而其匹配方式也是和内容对应的，主要是操作系统、厂商、端口服务匹配指纹库中的操作系统信息、OUI、端口列表，该匹配方式无法准确获得设备的详细信息如系列、型号、序列码和版本无法准确识别。

罗克韦尔设备是以罗克韦尔PLC控制器为核心的设备，罗克韦尔设备已广泛应用冶金、石油、化工、建材、机械制造、电力、汽车及轻工等各行各业，随着PLC性能价格比的不断提高，其应用领域还在不断扩大，但是目前并没有针对性的、针对工控网络中的罗克韦尔设备的准确识别方法。

另外，采用目前的技术对被动资产识别局限性较大，需要将用户的罗克韦尔设备资产先进行导入操作，并将这些资产的ip地址、型号、类型、操作系统等进行人工维护，再通过分析网络中的数据流，获取五元组，只有五元组匹配上预置的设备库，方可展示设备信息，否则会显示未知设备，这样采用上述方法在新接入设备或者更改设备ip、信息时将无法实时更新罗克韦尔设备库。

发明内容

为解决上述问题，本发明的目的是提供一种实时的工控被动识别罗克韦尔设备的方法。

本发明为实现上述目的，通过以下技术方案实现：

一种实时的工控被动识别罗克韦尔设备的方法，包括以下步骤：

(1)预置罗克韦尔指纹库；

(2)初步解析报文：采集网络环境中的流量数据，解析数据报，提取其源ip，源端口，目的ip，目的端口，ENIP、CIP协议信息；若无法提取上述信息，说明报文无有效信息，过滤该报文，不继续对此报文做进一步处理；

(3)设备基础信息备份：解析ENIP、CIP协议，通过分析设备的MAC地址前三位字节OUI，判断设备是否是罗克韦尔设备：

若是，将源ip、目的ip作为资产ip存储到设备缓存中，并根据报文流的方向，初步判断该资产属于罗克韦尔PLC、罗克韦尔操作员站，资产状态为在线；

若不是，过滤该报文，不继续对此报文做进一步处理；