工业控制网络接入设备识别方法、装置、以及系统与流程

本公开涉及信息安全技术领域，尤其涉及一种工业控制网络接入设备识别方法、一种工业控制网络接入设备识别装置、以及一种工业控制网络接入设备识别系统。

背景技术：

随着信息技术的发展，工业控制系统逐步走向开放、互联、通用。很多工业控制协议逐渐运行于工业以太网上，针对工业控制系统的攻击也更加普遍。目前，网络中未知设备检测技术多使用tcp(transmissioncontrolprotocol，传输控制协议)时间戳等相关信息对接入设备识别，根据时间戳与硬件设备偏差的相关性进行未知设备检测。

然而，在工业控制网络中，协议栈可能比较陈旧，并不支持相关的协议选项。例如，现场环境中大部分modbus(工业现场的总线协议)协议运行的tcp/ip协议栈都不支持tcp的时间戳选项。

技术实现要素：

为克服相关技术中存在的问题，本公开提供一种工业控制网络接入设备识别方法、装置、以及系统。根据本公开实施例的第一方面，提供一种工业控制网络接入设备识别方法，包括：获取所述工业控制网络中接入设备的设备信息；以及根据所述设备信息以及接入设备样本数据库，确定所述接入设备是否为未知设备。

根据本公开实施例的第二方面，提供一种工业控制网络接入设备识别装置，包括：获取模块，用于获取所述工业控制网络中接入设备的设备信息；以及识别模块，用于根据所述设备信息以及接入设备样本数据库确定所述接入设备是否为未知设备。

根据本公开实施例的第三方面，提供一种工业控制网络接入设备识别系统，包括：接入设备；以及根据本公开实施例的工业控制网络接入设备识别装置，所述工业控制网络接入设备识别装置与所述接入设备连接。

本公开的实施例提供的技术方案可以包括以下有益效果：提供了一种适用于工业控制网络的接入设备识别方案，一方面能够有效地、准确地、实时地对工业控制网络中接入设备进行识别，从而提高了工业控制网络的安全性(例如避免网络攻击等行为)，另一方面还能够对接入工业控制网络中的接入设备进行有效管理，方便监管。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。

图1是根据一示例性实施例示出的一种工业控制网络接入设备识别系统的架构框图。

图2是根据一示例性实施例示出的一种工业控制网络接入设备识别方法的流程图。

图3是根据一示例性实施例示出的一种工业控制网络接入设备识别方法的流程图。

图4是根据一示例性实施例示出的一种工业控制网络接入设备识别方法的流程图。

图5是根据一示例性实施例示出的一种工业控制网络接入设备识别装置的结构框图。

图6是根据一示例性实施例示出的一种工业控制网络接入设备识别装置的结构框图。

图7是根据一示例性实施例示出的一种工业控制网络接入设备识别装置的结构框图。

图8是根据一示例性实施例示出的一种工业控制网络接入设备识别装置的结构框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。

实施例1

图1是根据一示例性实施例示出的一种工业控制网络接入设备识别系统1000的架构框图，参考图1，所述系统可以用于工业控制网络中，所述工业控制网络接入设备识别系统1000可以包括接入设备200；以及本公开提供的工业控制网络接入设备识别装置100，所述工业控制网络接入设备识别装置100与所述接入设备200连接。所述接入设备200可以是上位机、plc(programmablelogiccontroller，可编程逻辑控制器)等设备，所述工业控制网络接入设备识别装置100可以直接或通过旁路(例如交换机等与接入设备连接的路径)与所述接入设备200连接，以获取所述接入设备的设备信息。

之后，所述工业控制网络接入设备识别装置100可以根据获取的设备信息以及接入设备样本数据库来对该接入设备进行识别，即识别出该接入设备是否为未知设备，如果该接入设备为未知设备，则将该设备的设备信息上报到(例如系统服务器)等，以避免网络攻击等危机系统安全的行为发生；如果该接入设备为已知设备，则可以对设备信息进行记录和存储，以便于设备管理。

应当理解的是，所述接入设备200的数量可以为多个，并不局限于图1中的数量，并且可以将本公开的工业控制网络接入设备识别装置以硬件的形式或者以软件的形式集成在既有系统服务器中。或者，也可以配置具有上述装置的专用识别装置，以满足实际需要。

采用这样的实施例1的系统，一方面能够有效地、准确地、实时地对工业控制网络中接入设备进行识别，从而提高了工业控制网络的安全性(例如避免网络攻击等行为)，另一方面还能够对接入工业控制网络中的接入设备进行有效管理，方便监管。

下面的实施例中将对分别本公开实施例提供的工业控制网络接入设备识别方法进行详细描述。

实施例2

图2是根据一示例性实施例示出的一种工业控制网络接入设备识别方法的流程图，所述方法可以应用于上述系统中的工业控制网络接入设备识别装置，如图2所示，所述方法包括以下步骤。

在步骤s11中，获取所述工业控制网络中接入设备的设备信息。

举例来说，获取上述工业控制网络中接入设备的设备信息，其中所述设备信息可以包括接入设备的设备状态数据和流量数据，以及所述设备状态数据可以包括ip地址、mac地址、协议号、以及应用。

在步骤s12中，根据所述设备信息以及接入设备样本数据库，确定所述接入设备是否为未知设备。

举例来说，根据上述设备信息以及接入设备样本数据库，可以确定所述接入设备是否为未知设备，如果该接入设备为未知设备，则将该设备的设备信息上报到(例如系统服务器)等，以避免网络攻击等危机系统安全的行为发生；如果该接入设备为已知设备，则可以对设备信息进行记录和存储，以便于设备管理。

采用这样的实施例2的方法，一方面能够有效地、准确地、实时地对工业控制网络中接入设备进行识别，从而提高了工业控制网络的安全性(例如避免网络攻击等行为)，另一方面还能够对接入工业控制网络中的接入设备进行有效管理，方便监管。

实施例3

图3是根据一示例性实施例示出的一种工业控制网络接入设备识别方法的流程图，参考图3，在该实施例3中，进一步提供了建立步骤s12中的接入设备样本数据库的一种示例方法步骤，可以进一步包括以下步骤：

在步骤s41中，获取所述工业控制网络中的多个样本接入设备的多个样本设备信息，所述每一个样本设备信息包括样本接入设备的样本设备状态数据和样本流量数据。

举例来说，可以利用深度包检测dpi技术获取多个样本设备状态数据和样本流量数据，所述设备状态数据可以包括ip地址、mac地址、协议号、以及应用。例如，上位机的地址为192.168.1.2，mac地址为01:02:03:04:05:06，使用http上网，使用流量1kb(即对应的样本流量数据)，则可以将设备状态数据定义为向量d1(3232235778,1108152157446,6,1)，其中3232235778和1108152157446分别为ip以及mac转换成数值后的表示、6为协议号、1为应用(由服务由产商自定议)。同理，可以定义plc的设备状态数据d2和对应的样本流量数据、其他设备的设备状态数据d3……dn和对应的样本流量数据，即将向量d1-dn和多个样本流量数据作为样本集，其中n为大于1的正整数。

在步骤s42中，利用k均值聚类算法和所述样本设备状态数据将多个样本接入设备划分为多个簇。

举例来说，k均值聚类算法采用距离作为相似性的评价指标，即认为两个对象的距离越近，相似度就越大。该算法认为簇是由距离靠近的对象组成的。运行时根据聚类数k，在样本集中随机选取k个样本作为初始聚类质心；对样本集中的每个样本，计算其与所有聚类质心的相似度，并将其划分给最相似的簇；然后重新计算各簇的簇内平均值作为新的聚类质心。整个过程重复进行，直到聚类准则函数收敛，完成模型的建立。

作为一种示例，本公开选取余弦距离函数作为聚类准则函数，即对于输入向量与向量使用余弦定理计算最短距离d：

在步骤s43中，根据所述样本流量数据，建立每个簇的流量的正态分布函数作为所述每个簇的流量可信范围。

举例来说，对各簇的设备的样本流量数据，建立每个簇的流量数据的正态分布函数作为所述每个簇的流量可信范围，用于识别流量数据是否位于正常范围内。

在步骤s44中，存储所述多个样本设备信息中每一个样本设备信息、对应的簇以及对应的流量可信范围。

举例来说，存储所述多个样本设备信息中每一个样本设备信息，例如各个向量d1……dn以及对应的流量数据、对应的簇、以及对应的流量可信范围等等。

应当理解的是，本公开所选择的聚类算法以及聚类准则函数仅为说明本发明思想的一种示例，其他能够达到本发明目的的替换算法和函数同样落入本发明的保护范围，例如采用支持向量机进行分类或者采用欧氏距离等建立接入设备样本数据库。

采用这样的实施例3的方法，可以精确地建立接入设备样本数据库，以为后续识别提供模型基础。

实施例4

图4是根据一示例性实施例示出的一种工业控制网络接入设备识别方法的流程图，参考图4，在该实施例4中，进一步提供了步骤s12的一种示例方法步骤，可以进一步包括以下步骤：

在步骤s121中，将所述设备状态数据与在所述接入设备样本数据库中的多个样本接入设备的多个样本设备状态数据进行匹配。

举例来说，如上所述，在步骤s11中获取的设备信息可以包括接入设备的设备状态数据和流量数据，以及所述设备状态数据可以包括ip地址、mac地址、协议号、以及应用。在步骤s121中，可以将所述设备状态数据与在所述接入设备样本数据库中的多个样本接入设备的多个样本设备状态数据进行匹配。例如，将ip地址、mac地址、协议号、以及应用作为检索信息，在上述接入设备样本数据库中进行查询。

在步骤s122中，判断所述设备状态数据是否与上述多个样本设备状态数据中的一者匹配。

在步骤s123中，在所述设备状态数据与所述多个样本设备状态数据中的一者匹配的情况下，确定该样本接入设备的样本设备状态数据所对应的簇为所述接入设备的簇，继续步骤s124；反之，则执行步骤s127。

在步骤s124中，将所述流量数据与所确定的簇对应的流量可信范围进行比较；以及

在步骤s125中，在所述流量数据不满足所述流量可信范围的情况下(即超过流量可信范围)，确定所述接入设备为未知设备，即步骤s126。反之，在所述流量数据满足所述流量可信范围的情况下(即在流量可信范围之内)，确定所述接入设备为已知设备，即步骤s125。

对于步骤s127，在所述设备状态数据与所述多个样本设备状态数据中的任一者均不匹配的情况下，可以利用k均值聚类算法分别计算所述设备状态数据到所述接入设备样本数据库中每一个簇(例如包括i个簇，i为大于1的正整数)的最短距离dmin1……dmini，并找出所计算的各个最短距离中数值最小的最短距离min[dmin1……dmini]，定义为最小值。

在步骤s128中，将最小值所对应的簇确定为所述接入设备所对应的簇。之后，继续执行步骤s124-s126，以确定该接入设备是否为未知设备。

为了进一步提高模型识别的精确性，还可以预先设置一个预定距离阈值，在所述最小值大于预定距离阈值的情况下，确定所述接入设备为未知设备，其中所述预定距离阈值可以根据实际情况进行设置，本公开对此不进行限定。

采用这样的实施例4的方法，能够实现根据接入设备的特性进行精确识别，并且根据不同簇内的流量区分，避免不同类设备流量的干扰，从而一方面提高了工业控制网络的安全性(例如避免网络攻击等行为)，另一方面还能够对接入工业控制网络中的接入设备进行有效管理，方便监管。

实施例5

图5是根据一示例性实施例示出的一种工业控制网络接入设备识别装置100的结构框图。参照图5，所述装置可以包括获取模块11和识别模块12。

该获取模块11被配置为获取所述工业控制网络中接入设备的设备信息。

该识别模块12被配置为根据所述设备信息以及接入设备样本数据库确定所述接入设备是否为未知设备。

图6-8是根据一示例性实施例示出的一种工业控制网络接入设备识别装置100的结构框图，参考图6，更为优选地，所述装置还可以包括：接入设备样本数据库13。

参考图7，所述接入设备样本数据库13可以被配置成包括样本获取单元131、样本分类单元132、可信范围建立单元133、以及样本存储单元134。

该样本获取单元131被配置为获取所述工业控制网络中的多个样本接入设备的多个样本设备信息，所述每一个样本设备信息包括样本接入设备的样本设备状态数据和样本流量数据。

该样本分类单元132被配置为利用k均值聚类算法和所述样本设备状态数据将多个样本接入设备划分为多个簇。

该可信范围建立单元133被配置为根据所述样本流量数据建立每个簇的流量的正态分布函数作为所述每个簇的流量可信范围。以及

该样本存储单元134被配置为存储所述多个样本设备信息中每一个样本设备信息、对应的簇以及对应的流量可信范围。

优选地，所述设备信息可以包括接入设备的设备状态数据和流量数据。

更为优选地，参考图8，所述识别模块12还可以包括：匹配单元121、簇确定单元122、流量比较单元123、以及设备标识单元124。

该匹配单元121被配置为将所述设备状态数据与在所述接入设备样本数据库中的多个样本接入设备的多个样本设备状态数据进行匹配。

该簇确定单元122被配置为在所述设备状态数据与所述多个样本设备状态数据中的一者匹配的情况下确定该样本接入设备的样本设备状态数据所对应的簇为所述接入设备的簇。

该流量比较单元123被配置为将所述流量数据与所确定的簇对应的流量可信范围进行比较。以及

该设备识别单元124被配置为在所述流量数据不满足所述流量可信范围的情况下确定所述接入设备为未知设备。

优选地，所述簇确定单元122进一步被配置为：在所述设备状态数据与所述多个样本设备状态数据中的任一者均不匹配的情况下，利用k均值聚类算法分别计算所述设备状态数据到所述接入设备样本数据库中每一个簇的最短距离；以及将最小值所对应的簇确定为所述接入设备所对应的簇，其中所述最小值为所计算的各个最短距离中数值最小的最短距离。

优选地，所述设备识别单元124进一步被配置为在所述最小值大于所述预定距离阈值的情况下，确定所述接入设备为未知设备。

采用这样的实施例5的装置，能够实现根据接入设备的特性进行精确识别，并且根据不同簇内的流量区分，避免不同类设备流量的干扰，从而一方面提高了工业控制网络的安全性(例如避免网络攻击等行为)，另一方面还能够对接入工业控制网络中的接入设备进行有效管理，方便监管。

关于上述实施例中的装置，其中各个模块和单元执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。