工业控制网络中的接入设备识别方法及装置与流程

1.本技术涉及网络安全技术领域，具体涉及一种工业控制网络中的接入设备识别方法及装置。


背景技术：

2.接入设备，是指办公电脑、手机、可编程逻辑控制器等各类能够接入到网络中的设备。当接入设备为未经许可，即非法接入内部网络的设备时，会给安全敏感的内部网络形成一个后门，攻击者可以通过后门对一个受保护的网络进行访问，从而绕开防火墙等安全措施，导致对内部网络安全带来极大威胁。
3.为了检测接入设备是否为非法接入，相关技术中，通常采用登录认证或主动扫描技术，来判断接入设备的接入是否合法。其中，登录认证是通过限制未经授权的设备接入内部网络，来从根源上杜绝非法接入设备的接入行为，而主动扫描技术则是针对接入设备发送特制的数据包，再根据接入设备的反应来发现网络中未经授权的非法接入设备。然而，由于工业控制网络是由可编程逻辑控制器等工业控制设备组成，而工业控制设备的网络协议栈功能单一，无法实现登录认证逻辑，且工业控制设备的内存较小，网络处理能力不强，其协议栈实现并不完善，使用主动扫描技术可能导致工业控制设备死机。因此，相关技术无法有效地识别工业控制网络中的接入设备接入工业控制网络的合法性。


技术实现要素：

4.本技术旨在至少解决相关技术中存在的技术问题之一。为此，本技术提出一种工业控制网络中的接入设备识别方法，能够在不影响工业控制网络运行稳定性的前提下，准确识别工业控制网络的接入设备接入工业控制网络的合法性。
5.本技术还提出一种工业控制网络中的接入设备识别装置。
6.本技术还提出一种电子设备。
7.本技术还提出一种计算机可读存储介质。
8.根据本技术第一方面实施例的工业控制网络中的接入设备识别方法，包括：
9.对工业控制网络进行被动嗅探，获取包括至少一个数据包的数据报文；
10.根据所述数据报文的各数据包中目标数据包的源i p地址，确定所述工业控制网络中与所述数据报文对应的接入设备的设备标识符；
11.将所述设备标识符与预设设备列表中的各目标设备的设备信息进行匹配，确定所述接入设备接入所述工业控制网络的合法性识别结果；
12.其中，所述目标设备为合法接入所述工业控制网络的工业控制设备。
13.本技术实施例提供的工业控制网络中的接入设备识别方法，通过对工业控制网络进行被动嗅探，获取包括各数据包的数据报文，并根据各数据包中目标数据包的源i p地址，来确定发送该数据报文的接入设备的设备标识符后，根据该设备标识符与预设设备列表中各目标设备的设备信息的匹配结果，来确定接入设备接入工业控制网络的合法性识别
结果，从而通过被动嗅探的方式，无需对工业控制网络进行更改，便可在工业控制网络运行的过程中被动探测接入设备的接入是否合法，进而在不影响整个工业控制网络运行稳定性的前提下，准确识别工业控制网络的接入设备接入工业控制网络的合法性，保障工业控制网络的运行安全。
14.根据本技术的一个实施例，所述对工业控制网络进行被动嗅探，获取包括至少一个数据包的数据报文，包括：
15.根据接入所述工业控制网络的旁路的嗅探器，对工业控制网络进行被动嗅探，获取包括至少一个数据包的数据报文。
16.根据本技术的一个实施例，所述对工业控制网络进行被动嗅探，获取包括至少一个数据包的数据报文，包括：
17.对工业控制网络进行被动嗅探，获取运输层报文；
18.将所述运输层报文中的数据包进行流重组，生成所述数据报文。
19.根据本技术的一个实施例，根据所述数据报文的各所述数据包中目标数据包的源i p地址，确定所述工业控制网络中与所述数据报文对应的接入设备的设备标识符，包括：
20.从所述目标数据包中，获取所述源i p地址；
21.确定所述源i p地址与所述工业控制网络的内网地址集合相匹配，将所述源i p地址确定为目标i p地址；
22.根据所述目标i p地址，确定所述接入设备的设备标识符；
23.其中，所述内网地址集合包括至少一个内网地址元素，所述内网地址元素为内部网络i p地址或内部网络i p地址段。
24.根据本技术的一个实施例，确定所述源i p地址与所述工业控制网络的内网地址集合相匹配，将所述源i p地址确定为目标i p地址，包括：
25.确定所述源i p地址与所述工业控制网络的内网地址集合相匹配，从所述目标数据包中获取ttl字段；
26.确定所述ttl字段为预设值，将所述源i p地址确定为目标i p地址。
27.根据本技术的一个实施例，根据所述目标i p地址，确定所述接入设备的设备标识符，包括：
28.将所述源i p地址与预设dhcp地址集合进行匹配；
29.确定所述目标i p地址与预设dhcp地址集合不匹配，将所述目标i p地址作为所述接入设备的设备标识符；
30.其中，所述预设dhcp地址集合为所述内网地址集合的子集。
31.根据本技术的一个实施例，还包括：
32.确定所述目标i p地址与预设dhcp地址集合相匹配，从所述目标数据包中提取源mac地址；
33.将所述源mac地址确定为所述接入设备的设备标识符。
34.根据本技术的一个实施例，还包括：
35.确定所述合法性识别结果为合法接入，根据所述数据报文的接收时间，更新各所述目标设备的设备信息中，包括有所述设备标识符的目标设备信息在所述预设设备列表中的活跃时间；
36.其中，所述活跃时间为预设活跃期限的起始时间，所述预设活跃期限为所述目标设备的设备信息在所述预设设备列表中的可存储时长。
37.根据本技术的一个实施例，还包括：
38.确定所述合法性识别结果为非法接入，记录所述接入设备的设备信息并生成告警信息。
39.根据本技术的一个实施例，还包括：
40.确定所述告警信息为误告警，将所述接入设备的设备信息同步至所述预设设备列表。
41.根据本技术第二方面实施例的工业控制网络中的接入设备识别装置，包括：
42.数据报文获取模块，用于对工业控制网络进行被动嗅探，获取包括至少一个数据包的数据报文；
43.设备标识确定模块，用于根据所述数据报文的各所述数据包中目标数据包的源i p地址，确定所述工业控制网络中与所述数据报文对应的接入设备的设备标识符；
44.接入设备识别模块，用于将所述设备标识符与预设设备列表中的各目标设备的设备信息进行匹配，确定所述接入设备接入所述工业控制网络的合法性识别结果；
45.其中，所述目标设备为合法接入所述工业控制网络的工业控制设备。
46.根据本技术第三方面实施例的电子设备，包括处理器和存储有计算机程序的存储器，所述处理器执行所述计算机程序时实现上述任一实施例所述的工业控制网络中的接入设备识别方法。
47.根据本技术第四方面实施例的计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一实施例所述的工业控制网络中的接入设备识别方法。
48.根据本技术第五方面实施例的计算机程序产品，包括：所述计算机程序被处理器执行时实现如上述任一实施例所述的工业控制网络中的接入设备识别方法。
49.本技术实施例中的上述一个或多个技术方案，至少具有如下技术效果之一：
50.通过对工业控制网络进行被动嗅探，获取包括数据包的数据报文，并根据各数据包中目标数据包的源i p地址，来确定发送该数据报文的接入设备的设备标识符后，根据该设备标识符与预设设备列表中各目标设备的设备信息的匹配结果，来确定接入设备接入工业控制网络的合法性识别结果，从而通过被动嗅探的方式，无需对工业控制网络进行更改，便可在工业控制网络运行的过程中被动探测接入设备的接入是否合法，进而在不影响整个工业控制网络运行稳定性的前提下，准确识别工业控制网络的接入设备接入工业控制网络的合法性，保障工业控制网络的运行安全。
51.进一步的，通过接入工业控制网络的旁路的嗅探器，对工业控制网络进行被动嗅探，来获取包括至少一个数据包的数据报文，从而在获取数据报文时，不会影响现有的工业控制网络结构。同时由于被动嗅探是获取从镜像口拷贝过来的数据包，对原始数据包不会造成延时，因此也不会对工业控制网络的网速造成任何影响。此外，由于服务器是通过旁路来对工业控制网络进行被动嗅探，因此当服务器一旦故障或者停止运行，也不会对现有的工业控制网络造成影响，保障工业控制网络的运行安全。
52.进一步的，通过对工业控制网络进行被动嗅探，获取运输层报文后，将运输层报文
中的数据包进行流重组，生成数据报文，从而通过对获取到的运输层报文的数据包进行流重组的方式，来生成记录有同一接入设备发送的至少一个数据包的数据报文，进而避免获取到的数据报文中存在数据包失序和数据包重复的问题。
53.进一步的，通过在获取数据报文后，从数据报文的任一目标数据包中，获取源i p地址，将该源i p地址与工业控制网络的内网地址集合进行匹配，并在确定源i p地址与工业控制网络的内网地址集合相匹配时，将该源i p地址确定为目标i p地址，并根据源i p地址，确定接入设备的设备标识符，从而能够准确地筛选出接入内网的接入设备，并有效地确定接入工业控制网络的内网的接入设备的设备标识符，方便后续根据设备标识符对接入设备的接入进行合法性识别。
54.进一步的，通过在确定目标数据包的源i p地址与工业控制网络的内网地址集合相匹配后，从目标数据包中获取ttl字段与预设值进行比对，并在确定ttl字段为预设值时，再将源i p地址确定为目标i p地址，从而使后续根据目标i p地址确定的设备标识符，为发送该目标数据包的接入设备的标识符，确保接入设备识别的准确性，进而保证后续得到的合法性识别结果的有效性。
55.进一步的，通过将目标i p地址与预设dhcp地址集合进行匹配，并在确定目标i p地址与预设dhcp地址集合不匹配后，再将目标i p地址作为接入设备的设备标识符，从而使最终确定的设备标识符不为动态分配的i p地址，确保设备标识符的唯一性，从而提高获取到的设备标识符的准确性。
56.进一步的，通过将目标i p地址与预设dhcp地址集合进行匹配，并在确定目标i p地址与预设dhcp地址集合相匹配后，再从目标数据包中提取源mac地址作为接入设备的设备标识符，从而在目标i p地址为动态分配的i p地址时，将接入设备唯一的源mac地址作为接入设备的设备标识符，确保设备标识符的唯一性，从而提高获取到的设备标识符的准确性。
57.进一步的，通过在确定合法性识别结果为合法接入时，根据数据报文的接收时间，更新各目标设备的设备信息中，包括有设备标识符的目标设备信息在预设设备列表中的活跃时间，从而避免活跃的目标设备的设备信息被删除，减少误告警。
附图说明
58.为了更清楚地说明本技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
59.图1是本技术实施例提供的工业控制网络的拓扑结构示意图；
60.图2是本技术实施例提供的工业控制网络中的接入设备识别方法的流程示意图；
61.图3是本技术实施例中目标i p地址的确定的流程图；
62.图4是对图1的工业控制网络中的接入设备识别方法中设备标识符的确定作进一步细化的流程图；
63.图5是本技术实施例提供的工业控制网络中的接入设备识别装置的结构示意图；
64.图6是本技术实施例提供的电子设备的结构示意图。
具体实施方式
65.为使本技术的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
66.本技术实施例提供的工业控制网络的拓扑图如图1所示。各接入设备100接入工业控制网络中的交换机110，接入设备100可以是工业控制设备，如可编程逻辑控制器等。交换机110上配置有镜像口，服务器120接入交换机110的镜像口，以接入工业控制网络。其中，服务器可以是独立的服务器或者是多个服务器组成的服务器集群来实现，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、cdn、以及大数据和人工智能采样点设备等基础云计算服务的云服务器。
67.当工业控制网络中的接入设备100与工业控制网络中的其他设备建立tcp(transmi ss i on contro l protoco l，传输控制协议)连接时，服务器120可通过镜像口对接入设备100发送的数据包进行被动嗅探，以接收包括有数据包的数据报文。服务器120用于在接收到数据报文后，提取数据报文的各数据包中的目标数据包的源i p地址(i nternet protoco l address，互联网协议地址)，以根据该源i p地址，来获取发送该数据报文的接入设备的设备标识符，如将该源i p地址作为该接入设备的设备标识符。然后，将该设备标识符，与合法接入工业控制网络的工业控制设备的设备信息进行匹配，以根据匹配结果，判断该设备标识符对应的接入设备是否为合法接入工业控制网络。
68.下面，将通过几个具体的实施例对本技术实施例提供的工业控制网络中的接入设备识别方法及装置进行详细介绍和说明。
69.在一实施例中，提供了一种工业控制网络中的接入设备识别方法，该方法应用于如图1所示的服务器，用于识别工业控制网络中的接入设备是否为合法接入。如图2所示，本实施例提供的一种工业控制网络中的接入设备识别方法包括：
70.步骤101，对工业控制网络进行被动嗅探，获取包括至少一个数据包的数据报文；
71.步骤102，根据所述数据报文的各数据包中目标数据包的源i p地址，确定所述工业控制网络中与所述数据报文对应的接入设备的设备标识符；
72.步骤103，将所述设备标识符与预设设备列表中的各目标设备的设备信息进行匹配，确定所述接入设备接入所述工业控制网络的合法性识别结果；
73.其中，所述目标设备为合法接入所述工业控制网络的工业控制设备。
74.通过对工业控制网络进行被动嗅探，获取包括至少一个数据包的数据报文，并根据各数据包中目标数据包的源i p地址，来确定发送该数据报文的接入设备的设备标识符后，根据该设备标识符与预设设备列表中各目标设备的设备信息的匹配结果，来确定接入设备接入工业控制网络的合法性识别结果，从而通过被动嗅探的方式，无需对工业控制网络进行更改，便可在工业控制网络运行的过程中被动探测接入设备的接入是否合法，进而在不影响整个工业控制网络运行稳定性的前提下，准确识别工业控制网络的接入设备接入工业控制网络的合法性，保障工业控制网络的运行安全。
75.在一实施例中，服务器对工业控制网络进行被动嗅探，可以是通过接入工业控制网络的嗅探器，来获取工业控制网络上流经的数据包，如tcp数据包等i p数据包。其中，该
嗅探器可以接入工业控制网络的交换机上。由于交换机可以在某个端口上接收流量，然后在所有其他端口上重新转发该流量，因此，通过将嗅探器接入工业控制网络的交换机，则可以直接捕获所有流经交换机的网络流量，而且，嗅探器还可以长时间安静地监控工业控制网络中的一举一动。
76.在一实施例中，服务器的嗅探器可以是接入工业控制网络的旁路的嗅探器，服务器根据接入工业控制网络的旁路的嗅探器，来对工业控制网络进行被动嗅探，从而获取包括至少一个数据包的数据报文。
77.示例性的，服务器的嗅探器可以通过旁路部署的方式，连接在工业控制网络的交换机配置的镜像口上，以对工业控制网络进行被动嗅探。当在工业控制网络中的接入设备发送数据包时，服务器可以通过该嗅探器，获取包括该数据包的运输层报文。然后根据该运输层报文，得到包括至少一个数据包的数据报文，如将该运输层报文确定为数据报文。
78.通过接入工业控制网络的旁路的嗅探器，对工业控制网络进行被动嗅探，来获取包括至少一个数据包的数据报文，从而在获取数据报文时，不会影响现有的工业控制网络结构。同时由于被动嗅探是获取从镜像口拷贝过来的数据包，对原始数据包不会造成延时，因此也不会对工业控制网络的网速造成任何影响。此外，由于服务器是通过旁路来对工业控制网络进行被动嗅探，因此当服务器一旦故障或者停止运行，也不会对现有的工业控制网络造成影响，保障工业控制网络的运行安全。
79.在一实施例中，由于数据包使用i p来传递它的报文段，而i p不提供重复消除和保证次序正确的功能，因此服务器在通过被动嗅探，获取包括数据包的运输层报文后，需要对获取到的运输层报文的数据包进行流重组，生成包括至少一个数据包的数据报文，以处理获取到的数据包失序和数据包重复等问题。
80.具体的，在通过被动嗅探，从工业控制网络获取运输层报文后，先对该运输层报文的数据包进行解析，以解析出包括源i p地址、源mac地址、源端口号、目的端口号以及i p头中ttl字段值等数据包的配置信息。然后，将解析出来的数据包的配置信息，在记录有其他数据包的配置信息的各预设链表中，查找是否存在某个预设链表记录的配置信息，与解析出来的数据包的配置信息相同。若存在某个预设链表记录的配置信息，与解析出来的数据包的配置信息相同，则将该预设链表作为目标链表，并将该数据包中的tcp数据段添加至目标链表。在将数据包中的tcp数据段添加至目标链表时，需先查找该数据包的顺序号在目标链表中的适当位置，然后再将数据包中的tcp数据段添加至目标链表，使目标链表中的所有tcp数据段按照各tcp数据段对应的各数据包的序号，由小到大进行排序。
81.示例性的，假设通过被动嗅探，从工业控制网络获取到的数据包为数据包pkt1，其解析得到的配置信息包括源i p地址a、目的i p地址b、源端口号c、目的端口号d。此时，将数据包pkt1的配置信息与预设链表记录的配置信息进行匹配，若某个预设链表fb中记录的配置信息与数据包pkt1的配置信息相同，也包括源i p地址a、目的i p地址b、源端口号c、目的端口号d，则将该预设链表fb作为目标链表。并将数据包pkt1的tcp数据段放入该目标链表中。在将数据包pkt1的tcp数据段放入该目标链表时，需将数据包pkt1与目标链表中已有的tcp数据段对应的数据包的序号进行比对，以确定数据包pkt1的tcp数据段的放置位置。例如目标链表中记录有数据包pkt2的tcp数据段，数据包pkt2的序号为2，数据包pkt1的序号为1，则将数据包pkt1的tcp数据段添加在数据包pkt2的tcp数据段之前。
82.在一实施例中，若预设链表记录的配置信息，均与被动嗅探获取到的数据包的配置信息不同，则新增一个预设链表作为目标链表，并将该数据包中的tcp数据段添加至该目标链表。
83.在将数据包中的tcp数据段添加至目标链表后，判断目标链表中的各tcp数据段是否到齐，若到齐，则可将目标链表中各tcp数据段的数据部分进行拼接，从而生成记录有同一接入设备发送的至少一个数据包的数据报文，并释放该目标链表。
84.其中，对于判断目标链表中的各tcp数据段是否到齐，可以是通过获取发送该数据包的接入设备本次tcp连接的第一个数据包的顺序号，以及本次tcp连接的最后一个数据包的顺序号，然后将最后一个数据包的顺序号，与第一个数据包的顺序号的差值，与目标链表中所有tcp数据段的数据部分的长度之和进行比对。若该差值与目标链表中所有tcp数据段的数据部分的长度之和相等，则表示目标链表中的各tcp数据段到齐。
85.通过对工业控制网络进行被动嗅探，获取运输层报文后，将运输层报文中的数据包进行流重组，生成数据报文，从而通过对获取到的运输层报文的数据包进行流重组的方式，来生成记录有同一接入设备发送的至少一个数据包的数据报文，进而避免获取到的数据报文中存在数据包失序和数据包重复的问题。
86.在一实施例中，获取到数据报文后，即可从数据报文中提取任意一个数据包作为目标数据包，并从该目标数据包中，提取该目标数据包的源i p地址。在获取到目标数据包的源i p地址后，将该源i p地址，与服务器预先存储的工业控制网络的内网地址集合进行匹配。其中，该内网地址集合包括至少一个内网地址元素，该内网地址元素为单个内部网络i p地址或内部网络i p地址段。若该内网地址集合中，存在与目标数据包的源i p地址相匹配的内网地址元素，如存在与目标数据包的源i p地址相同的内部网络i p地址，或存在包括目标数据包的源i p地址的内部网络i p地址段，则表示接入设备为内部设备，此时可将该源i p地址确定为目标i p地址，以根据该目标i p地址确定接入设备的设备标识符。如将目标i p地址确定为接入设备的设备标识符，即将该源i p地址确定为该接入设备的设备i d。
87.通过在获取数据报文后，从数据报文的任一目标数据包中，获取源i p地址，将该源i p地址与工业控制网络的内网地址集合进行匹配，并在确定源i p地址与工业控制网络的内网地址集合相匹配时，将源i p地址确定为目标i p地址，并根据目标i p地址，确定接入设备的设备标识符，从而能够准确地筛选出接入内网的接入设备，并有效地确定接入工业控制网络的内网的接入设备的设备标识符，方便后续根据设备标识符对接入设备的接入进行合法性识别。
88.在一实施例中，若目标i p地址与工业控制网络的内网地址集合不匹配，则表示目标数据包为非内网的接入设备发送的数据包，即该目标数据包为经过防火墙等安全措施验证过的数据包，此时可忽略该目标数据包。
89.在根据目标i p地址确定接入设备的设备标识符时，可直接将目标i p地址作为接入设备的设备标识符。然而，由于目标数据包可能是经过转发的数据包，因此此时目标i p地址对应的接入设备，并不一定为生成该目标数据包的接入设备，从而导致接入设备识别不准确，进而影响合法性识别结果的有效性。为此，在一实施例中，如图3所示，确定所述源i p地址与所述工业控制网络的内网地址集合相匹配，将所述源i p地址确定为目标i p地址，
包括：
90.步骤201，确定所述源i p地址与所述工业控制网络的内网地址集合相匹配，从所述目标数据包中获取ttl字段；
91.步骤202，确定所述ttl字段为预设值，将所述源i p地址确定为目标i p地址。
92.在一实施例中，在确定目标数据包的源i p地址与工业控制网络的内网地址集合相匹配后，则从目标数据包中获取ttl(t ime to l i ve，生存时间)字段。然后，将该ttl字段与各预设值进行比对，检测ttl字段是否为某个预设值，以识别该目标数据包是否为经过转发的数据包。其中，预设值包括255、128、64和32。在没有经过修改或转发的情况下，un ix及类un ix操作系统i cmp回显应答的ttl字段值为255，compaq tru64 5.0i cmp回显应答的ttl字段值为64，微软wi ndows nt/2k操作系统i cmp回显应答的ttl字段值为128，微软wi ndows 95操作系统i cmp回显应答的ttl字段值为32，l i nux kerne l 2.2.x&2.4.x i cmp回显应答的ttl字段值为64。因此，若识别到该ttl字段的值为预设值，则表示该目标数据包未经过转发，此时即可确定源i p地址对应的接入设备，为发送该目标数据包的接入设备，从而可将该源i p地址确定为目标i p地址，从而根据目标i p地址确定接入设备的设备标识符。
93.通过在确定目标数据包的源i p地址与工业控制网络的内网地址集合相匹配后，从目标数据包中获取ttl字段与预设值进行比对，并在确定ttl字段为预设值时，再将源i p地址确定为目标i p地址，从而使后续根据目标i p地址确定的设备标识符，为发送该目标数据包的接入设备的标识符，确保接入设备识别的准确性，进而保证后续得到的合法性识别结果的有效性。
94.在一实施例中，若目标数据包的ttl字段与预设值均不匹配，则表示该目标数据包为经过转发的数据包，此时为避免对接入设备的识别结果出错，则可忽略该目标数据包。
95.考虑到内网地址集合中通常会包括一些dhcp(dynami c host conf i gurat i on protoco l，动态主机配置协议)地址，而dhcp地址是动态分配的i p地址，这使得在不同时刻，同一个i p地址可能对应不同的接入设备，从而在将目标i p地址直接确定为该接入设备的设备标识符时，可能出现由于目标i p地址为动态分配的i p地址，导致确定的设备标识符不准确。为此，在一实施例中，根据目标i p地址，确定接入设备的设备标识符，包括：
96.将所述目标i p地址与预设dhcp地址集合进行匹配；
97.确定所述目标i p地址与预设dhcp地址集合不匹配，将所述目标i p地址作为所述接入设备的设备标识符；
98.其中，所述预设dhcp地址集合为所述内网地址集合的子集。
99.在一实施例中，从数据报文的目标数据包中提取源i p地址后，将该源i p地址，与服务器预先存储的工业控制网络的内网地址集合进行匹配。若该源i p地址位于该内网地址集合内，则可将该源i p地址确定为目标i p地址，并将该目标i p地址与预设dhcp地址集合进行匹配。而为确保设备标识符的准确性和有效性，在一实施例中，如图4所示，在确定源i p地址位于内网地址集合内后，可先从目标数据包中获取ttl字段与预设值进行比对，并在确定ttl字段为预设值时，再将源i p地址确定为目标i p地址并与预设dhcp地址集合进行匹配。若该目标i p地址位于该预设dhcp地址集合外，则表示该目标i p地址不为动态分配的i p地址，此时可将该目标i p地址确定为接入设备的设备标识符。
100.通过将目标i p地址与预设dhcp地址集合进行匹配，并在确定目标i p地址与预设dhcp地址集合不匹配后，再将目标i p地址作为接入设备的设备标识符，从而使最终确定的设备标识符不为动态分配的i p地址，确保设备标识符的唯一性，从而提高获取到的设备标识符的准确性。
101.在一实施例中，如图4所示，若确定目标i p地址与预设dhcp地址集合相匹配，则表示该目标i p地址为动态分配的i p地址，此时从目标数据包中提取源mac地址，并将该源mac地址确定为接入设备的设备标识符。
102.通过将目标i p地址与预设dhcp地址集合进行匹配，并在确定目标i p地址与预设dhcp地址集合相匹配后，再从目标数据包中提取源mac地址作为接入设备的设备标识符，从而在目标i p地址为动态分配的i p地址时，将接入设备唯一的源mac地址作为接入设备的设备标识符，确保设备标识符的唯一性，从而提高获取到的设备标识符的准确性。
103.在一实施例中，在获取到接入设备的设备标识符后，将该设备标识符，与服务器存储的预设设备列表中记录的各目标设备的设备信息进行匹配。其中，目标设备为合法接入工业控制网络的工业控制设备，目标设备的设备信息包括目标设备的i p地址、mac地址、设备厂商以及操作系统类型等信息。目标设备的设备信息是通过解析目标设备发送的数据包中的源i p地址、源mac地址以及目标设备tcp连接中tcp syn和syn/ack数据包的指纹信息以及上层协议的指纹特征进行识别后得到。服务器在获取各目标设备的设备信息后，可先将各目标设备的设备信息汇总记录至资产列表中，然后在未识别到非法接入的接入设备时，定时将资产列表中记录的目标设备的设备信息同步至预设设备列表。
104.在将接入设备的设备标识符，与预设设备列表中各目标设备的设备信息进行匹配的过程中，若任一目标设备的设备信息，存在该接入设备的设备标识符，如某一目标设备的设备信息中包括mac地址b，而该接入设备的设备标识符也为mac地址b，则可确定该接入设备为该目标设备，此时可判断接入设备接入工业控制网络的合法性识别结果为合法接入；若各目标设备的设备信息中，均不存在该接入设备的设备标识符，则可确定该接入设备不为任何目标设备，此时可判断接入设备接入工业控制网络的合法性识别结果为非法接入。
105.考虑到部分目标设备可能出现更换的情况，因此为减少冗余信息的存储，各目标设备的设备信息在预设设备列表中设定有对应的预设活跃期限，即目标设备的设备信息在预设设备列表中的可存储时长。若目标设备的设备信息在预设设备列表中的存储时长达到预设活跃期限，则从预设设备列表中直接删除该目标设备，或从资产列表中删除该目标设备，并将删除了该目标设备的资产列表同步至预设设备列表。因此，为避免活跃的目标设备的设备信息被删除，导致后续会出现频繁的误告警的情况，在一实施例中，还包括：
106.确定所述合法性识别结果为合法接入，根据所述数据报文的接收时间，更新各所述目标设备的设备信息中，包括有所述设备标识符的目标设备信息在所述预设设备列表中的活跃时间；
107.其中，所述活跃时间为预设活跃期限的起始时间，所述预设活跃期限为所述目标设备的设备信息在所述预设设备列表中的可存储时长。
108.在一实施例中，在确定接入设备接入工业控制网络的合法性识别结果为合法接入时，则表示该接入设备为某一个目标设备，此时则可将与接入设备对应的目标设备的设备信息，即包括有该接入设备的设备标识符的设备信息，标记为目标设备信息。然后，根据服
务器对该数据报文的接收时间，来更新该目标设备信息在预设设备列表中的活跃时间，从而更新该目标设备信息在预设设备列表中的预设活跃期限的起始时间。
109.示例性的，某一目标设备的设备信息的预设活跃期限为8小时，起始时间为12：00p.m,即该目标设备的设备信息在8:00a.m时会从预设设备列表中删除。若此时确定合法性识别结果为合法接入，数据报文的接收时间为2：00a.m，且该目标设备的设备信息中包括有设备标识符，则将该目标设备的设备信息的起始时间更新为2:00a.m，这样，该目标设备的设备信息会在10:00a.m才会从预设设备列表中删除。
110.通过在确定合法性识别结果为合法接入时，根据数据报文的接收时间，更新各目标设备的设备信息中，包括有设备标识符的目标设备信息在预设设备列表中的活跃时间，从而避免活跃的目标设备的设备信息被删除，减少误告警。
111.在一实施例中，若确定接入设备的合法性识别结果为非法接入，则可确定该接入设备不为已知设备，此时可生成告警信息以提示该接入设备为非法接入。同时，为方便工作人员对该接入设备进行核查，还可以在确定接入设备的合法性识别结果为非法接入时，对该接入设备的设备信息进行记录，例如记录到资产列表中，并进行标记。而由于预设设备列表可以通过同步资产列表得到，因此为避免预设设备列表中记录有非法接入的接入设备的设备信息，当接入设备的合法性识别结果为非法接入时，则停止将资产列表中记录的设备信息同步至预设设备列表。
112.在一实施例中，在记录非法接入的接入设备的设备信息并生成短信或邮件等形式的告警信息后，可将该告警信息和被标记的接入设备的设备信息发送至目标终端，由网络管理员对该接入设备的设备信息进行分析，使网络管理员可在确认该接入设备为非法接入设备时，在防火墙设备上配置acl策略，以封禁非法接入设备的上网权限。在服务器未从目标终端接收到提示告警信息被处理的操作信息之前，不再进行预设设备列表的更新或同步。若服务器从目标终端接收到确定该告警信息被处理的操作信息，则消除该告警信息。若该操作信息表示告警信息为误告警，则在消除该告警信息的同时，将接入设备的设备信息从资产列表中同步至预设设备列表，以将该接入设备的设备信息作为目标设备的设备信息存储至预设设备列表，使后续能够更准确地识别设备接入工业控制网络的合法性。
113.下面对本技术提供的工业控制网络中的接入设备识别装置进行描述，下文描述的工业控制网络中的接入设备识别装置与上文描述的工业控制网络中的接入设备识别方法可相互对应参照。
114.在一实施例中，如图5所示，提供了一种工业控制网络中的接入设备识别装置，包括：
115.数据报文获取模块210，用于对工业控制网络进行被动嗅探，获取包括至少一个数据包的数据报文；
116.设备标识确定模块220，用于根据所述数据报文的各所述数据包中目标数据包的源i p地址，确定所述工业控制网络中与所述数据报文对应的接入设备的设备标识符；
117.接入设备识别模块230，用于将所述设备标识符与预设设备列表中的各目标设备的设备信息进行匹配，确定所述接入设备接入所述工业控制网络的合法性识别结果；
118.其中，所述目标设备为合法接入所述工业控制网络的工业控制设备。
119.通过对工业控制网络进行被动嗅探，获取包括数据包的数据报文，并根据各数据
包中目标数据包的源i p地址，来确定发送该数据报文的接入设备的设备标识符后，根据该设备标识符与预设设备列表中各目标设备的设备信息的匹配结果，来确定接入设备接入工业控制网络的合法性识别结果，从而通过被动嗅探的方式，无需对工业控制网络进行更改，便可在工业控制网络运行的过程中被动探测接入设备的接入是否合法，进而在不影响整个工业控制网络运行稳定性的前提下，准确识别工业控制网络的接入设备接入工业控制网络的合法性，保障工业控制网络的运行安全。
120.在一实施例中，数据报文获取模块210具体用于：
121.根据接入所述工业控制网络的旁路的嗅探器，对工业控制网络进行被动嗅探，获取包括至少一个数据包的数据报文。
122.在一实施例中，数据报文获取模块210具体用于：
123.对工业控制网络进行被动嗅探，获取运输层报文；
124.将所述运输层报文中的数据包进行流重组，生成所述数据报文。
125.在一实施例中，设备标识确定模块220具体用于：
126.从所述目标数据包中，获取所述源i p地址；
127.确定所述源i p地址与所述工业控制网络的内网地址集合相匹配，将所述源i p地址确定为目标i p地址；
128.根据所述目标i p地址，确定所述接入设备的设备标识符；
129.其中，所述内网地址集合包括至少一个内网地址元素，所述内网地址元素为内部网络i p地址或内部网络i p地址段。
130.在一实施例中，设备标识确定模块220具体用于：
131.确定所述源i p地址与所述工业控制网络的内网地址集合相匹配，从所述目标数据包中获取ttl字段；
132.确定所述ttl字段为预设值，将所述源i p地址确定为目标i p地址。
133.在一实施例中，设备标识确定模块220具体用于：
134.将所述目标i p地址与预设dhcp地址集合进行匹配；
135.确定所述目标i p地址与预设dhcp地址集合不匹配，将所述目标i p地址作为所述接入设备的设备标识符；
136.其中，所述预设dhcp地址集合为所述内网地址集合的子集。
137.在一实施例中，设备标识确定模块220还用于：
138.确定所述目标i p地址与预设dhcp地址集合相匹配，从所述目标数据包中提取源mac地址；
139.将所述源mac地址确定为所述接入设备的设备标识符。
140.在一实施例中，接入设备识别模块230还用于：
141.确定所述合法性识别结果为合法接入，根据所述数据报文的接收时间，更新各所述目标设备的设备信息中，包括有所述设备标识符的目标设备信息在所述预设设备列表中的活跃时间；
142.其中，所述活跃时间为预设活跃期限的起始时间，所述预设活跃期限为所述目标设备的设备信息在所述预设设备列表中的可存储时长。
143.在一实施例中，接入设备识别模块230还用于：
144.确定所述合法性识别结果为非法接入，记录所述接入设备的设备信息并生成告警信息。
145.在一实施例中，接入设备识别模块230还用于：
146.确定所述告警信息为误告警，将所述接入设备的设备信息同步至所述预设设备列表。
147.图6示例了一种电子设备的实体结构示意图，如图6所示，该电子设备可以包括：处理器(processor)810、通信接口(commun i cat i on i nterface)820、存储器(memory)830和通信总线840，其中，处理器810，通信接口820，存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的计算机程序，以执行工业控制网络中的接入设备识别方法，例如包括：
148.对工业控制网络进行被动嗅探，获取包括至少一个数据包的数据报文；
149.根据所述数据报文的各数据包中目标数据包的源i p地址，确定所述工业控制网络中与所述数据报文对应的接入设备的设备标识符；
150.将所述设备标识符与预设设备列表中的各目标设备的设备信息进行匹配，确定所述接入设备接入所述工业控制网络的合法性识别结果；
151.其中，所述目标设备为合法接入所述工业控制网络的工业控制设备。
152.此外，上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-on l ymemory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
153.另一方面，本技术实施例还提供一种存储介质，存储介质包括计算机程序，计算机程序可存储在非暂态计算机可读存储介质上，计算机程序被处理器执行时，计算机能够执行上述各实施例所提供的工业控制网络中的接入设备识别方法，例如包括：
154.对工业控制网络进行被动嗅探，获取包括至少一个数据包的数据报文；
155.根据所述数据报文的各数据包中目标数据包的源i p地址，确定所述工业控制网络中与所述数据报文对应的接入设备的设备标识符；
156.将所述设备标识符与预设设备列表中的各目标设备的设备信息进行匹配，确定所述接入设备接入所述工业控制网络的合法性识别结果；
157.其中，所述目标设备为合法接入所述工业控制网络的工业控制设备。
158.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
159.最后应说明的是：以上实施例仅用以说明本技术的技术方案，而非对其限制；尽管参照前述实施例对本技术进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本技术各实施例技术方案的精神和范围。