本發(fā)明屬于電通訊技術(shù)領(lǐng)域，涉及一種工控設(shè)備資產(chǎn)探測(cè)方法。一種基于過(guò)濾技術(shù)的工控設(shè)備資產(chǎn)探測(cè)方法，包括：首先使用Shodan過(guò)濾出目標(biāo)網(wǎng)段中未被識(shí)別為工控設(shè)備的IP；對(duì)所述IP使用主動(dòng)探測(cè)進(jìn)行掃描，將主動(dòng)探測(cè)的結(jié)果存入數(shù)據(jù)庫(kù)，此時(shí)數(shù)據(jù)庫(kù)中就是所需要的探測(cè)結(jié)果。本發(fā)明提出的基于過(guò)濾技術(shù)的工控資產(chǎn)設(shè)備探測(cè)方法，能夠?qū)δ繕?biāo)網(wǎng)段中的工控設(shè)備進(jìn)行較為全面的探測(cè)，為資產(chǎn)探測(cè)過(guò)程提供了新思路。

技術(shù)領(lǐng)域

本發(fā)明屬于電通訊技術(shù)領(lǐng)域，涉及一種工控設(shè)備資產(chǎn)探測(cè)方法。

背景技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，越來(lái)越多的工控設(shè)備接入到互聯(lián)網(wǎng)當(dāng)中，隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，對(duì)工控網(wǎng)絡(luò)的安全管理帶來(lái)了極大的不便。工控設(shè)備資產(chǎn)探測(cè)不僅為網(wǎng)絡(luò)安全監(jiān)控、威脅態(tài)勢(shì)感知提供了系統(tǒng)認(rèn)知基礎(chǔ)，而且在提高入侵檢測(cè)系統(tǒng)的效率、安全威脅分析等方面也有較多應(yīng)用。

目前，資產(chǎn)探測(cè)的方法主要分為三種，主動(dòng)探測(cè)，被動(dòng)探測(cè)和基于搜索引擎的非入侵式探測(cè)方法。主動(dòng)探測(cè)的方法是指通過(guò)主動(dòng)向目標(biāo)網(wǎng)絡(luò)發(fā)送構(gòu)造的數(shù)據(jù)包，并從返回的數(shù)據(jù)包的相關(guān)信息中提取目標(biāo)指紋，然后與指紋數(shù)據(jù)庫(kù)中的指紋進(jìn)行比對(duì)來(lái)實(shí)現(xiàn)對(duì)開(kāi)放端口、操作系統(tǒng)、服務(wù)以及應(yīng)用類(lèi)型的探測(cè)。被動(dòng)探測(cè)是指采集目標(biāo)網(wǎng)絡(luò)的流量對(duì)流量中數(shù)據(jù)包中的特殊字段或者指紋特征進(jìn)行分析，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資產(chǎn)信息的探測(cè)。基于搜索引擎的探測(cè)是指依托與搜索引擎獲取的網(wǎng)絡(luò)爬蟲(chóng)結(jié)果或?qū)Ｓ梅?wù)器掃描結(jié)果，提供一種搜索查詢(xún)的方式間接的實(shí)現(xiàn)資產(chǎn)探測(cè)。

主動(dòng)探測(cè)方法適用于各種規(guī)模的網(wǎng)絡(luò)，探測(cè)速度快，且能夠探測(cè)不產(chǎn)生網(wǎng)絡(luò)流量的資產(chǎn)，但是噪聲大，對(duì)于工控設(shè)備而言，大量網(wǎng)絡(luò)流量噪聲很容易對(duì)需要持續(xù)運(yùn)行的工控系統(tǒng)造成影響，且僅能了解探測(cè)當(dāng)時(shí)的情況；被動(dòng)探測(cè)方法入侵性小，支持歷史數(shù)據(jù)的積累，但應(yīng)用范圍僅限于內(nèi)網(wǎng)，對(duì)不產(chǎn)生網(wǎng)絡(luò)流量的資產(chǎn)無(wú)效。基于搜索引擎的非入侵式探測(cè)隱蔽性強(qiáng)，速度快但是探測(cè)能力受限于搜索引擎的數(shù)據(jù)獲取能力，準(zhǔn)確率相對(duì)較低。

發(fā)明內(nèi)容

基于現(xiàn)有探測(cè)方式中存在的問(wèn)題，本發(fā)明提出了一種基于過(guò)濾技術(shù)的混合探測(cè)方法，解決基于搜索引擎的探測(cè)方法中存在的受限于搜索引擎的數(shù)據(jù)獲取能力，并且準(zhǔn)確率較低的問(wèn)題，能夠?qū)崿F(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)更準(zhǔn)確，更全面的探測(cè)。

本發(fā)明解決其技術(shù)問(wèn)題采用的技術(shù)方案是：一種基于過(guò)濾技術(shù)的工控設(shè)備資產(chǎn)探測(cè)方法，包括：首先使用Shodan過(guò)濾出目標(biāo)網(wǎng)段中未被識(shí)別為工控設(shè)備的IP；對(duì)所述IP使用主動(dòng)探測(cè)進(jìn)行掃描，將主動(dòng)探測(cè)的結(jié)果存入數(shù)據(jù)庫(kù)，此時(shí)數(shù)據(jù)庫(kù)中就是所需要的探測(cè)結(jié)果。

優(yōu)選地，所述的首先使用Shodan過(guò)濾出目標(biāo)網(wǎng)段中未被識(shí)別為工控設(shè)備的IP具體方法為：使用API對(duì)目標(biāo)網(wǎng)段的IP進(jìn)行探測(cè)，對(duì)返回的信息進(jìn)行解析，從中獲取開(kāi)放工控協(xié)議端口的IP，并將IP和對(duì)應(yīng)的資產(chǎn)信息存入數(shù)據(jù)庫(kù)；使用全球IP數(shù)據(jù)庫(kù)，篩選出目標(biāo)網(wǎng)段中的有效IP，根據(jù)已經(jīng)確定的工控IP,過(guò)濾出未被判定的有效IP。

優(yōu)選地，對(duì)所述IP使用主動(dòng)探測(cè)進(jìn)行掃描的具體方法為：對(duì)過(guò)濾出未被判定的有效IP進(jìn)行端口探活；根據(jù)工控協(xié)議的通信方式和數(shù)據(jù)報(bào)文形式來(lái)構(gòu)造數(shù)據(jù)包，向探測(cè)到確實(shí)存活的IP發(fā)送構(gòu)造好的數(shù)據(jù)包，并開(kāi)啟接收數(shù)據(jù)包和分析數(shù)據(jù)包的線程。

優(yōu)選地，所述的工控協(xié)議包括Modbus、S7、Dnp3以及BACnet。

本發(fā)明提出的基于過(guò)濾技術(shù)的工控資產(chǎn)設(shè)備探測(cè)方法，能夠?qū)δ繕?biāo)網(wǎng)段中的工控設(shè)備進(jìn)行較為全面的探測(cè)，為資產(chǎn)探測(cè)過(guò)程提供了新思路，有益效果為：使得用戶(hù)能夠更全面的探測(cè)到目標(biāo)網(wǎng)絡(luò)中的工控設(shè)備；提高了工控資產(chǎn)探測(cè)的正確率；提出了“過(guò)濾”探測(cè)的技術(shù)，提供了資產(chǎn)探測(cè)的新思路。

附圖說(shuō)明

圖1是本發(fā)明的基于過(guò)濾技術(shù)的工控設(shè)備資產(chǎn)探測(cè)方法的流程圖；

圖2是Shodan搜索流程圖。

具體實(shí)施方式