一种网络空间工业控制设备快速检测识别方法技术

技术编号:13569357 阅读:123 留言:0更新日期:2016-08-21 11:23
本发明专利技术公开了一种网络空间工业控制设备快速检测识别方法。本方法为:1)探测器将带有SYN字段的网络传输层TCP探测包发送到IPv4地址空间的每一IP地址,如果有IP地址回复,则将该IP地址加入候选集合;2)探测器将该候选集合中的每一IP地址序列作为一候选目的IP地址,分别发送带有工业控制S7协议字段的探测包和带有工业控制Modbus协议字段的探测包,如果该目的IP地址返回带有工业控制S7协议字段的反馈,则将该目的IP地址标识为运行S7协议的工业控制设备,如果返回带有工业控制Modbus协议字段的反馈,则将该目的IP地址标识为运行Modbus的工业控制设备。本发明专利技术大大提高了设备识别效率。

【技术实现步骤摘要】

本专利技术涉及一种快速网络空间工业控制设备检测方法,属于计算机网络和物联网领域。
技术介绍
物联网是我国战略性新兴产业的重要组成部分,引领了继计算机、互联网和移动通信之后的新一轮信息技术革命,是未来科技竞争的制高点和产业升级的重要驱动力,是加速推进工业化、信息化融合的催化剂。物联网不仅和国民经济建设、社会发展息息相关,也是提高人民生活质量和水平的驱动力,是我国创新驱动发展战略的重要体现。保证物联网安全,也就是保障国家基础设施的安全建设。物理实体设备出现在网络空间,包括网络摄像头,工业控制设备,智能家电,智能手机,路由器,打印机等设备。网络空间的物理设备将自身暴露在公共区域,既推动了社会的发展,工业4.0,智能楼宇,普适计算,办公自动化等等,也带来了安全与隐私问题。物理实体设备,自身存在的漏洞,易被黑客攻击,那么依赖于这些物理设备的实体将会出现灾难性的问题,如工厂停产或错误操控结果造成的实体设施毁坏,引起社会危机和经济损失。另外物理实体设备也会获取、处理、传输隐私数据,如果没有防范措施则会导致隐私的泄露,也会引起社会危机和经济损失。网络空间上的物联网设备的快速发现,可以帮助相关业务企业系统提高安全审计的效率,为物联网系统安全防御的科研工作提供技术支持,为国家安全部门提供安全态势分析。现有的网络空间工业控制设备搜索主要存在以下几个缺陷。首先,整个IPv4的网络空间,包括40亿的地址空间,导致在如此巨大的空间内搜索工业控制设备,会消耗数年的时间,这对于国家基础设施的安全保障来说是不现实的。其次,工业控制设备种类繁多,现有的方法无法知道具体工业控制设备的型号。本专利技术提出了两阶段过程的网络空间工业控制设备快速发现算法。在第一阶段,利用带有SYN字段的TCP数据包,进行工业控制设备的候选集选取,在数据探测包的发送的随机化、快速性和无状态的优势下,可以加快候选集合的发现速度;在第二阶段,提出了Modbus(MODBUS TCP implementation guide,http://www.modbus.org/docs/)和S7(SIMATIC,https://simple.wikipedia.org/wiki/SIMATIC)两种工业控制协议发现的特殊字段,可以在候选集合上快速识别工业控制设备。
技术实现思路
针对已有工作的不足,本专利技术提出了一种基于两阶段过程的网络空间工业控制设备快速检测识别方法。如图1所示,本方法包括两个阶段。在第一阶段,将带有SYN字段的网络传输层TCP探测包发送到IPv4地址空间的每一个IP地址,如果有IP地址回复,那么就将该IP地址加入候选集合,否则跳过这个IP地址。发送TCP探测包,遵守三个条件,无状态性,随机化发送和高速发送。在第二个阶段,候选集合中的IP地址序列作为工业控制设备识别的输入,对每一个候选单元,分别发送带有工业控制S7协议字段的探测包,带有工业控制Modbus协议字段的探测包,如果该IP地址返回带有工业控制S7协议字段的反馈,那么则标识为运行S7协议的工业控制设备,如果返回带有工业控制Modbus协议字段的反馈,则标识为运行Modbus协议的工业控制设备,否则就剔除该IP地址。本方法的基于两阶段过程的工业控制设备快速发现算法,其主要步骤(如图1所示)包括:1.第一阶段,候选集合的快速发现,包括探测包发送的三个特性,无状态性、随机化和快速性;2.第二阶段,带有工业控制协议S7协议字段的探测包,识别工业控制设备;3.第二阶段,带有工业控制协议Modbus协议字段的探测包,识别工业控制设备。1.第一阶段,候选集合的快速发现,包括探测包发送的三个特性,无状态性、随机化和快速性。IPv4具有40亿个地址空间,本方法对每一个IP地址,都发送一个网络层带有SYN字段的TCP探测包。其中探测包没有填充任何数据,这样可以有效减少网络带宽的要求。探测包的包头,其IP目的地址为IPv4地址空间的每一地址,源地址是探测器也就是自身所处的主机位置,并且带有SYN字段,其余包头字段保持默认字段。如果目的IP地址返回带有ACK字段的数据包,那么就将其加入到候选集合,否则跳过该IP地址。其中的三个特性,无状态性、随机化和快速性在下文描述。无状态特性:每个探测包采用网络传输层的TCP包。传统的TCP协议需要源IP地址和目的IP地址建立三次握手协议,才能进行下一个阶段。然后,本方法考虑到整个IPv4巨大的空间,建立三次握手协议会消耗时间,从而使得探测时间大大增强。本方法提出,仅仅发送带有SYN字段的TCP包,其中SYN包是TCP握手协议最后一步,如果收到该TCP探测包的IP地址符合候选集合要求,那么它会返回数据包,否则就跳过。本方法采用无状态特征,可以大大加快设备发现速度。随机化发送:网络空间IPv4地址,是以32字节,以“*.*.201.22”格式。本方法提出采用随机化发送给不同的IP地址,而不是采用顺序的方式进行分发。本方法首先将IPv4的地址空间,采用一个32字节的LONG型变量存储地址(即采用一个32字节的LONG型变量存储地址存储IPv4地址空间的每一地址,其中每一地址对应一LONG型变量),并存储在一个列表中;然后每一个LONG变量,采用随机化函数Random变换成另一个LONG变量,再转换为IP地址进行发送。通过转换成另一个变量可以达到地址随机化的目的,输入到随机化函数的是存储原始IP地址的LONG变量,随机化函数的输出是另一个随机化后的LONG变量;通过利用这种方式可以保证映射的唯一性,原始的顺序的IP地址转换为随机的且不重复的IP地址。快速特性:本方法,为了加快网络空间上工业控制设备的发现速度,提出了发送探测包的速度逼近当前网络环境的上传带宽。本方法的探测速度如以下所示:speed=BandwithByte(packet)]]>其中,Byte()描述探测包的大小,Bandwith是描述当前网络环境的上传带宽;然后以当前网络速度speed随机发送带SYN字段的TCP探测包。因此,本方法采用最大的发包速度。2.第二阶段,带有工业控制协议S7的特殊字段的探测包,识别工业控制设备在步骤1中,我们获得了候选集合。阶段二,将候选集合作为输入,对每一个IP地址,发送带有工业控制协议S7的特殊字段的探测包,如果得到反馈,那么就将该IP地址标识为运行S7协议的工业控制设备。具体过程如图2所示。首先对每一个候选单元(即候选集合中的候选IP地址),进行三次握手建立完整的TCP连接。然后发送带有COTPDST_TSAP字段的包头的探测包,如果候选单元反馈了带有COTP字段的数据包,那么说明探测器已经通过了S7协议认证过程,否则说明探测器不能确定,是没有通过S7设备的认证还是候选单元不是S7设备。探测器探测数次后,如果一直没有过认证,那么就删除该候选单元,如果通过认证。探测器会发送工业控制S7协议的请求,如果得到反馈,探测器表示这个IP地址为运行工业控制S7协议的设备。3.第二阶段,带有工业控制协议Modbus的特殊字段的探测包,识别工业控制设备在步骤1中,我们获得了候选集合。阶段二,将候选集合作为输入,对每一个IP地址,发送带有工业控制协议Modbus的特殊字段的探测包,如果得到反馈,本文档来自技高网
...

【技术保护点】
一种网络空间工业控制设备快速检测识别方法,其步骤为:1)探测器将带有SYN字段的网络传输层TCP探测包发送到IPv4地址空间的每一IP地址,如果有IP地址回复,则将该IP地址加入候选集合;2)探测器将该候选集合中的每一IP地址序列作为一候选目的IP地址,分别发送带有工业控制S7协议字段的探测包和带有工业控制Modbus协议字段的探测包,如果该目的IP地址返回带有工业控制S7协议字段的反馈,则将该目的IP地址标识为运行S7协议的工业控制设备,如果返回带有工业控制Modbus协议字段的反馈,则将该目的IP地址标识为运行Modbus的工业控制设备。

【技术特征摘要】
1.一种网络空间工业控制设备快速检测识别方法,其步骤为:1)探测器将带有SYN字段的网络传输层TCP探测包发送到IPv4地址空间的每一IP地址,如果有IP地址回复,则将该IP地址加入候选集合;2)探测器将该候选集合中的每一IP地址序列作为一候选目的IP地址,分别发送带有工业控制S7协议字段的探测包和带有工业控制Modbus协议字段的探测包,如果该目的IP地址返回带有工业控制S7协议字段的反馈,则将该目的IP地址标识为运行S7协议的工业控制设备,如果返回带有工业控制Modbus协议字段的反馈,则将该目的IP地址标识为运行Modbus的工业控制设备。2.如权利要求1所述的方法,其特征在于,步骤1)中,将带有SYN字段的网络传输层TCP探测包发送到IPv4地址空间的每一IP地址的方法为:实时探测当前网络速度speed,然后以当前网络速度speed随机发送带SYN字段的网络传输层TCP探测包。3.如权利要求2所述的方法,其特征在于,所述当前网络速度其中Byte(packet)为网络传输层TCP探测包的大小,Bandwith为当前网络环境的上传带宽。4.如权利要求1或2所述的方法,其特征在于,步骤1)中,将带有SYN字段的网络传输层TCP探测包发送到IPv4地址空间的每一IP地址的方法为:首先采用一个32字节的LONG型变量存储地址存储IPv4地址空间的每一地址;然后对每一LONG型变...

【专利技术属性】
技术研发人员:孙利民李强丰轩刘燕
申请(专利权)人:中国科学院信息工程研究所
类型:发明
国别省市:北京;11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1