[发明专利]一种被动工控网络拓扑发现方法及工控网络安全管理系统

说明书

本发明公开了一种被动工控网络拓扑发现方法、工控网络安全管理方法及系统。该被动工控网络拓扑发现方法包括：确定被测工控网络的核心交换机；将核心交换机的一端口设置为镜像端口，其余端口设置为源端口；通过镜像端口对被测工控网络的通信数据包进行嗅探；对嗅探得到的数据包进行降维处理；采用CART分类树模型对降维后的数据包进行分类，得到分类结果；分类结果表示：数据包的源地址所代表的设备与数据包的目的地址所代表的设备之间的连接类型，连接类型包括：交换机与路由器的连接、主机与交换机的连接以及交换机与交换机的连接；根据分类结果确定被测工控网络的拓扑结构。本发明能够快速完整的确定被测工控网络的拓扑结构，并对其安全进行管理。

技术领域

本发明涉及工业控制及网络安全领域，特别是涉及一种被动工控网络拓扑 发现方法及工控网络安全管理系统。

背景技术

随着美国“工业互联网”概念的提出，再到德国“工业4.0”的推行，两 化的融合成为大势所趋。由于传统工业系统在建设之初仅考虑到了其实用性， 未考虑到安全性问题，因此在与互联网的相互融合中完全暴露了其脆弱性，导 致网络安全事件层出不穷，特别是针对工业控制系统等国家基础设施的入侵攻 击，已严重影响到国家的国计民生。对工业系统网络安全进行有效检测并且提 供实时的安全防护，从而进行网络安全管理是保护工业系统网络安全的关键技 术，网络拓扑发现作为网络安全管理的工具，是实现上述关键技术的重要组成 部分，是发现系统故障和监控设备性能的基础，只有准确得到工控系统的拓扑结构，才能对其操作系统、设备漏洞等相关安全信息进行态势感知，只有得到 更细更深的网络拓扑结构及安全信息，最终才能实现工控系统的安全防护。

网络拓扑是指各网络元素及其之间的连接关系，其中，网络元素可以是路 由器，也可以是交换机、集线器和网桥，还可以是主机、客户端和服务器等。 网络拓扑发现算法即：通过收集可生成网络拓扑的必要信息，得到IP网络中 的网络元素的类型，并且确定其连接关系的相关算法。按发现方法来区分，网 络拓扑发现方法可分为主动式发现和被动式发现两种拓扑发现方法。其中，主 动式拓扑发现算法主要通过向待发现网络中发送特定的数据包，通过解析反馈 信息来获得拓扑连接关系；而被动式拓扑发现算法是通过监听捕获网络元素之 间传输的数据包，通过处理侦听到的数据包得到拓扑连接信息，从而绘制出网络拓扑结构。

现有技术中，网络拓扑发现方法有很多，其中，网络层网络拓扑发现方法 主要包括：第一，基于ICMP(Internet Control Message Protocol，Internet控制 报文协议)的Ping和各种Traceroute拓扑发现算法，虽然该算法灵活性强， 对于路由信息没有依赖性，但是由于其主动性强，容易造成比较大的网络负荷， 甚至影响通信，导致拓扑发现可靠性低；第二，基于SNMP(简单网络管理协 议)的拓扑发现算法，其主要通过SNMP请求采集启用SNMP协议的路由器 的路由表信息，从中提取设备类型及其连接关系，从而得到网络拓扑图。虽然 该算法发现过程较简单，网络负荷小，发现效率高，目前得到了比较广泛的应 用，但还是存在不足，其要求网络设备必须启用SNMP协议才能搜索到相关 信息。而数据链路层网络拓扑发现方法主要包括：第一，基于STP(生成树协 议)的拓扑发现方法，其主要运行在交换机之间，通常使用STP进行拓扑结 构发现就是通过读取交换机中存储的生成树数据，根据该协议特征对数据进行 处理，从而得到交换机之间、交换机与主机之间的连接关系；第二，基于LLDP (链路层发现协议)的拓扑发现方法，其支持网络设备将自身设备标识以及状 态信息公告给网络系统中的其他设备，其工作原理是：源节点通过LLDP获取 邻接设备的网络信息，再对获得的邻接设备信息依次进行LLDP协议获取，直 到获取网络中所有的结点设备。