[发明专利]一种工业设备指纹的识别方法

权利要求书

1.一种工业设备指纹的识别方法，其特征在于，包括以下步骤：

S101、首先构建一个工业设备指纹知识库；

S102、采集工业控制网络中的流量数据；

S103、按照流量数据的源物理地址的不同，对流量数据进行分类和汇总；

S104、对每个工业设备中的流量数据进行识别，然后按照流量数据协议的不同分开进行统计；

S105、计算该工业设备的每种协议的流量速率和报文的平均响应频率；

S106、针对该工业设备的指纹信息，先取该设备的物理地址前3个字节提取该设备的组织唯一标识符，然后在工业设备指纹知识库中匹配该组织唯一标识符，如果工业设备指纹知识库中没有匹配的条目，则匹配失败；如果工业设备指纹知识库中有匹配的条目，则进入下一步骤；

S107、取该工业设备每种协议的流量速率和报文响应频率去跟工业设备指纹知识库中匹配设备的流量速率和报文响应速率相对比，如匹配成功且推出匹配过程，否则进入下一步骤；

S108、判断该信息是否是工业设备指纹知识库中最后一条信息，如果是，则匹配结束；否则取工业设备指纹知识库中的下一条信息进入步骤S107中的处理流程。

2.根据权利要求1所述的一种工业设备指纹的识别方法，其特征在于：在S101中，所述工业设备指纹知识库包括的维度信息有生产厂商、产品型号、OUI信息、协议种类、每种协议的流量速率和\或每种协议的报文响应频率。

3.根据权利要求1所述的一种工业设备指纹的识别方法，其特征在于：在S102中，需要通过交换机的镜像端口对工业控制网络中的流量数据进行采集。

4.根据权利要求1所述的一种工业设备指纹的识别方法，其特征在于：在S103中，汇总的源物理地址一致的流量数据即表示某个工业设备的总流量。

5.根据权利要求1所述的一种工业设备指纹的识别方法，其特征在于：在S106中，如果工业设备指纹知识库中没有与工业设备的指纹信息匹配的条目，则匹配失败，将该工业设备的指纹信息作为未知设备的指纹信息存入工业设备指纹知识库中。

6.根据权利要求1所述的一种工业设备指纹的识别方法，其特征在于：在S107中，具体匹配方式为：设置工业设备指纹知识库中的协议流量速率为S和报文响应频率为F，该工业设备的各种协议的流量速率Sn和报文响应频率Fn，如果S×85％＝Sn＝S×115％且F×85％＝Fn＝F×115％，则工业设备指纹识别成功。