[发明专利]一种基于主动探测的工控设备指纹提取与识别方法

说明书

本发明公开了一种基于主动探测的工控设备指纹提取与识别方法，包括以下步骤：S1、利用工业控制协议脚本对指定的IP段或端口进行扫描，通过各协议将扫描结果进行校验并格式化处理后，与加载在内存中的指纹信息按协议名称进行匹配；S2、若匹配成功，则将该设备的厂商、类型和型号信息标识出来，将扫描到的设备信息存放在数据库中；S3、若匹配未成功，则通过检索提取该设备的厂商、类型、型号和指纹唯一标识符信息，在信息验证无误后，录入到指纹数据库中；S4、通过系统周期性执行加载指纹数据库中的指纹信息到内存的任务，使指纹信息能及时与扫描数据进行匹配。

技术领域

本发明涉及工业控制技术领域，具体涉及一种基于主动探测的工控设备指纹提取与识别方法。

背景技术

一提到工业控制，大多数人都会想到企业、制造、工厂等一系列庞大的词汇，殊不知，它与我们每个人的生活都息息相关。在我们的日常生活中，小到网络电视、机顶盒、智能热水器、智能水表、ATM机、交通红绿灯控制，大到气象预报、楼宇视频监控、航空飞行控制、地震预警等，这些都离不开工业控制系统的支撑。

伴随着第四次工业革命的到来，传统工业逐渐向互联网模式的智能化方向发展，工业控制系统已经成为人们生活和工作中不可或缺的一部分。置身于互联网的浪潮，来自外部的恶意攻击与威胁无处不在。而在工业控制系统的数据传输过程中，大多都是明文，未进行严格的加密操作，这样很容易被黑客攻击，例如恶意篡改文件导致设备无法使用，或者伪造数据引起系统瘫痪。更糟糕的是攻击者通过木马移植将恶意程序或病毒嵌入到设备中，以此盗取企业的内部信息，进而勒索、变卖企业信息，对企业造成无法挽回的损失。因此针对工业控制系统信息安全方面的防护，保障工业控制系统的稳定运行，是工控行业的重中之重。

目前比较出名的利用指纹识别技术进行资产识别的扫描引擎有SHODAN、白帽汇（FOFA）、钟馗之眼（ZOOMEYE），扫描工具有NMAP，但由于工控协议众多且存在大量的私有协议，这些扫描引擎和工具并不能完全满足工控系统的识别能力。因此在提升工业控制系统的识别能力方面，还任重道远。

发明内容

针对现有技术中的上述不足，本发明提供的一种基于主动探测的工控设备指纹提取与识别方法解决了工业控制系统的识别能力较差的问题。

为了达到上述发明目的，本发明采用的技术方案为：一种基于主动探测的工控设备指纹提取与识别方法，包括以下步骤：

S1、利用工业控制协议脚本对指定的IP段或端口进行扫描，通过各协议将扫描结果进行校验并格式化处理后，与加载在内存中的指纹信息按协议名称进行匹配；

S2、若匹配成功，则将该设备的厂商、类型和型号信息标识出来，将扫描到的设备信息存放在数据库中；

S3、若匹配未成功，则通过检索提取该设备的厂商、类型、型号和指纹唯一标识符信息，在信息验证无误后，录入到指纹数据库中；

S4、通过系统周期性执行加载指纹数据库中的指纹信息到内存的任务，使指纹信息能及时与扫描数据进行匹配。

进一步地：所述步骤S1中IP段的指定方式包括直接指定和按区域指定。

进一步地：所述步骤S1中同一协议的扫描结果属性具有相似性，不同协议的扫描结果属性相互独立，各协议针对自己的扫描结果进行数据校验，校验通过则进行格式化处理，否则舍弃。

进一步地：所述步骤S1中格式化处理后保留的关键信息包括识别型号、厂商、版本、设备名称、设备状态、设备编号、操作系统和序列号。

进一步地：所述步骤S1中匹配的方法为：将指纹信息按协议分类，避免不同协议的指纹雷同，并制定关键字段进行指纹匹配，提高匹配的准确率。

进一步地：所述步骤S4中指纹数据库的构建方法为：