[发明专利]一种工业控制系统设备资产识别方法及系统

权利要求书

1.一种工业控制系统设备资产识别方法，其特征在于，包括：

对工业控制系统进行监控，捕获工业控制系统网络通信过程中所发送的协议报文；

对所述协议报文进行分析，确定所述协议报文的协议版本，并根据所述协议版本，提取所述协议版本所包含的源地址信息和目的地址信息；

根据所述源地址信息和目的地址信息，分别生成源设备和目的设备的设备标识；并根据所述设备标识，对源设备和/或目的设备进行判断，判断所述源设备和/或目的设备是否为新设备；

在判断所述源设备和/或目的设备为新设备的情况下，对所述源设备和/或目的设备的设备信息进行存储，并进行资产异常告警。

2.根据权利要求1所述的一种工业控制系统设备资产识别方法，其特征在于，所述源地址信息包括源IP地址信息、源MAC地址信息；所述目的地址信息包括目的IP地址信息、目的MAC地址信息。

3.根据权利要求2所述的一种工业控制系统设备资产识别方法，其特征在于，根据所述源地址信息和目的地址信息，分别生成源设备和目的设备的设备标识包括：

对所述源IP地址信息和所述源MAC地址信息进行组合，形成源设备的设备标识；对所述目的IP地址信息和目的MAC地址信息进行组合，形成目的设备的设备标识。

4.根据权利要求3所述的一种工业控制系统设备资产识别方法，其特征在于，根据所述设备标识，对源设备和/或目的设备进行判断，判断所述源设备和/或目的设备是否为新设备包括：

将所述源设备和/或目的设备的设备标识与数据库中设备清单中的设备标识进行比对；

在比对结果为将所述源设备和/或目的设备的设备标识与数据库中设备清单中的设备标识不一致的情况下，判断所述源设备和/或目的设备是否为新设备。

5.根据权利要求4所述的一种工业控制系统设备资产识别方法，其特征在于，在判断所述源设备和/或目的设备为新设备的情况下，对所述源设备和/或目的设备的设备信息进行存储包括：

在判断所述源设备和/或目的设备为新设备的情况下，对该新设备的IP地址信息、MAC地址信息、协议类型、发现时间以及发现方式进行存储；

在判断所述源设备和/或目的设备为新设备的情况下，根据新设备的MAC地址信息，对比由IEEE的注册管理机构RA分配的厂商信息，确定新设备的生产厂商信息，并存储所述生产厂商信息；

在判断所述源设备和/或目的设备为新设备的情况下，根据所述协议类型和所述生产厂商信息，确定设备的主机类型，并存储所述主机类型。

6.一种工业控制系统设备资产识别系统，其特征在于，包括：

数据捕获模块，用于对工业控制系统进行监控，捕获工业控制系统网络通信过程中所发送的协议报文；

信息提取模块，用于对所述协议报文进行分析，确定所述协议报文的协议版本，并根据所述协议版本，提取所述协议版本所包含的源地址信息和目的地址信息；

设备识别模块，用于根据所述源地址信息和目的地址信息，分别生成源设备和目的设备的设备标识；并根据所述设备标识，对源设备和/或目的设备进行判断，判断所述源设备和/或目的设备是否为新设备；

告警处理模块，用于在判断所述源设备和/或目的设备为新设备的情况下，对所述源设备和/或目的设备的设备信息进行存储，并进行资产异常告警。

7.根据权利要求6所述的一种工业控制系统设备资产识别系统，其特征在于，所述源地址信息包括源IP地址信息、源MAC地址信息；所述目的地址信息包括目的IP地址信息、目的MAC地址信息。

8.根据权利要求7所述的一种工业控制系统设备资产识别系统，其特征在于，所述设备识别模块在根据所述源地址信息和目的地址信息，分别生成源设备和目的设备的设备标识时，对所述源IP地址信息和所述源MAC地址信息进行组合，形成源设备的设备标识；对所述目的IP地址信息和目的MAC地址信息进行组合，形成目的设备的设备标识。