工业控制系统中的上位机识别方法、系统、终端及介质与流程

1.本发明涉及工业控制技术领域，具体涉及一种工业控制系统中的上位机识别方法、系统、终端及介质。


背景技术：

2.业控制系统是重要基础设施，随着信息化和工业化的深度融合，工业控制系统信息安全形势日益严峻。如今的工业控制系统在控制规模、控制技术和信息共享方面都发生了巨大的变化，由最初简单控制的封闭系统发展成现在复杂或者先进控制的开放系统，针对工业控制系统的网络攻击事件日益增多，工业控制系统正面临前所未有的网络安全威胁。工控系统协议作为工业控制系统的重要组成部分，越来越受到更多人的关注，工业控制系统的通信通常采用工业控制系统特有的通信协议，工业控制系统协议目的往往是满足大规模分布式系统的实时性运作需求，主要考虑效率问题而忽略其他功能需求。
3.在现代工业控制系统中，plc(可编程逻辑控制器)已经成为一种常见的控制设备。plc通过运行程序来控制机器和工艺，对于许多工业应用而言，plc已经成为不可或缺的组成部分。然而，工业控制系统也存在着一些安全隐患，比如恶意攻击和网络威胁。因此，对于工业控制系统的安全性进行保护已经成为一项重要的任务。
4.在工业控制系统中，上位机经常被用来与plc进行通信，以实现监控和控制等任务。由于plc通常被连接到网络中，攻击者可能通过网络攻击来获取对plc的控制权或者篡改plc的程序，从而对工业控制系统造成损害。因此，需要一种安全的方法来检测和识别与plc进行通信的上位机，以保护工业控制系统的安全性。
5.现有技术中，一些方法使用网络扫描技术来探测plc设备，然后对通信进行监控和分析。这种方法需要扫描整个网络，效率较低，而且容易被网络安全设备检测到。另外一些方法通过直接监控plc设备上的网络流量来识别上位机，但这种方法需要在plc设备上进行更改或者添加设备，可能会影响plc设备的正常运行。
6.在工业控制系统领域，已经有许多方法被提出来保护plc设备和工业控制系统的安全性。以下是一些常见的现有技术：
7.防火墙：防火墙通常被用来保护工业控制系统的网络安全性。它们可以阻止来自外部网络的攻击，并且限制对内部网络的访问。然而，防火墙通常不能检测和识别与plc进行通信的上位机，因此不能提供完整的安全保护。
8.网络扫描：网络扫描通常被用来探测网络上的plc设备。然而，这种方法需要扫描整个网络，效率较低，并且容易被网络安全设备检测到。
9.直接监控：直接监控plc设备上的网络流量可以识别与plc通信的上位机。然而，这种方法需要在plc设备上进行更改或添加设备，可能会影响plc设备的正常运行。
10.签名检测：签名检测是一种常用的入侵检测方法，它通过检测网络流量中的特定模式来识别入侵行为。然而，签名检测方法通常不能检测未知的攻击，并且可能产生大量的误报。
11.加密通信：加密通信可以保护plc设备和上位机之间的通信安全性。然而，加密通信需要加密和解密数据，可能会降低通信的速度，并且可能会增加系统的复杂性。
12.虽然这些技术都可以提供一定程度的保护，但它们都存在一些局限性，无法提供完整的安全保护。因此，需要一种新的方法来检测和识别与plc进行通信的上位机，以提高工业控制系统的安全性。


技术实现要素：

13.针对背景技术中所提及的技术缺陷，本发明实施例的目的在于提供一种工业控制系统中的上位机识别方法、系统、终端及介质，基于arp欺骗技术，能快速、有效地探测到与plc设备进行工控协议通信的上位机。
14.为实现上述目的，第一方面，本发明实施例提供了一种工业控制系统中的上位机识别方法，包括：
15.确认plc设备的ip地址范围；
16.将plc设备设置为arp欺骗的目标之一，利用枚举的方式依次尝试设置其余的ip作为另一个目标地址，欺骗plc设备得到第一数据包；
17.捕获监听第一数据包，所述第一数据包包含工业控制协议交互信息；
18.分析所述工业控制协议，得到与plc设备进行通信的设备信息和协议交互；
19.把不同ip地址作为另一个欺骗目标时所产生的数据包作为第二数据包，对所述第一数据包和第二数据包进行分析和解码，确定与plc设备进行通信的设备的ip地址；
20.根据与plc设备进行通信的设备的ip地址确认上位机设备。
21.第二方面，本发明实施例提供了一种工业控制系统中的上位机识别系统，其特征在于，包括：确认模块、欺骗模块、捕获模块、分析模块和上位机识别模块；
22.所述确认模块用于确认plc设备的ip地址范围；
23.所述欺骗模块用于将plc设备设置为arp欺骗的目标之一，利用枚举的方式依次尝试设置其余的ip作为另一个目标地址，欺骗plc设备得到第一数据包；
24.所述捕获模块用于捕获监听第一数据包，所述第一数据包包含工业控制协议交互信息；
25.所述分析模块用于分析所述工业控制协议，得到与plc设备进行通信的设备信息和协议交互，把不同ip地址作为另一个欺骗目标时所产生的数据包作为第二数据包，对所述第一数据包和第二数据包进行分析和解码，确定与plc设备进行通信的设备的ip地址；
26.所述上位机识别模块根据与plc设备进行通信的设备的ip地址确认上位机设备。
27.第三方面，本发明实施例还提供了一种智能终端，包括处理器、输入设备、输出设备和存储器，所述处理器、输入设备、输出设备和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行如上述第一方面所述的方法。
28.第四方面，本发明实施例提供了一种计算机可读存储介质，所述计算机存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令被处理器执行时实现如上述第一方面所述的方法。
29.本发明实施例提供的一种工业控制系统中的上位机识别方法，具有以下优点：
30.1.精确定位plc的上位机ip地址，便于管理者追踪、控制网络安全。
31.2.通过arp欺骗攻击，能够快速、有效地探测到plc的上位机ip地址，且成功率高。
32.3.捕获嗅探数据包可以帮助管理者深入了解plc与上位机之间的通信流量，有助于发现网络安全威胁。
33.4.工业协议分析可以帮助管理者了解plc所使用的协议类型，更好地把握plc的运行状况。
34.5.上位机ip识别功能可以为管理者提供更全面的信息，有助于进一步提升网络安全等级。
35.本发明实施例提供的一种工业控制系统中的上位机识别系统、终端及介质，与一种工业控制系统中的上位机识别方法具有相同的发明构思，具有相同的有益效果，在此不再赘述。
附图说明
36.为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。
37.图1是本发明第一实施例提供的一种工业控制系统中的上位机识别方法的流程图；
38.图2是本发明另一实施例提供的一种工业控制系统中的上位机识别系统的结构框图；
39.图3是本发明另一实施例提供的一种智能终端的结构框图。
具体实施方式
40.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
41.应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
42.请参考图1，本发明实施例提供的一种工业控制系统中的上位机识别方法，包括以下步骤：
43.s1:plc设备的ip地址范围确认；
44.s2:将plc设备设置为arp欺骗的目标之一，利用枚举的方式依次尝试设置其余的ip作为另一个目标地址，欺骗plc设备得到第一数据包；
45.s3:捕获监听第一数据包，所述第一数据包包含工业控制协议交互信息；
46.s4:分析所述工业控制协议，得到与plc设备进行通信的设备信息和协议交互；
47.s5:把不同ip地址作为另一个欺骗目标时所产生的数据包作为第二数据包，对所述第一数据包和第二数据包进行分析和解码，确定与plc设备进行通信的设备的ip地址；
48.s6:根据与plc设备进行通信的设备的ip地址确认上位机设备。
49.具体地，在工业控制系统中，plc设备的ip地址通常都是静态配置的。可以通过扫描工业交换机或路由器的管理界面，或者手动探测网络中的ip地址范围，来确定plc设备所在的ip地址段。
50.arp(address resolution protocol)，是根据ip地址获取物理地址的一个tcp/ip协议。主机发送信息时将包含目标ip地址的arp请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该ip地址和物理地址存入本机arp缓存中并保留一定时间，下次请求时直接查询arp缓存以节约资源。利用arp欺骗技术向目标plc设备发送伪造的arp广播包。具体方法为：通过将plc设备设置为arp欺骗的目标之一，再利用穷举或枚举的方式挨个尝试设置其他ip为另一个目标地址，这样可以欺骗plc设备，使其将欺骗者的mac地址误认为是真正的网关或上位机的mac地址，从而将数据包发送给欺骗者。
51.捕获监听第一数据包的具体方法为：通过一个嗅探器，如wireshark等，来监视网络流量，以捕获plc设备与其他设备的通信数据包。这些数据包中包含了工业控制协议交互的细节信息。
52.分析工业控制协议可以使用协议分析工具，例如scapy或wireshark等，对捕获的数据包进行深入分析，以了解plc设备与其他设备之间的协议交互。通过识别和解码工业协议中的各种字段和参数，可以了解控制系统中正在进行的活动，通过这些活动可以知道哪些设备与plc设备进行了通信。
53.通过分析数据包来确认上位机的ip地址。在确认哪个设备是上位机之前，把不同ip作为另一个arp欺骗目标时所产生的数据包(第二数据包)，需要对捕获的数据包(第一数据包)和第二数据包进行深入的分析和解码，以及以确定哪些设备与plc设备之间存在控制协议交互。通过分析这些数据包，可以确定与plc设备进行通信的设备的ip地址，实现对上位机ip地址的探测和识别。根据与plc设备进行通信的设备的ip地址确认上位机设备。
54.以下采用一个具体例子对上述实施例进行说明：
55.准备一台搭载了kali系统的笔记本电脑，利用网线连接的方式接入当前工控网络环境，利用笔记本电脑中的nmap工具先探测整个网段内的设备存活情况，得到设备存活的设备清单，然后在设备清单中对其每个ip进行全端口扫描或特定的工控端口扫描，确认端口开放情况后对对应端口进行指纹探测，初步确定是plc设备或其他工控设备。利用笔记本电脑启动ettercap进行arp欺骗，欺骗的目标分为目标a和目标b，目标a也就是通过端口指纹探测确定的plc设备，而目标b就是网段内探测到的非工控设备，例如windows系统设备。假如探测到的非plc设备有3个，那么通过arp欺骗分别嗅探目标a和每一个设备的通信数据包，从中筛选工控协议和特定工控端口通信的数据包，来确认和定位哪一台设备是目标a的上位机。
56.本发明实施例提供的一种工业控制系统中的上位机识别方法，可用于工业控制系统的安全保护，能够快速识别出plc设备所处的网段，基于arp欺骗技术，检测出与plc设备进行工控协议通信的上位机。通过对上位机的检测和识别，可以有效地检测和防范恶意攻击和安全漏洞。因此，本实施例提供的一种工业控制系统中的上位机识别方法具有高效、准确、可靠的特点，适用于各种工业控制系统和计算机网络。
57.本发明实施例提供的一种工业控制系统中的上位机识别方法的优点如下：
58.1.精确定位plc的上位机ip地址，便于管理者追踪、控制网络安全。
59.2.通过arp欺骗攻击，能够快速、有效地探测到plc的上位机ip地址，且成功率高。
60.3.捕获嗅探数据包可以帮助管理者深入了解plc与上位机之间的通信流量，有助于发现网络安全威胁。
61.4.工业协议分析可以帮助管理者了解plc所使用的协议类型，更好地把握plc的运行状况。
62.5.上位机ip识别功能可以为管理者提供更全面的信息，有助于进一步提升网络安全等级。
63.请参考图2，本发明另一实施例提供了一种工业控制系统中的上位机识别系统，包括：确认模块、欺骗模块、捕获模块、分析模块和上位机识别模块，其中，确认模块用于确认plc设备的ip地址范围，欺骗模块用于将plc设备设置为arp欺骗的目标之一，利用枚举的方式依次尝试设置其余的ip作为另一个目标地址，欺骗plc设备得到第一数据包，捕获模块用于捕获监听第一数据包，所述第一数据包包含工业控制协议交互信息，分析模块用于分析所述工业控制协议，得到与plc设备进行通信的设备信息和协议交互，把不同ip地址作为另一个欺骗目标时所产生的数据包作为第二数据包，对所述第一数据包和第二数据包进行分析和解码，确定与plc设备进行通信的设备的ip地址，上位机识别模块根据与plc设备进行通信的设备的ip地址确认上位机设备。
64.确认模块包括扫描单元和手动探测单元，所述扫描单元用于扫描工业交换机或路由器管理界面，所述手动探测单元用于手动探测网络中的ip地址范围。
65.分析模块包括协议分析单元，所述协议分析单元用于对工业控制协议中的字段和参数进行识别和解码。
66.捕获模块采用嗅探器来捕获监听第一数据包。
67.本发明实施例提供的一种工业控制系统中的上位机识别系统的优点如下：
68.1.精确定位plc的上位机ip地址，便于管理者追踪、控制网络安全。
69.2.通过arp欺骗攻击，能够快速、有效地探测到plc的上位机ip地址，且成功率高。
70.3.捕获嗅探数据包可以帮助管理者深入了解plc与上位机之间的通信流量，有助于发现网络安全威胁。
71.4.工业协议分析可以帮助管理者了解plc所使用的协议类型，更好地把握plc的运行状况。
72.5.上位机ip识别功能可以为管理者提供更全面的信息，有助于进一步提升网络安全等级。
73.请参考图3，本发明另一实施例提供了一种智能终端，该终端包括处理器、输入设备、输出设备和存储器，所述处理器分别与输入设备、输出设备和存储器连接，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行上述对一实施例描述的方法。
74.应当理解，在本发明实施例中，所称处理器可以是中央处理单元(central processing unit，cpu)，该处理器还可以是其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现成可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑
器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
75.输入设备可以包括触控板、指纹采传感器(用于采集用户的指纹信息和指纹的方向信息)、麦克风等，输出设备可以包括显示器(lcd等)、扬声器等。
76.该存储器可以包括只读存储器和随机存取存储器，并向处理器提供指令和数据。存储器的一部分还可以包括非易失性随机存取存储器。例如，存储器还可以存储设备类型的信息。
77.具体实现中，本发明实施例中所描述的处理器、输入设备、输出设备可执行本发明实施例提供的方法实施例所描述的实现方式，也可执行本发明实施例所描述的系统实施例的实现方式，在此不再赘述。
78.在本发明还提供一种计算机可读存储介质的实施例，计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，程序指令当被处理器执行时使所述处理器执行上述实施例描述的方法。
79.所述计算机可读存储介质可以是前述实施例所述的终端的内部存储单元，例如终端的硬盘或内存。所述计算机可读存储介质也可以是所述终端的外部存储设备，例如所述终端上配备的插接式硬盘，智能存储卡(smart media card,smc)，安全数字(secure digital,sd)卡，闪存卡(flash card)等。进一步地，所述计算机可读存储介质还可以既包括所述终端的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述终端所需的其他程序和数据。所述计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。
80.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
81.所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的终端和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
82.在本技术所提供的几个实施例中，应该理解到，所揭露终端和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。
83.最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。

技术特征：
1.一种工业控制系统中的上位机识别方法，其特征在于，包括：确认plc设备的ip地址范围；将plc设备设置为arp欺骗的目标之一，利用枚举的方式依次尝试设置其余的ip作为另一个目标地址，欺骗plc设备得到第一数据包；捕获监听第一数据包，所述第一数据包包含工业控制协议交互信息；分析所述工业控制协议，得到与plc设备进行通信的设备信息和协议交互；把不同ip地址作为另一个欺骗目标时所产生的数据包作为第二数据包，获取第二数据包，对所述第一数据包和第二数据包进行分析和解码，确定与plc设备进行通信的设备的ip地址；根据与plc设备进行通信的设备的ip地址确认上位机设备。2.如权利要求1所述的方法，其特征在于，所述确认plc设备的ip地址范围的具体方法包括：通过扫描工业交换机或路由器的管理界面，或者手动探测网络中的ip地址范围。3.如权利要求1所述的方法，其特征在于，所述分析工业控制协议的具体方法包括：对工业控制协议中的字段和参数进行识别和解码。4.如权利要求1所述的方法，其特征在于，所述捕获监听第一数据包的具体方法为：采用嗅探器来监视plc设备的网络流量。5.一种工业控制系统中的上位机识别系统，其特征在于，包括：确认模块、欺骗模块、捕获模块、分析模块和上位机识别模块；所述确认模块用于确认plc设备的ip地址范围；所述欺骗模块用于将plc设备设置为arp欺骗的目标之一，利用枚举的方式依次尝试设置其余的ip作为另一个目标地址，欺骗plc设备得到第一数据包；所述捕获模块用于捕获监听第一数据包，所述第一数据包包含工业控制协议交互信息；所述分析模块用于分析所述工业控制协议，得到与plc设备进行通信的设备信息和协议交互，把不同ip地址作为另一个欺骗目标时所产生的数据包作为第二数据包，对所述第一数据包和第二数据包进行分析和解码，确定与plc设备进行通信的设备的ip地址；所述上位机识别模块根据与plc设备进行通信的设备的ip地址确认上位机设备。6.如权利要求5所述的系统，其特征在于，所述确认模块包括扫描单元和手动探测单元，所述扫描单元用于扫描工业交换机或路由器管理界面，所述手动探测单元用于手动探测网络中的ip地址范围。7.如权利要求5所述的系统，其特征在于，所述分析模块包括协议分析单元，所述协议分析单元用于对工业控制协议中的字段和参数进行识别和解码。8.如权利要求5所述的系统，其特征在于，所述捕获模块采用嗅探器来捕获监听第一数据包。9.一种智能终端，其特征在于，包括处理器、输入设备、输出设备和存储器，所述处理器、输入设备、输出设备和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行如权利要求1-4任一项所述的方法。
10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，其特征在于，所述程序指令被处理器执行时实现如权利要求1-4任一项所述的方法。

技术总结
本发明公开了一种工业控制系统中的上位机识别方法，包括：确认PLC设备的IP地址范围；将PLC设备设置为ARP欺骗的目标之一，利用枚举的方式依次尝试设置其余的IP作为另一个目标地址，欺骗PLC设备得到第一数据包，捕获监听第一数据包，第一数据包包含工业控制协议交互信息；分析工业控制协议，得到与PLC设备进行通信的设备信息和协议交互；把不同IP地址作为另一个欺骗目标时所产生的数据包作为第二数据包，对第一数据包和第二数据包进行分析和解码，确定与其进行通信的设备的IP地址；根据与PLC设备进行通信的IP地址确认上位机设备。基于ARP欺骗技术，能快速、有效地探测到与PLC设备进行工控协议通信的上位机。工控协议通信的上位机。工控协议通信的上位机。


技术研发人员：郭锋 艾泽瑞 姚铮 阮涛
受保护的技术使用者：浙江齐安信息科技有限公司
技术研发日：2023.08.04
技术公布日：2023/10/15