1.一种基于modbus协议的工业控制系统资产及威胁识别方法,其特征在于,包括如下具体步骤:
2.根据权利要求1所述的一种基于modbus协议的工业控制系统资产及威胁识别方法,其特征在于,
3.根据权利要求1所述的一种基于modbus协议的工业控制系统资产及威胁识别方法,其特征在于,所述步骤三中,通过检查modbus数据包结构得到tcp/ip消息报头中的关键参数,modbus数据包中的tcp/ip消息报头中的关键参数始终包含从设备信息,modbus事务检查模块分析出的结果主要集中在从设备。
4.根据权利要求1所述的一种基于modbus协议的工业控制系统资产及威胁识别方法,其特征在于,所述步骤四中,若是请求消息,则判断是否已经存在相同请求,若存在,则进行提示并记录日志;若不存在,则将该请求消息的关键参数计算出哈希值存入ireq。
5.根据权利要求4所述的一种基于modbus协议的工业控制系统资产及威胁识别方法,其特征在于,所述步骤四中,若是响应消息,则判断是否有匹配请求,若没有,则进行提示并记录日志;若有,则进一步判断事务是否有效,若有效,则将响应消息计算出的哈希值和响应消息加入临时数据结构tqueue,并令该哈希值为空,表示该事务已经处理,若无效,则进行提示并记录日志。
6.根据权利要求4或5所述的一种基于modbus协议的工业控制系统资产及威胁识别方法,其特征在于,在步骤四中,只有请求消息会存储在ireq中,没有匹配请求的响应消息将被立即记录以指示异常,并且ireq保持不变;若收到并验证了匹配的响应,则会向临时数据结构tqueue中添加一个条目,并从ireq中删除该请求;若未验证匹配的响应,则会生成一个日志条目,并且请求消息将保留在ireq中。
7.根据权利要求1所述的一种基于modbus协议的工业控制系统资产及威胁识别方法,其特征在于,所述步骤五中tqueue中的信息处理采用增量映射算法,判断是否涉及新增modbus设备,包括判断是否包含主设备信息、是否包含功能码信息和是否包含功能参数信息。
8.根据权利要求7所述的一种基于modbus协议的工业控制系统资产及威胁识别方法,其特征在于,所述增量映射算法按顺序对是否包含主设备信息、是否包含功能码信息和是否包含功能参数信息进行判断,三个信息的判断相互独立,只要判断为是,则直接将该信息加入idevice中。
9.根据权利要求1所述的一种基于modbus协议的工业控制系统资产及威胁识别方法,其特征在于,所述步骤六中威胁识别的步骤为: