工控网络中的拓扑树构建方法、装置、电子设备及介质与流程

本技术涉及网络安全，特别涉及一种工控网络中的拓扑树构建方法，还涉及一种工控网络中的拓扑树构建装置、电子设备以及计算机可读存储介质。

背景技术：

1、随着工业的发展，工业控制网络在各个领域得到广泛应用。工业控制网络中涉及大量的设备，这些设备通过通信协议进行数据交互，从而实现工业控制指令的传输和执行。

2、在工业控制网络中，具备路由转发功能的设备(以下称路由设备)可以对数据进行跨网段的转发，从而实现更灵活的网络通信。准确识别路由设备并进行拓扑结构计算，对于工业控制网络的安全性和稳定性评估至关重要。然而，传统技术中对于路由设备的识别和拓扑结构计算往往存在一定的局限性，例如，通过静态配置和手动检测来进行路由设备识别的实现方法，无法适应工业控制网络的动态变化；基于流量数据的路由设备识别方法则主要通过端口匹配和协议分析来进行，但无法准确地识别跨网段的路由设备，故而对于拓扑结构的计算也容易出现遗漏和错误。

3、因此，如何实现工控网络中的路由设备识别，进而实现工控网络的拓扑树构建，以有效提高工控网络性能是本领域技术人员亟待解决的问题。

技术实现思路

1、本技术的目的是提供一种工控网络中的拓扑树构建方法，该工控网络中的拓扑树构建方法可以实现工控网络中的路由设备识别，进而实现了工控网络的拓扑树构建，有效地提高了工控网络性能；本技术的另一目的是提供一种工控网络中的拓扑树构建装置、电子设备及计算机可读存储介质，均具有上述有益效果。

2、第一方面，本技术提供了一种工控网络中的拓扑树构建方法，包括：

3、获取目标工控网络中的流量数据；

4、根据所述流量数据进行设备识别，确定所述目标工控网络中的路由设备；

5、根据各所述流量数据的五元组信息和tcp标志位，将各所述流量数据组合为各tcp会话；

6、确定各所述tcp会话的路由变化信息；其中，所述路由变化信息包括相应tcp会话的路由转发路径、所述路由转发路径中的各路由设备、所述tcp会话经过各所述路由设备时的ttl值；

7、根据各所述tcp会话的路由变化信息生成所述目标工控网络的拓扑树。

8、可选地，所述根据所述流量数据进行设备识别，确定所述目标工控网络中的路由设备，包括：

9、对于每一所述流量数据，判断所述流量数据中的源mac地址是否发生变化；

10、当所述流量数据中的源mac地址发生变化时，判断所述流量数据中的ttl值是否递减1；

11、当所述流量数据中的ttl值递减1时，确定变化后的源mac地址作为所述路由设备的mac地址，以确定所述目标工控网络中的路由设备。

12、可选地，所述根据所述流量数据进行设备识别，确定所述目标工控网络中的路由设备，包括：

13、在所有所述流量数据中，确定基于路由协议的流量数据；

14、对各所述基于路由协议的流量数据进行解析，获得控制报文；

15、在各所述控制报文中提取获得mac地址，并将所述mac地址作为所述路由设备的mac地址，以确定所述目标工控网络中的路由设备。

16、可选地，所述根据各所述tcp会话的路由变化信息生成所述目标工控网络的拓扑树，包括：

17、将各所述路由转发路径中的路由设备作为树节点，将各所述路由转发路径作为树路径，生成第一拓扑树；

18、在所述路由转发路径中计算相邻的各所述ttl值的ttl差值，并将所述ttl差值对应数量个路由设备插入至所述第一拓扑树的相应网段之间，生成第二拓扑树；

19、在对所述第二拓扑树进行旋转的过程中，将最小树深度对应的第二拓扑树作为所述目标工控网络的拓扑树。

20、可选地，所述工控网络中的拓扑树构建方法还包括：

21、在所述目标工控网络中获取新的流量数据；

22、当所述新的流量数据不符合所述拓扑树时，输出异常事件提示。

23、可选地，所述工控网络中的拓扑树构建方法还包括：

24、在所述目标工控网络中获取新的流量数据；

25、当在所述新的流量数据中检测到未命中所述拓扑树的路由设备时，输出安全事件提示。

26、可选地，所述工控网络中的拓扑树构建方法还包括：

27、在所述目标工控网络中获取新的流量数据；

28、利用所述新的流量数据对所述拓扑树进行动态更新。

29、第二方面，本技术还公开了一种工控网络中的拓扑树构建装置，包括：

30、获取模块，用于获取目标工控网络中的流量数据；

31、识别模块，用于根据所述流量数据进行设备识别，确定所述目标工控网络中的路由设备；

32、组合模块，用于根据各所述流量数据的五元组信息和tcp标志位，将各所述流量数据组合为各tcp会话；

33、确定模块，用于确定各所述tcp会话的路由变化信息；其中，所述路由变化信息包括相应tcp会话的路由转发路径、所述路由转发路径中的各路由设备、所述tcp会话经过各所述路由设备时的ttl值；

34、生成模块，用于根据各所述tcp会话的路由变化信息生成所述目标工控网络的拓扑树。

35、第三方面，本技术还公开了一种电子设备，包括：

36、存储器，用于存储计算机程序；

37、处理器，用于执行所述计算机程序时实现如上所述的任一种工控网络中的拓扑树构建方法的步骤。

38、第四方面，本技术还公开了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的任一种工控网络中的拓扑树构建方法的步骤。

39、本技术提供了一种工控网络中的拓扑树构建方法，包括：获取目标工控网络中的流量数据；根据所述流量数据进行设备识别，确定所述目标工控网络中的路由设备；根据各所述流量数据的五元组信息和tcp标志位，将各所述流量数据组合为各tcp会话；确定各所述tcp会话的路由变化信息；其中，所述路由变化信息包括相应tcp会话的路由转发路径、所述路由转发路径中的各路由设备、所述tcp会话经过各所述路由设备时的ttl值；根据各所述tcp会话的路由变化信息生成所述目标工控网络的拓扑树。

40、应用本技术所提供的技术方案，首先通过采集目标工控网络中的流量数据实现其中路由设备的识别，然后通过解析各流量数据中的五元组信息和tcp标志位，将各流量数据生成目标工控网络中的tcp会话，并获取各tcp会话的路由变化信息，该路由变化信息中包括相应tcp会话的路由转发路径、路由转发路径中的路由设备、tcp会话经过路由设备时的ttl值等信息，由此，即可结合这些信息以及上述识别出的路由设备进行拓扑树构建，得到目标工控网络中的拓扑树，由此可见，本技术方案可以实现工控网络中的路由设备识别，进而实现了工控网络的拓扑树构建，有效地提高了工控网络性能。

41、本技术所提供的工控网络中的拓扑树构建装置、电子设备以及计算机可读存储介质，同样具有上述技术效果，本技术在此不再赘述。