(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211081829.X (22)申请日 2022.09.06 (65)同一申请的已公布的文献号 申请公布号 CN 115150207 A (43)申请公布日 2022.10.04 (73)专利权人 北京六方云信息技 术有限公司 地址 100085 北京市海淀区上地信息路12 号1幢2层C202室 专利权人 北京六方云科技有限公司 (72)发明人 田洋　 (74)专利代理 机构 北京恒程知识产权代理有限 公司 11914 专利代理师 李婷 (51)Int.Cl. H04L 9/40(2022.01)H04L 67/12(2022.01) (56)对比文件 CN 110336896 A,2019.10.15 CN 10939170 0 A,2019.02.26 CN 113676459 A,2021.1 1.19 CN 112260861 A,2021.01.2 2 CN 112532489 A,2021.0 3.19 US 2004216128 A1,20 04.10.28 审查员 刘寒艳 (54)发明名称 工业网络设备识别方法、 装置、 终端设备及 存储介质 (57)摘要 本发明公开了一种工业网络设备识别方法、 装置、 终端设备及存储介质， 属于工业网络安全 领域， 该工业网络设备识别方法包括： 对接收的 网络报文进行协议解析， 获取介质访问控制信息 和特征信息； 根据所述介质访问控制信息， 识别 出设备所属厂商信息； 将所述特征信息与预设的 工业协议 或工业应用特征库中的信息进行比对， 得到工业协议或工业应用识别结果； 结合所述厂 商信息和所述识别结果， 识别出发送所述网络报 文的设备类型。 本发明能准确识别出工业设备类 型， 将其应用于网络安全产品， 增强了网络安全 的可视性， 且对工业生产网络不产生任何干扰， 有助于从业人员快速熟悉、 掌握工业生产网络中 各设备安全情况， 从而保证工业网络的安全与工 业生产的稳定 。 权利要求书2页 说明书10页 附图4页 CN 115150207 B 2022.11.29 CN 115150207 B 1.一种工业网络设备识别方法， 其特征在于， 所述工业网络设备识别方法包括以下步 骤： 接收设备发出的流经网络安全产品的网络报文； 对所述网络报文 进行协议 解析， 获取介质访问控制信息和特 征信息； 根据所述介质访问控制信息， 识别出 所述设备 所属厂商信息； 将所述特征信 息与预设的工业协议或工业应用特征库中的信 息进行比对， 得到识别结 果， 所述识别结果是指所述工业网络设备使用的工业协议或运行的工业应用； 结合所述厂 商信息和所述识别结果， 识别出发送所述网络报文的设备类型； 所述将所述特征信 息与预设的工业协议或工业应用特征库中的信 息进行比对， 得到识 别结果的步骤 包括： 将所述特征信 息与预设的工业协议或工业应用特征库中的信 息进行比对， 判断所述特 征库中是否存在所述特征信息， 若存在所述特征信息， 则从所述特征库中查找对应的工业 协议或工业应用作为识别结果。 2.如权利要求1所述的工业网络设备识别方法， 其特征在于， 所述结合所述厂商信 息和 所述识别结果， 识别出发送所述网络报文的设备类型的步骤 包括： 结合所述厂商信息和所述识别结果， 与工业设备知识信息库进行比对， 从工业设备知 识信息库中查找出所述厂商信息和所述识别结果对应的设备类型， 得到发送网络报文的设 备类型。 3.如权利要求1所述的工业网络设备识别方法， 其特征在于， 所述对所述网络报文进行 协议解析， 获取介质访问控制信息和特 征信息的步骤 包括： 通过网络协议对所述网络报文 进行协议 解析， 获取链路层数据、 传输层和应用层数据； 从所述链路层数据中提取得到介质访问控制信 息， 从所述传输层和应用层数据提取得 到工业协议或工业应用的特 征信息。 4.如权利要求1所述的工业网络设备识别方法， 其特征在于， 所述根据 所述介质访问控 制信息， 识别出 所述设备 所属厂商信息的步骤 包括： 将所述介质访问控制信 息与厂商介质访问控制信 息管理库进行比对， 从厂商介质访问 控制信息管理库中找出所述介质访问控制信息对应的厂商信息作为所述设备所属厂商信 息。 5.如权利要求1所述的工业网络设备识别方法， 其特征在于， 所述接收设备发出的流经 网络安全产品的网络报文的步骤之前还 包括： 基于预设的规则， 收集各个工业设备对应的厂商信息、 工业协议或工业应用， 并将收集 结果储存在工业设备知识信息库中。 6.根据权利要求5所述的工业网络设备识别方法， 其特征在于， 所述收集各个工业设备 对应的厂商信息、 工业协议或工业应用， 并将收集结果储存在工业设备知识信息库中的步 骤之前还 包括： 采集原始网络流 量数据； 根据所述流量数据， 根据网络协议进行协议解析， 得到厂商信 息协议特征、 工业协议或 工业应用相应的特 征； 将所述厂 商信息协议特 征储存在厂商介质访问控制信息管理库中；权　利　要　求　书 1/2 页 2 CN 115150207 B 2将所述工业协议或工业应用相应的特征储存在所述预设的工业协议或工业应用特征 库中。 7.一种工业网络设备识别装置， 其特 征在于， 所述工业网络设备识别装置包括： 网络报文接收模块， 用于 接收设备发出的流经网络安全产品的网络报文； 协议解析模块， 用于对所述网络报文进行协议解析， 获取介质访 问控制信息和特征信 息； 厂商识别模块， 用于根据所述介质访问控制信息， 识别出 所述设备 所属厂商信息； 协议或应用识别模块， 用于将所述特征信 息与预设的工业协议或工业应用特征库中的 信息进行比对， 得到识别结果， 所述识别结果是指所述工业网络设备使用的工业协议或运 行的工业应用； 设备类型识别模块， 用于结合所述厂商信息和所述识别结果， 识别出发送所述网络报 文的设备类型； 所述协议或应用识别模块， 还用于将所述特征信 息与预设的工业协议或工业应用特征 库中的信息进 行比对， 判断所述特征库中是否存在所述特征信息， 若存在所述特征信息， 则 从所述特 征库中查找对应的工业协议或工业应用作为识别结果。 8.一种终端设备， 其特征在于， 所述终端设备包括存储器、 处理器及存储在所述存储器 上并可在所述处理器上运行的工业网络 设备识别程序， 所述工业网络 设备识别程序被所述 处理器执行时实现如权利要求1 ‑6中任一项所述工业网络设备识别方法的步骤。 9.一种存储介质， 其特征在于， 所述存储介质上存储有工业网络设备识别程序， 所述工 业网络设备识别程序被处理器执行时实现如权利要求 1‑6中任一项 所述工业网络 设备识别 方法的步骤。权　利　要　求　书 2/2 页 3 CN 115150207 B 3