本技術(shù)涉及通信，具體而言，涉及一種工控網(wǎng)絡(luò)拓?fù)溥€原方法及裝置。

背景技術(shù)：

1、現(xiàn)有的網(wǎng)絡(luò)拓?fù)溥€原方法主要是基于類traceroute拓?fù)涮綔y(cè)技術(shù)，通過(guò)traceroute或相關(guān)工具發(fā)送探測(cè)報(bào)文，利用限制ttl大小使得報(bào)文在到達(dá)目標(biāo)節(jié)點(diǎn)時(shí)被丟棄變成報(bào)文不可達(dá)的機(jī)制，讓目標(biāo)節(jié)點(diǎn)返回一個(gè)數(shù)據(jù)包，從中進(jìn)行提取獲得該被測(cè)節(jié)點(diǎn)的網(wǎng)絡(luò)地址信息，通過(guò)對(duì)被測(cè)節(jié)點(diǎn)網(wǎng)絡(luò)地址信息分析處理，完成網(wǎng)絡(luò)拓?fù)溥€原。

2、現(xiàn)有的網(wǎng)絡(luò)拓?fù)溥€原方法去還原工控網(wǎng)絡(luò)拓?fù)鋾r(shí)，存在兩個(gè)問(wèn)題：一是由于工控網(wǎng)絡(luò)中大部分設(shè)備的開(kāi)放端口、通信協(xié)議與傳統(tǒng)互聯(lián)網(wǎng)設(shè)備存在較大差異，直接通過(guò)traceroute或相關(guān)工具發(fā)送探測(cè)報(bào)文可能無(wú)法獲得響應(yīng)；二是由于工控網(wǎng)絡(luò)中大部分路由器被設(shè)置了不響應(yīng)探測(cè)報(bào)文，或由于網(wǎng)絡(luò)擁塞、網(wǎng)絡(luò)故障、路由器速率限制等影響，探測(cè)源點(diǎn)可能會(huì)無(wú)法獲得被測(cè)節(jié)點(diǎn)反饋的信息，造成數(shù)據(jù)中出現(xiàn)大量無(wú)法識(shí)別的節(jié)點(diǎn)，以此為基礎(chǔ)還原的網(wǎng)絡(luò)拓?fù)洳⒉粶?zhǔn)確。

技術(shù)實(shí)現(xiàn)思路

1、有鑒于此，本技術(shù)的目的在于提供一種工控網(wǎng)絡(luò)拓?fù)溥€原方法及裝置，在被測(cè)節(jié)點(diǎn)的數(shù)據(jù)中出現(xiàn)無(wú)法識(shí)別的節(jié)點(diǎn)時(shí)，能夠更為準(zhǔn)確的還原被測(cè)工控網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)洹?/p>

2、本技術(shù)實(shí)施例提供的一種工控網(wǎng)絡(luò)拓?fù)溥€原方法，所述方法包括：

3、通過(guò)被動(dòng)嗅探和主動(dòng)探測(cè)獲取被測(cè)工控網(wǎng)絡(luò)中的節(jié)點(diǎn)的目標(biāo)數(shù)據(jù)信息，基于所述目標(biāo)工控網(wǎng)絡(luò)中的節(jié)點(diǎn)的目標(biāo)數(shù)據(jù)信息確定被測(cè)工控網(wǎng)絡(luò)的ip級(jí)別的網(wǎng)絡(luò)拓?fù)洌?/p>

4、從被測(cè)工控網(wǎng)絡(luò)的路由協(xié)議的報(bào)文中提取子網(wǎng)信息和別名信息，得到ip級(jí)別的網(wǎng)絡(luò)拓?fù)涞木W(wǎng)絡(luò)地址之間的別名關(guān)系；

5、基于所述ip級(jí)別的網(wǎng)絡(luò)拓?fù)涞木W(wǎng)絡(luò)地址之間的別名關(guān)系進(jìn)行聚合，還原出路由器節(jié)點(diǎn)，確定被測(cè)工控網(wǎng)絡(luò)的初級(jí)網(wǎng)絡(luò)拓?fù)洌?/p>

6、基于和匿名路由器的類型匹配的識(shí)別方法，識(shí)別所述初級(jí)網(wǎng)絡(luò)拓?fù)渲械哪涿酚善鳎龀跫?jí)網(wǎng)絡(luò)拓?fù)渲械挠赡涿酚善髟斐傻奶摷俟?jié)點(diǎn)和虛假鏈路，還原出所述被測(cè)工控網(wǎng)絡(luò)的目標(biāo)網(wǎng)絡(luò)拓?fù)洹?/p>

7、在一些實(shí)施例中，所述的工控網(wǎng)絡(luò)拓?fù)溥€原方法中，所述匿名路由器的類型包括單跳匿名路由器和多跳匿名路由器；基于和匿名路由器的類型匹配的識(shí)別方法，識(shí)別所述初級(jí)網(wǎng)絡(luò)拓?fù)渲械哪涿酚善?，包括?/p>

8、基于數(shù)據(jù)接收時(shí)延分析結(jié)果識(shí)別單跳匿名路由器；

9、通過(guò)節(jié)點(diǎn)鏈路擴(kuò)展對(duì)多跳匿名路由器進(jìn)行聚類，利用網(wǎng)絡(luò)層次分析方法識(shí)別所述多跳匿名路由器。

10、在一些實(shí)施例中，所述的工控網(wǎng)絡(luò)拓?fù)溥€原方法中，基于數(shù)據(jù)接收時(shí)延分析結(jié)果識(shí)別單跳匿名路由器，包括：

11、確定所述初級(jí)網(wǎng)絡(luò)拓?fù)涞囊阎酚善鞴?jié)點(diǎn)之間只經(jīng)過(guò)一跳匿名路由器的第一局部拓?fù)浣Y(jié)構(gòu)；

12、針對(duì)所述第一局部拓?fù)浣Y(jié)構(gòu)，從起始節(jié)點(diǎn)向目的節(jié)點(diǎn)發(fā)送探測(cè)數(shù)據(jù)包，獲取起始節(jié)點(diǎn)和目的節(jié)點(diǎn)之間每個(gè)鏈路的時(shí)間延遲；

13、根據(jù)不同的時(shí)間延遲來(lái)區(qū)分不同的鏈路，將屬于同一鏈路的匿名路由器進(jìn)行合并；

14、和/或，

15、通過(guò)節(jié)點(diǎn)鏈路擴(kuò)展對(duì)多跳匿名路由器進(jìn)行聚類，利用網(wǎng)絡(luò)層次分析方法識(shí)別所述多跳匿名路由器，包括：

16、確定所述以及已知路由器節(jié)點(diǎn)之間經(jīng)過(guò)多跳匿名路由器的第二局部拓?fù)浣Y(jié)構(gòu)；所述第二局部拓?fù)浣Y(jié)構(gòu)中包括多跳匿名鏈路；

17、對(duì)多跳匿名鏈路進(jìn)行聚類得到網(wǎng)狀結(jié)構(gòu)，利用不同樹(shù)狀拓?fù)浜途垲惸涿酚善鞯南嗷ヂ?lián)系，推測(cè)出拓?fù)渲g存在的重合鏈路，對(duì)多跳匿名鏈路中的已知節(jié)點(diǎn)進(jìn)行關(guān)系判定，得到預(yù)處理后的多跳匿名鏈路；

18、基于預(yù)設(shè)擴(kuò)展閾值向預(yù)處理后的多跳匿名鏈路的首端和/或尾端進(jìn)行擴(kuò)展，根據(jù)擴(kuò)展節(jié)點(diǎn)之間的相互關(guān)系完成對(duì)匿名路由器的聚類，獲得每一條多跳匿名鏈路的樹(shù)狀拓?fù)浣Y(jié)構(gòu)和不同匿名路由器之間的關(guān)系；

19、根據(jù)每一條多跳匿名鏈路的樹(shù)狀拓?fù)浣Y(jié)構(gòu)和不同匿名路由器之間的關(guān)系，利用獨(dú)立共享準(zhǔn)則進(jìn)行多跳匿名路由器的合并，完成多跳匿名路由器識(shí)別。

20、在一些實(shí)施例中，所述的工控網(wǎng)絡(luò)拓?fù)溥€原方法中，根據(jù)不同的時(shí)間延遲來(lái)區(qū)分不同的鏈路，將屬于同一鏈路的匿名路由器進(jìn)行合并，包括：

21、確定起始節(jié)點(diǎn)和目的節(jié)點(diǎn)之間不同鏈路的網(wǎng)絡(luò)結(jié)構(gòu)的類型；所述網(wǎng)絡(luò)結(jié)構(gòu)的類型包括平行網(wǎng)絡(luò)結(jié)構(gòu)、星狀網(wǎng)絡(luò)結(jié)構(gòu)、交錯(cuò)網(wǎng)絡(luò)結(jié)構(gòu)；

22、針對(duì)平行網(wǎng)絡(luò)結(jié)構(gòu)，基于起始節(jié)點(diǎn)和目的節(jié)點(diǎn)之間不同的時(shí)間延遲的差值來(lái)區(qū)分不同的鏈路，確定起始節(jié)點(diǎn)和目的節(jié)點(diǎn)之間的時(shí)延分析結(jié)果；其中，當(dāng)兩條鏈路的時(shí)間延遲的差值小于預(yù)設(shè)延遲時(shí)間閾值，則兩條鏈路經(jīng)過(guò)同一個(gè)匿名路由器；

23、針對(duì)星狀網(wǎng)絡(luò)結(jié)構(gòu)，基于起始節(jié)點(diǎn)和目的節(jié)點(diǎn)之間的時(shí)間延遲的時(shí)延分布圖的峰值數(shù)目和鏈路數(shù)目，判斷起始節(jié)點(diǎn)和目的節(jié)點(diǎn)之間鏈路是否真實(shí)，確定起始節(jié)點(diǎn)和目的節(jié)點(diǎn)之間的時(shí)延分析結(jié)果；

24、針對(duì)交錯(cuò)網(wǎng)絡(luò)結(jié)構(gòu)，統(tǒng)計(jì)從起始節(jié)點(diǎn)發(fā)送到不同目的節(jié)點(diǎn)的時(shí)間延遲，構(gòu)造時(shí)延協(xié)方差矩陣；兩目的節(jié)點(diǎn)之間的協(xié)方差值表示兩目的節(jié)點(diǎn)之間的共享路徑信息；

25、基于所述延協(xié)方差矩陣中的協(xié)方差值，判斷不同目的節(jié)點(diǎn)之間是否共享一條鏈路，確定起始節(jié)點(diǎn)和目的節(jié)點(diǎn)之間的時(shí)延分析結(jié)果；

26、基于所述起始節(jié)點(diǎn)和目的節(jié)點(diǎn)之間的時(shí)延分析結(jié)果，區(qū)分不同鏈路，將屬于同一鏈路的匿名路由器進(jìn)行合并。

27、在一些實(shí)施例中，所述的工控網(wǎng)絡(luò)拓?fù)溥€原方法中，基于預(yù)設(shè)擴(kuò)展閾值向預(yù)處理后的多跳匿名鏈路的首端和/或尾端進(jìn)行擴(kuò)展，根據(jù)擴(kuò)展節(jié)點(diǎn)之間的相互關(guān)系完成對(duì)匿名路由器的聚類，獲得每一條多跳匿名鏈路的樹(shù)狀拓?fù)浣Y(jié)構(gòu)和不同匿名路由器之間的關(guān)系，包括：

28、將預(yù)處理后的多跳匿名鏈路以其對(duì)應(yīng)的起始節(jié)點(diǎn)和/或目的節(jié)點(diǎn)進(jìn)行節(jié)點(diǎn)擴(kuò)展，以一階擴(kuò)展為初始目標(biāo)，在不超過(guò)預(yù)設(shè)擴(kuò)展閾值并且未達(dá)到聚類目標(biāo)時(shí)進(jìn)行進(jìn)一步的擴(kuò)展，并將所有擴(kuò)展節(jié)點(diǎn)標(biāo)記為未聚類；

29、遍歷每條多跳匿名鏈路中初始節(jié)點(diǎn)的擴(kuò)展節(jié)點(diǎn)，并將之與其他鏈路的{擴(kuò)展節(jié)點(diǎn)，初始節(jié)點(diǎn)}集合中的元素逐一比對(duì)，如果發(fā)現(xiàn)相同的節(jié)點(diǎn)，則將其合并為同一個(gè)節(jié)點(diǎn)；如果未發(fā)現(xiàn)相同節(jié)點(diǎn)，則在預(yù)設(shè)擴(kuò)展閾值內(nèi)進(jìn)行下一步節(jié)點(diǎn)擴(kuò)展，直到發(fā)現(xiàn)新的聚類或者達(dá)到節(jié)點(diǎn)擴(kuò)展閾值時(shí)候仍未發(fā)現(xiàn)可聚類節(jié)點(diǎn)；

30、根據(jù)聚類結(jié)果，對(duì)未聚類的擴(kuò)展節(jié)點(diǎn)進(jìn)行減枝操作，并保存相關(guān)數(shù)據(jù)。

31、在一些實(shí)施例中，所述的工控網(wǎng)絡(luò)拓?fù)溥€原方法中，根據(jù)每一條多跳匿名鏈路的樹(shù)狀拓?fù)浣Y(jié)構(gòu)和不同匿名路由器之間的關(guān)系，利用獨(dú)立共享準(zhǔn)則進(jìn)行多跳匿名路由器的合并，完成多跳匿名路由器識(shí)別，包括：

32、每一條多跳匿名鏈路的樹(shù)狀拓?fù)浣Y(jié)構(gòu)和不同匿名路由器之間的關(guān)系；

33、建立多跳匿名鏈路的樹(shù)狀拓?fù)浣Y(jié)果與聚類后匿名路由器的約束關(guān)系，列出方程求解，確定求解結(jié)果；

34、由求解結(jié)果推導(dǎo)出多跳匿名鏈路上匿名路由器的分布情況，完成多跳匿名路由器的識(shí)別。

35、在一些實(shí)施例中，所述的工控網(wǎng)絡(luò)拓?fù)溥€原方法中，所述通過(guò)被動(dòng)嗅探和主動(dòng)探測(cè)獲取被測(cè)工控網(wǎng)絡(luò)中的節(jié)點(diǎn)的目標(biāo)數(shù)據(jù)信息，包括：

36、在被測(cè)工控網(wǎng)絡(luò)中部署嗅探工具，獲取被測(cè)工控網(wǎng)絡(luò)中的數(shù)據(jù)流；

37、解析所述被測(cè)工控網(wǎng)絡(luò)中的數(shù)據(jù)流，分析數(shù)據(jù)流中業(yè)務(wù)數(shù)據(jù)的所采用通信協(xié)議，初步確定被測(cè)工控網(wǎng)絡(luò)中的軟件信息、設(shè)備信息和承載業(yè)務(wù)信息；

38、在數(shù)據(jù)嗅探和協(xié)議分析的基礎(chǔ)上，構(gòu)造并發(fā)送特定協(xié)議數(shù)據(jù)包，通過(guò)主動(dòng)探測(cè)方式獲取被測(cè)工控網(wǎng)絡(luò)中網(wǎng)絡(luò)節(jié)點(diǎn)的基礎(chǔ)屬性信息和業(yè)務(wù)屬性信息；

39、預(yù)處理所述被測(cè)工控網(wǎng)絡(luò)中的軟件信息、設(shè)備信息和承載業(yè)務(wù)信息、基礎(chǔ)屬性信息和業(yè)務(wù)屬性信息，得到預(yù)處理后的節(jié)點(diǎn)數(shù)據(jù)信息；

40、將預(yù)處理后的節(jié)點(diǎn)數(shù)據(jù)信息和工控設(shè)備特征數(shù)據(jù)庫(kù)進(jìn)行分析比對(duì)，定位出被測(cè)工控網(wǎng)絡(luò)中節(jié)點(diǎn)的目標(biāo)數(shù)據(jù)信息。

41、在一些實(shí)施例中，所述的工控網(wǎng)絡(luò)拓?fù)溥€原方法中，基于所述目標(biāo)工控網(wǎng)絡(luò)中的節(jié)點(diǎn)的目標(biāo)數(shù)據(jù)信息確定被測(cè)工控網(wǎng)絡(luò)的ip級(jí)別的網(wǎng)絡(luò)拓?fù)洌ǎ?/p>

42、基于所述目標(biāo)工控網(wǎng)絡(luò)中的節(jié)點(diǎn)的目標(biāo)數(shù)據(jù)信息，初步還原出被測(cè)工控網(wǎng)絡(luò)的ip級(jí)別的網(wǎng)絡(luò)拓?fù)?；所述ip級(jí)別的網(wǎng)絡(luò)拓?fù)渲械拿總€(gè)節(jié)點(diǎn)代表一個(gè)ip地址。

43、在一些實(shí)施例中，所述的工控網(wǎng)絡(luò)拓?fù)溥€原方法中，所述從被測(cè)工控網(wǎng)絡(luò)的路由協(xié)議的報(bào)文中提取子網(wǎng)信息和別名信息，得到ip級(jí)別的網(wǎng)絡(luò)拓?fù)涞木W(wǎng)絡(luò)地址之間的別名關(guān)系，包括：

44、從被測(cè)工控網(wǎng)絡(luò)的路由協(xié)議的報(bào)文中提取出節(jié)點(diǎn)的ip地址、ip別名信息和ip子網(wǎng)；

45、對(duì)所述被測(cè)工控網(wǎng)絡(luò)的所述ip級(jí)別的網(wǎng)絡(luò)拓?fù)浜退龉?jié)點(diǎn)的ip地址、ip別名信息和ip子網(wǎng)進(jìn)行圖分析，獲取ip地址之間的別名關(guān)系；

46、相應(yīng)的，基于所述ip級(jí)別的網(wǎng)絡(luò)拓?fù)涞木W(wǎng)絡(luò)地址之間的別名關(guān)系進(jìn)行聚合，還原出路由器節(jié)點(diǎn)，包括：

47、將屬于同一路由器的ip地址聚合，還原出路由器節(jié)點(diǎn)。

48、在一些實(shí)施例中，還提供一種工控網(wǎng)絡(luò)拓?fù)溥€原方法裝置，所述裝置包括：

49、確定模塊，用于通過(guò)被動(dòng)嗅探和主動(dòng)探測(cè)獲取被測(cè)工控網(wǎng)絡(luò)中的節(jié)點(diǎn)的目標(biāo)數(shù)據(jù)信息，基于所述目標(biāo)工控網(wǎng)絡(luò)中的節(jié)點(diǎn)的目標(biāo)數(shù)據(jù)信息確定被測(cè)工控網(wǎng)絡(luò)的ip級(jí)別的網(wǎng)絡(luò)拓?fù)洌?/p>

50、提取模塊，用于從被測(cè)工控網(wǎng)絡(luò)的路由協(xié)議的報(bào)文中提取子網(wǎng)信息和別名信息，得到ip級(jí)別的網(wǎng)絡(luò)拓?fù)涞木W(wǎng)絡(luò)地址之間的別名關(guān)系；

51、第一還原模塊，用于基于所述ip級(jí)別的網(wǎng)絡(luò)拓?fù)涞木W(wǎng)絡(luò)地址之間的別名關(guān)系進(jìn)行聚合，還原出路由器節(jié)點(diǎn)，確定被測(cè)工控網(wǎng)絡(luò)的初級(jí)網(wǎng)絡(luò)拓?fù)洌?/p>

52、第二還原模塊，用于基于和匿名路由器的類型匹配的識(shí)別方法，識(shí)別所述初級(jí)網(wǎng)絡(luò)拓?fù)渲械哪涿酚善?，消除所述初?jí)網(wǎng)絡(luò)拓?fù)渲械挠赡涿酚善髟斐傻奶摷俟?jié)點(diǎn)和虛假鏈路，還原出所述被測(cè)工控網(wǎng)絡(luò)的目標(biāo)網(wǎng)絡(luò)拓?fù)洹?/p>

53、本技術(shù)實(shí)施例中，提供一種工控網(wǎng)絡(luò)拓?fù)溥€原方法及裝置，所述方法通過(guò)被動(dòng)嗅探和主動(dòng)探測(cè)獲取被測(cè)工控網(wǎng)絡(luò)中的節(jié)點(diǎn)的目標(biāo)數(shù)據(jù)信息，基于所述目標(biāo)工控網(wǎng)絡(luò)中的節(jié)點(diǎn)的目標(biāo)數(shù)據(jù)信息確定被測(cè)工控網(wǎng)絡(luò)的ip級(jí)別的網(wǎng)絡(luò)拓?fù)?；從被測(cè)工控網(wǎng)絡(luò)的路由協(xié)議的報(bào)文中提取子網(wǎng)信息和別名信息，得到ip級(jí)別的網(wǎng)絡(luò)拓?fù)涞木W(wǎng)絡(luò)地址之間的別名關(guān)系；基于所述ip級(jí)別的網(wǎng)絡(luò)拓?fù)涞木W(wǎng)絡(luò)地址之間的別名關(guān)系進(jìn)行聚合，還原出路由器節(jié)點(diǎn)，確定被測(cè)工控網(wǎng)絡(luò)的初級(jí)網(wǎng)絡(luò)拓?fù)?；基于和匿名路由器的類型匹配的識(shí)別方法，識(shí)別所述初級(jí)網(wǎng)絡(luò)拓?fù)渲械哪涿酚善?，消除所述初?jí)網(wǎng)絡(luò)拓?fù)渲械挠赡涿酚善髟斐傻奶摷俟?jié)點(diǎn)和虛假鏈路，還原出所述被測(cè)工控網(wǎng)絡(luò)的目標(biāo)網(wǎng)絡(luò)拓?fù)?；所述方法可以在遇到工控網(wǎng)絡(luò)資產(chǎn)探測(cè)丟包、因防火墻規(guī)則限制或網(wǎng)絡(luò)帶寬限制無(wú)法獲得響應(yīng)報(bào)文，造成探測(cè)數(shù)據(jù)中出現(xiàn)大量無(wú)法識(shí)別節(jié)點(diǎn)時(shí)，通過(guò)多維特征聚類的方法完成對(duì)匿名節(jié)點(diǎn)的聚類和識(shí)別，提高工控網(wǎng)絡(luò)拓?fù)溥€原的準(zhǔn)確度，還原出更為完整的工控網(wǎng)絡(luò)拓?fù)洹?/p>