CN108965318B - 检测工业控制网络中未授权接入设备ip的方法及装置 - Google Patents

Abstract

本发明提供了一种检测工业控制网络中未授权接入设备IP的方法及装置，该方法包括：获取第一数据表、第二数据表、地址转发表和地址映射表，将所述第一数据表分别和所述地址转发表、所述地址映射表进行对比得到第一对比结果，根据所述第一对比结果确定所述待检测设备的MAC地址变更情况；将所述第二数据表分别和所述地址转发表、所述地址映射表进行对比得到第二对比结果，根据所述第二对比结果确定所述待检测设备的IP地址变更情况；根据所述MAC地址变更情况以及所述IP地址变更情况确定所述待检测设备的接入授权情况，解决了难以检测到设备的未授权接入从而造成数据不安全以及影响设备正常运作的技术问题。

Description

检测工业控制网络中未授权接入设备IP的方法及装置

技术领域

本发明涉及设备检测技术领域，尤其是涉及一种检测工业控制网络中未授权接入设备IP的方法及装置。

背景技术

网络设备(Industrial Communication Device，简称ICD)，包括适用于工控环境的有线通讯设备和无线通讯设备。有线通讯设备主要介绍解决工业现场的串口通讯、专业总线型的通讯、工业以太网的通讯以及各种通讯协议之间的转换设备。无线通讯设备主要是无线AP、无线网桥、无线网卡、无线避雷器、天线等设备。

目前，在实际应用中，存在设备的未授权接入(即非法接入)的情况发生，但该问题难以检测到，而被非法设备侵入的子网会造成数据的不安全以及影响整个设备子网的正常运作。

发明内容

有鉴于此，本发明的目的在于提供一种检测工业控制网络中未授权接入设备IP的方法及装置，以解决现有技术中存在的难以检测到设备的未授权接入从而造成数据不安全以及影响设备正常运作的技术问题。

第一方面，本发明实施例提供了一种检测工业控制网络中未授权接入设备IP的方法，包括：

获取第一数据表、第二数据表、地址转发表和地址映射表，其中，所述第一数据表中包括待检测设备的MAC地址信息，所述第二数据表中包括所述待检测设备的IP地址信息，所述地址转发表为所述待检测设备的地址转发表，所述地址映射表为所述待检测设备的地址映射表；

将所述第一数据表分别和所述地址转发表、所述地址映射表进行对比，得到第一对比结果，根据所述第一对比结果确定所述待检测设备的MAC地址变更情况；

将所述第二数据表分别和所述地址转发表、所述地址映射表进行对比，得到第二对比结果，根据所述第二对比结果确定所述待检测设备的IP地址变更情况；

根据所述MAC地址变更情况以及所述IP地址变更情况确定所述待检测设备的接入授权情况。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，获取地址转发表和地址映射表，包括：

访问待检测设备的管理信息库MIB，从所述管理信息库MIB中读取所述待检测设备的地址数据；

基于所述地址数据生成所述待检测设备的地址转发表和地址映射表。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，所述将所述第一数据表分别和所述地址转发表、所述地址映射表进行对比，得到第一对比结果，根据所述第一对比结果确定所述待检测设备的MAC地址变更情况，包括：

将所述第一数据表和所述地址转发表进行对比，得到第一子对比结果，并根据所述第一子对比结果判断所述第一数据表和所述地址转发表中的MAC地址是否相同；

如果所述第一数据表和所述地址转发表中的MAC地址不相同，则将所述第一数据表和所述地址映射表进行对比，得到第二子对比结果，并根据所述第二子对比结果判断所述第一数据表和所述地址映射表中的MAC地址是否相同；

如果所述第一数据表和所述地址映射表中的MAC地址不相同，则确定所述待检测设备的MAC地址发生了变更。

结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，其中，所述将所述第二数据表分别和所述地址转发表、所述地址映射表进行对比，得到第二对比结果，根据所述第二对比结果确定所述待检测设备的IP地址变更情况，包括：

将所述第二数据表和所述地址映射表进行对比，得到第三子对比结果，并根据所述第三子对比结果判断所述第二数据表和所述地址映射表中的IP地址是否相同；

如果所述第二数据表和所述地址映射表中的IP地址不相同，则将所述第二数据表和所述地址转发表进行对比，得到第四子对比结果，并根据所述第四子对比结果判断所述第二数据表和所述地址转发表中的MAC地址是否相同；

如果所述第二数据表和所述地址转发表中的MAC地址不相同，则确定所述待检测设备的IP地址和MAC地址均发生了变更。

结合第一方面，本发明实施例提供了第一方面的第四种可能的实施方式，其中，在将所述第二数据表和所述地址映射表进行对比，得到第三子对比结果，并根据所述第三子对比结果判断所述第二数据表和所述地址映射表中的IP地址是否相同之后，所述方法还包括：

如果所述第二数据表和所述地址映射表中的IP地址相同，则根据所述第三子对比结果判断所述第二数据表和所述地址映射表中的MAC地址是否相同；

如果所述第二数据表和所述地址映射表中的MAC地址不相同，则确定所述待检测设备的MAC地址发生了变更。

结合第一方面，本发明实施例提供了第一方面的第五种可能的实施方式，其中，在将所述第二数据表和所述地址转发表进行对比，得到第四子对比结果，并根据所述第四子对比结果判断所述第二数据表和所述地址转发表中的MAC地址是否相同之后，所述方法还包括：

如果所述第二数据表和所述地址转发表中的MAC地址相同，则确定所述待检测设备的IP地址发生了变更。

结合第一方面，本发明实施例提供了第一方面的第六种可能的实施方式，其中，所述根据所述MAC地址变更情况以及所述IP地址变更情况确定所述待检测设备的接入授权情况，包括：

如果检测到所述待检测设备的MAC地址发生了变更，和/或，如果检测到所述待检测设备的IP地址发生了变更，则确定所述待检测设备的接入未授权。

第二方面，本发明实施例还提供一种检测工业控制网络中未授权接入设备IP的装置，包括：

获取模块，用于获取第一数据表、第二数据表、地址转发表和地址映射表，其中，所述第一数据表中包括待检测设备的MAC地址信息，所述第二数据表中包括所述待检测设备的IP地址信息，所述地址转发表为所述待检测设备的地址转发表，所述地址映射表为所述待检测设备的地址映射表；

第一对比模块，用于将所述第一数据表分别和所述地址转发表、所述地址转发表进行对比，得到第一对比结果，根据所述第一对比结果确定所述待检测设备的MAC地址变更情况；

第二对比模块，用于将所述第二数据表分别和所述地址转发表、所述地址转发表进行对比，得到第二对比结果，根据所述第二对比结果确定所述待检测设备的IP地址变更情况；

确定模块，用于根据所述MAC地址变更情况以及所述IP地址变更情况确定所述待检测设备的接入授权情况。

第三方面，本发明实施例还提供一种电子设备，包括存储器、处理器，所述存储器中存储有可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述如第一方面所述的方法的步骤。

第四方面，本发明实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质，所述程序代码使所述处理器执行如第一方面所述的方法。

本发明实施例提供的技术方案带来了以下有益效果：本发明实施例提供的检测工业控制网络中未授权接入设备IP的方法及装置包括：首先，获取第一数据表、第二数据表、地址转发表和地址映射表，其中，第一数据表中包括待检测设备的MAC地址信息，第二数据表中包括待检测设备的IP地址信息，地址转发表为待检测设备的地址转发表，地址映射表为待检测设备的地址映射表，然后，将第一数据表分别和地址转发表、地址映射表进行对比，得到第一对比结果，根据第一对比结果确定待检测设备的MAC地址变更情况，再者，将第二数据表分别和地址转发表、地址映射表进行对比，得到第二对比结果，根据第二对比结果确定待检测设备的IP地址变更情况，之后，根据MAC地址变更情况以及IP地址变更情况确定待检测设备的接入授权情况，通过利用获取到的待检测设备的地址转发表、地址映射表、第一数据表以及第二数据表来进行对比判断，能够根据对比结果来确定待检测设备的IP地址以及MAC地址的变更情况，从而检测出待检测设备是否为未授权接入，实现了对设备未授权接入的及时检测，使数据的安全以及设备的正常运作得到保障，从而解决了现有技术中存在的难以检测到设备的未授权接入从而造成数据不安全以及影响设备正常运作的技术问题。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书以及附图中所特别指出的结构来实现和获得。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了本发明实施例一所提供的检测工业控制网络中未授权接入设备IP的方法的流程图；

图2示出了本发明实施例二所提供的检测工业控制网络中未授权接入设备IP的方法的流程图；

图3示出了本发明实施例三所提供的一种检测工业控制网络中未授权接入设备IP的装置的结构示意图；

图4示出了本发明实施例四所提供的一种电子设备的结构示意图。

图标：3-检测工业控制网络中未授权接入设备IP的装置；31-获取模块；32-第一对比模块；33-第二对比模块；34-确定模块；4-电子设备；41-存储器；42-处理器；43-总线；44-通信接口。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

目前，存在设备的未授权接入的情况发生，但该问题难以检测到，而被非法设备侵入的子网会造成数据的不安全以及影响整个设备子网的正常运作，基于此，本发明实施例提供的一种检测工业控制网络中未授权接入设备IP的方法及装置，可以解决现有技术中存在的难以检测到设备的未授权接入从而造成数据不安全以及影响设备正常运作的技术问题。

为便于对本实施例进行理解，首先对本发明实施例所公开的一种检测工业控制网络中未授权接入设备IP的方法及装置进行详细介绍。

实施例一：

本发明实施例提供的一种检测工业控制网络中未授权接入设备IP的方法，如图1所示，包括：

S11：获取第一数据表、第二数据表、地址转发表和地址映射表。

其中，第一数据表中包括待检测设备的MAC地址信息，第二数据表中包括待检测设备的IP地址信息，地址转发表为待检测设备的地址转发表，地址映射表为待检测设备的地址映射表。其中，待检测设备为工业控制网络中的通讯设备。

具体的，本步骤中，通过简单网络管理协议(Simple Network ManagementProtocol，简称SNMP)获取待检测设备的地址转发表与地址映射表。

需要说明的是，简单网络管理协议(SNMP)是传输控制协议/因特网互联协议(Transmission Control Protocol/Internet Protocol，简称TCP/IP)即网络通讯协议的协议簇的一个应用层协议。一套完整的SNMP系统主要包括管理信息库(ManagementInformation Base，简称MIB)、管理信息结构(SMI)及SNMP报文协议，SNMP协议最常使用在交换机等通讯设备上。

S12：将第一数据表分别和地址转发表、地址映射表进行对比，得到第一对比结果，根据第一对比结果确定待检测设备的MAC地址变更情况。

S13：将第二数据表分别和地址转发表、地址映射表进行对比，得到第二对比结果，根据第二对比结果确定待检测设备的IP地址变更情况。

S14：根据MAC地址变更情况以及IP地址变更情况确定待检测设备的接入授权情况。

对于现有技术而言，工业互联网场景下存在设备非法接入难以及时检测的问题。被非法设备侵入子网会造成数据的不安全以及影响整个工业设备子网的正常运作。

通过利用SNMP协议获取待检测设备的地址转发表与地址映射表，来判定非法入侵设备(即未授权接入设备)的IP。本实施例中，使用SNMP协议去定时获取通信设备的地址转发表和地址映射表，然后经过算法进行一定的对比和比较之后从而确定非法入侵的设备IP。

实施例二：

本发明实施例提供的一种检测工业控制网络中未授权接入设备IP的方法，如图2所示，包括：

S21：获取第一数据表以及第二数据表。

其中，第一数据表中包括待检测设备的MAC地址信息，第二数据表中包括待检测设备的IP地址信息，

通过地址解析协议(Address Resolution Protocol，简称ARP)对待检测设备的网段进行扫描，得到第一数据表；通过因特网包探索器(Packet Internet Grope，简称Ping)对待检测设备的网段进行扫描，得到第二数据表。

具体的，本步骤中，进行指定IP子网段的区域扫描，目的为扫描出存活的IP列表，目标IP与网口为同一个子网的使用地址解析(ARP)方式，不同字网的使用因特网包探索器(Ping)方式，获取的两种数据格式都放入缓存中。

通过步骤S21至S23几种方式获取数据，会得到如下表两种数据的格式，需要通过步骤S23至S32对不同数据格式采取不同的检测方法。

两种数据的格式中的数据格式一(即只包含MAC地址的数据格式)如下图所示：

MAC地址	String(字符串类型)
		上次发现时间	Long(长数据类型)
描述	在交换机的第n个网口发现

两种数据的格式中的数据格式二(即包含IP地址的数据格式)如下图所示：

在本步骤中，对各区域的扫描范围进行扫描，同子网的目标IP采用ARP方式进行扫描，确认目标IP(即待检测设备IP)地址是否在线，获得目标IP(即待检测设备IP)地址的MAC地址(即物理地址)，从而能获取到数据格式二的完整数据。

而不同子网的目标IP(即待检测设备IP)采用ICMP Ping(即因特网包探索器)方式进行扫描，无法获得目标IP(即待检测设备IP)地址的MAC地址，只能确认目标IP(即待检测设备IP)地址是否在线，因此，只能获取到数据格式二中包含IP地址但不包含MAC地址(即物理地址)的数据。

S22：访问待检测设备的管理信息库MIB，从管理信息库MIB中读取待检测设备的地址数据；

作为一个优选方案，通过SNMP访问待检测设备的管理信息库(MIB)，从MIB中读取待检测设备的地址数据。需要说明的是，一套完整的简单网络管理协议(SNMP)系统主要包括管理信息库(MIB)、管理信息结构(SMI)及SNMP报文协议，本实施例主要用到的是对管理信息库(MIB)的各种信息读取。

其中，管理信息库(MIB)是网管数据的标准。该标准规定了网络代理必须保存的数据项目、类型及允许的操作。网络管理系统中的每个结点都包括一个MIB，它反映了该结点中被管资源的状态。利用SNMP协议访问网络设备的管理信息库,就可以得到网络设备的所有统计内容，完成网络拓扑的构建。

S23：基于地址数据生成待检测设备的地址转发表和地址映射表。

其中，地址转发表为待检测设备的地址转发表，地址映射表为待检测设备的地址映射表。

需要说明的是，管理信息库(MIB)被划分成8个组和171个对象，简单网络管理协议(SNMP)可操作的数据结构和变量都包括在其中。本实施例使用的地址映射表和地址转发表等数据来源都在管理信息库(MIB)中获取。

在实际应用中，待检测的网络设备的地址转发表中包括该网络设备的MAC地址信息，该表条目相对较多，能获取到上表中数据格式一的数据。本步骤中，使用SNMP方式获得网络设备的地址转发表信息，得到数据格式一类型的数据，放入缓存，以便进入步骤S24至S32的非法接入检测流程。

而待检测的网络设备的地址映射表中包括该网络设备的IP地址对信息，该表条目相对较少，能获取到数据格式二的完整数据。本步骤中，使用SNMP方式获得网络设备的地址映射表，得到数据格式二类型的数据，放入缓存中。

本实施例中，通过以上步骤S21至S23，获取到了待检测设备的第一数据表、第二数据表、地址转发表以及地址映射表，为进行非法入侵设备IP的检测过程提供了数据来源。

S24：将第一数据表和地址转发表进行对比，得到第一子对比结果，并根据第一子对比结果判断第一数据表和地址转发表中的MAC地址是否相同。如果否，则进行步骤S25。

如果是，则结束本步骤，即如果第一数据表和地址转发表中的MAC地址相同，则结束步骤S24。

S25：将第一数据表和地址映射表进行对比，得到第二子对比结果，并根据第二子对比结果判断第一数据表和地址映射表中的MAC地址是否相同。如果否，则进行步骤S26。

如果第一数据表和地址转发表中的MAC地址不相同，则将第一数据表和地址映射表进行对比，得到第二子对比结果，并根据第二子对比结果判断第一数据表和地址映射表中的MAC地址是否相同。

如果是，则结束本步骤，即如果第一数据表和地址映射表中的MAC地址相同而且第一数据表和地址转发表中的MAC地址也相同，则结束步骤S25。

S26：确定待检测设备的MAC地址发生了变更。

如果第一数据表和地址映射表中的MAC地址不相同，且第一数据表和地址址转表中的MAC地址也不相同，则确定待检测设备的MAC地址发生了变更。其中，MAC地址发生变更的类型包括MAC地址从无到有的变更，因此可以为发现了新的MAC地址即该待检测设备的MAC地址。

在实际应用中，步骤S24至S26的检测只包含MAC地址(即物理地址)数据格式的非法接入的判断方法。

S27：将第二数据表和地址映射表进行对比，得到第三子对比结果，并根据第三子对比结果判断第二数据表和地址映射表中的IP地址是否相同。如果否，则进行步骤S28；如果是，则进行步骤S31。

S28：将第二数据表和地址转发表进行对比，得到第四子对比结果，并根据第四子对比结果判断第二数据表和地址转发表中的MAC地址是否相同。如果否，则进行步骤S29；如果是，则进行步骤S30。

如果第二数据表和地址映射表中的IP地址不相同，则根将第二数据表和地址转发表进行对比，得到第四子对比结果，并根据第四子对比结果判断第二数据表和地址转发表中的MAC地址是否相同。

S29：确定待检测设备的IP地址和MAC地址均发生了变更。

如果第二数据表和地址转发表中的MAC地址不相同，且第二数据表和地址映射表中的IP地址也不相同，则确定待检测设备的IP地址和MAC地址均发生了变更。其中，IP地址和MAC地址发生变更的类型包括IP地址和MAC地址从无到有的变更，因此可以为发现了新的IP地址和MAC地址即该待检测设备的IP地址与待检测设备的MAC地址。

S30：确定待检测设备的IP地址发生了变更。

如果第二数据表和地址转发表中的MAC地址相同，但第二数据表和地址映射表中的IP地址不同，则确定待检测设备的IP地址发生了变更。其中，IP地址发生变更的类型包括IP地址从无到有的变更，因此可以为发现了新的IP地址即该待检测设备的IP地址。

S31：根据第三子对比结果判断第二数据表和地址映射表中的MAC地址是否相同。如果否，则进行步骤S32。

如果第二数据表和地址映射表中的IP地址相同，则根据第三子对比结果判断第二数据表和地址映射表中的MAC地址是否相同。

如果是，则结束本步骤，即如果第二数据表和地址映射表中的MAC地址相同，且第二数据表和地址映射表中的IP地址也相同，则结束步骤S31。

S32：确定待检测设备的MAC地址发生了变更。

如果第二数据表和地址映射表中的IP地址相同但MAC地址不相同，则确定待检测设备的MAC地址发生了变更。其中，MAC地址发生变更的类型包括待检测设备的IP地址对应的MAC地址发生变更，因此本步骤可以为待检测设备的IP地址没有发生变更，但该IP地址对应的MAC地址发生变更。

在实际应用中，步骤S27至S32中，的对非法接入的判断过程所检测的数据格式肯定包含IP地址，但有的包含MAC地址有的不包含MAC地址。

S33：判断待检测设备的MAC地址是否发生了变更，以及判断待检测设备的IP地址是否发生了变更。如果其中至少一项是，则进行步骤S34。

因此，待检测设备的MAC地址以及IP地址中，只要有其中一种地址发生了变更，便进行步骤S34。

S34：确定待检测设备的接入未授权。

如果检测到待检测设备的MAC地址发生了变更，和/或，如果检测到待检测设备的IP地址发生了变更，则确定待检测设备的接入未授权。

在步骤S34之后，还可以在确定待检测设备的接入未授权时，生成非法接入报警，以实现自动告警，使自动化控制和管理的程度得到提高。从而实现了周期性自动化检测IP非法入侵并进行告警，通过各种数据表的获取以及对比，即可检测到有非法设备接入，简化了操作流程，提高了工作效率。再者，通过计算设备对应的IP地址是否发生变化，该系统也能够自动进行判别，智能化的鉴别是IP分配发生变化还是真的有设备非法接入。

作为本实施例的另一种施例方式，步骤S34之后，还可以通过对比各个通讯设备中出现的时间，来确认该IP是出现在哪个子网。具体的，通过对比非法入侵设备的IP地址和MAC地址出现在地址转发表与地址映射表的时间，最终确定该设备非法接入在哪个子网。

实施例三：

本发明实施例提供的一种检测工业控制网络中未授权接入设备IP的装置，如图3所示，检测工业控制网络中未授权接入设备IP的装置3包括：获取模块31、第一对比模块32、第二对比模块33以及确定模块34。

在实际应用中，获取模块用于获取第一数据表、第二数据表、地址转发表和地址映射表，其中，第一数据表中包括待检测设备的MAC地址信息，第二数据表中包括待检测设备的IP地址信息，地址转发表为待检测设备的地址转发表，地址映射表为待检测设备的地址映射表；

优选的，第一对比模块用于将第一数据表分别和地址转发表、地址转发表进行对比，得到第一对比结果，根据第一对比结果确定待检测设备的MAC地址变更情况；

进一步的是，第二对比模块用于将第二数据表分别和地址转发表、地址转发表进行对比，得到第二对比结果，根据第二对比结果确定待检测设备的IP地址变更情况；

作为本实施例的优选实施方式，确定模块用于根据MAC地址变更情况以及IP地址变更情况确定待检测设备的接入授权情况。

实施例四：

本发明实施例提供的一种电子设备，如图4所示，电子设备4包括存储器41、处理器42，所述存储器中存储有可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述实施例一或实施例二提供的方法的步骤。

参见图4，电子设备还包括：总线43和通信接口44，处理器42、通信接口44和存储器41通过总线43连接；处理器42用于执行存储器41中存储的可执行模块，例如计算机程序。

其中，存储器41可能包含高速随机存取存储器(RAM，Random Access Memory)，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。通过至少一个通信接口44(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。

总线43可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图4中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

其中，存储器41用于存储程序，所述处理器42在接收到执行指令后，执行所述程序，前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器42中，或者由处理器42实现。

处理器42可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器42中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器42可以是通用处理器，包括中央处理器(Central Processing Unit，简称CPU)、网络处理器(Network Processor，简称NP)等；还可以是数字信号处理器(Digital SignalProcessing，简称DSP)、专用集成电路(Application Specific Integrated Circuit，简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array，简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器41，处理器42读取存储器41中的信息，结合其硬件完成上述方法的步骤。

实施例五：

本发明实施例提供的一种具有处理器可执行的非易失的程序代码的计算机可读介质，所述程序代码使所述处理器执行上述实施例一或实施例二提供的方法。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在这里示出和描述的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制，因此，示例性实施例的其他示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

本发明实施例提供的具有处理器可执行的非易失的程序代码的计算机可读介质，与上述实施例提供的检测工业控制网络中未授权接入设备IP的方法、装置以及电子设备具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。

另外，在本发明实施例的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

本发明实施例所提供的进行检测工业控制网络中未授权接入设备IP的方法及装置的计算机程序产品，包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims (5)

1.一种检测工业控制网络中未授权接入设备IP的方法，其特征在于，包括：

获取第一数据表、第二数据表、地址转发表和地址映射表，其中，所述第一数据表中包括待检测设备的MAC地址信息，所述第二数据表中包括所述待检测设备的IP地址信息，所述地址转发表为所述待检测设备的地址转发表，所述地址映射表为所述待检测设备的地址映射表；

将所述第一数据表分别和所述地址转发表、所述地址映射表进行对比，得到第一对比结果，根据所述第一对比结果确定所述待检测设备的MAC地址变更情况；

将所述第二数据表分别和所述地址转发表、所述地址映射表进行对比，得到第二对比结果，根据所述第二对比结果确定所述待检测设备的IP地址变更情况；

根据所述MAC地址变更情况以及所述IP地址变更情况确定所述待检测设备的接入授权情况；

所述将所述第一数据表分别和所述地址转发表、所述地址映射表进行对比，得到第一对比结果，根据所述第一对比结果确定所述待检测设备的MAC地址变更情况，包括：

将所述第一数据表和所述地址转发表进行对比，得到第一子对比结果，并根据所述第一子对比结果判断所述第一数据表和所述地址转发表中的MAC地址是否相同；

如果所述第一数据表和所述地址转发表中的MAC地址不相同，则将所述第一数据表和所述地址映射表进行对比，得到第二子对比结果，并根据所述第二子对比结果判断所述第一数据表和所述地址映射表中的MAC地址是否相同；

如果所述第一数据表和所述地址映射表中的MAC地址不相同，则确定所述待检测设备的MAC地址发生了变更；

所述将所述第二数据表分别和所述地址转发表、所述地址映射表进行对比，得到第二对比结果，根据所述第二对比结果确定所述待检测设备的IP地址变更情况，包括：

将所述第二数据表和所述地址映射表进行对比，得到第三子对比结果，并根据所述第三子对比结果判断所述第二数据表和所述地址映射表中的IP地址是否相同；

如果所述第二数据表和所述地址映射表中的IP地址不相同，则将所述第二数据表和所述地址转发表进行对比，得到第四子对比结果，并根据所述第四子对比结果判断所述第二数据表和所述地址转发表中的MAC地址是否相同；

如果所述第二数据表和所述地址转发表中的MAC地址不相同，则确定所述待检测设备的IP地址和MAC地址均发生了变更。

2.根据权利要求1所述的方法，其特征在于，获取地址转发表和地址映射表，包括：

访问待检测设备的管理信息库MIB，从所述管理信息库MIB中读取所述待检测设备的地址数据；

基于所述地址数据生成所述待检测设备的地址转发表和地址映射表。

3.根据权利要求1所述的方法，其特征在于，在将所述第二数据表和所述地址映射表进行对比，得到第三子对比结果，并根据所述第三子对比结果判断所述第二数据表和所述地址映射表中的IP地址是否相同之后，所述方法还包括：

如果所述第二数据表和所述地址映射表中的IP地址相同，则根据所述第三子对比结果判断所述第二数据表和所述地址映射表中的MAC地址是否相同；

如果所述第二数据表和所述地址映射表中的MAC地址不相同，则确定所述待检测设备的MAC地址发生了变更。

4.根据权利要求1所述的方法，其特征在于，在将所述第二数据表和所述地址转发表进行对比，得到第四子对比结果，并根据所述第四子对比结果判断所述第二数据表和所述地址转发表中的MAC地址是否相同之后，所述方法还包括：

如果所述第二数据表和所述地址转发表中的MAC地址相同，则确定所述待检测设备的IP地址发生了变更。

5.根据权利要求1所述的方法，其特征在于，所述根据所述MAC地址变更情况以及所述IP地址变更情况确定所述待检测设备的接入授权情况，包括：

如果检测到所述待检测设备的MAC地址发生了变更，和/或，如果检测到所述待检测设备的IP地址发生了变更，则确定所述待检测设备的接入未授权。

Images