对工业控制系统进行监控，捕获工业控制系统网络通信过程中所发送的协议报文；

　　对所述协议报文进行分析，确定工业控制系统中设备的主机类型以及设备之间的通信

　　通过所述主机类型、所述通信链路关系以及预先配置的拓扑图配置信息，确定拓扑图

　　2.根据权利要求1所述的工业控制系统拓扑图自动绘制方法，其特征在于，对所述协议

　　对所述协议报文进行分析，提取所述协议报文的特征值和报文通信序列，所述特征值

　　分别根据所述特征值和所述报文通信序列，确定所述协议报文的报文类型以及协议版

　　3.根据权利要求2所述的工业控制系统拓扑图自动绘制方法，其特征在于，分别根据所

　　述特征值和所述报文通信序列，确定所述协议报文的报文类型以及协议版本包括：

　　将所述特征值与协议报文特征库中存储的特征进行比对，得到特征值比对结果，并根

　　将所述报文通信序列与协议报文通信序列库中的报文通信序列进行比对，得到报文通

　　4.根据权利要求3所述的工业控制系统拓扑图自动绘制方法，其特征在于，根据所述报

　　根据所述源MAC地址信息，对比由IEEE的注册管理机构RA分配的厂商信息，确定对应设

　　5.根据权利要求4所述的工业控制系统拓扑图自动绘制方法，其特征在于，对所述协议

　　根据所述协议版本，提取所述协议报文所包含的源IP地址、源MAC地址、目的IP地址、目

　　将所述源IP地址、所述源MAC地址、所述目的IP地址、所述目的MAC地址与工业系统缓存

　　数据捕获模块，用于对工业控制系统进行监控，捕获工业控制系统网络通信过程中所

　　报文分析模块，用于对所述协议报文进行分析，确定工业控制系统中设备的主机类型

　　规则确定模块，用于通过所述主机类型、所述通信链路关系以及预先配置的拓扑图配

　　置信息，确定拓扑图生成规则，所述拓扑图配置信息包括层级配置关系信息和冗余网络配

　　拓扑图生成模块，用于根据所述拓扑图生成规则，动态生成工业控制系统的拓扑图。

　　7.根据权利要求6所述的工业控制系统拓扑图自动绘制系统，其特征在于，所述报文分

　　析模块包括：第一分析模块，用于对所述协议报文进行分析，确定所述工业控制系统中设备

　　的主机类型，且所述第一分析模块包括：数据提取模块、类型版本确定模块、主机确定模块，

　　数据提取模块，用于对所述协议报文进行分析，提取所述协议报文的特征值和报文通

　　类型版本确定模块，用于分别根据所述特征值和所述报文通信序列，确定所述协议报

　　主机确定模块，用于根据所述报文类型和所述协议版本，确定所述工业控制系统中设

　　8.根据权利要求7所述的工业控制系统拓扑图自动绘制系统，其特征在于，所述类型版

　　本确定模块在分别根据所述特征值和所述报文通信序列，确定所述协议报文的报文类型以

　　及协议版本时，将所述特征值与协议报文特征库中存储的特征进行比对，得到特征值比对

　　结果，并根据特征值比对结果，确定协议报文的报文类型；将所述报文通信序列与协议报文

　　通信序列库中的报文通信序列进行比对，得到报文通信序列比对结果，并根据报文通信序

　　9.根据权利要求8所述的工业控制系统拓扑图自动绘制系统，其特征在于，所述主机确

　　MAC提取模块，用于根据所述协议版本，提取所述协议报文所包含的源MAC地址信息；

　　厂商确定模块，用于根据所述源MAC地址信息，对比由IEEE的注册管理机构RA分配的厂

　　主机类型确定模块，用于根据所述生产厂商信息和所述协议报文的报文类型，确定对

　　10.根据权利要求9所述的工业控制系统拓扑图自动绘制系统，其特征在于，所述报文

　　分析模块包括：第二分析模块，用于对所述协议报文进行分析，确定工业控制系统中设备之

　　间的通信链路关系，且所述第二分析模块包括：协议提取模块、链路确定模块，其中，

　　协议提取模块，用于根据所述协议版本，提取所述协议报文所包含的源IP地址、源MAC

　　链路确定模块，用于将所述源IP地址、所述源MAC地址、所述目的IP地址、所述目的MAC

　　地址与工业系统缓存中存储的链路信息进行比对，确定工业控制系统中设备之间的通信链

　　成部分。工业控制系统经过几代革新，充分利用了传统信息系统的先进技术，同时，工业自

　　动化控制系统信息安全问题在工业信息化、网络化的发展过程中已经逐渐暴露出来，在工

　　业自动化控制系统施工建立过程中，系统的网络拓扑图会和实际的信息网络构建出现偏

　　离，实际网络中可能存在未在拓扑图中标注的设备或工控网络在后期建设或者改造时未能

　　及时更新网络的拓扑谱结构图，从而导致工业网络真实的拓扑结构和档案存留的网络拓扑

　　结构图纸出现偏离；其次，对于工业控制系统生命周期长的特点，很多控制系统的资料由于

　　而为了解决该问题，业内按照预设拓扑图结构，从根节点到子节点，从父节点到子

　　节点的顺序，将不同数据类型的待处理数据分别进行排序，得到各数据类型各自对应的符

　　合预设拓扑图数据结构的待处理数据；然后再获取符合预设拓扑图数据结构的各待处理数

　　据在预设拓扑图数据结构中的数据属性；依据各待处理数据在预设拓扑图数据结构中的数

　　据属性，生成拓扑图。然而这种方式需要网络设备主动发送报文上送自己的节点信息，需要

　　和网络设备产生联系之后才能生成拓扑图，会对正在运行的工控网络产生一些影响，而且

　　业网络中存在的主机设备信息，自动绘制符合真实网络状况的拓扑图的方法，是目前亟待

　　影响原工控系统运行的情况下，真实有效的检测工业网络中存在的主机设备信息，自动绘

　　概括部分不是泛泛评述，也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。

　　扑图生成规则，所述拓扑图配置信息包括层级配置关系信息和冗余网络配置信息；

　　机类型包括：对所述协议报文进行分析，提取所述协议报文的特征值和报文通信序列，所述

　　特征值包括字段类型、字段偏移、字段长度以及字段取值；分别根据所述特征值和所述报文

　　通信序列，确定所述协议报文的报文类型以及协议版本；根据所述报文类型和所述协议版

　　的报文类型以及协议版本包括：将所述特征值与协议报文特征库中存储的特征进行比对，

　　得到特征值比对结果，并根据特征值比对结果，确定协议报文的报文类型；将所述报文通信

　　序列与协议报文通信序列库中的报文通信序列进行比对，得到报文通信序列比对结果，并

　　设备的主机类型包括：根据所述协议版本，提取所述协议报文所包含的源MAC地址信息；根

　　据所述源MAC地址信息，对比由IEEE的注册管理机构RA分配的厂商信息，确定对应设备的生

　　产厂商信息；根据所述生产厂商信息和所述协议报文的报文类型，确定对应设备的主机类

　　信链路关系包括：根据所述协议版本，提取所述协议报文所包含的源IP地址、源MAC地址、目

　　的IP地址、目的MAC地址；将所述源IP地址、所述源MAC地址、所述目的IP地址、所述目的MAC

　　地址与工业系统缓存中存储的链路信息进行比对，确定工业控制系统中设备之间的通信链

　　图配置信息，确定拓扑图生成规则，所述拓扑图配置信息包括层级配置关系信息和冗余网

　　在一个实施例中，所述报文分析模块包括：第一分析模块，用于对所述协议报文进

　　行分析，确定所述工业控制系统中设备的主机类型，且所述第一分析模块包括：数据提取模

　　块、类型版本确定模块、主机确定模块，其中，数据提取模块，用于对所述协议报文进行分

　　析，提取所述协议报文的特征值和报文通信序列，所述特征值包括字段类型、字段偏移、字

　　段长度以及字段取值；类型版本确定模块，用于分别根据所述特征值和所述报文通信序列，

　　确定所述协议报文的报文类型以及协议版本；主机确定模块，用于根据所述报文类型和所

　　序列，确定所述协议报文的报文类型以及协议版本时，将所述特征值与协议报文特征库中

　　存储的特征进行比对，得到特征值比对结果，并根据特征值比对结果，确定协议报文的报文

　　类型；将所述报文通信序列与协议报文通信序列库中的报文通信序列进行比对，得到报文

　　在一个实施例中，所述主机确定模块包括：MAC提取模块、厂商确定模块、主机类型

　　确定模块，其中，MAC提取模块，用于根据所述协议版本，提取所述协议报文所包含的源MAC

　　地址信息；厂商确定模块，用于根据所述源MAC地址信息，对比由IEEE的注册管理机构RA分

　　配的厂商信息，确定对应设备的生产厂商信息；主机类型确定模块，用于根据所述生产厂商

　　在一个实施例中，所述报文分析模块包括：第二分析模块，用于对所述协议报文进

　　行分析，确定工业控制系统中设备之间的通信链路关系，且所述第二分析模块包括：协议提

　　取模块、链路确定模块，其中，协议提取模块，用于根据所述协议版本，提取所述协议报文所

　　包含的源IP地址、源MAC地址、目的IP地址、目的MAC地址；链路确定模块，用于将所述源IP地

　　址、所述源MAC地址、所述目的IP地址、所述目的MAC地址与工业系统缓存中存储的链路信息

　　控制系统产生影响，无扰的采集工控网络中的报文数据；依据采集的网络报文，将这些报文

　　进行解析；获取网络设备资产信息；依据检测的设备资产信息和拓扑图生成规则配置信息，

　　拓扑结构进行透明化、可视化监测，做到控制系统网络全要素的实时透明化呈现，并基于工

　　控网络全要素网络报文解析，精准检测识别网络中存在的设备资产。并且，依据解析的网络

　　通信报文信息，可以识别出隐藏在工控网络中的未知设备，同时，也可自定义拓扑图生成规

　　践它们。一些实施方案的部分和特征可以被包括在或替换其他实施方案的部分和特征。本

　　文的实施方案的范围包括权利要求书的整个范围，以及权利要求书的所有可获得的等同

　　物。本文中，术语“第一”、“第二”等仅被用来将一个元素与另一个元素区分开来，而不要求

　　或者暗示这些元素之间存在任何实际的关系或者顺序。实际上第一元素也能够被称为第二

　　元素，反之亦然。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，

　　从而使得包括一系列要素的结构、装置或者设备不仅包括那些要素，而且还包括没有明确

　　列出的其他要素，或者是还包括为这种结构、装置或者设备所固有的要素。在没有更多限制

　　的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的结构、装置或者

　　设备中还存在另外的相同要素。本文中各个实施例采用递进的方式描述，每个实施例重点

　　说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

　　本文中的术语“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水

　　平”、“顶”、“底”“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅

　　是为了便于描述本文和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方

　　位、以特定的方位构造和操作，因此不能理解为对本发明的限制。在本文的描述中，除非另

　　有规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是机械连接或电连

　　接，也可以是两个元件内部的连通，可以是直接相连，也可以通过中间媒介间接相连，对于

　　本文中，字符“/”表示前后对象是一种“或”的关系。例如，A/B表示：A或B。

　　本文中，术语“和/或”是一种描述对象的关联关系，表示可以存在三种关系。例如，

　　骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行

　　并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图中的至少一部分步骤可

　　以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，

　　而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是

　　可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

　　现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形

　　式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

　　步骤S101，对工业控制系统进行监控，捕获工业控制系统网络通信过程中所发送

　　步骤S103，对所述协议报文进行分析，确定工业控制系统中设备的主机类型以及

　　步骤S105，通过所述主机类型、所述通信链路关系以及预先配置的拓扑图配置信

　　息，确定拓扑图生成规则，所述拓扑图配置信息包括层级配置关系信息和冗余网络配置信

　　的主机类型时，对所述协议报文进行分析，提取所述协议报文的特征值和报文通信序列，所

　　述特征值包括字段类型、字段偏移、字段长度以及字段取值；分别根据所述特征值和所述报

　　文通信序列，确定所述协议报文的报文类型以及协议版本；根据所述报文类型和所述协议

　　议报文特征库中存储的特征进行比对，得到特征值比对结果，并根据特征值比对结果，确定

　　协议报文的报文类型；具体的，依据所述协议报文的特征值在协议报文中对应的排列顺序，

　　将相应排列位置上的特征值与预先设置的协议报文特征库中的特征值进行比对，得到特征

　　通信序列与协议报文通信序列库中的报文通信序列进行比对，得到报文通信序列比对结

　　统中设备的主机类型时，可根据所述协议版本，提取所述协议报文所包含的源MAC地址信

　　息；再根据所述源MAC地址信息，对比由IEEE的注册管理机构RA分配的厂商信息，确定对应

　　设备的生产厂商信息；然后根据所述生产厂商信息和所述协议报文的报文类型，确定对应

　　通信链路关系包括：根据所述协议版本，提取所述协议报文所包含的源IP地址、源MAC地址、

　　目的IP地址、目的MAC地址；将所述源IP地址、所述源MAC地址、所述目的IP地址、所述目的

　　MAC地址与工业系统缓存中存储的链路信息进行比对，确定工业控制系统中设备之间的通

　　具体的，以源IP地址和源MAC地址为发送设备的唯一标识符Key，以目的IP地址和

　　目的MAC地址为接收设备的唯一标识符Key；将发送设备A的Key和接收设备B的Key和系统中

　　缓存的key进行比对，如果存在该通信链路关系，将该通信链路对应的key标识的通信次数

　　加一；如果不存在该通信链路关系，将将该通信链路对应的key标识的添加至系统并将通信

　　而在实际应用中，对于设备A‑设备B与设备B‑设备A之间的链路关系是不同的，

　　要有所区分；对于设备A‑设备B或设备B‑设备A之间的通信次数或通信时间要存在链路通

　　信记录；对于不符合网络安全审计配置的链路通信关系要能够以红色或其他特定颜色显示

　　炼化、油气管网、化工生产之类的自动化生产环境中，控制系统的拓扑图一般分为较为简单

　　的两层结构，监控层和过程层。监控层主机设备负责处理过程层上传的数据进画面展示和

　　下发操作指令类的工作，过程层控制器类设备负责生产线的自动化控制和生产环境关键信

　　息上传、如环境温度，容器压力、电路电流电压的波动信息等。而发电、变电、电力运输行业

　　中、自动化控制系统一般分为三层结构站控层、间隔层、过程层。站控层主要指的是厂站级

　　的监控类主机设备；间隔层主要指的是继电保护与测控、录波等主机设备；过程层是指数字

　　化变电站中的智能控制类设备。如果碰到特殊的生产环境，工业工控系统的网络层级划分

　　是需要进行特殊修改的，因此，在确定拓扑图生成规则时，层级划分要能根据不同的工业控

　　余网络，还可能存在冗余CPU核心处理单元，单个控制器设备可能存在四个网络端口。因此，

　　在确定拓扑图生成规则时，要对冗余网络进行配置，针对不同的生产环境进行冗余网络配

　　定拓扑图生成规则时，则是依据网络通信报文提取的主机信息与系统计算得出的主机设备