工业控制第五章-拓展

SNMP与入侵检测ICSSecurity&ProtectionCONTENTS目录SNMP概述01SNMP协议特点02SNMP常用命令03SNMP在入侵检测中的应用04SNMP流量异常检测代码示例0501SNMP概述ICSSecurity&Protection01SNMP即简单网络管理协议，是应用层协议，用于管理IP网络中的节点，如服务器、路由器等。定义03网络管理员可通过SNMP管理网络效能、发现并解决网络问题。作用02基于SGMP协议发展而来，增加了SMI和MIB。起源SNMP定义与起源网络管理系统是网络管理的中心，通过发送指令和接收信息实现管理。01被管理设备包括服务器、工作站、路由器等需要被监控和管理的设备。02代理者安装在被管理设备上，负责传递设备状态信息并执行管理指令。03SNMP架构组成SNMP架构OID即对象标识符，用于唯一标识MIB中的每个节点，命名规则是父节点名字作为子节点名字的前缀。01OID作用MIB是管理信息库，是通过SNMP可访问的管理对象集合，呈树状结构。MIB定义02如表示对象ernet。示例03MIB与OIDMIB树状图02SNMP协议特点ICSSecurity&Protection01.02.03.设计理念简单，让网络设备的实现、配置及维护轻松便捷，易于被专业人员和普通技术人员掌握。易于掌握正因简单，使其在各种网络环境中得到广泛应用。应用广泛无论是小型局域网还是大型企业网络，SNMP都能快速部署和使用。示例简单性通过MIB的定义，SNMP可容纳不同类型网络设备的管理信息，适应网络技术发展。MIB的可扩展性01随着新设备涌现，SNMP凭借扩展性可轻松管理各类新型网络设备。适应新设备02当新的智能网络设备出现时，只需更新MIB即可纳入SNMP管理。示例03扩展性01突破设备限制能在不同厂商生产的设备及不同类型的网络设备共同存在的环境中稳定运行。03示例在包含多种品牌路由器和交换机的网络中，SNMP可统一管理。02统一管理方案为复杂网络环境中的网络管理提供统一的解决方案。异构网络支持03SNMP常用命令ICSSecurity&Protection获取IP地址为0的系统描述，其OID为..0，命令为“snmpget-v2c-cpublic0..0”。用于获取被管理端某个节点的值。“-v2c”指定snmp版本，“-cpublic”指定共同体名。功能示例参数说明snmpget01用于设置某个节点的值。功能02设置IP地址为0的一个特定OID（.4.1.20）的值为整数100，命令为“snmpset-v2c-cprivate0.4.1.20i100”。示例03“-v2c”指定版本，“-cprivate”指定共同体名。参数说明snmpset0203将某一个节点下的所有被管理的子节点内容都打印出来。功能01“-v2c”指定版本，“-cpublic”指定共同体名。参数说明对IP地址为0的OID.2.1.1进行SNMP遍历，命令为“snmpwalk-v2c-cpublic0.2.1.1”。示例snmpwalk010203功能示例参数说明用于翻译OID。将OID..0转成MIB名称可使用命令“snmptranslate-On..0”，将MIB名称转成OID可使用命令“snmptranslate-IRsysDescr”。“-On”将OID转为MIB名称，“-IR”将MIB名称转为OID。snmptranslate向管理端发送trap包，用于报警。功能01命令“snmptrap-v2c-cmycommunity0...5.1.0s"messagecontent"”，其中0是接收trap的IP地址，"...5.1.0"为trap的OID，s表示后面跟的是字符串。示例02“-v2c”指定版本，“-cmycommunity”指定共同体名。参数说明03snmptrap04SNMP在入侵检测中的应用ICSSecurity&Protection通过SNMP定期获取网络设备接口流量统计信息，若流量突然大幅变化则可能有攻击。示例遭受DDoS攻击时，目标设备接口流量激增，SNMP可及时发现。重要性能快速发现网络流量异常，及时采取措施应对攻击。原理流量异常检测某端口在非正常时间频繁开启关闭，可能是有人在尝试非法入侵。示例监测网络设备的连接状态，如端口的开启关闭、连接的建立断开等，发现异常则可能是非法入侵。原理可有效防范非法入侵，保障网络连接的安全性。重要性连接状态异常检测原理周期性扫描网络设备，获取MAC地址、IP地址等信息，与合法设备信息对比，发现未知设备接入。示例发现未登记的设备接入网络，可及时调查处理。重要性防止非法设备接入，维护网络的稳定性和安全性。非法设备接入监测原理监测主机网络通信行为和资源使用情况，发现异常网络活动和资源占用则可能感染恶意软件。示例某主机向多台其他主机发送大量异常数据包，且CPU利用率、内存使用量突然升高，可能感染恶意软件。重要性及时发现并处理恶意软件感染，防止其在网络中传播。恶意软件监测Python、Java等主流编程语言对SNMP有良好支持。语言支持Python中使用pysnmp库可发送SNMP请求并获取响应，实现入侵检测功能。示例利用编程语言可灵活实现各种入侵检测策略，提高检测效率。重要性编程语言支持与应用05SNMP流量异常检测代码示例ICSSecurity&Protection主要功能定期获取指定网络设备的特定接口输入字节数和输出字节数信息并打印。实现方式使用Python的pysnmp库发送SNMP请求并处理响应。应用场景用于网络设备接口流量情况监控。代码功能定义get_interface_traffic函数，参数为ip、community和oid，用于获取接口流量信息。在无限循环中调用函数获取流量信息并打印，使用time.sleep暂停。定义函数循环获取从pysnmp.hlapi模块导入所有内容，导入time模块。实例化相关类，使用getCmd函数发送SNMP请求，处理响应获取流量信息。导入模块发送请求代码结构参数设置输出结果获取流量循环监控调用函数分别获取输入字节数和输出字节数。设置目标设备IP地址和共同体名。打印获取到的流量信息。每隔5分钟循环一次，持续监控流量。代码运行代码示例1.frompysnmp.hlapiimport*2.importtime3.4.defget_interface_traffic(ip,community,oid):5.snmp_object=ObjectIdentity(oid)6.snmp_target=SnmpEngine()7.snmp_community=CommunityData(community,mpModel=0)8.snmp_context=ContextData()9.10.#发送SNMP请求

11.snmp_data=getCmd(snmp_target,snmp_community,snmp_object,snmp_context)12.13.#处理SNMP响应

14.error_indication,error_status,error_index,var_binds=next(snmp_data)15.iferror_indication:16. print('SNMP请求错误:',error_indication)17.else:18. iferror_status:19. print('SNMP错误:',error_status.prettyPrint())20.else:21. forvar_bindinvar_binds:22. value=var_bind[1]23. returnvalue24.25.ip_address=""

#替换为实际的网络设备IP地址

26.community_string="public"

#替换为实际的共同体名

27.28.whileTrue:29.#获取接口流量信息

30.input_bytes=get_interface_traffic(ip_address,community_string,'..1.10')31.output_bytes=get_in