[发明专利]一种基于TCP/IP指纹的工控设备自动识别方法

说明书

本发明提出一种基于TCP/IP指纹的工控设备自动识别方法，其特征在于，主要包括：步骤1，收集通讯端口特征；步骤2，提取TCP/IP头部特征；步骤3，设备指纹生成；步骤4，设备类型预测；步骤5，设备子类型预测。

技术领域

本发明涉及一种自动识别方法，尤其涉及一种基于TCP/IP指纹的工控设备 自动识别方法。

背景技术

工业控制网络“专网专用，物理隔离”的理念被逐渐打破。为了实现系统 间的协同和信息分享，越来越多的工业控制系统开始采用通用的以太网协议标 准进行通讯，甚至直接暴露于互联网之上，工业控制系统的固有漏洞和攻击面 与日俱增。在工业控制系统变得愈发开放、互联的同时，也将面临病毒、恶意 入侵等传统网络安全威胁。

保障工控系统安全的前提是知悉构成系统的各类设备的详情信息。工业控 制系统结构复杂，设备类型众多，由管理员手工维护各类设备信息是低效且不 安全的，难以保证设备信息的时效性和有效性。如果可以通过提取设备指纹对 系统中的设备进行识别，就能准确高效地获取管辖域内各类设备的详情信息。 通过建立工控设备指纹数据库，采用机器学习相关方法对设备指纹进行分类， 实现工控设备的自动识别，在降低系统维护成本的同时提升了系统管理的安全 化水平和风险预防能力。

工业控制网络中的设备类型和通讯协议和传统IT网络有着极大区别，因此 传统IT网络中的设备识别工具如p0f、Ettercap等不适用于工业控制网络。Nmap 可通过第三方脚本库的支持识别使用Modbus、S7、EtherNet/IP等工控协议的 设备，但是其探测方式依赖于大量特殊构造的工控协议探测报文，可能会侵扰 设备的正常运行。目前，专用于工业控制网络的设备识别工具包括：PLCScan 和GrassMarlin。前者探测方式与Nmap类似，且仅支持使用Modbus协议通讯 的设备；后者使用被动监听的方式提取设备指纹用以识别，但其指纹库只包含 部分特定工控协议的指纹(如Modbus、IEC104、DNP3等)。

现有的设备识别方案或是缺乏对工业控制设备的支持，或是缺乏通用可扩 展性。如果可以基于通用的TCP/IP协议栈提取设备特征构建指纹，通过机器学 习算法对指纹进行分类实现工控设备的自动化识别，就能有效地解决现有设备 识别方案的不足。

发明内容

针对现有技术存在的问题，本发明提出一种基于TCP/IP指纹的工控设备自 动识别方法，可支持工业控制设备，具有通用可扩展性。

一种基于TCP/IP指纹的工控设备自动识别方法，步骤包括，

步骤1，收集通讯端口特征；

步骤2，提取TCP/IP头部特征；

步骤3，设备指纹生成；

步骤4，设备类型预测；

步骤5，设备子类型预测。

进一步，所述步骤1中收集通讯端口特征基于被动监听设备通讯流量的方 式，具体方式为对所有设备的端口信息进行预处理，仅保留IANA分配的常用端 口和工控协议通讯端口，并通过基于随机森林的交叉验证式递归特征消除选出 分类贡献度最大的32个端口，然后通过One-Hot编码将其转化为一个32维向 量作为设备的通讯端口特征OP。

进一步，所述步骤2中所述提取的TCP/IP头部特征是从通过单步TCP SYN 扫描获取的设备响应报文中提取，所述提取的字段包括初始TTL，窗口大小WS， 最大报文长短长度MSS，窗口缩放因子WSC，TCP选项布局OL。

进一步，所述步骤3中设备指纹生成的具体方式为将提取到的设备通讯端 口特征和TCP/IP协议头部特征组合为设备指纹F＝iTTL,WS,MSS,WSC,OL, OP，所述通讯端口特征是一个32维向量，所述TCP/IP头部特征iTTL、WS、MSS、WSC均是数值型字段，所述OL是字符串经过HASH处理映射为数字。