本發明提出一種基于TCP/IP指紋的工控設備自動識別方法，其特征在于，主要包括：步驟1，收集通訊端口特征；步驟2，提取TCP/IP頭部特征；步驟3，設備指紋生成；步驟4，設備類型預測；步驟5，設備子類型預測。

技術領域

本發明涉及一種自動識別方法，尤其涉及一種基于TCP/IP指紋的工控設備 自動識別方法。

背景技術

工業控制網絡“專網專用，物理隔離”的理念被逐漸打破。為了實現系統 間的協同和信息分享，越來越多的工業控制系統開始采用通用的以太網協議標 準進行通訊，甚至直接暴露于互聯網之上，工業控制系統的固有漏洞和攻擊面 與日俱增。在工業控制系統變得愈發開放、互聯的同時，也將面臨病毒、惡意 入侵等傳統網絡安全威脅。

保障工控系統安全的前提是知悉構成系統的各類設備的詳情信息。工業控 制系統結構復雜，設備類型眾多，由管理員手工維護各類設備信息是低效且不 安全的，難以保證設備信息的時效性和有效性。如果可以通過提取設備指紋對 系統中的設備進行識別，就能準確高效地獲取管轄域內各類設備的詳情信息。 通過建立工控設備指紋數據庫，采用機器學習相關方法對設備指紋進行分類， 實現工控設備的自動識別，在降低系統維護成本的同時提升了系統管理的安全 化水平和風險預防能力。

工業控制網絡中的設備類型和通訊協議和傳統IT網絡有著極大區別，因此 傳統IT網絡中的設備識別工具如p0f、Ettercap等不適用于工業控制網絡。Nmap 可通過第三方腳本庫的支持識別使用Modbus、S7、EtherNet/IP等工控協議的 設備，但是其探測方式依賴于大量特殊構造的工控協議探測報文，可能會侵擾 設備的正常運行。目前，專用于工業控制網絡的設備識別工具包括：PLCScan 和GrassMarlin。前者探測方式與Nmap類似，且僅支持使用Modbus協議通訊 的設備；后者使用被動監聽的方式提取設備指紋用以識別，但其指紋庫只包含 部分特定工控協議的指紋(如Modbus、IEC104、DNP3等)。

現有的設備識別方案或是缺乏對工業控制設備的支持，或是缺乏通用可擴 展性。如果可以基于通用的TCP/IP協議棧提取設備特征構建指紋，通過機器學 習算法對指紋進行分類實現工控設備的自動化識別，就能有效地解決現有設備 識別方案的不足。

發明內容

針對現有技術存在的問題，本發明提出一種基于TCP/IP指紋的工控設備自 動識別方法，可支持工業控制設備，具有通用可擴展性。

一種基于TCP/IP指紋的工控設備自動識別方法，步驟包括，

步驟1，收集通訊端口特征；

步驟2，提取TCP/IP頭部特征；

步驟3，設備指紋生成；

步驟4，設備類型預測；

步驟5，設備子類型預測。

進一步，所述步驟1中收集通訊端口特征基于被動監聽設備通訊流量的方 式，具體方式為對所有設備的端口信息進行預處理，僅保留IANA分配的常用端 口和工控協議通訊端口，并通過基于隨機森林的交叉驗證式遞歸特征消除選出 分類貢獻度最大的32個端口，然后通過One-Hot編碼將其轉化為一個32維向 量作為設備的通訊端口特征OP。

進一步，所述步驟2中所述提取的TCP/IP頭部特征是從通過單步TCP SYN 掃描獲取的設備響應報文中提取，所述提取的字段包括初始TTL，窗口大小WS， 最大報文長短長度MSS，窗口縮放因子WSC，TCP選項布局OL。

進一步，所述步驟3中設備指紋生成的具體方式為將提取到的設備通訊端 口特征和TCP/IP協議頭部特征組合為設備指紋F＝iTTL,WS,MSS,WSC,OL, OP，所述通訊端口特征是一個32維向量，所述TCP/IP頭部特征iTTL、WS、MSS、WSC均是數值型字段，所述OL是字符串經過HASH處理映射為數字。