本發明涉及一種基于載荷特征和統計特征的Shodan流量識別方法，包括步驟：在網絡中設置交換機流量鏡像端口，部署嗅探器進行流量監聽；嗅探器對監聽到的流量以數據包窗口的方式進行解析，分別提取載荷特征和統計特征；利用嗅探器的解析結果，對載荷特征和統計特征依次采用基于狀態機的載荷特征識別模型和基于統計特征的SVM識別模型進行識別，完成Shodan流量和非Shodan流量的分類。通過本發明，能夠通過功能碼序列特征準確反映流量交互的先后次序，對于掃描類流量的識別具有極高的識別率；本發明分別構建網絡層和應用層識別模型，可從多個維度、側面去分析流量特征，從而擴大了傳統流量檢測的范圍，提高流量識別的準確率。

技術領域

本發明涉及工業控制系統安全技術領域，更具體地說，涉及一種基于載荷特征和統計特征的Shodan流量識別方法。

背景技術

工業控制系統廣泛應用于油氣管道、供水系統、電網、核電站等關鍵基礎設施的重要領域。隨著工業信息化的快速發展，給工業控制系統帶來了更多的互聯網因素，大量的工控設備被接入到互聯網中，因此傳統網絡攻擊也逐漸滲透到工業控制領域，對工控系統造成嚴重威脅。Shodan搜索引擎的出現使得這種威脅得到放大。由于能夠識別和索引面向互聯網的工業控制系統組件，Shodan搜索引擎受到了極大的關注。

2009年，程序員約翰·馬瑟利(John Matherly)推出了Shodan。它是全球第一個全網設備搜索引擎，帶有圖形用戶界面，可以識別面向互聯網的設備。不同于傳統搜索引擎以網頁內容索引為主，Shodan可以識別具有可路由IP地址的設備，包括計算機、打印機、網絡攝像頭和工業控制設備等。Shodan每周7天、每天24小時都在運行，每月收集大約5億臺聯網設備和服務的信息。它將收集到的設備信息存儲在一個可搜索的數據庫中，該數據庫可通過web接口或Shodan API進行訪問。用戶可以使用一系列過濾器查詢Shodan數據庫，這些過濾器包括國家、主機名、網絡信息、操作系統和端口等。

Shodan搜索引擎的設計目的是搜索互聯網，并試圖識別和索引連接的設備。Shodan已經識別出數萬個與工業控制系統相關的面向互聯網的設備。識別工控相關設備的能力引起了重大的安全問題。美國國土安全部發布了一份關于Shodan的報告，詳細說明了工業控制設備暴露在互聯網下的風險。CNNMoney的一篇文章寫道，雖然目前人們都認為谷歌是最強勁的搜索引擎，但Shodan才是互聯網上最可怕的搜索引擎。事實上，Shodan為攻擊者提供了一個強大的偵察工具。攻擊者通過Shodan可以很方便的發現暴露在互聯網上的工業控制設備以及與該設備相關的IP地址，開放的服務和存在的漏洞等信息。進而通過這些信息發動攻擊，對工控系統造成嚴重破壞。

互聯網流量識別方法主要分為三種：基于端口的識別方法、深度包檢測(DPI)識別方法和基于機器學習的識別方法。基于端口的流量識別根據各種協議和各種網絡應用使用特定端口對網絡流量進行識別。例如基于HTTP協議的Web應用，使用的服務器端口是80，基于FTP協議的文件傳輸應用則是使用20與21端口，SSH遠程登錄協議使用22端口，telnet遠程終端使用23端口等。深度包檢測識別通過對目標流量進行協議或者應用的特征分析，提取數據包負載中所攜帶的特征碼，將其應用到流量的識別當中。基于機器學習的流量識別通過從網絡流量中抽取一系列獨立于荷載的統計屬性，然后采用機器學習的方法訓練出一個識別模型，從而進行下一步的流量識別。