本發明公開了一種應用于工業控制環境的端口掃描檢測方法、系統，該方法包括：抓取工業控制網絡中的網絡報文；提取帶有SYN標志的源IP、源MAC地址、目的IP、目的端口和目的MAC地址；利用源IP、源MAC地址、目的IP、目的端口和目的MAC地址構建每臺設備的端口連接；判斷學習期是否結束；如果學習期沒有結束，則將構建得到的當前設備的端口連接記錄為合法端口連接；如果學習期結束，則將當前設備的端口連接與合法端口連接進行匹配；如果當前設備的端口連接與合法端口連接匹配不成功，則判定當前設備存在端口掃描攻擊行為，并將當前設備的端口連接記錄為可疑端口連接。本發明能夠有效監測和發現長周期的慢掃描攻擊行為。

技術領域

本發明涉及網絡安全技術領域，特別是涉及一種應用于工業控制環境的端口掃描檢測方法、系統。

背景技術

隨著工業技術的發展，工業控制網絡化和智能化表現地更加突出，為了提高工業的生產效率，主要通過網絡對工業設備進行遠程控制和智能化生產，因此網絡在工業生產中發揮了重要的作用。但是，在工業控制環境中，惡意設備對工業控制環境中的設備進行端口掃描攻擊，成為了工業正常生產的隱患，給工業生產過程帶來了重大的威脅。因此，對端口掃描行為監測，并及時準確地發現惡意攻擊設備，有利于保護工業控制環境的正常生產。目前的端口掃描攻擊行為監測方法主要采用以下兩種：

(1)端口掃描本質上涉及傳輸層的TCP和UDP協議，主要集中采用半開放掃描、connect()掃描、TCP Null、FIN、Xmas掃描、TCP ACK、TCP窗口掃描、定制的TCP掃描、FTP彈跳掃描等方式對工業控制環境中的設備進行端口掃描。通過這些特點，可以采用對網絡報文的特征和行為匹配方式進行監測。由于通過特征和行為匹配的方式，存在特征庫完備性問題，同時監測長周期的慢掃描攻擊行為，采用這種方法容易也存在大量誤報的問題；

(2)采用統計網絡中的流量變化來發現掃描攻擊行為，但是這種統計流量的方式只能發現短周期的快掃描攻擊行為，不能有效監測長周期的慢掃描攻擊行為，存在端口掃描監測的局限性。

發明內容

本發明的目的在于提供一種應用于工業控制環境的端口掃描檢測方法、系統，能夠有效監測和發現長周期的慢掃描攻擊行為。

為解決上述技術問題，本發明采用的一個技術方案是：提供一種應用于工業控制環境的端口掃描檢測方法，包括以下步驟：S1：抓取工業控制網絡中的網絡報文；S2：提取網絡報文中帶有SYN標志的源IP、源MAC地址、目的IP、目的端口和目的MAC地址；S3：利用所述源IP、源MAC地址、目的IP、目的端口和目的MAC地址構建工業控制網絡中每臺設備的端口連接，所述端口連接包括源IP、源MAC地址及其對應請求的目的IP、目的MAC地址、目的端口；S4：判斷學習期是否結束，其中，所述學習期是預先設置的；S5：如果學習期沒有結束，則將構建得到的當前設備的端口連接記錄為合法端口連接；S6：如果學習期結束，則將當前設備的端口連接與合法端口連接進行匹配；S7：如果當前設備的端口連接與合法端口連接匹配不成功，則判定當前設備存在端口掃描攻擊行為，并將當前設備的端口連接記錄為可疑端口連接。

優選的，所述步驟S6具體包括：S61：如果學習期結束，則統計學習期內當前設備的端口連接的數量；S62：判斷掃描檢測周期是否開始，如果沒有開始則等待掃描檢測周期開始，如果開始則進行步驟S63；S63：判斷當前設備的端口連接的數量與已統計的端口連接的數量是否相同，如果不相同，則進行步驟S64，如果相同，則將下一個設備作為當前設備，并重復進行步驟S61；S64：判斷當前設備的端口連接的源IP、源MAC地址是否存在于合法端口連接中，如果存在，則進行步驟S65，如果不存在，則進行步驟S66；S65：判斷源IP、源MAC地址對應請求的目的IP、目的MAC地址、目的端口是否存在于合法端口連接中，如果不存在，則進行步驟S66；S66：判定當前設備的端口連接與合法端口連接匹配不成功。