[发明专利]一种基于蜜网数据的工控扫描器指纹识别方法

说明书

本发明提出一种基于蜜网数据的工控扫描器指纹识别方法，包括：对工业控制网络中通过蜜罐网络系统捕获的扫描数据和已有的工控扫描器进行分析，获得指纹信息并构建基于CART决策树的扫描数据多分类分类器模型。多分类分类器模型能够有效识别发起扫描流量的特定扫描工具，并输出各类扫描器标签的判断概率。之后，多分类分类器模型的输出结果将作为聚类算法的输入数据，聚类算法可以发现不同扫描实体间更深层次的关联关系，形成聚簇。同时，聚类算法还可以有效提取不同聚簇的扫描特征，形成新的扫描器标签，并更新到之前的多分类决策树中，提高了本发明对于新型扫描器数据的判断能力。

技术领域

本发明属于网络安全技术领域，涉及一种基于蜜网数据的工控扫描器指纹识别方法。

背景技术

最近几年，网络空间安全领域发生了巨大的变化，工业控制系统成为了新的网络空间安全主战场之一。两化融合后，IT系统的信息安全也被融入了工业控制系统安全中。当前，我国关键信息基础设施面临的网络安全形势严峻且复杂。根据东北大学“谛听”网络安全团队的数据显示，全球存在大量暴露在互联网上的工业控制系统，其中占比较多的包括电力行业、石油石化行业及先进制造业，这些都与国计民生密切相关，涉及到国家安全。

扫描器识别作为网络安全的一种重要手段已经逐步渗透到工业控制系统网络安全中，作为工控安全的中心技术，扫描器的研究与升级十分关键，对于工业控制系统的网络安全有着不可忽视的重要性。

传统IT领域有关扫描器识别的研究较少，应用于工控安全领域的更是少之又少。现有的一些技术大多利用蜜罐网络访问流量或时序特性对扫描器进行识别，不能够有效识别新型的扫描活动。同时，蜜罐网络系统能够监听黑客对工控设备的扫描器活动还可以过滤掉其他无关流量，更具有针对性，并且蜜罐网络成本低易部署，只需要低配置的服务器或专用硬件即可完成部署，具有多重优点。因而，本发明提出了一种新颖的基于蜜网数据的工控扫描器指纹识别方法。提出的方法能够适应新发现的扫描器和工控协议，且不依赖于具体的网络环境，在实时更新数据和分析结果的准确性等方面都有所提升。

发明内容

本发明的目的在于：基于蜜网系统捕获扫描数据，并利用基于CART的多分类决策树和聚类相结合的方式，提供了一种基于蜜网数据的工控扫描器指纹识别方法。

本发明实现方案如下：

对工业控制网络中通过蜜罐网络系统捕获的扫描数据和已有的工控扫描器进行分析，获得指纹信息并基于CART决策树构建扫描数据多分类分类器模型。多分类分类器模型能够有效识别发起扫描流量的特定扫描工具，并输出符合各类扫描器标签的判断概率。之后，多分类分类器模型的输出结果将作为聚类算法的输入数据，聚类算法可以发现不同扫描实体间更深层次的关联关系，形成聚簇。同时，聚类算法还可以有效提取不同聚簇的扫描特征，形成新的扫描器标签，并更新到之前的多分类决策树中，提高了本发明对于新型扫描器数据的判断能力。

本发明具体技术方案为：

一种基于蜜网数据的工控扫描器指纹识别方法，包括如下步骤：

a.获得原始训练数据，其中原始训练数据的获得包括两种途径：一种是基于部署在工业控制系统中的蜜罐网络捕获扫描器对工控设备的探测行为并与其进行深度交互，获得扫描数据；另一种是结合相关安全服务厂商提供的工控扫描器信息记录，分析得到扫描数据。

b.提取扫描数据指纹内容，建立扫描特征数据集。