[发明专利]一种基于TCP/IP指纹的工控设备自动识别方法

权利要求书

1.一种基于TCP/IP指纹的工控设备自动识别方法，其特征在于，主要包括：步骤1，收集通讯端口特征；步骤2，提取TCP/IP头部特征；步骤3，设备指纹生成；步骤4，设备类型预测；步骤5，设备子类型预测；所述步骤1中收集通讯端口特征基于被动监听设备通讯流量的方式，具体方式为对所有设备的端口信息进行预处理，仅保留IANA分配的常用端口和工控协议通讯端口，并通过基于随机森林的交叉验证式递归特征消除选出分类贡献度最大的32个端口，然后通过One-Hot编码将其转化为一个32维向量作为设备的通讯端口特征OP；所述步骤2中所述提取的TCP/IP头部特征是从通过单步TCP SYN扫描获取的设备响应报文中提取，所述提取的字段包括初始TTL，窗口大小WS，最大报文长短长度MSS，窗口缩放因子WSC，TCP选项布局OL；所述步骤3中设备指纹生成的具体方式为将提取到的设备通讯端口特征和TCP/IP协议头部特征组合为设备指纹F＝iTTL,WS,MSS,WSC,OL,OP，所述通讯端口特征是一个32维向量，所述TCP/IP头部特征iTTL、WS、MSS、WSC均是数值型字段，所述OL是字符串经过HASH处理映射为数字。

2.如权利要求1所述的方法，其特征在于，所述步骤4中设备类型预测的具体方式为将设备指纹F作为预训练的设备类型分类器的输入，预测设备类型信息。

3.如权利要求2所述的方法，其特征在于，所述步骤5中设备子类型预测的具体方式为在确定设备类型之后，选择对应的子类型分类器预测设备具体子类型信息，子类型分类器以设备指纹作为输入，确定设备的具体子类型后设备识别流程结束。

4.如权利要求3所述的方法，其特征在于，所述设备类型分类器和子类型分类器均基于XGBoost构建，通过迭代训练的方式不断的在错误分类的样本中学习，将负梯度作为上一轮基分类器犯错的衡量指标，在下一轮学习中通过拟合负梯度来纠正上一轮犯的错误，x表示样本实例，y表示样本真实类别，F_m(x)表示前m次迭代得到的所有基分类器,h_m(x)表示第m次迭代生成的基分类器，在第m次迭代中，前m-1个基分类器都是固定的，即：

F_m(x)＝F_m-1(x)+ρ_mh_m(x)

其中学习率ρ_m的目标是第m步最小化损失函数即：