【摘要】：隨著全球各個國家都在努力步入工業(yè)4.0時代,PLC等工業(yè)控制設(shè)備逐漸接入互聯(lián)網(wǎng),不僅提高了工業(yè)生產(chǎn)的效率,還實現(xiàn)了工業(yè)生產(chǎn)、控制的智能化。但也帶來了許多的問題。隨著“震網(wǎng)”病毒的爆發(fā),使工業(yè)網(wǎng)絡(luò)安全上升到了國家安全的層面。針對工業(yè)網(wǎng)絡(luò)的攻擊與防御,首先要識別網(wǎng)絡(luò)空間中的工業(yè)控制設(shè)備,因此網(wǎng)絡(luò)空間中的工控設(shè)備資產(chǎn)掃描以及識別變得十分重要。目前對工業(yè)控制系統(tǒng)的掃描方法是采用ZMap與NMap結(jié)合的方式,使用ZMap探測端口,再通過NMap識別設(shè)備信息,但是這樣的掃描方式需要建立完整的TCP連接,因此存在掃描速度慢的缺陷。本文在ZMap與N-Map結(jié)合的基礎(chǔ)上對掃描識別的過程進行改良優(yōu)化,采用無狀態(tài)連接的方式對工業(yè)控制系統(tǒng)進行掃描識別,設(shè)計并實現(xiàn)了工業(yè)控制系統(tǒng)掃描平臺——ICSMap,極大提升了掃描效率。ICSMap支持十余種工業(yè)控制協(xié)議的掃描并且可以自定義掃描腳本,因此ICSMap的使用更具有靈活性。同時,本文針對目前網(wǎng)絡(luò)空間中分布的大量工控蜜罐,總結(jié)并提取了各類工控蜜罐的特征,提出了采用隨機森林模型對分布在網(wǎng)絡(luò)空間中的工控蜜罐進行識別的方法。根據(jù)實驗結(jié)果,本文所實現(xiàn)的ICSMap可以通過十余種工控協(xié)議對目標(biāo)進行掃描、識別,且掃描速度較ZMap與NMap結(jié)合的方式有了顯著提升。同時,通過訓(xùn)練的隨機森林模型,對ICSMap的掃描結(jié)果進行分類,分類結(jié)果表明模型可以有效識別出分布在網(wǎng)絡(luò)空間中的工控蜜罐。
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2018
【分類號】：TP393.08
【圖文】：

標(biāo)端口發(fā)送了一個ＳＹＮ數(shù)據(jù)包，并不需要建立完整的ＴＣＰ鏈接，因此這種掃逡逑描方法不僅效率高，還很隱蔽難以被對方發(fā)現(xiàn)。ＴＣＰ邋ＳＹＮ探測到端口關(guān)閉的示逡逑意圖如圖３－１，ＴＣＰ邋ＳＹＮ探測到端口開放的示意圖如圖３－２。逡逑Ｓｏｕｒｃｅ邐Ｄｔｉ．ｔｉｎ３ｔｉｏｎ邐Ｓｏｕｒｃｅ邐Ｄｅｓｔｍａｔｉｏｎ逡逑１９２．１６Ｓ．０．１邐１９２．１６Ｓ．０．１０邐１９２．１６Ｓ．０．１邐１９２．１６Ｓ．０．１０逡逑圖３－１邋ＴＣＰ邋ＳＹＮ探測到端口關(guān)閉邐圖３－２邋ＴＣＰ邋ＳＹＮ探測到端口開放逡逑２．邐ＴＣＰ邋ｃｏｎｎｅｃｔ邋ｓｃａｎｎｉｎｇ逡逑這種掃描方式也叫全連接掃描，通過嘗試與目標(biāo)進行三次握手建立完整的逡逑ＴＣＰ連接來判斷端口開放情況，若無法連接則說明端口關(guān)閉；若可以連接則說逡逑明端口開放。由于建立ＴＣＰ連接后部分目標(biāo)端口使用的協(xié)議會返回ｂａｎｎｅｒ信息，逡逑可以對端口開放的服務(wù)以及版本做進一步的判斷。由于與目標(biāo)建立了完整的逡逑ＴＣＰ連接，會在目標(biāo)設(shè)備上留下日志信息，因此這種掃描方式不夠隱蔽。ＴＣＰ逡逑ｃｏｎｎｅｃｔ探測到端口關(guān)閉的示意圖如圖３－３，ＴＣＰ邋ｃｏｎｎｅｃｔ邋＾聚測到端口開放圖的示逡逑意圖如圖３－４。逡逑

標(biāo)端口發(fā)送了一個ＳＹＮ數(shù)據(jù)包，并不需要建立完整的ＴＣＰ鏈接，因此這種掃逡逑描方法不僅效率高，還很隱蔽難以被對方發(fā)現(xiàn)。ＴＣＰ邋ＳＹＮ探測到端口關(guān)閉的示逡逑意圖如圖３－１，ＴＣＰ邋ＳＹＮ探測到端口開放的示意圖如圖３－２。逡逑Ｓｏｕｒｃｅ邐Ｄｔｉ．ｔｉｎ３ｔｉｏｎ邐Ｓｏｕｒｃｅ邐Ｄｅｓｔｍａｔｉｏｎ逡逑１９２．１６Ｓ．０．１邐１９２．１６Ｓ．０．１０邐１９２．１６Ｓ．０．１邐１９２．１６Ｓ．０．１０逡逑圖３－１邋ＴＣＰ邋ＳＹＮ探測到端口關(guān)閉邐圖３－２邋ＴＣＰ邋ＳＹＮ探測到端口開放逡逑２．邐ＴＣＰ邋ｃｏｎｎｅｃｔ邋ｓｃａｎｎｉｎｇ逡逑這種掃描方式也叫全連接掃描，通過嘗試與目標(biāo)進行三次握手建立完整的逡逑ＴＣＰ連接來判斷端口開放情況，若無法連接則說明端口關(guān)閉；若可以連接則說逡逑明端口開放。由于建立ＴＣＰ連接后部分目標(biāo)端口使用的協(xié)議會返回ｂａｎｎｅｒ信息，逡逑可以對端口開放的服務(wù)以及版本做進一步的判斷。由于與目標(biāo)建立了完整的逡逑ＴＣＰ連接，會在目標(biāo)設(shè)備上留下日志信息，因此這種掃描方式不夠隱蔽。ＴＣＰ逡逑ｃｏｎｎｅｃｔ探測到端口關(guān)閉的示意圖如圖３－３，ＴＣＰ邋ｃｏｎｎｅｃｔ邋＾聚測到端口開放圖的示逡逑意圖如圖３－４。逡逑

標(biāo)端口發(fā)送了一個ＳＹＮ數(shù)據(jù)包，并不需要建立完整的ＴＣＰ鏈接，因此這種掃逡逑描方法不僅效率高，還很隱蔽難以被對方發(fā)現(xiàn)。ＴＣＰ邋ＳＹＮ探測到端口關(guān)閉的示逡逑意圖如圖３－１，ＴＣＰ邋ＳＹＮ探測到端口開放的示意圖如圖３－２。逡逑Ｓｏｕｒｃｅ邐Ｄｔｉ．ｔｉｎ３ｔｉｏｎ邐Ｓｏｕｒｃｅ邐Ｄｅｓｔｍａｔｉｏｎ逡逑１９２．１６Ｓ．０．１邐１９２．１６Ｓ．０．１０邐１９２．１６Ｓ．０．１邐１９２．１６Ｓ．０．１０逡逑圖３－１邋ＴＣＰ邋ＳＹＮ探測到端口關(guān)閉邐圖３－２邋ＴＣＰ邋ＳＹＮ探測到端口開放逡逑２．邐ＴＣＰ邋ｃｏｎｎｅｃｔ邋ｓｃａｎｎｉｎｇ逡逑這種掃描方式也叫全連接掃描，通過嘗試與目標(biāo)進行三次握手建立完整的逡逑ＴＣＰ連接來判斷端口開放情況，若無法連接則說明端口關(guān)閉；若可以連接則說逡逑明端口開放。由于建立ＴＣＰ連接后部分目標(biāo)端口使用的協(xié)議會返回ｂａｎｎｅｒ信息，逡逑可以對端口開放的服務(wù)以及版本做進一步的判斷。由于與目標(biāo)建立了完整的逡逑ＴＣＰ連接，會在目標(biāo)設(shè)備上留下日志信息，因此這種掃描方式不夠隱蔽。ＴＣＰ逡逑ｃｏｎｎｅｃｔ探測到端口關(guān)閉的示意圖如圖３－３，ＴＣＰ邋ｃｏｎｎｅｃｔ邋＾聚測到端口開放圖的示逡逑意圖如圖３－４。逡逑

【參考文獻】

相關(guān)期刊論文 前10條

1 王日升;謝紅薇;安建成;;基于分類精度和相關(guān)性的隨機森林算法改進[J];科學(xué)技術(shù)與工程;2017年20期

2 Yu-jun XIAO;Wen-yuan XU;Zhen-hua JIA;Zhuo-ran MA;Dong-lian QI;;一種非侵入式的基于功耗的可編程邏輯控制器異常檢測方案（英文）[J];Frontiers of Information Technology & Electronic Engineering;2017年04期

3 周美琴;徐章艷;陳詩旭;李艷紅;馬順;展雪梅;;基于相關(guān)性的類偏好敏感決策樹算法[J];計算機工程與應(yīng)用;2017年05期

4 本刊采編部;;烏克蘭電網(wǎng)被黑事件[J];信息安全與通信保密;2016年09期

5 賈濤;;西門子S7-200以太網(wǎng)通訊協(xié)議研究[J];電子技術(shù)與軟件工程;2014年24期

6 劉勘;袁蘊英;劉萍;;基于隨機森林分類的微博機器用戶識別研究[J];北京大學(xué)學(xué)報(自然科學(xué)版);2015年02期

7 姚登舉;楊靜;詹曉娟;;基于隨機森林的特征選擇算法[J];吉林大學(xué)學(xué)報(工學(xué)版);2014年01期

8 蒲石;陳周國;祝世雄;;震網(wǎng)病毒分析與防范[J];信息網(wǎng)絡(luò)安全;2012年02期

9 戴斌;朱建平;袁焱;;基于FINS協(xié)議的OMRON PLC與上位機以太網(wǎng)通信的實現(xiàn)[J];電子技術(shù);2009年09期

10 孫細明,張曉鵬;基于信息熵的決策樹算法實現(xiàn)[J];計算機與數(shù)字工程;2005年11期

本文編號：2769973