基于无状态连接的工控系统扫描平台的设计与实现
发布时间:2020-07-25 14:54
【摘要】:随着全球各个国家都在努力步入工业4.0时代,PLC等工业控制设备逐渐接入互联网,不仅提高了工业生产的效率,还实现了工业生产、控制的智能化。但也带来了许多的问题。随着“震网”病毒的爆发,使工业网络安全上升到了国家安全的层面。针对工业网络的攻击与防御,首先要识别网络空间中的工业控制设备,因此网络空间中的工控设备资产扫描以及识别变得十分重要。目前对工业控制系统的扫描方法是采用ZMap与NMap结合的方式,使用ZMap探测端口,再通过NMap识别设备信息,但是这样的扫描方式需要建立完整的TCP连接,因此存在扫描速度慢的缺陷。本文在ZMap与N-Map结合的基础上对扫描识别的过程进行改良优化,采用无状态连接的方式对工业控制系统进行扫描识别,设计并实现了工业控制系统扫描平台——ICSMap,极大提升了扫描效率。ICSMap支持十余种工业控制协议的扫描并且可以自定义扫描脚本,因此ICSMap的使用更具有灵活性。同时,本文针对目前网络空间中分布的大量工控蜜罐,总结并提取了各类工控蜜罐的特征,提出了采用随机森林模型对分布在网络空间中的工控蜜罐进行识别的方法。根据实验结果,本文所实现的ICSMap可以通过十余种工控协议对目标进行扫描、识别,且扫描速度较ZMap与NMap结合的方式有了显著提升。同时,通过训练的随机森林模型,对ICSMap的扫描结果进行分类,分类结果表明模型可以有效识别出分布在网络空间中的工控蜜罐。
【学位授予单位】:北京邮电大学
【学位级别】:硕士
【学位授予年份】:2018
【分类号】:TP393.08
【图文】:
标端口发送了一个SYN数据包,并不需要建立完整的TCP链接,因此这种扫逡逑描方法不仅效率高,还很隐蔽难以被对方发现。TCP邋SYN探测到端口关闭的示逡逑意图如图3-1,TCP邋SYN探测到端口开放的示意图如图3-2。逡逑Source逦Dti.tin3tion逦Source逦Destmation逡逑192.16S.0.1逦192.16S.0.10逦192.16S.0.1逦192.16S.0.10逡逑图3-1邋TCP邋SYN探测到端口关闭逦图3-2邋TCP邋SYN探测到端口开放逡逑2.逦TCP邋connect邋scanning逡逑这种扫描方式也叫全连接扫描,通过尝试与目标进行三次握手建立完整的逡逑TCP连接来判断端口开放情况,若无法连接则说明端口关闭;若可以连接则说逡逑明端口开放。由于建立TCP连接后部分目标端口使用的协议会返回banner信息,逡逑可以对端口开放的服务以及版本做进一步的判断。由于与目标建立了完整的逡逑TCP连接,会在目标设备上留下日志信息,因此这种扫描方式不够隐蔽。TCP逡逑connect探测到端口关闭的示意图如图3-3,TCP邋connect邋^聚测到端口开放图的示逡逑意图如图3-4。逡逑
标端口发送了一个SYN数据包,并不需要建立完整的TCP链接,因此这种扫逡逑描方法不仅效率高,还很隐蔽难以被对方发现。TCP邋SYN探测到端口关闭的示逡逑意图如图3-1,TCP邋SYN探测到端口开放的示意图如图3-2。逡逑Source逦Dti.tin3tion逦Source逦Destmation逡逑192.16S.0.1逦192.16S.0.10逦192.16S.0.1逦192.16S.0.10逡逑图3-1邋TCP邋SYN探测到端口关闭逦图3-2邋TCP邋SYN探测到端口开放逡逑2.逦TCP邋connect邋scanning逡逑这种扫描方式也叫全连接扫描,通过尝试与目标进行三次握手建立完整的逡逑TCP连接来判断端口开放情况,若无法连接则说明端口关闭;若可以连接则说逡逑明端口开放。由于建立TCP连接后部分目标端口使用的协议会返回banner信息,逡逑可以对端口开放的服务以及版本做进一步的判断。由于与目标建立了完整的逡逑TCP连接,会在目标设备上留下日志信息,因此这种扫描方式不够隐蔽。TCP逡逑connect探测到端口关闭的示意图如图3-3,TCP邋connect邋^聚测到端口开放图的示逡逑意图如图3-4。逡逑
标端口发送了一个SYN数据包,并不需要建立完整的TCP链接,因此这种扫逡逑描方法不仅效率高,还很隐蔽难以被对方发现。TCP邋SYN探测到端口关闭的示逡逑意图如图3-1,TCP邋SYN探测到端口开放的示意图如图3-2。逡逑Source逦Dti.tin3tion逦Source逦Destmation逡逑192.16S.0.1逦192.16S.0.10逦192.16S.0.1逦192.16S.0.10逡逑图3-1邋TCP邋SYN探测到端口关闭逦图3-2邋TCP邋SYN探测到端口开放逡逑2.逦TCP邋connect邋scanning逡逑这种扫描方式也叫全连接扫描,通过尝试与目标进行三次握手建立完整的逡逑TCP连接来判断端口开放情况,若无法连接则说明端口关闭;若可以连接则说逡逑明端口开放。由于建立TCP连接后部分目标端口使用的协议会返回banner信息,逡逑可以对端口开放的服务以及版本做进一步的判断。由于与目标建立了完整的逡逑TCP连接,会在目标设备上留下日志信息,因此这种扫描方式不够隐蔽。TCP逡逑connect探测到端口关闭的示意图如图3-3,TCP邋connect邋^聚测到端口开放图的示逡逑意图如图3-4。逡逑
本文编号:2769973
【学位授予单位】:北京邮电大学
【学位级别】:硕士
【学位授予年份】:2018
【分类号】:TP393.08
【图文】:
标端口发送了一个SYN数据包,并不需要建立完整的TCP链接,因此这种扫逡逑描方法不仅效率高,还很隐蔽难以被对方发现。TCP邋SYN探测到端口关闭的示逡逑意图如图3-1,TCP邋SYN探测到端口开放的示意图如图3-2。逡逑Source逦Dti.tin3tion逦Source逦Destmation逡逑192.16S.0.1逦192.16S.0.10逦192.16S.0.1逦192.16S.0.10逡逑图3-1邋TCP邋SYN探测到端口关闭逦图3-2邋TCP邋SYN探测到端口开放逡逑2.逦TCP邋connect邋scanning逡逑这种扫描方式也叫全连接扫描,通过尝试与目标进行三次握手建立完整的逡逑TCP连接来判断端口开放情况,若无法连接则说明端口关闭;若可以连接则说逡逑明端口开放。由于建立TCP连接后部分目标端口使用的协议会返回banner信息,逡逑可以对端口开放的服务以及版本做进一步的判断。由于与目标建立了完整的逡逑TCP连接,会在目标设备上留下日志信息,因此这种扫描方式不够隐蔽。TCP逡逑connect探测到端口关闭的示意图如图3-3,TCP邋connect邋^聚测到端口开放图的示逡逑意图如图3-4。逡逑
标端口发送了一个SYN数据包,并不需要建立完整的TCP链接,因此这种扫逡逑描方法不仅效率高,还很隐蔽难以被对方发现。TCP邋SYN探测到端口关闭的示逡逑意图如图3-1,TCP邋SYN探测到端口开放的示意图如图3-2。逡逑Source逦Dti.tin3tion逦Source逦Destmation逡逑192.16S.0.1逦192.16S.0.10逦192.16S.0.1逦192.16S.0.10逡逑图3-1邋TCP邋SYN探测到端口关闭逦图3-2邋TCP邋SYN探测到端口开放逡逑2.逦TCP邋connect邋scanning逡逑这种扫描方式也叫全连接扫描,通过尝试与目标进行三次握手建立完整的逡逑TCP连接来判断端口开放情况,若无法连接则说明端口关闭;若可以连接则说逡逑明端口开放。由于建立TCP连接后部分目标端口使用的协议会返回banner信息,逡逑可以对端口开放的服务以及版本做进一步的判断。由于与目标建立了完整的逡逑TCP连接,会在目标设备上留下日志信息,因此这种扫描方式不够隐蔽。TCP逡逑connect探测到端口关闭的示意图如图3-3,TCP邋connect邋^聚测到端口开放图的示逡逑意图如图3-4。逡逑
标端口发送了一个SYN数据包,并不需要建立完整的TCP链接,因此这种扫逡逑描方法不仅效率高,还很隐蔽难以被对方发现。TCP邋SYN探测到端口关闭的示逡逑意图如图3-1,TCP邋SYN探测到端口开放的示意图如图3-2。逡逑Source逦Dti.tin3tion逦Source逦Destmation逡逑192.16S.0.1逦192.16S.0.10逦192.16S.0.1逦192.16S.0.10逡逑图3-1邋TCP邋SYN探测到端口关闭逦图3-2邋TCP邋SYN探测到端口开放逡逑2.逦TCP邋connect邋scanning逡逑这种扫描方式也叫全连接扫描,通过尝试与目标进行三次握手建立完整的逡逑TCP连接来判断端口开放情况,若无法连接则说明端口关闭;若可以连接则说逡逑明端口开放。由于建立TCP连接后部分目标端口使用的协议会返回banner信息,逡逑可以对端口开放的服务以及版本做进一步的判断。由于与目标建立了完整的逡逑TCP连接,会在目标设备上留下日志信息,因此这种扫描方式不够隐蔽。TCP逡逑connect探测到端口关闭的示意图如图3-3,TCP邋connect邋^聚测到端口开放图的示逡逑意图如图3-4。逡逑
【参考文献】
相关期刊论文 前10条
1 王日升;谢红薇;安建成;;基于分类精度和相关性的随机森林算法改进[J];科学技术与工程;2017年20期
2 Yu-jun XIAO;Wen-yuan XU;Zhen-hua JIA;Zhuo-ran MA;Dong-lian QI;;一种非侵入式的基于功耗的可编程逻辑控制器异常检测方案(英文)[J];Frontiers of Information Technology & Electronic Engineering;2017年04期
3 周美琴;徐章艳;陈诗旭;李艳红;马顺;展雪梅;;基于相关性的类偏好敏感决策树算法[J];计算机工程与应用;2017年05期
4 本刊采编部;;乌克兰电网被黑事件[J];信息安全与通信保密;2016年09期
5 贾涛;;西门子S7-200以太网通讯协议研究[J];电子技术与软件工程;2014年24期
6 刘勘;袁蕴英;刘萍;;基于随机森林分类的微博机器用户识别研究[J];北京大学学报(自然科学版);2015年02期
7 姚登举;杨静;詹晓娟;;基于随机森林的特征选择算法[J];吉林大学学报(工学版);2014年01期
8 蒲石;陈周国;祝世雄;;震网病毒分析与防范[J];信息网络安全;2012年02期
9 戴斌;朱建平;袁焱;;基于FINS协议的OMRON PLC与上位机以太网通信的实现[J];电子技术;2009年09期
10 孙细明,张晓鹏;基于信息熵的决策树算法实现[J];计算机与数字工程;2005年11期
本文编号:2769973
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2769973.html
