一种基于神经网络的工业控制网络资产发现方法技术

本发明专利技术公开了一种基于神经网络的工业控制网络资产发现方法，涉及工控设备识别领域，通过创建一个包含已知设备和对应报文的工控资产登记数据库，配合机器学习模型，实现设备发现和分类。本发明专利技术中，特定的网络元素被用于区分和分离属于不同设备的报文，利用聚类步骤将机器学习识别精读不够高的待确认数据库中的报文集聚成不同类别，然后由人工进行识别和标记；标记数据会被加入到初始数据库作为增量数据，进而用于更新机器学习模型，使其更加完善，通过流程循环，直到待确认数据库中的报文数量减少至预定的阈值。本发明专利技术不仅可以提高资产识别的效率，而且使模型能更快地适应和识别新的或未知的设备类型，大大提高了网络安全和管理效率。管理效率。管理效率。

【技术实现步骤摘要】
一种基于神经网络的工业控制网络资产发现方法


[0001]本专利技术涉及工控设备识别领域，更具体地说，涉及一种基于神经网络的工业控制网络资产发现方法。

技术介绍

[0002]工控系统资产构成复杂、数量巨大，给资产管理带来了巨大挑战。在不具备自动化资产探测发现工具支撑的情况下，资产的登记、管理主要依赖人工，而工业企业普遍只关心产量和效率，对于工控系统持有“能用就行”的态度，由于工控系统均是工业级品质，长久运行也不会轻易出现故障，在工控系统正常运行的情况下并不会主动关心资产属性，资产出现异常时也直接由供应商单点修复进行原件替换，经年累月运行后，原始资产明细丢失或未及时更新维护，导致工控系统中资产无人管理的情况普遍存在。
[0003]现有技术的工控资产发现方法一般有两种，一种是被动式的资产发现方法，通过抓取、分析网络环境中的日常通信流量的方式进行资产的发现。该方法中，用于资产发现所需要的流量元数据通常混杂、隐藏在通信交互繁杂的网络流量当中，在大量的网络流量中，寻找可用于识别设备厂商、产品型号等关键信息是一项艰巨的任务，就像大海捞针一般，而且并非总能获得准确的结果，资产发现不完全；另一种是主动式的资产发现方法，采用工控协议探测包实现主动式网络通信，并基于协议响应数据包与工控设备指纹库进行匹配，实现对响应数据包的关键信息提取，从而对资产进行分类、管理，该方法中，只是简单基于工控设备指纹库对响应数据包进行关键信息提取、分类，只能粗略实现基本的资产分类管理，而工业控制网络环境中，常常涉及多厂商、多产品系列的细分资产，该方法无法实现对各细分资产的分类管理。

技术实现思路

[0004]本专利技术要解决的技术问题是提供一种基于神经网络的工业控制网络资产发现方法，以解决
技术介绍
中提到的问题。
[0005]为了达到上述目的，本专利技术采取以下技术方案：一种基于神经网络的工业控制网络资产发现方法，包括如下步骤：S1: 构建一个工控资产登记数据库，该数据库包含已知的设备和设备对应的报文，对每个已知的设备标记有设备类型标签；S2: 利用S1中的工控资产登记数据库训练一个机器学习模型，所述机器学习模型接收报文为输入，输出所判断的设备类型的匹配度；S3: 在网络中设置多个旁路抓取点，对网络通信进行实时捕获，获得混合报文；S4: 根据混合报文中的网络五元素，包括源地址、目的地址、源端口、目的端口和协议，将混合报文分离为多个报文，每个报文对应于一个设备；S5: 将S4中分离出的每个报文输入到S2中训练的机器学习模型中，计算该报文与设备类型的匹配度；
S6: 当S5中的匹配度大于等于预设阈值T时，直接标记该报文对应的设备类型；当S5中的匹配度小于预设阈值T时，将该报文加入至待确认数据库；S7: 如果待确认数据库中的报文数量大于等于预设的阈值N，则对待确认数据库中的报文进行聚合，形成不同的聚合类别，然后在每个聚合类别中选择一个或多个报文人工进行设备类型识别和标记，并且将人工进行设备类型识别和标记的报文移出待确认数据库；S8: 将S7中人工识别和标记得到的设备和报文信息加入到S1中的工控资产登记数据库中作为增量数据，对机器学习模型进行增量训练，得到更新后的机器学习模型；S9: 利用S8中更新后的机器学习模型对待确认数据库中的报文进行重新识别，当设备类型的匹配度大于等于预设阈值T时，直接标记该报文对应的设备类型并将其移出待确认数据库；当设备类型的匹配度小于预设阈值T时，将该报文保留于待确认数据库;S10:重复步骤S7~S9，直至待确认数据库内的设备数量小于预设的阈值N，并对剩余的待确认数据库内的报文进行设备类型识别和标记，并将人工识别和标记得到的设备和报文信息加入到S1中的工控资产登记数据库中作为增量数据，对机器学习模型进行增量训练，得到更新后的机器学习模型。
[0006]在一些实施例中，所述设备类型包括计算设备、网络设备、存储设备。
[0007]在一些实施例中，所述设备类型进一步包括PLC、SCADA系统、人机界面、工业网络设备、传感器、执行器、工业机器人和远程I/O模块。
[0008]在一些实施例中，所述计算设备进一步分类为服务器、工作站和个人计算机；所述网络设备进一步分类为路由器、交换机和防火墙。
[0009]在一些实施例中，所述聚类算法为K
‑
means算法。
[0010]在一些实施例中，所述机器学习模型为神经网络模型。
[0011]在一些实施例中，所述神经网络模型包括一个特征提取层和多个隐藏层。
[0012]在一些实施例中，所述神经网络模型使用交叉熵损失函数作为优化目标，并采用随机梯度下降作为优化器来进行模型的训练。
[0013]在一些实施例中，所述工控资产登记数据库的构建从采购合同、部署清单和探测发现的确认资产进行入库登记后获得。
[0014]在一些实施例中， 所述方法还包括构建一个已识别设备数据库，用于收集匹配度大于等于预设阈值T的设备的报文信息和设备类型信息。
[0015]本专利技术相对于现有技术的优点在于，本专利技术通过机器学习模型，可以快速发现和识别设备类型。对于未能够按预定要求识别的设备类型，本专利技术通过聚类进行分析，能够将待确认数据库中的报文分成多个聚类类别，每个类别包含一组具有相似特征的报文。技术人员仅在每个聚类类别中选择一个或几个报文进行人工识别和标记，而不是对所有报文进行逐一识别，从而显著减少了人工识别的工作量和成本。这种方法不仅节省了人力资源，还降低了误差率，因为技术人员可以集中精力对一小部分报文进行更加细致和准确的识别。通过将人工识别和标记得到的设备和报文信息作为增量数据加入到工控资产登记数据库中，本专利技术实现了机器学习模型的快速迭代和完善。每一次的人工识别都是一个优化机会，使得机器学习模型能够不断学习和适应新的或者更加复杂的数据特征，从而提高其识别的准确度和效率。这种增量训练的方式，确保了机器学习模型能够迅速适应不断变化和更新
的网络环境，实现了真正的动态和智能的资产发现。
[0016]综上所述，本专利技术不仅大大减少了人工识别的成本，而且通过快速迭代和完善机器学习模型，实现了更加高效和准确的工业控制网络资产发现，为企业节省了大量的时间和资源，同时也为工业控制系统的安全和稳定运行提供了有力保障。
附图说明
[0017]图1是本专利技术方法的流程示意图。
具体实施方式
[0018]以下结合附图对本专利技术的示范性实施例做出说明，其中包括本专利技术实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本公开的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。
[0019]本专利技术实施例公开一种基于神经网络的工业控制网络资产发现方法，如图1所示，包括如下步骤：S1: 构建一个工控资产登记数据库，该数据库包含已知的设备和设备对应的报文，对每个已知的设备标记有设备类型标签；S2: 利用S1中的工控资产登记本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于神经网络的工业控制网络资产发现方法，其特征在于，包括如下步骤：S1: 构建一个工控资产登记数据库，该数据库包含已知的设备和设备对应的报文，对每个已知的设备标记有设备类型标签；S2: 利用S1中的工控资产登记数据库训练一个机器学习模型，所述机器学习模型接收报文为输入，输出所判断的设备类型的匹配度；S3: 在网络中设置多个旁路抓取点，对网络通信进行实时捕获，获得混合报文；S4: 根据混合报文中的网络五元素，包括源地址、目的地址、源端口、目的端口和协议，将混合报文分离为多个报文，每个报文对应于一个设备；S5: 将S4中分离出的每个报文输入到S2中训练的机器学习模型中，计算该报文与设备类型的匹配度；S6: 当S5中的匹配度大于等于预设阈值T时，直接标记该报文对应的设备类型；当S5中的匹配度小于预设阈值T时，将该报文加入至待确认数据库；S7: 如果待确认数据库中的报文数量大于等于预设的阈值N，则对待确认数据库中的报文进行聚合，形成不同的聚合类别，然后在每个聚合类别中选择一个或多个报文人工进行设备类型识别和标记，并且将人工进行设备类型识别和标记的报文移出待确认数据库；S8: 将S7中人工识别和标记得到的设备和报文信息加入到S1中的工控资产登记数据库中作为增量数据，对机器学习模型进行增量训练，得到更新后的机器学习模型；S9: 利用S8中更新后的机器学习模型对待确认数据库中的报文进行重新识别，当设备类型的匹配度大于等于预设阈值T时，直接标记该报文对应的设备类型并将其移出待确认数据库；当设备类型的匹配度小于预设阈值T时，将该报文保留于待确认数据库;S10:重复步骤S7~S9，直至待确认数据库内的设备数量小于预设的阈值N，并对剩余的待确认数据库内的报文进行设备类型识别和标记，并将人工识别和标记得到的设...

【专利技术属性】
技术研发人员：谢朝海，齐大伟，李志勇，彭波，谢朝战，
申请(专利权)人：深圳海云安网络安全技术有限公司，
类型：发明
国别省市：