本發(fā)明涉及一種發(fā)現(xiàn)方法和監(jiān)控系統(tǒng)，尤其涉及一種用于工控系統(tǒng)的自學(xué)習(xí)智能資產(chǎn)發(fā)現(xiàn)方法和監(jiān)控系統(tǒng)。

背景技術(shù)：

1、工業(yè)控制系統(tǒng)(ics)是用于監(jiān)控和控制工業(yè)環(huán)境中物理設(shè)備的系統(tǒng)，廣泛應(yīng)用于制造、能源、交通和基礎(chǔ)設(shè)施等領(lǐng)域。隨著ics的數(shù)字化和聯(lián)網(wǎng)程度的提高，確保系統(tǒng)的安全和可靠性變得至關(guān)重要。全面發(fā)現(xiàn)和實(shí)時(shí)監(jiān)控系統(tǒng)中的資產(chǎn)信息，是保障ics安全的重要環(huán)節(jié)。然而，由于ics設(shè)備的多樣性和復(fù)雜性，對這些設(shè)備進(jìn)行全面發(fā)現(xiàn)和實(shí)時(shí)監(jiān)控面臨著巨大挑戰(zhàn)。

2、現(xiàn)有的資產(chǎn)發(fā)現(xiàn)技術(shù)主要包括基于網(wǎng)絡(luò)流量的被動掃描技術(shù)和基于探測包的主動掃描技術(shù)：

3、被動掃描技術(shù)通過監(jiān)聽網(wǎng)絡(luò)流量來識別和發(fā)現(xiàn)網(wǎng)絡(luò)中的設(shè)備，不會對網(wǎng)絡(luò)造成額外的負(fù)載。被動掃描主要依賴于對捕獲的數(shù)據(jù)包進(jìn)行分析，從中提取設(shè)備的特征信息，如ip地址、mac地址、設(shè)備類型和型號等信息。然而，在處理大量實(shí)時(shí)復(fù)雜網(wǎng)絡(luò)數(shù)據(jù)時(shí)，被動掃描的計(jì)算開銷較高，設(shè)備信息提取和更新存在延遲，難以實(shí)現(xiàn)實(shí)時(shí)監(jiān)控，導(dǎo)致新設(shè)備或設(shè)備變化無法得到及時(shí)響應(yīng)。

4、主動掃描技術(shù)通過向網(wǎng)絡(luò)中的設(shè)備發(fā)送探測請求并分析其響應(yīng)來識別和發(fā)現(xiàn)設(shè)備。可發(fā)現(xiàn)未進(jìn)行通信的設(shè)備并獲取更多詳細(xì)信息。然而，主動掃描會對網(wǎng)絡(luò)和設(shè)備造成一定負(fù)載，影響正常業(yè)務(wù)。現(xiàn)有的主動掃描缺乏智能化決策能力，無法根據(jù)實(shí)時(shí)網(wǎng)絡(luò)狀態(tài)和設(shè)備優(yōu)先級來動態(tài)調(diào)整掃描頻率和策略，導(dǎo)致效率低、資源浪費(fèi)且掃描效果不足。

5、綜上可知，現(xiàn)有的資產(chǎn)發(fā)現(xiàn)技術(shù)中，基于網(wǎng)絡(luò)流量的被動掃描技術(shù)在處理大量實(shí)時(shí)復(fù)雜網(wǎng)絡(luò)數(shù)據(jù)時(shí)，計(jì)算開銷高，提取和更新設(shè)備信息時(shí)存在延遲，無法實(shí)現(xiàn)對設(shè)備信息的實(shí)時(shí)監(jiān)控和更新；基于探測包的主動掃描技術(shù)缺乏智能化決策能力，沒有充分考慮實(shí)時(shí)網(wǎng)絡(luò)情況和設(shè)備優(yōu)先級動態(tài)調(diào)整掃描頻率和策略，導(dǎo)致掃描效率低下，網(wǎng)絡(luò)資源浪費(fèi)且掃描有效性不足。

技術(shù)實(shí)現(xiàn)思路

1、為了解決上述技術(shù)所存在的不足之處，本發(fā)明提供了一種用于工控系統(tǒng)的自學(xué)習(xí)智能資產(chǎn)發(fā)現(xiàn)方法和監(jiān)控系統(tǒng)。

2、為了解決以上技術(shù)問題，本發(fā)明采用的技術(shù)方案是：一種用于工控系統(tǒng)的自學(xué)習(xí)智能資產(chǎn)發(fā)現(xiàn)方法，包括以下步驟：

3、步驟s1、構(gòu)建設(shè)備數(shù)據(jù)庫，初始化系統(tǒng)已知設(shè)備信息，配置自學(xué)習(xí)智能被動及主動掃描工具；

4、步驟s2、捕獲實(shí)時(shí)網(wǎng)絡(luò)流量，通過自學(xué)習(xí)智能匹配和設(shè)備識別方法提取設(shè)備信息；

5、步驟s3、通過動態(tài)主動掃描策略進(jìn)行輕量級掃描，獲取設(shè)備響應(yīng)數(shù)據(jù)，提取設(shè)備信息；

6、步驟s4、數(shù)據(jù)庫匹配網(wǎng)絡(luò)流量和主動掃描提取的設(shè)備信息，更新已知設(shè)備信息，對未知設(shè)備觸發(fā)報(bào)警；

7、步驟s5、人工審核未知設(shè)備，收集反饋數(shù)據(jù)，優(yōu)化自學(xué)習(xí)智能匹配、設(shè)備識別方法和動態(tài)主動掃描策略，實(shí)現(xiàn)工控系統(tǒng)內(nèi)部設(shè)備的實(shí)時(shí)監(jiān)控。

8、通過主動掃描的頻率策略和實(shí)時(shí)網(wǎng)絡(luò)流量的有效性篩選，不同類型的流量包的針對性處理進(jìn)行優(yōu)化，最終在最小化資源開銷和最小化工控系統(tǒng)內(nèi)部的影響下，實(shí)現(xiàn)工控系統(tǒng)內(nèi)部設(shè)備的實(shí)時(shí)監(jiān)控。

9、優(yōu)選的，步驟s1中，收集和錄入當(dāng)前已知的所有設(shè)備信息，包括設(shè)備類型、型號、ip地址、mac地址、開放端口、運(yùn)行的服務(wù)和協(xié)議信息，且設(shè)備數(shù)據(jù)庫作為系統(tǒng)的初始資產(chǎn)信息庫。

10、優(yōu)選的，步驟s2中，具體包括以下步驟：

11、s21、實(shí)時(shí)數(shù)據(jù)包收集：實(shí)時(shí)收集網(wǎng)絡(luò)中的數(shù)據(jù)包，使用智能匹配機(jī)制(即智能優(yōu)化的正則表達(dá)式)篩選出包含設(shè)備信息的數(shù)據(jù)包，然后通過多級緩存機(jī)制，使用短、中、長期不同緩存機(jī)制，分別針對頻繁數(shù)據(jù)包、周期性數(shù)據(jù)包和低頻數(shù)據(jù)包進(jìn)行優(yōu)化管理(即通過緩存機(jī)制進(jìn)行優(yōu)化)，降低冗余數(shù)據(jù)處理；

12、s22、協(xié)議識別與信息提取：對篩選出的數(shù)據(jù)包進(jìn)行協(xié)議識別，確定數(shù)據(jù)包網(wǎng)絡(luò)協(xié)議；包括tcp、udp、http、modbus、dnp3等網(wǎng)絡(luò)協(xié)議；

13、基于網(wǎng)絡(luò)協(xié)議的自學(xué)習(xí)正則表達(dá)式庫匹配數(shù)據(jù)包的頭部和載荷，提取設(shè)備的關(guān)鍵信息，智能匹配機(jī)制根據(jù)數(shù)據(jù)包大小、ip地址和載荷中的特定模式(正則匹配等特征)識別設(shè)備信息。

14、其中，數(shù)據(jù)包的頭部(header)和載荷(payload)是網(wǎng)絡(luò)通信的基本組成部分，用于描述數(shù)據(jù)包的結(jié)構(gòu)和內(nèi)容。

15、優(yōu)選的，步驟s2中，頻繁數(shù)據(jù)包采用短期緩存，動態(tài)更新策略采用短生命周期的滑動窗口，設(shè)置窗口大小為500ms到5秒，每次緩存更新時(shí)僅保留最新的頻繁數(shù)據(jù)包，丟棄過時(shí)數(shù)據(jù)；緩存淘汰機(jī)制采用lru(最近最少使用)策略；

16、滑動窗口是指：窗口會隨著時(shí)間向前“滑動”，始終保持關(guān)注當(dāng)前時(shí)間段內(nèi)的數(shù)據(jù)。

17、當(dāng)新數(shù)據(jù)包到達(dá)時(shí)，窗口向前滑動，同時(shí)淘汰超出窗口時(shí)間范圍的舊數(shù)據(jù)。

18、每次更新后，僅保留在窗口時(shí)間范圍內(nèi)的最新頻繁數(shù)據(jù)包，過時(shí)數(shù)據(jù)被丟棄。

19、周期性數(shù)據(jù)包采用中期緩存，建立時(shí)間序列緩存(建立時(shí)間序列鏈表，用來記錄數(shù)據(jù)包對應(yīng)的設(shè)備和數(shù)據(jù)包的到達(dá)時(shí)間)，記錄周期性數(shù)據(jù)包的到達(dá)時(shí)間來確認(rèn)其周期性；對于周期性特征不穩(wěn)定的數(shù)據(jù)包，觸發(fā)報(bào)警或標(biāo)記為異常；利用時(shí)間序列分析算法(如自回歸分析)檢測周期性波動并動態(tài)調(diào)整緩存大小；在緩存中采用增量更新機(jī)制，僅存儲最新數(shù)據(jù)和變化的內(nèi)容；

20、低頻數(shù)據(jù)包采用長期緩存，采用持久化存儲(如文件系統(tǒng)或數(shù)據(jù)庫)對低頻數(shù)據(jù)包進(jìn)行管理，定期清理緩存內(nèi)容；進(jìn)行索引管理，基于時(shí)間、設(shè)備id、數(shù)據(jù)類型維度建立查詢索引，提升數(shù)據(jù)檢索效率。

21、優(yōu)選的，步驟s3，具體包括以下步驟：

22、s31、掃描工具配置：使用配置的掃描工具發(fā)起輕量級掃描請求，包括ping掃描、tcp?syn端口掃描、服務(wù)探測；

23、s32、響應(yīng)數(shù)據(jù)提取：收集設(shè)備對掃描請求的響應(yīng)數(shù)據(jù)，從中提取設(shè)備的ip地址、mac地址、開放端口、運(yùn)行的服務(wù)和協(xié)議信息，如果設(shè)備沒有響應(yīng)，記錄設(shè)備信息以進(jìn)一步跟進(jìn)；

24、s33、動態(tài)掃描調(diào)整：基于掃描結(jié)果和反饋數(shù)據(jù)(是指掃描得到的響應(yīng)數(shù)據(jù)，響應(yīng)時(shí)間和相應(yīng)的內(nèi)容信息的完整度和有效性)，自學(xué)習(xí)優(yōu)化掃描策略和頻率。

25、優(yōu)選的，步驟s3中，動態(tài)主動掃描策略為：設(shè)l表示網(wǎng)絡(luò)負(fù)載，表示當(dāng)前網(wǎng)絡(luò)帶寬使用率，范圍在[0，1]，其中0表示沒有負(fù)載，1表示滿負(fù)載；

26、f表示掃描頻率，單位是次/分鐘；h表示設(shè)備優(yōu)先級，根據(jù)設(shè)備的重要性、風(fēng)險(xiǎn)等級和歷史掃描反饋信息等因素綜合計(jì)算，范圍在[0，1]，掃描頻率f的動態(tài)調(diào)整值fnew表示為：

27、fnew＝fbase*(ωl*(1-l)+ωh*h)，

28、其中，fbase為基礎(chǔ)掃描頻率，即在沒有負(fù)載和風(fēng)險(xiǎn)影響下的默認(rèn)掃描頻率；ωl和ωh分別表示網(wǎng)絡(luò)負(fù)載和設(shè)備優(yōu)先級的權(quán)重，根據(jù)具體需求進(jìn)行調(diào)整；

29、設(shè)備優(yōu)先級h的計(jì)算公式為：

30、h＝ωi*i+ωr*r+ωp*p,

31、其中，ωi、ωr、ωp分別表示設(shè)備重要性i、設(shè)備風(fēng)險(xiǎn)等級r和設(shè)備歷史掃描反饋信息p的權(quán)重，ωi+ωr+ωp＝1；設(shè)備的重要性i，范圍在[0，1]，接近于0表示不重要，接近于1表示非常重要；設(shè)備的風(fēng)險(xiǎn)等級r，范圍在[0，1]，接近于0表示無風(fēng)險(xiǎn)，接近于1表示高風(fēng)險(xiǎn)，由系統(tǒng)安全日志得到，為該設(shè)備的告警次數(shù)和同類設(shè)備的總告警次數(shù)的比值；歷史掃描反饋信息p，范圍在[0，1]，接近于0表示反饋信息良好，接近于1表示反饋信息非常差。

32、優(yōu)選的，步驟s4中，數(shù)據(jù)庫匹配為：判斷步驟s2通過網(wǎng)絡(luò)流量提取的設(shè)備信息是否已存在設(shè)備數(shù)據(jù)庫中，判斷步驟s3通過主動掃描提取的設(shè)備信息是否已存在設(shè)備數(shù)據(jù)庫中；

33、更新已知設(shè)備的信息包括更新設(shè)備新采集到的特征、已有特征的最新狀態(tài)以及設(shè)備的在線狀態(tài)；

34、對未知設(shè)備出發(fā)報(bào)警，記錄未知設(shè)備、識別方式，原始識別數(shù)據(jù)。

35、優(yōu)選的，步驟s5中，對未知設(shè)備進(jìn)行人工審查，判斷是否真實(shí)存在工控系統(tǒng)中；

36、收集發(fā)現(xiàn)未知設(shè)備的相關(guān)數(shù)據(jù)包，不斷更新和優(yōu)化智能匹配機(jī)制(即智能優(yōu)化的正則表達(dá)式)、設(shè)備識別方法和動態(tài)主動掃描策略，使其能夠適應(yīng)新設(shè)備、新協(xié)議和網(wǎng)絡(luò)環(huán)境的變化。

37、對于主動掃描捕獲的未知設(shè)備，分析探測數(shù)據(jù)包及其收到的返回?cái)?shù)據(jù)包，優(yōu)化主動掃描策略，掃描策略中加入新設(shè)備。

38、對于抓取網(wǎng)絡(luò)數(shù)據(jù)包識別到的未知設(shè)備，分析包含未知設(shè)備信息的數(shù)據(jù)包的特性，優(yōu)化智能篩選正則表達(dá)式。

39、一種用于工控系統(tǒng)的自學(xué)習(xí)智能資產(chǎn)發(fā)現(xiàn)方法的監(jiān)控系統(tǒng)，該監(jiān)控系統(tǒng)包括：

40、設(shè)備數(shù)據(jù)庫模塊：用于存儲工控系統(tǒng)中的資產(chǎn)信息和資產(chǎn)狀態(tài)，該模塊是所有資產(chǎn)信息的存儲和匹配中心；

41、自學(xué)習(xí)智能被動掃描模塊：通過自學(xué)習(xí)機(jī)制(基于提取的設(shè)備信息，優(yōu)化智能匹配正則表達(dá)式)，從實(shí)時(shí)網(wǎng)絡(luò)流量中篩選并提取設(shè)備信息；

42、動態(tài)策略主動掃描模塊：用于利用動態(tài)主動掃描策略對系統(tǒng)中的資產(chǎn)進(jìn)行輕量級主動掃描，并根據(jù)網(wǎng)絡(luò)狀況和設(shè)備優(yōu)先級調(diào)整掃描策略和頻率，減輕網(wǎng)絡(luò)負(fù)載；

43、數(shù)據(jù)庫匹配與報(bào)警模塊：用于將提取到的設(shè)備信息與設(shè)備數(shù)據(jù)庫進(jìn)行匹配，更新已知設(shè)備信息，觸發(fā)未知設(shè)備報(bào)警；

44、人工審核與反饋模塊：用于對未知設(shè)備進(jìn)行人工審核，收集反饋數(shù)據(jù)，優(yōu)化自學(xué)習(xí)數(shù)據(jù)包篩選、設(shè)備信息提取方法和動態(tài)主動掃描策略。

45、一種計(jì)算機(jī)系統(tǒng)，包括：

46、一個(gè)或多個(gè)處理器；

47、存儲器，存儲可被操作的指令，指令在通過一個(gè)或多個(gè)處理器執(zhí)行時(shí)使得一個(gè)或多個(gè)處理器執(zhí)行操作，操作包括執(zhí)行用于工控系統(tǒng)的自學(xué)習(xí)智能資產(chǎn)發(fā)現(xiàn)方法的過程。

48、本發(fā)明通過自學(xué)習(xí)智能匹配、設(shè)備識別和動態(tài)主動掃描策略的有機(jī)結(jié)合，建立了一個(gè)適用于工業(yè)控制系統(tǒng)的自學(xué)習(xí)智能資產(chǎn)發(fā)現(xiàn)方法。該方法不僅優(yōu)化了對復(fù)雜網(wǎng)絡(luò)環(huán)境中設(shè)備信息的實(shí)時(shí)提取和更新，還通過動態(tài)調(diào)整掃描策略，實(shí)現(xiàn)了主動、被動掃描的智能融合。通過這種方式，系統(tǒng)能夠自適應(yīng)地優(yōu)化資產(chǎn)發(fā)現(xiàn)策略，從而在保證網(wǎng)絡(luò)資源高效利用的同時(shí)，提升了對ics資產(chǎn)的全面性、實(shí)時(shí)性和安全性。本發(fā)明能夠有效降低資源開銷，增強(qiáng)主動掃描的有效性，提高設(shè)備信息提取的實(shí)時(shí)性和準(zhǔn)確性，確保工業(yè)控制系統(tǒng)設(shè)備的全面發(fā)現(xiàn)和實(shí)時(shí)監(jiān)控。