CN114221819A - 一种基于博弈论的网络扫描方法及装置 - Google Patents

Abstract

本发明提供了一种基于博弈论的网络扫描方法及装置，其中，该方法包括：以对目标网络进行扫描时的准确性和实时性为博弈双方，根据准确性的第一收益函数和第一成本函数建立第一效用函数，根据实时性的第二收益函数和第二成本函数建立第二效用函数；根据第一效用函数和第二效用函数，生成扫描频次的效用矩阵；根据效用矩阵求解纳什均衡，确定目标扫描频率；按照目标扫描频率对目标网络进行扫描，得到扫描信息。本发明以准确率和实时性需求博弈双方设计出适用的成本函数和收益函数计算方案，进而通过效用函数计算出攻防矩阵，最后根据纳什均衡计算出参与者双方的最优扫描频度，从而保障系统安全性的同时有效减少扫描开销，使扫描结果达到最优化。

Description

一种基于博弈论的网络扫描方法及装置

技术领域

本发明涉及智能电网工控系统安全防护技术领域，具体涉及一种基于博弈论的网络扫描方法及装置。

背景技术

随着信息技术在电网工业控制系统中的应用取得了飞速发展，电网工控系统也已从封闭系统演变为开放系统，工控系统安全隐患问题日益严峻。常见的工业控制系统安全问题为工业控制系统的安全漏洞问题。

电网工控系统安全防护薄弱，控制协议无安全保护机制，存在安全控制漏洞和隐患，没有针对工控系统的入侵检测及主动预警和防御体系，一旦电力工控系统出现信息安全漏洞，电力电网的生产运行，国家经济和民生安全将具有不可忽视的重大隐患。对电网工控系统进行安全扫描是必不可少的环节，虽然对电网工控系统进行安全扫描有助于及时发现电网工控系统中存在的漏洞，但是频繁的扫描会对电网工控系统的正常运行产生一定的影响，因此，如何在保证系统安全的技术上，确定合理的扫描频率是亟待解决的技术问题。

发明内容

因此，本发明要解决的技术问题在于克服现有技术中对网络进行安全扫描时扫描频率不合理的缺陷，从而提供一种基于博弈论的网络扫描方法及装置。

本发明第一方面提供了一种基于博弈论的网络扫描方法，包括：以对目标网络进行扫描时的准确性和实时性为博弈双方，根据准确性的第一收益函数和第一成本函数建立第一效用函数，根据实时性的第二收益函数和第二成本函数建立第二效用函数；根据第一效用函数和第二效用函数，生成扫描频次的效用矩阵；根据效用矩阵求解纳什均衡，确定目标扫描频率；按照目标扫描频率对目标网络进行扫描，得到扫描信息。

可选的，在本发明提供的基于博弈论的网络扫描方法中，第一成本函数根据信息变更概率、设备类型、扫描间隔、漏洞库更新时间的和建立。

可选的，在本发明提供的基于博弈论的网络扫描方法中，信息变更概率根据目标网络中的项目数量、各项目中的设备信息数量、各项目中的设备信息变更数量确定：

其中，m表示项目数量，n_i表示第i个项目的设备信息数量，X_i表示第i个项目的设备信息变更数量。

可选的，在本发明提供的基于博弈论的网络扫描方法中，第二成本函数根据目标网络的实时性等级、网络扫描的时延、网络扫描的次数建立；第二成本函数为：RL'*(TD+ST)，其中，RL'＝1-RL，RL表示实时性等级，TD表示网络扫描的时延，ST表示网络扫描的次数。

可选的，在本发明提供的基于博弈论的网络扫描方法中，通过如下步骤获取目标网络的实时性等级：获取目标网络的CPU背景利用率、链路背景利用率、链路带宽、报文类型、变电站拓扑结构；分别确定CPU背景利用率、链路背景利用率、链路带宽各自所处的区间所对应的指标值；分别确定报文类型和变电站拓扑结构所对应的指标值；根据目标网络的CPU背景利用率、链路背景利用率、链路带宽、报文类型、变电站拓扑结构所对应的指标值的和所处的指标区间；将指标区间所对应的实时性等级确定为目标网络的实时性等级。

可选的，在本发明提供的基于博弈论的网络扫描方法中，按照目标扫描频率对目标网络进行扫描，包括：按照目标扫描频率，以非侵入式扫描技术、融合扫描技术、无连接扫描技术中的一项或多项技术对目标网络进行扫描。

可选的，在本发明提供的基于博弈论的网络扫描方法中，以非侵入式扫描技术对目标网络进行扫描，包括：利用设置在目标网络中的监听器，根据目标网络中的工作数据包提取扫描信息。

可选的，在本发明提供的基于博弈论的网络扫描方法中，以融合扫描技术对目标网络进行扫描，包括：与目标网络中支持工业控制协议的公共端口建立连接；通过支持工业控制协议的公共端口向目标网络发送扫描数据包；扫描数据包中包括包头部分和数据部分，扫描数据包中的包头部分与目标网络中业务数据包的包头部分相同，数据部分包含网络扫描行为信息，数据部分满足工业控制协议；通过反馈数据包获取扫描信息，反馈数据包为目标网络中的终端根据扫描数据包反馈的数据包。

可选的，在本发明提供的基于博弈论的网络扫描方法中，以无连接扫描技术对目标网络进行扫描，包括：向目标网络中的目标端口发送异常数据包；根据目标端口对异常数据包的反馈状态确定目标端口的状态信息，形成扫描信息。

本发明第二方面提供了一种基于博弈论的网络扫描装置，包括：效用函数建立模块，以对目标网络进行扫描时的准确性和实时性为博弈双方，根据准确性的第一收益函数和第一成本函数建立第一效用函数，根据实时性的第二收益函数和第二成本函数建立第二效用函数；效用矩阵建立模块，用于根据第一效用函数和第二效用函数，生成扫描频次的效用矩阵；扫描频率计算模块，用于根据效用矩阵求解纳什均衡，确定目标扫描频率；扫描模块，用于按照目标扫描频率对目标网络进行扫描，得到扫描信息。

本发明技术方案，具有如下优点：

本发明提供的基于博弈论的网络扫描方法及装置，以准确率和实时性需求博弈双方设计出适用的成本函数和收益函数计算方案，进而通过效用函数计算出攻防矩阵，最后根据纳什均衡计算出参与者双方的最优扫描频度，从而保障系统安全性的同时有效减少扫描开销，使扫描结果达到最优化。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例中基于博弈论的网络扫描方法的一个具体示例的流程图；

图2为本发明实施例中正常业务中数据包结构示意图和数据流程图，以及将扫描行为融入正常业务中后数据包结构示意图和数据流程图；

图3为本发明实施例中完整的Modbus TCP通信过程流程图；

图4为本发明实施例中基于博弈论的网络扫描装置的一个原理框图；

图5为本发明实施例中计算机设备的一个原理框图。

具体实施方式

下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要说明的是，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性。

此外，下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。

本发明实施例提供了一种基于博弈论的网络扫描方法，如图1所示，包括：

步骤S11：以对目标网络进行扫描时的准确性和实时性为博弈双方，根据准确性的第一收益函数和第一成本函数建立第一效用函数，根据实时性的第二收益函数和第二成本函数建立第二效用函数。

在本发明实施例中，参与者一方(参与方A)将从增加信息准确率而降低信息获取实时性的角度出发，选择扫描频次较高的方式进行网络扫描，参与者另一方(参与方B)会选择较低频率的网络扫描从而降低频繁扫描对数据实时性的影响。

在一可选实施例中，博弈论模型表示为{(a,b),(S_a,S_b),(U_a,U_b)}其中a代表其中一方参与者A，b代表另一方参与者B；

代表参与方A的策略集合，

分别表示不同的频率，

代表参与方B的策略集合，

分别表示不同的频率；U_a代表参与方A的效用函数，U_b代表参与方B的效用函数，当参与方A采取

攻击策略，参与方B采取

防御策略时，参与方A的效用函数来

表示，参与方B的效用函数用

来表示。

根据所定义的博弈论模型{(a,b),(S_a,S_b),(U_a,U_b)}，确定效用函数的计算公式，通过效用函数利用纳什均衡计算方法，得到扫描频次不同的情况下，信息准确率和实时性影响的不同要求占比概率。为了得到效用函数，用

表示准确率(参与方A)的效用函数，

和

分别表示其收益和成本。其中k和j代表了参与方A在策略空间中选择k^th策略，参与者B在策略空间中选择j^th策略。以此类推参与者方B。

在一可选实施例中，参与双方的效用函数表示为：U＝B-C，

其中，第一效用函数为：

其中，

表示参与方A在策略空间中选择k^th策略，参与者B在策略空间中选择j^th策略时，根据第一收益函数得到的收益，

表示参与方A在策略空间中选择k^th策略，参与者B在策略空间中选择j^th策略时，根据第一成本函数的得到的成本。

第二效用函数为：

其中，

表示参与方A在策略空间中选择k^th策略，参与者B在策略空间中选择j^th策略时，根据第二收益函数得到的收益，

表示参与方A在策略空间中选择k^th策略，参与者B在策略空间中选择j^th策略时，根据第二成本函数的得到的成本。

步骤S12：根据第一效用函数和第二效用函数，生成扫描频次的效用矩阵。

在一可选实施例中，效用矩阵中的元素为不同情况下的效用函数结果。

示例性地，构建的效用矩阵如下表1所示：

表1

步骤S13：根据效用矩阵求解纳什均衡，确定目标扫描频率。

在一可选实施例中，

和

分别代表

和

应策略选取概率，

是一个纳什均衡，当且仅当其满足对于任何p_a，存在

对于任何p_b，存在

由此，可以得到p_a和p_b的值，如果这是对整个电力工控系统的扫描频次效用矩阵，则代表扫描频次对系统信息获取准确率为p_a，对系统的实时性要求达到p_b，则部署扫描频次即为最优扫描策略。

步骤S14：按照目标扫描频率对目标网络进行扫描，得到扫描信息。

在本发明实施例提供的基于博弈论的网络扫描方法中，以准确率和实时性需求博弈双方设计出适用的成本函数和收益函数计算方案，进而通过效用函数计算出攻防矩阵，最后根据纳什均衡计算出参与者双方的最优扫描频度，从而保障系统安全性的同时有效减少扫描开销，使扫描结果达到最优化。

在一可选实施例中，可以采用单一的扫描技术对目标网络进行扫描，也可以采用多种扫描技术相结合的方式对目标网络进行扫描。

在一可选实施例中，收益函数是指参与者在参与博弈时依据其所属类型和选择的行动可获得的收益。本发明实施例中的收益函数统一定义为网络扫描对系统整体的掌握情况，主要分为两大部分：从单点而言，该设备的扫描结果准确度是否贴近真实设备状态；从整体拓扑结构而言，时间前后设备的交集也会影响网络扫描的一致性，设备交集越大，设备的遗漏率降低，覆盖率升高，收益越大。

在一可选实施例中，准确性的第一成本函数根据信息变更概率(InformationChange Probability，CP)、设备类型(Device Type，DT)、扫描间隔(Scanning Interval，SI)、漏洞库更新时间(Vulnerability Library Update Time，UT)的和建立，即，第一成本函数为CP+DT+SI+UT。

在一可选实施例中，信息变更概率根据目标网络中的项目数量、各项目中的设备信息数量、各项目中的设备信息变更数量确定：

其中，m表示项目数量，n_i表示第i个项目的设备信息数量，X_i表示第i个项目的设备信息变更数量。

在一可选实施例中，电力系统管理员通过逐步地观察和使用电力设备，很有可能会变更先前使用的设备信息，甚至提出新的需求，这种现象在实际操作时是不可避免的，有时也是必要的，但是需求的变更应保持一个较低的、相对稳定的水平。因此，信息变更概率越高，信息获取正确率要求更高，所需网络扫描频次越高。

设电力系统初始阶段获取的设备信息集合为A，而系统实现的后续阶段的设备信息集合为B，对于任意一个需求b∈B，必有下列两种情况之一出现：

1)b∈A，即实现阶段的设备信息与初始阶段获取的信息一致，需求未发生变更；

2)

即实现阶段的设备信息与初始阶段获取的信息不一致或该信息是新增需求，迫于某些原因需求发生了变更。

以上述标准判断设备信息是否变更，用总体需求变更概率P衡量电力系统使用过程中的设备信息变更稳定程度。对于成熟的电力系统开发组织而言，其系统开发过程能力应趋于稳定，所开发的设备信息系统的需求变更概率P应是一个相对固定的值，说明其信息变更相对稳定。电力系统开发组织所开发的每个项目设备信息需求变更概率可由下面的公式计算：

p＝X_i/n_i，i＝1,2,…,m

总体需求变更概率P可以根据已有的样本统计量按下面的公式来估算：

m代表电力系统开发组织所开发的项目数量，n_i表示第i个项目的设备信息数量，其作为一个数据样本，X_i表示第i个项目的设备信息变更数量。

在一可选实施例中，实时性的第二成本函数根据目标网络的实时性等级(Real-time Level，RL)、网络扫描的时延(Time Delay，TD)、网络扫描的次数(Scan Times，ST)建立。

第二成本函数为：RL'*(TD+ST)，

其中，RL'＝1-RL，RL表示实时性等级，TD表示网络扫描的时延，ST表示网络扫描的次数。

在一可选实施例中，可以根据工控系统通信协议的数据类型(非实时性数据/实时性数据)、实时性的影响因素以及工控系统的实际任务需要，将目标系统划分为三种类型，即高、中、低三个数据实时性要求等级。实时性等级越高，网络扫描频次越低，成本越低，因此，RL'＝1-RL。

在一可选实施例中，根据影响实时性的因素，即CPU背景利用率(CU)、链路背景利用率(LU)、链路带宽(LB)、报文类型(MT)、变电站拓扑结构(ST)五个方面综合出一个实时性值，然后将值映射在范围为[0,1]的空间之中，并将[0,1]划分为三个区间，分别表征低扫描评率、中扫描频率、高扫描频率，示例性地，可以人为的将空间分划为[0,0.3]定义为低扫描评率，(0.3,0.6]定义为中扫描频率，(0.6,1.0]定义为高扫描频率。

在一可选实施例中，网络扫描的时延越长，成本越高。网络扫描的次数越频繁，成本越高。

在一可选实施例中，通过如下步骤获取目标网络的实时性等级：

首先，获取目标网络的CPU背景利用率(CU)、链路背景利用率(LU)、链路带宽(LB)、报文类型(MT)、变电站拓扑结构(ST)。

在一可选实施例中，CPU利用率和链路利用率很大的程度上决定着处理事物所花费的时间，CPU所投入的处理报文的部分越多，时间花费更短，实时性更高；链路背景利用率类似CPU背景利用率，通信过程中链路的利用率选择也肯定会对实时性有重大的影响；链路的选择回对实时性有重大的影响。对于一定流量的通信状况，在其他条件一定的情况下，通路的宽窄对于通信是否畅通是决定性的因素。

在一可选实施例中，实时通信协议中传输不同的数据类型，在传递过程中所花费的时间自然不同。非实时数据即标准数据，对实时性要求不高，使用传统的以太网通道进行通信，常用于实现信道的组态、互联数据的加载、诊断数据的读取、非周期数据的交换、信息共享和设备的参数化等；而实时数据对实时性要求很高，使用优化的实时通道进行通信，常用于对工业自动化过程的实时控制、监测和管理、实现用户数据的高性能传输、周期数据交换、事件触发的周期性数据传输以及等时同步数据的高性能传输。

在一可选实施例中，电站自动化系统釆用不同的拓扑结构，数据在传送过程中路径也必定不一样，因此肯定会对实时性产生影响。就基本拓扑结构——星型和环形两种拓扑结构而言，前者由发送者发送之后经过交换机可以直接发送到目的设备，一般用时较短，对于实时性要求较低；而后者由发送者发送之后经过交换机，需要依次经过之前的各个设备，花费时间明显增加，对于实时性要求较高。

其次，分别确定CPU背景利用率、链路背景利用率、链路带宽各自所处的区间所对应的指标值，以及报文类型和变电站拓扑结构所对应的指标值。

在一可选实施例中，CPU背景利用率、链路背景利用率、链路带宽分别对应有多个区间，并且，为不同的区间设定不同的指标值。

示例性地，如下表2所示：

表2

CPU背景利用率对应有两个区间0≤CU＜50％和CU≥50％，其中，区间0≤CU＜50％对应的指标值为P，区间CU≥50％对应的指标值为2P；

链路背景利用率对应有两个区间0≤LU＜50％和LU≥50％，其中，区间0≤LU＜50％对应的指标值为P，区间LU≥50％对应的指标值为2P；

链路带宽分别对应有两个区间0≤LB＜50Mbps和LB≥50Mbps，其中，区间0≤LB＜50Mbps对应的指标值为P，区间LB≥50Mbps对应的指标值为2P。

在一可选实施例中，对于不同的报文类型，所对应的指标值不同，示例性地，对于非实时性数据，对应的指标值为P，对于实时性数据，对应的指标值为2P。

在一可选实施例中，对于不同的变电站拓扑结构，所对应的指标值不同，示例性地，对于星型拓扑结构，对应的指标值为P，对于环形拓扑结构，对应的指标值为2P。

然后，根据目标网络的CPU背景利用率、链路背景利用率、链路带宽、报文类型、变电站拓扑结构所对应的指标值的和所处的指标区间。

在一可选实施例中，可以为CPU背景利用率、链路背景利用率、链路带宽、报文类型、变电站拓扑结构所对应的指标值的和设定多个指标区间，不同的指标区间对应不同的实时性等级。

示例性地，如下表3所示：

表3

实时性要求程度	实时性等级
		7p＜x≤10p	高
3p＜x≤7p	中
		0＜x≤3p	低

当各影响因素对应到的指标值的和位于区间7p＜x≤10p内时，表示实时性等级为高，当各影响因素对应到的指标值的和位于区间3p＜x≤7p内时，表示实时性等级为中，当各影响因素对应到的指标值的和位于区间0＜x≤3p内时，表示实时性等级为低。

最后，将指标区间范围所对应的实时性等级确定为目标网络的实时性等级。

在一可选实施例中，对目标网络进行扫描时，扫描技术包括非侵入式扫描技术、融合扫描技术、无连接扫描技术中的一项或多项技术对目标网络进行扫描。

在一可选实施例中，以非侵入式扫描技术对目标网络进行扫描，包括：利用设置在目标网络中的监听器，根据目标网络中的工作数据包提取扫描信息。

在一可选实施例中，工控系统中广泛使用的协议有Modbus协议，是一种已广泛应用于当今工业控制领域的通用通讯协议，由于其简单易用，免费开放使用，目前大量的工业控制现场使用Modbus协议进行传输。随着工业现代化的发展，产生了Modbus TCP协议，即通过与TCP协议相结合来发送和接收Modbus Serial数据。通过专用的Modbus TCP网关使其与工业以太网相连，完成透明和高速的信息传输。

在网络扫描过程中，非侵入式扫描技术的设计原理，是在网络架构上增加一个监听器，在工控网络处于工作状态中时，网络上至少有工作相关的数据包正在发送，监听器可通过Modbus TCP的协议数据包提取基本信息，包括工控设备类型、站名称、设备地址等。然后根据这些数据形成风险列表，定期反馈到扫描系统。

通过非侵入式扫描技术上对目标网络进行扫描时，仅通过对协议包的被动监听，即可完成对目标网络的扫描。通过非侵入式扫描技术能够实现对目标网络中业务流程的实时控制、监管，满足更高实的时性要求。并且，非侵入式扫描技术不参与任何网络流量进行主动扫描，通过非侵入式扫描技术对目标网络进行扫描时具有极高的隐蔽性，且扫描的成本和代价较小。

在一可选实施例中，以融合扫描技术对目标网络进行扫描，包括：

首先，与目标网络中支持工业控制协议的公共端口建立连接。

然后，通过支持工业控制协议的公共端口向目标网络发送扫描数据包；扫描数据包中包括包头部分和数据部分，扫描数据包中的包头部分与目标网络中业务数据包的包头部分相同，数据部分包含网络扫描行为信息，数据部分满足工业控制协议。

最后，通过反馈数据包获取扫描信息，反馈数据包为目标网络中的终端根据扫描数据包反馈的数据包。

在一可选实施例中，由于Modbus TCP是将Modbus帧嵌入到TCP帧中，使得Modbus协议可以在TCP/IP以太网上传输，利用TCP/IP协议打包传输的Modbus，是Modbus的网络传输方式，Modbus可以架在TCP/IP之上。Modbus TCP协议在网路通讯过程中沿用了TCP/IP以太网的5层模型。因此，工业控制网络传输层可以采用TCP通信协议完成数据传输或服务。TCP数据包由包头部分和数据部分组成。包头部分包含20字节必填字段和一个可选的扩展字段。必填字段包含来源连接端口、目的连接端口、序列号、确认号等数据。数据部分携带有效载荷数据。

在本发明实施实施例中，为了避免扫描过程发出的数据包对目标网络中的正常业务传输产生影响，构建的扫描数据包中的包头部分符合TCP协议，在数据部分融入网络扫描行为。

示例性地，以用户a向用户b发送认证消息为例子，普通业务是在应用层数据的前端附加一个Modbus TCP首部，Modbus TCP提供将应用层发来的数据“I’m Deeson”顺利发送至目标端口的可靠传输。其数据流程如图2中的(a)所示。融合扫描需要替换其数据部分，将扫描行为融入正常业务中，Modbus TCP包的包头部分不发生改变。融入扫描行为的数据流程如图2中的(b)所示。

在本发明实施例中，通过融合技术对目标业务进行扫描时，将网络扫描行为融入数据部分的同时，也满足工业控制协议要求。既完成了网络扫描功能，又不会触发工控设备的漏洞，从而避免非正常的操作造成对系统的影响。

在一可选实施例中，以无连接扫描技术对目标网络进行扫描，包括：

首先，向目标网络中的目标端口发送异常数据包。

在一可选实施例中，异常数据包可以指数据包本身存在异常，也可以指发送数据包的流程存在异常。示例性地，按照TCP/IP协议，正常情况下，两个终端之间的通信应当先发送SYN包，但是在未发送SYN包前，先发送了ACK包，即使ACK包本身是正常数据包，但是由于其发送的流程有误，此时也认定向目标终端发送了异常数据包。

然后，根据目标端口对异常数据包的反馈状态确定目标端口的状态信息，形成扫描信息。

在一可选实施例中，目标端口若关闭，向目标端口发送异常数据后，协议栈不会做任何应答。目标端口若开放，目标端口会发送RST数据包。发送方只发送了一个数据包的情况下，根据被扫描端的应答，能够区分出端口的开放情况。

Internet的设计和操作基于Internet协议，通常也称为TCP/IP。在此系统中，使用两个组件来引用网络服务：主机地址和端口号。其中，端口扫描用来扫描应用服务器或主机开放的端口，进而判断主机运行了哪种服务，了解有关其运行服务的详细信息或识别潜在漏洞。要确保主机是否允许了某种服务，需要通信规则运行两种或多种实体来传输信息。常规信息技术或IT协议是日常IT网络中使用的协议。这些协议的一些示例包括HTTP，HTTPS，SMTP，FTP，TFTP，SMB和SNMP。

在工业控制网络中，情况则有所不同。工业控制系统协议主要用于互连不同供应商中的设备和系统。工业控制中常用的协议有Modbus、Profibus等。其中，Modbus协议是描述了一个控制器请求访问其它设备的过程，如何回应来自其他设备的请求，以及怎样侦测错误并记录。Modbus协议使用的是主从通讯技术，即由主站向各从站发送请求，从站给予响应，一般将主站设备方所使用的协议称为Modbus Master；从设备方使用的协议称为ModbusSlave。典型的主设备包括工控机和工业控制器等；典型的从设备如PLC可编程控制器等。

Modbus通信需要建立客户端和服务器之间的TCP连接。在使用TCP通信时，主站只有一个，为client端，主动建立连接；从站有多个，为server端，等待连接。由于Modbus TCP是基于TCP通信，需要建立TCP全连接扫描包括一次完整的三次握手过程，握手之后客户端向服务器发送3个Modbus请求，而不需要等待第一个请求的应答的到来。在收到所有的应答后，客户端正常地关闭连接。如图3所示为完整的Modbus TCP通信过程。根据TCP三种扫描方式原理，如果服务器设备接收到无通信错误的请求，并且可以正常地处理询问，那么服务器设备将返回一个正常响应。如果服务器接收到异常数据包(ACK)，若目标端口关闭，那么服务器不能返回响应。若目标端口开放，服务器将返回一个异常响应。因此，工控协议通过面向连接建立连接的机制，采用无连接扫描的思想，利用特殊的数据包，仅仅利用协议栈对异常数据包的处理，来识别端口的开放和关闭，建立转换实现空扫描。

在本发明实施例中，采用无连接扫描技术对目标网络进行扫描，通过采用全程无连接状态的方式对网络中工控设备进行识别，端口扫描的速度相近，不用再重新进行TCP三次握手，所以扫描速度有所提升且扫描速度相对稳定，不随扫描到的工业控制系统数量变化而变化。从而很大程度的提高扫描速度，节省扫描时间。

非侵入式扫描技术为被动扫描，即，不需要主动向目标网络中发出用于扫描的数据包，即可获取扫描信息，融合扫描和无连接扫描为主动扫描，需要向目标网络中主动发出用于扫描的数据包，通过用于扫描的数据包获取扫描信息。

在一可选实施例中，可以以非侵入式扫描为主，配合融合扫描和无连接扫描这两种主动扫描提高准确率和精确度，从而保证包括智能电网在内的工控系统能及时地发现设备可能存在的漏洞，减少可能存在的危害、降低资源占用和频繁网络扫描带来的负担，避免直接的经济损失。

当以非侵入式扫描为主，配合融合扫描和无连接扫描进行漏洞扫描时，对于不同的扫描策略，均执行上述步骤S11-步骤S14，计算不同扫描策略的扫描频率。

在一可选实施例中，在本发明实施例提供的基于博弈论的网络扫描方法中，在执行步骤S11前，还包括：

预先设置扫描计划，扫描计划包括扫描任务的启动、执行、修改和其他操作，当扫描任务启动时，执行上述步骤S11-步骤S14。

在一可选实施例中，在执行上述步骤S14之后，还包括：

调用自有漏洞资料库中已知的各种漏洞对上述步骤S14中采集到的扫描信息进行逐一匹配检测，确定目标网络中是否存在漏洞。

在一可选实施例中，若基于扫描信息判定目标网络存在安全漏洞，根据扫描信息和根据扫描信息确定的漏洞形成的扫描结果报告，并存储扫描结果报告。通过报告预览功能可预览报告的内容，并进行报告的导出操作。

本发明实施例提供了一种基于博弈论的网络扫描装置，如图4所示，包括：

效用函数建立模块21，以对目标网络进行扫描时的准确性和实时性为博弈双方，根据所述准确性的第一收益函数和第一成本函数建立第一效用函数，根据所述实时性的第二收益函数和第二成本函数建立第二效用函数，详细内容参见上述实施例中对步骤S11的描述，在此不再赘述。

效用矩阵建立模块22，用于根据所述第一效用函数和第二效用函数，生成扫描频次的效用矩阵，详细内容参见上述实施例中对步骤S12的描述，在此不再赘述。

扫描频率计算模块23，用于根据所述效用矩阵求解纳什均衡，确定目标扫描频率，详细内容参见上述实施例中对步骤S13的描述，在此不再赘述。

扫描模块24，用于按照所述目标扫描频率对所述目标网络进行扫描，得到扫描信息，详细内容参见上述实施例中对步骤S14的描述，在此不再赘述。

本发明实施例提供了一种计算机设备，如图5所示，该计算机设备主要包括一个或多个处理器31以及存储器32，图5中以一个处理器31为例。

该计算机设备还可以包括：输入装置33和输出装置34。

处理器31、存储器32、输入装置33和输出装置34可以通过总线或者其他方式连接，图5中以通过总线连接为例。

处理器31可以为中央处理器(Central Processing Unit，CPU)。处理器31还可以为其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。存储器32可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据基于博弈论的网络扫描装置的使用所创建的数据等。此外，存储器32可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器32可选包括相对于处理器31远程设置的存储器，这些远程存储器可以通过网络连接至基于博弈论的网络扫描装置。输入装置33可接收用户输入的计算请求(或其他数字或字符信息)，以及产生与基于博弈论的网络扫描装置有关的键信号输入。输出装置34可包括显示屏等显示设备，用以输出计算结果。

本发明实施例提供了一种计算机可读存储介质，该计算机可读存储介质存储计算机指令，计算机存储介质存储有计算机可执行指令，该计算机可执行指令可执行上述任意方法实施例中的基于博弈论的网络扫描方法。其中，存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)、随机存储记忆体(Random Access Memory，RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive，缩写：HDD)或固态硬盘(Solid-State Drive，SSD)等；所述存储介质还可以包括上述种类的存储器的组合。

显然，上述实施例仅仅是为清楚地说明所作的举例，而并非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。

Claims (10)

1.一种基于博弈论的网络扫描方法，其特征在于，包括：

以对目标网络进行扫描时的准确性和实时性为博弈双方，根据所述准确性的第一收益函数和第一成本函数建立第一效用函数，根据所述实时性的第二收益函数和第二成本函数建立第二效用函数；

根据所述第一效用函数和第二效用函数，生成扫描频次的效用矩阵；

根据所述效用矩阵求解纳什均衡，确定目标扫描频率；

按照所述目标扫描频率对所述目标网络进行扫描，得到扫描信息。

2.根据权利要求1所述的基于博弈论的网络扫描方法，其特征在于，

所述第一成本函数根据信息变更概率、设备类型、扫描间隔、漏洞库更新时间的和建立。

3.根据权利要求2所述的基于博弈论的网络扫描方法，其特征在于，

所述信息变更概率根据所述目标网络中的项目数量、各项目中的设备信息数量、各项目中的设备信息变更数量确定：

其中，m表示项目数量，n_i表示第i个项目的设备信息数量，X_i表示第i个项目的设备信息变更数量。

4.根据权利要求1所述的基于博弈论的网络扫描方法，其特征在于，

所述第二成本函数根据目标网络的实时性等级、网络扫描的时延、网络扫描的次数建立；

所述第二成本函数为：RL'*(TD+ST)，

其中，RL'＝1-RL，RL表示实时性等级，TD表示网络扫描的时延，ST表示网络扫描的次数。

5.根据权利要求4所述的基于博弈论的网络扫描方法，其特征在于，通过如下步骤获取所述目标网络的实时性等级：

获取所述目标网络的CPU背景利用率、链路背景利用率、链路带宽、报文类型、变电站拓扑结构；

分别确定所述CPU背景利用率、链路背景利用率、链路带宽各自所处的区间所对应的指标值；

分别确定所述报文类型和变电站拓扑结构所对应的指标值；

根据所述目标网络的CPU背景利用率、链路背景利用率、链路带宽、报文类型、变电站拓扑结构所对应的指标值的和所处的指标区间；

将所述指标区间所对应的实时性等级确定为所述目标网络的实时性等级。

6.根据权利要求1所述的基于博弈论的网络扫描方法，其特征在于，按照所述目标扫描频率对所述目标网络进行扫描，包括：

按照所述目标扫描频率，以非侵入式扫描技术、融合扫描技术、无连接扫描技术中的一项或多项技术对所述目标网络进行扫描。

7.根据权利要求6所述的基于博弈论的网络扫描方法，其特征在于，以非侵入式扫描技术对所述目标网络进行扫描，包括：

利用设置在所述目标网络中的监听器，根据所述目标网络中的工作数据包提取所述扫描信息。

8.根据权利要求6所述的基于博弈论的网络扫描方法，其特征在于，以融合扫描技术对所述目标网络进行扫描，包括：

与所述目标网络中支持工业控制协议的公共端口建立连接；

通过所述支持工业控制协议的公共端口向所述目标网络发送扫描数据包；所述扫描数据包中包括包头部分和数据部分，所述扫描数据包中的包头部分与所述目标网络中业务数据包的包头部分相同，所述数据部分包含网络扫描行为信息，所述数据部分满足所述工业控制协议；

通过反馈数据包获取所述扫描信息，所述反馈数据包为所述目标网络中的终端根据所述扫描数据包反馈的数据包。

9.根据权利要求6所述的基于博弈论的网络扫描方法，其特征在于，以无连接扫描技术对所述目标网络进行扫描，包括：

向所述目标网络中的目标端口发送异常数据包；

根据所述目标端口对所述异常数据包的反馈状态确定所述目标端口的状态信息，形成所述扫描信息。

10.一种基于博弈论的网络扫描装置，其特征在于，包括：

效用函数建立模块，以对目标网络进行扫描时的准确性和实时性为博弈双方，根据所述准确性的第一收益函数和第一成本函数建立第一效用函数，根据所述实时性的第二收益函数和第二成本函数建立第二效用函数；

效用矩阵建立模块，用于根据所述第一效用函数和第二效用函数，生成扫描频次的效用矩阵；

扫描频率计算模块，用于根据所述效用矩阵求解纳什均衡，确定目标扫描频率；

扫描模块，用于按照所述目标扫描频率对所述目标网络进行扫描，得到扫描信息。

Images