| 摘要 | 第5-6页 |
| ABSTRACT | 第6-7页 |
| 第一章 绪论 | 第11-15页 |
| 1.1 研究背景 | 第11-12页 |
| 1.2 研究现状 | 第12-13页 |
| 1.3 论文主要工作 | 第13-14页 |
| 1.4 论文的组织结构 | 第14-15页 |
| 第二章 技术背景介绍 | 第15-19页 |
| 2.1 端口扫描原理 | 第15-16页 |
| 2.1.1 TCP端口扫描原理 | 第15页 |
| 2.1.2 UDP端口扫描原理 | 第15-16页 |
| 2.2 传统的工业控制设备探测方法 | 第16-17页 |
| 2.3 可编程逻辑控制器 | 第17页 |
| 2.4 小结 | 第17-19页 |
| 第三章 基于无状态连接的扫描平台——ICSMap | 第19-29页 |
| 3.1 NMap与ZMap | 第19页 |
| 3.2 扫描识别方式 | 第19-22页 |
| 3.2.1 常见的端口扫描方式 | 第19-21页 |
| 3.2.2 工业控制系统扫描识别方式 | 第21-22页 |
| 3.3 ICSMap | 第22-26页 |
| 3.3.1 ICSMap扫描方法 | 第22-23页 |
| 3.3.2 ICSMap系统框架 | 第23-26页 |
| 3.4 实验效果 | 第26-27页 |
| 3.5 小结 | 第27-29页 |
| 第四章 工业控制系统扫描识别的设计与实现 | 第29-53页 |
| 4.1 基于协议的工业控制系统识别 | 第29-49页 |
| 4.1.1 基于Modbus协议的工控系统识别 | 第29-31页 |
| 4.1.2 基于Omron fins协议的工控系统识别 | 第31-35页 |
| 4.1.3 基于Siemens S7协议的工控系统识别 | 第35-40页 |
| 4.1.4 基于DNP3协议的工控系统识别 | 第40-41页 |
| 4.1.5 基于BACnet协议的工控系统识别 | 第41-45页 |
| 4.1.6 基于Tridium Niagara Fox协议的工控系统识别 | 第45-48页 |
| 4.1.7 基于Ethernet/IP协议的工控系统识别 | 第48-49页 |
| 4.2 实验结果 | 第49-52页 |
| 4.3 小结 | 第52-53页 |
| 第五章 基于随机森林模型的工业控制系统蜜罐识别 | 第53-67页 |
| 5.1 背景相关 | 第53-56页 |
| 5.1.1 工控蜜罐概述 | 第53-54页 |
| 5.1.2 CryPLH工控蜜罐 | 第54页 |
| 5.1.3 Conpot工控蜜罐 | 第54-55页 |
| 5.1.4 Snap7工控蜜罐 | 第55页 |
| 5.1.5 XPOT工控蜜罐 | 第55页 |
| 5.1.6 决策树 | 第55-56页 |
| 5.1.7 随机森林 | 第56页 |
| 5.2 工控蜜罐的特征分析 | 第56-61页 |
| 5.2.1 Conpot蜜罐的特征分析 | 第56-59页 |
| 5.2.2 CryPLH蜜罐的特征分析 | 第59页 |
| 5.2.3 Snap7蜜罐的特征分析 | 第59-60页 |
| 5.2.4 XPOT蜜罐的特征分析 | 第60页 |
| 5.2.5 其它类型的工控蜜罐特征分析 | 第60页 |
| 5.2.6 工控蜜罐的位置特征分析 | 第60-61页 |
| 5.2.7 工控蜜罐的时间特征分析 | 第61页 |
| 5.2.8 工控蜜罐的端口特征分析 | 第61页 |
| 5.3 基于随机森林的工控蜜罐识别模型 | 第61-64页 |
| 5.3.1 数据预处理 | 第61-62页 |
| 5.3.2 数据集构造 | 第62-63页 |
| 5.3.3 基于随机森林模型的工控蜜罐分类 | 第63-64页 |
| 5.4 实验结果 | 第64-65页 |
| 5.5 小结 | 第65-67页 |
| 第六章 总结与展望 | 第67-69页 |
| 6.1 总结 | 第67页 |
| 6.2 展望 | 第67-69页 |
| 参考文献 | 第69-73页 |
| 致谢 | 第73-75页 |
| 攻读学位期间发表的学术论文 | 第75页 |
