(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111656557.7 (22)申请日 2021.12.3 0 (71)申请人 全球能源互联网研究院有限公司 地址 102209 北京市昌平区未来科技城 滨 河大道18号 申请人 国网宁夏电力有限公司 　 国家电网有限公司 (72)发明人 张小建　王齐　张宏杰　郑铁军　 贺建伟　 (74)专利代理 机构 北京三聚阳光知识产权代理 有限公司 1 1250 代理人 董越 (51)Int.Cl. H04L 9/40(2022.01) H04W 24/08(2009.01)H04W 48/16(2009.01) (54)发明名称 一种基于博弈论的网络扫描方法及装置 (57)摘要 本发明提供了一种基于博弈论的网络扫描 方法及装置， 其中， 该方法包括： 以对目标网络进 行扫描时的准确性和实时性为博弈双方， 根据准 确性的第一收益函数和第一成本函数建立第一 效用函数， 根据实时性的第二收益函数和第二成 本函数建立第二效用函数； 根据第一效用函数和 第二效用函数， 生成扫描频次的效用矩阵； 根据 效用矩阵求解纳什均衡， 确定目标扫描频率； 按 照目标扫描频率对目标网络进行扫描， 得到扫描 信息。 本发 明以准确率和实时性需求博弈双方设 计出适用的成本函数和收益函数计算方案， 进而 通过效用函数计算出攻防矩阵， 最后根据纳什均 衡计算出参与者双方的最优扫描频度， 从而保障 系统安全性的同时有效减少扫描开销， 使扫描结 果达到最优化。 权利要求书2页 说明书11页 附图3页 CN 114221819 A 2022.03.22 CN 114221819 A 1.一种基于博 弈论的网络扫描方法， 其特 征在于， 包括： 以对目标网络进行扫描时的准确性和实时性为博弈双方， 根据 所述准确性的第 一收益 函数和第一成本函数建立第一效用函数， 根据所述实时性的第二收益函数和 第二成本函数 建立第二效用函数； 根据所述第一效用函数和第二效用函数， 生成扫描频次的效用矩阵； 根据所述效用矩阵求 解纳什均衡， 确定目标扫描频率； 按照所述目标扫描频率对所述目标网络进行扫描， 得到扫描信息 。 2.根据权利要求1所述的基于博 弈论的网络扫描方法， 其特 征在于， 所述第一成本函数根据信息变更概率、 设备类型、 扫描间隔、 漏洞库更新时间的和建 立。 3.根据权利要求2所述的基于博 弈论的网络扫描方法， 其特 征在于， 所述信息变更概率根据所述目标网络中的项目数量、 各项目中的设备信息数量、 各项 目中的设备信息变更 数量确定： 其中， m表示项目数量， ni表示第i个项目的设备信息数量， Xi表示第i个项目的设备信息 变更数量。 4.根据权利要求1所述的基于博 弈论的网络扫描方法， 其特 征在于， 所述第二成本函数根据目标网络的实时性等级、 网络扫描的时延、 网络扫描的次数建 立； 所述第二成本函数为： RL'*(TD+ST)， 其中， RL'＝1 ‑RL， RL表示实时性等级， TD表示网络扫描的时延， ST表示网络扫描的次 数。 5.根据权利要求4所述的基于博弈论的网络扫描方法， 其特征在于， 通过如下步骤获取 所述目标网络的实时性 等级： 获取所述目标网络的CPU背景利用率、 链路背景利用率、 链路带宽、 报文类型、 变电站拓 扑结构； 分别确定所述CPU背景利用率、 链路背景利用率、 链路带宽各自所处的区间所对应的指 标值； 分别确定所述报文类型和变电站拓扑 结构所对应的指标值； 根据所述目标网络的CPU背景利用率、 链路背景利用率、 链路带宽、 报文类型、 变电站拓 扑结构所对应的指标值的和所处的指标区间； 将所述指标区间所对应的实时性 等级确定为所述目标网络的实时性 等级。 6.根据权利要求1所述的基于博弈论的网络扫描方法， 其特征在于， 按照所述目标扫描 频率对所述目标网络进行扫描， 包括： 按照所述目标扫描频率， 以非侵入式扫描技术、 融合扫描技术、 无连接扫描技术中的一 项或多项技术对所述目标网络进行扫描。 7.根据权利要求6所述的基于博弈论的网络扫描方法， 其特征在于， 以非侵入式扫描技 术对所述目标网络进行扫描， 包括：权　利　要　求　书 1/2 页 2 CN 114221819 A 2利用设置在所述目标网络 中的监听器， 根据 所述目标网络 中的工作 数据包提取所述扫 描信息。 8.根据权利要求6所述的基于博弈论的网络扫描方法， 其特征在于， 以融合扫描技术对 所述目标网络进行扫描， 包括： 与所述目标网络中支持工业控制协议的公共端口建立连接； 通过所述支持工业控制协议的公共端口向所述目标网络发送扫描数据包； 所述扫描数 据包中包括包头部 分和数据部 分， 所述扫描 数据包中的包头部 分与所述目标网络中业务数 据包的包头部分相同， 所述数据部分包含网络扫描行为信息， 所述数据部分满足所述工业 控制协议； 通过反馈数据包获取所述扫描信 息， 所述反馈数据包为所述目标网络中的终端根据 所 述扫描数据包反馈的数据包。 9.根据权利要求6所述的基于博弈论的网络扫描方法， 其特征在于， 以无连接扫描技术 对所述目标网络进行扫描， 包括： 向所述目标网络中的目标端口发送 异常数据包； 根据所述目标端口对所述异常数据包的反馈状态确定所述目标端口的状态信 息， 形成 所述扫描信息 。 10.一种基于博 弈论的网络扫描装置， 其特 征在于， 包括： 效用函数建立模块， 以对目标网络进行扫描时的准确性和实时性为博弈双方， 根据所 述准确性的第一收益函数和第一成本函数建立第一效用函数， 根据所述 实时性的第二收益 函数和第二成本函数建立第二效用函数； 效用矩阵建立模块， 用于根据所述第一效用函数和第二效用函数， 生成扫描频次的效 用矩阵； 扫描频率计算模块， 用于根据所述效用矩阵求 解纳什均衡， 确定目标扫描频率； 扫描模块， 用于按照所述目标扫描频率对所述目标网络进行扫描， 得到扫描信息 。权　利　要　求　书 2/2 页 3 CN 114221819 A 3