随着全球各个国家都在努力步入工业4.0时代,PLC等工业控制设备逐渐接入互联网,不仅提高了工业生产的效率,还实现了工业生产、控制的智能化。但也带来了许多的问题。随着“震网”病毒的爆发,使工业网络安全上升到了国家安全的层面。针对工业网络的攻击与防御,首先要识别网络空间中的工业控制设备,因此网络空间中的工控设备资产扫描以及识别变得十分重要。目前对工业控制系统的扫描方法是采用ZMap与NMap结合的方式,使用ZMap探测端口,再通过NMap识别设备信息,但是这样的扫描方式需要建立完整的TCP连接,因此存在扫描速度慢的缺陷。本文在ZMap与N-Map结合的基础上对扫描识别的过程进行改良优化,采用无状态连接的方式对工业控制系统进行扫描识别,设计并实现了工业控制系统扫描平台——ICSMap,极大提升了扫描效率。ICSMap支持十余种工业控制协议的扫描并且可以自定义扫描脚本,因此ICSMap的使用更具有灵活性。同时,本文针对目前网络空间中分布的大量工控蜜罐,总结并提取了各类工控蜜罐的特征,提出了采用随机森林模型对分布在网络空间中的工控蜜罐进行识别的方法。根据实验结果,本文所实现的ICSMap可以通过十余种工控协议对目标进行扫描、识别,且扫描速度较ZMap与NMap结合的方式有了显著提升。同时,通过训练的随机森林模型,对ICSMap的扫描结果进行分类,分类结果表明模型可以有效识别出分布在网络空间中的工控蜜罐。