CN105703963A - 基于pso-ocsvm的工业控制系统通信行为异常检测方法 - Google Patents
基于pso-ocsvm的工业控制系统通信行为异常检测方法 Download PDFInfo
- Publication number
- CN105703963A CN105703963A CN201410692755.2A CN201410692755A CN105703963A CN 105703963 A CN105703963 A CN 105703963A CN 201410692755 A CN201410692755 A CN 201410692755A CN 105703963 A CN105703963 A CN 105703963A
- Authority
- CN
- China
- Prior art keywords
- ocsvm
- pso
- particle
- function
- parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明基于OCSVM算法提出了一种基于PSO-OCSVM的工业控制系统通信行为异常检测方法。该发明利用改进的单类支持向量机算法,根据正常的Modbus功能码序列建立正常通信行为轮廓,设计了一种基于粒子群算法(PSO)进行参数优化的PSO-OCSVM方法,建立入侵检测模型,识别出异常的Modbus TCP通信流量。该发明提高了异常检测的效率及其可靠性,更适用于实际应用。
Description
技术领域
本发明属于工业控制系统网络信息安全领域,具体的说是一种基于PSO-OCSVM的工业控制系统通信行为异常检测方法。
背景技术
随着信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件。网络化浪潮又将诸如嵌入式技术、多标准工业控制网络互联、无线技术等新兴技术融合进来,从而拓展了工业控制的发展空间,带来新的发展机遇,同时也带来了工业控制系统的信息安全等问题。
2010年“震网”病毒事件破坏了伊朗核设施,震惊全球。这标志着网络攻击从传统“软攻击”阶段升级为直接攻击电力、金融、通信、核设施等核心要害系统的“硬摧毁”阶段。应对高级持续性威胁(AdvancedPersistentThreat,APT)攻击已成为确保国家关键基础设施安全,保障国家安全的核心问题。
入侵检测系统能使在入侵攻击对系统产生危害前检测到攻击,并发出报警,启动防御措施。目前,入侵检测主要分为两类:误用检测和异常检测。误用检测是通过与已知的异常行为间的匹配程度来实现入侵检测,通常也称为是基于先验知识的入侵检测;而异常检测是通过建立正常行为模型来寻找偏离的异常行为,因此也被称为基于行为的入侵检测。异常检测和误用检测相比,漏报率降低,并且可以检测出以前没有出现过的入侵行为,但异常检测误报警率较高。
工业控制系统的异常检测技术可以分为三类:基于统计的方法、基于知识的方法和基于机器学习的方法。支持向量机方法就是基于机器学习的方法之一。支持向量机是在统计学习理论的基础上发展出来的一种新的模式识别方法,在解决小样本问题、非线性及高维模式识别问题中表现出了许多特有的优势。传统的支持向量机算法适用于多分类问题,即需要正负两类样本训练分类模型,但是SCADA、DCS等工业控制系统数据具有异常样本少、维度高、关联性强等特点,多数为正常数据,故障或临界状态的数据较少,而单类支持向量机具有较少的计算时间,较少的数据样本即可用于训练的优点,更重要的是单类支持向量机只需要一类样本就可以训练异常检测模型,对噪声样本数据具有鲁棒性,能建立较准确的分类模型。单类支持向量机已被证明是一种有效的控制系统通信网络入侵检测的机器学习的方法。
在工业控制入侵检测中,基于“白名单”规则的异常检测方法能够有效检测单条通信协议的异常行为,但无法检测同时存在于多个数据包中的通信异常行为,基于通信模式的异常检测方法能够弥补其不足。本文提出选取Modbus功能码这一重要字段作为研究对象,根据能够处理包含不同数目Modbus功能码序列的预处理方法,结合单类支持向量机算法,设计了一种利用粒子群算法(PSO)进行参数寻优的PSO-OCSVM模型的通信行为异常检测方法即只用一类样本即可训练异常检测模型,并采用粒子群算法对模型参数进行优化,建立了工业控制系统中ModbusTCP通信行为的异常检测模型,以实现辨识防火墙与入侵检测系统未能识别的攻击行为或者异常行为。
发明内容
针对在背景技术中提出SCADA、DCS等工业控制系统数据异常样本少、维度高、关联性强等缺点,本发明提出一种基于PSO-OCSVM的工业控制系统通信行为异常检测方法。
本发明为实现上述目的所采用的技术方案是:一种基于PSO-OCSVM的工业控制系统通信行为异常检测方法,包括以下步骤:
特征提取:抓取网络中的ModbusTCP通信流量数据包,剔除不包含有Modbus功能码的数据包,统计ModbusTCP客户端和ModbusTCP服务器端的通信流量;
数据预处理:设定短序列的长度r,以长度为r的滑动窗口循环处理Modbus功能码,将Modbus功能码转换为若干个长度为r的短序列,去除其中重复的短序列,获得短序列集合并按照每一个短序列出现的顺序进行排列构造成OCSVM特征向量;
建模:将OCSVM特征向量导入到matlab中,通过matlab调动libsvm工具箱生成OCSVM异常检测模型;
PSO优化:将初始化的粒子传递给OCSVM异常检测模型作为OCSVM固有参数ν和高斯径向基参数g,将OCSVM异常检测模型返回的交叉验证意义下的分类准确率作为PSO优化模型中的适应度值,并据此进行粒子群迭代更新,得到最优的OCSVM固有参数ν和高斯径向基参数g;
PSO-OCSVM异常检测:利用最优的OCSVM固有参数ν和高斯径向基参数g,建立PSO-OCSVM流程模型进行异常检测,并且返回交叉验证意义下的分类正确率。
所述特征提取中,利用wireshark抓取网络中的ModbusTCP通信流量数据包,只保留ModbusTCP通信流量数据包中的Modbus功能码。
所述数据预处理包括以下步骤:
根据需要设定短序列的长度r,以长度为r的滑动窗口循环处理Modbus功能码,去除重复的序列,获得短序列集合;
按照每一个短序列出现的顺序进行排列构造成OCSVM特征向量;
对OCSVM特征向量进行归一化处理,使其中的各元素属于同一个数量级。
所述PSO优化算法包括以下步骤:
设置PSO算法在终止条件始终无法满足情况下的最大迭代次数kmax及粒子速度与位置的限定范围;
随机生成种群并根据OCSVM异常检测模型对PSO算法进行参数初始化,其中每个粒子包含两个分量,分别为单类支持向量机固有参数ν和高斯核函数核参数g,并对每一个粒子设置初始化速度和位置向量;
将粒子进行OCSVM训练并作为单类支持向量机的固有参数ν和高斯核函数参数g,并将返回的交叉验证意义下的分类准确率作为粒子适应度值;
根据适应度值的情况不断更新个体极值及群体极值:一旦出现了更优的适应度值则更新相应的个体或者群体适应度值;
判断是否满足退出迭代条件:如果超过最大迭代次数或连续N次适应度值的变化没有超过0.01%,则退出迭代过程,并且此时的群体极值即为所要求的最优参数,所述N为设定的最大连续限值;
按照粒子位置与速度更新公式进行粒子群更新,同时检查各个粒子的不同维度是否在允许的限度之内,如果超出允许的范围需要限定在事先设置的范围区间之内。
所述PSO-OCSVM异常检测包括以下步骤:
接受PSO优化流程传递的粒子,将该粒子的两个分量分别设置为单类支持向量机的固有参数ν和高斯核函数参数g;
获取正常与异常ModbusTCP通信流量数据包集合,将正常的流量数据赋予+1类别标签,异常流量数据赋予-1类别标签;
构造对偶问题求解单类支持向量机模型;
构造决策函数;
根据决策函数和类别标签计算交叉验证意义下的分类准确率;
将分类准确率返回PSO优化流程中计算适应度值,并作为粒子适应度计算适应度值函数Fit(i)的取值。
所述构造对偶问题求解支持向量机模型为:
其中,α=(α1,α2,...,αn)表示拉格朗日算子,K(xi,xj)表示高斯核函数,得解
所述决策函数为:
其中,ρ*是单类支持向量机的最终决策函数的补偿值,sgn()表示符号函数,K(xi,xj)表示高斯核函数。
所述计算适应度值函数Fit(i)的取值,具体为:
将当前的分类准确率与当前的适应度值进行比较,如果分类准确率大于适应度值,则将分类准确率赋予函数Fit(i);否则保持当前的适应度值。
所述计算交叉验证意义下的分类准确率采用5折校验方式,具体为:将训练集合均分成5份,每次用其中的4份训练异常检测模型,用剩余的一份作为测试集合验证检测效果。
本发明具有以下优点及有益效果:
1.本发明选取Modbus功能码这一重要字段作为研究对象,根据能够处理包含不同数目Modbus功能码的序列的预处理方法,提出了一种基于单类支持向量机的Modbus功能码序列异常检测方法,该模型特别适合于处理小样本数据的分类问题。
2.本发明采用粒子群算法对OCSVM异常检测模型参数进行寻优,该方法通过粒子群的迭代更新,避免通过网格化方式对OCSVM参数进行寻优,从而将效率提升了10倍左右。
3.本发明提出的PSO-OCSVM方法建立了工业控制系统中通信行为的异常检测模型,可以辨识防火墙与入侵检测系统未能识别的攻击行为或者异常行为。
附图说明
图1是ModbusTCP应用层数据单元结构;
图2基于PSO-OCSVM的工业通信异常检测算法整体框架图;
图3是PSO-OCSVM异常检测模型。
具体实施方式
下面结合附图及实施例对本发明做进一步的详细说明。
如图2、3所示,基于OCSVM的通信行为异常检测方法,包括:
a.特征提取及预处理部分
1ModbusTCP报文格式在保留了Modbus全部功能的基础上,扩展了一些数据结构。ModbusTCP的报文格式主要包括三个部分:MBAP报文头、Modbus功能码和数据。当客户机向服务器设备发送报文时,功能码字段是服务器区分读操作、写操作、数据类型、数据种类的唯一依据,因此将Modbus功能码作为特征向量,如图1所示。
2用wireshark抓取的ModbusTCP流量包含冗余和不重要的特征,去除冗余或者不重要的特征,只保留有效的关键特征集即Modbus功能码。
3将获取的Modbus功能码序列随机分割成不同长度的Modbus功能码短序列,并赋予标签,不包含恶意功能码的序列标记为+1,包含恶意功能码的序列标记为-1。
4根据需要设定短序列的长度r,以长度为r的滑动窗口循环处理Modbus功能码样本,去除重复的序列,获得短序列集合。
5将任意的Modbus功能码序列,按照每一个模式短序列出现的频率构造成OCSVM特征向量。
b.PSO优化流程
1设置PSO算法在终止条件始终无法满足情况下的最大迭代次数kmax;
2在D维的问题空间中随机产生粒子的位置X=(X1,X2.....,XN)和速度V=(V1,V2,...,VN),N为粒子数目,其中Xi=(xig,xiv)表示第i个粒子由两个分量构成,分别代表OCSVM参数v和径向基核函数参数g的位置,设置两个分量的限定范围是[Xgmin,Xgmax]和[Xvmin,Xvmax];
3进行粒子适应度Fit(i)计算。粒子适应度值Fit(i)选取以分量xig和xiv为参数的基于OCSVM的Modbus功能码序列检测的交叉验证意义下的分类正确率;
4根据适应度值更新个体极值及群体极值。若适应度值则Pk=Xk+1,否则Pk=Xk。若存在j使得成立,且 则令 否则
5判断是否满足退出迭代条件。如果超过最大迭代次数或连续50次适应度值的变化没有超过0.01%,则退出迭代过程,并且此时的群体极值即为所要求的最优参数;
6按照粒子速度与位置更新公式进行更新。每一轮更新结束后需要判定位置各维是否限定在规定范围和内,对于超过范围的分量需要限定在该范围之内,例如如果xig<xgmin则设置xig=xgmin,如果xig>xgmax则xig=xgmax。速度与位置更新按照下述两个公式进行:
Vk+1=ωVk+c1r1(Pk-Xk)+c2r2(Gk-Xk)
Xk+1=Xk+Vk+1
上式中,第一部分为粒子当前速度,反映粒子当前速度对下一代速度的影响;第二部分反映单个粒子的自身认知能力,主要控制粒子的全局搜索能力,避免陷入局部最优;第三部分反映整个粒子群的社会认知能力,表示粒子间的信息的相互影响,有利于提升粒子的全局搜索能力。其中c1和c2为学习因子,加速度因子r1和r2为[0,1]之间的随机数。
c.OCSVM异常检测模型:
1接受PSO参数优化流程传递的单类支持向量机固有参数v和高斯核函数参数g;
2赋予所有样本类别标签:将用于训练的功能码序列样本标签设置为1,用于测试的功能码序列样本正常的设置为1,异常的设置为-1;
3构造对偶求解单类支持向量机模型:
其中,α=(α1,α2,...,αn)表示拉格朗日算子,K(xi,xj)表示高斯径向基核函数,得解
4构造决策函数:
其中,ρ*是单类支持向量机的补偿值,sgn()表示符号函数。
5将分类准确率返回PSO参数优化流程,作为粒子适应度计算函数Fit(i)的取值。
Claims (9)
1.一种基于PSO-OCSVM的工业控制系统通信行为异常检测方法,其特征在于,包括以下步骤:
特征提取:抓取网络中的ModbusTCP通信流量数据包,剔除不包含有Modbus功能码的数据包,统计ModbusTCP客户端和ModbusTCP服务器端的通信流量;
数据预处理:设定短序列的长度r,以长度为r的滑动窗口循环处理Modbus功能码,将Modbus功能码转换为若干个长度为r的短序列,去除其中重复的短序列,获得短序列集合并按照每一个短序列出现的顺序进行排列构造成OCSVM特征向量;
建模:将OCSVM特征向量导入到matlab中,通过matlab调动libsvm工具箱生成OCSVM异常检测模型;
PSO优化:将初始化的粒子传递给OCSVM异常检测模型作为OCSVM固有参数ν和高斯径向基参数g,将OCSVM异常检测模型返回的交叉验证意义下的分类准确率作为PSO优化模型中的适应度值,并据此进行粒子群迭代更新,得到最优的OCSVM固有参数ν和高斯径向基参数g;
PSO-OCSVM异常检测:利用最优的OCSVM固有参数ν和高斯径向基参数g,建立PSO-OCSVM流程模型进行异常检测,并且返回交叉验证意义下的分类正确率。
2.根据权利要求1所述的基于PSO-OCSVM的工业控制系统通信行为异常检测方法,其特征在于,所述特征提取中,利用wireshark抓取网络中的ModbusTCP通信流量数据包,只保留ModbusTCP通信流量数据包中的Modbus功能码。
3.根据权利要求1所述的基于PSO-OCSVM的工业控制系统通信行为异常检测方法,其特征在于,所述数据预处理包括以下步骤:
根据需要设定短序列的长度r,以长度为r的滑动窗口循环处理Modbus功能码,去除重复的序列,获得短序列集合;
按照每一个短序列出现的顺序进行排列构造成OCSVM特征向量;
对OCSVM特征向量进行归一化处理,使其中的各元素属于同一个数量级。
4.根据权利要求1所述的基于PSO-OCSVM的工业控制系统通信行为异常检测方法,其特征在于,所述PSO优化算法包括以下步骤:
设置PSO算法在终止条件始终无法满足情况下的最大迭代次数kmax及粒子速度与位置的限定范围;
随机生成种群并根据OCSVM异常检测模型对PSO算法进行参数初始化,其中每个粒子包含两个分量,分别为单类支持向量机固有参数ν和高斯核函数核参数g,并对每一个粒子设置初始化速度和位置向量;
将粒子进行OCSVM训练并作为单类支持向量机的固有参数ν和高斯核函数参数g,并将返回的交叉验证意义下的分类准确率作为粒子适应度值;
根据适应度值的情况不断更新个体极值及群体极值:一旦出现了更优的适应度值则更新相应的个体或者群体适应度值;
判断是否满足退出迭代条件:如果超过最大迭代次数或连续N次适应度值的变化没有超过0.01%,则退出迭代过程,并且此时的群体极值即为所要求的最优参数,所述N为设定的最大连续限值;
按照粒子位置与速度更新公式进行粒子群更新,同时检查各个粒子的不同维度是否在允许的限度之内,如果超出允许的范围需要限定在事先设置的范围区间之内。
5.根据权利要求1所述的基于PSO-OCSVM的工业控制系统通信行为异常检测方法,其特征在于,所述PSO-OCSVM异常检测包括以下步骤:
接受PSO优化流程传递的粒子,将该粒子的两个分量分别设置为单类支持向量机的固有参数ν和高斯核函数参数g;
获取正常与异常ModbusTCP通信流量数据包集合,将正常的流量数据赋予+1类别标签,异常流量数据赋予-1类别标签;
构造对偶问题求解单类支持向量机模型;
构造决策函数;
根据决策函数和类别标签计算交叉验证意义下的分类准确率;
将分类准确率返回PSO优化流程中计算适应度值,并作为粒子适应度计算适应度值函数Fit(i)的取值。
6.根据权利要求5所述的基于PSO-OCSVM的工业控制系统通信行为异常检测方法,其特征在于,所述构造对偶问题求解支持向量机模型为:
其中,α=(α1,α2,...,αn)表示拉格朗日算子,K(xi,xj)表示高斯核函数,得解α*=(α1 *,α2 *,...,αn *)。
7.根据权利要求5所述的基于PSO-OCSVM的工业控制系统通信行为异常检测方法,其特征在于,所述决策函数为:
其中,ρ*是单类支持向量机的最终决策函数的补偿值,sgn()表示符号函数,K(xi,xj)表示高斯核函数。
8.根据权利要求5所述的基于PSO-OCSVM的工业控制系统通信行为异常检测方法,其特征在于,所述计算适应度值函数Fit(i)的取值,具体为:
将当前的分类准确率与当前的适应度值进行比较,如果分类准确率大于适应度值,则将分类准确率赋予函数Fit(i);否则保持当前的适应度值。
9.根据权利要求5所述的基于PSO-OCSVM的工业控制系统通信行为异常检测方法,其特征在于,所述计算交叉验证意义下的分类准确率采用5折校验方式,具体为:将训练集合均分成5份,每次用其中的4份训练异常检测模型,用剩余的一份作为测试集合验证检测效果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410692755.2A CN105703963B (zh) | 2014-11-26 | 2014-11-26 | 基于pso‑ocsvm的工业控制系统通信行为异常检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410692755.2A CN105703963B (zh) | 2014-11-26 | 2014-11-26 | 基于pso‑ocsvm的工业控制系统通信行为异常检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105703963A true CN105703963A (zh) | 2016-06-22 |
CN105703963B CN105703963B (zh) | 2017-04-05 |
Family
ID=56294049
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410692755.2A Active CN105703963B (zh) | 2014-11-26 | 2014-11-26 | 基于pso‑ocsvm的工业控制系统通信行为异常检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105703963B (zh) |
Cited By (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106254316A (zh) * | 2016-07-20 | 2016-12-21 | 北京工业大学 | 一种基于数据依赖的工控行为异常检测系统 |
CN107204975A (zh) * | 2017-05-11 | 2017-09-26 | 四川大学 | 一种基于场景指纹的工业控制系统网络攻击检测技术 |
CN107370732A (zh) * | 2017-07-14 | 2017-11-21 | 成都信息工程大学 | 基于神经网络和最优推荐的工控系统异常行为发现系统 |
CN108462711A (zh) * | 2018-03-22 | 2018-08-28 | 江南大学 | 一种余弦时变pso-svm的入侵检测方法 |
CN108494807A (zh) * | 2018-05-29 | 2018-09-04 | 广西电网有限责任公司 | 基于云计算的下一代关键信息基础设施网络入侵检测系统 |
CN108763926A (zh) * | 2018-06-01 | 2018-11-06 | 中国电子技术标准化研究院 | 一种具有安全免疫能力的工业控制系统入侵检测方法 |
CN109143848A (zh) * | 2017-06-27 | 2019-01-04 | 中国科学院沈阳自动化研究所 | 基于fcm-gasvm的工业控制系统入侵检测方法 |
CN109714335A (zh) * | 2018-12-26 | 2019-05-03 | 北京天融信网络安全技术有限公司 | 一种信息检测方法及信息检测装置 |
CN109816119A (zh) * | 2019-02-02 | 2019-05-28 | 南京邮电大学 | 一种基于无监督学习的无线传感器异常数据检测方法 |
CN110061951A (zh) * | 2018-01-19 | 2019-07-26 | 佛山市湘訾科技服务有限公司 | 一种基于物联网的信息系统测试方法 |
CN110059726A (zh) * | 2019-03-22 | 2019-07-26 | 中国科学院信息工程研究所 | 工业控制系统的威胁检测方法及装置 |
CN110311898A (zh) * | 2019-06-13 | 2019-10-08 | 浙江工业大学 | 基于高斯径向基函数分类器的网络化数控系统中间人攻击检测方法 |
CN110336860A (zh) * | 2019-06-13 | 2019-10-15 | 河海大学常州校区 | 工业物联网中基于多维数据处理的关键节点数据保护方法 |
CN110659482A (zh) * | 2019-09-27 | 2020-01-07 | 吉林大学 | 一种基于gapso-twsvm的工业网络入侵检测方法 |
CN110719250A (zh) * | 2018-07-13 | 2020-01-21 | 中国科学院沈阳自动化研究所 | 基于PSO-SVDD的Powerlink工控协议异常检测方法 |
CN110868312A (zh) * | 2018-08-28 | 2020-03-06 | 中国科学院沈阳自动化研究所 | 一种基于遗传算法优化的工业行为异常检测方法 |
CN110909811A (zh) * | 2019-11-28 | 2020-03-24 | 国网湖南省电力有限公司 | 一种基于ocsvm的电网异常行为检测、分析方法与系统 |
CN111860602A (zh) * | 2020-06-22 | 2020-10-30 | 中国科学院沈阳自动化研究所 | 一种基于机器学习的高效快速工业频谱认知方法 |
CN112053219A (zh) * | 2020-08-06 | 2020-12-08 | 百维金科(上海)信息科技有限公司 | 一种基于ocsvm的消费金融欺诈行为检测方法 |
CN113016168A (zh) * | 2018-09-17 | 2021-06-22 | 施耐德电子系统美国股份有限公司 | 工业系统事件检测和对应的响应 |
US20210367885A1 (en) * | 2020-05-22 | 2021-11-25 | National Taiwan University | Anomaly flow detection device and anomaly flow detection method |
CN114268451A (zh) * | 2021-11-15 | 2022-04-01 | 中国南方电网有限责任公司 | 电力监控网络安全缓冲区构建方法、装置、设备和介质 |
CN114844802A (zh) * | 2022-07-04 | 2022-08-02 | 北京六方云信息技术有限公司 | 流量检测方法、装置、终端设备以及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010076832A1 (en) * | 2008-12-31 | 2010-07-08 | Telecom Italia S.P.A. | Anomaly detection for packet-based networks |
US20100287128A1 (en) * | 2007-12-28 | 2010-11-11 | Telecom Italia S.P.A. | Anomaly Detection for Link-State Routing Protocols |
CN102339389A (zh) * | 2011-09-14 | 2012-02-01 | 清华大学 | 一种基于密度的参数优化单分类支持向量机故障检测方法 |
-
2014
- 2014-11-26 CN CN201410692755.2A patent/CN105703963B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100287128A1 (en) * | 2007-12-28 | 2010-11-11 | Telecom Italia S.P.A. | Anomaly Detection for Link-State Routing Protocols |
WO2010076832A1 (en) * | 2008-12-31 | 2010-07-08 | Telecom Italia S.P.A. | Anomaly detection for packet-based networks |
CN102339389A (zh) * | 2011-09-14 | 2012-02-01 | 清华大学 | 一种基于密度的参数优化单分类支持向量机故障检测方法 |
Non-Patent Citations (3)
Title |
---|
WENLI SHANG 等: "Modbus/TCP Communication Anomaly Detection Based on PSO-SVM", 《2013 2ND INTERNATIONAL CONFERENCE ON MECHANICAL DESIGN AND POWER ENGINEERING (ICMDPE 2013)》 * |
WENLI SHANG 等: "Modbus/TCP Communication Anomaly Detection Based on PSO-SVM", 《2013 THE 3RD INTERNATIONAL CONFERENCE ON COMMUNICATION AND NETWORK SECURITY (ICCNS 2013)》 * |
尚文利 等: "基于PSO-SVM的Modbus TCP通讯的异常检测方法", 《电子学报》 * |
Cited By (34)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106254316B (zh) * | 2016-07-20 | 2019-07-05 | 北京工业大学 | 一种基于数据依赖的工控行为异常检测系统 |
CN106254316A (zh) * | 2016-07-20 | 2016-12-21 | 北京工业大学 | 一种基于数据依赖的工控行为异常检测系统 |
CN107204975A (zh) * | 2017-05-11 | 2017-09-26 | 四川大学 | 一种基于场景指纹的工业控制系统网络攻击检测技术 |
CN107204975B (zh) * | 2017-05-11 | 2020-05-05 | 四川大学 | 一种基于场景指纹的工业控制系统网络攻击检测技术 |
CN109143848A (zh) * | 2017-06-27 | 2019-01-04 | 中国科学院沈阳自动化研究所 | 基于fcm-gasvm的工业控制系统入侵检测方法 |
CN107370732A (zh) * | 2017-07-14 | 2017-11-21 | 成都信息工程大学 | 基于神经网络和最优推荐的工控系统异常行为发现系统 |
CN110061951A (zh) * | 2018-01-19 | 2019-07-26 | 佛山市湘訾科技服务有限公司 | 一种基于物联网的信息系统测试方法 |
CN108462711A (zh) * | 2018-03-22 | 2018-08-28 | 江南大学 | 一种余弦时变pso-svm的入侵检测方法 |
CN108462711B (zh) * | 2018-03-22 | 2020-05-08 | 江南大学 | 一种余弦时变pso-svm的入侵检测方法 |
CN108494807A (zh) * | 2018-05-29 | 2018-09-04 | 广西电网有限责任公司 | 基于云计算的下一代关键信息基础设施网络入侵检测系统 |
CN108763926B (zh) * | 2018-06-01 | 2021-11-12 | 中国电子技术标准化研究院 | 一种具有安全免疫能力的工业控制系统入侵检测方法 |
CN108763926A (zh) * | 2018-06-01 | 2018-11-06 | 中国电子技术标准化研究院 | 一种具有安全免疫能力的工业控制系统入侵检测方法 |
CN110719250B (zh) * | 2018-07-13 | 2021-07-06 | 中国科学院沈阳自动化研究所 | 基于PSO-SVDD的Powerlink工控协议异常检测方法 |
CN110719250A (zh) * | 2018-07-13 | 2020-01-21 | 中国科学院沈阳自动化研究所 | 基于PSO-SVDD的Powerlink工控协议异常检测方法 |
CN110868312A (zh) * | 2018-08-28 | 2020-03-06 | 中国科学院沈阳自动化研究所 | 一种基于遗传算法优化的工业行为异常检测方法 |
CN113016168B (zh) * | 2018-09-17 | 2023-12-08 | 施耐德电子系统美国股份有限公司 | 工业系统事件检测和对应的响应 |
CN113016168A (zh) * | 2018-09-17 | 2021-06-22 | 施耐德电子系统美国股份有限公司 | 工业系统事件检测和对应的响应 |
CN109714335A (zh) * | 2018-12-26 | 2019-05-03 | 北京天融信网络安全技术有限公司 | 一种信息检测方法及信息检测装置 |
CN109816119A (zh) * | 2019-02-02 | 2019-05-28 | 南京邮电大学 | 一种基于无监督学习的无线传感器异常数据检测方法 |
CN110059726A (zh) * | 2019-03-22 | 2019-07-26 | 中国科学院信息工程研究所 | 工业控制系统的威胁检测方法及装置 |
CN110336860A (zh) * | 2019-06-13 | 2019-10-15 | 河海大学常州校区 | 工业物联网中基于多维数据处理的关键节点数据保护方法 |
CN110311898A (zh) * | 2019-06-13 | 2019-10-08 | 浙江工业大学 | 基于高斯径向基函数分类器的网络化数控系统中间人攻击检测方法 |
CN110311898B (zh) * | 2019-06-13 | 2021-08-03 | 浙江工业大学 | 基于高斯径向基函数分类器的网络化数控系统中间人攻击检测方法 |
CN110659482A (zh) * | 2019-09-27 | 2020-01-07 | 吉林大学 | 一种基于gapso-twsvm的工业网络入侵检测方法 |
CN110659482B (zh) * | 2019-09-27 | 2022-03-25 | 吉林大学 | 一种基于gapso-twsvm的工业网络入侵检测方法 |
CN110909811A (zh) * | 2019-11-28 | 2020-03-24 | 国网湖南省电力有限公司 | 一种基于ocsvm的电网异常行为检测、分析方法与系统 |
CN110909811B (zh) * | 2019-11-28 | 2022-10-18 | 国网湖南省电力有限公司 | 一种基于ocsvm的电网异常行为检测、分析方法与系统 |
US20210367885A1 (en) * | 2020-05-22 | 2021-11-25 | National Taiwan University | Anomaly flow detection device and anomaly flow detection method |
US11539620B2 (en) * | 2020-05-22 | 2022-12-27 | National Taiwan University | Anomaly flow detection device and anomaly flow detection method |
CN111860602A (zh) * | 2020-06-22 | 2020-10-30 | 中国科学院沈阳自动化研究所 | 一种基于机器学习的高效快速工业频谱认知方法 |
CN112053219A (zh) * | 2020-08-06 | 2020-12-08 | 百维金科(上海)信息科技有限公司 | 一种基于ocsvm的消费金融欺诈行为检测方法 |
CN114268451A (zh) * | 2021-11-15 | 2022-04-01 | 中国南方电网有限责任公司 | 电力监控网络安全缓冲区构建方法、装置、设备和介质 |
CN114268451B (zh) * | 2021-11-15 | 2024-04-16 | 中国南方电网有限责任公司 | 电力监控网络安全缓冲区构建方法、装置、设备和介质 |
CN114844802A (zh) * | 2022-07-04 | 2022-08-02 | 北京六方云信息技术有限公司 | 流量检测方法、装置、终端设备以及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN105703963B (zh) | 2017-04-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105703963B (zh) | 基于pso‑ocsvm的工业控制系统通信行为异常检测方法 | |
CN105704103B (zh) | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 | |
Hu et al. | A survey of intrusion detection on industrial control systems | |
Ahmed et al. | Noiseprint: Attack detection using sensor and process noise fingerprint in cyber physical systems | |
Khan et al. | An enhanced multi-stage deep learning framework for detecting malicious activities from autonomous vehicles | |
Maglaras et al. | Integrated OCSVM mechanism for intrusion detection in SCADA systems | |
CN104899513B (zh) | 一种工业控制系统恶意数据攻击的数据图检测方法 | |
CN113283476B (zh) | 一种物联网网络入侵检测方法 | |
Hu et al. | Detecting stealthy attacks against industrial control systems based on residual skewness analysis | |
CN103077347A (zh) | 一种基于改进核心向量机数据融合的复合式入侵检测方法 | |
Chang et al. | Anomaly detection for industrial control systems using k-means and convolutional autoencoder | |
CN111885060B (zh) | 面向车联网的无损式信息安全漏洞检测系统和方法 | |
CN108055228B (zh) | 一种智能电网入侵检测系统及方法 | |
CN101883017A (zh) | 一种网络安全状态评估系统及方法 | |
CN104702460A (zh) | 基于SVM的Modbus TCP通讯的异常检测方法 | |
Anzer et al. | A multilayer perceptron-based distributed intrusion detection system for internet of vehicles | |
CN113094707B (zh) | 一种基于异质图网络的横向移动攻击检测方法及系统 | |
CN104836805A (zh) | 基于模糊免疫理论的网络入侵检测方法 | |
Durairaj et al. | Intrusion detection and mitigation of attacks in microgrid using enhanced deep belief network | |
Park et al. | G-idcs: Graph-based intrusion detection and classification system for can protocol | |
Tomlinson et al. | Using internal context to detect automotive controller area network attacks | |
Salmi et al. | Cnn-lstm based approach for dos attacks detection in wireless sensor networks | |
Hegazy | Tag Eldien, AS; Tantawy, MM; Fouda, MM; TagElDien, HA Real-time locational detection of stealthy false data injection attack in smart grid: Using multivariate-based multi-label classification approach | |
Mansourian et al. | Deep learning-based anomaly detection for connected autonomous vehicles using spatiotemporal information | |
Ding et al. | A deep learning‐based classification scheme for cyber‐attack detection in power system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |