CN106599997A - 基于零动态的工控攻击检测识别方法与系统 - Google Patents
基于零动态的工控攻击检测识别方法与系统 Download PDFInfo
- Publication number
- CN106599997A CN106599997A CN201611181665.2A CN201611181665A CN106599997A CN 106599997 A CN106599997 A CN 106599997A CN 201611181665 A CN201611181665 A CN 201611181665A CN 106599997 A CN106599997 A CN 106599997A
- Authority
- CN
- China
- Prior art keywords
- attack
- industrial control
- model
- filter
- centralized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 39
- 238000000034 method Methods 0.000 title claims abstract description 31
- 238000004458 analytical method Methods 0.000 claims abstract description 6
- 238000001914 filtration Methods 0.000 claims description 16
- 238000009826 distribution Methods 0.000 claims description 8
- 238000007689 inspection Methods 0.000 claims description 7
- 230000007246 mechanism Effects 0.000 claims description 6
- 238000012937 correction Methods 0.000 claims description 5
- 238000005457 optimization Methods 0.000 claims description 5
- 238000005259 measurement Methods 0.000 claims description 4
- 238000013178 mathematical model Methods 0.000 claims description 3
- 238000010276 construction Methods 0.000 claims 2
- 239000000284 extract Substances 0.000 claims 1
- 230000008569 process Effects 0.000 abstract description 4
- 206010000117 Abnormal behaviour Diseases 0.000 abstract 1
- 238000013461 design Methods 0.000 description 14
- 239000011159 matrix material Substances 0.000 description 14
- 238000005516 engineering process Methods 0.000 description 7
- 238000002347 injection Methods 0.000 description 5
- 239000007924 injection Substances 0.000 description 5
- 239000000243 solution Substances 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 241001640034 Heteropterys Species 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000000567 combustion gas Substances 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 238000005272 metallurgy Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000004801 process automation Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/088—Non-supervised learning, e.g. competitive learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/26—Government or public services
- G06Q50/265—Personal security, identity or safety
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Tourism & Hospitality (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Artificial Intelligence (AREA)
- Data Mining & Analysis (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Biophysics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Biomedical Technology (AREA)
- Computer Security & Cryptography (AREA)
- Evolutionary Computation (AREA)
- Development Economics (AREA)
- Educational Administration (AREA)
- Life Sciences & Earth Sciences (AREA)
- Economics (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
本发明公开一种基于零动态工控攻击检测识别系统,包括工控建模模块、攻击检测模块以及攻击识别模块:工控建模模块用于构建面向石化、电力行业的工业控制系统结构模型框架;攻击检测模块用于提取相应的攻击状态观测值和特征,包括构建集中式攻击检测过滤器模型、分布式攻击检测过滤器模型;攻击识别模块用于构建集中式攻击识别过滤器,识别相应的攻击集。本发明还涉及一种基于零动态工控攻击检测识别方法,提出面向工业控制系统的安全模型及攻击检测识别过滤器,用以检测和识别工控系统安全威胁,尤其是应用过程中的受到的各种攻击,达到对工业控制系统信息的智能分析、安全评估及安全事件准确定位,实现工业控制系统的异常行为检测。
Description
技术领域
本发明涉及工业控制系统技术领域,具体而言涉及一种基于零动态的工控攻击检测识别方法与系统。
背景技术
随着工业化与信息化的融合,大量IT技术被引入工业控制系统。工业控制系统(Industry Control System,ICS,后简称工控系统)是综合运用电子、信息、计算机和通信技术实现工业生产管理过程自动化的应用系统,在电力、石油、冶金、矿山、交通、能源、水务、燃气等基础性领域有着非常广泛的应用。现今,网络设备、计算设备、操作系统、嵌入式平台等在工控系统中已经司空见惯。然而,工控系统与IT系统间仍然存在本质性的差异,导致差异的特质决定了工控系统安全与IT系统安全的不同。工控系统往有较深的行业和专业知识门槛,业内关注物理安全,业务系统方面普遍认同通过机制体制的专有性保障安全。随着IT技术的普遍使用和知识扩散,通过网络和其他接口进行系统攻击日益盛行。
然而工业控制系统的设计、建设和运维模式与IT系统不同,系统的一般性运维由运营商的运维人员负责,而其中使用的大型专用设备往往由厂商进行现场和远程维护其安全。工控系统与IT系统的运维群体有显著区别,鉴于工业控制系统的基础性,部署的广泛性,涉及部门和行业的多样性。工控系统的安全检测和攻击识别成为了一个非常困难的问题。
因此如何建立一套精确、智能、实时的工控系统检测识别机制,已成为一个具有高度挑战性的问题,并成为工控系统安全领域的研究热点之一。
发明内容
本发明目的在于提供一种基于零动态的工控攻击检测识别系统,包括工控系统安全建模模块、攻击检测模块和攻击识别模块,检测和识别工控系统安全威胁,尤其是应用过程中的受到的各种攻击,达到对工业控制系统信息的智能分析、安全评估及安全事件准确定位的目的,实现工业控制系统的异常行为检测技术,并且能够适用于不同工业控制网络应用场景。
应当理解,前述构思以及在下面更加详细地描述的额外构思的所有组合只要在这样的构思不相互矛盾的情况下都可以被视为本公开的发明主题的一部分。另外,所要求保护的主题的所有组合都被视为本公开的发明主题的一部分。
结合附图从下面的描述中可以更加全面地理解本发明教导的前述和其他方面、实施例和特征。本发明的其他附加方面例如示例性实施方式的特征和/或有益效果将在下面的描述中显见,或通过根据本发明教导的具体实施方式的实践中得知。
附图说明
附图不意在按比例绘制。在附图中,在各个图中示出的每个相同或近似相同的组成部分可以用相同的标号表示。为了清晰起见,在每个图中,并非每个组成部分均被标记。现在,将通过例子并参考附图来描述本发明的各个方面的实施例,其中:
图1是根据本发明某些实施例的基于零动态工控攻击检测识别系统的示意图。
具体实施方式
为了更了解本发明的技术内容,特举具体实施例并配合所附图式说明如下。
在本公开中参照附图来描述本发明的各方面,附图中示出了许多说明的实施例。本公开的实施例不必定意在包括本发明的所有方面。应当理解,上面介绍的多种构思和实施例,以及下面更加详细地描述的那些构思和实施方式可以以很多方式中任意一种来实施,这是因为本发明所公开的构思和实施例并不限于任何实施方式。另外,本发明公开的一些方面可以单独使用,或者与本发明公开的其他方面的任何适当组合来使用。
结合图1所示,根据本发明的实施例,基于零动态工控攻击检测识别系统包括工控建模模块、攻击检测模块以及攻击识别模块。
工控建模模块,用于构建面向石化、电力行业的工业控制系统结构模型框架。
攻击检测模块,用于提取相应的攻击状态观测值和特征,包括构建集中式攻击检测过滤器模型、分布式攻击检测过滤器模型。
攻击识别模块,用于构建集中式攻击识别过滤器,识别相应的攻击集。
本发明的攻击检测识别系统中,引入非线性微分代数系统零动态概念,设计集中式、分布式攻击检测过滤器模型及集中式攻击识别过滤器模型来检测和识别攻击。非线性微分代数系统中,当这个系统的输出恒为零时,其状态被限制在使得约束恒为零的区域上,输入u(t)必然是方程的唯一解。
本发明的攻击检测识别系统,采用基于混合方法构建了面向石化、电力行业的工业控制系统安全模型框架。先利用基于元件的方法按内在机理构造数学模型方程,再通过测量辨识的方法动态建模,最后利用仿真拟合方法修正模型和参数。采用优化类方法进行参数识别,对状态空间方程辨别输入-输出数据辨识模型中的参数,进行工控系统动态建模。
本攻击检测识别系统采用基于Open Agent Architecture框架的Agent技术进行数据采集。采用代理/管理者的采集模型采集主机设备日志文件以及设备状态信息;基于镜像端口技术收集和分析网络设备的镜像流量;基于抓取探测技术采集工业控制终端的操作、配置信息和协议数据流。在多层部署环境中,采用中继隔离方式单向上报采集信息。
本攻击检测识别系统,基于龙贝格观测器模型设计了集中式攻击检测过滤器。龙贝格(Luenberger)观测器基本结构:将u输入系统及状态模型,得到实测输出值y和状态观测值,再由输出模型得到相应输出估计值。然后,将与y作比较,其误差通过校正矩阵作为校正项,对进行在线校正,以获得较精确的状态观测值。
本攻击检测识别系统同时还使用基于稀疏滤波的非监督特征学习算法设计相应的分布式攻击检测过滤器,直接分析优化特征的分布提取攻击特征。稀疏滤波方法的核心思想是避免对数据分布的显式建模,优化特征分布的稀疏性从而得到好的特征表达。与其他的特征学习方法不同,稀疏滤波并没有明确的构建输入数据的分布的模型,只优化一个简单的代价函数(L2范数稀疏约束的特征),优化过程可以通过几行简单的MATLAB代码就可以实现。而且稀疏滤波可以轻松有效的处理高维的输入,并能拓展为多层堆叠。
基于残差滤波的预测攻击集的集中式攻击识别过滤器,忽略动态干扰对系统的影响。由于Kalman滤波因接收的量测信号含有扰动的因素,输出的估计状态信号不准确,所以采用残差滤波排除了观测噪声和噪声模型的影响,使参数估计实验无偏性。
下面结合具体的实例,更加具体的说明前述检测识别系统的实现。
(工业控制系统安全模型)首先以工控系统输入信号为主体,构建面向石化、电力行业的工业控制系统安全模型框架(E,M,N,P,Q)如下:
其中,x(t)∈Rn,u(t)∈Rm,r(t)∈Rp,E∈Rn×n,M∈Rn×n,N∈Rn×m,P∈Rp×n,Q∈Rp×n。Ex为预期奇异矩阵,Mx为系统的正常状态,Nu和Qu为未知输入干扰信号。而Px为实际系统正常状态信号。假设每个攻击干扰由一个攻击者单独实现的。其中N=[In×n0n×p]Q=[0p× nIp×p],而信号取决于特定的攻击策略。设为攻击集,|K|=k,对每一个i∈K,存在一个时间t,ui(t)≠0,而对uj(t)=0,定义攻击Nu(t)=Nkuk(t)和Qu(t)=Qkuk(t)。因矩阵E可能为奇异矩阵,所以假设:
A1)|sE-M|≠0;
A2)初始状态信号x(t)∈Rn连续,(Mx(0)+Nu(0))∈Im(E);
A3)输入信号u(t)连续,确保符合安全模型且状态信号x(t)、输出r(t)轨迹平滑。
(系统安全模型检测不出的攻击)对于系统安全模型(1)和攻击集合K,当且仅当一个非空的攻击(Nkuk,Qkuk)满足对所有存在初始状态x1,x2∈Rn使得r(x1,uK,t)=r(x2,0,t)成立,则检测不出攻击K。具体情形表现为:
(1)存在S∈P,g∈R|K|,x∈Rn且x≠0,使得(sE-M)x-NKg=0,且Px+QKg=0时。
(2)存在s∈P且x∈Rn使得||(sE-M)x||0+||Px||0=k时
(3)攻击者不知初始状态,系统为左可逆即 也就是时,为P、Q与输出相关联子矩阵。
(引入非线性微分代数系统零动态概念)建立工业控制系统安全模型后,针对检测不出的攻击K,引入非线性微分代数系统零动态概念,设计集中式、分布式攻击检测过滤器模型来检测攻击。
(集中式攻击检测过滤器模型)依据非线性微分代数系统零动态概念,基于龙贝格观测器模型设计集中式攻击检测过滤器模型如下:
v(t)=Mw(t)-r(t) (2)
其中,w(0)=x(0),输出注入矩阵G∈Rn×p,(E,M+GP)为正则矩阵对、符合Hurwitz定理为正定矩阵。非线性微分代数系统中,当输出恒为零时,输入u(t)必然是方程的唯一解.在此攻击检测模型中,输出v(t)=0当且仅当uk(t)=0时在所有的t∈R≥0情况下成立。因此当攻击检测模型输出v(t)≠0时,检测到攻击信号u。
(分布式攻击检测过滤器模型)因集中式攻击检测过滤器需中央处理器的持续测量,本系统使用基于稀疏滤波的非监督特征学习算法设计相应的分布式攻击检测过滤器,直接分析优化特征的分布提取攻击特征。攻击检测同样依据非线性微分代数系统零动态概念。依据定向稀疏图构造分布式工控模型:记是与攻击对(E,M)相关联的定向稀疏图,规定顶点集合对应系统中的状态,该组有向边ε={(xj,xi):eij≠0or aij≠0}。 其中让是的第i个子图。系统矩阵M表示为:
其中,MQ=blkdiag(M1,…ML);和E=blkdiag(E1,…EL),P=blkdiag(P1,…PL),(Ei,Mi)为正则矩阵对。
基于上述的结构,工业控制系统安全模型如下:
ri(t)=Pixi(t),i∈{1,…,N} (3)
其中,ri和xi都是系统的状态和第i个子系统的输出。
相应的集中式攻击检测过滤器模型为:
vi(t)=r(t)-Pw(t),i∈{1,…,N}
因集中式攻击检测过滤器需中央处理器的持续测量,因此我们采用高斯-雅各比波形松弛法迭代来进行分布式计算,实现分布式攻击检测过滤器模型如下:
v(k)(t)=r(t)-Pw(k)(t) (5)
其中,对所有k∈N,t∈[0,T],T>0,w(k)(0)=x(0),输出注入矩阵G=blkdiag(G1,…,GN),(E,M+GP)为正则矩阵对、符合Hurwitz定理为正定矩阵,且对所有ω∈R,ρ((jωE-MQ-GP)-1MP)<1,输出limk→∞‖v(k)(t)‖∞=0当且仅当uk(t)=0时在所有的t∈R≥0情况下成立时成立。因此当攻击检测模型输出v(t)≠0时,检测到攻击信号uk。
(集中式攻击识别过滤器模型)相应地设计基于残差滤波的预测攻击集的集中式攻击识别过滤器,忽略动态干扰对系统的影响,排除观测噪声和噪声模型的影响,使参数估计实现无偏性。已知攻击集设计一个残差滤波判定预定义集合是否包含攻击维数,记攻击识别过滤器对攻击维数K的输出为剩余信号vK。残差滤波包含三个步骤:输入-输出转换;状态转换;输出注入和定义特殊残差。
(1)输入-输出转换工业控制系统安全模型如下:
(2)状态转换,主要在于条件不变子空间,记S*为系统(E,M,N,P,Q)的条件不变子空间,最小状态子空间S*应满足:
(3)输出注入与特殊残差。输出注入矩阵L应满足
同时满足以上条件的S*、L将广义系统转化为正则坐标表示集合S*及其正交补集。非奇异系统(E=I)通过一个非奇异变换N-1(sI-M)Q来实现等价状态。奇异系统中非奇异M、N的转换为:MT(sE-M)Q。定义酉矩阵M=[Basis(S*)Basis((S*)⊥)],N=[Basis(E-1S*)Basis((E-1S*)⊥)],输入解耦系统表示为:
即广义系统满足以下条件时,才可识别出攻击维数K:
对于攻击签名(NK,QK)来说攻击滤波满足:
其中对符合Hurwitz定理为正定矩阵。则当且仅当预定义集合为攻击维数K时对所有t∈R≥0有残差滤波vK(t)=0成立。
总而言之,系统安全模型中若存在状态x1,x2存在输入量u不等于0,使输出量y1,y2相等则检测不出攻击,不等于u的输入量即为攻击信号。设计攻击检测模型,研究非线性微分代数系统零动态,使当且仅当u=0时,攻击检测模型的输出量恒为0,因为零动态是唯一解,借此若输入攻击信号则检测模型输出不为0。同样地攻击识别模型中,预定义攻击集,研究非线性微分代数系统零动态,使当且仅当预定义集合为攻击维数K时,攻击识别模型输出量为0。
由以上本发明的技术方案可知,本发明关于工业控制系统安全模型及攻击检测识别系统中,引入非线性微分代数系统零动态概念,设计集中式、分布式攻击检测过滤器模型及集中式攻击识别过滤器模型来检测和识别攻击,建立了精确、智能、实时的工控系统检测识别机制。
虽然本发明已以较佳实施例揭露如上,然其并非用以限定本发明。本发明所属技术领域中具有通常知识者,在不脱离本发明的精神和范围内,当可作各种的更动与润饰。因此,本发明的保护范围当视权利要求书所界定者为准。
Claims (8)
1.一种基于零动态工控攻击检测识别系统,其特征在于,包括工控建模模块、攻击检测模块以及攻击识别模块,其中:
工控建模模块,用于构建面向石化、电力行业的工业控制系统结构模型框架;
攻击检测模块,用于提取相应的攻击状态观测值和特征,包括构建集中式攻击检测过滤器模型、分布式攻击检测过滤器模型;
攻击识别模块,用于构建集中式攻击识别过滤器,识别相应的攻击集。
2.根据权利要求1所述的基于零动态工控攻击检测识别系统,其特征在于,所述工控建模模块被设置成先利用基于元件的方法按内在机理构造数学模型方程,再通过测量辨识的方法动态建模,最后利用仿真拟合方法修正模型和参数,通过采用优化类方法进行参数识别,对状态空间方程辨别输入-输出数据辨识模型中的参数,进行工控系统动态建模。
3.根据权利要求1所述的基于零动态工控攻击检测识别系统,其特征在于,所述攻击检测模块被设置成按照下述方式构建集中式攻击检测过滤器模型、分布式攻击检测过滤器模型,其中:基于龙贝格观测器模型构建集中式攻击检测过滤器;基于稀疏滤波的非监督特征学习算法构建分布式攻击检测过滤器,直接分析优化特征的分布提取攻击特征。
4.根据权利要求1所述的基于零动态工控攻击检测识别系统,其特征在于,所述攻击识别模块被设置成基于残差滤波的预测攻击集的集中式攻击识别过滤器,用以忽略动态干扰对系统的影响。
5.一种基于零动态工控攻击检测识别方法,其特征在于,包括下述步骤:
工控建模,构建面向石化、电力行业的工业控制系统结构模型框架;
攻击检测构建,提取相应的攻击状态观测值和特征,包括构建集中式攻击检测过滤器模型、分布式攻击检测过滤器模型;
攻击识别构建,用于构建集中式攻击识别过滤器,识别相应的攻击集。
6.根据权利要求5所述的基于零动态工控攻击检测识别方法,其特征在于,所述工控建模具体包括下述步骤:先利用基于元件的方法按内在机理构造数学模型方程,再通过测量辨识的方法动态建模,最后利用仿真拟合方法修正模型和参数,通过采用优化类方法进行参数识别,对状态空间方程辨别输入-输出数据辨识模型中的参数,进行工控系统动态建模。
7.根据权利要求5所述的基于零动态工控攻击检测识别方法,其特征在于,所述攻击检测构建具体包括:构建集中式攻击检测过滤器模型、分布式攻击检测过滤器模型,其中:基于龙贝格观测器模型构建集中式攻击检测过滤器,;基于稀疏滤波的非监督特征学习算法构建分布式攻击检测过滤器,直接分析优化特征的分布提取攻击特征。
8.根据权利要求5所述的基于零动态工控攻击检测识别方法,其特征在于,所述攻击识别构建具体包括:基于残差滤波的预测攻击集的集中式攻击识别过滤器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611181665.2A CN106599997B (zh) | 2016-12-20 | 2016-12-20 | 基于零动态的工控攻击检测识别方法与系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611181665.2A CN106599997B (zh) | 2016-12-20 | 2016-12-20 | 基于零动态的工控攻击检测识别方法与系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106599997A true CN106599997A (zh) | 2017-04-26 |
CN106599997B CN106599997B (zh) | 2021-07-02 |
Family
ID=58599647
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611181665.2A Active CN106599997B (zh) | 2016-12-20 | 2016-12-20 | 基于零动态的工控攻击检测识别方法与系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106599997B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110647033A (zh) * | 2019-09-02 | 2020-01-03 | 浙江工业大学 | 一种基于类龙伯格观测器的网络化运动控制系统攻击辨识方法 |
CN111130106A (zh) * | 2020-01-10 | 2020-05-08 | 浙江工业大学 | 一种针对多区域电力系统的攻击检测方法 |
CN111679657A (zh) * | 2020-06-23 | 2020-09-18 | 中国核动力研究设计院 | 一种基于工控设备信号的攻击检测方法及系统 |
CN114563996A (zh) * | 2022-01-20 | 2022-05-31 | 大连理工大学 | 一种针对工业控制系统重放攻击的物理水印检测方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080134330A1 (en) * | 2005-07-01 | 2008-06-05 | Harsh Kapoor | Systems and methods for processing data flows |
CN102175990A (zh) * | 2011-01-27 | 2011-09-07 | 西安交通大学 | 基于龙伯格观测器与子空间更新的波达方向跟踪方法及装置 |
CN103441869A (zh) * | 2013-08-19 | 2013-12-11 | 广东电网公司电力调度控制中心 | 电力系统隐患主机识别方法及装置 |
CN103581160A (zh) * | 2012-09-10 | 2014-02-12 | 哈尔滨安天科技股份有限公司 | 用于工业控制系统中恶意代码的启发式检测方法及装置 |
CN104331072A (zh) * | 2014-10-28 | 2015-02-04 | 冶金自动化研究设计院 | 一种面向典型冶金工艺控制系统的信息安全风险评估方法 |
CN205429880U (zh) * | 2016-02-02 | 2016-08-03 | 国网四川省电力公司信息通信公司 | 基于智能电网工控异构情况下的漏洞攻击检测系统 |
CN106227160A (zh) * | 2015-06-02 | 2016-12-14 | 洛克威尔自动控制技术股份有限公司 | 用于工业控制基础设施的主动响应安防系统 |
-
2016
- 2016-12-20 CN CN201611181665.2A patent/CN106599997B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080134330A1 (en) * | 2005-07-01 | 2008-06-05 | Harsh Kapoor | Systems and methods for processing data flows |
CN102175990A (zh) * | 2011-01-27 | 2011-09-07 | 西安交通大学 | 基于龙伯格观测器与子空间更新的波达方向跟踪方法及装置 |
CN103581160A (zh) * | 2012-09-10 | 2014-02-12 | 哈尔滨安天科技股份有限公司 | 用于工业控制系统中恶意代码的启发式检测方法及装置 |
CN103441869A (zh) * | 2013-08-19 | 2013-12-11 | 广东电网公司电力调度控制中心 | 电力系统隐患主机识别方法及装置 |
CN104331072A (zh) * | 2014-10-28 | 2015-02-04 | 冶金自动化研究设计院 | 一种面向典型冶金工艺控制系统的信息安全风险评估方法 |
CN106227160A (zh) * | 2015-06-02 | 2016-12-14 | 洛克威尔自动控制技术股份有限公司 | 用于工业控制基础设施的主动响应安防系统 |
CN205429880U (zh) * | 2016-02-02 | 2016-08-03 | 国网四川省电力公司信息通信公司 | 基于智能电网工控异构情况下的漏洞攻击检测系统 |
Non-Patent Citations (3)
Title |
---|
JINSUB KIM ET.AL: "On Topology of a Smart Grid: Undetectable Attacks and Countermeasures", 《IEEE JOURNAL ON SELECTED AREAS IN COMMUNICATIONS 》 * |
李俊 等: "基于扩展Kalman滤波的工业控制系统DDos攻击检测", 《测控技术与仪器仪表》 * |
费稼轩 等: "一种基于BF-DT-CUSTOM算法的电网工控系统DDoS攻击检测", 《网络与信息安全》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110647033A (zh) * | 2019-09-02 | 2020-01-03 | 浙江工业大学 | 一种基于类龙伯格观测器的网络化运动控制系统攻击辨识方法 |
CN111130106A (zh) * | 2020-01-10 | 2020-05-08 | 浙江工业大学 | 一种针对多区域电力系统的攻击检测方法 |
CN111130106B (zh) * | 2020-01-10 | 2024-04-12 | 浙江工业大学 | 一种针对多区域电力系统的攻击检测方法 |
CN111679657A (zh) * | 2020-06-23 | 2020-09-18 | 中国核动力研究设计院 | 一种基于工控设备信号的攻击检测方法及系统 |
CN114563996A (zh) * | 2022-01-20 | 2022-05-31 | 大连理工大学 | 一种针对工业控制系统重放攻击的物理水印检测方法 |
CN114563996B (zh) * | 2022-01-20 | 2022-07-26 | 大连理工大学 | 一种针对工业控制系统重放攻击的物理水印检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106599997B (zh) | 2021-07-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Pasqualetti et al. | Control-theoretic methods for cyberphysical security: Geometric principles for optimal cross-layer resilient control systems | |
Giani et al. | Smart grid data integrity attacks | |
Cui et al. | Coordinated data-injection attack and detection in the smart grid: A detailed look at enriching detection solutions | |
CN106599997A (zh) | 基于零动态的工控攻击检测识别方法与系统 | |
Giani et al. | Smart grid data integrity attacks: characterizations and countermeasures π | |
Sou et al. | On the exact solution to a smart grid cyber-security analysis problem | |
Huang et al. | False data injection attacks detection in smart grid: A structural sparse matrix separation method | |
CN104125112B (zh) | 基于物理‑信息模糊推理的智能电网攻击检测方法 | |
CN104331072B (zh) | 一种面向典型冶金工艺控制系统的信息安全风险评估方法 | |
Qassim et al. | A survey of scada testbed implementation approaches | |
Anwar et al. | Data-driven stealthy injection attacks on smart grid with incomplete measurements | |
Zhuang et al. | H∞ mode-dependent fault detection filter design for stochastic Markovian jump systems with time-varying delays and parameter uncertainties | |
CN105306463A (zh) | 基于支持向量机的Modbus TCP入侵检测方法 | |
CN109547455A (zh) | 工业物联网异常行为检测方法、可读存储介质和终端 | |
Zhu et al. | Iot equipment monitoring system based on c5. 0 decision tree and time-series analysis | |
CN109688112A (zh) | 工业物联网异常行为检测装置 | |
VS | Multi Label Deep Learning classification approach for False Data Injection Attacks in Smart Grid. | |
Ayodeji et al. | Cyber security in the nuclear industry: A closer look at digital control systems, networks and human factors | |
CN103971054A (zh) | 一种基于行为序列的浏览器扩展漏洞的检测方法 | |
Tan et al. | LPAttack: Leverage point attacks against state estimation in smart grid | |
Deng et al. | Detecting intelligent load redistribution attack based on power load pattern learning in cyber-physical power systems | |
Ghazi et al. | Intrusion detection in cyber-physical systems based on Petri net | |
Jiang et al. | Location of false data injection attacks in power system | |
Luo et al. | Passivity analysis and passification of uncertain Markovian jump systems with partially known transition rates and mode-dependent interval time-varying delays | |
Rajaee et al. | Multi-Agent Distributed Deep Learning Algorithm to Detect Cyber-Attacks in Distance Relays |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 210012 room 627, Ning Shuang Road, Yuhuatai District, Nanjing, Jiangsu, 627 Applicant after: Ho whale cloud computing Polytron Technologies Inc Address before: 210012 No. 68 Bauhinia Road, Yuhuatai District, Jiangsu, Nanjing Applicant before: ZTEsoft Technology Co., Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |