CN106603531A - 一种基于工业控制网络的入侵检测模型的自动建立方法及装置 - Google Patents
一种基于工业控制网络的入侵检测模型的自动建立方法及装置 Download PDFInfo
- Publication number
- CN106603531A CN106603531A CN201611162117.5A CN201611162117A CN106603531A CN 106603531 A CN106603531 A CN 106603531A CN 201611162117 A CN201611162117 A CN 201611162117A CN 106603531 A CN106603531 A CN 106603531A
- Authority
- CN
- China
- Prior art keywords
- module
- flows
- communication behavior
- time
- intrusion detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/211—Selection of the most significant subset of features
- G06F18/2111—Selection of the most significant subset of features by using evolutionary computational techniques, e.g. genetic algorithms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/211—Selection of the most significant subset of features
- G06F18/2113—Selection of the most significant subset of features by ranking or filtering the set of features, e.g. using a measure of variance or of feature cross-correlation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/217—Validation; Performance evaluation; Active pattern learning techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2411—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Abstract
本申请公开了一种基于工业控制网络的入侵检测模型的自动建立方法,包括:判断第一入侵检测模型是否符合预设的检测要求,如果否,实时提取通信行为流量数据;根据所述通信行为流量数据设置训练数据集和测试数据集;根据所述训练数据集创建初始入侵检测模型;利用所述测试数据集对所述初始入侵检测模型进行测试,根据测试结果创建符合预设检测要求的第二入侵检测模型。该第二入侵检测模型的检测精度高,从而提高了异常行为的入侵检测率,降低了误报率和漏报率。
Description
技术领域
本申请涉及一种基于工业控制网络的入侵检测模型的自动建立方法及装置,属于工业控制网络安全防护技术领域。
背景技术
工业控制系统(Industrial Control Systems,以下简称ICS)是由计算机设备与工业过程控制部件组成的自动控制系统,其广泛运用于工业、能源、交通、石油化工等工业基础领域。由于ICS越来越多的与企业网和互联网相连,形成了一个开放式的网络环境,因此ICS的网络安全防护技术对于保障ICS的安全、可靠和稳定运行具有重要的意义。
目前主要采用入侵检测技术保障ICS的网络安全。入侵检测是一种主动的安全防护技术,通过提取ICS中的通信流量数据特征,并对其分析,以检测出异常的行为操作,并在异常行为产生危害之前进行拦截、报警、系统恢复等操作。
现有技术中,根据网络通信流量数据建立入侵检测模型,然后一直利用该入侵检测模型进行异常行为的入侵检测,而工业通信是实时的,通信行为的流量数据也是持续变化的,因此现有技术的入侵检测的误报率和漏报率较高。
发明内容
根据本申请的一个方面,提供了一种基于工业控制网络的入侵检测模型的自动建立方法,该方法得到的入侵检测模型的检测精度高,从而提高了异常行为的入侵检测率,降低了误报率和漏报率。
一种基于工业控制网络的入侵检测模型的自动建立方法,包括:
判断第一入侵检测模型是否符合预设的检测要求,如果否,实时提取通信行为流量数据;
根据所述通信行为流量数据设置训练数据集和测试数据集;
根据所述训练数据集创建初始入侵检测模型;
利用所述测试数据集对所述初始入侵检测模型进行测试,根据测试结果创建符合预设检测要求的第二入侵检测模型。
其中,所述预设的检测要求包括检测率阈值、检测时间阈值、误报率阈值和/或漏报率阈值。
进一步的,所述实时提取通信行为流量数据之后,还包括:
对实时提取的通信行为流量数据进行属性约简。
所述对实时提取的通信行为流量数据进行属性约简,具体为:
采用RST对实时提取的通信行为流量数据进行属性约简。
根据本申请的一个方面,提供了一种基于工业控制网络的入侵检测模型的自动建立装置,所述装置包括:判断模块,提取模块,设置模块,第一创建模块,第二创建模块;
所述判断模块,用于判断第一入侵检测模型是否符合预设的检测要求,如果否,触发所述提取模块;
所述提取模块,用于在受到所述判断模块的触发后,实时提取通信行为流量数据;
所述设置模块,用于根据所述提取模块提取的通信行为流量数据设置训练数据集和测试数据集;
所述第一创建模块,用于根据所述设置模块设置的训练数据集创建初始入侵检测模型;
所述第二创建模块,用于利用所述设置模块设置的测试数据集对所述第一创建模块创建的初始入侵检测模型进行测试,根据测试结果创建符合预设检测要求的第二入侵检测模型。
所述预设的检测要求包括检测率阈值、检测时间阈值、误报率阈值和/或漏报率阈值。
进一步地,还包括属性简约模块,用于对所述提取模块实时提取的通信行为流量数据进行属性约简;
相应的,所述设置模块,用于根据所述属性简约模块简约后的通信行为流量数据设置训练数据集和测试数据集。
具体地,所述属性简约模块采用RST对实时提取的通信流量数据特征进行属性约简。
本申请能产生的有益效果包括:
1)本申请通过判断第一入侵检测模型是否符合预设的检测条件,当其不符合预设的检测条件时,实时提取通信行为流量数据,根据实时提取的通信行为流量数据设置训练数据集和测试数据集,根据训练数据集创建初始入侵检测模型,然后利用测试数据集对初始入侵检测模型进行测试,根据测试结果创建符合预设检测要求的第二入侵检测模型,相对于采用固定的第一入侵检测模型进行入侵检测的现有技术来说,本发明实施例得到的第二入侵检测模型的检测精度高,从而提高了异常行为的入侵检测率,降低了误报率和漏报率;
2)进一步地,本申请采用RST对实时提取的通信行为流量数据进行属性约简,降低了第二入侵检测模型的复杂度,进一步提高了第二入侵检测模型的检测精度,节约了检测时间。
附图说明
图1为一种基于工业控制网络的入侵检测模型的自动建立方法流程示意图;
图2为一种基于工业控制网络的入侵检测模型的自动建立装置结构示意图。
具体实施方式
下面结合实施例详述本申请,但本申请并不局限于这些实施例。
实施例1
参见图1,本发明实施例提供了一种基于工业控制网络的入侵检测模型的自动建立方法,该方法包括:
101、判断第一入侵检测模型是否符合预设的检测要求,如果否,执行步骤102;
具体地,预设的检测要求包括检测率阈值、检测时间阈值、误报率阈值和漏报率阈值等参数中的一种或多种,可以根据实际情况来选取,本发明实施例对此不作具体限制。
102、实时提取通信行为流量数据;
本发明实施例中实时提取的通信行为流量数据可能是正常通信行为流量数据,也可能是包括异常攻击行为的通信行为流量数据。
本发明实施例中异常行为包括非法连接、非授权访问、篡改或破坏数据等各种破坏行为。
103、根据通信行为流量数据设置训练数据集和测试数据集;
104、根据上述训练数据集创建初始入侵检测模型;
105、利用测试数据集对上述初始入侵检测模型进行测试,根据测试结果创建符合预设检测要求的第二入侵检测模型。
现有技术中,采用固定建立的第一入侵检测模型进行异常行为的入侵检测,由于工业通信是实时发生的,其通信行为流量数据也在持续变化,因此采用固定的第一入侵检测模型进行入侵检测,使得检测精度不高,无法满足工业通信的实时性要求。而本发明实施例中,首先判断第一入侵检测模型是否符合预设的检测要求,当第一入侵检测模型不符合预设的检测要求时,实时提取通信行为流量数据,然后根据这些通信行为流量数据重新创建初始入侵检测模型,对该初始入侵检测模型进行修正,得到符合预设检测要求的第二入侵检测模型,利用该第二入侵检测模型进行异常行为的入侵检测,大大提高了入侵检测率,降低了入侵检测误报率和漏报率。
进一步地,在步骤102之后,还包括:
对实时提取的通信行为流量数据进行属性约简。
具体地,基于粗糙集理论(Rough Sets Theory,以下简称RST)对实时提取的通信流量数据特征进行属性约简。
更具体地,采用基于RST的PawLak属性重要度的决策表对实时提取的通信流量数据特征进行属性约简。
在入侵检测系统中,通信行为流量数据量巨大,属性众多,其中一部分属性对入侵检测结果作用不大,甚至一部分属性对入侵检测结果是无用的,这样会对异常行为的入侵检测结果产生误导,不仅降低了异常行为的入侵检测率,同时也影响了工业控制网络实时性通信的要求。
RST适用于处理含糊性和不确定性的一种数学工具,主要用于从不完整的数据集中发现模式和规律,RST目前广泛应用于化工、医疗诊断、过程控制、商业经济等领域。
本发明实施例将RST首次应用于本发明中,采用RST对实时提取的通信行为流量数据进行属性约简,将无用属性进行分离,使检测过程集中在关键数据属性上,大大降低了入侵检测模型的复杂度,提高了入侵检测模型的检测精度,节约了检测时间,但本发明实施例也不限于采用RST进行属性简约,能达到属性简约效果的遗传算法、动态简约等简约方式也可以。
本发明实施例通过判断第一入侵检测模型是否符合预设的检测条件,当其不符合预设的检测条件时,实时提取通信行为流量数据,根据实时提取的通信行为流量数据设置训练数据集和测试数据集,根据训练数据集创建初始入侵检测模型,然后利用测试数据集对初始入侵检测模型进行测试,根据测试结果创建符合预设检测要求的第二入侵检测模型,相对于采用固定的第一入侵检测模型进行入侵检测的现有技术来说,本发明实施例得到的第二入侵检测模型的检测精度高,从而提高了异常行为的入侵检测率,降低了误报率和漏报率;进一步地,本发明实施例采用RST对实时提取的通信行为流量数据进行属性约简,降低了第二入侵检测模型的复杂度,进一步提高了第二入侵检测模型的检测精度,节约了检测时间。
参见图2,本发明实施例提供了一种基于工业控制网络的入侵检测模型的自动建立装置,该装置包括:判断模块21,提取模块22,设置模块23,第一创建模块24,第二创建模块25;
其中,判断模块21,用于判断第一入侵检测模型是否符合预设的检测要求,如果否,触发提取模块22;
具体地,预设的检测要求包括检测率阈值、检测时间阈值、误报率阈值和漏报率阈值等参数中的一种或多种,可以根据实际情况来选取,本发明实施例对此不作具体限制。
提取模块22,用于在受到判断模块21的触发后,实时提取通信行为流量数据;
本发明实施例中实时提取的通信行为流量数据可能是正常通信行为流量数据,还可能是包括异常攻击行为的通信行为流量数据。
设置模块23,用于根据提取模块22提取的通信行为流量数据设置训练数据集和测试数据集;
第一创建模块24,用于根据设置模块23设置的训练数据集创建初始入侵检测模型;
第二创建模块25,用于利用设置模块23设置的测试数据集对第一创建模块24创建的初始入侵检测模型进行测试,根据测试结果创建符合预设检测要求的第二入侵检测模型。
进一步地,本发明实施例还包括属性简约模块,用于对提取模块22实时提取的通信行为流量数据进行属性约简;
相应的,设置模块23,用于根据属性简约模块简约后的通信行为流量数据设置训练数据集和测试数据集。
具体的,属性简约模块采用RST的PawLak属性重要度的决策表对实时提取的通信流量数据特征进行属性约简。
本发明实施例通过判断第一入侵检测模型是否符合预设的检测条件,当其不符合预设的检测条件时,实时提取通信行为流量数据,根据实时提取的通信行为流量数据设置训练数据集和测试数据集,根据训练数据集创建初始入侵检测模型,然后利用测试数据集对初始入侵检测模型进行测试,根据测试结果创建符合预设检测要求的第二入侵检测模型,相对于采用固定的第一入侵检测模型进行入侵检测的现有技术来说,本发明实施例得到的第二入侵检测模型的检测精度高,从而提高了异常行为的入侵检测率,降低了误报率和漏报率;进一步地,本发明实施例采用RST对实时提取的通信行为流量数据进行属性约简,降低了第二入侵检测模型的复杂度,进一步提高了第二入侵检测模型的检测精度,节约了检测时间。
以上所述,仅是本申请的几个实施例,并非对本申请做任何形式的限制,虽然本申请以较佳实施例揭示如上,然而并非用以限制本申请,任何熟悉本专业的技术人员,在不脱离本申请技术方案的范围内,利用上述揭示的技术内容做出些许的变动或修饰均等同于等效实施案例,均属于技术方案范围内。
Claims (8)
1.一种基于工业控制网络的入侵检测模型的自动建立方法,其特征在于,包括:
判断第一入侵检测模型是否符合预设的检测要求,如果否,实时提取通信行为流量数据;
根据所述通信行为流量数据建立训练数据集和测试数据集;
根据所述训练数据集创建初始入侵检测模型;
利用所述测试数据集对所述初始入侵检测模型进行测试,根据测试结果创建符合预设检测要求的第二入侵检测模型。
2.根据权利要求1所述的方法,其特征在于,所述预设的检测要求包括检测率阈值、检测时间阈值、误报率阈值和/或漏报率阈值。
3.根据权利要求1或2所述的方法,其特征在于,所述实时提取通信行为流量数据之后,还包括:
对实时提取的通信行为流量数据进行属性约简。
4.根据权利要求3所述的方法,其特征在于,所述对实时提取的通信行为流量数据进行属性约简,具体为:
采用RST对实时提取的通信行为流量数据进行属性约简。
5.一种基于工业控制网络的入侵检测模型的自动建立装置,其特征在于,所述装置包括:判断模块,提取模块,设置模块,第一创建模块,第二创建模块;
所述判断模块,用于判断第一入侵检测模型是否符合预设的检测要求,如果否,触发所述提取模块;
所述提取模块,用于在受到所述判断模块的触发后,实时提取通信行为流量数据;
所述设置模块,用于根据所述提取模块提取的通信行为流量数据设置训练数据集和测试数据集;
所述第一创建模块,用于根据所述设置模块设置的训练数据集创建初始入侵检测模型;
所述第二创建模块,用于利用所述设置模块设置的测试数据集对所述第一创建模块创建的初始入侵检测模型进行测试,根据测试结果创建符合预设检测要求的第二入侵检测模型。
6.根据权利要求5所述的装置,其特征在于,所述预设的检测要求包括检测率阈值、检测时间阈值、误报率阈值和/或漏报率阈值。
7.根据权利要求5或6所述的装置,其特征在于,还包括属性简约模块,用于对所述提取模块实时提取的通信行为流量数据进行属性约简;
相应的,所述设置模块,用于根据所述属性简约模块简约后的通信行为流量数据设置训练数据集和测试数据集。
8.根据权利要求7所述的装置,其特征在于,所述属性简约模块采用RST对实时提取的通信流量数据特征进行属性约简。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611162117.5A CN106603531A (zh) | 2016-12-15 | 2016-12-15 | 一种基于工业控制网络的入侵检测模型的自动建立方法及装置 |
PCT/CN2017/080716 WO2018107631A1 (zh) | 2016-12-15 | 2017-04-17 | 一种基于工业控制网络的入侵检测模型的自动建立方法及装置 |
US15/572,643 US20180288084A1 (en) | 2016-12-15 | 2017-04-17 | Method and device for automatically establishing intrusion detection model based on industrial control network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611162117.5A CN106603531A (zh) | 2016-12-15 | 2016-12-15 | 一种基于工业控制网络的入侵检测模型的自动建立方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106603531A true CN106603531A (zh) | 2017-04-26 |
Family
ID=58802867
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611162117.5A Pending CN106603531A (zh) | 2016-12-15 | 2016-12-15 | 一种基于工业控制网络的入侵检测模型的自动建立方法及装置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20180288084A1 (zh) |
CN (1) | CN106603531A (zh) |
WO (1) | WO2018107631A1 (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107070943A (zh) * | 2017-05-05 | 2017-08-18 | 兰州理工大学 | 基于流量特征图和感知哈希的工业互联网入侵检测方法 |
CN107948149A (zh) * | 2017-11-21 | 2018-04-20 | 杭州安恒信息技术有限公司 | 基于随机森林的策略自学习和优化方法及装置 |
CN108375972A (zh) * | 2018-03-21 | 2018-08-07 | 北京科技大学 | 一种工控入侵检测自适应优化方法及装置 |
WO2018218537A1 (zh) * | 2017-05-31 | 2018-12-06 | 西门子公司 | 工业控制系统及其网络安全的监视方法 |
CN111262750A (zh) * | 2020-01-09 | 2020-06-09 | 中国银联股份有限公司 | 一种用于评估基线模型的方法及系统 |
CN111600863A (zh) * | 2020-05-08 | 2020-08-28 | 杭州安恒信息技术股份有限公司 | 网络入侵检测方法、装置、系统和存储介质 |
CN112187730A (zh) * | 2020-09-08 | 2021-01-05 | 华东师范大学 | 一种入侵检测系统 |
CN114489025A (zh) * | 2022-02-14 | 2022-05-13 | 上海交通大学宁波人工智能研究院 | 一种模型驱动的工业控制系统安全防护方法 |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10764318B1 (en) | 2017-11-30 | 2020-09-01 | United States Automobile Association (USAA) | Detection failure monitoring system |
CN110365678B (zh) * | 2019-07-15 | 2021-10-22 | 北京工业大学 | 一种基于反样本的工控网络协议漏洞挖掘方法 |
CN110784455B (zh) * | 2019-10-16 | 2021-09-07 | 国网湖北省电力有限公司电力科学研究院 | 基于线性递减权重粒子群算法优化Xgboost模型方法 |
CN110809009A (zh) * | 2019-12-12 | 2020-02-18 | 江苏亨通工控安全研究院有限公司 | 一种应用于工控网络的两级入侵检测系统 |
CN112788047A (zh) * | 2020-07-14 | 2021-05-11 | 袁媛 | 基于工业互联网的网络流量异常检测方法及大数据平台 |
CN111833557A (zh) * | 2020-07-27 | 2020-10-27 | 中国工商银行股份有限公司 | 故障识别方法和装置 |
CN112348202B (zh) * | 2021-01-05 | 2021-03-30 | 博智安全科技股份有限公司 | 一种机器学习中规则模型的建立方法 |
CN113190840B (zh) * | 2021-04-01 | 2022-06-14 | 华中科技大学 | 边云协同下基于dcgan的工业控制系统入侵检测系统及方法 |
CN113542276B (zh) * | 2021-07-16 | 2023-01-24 | 江苏商贸职业学院 | 混网网络入侵目标检测方法及系统 |
CN114697081B (zh) * | 2022-02-28 | 2024-05-07 | 国网江苏省电力有限公司淮安供电分公司 | 基于iec61850 sv报文运行态势模型的入侵检测方法和系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103778479A (zh) * | 2014-01-10 | 2014-05-07 | 国网上海市电力公司 | 自适应信息容错保护方法 |
CN104378371A (zh) * | 2014-11-14 | 2015-02-25 | 浙江工业大学 | 基于MapReduce并行AP聚类的网络入侵检测方法 |
CN104935600A (zh) * | 2015-06-19 | 2015-09-23 | 中国电子科技集团公司第五十四研究所 | 一种基于深度学习的移动自组织网络入侵检测方法与设备 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AU2001277932A1 (en) * | 2000-07-21 | 2002-02-05 | Ohio University | System and method for identifying an object |
US9525696B2 (en) * | 2000-09-25 | 2016-12-20 | Blue Coat Systems, Inc. | Systems and methods for processing data flows |
US7424619B1 (en) * | 2001-10-11 | 2008-09-09 | The Trustees Of Columbia University In The City Of New York | System and methods for anomaly detection and adaptive learning |
US7941382B2 (en) * | 2007-10-12 | 2011-05-10 | Microsoft Corporation | Method of classifying and active learning that ranks entries based on multiple scores, presents entries to human analysts, and detects and/or prevents malicious behavior |
US8762298B1 (en) * | 2011-01-05 | 2014-06-24 | Narus, Inc. | Machine learning based botnet detection using real-time connectivity graph based traffic features |
NL2007180C2 (en) * | 2011-07-26 | 2013-01-29 | Security Matters B V | Method and system for classifying a protocol message in a data communication network. |
CN106060008B (zh) * | 2016-05-10 | 2019-11-19 | 中国人民解放军61599部队计算所 | 一种网络入侵异常检测方法 |
US10733530B2 (en) * | 2016-12-08 | 2020-08-04 | Resurgo, Llc | Machine learning model evaluation in cyber defense |
-
2016
- 2016-12-15 CN CN201611162117.5A patent/CN106603531A/zh active Pending
-
2017
- 2017-04-17 US US15/572,643 patent/US20180288084A1/en not_active Abandoned
- 2017-04-17 WO PCT/CN2017/080716 patent/WO2018107631A1/zh active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103778479A (zh) * | 2014-01-10 | 2014-05-07 | 国网上海市电力公司 | 自适应信息容错保护方法 |
CN104378371A (zh) * | 2014-11-14 | 2015-02-25 | 浙江工业大学 | 基于MapReduce并行AP聚类的网络入侵检测方法 |
CN104935600A (zh) * | 2015-06-19 | 2015-09-23 | 中国电子科技集团公司第五十四研究所 | 一种基于深度学习的移动自组织网络入侵检测方法与设备 |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107070943A (zh) * | 2017-05-05 | 2017-08-18 | 兰州理工大学 | 基于流量特征图和感知哈希的工业互联网入侵检测方法 |
CN107070943B (zh) * | 2017-05-05 | 2020-02-07 | 兰州理工大学 | 基于流量特征图和感知哈希的工业互联网入侵检测方法 |
WO2018218537A1 (zh) * | 2017-05-31 | 2018-12-06 | 西门子公司 | 工业控制系统及其网络安全的监视方法 |
US11747799B2 (en) | 2017-05-31 | 2023-09-05 | Siemens Aktiengesellschaft | Industrial control system and network security monitoring method therefor |
CN107948149A (zh) * | 2017-11-21 | 2018-04-20 | 杭州安恒信息技术有限公司 | 基于随机森林的策略自学习和优化方法及装置 |
CN108375972A (zh) * | 2018-03-21 | 2018-08-07 | 北京科技大学 | 一种工控入侵检测自适应优化方法及装置 |
CN108375972B (zh) * | 2018-03-21 | 2020-04-28 | 北京科技大学 | 一种工控入侵检测自适应优化方法及装置 |
CN111262750A (zh) * | 2020-01-09 | 2020-06-09 | 中国银联股份有限公司 | 一种用于评估基线模型的方法及系统 |
CN111600863A (zh) * | 2020-05-08 | 2020-08-28 | 杭州安恒信息技术股份有限公司 | 网络入侵检测方法、装置、系统和存储介质 |
CN112187730A (zh) * | 2020-09-08 | 2021-01-05 | 华东师范大学 | 一种入侵检测系统 |
CN114489025A (zh) * | 2022-02-14 | 2022-05-13 | 上海交通大学宁波人工智能研究院 | 一种模型驱动的工业控制系统安全防护方法 |
CN114489025B (zh) * | 2022-02-14 | 2023-07-04 | 上海交通大学宁波人工智能研究院 | 一种模型驱动的工业控制系统安全防护方法 |
Also Published As
Publication number | Publication date |
---|---|
US20180288084A1 (en) | 2018-10-04 |
WO2018107631A1 (zh) | 2018-06-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106603531A (zh) | 一种基于工业控制网络的入侵检测模型的自动建立方法及装置 | |
CN105704103B (zh) | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 | |
CN104899513B (zh) | 一种工业控制系统恶意数据攻击的数据图检测方法 | |
Hadi et al. | Performance analysis of big data intrusion detection system over random Forest algorithm | |
CN107392016A (zh) | 一种基于代理的Web数据库攻击行为检测系统 | |
CN103748853A (zh) | 用于对数据通信网络中的协议消息进行分类的方法和系统 | |
CN109344617A (zh) | 一种物联网资产安全画像方法与系统 | |
CN105100122A (zh) | 一种基于大数据分析的威胁检测和预警的方法及系统 | |
CN109376537B (zh) | 一种基于多因子融合的资产评分方法及系统 | |
CN103888282A (zh) | 基于核电站的网络入侵报警方法和系统 | |
CN111984975A (zh) | 基于拟态防御机制的漏洞攻击检测系统、方法及介质 | |
CN116016198B (zh) | 一种工控网络拓扑安全评估方法、装置及计算机设备 | |
CN112600828B (zh) | 基于数据报文的电力控制系统攻击检测防护方法及装置 | |
CN103235914B (zh) | 一种云端恶意检测引擎识别方法 | |
CN103825875A (zh) | 一种疫苗接种策略的虚拟机检测方法 | |
CN104966019B (zh) | 一种启发式文档威胁检测方法及系统 | |
CN116389148A (zh) | 一种基于人工智能的网络安全态势预测系统 | |
CN104796421A (zh) | 一种多媒体网络入侵检测方法 | |
CN108509796B (zh) | 一种风险性的检测方法及服务器 | |
CN113079148B (zh) | 一种工业互联网安全监测方法、装置、设备及储存介质 | |
CN114584391A (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
Yu et al. | Mining anomaly communication patterns for industrial control systems | |
CN101968768B (zh) | 一种基于缺陷的软件安全性测试需求的获取与分级方法 | |
CN112511568A (zh) | 一种网络安全事件的关联分析方法、装置及存储介质 | |
CN103825877A (zh) | 一种集成免疫虚拟机检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170426 |
|
RJ01 | Rejection of invention patent application after publication |