CN106982219A - 一种iec104通信访问控制方法 - Google Patents
一种iec104通信访问控制方法 Download PDFInfo
- Publication number
- CN106982219A CN106982219A CN201710260870.6A CN201710260870A CN106982219A CN 106982219 A CN106982219 A CN 106982219A CN 201710260870 A CN201710260870 A CN 201710260870A CN 106982219 A CN106982219 A CN 106982219A
- Authority
- CN
- China
- Prior art keywords
- data
- packet
- iec
- value
- bit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种IEC 60870‑5‑104通信访问控制方法,通过提取IEC 60870‑5‑104协议中控制域第一个八位位组的第1位、控制域第一个八位位组的第2位、控制域第三个八位位组的第1位、类型标识和传送原因作为特征,利用神经网络学习上述特征的特定组合,从而得到访问控制的标准匹配规则;再将捕获的数据包通过预处理得到待检测序列,将得到的序列与标准匹配规则进行匹配,判断数据包是否允许通过,从而完成IEC 60870‑5‑104通信访问控制。
Description
技术领域
本发明属于工业控制信息安全技术领域,更为具体地讲,涉及一种IEC 60870-5-104通信访问控制方法。
背景技术
IEC 60870-5-104网络传输规约是国际标准规约,主要应用于电力系统变电站计算机监控系统或子站RTU(远程终端控制系统)与主站SCADA系统之间的数据通信。IEC60870-5-104协议的安全性对电力系统非常重要。
然而,IEC 60870-5-104是一种开放协议,它的报文结构和数据格式都是公开的,并且在没有足够的安全措施下,存在安全隐患,攻击者能够利用符合IEC 60870-5-104协议规则的数据报文实施欺骗性攻击,例如,攻击者能够在IEC 60870-5-104协议报文的传输过程中,利用符合IEC 60870-5-104协议规则的数据包,篡改或者伪造IEC 60870-5-104数据报文,引起系统错误甚至破坏,严重威胁了电力系统的安全性。若要防范此类欺骗性攻击,需要对IEC 60870-5-104数据内容进行过滤,即对应用层进行深度包过滤。由于欺骗性攻击的数据包是符合IEC 60870-5-104协议规则的,而传统防火墙不能识别,因此无法防范此类攻击。
因此,为了阻止传统防火墙无法防范的欺骗性攻击,本发明提出了一种基于神经网络算法进行IEC 60870-5-104通信访问控制的方法。此访问控制方法部署在主站与子站之间的安全防护模块,捕获通过安全防护模块的IEC 60870-5-104数据报文,并且通过深度包过滤技术,对应用层数据进行过滤来实现通信访问控制,提高IEC 60870-5-104通信过程的安全性与可靠性,保障电力系统的安全。
发明内容
本发明的目的在于克服现有技术的不足,提供一种IEC 60870-5-104通信访问控制方法,通过IEC 60870-5-104深度包过滤技术,实现主站与子站之间的通信访问控制,提高了IEC 60870-5-104通信过程中的安全性与稳定性,防范欺骗性攻击。
为实现上述发明目的,本发明一种IEC 60870-5-104通信访问控制方法,其特征在于,包括以下步骤:
(1)、捕获数据包
在主站与子站之间利用以太网数据包捕捉工具,根据IEC 60870-5-104协议端口捕获IEC 60870-5-104数据包,并且剔除不含IEC 60870-5-104协议的数据包;
(2)、数据预处理
(2.1)、提取每条IEC 60870-5-104数据包的控制域第一个八位位组的第1位、第2位的比特的值,分别记为CF1-1、CF1-2,控制域第三个八位位组的第1位的比特的值,记为CF3-1,类型标识位的一个字节的值,记为TI,以及传送原因位的两个字节的值,记为TR;
(2.2)、将每条IEC 60870-5-104数据包中提取到的CF1-1、CF1-2、CF3-1、TI、TR组合成一组数据,数据格式为:(CF1-1,CF1-2,CF3-1,TI,TR);
(3)、判断每组数据(CF1-1,CF1-2,CF3-1,TI,TR)是否为合法数据
若CF1-1=1,CF1-2=0,CF3-1=0,或者CF1-1=1,CF1-2=1,CF3-1=0,则该组数据为合法数据,否非为非法数据;
若CF1-1=0,CF3-1=0,则按如下规则判断:
1)、TI为9或11或13或38-40时,则该条数据为合法数据,否非为非法数据;
2)、TI为1或3或30-32时,若TR为3,则该条数据为合法数据,否非为非法数据;
3)、TI为15时,若TR为37,则该条数据为合法数据,否非为非法数据;
4)、TI为46或47或100或101时,若TR为6或7或10,则该条数据为合法数据,否非为非法数据;
5)、TI为104时,若TR为6或7,则该条数据为合法数据包,否非为非法数据;
(4)、构建基于神经网络的访问控制
将数据(CF1-1,CF1-2,CF3-1,TI,TR)作为神经网络模型的输入,其合法数据(CF1-1,CF1-2,CF3-1,TI,TR)对应的输出设置为1,非法数据(CF1-1,CF1-2,CF3-1,TI,TR)对应的输出设置为0,完成对神经网络模型进行训练;
(5)、通信访问控制模块对通信数据包进行异常流量检测
在实际的工业环境中进行检测,通信访问控制模块在获取数据包之后,将数据包按照步骤(1)~(2)所述方法调整成标准输入数据(CF1-1,CF1-2,CF3-1,TI,TR),并输入到神经网络模型中进行检测,若神经网络模型输出为1,则判断该数据正常,若神经网络模型输出为0,则判断该数据异常。
本发明一种IEC 60870-5-104通信访问控制方法,通过提取IEC 60870-5-104协议中控制域第一个八位位组的第1位、控制域第一个八位位组的第2位、控制域第三个八位位组的第1位、类型标识和传送原因作为特征,利用神经网络学习上述特征的特定组合,从而得到访问控制的标准匹配规则;再将捕获的数据包通过预处理得到待检测序列,将得到的序列与标准匹配规则进行匹配,判断数据包是否允许通过,从而完成IEC 60870-5-104通信访问控制。
本发明一种IEC 60870-5-104通信访问控制方法还具有以下有益效果:
(1)、本发明直接应用于IEC 60870-5-104主站与子站之间,且无需改变控制系统网络拓扑结构,实现对主站与子站间的通信访问控制。
(2)、根据学习IEC 60870-5-104协议的数据帧类型、类型标识和传输原因之间的特定组合,对于主站与子站之间的I格式、U格式和S格式数据帧,能够分别进行访问控制。
(3)、利用神经网络方法构建了IEC 60870-5-104通信访问控制模型,可以防范欺骗性攻击。
附图说明
图1是IEC 60870-5-104通信拓扑结构图;
图2是基于神经网络的访问控制功能示意图;
图3是本发明一种IEC 60870-5-104通信访问控制方法流程图。
具体实施方式
下面结合附图对本发明的具体实施方式进行描述,以便本领域的技术人员更好地理解本发明。需要特别提醒注意的是,在以下的描述中,当已知功能和设计的详细描述也许会淡化本发明的主要内容时,这些描述在这里将被忽略。
实施例
图1是IEC 60870-5-104通信拓扑结构图。
在本实施例中,如图1所示,IEC 60870-5-104通信拓扑结构包括一个主站和多个子站,在主站和子站之间添加通信访问控制,能够有效地阻止攻击。
下面结合图1对本发明一种IEC 60870-5-104通信访问控制方法进行详细说明,如图3所示,包括以下步骤:
S1、捕获数据包
如图2所示,在主站与子站之间利用以太网数据包捕捉工具,根据IEC 60870-5-104协议端口捕获IEC 60870-5-104数据包,这样通过设置的访问控制剔除掉了不含IEC60870-5-104协议的数据包;在本实施例中,通过IEC 60870-5-104协议端口2404捕获IEC60870-5-104数据包。
S2、数据预处理
S2.1、提取每条IEC 60870-5-104数据包的控制域第一个八位位组的第1位、第2位的比特的值,分别记为CF1-1、CF1-2,控制域第三个八位位组的第1位的比特的值,记为CF3-1,类型标识位的一个字节的值,记为TI,以及传送原因位的两个字节的值,记为TR;
其中,提取的具体步骤为:
S2.1.1、提取IEC 60870-5-104数据包的控制域第一个八位位组的第1位比特的值CF1-1、控制域第一个八位位组的第2位比特的值CF1-2、控制域第三个八位位组的第1位比特的值CF3-1;
S2.1.2、根据CF1-1、CF1-2、CF3-1的值来判断该数据包的数据帧类型:若CF1-1=0,CF3-1=0,则该数据包为I帧;若CF1-1=1,CF1-2=0,CF3-1=0,则该数据包为S帧;若CF1-1=1,CF1-2=1,CF3-1=0,则该数据包为U帧;
S2.1.3、根据该数据包的数据帧类型来提取类型标识位的一个字节的值TI和传送原因位的两个字节的值TR:若该数据包为S帧或U帧,则将TI和TR均置为0,即TI=0、TR=0;若该数据包为I帧,则TI和TR按数据帧中的实际值提取;
S2.2、将每条IEC 60870-5-104数据包中提取到的CF1-1、CF1-2、CF3-1、TI、TR组合成一组数据,数据格式为:(CF1-1,CF1-2,CF3-1,TI,TR),从而剔除了IEC 60870-5-104数据报文中大量的冗余信息,减少了存储信息所需要的空间资源。
S3、判断每组数据(CF1-1,CF1-2,CF3-1,TI,TR)是否为合法数据
若CF1-1=1,CF1-2=0,CF3-1=0,或者CF1-1=1,CF1-2=1,CF3-1=0,则该组数据为合法数据,否非为非法数据;
若CF1-1=0,CF3-1=0,则按如下规则判断:
1)、TI为9或11或13或38-40时,则该条数据为合法数据,否非为非法数据;
2)、TI为1或3或30-32时,若TR为3,则该条数据为合法数据,否非为非法数据;
3)、TI为15时,若TR为37,则该条数据为合法数据,否非为非法数据;
4)、TI为46或47或100或101时,若TR为6或7或10,则该条数据为合法数据,否非为非法数据;
5)、TI为104时,若TR为6或7,则该条数据为合法数据包,否非为非法数据;
S4、构建基于神经网络的访问控制
S4.1、构建神经网络模型,设定预定精度和最大学习次数;
S4.2、设计神经网络模型,确定输入结点个数m、隐含层结点个数h和输出层结点个数n;本发明采用的神经网络模型输入层结点数为5(分别对应于5个特征),输出层结点数为1,隐含层结点数目采用公式:
其中,a为1-10的常数。
S4.3、神经网络初始化;给各个权值分别赋一个在区间(-1,1)之间的随机值,设定预定精度ε=0.001,最大学习次数M=1000;
S4.4、构造隐含层和输入层各神经元的输入输出关系:
其中,hi表示隐含层输入,ho表示隐含层输出,yi表示输出层输入,yo表示输出层输出;
S4.4、将步骤S3得到的数据(CF1-1,CF1-2,CF3-1,TI,TR)输入到神经网络模型进行训练;
在本实施例中,将经过数据处理后的1000条数据输入神经网络模型进行训练,并计算误差函数,部分数据如表1所示,其中(x1,x2,x3,x4,,x5)分别对应(CF1-1,CF1-2,CF3-1,TI,TR),;
表1部分IEC 60870-5-104样本序列
x1 | x2 | x3 | x4 | x5 | yo |
1 | 1 | 0 | 0 | 0 | 1 |
0 | 0 | 0 | 100 | 6 | 1 |
0 | 0 | 0 | 47 | 5 | 0 |
0 | 1 | 0 | 0 | 0 | 1 |
0 | 0 | 0 | 104 | 7 | 1 |
1 | 0 | 0 | 0 | 0 | 1 |
0 | 1 | 0 | 1 | 20 | 0 |
0 | 0 | 0 | 3 | 3 | 1 |
0 | 1 | 0 | 9 | 20 | 1 |
0 | 0 | 0 | 101 | 6 | 1 |
0 | 1 | 0 | 15 | 5 | 0 |
0 | 1 | 0 | 31 | 3 | 1 |
0 | 0 | 0 | 46 | 6 | 1 |
0 | 1 | 0 | 104 | 10 | 0 |
0 | 1 | 0 | 38 | 6 | 1 |
0 | 1 | 0 | 101 | 10 | 1 |
0 | 0 | 0 | 100 | 3 | 0 |
0 | 1 | 0 | 13 | 3 | 1 |
计算误差函数对输出层神经元和隐含层神经元的偏导数;
通过修正权值,计算全局误差E;
其中,do为期望输出,yo为输出层输出;在本实施例中,合法数据(CF1-1, CF1-2,CF3-1,TI,TR)对应的输出设置为1,非法数据(CF1-1,CF1-2,CF3-1,TI,TR)对应的输出设置为0;
当达到预定精度(E≤ε)或者学习次数达到1000时停止训练,从而完成对神经网络模型进行训练。
其中,部分输入层与隐含层的连接权值如表2所示,隐含层与输出层的连接权值如表3所示:
表2部分输入层与隐含层的连接权值
ω00 | ω01 | ω02 | ω03 | ω04 | ω05 | ω06 | ω07 | ω08 | ω09 |
1.53 | 2.10 | 0.74 | 0.77 | -1.83 | -0.82 | 0.31 | 1.28 | -2.48 | 0.52 |
ω10 | ω11 | ω12 | ω13 | ω14 | ω15 | ω16 | ω17 | ω18 | ω19 |
0.20 | -1.47 | -1.63 | 1.82 | -1.04 | 2.47 | 0.29 | 0.58 | -2.40 | -2.06 |
表3隐含层与输出层的连接权值
ω00 | ω10 | ω20 | ω30 | ω40 | ω50 | ω60 | ω70 | ω80 | ω90 |
3.87 | 1.19 | 0.73 | -0.45 | -0.22 | -0.10 | -0.47 | 1.55 | 2.99 | 0.61 |
(5)、通信访问控制模块对通信数据包进行异常流量检测
在实际的工业环境中进行检测,通信访问控制模块在获取数据包之后,将数据包按照步骤(1)~(2)所述方法调整成标准输入数据(CF1-1,CF1-2,CF3-1,TI,TR),并输入到神经网络模型中进行检测,若神经网络模型输出为1,则判断该数据正常,若神经网络模型输出为0,则判断该数据异常。
尽管上面对本发明说明性的具体实施方式进行了描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
Claims (2)
1.一种IEC 60870-5-104通信访问控制方法,其特征在于,包括以下步骤:
(1)、捕获数据包
在主站与子站之间利用以太网数据包捕捉工具,根据IEC 60870-5-104协议端口捕获IEC 60870-5-104数据包,并且剔除不含IEC 60870-5-104协议的数据包;
(2)、数据预处理
(2.1)、提取每条IEC 60870-5-104数据包的控制域第一个八位位组的第1位、第2位的比特的值,分别记为CF1-1、CF1-2,控制域第三个八位位组的第1位的比特的值,记为CF3-1,类型标识位的一个字节的值,记为TI,以及传送原因位的两个字节的值,记为为TR;
(2.2)、将每条IEC 60870-5-104数据包中提取到的CF1-1、CF1-2、CF3-1、TI、TR组合成一组数据,数据格式为:(CF1-1,CF1-2,CF3-1,TI,TR);
(3)、判断每组数据(CF1-1,CF1-2,CF3-1,TI,TR)是否为合法数据
若CF1-1=1,CF1-2=0,CF3-1=0,或者CF1-1=1,CF1-2=1,CF3-1=0,则该组数据为合法数据,否非为非法数据;
若CF1-1=0,CF3-1=0,则按如下规则判断:
1)、TI为9或11或13或38-40时,则该条数据为合法数据,否非为非法数据;
2)、TI为1和3或30-32时,若TR为3,则该条数据为合法数据,否非为非法数据;
3)、TI为15时,若TR为37,则该条数据为合法数据,否非为非法数据;
4)、TI为46或47或100或101时,若TR为6或7或10,则该条数据为合法数据,否非为非法数据;
5)、TI为104时,若TR为6或7,则该条数据为合法数据包,否非为非法数据;
(4)、构建基于神经网络的访问控制
将数据(CF1-1,CF1-2,CF3-1,TI,TR)作为神经网络模型的输入,其合法数据(CF1-1,CF1-2,CF3-1,TI,TR)对应的输出设置为1,非法数据(CF1-1,CF1-2,CF3-1,TI,TR)对应的输出设置为0,完成对神经网络模型进行训练;
(5)、通信访问控制模块对通信数据包进行异常流量检测
在实际的工业环境中进行检测,通信访问控制模块在获取数据包之后,将数据包按照步骤(1)~(2)所述方法调整成标准输入数据(CF1-1,CF1-2,CF3-1,TI,TR),并输入到神经网络模型中进行检测,若神经网络模型输出为1,则判断该数据正常,若神经网络模型输出为0,则判断该数据异常。
2.根据权利要求1所述的一种IEC 60870-5-104通信访问控制方法,其特征在于,所述步骤(2.1)中,提取CF1-1,CF1-2,CF3-1,TI,TR的具体步骤为:
S1、提取IEC 60870-5-104数据包的控制域第一个八位位组的第1位比特的值CF1-1、控制域第一个八位位组的第2位比特的值CF1-2、控制域第三个八位位组的第1位比特的值CF3-1;
S2、根据CF1-1、CF1-2、CF3-1的值来判断该数据包的数据帧类型:若CF1-1=0,CF3-1=0,则该数据包为I帧;若CF1-1=1,CF1-2=0,CF3-1=0,则该数据包为S帧;若CF1-1=1,CF1-2=1,CF3-1=0,则该数据包为U帧;
S3、根据该数据包的数据帧类型来提取类型标识位的一个字节的值TI和传送原因位的两个字节的值TR:若该数据包为S帧或U帧,则将TI和TR均置为0,即TI=0、TR=0;若该数据包为I帧,则TI和TR按数据帧中的实际值提取。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710260870.6A CN106982219A (zh) | 2017-04-20 | 2017-04-20 | 一种iec104通信访问控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710260870.6A CN106982219A (zh) | 2017-04-20 | 2017-04-20 | 一种iec104通信访问控制方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106982219A true CN106982219A (zh) | 2017-07-25 |
Family
ID=59345826
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710260870.6A Pending CN106982219A (zh) | 2017-04-20 | 2017-04-20 | 一种iec104通信访问控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106982219A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108282482A (zh) * | 2018-01-30 | 2018-07-13 | 电子科技大学 | 一种基于svm的iec60870-5-104异常流量检测方法 |
CN109167762A (zh) * | 2018-08-14 | 2019-01-08 | 杭州迪普科技股份有限公司 | 一种iec104报文校验方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105577705A (zh) * | 2016-03-22 | 2016-05-11 | 英赛克科技(北京)有限公司 | 针对iec60870-5-104协议的安全防护方法及系统 |
CN105812371A (zh) * | 2016-03-17 | 2016-07-27 | 电子科技大学 | 基于神经网络的dnp通信访问控制方法 |
-
2017
- 2017-04-20 CN CN201710260870.6A patent/CN106982219A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105812371A (zh) * | 2016-03-17 | 2016-07-27 | 电子科技大学 | 基于神经网络的dnp通信访问控制方法 |
CN105577705A (zh) * | 2016-03-22 | 2016-05-11 | 英赛克科技(北京)有限公司 | 针对iec60870-5-104协议的安全防护方法及系统 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108282482A (zh) * | 2018-01-30 | 2018-07-13 | 电子科技大学 | 一种基于svm的iec60870-5-104异常流量检测方法 |
CN108282482B (zh) * | 2018-01-30 | 2020-12-01 | 电子科技大学 | 一种基于svm的iec60870-5-104异常流量检测方法 |
CN109167762A (zh) * | 2018-08-14 | 2019-01-08 | 杭州迪普科技股份有限公司 | 一种iec104报文校验方法及装置 |
CN109167762B (zh) * | 2018-08-14 | 2021-12-24 | 杭州迪普科技股份有限公司 | 一种iec104报文校验方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103179132B (zh) | 一种检测和防御cc攻击的方法及装置 | |
CN104811449B (zh) | 检测撞库攻击方法及系统 | |
CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
CN101267313B (zh) | 泛洪攻击检测方法及检测装置 | |
CN103795723B (zh) | 一种分布式物联网安全态势感知方法 | |
CN105119930B (zh) | 基于OpenFlow协议的恶意网站防护方法 | |
CN107404400A (zh) | 一种网络态势感知实现方法及装置 | |
CN110011999A (zh) | 基于深度学习的IPv6网络DDoS攻击检测系统及方法 | |
CN107222491A (zh) | 一种基于工业控制网络变种攻击的入侵检测规则创建方法 | |
CN105554016A (zh) | 网络攻击的处理方法和装置 | |
CN106656922A (zh) | 一种基于流量分析的网络攻击防护方法和装置 | |
CN103532957B (zh) | 一种木马远程shell行为检测装置及方法 | |
CN105429963A (zh) | 基于Modbus/Tcp的入侵检测分析方法 | |
CN110519298A (zh) | 一种基于机器学习的Tor流量识别方法及装置 | |
CN109818964B (zh) | 一种DDoS攻击检测方法、装置、设备以及存储介质 | |
CN104579818A (zh) | 智能变电站网络异常报文检测方法 | |
CN109450721A (zh) | 一种基于深度神经网络的网络异常行为识别方法 | |
CN106790193A (zh) | 基于主机网络行为的异常检测方法和装置 | |
CN109274673A (zh) | 一种网络流量异常检测和防御方法 | |
CN104683346A (zh) | 基于流量分析的p2p僵尸网络检测装置及方法 | |
CN113179244B (zh) | 一种面向工业互联网边界安全的联邦深度网络行为特征建模方法 | |
CN105337951A (zh) | 对系统攻击进行路径回溯的方法与装置 | |
CN104091122A (zh) | 一种移动互联网恶意数据的检测系统 | |
CN107104988B (zh) | 一种基于概率神经网络的IPv6入侵检测方法 | |
CN108847983A (zh) | 基于mqtt协议的入侵检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170725 |