CN107070943B - 基于流量特征图和感知哈希的工业互联网入侵检测方法 - Google Patents
基于流量特征图和感知哈希的工业互联网入侵检测方法 Download PDFInfo
- Publication number
- CN107070943B CN107070943B CN201710315200.XA CN201710315200A CN107070943B CN 107070943 B CN107070943 B CN 107070943B CN 201710315200 A CN201710315200 A CN 201710315200A CN 107070943 B CN107070943 B CN 107070943B
- Authority
- CN
- China
- Prior art keywords
- flow
- hash
- intrusion detection
- data
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 145
- 238000010586 diagram Methods 0.000 title claims abstract description 62
- 238000000034 method Methods 0.000 claims abstract description 78
- 230000002159 abnormal effect Effects 0.000 claims abstract description 37
- 230000008447 perception Effects 0.000 claims abstract description 34
- 238000002474 experimental method Methods 0.000 claims abstract description 24
- 239000011159 matrix material Substances 0.000 claims abstract description 21
- 238000012360 testing method Methods 0.000 claims abstract description 19
- 238000000354 decomposition reaction Methods 0.000 claims abstract description 15
- 238000013507 mapping Methods 0.000 claims abstract description 14
- 238000010219 correlation analysis Methods 0.000 claims abstract description 13
- 239000013598 vector Substances 0.000 claims abstract description 12
- 238000005259 measurement Methods 0.000 claims abstract description 10
- 238000010606 normalization Methods 0.000 claims abstract description 7
- 238000007621 cluster analysis Methods 0.000 claims abstract description 4
- 101150060512 SPATA6 gene Proteins 0.000 claims description 177
- VNWKTOKETHGBQD-UHFFFAOYSA-N methane Chemical compound C VNWKTOKETHGBQD-UHFFFAOYSA-N 0.000 claims description 22
- 238000005516 engineering process Methods 0.000 claims description 16
- 238000000605 extraction Methods 0.000 claims description 15
- 238000011160 research Methods 0.000 claims description 13
- 239000003345 natural gas Substances 0.000 claims description 11
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 claims description 10
- 230000009466 transformation Effects 0.000 claims description 5
- 238000007781 pre-processing Methods 0.000 claims description 4
- 238000005065 mining Methods 0.000 claims 1
- 238000004422 calculation algorithm Methods 0.000 abstract description 24
- 238000003672 processing method Methods 0.000 abstract description 2
- 238000004458 analytical method Methods 0.000 description 17
- 238000012549 training Methods 0.000 description 8
- 230000006399 behavior Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000000737 periodic effect Effects 0.000 description 5
- 239000000284 extract Substances 0.000 description 4
- 238000000513 principal component analysis Methods 0.000 description 4
- 230000003044 adaptive effect Effects 0.000 description 3
- 230000002776 aggregation Effects 0.000 description 3
- 238000004220 aggregation Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000009826 distribution Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000011524 similarity measure Methods 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 230000001131 transforming effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000007635 classification algorithm Methods 0.000 description 1
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 description 1
- 238000010835 comparative analysis Methods 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000004445 quantitative analysis Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- JLQFVGYYVXALAG-CFEVTAHFSA-N yasmin 28 Chemical compound OC1=CC=C2[C@H]3CC[C@](C)([C@](CC4)(O)C#C)[C@@H]4[C@@H]3CCC2=C1.C([C@]12[C@H]3C[C@H]3[C@H]3[C@H]4[C@@H]([C@]5(CCC(=O)C=C5[C@@H]5C[C@@H]54)C)CC[C@@]31C)CC(=O)O2 JLQFVGYYVXALAG-CFEVTAHFSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Algebra (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
基于流量特征图和感知哈希的工业互联网入侵检测方法,主要解决现有工业互联网入侵检测方法检测性能不高、自适应性差的问题。本发明借鉴图像处理的方法,首先获取标准测试床实验数据集,采用信息熵方法进行特征选择构建流量特征向量,并对部分属性进行归一化操作;然后使用多元相关性分析方法将流量特征向量转化为三角形面积映射矩阵构建流量特征图;最后利用基于离散余弦变换SVD和奇异值分解SVD的图像感知哈希算法,获取流量特征图哈希摘要,产生二进制字符串形式入侵检测规则集。并采用基于字符串的精准匹配、基于归一化汉明距的相似性度量和基于欧氏距的聚类分析三种方法进行哈希匹配,实现对工业互联网中异常流量和恶意入侵的检测。
Description
技术领域
本发明属于工业互联网入侵检测领域,具体涉及一种基于流量特征图和图像感知哈希的工业互联网入侵检测方法,主要用于对工业互联网中恶意攻击和异常进行入侵检测。
背景技术
传统工业控制系统(Industrial Control Network,ICS)广泛应用于石油化工、电力水利、工业生产、核能源和交通运输等众多国家关键基础设施。据ICS-CERT2015年安全态势报告分析统计,有超过80%的国家关键基础设施依靠ICS实现生产过程自动化。ICS在人们的生产生活中起到非常重要的作用,ICS的安全直接影响到国家安全和经济发展。从2010年“震网”病毒袭击伊朗布什尔核电站到2017年期间,发生的一系列的网络安全事件给人们的生产生活造成了巨大的影响,工业互联网安全问题突出。
传统网络入侵检测方法主要分为四类:a.基于分类的入侵检测,如贝叶斯网络、神经网络、支持向量机和基于规则集等方法;b.基于聚类的入侵检测,如常规聚类和协同聚类等方法;c.基于统计的入侵检测,如基于模型和主成分分析等方法;d.基于信息论的入侵检测,如相关性分析等方法。有学者还将免疫理论、粗糙集等理论引入到网络入侵检测中来。其中,基于聚类的入侵检测和基于信息论的入侵检测比基于分类的入侵检测和基于统计理论的入侵检测性能更好。聚类检测和分类检测的方法复杂度大体一致,针对性检测目标主要是DOS攻击,聚类算法是无监督学习方法比分类算法的监督方法实用性更广。统计理论的入侵检测主要检测目标是R2L和U2R两类攻击类型。基于信息理论的入侵检测的优点在于对四类攻击都可以进行检测。但传统入侵检测方法依然存在算法检测性能问题、流量周期性特征提取问题、传统方法自身局限性和实验数据不符合现有网络入侵测试标准等问题。
工业互联网可以划分为企业网络、监控网络和现场网络三层,对现场网络层的安全问题的研究,主要从流量信息周期性特征入手,分为基于模型、基于Fuzzing检测和基于Snort规则三类方法。
现场网络中基于模型的现场网络入侵检测方法具有自适应性,可以检测出未知入侵攻击。国内外学者在基于现场网络流量周期性特征的入侵检测模型方面做出大量工作。如:
Zheng等(Zheng,L.M.,Zou,P.,Jia,Y.,Hang,W.H.:‘How to Extract and Trainthe Classifier in Traffic Anomaly Detection Sytem’,Chinese journal ofcomputer,2012,25,(4),pp.719-729)把网络数据投影到不同维度的hash直方图上构建检测向量,选取支持向量数据描述机(Support Vector Data Description,SVDD)进行入侵检测,并对网络入侵检测中几种主流分类器性能进行对比分析。Shang等(Shang,W.L.,Zhang,S.S.,Wan,M.:‘Modbus/TCP Communication Anomaly Detection Based on PSO-SVM’,Applied Mechanics and Materials,(Trans Tech Publications,2014),490,pp.1745-1753)采用PSO-SVM算法对Modbus协议报文中功能码序列频率特征进行研究。Zhao等(Zhao,Y.,Wang,Q.,Huang,Y.Z.,et al.:‘Collaborative visual analytics for networktraffic time-series data with multiple views’,Journal of Software,2016,27,(5),pp.1118-1198)研究了一个多视图角度的网络流量分析系统对网络流量自顶向下时序特征进行分析。Tan等(Tan,Z.,Jamdagni,A.,He,X.,et al.:‘A system for denial-of-service attack detection based on multivariate correlation analysis’,IEEEtransactions on parallel and distributed systems,2014,25(2),pp.447-456)利用多元相关分析(Multivariate Correlation Analysis,MCA)方法把文本流量信息转换为对应流量图,并采用曼哈顿距离计算流量图之间差异性,实现网络异常的入侵检测。MCA具有保持流量报文特征的特点,能将报文向量映射为方阵即流量图,为入侵检测技术提供新的数据源。Wan等(Wan,M.,Shang,W.L.,Zeng,P.:‘Anomaly Detection Approach based onFunction Code Traffic by Using CUSUM Algorithm’,4th National Conference onElectrical,Electronics and Computer Engineering(NCEECE).Xi‘an,China.Dec.2015,pp.12-13)采用累积和算法(Cumulative Sum,CUSUM)结合对报文的深度分析,实现对Modbus协议的现场网络的异常检测。Qian等(Qian,Y.K.,Chen,M.,Ye,L.X.,et al.:‘Network-Wide anomaly detection method based onmulti-scale principalcomponent analysis’,Journal of Software,2012,23,(2),pp.361-377)采用多尺度主成分分析方法(Multi-scale principal component analysis,MSPCA)研究流量的周期性特征和流量矩阵的时空相关性,并对正常流量行为进行建模。Mu等(Mu,X.K.,Wang,J.S.,Xue,Y.F.,Huang,W.:‘Abnormal network traffic detection approach based on aliveentropy’,Journal of Communication,2013,34,(S2),pp.51-57)采用活跃熵方法对研究网络进出流量统计活跃度并计算活跃熵,构建检测规则集,降低误报率。Jiang等(Jiang,J.,Wang,Z.F.,Chen,T.M.,et al:‘Adaptive AP clustering algorithm and itsapplication on intrusion detection’,Journal of Communication,2015,36,(1),pp.119-126)采用改进的自适应聚类算法(Affinity propagation,AP),降低聚类数量和时间消耗,保证准确率同时,提高入侵检测性能。Shirazi等(Shirazi,S.N.,Gouglidi,s A.,Syeda,K.N.,et al.:‘Evaluation of Anomaly Detection techniques for SCADAcommunication resilience’,Resilience Week(RWS),2016.IEEE,Austin,China,Jan.2016,pp.140-145)仿真SCADA工业控制系统网络入侵攻击,采用Morris提出的标准测试床数据,评估现有异常检测方法性能。Morris等(Morris,T.H.,Jones,B.A.,Vaughn,R.B.,et al.:‘Deterministic intrusion detection rules for MODBUS protocols’,System Sciences(HICSS),2013 46th Hawaii International Conference on.IEEE,Hawaii,USA,Jan.2013,pp.1773-1781)从Modbus协议结构和流量报文周期性特征中提取规则集,构建入侵检测系统。Erez等(Erez,N.,Wool,A.:‘Control variableclassification,modeling and anomaly detection in Modbus/TCP SCADA systems’,International Journal of Critical Infrastructure Protection,2015,10,pp.59-70)等研究了SCADA工控系统三类寄存器值的变化特征,并建立变量行为模型,对Modbus网络异常流量信息进行检测。
图像感知哈希特征提取有DCT(discrete cosine transform)、SVD(singularvalue decomposition)、小波变换和PCA等方法,发明主要采用的是基于DCT和SVD的图像感知哈希特征提取方法。
Zeng等(Jie,Z.:‘A novel block-DCT and PCA based image perceptualhashing algorithm’,International Journal of Computer Science Issues,2013,10,(3),pp.399-403)把彩色直方图和DCT系数矩阵作为感知特征,利用基于分块DCT和主成分分析方法对图像内容篡改进行定位,实验结果表明研究提出的感知哈希算法具有鲁棒性和区分性。Chen等(Chen,N.,Xiao,H.D.,Zhu,J.,et al.:‘Robust audio hashing schemebased on cochleogram and cross recurrence analysis’,Electronics Letters,2013,49,(1),pp.7-8)从语音耳蜗图中提取快速鲁棒性特征,构建非负矩阵并因式分解产生感知哈希摘要,采用递归定量分析的方法对哈希摘要进行匹配。Nouri等(Nouri,M.,Farhangian,N.,Zeinolabedini,Z.,et al.:‘Conceptual authentication speechhashing base upon hypotrochoid graph’,Telecommunications(IST),2012SixthInternational Symposium on.IEEE,Tehran,Iran,Nov.2012,pp.1136-1141)利用感知哈希函数将语音片段根据感知特征映射到一个哈希摘要上,对语音片段进行检索内容认证,该方法具有鲁棒性和抗碰撞性。
综上所述,针对现有工业互联网入侵检测方法存在的入侵检测性能较低、自适应性差、算法时间复杂度不满足实时性要求等问题,为了挖掘流量数据两两属性间特征,从图像处理方法角度对入侵检测问题进行研究,提供具有实时性和高效性的入侵检测方法。本发明提出一种基于流量特征图和感知哈希的工业互联网入侵检测方法。
发明内容
本发明的目的是提出一种基于流量特征图和感知哈希的工业互联网入侵检测方法。
本发明是基于流量特征图和感知哈希的工业互联网入侵检测方法,其步骤包括正常行为建模和感知哈希入侵检测两个阶段。
(1)正常行为建模阶段;
采用基于多元相关性分析的流量特征图技术,把工业互联网传统文本流量信息转化为流量特征图,将传统属性内关系研究扩展到属性间关系研究,从不同角度挖掘流量特征。具体步骤如下:
(1a)获取工业互联网现场网络的标准测试实验数据集,对实验数据进行预处理操作,剔除残缺流量数据记录;
(1b)计算实验数据各个属性的信息熵,并对各属性的信息熵进行递减排序,根据属性特征选取出重要的具有流量特征的属性特征集合;
(1c)对特征选择后的工业互联网流量数据进行部分属性归一化操作,归一化到[0,255]之间;
(1d)采用多元相关性分析方法,将实验数据中每条流量记录都映射到二维欧氏子空间上,通过三角形面积映射方法,计算实验数据的两两流量属性对应的三角形面积;
(1e)构建完整三角形面积矩阵,输出对应的流量特征图TAMi;
(2)感知哈希入侵检测阶段;
采用图像感知哈希特征提取技术提取流量特征图中特征产生哈希摘要,并产生对应入侵检测规则集,采用改进感知哈希摘要匹配方法,实现对工业互联网恶意入侵检测。图像感知哈希特征提取技术包括感知哈希摘要产生和匹配两个部分。具体步骤如下:
(2a)采用离散余弦变换(DCT)和奇异值分解(SVD)的方法,产生流量特征图的感知哈希码,并构建无交集的正常流量特征图和异常流量特征图的哈希摘要库。感知哈希摘要为固定长度的二进制字符串,即入侵检测规则集;
(2b)待检测工业互联网流量数据记录采用流量特征图技术、DCT方法和SVD方法,产生待检测感知哈希码。采用改进的感知哈希匹配方法进行入侵检测,包括三个步骤:基于字符串的精准匹配,基于归一化汉明距的相似性度量和基于欧式距的聚类匹分析。
(2c)采用基于字符串的精准匹配方法,分别与正常流量哈希摘要库和异常流量哈希摘要库进行匹配,并标记匹配结果;
(2d)对未精准匹配的哈希摘要,设定感知哈希相似度匹配阈值,采用归一化的汉明距离进行相似性度量,匹配正常流量特征图哈希摘要库,则待检测流量数据为正常流量;若匹配异常流量特征图哈希摘要库,则待检测流量数据为异常流量;
(2e)针对超出感知哈希匹配阈值的待检测流量数据,采用基于欧氏距离的聚类方法对待检测流量数据进行归类。距离正常流量哈希摘要聚类中心距离近,则为正常流量;否则,为异常流量信息。
本发明的有益之处为:与现有的工业互联网入侵检测方法相比,传统入侵检测方法都是对流量文本信息进行机器学习和数据挖掘,本发明采用流量特征图技术和图像感知哈希特征提取的方法,满足鲁棒性、区分性和实时性,且具有良好的入侵检测性能。主要是因为:
(1)本发明采用流量特征图技术将传统文本流量信息转化为流量特征图,从图像处理分析角度来研究工业互联网入侵检测问题;
(2)本发明采用图像感知哈希特征提取技术处理流量特征图,提取感知哈希摘要,产生对应入侵检测规则集,方法具有鲁棒性和区分性,保证工业互联网入侵检测的良好性能;
(3)本发明是基于流量特征图和图像感知哈希的入侵检测方法,采用图像感知哈希特征提取方法,具有较低的时间复杂度;
(4)本发明采用三种感知哈希摘要匹配方式,对流量特征图的哈希摘要进行不同程度的匹配,完善哈希摘要匹配方法,增强入侵检测系统的自适应性。
实验结果表明,本发明在天然气系统数据集中平均入侵检测率是0.986,虚警率是0.014,水罐系统数据集中平均检测率是0.9925,虚警率是0.015,检测性能良好,且算法时间复杂度满足入侵检测方法的实时性需求。同时,引入流量特征图技术和图像感知哈希特征提取技术到工业互联网入侵检测领域,从图像处理分析的角度解决工业互联网入侵检测问题。
附图说明
图1为本发明中流量特征图技术路线,图2为本发明中基于流量特征图和感知哈希的工业互联网入侵检测方法总流程图,图3、图4、图5为本发明中天然气系统训练数据集的Dos攻击、MPCI攻击、正常流量特征图实例,图6、图7为本发明中水罐系统训练数据集的嗅探攻击、正常流量特征图实例,图8为本发明基于流量特征图和感知哈希的工业互联网入侵检测方法区分性Normplot图,图9为本发明基于流量特征图和感知哈希的工业互联网入侵检测方法区分性直方图,图10为本发明中基于流量特征图和感知哈希的工业互联网入侵检测方法的检测性能ROC曲线。
具体实施方式
本发明是基于流量特征图和感知哈希的工业互联网入侵检测方法,其步骤包括正常行为建模和感知哈希入侵检测两个阶段。
(1)正常行为建模阶段;
采用基于多元相关性分析的流量特征图技术,把工业互联网传统文本流量信息转化为流量特征图,将传统属性内关系研究扩展到属性间关系研究,从不同角度挖掘流量特征。具体步骤如下:
(1a)获取工业互联网现场网络的标准测试实验数据集,对实验数据进行预处理操作,剔除残缺流量数据记录;
(1b)计算实验数据各个属性的信息熵,并对各属性的信息熵进行递减排序,根据属性特征选取出重要的具有流量特征的属性特征集合;
(1c)对特征选择后的工业互联网流量数据进行部分属性归一化操作,归一化到[0,255]之间;
(1d)采用多元相关性分析方法,将实验数据中每条流量记录都映射到二维欧氏子空间上,通过三角形面积映射方法,计算实验数据的两两流量属性对应的三角形面积;
(1e)构建完整三角形面积矩阵,输出对应的流量特征图TAMi;
(2)感知哈希入侵检测阶段;
采用图像感知哈希特征提取技术提取流量特征图中特征产生哈希摘要,并产生对应入侵检测规则集,采用改进感知哈希摘要匹配方法,实现对工业互联网恶意入侵检测。图像感知哈希特征提取技术包括感知哈希摘要产生和匹配两个部分。具体步骤如下:
(2a)采用离散余弦变换(DCT)和奇异值分解(SVD)的方法,产生流量特征图的感知哈希码,并构建无交集的正常流量特征图和异常流量特征图的哈希摘要库。感知哈希摘要为固定长度的二进制字符串,即入侵检测规则集;
(2b)待检测工业互联网流量数据记录采用流量特征图技术、DCT方法和SVD方法,产生待检测感知哈希码。采用改进的感知哈希匹配方法进行入侵检测,包括三个步骤:基于字符串的精准匹配,基于归一化汉明距的相似性度量和基于欧式距的聚类匹分析。
(2c)采用基于字符串的精准匹配方法,分别与正常流量哈希摘要库和异常流量哈希摘要库进行匹配,并标记匹配结果;
(2d)对未精准匹配的哈希摘要,设定感知哈希相似度匹配阈值,采用归一化的汉明距离进行相似性度量,匹配正常流量特征图哈希摘要库,则待检测流量数据为正常流量;若匹配异常流量特征图哈希摘要库,则待检测流量数据为异常流量;
(2e)针对超出感知哈希匹配阈值的待检测流量数据,采用基于欧氏距离的聚类方法对待检测流量数据进行归类。距离正常流量哈希摘要聚类中心距离近,则为正常流量;否则,为异常流量信息。
以上所述的基于流量特征图和感知哈希的工业互联网入侵检测方法,正常行为建模阶段,具体步骤包括:
(1a)选取Morris等(Morris,T.,Gao,W.:‘Industrial Control System TrafficData Sets for Intrusion Detection Research’,International Conference onCritical Infrastructure Protection,Berlin,Heidelberg,March 2014,pp.65-78)提出的标准测试床实验数据集作为实验测试数据,数据集包含天然气系统训练测试数据集Data1、Data2和水罐系统训练测试数据集Data3、Data4;
(1b)剔除流量数据中残缺记录,并对实验数据属性的信息熵进行计算,构建重要的流量特征属性集合,信息熵定义如下:
其中,x代表属性,H(x)是属性x的信息熵。在x属性值总数为n的集合中,有s个不重复的元素{a1,a2,…,as},各值出现的次数为集合{d1,d2,…,ds}。对计算得到信息熵按照大小排序,结合对实验数据集的研究,取其中重要的属性集合构建流量特征集。天然气系统数据集取出的流量特征属性集合是{1 2 3 4 5 6 12 13 24 25 26 27},利用流量特征图技术,构建11*11像素的流量特征图;水罐系统数据集取出的流量特征属性集合是{1 2 3 4 56 10 12 13 18 20 21 22 23 24}利用流量特征图技术,构建14*14像素的流量特征图;
(1c)为了将重要属性值的变化映射到灰度值范围上,对流量特征集中的部分属性进行归一化操作,归一化到[0,255]。归一化定义如下:
其中,n和m分别代表某属性的最大值和最小值。f(x)代表归一化后的具有灰度值特征的属性值。
(1d)采用多元相关分析方法(Tan,Z.,Jamdagni,A.,He,X.,et al.:‘A systemfor denial-of-service attack detection based on multivariate correlationanalysis’,IEEE transactions on parallel and distributed systems,2014,25(2),pp.447-456),通过使用三角形面积方法提取正常流量和异常流量特征以及属性间的相关性信息。
将矢量xi投影到(j-k)二维欧式子空间上, 变量εj=[εj,1εj,2…,εj,n]T,εk=[εk,1εk,2…,εk,n]T,其中ej,j=1,ek,k=1,其他元素为0。yi,j,k是二维列向量,也可看做笛卡尔坐标系(j-k)二维欧式子空间上点然后,在笛卡尔坐标系内,通过连接原点和以及在j,k轴上的映射,构造三角形三角形的面积记为表示为
其中,1≤i≤n,1≤j≤m,1≤k≤m,且j≠k。
(1e)一条流量记录的完整三角形面积映射包含所有两两流量属性变量计算得到的面积。其中,表示第j行第k列未知的三角形面积,当j=k时,因为研究的是两两不同属性间的几何关系。当j≠k时,满足可以得到的TAM是一个对称矩阵,主对角线上为0,以4维TAM为例:
以上所述的基于流量特征图和感知哈希的工业互联网入侵检测方法,感知哈希入侵检测阶段,具体步骤包括:
(2a)采用离散余弦变换(DCT)和奇异值分解(SVD)方法构建哈希摘要库和工业互联网入侵检测规则集。
(2a1)对于N*N的图像其DCT变化公式如下:
其中,f为N*N的图像像素点,F为N*N的DCT系数矩阵,C为余弦系数矩阵。得到11*11和14*14的变换系数矩阵;
(2a2)提取流量特征图变化部分特征,获得具有区分性的感知哈希摘要,保留全系数矩阵的低频域和高频域,计算矩阵中系数的均值,记为mean;
(2a3)采用奇异值分解方法,对DCT系数矩阵分解重构,提取有用信息,消除数据中的噪声。对DCT系数矩阵执行奇异值分解操作,N=11,14,本发明使用奇异值λ3所对应的左奇异值向量u3和右奇异值v3。奇异值分解定义如下:
对DCT系数矩阵分解重构得奇异值矩阵如下:
(2a4)根据哈希规则构建哈希摘要。哈希规则定义如下:
其中,x为奇异值分解后构成的哈希向量,h(x)为该元素对应的哈希码。遍历提取哈希码构建流量特征图的哈希摘要,构建正常流量和异常流量哈希摘要库。生成的感知哈希摘要是二进制字符串,进行去交集操作,提取二进制字符串形式的入侵检测规则集;
(2b)对待检测工业互联网流量数据记录进行流量特征图转化操作,并采用图像感知哈希特征提取方法提取流量特征图的感知哈希摘要,构建工业互联网入侵检测规则集;
改进后感知哈希摘要匹配包含三个步骤:基于字符串的精准匹配、基于归一化汉明距的相似性度量和基于欧氏距的聚类分析;
(2c)基于字符串的精准匹配:提取验证流量数据的特征图的哈希摘要Hs1,采取精准匹配的方法,与正常流量哈希摘要库中摘要Hs2和异常流量哈希摘要库中摘要Hs3进行匹配,并标记匹配结果;
(2d)基于归一化汉明距的相似性度量:
其中,Hs1和Hs2是两个长度为L的哈希摘要,天然气系统数据集中L=22,水罐系统数据集中L=28;w表示哈希摘要中的一位。设定哈希相似度匹配阈值,超过阈值范围的哈希摘要,判断为不匹配;
(2e)基于欧氏距的聚类匹配:针对验证哈希摘要未精准匹配正常和异常哈希摘要库并且超过哈希摘要相似性匹配阈值的情况,为了是基于感知哈希的入侵检测系统具有对未知入侵的自适应性,利用聚类的概念,采用欧氏距离,计算距离正常类和异常类中心的距离,根据结果进行入侵检测。欧氏距离个数定义:
其中,n代表数值属性个数。对于未精确匹配的测试数据,计算其到各个聚类中心的距离,并根据距离最小的聚类中心数据进行分类,如果对应于正常聚类簇中心,则该数据为正常流量数据;否则,将判断为异常流量数据,并输出检测结果。
1、实验条件与方法
硬件平台为:Inter Core i5-3210M CPU 2.5GHz。
软件平台为:实验环境是Win7操作系统下MATLABR2013a。
实验方法:分别为本发明和现有的基于流量周期特征的工业互联网入侵检测方法,试验中采用Morris依托美国橡树岭实验室提供的标准测试数据为实验数据。包含有天然气系统数据集和水罐系统数据集,如表1所示。
表1.实验数据构成表
2、仿真内容与结果
实验1:流量特征图实验
采用流量特征图技术,如图1所示,提取Modbus流量信息特征,构建流量特征图,如图3、图4、图5、图6、图7所示。
图3、图4、图5是使用MATLAB仿真构建,对天然气系统正常流量数据和异常流量数据特征图进行展示。随机选取三条流量记录的特征图,如图3、图4、图5中所示,可以很容易区分出正常流量信息与异常流量信息,可以区分出Dos攻击和MPCI攻击。
图6、图7中流量特征的区分性更加突出,可以很容易辨别正常和异常流量信息。利用图像感知哈希算法,根据流量特征图的不同位置灰度值,可以得到具有区分性的还行摘要。
实验2:基于流量特征图和感知哈希的入侵检测方法的鲁棒性和区分性证明
设x,y,z∈M为试验数据集,hx,hy,hz∈Hp是从正常和异常流量特征图中提取的感知哈希摘要,hx=PH(x),hy=PH(y),hz=PH(z),其中PH是哈希函数,dis(·,·)为多媒体数据所对应的感知哈希摘要之间的数学距离(也叫误码率),τ为匹配阈值,disp(·,·)为多媒体数据间的感知距离,Tp为感知阈值。
数学距离的原理是归一化汉明距,匹配阈值为τ∈(0,1]。感知距离描述的是多媒体数据间的差异程度,可以定义为分段函数,用来描述数据是否相同。
初始化感知距离Tp=1/2,当x和y是相同数据时,disp(x,y)<Tp,当x和y是不同数据时,disp(x,y)>Tp。设x=y为相同数据记录,x≠z为不同数据记录。
证明1鲁棒性的证明
构建事件A={(x,y):disp(x,y)<Tp且dis(hx,hy)<τ},其中,x和y是相同的数据记录,得disp(x,y)=0,disp(x,y)<Tp;相同的数据记录经过DCT哈希函数的预处理,保持哈希码遍历操作的一致,可得到相同的哈希序列,即hx=hy,由归一化汉明距dis(hx,hy)=0,dis(hx,hy)<τ。则事件A发生的概率可表示为P(A)=1,入侵检测中的感知哈希算法的鲁棒性可证。将感知哈希引入到工业互联网入侵检测中来,没有内容保持操作。但要确保x和y有相同特征的相同数据产生的哈希码是一致的,才能确保入侵检测规则的准确性。
证明2抗碰撞性(区分性)证明
构建事件B={(x,z):disp(x,z)>Tp且dis(hx,hz)<τ},假设事件B的概率P(B)=1成立,则dis(hx,hz)<τ,根据相似性度量公式可知hx=hz,根据入侵检测感知哈希算法的鲁棒性,即x=z为同一数据。还有disp(x,z)>Tp,根据定义的感知距离分段函数,可知当disp(x,z)>Tp,表示x和z为不同的数据记录。前后矛盾,由反证法,假设不成立,则P(B)=0,入侵检测中的感知哈希算法的抗碰撞性可证。该性质确保不同数据不会映射到相同的哈希序列。
实验3:基于流量特征图和感知哈希的入侵检测方法区分性实验
基于流量特征图和感知哈希的工业互联网入侵检测方法应保持算法的鲁棒性和区分性,以此才能保证算法的检测性能。鲁棒性保证了相同的正常或异常流量记录出现时,产生相同的哈希码,积累先验知识;区分性保证了不同的或新的网络异常或正常行为流量特征图的感知哈希摘要不同,能够区分出不同的流量信息,对新的网络入侵具有自适应性。
区分性评价指标可以采用拒识率(False Accept Rate,FAR),定义如下:
其中,μ为正态分布的期望均值,σ为标准差,τ为匹配阈值。
基于流量特征图和感知哈希的入侵检测方法区分性证明实验一,如图8Normplot图所示,对天然气系统实验数据集产生143条不同的感知哈希码进行两两匹配计算,合计共有10153个比特误码率。图8中所求得的所有比特误码率数据画正太分布曲线,图中的曲线和期望基本重合,但存在一定的波动。均值计算出为0.4991,理论标准差为0.0418,实际标准方差为0.1791。曲线两端存在聚集状态,左下角的聚集状态表明产生的感知哈希码区分性很高,右上角的聚集状态表明实验数据集中有很多相似度高的数据记录,这和现场网络Modbus协议流量数据的强周期性保持一致。
表2.FAR对比表
当τ=0.0357时,RAF=0.0048,误识率到达0.0048,也就是说,设置匹配阈值τ=0.0357时,在1000个流量报文中会有4.8个误判出现,满足网络入侵检测需求。FAR余阈值关系表如表2所示。
基于流量特征图和感知哈希的入侵检测方法区分性证明实验二,如图9哈希算法BER直方图所示。基于归一化汉明距的哈希匹配服从μ=0.5,的高斯分布,其中N为感知哈希摘要长度。区分性测试BER分布中心非常靠近0.5位0.4991,分布的标准差为0.1791,算法的区分性良好。
实验4:基于流量特征图和感知哈希的入侵检测方法检测性能实验
根据图2中基于流量特征图和感知哈希的入侵检测方法,即本发明方法,提取入侵检测规则集,规则集提取结果如表3所示。
表3.训练数据库Data1和Data3提取出的规则集
采用天然气系统数据集和水罐系统数据集进行实验,基于流量特征图和感知哈希的入侵检测方法检测性能如图10所示。天然气管线系统数据集中平均TP为0.986,平均FP为0.014,水罐系统数据集中平均TP为0.9925,平均FP为0.015。图10ROC曲线中,后者TP较高,说明在学习型算法训练过程中,训练数据充足情况下,规则集构建的越完善。
为了进一步体现本发明更直观的优越性,本发明通过表格形式再与Zheng(Zheng,L.M.,Zou,P.,Jia,Y.,Hang,W.H.:‘How to Extract and Train the Classifier inTraffic Anomaly Detection Sytem’,Chinese journal of computer,2012,25,(4),pp.719-729)、Shang(Shang,W.L.,Zhang,S.S.,Wan,M.:‘Modbus/TCP CommunicationAnomaly Detection Based on PSO-SVM’,Applied Mechanics and Materials,(TransTech Publications,2014),490,pp.1745-1753)、Tan(Tan,Z.,Jamdagni,A.,He,X.,etal.:‘A system for denial-of-service attack detection based on multivariatecorrelation analysis’,IEEE transactions on parallel and distributed systems,2014,25(2),pp.447-456)、Qian(Qian,Y.K.,Chen,M.,Ye,L.X.,et al.:‘Network-Wideanomaly detection method based onmulti-scale principal component analysis’,Journal of Software,2012,23,(2),pp.361-377)、Jiang(Jiang,J.,Wang,Z.F.,Chen,T.M.,et al:‘Adaptive AP clustering algorithm and its application on intrusiondetection’,Journal of Communication,2015,36,(1),pp.119-126)等提出的方法作比较,如表4所示。
表4.基于流量特征图和感知哈希的入侵检测方法性能分析
现场网络标准测试床试验数据中训练数据记录条数为N1,验证数据记录条数为N2,流量特征属性个数为M,提取的正常流量哈希规则为n_hash,提取异常流量哈希规则为a_hash。则基于流量特征图和感知哈希的入侵检测方法的时间复杂度为。从表4算法检测性能对比可以看出,基于流量特征图和感知哈希的入侵检测方法的TP只略微低于Tan的方法,其中MCA方法取得TP是0.993,FP在对比文献中最小,具有最小的虚警率。时间复杂度分析,N1和N2数据集记录条数是远高于属性个数M的,Tan提出的算法时间复杂度最优为O(M4),Qian提出的算法时间复杂度为O((N1+N2)M2),本发明提出的基于流量特征图和感知哈希的入侵检测方法算法性能较好。
综上所述,基于流量特征图和感知哈希的入侵检测方法在工业互联网入侵检测中应用是可行的,且检测性能良好。并为工业互联网入侵检测和传统网络入侵检测提供从图像角度的解决思路。
Claims (3)
1.基于流量特征图和感知哈希的工业互联网入侵检测方法,其特征在于,其步骤包括正常行为建模和感知哈希入侵检测两个阶段;
(1)正常行为建模阶段:
采用基于多元相关性分析的流量特征图技术,把工业互联网传统文本流量信息转化为流量特征图,将传统属性内关系研究转化到属性间关系,从不同角度挖掘流量特征,具体步骤如下:
(1a)获取工业互联网现场网络的标准测试床实验数据集,对实验数据进行预处理操作,剔除残缺流量数据记录;
(1b)计算实验数据各个属性的信息熵,并对各属性的信息熵进行递减排序,根据属性特征选取出重要的具有流量特征的属性特征集合;
(1c)对特征选择后的工业互联网流量数据进行部分属性归一化操作,归一化到[0,255]之间;
(1d)采用多元相关性分析方法,将实验数据中每条流量记录都映射到二维欧氏子空间上,通过三角形面积映射方法,计算实验数据的两两流量属性对应的三角形面积;
(1e)构建完整三角形面积矩阵,输出对应的流量特征图TAMi;
(2)感知哈希入侵检测阶段:
采用图像感知哈希特征提取技术提取流量特征图中特征产生哈希摘要,并产生对应入侵检测规则集,采用改进感知哈希摘要匹配方法,实现对工业互联网恶意入侵检测;图像感知哈希特征提取技术包括感知哈希摘要产生和匹配两个部分,具体步骤如下:
(2a)采用离散余弦变换DCT和奇异值分解SVD的方法,产生流量特征图的感知哈希码,并构建无交集的正常流量特征图和异常流量特征图的哈希摘要库;感知哈希摘要为固定长度的二进制字符串,即入侵检测规则集;
(2b)待检测工业互联网流量数据记录采用流量特征图技术、DCT方法和SVD方法,产生待检测感知哈希码;采用改进的感知哈希匹配方法进行入侵检测,包括三个步骤:基于字符串的精准匹配,基于归一化的汉明距离的相似性度量和基于欧式距离的聚类分析;
(2c)采用基于字符串的精准匹配方法,分别与正常流量哈希摘要库和异常流量哈希摘要库进行匹配,并输出检测结果;
(2d)对未精准匹配的哈希摘要,设定感知哈希相似度匹配阈值,采用归一化的汉明距离进行相似性度量,若匹配正常流量特征图哈希摘要库,则待检测流量数据为正常流量;若匹配异常流量特征图哈希摘要库,则待检测流量数据为异常流量;
(2e)针对超出感知哈希匹配阈值的待检测流量数据,采用基于欧氏距离的聚类方法对待检测流量数据进行归类;距离正常流量哈希摘要聚类中心距离近,则为正常流量;否则,为异常流量信息。
2.根据权利要求1所述基于流量特征图和感知哈希的工业互联网入侵检测方法,其特征在于步骤(1)中正常行为建模的步骤为:
(1)获取工业互联网现场网络的标准测试床实验数据集,对实验数据进行预处理操作,剔除残缺流量数据记录;
(2)计算实验数据各个属性的信息熵,并对各属性的信息熵进行递减排序,根据属性特征选取出重要的具有流量特征的属性特征集合;
其中,x代表属性,H(x)是属性x的信息熵;在x属性值总数为n的集合中,有s个不重复的元素{a1,a2,…,as},各值出现的次数为集合{d1,d2,…,ds};对计算得到信息熵按照大小排序,结合对实验数据集的研究,取其中重要的属性集合构建流量特征集;
(3)对特征选择后的工业互联网流量数据进行部分属性归一化操作,归一化到[0,255]之间;
其中,n和m分别代表某属性的最大值和最小值;f(x)代表归一化后的具有灰度值特征的属性值;
(4)采用多元相关性分析方法,将归一化后的实验数据流量记录映射到二维欧氏子空间上,通过三角形面积映射方法,计算实验数据的两两流量属性对应的三角形面积;给出实验数据集X={x1,x2,..,xn},由提取的实验数据流量特征集合可知,其中,代表第i个m维流量记录;使用三角形面积概念提取变量xi的第j个属性和第k个属性间的几何关系;将矢量xi投影到(j-k)二维欧式子空间上, 变量εj=[ej,1ej,2…,ej,n]T,εk=[ek,1ek,2…,ek,n]T,其中ej,j=1,ek,k=1,其他元素为0;yi,j,k是二维列向量,可看做笛卡尔坐标系(j-k)二维欧式子空间上点然后,在笛卡尔坐标系内,通过连接原点和以及在j和k轴上的映射,构造三角形三角形的面积记为定义如下:
其中,1≤i≤n,1≤j≤m,1≤k≤m,且j≠k;一条流量记录的完整三角形面积映射Triangle Area Map,TAM包含所有两两流量属性变量计算得到的面积;其中,表示第j行的第k列未知的三角形面积,当j=k时,因为研究的是两两不同属性间的几何关系;当j≠k时,满足
(5)构造的三角形面积映射矩阵就是流量特征图的矩阵表示形式。
3.根据权利要求1所述基于流量特征图和感知哈希的工业互联网入侵检测方法,其特征在于步骤(2)中感知哈希入侵检测的步骤为:
(1)采用DCT和SVD的方法,产生流量特征图的感知哈希码,并构建无交集的正常流量特征图和异常流量特征图的哈希摘要库;感知哈希摘要为固定长度的二进制字符串,即入侵检测规则集;DCT离散余弦变换定义如下:
SVD奇异值分解定义如下:
其中,x为奇异值分解后构成的哈希向量,h(x)为该元素对应的哈希码;遍历提取哈希码构建流量特征图的哈希摘要,构建正常流量和异常流量哈希摘要库,并提取入侵检测规则集;
(2)待检测工业互联网流量数据记录采用流量特征图技术、DCT方法和SVD方法,产生待检测感知哈希码;采用改进的感知哈希匹配方法进行入侵检测,包括三个步骤:基于字符串的精准匹配,基于归一化的汉明距离的相似性度量和基于欧式距离的聚类分析;
(3)采用基于字符串的精准匹配方法,分别与正常流量哈希摘要库和异常流量哈希摘要库进行匹配,并标记匹配结果;
(4)对未精准匹配的哈希摘要,设定感知哈希相似度匹配阈值,采用归一化的汉明距离进行相似性度量,若匹配正常流量特征图哈希摘要库,则待检测流量数据为正常流量;若匹配异常流量特征图哈希摘要库,则待检测流量数据为异常流量;归一化的汉明距离定义如下:
其中,Hs1和Hs2是两个长度为L的哈希摘要,天然气系统数据集中L=22,水罐系统数据集中L=28;w表示哈希摘要中的一位;设定哈希相似度匹配阈值,超过阈值范围的哈希摘要,判断为不匹配;
(5)针对超出感知哈希匹配阈值的待检测流量数据,采用基于欧氏距离的聚类方法对待检测流量数据进行归类;距离正常流量哈希摘要聚类中心距离近,则为正常流量;否则,为异常流量信息;采用三种感知哈希摘要匹配方式,对流量的哈希摘要进行不同程度的匹配,完善哈希摘要匹配方法,增强入侵检测系统的自适应性。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710315200.XA CN107070943B (zh) | 2017-05-05 | 2017-05-05 | 基于流量特征图和感知哈希的工业互联网入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710315200.XA CN107070943B (zh) | 2017-05-05 | 2017-05-05 | 基于流量特征图和感知哈希的工业互联网入侵检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107070943A CN107070943A (zh) | 2017-08-18 |
CN107070943B true CN107070943B (zh) | 2020-02-07 |
Family
ID=59596036
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710315200.XA Expired - Fee Related CN107070943B (zh) | 2017-05-05 | 2017-05-05 | 基于流量特征图和感知哈希的工业互联网入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107070943B (zh) |
Families Citing this family (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107592306A (zh) * | 2017-09-08 | 2018-01-16 | 四川省绵阳太古软件有限公司 | 基于物联网环境大数据的信息安全监测管理方法及系统 |
CN108667834B (zh) * | 2018-04-28 | 2020-06-09 | 广东电网有限责任公司 | 基于人工免疫和灰色关联度分析的网络安全态势感知方法 |
US11108795B2 (en) | 2018-05-25 | 2021-08-31 | At&T Intellectual Property I, L.P. | Intrusion detection using robust singular value decomposition |
CN109409408A (zh) * | 2018-09-21 | 2019-03-01 | 上海大学 | 一种Modbus TCP协议模糊测试中畸形数据过滤方法 |
CN109600365A (zh) * | 2018-12-04 | 2019-04-09 | 沈阳安信合科技有限公司 | 基于电力网络iec规约的基因相似性入侵检测方法 |
CN109639739B (zh) * | 2019-01-30 | 2020-05-19 | 大连理工大学 | 一种基于自动编码器网络的异常流量检测方法 |
CN109922086A (zh) * | 2019-04-24 | 2019-06-21 | 重庆第二师范学院 | 一种网络安全入侵检测系统及方法 |
CN110602034B (zh) * | 2019-07-08 | 2020-06-19 | 湖南大学 | 一种基于pso-svm检测s7协议异常通讯行为的方法和系统 |
CN110704648B (zh) * | 2019-09-27 | 2022-07-01 | 北京达佳互联信息技术有限公司 | 用户行为属性的确定方法、装置、服务器及存储介质 |
CN110912895B (zh) * | 2019-11-26 | 2022-03-04 | 华侨大学 | 一种基于感知哈希的网络数据流溯源方法 |
CN111031071B (zh) * | 2019-12-30 | 2023-01-24 | 杭州迪普科技股份有限公司 | 恶意流量的识别方法、装置、计算机设备及存储介质 |
CN111614514B (zh) * | 2020-04-30 | 2021-09-24 | 北京邮电大学 | 一种网络流量识别方法及装置 |
CN111614665A (zh) * | 2020-05-20 | 2020-09-01 | 重庆邮电大学 | 一种基于深度残差哈希网络的入侵检测方法 |
CN112187834A (zh) * | 2020-11-30 | 2021-01-05 | 江苏荣泽信息科技股份有限公司 | 一种基于安全存储的区块链网络节点服务系统 |
CN112688961B (zh) * | 2021-01-06 | 2021-09-21 | 北京科技大学 | 基于特征自适应层次聚类的网络流量图像安全分类方法 |
CN113158183A (zh) * | 2021-01-13 | 2021-07-23 | 青岛大学 | 移动终端恶意行为检测方法、系统、介质、设备及应用 |
CN113222930A (zh) * | 2021-05-08 | 2021-08-06 | 厦门服云信息科技有限公司 | 基于图像分析的恶意流量检测方法、终端设备及存储介质 |
CN113852603B (zh) * | 2021-08-13 | 2023-11-07 | 京东科技信息技术有限公司 | 网络流量的异常检测方法、装置、电子设备和可读介质 |
CN113890763B (zh) * | 2021-09-30 | 2024-05-03 | 广东云智安信科技有限公司 | 一种基于多维空间向量聚集的恶意流量检测方法及系统 |
CN115277098B (zh) * | 2022-06-27 | 2023-07-18 | 深圳铸泰科技有限公司 | 一种基于智能学习的网络流量异常检测装置及方法 |
CN115865486B (zh) * | 2022-11-30 | 2024-04-09 | 山东大学 | 基于多层感知卷积神经网络的网络入侵检测方法及系统 |
CN118069885B (zh) * | 2024-04-19 | 2024-07-09 | 山东建筑大学 | 一种动态视频内容编码检索方法及系统 |
CN118157992B (zh) * | 2024-05-10 | 2024-08-09 | 江苏云网数智信息技术有限公司 | 智能化网络安全防护方法及系统 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106603531A (zh) * | 2016-12-15 | 2017-04-26 | 中国科学院沈阳自动化研究所 | 一种基于工业控制网络的入侵检测模型的自动建立方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10037025B2 (en) * | 2015-10-07 | 2018-07-31 | Business Objects Software Ltd. | Detecting anomalies in an internet of things network |
-
2017
- 2017-05-05 CN CN201710315200.XA patent/CN107070943B/zh not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106603531A (zh) * | 2016-12-15 | 2017-04-26 | 中国科学院沈阳自动化研究所 | 一种基于工业控制网络的入侵检测模型的自动建立方法及装置 |
Non-Patent Citations (2)
Title |
---|
"Design and Analysis of Multimodel-Based Anomaly Intrusion Detection Systems in Industrial Process Automation";Chunjie Zhou;《IEEE》;20151008;全文 * |
"HAMIDS: Hierarchical Monitoring Intrusion Detection System for Industrial Control Systems";Hamid Reza Ghaeini;《ACM》;20161028;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN107070943A (zh) | 2017-08-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107070943B (zh) | 基于流量特征图和感知哈希的工业互联网入侵检测方法 | |
Liang et al. | An industrial network intrusion detection algorithm based on multifeature data clustering optimization model | |
CN108282460B (zh) | 一种面向网络安全事件的证据链生成方法及装置 | |
Guowei et al. | Research on network intrusion detection method of power system based on random forest algorithm | |
Sekeh et al. | Efficient image duplicated region detection model using sequential block clustering | |
CN116527346A (zh) | 基于深度学习图神经网络理论的威胁节点感知方法 | |
CN117176433A (zh) | 网络数据的异常行为检测系统及方法 | |
CN115277189A (zh) | 基于生成式对抗网络的无监督式入侵流量检测识别方法 | |
Tavallaee et al. | A novel covariance matrix based approach for detecting network anomalies | |
Malik et al. | Performance evaluation of classification algorithms for intrusion detection on nsl-kdd using rapid miner | |
CN112468498B (zh) | 配电终端多源异构安全监测数据的跨模态聚合方法 | |
CN114067381A (zh) | 一种基于多特征融合的深度伪造识别方法和装置 | |
Xin et al. | Research on feature selection of intrusion detection based on deep learning | |
Dong et al. | Traffic Characteristic Map-based Intrusion Detection Model for Industrial Internet. | |
CN116069607A (zh) | 基于图卷积神经网络的移动办公用户异常行为检测方法 | |
CN112688911B (zh) | 一种基于PCA+ADASYN和Xgboost的网络入侵检测系统 | |
Zhao et al. | A novel DBN-LSSVM ensemble method for intrusion detection system | |
Jiang et al. | A novel multi-classification intrusion detection model based on relevance vector machine | |
CN112860648A (zh) | 一种基于日志平台的智能分析方法 | |
Othman et al. | Impact of dimensionality reduction on the accuracy of data classification | |
Zhang | The WSN intrusion detection method based on deep data mining | |
Fang et al. | A method of network traffic anomaly detection based on Packet Window Transformer | |
Wang et al. | Research on network behavior risk measurement method based on traffic analysis | |
Yin et al. | A binary-classification method based on dictionary learning and admm for network intrusion detection | |
CN114584350B (zh) | 基于流形的网络数据包特征的降维及聚类的攻击识别方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200207 |
|
CF01 | Termination of patent right due to non-payment of annual fee |