CN107370732B - 基于神经网络和最优推荐的工控系统异常行为发现系统 - Google Patents
基于神经网络和最优推荐的工控系统异常行为发现系统 Download PDFInfo
- Publication number
- CN107370732B CN107370732B CN201710576406.8A CN201710576406A CN107370732B CN 107370732 B CN107370732 B CN 107370732B CN 201710576406 A CN201710576406 A CN 201710576406A CN 107370732 B CN107370732 B CN 107370732B
- Authority
- CN
- China
- Prior art keywords
- flow
- data
- behavior
- industrial control
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/211—Selection of the most significant subset of features
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/213—Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Computer Vision & Pattern Recognition (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Biology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Computation (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于信息技术领域,公开了一种基于神经网络和最优推荐的工控系统异常行为发现系统,对工业控制系统流量数据进行分析对工业控制系统中高维数据进行降维,实现无关属性删除和冗余属性去冗余,在遵循真实的输入输出样本内在的联系同时,实现入侵特征的动态选择。系统对不同场景被检测流量数据进行建模,利用样本流量和建模成功后的流量进行对比来检测被测流量数据特性与正常流量特性的差距性,发现异常流量。本发明基于最优推荐理论对流量进行场景比对和挖掘分析,建立恶意流量(场景)最优推荐模型,利用云计算技术,设计并实现基于云平台的按需定制式工业控制设备及系统的恶意攻击行为发现与检测功能。
Description
技术领域
本发明属于信息技术领域,尤其涉及一种基于神经网络和最优推荐的工控系统异常行为发现系统。
背景技术
随着计算机技术、通信技术和控制技术的发展,传统的工业控制领域正经历着一场前所未有的变革,开始向网络化方向发展。工业控制系统的结构从最初的CCS(计算机集中控制系统),到第二代的DCS(分散控制系统),发展到现在流行的FCS(现场总线控制系统);将网络化与现场总线联系在一起。在工业控制领域较有影响的现场总线系统有:FF、LonWorks、Profibus、CAN、HART,以及RS485的总线网络等。现场总线基金会己经制定的统一标准((FF),其慢速总线标准Hl已得到通过成为国际标准,其高速总线标准H2还在制订中。
神经网络是模拟人类生理上的神经机制的计算模型,具有大规模并行处理、良好的自学习、自适应、极强的非线性逼近和容错能力等特点,避免了复杂的数学推导,在参数漂移与样本缺损情况下,依然能保持稳定的输出。近年来已渗透到各个领域,在智能控制、模式识别、非线性优化、信号处理等方面得到广泛应用。因此,将神经网络运用到工业控制系统中,对提高工业控制系统的安全审计能力,具有重要的价值。
综上所述,现有技术存在的问题是:传统的检测系统在处理高维数据中无关属性和冗余属性问题中存在检测率低、检测速度慢等特点。
发明内容
针对现有技术存在的问题,本发明提供了一种基于神经网络和最优推荐的工控系统异常行为发现系统,
本发明是这样实现的,一种基于神经网络和最优推荐的工控系统异常行为发现系统,所述基于神经网络和最优推荐的工控系统异常行为发现系统包括数据采集模块、特征降维模块、行为分析模块和异常监测模块;
所述数据采集模块:基于Libpcap模块抓取工程师站上的流量数据包,即可采集工业以太网上传输的任何过程控制信息;这种被动采集的方法不会增加网络中的数据流;
所述特征降维模块:基于神经网络的入侵特征选择模型,该模型在传统的神经网络的基础上增加了入侵特征的动态选择层,该层节点与输入节点间设计了连接开关,当连接开关合上时,表示该特征被选择,当连接开关松开时,该特征就没有被选中,从而完全遵循真实的输入输出样本内在的联系,实现入侵特征的动态选择;
所述行为分析模块:对网络流量进行分析;在系统初始时,由于行为模型不存在,系统会自动切换到学习模式,行为学习模块开始工作,当学习一段默认的时间后,行为学习模块完成行为模型的初始化工作;此时系统开启异常监控模块,进入到正常工作状态;
所述异常监测模块:异常监测模块首先会对系统数据流进行分类,并和学习到的行为模型进行比较,如果比较结果,判断为正常流量,则进行快速转发;如果判定为异常流量;系统基于最优推荐模型来精确地刻画流量的变化,并以此作为依据来进行异常行为判断;系统对此异常流量发出告警,由管理员进行判断,如果管理员认为此异常流量是正常行为的,则将对应的异常行为添加到行为模型中,否则将学习到的行为转为黑名单。
本发明的另一目的在于提供一种所述的基于神经网络和最优推荐的工控系统异常行为发现系统的数据采集模块与行为分析模块实现方法,所述数据采集模块与行为分析模块实现方法:
步骤一,首先搭建基于工业以太网的实验平台,并采集平台流量作为流量数据集;
步骤二,然后基于该数据集对网络流量的平稳性、周期性、自相似性重要特性进行分析;
步骤三,总结出工业控制网络的流量特性,并分析其流量特性与传统以太网流量特性的差异。
本发明的另一目的在于提供一种所述的基于神经网络和最优推荐的工控系统异常行为发现系统的特征降维模块实现方法,所述特征降维模块实现方法包括:
(1)从工业控制系统场景出发,对工业控制系统原始流量数据进行分析;
(2)根据数据长度、流量周期性、响应时间、控制信息、时序性关键特征,对不同场景被检测流量数据进行建模;
(3)最后利用样本流量和建模成功后的流量进行对比来检测被测流量数据特性与正常流量特性的差距发现异常流量;
(4)系统采用基于神经网络的特征选择模型;该模型在传统的神经网络的基础上增加了特征的动态选择层,该层节点与输入节点间设计了连接开关,当连接开关合上时,表示该特征被选择,当连接开关松开时,该特征就没有被选中,从而完全遵循真实的输入输出样本内在的联系,实现入侵特征的动态选择。
本发明的另一目的在于提供一种所述的基于神经网络和最优推荐的工控系统异常行为发现系统的异常监测模块实现方法,所述异常监测模块实现方法包括:
第一步,系统通过采用漏洞扫描、动态测试、静态测试技术,对初始数据的挖掘、整理得出数据内部的规律特点;分析系统“已知部分的信息”、“部分信息未知”的“少数据”、“贫信息”的不确定性,基于灰色决策理论,建立控制网络设备库,恶意行为库和工业控制协议套件库;
第二步,然后,基于最优搜索理论,建立最优推荐模型;
第三步,利用云计算技术,设计并实现基于云平台的按需定制式工业控制设备及系统的恶意行为检测与发现模型。
本发明的优点及积极效果为:本系统对工业控制系统流量数据进行分析,基于神经网络的特征选择模型对工业控制系统中高维数据进行降维,实现无关属性删除和冗余属性去冗余,在遵循真实的输入输出样本内在的联系同时,实现入侵特征的动态选择。系统对不同场景被检测流量数据进行建模,利用样本流量和建模成功后的流量进行对比来检测被测流量数据特性与正常流量特性的差距性,发现异常流量。基于最优推荐理论对流量进行场景比对和挖掘分析,建立恶意流量(场景)最优推荐模型,利用云计算技术,设计并实现基于云平台的按需定制式工业控制设备及系统的恶意攻击行为发现与检测功能。
附图说明
图1是本发明实施提供的基于神经网络和最优推荐的工控系统异常行为发现系统框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
下面结合附图及具体实施例对本发明的应用原理作进一步描述。
如图1所示,本发明实施例提供的基于神经网络和最优推荐的工控系统异常行为发现系统包括数据采集模块、特征降维模块、行为分析模块和异常监测模块。
所述数据采集模块:基于Libpcap技术抓取工程师站上的流量数据包,即可采集工业以太网上传输的任何过程控制信息。这种被动采集的方法不会增加网络中的数据流,对原来的网络环境也没有任何影响。
所述特征降维模块:基于神经网络的入侵特征选择模型,该模型在传统的神经网络的基础上增加了入侵特征的动态选择层,该层节点与输入节点间设计了连接开关,当连接开关合上时,表示该特征被选择,当连接开关松开时,该特征就没有被选中,从而完全遵循真实的输入输出样本内在的联系,实现入侵特征的动态选择。
所述行为分析模块:对网络流量进行分析。在系统初始时,由于行为模型不存在,系统会自动切换到学习模式,行为学习模块开始工作,当学习一段默认的时间后,行为学习模块完成行为模型的初始化工作。此时系统开启异常监控模块,进入到正常工作状态。
所述异常监测模块:异常监测模块首先会对系统数据流进行分类,并和学习到的行为模型进行比较,如果比较结果,判断为正常流量,则进行快速转发;如果判定为异常流量。系统基于最优推荐模型来精确地刻画流量的变化,并以此作为依据来进行异常行为判断。系统对此异常流量发出告警,由管理员进行判断,如果管理员认为此异常流量是正常行为的,则将对应的异常行为添加到行为模型中,否则将学习到的行为转为黑名单。
所述数据采集模块与行为分析模块实现方法:
A)首先搭建基于工业以太网的实验平台,并采集平台流量作为流量数据集。
B)然后基于该数据集对网络流量的平稳性、周期性、自相似性等重要特性进行分析。
C)总结出工业控制网络的流量特性,并分析其流量特性与传统以太网流量特性的差异。
D)工业控制系统与传统基于IT的网络比较,在流量特征上主要有以下不同:
(1)数据包长度不同。一般情况下在工业控制系统中数据长度比普通IT网络数据长度小。普通IT网络传输数据的频率相对低,但是瞬间传输的数据量较大,相反工业控制系统传输数据的频率相对较高,并且数据长度较小,这是两者数据流量最显著的区别。
(2)数据包出现周期性不同。在工业控制系统中满足周期特性的信息占据主要组成部分,非周期性信息只占很少一部分,因此往往工业控制系统流量会呈现出周期性。而普通IT网络与工业控制系统正好相反,因为普通IT网络的多元性和不确定性,造成周期性信息在总数据量中只占很少一部分,数据流量难以发现周期性。
(3)响应时间不同。工业控制系统由于对实时性要求很高,因此响应时间很小。普通IT网络的响应时间相对要长一些。
(4)数据包流向不同。在工业控制系统中,由于控制信息较多,因此数据包流向一般是固定的,存在着方向性。而普通IT网络由于有着自由性、突发性的特点,所以在普通IT网络中数据流向是不具备方向性的。
(5)时序性不同。工业控制系统中主要以控制信息为主,控制信息本身具有时序性,例如设备测量一个值后在网络中向控制器发送测量信息,之后控制器将对此测量信息进行数据处理,然后再把产生的控制命令发送给设备,整个过程控制信息发生顺序是固定的,这个性质难以在普通IT网络中被发现。
(6)通信方式不同。工业控制系统主要以广播多播的形式出现,而普通IT网络中最为常见的通信方式是点对点传输。
E)为获取有效数据,系统使用真实的工业控制系统搭建实验平台。
该实验平台包括现场控制站、工程师站、操作员站、过程控制网络、组态软件包、实时监控软件等组成。工程师站主要对应用软件组态进行控制,并进行系统监视和系统维护。过程控制网络采用IEEE 802.3标准,符合TCP/IP传输协议,连接了系统的工程师站、控制站、通信接口单元等,它是ICS中传送过程控制实时信息的通道。控制站实现现场设备信号的输入输出,同时完成过程控制中的数据采集、回路控制、时序控制以及包括优化控制等各种控制算法,完成整个工业过程的实时监控功能。在实验平台,通过抓取工程师站上的流量数据包,即可采集工业以太网上传输的任何过程控制信息。这种被动采集的方法不会增加网络中的数据流,对原来的网络环境也没有任何影响。
本系统基于该平台,模拟各种工业控制系统场景,获得不同场景的工业控制网络流量数据。然后,重点研究数据长度、流量周期性、响应时间、控制信息、时序性等关键特征,对不同场景被检测流量数据进行建模,利用样本流量和建模成功后的流量进行对比来检测被测流量数据特性与正常流量特性的差距发现异常流量。
所述特征降维模块实现方法:
1)从工业控制系统场景出发,对工业控制系统原始流量数据进行分析。
2)根据数据长度、流量周期性、响应时间、控制信息、时序性等关键特征,对不同场景被检测流量数据进行建模。
3)最后利用样本流量和建模成功后的流量进行对比来检测被测流量数据特性与正常流量特性的差距发现异常流量。
4)系统采用基于神经网络的特征选择模型。神经网络的拓扑结构从连接方式看有两种:一种是前馈型网络,每个神经元只接受前一层神经元的输入,并输出给下一层神经元,没有反馈。另一种是反馈型网络:所有结点都是计算单元,每个神经元既接受输入,同时也可向外界输出。本模型采用前馈型网络。在传统的神经网络的基础上增加了工控设备特征的动态选择层。采集设备与工控设备间设计了连接开关,当连接开关合上时,表示工控设备特征被选择,当连接开关松开时,该特征就没有被选中,从而完全遵循真实的输入输出样本内在的联系,实现入侵特征的动态选择。
系统基于工业控制系统的环境,分别采用基于信号处理、业务量、机器学习的方法,建立平稳性、周期性、自相似性等重要特性的正常流量序列,在分析时,从所有的输入特征中挑选出部分有效的特征,从而降低特征空间的特征数,冗余的、误用的以及很少使用的特征将被删除。因此,检测过程可以看作是在一定的约束条件下,找到一组入侵特征集合,使检测率最高,同时误报率低。系统将工控系统的流量按时间序列进行分维。时间序列划分为单时间序列和多时间序列。单时间序列是将流量看做一维信号,采用基于统计的分析方法,或采用时频域的分析方法,如小波分析法,对流量进行异常检测;多时间序列分析方法是将多个流量信号看做二维信号,采用二维信号的分析方法对流量进行异常检测,如主成分分析法。系统基于自相似模型、多分型模型、层叠模型等的流量异常检测方法等方法来精确地刻画流量的变化并以此作为依据来进行异常检测。
所述异常监测模块实现方法:
a)系统通过采用漏洞扫描、动态测试、静态测试等技术,对初始数据的挖掘、整理得出数据内部的规律特点;分析系统“已知部分的信息”、“部分信息未知”的“少数据”、“贫信息”的不确定性,基于灰色决策理论,建立控制网络设备库,恶意行为库和工业控制协议套件库。
b)然后,基于最优搜索理论,建立最优推荐模型。
c)利用云计算技术,设计并实现基于云平台的按需定制式工业控制设备及系统的恶意行为检测与发现模型。
最优搜索理论是关于如何以一种最佳方式寻找某个事先已确定的对象的理论。最优搜索问题的解,即找到一种对于搜索资源最佳分配方案,使其能成功探测到搜索目标的概率最大或成本最小。通常最优搜索问题都由目标位置和移动路径的概率分布函数、探测函数和对可用资源的约束3个基本要素构成。按最优搜索对象是构成最优推荐路径的各个节点,由于这些节点可以依次事先确定,因此满足最优搜索理论的前提条件。
基于最优推荐方法的待搜索节点的分布概率估计公式:
设H(Si)=<μ(Si),γ(Si)>表示某信任类别Si的固有信任,可以通过对该信任向量库中所有节点求μi分量的平均值和γi分量的平均值得到。则节点Y位于各信任向量库的先验分布概率为:
D(Y,H(Si))表示YY和H(Si)之间的欧式距离。
最优推荐模型的建立过程主要步骤是:
(1)将待检节点和搜索时间限制T作为初始查询请求创建搜索Agent。
(2)根据设备种类信息计算待检节点在各漏洞向量库中的先验分布概率P。
(3)根据先验分布概率P和总搜索资源确定各向量库上的最优时间分配,生成搜索策略。
(4)搜索Agent根据搜索策略,在第i个漏洞向量库中检索,当分配给i的资源耗尽就停止在i上工作。
(5)Agent依据策略迁移至下一个信任向量库,转(4),直至遍历所有漏洞向量库。如果在信任向量库中找到待检节点,转(6)。
(6)从待检节点的相邻节点中,选取固有信任度最高的k个节点作为可信推荐者,以该可信推荐者作为新的待检节点,并和新的搜索时间限制i作为查询请求创建搜索Agent,转(3)。
(7)重复(6)直到到达目的节点。
至此得到若干条源节点到目的节点的最优推荐路径,依据该最优推荐路径计算源节点对目的节点的推荐信任度。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (1)
1.一种基于神经网络和最优推荐的工控系统异常行为发现系统,其特征在于,所述基于神经网络和最优推荐的工控系统异常行为发现系统包括数据采集模块、特征降维模块、行为分析模块和异常监测模块;
所述数据采集模块:基于Libpcap模块抓取工程师站上的流量数据包,即可采集工业以太网上传输的任何过程控制信息;这种被动采集的方法不会增加网络中的数据流;
所述特征降维模块:基于神经网络的入侵特征选择模型,该模型在传统的神经网络的基础上增加了入侵特征的动态选择层,该层节点与输入节点间设计了连接开关,当连接开关合上时,表示该特征被选择,当连接开关松开时,该特征就没有被选中,从而完全遵循真实的输入输出样本内在的联系,实现入侵特征的动态选择;
所述行为分析模块:对网络流量进行分析;在系统初始时,由于行为模型不存在,系统会自动切换到学习模式,行为学习模块开始工作,当学习一段默认的时间后,行为学习模块完成行为模型的初始化工作;此时系统开启异常监控模块,进入到正常工作状态;
所述异常监测模块:异常监测模块首先会对系统数据流进行分类,并和学习到的行为模型进行比较,如果比较结果,判断为正常流量,则进行快速转发;如果判定为异常流量;系统基于最优推荐模型来精确地刻画流量的变化,并以此作为依据来进行异常行为判断;系统对此异常流量发出告警,由管理员进行判断,如果管理员认为此异常流量是正常行为的,则将对应的异常行为添加到行为模型中,否则将学习到的行为转为黑名单;
所述基于神经网络和最优推荐的工控系统异常行为发现系统的数据采集模块与行为分析模块实现方法:
步骤一,首先搭建基于工业以太网的实验平台,并采集平台流量作为流量数据集;
步骤二,然后基于该数据集对网络流量的平稳性、周期性、自相似性重要特性进行分析;
步骤三,总结出工业控制网络的流量特性,并分析其流量特性与传统以太网流量特性的差异;
所述特征降维模块实现方法包括:
(1)从工业控制系统场景出发,对工业控制系统原始流量数据进行分析;
(2)根据数据长度、流量周期性、响应时间、控制信息、时序性关键特征,对不同场景被检测流量数据进行建模;
(3)最后利用样本流量和建模成功后的流量进行对比来检测被测流量数据特性与正常流量特性的差距发现异常流量;
(4)系统采用基于神经网络的特征选择模型;该模型在传统的神经网络的基础上增加特征的动态选择层;所述动态选择层层节点与输入节点间设计连接开关,当连接开关合上时,表示该特征被选择,当连接开关松开时,该特征就没有被选中,从而完全遵循真实的输入输出样本内在的联系,实现入侵特征的动态选择;
所述的基于神经网络和最优推荐的工控系统异常行为发现系统的异常监测模块实现方法,包括:
第一步,系统通过采用漏洞扫描、动态测试、静态测试技术,对初始数据的挖掘、整理得出数据内部的规律特点;分析系统已知部分的信息、部分信息未知的少数据、贫信息的不确定性,基于灰色决策理论,建立控制网络设备库,恶意行为库和工业控制协议套件库;
第二步,然后,基于最优搜索理论,建立最优推荐模型;
第三步,利用云计算技术,设计并实现基于云平台的按需定制式工业控制设备及系统的恶意行为检测与发现模型。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710576406.8A CN107370732B (zh) | 2017-07-14 | 2017-07-14 | 基于神经网络和最优推荐的工控系统异常行为发现系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710576406.8A CN107370732B (zh) | 2017-07-14 | 2017-07-14 | 基于神经网络和最优推荐的工控系统异常行为发现系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107370732A CN107370732A (zh) | 2017-11-21 |
CN107370732B true CN107370732B (zh) | 2021-08-17 |
Family
ID=60308290
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710576406.8A Active CN107370732B (zh) | 2017-07-14 | 2017-07-14 | 基于神经网络和最优推荐的工控系统异常行为发现系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107370732B (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108037722A (zh) * | 2017-12-25 | 2018-05-15 | 山东星火科学技术研究院 | 五位一体新能源销售示范中心前庭设备控制系统 |
CN108650218B (zh) * | 2018-03-22 | 2019-10-08 | 平安科技(深圳)有限公司 | 网络流量监测方法、装置、计算机设备及存储介质 |
CN110619213A (zh) * | 2018-06-20 | 2019-12-27 | 深信服科技股份有限公司 | 基于多模型特征的恶意软件识别方法、系统及相关装置 |
CN109344610B (zh) * | 2018-08-31 | 2020-09-11 | 中国科学院信息工程研究所 | 序列攻击的检测方法及装置 |
CN109766992B (zh) * | 2018-12-06 | 2020-12-04 | 北京工业大学 | 基于深度学习的工控异常检测及攻击分类方法 |
WO2020132949A1 (zh) * | 2018-12-26 | 2020-07-02 | 西门子股份公司 | 用于工业控制系统的监测方法、装置、系统和计算机可读介质 |
CN109768887A (zh) * | 2019-01-11 | 2019-05-17 | 四川大学 | 一种自动挖掘工控流量周期性特征的方法 |
CN110098959B (zh) * | 2019-04-23 | 2021-11-16 | 广东技术师范大学 | 工控协议交互行为的建模方法、装置、系统及存储介质 |
CN110808971B (zh) * | 2019-10-30 | 2021-01-01 | 中国科学院信息工程研究所 | 一种基于深度嵌入的未知恶意流量主动检测系统及方法 |
CN111786986B (zh) * | 2020-06-29 | 2021-08-27 | 华中科技大学 | 一种数控系统网络入侵防范系统及方法 |
CN112202736B (zh) * | 2020-09-15 | 2021-07-06 | 浙江大学 | 基于统计学习和深度学习的通信网络异常分类方法 |
CN112491677B (zh) * | 2020-11-06 | 2022-10-14 | 厦门大学 | 基于物理层特征指纹的can总线识别方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101282266A (zh) * | 2008-03-05 | 2008-10-08 | 中科院嘉兴中心微系统所分中心 | 一种智能防入侵微波雷达无线传感器网络 |
CN104732276A (zh) * | 2015-03-18 | 2015-06-24 | 国家电网公司 | 一种计量生产设施故障在线诊断方法 |
CN106060008A (zh) * | 2016-05-10 | 2016-10-26 | 中国人民解放军61599部队计算所 | 一种网络入侵异常检测方法 |
CN106789297A (zh) * | 2016-12-29 | 2017-05-31 | 淮海工学院 | 基于神经网络的网络流量预测系统及其流量预测方法 |
CN106911669A (zh) * | 2017-01-10 | 2017-06-30 | 浙江工商大学 | 一种基于深度学习的ddos检测方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20010025232A1 (en) * | 1998-10-02 | 2001-09-27 | Klimasauskas Casimir C. | Hybrid linear-neural network process control |
CN102546624A (zh) * | 2011-12-26 | 2012-07-04 | 西北工业大学 | 一种网络多路入侵检测防御方法及系统 |
US20150308321A1 (en) * | 2014-04-25 | 2015-10-29 | Caterpillar Inc. | Exhaust emission prediction system and method |
CN105703963B (zh) * | 2014-11-26 | 2017-04-05 | 中国科学院沈阳自动化研究所 | 基于pso‑ocsvm的工业控制系统通信行为异常检测方法 |
CN106209843A (zh) * | 2016-07-12 | 2016-12-07 | 工业和信息化部电子工业标准化研究院 | 一种面向Modbus协议的数据流异常分析方法 |
CN106778210B (zh) * | 2016-12-16 | 2020-04-07 | 成都巧班科技有限公司 | 一种基于免疫学习的工业控制系统功能安全验证方法 |
-
2017
- 2017-07-14 CN CN201710576406.8A patent/CN107370732B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101282266A (zh) * | 2008-03-05 | 2008-10-08 | 中科院嘉兴中心微系统所分中心 | 一种智能防入侵微波雷达无线传感器网络 |
CN104732276A (zh) * | 2015-03-18 | 2015-06-24 | 国家电网公司 | 一种计量生产设施故障在线诊断方法 |
CN106060008A (zh) * | 2016-05-10 | 2016-10-26 | 中国人民解放军61599部队计算所 | 一种网络入侵异常检测方法 |
CN106789297A (zh) * | 2016-12-29 | 2017-05-31 | 淮海工学院 | 基于神经网络的网络流量预测系统及其流量预测方法 |
CN106911669A (zh) * | 2017-01-10 | 2017-06-30 | 浙江工商大学 | 一种基于深度学习的ddos检测方法 |
Non-Patent Citations (1)
Title |
---|
"基于OCSVM的工业控制系统入侵检测算法研究",;李琳,;《中国优秀硕士学位论文全文数据库 信息科技辑》;20170515(第5期);第17-30页 * |
Also Published As
Publication number | Publication date |
---|---|
CN107370732A (zh) | 2017-11-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107370732B (zh) | 基于神经网络和最优推荐的工控系统异常行为发现系统 | |
Wang et al. | Machine learning in network anomaly detection: A survey | |
CN108289104B (zh) | 一种工业SDN网络DDoS攻击检测与缓解方法 | |
Sestito et al. | A method for anomalies detection in real-time ethernet data traffic applied to PROFINET | |
CN108632269B (zh) | 基于c4.5决策树算法的分布式拒绝服务攻击检测方法 | |
Khedr et al. | FMDADM: A multi-layer DDoS attack detection and mitigation framework using machine learning for stateful SDN-based IoT networks | |
Amoli et al. | Unsupervised network intrusion detection systems for zero-day fast-spreading attacks and botnets | |
CN108696453B (zh) | 轻量级的电力通信网sdn业务流感知方法及系统 | |
CN111181971B (zh) | 一种自动检测工业网络攻击的系统 | |
Ravi et al. | Deep learning feature fusion approach for an intrusion detection system in SDN-based IoT networks | |
CN111224973A (zh) | 一种基于工业云的网络攻击快速检测系统 | |
Wang et al. | Source-based defense against DDoS attacks in SDN based on sFlow and SOM | |
Jadidi et al. | Automated detection-in-depth in industrial control systems | |
Turcato et al. | A cloud-based method for detecting intrusions in profinet communication networks based on anomaly detection | |
Preamthaisong et al. | Enhanced DDoS detection using hybrid genetic algorithm and decision tree for SDN | |
Zhang et al. | Design of a novel network intrusion detection system for drone communications | |
CN111884874B (zh) | 一种基于可编程数据平面的舰船网络实时异常检测方法 | |
Burgetová et al. | Anomaly detection of ICS communication using statistical models | |
Qiu et al. | Abnormal traffic detection method of internet of things based on deep learning in edge computing environment | |
Pan et al. | Anomaly behavior analysis for building automation systems | |
Alqurashi et al. | On the performance of isolation forest and multi layer perceptron for anomaly detection in industrial control systems networks | |
Ritzkal et al. | K-nearest neighbor algorithm analysis for path determination in network simulation using software defined network | |
CN115412443B (zh) | 一种基于突发检测的网络拓扑变化检测方法 | |
Yang et al. | IoT botnet detection with feature reconstruction and interval optimization | |
Azarkasb et al. | A network intrusion detection approach at the edge of fog |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20230625 Address after: 226100 No. 49, Xinye Road, Sanchang street, Haimen District, Nantong City, Jiangsu Province Patentee after: Jiangsu Rongchuang IoT Technology Co.,Ltd. Address before: 610225, No. 24, Section 1, Xuefu Road, Southwest Economic Development Zone, Chengdu, Sichuan Patentee before: CHENGDU University OF INFORMATION TECHNOLOGY |