CN108737410A - 一种基于特征关联的有限知工业通信协议异常行为检测方法 - Google Patents
一种基于特征关联的有限知工业通信协议异常行为检测方法 Download PDFInfo
- Publication number
- CN108737410A CN108737410A CN201810458144.XA CN201810458144A CN108737410A CN 108737410 A CN108737410 A CN 108737410A CN 201810458144 A CN201810458144 A CN 201810458144A CN 108737410 A CN108737410 A CN 108737410A
- Authority
- CN
- China
- Prior art keywords
- feature
- unknown
- communication
- decision tree
- limited
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 113
- 238000001514 detection method Methods 0.000 title claims abstract description 29
- 238000003066 decision tree Methods 0.000 claims abstract description 52
- 238000000034 method Methods 0.000 claims abstract description 51
- 230000006399 behavior Effects 0.000 claims abstract description 27
- 238000000605 extraction Methods 0.000 claims abstract description 21
- 230000002159 abnormal effect Effects 0.000 claims abstract description 18
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 17
- 238000010276 construction Methods 0.000 claims abstract description 14
- 230000005856 abnormality Effects 0.000 claims abstract description 11
- 238000004364 calculation method Methods 0.000 claims abstract description 10
- 238000007781 pre-processing Methods 0.000 claims abstract description 8
- 239000013598 vector Substances 0.000 claims description 44
- 230000003993 interaction Effects 0.000 claims description 27
- 230000008569 process Effects 0.000 claims description 19
- 238000004422 calculation algorithm Methods 0.000 claims description 15
- 238000005516 engineering process Methods 0.000 claims description 6
- 238000004458 analytical method Methods 0.000 claims description 4
- 230000002452 interceptive effect Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 9
- 238000011160 research Methods 0.000 description 9
- 239000007788 liquid Substances 0.000 description 5
- 239000000463 material Substances 0.000 description 5
- 238000012360 testing method Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000005272 metallurgy Methods 0.000 description 1
- 238000011112 process operation Methods 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- -1 that is Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
- H04L41/0636—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis based on a decision tree analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于特征关联的有限知工业通信协议异常行为检测方法,该方法面向有限知工业通信协议的消息格式具有已知部分和未知部分这一特点,通过关联两部分信息对有限知工业通信协议的通信行为进行异常检测,具体包括决策树构建阶段和异常判定阶段,其中决策树构建主要实现对控制系统中原始通信数据进行特征提取,通过特征关联标识绑定已知特征和未知特征,构建特征关联决策树,获得未知特征空间的质心和距离门限;异常判定对数据预处理后的特征信息进行决策树查找和马氏距离计算,通过与距离门限对比,完成对有限知协议通信行为的异常检测。该方法能够对工控通信数据进行分析、建模与检测,实时发现此类工业通信行为异常并产生报警,保障网络安全。
Description
技术领域
本发明涉及工业控制系统网络安全技术领域,更具体的说是涉及一种基于特征关联的有限知工业通信协议异常行为检测方法。
背景技术
现阶段,工业控制系统已广泛应用电力、冶金、轨道交通、石油化工、核设施等诸多现代工业行业中,据统计,超过80%的涉及国计民生的关键基础设施都依靠工业控制系统来实现自动化作业。随着信息化与工业化深度融合以及物联网的快速发展,工业控制系统的互联互通互操作程度越来越高,其安全性也正遭受着严峻的挑战。近几年,针对工业控制系统的各种网络攻击与入侵事件屡见不鲜,根据美国国土安全部下属的工业控制系统网络应急响应小组(Industrial Control Systems Cyber Emergency Response Team,ICS-CERT)连续三年的安全研究报告,近几年针对工业控制系统的安全事件呈阶梯状增长态势。
为此,工业界和学术界已经开始对工业控制系统的信息安全防护进行了研究与探讨。其中在网络层面上,一般以工控通信网络的防护、测试和检测为研究突破口。首先,在防护方面,典型的防护技术为工业防火墙技术,虽然实现了通信的访问控制和网络隔离,但也存在着不足之处:(1)白名单的规则设置由人工完成,若出现偏差,将导致安全规则错误;(2)作为一种网络安全中间件,会对工业控制系统的实时操作产生影响。其次,在测试方面,研究学者已经搭建了关于工业控制网络的安全测试平台,例如美国能源部的国家SCADA系统测试平台,运用各种安全测试技术对工控网络进行安全隐患挖掘,但这种测试平台仅仅是以软件及部分工控设备模拟了工业控制系统的局部工艺流程,无法全方位体现工业控制系统的安全情况,并且软件模拟的真实性也需要进一步分析。最后,在检测方面,已经开展了对工业控制系统的误用检测和异常检测两方面研究,其中异常检测通过与正常行为间的匹配实现异常行为发现,无需预先了解攻击的特征形式,能有效地检测未知攻击,同时,作为一种旁路监听方法,异常检测能够在不干扰工业控制系统实时性和可用性的前提下,发现和识别网络中的异常入侵行为,已经成为研究热点之一,并取得了一些初步的研究成果。根据恶意攻击行为的攻击目标、入侵途径、操作模式等特点,目前关于工业控制网络异常检测的研究主要可以分为四类:基于状态的检测法、基于特征和规则的检测法、基于模型的检测法和基于机器学习的检测法。上述异常检测方法目的在于通过采用无监督或者半监督的自学习式方法,构建网络化控制系统中网络通信的正常行为模型,与下一轮通信行为进行对比分析,从而判别是否出现通信行为异常。
依据网络化控制系统中协议规约和消息格式的开放程度,工业通信协议可以分为已知协议、未知协议和有限知协议三类。其中已知协议的协议规约和消息格式是完全公开化的,例如Modbus/TCP、DNP3、IEC61850协议等;未知协议的协议规约和消息格式是非公开化的,例如Siemens S7协议;有限知协议的协议规约和消息格式是半公开化的,例如,西门子公司在Modbus/TCP的90功能码后增加了自定义内容。然而,上述目前工业控制系统的异常检测技术大多局限于对已知协议和未知协议的异常检测方法研究,很少涉及到有限知工业通信协议的异常检测研究。
发明内容
有鉴于此,本发明的目的是提供一种基于特征关联的有限知工业通信协议异常检测方法,该方法能够结合现有工业控制系统中网络威胁形式及攻击特点,在不影响工业控制系统可用性的前提下,深入工业通信协议的脆弱性,判定异常工业通信行为,保障工业控制系统的安全性。
本发明的进一步目的是提供一种基于特征关联的有限知工业通信协议异常检测方法,根据有限知工业通信协议的消息格式具有公开化的已知部分和私有定制的未知部分的特点,对原始通信数据进行特征提取,将已知特征和未知特征通过特征关联标识绑定,采用在线自学习方式,构建描述有限知协议正常通信行为的特征关联决策树,实时检测工业控制网络中的已知与未知攻击行为,保护工控网络与关键控制设备的安全。
本发明为实现上述目的所采用的技术方案是:一种基于特征关联的有限知工业通信协议异常行为检测方法,其特征在于,包括以下两个阶段:
决策树构建阶段:首先捕获工业控制网络中原始通信数据包,进行通信内容重建,然后从通信交互内容中进行特征提取,获得已知特征向量和未知特征向量,并计算特征关联标识,最后构建特征关联决策树,确定最终的特征关联决策树、质心和距离门限。
异常判定阶段:首先实时捕获工业控制网络中原始通信数据包,进行数据预处理,生成已知特征向量、未知特征向量和特征关联标识,然后进行决策树查找和马氏距离计算,通过与距离门限对比,判定是否出现异常的通信行为并报警。
所述工业控制网络中原始通信数据包是使用有限知工业通信协议进行通信的数据包,其中有限知工业通信协议的协议规约和消息格式是半公开化的。
所述数据预处理包括通信内容重建、特征提取和特征关联标识计算三个过程。
所述通信内容重建通过<源IP、目的IP、源端口、目的端口、应用协议类型>对每一次通信交互进行标识,将属于同一通信交互的数据包应用数据载荷按时间顺序排列,构成通信交互内容。
所述特征提取包括已知特征提取和未知特征提取两部分。
所述已知特征提取采用深度包解析技术在通信交互内容的已知部分中获得如功能字段、地址字段等信息,形成已知特征向量。
所述未知特征提取拟采用N-gram模型,将通信交互内容中未知部分映射到一个有限的未知特征空间,然后通过Chi-Squares算法进行相似性合并,形成新的简化的未知特征空间,然后将空间中所有特征按照出现频率的降序排列组成未知特征向量。
所述特征关联标识计算是在未知特征空间中选取出现频率最高的未知特征作为关键特征元素,与已知特征向量进行散列运算,生成特征关联标识,从而实现已知特征与未知特征的绑定。
所述构建特征关联决策树是将已知特征向量作为决策树的主分枝,特征关联标识作为决策树的次分枝,未知特征向量作为决策树的叶子节点。
所述特征关联决策树的构建过程如下:
步骤一:创建特征关联决策树的根;
步骤二:根据某一通信交互内容的已知特征向量,创建决策树的主分枝;
步骤三:根据此通信交互内容的特征关联标识,在主分枝下创建新的次分枝代表此特征关联标识;
步骤四:获取此通信交互内容的未知特征向量,将未知特征向量作为次分枝的一个叶子节点,并计算此次分枝下所有叶子节点的质心;
步骤五:利用马氏距离算法,计算未知特征向量到质心的马氏距离,更新距离门限;
步骤六:若在预设的时间间隔内无新的叶子节点出现,则结束算法,获得最终的特征关联决策树、每个次分枝的质心和距离门限。否则,转到步骤二。
所述异常判定阶段的执行过程如下:
步骤一:实时捕获控制系统中原始通信数据,对数据进行预处理,生成已知特征向量、特征关联标识和未知特征向量;
步骤二:利用多模式匹配算法,对特征关联决策树进行搜索,分别查找已知特征向量和特征关联标识所对应的主分枝和次分枝,若成功,则转到步骤三,否则,产生报警;
步骤三:利用马氏距离算法,计算未知特征向量到质心的距离;
步骤四:进行距离比较,若此距离小于距离门限,则转到步骤一,否则,控制系统通信中出现异常,产生报警。
本发明具有以下优点及有益效果:
1.与现有技术相比,本发明公开提供了一种基于特征关联的有限知工业通信协议异常行为检测方法,该方法可以无监督的建立适用于有限知工业通信协议规约的异常判定引擎,通过抽象和模拟工业通信行为,实时有效的发现工业通信的异常变化,从而保障工业控制系统的网络安全性。
2.该方法能够充分利用工业控制系统网络通信的“状态有限”和“行为有限”的特点,通过通信内容重建、特征提取和特征关联标识计算等过程,构建特征关联决策树,使得每一次的工业通信行为都可以用树的分枝和叶子节点来描述,完整适当地将采用有限知工业通信协议的工业通信数据抽象成可以识别的工业通信行为。
3.该方法是一种第三方旁路异常行为监听方法,在不干扰工业控制系统运行实时性和可用性的前提下,能够对网络中出现的入侵行为以及非授权行为进行识别、检测与响应,同时该方法能够适应工业网络攻击具有隐蔽性和不可预测性等特点,对未知攻击的检测效果明显。
附图说明
图1为本发明方法在石化液位控制系统网络的应用部署实施例示意图;
图2为本发明方法的基本模型示意图;
图3为本发明方法中数据预处理的具体执行过程示意图;
图4为本发明方法的特征关联决策树构建过程示意图;
图5本发明方法的异常判定阶段执行过程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的方法属于工业控制系统信息安全的范畴。图1示出了本发明方法在石化液位控制系统网络的应用部署实施例示意图。作为一种第三方监听方法,本方法可部署在工业交换机的镜像端口上,实时捕获工作站(如操作员站、工程师站)与工业控制设备(如PLC、DCS控制器)之间的通信数据,这些通信数据使用有限知工业通信协议作为通信载体,通过分析这些通信数据,有效的发现工业通信行为的异常,并产生报警。具体地,在图1所示的石化液位控制系统中,工作站向PLC发送操作控制命令,PLC接收控制命令后,控制阀门开关进行物料的生产,即物料a和物料b依次通过阀门开关a和b进入容器合成物料c,当达到液位上限时,关闭阀门开关a和b,打开阀门开关c,排出物料C,达到液位下限时,重复上述工艺操作过程。在这一过程中,本发明方法可以实时采集工作站和PLC之间的通信数据,能够对不符合工业控制系统正常工艺操作过程的入侵行为、非授权行为或者是误操作行为进行识别和报警,保障工业控制系统的网络通信安全。
本发明提供了一种基于特征关联的有限知工业通信协议异常行为检测方法。参见图2,示出了本发明一种基于特征关联的有限知工业通信协议异常行为检测方法的基本模型。该模型主要分为决策树构建阶段和异常判定阶段两部分。其中决策树构建阶段主要是一种在线自学习过程,该阶段主要目的是学习出采用有限知工业通信协议的工业控制网络中通信交互规律及行为特征模式,最终生成一个稳定的特征关联决策树,而异常判定阶段实时捕获并分析工业控制网络的通信数据,搜索特征关联决策树进行比较,从而发现异常的工业通信行为。具体地,决策树构建阶段的主要工作流程如下:首先捕获工业控制网络中原始通信数据包,进行通信内容重建,然后从通信交互内容中进行特征提取,获得已知特征向量和未知特征向量,并计算特征关联标识,最后构建特征关联决策树,确定最终的特征关联决策树、质心和距离门限;异常判定阶段的主要工作流程如下:首先捕获工业控制网络中原始通信数据包,进行数据预处理,生成已知特征向量、未知特征向量和特征关联标识,然后进行决策树查找和马氏距离计算,通过与距离门限对比,判定是否出现异常的通信行为并报警。
参见图3,示出了本发明方法中决策树构建阶段和异常判定阶段数据预处理的具体执行过程实施示意图。阐述如下:
首先,进行通信内容重建。通过<源IP、目的IP、源端口、目的端口、应用协议类型>对每一个通信交互进行标识,将属于同一通信交互的数据包应用数据载荷按时间顺序排列,构成通信交互内容。
其次,进行两种特征提取。由于通信交互内容中包括已知部分和未知部分,因此需要对这两部分的特征进行分别提取。已知特征提取采用深度包解析技术在通信交互内容的已知部分中获得如功能字段、地址字段等信息,形成已知特征向量;未知特征提取拟采用N-gram模型,将通信交互内容中未知部分映射到一个有限的未知特征空间,然后通过Chi-Squares算法,对空间中的未知特征进行相似性合并,降低未知特征空间的维度,形成新的简化的未知特征空间,然后将空间中所有特征按照出现频率的降序排列组成未知特征向量。
最后,进行特征关联标识计算。在未知特征空间中选取出现频率最高的未知特征作为关键特征元素,与已知特征向量进行散列运算,生成特征关联标识,从而实现已知特征与未知特征的绑定。
参见图4,示出了本发明方法中特征关联决策树的具体构建过程实施例示意图。利用控制系统正常通信行为的特征信息构造特征关联决策树,其中已知特征向量作为决策树的主分枝,特征关联标识作为决策树的次分枝,未知特征向量作为决策树的叶子节点。主要执行过程如下:
步骤一:创建特征关联决策树的根;
步骤二:获取某一通信交互内容的已知特征向量,查找决策树的主分枝,若存在此已知特征向量的主分枝,则转到步骤三,否则,创建新的主分枝代表此已知特征向量;
步骤三:计算此通信交互内容的特征关联标识,查找主分枝下的次分枝,若存在此特征关联标识的次分枝,则转到步骤四,否则,在主分枝下创建新的次分枝代表此特征关联标识;
步骤四:获取此通信交互内容的未知特征向量,将未知特征向量作为次分枝的一个叶子节点,利用公式(1)计算此次分枝下所有叶子节点的质心,即此次分枝下所有未知特征向量的均值向量;
其中,xi为次分枝下未知特征向量,l为次分枝下叶子节点数量,c为质心。
步骤五:依据马氏距离算法,如公式(2),计算未知特征向量到质心的马氏距离,更新距离门限。
其中,S为协方差矩阵。
步骤六:若在预设的时间间隔内无新的叶子节点出现,则结束算法,获得最终的特征关联决策树、每个次分枝的质心和距离门限。否则,转到步骤二。
参见图5,示出了本发明方法中异常判定阶段的执行过程实施示意图。通过对特征关联决策树的搜索和马氏距离的比较,实现对实时通信行为的异常判定。异常判定的具体步骤如下:
步骤一:实时捕获控制系统中的通信数据,对数据进行预处理,包括通信内容重建、特征提取以及特征关联标识计算,生成已知特征向量、特征关联标识和未知特征向量;
步骤二:利用多模式匹配算法,对特征关联决策树进行搜索,分别查找已知特征向量和特征关联标识所对应的主分枝和次分枝,若成功,则转到Step 3,否则,控制系统通信中出现异常,产生报警;
步骤三:利用马氏距离算法,计算未知特征向量到质心的距离;
步骤四:进行距离比较,若此距离小于距离门限,则转到步骤一,否则,控制系统通信中出现异常,产生报警。
Claims (9)
1.一种基于特征关联的有限知工业通信协议异常行为检测方法,其特征在于,包括以下两个阶段:
决策树构建阶段:首先捕获工业控制网络中原始通信数据包,进行通信内容重建,然后从通信交互内容中进行特征提取,获得已知特征向量和未知特征向量,并计算特征关联标识,最后构建特征关联决策树,确定最终的特征关联决策树、质心和距离门限;
异常判定阶段:首先实时捕获工业控制网络中原始通信数据包,进行数据预处理,生成已知特征向量、未知特征向量和特征关联标识,然后进行决策树查找和马氏距离计算,通过与距离门限对比,判定是否出现异常通信行为并报警。
2.根据权利要求1所述的一种基于特征关联的有限知工业通信协议异常行为检测方法,其特征在于,所述通信内容重建通过<源IP、目的IP、源端口、目的端口、应用协议类型>对每一次通信交互进行标识,将属于同一次通信交互的数据包应用数据载荷按时间顺序排列,构成通信交互内容。
3.根据权利要求1所述的一种基于特征关联的有限知工业通信协议异常行为检测方法,其特征在于,所述特征提取包括已知特征提取和未知特征提取两部分。
4.根据权利要求3所述的一种基于特征关联的有限知工业通信协议异常行为检测方法,其特征在于,所述已知特征提取采用深度包解析技术在通信交互内容的已知部分中获得如功能字段、地址字段等信息,形成已知特征向量。
5.根据权利要求3所述的一种基于特征关联的有限知工业通信协议异常行为检测方法,其特征在于,所述未知特征提取采用N-gram模型,将通信交互内容中未知部分映射到一个有限的未知特征空间,然后通过Chi-Squares算法进行相似性合并,形成新的简化的未知特征空间,最后将空间中所有特征按照出现频率的降序排列组成未知特征向量。
6.根据权利要求1所述的一种基于特征关联的有限知工业通信协议异常行为检测方法,其特征在于,所述特征关联标识计算是在未知特征空间中选取出现频率最高的未知特征作为关键特征元素,与已知特征向量进行散列运算,生成特征关联标识,从而实现已知特征与未知特征的绑定。
7.根据权利要求1所述的一种基于特征关联的有限知工业通信协议异常行为检测方法,其特征在于,所述构建特征关联决策树是将已知特征向量作为决策树的主分枝,特征关联标识作为决策树的次分枝,未知特征向量作为决策树的叶子节点。
8.根据权利要求1或7所述的一种基于特征关联的有限知工业通信协议异常行为检测方法,其特征在于,所述特征关联决策树的构建过程如下:
步骤一:创建特征关联决策树的根;
步骤二:根据某一通信交互内容的已知特征向量,创建决策树的主分枝;
步骤三:根据此通信交互内容的特征关联标识,在主分枝下创建新的次分枝代表此特征关联标识;
步骤四:获取此通信交互内容的未知特征向量,将未知特征向量作为次分枝的一个叶子节点,并计算此次分枝下所有叶子节点的质心;
步骤五:利用马氏距离算法,计算未知特征向量到质心的马氏距离,更新距离门限;
步骤六:若在预设的时间间隔内无新的叶子节点出现,则结束算法,获得最终的特征关联决策树、每个次分枝的质心和距离门限。否则,转到步骤二。
9.根据权利要求1所述的一种基于特征关联的有限知工业通信协议异常行为检测方法,其特征在于,所述异常判定阶段的执行过程如下:
步骤一:实时捕获控制系统中原始通信数据,对数据进行预处理,生成已知特征向量、特征关联标识和未知特征向量;
步骤二:利用多模式匹配算法,对特征关联决策树进行搜索,分别查找已知特征向量和特征关联标识所对应的主分枝和次分枝,若成功,则转到步骤三,否则,产生报警;
步骤三:利用马氏距离算法,计算未知特征向量到质心的距离;
步骤四:进行距离比较,若此距离小于距离门限,则转到步骤一,否则,控制系统通信中出现异常,产生报警。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810458144.XA CN108737410B (zh) | 2018-05-14 | 2018-05-14 | 一种基于特征关联的有限知工业通信协议异常行为检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810458144.XA CN108737410B (zh) | 2018-05-14 | 2018-05-14 | 一种基于特征关联的有限知工业通信协议异常行为检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108737410A true CN108737410A (zh) | 2018-11-02 |
| CN108737410B CN108737410B (zh) | 2021-04-13 |
Family
ID=63938319
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810458144.XA Active CN108737410B (zh) | 2018-05-14 | 2018-05-14 | 一种基于特征关联的有限知工业通信协议异常行为检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108737410B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109587159A (zh) * | 2018-12-20 | 2019-04-05 | 国家计算机网络与信息安全管理中心 | 一种综合工控安全测评系统与方法 |
| CN109766992A (zh) * | 2018-12-06 | 2019-05-17 | 北京工业大学 | 基于深度学习的工控异常检测及攻击分类方法 |
| CN110086810A (zh) * | 2019-04-29 | 2019-08-02 | 西安交通大学 | 基于特征行为分析的被动式工控设备指纹识别方法及装置 |
| CN110266680A (zh) * | 2019-06-17 | 2019-09-20 | 辽宁大学 | 一种基于双重相似性度量的工业通信异常检测方法 |
| CN111092889A (zh) * | 2019-12-18 | 2020-05-01 | 贾海芳 | 分布式数据节点异常行为检测方法、装置及服务器 |
| CN111353352A (zh) * | 2018-12-24 | 2020-06-30 | 杭州海康威视数字技术股份有限公司 | 异常行为检测方法及装置 |
| WO2020143226A1 (zh) * | 2019-01-07 | 2020-07-16 | 浙江大学 | 一种基于集成学习的工业控制系统入侵检测方法 |
| CN111767315A (zh) * | 2020-06-29 | 2020-10-13 | 北京奇艺世纪科技有限公司 | 黑产识别方法、装置、电子设备及存储介质 |
| CN112671726A (zh) * | 2020-12-10 | 2021-04-16 | 国网思极网安科技(北京)有限公司 | 工业控制协议解析方法、装置、电子设备和存储介质 |
| CN112688946A (zh) * | 2020-12-24 | 2021-04-20 | 工业信息安全(四川)创新中心有限公司 | 异常检测特征的构造方法、模块、存储介质、设备及系统 |
| CN112911004A (zh) * | 2021-02-03 | 2021-06-04 | 北京寄云鼎城科技有限公司 | 一种保证物联网系统安全运转的方法、装置和计算设备 |
| CN113361888A (zh) * | 2021-05-29 | 2021-09-07 | 北京威努特技术有限公司 | 一种基于任务树的工业环境资产安全管理方法及系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101951363A (zh) * | 2010-08-24 | 2011-01-19 | 吉林大学 | 一种安全审计中的决策树生成方法 |
| CN104125106A (zh) * | 2013-04-23 | 2014-10-29 | 中国银联股份有限公司 | 基于分类决策树的网络纯净性检测装置及方法 |
| CN104981002A (zh) * | 2015-05-07 | 2015-10-14 | 水利部南京水利水文自动化研究所 | 一种无线传感器网络中汇聚节点的位置确定方法 |
| CN106230772A (zh) * | 2016-07-07 | 2016-12-14 | 国网青海省电力公司 | 工业互联网异常行为挖掘方案 |
| CN106713324A (zh) * | 2016-12-28 | 2017-05-24 | 北京奇艺世纪科技有限公司 | 一种流量检测方法及装置 |
| CN106789912A (zh) * | 2016-11-22 | 2017-05-31 | 清华大学 | 基于分类回归决策树的路由器数据平面异常行为检测方法 |
| US20170193291A1 (en) * | 2015-12-30 | 2017-07-06 | Ryan Anthony Lucchese | System and Methods for Determining Language Classification of Text Content in Documents |
| CN107438052A (zh) * | 2016-05-26 | 2017-12-05 | 中国科学院沈阳自动化研究所 | 一种面向未知工业通信协议规约的异常行为检测方法 |
-
2018
- 2018-05-14 CN CN201810458144.XA patent/CN108737410B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101951363A (zh) * | 2010-08-24 | 2011-01-19 | 吉林大学 | 一种安全审计中的决策树生成方法 |
| CN104125106A (zh) * | 2013-04-23 | 2014-10-29 | 中国银联股份有限公司 | 基于分类决策树的网络纯净性检测装置及方法 |
| CN104981002A (zh) * | 2015-05-07 | 2015-10-14 | 水利部南京水利水文自动化研究所 | 一种无线传感器网络中汇聚节点的位置确定方法 |
| US20170193291A1 (en) * | 2015-12-30 | 2017-07-06 | Ryan Anthony Lucchese | System and Methods for Determining Language Classification of Text Content in Documents |
| CN107438052A (zh) * | 2016-05-26 | 2017-12-05 | 中国科学院沈阳自动化研究所 | 一种面向未知工业通信协议规约的异常行为检测方法 |
| CN106230772A (zh) * | 2016-07-07 | 2016-12-14 | 国网青海省电力公司 | 工业互联网异常行为挖掘方案 |
| CN106789912A (zh) * | 2016-11-22 | 2017-05-31 | 清华大学 | 基于分类回归决策树的路由器数据平面异常行为检测方法 |
| CN106713324A (zh) * | 2016-12-28 | 2017-05-24 | 北京奇艺世纪科技有限公司 | 一种流量检测方法及装置 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109766992A (zh) * | 2018-12-06 | 2019-05-17 | 北京工业大学 | 基于深度学习的工控异常检测及攻击分类方法 |
| CN109587159A (zh) * | 2018-12-20 | 2019-04-05 | 国家计算机网络与信息安全管理中心 | 一种综合工控安全测评系统与方法 |
| CN111353352A (zh) * | 2018-12-24 | 2020-06-30 | 杭州海康威视数字技术股份有限公司 | 异常行为检测方法及装置 |
| CN111353352B (zh) * | 2018-12-24 | 2023-05-09 | 杭州海康威视数字技术股份有限公司 | 异常行为检测方法及装置 |
| WO2020143226A1 (zh) * | 2019-01-07 | 2020-07-16 | 浙江大学 | 一种基于集成学习的工业控制系统入侵检测方法 |
| CN110086810A (zh) * | 2019-04-29 | 2019-08-02 | 西安交通大学 | 基于特征行为分析的被动式工控设备指纹识别方法及装置 |
| CN110086810B (zh) * | 2019-04-29 | 2020-08-18 | 西安交通大学 | 基于特征行为分析的被动式工控设备指纹识别方法及装置 |
| CN110266680B (zh) * | 2019-06-17 | 2021-08-24 | 辽宁大学 | 一种基于双重相似性度量的工业通信异常检测方法 |
| CN110266680A (zh) * | 2019-06-17 | 2019-09-20 | 辽宁大学 | 一种基于双重相似性度量的工业通信异常检测方法 |
| CN111092889A (zh) * | 2019-12-18 | 2020-05-01 | 贾海芳 | 分布式数据节点异常行为检测方法、装置及服务器 |
| CN111767315A (zh) * | 2020-06-29 | 2020-10-13 | 北京奇艺世纪科技有限公司 | 黑产识别方法、装置、电子设备及存储介质 |
| CN111767315B (zh) * | 2020-06-29 | 2023-07-04 | 北京奇艺世纪科技有限公司 | 黑产识别方法、装置、电子设备及存储介质 |
| CN112671726A (zh) * | 2020-12-10 | 2021-04-16 | 国网思极网安科技(北京)有限公司 | 工业控制协议解析方法、装置、电子设备和存储介质 |
| CN112688946A (zh) * | 2020-12-24 | 2021-04-20 | 工业信息安全(四川)创新中心有限公司 | 异常检测特征的构造方法、模块、存储介质、设备及系统 |
| CN112688946B (zh) * | 2020-12-24 | 2022-06-24 | 工业信息安全(四川)创新中心有限公司 | 异常检测特征的构造方法、模块、存储介质、设备及系统 |
| CN112911004A (zh) * | 2021-02-03 | 2021-06-04 | 北京寄云鼎城科技有限公司 | 一种保证物联网系统安全运转的方法、装置和计算设备 |
| CN113361888A (zh) * | 2021-05-29 | 2021-09-07 | 北京威努特技术有限公司 | 一种基于任务树的工业环境资产安全管理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108737410B (zh) | 2021-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108737410A (zh) | 一种基于特征关联的有限知工业通信协议异常行为检测方法 | |
| CN107438052B (zh) | 一种面向未知工业通信协议规约的异常行为检测方法 | |
| Presekal et al. | Attack graph model for cyber-physical power systems using hybrid deep learning | |
| CN110909811B (zh) | 一种基于ocsvm的电网异常行为检测、分析方法与系统 | |
| WO2020143226A1 (zh) | 一种基于集成学习的工业控制系统入侵检测方法 | |
| Shang et al. | Intrusion detection algorithm based on OCSVM in industrial control system | |
| CN117411703B (zh) | 一种面向Modbus协议的工业控制网络异常流量检测方法 | |
| Lai et al. | Industrial anomaly detection and attack classification method based on convolutional neural network | |
| Shang et al. | Research on industrial control anomaly detection based on FCM and SVM | |
| CN108055282A (zh) | 基于自学习白名单的工控异常行为分析方法及系统 | |
| Liu et al. | A novel intrusion detection algorithm for industrial control systems based on CNN and process state transition | |
| WO2016082284A1 (zh) | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 | |
| Wan et al. | Event-Based Anomaly Detection for Non-Public Industrial Communication Protocols in SDN-Based Control Systems. | |
| CN111404914A (zh) | 一种特定攻击场景下泛在电力物联网终端安全防护方法 | |
| CN110719250B (zh) | 基于PSO-SVDD的Powerlink工控协议异常检测方法 | |
| CN113821793B (zh) | 基于图卷积神经网络的多阶段攻击场景构建方法及系统 | |
| CN110266680B (zh) | 一种基于双重相似性度量的工业通信异常检测方法 | |
| CN113067798B (zh) | Ics入侵检测方法、装置、电子设备和存储介质 | |
| CN111669354A (zh) | 基于机器学习的威胁情报工业防火墙 | |
| Xu et al. | [Retracted] DDoS Detection Using a Cloud‐Edge Collaboration Method Based on Entropy‐Measuring SOM and KD‐Tree in SDN | |
| CN109743339B (zh) | 电力厂站的网络安全监测方法和装置、计算机设备 | |
| Deng et al. | Intrusion detection method based on support vector machine access of modbus TCP protocol | |
| CN111669396B (zh) | 一种软件定义物联网自学习安全防御方法及系统 | |
| CN113542222B (zh) | 一种基于双域vae的零日多步威胁识别方法 | |
| CN116614257A (zh) | 基于二次融合终端的威胁感知方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230302 Address after: 110167 room 246-113, floor 2, No. 109-1 (No. 109-1), quanyun Road, Shenyang area, China (Liaoning) pilot Free Trade Zone, Shenyang, Liaoning Patentee after: Liaoning Industrial Control Technology Co.,Ltd. Address before: 110136 58 Shenbei New Area Road South, Shenyang, Liaoning. Patentee before: LIAONING University |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20231020 Address after: 110000 Room 301, No. 73, Yalujiang East Street, Huanggu District, Shenyang, Liaoning 1002 Patentee after: Shenyang bangcui Technology Co.,Ltd. Address before: 110167 room 246-113, floor 2, No. 109-1 (No. 109-1), quanyun Road, Shenyang area, China (Liaoning) pilot Free Trade Zone, Shenyang, Liaoning Patentee before: Liaoning Industrial Control Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right |