CN109143848A - 基于fcm-gasvm的工业控制系统入侵检测方法 - Google Patents
基于fcm-gasvm的工业控制系统入侵检测方法 Download PDFInfo
- Publication number
- CN109143848A CN109143848A CN201710498512.9A CN201710498512A CN109143848A CN 109143848 A CN109143848 A CN 109143848A CN 201710498512 A CN201710498512 A CN 201710498512A CN 109143848 A CN109143848 A CN 109143848A
- Authority
- CN
- China
- Prior art keywords
- data
- fcm
- gasvm
- control system
- industrial control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B13/00—Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion
- G05B13/02—Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric
- G05B13/04—Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric involving the use of models or simulators
- G05B13/042—Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric involving the use of models or simulators in which a parameter or coefficient is automatically adjusted to optimise the performance
Landscapes
- Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及基于FCM‑GASVM的工业控制系统入侵检测方法,具体为基于FCM‑GASVM算法提出了一种工业控制系统应用层网络入侵检测方法,该方法将无监督的模糊C‑均值聚类和有监督的支持向量机相结合,提取工业控制系统Modbus/TCP协议的通信流量数据,设计了一种先将通信数据利用FCM聚类,后将满足阈值条件的部分数据进一步由遗传算法优化的支持向量机分类的方法。该方法将无监督学习和有监督学习完美结合,并且在不需要提前知道类别标签的前提下即可有效的降低训练时间,提高分类精度。
Description
技术领域
本发明涉及一种基于FCM-GASVM的工业控制系统入侵检测方法,利用模糊C均值和遗传算法优化的支持向量机对异常行为进行检测,属于工业控制网络安全领域。
背景技术
传统的工业控制系统一般以厂区为单位,相互之间是独立的,与外界之间没有物理连接。但是随着工业信息化和网络技术的迅速发展,工业控制系统越来越多的采用通用硬件和通用软件,工控系统的开放性与日俱增,系统安全漏洞和缺陷容易被病毒所利用,然而工业控制系统又应用于国家的电力、交通、石油、取暖、制药等多种大型制造行业,一旦遭受攻击会带来巨大的损失,因此需要有效的方法确保工控系统的网络安全。
保护工业控制系统的网络安全有多种方式,最常用的是采用防火墙、日志处理等联动方式,然而防火墙是基于第三方的路由访问控制,不能检测来自系统内部的攻击,只能起到过滤的作用,无法有效降低系统的安全风险。入侵检测(Intrusion Detection,ID)作为一种主动防御技术,在检测外部攻击的同时又能很好的检测系统内部攻击,将防护、检测、响应有效的融为一体,为工控网络的安全提供更加可靠的保障。
入侵检测技术可以有效的应用在工业控制系统中,国内外研究学者和专家也对其进行了大量的研究,本文通过分析Modbus的通信行为,研究基于半监督分簇策略的工业控制网络入侵检测算法,建立工业控制系统的入侵检测模型,对异常入侵做出及时的检测,从而实现对工控系统的保护。
发明内容
有鉴于此,本发明的目的是提供一种基于FCM-SVM的工业控制入侵检测方法,实现了对工控攻击行为的检测。
本发明解决其技术问题所采用的技术方案是:一种基于FCM-GASVM的工业控制系统入侵检测方法,包括以下步骤:
特征提取:获取通信流量数据包,并提取最能反映数据特征的属性;
特征构造:根据入侵模式构造工业基本特征;
数据预处理:按时间顺序对所提取和构造的数据包进行排序,随机分割成不同的序列,去除各序列中存在的冗余数据包后,对每个序列里的数据进行归一化得到数据向量;
FCM聚类:将数据向量分簇并计算簇的聚类中心,根据每一个数据向量与聚类中心的距离得到数据集作为训练集A,形成训练模型;
GASVM:将不满足阈值条件的数据集通过遗传算法分别得到惩罚因子C和核函数参数g,通过支持向量机检测,得到检测模型;
FCM-GASVM:根据训练模型和检测模型建立入侵检测模型进行异常检测。
所述特征提取包括以下步骤:
抓取Modbus/TCP通信流量数据包,对需要提取的Modbus/TCP属性标号,查询所标号的属性的数据帧,计算数据帧头中的地址,提取标号属性的数据值。
所述特征构造包括:若干秒内功能码请求次数,若干秒内访问地址次数,若干秒内连接同一设备次数。
所述归一化包括以下步骤:
采用最小最大标准化的方法将不同单位和量纲的数据归一成统一的形式:
其中,Max和min分别表示某序列中数据的最大值、最小值;max’和min’分别表示映射新空间的区间(min’,max’);v为该序列内的每个数据,表示输入向量,;v'为数据向量,表示输出向量。
所述FCM聚类包括以下步骤:
对数据向量进行FCM聚类,得到每个簇的聚类中心O,所有的正常聚类中心标记为O+,所有的异常聚类中心标记为O-,正常集合标记为A+,异常集合标记为A-,设置类别标签;λ表示阈值;
对于每个数据向量xi,计算与聚类中心的距离,判定数据向量的隶属度和目标函数,若满足xi与O+的距离小于λ,则标记该数据向量xi∈A+,否则标记xi∈A-;
构成训练集A=A+∪A-。
所述聚类中心为:
隶属度为:
目标函数为:
其中,uij为个体xi属于第j类的模糊隶属度;m为模糊权重指数;vj为第j类的聚类中心;n为数据向量总个数;c为类别数。
所述GASVM算法包括以下步骤:
对不满足阈值条件的数据集进行参数初始化,计算个体适应度,对其进行选择、交叉、变异操作,得到最优的惩罚因子C和核函数参数g;
将最优的惩罚因子C和核函数参数g带入支持向量机;
将FCM聚类得到的类别标签赋予给支持向量;
根据构造对偶问题和决策函数得到分类。
所述对偶问题为:
其中,Q(α)表示对偶运算,α=(α1,α2,...,αn)表示拉格朗日算子,K(xi,xj)表示高斯径向基核函数,得解α*=(α1 *,α2 *,...,αn *);n表示数据向量总个数;l=n;
决策函数为:
其中,b*是支持向量机的最终决策函数的阈值,sgn()表示符号函数;b=b*,yi∈R={-1,1},R表示实数,yj表示分类的标签,正常记为1,异常记为-1。
所述FCM-GASVM算法包括以下步骤:
根据训练模型和检测模型得到入侵检测模型的分类准确率。
本发明具有以下有益效果及优点:
1.本发明选取工控通信协议Modbus/TCP为主要研究对象,对工控数据进行了提取和构造,提出了一种基于无监督聚类和遗传算法优化的有监督支持向量机的工控入侵检测方法,建立了半监督的工控入侵检测模型,该模型适合于处理小样本数据的分类问题。
2.本发明提出的入侵检测模型在不需要提前知道标签的前提下就可对工控数据进行有效的检测,打破了传统的必须知道类别标签的局限性。
3.本文提出的FCM-GASVM模型将无监督学习和有监督学习完美结合,有效的降低了训练时间,提高了分类精度。
附图说明
图1是基于FCM-GASVM的工控入侵检测算法整体框架图;
图2是FCM-GASVM入侵检测模型。
具体实施方式
下面结合实施例对本发明做进一步的详细说明。
基于FCM-SVM的工业控制入侵检测方法,包括以下步骤:
步骤一:首先用wireshark抓取Modbus/TCP通信流量数据包,对于每一个ModbusTCP/IP协议均有多种属性,从中提取出最能反映数据特征的属性。
步骤二:根据入侵模式,构造工业基本特征,10秒内功能码请求次数,20秒内访问地址次数,10秒内连接同一设备次数。
步骤三:按时间顺序对提取和构造的数据包进行排序,随机分割成不同的序列,去除冗余数据,对数据进行归一化、采用最小最大标准化的方法将不同单位和量纲的数据归一成统一的形式。
步骤四:将工控网络数据分簇,计算簇的聚类中心,靠近聚类中心的数据向量认为是正确分类的,因此计算每一个数据向量与聚类中心的距离,得到训练集A,形成训练模型。
步骤五:给定阈值ε,将满足阈值条件的数据集传送GA进行惩罚因子C和核函数参数g的优化,将满足参数优化停止准则的参数设定为SVM最优参数,SVM继续检测,得到检测模型。
步骤六:建立工业控制入侵检测模型进行异常检测。
特征提取是用wireshark抓取Modbus/TCP通信流量数据包,对需要提取的Modbus/TCP属性标号,查询所标号的属性的数据帧,计算数据帧头中的地址,提取标号属性的数据值。
特征构造是主机发送正常请求时会读取功能码数据信息,攻击者可能会利用这一行为访问功能码数据,则利用功能码特征可能就无法判断是不是入侵行为。功能码03的功能是读取保持寄存器当前二进制值,若10秒内连续6次产生功能码03的请求信息,则不符合工业控制系统周期性的操作模式,则认为此请求为入侵行为。根据入侵模式,构造工业基本特征,10秒内功能码请求次数,20秒内访问地址次数,10秒内连接同一设备次数。
所述数据预处理包括以下步骤:
按时间顺序对提取和构造的数据包进行排序,随机分割成不同的序列。保证样本的代表性。
去除冗余数据,对数据进行归一化、采用最小最大标准化的方法将不同单位和量纲的数据归一成统一的形式。
对通信数据先利用FCM聚类,其步骤如下:
对提取和构造出的工控通信流量数据进行FCM聚类,得到每个簇的聚类中心O,判定数据的隶属度和目标函数,所有的正常聚类中心标记为O+,所有的表示入侵的异常聚类中心标记为O-,正常集合标记为A+,异常集合标记为A-,设置类别标签。
对于每个数据向量xi,计算与聚类中心的距离,若满足distance(xi,O+)<λ,则标记该数据向量xi∈A+,否则标记xi∈A-。
重复上述步骤,直至数据集X中的每个数据向量标记入集合中。
训练集A=A+∪A-。
所述的GASVM算法检测,其步骤如下:
设置GA算法在无法满足参数优化停止准则情况下的最大迭代次数和遗传次数。
对不满足阈值条件(distance(xi,O+)大于等于λ)的数据集进行参数初始化,计算个体适应度,对其进行选择、交叉、变异操作,得到最优参数。
设定惩罚因子C和核函数参数g的最优值。
将FCM得到的类别标签赋予给支持向量。
构造对偶问题和决策函数。
基于FCM-GASVM算法建立入侵检测模型,其步骤如下:
根据第五步介绍的FCM聚类步骤得到训练模型,根据第六步介绍的GASVM算法步骤得到检测模型。将两种算法进行结合,得到FCM-GASVM入侵检测模型的分类准确率。
一种基于FCM-GASVM的工业控制系统入侵检测方法,包括以下步骤:
特征提取:首先用wireshark抓取Modbus/TCP通信流量数据包,对于每一个ModbusTCP/IP协议均有多种属性,从中提取出最能反映数据特征的属性。
特征构造:根据入侵模式,构造工业基本特征,10秒内功能码请求次数,20秒内访问地址次数,10秒内连接同一设备次数。
数据预处理:按时间顺序对提取和构造的数据包进行排序,随机分割成不同的序列,去除冗余数据,对数据进行归一化、采用最小最大标准化的方法将不同单位和量纲的数据归一成统一的形式。
FCM聚类:将工控网络数据分簇,计算簇的聚类中心,靠近聚类中心的数据向量认为是正确分类的,因此计算每一个数据向量与聚类中心的距离,得到训练集A,形成训练模型。
GASVM:给定阈值ε,将满足阈值条件的数据集传送GA进行惩罚因子C和核函数参数g的优化,将满足参数优化停止准则的参数设定为SVM最优参数,SVM继续检测,得到检测模型。
FCM-GASVM:建立工业控制入侵检测模型进行异常检测。如图2所示。
特征提取包括以下步骤:
用wireshark抓取Modbus/TCP通信流量数据包,对需要提取的Modbus/TCP属性标号,查询所标号的属性的数据帧,计算数据帧头中的地址,提取标号属性的数据值。
特征构造包括以下步骤:
主机发送正常请求时会读取功能码数据信息,攻击者可能会利用这一行为访问功能码数据,则利用功能码特征可能就无法判断是不是入侵行为。
功能码03的功能是读取保持寄存器当前二进制值,若10秒内连续6次产生功能码03的请求信息,则不符合工业控制系统周期性的操作模式,则认为此请求为入侵行为。
根据入侵模式,构造工业基本特征,10秒内功能码请求次数,20秒内访问地址次数,10秒内连接同一设备次数。
数据预处理包括以下步骤:
按时间顺序对提取和构造的数据包进行排序,随机分割成不同的序列。保证样本的代表性。
去除冗余数据,对数据进行归一化、采用最小最大标准化的方法将不同单位和量纲的数据归一成统一的形式。
Max和min代表的是数据集中的最大值、最小值;max’和min’代表的是映射新空间的区间(min’,max’);v为输入向量;v'为输出向量。
所述FCM聚类包括以下步骤:
对提取和构造出的工控通信流量数据进行FCM聚类,得到每个簇的聚类中心O,所有的正常聚类中心标记为O+,所有的异常聚类中心标记为O-,正常集合标记为A+,异常集合标记为A-,设置类别标签。
对于每个数据向量xi,计算与聚类中心的距离,判定数据的隶属度和目标函数,若满足distance(xi,O+)<λ,则标记该数据向量xi∈A+,否则标记xi∈A-。
重复上述步骤,直至数据集X中的每个数据向量标记入集合中。
训练集A=A+∪A-。
GASVM算法包括以下步骤:
设置GA算法在无法满足参数优化停止准则情况下的最大迭代次数和遗传次数。
对不满足阈值条件的数据集进行参数初始化,计算个体适应度,对其进行选择、交叉、变异操作,得到最优参数。
设定惩罚因子C和核函数参数g的最优值。
将FCM得到的类别标签赋予给支持向量。
构造对偶问题和决策函数。
FCM-GASVM算法包括以下步骤:
根据第五步介绍的FCM聚类步骤得到训练模型,根据第六步介绍的GASVM算法步骤得到检测模型。将两种算法进行结合,得到FCM-GASVM入侵检测模型的分类准确率。
聚类中心为:
隶属度为:
目标函数为:
其中,uij为个体xi属于第j类的模糊隶属度;m为模糊权重指数;vj为第j类的聚类中心;n为数据向量总个数;c为类别数;
对偶问题为:
其中,Q(α)表示对偶运算,α=(α1,α2,...,αn)表示拉格朗日算子,K(xi,xj)表示高斯径向基核函数,得解α*=(α1*,α2*,...,αn*)。l表示i=1,…,n中目前取到的值。
决策函数为:
其中,b*是支持向量机的最终决策函数的阈值,sgn()表示符号函数。ω和b*一样表示支持向量机的最终决策函数的阈值,Φ(x)表示x的约束函数。b=b*,yi∈R={-1,1},yj表示分类的标签,正常记为1,异常记为-1。
如图1所示,基于FCM-GASVM的工控入侵检测方法,包括:
a.特征提取、构造和预处理部分
1、Modbus/TCP应用数据单元主要包括Modbus应用协议报文头(MBAP)和协议数据单元(PDU)。MBAP包括事务处理标识码符、协议标识符、长度、单元标识符。PDU包括功能码和数据。
2、首先用wireshark抓取Modbus/TCP通信流量数据包,对于每一个Modbus TCP/IP协议均有多种属性,从中提取出最能反映数据特征的属性。
3、根据入侵模式,构造工业基本特征,10秒内功能码请求次数,20秒内访问地址次数,10秒内连接同一设备次数。
4、按时间顺序对提取和构造的数据包进行排序,随机分割成不同的序列。保证样本的代表性。
去除冗余数据,对数据进行归一化、采用最小最大标准化的方法将不同单位和量纲的数据归一成统一的形式。
Max和min代表的是数据集中的最大值、最小值;max’和min’代表的是映射新空间的区间(min’,max’);v为输入向量;v'为输出向量。
b.训练模型
1、对提取和构造出的工控通信流量数据进行FCM聚类,得到每个簇的聚类中心O,所有的正常聚类中心标记为O+,所有的异常聚类中心标记为O-,正常集合标记为A+,异常集合标记为A-,设置类别标签。聚类中心为:
其中,uij为个体xi属于第j类的模糊隶属度。
2、对于每个数据向量xi,计算与聚类中心的距离,判定数据的隶属度和目标函数,若满足distance(xi,O+)<λ,则标记该数据向量xi∈A+,否则标记xi∈A-。隶属度和目标函数公式如下:
其中,uij为个体xi属于第j类的模糊隶属度;m为模糊权重指数;vj为第j类的聚类中心;n为数据向量总个数;c为类别数;
3、重复上述步骤,直至数据集X中的每个数据向量标记入集合中。训练集A=A+∪A-。
c.检测模型:
1对不满足阈值条件的数据集进行参数初始化,计算个体适应度,对其进行选择、交叉、变异操作,得到最优参数。
2设定惩罚因子C和核函数参数g的最优值。
3将FCM得到的类别标签赋予给支持向量。
4构造对偶问题和决策函数
其中,Q(α)表示对偶运算,α=(α1,α2,...,αn)表示拉格朗日算子,K(xi,xj)表示高斯径向基核函数,得解α*=(α1 *,α2 *,...,αn *)。l表示i=1,…,n中目前取到的值。
决策函数为:
其中,b*是支持向量机的最终决策函数的阈值,sgn()表示符号函数。
5根据FCM得到训练模型,GASVM得到检测模型。计算FCM-GASVM入侵检测模型的分类准确率。
Claims (9)
1.一种基于FCM-GASVM的工业控制系统入侵检测方法,其特征在于,包括以下步骤:
特征提取:获取通信流量数据包,并提取最能反映数据特征的属性;
特征构造:根据入侵模式构造工业基本特征;
数据预处理:按时间顺序对所提取和构造的数据包进行排序,随机分割成不同的序列,去除各序列中存在的冗余数据包后,对每个序列里的数据进行归一化得到数据向量;
FCM聚类:将数据向量分簇并计算簇的聚类中心,根据每一个数据向量与聚类中心的距离得到数据集作为训练集A,形成训练模型;
GASVM:将不满足阈值条件的数据集通过遗传算法分别得到惩罚因子C和核函数参数g,通过支持向量机检测,得到检测模型;
FCM-GASVM:根据训练模型和检测模型建立入侵检测模型进行异常检测。
2.根据权利要求1所述的基于FCM-GASVM的工业控制系统入侵检测方法,其特征在于,所述特征提取包括以下步骤:
抓取Modbus/TCP通信流量数据包,对需要提取的Modbus/TCP属性标号,查询所标号的属性的数据帧,计算数据帧头中的地址,提取标号属性的数据值。
3.根据权利要求1所述的基于FCM-GASVM的工业控制系统入侵检测方法,其特征在于,所述特征构造包括:若干秒内功能码请求次数,若干秒内访问地址次数,若干秒内连接同一设备次数。
4.根据权利要求1所述的基于FCM-GASVM的工业控制系统入侵检测方法,其特征在于,所述归一化包括以下步骤:
采用最小最大标准化的方法将不同单位和量纲的数据归一成统一的形式:
其中,Max和min分别表示某序列中数据的最大值、最小值;max’和min’分别表示映射新空间的区间(min’,max’);v为该序列内的每个数据,表示输入向量,;v'为数据向量,表示输出向量。
5.根据权利要求1所述的基于FCM-GASVM的工业控制系统入侵检测方法,其特征在于,所述FCM聚类包括以下步骤:
对数据向量进行FCM聚类,得到每个簇的聚类中心O,所有的正常聚类中心标记为O+,所有的异常聚类中心标记为O-,正常集合标记为A+,异常集合标记为A-,设置类别标签;λ表示阈值;
对于每个数据向量xi,计算与聚类中心的距离,判定数据向量的隶属度和目标函数,若满足xi与O+的距离小于λ,则标记该数据向量xi∈A+,否则标记xi∈A-;
构成训练集A=A+∪A-。
6.根据权利要求5所述的基于FCM-GASVM的工业控制系统入侵检测方法,其特征在于,所述聚类中心为:
隶属度为:
目标函数为:
其中,uij为个体xi属于第j类的模糊隶属度;m为模糊权重指数;vj为第j类的聚类中心;n为数据向量总个数;c为类别数。
7.根据权利要求1所述的基于FCM-GASVM的工业控制系统入侵检测方法,其特征在于,所述GASVM算法包括以下步骤:
对不满足阈值条件的数据集进行参数初始化,计算个体适应度,对其进行选择、交叉、变异操作,得到最优的惩罚因子C和核函数参数g;
将最优的惩罚因子C和核函数参数g带入支持向量机;
将FCM聚类得到的类别标签赋予给支持向量;
根据构造对偶问题和决策函数得到分类。
8.根据权利要求7所述的基于FCM-GASVM的工业控制系统入侵检测方法,其特征在于,所述对偶问题为:
其中,Q(α)表示对偶运算,α=(α1,α2,...,αn)表示拉格朗日算子,K(xi,xj)表示高斯径向基核函数,得解α*=(α1 *,α2 *,...,αn *);n表示数据向量总个数;l=n;
决策函数为:
其中,b*是支持向量机的最终决策函数的阈值,sgn()表示符号函数;b=b*,yj表示分类的标签。
9.根据权利要求1所述的基于FCM-GASVM的工业控制系统入侵检测方法,其特征在于,所述FCM-GASVM算法包括以下步骤:
根据训练模型和检测模型得到入侵检测模型的分类准确率。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710498512.9A CN109143848A (zh) | 2017-06-27 | 2017-06-27 | 基于fcm-gasvm的工业控制系统入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710498512.9A CN109143848A (zh) | 2017-06-27 | 2017-06-27 | 基于fcm-gasvm的工业控制系统入侵检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109143848A true CN109143848A (zh) | 2019-01-04 |
Family
ID=64804852
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710498512.9A Pending CN109143848A (zh) | 2017-06-27 | 2017-06-27 | 基于fcm-gasvm的工业控制系统入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109143848A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109902740A (zh) * | 2019-02-27 | 2019-06-18 | 浙江理工大学 | 一种基于多算法融合并行的再学习工业控制入侵检测方法 |
CN111654874A (zh) * | 2020-06-03 | 2020-09-11 | 枣庄学院 | 一种无线传感网异常检测方法 |
CN111722955A (zh) * | 2020-08-21 | 2020-09-29 | 之江实验室 | 一种拟态工业控制器归一化裁决方法及装置 |
CN112583723A (zh) * | 2020-12-15 | 2021-03-30 | 东方红卫星移动通信有限公司 | 一种基于fcm的大规模路由网络表达方法 |
CN113949526A (zh) * | 2021-09-07 | 2022-01-18 | 中云网安科技有限公司 | 一种访问控制方法、装置、存储介质及电子设备 |
CN114362973A (zh) * | 2020-09-27 | 2022-04-15 | 中国科学院软件研究所 | 结合K-means和FCM聚类的流量检测方法及电子装置 |
CN114584377A (zh) * | 2022-03-04 | 2022-06-03 | 奇安信科技集团股份有限公司 | 流量异常检测方法、模型的训练方法、装置、设备及介质 |
CN115174193A (zh) * | 2022-06-30 | 2022-10-11 | 北京炼石网络技术有限公司 | 基于ga算法的数据安全入侵检测方法、装置及设备 |
CN115632995A (zh) * | 2022-12-19 | 2023-01-20 | 北京安帝科技有限公司 | 用于工控网络的数据特征提取方法、设备与计算机介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070068845A (ko) * | 2005-12-27 | 2007-07-02 | 삼성전자주식회사 | 네트워크 침입 탐지 시스템 및 그 탐지 방법 |
CN101980480A (zh) * | 2010-11-04 | 2011-02-23 | 西安电子科技大学 | 半监督异常入侵检测方法 |
CN103150580A (zh) * | 2013-03-18 | 2013-06-12 | 武汉大学 | 一种高光谱图像半监督分类方法及装置 |
CN104502103A (zh) * | 2014-12-07 | 2015-04-08 | 北京工业大学 | 一种基于模糊支持向量机的轴承故障诊断方法 |
CN104601565A (zh) * | 2015-01-07 | 2015-05-06 | 天津理工大学 | 一种智能优化规则的网络入侵检测分类方法 |
CN105704103A (zh) * | 2014-11-26 | 2016-06-22 | 中国科学院沈阳自动化研究所 | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 |
CN105703963A (zh) * | 2014-11-26 | 2016-06-22 | 中国科学院沈阳自动化研究所 | 基于pso-ocsvm的工业控制系统通信行为异常检测方法 |
CN105718948A (zh) * | 2016-01-20 | 2016-06-29 | 江南大学 | 基于信息浓缩的隐私保护svm分类方法 |
CN106022377A (zh) * | 2016-05-20 | 2016-10-12 | 中南大学 | 一种铁矿烧结料层透气性状态的在线预测方法 |
-
2017
- 2017-06-27 CN CN201710498512.9A patent/CN109143848A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070068845A (ko) * | 2005-12-27 | 2007-07-02 | 삼성전자주식회사 | 네트워크 침입 탐지 시스템 및 그 탐지 방법 |
CN101980480A (zh) * | 2010-11-04 | 2011-02-23 | 西安电子科技大学 | 半监督异常入侵检测方法 |
CN103150580A (zh) * | 2013-03-18 | 2013-06-12 | 武汉大学 | 一种高光谱图像半监督分类方法及装置 |
CN105704103A (zh) * | 2014-11-26 | 2016-06-22 | 中国科学院沈阳自动化研究所 | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 |
CN105703963A (zh) * | 2014-11-26 | 2016-06-22 | 中国科学院沈阳自动化研究所 | 基于pso-ocsvm的工业控制系统通信行为异常检测方法 |
CN104502103A (zh) * | 2014-12-07 | 2015-04-08 | 北京工业大学 | 一种基于模糊支持向量机的轴承故障诊断方法 |
CN104601565A (zh) * | 2015-01-07 | 2015-05-06 | 天津理工大学 | 一种智能优化规则的网络入侵检测分类方法 |
CN105718948A (zh) * | 2016-01-20 | 2016-06-29 | 江南大学 | 基于信息浓缩的隐私保护svm分类方法 |
CN106022377A (zh) * | 2016-05-20 | 2016-10-12 | 中南大学 | 一种铁矿烧结料层透气性状态的在线预测方法 |
Non-Patent Citations (5)
Title |
---|
CHENGHUA TANG等: "Detection and classification of anomaly intrusion using hierarchy clustering and SVM", 《SECURITY AND COMMUNICATION NETWORKS》 * |
尚文利: "基于优化单类支持向量机的工业控制系统入侵检测算法", 《信息与控制》 * |
田景文: "《人工神经网络算法研究及应用》", 31 July 2006, 北京理工大学出版社 * |
赵辉: "《利益攸关方个体视角下重点建设项目融资风险管理体系研究》", 30 November 2014, 天津大学出版社 * |
边莉: "《交叉熵算法在电子工程领域中的应用》", 31 August 2016, 西安电子科技大学出版社 * |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109902740A (zh) * | 2019-02-27 | 2019-06-18 | 浙江理工大学 | 一种基于多算法融合并行的再学习工业控制入侵检测方法 |
CN111654874A (zh) * | 2020-06-03 | 2020-09-11 | 枣庄学院 | 一种无线传感网异常检测方法 |
CN111722955A (zh) * | 2020-08-21 | 2020-09-29 | 之江实验室 | 一种拟态工业控制器归一化裁决方法及装置 |
CN111722955B (zh) * | 2020-08-21 | 2020-12-01 | 之江实验室 | 一种拟态工业控制器归一化裁决方法及装置 |
CN114362973A (zh) * | 2020-09-27 | 2022-04-15 | 中国科学院软件研究所 | 结合K-means和FCM聚类的流量检测方法及电子装置 |
CN114362973B (zh) * | 2020-09-27 | 2023-02-28 | 中国科学院软件研究所 | 结合K-means和FCM聚类的流量检测方法及电子装置 |
CN112583723A (zh) * | 2020-12-15 | 2021-03-30 | 东方红卫星移动通信有限公司 | 一种基于fcm的大规模路由网络表达方法 |
CN112583723B (zh) * | 2020-12-15 | 2022-08-26 | 东方红卫星移动通信有限公司 | 一种基于fcm的大规模路由网络表达方法 |
CN113949526A (zh) * | 2021-09-07 | 2022-01-18 | 中云网安科技有限公司 | 一种访问控制方法、装置、存储介质及电子设备 |
CN114584377A (zh) * | 2022-03-04 | 2022-06-03 | 奇安信科技集团股份有限公司 | 流量异常检测方法、模型的训练方法、装置、设备及介质 |
CN115174193A (zh) * | 2022-06-30 | 2022-10-11 | 北京炼石网络技术有限公司 | 基于ga算法的数据安全入侵检测方法、装置及设备 |
CN115174193B (zh) * | 2022-06-30 | 2023-08-15 | 北京炼石网络技术有限公司 | 基于ga算法的数据安全入侵检测方法、装置及设备 |
CN115632995A (zh) * | 2022-12-19 | 2023-01-20 | 北京安帝科技有限公司 | 用于工控网络的数据特征提取方法、设备与计算机介质 |
CN115632995B (zh) * | 2022-12-19 | 2023-03-17 | 北京安帝科技有限公司 | 用于工控网络的数据特征提取方法、设备与计算机介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109143848A (zh) | 基于fcm-gasvm的工业控制系统入侵检测方法 | |
Wagh et al. | Survey on intrusion detection system using machine learning techniques | |
WO2016082284A1 (zh) | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 | |
Shang et al. | Research on industrial control anomaly detection based on FCM and SVM | |
Qazi et al. | Effect of feature selection, SMOTE and under sampling on class imbalance classification | |
CN109344617A (zh) | 一种物联网资产安全画像方法与系统 | |
CN117411703A (zh) | 一种面向Modbus协议的工业控制网络异常流量检测方法 | |
CN110768946A (zh) | 一种基于布隆过滤器的工控网络入侵检测系统及方法 | |
CN110162968A (zh) | 一种基于机器学习的网络入侵检测系统 | |
Landress | A hybrid approach to reducing the false positive rate in unsupervised machine learning intrusion detection | |
Kong et al. | Identification of abnormal network traffic using support vector machine | |
Xu et al. | [Retracted] DDoS Detection Using a Cloud‐Edge Collaboration Method Based on Entropy‐Measuring SOM and KD‐Tree in SDN | |
Zuo et al. | Power information network intrusion detection based on data mining algorithm | |
Chadha et al. | Hybrid genetic fuzzy rule based inference engine to detect intrusion in networks | |
CN109743339B (zh) | 电力厂站的网络安全监测方法和装置、计算机设备 | |
Upadhyaya et al. | Hybrid approach for network intrusion detection system using k-medoid clustering and Naïve Bayes classification | |
Fries | Classification of network traffic using fuzzy clustering for network security | |
Farid et al. | Learning intrusion detection based on adaptive bayesian algorithm | |
CN116614257A (zh) | 基于二次融合终端的威胁感知方法及装置 | |
CN109922083A (zh) | 一种网络协议流量控制系统 | |
CN109639669A (zh) | 基于转导支持向量机的蚁群聚类入侵检测方法 | |
Boonyopakorn | The optimization and enhancement of network intrusion detection through fuzzy association rules | |
Tien et al. | Automatic device identification and anomaly detection with machine learning techniques in smart factories | |
CN111935089B (zh) | 基于大数据和边缘计算的数据处理方法及人工智能服务器 | |
CN113468555A (zh) | 一种客户端访问行为识别方法、系统及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190104 |
|
RJ01 | Rejection of invention patent application after publication |