CN109547409A - 一种用于对工业网络传输协议进行解析的方法及系统 - Google Patents
一种用于对工业网络传输协议进行解析的方法及系统 Download PDFInfo
- Publication number
- CN109547409A CN109547409A CN201811220382.3A CN201811220382A CN109547409A CN 109547409 A CN109547409 A CN 109547409A CN 201811220382 A CN201811220382 A CN 201811220382A CN 109547409 A CN109547409 A CN 109547409A
- Authority
- CN
- China
- Prior art keywords
- control command
- industrial network
- message
- transport protocol
- network transport
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种用于对工业网络传输协议进行解析的方法及系统,其中方法包括:抽取工业网络传输协议的统计特征;基于所述统计特征,通过机器学习方法对所述工业网络传输协议中的控制命令报文进行分类;将所述工业网络传输协议中的不同字段进行分割,并将所述不同字段映射到所述控制命令报文,对所述不同字段进行识别;建立工业网络协议状态机,对异常的所述控制命令报文进行检测。本申请对于开展工控入侵检测、协议安全性评估、工业协议漏洞挖掘等方面研究具有重要的意义,同时将为保障国家基础设施及核心工业控制系统安全提供有力支撑。
Description
技术领域
本发明涉及工业网络传输协议技术领域,更具体地,涉及一种用于对工业网络传输协议进行解析的方法及系统。
背景技术
网络协议解析是网络安全的一项重要内容。在传统网络安全领域,大多数病毒、木马等均通过网络协议进行传播和扩散。因此,通过对网络协议进行解析后,可以对病毒、木马等恶意行为进行检测和阻断。此外,网络协议解析对网络监管具有重要意义。一些恶意人群通过特殊的网络协议传播扩散不良内容和信息,通过网络协议解析可以有效还原传播的不良信息,定位传播源,从而达到精细化网络监管效果,对建设洁净的网络环境具有重要意义。
在工业控制系统、国家关键基础设施等重要领域,涉及大量工业网络传输协议(简称工业协议),且其中有相当多的协议为未知协议。这些未知工业协议已成为攻击者的目标,一旦被攻击者利用,通过此类未知协议发送有害命令给工业设备或系统,将引发重大事故,甚至威胁工业现场人员的生命安全。目前国内外对于未知工业协议的解析和还原大多是采用人工的方法,这种方法需要耗费极大的时间和人力,针对工业协议中存在大量私有协议难以解析且人工成本高,
因此,需要一种技术,以实现对工业网络传输协议进行解析。
发明内容
本发明技术方案提供了一种用于对工业网络传输协议进行解析的方法及系统,以解决如何对工业网络传输协议进行解析的问题。
为了解决上述问题,本发明提供了一种用于对工业网络传输协议进行解析的方法,所述方法包括:
抽取工业网络传输协议的统计特征;
基于所述统计特征,通过机器学习方法对所述工业网络传输协议中的控制命令报文进行分类;
将所述工业网络传输协议中的不同字段进行分割,并将所述不同字段映射到所述控制命令报文,对所述不同字段进行识别;
建立工业网络协议状态机,对异常的所述控制命令报文进行检测。
优选地,所述统计特征包括:报文长度、报文字节熵、报文间距离。
优选地,还包括:基于所述统计特征,计算所述控制命令报文之间的相似度;
定义所述控制命令报文中每个字节的权重,所述每个字节的权重按距离所述控制命令报文的报文头的距离递减;
通过莱文斯坦距离的方法计算所述控制命令报文间的相似度。
优选地,采用最长公共子序列的文本比较算法Needleman-Wunsch将所述工业网络传输协议中的不同字段进行分割。
优选地,所述不同字段包括:常量字段、定长字段和变长字段。
基于本发明的另一方面,提供一种用于对工业网络传输协议进行解析的系统,所述系统包括:
抽取单元,用于抽取工业网络传输协议的统计特征;
分类单元,用于基于所述统计特征,通过机器学习方法对所述工业网络传输协议中的控制命令报文进行分类;
分割单元,用于将所述工业网络传输协议中的不同字段进行分割,并将所述不同字段映射到所述控制命令报文,对所述不同字段进行识别;
检测单元,用于建立工业网络协议状态机,对异常的所述控制命令报文进行检测。
优选地,所述统计特征包括:报文长度、报文字节熵、报文间距离。
优选地,还包括计算单元,用于基于所述统计特征,计算所述控制命令报文之间的相似度;
定义所述控制命令报文中每个字节的权重,所述每个字节的权重按距离所述控制命令报文的报文头的距离递减;
通过莱文斯坦距离的方法计算所述控制命令报文间的相似度。
优选地,所述分割单元还用于采用最长公共子序列的文本比较算法Needleman-Wunsch将所述工业网络传输协议中的不同字段进行分割。
优选地,所述不同字段包括:常量字段、定长字段和变长字段。
本发明技术方案提供一种用于对工业网络传输协议进行解析的方法及系统,其中方法包括:抽取工业网络传输协议的统计特征;基于所述统计特征,通过机器学习方法对所述工业网络传输协议中的控制命令报文进行分类;将所述工业网络传输协议中的不同字段进行分割,并将所述不同字段映射到所述控制命令报文,对所述不同字段进行识别;建立工业网络协议状态机,对异常的所述控制命令报文进行检测。本发明技术方案对未知的工业协议进行解析和还原,识别并阻止恶意指令攻击。本发明技术方案提出了工业协议解析框架,采用集成学习等技术实现工业协议的解析,还原其中的功能码、操作数等工业协议相关的属性,并建立了工业协议状态机,以检测网络异常行为。本发明技术方案对于开展工控入侵检测、协议安全性评估、工业协议漏洞挖掘等方面研究具有重要的意义,同时将为保障国家基础设施及核心工业控制系统安全提供有力支撑。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为根据本发明优选实施方式的用于对工业网络传输协议进行解析的方法流程图;
图2为根据本发明优选实施方式的工业协议解析流程示意图;以及
图3为根据本发明优选实施方式的用于对工业网络传输协议进行解析的系统结构图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
图1为根据本发明优选实施方式的用于对工业网络传输协议进行解析的方法流程图。本申请提出了一种的工业协议解析框架,图1未示出,如附图2所示。与传统协议解析方式不同,本框架首先对控制命令报文进行分类,通过抽取工业协议的统计特征,并采用集成聚类算法对未知工业协议的控制命令报文进行区分。其次,对协议格式进行抽取,采用Needleman-Wunsch算法区分工业协议中的不同字段,并与控制命令报文进行映射,识别功能码字段作为控制命令表示。最后,建立工业协议状态机,检测异常控制命令报文。本发明可辅助安全人员对私有工业网络协议进行分析和还原,从而为入侵检测、模糊测试提供支持。如图1所示,一种用于对工业网络传输协议进行解析的方法,方法包括:
优选地,在步骤101:抽取工业网络传输协议的统计特征。优选地,统计特征包括:报文长度、报文字节熵、报文间距离。优选地,基于统计特征,计算控制命令报文之间的相似度;定义控制命令报文中每个字节的权重,每个字节的权重按距离控制命令报文的报文头的距离递减;通过莱文斯坦距离的方法计算控制命令报文间的相似度。
本申请首先对工业协议特征进行抽取。由于无法了解工业协议细节,本申请采用机器学习方法区对控制命令报文进行分类。由于无法了解工业协议细节,因此采用报文统计特征以表征工业协议。统计特征包括:报文长度、报文字节熵、报文间距离等。
本申请对报文相似度计算。根据从工业协议报文中抽取的特征,计算报文间的相似度。本申请采用字节流相似性方法来测量两个数据包间的相似度。根据启发式规则,距离报文头部越近的字段在整个数据包的作用越重要。本发明为报文中的每个字节定义了权重,原则为:距离报文头部的权重递减。定义好权重后,本申请通过莱文斯坦距离的方法计算报文间的相似度。
优选地,在步骤102:基于统计特征,通过机器学习方法对工业网络传输协议中的控制命令报文进行分类。
本申请基于聚类方对协议报文进行分类。首先,基于以上统计特征和报文相似度计算方法,分别通过KNN、kmeans、DBScan三种聚类算法进行聚类获得初始划分结果;接着采用集成聚类方法,将以上三种聚类算法组合得到邻近度矩阵,接着在这个邻近度矩阵上运用层次聚类中的单连接方法得到最终的聚类结果。
优选地,在步骤103:将工业网络传输协议中的不同字段进行分割,并将不同字段映射到控制命令报文,对不同字段进行识别;4.根据权利要求1的方法,采用最长公共子序列的文本比较算法Needleman-Wunsch将工业网络传输协议中的不同字段进行分割。优选地,不同字段包括:常量字段、定长字段和变长字段。
本申请,工业协议通常包含识别码、功能码、数据长度、操作地址、数据负载等字段。本申请并不对工业协议进行完整精确还原,而是识别工业协议的重要字段:功能码、操作地址和数据负载字段。
对工业协议字段分割,首先采用Needleman-Wunsch算法将工业协议报文分割成:常量字段、定长字段和变长字段。具体过程为:首先,输入两个报文的原始字符串,然后,算法计算出来函数矩阵。这里函数矩阵的计算分为三步。第一,确定函数惩罚值,算法对于任意矩阵(i,j)存在二种情况,一是相等,二是填补空白字符。空白字符又分为;两种情况,一种情况是填补空白字符对齐S1,另外一种情况是填补空白字符对齐S2。赋予了惩罚值之后,就开始遍历矩阵进行计算,每次取当前位置的最大函数值。在函数矩阵建立完成之后,就开始从矩阵的右下角,反向寻找最大值路径,最终确定字符串对齐之后的格式。
字段抽取,本申请根据经验观察,功能码字段为定长字段,且通常位于工业协议数据报文头部。因此,从数据报文头部开始,逐个将定长字段与聚类所得的控制命令报文进行匹配,选取整个数据集的最大匹配的定长字段作为协议的功能码字段。此外,基于数据负载位于报文靠后位置且通常具有最大字段长度这一启发式规则,选取相应的变长字段作为数据字段。
优选地,在步骤104:建立工业网络协议状态机,对异常的控制命令报文进行检测。
本申请中状态机表示具体为:选取工业网络通讯中的一条链路来建立状态机,例如从上位机到下位机通讯、HMI与PLC间通讯。其中,状态机的状态(Q)代表两点间通信的当前状态;状态间跳转和迁移由该链路上传输的工业命令(q)来驱动。
状态机学习为:工业协议状态机通过持续到达的工业命令来学习并生成状态空间和状态转移。首先,状态机处于Q0状态,即初始状态。当收到一条工业命令q1时,状态机将从Q0状态迁移到Q1状态。通过此种方式进行学习直到不出现新的命令和新的状态为止。当链路中断时,则状态机转移到终止状态Qt。
基于协议状态机检测异常,本申请中的状态机可检测三种异常:丢包、重传和未知转移。其中,当状态机处于Q1状态时,若出现命令q2使得状态机转移到Q2状态,则说明发生了丢包异常;当状态机处于Q1状态,若出现q1命令使得状态重新回到Q1,则说明发生了重传异常;当状态转移过程中,发现了未知命令,则状态机会回到初始状态,说明发生了未知转移异常。
本申请中的工业协议解析框架,该框架面向工业协议,通过控制命令分类、协议格式抽取和协议状态机建立实现了工业协议解析。本申请中的工业协议控制命令分类机制,通过该机制针对工业协议中不同类型的控制命令,采用集成聚类方法,融合三种聚类算法的划分结果生成更优的分类策略。本申请中的工业协议格式抽取方法。该方法采用Needleman-Wunsch算法抽取工业协议中的常量、定长字段和变长字段。并与工控命令分类结果相结合,来识别工业协议中的功能码、操作地址和操作数值等字段。本申请中的工业协议状态机建立机制。该机制以工业控制命令作为触发条件,在工业协议多状态间转移,可用于检测网络异常包发送。
本申请实现了将未知工业协议的报文分成不同的工业控制命令类型,同时可识别协议中固定字段、功能码等定长字段以及数据等可变字段,并可对协议报文进行功能分类,同时可根据控制命令和报文收发关系构建协议状态机,可用于对工业协议进行协议审计、恶意行为检测、模糊测试等。本申请对于开展工控入侵检测、协议安全性评估、工业协议漏洞挖掘等方面研究具有重要的意义,同时将为保障国家基础设施及核心工业控制系统安全提供有力支撑。
图3为根据本发明优选实施方式的用于对工业网络传输协议进行解析的系统结构图。如图3所示,一种用于对工业网络传输协议进行解析的系统,系统包括:
抽取单元301,用于抽取工业网络传输协议的统计特征。优选地,统计特征包括:报文长度、报文字节熵、报文间距离。
分类单元302,用于基于统计特征,通过机器学习方法对工业网络传输协议中的控制命令报文进行分类。
分割单元303,用于将工业网络传输协议中的不同字段进行分割,并将不同字段映射到控制命令报文,对不同字段进行识别。优选地,分割单元303还用于采用最长公共子序列的文本比较算法Needleman-Wunsch将工业网络传输协议中的不同字段进行分割。优选地,不同字段包括:常量字段、定长字段和变长字段。
检测单元304,用于建立工业网络协议状态机,对异常的控制命令报文进行检测。
优选地,还包括计算单元,用于基于统计特征,计算控制命令报文之间的相似度;定义控制命令报文中每个字节的权重,每个字节的权重按距离控制命令报文的报文头的距离递减;通过莱文斯坦距离的方法计算控制命令报文间的相似度。
本发明优选实施方式的用于对工业网络传输协议进行解析的系统300与本发明另一优选实施方式的用于对工业网络传输协议进行解析的方法100相对应,在此不再进行赘述。
已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所公知的,正如附带的专利权利要求所限定的,除了本发明以上公开的其他的实施例等同地落在本发明的范围内。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考“一个/所述/该[装置、组件等]”都被开放地解释为所述装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。
Claims (10)
1.一种用于对工业网络传输协议进行解析的方法,所述方法包括:
抽取工业网络传输协议的统计特征;
基于所述统计特征,通过机器学习方法对所述工业网络传输协议中的控制命令报文进行分类;
将所述工业网络传输协议中的不同字段进行分割,并将所述不同字段映射到所述控制命令报文,对所述不同字段进行识别;
建立工业网络协议状态机,对异常的所述控制命令报文进行检测。
2.根据权利要求1所述的方法,所述统计特征包括:报文长度、报文字节熵、报文间距离。
3.根据权利要求1所述的方法,还包括:基于所述统计特征,计算所述控制命令报文之间的相似度;
定义所述控制命令报文中每个字节的权重,所述每个字节的权重按距离所述控制命令报文的报文头的距离递减;
通过莱文斯坦距离的方法计算所述控制命令报文间的相似度。
4.根据权利要求1所述的方法,采用最长公共子序列的文本比较算法Needleman-Wunsch将所述工业网络传输协议中的不同字段进行分割。
5.根据权利要求4所述的方法,所述不同字段包括:常量字段、定长字段和变长字段。
6.一种用于对工业网络传输协议进行解析的系统,所述系统包括:
抽取单元,用于抽取工业网络传输协议的统计特征;
分类单元,用于基于所述统计特征,通过机器学习方法对所述工业网络传输协议中的控制命令报文进行分类;
分割单元,用于将所述工业网络传输协议中的不同字段进行分割,并将所述不同字段映射到所述控制命令报文,对所述不同字段进行识别;
检测单元,用于建立工业网络协议状态机,对异常的所述控制命令报文进行检测。
7.根据权利要求6所述的系统,所述统计特征包括:报文长度、报文字节熵、报文间距离。
8.根据权利要求6所述的系统,还包括计算单元,用于基于所述统计特征,计算所述控制命令报文之间的相似度;
定义所述控制命令报文中每个字节的权重,所述每个字节的权重按距离所述控制命令报文的报文头的距离递减;
通过莱文斯坦距离的方法计算所述控制命令报文间的相似度。
9.根据权利要求6所述的系统,所述分割单元还用于采用最长公共子序列的文本比较算法Needleman-Wunsch将所述工业网络传输协议中的不同字段进行分割。
10.根据权利要求9所述的系统,所述不同字段包括:常量字段、定长字段和变长字段。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811220382.3A CN109547409B (zh) | 2018-10-19 | 2018-10-19 | 一种用于对工业网络传输协议进行解析的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811220382.3A CN109547409B (zh) | 2018-10-19 | 2018-10-19 | 一种用于对工业网络传输协议进行解析的方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109547409A true CN109547409A (zh) | 2019-03-29 |
CN109547409B CN109547409B (zh) | 2022-05-17 |
Family
ID=65844165
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811220382.3A Active CN109547409B (zh) | 2018-10-19 | 2018-10-19 | 一种用于对工业网络传输协议进行解析的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109547409B (zh) |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110061931A (zh) * | 2019-04-23 | 2019-07-26 | 广东技术师范大学 | 工控协议的聚类方法、装置、系统及计算机存储介质 |
CN110535566A (zh) * | 2019-08-30 | 2019-12-03 | 重庆高开清芯科技产业发展有限公司 | 一种基于有限状态机的重传方法及其有效性验证方法 |
CN110753049A (zh) * | 2019-10-21 | 2020-02-04 | 清华大学 | 一种基于工控网络流量的安全态势感知系统 |
CN110769067A (zh) * | 2019-10-30 | 2020-02-07 | 任子行网络技术股份有限公司 | 一种基于sd-wan的工业互联网安全监管系统及方法 |
CN111314279A (zh) * | 2019-11-25 | 2020-06-19 | 北京航空航天大学 | 一种基于网络流量的未知协议逆向系统 |
CN111371651A (zh) * | 2020-03-12 | 2020-07-03 | 杭州木链物联网科技有限公司 | 一种工业通讯协议逆向分析方法 |
CN111935170A (zh) * | 2020-08-20 | 2020-11-13 | 杭州安恒信息技术股份有限公司 | 一种网络异常流量检测方法、装置及设备 |
CN112272184A (zh) * | 2020-10-29 | 2021-01-26 | 杭州迪普科技股份有限公司 | 一种工业流量检测的方法、装置、设备及介质 |
CN112671726A (zh) * | 2020-12-10 | 2021-04-16 | 国网思极网安科技(北京)有限公司 | 工业控制协议解析方法、装置、电子设备和存储介质 |
WO2021153032A1 (ja) * | 2020-01-31 | 2021-08-05 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知方法、及び異常検知装置 |
CN113535731A (zh) * | 2021-07-21 | 2021-10-22 | 北京威努特技术有限公司 | 一种基于启发式的报文状态交互自学习方法及装置 |
CN113676375A (zh) * | 2021-08-13 | 2021-11-19 | 浙江大学 | 一种工业控制系统私有协议结构解析方法 |
CN114338259A (zh) * | 2021-12-31 | 2022-04-12 | 宁波和利时信息安全研究院有限公司 | 网络分路方法、装置、工业控制系统、设备及存储介质 |
CN114520838A (zh) * | 2022-01-11 | 2022-05-20 | 北京交通大学 | 一种基于k近邻的自定义协议应用层的网络报文匹配方法 |
CN115134433A (zh) * | 2022-06-24 | 2022-09-30 | 国网数字科技控股有限公司 | 一种工控协议的语义解析方法、系统、设备及存储介质 |
CN115277136A (zh) * | 2022-07-15 | 2022-11-01 | 云南电网有限责任公司电力科学研究院 | 漏洞扫描方法、系统、计算机设备及介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102891852A (zh) * | 2012-10-11 | 2013-01-23 | 中国人民解放军理工大学 | 基于报文分析的协议格式自动推断方法 |
WO2016054992A1 (zh) * | 2014-10-10 | 2016-04-14 | 中兴通讯股份有限公司 | 网络数据采集系统及方法 |
CN106330611A (zh) * | 2016-08-31 | 2017-01-11 | 哈尔滨工业大学(威海) | 一种基于统计特征分类的匿名协议分类方法 |
CN107665191A (zh) * | 2017-10-19 | 2018-02-06 | 中国人民解放军陆军工程大学 | 一种基于扩展前缀树的私有协议报文格式推断方法 |
CN108449356A (zh) * | 2018-04-04 | 2018-08-24 | 国家计算机网络与信息安全管理中心 | 一种基于多序列比对的在线协议格式推断方法 |
CN108600195A (zh) * | 2018-04-04 | 2018-09-28 | 国家计算机网络与信息安全管理中心 | 一种基于增量学习的快速工控协议格式逆向推断方法 |
-
2018
- 2018-10-19 CN CN201811220382.3A patent/CN109547409B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102891852A (zh) * | 2012-10-11 | 2013-01-23 | 中国人民解放军理工大学 | 基于报文分析的协议格式自动推断方法 |
WO2016054992A1 (zh) * | 2014-10-10 | 2016-04-14 | 中兴通讯股份有限公司 | 网络数据采集系统及方法 |
CN106330611A (zh) * | 2016-08-31 | 2017-01-11 | 哈尔滨工业大学(威海) | 一种基于统计特征分类的匿名协议分类方法 |
CN107665191A (zh) * | 2017-10-19 | 2018-02-06 | 中国人民解放军陆军工程大学 | 一种基于扩展前缀树的私有协议报文格式推断方法 |
CN108449356A (zh) * | 2018-04-04 | 2018-08-24 | 国家计算机网络与信息安全管理中心 | 一种基于多序列比对的在线协议格式推断方法 |
CN108600195A (zh) * | 2018-04-04 | 2018-09-28 | 国家计算机网络与信息安全管理中心 | 一种基于增量学习的快速工控协议格式逆向推断方法 |
Cited By (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110061931B (zh) * | 2019-04-23 | 2022-08-30 | 广东技术师范大学 | 工控协议的聚类方法、装置、系统及计算机存储介质 |
CN110061931A (zh) * | 2019-04-23 | 2019-07-26 | 广东技术师范大学 | 工控协议的聚类方法、装置、系统及计算机存储介质 |
CN110535566A (zh) * | 2019-08-30 | 2019-12-03 | 重庆高开清芯科技产业发展有限公司 | 一种基于有限状态机的重传方法及其有效性验证方法 |
CN110535566B (zh) * | 2019-08-30 | 2021-12-07 | 重庆高开清芯科技产业发展有限公司 | 一种基于有限状态机的重传方法及其有效性验证方法 |
CN110753049A (zh) * | 2019-10-21 | 2020-02-04 | 清华大学 | 一种基于工控网络流量的安全态势感知系统 |
CN110753049B (zh) * | 2019-10-21 | 2021-04-13 | 清华大学 | 一种基于工控网络流量的安全态势感知系统 |
CN110769067A (zh) * | 2019-10-30 | 2020-02-07 | 任子行网络技术股份有限公司 | 一种基于sd-wan的工业互联网安全监管系统及方法 |
CN110769067B (zh) * | 2019-10-30 | 2020-08-04 | 任子行网络技术股份有限公司 | 一种基于sd-wan的工业互联网安全监管系统及方法 |
CN111314279A (zh) * | 2019-11-25 | 2020-06-19 | 北京航空航天大学 | 一种基于网络流量的未知协议逆向系统 |
WO2021153032A1 (ja) * | 2020-01-31 | 2021-08-05 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知方法、及び異常検知装置 |
CN111371651A (zh) * | 2020-03-12 | 2020-07-03 | 杭州木链物联网科技有限公司 | 一种工业通讯协议逆向分析方法 |
CN111935170A (zh) * | 2020-08-20 | 2020-11-13 | 杭州安恒信息技术股份有限公司 | 一种网络异常流量检测方法、装置及设备 |
CN111935170B (zh) * | 2020-08-20 | 2022-06-07 | 杭州安恒信息技术股份有限公司 | 一种网络异常流量检测方法、装置及设备 |
CN112272184B (zh) * | 2020-10-29 | 2022-07-01 | 杭州迪普科技股份有限公司 | 一种工业流量检测的方法、装置、设备及介质 |
CN112272184A (zh) * | 2020-10-29 | 2021-01-26 | 杭州迪普科技股份有限公司 | 一种工业流量检测的方法、装置、设备及介质 |
CN112671726A (zh) * | 2020-12-10 | 2021-04-16 | 国网思极网安科技(北京)有限公司 | 工业控制协议解析方法、装置、电子设备和存储介质 |
CN113535731A (zh) * | 2021-07-21 | 2021-10-22 | 北京威努特技术有限公司 | 一种基于启发式的报文状态交互自学习方法及装置 |
CN113535731B (zh) * | 2021-07-21 | 2024-04-16 | 北京威努特技术有限公司 | 一种基于启发式的报文状态交互自学习方法及装置 |
CN113676375A (zh) * | 2021-08-13 | 2021-11-19 | 浙江大学 | 一种工业控制系统私有协议结构解析方法 |
CN114338259A (zh) * | 2021-12-31 | 2022-04-12 | 宁波和利时信息安全研究院有限公司 | 网络分路方法、装置、工业控制系统、设备及存储介质 |
CN114520838A (zh) * | 2022-01-11 | 2022-05-20 | 北京交通大学 | 一种基于k近邻的自定义协议应用层的网络报文匹配方法 |
CN114520838B (zh) * | 2022-01-11 | 2023-10-17 | 北京交通大学 | 一种基于k近邻的自定义协议应用层的网络报文匹配方法 |
CN115134433A (zh) * | 2022-06-24 | 2022-09-30 | 国网数字科技控股有限公司 | 一种工控协议的语义解析方法、系统、设备及存储介质 |
CN115134433B (zh) * | 2022-06-24 | 2024-03-29 | 国网数字科技控股有限公司 | 一种工控协议的语义解析方法、系统、设备及存储介质 |
CN115277136A (zh) * | 2022-07-15 | 2022-11-01 | 云南电网有限责任公司电力科学研究院 | 漏洞扫描方法、系统、计算机设备及介质 |
CN115277136B (zh) * | 2022-07-15 | 2023-11-21 | 云南电网有限责任公司电力科学研究院 | 漏洞扫描方法、系统、计算机设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN109547409B (zh) | 2022-05-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109547409A (zh) | 一种用于对工业网络传输协议进行解析的方法及系统 | |
US11212299B2 (en) | System and method for monitoring security attack chains | |
Fouladi et al. | A DDoS attack detection and defense scheme using time-series analysis for SDN | |
Garcia-Teodoro et al. | Anomaly-based network intrusion detection: Techniques, systems and challenges | |
Garitano et al. | A review of SCADA anomaly detection systems | |
Peng et al. | Network intrusion detection based on deep learning | |
US20140297572A1 (en) | Method and system for classifying a protocol message in a data communication network | |
CN105471854B (zh) | 一种基于多级策略的自适应边界异常检测方法 | |
CN104580222A (zh) | 基于信息熵的DDoS攻击分布式检测与响应系统及方法 | |
CN103957203B (zh) | 一种网络安全防御系统 | |
CN106104556A (zh) | 日志分析系统 | |
CN112468347B (zh) | 一种云平台的安全管理方法、装置、电子设备及存储介质 | |
Yang et al. | Distributed agents model for intrusion detection based on AIS | |
CN114357459A (zh) | 一种面向区块链系统的信息安全检测方法 | |
CN101202744A (zh) | 一种自学习检测蠕虫的装置及其方法 | |
Jakhale | Design of anomaly packet detection framework by data mining algorithm for network flow | |
Sapozhnikova et al. | Intrusion detection system based on data mining technics for industrial networks | |
Oh et al. | Attack Classification Based on Data Mining Technique and Its Application for Reliable Medical Sensor Communication. | |
Ou | Multiagent-based computer virus detection systems: abstraction from dendritic cell algorithm with danger theory | |
CN114124834A (zh) | 一种工业控制网络内icmp隐蔽隧道检测的集成学习装置及方法 | |
Usman et al. | A novel Internet of Things-centric framework to mine malicious frequent patterns | |
Yu et al. | Mining anomaly communication patterns for industrial control systems | |
CN107277005A (zh) | 一种分布式的业务流程检测方法 | |
Yu et al. | Anomaly network detection model based on mobile agent | |
Fang et al. | Association rule mining of network security monitoring data based on time series |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |