CN109861988A - 一种基于集成学习的工业控制系统入侵检测方法 - Google Patents
一种基于集成学习的工业控制系统入侵检测方法 Download PDFInfo
- Publication number
- CN109861988A CN109861988A CN201910011620.8A CN201910011620A CN109861988A CN 109861988 A CN109861988 A CN 109861988A CN 201910011620 A CN201910011620 A CN 201910011620A CN 109861988 A CN109861988 A CN 109861988A
- Authority
- CN
- China
- Prior art keywords
- control system
- industrial control
- data
- feature
- integrated study
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/20—Ensemble learning
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于集成学习的工业控制系统入侵检测方法。该方法通过采集工业控制系统现场数据,对通信数据进行报文解析得到结构化样本,然后,通过特征筛选与提取选取合适的特征集,输入到由多种机器学习算法组成的集成学习模型中,最终通过学习算法判断具体的工业控制系统通信数据是正常还是异常。本发明利用智能学习算法充分挖掘工业控制系统通信数据的有效信息,并通过集成学习这一模型融合方法有效提高了入侵检测的准确率,降低了漏报率。
Description
技术领域
本发明属于工业控制系统安全领域,涉及一种基于集成学习的工业控制系统入侵检测方法。
背景技术
工业控制系统是一种用于工业生产的控制系统。人们通过先进的计算机和网络技术,利用工业控制系用对传统的工业流程进行可靠、高效的控制。它包括数据监控与采集系统、分布式控制系统、可编程逻辑控制器、人机交互接口、智能终端等系统。工业控制系统已经广泛地应用于各行各业,如交通,电力,石油化工,水处理,天然气输送等。其为国家关键基础设施建设做出重要贡献,影响人民生活的方方面面,是经济发展的重要保障。
近年来,随着各种新兴信息技术的高速发展,工业化和信息化更加紧密的结合。更多的现代化信息技术被应用在传统的工业控制系统中,同时各种标准化的通信协议及网络交换架构在工业控制系统中风靡。而事实上,由工业控制系统控制和监控的基础设施在过去是物理隔绝和相互独立的。由于先进信息技术和通信网络技术(如以太网)的加入,工业控制系统的开放性得到了极大的提升,同时也暴露在更多的安全隐患中。具体来说,如工业控制系统中常用的现场总线、设备通信协议(Modbus等),在设计之初没有将安全问题作为重要因素考虑,其通信报文大多以明文格式传输,且缺乏有效严格的身份验证。另一方面,工业控制系统中的控制机器操作系统通常缺乏及时的更新与漏洞修复,使外在攻击者有机可乘。连入公网的工业控制系统满足了高速发展的工业生产环境,同时也面临着网络带来的病毒、蠕虫带来的安全威胁。工业控制系统相关的安全事件呈现逐年增长的趋势,其安全问题亟需关注。
发明内容
本发明的目的在于针对目前工业控制系统安全的欠缺和不足,提供一种基于集成学习的工业控制系统入侵检测方法。
本发明的目的是通过以下技术方案来实现的:一种基于集成学习的工业控制系统入侵检测方法,包括以下步骤;
(1)通过带镜像口的交换机设备利用抓包软件采集工业控制系统通信数据,并对通信数据标记类别标签,类别包括异常和正常。
(2)对工业控制系统通信数据进行协议解析工作,识别、提取其中有效特征,包括:通信数据的源IP地址(SIP)、源端口号(SP)、目的IP地址(DIP)、目的端口号(DP)、包间隔时间(Time delta)、包发送时间(Time)、包功能码(Function code)等。
(3)在步骤(2)提取的有效特征中,利用专家知识或者机器学习特征选择技术,选择合适的特征建立特征集。
(4)对特征集中的数据进行预处理,将每一条网络通信报文处理成一条标准化的多维向量数据。
(5)将步骤(4)处理后的多维向量数据输入到集成学习模型中,对有标签的工业控制系统通信数据进行有监督学习,并在实时检测时,对到来的每一个工业控制系统通信数据包判断是否为异常数据。
进一步地,所述步骤(1)中,数据来源可以是实际现场数据也可以是安全测试平台数据。抓包软件包括Wireshark、Tcpdump等。
进一步地,所述步骤(2)中,针对不同的工业控制系统通信协议可以提取出不同的有效特征。常用的工业控制系统通信协议包括Modbus、PROFIBUS、DNP3、BACnet、Siemens S7等,其中每种通信协议有对应的格式与应用场景,在入侵检测过程中,根据具体场景可以解析不同的通信协议,得出检测所需要的有效特征集合。
进一步地,所述步骤(3)中,所述机器学习特征选择技术采用决策树算法进行特征筛选,包括信息熵、互信息等。
进一步地,所述步骤(4)中,具体预处理方法包括缺失值补充、特征编码、数据极大极小标准化等。
进一步地,所述步骤(5)中,集成学习是指通过融合多个机器学习算法来完成学习任务,集成学习方法包括bagging,boosting和stacking方法。
进一步地,所述步骤(5)中,集成学习模型所用到的集成学习方法是融合多个树模型的stacking方法;该方法采用多层次的学习,其中第一层有多个基模型,其中每个基模型会对训练集做多次交叉验证,每次抽取部分训练集进行训练,最后拼凑得到整个训练集的输出(如果不这样会造成训练集样本的过拟合),测试集的输出取平均即可,最后将每个基模型训练集的输出当作特征输入到第二层进行训练,最后得到最终的结果,并在测试集上验证。
本发明的有益效果是:基于集成学习的工业控制系统入侵检测方法,增加了工业控制系统入侵检测的智能性与检测准确性。相比传统单一的机器学习入侵检测方法,本发明方法的入侵检测准确率得到大幅提升。Stacking方法是一种异构算法,有效给工业控制系统入侵检测带来不同学习模型的训练效果。本发明方法实时性好,实现方便。
附图说明
图1是本发明方法流程图。
图2是本发明方法原理图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步详细说明。
本实施例提供了一种基于集成学习的工业控制系统入侵检测方法,包括如下步骤:
(1)通过带镜像口的交换机设备利用抓包软件采集工业控制系统通信数据,并对通信数据标记类别标签,类别包括异常和正常。数据来源可以是实际现场数据也可以是安全测试平台数据。抓包软件包括Wireshark、Tcpdump等。
(2)对工业控制系统通信数据进行协议解析工作,识别、提取其中有效信息,包括:通信数据的源IP地址(SIP)、源端口号(SP)、目的IP地址(DIP)、目的端口号(DP)、包间隔时间(Time delta)、包发送时间(Time)、包功能码(Function code)等。针对不同的工业控制系统通信协议可以提取出不同的有效特征。常用的工业控制系统通信协议包括Modbus、PROFIBUS、DNP3、BACnet、Siemens S7等,其中每种通信协议有对应的格式与应用场景,在入侵检测过程中,根据具体场景可以解析不同的通信协议,得出检测所需要的有效特征集合。
(3)在步骤(2)提取的有效特征中,利用专家知识或者机器学习特征选择技术,选择合适的特征建立特征集。机器学习特征选择技术可以采用决策树算法进行特征筛选,包括信息熵、互信息等。
(4)对特征集中的数据进行预处理,将每一条网络通信报文处理成一条标准化的多维向量数据。预处理方法包括缺失值补充、特征编码、数据极大极小标准化等。
(5)将步骤(4)处理后的多维向量数据输入到集成学习模型中,对有标签的工业控制系统通信数据进行有监督学习,并在实时检测时,对到来的每一个工业控制系统通信数据包判断是否为异常数据。集成学习是指通过融合多个机器学习算法来完成学习任务,集成学习方法包括bagging,boosting和stacking方法。具体是通过输入数据X,学习一个模型函数f,将X映射到输出变量Y:Y=f(X),其中Y代表数据是否为异常;而该集成学习算法利用多个学习模型函数f进行融合判断。
图1是本发明方法流程图。对于工业控制系统网络入侵检测器,首先对所采集到的网络通信数据进行处理。这种预处理包括对原始网络流数据的解析。通过对工控协议通信模式的掌握,将不同的网络通信报文分解成不同的字段,进而解析成结构化的数据,方便后续匹配/处理。然后经过一些特征提取步骤,选择重要的检测特征加入特征集,供后续检测算法使用。这里的选择方法有多种,如专家知识、信息熵等。通过建立高质量且不冗余的特征集合,能有效代表系统所采集的网络数据,且合理利用计算资源。随后将特征集合输入到检测算法中进行检测。这里的检测算法指stacking类型的集成学习算法。由于工业控制系统有着庞大的设备集群和大量的通信流量,简单的设立正常/异常模式不能精确的做到异常报警,通过机器学习方法能处理大量数据,主动挖掘网络数据间的关联,也是传统误用检测和异常检测的综合,能够实现高精度低漏报的智能入侵检测。
图2是具体的stacking集成学习算法原理图。该方法用不同的基学习器进行模型融合学习,即异构。该方法采用多层次的学习,其中第一层有多个基模型,其中每个基模型会对训练集做多次交叉验证,每次抽取部分训练集进行训练,最后拼凑得到整个训练集的输出(如果不这样会造成训练集样本的过拟合),测试集的输出取平均即可,最后将每个基模型训练集的输出当作特征输入到第二层进行训练,最后得到最终的结果,并在测试集上验证。图中模型A、B、C、D、E均为不同的模型,可以在众多基础机器学习模型中选取,如支持向量机,决策树,神经网络,或者其他集成类型的树模型如随机森林,梯度提升树等。
上述实施例用来解释说明本发明,而不是对本发明进行限制,在本发明的精神和权利要求的保护范围内,对本发明作出的任何修改和改变,都落入本发明的保护范围。
Claims (7)
1.一种基于集成学习的工业控制系统入侵检测方法,其特征在于,包括以下步骤;
(1)通过带镜像口的交换机设备利用抓包软件采集工业控制系统通信数据,并对通信数据标记类别标签;
(2)对工业控制系统通信数据进行协议解析工作,识别、提取其中有效特征,包括:通信数据的源IP地址(SIP)、源端口号(SP)、目的IP地址(DIP)、目的端口号(DP)、包间隔时间(Time delta)、包发送时间(Time)、包功能码(Function code);
(3)在步骤(2)提取的有效特征中,利用专家知识或者机器学习特征选择技术,选择合适的特征建立特征集;
(4)对特征集中的数据进行预处理,将每一条网络通信报文处理成一条标准化的多维向量数据;
(5)将步骤(4)处理后的多维向量数据输入到集成学习模型中,对有标签的工业控制系统通信数据进行有监督学习,并在实时检测时,对到来的每一个工业控制系统通信数据包判断是否为异常数据。
2.根据权利要求1所述的一种基于集成学习的工业控制系统入侵检测方法,其特征在于,所述步骤(1)中,数据来源可以是实际现场数据也可以是安全测试平台数据;抓包软件包括Wireshark、Tcpdump。
3.根据权利要求1所述的一种基于集成学习的工业控制系统入侵检测方法,其特征在于,所述步骤(2)中,针对不同的工业控制系统通信协议可以提取出不同的有效特征;常用的工业控制系统通信协议包括Modbus、PROFIBUS、DNP3、BACnet、Siemens S7,其中每种通信协议有对应的格式与应用场景,在入侵检测过程中,根据具体场景可以解析不同的通信协议,得出检测所需要的有效特征集合。
4.根据权利要求1所述的一种基于集成学习的工业控制系统入侵检测方法,其特征在于,所述步骤(3)中,所述机器学习特征选择技术采用决策树算法进行特征筛选,包括信息熵、互信息。
5.根据权利要求1所述的一种基于集成学习的工业控制系统入侵检测方法,其特征在于,所述步骤(4)中,具体预处理方法包括缺失值补充、特征编码、数据极大极小标准化。
6.根据权利要求1所述的一种基于集成学习的工业控制系统入侵检测方法,其特征在于,所述步骤(5)中,集成学习是指通过融合多个机器学习算法来完成学习任务,集成学习方法包括bagging,boosting和stacking方法。
7.根据权利要求1所述的一种基于集成学习的工业控制系统入侵检测方法,其特征在于,所述步骤(5)中,集成学习模型所用到的集成学习方法是融合多个树模型的stacking方法;该方法采用多层次的学习,其中第一层有多个基模型,其中每个基模型会对训练集做多次交叉验证,每次抽取部分训练集进行训练,最后拼凑得到整个训练集的输出,测试集的输出取平均即可,最后将每个基模型训练集的输出当作特征输入到第二层进行训练,最后得到最终的结果,并在测试集上验证。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910011620.8A CN109861988A (zh) | 2019-01-07 | 2019-01-07 | 一种基于集成学习的工业控制系统入侵检测方法 |
| PCT/CN2019/101246 WO2020143226A1 (zh) | 2019-01-07 | 2019-08-18 | 一种基于集成学习的工业控制系统入侵检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910011620.8A CN109861988A (zh) | 2019-01-07 | 2019-01-07 | 一种基于集成学习的工业控制系统入侵检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109861988A true CN109861988A (zh) | 2019-06-07 |
Family
ID=66894009
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910011620.8A Pending CN109861988A (zh) | 2019-01-07 | 2019-01-07 | 一种基于集成学习的工业控制系统入侵检测方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN109861988A (zh) |
| WO (1) | WO2020143226A1 (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110247910A (zh) * | 2019-06-13 | 2019-09-17 | 深信服科技股份有限公司 | 一种异常流量的检测方法、系统及相关组件 |
| CN110390357A (zh) * | 2019-07-17 | 2019-10-29 | 国网浙江省电力有限公司电力科学研究院 | 一种基于边信道的dtu安全监测方法 |
| CN110505215A (zh) * | 2019-07-29 | 2019-11-26 | 电子科技大学 | 基于虚拟运行和状态转换的工控系统网络攻击应对方法 |
| CN110535854A (zh) * | 2019-08-28 | 2019-12-03 | 南京市晨枭软件技术有限公司 | 一种用于工业控制系统入侵检测方法及系统 |
| CN110691073A (zh) * | 2019-09-19 | 2020-01-14 | 中国电子科技网络信息安全有限公司 | 一种基于随机森林的工控网络暴力破解流量检测方法 |
| CN110753049A (zh) * | 2019-10-21 | 2020-02-04 | 清华大学 | 一种基于工控网络流量的安全态势感知系统 |
| CN111262722A (zh) * | 2019-12-31 | 2020-06-09 | 中国广核电力股份有限公司 | 一种用于工业控制系统网络的安全监测方法 |
| CN111343205A (zh) * | 2020-05-19 | 2020-06-26 | 中国航空油料集团有限公司 | 工控网络安全检测方法、装置、电子设备以及存储介质 |
| WO2020143226A1 (zh) * | 2019-01-07 | 2020-07-16 | 浙江大学 | 一种基于集成学习的工业控制系统入侵检测方法 |
| CN112202736A (zh) * | 2020-09-15 | 2021-01-08 | 浙江大学 | 基于统计学习和深度学习的工业控制系统通信网络异常分类方法 |
| CN112671726A (zh) * | 2020-12-10 | 2021-04-16 | 国网思极网安科技(北京)有限公司 | 工业控制协议解析方法、装置、电子设备和存储介质 |
| CN112884167A (zh) * | 2019-11-29 | 2021-06-01 | 中国信托登记有限责任公司 | 一种基于机器学习的多指标异常检测方法及其应用系统 |
| CN113051553A (zh) * | 2019-12-27 | 2021-06-29 | 北京安控科技股份有限公司 | 一种事故规则的生成方法和系统 |
| CN114172715A (zh) * | 2021-12-02 | 2022-03-11 | 上海交通大学宁波人工智能研究院 | 一种基于安全多方计算的工控入侵检测系统及方法 |
| CN114489025A (zh) * | 2022-02-14 | 2022-05-13 | 上海交通大学宁波人工智能研究院 | 一种模型驱动的工业控制系统安全防护方法 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112765451A (zh) * | 2020-12-30 | 2021-05-07 | 中国人寿保险股份有限公司上海数据中心 | 一种基于集成学习算法的客户智能筛选方法和系统 |
| CN113645065B (zh) * | 2021-07-21 | 2024-03-15 | 武汉虹旭信息技术有限责任公司 | 基于工业互联网的工控安全审计系统及其方法 |
| CN113645231B (zh) * | 2021-08-10 | 2023-07-21 | 北京易通信联科技有限公司 | 工业控制系统的入侵检测方法、存储器和处理器 |
| CN114372497A (zh) * | 2021-08-18 | 2022-04-19 | 中电长城网际系统应用有限公司 | 多模态安全数据分类方法和分类系统 |
| CN114650259B (zh) * | 2022-03-10 | 2023-05-26 | 中国电子科技集团公司第三十研究所 | 一种分层级检测的vpn工具精细化分类方法 |
| CN115118450B (zh) * | 2022-05-17 | 2024-01-05 | 北京理工大学 | 融合多级特征的增量式动态权值集成学习入侵检测方法 |
| CN115134433B (zh) * | 2022-06-24 | 2024-03-29 | 国网数字科技控股有限公司 | 一种工控协议的语义解析方法、系统、设备及存储介质 |
| CN115694967B (zh) * | 2022-10-28 | 2023-06-20 | 国网湖北省电力有限公司超高压公司 | 基于设备状态和正常行为模型的智能电网入侵检测方法 |
| CN115985515A (zh) * | 2023-03-20 | 2023-04-18 | 广东工业大学 | 一种基于机器学习的弱视矫治效果预测方法、装置及设备 |
| CN116208431B (zh) * | 2023-04-28 | 2023-08-11 | 国家工业信息安全发展研究中心 | 一种工控网络流量异常检测方法、系统、装置和可读介质 |
| CN117472789B (zh) * | 2023-12-28 | 2024-03-12 | 成都工业学院 | 基于集成学习的软件缺陷预测模型构建方法和装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101431416A (zh) * | 2008-12-10 | 2009-05-13 | 南京邮电大学 | 一种应用于数据网格的协同学习入侵检测方法 |
| CN102263790A (zh) * | 2011-07-18 | 2011-11-30 | 华北电力大学 | 一种基于集成学习的入侵检测方法 |
| CN102291392A (zh) * | 2011-07-22 | 2011-12-21 | 中国电力科学研究院 | 一种基于Bagging算法的复合式入侵检测方法 |
| US20170126745A1 (en) * | 2015-11-04 | 2017-05-04 | Monico Monitoring, Inc. | Industrial Network Security Translator |
| CN106921676A (zh) * | 2017-04-20 | 2017-07-04 | 电子科技大学 | 一种基于OPCClassic的入侵检测方法 |
| CN107104960A (zh) * | 2017-04-20 | 2017-08-29 | 四川电科智造科技有限公司 | 一种基于机器学习的工业控制系统入侵检测方法 |
| CN107204975A (zh) * | 2017-05-11 | 2017-09-26 | 四川大学 | 一种基于场景指纹的工业控制系统网络攻击检测技术 |
| CN109086603A (zh) * | 2018-07-10 | 2018-12-25 | 阜阳职业技术学院 | 一种基于机器学习的入侵检测系统及方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20130126814A (ko) * | 2012-04-26 | 2013-11-21 | 한국전자통신연구원 | 데이터마이닝을 이용한 트래픽 폭주 공격 탐지 및 심층적 해석 장치 및 방법 |
| CN105704103B (zh) * | 2014-11-26 | 2017-05-10 | 中国科学院沈阳自动化研究所 | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 |
| CN108429753A (zh) * | 2018-03-16 | 2018-08-21 | 重庆邮电大学 | 一种快速特征匹配的工业网络DDoS入侵检测方法 |
| CN108737410B (zh) * | 2018-05-14 | 2021-04-13 | 辽宁大学 | 一种基于特征关联的有限知工业通信协议异常行为检测方法 |
| CN109861988A (zh) * | 2019-01-07 | 2019-06-07 | 浙江大学 | 一种基于集成学习的工业控制系统入侵检测方法 |
-
2019
- 2019-01-07 CN CN201910011620.8A patent/CN109861988A/zh active Pending
- 2019-08-18 WO PCT/CN2019/101246 patent/WO2020143226A1/zh active Application Filing
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101431416A (zh) * | 2008-12-10 | 2009-05-13 | 南京邮电大学 | 一种应用于数据网格的协同学习入侵检测方法 |
| CN102263790A (zh) * | 2011-07-18 | 2011-11-30 | 华北电力大学 | 一种基于集成学习的入侵检测方法 |
| CN102291392A (zh) * | 2011-07-22 | 2011-12-21 | 中国电力科学研究院 | 一种基于Bagging算法的复合式入侵检测方法 |
| US20170126745A1 (en) * | 2015-11-04 | 2017-05-04 | Monico Monitoring, Inc. | Industrial Network Security Translator |
| CN106921676A (zh) * | 2017-04-20 | 2017-07-04 | 电子科技大学 | 一种基于OPCClassic的入侵检测方法 |
| CN107104960A (zh) * | 2017-04-20 | 2017-08-29 | 四川电科智造科技有限公司 | 一种基于机器学习的工业控制系统入侵检测方法 |
| CN107204975A (zh) * | 2017-05-11 | 2017-09-26 | 四川大学 | 一种基于场景指纹的工业控制系统网络攻击检测技术 |
| CN109086603A (zh) * | 2018-07-10 | 2018-12-25 | 阜阳职业技术学院 | 一种基于机器学习的入侵检测系统及方法 |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020143226A1 (zh) * | 2019-01-07 | 2020-07-16 | 浙江大学 | 一种基于集成学习的工业控制系统入侵检测方法 |
| CN110247910B (zh) * | 2019-06-13 | 2022-08-09 | 深信服科技股份有限公司 | 一种异常流量的检测方法、系统及相关组件 |
| CN110247910A (zh) * | 2019-06-13 | 2019-09-17 | 深信服科技股份有限公司 | 一种异常流量的检测方法、系统及相关组件 |
| CN110390357A (zh) * | 2019-07-17 | 2019-10-29 | 国网浙江省电力有限公司电力科学研究院 | 一种基于边信道的dtu安全监测方法 |
| CN110505215A (zh) * | 2019-07-29 | 2019-11-26 | 电子科技大学 | 基于虚拟运行和状态转换的工控系统网络攻击应对方法 |
| CN110535854A (zh) * | 2019-08-28 | 2019-12-03 | 南京市晨枭软件技术有限公司 | 一种用于工业控制系统入侵检测方法及系统 |
| CN110691073A (zh) * | 2019-09-19 | 2020-01-14 | 中国电子科技网络信息安全有限公司 | 一种基于随机森林的工控网络暴力破解流量检测方法 |
| CN110753049A (zh) * | 2019-10-21 | 2020-02-04 | 清华大学 | 一种基于工控网络流量的安全态势感知系统 |
| CN110753049B (zh) * | 2019-10-21 | 2021-04-13 | 清华大学 | 一种基于工控网络流量的安全态势感知系统 |
| CN112884167B (zh) * | 2019-11-29 | 2023-11-10 | 中国信托登记有限责任公司 | 一种基于机器学习的多指标异常检测方法及其应用系统 |
| CN112884167A (zh) * | 2019-11-29 | 2021-06-01 | 中国信托登记有限责任公司 | 一种基于机器学习的多指标异常检测方法及其应用系统 |
| CN113051553A (zh) * | 2019-12-27 | 2021-06-29 | 北京安控科技股份有限公司 | 一种事故规则的生成方法和系统 |
| CN111262722A (zh) * | 2019-12-31 | 2020-06-09 | 中国广核电力股份有限公司 | 一种用于工业控制系统网络的安全监测方法 |
| CN111343205B (zh) * | 2020-05-19 | 2020-09-01 | 中国航空油料集团有限公司 | 工控网络安全检测方法、装置、电子设备以及存储介质 |
| CN111343205A (zh) * | 2020-05-19 | 2020-06-26 | 中国航空油料集团有限公司 | 工控网络安全检测方法、装置、电子设备以及存储介质 |
| CN112202736A (zh) * | 2020-09-15 | 2021-01-08 | 浙江大学 | 基于统计学习和深度学习的工业控制系统通信网络异常分类方法 |
| CN112671726A (zh) * | 2020-12-10 | 2021-04-16 | 国网思极网安科技(北京)有限公司 | 工业控制协议解析方法、装置、电子设备和存储介质 |
| CN114172715A (zh) * | 2021-12-02 | 2022-03-11 | 上海交通大学宁波人工智能研究院 | 一种基于安全多方计算的工控入侵检测系统及方法 |
| CN114172715B (zh) * | 2021-12-02 | 2023-06-30 | 上海交通大学宁波人工智能研究院 | 一种基于安全多方计算的工控入侵检测系统及方法 |
| CN114489025A (zh) * | 2022-02-14 | 2022-05-13 | 上海交通大学宁波人工智能研究院 | 一种模型驱动的工业控制系统安全防护方法 |
| CN114489025B (zh) * | 2022-02-14 | 2023-07-04 | 上海交通大学宁波人工智能研究院 | 一种模型驱动的工业控制系统安全防护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020143226A1 (zh) | 2020-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109861988A (zh) | 一种基于集成学习的工业控制系统入侵检测方法 | |
| CN109167796B (zh) | 一种基于工业scada系统的深度包检测平台 | |
| JP6932270B2 (ja) | 敵対的学習に基づく工業制御システムの悪意あるサンプルの生成方法 | |
| CN110008713B (zh) | 一种工控系统漏洞探测方法及系统 | |
| CN110909811B (zh) | 一种基于ocsvm的电网异常行为检测、分析方法与系统 | |
| CN107438052B (zh) | 一种面向未知工业通信协议规约的异常行为检测方法 | |
| CN109613899A (zh) | 一种基于配置表的工控系统安全风险评估的方法 | |
| CN108737410B (zh) | 一种基于特征关联的有限知工业通信协议异常行为检测方法 | |
| Clotet et al. | A real-time anomaly-based IDS for cyber-attack detection at the industrial process level of critical infrastructures | |
| CN106982235A (zh) | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 | |
| CN110535854A (zh) | 一种用于工业控制系统入侵检测方法及系统 | |
| CN113904862A (zh) | 分布式列车控制网络入侵检测方法、系统、存储介质 | |
| CN110086810A (zh) | 基于特征行为分析的被动式工控设备指纹识别方法及装置 | |
| CN113162893B (zh) | 基于注意力机制的工业控制系统网络流量异常检测方法 | |
| CN113119124B (zh) | 一种机器人控制系统的安全防护系统 | |
| CN113067798B (zh) | Ics入侵检测方法、装置、电子设备和存储介质 | |
| CN107104960A (zh) | 一种基于机器学习的工业控制系统入侵检测方法 | |
| CN111698209A (zh) | 一种网络异常流量检测方法及装置 | |
| CN117411703A (zh) | 一种面向Modbus协议的工业控制网络异常流量检测方法 | |
| CN110266680A (zh) | 一种基于双重相似性度量的工业通信异常检测方法 | |
| CN113259367B (zh) | 工控网络流量多级异常检测方法及装置 | |
| Kim et al. | Unknown payload anomaly detection based on format and field semantics inference in cyber-physical infrastructure systems | |
| Deng et al. | Intrusion detection method based on support vector machine access of modbus TCP protocol | |
| CN110365717A (zh) | 基于hart-ip协议的工业入侵监测方法和系统 | |
| CN110262420A (zh) | 一种分布式工业控制网络安全检测系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190607 |