CN110768946A - 一种基于布隆过滤器的工控网络入侵检测系统及方法 - Google Patents
一种基于布隆过滤器的工控网络入侵检测系统及方法 Download PDFInfo
- Publication number
- CN110768946A CN110768946A CN201910744088.0A CN201910744088A CN110768946A CN 110768946 A CN110768946 A CN 110768946A CN 201910744088 A CN201910744088 A CN 201910744088A CN 110768946 A CN110768946 A CN 110768946A
- Authority
- CN
- China
- Prior art keywords
- element model
- legal
- model set
- message
- industrial control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
Abstract
本发明公开了一种基于布隆过滤器的工控网络入侵检测系统及方法,属于信息技术领域。本发明包括:训练模块,所述训练模块部署在无恶意流量的测试网络中,基于布隆过滤器记录合法流量包含的合法n元模型集合,针对合法n元模型进行训练,生成训练模型;检测模块,记录所述多字节数据中的n元模型集合和n元模型集合中的元素个数H,确定所述n元模型集合中任意一个n元模型是否属于合法n元模型集合,记录不属于合法n元模型集合的n元模型的数量h,获取异常值s,确定工控网络报文为入侵异常报文并生成报警信息。本发明充分考虑了工控系统环境下的通信报文规律性强,正常情况下极少出现异常报文的特点,因此对未知威胁的检测准确率高。
Description
技术领域
本发明涉及信息技术领域,并且更具体地,涉及一种基于布隆过滤器的工控网络入侵检测系统及方法。
背景技术
入侵检测技术是一种广泛应用于信息系统安全防护的技术,用于发现来自黑客或者恶意软件(如病毒、蠕虫、木马等)的恶意流量。应用入侵检测技术的设备通常被称为入侵检测系统。在传统的信息系统中,入侵检测技术得到了广泛的应用。从技术原理上,入侵检测技术可分为两类,即基于误用的检测和基于异常的检测。基于误用的检测是检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。而基于异常的检测模型则是检测与可接受行为之间的偏差。如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低,误报率高。因为不需要对每种入侵行为进行定义,所以能有效检测未知的入侵。
绝大部分市面上现有入侵检测产品是利用基于误用的检测模型实现的。如图1所示,这种模型采用模式匹配的算法,将采集到的相关信息如网络报文、主机日志等与存储在入侵行为特征库中的恶意行为进行模式匹配判别,如果能够匹配成功,则认为存在入侵行为,反之,则不存在入侵行为。举一个简单的例子,如需要对SQL注入攻击进行识别,则入侵行为特征库需要包含SQL注入的攻击特征。一种常用的方法是关键字匹配。在包含SQL注入攻击载荷的HTTP请求报文中,通常包含有AND、SELECT、OR、WHERE、UPDATE等SQL语句关键字,因此只需对HTTP请求的报文进行字符串匹配,如果含有以上关键字,则判定为入侵行为。
基于误用的检测模型有误报率低的优点,但是,这种检测方法依赖于入侵行为特征库所能涵盖的攻击载荷的数量。因此,该模型仅能检测已知的攻击,无法检测新出现的攻击载荷。攻击者同时可以针对性的绕过特征库中的匹配规则。例如:针对上面检测SQL注入攻击中检测SQL语句关键字的的匹配规则,攻击者可以变换大小写、插入“/**/”等注释符号的方法绕过。
为了达到最优的检测效果,需要通过人工不断的追踪最新的攻击方法、提取特征、实时更新特征库。然而,这一要求往往无法在工控网络环境中实现。这是因为工控网络作为一种特殊的网络,从安全方面考虑,与互联网相互物理隔离。因此外部厂商提供的策略更新往往很难即使推送至部署在工控网内部的入侵检测系统上。另外,对于新出现的攻击方法,需要消耗大量人力去收集并提取特征,很难做到全面覆盖。而对于未公开的攻击方法,该模型也无能为力。
第二种入侵检测的技术方案是基于异常的检测,其实现方法是采用机器学习的算法构建分类器,将恶意攻击和正常操作区分出来。采用的机器学习算法包括有监督的学习和无监督学习两种。无监督学习的典型算法有K-mean、Fuzzy C-mean等,有监督的学习算法包括人工神经网络、支持向量机、决策树算法等。其一般的流程为:(1)收集恶意攻击样本和正常的操作样本,形成训练的数据集;选取一个机器学习算法,利用训练集计算一个分类器;
利用分类器判别新的数据。该技术方案针对未知攻击的误报率较高;
分类器的性能取决于训练集的数量和质量,为了提升分类器的性能,需要大量数据构建训练集。而训练集的数据需要人工进行甄别,工作量大,且训练集可能存在数据污染的情况,从而导致分类器的性能的严重下降;分类器训练和判别都需要大量的计算,在检测效率的约束下,计算量的提升意味着更多的计算资源的需求,也意味着更高硬件成本。
本发明不需要实时更新策略库即可实现对未知攻击的检测,对硬件资源要求低,从内存的占用的角度来看,若原始的n元模型集合中有一千万个元素,n取5,则每个元素占5个字节,存储原始的n元模型集合需要约50MB的内存;而在转化成布隆过滤器后,在ε=10-8的条件下,由公式(1)可以计算出消耗的内存约为14.4MB,仅为原始数据的29%;
从计算资源的占用来看,由于Bloom-filter的操作和异常评分s计算的时间复杂度都是O(1),即常数时间,因此对处理器的计算能力要求较低。可以部署在低功耗的嵌入式系统上。
本发明充分考虑了工控系统环境下的通信报文规律性强,正常情况下极少出现异常报文的特点,因此对未知威胁的检测准确率高。
本发明不需要实时更新策略库即可实现对未知攻击的检测,对硬件资源要求低,从内存的占用的角度来看,若原始的n元模型集合中有一千万个元素,n取5,则每个元素占5个字节,存储原始的n元模型集合需要约50MB的内存;而在转化成布隆过滤器后,在ε=10-8的条件下,由公式(1)可以计算出消耗的内存约为14.4MB,仅为原始数据的29%;
从计算资源的占用来看,由于Bloom-filter的操作和异常评分s计算的时间复杂度都是O(1),即常数时间,因此对处理器的计算能力要求较低。可以部署在低功耗的嵌入式系统上。
本发明充分考虑了工控系统环境下的通信报文规律性强,正常情况下极少出现异常报文的特点,因此对未知威胁的检测准确率高。
发明内容
针对上述问题本发明提出了一种基于布隆过滤器的工控网络入侵检测系统,所述系统包括:
训练模块,所述训练模块部署在无恶意流量的测试网络中,基于布隆过滤器记录合法流量包含的合法n元模型集合;
针对合法n元模型进行训练,具体包括:
假设合法n元模型集合具有l个元素,通过k个散列函数将l个元素映射到一个由m个比特位构成的布隆过滤器中,生成训练模型,所述m位过滤器每一个比特位都初始化为0;
检测模块,所述检测模块获取工控网络报文并去除TCP/IP报头,进而获取一段符合工控协议通信规约的多字节数据,并记录所述多字节数据中的n元模型集合和n元模型集合中的元素个数H;
将n元模型集合中的H个元素输入训练模型中,确定所述n元模型集合中任意一个n元模型是否属于合法n元模型集合,当确定所述n元模型集合中任意一个n元模型不属于合法n元模型集合时;
记录不属于合法n元模型集合的n元模型的数量h,获取异常值s,将异常值s和预设阈值T进行比较,若s≥T,则确定工控网络报文为入侵异常报文并生成报警信息。
可选的,系统还包括:协议分析和报文解析模块,将来自以太网或者RS485接口的数据报文进行协议分析,提取数据报文信息,所述数据报文信息包括:源目地址、规约类型、报文长度、报文内容、端口号、数据链路层和传输层协议类型。
可选的,系统还包括:告警展示模块,所述的告警展示模块根据报警信息,对工控网络报文异常报文的数据报文信息进行展示。
可选的,散列函数的输出在[1,m]之间。
可选的,k,l和m为大于1的自然数,所述k和m根据如下公式进行确定:
ε为布隆过滤器发生碰撞导致选择错误的概率阈值。
可选的,映射过程具体包括:
将合法n元模型集合的中任意一个元素输入到k个散列函数中,获取输出值;
若第i个散列函数的输出值为Hi,且1≤i≤K,将m位过滤器中的第Hi位设置成1。
本发明还提供了一种基于布隆过滤器的工控网络入侵检测方法,所述方法包括:
在无恶意流量的测试网络中,基于布隆过滤器记录合法流量包含的合法n元模型集合;
针对合法n元模型进行训练,具体包括:
假设合法n元模型集合具有l个元素,通过k个散列函数将l个元素映射到一个由m个比特位构成的布隆过滤器中,生成训练模型,所述m位过滤器每一个比特位都初始化为0;
获取工控网络报文并去除TCP/IP报头,进而获取一段符合工控协议通信规约的多字节数据,并记录所述多字节数据中的n元模型集合和n元模型集合中的元素个数H;
将n元模型集合中的H个元素输入训练模型中,确定所述n元模型集合中任意一个n元模型是否属于合法n元模型集合,当确定所述n元模型集合中任意一个n元模型不属于合法n元模型集合时;
记录不属于合法n元模型集合的n元模型的数量h,获取异常值s,将异常值s和预设阈值T进行比较,若s≥T,则确定工控网络报文为入侵异常报文并生成报警信息。
可选的,方法还包括:将来自以太网或者RS485接口的数据报文进行协议分析,提取数据报文信息,所述数据报文信息包括:源目地址、规约类型、报文长度、报文内容、端口号、数据链路层和传输层协议类型。
可选的,方法还包括:对工控网络报文异常报文的数据报文信息进行展示。
可选的,散列函数的输出在[1,m]之间。
可选的,k,l和m为大于1的自然数,所述k和m根据如下公式进行确定:
ε为布隆过滤器发生碰撞导致选择错误的概率阈值。
可选的,映射过程具体包括:
将合法n元模型集合的中任意一个元素输入到k个散列函数中,获取输出值;
若第i个散列函数的输出值为Hi,且1≤i≤K,将m位过滤器中的第Hi位设置成1。
附图说明
图1为本发明一种基于布隆过滤器的工控网络入侵检测系统结构图;
图2为本发明一种基于布隆过滤器的工控网络入侵检测方法流程图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
本发明提出了一种基于布隆过滤器的工控网络入侵检测系统200,如图1所示,包括:
训练模块201,部署在无恶意流量的测试网络中,基于布隆过滤器记录合法流量包含的合法n元模型集合;
针对合法n元模型进行训练,具体包括:
假设合法n元模型集合具有l个元素,通过k个散列函数将l个元素映射到一个由m个比特位构成的布隆过滤器中,生成训练模型,所述m位过滤器每一个比特位都初始化为0;
映射过程具体包括:
将合法n元模型集合的中任意一个元素输入到k个散列函数中,获取输出值;
若第i个散列函数的输出值为Hi,且1≤i≤K,将m位过滤器中的第Hi位设置成1。
散列函数的输出在[1,m]之间;
k,l和m为大于1的自然数,所述k和m根据如下公式进行确定:
ε为布隆过滤器发生碰撞导致选择错误的概率阈值。
检测模块202,获取工控网络报文并去除TCP/IP报头,进而获取一段符合工控协议通信规约的多字节数据,并记录所述多字节数据中的n元模型集合和n元模型集合中的元素个数H;
将n元模型集合中的H个元素输入训练模型中,确定所述n元模型集合中任意一个n元模型是否属于合法n元模型集合,当确定所述n元模型集合中任意一个n元模型不属于合法n元模型集合时;
记录不属于合法n元模型集合的n元模型的数量h,获取异常值s,将异常值s和预设阈值T进行比较,若s≥T,则确定工控网络报文为入侵异常报文并生成报警信息。
协议分析和报文解析模块203,将来自以太网或者RS485接口的数据报文进行协议分析,提取数据报文信息,所述数据报文信息包括:源目地址、规约类型、报文长度、报文内容、端口号、数据链路层和传输层协议类型。
告警展示模块204,所述的告警展示模块根据报警信息,对工控网络报文异常报文的数据报文信息进行展示。
本发明还提供了一种基于布隆过滤器的工控网络入侵检测方法,如图2所示,包括:
在无恶意流量的测试网络中,基于布隆过滤器记录合法流量包含的合法n元模型集合;
针对合法n元模型进行训练,具体包括:
假设合法n元模型集合具有l个元素,通过k个散列函数将l个元素映射到一个由m个比特位构成的布隆过滤器中,生成训练模型,所述m位过滤器每一个比特位都初始化为0;
散列函数的输出在[1,m]之间。
k,l和m为大于1的自然数,所述k和m根据如下公式进行确定:
ε为布隆过滤器发生碰撞导致选择错误的概率阈值。
映射过程具体包括:
将合法n元模型集合的中任意一个元素输入到k个散列函数中,获取输出值;
若第i个散列函数的输出值为Hi,且1≤i≤K,将m位过滤器中的第Hi位设置成1。
获取工控网络报文并去除TCP/IP报头,进而获取一段符合工控协议通信规约的多字节数据,并记录所述多字节数据中的n元模型集合和n元模型集合中的元素个数H;
将n元模型集合中的H个元素输入训练模型中,确定所述n元模型集合中任意一个n元模型是否属于合法n元模型集合,当确定所述n元模型集合中任意一个n元模型不属于合法n元模型集合时;
记录不属于合法n元模型集合的n元模型的数量h,获取异常值s,将异常值s和预设阈值T进行比较,若s≥T,则确定工控网络报文为入侵异常报文并生成报警信息。
将来自以太网或者RS485接口的数据报文进行协议分析,提取数据报文信息,所述数据报文信息包括:源目地址、规约类型、报文长度、报文内容、端口号、数据链路层和传输层协议类型。
对工控网络报文异常报文的数据报文信息进行展示。
本发明不需要实时更新策略库即可实现对未知攻击的检测,对硬件资源要求低,从内存的占用的角度来看,若原始的n元模型集合中有一千万个元素,n取5,则每个元素占5个字节,存储原始的n元模型集合需要约50MB的内存;而在转化成布隆过滤器后,在ε=10-8的条件下,由公式(1)可以计算出消耗的内存约为14.4MB,仅为原始数据的29%;
从计算资源的占用来看,由于Bloom-filter的操作和异常评分s计算的时间复杂度都是O(1),即常数时间,因此对处理器的计算能力要求较低。可以部署在低功耗的嵌入式系统上。
本发明充分考虑了工控系统环境下的通信报文规律性强,正常情况下极少出现异常报文的特点,因此对未知威胁的检测准确率高。
Claims (12)
1.一种基于布隆过滤器的工控网络入侵检测系统,所述系统包括:
训练模块,所述训练模块部署在无恶意流量的测试网络中,基于布隆过滤器记录合法流量包含的合法n元模型集合;
针对合法n元模型进行训练,具体包括:
假设合法n元模型集合具有l个元素,通过k个散列函数将l个元素映射到一个由m个比特位构成的布隆过滤器中,生成训练模型,所述m位过滤器每一个比特位都初始化为0;
检测模块,所述检测模块获取工控网络报文并去除TCP/IP报头,进而获取一段符合工控协议通信规约的多字节数据,并记录所述多字节数据中的n元模型集合和n元模型集合中的元素个数H;
将n元模型集合中的H个元素输入训练模型中,确定所述n元模型集合中任意一个n元模型是否属于合法n元模型集合,当确定所述n元模型集合中任意一个n元模型不属于合法n元模型集合时;
记录不属于合法n元模型集合的n元模型的数量h,获取异常值s,将异常值s和预设阈值T进行比较,若s≥T,则确定工控网络报文为入侵异常报文并生成报警信息。
2.根据权利要求1所述的系统,所述的系统还包括:协议分析和报文解析模块,将来自以太网或者RS485接口的数据报文进行协议分析,提取数据报文信息,所述数据报文信息包括:源目地址、规约类型、报文长度、报文内容、端口号、数据链路层和传输层协议类型。
3.根据权利要求1所述的系统,所述的系统还包括:告警展示模块,所述的告警展示模块根据报警信息,对工控网络报文异常报文的数据报文信息进行展示。
4.根据权利要求1所述的系统,所述的散列函数的输出在[1,m]之间。
6.根据权利要求1所述的系统,所述的映射过程具体包括:
将合法n元模型集合的中任意一个元素输入到k个散列函数中,获取输出值;
若第i个散列函数的输出值为Hi,且1≤i≤K,将m位过滤器中的第Hi位设置成1。
7.一种基于布隆过滤器的工控网络入侵检测方法,所述方法包括:
在无恶意流量的测试网络中,基于布隆过滤器记录合法流量包含的合法n元模型集合;
针对合法n元模型进行训练,具体包括:
假设合法n元模型集合具有l个元素,通过k个散列函数将l个元素映射到一个由m个比特位构成的布隆过滤器中,生成训练模型,所述m位过滤器每一个比特位都初始化为0;
获取工控网络报文并去除TCP/IP报头,进而获取一段符合工控协议通信规约的多字节数据,并记录所述多字节数据中的n元模型集合和n元模型集合中的元素个数H;
将n元模型集合中的H个元素输入训练模型中,确定所述n元模型集合中任意一个n元模型是否属于合法n元模型集合,当确定所述n元模型集合中任意一个n元模型不属于合法n元模型集合时;
记录不属于合法n元模型集合的n元模型的数量h,获取异常值s,将异常值s和预设阈值T进行比较,若s≥T,则确定工控网络报文为入侵异常报文并生成报警信息。
8.根据权利要求7所述的方法,所述的方法还包括:将来自以太网或者RS485接口的数据报文进行协议分析,提取数据报文信息,所述数据报文信息包括:源目地址、规约类型、报文长度、报文内容、端口号、数据链路层和传输层协议类型。
9.根据权利要求7所述的方法,所述的方法还包括:对工控网络报文异常报文的数据报文信息进行展示。
10.根据权利要求7所述的方法,所述的散列函数的输出在[1,m]之间。
12.根据权利要求7所述的方法,所述的映射过程具体包括:
将合法n元模型集合的中任意一个元素输入到k个散列函数中,获取输出值;
若第i个散列函数的输出值为Hi,且1≤i≤K,将m位过滤器中的第Hi位设置成1。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910744088.0A CN110768946A (zh) | 2019-08-13 | 2019-08-13 | 一种基于布隆过滤器的工控网络入侵检测系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910744088.0A CN110768946A (zh) | 2019-08-13 | 2019-08-13 | 一种基于布隆过滤器的工控网络入侵检测系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110768946A true CN110768946A (zh) | 2020-02-07 |
Family
ID=69329813
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910744088.0A Pending CN110768946A (zh) | 2019-08-13 | 2019-08-13 | 一种基于布隆过滤器的工控网络入侵检测系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110768946A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111800312A (zh) * | 2020-06-23 | 2020-10-20 | 中国核动力研究设计院 | 一种基于报文内容分析的工控系统异常检测方法及系统 |
CN112532598A (zh) * | 2020-11-19 | 2021-03-19 | 南京大学 | 一种用于实时入侵检测系统的过滤方法 |
CN113542188A (zh) * | 2020-04-13 | 2021-10-22 | 华为技术有限公司 | 报文检测的方法以及第一网络设备 |
CN114039745A (zh) * | 2021-10-08 | 2022-02-11 | 中移(杭州)信息技术有限公司 | 网站异常流量的识别方法、设备及介质 |
CN114244618A (zh) * | 2021-12-22 | 2022-03-25 | 北京天融信网络安全技术有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
CN114547597A (zh) * | 2021-12-02 | 2022-05-27 | 四川大学 | 一种基于改进布隆过滤器的工控入侵检测方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1761210A (zh) * | 2005-11-08 | 2006-04-19 | 东南大学 | 入侵检测系统用增强多哈希的源串还原方法 |
CN101686235A (zh) * | 2008-09-26 | 2010-03-31 | 中联绿盟信息技术(北京)有限公司 | 网络异常流量分析设备和方法 |
CN104899513A (zh) * | 2015-06-01 | 2015-09-09 | 上海云物信息技术有限公司 | 一种工业控制系统恶意数据攻击的数据图检测方法 |
CN105204487A (zh) * | 2014-12-26 | 2015-12-30 | 北京邮电大学 | 基于通信模型的工业控制系统的入侵检测方法及系统 |
US20160328382A1 (en) * | 2015-05-05 | 2016-11-10 | International Business Machines Corporation | Cross-domain adaptation using bloom filters |
CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
CN108429753A (zh) * | 2018-03-16 | 2018-08-21 | 重庆邮电大学 | 一种快速特征匹配的工业网络DDoS入侵检测方法 |
CN108881254A (zh) * | 2018-06-29 | 2018-11-23 | 中国科学技术大学苏州研究院 | 基于神经网络的入侵检测系统 |
-
2019
- 2019-08-13 CN CN201910744088.0A patent/CN110768946A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1761210A (zh) * | 2005-11-08 | 2006-04-19 | 东南大学 | 入侵检测系统用增强多哈希的源串还原方法 |
CN101686235A (zh) * | 2008-09-26 | 2010-03-31 | 中联绿盟信息技术(北京)有限公司 | 网络异常流量分析设备和方法 |
CN105204487A (zh) * | 2014-12-26 | 2015-12-30 | 北京邮电大学 | 基于通信模型的工业控制系统的入侵检测方法及系统 |
US20160328382A1 (en) * | 2015-05-05 | 2016-11-10 | International Business Machines Corporation | Cross-domain adaptation using bloom filters |
CN104899513A (zh) * | 2015-06-01 | 2015-09-09 | 上海云物信息技术有限公司 | 一种工业控制系统恶意数据攻击的数据图检测方法 |
CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及系统 |
CN108429753A (zh) * | 2018-03-16 | 2018-08-21 | 重庆邮电大学 | 一种快速特征匹配的工业网络DDoS入侵检测方法 |
CN108881254A (zh) * | 2018-06-29 | 2018-11-23 | 中国科学技术大学苏州研究院 | 基于神经网络的入侵检测系统 |
Non-Patent Citations (1)
Title |
---|
郭永和等: "一种基于网络报文分析的电力工控系统入侵检测方法", 《网络安全技术与应用》 * |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113542188A (zh) * | 2020-04-13 | 2021-10-22 | 华为技术有限公司 | 报文检测的方法以及第一网络设备 |
CN113542188B (zh) * | 2020-04-13 | 2023-04-18 | 华为技术有限公司 | 报文检测的方法以及第一网络设备 |
CN111800312A (zh) * | 2020-06-23 | 2020-10-20 | 中国核动力研究设计院 | 一种基于报文内容分析的工控系统异常检测方法及系统 |
CN111800312B (zh) * | 2020-06-23 | 2021-08-24 | 中国核动力研究设计院 | 一种基于报文内容分析的工控系统异常检测方法及系统 |
CN112532598A (zh) * | 2020-11-19 | 2021-03-19 | 南京大学 | 一种用于实时入侵检测系统的过滤方法 |
CN112532598B (zh) * | 2020-11-19 | 2021-10-26 | 南京大学 | 一种用于实时入侵检测系统的过滤方法 |
CN114039745A (zh) * | 2021-10-08 | 2022-02-11 | 中移(杭州)信息技术有限公司 | 网站异常流量的识别方法、设备及介质 |
CN114547597A (zh) * | 2021-12-02 | 2022-05-27 | 四川大学 | 一种基于改进布隆过滤器的工控入侵检测方法 |
CN114547597B (zh) * | 2021-12-02 | 2023-03-31 | 四川大学 | 一种基于改进布隆过滤器的工控入侵检测方法 |
CN114244618A (zh) * | 2021-12-22 | 2022-03-25 | 北京天融信网络安全技术有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
CN114244618B (zh) * | 2021-12-22 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110768946A (zh) | 一种基于布隆过滤器的工控网络入侵检测系统及方法 | |
CN110011999B (zh) | 基于深度学习的IPv6网络DDoS攻击检测系统及方法 | |
US9514246B2 (en) | Anchored patterns | |
US8682812B1 (en) | Machine learning based botnet detection using real-time extracted traffic features | |
CN111431939B (zh) | 基于cti的sdn恶意流量防御方法 | |
CN112468347B (zh) | 一种云平台的安全管理方法、装置、电子设备及存储介质 | |
CN107122221A (zh) | 用于正则表达式的编译器 | |
CN109660518B (zh) | 网络的通信数据检测方法、装置以及机器可读存储介质 | |
EP2415229A1 (en) | Method and system for alert classification in a computer network | |
CN112333195B (zh) | 基于多源日志关联分析的apt攻击场景还原检测方法及系统 | |
Dhakar et al. | A novel data mining based hybrid intrusion detection framework | |
CN113420802B (zh) | 基于改进谱聚类的报警数据融合方法 | |
US11706236B2 (en) | Autonomous application of security measures to IoT devices | |
US10931706B2 (en) | System and method for detecting and identifying a cyber-attack on a network | |
CN112491860A (zh) | 一种面向工业控制网络的协同入侵检测方法 | |
CN114021135A (zh) | 一种基于R-SAX的LDoS攻击检测与防御方法 | |
CN117061254B (zh) | 异常流量检测方法、装置和计算机设备 | |
CN112333180A (zh) | 一种基于数据挖掘的apt攻击检测方法及系统 | |
CN112235242A (zh) | 一种c&c信道检测方法及系统 | |
CN115174251B (zh) | 一种安全告警的误报识别方法、装置以及存储介质 | |
KR20110107880A (ko) | 패스트 정보 엔트로피와 능동형 이동평균 탐지기를 이용한 분산형 서비스 거부 공격 탐지 방법 | |
CN115277178A (zh) | 基于企业网网络流量的异常监测方法、装置及存储介质 | |
CN114124834A (zh) | 一种工业控制网络内icmp隐蔽隧道检测的集成学习装置及方法 | |
Su et al. | An online response system for anomaly traffic by incremental mining with genetic optimization | |
CN115499251B (zh) | 一种边缘IoT设备的异常流量及攻击检测方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200207 |