CN111343032B - 一种工控网络异常会话检测方法,装置,电子设备以及存储介质 - Google Patents
一种工控网络异常会话检测方法,装置,电子设备以及存储介质 Download PDFInfo
- Publication number
- CN111343032B CN111343032B CN202010416657.1A CN202010416657A CN111343032B CN 111343032 B CN111343032 B CN 111343032B CN 202010416657 A CN202010416657 A CN 202010416657A CN 111343032 B CN111343032 B CN 111343032B
- Authority
- CN
- China
- Prior art keywords
- session
- detection result
- source host
- abnormal
- base detector
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种工控网络异常会话检测方法,装置,电子设备以及存储介质。上述方法包括:构造基检测器集合;对通过所述基检测器集合的会话进行检测,得到检测结果向量R;根据所述检测结果向量R,更新疑似源主机列表;对所述检测结果向量执行集成策略,得到检测结果R0,其中R0∈[0,1];根据所述检测结果R0和所述疑似源主机列表,判断所述会话是否为异常会话。本发明基于模型集成策略,结合序贯检验方法更新疑似源主机列表,识别网络异常行为,在保证漏报率的基础上,进一步降低了虚警率。
Description
技术领域
本申请涉及工业控制领域,尤其涉及一种工控网络异常会话检测方法,装置,电子设备以及计算机可读存储介质。
背景技术
近年来工业控制系统(ICS)遭受网络异常攻击的情况日益频繁。由于工控系统对可用性要求较高,为了避免没有及时检测出异常而影响工控系统组件及设备的灵敏性和可靠性,造成严重的安全问题,迫切需要满足可检测微小工控网络异常、实时性强和准确度高的检测方法。
与传统网络明显不同的是,工业应用的网络环境下存在数据量小、周期性明显、突发性强的特点,因此无法简单移植传统网络的异常流量检测方案。传统的网络入侵检测系统(IDS)主要依赖于静态的签名和规则,规则库对于已知攻击的检测准确性高,但受限于专家知识,涉及工控场景的规则库可能不完善,不能满足工业控制网络对实时性较高、漏检率低且对未知攻击检测能力强的要求等。
近年发展比较成熟的完全依赖于监督学习的入侵检测技术,虽然更能在海量数据中找到最接近本质的特征表达,因而有更强的泛化能力,但同时仍然存在如下缺点,例如:已经被模型充分学习过的异常可能被漏报;标记工作量大;不完善性,场景问题在可以用的安全数据中的信息含量少,因此模型对于未知攻击的检测能力有限;样本会被误标记等。这些缺点会严重的削弱模型的异常检测能力。
发明内容
为解决上述技术问题,本发明的一个方面在于,提供一种工控网络异常会话检测方法,在工控行业网络实时异常检测背景下,对工控网络中未知、稀少异常具有高敏感能力,且能降低对正常流量的虚警率的异常检测。包括以下步骤:
对通过基检测器集合的会话进行检测,得到检测结果向量R;
根据所述检测结果向量R,更新疑似源主机列表;
对所述检测结果向量执行集成策略,得到检测结果R0,其中R0∈[0,1];
根据所述检测结果R0和所述疑似源主机列表,判断所述会话是否为异常会话。
可选的,所述对通过基检测器集合的会话进行检测,得到检测结果向量R的步骤之前还包括步骤:
根据模型评价指标体系,从待选基检测器中选择多个异构的基检测器,构造所述基检测器集合。
可选的,所述基检测器集合中包括基于以下检测模型的多种基检测器:基于线性模型的One-Class-SVM,基于聚类的模型,基于树的模型,基于时间序列的模型。
可选的,所述模型评价指标体系包括以下基于参照模型的评价指标中的至少一种:
参照的召回率FPR1,定义为所述参照模型未召回的正样本被所述待选基检测器召回的比例;
参照的虚警率TPR1,定义为所述参照模型未误报的负样本中被所述待选基检测器误报的比例;
参照的曲线下面积AUC1,定义为坐标点 (FPR1,TPR1) 的ROC曲线下面积;
其中,所述正样本为异常会话样本,所述负样本为正常会话样本,所述参照模型为预先选定的标准模型。
可选的,所述对通过基检测器集合的会话进行检测,得到检测结果向量R的步骤包括:
在所述基检测器集合中,选择召回率最高的基检测器DA;
使得所述会话通过所述DA,得到初步检测结果;以及
使得所述初步检测结果并行通过所述基检测器集合中的其他检测器,得到检测结果向量R。
可选的,所述使得所述会话通过所述DA,得到初步检测结果的步骤包括:
对通过所述DA的会话进行初步检测,丢弃检测为正常会话的会话,保留检测为异常会话的会话,得到初步检测结果;
所述使得所述初步检测结果并行通过所述基检测器集合中的其他检测器的步骤包括:
使得所述检测为异常会话的会话并行通过所述基检测器集合中的其他检测器。
可选的,所述集成策略包括以下集成方法中的至少一种:序贯集成,均匀集成,线性集成,模型堆叠集成。
可选的,所述根据所述检测结果向量R,更新疑似源主机列表的步骤包括:
定义指标
可选的,所述根据所述检测结果R0和所述疑似源主机列表,判断所述会话是否为异常的步骤包括:
否则,判断所述会话为正常会话。
本发明的另一个方面在于,提供一种基于疑似攻击源检验的工控网络异常会话检测装置,所述装置包括:
基检测器集合模块,用于对通过基检测器集合的会话进行检测,得到检测结果向量R;
疑似源主机列表更新模块,用于根据所述检测结果向量R,更新疑似源主机列表;
集成策略模块,用于对所述检测结果向量执行集成策略,得到检测结果R0,其中R0∈[0,1];
判断模块,用于根据所述检测结果R0和所述疑似源主机列表,判断所述会话是否为异常会话。
可选的,所述基检测器集合模块包括:
基检测器集合构造模块,用于根据模型评价指标体系,从待选基检测器中选择多个异构的基检测器,构造所述基检测器集合。
可选的,所述基检测器集合中包括基于以下检测模型的多种基检测器:基于线性模型的One-Class-SVM,基于聚类的模型,基于树的模型,基于时间序列的模型。
可选的,所述模型评价指标体系包括以下基于参照模型的评价指标中的至少一种:
参照的召回率FPR1,定义为所述参照模型未召回的正样本被所述待选基检测器召回的比例;
参照的虚警率TPR1,定义为所述参照模型未误报的负样本中被所述待选基检测器误报的比例;
参照的曲线下面积AUC1,定义为坐标点 (FPR1,TPR1) 的ROC曲线下面积;
其中,所述正样本为异常会话样本,所述负样本为正常会话样本,所述参照模型为预先选定的标准模型。
可选的,所述基检测器集合模块包括:
基检测器排序模块,用于在所述基检测器集合中,选择召回率最高的基检测器DA;使得所述会话通过所述基检测器DA,得到初步检测结果;以及使得所述初步检测结果并行通过所述基检测器集合中的其他检测器,得到检测结果向量R。
可选的,所述使得所述会话通过所述基检测器DA,得到初步检测结果包括:
对通过所述DA的会话进行初步检测,丢弃检测为正常会话的会话,保留检测为异常会话的会话,得到初步检测结果;
所述使得所述初步检测结果并行通过所述基检测器集合中的其他检测器的步骤包括:
使得所述检测为异常会话的会话并行通过所述基检测器集合中的其他检测器。
可选的,所述集成策略包括以下集成方法中的至少一种:序贯集成,均匀集成,线性集成,模型堆叠集成。
可选的,所述根据所述检测结果向量R,更新疑似源主机列表包括:
定义指标
可选的,所述根据所述检测结果R0和所述疑似源主机列表,判断所述会话是否为异常包括:
否则,判断所述会话为正常会话。
本发明的另一个方面在于,提供一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器耦合连接的存储器;其中,
所述存储器存储有计算机程序,所述计算机程序能够被所述至少一个处理器执行,以实现本发明所述的方法。
一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,当所述计算机程序被执行时,能够实现本发明所述的方法。
本发明基于模型集成策略,结合序贯检验方法更新疑似源主机列表,识别网络异常行为。本发明的方法具有如下特点:
1. 通过集成多个“好而不同”的基检测器,相对于传统入侵检测系统单纯基于规则或单模型进行攻击检测的方法,能够达到提高对未知、稀少异常的敏感能力,降低对正常流量的虚警率,增强检测系统的鲁棒性的目的;
2.利用序贯检验方法对疑似源主机列表进行实时更新,辅助模型集成结果的最后判断,在保证漏报率的基础上,进一步降低了虚警率;
3. 实时捕捉工控网络场景中的内部威胁或者异常,自适应地识别0 Day攻击,即零日漏洞攻击,从而适应工控流量突发性和周期性的特点。
附图说明
图1是本发明实施例中基于疑似攻击源检验的工控网络异常会话检测方法的流程图;
图2是本发明实施例中疑似源主机列表的更新方法;
图3是本发明实施例中基于疑似攻击源检验的工控网络异常会话检测装置的结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的具体实施例进行详细的阐述。
依据本发明的一个方面,提供一种工控网络异常会话检测方法。
如图1所示,所述方法包括以下步骤:
步骤1:对通过基检测器集合的会话进行检测,得到检测结果向量R。
在一个实施例中,所述基检测器集合中包含K个基检测器{D1,D2,…,DK}。所述步骤1具体包括以下步骤:
步骤101,根据召回率对所述K个基检测器进行排序,选择召回率最高的基检测器DA,其中所述召回率为召回的正样本比例,所述正样本为异常会话样本。
步骤102,使得所述会话通过所述DA,得到初步检测结果。在一个具体实施例中,对通过所述DA的会话进行初步检测,丢弃检测为正常会话的会话,保留检测为异常会话的会话,得到初步检测结果。
步骤103,使得所述初步检测结果并行通过所述基检测器集合中的其他检测器,得到检测结果向量R={R1,R2,…,RK-1}。在一个具体实施例中,使得所述检测为异常会话的会话并行通过所述基检测器集合中的其他检测器,得到检测结果向量R={R1,R2,…,RK-1}。
在所述步骤1之前,还可以包括步骤0:根据模型评价指标体系,从待选基检测器中选择多个异构的基检测器,构造所述基检测器集合。
常用的模型评价指标包括召回率TRP,虚警率FPR,曲线下面积值AUC等,这些指标可以表征基检测器对异常会话样本(即正样本)的召回情况,以及对正常会话样本(即负样本)的虚警情况。其中,基检测器对会话进行检测时,若判断为异常会话,则会将其召回。
召回率TRP定义为召回的正样本个数占输入的正样本总数的比例,即正确报警的比例,用于指示模型灵敏度。
虚警率FPR定义为召回的负样本个数占输入的负样本总数的比例,即正常会话被误报警的比例。
曲线下面积值AUC定义为受试者工作特征ROC曲线下面的面积,ROC曲线以召回率TPR为Y轴,以虚警率FPR为X轴。AUC越高,则被评价模型的区分能力越好。
在一个实施例中,预先选定效果较好的监督学习模型作为参照模型。分别给出相同测试集下参照模型和基检测器模型的混淆矩阵:
表1
参照模型 | P(预测为正) | N(预测为负) |
P(实际为正) | TP0 | FN0 |
N(实际为负) | FP0 | TN0 |
表2
基检测器 | P(预测为正) | N(预测为负) |
P(实际为正) | TP | FN |
N(实际为负) | FP | TN |
本实施例定义参照评价指标如下:
参照的召回率TPR1=TPin FN0/FN0,表示参照模型未召回的正样本被基检测器召回的比例,可以用来描述基检测器发现未知异常的能力;
TPin FN0 表示参照模型未召回的正样本被基检测器召回的数量,之所以选择这个指标是因为参照模型为监督训练获取,对于零日漏洞攻击检测能力有限,而这正是异常检测算法擅长的地方,可以召回参照模型未召回的正样本(即异常攻击样本);
参照的虚警率FPR1=TPin TN0/TN0,表示参照模型未召回的负样本中被基检测器召回的比例。因为相对于监督学习算法,异常检测算法的虚警率往往偏高,因此这个指标可以很好描述基检测器的虚警率。
FPin TN0,表示参照模型判断正确的负样本中被基检测器错误召回的数量,因为相对于监督学习算法,异常检测算法的虚警率往往偏高,因此这个指标可以很好描述基检测器的虚警率。
参照的曲线下面积AUC1为所有坐标点 (FPR1,TPR1) 的ROC曲线下面积,可以用于判断基检测器的性能优劣。
在一个实施例中,所述基检测器集合中包括基于以下检测模型的多种基检测器:
基于线性模型的One-Class-SVM,可以通过OCSVM或SVDD来实现,对于异常值敏感,训练模型时需要尽可能全面的正常样本,但易过拟合;可调试保存离线模型,定时更新。此模型需要正常流量进行训练,适用于识别工控内网中常见的扫描探测、拒绝服务等流量大、但实际异常的情形;
基于聚类的模型如LOF和DBSCAN。LOF对局部异常表现良好,可调试保存离线模型,定时更新。DBSCAN对非凸数据集表现良好,但在计算时间复杂度较高,实时检测情景下,需要选择合适的时间窗口进行检测。此模型适用于对工控内网中微小异常的捕捉;
基于树的模型Isolation Forest算法效果好,时间复杂度低,能有效处理高维和海量数据,但对局部异常簇不敏感,可以只使用正常样本训练及调试模型;既可选择调试保存离线模型,定时更新,又可选择在时间窗口内不依赖模型进行检测;
基于时间序列的模型,除了外部的RNN循环外,还具有内部的“细胞”自循环。和RNN相比,GRU、LSTM每个模块有相同的输入和输出参数,但也有更多的参数和控制信息流流动的门控模块系统,避免了RNN常见的梯度消失问题。此模型适用于对提取的深层时序Modbus功能码进行异常检测。
选择基检测器时,应当保证基检测器的多样性和区分度,从而保证其差异性。
步骤2,根据所述检测结果向量R,更新疑似源主机列表。
一般攻击主机会通过多条会话进行攻击以完成渗透目的,因此需要获取疑似源主机列表。在一个实施例中,如图2所述,公开了一种通过基于滑窗时间的序贯检验方法给出疑似源主机列表的更新方法。
将疑似源主机列表初始化为空集。
滑窗时间开始,在所述滑窗时间内,针对接收到的会话所涉及的每个源主机,分别计算其似然比系数。
定义指标
针对每一滑窗时间,都进行上述操作,以实现对疑似源主机列表的实时更新。
步骤3,对所述检测结果向量执行集成策略,得到检测结果R0,其中R0∈[0,1]。在一个实施例中,所述集成策略包括以下集成方法中的至少一种:序贯集成,均匀集成,线性集成,模型堆叠等。
步骤4,根据所述检测结果R0和所述疑似源主机列表,判断所述会话是否为异常。
否则,判断所述会话为正常会话。
依据本发明的另一个方面,提供一种基于疑似攻击源检验的工控网络异常会话检测装置。
如图3所示,所述装置包括:
基检测器集合模块,用于对通过基检测器集合的会话进行检测,得到检测结果向量R。在一个实施例中,所述基检测器集合模块还包括:基检测器集合构造模块,用于根据模型评价指标体系,从待选基检测器中选择多个异构的基检测器,构造所述基检测器集合;基检测器排序模块,用于在所述基检测器集合中,选择召回率最高的基检测器DA;使得所述会话通过所述基检测器DA,得到初步检测结果;以及使得所述初步检测结果并行通过所述基检测器集合中的其他检测器,得到检测结果向量R。
疑似源主机列表更新模块,用于根据所述检测结果向量R,更新疑似源主机列表。
集成策略模块,用于对所述检测结果向量执行集成策略,得到检测结果R0,其中R0∈[0,1];
判断模块,用于根据所述检测结果R0和所述疑似源主机列表,判断所述会话是否为异常会话。
本发明增加了基于时间序列的疑似攻击主机监测,疑似攻击主机列表基于指定滑窗时间内基检测器组的检测结果通过序贯检验方法给出。虽然工控攻击具有隐匿性,根据工控系统自上而下的多层结构特点,网络攻击会借助内部跳板完成,且一个攻击的实施完成需要多条会话,因此结合疑似源主机进行工控网络异常会话检测,能够在保证漏报率的基础上,进一步降低虚警率。
依据本发明的另一个方面,提供一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器耦合连接的存储器;其中,
所述存储器存储有计算机程序,所述计算机程序能够被所述至少一个处理器执行,以实现本发明所述的方法。
依据本发明的另一个方面,提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,当所述计算机程序被执行时,能够实现本发明所述的方法。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的模块及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置和设备的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例节能信号发送/接收的方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (10)
1.一种工控网络异常会话检测方法,其特征在于,包括以下步骤:
对通过基检测器集合的会话进行检测,得到检测结果向量R,包括:在基检测器集合中,选择召回率最高的基检测器DA;对通过所述基检测器DA的会话进行初步检测,丢弃检测为正常会话的会话,保留检测为异常会话的会话,得到初步检测结果;使得所述初步检测结果并行通过所述基检测器集合中的其他检测器,得到检测结果向量R;
根据所述检测结果向量R,更新疑似源主机列表;
对所述检测结果向量执行集成策略,得到检测结果R0,其中R0∈[0,1];
根据所述检测结果R0和所述疑似源主机列表,判断所述会话是否为异常会话。
2.根据权利要求1所述的工控网络异常会话检测方法,其特征在于,所述对通过基检测器集合的会话进行检测,得到检测结果向量R的步骤之前还包括步骤:
根据模型评价指标体系,从待选基检测器中选择多个异构的基检测器,构造所述基检测器集合。
3.根据权利要求2所述的工控网络异常会话检测方法,其特征在于,所述基检测器集合中包括基于以下检测模型的多种基检测器:基于线性模型的One-Class-SVM,基于聚类的模型,基于树的模型,基于时间序列的模型。
4.根据权利要求2所述的工控网络异常会话检测方法,其特征在于,所述模型评价指标体系包括以下基于参照模型的评价指标中的至少一种:
参照的召回率FPR1,定义为所述参照模型未召回的正样本被所述待选基检测器召回的比例;
参照的虚警率TPR1,定义为所述参照模型未误报的负样本中被所述待选基检测器误报的比例;
参照的曲线下面积AUC1,定义为坐标点 (FPR1,TPR1) 的ROC曲线下面积;
其中,所述正样本为异常会话样本,所述负样本为正常会话样本,所述参照模型为预先选定的标准模型。
5.根据权利要求1所述的工控网络异常会话检测方法,其特征在于,所述集成策略包括以下集成方法中的至少一种:序贯集成,均匀集成,线性集成,模型堆叠集成。
6.根据权利要求1所述的工控网络异常会话检测方法,其特征在于,所述根据所述检测结果向量R,更新疑似源主机列表的步骤包括:
定义指标
8.一种基于疑似攻击源检验的工控网络异常会话检测装置,其特征在于,所述装置包括:
基检测器集合模块,用于对通过基检测器集合的会话进行检测,得到检测结果向量R,包括:在基检测器集合中,选择召回率最高的基检测器DA;对通过所述基检测器DA的会话进行初步检测,丢弃检测为正常会话的会话,保留检测为异常会话的会话,得到初步检测结果;使得所述初步检测结果并行通过所述基检测器集合中的其他检测器,得到检测结果向量R;
疑似源主机列表更新模块,用于根据所述检测结果向量R,更新疑似源主机列表;
集成策略模块,用于对所述检测结果向量执行集成策略,得到检测结果R0,其中R0∈[0,1];
判断模块,用于根据所述检测结果R0和所述疑似源主机列表,判断所述会话是否为异常会话。
9.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器耦合连接的存储器;其中,
所述存储器存储有计算机程序,所述计算机程序能够被所述至少一个处理器执行,以实现权利要求1-7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,当所述计算机程序被执行时,能够实现权利要求1-7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010416657.1A CN111343032B (zh) | 2020-05-18 | 2020-05-18 | 一种工控网络异常会话检测方法,装置,电子设备以及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010416657.1A CN111343032B (zh) | 2020-05-18 | 2020-05-18 | 一种工控网络异常会话检测方法,装置,电子设备以及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111343032A CN111343032A (zh) | 2020-06-26 |
CN111343032B true CN111343032B (zh) | 2020-09-01 |
Family
ID=71187541
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010416657.1A Active CN111343032B (zh) | 2020-05-18 | 2020-05-18 | 一种工控网络异常会话检测方法,装置,电子设备以及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111343032B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115065568B (zh) * | 2022-08-19 | 2022-12-20 | 北京珞安科技有限责任公司 | 一种工控网络入侵检测方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106650768A (zh) * | 2016-09-27 | 2017-05-10 | 北京航空航天大学 | 基于高斯图模型的脑网络建模与模式分类方法 |
CN107657288A (zh) * | 2017-10-26 | 2018-02-02 | 国网冀北电力有限公司 | 一种基于孤立森林算法的电力调度流数据异常检测方法 |
CN109842614A (zh) * | 2018-12-29 | 2019-06-04 | 杭州电子科技大学 | 基于数据挖掘的网络入侵检测方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8015131B2 (en) * | 2007-10-12 | 2011-09-06 | Microsoft Corporation | Learning tradeoffs between discriminative power and invariance of classifiers |
CN108667856B (zh) * | 2018-08-10 | 2021-01-26 | 广东电网有限责任公司 | 一种网络异常检测方法、装置、设备及存储介质 |
-
2020
- 2020-05-18 CN CN202010416657.1A patent/CN111343032B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106650768A (zh) * | 2016-09-27 | 2017-05-10 | 北京航空航天大学 | 基于高斯图模型的脑网络建模与模式分类方法 |
CN107657288A (zh) * | 2017-10-26 | 2018-02-02 | 国网冀北电力有限公司 | 一种基于孤立森林算法的电力调度流数据异常检测方法 |
CN109842614A (zh) * | 2018-12-29 | 2019-06-04 | 杭州电子科技大学 | 基于数据挖掘的网络入侵检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111343032A (zh) | 2020-06-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113554089B (zh) | 一种图像分类对抗样本防御方法、系统及数据处理终端 | |
US11775826B2 (en) | Artificial intelligence with cyber security | |
KR102120214B1 (ko) | 앙상블 기계학습 기법을 이용한 사이버 표적공격 탐지 시스템 및 그 탐지 방법 | |
CN113743509B (zh) | 一种基于不完全信息的在线作战意图识别方法及装置 | |
WO2021043126A1 (en) | System and method for event recognition | |
CN113660196A (zh) | 一种基于深度学习的网络流量入侵检测方法及装置 | |
CN117461032A (zh) | 异常检测系统及方法 | |
CN110808995B (zh) | 安全防护方法和装置 | |
CN111343032B (zh) | 一种工控网络异常会话检测方法,装置,电子设备以及存储介质 | |
CN117220920A (zh) | 基于人工智能的防火墙策略管理方法 | |
CN112613032B (zh) | 基于系统调用序列的主机入侵检测方法及装置 | |
CN114650447A (zh) | 一种确定视频内容异常程度的方法、装置及计算设备 | |
CN112085281B (zh) | 检测业务预测模型安全性的方法及装置 | |
CN116962047A (zh) | 一种可解释的威胁情报生成方法、系统及装置 | |
CN116842520A (zh) | 基于检测模型的异常感知方法、装置、设备及介质 | |
CN115758337A (zh) | 基于时序图卷积网络的后门实时监测方法、电子设备、介质 | |
Narengbam et al. | Harris hawk optimization trained artificial neural network for anomaly based intrusion detection system | |
Yan et al. | $ D^ 3$: Detoxing Deep Learning Dataset | |
CN111209567A (zh) | 提高检测模型鲁棒性的可知性判断方法及装置 | |
CN116739073B (zh) | 一种基于进化偏差的在线后门样本检测方法及系统 | |
CN118070077A (zh) | 基于联邦学习和双重监督对比学习的故障诊断方法及系统 | |
CN116545783B (zh) | 基于稀疏逻辑回归的网络入侵检测方法及装置 | |
CN114615026B (zh) | 异常流量检测方法、装置及电子设备 | |
Pawlicki et al. | Improving Siamese Neural Networks with Border Extraction Sampling for the use in Real-Time Network Intrusion Detection | |
US20240144097A1 (en) | Universal Post-Training Backdoor Detection and Mitigation for Classifiers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |