CN111343205B - 工控网络安全检测方法、装置、电子设备以及存储介质 - Google Patents

工控网络安全检测方法、装置、电子设备以及存储介质 Download PDF

Info

Publication number
CN111343205B
CN111343205B CN202010422309.5A CN202010422309A CN111343205B CN 111343205 B CN111343205 B CN 111343205B CN 202010422309 A CN202010422309 A CN 202010422309A CN 111343205 B CN111343205 B CN 111343205B
Authority
CN
China
Prior art keywords
subset
detector
library
heterogeneous
algorithm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010422309.5A
Other languages
English (en)
Other versions
CN111343205A (zh
Inventor
周文
成龙
董贵山
郭晓玲
徐砚
任琳琳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Aviation Oil Group Co ltd
China Electronic Technology Cyber Security Co Ltd
Original Assignee
China Aviation Oil Group Co ltd
China Electronic Technology Cyber Security Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Aviation Oil Group Co ltd, China Electronic Technology Cyber Security Co Ltd filed Critical China Aviation Oil Group Co ltd
Priority to CN202010422309.5A priority Critical patent/CN111343205B/zh
Publication of CN111343205A publication Critical patent/CN111343205A/zh
Application granted granted Critical
Publication of CN111343205B publication Critical patent/CN111343205B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种工控网络安全检测方法,包括以下步骤:接收第一随机参数,从基检测器库中动态获取一个异构基检测器子集;接收第二随机参数,从集成算法库中动态获取一个集成算法,所述集成算法库为预先配置的;基于所述异构基检测器子集中各个基检测器,自适应地提取待检测网络会话的特征子集;将所述特征子集输入所述异构基检测器子集,得到的输出结果经过所述集成算法,得到检测结果。本发明通过动态选择异构的基检测器、异构的集成方法,针对不同的基检测器,采用动态异构的集成方法,使攻击者不易捕捉检测系统的漏洞进行对抗攻击。

Description

工控网络安全检测方法、装置、电子设备以及存储介质
技术领域
本申请涉及工业控制领域,尤其涉及一种工控网络安全检测方法、装置、电子设备以及存储介质。
背景技术
所有网络攻击会体现为通信行为异常,这是通过被动流量检测进行网络安全监测的基础。结合工业控制网络的分层结构特点,目前工控网络攻击场景主要有三种表现:其一是针对OSI七层协议中第3-4层网络层和传输层的传统网络攻击,比如扫描探测、DDoS、缓冲区溢出攻击;其二是针对OSI协议中第7层应用层的基于工控深度协议的网络攻击,比如PLC蠕虫攻击造成的C&C通信、DDoS,SCADA系统中的S7、Modbus流量篡改、中间人攻击;其三是针对第7层的隐蔽过程攻击,该类攻击命令虽然符合协议规范,但违背了工控系统的生产逻辑,使系统处于危险状态,比如假数据注入攻击(FDIAs)。
针对上述工控网络攻击的三种表现,现有技术中工控网络安全检测技术主要分为三类。一类是近年发展比较成熟的完全依赖于监督学习的入侵检测技术,特别是基于CNN、RNN深度学习方法在网络安全中的应用;但模型依赖于适合安全场景的标记数据,而实际可用的异常安全数据往往有限,因此模型对于未知攻击的检测能力有限。一类是完全依赖于无监督学习的异常检测技术,不需要事先标记好数据,可以通过数据本身在时空维度上的内在联系,通过基于统计的、分层的、基于聚类的、基于孤立性等特点建立异常检测模型;但也存在如下缺点:不同应用场景下的安全数据分布差异大,异常检测模型的选择设计是个挑战;单一异常检测模型的检测能力有限、虚警率较高。一类是适用于应用场景的传统统计学方法,比如一种通过累计变量误差(CUSUM)实现异常检测的方法,通过针对过程变量分析,可以提高检测方法的鲁棒性,降低误检率。
此外,随着人工智能(Artificial Intelligence, AI)技术越来越多的应用到网络安全领域,攻击者正在使用类似的AI技术来欺骗网络安全中使用的机器学习(MachineLearning,ML)模型。AI和ML也被用来制造更多的深度伪造内容。主流对抗攻击直接针对于分类任务,比如欺骗基于卷积神经网络CNN的分类器。
发明内容
本发明解决的技术问题是在工控网络场景中,如何在保证实时检测的前提下,提高检测敏感力、降低虚警率,并提升防御对抗样本攻击的能力。
为解决上述技术问题,本发明的一个方面在于,提供一种工控网络安全检测方法,包括以下步骤:
接收第一随机参数,从基检测器库中动态获取一个异构基检测器子集;
接收第二随机参数,从集成算法库中动态获取一个集成算法,所述集成算法库为预先配置的;
基于所述异构基检测器子集中各个基检测器,自适应地提取待检测网络会话的特征子集;
将所述特征子集输入所述异构基检测器子集,得到的输出结果经过所述集成算法,得到检测结果。
可选的,在所述接收随机参数,从基检测器库中动态获取一个异构基检测器子集的步骤之前,还包括步骤:
构造所述基检测器库,所述基检测器库包含传统攻击检测算法库和深度协议攻击检测算法库。
可选的,在所述接收随机参数,从基检测器库中动态获取一个异构基检测器子集的步骤之前,还包括步骤:
判断所述待检测会话是否为深度解析会话;
所述接收第一随机参数,从基检测器库中动态获取一个异构基检测器子集的步骤包括:
若判断所述待检测会话是深度解析会话,则接收第一随机参数的一部分来获取所述传统攻击检测算法库中第一检测器子集,接收第一随机参数的另一部分来获取所述深度协议攻击检测算法库中第二检测器子集,由所述第一检测器子集和第二检测器子集构成所述异构基检测器子集;
若判断所述待检测会话不是深度解析会话,则只接收第一随机参数的一部分来获取所述传统攻击检测算法库中第一检测器子集,构成所述异构基检测器子集。
本发明的另一个方面在于,提供一种工控网络安全检测装置,包括以下模块:
异构基检测器子集获取模块,用于接收第一随机参数,从基检测器库中动态获取一个异构基检测器子集;
集成算法获取模块,用于接收第二随机参数,从集成算法库中动态获取一个集成算法,所述集成算法库为预先配置的;
特征提取模块,用于基于所述异构基检测器子集中各个基检测器,自适应地提取待检测网络会话的特征子集;
检测模块,用于将所述特征子集输入所述异构基检测器子集,得到的输出结果经过所述集成算法,得到检测结果。
可选的,所述装置还包括:
基检测器库构造模块,用于构造所述基检测器库,所述基检测器库包含传统攻击检测算法库和深度协议攻击检测算法库。
可选的,所述装置还包括:
判断模块,用于判断所述待检测会话是否为深度解析会话;
所述接收第一随机参数,从基检测器库中动态获取一个异构基检测器子集包括:
若判断所述待检测会话是深度解析会话,则接收第一随机参数的一部分来获取所述传统攻击检测算法库中第一检测器子集,接收第一随机参数的另一部分来获取所述深度协议攻击检测算法库中第二检测器子集,由所述第一检测器子集和第二检测器子集构成所述异构基检测器子集;
若判断所述待检测会话不是深度解析会话,则只接收第一随机参数的一部分来获取所述传统攻击检测算法库中第一检测器子集,构成所述异构基检测器子集。
本发明的另一个方面在于,提供一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器耦合连接的存储器;其中,
所述存储器存储有计算机程序,所述计算机程序能够被所述至少一个处理器执行,以实现本发明所述的方法。
本发明的另一个方面在于,提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,当所述计算机程序被执行时,能够实现本发明所述的方法。
本发明的主要创新点在于:
1. 基检测器的选取:根据工控网络分层场景选取多个“好而不同”的基检测器;
2. 动态集成:动态选择异构的基检测器、异构的集成方法;
3. 防御对抗样本攻击:针对不同的基检测器,采用动态异构的集成方法,使攻击者不易捕捉检测系统的漏洞进行对抗攻击;
4. 适应工控场景:可以实时捕捉应用网络场景中的内部威胁或者异常,自适应地识别0 Day攻击,也适应工控流量突发性和周期性的特点。
附图说明
图1是本发明实施例一种工控网络安全检测方法的流程图。
图2是本发明实施例一种工控网络安全检测装置的结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的具体实施例进行详细的阐述。
依据本发明实施例的一个方面,提供一种工控网络安全检测方法。
如图1所示,所述方法包括:
步骤1,接收第一随机参数,从基检测器库中动态获取一个异构基检测器子集。
在一个实施例中,首先判断所述待检测会话是否为深度解析会话。
若判断所述待检测会话是深度解析会话,则接收第一随机参数的一部分来获取所述传统攻击检测算法库中第一检测器子集,接收第一随机参数的另一部分来获取所述深度协议攻击检测算法库中第二检测器子集,由所述第一检测器子集和第二检测器子集构成所述异构基检测器子集;
若判断所述待检测会话不是深度解析会话,则只接收第一随机参数的一部分来获取所述传统攻击检测算法库中第一检测器子集,构成所述异构基检测器子集。
在一个实施例中,所述方法还包括步骤0:构造所述基检测器库,所述基检测器库包含传统攻击检测算法库和深度协议攻击检测算法库。
根据工控网络攻击场景中由浅及深的三层表现,每层中可以参考的算法如下:
1. 传统网络攻击检测算法库,包括:
基于监督学习的随机森林(Random Forest Classifier)、卷积神经网络(CNN)分类算法,可以对工控网络中存在的传统网络攻击的通信行为进行模拟、提取特征、学习,实现实时检测;
基于线性模型的One-Class-SVM,可以通过OCSVM或SVDD来实现,对于异常值敏感,训练模型时需要尽可能全面的正常样本,但易过拟合;可调试保存离线模型,定时更新。此算法只需要正常流量进行训练,这就适用于对工控内网中一些难以模拟的攻击进行检测。
2. 深度协议攻击检测算法库,包括:
基于时间序列的模型,除了外部的RNN循环外,还具有内部的“细胞”自循环。和RNN相比,GRU、LSTM每个单元有相同的输入和输出参数,但也有更多的参数和控制信息流流动的门控单元系统,避免了RNN常见的梯度消失问题,此算法适用于对提取的深层时序Modbus功能码进行异常检测;
基于树的模型Isolation Forest算法效果好,时间复杂度低,在工业界很实用,能有效处理高维和海量数据,但对局部异常簇不敏感,为解决这个问题,可以只使用正常样本训练及调试模型;可以只使用正常样本训练及调试模型;既可选择调试保存离线模型,定时更新,又可选择在时间窗口内不依赖模型进行检测。
3. 隐蔽过程攻击检测算法库:
工业控制系统中抓取控制器和传感执行设备之间的通信数据包,经过对原始网络流量的深度解析获得液位、管道流量、阀门开度等过程变量信息,通过针对过程变量分析,比如一种通过累计变量误差(CUSUM)实现异常检测的方法,从而提高了检测方法的鲁棒性,降低了误检率。
步骤2,接收第二随机参数,从集成算法库中动态获取一个集成算法,所述集成算法库为预先配置的。
集成算法库中包含配置好的参数,集成算法可以包括均匀集成、线性集成、模型堆叠等。集成算法库中每个算法的参数是事先配置,这也与选取的基检测器强相关。在系统进行配置前,需要通过试验选取不同基检测器集合;针对每个基检测器集合,再通过试验筛选合适的集成算法;同时针对各个基检测器集合,保存不同集成算法对该基检测器集合的配置参数。
以下按集成算法库中的模型堆叠配置进行举例说明。若选取的集成算法为堆叠模型,针对选定的异构基检测器子集,其中每个基检测器的检测结果作为最终分类器的输入,最终分类器可以为贝叶斯网络、SVM、随机森林分类器等。
定义
Figure DEST_PATH_IMAGE001
Figure 893913DEST_PATH_IMAGE002
分别为训练集中n个基检测器检测的标签及训练集实际标签,将
Figure DEST_PATH_IMAGE003
Figure 611333DEST_PATH_IMAGE002
输入设定的分类器SVM进行训练,其配置参数即为训练好的模型参数。对不同的基检测器组合,此模型参数是不同的。
在实时检测时,对系统实时解析到的会话特征通过n个随机选定的基检测器,将输出的检测标签输入集成模型中,
Figure 6542DEST_PATH_IMAGE004
,输出预测值
Figure DEST_PATH_IMAGE005
步骤3,基于所述异构基检测器子集中各个基检测器,自适应地提取待检测网络会话的特征子集。
所述待检测网络会话的特征具体包括提取以下至少一种特征:基于连接的特征,基于内容的特征,基于时间的网络流量统计特征,基于主机的网络流量特征,工控流量特征。针对所述异构基检测器子集中各个基检测器,自适应地提取合适的特征子集,使得所述特征子集中的特征能够保证每个基检测器的检测精度和速度。
步骤4,将所述特征子集输入所述异构基检测器子集,得到的输出结果经过所述集成算法,得到检测结果。
依据本发明实施例的另一个方面,提供一种工控网络安全检测装置。
如图2所示,所述装置包括:
异构基检测器子集获取模块,用于接收第一随机参数,从基检测器库中动态获取一个异构基检测器子集;
集成算法获取模块,用于接收第二随机参数,从集成算法库中动态获取一个集成算法,所述集成算法库为预先配置的;
特征提取模块,用于基于所述异构基检测器子集中各个基检测器,自适应地提取待检测网络会话的特征子集;
检测模块,用于将所述特征子集输入所述异构基检测器子集,得到的输出结果经过所述集成算法,得到检测结果。
在一种实施例中,所述装置还包括:
基检测器库构造模块,用于构造所述基检测器库,所述基检测器库包含传统攻击检测算法库和深度协议攻击检测算法库。
在一种实施例中,所述装置还包括:
判断模块,用于判断所述待检测会话是否为深度解析会话;
所述接收第一随机参数,从基检测器库中动态获取一个异构基检测器子集包括:
若判断所述待检测会话是深度解析会话,则接收第一随机参数的一部分来获取所述传统攻击检测算法库中第一检测器子集,接收第一随机参数的另一部分来获取所述深度协议攻击检测算法库中第二检测器子集,由所述第一检测器子集和第二检测器构成所述异构基检测器子集;
若判断所述待检测会话不是深度解析会话,则只接收第一随机参数的一部分来获取所述传统攻击检测算法库中第一检测器子集,构成所述异构基检测器子集。
通过不同的集成学习方法集成多个“好而不同”的基异常检测器,生成适用于网络安全场景的异常检测的强检测器。当有足够多优秀的基检测器,将待检测会话并行通过各基检测器,再将检测结果进行集成就变得不现实,因此,为了最大限度保证系统性能,并提升防御对抗样本攻击的能力,受网络空间拟态防御动态异构冗余构造(DHA)的启发,本发明提出了一个动态异构的集成方法。此方法不仅适用于传统网络安全场景,在工控行业特殊网络安全场景下更能凸显优势,不仅可以保证实时检测,还可以提高对工控过程未知、稀少异常的敏感能力,降低对正常连接的虚警率。
依据本发明的另一个方面,提供一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器耦合连接的存储器;其中,
所述存储器存储有计算机程序,所述计算机程序能够被所述至少一个处理器执行,以实现本发明所述的方法。
依据本发明的另一个方面,提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,当所述计算机程序被执行时,能够实现本发明所述的方法。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的模块及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置和设备的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例节能信号发送/接收的方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (8)

1.一种工控网络安全检测方法,其特征在于,包括以下步骤:
判断待检测网络会话是否为深度解析会话:
接收第一随机参数,从基检测器库中动态获取一个异构基检测器子集,包括:若判断所述待检测网络会话是深度解析会话,则接收第一随机参数中的一部分来获取第一攻击检测算法库中第一检测器子集,接收第一随机参数中的另一部分来获取深度协议攻击检测算法库中第二检测器子集,由所述第一检测器子集和第二检测器子集构成异构基检测器子集;所述第一攻击检测算法库包括基于监督学习的随机森林算法、卷积神经网络分类算法和基于线性模型的One-Class-SVM算法;
接收第二随机参数,从集成算法库中动态获取一个集成算法,所述集成算法库为预先配置的;
基于所述异构基检测器子集中各个基检测器,自适应地提取待检测网络会话的特征子集;
将所述特征子集输入所述异构基检测器子集,得到的输出结果经过所述集成算法,得到检测结果。
2.根据权利要求1所述的工控网络安全检测方法,其特征在于,在所述判断待检测网络会话是否为深度解析会话的步骤之前,还包括步骤:
构造所述基检测器库,所述基检测器库包含第一攻击检测算法库和深度协议攻击检测算法库。
3.根据权利要求1所述的工控网络安全检测方法,其特征在于,所述接收第一随机参数,从基检测器库中动态获取一个异构基检测器子集包括:
若判断所述待检测网络会话不是深度解析会话,则只接收第一随机参数中的一部分来获取第一攻击检测算法库中第一检测器子集,构成异构基检测器子集。
4.一种工控网络安全检测装置,其特征在于,包括以下模块:
判断模块,用于判断待检测网络会话是否为深度解析会话;
异构基检测器子集获取模块,用于接收第一随机参数,从基检测器库中动态获取一个异构基检测器子集,包括:若判断所述待检测网络会话是深度解析会话,则接收第一随机参数中的一部分来获取第一攻击检测算法库中第一检测器子集,接收第一随机参数的另一部分来获取深度协议攻击检测算法库中第二检测器子集,由所述第一检测器子集和第二检测器子集构成所述异构基检测器子集;所述第一攻击检测算法库包括基于监督学习的随机森林算法、卷积神经网络分类算法和基于线性模型的One-Class-SVM算法;
集成算法获取模块,用于接收第二随机参数,从集成算法库中动态获取一个集成算法,所述集成算法库为预先配置的;
特征提取模块,用于基于所述异构基检测器子集中各个基检测器,自适应地提取待检测网络会话的特征子集;
检测模块,用于将所述特征子集输入所述异构基检测器子集,得到的输出结果经过所述集成算法,得到检测结果。
5.根据权利要求4所述的工控网络安全检测装置,其特征在于,所述装置还包括:
基检测器库构造模块,用于构造所述基检测器库,所述基检测器库包含第一攻击检测算法库和深度协议攻击检测算法库。
6.根据权利要求4所述的工控网络安全检测装置,其特征在于,所述装置还包括:
所述接收第一随机参数,从基检测器库中动态获取一个异构基检测器子集包括:
若判断所述待检测网络会话不是深度解析会话,则只接收第一随机参数中的一部分来获取所述第一攻击检测算法库中第一检测器子集,构成所述异构基检测器子集。
7.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器耦合连接的存储器;其中,
所述存储器存储有计算机程序,所述计算机程序能够被所述至少一个处理器执行,以实现权利要求1-3任一项所述的方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,当所述计算机程序被执行时,能够实现权利要求1-3任一项所述的方法。
CN202010422309.5A 2020-05-19 2020-05-19 工控网络安全检测方法、装置、电子设备以及存储介质 Active CN111343205B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010422309.5A CN111343205B (zh) 2020-05-19 2020-05-19 工控网络安全检测方法、装置、电子设备以及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010422309.5A CN111343205B (zh) 2020-05-19 2020-05-19 工控网络安全检测方法、装置、电子设备以及存储介质

Publications (2)

Publication Number Publication Date
CN111343205A CN111343205A (zh) 2020-06-26
CN111343205B true CN111343205B (zh) 2020-09-01

Family

ID=71186488

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010422309.5A Active CN111343205B (zh) 2020-05-19 2020-05-19 工控网络安全检测方法、装置、电子设备以及存储介质

Country Status (1)

Country Link
CN (1) CN111343205B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113645286B (zh) * 2021-08-02 2022-08-05 福州大学 一种面向数据泄露的Web安全事件取证方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107169506A (zh) * 2017-04-14 2017-09-15 微梦创科网络科技(中国)有限公司 基于组合分类器的随机分类方法及装置
CN109787979A (zh) * 2019-01-22 2019-05-21 电子科技大学 一种电力网络事件和入侵的检测方法
CN109861988A (zh) * 2019-01-07 2019-06-07 浙江大学 一种基于集成学习的工业控制系统入侵检测方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8015131B2 (en) * 2007-10-12 2011-09-06 Microsoft Corporation Learning tradeoffs between discriminative power and invariance of classifiers
CN105721498A (zh) * 2016-04-07 2016-06-29 周文奇 一种工控网络安全预警系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107169506A (zh) * 2017-04-14 2017-09-15 微梦创科网络科技(中国)有限公司 基于组合分类器的随机分类方法及装置
CN109861988A (zh) * 2019-01-07 2019-06-07 浙江大学 一种基于集成学习的工业控制系统入侵检测方法
CN109787979A (zh) * 2019-01-22 2019-05-21 电子科技大学 一种电力网络事件和入侵的检测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
An Ensemble Deep Learning-based Cyber-Attack Detection in Industrial Control System;Abdulrahman Al-Abassi等;《IEEE Access Journal》;20200430;全文 *
基于KELM选择性集成的复杂网络环境入侵检测;刘金平等;《电子学报》;20190531;第47卷(第5期);全文 *

Also Published As

Publication number Publication date
CN111343205A (zh) 2020-06-26

Similar Documents

Publication Publication Date Title
CN112738015B (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
CN113079143A (zh) 一种基于流数据的异常检测方法及系统
CN111600919B (zh) 智能网络应用防护系统模型的构建方法和装置
Bagui et al. Machine learning based intrusion detection for IoT botnet
CN112688946B (zh) 异常检测特征的构造方法、模块、存储介质、设备及系统
Elsayed et al. Detecting abnormal traffic in large-scale networks
CN117113262B (zh) 网络流量识别方法及其系统
CN112738014A (zh) 一种基于卷积时序网络的工控流量异常检测方法及系统
CN117220920A (zh) 基于人工智能的防火墙策略管理方法
CN111343205B (zh) 工控网络安全检测方法、装置、电子设备以及存储介质
Yao A network intrusion detection approach combined with genetic algorithm and back propagation neural network
Zhang et al. Network traffic anomaly detection based on ML-ESN for power metering system
CN114531283A (zh) 入侵检测模型的鲁棒性测定方法、系统、存储介质及终端
CN111784404B (zh) 一种基于行为变量预测的异常资产识别方法
Marchetti et al. Framework and models for multistep attack detection
Li et al. Research on intrusion detection based on neural network optimized by genetic algorithm
CN115664784A (zh) 一种采用多模组学习的网络攻击免疫防御方法及系统
Liao et al. Research on network intrusion detection method based on deep learning algorithm
Ghadermazi et al. Towards Real-time Network Intrusion Detection with Image-based Sequential Packets Representation
Belej et al. Development of a network attack detection system based on hybrid neuro-fuzzy algorithms.
Molcer et al. Machine learning based network intrusion detection system for internet of things cybersecurity
Lai et al. Detecting network intrusions using signal processing with query-based sampling filter
Wang Automatic Detection System for Abnormal Storage of Sensitive Data in Coastal Port Network Communication
Obetta et al. Detection of DDoS Attacks on Urban IoT Devices Using Neural Networks.
CN117354058A (zh) 基于时间序列预测的工控网络apt攻击检测系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant