CN111490976B - 一种面向工控网络的动态基线管理与监测方法 - Google Patents

一种面向工控网络的动态基线管理与监测方法 Download PDF

Info

Publication number
CN111490976B
CN111490976B CN202010213140.2A CN202010213140A CN111490976B CN 111490976 B CN111490976 B CN 111490976B CN 202010213140 A CN202010213140 A CN 202010213140A CN 111490976 B CN111490976 B CN 111490976B
Authority
CN
China
Prior art keywords
baseline
address
data
internet
industrial control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010213140.2A
Other languages
English (en)
Other versions
CN111490976A (zh
Inventor
蒋一翔
黎勇
徐元根
钱杰
张成挺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Tobacco Zhejiang Industrial Co Ltd
Original Assignee
China Tobacco Zhejiang Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Tobacco Zhejiang Industrial Co Ltd filed Critical China Tobacco Zhejiang Industrial Co Ltd
Priority to CN202010213140.2A priority Critical patent/CN111490976B/zh
Publication of CN111490976A publication Critical patent/CN111490976A/zh
Application granted granted Critical
Publication of CN111490976B publication Critical patent/CN111490976B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Artificial Intelligence (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种面向工控网络的动态基线管理与监测方法,包括以下步骤,1)、数据分流:对地址信息做内网、互联网地址的判断,并根据网络分类的不同将格式化后的数据发送到不同的处置模块;2)、基线学习:首先,形成基线基准表;其次,对基线基准表进行目的地址最小掩码计算,形成源地址、目的地址、目的地址最小掩码的基线掩码表;最后,实时对捕获的数据做基线匹配度计算,建立基于数量的匹配度模型,逐步剔除不匹配或者很少匹配的基线;3)、预警分析:包括对内网流量进行分析以及对互联网流量进行分析。本发明提升工控网络安全管理水平,实现“看得清”、“管得全”、“用的好”的工控网络安全管理目标。

Description

一种面向工控网络的动态基线管理与监测方法
技术领域
本发明属于计算机系统领域,具体涉及一种面向工控网络的动态基线管理与监测方法。
背景技术
作为新一轮产业变革的核心驱动力和战略焦点,卷烟生产制造的技术改革基于物联网、互联网、大数据、云计算、移动互联网等新一代信息技术,贯穿于设计、生产、管理、服务等卷烟制造各个环节,由此带来工业网络架构巨大的技术变革,其传统隔离于互联网、办公网的封闭式网络边界将逐步消失,包括智能传感控制软、硬件、新型工业网络、工业大数据平台等综合信息技术元素将替代原有老旧技术,因此其所包含的“设备”、“网络”、“应用与数据”的安全则显得尤为至关重要。
而面对如此复杂庞大的新工业网络,如何利用人工智能、监督学习、大数据以及流量识别技术对工控网络安全自动建立动态安全基线并进行实时监测,已逐步成为工控网络安全管理重点关注的研究内容,是新形势下解决工控网络安全监测的新思路。
发明内容
为了解决上述的技术问题,本发明的目的是提供一种面向工控网络的动态基线管理与监测方法,该方法能提升工控网络安全管理水平,实现“看得清”、“管得全”、“用的好”的工控网络安全管理目标。
为了实现上述目的,本发明采用了以下的技术方案:
一种面向工控网络的动态基线管理与监测方法,包括以下步骤,
1)、数据分流:将原始的流量信息进行数据清洗、格式化操作后,提取源地址、目的地址等关键信息,对地址信息做内网、互联网地址的判断,并根据网络分类的不同将格式化后的数据发送到不同的处置模块,内网地址数据进行基线学习模块,互联网地址直接进入预警分析模块;
2)、基线学习:首先,对分流而来的内网摘要数据进行源地址、目的地址、协议、端口的聚合归并,形成基线基准表;
其次,对基线基准表进行目的地址最小掩码计算,形成源地址、目的地址、目的地址最小掩码的基线掩码表;
最后,实时对捕获的数据做基线匹配度计算,建立基于数量的匹配度模型,逐步剔除不匹配或者很少匹配的基线;
3)、预警分析:
3.1)对内网流量进行分析
系统实时监测工控网环境下的流量信息,提取后的摘要数据和基线表、基线掩码表做匹配,对不匹配的数据进行提取,形成异常流量告警;
对异常流量告警做进一步关联,如果出现单一地址访问多个ip或者多个端口的情况,判定为内网的恶意扫描行为;若访问的端口中存在高危端口如445端口,则提示出现了可疑端口访问告警;
对基线表、基线掩码表中长期不匹配的数据做标记、提醒使用者基线存在失效的可能;
3.2)对互联网流量进行分析
工控环境下不应该存在访问互联网的行为,一旦发现发送互联网的数据包,首先进行回包判断,如果没有回包,认为威胁程度较低,如果存在互联网回包,则进行进一步分析,根据行为特征进行关联,形成告警。
作为优选方案:所述数据分流步骤如下,
(1)对采集到的流量进行清洗操作,首先对传输层会话进行还原,消除网络上造成的乱序、重传,然后进行地址、协议、端口识别,从非结构化的数据流中提取摘要信息:源地址、目的地址、端口、协议,形成摘要数据,这些摘要数据将被用于后续问题定位、综合分析的数据源;
(2)工控环境下,网段有严格的划分,系统内置了工控环境下的内网网段,对源地址、目的地址做正则表达式匹配,如果源地址、目的地址都是内网地址,则判定是内网通讯行为,如果源地址或目的地址符合互联网地址特征,判定是访问互联网行为;
(3)如果是互联网通讯行为,即将数据包发送到预警分析模块;如果是内网通讯行为,则将数据包发送到基线学习模块。
作为优选方案:步骤2)中对匹配基线掩码表不匹配基线基准表的数据,对这类进行标记、由使用人员裁定,使用人员经过研判后确定是正常通讯,则将此记录加入到基线基准表和基线掩码表中。
作为优选方案:步骤2)中基线不断的学习过程中,如果发现某些通信消失,则自动变更基线、重新匹配基线掩码表,基线学习过程会不间断的对掩码范围进行重匹配,对基线掩码表进行优化。
作为优选方案:步骤3.2)中的告警包括以下五类:
a)单地址疑似感染:访问互联网的数据中,对源地址进行聚合,如果目的地址有多个,该源地址可能存在感染;
b)多地址疑似感染:访问互联网的数据中,对目的地址进行聚合,如果出现多个源地址,可能存在多台设备被感染;
c)非工作时间段告警:非正常工作时间段内,不应该存在访问互联网的行为,一旦出现访问互联网行为,认为主机可能被感染;
d)频发访问互联网告警:周期性的访问互联网的行为,主机上可能存在定期建立连接或者传输数据的任务,主机可能被感染;
e)访问互联网黑名单告警:本方案中内置黑名单库,当检测到访问的互联网地址中包含了黑名单地址,说明系统访问了高危IP地址,主机可能被感染。
本发明通过识别工控网络内的全部应用网络协议,基于网络通讯五元组自动建立连接关系,结合监督学习算法形成动态安全基线并形成实时监测机制,提升工控网络安全管理水平,实现“看得清”、“管得全”、“用的好”的工控网络安全管理目标。
与现有技术相比,本发明的优点还包括:
(1)本发明具有领域创新性,建立流量的基线不同于传统的网络拓扑、流量基线更直观的反应了设备之间的最底层通讯关系、更能精确的反应出场内环境的异常流量问题、查找问题根源。
(2)基线借鉴监督学习算法,具备独创性,本发明使用监督学习算法,不断优化基线,提高了基线准确度。
(3)对内网流量和互联网流量根据互联网攻击特征进行深层次分析,提高了预警准确性。
附图说明
图1为本发明的整体流程示意图;
图2为本发明的告警分类图;
图3为本发明的流量分流模块示意图;
图4为本发明的基线学习模块示意图;
图5为本发明的预警分析模块示意图。
具体实施方式
为了相关技术人员更清晰的了解本发明的技术方案,现结合附图对本发明做进一步的详细说明。
如图1至图5所示,本发明提供一种面向工控网络的动态基线管理与监测方法,该方法包括:
对复杂的网络流量分析,从功能上分为三个模块:数据分流模块,基线学习模块,预警分析模块。数据分流模块负责将采集上来的数据做格式化处理,形成摘要数据,根据源地址、目的地址做内外网判断,并将内外网数据做分流处理。基线学习模块对摘要数据进行源地址、目的地址、目的端口等信息做聚合判断,形成基线基准表,在此基础上在做最小掩码匹配,形成基线掩码表。预警分析模块分别对内外网流量做关联统计,对异常行为形成进行聚合归并、并形成预警。
、数据分流模块:
数据分流:将原始的流量信息进行数据清洗、格式化等操作后,提取源地址、目的地址等关键信息,对地址信息做内网、互联网地址的判断,并根据网络分类的不同将格式化后的数据发送到不同的处置模块,内网地址数据进行基线学习模块,互联网地址直接进入预警分析模块。数据分流提高了流量分析效率、降低处理负荷、节省系统资源,实现了资源的最大化利用。
数据分流步骤如下
(1)对采集到的流量进行清洗操作,首先对传输层会话进行还原,消除网络上造成的乱序、重传,然后进行地址、协议、端口识别,从非结构化的数据流中提取摘要信息:源地址、目的地址、端口、协议,形成摘要数据,这些摘要数据将被用于后续问题定位、综合分析的数据源。
(2)工控环境下,网段有严格的划分,系统内置了工控环境下的内网网段,对源地址、目的地址做正则表达式匹配,如果源地址、目的地址都是内网地址,则判定是内网通讯行为,如果源地址或目的地址符合互联网地址特征,判定是访问互联网行为。
(3)如果是互联网通讯行为,即将数据包发送到预警分析模块;如果是内网通讯行为,则将数据包发送到基线学习模块。
、基线学习模块:
传统的流量学习方法面向的是网络流量的监测即是通过对网络数据的连续采集来监测网络的流量。通过历史流量数据,形成流量阈值来判断流量是否异常。传统的流量学习方法不能有效的监测出具体的异常流量,无法做微观的判断,无法捕获异常的IP信息及摘要信息,对历史数据无法回溯和分析,另外网络管理员对底层设备之间的通讯关系并不是十分明确,对出现的异常流量很难做出准确的判断,本发明提供一种基于网络流量监督学习方法,对微观数据建立通讯模型,形成通讯基线。
监督学习:学习者无需任何推理或其它的知识转换,直接吸取环境所提供的信息。系统的学习方法是直接通过事先编好、构造好的基线算法来学习,学习者不作任何工作,或者是通过直接接收既定的事实和数据进行学习。
基线学习算法如下
(1)对分流而来的内网摘要数据进行源地址、目的地址、协议、端口的聚合归并,形成基线基准表。
基线基准表,是最基本的通讯关系表,存储了每一个设备和其他设备的通讯数据概要信息包括源地址、目的地址、通讯协议、通讯端口等,清晰的展示出最底层的通讯关系。
(2)对基线基准表进行目的地址最小掩码计算,形成源地址、目的地址、目的地址最小掩码的基线掩码表。例如192.168.0.1和192.168.1.1、192.168.1.2、192.168.1.3、192.168.1.4、192.168.1.5的TCP 22进行通讯,则形成基线掩码表如下
Figure 70584DEST_PATH_IMAGE001
a)对匹配基线掩码表不匹配基线基准表的数据如192.168.0.1与192.168.1.6的TCP 22进行通讯,对这类进行标记、由使用人员裁定,使用人员经过研判后确定是正常通讯,则将此记录加入到基线基准表和基线掩码表中。
b)不断的学习过程中,如果发现某些通信消失,则自动变更基线、重新匹配基线掩码表,如下图192.68.0.1与192.168.1.5的TCP 22频率变成0次/每天,提醒给使用人员,经确认基线失效后,则更新基线掩码表,变更最小掩码范围。
Figure 925407DEST_PATH_IMAGE003
基线学习过程会不间断的对掩码范围进行重匹配,对基线掩码表进行优化,提高基线精准。
(3)实时对捕获的数据做基线匹配度计算,建立基于数量的匹配度模型,逐步剔除不匹配或者很少匹配的基线,提高基线精准度。
、预警分析模块:
预警分析模块对内网和互联网流量进行分别分析。
(1)对内网流量进行分析
系统实时监测工控网环境下的流量信息,提取后的摘要数据和基线表、基线掩码表做匹配,对不匹配的数据进行提取,形成异常流量告警。
对异常流量告警做进一步关联,如果出现单一地址访问多个ip或者多个端口的情况,判定为内网的恶意扫描行为。
若访问的端口中存在高危端口如445端口,则提示出现了可疑端口访问告警。
对基线表、基线掩码表中长期不匹配的数据做标记、提醒使用者基线存在失效的可能。
(2)对互联网流量进行分析
工控环境下不应该存在访问互联网的行为,一旦发现发送互联网的数据包,首先进行回包判断,如果没有回包,认为威胁程度较低,如果存在互联网回包,则进行进一步分析,根据行为特征进行关联,形成以下五类告警,如图2所示:
a)单地址疑似感染:访问互联网的数据中,对源地址进行聚合,如果目的地址有多个,该源地址可能存在感染;
b)多地址疑似感染:访问互联网的数据中,对目的地址进行聚合,如果出现多个源地址,可能存在多台设备被感染;
c)非工作时间段告警:非正常工作时间段内,不应该存在访问互联网的行为,一旦出现访问互联网行为,认为主机可能被感染;
d)频发访问互联网告警:周期性的访问互联网的行为,主机上可能存在定期建立连接或者传输数据的任务,主机可能被感染;
e)访问互联网黑名单告警:本方案中内置黑名单库,当检测到访问的互联网地址中包含了黑名单地址,说明系统访问了高危IP地址,主机可能被感染。
本发明提供了一种海量流量数据的学习分析方法,具体执行方法如下:
第一阶段,流量分流模块,如图3所示,其执行方法如下
1. 对采集的流量进行格式化处理,形成摘要数据,摘要数据包括源地址、目的地址、源端口、目的端口、摘要、包长等信息。
2. 根据流量中的源地址、目的地址匹配判断是否为内网地址,如果是内网地址,进入内网基线学习模块,如果是互联网地址进入到告警分析模块。
第二阶段,基线学习模块,如图4所示,其执行方法如下
1. 对摘要数据聚合形成基线基础表;
2. 对源地址、协议、端口做目的地址的最小掩码匹配;
3. 计算聚合的数据包的频率是否达到匹配掩码条件;
4. 检查最小匹配掩码是否超过24位,超过24位则认为不是一个网段,重新读取基线基础表数据做匹配。如果最小匹配掩码不超过24位,则将数据读入基线掩码表;
5. 读取流量信息与掩码表做匹配,对不匹配的数据做预警。产生的告警经用户确认为正常访问后,系统重新匹配掩码,自动变更掩码范围。
第三阶段,告警分析模块,如图5所示,其执行体方法如下:
1. 分别读取内网流量、外网流量;
2. 内网流量进行掩码匹配,流量没有匹配到基线生成内网预警。
3. 内网流量中访问目的IP和端口的频率过高做内网预警;
4. 对访问互联网的流量做分析,首先判断访问互联网的流量是否存在回包,然后对目的地址、源地址、告警时间做关联分析,当达到一定条件时生成互联网预警。如图中所示,存在下列行为的,产生互联网告警:
a)源地址周期性的访问互联网行为;
b)单一内网地址访问多个互联网地址的行为;
c)多个地址访问一个互联网地址的行为;
d)非工作时间,内网访问互联网的行为;
e)目的地址再黑名单库中的访问行为。
以上所述的仅是本发明的优选实施方式。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明原理的情况下,还可以作出若干改进和变型,这也视为本发明的保护范围。

Claims (5)

1.一种面向工控网络的动态基线管理与监测方法,其特征在于:包括以下步骤,
1)、数据分流:将原始的流量信息进行数据清洗、格式化操作后,提取源地址、目的地址,对地址信息做内网、互联网地址的判断,并根据网络分类的不同将格式化后的数据发送到不同的处置模块,内网地址数据进行基线学习模块,互联网地址直接进入预警分析模块;
2)、基线学习:首先,对分流而来的内网摘要数据进行源地址、目的地址、协议、端口的聚合归并,形成基线基准表;
其次,对基线基准表进行目的地址最小掩码计算,形成源地址、目的地址、目的地址最小掩码的基线掩码表;
最后,实时对捕获的数据做基线匹配度计算,建立基于数量的匹配度模型,逐步剔除不匹配或者很少匹配的基线;
3)、预警分析:
3.1)对内网流量进行分析
系统实时监测工控网环境下的流量信息,提取后的摘要数据和基线表、基线掩码表做匹配,对不匹配的数据进行提取,形成异常流量告警;
对异常流量告警做进一步关联,如果出现单一地址访问多个ip或者多个端口的情况,判定为内网的恶意扫描行为;若访问的端口中存在高危端口,则提示出现了可疑端口访问告警;
对基线表、基线掩码表中长期不匹配的数据做标记、提醒使用者基线存在失效的可能性;
3.2)对互联网流量进行分析
工控环境下不应该存在访问互联网的行为,一旦发现发送互联网的数据包,首先进行回包判断,如果没有回包,认为威胁程度较低,如果存在互联网回包,则进行进一步分析,根据行为特征进行关联,形成告警。
2.根据权利要求1所述的一种面向工控网络的动态基线管理与监测方法,其特征在于:所述数据分流步骤如下,
(1)对采集到的流量进行清洗操作,首先对传输层会话进行还原,消除网络上造成的乱序、重传,然后进行地址、协议、端口识别,从非结构化的数据流中提取摘要信息:源地址、目的地址、端口、协议,形成摘要数据,这些摘要数据将被用于后续问题定位、综合分析的数据源;
(2)工控环境下,网段有严格的划分,系统内置了工控环境下的内网网段,对源地址、目的地址做正则表达式匹配,如果源地址、目的地址都是内网地址,则判定是内网通讯行为,如果源地址或目的地址符合互联网地址特征,判定是访问互联网行为;
(3)如果是互联网通讯行为,即将数据包发送到预警分析模块;如果是内网通讯行为,则将数据包发送到基线学习模块。
3.根据权利要求1所述的一种面向工控网络的动态基线管理与监测方法,其特征在于:步骤2)中对匹配基线掩码表不匹配基线基准表的数据,对这类进行标记、由使用人员裁定,使用人员经过研判后确定是正常通讯,则将此记录加入到基线基准表和基线掩码表中。
4.根据权利要求1所述的一种面向工控网络的动态基线管理与监测方法,其特征在于:步骤2)中基线不断的学习过程中,如果发现某些通信消失,则自动变更基线、重新匹配基线掩码表,基线学习过程会不间断的对掩码范围进行重匹配,对基线掩码表进行优化。
5.根据权利要求1所述的一种面向工控网络的动态基线管理与监测方法,其特征在于:步骤3.2)中的告警包括以下五类:
a)单地址疑似感染:访问互联网的数据中,对源地址进行聚合,如果目的地址有多个,该源地址可能存在感染;
b)多地址疑似感染:访问互联网的数据中,对目的地址进行聚合,如果出现多个源地址,可能存在多台设备被感染;
c)非工作时间段告警:非正常工作时间段内,不应该存在访问互联网的行为,一旦出现访问互联网行为,认为主机可能被感染;
d)频发访问互联网告警:周期性的访问互联网的行为,主机上可能存在定期建立连接或者传输数据的任务,主机可能被感染;
e)访问互联网黑名单告警:本方案中内置黑名单库,当检测到访问的互联网地址中包含了黑名单地址,说明系统访问了高危IP地址,主机可能被感染。
CN202010213140.2A 2020-03-24 2020-03-24 一种面向工控网络的动态基线管理与监测方法 Active CN111490976B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010213140.2A CN111490976B (zh) 2020-03-24 2020-03-24 一种面向工控网络的动态基线管理与监测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010213140.2A CN111490976B (zh) 2020-03-24 2020-03-24 一种面向工控网络的动态基线管理与监测方法

Publications (2)

Publication Number Publication Date
CN111490976A CN111490976A (zh) 2020-08-04
CN111490976B true CN111490976B (zh) 2022-04-15

Family

ID=71812377

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010213140.2A Active CN111490976B (zh) 2020-03-24 2020-03-24 一种面向工控网络的动态基线管理与监测方法

Country Status (1)

Country Link
CN (1) CN111490976B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116232992B (zh) * 2022-12-16 2024-05-14 中国联合网络通信集团有限公司 数据转发方法、装置、设备及存储介质
CN116170236A (zh) * 2023-04-24 2023-05-26 成都星云智联科技有限公司 一种工业控制系统异常流量检测方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104142663A (zh) * 2013-05-09 2014-11-12 洛克威尔自动控制技术股份有限公司 云平台中的工业设备和系统证明
CN109164786A (zh) * 2018-08-24 2019-01-08 杭州安恒信息技术股份有限公司 一种基于时间相关基线的异常行为检测方法、装置及设备
CN109613899A (zh) * 2018-12-21 2019-04-12 国家计算机网络与信息安全管理中心 一种基于配置表的工控系统安全风险评估的方法
CN110213255A (zh) * 2019-05-27 2019-09-06 北京奇艺世纪科技有限公司 一种对主机进行木马检测的方法、装置及电子设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104142663A (zh) * 2013-05-09 2014-11-12 洛克威尔自动控制技术股份有限公司 云平台中的工业设备和系统证明
CN109164786A (zh) * 2018-08-24 2019-01-08 杭州安恒信息技术股份有限公司 一种基于时间相关基线的异常行为检测方法、装置及设备
CN109613899A (zh) * 2018-12-21 2019-04-12 国家计算机网络与信息安全管理中心 一种基于配置表的工控系统安全风险评估的方法
CN110213255A (zh) * 2019-05-27 2019-09-06 北京奇艺世纪科技有限公司 一种对主机进行木马检测的方法、装置及电子设备

Also Published As

Publication number Publication date
CN111490976A (zh) 2020-08-04

Similar Documents

Publication Publication Date Title
WO2021088372A1 (zh) SDN网络中基于神经网络的DDoS检测方法及系统
CN108040074B (zh) 一种基于大数据的实时网络异常行为检测系统及方法
CN111935170B (zh) 一种网络异常流量检测方法、装置及设备
CN113645232B (zh) 一种面向工业互联网的智能化流量监测方法、系统及存储介质
CN103441982A (zh) 一种基于相对熵的入侵报警分析方法
CN111490976B (zh) 一种面向工控网络的动态基线管理与监测方法
CN109218321A (zh) 一种网络入侵检测方法及系统
CN110602109A (zh) 一种基于多特征熵的应用层DDoS攻击检测与防御方法
CN110149303B (zh) 一种党校的网络安全预警方法及预警系统
CN115021997A (zh) 一种基于机器学习的网络入侵检测系统
CN110839042B (zh) 一种基于流量的自反馈恶意软件监测系统和方法
CN111786986A (zh) 一种数控系统网络入侵防范系统及方法
Wang et al. Abnormal traffic detection system in SDN based on deep learning hybrid models
CN113268735B (zh) 分布式拒绝服务攻击检测方法、装置、设备和存储介质
CN117879961A (zh) 一种态势感知系统的威胁预警分析模型
Klymash et al. Concept of intelligent detection of DDoS attacks in SDN networks using machine learning
Manandhar et al. Towards practical anomaly-based intrusion detection by outlier mining on TCP packets
Liao et al. Research on network intrusion detection method based on deep learning algorithm
CN115643108A (zh) 面向工业互联网边缘计算平台安全评估方法、系统及产品
CN114666075B (zh) 基于深度特征粗糙编码的分布式网络异常检测方法及系统
CN108366088A (zh) 一种用于教学网络系统的信息安全预警系统
CN114584356A (zh) 网络安全监控方法及网络安全监控系统
Zhong et al. Track Signal Intrusion Detection Method Based on Deep Learning in Cloud-Edge Collaborative Computing Environment
CN114844712B (zh) 基于知识图谱边缘节点安全检测系统及方法
CN118138374B (zh) 一种基于云计算的网络安全防护方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant