CN111679657A - 一种基于工控设备信号的攻击检测方法及系统 - Google Patents

一种基于工控设备信号的攻击检测方法及系统 Download PDF

Info

Publication number
CN111679657A
CN111679657A CN202010578590.1A CN202010578590A CN111679657A CN 111679657 A CN111679657 A CN 111679657A CN 202010578590 A CN202010578590 A CN 202010578590A CN 111679657 A CN111679657 A CN 111679657A
Authority
CN
China
Prior art keywords
signal
industrial control
controller
attack detection
measured value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010578590.1A
Other languages
English (en)
Inventor
朱小勇
费淼
李果
何腾蛟
康佳
王博
王丹
李远文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nuclear Power Institute of China
Original Assignee
Nuclear Power Institute of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nuclear Power Institute of China filed Critical Nuclear Power Institute of China
Priority to CN202010578590.1A priority Critical patent/CN111679657A/zh
Publication of CN111679657A publication Critical patent/CN111679657A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0221Preprocessing measurements, e.g. data collection rate adjustment; Standardization of measurements; Time series or signal analysis, e.g. frequency analysis or wavelets; Trustworthiness of measurements; Indexes therefor; Measurements using easily measured parameters to estimate parameters difficult to measure; Virtual sensor creation; De-noising; Sensor fusion; Unconventional preprocessing inherently present in specific fault detection methods like PCA-based methods

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

本发明公开了一种基于工控设备信号的攻击检测方法及系统,本发明的方法包括:获取工控设备信号建立攻击预测模型;对攻击预测模型的参数进行训练和优化,从而获得攻击检测模型;利用攻击检测模型根据当前时刻检测出的信号矢量得到工况设备信号预测值;将信号预测值与信号实测值进行比较,从而判断工业控制系统是否遭受攻击。本发明只需要对工控设备信号进行检测,对得到的信号数据进行建模,通过模型得到信号预测值,将其与信号实测值进行比对,即可判定系统是否异常(遭受攻击)。本发明简单,易于实现,不仅保障了核反应堆工控系统的实时性、安全性等要求,而且能够很方便的在其他工控系统使用,提高了扩展性。

Description

一种基于工控设备信号的攻击检测方法及系统
技术领域
本发明涉及工业控制系统检测技术领域,具体涉及一种基于工控设备信号的攻击检测方法及系统。
背景技术
目前,越来越多的工业控制系统内部网络需要和外部网络互连,使工业控制系统暴露于公共网络之中,面临更多的攻击。为了保证工业控制系统的安全性,网络安全技术被越来越多地应用。入侵检测系统和流量分析技术是目前应用最广泛的信息网络攻击检测方法之一,通过监视和分析网络流量以检测出带有异常行为的数据分组和用户。
但是,传统的攻击检测技术并不能直接应用到工业控制系统中,因为工业控制系统,特别是应用于核反应堆的工控系统非常注重实时性和可靠性,如果将攻击检测模块直接集成到工控设备之中,由于执行攻击检测可能会影响到工控设备操作的实时性,对实时任务产生很大的干扰;此外,由于工控设备的特殊性,一些设备可能不能够集成攻击检测模块,造成了系统的不可扩展性。
发明内容
为了解决现有信息网络攻击检测技术无法应用到工控系统中或应有存在局限的技术问题,本发明提供了一种基于工控设备信号的攻击检测方法,该方法只需要对工控设备信号进行检测,对得到的信号数据进行建模;不仅保障了工控系统的实时性要求,而且能够很方便的在其它工控系统使用,提高了扩展性。
本发明通过下述技术方案实现:
一种基于工控设备信号的攻击检测方法,该方法包括以下步骤:
步骤一、获取工控设备信号建立攻击预测模型;
步骤二、对攻击预测模型的参数进行训练和优化,从而获得攻击检测模型;
步骤三、利用攻击检测模型根据当前时刻检测出的信号矢量得到工况设备信号预测值;将信号预测值与信号实测值进行比较,从而判断工业控制系统是否遭受攻击。
本发明的工作原理为:工业控制系统底层架构通常是本地控制器和外围硬件设备组成,本地控制器通常是控制各种传感器和外设执行特定的任务;因此,本发明根据控制器的状态信号和硬件设备返回给控制器的测量信号建立攻击检测模型,比较信号的测量值与预测值,从而判断是否异常。
优选的,本发明的步骤一获取的工控设备信号包括但不限于工业控制器发送到硬件设备的控制信号、工业控制器接收传感器返回的测量值信号以及控制器状态信号。
优选的,本发明的步骤一建立的攻击预测模型包括:
s(k+1)=A*s(k)+B*d(k)+M*u(k)
v(k)=C*s(k)+L*u(k)
其中,u=[u1,u2,...un]T,v=[v1,v2,...vn]T,ui表示控制器发送到硬件设备的控制信号,用vi表示控制器接收传感器返回的测量值信号,u和v表示信号矢量,k表示某个时刻,s(k)表示k时刻控制器状态信号矢量,v(k)表示k时刻控制器接收传感器返回的测量值信号矢量;u(k)表示k时刻控制器发送的控制信号矢量;d(k)为确定性噪声矢量;A,B,C,M,L为参数。
优选的,本发明的步骤二采用正常运行时检测到的信号数据样本对攻击预测模型的参数A,B,C,M,L进行训练和优化,即可得到攻击检测模型。
优选的,本发明的步骤三根据当前时刻k检测出的信号矢量s(k)、d(k)和u(k),利用攻击检测模型即可得到下一时刻k+1控制器状态信号的预测值s(k+1);检测下一时刻k+1控制器状态信号的实测值,将控制器状态信号的实测值与预测值进行比较,超出阈值则表示工业控制系统遭受攻击。
优选的,本发明的步骤三根据当前时刻k检测出的信号矢量s(k)和u(k),利用攻击检测模型即可得到当前时刻k控制器接收传感器返回的测量值信号预测值v(k);将当前时刻k控制器接收传感器返回的测量值信号预测值与实测值进行比较,超出阈值则表示工业控制系统遭受攻击。
另一方面,本发明还提出了一种基于工控设备信号的攻击检测系统。本发明的检测系统包括:信号获取模块、模型构建模块、训练模块和检测模块;
其中,所述信号获取模块用于获取工控设备的信号测量值;
所述模型构建模块用于根据信号矢量获取模块输出的信号矢量构建攻击预测模型;
所述训练模块根据正常运行时信号获取模块获取的信号数据样本对攻击预测模型的参数进行训练和优化,从而得到攻击检测模型;
所述检测模块利用攻击检测模型根据当前时刻检测出的信号矢量得到工况设备信号预测值;将信号预测值与信号获取模块获取的信号实测值进行比较,从而判断工业控制系统是否遭受攻击。
优选的,本发明的信号获取模块获取的工控设备信号包括工业控制器发送到硬件设备的控制信号、工业控制器接收传感器返回的测量值信号以及控制器状态信号。
优选的,本发明的模型构建模块建立的攻击预测模型包括:
s(k+1)=A*s(k)+B*d(k)+M*u(k)
v(k)=C*s(k)+L*u(k)
其中,u=[u1,u2,...un]T,v=[v1,v2,...vn]T,ui表示控制器发送到硬件设备的控制信号,用vi表示控制器接收传感器返回的测量值信号,u和v表示信号矢量,k表示某个时刻,s(k)表示k时刻控制器状态信号矢量,v(k)表示k时刻控制器接收传感器返回的测量值信号矢量;u(k)表示k时刻控制器发送的控制信号矢量;d(k)为确定性噪声矢量;A,B,C,M,L为参数。
优选的,本发明的检测模块根据当前时刻k检测出的信号矢量s(k)、d(k)和u(k),利用攻击检测模型即可得到下一时刻k+1控制器状态信号的预测值s(k+1);检测下一时刻k+1控制器状态信号的实测值,将控制器状态信号的实测值与预测值进行比较,超出阈值则表示工业控制系统遭受攻击。
本发明具有如下的优点和有益效果:
本发明只需要对工控设备信号进行检测,对得到的信号数据进行建模,通过模型得到信号预测值,将其与信号实测值进行比对,即可判定系统是否异常(遭受攻击)。本发明的方法简单,易于实现,不仅保障了核反应堆工控系统的实时性、安全性等要求,而且能够很方便的在其他工控系统使用,提高了扩展性。
附图说明
此处所说明的附图用来提供对本发明实施例的进一步理解,构成本申请的一部分,并不构成对本发明实施例的限定。在附图中:
图1为本发明的方法流程图。
图2为本发明的工控系统设备信号图。
图3为本发明的系统原理框图。
具体实施方式
在下文中,可在本发明的各种实施例中使用的术语“包括”或“可包括”指示所发明的功能、操作或元件的存在,并且不限制一个或更多个功能、操作或元件的增加。此外,如在本发明的各种实施例中所使用,术语“包括”、“具有”及其同源词仅意在表示特定特征、数字、步骤、操作、元件、组件或前述项的组合,并且不应被理解为首先排除一个或更多个其它特征、数字、步骤、操作、元件、组件或前述项的组合的存在或增加一个或更多个特征、数字、步骤、操作、元件、组件或前述项的组合的可能性。
在本发明的各种实施例中,表述“或”或“A或/和B中的至少一个”包括同时列出的文字的任何组合或所有组合。例如,表述“A或B”或“A或/和B中的至少一个”可包括A、可包括B或可包括A和B二者。
在本发明的各种实施例中使用的表述(诸如“第一”、“第二”等)可修饰在各种实施例中的各种组成元件,不过可不限制相应组成元件。例如,以上表述并不限制所述元件的顺序和/或重要性。以上表述仅用于将一个元件与其它元件区别开的目的。例如,第一用户装置和第二用户装置指示不同用户装置,尽管二者都是用户装置。例如,在不脱离本发明的各种实施例的范围的情况下,第一元件可被称为第二元件,同样地,第二元件也可被称为第一元件。
应注意到:如果描述将一个组成元件“连接”到另一组成元件,则可将第一组成元件直接连接到第二组成元件,并且可在第一组成元件和第二组成元件之间“连接”第三组成元件。相反地,当将一个组成元件“直接连接”到另一组成元件时,可理解为在第一组成元件和第二组成元件之间不存在第三组成元件。
在本发明的各种实施例中使用的术语仅用于描述特定实施例的目的并且并非意在限制本发明的各种实施例。如在此所使用,单数形式意在也包括复数形式,除非上下文清楚地另有指示。除非另有限定,否则在这里使用的所有术语(包括技术术语和科学术语)具有与本发明的各种实施例所属领域普通技术人员通常理解的含义相同的含义。所述术语(诸如在一般使用的词典中限定的术语)将被解释为具有与在相关技术领域中的语境含义相同的含义并且将不被解释为具有理想化的含义或过于正式的含义,除非在本发明的各种实施例中被清楚地限定。
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明作进一步的详细说明,本发明的示意性实施方式及其说明仅用于解释本发明,并不作为对本发明的限定。
实施例1
本实施例提出了一种应用于工业控制系统中基于工控设备信号的攻击检测方法。
工业控制系统底层架构通常是本地控制器和外围硬件设备组成,本地控制器通常是控制各种传感器和外设执行特定的任务;根据控制器的状态信号和硬件设备返回给控制器的测量信号建立攻击检测模型,比较信号的测量值与预测值,从而判断是否异常。
如图1所示,本实施例的检测方法主要包括以下步骤:
(1)获取工控设备信号。
如图2所示,在工业控制系统中,通常有多个控制器和硬件设备。用i表示设备编号;用ui表示控制器发送到硬件设备的控制信号,用vi表示控制器接收传感器返回的测量值信号,u和v表示信号矢量:
u=[u1,u2,...un]T (1)
v=[v1,v2,...vn]T (2)
用s表示控制器状态信号矢量:
s=[s1,s2,...sn]T (3)
(2)构建攻击预测模块。
用下面的公式表示建立的攻击预测模型:
s(k+1)=A*s(k)+B*d(k)+M*u(k) (4)
v(k)=C*s(k)+L*u(k) (5)
其中,k表示某个时刻,s(k)表示k时刻控制器状态信号矢量,v(k)表示k时刻控制器接收传感器返回的测量值信号矢量;u(k)表示k时刻控制器发送的控制信号矢量;d(k)为确定性噪声矢量;A,B,C,M,L为参数。
(3)对攻击预测模型的参数进行训练,求解得到优化的参数值,从而得到攻击检测模型。
A,B,C,M,L等参数的优化是建立攻击检测模型的关键,通过正常运行时检测到的大量信号数据不断训练和优化,从而求得较为准确的参数值;
以公式(4)表示的模型为例优化求解参数:
x=[s(k),d(k),u(k)] (6)
w=[A,B,M]T (7)
y=s(k+1)=xw (8)
通过测量得到的大量信号数据集用X表示,由s(k),d(k)和u(k)组成;数据集Y由s(k+1)组成:
Y=[y1,y2,...yn]T (9)
X=[x1,x2,...,xn]T (10)
XT=[x1 T,x2 T,...xn T] (11)
可以得知Y=Xw,为了求得使得误差最小的W值,先计算预测值与真实值的误差,用矩阵表示写做(Y-Xw)T(Y-Xw),对w求导并等于零,得到:
w=(XTX)-1XTY (12)
根据上式即可求出w,即求出了A,B,M等参数。
利用上述参数优化求解原理也可以求出公式(5)的参数C和L;
(4)利用攻击检测模型进行异常检测。
根据上面的攻击检测模型表明可以根据当前时刻检测出的s(k),d(k),u(k)等信号矢量预测出下一时刻的s(k+1),检测下一时刻的值,然后进行比对,超过某一阈值T则表示系统遭到攻击;
同样本实施例也可以根据公式5来预测v信号矢量,然后与实际测量值比较,来判断是否遭受攻击。
实施例2
本实施例提出了一种应用于工业控制系统中基于工控设备信号的攻击检测系统,用于实施上述实施例1提出的检测方法。
如图3所示,本实施例的检测系统主要包括:信号获取模块、模型构建模块、训练模块和检测模块。
其中,本实施例的信号获取模块被配置为执行上述实施例1的步骤(1),获取工控设备信号。
本实施例的模型构建模型被配置为执行上述实施例1的步骤(2),构建攻击预测模块。
本实施例的训练模块被配置为执行上述实施例1的步骤(3),对攻击预测模型的参数进行训练,求解得到优化的参数值,从而得到攻击检测模型。
本实施例的检测模块被配置为执行上述实施例1的步骤(4),利用攻击检测模型对工控系统进行异常检测。
实施例3
本实施例对上述实施例1提出的检测方法和实施例2提出的检测系统进行测试,具体过程如下:
(1)采用相关设备检测到所需的信号数据,比如s(k),d(k),u(k),v(k)等信号矢量,通过工控系统正常运行时的大量信号数据对模型进行训练和优化,用前面说明的参数求解方法求出所需的A,B,C,M,L等参数;根据样本数据(见表1)求得A=0.52,B=0.32,C=0.54,M=0.68,L=0.34。
表1数据样本
Figure BDA0002552240490000061
Figure BDA0002552240490000071
(2)建立攻击检测模型之后,定义k时刻和k+1时刻之间的时间间隔,比如1分钟或者30秒,且这个时间间隔必须和建立模型时的时间间隔一致;
(3)采用相关设备检测到当前k时刻所需的信号数据如下表2所示:
表2
d(k) S(k) u(k) S(k+1) V(k)
0.05 0.53 0.36 0.53 0.36
根据公式(5)表示的模型可以预测出当前时刻的v(k)′=0.34,比较模型的预测值v(k)′和设备测量值v(k)的差异,如果超过阈值T1(本实施例中阈值T2取0.1)则表明系统遭受攻击;很明显T1>0.36-0.34,系统正常;
根据公式(4)表示的模型以及当前k时刻检测到的信号矢量可以预测出下一时刻的s(k+1)′=0.54;比较s(k+1)和s(k+1)′差异,如果超过阈值T2(本实施例中阈值T2取0.1)则表明系统遭受攻击;很明显T2>0.54-0.53,系统正常;
(4)采用相关设备检测到某一时刻所需的信号数据如下表3所示:
表3
d(k) S(k) u(k) S(k+1) V(k)
0.05 0.4 0.2 0.56 0.38
根据模型(4)和(5)计算出v(k)′=0.24,s(k+1)′=0.36,很明显|s(k+1)-s(k+1)′|>T2=0.1,|v(k)-v(k)′|>T1=0.1,表明系统被攻击。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于工控设备信号的攻击检测方法,其特征在于,该方法包括以下步骤:
步骤一、获取工控设备信号建立攻击预测模型;
步骤二、对攻击预测模型的参数进行训练和优化,从而获得攻击检测模型;
步骤三、利用攻击检测模型根据当前时刻检测出的信号矢量得到工况设备信号预测值;将信号预测值与信号实测值进行比较,从而判断工业控制系统是否遭受攻击。
2.根据权利要求1所述的一种基于工控设备信号的攻击检测方法,其特征在于,所述步骤一获取的工控设备信号包括工业控制器发送到硬件设备的控制信号、工业控制器接收传感器返回的测量值信号以及控制器状态信号。
3.根据权利要求1或2所述的一种基于工控设备信号的攻击检测方法,其特征在于,所述步骤一建立的攻击预测模型包括:
s(k+1)=A*s(k)+B*d(k)+M*u(k)
v(k)=C*s(k)+L*u(k)
其中,u=[u1,u2,...un]T,v=[v1,v2,...vn]T,ui表示控制器发送到硬件设备的控制信号,用vi表示控制器接收传感器返回的测量值信号,u和v表示信号矢量,k表示某个时刻,s(k)表示k时刻控制器状态信号矢量,v(k)表示k时刻控制器接收传感器返回的测量值信号矢量;u(k)表示k时刻控制器发送的控制信号矢量;d(k)为确定性噪声矢量;A,B,C,M,L为参数。
4.根据权利要求3所述的一种基于工控设备信号的攻击检测方法,其特征在于,所述步骤二采用正常运行时检测到的信号数据样本对攻击预测模型的参数A,B,C,M,L进行训练和优化,即可得到攻击检测模型。
5.根据权利要求3所述的一种基于工控设备信号的攻击检测方法,其特征在于,所述步骤三根据当前时刻k检测出的信号矢量s(k)、d(k)和u(k),利用攻击检测模型即可得到下一时刻k+1控制器状态信号的预测值s(k+1);检测下一时刻k+1控制器状态信号的实测值,将控制器状态信号的实测值与预测值进行比较,超出阈值则表示工业控制系统遭受攻击。
6.根据权利要求3所述的一种基于工控设备信号的攻击检测方法,其特征在于,所述步骤三根据当前时刻k检测出的信号矢量s(k)和u(k),利用攻击检测模型即可得到当前时刻k控制器接收传感器返回的测量值信号预测值v(k);将当前时刻k控制器接收传感器返回的测量值信号预测值与实测值进行比较,超出阈值则表示工业控制系统遭受攻击。
7.一种基于工控设备信号的攻击检测系统,其特征在于,该系统包括:信号获取模块、模型构建模块、训练模块和检测模块;
其中,所述信号获取模块用于获取工控设备的信号测量值;
所述模型构建模块用于根据信号矢量获取模块输出的信号矢量构建攻击预测模型;
所述训练模块根据正常运行时信号获取模块获取的信号数据样本对攻击预测模型的参数进行训练和优化,从而得到攻击检测模型;
所述检测模块利用攻击检测模型根据当前时刻检测出的信号矢量得到工况设备信号预测值;将信号预测值与信号获取模块获取的信号实测值进行比较,从而判断工业控制系统是否遭受攻击。
8.根据权利要求7所述的一种基于工控设备信号的攻击检测系统,其特征在于,所述信号获取模块获取的工控设备信号包括工业控制器发送到硬件设备的控制信号、工业控制器接收传感器返回的测量值信号以及控制器状态信号。
9.根据权利要求7或8所述的一种基于工控设备信号的攻击检测系统,其特征在于,所述模型构建模块建立的攻击预测模型包括:
s(k+1)=A*s(k)+B*d(k)+M*u(k)
v(k)=C*s(k)+L*u(k)
其中,u=[u1,u2,...un]T,v=[v1,v2,...vn]T,ui表示控制器发送到硬件设备的控制信号,用vi表示控制器接收传感器返回的测量值信号,u和v表示信号矢量,k表示某个时刻,s(k)表示k时刻控制器状态信号矢量,v(k)表示k时刻控制器接收传感器返回的测量值信号矢量;u(k)表示k时刻控制器发送的控制信号矢量;d(k)为确定性噪声矢量;A,B,C,M,L为参数。
10.根据权利要求9所述的一种基于工控设备信号的攻击检测系统,其特征在于,所述检测模块根据当前时刻k检测出的信号矢量s(k)、d(k)和u(k),利用攻击检测模型即可得到下一时刻k+1控制器状态信号的预测值s(k+1);检测下一时刻k+1控制器状态信号的实测值,将控制器状态信号的实测值与预测值进行比较,超出阈值则表示工业控制系统遭受攻击。
CN202010578590.1A 2020-06-23 2020-06-23 一种基于工控设备信号的攻击检测方法及系统 Pending CN111679657A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010578590.1A CN111679657A (zh) 2020-06-23 2020-06-23 一种基于工控设备信号的攻击检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010578590.1A CN111679657A (zh) 2020-06-23 2020-06-23 一种基于工控设备信号的攻击检测方法及系统

Publications (1)

Publication Number Publication Date
CN111679657A true CN111679657A (zh) 2020-09-18

Family

ID=72436962

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010578590.1A Pending CN111679657A (zh) 2020-06-23 2020-06-23 一种基于工控设备信号的攻击检测方法及系统

Country Status (1)

Country Link
CN (1) CN111679657A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112964254A (zh) * 2021-01-28 2021-06-15 西安交通大学 惯性传感器共振隐蔽注入攻击的检测、防御方法及系统
CN113423113A (zh) * 2021-06-17 2021-09-21 中国联合网络通信集团有限公司 无线参数优化处理方法、装置及服务器
CN113778054A (zh) * 2021-09-09 2021-12-10 大连理工大学 一种针对工业控制系统攻击的双级检测方法
CN114563996A (zh) * 2022-01-20 2022-05-31 大连理工大学 一种针对工业控制系统重放攻击的物理水印检测方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106599997A (zh) * 2016-12-20 2017-04-26 中兴软创科技股份有限公司 基于零动态的工控攻击检测识别方法与系统
CN108388233A (zh) * 2018-03-21 2018-08-10 北京科技大学 一种工控现场设备隐蔽攻击检测方法
CN108520187A (zh) * 2018-04-20 2018-09-11 西安交通大学 基于串行通信总线信号分析的工控系统物理入侵攻击检测方法
CN108803565A (zh) * 2018-06-05 2018-11-13 北京科技大学 一种工控系统隐蔽攻击实时检测方法及装置
CN109581871A (zh) * 2018-12-03 2019-04-05 北京工业大学 免疫对抗样本的工业控制系统入侵检测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106599997A (zh) * 2016-12-20 2017-04-26 中兴软创科技股份有限公司 基于零动态的工控攻击检测识别方法与系统
CN108388233A (zh) * 2018-03-21 2018-08-10 北京科技大学 一种工控现场设备隐蔽攻击检测方法
CN108520187A (zh) * 2018-04-20 2018-09-11 西安交通大学 基于串行通信总线信号分析的工控系统物理入侵攻击检测方法
CN108803565A (zh) * 2018-06-05 2018-11-13 北京科技大学 一种工控系统隐蔽攻击实时检测方法及装置
CN109581871A (zh) * 2018-12-03 2019-04-05 北京工业大学 免疫对抗样本的工业控制系统入侵检测方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112964254A (zh) * 2021-01-28 2021-06-15 西安交通大学 惯性传感器共振隐蔽注入攻击的检测、防御方法及系统
CN113423113A (zh) * 2021-06-17 2021-09-21 中国联合网络通信集团有限公司 无线参数优化处理方法、装置及服务器
CN113423113B (zh) * 2021-06-17 2022-06-03 中国联合网络通信集团有限公司 无线参数优化处理方法、装置及服务器
CN113778054A (zh) * 2021-09-09 2021-12-10 大连理工大学 一种针对工业控制系统攻击的双级检测方法
CN114563996A (zh) * 2022-01-20 2022-05-31 大连理工大学 一种针对工业控制系统重放攻击的物理水印检测方法
CN114563996B (zh) * 2022-01-20 2022-07-26 大连理工大学 一种针对工业控制系统重放攻击的物理水印检测方法

Similar Documents

Publication Publication Date Title
CN111679657A (zh) 一种基于工控设备信号的攻击检测方法及系统
CN106506556B (zh) 一种网络流量异常检测方法及装置
Vodenčarević et al. Identifying behavior models for process plants
CN104538041A (zh) 异常声音检测方法及系统
US20070239629A1 (en) Cluster Trending Method for Abnormal Events Detection
SE0101526D0 (sv) System, apparatus and method for diagnosing flow processes
JP2021056927A (ja) 異常検知装置、異常検知方法および異常検知プログラム
CN111970229B (zh) 一种针对多种攻击方式的can总线数据异常检测方法
CN110120935A (zh) 用于在通信网络中识别数据流中的异常的方法和设备
CN113516837B (zh) 一种基于多源信息融合的城市火灾判断方法、系统及其存储介质
CN112187528A (zh) 基于sarima的工业控制系统通信流量在线监测方法
CN110493221A (zh) 一种基于聚簇轮廓的网络异常检测方法
CN112565187A (zh) 基于逻辑回归的电网攻击检测方法、系统、设备及介质
CN114492629A (zh) 异常检测方法、装置、电子设备及存储介质
CN110968072A (zh) 一种基于人工智能的电气自动化设备监测系统和方法
CN111866017B (zh) 一种can总线帧间隔异常的检测方法及装置
CN113111585A (zh) 一种智能机柜故障预测方法、系统及智能机柜
CN116627116A (zh) 一种流程工业故障定位方法、系统及电子设备
CN108761250B (zh) 一种基于工控设备电压电流的入侵检测方法
CN110007171A (zh) 变压器在线监测数据误报警的筛查方法及系统
US7305317B2 (en) Joint approach of out-of-range detection and fault detection for power plant monitoring
CN108536606B (zh) 一种基于复合依赖关系覆盖准则的efsm测试方法
CN112229435A (zh) 基于规范变量分析的船舶主机偶发性故障检测方法及系统
CN112199781A (zh) 船舶主机控制系统偶发性故障检测方法及系统
CN111882135A (zh) 一种物联网设备入侵检测方法及相关装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200918