CN111695823A - 一种基于工控网络流量的异常评估方法与系统 - Google Patents
一种基于工控网络流量的异常评估方法与系统 Download PDFInfo
- Publication number
- CN111695823A CN111695823A CN202010549545.3A CN202010549545A CN111695823A CN 111695823 A CN111695823 A CN 111695823A CN 202010549545 A CN202010549545 A CN 202010549545A CN 111695823 A CN111695823 A CN 111695823A
- Authority
- CN
- China
- Prior art keywords
- abnormal
- information
- evaluation
- attack
- anomaly
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000011156 evaluation Methods 0.000 title claims abstract description 51
- 230000002159 abnormal effect Effects 0.000 claims abstract description 91
- 230000002776 aggregation Effects 0.000 claims abstract description 28
- 238000004220 aggregation Methods 0.000 claims abstract description 28
- 238000000034 method Methods 0.000 claims abstract description 16
- 238000001914 filtration Methods 0.000 claims abstract description 4
- 238000012795 verification Methods 0.000 claims description 11
- 239000013598 vector Substances 0.000 claims description 9
- 230000004931 aggregating effect Effects 0.000 claims description 5
- 238000013138 pruning Methods 0.000 claims description 4
- 238000013210 evaluation model Methods 0.000 claims description 3
- 238000005065 mining Methods 0.000 claims description 3
- 238000005259 measurement Methods 0.000 claims 1
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 230000008447 perception Effects 0.000 abstract description 2
- 238000001514 detection method Methods 0.000 description 8
- 238000006116 polymerization reaction Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 238000003780 insertion Methods 0.000 description 3
- 230000037431 insertion Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0639—Performance analysis of employees; Performance analysis of enterprise or organisation operations
- G06Q10/06393—Score-carding, benchmarking or key performance indicator [KPI] analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/18—Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
- G06F18/23213—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N7/00—Computing arrangements based on specific mathematical models
- G06N7/02—Computing arrangements based on specific mathematical models using fuzzy logic
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- General Engineering & Computer Science (AREA)
- Life Sciences & Earth Sciences (AREA)
- Mathematical Physics (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Computational Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Artificial Intelligence (AREA)
- Pure & Applied Mathematics (AREA)
- Software Systems (AREA)
- Development Economics (AREA)
- Operations Research (AREA)
- Algebra (AREA)
- Strategic Management (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- Educational Administration (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Probability & Statistics with Applications (AREA)
- Fuzzy Systems (AREA)
- Game Theory and Decision Science (AREA)
- Molecular Biology (AREA)
- General Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Biomedical Technology (AREA)
- Automation & Control Theory (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Marketing (AREA)
- Quality & Reliability (AREA)
Abstract
本发明公开了一种基于工业网络流量的异常评估方法与系统,该方法包括如下步骤:异常校验步骤,通过已知的多源安全信息过滤被误报的异常信息;异常聚合步骤,通过聚合算法减少异常流量数量,实现工业网络异常信息标准化;异常关联步骤,通过异常关联分析、感知和预测安全事件。该异常评估系统有利于提高工控网络流量的解释性和可预测性,提升网络态势感知能力,及时规避工业网络中的安全风险。
Description
技术领域
本发明涉及工业网络异常评估的技术,具体而言,涉及一种基于工控网络流量的异常评估方法与系统。
背景技术
工业控制网络数据种类繁多,数据量庞大,由于网络结构的复杂性,针对网络的攻击和恶意行为越来越多,利用网络存在的漏洞和安全缺陷对网络系统进行的攻击层出不穷。网络流量异常检测方法可以有效检测出网络中的异常流量,识别流量风险。然而,目前的异常检测算法大多止步于为每一条数据打上标签,标记为正常或者异常。这些异常中有的是假异常,有的是短时间已经发出不再需要重复发出的异常。大量被误判为异常的正常流量数据与少量被正确判断为异常的异常数据混杂在一起,会严重削弱入侵检测系统的可用性,这也是基于异常的入侵检测系统难以实际使用的原因之一。
目前的异常检测方法亟需解决以下问题:
(1)虚假异常比例较高:异常检测算法往往只基于数据发现异常,高比例的虚假异常往往会影响后续的异常行为关联;
(2)异常流量数据量大:工业网络遭遇攻击时产生大量异常流量,大量数据凭借人工手段难以探究规律;
(3)难以感知和预测安全事件:现有方法基于安全事件的事后评判,缺少实时展示当前网络安全风险和预测可能的安全事件的方法。
发明内容
本发明的目的在于提供一种基于工业网络流量的异常评估方法与系统实现方式,提高工控网络流量的解释性和可预测性,提升网络态势感知能力,及时规避工业网络中的安全风险。
为实现上述目的,本发明的技术方案提供了一种基于工业网络流量的异常评估方法与系统实现方式,可以减少虚假异常数量,聚合重复异常,有效挖掘异常关联,实现安全风险预测;
该发明的技术方案是提供了一种基于工控网络流量的异常评估方法,其特征在于其特征在于,包括如下步骤:
步骤1、基于多源安全信息的异常校验,通过已知的设备信息、漏洞信息、网络拓扑信息,以及实时服务信息过滤确定为正常的异常信息,使用多源模糊评价方法确定异常校验结果;
步骤2、进行异常流量聚合,通过聚合算法对异构多协议异常信息进行精简和标准化,分协议聚合异常流量,并将分协议聚合异常流量转化为统一格式的异常信息,减少异常流量数量;
步骤3、实现基于攻击图的异常关联,根据先验知识挖掘攻击意图、重建攻击场景,根据关联关系构建安全事件图模型,实时展示网络安全态势,根据图模型推理并预测可能发生的安全事件。
进一步地,步骤1中,多源模糊评价方法通过以下方式实现:
确定评价因子集和评价标注,评价因子分为三类,分别对应操作系统相关性、网络服务相关性和漏洞信息相关性;
计算当前异常信息与评价因子的隶属度,隶属度计算根据规则定义查表计算;
确定权重向量,权重向量根据专家的经验来决定,目的是减少两层模糊综合评价模型中的不确定性;
计算异常相关的安全信息与目标主机信息的相关分数,首先在模糊综合评价的第二级执行评估,利用二级评估的结果决定一级评估和最终相关度,根据最终相关度决定是否过滤异常。
进一步地,步骤2中,进行异常流量聚合时,
对于记录Ra和Rb,聚合相似度的度量方式为:
Dist(Raj,Rbj)=1-Sim(Raj,Rbj)
其中,其中N是数值属性的数量,C是非数值型属性的数量;Raj是记录a的第j个属性,Rbj是记录b的第j个属性,Dist(Raj,Rbj)代表两个记录间第j个属性的距离,Sim(Raj,Rbj)代表非数值型属性的相似度,abs(Rai,Rbi)代表数值型属性的距离,Dist(Ra,Rb)代表记录Ra和Rb的整体距离。
进一步地,步骤3通过以下方式实现:
步骤3.1、重建攻击序列,发现隐藏在异常操作中的真实关联,使用序列剪枝算法剔除反复出现的异常模式;
步骤3.2、完成异常事件预测,通过已知的攻击事件关系与异常关联建立攻击图,利用概率计算安全事件发生概率,攻击序列A>B的发生概率为:
其中,P代表事件的发生概率,F代表攻击图中事件的出现次数。
该发明还提供了一种基于工控网络流量的异常评估系统,其特征在于,包括如下模块:基于多源安全信息的异常校验模块,异常流量聚合模块,基于攻击图的异常关联模块,其特征在于:
基于多源安全信息的异常校验模块,通过已知的设备信息、漏洞信息、网络拓扑信息,以及实时服务信息过滤确定为正常的异常信息,使用多源模糊评价方法确定异常校验结果;
异常流量聚合模块,通过聚合算法对异构多协议异常信息进行精简和标准化,分协议聚合异常流量,并将分协议聚合异常流量转化为统一格式的异常信息,减少异常流量数量;
基于攻击图的异常关联模块,根据先验知识挖掘攻击意图、重建攻击场景,根据关联关系构建安全事件图模型,实时展示网络安全态势,根据图模型推理并预测可能发生的安全事件。
本发明的有益效果在于:
(1)有效减少工业网络中的虚假异常数量:通过多源安全信息的模糊综合评价,消除确认为正常的异常信息。相比于改进异常检测算法,异常校验的优势在于考虑真实的网络流量逻辑,而非仅仅基于数据异常;
(2)有效聚合重复的工业异常流量:通过基于属性相似度的聚合方法可以有效减少相同协议的异常流量数量,通过标准化和基于时序相似度的聚合方法可以识别异常流量的时序特征和真实含义,便于后续异常分析;
(3)有效预测安全事件:通过构建攻击图可以挖掘异常流量的关联关系,重建攻击场景,增强异常信息的可解释性。通过攻击图可以计算安全事件的联合分布概率,根据现有异常信息预测后续事件的发生概率,推测可能发生的安全事件。
附图说明
本发明的上述和/或附加方面的优点在结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1是根据本发明的一个实施例的基于工业网络流量的异常评估方法流程示意图;
图2是根据本发明的一个实施例的基于多源安全信息的异常校验方法流程示意图;
图3是根据本发明的一个实施例的异常聚合方法示意图;
图4是根据本发明的一个基于攻击图的异常关联方法示意图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本发明的实施例及实施例中的特征可以相互结合。
如图1所示,本实施实例提供了一种基于工业网络流量的异常评估方法,包括:多源安全信息的异常校验,异常流量聚合,基于攻击图的异常关联。其中:
步骤1、基于多源安全信息的异常校验,通过已知的设备信息、漏洞信息、网络拓扑信息,以及实时服务信息过滤确定为正常的异常信息,使用多源模糊评价方法确定异常校验结果;
具体如图2所示:首先需要查询多源安全信息数据库,确定评价因子集和评价标注,随后需要查询模糊矩阵表并计算当前异常信息与已知配置信息的隶属度,接下来需要确定权重向量,汇总权重信息,最后计算异常相关的安全信息与目标主机信息的相关分数,根据相关分数可以判定当前异常是否需要被排除。
步骤1.1:确定评价因子集和评价标注。在异常验证过程中,可以采用两层FCE模型。评价因子分为三类,分别是操作系统、网络服务和漏洞检测,评价因子可以定义如下标注:
V={v1,v2,v3}={completely relevant,relevant,irrelevant}
步骤1.2:计算当前异常信息与已知配置信息的隶属度,隶属度计算根据规则定义查表计算。
步骤1.3:确定权重向量。权重向量通常是根据专家的经验来决定的,为了减少这个两层模糊综合评价模型中的不确定性,例如可以使用下面的思想来确定这些权重向量。
K=(kos,kservice,kvulnerability)
K1=(kos.name,kos.version),K2=(kservice.name,kservice.version)
其中K是权重向量,kos,kservice,kvulnerability代表对于操作系统、服务和漏洞信息相关性的不同权重。根据先验知识,可以保证如下优先级,避免过多不确定性的影响。
kos≥kservice≥kvulnerability
kos.name≥kos.version
kservice.name≥kservice.version
步骤1.4:计算异常相关的安全信息与目标主机信息的相关分数。首先在模糊综合评价的第二级执行评估,利用二级评估的结果决定一级评估和最终相关度。
Rs=B=KοR
其中K为权重向量,R为模糊矩阵,B1、B2、B3为对于os、service、vulnerability分别进行二级评估的结果,B为一级评估结果,Rs为最终评级结果。
步骤2、进行异常流量聚合,通过聚合算法对异构多协议异常信息进行精简和标准化,分协议聚合异常流量,并将分协议聚合异常流量转化为统一格式的异常信息,减少异常流量数量;
具体如图3所示;聚合步骤分为两个方面,首先是根据工业网络协议基于相似度聚合,在相似度聚合完成之后,为了便于后续步骤的规则指定,需要对不同协议的异常流量数据进行标准化,在标准化完成之后进行基于时序的聚合处理。
首先根据工业网络协议基于相似度聚合,利用K-means算法和相似度距离公式完成聚类:
Dist(Raj,Rbj)=1-Sim(Raj,Rbj)
其中,其中N是数值属性的数量,C是非数值型属性的数量。Raj是记录a的第j个属性,Rbj是记录b的第j个属性,Dist(Raj,Rbj)代表两个记录间第j个属性的距离,Sim(Raj,Rbj)代表非数值型属性的相似度,abs(Rai,Rbi)代表数值型属性的距离,Dist(Ra,Rb)代表记录Ra和Rb的整体距离。
其次,根据分协议聚合的结果,将异常流量转化为IDMEF标准化格式,便于后续聚合处理。
最后,基于动态时间阈值对异常进行时序聚合。例如可以使用如下方式动态更新时间间隔:
τi=ti+1-ti i=1,2,...,n-1
T=τavg+τavg×σ*(τ)
其中τavg是时间间隔的平均值,σ(τ)是时间间隔的均方差,σ*(τ)是时间间隔的相对均方差,根据该系数可以动态更新时间阈值,T是动态更新的时间阈值。当新的异常到达时,首先计算与前一个异常的时间间隔τi-1,如果τi-1≤T则说明满足聚合条件,否则会重新建立一个新的聚合起点。
步骤3、实现基于攻击图的异常关联,根据先验知识挖掘攻击意图、重建攻击场景,根据关联关系构建安全事件图模型,实时展示网络安全态势,攻击图的构建方式具体如图4所示:首先获取所有的攻击序列,并获取序列中的下一个事件g,如果g已经存在于当前的攻击图中,则跳过该事件,否则将g插入到当前攻击图,并链接插入指针与g事件,随后重新设置插入指针,直到遍历完所有事件和序列。
步骤3.1:攻击序列重建
当两个异常在同一个入侵会话中相继发生时,它们之间的关联关系是显著的,可以通过序列分割和序列剪枝方法构建攻击序列。假设每个异常都属于一个入侵会话,通过维护一个FIFO队列,可以将新提取的异常附加到该队列中,并且可以将一组表示新入侵会话的操作从队列的头部截断。通过迭代地移除序列中相邻的重复模态,可以达到序列剪枝的效果。
步骤3.2:完成异常事件预测
通过已知的攻击事件关系与异常关联可以建立攻击图,通过历史数据的分析和部分人工经验干预,可以构建不同攻击的攻击关联图,以及通过实时数据的到达情况对部分节点进行更新和剪枝。利用攻击图和概率计算可以实时展示当前网络的安全风险,通过联合概率可以预测各项安全事件发生的概率,提前发出风险警告。
基于攻击图可以预测即将到来的安全事件,将攻击序列A>B发生的频率记为F(A>B),将攻击序列A>B发生的概率记为P(A,B),那么根据攻击图可以预测该攻击序列的发生概率为:
根据这一公式,可以推导出A的后续事件的发生概率,记A的后续事件为B1,B2,...,Bn,则后续事件的总体发生概率为:
P(A,B1...Bn)=P(A,B1)×P(A,B2)×…×P(A,Bn)
在这一流程中,方法会根据序列时序关系遍历序列的每一个异常事件,检测事件是否已经存在于攻击图中。如果没有存在,则将事件插入攻击图中,并将插入指针指向当前序列。根据已有的攻击图,可以在异常事件到达时计算后续事件的发生概率,量化展示当前网络的风险等级,并预测可能到达的安全事件。
尽管参考附图详地公开了本发明,但应理解的是,这些描述仅仅是示例性的,并非用来限制本发明的应用。本发明的保护范围由附加权利要求限定,并可包括在不脱离本发明保护范围和精神的情况下针对发明所作的各种变型、改型及等效方案。
Claims (5)
1.一种基于工控网络流量的异常评估方法,其特征在于其特征在于,包括如下步骤:
步骤1、基于多源安全信息的异常校验,通过已知的设备信息、漏洞信息、网络拓扑信息,以及实时服务信息过滤确定为正常的异常信息,使用多源模糊评价方法确定异常校验结果;
步骤2、进行异常流量聚合,通过聚合算法对异构多协议异常信息进行精简和标准化,分协议聚合异常流量,并将分协议聚合异常流量转化为统一格式的异常信息,减少异常流量数量;
步骤3、实现基于攻击图的异常关联,根据先验知识挖掘攻击意图、重建攻击场景,根据关联关系构建安全事件图模型,实时展示网络安全态势,根据图模型推理并预测可能发生的安全事件。
2.如权利要求1所述的基于工控网络流量的异常评估方法,其特征在于,步骤1中,多源模糊评价方法通过以下方式实现:
确定评价因子集和评价标注,评价因子分为三类,分别对应操作系统相关性、网络服务相关性和漏洞信息相关性;
计算当前异常信息与评价因子的隶属度,隶属度计算根据规则定义查表计算;
确定权重向量,权重向量根据专家的经验来决定,目的是减少两层模糊综合评价模型中的不确定性;
计算异常相关的安全信息与目标主机信息的相关分数,首先在模糊综合评价的第二级执行评估,利用二级评估的结果决定一级评估和最终相关度,根据最终相关度决定是否过滤异常。
5.一种基于工控网络流量的异常评估系统,其特征在于,包括如下模块:基于多源安全信息的异常校验模块,异常流量聚合模块,基于攻击图的异常关联模块,其特征在于:
基于多源安全信息的异常校验模块,通过已知的设备信息、漏洞信息、网络拓扑信息,以及实时服务信息过滤确定为正常的异常信息,使用多源模糊评价方法确定异常校验结果;
异常流量聚合模块,通过聚合算法对异构多协议异常信息进行精简和标准化,分协议聚合异常流量,并将分协议聚合异常流量转化为统一格式的异常信息,减少异常流量数量;
基于攻击图的异常关联模块,根据先验知识挖掘攻击意图、重建攻击场景,根据关联关系构建安全事件图模型,实时展示网络安全态势,根据图模型推理并预测可能发生的安全事件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010549545.3A CN111695823B (zh) | 2020-06-16 | 2020-06-16 | 一种基于工控网络流量的异常评估方法与系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010549545.3A CN111695823B (zh) | 2020-06-16 | 2020-06-16 | 一种基于工控网络流量的异常评估方法与系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111695823A true CN111695823A (zh) | 2020-09-22 |
CN111695823B CN111695823B (zh) | 2022-07-01 |
Family
ID=72481520
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010549545.3A Active CN111695823B (zh) | 2020-06-16 | 2020-06-16 | 一种基于工控网络流量的异常评估方法与系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111695823B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112202817A (zh) * | 2020-11-30 | 2021-01-08 | 北京微智信业科技有限公司 | 一种基于多事件关联与机器学习的攻击行为检测方法 |
CN112417462A (zh) * | 2020-12-10 | 2021-02-26 | 中国农业科学院农业信息研究所 | 一种网络安全漏洞追踪方法及系统 |
CN114721336A (zh) * | 2022-03-03 | 2022-07-08 | 上海核工程研究设计院有限公司 | 一种仪控系统工艺参数的信息安全事件预警方法 |
CN114760126A (zh) * | 2022-04-08 | 2022-07-15 | 沈阳化工大学 | 一种工控网络流量实时入侵检测方法 |
CN115333814A (zh) * | 2022-08-02 | 2022-11-11 | 哈尔滨工业大学(威海) | 一种面向工业控制系统报警数据的分析系统与方法 |
CN116743503A (zh) * | 2023-08-11 | 2023-09-12 | 浙江国利网安科技有限公司 | 一种基于工控资产的健康度评估方法 |
CN117035692A (zh) * | 2023-09-28 | 2023-11-10 | 江苏龙虎网信息科技股份有限公司 | 一种基于多维度数据的智能评议管理系统及方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107733937A (zh) * | 2017-12-01 | 2018-02-23 | 广东奥飞数据科技股份有限公司 | 一种异常网络流量检测方法 |
CN107800706A (zh) * | 2017-11-06 | 2018-03-13 | 国网福建省电力有限公司 | 一种基于高斯分布模型的网络攻击动态监测方法 |
CN109660515A (zh) * | 2018-11-15 | 2019-04-19 | 中国科学院信息工程研究所 | 攻击链检测方法及装置 |
US20190238584A1 (en) * | 2018-01-30 | 2019-08-01 | Asimily, Inc | System and method for vulnerability management for connected devices |
CN110769007A (zh) * | 2019-12-26 | 2020-02-07 | 国网电子商务有限公司 | 一种基于异常流量检测的网络安全态势感知方法及装置 |
-
2020
- 2020-06-16 CN CN202010549545.3A patent/CN111695823B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107800706A (zh) * | 2017-11-06 | 2018-03-13 | 国网福建省电力有限公司 | 一种基于高斯分布模型的网络攻击动态监测方法 |
CN107733937A (zh) * | 2017-12-01 | 2018-02-23 | 广东奥飞数据科技股份有限公司 | 一种异常网络流量检测方法 |
US20190238584A1 (en) * | 2018-01-30 | 2019-08-01 | Asimily, Inc | System and method for vulnerability management for connected devices |
CN109660515A (zh) * | 2018-11-15 | 2019-04-19 | 中国科学院信息工程研究所 | 攻击链检测方法及装置 |
CN110769007A (zh) * | 2019-12-26 | 2020-02-07 | 国网电子商务有限公司 | 一种基于异常流量检测的网络安全态势感知方法及装置 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112202817B (zh) * | 2020-11-30 | 2021-04-06 | 北京微智信业科技有限公司 | 一种基于多事件关联与机器学习的攻击行为检测方法 |
CN112202817A (zh) * | 2020-11-30 | 2021-01-08 | 北京微智信业科技有限公司 | 一种基于多事件关联与机器学习的攻击行为检测方法 |
CN112417462B (zh) * | 2020-12-10 | 2024-02-02 | 中国农业科学院农业信息研究所 | 一种网络安全漏洞追踪方法及系统 |
CN112417462A (zh) * | 2020-12-10 | 2021-02-26 | 中国农业科学院农业信息研究所 | 一种网络安全漏洞追踪方法及系统 |
CN114721336A (zh) * | 2022-03-03 | 2022-07-08 | 上海核工程研究设计院有限公司 | 一种仪控系统工艺参数的信息安全事件预警方法 |
CN114721336B (zh) * | 2022-03-03 | 2024-05-03 | 上海核工程研究设计院股份有限公司 | 一种仪控系统工艺参数的信息安全事件预警方法 |
CN114760126A (zh) * | 2022-04-08 | 2022-07-15 | 沈阳化工大学 | 一种工控网络流量实时入侵检测方法 |
CN114760126B (zh) * | 2022-04-08 | 2023-09-19 | 沈阳化工大学 | 一种工控网络流量实时入侵检测方法 |
CN115333814A (zh) * | 2022-08-02 | 2022-11-11 | 哈尔滨工业大学(威海) | 一种面向工业控制系统报警数据的分析系统与方法 |
CN116743503A (zh) * | 2023-08-11 | 2023-09-12 | 浙江国利网安科技有限公司 | 一种基于工控资产的健康度评估方法 |
CN116743503B (zh) * | 2023-08-11 | 2023-11-07 | 浙江国利网安科技有限公司 | 一种基于工控资产的健康度评估方法 |
CN117035692B (zh) * | 2023-09-28 | 2023-12-08 | 江苏龙虎网信息科技股份有限公司 | 一种基于多维度数据的智能评议管理系统及方法 |
CN117035692A (zh) * | 2023-09-28 | 2023-11-10 | 江苏龙虎网信息科技股份有限公司 | 一种基于多维度数据的智能评议管理系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111695823B (zh) | 2022-07-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111695823B (zh) | 一种基于工控网络流量的异常评估方法与系统 | |
CN110647539B (zh) | 一种用于车辆故障的预测方法和系统 | |
WO2019184557A1 (zh) | 定位根因告警的方法、装置和计算机可读存储介质 | |
US9704382B2 (en) | Method for calculating error rate of alarm | |
CN111475804A (zh) | 一种告警预测方法及系统 | |
WO2023078243A1 (zh) | 一种车载网络can总线入侵检测方法及系统 | |
CN103441982A (zh) | 一种基于相对熵的入侵报警分析方法 | |
CN112114995A (zh) | 基于进程的终端异常分析方法、装置、设备及存储介质 | |
CN112910859A (zh) | 基于c5.0决策树和时序分析的物联网设备监测预警方法 | |
CN112800061B (zh) | 一种数据存储方法、装置、服务器及存储介质 | |
CN108763966B (zh) | 一种尾气检测作弊监管系统及方法 | |
CN111176953A (zh) | 一种异常检测及其模型训练方法、计算机设备和存储介质 | |
CN113515606A (zh) | 基于智慧医疗安全的大数据处理方法及智慧医疗ai系统 | |
CN115632821A (zh) | 基于多种技术的变电站威胁安全检测及防护方法及装置 | |
CN110598959A (zh) | 一种资产风险评估方法、装置、电子设备及存储介质 | |
CN114244594A (zh) | 网络流量异常检测方法及检测系统 | |
CN114218998A (zh) | 一种基于隐马尔可夫模型的电力系统异常行为分析方法 | |
CN116743637B (zh) | 一种异常流量的检测方法、装置、电子设备及存储介质 | |
CN108761250B (zh) | 一种基于工控设备电压电流的入侵检测方法 | |
CN115514581A (zh) | 一种用于工业互联网数据安全平台的数据分析方法及设备 | |
CN108768774A (zh) | 一种定量化的网络安全评估方法及评估系统 | |
CN114579962A (zh) | 一种ai安全攻防测试方法 | |
Jose et al. | Prediction of Network Attacks Using Supervised Machine Learning Algorithm | |
CN111815442B (zh) | 一种链接预测的方法、装置和电子设备 | |
CN114448699B (zh) | 数据检测方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20240401 Address after: 3723A, 3rd Floor, Building 4, No. 49 Badachu Road, Shijingshan District, Beijing, 100144 Patentee after: Beijing Qidian Innovation Technology Co.,Ltd. Country or region after: China Address before: 100084 No. 1 Tsinghua Yuan, Beijing, Haidian District Patentee before: TSINGHUA University Country or region before: China |
|
TR01 | Transfer of patent right |