CN111931175A - 一种基于小样本学习的工业控制系统入侵检测方法 - Google Patents
一种基于小样本学习的工业控制系统入侵检测方法 Download PDFInfo
- Publication number
- CN111931175A CN111931175A CN202011007316.5A CN202011007316A CN111931175A CN 111931175 A CN111931175 A CN 111931175A CN 202011007316 A CN202011007316 A CN 202011007316A CN 111931175 A CN111931175 A CN 111931175A
- Authority
- CN
- China
- Prior art keywords
- sample
- data
- training
- samples
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Mathematical Physics (AREA)
- Computational Linguistics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Molecular Biology (AREA)
- Computer Hardware Design (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Medical Informatics (AREA)
- Image Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
技术领域
本发明涉及工业控制系统入侵检测技术领域,具体的说,是一种基于小样本学习的工业控制系统入侵检测方法。
背景技术
工业控制系统被用来支持工业生产过程中各组成部分间的互联通信、保障工业生产过程稳定有序进行。早期的工业生产过程大多只涉及小范围、专用硬件间的通信,因此,传统的工业控制系统存在天然封闭性,除系统内部故障外,不必担心大规模网络攻击事件发生。然而,随着互联网信息技术发展,信息和通信技术(Information andCommunications Technology, ICT)、自动化、分布式控制、广域监视和控制、边缘计算等技术开始应用于工业控制系统,传统工业控制系统和现代信息网络逐渐融合,在提升生产效率的同时也引入了更多的安全威胁。由于工控系统被广泛应用于交通、电力、化工、石油、冶金等国民计生重大领域,因此,工业控制系统安全问题亟待解决。
接入互联网的工业控制系统向外界暴露了许多入侵接入点,攻击者可以利用这些入侵接入点来向工业控制系统发起拒绝服务攻击、侦查攻击、恶意命令注入攻击、恶意响应注入攻击等不同形式的网络攻击,而由于工业控制系统在设计之初缺乏对安全性的考虑,往往难以发现上述网络威胁。目前,已有大量相关研究工作通过传统机器学习技术来实现工业控制系统中的入侵检测。在检测某类攻击之前,使用传统机器学习技术的检测方法需要预先学习此类攻击的大量恶意样本,然而,工业控制系统中有可能出现某些破坏力极强的新型网络攻击,在这种情况下,由于可以供机器学习训练使用的样本量极小,使用传统机器学习技术的检测方法往往效果较差甚至失效。
传统机器学习技术的检测方法存在如下缺点:
(1)在检测某种特定攻击前,需要经过长时间训练,难以应对实时变化的工业控制系统环境;
(2)仅能有效检测有大量恶意样本可供训练的攻击类型,难以检测那些仅有少量样本的攻击类型;
(3)只能区分正常样本和异常样本,不能对进一步区分出新型攻击的样本。
导致传统机器学习技术的检测方法存在上述缺陷的原因在于:
1、使用传统机器学习技术的检测方法需要经过大量同类样本的训练才能学习到此类攻击中的潜在特征,且由于训练阶段的样本量巨大,导致耗费较长时间。
2、为了学习到攻击数据中的潜在特征,传统的机器学习方法通常采用未经改进的深度神经网络,结构较为复杂,当样本量较少时,传统的机器学习方法往往会出现过拟合,因此不能有效检测小样本攻击;
3、传统检测方法不考虑对新型攻击样本的获取,因此,通常是二分类模型,即只区分正常样本和异常样本,而不对异常样本进一步分类。
发明内容
本发明的目的在于提供一种基于小样本学习的工业控制系统入侵检测方法,可以有效对正常类型、某种常规攻击类型及某种新型攻击类型样本进行分类并检测。
本发明通过下述技术方案实现:一种基于小样本学习的工业控制系统入侵检测方法,包括下述步骤:
1)数据集划分,将从工业控制系统数据流量中提取到的原始数据集的三种不同类型样本划分为检测模型训练集和基础模型训练集,三种不同类型样本分别为正常样本、常见攻击样本及新型攻击样本;
4)小样本训练任务构建,经步骤3)后,使用处理后的基础模型训练集形成支持集和查询集,构建基础模型训练所需的小样本训练任务;
5)基础模型训练,借助构建好的小样本训练任务,训练基于卷积神经网络(Convolutional Neural Networks, CNN)的基础模型;
6)检测模型训练,基于已经训练好的基础模型,利用经步骤3)处理后的检测模型训练集进一步训练,得到检测模型;
7)实时数据检测,借助检测模型中三种不同类型样本的中心向量,实现有效检测实时数据流中出现的攻击。
进一步的为更好地实现本发明,特别采用下述设置方式:所述步骤1)具体为:将包含有大量的正常类型的正常样本、至少3种常见攻击类型的常见攻击样本及个新型攻击类型的新型攻击样本()共计三种不同类型样本的原始数据集按下述方式划分得到检测模型训练集和基础模型训练集:
1.2)将剩余的正常样本及常见攻击类型的常见攻击样本组成基础模型训练集。
进一步的为更好地实现本发明,特别采用下述设置方式:所述步骤2)的具体步骤为:
进一步的为更好地实现本发明,特别采用下述设置方式:在实现根据(4)式将第列数据中第类离散值()编码为独热向量时,若出现种类型离散值之外的新类型离散值,即考虑到在实际检测的阶段可能会有未在训练集中出现的新类型离散值,在这种情况下,将的第位设置为1,其他位设置为0。
进一步的为更好地实现本发明,特别采用下述设置方式:所述步骤4)包括下述具体步骤:
4.3)将步骤4.1)、步骤4.2)中的支持集和查询集组合,构成一次小样本训练任务;
进一步的为更好地实现本发明,特别采用下述设置方式:所述步骤5)包括下述具体步骤:
进一步的为更好地实现本发明,特别采用下述设置方式:所述步骤6)包括下述步骤:
6.2)根据(5)式分别计算正常样本、要检测的某类常见攻击类型的常见攻击样本及新型攻击样本的中心向量;
6.3)保存三种类型样本的中心向量,得到检测模型。
进一步的为更好地实现本发明,特别采用下述设置方式:所述步骤7)包括下述步骤:
7.1)从实时数据流中截取与原始数据集中的样本具有相同结构的数据段作为检测样本;
7.2)采用步骤2)、步骤3)分别处理检测样本中的连续型数据和离散型数据;
7.5)根据步骤7.4)预测结果作进一步处理:若检测样本为正常类型,则让数据流量正常通过;若检测样本为攻击类型,则拦截数据流量并报警。
本发明与现有技术相比,具有以下优点及有益效果:
(1)本发明从现有技术的缺点出发,考虑到工业控制系统实际应用场景中可能出现的小样本攻击问题,提出一种基于小样本学习的工业控制系统入侵检测方法。
附图说明
图1为典型的用于实现本发明的系统模型架构图。
具体实施方式
下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限于此。
为使本发明实施方式的目的、技术方案和优点更加清楚,下面将结合本发明实施方式中的附图,对本发明实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施方式是本发明一部分实施方式,而不是全部的实施方式。基于本发明中的实施方式,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式,都属于本发明保护的范围。因此,以下对在附图中提供的本发明的实施方式的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施方式。基于本发明中的实施方式,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式,都属于本发明保护的范围。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横 向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、 “竖直”、“水平”、“顶”、“底”、“内”、“外”、“顺时针”、“逆时针”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的设备或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
在本发明中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也 可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
在本发明中,除非另有明确的规定和限定,第一特征在第二特征之“上”或之“下”可以包括第一和第二特征直接接触,也可以包括第一和第二特征不是直接接触而是通过它们之间的另外的特征接触。而且,第一特征在第二特征“之上”、“上方”和“上面”包括第一特征在第二特征正上方和斜上方,或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”包括第一特征在第二特征正下方和斜下方,或仅仅表示第一特征水平高度小于第二特征。
实施例1:
本发明设计出一种基于小样本学习的工业控制系统入侵检测方法,包括下述步骤:
1)数据集划分,将从工业控制系统数据流量中提取到的原始数据集的三种不同类型样本划分为检测模型训练集和基础模型训练集,三种不同类型样本分别为正常样本、常见攻击样本及新型攻击样本;
4)小样本训练任务构建,经步骤3)后,使用处理后的基础模型训练集形成支持集和查询集,构建基础模型训练所需的小样本训练任务;
5)基础模型训练,借助构建好的小样本训练任务,训练基于卷积神经网络(Convolutional Neural Networks, CNN)的基础模型;
6)检测模型训练,基于已经训练好的基础模型,利用步骤3)处理后的检测模型训练集进一步训练,得到检测模型;
7)实时数据检测,借助检测模型中三种不同类型样本的中心向量,实现有效检测实时数据流中出现的攻击。
实施例2:
本实施例是在上述实施例的基础上进一步优化,与前述技术方案相同部分在此将不再赘述,进一步的为更好地实现本发明,特别采用下述设置方式:所述步骤1)具体为:将包含有大量的正常类型的正常样本、至少3种常见攻击类型的常见攻击样本及个新型攻击类型的新型攻击样本()共计三种不同类型样本的原始数据集按下述方式划分得到检测模型训练集和基础模型训练集:
1.2)将剩余的正常样本及常见攻击类型的常见攻击样本组成基础模型训练集。
实施例3:
本实施例是在上述任一实施例的基础上进一步优化,与前述技术方案相同部分在此将不再赘述,进一步的为更好地实现本发明,特别采用下述设置方式:所述步骤2)的具体步骤为:
实施例4:
本实施例是在上述任一实施例的基础上进一步优化,与前述技术方案相同部分在此将不再赘述,进一步的为更好地实现本发明,特别采用下述设置方式:所述步骤3)具体为:统计数据矩阵的第列数据中所包含的离散值类型数量,为第列数据分配位编码,然后根据(4)式将第列数据中第类离散值()编码为独热向量:
实施例5:
本实施例是在上述任一实施例的基础上进一步优化,与前述技术方案相同部分在此将不再赘述,进一步的为更好地实现本发明,特别采用下述设置方式:在实现根据(4)式将第列数据中第类离散值()编码为独热向量时,若出现种类型离散值之外的新类型离散值,即考虑到在实际检测的阶段可能会有未在训练集中出现的新类型离散值,在这种情况下,将的第位设置为1,其他位设置为0。
实施例6:
本实施例是在上述任一实施例的基础上进一步优化,与前述技术方案相同部分在此将不再赘述,进一步的为更好地实现本发明,特别采用下述设置方式:所述步骤4)包括下述具体步骤:
4.3)将步骤4.1)、步骤4.2)中的支持集和查询集组合,构成一次小样本训练任务;
实施例7:
本实施例是在上述任一实施例的基础上进一步优化,与前述技术方案相同部分在此将不再赘述,进一步的为更好地实现本发明,特别采用下述设置方式:所述步骤5)包括下述具体步骤:
实施例8:
实施例9:
本实施例是在上述任一实施例的基础上进一步优化,与前述技术方案相同部分在此将不再赘述,进一步的为更好地实现本发明,特别采用下述设置方式:所述步骤6)包括下述步骤:
6.2)根据(5)式分别计算正常样本、要检测的某类常见攻击类型的常见攻击样本及新型攻击样本的中心向量;
6.3)保存三种类型样本的中心向量,得到检测模型。
实施例10:
本实施例是在上述任一实施例的基础上进一步优化,与前述技术方案相同部分在此将不再赘述,进一步的为更好地实现本发明,特别采用下述设置方式:所述步骤7)包括下述步骤:
7.1)从实时数据流中截取与原始数据集中的样本具有相同结构的数据段作为检测样本;
7.2)采用步骤2)、步骤3)分别处理检测样本中的连续型数据和离散型数据;
7.5)根据步骤7.4)预测结果作进一步处理:若检测样本为正常类型,则让数据流量正常通过;若检测样本为攻击类型,则拦截数据流量并报警。
实施例11:
如图1所示,典型的用于实现基于小样本学习的工业控制系统入侵检测方法的系统模型,设置有:
HMI:人机交互界面(Human Machine Interface)是系统模型与操作员之间交互的媒介,SCADA(Supervisory Control And Data Acquisition)主机反馈的信息通过HMI向操作员展示,操作员依据反馈信息作出判断,然后通过HMI向SCADA主机下达相应的控制命令。
SCADA主机:一方面,负责收集SCADA远程终端上报的数据,并将这些数据交付给数据存储中心进行安全存储;另一方面,负责向SCADA远程终端发送来自于操作员的控制命令。
数据存储中心:负责安全存取SCADA主机交付的数据。
SCADA远程终端:一方面,连接到PLC和RTU,负责接收数据和传递SCADA主机发来的控制命令。另一方面,通过广域网连接到SCADA主机,负责上报数据和接收控制命令。
PLC:可编程逻辑控制器(Programmable Logic Controller)连接到远程工作站生产设备中的传感器和执行器,并通过有线连接与SCADA远程终端相连。一方面,负责监控并汇报传感器和执行器的工作状态;另一方面,负责执行SCADA远程终端发来的控制命令。
RTU:远程终端单元(Remote terminal unit)连接到远程工作站生产设备中的传感器和执行器,并通过无线连接与SCADA远程终端相连。与PLC功能类似,负责监控并汇报传感器和执行器的工作状态、执行逻辑控制命令。
远程工作站:指工厂、发电站、变电站、海上钻井平台等工业基础设施,每个远程工作站包含多个具备传感器和执行器的工业生产设备,与PLC或RTU通过硬接线直接相连。
基于该系统模型实现一种基于小样本学习的工业控制系统入侵检测方法,包括下述步骤:
1)数据集划分,从数据存储中心的历史数据中获取包含有大量的正常类型的正常样本、至少3种常见攻击类型的常见攻击样本及个新型攻击类型的新型攻击样本()共计三种不同类型样本的原始数据集,然后将原始数据集按下述方式划分得到检测模型训练集和基础模型训练集:
1.2)将剩余的正常样本及常见攻击类型的常见攻击样本组成基础模型训练集。
2)连续数据处理,包括下述步骤:
3)离散数据处理,使用独热编码(One-hot Encoding)方法对基础模型训练集、检测模型训练集的个数据样本中维离散型特征构成的数据矩阵进行处理;具体为:统计数据矩阵的第列数据中所包含的离散值类型数量,为第列数据分配位编码,然后根据(4)式将第列数据中第类离散值()编码为独热向量:
4)小样本训练任务构建,包括下述具体步骤:
4.3)将步骤4.1)、步骤4.2)中的支持集和查询集组合,构成一次小样本训练任务;
5)基础模型训练,借助构建好的小样本训练任务,训练基于卷积神经网络(Convolutional Neural Networks, CNN)的基础模型,包括下述具体步骤:
6)检测模型训练,基于已经训练好的基础模型,利用步骤3)处理后的检测模型训练集进一步训练,得到检测模型,并将其部署到SCADA主机上,包括下述步骤:
6.2)根据(5)式分别计算正常样本、要检测的某类常见攻击类型的常见攻击样本及新型攻击样本的中心向量;
6.3)保存三种类型样本的中心向量,得到检测模型,并将其部署到SCADA主机上。
7)实时数据检测,借助检测模型中三种不同类型样本的中心向量,实现有效检测实时数据流中出现的攻击,包括下述步骤:
7.1)PLC/RTU将远程工作站汇报的实时数据通过有线/无线方式上报至SCADA远程终端,进一步地,SCADA远程终端通过广域网将实时数据上报至SCADA主机,由SCADA主机从实时数据流中截取与原始数据集中的样本具有相同结构的数据段作为检测样本;
7.2)采用步骤2)、步骤3)分别处理检测样本中的连续型数据和离散型数据;
7.5)根据步骤7.4)预测结果,由SCADA主机作进一步处理:若检测样本为正常类型,则将数据流量正常交付给数据存储中心;若检测样本为攻击类型,则拦截数据流量并向HMI报警。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化,均落入本发明的保护范围之内。
Claims (10)
1.一种基于小样本学习的工业控制系统入侵检测方法,其特征在于:包括下述步骤:
1)数据集划分,将从工业控制系统数据流量中提取到的原始数据集的三种不同类型样本划分为检测模型训练集和基础模型训练集,三种不同类型样本分别为正常样本、常见攻击样本及新型攻击样本;
4)小样本训练任务构建,经步骤3)后,使用处理后的基础模型训练集形成支持集和查询集,构建基础模型训练所需的小样本训练任务;
5)基础模型训练,借助构建好的小样本训练任务,训练基于卷积神经网络的基础模型;
6)检测模型训练,基于已经训练好的基础模型,利用经步骤3)处理后的检测模型训练集进一步训练,得到检测模型;
7)实时数据检测,借助检测模型中三种不同类型样本的中心向量,实现有效检测实时数据流中出现的攻击。
6.根据权利要求2所述的一种基于小样本学习的工业控制系统入侵检测方法,其特征在于:所述步骤4)包括下述具体步骤:
4.3)将步骤4.1)、步骤4.2)中的支持集和查询集组合,构成一次小样本训练任务;
7.根据权利要求1所述的一种基于小样本学习的工业控制系统入侵检测方法,其特征在于:所述步骤5)包括下述具体步骤:
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011007316.5A CN111931175B (zh) | 2020-09-23 | 2020-09-23 | 一种基于小样本学习的工业控制系统入侵检测方法 |
US17/359,587 US11218502B1 (en) | 2020-09-23 | 2021-06-27 | Few-shot learning based intrusion detection method of industrial control system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011007316.5A CN111931175B (zh) | 2020-09-23 | 2020-09-23 | 一种基于小样本学习的工业控制系统入侵检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111931175A true CN111931175A (zh) | 2020-11-13 |
CN111931175B CN111931175B (zh) | 2020-12-25 |
Family
ID=73334023
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011007316.5A Active CN111931175B (zh) | 2020-09-23 | 2020-09-23 | 一种基于小样本学习的工业控制系统入侵检测方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US11218502B1 (zh) |
CN (1) | CN111931175B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112565256A (zh) * | 2020-12-05 | 2021-03-26 | 星极实业(深圳)有限公司 | 一种可实时拦截及报警的工业控制系统入侵检测系统 |
CN112632549A (zh) * | 2021-01-06 | 2021-04-09 | 四川大学 | 一种基于语境分析的Web攻击检测方法 |
CN113065606A (zh) * | 2021-04-19 | 2021-07-02 | 北京石油化工学院 | 一种基于轻量级深度学习的异常点位检测方法及系统 |
CN115409124A (zh) * | 2022-09-19 | 2022-11-29 | 小语智能信息科技(云南)有限公司 | 基于微调原型网络的小样本敏感信息识别方法 |
US11552989B1 (en) * | 2021-11-23 | 2023-01-10 | Radware Ltd. | Techniques for generating signatures characterizing advanced application layer flood attack tools |
US11582259B1 (en) | 2021-11-23 | 2023-02-14 | Radware Ltd. | Characterization of HTTP flood DDoS attacks |
CN115859277A (zh) * | 2023-02-07 | 2023-03-28 | 四川大学 | 一种基于系统调用序列的主机入侵检测方法 |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11785024B2 (en) * | 2021-03-22 | 2023-10-10 | University Of South Florida | Deploying neural-trojan-resistant convolutional neural networks |
CN114422241B (zh) * | 2022-01-19 | 2023-07-07 | 内蒙古工业大学 | 一种入侵检测方法、装置及系统 |
CN114697081B (zh) * | 2022-02-28 | 2024-05-07 | 国网江苏省电力有限公司淮安供电分公司 | 基于iec61850 sv报文运行态势模型的入侵检测方法和系统 |
CN115776401B (zh) * | 2022-11-23 | 2024-04-19 | 中国人民解放军国防科技大学 | 基于少样本学习对网络攻击事件进行溯源的方法、装置 |
CN116522248B (zh) * | 2023-03-22 | 2023-12-15 | 新疆维吾尔自治区疾病预防控制中心 | 基于机器学习的核酸异常数据智能研判系统 |
CN116821907B (zh) * | 2023-06-29 | 2024-02-02 | 哈尔滨工业大学 | 一种基于Drop-MAML的小样本学习入侵检测方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110825068A (zh) * | 2019-09-29 | 2020-02-21 | 惠州蓄能发电有限公司 | 一种基于pca-cnn的工业控制系统异常检测方法 |
CN110837872A (zh) * | 2019-11-14 | 2020-02-25 | 北京理工大学 | 一种工控网络入侵检测方法及系统 |
CN110912867A (zh) * | 2019-09-29 | 2020-03-24 | 惠州蓄能发电有限公司 | 工业控制系统的入侵检测方法、装置、设备和存储介质 |
CN111428789A (zh) * | 2020-03-25 | 2020-07-17 | 广东技术师范大学 | 一种基于深度学习的网络流量异常检测方法 |
CN111431938A (zh) * | 2020-04-24 | 2020-07-17 | 重庆邮电大学 | 一种基于胶囊网络的工业互联网入侵检测方法 |
CN111460441A (zh) * | 2020-04-17 | 2020-07-28 | 武汉大学 | 一种基于批归一化卷积神经网络的网络入侵检测方法 |
CN111553386A (zh) * | 2020-04-07 | 2020-08-18 | 哈尔滨工程大学 | 一种基于AdaBoost和CNN的入侵检测方法 |
CN111553381A (zh) * | 2020-03-23 | 2020-08-18 | 北京邮电大学 | 基于多网络模型的网络入侵检测方法、装置及电子设备 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20160095856A (ko) * | 2015-02-04 | 2016-08-12 | 한국전자통신연구원 | 새로운 공격 유형의 자동 탐지 및 공격 유형 모델 갱신을 통한 지능형 침입 탐지 시스템 및 방법 |
US10999247B2 (en) * | 2017-10-24 | 2021-05-04 | Nec Corporation | Density estimation network for unsupervised anomaly detection |
US20200334578A1 (en) * | 2018-01-09 | 2020-10-22 | Nippon Telegraph And Telephone Corporation | Model training apparatus, model training method, and program |
US11171977B2 (en) * | 2018-02-19 | 2021-11-09 | Nec Corporation | Unsupervised spoofing detection from traffic data in mobile networks |
US11106789B2 (en) * | 2019-03-05 | 2021-08-31 | Microsoft Technology Licensing, Llc | Dynamic cybersecurity detection of sequence anomalies |
EP3792830A1 (en) * | 2019-09-10 | 2021-03-17 | Robert Bosch GmbH | Training a class-conditional generative adverserial network |
US11729190B2 (en) * | 2019-10-29 | 2023-08-15 | General Electric Company | Virtual sensor supervised learning for cyber-attack neutralization |
TWI760657B (zh) * | 2019-11-14 | 2022-04-11 | 和碩聯合科技股份有限公司 | 異常偵測模型的訓練方法及使用此方法的電子裝置 |
-
2020
- 2020-09-23 CN CN202011007316.5A patent/CN111931175B/zh active Active
-
2021
- 2021-06-27 US US17/359,587 patent/US11218502B1/en active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110825068A (zh) * | 2019-09-29 | 2020-02-21 | 惠州蓄能发电有限公司 | 一种基于pca-cnn的工业控制系统异常检测方法 |
CN110912867A (zh) * | 2019-09-29 | 2020-03-24 | 惠州蓄能发电有限公司 | 工业控制系统的入侵检测方法、装置、设备和存储介质 |
CN110837872A (zh) * | 2019-11-14 | 2020-02-25 | 北京理工大学 | 一种工控网络入侵检测方法及系统 |
CN111553381A (zh) * | 2020-03-23 | 2020-08-18 | 北京邮电大学 | 基于多网络模型的网络入侵检测方法、装置及电子设备 |
CN111428789A (zh) * | 2020-03-25 | 2020-07-17 | 广东技术师范大学 | 一种基于深度学习的网络流量异常检测方法 |
CN111553386A (zh) * | 2020-04-07 | 2020-08-18 | 哈尔滨工程大学 | 一种基于AdaBoost和CNN的入侵检测方法 |
CN111460441A (zh) * | 2020-04-17 | 2020-07-28 | 武汉大学 | 一种基于批归一化卷积神经网络的网络入侵检测方法 |
CN111431938A (zh) * | 2020-04-24 | 2020-07-17 | 重庆邮电大学 | 一种基于胶囊网络的工业互联网入侵检测方法 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112565256A (zh) * | 2020-12-05 | 2021-03-26 | 星极实业(深圳)有限公司 | 一种可实时拦截及报警的工业控制系统入侵检测系统 |
CN112632549A (zh) * | 2021-01-06 | 2021-04-09 | 四川大学 | 一种基于语境分析的Web攻击检测方法 |
CN112632549B (zh) * | 2021-01-06 | 2022-07-12 | 四川大学 | 一种基于语境分析的Web攻击检测方法 |
CN113065606A (zh) * | 2021-04-19 | 2021-07-02 | 北京石油化工学院 | 一种基于轻量级深度学习的异常点位检测方法及系统 |
CN113065606B (zh) * | 2021-04-19 | 2023-11-17 | 北京石油化工学院 | 一种基于轻量级深度学习的异常点位检测方法及系统 |
US11552989B1 (en) * | 2021-11-23 | 2023-01-10 | Radware Ltd. | Techniques for generating signatures characterizing advanced application layer flood attack tools |
US11582259B1 (en) | 2021-11-23 | 2023-02-14 | Radware Ltd. | Characterization of HTTP flood DDoS attacks |
US11888893B2 (en) | 2021-11-23 | 2024-01-30 | Radware Ltd | Characterization of HTTP flood DDoS attacks |
US11916956B2 (en) * | 2021-11-23 | 2024-02-27 | Radware Ltd. | Techniques for generating signatures characterizing advanced application layer flood attack tools |
CN115409124A (zh) * | 2022-09-19 | 2022-11-29 | 小语智能信息科技(云南)有限公司 | 基于微调原型网络的小样本敏感信息识别方法 |
CN115859277A (zh) * | 2023-02-07 | 2023-03-28 | 四川大学 | 一种基于系统调用序列的主机入侵检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111931175B (zh) | 2020-12-25 |
US11218502B1 (en) | 2022-01-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111931175B (zh) | 一种基于小样本学习的工业控制系统入侵检测方法 | |
CN106888205B (zh) | 一种非侵入式基于功耗分析的plc异常检测方法 | |
Shang et al. | Intrusion detection algorithm based on OCSVM in industrial control system | |
US20180288084A1 (en) | Method and device for automatically establishing intrusion detection model based on industrial control network | |
Nakhodchi et al. | Steeleye: An application-layer attack detection and attribution model in industrial control systems using semi-deep learning | |
CN113162893B (zh) | 基于注意力机制的工业控制系统网络流量异常检测方法 | |
Yi et al. | Optimized relative transformation matrix using bacterial foraging algorithm for process fault detection | |
Lai et al. | Industrial anomaly detection and attack classification method based on convolutional neural network | |
CN111353153A (zh) | 一种基于gep-cnn的电网恶意数据注入检测方法 | |
CN115348080B (zh) | 基于大数据的网络设备脆弱性综合分析系统及方法 | |
CN108536130A (zh) | 一种群智能寻优的化工故障诊断系统 | |
Perez et al. | Forget the myth of the air gap: Machine learning for reliable intrusion detection in SCADA systems | |
CN113067798A (zh) | Ics入侵检测方法、装置、电子设备和存储介质 | |
Li et al. | Transfer-learning-based network traffic automatic generation framework | |
Ouyang et al. | FS-IDS: a novel few-shot learning based intrusion detection system for scada networks | |
Li et al. | Intrusion detection system using improved convolution neural network | |
CN113159517B (zh) | 一种三维可视化电网运行数据分析系统 | |
CN116032526A (zh) | 一种基于机器学习模型优化的异常网络流量检测方法 | |
Hu et al. | Classification of Abnormal Traffic in Smart Grids Based on GACNN and Data Statistical Analysis | |
Wenhui et al. | The Development of Artificial Intelligence Technology And Its Application in Communication Security | |
CN115001781A (zh) | 一种终端网络状态安全监测方法 | |
CN114638379A (zh) | 边缘侧多智能体opc ua信息解析和决策方法 | |
CN106209462A (zh) | 基于智能视频技术的智慧金融管理系统 | |
CN113407410A (zh) | 一种区块链网络异常检测方法 | |
Tan et al. | Research on Fault Prediction Model Based on 5G Data Center |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |