CN112202736A - 基于统计学习和深度学习的工业控制系统通信网络异常分类方法 - Google Patents
基于统计学习和深度学习的工业控制系统通信网络异常分类方法 Download PDFInfo
- Publication number
- CN112202736A CN112202736A CN202010967322.9A CN202010967322A CN112202736A CN 112202736 A CN112202736 A CN 112202736A CN 202010967322 A CN202010967322 A CN 202010967322A CN 112202736 A CN112202736 A CN 112202736A
- Authority
- CN
- China
- Prior art keywords
- ics
- model
- flow
- communication network
- sequence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0259—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
- G05B23/0275—Fault isolation and identification, e.g. classify fault; estimate cause or root of failure
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0259—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
- G05B23/0275—Fault isolation and identification, e.g. classify fault; estimate cause or root of failure
- G05B23/0281—Quantitative, e.g. mathematical distance; Clustering; Neural networks; Statistical analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/18—Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/25—Fusion techniques
- G06F18/254—Fusion techniques of classification results, e.g. of results related to same input data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Mathematical Physics (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioinformatics & Computational Biology (AREA)
- Pure & Applied Mathematics (AREA)
- Evolutionary Biology (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Molecular Biology (AREA)
- Mathematical Optimization (AREA)
- Mathematical Analysis (AREA)
- Automation & Control Theory (AREA)
- Algebra (AREA)
- Probability & Statistics with Applications (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computational Mathematics (AREA)
- Operations Research (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于统计学习和深度学习的工业控制系统(ICS)通信网络异常分类方法。该方法基于大数据量的工业控制系统通信网络正常运行时的流量,设计LSTM深度学习结构参数并进行建模分析。通过分析结合前期基于SARIMA在线统计学习模型所生成的实时通信流量数据阈值,设计关联算法分析背景流量与实时流量之间的数值关系。根据ICS网络异常事件分类算法对ICS通信网络异常进行具体分类。本发明以浙江省某工控安全虚实结合的靶场测试台进行实验分析,同时在实验室环境搭建实物仿真平台进行验证实验,并给出了详细的实例验证其算法的可靠性和准确性。
Description
技术领域
本发明涉及工业控制系统网络异常检测,尤其是涉及一种基于统计学习和深度学习的工业控制系统通信流量异常分类方法,属于工业信息安全检测领域。
背景技术
能源、炼化和交通等关键基础设施是国家稳定运行的神经中枢,是我国网络安全的重中之重。随着国家大型基础设备(智能变电站,智能化工流程工业系统,工业分布式控制系统)的自动化,互联化以及智能化建设的推进,其网络空间安全问题日益凸显。近年来,一系列针对国家关键基础设施的网络攻击造成了极大的国民经济损失和对社会不可逆的破坏。这些顶尖黑客通过更隐蔽,更高效,杀伤力更大的入侵方式频繁入侵枢纽变电站,流程化工业系统甚至核电站的通信网络。目前,针对国家关键基础设施网络系统的防御与加固已经上升到国家战略层面,而通信流量分析则是工业系统安全问题公认最有前景的解决方案。通信流量智能化分析是将传统互联网领域的安全解决方案与现代化的电力通信网络和工业控制系统特性有机结合的交叉学科解决方案。通过流量分析技术提取工业控制系统运行中的网络异常事件,采用基于统计学习和深度学习相结合的方法可以达到对异常事件精准定位,定性以及定量分析,并从原理结构上对其进行详细分类。
根据相关报告和文献,所有针对工业系统的攻击都会在通信网络上有所体现。大多数的工控网络攻击都会导致相关的通信网络受损,不同的攻击类型导致网络受损的程度和位置会有所不同。以“Blackenergy”为主导的组合拳式的攻击以及一系列恶意代码注入会导致通信网络瘫痪,关键信道被阻塞,数据采集与监控(SCADA)系统被操纵,控制系统迟滞恢复与状态致盲等现象。由于ICS中的数据流量表现出不同的流量模式和类似于互联网流量的特征,因此可以通过生成数学模型加以分析,开发和理解ICS数据流量的特征。对于ICS通信流量这种复杂时间序列,一般采用回归算法进行建模及统计学分析。对于ICS通信网络异常分析及事件分类,一般采用传统的机器学习算法对异常事件进行离线分析与建模。目前的ICS异常检测算法无法对实时的异常进行精准定位,且存在较高的误报率。现有的ICS异常事件分类模型具有算法复杂程度高,对分类的原理解释性不强以及对ICS的典型网络异常分类的准确性不高的缺陷。且异常事件的分类方式一般为基于机器学习的离线分类方式,不能实时对采集的ICS通信流量进行动态分析并跟踪异常事件的源头,最后返回异常事件的种类。由于无法对ICS异常事件追根溯源,因此导致运维人员无法对ICS网络状况进行实时态势感知及预警,同时也无法采用对应的网络防御措施对其进行安全审计与加固。
发明内容
基于SARIMA统计学习及LSTM深度学习的工业控制系统通信网络异常分类方法可以对实时采集的ICS数据流量进行正常流量动态阈值生成,并根据组合分类算法对当前采集到的ICS数据流量,动态正常流量阈值区间,静态的背景流量预测值,伯克利滤波器滤波后的流量及白名单内记录事件的时间进行整合运算,从而快速,精准地对实时的ICS异常事件进行分类与溯源,达到对ICS网络流量进行异常检测的后续分析。最终实现对ICS网络状况的实时态势感知,预警以及安全防护升级。
本发明的目的在于解决在没有先验知识的前提下,对实时采集的ICS通信流量进行动态建模以及异常分类检测,针对现有ICS异常事件分类检测算法过于依赖先验知识,分类精确度不高及算法复杂度高导致无法实际部署等不足提出了完善的分析方法;设计的基于统计学习和深度学习的ICS网络异常事件分类算法模型对国家重大工业基础设施的网络安全防护及异常检测具有指导意义。
本发明的目的可以通过以下技术方案来实现:
基于统计学习和深度学习的工业控制系统通信网络异常分类方法包括如下步骤:
1)ICS通信网络的监控主机从ICS通信网络的工业交换机中实时采集通信流量数据,工业服务器存储实时采集的通信流量数据,;
2)根据ICS通信网络正常流量数据,设计LSTM深度学习模型结构参数并进行建模,生成离线LSTM深度学习模型并存储于工业服务器;
3)用多个小周期的SARIMA模型进行在线检测
分布式运行多个小周期的SARIMA(p,d,q)x(P,D,Q)s统计学习模型,并实时生成通信流量在线阈值区间,同时获取通信流量超出在线阈值的对应ICS通信网络流量序列,包括出现该异常的小周期SARIMA模型的训练集、以及由训练集得到的在线阈值的上下限和与阈值区间进行比较的在线监测数据集;
4)在线LSTM模型辨识ICS通信网络背景流量
将出现异常的对应小周期SARIMA模型的训练集作为已存储的LSTM深度学习模型的输入,并在线输出对应的预测序列;
5)设计异常流量组合分类器,进行数值统计运算对ICS通信网络异常进行分类。
本发明的有益效果在于解决了ICS通信流量的网络异常检测及分类问题;生成的基于统计学习和深度学习的网络异常事件分类方法对ICS的网络安全防护具有指导意义。ICS网络异常分类方法能实时监测网络流量动态,快速分析网络异常事件。对典型的ICS系统提供实时、精准的异常网络事件源头定位,详细的异常事件产生影响及异常事件种类分析;从而为未来网络优化、网络调整、网络建设以及网络安全防护提供决策支持。本发明前期对实际采集的ICS通信网络流量进行精确可靠的实时动态建模,并根据组合算法在流量层面上针对不同的网络异常事件进行智能化的异常分类检测,能满足对典型ICS的入侵检测,分类安全防护以及安全态势感知。该发明能高效准确地抵御针对ICS的典型网络攻击,显著提升系统抵御典型网络异常的裕度。
本发明针对ICS通信网络流量的特点,深度结合现有基于SARIMA统计学习模型以及LSTM深度学习建模的理论。前期通过对实时采集的ICS通信流量数据进行分布式小周期的SARIMA模型建模,高效稳定的生成ICS通信网络流量实时阈值区间。根据阈值区间以及LSTM深度学习模型生成的ICS通信网络背景流量预测序列,设计的ICS网络异常事件分类方法可以快速,精准地对实时的ICS异常事件进行分类与溯源,达到对ICS网络流量进行异常检测的后续分析。最终实现对ICS网络状况的实时态势感知,预警以及安全防护升级。本发明实地采集浙江省某虚实结合的工控靶场以及工控测试台的ICS通信流量数据,并进行建模分析,建立具有适当参数的分布式小周期SARIMA模型。利用统计学习的思想,使用优化的SARIMA(p,d,q)x(P,D,Q)s模型计算ICS的正常流量阈值区间,并分析模型切合程度。利用深度学习的思想,使用LSTM模型对大数据量下的ICS的通信网络背景流量进行离线训练建模分析,利用异常事件所在小周期的SARIMA模型的训练集作为输入,训练完备的LSTM模型能利用该输入在线输出当前异常事件状态下ICS通信网络背景流量的预测值。根据自定义、可适配的组合的异常事件分类算法对实时采集的工控流量进行动态分析,最后对ICS异常事件进行分类与溯源。本发明最终在浙江省某化工集团的过程工业控制系统中进行实际部署应用,具有极低的算法在线运行时间,较高的检测率以及较低的误检率。
附图说明
图1是本发明的方法流程图;
图2是本发明的实验测试台搭建效果图;
图3是本发明进行在线检测时多个小周期迭代的简明示意图;
图4是LSTM深度学习的算法框图;
图5是分布式SARIMA统计学习算法的多个小周期迭代的简明示意图;
图6是SARIMA统计学习算法与LSTM机器学习算法的交叉计算示意图;
图7是LSTM模型训练损失函数图。
具体实施方式
下面根据附图详细说明本发明,本发明的目的和效果将变得更加明显。图1为本发明的整体流程框图。
图2为本发明的实验测试台搭建效果图。实验根据前期采集了浙江大学某虚实结合的ICS靶场的通信网络流量搭建符合实验环境的ICS网络测试平台。该平台配置了工业PLC控制器,工业以太网交换机以及工控上位主机。其中上位机与PLC之间采用TCP/IP的通信协议。PLC到现场设备层之间采用工业类Modbus协议。对实际ICS通信网络流量进行采集并存储,对流量的特性进行离线分析。流量探针部署的位置在工控上位机与控制器之间的工业交换机上,分析流量的类型为单个交换机口的局部流量以及交换机镜像口的全流量。根据图1的发明整体算法流程框图,实验前期对镜像口全流量数据进行建模与数据分析,采用小周期的分布式SARIMA模型对实时采集的ICS通信流量数据进行动态阈值建模以及异常检测;后期采用LSTM深度学习算法对ICS通信网络背景流量进行预测建模,并结合组合分类算法对ICS网路异常事件进行溯源以及分类。
在无任何人为操作与干扰的情况下,本次实验一共抓取了正常运行的ICS通信网络中的Pcap数据包,大约运行时长为20小时,无丢包现象。另外抓取了ICS通信网络的背景流量Pcap数据包,大概运行时间为20小时,此背景流量数据包为ICS内的设备全部设置为待机模式,主机与监控机保持通信状态,无人为干扰与其他人为操作时的通信流量。其ICS通信网络流量的具体细节如图3所示,其中ICS正常流量的聚合尺度分别为1s,30s,60s。
参照图1所示的方法总体流程架构,一种基于统计学习和深度学习的工业控制系统通信网络异常分类方法,其包括如下步骤:
1)在ICS通信网络之中部署工业交换机、监控主机、测试主机以及工业服务器,监控主机从工业交换机中实时采集通信流量数据,工业服务器存储实时采集的通信流量数据,并由此搭建ICS网络测试平台,其中测试平台由ICS攻击注入平台以及网络安全平台构成,该ICS网络测试平台的搭建细节如图2所示;
2)根据大量的ICS通信网络正常流量数据,设计LSTM深度学习模型结构参数并进行建模,生成离线LSTM深度学习模型并存储于工业服务器;
2.1)参照图4的LSTM算法原理图,定义的LSTM深度学习算法的网络结构采用控制门的机制,由记忆细胞、输入门、输出门、遗忘门组成。其前向计算方法可以表示为:
gt (l)=ψ(Wgx (l)ht (l-1)+Wgh (l)ht-1 (l)+bg (l))
it (l)=δ(Wix (l)ht (l-1)+Wih (l)ht-1 (l)+bi (l))
ft (l)=δ(Wfx (l)ht (l-1)+Wfh (l)ht-1 (l)+bf (l))
ot (l)=δ(Wox (l)ht (l-1)+Woh (l)ht-1 (l)+bo (l))
st (l)=gt (l)⊙it (l)+st-1 (l)⊙ft (l)
ht (l)=ψ(st (l))⊙ot (l)
其中W为权重矩阵,b为权重向量,用于设置在输入层,记忆层以及输出层建立连接。st (l)表示记忆细胞在第l层第t步长时的状态,ht (l)是记忆细胞在第l层第t步长时的输出状态。δ是激活函数,ψ是tanh函数。⊙是集合之间的哈达玛积。i,o,f分别表示输入门,输出门以及遗忘门。g是tanh函数的输入节点。
2.2)简化的基于ICS通信网络流量时间序列的LSTM深度学习模型函数如下:
ModelLSTM←fLSTM(X′Ntrai,Nfore,Para[])
其中fLSTM()是简化的LSTM深度学习模型函数,该函数使用大数据量的ICS正常通信流量的训练序列X′Ntrai进行模型适配与训练,LSTM深度学习模型结构参数集合为Para[],Nfore为LSTM深度学习模型的预测序列长度,Ntrai是预先定义的训练序列长度。通过上时间的模型训练,离线的LSTM深度学习模型可以根据合适的LSTM结构参数Para[]以及训练集X′Ntrai生成反映ICS通信网络流量正常情况的LSTM模型。
3)参照图5,分布式运行多个小周期的SARIMA(p,d,q)x(P,D,Q)s统计学习模型,并实时生成通信流量在线阈值区间,同时获取通信流量超出在线阈值的对应ICS通信网络流量序列,包括出现该异常的小周期SARIMA模型的训练集,在线检测数据集以及在线阈值的上下限;
3.1)定义选定的流量聚合尺度以及小周期分析尺度,用SARIMA(p,d,q)x(P,D,Q)s序列的定义法来产生SARIMA(p,d,q)x(P,D,Q)s的时间序列:
SARIMA(p,d,q)x(P,D,Q)s模型是通过对ARMA(p,q)模型分别进行d阶差分以及D阶季节性差分计算得到的,ARMA(p,q)模型是由AR(p)以及MA(q)模型组合而成;
自回归滑动平均模型ARMA(p,q)定义如下:
Xt=φ1Xt-1+φ2Xt-2+…+φpXt-p+εt-θ1εt-1-…-θqεt-q
上式:Xt为均值化处理之后的小周期的平稳时间序列,其时间序列的长度较短;φp为自回归项AR的系数;θq为滑动平均项MA的系数;εt为随机扰动;p为AR的阶数;q为MA的阶数;
定义一个延迟算子B,BXt=Xt-1,则AR系数多项式Φ(B)=1-φ1B-…-φp(B)p,MA系数多项式Θ(B)=1-θ1B-…-θq(B)q;
引入差分算子Δd=(1-B)d,则ARIMA(p,d,q)模型表示为:
Φ(B)ΔdXt=Θ(B)εt
SARIMA模型通过对ARIMA模型进行季节性差分运算得到,SARIMA模型的定义如下:
Φp(B)ΦP(Bs)ΔdΔs DXt=Θq(B)ΘQ(Bs)εt
其中εt为白噪声序列,d为趋势差分的阶数,D为周期s为补偿的季节差分阶数,Bs为s阶延迟算子,Δs D为季节性差分算子;BsXt=Xt-s,Δs D=1-Bs,ΦP(Bs)为Bs的Q阶多项式,ΦP(Bs)为Bs的P阶多项式;
3.2)使用贝叶斯信息准则BIC对SARIMA(p,d,q)x(P,D,Q)s模型的p,d,q,P,D,Q,阶数进行监督分析并定阶;
3.4)采用最优BIC准则下的SARIMA(p,d,q)x(P,D,Q)s模型对原始序列进行拟合分析,并进行残差检验;若残差为白噪声,则对拟合序列进行反滤波处理,得到原序列的拟合值或预测值;若残差不为白噪声,则重新采用BIC信息准则对ARMA(p,q)模型进行定阶;
3.5)得到小周期的SARIMA(p,d,q)x(P,D,Q)s的数学表达式。
3.6)采集ICS工业交换机上的实时流量数据,根据设定的采样频率γsamp,聚合尺度生成时间序列,并以一个小周期为一个迭代周期;
3.7)对采集到的实时流量数据进行训练,在一个小周期内进行SARIMA(p,d,q)x(P,D,Q)s模型训练与适配之后,输出最优的模型以及模型适配的参数;第i个小周期的模型定义为:
其中fSARIMA()为SARIMA(p,d,q)x(P,D,Q)s模型的函数表达式,为第i次迭代的小周期训练集,Tfore为小周期预测的序列个数,s为周期性参数,'BIC'为计量经济学选取最优的(p,d,q,P,D,Q)参数的准则,是SARIMA模型第i次迭代预测出的时间序列;
3.8)分布式运行小周期的SARIMA(p,d,q)x(P,D,Q)s模型,对实时采集的第i个小周期的ICS流量数据进行实时动态滚动建模,此时的实时流量数据相当于验证集;将验证集与预测过程生成的基于置信区间的流量阈值上下限进行对比分析;其定义的第i个小周期的上下界阈值为:
第i次迭代的正常ICS通信流量定义为:
其中函数∩为对两个时间序列集合取交集。
3.9)流量判定结束之后,继续下一个小周期的训练迭代,并重新输出新的最优模型以及模型适配的参数,对新输入的实时流量数据进行再次判定;
3.10)循环整个过程,直到达到设定的迭代次数。
其中tdebug为程序运行之前的实时调试时间,γsamp为ICS流量的采样频率,时间序列算法为直接对相对应的序列元素进行计算。
其中Kn为中间变量。
4)参照6所示的算法对照图,将出现异常的对应小周期SARIMA模型的训练集作为已存储的LSTM深度学习模型的输入,并在线输出对应的预测序列;
基于LSTM深度学习模型的在线ICS正常通信流量预测分析算法如下所示:
其中ModelLSTM()为使用步骤2中离线训练所得到的LSTM深度学习模型,为在线LSTM模型预测的ICS正常通信流量序列,为在线模型的输入,Nfore为预测的流量序列长度;通过异常事件发生时所在的在线SARIMA模型小周期序列得到当前小周期的在线SARIMA模型训练集(其中每个训练小周期的SARIMA训练集为n为异常事件发生的总数;该训练集保留了ICS通信网络出现异常之前的流量模式,同时定义了在线LSTM深度学习模型的输入,由此得到在线模型输出的n个ICS通信网络流量异常事件的LSTM在线预测序列其中每个异常事件所对应的序列长度为Nfore。
离线运行的LSTM深度学习模型可作为先验知识验证ICS通信网络的正常背景流量。异常事件发生时所在的第次小周期与在线SARIMA统计学习模型训练集存在时间意义上的对应性,通过结合在线的LSTM深度学习模型可作为后验知识对ICS通信网络异常事件进行分类。在线的LSTM深度学习模型同样具有低算法复杂度的特征。
5)设计异常流量组合分类算法,通过对上述已获取的变量进行数值统计运算对ICS通信网络异常进行分类;
5.1)实时的时间标签误差算法定义如下:
其中预定义的误差ε作为限制异常事件时间戳与记录白名单时间戳偏差的临界值,为异常事件时间序列的元素,为白名单记录ICS合法行为操作以及计划检修事件时间序列的元素。若异常事件时间戳与记录白名单时间戳偏差的临界值在偏差以内,则ICS通信流量异常由ICS合法行为操作以及计划检修事件产生。
5.2)通过发生异常事件时小周期的在线SARIMA模型阈值上下限,以及LSTM模型预测的ICS通信网络背景流量,计算对应第次小周期内的阈值上下限均值以及预测背景流量均值,正常情况的ICS通信网络背景流量满足如下方程:
因此当如下的不等式成立时,可以推断出ICS通信网络存在故障或异常;
此时ICS通信流量异常是由ICS网络端异常或者通信数据传输故障造成。
5.3)不同的网络攻击对ICS通信网络流量会产生不同的影响,特别是针对某些类型的报文消息。通过对实时采集分析的ICS通信网络流量采用了Berkeley packet Filter(BPF)滤波算法来区分不同的数据包类型,BPF滤波算法定义为:
此时type=TCP,UDP,ARP……
此时的Atttype=type(type=UDP,TCP,ARP,etc),表示此时ICS通信流量异常是由ICS通信网络恶意入侵攻击造成。此时的攻击类型为type型(UDP Flooding,TCP Flooding,ARP Spoofing等)。
由此检测到的ICS通信网络异常事件可以被详细分为ICS通信网络恶意行为操作,ICS网络端异常或者通信数据传输故障以及ICS通信网络恶意入侵攻击三类。
在对浙江大学某虚实结合的ICS靶场上实际采集的通信网络流量进行前期离线分析的基础上,针对ICS通信网络流量的特征,进一步在测试环境之中搭建实际的测试平台,部署的工业交换机,监控主机及测试主机并分为ICS攻击注入平台以及网络安全平台进行在线测试分析。如图2所示,该实验台逻辑上可分为攻击注入平台和ICS网络安全平。ICS网络安全平台配备了三套PLC控制器(ECS700),一套内嵌探针算法机制的监控系统(Core i7,8086K),一套搭载具备PLC指令上送下发以及组态配置修改发布功能的工控软件的工程师站(Core i5,8600K)和一个工业以太网交换机。攻击注入平台(Core i5,i5-6267u,MacBookpro)通过光纤连接到工业以太网交换机上对目标ICS控制系统注入恶意的网络攻击。工程师站与PLC之间的网络通信传输采用TCP/IP通信协议,PLC与现场设备之间的网络通信传输采用Modbus协议。搭载探针机制的监控系统从工业以太网交换机的镜像端口或通用端口动态采集ICS通信网络流量,并利用Python编写的基于统计和机器学习的混合异常检测分类方法内嵌到监控系统中,对恶意操作行为、网络异常和网络攻击进行及时的特征识别,异常检测以及详细分类。
分布式小周期的SARIMA模型对ICS通信网络流量进行建模分析,并实时生成阈值区间,其中定义的ICS流量的采样频率为1ms。
根据采集得到的ICS通信网络背景流量数据,选择合适的LSTM训练参数离线训练出基于LSTM深度学习的ICS通信网络背景流量模型。其LSTM训练参数表如下表所示:
表1
如图7所示,得到的离线ICS通信网络背景流量模型能很好的拟合带有时序性的背景流量,其训练的损失函数随着迭代步长的增加而减少,最终达到1.4%左右。图7中,横坐标的数据为LSTM模型训练的迭代次数(Epoch),纵坐标为模型训练的损失函数(Lossfunction);其中小方框内的图为损失函数下降较为明显的情况,其中的算法迭代次数(Epoch)为60-600,5000-7000,9500-11000时损失函数下降速度较快。模型的训练算法如下:
ModelLSTM←fLSTM(X′200,20,Para[])
其中Para[]为表1中的LSTM训练参数。
对存储的LSTM离线模型进行测试与验证。采集新一轮的ICS通信网络背景流量作为模型新的输入,并以实际的数据作为输出验证。截取采集的每200个序列为训练序列,20个序列为预测序列(总计220个为一个周期),计算该预测序列的MAPE,RMSE值,并不间断采用新一轮的ICS通信网络背景流量,并重复10个分析周期,其MAPE,RMSE,Time如表2所示:
表2
其中1-220表示前1-200个数据样本为训练集,后201-220表示测试集。可以看出在每个分析的序列集中,MAPE值小于0.15,RMSE值大约小于100。441-660、881-1000、1001-1220样本具有相似的MAPE和RMSE,反映了ICS网络背景流量数据的周期性和自相似性特征。
对实时采集的ICS通信网络流量进行分布式的SARIMA(p,d,q)x(P,D,Q)s建模。定义小周期训练项数为Ttrai=300,Tfore=30,并对单个小周期的SARIMA(p,d,q)x(P,D,Q)s模型进行计量经济学分析。以SARIMA(p,d,q)x(P,D,Q)s模型的第一次小周期迭代(即i=1)为例,实例计算得到第一个小周期的ICS通信网络流量阈值区间。假设对原始序列不进行聚合,对在线采集的单个小周期的ICS流量数据进行建模,得到模型SARIMA(2,1,3)x(2,0,0)10。其模型的拟合参数R-Square=0.89。由此可得SARIMA(2,1,3)x(2,0,0)10对该小周期Ttrai=300的ICS通信流量具有较强的解释性,其阈值区间代表了Tfore=30的ICS通信流量的情况。阈值区间的上界时间序列为:
其时间序列所对应的时间戳为:
{13:52:19,13:52:20,13:52:21,…,13:52:50,13:52:51},该时间戳表明ICS通信流量与工业现场实际环境相互吻合,物理信息空间上相互对应。
因此在对小周期Ttrai=300的ICS通信流量进行SARIMA(2,1,3)x(2,0,0)10建模后,其验证周期Tfore=30的ICS通信流量不存在异常情况,属于正常运行的ICS通信流量。ICS异常发生的现实对应时间为序列为空集,异常事件产生时的序列小周期迭代次数序列为空集。此时的方差为0。其异常程度序列
验证SARIMA模型的建模特性之后,对下一个不同采样频率的ICS流量序列进行实时异常检测,定义的ICS流量的采样频率γsamp为60(s)。此时修改聚合尺度为1s。模型的运行起始时间为04:14:26,并维持流量在线监测模型的运行状态,截取当前小周期运行的模型参数,以当前时间为例,SARIMA(5,0,3)x(0,0,1)1为最优的模型。
SARIMA(5,0,3)x(0,0,1)1模型的经济学参数如下表3所示:
表3
SARIMA(5,0,3)x(0,0,1)1模型的拟合参数如下表4所示:
表4
测试算法对ICS网络异常事件的分类效果,此时由测试主机笔记本接入工业交换机,对监控主机进行TCP-flooding攻击;该异常流量序列在时序上的体现为单位时间内流量会存在突增的现象,攻击过后流量会恢复正常。TCP-flooding攻击于14:36:50注入,流量突增,随后于14:38:00停止注入异常流量。
此时阈值区间的上界时间序列为:
此时阈值区间的下界时间序列为:
其时间序列所对应的时间戳为:
{14:36:20,14:37:20,14:38:20,…,14:54:20,14:55:20}
通过上述模型,我们可以近似得到较短时间间隔内某实际时刻的正常流量阈值。例如在时刻14:36:20,当置信区间为95%时其正常流量的区间为[350.3,1650.3],当置信区间为90%时其正常流量的区间为[398.3,1621.6]。由此我们可以得到正常情况下ICS某时刻通信流量的阈值模型。
此时异常事件发生的实时时间为:
其中n为3,表示存在三处异常。
由公式
对ICS异常事件来自计划之中的ICS检修或者是合法的行为操作的可能性进行评估。
由此可得该3个ICS异常事件为恶意的行为操作而非计划之中的ICS检修或者是合法的行为操作。
对ICS异常事件来自自身异常或故障带来的ICS通信网络背景流量显著变化的可能性进行评估。
由于三个异常发生在同一个小周期SARIMA模型的第17个迭代周期内。因此存在:三次异常所对应的小周期SARIMA训练集相同,并作为已经训练好的LSTM模型的输入,在线预测出带有时序性的20个ICS通信网络背景流量值,如下方程所示:
因此存在:
由此可得该异常事件并非由网络自身异常或故障带来的ICS通信网络背景流量显著变化;ICS通信网络背景流量保持原有的模式,底层协议与心跳报文未受到影响。
对ICS异常事件来自网络攻击的可能性做评估。
计算大数据量离线LSTM训练集下的包分布基准Disttype,其中type=UDP,TCP,ARP。
由上可知最可能的异常类型为针对TCP报文的攻击,即TCP-Flooding攻击。因此Atttype=TCP。因此该ICS异常事件来自TCP-Flooding网络攻击。
综上所述,在14:36:20-14:39:20这个时段,ICS通信网络存在异常事件,其异常事件产生的原因为恶意的非法,非授权操作,根据计算分析可知其为恶意入侵攻击,入侵者采用的攻击方式为TCP-Flooding攻击。
Claims (5)
1.一种基于统计学习和深度学习的工业控制系统通信网络异常分类方法,其特征在于包括如下步骤:
1)ICS通信网络的监控主机从ICS通信网络的工业交换机中实时采集通信流量数据,工业服务器存储实时采集的通信流量数据,;
2)根据ICS通信网络正常流量数据,设计LSTM深度学习模型结构参数并进行建模,生成离线LSTM深度学习模型并存储于工业服务器;
3)用多个小周期的SARIMA模型进行在线检测
分布式运行多个小周期的SARIMA(p,d,q)x(P,D,Q)s统计学习模型,并实时生成通信流量在线阈值区间,同时获取通信流量超出在线阈值的对应ICS通信网络流量序列,包括出现该异常的小周期SARIMA模型的训练集、以及由训练集得到的在线阈值的上下限和与阈值区间进行比较的在线监测数据集;
4)在线LSTM模型辨识ICS通信网络背景流量
将出现异常的对应小周期SARIMA模型的训练集作为已存储的LSTM深度学习模型的输入,并在线输出对应的预测序列;
5)设计异常流量组合分类器,进行数值统计运算对ICS通信网络异常进行分类。
2.根据权利要求1所述的基于统计学习和深度学习的工业控制系统通信网络异常分类方法,其特征在于所述的步骤2)具体为:
2.1)设计的LSTM深度学习模型的网络结构由记忆细胞、输入门、输出门、遗忘门组成;其前向计算方法可以表示为:
gt (l)=ψ(Wgx (l)ht (l-1)+Wgh (l)ht-1 (l)+bg (l))
it (l)=δ(Wix (l)ht (l-1)+Wih (l)ht-1 (l)+bi (l))
ft (l)=δ(Wfx (l)ht (l-1)+Wfh (l)ht-1 (l)+bf (l))
ot (l)=δ(Wox (l)ht (l-1)+Woh (l)ht-1 (l)+bo (l))
st (l)=gt (l)⊙it (l)+st-1 (l)⊙ft (l)
ht (l)=ψ(st (l))⊙ot (l)
其中W为权重矩阵,b为权重向量,用于设置在输入层,记忆层以及输出层建立连接;st (l)表示记忆细胞在第l层第t步长时的状态,ht (l)是记忆细胞在第l层第t步长时的输出状态;δ是激活函数,ψ是tanh函数;⊙是集合之间的哈达玛积;i,o,f分别表示输入门,输出门以及遗忘门;g是tanh函数的输入节点;
2.2)基于ICS通信网络流量时间序列的LSTM深度学习模型函数如下:
3.根据权利要求1所述的基于统计学习和深度学习的工业控制系统通信网络异常分类方法,其特征在于所述的步骤3)具体为:
3.1)定义选定的流量聚合尺度以及小周期分析尺度,用SARIMA(p,d,q)x(P,D,Q)s序列的定义法来产生SARIMA(p,d,q)x(P,D,Q)s的时间序列:
SARIMA(p,d,q)x(P,D,Q)s模型是通过对ARMA(p,q)模型分别进行d阶差分以及D阶季节性差分计算得到的,ARMA(p,q)模型是由AR(p)以及MA(q)模型组合而成;
自回归滑动平均模型ARMA(p,q)定义如下:
Xt=φ1Xt-1+φ2Xt-2+…+φpXt-p+εt-θ1εt-1-…-θqεt-q
上式:Xt为均值化处理之后的小周期的平稳时间序列,其时间序列的长度较短;φp为自回归项AR的系数;θq为滑动平均项MA的系数;εt为随机扰动;p为AR的阶数;q为MA的阶数;
定义一个延迟算子B,BXt=Xt-1,则AR系数多项式Φ(B)=1-φ1B-…-φp(B)p,MA系数多项式Θ(B)=1-θ1B-…-θq(B)q;
引入差分算子Δd=(1-B)d,则ARIMA(p,d,q)模型表示为:
Φ(B)ΔdXt=Θ(B)εt
SARIMA模型通过对ARIMA模型进行季节性差分运算得到,SARIMA模型的定义如下:
Φp(B)ΦP(Bs)ΔdΔs DXt=Θq(B)ΘQ(Bs)εt
其中εt为白噪声序列,d为趋势差分的阶数,D为周期s为补偿的季节差分阶数,Bs为s阶延迟算子,Δs D为季节性差分算子;BsXt=Xt-s,Δs D=1-Bs,ΦP(Bs)为Bs的Q阶多项式,ΦP(Bs)为Bs的P阶多项式;
3.2)使用贝叶斯信息准则BIC对SARIMA(p,d,q)x(P,D,Q)s模型的p,d,q,P,D,Q,阶数进行监督分析并定阶;
3.4)采用最优BIC准则下的SARIMA(p,d,q)x(P,D,Q)s模型对原始序列进行拟合分析,并进行残差检验;若残差为白噪声,则对拟合序列进行反滤波处理,得到原序列的拟合值或预测值;若残差不为白噪声,则重新采用BIC信息准则对ARMA(p,q)模型进行定阶;
3.5)得到小周期的SARIMA(p,d,q)x(P,D,Q)s的数学表达式;
3.6)采集ICS工业交换机上的实时流量数据,根据设定的采样频率γsamp、聚合尺度生成时间序列,并以一个小周期为一个迭代周期;
3.7)对采集到的实时流量数据进行训练,在一个小周期内进行SARIMA(p,d,q)x(P,D,Q)s模型训练与适配之后,输出最优的模型以及模型适配的参数;第i个小周期的模型定义为:
其中fSARIMA()为SARIMA(p,d,q)x(P,D,Q)s模型的函数表达式,为第i次迭代的小周期训练集,Tfore为小周期预测的序列个数,s为周期性参数,'BIC'为计量经济学选取最优的(p,d,q,P,D,Q)参数的准则,是SARIMA模型第i次迭代预测出的时间序列;
3.8)分布式运行小周期的SARIMA(p,d,q)x(P,D,Q)s模型,对实时采集的第i个小周期的ICS流量数据进行实时动态滚动建模,此时的实时流量数据相当于验证集;将验证集与预测过程生成的基于置信区间的流量阈值上下限进行对比分析;其定义的第i个小周期的上下界阈值为:
第i次迭代的正常ICS通信流量定义为:
其中函数∩为对两个时间序列集合取交集;
3.9)流量判定结束之后,继续下一个小周期的训练迭代,并重新输出新的最优模型以及模型适配的参数,对新输入的实时流量数据进行再次判定;
3.10)循环整个过程,直到达到设定的迭代次数。
4.根据权利要求1所述的基于统计学习和深度学习的工业控制系统通信网络异常分类方法,其特征在于所述的步骤4)具体为:
其中tdebug为步骤3)运行之前的实时调试时间,γsamp为ICS流量的采样频率,
其中Kn为中间变量;
基于LSTM深度学习模型的在线ICS正常通信流量预测分析过程如下所示:
其中ModelLSTM()为使用步骤2中离线训练所得到的LSTM深度学习模型,为在线LSTM模型预测的ICS正常通信流量序列,为在线模型的输入,Nfore为预测的流量序列长度;通过异常事件发生时所在的在线SARIMA模型小周期序列得到当前小周期的在线SARIMA模型训练集其中每个训练小周期的SARIMA训练集为n为异常事件发生的总数;该训练集保留了ICS通信网络出现异常之前的流量模式,同时定义了在线LSTM深度学习模型的输入,由此得到输出的n个ICS通信网络流量异常事件的LSTM在线预测序列其中每个异常事件所对应的序列长度为Nfore;
离线运行的LSTM深度学习模型可作为先验知识验证ICS通信网络的正常背景流量;异常事件发生时所在的第次小周期与在线SARIMA统计学习模型训练集存在时间意义上的对应性,通过结合在线的LSTM深度学习模型可作为后验知识对ICS通信网络异常事件进行分类,在线的LSTM深度学习模型同样具有低算法复杂度的特征;
5.根据权利要求1所述的基于统计学习和深度学习的工业控制系统通信网络异常分类方法,其特征在于所述的步骤5)具体为:
5.1)定义实时的时间标签误差算法如下:
其中预定义的误差ε作为限制异常事件时间戳与记录白名单时间戳偏差的临界值,为异常事件时间序列的元素,为白名单记录ICS合法行为操作以及计划检修事件时间序列的元素;若异常事件时间戳与记录白名单时间戳偏差的临界值在偏差以内,则ICS通信流量异常由ICS合法行为操作以及计划检修事件产生;
5.2)通过发生异常事件时小周期的在线SARIMA模型阈值区间上下限,以及LSTM模型预测的ICS通信网络背景流量,计算对应第次小周期内的阈值上下限均值以及预测背景流量均值,正常情况的ICS通信网络背景流量满足如下方程:
因此当如下的不等式成立时,可以推断出ICS通信网络存在故障或异常;
表示此时ICS通信流量异常是由ICS网络端异常或者通信数据传输故障造成;
5.3)对实时采集分析的ICS通信网络流量采用Berkeley packet Filter(BPF)滤波算法来区分不同的数据包类型,BPF滤波算法定义为:
此时的Atttype=type(type=UDP,TCP,ARP,etc),表示此时ICS通信流量异常是由ICS通信网络恶意入侵攻击造成,此时的攻击类型为type型;
由此检测到的ICS通信网络异常事件可以被详细分为ICS通信网络恶意行为操作,ICS网络端异常或者通信数据传输故障以及ICS通信网络恶意入侵攻击三类。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010967322.9A CN112202736B (zh) | 2020-09-15 | 2020-09-15 | 基于统计学习和深度学习的通信网络异常分类方法 |
PCT/CN2021/089288 WO2022057260A1 (zh) | 2020-09-15 | 2021-04-23 | 一种工业控制系统通信网络异常分类方法 |
US17/429,307 US11927949B2 (en) | 2020-09-15 | 2021-04-23 | Method for anomaly classification of industrial control system communication network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010967322.9A CN112202736B (zh) | 2020-09-15 | 2020-09-15 | 基于统计学习和深度学习的通信网络异常分类方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112202736A true CN112202736A (zh) | 2021-01-08 |
CN112202736B CN112202736B (zh) | 2021-07-06 |
Family
ID=74015128
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010967322.9A Active CN112202736B (zh) | 2020-09-15 | 2020-09-15 | 基于统计学习和深度学习的通信网络异常分类方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11927949B2 (zh) |
CN (1) | CN112202736B (zh) |
WO (1) | WO2022057260A1 (zh) |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112418361A (zh) * | 2021-01-22 | 2021-02-26 | 杭州木链物联网科技有限公司 | 一种基于深度学习的工控系统异常检测方法、装置 |
CN113012412A (zh) * | 2021-03-03 | 2021-06-22 | 福建碧霞环保科技有限公司 | 基于仪表和视频数据动态采集统计分析的智慧数据采集方法及系统 |
CN113065218A (zh) * | 2021-05-13 | 2021-07-02 | 南京工程学院 | 考虑lr攻击的电力系统可靠性评估方法、装置及系统 |
CN113139817A (zh) * | 2021-04-28 | 2021-07-20 | 北京沃东天骏信息技术有限公司 | 数据分类方法、数据分类装置、介质及电子设备 |
CN113162811A (zh) * | 2021-06-01 | 2021-07-23 | 长扬科技(北京)有限公司 | 一种基于深度学习的工控网络流量异常检测方法及装置 |
CN113411216A (zh) * | 2021-06-21 | 2021-09-17 | 国网宁夏电力有限公司信息通信公司 | 基于离散小波变换和fa-elm的网络流量预测方法 |
CN113411224A (zh) * | 2021-08-19 | 2021-09-17 | 飞狐信息技术(天津)有限公司 | 数据处理方法、装置、电子设备及存储介质 |
CN113610190A (zh) * | 2021-08-24 | 2021-11-05 | 神州网云(北京)信息技术有限公司 | 基于大数据的异常网络行为挖掘系统 |
CN114019946A (zh) * | 2021-11-11 | 2022-02-08 | 辽宁石油化工大学 | 工控终端的监控数据处理方法及装置 |
WO2022057260A1 (zh) * | 2020-09-15 | 2022-03-24 | 浙江大学 | 一种工业控制系统通信网络异常分类方法 |
CN114499934A (zh) * | 2021-12-16 | 2022-05-13 | 西安交通大学 | 一种工业物联网中基于融合学习的入侵检测方法及系统 |
CN114819925A (zh) * | 2022-06-29 | 2022-07-29 | 成都秦川物联网科技股份有限公司 | 基于事件序列分析预测的工业物联网及其控制方法 |
CN114968761A (zh) * | 2022-04-11 | 2022-08-30 | 杭州德适生物科技有限公司 | 一种基于互联网的软件运行环境安全监管系统 |
CN115118477A (zh) * | 2022-06-22 | 2022-09-27 | 四川数字经济产业发展研究院 | 一种基于深度强化学习的智能电网状态恢复方法及系统 |
CN115426201A (zh) * | 2022-11-03 | 2022-12-02 | 湖南大佳数据科技有限公司 | 一种面向网络靶场的数据采集方法和系统 |
CN116304959A (zh) * | 2023-05-24 | 2023-06-23 | 山东省计算中心(国家超级计算济南中心) | 一种用于工业控制系统的对抗样本攻击防御方法及系统 |
Families Citing this family (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114785718B (zh) * | 2022-04-07 | 2023-06-30 | 南京赛宁信息技术有限公司 | 一种网络靶场流量采集分析系统与方法 |
CN114448738B (zh) * | 2022-04-11 | 2022-07-26 | 北京网藤科技有限公司 | 一种用于工控网络的攻击向量生成方法及系统 |
CN114553606B (zh) * | 2022-04-26 | 2022-08-26 | 科大天工智能装备技术(天津)有限公司 | 一种工业控制网络入侵检测方法和系统 |
CN115102746B (zh) * | 2022-06-16 | 2023-04-14 | 电子科技大学 | 一种基于行为体积的主机行为在线异常检测方法 |
CN115442277B (zh) * | 2022-08-28 | 2023-10-20 | 厦门市美亚柏科信息股份有限公司 | 一种提升5g溯源关联正确性的方法及系统 |
CN115310880B (zh) * | 2022-10-11 | 2022-12-20 | 南京中车浦镇工业物流有限公司 | 一种用于库存盘亏情况的ar交互方法及系统 |
CN116108349B (zh) * | 2022-12-19 | 2023-12-15 | 广州爱浦路网络技术有限公司 | 算法模型训练优化方法、装置及数据分类方法、系统 |
US11726468B1 (en) * | 2023-01-19 | 2023-08-15 | Ix-Den Ltd. | Fully automated anomaly detection system and method |
CN116112270B (zh) * | 2023-02-13 | 2023-08-25 | 山东云天安全技术有限公司 | 一种确定异常流量的数据处理系统 |
CN116192510B (zh) * | 2023-02-16 | 2023-09-26 | 湖南强智科技发展有限公司 | 一种基于大数据的校园网络公共安全管理方法及系统 |
CN116147724B (zh) * | 2023-02-20 | 2024-01-19 | 青岛鼎信通讯科技有限公司 | 一种适用于超声水表的计量方法 |
CN116303786B (zh) * | 2023-03-18 | 2023-10-27 | 上海圈讯科技股份有限公司 | 一种基于多维数据融合算法的区块链金融大数据管理系统 |
CN115994490B (zh) * | 2023-03-22 | 2023-06-02 | 北京大学 | 基于深度混合效应模型的金属增材制造过程实时监控方法 |
CN116821594B (zh) * | 2023-05-24 | 2023-12-05 | 浙江大学 | 基于频谱选择机制的图神经网络工业控制系统异常检测方法及装置 |
CN116382223B (zh) * | 2023-06-02 | 2023-08-01 | 山东鲁能控制工程有限公司 | 一种基于dcs的火电机组监测系统 |
CN116562740B (zh) * | 2023-07-10 | 2023-09-22 | 长沙宜选供应链有限公司 | 一种基于改进型深度学习算法模型的外贸物流平台 |
CN116880400B (zh) * | 2023-07-27 | 2023-12-22 | 小黑(广州)智能科技有限公司 | 一种智能生产流程管理系统 |
CN116668198B (zh) * | 2023-07-31 | 2023-10-20 | 南京争锋信息科技有限公司 | 基于深度学习的流量回放测试方法、装置、设备及介质 |
CN116827689B (zh) * | 2023-08-29 | 2023-11-14 | 成都雨云科技有限公司 | 基于人工智能的边缘计算网关数据处理方法及网关 |
CN117176469B (zh) * | 2023-09-28 | 2024-03-08 | 四川音乐学院 | 一种IPv6校园网的异常数据监测方法、设备和介质 |
CN117034175B (zh) * | 2023-10-07 | 2023-12-05 | 北京麟卓信息科技有限公司 | 一种基于通道融合自注意力机制的时序数据异常检测方法 |
CN117032054B (zh) * | 2023-10-09 | 2023-12-26 | 北京惠朗时代科技有限公司 | 基于人工智能的工业设备控制方法 |
CN117350750B (zh) * | 2023-10-20 | 2024-06-18 | 湖北卓铸网络科技有限公司 | 基于大数据的营销数据分析系统及方法 |
CN117113262B (zh) * | 2023-10-23 | 2024-02-02 | 北京中科网芯科技有限公司 | 网络流量识别方法及其系统 |
CN117150216B (zh) * | 2023-10-31 | 2024-01-23 | 国网冀北电力有限公司 | 一种电力数据回归分析方法及系统 |
CN117149584A (zh) * | 2023-10-31 | 2023-12-01 | 国合通用(青岛)测试评价有限公司 | 基于大数据的多试样标距标记设备的运行监管系统 |
CN117674961B (zh) * | 2023-11-20 | 2024-05-28 | 航天恒星科技有限公司 | 基于时空特征学习的低轨卫星网络时延预测方法 |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103684910A (zh) * | 2013-12-02 | 2014-03-26 | 北京工业大学 | 一种基于工业控制系统网络流量的异常检测方法 |
CN105471631A (zh) * | 2015-11-17 | 2016-04-06 | 重庆大学 | 基于流量趋势的网络流量预测方法 |
US20170017735A1 (en) * | 2015-07-13 | 2017-01-19 | Tata Consultancy Services Limited | System and method for energy sample forecasting of hvac-r systems |
CN106921676A (zh) * | 2017-04-20 | 2017-07-04 | 电子科技大学 | 一种基于OPCClassic的入侵检测方法 |
CN107370732A (zh) * | 2017-07-14 | 2017-11-21 | 成都信息工程大学 | 基于神经网络和最优推荐的工控系统异常行为发现系统 |
CN107517205A (zh) * | 2017-08-14 | 2017-12-26 | 浙江大学 | 基于概率的智能变电站网络异常流量检测模型构建方法 |
CN109639733A (zh) * | 2019-01-24 | 2019-04-16 | 南方电网科学研究院有限责任公司 | 适用于工控系统的安全检测与监控系统 |
CN109766992A (zh) * | 2018-12-06 | 2019-05-17 | 北京工业大学 | 基于深度学习的工控异常检测及攻击分类方法 |
CN109861988A (zh) * | 2019-01-07 | 2019-06-07 | 浙江大学 | 一种基于集成学习的工业控制系统入侵检测方法 |
EP3528463A1 (en) * | 2018-02-20 | 2019-08-21 | Darktrace Limited | An artificial intelligence cyber security analyst |
KR102014044B1 (ko) * | 2019-02-18 | 2019-10-21 | 한국남동발전 주식회사 | L2 패킷 차단이 가능한 침입 방지 시스템 및 방법 |
CN110730099A (zh) * | 2019-10-21 | 2020-01-24 | 电子科技大学 | 基于历史流量数据时间序列的流量预测方法 |
CN111431937A (zh) * | 2020-04-23 | 2020-07-17 | 国网浙江省电力有限公司 | 工业网络异常流量的检测方法及系统 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107643731A (zh) * | 2016-07-21 | 2018-01-30 | 西门子公司 | 一种模型生成方法和装置 |
US10402688B2 (en) * | 2016-12-07 | 2019-09-03 | Kla-Tencor Corporation | Data augmentation for convolutional neural network-based defect inspection |
US10880321B2 (en) * | 2017-01-27 | 2020-12-29 | Vectra Ai, Inc. | Method and system for learning representations of network flow traffic |
US10604814B2 (en) * | 2017-09-27 | 2020-03-31 | International Business Machines Coporation | Manufacturing process control with deep learning-based predictive model for hot metal temperature of blast furnace |
US20190280942A1 (en) * | 2018-03-09 | 2019-09-12 | Ciena Corporation | Machine learning systems and methods to predict abnormal behavior in networks and network data labeling |
US20190303726A1 (en) * | 2018-03-09 | 2019-10-03 | Ciena Corporation | Automatic labeling of telecommunication network data to train supervised machine learning |
US11082438B2 (en) * | 2018-09-05 | 2021-08-03 | Oracle International Corporation | Malicious activity detection by cross-trace analysis and deep learning |
US11567914B2 (en) * | 2018-09-14 | 2023-01-31 | Verint Americas Inc. | Framework and method for the automated determination of classes and anomaly detection methods for time series |
US11775852B2 (en) * | 2019-08-29 | 2023-10-03 | Accenture Global Solutions Limited | Network optimization |
US11501190B2 (en) * | 2020-07-02 | 2022-11-15 | Juniper Networks, Inc. | Machine learning pipeline for predictions regarding a network |
CN112202736B (zh) | 2020-09-15 | 2021-07-06 | 浙江大学 | 基于统计学习和深度学习的通信网络异常分类方法 |
-
2020
- 2020-09-15 CN CN202010967322.9A patent/CN112202736B/zh active Active
-
2021
- 2021-04-23 WO PCT/CN2021/089288 patent/WO2022057260A1/zh active Application Filing
- 2021-04-23 US US17/429,307 patent/US11927949B2/en active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103684910A (zh) * | 2013-12-02 | 2014-03-26 | 北京工业大学 | 一种基于工业控制系统网络流量的异常检测方法 |
US20170017735A1 (en) * | 2015-07-13 | 2017-01-19 | Tata Consultancy Services Limited | System and method for energy sample forecasting of hvac-r systems |
CN105471631A (zh) * | 2015-11-17 | 2016-04-06 | 重庆大学 | 基于流量趋势的网络流量预测方法 |
CN106921676A (zh) * | 2017-04-20 | 2017-07-04 | 电子科技大学 | 一种基于OPCClassic的入侵检测方法 |
CN107370732A (zh) * | 2017-07-14 | 2017-11-21 | 成都信息工程大学 | 基于神经网络和最优推荐的工控系统异常行为发现系统 |
CN107517205A (zh) * | 2017-08-14 | 2017-12-26 | 浙江大学 | 基于概率的智能变电站网络异常流量检测模型构建方法 |
EP3528463A1 (en) * | 2018-02-20 | 2019-08-21 | Darktrace Limited | An artificial intelligence cyber security analyst |
CN109766992A (zh) * | 2018-12-06 | 2019-05-17 | 北京工业大学 | 基于深度学习的工控异常检测及攻击分类方法 |
CN109861988A (zh) * | 2019-01-07 | 2019-06-07 | 浙江大学 | 一种基于集成学习的工业控制系统入侵检测方法 |
CN109639733A (zh) * | 2019-01-24 | 2019-04-16 | 南方电网科学研究院有限责任公司 | 适用于工控系统的安全检测与监控系统 |
KR102014044B1 (ko) * | 2019-02-18 | 2019-10-21 | 한국남동발전 주식회사 | L2 패킷 차단이 가능한 침입 방지 시스템 및 방법 |
CN110730099A (zh) * | 2019-10-21 | 2020-01-24 | 电子科技大学 | 基于历史流量数据时间序列的流量预测方法 |
CN111431937A (zh) * | 2020-04-23 | 2020-07-17 | 国网浙江省电力有限公司 | 工业网络异常流量的检测方法及系统 |
Non-Patent Citations (3)
Title |
---|
NÉSTOR GONZÁLEZ CABRERA等: ""Load forecasting assessment using SARIMA model and fuzzy inductive reasoning"", 《2013 IEEE INTERNATIONAL CONFERENCE ON INDUSTRIAL ENGINEERING AND ENGINEERING MANAGEMENT》 * |
於帮兵等: ""基于长短时记忆网络的工业控制系统入侵检测"", 《信息与控制》 * |
郝唯杰等: ""基于FARIMA模型的智能变电站通信流量异常分析"", 《电力系统自动化》 * |
Cited By (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022057260A1 (zh) * | 2020-09-15 | 2022-03-24 | 浙江大学 | 一种工业控制系统通信网络异常分类方法 |
US11927949B2 (en) | 2020-09-15 | 2024-03-12 | Zhejiang University | Method for anomaly classification of industrial control system communication network |
CN112418361A (zh) * | 2021-01-22 | 2021-02-26 | 杭州木链物联网科技有限公司 | 一种基于深度学习的工控系统异常检测方法、装置 |
CN113012412A (zh) * | 2021-03-03 | 2021-06-22 | 福建碧霞环保科技有限公司 | 基于仪表和视频数据动态采集统计分析的智慧数据采集方法及系统 |
CN113139817A (zh) * | 2021-04-28 | 2021-07-20 | 北京沃东天骏信息技术有限公司 | 数据分类方法、数据分类装置、介质及电子设备 |
CN113065218A (zh) * | 2021-05-13 | 2021-07-02 | 南京工程学院 | 考虑lr攻击的电力系统可靠性评估方法、装置及系统 |
CN113065218B (zh) * | 2021-05-13 | 2024-02-13 | 南京工程学院 | 考虑lr攻击的电力系统可靠性评估方法、装置及系统 |
CN113162811A (zh) * | 2021-06-01 | 2021-07-23 | 长扬科技(北京)有限公司 | 一种基于深度学习的工控网络流量异常检测方法及装置 |
CN113411216B (zh) * | 2021-06-21 | 2022-11-04 | 国网宁夏电力有限公司信息通信公司 | 基于离散小波变换和fa-elm的网络流量预测方法 |
CN113411216A (zh) * | 2021-06-21 | 2021-09-17 | 国网宁夏电力有限公司信息通信公司 | 基于离散小波变换和fa-elm的网络流量预测方法 |
CN113411224A (zh) * | 2021-08-19 | 2021-09-17 | 飞狐信息技术(天津)有限公司 | 数据处理方法、装置、电子设备及存储介质 |
CN113610190A (zh) * | 2021-08-24 | 2021-11-05 | 神州网云(北京)信息技术有限公司 | 基于大数据的异常网络行为挖掘系统 |
CN113610190B (zh) * | 2021-08-24 | 2024-02-02 | 神州网云(北京)信息技术有限公司 | 基于大数据的异常网络行为挖掘系统 |
CN114019946A (zh) * | 2021-11-11 | 2022-02-08 | 辽宁石油化工大学 | 工控终端的监控数据处理方法及装置 |
CN114019946B (zh) * | 2021-11-11 | 2023-08-29 | 辽宁石油化工大学 | 工控终端的监控数据处理方法及装置 |
CN114499934A (zh) * | 2021-12-16 | 2022-05-13 | 西安交通大学 | 一种工业物联网中基于融合学习的入侵检测方法及系统 |
CN114499934B (zh) * | 2021-12-16 | 2022-12-09 | 西安交通大学 | 一种工业物联网中基于融合学习的入侵检测方法及系统 |
CN114968761A (zh) * | 2022-04-11 | 2022-08-30 | 杭州德适生物科技有限公司 | 一种基于互联网的软件运行环境安全监管系统 |
CN114968761B (zh) * | 2022-04-11 | 2023-07-21 | 杭州德适生物科技有限公司 | 一种基于互联网的软件运行环境安全监管系统 |
CN115118477B (zh) * | 2022-06-22 | 2024-05-24 | 四川数字经济产业发展研究院 | 一种基于深度强化学习的智能电网状态恢复方法及系统 |
CN115118477A (zh) * | 2022-06-22 | 2022-09-27 | 四川数字经济产业发展研究院 | 一种基于深度强化学习的智能电网状态恢复方法及系统 |
CN114819925B (zh) * | 2022-06-29 | 2022-10-11 | 成都秦川物联网科技股份有限公司 | 基于事件序列分析预测的工业物联网系统及其控制方法 |
US11754999B1 (en) | 2022-06-29 | 2023-09-12 | Chengdu Qinchuan Iot Technology Co., Ltd. | Industrial internet of things based on event sequence analysis and prediction, prediction method, and storage medium thereof |
CN114819925A (zh) * | 2022-06-29 | 2022-07-29 | 成都秦川物联网科技股份有限公司 | 基于事件序列分析预测的工业物联网及其控制方法 |
CN115426201B (zh) * | 2022-11-03 | 2023-01-17 | 湖南大佳数据科技有限公司 | 一种面向网络靶场的数据采集方法和系统 |
CN115426201A (zh) * | 2022-11-03 | 2022-12-02 | 湖南大佳数据科技有限公司 | 一种面向网络靶场的数据采集方法和系统 |
CN116304959B (zh) * | 2023-05-24 | 2023-08-15 | 山东省计算中心(国家超级计算济南中心) | 一种用于工业控制系统的对抗样本攻击防御方法及系统 |
CN116304959A (zh) * | 2023-05-24 | 2023-06-23 | 山东省计算中心(国家超级计算济南中心) | 一种用于工业控制系统的对抗样本攻击防御方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
US20220269258A1 (en) | 2022-08-25 |
CN112202736B (zh) | 2021-07-06 |
US11927949B2 (en) | 2024-03-12 |
WO2022057260A1 (zh) | 2022-03-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112202736B (zh) | 基于统计学习和深度学习的通信网络异常分类方法 | |
CN111652496B (zh) | 基于网络安全态势感知系统的运行风险评估方法及装置 | |
CN102208028B (zh) | 一种适用于动态复杂系统的故障预测和诊断方法 | |
Hao et al. | Hybrid statistical-machine learning for real-time anomaly detection in industrial cyber–physical systems | |
CN109581871B (zh) | 免疫对抗样本的工业控制系统入侵检测方法 | |
CN112187528B (zh) | 基于sarima的工业控制系统通信流量在线监测方法 | |
CN108418841A (zh) | 基于ai的下一代关键信息基础设施网络安全态势感知系统 | |
CN112926257A (zh) | 往复式天然气压缩机故障诊断系统以及诊断方法 | |
Ntalampiras et al. | A fault diagnosis system for interdependent critical infrastructures based on HMMs | |
Yang et al. | FARIMA model‐based communication traffic anomaly detection in intelligent electric power substations | |
CN116205265A (zh) | 一种基于深层神经网络的电网故障诊断方法及装置 | |
CN113190457A (zh) | 面向网络化系统的软件可靠性测评方法 | |
Potluri et al. | Deep learning based efficient anomaly detection for securing process control systems against injection attacks | |
Ruan et al. | Deep learning-based fault prediction in wireless sensor network embedded cyber-physical systems for industrial processes | |
Tripathy et al. | Explaining Anomalies in Industrial Multivariate Time-series Data with the help of eXplainable AI | |
Akbarian et al. | Attack resilient cloud-based control systems for industry 4.0 | |
CN108761250B (zh) | 一种基于工控设备电压电流的入侵检测方法 | |
Friederich et al. | A Framework for Validating Data-Driven Discrete-Event Simulation Models of Cyber-Physical Production Systems | |
Wang et al. | Multi‐block principal component analysis based on variable weight information and its application to multivariate process monitoring | |
Guzairov et al. | The concept of integrity of telemetric information about the state of an aircraft power plant monitoring | |
Qu et al. | Detection of False Data Injection Attack in Power System Based on Hellinger Distance | |
CN117970821B (zh) | 一种加氢机的自动化调节控制方法 | |
Timoshenko et al. | Algorithm for validation of the radar digital twin based on the results of diagnostic control data processing | |
Li et al. | Condition-based maintenance method for multi-component systems under discrete-state condition: Subsea production system as a case | |
Wang et al. | Feature Extraction and Attack Correlation Detection in Power Communication Networks Based on Convolutional Neural Networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |