CN112333211A - 一种基于机器学习的工控行为检测方法和系统 - Google Patents
一种基于机器学习的工控行为检测方法和系统 Download PDFInfo
- Publication number
- CN112333211A CN112333211A CN202110005460.3A CN202110005460A CN112333211A CN 112333211 A CN112333211 A CN 112333211A CN 202110005460 A CN202110005460 A CN 202110005460A CN 112333211 A CN112333211 A CN 112333211A
- Authority
- CN
- China
- Prior art keywords
- protocol
- communication
- sample
- library
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Medical Informatics (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于机器学习的工控行为检测方法和系统,属于工控网络安全技术领域,能够解决现有自动识别异常工控行为的难度较大,效率较低的问题。所述检测方法包括:对工控协议通讯行为样本进行解析,提取协议样本;将协议样本输入机器学习模块中进行训练,确定通讯正常库和通讯异常库;对实时工控协议通讯行为进行解析,提取实时协议数据;若实时协议数据与通讯正常库中的数据匹配,则判定实时工控协议通讯行为正常;若实时协议数据与通讯异常库中的数据匹配,则判定实时工控协议通讯行为异常。本发明用于工控行为异常检测。
Description
技术领域
本发明涉及一种基于机器学习的工控行为检测方法和系统,属于工控网络安全技术领域。
背景技术
随着工业控制网络和互联网络不断的融合,工业控制系统正朝着数字化、网络化、智能化的方向发展,越来越多的工控系统及相关设备与外部公共网络连接,工业互连已成为不可避免的趋势,高度网络化、开放协议和通用组件互联,带来了更多的攻击路径和攻击方式,网络空间的安全问题直接延伸到工业控制系统中,工控系统面临更加复杂的信息安全威胁,自动识别异常工控行为成为了亟待解决的问题。
传统审计系统需要人工对协议进行检测规则配置,系统获取流量数据,并解析工控行为报文,根据检测规则判断该工控行为是否为异常操作行为。检测规则配置,需要运维人员对协议以及业务非常了解,随着工控设备使用协议越来越多,协议指令也越来越复杂,人工配置协议检测规则难度变大,且配置过程中容易配置错误;并且现有机器学习不完善,只能学习到行为,不能对协议操作指令检测规则进行自动化分类配置,需要人为配置;这些都会导致自动识别异常工控行为的难度较大,效率较低。
发明内容
本发明提供了一种基于机器学习的工控行为检测方法和系统,能够解决现有自动识别异常工控行为的难度较大,效率较低的问题。
一方面,本发明提供了一种基于机器学习的工控行为检测方法,所述检测方法包括:对工控协议通讯行为样本进行解析,提取协议样本;将所述协议样本输入机器学习模块中进行训练,确定通讯正常库和通讯异常库;对实时工控协议通讯行为进行解析,提取实时协议数据;若所述实时协议数据与所述通讯正常库中的数据匹配,则判定所述实时工控协议通讯行为正常;若所述实时协议数据与所述通讯异常库中的数据匹配,则判定所述实时工控协议通讯行为异常。
可选的,所述工控协议通讯行为样本包括第一行为样本和第二行为样本;所述对工控协议通讯行为样本进行解析,提取协议样本,具体为:对所述第一行为样本进行解析,提取第一协议样本;对所述第二行为样本进行解析,提取第二协议样本;相应的,将所述协议样本输入机器学习模块中进行训练,确定通讯正常库和通讯异常库,具体为:将所述第一协议样本输入机器学习模块中进行训练,确定通讯正常库;将所述第二协议样本输入机器学习模块中进行训练;获取所述第二协议样本的权重,并根据所述第二协议样本的权重更新通讯正常库和建立通讯异常库。
可选的,所述将所述第一协议样本输入机器学习模块中进行训练,确定通讯正常库,具体为:将所述第一协议样本的权重标记为1,并将所述第一协议样本添加至通讯正常库中;所述获取所述第二协议样本的权重,并根据所述第二协议样本的权重更新通讯正常库和建立通讯异常库,具体包括:若所述第二协议样本存在于所述通讯正常库中,且其权重不为1,则更新所有权重不为1的第二协议样本的权重;并根据更新后所述第二协议样本的权重将所述第二协议样本添加至所述通讯正常库中或所述通讯异常库中;若所述第二协议样本不存在于所述通讯正常库中,则将所述第二协议样本的权重设置为预设权重,更新所有权重不为1的第二协议样本的权重,并将所述第二协议样本转入通讯异常库中;其中,所述预设权重小于0.5。
可选的,所述根据更新后所述第二协议样本的权重将所述第二协议样本添加至所述通讯正常库中或所述通讯异常库中,具体包括:若更新后的第二协议样本的权重小于阈值权重,则将所述第二协议样本转入所述通讯异常库中;并且,若所述第二协议样本存在于所述通讯正常库中,将其从所述通讯正常库中删除;若更新后的第二协议样本的权重大于或等于所述阈值权重,则将所述第二协议样本添加至所述通讯正常库中;并且,若所述第二协议样本存在于所述通讯异常库中,将其从所述通讯异常库中删除。
可选的,所述更新所有权重不为1的第二协议样本的权重具体为:采用信息量权重法重新计算所有权重不为1的第二协议样本的权重。
可选的,若所述实时协议数据与所述通讯正常库和所述通讯异常库中的数据均不匹配,则判定所述实时工控协议通讯行为异常。
可选的,若所述实时协议数据与所述通讯正常库和所述通讯异常库中的数据均不匹配,则发出告警信息。
可选的,所述协议样本和所述实时协议数据均包括:源IP、目的IP、协议名称、协议控制命令、协议控制点位和协议控制值中的至少一种。
另一方面,本发明实施例提供一种基于机器学习的工控行为检测系统,所述检测系统包括:第一解析单元,用于对工控协议通讯行为样本进行解析,提取协议样本;训练单元,用于将所述协议样本输入机器学习模块中进行训练,确定通讯正常库和通讯异常库;第二解析单元,用于对实时工控协议通讯行为进行解析,提取实时协议数据;检测单元,用于若所述实时协议数据与所述通讯正常库中的数据匹配,则判定所述实时工控协议通讯行为正常;若所述实时协议数据与所述通讯异常库中的数据匹配,则判定所述实时工控协议通讯行为异常。
可选的,所述工控协议通讯行为样本包括第一行为样本和第二行为样本;所述第一解析单元具体用于:对所述第一行为样本进行解析,提取第一协议样本;对所述第二行为样本进行解析,提取第二协议样本;所述训练单元具体用于:将所述第一协议样本输入机器学习模块中进行训练,确定通讯正常库;将所述第二协议样本输入机器学习模块中进行训练;获取所述第二协议样本的权重,并根据所述第二协议样本的权重更新通讯正常库和建立通讯异常库。
本发明能产生的有益效果包括:
本发明提供的基于机器学习的工控行为检测方法,能够自动生成工控异常行为协议指令检测规则,根据协议指令检测规则对工控行为进行探测,识别出异常工控行为。该方法为工控网络协议审计提供自动生成协议指令级规则,不需人工配置协议指令级规则,达到协议指令级规则的精准性以及自动化配置特征,大幅度降低人工配置工作,提升工作效率,使得审计系统达到更高的易用性。
附图说明
图1为本发明实施例提供的工控行为检测方法流程图;
图2为本发明实施例提供的工控行为检测系统网络拓扑图;
图3为本发明实施例提供的工控行为检测系统数据流程图;
图4为本发明实施例提供的工控行为检测系统结构框图。
具体实施方式
下面结合实施例详述本发明,但本发明并不局限于这些实施例。
本发明实施例提供了一种基于机器学习的工控行为检测方法,如图1所示,所述检测方法包括以下步骤。
步骤101、对工控协议通讯行为样本进行解析,提取协议样本。
具体的,可以对工控协议通讯行为样本中的工控协议通讯报文进行深度解析以及识别,提取出源IP、目地IP、协议名称、协议控制命令、协议控制点位、协议控制值作为一条协议指令规则数据样本,即协议样本。
步骤102、将协议样本输入机器学习模块中进行训练,确定通讯正常库和通讯异常库。
其中,通讯正常库即为工控协议白名单规则库;通讯异常库即为工控协议黑名单规则库。
步骤103、对实时工控协议通讯行为进行解析,提取实时协议数据。
具体的,可以实时抓取工业环境中的工控协议通讯报文,对实时抓取的工控协议通讯报文进行深度解析以及识别,提取出源IP、目地IP、协议名称、协议控制命令、协议控制点位、协议控制值作为一条实时协议指令规则数据,即实时协议数据。
步骤104、若实时协议数据与通讯正常库中的数据匹配,则判定实时工控协议通讯行为正常;若实时协议数据与通讯异常库中的数据匹配,则判定实时工控协议通讯行为异常。
本发明提供的基于机器学习的工控行为检测方法,能够自动生成工控异常行为协议指令检测规则,根据协议指令检测规则对工控行为进行探测,识别出异常工控行为。该方法为工控网络协议审计提供自动生成协议指令级规则,不需人工配置协议指令级规则,达到协议指令级规则的精准性以及自动化配置特征,大幅度降低人工配置工作,提升工作效率,使得审计系统达到更高的易用性。
进一步的,工控协议通讯行为样本包括第一行为样本和第二行为样本;对工控协议通讯行为样本进行解析,提取协议样本,具体为:对第一行为样本进行解析,提取第一协议样本;对第二行为样本进行解析,提取第二协议样本。
相应的,将协议样本输入机器学习模块中进行训练,确定通讯正常库和通讯异常库,具体包括如下步骤。
1)将第一协议样本输入机器学习模块中进行训练,确定通讯正常库;具体的,将第一协议样本的权重标记为1,并将第一协议样本添加至通讯正常库中。
2)将第二协议样本输入机器学习模块中进行训练。
3)获取第二协议样本的权重,并根据第二协议样本的权重更新通讯正常库和建立通讯异常库。
其中,根据第二协议样本的权重更新通讯正常库和建立通讯异常库,具体包括:
若第二协议样本存在于通讯正常库中,且其权重不为1,则更新所有权重不为1的第二协议样本的权重;并根据更新后第二协议样本的权重将第二协议样本添加至通讯正常库中或通讯异常库中;
若第二协议样本不存在于通讯正常库中,则将第二协议样本的权重设置为预设权重,更新所有权重不为1的第二协议样本的权重,并将第二协议样本转入通讯异常库中;其中,预设权重小于0.5。本发明实施例对于预设权重的具体数值不做限定,本领域技术人员可以根据实际情况进行设定,在实际应用中,预设权重可以选取为0.1。
其中,根据更新后第二协议样本的权重将第二协议样本添加至通讯正常库中或通讯异常库中,具体包括:
若更新后的第二协议样本的权重小于阈值权重,则将第二协议样本转入通讯异常库中;并且,若第二协议样本存在于通讯正常库中,将其从通讯正常库中删除;
若更新后的第二协议样本的权重大于或等于阈值权重,则将第二协议样本添加至通讯正常库中;并且,若第二协议样本存在于通讯异常库中,将其从通讯异常库中删除。本发明实施例对于阈值权重的具体数值不做限定,本领域技术人员可以根据实际情况进行设定,示例的,阈值权重可以设置为0.5。
在本发明实施例中,上述的更新所有权重不为1的第二协议样本的权重可以具体为:采用信息量权重法重新计算所有权重不为1的第二协议样本的权重。在实际应用中,也可以采用简化版的朴素贝叶斯分类方法来计算所有权重不为1的第二协议样本的权重。
在实际应用中,若实时协议数据与通讯正常库和通讯异常库中的数据均不匹配,则判定实时工控协议通讯行为异常;同时还可发出告警信息,以提示技术人员实时协议数据为一条新的规则数据。
本发明另一实施例提供一种基于机器学习的工控行为的具体检测方法,参考图2和图3所示,在实施过程中,需要将工业审计系统部署在控制层、采集层、管理层的交换机上,并且将网络流量镜像到审计系统中。部署工业审计系统,进入系统管理页面,开始机器学习功能,设置信任学习时间(这段时间可以称为规则样本机器学习阶段)。
一、工控审计系统捕获网络中的工控协议通讯报文,深度解析工控协议通讯报文,获取报文中的源IP、目地IP、协议名称、协议控制命令、协议控制点位、协议控制值数据,将数据组装成一条规则,并传入机器学习模块。
二、机器学习模块处理规则数据。
2.1、规则样本机器学习阶段。在机器学习模块中查找该条规则数据,如果没有查询到,则将该条规则数据权重标记为1,并保存在机器学习模块中;如果查询有该条规则数据,则放弃该条规则数据(因为这表示该条规则数据之前已添加到机器学习模块中)。
2.2、监督式机器学习阶段。机器学习模块使用信息量权重法计算每条规则的权重。
首先查找该条协议指令规则数据是否存在,如果存在且权重为1,则放弃该条规则数据;如果该条规则数据存在但权重不为1,则重新计算所有权重不为1的规则数据的权重(相同规则数量越多,则权重越大)。
三、规则分类入库。
根据步骤二获取到的规则数据的权重,将规则数据入库。
3.1、将权重为1的协议指令规则数据全部转入工控协议白名单规则中,且将通讯IP全部转入会话白名单规则中。
3.2、将权重小于0.5的协议指令规则数据转入工控协议黑名单中,且如果工控协议白名单中存在该条规则数据,则将工控协议白名单中的该条规则数据删除。
3.3、将权重大于或等于0.5的协议指令规则数据入工控协议白名单规则中,且工控协议黑名单中若存在该条规则数据,将工控协议黑名单中该条规则数据删除。
四、通过步骤二和三建立协议指令规则模型。
五、利用协议指令规则模型对实时的工控协议通讯报文进行协议操作检测。检测模块深度解析工控协议通讯行为,并提取源IP、目地IP、协议名称、协议控制命令、协议控制点位、协议控制值组成实时协议指令规则数据。如果该数据与工控协议白名单规则匹配,则判断该条工控协议通讯行为正常;如果该数据与工控协议黑名单规则匹配,则判断该条工控协议通讯行为异常,如果该数据与工控协议白名单规则不匹配,且与工控协议黑名单规则不匹配,则判断该条工控协议通讯行为异常。
本发明实施例通过报文抓取、协议深度解析、机器学习模块、规则匹配,实现了在任何工业控制环境下通过机器学习方式自动配置协议操作指令规则并对入侵指令自动检测。
本发明再一实施例提供一种基于机器学习的工控行为检测系统,如图4所示,检测系统包括:
第一解析单元401,用于对工控协议通讯行为样本进行解析,提取协议样本;
训练单元402,用于将协议样本输入机器学习模块中进行训练,确定通讯正常库和通讯异常库;
第二解析单元403,用于对实时工控协议通讯行为进行解析,提取实时协议数据;
检测单元404,用于若实时协议数据与通讯正常库中的数据匹配,则判定实时工控协议通讯行为正常;若实时协议数据与通讯异常库中的数据匹配,则判定实时工控协议通讯行为异常。
进一步的,工控协议通讯行为样本包括第一行为样本和第二行为样本;
第一解析单元401具体用于:
对第一行为样本进行解析,提取第一协议样本;
对第二行为样本进行解析,提取第二协议样本;
训练单元402具体用于:
将第一协议样本输入机器学习模块中进行训练,确定通讯正常库;
将第二协议样本输入机器学习模块中进行训练;
获取第二协议样本的权重,并根据第二协议样本的权重更新通讯正常库和建立通讯异常库。
上述检测系统中各个模块的具体描述可以参考检测方法中对每个步骤的描述,在此不再赘述,上述检测系统可以实现与检测方法侧同样的功能。
以上所述,仅是本申请的几个实施例,并非对本申请做任何形式的限制,虽然本申请以较佳实施例揭示如上,然而并非用以限制本申请,任何熟悉本专业的技术人员,在不脱离本申请技术方案的范围内,利用上述揭示的技术内容做出些许的变动或修饰均等同于等效实施案例,均属于技术方案范围内。
Claims (10)
1.一种基于机器学习的工控行为检测方法,其特征在于,所述检测方法包括:
对工控协议通讯行为样本进行解析,提取协议样本;
将所述协议样本输入机器学习模块中进行训练,确定通讯正常库和通讯异常库;
对实时工控协议通讯行为进行解析,提取实时协议数据;
若所述实时协议数据与所述通讯正常库中的数据匹配,则判定所述实时工控协议通讯行为正常;
若所述实时协议数据与所述通讯异常库中的数据匹配,则判定所述实时工控协议通讯行为异常。
2.根据权利要求1所述的检测方法,其特征在于,所述工控协议通讯行为样本包括第一行为样本和第二行为样本;
所述对工控协议通讯行为样本进行解析,提取协议样本,具体为:
对所述第一行为样本进行解析,提取第一协议样本;
对所述第二行为样本进行解析,提取第二协议样本;
相应的,将所述协议样本输入机器学习模块中进行训练,确定通讯正常库和通讯异常库,具体为:
将所述第一协议样本输入机器学习模块中进行训练,确定通讯正常库;
将所述第二协议样本输入机器学习模块中进行训练;
获取所述第二协议样本的权重,并根据所述第二协议样本的权重更新通讯正常库和建立通讯异常库。
3.根据权利要求2所述的检测方法,其特征在于,所述将所述第一协议样本输入机器学习模块中进行训练,确定通讯正常库,具体为:
将所述第一协议样本的权重标记为1,并将所述第一协议样本添加至通讯正常库中;
所述获取所述第二协议样本的权重,并根据所述第二协议样本的权重更新通讯正常库和建立通讯异常库,具体包括:
若所述第二协议样本存在于所述通讯正常库中,且其权重不为1,则更新所有权重不为1的第二协议样本的权重;并根据更新后所述第二协议样本的权重将所述第二协议样本添加至所述通讯正常库中或所述通讯异常库中;
若所述第二协议样本不存在于所述通讯正常库中,则将所述第二协议样本的权重设置为预设权重,更新所有权重不为1的第二协议样本的权重,并将所述第二协议样本转入通讯异常库中;其中,所述预设权重小于0.5。
4.根据权利要求3所述的检测方法,其特征在于,所述根据更新后所述第二协议样本的权重将所述第二协议样本添加至所述通讯正常库中或所述通讯异常库中,具体包括:
若更新后的第二协议样本的权重小于阈值权重,则将所述第二协议样本转入所述通讯异常库中;并且,若所述第二协议样本存在于所述通讯正常库中,将其从所述通讯正常库中删除;
若更新后的第二协议样本的权重大于或等于所述阈值权重,则将所述第二协议样本添加至所述通讯正常库中;并且,若所述第二协议样本存在于所述通讯异常库中,将其从所述通讯异常库中删除。
5.根据权利要求3所述的检测方法,其特征在于,所述更新所有权重不为1的第二协议样本的权重具体为:
采用信息量权重法重新计算所有权重不为1的第二协议样本的权重。
6.根据权利要求1所述的检测方法,其特征在于,若所述实时协议数据与所述通讯正常库和所述通讯异常库中的数据均不匹配,则判定所述实时工控协议通讯行为异常。
7.根据权利要求1所述的检测方法,其特征在于,若所述实时协议数据与所述通讯正常库和所述通讯异常库中的数据均不匹配,则发出告警信息。
8.根据权利要求1所述的检测方法,其特征在于,所述协议样本和所述实时协议数据均包括:源IP、目的IP、协议名称、协议控制命令、协议控制点位和协议控制值中的至少一种。
9.一种基于机器学习的工控行为检测系统,其特征在于,所述检测系统包括:
第一解析单元,用于对工控协议通讯行为样本进行解析,提取协议样本;
训练单元,用于将所述协议样本输入机器学习模块中进行训练,确定通讯正常库和通讯异常库;
第二解析单元,用于对实时工控协议通讯行为进行解析,提取实时协议数据;
检测单元,用于若所述实时协议数据与所述通讯正常库中的数据匹配,则判定所述实时工控协议通讯行为正常;
若所述实时协议数据与所述通讯异常库中的数据匹配,则判定所述实时工控协议通讯行为异常。
10.根据权利要求9所述的检测系统,其特征在于,所述工控协议通讯行为样本包括第一行为样本和第二行为样本;
所述第一解析单元具体用于:
对所述第一行为样本进行解析,提取第一协议样本;
对所述第二行为样本进行解析,提取第二协议样本;
所述训练单元具体用于:
将所述第一协议样本输入机器学习模块中进行训练,确定通讯正常库;
将所述第二协议样本输入机器学习模块中进行训练;
获取所述第二协议样本的权重,并根据所述第二协议样本的权重更新通讯正常库和建立通讯异常库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110005460.3A CN112333211B (zh) | 2021-01-05 | 2021-01-05 | 一种基于机器学习的工控行为检测方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110005460.3A CN112333211B (zh) | 2021-01-05 | 2021-01-05 | 一种基于机器学习的工控行为检测方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112333211A true CN112333211A (zh) | 2021-02-05 |
CN112333211B CN112333211B (zh) | 2021-04-23 |
Family
ID=74302198
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110005460.3A Active CN112333211B (zh) | 2021-01-05 | 2021-01-05 | 一种基于机器学习的工控行为检测方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112333211B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114374528A (zh) * | 2021-11-24 | 2022-04-19 | 河南中裕广恒科技股份有限公司 | 一种数据安全检测方法、装置、电子设备及介质 |
CN116016274A (zh) * | 2022-12-29 | 2023-04-25 | 南京融军建科技有限公司 | 一种异常通讯检测方法和系统 |
CN117648689A (zh) * | 2024-01-29 | 2024-03-05 | 北京东方森太科技发展有限公司 | 基于人工智能的工控主机安全事件自动响应方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170177865A1 (en) * | 2014-01-17 | 2017-06-22 | MalCrawler Co. | Industrial Control System Emulator for Malware Analysis |
CN109462617A (zh) * | 2018-12-29 | 2019-03-12 | 北京威努特技术有限公司 | 一种局域网中设备通讯行为检测方法及装置 |
CN110059726A (zh) * | 2019-03-22 | 2019-07-26 | 中国科学院信息工程研究所 | 工业控制系统的威胁检测方法及装置 |
CN110113347A (zh) * | 2019-05-14 | 2019-08-09 | 北京天地和兴科技有限公司 | 一种检测工控网络应用层协议报文长度异常的方法 |
CN110688536A (zh) * | 2019-09-25 | 2020-01-14 | 中国建设银行股份有限公司 | 一种标签预测方法、装置、设备和存储介质 |
-
2021
- 2021-01-05 CN CN202110005460.3A patent/CN112333211B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170177865A1 (en) * | 2014-01-17 | 2017-06-22 | MalCrawler Co. | Industrial Control System Emulator for Malware Analysis |
CN109462617A (zh) * | 2018-12-29 | 2019-03-12 | 北京威努特技术有限公司 | 一种局域网中设备通讯行为检测方法及装置 |
CN110059726A (zh) * | 2019-03-22 | 2019-07-26 | 中国科学院信息工程研究所 | 工业控制系统的威胁检测方法及装置 |
CN110113347A (zh) * | 2019-05-14 | 2019-08-09 | 北京天地和兴科技有限公司 | 一种检测工控网络应用层协议报文长度异常的方法 |
CN110688536A (zh) * | 2019-09-25 | 2020-01-14 | 中国建设银行股份有限公司 | 一种标签预测方法、装置、设备和存储介质 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114374528A (zh) * | 2021-11-24 | 2022-04-19 | 河南中裕广恒科技股份有限公司 | 一种数据安全检测方法、装置、电子设备及介质 |
CN116016274A (zh) * | 2022-12-29 | 2023-04-25 | 南京融军建科技有限公司 | 一种异常通讯检测方法和系统 |
CN116016274B (zh) * | 2022-12-29 | 2023-11-24 | 天航长鹰(江苏)科技有限公司 | 一种异常通讯检测方法和系统 |
CN117648689A (zh) * | 2024-01-29 | 2024-03-05 | 北京东方森太科技发展有限公司 | 基于人工智能的工控主机安全事件自动响应方法 |
CN117648689B (zh) * | 2024-01-29 | 2024-04-12 | 北京东方森太科技发展有限公司 | 基于人工智能的工控主机安全事件自动响应方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112333211B (zh) | 2021-04-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112333211B (zh) | 一种基于机器学习的工控行为检测方法和系统 | |
CN109063745B (zh) | 一种基于决策树的网络设备类型识别方法及系统 | |
CN109768952B (zh) | 一种基于可信模型的工控网络异常行为检测方法 | |
Jalili et al. | Detection of distributed denial of service attacks using statistical pre-processor and unsupervised neural networks | |
CN107426059B (zh) | Dpi设备特征库自动更新方法、系统、dpi设备及云端服务器 | |
CN103748853A (zh) | 用于对数据通信网络中的协议消息进行分类的方法和系统 | |
US20120090027A1 (en) | Apparatus and method for detecting abnormal host based on session monitoring | |
CN112383538A (zh) | 一种混合式高交互工业蜜罐系统及方法 | |
CN110868404B (zh) | 一种基于tcp/ip指纹的工控设备自动识别方法 | |
JP2021515498A (ja) | 完全性監視及びネットワーク侵入検出のための属性ベースのポリシー | |
CN107360145A (zh) | 一种多节点蜜罐系统及其数据分析方法 | |
CN117411703A (zh) | 一种面向Modbus协议的工业控制网络异常流量检测方法 | |
US11605009B2 (en) | Network device identification | |
CN115396204A (zh) | 一种基于序列预测的工控网络流量异常检测方法及装置 | |
CN110750788A (zh) | 一种基于高交互蜜罐技术的病毒文件检测方法 | |
CN112565278A (zh) | 一种捕获攻击的方法及蜜罐系统 | |
CN114189348A (zh) | 一种适用于工控网络环境的资产识别方法 | |
CN112073396A (zh) | 一种内网横向移动攻击行为的检测方法及装置 | |
CN116405261A (zh) | 基于深度学习的恶意流量检测方法、系统及存储介质 | |
CN111865724B (zh) | 视频监控设备信息采集控制实现方法 | |
CN111343167B (zh) | 一种基于网络的信息处理方法及电子设备 | |
WO2018157336A1 (zh) | 数据处理装置和方法 | |
Zhou et al. | Fingerprinting IIoT devices through machine learning techniques | |
CN113079127B (zh) | 攻击识别数据模型的生成与应用方法 | |
CN112348202B (zh) | 一种机器学习中规则模型的建立方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |