CN114237180A - 一种工业控制系统攻击检测方法及装置 - Google Patents
一种工业控制系统攻击检测方法及装置 Download PDFInfo
- Publication number
- CN114237180A CN114237180A CN202111552929.1A CN202111552929A CN114237180A CN 114237180 A CN114237180 A CN 114237180A CN 202111552929 A CN202111552929 A CN 202111552929A CN 114237180 A CN114237180 A CN 114237180A
- Authority
- CN
- China
- Prior art keywords
- control system
- data
- time
- determining
- industrial control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 96
- 238000012545 processing Methods 0.000 claims abstract description 27
- 238000012360 testing method Methods 0.000 claims description 26
- 238000000034 method Methods 0.000 claims description 23
- 230000011218 segmentation Effects 0.000 claims description 21
- 230000002123 temporal effect Effects 0.000 claims description 10
- 238000012549 training Methods 0.000 claims description 7
- 230000006835 compression Effects 0.000 claims description 5
- 238000007906 compression Methods 0.000 claims description 5
- 238000000746 purification Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- XAGFODPZIPBFFR-UHFFFAOYSA-N aluminium Chemical compound [Al] XAGFODPZIPBFFR-UHFFFAOYSA-N 0.000 description 5
- 229910052782 aluminium Inorganic materials 0.000 description 5
- 230000006854 communication Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 239000013256 coordination polymer Substances 0.000 description 3
- 230000004927 fusion Effects 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- PNEYBMLMFCGWSK-UHFFFAOYSA-N aluminium oxide Inorganic materials [O-2].[O-2].[O-2].[Al+3].[Al+3] PNEYBMLMFCGWSK-UHFFFAOYSA-N 0.000 description 2
- 238000005202 decontamination Methods 0.000 description 2
- 230000003588 decontaminative effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000011112 process operation Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- YCKRFDGAMUMZLT-UHFFFAOYSA-N Fluorine atom Chemical compound [F] YCKRFDGAMUMZLT-UHFFFAOYSA-N 0.000 description 1
- 229910000831 Steel Inorganic materials 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000007599 discharging Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 229910052731 fluorine Inorganic materials 0.000 description 1
- 239000011737 fluorine Substances 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 239000010959 steel Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4183—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by data acquisition, e.g. workpiece identification
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/32—Operator till task planning
- G05B2219/32252—Scheduling production, machining, job shop
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Manufacturing & Machinery (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
本申请提供一种工业控制系统攻击检测方法及装置,该工业控制系统攻击检测方法预先确定攻击检测的具体应用场景,减小了数据处理量,且通过传感器和执行器的对应关系和传感器的运行数据来判断是否受到攻击,进一步减小了数据处理量,而同时采用贝叶斯网络模型和概率时间自动机模型,利用两者的优点,更清楚的表现了传感器和执行器的对应关系和传感器的运行数据,更快速的检测出工业控制系统是否受到攻击。
Description
技术领域
本申请涉及工业控制系统技术领域,尤其是涉及一种工业控制系统检测方法及装置。
背景技术
工业控制系统是国家关键基础设施中的重要组成部分,但在工业控制系统的使用过程中,往往会受到攻击,导致国家工业受到巨大影响,经济受到损失;为了对工业控制系统进行保护,会对工业控制系统进行攻击检测,具体通过工业控制系统监控和数据采集工作站、人机截面、可编程逻辑控制器和底层通信等传输的工业网络流量,采用基于签名、验证、行为规范和机器学习的方式进行攻击检测;但基于签名的攻击检测方法只能处理已知攻击,基于验证的攻击检测方法由于状态爆炸问题而无法分析,基于行为规范的攻击检测方法需要精确理解工业控制系统的行为导致局限性较大,基于机器学习的攻击检测方法算法较为复杂,当面对大规模数据时,所用时间较长。
所以,现有工业控制系统的攻击检测方法存在检测效率较低的技术问题。
发明内容
本申请实施例提供一种工业控制系统攻击检测方法及装置,用以缓解现有工业控制系统的攻击检测方法存在检测效率较低的技术问题。
本申请实施例提供一种工业控制系统攻击检测方法,该工业控制系统攻击检测方法包括:接收工业控制系统发送的攻击检测请求;解析所述攻击检测请求,确定所述工业控制系统对应的目标控制系统以及所述目标控制系统中的关键设施,并获取所述关键设施的运行参数;根据所述目标控制系统的信息,确定对应的贝叶斯网络模型和概率时间自动机模型;
根据所述贝叶斯网络模型、所述概率时间自动机模型以及所述关键设施的运行参数,确定所述关键设施中的传感器和执行器的对应关系以及所述传感器的运行数据;根据所述关键设施中的传感器和执行器的对应关系、所述传感器的运行数据以及预设数据,确定所述工业控制系统的运行状态。
同时,本申请实施例提供一种工业控制系统攻击检测装置,该工业控制系统攻击检测装置包括:接收模块,用于接收工业控制系统发送的攻击检测请求;解析模块,用于解析所述攻击检测请求,确定所述工业控制系统对应的目标控制系统以及所述目标控制系统中的关键设施,并获取所述关键设施的运行参数;第一确定模块,用于根据所述目标控制系统的信息,确定对应的贝叶斯网络模型和概率时间自动机模型;第二确定模块,用于根据所述贝叶斯网络模型、所述概率时间自动机模型以及所述关键设施的运行参数,确定所述关键设施中的传感器和执行器的对应关系以及所述传感器的运行数据;第三确定模块,用于根据所述关键设施中的传感器和执行器的对应关系、所述传感器的运行数据以及预设数据,确定所述工业控制系统的运行状态。
同时,本申请实施例提供一种服务器,该服务器包括存储器,处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行程序时实现上述工业控制系统攻击检测装置中的步骤。
同时,本申请实施例提供一种计算机可读存储介质,该计算机可读存储介质中存储有多条指令,指令适于处理器进行加载,以执行上述工业控制系统攻击检测装置中的步骤。
有益效果
本申请提供一种工业控制系统攻击检测方法及装置,该工业控制系统攻击检测方法在接收到工业控制系统发送的攻击检测请求后,解析攻击检测请求,确定工业控制系统对应的目标控制系统以及目标控制系统中的关键设施,并获取关键设施的运行参数,然后根据目标控制系统的学习,确定对应的贝叶斯网络模型和概率时间自动机模型,并根据贝叶斯网络模型、概率时间自动机模型以及关键设施的运行参数,确定关键设施中的传感器和执行器的对应关系以及传感器的运行数据,然后根据关键设施中的传感器和执行器的对应关系、传感器的运行数据以及预设数据,确定工业控制系统的运行状态。本申请在接收工业控制系统发送的攻击检测请求时,先确定该攻击检测请求对应的目标控制系统,以确定攻击检测请求的具体应用场景,并确定该目标控制系统中的关键设施,得到关键设施的运行参数,然后调用与目标控制系统对应的贝叶斯网络模型和概率时间自动机模型对关键设施的运行数据进行处理,得到关键设施中传感器和执行器的对应关系以及传感器的运行数据,则可以根据传感器和执行器的对应关系以及传感器的运行数据与预设数据,判断工业控制系统是否受到攻击,由于这一过程预先确定了攻击检测的具体应用场景,减小了数据处理量,且通过传感器和执行器的对应关系和传感器的运行数据来判断是否受到攻击,进一步减小了数据处理量,而同时采用贝叶斯网络模型和概率时间自动机模型,利用两者的优点,更清楚的表现了传感器和执行器的对应关系和传感器的运行数据,更快速的检测出工业控制系统是否受到攻击。
附图说明
下面结合附图,通过对本申请的具体实施方式详细描述,将使本申请的技术方案及其它有益效果显而易见。
图1为本申请实施例提供的工业控制系统的场景示意图。
图2为本申请实施例提供的工业控制系统攻击检测方法的流程图。
图3为本申请实施例提供的工业控制系统攻击检测装置的结构示意图。
图4为本申请实施例提供的服务器的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述;显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例;基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参阅图1,图1为本申请实施例提供的工业控制系统的场景示意图,该系统可以包括设备和设备之间、设备和服务器之间、服务器和服务器之间通过网络或者网关连接通信,网络可以是广域网或者局域网,又或者是二者的组合,使用无线链路实现数据传输,不在赘述,其中,设备包括目标控制系统11,其中,目标控制系统11包括但不局限于净化系统、压力控制系统、温度控制系统、自动化控制系统;服务器12包括但不局限于数据服务器、通信服务器,数据服务器以及通信服务器都可以部署在本地服务器,也可以部分或者全部部署在远程服务器上。
服务器12可以接收工业控制系统发送的攻击检测请求;解析所述攻击检测请求,确定所述工业控制系统对应的目标控制系统以及所述目标控制系统中的关键设施,并获取所述关键设施的运行参数;根据所述目标控制系统的信息,确定对应的贝叶斯网络模型和概率时间自动机模型;根据所述贝叶斯网络模型、所述概率时间自动机模型以及所述关键设施的运行参数,确定所述关键设施中的传感器和执行器的对应关系以及所述传感器的运行数据;根据所述关键设施中的传感器和执行器的对应关系、所述传感器的运行数据以及预设数据,确定所述工业控制系统的运行状态。
需要说明的是,图1所示的系统场景示意图仅仅是一个示例,本申请实施例描述的服务器以及场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着系统的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。以下分别进行详细说明。需要说明的是,以下实施例的描述顺序不作为对实施例优选顺序的限定。
图2为本申请实施例提供的工业控制系统攻击检测方法的流程示意图,请参阅图2,该工业控制系统攻击检测方法包括以下步骤:
201:接收工业控制系统发送的攻击检测请求。
在一种实施例中,工业控制系统包括工业中的各种工业的控制系统,例如工厂中的控制系统,包括但不限于铝厂中的控制系统,钢厂中的控制系统。
在一种实施例中,攻击检测请求可以是工业控制系统自动发送的检测请求,也可以服务器定时或者不定时的向工业控制系统发送检测指令,然后接收工业控制系统的攻击检测请求,从而使得服务器可以在接收到攻击检测请求后对对应的目标控制系统进行攻击检测。
202:解析攻击检测请求,确定工业控制系统对应的目标控制系统以及目标控制系统中的关键设施,并获取关键设施的运行参数。
在本申请实施例,通过解析攻击检测请求,确定工业控制系统中对应的目标控制系统,即攻击检测请求对应的具体应用场景和/或具体应用系统,从而相较于机器学习等方法减小数据处理量。同时,本申请实施例确定目标控制系统中的关键设施,并通过关键设施的运行参数的处理以确定工业控制系统是否受到攻击,从而进一步减小数据处理量,加快攻击检测效率。
在一种实施例中,目标控制系统是指工业控制系统中具体的控制系统,例如工业控制系统包括多种工业,则目标控制系统可以是多种工业中的一种或者几种工业的控制系统,还可以是没有工业中的具体工厂的具体控制系统,例如铝厂中的净化系统。本申请实施例通过确定目标控制系统,则无需在工业控制系统中排查被攻击的部分,从而降低数据处理量。
在一种实施例中,关键设施是指实现目标控制系统的基本功能的设施,例如目标控制系统为净化系统时,关键设施包括净化装置。
在一种实施例中,所述解析所述攻击检测请求,确定所述工业控制系统对应的目标控制系统以及所述目标控制系统中的关键设施,并获取所述关键设施的运行参数的步骤,包括:解析所述攻击检测请求,确定所述工业控制系统中的系统信息;根据所述系统信息以及预设系统参数,确定所述系统信息对应的目标控制系统;解析所述目标控制系统,确定所述目标控制系统的关键设施,并获取所述关键设施的运行参数。
在接收到攻击检测请求时,对攻击检测请求进行解析,则可以确定工业控制系统中的系统信息,相应的可以根据系统信息以及预设系统参数,确定系统信息对应的目标控制系统,然后根据目标控制系统,确定其对应的关键设施,并获取关键设施的运行参数,从而可以通过关键设施的运行参数确定工业控制系统是否受到攻击,提高工业控制系统的攻击检测效率。
在一种实施例中,攻击检测请求可以携带检测标识,检测标识可以携带工业控制系统中的目标控制系统的系统信息,例如以包括但不限于数字、字母、汉字、特殊符号等方式组合形成的标记作为检测标识,从而可以通过解析攻击检测请求确定对应的检测标识,确定对应的目标控制系统。
具体的,根据系统信息以及预设系统参数,确定系统信息对应的目标控制系统时,以系统信息为简要文字为例,则可以建立工业控制系统的对照表或者对照文档作为预设系统参数,通过系统信息与对照表或者对照文档确定对应的目标控制系统。
在一种实施例中,关键设施的运行参数包括关键设施的运行时间、关键设施的运行操作,例如,执行器在每一时间点的状态,例如在19:00处于开启状态,在20:00处于关闭状态。
具体的,获取所述关键设施的运行参数的步骤,包括获取所述关键设施的历史运行参数,和/或获取所述关键设施的实时运行参数;即在对工业控制系统进行攻击检测时,可以通过历史数据确定工业控制系统中的目标控制系统是否受到攻击,也可以实时检测目标控制系统是否受到攻击。
203:根据目标控制系统的信息,确定对应的贝叶斯网络模型和概率时间自动机模型。
在一种实施例中,贝叶斯网络是一种基于概率推理的网络模型,是由节点(代表变量)及连接节点的有向边(代表节点间的相关关系,并由条件概率表达)构成的有向无环图,概率时间自动机模型是可用于表示时间序列数据的实时自动机,可以表示工业控制系统中传感器离散时间,本申请实施例通过两者的优点,将执行器和传感器的工作行为模式更加显式的表示,从而快速检测出工业控制系统是否受到攻击。
在一种实施例中,对于每个目标控制系统,可以设定对应的贝叶斯网络模型和概率时间自动机模型,在需要对目标控制系统进行攻击检测时,调用对应的贝叶斯网络模型和概率时间自动机模型,则可以处理数据后判断目标控制系统是否受到了攻击。
在一种实施例中,在所述根据所述目标控制系统的信息,确定对应的贝叶斯网络模型和概率时间自动机模型的步骤之前,还包括:建立初始贝叶斯网络模型和初始概率时间自动机模型;获取所述关键设施的测试运行参数、所述关键设施中的传感器和执行器的对应关系以及所述传感器的测试运行数据;根据所述测试运行参数、所述以及所述关键设施中的传感器和执行器的对应关系以及所述传感器的测试运行数据,对所述初始贝叶斯网络模型和初始概率时间自动机模型进行训练,得到训练后的贝叶斯网络模型和初始概率时间自动机模型。通过对初始贝叶斯网络模型和初始概率时间自动机模型进行训练,使得训练后的贝叶斯网络模型和初始概率时间自动机模型在处理数据时能够更加准确,从而判断工业控制系统是否受到攻击。
在一种实施例中,所述根据所述测试运行参数、所述关键设施中的传感器和执行器的对应关系以及所述传感器的测试运行数据,对所述初始贝叶斯网络模型和初始概率时间自动机模型进行训练,得到训练后的贝叶斯网络模型和初始概率时间自动机模型的步骤,包括:使用所述初始贝叶斯网络模型和初始概率时间自动机模型对所述测试运行参数进行处理,确定所述关键设施中的传感器和执行器的对应关系以及所述传感器的测试运行数据中的覆盖部分以及非覆盖部分;根据所述关键设施中的传感器和执行器的对应关系以及所述传感器的测试运行数据中的覆盖部分以及非覆盖部分,修正所述初始贝叶斯网络模型和初始概率时间自动机模型,得到训练后的贝叶斯网络模型和概率时间自动机模型。在对初始贝叶斯网络模型和初始概率时间自动机模型进行训练时,可以通过查找到的数据和没有查找到的数据判断贝叶斯网络模型和初始概率时间自动机模型的准确性,从而得到训练后的贝叶斯网络模型和初始概率时间自动机模型。
具体的,以 TP为真正例、FP为假正例,FP是指理论的关键设施中的传感器和执行器的对应关系以及所述传感器的运行数据与实际的关键设施中的传感器和执行器的对应关系以及所述传感器的运行数据无重叠,相应的,TP是指理论的关键设施中的传感器和执行器的对应关系以及所述传感器的运行数据与实际的关键设施中的传感器和执行器的对应关系以及所述传感器的运行数据有重叠,TP包括CP(覆盖百分比)和PS(非覆盖的数据量),并正常数据和攻击数据按照8:2划分,然后随机选择70%的数据作为训练数据,将30%作为测试数据,对初始贝叶斯网络模型和初始概率时间自动机模型,并得到训练后的贝叶斯网络模型和概率时间自动机模型,训练后的贝叶斯网络模型和概率时间自动机模型与其他模型的对比如下表所示:
表一本申请的贝叶斯网络模型和概率时间自动机模型的融合模型与其他模型处理数据的对比表
在上表中,示出了铝厂的净化系统在新鲜氧化铝供给阶段和载氟氧化铝回收阶段分别采用本申请的贝叶斯网络模型和概率时间自动机模型的融合模型、仅采用概率时间自动机模型、仅采用贝叶斯网络模型时处理后的数据对比,从上表一中可以知道,采用本申请的贝叶斯网络模型和概率时间自动机模型的融合模型得到的CP的比例大于采用单个模型得到的CP的比例,即本申请能够准确得到理论的关键设施中的传感器和执行器的对应关系以及所述传感器的运行数据与实际的关键设施中的传感器和执行器的对应关系以及所述传感器的运行数据有重叠中的数据,从而提高了检测的准确度。
需要说明的是,其中阈值一栏指在处理的数据中存在无运行周期的数据时,通过阈值判断得到的数据。
204:根据贝叶斯网络模型、概率时间自动机模型以及关键设施的运行参数,确定关键设施中的传感器和执行器的对应关系以及传感器的运行数据。
针对时间序列数据的数据量较大,难以确定关键设施的运行状态的问题。在一种实施例中,在根据所述贝叶斯网络模型、所述概率时间自动机模型以及所述关键设施的运行参数,确定所述关键设施中的传感器和执行器的对应关系以及所述传感器的运行数据的步骤之前,还包括:对所述关键设施的运行参数中的初始时间序列数据进行时间压缩,得到压缩后的压缩时间序列数据;对所述压缩时间序列数据进行信号分割,得到分割时间序列数据以及对应的时间序列点;将所述分割时间序列数据与所述执行器和传感器进行时间对齐,得到时间对齐数据,并根据所述时间序列点得到定时字符串。
在得到关键设施的运行参数时,考虑到关键设施的运行参数中初始时间序列数据收集的时间间隔较短,导致数据的时间跨度不明显,无法确定关键设施的运行参数的规律,以对关键设施的运行参数进行处理,因此,可以先对初始时间序列数据进行时间压缩,从而可以快速查找到关键设施的运行参数的规律,以对关键设施的运行参数进行处理,并确定对应的时间序列点以及定时字符串。
在得到压缩后的压缩时间序列数据后,需要对压缩时间序列数据进行信号分割,得到分割时间序列数据以及对应的时间序列点,以与传感器和执行器进行时间对齐,得到时间对齐数据,从而确定传感器和执行器的对应关系,且可以通过时间序列点得到定时字符串,根据定时字符串确定传感器的运行状态,从而判断工业控制系统是否受到攻击。
考虑到压缩时间序列数据会存在运行周期,在运行周期内运行参数相同或者基本相同,因此,可以根据运行周期对压缩时间序列数据进行信号分割,从而进行后续处理;在一种实施例中,所述对所述压缩时间序列数据进行信号分割,得到分割时间序列数据以及对应的时间序列点的步骤,包括:解析压缩时间序列数据确定对应的运行周期;根据所述运行周期对所述压缩时间序列数据进行信号分割,得到分割时间序列数据以及对应的时间序列点;通过确定压缩时间序列数据中的运行周期,则可以对压缩时间序列数据进行信号分割,便于与传感器和执行器进行时间对齐。
针对关键设施的运行参数中的时间序列数据存在部分数据没有运行周期的问题;在一种实施例,所述对所述压缩时间序列数据进行信号分割,得到分割时间序列数据以及对应的时间序列点的步骤,还包括:解析所述压缩时间序列数据,判断所述压缩时间序列数据是否存在运行周期;在所述压缩时间序列数据不存在运行周期时,获取阈值;根据所述阈值以及所述压缩时间序列数据,对所述压缩时间序列数据进行信号分割,得到分割时间序列数据以及对应的时间序列点;通过阈值来对压缩时间序列数据进行信号分割,则可以得到时间序列点和分割时间序列数据,便于后续确定定时字符串和时间对齐数据。
需要说明的是,该阈值用于确定不存在运行周期的压缩时间序列数据的时间序列点和分割时间序列数据,以进行时间对齐和确定定时字符串。
需要说明的是,时间对齐数据是指执行器和传感器与时间序列数据进行时间线上的对齐的数据,通过处理该时间对齐数据,可以确定执行器和传感器的对应关系。
在一种实施例中,所述将所述分割时间序列数据与所述执行器和传感器进行时间对齐,得到时间对齐数据,并根据所述时间序列点得到定时字符串的步骤,包括:根据所述时间序列点,对所述执行器和传感器与所述分割时间序列数据进行时间对齐,得到时间对齐数据;根据所述时间对齐数据以及所述时间序列点,确定定时字符串;通过时间序列点使执行器和传感器与分割时间序列数据进行时间对齐,在传感器和执行器的工作过程基本符合或者符合正常工作过程时,确定该事件序列点为定时字符串,从而可以确定传感器的运行状态,并判断工业控制系统是否受到攻击。
需要说明的是,定时字符串是指执行器和传感器在时间对齐时,符合工作过程或者基本符合工作过程时的采用的时间序列点。
在一种实施例中,所述根据所述贝叶斯网络模型、所述概率时间自动机模型以及所述关键设施的运行参数,确定所述关键设施中的传感器和执行器的对应关系以及所述传感器的运行数据的步骤,包括:根据所述关键设施的运行参数,确定所述时间对齐数据以及所述定时字符串;根据所述时间对齐数据以及所述贝叶斯网络模型,确定所述关键设施中的传感器和执行器的对应关系;根据所述定时字符串以及所述概率时间自动机模型,确定所述传感器的运行数据。
在确定时间对齐数据和定时字符串后,则可以通过本申请提供的贝叶斯网络模型和所述概率时间自动机模型确定传感器和执行器的对应关系以及传感器的运行数据,从而可以相应的判断工业控制系统是否受到攻击。
205:根据关键设施中的传感器和执行器的对应关系、传感器的运行数据以及预设数据,确定工业控制系统的运行状态。
在一种实施例中,预设数据可以是关键设施的正常运行数据,例如传感器和执行器的正常对应关系,传感器的正常运行数据,从而与通过处理得到的传感器和执行器的对应关系、传感器的运行数据进行对比,判断工业控制系统是否受到攻击。
在一种实施例中,以铝厂的净化系统为例进行具体说明,在接收到工业控制系统发送的攻击检测请求后,会通过解析该攻击检测请求,确定所述工业控制系统对应的铝厂中的净化系统以及所述净化系统中的关键设施,并获取关键设施中的运行残留,例如包括18个传感器和执行器信号值的10800个时间点作为运行参数,并通过该净化系统的信息,确定对应的贝叶斯网络模型和概率时间自动机模型,在得到关键设施的运行参数后,通过时间压缩、信号分割和时间对齐得到时间对齐数据和定时字符串,然后采用贝叶斯网络模型和概率时间自动机模型分别处理时间对齐数据和定时字符串,得到关键设施中的传感器和执行器的对应关系、所述传感器的运行数据,从而可以判断净化系统是否受到攻击。
本申请实施例提供一种工业控制系统攻击检测方法,在接收工业控制系统发送的攻击检测请求时,先确定该攻击检测请求对应的目标控制系统,以确定攻击检测请求的具体应用场景,并确定该目标控制系统中的关键设施,得到关键设施的运行参数,然后调用与目标控制系统对应的贝叶斯网络模型和概率时间自动机模型对关键设施的运行数据进行处理,得到关键设施中传感器和执行器的对应关系以及传感器的运行数据,则可以根据传感器和执行器的对应关系以及传感器的运行数据与预设数据,判断工业控制系统是否受到攻击,由于这一过程预先确定了攻击检测的具体应用场景,减小了数据处理量,且通过传感器和执行器的对应关系和传感器的运行数据来判断是否受到攻击,进一步减小了数据处理量,而同时采用贝叶斯网络模型和概率时间自动机模型,利用两者的优点,更清楚的表现了传感器和执行器的对应关系和传感器的运行数据,更快速的检测出工业控制系统是否受到攻击。
相应的,图3为本申请实施例提供的工业控制系统攻击检测装置的结构示意图,请参阅图3,该工业控制系统攻击检测装置包括以下模块:接收模块301,用于接收工业控制系统发送的攻击检测请求;解析模块302,用于解析所述攻击检测请求,确定所述工业控制系统对应的目标控制系统以及所述目标控制系统中的关键设施,并获取所述关键设施的运行参数;第一确定模块303,用于根据所述目标控制系统的信息,确定对应的贝叶斯网络模型和概率时间自动机模型;第二确定模块304,用于根据所述贝叶斯网络模型、所述概率时间自动机模型以及所述关键设施的运行参数,确定所述关键设施中的传感器和执行器的对应关系以及所述传感器的运行数据;第三确定模块305,用于根据所述关键设施中的传感器和执行器的对应关系、所述传感器的运行数据以及预设数据,确定所述工业控制系统的运行状态。
在一种实施例中,解析模块302用于解析所述攻击检测请求,确定所述工业控制系统中的系统信息;根据所述系统信息以及预设系统参数,确定所述系统信息对应的目标控制系统;解析所述目标控制系统,确定所述目标控制系统的关键设施,并获取所述关键设施的运行参数。
在一种实施例中,工业控制系统攻击检测装置还包括建立模块,建立模块用于建立初始贝叶斯网络模型和初始概率时间自动机模型;获取所述关键设施的测试运行参数、所述关键设施中的传感器和执行器的对应关系以及所述传感器的测试运行数据;根据所述测试运行参数、所述关键设施中的传感器和执行器的对应关系以及所述传感器的测试运行数据,对所述初始贝叶斯网络模型和初始概率时间自动机模型进行训练,得到训练后的贝叶斯网络模型和初始概率时间自动机模型。
在一种实施例中,建立模块用于使用所述初始贝叶斯网络模型和初始概率时间自动机模型对所述测试运行参数进行处理,确定所述关键设施中的传感器和执行器的对应关系以及所述传感器的测试运行数据中的覆盖部分以及非覆盖部分;根据所述关键设施中的传感器和执行器的对应关系以及所述传感器的测试运行数据中的覆盖部分以及非覆盖部分,修正所述初始贝叶斯网络模型和初始概率时间自动机模型,得到训练后的贝叶斯网络模型和概率时间自动机模型。
在一种实施例中,工业控制系统攻击检测装置还包括处理模块,处理模块用于对所述关键设施的运行参数中的初始时间序列数据进行时间压缩,得到压缩后的压缩时间序列数据;对所述压缩时间序列数据进行信号分割,得到分割时间序列数据以及对应的时间序列点;将所述分割时间序列数据与所述执行器和传感器进行时间对齐,得到时间对齐数据,并根据所述时间序列点得到定时字符串。
在一种实施例中,处理模块用于解析压缩时间序列数据确定对应的运行周期;根据所述运行周期对所述压缩时间序列数据进行信号分割,得到分割时间序列数据以及对应的时间序列点。
在一种实施例中,处理模块用于解析所述压缩时间序列数据,判断所述压缩时间序列数据是否存在运行周期;在所述压缩时间序列数据不存在运行周期时,获取阈值;根据所述阈值以及所述压缩时间序列数据,对所述压缩时间序列数据进行信号分割,得到分割时间序列数据以及对应的时间序列点。
在一种实施例中,处理模块用于根据所述时间序列点,对所述执行器和传感器与所述分割时间序列数据进行时间对齐,得到时间对齐数据;根据所述时间对齐数据以及所述时间序列点,确定定时字符串。
在一种实施例中,第二确定模块304用于根据所述关键设施的运行参数,确定所述时间对齐数据以及所述定时字符串;根据所述时间对齐数据以及所述贝叶斯网络模型,确定所述关键设施中的传感器和执行器的对应关系;根据所述定时字符串以及所述概率时间自动机模型,确定所述传感器的运行数据。
相应的,本申请实施例还提供一种服务器,如图4所示,该服务器可以包括射频(RF,Radio Frequency)电路401、包括有一个或一个以上计算机可读存储介质的存储器402、输入单元403、显示单元404、传感器405、音频电路406、无线保真(WiFi,WirelessFidelity)模块407、包括有一个或者一个以上处理核心的处理器408、以及电源409等部件。本领域技术人员可以理解,图4中示出的服务器结构并不构成对服务器的限定,可以包括比图示更多或更少的部件,或者组合某些部分,或者不同的部件布置。其中:RF电路401可用于收发信息或通话过程中,信号的接收和发送,特别地,将基站的下行信息接收后,交由一个或者一个以上处理器408处理;另外,将涉及上行的数据发送给基站。存储器402可用于存储软件程序以及模块,处理器408通过运行存储在存储器402的软件程序以及模块,从而执行各种功能应用以及数据处理。输入单元403可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。
显示单元404可用于显示由用户输入的信息或提供给用户的信息以及服务器的各种图形用户接口,这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。
服务器还可包括至少一种传感器405,比如光传感器、运动传感器以及其他传感器。音频电路406包括扬声器,扬声器可提供用户与服务器之间的音频接口。
WiFi属于短距离无线传输技术,服务器通过WiFi模块407可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问;虽然图4示出了WiFi模块407,但是可以理解的是,其并不属于服务器的必须构成,完全可以根据需要在不改变申请的本质的范围内而省略。
处理器408是服务器的控制中心,利用各种接口和线路连接整个手机的各个部分,通过运行或执行存储在存储器402内的软件程序和/或模块,以及调用存储在存储器402内的数据,执行服务器的各种功能和处理数据,从而对手机进行整体监控。
服务器还包括给各个部件供电的电源409(比如电池),优选的,电源可以通过电源管理系统与处理器408逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
尽管未示出,服务器还可以包括摄像头、蓝牙模块等,在此不再赘述。具体在本实施例中,服务器中的处理器408会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器402中,并由处理器408来运行存储在存储器402中的应用程序,从而实现以下功能:接收工业控制系统发送的攻击检测请求;解析所述攻击检测请求,确定所述工业控制系统对应的目标控制系统以及所述目标控制系统中的关键设施,并获取所述关键设施的运行参数;根据所述目标控制系统的信息,确定对应的贝叶斯网络模型和概率时间自动机模型;根据所述贝叶斯网络模型、所述概率时间自动机模型以及所述关键设施的运行参数,确定所述关键设施中的传感器和执行器的对应关系以及所述传感器的运行数据;根据所述关键设施中的传感器和执行器的对应关系、所述传感器的运行数据以及预设数据,确定所述工业控制系统的运行状态。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见上文的详细描述,此处不再赘述。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。
为此,本申请实施例提供一种存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以实现以下功能:接收工业控制系统发送的攻击检测请求;解析所述攻击检测请求,确定所述工业控制系统对应的目标控制系统以及所述目标控制系统中的关键设施,并获取所述关键设施的运行参数;根据所述目标控制系统的信息,确定对应的贝叶斯网络模型和概率时间自动机模型;根据所述贝叶斯网络模型、所述概率时间自动机模型以及所述关键设施的运行参数,确定所述关键设施中的传感器和执行器的对应关系以及所述传感器的运行数据;根据所述关键设施中的传感器和执行器的对应关系、所述传感器的运行数据以及预设数据,确定所述工业控制系统的运行状态。
其中,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该存储介质中所存储的指令,可以执行本申请实施例所提供的任一种方法中的步骤,因此,可以实现本申请实施例所提供的任一种方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
以上对本申请实施例所提供的一种工业控制系统攻击检测方法及装置、服务器和计算机可读存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的技术方案及其核心思想;本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例的技术方案的范围。
Claims (10)
1.一种工业控制系统攻击检测方法,其特征在于,包括:接收工业控制系统发送的攻击检测请求;解析所述攻击检测请求,确定所述工业控制系统对应的目标控制系统以及所述目标控制系统中的关键设施,并获取所述关键设施的运行参数;根据所述目标控制系统的信息,确定对应的贝叶斯网络模型和概率时间自动机模型;根据所述贝叶斯网络模型、所述概率时间自动机模型以及所述关键设施的运行参数,确定所述关键设施中的传感器和执行器的对应关系以及所述传感器的运行数据;根据所述关键设施中的传感器和执行器的对应关系、所述传感器的运行数据以及预设数据,确定所述工业控制系统的运行状态。
2.如权利要求1所述的工业控制系统攻击检测方法,其特征在于,所述解析所述攻击检测请求,确定所述工业控制系统对应的目标控制系统以及所述目标控制系统中的关键设施,并获取所述关键设施的运行参数的步骤,包括:解析所述攻击检测请求,确定所述工业控制系统中的系统信息;根据所述系统信息以及预设系统参数,确定所述系统信息对应的目标控制系统;解析所述目标控制系统,确定所述目标控制系统的关键设施,并获取所述关键设施的运行参数。
3.如权利要求1所述的工业控制系统攻击检测方法,其特征在于,在所述根据所述目标控制系统的信息,确定对应的贝叶斯网络模型和概率时间自动机模型的步骤之前,还包括:建立初始贝叶斯网络模型和初始概率时间自动机模型;获取所述关键设施的测试运行参数、所述关键设施中的传感器和执行器的对应关系以及所述传感器的测试运行数据;根据所述测试运行参数、所述关键设施中的传感器和执行器的对应关系以及所述传感器的测试运行数据,对所述初始贝叶斯网络模型和初始概率时间自动机模型进行训练,得到训练后的贝叶斯网络模型和初始概率时间自动机模型。
4.如权利要求3所述的工业控制系统攻击检测方法,其特征在于,所述根据所述测试运行参数、所述关键设施中的传感器和执行器的对应关系以及所述传感器的测试运行数据,对所述初始贝叶斯网络模型和初始概率时间自动机模型进行训练,得到训练后的贝叶斯网络模型和初始概率时间自动机模型的步骤,包括:使用所述初始贝叶斯网络模型和初始概率时间自动机模型对所述测试运行参数进行处理,确定所述关键设施中的传感器和执行器的对应关系以及所述传感器的测试运行数据中的覆盖部分以及非覆盖部分;根据所述关键设施中的传感器和执行器的对应关系以及所述传感器的测试运行数据中的覆盖部分以及非覆盖部分,修正所述初始贝叶斯网络模型和初始概率时间自动机模型,得到训练后的贝叶斯网络模型和概率时间自动机模型。
5.如权利要求1所述的工业控制系统攻击检测方法,其特征在于,在根据所述贝叶斯网络模型、所述概率时间自动机模型以及所述关键设施的运行参数,确定所述关键设施中的传感器和执行器的对应关系以及所述传感器的运行数据的步骤之前,还包括:对所述关键设施的运行参数中的初始时间序列数据进行时间压缩,得到压缩后的压缩时间序列数据;对所述压缩时间序列数据进行信号分割,得到分割时间序列数据以及对应的时间序列点;将所述分割时间序列数据与所述执行器和传感器进行时间对齐,得到时间对齐数据,并根据所述时间序列点得到定时字符串。
6.如权利要求5所述的工业控制系统攻击检测方法,其特征在于,所述对所述压缩时间序列数据进行信号分割,得到分割时间序列数据以及对应的时间序列点的步骤,包括:解析压缩时间序列数据确定对应的运行周期;根据所述运行周期对所述压缩时间序列数据进行信号分割,得到分割时间序列数据以及对应的时间序列点。
7.如权利要求6所述的工业控制系统攻击检测方法,其特征在于,所述对所述压缩时间序列数据进行信号分割,得到分割时间序列数据以及对应的时间序列点的步骤,还包括:解析所述压缩时间序列数据,判断所述压缩时间序列数据是否存在运行周期;在所述压缩时间序列数据不存在运行周期时,获取阈值;根据所述阈值以及所述压缩时间序列数据,对所述压缩时间序列数据进行信号分割,得到分割时间序列数据以及对应的时间序列点。
8.如权利要求6所述的工业控制系统攻击检测方法,其特征在于,所述将所述分割时间序列数据与所述执行器和传感器进行时间对齐,得到时间对齐数据,并根据所述时间序列点得到定时字符串的步骤,包括:根据所述时间序列点,对所述执行器和传感器与所述分割时间序列数据进行时间对齐,得到时间对齐数据;根据所述时间对齐数据以及所述时间序列点,确定定时字符串。
9.如权利要求5所述的工业控制系统攻击检测方法,其特征在于,所述根据所述贝叶斯网络模型、所述概率时间自动机模型以及所述关键设施的运行参数,确定所述关键设施中的传感器和执行器的对应关系以及所述传感器的运行数据的步骤,包括:根据所述关键设施的运行参数,确定所述时间对齐数据以及所述定时字符串;根据所述时间对齐数据以及所述贝叶斯网络模型,确定所述关键设施中的传感器和执行器的对应关系;根据所述定时字符串以及所述概率时间自动机模型,确定所述传感器的运行数据。
10.一种工业控制系统攻击检测装置,其特征在于,包括:接收模块,用于接收工业控制系统发送的攻击检测请求; 解析模块,用于解析所述攻击检测请求,确定所述工业控制系统对应的目标控制系统以及所述目标控制系统中的关键设施,并获取所述关键设施的运行参数;
第一确定模块,用于根据所述目标控制系统的信息,确定对应的贝叶斯网络模型和概率时间自动机模型;第二确定模块,用于根据所述贝叶斯网络模型、所述概率时间自动机模型以及所述关键设施的运行参数,确定所述关键设施中的传感器和执行器的对应关系以及所述传感器的运行数据;第三确定模块,用于根据所述关键设施中的传感器和执行器的对应关系、所述传感器的运行数据以及预设数据,确定所述工业控制系统的运行状态。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111552929.1A CN114237180B (zh) | 2021-12-17 | 2021-12-17 | 一种工业控制系统攻击检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111552929.1A CN114237180B (zh) | 2021-12-17 | 2021-12-17 | 一种工业控制系统攻击检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114237180A true CN114237180A (zh) | 2022-03-25 |
| CN114237180B CN114237180B (zh) | 2023-10-13 |
Family
ID=80758080
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111552929.1A Active CN114237180B (zh) | 2021-12-17 | 2021-12-17 | 一种工业控制系统攻击检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114237180B (zh) |
Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104238501A (zh) * | 2014-08-22 | 2014-12-24 | 中国石油天然气股份有限公司 | 一种炼化系统的告警数据处理方法及装置 |
| CN104702598A (zh) * | 2015-02-16 | 2015-06-10 | 南京邮电大学 | 一种智能电网分布式网络协议安全性检测方法 |
| CN105847291A (zh) * | 2016-05-13 | 2016-08-10 | 内蒙古工业大学 | 计算机网络防御决策系统 |
| US20170195345A1 (en) * | 2015-12-30 | 2017-07-06 | Verisign, Inc. | Detection, prevention, and/or mitigation of dos attacks in publish/subscribe infrastructure |
| US20180247220A1 (en) * | 2017-02-28 | 2018-08-30 | International Business Machines Corporation | Detecting data anomalies |
| CN109768952A (zh) * | 2018-10-29 | 2019-05-17 | 四川大学 | 一种基于可信模型的工控网络异常行为检测方法 |
| CN110035405A (zh) * | 2019-04-18 | 2019-07-19 | 电子科技大学 | 一种基于随机集理论的多传感器分布式高效融合方法 |
| CN110191081A (zh) * | 2018-02-22 | 2019-08-30 | 上海交通大学 | 基于学习自动机的网络流量攻击检测的特征筛选系统及方法 |
| CN110769003A (zh) * | 2019-11-05 | 2020-02-07 | 杭州安恒信息技术股份有限公司 | 一种网络安全预警的方法、系统、设备及可读存储介质 |
| AU2020102142A4 (en) * | 2020-09-04 | 2020-10-15 | Acharya, Biswaranjan MR | Technique for multilayer protection from quantifiable vulnerabilities in industrial cyber physical system |
| CN111800389A (zh) * | 2020-06-09 | 2020-10-20 | 同济大学 | 基于贝叶斯网络的港口网络入侵检测方法 |
| CN112050782A (zh) * | 2020-08-31 | 2020-12-08 | 浙江大学 | 一种基于功率的工业机械臂异常运动在线检测方法 |
| CN112198857A (zh) * | 2020-12-08 | 2021-01-08 | 浙江中自庆安新能源技术有限公司 | 一种基于监测数据的工业设备控制优化方法及系统 |
| CN112653582A (zh) * | 2020-12-21 | 2021-04-13 | 上海交通大学 | 基于贝叶斯攻击图的半被动工控网络安全分析工具及方法 |
| CN112800600A (zh) * | 2021-01-18 | 2021-05-14 | 浙江工业大学 | 一种基于多尺度样本熵和贝叶斯网络的隐蔽性攻击检测方法 |
| CN112800614A (zh) * | 2021-02-05 | 2021-05-14 | 北京工业大学 | 基于概率时间自动机应用于智能工厂流程的设计方法 |
| CN112904817A (zh) * | 2021-01-19 | 2021-06-04 | 哈尔滨工业大学(威海) | 一种面向智能制造生产线的全局安全检测系统及其工作方法 |
-
2021
- 2021-12-17 CN CN202111552929.1A patent/CN114237180B/zh active Active
Patent Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104238501A (zh) * | 2014-08-22 | 2014-12-24 | 中国石油天然气股份有限公司 | 一种炼化系统的告警数据处理方法及装置 |
| CN104702598A (zh) * | 2015-02-16 | 2015-06-10 | 南京邮电大学 | 一种智能电网分布式网络协议安全性检测方法 |
| US20170195345A1 (en) * | 2015-12-30 | 2017-07-06 | Verisign, Inc. | Detection, prevention, and/or mitigation of dos attacks in publish/subscribe infrastructure |
| CN105847291A (zh) * | 2016-05-13 | 2016-08-10 | 内蒙古工业大学 | 计算机网络防御决策系统 |
| US20180247220A1 (en) * | 2017-02-28 | 2018-08-30 | International Business Machines Corporation | Detecting data anomalies |
| CN110191081A (zh) * | 2018-02-22 | 2019-08-30 | 上海交通大学 | 基于学习自动机的网络流量攻击检测的特征筛选系统及方法 |
| CN109768952A (zh) * | 2018-10-29 | 2019-05-17 | 四川大学 | 一种基于可信模型的工控网络异常行为检测方法 |
| CN110035405A (zh) * | 2019-04-18 | 2019-07-19 | 电子科技大学 | 一种基于随机集理论的多传感器分布式高效融合方法 |
| CN110769003A (zh) * | 2019-11-05 | 2020-02-07 | 杭州安恒信息技术股份有限公司 | 一种网络安全预警的方法、系统、设备及可读存储介质 |
| CN111800389A (zh) * | 2020-06-09 | 2020-10-20 | 同济大学 | 基于贝叶斯网络的港口网络入侵检测方法 |
| CN112050782A (zh) * | 2020-08-31 | 2020-12-08 | 浙江大学 | 一种基于功率的工业机械臂异常运动在线检测方法 |
| AU2020102142A4 (en) * | 2020-09-04 | 2020-10-15 | Acharya, Biswaranjan MR | Technique for multilayer protection from quantifiable vulnerabilities in industrial cyber physical system |
| CN112198857A (zh) * | 2020-12-08 | 2021-01-08 | 浙江中自庆安新能源技术有限公司 | 一种基于监测数据的工业设备控制优化方法及系统 |
| CN112653582A (zh) * | 2020-12-21 | 2021-04-13 | 上海交通大学 | 基于贝叶斯攻击图的半被动工控网络安全分析工具及方法 |
| CN112800600A (zh) * | 2021-01-18 | 2021-05-14 | 浙江工业大学 | 一种基于多尺度样本熵和贝叶斯网络的隐蔽性攻击检测方法 |
| CN112904817A (zh) * | 2021-01-19 | 2021-06-04 | 哈尔滨工业大学(威海) | 一种面向智能制造生产线的全局安全检测系统及其工作方法 |
| CN112800614A (zh) * | 2021-02-05 | 2021-05-14 | 北京工业大学 | 基于概率时间自动机应用于智能工厂流程的设计方法 |
Non-Patent Citations (4)
| Title |
|---|
| MAXIME AUDINOT等: "Guided Design of Attack Trees: A System-Based Approach", 《2018 IEEE 31ST COMPUTER SECURITY FOUNDATIONS SYMPOSIUM (CSF)》, pages 61 - 75 * |
| 吕宗平: "基于时间自动机的工业控制系统网络安全风险分析", 《信息网络安全》, no. 11, pages 71 - 81 * |
| 张立芳等: "电力二次系统安全防护策略分析", 《机电信息》, no. 11, pages 117 - 119 * |
| 郑荣锋等: "基于时间自动机的工控网络流量异常检测", 《2020中国自动化大会(CAC2020)论文集》, pages 24 - 29 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114237180B (zh) | 2023-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Zhao et al. | SeqFuzzer: An industrial protocol fuzzing framework from a deep learning perspective | |
| CN107294808B (zh) | 接口测试的方法、装置和系统 | |
| CN112866185B (zh) | 网络流量监控设备和异常流量检测方法 | |
| US20190260778A1 (en) | Unsupervised spoofing detection from traffic data in mobile networks | |
| CN106776243B (zh) | 一种针对监控软件的监控方法及装置 | |
| CN111431819A (zh) | 一种基于序列化的协议流特征的网络流量分类方法和装置 | |
| CN107168844B (zh) | 一种性能监控的方法及装置 | |
| CN112463432A (zh) | 基于指标数据的巡检方法、装置及系统 | |
| CN115396324A (zh) | 一种网络安全态势感知预警处理系统 | |
| CN114113984A (zh) | 基于混沌工程的故障演练方法、装置、终端设备及介质 | |
| CN114237180B (zh) | 一种工业控制系统攻击检测方法及装置 | |
| CN111431872B (zh) | 一种基于tcp/ip协议特征的两阶段物联网设备识别方法 | |
| CN112291213A (zh) | 一种基于智能终端的异常流量分析方法及装置 | |
| CN109040075B (zh) | 无线移动传感器网络中节点的管理方法、服务器和系统 | |
| CN115859305A (zh) | 一种基于知识图谱的工控安全态势感知方法及系统 | |
| CN114666282B (zh) | 一种基于机器学习的5g流量识别方法及装置 | |
| CN114647531A (zh) | 故障解决方法、故障解决系统、电子设备及存储介质 | |
| CN114330363A (zh) | 一种基于漏洞语义智能解析的工控协议漏洞挖掘方法 | |
| CN112362164A (zh) | 一种设备的温度监控方法、装置、电子设备及存储介质 | |
| CN112711508A (zh) | 面向大规模客户端系统的智能运维服务系统 | |
| CN117499129B (zh) | 应用于入侵检测系统的规则同步方法、装置和存储介质 | |
| CN117041018B (zh) | 一种数据中心远程智能运维管理方法及相关设备 | |
| CN103607733A (zh) | 一种检测无线接入过程失败原因的方法、装置及系统 | |
| CN116016265B (zh) | 消息全链路监控方法、装置、系统、设备和存储介质 | |
| CN112685246B (zh) | 一种时序数据的处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |