CN115021956A - 一种基于云边协同的多维时间序列异常检测方法及系统 - Google Patents
一种基于云边协同的多维时间序列异常检测方法及系统 Download PDFInfo
- Publication number
- CN115021956A CN115021956A CN202210416032.4A CN202210416032A CN115021956A CN 115021956 A CN115021956 A CN 115021956A CN 202210416032 A CN202210416032 A CN 202210416032A CN 115021956 A CN115021956 A CN 115021956A
- Authority
- CN
- China
- Prior art keywords
- data
- industrial control
- edge
- cloud
- layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 52
- 238000001228 spectrum Methods 0.000 claims abstract description 11
- 238000012549 training Methods 0.000 claims abstract description 10
- 238000004364 calculation method Methods 0.000 claims abstract description 6
- 230000002159 abnormal effect Effects 0.000 claims abstract description 4
- 238000000034 method Methods 0.000 claims description 15
- 230000005856 abnormality Effects 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 10
- 239000000284 extract Substances 0.000 claims description 9
- 230000003595 spectral effect Effects 0.000 claims description 8
- 238000010606 normalization Methods 0.000 claims description 7
- 238000004891 communication Methods 0.000 claims description 3
- 238000012217 deletion Methods 0.000 claims description 2
- 230000037430 deletion Effects 0.000 claims description 2
- 239000010410 layer Substances 0.000 abstract 2
- 230000006855 networking Effects 0.000 abstract 1
- 238000003672 processing method Methods 0.000 abstract 1
- 239000011241 protective layer Substances 0.000 abstract 1
- 238000013528 artificial neural network Methods 0.000 description 6
- 239000011159 matrix material Substances 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000007547 defect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 125000000205 L-threonino group Chemical group [H]OC(=O)[C@@]([H])(N([H])[*])[C@](C([H])([H])[H])([H])O[H] 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000004807 localization Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000000513 principal component analysis Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
本发明涉及智能网联工控系统安全协同防护领域,尤其涉及一种基于云边协同的多维时间序列异常检测方法及系统。该系统包括:采集传感器和执行器数据的工控数据采集防护层;进行模型部署、进行ICS实时数据的异常检测并将结果和策略下发至工控系统的边缘计算层;对多维时间序列异常检测模型进行训练更新并将模型下发至边端的云计算层;去除时序信号规律性的谱残差数据处理方法;提取状态特征、控制特征、时间特征的s‑net、u‑net、t‑net网络;对t时刻预测和解码的p‑net和d‑net网络;实现异常判断和定位的马氏距离计算方法。本发明提出的云边协同工控异常检测方法相较于传统模型,可以有效解决边端计算资源有限等问题,同时具有更高的鲁棒性和异常检测精度。
Description
技术领域
本发明涉及工控系统异常检测领域,尤其涉及一种基于云边协同的多维时间序列异常检测方法及系统。
背景技术
随着万物互联的发展,工控系统网络安全问题已经成为一个关系到国家政治、经济、国防等多方面的重要问题。异常检测技术是工控系统中重要的网络安全检测技术,该技术提供了对工控系统内部非法操作和外部恶意攻击的实时保护,从而能够实现在系统受到各种危害之前进行报警和阻断响应。最近几年,工控系统的漏洞越来越多,工控系统面临的安全威胁越来越严重,异常检测技术受到越来越多人的高度重视。
目前,用户对网络异常检测提出了更高的要求:既不能漏掉重要的攻击事件,也不能出现大量纷繁复杂的报警;既不能增加管理员监控负担,也不能降低重要资产的准确报警和响应能力。而受工控系统场景复杂、工控系统开源数据集较少等因素影响,当前的异常检测方法大多存在攻击检测率低、误报率高、不能对异常设备进行精确定位、复杂模型在边端难以部署等问题。所以迫切需要速度更快、功能更好、性能更强的异常检测系统以适应在高速环境下各种应用安全的需要。
鉴于上述现有技术存在的缺陷,我们发明了一种基于云边协同的多维时间序列异常检测方法及系统,该系统布置简单,操作方便,异常检测效果明显。一方面,本系统是由边缘计算层将数据上传至云计算层,由云计算层对异常检测模型进行训练和更新,然后下发至边端部署,在边端进行推理和检测,这种云边协同方式可以有效解决边端计算资源不足等问题;另一方面,和当前的一些异常检测方法相比,我们提出的基于多维特征的工控异常检测模型精确率高、误报率低,能够有效识别出工控系统中的异常信息,为工控系统安全防护提供了支撑。
发明内容
本发明的目的在于克服现有技术的不足,适应现实需要,提供一种基于云边协同的多维时间序列异常检测方法及系统,通过云计算层和边缘计算层的协同,在边端实现异常检测模型的部署和推理,所部署的基于多维特征的工控异常检测模型能够对工控系统的攻击事件进行精准检测,从而对工控系统面临的威胁进行协同防护和快速响应。
为了实现本发明的目的,本发明采用的技术方案为:一种基于云边协同的多维时间序列异常检测方法及系统,包括云计算层、边缘计算层、工控数据采集及防护层、基于多维特征的工控异常检测模型,其特征在于:所述工控数据采集及防护层负责采集工控系统中传感器及工控设备上执行器的数据,把数据传输到边缘计算层;所述边缘计算层将ICS历史数据上传到云计算层;所述云计算层将采集到的工控数据存储数据库,对多维时间序列异常检测模型进行训练更新,并将模型下发至边缘计算层;所述边缘计算层部署模型后,对ICS实时数据进行异常检测,并将检测结果和生成策略下发至工控系统;所述基于多维特征的工控异常检测模型先对传感器数据进行谱残差(Spectral Residual)和min-max归一化处理、对执行器数据进行one-hot编码,再针对传感器数据提取状态特征和时间特征、针对执行器数据提取控制特征,然后对下一时刻的数据进行预测,最后采用考虑特征之间相关性的马氏距离来衡量预测值和实际值之间的误差,选择合适的误差阈值,判断异常,并根据马氏距离中各个维度的特征所占比重进行异常定位。
所述工控数据采集及防护层通过SCADA系统向PLC发送命令,PLC控制现场设备,执行器将电信号转化为物理信号控制现场设备运行,传感器将物理信号转化为电信号来反映当前设备的状态,所述工控数据采集及防护层将采集到的传感器数据和执行器数据传输到边缘计算层。
所述边缘计算层设置有ICS数据采集终端,所述ICS数据采集终端记录汇总由工控数据采集及防护层传输来的数据,并用socket网络通讯建立云计算层和边缘计算层的连接,然后把ICS历史数据上传至云计算层。
所述云计算层设置有云端数据库,将边缘计算层传输来的ICS历史数据进行存储;所述云计算层设置有计算卡,根据ICS历史数据进行模型训练更新,在完成模型训练后,把模型下发到边缘计算层,然后断开socket连接。
所述边缘计算层设置有CPU进行模型推理,模型部署后,对ICS实时数据进行异常检测,并将检测结果和生成策略下发至工控系统。
所述基于多维特征的工控异常检测模型在读取数据后,先对带有缺失值的无效数据进行数据插值或者删除处理,对传感器数据进行谱残差(Spectral Residual)处理,提取出偏差,然后进行min-max归一化处理,再对执行器数据进行one-hot编码。
所述基于多维特征的工控异常检测模型通过s-net和t-net网络提取出传感器数据的状态特征和时间特征,通过u-net网络提取出执行器数据的控制特征,通过p-net和d-net网络对t时刻的状态进行预测和解码。
所述基于多维特征的工控异常检测模型采用考虑特征之间相关性的马氏距离来衡量预测值和实际值之间的误差,通过选择合适的误差阈值,判断异常,并根据马氏距离中各个维度的特征所占比重进行异常定位。
本发明的有益效果在于:
(1)将工控系统数据传输到云端,在云端进行模型训练,将训练好的模型下发部署到边端,在边端进行推理。解决了边端计算资源有限,计算能力不足等问题;
(2)针对现有的工控异常检测的模型对单设备攻击不能精确定位、对多设备的攻击检测能力不足等问题,结合工控系统的特征,研究设计了一种基于多维特征的工控异常检测模型,精确率高、误报率低,能够有效检测攻击事件,为工控系统的安全防护提供了科学支撑。
附图说明
下面结合附图和实施案例对本发明做进一步的说明。
图1为本发明的云边协同系统架构图;
图2为本发明的模型网络结构图;
图3为本发明的模型工作流程图。
具体实施方式
下面结合附图和实施例对本发明进一步说明:
参见图1、图2、图3。
具体实施方式一:结合图2、图3说明本实施方式,本实施方式具体为一种基于多维特征的工控异常检测模型,所述模型包括如下步骤:
步骤一:数据预处理
(1)利用谱残差提取信号偏差
谱残差的方法是首先通过傅里叶变换,把图像从空间域转换到频率域,得到log频谱,然后对log频谱进行滤波,相减,得到频谱残差,最后进行傅里叶逆变换,将序列变换回空间域。在谱残差实验结果中,带噪声的信号经过谱残差方法处理后的曲线和噪声自身的曲线很相似,这表明谱残差的方法能够去除时序信号的规律性,提取出信号的偏差。而工控系统往往具有固定的工作模式,固定的工作模式导致工控系统的数据具有一定的规律性,而异常则会导致工控数据偏离正常的周期变换规律,所以谱残差的方法适合于工控数据的预处理。
(2)归一化
为了加速神经网络的训练,提高模型的收敛速度,需要对工控数据进行归一化。我们采用min-max归一化。
其中,X表示多维时序数据,Xj表示X的第j个维度,min(Xj)和max(Xj)分别表示最小值和最大值。
(3)工控数据处理
工控系统数据主要包括传感器数据和执行器数据,传感器数据通常是一些连续数据,反映底层物理设备工作状态,执行器数据通常是一些离散数据,代表当前系统对物理设备的控制命令。我们对传感器数据进行谱残差处理,然后进行min-max归一化,对执行器数据进行one-hot编码。
步骤二:建立基于多维时间序列的工控异常检测模型
传统的工控系统的工作过程一般是SCADA系统向PLC发送命令,PLC控制现场设备,通过执行器将电信号转化为物理信号控制现场设备运行,通过传感器将物理信号转化为电信号来反映当前设备的状态。当前现场物理设备的状态由物理设备上一时刻的状态和执行器的发送的控制命令决定,而传感器可以衡量物理设备的工作状态。该模型对工控系统的状态空间进行建模。将工控系统数据分为传感器数据和执行器数据,对传感器数据来提取状态特征和时间特征,对执行器数据来提取控制特征。然后,根据当前时刻的状态特征,再加上时间特征和控制特征的影响,转换到下一时刻的状态。接着,由下一时刻的状态通过解码,得到下一时刻的传感器的观测值,最后根据误差判断该时刻是否发生异常。
(1)提取状态特征
传感器可以衡量物理设备的状态,通过对传感器数据构建网络s_net,可以提取出系统的状态特征。
zt-1=s_net(xt-1)
其中,xt-1表示在t-1时刻的传感器数据,zt-1表示在t-1时刻的系统的状态特征,s_net是一个前馈神经网络。
(2)提取时间特征
工控系统传感器数据具有时序特征,并且系统的当前时刻的状态受最近时刻状态的影响,所以选择一个合适的时间步长l,对传感器数据进行划分,从t-l到t-1的时间内提出时间特征。
ht-1=t_net(xt-l:t-1)
其中,ht-1表示t-1在时刻的时间特征,表示从t-l到t-1时间内的传感器滑动窗口数据,t_net是一个长短期神经网络。
(3)提取控制特征
物理设备受执行器的控制命令的影响,所以控制命令影响系统的状态,通过执行器数据进行编码,提取一些控制特征。
ct-1=u_net(ut-1)
其中,ut-1表示在t-1时刻的执行器数据,ct-1表示在t-1时刻的系统的控制特征,u_net是一个前馈神经网络。
(4)状态转化
状态特征、时间特征和控制特征是不同维度的特征表示,上一时刻的状态,在时间特征和控制特征的作用下可以转移到当前时刻的状态。
zt=p_net([zt-1,ht-1,ct-1])
其中,zt表示在t时刻的系统的状态特征,p_net是一个前馈神经网络。
(5)预测
由系统当前时刻的状态,通过解码网络d_net,可以预测得当前时刻传感器观测值。
其中,
表示在t时刻的系统的传感器预测值,d_net是一个前馈神经网络。
(6)利用马氏距离计算偏差
工控系统数据是多维时间序列数据,用欧式距离计算预测值和实际值的偏差,则需要工控数据各个属性独立同分布,但实际上,它们的属性是部分相关的。或者可以提前进行主成分分析但这需要自己选择主成分,且不利于异常定位。我们根据数据的分布,利用马氏距离计算预测值和实际值的偏差。
工控系统数据具有海量的特征,正常的历史数据可以代表数据的分布,从正常数据集中计算得到数据的协方差矩阵。
∑=cov(x)
即:
其中,x表示传感器正常历史数据集,cov表示计算协方差的函数,∑表示数据各个传感器属性的协方差矩阵,矩阵中的第(i,j)个元素是xi与xj的协方差。
然后,我们考虑数据各个属性之间的相关性,采用马氏距离,来计算预测值和实际值的偏差,即马氏距离得分。
其中,∑-1表示协方差矩阵∑的逆,xt表示在t时刻传感器的实际值,scoret表示在t时刻的马氏距离得分。
(7)设置阈值判断异常
最后,模型在训练集上学习正常的工作模式,在测试集进行验证,调整选择合适的阈值判断异常。
其中,thres表示马氏距离得分是正常值的最大值,At表示在t时刻是否异常,1表示异常,0表示正常。
具体实施方式二:结合图1说明本实施方式,本实施方式具体为一种云边协同工控异常检测系统,所述系统包括如下步骤:
步骤一:工控数据采集及防护层通过SCADA系统向PLC发送命令,PLC控制现场设备,执行器将电信号转化为物理信号控制现场设备运行,传感器将物理信号转化为电信号来反映当前设备的状态,工控数据采集及防护层将采集到的传感器数据和执行器数据传输到边缘计算层。
步骤二:边缘计算层设置有ICS数据采集终端,ICS数据采集终端记录汇总由工控数据采集及防护层传输来的数据,并用socket网络通讯建立云计算层和边缘计算层的连接,然后把ICS历史数据上传至云计算层。
步骤三:云计算层设置有云端数据库,将边缘计算层传输来的ICS历史数据进行存储;云计算层设置有计算卡,根据ICS历史数据进行模型训练更新,在完成模型训练后,把模型下发到边缘计算层,然后断开socket连接。
步骤四:边缘计算层设置有CPU进行模型推理,模型部署后,对ICS实时数据进行异常检测,并将检测结果和生成策略下发至工控系统。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等同变换或直接或间接运用在相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (8)
1.一种基于云边协同的多维时间序列异常检测方法及系统,包括云计算层、边缘计算层、工控数据采集及防护层、基于多维特征的工控异常检测模型,其特征在于:所述工控数据采集及防护层负责采集工控系统中传感器及工控设备上执行器的数据,把数据传输到边缘计算层;所述边缘计算层将ICS历史数据上传到云计算层;所述云计算层将采集到的工控数据存储数据库,对多维时间序列异常检测模型进行训练更新,并将模型下发至边缘计算层;所述边缘计算层部署模型后,对ICS实时数据进行异常检测,并将检测结果和生成策略下发至工控系统;所述基于多维特征的工控异常检测模型首先对传感器数据进行谱残差(Spectral Residual)和min-max归一化处理、对执行器数据进行one-hot编码,再针对传感器数据提取状态特征和时间特征、针对执行器数据提取控制特征,然后对下一时刻的数据进行预测,最后采用考虑特征之间相关性的马氏距离来衡量预测值和实际值之间的误差,选择合适的误差阈值,判断异常,并根据马氏距离中各个维度的特征所占比重进行异常定位。
2.根据权利要求1所述的一种基于云边协同的多维时间序列异常检测方法及系统,其特征在于:所述工控数据采集及防护层通过SCADA系统向PLC发送命令,PLC控制现场设备,执行器将电信号转化为物理信号控制现场设备运行,传感器将物理信号转化为电信号来反映当前设备的状态,所述工控数据采集及防护层将采集到的传感器数据和执行器数据传输到边缘计算层。
3.根据权利要求1所述的一种基于云边协同的多维时间序列异常检测方法及系统,其特征在于:所述边缘计算层设置有ICS数据采集终端,所述ICS数据采集终端记录汇总由工控数据采集及防护层传输来的数据,并用socket网络通讯建立云计算层和边缘计算层的连接,然后把ICS历史数据上传至云计算层。
4.根据权利要求1所述的一种基于云边协同的多维时间序列异常检测方法及系统,其特征在于:所述云计算层设置有云端数据库,将边缘计算层传输来的ICS历史数据进行存储;所述云计算层设置有计算卡,根据ICS历史数据进行模型训练更新,在完成模型训练后,把模型下发到边缘计算层,然后断开socket连接。
5.根据权利要求1所述的一种基于云边协同的多维时间序列异常检测方法及系统,其特征在于:所述边缘计算层设置有CPU进行模型推理,模型部署后,对ICS实时数据进行异常检测,并将检测结果和生成策略下发至工控系统。
6.根据权利要求1所述的一种基于云边协同的多维时间序列异常检测方法及系统,其特征在于:所述基于多维特征的工控异常检测模型在读取数据后,先对带有缺失值的无效数据进行数据插值或者删除处理,对传感器数据进行谱残差(Spectral Residual)处理,提取出偏差,然后进行min-max归一化处理,再对执行器数据进行one-hot编码。
7.根据权利要求1所述的一种基于云边协同的多维时间序列异常检测方法及系统,其特征在于:所述基于多维特征的工控异常检测模型通过s-net和t-net网络提取出传感器数据的状态特征和时间特征,通过u-net网络提取出执行器数据的控制特征,通过p-net和d-net网络对t时刻的状态进行预测和解码。
8.根据权利要求1所述的一种基于云边协同的多维时间序列异常检测方法及系统,其特征在于:所述基于多维特征的工控异常检测模型采用考虑特征之间相关性的马氏距离来衡量预测值和实际值之间的误差,通过选择合适的误差阈值,判断异常,并根据马氏距离中各个维度的特征所占比重进行异常定位。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210416032.4A CN115021956A (zh) | 2022-04-20 | 2022-04-20 | 一种基于云边协同的多维时间序列异常检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210416032.4A CN115021956A (zh) | 2022-04-20 | 2022-04-20 | 一种基于云边协同的多维时间序列异常检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115021956A true CN115021956A (zh) | 2022-09-06 |
Family
ID=83068008
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210416032.4A Pending CN115021956A (zh) | 2022-04-20 | 2022-04-20 | 一种基于云边协同的多维时间序列异常检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115021956A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111967507A (zh) * | 2020-07-31 | 2020-11-20 | 复旦大学 | 基于离散余弦变换和U-Net的时序异常检测方法 |
| CN112559598A (zh) * | 2020-12-16 | 2021-03-26 | 南京航空航天大学 | 一种基于图神经网络的遥测时序数据异常检测方法及系统 |
| CN113190840A (zh) * | 2021-04-01 | 2021-07-30 | 华中科技大学 | 边云协同下基于dcgan的工业控制系统入侵检测架构及方法 |
| CN113822337A (zh) * | 2021-08-21 | 2021-12-21 | 哈尔滨工业大学(威海) | 一种基于多维间序列的工控异常检测方法 |
-
2022
- 2022-04-20 CN CN202210416032.4A patent/CN115021956A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111967507A (zh) * | 2020-07-31 | 2020-11-20 | 复旦大学 | 基于离散余弦变换和U-Net的时序异常检测方法 |
| CN112559598A (zh) * | 2020-12-16 | 2021-03-26 | 南京航空航天大学 | 一种基于图神经网络的遥测时序数据异常检测方法及系统 |
| CN113190840A (zh) * | 2021-04-01 | 2021-07-30 | 华中科技大学 | 边云协同下基于dcgan的工业控制系统入侵检测架构及方法 |
| CN113822337A (zh) * | 2021-08-21 | 2021-12-21 | 哈尔滨工业大学(威海) | 一种基于多维间序列的工控异常检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110035090B (zh) | 一种智能电网虚假数据注入攻击检测方法 | |
| CN108881196B (zh) | 基于深度生成模型的半监督入侵检测方法 | |
| CN106888205B (zh) | 一种非侵入式基于功耗分析的plc异常检测方法 | |
| CN110909811B (zh) | 一种基于ocsvm的电网异常行为检测、分析方法与系统 | |
| CN111585948B (zh) | 一种基于电网大数据的网络安全态势智能预测方法 | |
| CN110933031A (zh) | 一种基于lstm的智能电网配电终端单元入侵检测方法 | |
| CN109714324B (zh) | 基于机器学习算法的用户网络异常行为发现方法及系统 | |
| Efstathopoulos et al. | Operational data based intrusion detection system for smart grid | |
| CN110971677B (zh) | 一种基于对抗强化学习的电力物联网终端设备边信道安全监测方法 | |
| CN117113262B (zh) | 网络流量识别方法及其系统 | |
| Kaouk et al. | A review of intrusion detection systems for industrial control systems | |
| CN113094707B (zh) | 一种基于异质图网络的横向移动攻击检测方法及系统 | |
| CN110830467A (zh) | 基于模糊预测的网络可疑资产识别方法 | |
| CN110865625A (zh) | 一种基于时间序列的工艺数据异常检测方法 | |
| CN110493180A (zh) | 一种变电站网络通信流量实时分析方法 | |
| CN114697081B (zh) | 基于iec61850 sv报文运行态势模型的入侵检测方法和系统 | |
| CN116668192B (zh) | 一种网络用户行为异常检测方法及系统 | |
| CN115021956A (zh) | 一种基于云边协同的多维时间序列异常检测方法及系统 | |
| Wüstrich et al. | Cyber-physical anomaly detection for ICS | |
| KR102420994B1 (ko) | 딥러닝을 이용한 제어 시스템의 이상 탐지 장치 및 방법 | |
| CN113822337A (zh) | 一种基于多维间序列的工控异常检测方法 | |
| CN111343205B (zh) | 工控网络安全检测方法、装置、电子设备以及存储介质 | |
| CN114397842A (zh) | 电力监控网络安全智能巡检加固方法 | |
| CN111103487A (zh) | 一种非侵入式的基于功耗分析的pst异常监测方法 | |
| CN115604016B (zh) | 一种行为特征链模型的工控异常行为监测方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |