CN115348339B - 一种基于功能码和业务数据相关性的工控异常检测方法 - Google Patents
一种基于功能码和业务数据相关性的工控异常检测方法 Download PDFInfo
- Publication number
- CN115348339B CN115348339B CN202210970223.5A CN202210970223A CN115348339B CN 115348339 B CN115348339 B CN 115348339B CN 202210970223 A CN202210970223 A CN 202210970223A CN 115348339 B CN115348339 B CN 115348339B
- Authority
- CN
- China
- Prior art keywords
- service data
- industrial control
- function code
- data
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 27
- 230000006870 function Effects 0.000 claims abstract description 87
- 230000005856 abnormality Effects 0.000 claims abstract description 24
- 230000002159 abnormal effect Effects 0.000 claims abstract description 13
- 238000004891 communication Methods 0.000 claims abstract description 9
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 8
- 238000000034 method Methods 0.000 claims description 10
- 238000012544 monitoring process Methods 0.000 claims description 4
- 230000008030 elimination Effects 0.000 claims 1
- 238000003379 elimination reaction Methods 0.000 claims 1
- 230000004044 response Effects 0.000 description 7
- 238000004364 calculation method Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 239000002737 fuel gas Substances 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
本发明公开一种基于功能码和业务数据相关性的工控异常检测方法,包括:采集工控通信报文;解析工控通信报文,提取功能码和工控业务数据;学习建立功能码和工控业务数据对应基线:比较多个周期中每个功能码出现前后的业务数据序列,剔除离散点,并对每个功能码对应的除离散点外的其他数据取均值作为当前功能码的基线值,由此计算得出所有控制功能码对应的前序业务数据基线和后续业务数据基线;应用基线,检查实际工控业务是否异常。本发明通过学习控制功能码和业务数据的对应关系,建立控制系统和业务系统的关联关系和数据基线,利用序列相似性算法,检查基线和实际数据的相似性,既可以判断控制系统异常,又可以判断公开业务系统异常。
Description
技术领域
本发明涉及工控安全技术领域,尤其涉及一种基于功能码和业务数据相关性的工控异常检测方法。
背景技术
近年来随着工控网络安全事件不断涌现,网络攻击威胁日益加重,造成网络安全事件的异常网络行为,如网络攻击与窃密等,往往涉及到网络流量的异常,因此可通过异常检测,发现网络异常行为,结合相关技术进行异常响应处理,保障网络正常,维护网络安全。
由于工控资产直接关系到企业生产,一旦工控资产遭到攻击可能直接影响生产,因此加强对工控资产网络流量进行深度分析与异常检测显得更加必要。
发明内容
本发明提供了一种基于功能码和业务数据相关性的工控异常检测方法,包括:
采集工控通信报文;
解析工控通信报文,提取功能码和工控业务数据;
学习建立功能码和工控业务数据对应基线:比较多个周期中每个功能码出现前后的业务数据序列,剔除离散点,并对每个功能码对应的除离散点外的其他数据取均值作为当前功能码的基线值,由此计算得出所有控制功能码对应的前序业务数据基线和后续业务数据基线;
应用基线,检查实际工控业务是否异常。
如上所述的一种基于功能码和业务数据相关性的工控异常检测方法,其中,功能码包括两大类,一类是读取监视的功能码,一类是下发控制指令的功能码。
如上所述的一种基于功能码和业务数据相关性的工控异常检测方法,其中,读取监视的功能码对应的报文携带工控业务数据,下发控制的功能码不携带业务数据。
如上所述的一种基于功能码和业务数据相关性的工控异常检测方法,其中,在学习阶段,从工控业务数据序列中选择设定长度的序列数据,并学习多个周期的数据。
如上所述的一种基于功能码和业务数据相关性的工控异常检测方法,其中,选择每个序列的第一个数据组成设定长度的序列数据。
如上所述的一种基于功能码和业务数据相关性的工控异常检测方法,其中,同样的控制指令功能码重复出现计算一个周期。
如上所述的一种基于功能码和业务数据相关性的工控异常检测方法,其中,剔除离散点,具体为使用基于统计的均值和方差,或者K紧邻算法进行离散点剔除。
如上所述的一种基于功能码和业务数据相关性的工控异常检测方法,其中,检查实际工控业务是否异常,具体包括如下步骤:
缓存最新的设定长度的业务数据序列,与不同的功能码的业务模型序列进行比对,判断相似程度;
根据业务数据和功能码前序序列、后续序列的相似度判别业务异常。
本发明还提供一种计算机存储介质,包括:至少一个存储器和至少一个处理器;
存储器用于存储一个或多个程序指令;
处理器,用于运行一个或多个程序指令,用以执行上述任一项所述的一种基于功能码和业务数据相关性的工控异常检测方法。
本发明实现的有益效果如下:
1、通过学习控制功能码和业务数据的对应关系,建立控制系统和业务系统的关联关系和数据基线。
2、利用序列相似性算法,检查基线和实际数据的相似性,既可以判断控制系统异常(未按要求下发控制指令),又可以判断公开业务系统异常(收到控制指令后未按要求生效)。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种基于功能码和业务数据相关性的工控异常检测方法流程图;
图2是MODBUS事务处理流程图;
图3是功能码和业务数据相关性的说明示意图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
如图1所示,本发明实施例一提供一种基于功能码和业务数据相关性的工控异常检测方法,包括:
步骤110、采集工控通信报文;
本申请实施例提供的工控异常检测方法,示例性地应用在如下业务场景中:工控上位机周期性下发监视类功能码采集工控设备的业务数据(比如温度、压力等),当发现数据处于某种临界状态时,下发控制功能码,对工控设备进行控制(比如增加燃气、减少燃气等)。
例如图2所示的MODBUS事务处理流程图,客户端启动请求,向服务器上传指令,该指令中包括功能码和数据请求,服务器执行操作启动响应,将响应返回给客户端,客户端接收响应,响应中包括操作码和数据响应。其中,客户端的功能码和服务器的操作码含义一致,在本申请中统称功能码,对于上述业务场景中的监视类功能码,其数据响应即是业务数据。
步骤120、解析工控通信报文,提取功能码和业务数据;
具体地,对工控原始流量进行深度解析,获得功能码Code和对应的工控业务数据Value,功能码包括两大类,一类是读取监视的功能码,一类是下发控制指令的功能码,在解析的时候需要有明确区分。读取监视的功能码对应的报文携带工控业务数据,比如电机转速、蒸汽气压、环境温度等;下发控制的功能码不携带业务数据。
步骤130、学习建立功能码和业务数据对应基线:比较多个周期中每个功能码出现前后的设定长度的业务数据序列,剔除离散点,并对每个功能码对应的除离散点外的其他数据取均值作为当前功能码的基线值,由此计算得出所有控制功能码对应的前序业务数据基线和后续业务数据基线;
在学习阶段,处理不同的控制功能码Code之间业务数据Values序列,准备学习总结每次下发不同的控制指令前后的业务数据。因为下发不同的控制指令功能码Code之间的Value序列可能很长,过长的序列计算相关性需要消耗大量的计算资源,所以可以选择一定长度的序列数据,比如选择20个数据。另外,需要确保学习多个周期的数据,比如每一个功能码都出现10次,采集10个周期的数据。注意,这里的周期时长不确定,同样的控制指令功能码重复出现计算一个周期。
计算得到每个控制功能码的前序业务数据基线和后续业务数据基线:比较10个周期中,每一个功能码出现前后的2个长度为20的业务数据序列,在不同的周期中,对应位置的数据应该是接近的、相似的,如果某个数据点偏差较大,应将其排除,具体算法可使用基于统计的均值和方差,或者K紧邻算法。剔除离群点后,对其他数据取均值,作为该位置的基线值。
例如:
周期1中,序列数据为D0101、D0102、D0103...D0118、D0119、D0120
周期2中,序列数据为D0201、D0202、D0203...D0218、D0219、D0220
....
周期20中,序列数据为D2001、D2002、D2003...D2018、D2019、D2020
把每个序列的第一个数据组成集合{D0101、D0201、D0301...D2001},检测剔除其中的离群点,然后对其他数据取均值,作为基线序列第1个位置的基线值。以此类推,算出所有的长度为20的基线值。这样,就可以计算得出所有控制功能码对应的前后2个业务数据的基线序列。
步骤140、应用基线,检查实际工控业务是否异常;
在应用阶段,对应上述示例,应用基线,检查实际工控业务是否异常,具体包括如下步骤:
步骤141、缓存最新的长度为20的业务数据序列,与不同的功能码的业务模型序列进行比对,判断相似程度;
具体地,假设最新的业务数据序列为:Ni(1<=i<=20)
功能码Code1对应的前序数据基线为:PDi(1<=i<=20)
相似度计算:
S=0时,两个序列完全等同。
S越小,两个序列越相似;S越大,两个序列差异越大。
因为不同的工业业务数据差别很大,如果PD数值比较大,为了建立比较统一模型,可以使用偏差率来衡量相似度,即P=S/PD,(0<=P<=1)。这种方法要求PD≠0,特殊情况如果业务数据刚好是要求为0(比如温度要求恒温0度),则直接使用S即可。
步骤142、根据业务数据和功能码前序序列、后续序列的相似度判别业务异常。
为相似度P设置一个阈值T,当P<=T时,说明当前的业务数据序列和功能码Code1的前序序列足够相似,按照工控业务逻辑,就应该下发控制指令功能码Code1。如果没有下发控制功能码Code1,并且P值逐渐增大(选择几个周期点判断,比如连续5个采样点),说明业务控制系统出现异常,需要产生告警。
如果下发了控制功能码Code1,则需要切换基线为后续序列基线,同样采用上述的相似度计算方法(区别是刚开始时,序列长度不足20,算法一致),如果相似度P>T,说明下发功能码后,业务数据序列没有按照预定的趋势发展,偏差较大,说明业务控制系统出现异常,需要产生告警。
其他的控制功能码及其前序、后序基线判断算法一致,不再详细举例说明。
与上述实施例对应的,本发明实施例提供一种计算机存储介质,包括:至少一个存储器和至少一个处理器;
存储器用于存储一个或多个程序指令;
处理器,用于运行一个或多个程序指令,用以执行一种基于功能码和业务数据相关性的工控异常检测方法。
与上述实施例对应的,本发明实施例提供一种计算机可读存储介质,计算机存储介质中包含一个或多个程序指令,一个或多个程序指令用于被处理器执行一种基于功能码和业务数据相关性的工控异常检测方法。
本发明所公开的实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序指令,当所述计算机程序指令在计算机上运行时,使得计算机执行上述的一种基于功能码和业务数据相关性的工控异常检测方法。
在本发明实施例中,处理器可以是一种集成电路芯片,具有信号的处理能力。处理器可以是通用处理器、数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。处理器读取存储介质中的信息,结合其硬件完成上述方法的步骤。
存储介质可以是存储器,例如可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。
其中,非易失性存储器可以是只读存储器(Read-Only Memory,简称ROM)、可编程只读存储器(Programmable ROM,简称PROM)、可擦除可编程只读存储器(Erasable PROM,简称EPROM)、电可擦除可编程只读存储器(Electrically EPROM,简称EEPROM)或闪存。
易失性存储器可以是随机存取存储器(Random Access Memory,简称RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,简称SRAM)、动态随机存取存储器(Dynamic RAM,简称DRAM)、同步动态随机存取存储器(Synchronous DRAM,简称SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM,简称DDRSDRAM)、增强型同步动态随机存取存储器(EnhancedSDRAM,简称ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,简称SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM,简称DRRAM)。
本发明实施例描述的存储介质旨在包括但不限于这些和任意其它适合类型的存储器。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件与软件组合来实现。当应用软件时,可以将相应功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。
Claims (9)
1.一种基于功能码和业务数据相关性的工控异常检测方法,其特征在于,包括:
采集工控通信报文;
解析工控通信报文,提取功能码和工控业务数据;
学习建立功能码和工控业务数据对应基线:比较多个周期中每个功能码出现前后的业务数据序列,剔除离散点,并对每个功能码对应的除离散点外的其他数据取均值作为当前功能码的基线值,由此计算得出所有控制功能码对应的前序业务数据基线和后续业务数据基线;
应用基线,检查实际工控业务是否异常;
应用基线,检查实际工控业务是否异常,具体包括如下步骤:
缓存最新长度的业务数据序列,与不同的功能码的业务模型序列进行比对,判断相似程度;
根据业务数据和功能码前序序列、后续序列的相似度判别业务异常。
2.如权利要求1所述的一种基于功能码和业务数据相关性的工控异常检测方法,其特征在于,功能码包括两大类,一类是读取监视的功能码,一类是下发控制指令的功能码。
3.如权利要求2所述的一种基于功能码和业务数据相关性的工控异常检测方法,其特征在于,读取监视的功能码对应的报文携带工控业务数据,下发控制的功能码不携带业务数据。
4.如权利要求1所述的一种基于功能码和业务数据相关性的工控异常检测方法,其特征在于,在学习阶段,从工控业务数据序列中选择设定长度的序列数据,并学习多个周期的数据。
5.如权利要求4所述的一种基于功能码和业务数据相关性的工控异常检测方法,其特征在于,选择每个序列的第一个数据组成设定长度的序列数据。
6.如权利要求4所述的一种基于功能码和业务数据相关性的工控异常检测方法,其特征在于,同样的控制指令功能码重复出现计算一个周期。
7.如权利要求1所述的一种基于功能码和业务数据相关性的工控异常检测方法,其特征在于,剔除离散点,具体为使用基于统计的均值和方差,或者K紧邻算法进行离散点剔除。
8.如权利要求1所述的一种基于功能码和业务数据相关性的工控异常检测方法,其特征在于,检查实际工控业务是否异常,具体包括如下步骤:
缓存最新的设定长度的业务数据序列,与不同的功能码的业务模型序列进行比对,判断相似程度;
根据业务数据和功能码前序序列、后续序列的相似度判别业务异常。
9.一种计算机存储介质,其特征在于,包括:至少一个存储器和至少一个处理器;
存储器用于存储一个或多个程序指令;
处理器,用于运行一个或多个程序指令,用以执行如权利要求1-8任一项所述的一种基于功能码和业务数据相关性的工控异常检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210970223.5A CN115348339B (zh) | 2022-08-12 | 2022-08-12 | 一种基于功能码和业务数据相关性的工控异常检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210970223.5A CN115348339B (zh) | 2022-08-12 | 2022-08-12 | 一种基于功能码和业务数据相关性的工控异常检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115348339A CN115348339A (zh) | 2022-11-15 |
CN115348339B true CN115348339B (zh) | 2023-11-21 |
Family
ID=83952230
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210970223.5A Active CN115348339B (zh) | 2022-08-12 | 2022-08-12 | 一种基于功能码和业务数据相关性的工控异常检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115348339B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116204228B (zh) * | 2023-03-08 | 2023-11-21 | 北京航天驭星科技有限公司 | 一种卫星测控软件的基线确定方法及相关设备 |
CN117011421A (zh) * | 2023-08-09 | 2023-11-07 | 东莞稳控自动化技术有限公司 | 一种sdt缝制加工文件的生成方法及装置 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105610647A (zh) * | 2015-12-30 | 2016-05-25 | 华为技术有限公司 | 一种探测业务异常的方法和服务器 |
EP3133793A1 (en) * | 2015-08-20 | 2017-02-22 | Cyberx Israel Ltd. | Method for mitigation of cyber attacks on industrial control systems |
CN106603551A (zh) * | 2016-12-28 | 2017-04-26 | 北京安天电子设备有限公司 | 一种基于安全基线的工控机安全防护系统及方法 |
CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及系统 |
CN108259263A (zh) * | 2017-12-01 | 2018-07-06 | 国家电网公司 | 数据分析方法、装置及系统 |
CN109164786A (zh) * | 2018-08-24 | 2019-01-08 | 杭州安恒信息技术股份有限公司 | 一种基于时间相关基线的异常行为检测方法、装置及设备 |
CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
WO2019220427A1 (en) * | 2018-05-17 | 2019-11-21 | Cyberbit Ltd. | An anomaly detection system and method |
CN111628994A (zh) * | 2020-05-26 | 2020-09-04 | 杭州安恒信息技术股份有限公司 | 一种工控环境的异常检测方法、系统及相关装置 |
CN112613995A (zh) * | 2020-12-30 | 2021-04-06 | 中国工商银行股份有限公司 | 异常诊断方法和装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6387352B2 (ja) * | 2012-10-24 | 2018-09-05 | ドリームスケープ メディカル エルエルシー | 脳系生体信号を検出するシステム |
KR20160025664A (ko) * | 2014-08-27 | 2016-03-09 | 삼성에스디에스 주식회사 | 이상 조기 감지 장치 및 방법 |
US10536473B2 (en) * | 2017-02-15 | 2020-01-14 | Microsoft Technology Licensing, Llc | System and method for detecting anomalies associated with network traffic to cloud applications |
-
2022
- 2022-08-12 CN CN202210970223.5A patent/CN115348339B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3133793A1 (en) * | 2015-08-20 | 2017-02-22 | Cyberx Israel Ltd. | Method for mitigation of cyber attacks on industrial control systems |
CN105610647A (zh) * | 2015-12-30 | 2016-05-25 | 华为技术有限公司 | 一种探测业务异常的方法和服务器 |
CN106603551A (zh) * | 2016-12-28 | 2017-04-26 | 北京安天电子设备有限公司 | 一种基于安全基线的工控机安全防护系统及方法 |
CN108259263A (zh) * | 2017-12-01 | 2018-07-06 | 国家电网公司 | 数据分析方法、装置及系统 |
CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及系统 |
WO2019220427A1 (en) * | 2018-05-17 | 2019-11-21 | Cyberbit Ltd. | An anomaly detection system and method |
CN109164786A (zh) * | 2018-08-24 | 2019-01-08 | 杭州安恒信息技术股份有限公司 | 一种基于时间相关基线的异常行为检测方法、装置及设备 |
CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
CN111628994A (zh) * | 2020-05-26 | 2020-09-04 | 杭州安恒信息技术股份有限公司 | 一种工控环境的异常检测方法、系统及相关装置 |
CN112613995A (zh) * | 2020-12-30 | 2021-04-06 | 中国工商银行股份有限公司 | 异常诊断方法和装置 |
Non-Patent Citations (2)
Title |
---|
traffic data classification to detect man-IN-THE-middle attacks in industrial control system;Haiyan Lan;《2019 6th international conference on dependable systems and their applications》;全文 * |
异常检测技术在工控系统安全中的成功应用;张晔;;自动化博览(第04期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115348339A (zh) | 2022-11-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN115348339B (zh) | 一种基于功能码和业务数据相关性的工控异常检测方法 | |
CN110177108B (zh) | 一种异常行为检测方法、装置及验证系统 | |
CN109660518B (zh) | 网络的通信数据检测方法、装置以及机器可读存储介质 | |
WO2007143405A2 (en) | Automatic fault classification for model-based process monitoring | |
CN110297742B (zh) | 数据监控系统、方法及服务器 | |
CN110222535B (zh) | 区块链配置文件的处理装置、方法及存储介质 | |
CN112653682B (zh) | 一种区块链日蚀攻击检测的方法及装置 | |
CN112364304B (zh) | 一种区块链的日蚀攻击检测方法及装置 | |
CN113472803A (zh) | 漏洞攻击状态检测方法、装置、计算机设备和存储介质 | |
US20230087309A1 (en) | Cyberattack identification in a network environment | |
Sun et al. | Analysis of ID sequences similarity using DTW in intrusion detection for CAN bus | |
CN110826606A (zh) | 要素匹配方法、装置、服务器及可读存储介质 | |
CN116756578B (zh) | 车辆信息安全威胁聚合分析预警方法及系统 | |
CN111680293A (zh) | 基于互联网的信息监控管理方法、装置及服务器 | |
CN114238822A (zh) | 一种Web服务设备的识别方法及装置 | |
CN115051824B (zh) | 一种垂直越权检测方法、系统、设备及存储介质 | |
CN111667190B (zh) | 一种电力施工接地监控方法、装置及服务器 | |
CN113536299A (zh) | 一种基于贝叶斯神经网络的入侵检测系统的设计方法 | |
CN112511568A (zh) | 一种网络安全事件的关联分析方法、装置及存储介质 | |
Hemmer et al. | An ensemble learning-based architecture for security detection in iot infrastructures | |
CN111901307B (zh) | 一种加密流量识别方法、装置、设备及介质 | |
CN111953535B (zh) | 一种网络故障定位方法、终端及存储介质 | |
KR102432972B1 (ko) | 버스 네트워크 시스템에서 악의적 노드 탐지 방법 및 노드 장치 | |
CN111506914B (zh) | 大数据加密方法、装置、服务器及可读存储介质 | |
CN109033889B (zh) | 一种基于时空碰撞的入侵识别方法、装置及智能终端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |