CN116232765B - 一种工控安全系统异常访问分析方法及系统 - Google Patents
一种工控安全系统异常访问分析方法及系统 Download PDFInfo
- Publication number
- CN116232765B CN116232765B CN202310494209.7A CN202310494209A CN116232765B CN 116232765 B CN116232765 B CN 116232765B CN 202310494209 A CN202310494209 A CN 202310494209A CN 116232765 B CN116232765 B CN 116232765B
- Authority
- CN
- China
- Prior art keywords
- command
- continuous
- time
- commands
- sequence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种工控安全系统异常访问分析方法及系统,应用于工控网络,包括:获取所述工控网络中的历史正常命令集,将聚类结果整理成命令时间序列,所述命令时间序列包括顺序执行的命令以及每两个命令之间的执行间隔时间;根据获取连续命令二元组的方法获取所述命令时间序列中的全部连续命令二元组;根据获取连续命令序列的方法获取所述命令时间序列中的全部连续命令序列;实时获取待分析源地址的访问的信息,如果在第一预设时间内,超过第二数量阈值个命令序列不是连续命令序列,则认为存在异常访问。本发明能够简单有效地检测出对工控网络进行的命令间隔修改攻击。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种应用于工控网络的异常访问分析方法及系统。
背景技术
随着信息技术的发展,越来越多的传统工厂进行信息化改造,逐步实现工厂的机电一体化。机电一体化通常由操作人员通过计算机系统对控制器进行命令操作以完成预设的生产任务。因此在机电一体化工厂中必然存在由控制系统、用户终端等组成的网络,即工控网络。
由于传统的工业控制网络的主要功能是完成工业生产, 在设计时缺乏安全考虑,在开放的网络环境中容易遭受攻击;为了保证工控网络的安全,现有技术中通常通过防火墙、流量分析等手段进行安全加固,但如果操作员账号被盗,通过操作员的操作终端进行非法活动不需要大量灌包操作,因此流量与正常操作特征很像,此时很难确认工控网络被入侵。
如图1所示,工控网络通常由操作终端通过网关以及安全服务器控制内网中的工业控制器,进而对工业设备进行控制。与传统的互联网不同,工控网络中的数据较为简单,下行数据(操作终端发往控制器)通常是一些PLC控制命令,上行数据(由控制器发送给操作终端)的通常是返回参数、日志、传感器监控数据等。
对工控网络的攻击通常分为蓄意破坏和信息窃取,信息窃取通常通过网络在较短时间内获取较多的数据,比较容易识别。蓄意破坏通常是修改下发给工业设备的命令,如修改参数、修改执行顺序等。目前出现了一些通过识别下行数据的特征来确定工作网络是否存在接入安全问题的解决方案,此类方法只能识别对命令的顺序、参数的修改,无法识别对时间间隔的修改。如某正常的操作为a命令之后4秒下发b命令,再过3秒下发c命令,恶意攻击将ab命令之间的间隔修改为2秒,从而达到对工业控制系统造成破坏的目的。
发明内容
为了解决现有技术无法有效检测修改命令间隔攻击的问题,本发明提供一种异常访问分析方法和系统。
一方面,本发明提供一种异常访问分析方法,应用于工控网络,其特征在于所述方法包括如下步骤:获取所述工控网络中的历史正常命令集,将所述正常命令按照访问源地址聚类;将聚类结果整理成命令时间序列,所述命令时间序列包括顺序执行的命令以及每两个命令之间的执行间隔时间;获取命令时间序列中一对执行间隔时间为第一时间间隔,并且所述第一时间间隔小于第一时间阈值的连续的第一命令、第二命令;遍历所述命令时间序列,获取第一命令、第二命令连续并且执行间隔时间等于所述第一时间间隔的命令对的数量;当所述数量大于第一数量阈值时,确定第一命令、第二命令连续并且间隔等于所述第一时间间隔的命令对为一个连续命令二元组;根据获取连续命令二元组的方法获取所述命令时间序列中的全部连续命令二元组;遍历所述命令时间序列,当一组连续的命令中两两相邻的命令都为连续命令二元组时,将该组连续的命令确定为连续命令序列;根据获取连续命令序列的方法获取所述命令时间序列中的全部连续命令序列;实时获取待分析源地址的访问的信息,如果在第一预设时间内,超过第二数量阈值个命令序列不是连续命令序列,则认为存在异常访问。
进一步地,所述第一时间阈值根据全部命令时间序列中执行间隔长度为前20%的时间确定。
进一步地,所述第一数量阈值根据获取的历史正常命令数量确定,历史正常命令数量越大所述第一数量阈值越大。
进一步地,实时获取待分析源地址的访问的信息后进一步将该源地址的访问命令缓存于一个队列,形成该源地址的命令序列,对该源地址的命令序列进行异常检测。
进一步地,获取全部连续命令序中最长的命令长度Lmax,当待检测的命令序列中一个Lmax长度的序列都无法找到连续命令序列时则认为这个Lmax长度的序列不是连续命令序列。
本发明还提供一种异常访问分析系统,应用于工控网络,其特征在于所述系统包括如下模块:获取模块,用于获取所述工控网络中的历史正常命令集,将所述正常命令按照访问源地址聚类;第一处理模块,用于将聚类结果整理成命令时间序列,所述命令时间序列包括顺序执行的命令以及每两个命令之间的执行间隔时间;第二处理模块,用于获取命令时间序列一对执行间隔时间为第一时间间隔,并且所述第一时间间隔小于第一时间阈值的连续的第一命令、第二命令;第三处理模块,用于遍历所述命令时间序列,获取第一命令、第二命令连续并且执行间隔时间等于所述第一时间间隔的命令对的数量;第四处理模块,用于当所述数量大于第一数量阈值时,确定第一命令、第二命令连续并且间隔等于所述第一时间间隔的命令对为一个连续命令二元组;第五处理模块,用于根据第四处理模块获取所述命令时间序列中的全部连续命令二元组;第六处理模块,用于遍历所述命令时间序列,当一组连续的命令中两两相邻的命令都为连续命令二元组时,将该组连续的命令确定为连续命令序列;第七处理模块,用于根据第六处理模块获取所述命令时间序列中的全部连续命令序列;检测模块,用于实时获取待分析源地址的访问的信息,如果在第一预设时间内,超过第二数量阈值个命令序列不是连续命令序列,则认为存在异常访问。
进一步地,所述第一时间阈值根据全部命令时间序列中执行间隔长度为前20%的时间确定。
进一步地,所述第一数量阈值根据获取的历史正常命令数量确定,历史正常命令数量越大所述第一数量阈值越大。
进一步地,实时获取待分析源地址的访问的信息后进一步将该源地址的访问命令缓存于一个队列,形成该源地址的命令序列,对该源地址的命令序列进行异常检测。
进一步地,获取全部连续命令序中最长的命令长度Lmax,当待检测的命令序列中一个Lmax长度的序列都无法找到连续命令序列时则认为这个Lmax长度的序列不是连续命令序列。
本发明的有益效果为:通过构建包括了命令时间间隔的连续命令二元组,进一步确定出历史数据中的正常连续命令序列,通过连续命令序列数据库检测新输入的命令是否符合正常规律,从而找出存在异常的访问。
附图说明
图1为本发明的工控网络系统示意图。
实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。基于本发明提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
显而易见地,下面描述中的附图仅仅是本发明的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本发明应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本发明公开的内容相关的本领域的普通技术人员而言,在本发明揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本发明公开的内容不充分。
在本发明中提及“ 实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本发明所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本发明所涉及的技术术语或者科学术语应当为本发明所属技术领域内具有一般技能的人士所理解的通常意义。本发明所涉及的“ 一”、“ 一个”、“ 一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。
一方面,本发明公开了一种异常访问分析方法。
应用于工控网络,其特征在于所述方法包括如下步骤:
获取所述工控网络中的历史正常命令集,将所述正常命令按照访问源地址聚类。
工控网络在正常工作一段时间后,可以通过系统日志、入口网关等获取在正常工作时间段内所执行的全部命令数据。正常工作时段可以是通过人工判断,也可以是利用其它任意自动化手段进行判断的,本实施例不做具体限定。由于不同操作者、终端下发的命令之间没有规律可循,因此,在进行分析前还需要将不同的执行终端分开,将正常命令按照访问源地址聚类,每一类中的命令都属于同一个执行终端发出的命令。
将聚类结果整理成命令时间序列,所述命令时间序列包括顺序执行的命令以及每两个命令之间的执行间隔时间。
表1
通过计算机程序聚类结果中的命令提取出来,并计算相邻的两个命令之间的执行间隔。如表1所示,确定某一终端执行的命令的顺序为acdbce,同时获取各命令之间的执行间隔,如ac之间的间隔为3秒,cd之间间隔为1秒……。表1的存储方式令为一示例,在执行本实施方式时可采用其它任意的时间序列存方式。
获取命令时间序列中一对执行间隔时间为第一时间间隔,并且所述第一时间间隔小于第一时间阈值的连续的第一命令、第二命令。
对于同一组命令,任意两个命令之间的间隔通常不会特别长。如表1所示,命令d与命令b之间的间隔达到了14秒,则命令db有极大的可能不是同一组连接的命令。为了得到可能的连续命令获取间隔小于第一时间阈值的连续的两个命令。例如将阈值设计为5秒,以表1为例,则第一命令为a,第二命令为c,ac之间的执行间隔为3秒,ac为同一组命令的可能性比较大,但不能完全确定,还需要后续步骤进行进一步的确认。
进一步地,所述第一时间阈值根据全部命令时间序列中执行间隔长度为前20%的时间确定。例如,20%的命令间隔大于等于10秒(其余80%小于10秒),则将第一时间阈确定为10秒。
遍历所述命令时间序列,获取第一命令、第二命令连续并且执行间隔时间等于所述第一时间间隔的命令对的数量。
继续上面表1的示例,如果ac确实为经常连续执行的命令,则在其它终端中ac之间的间隔也应当相同。如a为控制第一机械手抓取零件并放至第一操作台的命令,c为控制第二机械手翻转该零件的命令,由于抓取时间一定,在其它的终端中连续下发ac命令时的间隔也应当相同,当有很多连续的ac命令的执行间隔都相同时,则证实了ac确实是连续执行的一对命令(并且执行间隔也是相同的)。
基于上述的原理,在全部的命令时间序列中查找连续的ac命令,并获取全部的连续的ac命令之间的执行间隔,获取连续的ac命令,并且执行间隔都为3秒的命令对的数量。
需要说明的是本实施例所述的执行间隔时间等于所述第一时间间隔并不是指数据意义上的完全相等,而是两者相差极小,例如两者相差在2%以内则认为是相等的。
当所述数量大于第一数量阈值时,确定第一命令、第二命令连续并且间隔等于所述第一时间间隔的命令对为一个连续命令二元组。
根据前面所述的原理,当有很多连续的ac命令的执行间隔都相同时,则证实了ac确实是连续执行的一对命令,此时当ac命令确定为一个连续命令二元组
表2
如表2所示,可以将ac命令进行单独存储,并且确定间隔为3秒的ac命令为一个二元组。可以预知的是,对于同一组连续的命令,如ac,当间隔不同时,则属于不同的连续命令二元组。例如在某些场景中,通过修改命令a的参数,命令a执行的是控制第一机械手抓取零件并放至第二操作台的命令,由于第二操作台比第一操作台近,则放至第二操作台的时间为2秒,ac之间的执行间隔为2秒,如表3所示,则此时表3所示的二元组为另一个连续命令二元组。
表3
进一步地,所述第一数量阈值根据获取的历史正常命令数量确定,历史正常命令数量越大所述第一数量阈值越大。
根据前述方法获取所述命令时间序列中的全部连续命令二元组。
在前述的描述中,仅获取了一个连续命令二元组,可以预知的是,在全部的命令时间序列中可以包括很多个连续命令二元组。重复执行前述获取连续命令二元组的步骤,则可以获取命令时间序列中的全部连续命令二元组。以表1为例,在判断了连续命令ac之后,还可以继续对cd、bc、cd进行判断(db之间的执行间隔太长,在第一步中就可去掉)
遍历所述命令时间序列,当一组连续的命令中两两相邻的命令都为连续命令二元组时,将该组连续的命令确定为连续命令序列。
连续执行的命令通常不止两个,一般为一串。连续命令二元组表明前后两个命令连续,当前后两个命令不是连续命令二元组时,则表明可以从此处断开,形成不同的命令串。
表4
表5
以表4中的命令序列和表5的连续命令二元组为例,ef命令对不是连续命令二元组,而其它命令对都是连续命令二元组。则将表4中的命令从ef处断开,开成两个连续命令序列ghege和fdad(命令之间还包括了执行间隔,此处省略未示出)。
根据前述方法获取所述命令时间序列中的全部连续命令序列。
同样可以预知的是,在所有的命令时间序列中,可能存在很多个连续命令序列,重复执行前述获取连续命令序列的方法,以获取历史数据中的全部连续命令序列,这样就形成了一个命令序列库(命令之间包括了执行间隔),当系统中有正常的命令,应当都属于这个命令序列库。
实时获取待分析源地址的访问的信息,如果在第一预设时间内,超过第二数量阈值个命令序列不是连续命令序列,则认为存在异常访问。
为了能够进行实时的检测,实时获取待分析源地址的访问的信息,如在网关处进行实时检测,将同一个源地址的访问命令缓存于一个队列,这样就可以形成某一源地址的命令序列,检测该源地址的命令序列,正常情况下该源地址的命令序列应当都能在连续命令序列库中找到相应的连续命令序列。如果在一定的时间连,出现多个无法找到对应连续命令序列的序列则认为存在异常访问。在确定命令序列是不是连续命令序列时,可获取全部连续命令序中最长的命令长度Lmax。当待检测的命令序列中,一个Lmax长度的序列都无法找到连续命令序列时则认为这个Lmax长度的序列不是连续命令序列。
在另一实施例中,本发明还公开了异常访问分析系统,应用于工控网络,所述系统包括如下模块:
获取模块,用于获取所述工控网络中的历史正常命令集,将所述正常命令按照访问源地址聚类;
第一处理模块,用于将聚类结果整理成命令时间序列,所述命令时间序列包括顺序执行的命令以及每两个命令之间的执行间隔时间;
第二处理模块,用于获取命令时间序列中一对执行间隔时间为第一时间间隔,并且所述第一时间间隔小于第一时间阈值的连续的第一命令、第二命令;
第三处理模块,用于遍历所述命令时间序列,获取第一命令、第二命令连续并且执行间隔时间等于所述第一时间间隔的命令对的数量;
第四处理模块,用于当所述数量大于第一数量阈值时,确定第一命令、第二命令连续并且间隔等于所述第一时间间隔的命令对为一个连续命令二元组;
第五处理模块,用于根据第四处理模块获取所述命令时间序列中的全部连续命令二元组;
第六处理模块,用于遍历所述命令时间序列,当一组连续的命令中两两相邻的命令都为连续命令二元组时,将该组连续的命令确定为连续命令序列;
第七处理模块,用于根据第六处理模块获取所述命令时间序列中的全部连续命令序列;
检测模块,用于实时获取待分析源地址的访问的信息,如果在第一预设时间内,超过第二数量阈值个命令序列不是连续命令序列,则认为存在异常访问。
同时该系统包括现有技术中能够执行或辅助执行前述实施例中全部方法的模块,本领域技术人员可通过现有技术中的任意手段实现该系统,只要能够执行前述实施例中的方法即可。
在本说明书的描述中,术语“ 一个实施例”、“ 一些实施例”、“ 具体实施例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或实例。而且,描述的具体特征、结构、材料或特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种异常访问分析方法,应用于工控网络,其特征在于:所述方法包括如下步骤:
获取所述工控网络中的历史正常命令集,将所述正常命令按照访问源地址聚类;
将聚类结果整理成命令时间序列,所述命令时间序列包括顺序执行的命令以及每两个命令之间的执行间隔时间;
获取命令时间序列中一对执行间隔时间为第一时间间隔,并且所述第一时间间隔小于第一时间阈值的连续的第一命令、第二命令;
遍历所述命令时间序列,获取第一命令、第二命令连续并且执行间隔时间等于所述第一时间间隔的命令对的数量;
当所述数量大于第一数量阈值时,确定第一命令、第二命令连续并且间隔等于所述第一时间间隔的命令对为一个连续命令二元组;
根据获取连续命令二元组的方法获取所述命令时间序列中的全部连续命令二元组;
遍历所述命令时间序列,当一组连续的命令中两两相邻的命令都为连续命令二元组时,将该组连续的命令确定为连续命令序列;
根据获取连续命令序列的方法获取所述命令时间序列中的全部连续命令序列;
实时获取待分析源地址的访问的信息,如果在第一预设时间内,超过第二数量阈值个命令序列不是连续命令序列,则认为存在异常访问。
2.根据权利要求1所述的一种异常访问分析方法,其特征在于:所述第一时间阈值根据全部命令时间序列中执行间隔长度为前20%的时间确定。
3.据权利要求1所述的一种异常访问分析方法,其特征在于:所述第一数量阈值根据获取的历史正常命令数量确定,历史正常命令数量越大所述第一数量阈值越大。
4.根据权利要求1所述的一种异常访问分析方法,其特征在于:实时获取待分析源地址的访问的信息后进一步将该源地址的访问命令缓存于一个队列,形成该源地址的命令序列,对该源地址的命令序列进行异常检测。
5.根据权利要求4所述的一种异常访问分析方法,其特征在于:获取全部连续命令序列中最长的命令长度Lmax,当待检测的命令序列中一个Lmax长度的序列都无法找到连续命令序列时则认为这个Lmax长度的序列不是连续命令序列。
6.一种异常访问分析系统,应用于工控网络,其特征在于:所述系统包括如下模块:
获取模块,用于获取所述工控网络中的历史正常命令集,将所述正常命令按照访问源地址聚类;
第一处理模块,用于将聚类结果整理成命令时间序列,所述命令时间序列包括顺序执行的命令以及每两个命令之间的执行间隔时间;
第二处理模块,用于获取命令时间序列中一对执行间隔时间为第一时间间隔,并且所述第一时间间隔小于第一时间阈值的连续的第一命令、第二命令;
第三处理模块,用于遍历所述命令时间序列,获取第一命令、第二命令连续并且执行间隔时间等于所述第一时间间隔的命令对的数量;
第四处理模块,用于当所述数量大于第一数量阈值时,确定第一命令、第二命令连续并且间隔等于所述第一时间间隔的命令对为一个连续命令二元组;
第五处理模块,用于根据第四处理模块获取所述命令时间序列中的全部连续命令二元组;
第六处理模块,用于遍历所述命令时间序列,当一组连续的命令中两两相邻的命令都为连续命令二元组时,将该组连续的命令确定为连续命令序列;
第七处理模块,用于根据第六处理模块获取所述命令时间序列中的全部连续命令序列;
检测模块,用于实时获取待分析源地址的访问的信息,如果在第一预设时间内,超过第二数量阈值个命令序列不是连续命令序列,则认为存在异常访问。
7.根据权利要求6所述的一种异常访问分析系统,其特征在于:所述第一时间阈值根据全部命令时间序列中执行间隔长度为前20%的时间确定。
8.据权利要求6所述的一种异常访问分析系统,其特征在于:所述第一数量阈值根据获取的历史正常命令数量确定,历史正常命令数量越大所述第一数量阈值越大。
9.根据权利要求6所述的一种异常访问分析系统,其特征在于:实时获取待分析源地址的访问的信息后进一步将该源地址的访问命令缓存于一个队列,形成该源地址的命令序列,对该源地址的命令序列进行异常检测。
10.根据权利要求9所述的一种异常访问分析系统,其特征在于:获取全部连续命令序列中最长的命令长度Lmax,当待检测的命令序列中一个Lmax长度的序列都无法找到连续命令序列时则认为这个Lmax长度的序列不是连续命令序列。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310494209.7A CN116232765B (zh) | 2023-05-05 | 2023-05-05 | 一种工控安全系统异常访问分析方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310494209.7A CN116232765B (zh) | 2023-05-05 | 2023-05-05 | 一种工控安全系统异常访问分析方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116232765A CN116232765A (zh) | 2023-06-06 |
CN116232765B true CN116232765B (zh) | 2023-07-04 |
Family
ID=86585876
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310494209.7A Active CN116232765B (zh) | 2023-05-05 | 2023-05-05 | 一种工控安全系统异常访问分析方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116232765B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117473514B (zh) * | 2023-12-28 | 2024-03-15 | 华东交通大学 | 一种工控系统的智能运维方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102130800A (zh) * | 2011-04-01 | 2011-07-20 | 苏州赛特斯网络科技有限公司 | 基于数据流行为分析的网络访问异常检测装置及方法 |
CN112688946A (zh) * | 2020-12-24 | 2021-04-20 | 工业信息安全(四川)创新中心有限公司 | 异常检测特征的构造方法、模块、存储介质、设备及系统 |
CN114357449A (zh) * | 2021-12-31 | 2022-04-15 | 中国电信股份有限公司 | 异常进程检测方法及装置、电子设备和存储介质 |
CN115917514A (zh) * | 2020-07-22 | 2023-04-04 | 赫尔实验室有限公司 | 用于网络活动检测的传递张量分析 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080040519A1 (en) * | 2006-05-02 | 2008-02-14 | Alacritech, Inc. | Network interface device with 10 Gb/s full-duplex transfer rate |
-
2023
- 2023-05-05 CN CN202310494209.7A patent/CN116232765B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102130800A (zh) * | 2011-04-01 | 2011-07-20 | 苏州赛特斯网络科技有限公司 | 基于数据流行为分析的网络访问异常检测装置及方法 |
CN115917514A (zh) * | 2020-07-22 | 2023-04-04 | 赫尔实验室有限公司 | 用于网络活动检测的传递张量分析 |
CN112688946A (zh) * | 2020-12-24 | 2021-04-20 | 工业信息安全(四川)创新中心有限公司 | 异常检测特征的构造方法、模块、存储介质、设备及系统 |
CN114357449A (zh) * | 2021-12-31 | 2022-04-15 | 中国电信股份有限公司 | 异常进程检测方法及装置、电子设备和存储介质 |
Non-Patent Citations (3)
Title |
---|
Draft new H.248.1v3 Amendment 2 "Gateway Control Protocol: Version 3: New Appendix IV, plus corrections and clarifications" (for Consent);Editor H.248.1v3 Amd.2;INTERNATIONAL TELECOMMUNICATION UNION;全文 * |
基于数据的挖掘入侵检测技术;张克曦;贺建飙;;科技信息(学术研究)(第24期);全文 * |
基于用户行为的入侵检测系统的设计与实现;孙知信,王汝传,王绍棣,王彬;计算机工程与设计(第10期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN116232765A (zh) | 2023-06-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Ding et al. | An anomaly detection approach based on isolation forest algorithm for streaming data using sliding window | |
NL2002694C2 (en) | Method and system for alert classification in a computer network. | |
DE102017112042A1 (de) | Bedrohungserrennung und -lokalisierung für überwachungsknoten eines industrieanlagensteuersystems | |
CN116232765B (zh) | 一种工控安全系统异常访问分析方法及系统 | |
DE102017128693A1 (de) | Merkmal- und Grenzeinstellung zur Bedrohungserkennung in einem industriellen Anlagensteuersystem | |
US10614214B2 (en) | Using machine learning to detect communication channel abnormalities in an ICS/IIoT application | |
WO2020244893A1 (en) | Method and arrangement for detecting anomalies in network data traffic | |
CN114915478B (zh) | 基于多代理的分布式关联分析的智慧园区工控系统网络攻击场景识别方法、系统及存储介质 | |
CN110012009B (zh) | 基于决策树和自相似模型结合的物联网入侵检测方法 | |
CN105376193A (zh) | 安全事件的智能关联分析方法与装置 | |
CN110290118B (zh) | 一种基于隐马尔可夫模型的重复加工过程隐蔽性攻击检测方法 | |
CN111049827A (zh) | 一种网络系统安全防护方法、装置及其相关设备 | |
CN115118482B (zh) | 工业控制系统入侵检测线索分析溯源方法、系统及终端 | |
CN114511227A (zh) | 电力监控系统网络安全策略编排及处置方法和系统 | |
Iturbe et al. | On the feasibility of distinguishing between process disturbances and intrusions in process control systems using multivariate statistical process control | |
CN117220920A (zh) | 基于人工智能的防火墙策略管理方法 | |
CN115795330A (zh) | 一种基于ai算法的医疗信息异常检测方法及系统 | |
Vulfin et al. | Algorithms for detecting network attacks in an enterprise industrial network based on data mining algorithms | |
CN116886446B (zh) | 一种自动化攻击的检测方法、电子设备及存储介质 | |
CN114283306A (zh) | 一种工业控制网络异常检测方法及系统 | |
WO2019215478A1 (en) | A system and a method for sequential anomaly revealing in a computer network | |
CN110708296B (zh) | 一种基于长时间行为分析的vpn账号失陷智能检测模型 | |
Eid et al. | IIoT network intrusion detection using machine learning | |
Alqurashi et al. | On the performance of isolation forest and multi layer perceptron for anomaly detection in industrial control systems networks | |
Tan et al. | Using hidden markov models to evaluate the real-time risks of network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |