KR20150021282A - Scanning attack detection apparatus in control network - Google Patents

Scanning attack detection apparatus in control network Download PDF

Info

Publication number
KR20150021282A
KR20150021282A KR20130098443A KR20130098443A KR20150021282A KR 20150021282 A KR20150021282 A KR 20150021282A KR 20130098443 A KR20130098443 A KR 20130098443A KR 20130098443 A KR20130098443 A KR 20130098443A KR 20150021282 A KR20150021282 A KR 20150021282A
Authority
KR
South Korea
Prior art keywords
control network
vector space
vector
detection apparatus
attack detection
Prior art date
Application number
KR20130098443A
Other languages
Korean (ko)
Other versions
KR101761798B1 (en
Inventor
손선경
나중찬
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020130098443A priority Critical patent/KR101761798B1/en
Publication of KR20150021282A publication Critical patent/KR20150021282A/en
Application granted granted Critical
Publication of KR101761798B1 publication Critical patent/KR101761798B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/16Matrix or vector computation, e.g. matrix-matrix or matrix-vector multiplication, matrix factorization
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computational Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Environmental & Geological Engineering (AREA)
  • Algebra (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

The present invention relates to a scanning attack detection apparatus in a control network. The scanning attack detection apparatus comprises: a vector space producing module collecting network and security management events generated in the control network or a system to compose of a vector space; and a correlation analysis module for being grouped based on distances between vectors comprised by the vector space producing module and analyzing the correlations between composing elements of the grouping to detect anomalous events.

Description

제어 네트워크에서의 스캐닝 공격 탐지 장치 {SCANNING ATTACK DETECTION APPARATUS IN CONTROL NETWORK}[0001] SCANNING ATTACK DETECTION APPARATUS IN CONTROL NETWORK [0002]

본 발명은 제어 네트워크에서의 스캐닝 공격 탐지 장치에 관한 것으로, 보다 상세하게는 NSM에 정의된 여러 데이터 객체의 시공간 연관성을 분석함으로써 스캐닝의 징후를 조기에 탐지하여 추후 발생 가능한 사이버 공격을 사전에 방어할 수 있도록 하는 기술에 관한 것이다.The present invention relates to a scanning attack detecting apparatus in a control network, and more particularly, it relates to an apparatus and method for detecting a scanning attack in a control network by analyzing the time-space relevance of various data objects defined in the NSM, Gt; to < / RTI >

종래의 전력 시스템은 외부와 독립된 통신망과 전력 제어 시스템에 특화된 프로토콜을 사용하므로 외부로부터의 사이버 공격에 취약성이 잘 노출되지 않았다.The conventional power system uses a protocol that is specialized for an external and independent communication network and a power control system, so that the vulnerability to external cyber attack is not exposed.

그러나, 스마트그리드는 IT와 전력 설비가 융합된 것으로, 전력 제어 시스템의 모든 요소들이 서로 유기적으로 연결되어 있으므로 기존의 SCADA망과 같은 독립된 안전 영역(Safety Zone) 형성이 어렵다. 또한, 스마트그리드의 상호 운영성과 유지 관리의 편의를 위하여 전력 제어 통신 프로토콜이 표준화되고 고속 통신을 이용함에 따라, 기존 IT시스템에서 나타난 사이버 공격에 대하여 동일한 취약점을 갖는다.However, the Smart Grid is a fusion of IT and power equipment, and it is difficult to form an independent safety zone like the existing SCADA network because all elements of the power control system are connected to each other organically. In addition, for the convenience of interoperability and maintenance of smart grid, the power control communication protocol is standardized and has the same weakness against the cyber attack that appeared in the existing IT system because it uses high speed communication.

기존 IT 네트워크에 비해 더욱 높은 수준의 안전성과 신뢰성을 필요로 하는 전력 제어 네트워크에서의 보안 문제를 해결하기 위하여 미국 및 유럽을 중심으로 IEC 62351, IEEE 1686-2007, NERC CIP 002-009 등 다양한 표준화 활동이 전개되고 있다. 특히, IEC 62351-7에서는 전력 시스템 운영에 특화된 네트워크 및 시스템 관리(NSM: Network and Security Management) 데이터 객체 모델을 정의하였는데, 특정 도메인 내 네트워크 상태를 감시하고 제어하는 통신상태 감시, 전력 시스템의 기본 구성 시스템의 상태를 감시하는 단말시스템 감시, RBAC (Role-based Access Control) 기반의 사이버 공격 탐지 등 3가지 유형으로 구성되어 있다.In order to solve the security problem in the power control network that requires a higher level of safety and reliability than the existing IT network, various standardization activities such as IEC 62351, IEEE 1686-2007, NERC CIP 002-009 Has been developed. In particular, IEC 62351-7 defines a network and security management (NSM) data object model that is specialized for power system operation. It is used for communication status monitoring and control of network conditions in a specific domain, basic configuration of power system System monitoring to monitor the status of the system, and cyber attack detection based on RBAC (Role-based Access Control).

그러나, NSM에 정의된 사이버 공격 탐지 데이터 객체 모델은 주로 비인가 접속, 자원 고갈, 버퍼 오버플로우, 위변조 PDU 등 시스템 간 데이터 교환을 방해하거나 단말시스템 내 악의적 코드 삽입을 목표로 하는 대표적인 사이버 공격 유형에 대한 것으로, 시스템 및 네트워크의 취약점을 파악하여 공격의 첫 단계로 사용되는 스캐닝에 관한 데이터 모델은 고려하고 있지 않다.However, the cyber attack detection data object model defined in NSM is mainly used for the representative types of cyber attacks aiming at preventing the exchange of data between systems such as unauthorized access, resource exhaustion, buffer overflow, and forgery PDU, or malicious code insertion in the terminal system It does not take into account the data model of scanning, which is used as the first step of an attack to identify system and network vulnerabilities.

따라서 본 발명은 상기와 같은 종래 기술의 문제점을 해결하기 위한 것으로, NSM에 정의된 여러 데이터 객체의 시공간 연관성을 분석함으로써 스캐닝의 징후를 조기에 탐지하여 추후 발생 가능한 사이버 공격을 사전에 방어할 수 있도록 하는 제어 네트워크에서의 스캐닝 공격 탐지 장치를 제공하기 위한 것이다.SUMMARY OF THE INVENTION Accordingly, the present invention has been made keeping in mind the above problems occurring in the prior art, and it is an object of the present invention to provide a method and apparatus for detecting a scanning signal in early time by analyzing the time- The present invention provides a scanning attack detecting apparatus in a control network.

상기한 목적을 달성하기 위한 본 발명의 일 실시예에 의한 제어 네트워크에서의 스캐닝 공격 탐지 장치는, 제어 네트워크 또는 시스템에서 발생하는 NSM(Network and Security Management) 이벤트를 수집하여 벡터 공간으로 구성하는 벡터공간 생성 모듈; 및 상기 벡터공간 생성 모듈에 의해 구성된 벡터간 거리를 기반으로 군집화하고 군집의 구성 요소들 간의 연관성을 분석하여 이상징후를 탐지하는 연관성 분석 모듈을 포함한다.According to an aspect of the present invention, there is provided a scanning attack detection apparatus in a control network, the apparatus comprising: a vector space for collecting network and security management (NSM) events occurring in a control network or a system, Generating module; And a relevance analysis module for clustering based on the distance between vectors constructed by the vector space generation module and analyzing the association between the elements of the cluster to detect an abnormal symptom.

상기 벡터공간 생성 모듈은, 상기 제어 네트워크 내의 관리 대상 시스템에서 발생하는 NSM 이벤트 중 하나 이상을 수신하여 분석 주기마다 D-차원의 벡터를 구성하는 이벤트 수집부; 및 상기 이벤트 수집부에 의해 수신된 이벤트 중 시공간 연관분석에 영향을 미치지 않는 데이터를 제거하는 이벤트 필터링부를 포함할 수 있다.Wherein the vector space generation module comprises: an event collection unit that receives at least one of NSM events occurring in the managed system in the control network and constructs a D-dimensional vector for each analysis period; And an event filtering unit that removes data that does not affect the space-time association analysis among the events received by the event collecting unit.

상기 이벤트 수집부는 비정상적 접근 알람(NetAcsAlm), 비정상적 객체 접근 알람(ObjAcsAlm), 인가되지 않은 데이터 접근 횟수(DatUnAuthAcsCnt) 및 인가되지 않은 사용자 접속 시도 횟수(UnAuthUsrCnt) 중 하나 이상을 수신하여 분석 주기마다 D-차원의 벡터를 구성할 수 있다.Wherein the event collector receives at least one of an abnormal access alarm (NetAcsAlm), an abnormal object access alarm (ObjAcsAlm), an unauthorized data access number (DatUnAuthAcsCnt), and an unauthorized user access attempt number (UnautUsrCnt) You can construct a vector of dimensions.

호스트 i에서 분석 주기 j에 수신된 이벤트를 이용하여 구성되는 벡터는 다음의 수학식, Hij = <v1, v2, …, vd>로 표현될 수 있으며, d는 이벤트 종류의 개수를 의미한다.The vector constructed using the event received in the analysis cycle j at host i is given by the following equation: H ij = <v 1 , v 2 , ... , v d >, and d is the number of event types.

상기 연관성 분석 모듈은, 상기 벡터공간 생성 모듈에 의해 구성된 벡터를 거리를 기반으로 클러스터링하여 하나 이상의 군집으로 분리하는 벡터 군집화부; 및 상기 벡터 군집화부에 의해 분리된 하나 이상의 군집에서 가장 최근의 분석 주기에 발생한 벡터로만 이루어진 군집을 찾은 후, 해당 군집을 구성하는 벡터와 관련된 호스트를 검색하여 통보하는 이상징후 탐지부를 포함할 수 있다.Wherein the association analysis module comprises: a vector clustering unit for clustering vectors constituted by the vector space generation module on the basis of distances and dividing the vectors into one or more clusters; And an abnormal symptom detection unit for searching for a cluster consisting only of a vector generated in the most recent analysis period in one or more clusters separated by the vector clustering unit and then searching for a host associated with the vector constituting the cluster, .

본 발명에 의하면, 여러 NSM 데이터 객체를 시공간 속성을 가진 벡터 공간으로 구성한 후 벡터들 사이의 연관성을 분석하여 이벤트 발생 패턴의 변화를 탐지함으로써 제어 네트워크 공격의 첫 번째 단계로 사용되는 스캐닝의 징후를 조기에 탐지할 수 있다.According to the present invention, after configuring a plurality of NSM data objects into a vector space having a spatiotemporal attribute, a change in an event generation pattern is analyzed by analyzing a relation between vectors, . &Lt; / RTI &gt;

또한, 네트워크 내 여러 호스트에서 나타나는 스캐닝 공격의 공간 구역성 (spatial locality)과 한 호스트에서 스캐닝 공격이 발생하면 곧 다른 호스트에서도 스캐닝 공격이 발생할 가능성이 높은 스캐닝 공격의 시간 구역성(temporal locality)를 동시에 분석함으로써, 기존의 이벤트 연관 분석의 단점으로 지적되는 오탐과 미탐을 줄일 수 있다.In addition, the spatial locality of scanning attacks on multiple hosts in a network, and the temporal locality of scanning attacks that are likely to cause scanning attacks on other hosts as soon as a scanning attack occurs on one host By analyzing, it is possible to reduce false positives and detections which are pointed out as disadvantages of existing event association analysis.

도 1은 본 발명의 일 실시예에 따른 제어 네트워크에서의 스캐닝 공격 탐지 장치의 구조도이다.
도 2는 본 발명의 일 실시예에 따라 k개의 호스트, n번의 분석 주기 동안의 벡터 공간을 도시하는 도면이다.1 is a structural diagram of a scanning attack detecting apparatus in a control network according to an embodiment of the present invention.
FIG. 2 is a diagram illustrating vector spaces for k hosts, n analysis periods, according to an embodiment of the present invention.

이하에서는 도면을 참조하여 본 발명의 바람직한 실시예들을 상세히 설명한다. 이하 설명 및 첨부된 도면들에서 실질적으로 동일한 구성요소들은 각각 동일한 부호들로 나타냄으로써 중복 설명을 생략하기로 한다. 또한 본 발명을 설명함에 있어 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그에 대한 상세한 설명은 생략하기로 한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the drawings. In the following description and the accompanying drawings, substantially the same components are denoted by the same reference numerals, and redundant description will be omitted. In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear.

도 1은 본 발명의 일 실시예에 따른 제어 네트워크에서의 스캐닝 공격 탐지 장치의 구조도이다.1 is a structural diagram of a scanning attack detecting apparatus in a control network according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일 실시예에 따른 제어 네트워크에서의 스캐닝 공격 탐지 장치(100)는 벡터공간 생성 모듈(110) 및 연관성 분석 모듈(120)을 포함하여 구성된다.Referring to FIG. 1, a scanning attack detection apparatus 100 in a control network according to an embodiment of the present invention includes a vector space generation module 110 and a relevance analysis module 120.

벡터공간 생성 모듈(110)은 제어 네트워크 또는 시스템에서 발생하는 NSM 이벤트를 수집하여 벡터 공간으로 구성하기 위한 것으로, 이벤트 수집부(111) 및 이벤트 필터링부(112)를 포함하여 구성될 수 있다. The vector space generation module 110 is configured to collect NSM events occurring in the control network or the system and construct vector space, and may include an event collection unit 111 and an event filtering unit 112.

이벤트 수집부(111)는 제어 네트워크 내의 관리 대상 시스템에서 발생하는 NSM 이벤트 중 하나 이상을 수신하여 분석 주기마다 D-차원의 벡터를 구성한다. The event collecting unit 111 receives at least one of the NSM events occurring in the managed system in the control network and constructs a D-dimensional vector for each analysis period.

예를 들어, 이벤트 수집부(111)는 비정상적 접근 알람(NetAcsAlm), 비정상적 객체 접근 알람(ObjAcsAlm), 인가되지 않은 데이터 접근 횟수(DatUnAuthAcsCnt) 및 인가되지 않은 사용자 접속 시도 횟수(UnAuthUsrCnt) 중 하나 이상을 수신하여 분석 주기마다 D-차원의 벡터를 구성할 수 있다.For example, the event collecting unit 111 may acquire at least one of an abnormal access alarm (NetAcsAlm), an abnormal object access alarm (ObjAcsAlm), an unauthorized data access number (DatUnAuthAcsCnt), and an unauthorized user access attempt number (UnautUsrCnt) D-dimensional vectors can be constructed for each analysis period.

이 경우, 호스트 i에서 분석 주기 j에 수신된 이벤트를 이용하여 구성되는 벡터는 수학식 1과 같이 표현될 수 있다. 여기서, d는 이벤트 종류의 개수를 의미하는 것으로, 수신하는 이벤트의 종류에 비례하여 d가 증가한다.In this case, a vector constituted using the event received in the analysis period j at the host i can be expressed as Equation (1). Here, d means the number of event types, and d increases in proportion to the type of event to be received.

Figure pat00001
Figure pat00001

k개의 호스트에 대해 n번의 분석 주기 동안 수집된 이벤트에 대한 벡터 공간은 도 2와 같이 나타낼 수 있다.The vector space for events collected during n analysis cycles for k hosts can be represented as in FIG.

이벤트 필터링부(112)는 이벤트 수집부(111)에 의해 수신된 이벤트 중 시공간 연관분석에 영향을 미치지 않는 데이터를 제거한다. The event filtering unit 112 removes data that does not affect the space-time association analysis among the events received by the event collecting unit 111.

예를 들어, 하나의 호스트에서만 발생하는 알람은 시공간 연관분석을 수행할 의미가 없으므로 제거할 수 있다.For example, alarms occurring on only one host can be removed because there is no sense to perform a space-time association analysis.

연관성 분석 모듈(120)은 벡터공간 생성 모듈(110)에 의해 구성된 벡터간 거리를 기반으로 군집화하고 군집의 구성 요소들 간의 연관성을 분석하여 이상징후를 탐지하기 위한 것으로, 벡터 군집화부(121) 및 이상징후 탐지부(122)를 포함하여 구성될 수 있다. The association analysis module 120 clusters based on the distance between vectors constituted by the vector space generation module 110 and analyzes the association between the elements of the cluster to detect an abnormal symptom. The association analysis module 120 includes a vector clustering part 121, And an abnormality symptom detection unit 122.

벡터 군집화부(121)는 벡터공간 생성 모듈(110)에 의해 구성된 벡터를 거리를 기반으로 클러스터링하여 하나 이상의 군집으로 분리한다. The vector clustering unit 121 clusters the vectors constituted by the vector space generation module 110 based on the distances and divides the vectors into one or more clusters.

이상징후 탐지부(122)는 벡터 군집화부(121)에 의해 분리된 하나 이상의 군집에서 가장 최근의 분석 주기에 발생한 벡터로만 이루어진 군집을 찾은 후, 해당 군집을 구성하는 벡터와 관련된 호스트를 검색하여 관리자에게 통보한다.The abnormality symptom detection unit 122 finds a cluster consisting only of the vectors generated in the most recent analysis cycle in one or more clusters separated by the vector clustering unit 121 and then searches for a host related to the vector constituting the cluster, .

이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.The present invention has been described with reference to the preferred embodiments. It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. Therefore, the disclosed embodiments should be considered in an illustrative rather than a restrictive sense. The scope of the present invention is defined by the appended claims rather than by the foregoing description, and all differences within the scope of equivalents thereof should be construed as being included in the present invention.

100: 스캐닝 공격 탐지 장치
110: 벡터공간 생성 모듈
111: 이벤트 수집부
112: 이벤트 필터링부
120: 연관성 분석 모듈
121: 벡터 군집화부
122: 이상징후 탐지부100: Scanning Attack Detector
110: vector space generation module
111: Event collecting unit
112: Event filtering unit
120: Association Analysis Module
121: vector clustering part
122: abnormality detection unit

Claims (1)

제어 네트워크 또는 시스템에서 발생하는 NSM(Network and Security Management) 이벤트를 수집하여 벡터 공간으로 구성하는 벡터공간 생성 모듈; 및
상기 벡터공간 생성 모듈에 의해 구성된 벡터간 거리를 기반으로 군집화하고 군집의 구성 요소들 간의 연관성을 분석하여 이상징후를 탐지하는 연관성 분석 모듈을 포함하는 제어 네트워크에서의 스캐닝 공격 탐지 장치.
A vector space generation module for collecting NSM (Network and Security Management) events occurring in the control network or the system and constructing the vector space as a vector space; And
And a relevance analysis module for performing clustering based on the distance between vectors configured by the vector space generation module and analyzing the association between the components of the cluster to detect an abnormal symptom.
KR1020130098443A 2013-08-20 2013-08-20 Scanning attack detection apparatus in control network KR101761798B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130098443A KR101761798B1 (en) 2013-08-20 2013-08-20 Scanning attack detection apparatus in control network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130098443A KR101761798B1 (en) 2013-08-20 2013-08-20 Scanning attack detection apparatus in control network

Publications (2)

Publication Number Publication Date
KR20150021282A true KR20150021282A (en) 2015-03-02
KR101761798B1 KR101761798B1 (en) 2017-07-26

Family

ID=53019726

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130098443A KR101761798B1 (en) 2013-08-20 2013-08-20 Scanning attack detection apparatus in control network

Country Status (1)

Country Link
KR (1) KR101761798B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106453367A (en) * 2016-10-27 2017-02-22 上海斐讯数据通信技术有限公司 Method and system for preventing address scanning attack based on SDN

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102002560B1 (en) * 2019-01-09 2019-10-01 엘에스웨어(주) Artificial intelligence based target account reconnaissance behavior detection apparatus

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006246067A (en) * 2005-03-03 2006-09-14 Nippon Telegraph & Telephone East Corp Apparatus and method for detecting normal traffic and computer program thereof
JP2007242002A (en) * 2006-02-10 2007-09-20 Mitsubishi Electric Corp Network management device and method, and program

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106453367A (en) * 2016-10-27 2017-02-22 上海斐讯数据通信技术有限公司 Method and system for preventing address scanning attack based on SDN

Also Published As

Publication number Publication date
KR101761798B1 (en) 2017-07-26

Similar Documents

Publication Publication Date Title
US10949534B2 (en) Method for predicting and characterizing cyber attacks
CN109067596B (en) Substation network security situation sensing method and system
CN109962891B (en) Method, device and equipment for monitoring cloud security and computer storage medium
CN107135093B (en) Internet of things intrusion detection method and detection system based on finite automaton
EP2487860B1 (en) Method and system for improving security threats detection in communication networks
KR101538709B1 (en) Anomaly detection system and method for industrial control network
KR101375813B1 (en) Active security sensing device and method for intrusion detection and audit of digital substation
CN111262722A (en) Safety monitoring method for industrial control system network
CN105264861A (en) Method and apparatus for detecting a multi-stage event
Rahal et al. A distributed architecture for DDoS prediction and bot detection
CN110213226A (en) Associated cyber attack scenarios method for reconstructing and system are recognized based on risk total factor
KR20150091775A (en) Method and System of Network Traffic Analysis for Anomalous Behavior Detection
CN111049680A (en) Intranet transverse movement detection system and method based on graph representation learning
KR20210115991A (en) Method and apparatus for detecting network anomaly using analyzing time-series data
CN108259202A (en) A kind of CA monitoring and pre-alarming methods and CA monitoring and warning systems
KR101281456B1 (en) Apparatus and method for anomaly detection in SCADA network using self-similarity
Wang et al. A centralized HIDS framework for private cloud
CN112287336A (en) Host security monitoring method, device, medium and electronic equipment based on block chain
Dong et al. Research on abnormal detection of ModbusTCP/IP protocol based on one-class SVM
KR101761798B1 (en) Scanning attack detection apparatus in control network
CN111935085A (en) Method and system for detecting and protecting abnormal network behaviors of industrial control network
CN106878338B (en) Telecontrol equipment gateway firewall integrated machine system
Ali et al. Probabilistic model checking for AMI intrusion detection
RU2737229C1 (en) Protection method of vehicle control systems against intrusions
EP2911362B1 (en) Method and system for detecting intrusion in networks and systems based on business-process specification

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant