KR20170081543A - 상황 정보 기반 이상징후 탐지 장치 및 방법 - Google Patents
상황 정보 기반 이상징후 탐지 장치 및 방법 Download PDFInfo
- Publication number
- KR20170081543A KR20170081543A KR1020160000701A KR20160000701A KR20170081543A KR 20170081543 A KR20170081543 A KR 20170081543A KR 1020160000701 A KR1020160000701 A KR 1020160000701A KR 20160000701 A KR20160000701 A KR 20160000701A KR 20170081543 A KR20170081543 A KR 20170081543A
- Authority
- KR
- South Korea
- Prior art keywords
- event
- context information
- information
- detecting
- situation information
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
상황 정보 기반 이상징후 탐지 장치 및 방법이 개시된다. 본 발명에 따른 상황 정보 기반 이상징후 탐지 장치는, 하나 이상의 이벤트 발생기로부터 하나 이상의 이벤트를 수신하는 수집부, 상기 이벤트의 각 필드를 상황영역에 매핑하여 상황정보를 생성하는 정규화부, 그리고 생성된 하나 이상의 상기 상황정보 간 연관성을 분석하는 분석부를 포함한다.
Description
본 발명은 상황 정보 기반 이상징후 탐지에 관한 것으로, 특히 네트워크 장비 및 보안 장비에서 발생하는 다양한 포맷의 이벤트를 분석하여 제어 시스템 및 제어 네트워크의 이상징후를 탐지하는 기술에 관한 것이다.
제어 시스템(Control System)은 컴퓨터 등을 이용하여 특정 작업이나 공정을 감시, 제어하여 목표하는 결과나 값을 얻는 시스템을 의미한다. 제어 시스템은 공장의 생산 및 품질 관리, 교통 관리, 전력 시스템, 수송 시스템, 로봇 등과 같이 산업의 모든 분야에 적용되고 있다.
이처럼 제어 시스템의 기술이 고도화되고, 시스템 간 커뮤니케이션 채널을 생성하여 데이터가 공유되면서, 제어 시스템 보안에 대한 중요성 또한 커지고 있다. 특히, 파이프라인시설과 같은 제어시스템을 겨냥한 사이버 표적공격 위협이 심화되고 있어, 대규모 물리적 재앙이 일어날 가능성 대두되고 있으며, 많은 제어시스템들이 공개된 표준 프로토콜을 사용함에 따라, 제어 시스템에 대한 사이버 침해의 가능성과 위험성이 높아지고 있다. 또한, 제어 네트워크는 고의적 침해나 비고의적인 행위에 의해서 안전한 시스템 운영을 방해 받을 수 있으며, 이는 경제적, 사회적으로 큰 손실로 이어질 수 있다.
제어 시스템에 대한 보안이 점차 강화되고 있으나, 제어 시스템의 실시간성, 가용성 등의 문제로 인해 기존의 IT 보안 장비를 적용하기에는 한계가 있다. 이러한 문제점을 해결하기 위하여 제어 시스템 및 제어 네트워크의 보안을 강화하기 위한 여러 가지 제품이 개발되고 있으며, 그 중 대표적인 기술이 이벤트 분석 기술이다. 여기서, 이벤트 분석 기술은 보안 침해사고 탐지, 위협 관리, 위협 인지, 포렌식 등에서 활용될 수 있으며, 특히 제어 시스템 및 제어 네트워크의 이상징후를 탐지하는데 도움이 될 수 있다.
따라서 이벤트 분석 기술을 이용하여 제어 시스템 및 제어 네트워크의 침해별도의 사고를 사전에 탐지할 수 있는 제어 시스템 및 제어 네트워크의 이상징후를 탐지하는 기술의 필요성이 절실하게 대두된다.
본 발명의 목적은 기존의 알려진 공격뿐만 아니라 알려지지 않은 이상징후를 인지하여 제어 시스템 및 제어 네트워크의 보안을 강화할 수 있도록 하는 것이다.
또한, 본 발명의 목적은 제어 네트워크의 고의적 침해 또는 비고의적 행위에 의한 시스템 운영 방해를 사전에 탐지함으로써 사회적, 경제적 손실을 막을 수 있도록 하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 상황 정보 기반 이상징후 탐지 장치는, 하나 이상의 이벤트 발생기로부터 하나 이상의 이벤트를 수신하는 수집부, 상기 이벤트의 각 필드를 상황영역에 매핑하여 상황정보를 생성하는 정규화부, 그리고 생성된 하나 이상의 상기 상황정보 간 연관성을 분석하는 분석부를 포함한다.
이 때, 상기 정규화부는, 상기 이벤트의 각 필드를 상기 필드의 의미에 대응되도록 상기 상황영역에 매핑하며, 상기 상황영역은, 주체(Who), 시간(When), 장소(Where), 목적(What), 방법(How) 중에서 적어도 하나를 포함할 수 있다.
이 때, 각각의 상기 필드는 하나의 상기 상황영역에 매핑되고, 각각의 상기 상황영역은 매핑된 상기 필드가 없거나, 하나 이상의 상기 필드들과 매핑될 수 있다.
이 때, 상기 정규화부는, 사용자로부터 입력된 매핑 입력을 이용하여 상기 각 필드를 상기 상황영역에 매핑할 수 있다.
이 때, 상기 분석부는, 분석의 기준이 되는 필드인 기준값을 포함하는 복수의 상기 상황정보를 추출하고, 상기 복수의 상황정보에 중복되어 포함된 상기 필드 각각의 상황영역을 서로 비교하여 시스템 및 네트워크의 이상징후를 탐지할 수 있다.
또한, 본 발명의 일실시예에 따른 상황 정보 기반 이상징후 탐지 장치에 의해 수행되는 이상징후 탐지 방법은, 하나 이상의 이벤트 발생기로부터 하나 이상의 이벤트를 수신하는 단계, 상기 이벤트의 각 필드를 상황영역에 매핑하여 상황정보를 생성하는 단계, 그리고 생성된 하나 이상의 상기 상황정보 간 연관성을 분석하는 단계를 포함한다.
본 발명에 따르면, 기존의 알려진 공격뿐만 아니라 알려지지 않은 이상징후를 인지하여 제어 시스템 및 제어 네트워크의 보안을 강화할 수 있다.
또한, 본 발명에 따르면 제어 네트워크의 고의적 침해 또는 비고의적 행위에 의한 시스템 운영 방해를 사전에 탐지함으로써 사회적, 경제적 손실을 막을 수 있다.
도 1은 본 발명의 일실시예에 따른 상황 정보 기반 이상징후 탐지 시스템을 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 상황 정보 기반 이상징후 탐지 장치의 구성을 나타낸 블록도이다.
도 3은 본 발명이 실시예에 따른 상황 정보 기반 이상징후 탐지 방법을 나타낸 순서도이다.
도 4는 본 발명의 일실시예에 따른 상황 정보의 구성을 나타낸 도면이다.
도 5는 본 발명의 일실시예에 따른 연관성 분석 과정을 설명하기 위한 도면이다.
도 2는 본 발명의 일실시예에 따른 상황 정보 기반 이상징후 탐지 장치의 구성을 나타낸 블록도이다.
도 3은 본 발명이 실시예에 따른 상황 정보 기반 이상징후 탐지 방법을 나타낸 순서도이다.
도 4는 본 발명의 일실시예에 따른 상황 정보의 구성을 나타낸 도면이다.
도 5는 본 발명의 일실시예에 따른 연관성 분석 과정을 설명하기 위한 도면이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일실시예에 따른 상황 정보 기반 이상징후 탐지 시스템을 나타낸 도면이다.
도 1에 도시한 바와 같이, 상황 정보 기반 이상징후 탐지 시스템은 하나 이상의 이벤트 발생기(100a, 100b, ... 100n)과 상황 정보 기반 이상징후 탐지 장치(200)를 포함하며, 저장소(300)를 더 포함할 수 있다.
먼저, 이벤트 발생기(100)는 제어 시스템 및 제어 네트워크 상에서 감사 증적(audit trails), 네트워크 패킷, 응용 증적(application trails)에 관한 사건인 이벤트를 발생시킨다.
여기서, 감사 증적 데이터는 운영체제에서 제공하는 감사 프로세스가 시스템에서 침입으로 의심되는 행위를 발견하였을 경우, 이를 감사 기록의 사건으로 기록한 것을 의미하고, 응용 증적은 운영체제에서 제공하지 않는 별도의 감사 도구(auditing tool)가 침입으로 의심되는 행위를 발견하였을 경우, 이를 사건으로 기록한 것을 의미한다. 또한, 네트워크 패킷 데이터는 네트워크 상에서 침입으로 의심되는 패킷이 발견되었을 경우 이를 사건으로 기록한 것을 의미한다.
다음으로, 상황 정보 기반 이상징후 탐지 장치(200)는 하나 이상의 이벤트 발생기(100)로부터 이벤트를 수집하고, 수집된 복수의 이벤트간 연관성을 분석하여 이상징후를 탐지한다.
상황 정보 기반 이상징후 탐지 장치(200)는 이벤트 발생기(100)로부터 수집된 정보를 4W1H(Who, What When, Where, How) 기반의 상황 정보로 그룹핑하며, 그룹핑된 상황 정보들 사이의 연관성을 분석하여 이상징후를 탐지한다.
마지막으로, 저장소(300)는 필요에 따라 수집된 이벤트 또는 분석된 연관성 등을 저장할 수 있다. 또한, 저장소(300)는 이벤트의 각 필드가 의미 기반의 상황정보로 정규화된 결과를 저장할 수도 있다.
설명의 편의상 저장소(300)가 상황 정보 기반 이상징후 탐지 장치(200)와 별개의 장치로 구성되는 것으로 설명하였으나, 이에 한정하지 않고, 상황 정보 기반 이상징후 탐지 장치(200)는 저장소(300)를 포함하여 구현될 수 있다.
도 2는 본 발명의 일실시예에 따른 상황 정보 기반 이상징후 탐지 장치의 구성을 나타낸 블록도이다.
도 2에 도시된 바와 같이, 상황 정보 기반 이상징후 탐지 장치(200)는 수집부(210), 정규화부(220) 및 분석부(230)를 포함한다.
먼저, 수집부(210)는 하나 이상의 이벤트 발생기(100)로부터 하나 이상의 이벤트를 수신한다.
그리고 정규화부(220)는 수신된 이벤트의 각 필드를 상황영역에 매핑하여 상황정보를 생성한다. 이때, 정규화부(220)는 이벤트의 각 필드를 해당 필드의 의미에 대응되도록 상황영역에 매핑하며, 각각의 필드는 하나의 상황영역에 매핑된다. 여기서, 상황영역은 주체(Who), 시간(When), 장소(Where), 목적(What), 방법(How) 중에서 적어도 하나를 포함하며, 각각의 상황영역은 매핑된 필드가 없거나, 하나 이상의 필드들과 매핑될 수 있다.
또한, 정규화부(220)는 사용자로부터 입력된 매핑 입력을 이용하여 각 필드를 상황영역에 매핑할 수 있다.
다음으로 분석부(230)는 생성된 하나 이상의 상황정보 간 연관성을 분석한다. 분석부(230)는 분석의 기준이 되는 필드인 기준값을 포함하는 복수의 상황정보를 추출하고, 복수의 상황정보에 중복되어 포함된 필드 각각의 상황영역을 서로 비교하여 시스템 및 네트워크의 이상징후를 탐지할 수 있다.
이하에서는 도 3 내지 도 5를 통하여 본 발명의 일실시예에 따른 상황 정보 기반 이상징후 탐지 장치에 의한 상황 정보 기반 이상징후 탐지 방법에 대하여 더욱 상세하게 설명한다.
도 3은 본 발명이 실시예에 따른 상황 정보 기반 이상징후 탐지 방법을 나타낸 순서도이다.
먼저, 상황 정보 기반 이상징후 탐지 장치(200)는 하나 이상의 이벤트 발생기(100)로부터 이벤트를 수신한다(S310). 필요에 따라, 상황 정보 기반 이상징후 탐지 장치(200)는 수신된 이벤트를 저장할 수 있다.
그리고 상황 정보 기반 이상징후 탐지 장치(200)는 수신된 이벤트를 이용하여 상황정보를 생성한다(S320).
여기서, 상황정보는 수신된 이벤트의 각 필드를 상황영역에 매핑하여 생성한 것으로, 특히, 상황 정보 기반 이상징후 탐지 장치(200)는 이벤트의 각 필드의 의미에 대응되도록 상황영역에 매핑할 수 있다.
이때, 상황영역은 주체(Who), 시간(When), 장소(Where), 목적(What), 방법(How) 중에서 적어도 하나를 포함하며, 각각의 상황영역은 매핑된 필드가 없거나, 하나 이상의 필드들과 매핑될 수 있다.
도 4는 본 발명의 일실시예에 따른 상황 정보의 구성을 나타낸 도면이다.
도 4에 도시된 바와 같이, 이벤트 발생기(100)로부터 트래픽 세션 이벤트를 수신한 경우, 상황 정보 기반 이상징후 탐지 장치(200)는 트래픽 세션 이벤트의 각각의 필드를 상황 영역에 매핑한다.
예를 들어, 트래픽 세션 이벤트의 소스 주소(SRCIP), 소스 포트(SCRPORT), 목적지 주소(DSTIP), 목적지 포트(DSTPORT), 프로토콜(PROTO) 등의 5-tuple은 Who 상황영역에 매핑되고, 세션 상태(SSN STATUS)는 What 상황영역에 매핑될 수 있으며, 세션 시작 시간(FIRSTTIME)과 세션 종료 시간(LASTTIME) 등은 시간을 나타내는 When 상황영역에 매핑될 수 있다.
그리고, 송신 메시지 개수(MSGSENT CNT), 송신 메시지 바이트(MSGSENT BYTE), 수신 메시지 개수(MSGRCVD CNT), 수신 메시지 바이트(MSGRCVD BYTE) 등의 필드는 How 상황영역에 매핑될 수 있으며, Where 상황영역은 매핑된 필드가 없을 수 있다.
설명의 편의상 도 4와 같이 각각의 필드가 상황영역에 매핑되는 것으로 설명하였으나, 수신하는 이벤트의 종류 및 이벤트 필드의 의미에 따라 매핑 내용은 다양하게 구성될 수 있다.
또한, 상황 정보 기반 이상징후 탐지 장치(200)는 사용자로부터 입력된 매핑 입력을 이용하여 각 필드를 상황영역에 매핑할 수 있으며, 사용자가 수신된 이벤트의 종류 및 이벤트의 각 필드의 의미를 해석하는 방식에 따라 다양한 상황 정보가 구성될 수 있다.
다음으로 상황 정보 기반 이상징후 탐지 장치(200)는 생성된 상황정보간 연관성을 분석한다(S330).
상황 정보 기반 이상징후 탐지 장치(200)는 S320 단계에서 생성된 복수의 상황 정보를 대상으로 상황정보간 연관성을 분석한다. 이때, 상황 정보 기반 이상징후 탐지 장치(200)는 분석의 기준이 되는 값이 나타나는 복수의 상황정보를 추출하고, 추출된 상황정보들의 모순점을 확인하는 방법으로 연관성을 분석할 수 있다.
마지막으로, 상황 정보 기반 이상징후 탐지 장치(200)는 연관성을 이용하여 제어 시스템 및 제어 네트워크의 이상징후를 탐지한다(S340).
도 5는 본 발명의 일실시예에 따른 연관성 분석 과정을 설명하기 위한 도면이다.
도 5와 같이, IP 주소를 기준으로 연관성을 찾고자 하는 경우, IP 주소(Ex. 10.10.10.10)는 Who 상황영역에 포함될 수도 있고, What 상황영역이나, Where 상황영역에 포함될 수도 있다. 즉, 동일한 IP 주소가 트래픽 세션 이벤트와 방화벽 이벤트와 프로세스 로그 등에 동시에 포함되어 있을 수 있다.
이때, 동일한 IP 주소가 방화벽 차단 이벤트와 트래픽 세션 이벤트에 동시에 포함되어 있다면, 이것은 네트워크 설정이 잘못 되어있다는 것을 의미하거나, 이상 징후를 의미할 수 있다. 따라서, 상황 정보 기반 이상징후 탐지 장치(200)는 동일한 IP 주소를 포함하는 상황정보를 이용하여 제어 네트워크 및 제어 시스템의 이상징후를 탐지한다.
이와 같이, 본 발명의 실시예에 따르면, 상황 정보 기반 이상징후 탐지 장치 및 방법을 이용함으로써, 기존의 알려진 공격뿐만 아니라 알려지지 않은 이상징후를 인지하여 제어 시스템 및 제어 네트워크의 보안을 강화할 수 있고, 제어 네트워크의 고의적 침해 또는 비고의적 행위에 의한 시스템 운영 방해를 사전에 탐지함으로써 사회적, 경제적 손실을 막을 수 있다.
이상에서와 같이 본 발명에 따른 상황 정보 기반 이상징후 탐지 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
100: 이벤트 발생기
200: 상황 정보 기반 이상징후 탐지 장치
210: 수집부
220: 정규화부
230: 분석부
300: 저장소
200: 상황 정보 기반 이상징후 탐지 장치
210: 수집부
220: 정규화부
230: 분석부
300: 저장소
Claims (1)
- 하나 이상의 이벤트 발생기로부터 하나 이상의 이벤트를 수신하는 수집부,
상기 이벤트의 각 필드를 상황영역에 매핑하여 상황정보를 생성하는 정규화부, 그리고
생성된 하나 이상의 상기 상황정보 간 연관성을 분석하는 분석부
를 포함하는 상황 정보 기반 이상징후 탐지 장치.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160000701A KR20170081543A (ko) | 2016-01-04 | 2016-01-04 | 상황 정보 기반 이상징후 탐지 장치 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160000701A KR20170081543A (ko) | 2016-01-04 | 2016-01-04 | 상황 정보 기반 이상징후 탐지 장치 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20170081543A true KR20170081543A (ko) | 2017-07-12 |
Family
ID=59353161
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020160000701A KR20170081543A (ko) | 2016-01-04 | 2016-01-04 | 상황 정보 기반 이상징후 탐지 장치 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20170081543A (ko) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20190048273A (ko) | 2017-10-31 | 2019-05-09 | 주식회사 윈스 | 프로파일링 기반의 통계 학습을 활용한 이상 징후 탐지 장치 및 방법 |
| KR20190048264A (ko) | 2017-10-31 | 2019-05-09 | 주식회사 윈스 | 패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 장치 및 방법 |
| KR20190050521A (ko) | 2017-11-03 | 2019-05-13 | 주식회사 윈스 | 프로파일링 기반의 기계 학습을 활용한 이상 징후 탐지 장치 및 방법 |
| KR20190083764A (ko) * | 2018-01-05 | 2019-07-15 | 다운정보통신(주) | 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법 |
-
2016
- 2016-01-04 KR KR1020160000701A patent/KR20170081543A/ko unknown
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20190048273A (ko) | 2017-10-31 | 2019-05-09 | 주식회사 윈스 | 프로파일링 기반의 통계 학습을 활용한 이상 징후 탐지 장치 및 방법 |
| KR20190048264A (ko) | 2017-10-31 | 2019-05-09 | 주식회사 윈스 | 패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 장치 및 방법 |
| KR20190050521A (ko) | 2017-11-03 | 2019-05-13 | 주식회사 윈스 | 프로파일링 기반의 기계 학습을 활용한 이상 징후 탐지 장치 및 방법 |
| KR20190083764A (ko) * | 2018-01-05 | 2019-07-15 | 다운정보통신(주) | 매트릭스 기반 화이트리스트 생성 및 이상행위 탐지 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2953298B1 (en) | Log analysis device, information processing method and program | |
| Pilli et al. | Network forensic frameworks: Survey and research challenges | |
| US20150341380A1 (en) | System and method for detecting abnormal behavior of control system | |
| CN103795709A (zh) | 一种网络安全检测方法和系统 | |
| Mansmann et al. | Visual support for analyzing network traffic and intrusion detection events using TreeMap and graph representations | |
| Radoglou-Grammatikis et al. | Implementation and detection of modbus cyberattacks | |
| KR20170081543A (ko) | 상황 정보 기반 이상징후 탐지 장치 및 방법 | |
| KR102001813B1 (ko) | Dnn 알고리즘을 이용한 비표준 프로토콜 페이로드 이상행위 탐지 장치 및 방법 | |
| CN214306527U (zh) | 一种燃气管网调度监控网络安全系统 | |
| Fallahi et al. | Automated flow-based rule generation for network intrusion detection systems | |
| CN112822151A (zh) | 面向控制网络工业计算机的多层精准主动网络攻击检测方法及系统 | |
| CN114553537A (zh) | 一种面向工业互联网的异常流量监测方法和系统 | |
| Ghabban et al. | Comparative analysis of network forensic tools and network forensics processes | |
| Zhou et al. | Netsecradar: A visualization system for network security situational awareness | |
| Waagsnes et al. | Intrusion Detection System Test Framework for SCADA Systems. | |
| Roh et al. | Cyber security system with FPGA-based network intrusion detector for nuclear power plant | |
| CN108040075B (zh) | 一种apt攻击检测系统 | |
| Asiri et al. | Investigating usable indicators against cyber-attacks in industrial control systems | |
| Amza et al. | Hybrid network intrusion detection | |
| Binnar et al. | Cyber forensic case study of waste water treatment plant | |
| CN115664833B (zh) | 基于局域网安全设备的网络劫持检测方法 | |
| Chovanec et al. | DIDS based on hybrid detection | |
| Kshirsagar et al. | Network Intrusion Detection based on attack pattern | |
| Atkison et al. | Feature Extraction Optimization for Network Intrusion Detection in Control System Networks. | |
| Gawande | DDoS detection and mitigation using machine learning |