CN109902709B - 一种基于对抗学习的工业控制***恶意样本生成方法 - Google Patents
一种基于对抗学习的工业控制***恶意样本生成方法 Download PDFInfo
- Publication number
- CN109902709B CN109902709B CN201910011642.4A CN201910011642A CN109902709B CN 109902709 B CN109902709 B CN 109902709B CN 201910011642 A CN201910011642 A CN 201910011642A CN 109902709 B CN109902709 B CN 109902709B
- Authority
- CN
- China
- Prior art keywords
- industrial control
- sample
- control system
- malicious
- classifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000001514 detection method Methods 0.000 claims abstract description 36
- 238000010801 machine learning Methods 0.000 claims abstract description 24
- 238000005457 optimization Methods 0.000 claims abstract description 19
- 238000004891 communication Methods 0.000 claims description 37
- 238000013528 artificial neural network Methods 0.000 claims description 12
- 230000002159 abnormal effect Effects 0.000 claims description 11
- 230000000694 effects Effects 0.000 claims description 10
- 230000006870 function Effects 0.000 claims description 10
- 238000012549 training Methods 0.000 claims description 9
- 238000012360 testing method Methods 0.000 claims description 6
- 230000003042 antagnostic effect Effects 0.000 claims description 3
- 238000011478 gradient descent method Methods 0.000 claims description 3
- 238000004422 calculation algorithm Methods 0.000 description 7
- 238000011160 research Methods 0.000 description 6
- 238000013461 design Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B13/00—Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion
- G05B13/02—Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric
- G05B13/0265—Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric the criterion being a learning criterion
- G05B13/027—Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric the criterion being a learning criterion using neural networks only
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/047—Probabilistic or stochastic networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/094—Adversarial learning
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/31—From computer integrated manufacturing till monitoring
- G05B2219/31244—Safety, reconnect network automatically if broken
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Artificial Intelligence (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Evolutionary Computation (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Biophysics (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Computational Linguistics (AREA)
- Biomedical Technology (AREA)
- Molecular Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Automation & Control Theory (AREA)
- Probability & Statistics with Applications (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Virology (AREA)
- Quality & Reliability (AREA)
- Manufacturing & Machinery (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于对抗学习的工业控制***恶意样本生成方法。该方法通过对抗学习技术,利用优化解法计算出基于机器学习方法的工业控制入侵检测***的对抗样本。原来能被入侵检测***发现的攻击样本,经过该方法处理后能生成对应的新对抗样本。这种对抗样本可以绕过原有的入侵检测器(被识别为正常),仍保持攻击效果。本发明通过主动生成工业控制***恶意样本,有效保障工业控制***安全,防患于未然。
Description
技术领域
本发明属于工业控制***安全领域,涉及一种基于对抗学习的工业控制***恶意样本生成方法。
背景技术
频频发生的工业控制***安全事件引起世界各国的高度重视。为了积极应对工控安全问题,各种应对措施纷纷展开,如规范标准的制定、入侵检测的部署。在工业控制***中,基于网络的入侵检测器是非常典型且常见的。通过在应用网络(IT)和控制网络(OT)之间部署网络异常检测装置,可以极大地提高工控***的安全性。目前,基于机器学习的异常检测算法可以在网络异常流量识别中实现较好的性能。这些机器学习技术能够从大量工业控制***历史数据中找出其内在行为模式以构建异常检测***。
而另一方面,现有的基于机器学习算法的工业控制***入侵检测器存在脆弱的地方。机器学习模型在实际应用的时候很容易被攻击者故意生成的对抗样本操纵。攻击者通过对测试示例进行微小的修改,就能让算法模型产生与正常输出完全不同的结果。让模型产生错误预测结果的样本叫做对抗样本。主动对机器学习设计生成对抗性攻击的研究被称为对抗机器学习研究。这种对抗攻击给使用机器学习的***带来了潜在的安全威胁,尤其是对于诸如工业控制等对安全需求很高的***。
对于基于机器学习算法的工业控制***入侵检测***,如果受到攻击者蓄意的对抗攻击,会无法正常识别出原本能识别的恶意流量。这会给工控***带来很大的安全隐患。目前现有的工控安全入侵检测研究缺少对于对抗学习部分的研究,而模拟攻击者主动生成针对工控机器学习检测算法的对抗样本是十分有意义的。因此,有必要对工业控制入侵检测***展开对抗机器学习研究,主动生成能绕过检测器完成隐蔽性攻击的对抗样本,从而保证***安全,防患于未然。
发明内容
本发明的目的在于针对目前工业控制***安全的欠缺和不足,提供一种基于对抗学习的工业控制***恶意样本生成方法。
本发明的目的是通过以下技术方案来实现的:一种基于对抗学习的工业控制***恶意样本生成方法,包括如下步骤:
(1)对抗样本生成者对工业控制***通信数据进行嗅探,获得与工业控制入侵检测***所使用的训练数据同分布的通信数据,并对通信数据标记类别标签,类别包括异常和正常,其中的异常通信数据作为原始攻击样本。工业控制入侵检测***为现有的基于机器学习方法的工业控制入侵检测***。
(2)对工业控制***通信数据进行协议解析工作,识别、提取其中有效特征,包括:通信数据的源IP地址(SIP)、源端口号(SP)、目的IP地址(DIP)、目的端口号(DP)、包间隔时间(Time delta)、包发送时间(Time)、包功能码(Function code)等。
(3)根据步骤(2)提取的有效特征建立机器学习分类器,利用有标签的工业控制***通信数据对机器学习分类器进行训练,得到训练好的用于分辨正常或异常通信数据的分类器。
(4)利用步骤(3)建立的分类器,将工业控制入侵检测***的对抗学习问题转化成如下优化问题,求解优化问题得到最终的对抗样本。
x*=arg ming(x)
s.t.d(x*,x0)<dmax
其中g(x)为对抗样本x*被判为异常样本的可能性,通过分类器计算得到;d(x*,x0)为对抗样本和原始攻击样本的距离,dmax表示工业控制***允许的最大欧式距离,即超过此距离对抗样本无恶意效果。
(5)将步骤(4)生成的对抗样本在实际工业控制***中进行测试,若能成功绕过工业控制入侵检测***并且保留攻击效果则视为有效的对抗样本,否则舍弃该对抗样本。
进一步地,所述步骤(1)中,对抗样本生成者应为黑盒攻击者,不能直接获得与工业控制入侵检测***(检测方)完全相同的数据。
进一步地,所述步骤(2)中,针对不同的工业控制***通信协议可以提取出不同的有效特征。常用的工业控制***通信协议包括Modbus、PROFIBUS、DNP3、BACnet、Siemens S7等。其中每种通信协议有对应的格式与应用场景,根据具体场景可以解析不同的通信协议,得出有效特征集合。
进一步地,所述步骤(3)中,对抗样本生成者训练所用的分类器可以是和工业控制入侵检测***即检测方不一样的分类器,对抗样本生成者生成的分类器可被称为对抗学习的本地替代模型,其原理是对抗学习攻击的可迁移性。
进一步地,所述步骤(4)中,具体优化问题解法包括梯度下降法、牛顿法、COBYLA(for Constrained Optimization BY Linear Approximations)方法等。
进一步地,所述步骤(4)中,距离的表达方法包括一范式距离、二范式距离、无穷范式距离。
进一步地,所述步骤(4)中,机器学习分类器采用神经网络,其概率计算方式如下:
其中p为预测概率,x(i)为样本x的第i个特征,y为样本x所对应的标签j,θ为神经网络参数,θj为标签j对应的神经网络参数,k为标签的总数;
进一步地,所述步骤(4)中,对于特定控制场景,需要在优化问题中加入对变量的特殊约束,如某场景的包功能码是确定的,则对抗样本不能在该维度上做改变。即该方法在应用时,为保证生成的对抗样本能有效的完成恶意攻击效果,生成者需要根据特定的场景对特定维度的变量在做优化问题设计时加上不同的约束条件。
本发明的有益效果是:基于对抗学习的工业控制***恶意样本生成方法,增加了工业控制***安全性。将原有的对抗学习研究领域从机器视觉、语音等扩展到了工业控制领域。增强了基于机器学习的工业控制入侵检测***安全性能,防止恶意样本的攻击。
附图说明
图1是本发明方法实现框图。
图2是分发明方法仿真结果图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步详细说明。
本发明提供的一种基于对抗学习的工业控制***恶意样本生成方法,如图1所示,包括如下步骤:
(1)对抗样本生成者对工业控制***通信数据进行嗅探,获得与工业控制入侵检测***所使用的训练数据同分布的通信数据,并对通信数据标记类别标签,类别包括异常和正常,其中的异常通信数据作为原始攻击样本。工业控制入侵检测***为现有的基于机器学习方法的工业控制入侵检测***。
其中,对抗样本生成者应为黑盒攻击者,不能直接获得与工业控制入侵检测***(检测方)完全相同的数据。
(2)对工业控制***通信数据进行协议解析工作,识别、提取其中有效特征,包括:通信数据的源IP地址(SIP)、源端口号(SP)、目的IP地址(DIP)、目的端口号(DP)、包间隔时间(Time delta)、包发送时间(Time)、包功能码(Function code)等。
针对不同的工业控制***通信协议可以提取出不同的有效特征。常用的工业控制***通信协议包括Modbus、PROFIBUS、DNP3、BACnet、Siemens S7等。其中每种通信协议有对应的格式与应用场景,根据具体场景可以解析不同的通信协议,得出有效特征集合。
(3)根据步骤(2)提取的有效特征建立机器学习分类器,利用有标签的工业控制***通信数据对机器学习分类器进行训练,得到训练好的用于分辨正常或异常通信数据的分类器。
对抗样本生成者训练所用的分类器可以是和工业控制入侵检测***即检测方不一样的分类器,对抗样本生成者生成的分类器可被称为对抗学习的本地替代模型,其原理是对抗学习攻击的可迁移性。
(4)利用步骤(3)建立的分类器,将工业控制入侵检测***的对抗学习问题转化成如下优化问题,求解优化问题得到最终的对抗样本。
x*=arg ming(x)
s.t.d(x*,x0)<dmax
其中x(x)为对抗样本x*被判为异常样本的可能性,通过分类器计算得到;d(x*,x0)为对抗样本和原始攻击样本的距离,dmax表示工业控制***允许的最大欧式距离,即超过此距离对抗样本无恶意效果。
具体优化问题解法可以采用梯度下降法、牛顿法、COBYLA(for ConstrainedOptimization BY Linear Approximations)方法等。距离的表达方法可以采用一范式距离、二范式距离、无穷范式距离等。
对于特定控制场景,需要在优化问题中加入对变量的特殊约束,如某场景的包功能码是确定的,则对抗样本不能在该维度上做改变。即该方法在应用时,为保证生成的对抗样本能有效的完成恶意攻击效果,生成者需要根据特定的场景对特定维度的变量在做优化问题设计时加上不同的约束条件。
机器学习分类器可以采用神经网络,采用神经网络时,其概率计算方式如下:
其中p为预测概率,x(i)为样本x的第i个特征,y为样本x所对应的标签j,θ为神经网络参数,θj为标签j对应的神经网络参数,k为标签的总数;
(5)将步骤(4)生成的对抗样本在实际工业控制***中进行测试,若能成功绕过工业控制入侵检测***并且保留攻击效果则视为有效的对抗样本,否则舍弃该对抗样本。
以下以一个具体的应用场景为例,产生工业控制入侵检测***对抗样本过程如下:
1.嗅探得到现有的基于机器学习算法的工业控制***入侵检测器所使用的通信数据;初始攻击样本包括注入攻击、功能码攻击、窃听攻击。
2.进行协议解析,如西门子S7comm协议,解析得到源IP,目的IP,端口号,功能码,子功能码,包间隔时间等特征;
3.在本地生成替代分类器,如用多层感知机生成基本的神经网络算法;
4.根据该神经网络设计成优化求解问题,并加入该具体应用场景的使用约束,如功能码的固定选值,其他网络特征为离散正整数值等;
5.利用COBYLA方法计算得到对抗样本,并在工业控制***安全测试平台中测试其对抗效果,三种初始攻击样本的攻击成功率见图2。通过图2可以看出,本发明方法对窃听攻击的攻击成功率达到100%,对功能码攻击的攻击成功率达到80%,注入攻击由于实际攻击复杂,较难完成原始攻击样本与对抗样本的转化,其攻击成功率仍然能够达到20%。
上述实施例用来解释说明本发明,而不是对本发明进行限制,在本发明的精神和权利要求的保护范围内,对本发明作出的任何修改和改变,都落入本发明的保护范围。
Claims (8)
1.一种基于对抗学习的工业控制***恶意样本生成方法,其特征在于,包含以下步骤;
(1)对抗样本生成者对工业控制***通信数据进行嗅探,获得与工业控制入侵检测***所使用的训练数据同分布的通信数据,并对通信数据标记类别标签,其中的异常通信数据作为原始攻击样本;
(2)对工业控制***通信数据进行协议解析工作,识别、提取其中有效特征,包括:通信数据的源IP地址SIP、源端口号SP、目的IP地址DIP、目的端口号DP、包间隔时间Time delta、包发送时间Time、包功能码Function code;
(3)根据步骤(2)提取的有效特征建立机器学习分类器,利用有标签的工业控制***通信数据对机器学习分类器进行训练,得到训练好的用于分辨正常或异常通信数据的分类器;
(4)利用步骤(3)建立的分类器,将工业控制入侵检测***的对抗学习问题转化成如下优化问题,求解优化问题得到最终的对抗样本;
x*=arg min g(x)
s.t.d(x*,x0)<dmax
其中g(x)为对抗样本x*被判为异常样本的可能性,通过分类器计算得到;d(x*,x0)为对抗样本和原始攻击样本的距离,dmax表示工业控制***允许的最大欧式距离,即超过此距离对抗样本无恶意效果;
(5)将步骤(4)生成的对抗样本在实际工业控制***中进行测试,若能成功绕过工业控制入侵检测***并且保留攻击效果则视为有效的对抗样本,否则舍弃该对抗样本。
2.根据权利要求1所述的一种基于对抗学习的工业控制***恶意样本生成方法,其特征在于,所述步骤(1)中,对抗样本生成者应为黑盒攻击者,不能直接获得与工业控制入侵检测***即检测方完全相同的数据。
3.根据权利要求1所述的一种基于对抗学习的工业控制***恶意样本生成方法,其特征在于,所述步骤(2)中,针对不同的工业控制***通信协议可以提取出不同的有效特征;常用的工业控制***通信协议包括Modbus、PROFIBUS、DNP3、BACnet、Siemens S7;其中每种通信协议有对应的格式与应用场景,根据具体场景可以解析不同的通信协议,得出有效特征集合。
4.根据权利要求1所述的一种基于对抗学习的工业控制***恶意样本生成方法,其特征在于,所述步骤(3)中,对抗样本生成者训练所用的分类器可以是和工业控制入侵检测***不一样的分类器,对抗样本生成者生成的分类器可被称为对抗学习的本地替代模型,其原理是对抗学习攻击的可迁移性。
5.根据权利要求1所述的一种基于对抗学习的工业控制***恶意样本生成方法,其特征在于,所述步骤(4)中,具体优化问题解法包括梯度下降法、牛顿法、COBYLA方法。
6.根据权利要求1所述的一种基于对抗学习的工业控制***恶意样本生成方法,其特征在于,所述步骤(4)中,距离的表达方法包括一范式距离、二范式距离、无穷范式距离。
8.根据权利要求1所述的一种基于对抗学习的工业控制***恶意样本生成方法,其特征在于,所述步骤(4)中,对于特定控制场景,需要在优化问题中加入对变量的特殊约束,即该方法在应用时,为保证生成的对抗样本能有效的完成恶意攻击效果,生成者需要根据特定的场景对特定维度的变量在做优化问题设计时加上不同的约束条件。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910011642.4A CN109902709B (zh) | 2019-01-07 | 2019-01-07 | 一种基于对抗学习的工业控制***恶意样本生成方法 |
PCT/CN2019/101247 WO2020143227A1 (zh) | 2019-01-07 | 2019-08-18 | 一种基于对抗学习的工业控制***恶意样本生成方法 |
JP2020540726A JP6932270B2 (ja) | 2019-01-07 | 2019-08-18 | 敵対的学習に基づく工業制御システムの悪意あるサンプルの生成方法 |
US16/982,056 US20210319113A1 (en) | 2019-01-07 | 2019-08-18 | Method for generating malicious samples against industrial control system based on adversarial learning |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910011642.4A CN109902709B (zh) | 2019-01-07 | 2019-01-07 | 一种基于对抗学习的工业控制***恶意样本生成方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109902709A CN109902709A (zh) | 2019-06-18 |
CN109902709B true CN109902709B (zh) | 2020-12-08 |
Family
ID=66943599
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910011642.4A Active CN109902709B (zh) | 2019-01-07 | 2019-01-07 | 一种基于对抗学习的工业控制***恶意样本生成方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20210319113A1 (zh) |
JP (1) | JP6932270B2 (zh) |
CN (1) | CN109902709B (zh) |
WO (1) | WO2020143227A1 (zh) |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109902709B (zh) * | 2019-01-07 | 2020-12-08 | 浙江大学 | 一种基于对抗学习的工业控制***恶意样本生成方法 |
CN110633570B (zh) * | 2019-07-24 | 2021-05-11 | 浙江工业大学 | 面向恶意软件汇编格式检测模型的黑盒攻击的防御方法 |
CN112311733A (zh) * | 2019-07-30 | 2021-02-02 | 四川大学 | 一种基于强化学习优化xss检测模型防御对抗攻击的方法 |
CN110619216B (zh) * | 2019-09-17 | 2021-09-03 | 武汉思普崚技术有限公司 | 一种对抗性网络的恶意软件检测方法及*** |
CN111104982B (zh) * | 2019-12-20 | 2021-09-24 | 电子科技大学 | 一种标签无关的跨任务对抗样本生成方法 |
US11811791B2 (en) * | 2020-01-09 | 2023-11-07 | Vmware, Inc. | Generative adversarial network based predictive model for collaborative intrusion detection systems |
CN111242322B (zh) * | 2020-04-24 | 2020-08-14 | 支付宝(杭州)信息技术有限公司 | 后门样本的检测方法、装置和电子设备 |
US20220038474A1 (en) * | 2020-07-31 | 2022-02-03 | Dev Ayan Nag | Method and system that enhances computer-system security by identifying and blocking harmful communications through component interfaces |
CN112115467A (zh) * | 2020-09-04 | 2020-12-22 | 长沙理工大学 | 一种基于集成学习的半监督分类的入侵检测方法 |
CN112162515B (zh) * | 2020-10-10 | 2021-08-03 | 浙江大学 | 一种针对过程监控***的对抗攻击方法 |
CN112333402B (zh) * | 2020-10-20 | 2021-10-22 | 浙江大学 | 一种基于声波的图像对抗样本生成方法及*** |
CN112381152B (zh) * | 2020-11-17 | 2023-12-05 | 上海科技大学 | 一种基于攻击成本的对抗样本检测方法 |
US11818147B2 (en) * | 2020-11-23 | 2023-11-14 | Fair Isaac Corporation | Overly optimistic data patterns and learned adversarial latent features |
CN112465019B (zh) * | 2020-11-26 | 2022-12-27 | 重庆邮电大学 | 一种基于扰动的对抗样本生成与对抗性防御方法 |
CN113221100B (zh) * | 2021-02-09 | 2022-08-05 | 上海大学 | 一种面向工业互联网边界防护的对抗式入侵检测方法 |
CN115225295A (zh) * | 2021-04-16 | 2022-10-21 | 华为技术有限公司 | 攻击样本管理的方法以及设备 |
CN112819109B (zh) * | 2021-04-19 | 2021-06-18 | 中国工程物理研究院计算机应用研究所 | 针对黑盒对抗样本攻击的视频分类***安全性增强方法 |
WO2023286269A1 (ja) * | 2021-07-16 | 2023-01-19 | 日本電気株式会社 | 学習用データ生成装置、学習用データの生成方法、プログラム、検知モデルの生成方法および認証システム |
CN113938309A (zh) * | 2021-10-28 | 2022-01-14 | 西安热工研究院有限公司 | 一种基于DCGAN网络的DoS攻击流量生成***及方法 |
CN114444075B (zh) * | 2022-02-09 | 2023-05-19 | 深圳市前海新型互联网交换中心有限公司 | 一种生成躲避流量数据的方法 |
CN115277065B (zh) * | 2022-06-15 | 2024-01-23 | 北京信息科技大学 | 一种物联网异常流量检测中的对抗攻击方法及装置 |
CN115909020B (zh) * | 2022-09-30 | 2024-01-09 | 北京瑞莱智慧科技有限公司 | 模型鲁棒性检测方法、相关装置及存储介质 |
CN115333874B (zh) * | 2022-10-18 | 2023-04-28 | 北京珞安科技有限责任公司 | 一种工业终端主机监测方法 |
CN116527373B (zh) * | 2023-05-18 | 2023-10-20 | 清华大学 | 针对恶意url检测***的后门攻击方法和装置 |
CN116304959B (zh) * | 2023-05-24 | 2023-08-15 | 山东省计算中心(国家超级计算济南中心) | 一种用于工业控制***的对抗样本攻击防御方法及*** |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107819790A (zh) * | 2017-12-08 | 2018-03-20 | 中盈优创资讯科技有限公司 | 攻击报文的识别方法及装置 |
CN108322349A (zh) * | 2018-02-11 | 2018-07-24 | 浙江工业大学 | 基于对抗式生成网络的深度学习对抗性攻击防御方法 |
CN108537271A (zh) * | 2018-04-04 | 2018-09-14 | 重庆大学 | 一种基于卷积去噪自编码机防御对抗样本攻击的方法 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080027886A1 (en) * | 2004-07-16 | 2008-01-31 | Adam Kowalczyk | Data Mining Unlearnable Data Sets |
US10043261B2 (en) * | 2016-01-11 | 2018-08-07 | Kla-Tencor Corp. | Generating simulated output for a specimen |
JP6548837B2 (ja) * | 2016-12-01 | 2019-07-24 | 三菱電機株式会社 | 評価装置、セキュリティ製品の評価方法および評価プログラム |
CN108509966A (zh) * | 2017-02-27 | 2018-09-07 | 顾泽苍 | 一种超深度对抗学习的方法 |
KR102403494B1 (ko) * | 2017-04-27 | 2022-05-27 | 에스케이텔레콤 주식회사 | 생성적 대립 네트워크에 기반한 도메인 간 관계를 학습하는 방법 |
CN108171266A (zh) * | 2017-12-25 | 2018-06-15 | 中国矿业大学 | 一种多目标深度卷积生成式对抗网络模型的学习方法 |
CN109902709B (zh) * | 2019-01-07 | 2020-12-08 | 浙江大学 | 一种基于对抗学习的工业控制***恶意样本生成方法 |
-
2019
- 2019-01-07 CN CN201910011642.4A patent/CN109902709B/zh active Active
- 2019-08-18 WO PCT/CN2019/101247 patent/WO2020143227A1/zh active Application Filing
- 2019-08-18 US US16/982,056 patent/US20210319113A1/en active Pending
- 2019-08-18 JP JP2020540726A patent/JP6932270B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107819790A (zh) * | 2017-12-08 | 2018-03-20 | 中盈优创资讯科技有限公司 | 攻击报文的识别方法及装置 |
CN108322349A (zh) * | 2018-02-11 | 2018-07-24 | 浙江工业大学 | 基于对抗式生成网络的深度学习对抗性攻击防御方法 |
CN108537271A (zh) * | 2018-04-04 | 2018-09-14 | 重庆大学 | 一种基于卷积去噪自编码机防御对抗样本攻击的方法 |
Non-Patent Citations (4)
Title |
---|
《A survey of intrusion detection on industrial control systems》;Yan Hu et al.;《International Journal of Distributed Sensor Networks》;20181231;第14卷(第8期);第1-14页 * |
《Hybrid adversarial sample crafting for black-box evasion attack》;Juan Zheng et al.;《2017 International Conference on Wavelet Analysis and Pattern Recognition (ICWAPR)》;20171023;第236-242页 * |
《Optimal DoS Attack Scheduling in Wireless Networked Control System》;Peng Cheng et al.;《IEEE Transactions on Control Systems Technology》;20160531;第24卷(第3期);第843-852页 * |
《网络化***拒绝服务攻击对抗式检测方法研究》;董彦伯 等;《仪器仪表学报》;20180531;第39卷(第5期);第205-213页 * |
Also Published As
Publication number | Publication date |
---|---|
JP6932270B2 (ja) | 2021-09-08 |
CN109902709A (zh) | 2019-06-18 |
US20210319113A1 (en) | 2021-10-14 |
WO2020143227A1 (zh) | 2020-07-16 |
JP2021513143A (ja) | 2021-05-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109902709B (zh) | 一种基于对抗学习的工业控制***恶意样本生成方法 | |
CN111181901B (zh) | 异常流量检测装置及其异常流量检测方法 | |
Yang et al. | MTH-IDS: A multitiered hybrid intrusion detection system for internet of vehicles | |
CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
Caselli et al. | Sequence-aware intrusion detection in industrial control systems | |
CN106911669B (zh) | 一种基于深度学习的ddos检测方法 | |
Lee et al. | Detection of DDoS attacks using optimized traffic matrix | |
Yusheng et al. | Intrusion detection of industrial control system based on Modbus TCP protocol | |
CN110719250B (zh) | 基于PSO-SVDD的Powerlink工控协议异常检测方法 | |
CN113162893B (zh) | 基于注意力机制的工业控制***网络流量异常检测方法 | |
CN110661680A (zh) | 一种基于正则表达式进行数据流白名单检测的方法及*** | |
CN109685200B (zh) | 基于生成对抗网络的雾计算工业协议构建方法及构建*** | |
CN112769623A (zh) | 边缘环境下的物联网设备识别方法 | |
Mohammed et al. | Detection and mitigation of field flooding attacks on oil and gas critical infrastructure communication | |
Mubarak et al. | Industrial datasets with ICS testbed and attack detection using machine learning techniques | |
Rumez et al. | Anomaly detection for automotive diagnostic applications based on N-grams | |
Behdadnia et al. | Leveraging deep learning to increase the success rate of DOS attacks in PMU-based automatic generation control systems | |
CN111211948B (zh) | 基于载荷特征和统计特征的Shodan流量识别方法 | |
Lee et al. | DDoS attacks detection using GA based optimized traffic matrix | |
Kim et al. | Intelligent application protection mechanism for transportation in V2C environment | |
Ponomarev | Intrusion Detection System of industrial control networks using network telemetry | |
Nie et al. | M2VT-IDS: A multi-task multi-view learning architecture for designing IoT intrusion detection system | |
CN111338297A (zh) | 一种基于工业云的工控安全框架*** | |
Wang et al. | Intrusion detection model of SCADA using graphical features | |
Shalini et al. | DDoS attack detection in SDN using CUSUM |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |