CN110535878B - 一种基于事件序列的威胁检测方法 - Google Patents
一种基于事件序列的威胁检测方法 Download PDFInfo
- Publication number
- CN110535878B CN110535878B CN201910898421.3A CN201910898421A CN110535878B CN 110535878 B CN110535878 B CN 110535878B CN 201910898421 A CN201910898421 A CN 201910898421A CN 110535878 B CN110535878 B CN 110535878B
- Authority
- CN
- China
- Prior art keywords
- real
- industrial control
- control system
- state
- sequence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/29—Graphical models, e.g. Bayesian networks
- G06F18/295—Markov models or related models, e.g. semi-Markov models; Markov random fields; Networks embedding Markov models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Complex Calculations (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于事件序列的威胁检测方法,该方法包括:捕获正常运行时工控***的网络数据包,从中提取训练数据集;建立并训练隐马尔可夫模型λ;提取当前运行状态下工控***的网络数据包,从中获取当前运行状态下真实的观测序列o′real,计算观测序列o′real在隐马尔可夫模型下的概率P(o′real|λ);通过隐马尔可夫模型生成一个预测观测序列o′pre,计算出o′real和o′pre的相似度r;根据P(o′real|λ)和r判断工控***是否遭受攻击。本发明提出的一种基于事件序列的威胁检测方法只需对工控***的网络数据包进行抓取,执行威胁检测的检测模块用单独的主机执行,不需要将检测模块放入到工控***的工控设备中,不仅保障了工控***的实时性要求,而且能够很方便的在其他工控***使用,提高了扩展性。
Description
技术领域
本发明涉及工业控制***领域的攻击检测技术,具体涉及一种基于事件序列的威胁检测方法。
背景技术
目前,越来越多的工业控制***(简称工控***)内部网络需要和外部网络互连,使工业控制***暴露于公共网络之中,面临更多的攻击。为了保证工业控制***的安全性,网络安全技术被越来越多地应用。网络流量分析技术是目前应用最广泛的信息网络攻击检测方法之一,通过监视和分析网络流量以检测出带有异常行为的数据分组,从而实现攻击检测。
但是,传统的攻击检测技术通常是搜索单个、不寻常或不允许的“操作”,而越来越多的攻击表明,网络入侵采用一系列合法的但操作顺序异常,能够避开标准的攻击检测***,由于执行的顺序发生改变,仍然会破坏工业控制***的基础设施。
发明内容
针对上述问题,本发明提出了一种基于事件序列的威胁检测方法,该威胁检测方法不但能够检测出单个的常规的不合法操作,而且能够检测出操作顺序异常的攻击序列。
本发明旨在提出一种基于事件序列的威胁检测方法,这种攻击检测方法只需要获取控制***网络的数据包,经过处理转化成事件序列,根据得到的事件序列进行建模;不仅保障了工控***的实时性要求,而且能够很方便的在其他工控***使用,提高了扩展性。
本发明首先捕获正常运行时工控***的网络数据包,将所述网络数据包转换成事件序列,然后提取观测序列o和状态序列I作为训练数据集,建立并训练隐马尔可夫模型λ;在威胁检测时提取当前运行状态下所述工控***的当前网络数据包,将所述当前网络数据包转化为当前事件序列,从中获取当前运行状态下所述工控***真实的观测序列o′real,计算观测序列o′real在已训练完成的隐马尔可夫模型下的概率P(o′real|λ);然后通过已训练完成的隐马尔可夫模型生成一个预测观测序列o′pre,然后计算出两个观测序列o′real和o′pre的相似度r,最后根据概率P(o′real|λ)和相似度r来判断所述工控***是否遭受攻击。
本发明提出的一种基于事件序列的威胁检测方法只需要对工控***的网络数据包进行抓取,执行威胁检测的检测模块可以用单独的主机来执行,不需要将所述检测模块放入到工控***的工控设备中,不仅保障了工控***的实时性要求,而且能够很方便的在其他工控***使用,提高了扩展性。
附图说明
图1是本发明的流程示意图
图2是本发明序列攻击检测阶段示意图
图3是本发明实施例中采用的替换矩阵
具体实施方式
下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,在工控***中,首先获取上位机和PLC(Programmable LogicController,可编程逻辑控制器)等设备之间的正常运行状态下工控***网络数据包,然后对所述网络数据包中的每个数据包提取相应特征转化为事件e,事件e表示为:
e=<ID,Code,Data,Time> (1)
其中ID表示每个数据包唯一标识,Code表示工控***中工控设备执行的操作类型,Data表示执行操作的具体信息,Time表示时间戳;根据事件定义,将获取到的所述网络数据包转化为事件序列E={e1,e2,…,et,…},并从所述网络数据包中获取所有可能的状态集合Q={q1,q2,...,qN}以及所有可能的观测值集合V={v1,v2,...,vM};
获得事件序列E后,根据事件序列E建立隐马尔可夫模型λ;隐马尔可夫模型由初始状态概率向量π、状态转移概率矩阵A和观测概率矩阵B决定,隐马尔可夫模型λ可以用(2)中的三元符号表示:
λ=(A,B,π) (2)
A=[aij]N*N (3)
B=[bj(k)]N*M (4)
π=(πi) (5)
其中,
aij=P(It+1=qj|It=qi),i,j=1,2,...,N (6)
aij表示t时刻处于状态qi的条件下在t+1时刻转移到状态qj的概率;It表示t时刻的状态,t≥1并且为整数;
bj(k)=P(ot=vk|It=qj),k=1,2,...,M;j=1,2,...,N (7)
bj(k)表示t时刻处于状态qj的条件下生成观测值vk的概率;ot表示t时刻的观测值;
πi=P(I1=qi),i=1,2,...,N (8)
πi表示初始时刻t=1处于状态qi的概率;I1表示初始时刻t=1的状态。
当工控***正常运行时,抓取大量正常情况下的网络数据包,并从中获取所有可能的状态集合以及所有可能的观测值集合,将所述网络数据包转化成大量的事件序列,从中提取出训练隐马尔可夫模型λ模型所需的观测序列和状态序列作为训练数据集。所述训练数据集的提取方法为:将所述事件序列中的每个事件中的Data字段均作为一个观测值、Code字段均作为一个状态值,从而获取训练所需的众多观测序列o=(o1,o2,...,ot,...)和对应的状态序列I=(I1,I2,...,It,...);然后利用极大似然估计来估计隐马尔可夫模型λ的参数:初始状态概率πi的估计值为训练数据集中初始状态为qi的频率;aij和bj(k)的估计值如下公式所示:
其中Aij表示训练数据集中当前时刻状态为qi且下一时刻状态为qj的频数,Bjk表示训练数据集中状态为qj并且观测值为vk的频数。
隐马尔可夫模型λ训练完成后,可以通过训练完成的隐马尔可夫模型λ生成一个预测观测序列,所述预测观测序列的生成过程为:根据正常运行状态下工控***的初始状态分布确定初始时刻状态I1,然后根据所述正常运行状态下工控***的观测概率分布bj(k)确定所述工控***在t时刻的观测值ot,随后根据所述正常运行状态下工控***的状态转移概率分布aij确定下一时刻的状态,重复上述步骤,直至所述工控***的观测序列预测完成,预测出的观测序列是训练完成的隐马尔可夫模型λ生成的概率最大的观测序列o′pre。
如图2所示,在威胁检测的时候,将当前运行状态下所述工控***的当前网络流量数据转化为当前事件序列,从中获取当前运行状态下所述工控***真实的观测序列o′real,先是用前向算法计算在训练完成的隐马尔可夫模型λ下当前运行状态下所述工控***真实的观测序列o′real的概率P(o′real|λ),然后将当前运行状态下所述工控***真实的观测序列o′real和预测出的观测序列o′pre进行比对,计算两个观测序列o′real和o′pre之间相似度r;
两个序列之间相似度的定义为:两个序列对应位置上元素相同或相似的数目占序列长度的百分比。判断两个元素是否相似取决于所述工控***正常情况下的训练数据集,在训练数据集中如果两个序列相同位置上的元素具有相似性,则它们可以互相替换。
为记录相应位置上元素之间的相似关系,用L个替换矩阵CK来记录序列对应位置上元素之间的相似关系,L表示观测序列o′real和o′pre的长度,矩阵的定义如下:
Ck=[ck(i′,j′)]M*M,k=1,2,...,L (11)
其中,M是所述工控***的所有观测值集合V={v1,v2,...,vM}的大小,i′,j′=1,2,...,M,Ck是M*M的矩阵,ck(i′,j′)取值为0或1,ck(i′,j′)=1表示第k个位置上任意两个观测值vi与vj可替换,ck(i′,j′)=0表示第k个位置上任意两个观测值vi与vj不可替换;对于观测序列o′real和o′pre的每个位置k,根据预设规则并按照公式(11)将替换矩阵Ck中对应元素置1或置0,由于替换矩阵Ck中对角线上的元素对应所述观测值集合中的两个相同的观测值,因此对角线上的元素值为1。
在生成L个替换矩阵Ck后,将观测序列o′real和o′pre进行比对,对于每个位置k,将观测序列o′real和o′pre的元素对应到替换矩阵Ck中查询对应的值,如果为1则将两个序列的相似元素数目加1,最后将相似元素数目除以观测序列o′real和o′pre的长度L,得到相似度r。
计算出概率P(o′real|λ)和相似度r后,根据下面公式计算出D值,其中u+v=1,u和v表示权重,可以根据具体情况设置;
D=u*P(o′real|λ)+v*r (12)
当计算出的D值小于预设阈值T时表明当前运行状态下所述工控***真实的观测序列o′real与所述工控***正常运行状态下的观测序列差异太大,判定遭受到攻击,否则所述工控***当前运行状态正常。
在本发明的实施例中,根据训练完成的隐马尔可夫模型λ预测出的观测序列o′pre=(C,A,D,E,C),将当前运行状态下所述工控***的网络流量数据转化为事件序列,从中获取的真实的当前运行状态下所述工控***的观测序列o′real=(A,B,D,E,A);
已知观测值集合V={A,B,C,D,E},先计算训练完成的隐马尔可夫模型λ下真实的当前运行状态下所述工控***的观测序列o′real的概率P(o′real|λ)为0.6,然后计算两个序列o′real和o′pre之间相似度r;替换矩阵C1,C2,C3,C4,C5根据所述训练数据集并按预设规则求出,替换矩阵如图3所示;根据替换矩阵可知o′pre=(C,A,D,E,C)和o′real=(A,B,D,E,A)这两个序列中的相似元素数目为3,相似度r=3/5=0.6;
经过多次试验,将预设阈值T设为0.5较为合理,当计算出的D值小于阈值T时表明当前观测序列与正常观测序列差异太大,判定遭受到攻击,否则***正常。
已知概率P(o′real|λ)和相关系数r后,u和v结合实际情况,选择u=0.5,v=0.5,计算D=0.6,大于阈值T,表明所述工业控制***运行正常。
尽管上面对本发明说明性的具体实施方式进行了描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围。凡采用等同替换或等效替换,这些变化是显而易见,一切利用本发明构思的发明创造均在保护之列。
Claims (3)
1.一种基于事件序列的威胁检测方法,其特征在于,该方法包括如下步骤:
S1)当工控***正常运行时,抓取大量正常运行状态下的网络数据包,并从所述网络数据包中获取所有可能的状态集合Q={q1,q2,...,qN}以及所有可能的观测值集合V={v1,v2,...,wM},并将所述网络数据包转化成大量的事件序列E={e1,e2,…,et,…},从中提取出训练隐马尔科夫模型λ模型所需的观测序列和状态序列作为训练数据集,其中,所述网络数据包中的每个数据包被提取相应特征转化为一个事件e,e1,e2,…,et分别表示第1,2,…,t个事件e,每一个事件e表示为e=<ID,Code,Data,Time>,ID表示每个数据包唯一标识,Code表示所述工控***中工控设备执行的操作类型,Data表示所述工控设备执行操作的具体信息,Time表示时间戳;所述训练数据集的提取方法为:将所述事件序列中的每个事件e中的Data字段作为一个观测值、Code字段作为一个状态值,从而获取训练所需的观测序列o=(o1,o2,...,ot,...)和对应的状态序列I=(I1,I2,...,It,...);
S2)根据步骤S1)得到的事件序列E建立隐马尔可夫模型λ,隐马尔可夫模型λ由初始状态概率向量π、状态转移概率矩阵A和观测概率矩阵B决定,表示为三元符号λ=(A,B,π),A=[aij]N*N,B=[bj(k)]N*M,π=(πi),其中,aij=P(It+1=qj|It=qi),bj(k)=P(ot=vk|It=qj),πi=P(I1=qi),t≥1并且为整数,i,j=1,2,...,N,k=1,2,...,M,M表示所述观测值集合V的大小,N表示所述状态集合Q的大小,aij表示t时刻处于状态qi的条件下在t+1时刻转移到状态qj的概率;It表示t时刻的状态;bj(k)表示t时刻处于状态qj的条件下生成观测值vk的概率;ot表示t时刻的观测值;πi表示初始时刻t=1处于状态qi的概率;I1表示初始时刻t=1的状态;
S3)采用步骤S1)提取的所述训练数据集训练步骤S2)建立的隐马尔可夫模型λ,利用极大似然估计估计隐马尔可夫模型λ的参数:初始状态概率πi的估计值为所述训练数据集中初始状态为qi的频率;aij和bj(k)的估计值分别为 其中Aij表示所述训练数据集中当前时刻状态为qi且下一时刻状态为qj的频数,Bik表示所述训练数据集中状态为qj并且观测值为vk的频数,由此得到训练完成的隐马尔可夫模型λ;
S4)根据步骤S3)训练完成的隐马尔可夫模型λ生成一个预测观测序列,所述预测观测序列的生成过程为:根据正常运行状态下工控***的初始状态分布确定初始时刻状态I1,然后根据所述正常运行状态下工控***的观测概率分布bj(k)确定所述工控***在t时刻的观测值ot,随后根据所述正常运行状态下工控***的状态转移概率分布aij确定下一时刻的状态,重复上述步骤,直至所述工控***的观测序列预测完成,预测出的观测序列是训练完成的隐马尔可夫模型λ生成的概率最大的观测序列o′pre;
S5)在威胁检测的时候,将当前运行状态下所述工控***的当前网络流量数据转化为当前事件序列,从中获取当前运行状态下所述工控***真实的观测序列o′real,首先采用前向算法计算在步骤S3)训练完成的隐马尔可夫模型λ下当前运行状态下所述工控***真实的观测序列o′real的概率P(o′real|λ),然后将当前运行状态下所述工控***真实的观测序列o′real和步骤S4)预测出的观测序列o′pre进行比对,计算两个观测序列o′real和o′pre之间相似度r;由计算得到的概率P(o′real|λ)和相似度r,根据公式D=u*P(o′real|λ)+v*r计算出D值,其中u+v=1,u和v表示预设权重;当计算出的D值小于预设阈值T时表明当前运行状态下所述工控***真实的观测序列o′real与所述工控***正常运行状态下的观测序列差异太大,判定遭受到攻击,否则所述工控***当前运行状态正常;
其中,所述步骤S5)中计算两个观测序列o′real和o′pre之间相似度r的方法包括:首先定义两个观测序列之间相似度:两个观测序列对应位置上元素相同或相似的数目占观测序列长度的百分比,其中,判断两个元素是否相似取决于所述工控***正常情况下的所述训练数据集,在所述训练数据集中如果两个序列相同位置上的元素具有相似性,则它们可以互相替换;
然后为记录两个观测序列相应位置上元素之间的相似关系,用L个替换矩阵CK来记录两个观测序列对应位置上元素之间的相似关系,L表示观测序列o′real和o′pre的长度,矩阵的定义如下:
Ck=[ck(i′,j′)]M*M,k=1,2,...,L
其中,M是所述工控***的所述观测值集合V={v1,v2,...,vM}的大小,i′,j′=1,2,...,M,Ck是M*M的矩阵,ck(i′,j′)取值为0或1,ck(i′,j′)=1表示第k个位置上任意两个观测值vi与vj可替换,ck(i′,j′)=0表示第k个位置上任意两个观测值vi与vj不可替换;对于每个位置k,根据预设规则并按照公式Ck=[ck(i′,j′)]M*M,k=1,2,...,L将替换矩阵Ck中对应元素置1或置0,由于替换矩阵Ck中对角线上的元素对应所述观测值集合中的两个相同的观测值,因此对角线上的元素值为1;
在生成L个替换矩阵Ck后,将观测序列o′real和o′pre进行比对,对于每个位置k,将观测序列o′real和o′pre的元素对应到替换矩阵Ck中查询对应的值,如果为1则将两个序列的相似元素数目加1,最后将相似元素数目除以观测序列o′real和o′pre的长度L,得到相似度r。
2.根据权利要求1所述的基于事件序列的威胁检测方法,其特征在于,所述预设阈值T取值为0.5。
3.根据权利要求2所述的基于事件序列的威胁检测方法,其特征在于,所述预设权重u和v取值分别为u=0.5,v=0.5。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910898421.3A CN110535878B (zh) | 2019-09-23 | 2019-09-23 | 一种基于事件序列的威胁检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910898421.3A CN110535878B (zh) | 2019-09-23 | 2019-09-23 | 一种基于事件序列的威胁检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110535878A CN110535878A (zh) | 2019-12-03 |
CN110535878B true CN110535878B (zh) | 2021-03-30 |
Family
ID=68669637
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910898421.3A Active CN110535878B (zh) | 2019-09-23 | 2019-09-23 | 一种基于事件序列的威胁检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110535878B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111935064A (zh) * | 2020-05-28 | 2020-11-13 | 南京南瑞信息通信科技有限公司 | 一种工控网络威胁自动隔离方法及*** |
CN112269336B (zh) * | 2020-10-19 | 2022-03-08 | 张家宁 | 异常控制发现方法、装置、电子设备及存储介质 |
CN113132392B (zh) * | 2021-04-22 | 2022-05-06 | 苏州联电能源发展有限公司 | 工控网络流量异常检测方法、装置及*** |
CN114676743B (zh) * | 2021-12-09 | 2024-04-26 | 上海无线电设备研究所 | 基于隐马尔可夫模型的低慢小目标航迹威胁识别方法 |
CN114553481A (zh) * | 2022-01-17 | 2022-05-27 | 重庆邮电大学 | 网络攻击事件预测及最优主动防御策略选取*** |
CN114978617B (zh) * | 2022-05-06 | 2023-08-08 | 国网湖北省电力有限公司信息通信公司 | 一种基于马尔柯夫过程学习模型的网络攻击威胁统计判断方法 |
CN117354058A (zh) * | 2023-12-04 | 2024-01-05 | 武汉安域信息安全技术有限公司 | 基于时间序列预测的工控网络apt攻击检测***及方法 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101286979A (zh) * | 2008-06-03 | 2008-10-15 | 电子科技大学 | 一种网络攻击检测方法 |
CN103944887A (zh) * | 2014-03-24 | 2014-07-23 | 西安电子科技大学 | 基于隐条件随机场的入侵事件检测方法 |
CN104717106A (zh) * | 2015-03-04 | 2015-06-17 | 贵州电网公司信息通信分公司 | 一种基于多变量序贯分析的分布式网络流量异常检测方法 |
CN105119919A (zh) * | 2015-08-22 | 2015-12-02 | 西安电子科技大学 | 基于流量异常及特征分析的攻击行为检测方法 |
CN106682502A (zh) * | 2016-12-13 | 2017-05-17 | 重庆邮电大学 | 基于隐马尔可夫和概率推断的入侵意图识别***及方法 |
CN107133654A (zh) * | 2017-05-25 | 2017-09-05 | 大连理工大学 | 一种监控视频异常事件检测的方法 |
CN107438052A (zh) * | 2016-05-26 | 2017-12-05 | 中国科学院沈阳自动化研究所 | 一种面向未知工业通信协议规约的异常行为检测方法 |
CN109344610A (zh) * | 2018-08-31 | 2019-02-15 | 中国科学院信息工程研究所 | 序列攻击的检测方法及装置 |
CN109960729A (zh) * | 2019-03-28 | 2019-07-02 | 国家计算机网络与信息安全管理中心 | Http恶意流量的检测方法及*** |
US10346623B1 (en) * | 2015-03-31 | 2019-07-09 | Amazon Technologies, Inc. | Service defense techniques |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140041032A1 (en) * | 2012-08-01 | 2014-02-06 | Opera Solutions, Llc | System and Method for Detecting Network Intrusions Using Statistical Models and a Generalized Likelihood Ratio Test |
US10148674B2 (en) * | 2015-12-11 | 2018-12-04 | Dell Products, Lp | Method for semi-supervised learning approach to add context to malicious events |
US10929767B2 (en) * | 2016-05-25 | 2021-02-23 | International Business Machines Corporation | Method for complex events detection using hidden markov models |
-
2019
- 2019-09-23 CN CN201910898421.3A patent/CN110535878B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101286979A (zh) * | 2008-06-03 | 2008-10-15 | 电子科技大学 | 一种网络攻击检测方法 |
CN103944887A (zh) * | 2014-03-24 | 2014-07-23 | 西安电子科技大学 | 基于隐条件随机场的入侵事件检测方法 |
CN104717106A (zh) * | 2015-03-04 | 2015-06-17 | 贵州电网公司信息通信分公司 | 一种基于多变量序贯分析的分布式网络流量异常检测方法 |
US10346623B1 (en) * | 2015-03-31 | 2019-07-09 | Amazon Technologies, Inc. | Service defense techniques |
CN105119919A (zh) * | 2015-08-22 | 2015-12-02 | 西安电子科技大学 | 基于流量异常及特征分析的攻击行为检测方法 |
CN107438052A (zh) * | 2016-05-26 | 2017-12-05 | 中国科学院沈阳自动化研究所 | 一种面向未知工业通信协议规约的异常行为检测方法 |
CN106682502A (zh) * | 2016-12-13 | 2017-05-17 | 重庆邮电大学 | 基于隐马尔可夫和概率推断的入侵意图识别***及方法 |
CN107133654A (zh) * | 2017-05-25 | 2017-09-05 | 大连理工大学 | 一种监控视频异常事件检测的方法 |
CN109344610A (zh) * | 2018-08-31 | 2019-02-15 | 中国科学院信息工程研究所 | 序列攻击的检测方法及装置 |
CN109960729A (zh) * | 2019-03-28 | 2019-07-02 | 国家计算机网络与信息安全管理中心 | Http恶意流量的检测方法及*** |
Non-Patent Citations (5)
Title |
---|
APT Traffic Detection Based on time transform;JiazhongLu;《2016 International Conference on Intelligent Transportation,Big Data&Smart City(ICITBS)》;20170921;全文 * |
DETECTING MALWARE AND EVALUATING RISK OF APP USING ANDROID PERMISSION-API SYSTEM;Huan Zeng;《2014 11th Internarional Computer Conference on Wavelet Actiev Media Technology and Information Processing(ICCWAMTIP)》;20150402;全文 * |
Website Fingerprinting Attack on Anonymity Networks Based on Profile Hidden Markov Model;Zhongliu Zhuo;《IEEE Transactions on Information Forensics and Security》;20171013;全文 * |
基于树形结构的APT攻击预测方法;张小松;《电子科技大学学报》;20160811;全文 * |
特定攻击场景下源网荷***恶意攻击关联分析方法;章锐;《中国电力》;20191031;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN110535878A (zh) | 2019-12-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110535878B (zh) | 一种基于事件序列的威胁检测方法 | |
CN107438052B (zh) | 一种面向未知工业通信协议规约的异常行为检测方法 | |
CN109889538B (zh) | 用户异常行为检测方法及*** | |
CN111541661A (zh) | 基于因果知识的电力信息网络攻击场景重构方法及*** | |
CN110909811A (zh) | 一种基于ocsvm的电网异常行为检测、分析方法与*** | |
CN111107102A (zh) | 基于大数据实时网络流量异常检测方法 | |
CN112565183B (zh) | 一种基于流式动态时间规整算法的网络流量异常检测方法及装置 | |
CN108282460B (zh) | 一种面向网络安全事件的证据链生成方法及装置 | |
KR20210115991A (ko) | 시계열 데이터 분석을 이용한 네트워크 이상징후 탐지 방법 및 장치 | |
CN112114995A (zh) | 基于进程的终端异常分析方法、装置、设备及存储介质 | |
CN112688946B (zh) | 异常检测特征的构造方法、模块、存储介质、设备及*** | |
CN112491849B (zh) | 一种基于流量特征的电力终端漏洞攻击防护方法 | |
CN104899513A (zh) | 一种工业控制***恶意数据攻击的数据图检测方法 | |
CN111262849A (zh) | 一种基于流表信息的网络异常流量行为识别阻断的方法 | |
CN109361648A (zh) | 工控***的隐蔽攻击的检测方法及装置 | |
CN110474862B (zh) | 一种网络流量异常检测方法及装置 | |
CN111224973A (zh) | 一种基于工业云的网络攻击快速检测*** | |
CN117113262A (zh) | 网络流量识别方法及其*** | |
CN113259367B (zh) | 工控网络流量多级异常检测方法及装置 | |
CN110650124A (zh) | 一种基于多层回声状态网络的网络流量异常检测方法 | |
CN111669411B (zh) | 一种工控设备异常检测方法及*** | |
CN111181969B (zh) | 一种基于自发流量的物联网设备识别方法 | |
CN112363891A (zh) | 一种基于细粒度事件和KPIs分析的异常原因获得方法 | |
CN112261009B (zh) | 一种针对铁路调度集中***的网络入侵检测方法 | |
CN115333915A (zh) | 一种面向异构主机的网络管控*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |