CN110753049A - 一种基于工控网络流量的安全态势感知*** - Google Patents
一种基于工控网络流量的安全态势感知*** Download PDFInfo
- Publication number
- CN110753049A CN110753049A CN201910998682.2A CN201910998682A CN110753049A CN 110753049 A CN110753049 A CN 110753049A CN 201910998682 A CN201910998682 A CN 201910998682A CN 110753049 A CN110753049 A CN 110753049A
- Authority
- CN
- China
- Prior art keywords
- data
- module
- industrial control
- control network
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/568—Storing data temporarily at an intermediate stage, e.g. caching
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于工控网络流量的安全态势感知***,其特征在于,所述安全态势感知***包括:工控网络流量收集模块(10),网络流量代理转发模块(20),流量数据存储模块(30),异常检测模块(40),配置管理模块(50),安全态势可视化模块(60),建模与算法更新模块(70);该安全态势感知***有利于提高工控网络流量的异常检测效率和准确性,提高了***的可用性和可扩展性。
Description
技术领域
本发明涉及工业网络安全态势感知的技术,具体而言,涉及一种基于工业控制网络流量的安全态势感知***。
背景技术
工业控制网络数据种类繁多,数据量庞大,网络中存在各类工业设备、上位机、控制器等通讯流量,形成大量的冗余数据,难以挖掘关键流量,也对***的性能造成很大影响。由于工控网络中可获取的数据绝大多数都为正常数据,只有极少量异常数据,存在严重的数据不平衡问题,现有的机器学习或深度学习异常检测技术难以在工业网络中应用。
现有技术中,常对已有网络流量进行建模,然而工控网络流量数据关联复杂,异常数据关联的分析能力不足。此外,工控网络协议多样,协议字段数据含义多变,影响检测可靠性。具体的,使用传统的基于流量的安全态势感知***,存在以下问题:
(1)性能低:难以转发、存储和查询超大规模的工控网络流量数据,***吞吐量和性能极低;
(2)不准确:检测结果可信度浮动,难以应对未知异常数据,未知异常导致检测结果准确率下降;
(3)难更新:工控环境是一个不断演化的环境,现有的感知***不能根据已有的检测结果进行异常检测自更新,且可自定义配置项不足。
发明内容
本发明的目的在于:提供一种基于工控网络流量的安全态势感知***的设计方式,提高态势感知性能和异常检测准确性,提高***的配置能力和自更新能力。
为实现上述目的,本发明的技术方案提供了一种基于工控网络流量的安全态势感知***,其特征在于,所述安全态势感知***包括:工控网络流量收集模块,网络流量代理转发模块,流量数据存储模块,异常检测模块,配置管理模块,安全态势可视化模块,建模与算法更新模块;
所述工控网络流量收集模块用于在上位机中收集、解析并发送待处理数据,其中,待处理数据从工控网络流量数据中提取,包括数据报文本身信息、报文协议信息和解析的协议字段信息;
所述网络流量代理转发模块接收已解析的流量数据,筛选不需要的协议数据,将短时间内的流量数据聚合处理后发送给流量数据存储模块和异常解析模块,减少冗余数据,缓解存储模块负担;
所述流量数据存储模块存储聚合处理后的工控网络流量数据,使用数据分片的方式搭建分布式存储集群,实现工控网络数据持久化和备份;
所述异常检测模块使用不同分类的算法对数据特征进行异常检测计算,将异常结果上报报警接口,并将计算结果反馈给流量数据存储模块以便数据持久化;
所述配置管理模块定义需要使用的异常检测算法以及报警规则,其中异常检测算法需要配置数据源特征、使用的算法和算法参数规则;
所述安全态势可视化模块读取数据流量存储模块的数据,综合展示已有流量数据和异常检测模块反馈的计算结果,可视化当前工控网络的安全态势;
所述建模与算法更新模块对已收集的正常与异常工控网络流量数据建立高阶模型,通过训练高阶模型更新异常检测算法使用的参数,提高异常检测模块的识别准确率。
进一步地,其特征在于,所述工控网络流量收集模块,具体还包括协议解析单元以及数据发送单元;
所述协议解析单元用于提取并识别流量数据使用的协议,解析工业网络中的不同协议字段,将所有字段信息和流量本身的报文信息整理为统一的标准数据格式;
所述数据发送单元收集整理已解析的标准流量数据,定时将已处理的数据打包发送到网络流量代理转发模块。
进一步地,所述网络流量代理转发模块用于缓存已解析的协议数据到缓冲池中,对协议数据进行预处理,即对短时间内大量重复数据进行聚合处理,防止对存储模块造成较大的写入压力;
所述网络流量代理转发模块还会实现异步线程,将聚合处理后的数据转发到流量数据存储模块。
进一步地,所述流量数据存储模块有以下特征:
使用分片的方式存储网络流量数据块,每个分片保存固定大小的流量数据,且每个分片都存在备份,保留在不同的服务器中;同时为新增流量数据建立倒排索引,支持对工控网络流量数据按字段快速检索和全文字段检索。
进一步地,所述异常检测模块能够使用可配置的四类算法进行异常检测,四类方法包括基于密度的异常检测方法、基于聚类的异常检测方法、基于邻接的异常检测方法、基于统计的异常检测方法。
进一步地,所述配置管理模块包括数据配置单元和算法配置单元,其中:
所述数据配置单元用来配置每次异常检测任务需要获取的数据项,包括数据源、数据类型、数据时间窗口、使用的数据特征字段;
所述算法配置单元用来配置每次异常检测使用的算法,包括算法分类、每个分类下具体使用的算法、算法本身的参数以及算法投票决定异常数据的阈值。
进一步地,所述安全态势可视化模块能够综合展示已存储的流量数据,使用自定义图表控制台的方式展示已存储的工控网络流量数据,对工控网络流量本身进行可视化监控;综合展示异常检测模块的检测结果,结合已有的流量数据展示和定位检测出的异常数据,建立检测结果与流量数据间的可视化联系。
进一步地,所述建模与算法更新模块,具体还包括复杂建模单元和参数更新单元,其中:复杂建模单元对已有的正常流量数据和异常流量数据集合建立高阶复杂模型,使用已有的流量数据和异常检测算法检测模型的适用性;参数更新单元利用已建立的高阶复杂模型异步更新异常检测模块各类算法的具体参数,更新过程不影响异常检测模块正常运转。
本发明的有益效果在于:
(1)高性能:网络流量代理转发模块对原始流量数据进行了缓冲和整合,减少了流量数据写入压力,减轻了存储模块数据存储和索引负担。存储模块利用分布式模块和数据索引提高数据可用性和检索速度,提高安全态势感知性能;
(2)高精度:异常检测过程有多个异常检测算法共同决策完成,包括四类方法,分别是基于密度的异常检测方法、基于聚类的异常检测方法、基于邻接的异常检测方法、基于统计的异常检测方法。通过设置方法投票阈值,可以满足避免异常漏检或是避免大量误报的不同需求;
(3)自更新:异常检测算法使用的检测模型由建模与算法更新模块提供,包括构建的超图模型、统计模型、深度模型等。这些模型和参数在获取更多数据后可以不断演变,提供更高的检测精度。演变后的模型由算法更新模块更新到异常检测模块中,实现***整体的不断更新和演化。
附图说明
本发明的上述和/或附加方面的优点在结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1是根据本发明的一个实施例的基于工控网络流量的安全态势感知***的示意框图;
图2是根据本发明的一个实施例的数据存储模块进行分片存储数据的示意图;
图3是根据本发明的一个实施例的基于工控网络流量的异常数据判定方法的示意流程图;
图4是根据本发明的一个实施例的异常检测模型更新方法的示意流程图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本发明的实施例及实施例中的特征可以相互结合。
如图1所示,本实施实例提供了一种基于工控网络流量的安全态势感知***,包括:工控网络流量收集模块10,网络流量代理转发模块20,流量数据存储模块30,异常检测模块40,配置管理模块50,安全态势可视化模块60和建模与算法更新模块70,其中:
工控网络流量收集模块10用于在上位机中收集、解析并发送待处理数据;
具体的,如图2所示,在工业网络上位机中使用抓包工具获取工控网络流量数据,部署工控网络流量收集模块10。工控网络流量收集模块10,具体还包括协议解析单元11以及数据发送单元12;
所述协议解析单元11用于提取并识别流量数据使用的协议,解析工业网络中的不同协议字段,将所有字段信息和流量本身的报文信息整理为统一的标准数据格式;
所述数据发送单元12收集整理已解析的标准流量数据,定时将已处理的数据打包发送到网络流量代理转发模块。
工作过程中,工控网络流量收集模块10首先识别获取流量数据中使用的协议,解析工业网络流量数据中的不同协议字段,将所有字段信息和流量本身的报文信息整理为统一的JSON格式,存入收集模块的缓冲池中。随后该模块使用异步多线程的方式读取流量数据缓冲池,并使用HTTP请求将流量数据发送到工控网络流量收集模块20。
工控网络流量收集模块20接收已解析的流量数据,筛选不需要的协议数据;
工控网络流量收集模块20将收到的已解析流量数据缓存到缓冲队列中,对数据进行预处理。预处理包括两个方面:首先检查协议是否是态势感知所需的协议,如与态势感知检测项无关,则直接丢弃该流量数据;其次对于短时间内大量相似数据,使用平均值聚合等方式合并为少量数据,减少后续处理的数据量。所述代理转发模块还会实现异步线程,将聚合处理后的数据转发到流量数据存储模块30。如对异常检测实时性要求较高,可选转发到异常检测模块40。
流量数据存储模块30存储聚合处理后的工控网络流量数据,使用数据分片的方式搭建分布式存储集群。
流量数据存储模块30使用分片的方式存储网络流量数据块,每个分片保存固定大小的流量数据,且每个分片都存在备份,保留在不同的服务器中;
为新增流量数据建立倒排索引,支持对工控网络流量数据按字段快速检索和全文字段检索。
如图2所示,该模块接收到流量数据后,需要执行以下步骤:
步骤1:接收请求;
存储模块提供基于RESTful API的接口,当接收到流量代理转发模块的请求后,首先识别请求内容,如新增一条数据,随后主存储模块根据请求数据计算数据应该存储的分片编号;
步骤2:转发主分片;
在计算主分片编号后,将请求转发到存储模块3,因为该数据需要存储的主分片1目前被存储模块3中;
步骤3:转发备分片;
存储模块3首先执行存储请求,在存储成功后将请求并行转发到存储模块1和存储模块2,因为有主分片1的对应副本分片备分片1。在请求执行成功后,存储模块3向主存储模块报告执行结果。
异常检测模块40使用不同分类的算法对特定数据的特定特征进行异常检测计算,将异常结果上报报警接口,并将计算结果反馈给流量数据存储模块30以便数据持久化;
在定时检测任务被触发后,异常检测模块40从存储模块2读取数据,使用可配置的四类算法进行异常检测,使用多种算法投票、可配置票数阈值的方式选取数据异常范围。
所述异常检测模块40使用可配置的四类算法进行异常检测,使用多种算法投票、可配置票数阈值的方式选取数据异常范围,四类方法包括基于密度的异常检测方法、基于聚类的异常检测方法、基于邻接的异常检测方法、基于统计的异常检测方法,其中:
密度异常检测单元41实现一系列基于密度的异常检测方法,如比较到K个最近邻的平均距离的倒数。
聚类异常检测单元42创建正常数据模型,检测是否有异常点单元扭曲、破坏该模型。
邻接异常检测单元43检测每一个数据点与其他数据点的距离,远离大多数数据点的流量数据会被判定为异常数据。
统计异常检测单元44使用一系列统计学方法,包括概率分布模型估计异常点范围。
配置管理模块50定义需要使用的异常检测算法以及报警规则,其中异常检测算法需要配置数据源特征、使用的算法和算法参数规则;
如图3所示,所述配置管理模块50包括数据配置单元51和算法配置单元52,其中:
所述数据配置单元51用来配置每次异常检测任务需要获取的数据项,包括数据源、数据类型、数据时间窗口、使用的数据特征字段等;异常检测模块在接收到配置项之后根据数据配置从分布式集群中获取数据,并对数据项进行特征提取提取操作,随后根据算法配置发送到不同的算法检测单元。
所述算法配置单元52用来配置每次异常检测使用的算法,包括算法分类、每个分类下具体使用的算法、算法本身的参数以及算法投票决定异常数据的阈值。
四类异常检测方法包括基于密度的异常检测方法、基于聚类的异常检测方法、基于邻接的异常检测方法、基于统计的异常检测方法,其中密度异常检测单元实现一系列基于密度的异常检测方法,如比较到K个最近邻的平均距离的倒数;聚类异常检测单元创建正常数据模型,检测是否有异常点单元扭曲、破坏该模型;邻接异常检测单元检测每一个数据点与其他数据点的距离,远离大多数数据点的流量数据会被判定为异常数据;统计异常检测单元使用一系列统计学方法,包括概率分布模型估计异常点范围。
在算法检测完成之后,异常检测模块会对算法检测结果进行整合,根据每种算法的结果生成检测报告,反馈给存储集群。若异常结果超出已定义阈值,则额外生成异常报告,描述可能异常值的来源和推测的异常原因。
除此之外,建模与算法更新模块会定时、异步更新异常检测单元使用的参数和模型,随着收集的流量数据和反馈结果的增多提高***的检测准确性。
安全态势可视化模块60读取数据流量存储模块的数据,综合展示已有流量数据和异常检测模块40反馈的计算结果,可视化当前工控网络的安全态势;
综合展示已存储的流量数据,使用自定义图表控制台的方式展示已存储的工控网络流量数据,对工控网络流量本身进行可视化监控;
综合展示异常检测模块40的检测结果,结合已有的流量数据展示和定位检测出的异常数据,建立检测结果与流量数据间的可视化联系。
建模与算法更新模块70对已收集的正常与异常工控网络流量数据建立高阶模型,包括超图模型、统计模型、深度模型等,通过训练这些模型更新各类异常检测算法使用的参数,提高异常检测模块40的识别准确率。
具体的,如图4所示,建模与算法更新模块70包括复杂建模单元71和参数更新单元72;
其中,复杂建模单元71对已有的正常流量数据和异常流量数据集合建立高阶复杂模型,使用已有的流量数据和异常检测算法检测模型的适用性;
参数更新单元72利用已建立的高阶复杂模型异步更新异常检测模块40各类算法的具体参数,更新过程不影响异常检测模块40正常运转
建模与算法更新模块70从分布式存储集群中读取已收集的历史流量数据和已反馈的检测结果,通过复杂建模单元进行训练,并将训练结果放入参数更新单元。参数更新单元定时将已有的更新模型同步到异常检测模块,通过多线程异步更新的方式确保正常的检测过程不受到影响。
尽管参考附图详地公开了本发明,但应理解的是,这些描述仅仅是示例性的,并非用来限制本发明的应用。本发明的保护范围由附加权利要求限定,并可包括在不脱离本发明保护范围和精神的情况下针对发明所作的各种变型、改型及等效方案。
Claims (8)
1.一种基于工控网络流量的安全态势感知***,其特征在于,其特征在于,其特征在于:所述安全态势感知***包括:工控网络流量收集模块(10),网络流量代理转发模块(20),流量数据存储模块(30),异常检测模块(40),配置管理模块(50),安全态势可视化模块(60),建模与算法更新模块(70);
所述工控网络流量收集模块(10)用于在上位机中收集、解析并发送待处理数据,其中,待处理数据从工控网络流量数据中提取,包括数据报文本身信息、报文协议信息和解析的协议字段信息;
所述网络流量代理转发模块(20)接收已解析的流量数据,筛选不需要的协议数据,将短时间内的流量数据聚合处理后发送给流量数据存储模块(30)和异常解析模块(40),减少冗余数据,缓解存储模块负担;
所述流量数据存储模块(30)存储聚合处理后的工控网络流量数据,使用数据分片的方式搭建分布式存储集群,实现工控网络数据持久化和备份;
所述异常检测模块(40)使用不同分类的算法对数据特征进行异常检测计算,将异常结果上报报警接口,并将计算结果反馈给流量数据存储模块(30)以便数据持久化;
所述配置管理模块(50)定义需要使用的异常检测算法以及报警规则,其中异常检测算法需要配置数据源特征、使用的算法和算法参数规则;
所述安全态势可视化模块(60)读取数据流量存储模块的数据,综合展示已有流量数据和异常检测模块(40)反馈的计算结果,可视化当前工控网络的安全态势;
所述建模与算法更新模块(70)对已收集的正常与异常工控网络流量数据建立高阶模型,通过训练高阶模型更新异常检测算法使用的参数,提高异常检测模块(40)的识别准确率。
2.如权利要求1所述的基于工控网络流量的安全态势感知***,其特征在于,所述工控网络流量收集模块(10),具体还包括协议解析单元(11)以及数据发送单元(12);
所述协议解析单元(11)用于提取并识别流量数据使用的协议,解析工业网络中的不同协议字段,将所有字段信息和流量本身的报文信息整理为统一的标准数据格式;
所述数据发送单元(12)收集整理已解析的标准流量数据,定时将已处理的数据打包发送到网络流量代理转发模块(20)。
3.如权利要求1所述的基于工控网络流量的态势感知***,其特征在于,所述网络流量代理转发模块(20)用于缓存已解析的协议数据到缓冲池中,对协议数据进行预处理,即对短时间内大量重复数据进行聚合处理,防止对存储模块造成较大的写入压力;
所述网络流量代理转发模块(20)还会实现异步线程,将聚合处理后的数据转发到流量数据存储模块(30)。
4.如权利要求1所述的基于工控网络流量的安全态势感知***,其特征在于,所述流量数据存储模块(30)有以下特征:
使用分片的方式存储网络流量数据块,每个分片保存固定大小的流量数据,且每个分片都存在备份,保留在不同的服务器中;同时为新增流量数据建立倒排索引,支持对工控网络流量数据按字段快速检索和全文字段检索。
5.如权利要求1所述的基于工控网络流量的安全态势感知***,其特征在于,所述异常检测模块(40)能够使用可配置的四类算法进行异常检测,四类方法包括基于密度的异常检测方法、基于聚类的异常检测方法、基于邻接的异常检测方法、基于统计的异常检测方法。
6.如权利要求1所述的基于工控网络流量的安全态势感知***,其特征在于,所述配置管理模块(50)包括数据配置单元(51)和算法配置单元(52),其中:
所述数据配置单元(51)用来配置每次异常检测任务需要获取的数据项,包括数据源、数据类型、数据时间窗口、使用的数据特征字段;
所述算法配置单元(52)用来配置每次异常检测使用的算法,包括算法分类、每个分类下具体使用的算法、算法本身的参数以及算法投票决定异常数据的阈值。
7.如权利要求1所述的基于工控网络流量的安全态势感知***,其特征在于,所述安全态势可视化模块(60)能够综合展示已存储的流量数据,使用自定义图表控制台的方式展示已存储的工控网络流量数据,对工控网络流量本身进行可视化监控;综合展示异常检测模块(40)的检测结果,结合已有的流量数据展示和定位检测出的异常数据,建立检测结果与流量数据间的可视化联系。
8.如权利要求1所述的基于工控网络流量的安全态势感知***,其特征在于,所述建模与算法更新模块(70),具体还包括复杂建模单元(71)和参数更新单元,其中:
复杂建模单元(71)对已有的正常流量数据和异常流量数据集合建立高阶复杂模型,使用已有的流量数据和异常检测算法检测模型的适用性;参数更新单元(72)利用已建立的高阶复杂模型异步更新异常检测模块(40)各类算法的具体参数,更新过程不影响异常检测模块(40)正常运转。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910998682.2A CN110753049B (zh) | 2019-10-21 | 2019-10-21 | 一种基于工控网络流量的安全态势感知*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910998682.2A CN110753049B (zh) | 2019-10-21 | 2019-10-21 | 一种基于工控网络流量的安全态势感知*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110753049A true CN110753049A (zh) | 2020-02-04 |
CN110753049B CN110753049B (zh) | 2021-04-13 |
Family
ID=69278994
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910998682.2A Active CN110753049B (zh) | 2019-10-21 | 2019-10-21 | 一种基于工控网络流量的安全态势感知*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110753049B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113872958A (zh) * | 2021-09-24 | 2021-12-31 | 中能融合智慧科技有限公司 | 一种基于工控安全态势感知的智能网络识别工具 |
CN115208703A (zh) * | 2022-09-16 | 2022-10-18 | 北京安帝科技有限公司 | 分片并行化机制的工控设备入侵检测方法和*** |
CN117240603A (zh) * | 2023-11-10 | 2023-12-15 | 紫光恒越技术有限公司 | 数据传输方法、***、装置、电子设备及存储介质 |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103716204A (zh) * | 2013-12-20 | 2014-04-09 | 中国科学院信息工程研究所 | 一种基于维纳过程的异常入侵检测集成学习方法及装置 |
CN104767692A (zh) * | 2015-04-15 | 2015-07-08 | 中国电力科学研究院 | 一种网络流量分类方法 |
CN104994056A (zh) * | 2015-05-11 | 2015-10-21 | 中国电力科学研究院 | 一种电力信息网络中流量识别模型的动态更新方法 |
CN105704103A (zh) * | 2014-11-26 | 2016-06-22 | 中国科学院沈阳自动化研究所 | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 |
US20170063908A1 (en) * | 2015-08-31 | 2017-03-02 | Splunk Inc. | Sharing Model State Between Real-Time and Batch Paths in Network Security Anomaly Detection |
CN107222491A (zh) * | 2017-06-22 | 2017-09-29 | 北京工业大学 | 一种基于工业控制网络变种攻击的入侵检测规则创建方法 |
CN108322445A (zh) * | 2018-01-02 | 2018-07-24 | 华东电力试验研究院有限公司 | 一种基于迁移学习和集成学习的网络入侵检测方法 |
CN108769048A (zh) * | 2018-06-08 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种安全可视化与态势感知平台*** |
CN109547409A (zh) * | 2018-10-19 | 2019-03-29 | 中国电力科学研究院有限公司 | 一种用于对工业网络传输协议进行解析的方法及*** |
CN109818971A (zh) * | 2019-03-12 | 2019-05-28 | 清华大学 | 一种基于高阶关联挖掘的网络数据异常检测方法与*** |
CN109840415A (zh) * | 2018-12-29 | 2019-06-04 | 江苏博智软件科技股份有限公司 | 一种工控网络安全态势感知*** |
CN109861988A (zh) * | 2019-01-07 | 2019-06-07 | 浙江大学 | 一种基于集成学习的工业控制***入侵检测方法 |
CN110324316A (zh) * | 2019-05-31 | 2019-10-11 | 河南恩湃高科集团有限公司 | 一种基于多种机器学习算法的工控异常行为检测方法 |
-
2019
- 2019-10-21 CN CN201910998682.2A patent/CN110753049B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103716204A (zh) * | 2013-12-20 | 2014-04-09 | 中国科学院信息工程研究所 | 一种基于维纳过程的异常入侵检测集成学习方法及装置 |
CN105704103A (zh) * | 2014-11-26 | 2016-06-22 | 中国科学院沈阳自动化研究所 | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 |
CN104767692A (zh) * | 2015-04-15 | 2015-07-08 | 中国电力科学研究院 | 一种网络流量分类方法 |
CN104994056A (zh) * | 2015-05-11 | 2015-10-21 | 中国电力科学研究院 | 一种电力信息网络中流量识别模型的动态更新方法 |
US20170063908A1 (en) * | 2015-08-31 | 2017-03-02 | Splunk Inc. | Sharing Model State Between Real-Time and Batch Paths in Network Security Anomaly Detection |
CN107222491A (zh) * | 2017-06-22 | 2017-09-29 | 北京工业大学 | 一种基于工业控制网络变种攻击的入侵检测规则创建方法 |
CN108322445A (zh) * | 2018-01-02 | 2018-07-24 | 华东电力试验研究院有限公司 | 一种基于迁移学习和集成学习的网络入侵检测方法 |
CN108769048A (zh) * | 2018-06-08 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种安全可视化与态势感知平台*** |
CN109547409A (zh) * | 2018-10-19 | 2019-03-29 | 中国电力科学研究院有限公司 | 一种用于对工业网络传输协议进行解析的方法及*** |
CN109840415A (zh) * | 2018-12-29 | 2019-06-04 | 江苏博智软件科技股份有限公司 | 一种工控网络安全态势感知*** |
CN109861988A (zh) * | 2019-01-07 | 2019-06-07 | 浙江大学 | 一种基于集成学习的工业控制***入侵检测方法 |
CN109818971A (zh) * | 2019-03-12 | 2019-05-28 | 清华大学 | 一种基于高阶关联挖掘的网络数据异常检测方法与*** |
CN110324316A (zh) * | 2019-05-31 | 2019-10-11 | 河南恩湃高科集团有限公司 | 一种基于多种机器学习算法的工控异常行为检测方法 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113872958A (zh) * | 2021-09-24 | 2021-12-31 | 中能融合智慧科技有限公司 | 一种基于工控安全态势感知的智能网络识别工具 |
CN113872958B (zh) * | 2021-09-24 | 2023-07-28 | 中能融合智慧科技有限公司 | 一种基于工控安全态势感知的智能网络识别工具 |
CN115208703A (zh) * | 2022-09-16 | 2022-10-18 | 北京安帝科技有限公司 | 分片并行化机制的工控设备入侵检测方法和*** |
CN115208703B (zh) * | 2022-09-16 | 2022-12-13 | 北京安帝科技有限公司 | 分片并行化机制的工控设备入侵检测方法和*** |
CN117240603A (zh) * | 2023-11-10 | 2023-12-15 | 紫光恒越技术有限公司 | 数据传输方法、***、装置、电子设备及存储介质 |
CN117240603B (zh) * | 2023-11-10 | 2024-02-06 | 紫光恒越技术有限公司 | 数据传输方法、***、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN110753049B (zh) | 2021-04-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110753049B (zh) | 一种基于工控网络流量的安全态势感知*** | |
CN107577588B (zh) | 一种海量日志数据智能运维*** | |
CN111984499B (zh) | 一种大数据集群的故障检测方法和装置 | |
CN112114995B (zh) | 基于进程的终端异常分析方法、装置、设备及存储介质 | |
CN107749859B (zh) | 一种面向网络加密流量的恶意移动应用检测方法 | |
CN112148772A (zh) | 告警根因识别方法、装置、设备和存储介质 | |
CN106330533B (zh) | 一种大规模网络告警实时拓扑建立方法 | |
EP3671466A1 (en) | Unsupervised anomaly detection for arbitrary time series | |
US20210126931A1 (en) | System and a method for detecting anomalous patterns in a network | |
CN113645232A (zh) | 一种面向工业互联网的智能化流量监测方法、***及存储介质 | |
CN114553591B (zh) | 随机森林模型的训练方法、异常流量检测方法及装置 | |
CN114338188B (zh) | 一种基于进程行为序列分片的恶意软件智能云检测*** | |
CN113705714B (zh) | 基于行为序列的配电物联网设备异常行为检测方法及装置 | |
CN112395608A (zh) | 网络安全威胁监测方法、装置和可读存储介质 | |
CN112351004A (zh) | 一种基于计算机网络信息安全事件处理***及方法 | |
CN117097578B (zh) | 一种网络流量的安全监控方法、***、介质及电子设备 | |
CN111651760B (zh) | 一种设备安全状态综合分析的方法及计算机可读存储介质 | |
CN112363891B (zh) | 一种基于细粒度事件和KPIs分析的异常原因获得方法 | |
CN113033639A (zh) | 一种异常数据检测模型的训练方法、电子设备及存储介质 | |
CN113391900A (zh) | 一种离散生产环境下异常事件处理方法及*** | |
CN110677271B (zh) | 基于elk的大数据告警方法、装置、设备及存储介质 | |
CN112383431A (zh) | 互联网中物联网数据的识别方法及装置 | |
CN111176950A (zh) | 一种监控服务器集群的网卡的方法和设备 | |
WO2014200458A1 (en) | Re-streaming time series data for historical data analysis | |
CN115935237A (zh) | 业务流量数据的异常检测方法、装置、电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |