CN115964715A - 基于生成对抗网络和模糊测试的工业控制***漏洞发现方法 - Google Patents
基于生成对抗网络和模糊测试的工业控制***漏洞发现方法 Download PDFInfo
- Publication number
- CN115964715A CN115964715A CN202211639353.7A CN202211639353A CN115964715A CN 115964715 A CN115964715 A CN 115964715A CN 202211639353 A CN202211639353 A CN 202211639353A CN 115964715 A CN115964715 A CN 115964715A
- Authority
- CN
- China
- Prior art keywords
- data
- samples
- vulnerability
- model
- training
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于生成对抗网络和模糊测试的工业控制***漏洞发现方法,包括:流量数据收集和预处理,包括收集被测***流量和对其进行预处理,如数据编码转换、数据聚类、数据扩增等;漏洞特征提取,对已有漏洞库中的POC(Proof of Concept)信息进行特征提取;生成对抗网络模型架构设计,包括生成器设计、判别器设计、以及损失函数优化;模型训练和用例生成,对生成器和判别器进行训练,且由提取的特征进行指导,并阶段性保留生成的流量数据作为测试用例;最后将测试用例发送到被测***并进行异常监测,记录漏洞信息更新漏洞库。本发明很好的解决了私有协议的结构不公开的问题,可以广泛适用于所有的工业控制设备。
Description
技术领域
本发明属于工业控制***安全领域,具体地说,是一种基于生成对抗网络和模糊测试的工业控制***漏洞发现方法。
背景技术
工业控制***(Industrial Control System,ICS)是一类工业生产自动化***,主要由物理过程、传感器、执行器、控制器、人机界面、数据库等设备组成。工业控制***作为国家关键基础设施的重要组成部分,其应用涉及电力、医药、化工、交通等各行业领域,其中,80%以上涉及国民经济和社会民生的关键基础设施依靠工业控制***实现自动化。可以说,工业控制***的安全性己与国家的战略安全息息相关。
传统发现漏洞的方法有静态分析技术、动态分析技术等。静态分析技术是在目标程序未编译的状态下对目标程序进行分析研究,从而发现目标程序中存在的安全漏洞的技术,如协议逆向技术、二进制对比技术等,其优点是代码覆盖率高,漏报少。但由于其缺少对运行过程中的安全分析,漏洞挖掘的精确度比较小,且误报率较高。动态分析技术是通过检测***或程序在运行过程中状态的变化来发现其中潜在的安全漏洞的技术,如模糊测试、风波测试、双向测试等。相对于静态分析技术来说,具有更高的精确度且更全面,但代码覆盖率较低,且当程序无法运行时无法进行漏洞发现。
模糊测试是指向目标软件程序输入大量非预期的畸形数据,通过监测目标程序的异常来发现应用程序中可能存在的安全缺陷。模糊测试是一个自动或半自动的过程,这个过程需要反复操纵目标软件并为其提供处理数据。提供的数据需要根据定义和规范来设计和生成,对一些特定***和环境进行人工分析并设计相关的规范也有一定的难度和要求,且需要花费大量时间。
发明内容
本发明提供了一种基于生成对抗网络和模糊测试的工业控制***漏洞发现方法,解决了传统的漏洞发现技术难以获取私有协议结构和信息的问题,同时以真实流量作为样本生成接近真实流量的数据进行自动化测试节省了大量的人工时间,在降低测试用例废弃率的同时提高了用例的多样性和漏洞的发现率。
为了解决上述技术问题,本发明采用的技术方案如下:
一种基于生成对抗网络和模糊测试的工业控制***漏洞发现方法,包括:
步骤1,数据流量捕获和预处理。***接入被测工业控制***后,自动收集被测***中的真实流量并进行预处理,如数据编码转换、数据聚类、数据补长等;
步骤2,漏洞库特征提取。使用ReliefF算法对漏洞特征进行提取。
步骤3,网络模型架构设计。生成对抗网络(GAN)包括生成器模型和判别器模型,通过二者之间的多次博弈,使判别模型无法判断生成模型生成数据的真假,达到平衡。方法模型使用了Wasserstein GAN(WGAN)作为模糊测试用例生成的网络架构。
步骤4,模型训练和用例生成。将处理好的数据集划分成等大小的批次(batch),不断地进行训练,每个周期(epoch)训练生成器5次,判别器一次。通过保持生成数据和真实数据的差异可以提高模型发现漏洞的能力,所以每10个训练周期保存一次生成模型,用于生成不同差异度的数据。对那些可以引发漏洞和异常的生成数据对其进行增强和畸变操作后重新放入数据集进行重训练。
步骤5,模糊测试用例发送和异常监测。将生成的数据封装成IP数据报或MAC帧发送到目标设备,同时对被测设备进行监测,记录出现的异常和错误,保存引发异常和漏洞的数据包,便于重训练,更新漏洞库。
进一步地,步骤1所述数据流量捕获和预处理,方法如下:
步骤1.1:数据编码转换,由于流量数据的十六进制字符无法被处理,将其进行一维编码转换,先将IP、时间戳等不适合学习的特征去掉后,转换为对应的十进制数字。
步骤1.2:数据聚类,使用了根据长度聚类和K-MEANS聚类,使数据能够被更好的分类。
步骤1.3:数据补长,使用无关字符将数据补充到最大长度,统一数据结构。
进一步地,步骤2所述漏洞库特征提取,方法如下:
步骤2.1:漏洞库建立,从漏洞网站上预收集已有工业控制***漏洞信息并收集或复现POC。
步骤2.2:漏洞特征提取,使用ReliefF算法对漏洞POC进行特征提取。ReliefF算法是Relief算法的改进,前者可以解决多分类问题特征处理,后者仅限于二分类问题,二者在特征选择时都是通过距离度量。ReliefF算法对特征和类别的相关性的判断方式是根据特征对近距离样本的区分能力,使用间距来决定相关特征属性的特征权重,权重小于某一个值时,这个特征属性就会被移除。
ReliefF算法每次从数据样本中随机的选取出一个样本R,然后在和R同类别的数据样本中找到R的k个近邻样本H,接下来在和R不同类别的数据样本中均找到k个近邻样本M,根据同一类的样本应该比不同类的样本更相似这一假定,在同一个特征A下,如果R和同类别近邻样本H之间的距离要小于和不同类别近邻样本M之间的距离,这时,特征A被赋予较大的权重,来保证这个特征A对分类有较高影响;如果R和同类别样本H之间的距离要大于或者等于和不同类别样本M之间的距离,表明这个特征A同类别和不同类别的近邻样本分类能力较差,被赋予较小权重,权重数学公式如下:
其中,m代表样本的抽样次数,表示要进行m次抽样,diff(A,R,Hj)代表在特征A下,两个样本之间的差值;p(C)代表在类别C中,选出的k个近邻样本个数占比样本总数;class(R)代表样本R的所属类别;Mj(C)代表类别C中的第j个近邻样本。
进一步地,步骤3所述网络模型架构设计,方法如下:
步骤3.1:网络模型使用GAN的一种变体——的Wasserstein GAN(WGAN),与经典GAN相比,WGAN引入了Wasserstein距离代替JS散度,改进了生成器的损失函数。方法通过计算Wasserstein距离,来计算数据分布和真实数据分布之间的距离,计算公式如下:
其中Pr表示真实分布,Pg表示生成分布,inf表示最大下界,Π(Pr,Pg)表示Pr和Pg组合起来的所有可能的联合分布的集合,对于每一个可能的联合分布γ而言,可以从中采样(x,y)~γ得到一个真实样本x和一个生成样本y,并算出这对样本的距离||x-y||,所以可以计算该联合分布γ下样本对距离的期望值 在所有可能的联合分布中能够对这个期望值取到的下界就定义为Wasserstein距离。
步骤3.2:WGAN在经典GAN的基础上,利用Lipschitz连续性限制条件,将Wasserstein距离引入,解决了JS散度存在的梯度消失和模型崩溃问题。
原始目标函数如下:
改进后的WGAN目标函数计算如下:
其中fω表示最后一层不是非线性激活层的判别器网络,在上式尽可能取到最大时,L就会近似真实分布与生成分布之间的Wasserstein距离。由此也可得出模型的两个损失函数,如下:
WGAN生成器损失函数:
WGAN判别器损失函数:
进一步地,步骤4所模型训练和用例生成,方法如下:
步骤4.1:生成器G,一层输入层,五层隐藏层,一层输出层,隐藏层使用Relu作为激活函数。使用RMSProp(Root Mean Square Prop)作为优化算法。
步骤4.2:判别器D,一层输入层,一层隐藏层,一层输出层。每个训练周期结束将权重矩阵中的值裁剪到一定的范围,来满足Lipschitz连续性。
步骤4.3:训练生成模型,设置G和D的学习率为0.001,每个训练周期G训练5次,D训练1次。训练50个周期,每10个训练周期保存一次生成器模型。
步骤4.4:生成模糊测试用例,利用训练好的模型生成大量测试用例用于后续漏洞发现。
进一步地,步骤5所述模糊测试用例发送和异常监测,方法如下:
步骤5.1:测试用例发送,将生成的流量数据封装成IP数据报或MAC帧发送的被测设备。
步骤5.2:异常监测,监听被测设备对数据包的响应和被测设备的异常状态。
步骤5.3:异常记录,记录异常信息,并保存引起异常的数据包,并与漏洞库对比。
步骤5.4:漏洞库更新,将异常信息和设备信息整合成漏洞信息,加入漏洞库。
本发明与现有技术相比,其显著优点为:(1)模糊测试用例的生成不需要了解协议的具体结构和通信方式;(2)使用生成对抗网络进行模糊测试用例生成可以解决模糊测试用例丢弃率高的问题。(3)使用WGAN模型解决了传统模型的梯度消失和模型崩溃问题。(4)使用真实流量进行学习训练,生成的流量有一定真实性,且多样性大幅提高,提高测试覆盖率。
附图说明
图1是基于生成对抗网络和模糊测试的工业控制***漏洞发现方法的流程图。
具体实施方式
下面结合说明书附图和具体实施例,进一步阐明本发明,实施例在以本发明技术方案为前提下进行实施,应理解这些实施例仅用于说明本发明而不用于限制本发明的范围。
步骤1,数据流量捕获和预处理。***接入被测工业控制***后,自动收集被测***中的真实流量并进行预处理,如数据编码转换、数据聚类、数据补长等;
步骤1.1:与被测设备接入同一网络,捕获网络内发往被测设备的真实流量。
步骤1.2:数据编码转换,由于流量数据的十六进制字符无法被处理,将其进行一维编码转换,先将IP、时间戳等不适合学习的特征去掉后,转换为对应的十进制数字。
步骤1.3:数据聚类,使用了根据长度聚类和K-MEANS聚类,使数据能够被更好的分类。
步骤1.4:数据补长,使用无关字符将数据补充到最大长度,统一数据结构。由于工控协议的特殊性,具有相同长度的流量一般具有相似的功能。
步骤2,漏洞库特征提取。使用ReliefF算法对漏洞特征进行提取。
步骤2.1:漏洞库建立,从漏洞网站上预收集已有工业控制***漏洞信息并收集或复现POC。
步骤2.2:漏洞特征提取,使用ReliefF算法对漏洞POC进行特征提取。ReliefF算法是Relief算法的改进,前者可以解决多分类问题特征处理,后者仅限于二分类问题,二者在特征选择时都是通过距离度量。ReliefF算法对特征和类别的相关性的判断方式是根据特征对近距离样本的区分能力,使用间距来决定相关特征属性的特征权重,权重小于某一个值时,这个特征属性就会被移除。
ReliefF算法每次从数据样本中随机的选取出一个样本R,然后在和R同类别的数据样本中找到R的k个近邻样本H,接下来在和R不同类别的数据样本中均找到k个近邻样本M,根据同一类的样本应该比不同类的样本更相似这一假定,在同一个特征A下,如果R和同类别近邻样本H之间的距离要小于和不同类别近邻样本M之间的距离,这时,特征A被赋予较大的权重,来保证这个特征A对分类有较高影响;如果R和同类别样本H之间的距离要大于或者等于和不同类别样本M之间的距离,表明这个特征A同类别和不同类别的近邻样本分类能力较差,被赋予较小权重,权重数学公式如下:
其中,m代表样本的抽样次数,表示要进行m次抽样,diff(A,R,Hj)代表在特征A下,两个样本之间的差值;p(C)代表在类别C中,选出的k个近邻样本个数占比样本总数;class(R)代表样本R的所属类别;Mj(C)代表类别C中的第j个近邻样本。
步骤3,网络模型架构设计。生成对抗网络(GAN)包括生成器模型和判别器模型,通过二者之间的多次博弈,使判别模型无法判断生成模型生成数据的真假,达到平衡。方法模型使用了Wasserstein GAN(WGAN)作为模糊测试用例生成的网络架构。
步骤3.1:网络模型使用GAN的一种变体——的Wasserstein GAN(WGAN),与经典GAN相比,WGAN引入了Wasserstein距离代替JS散度,改进了生成器的损失函数。方法通过计算Wasserstein距离,来计算数据分布和真实数据分布之间的距离,计算公式如下:
其中Pr表示真实分布,Pg表示生成分布,inf表示最大下界,Π(Pr,Pg)表示Pr和Pg组合起来的所有可能的联合分布的集合,对于每一个可能的联合分布γ而言,可以从中采样(x,y)~γ得到一个真实样本x和一个生成样本y,并算出这对样本的距离||x-y||,所以可以计算该联合分布γ下样本对距离的期望值 在所有可能的联合分布中能够对这个期望值取到的下界就定义为Wasserstein距离。
步骤3.2:WGAN在经典GAN的基础上,利用Lipschitz连续性限制条件,将Wasserstein距离引入,解决了JS散度存在的梯度消失和模型崩溃问题。
原始目标函数如下:
改进后的WGAN目标函数计算如下:
其中fω表示最后一层不是非线性激活层的判别器网络,在上式尽可能取到最大时,L就会近似真实分布与生成分布之间的Wasserstein距离。由此也可得出模型的两个损失函数,如下:
WGAN生成器损失函数:
WGAN判别器损失函数:
步骤4,模型训练和用例生成。将处理好的数据集划分成等大小的批次(batch),不断地进行训练,每个周期(epoch)训练生成器5次,判别器一次。通过保持生成数据和真实数据的差异可以提高模型发现漏洞的能力,所以每10个训练周期保存一次生成模型,用于生成不同差异度的数据。对那些可以引发漏洞和异常的生成数据对其进行增强和畸变操作后重新放入数据集进行重训练。
步骤4.1:生成器G,一层输入层,五层隐藏层,一层输出层,隐藏层使用Relu作为激活函数。使用RMSProp(Root Mean Square Prop)作为优化算法。
步骤4.2:判别器D,一层输入层,一层隐藏层,一层输出层。每个训练周期结束将权重矩阵中的值裁剪到一定的范围,来满足Lipschitz连续性。
步骤4.3:训练生成模型,设置G和D的学习率为0.001,每个训练周期G训练5次,D训练1次,共训练50个周期。模糊测试用例一般需要与真实数据有一定的差异性,才能引发设备的异常,所以不需要将生成器训练到最完美,通过每10个训练周期保存一次生成器模型,使生成的流量数据具有不同的差异度,增加用例的多样性,也能提高测试用例的覆盖率。
步骤4.4:生成模糊测试用例,利用训练好的模型生成大量测试用例用于后续漏洞发现。
步骤5,模糊测试用例发送和异常监测。将生成的数据封装成IP数据报或MAC帧发送到目标设备,同时对被测设备进行监测,记录出现的异常和错误,保存引发异常和漏洞的数据包,便于重训练。总结漏洞概况,更新漏洞库。
步骤5.1:测试用例发送,将生成的流量数据封装成IP数据报或MAC帧发送的被测设备。
步骤5.2:异常监测,监听被测设备对数据包的响应和被测设备的异常状态。
步骤5.3:异常记录,记录异常信息,如程序报错、***错误提示、设备未响应等异常状态,并保存引起异常的数据包,并与漏洞库对比。
步骤5.4:漏洞库更新,将异常信息和设备信息整合成漏洞信息,加入漏洞库。
以上仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (6)
1.一种基于生成对抗网络和模糊测试的工业控制***漏洞发现方法,其特征在于,包括如下步骤:
步骤1,数据流量捕获和预处理;首先接入被测工业控制***,自动收集被测***中的真实流量并进行预处理;
步骤2,漏洞库特征提取;使用ReliefF算法对漏洞特征进行提取;
步骤3,网络模型架构设计;生成对抗网络GAN包括生成器模型和判别器模型,通过二者之间的多次博弈,使判别模型无法判断生成模型生成数据的真假;方法模型使用了Wasserstein GAN作为模糊测试用例生成的网络架构;
步骤4,模型训练和用例生成;将处理好的数据集划分成等大小的批次(batch),不断地进行训练,每个周期(epoch)训练生成器5次,判别器一次;每10个训练周期保存一次生成模型,用于生成不同差异度的数据;对那些可以引发漏洞和异常的生成数据对其进行增强和畸变操作后重新放入数据集进行重训练;
步骤5,模糊测试用例发送和异常监测;将生成的数据封装成IP数据报或MAC帧发送到目标设备,同时对被测设备进行监测,记录出现的异常和错误,保存引发异常和漏洞的数据包,更新漏洞库。
2.根据权利要求1所述的基于生成对抗网络和模糊测试的工业控制***漏洞发现方法,其特征在于,步骤1所述数据流量捕获和预处理,方法如下:
步骤1.1:数据编码转换;将流量数据的十六进制字符进行一维编码转换,先将IP、时间戳这些不适合学习的特征去掉后,转换为对应的十进制数字;
步骤1.2:数据聚类;采用根据长度聚类和K-MEANS聚类;
步骤1.3:数据补长;使用无关字符将数据补充到最大长度,统一数据结构。
3.根据权利要求1所述的基于生成对抗网络和模糊测试的工业控制***漏洞发现方法,其特征在于,步骤2所述漏洞库特征提取,方法如下:
步骤2.1:漏洞库建立,从漏洞网站上预收集已有工业控制***漏洞信息并收集或复现POC;
步骤2.2:漏洞特征提取,使用ReliefF算法对漏洞POC进行特征提取;
ReliefF算法每次从数据样本中随机的选取出一个样本R,然后在和R同类别的数据样本中找到R的k个近邻样本H,接下来在和R不同类别的数据样本中均找到k个近邻样本M,根据同一类的样本应该比不同类的样本更相似这一假定,在同一个特征A下,如果R和同类别近邻样本H之间的距离要小于和不同类别近邻样本M之间的距离,此时,特征A被赋予较大的权重,来保证这个特征A对分类有较高影响;如果R和同类别样本H之间的距离要大于或者等于和不同类别样本M之间的距离,表明这个特征A同类别和不同类别的近邻样本分类能力较差,被赋予较小权重,权重数学公式如下:
其中,m代表样本的抽样次数,表示要进行m次抽样,diff(A,R,Hj)代表在特征A下,两个样本之间的差值;p(C)代表在类别C中,选出的k个近邻样本个数占比样本总数;class(R)代表样本R的所属类别;Mj(C)代表类别C中的第j个近邻样本。
4.根据权利要求1所述的基于生成对抗网络和模糊测试的工业控制***漏洞发现方法,其特征在于,步骤3所述网络模型架构设计,方法如下:
步骤3.1:网络模型使用GAN的一种变体——Wasserstein GAN,通过计算Wasserstein距离,来计算数据分布和真实数据分布之间的距离,计算公式如下:
其中Pr表示真实分布,Pg表示生成分布,inf表示最大下界,Π(Pr,Pg)表示Pr和Pg组合起来的所有可能的联合分布的集合,对于每一个可能的联合分布γ而言,可以从中采样(x,y)~γ得到一个真实样本x和一个生成样本y,并算出这对样本的距离||x-y||,计算该联合分布γ下样本对距离的期望值在所有可能的联合分布中能够对这个期望值取到的下界就定义为Wasserstein距离;
步骤3.2:改进后的WGAN目标函数计算如下:
其中fω表示最后一层不是非线性激活层的判别器网络,在上式尽可能取到最大时,L就会近似真实分布与生成分布之间的Wasserstein距离;由此也可得出模型的两个损失函数,如下:
WGAN生成器损失函数:
WGAN判别器损失函数:
5.根据权利要求1所述的基于生成对抗网络和模糊测试的工业控制***漏洞发现方法,其特征在于,步骤4所模型训练和用例生成,方法如下:
步骤4.1:生成器G,一层输入层,五层隐藏层,一层输出层,隐藏层使用Relu作为激活函数;使用RMSProp作为优化算法;
步骤4.2:判别器D,一层输入层,一层隐藏层,一层输出层,每个训练周期结束将权重矩阵中的值裁剪到一定的范围,来满足Lipschitz连续性;
步骤4.3:训练生成模型,设置G和D的学习率为0.001,每个训练周期G训练5次,D训练1次;训练50个周期,每10个训练周期保存一次生成器模型;
步骤4.4:生成模糊测试用例,利用训练好的模型生成大量测试用例用于后续漏洞发现。
6.根据权利要求1所述的基于生成对抗网络和模糊测试的工业控制***漏洞发现方法,其特征在于,步骤5所述模糊测试用例发送和异常监测,方法如下:
步骤5.1:测试用例发送,将生成的流量数据封装成IP数据报或MAC帧发送的被测设备;
步骤5.2:异常监测,监听被测设备对数据包的响应和被测设备的异常状态;
步骤5.3:异常记录,记录异常信息,并保存引起异常的数据包,并与漏洞库对比;
步骤5.4:漏洞库更新,将异常信息和设备信息整合成漏洞信息,加入漏洞库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211639353.7A CN115964715A (zh) | 2022-12-20 | 2022-12-20 | 基于生成对抗网络和模糊测试的工业控制***漏洞发现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211639353.7A CN115964715A (zh) | 2022-12-20 | 2022-12-20 | 基于生成对抗网络和模糊测试的工业控制***漏洞发现方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115964715A true CN115964715A (zh) | 2023-04-14 |
Family
ID=87361287
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211639353.7A Pending CN115964715A (zh) | 2022-12-20 | 2022-12-20 | 基于生成对抗网络和模糊测试的工业控制***漏洞发现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115964715A (zh) |
-
2022
- 2022-12-20 CN CN202211639353.7A patent/CN115964715A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110909811B (zh) | 一种基于ocsvm的电网异常行为检测、分析方法与*** | |
CN111277578A (zh) | 加密流量分析特征提取方法、***、存储介质、安全设备 | |
CN111885059B (zh) | 一种工业网络流量异常检测定位的方法 | |
US20180288084A1 (en) | Method and device for automatically establishing intrusion detection model based on industrial control network | |
CN113162893B (zh) | 基于注意力机制的工业控制***网络流量异常检测方法 | |
CN111092862A (zh) | 一种用于对电网终端通信流量异常进行检测的方法及*** | |
CN105306463A (zh) | 基于支持向量机的Modbus TCP入侵检测方法 | |
CN104660464A (zh) | 一种基于非广延熵的网络异常检测方法 | |
CN108600195A (zh) | 一种基于增量学习的快速工控协议格式逆向推断方法 | |
CN113067798B (zh) | Ics入侵检测方法、装置、电子设备和存储介质 | |
CN117220920A (zh) | 基于人工智能的防火墙策略管理方法 | |
Iturbe et al. | On the feasibility of distinguishing between process disturbances and intrusions in process control systems using multivariate statistical process control | |
CN117411703A (zh) | 一种面向Modbus协议的工业控制网络异常流量检测方法 | |
CN116662177A (zh) | 一种面向电力***终端的测试用例自动化生成方法及*** | |
CN115618353A (zh) | 一种工业生产安全的识别***及方法 | |
CN117349618A (zh) | 网络信息***的恶意加密流量检测模型的构建方法及介质 | |
CN117240522A (zh) | 基于攻击事件模型的漏洞智能挖掘方法 | |
CN108761250B (zh) | 一种基于工控设备电压电流的入侵检测方法 | |
CN116662184A (zh) | 一种基于Bert的工控协议模糊测试用例筛选方法及*** | |
CN115964715A (zh) | 基于生成对抗网络和模糊测试的工业控制***漏洞发现方法 | |
CN115643108A (zh) | 面向工业互联网边缘计算平台安全评估方法、***及产品 | |
Tan et al. | Using hidden markov models to evaluate the real-time risks of network | |
Naukudkar et al. | Enhancing performance of security log analysis using correlation-prediction technique | |
CN115102746B (zh) | 一种基于行为体积的主机行为在线异常检测方法 | |
CN116915459B (zh) | 一种基于大语言模型的网络威胁分析方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |