一种面向工控系统的PU学习入侵检测方法

工业控制系统与物理环境联系紧密,受到攻击会直接造成经济损失,人员伤亡等后果,工业控制系统入侵检测可以提供有效的安全防护。工业控制系统中将入侵检测作为一个异常检测问题,本文围绕PU learning （Positive-unlabeled learning,PU学习）进行工业控制系统入侵检测进行研究。首先针对工业控制系统中数据维度高的特点,提出了一种特征重要度计算方法,通过正例数据集和无标签数据集的分布差异度量特征重要度,用于PU学习的特征选择;其次提出了一种基于OCSVM （One-Class SVM）的类先验估计算法,该算法可以稳定且准确的估计出类先验概率,为PU学习提供必要的先验知识;最后采用了三个公开数据集进行实验,在仅有一类标签数据的条件下,通过PU学习发现待检测数据中的异常样本,并与一些现有的模型进行对比,验证了PU学习的有效性。     

基于改进单类支持向量机的工业控制网络入侵检测方法

针对单类支持向量机（OCSVM）入侵检测方法无法检测内部异常点和离群点导致决策函数偏离训练样本的问题,提出了一种结合具有噪声的密度聚类（DBSCAN）方法和K-means方法的OCSVM异常入侵检测算法。首先通过DBSCAN算法,剔除训练数据中的离群点,消除离群点的影响;然后利用K-means划分数据类簇的方法筛选出内部异常点;最后利用OCSVM算法为每一个类簇建立单分类器用于检测异常数据。工控网络数据集上的实验结果表明,该组合分类器能够利用无异常数据样本检测出工控网络入侵,并且提高了OCSVM方法的检测效果。在气体管道网络数据集入侵检测实验中,所提方法的总体检测率为91.81%;而原始OCSVM算法则为80.77%。     

基于遗传算法优化的OCSVM双轮廓模型异常检测算法

针对Modbus工业总线协议的特殊性及工控数据样本的不均衡性,利用单类支持向量机（OCSVM）分别构建正常OCSVM模型和异常OCSVM模型,即双轮廓模态来模拟系统通信的正常模式和异常模式,从而实现工控系统异常检测。同时将遗传算法优化自变量降维应用于工控网络入侵检测场景,实现对输入自变量的降维压缩处理,防止OCSVM模型出现过拟合现象及分类准确率低的问题,提高异常检测的精度,缩减建模时间。通过仿真验证了该算法对工控网络异常检测的有效性。     

入侵检测中的OCSVM方法综述

通常,在入侵检测的研究中把入侵行为看成是一个二分类问题,即正常和异常,这就需要一个被完全标记为正常和异常的训练数据集.而在实际应用中,很难找到这样的数据集,并且对于一些新的没有标记过的入侵行为,传统的入侵检测方法不能检测出来.而基于OCSVM的入侵检测不需要任何标记数据,并且能够从未标记的数据集中发现异常.     

一种面向工业控制系统的改进CUSUM入侵检测方法

针对CUSUM异常检测算法在入侵检测应用中存在的固定偏移常数和固定检测门限的问题,结合工业控制系统高实时性和高可用性的要求,提出一种面向工业控制系统、具有自适应特征的改进非参数CUSUM(D-CUSUM)入侵检测方法。与以往凭经验设置固定值不同,算法基于概率论中著名的柯尔莫哥洛夫不等式理论重新设计了非参数CUSUM偏移常数β的生成方法,通过外部参数-告警控制参数动态设置CUSUM算法的检测门限τN,使β和τN具有自适应特性。在基于MATLAB Simulink的温度控制系统攻击仿真实验中,证明改进的非参数CUSUM异常检测算法能够改善检测的实时性和误报率,实现对工业控制系统的低误报率实时入侵检测。     

煤矿企业工业控制系统入侵检测算法

针对现有煤矿企业工业控制系统入侵检测算法未考虑防御因素影响、实现复杂等问题,从攻击进程和防御体系2个方面,提出了一种基于攻防树模型的煤矿企业工业控制系统入侵检测算法。首先,通过对攻击叶节点的攻击属性进行量化并构建指标体系得到攻击叶节点被攻击概率,进而得出攻击路径的入侵成功率,并结合攻击路径的入侵回报率得到攻击路径的入侵概率;然后,引入基于漏报率和误报率的入侵报警率,得到被动防御概率,通过漏洞发现率和漏洞修复率得到主动防御概率;最后,根据攻击路径的入侵概率、被动防御概率和主动防御概率,得出攻击路径最终入侵概率。实例结果表明,该算法能有效检测煤矿企业工业控制系统入侵概率,提高入侵检测的准确性。     

工业控制系统入侵检测技术的研究及发展综述

入侵检测是工控安全防护技术的重要组成部分。针对工控系统入侵检测技术的研究与应用,分别从检测特征、算法设计、应用环境等角度对目前的研究工作进行总结,介绍入侵检测在保障系统安全运行中的实际应用,讨论了工控入侵检测技术研究的关键问题。为提高工控入侵检测技术的异常行为防御能力,根据工控系统环境的复杂性和入侵检测的特殊性,对相关研究中存在的问题与不足进行分析,并结合工业控制系统网络化与信息化的发展现状和不断增强的安全防御要求,对工控入侵检测研究进行展望,提出了与大数据处理融合、智能化检测系统等的发展方向。     

工业控制网络入侵检测技术研究

随着工业化和信息化融合发展的不断深入,越来越多的互联网技术被应用到了工业控制网络中,其安全问题也随着各类病毒攻击事件的增加而成为人们关注的焦点。入侵检测技术作为主动安全防护措施,可以有效弥补传统安全防护技术的不足。因此,面向工业控制网络的入侵检测技术成为了工控安全领域研究的热点。以基于工业控制网络的入侵检测技术为研究目标,分析了该领域中面临的问题;首先,介绍了工业控制系统的具体结构及其特点;其次,对基于工业控制网络的入侵检测关键技术和方法进行详细解释;最后,对基于工业控制网络的入侵检测技术方法进行总结和展望。     

入侵检测技术在工业互联网安全领域的应用研究

近年来,工业互联网安全问题层出不穷。虽然传统的防护安全机制已经应用到工业互联网各领域,但对于监视控制系统底层的进程及活动的机制研究仍有所欠缺。基于以上现状,提出了一种基于奇异值分解的针对信号采集端的检测技术。从工作原理和检测过程的角度,分析了其所提出的检测技术与传统入侵检测方法的区别;通过分析工业控制系统的数据回放结果,验证了入侵的有效性。底层网络的检测方法与上层网络其他安全设备和安全策略的共同防护机制,能够有效提高工业互联网系统安全防护技术。     

结合OCSVM的模拟电路故障诊断方法

基于支持向量机的传统模拟电路故障诊断方法对新故障无检测能力,且可扩展性较差。针对该问题,提出结合一类支持向量机(OCSVM)和多类支持向量机(MCSVM)的故障诊断方法。该方法采用OCSVM对故障数据进行检测和初步分类,采用MCSVM提高分类性能,以弥补OCSVM分类能力的不足。对OCSVM算法进行改进,以提高其检测和分类性能。通过模拟电路故障诊断实验验证OCSVM改进算法和联合故障诊断方法的有效性。     

基于特征选择的轻量级入侵检测系统

基于特征选择的入侵检测系统处理的数据含有大量的冗余与噪音特征,使得系统耗用的计算资源很大,导致系统训练时间长、实时性差,检测效果不好.特征选择算法能够很好地消除冗余和噪音特征,为了提高入侵检测系统的检测速度和效果,对基于特征选择的入侵检测系统进行研究是必要的.综述了这一领域的研究进展,从过滤器、封装器、混合器3种模式对基于特征选择的轻量级入侵检测系统进行分类比较,分析和总结各种系统的优缺点以及它们各自适用的条件,最后指出入侵检测领域特征选择的发展趋势.特征选择不仅可以提升入侵检测系统的性能,而且使得对入侵检测的研究向特征提取算法的方向转移.     

工业控制系统网络入侵检测方法综述

随着工业控制系统(industrial control systems,ICS)的网络化,其原有的封闭性被打破, 各种病毒、木马等随着正常的信息流进入ICS,已严重威胁ICS的安全性,如何做好ICS安全防护已迫在眉睫.入侵检测方法作为一种主动的信息安全防护技术可以有效弥补防火墙等传统安全防护技术的不足,被认为是ICS的第二道安全防线,可以实现对ICS外部和内部入侵的实时检测.当前工控系统入侵检测的研究非常活跃,来自计算机、自动化以及通信等不同领域的研究人员从不同角度提出一系列ICS入侵检测方法,已成为ICS安全领域一个热点研究方向.鉴于此,综述了ICS入侵检测的研究现状、存在的问题以及有待进一步解决的问题.     

基于卷积神经网络的电网工控系统入侵检测算法

传统的电网工控系统主要通过防火墙等工具, 与外部网络进行隔离, 但是随着云计算、物联网等新技术的应用, 网络之间互联程度不断深入, 安全防护难度大大提高, 如何有效检测出网络入侵行为变得至关重要. 与传统入侵检测技术相比, 卷积神经网络具有更好的提取入侵特征的能力. 本文提出一种基于卷积神经网络的电网工控系统入侵检测算法, 使用经过处理的KDD99数据集进行模型训练, 并添加级联卷积层优化网络结构. 在参数规模不大的前提下, 保证了模型运行的实时性要求. 本文算法相对于传统SVM算法和K-means算法, 提高了入侵检测的准确率, 降低了误检率, 可以有效检测出对于电网工控系统的入侵行为.     

A differentiated one-class classification method with applications to intrusion detection

Intrusion detection has become an indispensable tool to keep information systems safe and reliable. Most existing anomaly intrusion detection techniques treat all types of attacks as equally important without any differentiation of the risk they pose to the information system. Although detection of all intrusions is important, certain types of attacks are more harmful than others and their detection is critical to protection of the system. This paper proposes a new one-class classification method with differentiated anomalies to enhance intrusion detection performance for harmful attacks. We also propose new extracted features for host-based intrusion detection based on three viewpoints of system activity such as dimension, structure, and contents. Experiments with simulated dataset and the DARPA 1998 BSM dataset show that our differentiated intrusion detection method performs better than existing techniques in detecting specific type of attacks. The proposed method would benefit even other applications in anomaly detection area beyond intrusion detection.     

基于多核处理器的网络入侵检测系统的设计与实现

在深入研究和分析OCTEON多核处理器技术和入侵检测系统的基础上,设计并实现了一种基于更强处理能力CPU的网络入侵检测系统(NIDS).系统主要分为控制平台和检测系统两大模块.控制平台方便、强大,通过命令将检测引擎和指定的核绑定,即便检测系统在运行也能完成两者的交互,实现检测引擎在多个核上的运行.通过设定每个数据包流经...     

基于融合马尔科夫模型的工控网络流量异常检测方法

虽然工业互联网为现代工业注入了新的活力,极大地提高了工业生产效率,但是网络化也给工业控制系统带来了更多的威胁。近年来,国内外发生了多起工控入侵事件,严重影响了工业生产安全,工控安全问题愈发突出。为确保现代工业向着数字化、自动化等方向稳定发展,有效的工控系统入侵检测方法成为了研究重点。针对工业控制系统中现有的方法对于多周期混合的流量无法进行有效分离、难以检测和防御更加复杂的语义攻击的情况,充分利用工业流量高周期性和高相关性的特点,提出一种基于融合马尔科夫模型的工控网络流量异常检测方法。首先深度解析报文语义并将原始流量序列映射为hash字符串序列,然后根据字符串序列间的相关性生成状态转移图。接下来,根据状态转移图间各状态的出入关系和频率将子周期符号进行分类并依次构建DFA模型。为了检测更多语义攻击,该方法根据子周期间的出入关系和模型误报率将错误分解的长周期模式进行融合并在每个DFA模型的节点中加入时间间隔信息。在SCADA测试平台上进行实验验证,结果表明此方法能检测更多类型的攻击,对复杂语义攻击具有较高的检出率。     

一种改进的动态克隆选择算法在入侵检测中的应用

针对目前入侵检测系统不能有效检测已知攻击的变种和未知攻击行为的缺陷,受免疫系统中动态克隆选择算法的启发,提出了一种基于改进的动态克隆选择算法。该算法可以适应连续改变的环境,动态地学习变化的正常模式以及预测新的异常模式。经实验证明,该算法在入侵检测中,在降低误报率的情况下,提高了检测率。     

浅谈工业控制系统信息安全防护的应用

随着技工业控制系统技术的日益发展,不可避免的带来了多方面、多维度的网络安全隐患。本文枚举了工控系统常见的信息安全隐患,并进行了基于原理、影响及危害的分析,提出了物理隔离、蜂窝单元区域划分、沙箱模拟、入侵检测四类的安全防护手段,通过限制恶意用户访问控制路径、建立可信链路、构建虚拟化平台、实时监测异常行为等手段,用以预防与遏制工控系统运行过程中所面临的各类网络安全事件的发生,减轻和消除因信息安全事件造成的经济损失和社会影响。