基于融合马尔科夫模型的工控网络流量异常检测方法

虽然工业互联网为现代工业注入了新的活力,极大地提高了工业生产效率,但是网络化也给工业控制系统带来了更多的威胁。近年来,国内外发生了多起工控入侵事件,严重影响了工业生产安全,工控安全问题愈发突出。为确保现代工业向着数字化、自动化等方向稳定发展,有效的工控系统入侵检测方法成为了研究重点。针对工业控制系统中现有的方法对于多周期混合的流量无法进行有效分离、难以检测和防御更加复杂的语义攻击的情况,充分利用工业流量高周期性和高相关性的特点,提出一种基于融合马尔科夫模型的工控网络流量异常检测方法。首先深度解析报文语义并将原始流量序列映射为hash字符串序列,然后根据字符串序列间的相关性生成状态转移图。接下来,根据状态转移图间各状态的出入关系和频率将子周期符号进行分类并依次构建DFA模型。为了检测更多语义攻击,该方法根据子周期间的出入关系和模型误报率将错误分解的长周期模式进行融合并在每个DFA模型的节点中加入时间间隔信息。在SCADA测试平台上进行实验验证,结果表明此方法能检测更多类型的攻击,对复杂语义攻击具有较高的检出率。     

一种基于统计的网络流量异常检测方法

异常的网络环境往往可以通过观察网络流量的变化而提前发现,因此,如何实时准确地判定流量异常便成为网络异常检测中的重点。本文将自适应滤波理论引入网络流量异常检测,提出一种基于自适应AR模型的网络流量异常检测方法,该方法收敛快、精度高,能降低误报率,从而使异常检测更准确。     

工业控制系统中基于单类支持向量机异常检测方法研究

Modbus TCP/IP协议作为工业控制系统中常用的通信协议,存在其自身的脆弱性。文章主要研究了Modbus TCP/IP协议的异常检测方法,首先介绍了基于单类支持向量机的异常检测模型的实现过程,对单类支持向量机选择不同的滑动窗口长度和核函数进行测试,设计与传统支持向量机、标准RBF算法、BP神经网络、异常检测模型的对比实验,并对实验结果进行分析。还设计了与基于功能码序列的异常检测模型的对比实验,验证选取功能码和寄存器地址组合对作为特征的优越性。     

基于时序分析的工控异常检测算法研究

随着信息化及工业化的不断融合发展、开放通信协议的引入、智能终端设备的发展,工控系统网络环境由最初的封闭隔离环境变得与外部的连通性不断增强,导致工控系统的安全风险变得更加复杂多变。异常检测技术作为信息安全防护中重要的组成部分,可有效地发现在工控网络中不符合预期行为模式的异常事件。考虑到时间作为工业流量中的本质特性,文章开展了基于时序分析的异常检测算法研究,提出了一种基于Top-k的矩阵分布评估算法,实验结果证实此评估算法可有效地检测工控网络环境下的异常事件。     

工控网络异常检测中基于灵敏度的动态迁移算法

随着工控网络信息化程度的不断提高,工控网络逐渐变得更加开放,一方面给工业生产提供了便捷,但另一方面也带来了安全隐患。工控网络作为重要的基础设施,一旦受到攻击将产生严重损害。近年来不少学者使用网络异常检测技术来发现工控网络中潜在的安全隐患,取得不错的成果。然而工控网络中的数据往往缺少标注,这限制了传统监督学习类算法在工控网络安全领域的应用。基于非监督学习的算法可以在缺少标注的场景下实现异常检测,但是往往存在算法性能较差的问题,而迁移学习类算法可以通过在源域上学习后迁移到只有少量标注的目标域实现在少标注情况下的较高性能。为了进一步提高在缺少标注的工控网络中进行异常检测的性能,本文提出一种工控网络异常检测中基于灵敏度的动态迁移算法。首先该算法基于迁移学习的思想,在有标注的源域中进行训练后迁移到缺乏标注的目标域,可以在缺少标注的工控网络环境下进行异常检测。其次得益于门控循环单元的记忆效应,该算法可以有效利用工控网络数据内在的时序关联性,进一步提高算法异常检测的能力。同时该算法中的基于参数灵敏度因子对参数进行动态迁移的方法,改进了传统迁移学习微调方法对源域和目标域数据底层特征学习不均衡的不足。在...     

基于距离和DF-RLS的时间序列异常检测

为能同时检测时间序列中的附加异常和革新异常,改进自回归模型,提出距离因子递推最小二乘(DF-RLS)线性预测算法。在此基础上,给出一种基于距离和DF-RLS的联合异常检测方法——DDR-OD。实验结果表明,与当前其他时间序列异常检测方法相比,DDR-OD的检测效果较优。     

基于隐马尔科夫模型的用户行为异常检测方法

提出了一种基于HMM的用户行为异常检测的新方法,用shell命令序列作为审计数据,但在数据预处理、用户行为轮廓的表示方面与现有方法不同。仿真实验结果表明,本方法的检测效率和实时性相对较高,在检测准确率方面也有较大优势。     

基于CGWO优化高斯过程的工控入侵检测

工业控制系统的数据具有非线性、冗余特征多的特点,传统的入侵检测方法并不适用.为提高检测的准确率、降低漏报率,将应用范围最广的工控协议Modbus/TCP作为研究对象,提出CGWO-GP的检测模型.利用拉普拉斯特征映射(L E)在处理非线性数据上的优势处理工控数据;为避免检测模型参数陷入局部最优,提出基于柯西变异算子的灰狼优化算法(CGWO)对高斯过程(GP)参数进行优化.采用密西西比州立大学提出的工控标准数据集进行实验,与多种算法进行多组对比,实验结果表明,所提检测模型表现更优,准确率均值为98.96％,漏报率均值为0.44％,误报率均值为0.13％.     

WAGAN:基于小波变换和注意力机制的工控传感器数据异常检测方法

针对隐藏攻击意图的入侵行为,通过现场设备传感器实时数据反映工业控制系统运行情况,充分利用工控数据高周期性特点,提出WAGAN(Wavelet Attention Generative Adversarial Networks)的工控传感器数值异常检测方法.此方法使用多级离散小波变换分解重组的方式去除噪声并增强数据特征.为了有效提取数据的有效特征,在WAGAN模型中引入了注意力机制,并使用多层LSTM(Long Short-Term Memory)网络学习数据的潜在关联性.为了提高模型准确性,使用生成器的重构误差与判别器误差的权重和来判断异常.实验结果表明,此方法相比于现有的异常检测方法具有更高的异常检出率.     

基于命名及解析行为特征的异常域名检测方法

设计了DNS解析统计向量和检测特征向量,提出了一种基于命名及解析行为特征的异常域名检测方法,通过应用真实DNS解析数据的实验验证了该方法的有效性和可行性。实验表明,该方法较现有方法能够发现更多的异常域名,且具有较低的误报率。该方法是对现有方法检测能力的补充和提高,为僵尸网络等安全事件的检测与控制提供有效的信息支持和技术手段。     

一种基于系统调用序列的异常检测模型

在利用相对差异度和差异密度表征实时系统调用序列与正常序列偏差的基础上,提出了一种新的检测实时序列异常与否的方法。试验表明该方法简单易操作,并能保证较高的检测率。     

基于Q-学习算法的异常检测模型

针对网络入侵的不确定性导致异常检测系统误报率较高的不足,提出一种基于Q-学习算法的异常检测模型(QLADM)。该模型把Q-学习、行为意图跟踪和入侵预测结合起来,可获得未知入侵行为的检测和响应。通过感知环境状况、选择适当行为并从环境中获得不确定奖赏值,有效地判断动态系统的入侵行为和降低误报率。给出了该模型框架和各模块的功能描述,经实验验证该模型是有效的。     

基于Honeypot的可疑度模型

提出了基于Honeypot系统的可疑度模型,它可以从外部访问主机中判断入侵主机。这个模型通过分析Honeypot系统里一段时间内发生的所有事件,对访问Honeypot系统的主机赋予一个可疑度的值。如果可疑度的值超过某一个阈值,则此访问者被认为是入侵者。采用了大量的模拟试验对模型进行了测试和分析,在特定的Honeypot系统内测试了模型的误判率,结果证明可疑度模型对于检测Honeypot系统里的入侵者是一个有效的方法。     

基于混合马尔科夫树模型的ICS异常检测算法

针对工业控制系统中现有异常检测算法在语义攻击检测方面存在的不足, 提出一种基于混合马尔科夫树模型的异常检测算法, 充分利用工业控制系统的阶段性和周期性特征, 构建系统正常运行时的行为模型—混合马尔科夫树.该模型包含合法的状态事件、合法的状态转移、正常的概率分布以及正常的转移时间间隔等4种信息, 基于动态自适应的方法增强状态事件的关联度并引入时间间隔信息以实现对复杂语义攻击的检测, 语义建模时设计一种剪枝策略以去除模型中的低频事件、低转移事件以及冗余节点, 当被检测行为使得模型的以上4种信息产生的偏差超过阈值时, 判定该行为异常.最后, 基于OMNeT++网络仿真环境构建一个简化的污水处理系统对本文算法进行功能性验证, 并利用真实物理测试床的数据集对算法的检测准确度进行性能验证.验证结果表明, 本文算法能有效消除人机交互和常规诊断等操作带来的噪声影响, 对复杂语义攻击具有较高的检出率, 且能识别传统的非语义攻击.     

基于多层抽象的程序行为模型及异常检测研究

在入侵检测领域,对程序行为的异常分析始终缺乏高效的短周期模型,现有模型对程序行为的抽象能力非常有限。为此,首先提出一种新的、具备充分自描述能力的模式:间隙变长频繁短序列模式(GV模式),该模式涵盖描述程序行为的顺序、选择和循环3种基本结构;然后给出GV模式挖掘算法以及基于GV模式库的系统调用流程图模型。实验表明,基于新模型的异常检测算法简单高效,在保持高检测率的前提下具有较低的检测开销和误检率,具备了实时检测能力。     

基于Shell命令和DTMC模型的用户行为异常检测新方法

提出一种新的基于离散时间Markov链模型的用户行为异常检测方法,主要用于以shell命令为审计数据的入侵检测系统。该方法在训练阶段充分考虑了用户行为复杂多变的特点和审计数据的短时相关性,将shell命令序列作为基本数据处理单元,依据其出现频率利用阶梯式的数据归并方法来确定Markov链的状态,同现有方法相比提高了用户行为轮廓描述的准确性和对用户行为变化的适应性,并且大幅度减少了状态个数,节约了存储成本。在检测阶段,针对检测实时性和准确度需求,通过计算状态序列的出现概率分析用户行为异常程度,并提供了基于固定窗长度和可变窗长度的两种均值滤噪处理及行为判决方案。实验表明,该方法具有很高的检测性能,其可操作性也优于同类方法。     

基于统计的网络流量异常检测模型

提出了一个基于统计的流量异常检测模型。根据网络流量的可测度集,描绘了一个正常网络流量的基线。参照该正常流量基线,使用假设检验理论进行异常检测。采用一个基于滑动窗口的流量更新策略,使异常检测能够更加高效。论述了在高速网络情况下提高检测性能的方法。     

基于支持向量数据描述的异常检测方法

提出了一种基于支持向量数据描述算法的异常检测方法。该方法将入侵检测看作是一种单值分类问题,建立正常行为的支持向量描述模型,通过该模型可以检测各种已知和未知的攻击行为。该方法是一种无监督的异常检测方法,能够在包含噪声的数据集进行模型训练,降低了训练集的要求。在KDD CUP99标准入侵检测数据集上进行实验,并与无监督聚类异常检测实验结果相比较,证实该方法能够获得较高检测率和较低误警率。     

应用层异常检测方法研究

目前绝大部分异常检测方法只利用数据包的头部信息来检测网络攻击,即仅仅从网络层、传输层来分析网络的异常情况.而研究表明现在的网络攻击主要发生在应用层,因此从应用层来分析网络异常的研究就显得十分重要.首先介绍了入侵检测和异常检测的研究现状,突出强调了应用层异常检测的重要性,接着详细介绍了目前几种主要的应用层异常检测方法,最后讨论了应用层异常检测所面临的挑战.     

基于危险模式的异常检测模型

阐述了危险模式的概况及运行机制,提出了一种基于危险模式的异常检测模型以及相关的算法。该模型通过分析实时系统调用序列中的危险信号,进而判断是否为入侵事件。实验结果表明,该方法具有较高的有效性和检测率。