共查询到20条相似文献,搜索用时 78 毫秒
1.
虽然工业互联网为现代工业注入了新的活力,极大地提高了工业生产效率,但是网络化也给工业控制系统带来了更多的威胁。近年来,国内外发生了多起工控入侵事件,严重影响了工业生产安全,工控安全问题愈发突出。为确保现代工业向着数字化、自动化等方向稳定发展,有效的工控系统入侵检测方法成为了研究重点。针对工业控制系统中现有的方法对于多周期混合的流量无法进行有效分离、难以检测和防御更加复杂的语义攻击的情况,充分利用工业流量高周期性和高相关性的特点,提出一种基于融合马尔科夫模型的工控网络流量异常检测方法。首先深度解析报文语义并将原始流量序列映射为hash字符串序列,然后根据字符串序列间的相关性生成状态转移图。接下来,根据状态转移图间各状态的出入关系和频率将子周期符号进行分类并依次构建DFA模型。为了检测更多语义攻击,该方法根据子周期间的出入关系和模型误报率将错误分解的长周期模式进行融合并在每个DFA模型的节点中加入时间间隔信息。在SCADA测试平台上进行实验验证,结果表明此方法能检测更多类型的攻击,对复杂语义攻击具有较高的检出率。 相似文献
2.
异常的网络环境往往可以通过观察网络流量的变化而提前发现,因此,如何实时准确地判定流量异常便成为网络异常检测中的重点。本文将自适应滤波理论引入网络流量异常检测,提出一种基于自适应AR模型的网络流量异常检测方法,该方法收敛快、精度高,能降低误报率,从而使异常检测更准确。 相似文献
3.
4.
5.
随着工控网络信息化程度的不断提高,工控网络逐渐变得更加开放,一方面给工业生产提供了便捷,但另一方面也带来了安全隐患。工控网络作为重要的基础设施,一旦受到攻击将产生严重损害。近年来不少学者使用网络异常检测技术来发现工控网络中潜在的安全隐患,取得不错的成果。然而工控网络中的数据往往缺少标注,这限制了传统监督学习类算法在工控网络安全领域的应用。基于非监督学习的算法可以在缺少标注的场景下实现异常检测,但是往往存在算法性能较差的问题,而迁移学习类算法可以通过在源域上学习后迁移到只有少量标注的目标域实现在少标注情况下的较高性能。为了进一步提高在缺少标注的工控网络中进行异常检测的性能,本文提出一种工控网络异常检测中基于灵敏度的动态迁移算法。首先该算法基于迁移学习的思想,在有标注的源域中进行训练后迁移到缺乏标注的目标域,可以在缺少标注的工控网络环境下进行异常检测。其次得益于门控循环单元的记忆效应,该算法可以有效利用工控网络数据内在的时序关联性,进一步提高算法异常检测的能力。同时该算法中的基于参数灵敏度因子对参数进行动态迁移的方法,改进了传统迁移学习微调方法对源域和目标域数据底层特征学习不均衡的不足。在... 相似文献
6.
7.
8.
工业控制系统的数据具有非线性、冗余特征多的特点,传统的入侵检测方法并不适用.为提高检测的准确率、降低漏报率,将应用范围最广的工控协议Modbus/TCP作为研究对象,提出CGWO-GP的检测模型.利用拉普拉斯特征映射(L E)在处理非线性数据上的优势处理工控数据;为避免检测模型参数陷入局部最优,提出基于柯西变异算子的灰狼优化算法(CGWO)对高斯过程(GP)参数进行优化.采用密西西比州立大学提出的工控标准数据集进行实验,与多种算法进行多组对比,实验结果表明,所提检测模型表现更优,准确率均值为98.96%,漏报率均值为0.44%,误报率均值为0.13%. 相似文献
9.
针对隐藏攻击意图的入侵行为,通过现场设备传感器实时数据反映工业控制系统运行情况,充分利用工控数据高周期性特点,提出WAGAN(Wavelet Attention Generative Adversarial Networks)的工控传感器数值异常检测方法.此方法使用多级离散小波变换分解重组的方式去除噪声并增强数据特征.为了有效提取数据的有效特征,在WAGAN模型中引入了注意力机制,并使用多层LSTM(Long Short-Term Memory)网络学习数据的潜在关联性.为了提高模型准确性,使用生成器的重构误差与判别器误差的权重和来判断异常.实验结果表明,此方法相比于现有的异常检测方法具有更高的异常检出率. 相似文献
10.
设计了DNS解析统计向量和检测特征向量,提出了一种基于命名及解析行为特征的异常域名检测方法,通过应用真实DNS解析数据的实验验证了该方法的有效性和可行性。实验表明,该方法较现有方法能够发现更多的异常域名,且具有较低的误报率。该方法是对现有方法检测能力的补充和提高,为僵尸网络等安全事件的检测与控制提供有效的信息支持和技术手段。 相似文献
11.
12.
13.
14.
基于混合马尔科夫树模型的ICS异常检测算法 总被引:1,自引:0,他引:1
针对工业控制系统中现有异常检测算法在语义攻击检测方面存在的不足, 提出一种基于混合马尔科夫树模型的异常检测算法, 充分利用工业控制系统的阶段性和周期性特征, 构建系统正常运行时的行为模型—混合马尔科夫树.该模型包含合法的状态事件、合法的状态转移、正常的概率分布以及正常的转移时间间隔等4种信息, 基于动态自适应的方法增强状态事件的关联度并引入时间间隔信息以实现对复杂语义攻击的检测, 语义建模时设计一种剪枝策略以去除模型中的低频事件、低转移事件以及冗余节点, 当被检测行为使得模型的以上4种信息产生的偏差超过阈值时, 判定该行为异常.最后, 基于OMNeT++网络仿真环境构建一个简化的污水处理系统对本文算法进行功能性验证, 并利用真实物理测试床的数据集对算法的检测准确度进行性能验证.验证结果表明, 本文算法能有效消除人机交互和常规诊断等操作带来的噪声影响, 对复杂语义攻击具有较高的检出率, 且能识别传统的非语义攻击. 相似文献
15.
在入侵检测领域,对程序行为的异常分析始终缺乏高效的短周期模型,现有模型对程序行为的抽象能力非常有限。为此,首先提出一种新的、具备充分自描述能力的模式:间隙变长频繁短序列模式(GV模式),该模式涵盖描述程序行为的顺序、选择和循环3种基本结构;然后给出GV模式挖掘算法以及基于GV模式库的系统调用流程图模型。实验表明,基于新模型的异常检测算法简单高效,在保持高检测率的前提下具有较低的检测开销和误检率,具备了实时检测能力。 相似文献
16.
提出一种新的基于离散时间Markov链模型的用户行为异常检测方法,主要用于以shell命令为审计数据的入侵检测系统。该方法在训练阶段充分考虑了用户行为复杂多变的特点和审计数据的短时相关性,将shell命令序列作为基本数据处理单元,依据其出现频率利用阶梯式的数据归并方法来确定Markov链的状态,同现有方法相比提高了用户行为轮廓描述的准确性和对用户行为变化的适应性,并且大幅度减少了状态个数,节约了存储成本。在检测阶段,针对检测实时性和准确度需求,通过计算状态序列的出现概率分析用户行为异常程度,并提供了基于固定窗长度和可变窗长度的两种均值滤噪处理及行为判决方案。实验表明,该方法具有很高的检测性能,其可操作性也优于同类方法。 相似文献
17.
18.
19.
应用层异常检测方法研究 总被引:1,自引:1,他引:1
目前绝大部分异常检测方法只利用数据包的头部信息来检测网络攻击,即仅仅从网络层、传输层来分析网络的异常情况.而研究表明现在的网络攻击主要发生在应用层,因此从应用层来分析网络异常的研究就显得十分重要.首先介绍了入侵检测和异常检测的研究现状,突出强调了应用层异常检测的重要性,接着详细介绍了目前几种主要的应用层异常检测方法,最后讨论了应用层异常检测所面临的挑战. 相似文献