工业控制系统入侵检测技术综述

随着工业控制系统(industrial control systems, ICS)的逐渐开放,暴露出严重的脆弱性问题.入侵检测作为重要的安全防御措施,根据误用和行为检测,可及时发现可能或潜在的入侵行为.首先,介绍了ICS的系统架构及特性,并对ICS的安全理念进行阐释;其次,依据ICS的特性,给出了对工业控制入侵检测系统(intrusion detection system, IDS)(简写为ICS IDS)的需求和解释;再次,基于检测对象角度,从流量检测、协议检测、设备状态检测3个方面,对现有的ICS IDS技术、算法进行了分类及详细的分析;最后,从检测性能指标、检测技术、检测架构3个方面,对整个ICS IDS的研究趋势进行了展望.     

面向工业控制系统的入侵检测技术综述

随着工业信息化的发展,工业控制系统(Industrial Control System,ICS)的安全防护越来越重要.入侵检测是实时监控ICS内部和外部安全的一种技术,能够有效精准地检测出攻击行为并采取措施,因此,面向ICS入侵检测技术成为工控领域的一个研究热点.首先从ICS的结构入手,给出了ICS入侵检测的重要性;其...     

工业控制系统入侵检测技术的研究及发展综述

入侵检测是工控安全防护技术的重要组成部分。针对工控系统入侵检测技术的研究与应用,分别从检测特征、算法设计、应用环境等角度对目前的研究工作进行总结,介绍入侵检测在保障系统安全运行中的实际应用,讨论了工控入侵检测技术研究的关键问题。为提高工控入侵检测技术的异常行为防御能力,根据工控系统环境的复杂性和入侵检测的特殊性,对相关研究中存在的问题与不足进行分析,并结合工业控制系统网络化与信息化的发展现状和不断增强的安全防御要求,对工控入侵检测研究进行展望,提出了与大数据处理融合、智能化检测系统等的发展方向。     

一种面向工业控制系统的改进CUSUM入侵检测方法

针对CUSUM异常检测算法在入侵检测应用中存在的固定偏移常数和固定检测门限的问题,结合工业控制系统高实时性和高可用性的要求,提出一种面向工业控制系统、具有自适应特征的改进非参数CUSUM(D-CUSUM)入侵检测方法。与以往凭经验设置固定值不同,算法基于概率论中著名的柯尔莫哥洛夫不等式理论重新设计了非参数CUSUM偏移常数β的生成方法,通过外部参数-告警控制参数动态设置CUSUM算法的检测门限τN,使β和τN具有自适应特性。在基于MATLAB Simulink的温度控制系统攻击仿真实验中,证明改进的非参数CUSUM异常检测算法能够改善检测的实时性和误报率,实现对工业控制系统的低误报率实时入侵检测。     

基于机器学习的工业互联网入侵检测综述

过去几年中,机器学习算法在计算机视觉、自然语言处理等领域取得了巨大成功.近年来,工业互联网安全领域也涌现出许多基于机器学习技术的入侵检测工作.从工业互联网的自身特性出发,对目前该领域的相关工作进行了深入分析,总结了工业互联网入侵检测技术研究的独特性,并基于该领域中存在的3个主要研究问题提出了新的分类方法,将目前基于机器学习的互联网入侵检测技术分为面向算法设计的研究工作、面向应用限制和挑战的研究工作,以及面向不同ICS攻击场景的研究工作.该分类方法充分展现了不同研究工作的意义以及该领域目前研究工作中存在的问题,为未来的研究工作提供了很好的方向和借鉴.最后基于目前机器学习领域的最新进展,为该领域未来的发展提出了2个研究方向.     

基于SOPC网络处理器入侵检测的研究

在入侵检测中,模式匹配算法的改进对检测速度的提高是有限的,不是解决问题的根本策略.本文设计了一个基于硬件的入侵检测系统原型,系统采用基于网络处理器的硬件策略取代传统入侵检测的软件策略,将入侵检测的主要工作,如数据采集及过滤、数据包的调度、多模式匹配等用硬件实现.它们都是在基于FPGA上实现的,并可以根据实际需要增加硬件和自定义指令来提高系统性能.测试表明该系统的性能与传统方法相比有显著的提高,很好地解决了入侵检测中的速度瓶颈问题.     

分布式入侵检测技术在网络控制系统中的应用

随着控制系统复杂性的日益扩大,控制系统的网络化是控制系统发展的必然。自动控制、计算机网络和通讯技术的融合,为实现控制和管理信息一体化提供了一条新思路,但也带来以一系列安全问题,如何保障网络控制系统的安全是当前控制网络信息建设的研究热点。文中通过分析网络控制系统的结构和对网络安全的要求,提出了将分布式入侵检测技术运用到网络控制系统的具体方案,并对相关技术和网络安全体系的建设进行了讨论。     

工业控制系统IDS技术研究综述

工业控制系统(Industrial Control System,ICS)作为工业大脑,与互联网连接的趋势越来越明显,但是开放的同时也暴露出严重的脆弱性问题。入侵检测作为重要的安全防御措施,能及时发现可能或潜在的入侵行为。论文从ICS网络安全现状及国家法律政策入手,首先介绍了ICS系统架构及其特点,给出了IDS入侵检测系统(Intrusion Detection System,IDS)的介绍,其次从误用入侵检测、异常入侵检测两个方面,对现有的ICS IDS的技术、算法的研究现状进行分析,最后针对当前ICS IDS的发展与应用现状,对整个ICS IDS的研究趋势进行了展望。     

分布式入侵检测技术在网络控制系统中的应用

随着控制系统复杂性的日益扩大,控制系统的网络化是控制系统发展的必然.自动控制、计算机网络和通讯技术的融合,为实现控制和管理信息一体化提供了一条新思路,但也带来以一系列安全问题,如何保障网络控制系统的安全是当前控制网络信息建设的研究热点.文中通过分析网络控制系统的结构和对网络安全的要求,提出了将分布式入侵检测技术运用到网络控制系统的具体方案,并对相关技术和网络安全体系的建设进行了讨论.     

网络入侵检测研究进展综述

网络入侵检测技术是网络安全研究的热点,对近年来误用入侵检测和异常入侵检测方法的研究成果进行了回顾,介绍了其模型和算法,对未来的研究方向进行了展望。     

一种面向工控系统的PU学习入侵检测方法

工业控制系统与物理环境联系紧密,受到攻击会直接造成经济损失,人员伤亡等后果,工业控制系统入侵检测可以提供有效的安全防护.工业控制系统中将入侵检测作为一个异常检测问题,本文围绕PU learning(Positive-unlabeled learning,PU学习)进行工业控制系统入侵检测进行研究.首先针对工业控制系统中...     

网络入侵检测系统中的警报聚类

到目前为止,网络管理员对入侵检测系统(IDS)所产生的警报还是以在辅助工具下的手工操作进行整理,从而得到一个高级别的攻击描述。为了有效融合多种入侵检测系统报警信息,提高警告的准确性,警报聚类自动分析工具被建议使用来产生高级别的攻击描述。除此之外,警报聚类自动分析工具还可以有效地分析威胁,融合不同的信息源,例如来自于不同IDS中的信息源。该文提出了新的警报聚类系统,以便把来自于多种IDS所产生的警报进行警报聚类,产生攻击描述。实验结果表明,通过警报聚类模块有效地总结攻击可以产生高级别的警报,并大幅度地减少了要提交给管理员的警报数量。此外,以这些高级别警报为基础还可以进一步地进行威胁分析。     

改进引力搜索算法用于工控系统入侵检测

为提高引力搜索算法的全局搜索能力和收敛速度,提出改进引力搜索算法(IGSA)。为引力常量嵌入混沌映射,使其在减小的同时可以混沌地变化,快速地跳出局部极小值,扩展搜索区域;引入细菌觅食算法(BFA)的趋化算子,利用最优个体信息对当前最佳粒子进行调整,提高收敛速度。4种基准函数的测试结果对比表明,IGSA有着更好的搜索能力和收敛速度。利用IGSA对孪生支持向量机(TWSVM)的参数进行寻优,将寻优后的TWSVM分类器应用于工控标准入侵检测数据集。实验结果表明,IGSA-TWSVM对整体入侵的误报率、漏报率和对各类入侵的检测率都优于其它算法。     

A survey of design methods for failure detection in dynamic systems

In this paper we survey a number of methods for the detection of abrupt changes (such as failures) in stochastic dynamical systems. We concentrate on the class of linear systems, but the basic concepts, if not the detailed analyses, carry over to other classes of systems. The methods surveyed range from the design of specific failure-sensitive filters, to the use of statistical tests on filter innovations, to the development of jump process formulations. Tradeoffs in complexity vs performance are discussed.     

A Pareto-based multi-objective evolutionary algorithm for automatic rule generation in network intrusion detection systems

Attacks against computer systems are becoming more complex, making it necessary to continually improve the security systems, such as intrusion detection systems which provide security for computer systems by distinguishing between hostile and non-hostile activity. Intrusion detection systems are usually classified into two main categories according to whether they are based on misuse (signature-based) detection or on anomaly detection. With the aim of minimizing the number of wrong decisions, a new Pareto-based multi-objective evolutionary algorithm is used to optimize the automatic rule generation of a signature-based intrusion detection system (IDS). This optimizer, included within a network IDS, has been evaluated using a benchmark dataset and real traffic of a Spanish university. The results obtained in this real application show the advantages of using this multi-objective approach.     

A software platform for testing intrusion detection systems

Intrusion detection systems monitor system activities to identify unauthorized use, misuse, or abuse. IDSs offer a defense when your system's vulnerabilities are exploited and do so without requiring you to replace expensive equipment. The steady growth in research on intrusion detection systems has created a demand for tools and methods to test their effectiveness. The authors have developed a software platform that both simulates intrusions and supports their systematic methodology for IDS testing     

A rough set theory based method for anomaly intrusion detection in computer network systems

Abstract: Intrusion detection is important in the defense‐in‐depth network security framework. This paper presents an effective method for anomaly intrusion detection with low overhead and high efficiency. The method is based on rough set theory to extract a set of detection rules with a minimal size as the normal behavior model from the system call sequences generated during the normal execution of a process. It is capable of detecting the abnormal operating status of a process and thus reporting a possible intrusion. Compared with other methods, the method requires a smaller size of training data set and less effort to collect training data and is more suitable for real‐time detection. Empirical results show that the method is promising in terms of detection accuracy, required training data set and efficiency.