公开(公告)号：CN111679657A

公开(公告)日：2020-09-18

申请号：CN202010578590.1

申请日：2020-06-23

Applicant: 中国核动力研究设计院

Inventor： 朱小勇 ,  费淼 ,  李果 ,  何腾蛟 ,  康佳 ,  王博 ,  王丹 ,  李远文

IPC: G05B23/02

Abstract: 本发明公开了一种基于工控设备信号的攻击检测方法及系统，本发明的方法包括：获取工控设备信号建立攻击预测模型；对攻击预测模型的参数进行训练和优化，从而获得攻击检测模型；利用攻击检测模型根据当前时刻检测出的信号矢量得到工况设备信号预测值；将信号预测值与信号实测值进行比较，从而判断工业控制系统是否遭受攻击。本发明只需要对工控设备信号进行检测，对得到的信号数据进行建模，通过模型得到信号预测值，将其与信号实测值进行比对，即可判定系统是否异常(遭受攻击)。本发明简单，易于实现，不仅保障了核反应堆工控系统的实时性、安全性等要求，而且能够很方便的在其他工控系统使用，提高了扩展性。

公开(公告)号：CN111800312B

公开(公告)日：2021-08-24

申请号：CN202010578994.0

申请日：2020-06-23

Applicant: 中国核动力研究设计院

Inventor： 王大秋 ,  赵海江 ,  蒲蔚若 ,  张明星 ,  顾俊杰 ,  廖砚 ,  朱小勇 ,  肖波

IPC: H04L12/26 ,  H04L12/24 ,  G06K9/62

Abstract: 本发明公开了一种基于报文内容分析的工控系统异常检测方法及系统，本发明的方法包括步骤一、采集工控系统中的数据报文并将报文映射到相应的特征向量；步骤二、基于特征向量构成的数据输入集构建网络消息的原型模型；步骤三、分析每个原型模型中特征的出现频率并使用频率阈值过滤模型中的稀有特征，以得到检测模型；步骤四、采用经步骤三优化后的模型和步骤一采集的检测消息来实现工控系统的异常检测。本发明解决工业计算机网络中普遍使用的二进制协议对传统异常检测方法的限制问题。

公开(公告)号：CN111800312A

公开(公告)日：2020-10-20

申请号：CN202010578994.0

申请日：2020-06-23

Applicant: 中国核动力研究设计院

Inventor： 王大秋 ,  赵海江 ,  蒲蔚若 ,  张明星 ,  顾俊杰 ,  廖砚 ,  朱小勇 ,  肖波

IPC: H04L12/26 ,  H04L12/24 ,  G06K9/62

Abstract: 本发明公开了一种基于报文内容分析的工控系统异常检测方法及系统，本发明的方法包括步骤一、采集工控系统中的数据报文并将报文映射到相应的特征向量；步骤二、基于特征向量构成的数据输入集构建网络消息的原型模型；步骤三、分析每个原型模型中特征的出现频率并使用频率阈值过滤模型中的稀有特征，以得到检测模型；步骤四、采用经步骤三优化后的模型和步骤一采集的检测消息来实现工控系统的异常检测。本发明解决工业计算机网络中普遍使用的二进制协议对传统异常检测方法的限制问题。