公开(公告)号：CN117411703B

公开(公告)日：2024-11-12

申请号：CN202311448619.4

申请日：2023-11-02

申请人： 上海电力大学 ,  国网上海市电力公司

发明人： 张蕾 ,  王彬彬 ,  刘畅 ,  沈泉江 ,  郑成 ,  温蜜 ,  王亮亮 ,  童嘉伟 ,  袁琼

IPC分类号： H04L9/40 ,  H04L12/40 ,  H04L41/16

摘要： 本发明涉及一种面向Modbus协议的工业控制网络异常流量检测方法，包括以下步骤：S1、捕获Modbus协议应用层报文中的数据包；S2、将捕获到的数据包流量进行特征提取与数据处理，并基于规则的流量特征来识别异常流量和攻击行为；S3、构建正常流量行为模型，利用S2中基于规则的流量特征对流量检测分类并进行模型优化；S4、根据优化后有规则集的机器学习模型构建入侵检测系统，分析流量的时序特征，进而更全面地分析网络攻击；S5、选择网络数据包进行分析，输入模型并进行预测，得到最终的流量分析结果。与现有技术相比，本发明网络攻击识别效率高、异常流量检测准确率高，同时具有流量分析全面、高效低成本的优点。

公开(公告)号：CN117411703A

公开(公告)日：2024-01-16

申请号：CN202311448619.4

申请日：2023-11-02

申请人： 上海电力大学 ,  国网上海市电力公司

发明人： 张蕾 ,  王彬彬 ,  刘畅 ,  沈泉江 ,  郑成 ,  温蜜 ,  王亮亮 ,  童嘉伟 ,  袁琼

IPC分类号： H04L9/40 ,  H04L12/40 ,  H04L41/16

摘要： 本发明涉及一种面向Modbus协议的工业控制网络异常流量检测方法，包括以下步骤：S1、捕获Modbus协议应用层报文中的数据包；S2、将捕获到的数据包流量进行特征提取与数据处理，并基于规则的流量特征来识别异常流量和攻击行为；S3、构建正常流量行为模型，利用S2中基于规则的流量特征对流量检测分类并进行模型优化；S4、根据优化后有规则集的机器学习模型构建入侵检测系统，分析流量的时序特征，进而更全面地分析网络攻击；S5、选择网络数据包进行分析，输入模型并进行预测，得到最终的流量分析结果。与现有技术相比，本发明网络攻击识别效率高、异常流量检测准确率高，同时具有流量分析全面、高效低成本的优点。