-
公开(公告)号:CN105871861B
公开(公告)日:2019-04-16
申请号:CN201610245290.5
申请日:2016-04-19
申请人: 中国科学院信息工程研究所
IPC分类号: H04L29/06
摘要: 本发明涉及一种自学习协议规则的入侵检测方法,其主要步骤包括:对正常数据流的采集,划分,聚类,协议格式的提取。生成五元组协议规则,并且进行持久化保存。检测时读取规则信息,生成五元组规则映射表,数据包依次与各规则进行比对,进行数据包深度包解析。本发明与现有的技术比,不依赖特定的协议,可以自学习出需要检测的协议格式,进行深度包解析,准确率高,技术简单,易于推广。
-
公开(公告)号:CN107491058B
公开(公告)日:2019-07-09
申请号:CN201710667223.7
申请日:2017-08-07
申请人: 中国科学院信息工程研究所
IPC分类号: G05B23/02
摘要: 本发明提供的一种工业控制系统序列攻击检测方法及设备,其中所述方法包括:S1,获取多个可编程逻辑控制器控制的传感器的多个观测量作为测试集,并依据预先由取值分类法获得的各观测值类型,获取所述测试集中的第一连续量子集和第一离散量子集;S2,基于所述第一离散量子集和所述第一连续量子集,利用训练生成的隐马尔科夫模型,得到各自对应的第一匹配概率和第二匹配概率;S3,基于所述第一匹配概率和所述第二匹配概率,结合离散量子集和连续量子集的权重,得到工业控制系统序列攻击的检测结果。本发明提供的方法在避免单个观测量被篡改后工业控制系统序列攻击检测失效的情况的同时,能够高效、准确地识别出工业控制系统的序列攻击。
-
公开(公告)号:CN106533955A
公开(公告)日:2017-03-22
申请号:CN201610948173.5
申请日:2016-10-26
申请人: 中国科学院信息工程研究所
发明人: 孙利民 , 杨安 , 石志强 , 其他发明人请求不公开姓名
IPC分类号: H04L12/801 , H04L12/833 , H04L29/06
摘要: 本发明公开了一种基于网络报文的序列号识别方法,通过周期识别与序列号验证方法来解决序列号识别精确度低的问题。根据序列号周期呈单调性的原则以及多报文格式共用序列号的现象,对多个集合合并后的数据进行周期划分与判断,避免多报文格式共用序列号以及数值漂移、丢失的影响;能够高精确性地实现序列号的快速识别,并针对识别出的序列号进行验证,防止数值漂移、多序列号混合以及多报文格式共用序列号等情况对序列号识别的影响,为后续报文分类、状态机推断提供了保障。
-
公开(公告)号:CN109344610B
公开(公告)日:2020-09-11
申请号:CN201811011452.4
申请日:2018-08-31
申请人: 中国科学院信息工程研究所
IPC分类号: G06F21/55
摘要: 本发明提供一种序列攻击的检测方及装置,其中方法包括:实时获取工控系统中的数据;对于在获取第一个操作指令后获取的观测量,根据操作间隔的观测量变化信息判断观测量是否异常;对于在获取第一个操作指令后获取的操作指令,获取一定长度的历史操作指令序列,根据检测模型计算从历史操作指令序列跳转到当前操作指令的跳转概率,根据所述跳转概率判断所述操作指令是否异常,并检测该操作指令执行时的观测量变化信息是否异常。本发明实施例有效地解决操作时序无法检测以及因虚假控制流数据导致检测失效的问题,提高了序列攻击检测的精确性,实现全操作流程的入侵检测。
-
公开(公告)号:CN109344610A
公开(公告)日:2019-02-15
申请号:CN201811011452.4
申请日:2018-08-31
申请人: 中国科学院信息工程研究所
IPC分类号: G06F21/55
摘要: 本发明提供一种序列攻击的检测方及装置,其中方法包括:实时获取工控系统中的数据;对于在获取第一个操作指令后获取的观测量,根据操作间隔的观测量变化信息判断观测量是否异常;对于在获取第一个操作指令后获取的操作指令,获取一定长度的历史操作指令序列,根据检测模型计算从历史操作指令序列跳转到当前操作指令的跳转概率,根据所述跳转概率判断所述操作指令是否异常,并检测该操作指令执行时的观测量变化信息是否异常。本发明实施例有效地解决操作时序无法检测以及因虚假控制流数据导致检测失效的问题,提高了序列攻击检测的精确性,实现全操作流程的入侵检测。
-
公开(公告)号:CN107491058A
公开(公告)日:2017-12-19
申请号:CN201710667223.7
申请日:2017-08-07
申请人: 中国科学院信息工程研究所
IPC分类号: G05B23/02
CPC分类号: G05B23/0213
摘要: 本发明提供的一种工业控制系统序列攻击检测方法及设备,其中所述方法包括:S1,获取多个可编程逻辑控制器控制的传感器的多个观测量作为测试集,并依据预先由取值分类法获得的各观测值类型,获取所述测试集中的第一连续量子集和第一离散量子集;S2,基于所述第一离散量子集和所述第一连续量子集,利用训练生成的隐马尔科夫模型,得到各自对应的第一匹配概率和第二匹配概率;S3,基于所述第一匹配概率和所述第二匹配概率,结合离散量子集和连续量子集的权重,得到工业控制系统序列攻击的检测结果。本发明提供的方法在避免单个观测量被篡改后工业控制系统序列攻击检测失效的情况的同时,能够高效、准确地识别出工业控制系统的序列攻击。
-
公开(公告)号:CN105871861A
公开(公告)日:2016-08-17
申请号:CN201610245290.5
申请日:2016-04-19
申请人: 中国科学院信息工程研究所
IPC分类号: H04L29/06
CPC分类号: H04L63/1416 , H04L69/22
摘要: 本发明涉及一种自学习协议规则的入侵检测方法,其主要步骤包括:对正常数据流的采集,划分,聚类,协议格式的提取。生成五元组协议规则,并且进行持久化保存。检测时读取规则信息,生成五元组规则映射表,数据包依次与各规则进行比对,进行数据包深度包解析。本发明与现有的技术比,不依赖特定的协议,可以自学习出需要检测的协议格式,进行深度包解析,准确率高,技术简单,易于推广。
-
公开(公告)号:CN109361648B
公开(公告)日:2020-05-29
申请号:CN201811014574.9
申请日:2018-08-31
申请人: 中国科学院信息工程研究所
IPC分类号: H04L29/06
摘要: 本发明提供工控系统的隐蔽攻击的检测方法及装置,包括:采集工控系统当前时段的三维信息,构成三维信息序列;对所述三维信息序列进行标准化和窗口划分处理,获得测试序列;若判断测试序列中三维信息向量的格式符合预设规定且所述三维信息向量符合预设的模糊化数据库中的内容,则获知所述测试序列的内容正常;根据所述测试序列内容正常,将所述测试序列输入预先训练的LSTM模型,输出当前时刻的三维信息向量的预测值;识别当前时刻的三维信息向量的预测值和真实值的差异,根据时序上的级联检测方法,生成入侵检测结果。本发明实施例能够精确识别现有检测技术无法识别的隐蔽攻击。
-
公开(公告)号:CN106533955B
公开(公告)日:2019-11-29
申请号:CN201610948173.5
申请日:2016-10-26
申请人: 中国科学院信息工程研究所
发明人: 孙利民 , 杨安 , 石志强 , 其他发明人请求不公开姓名
IPC分类号: H04L12/801 , H04L12/833 , H04L29/06
摘要: 本发明公开了一种基于网络报文的序列号识别方法,通过周期识别与序列号验证方法来解决序列号识别精确度低的问题。根据序列号周期呈单调性的原则以及多报文格式共用序列号的现象,对多个集合合并后的数据进行周期划分与判断,避免多报文格式共用序列号以及数值漂移、丢失的影响;能够高精确性地实现序列号的快速识别,并针对识别出的序列号进行验证,防止数值漂移、多序列号混合以及多报文格式共用序列号等情况对序列号识别的影响,为后续报文分类、状态机推断提供了保障。
-
公开(公告)号:CN109361648A
公开(公告)日:2019-02-19
申请号:CN201811014574.9
申请日:2018-08-31
申请人: 中国科学院信息工程研究所
IPC分类号: H04L29/06
摘要: 本发明提供工控系统的隐蔽攻击的检测方法及装置,包括:采集工控系统当前时段的三维信息,构成三维信息序列;对所述三维信息序列进行标准化和窗口划分处理,获得测试序列;若判断测试序列中三维信息向量的格式符合预设规定且所述三维信息向量符合预设的模糊化数据库中的内容,则获知所述测试序列的内容正常;根据所述测试序列内容正常,将所述测试序列输入预先训练的LSTM模型,输出当前时刻的三维信息向量的预测值;识别当前时刻的三维信息向量的预测值和真实值的差异,根据时序上的级联检测方法,生成入侵检测结果。本发明实施例能够精确识别现有检测技术无法识别的隐蔽攻击。
-
-
-
-
-
-
-
-
-
搜索结果
10 条记录 (耗时 0.04 秒)
