典型文献
基于融合马尔科夫模型的工控网络流量异常检测方法
文献摘要:
虽然工业互联网为现代工业注入了新的活力,极大地提高了工业生产效率,但是网络化也给工业控制系统带来了更多的威胁.近年来,国内外发生了多起工控入侵事件,严重影响了工业生产安全,工控安全问题愈发突出.为确保现代工业向着数字化、自动化等方向稳定发展,有效的工控系统入侵检测方法成为了研究重点.针对工业控制系统中现有的方法对于多周期混合的流量无法进行有效分离、难以检测和防御更加复杂的语义攻击的情况,充分利用工业流量高周期性和高相关性的特点,提出一种基于融合马尔科夫模型的工控网络流量异常检测方法.首先深度解析报文语义并将原始流量序列映射为hash字符串序列,然后根据字符串序列间的相关性生成状态转移图.接下来,根据状态转移图间各状态的出入关系和频率将子周期符号进行分类并依次构建DFA模型.为了检测更多语义攻击,该方法根据子周期间的出入关系和模型误报率将错误分解的长周期模式进行融合并在每个DFA模型的节点中加入时间间隔信息.在SCADA测试平台上进行实验验证,结果表明此方法能检测更多类型的攻击,对复杂语义攻击具有较高的检出率.
文献关键词:
工业控制系统;网络流量;异常检测;语义攻击
中图分类号:
作者姓名:
马标;胡梦娜;张重豪;周正寅;贾俊铖;杨荣举
作者机构:
苏州大学计算机科学与技术学院 苏州中国215006;西门子(中国)有限公司 北京中国100102
文献出处:
引用格式:
[1]马标;胡梦娜;张重豪;周正寅;贾俊铖;杨荣举-.基于融合马尔科夫模型的工控网络流量异常检测方法)[J].信息安全学报,2022(03):17-32
A类:
语义攻击
B类:
马尔科夫模型,工控网络,网络流量异常检测,异常检测方法,工业互联网,现代工业,极大地提高,工业生产效率,工业控制系统,统带,多起,起工,生产安全,工控安全,工控系统,入侵检测方法,多周期,有效分离,深度解析,报文,hash,字符串,状态转移,转移图,接下来,出入,入关,DFA,多语,误报率,长周期,周期模式,点中,时间间隔,SCADA,测试平台,多类型
AB值:
0.293993
相似文献
机标中图分类号,由域田数据科技根据网络公开资料自动分析生成,仅供学习研究参考。
