10.19363/J.cnki.cn10-1380/tn.2022.05.02
基于融合马尔科夫模型的工控网络流量异常检测方法
虽然工业互联网为现代工业注入了新的活力,极大地提高了工业生产效率,但是网络化也给工业控制系统带来了更多的威胁.近年来,国内外发生了多起工控入侵事件,严重影响了工业生产安全,工控安全问题愈发突出.为确保现代工业向着数字化、自动化等方向稳定发展,有效的工控系统入侵检测方法成为了研究重点.针对工业控制系统中现有的方法对于多周期混合的流量无法进行有效分离、难以检测和防御更加复杂的语义攻击的情况,充分利用工业流量高周期性和高相关性的特点,提出一种基于融合马尔科夫模型的工控网络流量异常检测方法.首先深度解析报文语义并将原始流量序列映射为hash字符串序列,然后根据字符串序列间的相关性生成状态转移图.接下来,根据状态转移图间各状态的出入关系和频率将子周期符号进行分类并依次构建DFA模型.为了检测更多语义攻击,该方法根据子周期间的出入关系和模型误报率将错误分解的长周期模式进行融合并在每个DFA模型的节点中加入时间间隔信息.在SCADA测试平台上进行实验验证,结果表明此方法能检测更多类型的攻击,对复杂语义攻击具有较高的检出率.
工业控制系统、网络流量、异常检测、语义攻击
7
TP39(计算技术、计算机技术)
中国博士后科学基金资助及项目;苏州市产业技术创新专项民生科技项目;江苏高校优势学科建设工程资助项目
2022-06-22(万方平台首次上网日期,不代表论文的发表时间)
共16页
17-32
