公开(公告)号：CN111800312B

公开(公告)日：2021-08-24

申请号：CN202010578994.0

申请日：2020-06-23

Applicant: 中国核动力研究设计院

Inventor： 王大秋 ,  赵海江 ,  蒲蔚若 ,  张明星 ,  顾俊杰 ,  廖砚 ,  朱小勇 ,  肖波

IPC: H04L12/26 ,  H04L12/24 ,  G06K9/62

Abstract: 本发明公开了一种基于报文内容分析的工控系统异常检测方法及系统，本发明的方法包括步骤一、采集工控系统中的数据报文并将报文映射到相应的特征向量；步骤二、基于特征向量构成的数据输入集构建网络消息的原型模型；步骤三、分析每个原型模型中特征的出现频率并使用频率阈值过滤模型中的稀有特征，以得到检测模型；步骤四、采用经步骤三优化后的模型和步骤一采集的检测消息来实现工控系统的异常检测。本发明解决工业计算机网络中普遍使用的二进制协议对传统异常检测方法的限制问题。

公开(公告)号：CN111800312A

公开(公告)日：2020-10-20

申请号：CN202010578994.0

申请日：2020-06-23

Applicant: 中国核动力研究设计院

Inventor： 王大秋 ,  赵海江 ,  蒲蔚若 ,  张明星 ,  顾俊杰 ,  廖砚 ,  朱小勇 ,  肖波

IPC: H04L12/26 ,  H04L12/24 ,  G06K9/62

Abstract: 本发明公开了一种基于报文内容分析的工控系统异常检测方法及系统，本发明的方法包括步骤一、采集工控系统中的数据报文并将报文映射到相应的特征向量；步骤二、基于特征向量构成的数据输入集构建网络消息的原型模型；步骤三、分析每个原型模型中特征的出现频率并使用频率阈值过滤模型中的稀有特征，以得到检测模型；步骤四、采用经步骤三优化后的模型和步骤一采集的检测消息来实现工控系统的异常检测。本发明解决工业计算机网络中普遍使用的二进制协议对传统异常检测方法的限制问题。