-
公开(公告)号:CN115913703B
公开(公告)日:2024-06-18
申请号:CN202211417097.7
申请日:2022-11-14
Applicant: 中国电子科技网络信息安全有限公司
IPC: H04L9/40 , H04L41/14 , H04L41/142
Abstract: 本发明公开了一种通用工业协议异常报文检测方法、系统、设备及介质,其中方法包括:数据预处理:对工控协议的原始流量数据报文进行处理并获得数字化的报文表征形式;训练算法构建:基于多分类的识别方式对不同标签的报文正样本进行多分类模型训练,生成基于LightGBM的可更新的检测模型;异常报文检测:利用Top‑K准则设置阈值,判断工控协议报文是否异常。本发明摆脱了基于人工分析提取特征的依赖,直接采用原始流量样本数据,充分利用字节报文的表征信息,通过lightgbm的并行训练,高效快速得到检测模型,可有效检测出异常报文,此方案适用于所有工控协议的异常报文检测。
-
公开(公告)号:CN115021954A
公开(公告)日:2022-09-06
申请号:CN202210410562.8
申请日:2022-04-19
Applicant: 中国电子科技网络信息安全有限公司
Abstract: 本发明公开了一种基于深度自编码器的工控业务数据虚假注入攻击检测方法,包括:S1、对工控设备历史数据进行数据预处理,进行模型训练得到虚假注入攻击检测模型;S2、对随机注入攻击数据进行数据预处理,输入训练好的虚假注入攻击检测模型设置模型阈值;S3、实时采集OPC服务器上的工控业务数据进行数据预处理,通过训练好的虚假注入攻击检测模型进行结果预测,判断预测值是否为虚假注入数据。本发明通过深度学习模型实时检测工控设备业务数据虚假数据注入攻击的异常数据,并能够根据异常数据关联相关设备进行告警,便于第一时间感知设备运行的异常情况,进行快速准确的判断,有效维护系统的安全运行。
-
公开(公告)号:CN109379390B
公开(公告)日:2021-04-27
申请号:CN201811589819.0
申请日:2018-12-25
Applicant: 中国电子科技网络信息安全有限公司
IPC: H04L29/06
Abstract: 本发明公开了一种基于全流量的网络安全基线生成方法,本方法通过对网络全流量数据进行采集、解析、处理,生成格式化数据并存储在分布式数据库中,然后将格式化数据进行聚合、分析、统计等操作,生成网络安全基线,该网络安全基线可以用于识别网络入侵行为。本发明提出的基于全流量的网络安全基线生成方法可以生成更为全面的网络安全基线,能够大规模快速生成整个区域网络内的安全基线,且能够快速灵活地修改网络安全基线,具有应用的通用性,可以广泛适用于各种网络环境。此外,避免了传统的网络安全基线生成方法中需要依赖业务专家、网络安全专家和网络运维人员协同参与的问题,极大的降低了网络安全基线生成的技术门槛。
-
公开(公告)号:CN111343032A
公开(公告)日:2020-06-26
申请号:CN202010416657.1
申请日:2020-05-18
Applicant: 中国航空油料集团有限公司 , 中国电子科技网络信息安全有限公司
Abstract: 本发明公开了一种工控网络异常会话检测方法,装置,电子设备以及存储介质。上述方法包括:构造基检测器集合;对通过所述基检测器集合的会话进行检测,得到检测结果向量R;根据所述检测结果向量R,更新疑似源主机列表;对所述检测结果向量执行集成策略,得到检测结果R0,其中R0∈[0,1];根据所述检测结果R0和所述疑似源主机列表,判断所述会话是否为异常会话。本发明基于模型集成策略,结合序贯检验方法更新疑似源主机列表,识别网络异常行为,在保证漏报率的基础上,进一步降低了虚警率。
-
公开(公告)号:CN115001739A
公开(公告)日:2022-09-02
申请号:CN202210409078.3
申请日:2022-04-19
Applicant: 中国电子科技网络信息安全有限公司
IPC: H04L9/40
Abstract: 本发明公开了一种基于随机森林的横向蠕虫攻击检测方法,包括以下步骤:S1、生成随机森林模型;S2、对随机森林模型进行测试;S3、保存训练好的随机森林模型,实时解析网络流量特征然后加载随机森林模型进行结果预测,如果预测结果属于横向蠕虫攻击则告警,若为正常流量则丢弃该条流量数据。可以实时预测工控网络中的横向蠕虫攻击流量信息,并能够根据告警结果提供对应的解决方案。
-
Patent Agency Ranking
公开(公告)号:CN114189348A
公开(公告)日:2022-03-15
申请号:CN202111207375.1
申请日:2021-10-18
Applicant: 中国电子科技网络信息安全有限公司
Abstract: 本发明公开了一种适用于工控网络环境的资产识别方法,包括步骤:解析工业私有协议和互联网协议生成相应格式化信息存入消息队列中;从消息队列中流式获取格式化数据并根据格式化数据进行资产识别与提取资产相关指纹,通过与资产指纹库比对进一步识别资产属性,深度识别资产指纹等;本发明能够解决主动扫描资产在工控网络环境中影响工业业务正常运行、扫描无法全覆盖的问题。同时,能够使得资产指纹丰富,资产识别率高,解决被动资产识别在工控网络环境中资产指纹识别的准确性差,得到的资产信息不足的问题。
-
公开(公告)号:CN111343205A
公开(公告)日:2020-06-26
申请号:CN202010422309.5
申请日:2020-05-19
Applicant: 中国航空油料集团有限公司 , 中国电子科技网络信息安全有限公司
IPC: H04L29/06
Abstract: 本发明公开了一种工控网络安全检测方法,包括以下步骤:接收第一随机参数,从基检测器库中动态获取一个异构基检测器子集;接收第二随机参数,从集成算法库中动态获取一个集成算法,所述集成算法库为预先配置的;基于所述异构基检测器子集中各个基检测器,自适应地提取待检测网络会话的特征子集;将所述特征子集输入所述异构基检测器子集,得到的输出结果经过所述集成算法,得到检测结果。本发明通过动态选择异构的基检测器、异构的集成方法,针对不同的基检测器,采用动态异构的集成方法,使攻击者不易捕捉检测系统的漏洞进行对抗攻击。
-
公开(公告)号:CN111130859A
公开(公告)日:2020-05-08
申请号:CN201911258663.2
申请日:2019-12-10
Applicant: 中国电子科技网络信息安全有限公司
Abstract: 本发明公开了一种基于全流量的工控网络拓扑图生成方法包括:(1)网络数据深度解析,生成格式化数据;(2)对格式化数据进行数据清洗,提取关键信息生成流量事件数据;(3)实时收集告警日志,并将告警日志处理生成告警事件数据;(4)将流量事件数据和告警信息数据导入分布式数据库进行持久化;(5)网段分类统计;(6)接收起止时间;(7)从分布式数据库中提取相应的基础数据聚合出过滤器;(8)根据网段,起止时间以及过滤器,去分布式数据库中查询所包含的所有链路信息,从而生成链路拓扑。本发明实现的工控网络拓扑图具有自动化、全面性、实时性、精准性和通用性等优点。
-
公开(公告)号:CN110691073A
公开(公告)日:2020-01-14
申请号:CN201910884654.8
申请日:2019-09-19
Applicant: 中国电子科技网络信息安全有限公司
IPC: H04L29/06
Abstract: 本发明公开了一种基于随机森林的工控网络暴力破解流量检测方法,主要包括两部分:第一,基于随机森林训练暴力破解检测模型;第二,运用所述暴力破解检测模型对实时网络流量数据进行暴力破解检测。本发明基于随机森林算法生成暴力破解检测模型,能够实时检测出暴力破解,实现第一时间识别出暴力破解流量并根据提供的解决方案做出实时响应。
-
公开(公告)号:CN115913703A
公开(公告)日:2023-04-04
申请号:CN202211417097.7
申请日:2022-11-14
Applicant: 中国电子科技网络信息安全有限公司
IPC: H04L9/40 , H04L41/14 , H04L41/142
Abstract: 本发明公开了一种通用工业协议异常报文检测方法、系统、设备及介质,其中方法包括:数据预处理:对工控协议的原始流量数据报文进行处理并获得数字化的报文表征形式;训练算法构建:基于多分类的识别方式对不同标签的报文正样本进行多分类模型训练,生成基于LightGBM的可更新的检测模型;异常报文检测:利用Top‑K准则设置阈值,判断工控协议报文是否异常。本发明摆脱了基于人工分析提取特征的依赖,直接采用原始流量样本数据,充分利用字节报文的表征信息,通过lightgbm的并行训练,高效快速得到检测模型,可有效检测出异常报文,此方案适用于所有工控协议的异常报文检测。
-
-
-
-
-
-
-
-
-
Search Results
15
records
(took 0.099 seconds)
