-
公开(公告)号:CN105429963B
公开(公告)日:2019-01-22
申请号:CN201510740526.8
申请日:2015-11-04
Applicant: 北京工业大学
IPC: H04L29/06
Abstract: 基于Modbus/Tcp的入侵检测分析方法,该方法包括数据采集模块与网络接口相连,并将数据包发送给数据解析模块;数据解析模块分别与规则生成模块和规则匹配模块相连;在规则自学习阶段,将数据包解析结果发送给规则生成模块;在规则匹配阶段,将数据包解析结果发送给规则匹配模块;规则生成模块接收解析后的数据包,生成规则集合;规则匹配模块对解析后的数据包与数据库中的规则进行匹配。本方法在不改变工业网络结构和不影响日常生产的前提下,为用户提供了规则离线学习,在线实时检测的安全措施,根据企业策略需求阻断潜在威胁,漏报和误报的现象少,入侵识别快,从而以较低的成本大大提高了工业控制系统的网络安全水平。
-
公开(公告)号:CN107222491B
公开(公告)日:2021-01-05
申请号:CN201710481026.6
申请日:2017-06-22
Applicant: 北京工业大学
Abstract: 本发明公开一种基于工业控制网络变种攻击的入侵检测规则创建方法,通过分析ModbusTCP工控协议的脆弱性,设计总结了针对ModbusTCP异常流量的现有规则库,并结合目前工控网络常见的攻击变种方式,对遗传算法加以改进,来自动创建入侵检测规则,创建的规则根据其适应值来存储,能够有效的检测到变种攻击,扩充规则库,具有检测准确率高,实时性强的特点。
-
公开(公告)号:CN107241226A
公开(公告)日:2017-10-10
申请号:CN201710515723.9
申请日:2017-06-29
Applicant: 北京工业大学
Abstract: 基于工控私有协议的模糊测试方法,通过在正常工控网络环境中捕获的私有协议数据流量,通过私有协议树构造算法,构造一个针对该私有协议的协议树,对请求报文和响应报文进行有效的分类。学习基本的协议信息,通过统计个体类的数据序列,使用概率统计,长度域识别算法,Apriori关联规则算法和Needleman/Wunsch双序列比对算法,对协议特征进行学习。使用变异规则对不同协议特征进行变异,生成测试用例。在测试的过程中监控与被测设备的连接情况,使用请求与响应特征检测被测设备响应数据情况。该方法能够解决针对工控私有协议模糊测试的效率问题,提高测试用例的有效性,包括数据预处理模块,协议学习模块,模糊测试模块,异常报警模块。
-
Patent Agency Ranking
公开(公告)号:CN105429963A
公开(公告)日:2016-03-23
申请号:CN201510740526.8
申请日:2015-11-04
Applicant: 北京工业大学
IPC: H04L29/06
CPC classification number: H04L63/1416 , H04L63/1433
Abstract: 基于Modbus/Tcp的入侵检测分析方法,该方法包括数据采集模块与网络接口相连,并将数据包发送给数据解析模块;数据解析模块分别与规则生成模块和规则匹配模块相连;在规则自学习阶段,将数据包解析结果发送给规则生成模块;在规则匹配阶段,将数据包解析结果发送给规则匹配模块;规则生成模块接收解析后的数据包,生成规则集合;规则匹配模块对解析后的数据包与数据库中的规则进行匹配。本方法在不改变工业网络结构和不影响日常生产的前提下,为用户提供了规则离线学习,在线实时检测的安全措施,根据企业策略需求阻断潜在威胁,漏报和误报的现象少,入侵识别快,从而以较低的成本大大提高了工业控制系统的网络安全水平。
-
公开(公告)号:CN107222491A
公开(公告)日:2017-09-29
申请号:CN201710481026.6
申请日:2017-06-22
Applicant: 北京工业大学
Abstract: 本发明公开一种基于工业控制网络变种攻击的入侵检测规则创建方法,通过分析ModbusTCP工控协议的脆弱性,设计总结了针对ModbusTCP异常流量的现有规则库,并结合目前工控网络常见的攻击变种方式,对遗传算法加以改进,来自动创建入侵检测规则,创建的规则根据其适应值来存储,能够有效的检测到变种攻击,扩充规则库,具有检测准确率高,实时性强的特点。
-
公开(公告)号:CN106254316B
公开(公告)日:2019-07-05
申请号:CN201610575649.5
申请日:2016-07-20
Applicant: 北京工业大学 , 工业和信息化部电子工业标准化研究院
IPC: H04L29/06
Abstract: 本发明公开一种基于数据依赖的工控行为异常检测系统,包括:数据采集模块,用于获取网络数据包;行为数据提取模块,用于提取网络数据包中的行为数据,建立用于规则学习的输入输出行为数据列表和用于规则检测的输入输出行为数据列表;规则学习模块,用于根据预存的学习配置文件和规则学习的输入输出行为数据列表,生成规则文件;规则检测模块,根据所述规则文件规则检测的输入输出行为数据列表,对所述行为数据进行异常检测。采用本发明的技术方案,能够有效的对控制器(PLC等)和被控对象(阀门等)的过程行为进行异常检测,具有检测准确率高、实时性强的特点。
-
公开(公告)号:CN107241226B
公开(公告)日:2020-10-16
申请号:CN201710515723.9
申请日:2017-06-29
Applicant: 北京工业大学
Abstract: 基于工控私有协议的模糊测试方法,通过在正常工控网络环境中捕获的私有协议数据流量,通过私有协议树构造算法,构造一个针对该私有协议的协议树,对请求报文和响应报文进行有效的分类。学习基本的协议信息,通过统计个体类的数据序列,使用概率统计,长度域识别算法,Apriori关联规则算法和Needleman/Wunsch双序列比对算法,对协议特征进行学习。使用变异规则对不同协议特征进行变异,生成测试用例。在测试的过程中监控与被测设备的连接情况,使用请求与响应特征检测被测设备响应数据情况。该方法能够解决针对工控私有协议模糊测试的效率问题,提高测试用例的有效性,包括数据预处理模块,协议学习模块,模糊测试模块,异常报警模块。
-
公开(公告)号:CN106254316A
公开(公告)日:2016-12-21
申请号:CN201610575649.5
申请日:2016-07-20
Applicant: 北京工业大学 , 工业和信息化部电子工业标准化研究院
IPC: H04L29/06
CPC classification number: H04L63/1416 , H04L63/1425
Abstract: 本发明公开一种基于数据依赖的工控行为异常检测系统,包括:数据采集模块,用于获取网络数据包;行为数据提取模块,用于提取网络数据包中的行为数据,建立用于规则学习的输入输出行为数据列表和用于规则检测的输入输出行为数据列表;规则学习模块,用于根据预存的学习配置文件和规则学习的输入输出行为数据列表,生成规则文件;规则检测模块,根据所述规则文件规则检测的输入输出行为数据列表,对所述行为数据进行异常检测。采用本发明的技术方案,能够有效的对控制器(PLC等)和被控对象(阀门等)的过程行为进行异常检测,具有检测准确率高、实时性强的特点。
-
-
-
-
-
-
-
Search Results
8
records
(took 0.029 seconds)
