公开(公告)号：CN106330949B

公开(公告)日：2019-07-16

申请号：CN201610821236.0

申请日：2016-09-13

Applicant: 哈尔滨工程大学

Inventor： 吴艳霞 ,  孙彬 ,  姬翔 ,  卢文祥 ,  王胜

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明提供的是一种基于马尔科夫链的入侵检测方法。提取网络数据包特征，构造基于马尔科夫链的数据模型；在训练阶段和检测阶段分别构造马尔科夫链模型；根据事件重要性对入侵检测算法改进；利用改进后的入侵检测算法，对训练阶段和检测阶段的马尔科夫链进行异常检测，并得到异常结果。本发明主要关注工业控制领域ICS系统特有的攻击类型：在网络通信数据包格式完全正常的情况下，仍会出现基于顺序或基于时间的序列攻击。通过实验验证，本发明能够有效降低误报率，且有更高的检测效率和精确度。

公开(公告)号：CN106330949A

公开(公告)日：2017-01-11

申请号：CN201610821236.0

申请日：2016-09-13

Applicant: 哈尔滨工程大学

Inventor： 吴艳霞 ,  孙彬 ,  姬翔 ,  卢文祥 ,  王胜

IPC: H04L29/06 ,  H04L12/24

CPC classification number: H04L63/1425 ,  H04L41/145 ,  H04L63/1416

Abstract: 本发明提供的是一种基于马尔科夫链的入侵检测方法。提取网络数据包特征，构造基于马尔科夫链的数据模型；在训练阶段和检测阶段分别构造马尔科夫链模型；根据事件重要性对入侵检测算法改进；利用改进后的入侵检测算法，对训练阶段和检测阶段的马尔科夫链进行异常检测，并得到异常结果。本发明主要关注工业控制领域ICS系统特有的攻击类型：在网络通信数据包格式完全正常的情况下，仍会出现基于顺序或基于时间的序列攻击。通过实验验证，本发明能够有效降低误报率，且有更高的检测效率和精确度。