宋站威,周睿康,赖英旭,范科峰,姚相振,李琳,李巍.基于行为模型的工控异常检测方法研究[J].计算机科学,2018,45(1):233-239
基于行为模型的工控异常检测方法研究
Anomaly Detection Method of ICS Based on Behavior Model
投稿时间:2016-11-02  修订日期:2017-03-29
DOI:10.11896/j.issn.1002-137X.2018.01.041
中文关键词:  工业控制系统,网络安全,异常检测,行为模型,递推最小二乘,AIC,Modbus TCP
英文关键词:ICS,Network security,Anomaly detection,Behavior model,RLS,AIC,Modbus TCP
基金项目:本文受国家智能制造专项:面向智能制造的工业信息安全关键标准研制及验证平台建设项目(京财经一指[2015]1170号)资助
作者单位E-mail
宋站威 北京工业大学计算机学院 北京100124 songzhanwei1990@foxmail.com 
周睿康 中国电子技术标准化研究院 北京100007 zhourk@126.com 
赖英旭 北京工业大学计算机学院 北京100124 laiyingxu@bjut.edu.cn 
范科峰 中国电子技术标准化研究院 北京100007 kefengfan@163.com 
姚相振 中国电子技术标准化研究院 北京100007 yaoxiangzhen@cesi.cn 
李琳 中国电子技术标准化研究院 北京100007 lilincesi@126.com 
李巍 中国电子技术标准化研究院 北京100007 li_vi@vip.sina.com 
摘要点击次数: 520
全文下载次数: 377
中文摘要:
      目前,工业控制系统(Industrial Control Systems,ICS)网络安全已经成为信息安全领域的重点问题,而检测篡改行为数据及控制程序等攻击是ICS网络安全的难点问题,据此提出了基于行为模型的工控异常检测方法。该方法从工控网络流量中提取行为数据序列,根据ICS的控制和被控过程构建正常行为模型,通过比较分析实时提取的行为数据与模型预测的行为数据,判断是否出现异常。通过实验分析,验证了所提方法能有效实现对篡改行为数据及控制程序等攻击的异常检测。
英文摘要:
      At present,the ICS network security has become a key problem in the field of information security.Detecting attacks,such as behavior data tampering attack and control program tampering attack,is a difficult problem of ICS network security.Therefore,this paper proposed an anomaly detection method based on behavior model.This method extracts the behavior data sequence from the industrial control network traffic.Then it constructs the normal behavior model according to the control process and the controlled process of ICS.At last,it determines whether an exception occurs by comparing and analyzing the behavior data extracted in real time and the behavior data predicted by the model.The experimental analysis shows that it can effectively detect behavior data tampering attack,control program tampering attack and so on.
查看全文  查看/发表评论  下载PDF阅读器