基于工业控制模型的非参数CUSUM入侵检测方法

为解决日趋严重的工业控制系统(industrial control system,ICS)信息安全问题,提出一种针对工业控制网络的非参数累积和(cumulative sum,CUSUM)入侵检测方法.利用ICS输入决定输出的特性,建立ICS的数学模型预测系统的输出,一旦控制系统的传感器遭受攻击,实际输出信号将发生改变.在每个时刻,计算工业控制模型的预测输出与传感器测量信号的差值,形成基于时间的统计序列,采用非参数CUSUM算法,实现在线检测入侵并报警.仿真检测实验证明,该方法具有良好的实时性和低误报率.选择适当的非参数CUSUM算法参数τ和β,该入侵检测方法不但能在攻击对控制系统造成实质伤害前检测出攻击,还对监测ICS中的误操作有一定帮助.     

基于数据挖掘的网络入侵检测系统模型的研究

论述了入侵检测系统的基本概念,结合异常检测和滥用检测,提出了基于数据挖掘的网络入侵检测系统模型。介绍了该系统模型的基本思想,该系统模型通过将预处理的网络数据包送到数据挖掘过程控制模块,产生出能精确描述入侵行为和系统正常行为模式的规则,并且自动产生精确适用的检测模型。     

一种基于模式匹配与前馈式神经网络的入侵检测方法

提出了基于模式匹配与前馈式神经网络相结合的入侵检测模型.该模型运用分布式网络检测及分析系统HISTORY实现数据的采集,然后,对数据流进行数据结构转换预处理,并由模式匹配模块过滤掉部分已知入侵事件,减轻下一步入侵检测的负荷,从而提高入侵检测的效率和精准度.传统的单数据包检测只能检测孤立的入侵事件,而对于多数据包协同合作的入侵却显的无能为力.因此,本文入侵检测模块结合了单数据包检测和多数据包检测方法.实验结果表明:分析系统HISTORY的应用提高了数据处理的效率,多数据包检测弥补了单数据包检测中漏检的入侵事件,有效降低了入侵检测的漏检率.     

基于支持向量机和遗传算法融合的入侵检测

为了研究网络异常入侵检测问题,将支持向量机（SVM）和遗传（GA）算法融合并应用于入侵检测领域,区分正常和异常的用户行为,实现对网络系统的入侵检测.传统SVM算法易产生训练参数选择不当,难以获得较高的检测效率和分类精度等问题.针对此问题,提出了一种优化的基于SVM-GA融合的入侵检测方法,首先对网络入侵数据进行归一化处理简化输入,然后通过遗传算法对SVM训练参数进行同步优化,最后采用SVM算法对网络数据进行检测,分类识别得到网络入侵结果.仿真实验结果表明,该融合算法训练时间短、检测精度高、误报率和漏报率低,是一种有效可行的入侵检测方法.     

基于最小规则自组织映射的入侵检测算法

为了解决入侵检测模型中海量数据处理问题,降低计算复杂度,提高检测精度,提出基于最小规则自组织映射的入侵检测算法;通过在真实的入侵检测数据集上进行仿真实验,将该算法与普通椭圆补丁算法、简单矩形补丁算法以及决策树算法进行对比.结果表明,该算法在检测精度、稳定性和计算时间方面优于对比算法,验证了该算法的有效性.     

基于自适应模型的数据库入侵检测方法

提出了一种基于自适应模型数据库入侵检测方法(ASIDS).该方法基于矩阵和最小支持度函数的AprioriZ关联算法,依据在训练和自适应入侵检测阶段产生数据库的操作特征,用户根据实际需求动态调整最小支持度函数的值,更高效挖掘操作特征.结合层次聚类算法产生动态规则库,通过计算待检测数据操作特征与规则库中聚类的距离是否超过聚类间最大距离来判断异常,以避免已有检测系统中判断"边界尖锐"问题,并实时把正常操作特征归入动态规则库,通过对报警信息的关联分析降低误警率.实验结果表明,ASIDS能够实时地进行入侵检测,具有很高的检测率和较低的误警率.     

基于粗糙集的自适应入侵检测算法

为了提高入侵检测系统的检测率,降低错检率,在分析现有入侵检测方法基础上提出一种基于粗糙集的入侵检测算法,将粗糙集算法和入侵检测技术结合起来实现系统的安全检测.对收集到的入侵数据进行预处理、数据离散化,属性约简,并依据生成的检测规则来分析入侵数据.实验结果表明: 与基于BP(back propagation)神经网络和支持向量机的入侵检测算法比较,该算法的检测率提高10%左右,能很好地为信息系统提供入侵检测服务.     

基于支持向量机的CAN-FD网络异常入侵检测

针对汽车潜在的网络攻击行为,对于车载灵活数据速率控制器局域网络（CAN-FD）提出了一种基于支持向量机的异常入侵检测算法。在通用入侵检测框架（CIDF）下,该方法使用报文标识符（ID）、时间周期和数据场数据作为入侵检测特征,利用支持向量机算法的二分类特性和小样本特征,实现了对CAN-FD网络环境下入侵报文数据的识别。仿真实验数据表明,所提出的方法具有较高的入侵检测正确率,且可用于周期性报文和非周期性报文。     

ID-DC:基于分布式聚类的入侵检测方法

提出了基于分布式聚类的异常入侵检测方法ID-DC,通过对训练集进行分布式聚类产生聚簇模型,采用基于双参考点的标识算法Double-Reference标记异常簇,不需要具有类别标签的训练集且可自动确定聚簇模型的个数.实验中采用了网络入侵检测数据集KDD-CUP-99来训练模型.实验结果表明:通过采用分布式聚类算法建立的分布式入侵检测模型可有效地检测攻击,检测率高,误警率低.     

一种基于差异度聚类的异常入侵检测算法

基于差异度聚类分析,提出了一种新的异常入侵检测算法DCAIDA,详细介绍了基于差异度聚类分析的用户行为模型建立算法和异常入侵检测算法.通过对原始用户行为数据进行差异度聚类分析,建立用户行为模型,并依据聚类模型对实时的用户行为进行分类,以此判断是否发生入侵.在KDD CUP 1999上的仿真实验结果表明:该算法检测率高、误报率低,且对新攻击类型有一定的检测能力,可实现预期效果.     

基于组合神经网络的启发式工控系统异常检测模型

为了提高工控系统入侵的检测率,讨论了传统工控入侵检测技术的原理,并从信息论的观点进行了对比研究.通过对工控系统特异性及其攻击手法的建模,归纳出工控攻击在协议栈、统计特性、通信行为等方面表现出的动态和静态指纹,基于一种新的异构信息的抽象方法,提出并实现了一个基于组合神经网络的启发式工控系统异常检测模型.测试结果表明该检测模型运行高效,相比一般智能方法检测结果更为准确.     

基于防火墙的网络入侵检测系统

提出了一个基于防火墙的网络入侵检测系统模型,克服了传统入侵检测系统不能实现主动控制的缺陷,并对设计与实现中的关键技术做了详细的描述·该系统在数据链路层截取实时的数据包,对其进行基于安全策略的访问控制分析;同时利用事件发生器从截获的IP包中提取出概述性事件信息并传送给入侵检测模块进行安全分析·入侵检测模块采用基于统计的入侵检测技术,并采用了NaiveBayes算法·基于该模型设计实现的系统在实际测试中表明对于具有统计特性的网络入侵具有较好的检测与控制能力·     

一种基于网络的入侵检测模型及其实现

在入侵检测CIDF体系结构基础上,提出了基于网络的二层式多数据包分析入侵检测模型.这一模型中,事件分析器对当前事件分两层进行处理:先将当前事件结合历史事件进行关联分类,找出与当前事件关联紧密的历史事件;然后对包含当前事件的这一类关联事件进行回归分析,最终发现潜在的协同攻击和分布式入侵行为.仿真试验说明该算法模型能够检测出传统入侵检测系统难以发现的分布式入侵行为.     

基于SAE-SV M的CPS攻击检测

信息物理系统(CPS)在工业控制和关键基础设施等领域被广泛应用,由于具有易受攻击的特点,CPS的安全问题变得尤为重要.为了提高CPS攻击检测的准确度,提出一种稀疏自动编码器(SAE)与支持向量机(SVM)结合的攻击检测算法.针对CPS中数据维数高的问题,使用SAE对数据进行特征学习与降维处理,以无监督方法重建新的特征表...     

混合选别过程半实物仿真系统

为了满足复杂工业过程控制技术的研究需求,需要建立具有代表性的半实物仿真系统.针对混合选别过程,研发由对象计算机、控制器设计计算机、监控计算机、虚拟执行机构与检测仪表装置和控制系统组成的半实物仿真系统.该系统基于工业控制系统软件开发控制算法,运用MATLAB研发虚拟对象、虚拟执行机构和检测仪表、控制器设计模型,研发了相应的可视化界面.在对象计算机、控制器设计计算机和监控计算机的基础上完成了被控对象机理建模、控制器设计模型参数辨识、控制器设计和控制器性能评价等研究.为复杂控制算法研究进一步工业应用奠定了基础.     

基于PCA的过程控制系统欺骗攻击研究

针对控制系统所面临的信息安全威胁,开展了工业过程控制系统欺骗攻击研究.把欺骗攻击与过程故障都看作引起系统工作状态异常的诱发因素,统一用故障检测的方法加以检测.首先建立了欺骗攻击模型,接着开发了TE过程控制器在环模拟系统,在该仿真系统上对三个欺骗攻击场景利用主元分析统计监控算法进行异常检测.结果表明,传统的故障检测算法在欺骗攻击中漏检率和误报率明显增加.     

基于集成核熵成分分析算法的工业过程故障检测

针对核熵成分分析算法(kernel entropy component analysis, KECA)为不同的故障选择相同的核参数影响检测效果的问题,提出了一种基于集成核熵成分分析(ensemble kernel entropy component analysis, EKECA)算法的工业过程故障检测方法。首先,选取一系列具有不同宽度参数的核函数将非线性数据投影到核特征空间,选取Rényi熵值贡献较大的特征值和特征向量,得到转换后的得分矩阵,建立多个KECA子模型;然后,将测试数据投影到各KECA子模型上,计算各KECA子模型的统计量,得到检测结果;最后,将各KECA子模型的检测结果利用Bayesian决策进行概率换算,利用集成学习法计算检测结果统一的统计量,判断其是否超出控制限,并将该算法应用于数值例子和TE过程。仿真结果表明,与传统的EKPCA,KECA等算法相比,所提方法有效提高了故障检测率,降低了误报率。新方法解决了传统KECA算法中不同故障核参数的选择问题,为提高KECA算法在非线性工业过程故障检测中的性能提供了参考。     

基于遗传算法时滞系统的滤波器参数自调整内模控制

对于工业控制过程中的时滞系统,采用内模控制的设计方法,建立了滤波器参数λ的优化自整定;并且研究了利用十进制编码的遗传算法及其具体的遗传操作过程,实现了滤波器参数λ的优化自整定,从而避免了二进制编码所导致的影射误差.仿真结果表明,对于在控制过程中过程模型变化或过程模型与预估模型失配时,通过优化调整内模控制器的滤波器参数λ;可改善系统的控制品质,提高控制系统的鲁棒性,且易于工程实现.     

动态多流形投影算法在统计过程监测中的应用

为了解决工业数据的序列相关性以及数据的全局和局部结构在某些异常状态下的变化问题,通过"时滞偏移"方法将动态行为纳入多流形投影(multi-manifold projections,MMP)模型,提出一种动态多流形投影算法(dynamic multi-manifold projections,DMMP)在统计过程监测中的...     

基于误用检测与异常行为检测的整合模型

针对入侵检测中普遍存在检测率低与误报过高的问题,采用基于多维-隐马尔可夫模型的检测方法和基于Apriori算法的误用检测技术相结合的入侵检测系统(intrusion detection system,IDS)模型.新模型减少了单纯使用某种入侵检测技术时的漏报率和误报率,同时在异常检测模块中采用了隐马尔可夫与简单贝叶斯分...