1(Beijing Key Laboratory of IoT Information Security (Institute of Information Engineering, Chinese Academy of Sciences), Beijing 100093) 2 (School of Cyber Security, University of Chinese Academy of Sciences, Beijing 100049); 3(School of Computer and Communication Engineering, University of Science and Technology Beijing, Beijing 100083); 4(China Electric Power Research Institute, Beijing 100192); 5(Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093)
出版日期:
2018-11-01基金资助:
国家重点研发计划项目(2016YFB0800202);国家自然科学基金项目(U1766215,61702506);国家电网公司科学技术项目(52110417001B);中国科学院国防科技创新基金项目(CXJJ-16Z234)An Industrial Control System Anomaly Detection Algorithm Fusion by Information Flow and State Flow
Yang An1,2, Hu Yan3, Zhou Liang4, Zheng Weimin2,5, Shi Zhiqiang1,2, Sun Limin1,21(物联网信息安全技术北京市重点实验室(中国科学院信息工程研究所) 北京 100093); 2(中国科学院大学网络空间安全学院 北京 100049); 3(北京科技大学计算机与通信工程学院 北京 100083); 4(中国电力科学研究院 北京 100192); 5(中国科学院信息工程研究所 北京 100093) (yangan@iie.ac.cn)
Online:
2018-11-01摘要/Abstract
摘要: 由于工业控制系统(industrial control system, ICS)与物理环境紧密联系,其特有的序列攻击可通过将合法的操作注入到操作序列中的不合理位置上,迫使ICS进入异常状态,损毁设备,甚至破坏生态环境.目前,针对序列攻击检测的研究基本上是从信息流中提取操作序列进行检测,易受错误、虚假数据等情况的影响,导致检测精度受到限制.针对该问题,充分考虑ICS的操作与物理环境的相互依赖性,提出一种双流融合的工业控制异常检测机制,从物理环境中实时提取工业控制设备的状态信息组成设备状态流,并将其与信息流相融合,从操作次序和时序2个维度检测操作序列是否正常.同时利用设备状态流信息识别操作间隔中的工业控制设备的异常状态,提升异常检测范围和对操作时序异常的检测精度.实验结果表明:该方法能有效地识别序列攻击和部分工业控制设备的异常状态.
参考文献
相关文章 15
[1] | 周文, 张世琨, 丁勇, 陈曦. 面向低维工控网数据集的对抗样本攻击分析[J]. 计算机研究与发展, 2020, 57(4): 736-745. |
[2] | 张圣林, 李东闻, 孙永谦, 孟伟彬, 张宇哲, 张玉志, 刘莹, 裴丹. 面向云数据中心多语法日志通用异常检测机制[J]. 计算机研究与发展, 2020, 57(4): 778-790. |
[3] | 张龙,王劲松. SDN中基于信息熵与DNN的DDoS攻击检测模型[J]. 计算机研究与发展, 2019, 56(5): 909-918. |
[4] | 席亮,王勇,张凤斌. 基于自适应人工鱼群FCM的异常检测算法[J]. 计算机研究与发展, 2019, 56(5): 1048-1059. |
[5] | 陈兴蜀, 陈佳昕, 金鑫, 葛龙. 云环境基于系统调用向量空间的进程异常检测[J]. 计算机研究与发展, 2019, 56(12): 2684-2693. |
[6] | 石乐义,朱红强,刘祎豪,刘佳. 基于相关信息熵和CNN-BiLSTM的工业控制系统入侵检测[J]. 计算机研究与发展, 2019, 56(11): 2330-2338. |
[7] | 韩东明,郭方舟,潘嘉铖,郑文庭,陈为. 面向时序数据异常检测的可视分析综述[J]. 计算机研究与发展, 2018, 55(9): 1843-1852. |
[8] | 倪明涛,赵波,吴福生,樊佩茹. CREBAD:基于芯片辐射的物联网设备异常检测方案[J]. 计算机研究与发展, 2018, 55(7): 1451-1461. |
[9] | 杨安,孙利民,王小山,石志强. 工业控制系统入侵检测技术综述[J]. 计算机研究与发展, 2016, 53(9): 2039-2054. |
[10] | 孙玉砚,孙利民,朱红松,周新运. 基于车牌识别系统车辆轨迹的行为异常检测[J]. 计算机研究与发展, 2015, 52(8): 1921-1929. |
[11] | 孙聪,习宁,高胜,张涛,李金库,马建峰. 基于接口精化的广义无干扰性研究[J]. 计算机研究与发展, 2015, 52(7): 1631-1641. |
[12] | 文坤, 杨家海, 程凤娟,尹辉,王健峰. 骨干网络中RoQ攻击的监测、定位和识别[J]. 计算机研究与发展, 2015, 52(4): 813-822. |
[13] | 唐成华,刘鹏程,汤申生,谢逸. 基于特征选择的模糊聚类异常入侵行为检测[J]. 计算机研究与发展, 2015, 52(3): 718-728. |
[14] | 范艳芳,蔡英. 支持协作的强制访问控制模型[J]. 计算机研究与发展, 2015, 52(10): 2411-2421. |
[15] | 王 楠, 韩冀中, 方金云,. 调试中基于文法编码的日志异常检测算法[J]. , 2013, 50(4): 677-685. |
PDF全文下载地址:
https://crad.ict.ac.cn/CN/article/downloadArticleFile.do?attachType=PDF&id=3819