-
题名基于协议特征的电力工控网络流量异常行为检测方法
被引量:23
- 1
-
-
作者
王文博
刘绚
张博
王玉斐
黄伟
-
机构
湖南大学电气与信息工程学院
江苏省信息安全测评中心
国网江苏省电力有限公司电力科学研究院
-
出处
《电力系统自动化》
EI
CSCD
北大核心
2023年第2期137-145,共9页
-
基金
国家自然科学基金资助项目(51777062)。
-
文摘
随着信息通信技术在电力工控系统中的广泛应用,电力工控系统遭受网络攻击的风险不断增加。电力工控系统的信息传输和交互以通信协议的流量数据为载体,流量数据的应用层报文在传输过程中存在被窃取及篡改等风险。文中以IEC 60870-5-104协议为例,在对其脆弱性分析的基础上提出了基于协议特征的电力工控流量异常行为检测方法。首先,对电力工控流量进行应用层报文的提取及解析,并结合报文字段特征以及典型电力业务特征建立起电力工控流量正常行为模型。其次,依据正常行为模型对流量数据进行单字段畸形校验、多字段耦合逻辑校验、帧与帧时序逻辑校验、帧与帧上下文异常校验,实现流量异常行为的识别。最后,基于某220 kV变电站的实际流量数据集进行仿真,结果表明所提方法对于典型异常行为检测准确率约为99.98%,能够有效辨识电力工控系统流量异常行为,提升电力系统的安全性。
-
关键词
电力工控网络
IEC
60870-5-104协议
字段特征
业务特征
流量异常行为检测
-
Keywords
electric power industrial control network
IEC 60870-5-104 protocol
field feature
business feature
abnormal flow behavior detection
-
分类号
TM73
[电气工程—电力系统及自动化]
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名Internet流分类方法的比较研究
被引量:17
- 2
-
-
作者
彭芸
刘琼
-
机构
中国科学院软件研究所
-
出处
《计算机科学》
CSCD
北大核心
2007年第8期58-61,共4页
-
文摘
Internet流分类是网络测量、流量监控中的一个重要环节。本文分析了几种典型的流分类方法:基于特定端口号、基于应用层特征字段和基于传输层的方法,其中第二种方法专门用于识别当前日益增多的对等网络应用流量。从准确性、完整性、实时性以及可扩展性等方面对这三种方法进行了比较,分别指出它们的优势和不足。最后提出了一种实用型流分类方案,并对流分类领域的发展提出了看法。
-
关键词
流分类
应用层特征字段
主机行为
统计特征
-
Keywords
Traffic classification,Application signature,Host behavior,Statistic characteristic
-
分类号
TP393.4
[自动化与计算机技术—计算机应用技术]
-
-
题名基于SVM的HTTP隧道检测技术研究
被引量:2
- 3
-
-
作者
饶孟良
蔡皖东
丁要军
-
机构
西北工业大学计算机学院
-
出处
《计算机工程》
CAS
CSCD
北大核心
2011年第13期141-143,共3页
-
基金
国家"863"计划基金资助项目(2009AA01Z424)
-
文摘
提出一种基于支持向量机(SVM)的HTTP隧道检测算法,该算法采用SVM提取网络流特征字段,根据特征字段生成训练数据,从而建立HTTP隧道分类检测模型,并结合知名地址匹配和单向流筛选等策略检测HTTP隧道流。与相关算法的对比实验表明,该算法不依赖样本空间的分布,能准确检测HTTP隧道流,具有较好的稳定性。
-
关键词
网络流
特征字段
HTTP隧道检测
支持向量机
-
Keywords
network flow
feature field
HTTP tunnel detection
Support Vector Machine(SVM)
-
分类号
TP311.52
[自动化与计算机技术—计算机软件与理论]
-
