基于Spark的电网工控系统流量异常检测平台

针对传统的电力网络流量检测安全预警系统在面对海量高维度数据时，其在精度、实时性、扩展性以及效率上都无法满足需求的问题，建立出一种基于Spark的电网工控系统流量异常检测平台.该平台以Spark为计算框架，主要由数据采集与网络流量深度包检测协议解析模块，实时计算数据分析处理模块，安全预警预测模块和数据存储模块组成，为流量异常检测提出了一套完整的流程.实验结果表明，该平台能够有效地检测出异常流量，做出安全预警，方便工作人员及时做出决策，这充分说明该平台非常适用于电力控制系统，能够应对海量高维复杂数据做出实时分析以及安全预警，极大地提高了电网工控系统的安全性能.     

一种基于半监督学习的工控网络入侵检测方法

随着工控网络的发展以及工业和和信息化的深度融合,针对工业控制系统的攻击行为大幅度增长,对工控企业造成巨大的经济及财产损失。因此,提出一种基于半监督机器学习的入侵检测技术,该技术充分利用工控网络流量标记的特点,结合多种机器学习算法进行实现,并对算法的性能进行了优化。实验证明,该技术可以有效地检测出工控系统网络中的异常流量。     

基于卷积神经网络的电网工控系统入侵检测算法

传统的电网工控系统主要通过防火墙等工具, 与外部网络进行隔离, 但是随着云计算、物联网等新技术的应用, 网络之间互联程度不断深入, 安全防护难度大大提高, 如何有效检测出网络入侵行为变得至关重要. 与传统入侵检测技术相比, 卷积神经网络具有更好的提取入侵特征的能力. 本文提出一种基于卷积神经网络的电网工控系统入侵检测算法, 使用经过处理的KDD99数据集进行模型训练, 并添加级联卷积层优化网络结构. 在参数规模不大的前提下, 保证了模型运行的实时性要求. 本文算法相对于传统SVM算法和K-means算法, 提高了入侵检测的准确率, 降低了误检率, 可以有效检测出对于电网工控系统的入侵行为.     

基于云模型的网络异常流量检测

网络流量的复杂性、难以预测性以及人们主观评测的差异性等不确定因素,使得网络流量的异常检测成为网络安全防护领域研究的难点问题。通过对流量安全特征的分析提取和范围限定,引入云模型理论,提出一种基于云模型的异常流量检测方法,实现异常检测定性与定量的转换。在已有流量样本的基础上生成异常态势的标尺云,针对待测流量综合利用正向与逆向云产生算法获得不同异常等级的评估云,从而完成网络流量的异常判定。仿真实验表明,该方法能够对网络流量进行有效的异常检测评估。     

基于时序分析的工控异常检测算法研究

随着信息化及工业化的不断融合发展、开放通信协议的引入、智能终端设备的发展,工控系统网络环境由最初的封闭隔离环境变得与外部的连通性不断增强,导致工控系统的安全风险变得更加复杂多变。异常检测技术作为信息安全防护中重要的组成部分,可有效地发现在工控网络中不符合预期行为模式的异常事件。考虑到时间作为工业流量中的本质特性,文章开展了基于时序分析的异常检测算法研究,提出了一种基于Top-k的矩阵分布评估算法,实验结果证实此评估算法可有效地检测工控网络环境下的异常事件。     

基于词袋模型聚类的异常流量识别方法

针对现有异常流量检测方法的识别准确率低且快速识别需要确定阈值等问题,基于词袋模型聚类,提出一种改进的网络异常流量识别方法。通过对已有的异常流量和正常流量进行K-means均值聚类,得到网络流量中的流量关键点,将网络流量转化映射到相应流量关键点后建立直方图,并采用半监督学习方式对异常流量进行检测。实验结果表明,与基于朴素贝叶斯、支持向量机等的识别方法相比,该方法具有更好的异常流量识别效果。     

基于卷积神经网络的工控网络异常流量检测

针对工控系统中传统的异常流量检测模型在识别异常上准确率不高的问题，提出一种基于卷积神经网络（CNN）的异常流量检测模型。该模型以卷积神经网络算法为核心，主要由1个卷积层、1个全连接层、1个dropout层以及1个输出层构成。首先，将实际采集的网络流量特征数值规约到与灰度图像素值相对应的范围内，生成网络流量灰度图；然后，将生成好的网络流量灰度图输入到设计好的卷积神经网络结构中进行训练和模型调优；最后，将训练好的模型用于工控网络异常流量检测。实验结果表明，所提模型识别精度达到97.88%，且与已有的精度最高反向传播（BP）神经网络测精度提高了5个百分点。     

基于EKM-AE模型的无监督主机入侵检测方法

针对深度学习方法运用于入侵检测时需要大量标注数据集和难以实时检测的缺陷,利用网络流量中正常数据多于异常数据的一般规律,提出一种结合集成K-means聚类和自编码器的EKM-AE(ensemble K-means and autoencoder)入侵检测方法.首先通过集成K-means聚类从实时抓取的网络流量中得出正常样例,用于训练自编码器,然后由完成训练的自编码器执行入侵检测.在虚拟局域网主机环境下进行了入侵检测实验,结果表明,在绝大多数实际应用场景(正常流量多于异常流量)下该方法具有良好的检测性能,且具有全过程无监督、可实时在线检测的优点,对主机网络安全有良好的提升作用.     

介质访问控制层拒绝服务攻击的入侵检测系统

针对无线局域网安全防护手段的不足,结合无线局域网介质访问控制层拒绝服务攻击的特点,设计了基于支持向量机算法的入侵检测系统。该系统利用支持向量机分类准确性高的特点,构建支持向量机最优分类超平面和分类判决函数,对网络流量进行分类识别,完成对异常流量的检测。在OPNET平台下进行无线局域网环境入侵检测仿真,仿真结果表明,该系统能有效地检测出针对无线局域网介质访问控制层的拒绝服务攻击。     

基于iForest和LOF的流量异常检测

异常检测在现代大规模分布式系统的安全管理中起着重要作用,而网络流量异常检测则是组成异常检测系统的重要工具。网络流量异常检测的目的是找到和大多数流量数据不同的流量,并将这些离群点视为异常。由于现有的基于树分离的孤立森林（iForest）检测方法存在不能检测出局部异常的缺陷,为了克服这个缺陷,提出一种基于iForest和局部离群因子（LOF）近邻集成的无监督的流量异常检测方法。首先,改进原始的iForest与LOF算法,在提升检测精度的同时控制算法时间;然后分别使用两种改进算法进行检测,并将结果进行融合以得到最终的检测结果;最后在自制数据集上对所提方法进行有效性验证。实验结果表明,所提方法能够有效地隔离出异常,获得良好的流量异常检测效果。     

基于宽度学习的智能电网数据服务器流量异常检测算法

电力系统的信息网络是电力行业长久持续有效运行下的重要组成部分,而智能电网中电力网与信息网耦合下的复杂网络结构给信息通讯网络安全中的流量异常检测带来了巨大的挑战。传统机器学习算法与新兴的深度学习算法在解决流量异常检测问题领域往往存在着检测准确度低、实时性差等缺陷,而结合宽度学习与质量管理图的流量异常检测流程则有着训练速度快、准确性高、实时性强的优势,在一定程度上可以满足智能电网服务器流量异常检测需求,从而达到提升电网信息安全的目的。     

基于Isolation Forest和Random Forest相结合的智能电网时间序列数据异常检测算法

智能电网的信息系统是保障电力行业正常运行的基础,而智能电网中各种时间序列数据的分析结果是衡量信息系统稳定运行的重要依据。传统的时间序列数据异常检测算法很难同时兼顾准确性和实时性。本文引入基于Isolation Forest和Random Forest相结合的智能电网时间序列数据异常检测算法,结合无监督学习算法和有监督学习算法的优点,实现机器自动标注和自动学习阈值,人工标注少量特征值,从一定程度上提高了时间序列数据异常检查准确性和实时性,可以满足智能电网时间序列数据异常检测需求,从而达到提升智能电网信息安全的目的。     

基于等级保护的智能电网信息安全防护模型研究

在分析电力信息系统安全等级保护建设情况的基础上,结合智能电网信息安全需求,提出一种基于等级保护的智能电网信息安全防护模型,从物理、终端、边界、网络、主机、应用和数据几方面描述针对智能电网特点的信息安全防护建议,以提升智能电网整体信息安全防御能力,对智能电网信息安全防护及建设具有一定的指导意义和作用。     

基于智能蝙蝠算法的异常数据检测方法

随着大数据应用的普及,网络攻击日益严重并已成为主要的网络安全问题。针对大数据环境下的网络攻击检测问题,设计一种融合聚类和智能蝙蝠算法（DEBA）的网络攻击检测系统。该系统将K-means算法与蝙蝠算法相结合进行数据流分类,实现了对异常数据的高效检测。实验结果显示,该系统的聚类准确率、算法耗时和误报率方面明显优于基于传统蝙蝠算法的K-means算法和单独K-means算法的网络异常数据检测方法。     

内外网数据安全交换技术在电网企业的应用研究

为保护企业机密,需要采用安全有效且成熟的技术来保障企业信息安全。以网闸等安全设备为基础的内外网数据安全交换平台,通过网络隔离、安全访问控制、协议剥离重组等技术,实现可控安全的数据交换,建立一套完善的内外网数据安全交换系统。本文参考电网企业安全防护标准、公安信息通信网边界接入平台安全规范及其他行业内外网安全防护设计思路,结合电网企业的应用需求,提出了多层次安全隔离防护,强管控数据交换的安全策略,并设计了符合电网企业应用需求的内外网数据安全交换平台、数据交换体系和安全管控方法,实现了电网企业内外网安全数据交换。同时结合试点、推广建设与实践,阐述了该体系在电网企业内外网实际环境中的应用效果。     

基于栅格化信息网的高速网络安全防护技术

从高速网络安全监控设备与协议识别技术、高速网络入侵防御（IPS）技术和高速网络异常流量及行为检测技术等三方面重点阐述基于栅格化信息网的高速网络安全防护关键技术国内外同类技术的研究现状。指明高速骨干网络一体化安全监控设备系统结构、安全元数据分类、规范和描述技术、安全监控支撑技术、入侵防御技术、异常流量及行为检测技术的研究方向。     

基于随机森林的网络入侵检测方法

为了提高网络安全水平,及时对网络攻击进行主动检测,提出了一种基于随机森林的网络入侵检测模型。该模型能够对大流量攻击进行分布式检测,且检测算法在引入了两个随机性后,即可降低网络流量内不同属性特征字段的噪声,并消除关联性,以便更为便捷、迅速地对攻击进行主动检测。将经典的Adaboost组合多分类器方法与提出的算法在检测率、正确率、精确率三个方面进行对比,体现了该算法的优越性,为大数据时代下网络安全提供了更好的保护。     

基于智能蜂群算法的DDoS攻击检测系统

随着大数据应用的普及,DDoS攻击日益严重并已成为主要的网络安全问题。针对大数据环境下的DDoS攻击检测问题,设计了一种融合聚类和智能蜂群算法(DFSABC_elite)的DDoS攻击检测系统。该系统将聚类算法与智能蜂群算法相结合来进行数据流分类,用流量特征分布熵与广义似然比较判别因子来检测DDoS攻击数据流的特征,从而实现了DDoS攻击数据流的高效检测。实验结果显示,该系统在类内紧密度、类间分离度、聚类准确率、算法耗时和DDoS检测准确率方面明显优于基于并行化K-means的普通蜂群算法和基于并行化K-means算法的DDoS检测方法。