【技术实现步骤摘要】
本专利技术属于工业控制安全,具体涉及工业资产指纹特征动态学习与异常行为识别方法及系统。
技术介绍
1、在工业控制系统中,设备识别与行为监测通常依赖以下几种技术手段:静态指纹库比对:通过预置设备mac地址、固件版本等静态特征库进行资产识别,无法适应设备行为的动态变化;阈值告警机制:设置固定阈值,易造成误报或漏报;单一维度监测:基于网络流量或设备日志的独立分析,难以全面反映设备状态;规则引擎驱动:依赖人工编写规则库匹配已知攻击模式,难以识别未知威胁,维护成本高。
2、上述方法在面对复杂多变的工业环境时,存在动态适应性差:无法自动识别固件升级、配置变更等场景(误报率高达35%);特征维度单一:忽视设备行为时序特征与工艺上下文关联(漏报率超过40%);维护成本高:需人工定期更新指纹库和检测规则(平均每周耗费8人时);检测滞后严重:从特征变化到规则生效存在12-48小时空窗期等问题。
技术实现思路
1、针对上述现有技术的不足,本申请提供工业资产指纹特征动态学习与异常行为识别方法及系统。<...
【技术保护点】
1.工业资产指纹特征动态学习与异常行为识别方法,其特征在于:包括以下步骤:
2.根据权利要求1所述的方法,其特征在于:所述从所述工业设备中提取静态特征,从所述网络通信数据和协议指令序列中提取动态特征,从所述SCADA日志中提取上下文特征,形成三维特征向量,包括:
3.根据权利要求2所述的方法,其特征在于:所述基于在线学习算法对所述三维特征向量进行无监督增量学习,动态更新设备行为模型,包括:
4.根据权利要求3所述的方法,其特征在于:所述使用FTRL-Proximal算法对所述三维特征向量分配时间衰减权重包括:
5.根据权...
【技术特征摘要】
1.工业资产指纹特征动态学习与异常行为识别方法,其特征在于:包括以下步骤:
2.根据权利要求1所述的方法,其特征在于:所述从所述工业设备中提取静态特征,从所述网络通信数据和协议指令序列中提取动态特征,从所述scada日志中提取上下文特征,形成三维特征向量,包括:
3.根据权利要求2所述的方法,其特征在于:所述基于在线学习算法对所述三维特征向量进行无监督增量学习,动态更新设备行为模型,包括:
4.根据权利要求3所述的方法,其特征在于:所述使用ftrl-proximal算法对所述三维特征向量分配时间衰减权重包括:
5.根据权利要求4所述的方法,其特征在于:所述通过多模态协同分析判定设备行为状态,得到设备状态判定结果,包括:
6.根据权利要求5所述的方法,其特征在...
【专利技术属性】
技术研发人员:王蒙,周磊,史联刚,谷洪梅,
申请(专利权)人:北京安帝科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。