公开(公告)号：CN110891055A

公开(公告)日：2020-03-17

申请号：CN201911139213.1

申请日：2019-11-20

Applicant: 北京航空航天大学

Inventor： 李博 ,  葛彬彬 ,  张钟熙

IPC: H04L29/06

Abstract: 本发明提出一种基于规则树的工控网络白名单异常检测方法，首先建立白名单规则集，所述白名单规则集为记录正常模式下报文深度解析值，所述正常模式下报文深度解析值为正常模式下每一条网络流中包含的工控协议、动作、操作地址、操作数值，然后进行异常检测，报文深度解析值在白名单规则集中无法匹配的为异常数据。

公开(公告)号：CN112380274A

公开(公告)日：2021-02-19

申请号：CN202011276874.1

申请日：2020-11-16

Applicant: 北京航空航天大学

Inventor： 马帅 ,  张钟熙 ,  李博

IPC: G06F16/2458 ,  G06K9/62

Abstract: 本发明通过人工智能领域的方法，实现了一种面向控制过程的异常检测系统，系统架构分为训练阶段和测试阶段两部分，训练阶段中，将所述训练集的所述传感器数据经过离散化步骤后输入关联规则挖掘步骤，将所述执行器的数据直接输入关联规则挖掘步骤之后，则通过关联规则挖掘算法生成关联规则；测试阶段中，所述传感器数据离散化后，与执行器数据和标签属性一起输入到异常检测模型，所述异常检测模型利用关联规则挖掘算法，最终输出检测结果。通过上述手段实现一种面向工业控制系统的基于关联规则的异常检测方法，将更多的关联规则用于异常检测过程中，并在保证一定召回率的情况下，有效的减少误报，在保证不影响结果的情况下，避免大量关联规则降低效率。

公开(公告)号：CN110891055B

公开(公告)日：2020-12-25

申请号：CN201911139213.1

申请日：2019-11-20

Applicant: 北京航空航天大学

Inventor： 李博 ,  葛彬彬 ,  张钟熙

IPC: H04L29/06

Abstract: 本发明提出一种基于规则树的工控网络白名单异常检测方法，首先建立白名单规则集，所述白名单规则集为记录正常模式下报文深度解析值，所述正常模式下报文深度解析值为正常模式下每一条网络流中包含的工控协议、动作、操作地址、操作数值，然后进行异常检测，报文深度解析值在白名单规则集中无法匹配的为异常数据。

公开(公告)号：CN112380274B

公开(公告)日：2023-08-22

申请号：CN202011276874.1

申请日：2020-11-16

Applicant: 北京航空航天大学

Inventor： 马帅 ,  张钟熙 ,  李博

IPC: G06F16/2458 ,  G06F18/214 ,  G06F18/23213

Abstract: 本发明通过人工智能领域的方法，实现了一种面向控制过程的异常检测方法，系统架构分为训练阶段和测试阶段两部分，训练阶段中，将所述训练集的所述传感器数据经过离散化步骤后输入关联规则挖掘步骤，将所述执行器的数据直接输入关联规则挖掘步骤之后，则通过关联规则挖掘算法生成关联规则；测试阶段中，所述传感器数据离散化后，与执行器数据和标签属性一起输入到异常检测模型，所述异常检测模型利用关联规则挖掘算法，最终输出检测结果。通过上述手段实现一种面向工业控制系统的基于关联规则的异常检测方法，将更多的关联规则用于异常检测过程中，并在保证一定召回率的情况下，有效的减少误报，在保证不影响结果的情况下，避免大量关联规则降低效率。