公开(公告)号：CN112968906A

公开(公告)日：2021-06-15

申请号：CN202110316520.3

申请日：2021-03-25

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  李政 ,  余思洋 ,  周旭 ,  刘楚波 ,  段明星 ,  李克勤 ,  唐伟 ,  黎东

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明公开了一种基于多元组的Modbus TCP异常通讯检测方法，包括：从工业控制网络中获取连接，每个连接包含多个Modbus TCP数据包，按照单位时间对数据包流进行分割，得到多个数据包序列。对数据包序列中的每个Modbus TCP数据包进行解析，提取其中的多个功能码、线圈地址、数据长度。在一个数据包序列中，每个功能码对应多个数据包，将具有相同功能码的数据包归为一类，对于每一类数据包，取数据包中的数据长度进行累加求和取平均，每个功能码可以对应一个数据包平均数据长度，得到多元组C1；每个功能码对应多个线圈地址。本发明解决了现有技术只针对Modbus TCP的功能码和线圈地址这两个特征进行提取，导致流量特征提取不足，检测精度不高的技术问题。

公开(公告)号：CN116668068A

公开(公告)日：2023-08-29

申请号：CN202310423533.X

申请日：2023-04-20

Applicant: 湖南匡安网络技术有限公司

Inventor： 余思洋 ,  李政 ,  李肯立 ,  段明星 ,  蔡宇辉 ,  杨志邦 ,  杨圣洪 ,  唐伟 ,  吕婷

IPC: H04L9/40 ,  G06N20/20

Abstract: 本发明公开了基于联合联邦学习的工控异常流量检测方法，包括：生成本地训练数据集；客户端使用本地数据集在初始模型上训练得到本地模型参数，并发送到服务器S1完成参数聚合；S1将全局参数分发到客户端，客户端开始下一轮本地训练；得到全局模型M1；客户端将本地的异常样本发送到服务器S2，S2整合所有异常样本，进行模型训练，得到模型M2；将模型M1和M2组合，并采集工控设备传感器和执行器数据，将数据送入组合模型，进行实时异常检测。本发明避免了工控环境下本地客户端采用不均衡数据集训练导致模型对正常样本过拟合，检测精度不高的问题；有更强的泛化能力。

公开(公告)号：CN112968906B

公开(公告)日：2022-02-18

申请号：CN202110316520.3

申请日：2021-03-25

Applicant: 湖南大学 ,  湖南匡安网络技术有限公司

Inventor： 李肯立 ,  李政 ,  余思洋 ,  周旭 ,  刘楚波 ,  段明星 ,  李克勤 ,  唐伟 ,  黎东

IPC: H04L9/40 ,  H04L41/142 ,  H04L41/14

Abstract: 本发明公开了一种基于多元组的Modbus TCP异常通讯检测方法，包括：从工业控制网络中获取连接，每个连接包含多个Modbus TCP数据包，按照单位时间对数据包流进行分割，得到多个数据包序列。对数据包序列中的每个Modbus TCP数据包进行解析，提取其中的多个功能码、线圈地址、数据长度。在一个数据包序列中，每个功能码对应多个数据包，将具有相同功能码的数据包归为一类，对于每一类数据包，取数据包中的数据长度进行累加求和取平均，每个功能码可以对应一个数据包平均数据长度，得到多元组C1；每个功能码对应多个线圈地址。本发明解决了现有技术只针对Modbus TCP的功能码和线圈地址这两个特征进行提取，导致流量特征提取不足，检测精度不高的技术问题。