-
公开(公告)号:CN109067778A
公开(公告)日:2018-12-21
申请号:CN201811083267.6
申请日:2018-09-18
Applicant: 东北大学
Abstract: 本发明提出一种基于蜜网数据的工控扫描器指纹识别方法,包括:对工业控制网络中通过蜜罐网络系统捕获的扫描数据和已有的工控扫描器进行分析,获得指纹信息并构建基于CART决策树的扫描数据多分类分类器模型。多分类分类器模型能够有效识别发起扫描流量的特定扫描工具,并输出各类扫描器标签的判断概率。之后,多分类分类器模型的输出结果将作为聚类算法的输入数据,聚类算法可以发现不同扫描实体间更深层次的关联关系,形成聚簇。同时,聚类算法还可以有效提取不同聚簇的扫描特征,形成新的扫描器标签,并更新到之前的多分类决策树中,提高了本发明对于新型扫描器数据的判断能力。
-
公开(公告)号:CN107566390B
公开(公告)日:2020-03-24
申请号:CN201710849672.3
申请日:2017-09-20
Applicant: 东北大学
Abstract: 本发明提出一种基于威胁情报的工业控制系统网络安全性分析系统及方法,包括:获取所有访问过工业控制系统的ip地址及相关绑定的域名;对已发现的ip地址和相关域名进行恶意性判断;基于访问ip和相关域名的绑定关系,对已有的访问ip进行分组;从时间特性,空间特性和恶意性等方面对已发现的ip组进行分析;根据已发现ip组及其相关特性,对ip组进行机器学习,建立判断ip组是否为恶意ip组的决策树模型,并对模型进行评估。根据访问ip找到工业控制系统相关的所有ip组,并通过可视化页面对工业控制系统的访问关系进行全方面分析。根据预设时间,周期性的执行上述步骤,不断提高准确率和覆盖率,更新威胁情报库和相关的恶意性和安全性分析结果。
-
公开(公告)号:CN107566390A
公开(公告)日:2018-01-09
申请号:CN201710849672.3
申请日:2017-09-20
Applicant: 东北大学
Abstract: 本发明提出一种基于威胁情报的工业控制系统网络安全性分析系统及方法,包括:获取所有访问过工业控制系统的ip地址及相关绑定的域名;对已发现的ip地址和相关域名进行恶意性判断;基于访问ip和相关域名的绑定关系,对已有的访问ip进行分组;从时间特性,空间特性和恶意性等方面对已发现的ip组进行分析;根据已发现ip组及其相关特性,对ip组进行机器学习,建立判断ip组是否为恶意ip组的决策树模型,并对模型进行评估。根据访问ip找到工业控制系统相关的所有ip组,并通过可视化页面对工业控制系统的访问关系进行全方面分析。根据预设时间,周期性的执行上述步骤,不断提高准确率和覆盖率,更新威胁情报库和相关的恶意性和安全性分析结果。
-
公开(公告)号:CN109067778B
公开(公告)日:2020-07-24
申请号:CN201811083267.6
申请日:2018-09-18
Applicant: 东北大学
Abstract: 本发明提出一种基于蜜网数据的工控扫描器指纹识别方法,包括:对工业控制网络中通过蜜罐网络系统捕获的扫描数据和已有的工控扫描器进行分析,获得指纹信息并构建基于CART决策树的扫描数据多分类分类器模型。多分类分类器模型能够有效识别发起扫描流量的特定扫描工具,并输出各类扫描器标签的判断概率。之后,多分类分类器模型的输出结果将作为聚类算法的输入数据,聚类算法可以发现不同扫描实体间更深层次的关联关系,形成聚簇。同时,聚类算法还可以有效提取不同聚簇的扫描特征,形成新的扫描器标签,并更新到之前的多分类决策树中,提高了本发明对于新型扫描器数据的判断能力。
-
-
-
Search Results
4
records
(took 0.063 seconds)
