针对工业控制拓扑的确定性局部多点故障检测方法

针对现有网络故障检测方法不能同时满足检测时间确定、检测开销低、多点故障检测能力及工业控制网络拓扑适应性等4种能力,提出了一种基于布尔网络测绘的时间敏感网络多点故障检测方法。该方法分为离线准备阶段和在线检测阶段。离线准备阶段,检测流生成算法基于网络拓扑生成一组检测流集合。该检测流集合对网络拓扑的边进行覆盖。在线检测阶段,检测包按照预定义路径周期性地从源节点发送到控制器。随后控制器根据每个检测包的到达状态来推断发生故障的链路。实验结果表明,与现有方法相比,所提方法能够在确定的时间内准确地识别出多个故障链路,并且生成的检测路径集更少,满足上述的4种能力。

基于序列特征提取的溯源图上APT攻击检测方法

在真实场景,特别是工业场景下的高级持续性威胁(advanced persistent threat,APT)具有复杂性和长期性,但当前方法无法有效提取攻击中的长期关联关系.针对这一问题,本文提出一种基于溯源图的APT攻击检测方法SeqNet.SeqNet采用序列特征提取方式,实现APT攻击检测.在SeqNet中,首先将描述系统运行状态的溯源图序列转化为特征向量序列,然后使用GRU(gate recurrent unit)模型提取系统状态变化特征,并使用结合局部注意力机制的编解码器模型训练GRU模型,最后利用K-means聚类方法对系统正常行为进行建模.本文在5个公开数据集StreamSpot,wget,shellshock,ClearScope和CADETS上进行了实验,并与当前具有代表性的方法进行了对比.本文方法在5个数据集上都取得了相似或更好的效果.实验结果证明本文方法能够实现真实场景下的APT攻击检测.