基于设备行为的异常流量检测

为减少异常流量检测技术中流量特征的信息冗余,对不同类型流量多层面进行特征提取,提出一种基于设备行为的异常流量检测技术,对流量数据进行深度学习特征提取,综合提取到的数据时序特征、流量统计特征、协议,得到能够表征设备行为的特征。利用引入注意力机制的长短期记忆网络(long short-term memory,LSTM)训练数据提取时序特征,利用卷积神经网络(convolutional neural network,CNN)模型训练由时序特征矢量、流量统计特征、协议组成的高维流量特征完成深层次特征提取。通过在开源入侵检测数据集上进行实验,验证了该方法的有效性以及准确性。

PGNFuzz:基于指针生成网络的工业控制协议模糊测试框架

工业安全问题一直是重要而紧迫的全球性问题,工控协议被广泛应用于工业控制系统(Industrial Control System, ICS)组件之间的通信,其安全性关系到整个系统的安全稳定运行,迫切需要保证所有工控协议的安全。网络协议模糊测试对保证ICS的安全性和可靠性起着重要的作用,传统的模糊测试方法提高了工控协议的安全性,其中许多方法具有实际应用价值。然而,传统的模糊测试方法严重依赖于工控协议的规范,使得测试过程昂贵、耗时、麻烦和枯燥,如果规范不存在,任务就很难进行。因此,文中提出了一种基于指针生成网络(Pointer-Generator Networks, PGN)的智能且自动的协议模糊测试方法,并给出了一系列的性能指标。在此基础之上,设计了一个自动化智能应用模糊测试框架PGNFuzz,可用于各种工业控制协议。采用Modbus和EtherCAT等几种典型的工控协议对该框架的有效性和效率进行测试,实验结果表明,该方法在便捷性、有效性和效率方面均优于其他通用型模糊器(General Purpose Fuzzer, GPF)和其他基于深度学习的模糊测试方法。