发明名称 |
网络中的异常检测的方法 |
摘要 |
为了检测例如用于监视和控制、工业自动化或建筑自动化的控制网络中的异常,采用了一种入侵检测系统技术(英文名称为“intrusion detection system”或IDS),从而对网络通信中按一定顺序的消息的时间顺序和时间间隔进行分析并且将其用来训练异常检测系统。通过获得按一定顺序的消息的时间顺序和节拍能够检测出设备的故障或所受的操纵,以及能够检测出在使用正规的、但却是被攻击者所接管的或有故障的观察站或控制站的情况下所进行的攻击,并且这些攻击无论是利用以内容为基础的方法(借助签名或字节序列分析)还是通过明显的数据通信增长均无法检测出。由此形成了进一步的安全屏障,该安全屏障仍能够对一个其控制网络已经被感染的技术设备进行监视并且(可能通过安全人员报警)来防止可能的破坏行为。 |
申请公布号 |
CN102577305A |
申请公布日期 |
2012.07.11 |
申请号 |
CN201080041207.3 |
申请日期 |
2010.08.12 |
申请人 |
西门子公司 |
发明人 |
延斯-乌韦·布瑟;扬·克斯特纳;迈克尔·蒙策尔特;克里斯托夫·施特尔曼 |
分类号 |
H04L29/06(2006.01)I;G06F21/00(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
北京康信知识产权代理有限责任公司 11240 |
代理人 |
余刚;李慧 |
主权项 |
一种用于控制网络(10)中的异常检测的方法,在所述方法中对微处理器进行编程,以便‑在第一步骤(1)中得出所述控制网络(10)中的通信数据;‑在第二步骤(2)中得出所述通信数据中按一定顺序的消息的时间序列和/或时间间隔并且将所述时间序列和/或时间间隔存储在训练数据(30)中;‑在第三步骤(3)中利用所述训练数据(30)训练异常检测系统(50);‑在第四步骤(4)中得出所述控制网络(10)中的当前通信数据(40);和‑在第五步骤(5)中利用所述异常检测系统(50)检测所述当前通信数据(40)中的所述按一定顺序的消息的时间序列和/或时间间隔与所述训练数据(30)的偏差。 |
地址 |
德国慕尼黑 |