一、异常入侵检测方法的研究(论文文献综述)
李健[1](2021)在《某实验室工控系统网络入侵检测技术研究》文中指出工业控制系统广泛应用于电力、水利、冶金、石油等行业,它由各种自动化控制设备组件和实时数据采集、监测的网络系统共同构成,是国家关键基础设施的核心,一旦遭受攻击,容易造成国家经济损失,甚至威胁到人民生命财产安全。随着信息化和工业化的逐步融合,工业控制系统内部通信网络逐渐与互联网互联互通,不可避免地打破了工控系统原有的软硬件封闭,容易遭受更多的攻击,因此工业控制系统所受到的网络安全威胁与风险也在不断加大,所以对工业控制系统安全性的研究变得十分迫切,需要以此来确保工控系统的安全运行。入侵检测技术是工业控制系统网络安全中最重要的安全预防措施之一,它能有效检测出已知攻击,提高工业控制系统识别攻击和预警的能力。然而,由于工控系统的实时性要求和设备资源的有限性,现有的工控系统入侵检测方法仍存在一些不足,如检测效率低、无法快速有效识别未知攻击等。因此需要设计合理的入侵检测方法来提高工控系统的入侵检测率、降低漏报率和误报率。本文在现有研究成果的基础上,分析工控系统网络安全特性,针对基于网络流量的入侵检测展开了研究,进行以下主要工作:1)提出了一种基于多种二分类算法结合的特征选择方法,能够实现工控网络数据降维。根据工控网络数据多源性、复杂性和高维性的特点,提出了适用于工业控制系统信息数据降维的特征选择方法。该方法将多种二分类算法相结合,通过包裹式特征过滤,得到新的并且包含主要特征的特征子集。2)对数据进行特征选择后,新的数据集训练基于AdamW优化的神经网络入侵检测模型。首先,选择特征子集,用于入侵检测模型的训练,经训练得到优化后的入侵检测模型,并保存参数设置;然后采用工业控制系统信息入侵检测特性的数据集KDD CUP 99,来验证所设计的入侵检测模型的有效性;实验结果表明,基于AdamW优化的神经网络入侵检测模型比传统入侵检测模型在检测准确率方面有所提升,在漏报率和误报率方面显着下降,同时对降维数据和原始降维数据进行实验对比,实验表明,降维后试验在检测正确率方面提升,提高了0.91%,误报率降低了36.93%,漏报率降低了27.74%,总体来看,降维后的数据能有效地改善模型的性能。同时又比较了Adam与AdamW之间的泛化性,结果表明,改进后的AdamW泛化性比改进前的Adam更加优秀。3)对工业控制网络入侵检测系统的数据可视化设计与实现过程进行了简单的说明,并结合系统结构图和功能图对系统的功能点逐一介绍分析。
钱伟民[2](2021)在《基于机器学习的电力信息网络的入侵检测方法研究》文中研究指明随着互联网技术的飞速发展,网络安全问题也变的更加复杂和多变,在电力信息系统中,各种入侵手段威胁着信息网络环境,而网络安全入侵检测能够从整体上动态检测电力信息网络的安全状况,对电力信息网络环境的维护起到至关重要的作用,其中数据挖掘技术的运用为大规模电力信息网络安全入侵检测研究创造了机遇。目前,基于机器学习的电力信息网络入侵检测方法存在着如下两个问题,第一个是电力信息网络入侵检测数据集中存在的冗余数据和不相关特征会导致网络入侵检测的查准率(precision)下降,第二个是电力信息网络入侵检测数据通常是类别不平衡数据,这会导致对少数类攻击分类的召回率(recall)低。因此,本文以准确率(accuracy)、召回率、查准率和F1_score四个指标进行评估,检测信息网络中的异常攻击,主要完成以下工作:(1)使用机器学习中的RF、GBDT、Ada Boost、XGBoost算法对数据集进行运算,在调优对比后,分析各算法的优缺点,并选择相对较好的随机森林算法(RF)作为后续实验的运用。(2)通过对数据集的算法分析,提出了一种基于递归特征消除主成分分析的OVO(One Versus One)网络入侵检测算法(OVO network intrusion detection algorithm based on recursive feature elimination and principal component analysis,简称RFECV-PCA-OVO),使用以随机森林为评判的递归特征消除法减少特征个数,对其中的消除判断指标作出了改进,使之更符合信息网络数据集的检测要求,再使用主成分分析法降低数据维度,最后使用一对一算法检测模型,实验结果表明对少数攻击类型的查准率得到有效提高,各类评估指标都有所提升。(3)针对数据集的多分类不平衡问题,使用混合方法来进行处理,对少数攻击样本使用SMOTE(Synthetic Minority Oversampling Technique)算法进行数据扩充,对于SMOTE算法扩充的数据容易产生分布边缘化的问题,对其进行改进,使之与K-means算法相结合,保留数据信息的情况下对数据量进行调整,使数据达到相对平衡,最后用上一章的模型进行运算并对比,实验结果表明召回率得到提高,模型检测效果进一步的提升。在KDD CUP99数据集上的实验表明,相对其他模型,本文提出的模型不论是在整个数据集上还是在少数攻击的分类上都取得了很好的效果。
王嘉佩[3](2021)在《工控系统边缘服务安全技术研究》文中指出近年来,信息技术的快速发展以及“互联网+”、“工业4.0”等新概念的提出,使得原本处于隔离状态下的工业控制系统开始更多地接触到外部互联网环境之中,随之而来的攻击工控系统的危害事件也愈演愈烈。对于工业控制系统的信息安全研究变得势不可挡,在边缘服务端进行安全防护设计是其中一个重要的研究方向。为保障工控系统边缘服务不受到外部互联网的攻击,本文旨在研究工控系统边缘服务的信息安全防护技术,设计并实现对于工控边缘服务系统的安全防护。其主要研究内容如下:首先,针对工控系统边缘服务的系统架构,研究数据控制层和处理层通信系统所面临的安全威胁。其中重点分析工控系统中以太网传输所采用的Modbus TCP通信协议的特性和脆弱性,以及工控边缘处理层与云端处理层之间通信系统所采用的MQTT通信协议的安全漏洞。接着对于工控系统上下位机的数据通信安全,主要研究以太网传输的安全性问题。将Modbus TCP通信协议的异常行为概括为三大类,分别是非法协议消息、拒绝服务攻击和扫描威胁服务,并将每一类可用于检测的特征规则都进行详细描述,归纳了总共12种异常行为。由此在工控系统边缘服务端,设计基于Snort的异常流量入侵检测方法,对上下位机数据通信的网络进行实时监测,一旦出现异常行为随时报警。其次对于边缘服务到云端服务之间的通信系统,研究RSA非对称加密算法并在边缘端开发加密程序;对MQTT通信中的明文数据包进行安全传输层协议TLS加密保护,并设计边缘服务侧上客户端身份的认证与授权管理。从这三个方面来防御数据篡改、窃取和中间人攻击,从而保证工控系统边缘端与互联网云端通信的安全。最后,对上述各个安全防护技术进行测试,验证设计的工控系统专用Snort入侵检测的可行性、以及边缘处理层到云端处理层的通信加密。从而保障数据从工控系统以太网传输到边缘处理层再到云端处理层的通信过程都是加密安全、稳定的。
帅隆文[4](2021)在《基于Snort的工业控制系统入侵检测系统设计与实现》文中研究说明工业控制系统作为工业生产中的核心基础设施,广泛应用于能源、化工业、交通等各种国民支柱产业中。由于工业控制系统发展早期并不与互联网连接,在系统和通信协议设计上相对封闭和独立,较少考虑安全问题。随着中国大力发展工业互联网等技术,工业控制系统系统联网暴露组件数量逐年上升。为了应对严峻的工业控制系统安全形势,入侵检测系统经常部署于工控系统边缘。在实际入侵检测系统的应用中,Snort是应用最为广泛、模块化架构、二次开发容易的一种开源入侵检测系统。它采用的检测思想是基于特征的,其缺陷是只能识别已知入侵行为特征的攻击形式。在工业控制系统中,由于它所应用到行业和场景的不同,工控系统通信流量也会呈现出差异性。在对工控系统通信流量做入侵检测时,应当考虑到这种差异性,并对检测的报文内容及其合法值范围做出调整。本文以在工业控制系统中使用最为广泛的Modbus TCP协议为研究对象,使用两种在检测思想上具有本质不同的检测方法,第一种是基于特征的,第二种是基于异常的,研究了Modbus TCP协议的入侵检测问题。本文所做的工作包括如下几个方面。1.从基于特征的入侵检测方法入手,提出了一种白名单访问控制机制与深度包检测技术相结合的入侵检测方法。该方法首先对捕获的工业控制系统正常通信流量进行学习,从而构建出数据包白名单列表,使用白名单访问控制机制过滤掉非法的报文。随后对通过白名单检测的数据包按照功能码类型以及报文是否为请求报文等进行分类,对于不同类别的数据包采用不同的检测依据进行检测。2.在白名单机制与深度包检测技术的实现细节上,考虑到工控系统通信流量的差异性,设计和实现了参数化的iptables规则与Snort检测规则。使用Modbus Poll/Slave等软件搭建跨主机的Modbus主站和从站通信环境。实验结果表明,使用该检测方法能够过滤掉不符合白名单要求的数据包,同时验证了Snort检测规则可以检测出符合检测依据的Modbus TCP异常报文。3.采用基于异常的入侵检测方法思想,提出了一种机器学习与Snort相结合的入侵检测方法,其优点是识别出未知的攻击行为。使用包含真实攻击行为的原始Modbus通信流量,选择了15种Modbus协议特征。通过对流量的解析和预处理构建出在机器学习分类模型上可用的数据集,使用5种分类算法在该数据集上训练、测试和参数寻优,最终确定随机森林为最优分类模型。4.针对Snort不能识别未知攻击行为的问题,设计出一种内置随机森林异常流量检测模型的Snort预处理器,重新编译和配置了Snort,从而实现了Snort与机器学习分类模型的结合。实验结果表明该预处理器可以有效检测到Modbus TCP异常报文。通过该方法扩展了Snort功能,从而使得Snort具备部分使用基于异常的入侵检测方法工作的能力。
唐晨钧[5](2021)在《面向工业控制系统的启发式入侵检测方法研究》文中认为工业控制系统作为以太网与设备控制网络相结合的工程系统,在汽车、电气、石化、制药等多个领域被广泛应用。由于工业控制系统与第二产业紧密结合,是国民经济的重要组成部分,因此,一旦工业控制系统出现安全漏洞,或是遭受网络攻击,将对经济和生产安全造成极大的破坏。因此,如何提高对工业控制系统的安全防护成为了一个重要的研究问题。工业网络入侵检测系统(Intrusion Detection System,IDS)作为工业控制网络安全体系的重要组成部分,能够采取主动防御措施对网络实施监控,并在异常时发出警报。不过,传统的入侵检测系统在面对未知攻击时,容易产生误报;此类入侵检测系统在训练时存在效率不够高,过于依赖人工经验的问题;且检测结果的输出缺乏保护机制。针对以上问题,本文对基于启发式算法的入侵检测方法展开研究,主要进行了如下工作:(1)提出了一种基于FI-HCF算法的特征降维方法。该方法将Spearman相关系数的显着性检验,与基于随机森林的特征重要性计算方法相结合,通过统计各个特征的无关特征组数量,对特征进行预筛选,最终通过随机森林的特征重要性计算方法,实现了特征的递归消除。当入侵检测采用随机森林或决策树类算法时,该方法的降维效果明显。(2)提出了一种改进网格搜索的自适应布谷鸟搜索(Self-adaption Cuckoo combined with improved Grid Search,AC-GS)算法用于解决传统的超参数优化方法效率较低、过于依赖经验的问题。改进后的算法在网格搜索阶段会根据当前局部最优解的分布更新搜索范围,等比例地调整步长;在元启发式搜索阶段采用了新的自适应步长机制,提高了算法的收敛速度。实验结果表明,与现有的超参数调优方法相比,该算法通用性较强,能实现较高的寻优效率。(3)提出了一种基于区块链的入侵检测数据保护方法。本文利用了区块链去中心化,不易篡改的特性,将Hyperledger Fabric联盟链账本作为入侵检测数据的存储实体。同时,根据入侵检测数据结构,设计了专用的智能合约执行存储操作。最终实现了入侵检测数据的防篡改机制,提升了系统数据的安全性和可信度。
刘靖宇[6](2021)在《基于支持向量机的工业物联网入侵检测研究》文中研究指明工业物联网是数字化产业势能的一次世界范围的大变革,其为人类的生存和生活带来了覆地翻天的改变。面对工业物联网的设备和技术的不断更新,数据怎样才能不受威胁成为热点问题,故入侵攻击成为工业物联网网络安全的主要问题之一。从下至上,工业物联网通常具备物理层、通信层和应用层三个层次,不仅在每一层间有大量数据的传输、共享、运算和分析等操作,层与层之间也存在着大量的数据连接和耦合。工业物联网中海量设备间无时无刻的数据通信也为诸多恶意数据提供了可乘之机。以工业物联网的通信层为例,其是连接工业物联网平台和传感器或控制器的关键层,也是整个工业物联网架构中标准化程度最高、产业能力最强和最成熟的部分,其大规模化的发展导致工业物联网通信层的安全问题将受到更多的重视并面临更多的挑战。针对工业物联网在运行时面临的巨大安全风险,本文在工业物联网的基础上,了解目前工业物联网面临的入侵问题,通过应用机器学习的相关算法,展开了基于支持向量机的工业物联网入侵检测研究,提出了两种入侵检测方法和相应的工作流程。通过实验证明了这两种方法都能很好地对工业物联网中的恶意入侵进行检测。本文具体从以下两方面进行研究:1.离线入侵检测中只能在全部信息转发、传递完毕后才对各类数据进行分析,故单纯用一种向量机不能满足对众多类别的恶意数据的检测。针对这类问题,我们根据恶意数据出现的频率,考虑对不同类别的数据采用不同的支持向量机进行识别和检测,提出了一种以支持向量机为基础框架的双重降维异常测验方法。具体来说,我们首先对获取的数据进行数据预处理,包括数值类型转化、数据归一化等,然后使用皮尔逊相关系数和Light GBM对数据的特征进行双重提取,将高维数据转化为低维数据的同时不损失模型的检测精度。其次,我们将数据输入到基于支持向量机的模型中实现对恶意数据的检测和识别。最后用NSLKDD作为数据集进行实验,并将结果与很多新型的入侵检测方法比较,证明了我们的方法在入侵检测中的优越性。2.在线入侵检测可以根据数据的实际动向快速地给出响应,但无法对某种类别数据出现的频率进行准确的统计,所以多支持向量机参与的入侵检测方法已不再适用。基于此,我们提出单支持向量机参与的入侵检测方法--PSO-Light GBM。我们在皮尔逊相关系数、Light GBM的基础上,进一步引入二元粒子群优化(BPSO)算法,使提取出的特征更能准确的描述整个数据集。在建立模型阶段,我们只使用一类支持向量机(OCSVM)进行训练,避免了使用多种支持向量机的不便。在用UNSW-NB15作为数据集的实验验证环节中,实验结果表明我们提出的入侵检测方法在“Normal”和各类恶意数据,尤其是对“Backdoor”、“Shellcode”和“Worms”等小样本数据的检测方面均展现出很高的准确性,与此同时,误报率和模型的训练和检测时间也表现优异。
彭海德[7](2021)在《汽车CAN网络的入侵检测方法研究》文中进行了进一步梳理随着智能网联汽车大规模的应用,其安全性问题也日益凸显,涉及大量数据泄露和汽车破解事件。CAN网络作为车辆重要的底层控制网络,是黑客攻击的首要目标。在CAN网络安全防护技术中,入侵检测技术由于不会造成网络通信延迟而被广泛关注。为此,本文以CAN网络入侵检测技术为研究对象,提出了一种基于ID熵和支持向量机-数据关联性(SVM-DR)的检测方案,设计了车载CAN网络入侵检测装置,能够准确地应对典型CAN网络攻击。论文主要研究内容包括:(1)研究了CAN网络通信原理及其报文格式,分析了CAN网络协议在智能网联背景下的局限性和典型攻击类型后,提出了一种针对周期性报文和非周期性报文的基于ID熵和支持向量机-数据关联性(SVM-DR)的入侵检测方案。(2)针对周期性报文,选取CAN报文的ID标识符作为检测特征,提出了一种基于ID熵的入侵检测方案。在方案中:建立白名单库,对CAN网络中的非法ID进行检测并过滤;结合CAN报文ID信息熵值,分析并判断CAN网络通信的异常状态;采用CAN报文ID相对熵值,对异常报文进行定位。通过该种方案实现了对重放攻击、DoS攻击以及丢弃攻击的准确无误检测,并且能够定位异常报文。(3)针对非周期性及携带重要信息的报文,选取数据域作为检测特征,提出了一种基于支持向量机-数据关联性(SVM-DR)的入侵检测方案,建立了发动机转速、车速、档位、车门锁状态信号的异常检测模型。将CAN报文异常与否(数据关联性存在与否)问题转化为机器学习二分类问题,用于检测篡改攻击。仿真结果显示,该模型对报文的篡改类攻击有很好地检测效果,其检测准确率为97.14%。(4)设计并研制了车载CAN网络入侵检测装置,完成了硬件模块和入侵检测软件的开发。实车(现代i30)实验结果表明,该装置可准确检测重放、DoS、丢弃以及篡改等典型攻击,验证了本文方法的合理性。
张洁[8](2021)在《面向类不均衡数据的网络入侵检测方法研究》文中指出随着互联网的快速发展,信息与通信技术的日益提高,使得基于互联网的服务与应用和人们的生活越来越密不可分。社会网络、经济、医疗保健、工业和科学等领域产生海量数据,加上网络边界的消失以及攻击类型的多样化,增加了网络入侵的风险。如果没有敏捷的安全基础设施,基于物联网技术发展的智能城市将无法可靠运行。网络入侵检测系统(Intrusion Detection System,IDS)已成为监控网络活动和检测入侵事件的重要防线,它能够在一定程度上有效地检测和防止复杂的攻击和威胁。网络入侵检测仍然面临着一些问题,数据和攻击种类的不断增长要求我们开发更加高效、检测率高、误报率低的入侵检测模型。数据信息量大、维度高、类别严重不平衡,训练集和测试集在特征空间中的分布不一致等问题增加了入侵检测系统的计算复杂度、时间复杂度、系统学习复杂度,甚至会占用系统大量资源,导致报警延迟等问题。针对上述问题,本文提出了两种网络入侵检测模型,主要研究内容如下:(1)提出了一种基于Relief F和Borderline-SMOTE算法的两级入侵检测模型。在该模型中,首先利用Relief F算法选择出能更好地表达数据分布不平衡的特征,然后利用Borderline-SMOTE过采样技术对误分类的少数类样本进行过采样。提出的两级入侵检测模型包含两个基分类器。将K近邻算法、决策树C4.5算法和朴素贝叶斯三种不同类型的基分类器成对组合进行实验。实验结果表明提出的模型能较好地处理不均衡的网络入侵检测数据集,少数类样本的检测精度显着提高。(2)提出了一种基于核心向量机的分层网络入侵检测模型。该模型由三个分类器构成,第一个分类器和第二个分类器将数据集的不同特征分类为正常类别和攻击类别。第三个分类器使用前两个分类器的输出结果和初始数据集的特性作为输入。该模型旨在正确分类每一种攻击并提供低误报率和高检测率。模型在NSL-KDD和UNSW-NB15数据集上的实验结果表明该模型明显提高了分类性能,与现有方法相比该模型在准确性、检测率、误报率和时间开销等方面具有竞争优势。
郝雪[9](2021)在《基于PGoogLeNet-IDS模型的入侵检测方法研究》文中研究说明随着5G、互联网、云计算以及其他技术的迅速发展,网络环境日益复杂,且攻击形式日益多样化,也为网络空间安全带来了严峻的考验。网络入侵检测技术采用一种主动防御方式来维护网络的安全,为网络提供实时的监控与动态的保护。面对海量的网络数据,现有的入侵检测模型不仅无法有效处理这些高维且复杂的数据,也难以识别数据样本较少的攻击类型,且模型检测效率低、识别率较差。基于上述问题,本文提出了基于PGoogLeNet-IDS模型的入侵检测系统,本文的主要工作及成果如下:1.针对入侵检测模型难以识别某些攻击,且检测效率较低的问题,提出了一种基于GoogLeNet-IDS模型的入侵检测系统。首先对GoogLeNet模型进行改进使其成为能够处理网络数据的模型。其次,本文构建了基于SENet的轻量级模块-SEDSC模块,用于替换原模型中Inception模块。SE-DSC模块是在深度可分离卷积模块中引入了注意力机制中的SENet模块,其中深度可分离卷积将通道与空间进行完全解耦,在不影响模型检测率的同时减少模型的参数数目来提高模型的检测速度;而SENet模块则是通过提高对当下任务相关特征的关注而摒弃无关或相关性较低特征的关注度来提升模型对特征的提取能力。最后,在NSL-KDD数据集上对模型性能进行验证,实验结果显示,本文提出的模型在检测速度以及检测精度方面都获得了显着的效果。2.在GoogLeNet-IDS模型基础上,继续对网络流量数据样本进行分析,发现正常流量与异常流量的数据样本分布是极度非均衡的,模型难以对少数类样本的特征进行充分学习,导致这些少数类样本的准确率较低和模型分类性能差。为此,提出了基于数据分布非均衡处理的PGoogLeNet-IDS模型。该模型是在GoogLeNet-IDS模型中使用了本文提出的基于多分类的焦点损失函数,通过动态提升少数类样本的权重并降低多数类样本权重的方式来提升模型对各个攻击类型的识别率。通过查看在数据集NSL-KDD以及UNSW-NB15上的测试结果证明了本文提出的PGoogLeNet-IDS模型对各个攻击类型的识别率以及模型整体的分类性能都有了显着的提升。3.基于上述的入侵检测模型,本文构建了基于PGoogLeNet-IDS模型的入侵检测系统,包括数据管理、数据预处理、算法运行、参考文献等重要模块,方便学者对入侵检测技术的具体操作流程、常用数据集、算法以及本文提出的模型进行学习。该系统提供了人性化的操作步骤,实现了入侵检测系统便捷化服务。
王子萌[10](2021)在《面向工业控制网络的入侵检测关键技术研究》文中进行了进一步梳理
二、异常入侵检测方法的研究(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、异常入侵检测方法的研究(论文提纲范文)
(1)某实验室工控系统网络入侵检测技术研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 课题研究背景与研究意义 |
| 1.2 国内外研究现状 |
| 1.2.1 工业控制系统网络安全研究 |
| 1.2.2 工业控制系统入侵检测技术研究现状 |
| 1.3 论文主要内容 |
| 1.4 论文组织结构 |
| 第二章 相关技术研究综述 |
| 2.1 工控系统简介 |
| 2.1.1 工控系统体系 |
| 2.1.2 工业控制系统安全风险分析 |
| 2.2 工业控制系统入侵检测技术 |
| 2.2.1 入侵检测基本概念 |
| 2.2.2 入侵检测技术类型 |
| 2.2.3 入侵检测模型性能评价指标 |
| 2.3 本章小结 |
| 第三章 数据处理 |
| 3.1 数据集的选择 |
| 3.2 数据预处理 |
| 3.3 特征选择 |
| 3.3.1 特征选择概述 |
| 3.3.2 多种二分类算法相结合进行特征筛选 |
| 3.3.3 筛选特征 |
| 3.4 本章小结 |
| 第四章 基于AdamW优化的神经网络入侵检测研究 |
| 4.1 传统神经网络性能影响因素 |
| 4.2 AdamW算法概述 |
| 4.2.1 AdamW算法优势 |
| 4.2.2 AdamW算法结构 |
| 4.3 入侵检测算法设计 |
| 4.4 实验仿真 |
| 4.5 本章小结 |
| 第五章 数据可视化系统 |
| 5.1 系统构成 |
| 5.2 功能测试 |
| 5.3 本章小结 |
| 总结和展望 |
| 参考文献 |
| 致谢 |
| 个人简历及科研成果 |
(2)基于机器学习的电力信息网络的入侵检测方法研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景及意义 |
| 1.2 电力信息网络入侵异常检测研究现状 |
| 1.3 本文研究的主要内容 |
| 1.4 论文结构安排 |
| 第二章 入侵检测相关理论及技术 |
| 2.1 电力信息网络入侵数据挖掘 |
| 2.1.1 数据挖掘概念 |
| 2.1.2 电力信息网络入侵数据挖掘流程 |
| 2.2 电力信息网络入侵数据挖掘相关算法 |
| 2.2.1 随机森林算法 |
| 2.2.2 GBDT算法 |
| 2.2.3 AdaBoost算法 |
| 2.2.4 XGBoost算法 |
| 2.3 数据集介绍及处理 |
| 2.3.1 数据来源及特征 |
| 2.3.2 数据预处理 |
| 2.3.3 实验评估标准 |
| 2.4 本章小结 |
| 第三章 相关算法仿真结果对比 |
| 3.1 实验算法参数及调优 |
| 3.2 仿真效果对比 |
| 3.2.1 各类算法评估对比 |
| 3.2.2 各类攻击检测对比 |
| 3.3 分析各算法优缺点及原因 |
| 3.4 本章小结 |
| 第四章 基于RFECV-PCA-OVO模型的网络入侵检测 |
| 4.1 递归特征消除交叉验证法RFECV |
| 4.2 主成分分析PCA |
| 4.3 OVO分解策略 |
| 4.4 基于RFECV-PCA-OVO网络入侵模型 |
| 4.5 实验结果对比 |
| 4.6 本章小结 |
| 第五章 基于混合模型的不平衡数据处理 |
| 5.1 不平衡数据及特点 |
| 5.2 不平衡数据分类及处理方法 |
| 5.3 K-means算法聚类 |
| 5.4 基于K-means的混合不平衡处理 |
| 5.5 实验效果 |
| 5.6 本章小结 |
| 总结与展望 |
| 参考文献 |
| 致谢 |
| 个人简历、在学期间的研究成果及发表的学术论文 |
(3)工控系统边缘服务安全技术研究(论文提纲范文)
| 摘要 |
| Abstract |
| 1 绪论 |
| 1.1 研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.2.1 国外研究现状 |
| 1.2.2 国内研究现状 |
| 1.3 论文主要研究内容和结构安排 |
| 2 工控系统边缘服务的架构与漏洞分析 |
| 2.1 工控系统边缘服务整体架构 |
| 2.2 工控系统上下位机通信的安全威胁 |
| 2.3 边缘服务端与云端服务通信系统的安全威胁 |
| 2.4 小结 |
| 3 工控系统的专用入侵检测规则设计 |
| 3.1 基于Snort的入侵检测系统 |
| 3.1.1 入侵检测系统 |
| 3.1.2 Snort技术原理 |
| 3.1.3 Snort语法规则 |
| 3.2 Modbus TCP数据包的异常行为 |
| 3.3 设计异常Modbus TCP数据包的Snort规则 |
| 3.4 小结 |
| 4 边缘处理层与云端处理层安全通信系统的设计 |
| 4.1 安全传输层协议TLS与数字证书技术 |
| 4.1.1 TLS安全协议 |
| 4.1.2 基于数字证书的身份认证技术 |
| 4.2 基于TLS的MQTT通信加密 |
| 4.3 边缘服务端的数据加密开发 |
| 4.4 MQTT客户端认证与授权设计 |
| 4.5 小结 |
| 5 工控系统边缘服务安全防护的测试验证 |
| 5.1 工控系统上下位机通信异常检测模块 |
| 5.1.1 模拟工控系统的通信过程 |
| 5.1.2 基于Snort的异常流量检测 |
| 5.2 边缘服务端与云端服务的加密模块 |
| 5.2.1 Open SSL签发证书 |
| 5.2.2 基于TLS的MQTT安全通信加密测试 |
| 5.3 小结 |
| 总结与展望 |
| 参考文献 |
| 致谢 |
(4)基于Snort的工业控制系统入侵检测系统设计与实现(论文提纲范文)
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 课题研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.2.1 工业控制系统安全防护技术研究现状 |
| 1.2.2 国内外工业控制系统入侵检测研究现状 |
| 1.3 论文主要研究内容 |
| 1.4 论文章节安排 |
| 第2章 入侵检测技术与Snort入侵检测系统 |
| 2.1 入侵检测技术研究 |
| 2.1.1 入侵检测过程 |
| 2.1.2 入侵检测技术分类 |
| 2.2 Snort入侵检测系统 |
| 2.2.1 Snort的工作模式 |
| 2.2.2 Snort整体架构与工作流程 |
| 2.2.3 Snort检测规则 |
| 2.2.4 Snort插件机制 |
| 2.3 本章小结 |
| 第3章 基于白名单访问控制机制与深度数据包检测的Modbus入侵检测方法设计与实现 |
| 3.1 Modbus TCP协议概述与安全性分析 |
| 3.1.1 Modbus TCP协议概述 |
| 3.1.2 Modbus TCP协议安全性分析 |
| 3.2 基于白名单访问控制机制与深度包检测的Modbus入侵检测方法的设计 |
| 3.2.1 检测方法架构 |
| 3.2.2 白名单访问控制机制 |
| 3.2.3 Modbus TCP数据包深度检测 |
| 3.3 白名单访问控制机制与Snort检测规则的设计与实现 |
| 3.3.1 白名单访问控制机制的实现 |
| 3.3.2 Snort检测规则的设计与实现 |
| 3.4 实验与分析 |
| 3.4.1 白名单访问控制实验与分析 |
| 3.4.2 Snort检测规则实验 |
| 3.5 本章小结 |
| 第4章 基于机器学习与Snort的Modbus TCP协议入侵检测方法设计与实现 |
| 4.1 入侵检测方法框架 |
| 4.2 Modbus数据集与特征提取 |
| 4.2.1 Modbus数据集概述 |
| 4.2.2 特征提取与数据集构建 |
| 4.3 模型筛选 |
| 4.3.1 评价指标 |
| 4.3.2 最优分类模型筛选 |
| 4.4 基于随机森林的Snort预处理器的设计与实现 |
| 4.5 实验与分析 |
| 4.5.1 预处理器实验一 |
| 4.5.2 预处理器实验二 |
| 4.6 本章小结 |
| 第5章 总结与展望 |
| 5.1 全文总结 |
| 5.2 工作展望 |
| 参考文献 |
| 致谢 |
| 作者简历及攻读学位期间发表的学术论文与研究成果 |
(5)面向工业控制系统的启发式入侵检测方法研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| §1.1 研究背景及意义 |
| §1.2 国内外研究现状 |
| §1.2.1 异常入侵检测方法 |
| §1.2.2 特征降维方法 |
| §1.2.3 基于元启发式算法的优化方法 |
| §1.3 论文研究内容 |
| §1.4 论文组织架构 |
| 第二章 基础知识 |
| §2.1 工业控制系统构成 |
| §2.2 入侵检测技术简介 |
| §2.3 降维方法简介 |
| §2.3.1 特征选择方法 |
| §2.3.2 特征抽取方法 |
| §2.4 启发式搜索算法简介 |
| §2.4.1 布谷鸟搜索算法 |
| §2.4.2 自适应步长的布谷鸟算法 |
| §2.5 联盟链简介 |
| §2.6 本章小结 |
| 第三章 基于FI-HCF的特征降维方法 |
| §3.1 FI-HCF算法设计 |
| §3.2 降维对比实验设计 |
| §3.3 实验分析 |
| §3.4 本章小结 |
| 第四章 基于改进混合算法的超参数优化方法 |
| §4.1 超参数优化的混合算法 |
| §4.1.1 改进的网格搜索算法 |
| §4.1.2 元启发式算法的可行域生成策略 |
| §4.1.3 改进的自适应布谷鸟算法 |
| §4.2 超参数对比实验及分析 |
| §4.2.1 算法测试过程 |
| §4.2.2 超参数优化实验过程 |
| §4.2.3 结果分析 |
| §4.3 本章小结 |
| 第五章 面向工业控制系统的启发式入侵检测模型设计 |
| §5.1 模型总体设计 |
| §5.1.1 启发式入侵检测事件分析器设计 |
| §5.1.2 基于Fabric的事件数据存储单元设计 |
| §5.2 模型实现和分析 |
| §5.2.1 实现过程 |
| §5.2.2 实现效果 |
| §5.2.3 安全性分析 |
| §5.3 本章小结 |
| 第六章 展望与总结 |
| §6.1 论文总结 |
| §6.2 研究展望 |
| 参考文献 |
| 致谢 |
| 作者在攻读硕士期间的主要研究成果 |
(6)基于支持向量机的工业物联网入侵检测研究(论文提纲范文)
| 摘要 |
| abstract |
| 第1章 引言 |
| 1.1 研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.2.1 入侵检测算法的研究现状 |
| 1.2.2 工业物联网入侵检测的研究现状 |
| 1.3 研究内容和组织结构 |
| 1.3.1 研究内容 |
| 1.3.2 组织结构 |
| 1.4 本章小结 |
| 第2章 背景技术及理论基础 |
| 2.1 引言 |
| 2.2 支持向量机 |
| 2.2.1 标准支持向量机 |
| 2.2.2 v-支持向量机 |
| 2.2.3 一类支持向量机 |
| 2.3 粒子群优化 |
| 2.4 Light GBM |
| 2.4.1 基于梯度的单边采样 |
| 2.4.2 互斥特征绑定 |
| 2.4.3 基于直方图的算法 |
| 2.4.4 按叶子生长策略 |
| 2.5 入侵检测系统 |
| 2.6 本章小结 |
| 第3章 离线入侵检测方法 |
| 3.1 引言 |
| 3.2 离线入侵检测方法 |
| 3.3 数据描述 |
| 3.4 数据预处理 |
| 3.4.1 数据转换 |
| 3.4.2 数据标准化 |
| 3.5 特征选择 |
| 3.5.1 皮尔逊相关系数 |
| 3.5.2 Light GBM |
| 3.6 模型建立和训练 |
| 3.7 本章小结 |
| 第4章 在线入侵检测方法 |
| 4.1 引言 |
| 4.2 在线入侵检测框架 |
| 4.3 数据源 |
| 4.4 数据预处理 |
| 4.4.1 数据转换 |
| 4.4.2 特征选择 |
| 4.4.3 数据标准化 |
| 4.4.4 二元粒子群优化(BPSO) |
| 4.5 模型建立和数据检测 |
| 4.6 本章小结 |
| 第5章 实验与分析 |
| 5.1 引言 |
| 5.2 评价指标 |
| 5.3 实验配置 |
| 5.4 实验结果与分析 |
| 5.4.1 离线入侵检测方法 |
| 5.4.2 在线入侵检测方法 |
| 5.5 本章小结 |
| 第6章 总结与展望 |
| 6.1 论文总结 |
| 6.2 工作展望 |
| 参考文献 |
| 致谢 |
| 作者简历及攻读学位期间发表的学术论文与研究成果 |
(7)汽车CAN网络的入侵检测方法研究(论文提纲范文)
| 摘要 |
| Abstract |
| 1 绪论 |
| 1.1 研究背景与意义 |
| 1.1.1 研究背景 |
| 1.1.2 研究意义 |
| 1.2 研究现状 |
| 1.2.1 国外研究现状 |
| 1.2.2 国内研究现状 |
| 1.3 本文研究内容 |
| 2 汽车CAN网络安全分析及方案 |
| 2.1 汽车CAN网络研究 |
| 2.1.1 CAN网络工作原理研究 |
| 2.1.2 车联网下的汽车CAN网络 |
| 2.2 汽车CAN网络信息安全分析 |
| 2.2.1 CAN网络特点及其局限性研究 |
| 2.2.2 CAN网络攻击入口 |
| 2.2.3 CAN网络攻击类型 |
| 2.3 汽车CAN网络安全防护技术及方案研究 |
| 2.3.1 CAN网络入侵检测技术 |
| 2.3.2 本文制定的解决方案 |
| 2.4 小结 |
| 3 基于ID熵的入侵检测方法 |
| 3.1 CAN网络ID熵分析 |
| 3.1.1 CAN网络ID信息熵 |
| 3.1.2 CAN网络ID相对熵 |
| 3.1.3 CAN网络ID熵值特性 |
| 3.2 基于ID熵的入侵检测方案 |
| 3.2.1 CAN网络ID熵理论计算 |
| 3.2.2 基于ID熵的入侵检测方案 |
| 3.3 仿真分析 |
| 3.3.1 CAN网络报文的仿真 |
| 3.3.2 CAN网络ID熵入侵检测模型的标定与训练 |
| 3.3.3 重放攻击模拟与检测 |
| 3.3.4 DoS攻击模拟与检测 |
| 3.3.5 丢弃攻击模拟与检测 |
| 3.4 小结 |
| 4 基于支持向量机-数据关联性的入侵检测方法 |
| 4.1 汽车报文数据关联性分析 |
| 4.2 基于支持向量机-数据关联性的入侵检测方案 |
| 4.2.1 理论建模 |
| 4.2.2 基于支持向量机-数据关联性的入侵检测方案 |
| 4.3 仿真分析 |
| 4.3.1 CAN网络报文的仿真 |
| 4.3.2 篡改攻击的检测模型的训练和测试 |
| 4.4 小结 |
| 5 车载CAN网络入侵检测装置研制与实车验证 |
| 5.1 车载CAN网络入侵检测装置设计 |
| 5.1.1 车载CAN网络入侵检测装置硬件设计 |
| 5.1.2 车载CAN网络入侵检测装置软件设计 |
| 5.2 实验平台搭建 |
| 5.3 实车测试与数据分析 |
| 5.3.1 基于ID熵方案的实车检测及数据分析 |
| 5.3.2 基于SVM-DR方案的实车检测及数据分析 |
| 5.4 小结 |
| 结论 |
| 参考文献 |
| 致谢 |
(8)面向类不均衡数据的网络入侵检测方法研究(论文提纲范文)
| 摘要 |
| Abstract |
| 1 绪论 |
| 1.1 研究背景与意义 |
| 1.2 国内外研究现状 |
| 1.3 本文研究工作 |
| 1.4 论文组织结构 |
| 2 相关工作介绍 |
| 2.1 网络入侵检测 |
| 2.1.1 入侵检测相关概念 |
| 2.1.2 入侵检测基本步骤 |
| 2.1.3 基于数据挖掘的网络入侵检测方法 |
| 2.1.4 入侵检测评价指标 |
| 2.2 分类算法介绍 |
| 2.2.1 K近邻算法 |
| 2.2.2 决策树算法 |
| 2.2.3 朴素贝叶斯分类器 |
| 2.2.4 支持向量机 |
| 2.2.5 随机森林算法 |
| 2.3 数据集介绍 |
| 2.3.1 KDD数据集 |
| 2.3.2 NSL-KDD数据集 |
| 2.3.3 UNSW-NB15 数据集 |
| 3 基于Relief F和 Borderline-SMOTE相结合的网络入侵检测模型 |
| 3.1 引言 |
| 3.2 相关工作 |
| 3.2.1 Relief F算法 |
| 3.2.2 Borderline-SMOTE算法 |
| 3.3 模型设计与描述 |
| 3.4 实验结果与分析 |
| 3.5 本章小结 |
| 4 基于核心向量机的分层入侵检测模型 |
| 4.1 引言 |
| 4.2 相关工作 |
| 4.2.1 Information Gain算法 |
| 4.2.2 NMF算法 |
| 4.2.3 IG与NMF相结合的特征选择算法 |
| 4.2.4 核心向量机 |
| 4.3 模型设计与描述 |
| 4.3.1 训练阶段 |
| 4.3.2 测试阶段 |
| 4.4 实验结果与分析 |
| 4.4.1 实验数据集的处理 |
| 4.4.2 实验结果 |
| 4.5 本章小结 |
| 5 结论与展望 |
| 参考文献 |
| 攻读硕士学位期间发表学术论文情况 |
| 致谢 |
(9)基于PGoogLeNet-IDS模型的入侵检测方法研究(论文提纲范文)
| 中文摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.2.1 入侵检测研究现状 |
| 1.2.2 基于深度学习的入侵检测研究现状 |
| 1.2.3 研究现状分析 |
| 1.3 本文主要工作 |
| 1.4 章节安排 |
| 第二章 相关概念及原理 |
| 2.1 入侵检测技术 |
| 2.1.1 入侵检测概述 |
| 2.1.2 入侵检测系统的检测流程 |
| 2.1.3 入侵检测系统的技术分类 |
| 2.2 基于深度学习的入侵检测模型 |
| 2.2.1 循环神经网络模型 |
| 2.2.2 深度信念网络模型 |
| 2.2.3 卷积神经网络模型 |
| 2.3 本章小结 |
| 第三章 基于GoogLeNet-IDS模型的入侵检测 |
| 3.1 GoogLeNet卷积神经网络模型 |
| 3.1.1 Inception模块 |
| 3.2 基于GoogLeNet-IDS模型的入侵检测 |
| 3.2.1 注意力机制-SENet模块 |
| 3.2.2 深度可分离卷积 |
| 3.2.3 基于SENet轻量级模块-SE DSC模块 |
| 3.2.4 网络模型 |
| 3.3 实验结果与分析 |
| 3.3.1 实验环境 |
| 3.3.2 数据集介绍 |
| 3.3.3 数据预处理 |
| 3.3.4 实验评估指标 |
| 3.3.5 实验结果对比与分析 |
| 3.4 本章小结 |
| 第四章 基于数据分布非均衡处理的PGoogLeNet-IDS模型 |
| 4.1 非均衡数据集 |
| 4.1.1 数据预处理层面 |
| 4.1.2 算法层面 |
| 4.2 基于多任务分类的焦点损失函数 |
| 4.2.1 基于二分类的焦点损失函数 |
| 4.2.2 基于多分类的焦点损失函数 |
| 4.3 实验结果和分析 |
| 4.3.1 实验环境 |
| 4.3.2 数据集介绍 |
| 4.3.3 实验评估指标 |
| 4.3.4 实验结果及其分析 |
| 4.4 本章小结 |
| 第五章 基于PGoogLeNet-IDS模型的入侵检测系统设计与实现 |
| 5.1 系统概述 |
| 5.1.1 系统目标 |
| 5.1.2 系统功能需求 |
| 5.2 开发环境 |
| 5.3 系统概要设计 |
| 5.3.1 用户管理模块 |
| 5.3.2 数据管理模块 |
| 5.3.3 数据预处理模块 |
| 5.3.4 算法运行模块 |
| 5.3.5 参考文献模块 |
| 5.4 本章小结 |
| 第六章 总结与展望 |
| 6.1 本文工作总结 |
| 6.2 本文工作展望 |
| 参考文献 |
| 攻读学位期间取得的研究成果 |
| 致谢 |
| 个人简况及联系方式 |
四、异常入侵检测方法的研究(论文参考文献)
- [1]某实验室工控系统网络入侵检测技术研究[D]. 李健. 福建工程学院, 2021(02)
- [2]基于机器学习的电力信息网络的入侵检测方法研究[D]. 钱伟民. 福建工程学院, 2021(02)
- [3]工控系统边缘服务安全技术研究[D]. 王嘉佩. 大连理工大学, 2021(01)
- [4]基于Snort的工业控制系统入侵检测系统设计与实现[D]. 帅隆文. 中国科学院大学(中国科学院沈阳计算技术研究所), 2021(08)
- [5]面向工业控制系统的启发式入侵检测方法研究[D]. 唐晨钧. 桂林电子科技大学, 2021(02)
- [6]基于支持向量机的工业物联网入侵检测研究[D]. 刘靖宇. 中国科学院大学(中国科学院沈阳计算技术研究所), 2021
- [7]汽车CAN网络的入侵检测方法研究[D]. 彭海德. 大连理工大学, 2021(01)
- [8]面向类不均衡数据的网络入侵检测方法研究[D]. 张洁. 辽宁师范大学, 2021(08)
- [9]基于PGoogLeNet-IDS模型的入侵检测方法研究[D]. 郝雪. 山西大学, 2021(12)
- [10]面向工业控制网络的入侵检测关键技术研究[D]. 王子萌. 北京交通大学, 2021