SCADA系统通信网中的高级持续性攻击检测方法  被引量:3

Detection of Advanced Persistent Threats in SCADA Communication Network

在线阅读下载全文

作  者:王传安[1] 张天会 赵海燕[1] 周广新[1] 

机构地区:[1]安徽科技学院 [2]清华同方股份有限公司

出  处:《计算机科学与探索》2015年第3期352-359,共8页Journal of Frontiers of Computer Science and Technology

基  金:安徽省高校自然科学研究项目;安徽科技学院青年科研项目~~

摘  要:高级持续性攻击(advanced persistent threat,APT)作为一种新型攻击,已成为SCADA(supervisory control and data acquisition)系统安全面临的主要威胁,而现有的入侵检测技术无法有效应对这一类攻击,因此研究有效的APT检测模型具有重要的意义。提出了一种新的APT攻击检测方法,该方法在正常日志行为建模阶段改进了对行为模式的表示方式,采用多种长度不同的特征子串表示行为模式,通过基于序列模式支持度来建立正常日志行为轮廓;在充分考虑日志事件时序特征的基础上,针对APT攻击行为复杂多变的特点,提出了基于矩阵相似匹配和判决阈值联合的检测模型。通过对比研究,该检测方法表现出了良好的检测性能。Advanced persistent threat (APT) as a new attack, has become a major threat to the security of SCADA (supervisory control and data acquisition) systems, while the existing intrusion detection technology can not effectively deal with this type of attack, so the research on valid APT detection model is very significant. This paper proposes a new APT attack detection method. In this method, behavior patterns of the logging behavior are characterized by characteristic substring sequences of different lengths, and sequence supports are employed to construct the normal behavior profiles. Considering the complex characteristics of APT attack, this paper proposes a detection model based on similarity matrix matching and preset threshold to determine that the logging behavior is normal or anomalous. Through the comparative analysis, the detection method proposed in this paper shows good detection performance.

关 键 词:SCADA系统 高级持续性攻击(APT) 行为模式 矩阵相似度 

分 类 号:TP393[自动化与计算机技术—计算机应用技术]

 

参考文献:

正在载入数据...

 

二级参考文献:

正在载入数据...

 

耦合文献:

正在载入数据...

 

引证文献:

正在载入数据...

 

二级引证文献:

正在载入数据...

 

同被引文献:

正在载入数据...

 

相关期刊文献:

正在载入数据...

相关的主题
相关的作者对象
相关的机构对象