基于语义向量与OCSVM的工控网络异常行为识别

摘要

为克服基于漏洞库等传统安全防护策略的短板,实现对未知攻击行为的识别和预警.使用时间窗划分和深度包检测技术,将端到端的通信内容转化为控制行为序列.根据工控协议的语义特性,采用语义向量模型将行为序列转化为统一维度的特征向量.基于单类支持向量机(OCSVM)仅使用正常行为样本构造的异常识别模型,克服了无法从生产环境中获得异常样本的困难.对于所仿真出的多种异常行为序列,模型识别的平均准确率能够达到93％以上.