CN116094842B - 网络密码机的状态识别系统及方法 - Google Patents
网络密码机的状态识别系统及方法 Download PDFInfo
- Publication number
- CN116094842B CN116094842B CN202310363355.6A CN202310363355A CN116094842B CN 116094842 B CN116094842 B CN 116094842B CN 202310363355 A CN202310363355 A CN 202310363355A CN 116094842 B CN116094842 B CN 116094842B
- Authority
- CN
- China
- Prior art keywords
- data
- ciphertext
- data packet
- time
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种网络密码机的状态识别系统及方法,数据分流模块用于将从网络密码机向外部数据传输网发送的数据包序列镜像发送至单向采集模块;单向采集模块用于在采集数据包序列中的每个数据包时,记录对应的采集时间,将采集时间作为对应的数据包的报文时间;识别记录模块用于根据携带有报文时间的数据包序列识别网络密码机的状态,得到识别结果。该系统通过数据分流模块将数据包序列镜像拷贝到单向采集模块,由于单向采集模块不会与外部攻击行为产生双向交互,从而外部攻击行为不会控制单向采集模块和识别记录模块,使识别结果不会被篡改,即使网络密码机内部被攻破,也不会影响识别结果的完整性,从而保证了独立于网络密码机的运行安全状态识别记录。
Description
技术领域
本发明涉及通信技术领域,尤其是涉及一种网络密码机的状态识别系统及方法。
背景技术
网络密码机可以通过对网络数据流量进行加密以实现传输数据的安全防护。在网络密码机工作过程中,需要对其状态进行识别,以及时发现异常问题;相关技术中,一般是通过网络密码机上的日志记录对网络密码机的异常状态进行识别,在网络出现故障之后,或者明确网络密码机发生异常之后,工作人员可以利用日志文件回溯分析查找问题。在一些情况下,网络密码机也会内置有实时性的探针程序以采集实时信息,通过内部传输汇聚给内部的实时分析处理平台,以对采集的信息进行分析处理。然而,当网络密码机被攻破后,部署于网络密码机上的日志或者探针监控会被破坏,从而无法还原出真实的攻击发生时间,导致出现网络密码机的运行安全识别记录失效的问题。
发明内容
本发明的目的在于提供一种网络密码机的状态识别系统及方法,以保证对网络密码机的独立的运行安全识别记录。
本发明提供的一种网络密码机的状态识别系统,包括依次连接的数据分流模块、单向采集模块和识别记录模块;网络密码机通过数据分流模块与外部数据传输网连接;数据分流模块用于将从网络密码机向外部数据传输网发送的数据包序列镜像发送至单向采集模块;单向采集模块用于在采集数据包序列中的每个数据包时,记录对应的采集时间,将采集时间作为对应的数据包的报文时间;识别记录模块用于根据携带有报文时间的数据包序列,对网络密码机的状态进行识别,得到识别结果。
进一步的,识别记录模块中包括:与单向采集模块通信连接的流量识别单元;流量识别单元用于:对携带有报文时间的数据包序列按预设单位时间进行划分,得到每个单位时间对应的数据量;预设流量异常判定规则;其中,流量异常判定规则中包括时间范围以及时间范围对应的数据量阈值;汇总属于时间范围的每个单位时间内的数据量,得到时间范围对应的数据总量;如果数据总量超出数据量阈值,确认存在异常,记录异常发生的时间和数据总量,并生成流量异常告警信号。
进一步的,识别记录模块中包括:与单向采集模块通信连接的数据泄漏识别单元;数据泄漏识别单元用于:针对携带有报文时间的数据包序列中的每个数据包,根据该数据包中的协议特征数据,识别该数据包对应的传输协议;其中,传输协议包括:明文传输协议或密文传输协议;按照报文时间的先后顺序,从采用密文传输协议的每个数据包中,选取不超过预设队列容量的数据包汇聚为密文队列;对密文队列中的密文数据进行随机性检测,得到检测结果;如果检测结果指示密文队列中的密文数据存在异常,记录异常发生的时间和密文队列中的密文数据,并生成数据泄漏告警信号。
进一步的,数据泄漏识别单元还用于:将密文队列中,报文时间最早的数据包删除,将密文队列之后的下一个采用密文传输协议的数据包加入到密文队列中,形成新的密文队列;重复执行对密文队列中的密文数据进行随机性检测,得到检测结果;如果检测结果指示密文队列中的密文数据存在异常,记录异常时间和密文队列中的密文数据,并生成数据泄漏告警信号的步骤。
进一步的,数据泄漏识别单元还用于:从采用明文传输协议的数据包中,提取明文输出源地址信息、明文目的地址信息;从采用密文传输协议的数据包中,提取密文输出源地址信息、密文目的地址信息、密文数据和密文长度。
进一步的,识别记录模块中包括:与数据泄漏识别单元通信连接的数据重复识别单元;数据重复识别单元用于:如果新的密文队列中的每个数据包携带有密文序号,将最新加入的数据包的密文序号与新的密文队列中的其他每个数据包的密文序号分别进行比对,得到第一比对结果;其中,不同数据包对应的密文序号不同;如果第一比对结果指示存在重复的密文序号,确认存在异常,记录异常发生的时间和新的密文队列中的密文数据,并生成数据重复告警信号。
进一步的,数据重复识别单元还用于:如果第一比对结果指示不存在重复的密文序号,按预设分组方式,将最新加入的数据包划分为多组子数据包;针对每组子数据包,将该组子数据包与新的密文队列中的每个数据包进行比对,得到第二比对结果;如果第二比对结果指示存在与该子数据包重复的数据包,确认存在异常,记录异常发生的时间和新的密文队列中的密文数据,并生成数据重复告警信号。
进一步的,识别记录模块中还包括:与数据泄漏识别单元通信连接的通联特征识别单元;通联特征识别单元用于:如果网络密码机的当前状态为正常通联状态,且发出的当前数据包为采用密文传输协议的数据包,保持网络密码机的状态为正常通联状态;如果网络密码机的当前状态为正常通联状态,且满足第一指定条件,将网络密码机的当前状态更新为关机状态;其中,第一指定条件包括:预设时间段内未发出采用密文传输协议的数据包;且,当前数据包采用第一指定协议,收方地址匹配当前网络密码机对应的地址,发出的数据包内容为指定内容的次数大于预设次数;第一指定协议包括:ICMP协议或ARP协议;如果网络密码机的当前状态为关机状态,且满足第二指定条件,将网络密码机的当前状态更新为开机状态;其中,第二指定条件包括:当前数据包采用第二指定协议,且发方地址为网络密码机对应的地址;第二指定协议包括:ARP协议、ICMP协议、IP/UDP协议或者IP/TCP协议;如果网络密码机的当前状态为开机状态,且满足第三指定条件,将网络密码机的当前状态更新为正常通联状态;其中,第三指定条件包括:当前数据包为采用密文传输协议的数据包,且发方地址为网络密码机对应的地址。
进一步的,通联特征识别单元还用于:如果网络密码机的当前状态从关机状态切换为开机状态,记录开机时间;使用预设的开机时间阈值进行判定,如果开机时间不满足开机时间阈值,确定为异常开机;如果网络密码机的当前状态从开机状态切换为正常通联状态,计算启动时间间隔;使用预设的启动时间间隔阈值进行判定,如果启动时间间隔不满足启动时间间隔阈值,确定启动异常,记录启动异常的发生时间、启动时间间隔、事件名称;如果网络密码机的当前状态为正常通联状态,记录每个单位时间对应的数据包数量和报文字节数;如果网络密码机的当前状态从正常通联状态切换为关机状态,记录第一关机时间;使用预设的关机时间阈值进行判定,如果第一关机时间不满足关机时间阈值,确定为异常关机;如果网络密码机的当前状态从开机状态切换为关机状态,记录第二关机时间。
本发明提供的一种网络密码机的状态识别方法,方法包括:数据分流模块将从网络密码机向外部数据传输网发送的数据包序列镜像发送至单向采集模块;单向采集模块在采集数据包序列中的每个数据包时,记录对应的采集时间,将采集时间作为对应的数据包的报文时间;识别记录模块根据携带有报文时间的数据包序列,对网络密码机的状态进行识别,得到识别结果。
本发明提供的网络密码机的状态识别系统及方法,数据分流模块用于将从网络密码机向外部数据传输网发送的数据包序列镜像发送至单向采集模块;单向采集模块用于在采集数据包序列中的每个数据包时,记录对应的采集时间,将采集时间作为对应的数据包的报文时间;识别记录模块用于根据携带有报文时间的数据包序列,对网络密码机的状态进行识别,得到识别结果。该系统通过数据分流模块将数据包序列镜像拷贝到单向采集模块,由于单向采集模块不会与外部攻击行为产生双向交互,从而外部攻击行为不会控制单向采集模块和识别记录模块,使识别结果不会被篡改,即使网络密码机被攻破,也不会影响识别结果的完整性,从而保证了独立于网络密码机的运行安全状态识别记录。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种网络密码机的典型部署架构示意图;
图2为本发明实施例提供的一种网络密码机的状态识别系统的架构示意图;
图3为本发明实施例提供的一种网络密码机的状态识别方式的流程示意图;
图4为本发明实施例提供的一种网络密码机的状态识别方法的流程示意图。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
网络密码机(简称密码机),通过对网络数据流量进行加密以实现内部数据的安全防护。在正常使用情况下,由于密码算法的高度安全性,内部数据安全能够得到有效防护。网络密码机典型部署场景如图1所示,如图1为常见的网络密码机典型部署情况,组织内各部分之间的业务数据经过网络密码机加密后在数据传输网上进行传输。各网络密码机连接到数据传输网的部分,称为外部。各网络密码机对内通信的部分,包括本地或者远程的对内通信,统称为内部。
正常情况下,数据是被加密过的,外部攻击者即使能够通过数据传输网截获到网络密码机发出的数据,也难以解密和获取到内部数据。
目前对网络密码机的状态识别一般是通过网络密码机上的日志记录,在网络出现故障之后,或者明确网络密码机发生异常之后,内部人员利用日志文件回溯分析查找问题。在一些情况下,网络密码机也会内置有实时性的探针程序采集实时信息,通过内部传输汇聚给内部的实时分析处理平台,以对采集的信息进行分析处理。
然而,对网络密码机采用日志记录并进行异常识别的方法,存在三个主要缺点,其一是不具有实时性,大多数是一种问题发生后的事后追溯方法。日志记录主要用于开发人员、运维人员进行功能、性能等跟踪记录,其二是在网络密码机被内部或者外部的攻击者攻陷的情况下,日志可能会被篡改,导致发生网络安全事件时难以追溯;其三是日志记录内容和记录方法基本在设备研制时已经确定,网络攻击手法不断发展变化,仅靠日志记录难以实现网络安全管控。
探针监测本质上也是类似于日志监测的方法,相比日志来说实时性更强,采集信息更多更全面。但是其在安全原理上并没有根本性改变,原因其一,如果攻击者能够快速攻陷网络密码机,则攻击者就可能针对探针篡改代码和数据,屏蔽掉探针的作用。其二,探针一般部署在内部多个机器上,联网运行,如果其中一台探针系统被攻击者利用,则存在源于探针系统的信息泄漏和网络全面瘫痪的系统风险。其三,探针采集的信息对于实现网络安全管控的作用也是有限的,通常不可能对所有网络设备采集全部的流量,也就缺乏对网络流量中明密文的深度分析和感知能力。
本质上,日志监测或者探针监测都是在网络内部或者系统内部运行的模块,具有一定安全功能的同时,必然也会占用设备上的计算、存储、带宽等资源,且增加了系统复杂度,为网络环境引入了新的风险点。基于此,本发明实施例提供了一种网络密码机的状态识别系统及方法,该技术可以应用于需要独立地对网络密码设备的状态进行识别的应用中。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种网络密码机的状态识别系统进行介绍,如图2所示,该系统包括:依次连接的数据分流模块20、单向采集模块21和识别记录模块22;网络密码机通过数据分流模块20与外部数据传输网连接;数据分流模块20用于将从网络密码机向外部数据传输网发送的数据包序列镜像发送至单向采集模块21;单向采集模块21用于在采集数据包序列中的每个数据包时,记录对应的采集时间,将采集时间作为对应的数据包的报文时间;识别记录模块22用于根据携带有报文时间的数据包序列,对网络密码机的状态进行识别,得到识别结果。
图2中还包括内部办公设备和内部网络设备,这些设备与网络密码机一起作为内部设备,三种设备依次连接,其中,内部的业务数据经过网络密码机加密后输出,本实施例在网络密码机的外部连接外部数据传输网的部分,添加数据分流模块20,该数据分流模块20可以将通过网络密码机向外部数据传输网发送的全部数据包序列,即全部流量镜像发送给单向采集模块21,相当于将全部数据包序列拷贝一份到单向采集模块21,通过单向采集模块21采集全部数据包序列,该单向采集模块21一般是单向网卡或光通信模块,采集每个数据包时,记录当前采集时间作为该数据包的报文时间,将记录有报文时间的数据包序列发送至识别记录模块22,该识别记录模块22对接收到的记录有报文时间的数据包序列进行分析处理,可以识别网络密码机的状态,得到识别结果,该识别结果可以是状态正常或状态异常等。
上述网络密码机的状态识别系统,数据分流模块用于将从网络密码机向外部数据传输网发送的数据包序列镜像发送至单向采集模块;单向采集模块用于在采集数据包序列中的每个数据包时,记录对应的采集时间,将采集时间作为对应的数据包的报文时间;识别记录模块用于根据携带有报文时间的数据包序列,对网络密码机的状态进行识别,得到识别结果。该系统通过数据分流模块将数据包序列镜像拷贝到单向采集模块,由于单向采集模块不与外部攻击行为产生双向交互,从而外部攻击行为不能控制单向采集模块和识别记录模块,使识别结果不被篡改,即使网络密码机内部被攻破,也不会影响识别结果的完整性,从而保证了独立于网络密码机的运行安全状态识别记录。
进一步的,识别记录模块22中包括:与单向采集模块21通信连接的流量识别单元;流量识别单元用于:对携带有报文时间的数据包序列按预设单位时间进行划分,得到每个单位时间对应的数据量;预设流量异常判定规则;其中,流量异常判定规则中包括时间范围以及时间范围对应的数据量阈值;汇总属于时间范围的每个单位时间内的数据量,得到时间范围对应的数据总量;如果数据总量超出数据量阈值,确认存在异常,记录异常发生的时间和数据总量,并生成流量异常告警信号。
上述预设单位时间可以根据实际需求进行设置,比如,可以按分钟进行划分等;上述数据量可以是数据包数量和报文字节数中的任意一种或全部;相应的,上述数据量阈值可以是数据包数量阈值和报文字节数阈值中的任意一种或全部;上述数据总量可以是数据包总数量和报文总字节数中的任意一种或全部,具体可以根据实际需求选择合适的统计方式。
该流量识别单元可以进行流量分时统计、流量异常判定和流量异常告警,比如,该流量识别单元可以按分钟统计数据包数量、报文字节数,预设流量异常判定规则,比如,流量异常判定规则为“工作时间8点到18点期间流量不超过20GB”、“休息时间18点到第二天早上8点期间流量不超过1GB”等,该流量异常判定规则中通常带有时间范围标识和数据量阈值,如报文总字节数的最大或最小阈值、数据包数量的最大或最小阈值等,根据判定需要,汇总计算出属于该时间范围的每个单位时间内的数据量,得到数据总量,将该数据总量与数据量阈值进行比较,如果该数据总量不满足数据量阈值要求的范围,确认存在异常事件,比如,工作时间(8点到18点期间)流量超过20GB,或者,休息时间(18点到第二天早上8点期间)流量超过1GB等,将该异常事件发生的时间、异常的数据总量等写入到流量异常告警文件或者数据库中,并生成流量异常告警信号,具体告警展示的方法,可结合实际需要通过屏幕本地显示,或者即时消息输出到远端屏幕,在此不作限定。
进一步的,识别记录模块22中包括:与单向采集模块21通信连接的数据泄漏识别单元;数据泄漏识别单元用于:针对携带有报文时间的数据包序列中的每个数据包,根据该数据包中的协议特征数据,识别该数据包对应的传输协议;其中,传输协议包括:明文传输协议或密文传输协议;按照报文时间的先后顺序,从采用密文传输协议的每个数据包中,选取不超过预设队列容量的数据包汇聚为密文队列;对密文队列中的密文数据进行随机性检测,得到检测结果;如果检测结果指示密文队列中的密文数据存在异常,记录异常发生的时间和密文队列中的密文数据,并生成数据泄漏告警信号。
该数据泄露识别单元以单向采集模块21采集的携带有报文时间的全部数据包序列作为输入,根据数据包序列中,每个数据包中的协议特征数据,识别出ARP(AddressResolution Protocol,地址解析协议)、ICMP(Internet Control Message Protocol,Internet控制报文协议)、IP(Internet Protocol,国际互联协议)、TCP(TransmissionControl Protocol,传输控制协议)、UDP(User Datagram Protocol,用户数据报协议)等已知明文协议,同时识别出网络密码机所使用的密文传输协议。上述ARP、ICMP、IP、TCP、UDP均为RFC(Request For Comments,是一系列以编号排定的文件)文档中定义的标准网络协议,对网络数据报,可以按照RFC文档中协议字段进行匹配并识别。
从采用密文传输协议的每个数据包中,选取满足预设队列容量的数据包汇聚为密文队列;比如,设定队列容量的大小为1000个数据包,按照报文时间从先到后的顺序,从采用密文传输协议的每个数据包中,选取前1000个数据包,汇聚形成密文队列;该队列容量的大小可以根据计算处理能力、流量等进行调整,在此不作限定。将密文队列中的每个数据包的报头、报尾去掉,保留纯密文数据,其中,报头和报尾中,通常包含报文计数器值、报文校验值等部分数据,和实际明文不具有直接的对应关系。
采用国家标准(GB/T 32915-2016)或者国际标准(NIST Special Publication800-22)的随机性检测算法进行密文随机性检测,具体的,可以根据标准中所列的若干个算法进行计算,按照国家或国际标准中现有的随机性异常判定方法,将计算出的随机性计算结果与预设的随机性异常阈值进行对比,以进行异常判定,当随机性计算结果超出随机性异常阈值时,认定为异常,具体检测方式可以参考相关技术,在此不再赘述。当判定有异常时,可以将异常发生的时间、该批次完整密报(即1000个数据包组成的当前的密文队列)作为数据泄漏状态异常告警的内容,存入数据库或者写入文件,并生成数据泄漏告警信号进行告警。
进一步的,数据泄漏识别单元还用于:将密文队列中,报文时间最早的数据包删除,将密文队列之后的下一个采用密文传输协议的数据包加入到密文队列中,形成新的密文队列;重复执行对密文队列中的密文数据进行随机性检测,得到检测结果;如果检测结果指示密文队列中的密文数据存在异常,记录异常时间和密文队列中的密文数据,并生成数据泄漏告警信号的步骤。
当有新的数据包时,上述密文队列按照先进先出的队列算法,将队列中时间最早的数据包剔除,并在队列尾部加入该新的数据包,形成新的密文队列,此时可以重复执行上述随机性检测的步骤,以判断新的密文队列中是否存在异常。
进一步的,数据泄漏识别单元还用于:从采用明文传输协议的数据包中,提取明文输出源地址信息、明文目的地址信息;从采用密文传输协议的数据包中,提取密文输出源地址信息、密文目的地址信息、密文数据和密文长度。
具体的,数据泄漏识别单元可以对采用明文传输协议的数据包提取出协议数据中的地址信息,如明文输出源地址信息、明文目的地址信息;如果还存在端口、序号、报长等信息,则可以根据实际需求提取出相应信息;对密文传输协议,主要提取、汇聚密文,形成密文队列,可以从密文传输协议的数据包中,提取密文输出源地址信息、密文目的地址信息、密文数据和密文长度,如果还存在密文端口信息、密文报文序号,则可以根据实际需求提取出相应信息。比如,协议识别算法伪代码可以如下:
输入:数据报
如果是ARP协议,输出报文时间,ARP协议中发方地址和发方MAC地址。
如果是IP协议,则
{
如果是ICMP协议,则
{
输出源IP地址、目的IP地址,ICMP协议类型(Request或Reply等)。
}
如果是TCP协议,则
{
如果是TCP承载的密文传输协议,则
{
输出源IP地址、目的IP地址、IP报文序号、密文数据、密文长度。
}
}
如果是UDP协议,则
{
如果是UDP承载的密文传输协议,则
{
输出源IP地址、目的IP地址、IP报文序号、密文数据、密文长度。
}
}
如果是IP直接承载的密文传输协议,则
{
输出源IP地址、目的IP地址、IP报文序号、密文数据、密文长度。
}
}
进一步的,识别记录模块22中包括:与数据泄漏识别单元通信连接的数据重复识别单元;数据重复识别单元用于:如果新的密文队列中的每个数据包携带有密文序号,将最新加入的数据包的密文序号与新的密文队列中的其他每个数据包的密文序号分别进行比对,得到第一比对结果;其中,不同数据包对应的密文序号不同;如果第一比对结果指示存在重复的密文序号,确认存在异常,记录异常发生的时间和新的密文队列中的密文数据,并生成数据重复告警信号。
该数据重复识别单元的输入为上述汇聚的新的密报队列;在实际实现时,如果新的密文队列中的每个数据包携带有密文序号,如携带有报头序号,或者报尾序号,或者同时存在报头序号和报尾序号,则可以将最新入队的数据包的密文序号与密文队列中之前的(1000-1)份密报的密文序号进行比对,比如,如果存在报头序号,则将报头序号一一进行比对,如果存在报尾序号,则将报尾序号一一进行比对等,经过比对,如果存在与最新加入的数据包的密文序号重复的密文序号,则认为存在重复异常,将异常发生的时间,该批次完整密报(即1000个数据包组成的当前的密文队列)作为报文重发异常告警的内容,存入数据库或者写入文件,并生成数据重复告警信号。
进一步的,数据重复识别单元还用于:如果第一比对结果指示不存在重复的密文序号,按预设分组方式,将最新加入的数据包划分为多组子数据包;针对每组子数据包,将该组子数据包与新的密文队列中的每个数据包进行比对,得到第二比对结果;如果第二比对结果指示存在与该子数据包重复的数据包,确认存在异常,记录异常发生的时间和新的密文队列中的密文数据,并生成数据重复告警信号。
如果不存在与最新加入的数据包的密文序号重复的密文序号,需要进一步按照分组方式确认是否存在重复。具体的,可以将最新加入队列的数据包按预设分组方式,比如,可以按照8字节分组,得到多组子数据包,将每组子数据包分别与新的密文队列中的每个数据包进行循环比对,查找在1000份数据包中是否存在重复的分组,如果有重复,则认为存在重复异常。比如,密文队列中加入新的数据包后,累积构成1000份数据包。设新入队数据包按照8字节分组,共有N组,则对N中每一个分组数据,在1000份密报中按8字节分组进行比对搜索,如果经比对,确认存在大于1个的重复结果,则认为存在重复异常。将异常发生的时间,该批次完整密报(即1000个数据包组成的当前的密文队列)作为报文重发异常告警的内容,存入数据库或者写入文件,并生成数据重复告警信号。
进一步的,识别记录模块22中还包括:与数据泄漏识别单元通信连接的通联特征识别单元;通联特征识别单元用于:如果网络密码机的当前状态为正常通联状态,且发出的当前数据包为采用密文传输协议的数据包,保持网络密码机的状态为正常通联状态;如果网络密码机的当前状态为正常通联状态,且满足第一指定条件,将网络密码机的当前状态更新为关机状态;其中,第一指定条件包括:预设时间段内未发出采用密文传输协议的数据包;且,当前数据包采用第一指定协议,收方地址匹配当前网络密码机对应的地址,发出的数据包内容为指定内容的次数大于预设次数;第一指定协议包括:ICMP协议或ARP协议;如果网络密码机的当前状态为关机状态,且满足第二指定条件,将网络密码机的当前状态更新为开机状态;其中,第二指定条件包括:当前数据包采用第二指定协议,且发方地址为网络密码机对应的地址;第二指定协议包括:ARP协议、ICMP协议、IP/UDP协议或者IP/TCP协议;如果网络密码机的当前状态为开机状态,且满足第三指定条件,将网络密码机的当前状态更新为正常通联状态;其中,第三指定条件包括:当前数据包为采用密文传输协议的数据包,且发方地址为网络密码机对应的地址。
具体的,可以利用数据泄漏识别单元识别出的明文和密文队列,识别密码机处于开机、关机、启动中、正常通联等不同状态。具体算法可以如下:
如果网络密码机的当前状态为正常通联,当前报文为密报,则当前状态更新后仍为正常通联,将密报的加密数据长度累加到加密信道按分钟流量总数上,按分钟流量报文计数加1。
如果网络密码机的当前状态为正常通联,同时满足以下条件,则当前状态更新为关机状态: (1)1分钟之内无发出密报;(2)当前报文为ICMP报文或ARP报文,收方地址匹配当前网络密码机的地址和MAC地址,内容为Request,且该情况出现次数大于2次。
如果网络密码机的当前状态为关机,满足以下条件之一时,当前状态更新为开机状态:(1)当前报文为ARP或ICMP报文,发方地址匹配当前网络密码机的地址和MAC(MediaAccess Control Address,媒体访问控制,或称为物理地址、硬件地址,用来定义网络设备的位置)地址;(2)当前报文为IP/UDP或IP/TCP报文,发方地址匹配当前网络密码机的地址和MAC地址。
如果当前状态为开机状态,满足以下条件时当前状态更新为正常通联状态:当前报文为密报,发方地址匹配当前网络密码机的地址和MAC地址。满足以下条件时当前状态更新为关机状态:(1)1分钟内无发出密报;(2)当前报文为ICMP报文或ARP报文,收方地址匹配当前网络密码机的地址和MAC地址,内容为Request,且该情况出现次数大于2次。
需要说明的是,本实施例中设定的状态更新时间间隔1分钟,此值不唯一,可以根据网络密码机实际性能进行重新调整。
进一步的,通联特征识别单元还用于:如果网络密码机的当前状态从关机状态切换为开机状态,记录开机时间;使用预设的开机时间阈值进行判定,如果开机时间不满足开机时间阈值,确定为异常开机;如果网络密码机的当前状态从开机状态切换为正常通联状态,计算启动时间间隔;使用预设的启动时间间隔阈值进行判定,如果启动时间间隔不满足启动时间间隔阈值,确定启动异常,记录启动异常的发生时间、启动时间间隔、事件名称;如果网络密码机的当前状态为正常通联状态,记录每个单位时间对应的数据包数量和报文字节数;如果网络密码机的当前状态从正常通联状态切换为关机状态,记录第一关机时间;使用预设的关机时间阈值进行判定,如果第一关机时间不满足关机时间阈值,确定为异常关机;如果网络密码机的当前状态从开机状态切换为关机状态,记录第二关机时间。
通联特征识别单元还可以进行不同状态下的异常识别和报告;如果网络密码机的状态为从关机切换到开机状态,则记录开机时间,并将该开机时间与预设的开机时间阈值进行比对判断,如果不满足开机时间阈值,则识别为异常开机。通常正常开机和异常开机的识别结果都可以通过密码机开机报告模块,写入开机报告文件或者数据库。
如果网络密码机的状态为从开机切换到正常通联,则计算开机事件到正常通联事件的启动时间间隔,将该启动时间间隔与预设的启动时间间隔阈值进行比对判断,如果不满足启动时间间隔阈值,则识别为启动异常,启动异常事件识别的结果包括异常发生时间、启动时长、事件名称等,通过密码机启动异常告警模块,将识别结果写入启动异常告警文件或者数据库。
如果网络密码机的状态为正常通联状态,则累加记录每分钟加密通道中密报个数和密报总量,通过密码机正常通联记录模块,写入密码机正常通联记录文件或者数据库。
如果网络密码机的状态为正常通联状态切换到关机状态,则记录第一关机时间,将该第一关机时间与预设的关机时间阈值进行比对判断,如果不满足关机时间阈值,则识别为异常关机;在实际实现时,还可以记录关机次数,将该关机次数与预设的时间段内关机次数阈值进行比对判断,如果不符合预设的时间段内关机次数阈值,则识别为异常关机。通常正常关机和异常关机的识别结果都可以通过密码机关机报告模块,写入关机报告文件或者数据库。
如果为开机状态直接切换到关机状态,也记录第二关机时间,通过密码机关机报告模块,写入关机报告文件或数据库。
需要说明的是,本实施例中,单向采集模块21和识别记录模块22的划分不是唯一的,主要功能包括采集、识别、异常判定和记录,可能存在其它组合和命名方法。该方案主要解决了目前网络密码机监控技术中存在的典型安全缺陷,即当网络密码机内部被攻破后,当前部署于网络密码机上的日志或者探针监控会被破坏,从而无法还原出真实的攻击发生时间,导致整体安全监控失效的问题。
本方案提供的基于外部流量的网络密码机的状态识别方式,通过对密码机外部流量中明密文深度分析,实现对网络密码机的状态异常的监控,及时监测感知疑似网络攻击对网络密码机造成的运行状态改变,通过即时发出告警信息,协助管理人员排查风险,确保密码机安全稳定运行。该方式实现了一种在不引入新的风险点情况下的网络密码机运行安全监控手段,基于带外式流量的分析,以及基于单向数据导入的深入分析,防止了安全状态识别记录被删除;通过对网络密码机状态的实时识别记录,可以及时感知异常,起到了代替日志和探针监控的作用。
为进一步理解上述实施例,下面提供如图3所示的一种网络密码机的状态识别方式的流程示意图,在采集到外部数据包序列后,可以进行流量分时统计、流量异常判定、流量异常告警、流量协议识别、密报随机性分析、数据泄漏告警、报间重复性统计、报文重发告警、密码机通联特征识别、密码机启动报告、密码机关机报告、密码机正常通联记录、密码机启动异常告警等13个部分;其中,流量分时统计、流量异常判定和流量异常告警的具体执行过程可参考前述流量识别单元的相关描述;流量协议识别、密报随机性分析和数据泄漏告警可以参考前述数据泄漏识别单元的相关描述;报间重复性统计和报文重发告警可以参考前述数据重复识别单元的相关描述;密码机通联特征识别、密码机启动报告、密码机关机报告、密码机正常通联记录和密码机启动异常告警可以参考前述通联特征识别单元的相关描述,在此不再赘述。
再比如,针对带VPN功能的路由器(简称VPN路由器),在只启用远程点到点VPN(Virtual Private Network,虚拟专用网络)功能情况下,它就可以被视作一台网络密码机。假设上海公司和北京公司基于此点对点VPN构建了加密通道,实施该技术方法时,以北京公司为例,首先是将该VPN功能的路由器连接电信网的线路进行断开,接入数据镜像交换机的一个端口,然后将电信网线路连接到数据镜像交换机的另一个端口。下一步是将数据镜像交换机的输出口连接到单向采集模块21。在识别记录模块22中配置要识别记录的北京本地此VPN路由器设备的网络地址和MAC。此时识别记录就可以对北京的VPN路由器输出的明文密文进行深度分析,持续跟踪记录状态异常。运维管理人员可以通过查看异常记录文件或者数据库,随时了解异常情况;也可以通过文件内容处理方法,将异常结果及时显示到大屏幕。
本方案通过明文密文的深度分析,实现了对网络密码机状态的识别记录,包括开机、正常通联、关机等运行状态下,以及针对加密数据的敏感数据泄漏、报文重发,针对流量管控的明文密文流量统计异常等。具有的优点包括:(1)覆盖了常见的明文、密文和流量识别方法,能够有效感知针对网络密码机的攻击行为,以及网络密码机运行时可能存在的自身缺陷和风险;(2)状态建模所提出的3种状态,以及对应判定规则,对于网络密码机没有特殊要求,具有广泛的普适性。
上述网络密码机的状态识别系统采用单向采集模块21的方式,避免了与外部网络的交互式通信,具有的优点包括(1)只通过数据分流模块20将实时流量镜像拷贝一份到单向采集模块21,没有数据输出到外部网络和密码机,不影响网络密码机与外部网络的通信;(2)因为控制需要双向交互,这种部署不具备条件,外部攻击行为不能控制单向采集模块21和识别记录模块22,识别结果记录不会被篡改,能够起到更为有效的安全状态识别记录效果。
本方案针对常规网络密码机安全监控可能存在的面对攻击时失效的问题,创新基于单向、旁路采集的网络密码机外部流量实时明密文综合分析以识别异常状态的方法,改进了识别记录技术,提供了一种不受攻击所篡改的识别记录技术。该方式不同于以往采用日志或者探针进行内部监控的方法,能够不引入新的风险、不增加密码系统复杂性、不影响密码系统运行,独立于网络密码机部署到外部网络传输环节。在当前密码运行安全越来越重要的时期,具有较大的应用前景和经济效益。
另外,本方案创新提出从明文、密文和网络流量等三个方面进行识别记录的方法,解决了独立于网络密码机实施密码运行安全状态识别记录的难题,该方式针对网络密码机的运行时缺陷导致的风险,以及由于外部攻击和威胁导致的状态变化,进行了针对性设计,有助于提升网络密码机的实时防御感知能力。
本发明实施例提供了一种网络密码机的状态识别方法,如图4所示,方法包括:
步骤S402,数据分流模块将从网络密码机向外部数据传输网发送的数据包序列镜像发送至单向采集模块;
步骤S404,单向采集模块在采集数据包序列中的每个数据包时,记录对应的采集时间,将采集时间作为对应的数据包的报文时间;
步骤S406,识别记录模块根据携带有报文时间的数据包序列,对网络密码机的状态进行识别,得到识别结果。
上述网络密码机的状态识别方法,数据分流模块用于将从网络密码机向外部数据传输网发送的数据包序列镜像发送至单向采集模块;单向采集模块用于在采集数据包序列中的每个数据包时,记录对应的采集时间,将采集时间作为对应的数据包的报文时间;识别记录模块用于根据携带有报文时间的数据包序列,对网络密码机的状态进行识别,得到识别结果。该方式通过数据分流模块将数据包序列镜像拷贝到单向采集模块,由于单向采集模块不会与外部攻击行为产生双向交互,从而外部攻击行为不会控制单向采集模块和识别记录模块,使识别结果不会被篡改,即使网络密码机内部被攻破,也不会影响识别结果的完整性,从而保证了独立于网络密码机的运行安全状态识别记录。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (1)
1.一种网络密码机的状态识别系统,其特征在于,包括依次连接的数据分流模块、单向采集模块和识别记录模块;所述网络密码机通过所述数据分流模块与外部数据传输网连接;
所述数据分流模块用于将从所述网络密码机向所述外部数据传输网发送的数据包序列镜像发送至所述单向采集模块;
所述单向采集模块用于在采集所述数据包序列中的每个数据包时,记录对应的采集时间,将所述采集时间作为对应的数据包的报文时间;
所述识别记录模块用于根据携带有报文时间的数据包序列,对所述网络密码机的状态进行识别,得到识别结果;
所述识别记录模块中包括:与所述单向采集模块通信连接的流量识别单元;所述流量识别单元用于:
对携带有报文时间的数据包序列按预设单位时间进行划分,得到每个单位时间对应的数据量;
预设流量异常判定规则;其中,所述流量异常判定规则中包括时间范围以及所述时间范围对应的数据量阈值;
汇总属于所述时间范围的每个单位时间内的数据量,得到所述时间范围对应的数据总量;
如果所述数据总量超出所述数据量阈值,确认存在异常,记录异常发生的时间和所述数据总量,并生成流量异常告警信号;
所述识别记录模块中包括:与所述单向采集模块通信连接的数据泄漏识别单元;所述数据泄漏识别单元用于:
针对携带有报文时间的数据包序列中的每个数据包,根据该数据包中的协议特征数据,识别该数据包对应的传输协议;其中,所述传输协议包括:明文传输协议或密文传输协议;
按照所述报文时间的先后顺序,从采用所述密文传输协议的每个数据包中,选取不超过预设队列容量的数据包汇聚为密文队列;
对所述密文队列中的密文数据进行随机性检测,得到检测结果;
如果所述检测结果指示所述密文队列中的密文数据存在异常,记录异常发生的时间和所述密文队列中的密文数据,并生成数据泄漏告警信号;
所述数据泄漏识别单元还用于:
将所述密文队列中,报文时间最早的数据包删除,将所述密文队列之后的下一个采用所述密文传输协议的数据包加入到所述密文队列中,形成新的密文队列;
重复执行对所述密文队列中的密文数据进行随机性检测,得到检测结果;如果所述检测结果指示所述密文队列中的密文数据存在异常,记录异常时间和所述密文队列中的密文数据,并生成数据泄漏告警信号的步骤;
所述数据泄漏识别单元还用于:
从采用所述明文传输协议的数据包中,提取明文输出源地址信息、明文目的地址信息;
从采用所述密文传输协议的数据包中,提取密文输出源地址信息、密文目的地址信息、密文数据和密文长度;
所述识别记录模块中包括:与所述数据泄漏识别单元通信连接的数据重复识别单元;所述数据重复识别单元用于:
如果所述新的密文队列中的每个数据包携带有密文序号,将最新加入的数据包的密文序号与所述新的密文队列中的其他每个数据包的密文序号分别进行比对,得到第一比对结果;其中,不同数据包对应的密文序号不同;
如果所述第一比对结果指示存在重复的密文序号,确认存在异常,记录异常发生的时间和所述新的密文队列中的密文数据,并生成数据重复告警信号;
所述数据重复识别单元还用于:
如果所述第一比对结果指示不存在重复的密文序号,按预设分组方式,将最新加入的数据包划分为多组子数据包;
针对每组子数据包,将该组子数据包与所述新的密文队列中的每个数据包进行比对,得到第二比对结果;
如果所述第二比对结果指示存在与该子数据包重复的数据包,确认存在异常,记录异常发生的时间和所述新的密文队列中的密文数据,并生成数据重复告警信号;
所述识别记录模块中还包括:与所述数据泄漏识别单元通信连接的通联特征识别单元;所述通联特征识别单元用于:
如果所述网络密码机的当前状态为正常通联状态,且发出的当前数据包为采用密文传输协议的数据包,保持所述网络密码机的状态为正常通联状态;
如果所述网络密码机的当前状态为正常通联状态,且满足第一指定条件,将所述网络密码机的当前状态更新为关机状态;其中,所述第一指定条件包括:预设时间段内未发出采用密文传输协议的数据包;且当前数据包采用第一指定协议,收方地址匹配当前网络密码机对应的地址,发出的数据包内容为指定内容的次数大于预设次数;所述第一指定协议包括:ICMP协议或ARP协议;
如果所述网络密码机的当前状态为关机状态,且满足第二指定条件,将所述网络密码机的当前状态更新为开机状态;其中,所述第二指定条件包括:所述当前数据包采用第二指定协议,且发方地址为所述网络密码机对应的地址;所述第二指定协议包括:ARP协议、ICMP协议、IP/UDP协议或者IP/TCP协议;
如果所述网络密码机的当前状态为开机状态,且满足第三指定条件,将所述网络密码机的当前状态更新为正常通联状态;其中,所述第三指定条件包括:所述当前数据包为采用密文传输协议的数据包,且发方地址为所述网络密码机对应的地址;
所述通联特征识别单元还用于:
如果所述网络密码机的当前状态从关机状态切换为开机状态,记录开机时间;使用预设的开机时间阈值进行判定,如果所述开机时间不满足所述开机时间阈值,确定为异常开机;
如果所述网络密码机的当前状态从开机状态切换为正常通联状态,计算启动时间间隔;使用预设的启动时间间隔阈值进行判定,如果所述启动时间间隔不满足所述启动时间间隔阈值,确定启动异常,记录启动异常的发生时间、所述启动时间间隔、事件名称;
如果所述网络密码机的当前状态为正常通联状态,记录每个单位时间对应的数据包数量和报文字节数;
如果所述网络密码机的当前状态从正常通联状态切换为关机状态,记录第一关机时间;使用预设的关机时间阈值进行判定,如果所述第一关机时间不满足所述关机时间阈值,确定为异常关机;
如果所述网络密码机的当前状态从所述开机状态切换为关机状态,记录第二关机时间。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310363355.6A CN116094842B (zh) | 2023-04-07 | 2023-04-07 | 网络密码机的状态识别系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310363355.6A CN116094842B (zh) | 2023-04-07 | 2023-04-07 | 网络密码机的状态识别系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116094842A CN116094842A (zh) | 2023-05-09 |
CN116094842B true CN116094842B (zh) | 2023-06-06 |
Family
ID=86187244
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310363355.6A Active CN116094842B (zh) | 2023-04-07 | 2023-04-07 | 网络密码机的状态识别系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116094842B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101119201A (zh) * | 2007-05-30 | 2008-02-06 | 北京润汇科技有限公司 | 一种通过dhcp扩展实现会话控制和时长采集的方法 |
US9942051B1 (en) * | 2013-03-15 | 2018-04-10 | Poltorak Technologies Llc | System and method for secure relayed communications from an implantable medical device |
CN110149343A (zh) * | 2019-05-31 | 2019-08-20 | 国家计算机网络与信息安全管理中心 | 一种基于流的异常通联行为检测方法和系统 |
CN110691064A (zh) * | 2018-09-27 | 2020-01-14 | 国家电网有限公司 | 一种现场作业终端安全接入防护和检测系统 |
CN114826727A (zh) * | 2022-04-22 | 2022-07-29 | 南方电网数字电网研究院有限公司 | 流量数据采集方法、装置、计算机设备、存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10904012B1 (en) * | 2020-07-12 | 2021-01-26 | Fraudmarc Inc. | Email authentication and data integrity validation |
-
2023
- 2023-04-07 CN CN202310363355.6A patent/CN116094842B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101119201A (zh) * | 2007-05-30 | 2008-02-06 | 北京润汇科技有限公司 | 一种通过dhcp扩展实现会话控制和时长采集的方法 |
US9942051B1 (en) * | 2013-03-15 | 2018-04-10 | Poltorak Technologies Llc | System and method for secure relayed communications from an implantable medical device |
CN110691064A (zh) * | 2018-09-27 | 2020-01-14 | 国家电网有限公司 | 一种现场作业终端安全接入防护和检测系统 |
CN110149343A (zh) * | 2019-05-31 | 2019-08-20 | 国家计算机网络与信息安全管理中心 | 一种基于流的异常通联行为检测方法和系统 |
CN114826727A (zh) * | 2022-04-22 | 2022-07-29 | 南方电网数字电网研究院有限公司 | 流量数据采集方法、装置、计算机设备、存储介质 |
Non-Patent Citations (2)
Title |
---|
机器学习的安全问题及隐私保护;魏立斐;陈聪聪;张蕾;李梦思;陈玉娇;王勤;;计算机研究与发展(10);全文 * |
特殊网络流量识别综述;曹诗敏;王娟;;电脑知识与技术(17);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN116094842A (zh) | 2023-05-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9848004B2 (en) | Methods and systems for internet protocol (IP) packet header collection and storage | |
CN106411562B (zh) | 一种电力信息网络安全联动防御方法及系统 | |
US7903566B2 (en) | Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data | |
US7995496B2 (en) | Methods and systems for internet protocol (IP) traffic conversation detection and storage | |
US8726382B2 (en) | Methods and systems for automated detection and tracking of network attacks | |
US6775657B1 (en) | Multilayered intrusion detection system and method | |
US8918875B2 (en) | System and method for ARP anti-spoofing security | |
US8762515B2 (en) | Methods and systems for collection, tracking, and display of near real time multicast data | |
CN114567463B (zh) | 一种工业网络信息安全监测与防护系统 | |
EP4016953A1 (en) | Network traffic monitoring | |
CN104038466B (zh) | 用于云计算环境的入侵检测系统、方法及设备 | |
JP7079721B2 (ja) | ネットワーク異常検知装置、ネットワーク異常検知システム及びネットワーク異常検知方法 | |
CN108270716A (zh) | 一种基于云计算的信息安全审计方法 | |
GB2382283A (en) | a three-layered intrusion prevention system for detecting network exploits | |
Kaushik et al. | Network forensic system for port scanning attack | |
JP2008507222A (ja) | ネットワーク上での不正なスキャンニングを検出するための方法、システムおよびコンピュータ・プログラム | |
CN116094842B (zh) | 网络密码机的状态识别系统及方法 | |
Sivaprasad | Secured proactive network forensic framework | |
Kotsiuba et al. | Basic forensic procedures for cyber crime investigation in smart grid networks | |
CN113794590B (zh) | 处理网络安全态势感知信息的方法、装置及系统 | |
CN108111476B (zh) | C&c通道检测方法 | |
CN114172881B (zh) | 基于预测的网络安全验证方法、装置及系统 | |
Rekhis et al. | Visibility: a novel concept for characterising provable network digital evidences | |
CN116094841B (zh) | 加密信道中的行为识别方法、装置及电子设备 | |
Salim et al. | Improving the quality of alerts with correlation in intrusion detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |