CN102833094A - 基于监测网络业务的网络入侵检测系统、方法和器件 - Google Patents
基于监测网络业务的网络入侵检测系统、方法和器件 Download PDFInfo
- Publication number
- CN102833094A CN102833094A CN2012102824223A CN201210282422A CN102833094A CN 102833094 A CN102833094 A CN 102833094A CN 2012102824223 A CN2012102824223 A CN 2012102824223A CN 201210282422 A CN201210282422 A CN 201210282422A CN 102833094 A CN102833094 A CN 102833094A
- Authority
- CN
- China
- Prior art keywords
- communication
- network
- received
- service profile
- amount
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Alarm Systems (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的名称是:“基于监测网络业务的网络入侵检测系统、方法和器件”。提供了一种用于网络入侵检测的系统(100)、方法(400)和器件。装置(105)可包括至少一个存储器(142)和至少一个处理器(140)。至少一个存储器(142)可配置为存储计算机可执行指令,该计算机可执行指令促进对该装置所接收的通信的业务检验。至少一个处理器(140)可配置为访问至少一个存储器(142)并执行计算机可执行指令以:(i)识别(415)与装置(105)的网络业务简档关联的一个或多个网络业务参数(425);(ii)至少部分基于一个或者多个网络业务参数来评价(425)由装置(105)接收的至少一个通信;以及(iii)至少部分基于该评价来确定(430)至少一个通信是否满足业务简档。
Description
相关申请的交叉引用
本申请有关于序列号为No._______(代理人备审案件(Attorney Docket)19441-0576),在2011年5月16日提交,并且题为“基于监测网络业务的网络入侵检测系统、方法和器件”的共同未决(co-pending)的专利申请。
技术领域
本发明的实施例通常涉及网络安全,并且更特别地涉及基于网络业务的分析而检测网络入侵的系统、方法和器件。
背景技术
在多种应用中利用网络以在各种网络装置之间传递数据。例如,各种类型的网络用于公用事业应用、医学应用和工业控制应用中。利用公用事业应用的示例,网格网络(mesh network)典型地用于在需给电表(utility meter)之间传递数据。另外,与高级计量体系(AdvancedMetering Infrastructure:“AMI”)关联的网络典型地用于将电表数据传递给中央控制装置和中央服务器。其它类型的网络也用于在发电装置、电厂以及操作控制器之间传递数据。
在任何网络中安全通常是最为关心的。因此,需要改良的用于提供网络安全并且促进网络入侵检测的系统、方法和器件。
发明内容
通过本发明的某些实施例可解决一些或所有的以上需求和/或问题。本发明的实施例可以包括至少部分基于监测网络业务的网络入侵检测系统、方法和器件。根据本发明的一个实施例,公开了一种器件或装置,例如需给电表,配置为至少部分基于监测网络业务来促进网络内的入侵检测。该装置可包括至少一个存储器和至少一个处理器。至少一个存储器可配置为存储计算机可执行指令,该计算机可执行指令促进由该装置接收的通信的业务检验。至少一个处理器可配置为访问至少一个存储器并且执行计算机可执行指令以(i)识别与该装置的网络业务简档(traffic profile)关联的一个或多个网络业务参数;(ii)至少部分基于一个或者多个网络业务参数来评价由该装置接收的至少一个通信;以及(iii)至少部分基于该评价来确定至少一个通信是否满足业务简档。
根据本发明的另一实施例,公开了一种至少部分基于监测网络业务的网络入侵检测方法。可识别由装置接收的至少一个通信。可识别与该装置的网络业务简档关联的一个或多个网络业务参数。至少部分基于一个或多个网络业务参数,可评价所接收的至少一个通信。至少部分基于该评价,可关于至少一个通信是否满足业务简档做出确定。在某些实施例中,可由与该装置关联的一个或多个处理器所执行的通信检验应用来进行以上操作。
根据本发明的另一实施例,公开了一种基于监测网络业务的网络入侵检测系统。该系统可以包括多个装置,其经由一个或者多个通信链路彼此通信。第一装置可配置为经由一个或多个通信链路将通信传送到第二装置。第二装置可配置为执行应用来(i)识别与第二装置的网络业务简档关联的一个或者多个网络业务参数,(ii)至少部分基于一个或者多个网络业务参数来评价该通信;以及(iii)至少部分基于该评价来确定至少一个通信是否满足该业务简档。
通过本发明的各实施例的技术可实现额外的系统、方法、器件、特征和方面。本发明的其它实施例和方面在本文中详细描述,并被认为是要求保护的发明的一部分。参考描述和附图可以理解其它实施例、特征和方面。
附图说明
因此,已经以一般术语描述本发明,现在将参考附图,附图不必按比例绘制,并且其中:
图1是根据本发明的说明性的实施例的至少部分基于监测网络业务来促进网络入侵检测的一个示例系统的框图;
图2是根据本发明的说明性的实施例的至少部分基于监测网络业务来促进网络入侵检测的另一示例系统的框图;
图3是其中可利用本发明的各实施例的示例公用事业应用的框图;
图4是根据本发明的说明性的实施例的用于评价网络业务以促进网络入侵检测的示例方法的流程图;
图5是根据本发明的说明性的实施例的用于评价网络业务以促进网络入侵检测的另一示例方法的流程图。
具体实施方式
在下文中参考附图将更充分地描述本发明的说明性的实施例,其中示出本发明的一些实施例,但不是所有的实施例。实际上,本发明可以实施为多种不同的形式,并且不应解释为限制于本文所阐述的实施例;而是,提供这些实施例以便本公开将满足应用法律要求。通篇类似的编号指代类似的元件。
公开的是用于评价网络业务以促进网络入侵检测的系统、方法和器件。在本发明的一个示例实施例中,一个或多个装置可经由任何数量的合适的网络进行通信。例如,一个或多个公用事业装置(例如,需给电表、AMI装置、分布式自动化装置、公用事业现场力量装置、变电站自动化装置等)可经由任何数量的合适的网络(例如,网格网络、AMI网络、局域网、广域网、蜂窝网络等)进行通信。作为另一示例,一个或多个医学装置可经由任何数量的合适的网络(例如专用医学网络)进行通信。每个装置可配置为识别一个或者多个所接收的通信并且基于装置的业务简档来评价该通信。例如,在某些实施例中,可以基于用于与该装置关联的网络通信的历史通信数据和/或一个或者多个所建立的标准和/或协议来识别或者确定装置的业务简档。使用需给电表的示例,可以至少部分基于所建立的通信标准和/或需给电表的历史通信数据来确定需给电表的业务简档(例如,期望的通信数量,期望的通信带宽等)。至少部分基于对该通信的分析或评价,可以关于是否满足该业务简档和/或业务简档参数做出决定。如果确定不满足该简档,则可识别潜在的网络入侵。在这点上,可基于利用业务简档的对通信的评价来提供网络安全。
在某些实施例中,装置可配置为存储和执行促进网络业务分析的专用应用。该应用可促进与装置关联的类型(例如,装置模型编号等)的识别和由装置所利用或与装置类型关联的一个或多个通信接口和/或通信链路的识别。至少部分基于识别信息,应用可生成或识别装置的业务简档。在业务简档中可包括多种信息,例如与在预定时间段内接收的期望通信数量关联的业务流参数、包含在通信中的期望数据量、包含在预定时间段内的期望数据量、通信会话的期望持续时间、通信会话间的期望持续时间、在预定时间段内待识别的期望错误量和阈值错误量、和/或接收通信的时间(例如,一天中的时间、一周中的一天、一个月中的一天等)。如所要求的,对于各种通信链路和/或网络连接,可生成相应业务简档。随着业务简档的建立,应用可识别由装置所接收的一个或者多个通信。接着应用可利用业务简档和/或业务流参数来评价该通信。至少部分基于该分析或评价,应用可确定该通信是否满足业务简档和/或各种业务参数。
作为一个示例,可在需给电表上安装专用应用。需给电表可以标准格式(例如专用供应商格式或工业标准格式)来接收并传送数据。因此,由需给电表接收的通信可具有相关的预定义的结构和/或频率。例如,在特定的时间段内从其它电表和/或从控制装置典型地接收某数量的通信。应用可利用所建立的标准,以及如所希望的,利用历史通信数据来生成需给电表的业务简档。接着应用可利用业务简档来分析和/或评价将来的通信以确定是否满足业务简档。
在各种实施例中,装置可配置为基于对不满足业务简档的一个或者多个通信的识别来生成告警,例如,安全告警。在某些实施例中,所生成的告警可通信给用于处理和/或分析的管理服务器或管理控制器(例如,中央控制器等)。例如,需给电表可将所生成的告警通信给管理控制(例如,AMI控制器等),并且管理控制器可处理所生成的告警以便识别和/或作用于任何潜在的安全威胁。在其它实施例中,所生成的告警可由该装置处理,并且该装置可基于所生成的告警而采取一个或多个控制动作。例如,在管理控制器基于通信分析而生成告警的情况下,管理控制可识别潜在的安全威胁并基于该识别而采取一个或多个控制动作。如本发明的各实施例中所希望的,可以采取多种控制动作。合适的控制动作包含但不限于:发起对通信内容的深度包检验、识别用于通信的始发装置、控制一个或者多个装置的操作、阻断从始发装置接收的通信、阻断基于装置地址的通信、经由交换和/或路由重定向通信或网络业务、分派操作员来调查始发装置等。
本发明的各实施例可以包括基于监测网络业务来促进网络入侵检测的一个或多个专用计算机、系统、和/或特定的机器。如各实施例中所希望的,专用计算机或特定的机器可包括多种不同的软件模块。如以下更详细地解释的,在某些实施例中,这些各种软件部件可用来检测网络内潜在的网络入侵和/或安全风险。
如本发明的各实施例中所希望的,检测网络入侵的装置可以是连接到一个或多个网络的独立装置。在其它实施例中,网络入侵检测功能可并入一个或多个现存装置中。
本文描述的本发明的某些实施例可以具有基于利用网络业务简档(例如业务流简档)的评价而检测网络入侵(例如公用事业网络或医学网络内的网络入侵)的技术效果。此外,本发明的实施例可以具有采取一个或多个控制动作来校正或以其它方式响应于所检测的网络入侵或另一所识别的安全威胁的技术效果。
图1是根据本发明的说明性的实施例的用于至少部分基于监测网络业务来检测网络入侵的一个示例系统100的框图。图1所图示的系统100可以包含任何数量的装置105、110、115以及至少一个管理控制器120。任何数量的网络125、130可用于促进系统100的各部件之间的通信。例如,如图1中所示,装置105可经由一个或多个合适的网络125(例如公用事业网络、医学网络、工业控制网络、局域网、广域网、蜂窝网络等)与任何数量的其它装置110和/或管理控制器120进行通信。作为另一示例,装置105可以是经由任何数量的合适的网格网络130与任何数量的其它网格装置(mesh device)115和/或网格网络控制器135通信的合适的网格网络装置。如所希望的,网格网络控制器135可经由任何数量的合适的网络125与管理控制器120通信。
实际上,如在本发明的各实施例中所希望的,可利用多种网络配置和安排。例如,一个或多个网络配置可与公用事业提供商关联。作为一个示例,任何数量的局域网和/或广域网可促进控制装置之间的通信。此外,任何数量的网格网络130可以包含与AMI系统关联的网格节点和/或装置。例如,需给电表和/或其它传感器可以是监测公用事业使用(例如煤气、水、和/或电的使用)的AMI系统的一部分。如所希望的,AMI系统的部件可与网格网络控制器135通信,并且网格网络控制器135可通信信息以监测公用事业,例如与管理控制器120关联的一个或多个公用事业。网格网络130可以包含任何数量的网格装置。网格装置可以是配置为作为网格网络130内的节点参与的任何合适的装置,例如需给电表、网格网络控制器135、网格中继器、和/或其它网格节点。每个网格节点可充当独立的路由器以允许连续的连接以及通过从节点到节点的“跳”直到到达目的地在断开或阻断路径周围的重新配置。
作为另一示例,一个或多个网络配置可与医学系统和/或医学提供商关联。例如,可利用专用医学网络、因特网、或另一网络来促进在各医学装置(例如患者监测装置、医师装置、保险提供商装置、制药装置、和/或各种管理控制器和/或服务提供商)之间的通信。作为又一示例,一个或多个网络配置可与工业控制系统关联。例如,各种网络可促进管理控制器、分布式控制系统、和/或分布式传感器和/或现场自动化装置之间的通信。
如上所述,任何数量的装置105、110、115可彼此通信和/或与管理控制器120通信。现在将进一步详细描述示例装置105。装置105可以是连接到网络的任何合适的装置,例如合适的需给电表、AMI装置、工业控制装置、现场自动化装置、医学装置、或其它装置。因此,装置105可以可选地配置为测量或监测各参数(例如,用电、电压、电流、温度等)。如所希望的,测量数据和/或其它数据可由装置105通信给系统100的其它装置和/或部件。此外,根据本发明的一个方面,装置105可评价由装置105生成的通信和/或由装置105接收的通信,以确定该通信是否满足业务简档。
装置105可以包含促进装置105的一般操作和/或促进用于网络入侵检测目的的通信的评价的任何数量的合适的计算机处理部件。例如,装置105可以包含配置为监测并评价通信的一个或多个控制器或处理装置。可并入到装置105中的合适的处理装置的示例包括但不限于,专用电路、微控制器、小型计算机、其它计算装置等。因此,装置105可以包含促进计算机可读指令的执行以控制装置105的操作和潜在网络入侵检测的任何数量的处理器140。通过执行计算机可读指令,装置105可以包含或形成专用计算机,该专用计算机基于利用网络业务简档对通信的评价来促进网络入侵检测。
除一个或多个处理器140以外,装置105还可以包含一个或多个存储器装置142、一个或多个输入/输出(“I/O”)接口144、和/或一个或多个网络接口装置146。一个或多个存储器装置142或存储器可以是任何合适的存储器装置,例如,缓存、只读存储器装置、随机存取存储器装置、磁存储装置等。一个或多个存储器装置142可存储由装置105利用的数据、可执行指令、和/或各种程序模块,例如,数据文件148、操作系统(“OS”)150、和/或检验应用152或检验模块。数据文件148可以包含:例如,与装置105的操作关联的信息、与关联于装置105的一个或多个所建立的通信标准相关联的信息、网络业务简档、一个或多个业务参数、与所生成的告警消息关联的信息、和/或与由装置105采取的测量和/或读取关联的数据。
在本发明的某些实施例中,装置105可以包含执行以促进装置105的操作的任何数量的软件应用或模块。软件应用可以包含由一个或多个处理器140执行的计算机可读指令。计算机可读指令的执行可形成促进装置105的操作以及网络入侵检测的专用计算机。作为软件应用的示例,装置105可以可选地包括控制装置105的一般操作并促进额外的软件应用的执行的OS 150。
此外,装置105可以包括检验应用152或者检验模块。检验应用152可以是配置为促进由装置105接收的通信或消息的识别和处理的合适的软件模块。在操作中,检验应用152可建立、生成或者以其它方式确定装置105的业务简档。例如,检验应用152可以识别促进装置通信的与装置105关联的类型和/或与一个或多个网络、通信接口、和/或通信链路关联的信息。检验应用152可利用该信息的至少一部分来生成装置105的业务简档。例如,检验应用152可识别用于装置类型和/或网络的一个或者多个所建立的通信标准和/或协议,并且检验应用152可利用所识别的标准和/或协议来生成业务简档。该业务简档可以包括多种与该装置的期望的网络业务关联的信息,例如,该装置的一个或者多个期望的业务参数。期望的业务参数的示例包含但不限于:与在预定时间段内(例如,一个小时,一天等)接收的通信数量关联的参数、与包含在通信中的数据量关联的参数、与在预定时间段内接收的数据量关联的参数、与所建立的通信会话的持续时间关联的一个或多个参数、与通信会话之间的持续时间关联的一个或多个参数、与在预定时间段内可以正常识别的阈值错误量关联的参数、和/或与接收通信的时间关联的参数。此外,如所希望的,检验应用152可利用历史业务信息(例如,与在一个或多个历史时间段内接收的通信关联的信息)来确定业务简档。作为生成业务简档的备选方案,检验应用152可识别以前已经存储在装置105上的业务简档,或者检验应用152可从外部来源获得业务简档。例如,检验应用152可从可移动存储装置获得业务简档。作为另一示例,检验应用152可经由任何数量的合适的网络通信从外部来源(例如,管理控制器120)获得业务简档。
一旦已经生成和/或获得业务简档和/或一个或多个业务参数,检验应用152可利用该业务简档和/或参数来分析或评价由装置105接收的通信。例如,检验应用152可以基于业务简档来跟踪并评价所接收的通信。在这点上,检验应用152可确定到装置105的业务流是否满足该装置的一个或多个期望的业务流参数。至少部分基于利用一个或多个业务参数对通信的评价,检验应用152可以确定该通信是否满足业务简档。如果确定一个或多个通信满足业务简档,则检验应用152可核准通信。然而,如果确定一个或多个通信不满足业务简档,则检验应用152可生成与一个或多个通信关联的告警。在某些实施例中,检验应用152可指示告警消息的通信给管理控制器120用于进一步处理。在这点上,管理控制器120可确定是否已经发生网络入侵,并且管理控制器120可响应于该确定来指示一个或多个控制动作。例如,管理控制器120可将指令通信给装置105用于处理未来的通信。在其它实施例中,检验应用152可响应于所生成的告警指示一个或多个控制动作。如本发明的各实施例中所希望的,可采取多种控制动作。以下参考管理控制器120进一步详细讨论几个示例控制动作。
实际上,检验应用152可进行多种不同操作以评价通信,并确定是否满足业务简档。以上描述的操作仅以示例的方式提供。以下参考图4进一步详细描述可由检验应用152进行的操作的另一示例。
继续参考装置105,一个或多个I/O接口144可促进装置105和一个或多个输入/输出装置之间的通信,输入/输出装置例如为一个或多个用户接口装置,例如显示器、键盘、鼠标、指向装置、控制面板、触摸屏显示器、麦克风、扬声器等,其促进用户与装置105的交互。在这点上,用户命令可由装置105接收。此外,一个或多个网络接口装置146可促进装置105与任何数量的合适网络(例如网格网络130或其它类型的网络125)的连接。在这点上,装置105可从系统100其它部件接收数据和/或将数据通信给系统100的其它部件。在某些实施例中,网络接口装置144可包括配置为与网格网络30通信的网格无线电(mesh radio)。无线电可将消息传送、接收、和转发给网格网络130的其它节点。此外,如在某些实施例中所希望的,网络接口装置146可以包含配置为经由任何数量的广域网或其它网络与其它装置110和/或管理控制器120通信的任何合适的通信接口、网卡、和/或其它装置。例如,网络接口装置146可以包含以太网卡、网络接口卡、蜂窝收发器、宽带电力线适配器、和/或其它装置。
在某些实施例中,装置105可配置为经由网格网络130进行通信。如所希望的,网格网络控制器135可配置为促进装置105和管理控制器120之间的通信。网格网络控制器135可以是合适的处理器驱动的装置,其配置为作为促进与管理控制器120通信的网格网络130和网络125之间的接口。因此,网格网络控制器135可以包含这样的部件,该部件类似于用于装置105和/或管理控制120的所描述的部件。例如,网格网络控制器135可以包含一个或多个处理器、一个或多个存储器、和/或一个或多个网络接口装置。在操作中,网格网络控制器135可经由网格网络130从网格装置接收消息,并且网格网络控制器135可选择地经由一个或多个广域网125将所接收到的消息通信给管理控制器120。以类似的方式,通信可从管理控制器120传递至网格装置。
如所希望的,网格网络控制器135可以类似于用于装置105所描述的方式来评价或分析通信。例如,网格网络控制器135可以包含生成或获得业务简档并且利用该业务简档来确定所接收的通信是否满足业务参数的合适的检验模块或检验应用。其结果是,在未满足业务简档的情况下,网格网络控制器135可选择性地生成告警信息。此外,在某些实施例中,网格网络控制器135可基于告警的生成和/或基于对来自网格装置的告警消息的接收而采取一个或多个控制动作。
继续参考图1,管理控制器120可形成与装置105关联的合适的系统或作为与装置105关联的合适的系统的一部分。例如,在装置105是需给电表或现场自动化装置的情况下,管理控制器120可以与变电站或其它公用事业系统关联。管理控制器120可以包含任何数量的合适的计算机处理部件,其促进告警消息的接收和处理、基于入侵检测的控制动作的指示、和/或数据和/或指令到任何数量的装置的通信。可并入管理控制器120的合适的处理装置的示例包括但不限于,专用电路、微控制器、小型计算机、个人计算机、服务器、其它计算装置等。因此,管理控制器120可以包含促进计算机可读指令的执行以控制管理控制器120的操作的任何数量的处理器160。通过执行计算机可读指令,管理控制器120可以包含或形成促进告警消息的接收和处理以便识别潜在的网络入侵的专用计算机。
除一个或多个处理器160之外,管理控制器120还可以包含一个或多个存储器装置162、一个或多个网络接口装置164、和/或一个或多个输入/输出(“I/O”)接口166。一个或多个存储器装置162或存储器可以是任何合适的存储器装置,例如,缓存、只读存储器装置、随机存取存储器装置、磁存储装置等。一个或多个存储器装置162可存储由管理控制器120使用的数据、可执行指令、和/或各种程序模块,例如,数据文件168、操作系统(“OS”)170、和/或控制应用172或控制模块。数据文件168可以包含与管理控制器120的操作关联的所存储的数据、与所接收的告警消息关联的信息、与所识别的入侵和/或入侵装置节点关联的信息、与由管理控制器120采取的控制动作关联的信息、与未满足一个或多个业务简档的通信关联的信息、和/或与通信的分析或评价关联的信息。
OS 170可以是执行计算机可读指令以控制管理控制器120的一般操作并且促进额外的软件应用的执行的合适的软件模块或应用。控制应用172可以是执行计算机可执行指令以促进对任何数量的分布式装置和/或网络装置的管理和/或通信的合适的软件模块或应用。在这点上,控制应用172可配置为接收并处理由装置(例如装置105、和/或系统100的其它部件)输出的数据。例如,在公用事业应用中,控制应用172可配置为接收并处理由一个或多个需给电表和/或现场自动化装置输出的测量数据、状态消息、和/或告警消息。控制应用172可附加地配置为将消息、指令、和/或更新通信给系统100的任何数量的其它装置和/或部件。
根据本发明的一个方面,控制应用172可配置为接收并处理与所识别的无效的或不可接受的内容关联的一个或多个告警消息。基于所接收的告警消息的分析,控制应用172可识别潜在的安全威胁和/或网络入侵。如所希望的,控制应用172可附加地识别引起潜在安全威胁的装置的位置或近似位置。一旦已经识别潜在安全威胁,控制应用172可指示或触发与潜在安全威胁关联的任何数量的控制动作的执行。在这点上,控制应用172可增强在一个或多个网络内的安全性并可响应于入侵检测。如在本发明的各实施例中所希望的,可指示多种控制动作。例如,可以分派技术人员或技术人员组来评价潜在的安全威胁。作为另一示例,可指示或发起对一个或多个可疑通信的深度包检验。作为又一示例,可限制或者不允许来自引发潜在安全威胁的装置的通信和/或至该装置的通信。如所希望的,基于装置识别符可阻断某些通信和/或网络业务。备选地,可经由交换和/或传递操作来重定向网络业务。作为又一示例,在控制应用172的指示下可打开或者关闭某些装置。以下参考图4进一步详细描述由控制应用172进行的操作的一个示例。
此外,在某些实施例中,管理控制器120可配置为以类似于用于该装置的所描述的方式建立和/或生成一个或多个业务简档。实际上,对于每个与管理控制器120关联的通信链路可生成相应业务简档。管理控制器120可接着利用业务简档来评价由管理控制器120接收的通信,以便确定该通信是否满足任何数量的业务参数。在某些实施例中,多个网络和/或网络接口可与管理控制器120关联。例如,与公用事业提供商关联的管理控制器120可配置为利用多种通信协议(例如AMI协议和/或基金会现场总线协议)经由多个类型的网络进行通信。如所希望的,管理控制器120可为任何数量的不同接口生成业务简档并可选地利用一个或多个业务简档来评价通信。例如,管理控制器120可以类似于以下参考附图2进一步详细描述的装置205的方式运行。
继续参考管理控制器120,一个或多个网络接口装置164可促进管理控制器120与多个网络的连接,例如一个或多个广域网125。在这点上,管理控制器120可从系统100的其它部件接收数据和/或将数据通信至系统100的其它部件,例如配置为经由网络125进行通信的网格网络控制器135和/或其它部件。另外,一个或多个I/O接口166可促进管理控制器120和一个或多个输入/输出装置之间的通信,输入/输出装置例如为一个或多个用户接口装置,例如显示器、键盘、控制板、触摸屏显示器、远程控制、麦克风等,其促进用户与管理控制器120的交互。
一个或多个网络125可以包含促进系统100中各部件(例如管理控制器120、某些装置105、110、和/或网格网络控制器135)之间的通信的任何数量的合适的网络。例如,一个或多个网络125可以包含任何数量的合适的广域网和/或局域网,例如因特网、蜂窝网络(例如2G、3G、4G等)、数字用户线路(“DSL”)网络、光纤网络、无线网络(例如802.11网络、802.16网络等)、Wi-Fi功能网络、蓝牙功能网络、宽带电线网络、基于卫星的网络、专用医学网络等。
图2是根据本发明的说明性的实施例的用于基于监测网络业务来检测网络入侵的另一示范性系统200的框图。图2所示的系统200可以包含任何数量的装置205、210、215、220。在某些实施例中,系统200也可以包含至少一个管理控制器225。任何数量的网络230、235、240和/或网络连接可用来促进系统200的各部件之间的通信。例如,如图2所示,装置205可经由多种不同类型的网络和/或网络与任何数量的其它装置210、215、220通信。
如本发明的各实施例中所希望的,可利用多种网络配置和安排。例如,一个或多个网络配置可与公用事业提供商关联。作为一个示例,任何数量的局域网和/或广域网可促进器件205和任何数量的分布式装置之间的通信。例如,与公用事业网络关联的控制装置可经由不同类型的网络和/或通信接口与多种类型的分布式装置进行通信,例如需给电表、现场自动化装置、变电站控制装置等。作为另一示例,医学控制器可经由各种类型的医学网络与各种分布式装置进行通信,例如保健索赔付款器、患者装置、和/或监测装置。
继续参考图2,现在进一步详细描述装置205。装置205可以是能够连接到一个或多个网络的任何合适的装置,例如AMI控制装置、变电站控制装置、分布式自动化装置、公用事业现场力量自动化装置、医学控制装置、和/或工业控制装置。因此,装置205可配置为经由各种类型的网络230、235、240接收和/或传送通信给任何数量的分布式装置210、215、220。此外,在某些实施例中,装置205可配置为与更高级别控制器(图示为管理控制器225)通信。例如,AMI控制装置可与变电站控制装置或中央公用事业控制器通信。
装置205可以包含促进装置205的一般操作和/或促进用于网络入侵检测目的的通信评价的任何数量的合适的计算机处理部件。例如,装置205可包括配置为利用任何数量的业务参数来监测并评价通信的一个或多个控制器或处理装置。可并入装置205的合适的处理装置的示例包含但不限于,专用电路、微控制器、小型计算机、其它计算装置等。因此,装置205可包含促进计算机可读指令的执行以控制装置205操作并促进潜在网络入侵检测的任何数量的处理器250。通过执行计算机可读指令,装置205可包含或形成促进网络入侵检测的专用计算机。
除一个或多个处理器250之外,装置205还可以包含一个或多个存储器装置252、一个或多个输入/输出(“I/O”)接口254、和/或一个或多个网络接口装置256。一个或多个存储器装置252或存储器可以是任何合适的存储器装置,例如,缓存、只读存储器装置、随机存取存储器装置、磁存储装置等。一个或多个存储器装置252可存储由装置205利用的数据、可执行指令、和/或各种程序模块,例如,数据文件258、操作系统(“OS”)260、和/或检验应用262或检测模块。数据文件258可以包含,例如,与装置205的操作关联的信息、与一个或多个网络和/或分布式装置关联的信息、与一个或多个所建立的与装置205关联的通信标准关联的信息、与各种接口和/或通信链路关联的一个或多个业务简档和/或业务参数、与所生成的告警消息关联的信息、和/或与由装置205采取的控制动作关联的数据。
在本发明的某些实施例中,装置205可以包含执行其以促进装置205的操作的任何数量的软件应用或模块。软件应用可以包含由一个或多个处理器250执行的计算机可读指令。计算机可读指令的执行可形成促进装置205的操作以及网络入侵检测的专用计算机。作为软件应用的示例,装置205可以可选地包含控制装置205的一般操作并促进额外的软件应用的执行的OS 250。
此外,装置205可以包括检验应用262或者检验模块。检验应用262可以是配置为促进由装置205接收的通信或消息的识别和处理的合适的软件模块。在操作中,检验应用262可以建立或生成用于装置205的一个或多个业务简档。例如,检验应用262可识别促进装置通信的一个或多个网络和/或通信接口。检验应用262可以接着确定用于每一所识别的网络和/或通信接口的一个或多个业务简档。例如,检验应用262可识别用于网络的一个或多个所建立的通信标准和/或协议,并且检验应用262可利用所识别的标准和/或协议来生成网络的业务简档。如所希望的,检验应用262可额外地利用历史业务信息来生成业务简档。业务简档可以包括多种与装置205的期望的网络业务关联的信息,例如,一个或多个用于装置205的期望的业务参数。期望的业务参数的示例包含但不限于,与在预定时间段内(例如,一个小时,一天等)接收的通信数量关联的参数,与包含在通信中的数据量关联的参数,与在预定时间段内接收的数据量关联的参数,与所建立的通信会话的持续时间关联的一个或多个参数,与通信会话之间的持续时间关联的一个或多个参数,与在预定时间段内可以正常识别的阈值错误量关联的参数,和/或与接收通信的时间(例如,一天中的时间,一周中的一天,一个月等)关联的参数。作为生成业务简档的备选方案,检验应用262可识别以前已经存储在装置205上的业务简档,或检验应用262可从外部来源获得业务简档。例如,检验应用262可以获得来自可移除存储装置的业务简档。作为另一示例,检验应用262可经由任何数量的合适的网络通信从外部来源(例如管理控制器225)获得业务简档。
一旦已经生成和/或获得一个或多个业务简档,检验应用262可以利用该一个或多个业务简档来分析或评价由装置205接收的通信。例如,检验应用262可识别与一个或多个所识别的通信关联的网络、通信接口、或通信链路。检验应用262接着可访问或确定与所识别的网络或通信接口关联的业务简档,并且检验应用262可识别一个或多个用于评价通信的业务参数。检验应用262接着可利用该业务参数来评价一个或多个通信。至少部分基于该评价,检验应用262可确定一个或多个通信是否满足业务参数和/或业务简档。如果确定一个或多个通信满足业务参数,则检验应用262可核准该一个或多个通信。然而,如果确定一个或多个通信不满足业务参数(例如,超过了期望的带宽参数,超过了期望的通信数量等),则检验应用262可生成与一个或多个通信关联的告警。在某些实施例中,检验应用262可将告警消息的通信指示给管理控制器225用于进一步处理。在这点上,管理控制器225可确定是否已经发生网络入侵,并且管理控制器225可响应于该确定指示一个或多个控制动作。例如,为处理未来的通信,管理控制器225可将指令通信给装置205。在其它实施例中,检验应用262可响应于所生成的告警指示一个或多个控制动作。如上述参考图1的系统100所进一步详细解释的,可如本发明的各实施例中所希望的采取多种控制动作。
实际上,检验应用262可进行多种不同的操作以评价通信并且确定通信是否满足一个或多个业务简档。以上描述的操作仅以示例的方式提供。以下参考附图5进一步详细描述可由检验应用262进行的操作的另一示例。
继续参考装置205,一个或多个I/O接口254可促进装置205和一个或多个输入/输出装置之间的通信,输入/输出装置例如为促进用户与装置205的交互的一个或多个用户接口装置,例如显示器、键盘、鼠标、指向装置、控制面板、触摸屏显示器、麦克风、扬声器等。在这点上,用户命令可由装置205接收。此外,一个或多个网络接口装置256可促进装置205连接到任何数量的合适的网络,如图2所示的网络230、235、240。在这点上,装置205可从系统200的其它部件接收数据和/或将数据通信给系统200的其它部件。如在某些实施例中所希望的,网络接口装置256可以包含配置为经由任何数量的广域网或其它网络与其它装置210、215、220和/或管理控制器225通信的任何合适的通信接口、网卡、和/或其它装置。例如,网络接口装置256可以包含以太网卡、网络接口卡、蜂窝收发器、宽带电线适配器、和/或其它装置。
继续参考图2,管理控制器225可类似于以上参考图1描述的管理控制器120。另外,每个其它装置210、215、220可包括类似于以上参考图1描述的装置205和/或装置105的部件。各网络230、235、240可以包含促进装置间通信的任何合适的网络,例如局域网、广域网、蓝牙功能网络、Wi-Fi功能网络、蜂窝网络、射频网络、私有网络、公共交换网络等。如所希望的,装置可配置为经由任何数量的网络进行通信。例如,公用事业控制装置可配置为经由多个公用事业网络(例如AMI网络、现场总线网络等)进行通信。在装置经由多个网络进行通信的情况下,可对于每个网络确定不同的业务简档。
如所希望的,本发明的实施例可以包含具有多于或少于图1和2中所示的部件的系统。此外,在本发明的各实施例中系统100、200的某些部件可组合。图1和图2的系统100、200仅以示例的方式提供。
如所希望的,本发明的实施例可用于多种应用中,例如公用事业应用、医学应用、和/或工业控制应用中利用。在某些实施例中,所通信的消息和/或消息的数量和/或大小可能由于应用的特定属性而相对受限。例如,相对受限数量的不同类型应用可在公用事业网络的各部件之间进行通信。图3是可以利用本发明的各实施例的一个示例公用事业应用300的框图。
参考图3,公用事业应用300的各种部件可经由任何数量的合适网络彼此通信。例如,家庭区域网络(“HAN”)装置可与关联于公用事业提供商的各种消费者的相应需给电表315通信。需给电表315又可与促进与公用事业应用300的任何数量的其它部件通信的合适的AMI子系统320(例如操作子系统325)通信。如所希望的,需给电表315可经由一个或多个网格网络彼此通信。此外,某些需给电表315(或网格网络控制器)可经由任何数量的AMI网络与AMI子系统通信。
继续参考图3,操作子系统325也可与任何数量的其它公用事业部件通信,例如电厂子系统330、任何数量的分布式能量子系统335(例如,光伏电池子系统、风力涡轮机子系统等)、任何数量的现场力量子系统340、任何数量的分布式自动化子系统345和/或任何数量的变电站子自动化子系统350。此外,操作子系统325可与企业子系统355通信。虽然操作子系统325描述为与多个其它装置通信,但应用300的任何部件可经由网络305彼此通信。
根据本发明的一方面,可为对于公用事业应用300所描述的每个类型的网络接口和/或网络建立或确定一个或多个业务简档。例如,需给电表315可以包括用于从其它需给电表接收的通信的业务简档、用于从HAN装置接收的通信的业务简档、和/或用于从AMI系统320接收的通信的业务简档。作为另一示例,操作子系统325可包括关联于与操作子系统325通信的应用300的各部件的相应业务简档。如所希望的,每个装置或子系统都可以利用业务简档来评价或分析通信。在这点上,装置可确定通信是否满足一个或多个业务参数,并且装置可至少部分基于该确定来识别潜在的安全风险和/或网络入侵。
仅以示例的方式提供图3所示的公用事业应用300。如所希望的,本发明的实施例可与其它类型的应用(例如医学应用和/或工业控制应用)一起利用。
图4是根据本发明的说明性实施例的用于分析通信和业务流以促进网络入侵检测的示例方法400的流程图。方法400可用来关联于一个或多个基于网络的系统,例如图1所示的系统100。在某些实施例中,方法400的操作可由至少一个装置和管理控制器(例如图1所示的装置105和管理控制器120)进行。
方法400可在框405开始。在框405,业务流检验应用(例如图1所示的检验应用152)可安装到装置105上。在某些实施例中,技术人员或其它个体可在装置105上安装检验应用152。例如,技术人员可安装来自便携存储装置的检验应用152。在其它实施例中,检验应用152可从其它装置或系统通信(例如管理控制器120)至该装置。例如,检验应用152可与装置105通信并作为软件更新的一部分进行安装。一旦已经安装,检验应用152可由装置105执行以便促进用于入侵检测目的的通信的分析。
在框410,可识别与装置105关联的通信接口。例如,检验应用152可识别与该装置关联的或者为该装置建立的网络接口或通信链路。作为另一示例,检验应用152可利用,例如识别装置105的信息(例如,装置标识符、模型编号等)来识别装置类型,并且装置类型可以用来识别与装置关联的网络接口或通信接口。在这点上,检验应用152可以是可由多种不同类型的装置利用、和/或与很多不同种类的通信接口结合的相对通用的应用。
在框415,可为装置确定或生成业务简档和/或一个或多个业务参数。例如,可为装置105和/或通信接口生成业务简档。在某些实施例中,可识别或确定与装置通信和/或通信接口关联的一个或多个所建立的通信标准和/或通信协议。利用需给电表的示例,可确定各种需给电表数据格式标准(例如,国际电工委员会(“IEC”)61850、IEC 61968、ZigBee简档标准(例如,智能能源简档1.0,智能能源简档2.0等),北美能源标准委员会(“NAESB”)能源服务提供商接口标准等)。接着可利用该标准和/或协议来确定或生成用于装置105的业务简档和/或业务参数。例如,可利用标准来确定装置的期望的通信流,例如,将在预定时间段内接收的通信的数量、大小、和/或类型。如所希望的,可利用多种其它参数和/或信息来生成业务简档。例如,可利用与网络(例如,隐私设置、安全设置、所有权信息等)、服务提供商(例如,公用事业提供商,医学提供商等)关联的信息、和/或与和装置105进行通信的其它装置关联的信息来生成相对准确的业务简档。作为另一示例,可评价并利用与由装置和/或关联装置接收的通信关联的历史信息来生成和/或修改业务简档。在这点上,业务简档可以适应各种装置设置和/或实现。
该业务简档可包括多种与所期望的装置105的网络业务关联的信息,例如装置的一个或多个所期望的业务参数。期望的业务参数的示例包含但不限于,与在预定时间段内(例如,一个小时、一天等)接收的通信数量关联的参数、与包含在通信中的数据量关联的参数、与在预定时间段内接收的数据量关联的参数、与所建立的通信会话的持续时间关联的一个或多个参数、与通信会话之间的持续时间关联的一个或多个参数、与在预定时间段内可正常识别的阈值错误量关联的参数、和/或与接收通信的时间关联的参数。
在框420,可识别与装置105关联的下一通信。例如,可识别经由通信网络由装置105从另一装置接收的通信。在框425,可利用业务简档和/或一个或多个业务参数来评价或分析通信。可利用多种合适的方法和/或技术来评价该通信。例如,可以将与通信关联的信息(例如,带宽、通信定时、与通信关联的通信计数等)与一个或多个业务参数(例如带宽、通信数量、和/或定时参数)进行比较。如所希望的,与以前的通信关联的信息,例如带宽、和/或在预定时间段内接收的以前通信的通信计数信息也可用于评价。
在框430,可关于通信是否满足业务参数和/或业务简档做出确定。例如,可关于通信是否可能是装置105将要接收的所期望的通信做出确定。如果在框430确定通信满足业务简档,则可核准通信并可继续在上述的框420操作。然而,如果在框430确定通信未满足业务简档,则可在框435继续操作。
在框435,可生成与通信和/或未满足业务简档的确定关联的告警消息。多种信息可以包括在告警消息中,例如装置105的标识符、与通信关联的信息、与一个或多个未满足的业务参数关联的信息、通信始发装置标识符、已经改变通信的一个或多个中间装置的标识符、装置105的位置信息、和/或与始发和/或中间装置关联的位置信息和/或定时信息。一旦生成,装置可输出告警消息,用于通信给一个或多个接收者(例如管理控制器120)。
在框440,管理控制器120可接收由装置105输出的告警消息。在框445,管理控制器120可分析告警消息(和从其它装置接收的任何告警消息)。在框450,管理控制器120可至少部分基于对告警消息的分析来识别任何潜在的安全威胁和/或网络入侵。例如,管理控制器120可识别通信的始发装置或作为网络内的潜在安全威胁的改变通信的装置。在某些实施例中,基于多个告警消息的接收,可识别安全威胁。例如,与始发装置通信的多个装置可生成经处理以识别安全威胁的相应告警消息。可利用多种方法和/或技术以促进对潜在安全威胁或者网络入侵的识别。
在某些实施例中,可由用于与一个或多个其它装置(例如生成告警消息的装置)通信的管理控制器120输出与识别为潜在安全威胁的装置关联的位置信息的一个或多个请求。装置105可接收位置信息请求,并且位置信息可响应于该请求而通信至管理控制器120。管理控制器120可从任何数量的装置接收位置信息。作为请求位置信息的备选方案,位置信息可包含在一个或多个告警消息中并且由管理控制器120识别。多种位置信息可由管理控制器120接收,例如触发告警的一个或多个装置的位置(例如,全球定位坐标、存储的位置、街道地址等)、和/或与引发潜在威胁的装置与该装置之间的通信关联的定时信息。
如所希望的,可由管理控制120确定、计算、估计潜在安全威胁装置的定位或位置。可利用多种合适的技术确定装置位置。作为一个示例,可利用无线电三角测量来确定定位。例如,可利用触发告警的装置定位结合定时信息(例如在一个或多个装置与潜在安全威胁装置之间的消息响应时间)以便推断装置的估计定位。在这点上,可确定网络中潜在安全风险的位置。
在框455,可由管理控制器120确定并指示任何数量的控制动作。控制动作可以是旨在最小化或降低安全风险的任何合适的动作,该安全风险与已经识别为引发入侵或安全风险的所识别的装置相关。例如,控制动作可最小化通过通信至装置而潜在危害的数据。如在本发明的各实施例中所希望的,可利用多种不同的控制动作。例如,管理控制器120可指示一个或多个其它装置执行对包含在可疑通信中的信息的深度包检验和/或评价。作为另一示例,管理控制器120可指示其它装置不将消息通信给引发安全威胁的装置或不处理从引发安全威胁的装置接收的消息。作为又一示例,管理控制器120可重新传递网络中的网络业务流。如图4所示,在框460,管理控制器120可将指令(例如,用于进一步处理通信的指令)通信给一个或多个其它装置。在框465,可由装置105接收并处理指令。作为控制动作的另一示例,管理控制器120可指示分派技术人员到已确定的入侵装置的位置。
接着框465,方法400可结束。
图5是根据本发明的说明性的实施例的用于分析网络业务以促进网络入侵检测的另一示例性方法500的流程图。方法500可用来与一个或多个基于网络的系统(例如图2所示的系统200)关联。在某些实施例中,可由至少一个装置(例如图2所示的装置205)执行方法500的操作。
方法500可在框505开始。在框505,可识别与装置205关联的一个或多个通信信道、通信链路、和/或网络接口。例如,可识别促进装置通信的一个或多个网络,并可识别用于网络的一个或多个不同类型的通信链路。作为一个示例,如果装置是变电站装置,则可识别促进与需给电表、AMI控制器、现场自动化装置、和/或其它类型的装置通信的一个或多个通信接口。
在框510,可以对于每个通信链路和/或接口确定或生成一个或多个相应业务简档。在某些实施例中,可识别或确定一个或多个所建立的与装置通信和/或通信接口关联的通信标准和/或通信协议。接着可利用该标准和/或协议来确定或生成装置205的业务简档和/或业务参数。例如,可利用标准来确定对于装置205的经由通信链路的所期望的通信流,例如,将在预定时间段内接收的所期望的通信数量、大小、和/或类型。如所希望的,可利用多种的其它参数和/或信息来生成业务简档。例如,可利用与网络(例如,隐私设置、安全设置、所有权信息等)、服务提供商(例如,公用事业提供商,医学提供商等)关联的信息、和/或与和装置105进行通信的其它装置关联的信息来生成相对准确的业务简档。作为另一示例,可评价并利用与由装置和/或关联装置接收的通信关联的历史信息来生成和/或修改业务简档。在这点上,业务简档可以适应于各种装置设置和/或实现。
业务简档可包含多种与所期望的用于装置205的网络业务关联的信息,例如,一个或多个用于装置的所期望的业务参数。所期望的业务参数的示例包含但不限于,与在预定时间段内(例如,一个小时,一天等)接收的通信数量关联的参数、与包含在通信中的数据量关联的参数、与在预定时间段内接收的数据量关联的参数、与所建立的通信会话的持续时间关联的一个或多个参数、与通信会话之间的持续时间关联的一个或多个参数、与在预定时间段内可以正常识别的阈值错误量关联的参数、和/或与接收通信的时间关联的参数。
在框515,可识别由装置205接收的一个或多个通信。例如,可识别装置205经由任何数量的通信网络或通信链路从其它装置接收的一个或多个通信。在框520,可识别或确定用于评价或分析一个或多个通信的一个或多个业务参数。例如,对于每个通信都可以识别通信链路,并且可以为通信链路访问和/或识别业务简档。可以接着识别与业务简档关联的一个或多个业务参数作为用于评价经由所识别的通信链路而接收的通信的业务参数。
在框525,可利用所识别的相关业务简档和/或业务参数来分别评价或分析一个或多个通信。可利用多种合适的方法和/或技术来评价通信。例如,可以将与通信关联的信息(例如,与通信关联的带宽、通信定时、通信计数等)与一个或多个业务参数(例如,带宽、通信数量、和/或定时参数)进行比较。如所希望的,在评价中也可以使用与以前通信关联的信息,例如,在预定时间段内接收的用于以前通信的带宽和/或通信计数信息。
在框530,可关于一个或多个通信是否满足业务参数和/或业务简档做出确定。例如,可关于通信是否可能是装置205将要接收的所期望的通信做出确定。如果在框530确定通信满足相关的业务简档,则可核准通信并如上所描述地可继续在框515操作。然而,如果在框530确定一个或多个通信未满足相关的业务简档,则可在框535继续操作。
在框535,可基于无效内容的识别由装置205指示控制动作。在某些实施例中,控制动作可包括与所识别的一个或多个通信未满足业务简档的情况关联的告警消息的生成。一旦生成,可由装置205输出用于与一个或多个接收方(例如管理控制器)通信的告警消息。如所希望的,可由接收方以与以上参考图4的方法400描述的方式类似的方式来处理告警消息。
在其它实施例中,控制动作可包括对潜在的安全威胁或网络入侵的识别和/或对与安全威胁(例如,用于通信的始发装置等)关联的装置的识别。接着装置205可采取旨在最小化或降低安全威胁的任何合适的动作,该安全威胁与已经识别为引发入侵或安全风险的装置相关。例如,装置205可采取控制动作以最小化通过通信至入侵装置而潜在危害的数据。如本发明的各实施例所希望的,可利用多种不同的控制动作。例如,装置205可发起对包含在一个或多个可疑通信中的数据的深度包检验。作为另一示例,装置205可限制或挂起从入侵装置接收的通信的处理。作为另一示例,装置205可指示其它装置不将消息通信给入侵装置或不处理从入侵装置接收的消息。如所希望的,装置205可将指令(例如,用于处理进一步的通信的指令)通信给一个或多个其它装置。作为控制动作的另一示例,装置205可指示分派技术人员到所确定的入侵装置的位置。
接着框535,方法500可结束。
在图4-图5的方法400、500描述或示出的操作可以如本发明的各实施例中所希望的任何合适的顺序实现或进行。此外,在某些实施例中,操作的至少一部分可并行实现。此外,在某些实施例中,可进行少于或多于图4-图5中描述的操作。
以上参考根据本发明的示例实施例的系统、方法、器件和/或计算机程序产品的框图和流程图来描述本发明。将理解,框图和流程图的一个或多个框、以及框图和流程图中框的组合可分别由计算机可执行程序指令来实现。类似地,根据本发明的一些实施例,框图和流程图中的一些框可以不必需要以所呈现的顺序进行,或根本可以不必需要进行。
这些计算机可执行程序指令可载入到通用计算机、专用计算机、处理器或其它可编程数据处理器件以产生特定机器,以便执行在计算机、处理器、或其它可编程数据处理器件上的指令创建用于实现流程图框或多个框中规定的一个或多个功能的组件。这些计算机程序指令也可存储到计算机可读存储器中,该计算机可读存储器能够指示计算机或其它可编程数据处理器件以特定方式起作用,以便存储在计算机可读存储器中的指令产生包括指令组件的制品,该组件实现流程图的框或多个框中规定的一个或多个功能。作为示例,本发明的实施例可提供计算机程序产品,包括具有在其中实施的计算机可读程序代码或程序指令的计算机可用介质,所述计算机可读程序代码适配为执行以实现流程图的框或多个框中规定的一个或多个功能。计算机程序指令也可装载到计算机或其它可编程数据处理器件上以引发一系列操作元件或步骤在计算机或其它可编程器件上执行以产生计算机可实现的过程,从而在计算机或其它可编程器件上执行的指令提供用于实现流程图的框或多个框中规定的功能的元件或步骤。
因此,框图和流程图的多个框支持用于执行规定功能的组件的组合、用于进行规定功能的元件或步骤与用于进行规定功能的程序指令组件的组合。将理解框图和流程图中的每个框、以及框图和流程图中框的组合,能够由进行规定功能、元件或步骤的专用的、基于硬件的计算机系统、或专用硬件和计算机指令的组合来实现。
虽然本发明已经连同目前认为是最实用的和最多样的实施例进行描述,但是应当理解本发明不限于所公开的实施例,而是相反,旨在覆盖包括在所附权利要求的精神和范围内的各种修改和等同安排。
本书面描述使用示例来公开本发明,包括最佳模式,并使本领域技术人员能实践本发明,包括做出和使用任何装置或系统以及进行任何并入的方法。本发明的可专利范围由权利要求限定,并可包括本领域技术人员想到的其它示例。如果这样的其它示例具有与权利要求的字面语言没有区别的结构元件,或者如果他们包括与权利要求的字面语言没有实质区别的等效结构元件,则他们旨在落在权利要求范围内。
部件列表
100-系统;
105-装置;
110-装置;
115-网格装置;
120-管理控制器;
125-网络;
130-网格网络;
135-网格网络控制器
140-处理器;
142-存储器装置;
144-I/O接口;
146-网络接口;
148-数据文件;
150-操作系统;
152-检验应用;
160-处理器;
162-存储器装置;
164-网络接口;
166-I/O接口;
168-数据文件;
170-操作系统;
172-控制应用;
200-系统;
205-装置;
210-装置;
215-装置;
220-装置;
225-管理控制器;
230-网络;
235-网络;
240-网络;
250-处理器;
252-存储器装置;
254-I/O接口;
256-网络接口;
258-数据文件;
260-操作系统;
262-检验应用;
300-公用事业应用;
305-网络;
310-家庭区域网络装置;
315-需给电表;
320-AMI子系统;
325-操作子系统;
330-电厂子系统;
335-分布式能量子系统;
340-现场力量子系统;
345-分布式自动化子系统;
350-变电站自动化子系统;
355-企业子系统;
400-方法;
405-框;
410-框;
415-框;
420-框;
425-框;
430-框;
435-框;
440-框;
445-框;
450-框;
455-框;
460-框;
465-框;
500-方法;
505-框;
510-框;
515-框;
520-框;
525-框;
530-框;
535-框。
Claims (10)
1.一种装置(105),包括:
至少一个存储器(142),配置为存储计算机可执行指令,所述计算机可执行指令促进对由所述装置(105)接收的通信的业务检验;以及
至少一个处理器(140),配置为访问所述至少一个存储器并且执行所述计算机可执行指令以:
识别(415)与所述装置(105)的网络业务简档关联的一个或多个网络业务参数;
至少部分基于所述一个或者多个网络业务参数来评价(425)由所述装置(105)接收的至少一个通信;以及
至少部分基于所述评价来确定(430)所述至少一个通信是否满足所述业务简档。
2.如权利要求1所述的装置(105),其中所述一个或多个网络业务参数包括与以下的至少一个关联的参数,(i)在预定时间段内接收的通信数量、(ii)与通信关联的数据量、(iii)在预定时间段内接收的数据量、(iv)与通信会话关联的持续时间、(v)所接收的通信会话之间的持续时间、(vi)在预定时间段内所识别的错误量、或者(vii)接收通信的时间。
3.如权利要求1所述的装置(105),其中所述业务简档包括与为装置通信所建立的标准关联的业务简档。
4.如权利要求1所述的装置(105),其中所述至少一个处理器(140)还配置为执行所述计算机可执行指令以:
识别(410)用于所述至少一个通信的通信接口;以及
至少部分基于所识别的通信接口,识别(415)所述一个或多个网络业务参数。
5.如权利要求1所述的装置(105),其中确定所述至少一个通信不满足所述业务简档,并且其中所述至少一个处理器(140)还配置为执行所述计算机可执行指令以:
生成(435)与所述至少一个通信关联的告警消息,以及
指示(435)所述告警消息的通信到管理控制系统(120)。
6.如权利要求5所述的装置(105),其中所述至少一个处理器(140)还配置为执行所述计算机可执行指令以:
识别用于所述至少一个通信的始发装置;以及
将所述始发装置的标识符包含在所生成的告警消息中。
7.如权利要求5所述的装置(105),其中所述至少一个处理器(140)还配置为执行所述计算机可执行指令以:
从所述管理控制系统(120)接收(465)包括用于处理额外的通信的指令的消息;以及
处理(465)所接收的指令。
8.如权利要求1所述的装置(105),其中所述装置(105)包括(i)需给电表、(ii)现场自动化装置、(iii)传感器、(iv)高级计量体系装置或(v)医学装置中的一个。
9.一种方法(400),包括:
识别(420)由装置(105)接收的至少一个通信;
识别(415)与所述装置(105)的网络业务简档关联的一个或多个网络业务参数;
至少部分基于所述一个或多个网络业务参数来评价(425)所接收的所述至少一个通信;以及
至少部分基于所述评价来确定(430)所述至少一个通信是否满足所述业务简档,
其中由与所述装置关联的一个或多个处理器(140)所执行的通信检验应用来执行以上的操作。
10.如权利要求9所述的方法(400),其中识别(415)一个或多个网络业务参数包括识别与以下的至少一个关联的一个或多个网络业务参数:(i)在预定时间段内所接收的通信数量、(ii)与通信关联的数据量、(iii)在预定时间段内所接收的数据量、(iv)与通信会话关联的持续时间、(v)所接收的通信会话之间的持续时间、(vi)在预定时间段内所识别的错误量、或者(vii)接收通信的时间。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/108,406 US20120294158A1 (en) | 2011-05-16 | 2011-05-16 | Systems, methods, and apparatus for network intrusion detection based on monitoring network traffic |
| US13/108406 | 2011-05-16 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102833094A true CN102833094A (zh) | 2012-12-19 |
Family
ID=47174847
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012102824223A Pending CN102833094A (zh) | 2011-05-16 | 2012-05-16 | 基于监测网络业务的网络入侵检测系统、方法和器件 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20120294158A1 (zh) |
| CN (1) | CN102833094A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111466107A (zh) * | 2017-12-15 | 2020-07-28 | 通用汽车环球科技运作有限责任公司 | 用于载具内控制器的以太网网络剖析入侵检测控制逻辑和架构 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2814933C (en) * | 2011-01-27 | 2016-10-25 | Gmarkets Inc. | Method and system for generating and providing data alerts |
| JP2015536593A (ja) * | 2012-10-09 | 2015-12-21 | アダプティブ スペクトラム アンド シグナル アラインメント インコーポレイテッド | 通信システムにおけるレイテンシ測定のための方法及びシステム |
| ES2656463T3 (es) * | 2012-10-09 | 2018-02-27 | Adaptive Spectrum And Signal Alignment, Inc. | Método y sistema para diagnóstico de conectividad en sistemas de comunicaciones |
| WO2014128253A1 (en) * | 2013-02-22 | 2014-08-28 | Adaptive Mobile Security Limited | System and method for embedded mobile (em)/machine to machine (m2m) security, pattern detection, mitigation |
| EP2959658A1 (en) | 2013-02-22 | 2015-12-30 | Adaptive Mobile Security Limited | Dynamic traffic steering system and method in a network |
| US9992215B2 (en) * | 2013-10-04 | 2018-06-05 | Webroot Inc. | Network intrusion detection |
| US9621568B2 (en) * | 2014-02-11 | 2017-04-11 | Varmour Networks, Inc. | Systems and methods for distributed threat detection in a computer network |
| US9525697B2 (en) | 2015-04-02 | 2016-12-20 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
| CN104993977B (zh) * | 2015-07-10 | 2019-07-19 | 中国电力科学研究院 | 基于iec61968标准的数据在线监测方法及系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7917393B2 (en) * | 2000-09-01 | 2011-03-29 | Sri International, Inc. | Probabilistic alert correlation |
| NZ516346A (en) * | 2001-12-21 | 2004-09-24 | Esphion Ltd | A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack |
| US7493659B1 (en) * | 2002-03-05 | 2009-02-17 | Mcafee, Inc. | Network intrusion detection and analysis system and method |
| US8572717B2 (en) * | 2008-10-09 | 2013-10-29 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
-
2011
- 2011-05-16 US US13/108,406 patent/US20120294158A1/en not_active Abandoned
-
2012
- 2012-05-16 CN CN2012102824223A patent/CN102833094A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111466107A (zh) * | 2017-12-15 | 2020-07-28 | 通用汽车环球科技运作有限责任公司 | 用于载具内控制器的以太网网络剖析入侵检测控制逻辑和架构 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20120294158A1 (en) | 2012-11-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102833094A (zh) | 基于监测网络业务的网络入侵检测系统、方法和器件 | |
| CN102868679A (zh) | 用于网络入侵检测的系统、方法和器件 | |
| Hossain et al. | A smart IoT based system for monitoring and controlling the sub-station equipment | |
| AU2012200631B2 (en) | Systems, methods, and apparatus for identifying invalid nodes within a mesh network | |
| EP2525547A1 (en) | Systems, methods, and apparatus for network intrusion detection based on monitoring network traffic | |
| RU2456725C2 (ru) | Способы и система для обнаружения выхода из строя коммунальной сети | |
| AU2016256720B2 (en) | System and method for cloud-service asset management for portable computer test tools | |
| CN104935489B (zh) | 一种信息采集网络组网方法及用电信息采集网络 | |
| CN103336493A (zh) | 一种能源管理系统 | |
| CN102165811A (zh) | 具有节制点的无线网状网络和电池电量低的警报 | |
| EP2525549A1 (en) | Systems, methods, and apparatus for network intrusion detection | |
| CN104581806A (zh) | 一种监测业务系统的方法及终端 | |
| CN107276895A (zh) | 启用nfc的无线过程通信网关 | |
| KR20160018226A (ko) | 비콘 디바이스의 이상 여부를 인식하기 위한 방법 및 시스템 | |
| US20140066087A1 (en) | Providing location assistance information using data from smart meters | |
| CN114034928B (zh) | 基于分布式多点反馈的谐波溯源方法及配电网络分析系统 | |
| JP2019121155A (ja) | センサネットワークシステムおよびセンター装置 | |
| JP2019121157A (ja) | センサネットワークシステムおよびセンター装置 | |
| JP2019121156A (ja) | センサネットワークシステムおよびセンター装置 | |
| CN113728239B (zh) | 检测配电服务中的能耗欺诈 | |
| KR101155867B1 (ko) | 정전관리시스템 및 그 방법 | |
| EP2863182A1 (en) | System and method for utility meter activation | |
| JP6021008B2 (ja) | 電力線搬送通信システム、親機 | |
| Anthony et al. | Survey on Wi-Fi and Cellular Communication Technology for Advanced Metering Infrastructure (AMI) in a Developing Economy | |
| Ogdol et al. | IOT-based framework for a centralized monitoring of solid waste disposal facilities |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20121219 |