CN106357434A - 一种基于熵分析的智能电网通信网络流量异常检测方法 - Google Patents
一种基于熵分析的智能电网通信网络流量异常检测方法 Download PDFInfo
- Publication number
- CN106357434A CN106357434A CN201610786684.1A CN201610786684A CN106357434A CN 106357434 A CN106357434 A CN 106357434A CN 201610786684 A CN201610786684 A CN 201610786684A CN 106357434 A CN106357434 A CN 106357434A
- Authority
- CN
- China
- Prior art keywords
- entropy
- time threshold
- intelligent grid
- eigenvalue
- network traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于熵分析的智能电网通信网络流量异常检测方法,包括如下步骤:S1,实时接收智能电网运行过程中产生的日志信息的特征值;S2,在时间阈值内,统计每个特征值出现的概率;S3,计算每个特征值的熵,并进行归一化处理,生成熵向量;S4,重复步骤S1~S3,计算当前时间阈值与上一时间阈值的熵向量的差值,并根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型。本方法获取熵向量的方法比较简单,可以有效地满足智能电网日志信息实时检测的需求。另一方面,该方法不仅能检测出日志异常,而且能根据获取的日志信息判断出异常类型,进而获取智能电网日志异常产生的原因,可以很好地满足智能电网的检测需求。
Description
技术领域
本发明涉及一种智能电网通信网络流量异常检测方法,尤其涉及一种基于熵分析的智能电网通信网络流量异常检测方法,属于电力通信安全技术领域。
背景技术
随着网络规模的急剧扩展,网络所面临的安全问题越来越复杂,对网络流量的分析是网络安全管理尤其是入侵检测分析的重要研究内容。网络异常是网络面临的重大威胁之一。典型的网络异常活动有分布式拒绝服务(DDos)、端口扫描、蠕虫和病毒等。如今,虽然网络异常检测已经有大量相关研究,但找到一种泛型方法来检测网络异常仍然是一个挑战。
在网络运行过程中,攻击和错误发现的越早,所能采用的补救措施就越多,造成的损失就会越少。因此,在线异常检测受到了学术界和工业界的重视。在应用运行的过程中,应用本身和各种监控程序都会产生各类日志信息来记录应用的状态、重要的运行事件和网络流量,因此日志信息中包含应用运行的动态信息,适合用来进行异常检测。
传统日志分析是通过人工参与或者使用事前定义好的规则来完成的。当日志大小有限以及异常类型事先可知时,这些方法非常有效并且也很灵活。但是如果程序产生了百万行日志,人工处理日志就不太现实了。
为了解决上述问题,在申请号为201310492962.9的中国专利申请中公开了一种实时在线日志检测方法,包括:步骤1:将整个的训练日志转换为一个离散事件序列;步骤2:建立一个检测模型;步骤3:将待测日志分段生成至少一个日志段,并为每个日志段分配日志段序列;步骤4:对一个日志段进行异常程度评分,得到相对熵;步骤5:判断相对熵是否为正值,如果是,当前日志段异常,跳至步骤7;否则,当前日志段为正常;步骤6:判断相对熵是否大于阈值,如果是,当前日志段为异常;否则,跳至步骤8;步骤7:发送异常警告给用户,待检测程序恢复到检测所述日志段之前的状态;步骤8:判断异常日志中是否存在未评分日志段,如果是,跳转至步骤4;否则,结束。该处理过程可以有效地检测日志异常。
但是,智能电网作为一种集成配电系统和通讯网络的双向电力及信息流基础设施,在运行过程中会产生大量的日志信息,上述处理方法对于日志信息的处理过程过于复杂,不能满足智能电网日志实时检测的需求。另一方面,上述处理方法只能检测出日志异常,不能根据获取的日志信息判断出异常类型,进而获取智能电网日志异常产生的原因,不能很好地满足智能电网的检测需求。
发明内容
本发明所要解决的技术问题在于提供一种基于熵分析的智能电网通信网络流量异常检测方法。
为实现上述发明目的,本发明采用下述的技术方案:
一种基于熵分析的智能电网通信网络流量异常检测方法,包括如下步骤:
S1,实时接收智能电网运行过程中产生的日志信息的特征值;
S2,在时间阈值内,统计每个特征值出现的概率;
S3,计算每个特征值的熵,并进行归一化处理,生成熵向量;
S4,重复步骤S1~S3,计算当前时间阈值与上一时间阈值的熵向量的差值,并根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型。
其中较优地,在步骤S1中,所述日志信息的特征值包括源IP地址、源端口号、目的IP地址和目的端口号。
其中较优地,在步骤S2中,所述在时间阈值内,统计每个特征值出现的概率包括如下步骤:
S21,在时间阈值内,实时统计在智能电网运行过程中,每个源IP、源端口、目的IP、目的端口出现的次数;
S22,在时间阈值内,统计源IP、源端口、目的IP、目的端口出现的总数;
S23,用每个源IP、源端口、目的IP、目的端口出现的次数分别除以时间阈值内源IP、源端口、目的IP、目的端口出现的总数,分别得到源IP、源端口、目的IP、目的端口四个特征值出现的概率。
其中较优地,在步骤S3中,对每个特征值的熵进行归一化处理采用如下公式:
Ht(Xi)=Hs(Xi)/logN;
其中,Hs(Xi)为特征值的熵,logN为归一化因数,N为时间阈值内观测的活动特征值的个数。
其中较优地,在步骤S3中,所述根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型,包括如下步骤:
S41,通过分析常见网络流量攻击模式的特点,获取智能电网运行过程中出现常见网络流量攻击模式时,日志信息的特征值的熵的变化特征;
S42,获取智能电网运行过程中,当前时间阈值与上一时间阈值的熵向量的差值;
S43,判断熵向量的差值是否满足步骤S41中的熵的变化特征,如果满足任意一条变化特征,则发出报警信息,同时将所述变化特征对应的网络流量攻击模式展示出来。
其中较优地,在步骤S3中,根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型,还包括如下步骤:
S44,当熵向量的差值不满足步骤S41中的熵的变化特征中的任意一条时,判定无网络流量异常发生,继续实时接收下一时间阈值的日志数据的特征值。
本发明所提供的基于熵分析的智能电网通信网络流量异常检测方法,通过实时接收智能电网运行过程中产生的日志信息的特征值,计算每个特征值的熵,并进行归一化处理,生成熵向量;然后计算当前时间阈值与上一时间阈值的熵向量的差值,并根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型,同时指明攻击来源及攻击目标。该方法获取熵向量的方法比较简单,可以有效地满足智能电网日志信息实时检测的需求。另一方面,该方法不仅能检测出日志异常,而且能根据获取的日志信息判断出异常类型,进而获取智能电网日志异常产生的原因,可以很好地满足智能电网的检测需求。
附图说明
图1为本发明提供的基于熵分析的智能电网通信网络流量异常检测方法的流程图;
图2为本发明提供的实施例中,三种常见的网络流量攻击模式特点的展示图;
图3为本发明提供的一个实施例中,在时间阈值内不同特征值的变化状态图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步的详细说明。
如图1所示,本发明提供的基于熵分析的智能电网通信网络流量异常检测方法,具体包括如下步骤:首先,实时接收智能电网运行过程中产生的日志信息的特征值;其次,在时间阈值内,统计每个特征值出现的概率;然后,计算每个特征值的熵,并进行归一化处理,生成熵向量;最后,计算当前时间阈值与上一时间阈值的熵向量的差值,并根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型。下面对这一过程做详细具体的说明。
S1,实时接收智能电网运行过程中产生的日志信息的特征值。
实时接收在智能电网运行过程中产生的日志信息的特征值,便于在智能电网运行过程中及时对日志信息的特征值进行判断,如若网络流量出现异常,能够第一时间发现,并及时进行处理,能够有效地保证在网络异常出现初期检测出来。
在本发明所提供的实施例中,日志信息的特征值包括源IP地址、源端口号、目的IP地址和目的端口号。其中,源IP地址用srcIP代表,源端口号用srcPort代表,目的IP地址用dstIP代表,目的端口号用dstPort代表。通过对日志信息的特征值进行简单处理进而判断网络流量是否发生异常,简化了日志信息的处理过程,可以满足智能电网日志实时检测的需求。
S2,在时间阈值内,统计每个特征值出现的概率。
根据智能电网的运行特点和使用需求设定时间阈值,在时间阈值内,统计每个特征值出现的概率。
为了通过流量检测网络异常,此处用xi表示网络日志信息的特征值。前面已经述及,主要使用四个特征值:srcIP代表源IP地址,srcPort代表源端口号,dstIP代表目的IP地址,dstPort代表目的端口号。在时间阈值内,统计每个特征值出现的概率,包括如下步骤:S21,在时间阈值内,实时统计在智能电网运行过程中,每个源IP、源端口、目的IP、目的端口出现的次数。
S22,在时间阈值内,统计源IP、源端口、目的IP、目的端口出现的总数。
S23,用每个源IP、源端口、目的IP、目的端口出现的次数分别除以时间阈值内源IP、源端口、目的IP、目的端口出现的总数,分别得到源IP、源端口、目的IP、目的端口四个特征值出现的概率。
S3,计算每个特征值的熵,并进行归一化处理,生成熵向量。
根据如下公式计算每个特征值的熵:
其中,Hs(X)表示特征值的熵,p(xi)为特征值的概率,i=1,2,3,4。当i=1时,p(x1)为源IP的概率,Hs(X1)为源IP的熵;当i=2时,p(x2)为目的IP的概率,Hs(X2)为目的IP的熵,当i=3时,p(x3)为源端口的概率,Hs(X3)为源端口的熵;当i=4时,p(x4)为目的端口的概率,Hs(X4)为目的端口的熵。根据对数底数的不同,以上公式可以适用于多种单位。例如比特(a=2),纳特(a=e)和赫特利(a=10)等,采用不同单位需要用相应对数底数。在本发明所提供的实施例中,对数均取2为底数。
为定量比较熵时间间隔,对得到的各个特征值的熵进行归一化处理。其中,对每个源IP地址x1,可通过如下公式进行归一化处理:
Ht(sIP)=Hs(X1)/logN;
其中,Hs(X1)为源IP的熵,logN为归一化因数,N为测量区间内观测的活动源IP的个数。
对每个目的IP地址x2,可通过如下公式进行归一化处理:
Ht(sIP)=Hs(X2)/logN;
其中,Hs(X2)为目的IP的熵,logN为归一化因数,N为测量区间内观测的活动目的IP的个数。
对每个源端口地址x3,可通过如下公式进行归一化处理:
Ht(sIP)=Hs(X3)/logN;
其中,Hs(X3)为源端口的熵,logN为归一化因数,N为测量区间内观测的活动源端口的个数。
对每个目的端口地址x4,可通过如下公式进行归一化处理:
Ht(sIP)=Hs(X4)/logN;
其中,Hs(X4)为目的IP的熵,logN为归一化因数,N为测量区间内观测的活动目的端口的个数。
在本发明所提供的实施例中,选择可成对描述的四个特征(sIP,dIP,sPort,dPort),如源IP地址、源端口、目的IP地址和目的端口。
在每一个时间阈值内,根据归一化处理的特征值的熵生成熵向量。
Ht=[Ht(sIP),Ht(dIP),Ht(sPort),Ht(dPort)]
S4,重复步骤S1~S3,计算当前时间阈值与上一时间阈值的熵向量的差值,并根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型。
重复步骤S1~S3,不断计算当前时间阈值内的熵向量,计算当前时间阈值与上一时间阈值的熵向量的差值,并根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型。
根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型,具体包括如下步骤:
S41,通过分析常见网络流量攻击模式的特点,获取智能电网运行过程中出现常见网络流量攻击模式时,日志信息的特征值的熵的变化特征。
图2展示了三种常见的网络流量攻击模式。图2(a)中可以看出分布式拒绝服务攻击的典型特征是多台主机通过不同端口与一特定主机(端口)创建大量通信。与之类似,网络蠕虫从已感染主机通过随机生成的大量IP地址向易受攻击的其他主机发送随机探针,如图2(b)所示。而图2(c)中所示端口扫描则由单一主机通过单一IP地址和端口对不同目标主机地址和端口进行扫描等。
通过对常见的网络流量攻击模式进行分析,可以发现特征值的变化能够体现不同网络事件的特殊签名。在本发明所提供的实施例中,以主机扫描、反向散射、DDos和端口扫描等几类常见网络流量攻击模式为例进行说明,如下表1所示。但是在实际使用中,可以对大量网络流量攻击模式进行分析归纳总结,以便于在智能电网快速运行过程中,及时、全面、有效地对网络异常进行检测。
主机扫描 | 反向散射 | DDos | 端口扫描 | |
srcIP | ↑随机的 | ↓具体的 | ↑随机的 | ↓具体的 |
dstIP | ↑随机的** | ↑随机的** | ↓具体的 | ↓具体的 |
srcPort | ↑随机的* | ↓具体的 | ↑随机的* | ↑随机的* |
dstPort | ↓具体的 | ↑随机的* | ↓具体的 | ↑随机的 |
表1预期熵模式变化表
根据表1,可以得到当发生主机扫描时,当前时间阈值与上一时间阈值的熵向量的差值满足如下公式:
ΔHt1=[+Δh,(+Δh),+Δh,-Δh];
Backscatter(反向散射)定义为由用大量虚假地址进行DDos攻击造成的无意识影响。Backscatter(反向散射)通信发生在当受害者被虚假源地址进行Dos攻击并向虚假地址回应时。当前时间阈值与上一时间阈值的熵向量的差值满足如下公式:
ΔHt2=[-Δh,(+Δh),-Δh,+Δh];
DDos分布式拒绝服务是一种用大量盗用系统攻击个别系统导致拒绝服务的Dos攻击。DDos攻击的受害者遭受由端目标系统和所有被黑客恶意控制的系统组成的分布式攻击。当前时间阈值与上一时间阈值的熵向量的差值满足如下公式:
ΔHt3=[+Δh,-Δh,+Δh,-Δh];
可通过以上熵检测出此类攻击。
端口扫描方法可通过观察主机或网络对连接尝试的应答来确定某特定服务是否适用。针对此类特征,当前时间阈值与上一时间阈值的熵向量的差值满足如下公式时,可检测出此类攻击。
ΔHt4=[-Δh,-Δh,+Δh,+Δh]。
S42,获取智能电网运行过程中,当前时间阈值与上一时间阈值的熵向量的差值。
S43,判断熵向量的差值是否满足步骤S41中的熵的变化特征,如果满足任意一条变化特征,则发出报警信息,同时将该变化特征对应的网络流量攻击模式展示出来;否则转向步骤S43;
S44,无网络流量异常发生,继续实时接收下一时间阈值的日志数据的特征值。
智能电网作为一种集成配电系统和通讯网络的双向电力及信息流基础设施,在运行过程中会产生大量的日志信息,该智能电网通信网络流量异常方法中获取熵向量的方法比较简单,可以有效地满足智能电网日志实时检测的需求。另一方面,该智能电网通信网络流量异常方法不仅能检测出日志异常,而且能根据获取的日志信息判断出异常类型,进而获取智能电网日志异常产生的原因,可以很好地满足智能电网的检测需求。
下面通过实验评估对该智能电网通信网络流量异常方法的效果进行进一步说明。在本发明中,通过计算特征值的熵值展示原始数据和异常检测分析结果。
1)原始日志数据
本发明采集了智能电网信息控制网络从2014年12月30日至2015年1月1日三天的设备日志信息。并将将原始日志信息进行过滤,表2为所选取用于异常检测的样本记录。表中分别为:设备标识、源IP地址、源端口号、目的IP地址和目的端口号。
表2智能电网运行的设备日志信息表
对过滤后的原始日志信息进行总结,总结结果如下表3所示。此处选取时间间隔为1小时且每个小时从1开始编入索引。表3中只列出两个时间区段分别标为1和2。时间区域索引1,有13个源IP地址,1个源端口,9个目的IP地址和1个目的端口。且在第一个小时内,13.10.40.12为目的源IP地址出现了32次,0为源端口出现92次,13.101.141.2为目的IP地址被扫描了31次,0端口也被访问92次。同样时间区间索引2,有14个源IP地址,12个源端口,13个目的IP地址和55个目的端口出现。
表3日志信息总结表
2)实验结果
因为每天都有大量日志信息生成,所以在本发明中选取Hadoop Steaming的MapReduce规划模型来执行实验Python程序。表4中展示了索引1和2期间四个特征值的熵值。可以看出源(目的)IP地址熵值在索引1和2期间降低。而源(目的)端口熵值在此期间升高。图3展示了此趋势,通过该趋势可以推断出这种行为属于端口扫描,该结论也可以通过公式ΔHt4=[-Δh,-Δh,+Δh,+Δh]得到。
表4不同时刻特征值的熵值变化表
智能电网通信网络中不同设备有多种类型日志。并且这些日志中包含能够反映网络所面临威胁的重要信息。本实验中收集日志信息中四个特征值,计算比较其熵值,并将该方法拓展到Hadoop Streaming平台。实验结果显示可有效检测异常。
综上所述,本发明所提供的基于熵分析的智能电网通信网络流量异常检测方法,通过实时接收智能电网运行过程中产生的日志信息的特征值;在时间阈值内,统计每个特征值出现的概率;然后,计算每个特征值的熵,并进行归一化处理,生成熵向量;最后,计算当前时间阈值与上一时间阈值的熵向量的差值,并根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型。智能电网作在运行过程中会产生大量的日志信息,该智能电网通信网络流量异常方法中获取熵向量的方法比较简单,可以有效地满足智能电网日志实时检测的需求。另一方面,该方法不仅能检测出日志异常,而且能根据获取的日志信息判断出异常类型,进而获取智能电网日志异常产生的原因,可以很好地满足智能电网的检测需求。
以上对本发明所提供的基于熵分析的智能电网通信网络流量异常检测方法进行了详细的说明。对本领域的一般技术人员而言,在不背离本发明实质精神的前提下对它所做的任何显而易见的改动,都将构成对本发明专利权的侵犯,将承担相应的法律责任。
Claims (6)
1.一种基于熵分析的智能电网通信网络流量异常检测方法,其特征在于包括如下步骤:
S1,实时接收智能电网运行过程中产生的日志信息的特征值;
S2,在时间阈值内,统计每个特征值出现的概率;
S3,计算每个特征值的熵,并进行归一化处理,生成熵向量;
S4,重复步骤S1~S3,计算当前时间阈值与上一时间阈值的熵向量的差值,并根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型。
2.如权利要求1所述的基于熵分析的智能电网通信网络流量异常检测方法,其特征在于:
在步骤S1中,所述日志信息的特征值包括源IP地址、源端口号、目的IP地址和目的端口号。
3.如权利要求1所述的基于熵分析的智能电网通信网络流量异常检测方法,其特征在于在步骤S2中,所述在时间阈值内,统计每个特征值出现的概率包括如下步骤:
S21,在时间阈值内,实时统计在智能电网运行过程中,每个源IP、源端口、目的IP、目的端口出现的次数;
S22,在时间阈值内,统计源IP、源端口、目的IP、目的端口出现的总数;
S23,用每个源IP、源端口、目的IP、目的端口出现的次数分别除以时间阈值内源IP、源端口、目的IP、目的端口出现的总数,分别得到源IP、源端口、目的IP、目的端口四个特征值出现的概率。
4.如权利要求1所述的基于熵分析的智能电网通信网络流量异常检测方法,其特征在于:
在步骤S3中,对每个特征值的熵进行归一化处理采用如下公式:
Ht(Xi)=Hs(Xi)/logN;
其中,Hs(Xi)为特征值的熵,logN为归一化因数,N为时间阈值内观测的活动特征值的个数。
5.如权利要求1所述的基于熵分析的智能电网通信网络流量异常检测方法,其特征在于在步骤S3中,所述根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型,包括如下步骤:
S41,通过分析常见网络流量攻击模式的特点,获取智能电网运行过程中出现常见网络流量攻击模式时,日志信息的特征值的熵的变化特征;
S42,获取智能电网运行过程中,当前时间阈值与上一时间阈值的熵向量的差值;
S43,判断熵向量的差值是否满足步骤S41中的熵的变化特征,如果满足任意一条变化特征,则发出报警信息,同时将所述变化特征对应的网络流量攻击模式展示出来。
6.如权利要求5所述的基于熵分析的智能电网通信网络流量异常检测方法,其特征在于在步骤S3中,根据熵向量的差值以及网络流量攻击特点判断网络流量异常的类型,还包括如下步骤:
S44,当熵向量的差值不满足步骤S41中的熵的变化特征中的任意一条时,判定无网络流量异常发生,继续实时接收下一时间阈值的日志数据的特征值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610786684.1A CN106357434A (zh) | 2016-08-30 | 2016-08-30 | 一种基于熵分析的智能电网通信网络流量异常检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610786684.1A CN106357434A (zh) | 2016-08-30 | 2016-08-30 | 一种基于熵分析的智能电网通信网络流量异常检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106357434A true CN106357434A (zh) | 2017-01-25 |
Family
ID=57857561
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610786684.1A Pending CN106357434A (zh) | 2016-08-30 | 2016-08-30 | 一种基于熵分析的智能电网通信网络流量异常检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106357434A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107085544A (zh) * | 2017-04-19 | 2017-08-22 | 国家电网公司 | 一种系统错误定位方法及装置 |
CN108696486A (zh) * | 2017-04-10 | 2018-10-23 | 中国移动通信集团公司 | 一种异常操作行为检测处理方法及装置 |
CN109495443A (zh) * | 2018-09-13 | 2019-03-19 | 中国科学院信息工程研究所 | 一种基于主机蜜罐对抗勒索软件攻击的方法和系统 |
CN109726364A (zh) * | 2018-07-06 | 2019-05-07 | 平安科技(深圳)有限公司 | 用电量异常检测方法、装置、终端及计算机可读存储介质 |
CN109951420A (zh) * | 2017-12-20 | 2019-06-28 | 广东电网有限责任公司电力调度控制中心 | 一种基于熵和动态线性关系的多级流量异常检测方法 |
CN112219212A (zh) * | 2017-12-22 | 2021-01-12 | 阿韦瓦软件有限责任公司 | 异常工业处理操作的自动化检测 |
CN112448947A (zh) * | 2020-11-10 | 2021-03-05 | 奇安信科技集团股份有限公司 | 网络异常确定方法、设备及存储介质 |
CN113595995A (zh) * | 2021-07-12 | 2021-11-02 | 中国联合网络通信集团有限公司 | 一种容器零信任安全防护方法及系统 |
CN115189961A (zh) * | 2022-07-05 | 2022-10-14 | 中汽创智科技有限公司 | 一种故障识别方法、装置、设备及存储介质 |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101848160A (zh) * | 2010-05-26 | 2010-09-29 | 钱叶魁 | 在线检测和分类全网络流量异常的方法 |
US7823202B1 (en) * | 2007-03-21 | 2010-10-26 | Narus, Inc. | Method for detecting internet border gateway protocol prefix hijacking attacks |
CN102271091A (zh) * | 2011-09-06 | 2011-12-07 | 电子科技大学 | 一种网络异常事件分类方法 |
US20120117254A1 (en) * | 2010-11-05 | 2012-05-10 | At&T Intellectual Property I, L.P. | Methods, Devices and Computer Program Products for Actionable Alerting of Malevolent Network Addresses Based on Generalized Traffic Anomaly Analysis of IP Address Aggregates |
CN103281293A (zh) * | 2013-03-22 | 2013-09-04 | 南京江宁台湾农民创业园发展有限公司 | 一种基于多维分层相对熵的网络流量异常检测方法 |
CN103441982A (zh) * | 2013-06-24 | 2013-12-11 | 杭州师范大学 | 一种基于相对熵的入侵报警分析方法 |
CN104660464A (zh) * | 2015-01-22 | 2015-05-27 | 贵州电网公司信息通信分公司 | 一种基于非广延熵的网络异常检测方法 |
CN104883362A (zh) * | 2015-05-11 | 2015-09-02 | 北京交通大学 | 异常访问行为控制方法及装置 |
CN104883363A (zh) * | 2015-05-11 | 2015-09-02 | 北京交通大学 | 异常访问行为分析方法及装置 |
CN105429977A (zh) * | 2015-11-13 | 2016-03-23 | 武汉邮电科学研究院 | 基于信息熵度量的深度包检测设备异常流量监控方法 |
CN105515888A (zh) * | 2015-06-30 | 2016-04-20 | 国家电网公司 | 基于多维熵序列分类的智能变电站通信网络异常检测方法 |
CN105847283A (zh) * | 2016-05-13 | 2016-08-10 | 深圳市傲天科技股份有限公司 | 一种基于信息熵方差分析的异常流量检测方法 |
-
2016
- 2016-08-30 CN CN201610786684.1A patent/CN106357434A/zh active Pending
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7823202B1 (en) * | 2007-03-21 | 2010-10-26 | Narus, Inc. | Method for detecting internet border gateway protocol prefix hijacking attacks |
CN101848160A (zh) * | 2010-05-26 | 2010-09-29 | 钱叶魁 | 在线检测和分类全网络流量异常的方法 |
US20120117254A1 (en) * | 2010-11-05 | 2012-05-10 | At&T Intellectual Property I, L.P. | Methods, Devices and Computer Program Products for Actionable Alerting of Malevolent Network Addresses Based on Generalized Traffic Anomaly Analysis of IP Address Aggregates |
CN102271091A (zh) * | 2011-09-06 | 2011-12-07 | 电子科技大学 | 一种网络异常事件分类方法 |
CN103281293A (zh) * | 2013-03-22 | 2013-09-04 | 南京江宁台湾农民创业园发展有限公司 | 一种基于多维分层相对熵的网络流量异常检测方法 |
CN103441982A (zh) * | 2013-06-24 | 2013-12-11 | 杭州师范大学 | 一种基于相对熵的入侵报警分析方法 |
CN104660464A (zh) * | 2015-01-22 | 2015-05-27 | 贵州电网公司信息通信分公司 | 一种基于非广延熵的网络异常检测方法 |
CN104883362A (zh) * | 2015-05-11 | 2015-09-02 | 北京交通大学 | 异常访问行为控制方法及装置 |
CN104883363A (zh) * | 2015-05-11 | 2015-09-02 | 北京交通大学 | 异常访问行为分析方法及装置 |
CN105515888A (zh) * | 2015-06-30 | 2016-04-20 | 国家电网公司 | 基于多维熵序列分类的智能变电站通信网络异常检测方法 |
CN105429977A (zh) * | 2015-11-13 | 2016-03-23 | 武汉邮电科学研究院 | 基于信息熵度量的深度包检测设备异常流量监控方法 |
CN105847283A (zh) * | 2016-05-13 | 2016-08-10 | 深圳市傲天科技股份有限公司 | 一种基于信息熵方差分析的异常流量检测方法 |
Non-Patent Citations (1)
Title |
---|
牛国林: "多源流量特征分析方法及其在异常检测中的应用", 《解放军理工大学学报(自然科学版)》 * |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108696486A (zh) * | 2017-04-10 | 2018-10-23 | 中国移动通信集团公司 | 一种异常操作行为检测处理方法及装置 |
CN108696486B (zh) * | 2017-04-10 | 2021-03-05 | 中国移动通信集团公司 | 一种异常操作行为检测处理方法及装置 |
CN107085544A (zh) * | 2017-04-19 | 2017-08-22 | 国家电网公司 | 一种系统错误定位方法及装置 |
CN107085544B (zh) * | 2017-04-19 | 2020-04-17 | 国家电网公司 | 一种系统错误定位方法及装置 |
CN109951420B (zh) * | 2017-12-20 | 2020-02-21 | 广东电网有限责任公司电力调度控制中心 | 一种基于熵和动态线性关系的多级流量异常检测方法 |
CN109951420A (zh) * | 2017-12-20 | 2019-06-28 | 广东电网有限责任公司电力调度控制中心 | 一种基于熵和动态线性关系的多级流量异常检测方法 |
CN112219212A (zh) * | 2017-12-22 | 2021-01-12 | 阿韦瓦软件有限责任公司 | 异常工业处理操作的自动化检测 |
WO2020006841A1 (zh) * | 2018-07-06 | 2020-01-09 | 平安科技(深圳)有限公司 | 用电量异常检测方法、装置、终端及计算机可读存储介质 |
CN109726364A (zh) * | 2018-07-06 | 2019-05-07 | 平安科技(深圳)有限公司 | 用电量异常检测方法、装置、终端及计算机可读存储介质 |
CN109495443A (zh) * | 2018-09-13 | 2019-03-19 | 中国科学院信息工程研究所 | 一种基于主机蜜罐对抗勒索软件攻击的方法和系统 |
CN112448947A (zh) * | 2020-11-10 | 2021-03-05 | 奇安信科技集团股份有限公司 | 网络异常确定方法、设备及存储介质 |
CN112448947B (zh) * | 2020-11-10 | 2022-10-28 | 奇安信科技集团股份有限公司 | 网络异常确定方法、设备及存储介质 |
CN113595995A (zh) * | 2021-07-12 | 2021-11-02 | 中国联合网络通信集团有限公司 | 一种容器零信任安全防护方法及系统 |
CN115189961A (zh) * | 2022-07-05 | 2022-10-14 | 中汽创智科技有限公司 | 一种故障识别方法、装置、设备及存储介质 |
CN115189961B (zh) * | 2022-07-05 | 2024-04-30 | 中汽创智科技有限公司 | 一种故障识别方法、装置、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106357434A (zh) | 一种基于熵分析的智能电网通信网络流量异常检测方法 | |
CN105357063B (zh) | 一种网络空间安全态势实时检测方法 | |
CN108768946B (zh) | 一种基于随机森林算法的网络入侵检测方法 | |
CN102790700B (zh) | 一种识别网页爬虫的方法和装置 | |
CN112819336B (zh) | 一种基于电力监控系统网络威胁的量化方法及系统 | |
CN109600363A (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
CN108289088A (zh) | 基于业务模型的异常流量检测系统及方法 | |
CN104660464B (zh) | 一种基于非广延熵的网络异常检测方法 | |
CN107646190A (zh) | 使用傅里叶变换的恶意加密网络流量识别 | |
CN107637041A (zh) | 恶意加密网络流量识别的习得的简况 | |
CN110113353A (zh) | 一种基于cvae-gan的入侵检测方法 | |
CN107465667A (zh) | 基于规约深度解析的电网工控安全协同监测方法及装置 | |
Sato et al. | Unknown attacks detection using feature extraction from anomaly-based ids alerts | |
CN108512841A (zh) | 一种基于机器学习的智能防御系统及防御方法 | |
CN105959270A (zh) | 一种基于谱聚类算法的网络攻击检测方法 | |
CN110460611B (zh) | 基于机器学习的全流量攻击检测技术 | |
CN110113348A (zh) | 一种基于机器学习进行物联网威胁检测的方法 | |
CN117376031B (zh) | 基于数据分析的印控仪网络传输监管预警系统 | |
Chang et al. | An efficient network attack visualization using security quad and cube | |
CN101594352A (zh) | 基于新颖发现和窗函数的分类融合入侵检测方法 | |
Gautam et al. | Anomaly detection system using entropy based technique | |
CN106161241A (zh) | 一种无线传感器网络路由层低速洪泛攻击的检测方法 | |
CN109951484A (zh) | 针对机器学习产品进行攻击的测试方法及系统 | |
CN112468484B (zh) | 一种基于异常和信誉的物联网设备感染检测方法 | |
CN107800706A (zh) | 一种基于高斯分布模型的网络攻击动态监测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170125 |
|
RJ01 | Rejection of invention patent application after publication |