CN106470206B - 适用于异质网络架构的异常预测方法及系统 - Google Patents
适用于异质网络架构的异常预测方法及系统 Download PDFInfo
- Publication number
- CN106470206B CN106470206B CN201510529124.3A CN201510529124A CN106470206B CN 106470206 B CN106470206 B CN 106470206B CN 201510529124 A CN201510529124 A CN 201510529124A CN 106470206 B CN106470206 B CN 106470206B
- Authority
- CN
- China
- Prior art keywords
- packet
- gateway
- security strategy
- controller
- heterogeneous network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 230000002159 abnormal effect Effects 0.000 claims abstract description 33
- 230000005856 abnormality Effects 0.000 claims description 61
- 230000033001 locomotion Effects 0.000 claims description 52
- 238000012545 processing Methods 0.000 claims description 48
- 238000003860 storage Methods 0.000 claims description 41
- 230000005540 biological transmission Effects 0.000 claims description 36
- 230000009471 action Effects 0.000 claims description 14
- 230000004888 barrier function Effects 0.000 claims description 10
- 238000006243 chemical reaction Methods 0.000 claims description 8
- 238000004458 analytical method Methods 0.000 claims description 6
- 238000012546 transfer Methods 0.000 claims description 5
- 238000003780 insertion Methods 0.000 claims description 3
- 230000037431 insertion Effects 0.000 claims description 3
- 238000001514 detection method Methods 0.000 description 18
- 230000000875 corresponding effect Effects 0.000 description 15
- 238000007726 management method Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 238000001914 filtration Methods 0.000 description 4
- 238000012216 screening Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000001276 controlling effect Effects 0.000 description 3
- 230000006855 networking Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000037361 pathway Effects 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 230000026683 transduction Effects 0.000 description 2
- 238000010361 transduction Methods 0.000 description 2
- 238000004378 air conditioning Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013497 data interchange Methods 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000000855 fermentation Methods 0.000 description 1
- 230000004151 fermentation Effects 0.000 description 1
- 230000004907 flux Effects 0.000 description 1
- 206010022000 influenza Diseases 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种适用于异质网络架构的异常预测方法及系统。网关自电子装置接收包,并转换包使其符合交换格式。网关比对包与安全策略。在网关判定包无异常之后,传送包至控制器。控制器设定包的优先权,并转换包至目的格式,及暂存包至队列。依据包的优先权及目的地址,由控制器转送包至目的地址。本发明实施例的技术方案可阻挡来历不明的包或恶意包。
Description
技术领域
一种适用于异质网络架构的异常预测方法及系统。网关自电子装置接收包,并转换包使其符合交换格式。网关比对包与安全策略。在网关判定包无异常之后,传送包至控制器。控制器设定包的优先权,并转换包至目的格式,及暂存包至队列。依据包的优先权及目的地址,由控制器转送包至目的地址。
背景技术
网际网络的发展及运用不断成长,由原本桌上型电脑的时代慢慢转向为可携式电脑的时代,到现今热门的物联网(Internet of Things,IoT)时代,随着科技的演进与创新,能够连结网络的物品不再限制只有桌上型电脑、笔记型电脑、或智能手机,而是期待所有的物品皆能连网,以便能随时控管。基于此议题的发酵,各个领域及企业皆投入相当多的资源研发,也造成各企业采用的规格不一,造成前端及后端系统难以整合。
此外,连网物件不再只有电脑,各式物品连网后所产生的数据数据包含各式各样的信息,有一般信息、垃圾信息、紧急事件或其他许多有价值的数据。然而,当越来越多的数据或信息皆需通过网际网络来传递,势必引发网络频宽及网络安全问题。传统的网络防火墙只能作到限制开启通行端口、检测包异常情况,并不能作到预测包异常。
发明内容
本发明提供一种适用于异质网络架构的异常预测方法及系统,在网关中实作一防火墙机制,可立即阻挡来历不明的包或恶意包。
本发明的适用于异质网络架构的异常预测方法,包括:通过网关自电子装置接收包,并转换包使其符合交换格式,其中网关具有至少一第一安全策略;通过网关比对符合交换格式的包与第一安全策略,以判断包是否异常;在判定包无异常之后,通过网关传送包至控制器,而通过控制器基于至少一第二安全策略设定包的优先权;通过控制器转换符合交换格式的包至目的格式,并暂存包至队列(queue);以及依据包的优先权及目的地址,由控制器转送包至目的地址。
在本发明的一实施例中,上述第一安全策略记录有安全规则以及相对应的处理动作。网关在接收第一安全策略之后,转换第一安全策略为符合网关的储存表的格式,以写入第一安全策略至储存表。写入第一安全策略至储存表的步骤包括:写入安全规则至规则字段;以及写入处理动作至动作字段,其中储存表还包括状态字段,状态字段记录网关接收到包的包计数。
在本发明的一实施例中,上述基于第一安全策略,通过网关判断符合交换格式的包是否异常的步骤包括:比对所接收的包与安全规则;以及在判定包与安全规则相匹配时,通过网关获得相匹配的安全规则所对应的处理动作。
在本发明的一实施例中,在处理动作为启动(active)动作的情况下,通过网关直接传送包至控制器。在处理动作为过滤(filter)动作的情况下,通过网关调整包后,传送包至控制器。在处理动作为阻隔(block)动作的情况下,通过网关阻隔包,使得网关不传送包。
在本发明的一实施例中,上述第二安全策略记录有安全规则以及优先权信息。通过控制器转换第二安全策略为符合控制器的储存表的格式,以写入第二安全策略至储存表。写入第二安全策略至储存表的步骤包括:写入安全规则至规则字段;以及写入优先权信息至优先权字段。
在本发明的一实施例中,上述通过网关传送包至制器之后,控制器比对所接收的包与安全规则;以及在判定包与安全规则相匹配时,基于所述优先权信息来设定所述包的所述优先权。
在本发明的一实施例中,上述异常预测方法还包括:通过控制器来产生第一安全策略与第二安全策略,并通过控制器传送第一安全策略至网关。产生第一安全策略与第二安全策略的步骤包括:分析多个包记录,以获得异常群组以及误用群组;自异常群组获得正向样本,并自误用群组获得负向样本;以及基于正向样本以及负向样本,建立第一安全策略与第二安全策略。
在本发明的一实施例中,上述包记录储存在训练数据库,而正向样本与负向样本储存在模式(pattern)数据库。
在本发明的一实施例中,上述在通过网关传送包至控制器的步骤之后,更可通过控制器判断传送包的网关是否合法。在判定网关合法时,通过控制器转换符合交换格式的包至目的格式。在判定网关不合法时,不转送包至目的地址。
在本发明的一实施例中,依据包所记录的优先权及目的地址,由控制器转送包至目的地址的步骤包括:由控制器传送包至网关,再由网关传送包至目的地址。
在本发明的一实施例中,上述交换格式为多协议标记交换格式(Multi-ProtocolLabel Switching,MPLS),而转换包使其符合交换格式的步骤包括:在包中插入标记标头(label header),其中标记标头包括标记转换路径。
本发明的适用于异质网络架构的异常预测系统,包括:网关以及异常预测装置。网关具有至少一第一安全策略。控制器包括协议转换器。网关自电子装置接收包,并转换包使其符合交换格式,并比对符合交换格式的包与第一安全策略,以判断包是否异常,进而在判定包无异常之后,传送包至控制器。控制器在接收到包之后,基于第二安全策略设定包的优先权,并转换符合交换格式的包至目的格式,以及暂存包至队列。并且,依据包的优先权及目的地址,由控制器转送包至目的地址。
在本发明的一实施例中,所述至少一第一安全策略记录有一安全规则以及相对应的一处理动作,
所述网关在接收所述至少一第一安全策略之后,转换所述至少一第一安全策略为符合所述网关的一储存表的格式,以写入所述至少一第一安全策略至所述储存表,所述储存表包括:
一规则字段,记录所述安全规则;
一动作字段,记录所述处理动作;以及
一状态字段,记录所述网关接收到所述包的包计数。
在本发明的一实施例中,所述至少一第一安全策略记录有一安全规则以及相对应的一处理动作,而所述网关比对所接收的所述包与所述安全规则,并在判定所述包与所述安全规则相匹配时,获得相匹配的所述安全规则所对应的所述处理动作。
在本发明的一实施例中:
在所述处理动作为一启动动作的情况下,所述网关直接传送所述包至所述控制器;
在所述处理动作为一过滤动作的情况下,所述网关调整所述包后,传送所述包至所述控制器;以及
在所述处理动作为一阻隔动作的情况下,所述网关阻隔所述包,使得所述网关不传送所述包。
在本发明的一实施例中,所述至少一第二安全策略记录有一安全规则以及一优先权信息,
所述控制器转换所述至少一第二安全策略为符合所述控制器的一储存表的格式,以写入所述至少一第二安全策略至所述储存表,所述储存表包括:
一规则字段,记录所述安全规则;
一优先权字段,记录所述优先权信息。
在本发明的一实施例中,所述至少一第二安全策略记录有一安全规则以及一优先权信息,而在通过所述网关传送所述包至所述控制器之后,所述控制器比对所接收的所述包与所述安全规则,并在判定所述包与所述安全规则相匹配时,基于所述优先权信息来设定所述包的所述优先权。
在本发明的一实施例中,还包括一异常预测装置,其中所述异常预测装置包括:
一训练数据库,储存多个包记录;
一模式数据库,储存一异常群组以及一误用群组;
所述控制器,包括:
一分类器,分析多个包记录,以获得所述异常群组以及所述误用群组;
一识别器,自所述异常群组获得一正向样本,并自所述误用群组获得一负向样本;以及
一产生器,基于所述正向样本以及所述负向样本,建立所述至少一第一安全策略及所述至少一第二安全策略;以及
一传输模组,传送所述至少一第一安全策略至所述网关。
在本发明的一实施例中,所述控制器还包括:
一装置管理服务器,判断传送所述包的所述网关是否合法,在判定所述网关合法时,通过所述协议转换器转换符合所述交换格式的所述包至所述目的格式,并且,在判定所述网关不合法时,不传送所述包至所述目的地址。
在本发明的一实施例中,所述交换格式为多协议标记交换格式,所述控制器在所述包中插入一标记标头以转换所述包为符合所述交换格式,其中所述标记标头包括一标记转换路径。
在本发明的一实施例中,所述控制器传送所述包至所述网关,再由所述网关传送所述包至所述目的地址。
在本发明的一实施例中,所述控制器依据所述优先权决定所述包在所述队列中的顺序。
基于上述,通过与上述安全策略的比对,可将异常的包直接丢弃不处理,而将正常的包放入队列中,并依照队列中各包的优先权而依序将包传送至目的地址。即,利用优先权来达成流量的控管。另外,由于网关所判定的异常包并不会储存至队列中,因此可加快其他包的传送速度,可做到即时分流,达到网络流量负载平衡功能。
为让本发明的上述特征和优点能更明显易懂,下文特举实施例,并配合所附附图作详细说明如下。
附图说明
图1是依照本发明一实施例的适用于异质网络架构的异常预测系统的方块图。
图2是依照本发明一实施例的网关的储存表的示意图。
图3是依照本发明一实施例的适用于异质网络架构的异常预测方法的流程图。
图4是依照本发明一实施例的控制器的储存表的示意图。
其中,附图标记说明如下:
10:异常预测装置
20:网关
30:电子装置
100:异常预测系统
110:控制器
111:协议转换器
112:装置管理服务器
113:队列
114:分类器
115:识别器
116:产生器
120:训练数据库
130:模式数据库
140:传输模组
150:储存表
F1、F5:规则字段
F2:动作字段
F3:状态字段
F6:优先权字段
F11:来源/目的字段
F12:标签字段
F13:特征字段
S305~S325:适用于异质网络架构的异常预测方法各步骤
具体实施方式
图1是依照本发明一实施例的适用于异质网络架构的异常预测系统的方块图。请参照图1,异常预测系统100包括异常预测装置10以及网关20。网关20的数量可以为一个或多个。异常预测装置10可以通过有线或无线的方式耦接至网关20。在本实施例中,网关20耦接至一或多台电子装置30。网关20由软体来实现,而以软体定义(software-defined)来实现,进而可安装在各种平台上,如个人电脑、笔记型电脑、平板电脑、智能手机、智能手表、连网电视、代理服务器、服务器等等。
举例来说,异常预测系统100可应用于基于智能居家医疗照护环境的物联网(Internet of Things,IoT)。此时,电子装置30例如为智能冷气、智能电视、智能冰箱、智能衣服、智能手表等具有感测元件以及连网功能的电子产品。然,上述仅为其中一种应用,并不以此限缩异常预测系统100的应用范围。
异常预测装置10例如为服务器、个人电脑、笔记型电脑、平板电脑、智能型手机等具有运算能力的装置。异常预测装置10用以依据多个包记录来产生安全策略(policy)。而这些包记录包括由网关20或电子装置30所回传的包记录,也可以包括由外部的信息交换平台(未示出)所提供的包记录。在数据交换平台中的包记录可以是由厂商或其他使用者分享。
异常预测装置10包括控制器110、训练数据库120、模式(pattern)数据库130以及传输模组140。控制器110例如为中央处理单元(Central Processing Unit,CPU)、可程序化的微处理器(Microprocessor)、嵌入式控制晶片、数位信号处理器(Digital SignalProcessor,DSP)、特殊应用集成电路(Application Specific Integrated Circuits,ASIC)或其他类似装置。
控制器110还包括了协议转换器111、装置管理服务器112、队列(queue)113、分类器114、识别器115以及产生器116。本实施例例如是以程序码来实现异常预测方法。利用程序码来实现上述协议转换器111、装置管理服务器112、队列113、分类器114、识别器115以及产生器116的功能。上述协议转换器111、装置管理服务器112、队列113、分类器114、识别器115以及产生器116是由一或多个程序码片段所组成,上述程序码片段在被安装后,会由控制器110来执行。在其他实施例中,上述协议转换器111、装置管理服务器112、队列113、分类器114、识别器115以及产生器116亦可以由硬体处理器或者由一个或多个逻辑闸晶片来实现。
训练数据库120储存多个包记录。模式数据库(pattern database)130用以储存经由训练(training)所获得的样本特征。详细地说,通过网关20来收集各电子装置30的包记录,并且通过网关20将所收集的包记录传送至异常预测系统的训练数据库120。并且,由控制器110来对这些包记录进行分析、归类、识别等,进而建置出模式数据库130。
具体而言,控制器110通过分类器114、识别器115以及产生器116,基于误用群组及异常群组来建立安全策略;并且,通过协议转换器111、装置管理服务器112及队列113来协助转发包。
分类器114分析多个包记录,以获得所述异常群组以及所述误用群组。例如,分类器114利用最近邻居(K-Nearest Neighbors,KNN)演算法来执行误用检测(misusedetection)及异常检测(anomaly detection)。通过误用检测来获得误用群组及通过异常检测来获得异常群组。并且,将误用群组及异常群组储存至模式数据库130。
识别器115自异常群组获得正向样本,并自误用群组获得负向样本。在此,识别器115先将已知为病毒或异常的包切割为最小单位,例如为标签(tag)、字段(column)等单位,并且定义各个标签(tag)。例如,“标签1”为时间戳记(timestamp)、“标签2”为来源地址、“标签3”为包尺寸、“标签4”为协议型态(protocol type)。
误用检测是将各种已知的入侵模式或攻击行为等特征建成数据库,以模式配对(Pattern Matching)的方式来分析比对来源数据是否有入侵模式或攻击行为等模式,若有,则判断其为入侵。误用检测所获得的是负向样本。
而异常检测会先建立使用者的一般设定档(normal profile),定义正常的标准值,若检测到某些行为超过标准值,则判定有入侵行为发生。异常检测所获得的是正向样本。即,正向样本可用以规范网络正常行为,凡不在此正常行为范围者,都视为异常。特征样本亦可规范网络不正常行为,凡不在此特征行为范围者,都视为正常。
例如,将符合下述条件的包设定至异常群组,即,每秒钟的包计数(packet count)小于5,包大小小于100K,端口口80,以及来自相同的网际网络(Internet protocol,IP)地址的目的IP地址。
产生器116基于正向样本以及负向样本,建立第一安全策略以及第二安全策略。上述第一安全策略供网关20使用,而第二安全策略供控制器110使用。例如,产生器116依据正向样本的特征来建立对应的第一安全策略以及第二安全策略,并且依据负向样本的特征来建立对应的第一安全策略以及第二安全策略。例如,第一安全策略中规范了如下的条件,即,每秒钟的包计数小于10,端口口80,包大小小于或等于343位元组(bytes),对话计数(session count)大于或等于50,而将不符合上述条件的包视为是异常包。
例如,以异常检测为例,控制器110通过数据分析来设定壅塞阀值的合理数值范围。接着,基于壅塞阀值以及异常群组中累积至目前的包记录,来建立第一安全策略以及第二安全策略。误用检测亦以此类推。上述安全策略例如为使用权限、使用频率、数据量、优先权至少其中之一或其组合,然并不以此为限。
之后,控制器110通过传输模组140将第一安全策略传送至网关20,通过将第一安全策略记录在网关20中来实现防火墙的功能。在接收到第一安全策略之后,网关20会进一步将第一安全策略转换为符合其储存表150的格式,以写入第一安全策略至储存表150。
图2是依照本发明一实施例的网关的储存表的示意图。第一安全策略记录有安全规则以及相对应的处理动作。网关20在接收到第一安全策略之后,会将第一安全策略转换为符合其储存表150的格式,而将安全规则与处理动作写入至对应的字段中。
请参照图2,储存表150包括三个字段,即,规则字段F1、动作字段F2以及状态字段F3。网关20在获得第一安全策略之后,将安全规则写入至规则字段F1,并且将处理动作写入至动作字段。处理动作例如启动(active)动作、过滤(filter)动作或阻隔(block)动作。规则字段F1包括来源/目的字段F11、标签(tag)字段F12以及特征字段F13。来源/目的字段F11记录IP地址或是媒体存取控制器(medium access controller,MAC)地址。标签字段F12记录执行动作。特征字段F13记录标签的内容参数。动作字段F2记录处理动作。状态字段F3记录包计数及会话计数。
在本实施例中,当所匹配的安全规则对应的处理动作为过滤动作或阻隔动作时,判定包为异常。而当所匹配的安全规则对应的处理动作为启动动作时,判定包无异常。而在处理动作为启动动作的情况下,通过网关20直接传送包至控制器110。在处理动作为过滤动作的情况下,通过网关20调整包后,传送包至控制器110。在处理动作为阻隔动作的情况下,通过网关20阻隔此包,使得此包不会传送至控制器110。
另外,在其他实施例中,第一安全策略中的安全规则亦可以仅是用来定义所接收的包是否为合法的安全规则,进而对应的动作字段则是记录在判定包为不合法(异常)的情况下的防止异常动作(过滤动作或阻隔动作)。例如,当包与安全规则相匹配时,判定无异常,则直接传送包至控制器110。当包未与安全规则相匹配时,判定为异常,进而读取对应的动作字段来获得处理动作。
图4是依照本发明一实施例的控制器的储存表的示意图。第二安全策略记录有安全规则以及优先权信息。控制器110转换第二安全策略为符合控制器110的储存表410的格式,而将安全规则与优先权信息写入至对应的字段中。
请参照图4,储存表410包括两个字段,即,规则字段F5以及优先权字段F6。规则字段F5用以记录安全规则,其与图2所示的规则字段F1相同,故,在此不再赘述。优先权字段F6用以记录优先权信息。在网关20传送包至制器110之后,控制器110比对所接收的包与安全规则,而在判定包与安全规则相匹配时,基于优先权信息来设定包的优先权。
底下搭配上述异常预测系统100来说明异常预测方法的各步骤。图3是依照本发明一实施例的适用于异质网络架构的异常预测方法的流程图。请同时参照图1及图3,在步骤S305中,通过网关20自电子装置30接收包,并转换此包使其符合一交换格式。在此,网关20为了适应各种包格式而提供了一种交换格式。上述交换格式例如多协议标记交换(Multi-Protocol Label Switching,MPLS)格式。
MPLS是一种整合了标签交换架构与网络层的路由机制的技术,其概念是将进入网关20的包配置一个固定长度的标记标头(label header),之后便能够根据包中的标记标头来执行转发(forward)动作。一般而言,标记标头是插入于包(Packet)的第二层数据链结层(data link layer)与第三层网络层(network layer)的标头之间。而在标记标头中记录标记转换路径。据此,在后续转送过程中便是通过标记标头来决定包在网络上的传送路径,而不会去读取第三层的标头。
接着,在步骤S310中,通过网关20来比对符合交换格式的包与第一安全策略。网关20比对所接收的包与储存表安全规则。在判定包与安全规则相匹配时,通过网关20获得相匹配的安全规则所对应的处理动作。处理动作例如启动(active)动作、过滤(filter)动作或阻隔(block)动作。
在处理动作为启动动作的情况下,通过网关20直接传送包至控制器110。在处理动作为过滤动作的情况下,通过网关20调整包后,传送包至控制器110。在处理动作为阻隔动作的情况下,通过网关20阻隔此包,使得此包不会传送至控制器110。另外,在处理动作为阻隔动作的情况下,还可进一步通过网关20传送包至控制器110或另一个网关。
之后,在步骤S315中,在判定包无异常之后,通过网关20传送包至控制器110,而通过控制器110基于第二安全策略设定包的优先权。此时,所传送的包为符合交换格式。
当包进入到网关20时,网关20会查询所记载的第一安全策略,以判断包是否异常。而不管包是否异常皆会累计包计数。据此,可进一步统计在一时间区段内所接收到的包的数量,而可以此包计数来进一步更新安全策略。例如,以原本第一安全策略中所设定的壅塞阀值最大为5次/10秒而言,假设在10秒内自来源地址aa接收到10次的包,则前5次所接收的包皆会被执行,而在第6次之后接收到的包将不会被执行。而在将这次的接收记录回传至控制器110后,控制器110会去更新第一、第二安全策略,例如,直接封锁来源地址aa,拒绝来源地址aa所传送的包。然,上述仅为举例说明,并不以此为限。
在控制器110接收到包之后,控制器110会基于第二安全策略中的优先权信息来设定包的优先权。并且,在接收到包之后,控制器110还可进一步依据储存表410来比对所接收的包与安全规则,而在判定包与安全规则相匹配时,基于优先权信息来设定包的优先权。
例如,优先权信息包括三个标签(tag),标签1为目的地址(IP=10.25.1.1),标签2为通信端口(port=25),标签3为包尺寸(bytes<=10M)。当包符合上述优先权信息,则表示此一包具有高优先权。
例如,优先权亦可进一步设定级别,例如,优先权设定为1表示最高优先权,数字越高表示优先权越低。在此,控制器110可通过分析历史数据而知道地址10.25.1.1及通信端口25为警报系统,因而其优先权设定为1。
例1,可利用最近邻居(k-nearest neighbors,KNN)演算法在分群时,标记每一群的优先权。例如,将较大群的优先权设定为3,将较小群的优先权设定为1。
例2,可由使用者自行设定地址10.25.1.1拥有最高优先权1,而恒温系统、空调系统、监视系统等IP地址为次高优先权2。
例3,可进一步对历史数据进行分类,如,安全、生活、育乐等类别,再依类别来进行设定优先权的高低。
例4,将感测装置(温度传感器、红外线传感器)等地址的优先权设定为1,一般家电设定为2,行动装置设定为3。
举例来说,假设警报系统想通过智能电视发出警告,告知瓦斯炉温度过高。由于瓦斯炉的温度传感器的优先权为1,且警报系统的优先权亦为1,故,瓦斯炉的温度传感器所发出的包为最优先传送。而警报系统(优先权为1)传送包给智能电视(优先权为2),因其来源的优先权为1,故警报系统所传送的包仍是最优先传送。
再举例来说,假设使用者通过手机打开家中冷气。在此,假设手机的优先权为3,冷气的优先权为2。则手机所传送的包为次优先传送。
例5,亦可经由分析来定义一组“来源地址->目的地址”。例如,来源地址为温度传感器,目的地址为冷气(即,由温度传感器传送包给冷气),其优先权为2;来源地址为温度传感器,目的地址为电视(即,温度传感器传送包给电视),其优先权为1。
然,上述仅为举例说明,并不以此为限。
之后,在步骤S320中,控制器110利用协议转换器110将符合交换格式的包转换为目的格式,并暂存包至队列。例如,目的格式为JSON(JavaScript Object Notation)或XML(eXtensible Markup Language)等。例如,依据优先权决定包在队列中的顺序,即,队列中的包是按照优先权来进行排序。
之后,在步骤S325中,依据包的优先权及目的地址,由控制器110转送包至目的地址。此外,亦可由控制器110传送包至网关20,再由网关20传送包至目的地址。
另外,在控制器110接收到包之后,还可进一步通过装置管理服务器112来判断传送此包的网关20是否合法。例如,装置管理服务器112中记录有其允许的网关地址。当装置管理服务器112未记载此网关20的地址,则无法识别传送此包的网关20时,因而判定网关20为不合法,而忽略或删除此包,使得此包不会被转送至目的地址。在判定网关20合法时,通过协议转换器110转换符合交换格式的包至目的格式。
而控制器110在接收到包,并将符合交换格式的包转换为目的格式之后,可进一步将此包储存至训练数据库120,以进一步来更新安全策略。
综上所述,并且,利用控制器从每次所接收的数据(包)中抽丝剥茧,将每天每秒产生的数据,经过收集、分类、归纳及分析评估,最后将“事后的分析数据”,产出成为“事前的预测信息”(即,安全策略),并提供给网关来执行即时异常判断,而非传统系统所作的事后处理。据此,可加快处理判别包的异常。并且,将正常的包放入队列中,并依照其优先权而直接传送至目的地址,可做到即时分流,达到网络流量负载平衡功能。另外,利用了误用检测以及异常检测两种检测法,可即时依双模型来建立筛选包的安全策略。由于结合了两种检测法来建立安全策略,进而提高了筛选包的准确率。
在此,当很多包一起涌入控制器时,传统方法可能采用先进先出方式来处理包,然而在流量庞大时,此方式会造成严重瓶颈。据此,本实施例提出运用智能分流方法来避免上述情况的发生。例如,一般在网络上有非常多包在传送,当一个未知包进入时,控制器采用KNN演算法对包先进行分类,以期增进包辨认分流速度。当包特征偏向“已知群组”,则先采用异常检测来进行其他特征的筛选。而当包特征偏向“未知群组”,则采用误用检测来进行其他特征的筛选。
而在网关收到包后,此包即会依照第一安全策略进行比对,并且被判别为异常的包则不处理。据此,可作到减低流量的作用。另外,在控制器接收到包后,依据第二安全策略的优先权信息(例如,包来源=指定地址)进行比对,若所述包来源符合指定地址,则优先放入队列中。此种作法改变了原来先进先出的模式,进而可改善流量控管。
也就是说,异常的包做修改或直接丢弃不作处理,而将正常包放置队列中,并可设定优先权顺序,直接传送到目的地址,以加快处理判别包的异常,进而作到即时分流,达到网络流量负载平衡功能(Inbound/Outbound Load Balance)。
虽然本发明已以实施例公开如上,然其并非用以限定本发明,任何所属技术领域中具有通常知识者,在不脱离本发明的精神和范围内,当可作些许的更动与润饰,故本发明的保护范围当视后附的申请专利范围所界定者为准。
Claims (23)
1.一种适用于异质网络架构的异常预测方法,其特征在于,包括:
通过一控制器分析多个包记录来获得一正向样本以及一负向样本,基于所述正向样本以及所述负向样本,建立至少一第一安全策略及至少一第二安全策略;
通过所述控制器传送所述至少一第一安全策略至一网关;
通过所述网关自一电子装置接收一包,并转换所述包使其符合一交换格式,其中所述网关具有所述至少一第一安全策略;
通过所述网关比对符合所述交换格式的所述包与所述至少一第一安全策略,以判断所述包是否异常;
在判定所述包无异常之后,通过所述网关传送所述包至一控制器,通过所述控制器基于所述至少一第二安全策略设定所述包的一优先权;
通过所述控制器转换符合所述交换格式的所述包至一目的格式,并暂存所述包至一队列;以及
依据所述包的所述优先权及一目的地址,由所述控制器转送所述包至所述目的地址。
2.如权利要求1所述的适用于异质网络架构的异常预测方法,其特征在于,所述至少一第一安全策略记录有一安全规则以及相对应的一处理动作,而所述异常预测方法还包括:
所述网关在接收所述至少一第一安全策略之后,转换所述至少一第一安全策略为符合所述网关的一储存表的格式,以写入所述至少一第一安全策略至所述储存表,其中写入所述至少一第一安全策略至所述储存表的步骤包括:
写入所述安全规则至一规则字段;以及
写入所述处理动作至一动作字段,其中所述储存表还包括一状态字段,所述状态字段记录所述网关接收到所述包的包计数。
3.如权利要求1所述的适用于异质网络架构的异常预测方法,其特征在于,所述至少一第一安全策略记录有一安全规则以及相对应的一处理动作,而基于所述至少一第一安全策略,通过所述网关判断符合所述交换格式的所述包是否异常的步骤包括:
比对所接收的所述包与所述安全规则;以及
在判定所述包与所述安全规则相匹配时,通过所述网关获得相匹配的所述安全规则所对应的所述处理动作。
4.如权利要求3所述的适用于异质网络架构的异常预测方法,其特征在于,在所述包与所述安全规则相匹配的情况下,通过所述网关获得相匹配的所述安全规则所对应的所述处理动作,还包括:
在所述处理动作为一启动动作的情况下,通过所述网关直接传送所述包至所述控制器;
在所述处理动作为一过滤动作的情况下,通过所述网关调整所述包后,传送所述包至所述控制器;以及
在所述处理动作为一阻隔动作的情况下,通过所述网关阻隔所述包,使得所述网关不传送所述包。
5.如权利要求1所述的适用于异质网络架构的异常预测方法,其特征在于,所述至少一第二安全策略记录有一安全规则以及一优先权信息,而所述异常预测方法还包括:
通过所述控制器转换所述至少一第二安全策略为符合所述控制器的一储存表的格式,以写入所述至少一第二安全策略至所述储存表,其中写入所述至少一第二安全策略至所述储存表的步骤包括:
写入所述安全规则至一规则字段;以及
写入所述优先权信息至一优先权字段。
6.如权利要求1所述的适用于异质网络架构的异常预测方法,其特征在于,所述至少一第二安全策略记录有一安全规则以及一优先权信息,而在通过所述网关传送所述包至所述控制器之后,还包括:
比对所接收的所述包与所述安全规则;以及
在判定所述包与所述安全规则相匹配时,基于所述优先权信息来设定所述包的所述优先权。
7.如权利要求1所述的适用于异质网络架构的异常预测方法,其特征在于,还包括:
通过所述控制器来产生所述至少一第一安全策略及所述至少一第二安全策略的步骤还包括:
分析多个包记录,以获得一异常群组以及一误用群组;以及
自所述异常群组获得一正向样本,并自所述误用群组获得一负向样本。
8.如权利要求7所述的适用于异质网络架构的异常预测方法,其特征在于,所述多个包记录储存在一训练数据库,而所述正向样本与所述负向样本储存在一模式数据库。
9.如权利要求1所述的适用于异质网络架构的异常预测方法,其特征在于,在通过所述网关传送所述包至所述控制器的步骤之后,还包括:
通过所述控制器判断传送所述包的所述网关是否合法;
在判定所述网关合法时,通过所述控制器转换符合所述交换格式的所述包至所述目的格式;以及
在判定所述网关不合法时,不传送所述包至所述目的地址。
10.如权利要求1所述的适用于异质网络架构的异常预测方法,其特征在于,由所述控制器转送所述包至所述目的地址的步骤包括:
由所述控制器传送所述包至所述网关,再由所述网关传送所述包至所述目的地址。
11.如权利要求1所述的适用于异质网络架构的异常预测方法,其特征在于,所述交换格式为多协议标记交换格式,而转换所述包使其符合所述交换格式的步骤包括:
在所述包中插入一标记标头,其中所述标记标头包括一标记转换路径。
12.如权利要求1所述的适用于异质网络架构的异常预测方法,其特征在于,暂存所述包至所述队列的步骤包括:
依据所述优先权决定所述包在所述队列中的顺序。
13.一种适用于异质网络架构的异常预测系统,其特征在于,包括:
一控制器,包括:
一分类器,分析多个包记录;
一识别器,根据所述多个包记录的分析结果获得一正向样本和一负向样本;以及
一产生器,基于所述正向样本以及所述负向样本,建立至少一第一安全策略及至少一第二安全策略;以及
一传输模组,传送所述至少一第一安全策略至一网关;
所述网关,自一电子装置接收一包,并转换所述包使其符合一交换格式,并比对符合所述交换格式的所述包与所述至少一第一安全策略,以判断所述包是否异常,进而在判定所述包无异常之后,传送所述包;以及
所述控制器还包括:
一协议转换器,在自所述网关接收到所述包之后,基于所述至少一第二安全策略设定所述包的一优先权,转换符合所述交换格式的所述包至一目的格式,并暂存所述包至一队列,并且,依据所述包的所述优先权及一目的地址,由所述控制器转送所述包至所述目的地址。
14.如权利要求13所述的适用于异质网络架构的异常预测系统,其特征在于,所述至少一第一安全策略记录有一安全规则以及相对应的一处理动作,
所述网关在接收所述至少一第一安全策略之后,转换所述至少一第一安全策略为符合所述网关的一储存表的格式,以写入所述至少一第一安全策略至所述储存表,所述储存表包括:
一规则字段,记录所述安全规则;
一动作字段,记录所述处理动作;以及
一状态字段,记录所述网关接收到所述包的包计数。
15.如权利要求13所述的适用于异质网络架构的异常预测系统,其特征在于,所述至少一第一安全策略记录有一安全规则以及相对应的一处理动作,而所述网关比对所接收的所述包与所述安全规则,并在判定所述包与所述安全规则相匹配时,获得相匹配的所述安全规则所对应的所述处理动作。
16.如权利要求15所述的适用于异质网络架构的异常预测系统,其特征在于:
在所述处理动作为一启动动作的情况下,所述网关直接传送所述包至所述控制器;
在所述处理动作为一过滤动作的情况下,所述网关调整所述包后,传送所述包至所述控制器;以及
在所述处理动作为一阻隔动作的情况下,所述网关阻隔所述包,使得所述网关不传送所述包。
17.如权利要求13所述的适用于异质网络架构的异常预测系统,其特征在于,所述至少一第二安全策略记录有一安全规则以及一优先权信息,
所述控制器转换所述至少一第二安全策略为符合所述控制器的一储存表的格式,以写入所述至少一第二安全策略至所述储存表,所述储存表包括:
一规则字段,记录所述安全规则;
一优先权字段,记录所述优先权信息。
18.如权利要求13所述的适用于异质网络架构的异常预测系统,其特征在于,所述至少一第二安全策略记录有一安全规则以及一优先权信息,而在通过所述网关传送所述包至所述控制器之后,所述控制器比对所接收的所述包与所述安全规则,并在判定所述包与所述安全规则相匹配时,基于所述优先权信息来设定所述包的所述优先权。
19.如权利要求13所述的适用于异质网络架构的异常预测系统,其特征在于,还包括一异常预测装置,其中所述异常预测装置包括:
一训练数据库,储存多个包记录;
一模式数据库,储存一异常群组以及一误用群组;
其中,所述控制器的分类器通过分析多个包记录以获得所述异常群组以及所述误用群组;以及
所述识别器自所述异常群组获得所述正向样本,并自所述误用群组获得所述负向样本。
20.如权利要求13所述的适用于异质网络架构的异常预测系统,其特征在于,所述控制器还包括:
一装置管理服务器,判断传送所述包的所述网关是否合法,在判定所述网关合法时,通过所述协议转换器转换符合所述交换格式的所述包至所述目的格式,并且,在判定所述网关不合法时,不传送所述包至所述目的地址。
21.如权利要求13所述的适用于异质网络架构的异常预测系统,其特征在于,所述交换格式为多协议标记交换格式,所述控制器在所述包中插入一标记标头以转换所述包为符合所述交换格式,其中所述标记标头包括一标记转换路径。
22.如权利要求13所述的适用于异质网络架构的异常预测系统,其特征在于,所述控制器传送所述包至所述网关,再由所述网关传送所述包至所述目的地址。
23.如权利要求13所述的适用于异质网络架构的异常预测系统,其特征在于,所述控制器依据所述优先权决定所述包在所述队列中的顺序。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW104126592A TWI583152B (zh) | 2015-08-14 | 2015-08-14 | 適用於異質網路架構的異常預測方法及系統 |
| TW104126592 | 2015-08-14 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106470206A CN106470206A (zh) | 2017-03-01 |
| CN106470206B true CN106470206B (zh) | 2019-08-09 |
Family
ID=57994498
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510529124.3A Active CN106470206B (zh) | 2015-08-14 | 2015-08-26 | 适用于异质网络架构的异常预测方法及系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9813438B2 (zh) |
| CN (1) | CN106470206B (zh) |
| TW (1) | TWI583152B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI578262B (zh) * | 2015-08-07 | 2017-04-11 | 緯創資通股份有限公司 | 風險評估系統及資料處理方法 |
| DE102017222616A1 (de) * | 2017-12-13 | 2019-06-13 | Robert Bosch Gmbh | Verfahren zum automatisierten Erstellen von Regeln für eine regelbasierte Anomalieerkennung in einem Datenstrom |
| CN108768935A (zh) * | 2018-04-12 | 2018-11-06 | 国家计算机网络与信息安全管理中心 | 支持三层环路流量检测以及抗ddos攻击的分流系统及方法 |
| CN109088860A (zh) * | 2018-07-20 | 2018-12-25 | 珠海许继芝电网自动化有限公司 | 一种跨安全区数据传输调度方法及系统 |
| US11212322B2 (en) * | 2018-10-10 | 2021-12-28 | Rockwelll Automation Technologies, Inc. | Automated discovery of security policy from design data |
| TWI730927B (zh) * | 2020-11-20 | 2021-06-11 | 財團法人資訊工業策進會 | 模糊測試裝置及模糊測試方法 |
| CN114374543B (zh) * | 2021-12-20 | 2023-10-13 | 北京北信源软件股份有限公司 | 网络安全防护方法、系统、装置、安全交换机及存储介质 |
| TWI804337B (zh) * | 2022-06-02 | 2023-06-01 | 晶絡科技股份有限公司 | 降低封包傳輸延遲的方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1720459A (zh) * | 2002-11-07 | 2006-01-11 | 尖端技术公司 | 主动网络防护系统与方法 |
| CN101719899A (zh) * | 2008-10-09 | 2010-06-02 | 丛林网络公司 | 用于网络安全装置的具有端口限制的动态访问控制策略 |
| CN104243487A (zh) * | 2014-09-28 | 2014-12-24 | 网神信息技术(北京)股份有限公司 | 安全网关的规则匹配方法和装置 |
| CN104579823A (zh) * | 2014-12-12 | 2015-04-29 | 国家电网公司 | 一种基于大数据流的网络流量异常检测系统及方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN201758454U (zh) * | 2010-04-27 | 2011-03-09 | 山东大学 | 物联网下的新型智能家居系统 |
| CN102724711B (zh) * | 2011-03-31 | 2015-07-15 | 中国联合网络通信集团有限公司 | 物联网终端的接入方法、装置及物联网终端 |
| CN103781145B (zh) * | 2012-10-25 | 2017-09-08 | 上海交通大学 | 认知无线传感网络中多信道机会路由协议的设计方法 |
| US9680870B2 (en) * | 2012-12-28 | 2017-06-13 | Verizon Patent And Licensing Inc. | Software-defined networking gateway |
| FI20135058L (fi) | 2013-01-21 | 2014-07-22 | Tellabs Oy | Menetelmä ja ohjausjärjestelmä ohjelmallisesti määriteltävän verkon kontrolloimiseksi |
| JP6229985B2 (ja) * | 2013-03-12 | 2017-11-15 | パナソニックIpマネジメント株式会社 | バスシステムおよびコンピュータプログラム |
-
2015
- 2015-08-14 TW TW104126592A patent/TWI583152B/zh active
- 2015-08-26 CN CN201510529124.3A patent/CN106470206B/zh active Active
-
2016
- 2016-02-15 US US15/044,081 patent/US9813438B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1720459A (zh) * | 2002-11-07 | 2006-01-11 | 尖端技术公司 | 主动网络防护系统与方法 |
| CN101719899A (zh) * | 2008-10-09 | 2010-06-02 | 丛林网络公司 | 用于网络安全装置的具有端口限制的动态访问控制策略 |
| CN104243487A (zh) * | 2014-09-28 | 2014-12-24 | 网神信息技术(北京)股份有限公司 | 安全网关的规则匹配方法和装置 |
| CN104579823A (zh) * | 2014-12-12 | 2015-04-29 | 国家电网公司 | 一种基于大数据流的网络流量异常检测系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201707417A (zh) | 2017-02-16 |
| CN106470206A (zh) | 2017-03-01 |
| US9813438B2 (en) | 2017-11-07 |
| TWI583152B (zh) | 2017-05-11 |
| US20170048263A1 (en) | 2017-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106470206B (zh) | 适用于异质网络架构的异常预测方法及系统 | |
| JP2018534871A (ja) | インテリジェントガスメータに適用するモノのインターネットシステム及びその情報伝送方法 | |
| CN103444132A (zh) | 网络系统及其交换方法 | |
| US7903657B2 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
| US11818024B2 (en) | Statistical information generation device, statistical information generation method, and recording medium | |
| CN105099916B (zh) | 开放流路由交换设备及其对数据报文的处理方法 | |
| US12120002B2 (en) | Method and apparatus for detecting anomaly of traffic of internet of things device based on automata | |
| CN104168144A (zh) | 一种对sdn网络进行审计的方法 | |
| US20150117464A1 (en) | Communication apparatus, communication method, and computer readable medium | |
| US20160277547A1 (en) | Packet monitoring device and packet monitoring method for communication packet | |
| CN116545936B (zh) | 拥塞控制方法、系统、装置、通信设备及存储介质 | |
| CN115190191B (zh) | 基于协议解析的电网工业控制系统及控制方法 | |
| CN111586075B (zh) | 基于多尺度流分析技术的隐蔽信道检测方法 | |
| Moreira et al. | Anomaly detection in smart environments using AI over fog and cloud computing | |
| US9225650B2 (en) | Network system, gateway, and packet delivery method | |
| WO2007029396A1 (ja) | 情報システム | |
| CN108199906B (zh) | 一种sdn构架中异常流量处理方法、装置和用户终端 | |
| EP3073685B1 (en) | Network control device, network control method, and program | |
| JP2020061667A (ja) | ネットワーク装置、パケットを処理する方法、及びプログラム | |
| CN116232777B (zh) | SDN-IIOT中基于统计度量的DDoS攻击检测与防御方法及相关设备 | |
| CN110995733B (zh) | 一种基于遥测技术的工控领域的入侵检测系统 | |
| Peng et al. | Anomaly detection based on multiple streams clustering for train real-time ethernet | |
| EP3493002B1 (en) | System and method for identifying application layer behaviour | |
| KR101860645B1 (ko) | 무선 네트워크에서 패킷 조작을 이용한 통신 교란 장치 및 방법 | |
| Shi et al. | Research of heterogeneous network protocol data fusion in smart home control system based on spatial outlier |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |