CN107241307A - 一种基于报文内容的自学习的网络隔离安全装置和方法 - Google Patents
一种基于报文内容的自学习的网络隔离安全装置和方法 Download PDFInfo
- Publication number
- CN107241307A CN107241307A CN201710284573.5A CN201710284573A CN107241307A CN 107241307 A CN107241307 A CN 107241307A CN 201710284573 A CN201710284573 A CN 201710284573A CN 107241307 A CN107241307 A CN 107241307A
- Authority
- CN
- China
- Prior art keywords
- message
- module
- study
- network
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了基于报文内容的自学习的网络隔离安全方法,步骤如下:网络接口同时与网络中操作终端和网络隔离安全装置通信连接,网络接口接收来自网络操作终端的报文,发送给协议识别模块;协议识别模块判断接收到的报文是否为可识别报文,并将报文发送到学习模块;学习模块对接收到的报文进行学习、统计、分析后发送给报文判断模块,再对接收到的报文进行判断是否合法,如果合法则进行正常报文,如果不合法则丢弃报文,并向硬件断开模块发送断开指令;减少人员配置规则的工作量,降低配置人员对于业务熟悉程度的要求,通过自动学习方式动态分析网络设备行为模式,主动判断网络文件异常情况;实时探测网络中的异常,针对异常行为动态切断网络连接。
Description
技术领域
本发明涉及网络安全防护技术领域,特别涉及一种基于报文内容的自学习的网络隔离安全装置和方法。
背景技术
随着互联网技术、计算机技术、通信技术的发展和大规模的应用,以及物联网技术的兴起,信息化已经渗透到越来越多的工业及国防行业,工业控制领域的工作模式已经发生了巨大的变化,工业的革新与发展方向已经从早期单一的工业自动化转变为当前的分布式控制、终端智能化、信息实时化,单纯的自动化控制已经不能够满足人们对整个工业生产控制平台的控制需求,信息化已经成为工业控制领域首要的任务,而伴随着信息化的巨大发展,信息系统安全问题已成为影响工业控制行业发展的重要因素。尤其是涉及国防科技工业,信息系统的安全显得尤为重要。在信息系统的日常运行与维护中,外界入侵者利用操作系统或者应用系统的自身缺陷、或者是利用通信传输系统的漏洞进行攻击。尤其是近年来发生的一些事件,如“伊朗核电站中震网病毒”以及最近的“棱镜门”事件,都给我们敲响了警钟。迫切需要我们对现有的通信系统进行安全方面的加强,能够动态识别网络行为,根据网络行为动态调整网络物理连接。
在工业通信网络中,最常用技术的是基于以太网和I P的通信技术,使用最多的安全设备就是防火墙、网关、网闸等设备对于网络异常行为拦截或告警,需要在设备中预网络相应的白名单规则或黑名单规则,当网络中的问题报文命中了黑名单或不在白名单内部的话,就会将相应的报文拦截下来。
这样的方式具有如下问题:需要对网络的报文规则十分清楚;对网络业务流程、报文类型、帧格式、端口号等信息十分了解;在网络业务较多的情况下,配置黑、白名单规则会很繁琐,容易出错;能够对报文进行拦截,但是不能从更本上对下行业务线路进行断开,避免不了伪装成正确报文的数据通过;在有未知协议的情况下,不能有效识别协议内容及目的。
发明内容
为此,本发明提供了一种基于报文内容的自学习的网络隔离安全装置和方法,用于解决黑白名单规则繁琐,并且人员进行黑白名单设置时容易出错,对于未知的报文协议不能有效识别,并且对于上下线业务线路无法彻底的安全断开等问题。
为达到上述目的,本发明的技术方案是这样实现的:
一种基于报文内容的自学习的网络隔离安全装置包括:网络接口1、协议识别模块2、学习模块3、报文判断模块4和硬件断开模块5,
网络接口1与协议识别模块2通信连接,网络接口1接收来自操作终端的所有报文;
协议识别模块2还与学习模块3通信连接,协议识别模块2判断接收到的报文是否为可识别报文,并将报文发送到学习模块3;
学习模块3还与报文判断模块4通信连接,学习模块3对接收到的报文进行学习、统计、分析后发送给报文判断模块4;
报文判断模块4还与硬件断开模块5通信连接,对接收到的报文进行判断是否合法,如果合法则进行正常报文,如果不合法则丢弃报文,并向硬件断开模块5发送断开网络的指令。
协议识别模块2对于能够识别的报文和不能识别的报文区分发送到学习模块3当中。
学习模块3中包括已知报文学习模块31和未知报文学习模块32;
已知报文学习模块31接收协议识别模块2能够识别的报文并进行拆解,统计到内容表项;
未知报文学习模块32接收协议识别模块2不能够识别的报文,并对报文所有数据统计到内容表项。
网络隔离安全装置还包括协议学习判断模块6,接收学习模块3发送的报文;
对未完成学习的报文,发送学习结果到学习模块3进行再次学习;
对已完成学习的报文,发送学习结果到报文判断模块4,直接将进行正常报文。
硬件断开模块5与物理层供电模块相连接,当需要进行硬件断开时,通过硬件断开模块5直接断开物理层设备电源供电模块。
一种基于报文内容的自学习的网络隔离安全方法步骤如下:
网络接口1同时与操作终端和协议识别模块2通信连接,网络接口 1接收来自操作终端的所有报文,并发送给协议识别模块2;
协议识别模块2判断接收到的报文是否为可识别报文,并将报文发送到学习模块3;
学习模块3对接收到的报文进行学习、统计、分析后发送给报文判断模块4;
报文判断模块4对接收到的报文进行判断是否合法,如果合法则进行正常报文,如果不合法则丢弃报文,并向硬件断开模块5发送断开网络的指令。
协议识别模块2对接收到的报文进行识别判断,并根据报文中的协议类型区分能够被识别和不能够被识别的报文,分别发送给学习模块3。
学习模块3中的已知报文学习模块31对接收的协议识别模块2能够识别的报文并进行拆解,统计到内容表项;
学习模块3中的未知报文学习模块32接收协议识别模块2不能够识别的报文,并对报文所有数据统计到内容表项。
经过学习模块3的报文需要被协议学习判断模块6进一步判断是否完成学习;
如果完成学习,发送学习结果到报文判断模块4,进行正常报文;
如果没有完成学习,发送学习结果到学习模块3进行再次学习。
报文判断模块4判断报文如果安全,则进行正常报文;如果不安全,则丢弃报文,并通知硬件网络断开模块5进行网络断开。
学习模块3对接收到的报文分别填充到基于内容表项和基于设备行为表项中;
其中,内容表项包括但不限于:MAC地址表、IP地址表、协议类型地址表、端口地址表,并进行关联分析和统计;并且已知报文学习模块31中的所述内容表项中还包括协议状态机地址表
设备行为表项包括但不限于:基于源MAC进行报文的行为关联分析和统计。
报文判断模块4在进行报文判断时的阈值是能够通过用户进行设定。
报文判断模块4进行报文判断根据内容表项和/或设备行为表项对报文合法性进行判断。
本发明的优点和有益效果:减少人员配置规则的工作量,降低配置人员对于业务熟悉程度的要求,通过自动学习方式动态分析网络设备行为模式,主动判断网络文件异常情况;实施探测网络中的异常,针对异常行为动态切断网络连接。
附图说明
图1是本发明具体实施例装置组成的结构示意图,
图2是本发明具体实施例方法流程的示意图,
图3是本发明实施例内容表项的示意图,
图4是本发明实施例设备行为表项的示意图,
图5是本发明实施例报文判断流程示意图,
图6是本发明实施例网络隔离安全装置的实际应用结构示意图。
附图标记:
1-网络接口, 2-协议识别模块,
3-学习模块, 4-报文判断模块,
5-硬件断开模块, 6-协议学习判断模块,
31-已知报文学习模块, 32-未知报文学习模块。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
实施例一
如图1所示是一种基于报文内容的自学习的网络隔离安全装置,具体包括:网络接口1、协议识别模块2、学习模块3、报文判断模块4和硬件断开模块5;其中,网络接口1同时与网络中的操作终端和协议识别模块2通信连接,网络接口1接收来自网络中的操作终端的所有报文,经过网络接口1把报文发送给协议识别模块2;
协议识别模块2还与学习模块3通信连接,协议识别模块2判断接收到的报文是否为可识别报文,协议识别模块2对于能够识别的报文和不能识别的报文区分发送到学习模块3当中;具体的,学习模块3中包括已知报文学习模块31和未知报文学习模块32;其中,已知报文学习模块31接收协议识别模块2能够识别的报文并进行拆解,统计到内容表项;未知报文学习模块32接收协议识别模块2不能够识别的报文,并对报文所有数据统计到内容表项;通过在网络隔离安全装置中增加学习模块,能够减少工作人员配置安全防护规则的工作量,降低配置工作对工作人员业务熟悉程度的依赖。
学习模块3发送出的经过学习的报文还要发送到协议学习判断模块 6,对未完成学习的报文,发送学习结果到学习模块3进行再次学习,同时发送学习结果到报文判断模块4;通过自动学习分析各个网络设备的行为模式,主动判断网络文件的异常情况,提升安全防护效果。
报文判断模块4还与硬件断开模块5通信连接,对接收到的报文进行判断是否合法,如果合法则进行正常报文,如果不合法则丢弃报文,并向硬件断开模块5发送断开网络的指令;硬件断开模块5与物理层供电模块相连接,当需要进行硬件断开时,通过硬件断开模块5直接断开物理层设备电源供电模块;通过采用对物理层进行电源断开的方式,确保网络之间的安全断开,提升安全防护效果。
如果经过协议学习判断模块6判断为已经完成学习的报文,直接进行正常报文工作,确保被发送的报文协议安全合法。
实施例二
一种基于报文内容的自学习的网络隔离安全方法如图2所示,具体步骤如下:
步骤S11:网络接口1同时与操作终端和协议识别模块2通信连接,网络接口1接收来自操作终端的所有报文,并发送给协议识别模块2;
步骤S12:协议识别模块2判断接收到的报文是否为可识别报文,并根据报文中协议类型区分能够被识别和不能够被识别的报文,分别发送给学习模块3;
步骤S13:学习模块3根据接收到的报文类型,如果报文能够识别进行步骤S13a,学习模块3中的已知报文学习模块31对接收的协议识别模块2能够识别的报文并进行拆解,统计到内容表项;如果报文不能够识别进行步骤S13b,学习模块3中的未知报文学习模块32接收协议识别模块2不能够识别的报文,并对报文所有数据统计到内容表项;经过对报文的学习、统计、分析后发送给报文判断模块4;
步骤S14:经过学习的报文需要被协议学习判断模块6进一步判断是否完成学习;如果完成学习,则进行正常报文;如果没有完成学习,发送学习结果到学习模块3进行再次学习,同时发送学习结果到报文判断模块4;需要说明的是,对于判断是否完成学习的方法有很多种,例如:一种方法是在软件中设置一个标志位,学习完成写1、未学习完成写0;另一种方法是检查学习表项是否学习完成;
步骤S15:报文判断模块4对接收到的报文进行判断是否合法,如果合法则如步骤S15a进行正常报文,如果不合法则如步骤S15b丢弃报文,并向硬件断开模块5发送断开网络的指令。
报文判断模块4判断报文如果安全,则进行正常报文;如果不安全,则丢弃报文,并通知硬件网络断开模块5进行网络断开;报文判断模块 4在进行报文判断时的阈值是能够通过用户进行设定,如图5所示;报文判断模块4进行报文判断根据内容表项和/或设备行为表项对报文合法性进行判断。
学习模块3对接收到的报文分别填充到基于内容表项和基于设备行为表项中,后续在通过表项中学习到的内容进行分布统计,对所有的数据进行关联分析,如图3和图4所示;其中,图3中内容表项中包括接收的各个数值,并进一步对数据进行分类统计,计算出各个数值出现的次数和频率,当反复学习统计后,该内容表项中的数值类型和频率相对稳定,进一步作为报文的合法性判断的数据基础;图4中设备行为表项中统计到每个MAC、IP经常联系的MAC、IP交互的内容,并统计分析出每个MAC、IP的次数和频率;最终学习模块3将基于内容表项和基于设备表项的统计分析数据包发送给报文判断模块4。
基于IP的通信网络中,所有的报文都是以数据包的形式进行传输,而每个数据包中都包含有详细的数据信息,对于一个普通的报文信息,其中包含有源MAC地址、目的MAC地址、以太网协议类型、源IP地址、目的IP地址、IP协议类型、具体协议帧格式等,我们将这些内容归纳整理形成一个基于内容表项、一个基于设备行为表项,如下:
网络操作终端的报文进入学习模块,学习模块针对于网络报文按照 MAC、以太网类型、IP、协议内容进行报文拆分;
所有拆分报文的数据内容写入基于内容表项,例如:MAC地址表、 IP地址表、协议类型地址表、端口对应地址表、协议状态机地址表等等;
并将所有内容映射到基于设备行为分析表项中,通过MAC为索引进行报文行为的统计,例如:11-22-33-44-55-66MAC的设备在网络中和 3个MAC地址有过信息交互,对应的IP地址分别为11.11.11.11、 22.22.22.22、33.33.33.33,在这个过程中建立了相应的TCP连接、UDP 连接等,建立一个相应的设备行为表项;映射完之后就会有两类表项,基于内容表项、基于设备行为表项,后续再通过表项中学习到的内容进行分布统计,对所有数据进行关联分析;
针对于内容的关联分析将会得到如下的分析统计表项,在表项中的所有值经过一段时间观察,在网络没有变化的情况下数值和比例不会出现大的变化;
针对设备行为表项,我们可以知道每个MAC、IP经常联系的MAC、IP交互的内容,进行统计分析,知道这个MAC、IP的行为;将相应的关联分析结果提交给报文判断模块。
报文判断模块工作方法流程图如图5所示,具体如下:如步骤S21,用户根据自己的需求,对报文判断阈值进行设定,设定完成后进行步骤 S22,根据内容表项对报文的合法性进行判断,如果不合法则如步骤S25 直接丢弃报文并通知硬件断开模块;如果合法继续对报文进行进一步判断,如步骤S23所示,根据设备行为表项判断报文是否合法,如果不合法则直接丢弃报文并通知硬件断开模块;如果合法则进行步骤S24正常报文;通过根据学习模块生成的内容表项和设备行为表项对合法性进行判断,避免黑白名单设置的工作量大的问题,同时装置还可以自动学习、实时更新,进一步用户的工作量;采用两个表项对报文合法性进行判断,提升网络隔离的安全防护效果。
本发明网络隔离安全装置的实际应用实施例如图6所示,在一个网络内有三台终端:操作终端A、操作终端B、操作终端C,有一台核心服务器,所有设备都通过以太网相连。操作终端A设备会通过以太网去核心服务器上去读取相关数据,我们的网络隔离安全装置放在核心服务器的前端,分析网络数据学习网络设备的用户行为,根据用户行为的合法性来动态断开和核心服务器的连接,在网络中出现恶意行为的情况下保证核心服务器的数据安全。
安全网关即通过学习知道在网络内有三台设备,现在只有操作终端 A去核心服务器上去读取相应数据库的内容,除此之外不会有其它行为;如果安全网关在网络内学习到操作终端B,需要在核心服务器中读取数据库信息,这个时候就会将核心服务器连接网线断开。
应该注意的是,上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包括”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (13)
1.一种基于报文内容的自学习的网络隔离安全装置,其特征在于,所述基于报文内容的自学习的网络隔离安全装置包括:网络接口(1)、协议识别模块(2)、学习模块(3)、报文判断模块(4)和硬件断开模块(5),
所述网络接口(1)与所述协议识别模块(2)通信连接,所述网络接口(1)接收来自网络中操作终端的所有报文;
所述协议识别模块(2)还与所述学习模块(3)通信连接,所述协议识别模块(2)判断接收到的报文是否为可识别报文,并将报文发送到所述学习模块(3);
所述学习模块(3)还与所述报文判断模块(4)通信连接,所述学习模块(3)基于报文内容的自学习、关联统计和分析,并发送给报文判断模块(4);
所述报文判断模块(4)还与所述硬件断开模块(5)通信连接,对接收到的报文进行判断是否合法,如果合法则进行正常报文;如果不合法则丢弃报文,并向所述硬件断开模块(5)发送断开网络的指令。
2.根据权利要求1所述的基于报文内容的自学习的网络隔离安全装置,其特征在于,所述协议识别模块(2)对于能够识别的报文和不能识别的报文区分发送到所述学习模块(3)当中。
3.根据权利要求2所述的基于报文内容的自学习的网络隔离安全装置,其特征在于,所述学习模块(3)中包括已知报文学习模块(31)和未知报文学习模块(32);
所述已知报文学习模块(31)接收所述协议识别模块(2)能够识别的报文并进行拆解,统计到内容表项;
所述未知报文学习模块(32)接收所述协议识别模块(2)不能够识别的报文,并对报文所有数据统计到内容表项。
4.根据权利要求1所述的基于报文内容的自学习的网络隔离安全装置,其特征在于,所述网络隔离安全装置还包括协议学习判断模块(6),接收所述学习模块(3)发送的报文;
对未完成学习的报文,发送学习结果到所述学习模块(3)进行再次学习;
对已完成学习的报文,发送学习结果到所述报文判断模块(4),进行正常报文。
5.根据权利要求1所述的基于报文内容的自学习的网络隔离安全装置,其特征在于,所述硬件断开模块(5)与物理层供电模块相连接,当需要进行硬件断开时,通过所述硬件断开模块(5)直接断开物理层设备供电电源模块。
6.一种基于报文内容的自学习的网络隔离安全方法,其特征在于,所述方法步骤如下:
网络接口(1)同时与网络中的操作终端和协议识别模块(2)通信连接,所述网络接口(1)接收来自所述操作终端的所有报文,并发送给所述协议识别模块(2);
所述协议识别模块(2)判断接收到的报文是否为可识别报文,并将报文发送到学习模块(3);
所述学习模块(3)对接收到的报文进行学习、统计、分析后发送给报文判断模块(4);
所述报文判断模块(4)对接收到的报文进行判断是否合法,如果合法则进行正常报文,如果不合法则丢弃报文,并向硬件断开模块(5)发送断开网络的指令。
7.根据权利要求6所述的基于报文内容的自学习的网络隔离安全方法,其特征在于,所述协议识别模块(2)对接收到的报文进行识别判断,并根据报文中的协议类型区分能够被识别和不能够被识别的报文,分别发送给所述学习模块(3)。
8.根据权利要求6所述的基于报文内容的自学习的网络隔离安全方法,其特征在于,所述学习模块(3)中的已知报文学习模块(31)对接收的所述协议识别模块(2)能够识别的报文并进行拆解,统计协议各字段到内容表项;
所述学习模块(3)中的未知学习模块(32)接收所述协议识别模块(2)不能够识别的报文,将报文的具体字节统计到内容表项。
9.根据权利要求8所述的基于报文内容的自学习的网络隔离安全方法,其特征在于,经过学习模块(3)的报文需要被协议学习判断模块(6)进一步判断是否完成学习;
如果完成学习,发送学习结果到所述报文判断模块(4),进行正常报文;
如果没有完成学习,发送学习结果到所述学习模块(3)进行再次学习。
10.根据权利要求6所述的基于报文内容的自学习的网络隔离安全方法,其特征在于,所述报文判断模块(4)判断报文如果安全,则进行正常报文;如果不安全,则丢弃报文,并通知硬件网络断开模块(5)进行网络断开。
11.根据权利要求6所述的基于报文内容的自学习的网络隔离安全方法,其特征在于,所述学习模块(3)对接收到的报文分别填充到基于内容表项和基于设备行为表项中;
其中,所述内容表项包括但不限于:MAC地址表、IP地址表、协议类型地址表、端口地址表,并进行关联分析和统计;并且所述已知报文学习模块(31)中的所述内容表项中还包括协议状态机地址表;
所述设备行为表项包括但不限于:基于源MAC进行报文的行为关联分析和统计。
12.根据权利要求6所述的基于报文内容的自学习的网络隔离安全方法,其特征在于,所述报文判断模块(4)在进行报文判断时的阈值通过用户进行设定。
13.根据权利要求6、11或12中任一项权利要求所述的基于报文内容的自学习的网络隔离安全方法,其特征在于,所述报文判断模块(4)对报文的判断,是根据内容表项和/或设备行为表项对报文合法性进行判断。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710284573.5A CN107241307B (zh) | 2017-04-26 | 2017-04-26 | 一种基于报文内容的自学习的网络隔离安全装置和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710284573.5A CN107241307B (zh) | 2017-04-26 | 2017-04-26 | 一种基于报文内容的自学习的网络隔离安全装置和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107241307A true CN107241307A (zh) | 2017-10-10 |
| CN107241307B CN107241307B (zh) | 2023-08-08 |
Family
ID=59985516
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710284573.5A Active CN107241307B (zh) | 2017-04-26 | 2017-04-26 | 一种基于报文内容的自学习的网络隔离安全装置和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107241307B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108718319A (zh) * | 2018-06-14 | 2018-10-30 | 浙江远望信息股份有限公司 | 一种基于安全时域通过自学习设置数据包通信白名单的方法 |
| CN112069242A (zh) * | 2020-09-14 | 2020-12-11 | 杨伟深 | 基于大数据和云计算的数据处理方法及大数据服务平台 |
| CN114640611A (zh) * | 2022-03-09 | 2022-06-17 | 西安电子科技大学 | 一种未知异构工业协议检测识别方法、系统、设备及介质 |
| CN117811822A (zh) * | 2024-01-03 | 2024-04-02 | 国网江苏省电力有限公司南通供电分公司 | 基于自适应动态多核单类支持向量机的异常行为检测方法 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1534933A (zh) * | 2003-03-28 | 2004-10-06 | 华为技术有限公司 | 一种针对互联网协议的安全访问控制方法 |
| WO2004112313A2 (fr) * | 2003-06-18 | 2004-12-23 | Lenovo (Beijing) Limited | Equipement de securite reseau et son procede de production |
| CN101005401A (zh) * | 2006-12-31 | 2007-07-25 | 深圳市中科新业信息科技发展有限公司 | 一种网络数据分析和控制系统及方法 |
| CN101340293A (zh) * | 2008-08-12 | 2009-01-07 | 杭州华三通信技术有限公司 | 一种报文安全检查方法和装置 |
| CN101674306A (zh) * | 2009-09-03 | 2010-03-17 | 中兴通讯股份有限公司 | 地址解析协议报文处理方法及交换机 |
| CN102158394A (zh) * | 2011-01-30 | 2011-08-17 | 福建星网锐捷网络有限公司 | 虚拟路由冗余协议路由器防攻击的方法和接入设备 |
| US20120030351A1 (en) * | 2010-07-29 | 2012-02-02 | Pfu Limited | Management server, communication cutoff device and information processing system |
| CN103036794A (zh) * | 2011-10-10 | 2013-04-10 | 华为技术有限公司 | 一种报文的学习方法、装置和系统 |
| WO2014180332A1 (zh) * | 2013-05-09 | 2014-11-13 | 中兴通讯股份有限公司 | 通用路由方法及系统 |
| CN105791248A (zh) * | 2014-12-26 | 2016-07-20 | 中兴通讯股份有限公司 | 网络攻击分析方法和装置 |
| CN106130985A (zh) * | 2016-06-24 | 2016-11-16 | 杭州华三通信技术有限公司 | 一种报文处理方法及装置 |
| US20160352764A1 (en) * | 2015-05-28 | 2016-12-01 | Cisco Technology, Inc. | Warm-start with knowledge and data based grace period for live anomaly detection systems |
| CN106209843A (zh) * | 2016-07-12 | 2016-12-07 | 工业和信息化部电子工业标准化研究院 | 一种面向Modbus协议的数据流异常分析方法 |
| CN106506242A (zh) * | 2016-12-14 | 2017-03-15 | 北京东方棱镜科技有限公司 | 一种网络异常行为和流量监测的精确定位方法与系统 |
-
2017
- 2017-04-26 CN CN201710284573.5A patent/CN107241307B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1534933A (zh) * | 2003-03-28 | 2004-10-06 | 华为技术有限公司 | 一种针对互联网协议的安全访问控制方法 |
| WO2004112313A2 (fr) * | 2003-06-18 | 2004-12-23 | Lenovo (Beijing) Limited | Equipement de securite reseau et son procede de production |
| CN101005401A (zh) * | 2006-12-31 | 2007-07-25 | 深圳市中科新业信息科技发展有限公司 | 一种网络数据分析和控制系统及方法 |
| CN101340293A (zh) * | 2008-08-12 | 2009-01-07 | 杭州华三通信技术有限公司 | 一种报文安全检查方法和装置 |
| CN101674306A (zh) * | 2009-09-03 | 2010-03-17 | 中兴通讯股份有限公司 | 地址解析协议报文处理方法及交换机 |
| US20120030351A1 (en) * | 2010-07-29 | 2012-02-02 | Pfu Limited | Management server, communication cutoff device and information processing system |
| CN102158394A (zh) * | 2011-01-30 | 2011-08-17 | 福建星网锐捷网络有限公司 | 虚拟路由冗余协议路由器防攻击的方法和接入设备 |
| CN103036794A (zh) * | 2011-10-10 | 2013-04-10 | 华为技术有限公司 | 一种报文的学习方法、装置和系统 |
| WO2014180332A1 (zh) * | 2013-05-09 | 2014-11-13 | 中兴通讯股份有限公司 | 通用路由方法及系统 |
| CN105791248A (zh) * | 2014-12-26 | 2016-07-20 | 中兴通讯股份有限公司 | 网络攻击分析方法和装置 |
| US20160352764A1 (en) * | 2015-05-28 | 2016-12-01 | Cisco Technology, Inc. | Warm-start with knowledge and data based grace period for live anomaly detection systems |
| CN106130985A (zh) * | 2016-06-24 | 2016-11-16 | 杭州华三通信技术有限公司 | 一种报文处理方法及装置 |
| CN106209843A (zh) * | 2016-07-12 | 2016-12-07 | 工业和信息化部电子工业标准化研究院 | 一种面向Modbus协议的数据流异常分析方法 |
| CN106506242A (zh) * | 2016-12-14 | 2017-03-15 | 北京东方棱镜科技有限公司 | 一种网络异常行为和流量监测的精确定位方法与系统 |
Non-Patent Citations (1)
| Title |
|---|
| 谭献海;宗丽萍;王超;王亚兰;: "网络协议仿真软件的设计与实现", 电气电子教学学报, no. 02 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108718319A (zh) * | 2018-06-14 | 2018-10-30 | 浙江远望信息股份有限公司 | 一种基于安全时域通过自学习设置数据包通信白名单的方法 |
| CN108718319B (zh) * | 2018-06-14 | 2021-03-30 | 浙江远望信息股份有限公司 | 一种基于安全时域通过自学习设置数据包通信白名单的方法 |
| CN112069242A (zh) * | 2020-09-14 | 2020-12-11 | 杨伟深 | 基于大数据和云计算的数据处理方法及大数据服务平台 |
| CN114640611A (zh) * | 2022-03-09 | 2022-06-17 | 西安电子科技大学 | 一种未知异构工业协议检测识别方法、系统、设备及介质 |
| CN117811822A (zh) * | 2024-01-03 | 2024-04-02 | 国网江苏省电力有限公司南通供电分公司 | 基于自适应动态多核单类支持向量机的异常行为检测方法 |
| CN117811822B (zh) * | 2024-01-03 | 2024-06-04 | 国网江苏省电力有限公司南通供电分公司 | 基于自适应动态多核单类支持向量机的异常行为检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107241307B (zh) | 2023-08-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11949706B2 (en) | System and method for assigning threat valuations to network events and security events | |
| CN107241307A (zh) | 一种基于报文内容的自学习的网络隔离安全装置和方法 | |
| CN107438052B (zh) | 一种面向未知工业通信协议规约的异常行为检测方法 | |
| US11949704B2 (en) | Attribute-based policies for integrity monitoring and network intrusion detection | |
| CN108063753A (zh) | 一种信息安全监测方法及系统 | |
| CN109558729B (zh) | 一种网络攻击的智能防御系统 | |
| CN104253820B (zh) | 软件定义网安全控制系统和控制方法 | |
| CN106656627A (zh) | 一种基于业务的性能监控和故障定位的方法 | |
| CN111600863B (zh) | 网络入侵检测方法、装置、系统和存储介质 | |
| CN106168757A (zh) | 工厂安全系统中的可配置鲁棒性代理 | |
| CN106411820A (zh) | 一种基于sdn架构的工业通信流传输安全控制方法 | |
| CN107222491A (zh) | 一种基于工业控制网络变种攻击的入侵检测规则创建方法 | |
| CN112738063A (zh) | 一种工业控制系统网络安全监测平台 | |
| CN110324323A (zh) | 一种新能源厂站涉网端实时交互过程异常检测方法及系统 | |
| CN106254338B (zh) | 报文检测方法以及装置 | |
| CN109660518A (zh) | 网络的通信数据检测方法、装置以及机器可读存储介质 | |
| CN105791248A (zh) | 网络攻击分析方法和装置 | |
| CN107872364A (zh) | 一种路由器状态的监测方法、装置及系统 | |
| CN106789351A (zh) | 一种基于sdn的在线入侵防御方法和系统 | |
| CN111935189B (zh) | 工控终端策略控制系统及工控终端策略控制方法 | |
| CN110266680A (zh) | 一种基于双重相似性度量的工业通信异常检测方法 | |
| CN107864153A (zh) | 一种基于网络安全传感器的网络病毒预警方法 | |
| CN105577705B (zh) | 针对iec60870-5-104协议的安全防护方法及系统 | |
| CN106572103A (zh) | 一种基于sdn网络架构的隐藏端口检测方法 | |
| CN104468497B (zh) | 监控系统的数据隔离方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |