CN107735987A - 中继装置、网络监视系统和程序 - Google Patents
中继装置、网络监视系统和程序 Download PDFInfo
- Publication number
- CN107735987A CN107735987A CN201580080557.3A CN201580080557A CN107735987A CN 107735987 A CN107735987 A CN 107735987A CN 201580080557 A CN201580080557 A CN 201580080557A CN 107735987 A CN107735987 A CN 107735987A
- Authority
- CN
- China
- Prior art keywords
- data
- unauthorized access
- relay
- unit
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 91
- 238000001514 detection method Methods 0.000 claims abstract description 85
- 238000004891 communication Methods 0.000 claims abstract description 52
- 238000000034 method Methods 0.000 claims description 37
- 230000008569 process Effects 0.000 claims description 35
- 238000001914 filtration Methods 0.000 claims description 11
- 238000013500 data storage Methods 0.000 claims description 6
- 210000000352 storage cell Anatomy 0.000 claims description 6
- 238000007405 data analysis Methods 0.000 claims 1
- 238000012360 testing method Methods 0.000 abstract description 20
- 230000002093 peripheral effect Effects 0.000 abstract description 10
- 230000002159 abnormal effect Effects 0.000 abstract description 4
- 230000006870 function Effects 0.000 description 17
- 238000012545 processing Methods 0.000 description 17
- 238000006243 chemical reaction Methods 0.000 description 10
- 230000009471 action Effects 0.000 description 5
- 238000007726 management method Methods 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 210000004027 cell Anatomy 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 241000894007 species Species 0.000 description 3
- 240000002853 Nelumbo nucifera Species 0.000 description 2
- 235000006508 Nelumbo nucifera Nutrition 0.000 description 2
- 235000006510 Nelumbo pentapetala Nutrition 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 101000746134 Homo sapiens DNA endonuclease RBBP8 Proteins 0.000 description 1
- 101000969031 Homo sapiens Nuclear protein 1 Proteins 0.000 description 1
- 102100021133 Nuclear protein 1 Human genes 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000009931 harmful effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/20—Support for services
- H04L49/208—Port mirroring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
有效利用来自网络开关的镜像端口的输出进行针对从设施内外对设置于设施内的设备的非法访问的检测。网关装置(10)具有:监视用数据取得部(15),其将从作为监视对象的设备输出的且是从开关的镜像端口输出的分组数据作为监视用数据保存在监视用数据存储部(19)中;非法访问检测部(17),其根据监视用数据与判定规则之间的比较来判定监视用数据是否异常,由此检测非法访问;以及非法访问通知部(18),其经由外部通信部(12)向与外部网络连接的监视中心的服务器通知检测出非法访问的情况。
Description
技术领域
本发明涉及中继装置、网络监视系统和程序,尤其涉及检测对设置在与中继装置相同设施内的仪器设备的非法访问。
背景技术
伴随控制系统的开放化,产生了带有恶意的第三方非法地访问控制系统的情况。因此,在以楼宇管理系统为代表的控制系统的领域中,正在谋求监视网络而检测针对与网络连接的设备的非法访问的技术。
以往,提出有通过使用侵入检测系统(IDS:Intrusion Detection System)或者设置专用于网络监视的网络管理装置来监视网络的方法(例如,专利文献1、2)。此外,提出有搭载了对中继给家庭网关的分组进行解析的功能而检测来自外部网络的非法访问的技术(例如,专利文献3)。
现有技术文献
专利文献
专利文献1:日本特开2005-157650号公报
专利文献2:日本特开2007-274265号公报
专利文献3:日本特开2006-067279号公报
发明内容
发明所要解决的课题
但是,如专利文献1、2那样,在使用用于监视网络的装置时,为了进行非法访问的检测,需要高昂的成本。此外,还需要装置的设置空间。此外,在专利文献3中,即使能够检测出从外部网络向用户终端的非法访问,也无法检测从内部网络向用户终端的非法访问。
但是,以往,作为搭载有线路或分组的交换(开关)功能的通信装置,具有网络开关(以下,简称作“开关”)。在高性能开关中存在设有用于复制并输出通过通常端口的全部业务数据的镜像端口的设备种类。
本发明的目的在于有效利用来自网络开关的镜像端口的输出而进行针对从设施内外向设置于设施内的设备的非法访问的检测。
用于解决课题的手段
本发明的中继装置对在设施外的与外部网络连接的服务器和设施内的与内部网络直接或者间接地连接的设备之间通信的数据进行中继,该中继装置具有:数据取得单元,其取得从与所述内部网络连接的网络开关的镜像端口输出的数据;检测单元,其解析由所述数据取得单元取得的数据,由此检测对所述设备的非法访问;以及检出信息发送单元,其在检测出非法访问时,向所述服务器发送与该非法访问相关的检出信息。
此外,该中继装置具有:负荷状态监视单元,其监视施加给所述中继装置的负荷的状态;以及数据存储单元,其存储由所述数据取得单元取得的数据,仅在施加给所述中继装置的负荷为规定以下的情况下,所述检测单元进行数据的解析。
此外,该中继装置具有匹配处理单元,该匹配处理单元通过由所述数据取得单元取得的数据与预先设定的过滤信息的匹配处理,检测对所述设备的非法访问,所述检测单元解析未由所述匹配处理单元进行的匹配处理检测出非法访问的数据,由此检测对所述设备的非法访问。
此外,所述检测单元解析从所述网络开关的通常端口输出的来自所述设备的数据,由此检测对所述设备的非法访问。
此外,该中继装置具有:负荷状态监视单元,其监视所述中继装置中的负荷状态;
数据存储单元,其存储由所述数据取得单元取得的数据;以及检测处理请求单元,其根据施加给所述中继装置的负荷的状态向所述服务器发送存储在所述数据存储单元中的数据,向所述服务器请求执行由所述检测单元进行的非法访问的检测处理。
本发明的网络监视系统具有:服务器,其在设施外与外部网络连接;设备,其在设施内与内部网络直接或者间接地连接;中继装置,其对在所述服务器与所述设备之间通信的数据进行中继;以及网络开关,其与所述内部网络连接,从镜像端口向所述中继装置发送从通常端口输入的数据,所述中继装置具有:数据取得单元,其取得从所述网络开关的镜像端口输出的数据;检测单元,其解析由所述数据取得单元取得的数据,由此检测对所述设备的非法访问;以及检出信息发送单元,其在检测出非法访问时,向所述服务器发送与该非法访问相关的检出信息。
本发明的程序使搭载于中继装置中的计算机作为以下单元发挥功能,该中继装置对在设施外的与外部网络连接的服务器和设施内的与内部网络直接或者间接地连接的设备之间通信的数据进行中继,所述单元为:数据取得单元,其取得从与所述内部网络连接的网络开关的镜像端口输出的数据;检测单元,其解析由所述数据取得单元取得的数据,由此检测对所述设备的非法访问;以及检出信息发送单元,其在检测出非法访问时,向所述服务器发送与该非法访问相关的检出信息。
发明效果
根据本发明,能够有效利用来自网络开关的镜像端口的输出而进行从设施内外向设置于设施内的设备的非法访问的检测。
此外,通过在有负荷的状态下限制非法访问的检测处理的执行,由此避免施加给中继装置的负荷增加。
此外,在基于相对低速的检测手段进行的非法访问的检测之前,进行基于相对高速的与过滤信息的匹配处理的非法访问的检测,由此能够实现非法访问检测处理的高速化,并且实现施加给中继装置的处理负荷的减少。
此外,能够根据从网络开关的通信端口接收到的来自设备的数据,进行从设施内向设备的非法访问检测。
此外,能够在有负荷的状态下向服务器委托非法访问检测处理的执行,从而避免施加给中继装置的负荷增大。
附图说明
图1是示出包含实施方式1中的网关装置的网络监视系统的整体结构的一例的图。
图2是实施方式1中的网关装置的硬件结构图。
图3是实施方式1中的网关装置的结构框图。
图4是示出实施方式1中的网关装置实施的非法访问检测处理的流程图。
图5是实施方式2中的网关装置的结构框图。
图6是实施方式3中的网关装置的结构框图。
图7是实施方式4中的网关装置的结构框图。
图8是实施方式5中的网关装置的结构框图。
具体实施方式
下面,根据附图对本发明的优选实施方式进行说明。
实施方式1
图1是示出本发明的网络监视系统的一个实施方式的整体结构图。图1示出设置在监视中心1的服务器2与设置在顾客的楼宇3中的网关装置10通过互联网等外部网络4连接的结构。此外,在楼宇3的内部除了网关装置10以外还设置有开关5、管理装置6、控制器7和电气设备等设备8,其中的开关5和控制器7与LAN等内部网络9连接。而且,网关装置10和管理装置6与开关5连接。
开关5是搭载有线路或分组的交换(开关)功能的通信装置。本实施方式中的开关5具有镜像端口51,该镜像端口51用于复制并输出通过通常端口的全部业务数据。镜像端口51与网关装置10的监视端口361连接。开关5的通常端口与网关装置10的通常端口、管理装置6和内部网络9连接。网关装置10对在服务器2与设备8之间交换的数据进行中继。管理装置6进行以设备8为代表的与内部网络9直接或者间接连接的各种设备的监视、管理。控制器7进行所连接的设备8的动作的控制和设备8发出的数据的收集等。设置于楼宇3的控制器7和与各控制器7连接的设备8的台数根据楼宇3的规模而确定。
监视中心1使用服务器2向设备8发送控制数据等或者从设备8取得运用实绩值等数据,以便进行设于楼宇3的各设备8的维护管理等。另外,监视中心1监视设置于1个或者多个楼宇3中的设备8,但各楼宇3中的监视内容均相同,因此为了方便仅图示了1个楼宇3。
图2是本实施方式中的网关装置10的硬件结构图。本实施方式中的网关装置10搭载有计算机,能够通过一直以来存在的通用的硬件结构来实现。即,如图2所示,网关装置10设置为CPU 31、ROM 32、RAM 33、硬盘驱动器(HDD)34和通信单元,构成为将用于连接外部网络4的外部网络接口(IF)35和用于连接内部网络9的内部网络接口(IF)36与内部总线37连接。内部网络接口36与接收来自开关5的通常端口的输出的通常端口(未图示)不同,搭载有接收来自开关5的镜像端口51的输出的监视端口361。另外,虽然未图示,但可以设置能够连接计算机的接口,以便进行网关装置10的环境设定等。
图3是本实施方式中的网关装置10的结构框图。另外,关于在本实施方式中未用于说明的结构要素在附图中进行了省略。本实施方式中的网关装置10具有内部通信部11、外部通信部12、协议转换部13、监视用通信部14、监视用数据取得部15、负荷状态监视部16、非法访问检测部17、非法访问通知部18、监视用数据存储部19和判定规则存储部20。内部通信部11提供经由内部网络9与设备8等设置于楼宇3中的网络设备进行通信的通信功能。外部通信部12提供经由外部网络4与服务器2等外部装置进行通信的通信功能。协议转换部13提供对服务器2和设备8的协议相互进行转换的功能。监视用通信部14通过接收而取得从监视端口361输入的分组数据。分组数据中包含被交换的数据及该数据的发送源、发送目的地、数据信号的种类等,因此监视用数据取得部15对由监视用通信部14接收到的分组数据进行解析,将接收到的分组数据中的、用于非法访问检测的分组数据作为监视用数据存储到监视用数据存储部19中。负荷状态监视部16监视施加给网关装置10的负荷的状态。非法访问检测部17作为检测单元而设置,根据预先设定在判定规则存储部20中的判定规则,对由监视用数据取得部15取得并存储在监视用数据存储部19中的监视用数据进行解析,由此检测针对设备8的非法访问。非法访问通知部18作为检出信息发送单元而设置,在检测出非法访问时,经由外部通信部12向服务器2发送与该非法访问相关的检出信息。
根据从设备8送出的信号数据的种类,在判定规则存储部20中预先设定有由用于判定该信号数据正常的阈值、范围等表示的判定规则。阈值或判定正常的范围等根据运用实绩可以明确。
网关装置10中的各结构要素11~18利用搭载于网关装置10的计算机与由搭载于计算机的CPU 31运行的程序之间的协调动作来实现。此外,各存储部19~20通过搭载于网关装置10的HDD 34实现。或者,可以经由网络使用RAM 33或者位于外部的存储单元。
此外,本实施方式中使用的程序当然通过通信单元提供,但也可以存储到CD-ROM或USB存储器等计算机可读记录介质中来进行提供。从通信单元或记录介质提供的程序被安装于计算机,并由计算机的CPU 31依次执行程序来实现各种处理。
本实施方式中的网络监视系统的特征在于由应用程序实现的网关装置10的功能,除此以外能够使用现有的各装置的硬件和功能。
接着,对本实施方式中的网关装置10的动作进行说明。
在网关装置10中,当外部通信部12接收到来自经由外部网络4发送来的从服务器2发往设备8的数据时,协议转换部13将该数据转换为与设备8采用的协议一致的形式。内部通信部11向设备8发送该转换后的数据。另外,与上述通常动作时的处理不同,开关5从镜像端口51输出从网关装置10发送来的数据。此外,在内部通信部11接收到经由内部网络9发送来的、从设备8发往服务器2的数据时,协议转换部13将该数据转换为与服务器2所采用的协议一致的形式。外部通信部12向服务器2发送该转换后的数据。另外,与上述通常动作时的处理不同,开关5从镜像端口51输出从设备8发送来的数据。
这样,作为通常的功能处理,网关装置10进行在服务器2与设备8之间进行交换的数据的中继,并与该通常的功能处理并行地进行下面说明的非法访问检测处理。下面,使用图4所示的流程图对本实施方式中的网关装置10实施的非法访问检测处理进行说明。另外,在网关装置10中,非法访问检测用应用程序始终加载在RAM 33上,始终执行非法访问检测处理,但在图4中为了方便示为了在检测出非法访问时向服务器2进行通知而结束该处理。此外,流程图中的步骤110、120与步骤130以后的处理不同步地独立实施,但在流程图中,为了方便,作为一系列的处理进行了图示。
开关5如上所述地从镜像端口51输出从外部网络4侧和内部网络9侧发送来的数据,但监视用通信部14接收从该镜像端口51输出的数据(步骤110)。于是,监视用数据取得部15提取接收到的数据中的、在依照预先确定的规则进行非法访问检测中使用的数据,将该提取出的数据作为监视用数据写入保存到监视用数据存储部19中(步骤120)。
在起动该应用程序后,负荷状态监视部16按照规定时间间隔监视网关装置10的负荷状态。当在该监视的时刻施加给网关装置10的负荷超过了预先设定的阈值的情况下(在步骤130中为“是”),由于执行非法访问检测部17进行的非法访问检测处理施加给网关装置10的负荷将增大,由此判断为有可能给网关装置10原本的中继功能的执行带来妨碍,而暂缓非法访问检测部17进行的非法访问检测处理的执行。
另一方面,在施加给网关装置10的负荷为预先设定的阈值以下的情况下(在步骤130中为“否”),非法访问检测部17根据来自负荷状态监视部16的通知,进行有无非法访问的确认。即,非法访问检测部17将监视用数据存储部19中保存的监视用数据与判定规则存储部20中登记的判定规则进行比较等来验证监视用数据有无异常(步骤140)。在验证的结果是判定为存在异常的情况下(在步骤150中为“是”),生成检出信息,该检出信息中包含该监视用数据的异常被视作非法访问并判定为存在异常的数据及该数据的发送源、发送目的地、发送日期时间等被认为在非法访问的解析中所需的信息(步骤160)。而且,非法访问通知部18使外部通信部12向服务器2发送该生成的检出信息,由此向服务器2通知检测出非法访问的情况(步骤170)。
根据本实施方式,由于设为了仅在施加给网关装置10的负荷为规定以下的情况下进行基于从监视端口361取得的监视用数据的异常判定,因此能够避免施加给网关装置10的负荷变得过大,不给作为中继装置通常应进行的中继功能的执行带来妨碍。
另外,在本实施方式中,在依照图4所示的处理步骤时,如果施加给网关装置10的负荷没有变为规定阈值以下,则仅反复执行步骤130而不实施非法访问检测。因此,也可以是,即使在没有变为规定阈值以下时也在施加给网关装置10的负荷超过规定时间的状态持续了预先设定的时间以上的情况下,即由于产生超时,而将处理转入自步骤140以后的处理。
此外,如图1所示,本实施方式中的网络监视系统需要构成为将网关装置10与外部网络4连接,将开关5与内部网络9连接,并且,对网关装置10的监视端口361与开关5的镜像端口51进行连接,但不限定于图1所例示的系统结构。例如,可以在网关装置10与开关5之间设置管理装置6。后述的各实施方式中也同样如此。
实施方式2
图5是本实施方式中的网关装置10的结构框图。另外,对与实施方式1相同的结构要素标注相同标号并省略说明。与实施方式1相同,本实施方式中的网关装置10具有内部通信部11、外部通信部12、协议转换部13、监视用通信部14、非法访问检测部17、非法访问通知部18、监视用数据存储部19和判定规则存储部20,此外,还具有匹配处理部21和过滤信息存储部22。在过滤信息存储部22中预先设定有在匹配处理部21进行的匹配处理中使用的过滤信息。在本实施方式中,将登记有作为可靠的与设备8进行数据交换的通信对象的装置的识别信息的白名单作为过滤信息登记在过滤信息存储部22中。匹配处理部21通过进行将由监视用通信部14接收到的数据的收发者与白名单进行对照的匹配处理,来检测针对设备8的非法访问。
匹配处理部21利用搭载于网关装置10的计算机与由搭载于计算机的CPU 31运行的程序之间的协调动作来实现。此外,过滤信息存储部22通过搭载于网关装置10的HDD 34实现。或者,可以经由网络使用RAM 33或者位于外部的存储单元。此外,网关装置10的硬件结构和网络监视系统中包含的其他装置结构可以与实施方式1相同。
接着,对本实施方式中的非法访问检测处理进行说明。另外,通常的中继处理功能与实施方式1相同,因此省略说明。后述的实施方式也同样如此。
本实施方式中的非法访问检测处理基本上与实施方式1相同。但是,由于没有负荷状态监视部16因此在不确认负荷状态的方面与本实施方式的特征性处理不同。即,在监视用通信部14接收到数据时,作为第1阶段的非法访问检测,匹配处理部21将该接收到的数据中的与设备8进行通信的通信对象与白名单进行对照。而且,如果白名单中未登记有通信对象,则将与该数据对应的访问判断为非法。
但是,即使在白名单中登记有与设备8通信的通信对象的情况下,也不保证是否是真正可靠的通信对象、是否不是非法访问。因此,即使在白名单中登记有与设备8进行通信的通信对象的情况下,匹配处理部21也将该数据作为监视用数据登记在监视用数据存储部19中。而且,为了验证所登记的监视用数据,作为第2阶段的非法访问检测,由非法访问检测部17实施的、验证未被匹配处理部21判定为是非法访问的监视用数据有无异常的第2阶段的非法访问检测,可以是与实施方式1相同的处理内容。
综上所述,在由匹配处理部21或者非法访问检测部17检测出非法访问的情况下,非法访问通知部与实施方式1同样,通过向外部通信部12发送伴随非法访问的检出而生成的检出信息,将检测出非法访问的情况通知给服务器2。
根据本实施方式,由于设为了设置匹配处理部21,在通过与判定规则的比较、对照实现的相对低速的非法访问检测部17进行的非法访问检测之前,进行相对高速的与过滤信息的匹配处理,因此能够实现非法访问检测处理的高速化,并且实现施加给网关装置10的处理负荷的减少。
另外,在本实施方式中,使用了登记有可靠的通信对象的装置ID的白名单作为在匹配处理时使用的过滤信息,但不限于此,也可以使用登记有其他信息、例如非法的装置的识别信息的黑名单等。
实施方式3
图6是本实施方式中的网关装置10的结构框图。另外,对与实施方式1相同的结构要素标注相同标号并省略说明。与实施方式1相同,本实施方式中的网关装置10具有内部通信部11、外部通信部12、协议转换部13、监视用通信部14、监视用数据取得部15、非法访问检测部17、非法访问通知部18、监视用数据存储部19和判定规则存储部20,此外,还具有通信状态取得部23和通信状态存储部24。通信状态取得部23取得内部通信部11接收到的来自开关5的通常端口的输出数据,并存储在通信状态存储部24中。
通信状态取得部23利用搭载于网关装置10的计算机与由搭载于计算机的CPU31运行的程序之间的协调动作来实现。此外,通信状态存储部24通过搭载于网关装置10的HDD34来实现。或者,可以经由网络使用RAM 33或者位于外部的存储单元。此外,网关装置10的硬件结构和网络监视系统中包含的其他装置结构可以与实施方式1相同。
但是,存在如下的非法行为:由于楼宇3内外的1个或者多个装置向1台设备8集中发送分组,给该设备的动作带来不良影响。例如,DDos(Distributed Denial of Servicattack:分布式拒绝服务攻击)攻击属于该非法行为,由于DDos攻击引起的设备8的负荷增加也被认为是非法访问的一种形式。如果是不经由外部网络4而从设置于楼宇3内的第三方设备向设备8的攻击,则网关装置10不对从该第三方设备发送来的分组进行中继,因此无法检测出该攻击。
因此,本实施方式中的非法访问检测部17能够与上述各实施方式中所说明的通过监视用通信部14进行的根据从监视端口361输入的数据进行的非法访问的检测独立地,执行通过内部通信部11进行的根据从通常端口输入的通常数据进行的非法访问检测。
即,通信状态取得部23取得内部通信部11接收到的来自开关5的通常端口的输出数据,并存储在通信状态存储部24中。非法访问检测部17在直到设备8对从服务器2发往该设备8的数据发送请求等问询进行应答为止需要大量时间的情况下,或者在应答的内容异常时,估计为受到DDos攻击等非法访问是产生这样情况的理由。这里,关于直到该设备8应答为止是否耗费了大量的时间,只要对应答花费的时间与预先设定的阈值(时限)进行比较即可。此外,关于应答的内容是否异常,只要对通常数据的值与根据该通常数据的种类而预先设定的正常范围进行比较即可。
根据本实施方式,也将由内部通信部11接收到的通常数据作为解析对象,由此能够检测出根据监视用数据无法检测出的非法访问。
另外,在本实施方式中设为了解析针对来自服务器2的问询的应答数据,但也可以设为,网关装置10向设备8发送需要应答的问询请求,以进行非法访问的检测。
此外,在本实施方式中以来自内部的DDos攻击为例进行了说明,但非法访问检测部17也能够对其他非法访问同样设定适当的阈值(上下限)、正常范围、值的变化程度或变化率等判定规则来进行应对。
实施方式4
图7是本实施方式中的网关装置10的结构框图。另外,对与实施方式1相同的结构要素标注相同标号并省略说明。本实施方式中的网关装置10具有对实施方式1所示的结构追加了检测处理请求部25的结构。检测处理请求部25根据施加给网关装置10的负荷的状态向服务器2发送监视用数据存储部19所存储的监视用数据,向服务器2请求执行由非法访问检测部17进行的非法访问检测处理。检测处理请求部25利用搭载于网关装置10的计算机与由搭载于计算机的CPU 31运行的程序之间的协调动作来实现。
如上所述,通过使非法访问检测部17执行非法访问检测处理,施加给网关装置10的负荷增大,由此有可能给网关装置10原本的中继功能的执行带来妨碍。
因此,在施加给网关装置10的负荷较大而最好不使非法访问检测部17执行处理的情况或者非法访问检测部17无法执行处理的情况下,本实施方式中的检测处理请求部25使外部通信部12将监视用数据存储部19所存储的监视用数据发送给服务器2,并且向服务器2请求非法访问检测处理的执行。
这里,最好不使非法访问检测部17执行处理的情况例如是如下情况:由于对庞大通信量的数据进行中继,因此网关装置10被施加了很大的负荷。如果在网关装置10为过负荷的状态时使非法访问检测部17执行处理,则有可能给网关装置10原本的中继功能的执行带来妨碍。此外,非法访问检测部17无法执行处理的情况例如是如下情况:虽然检测非法访问需要解析监视用数据的变化的变迁,但由于网关装置10中的存储容量而无法保存大容量的监视用数据。
这样,通过解析由负荷状态监视部16检测出的施加给网关装置10的负荷的状态,在判断为网关装置10被施加了对于网关装置10而言的规定阈值以上的负荷或者监视用数据存储部19的存储容量不足的情况下,检测处理请求部25向服务器2请求执行非法访问检测处理。
根据本实施方式,设为了向服务器2委托非法访问检测处理的执行,因此,能够不对网关装置10施加过负荷。此外,通过向性能比网关装置10高的服务器2委托非法访问检测处理,能够执行更高级的检测处理。
另外,网关装置10在负荷较高的状态下还将监视用数据发送到服务器2,但检测处理请求部25考虑监视用数据的通信量,判断是使非法访问检测部17执行非法访问检测处理、还是委托给服务器2。
实施方式5
图8是本实施方式中的网关装置10的结构框图。另外,对与实施方式1相同的结构要素标注相同标号并省略说明。与实施方式1相同,本实施方式中的网关装置10具有内部通信部11、外部通信部12、协议转换部13、监视用通信部14、监视用数据取得部15、非法访问检测部17、非法访问通知部18、监视用数据存储部19和判定规则存储部20,此外还具有协作处理部26。协作处理部26提供与其他网关装置10协作的功能。协作处理部26利用搭载于网关装置10的计算机与由搭载于计算机的CPU 31运行的程序之间的协调动作来实现。
在本实施方式中,例如依照如位于规定地域内的相邻的楼宇3或者相同管理者持有的楼宇3这样的条件,形成网关装置10的组。而且,在网络监视系统中,预先确定代表该组的网关装置10。
而且,在本实施方式中,在向服务器2通知网关装置10检测出的非法访问时,不是各网关装置10单独地通知给服务器2,而是代表各组的网关装置10将在相同组内检测出的非法访问的检出信息汇总通知给服务器2。
即,在非代表的网关装置10检测到非法访问的情况下,该网关装置10中的协作处理部26向在相同组内作为代表的网关装置10发送检出信息。而且,作为代表的网关装置10中的协作处理部26将从相同组内的网关装置10发送来的检出信息汇总发送给服务器2。关于各网关装置10属于哪个组或者自身装置是否是代表,可以预先设定在协作处理部26中,也可以设定登记在未图示的存储单元中。
另外,发送给服务器2的时机可以在接收到检出信息以后立即发送,也可以将在规定期间内接收到的检测信息汇总发送。
从服务器2的角度来看,检出信息不是从多个网关装置10单独发送来的,而是按照每个组汇总发送来的,因此接收次数较少即可。
在上述各实施方式中,对用于网关装置10根据来自开关5的镜像端口51的输出数据来监视设备8,检测设备8中产生的异常、即对设备8的非法访问的非法访问检测处理进行了说明。在实施方式3中,也将来自开关5的通常端口的输出数据作为解析对象来监视设备8。在上述各实施方式中所说明的结构和处理内容也可以不单独实施而是适当组合地实施。此外,在本实施方式中,作为中继装置,以网关装置10为例进行了说明,但只要是具有将外部网络4与楼宇3的内部网络9连接而对服务器2与设备8之间的数据通信进行中继的中继功能的通信装置,则无需限定于网关装置10。
标号说明
1:监视中心;2:服务器;3:楼宇;4:外部网络;5:开关;6:管理装置;7:控制器;8:设备;9:内部网络;10:网关装置;11:内部通信部;12:外部通信部;13:协议转换部;14:监视用通信部;15:监视用数据取得部;16:负荷状态监视部;17:非法访问检测部;18:非法访问通知部;19:监视用数据存储部;20:判定规则存储部;21:匹配处理部;22:过滤信息存储部;23:通信状态取得部;24:通信状态存储部;25:检测处理请求部;26:协作处理部;31:CPU;32:ROM;33:RAM;34:硬盘驱动器(HDD);35:外部网络接口(IF);36:内部网络接口(IF);37:内部总线;51:镜像端口;361:监视端口。
Claims (7)
1.一种中继装置,其对在设施外的与外部网络连接的服务器和设施内的与内部网络直接或者间接地连接的设备之间通信的数据进行中继,其特征在于,该中继装置具有:
数据取得单元,其取得从与所述内部网络连接的网络开关的镜像端口输出的数据;
检测单元,其解析由所述数据取得单元取得的数据,由此检测对所述设备的非法访问;以及
检出信息发送单元,其在检测出非法访问时,向所述服务器发送与该非法访问相关的检出信息。
2.根据权利要求1所述的中继装置,其特征在于,该中继装置具有:
负荷状态监视单元,其对施加给所述中继装置的负荷的状态进行监视;以及
数据存储单元,其存储由所述数据取得单元取得的数据,
仅在施加给所述中继装置的负荷为规定以下的情况下,所述检测单元进行数据的解析。
3.根据权利要求1所述的中继装置,其特征在于,
该中继装置具有匹配处理单元,该匹配处理单元通过由所述数据取得单元取得的数据与预先设定的过滤信息的匹配处理,检测对所述设备的非法访问,
所述检测单元通过解析未被所述匹配处理单元进行的匹配处理检测出非法访问的数据,来检测对所述设备的非法访问。
4.根据权利要求1所述的中继装置,其特征在于,
所述检测单元通过解析从所述网络开关的通常端口输出的来自所述设备的数据,来检测对所述设备的非法访问。
5.根据权利要求1所述的中继装置,其特征在于,该中继装置具有:
负荷状态监视单元,其监视所述中继装置中的负荷状态;
数据存储单元,其存储由所述数据取得单元取得的数据;以及
检测处理请求单元,其根据施加给所述中继装置的负荷的状态,向所述服务器发送存储在所述数据存储单元中的数据,向所述服务器请求执行由所述检测单元进行的非法访问检测处理。
6.一种网络监视系统,其特征在于,该网络监视系统具有:
服务器,其在设施外与外部网络连接;
设备,其在设施内与内部网络直接或者间接地连接;
中继装置,其对在所述服务器与所述设备之间通信的数据进行中继;以及
网络开关,其与所述内部网络连接,从镜像端口向所述中继装置发送从通常端口输入的数据,
所述中继装置具有:
数据取得单元,其取得从所述网络开关的镜像端口输出的数据;
检测单元,其解析由所述数据取得单元取得的数据,由此检测对所述设备的非法访问;以及
检出信息发送单元,其在检测出非法访问时,向所述服务器发送与该非法访问相关的检出信息。
7.一种程序,其使搭载于中继装置中的计算机作为以下单元发挥功能,该中继装置对在设施外的与外部网络连接的服务器和设施内的与内部网络直接或者间接地连接的设备之间通信的数据进行中继,其中,所述单元为:
数据取得单元,其取得从与所述内部网络连接的网络开关的镜像端口输出的数据;
检测单元,其解析由所述数据取得单元取得的数据,由此检测对所述设备的非法访问;以及
检出信息发送单元,其在检测出非法访问时,向所述服务器发送与该非法访问相关的检出信息。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2015/065848 WO2016194123A1 (ja) | 2015-06-02 | 2015-06-02 | 中継装置、ネットワーク監視システム及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107735987A true CN107735987A (zh) | 2018-02-23 |
Family
ID=57441094
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580080557.3A Pending CN107735987A (zh) | 2015-06-02 | 2015-06-02 | 中继装置、网络监视系统和程序 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10826915B2 (zh) |
| EP (1) | EP3306868B1 (zh) |
| JP (1) | JP6258562B2 (zh) |
| CN (1) | CN107735987A (zh) |
| WO (1) | WO2016194123A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110234115A (zh) * | 2019-05-23 | 2019-09-13 | 深圳和而泰家居在线网络科技有限公司 | 多设备通信系统和数据通信方法 |
| CN112738151A (zh) * | 2019-09-17 | 2021-04-30 | 三菱动力株式会社 | 传送装置 |
| CN113596023A (zh) * | 2021-07-27 | 2021-11-02 | 北京卫达信息技术有限公司 | 数据中继和远程引导设备 |
| CN113612753A (zh) * | 2021-07-27 | 2021-11-05 | 北京卫达信息技术有限公司 | 数据的远程引导系统及方法 |
| CN113923080A (zh) * | 2021-10-11 | 2022-01-11 | 中认车联网技术服务(深圳)有限公司 | 基于车载以太网的视频信号监控平台及数据分析方法 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018202934A1 (en) * | 2017-05-02 | 2018-11-08 | Airo Finland Oy | Elimination of latency in a communication channel |
| WO2019003300A1 (ja) * | 2017-06-27 | 2019-01-03 | 三菱電機ビルテクノサービス株式会社 | 侵入検知装置および侵入検知方法 |
| JP2020088716A (ja) * | 2018-11-29 | 2020-06-04 | 株式会社デンソー | 中継装置 |
| US20220109680A1 (en) * | 2019-06-24 | 2022-04-07 | Hewlett-Packard Development Company, L.P. | Intercepting devices |
| JP7273759B2 (ja) * | 2020-03-19 | 2023-05-15 | 株式会社東芝 | 通信装置、通信方法、情報処理システムおよびプログラム |
| CN111798330B (zh) * | 2020-05-20 | 2024-04-05 | 中国南方电网有限责任公司 | 电力现货市场监测数据管理方法、装置及设备 |
| US11252064B2 (en) * | 2020-07-01 | 2022-02-15 | Hewlett Packard Enterprise Development Lp | System and method for monitoring ingress/egress packets at a network device |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050198519A1 (en) * | 2004-03-05 | 2005-09-08 | Fujitsu Limited | Unauthorized access blocking apparatus, method, program and system |
| US20080282339A1 (en) * | 2002-08-20 | 2008-11-13 | Nec Corporation | Attack defending system and attack defending method |
| CN103152227A (zh) * | 2013-03-26 | 2013-06-12 | 北京启明星辰信息技术股份有限公司 | 一种应对网络威胁与攻击的一体化实时检测系统及方法 |
| CN103618689A (zh) * | 2013-09-12 | 2014-03-05 | 天脉聚源(北京)传媒科技有限公司 | 一种网络入侵检测的方法、装置和系统 |
| US20150036599A1 (en) * | 2013-08-05 | 2015-02-05 | Lg Electronics Inc. | Method and apparatus of interference alignment in cellular network |
| CN104579818A (zh) * | 2014-12-01 | 2015-04-29 | 国家电网公司 | 智能变电站网络异常报文检测方法 |
Family Cites Families (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7295552B1 (en) * | 1999-06-30 | 2007-11-13 | Broadcom Corporation | Cluster switching architecture |
| US20110238855A1 (en) * | 2000-09-25 | 2011-09-29 | Yevgeny Korsunsky | Processing data flows with a data flow processor |
| US8010469B2 (en) * | 2000-09-25 | 2011-08-30 | Crossbeam Systems, Inc. | Systems and methods for processing data flows |
| US20110214157A1 (en) * | 2000-09-25 | 2011-09-01 | Yevgeny Korsunsky | Securing a network with data flow processing |
| US9800608B2 (en) * | 2000-09-25 | 2017-10-24 | Symantec Corporation | Processing data flows with a data flow processor |
| US20110213869A1 (en) * | 2000-09-25 | 2011-09-01 | Yevgeny Korsunsky | Processing data flows with a data flow processor |
| US20110231564A1 (en) * | 2000-09-25 | 2011-09-22 | Yevgeny Korsunsky | Processing data flows with a data flow processor |
| US8165114B2 (en) * | 2002-06-13 | 2012-04-24 | Nice Systems Ltd. | Voice over IP capturing |
| JP2005157650A (ja) | 2003-11-25 | 2005-06-16 | Matsushita Electric Ind Co Ltd | 不正アクセス検知システム |
| WO2005109718A1 (en) * | 2004-05-05 | 2005-11-17 | Gigamon Systems Llc | Asymmetric packet switch and a method of use |
| JP2006067279A (ja) | 2004-08-27 | 2006-03-09 | Matsushita Electric Ind Co Ltd | 侵入検知システム及び通信装置 |
| US7979368B2 (en) * | 2005-07-01 | 2011-07-12 | Crossbeam Systems, Inc. | Systems and methods for processing data flows |
| JP4466597B2 (ja) | 2006-03-31 | 2010-05-26 | 日本電気株式会社 | ネットワークシステム、ネットワーク管理装置、ネットワーク管理方法及びプログラム |
| US7873038B2 (en) * | 2007-04-30 | 2011-01-18 | Hewlett-Packard Development Company, L.P. | Packet processing |
| US8248928B1 (en) * | 2007-10-09 | 2012-08-21 | Foundry Networks, Llc | Monitoring server load balancing |
| JP4820437B2 (ja) * | 2009-07-29 | 2011-11-24 | シャープ株式会社 | 情報処理装置 |
| JP5300076B2 (ja) * | 2009-10-07 | 2013-09-25 | 日本電気株式会社 | コンピュータシステム、及びコンピュータシステムの監視方法 |
| JP4660658B1 (ja) * | 2010-02-09 | 2011-03-30 | ネットエージェント株式会社 | 通信情報解析システム |
| JP5659839B2 (ja) * | 2011-02-10 | 2015-01-28 | 横河電機株式会社 | 不正パケット抽出装置 |
| US9674074B2 (en) * | 2011-04-08 | 2017-06-06 | Gigamon Inc. | Systems and methods for stopping and starting a packet processing task |
| JP5754704B2 (ja) * | 2011-04-19 | 2015-07-29 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 複数の産業制御システム間の通信を制御するシステム |
| US9432385B2 (en) * | 2011-08-29 | 2016-08-30 | Arbor Networks, Inc. | System and method for denial of service attack mitigation using cloud services |
| JP6277137B2 (ja) * | 2012-02-17 | 2018-02-07 | ヴェンコア ラブズ、インク.Vencore Labs, Inc. | フィールド・エリア・ネットワークにおけるパケット取得、解析及び侵入検出の方法及びシステム |
| US8832264B2 (en) * | 2012-03-01 | 2014-09-09 | Justin Pauley | Network appliance for monitoring network requests for multimedia content |
| US20140010096A1 (en) * | 2012-07-09 | 2014-01-09 | International Business Machines Corporation | Port mirroring in distributed switching systems |
| JP5987627B2 (ja) * | 2012-10-22 | 2016-09-07 | 富士通株式会社 | 不正アクセス検出方法、ネットワーク監視装置及びプログラム |
| JP5919205B2 (ja) * | 2013-01-28 | 2016-05-18 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびデータ送受信システム |
| US8848744B1 (en) * | 2013-03-15 | 2014-09-30 | Extrahop Networks, Inc. | Resynchronization of passive monitoring of a flow based on hole detection |
| US9491189B2 (en) * | 2013-08-26 | 2016-11-08 | Guardicore Ltd. | Revival and redirection of blocked connections for intention inspection in computer networks |
| US9288221B2 (en) * | 2014-01-14 | 2016-03-15 | Pfu Limited | Information processing apparatus, method for determining unauthorized activity and computer-readable medium |
| US9356950B2 (en) * | 2014-05-07 | 2016-05-31 | Attivo Networks Inc. | Evaluating URLS for malicious content |
| JP6422677B2 (ja) * | 2014-06-04 | 2018-11-14 | 株式会社ギデオン | ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法 |
| JP2016015676A (ja) * | 2014-07-03 | 2016-01-28 | 富士通株式会社 | 監視装置、監視システム、および、監視方法 |
| US20160036837A1 (en) * | 2014-08-04 | 2016-02-04 | Microsoft Corporation | Detecting attacks on data centers |
| US10389655B2 (en) * | 2014-09-22 | 2019-08-20 | Dell Products L.P. | Event-based packet mirroring |
| WO2016170598A1 (ja) * | 2015-04-21 | 2016-10-27 | 株式会社Pfu | 情報処理装置、方法およびプログラム |
| US9338147B1 (en) * | 2015-04-24 | 2016-05-10 | Extrahop Networks, Inc. | Secure communication secret sharing |
-
2015
- 2015-06-02 WO PCT/JP2015/065848 patent/WO2016194123A1/ja active Application Filing
- 2015-06-02 US US15/576,642 patent/US10826915B2/en active Active
- 2015-06-02 EP EP15894158.3A patent/EP3306868B1/en active Active
- 2015-06-02 CN CN201580080557.3A patent/CN107735987A/zh active Pending
- 2015-06-02 JP JP2017521382A patent/JP6258562B2/ja not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080282339A1 (en) * | 2002-08-20 | 2008-11-13 | Nec Corporation | Attack defending system and attack defending method |
| US20050198519A1 (en) * | 2004-03-05 | 2005-09-08 | Fujitsu Limited | Unauthorized access blocking apparatus, method, program and system |
| CN103152227A (zh) * | 2013-03-26 | 2013-06-12 | 北京启明星辰信息技术股份有限公司 | 一种应对网络威胁与攻击的一体化实时检测系统及方法 |
| US20150036599A1 (en) * | 2013-08-05 | 2015-02-05 | Lg Electronics Inc. | Method and apparatus of interference alignment in cellular network |
| CN103618689A (zh) * | 2013-09-12 | 2014-03-05 | 天脉聚源(北京)传媒科技有限公司 | 一种网络入侵检测的方法、装置和系统 |
| CN104579818A (zh) * | 2014-12-01 | 2015-04-29 | 国家电网公司 | 智能变电站网络异常报文检测方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110234115A (zh) * | 2019-05-23 | 2019-09-13 | 深圳和而泰家居在线网络科技有限公司 | 多设备通信系统和数据通信方法 |
| CN112738151A (zh) * | 2019-09-17 | 2021-04-30 | 三菱动力株式会社 | 传送装置 |
| CN113596023A (zh) * | 2021-07-27 | 2021-11-02 | 北京卫达信息技术有限公司 | 数据中继和远程引导设备 |
| CN113612753A (zh) * | 2021-07-27 | 2021-11-05 | 北京卫达信息技术有限公司 | 数据的远程引导系统及方法 |
| CN113923080A (zh) * | 2021-10-11 | 2022-01-11 | 中认车联网技术服务(深圳)有限公司 | 基于车载以太网的视频信号监控平台及数据分析方法 |
| CN113923080B (zh) * | 2021-10-11 | 2023-12-19 | 中认车联网技术服务(深圳)有限公司 | 基于车载以太网的视频信号监控平台及数据分析方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20180183816A1 (en) | 2018-06-28 |
| EP3306868B1 (en) | 2021-02-17 |
| EP3306868A4 (en) | 2019-01-02 |
| JPWO2016194123A1 (ja) | 2017-07-20 |
| JP6258562B2 (ja) | 2018-01-10 |
| EP3306868A1 (en) | 2018-04-11 |
| US10826915B2 (en) | 2020-11-03 |
| WO2016194123A1 (ja) | 2016-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107735987A (zh) | 中继装置、网络监视系统和程序 | |
| CN101026505B (zh) | 用于监控通信网络中的恶意流量的方法和装置 | |
| Cameron et al. | Using self-organizing architectures to mitigate the impacts of denial-of-service attacks on voltage control schemes | |
| CN101447898B (zh) | 一种用于网络安全产品的测试系统及测试方法 | |
| EP2721801B1 (en) | Security measures for the smart grid | |
| CN103491060B (zh) | 一种防御Web攻击的方法、装置、及系统 | |
| WO2015129934A1 (ko) | 명령제어채널 탐지장치 및 방법 | |
| KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
| CN104509034A (zh) | 模式合并以识别恶意行为 | |
| CN111600863B (zh) | 网络入侵检测方法、装置、系统和存储介质 | |
| CN106815511B (zh) | 信息处理装置和方法 | |
| EP3772209A1 (en) | A cyber threat defense system, components, and a method for using artificial intelligence models trained on a normal pattern of life for systems with unusual data sources | |
| US11924238B2 (en) | Cyber threat defense system, components, and a method for using artificial intelligence models trained on a normal pattern of life for systems with unusual data sources | |
| CN107181623A (zh) | 信息网络设备故障处理方法和装置 | |
| Jung et al. | Anomaly Detection in Smart Grids based on Software Defined Networks. | |
| CN108092971A (zh) | 一种处理业务报文的方法及装置 | |
| CN107533492A (zh) | 中继装置和程序 | |
| JP5531064B2 (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
| US11546356B2 (en) | Threat information extraction apparatus and threat information extraction system | |
| WO2020103154A1 (en) | Method, apparatus and system for data analysis | |
| CN108696504A (zh) | 用于控制对基于it系统的网络的访问的方法和控制单元 | |
| Rinaldi et al. | Softwarization of SCADA: lightweight statistical SDN-agents for anomaly detection | |
| EP4193286A1 (en) | Systems, methods, and media for distributed network monitoring using local monitoring devices | |
| KR102037192B1 (ko) | 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법 | |
| Gamez et al. | Safeguarding critical infrastructures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180223 |
|
| RJ01 | Rejection of invention patent application after publication |