CN108650235B - 一种入侵检测装置及其检测方法 - Google Patents

一种入侵检测装置及其检测方法 Download PDF

Info

Publication number
CN108650235B
CN108650235B CN201810331821.1A CN201810331821A CN108650235B CN 108650235 B CN108650235 B CN 108650235B CN 201810331821 A CN201810331821 A CN 201810331821A CN 108650235 B CN108650235 B CN 108650235B
Authority
CN
China
Prior art keywords
data
module
priority
intrusion
field
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810331821.1A
Other languages
English (en)
Other versions
CN108650235A (zh
Inventor
赵西玉
李佐民
赵越峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Wangteng Technology Co ltd
Original Assignee
Beijing Wangteng Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Wangteng Technology Co ltd filed Critical Beijing Wangteng Technology Co ltd
Priority to CN201810331821.1A priority Critical patent/CN108650235B/zh
Publication of CN108650235A publication Critical patent/CN108650235A/zh
Application granted granted Critical
Publication of CN108650235B publication Critical patent/CN108650235B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Alarm Systems (AREA)
  • Burglar Alarm Systems (AREA)

Abstract

本发明公开了一种入侵检测装置,包括检测接口,连接于网络链路层,用于提供数据采集通道;数据采集模块,连接于检测接口上,用于采集网络通讯数据;预处理模块,与数据采集模块连接,用于对采集到的数据进行预处理;分级模块,与预处理模块连接,用于对预处理后的数据进行分级;比对模块,与分级模块连接,用于对数据进行比对分析;判定模块,与比对模块连接,用于对异常入侵数据进行判定并处理。本发明能够改进现有技术的不足,提高了工控安全防护的水平。

Description

一种入侵检测装置及其检测方法
技术领域
本发明涉及工业控制系统安全防御技术领域,尤其是一种入侵检测装置及其检测方法。
背景技术
工业控制系统环境属于一种特定的信息化应用场景,由于其系统的特殊性,安全防护水平相对薄弱。异常数据的非法入侵是影响工业控制系统的一种常见问题,现有技术中对于异常数据的入侵检测实时性较差,无法有效保护工业控制系统。
发明内容
本发明要解决的技术问题是提供一种入侵检测装置及其检测方法,能够解决现有技术的不足,提高了工控安全防护的水平。
为解决上述技术问题,本发明所采取的技术方案如下。
一种入侵检测装置,包括,
检测接口,连接于网络链路层,用于提供数据采集通道;
数据采集模块,连接于检测接口上,用于采集网络通讯数据;
预处理模块,与数据采集模块连接,用于对采集到的数据进行预处理;
分级模块,与预处理模块连接,用于对预处理后的数据进行分级;
比对模块,与分级模块连接,用于对数据进行比对分析;
判定模块,与比对模块连接,用于对异常入侵数据进行判定并处理。
一种上述的入侵检测装置的检测方法,包括以下步骤:
A、数据采集模块通过检测接口对网络上的通讯数据进行采集;
B、预处理模块将步骤A中采集到的数据进行分割,形成数据字段、地址字段和路径字段;
C、分级模块将数据字段设为第一优先级,将路径字段设为第二优先级,将地址字段设为第三优先级;然后在数据字段内,将高风险数据设为高优先级,将低风险数据设为低优先级,在路径字段内,将最短路径设为低优先级,将非最短路径设为高优先级,在地址字段内,将核心地址设为高优先级,将非核心地址设为低优先级;
D、比对模块根据步骤C给出的优先级先后顺序将数据与入侵特征数据库进行对比;
E、判定模块根据对比结果给出判定结果,并对异常入侵数据进行处理。
作为优选,步骤A中,数据采集模块的采集频率与数据流量的平方成正比,且在采集过的数据上进行标示。
作为优选,步骤D中,比对模块采用非遍历方式进行对比,遍历量与对比对象的优先级成正比。
作为优选,步骤E中,判定模块将异常入侵数据进行隔离,然后将异常入侵数据发送至预处理模块进行分割,根据分割结果对入侵特征数据库进行更新。
采用上述技术方案所带来的有益效果在于:本发明通过改进对于异常数据的检测过程,降低了数据处理量,提高了有效运算比例,从而实现快速、准确地发现异常数据入侵行为,提高了,工控安全防护的水平。
附图说明
图1是本发明一个具体实施方式的系统原理图。
具体实施方式
参照图1,本发明一个具体实施方式包括,
一种入侵检测装置,包括,
检测接口1,连接于网络链路层,用于提供数据采集通道;
数据采集模块2,连接于检测接口1上,用于采集网络通讯数据;
预处理模块3,与数据采集模块2连接,用于对采集到的数据进行预处理;
分级模块4,与预处理模块3连接,用于对预处理后的数据进行分级;
比对模块5,与分级模块4连接,用于对数据进行比对分析;
判定模块6,与比对模块5连接,用于对异常入侵数据进行判定并处理。
一种上述的入侵检测装置的检测方法,包括以下步骤:
A、数据采集模块2通过检测接口1对网络上的通讯数据进行采集;
B、预处理模块3将步骤A中采集到的数据进行分割,形成数据字段、地址字段和路径字段;
C、分级模块4将数据字段设为第一优先级,将路径字段设为第二优先级,将地址字段设为第三优先级;然后在数据字段内,将高风险数据设为高优先级,将低风险数据设为低优先级,在路径字段内,将最短路径设为低优先级,将非最短路径设为高优先级,在地址字段内,将核心地址设为高优先级,将非核心地址设为低优先级;
D、比对模块5根据步骤C给出的优先级先后顺序将数据与入侵特征数据库进行对比;
E、判定模块6根据对比结果给出判定结果,并对异常入侵数据进行处理。
步骤A中,数据采集模块2的采集频率与数据流量的平方成正比,且在采集过的数据上进行标示。
步骤D中,比对模块5采用非遍历方式进行对比,遍历量与对比对象的优先级成正比。
步骤E中,判定模块6将异常入侵数据进行隔离,然后将异常入侵数据发送至预处理模块3进行分割,根据分割结果对入侵特征数据库进行更新。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (2)

1.一种入侵检测装置的检测方法,所述入侵检测装置包括,
检测接口(1),连接于网络链路层,用于提供数据采集通道;
数据采集模块(2),连接于检测接口(1)上,用于采集网络通讯数据;
预处理模块(3),与数据采集模块(2)连接,用于对采集到的数据进行预处理;
分级模块(4),与预处理模块(3)连接,用于对预处理后的数据进行分级;
比对模块(5),与分级模块(4)连接,用于对数据进行比对分析;
判定模块(6),与比对模块(5)连接,用于对异常入侵数据进行判定并处理;
其特征在于包括以下步骤:
A、数据采集模块(2)通过检测接口(1)对网络上的通讯数据进行采集;数据采集模块(2)的采集频率与数据流量的平方成正比,且在采集过的数据上进行标示;
B、预处理模块(3)将步骤A中采集到的数据进行分割,形成数据字段、地址字段和路径字段;
C、分级模块(4)将数据字段设为第一优先级,将路径字段设为第二优先级,将地址字段设为第三优先级;然后在数据字段内,将高风险数据设为高优先级,将低风险数据设为低优先级,在路径字段内,将最短路径设为低优先级,将非最短路径设为高优先级,在地址字段内,将核心地址设为高优先级,将非核心地址设为低优先级;
D、比对模块(5)根据步骤C给出的优先级先后顺序将数据与入侵特征数据库进行对比;比对模块(5)采用非遍历方式进行对比,遍历量与对比对象的优先级成正比;
E、判定模块(6)根据对比结果给出判定结果,并对异常入侵数据进行处理。
2.根据权利要求1所述的入侵检测装置的检测方法,其特征在于:步骤E中,判定模块(6)将异常入侵数据进行隔离,然后将异常入侵数据发送至预处理模块(3)进行分割,根据分割结果对入侵特征数据库进行更新。
CN201810331821.1A 2018-04-13 2018-04-13 一种入侵检测装置及其检测方法 Active CN108650235B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810331821.1A CN108650235B (zh) 2018-04-13 2018-04-13 一种入侵检测装置及其检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810331821.1A CN108650235B (zh) 2018-04-13 2018-04-13 一种入侵检测装置及其检测方法

Publications (2)

Publication Number Publication Date
CN108650235A CN108650235A (zh) 2018-10-12
CN108650235B true CN108650235B (zh) 2021-06-04

Family

ID=63746123

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810331821.1A Active CN108650235B (zh) 2018-04-13 2018-04-13 一种入侵检测装置及其检测方法

Country Status (1)

Country Link
CN (1) CN108650235B (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1905528A (zh) * 2006-08-02 2007-01-31 杭州华为三康技术有限公司 基于虚拟局域网的数据发送方法与装置
CN101018118A (zh) * 2007-02-09 2007-08-15 浪潮电子信息产业股份有限公司 基于网络生命频谱的网络安全监测方法
US7738375B1 (en) * 2005-08-19 2010-06-15 Juniper Networks, Inc. Shared shaping of network traffic
CN103701769A (zh) * 2013-11-07 2014-04-02 江南大学 一种检测网络危害源头的方法与系统
CN103944915A (zh) * 2014-04-29 2014-07-23 浙江大学 一种工业控制系统威胁检测防御装置、系统及方法
CN104113544A (zh) * 2014-07-18 2014-10-22 重庆大学 基于模糊隐条件随机场模型的网络入侵检测方法及系统
CN104811452A (zh) * 2015-04-30 2015-07-29 北京科技大学 一种基于数据挖掘的自学习分级预警入侵检测系统
CN106559261A (zh) * 2016-11-03 2017-04-05 国网江西省电力公司电力科学研究院 一种基于特征指纹的变电站网络入侵检测与分析方法
CN106899549A (zh) * 2015-12-18 2017-06-27 北京奇虎科技有限公司 一种网络安全检测方法及装置
CN106973038A (zh) * 2017-02-27 2017-07-21 同济大学 基于遗传算法过采样支持向量机的网络入侵检测方法
CN107332811A (zh) * 2016-04-29 2017-11-07 阿里巴巴集团控股有限公司 入侵检测的方法、装置和系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4533836B2 (ja) * 2005-12-01 2010-09-01 株式会社東芝 変動領域検出装置及びその方法

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7738375B1 (en) * 2005-08-19 2010-06-15 Juniper Networks, Inc. Shared shaping of network traffic
CN1905528A (zh) * 2006-08-02 2007-01-31 杭州华为三康技术有限公司 基于虚拟局域网的数据发送方法与装置
CN101018118A (zh) * 2007-02-09 2007-08-15 浪潮电子信息产业股份有限公司 基于网络生命频谱的网络安全监测方法
CN103701769A (zh) * 2013-11-07 2014-04-02 江南大学 一种检测网络危害源头的方法与系统
CN103944915A (zh) * 2014-04-29 2014-07-23 浙江大学 一种工业控制系统威胁检测防御装置、系统及方法
CN104113544A (zh) * 2014-07-18 2014-10-22 重庆大学 基于模糊隐条件随机场模型的网络入侵检测方法及系统
CN104811452A (zh) * 2015-04-30 2015-07-29 北京科技大学 一种基于数据挖掘的自学习分级预警入侵检测系统
CN106899549A (zh) * 2015-12-18 2017-06-27 北京奇虎科技有限公司 一种网络安全检测方法及装置
CN107332811A (zh) * 2016-04-29 2017-11-07 阿里巴巴集团控股有限公司 入侵检测的方法、装置和系统
CN106559261A (zh) * 2016-11-03 2017-04-05 国网江西省电力公司电力科学研究院 一种基于特征指纹的变电站网络入侵检测与分析方法
CN106973038A (zh) * 2017-02-27 2017-07-21 同济大学 基于遗传算法过采样支持向量机的网络入侵检测方法

Also Published As

Publication number Publication date
CN108650235A (zh) 2018-10-12

Similar Documents

Publication Publication Date Title
US20220006666A1 (en) Method and system for detecting and defending against abnormal traffic of in-vehicle network based on information entropy
CN109714322B (zh) 一种检测网络异常流量的方法及其系统
US20180288084A1 (en) Method and device for automatically establishing intrusion detection model based on industrial control network
CN109631848B (zh) 输电线路异物入侵检测系统和检测方法
CN105763529A (zh) 一种网络环境下攻击链获取方法及系统
CN113283344A (zh) 一种基于语义分割网络的矿用输送带跑偏检测方法
CN110392013A (zh) 一种基于网络流量分类的恶意软件识别方法、系统及电子设备
CN114666088A (zh) 工业网络数据行为信息的侦测方法、装置、设备和介质
CN113037567A (zh) 一种用于电网企业的网络攻击行为仿真系统及其仿真方法
CN116032629A (zh) 一种告警流量的分类治理方法、系统电子设备及存储介质
CN108650235B (zh) 一种入侵检测装置及其检测方法
CN109889527B (zh) 一种基于大数据的网络安全防护系统及其防护方法
CN106899977B (zh) 异常流量检验方法和装置
CN117040664A (zh) 一种基于网络运行安全的计算机系统检测方法
CN117527295A (zh) 基于人工智能的自适应网络威胁检测系统
CN116738369A (zh) 一种流量数据的分类方法、装置、设备及存储介质
CN116994331A (zh) 一种配电网违规作业检测方法及系统
CN114268484A (zh) 恶意加密流量检测方法、装置、电子设备及存储介质
CN111586052B (zh) 一种基于多层级的群智合约异常交易识别方法及识别系统
CN107493259A (zh) 一种网络安全控制系统
CN112637118A (zh) 基于内外网引流异常的流量分析实现方法
CN114024830A (zh) 一种基于Grubbs的警报关联方法
KR20140014784A (ko) 선형패턴과 명암 특징 기반 네트워크 트래픽의 이상현상 감지 방법
CN112887288A (zh) 基于互联网的电商平台入侵检测的前端计算机扫描系统
CN115333874B (zh) 一种工业终端主机监测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant