CN109600365A - 基于电力网络iec规约的基因相似性入侵检测方法 - Google Patents
基于电力网络iec规约的基因相似性入侵检测方法 Download PDFInfo
- Publication number
- CN109600365A CN109600365A CN201811475978.8A CN201811475978A CN109600365A CN 109600365 A CN109600365 A CN 109600365A CN 201811475978 A CN201811475978 A CN 201811475978A CN 109600365 A CN109600365 A CN 109600365A
- Authority
- CN
- China
- Prior art keywords
- event
- electric power
- behavior
- power networks
- indicate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
- G06F18/23213—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Probability & Statistics with Applications (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Algebra (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供基于电力网络IEC规约的基因相似性入侵检测方法,该方法包括:对电力监控系统关键节点进行信息采集,对采集的IEC报文进行协议解析,建立行为、事件、关系三个层次的映射模型,通过推理规则自动发现和深度关系挖掘解决事件之间关系的聚合,事件的归并、多维关系关联,建立电力网络异常行为基因特征库,通过基于均值与偏差模型的基因相似性比对,发现隐含攻击,通过多模态组合告警,实现安全事件主动防御,实时阻断网络攻击,防止本地监控系统瘫痪和失控,防止危害蔓延避免事态扩大。
Description
技术领域
本发明涉及电通信技术的数字信息的传输检测的技术领域,具体而言,尤其涉及一种基于电力网络IEC规约的基因相似性入侵检测方法。
背景技术
2015年乌克兰大面积停电反映网络时代电力系统已经成为国际网络战优先选择的攻击目标,电力监控系统及其网络安全形势日益严峻。
目前市场网络入侵检测产品安全模型主要采用被动的身份认证和访问控制这两种安全技术手段来保证系统的安全性。然而被动防护技术并不能抵制脆弱性口令、协议攻击、特洛伊木马、网络嗅探器等攻击手段,对于访问控制,入侵者也可以利用系统漏洞、脆弱性程序等绕过访问控制,或提升用户权限。同时市场网络入侵检测产品存在功能复杂、价格昂贵、不适合电力系统需求等问题。
发明内容
根据上述提出的技术问题,而提供基于电力网络IEC规约的基因相似性入侵检测方法。本发明提出一种基于电力网络IEC规约的基因相似性入侵检测方法,其特征在于,至少包括以下步骤:
S1:接收电力网络、厂站网络以及调度网络的待解析的通讯报文;
S2:将多个所述待解析的通讯报文存储在共享内存中;
S3:根据资源情况,对所述存储在共享内存的多个待解析的通讯报文进行网络行为解析,建立行为、事件、关系三个层次的映射模型;
S4:通过推理规则发现和深度关系挖掘,实现电力网络事件之间关系的聚合,事件的归并、多维关系关联,建立电力网络异常行为基因特征库;
S5:通过基于均值与偏差模型的基因相似性比对,计算网络行为事件的均值和标准偏差;所述均值为相邻的前一事件与当前事件子图特征向量的相似系数的平均值;
S6:若偏差超出预设值的置信区间,触发多模态组合告警,并把异常行为基因特征值存入存储单元,更新行为事件的子图模型和每个子图的特征向量,更新异常行为基因特征库所述网络异常行为基因特征库即。
进一步的,所述步骤S1中,所述厂站网配置数据汇聚口,协议处理单元的网络口接入厂站数据网交换机数据汇聚口,实时接收上传/下发的数据报文;
所述步骤S3中,对所述存储在共享内存的多个待解析的通讯报文进行调度处理,对所述通讯报文做引用计数,对多个待解析的通讯报文进行排序和处理,根据系统资源的忙闲程度,实现负载均衡的调度处理。
更进一步的,所述步骤S4中,将所述网络行为表示成结点和边,建立行为的带权有向图,则行为i对应的子图模型Gi定义为:Gi={Vi,Ei,Bi},其中,Vi表示第i个数据窗内源的IP即sip、目的IP即dip、源端口即sport以及目的端口即dport的集合,Vi={sip,dip,sport,dport}i;Ei表示第i个数据窗内的有向边集合,Ei={<sip,sport>,<sport,dport>,<dport,dip>}i;每一条流量对应Ei中3个序偶;Bi表示第i个数据窗内的流量权重集合即行为内容。
进一步的,所述行为、事件、关系三个层次的映射模型通过三顶点子图表示,所述三顶点子图通过6种特征表示。
更进一步的,每个所述三顶点子图Gi表示为一个特征向量x则特征向量x为:
其中,Si表示当前图中i类型的特征的个数,Bi表示特征向量的权重;
行为关系通过本地主机、本地端口、远程端口、远程主机以及行为内容的映射,建立行为之间的多维关联关系Rij={Gi,Gj,dij},Gi、Gj分别表示子图Gi、Gj;dij表示连接图Gi、Gj的最短路径上的边数。
所述行为关系的动态变化或演化描述电力网络事件,则电力网络事件Wi={G,R},其中,G={G1,G2,G3,…,Gm}表示数据窗口序列上的子图集合,R={R1,R2,R3,…,Rn}表示事件序列上的关系集合。
进一步的,所述步骤S5中,假设仅根据均值和标准偏差能够获得系统行为的度量;定义连续事件序列W={W1,W2,W3,…,Wn}为连续事件集合,Wi表示第i个事件,定义Wi={G,R}为事件的模型集合,Gi表示第i个事件的图模型;则对每个图模型Gi划分得到其子图,令Wi={{g1,g2,g3,…,gm},{r1,r2,r3,…,rn}},其中gj表示Wi的第j个子图;
通过刻画所述子图的通信特征,采用k-means聚类算法对每个数据窗口下的子图进行聚类,检测扫描行为;
设某事件的两个子图a和b的子图特征向量分别为
则a和b的相似性度量为:
设置R为阈值,对于每一个事件,计算相邻的前一事件与当前事件的相似系数,并求平均值,如果该平均值低于阈值R,则该事件为异常事件,否则为正常事件;
同时计算所述当前数据窗口下事件Wi和异常行为基因库的事件Wj的相似系数,Wi和Wj的相似系数为:
若d(Wi,Wj)低于阈值R,则该事件为异常事件,否则为正常事件。
本发明的优点在于:本发明对电力监控系统关键节点进行信息采集,对采集的IEC报文进行协议解析,建立行为、事件、关系三个层次的映射模型,通过推理规则自动发现和深度关系挖掘解决事件之间关系的聚合,事件的归并、多维关系关联,建立电力网络异常行为基因特征库,通过基于均值与偏差模型的基因相似性比对,发现隐含攻击,通过多模态组合告警,实现安全事件主动防御,实时阻断网络攻击,防止本地监控系统瘫痪和失控,防止危害蔓延避免事态扩大。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做以简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明整体流程示意图。
图2为本发明行为子图模型图。
图3为本发明特征定义图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
如图1所示为本发明基于电力网络IEC规约的基因相似性入侵检测方法的整体流程图,所述方法至少包括以下步骤:
S1:接收电力网络、厂站网络以及调度网络的待解析的通讯报文;
S2:将多个所述待解析的通讯报文存储在共享内存中;
S3:根据资源情况,对所述存储在共享内存的多个待解析的通讯报文进行网络行为解析,建立行为、事件、关系三个层次的映射模型。作为优选的实施方式,本申请所述的资源情况是指CPU、内存等计算资源
S4:通过推理规则发现和深度关系挖掘,实现电力网络事件之间关系的聚合,事件的归并、多维关系关联,建立电力网络异常行为基因特征库;
S5:通过基于均值与偏差模型的基因相似性比对,计算网络行为事件的均值和标准偏差;所述均值为相邻的前一事件与当前事件子图特征向量的相似系数的平均值;
S6:若偏差超出预设值的置信区间,触发多模态组合告警,并把异常行为基因特征值存入存储单元,更新行为事件的子图模型和每个子图的特征向量,更新异常行为基因特征库所述网络异常行为基因特征库即。
作为优选的实施方式,本发明需要获取电力网络中所有的网络数据流,通过配置数据网交换机的汇聚口,可以把所有交换机其他网口的网络数据流汇聚,从而实施监听。
作为优选的实施方式,所述步骤S1中,所述厂站网配置数据汇聚口,协议处理单元的网络口接入厂站数据网交换机数据汇聚口,实时接收上传/下发的数据报文。作为本申请的一种实施例,配置数据网交换机,一般为华为、中兴等品牌交换机,设置23或24口为数据汇聚口,可以理解为在其它的实施方式中,所述的交换机也可以按照实际需求进行设定只要能够满足实时接收上传/下发的数据报文即可。
作为优选的实施方式,所述步骤S3中,对所述存储在共享内存的多个待解析的通讯报文进行调度处理,对所述通讯报文做引用计数,对多个待解析的通讯报文进行排序和处理,根据系统资源的忙闲程度,实现负载均衡的调度处理。
在本实施方式中,待解析的报文是排队进入队列的,一般是多线程并发调度,哪个线程空闲了就按照先进先出的原则从队列中取一条数据进行处理。
作为优选的实施方式,所述步骤S4中,将所述网络行为表示成结点和边,建立行为的带权有向图,则行为i对应的子图模型Gi定义为:Gi={Vi,Ei,Bi},其中,Vi表示第i个数据窗内源的IP即sip、目的IP即dip、源端口即sport以及目的端口即dport的集合,Vi={sip,dip,sport,dport}i;Ei表示第i个数据窗内的有向边集合,Ei={<sip,sport>,<sport,dport>,<dport,dip>}i;每一条流量对应Ei中3个序偶;Bi表示第i个数据窗内的流量权重集合即行为内容。作为优选的实施方式,如图3所示,1条流对应Ei中3个序偶;Bi是第i个数据窗内的流量权重集合,即行为内容。
在本实施方式中,所述行为、事件、关系三个层次的映射模型通过三顶点子图表示,所述三顶点子图通过6种特征表示,如图3所示;
每个所述三顶点子图Gi表示为一个特征向量x则特征向量x为:
其中,Si表示当前图中i类型的特征的个数,Bi表示特征向量的权重;行为关系通过本地主机、本地端口、远程端口、远程主机以及行为内容的映射,建立行为之间的多维关联关系Rij={Gi,Gj,dij},Gi、Gj分别表示子图Gi、Gj;dij表示连接图Gi、Gj的最短路径上的边数。
作为优选的实施方式,所述行为关系的动态变化或演化描述电力网络事件,则电力网络事件Wi={G,R},其中,G={G1,G2,G3,…,Gm}表示数据窗口序列上的子图集合,R={R1,R2,R3,…,Rn}表示事件序列上的关系集合。作为本申请的一种实施例,行为可以理解为遥信、遥测、电度等电力网络专用和发邮件、telnet等通用的行为,关系就是这些行为的关系,通常一个网络攻击事件有若干相似的行为组成,这些行为之间有直接间接的关系。作为本申请的一种实施例,宏病毒攻击事件,首先通过ping这个行为进行端口嗅探,然后通过发送TCP数据包这个行为进行攻击,这些行为是有前后关系的,这些行为和关系就组成了网络宏病毒攻击事件。虽然客户的行为和使用习惯是随机的,但是使用的服务是相对稳定的。当这类稳定性减弱时,通常表示网络由于受到某种因素干扰,出现网络入侵异常。
在本实施方式中,所述步骤S5中,假设仅根据均值和标准偏差能够获得系统行为的度量;定义连续事件序列W={W1,W2,W3,…,Wn}为连续事件集合,Wi表示第i个事件,定义Wi={G,R}为事件的模型集合,Gi表示第i个事件的图模型;则对每个图模型Gi划分得到其子图,令Wi={{g1,g2,g3,…,gm},{r1,r2,r3,…,rn}},其中gj表示Wi的第j个子图。
作为优选的实施方式,通过刻画所述子图的通信特征,采用k-means聚类算法对每个数据窗口下的子图进行聚类,检测扫描行为;
设某事件的两个子图a和b的子图特征向量分别为
则a和b的相似性度量为:
设置R为阈值,对于每一个事件,计算相邻的前一事件与当前事件的相似系数,并求平均值,如果该平均值低于阈值R,则该事件为异常事件,否则为正常事件;
同时计算所述当前数据窗口下事件Wi和异常行为基因库的事件Wj的相似系数,Wi和Wj的相似系数为:
若d(Wi,Wj)低于阈值R,则该事件为异常事件,否则为正常事件。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (5)
1.基于电力网络IEC规约的基因相似性入侵检测方法,其特征在于,至少包括以下步骤:
S1:接收电力网络、厂站网络以及调度网络的待解析的通讯报文;
S2:将多个所述待解析的通讯报文存储在共享内存中;
S3:根据资源情况,对所述存储在共享内存的多个待解析的通讯报文进行网络行为解析,建立行为、事件、关系三个层次的映射模型;
S4:通过推理规则发现和深度关系挖掘,实现电力网络事件之间关系的聚合,事件的归并、多维关系关联,建立电力网络异常行为基因特征库;
S5:通过基于均值与偏差模型的基因相似性比对,计算网络行为事件的均值和标准偏差;所述均值为相邻的前一事件与当前事件子图特征向量的相似系数的平均值;
S6:若偏差超出预设值的置信区间,触发多模态组合告警,并把异常行为基因特征值存入存储单元,更新行为事件的子图模型和每个子图的特征向量,更新异常行为基因特征库所述网络异常行为基因特征库。
2.根据权利要求1所述的基于电力网络IEC规约的基因相似性入侵检测方法,其特征还在于:
所述步骤S1中,所述厂站网配置数据汇聚口,协议处理单元的网络口接入厂站数据网交换机数据汇聚口,实时接收上传/下发的数据报文;
所述步骤S3中,对所述存储在共享内存的多个待解析的通讯报文进行调度处理,对所述通讯报文做引用计数,对多个待解析的通讯报文进行排序和处理,根据系统资源的忙闲程度,实现负载均衡的调度处理。
3.根据权利要求1所述的基于电力网络IEC规约的基因相似性入侵检测方法,其特征还在于:
所述步骤S4中,将所述网络行为表示成结点和边,建立行为的带权有向图,则行为i对应的子图模型Gi定义为:Gi={Vi,Ei,Bi},其中,Vi表示第i个数据窗内源的IP即sip、目的IP即dip、源端口即sport以及目的端口即dport的集合,Vi={sip,dip,sport,dport}i;Ei表示第i个数据窗内的有向边集合,Ei={<sip,sport>,<sport,dport>,<dport,dip>}i;每一条流量对应Ei中3个序偶;Bi表示第i个数据窗内的流量权重集合即行为内容。
4.根据权利要求1所述的基于电力网络IEC规约的基因相似性入侵检测方法,其特征还在于:
所述行为、事件、关系三个层次的映射模型通过三顶点子图表示,所述三顶点子图通过6种特征表示;
每个所述三顶点子图Gi表示为一个特征向量x则特征向量x为:
其中,Si表示当前图中i类型的特征的个数,Bi表示特征向量的权重;
行为关系通过本地主机、本地端口、远程端口、远程主机以及行为内容的映射,建立行为之间的多维关联关系Rij={Gi,Gj,dij},Gi、Gj分别表示子图Gi、Gj;dij表示连接图Gi、Gj的最短路径上的边数;
所述行为关系的动态变化或演化描述电力网络事件,则电力网络事件Wi={G,R},其中,G={G1,G2,G3,…,Gm}表示数据窗口序列上的子图集合,R={R1,R2,R3,…,Rn}表示事件序列上的关系集合。
5.根据权利要求1所述的基于电力网络IEC规约的基因相似性入侵检测方法,其特征还在于:
所述步骤S5中,假设仅根据均值和标准偏差能够获得系统行为的度量;定义连续事件序列W={W1,W2,W3,…,Wn}为连续事件集合,Wi表示第i个事件,定义Wi={G,R}为事件的模型集合,Gi表示第i个事件的图模型;
则对每个图模型Gi划分得到其子图,令Wi={{g1,g2,g3,…,gm},{r1,r2,r3,…,rn}},其中gj表示Wi的第j个子图;
通过刻画所述子图的通信特征,采用k-means聚类算法对每个数据窗口下的子图进行聚类,检测扫描行为;
设某事件的两个子图a和b的子图特征向量分别为
则a和b的相似性度量为:
设置R为阈值,对于每一个事件,计算相邻的前一事件与当前事件的相似系数,并求平均值,如果该平均值低于阈值R,则该事件为异常事件,否则为正常事件;
同时计算所述当前数据窗口下事件Wi和异常行为基因库的事件Wj的相似系数,Wi和Wj的相似系数为:
若d(Wi,Wj)低于阈值R,则该事件为异常事件,否则为正常事件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811475978.8A CN109600365A (zh) | 2018-12-04 | 2018-12-04 | 基于电力网络iec规约的基因相似性入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811475978.8A CN109600365A (zh) | 2018-12-04 | 2018-12-04 | 基于电力网络iec规约的基因相似性入侵检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109600365A true CN109600365A (zh) | 2019-04-09 |
Family
ID=65961060
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811475978.8A Pending CN109600365A (zh) | 2018-12-04 | 2018-12-04 | 基于电力网络iec规约的基因相似性入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109600365A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111193719A (zh) * | 2019-12-14 | 2020-05-22 | 贵州电网有限责任公司 | 一种网络入侵防护系统 |
CN113645181A (zh) * | 2021-06-21 | 2021-11-12 | 上海电力大学 | 一种基于孤立森林的分布式规约攻击检测方法及系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103561003A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 一种基于蜜网的协同式主动防御方法 |
CN106453417A (zh) * | 2016-12-05 | 2017-02-22 | 国网浙江省电力公司电力科学研究院 | 一种基于近邻相似性的网络攻击目标预测方法 |
US20170063887A1 (en) * | 2015-08-31 | 2017-03-02 | Splunk Inc. | Probabilistic suffix trees for network security analysis |
CN107070943A (zh) * | 2017-05-05 | 2017-08-18 | 兰州理工大学 | 基于流量特征图和感知哈希的工业互联网入侵检测方法 |
CN108055228A (zh) * | 2017-10-09 | 2018-05-18 | 全球能源互联网研究院有限公司 | 一种智能电网入侵检测系统及方法 |
CN108718298A (zh) * | 2018-04-28 | 2018-10-30 | 北京奇安信科技有限公司 | 一种恶意外连流量检测方法及装置 |
-
2018
- 2018-12-04 CN CN201811475978.8A patent/CN109600365A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103561003A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 一种基于蜜网的协同式主动防御方法 |
US20170063887A1 (en) * | 2015-08-31 | 2017-03-02 | Splunk Inc. | Probabilistic suffix trees for network security analysis |
US20170063905A1 (en) * | 2015-08-31 | 2017-03-02 | Splunk Inc. | Detection of anomalies, threat indicators, and threats to network security |
CN106453417A (zh) * | 2016-12-05 | 2017-02-22 | 国网浙江省电力公司电力科学研究院 | 一种基于近邻相似性的网络攻击目标预测方法 |
CN107070943A (zh) * | 2017-05-05 | 2017-08-18 | 兰州理工大学 | 基于流量特征图和感知哈希的工业互联网入侵检测方法 |
CN108055228A (zh) * | 2017-10-09 | 2018-05-18 | 全球能源互联网研究院有限公司 | 一种智能电网入侵检测系统及方法 |
CN108718298A (zh) * | 2018-04-28 | 2018-10-30 | 北京奇安信科技有限公司 | 一种恶意外连流量检测方法及装置 |
Non-Patent Citations (3)
Title |
---|
刘璇: "基于用户行为的宏观网络预警及响应系统设计与实现", 《中国优秀硕士学位论文全文数据库(信息科技辑)》 * |
刘绍海: "基于聚类分析技术的入侵检测系统的研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
李巍等: "基于子图的服务器网络行为建模及异常检测方法研究", 《信息网络安全》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111193719A (zh) * | 2019-12-14 | 2020-05-22 | 贵州电网有限责任公司 | 一种网络入侵防护系统 |
CN113645181A (zh) * | 2021-06-21 | 2021-11-12 | 上海电力大学 | 一种基于孤立森林的分布式规约攻击检测方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11240259B2 (en) | Self organizing learning topologies | |
US10609051B2 (en) | Network security analysis for smart appliances | |
Dao et al. | Securing heterogeneous IoT with intelligent DDoS attack behavior learning | |
US11140187B2 (en) | Learning internal ranges from network traffic data to augment anomaly detection systems | |
US10659333B2 (en) | Detection and analysis of seasonal network patterns for anomaly detection | |
US10243980B2 (en) | Edge-based machine learning for encoding legitimate scanning | |
KR101703446B1 (ko) | DoS 공격의 탐지가 가능한 네트워크 및 이의 제어 방법과, 상기 네트워크에 포함되는 게이트웨이 및 관리 서버 | |
US10764310B2 (en) | Distributed feedback loops from threat intelligence feeds to distributed machine learning systems | |
CN101616041B (zh) | 网络安全设备中的动态策略供应 | |
Matlou et al. | Utilising artificial intelligence in software defined wireless sensor network | |
US20170279685A1 (en) | Adjusting anomaly detection operations based on network resources | |
Wang et al. | A DDoS attack detection method based on information entropy and deep learning in SDN | |
CN109766695A (zh) | 一种基于融合决策的网络安全态势感知方法和系统 | |
Monge et al. | Traffic-flow analysis for source-side DDoS recognition on 5G environments | |
Ye et al. | An anomalous behavior detection model in cloud computing | |
CN107911244A (zh) | 一种云网结合的多用户蜜罐终端系统及其实现方法 | |
CN109462621A (zh) | 网络安全保护方法、装置及电子设备 | |
CN113271318B (zh) | 网络威胁感知系统及方法 | |
CN109600365A (zh) | 基于电力网络iec规约的基因相似性入侵检测方法 | |
Muzafar et al. | Ddos attack detection approaches in on software defined network | |
CN112787861A (zh) | 一种基于sdn的网络安全监测一体化可编程控制器 | |
CN114531273A (zh) | 一种防御工业网络系统分布式拒绝服务攻击的方法 | |
CN106027495A (zh) | 一种多网络选择式计算机网络监控器 | |
CN107070888A (zh) | 网关安全管理方法和设备 | |
CN114978731B (zh) | 一种基于多样性扩展的诱捕蜜罐实现系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190409 |