CN110266728A - 基于mqtt消息队列的安全防御及异常检测方法、装置及系统 - Google Patents
基于mqtt消息队列的安全防御及异常检测方法、装置及系统 Download PDFInfo
- Publication number
- CN110266728A CN110266728A CN201910645622.2A CN201910645622A CN110266728A CN 110266728 A CN110266728 A CN 110266728A CN 201910645622 A CN201910645622 A CN 201910645622A CN 110266728 A CN110266728 A CN 110266728A
- Authority
- CN
- China
- Prior art keywords
- target terminal
- message
- euclidean distance
- module
- abnormal behaviour
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于MQTT消息队列的安全防御及异常检测方法、装置及系统,属于物联网中快捷消息队列应用技术领域,该异常行为检测方法,通过在预设采样时间内,接收目标终端发送的报文数据,统计一个周期内目标终端发送的报文数据,计算所述报文数据的统计结果的加权欧式距离,通过比较加权欧式距离与预设欧式距离阈值的大小,来判断目标终端是否为异常行为终端,使得异常行为终端可以被及时检测获取到。该安全防御方法,通过在目标终端与消息代理的连接过程中设置黑名单筛选、客户端认证、客户端授权、消息发布和异常检测,调用异常行为检测方法安全过滤了异常客户端,使得整体消息交互过程实现了安全、精细化控制。
Description
技术领域
本发明属于物联网中快捷消息队列应用技术领域,具体涉及一种基于MQTT消息队列的安全防御及异常检测方法、装置及系统。
背景技术
从物联网的概念被提出,到近些年物联网的高速发展,我们也伴随着物联网的浪潮进入了一个新的信息时代。而对物联网中消息的传输,一直以来都是个重要话题。消息队列的出现很好的解决了物联网中消息的传输问题。
MQTT协议是一个遵从客户服务器架构的发布/订阅模式消息传输协议,其轻量级、开源、易于实现等特点完美契合了很多应用场景,如设备到设备之间的通信(M2M),网络带宽有限的环境等。总的来说MQTT在物联网领域得到了很广泛的应用,特别是因为其自身协议简单,易于实现等特点,特别适合在各种资源受限的嵌入式设备中实现,实现快捷可靠的接入互联网。
MQTT协议虽然在物联网中得到了广泛应用,但基于MQTT通信的安全性能及异常行为检测能力较低,致使一些安全问题的产生,例如客户端信息泄露导致的客户端异常,客户端异常导致对服务器造成的攻击等,使得安全防御能力降低。
发明内容
为了解决现有技术存在的安全性能较低、安全防御能力低、异常行为检测能力低问题,本发明提供了一种基于MQTT消息队列的安全防御及异常检测方法、装置及系统。
本发明提供的技术方案如下:
一方面,一种基于MQTT消息队列的异常行为检测方法,包括:
在预设采样时间内,接收目标终端发送的报文数据,并对所述报文数据进行统计;
确定统计所述报文数据的统计周期;
判断所述采样时间是否大于所述统计周期;
若大于所述统计周期,则计算所述报文数据的统计结果的加权欧式距离;
判断所述加权欧式距离是否大于预设欧式距离阈值;
若大于,则获取异常行为标识。
进一步可选地,还包括:
若所述加权欧式距离小于所述欧式距离阈值,则获取所述统计周期内采集到的正常样本点数据;
根据所述正常样本点数据,采用聚类方式,获取所述预设欧式距离阈值;
更新所述加权欧式距离。
进一步可选地,所述根据所述报文数据的统计结果计算所述目标终端的加权欧式距离,包括:
基于MQTT异常行为典型属性值,根据服务器关键性能指标确定各属性值的属性权重;
获取当前样本点和正常样本点均值;
通过所述属性权值、所述当前样本点和所述正常样本点均值计算所述各属性值的加权欧式距离。
进一步可选地,还包括:
将携带所述异常行为标识的目标终端加入临时黑名单;
统计所述携带所述异常行为标识的目标终端的异常行为次数;
判断所述异常行为次数是否大于异常行为次数阈值;
若大于,则确定对应的所述终端为异常行为终端。
又一方面,一种基于MQTT消息队列的安全防御方法,包括:
接收目标终端的连接请求;
获取所述目标终端的IP地址或ID名称;
基于通信黑名单列表,判断所述IP地址或所述ID名称是否包含于所述黑名单列表;
若包含于所述黑名单列表,则拒绝所述目标终端的所述连接请求;
否则,则获取所述目标终端的密码,基于预设连接密码对所述目标终端进行认证;
若所述密码与所述预设连接密码相匹配,则接收所述目标终端的所述连接请求,对所述目标终端进行连接授权,使所述目标终端连接消息代理;
统计所述目标终端发送至所述消息代理的报文数据;
根据所述报文数据,基于权利要求上述任一所述的异常行为检测方法,对所述目标终端进行异常行为检测,获取异常行为目标终端;
将所述异常行为目标终端加入永久黑名单。
进一步可选地,所述对所述目标终端进行连接授权,包括:
确定所述目标终端的用户等级;
根据所述用户等级,为所述目标终端匹配相应的访问等级;
根据所述访问等级,授予所述目标终端相应的访问权限。
进一步可选地,所述连接授权后,授权内容,包括:所述ID名称或所述IP地址下,所述目标终端发布或订阅的预设主题;所述ID名称包含于认证列表;
所述连接授权后,授权权限包括:
所述ID名称下,指定预设单一目标终端;和/或,
所述IP地址下,指定所述IP地址下的所有所述目标终端。
又一方面,一种基于MQTT消息队列的异常行为检测装置,包括:接收统计模块、确定模块、第一判断模块、计算模块、第二判断模块和第一获取模块;
所述接收统计模块,用于在预设采样时间内,接收目标终端发送的报文数据,并对所述报文数据进行统计;
所述确定模块,用于确定统计所述报文数据的统计周期;
所述第一判断模块,用于判断所述采样时间是否大于所述统计周期;
所述计算模块,用于在所述采样时间大于所述统计周期时,根据所述报文数据的统计结果计算所述目标终端的加权欧式距离;
所述第二判断模块,用于判断所述加权欧式距离是否大于预设欧式距离阈值;
所述第一获取模块,用于在所述加权欧式距离大于所述预设欧式距离阈值时,获取异常行为标识。
又一方面,一种基于MQTT消息队列的安全防御装置,包括:接收模块、第二获取模块、黑名单判断模块、授权模块、认证模块、消息采集模块和异常检测模块;
所述接收模块,用于接收目标终端的连接请求;
所述第二获取模块,用于获取所述目标终端的IP地址或ID名称;
所述黑名单判断模块,用于基于通信黑名单列表,判断所述IP地址或所述ID名称是否包含于所述黑名单列表,若包含于所述黑名单列表,则拒绝所述目标终端的所述连接请求;
所述认证模块,用于在所述IP地址或所述ID名称未包含于所述黑名单列表中时,获取所述目标终端的密码,基于预设连接密码对所述目标终端进行认证;
所述授权模块,用于在所述密码与所述预设连接密码相匹配时,接收所述目标终端的所述连接请求,对所述目标终端进行连接授权,使所述目标终端连接消息代理;
所述消息采集模块,用于统计所述目标终端发送至所述消息代理的报文数据;
所述异常检测模块,用于根据所述报文数据,基于权利要求8所述的异常行为检测装置,对所述目标终端进行异常行为检测,获取异常行为目标终端,将所述异常行为目标终端加入永久黑名单。
又一方面,一种基于MQTT消息队列的安全防御系统,包括:终端设备和权利要求8-9任一所述的装置。
本发明实施例提供的基于MQTT消息队列的安全防御及异常检测方法、装置及系统,该异常行为检测方法,通过在预设采样时间内,接收目标终端发送的报文数据,统计一个周期内目标终端发送的报文数据,计算所述报文数据的统计结果的加权欧式距离,通过比较加权欧式距离与预设欧式距离阈值的大小,来判断目标终端是否为异常行为终端,使得异常行为终端可以被及时检测获取到。该安全防御方法,通过在目标终端与消息代理的连接过程中设置黑名单筛选、客户端认证、客户端授权、消息发布和异常检测,调用异常行为检测方法安全过滤了异常客户端,使得整体消息交互过程实现了安全、精细化控制。本发明实施例提供的消息队列的安全防御及异常检测方法,实现了对接入MQTT消息代理服务器的终端设备的精细化控制,有效的防止了消息的泄露和被窃取,保证了整个基于MQTT通信过程的安全,还限制了客户端对消息的有效合理访问。同时通过提出的异常行为检测方法,能及时的检测出异常客户端,有效的避免了客户端行为异常给服务器带来的安全隐患问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于MQTT消息队列的异常行为检测方法流程示意图;
图2为本发明实施例提供的又一种基于MQTT消息队列的异常行为检测方法流程示意图;
图3为本发明实施例提供的一种基于MQTT消息队列的安全防御方法流程示意图;
图4为本发明实施例提供的又一种基于MQTT消息队列的安全防御方法流程示意图;
图5为本发明实施例提供的一种基于MQTT消息队列的异常行为检测装置结构示意图;
图6为本发明实施例提供的一种基于MQTT消息队列的安全防御装置结构示意图;
图7为本发明实施例提供的一种基于MQTT消息队列的安全防御系统结构示意图;
图8为本发明实施例提供的一种存储介质结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将对本发明的技术方案进行详细的描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式,都属于本发明所保护的范围。
实施例一:
为了更加清楚地说明本实施例发明方法的过程和优点,本发明提供一种基于MQTT消息队列的异常行为检测方法。
图1为本发明实施例提供的一种基于MQTT消息队列的异常行为检测方法流程示意图。
请参阅图1,本发明实施例提供的基于MQTT消息队列的异常行为检测方法,可以包括以下步骤:
S11、在预设采样时间内,接收目标终端发送的报文数据,并对报文数据进行统计。
具体地,这里的目标终端代指物联网中的各种嵌入式终端设备,并在这些终端设备上实现了MQTT客户端程序。
根据需求,预设一定的采样时间,记采样时间为t,例如,设定采样时间为4s,也可设置为8s、10s等,此处不做具体限定,用户可根据具体需求进行设定。在预设的采样时间内,接收目标终端所发送的报文数据,并对报文数据进行统计。
具体地,统计每个MQTT目标终端发送的各类报文数量,对MQTT报文的统计分为两类,即对MQTT目标终端重连报文数量的统计以及MQTT发布报文数量的统计,统计预设采样时间内的各类报文。
S12、确定统计报文数据的统计周期。
根据需要,规定一个报文统计周期,具体报文统计周期此处不做限定,用户可根据需求进行设定,记报文统计周期为T。
S13、判断采样时间是否大于统计周期。
根据预设采样时间和确定好的统计周期,判断采样时间和统计周期的大小,即判断t与T的大小。
S14、若大于统计周期,则计算报文数据的统计结果的加权欧式距离;
为了在一个周期内实现对各类报文的统计,需要使得采样时间大于统计周期。因此,在采样时间大于统计周期时,进行下一步,计算报文数据统计结果的加权欧式距离,记欧氏距离为th。
例如,由于报文统计结果是针对目标终端重连报文数量及发布报文数量的统计,因此,计算重连报文数量权重值和报文数量权重值的加权欧式距离(th)。
为了保证数据实时性,在采样时间小于统计周期时,则继续接收报文数据。
S15、判断加权欧式距离是否大于预设欧式距离阈值;若大于,则获取异常行为标识。
在计算得到加权欧式距离后,判断加权欧式距离与预设欧式距离阈值(Th)的大小,在加权欧式距离大于预设欧式距离事,说明该行为为异常行为,标记此行为异常行为标识。
进一步地,为了记录异常行为,将非异常行为的统计结果写入到文件中,异常行为的目标终端将被记录。
本发明实施例提供的一种基于MQTT消息队列的异常行为检测方法,包括在预设采样时间内,接收目标终端发送的报文数据,并对报文数据进行统计;确定统计报文数据的统计周期;判断采样时间是否大于统计周期;若大于统计周期,则计算报文数据的统计结果的加权欧式距离;判断加权欧式距离是否大于预设欧式距离阈值;若大于,则获取异常行为标识。该异常行为检测方法,通过在预设采样时间内,接收目标终端发送的报文数据,统计一个周期内目标终端发送的报文数据,计算报文数据的统计结果的加权欧式距离,通过比较加权欧式距离与预设欧式距离阈值的大小,来判断目标终端是否为异常行为终端,使得异常行为终端可以被及时检测获取到。
实施例二:
为了进一步对本发明实施例提供的一种基于MQTT消息队列的异常行为检测方法进行解释说明,本发明还提供又一实施例。
图2为本发明实施例提供的又一种基于MQTT消息队列的异常行为检测方法流程示意图。
请参阅图2,在上述实施例的基础上,本发明提供的又一种基于MQTT消息队列的异常行为检测方法,可以包括以下步骤:
S21、在预设采样时间内,接收目标终端发送的报文数据,并对报文数据进行统计。
S22、确定统计报文数据的统计周期。
S23、判断采样时间是否大于统计周期。
其中,步骤S21~S23与上述实施例的步骤S11~S13相同,请参阅上述实施例,此处不做赘述。
S241、若大于统计周期,基于MQTT异常行为典型属性值,根据服务器关键性能指标确定各属性值的属性权重。
在采样时间大于统计周期时,分析MQTT异常行为典型属性值,依据服务器关键性能指标确定各属性值的属性权重。例如,依据MQTT常见异常行为确定两个主要的属性值,分别为目标终端重连频率和目标终端发布频率。选择服务器三个主要性能指标CPU占用程度、内存消耗程度和网络I/O消耗程度,通过测试得到重连频率和发布频率两种属性值对服务器性能指标的影响程度,进而得到这两个属性值对服务器性能影响的综合权值。
S242、获取当前样本点和正常样本点均值。
获取所检测的当前样本点和正常样本点的均值。其中,正常样本点包括上述实施例在目标终端被判断为正常终端时,正常行为的样本点被记载的正常样本点。
S243、通过属性权值、当前样本点和正常样本点均值计算各属性值的加权欧式距离。
利用属性权值、当前样本点和正常样本点均值三者来计算加权欧式距离,异常行为的识别通过对各个属性值的加权综合来进行判断。
S25、判断加权欧式距离是否大于预设欧式距离阈值;
S251、若大于,则获取异常行为标识。
其中,步骤S25~S251与上述实施例的步骤S15相同,请参阅上述实施例,此处不做赘述。
S2511、将携带异常行为标识的目标终端加入临时黑名单。
具体地,建立临时黑名单,将判断到携带异常行为标识的目标终端加入临时黑名单中。加入临时黑名单中的目标终端可以进行正常行为操作。为了使得运行效率更高,节俭数据,清除一个周期内的内存数据。
S2512、统计目标终端的异常行为次数。
若加入临时黑名单中的目标终端,再次出现异常行为时,再次被加入临时黑名单中,记录同一目标终端被加入临时黑名单的次数,即统计同一目标终端的异常行为的次数。
S2513、判断异常行为次数是否大于异常行为次数阈值。
设定异常行为次数阈值C,例如,设定异常行为次数阈值为4、5或者8,此处不做具体限定,用户可以根据具体需求设定相应的异常行为次数阈值。判断同一目标终端的异常行为次数与异常行为次数阈值的大小。
S2514、若大于,则确定对应的终端为异常行为终端。
在同一目标终端的异常行为次数大于异常行为次数阈值(C)时,说明该目标终端的异常行为次数已经超过了规定的异常行为次数的上限值,则将该目标终端视为异常行为目标终端,且为多次异常行为目标终端。
S252、若加权欧式距离小于欧式距离阈值,则获取统计周期内采集到的正常样本点数据;根据正常样本点数据,采用聚类方式,获取预设欧式距离阈值;更新加权欧式距离。
在加权欧式距离小于欧氏距离阈值时,为了保证异常行为检测的实时性和对环境的适应性,获取统计周期内采集到的正常样本点数据,采用聚类的方式,在每个周期更新一次聚类中心,并计算出新的欧氏距离阈值。
具体地,聚类算法采用K-MEANS算法,例如,优选地,K值选取为3,通过聚类将样本点划分为三个簇,即正常簇、极度活跃簇和极度不活跃簇。聚类的样本点均为获取得到的正常目标终端的报文统计数据。每次聚类前先将文件中记录最早的前15%的数据舍弃,然后采用聚类选取出正常簇(即样本点最多的簇),该簇的中心作为正常样本点的均值。依据对各属性设定的阈值,计算出本次聚类后新的异常阈值,作为加权欧式距离判断异常行为的门限值。
通过多次聚类和检测,统计出每个客户端出现的异常行为次数,如果客户端异常行为达到异常行为次数的阈值,该客户端将被识别为异常客户端。
本发明实施例提供的又一种基于MQTT消息队列的异常行为检测方法,在上述实施例基础上,通过分析MQTT异常行为典型属性值,得出各属性权重,使得属性的确认更加精准,通过获取当前样本点和正常样本点均值,使得加权欧式距离的计算更加准确。通过设立临时黑名单,并统计同一目标终端的异常行为次数,设立异常行为次数上限值,使得目标终端的行为得到更合理、有效的分析,对目标终端的异常行为控制更加有效,用户可以调节异常行为次数的上限值,使得在安全性要求不同时,可以有效控制目标终端的异常行为次数。通过采用聚类的方式,实时更新正常用户样本的聚类中心,及时淘汰随着环境变化逐渐偏离样本中心的正常用户样本点,实现了聚类中心的自适应调整,获得的聚类中心更为准确。对于没有被识别的异常行为,当这些样本点再次被聚类时,会被作为偏离正常样本点的点被筛选出来,不影响正常客户端的聚类中心。
实施例三:
为了更加清楚地说明本实施例发明方法的过程和优点,本发明提供一种基于MQTT消息队列的的安全防御方法。
图3为本发明实施例提供的一种基于MQTT消息队列的安全防御方法流程示意图。
请参阅图3,本发明实施例提供的一种基于MQTT消息队列的安全防御方法,可以包括以下步骤:
S31、接收目标终端的连接请求。
接入的目标终端必须实现MQTT客户端程序,设备终端通过TCP与MQTT消息代理建立连接,在传输层和应用层之间采用TLS加密机制,实现安全的套接字。
具体地,接入终端实现MQTT客户端程序,终端实现FreeRTOS实时操作系统,MQTT客户端基于openssl和mbedtls库实现TLS安全加密通信,接入终端和EMQ服务器之间通过客户端和服务端证书实现双向安全认证。
例如,物联网中嵌入式终端对TCP有完整的支持,基于此实现MQTT客户端程序,为了便于对MQTT客户端的管理,嵌入式系统还需支持FreeRTOS实时操作系统。嵌入式终端对openssl和mbedtls库有很好的支持,并基于此实现TLS加密通信。接入终端和EMQ服务器均使用CA机构签发的证书,客户端与服务器之间实现双向安全认证。
传输控制协议(TCP,Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC 793定义。TCP旨在适应支持多网络应用的分层协议层次结构。连接到不同但互连的计算机通信网络的主计算机中的成对进程之间依靠TCP提供可靠的通信服务。TCP假设它可以从较低级别的协议获得简单的,可能不可靠的数据报服务。原则上,TCP应该能够在从硬线连接到分组交换或电路交换网络的各种通信系统之上操作。
安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成:TLS记录协议(TLS Record)和TLS握手协议(TLS Handshake)。
S32、获取目标终端的IP地址或ID名称。
在目标终端入网,发送连接请求后,获取目标终端的IP地址或ID名称。
S33、基于通信黑名单列表,判断IP地址或ID名称是否包含于黑名单列表。
在目标终端与消息代理之间建立连接的过程中,借助MySQL数据库,首先经过黑名单过滤,黑名单用于过滤非法或者被认为异常的客户端,不在黑名单的用户才可以进入到后序步骤的操作。
具体地,基于通信黑名单列表,判断接入的MQTT目标终端其客户端ID或者IP地址是否在黑名单列表中。
S34、若包含于黑名单列表,则拒绝目标终端的连接请求。
如果客户端的ID或IP地址包含于黑名单列表中,则说明此ID或IP处于不安全列表中,为了保证信息的安全性,拒绝此目标终端的连接请求。
S35、否则,则获取目标终端的密码,基于预设连接密码对目标终端进行认证。
如果客户端的ID或IP地址包未含于黑名单列表中,则说明此ID或IP不处于不安全列表中,可以进行下一步操作。本实施例中,在黑名单过滤后,进入认证步骤,判断目标终端的密码是否与符合预设连接密码相匹配。
S36、若密码与预设连接密码相匹配,则接收目标终端的连接请求,对目标终端进行连接授权,使目标终端连接消息代理。
当目标终端的连接密码与预设连接密码相匹配时,则说明目标终端通过了认证步骤,接收目标终端的连接请求,对目标终端进行连接授权,使得目标终端与消息代理之间实现连接。
每一个被授权的客户端会同时授予发布相应主题的权限和订阅相应主题的权限。例如,为了消息传递的简单直观,以及主题的方便管理,将主题设计成下面的格式:
hardware/U(D)/device id/type。
主题分为四个层级分别表示设备名、上行(或者)下行消息、设备id、消息类型。
S37、统计目标终端发送至消息代理的报文数据。
在目标终端与消息代理之间连接成功后,目标终端与消息代理之间进行数据交互,统计目标终端发送至消息代理的报文数据。
S38、根据报文数据,基于上述任一实施例提供的异常行为检测方法,对目标终端进行异常行为检测,获取异常行为目标终端。
S39、将异常行为目标终端加入永久黑名单。
将异常行为的目标终端加入永久黑名单,拒绝该目标终端的连接请求。
本发明实施例提供的基于MQTT消息队列的安全防御方法,通过在目标终端与消息代理的连接过程中设置黑名单筛选、客户端认证、客户端授权、消息发布和异常检测,调用异常行为检测方法安全过滤了异常客户端,一方面通过对MQTT通信加密,对客户端进行认证与授权来保证消息的不泄露和不被滥用,另一方面还需要实现对客户端的行为监测,对客户端的异常行为检测使得整体消息交互过程实现了安全、精细化控制。
实施例四:
进一步地,为了对本发明实施例提供的基于MQTT消息队列的安全防御方法做进一步解释说明,本发明还提供又一实施例。
图4为本发明实施例提供的又一种基于MQTT消息队列的安全防御方法流程示意图。
请参阅图4,本发明实施例提供的又一种基于MQTT消息队列的安全防御方法,可以包括以下步骤:
S41、接收目标终端的连接请求。
S42、获取目标终端的IP地址或ID名称。
S43、基于通信黑名单列表,判断IP地址或ID名称是否包含于黑名单列表。
S44、若包含于黑名单列表,则拒绝目标终端的连接请求。
S45、否则,则获取目标终端的密码,基于预设连接密码对目标终端进行认证。
S46、若密码与预设连接密码相匹配,则接收目标终端的连接请求,对目标终端进行连接授权,使目标终端连接消息代理。
其中,步骤S41~46与上述实施例三的步骤S31~S36相同,请参阅上述实施例,此处不做赘述。
进一步地,对目标终端进行连接授权,包括:确定目标终端的用户等级;根据用户等级,为目标终端匹配相应的访问等级;根据访问等级,授予目标终端相应的访问权限。
例如,对接入的MQTT客户端进行用户名和密码的认证,其中用户分为普通用户和超级用户,不同的用户名具有不同的访问等级,普通用户只能访问服务器授予的访问权限,超级用户具有最高访问权限。
进一步地,连接授权后,授权内容,包括:ID名称或IP地址下,目标终端发布或订阅的预设主题;ID名称包含于认证列表;连接授权后,授权权限包括:ID名称下,指定预设单一目标终端;和/或,IP地址下,指定IP地址下的所有目标终端。
例如,对MQTT客户端的访问进行授权,授权的主要内容包括当前用户名,客户端ID或者IP地址下客户端可以发布或者订阅哪些相应的主题。用户名必须是用户认证表中的用户名,客户端id可以指定某一具体客户端,IP地址则可以指定某一IP地址下所有客户端。主题分为发布主题和订阅主题,每一个被授权的客户端会同时授予发布相应主题的权限和订阅相应主题的权限。
S47、统计目标终端发送至消息代理的报文数据。
其中,步骤S47与上述实施例三的步骤S37相同,请参阅上述实施例,此处不做赘述。
S481、根据报文数据,在预设采样时间内,接收目标终端发送的报文数据,并对报文数据进行统计。
S482、确定统计报文数据的统计周期。
S483、判断采样时间是否大于统计周期。
S4841、若大于统计周期,基于MQTT异常行为典型属性值,根据服务器关键性能指标确定各属性值的属性权重。
S4842、获取当前样本点和正常样本点均值。
S4843、通过属性权值、当前样本点和正常样本点均值计算各属性值的加权欧式距离。
S485、判断加权欧式距离是否大于预设欧式距离阈值。
S4851、若大于,则获取异常行为标识。
S48511、将携带异常行为标识的目标终端加入临时黑名单。
S48512、统计目标终端的异常行为次数。
S48513、判断异常行为次数是否大于异常行为次数阈值。
S48514、若大于,则确定对应的终端为异常行为终端。
S4852、若加权欧式距离小于欧式距离阈值,则获取统计周期内采集到的正常样本点数据;根据正常样本点数据,采用聚类方式,获取预设欧式距离阈值;更新加权欧式距离。
其中,步骤S481~4852与上述实施例二的步骤S21~S252相同,请参阅上述实施例二,此处不做赘述。
S49、将异常行为目标终端加入永久黑名单。
本发明实施例提供的一种基于MQTT消息队列的安全防御方法,一方面通过对MQTT通信加密,对客户端进行黑名单过滤、认证与授权来保证消息的不泄露和不被滥用,另一方面还需要实现对客户端的行为监测,即对客户端的异常行为检测,使得整体消息交互过程实现了安全、精细化控制。实现了对MQTT终端设备接入过程的精细化控制,包括安全、过滤、认证、授权、消息发布与订阅整个过程。实时更新正常用户样本的聚类中心,及时淘汰随着环境变化逐渐偏离样本中心的正常用户样本点,实现了聚类中心的自适应调整,获得的聚类中心更为准确。同时结合MQTT各属性权值对服务器系统性能影响的权重,对每个属性加权后计算欧式距离,这样得到的结果更能真实反映客户端对服务器影响的程度,进而得出合理的判断。舍弃时间最早的前15%样本点,减少了聚类算法的时间消耗,同时提升了新的聚类样本点的作用,保证了更好的实时性。对于没有被识别的异常行为,当这些样本点再次被聚类时,会被作为偏离正常样本点的点被筛选出来,不影响正常客户端的聚类中心。随着正常样本点的不断增多,对异常行为的检测也会变得越来越精确。
实施例五:
为了与上述方法实施例相适应,本发明实施例还提供一种基于MQTT消息队列的异常行为检测装置。
图5为本发明实施例提供的一种基于MQTT消息队列的异常行为检测装置结构示意图。
请参阅图5,本发明实施例提供的一种基于MQTT消息队列的异常行为检测装置,包括:接收统计模块51、确定模块52、第一判断模块53、计算模块54、第二判断模块55和第一获取模块56;
接收统计模块51,用于在预设采样时间内,接收目标终端发送的报文数据,并对报文数据进行统计;
确定模块52,用于确定统计报文数据的统计周期;
第一判断模块53,用于判断采样时间是否大于统计周期;
计算模块54,用于在采样时间大于统计周期时,根据报文数据的统计结果计算目标终端的加权欧式距离;
第二判断模块55,用于判断加权欧式距离是否大于预设欧式距离阈值;
第一获取模块56,用于在加权欧式距离大于预设欧式距离阈值时,获取异常行为标识。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本发明实施例提供的一种基于MQTT消息队列的异常行为检测装置,在预设采样时间内,接收目标终端发送的报文数据,并对报文数据进行统计;确定统计报文数据的统计周期;判断采样时间是否大于统计周期;若大于统计周期,则计算报文数据的统计结果的加权欧式距离;判断加权欧式距离是否大于预设欧式距离阈值;若大于,则获取异常行为标识。该异常行为检测方法,通过在预设采样时间内,接收目标终端发送的报文数据,统计一个周期内目标终端发送的报文数据,计算报文数据的统计结果的加权欧式距离,通过比较加权欧式距离与预设欧式距离阈值的大小,来判断目标终端是否为异常行为终端,使得异常行为终端可以被及时检测获取到。
实施例六:
为了与上述方法实施例相适应,本发明实施例还提供一种基于MQTT消息队列的安全防御装置。
图6为本发明实施例提供的一种基于MQTT消息队列的安全防御装置结构示意图。
请参阅图6,本发明实施例提供的一种基于MQTT消息队列的安全防御装置,包括:接收模块61、第二获取模块62、黑名单判断模块63、认证模块64、授权模块65、消息采集模块66和异常检测模块67;
接收模块61,用于接收目标终端的连接请求;
第二获取模块62,用于获取目标终端的IP地址或ID名称;
黑名单判断模块63,用于基于通信黑名单列表,判断IP地址或ID名称是否包含于黑名单列表,若包含于黑名单列表,则拒绝目标终端的连接请求;
认证模块64,用于在IP地址或ID名称未包含于黑名单列表中时,获取目标终端的密码,基于预设连接密码对目标终端进行认证;
授权模块65,用于在密码与预设连接密码相匹配时,接收目标终端的连接请求,对目标终端进行连接授权,使目标终端连接消息代理;
消息采集模块66,用于统计目标终端发送至消息代理的报文数据;
异常检测模块67,用于根据报文数据,基于权利要求8的异常行为检测装置,对目标终端进行异常行为检测,获取异常行为目标终端,将异常行为目标终端加入永久黑名单。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本发明实施例提供的消息队列的安全防御装置,实现了对接入MQTT消息代理服务器的终端设备的精细化控制,有效的防止了消息的泄露和被窃取,保证了整个基于MQTT通信过程的安全,还限制了客户端对消息的有效合理访问。同时通过调用提出的异常行为检测方法,能及时的检测出异常客户端,有效的避免了客户端行为异常给服务器带来的安全隐患问题。
实施例七:
进一步地,为了与上述方法、装置实施例相适应,本发明实施例还提供一种基于MQTT消息队列的安全防御系统。
图7为本发明实施例提供的一种基于MQTT消息队列的安全防御系统结构示意图。
请参阅图7,本发明实施例提供的一种基于MQTT消息队列的安全防御系统,包括:终端设备71和上述实施例任一记载的装置。
实施例八:
图8为本发明实施例提供的一种存储介质结构示意图。
请参阅图8,本发明实施例提供的一种存储介质,包括:处理器81,以及与处理器81相连接的存储器82。
其中,存储器82用于存储计算机程序,计算机程序至少用于执行上述任一项实施例所记载的基于MQTT消息队列的异常行为检测及安全防御方法。处理器81用于调用并执行存储器中的计算机程序。
本发明实施例基于EMQ消息代理服务器提出了一个完整的安全防御框架,同时结合MQTT异常行为的特点,提出了基于聚类的异常行为检测方法,该发明具有以下优点:
1、实现了对MQTT终端设备接入过程的精细化控制,包括安全、过滤、认证、授权、消息发布与订阅整个过程。
2、该方法可以实时更新正常用户样本的聚类中心,及时淘汰随着环境变化逐渐偏离样本中心的正常用户样本点,实现了聚类中心的自适应调整,获得的聚类中心更为准确。
3、同时结合MQTT各属性权值对服务器系统性能影响的权重,对每个属性加权后计算欧式距离,这样得到的结果更能真实反映客户端对服务器影响的程度,进而得出合理的判断;
4、舍弃时间最早的前15%样本点,减少了聚类算法的时间消耗,同时提升了新的聚类样本点的作用,保证了更好的实时性;
5、对于没有被识别的异常行为,当这些样本点再次被聚类时,会被作为偏离正常样本点的点被筛选出来,不影响正常客户端的聚类中心;
6、随着正常样本点的不断增多,对异常行为的检测也会变得越来越精确。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
可以理解的是,上述各实施例中相同或相似部分可以相互参考,在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。
需要说明的是,在本发明的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本发明的描述中,除非另有说明,“多个”的含义是指至少两个。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (10)
1.一种基于MQTT消息队列的异常行为检测方法,其特征在于,包括:
在预设采样时间内,接收目标终端发送的报文数据,并对所述报文数据进行统计;
确定统计所述报文数据的统计周期;
判断所述采样时间是否大于所述统计周期;
若大于所述统计周期,则计算所述报文数据的统计结果的加权欧式距离;
判断所述加权欧式距离是否大于预设欧式距离阈值;
若大于,则获取异常行为标识。
2.根据权利要求1所述的异常行为检测方法,其特征在于,还包括:
若所述加权欧式距离小于所述欧式距离阈值,则获取所述统计周期内采集到的正常样本点数据;
根据所述正常样本点数据,采用聚类方式,获取所述预设欧式距离阈值;
更新所述加权欧式距离。
3.根据权利要求1所述的异常行为检测方法,其特征在于,所述根据所述报文数据的统计结果计算所述目标终端的加权欧式距离,包括:
基于MQTT异常行为典型属性值,根据服务器关键性能指标确定各属性值的属性权重;
获取当前样本点和正常样本点均值;
通过所述属性权值、所述当前样本点和所述正常样本点均值计算所述各属性值的加权欧式距离。
4.根据权利要求1所述的异常行为检测方法,其特征在于,还包括:
将携带所述异常行为标识的目标终端加入临时黑名单;
统计所述携带所述异常行为标识的目标终端的异常行为次数;
判断所述异常行为次数是否大于异常行为次数阈值;
若大于,则确定对应的所述终端为异常行为终端。
5.一种基于MQTT消息队列的安全防御方法,其特征在于,包括:
接收目标终端的连接请求;
获取所述目标终端的IP地址或ID名称;
基于通信黑名单列表,判断所述IP地址或所述ID名称是否包含于所述黑名单列表;
若包含于所述黑名单列表,则拒绝所述目标终端的所述连接请求;
否则,则获取所述目标终端的密码,基于预设连接密码对所述目标终端进行认证;
若所述密码与所述预设连接密码相匹配,则接收所述目标终端的所述连接请求,对所述目标终端进行连接授权,使所述目标终端连接消息代理;
统计所述目标终端发送至所述消息代理的报文数据;
根据所述报文数据,基于权利要求1-3任一权利要求所述的异常行为检测方法,对所述目标终端进行异常行为检测,获取异常行为目标终端;
将所述异常行为目标终端加入永久黑名单。
6.根据权利要求5所述的安全防御方法,其特征在于,所述对所述目标终端进行连接授权,包括:
确定所述目标终端的用户等级;
根据所述用户等级,为所述目标终端匹配相应的访问等级;
根据所述访问等级,授予所述目标终端相应的访问权限。
7.根据权利要求5所述的安全防御方法,其特征在于,所述连接授权后,授权内容,包括:所述ID名称或所述IP地址下,所述目标终端发布或订阅的预设主题;所述ID名称包含于认证列表;
所述连接授权后,授权权限包括:
所述ID名称下,指定预设单一目标终端;和/或,
所述IP地址下,指定所述IP地址下的所有所述目标终端。
8.一种基于MQTT消息队列的异常行为检测装置,其特征在于,包括:接收统计模块、确定模块、第一判断模块、计算模块、第二判断模块和第一获取模块;
所述接收统计模块,用于在预设采样时间内,接收目标终端发送的报文数据,并对所述报文数据进行统计;
所述确定模块,用于确定统计所述报文数据的统计周期;
所述第一判断模块,用于判断所述采样时间是否大于所述统计周期;
所述计算模块,用于在所述采样时间大于所述统计周期时,根据所述报文数据的统计结果计算所述目标终端的加权欧式距离;
所述第二判断模块,用于判断所述加权欧式距离是否大于预设欧式距离阈值;
所述第一获取模块,用于在所述加权欧式距离大于所述预设欧式距离阈值时,获取异常行为标识。
9.一种基于MQTT消息队列的安全防御装置,其特征在于,包括:接收模块、第二获取模块、黑名单判断模块、授权模块、认证模块、消息采集模块和异常检测模块;
所述接收模块,用于接收目标终端的连接请求;
所述第二获取模块,用于获取所述目标终端的IP地址或ID名称;
所述黑名单判断模块,用于基于通信黑名单列表,判断所述IP地址或所述ID名称是否包含于所述黑名单列表,若包含于所述黑名单列表,则拒绝所述目标终端的所述连接请求;
所述认证模块,用于在所述IP地址或所述ID名称未包含于所述黑名单列表中时,获取所述目标终端的密码,基于预设连接密码对所述目标终端进行认证;
所述授权模块,用于在所述密码与所述预设连接密码相匹配时,接收所述目标终端的所述连接请求,对所述目标终端进行连接授权,使所述目标终端连接消息代理;
所述消息采集模块,用于统计所述目标终端发送至所述消息代理的报文数据;
所述异常检测模块,用于根据所述报文数据,基于权利要求8所述的异常行为检测装置,对所述目标终端进行异常行为检测,获取异常行为目标终端,将所述异常行为目标终端加入永久黑名单。
10.一种基于MQTT消息队列的安全防御系统,其特征在于,包括:终端设备和权利要求8-9任一所述的装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910645622.2A CN110266728B (zh) | 2019-07-17 | 2019-07-17 | 基于mqtt消息队列的安全防御及异常检测方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910645622.2A CN110266728B (zh) | 2019-07-17 | 2019-07-17 | 基于mqtt消息队列的安全防御及异常检测方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110266728A true CN110266728A (zh) | 2019-09-20 |
| CN110266728B CN110266728B (zh) | 2022-03-08 |
Family
ID=67926736
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910645622.2A Active CN110266728B (zh) | 2019-07-17 | 2019-07-17 | 基于mqtt消息队列的安全防御及异常检测方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110266728B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111405028A (zh) * | 2020-03-12 | 2020-07-10 | 中国建设银行股份有限公司 | 信息处理方法、装置、服务器、电子设备和介质 |
| CN111431937A (zh) * | 2020-04-23 | 2020-07-17 | 国网浙江省电力有限公司 | 工业网络异常流量的检测方法及系统 |
| CN112202630A (zh) * | 2020-09-16 | 2021-01-08 | 中盈优创资讯科技有限公司 | 一种基于无监督模型的网路质量异常检测方法及装置 |
| CN112217837A (zh) * | 2020-10-27 | 2021-01-12 | 常州信息职业技术学院 | 一种人体行为动作信息采集系统 |
| CN114449523A (zh) * | 2022-04-07 | 2022-05-06 | 北京航天驭星科技有限公司 | 用于卫星测控系统的流量过滤方法、装置、设备及介质 |
| CN115878214A (zh) * | 2022-11-30 | 2023-03-31 | 广西壮族自治区信息中心 | 应用软件的访问方法、装置、设备及存储介质 |
| CN116232770A (zh) * | 2023-05-08 | 2023-06-06 | 中国石油大学(华东) | 一种基于sdn控制器的企业网络安全防护系统及方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103400152A (zh) * | 2013-08-20 | 2013-11-20 | 哈尔滨工业大学 | 基于分层聚类的滑动窗口多数据流异常检测方法 |
| CN106506567A (zh) * | 2017-01-12 | 2017-03-15 | 成都信息工程大学 | 一种基于行为评判的隐蔽式网络攻击主动发现方法 |
| CN107204991A (zh) * | 2017-07-06 | 2017-09-26 | 深信服科技股份有限公司 | 一种服务器异常检测方法及系统 |
| CN107360574A (zh) * | 2017-06-16 | 2017-11-17 | 上海斐讯数据通信技术有限公司 | 一种终端设备管理方法、一种云控制器及一种无线接入点 |
| CN108366053A (zh) * | 2018-01-30 | 2018-08-03 | 电子科技大学 | 一种基于朴素贝叶斯的mqtt异常流量检测方法 |
| US20180302424A1 (en) * | 2017-04-12 | 2018-10-18 | International Business Machines Corporation | Security for internet of things devices |
-
2019
- 2019-07-17 CN CN201910645622.2A patent/CN110266728B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103400152A (zh) * | 2013-08-20 | 2013-11-20 | 哈尔滨工业大学 | 基于分层聚类的滑动窗口多数据流异常检测方法 |
| CN106506567A (zh) * | 2017-01-12 | 2017-03-15 | 成都信息工程大学 | 一种基于行为评判的隐蔽式网络攻击主动发现方法 |
| US20180302424A1 (en) * | 2017-04-12 | 2018-10-18 | International Business Machines Corporation | Security for internet of things devices |
| CN107360574A (zh) * | 2017-06-16 | 2017-11-17 | 上海斐讯数据通信技术有限公司 | 一种终端设备管理方法、一种云控制器及一种无线接入点 |
| CN107204991A (zh) * | 2017-07-06 | 2017-09-26 | 深信服科技股份有限公司 | 一种服务器异常检测方法及系统 |
| CN108366053A (zh) * | 2018-01-30 | 2018-08-03 | 电子科技大学 | 一种基于朴素贝叶斯的mqtt异常流量检测方法 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111405028A (zh) * | 2020-03-12 | 2020-07-10 | 中国建设银行股份有限公司 | 信息处理方法、装置、服务器、电子设备和介质 |
| CN111405028B (zh) * | 2020-03-12 | 2022-05-27 | 中国建设银行股份有限公司 | 信息处理方法、装置、服务器、电子设备和介质 |
| CN111431937A (zh) * | 2020-04-23 | 2020-07-17 | 国网浙江省电力有限公司 | 工业网络异常流量的检测方法及系统 |
| CN112202630A (zh) * | 2020-09-16 | 2021-01-08 | 中盈优创资讯科技有限公司 | 一种基于无监督模型的网路质量异常检测方法及装置 |
| CN112217837A (zh) * | 2020-10-27 | 2021-01-12 | 常州信息职业技术学院 | 一种人体行为动作信息采集系统 |
| CN112217837B (zh) * | 2020-10-27 | 2023-07-14 | 常州信息职业技术学院 | 一种人体行为动作信息采集系统 |
| CN114449523A (zh) * | 2022-04-07 | 2022-05-06 | 北京航天驭星科技有限公司 | 用于卫星测控系统的流量过滤方法、装置、设备及介质 |
| CN114449523B (zh) * | 2022-04-07 | 2022-06-24 | 北京航天驭星科技有限公司 | 用于卫星测控系统的流量过滤方法、装置、设备及介质 |
| CN115878214A (zh) * | 2022-11-30 | 2023-03-31 | 广西壮族自治区信息中心 | 应用软件的访问方法、装置、设备及存储介质 |
| CN115878214B (zh) * | 2022-11-30 | 2023-10-27 | 广西壮族自治区信息中心 | 应用软件的访问方法、装置、设备及存储介质 |
| CN116232770A (zh) * | 2023-05-08 | 2023-06-06 | 中国石油大学(华东) | 一种基于sdn控制器的企业网络安全防护系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110266728B (zh) | 2022-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110266728A (zh) | 基于mqtt消息队列的安全防御及异常检测方法、装置及系统 | |
| Gunduz et al. | Cyber-security on smart grid: Threats and potential solutions | |
| CN109302405A (zh) | 基于边缘计算的工业数据检测区块链网络架构及检测方法 | |
| Liu et al. | Cyber security and privacy issues in smart grids | |
| US7373524B2 (en) | Methods, systems and computer program products for monitoring user behavior for a server application | |
| Berthier et al. | Specification-based intrusion detection for advanced metering infrastructures | |
| CN112217835B (zh) | 报文数据的处理方法、装置、服务器和终端设备 | |
| CN109729180A (zh) | 全体系智慧社区平台 | |
| US20050187934A1 (en) | Methods, systems and computer program products for geography and time monitoring of a server application user | |
| US20050198099A1 (en) | Methods, systems and computer program products for monitoring protocol responses for a server application | |
| US20050188080A1 (en) | Methods, systems and computer program products for monitoring user access for a server application | |
| US20090077601A1 (en) | Method and system for providing image, video and audio data to remote users | |
| KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
| CN104639311A (zh) | 一种智能电网中用电隐私及完整性保护的聚合方法及系统 | |
| JP2004030286A (ja) | 侵入検知システムおよび侵入検知プログラム | |
| CN111625870A (zh) | 基于区块链的安全审计方法、系统及存储介质 | |
| CN103140859A (zh) | 对计算机系统中的安全性的监控 | |
| Santanam et al. | Cyber Security, Cyber Crime and Cyber Forensics: Applications and Perspectives: Applications and Perspectives | |
| CN106209905A (zh) | 一种网络安全管理方法和装置 | |
| Berthier et al. | Monitoring advanced metering infrastructures with amilyzer | |
| Abdelkader et al. | Uvote: A ubiquitous e-voting system | |
| Yang et al. | Misdis: An efficent misbehavior discovering method based on accountability and state machine in vanet | |
| CN110378120A (zh) | 应用程序接口攻击检测方法、装置以及可读存储介质 | |
| Rigoev et al. | Security aspects of smart meter infrastructures | |
| Heigl et al. | A resource-preserving self-regulating Uncoupled MAC algorithm to be applied in incident detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |