CN110401642A - 一种工控流量的采集与协议解析方法 - Google Patents
一种工控流量的采集与协议解析方法 Download PDFInfo
- Publication number
- CN110401642A CN110401642A CN201910617250.2A CN201910617250A CN110401642A CN 110401642 A CN110401642 A CN 110401642A CN 201910617250 A CN201910617250 A CN 201910617250A CN 110401642 A CN110401642 A CN 110401642A
- Authority
- CN
- China
- Prior art keywords
- data
- industry control
- network
- acquisition
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种工控流量的采集与协议解析方法,所述方法包括:基于工控网络交换机的镜像口获取数据;对获取到的数据进行预处理,所述预处理包括还原传输层的网络会话、识别应用协议、抽取结构化的元数据;分别对经过还原传输层的网络会话、识别应用协议、抽取结构化的元数据处理后的各类数据进行分类存储;根据设定的规则对各分类存储的数据分别进行监测和分析,找出异常数据。本发明采用镜像方式接入流量数据,避免了串联设备部署时的风险隐患;同时建立了采集、预处理、分析、存储以及回传的五层处理架构,明确各架构层级的作用,对工控流量的采集与解析有明确的指导作用,避免各层角色重叠。
Description
技术领域
本发明属于计算机系统技术领域,具体涉及一种工控流量的采集与协议解析方法。
背景技术
近年来,随着行业大力倡导两化(信息化与工业化)融合工作,以MES系统为代表的核心业务系统因自身管理和数据交互要求,已将办公网和工控生产网上下贯通,传统存在于生产车间与高架库的工控网及信息系统已不再封闭和孤立,工控网已逐步融入卷烟厂内部办公网甚至是物理连接到外部广域网网络,成为卷烟厂公司网络重要的组成部分。
随之而来,信息安全管理工作逐渐暴露出一些问题,主要表现在以下几个方面:一是随着“两化”融合工作的深入,生产网(有线与无线)、办公网(有线与无线)和互联网已实现互联互通,工控网及系统已直接面对互联网带来的安全威胁;二是目前工控网核心业务系统主要集中在工控网层(涉及制丝、卷接、库管等系统),具有高度信息化、多系统交互的特点,且系统作业无法人工替代,一旦发生安全事件,对生产的影响程度显而易见;三是目前工控网层缺乏针对工业生产网络统一有效的技术防护措施,工控安全防御保障水平亟待提升,属于网络信息安全防护的盲区和短板,一旦发生工控网络安全事件,可能会影响全厂生产车间工控网络及信息系统的安全稳定运行。
发明内容
针对上述问题,本发明提出一种工控流量的采集与协议解析方法,从网络数据采集与监测角度出发,提出了利用对卷烟厂工控网络专有协议进行数据的采集与解析,解决工控网络数据采集与分析的难题,实现对工控网流量关键通讯数据的格式化存储与可视化分析能力。
为了实现上述技术目的,达到上述技术效果,本发明通过以下技术方案实现:
一种工控流量的采集与协议解析方法,包括以下步骤:
基于工控网络交换机的镜像口获取数据;
对获取到的数据进行预处理,所述预处理包括还原传输层的网络会话、识别应用协议、抽取结构化的元数据;
分别对经过还原传输层的网络会话、识别应用协议、抽取结构化的元数据处理后的各类数据进行分类存储;
根据设定的规则对各分类存储的数据分别进行监测和分析,找出异常数据。
优选地,所述基于工控网络交换机的镜像口获取数据,具体为:
基于嗅探法从工控网络交换机的镜像口捕获数据,并进行无损化本地保存;
所述数据包括TCP、UDP、S7、Modbus、Profinet网络协议数据包,保存格式采用通用格式。
优选地,所述保存格式为.pcap、TCP dump或cspkt。
优选地,对于经过还原传输层的网络会话处理后的数据,其包括物理端点会话、IP主机会话、TCP会话和UDP会话信息、应用和协议会话信息。
优选地,所述元数据是对从工控网络交换机的镜像口获得的原始数据的描述数据,包括一条会话的开始时间、结束时间、源地址、目的地址、源端口、目的端口、协议类型、应用类型、上行流量、下行流量、数据包分布状况。
优选地,在进行元数据分类存储时,自动为全部的元数据建立全索引,并以文件形式进行存储。
优选地,所述分别对经过还原传输层的网络会话、识别应用协议、抽取结构化的元数据处理后的数据进行分类存储,具体为:
对于经过还原传输层的网络会话、识别应用协议、抽取结构化的元数据处理后的数据,当符合设定的数据存储规则时,才进行保存,反之,则丢弃。
优选地,所述设定的数据存储规则包括:IP、协议类型和数据包大小。
优选地,所述根据设定的规则对各分类存储的数据分别进行监测和分析,具体包括:
基于设定的网络行为异常检测规则库,发现可疑的网络行为;
基于设定的监测规则库,对设定的应用和网络通讯异常进行告警;
对链路的突发流量进行检测,发现异常的流量并产生告警;
基于设定的定义数据包中的特征匹配条件,监测数据采集过程中的特征行为、异常通讯访问;
根据设定的挖掘规则对元数据进行挖掘分析。
优选地,所述方法还包括:
定时检测与外界回传网络的接口通断情况,若检测结果正常,则进行数据回传;若检测结果异常,则将数据转至本地存储,同时持续不断检测网络状况,直至恢复时将本地缓存的数据按照队列机制发送到第三方系统;
其中,每个数据均采用时间戳机制,一旦因网络异常导致数据传输失败,能够利用本地存储空间将发送失败的数据进行缓存,待网络恢复后根据时间戳能够将缓存数据有序回传给相关接口。
与现有技术相比,本发明的有益效果:
第一,本发明对于烟草行业工控流量的安全审计具有独创性,首先工控流量采用镜像方式接入,避免了串联设备部署时的风险隐患;同时建立了采集、预处理、分析、存储以及回传的五层处理架构,明确各架构层级的作用,对工控流量的采集与解析有明确的指导作用,避免各层角色重叠。
第二,本发明中设计的工控流量的采集与协议解析方法,采用的是弹性高性能的快速分析与处理系统,可以分布式部署,支持虚拟化平台,具备高扩展性,可以根据设备性能结合流量分流设备配置多个节点,并搭配消息队列可避免数据源海量事件的输入处理,提供缓存机制,并且采用开放式架构,支持对第三方系统提供标准数据回传接口。
第三,本发明中的工控流量的采集与协议解析方法,具有强大的数据检索与分析能力,即便数据量相当庞大,也能快速分析和查询日志,支持实时的数据分析,后台采用全索引式存储技术,能够在页面上通过简单的数据查询、统计及组合分析来实现海量日志的综合分析,相比与传统的分析技术,其采用全索引以及文件式存储可以实现快速的日志定位和内容检索、分析。
第四、本发明能够自适应的进行数据回传,能够根据网络链路状况自动变化数据回传及缓存方式。当回传链路出现问题时能够自动在本地缓存数据,做到离线存储,链路通畅时再按照已有队列顺序发送数据。
附图说明
图1为本发明一种实施例的工控流量的采集与协议解析方法的流程示意图;
图2为本发明一种实施例的工控网络交换机与流量采集设备的关系示意图;
图3为本发明一种实施例的数据监测和分析流程示意图;
图4为本发明一种实施例的数据回传流程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明的保护范围。
下面结合附图对本发明的应用原理作详细的描述。
实施例1
如图1所示,本发明实施例提供了一种工控流量的采集与协议解析方法,包括以下步骤:
步骤(1)数据采集,即基于工控网络交换机的镜像口获取数据;
数据采集的目的是为后续的数据分析提供基础数据源,从而实现通过对工控网络通讯的分析发现异常网络行为。
在本发明实施例的一种具体实施方式中,所述步骤(1)具体为:
(1.1)在工控网络交换机1旁部署流量采集设备2,所述流量采集设备2通过工控网络交换机1的镜像端口进行数据采集,同时将自身的通讯口与管理网络连接用以回传数据;参见图2;
(1.2)基于嗅探法从工控网络交换机的镜像口捕获数据,并进行无损化本地保存;所述数据包括TCP、UDP、S7、Modbus、Profinet网络协议数据包,保存格式采用通用格式,优选地,所述保存格式为.pcap、TCP dump或cspkt,用于第三方协议分析工具如Wireshark、OmniPeek、Sniffer等进行识别;基于嗅探法采集到的信息较SNMP、NetFlow等方式采集的信息更为全面,可以完全复制网络中的数据报文;
进一步地,通过嗅探法获取到数据(即网络流量)后,通过对数据的实时处理,能够保存网络中的所有网络会话信息,包括物理端点会话、IP主机会话、TCP会话和UDP会话信息、应用和协议会话信息,通过对网络会话的存储,用户可以查看和了解任意时间的网络会话信息,及时发现异常的通讯会话,快速查找各种网络问题
步骤(2)数据预处理,即对获取到的数据进行预处理,所述预处理包括还原传输层的网络会话、识别应用协议、抽取结构化的元数据;
在本发明实施例的一种具体实施方式中,所述步骤(2)具体为:
首先,对实时数据进行传输层的会话还原,消除因网络条件造成的乱序、重传、延迟等对后续分析的干扰;
然后,进行应用协议识别,判断数据上所承载的具体应用;
最终从非结构化的数据流中抽取结构化的元数据信息,以便后续的各类统计和关联分析。
所述元数据(Metadata)是对原始报文的描述数据,它不包含原始报文的具体内容,却保存了原始数据流中绝大部分可用于后续统计分析的信息量。典型的元数据包括一条会话的开始时间、结束时间、源地址、目的地址、源端口、目的端口、协议类型、应用类型、上行流量、下行流量、数据包分布状况等。在基于上述11元组提取元数据时,既要保存充足的信息以便后续分析模块使用,又要避免过于复杂的计算降低了数据流的处理效率。经过元数据提取法处理后的数据大小将远远低于原始数据包,回传数据所占带宽约为原始流量的0.9%-1.5%。
步骤(3)数据存储,即分别对经过还原传输层的网络会话、识别应用协议、抽取结构化的元数据处理后的各类数据进行分类存储;
在本发明实施例的一种具体实施方式中,通过全面保存预处理后的所有通讯的元数据,以滚动存储方式不断更新数据,当数据达到本地存储容量上限时能够按照时间顺序从前至后自动更替,保证存储数据的连贯性、实时性,同时为了便于后续查询与分析效率,对预处理后的数据按照以下分类进行存储:
(1)网络会话存储
预处理后的所有网络会话信息,包括物理端点会话、IP主机会话、TCP会话和UDP会话信息、应用和协议会话信息,通过对网络会话的存储,用户可以查看和了解任意时间的网络会话信息,及时发现异常的通讯会话,快速查找各种网络问题。
(2)链路流量参数存储
对经过预处理后的得到元数据进行汇总存储,实时对网络链路上的总体流量参数进行分析、统计和长期保存,如总流量、广播/组播流量、上行/下行流量、数据包、利用率、TCP同步数据包数、TCP同步确认数据包数、TCP同步重置数据包数等多种网络基本流量数据统计,帮助用户快速了解和掌握网络运行状态,及时发现异常数据。
(3)元数据存储
为预处理后的全部元数据自动建立全索引,以文件形式进行存储。全索引后的元数据在查询、统计、建模时能够提供亿级数据秒级查询的性能,允许用户通过自定义的规则对数据进行统计分析与建模挖掘。
由于设备本地存储空间有限,即便在数据预处理时对元数据进行提取,若对烟草工控网络中的全流量数据完整存储,仍将很快耗尽本地存储空间。因此设计数据存储规则库,允许用户自定义需要存储的数据包内容,允许用户能够根据IP、协议类型、数据包大小进行设置,一旦数据包不满足存储规则,则该类数据包将被丢弃,不再进行本地存储。即对于经过还原传输层的网络会话、识别应用协议、抽取结构化的元数据处理后的数据,当符合设定的数据存储规则时,才进行保存,反之,则丢弃。通过此设计将大大节省本地存储资源,同时提高数据分析与查询的效率。
步骤(4)根据设定的规则对各分类存储的数据分别进行监测和分析,找出异常数据,具体参见图3;
本发明中利用实时检测技术在存储数据中发现工控网络中出现突发流量或异常流量时,能够及时回溯分析该时段的流量,能够及时掌握网络异常的原因,避免问题的进一步扩大;同时,对于发生的历史问题,能够快速提取该时段数据进行历史数据精细分析。某些网络问题可能并不会以异常的流量而表现,比如在过去某个时间数据库服务器响应慢,要分析此问题的原因,就需要调取分析该时段的通讯数据,正是有了强大的采集数据分析能力,系统才能够在数据存储的基础上,挖掘调取过去任意时段的历史数据,快速检索历史信息并进行精细的二次分析并查找产生问题的原因。
提供从网络协议和应用,物理端点,IP端点,物理会话,IP会话,TCP会话,UDP会话等多个角度进行数据挖掘,能直观地看到各网络对象间的关联关系和数据统计结果。如通过某个协议可挖掘出其下的IP端点,再到IP端点下的会话和最底层的数据包,层层递进,逐级挖掘。采集分析技术还支持在各层次间进行快速跳转,可方便的回溯至任意挖掘路径节点。
在本发明实施例的一种具体实施方式中,所述根据设定的规则对各分类存储的数据分别进行监测和分析,具体包括:
(4.1)可疑网络行为检测
基于设定的网络行为异常检测规则库,发现可疑的网络行为;
(4.2)重点对象分析检测
基于设定的监测规则库,对设定的应用和网络通讯异常进行告警;
(4.3)链路突发流量检测
对链路的突发流量进行检测,发现异常的流量并产生告警;
(4.4)特征数据检测
特征数据检测是通过定义数据包中的特征匹配条件来实现在全流量采集过程中的特征行为、异常通讯访问等进行监测的功能。系统产生的告警既能够在设备端展现,同时也能够以通用接口方式回传到现有监控预警系统展示;
(4.5)数据挖掘分析
数据挖掘分析时对元数据进行自定义建模、统计,根据用户自定义规则对元数据进行挖掘分析,例如对特殊端口与的统计、特殊通讯行为在全部元数据中的回溯等。
实施例2
为保证数据预处理后的流量数据能够准确及时传送到第三方管理系统,在数据传输有正确的队列机制前提下,本发明的方法还设计数据回传的同步与异步方式;
具体地,本发明实施例与实施例1的区别在于:
如图4所示,所述方法还包括:
定时检测与外界回传网络的接口通断情况,若检测结果正常,则进行数据回传;若检测结果异常,则将数据转至本地存储,同时持续不断检测网络状况,直至恢复时将本地缓存的数据按照队列机制发送到第三方系统;
其中,每个数据均采用时间戳机制,一旦因网络异常导致数据传输失败,能够利用本地存储空间将发送失败的数据进行缓存,待网络恢复后根据时间戳能够将缓存数据有序回传给相关接口。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (10)
1.一种工控流量的采集与协议解析方法,其特征在于,包括以下步骤:
基于工控网络交换机的镜像口获取数据;
对获取到的数据进行预处理,所述预处理包括还原传输层的网络会话、识别应用协议、抽取结构化的元数据;
分别对经过还原传输层的网络会话、识别应用协议、抽取结构化的元数据处理后的各类数据进行分类存储;
根据设定的规则对各分类存储的数据分别进行监测和分析,找出异常数据。
2.根据权利要求1所述的一种工控流量的采集与协议解析方法,其特征在于:所述基于工控网络交换机的镜像口获取数据,具体为:
基于嗅探法从工控网络交换机的镜像口捕获数据,并进行无损化本地保存;
所述数据包括TCP、UDP、S7、Modbus、Profinet网络协议数据包,保存格式采用通用格式。
3.根据权利要求2所述的一种工控流量的采集与协议解析方法,其特征在于:所述保存格式为.pcap、TCP dump或cspkt。
4.根据权利要求1所述的一种工控流量的采集与协议解析方法,其特征在于:
对于经过还原传输层的网络会话处理后的数据,其包括物理端点会话、IP主机会话、TCP会话和UDP会话信息、应用和协议会话信息。
5.根据权利要求1所述的一种工控流量的采集与协议解析方法,其特征在于:所述元数据是对从工控网络交换机的镜像口获得的原始数据的描述数据,包括一条会话的开始时间、结束时间、源地址、目的地址、源端口、目的端口、协议类型、应用类型、上行流量、下行流量、数据包分布状况。
6.根据权利要求5的一种工控流量的采集与协议解析方法,其特征在于:在对元数据进行分类存储时,自动为全部的元数据建立全索引,并以文件形式进行存储。
7.根据权利要求1所述的一种工控流量的采集与协议解析方法,其特征在于:所述分别对经过还原传输层的网络会话、识别应用协议、抽取结构化的元数据处理后的数据进行分类存储,具体为:
对于经过还原传输层的网络会话、识别应用协议、抽取结构化的元数据处理后的数据,当符合设定的数据存储规则时,才进行保存,反之,则丢弃。
8.根据权利要求7所述的一种工控流量的采集与协议解析方法,其特征在于:所述设定的数据存储规则包括:IP、协议类型和数据包大小。
9.根据权利要求1所述的一种工控流量的采集与协议解析方法,其特征在于:所述根据设定的规则对各分类存储的数据分别进行监测和分析,具体包括:
基于设定的网络行为异常检测规则库,发现可疑的网络行为;
基于设定的监测规则库,对设定的应用和网络通讯异常进行告警;
对链路的突发流量进行检测,发现异常的流量并产生告警;
基于设定的定义数据包中的特征匹配条件,监测数据采集过程中的特征行为、异常通讯访问;
根据设定的挖掘规则对元数据进行挖掘分析。
10.根据权利要求1所述的一种工控流量的采集与协议解析方法,其特征在于,所述方法还包括:
定时检测与外界回传网络的接口通断情况,若检测结果正常,则进行数据回传;若检测结果异常,则将数据转至本地存储,同时持续不断检测网络状况,直至恢复时将本地缓存的数据按照队列机制发送到第三方系统;
其中,每个数据均采用时间戳机制,一旦因网络异常导致数据传输失败,能够利用本地存储空间将发送失败的数据进行缓存,待网络恢复后根据时间戳能够将缓存数据有序回传给相关接口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910617250.2A CN110401642A (zh) | 2019-07-10 | 2019-07-10 | 一种工控流量的采集与协议解析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910617250.2A CN110401642A (zh) | 2019-07-10 | 2019-07-10 | 一种工控流量的采集与协议解析方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110401642A true CN110401642A (zh) | 2019-11-01 |
Family
ID=68324358
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910617250.2A Pending CN110401642A (zh) | 2019-07-10 | 2019-07-10 | 一种工控流量的采集与协议解析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110401642A (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111131072A (zh) * | 2019-12-23 | 2020-05-08 | 北京浩瀚深度信息技术股份有限公司 | 一种无埋点数据采集方法、装置及存储介质 |
| CN111131325A (zh) * | 2020-01-03 | 2020-05-08 | 浙江大学 | 一种数据协议异常识别系统及方法 |
| CN111737222A (zh) * | 2020-06-24 | 2020-10-02 | 四川长虹电器股份有限公司 | 基于一对多请求响应模型消息队列数据包存储检索的方法 |
| CN111917975A (zh) * | 2020-07-06 | 2020-11-10 | 成都深思科技有限公司 | 基于网络通讯数据的隐蔽网络摄像头识别方法 |
| CN111917835A (zh) * | 2020-07-13 | 2020-11-10 | 北京天空卫士网络安全技术有限公司 | 一种监控网络数据的系统、方法和装置 |
| CN112039797A (zh) * | 2019-12-20 | 2020-12-04 | 杭州九略智能科技有限公司 | 一种基于工业环境下工业流量收集并重放的方法 |
| CN112153020A (zh) * | 2020-09-10 | 2020-12-29 | 深圳供电局有限公司 | 一种工控流量分析方法及装置 |
| CN112306019A (zh) * | 2020-10-28 | 2021-02-02 | 北京珞安科技有限责任公司 | 一种基于协议深度分析的工控安全审计系统及其应用 |
| CN112671922A (zh) * | 2020-12-29 | 2021-04-16 | 北京明朝万达科技股份有限公司 | 工业互联网数据处理系统及方法 |
| CN112788013A (zh) * | 2020-12-30 | 2021-05-11 | 成都科来网络技术有限公司 | 一种web端在线多层协议数据包解码方法及装置 |
| CN112822151A (zh) * | 2020-11-06 | 2021-05-18 | 浙江中烟工业有限责任公司 | 面向控制网络工业计算机的多层精准主动网络攻击检测方法及系统 |
| CN114047881A (zh) * | 2021-11-18 | 2022-02-15 | 江苏省未来网络创新研究院 | 一种基于用户策略的网络数据包存储装置及方法 |
| CN114157467A (zh) * | 2021-11-25 | 2022-03-08 | 山东科技大学 | 分布式可切换工控蜜网诱捕方法 |
| CN114710416A (zh) * | 2022-02-23 | 2022-07-05 | 沈阳化工大学 | 一种基于工艺流程并网络流量的实时数据采集方法 |
| CN115065568A (zh) * | 2022-08-19 | 2022-09-16 | 北京珞安科技有限责任公司 | 一种工控网络入侵检测方法及系统 |
| CN115913970A (zh) * | 2021-11-04 | 2023-04-04 | 贵州电网有限责任公司 | 一种基于软件定义网络的监控流量集中管理系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101576855A (zh) * | 2009-06-19 | 2009-11-11 | 深圳市科陆电子科技股份有限公司 | 一种基于缓存的数据存储系统及方法 |
| US20090311971A1 (en) * | 2008-06-17 | 2009-12-17 | Kielb John A | Rf adapter for field device with loop current bypass |
| CN102082728A (zh) * | 2010-12-28 | 2011-06-01 | 北京锐安科技有限公司 | 一种网络审计系统的过滤规则动态加载方法 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
-
2019
- 2019-07-10 CN CN201910617250.2A patent/CN110401642A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090311971A1 (en) * | 2008-06-17 | 2009-12-17 | Kielb John A | Rf adapter for field device with loop current bypass |
| CN101576855A (zh) * | 2009-06-19 | 2009-11-11 | 深圳市科陆电子科技股份有限公司 | 一种基于缓存的数据存储系统及方法 |
| CN102082728A (zh) * | 2010-12-28 | 2011-06-01 | 北京锐安科技有限公司 | 一种网络审计系统的过滤规则动态加载方法 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
Non-Patent Citations (2)
| Title |
|---|
| 程冬梅等: ""基于规则匹配的分布式工控入侵检测系统设计与实现"", 《信息网络安全》 * |
| 赵澄等: ""工业控制网络中APT攻击检测系统设计"", 《计算机测量与控制》 * |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112039797A (zh) * | 2019-12-20 | 2020-12-04 | 杭州九略智能科技有限公司 | 一种基于工业环境下工业流量收集并重放的方法 |
| CN111131072A (zh) * | 2019-12-23 | 2020-05-08 | 北京浩瀚深度信息技术股份有限公司 | 一种无埋点数据采集方法、装置及存储介质 |
| CN111131072B (zh) * | 2019-12-23 | 2023-08-22 | 北京浩瀚深度信息技术股份有限公司 | 一种无埋点数据采集方法、装置及存储介质 |
| CN111131325A (zh) * | 2020-01-03 | 2020-05-08 | 浙江大学 | 一种数据协议异常识别系统及方法 |
| CN111737222A (zh) * | 2020-06-24 | 2020-10-02 | 四川长虹电器股份有限公司 | 基于一对多请求响应模型消息队列数据包存储检索的方法 |
| CN111917975A (zh) * | 2020-07-06 | 2020-11-10 | 成都深思科技有限公司 | 基于网络通讯数据的隐蔽网络摄像头识别方法 |
| CN111917975B (zh) * | 2020-07-06 | 2021-11-02 | 成都深思科技有限公司 | 基于网络通讯数据的隐蔽网络摄像头识别方法 |
| CN111917835A (zh) * | 2020-07-13 | 2020-11-10 | 北京天空卫士网络安全技术有限公司 | 一种监控网络数据的系统、方法和装置 |
| CN112153020A (zh) * | 2020-09-10 | 2020-12-29 | 深圳供电局有限公司 | 一种工控流量分析方法及装置 |
| CN112306019A (zh) * | 2020-10-28 | 2021-02-02 | 北京珞安科技有限责任公司 | 一种基于协议深度分析的工控安全审计系统及其应用 |
| CN112822151A (zh) * | 2020-11-06 | 2021-05-18 | 浙江中烟工业有限责任公司 | 面向控制网络工业计算机的多层精准主动网络攻击检测方法及系统 |
| CN112671922B (zh) * | 2020-12-29 | 2022-05-27 | 北京明朝万达科技股份有限公司 | 工业互联网数据处理系统及方法 |
| CN112671922A (zh) * | 2020-12-29 | 2021-04-16 | 北京明朝万达科技股份有限公司 | 工业互联网数据处理系统及方法 |
| CN112788013A (zh) * | 2020-12-30 | 2021-05-11 | 成都科来网络技术有限公司 | 一种web端在线多层协议数据包解码方法及装置 |
| CN115913970A (zh) * | 2021-11-04 | 2023-04-04 | 贵州电网有限责任公司 | 一种基于软件定义网络的监控流量集中管理系统 |
| CN114047881A (zh) * | 2021-11-18 | 2022-02-15 | 江苏省未来网络创新研究院 | 一种基于用户策略的网络数据包存储装置及方法 |
| CN114047881B (zh) * | 2021-11-18 | 2023-11-17 | 江苏省未来网络创新研究院 | 一种基于用户策略的网络数据包存储装置及方法 |
| CN114157467A (zh) * | 2021-11-25 | 2022-03-08 | 山东科技大学 | 分布式可切换工控蜜网诱捕方法 |
| CN114157467B (zh) * | 2021-11-25 | 2024-06-04 | 山东科技大学 | 分布式可切换工控蜜网诱捕方法 |
| CN114710416A (zh) * | 2022-02-23 | 2022-07-05 | 沈阳化工大学 | 一种基于工艺流程并网络流量的实时数据采集方法 |
| CN114710416B (zh) * | 2022-02-23 | 2023-11-03 | 沈阳化工大学 | 一种基于工艺流程的网络流量实时数据采集方法 |
| CN115065568A (zh) * | 2022-08-19 | 2022-09-16 | 北京珞安科技有限责任公司 | 一种工控网络入侵检测方法及系统 |
| CN115065568B (zh) * | 2022-08-19 | 2022-12-20 | 北京珞安科技有限责任公司 | 一种工控网络入侵检测方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110401642A (zh) | 一种工控流量的采集与协议解析方法 | |
| Xiang et al. | Flexible deterministic packet marking: An IP traceback system to find the real source of attacks | |
| JP4759389B2 (ja) | パケット通信装置 | |
| US8813220B2 (en) | Methods and systems for internet protocol (IP) packet header collection and storage | |
| US7903566B2 (en) | Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data | |
| US8726382B2 (en) | Methods and systems for automated detection and tracking of network attacks | |
| Karimi et al. | Distributed network traffic feature extraction for a real-time IDS | |
| CN110417612B (zh) | 一种基于网元的网络流量监测系统及方法 | |
| US20070248084A1 (en) | Symmetric connection detection | |
| US8762515B2 (en) | Methods and systems for collection, tracking, and display of near real time multicast data | |
| US20100046393A1 (en) | Methods and systems for internet protocol (ip) traffic conversation detection and storage | |
| CN107465690B (zh) | 一种基于流量分析的被动式异常端口实时检测方法及系统 | |
| US7903657B2 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
| CN112153020A (zh) | 一种工控流量分析方法及装置 | |
| CN115776449B (zh) | 列车以太网通信状态监测方法及系统 | |
| US20180013773A1 (en) | Method and system for correlation and management of distributed and heterogeneous events | |
| CN104243192B (zh) | 故障处理方法及系统 | |
| Niandong et al. | Detection of probe flow anomalies using information entropy and random forest method | |
| CN116257021A (zh) | 一种工控系统智能网络安全态势监测预警平台 | |
| Thi et al. | Federated learning-based cyber threat hunting for apt attack detection in SDN-enabled networks | |
| US7266088B1 (en) | Method of monitoring and formatting computer network data | |
| CN106789967A (zh) | 一种多源网络安全事件的采集与同步方法 | |
| CN114760126B (zh) | 一种工控网络流量实时入侵检测方法 | |
| EP3576365B1 (en) | Data processing device and method | |
| Zhang et al. | Design of Flow Analysis System Based on Industrial Control Network in Tobacco Industry |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191101 |