CN110808962B - 一种畸形数据包检测方法及装置 - Google Patents
一种畸形数据包检测方法及装置 Download PDFInfo
- Publication number
- CN110808962B CN110808962B CN201910989508.1A CN201910989508A CN110808962B CN 110808962 B CN110808962 B CN 110808962B CN 201910989508 A CN201910989508 A CN 201910989508A CN 110808962 B CN110808962 B CN 110808962B
- Authority
- CN
- China
- Prior art keywords
- data packet
- protocol
- malformed
- network
- network data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 98
- 238000004458 analytical method Methods 0.000 claims abstract description 145
- 238000000034 method Methods 0.000 claims abstract description 64
- 230000006870 function Effects 0.000 claims description 22
- 238000004590 computer program Methods 0.000 claims description 13
- 230000002159 abnormal effect Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 9
- 230000006854 communication Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 7
- 238000012806 monitoring device Methods 0.000 description 5
- 238000010801 machine learning Methods 0.000 description 4
- 238000012549 training Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 230000007547 defect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种畸形数据包检测方法及装置,所述畸形数据包检测方法由于对网络数据包进行了协议解析检测、协议规范约束检测和基于历史合法流量数据的现场规范约束检测这三重检测,因此,可以有效避免针对特定数据包基于黑名单命中低效的问题,从而提高畸形数据包检测的效率。需要说明的是,本发明实施例在进行畸形数据包检测时,不但利用了协议规范约束对畸形数据包进行检测,而且还充分利用了目标网络的历史合法流量数据,对畸形数据包进行现场规范约束检测,从而能够有效提高畸形数据包的检测效率和检测准确度。本发明实施例提供的畸形数据包检测方法尤其适用于网络数据包的内容周期性强、特征显著的工控网络。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种畸形数据包检测方法及装置。
背景技术
随着信息技术的飞速发展,工控网络面临着越来越多的风险。例如,在工控网络环境中(主要指运行环境),基于Fuzz技术产生的畸形流量会对工控设备产生不可预期的严重后果,例如丢失重要数据,按照非预期的方式进行工作,甚至导致宕机。由于这种畸形数据包没有特定的规律,导致传统基于黑名单的IPS/IDS方法在检测畸形数据包方面的效果较差。
鉴于此,如何对网络进行异常检测成为目前急需解决的一项技术问题。
发明内容
针对现有技术中的问题,本发明实施例提供一种畸形数据包检测方法及装置。
第一方面,本发明实施例提供了一种畸形数据包检测方法,包括:
捕获目标网络的网络数据包;
对所述网络数据包进行协议识别,获取所述网络数据包的协议类型;
根据所述网络数据包的协议类型对所述网络数据包进行协议解析;
若协议解析失败,则确定所述网络数据包为畸形数据包并进行告警;若协议解析成功,则根据与所述协议类型对应的协议规范判断协议解析结果是否满足协议规范约束,若不满足协议规范约束,则确定所述网络数据包为畸形数据包并进行告警;若满足协议规范约束,则根据与目标网络对应的历史合法流量数据判断协议解析结果是否满足现场规范约束;若协议解析结果不满足现场规范约束,则确定所述网络数据包为畸形数据包并进行告警。
进一步地,所述对所述网络数据包进行协议识别,获取所述网络数据包的协议类型,具体包括:
确定所述网络数据包对应的协议端口;
根据协议端口确定与所述协议端口对应的协议类型集合;
根据所述历史合法流量数据确定与所述协议端口对应的历史协议类型;
从所述协议类型集合中选择所述历史协议类型作为所述网络数据包的协议类型。
进一步地,所述根据与所述协议类型对应的协议规范判断协议解析结果是否满足协议规范约束,具体包括:
若与所述协议类型对应的协议规范中约束了协议中预设字段的取值约束条件,则判断所述协议解析结果中与所述预设字段对应的字段解析结果是否满足所述取值约束条件,若满足,则确定协议解析结果满足协议规范约束,若不满足,则确定协议解析结果不满足协议规范约束。
进一步地,所述根据与目标网络对应的历史合法流量数据判断协议解析结果是否满足现场规范约束具体包括:
根据与目标网络对应的历史合法流量数据进行基于功能码、关键事件和点表的安全隐患判断,判断协议解析结果是否满足现场规范约束。
进一步地,所述畸形数据包检测方法还包括:
若判断获知满足现场规范约束,则将所述网络数据包加入至所述历史合法流量数据中。
进一步地,所述畸形数据包检测方法还包括:
在因协议解析结果不满足现场规范约束而确定所述网络数据包为畸形数据包并进行告警后,发送手工确认是否误报的提示信息,若接收到的反馈信息为误报,则将所述网络数据包标记为合法数据包,并将所述网络数据包加入至所述历史合法流量数据中。
进一步地,所述畸形数据包检测方法还包括:
在因协议解析结果不满足协议规范约束而确定所述网络数据包为畸形数据包并进行告警后,根据所述网络数据包的协议解析结果和与所述网络数据包存在关联关系的网络数据包的协议解析结果分析网络攻击者的攻击类型。
进一步地,所述畸形数据包检测方法还包括:
若产生的告警信息的条数大于预设阈值,则判断是否存在重复的告警信息,若是,则将相同的告警信息以预先设置的时间单位进行合并。
第二方面,本发明实施例还提供了一种畸形数据包检测装置,包括:
捕获模块,用于捕获目标网络的网络数据包;
识别模块,用于对所述网络数据包进行协议识别,获取所述网络数据包的协议类型;
解析模块,用于根据所述网络数据包的协议类型对所述网络数据包进行协议解析;
检测模块,用于若协议解析失败,则确定所述网络数据包为畸形数据包并进行告警;若协议解析成功,则根据与所述协议类型对应的协议规范判断协议解析结果是否满足协议规范约束,若不满足协议规范约束,则确定所述网络数据包为畸形数据包并进行告警;若满足协议规范约束,则根据与目标网络对应的历史合法流量数据判断协议解析结果是否满足现场规范约束;若协议解析结果不满足现场规范约束,则确定所述网络数据包为畸形数据包并进行告警。
进一步地,所述识别模块,具体用于:
确定所述网络数据包对应的协议端口;
根据协议端口确定与所述协议端口对应的协议类型集合;
根据所述历史合法流量数据确定与所述协议端口对应的历史协议类型;
从所述协议类型集合中选择所述历史协议类型作为所述网络数据包的协议类型。
进一步地,所述检测模块在根据与所述协议类型对应的协议规范判断协议解析结果是否满足协议规范约束时,具体用于:
若与所述协议类型对应的协议规范中约束了协议中预设字段的取值约束条件,则判断所述协议解析结果中与所述预设字段对应的字段解析结果是否满足所述取值约束条件,若满足,则确定协议解析结果满足协议规范约束,若不满足,则确定协议解析结果不满足协议规范约束。
进一步地,所述检测模块在根据与目标网络对应的历史合法流量数据判断协议解析结果是否满足现场规范约束时,具体用于:
根据与目标网络对应的历史合法流量数据进行基于功能码、关键事件和点表的安全隐患判断,判断协议解析结果是否满足现场规范约束。
进一步地,所述检测模块还用于:
若判断获知满足现场规范约束,则将所述网络数据包加入至所述历史合法流量数据中。
进一步地,所述检测模块还用于:
在因协议解析结果不满足现场规范约束而确定所述网络数据包为畸形数据包并进行告警后,发送手工确认是否误报的提示信息,若接收到的反馈信息为误报,则将所述网络数据包标记为合法数据包,并将所述网络数据包加入至所述历史合法流量数据中。
进一步地,所述检测模块还用于:
在因协议解析结果不满足协议规范约束而确定所述网络数据包为畸形数据包并进行告警后,根据所述网络数据包的协议解析结果和与所述网络数据包存在关联关系的网络数据包的协议解析结果分析网络攻击者的攻击类型。
进一步地,所述检测模块还用于:
若产生的告警信息的条数大于预设阈值,则判断是否存在重复的告警信息,若是,则将相同的告警信息以预先设置的时间单位进行合并。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述畸形数据包检测方法的步骤。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所述畸形数据包检测方法的步骤。
由上面技术方案可知,本发明实施例提供的畸形数据包检测方法及装置,由于对网络数据包进行了协议解析检测、协议规范约束检测和基于历史合法流量数据的现场规范约束检测这三重检测,因此,可以有效避免针对特定数据包基于黑名单命中低效的问题,从而提高畸形数据包检测的效率。需要说明的是,本实施例在进行畸形数据包检测时,不但利用了协议规范约束对畸形数据包进行检测,而且还充分利用了目标网络的历史合法流量数据,对畸形数据包进行现场规范约束检测,从而能够有效提高畸形数据包的检测效率和检测准确度。本实施例提供的畸形数据包检测方法尤其适用于网络数据包的内容周期性强、特征显著的工控网络。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的畸形数据包检测方法的流程图;
图2是本发明一实施例提供的畸形数据包检测方法的执行设备的部署方式和应用场景示意图;
图3是本发明一实施例提供的畸形数据包检测方法的执行过程示意图;
图4是本发明一实施例提供的畸形数据包检测方法的工作原理示意图;
图5是本发明一实施例提供的S7COMM畸形数据包无法进行解析的场景示意图;
图6是本发明一实施例提供的S7COMM畸形数据包可以进行正常解析,但是解析出的字段不符合协议规范的场景示意图;
图7是本发明一实施例提供的S7COMM畸形数据包可以进行正常解析,且字段含义也合法,但与历史合法流量数据不相符的场景示意图;
图8是本发明一实施例提供的Modbus协议中的功能码Function Code示意图;
图9是本发明一实施例提供的CIP协议对不同点位的控制标记示意图;
图10为本发明一实施例提供的畸形数据包检测装置的结构示意图;
图11为本发明一实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在工控网络环境中(主要指运行环境),基于Fuzz技术产生的畸形流量会对工控设备产生不可预期的严重后果,例如丢失重要数据,按照非预期的方式进行工作,甚至导致宕机。由于这种畸形数据包没有特定的规律,导致传统基于黑名单的IPS/IDS方法在检测畸形数据包方面的效果较差。本发明实施例在进行畸形数据包检测时充分利用工控网络的历史合法流量数据,根据协议规范和工程现场规范约束对畸形数据包进行检测,不依赖于传统黑名单命中的检测方式,从而能够有效提高工控畸形数据包的检测效率。下面将通过具体实施例本发明提供的方案进行详细解释说明。
图1示出了本发明实施例提供的畸形数据包检测方法的流程图。如图1所示,本发明实施例提供的畸形数据包检测方法包括如下步骤:
步骤101:捕获目标网络的网络数据包;
步骤102:对所述网络数据包进行协议识别,获取所述网络数据包的协议类型;
步骤103:根据所述网络数据包的协议类型对所述网络数据包进行协议解析;
步骤104:若协议解析失败,则确定所述网络数据包为畸形数据包并进行告警;若协议解析成功,则根据与所述协议类型对应的协议规范判断协议解析结果是否满足协议规范约束,若不满足协议规范约束,则确定所述网络数据包为畸形数据包并进行告警;若满足协议规范约束,则根据与目标网络对应的历史合法流量数据判断协议解析结果是否满足现场规范约束;若协议解析结果不满足现场规范约束,则确定所述网络数据包为畸形数据包并进行告警。
在本实施例中,目标网络是指待进行畸形数据包检测的网络,也可以称为待进行异常检测的网络。这里的目标网络可以为工控网络,也可以为其他周期性强,规律特征显著的网络。
在本实施例中,需要捕获所述目标网络的网络数据包,这里的捕获方式有多种多样,只要能获取所述目标网络的网络数据包即可。如图2所示的部署和应用场景示意图,可以持续被动地接收交换机镜像口的网络流量。具体来说,可以将本实施例提供的畸形数据包检测方法在监测设备上实现,工控网络中上位机和下位机的持续通信流量通过镜像口导入到监测设备。
在本实施例中,需要对网络数据包进行协议识别,如识别该网络数据包为哪种协议类型的数据包,进而采用与该协议类型对应解析器对数据包进行解析。
在本实施例中,根据协议规范对数据包进行解析工作。当前数据包无法根据协议规范成功解析时,直接做畸形数据包告警处理。若解析成功,则进一步对解析出的字段做协议规范约束检测。
这里的协议规范约束检测是指:如某个字段的协议规范是固定的离散值,当出现其他值时,则不符合协议规范约束,此时直接做畸形包告警处理。例如,S7COMM协议的ROSCTR字段通常有四种取值(0x01表示JOB、0x02表示ACK、0x03表示ACK_DATA、0x07表示USERDATA),而该字段的解析结果为0x04,则不符合协议规范,因此进行畸形异常数据包告警。
若协议规范约束满足,则进一步进行现场规范约束检测。这里的现场规范约束检测是指:判断所述网络数据包的解析结果是否与历史合法流量数据一致或匹配,例如,在判断时,可以根据历史合法流量数据提取当前网络环境的功能码和数据值特征,然后进行判断,若所述网络数据包的功能码和数据值特征与历史合法流量数据不一致或不匹配,则说明网络数据包不符合现场规范约束,此时应给出异常告警。例如,假设预先构造的S7COMM畸形数据包可以进行正常解析,且字段含义也合法(因此成功通过了协议解析和协议规范约束前两层检测),但是该数据包与历史合法流量数据不相符,因为这个数据包为包含Stop功能码的数据包,这个数据包属于危险数据包,可以将工控设备设置为停机状态。在此之前该目标网络的历史合法流量数据中从未出现过Stop的功能码操作,因此,该数据包不满足现场规范约束,因此会给出畸形数据包告警。在本实施例中,需要说明的是,历史合法流量数据是指目标网络中出现过且经过确认过属于合法数据的历史网络数据。
由此可见,在本实施例中,采用了三层畸形数据包检测手段,第一层检测是:先判断数据包是否能够正常解析,若不能够正常解析(解析失败),则确定数据包为畸形数据包,若能够正常解析(解析成功),则进行第二层检测。第二层检测是:根据协议规范对协议解析结果进行协议规范约束检测,若协议解析结果不满足协议规范约束,则确定数据包为畸形数据包,若协议解析结果满足协议规范约束,则进行第三层检测。第三层检测是:根据所述历史合法流量数据对协议解析结果进行现场规范约束检测,若协议解析结果不满足现场规范约束,则确定数据包为畸形数据包,若协议解析结果满足现场规范约束,则确定数据包为正常数据包。当数据包通过前面三层检测后,进入历史合法流量数据库中,供后续协议识别、现场规范约束作为参考判据。本实施例方法的执行过程和工作原理示意图分别如图3和图4所示。
由此可见,本实施例在进行畸形数据包检测时,对网络数据包进行了多重检测,有效避免针对特定数据包基于黑名单命中低效的问题,从而提高畸形数据包检测的效率。需要说明的是,本实施例在进行畸形数据包检测时,不但利用了协议规范约束对畸形数据包进行检测,而且还充分利用了目标网络的历史合法流量数据,对畸形数据包进行现场规范约束检测,从而能够有效提高畸形数据包的检测效率和检测准确度。本实施例提供的畸形数据包检测方法尤其适用于网络数据包的内容周期性强、特征显著的工控网络(因为内容周期性强、特征显著的工控网络可以更好的参考历史合法流量数据然后根据现场规范约束对畸形数据包进行检测)。由于基于Fuzz技术产生的畸形包没有特定规律,导致基于黑名单命中方式的检测工控网络畸形包方法的效果较差。然而,本实施例方法充分利用工控网络合法历史数据的周期性强、报文特征显著的特点,并结合协议规范对报文协议解析和合法性进行验证,从而能够较好的解决畸形数据包检测的问题。不过需要说明的是,本实施例提供的畸形数据包检测方法并不局限于工控网络,任何周期性强,规律特征显著的网络环境都可应用本实施例提供的畸形数据包检测方法。因此,与其他网络异常检测方法相比,本实施例提供的畸形数据包检测方法具有更强的通用性。
基于上述实施例的内容,在本实施例中,上述步骤102对所述网络数据包进行协议识别,获取所述网络数据包的协议类型,具体可通过如下方式实现:
步骤102A:确定所述网络数据包对应的协议端口;
步骤102B:根据协议端口确定与所述协议端口对应的协议类型集合;
步骤102C:根据所述历史合法流量数据确定与所述协议端口对应的历史协议类型;
步骤102D:从所述协议类型集合中选择所述历史协议类型作为所述网络数据包的协议类型。
在本实施例中,在进行协议识别时,并没有采用传统的依据协议端口进行协议类型识别,而是采用了协议端口+历史合法流量数据的方式进行协议识别。这是因为有的协议做过端口映射,因此不能简单的根据端口判断协议类型。
例如,假设某服务的TCP 102端口对应的服务有S7COMM服务和MMS服务,而根据历史合法流量判断得到某服务的TCP 102端口是S7COMM服务,非MMS服务,因此,当出现针对该端口的数据包时,可直接识别为S7COMM协议并调用相应的解析器,然后再做后续流程处理。这种基于历史合法流量做协议识别判据的方法能够充分利用历史数据,有效解决畸形数据包难以识别的问题。
由此可见,将历史合法流量数据作为协议识别的参考判据,能够有效解决畸形数据包无法仅根据协议端口进行识别的问题。
基于上述实施例的内容,在本实施例中,所述步骤104中根据与所述协议类型对应的协议规范判断协议解析结果是否满足协议规范约束,具体可通过如下方式实现:
若与所述协议类型对应的协议规范中约束了协议中预设字段的取值约束条件,则判断所述协议解析结果中与所述预设字段对应的字段解析结果是否满足所述取值约束条件,若满足,则确定协议解析结果满足协议规范约束,若不满足,则确定协议解析结果不满足协议规范约束。
在本实施例中,协议中预设字段的取值约束条件可以为协议中预设字段的取值格式要求,也可以为协议中预设字段的取值范围要求。例如,S7COMM协议的ROSCTR字段通常有四种取值(0x01表示JOB、0x02表示ACK、0x03表示ACK_DATA、0x07表示USERDATA),而该字段的解析结果为0x04,则不符合协议规范约束,因此进行畸形异常数据包告警。
基于上述实施例的内容,在本实施例中,所述步骤104中根据与目标网络对应的历史合法流量数据判断协议解析结果是否满足现场规范约束,具体可通过如下方式实现:
根据与目标网络对应的历史合法流量数据进行基于功能码、关键事件和点表的安全隐患判断,判断协议解析结果是否满足现场规范约束。
在本实施例中,功能码是指协议中用于对目标设备进行特定操作的协议字段,例如Modbus协议中的Function Code为1,代表读线圈操作,如图8所示。因此,假设Modbus协议对应的数据包的协议解析结果中Function Code不为1,则说明该数据包为畸形数据包。
在本实施例中,关键事件是指具有危险操作的功能码,例如对设备进行关机功能码,这个在Siemens S7COMM协议中比较明显,例如Stop指令,如图7所示。因此,假设SiemensS7COMM协议对应的数据包的协议解析结果中包含Stop功能码时,则说明该数据包为畸形数据包。
在本实施例中,点表技术是指上位机与控制器在网络通信过程中对IO点的控制在网络中的表现形式,如图9所示为CIP协议对不同点位的控制标记。点表地址可以类比于内存范围,因此,假设如果突然访问了非法的点表地址,则说明该数据包为畸形数据包。
在本实施例中,在根据与目标网络对应的历史合法流量数据判断协议解析结果是否满足现场规范约束时,采用了基于特定功能码、关键事件或点表技术的方式进行网络数据现场规范合法性的判定,此外,还可以基于传统工控网络白名单技术或人工标记方式进行现场规范合法性的判定。本实施例在进行现场规范合法性判定时不局限于任何一种网络数据合法性判断方法,但充分发挥历史合法网络数据的有效性,并将其作为重要参考判据的作法是本实施例提供的畸形数据包检测方法的特色之一。
基于上述实施例的内容,在本实施例中,所述畸形数据包检测方法,还包括:
步骤105:若判断获知满足现场规范约束,则将所述网络数据包加入至所述历史合法流量数据中。
在本实施例中,在确定数据包满足现场规范约束后,由于数据包已经经过了三重检测,此时说明数据包为正常数据包,将数据包加入历史合法流量数据中,可以供后续协议识别、现场规范约束作为参考判据。
基于上述实施例的内容,在本实施例中,所述畸形数据包检测方法,还包括:
步骤106:在因协议解析结果不满足现场规范约束而确定所述网络数据包为畸形数据包并进行告警后,发送手工确认是否误报的提示信息,若接收到的反馈信息为误报,则将所述网络数据包标记为合法数据包,并将所述网络数据包加入至所述历史合法流量数据中。
在本实施例中,由于在进行是否满足现场规范约束的判断时是根据历史合法流量进行判断的,若某个数据包在历史合法流量中未出现过,则会被判定为畸形数据包,但是这种情况下,有可能存在一种情况,那就是这个数据包为正常数据包,只是因为首次出现,此时实际上不应该把其判断为畸形数据包。因此,在本实施例中,在因协议解析结果不满足现场规范约束而确定所述网络数据包为畸形数据包并进行告警后,需要发送手工确认是否误报的提示信息,并在接收到的反馈信息为误报时,将所述网络数据包标记为合法数据包,并将所述网络数据包加入至所述历史合法流量数据中,以供后续协议识别、现场规范约束作为参考判据。
例如,如图7所示构造的S7COMM畸形数据包可以进行正常解析,且字段含义也合法,但与历史合法流量数据不相符,因为这个数据包是Stop功能码的数据包,用于将工控设备设置为停机状态。在此之前从未出现过Stop的功能码操作。因此会给出畸形数据包告警,需要由工作人员确认是否误报,如果是误报,则需要将这种类型的数据包标记为合法数据包。
基于上述实施例的内容,在本实施例中,所述畸形数据包检测方法,还包括:
步骤107:在因协议解析结果不满足协议规范约束而确定所述网络数据包为畸形数据包并进行告警后,根据所述网络数据包的协议解析结果和与所述网络数据包存在关联关系的网络数据包的协议解析结果分析网络攻击者的攻击类型。
在本实施例中,在因协议解析结果不满足协议规范约束而确定所述网络数据包为畸形数据包并进行告警后,进一步对网络攻击者的攻击类型进行分析,确定网络攻击者属于哪一类的攻击。在进行网络攻击者的攻击类型分析时,需要根据所述网络数据包的协议解析结果和与所述网络数据包存在关联关系的网络数据包的协议解析结果进行分析,以确定网络攻击者的攻击类型。
如图6所示构造的S7COMM畸形数据包可以进行正常解析,但是解析出的字段不符合协议规范。S7COMM协议的ROSCTR字段通常有四种取值(0x01表示JOB、0x02表示ACK、0x03表示ACK_DATA、0x07表示USERDATA),而此处出现的值是0x04,不符合常规协议规范,因此进行畸形异常数据包告警。根据这个字段的数据值在后续的报文中依次是0x05、0x06、0x07、0x08……0xFE、0xFF进一步分析可知,网络攻击者应用了一个遍历该字段取值的Fuzz策略。
基于上述实施例的内容,在本实施例中,所述畸形数据包检测方法,还包括:
步骤108:若产生的告警信息的条数大于预设阈值,则判断是否存在重复的告警信息,若是,则将相同的告警信息以预先设置的时间单位进行合并。
在本实施例中,如果持续产生大量的畸形数据包,则会产生大量重复的畸形包告警信息。此时,可以将相同的告警信息以预先设置的时间单位进行合并,从而提高告警信息的有效性。
在本实施中,需要说明的是,由于基于Fuzz技术产生的畸形包没有特定规律,导致基于黑名单命中方式的检测工控网络畸形包方法的效果较差。然而,本实施例提供的畸形数据包检测方法充分利用工控网络合法历史数据的周期性强、报文特征显著的特点,并结合协议规范对报文协议解析和合法性进行验证,从而能够较好的解决畸形数据包检测的问题。需要说明的是,由于本实施例提供的畸形数据包检测方法的执行效果依赖于历史合法流量数据,因此在没有历史合法流量数据,而直接输入畸形数据包的极端情况下,本实施例方法会由于协议识别过程出错,进而导致协议解析出错,最终导致畸形数据包的检测效果大幅降低,但是这种情况较为罕见,绝大多数情况是,平常生产正常,已经积累了安全基线,协议判断也较为准确,因此当发生异常数据包时,可以立即检测出来。本实施例方法适用于网络数据帧的内容周期性强、特征显著的工控网络,当出现没有通过检测的异常报文时,会及时给出告警。但是,如果当工控网络处于调试阶段,网络中会出现大量特征不明显的调试流量,这些流量与运行期间的工控网络流量报文类型不同,虽然这些流量不会对工控网络造成危害,但是本实施例方法会判断为异常流量,因为调试流量不在历史合法流量数据中,此时需要人工对流量的合法性进行标记。综上所述,本实施例方法具有如下效果:1、检测结果更为高效;本实施例方法以协议规范为基础依据进行多重检测,规避了基于黑名单机制检测畸形数据包低效的弊端,提高检测效果。2、检测过程更方便,无需大量训练数据;与基于机器学习的检测算法相比,本实施例方法不是基于机器学习等启发式算法,因此对于训练数据集的需求量会大幅降低,只需要能够体现现场数据特征的典型合法流量即可。此外,通过协议规范进行报文格式检测,进一步降低了对合法数据集完备性的需求。如前所述,如果当工控网络处于调试阶段,网络中会出现大量特征不明显的调试流量,这些流量与运行期间的工控网络流量报文类型不同,虽然这些流量不会对工控网络造成危害,但是本实施例方法由于调试流量不在历史合法流量数据中从而将其识别为异常流量,此时需要人工对流量的合法性进行标记。
下面结合图2、图5、图6和图7,对本实施例提供的畸形数据包检测方法进行详细说明。本实施例提供的畸形数据包检测方法的典型应用场景如图2所示,畸形数据包检测方法实现在监测设备上,工控网络中上位机和下位机的持续通信流量通过镜像口导入到监测设备。为验证本实施例方法的有效性,通过Peach或其他网络Fuzz工具构造S7COMM协议的畸形网络流量作为待检测数据。在接收到畸形数据包之前,监测设备已经采集了正常环境下的工控流量作为参考数据集,并且将TCP 102服务端口标记为S7COMM协议的流量,而非MMS协议的流量(MMS协议也是基于TCP 102端口)。
下面给出了三个场景,分别对应上述实施例提到的三层检测机制:
场景1:如图5所示构造的S7COMM畸形数据包无法进行解析。基于历史合法流量数据,本实施例方法已将TCP 102服务端口标记为S7COMM协议,因此会调用S7COMM解析器。由于解析过程失败,因此直接进行畸形异常数据包告警。
场景2:如图6所示构造的S7COMM畸形数据包可以进行正常解析,但是解析出的字段不符合协议规范。S7COMM协议的ROSCTR字段通常有四种取值(0x01表示JOB、0x02表示ACK、0x03表示ACK_DATA、0x07表示USERDATA),而此处出现的值是0x04,不符合常规协议规范,因此进行畸形异常数据包告警。进一步分析发现,这个字段的数据值在后续的报文中依次是0x05、0x06、0x07、0x08……0xFE、0xFF,由此可知在此应用了一个遍历该字段取值的Fuzz策略。
场景3:如图7所示构造的S7COMM畸形数据包可以进行正常解析,且字段含义也合法,但与历史合法流量数据不相符,因为这个数据包是Stop功能码的数据包,用于将工控设备设置为停机状态。在此之前从未出现过Stop的功能码操作。因此会给出畸形数据包告警,需要由工作人员确认是否误报,如果是误报,则需要将这种类型的数据包标记为合法数据包。本实施例方法从畸形包性质上对所有畸形包进行分类,并且分层进行检测,上述三个典型场景可以体现本实施例方法的主要检测功能。
根据上面描述可知,本实施例提供的畸形数据包检测方法具有如下优势:
本实施例提供的畸形数据包的检测方法,不局限于工控网络,其他周期性强,规律特征显著的网络环境都可应用本实施例方法。因此,与其他网络异常检测方法相比,本实施例方法更具有通用性。
本实施例提供的畸形数据包的检测方法,检测结果更为高效;本实施例方法以协议规范为基础依据进行多重检测,规避了基于黑名单机制检测畸形数据包低效的弊端,提高检测效果。
本实施例提供的畸形数据包的检测方法,检测过程更方便,无需大量训练数据;与基于机器学习的检测算法相比,本实施例方法不是基于机器学习等启发式算法,因此对于训练数据集的需求量会大幅降低,只需要能够体现现场数据特征的典型合法流量即可。
本实施例提供的畸形数据包的检测方法将历史合法流量数据作为协议识别和现场规范约束的参考判据,既有效解决畸形数据包无法仅根据协议端口和协议规范进行识别的问题,又解决相同工控设备在不同应用场景下由于行为不同而无法识别异常流量的问题。
图10示出了本发明实施例提供的畸形数据包检测装置的结构示意图。如图10所示,本发明实施例提供的畸形数据包检测装置包括:
捕获模块21,用于捕获目标网络的网络数据包;
识别模块22,用于对所述网络数据包进行协议识别,获取所述网络数据包的协议类型;
解析模块23,用于根据所述网络数据包的协议类型对所述网络数据包进行协议解析;
检测模块24,用于若协议解析失败,则确定所述网络数据包为畸形数据包并进行告警;若协议解析成功,则根据与所述协议类型对应的协议规范判断协议解析结果是否满足协议规范约束,若不满足协议规范约束,则确定所述网络数据包为畸形数据包并进行告警;若满足协议规范约束,则根据与目标网络对应的历史合法流量数据判断协议解析结果是否满足现场规范约束;若协议解析结果不满足现场规范约束,则确定所述网络数据包为畸形数据包并进行告警。
基于上述实施例的内容,在本实施例中,所述识别模块22,具体用于:
确定所述网络数据包对应的协议端口;
根据协议端口确定与所述协议端口对应的协议类型集合;
根据所述历史合法流量数据确定与所述协议端口对应的历史协议类型;
从所述协议类型集合中选择所述历史协议类型作为所述网络数据包的协议类型。
基于上述实施例的内容,在本实施例中,所述检测模块24在根据与所述协议类型对应的协议规范判断协议解析结果是否满足协议规范约束时,具体用于:
若与所述协议类型对应的协议规范中约束了协议中预设字段的取值约束条件,则判断所述协议解析结果中与所述预设字段对应的字段解析结果是否满足所述取值约束条件,若满足,则确定协议解析结果满足协议规范约束,若不满足,则确定协议解析结果不满足协议规范约束。
基于上述实施例的内容,在本实施例中,所述检测模块24在根据与目标网络对应的历史合法流量数据判断协议解析结果是否满足现场规范约束时,具体用于:
根据与目标网络对应的历史合法流量数据进行基于功能码、关键事件和点表的安全隐患判断,判断协议解析结果是否满足现场规范约束。
基于上述实施例的内容,在本实施例中,所述检测模块24还用于:
若判断获知满足现场规范约束,则将所述网络数据包加入至所述历史合法流量数据中。
基于上述实施例的内容,在本实施例中,所述检测模块24还用于:
在因协议解析结果不满足现场规范约束而确定所述网络数据包为畸形数据包并进行告警后,发送手工确认是否误报的提示信息,若接收到的反馈信息为误报,则将所述网络数据包标记为合法数据包,并将所述网络数据包加入至所述历史合法流量数据中。
基于上述实施例的内容,在本实施例中,所述检测模块24还用于:
在因协议解析结果不满足协议规范约束而确定所述网络数据包为畸形数据包并进行告警后,根据所述网络数据包的协议解析结果和与所述网络数据包存在关联关系的网络数据包的协议解析结果分析网络攻击者的攻击类型。
基于上述实施例的内容,在本实施例中,所述检测模块24还用于:
若产生的告警信息的条数大于预设阈值,则判断是否存在重复的告警信息,若是,则将相同的告警信息以预先设置的时间单位进行合并。
由于本发明实施例提供的畸形数据包检测装置,可以用于执行上述实施例所述的畸形数据包检测方法,其工作原理和有益效果类似,故此处不再详述,具体内容可参见上述实施例的介绍。
基于相同的发明构思,本发明又一实施例提供了一种电子设备,参见图11,所述电子设备具体包括如下内容:处理器901、存储器902、通信接口903和通信总线904;
其中,所述处理器901、存储器902、通信接口903通过所述通信总线904完成相互间的通信;
所述处理器901用于调用所述存储器902中的计算机程序,所述处理器执行所述计算机程序时实现上述畸形数据包检测方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述过程:捕获目标网络的网络数据包;对所述网络数据包进行协议识别,获取所述网络数据包的协议类型;根据所述网络数据包的协议类型对所述网络数据包进行协议解析;若协议解析失败,则确定所述网络数据包为畸形数据包并进行告警;若协议解析成功,则根据与所述协议类型对应的协议规范判断协议解析结果是否满足协议规范约束,若不满足协议规范约束,则确定所述网络数据包为畸形数据包并进行告警;若满足协议规范约束,则根据与目标网络对应的历史合法流量数据判断协议解析结果是否满足现场规范约束;若协议解析结果不满足现场规范约束,则确定所述网络数据包为畸形数据包并进行告警。
基于相同的发明构思,本发明又一实施例提供了一种非暂态计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述畸形数据包检测方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述过程:捕获目标网络的网络数据包;对所述网络数据包进行协议识别,获取所述网络数据包的协议类型;根据所述网络数据包的协议类型对所述网络数据包进行协议解析;若协议解析失败,则确定所述网络数据包为畸形数据包并进行告警;若协议解析成功,则根据与所述协议类型对应的协议规范判断协议解析结果是否满足协议规范约束,若不满足协议规范约束,则确定所述网络数据包为畸形数据包并进行告警;若满足协议规范约束,则根据与目标网络对应的历史合法流量数据判断协议解析结果是否满足现场规范约束;若协议解析结果不满足现场规范约束,则确定所述网络数据包为畸形数据包并进行告警。
此外,上述的存储器中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的畸形数据包检测方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (16)
1.一种畸形数据包检测方法,其特征在于,包括:
捕获目标网络的网络数据包;
根据协议端口和历史合法流量数据结合的方式对所述网络数据包进行协议识别,获取所述网络数据包的协议类型;
根据所述网络数据包的协议类型对所述网络数据包进行协议解析;
若协议解析失败,则确定所述网络数据包为畸形数据包并进行告警;若协议解析成功,则根据与所述协议类型对应的协议规范判断协议解析结果是否满足协议规范约束,若不满足协议规范约束,则确定所述网络数据包为畸形数据包并进行告警;若满足协议规范约束,则根据与目标网络对应的历史合法流量数据判断协议解析结果是否满足现场规范约束;若协议解析结果不满足现场规范约束,则确定所述网络数据包为畸形数据包并进行告警;
其中,所述对所述网络数据包进行协议识别,获取所述网络数据包的协议类型,具体包括:
确定所述网络数据包对应的协议端口;
根据协议端口确定与所述协议端口对应的协议类型集合;
根据所述历史合法流量数据确定与所述协议端口对应的历史协议类型;
从所述协议类型集合中选择所述历史协议类型作为所述网络数据包的协议类型。
2.根据权利要求1所述的畸形数据包检测方法,其特征在于,所述根据与所述协议类型对应的协议规范判断协议解析结果是否满足协议规范约束,具体包括:
若与所述协议类型对应的协议规范中约束了协议中预设字段的取值约束条件,则判断所述协议解析结果中与所述预设字段对应的字段解析结果是否满足所述取值约束条件,若满足,则确定协议解析结果满足协议规范约束,若不满足,则确定协议解析结果不满足协议规范约束。
3.根据权利要求1所述的畸形数据包检测方法,其特征在于,所述根据与目标网络对应的历史合法流量数据判断协议解析结果是否满足现场规范约束具体包括:
根据与目标网络对应的历史合法流量数据进行基于功能码、关键事件和点表的安全隐患判断,判断协议解析结果是否满足现场规范约束。
4.根据权利要求1~3任一项所述的畸形数据包检测方法,其特征在于,所述畸形数据包检测方法还包括:
若判断获知满足现场规范约束,则将所述网络数据包加入至所述历史合法流量数据中。
5.根据权利要求1~3任一项所述的畸形数据包检测方法,其特征在于,所述畸形数据包检测方法还包括:
在因协议解析结果不满足现场规范约束而确定所述网络数据包为畸形数据包并进行告警后,发送手工确认是否误报的提示信息,若接收到的反馈信息为误报,则将所述网络数据包标记为合法数据包,并将所述网络数据包加入至所述历史合法流量数据中。
6.根据权利要求1~3任一项所述的畸形数据包检测方法,其特征在于,所述畸形数据包检测方法还包括:
在因协议解析结果不满足协议规范约束而确定所述网络数据包为畸形数据包并进行告警后,根据所述网络数据包的协议解析结果和与所述网络数据包存在关联关系的网络数据包的协议解析结果分析网络攻击者的攻击类型。
7.根据权利要求1~3任一项所述的畸形数据包检测方法,其特征在于,所述畸形数据包检测方法还包括:
若产生的告警信息的条数大于预设阈值,则判断是否存在重复的告警信息,若是,则将相同的告警信息以预先设置的时间单位进行合并。
8.一种畸形数据包检测装置,其特征在于,包括:
捕获模块,用于捕获目标网络的网络数据包;
识别模块,用于根据协议端口和历史合法流量数据结合的方式对所述网络数据包进行协议识别,获取所述网络数据包的协议类型;
解析模块,用于根据所述网络数据包的协议类型对所述网络数据包进行协议解析;
检测模块,用于若协议解析失败,则确定所述网络数据包为畸形数据包并进行告警;若协议解析成功,则根据与所述协议类型对应的协议规范判断协议解析结果是否满足协议规范约束,若不满足协议规范约束,则确定所述网络数据包为畸形数据包并进行告警;若满足协议规范约束,则根据与目标网络对应的历史合法流量数据判断协议解析结果是否满足现场规范约束;若协议解析结果不满足现场规范约束,则确定所述网络数据包为畸形数据包并进行告警;
其中,所述识别模块,具体用于:
确定所述网络数据包对应的协议端口;
根据协议端口确定与所述协议端口对应的协议类型集合;
根据所述历史合法流量数据确定与所述协议端口对应的历史协议类型;
从所述协议类型集合中选择所述历史协议类型作为所述网络数据包的协议类型。
9.根据权利要求8所述的畸形数据包检测装置,其特征在于,所述检测模块在根据与所述协议类型对应的协议规范判断协议解析结果是否满足协议规范约束时,具体用于:
若与所述协议类型对应的协议规范中约束了协议中预设字段的取值约束条件,则判断所述协议解析结果中与所述预设字段对应的字段解析结果是否满足所述取值约束条件,若满足,则确定协议解析结果满足协议规范约束,若不满足,则确定协议解析结果不满足协议规范约束。
10.根据权利要求8所述的畸形数据包检测装置,其特征在于,所述检测模块在根据与目标网络对应的历史合法流量数据判断协议解析结果是否满足现场规范约束时,具体用于:
根据与目标网络对应的历史合法流量数据进行基于功能码、关键事件和点表的安全隐患判断,判断协议解析结果是否满足现场规范约束。
11.根据权利要求8~10任一项所述的畸形数据包检测装置,其特征在于,所述检测模块还用于:
若判断获知满足现场规范约束,则将所述网络数据包加入至所述历史合法流量数据中。
12.根据权利要求8~10任一项所述的畸形数据包检测装置,其特征在于,所述检测模块还用于:
在因协议解析结果不满足现场规范约束而确定所述网络数据包为畸形数据包并进行告警后,发送手工确认是否误报的提示信息,若接收到的反馈信息为误报,则将所述网络数据包标记为合法数据包,并将所述网络数据包加入至所述历史合法流量数据中。
13.根据权利要求8~10任一项所述的畸形数据包检测装置,其特征在于,所述检测模块还用于:
在因协议解析结果不满足协议规范约束而确定所述网络数据包为畸形数据包并进行告警后,根据所述网络数据包的协议解析结果和与所述网络数据包存在关联关系的网络数据包的协议解析结果分析网络攻击者的攻击类型。
14.根据权利要求8~10任一项所述的畸形数据包检测装置,其特征在于,所述检测模块还用于:
若产生的告警信息的条数大于预设阈值,则判断是否存在重复的告警信息,若是,则将相同的告警信息以预先设置的时间单位进行合并。
15.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述畸形数据包检测方法的步骤。
16.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至7任一项所述畸形数据包检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910989508.1A CN110808962B (zh) | 2019-10-17 | 2019-10-17 | 一种畸形数据包检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910989508.1A CN110808962B (zh) | 2019-10-17 | 2019-10-17 | 一种畸形数据包检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110808962A CN110808962A (zh) | 2020-02-18 |
CN110808962B true CN110808962B (zh) | 2022-04-29 |
Family
ID=69488559
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910989508.1A Active CN110808962B (zh) | 2019-10-17 | 2019-10-17 | 一种畸形数据包检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110808962B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111726341B (zh) * | 2020-06-02 | 2022-10-14 | 五八有限公司 | 一种数据检测方法、装置、电子设备及存储介质 |
CN112200465B (zh) * | 2020-10-14 | 2024-04-19 | 安徽继远软件有限公司 | 基于多媒体信息智能分析的电力ai方法及系统 |
CN114640496B (zh) * | 2021-11-26 | 2024-02-06 | 北京天融信网络安全技术有限公司 | 一种流量传输控制方法、装置、电子设备和存储介质 |
CN114760234B (zh) * | 2022-03-30 | 2024-05-10 | 中核武汉核电运行技术股份有限公司 | 一种工控系统协议解析结果的验证系统和方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013139678A1 (en) * | 2012-03-20 | 2013-09-26 | Telefonica, S.A. | A method and a system for network traffic monitoring |
CN105447389A (zh) * | 2015-11-11 | 2016-03-30 | 北京邮电大学 | 基于Peach平台的漏洞定位与快速重现 |
CN105763392A (zh) * | 2016-02-19 | 2016-07-13 | 中国人民解放军理工大学 | 一种基于协议状态的工控协议模糊测试方法 |
CN106911514A (zh) * | 2017-03-15 | 2017-06-30 | 江苏省电力试验研究院有限公司 | 基于iec60870‑5‑104协议的scada网络入侵检测方法及系统 |
CN107979567A (zh) * | 2016-10-25 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于协议分析的异常检测系统及方法 |
CN110147675A (zh) * | 2019-05-22 | 2019-08-20 | 杭州安恒信息技术股份有限公司 | 一种智能终端的安全检测方法及设备 |
-
2019
- 2019-10-17 CN CN201910989508.1A patent/CN110808962B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013139678A1 (en) * | 2012-03-20 | 2013-09-26 | Telefonica, S.A. | A method and a system for network traffic monitoring |
CN105447389A (zh) * | 2015-11-11 | 2016-03-30 | 北京邮电大学 | 基于Peach平台的漏洞定位与快速重现 |
CN105763392A (zh) * | 2016-02-19 | 2016-07-13 | 中国人民解放军理工大学 | 一种基于协议状态的工控协议模糊测试方法 |
CN107979567A (zh) * | 2016-10-25 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于协议分析的异常检测系统及方法 |
CN106911514A (zh) * | 2017-03-15 | 2017-06-30 | 江苏省电力试验研究院有限公司 | 基于iec60870‑5‑104协议的scada网络入侵检测方法及系统 |
CN110147675A (zh) * | 2019-05-22 | 2019-08-20 | 杭州安恒信息技术股份有限公司 | 一种智能终端的安全检测方法及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN110808962A (zh) | 2020-02-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110808962B (zh) | 一种畸形数据包检测方法及装置 | |
CN111669375B (zh) | 一种电力工控终端在线安全态势评估方法及系统 | |
CN110324323B (zh) | 一种新能源厂站涉网端实时交互过程异常检测方法及系统 | |
CN108924084B (zh) | 一种网络设备安全评估方法及装置 | |
CN106911514A (zh) | 基于iec60870‑5‑104协议的scada网络入侵检测方法及系统 | |
CN108923972B (zh) | 一种去重流量提示方法、装置、服务器及存储介质 | |
CN114143064B (zh) | 一种多源网络安全告警事件溯源与自动处置方法及装置 | |
CN101902349A (zh) | 一种检测端口扫描行为的方法和系统 | |
EP3534232A1 (en) | A safety monitoring method and apparatus for an industrial control system | |
CN117336055B (zh) | 一种网络异常行为检测方法、装置、电子设备及存储介质 | |
CN115618353B (zh) | 一种工业生产安全的识别系统及方法 | |
CN112822291A (zh) | 一种工控设备的监测方法与装置 | |
CN112153062A (zh) | 基于多维度的可疑终端设备检测方法及系统 | |
CN111526109B (zh) | 自动检测web威胁识别防御系统的运行状态的方法及装置 | |
CN110365717A (zh) | 基于hart-ip协议的工业入侵监测方法和系统 | |
CN117240598B (zh) | 攻击检测方法、装置、终端设备及存储介质 | |
CN113285824B (zh) | 一种监控网络配置命令安全性的方法及装置 | |
CN114584391A (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
CN112543177A (zh) | 一种网络攻击检测方法及装置 | |
CN111913430B (zh) | 工业控制系统控制行为检测防护方法和系统 | |
CN114866254B (zh) | 一种bmc安全防护方法、设备及可读存储介质 | |
CN118590314B (zh) | 基于人工智能的网络威胁检测方法、系统和介质 | |
CN113233269B (zh) | 电梯网络受攻击的诊断方法以及诊断装置 | |
CN117313109A (zh) | 一种基于异常告警的系统动态安全评估方法及系统 | |
CN117375918A (zh) | 基于协议交互的电力通信主被动安全防御探测方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: QAX Technology Group Inc. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |