CN111343211B - 基于网络流量的智能分析管控方法、系统、介质及设备 - Google Patents

基于网络流量的智能分析管控方法、系统、介质及设备 Download PDF

Info

Publication number
CN111343211B
CN111343211B CN202010434753.9A CN202010434753A CN111343211B CN 111343211 B CN111343211 B CN 111343211B CN 202010434753 A CN202010434753 A CN 202010434753A CN 111343211 B CN111343211 B CN 111343211B
Authority
CN
China
Prior art keywords
communication data
station
scheme
data
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010434753.9A
Other languages
English (en)
Other versions
CN111343211A (zh
Inventor
付从海
龚海澎
王庭宇
李明明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Yingdesaike Technology Co ltd
Original Assignee
Sichuan Yingdesaike Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Yingdesaike Technology Co ltd filed Critical Sichuan Yingdesaike Technology Co ltd
Priority to CN202010434753.9A priority Critical patent/CN111343211B/zh
Publication of CN111343211A publication Critical patent/CN111343211A/zh
Application granted granted Critical
Publication of CN111343211B publication Critical patent/CN111343211B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices

Abstract

本发明涉及一种基于网络流量的智能分析管控方法、系统、介质及设备。该发明通过在站控层网络的汇接处将站内通信数据通过交换机镜像到流量监测装置;对镜像后的站内通信数据进行过滤、特征匹配,生成告警信息并对告警信息进行处置;对镜像后的站内通信数据进行模型训练;通过训练的模型对站内通信数据进行通信判定,生成告警信息并对告警信息进行处置。本申请采用实时和非实时,发现厂站网络拓扑结构及装置信息;通过采集样本集,进行学习和训练,获取正常的通信特征,并对不满足已知正常通信特征的通信进行实时的过滤、分析、归类、告警、处置;为适应变化的网络通信,增加模型自动调整、优化、学习功能,以不断提高发现异常数据的准确性。

Description

基于网络流量的智能分析管控方法、系统、介质及设备
技术领域
本申请属于工控安全领域,具体而言,涉及基于网络流量的智能分析管控方法、系统、介质及设备。
背景技术
随着信息化和工业化融合的不断深入,工业控制系统从单机走向互联,从封闭走向开放,从自动化走向智能化,同时,工业控制系统的网络复杂度也在不断增加在生产力显著提高的同时,工业控制系统面临着日益严峻的网络安全威胁。由于工业控制系统的复杂度不断提高,首先加大了网络管理人员对于整个网络的管理难度,同时无法直观感知网络中的设备信息及状态;其次,在由于为了应对网络安全威胁,通常会将工业控制系统的实时生产控制区划分为独立的网络,进行隔离,然而由于一些其他原因会出现,设备的跨网访问或者设备的不正确接入,以及攻击者在攻击之前的嗅探等非正常通信,这些通信数据对网络的正常运行暂时无太大影响,但确是很严重的隐患,在当前的工业控制系统中很难及时发现并处理这类的安全隐患;再次,随着通信技术的发展,WIFI技术凭借自身的优势被广泛应用,在为人们带来广泛便利的同时,却带来了较大的安全隐患,尤其是在工业控制现场,无线热点的使用可以轻易突破隔离网络限制,将本应物理隔离的工业控制系统连接到互联网上,形成极大的安全隐患;最后由于电网不同网络分区的网络和业务换分不同等要求,对于监管系统也提出了在软件系统架构、数据展示、部署等方面的要求。
由于变电站工作环境特殊,目前没有相关流量监测分析系统满足电力环境的要求。存在以下问题:
1、潜在安全威胁或正在进行的安全事件发现的及时性以及自动处置问题。
2、根据职能数据分析模型,发现潜在异常数据问题。
3、发现异常/非法热点,及与热点相关的无线连接及通信问题。
4、智能识别厂站网络拓扑结构及装置信息问题。
5、跨区跨网部署问题。
发明内容
本申请提供一种基于网络流量的智能分析管控方法、系统、介质及设备,以解决现有技术存在的技术问题。它依据厂站(指电力系统中的发电厂、变电站)的全量通信数据,采用实时和非实时,智能与人工相结合的方式分析通信数据,发现厂站网络拓扑结构及装置信息;通过采集样本集,进行学习和训练,获取正常的通信特征,并对不满足已知正常通信特征的通信进行实时的过滤、分析、归类、告警、处置;为适应变化的网络通信,增加模型自动调整、优化、学习功能,以不断提高发现异常数据的准确性。
本申请的实施例通过如下方式实现:
基于网络流量的智能分析管控方法包括:
步骤1:通过在站控层网络的汇接处将站内通信数据通过交换机镜像到流量监测装置;
步骤2:执行方案1、方案2、方案3中的一种方案、两种方案或三种方案;方案1是对镜像后的站内通信数据进行过滤、特征匹配;方案2是对镜像后的站内通信数据进行模型训练,通过训练的模型对站内通信数据进行通信判定;方案3是通过对镜像后的监测装置的热点监测模块,发现并甄别热点的合法性,同时持续监测无线热点是否已经有无线设备接入,是否正在通过无线热点进行无线网络通讯;
步骤3:当执行方案1,若通信特征不匹配,则生成告警信息并对告警信息进行处理;当执行方案2,若通信判定不正常时,则生成告警信息并对告警信息进行处理;当执行方案3,若无线热点分别与无线设备有接入和通讯异常的情况时,生成告警信息并对告警信息进行处理。
优选的,所述的方法还包括:步骤4:通过对镜像后的站内通信数据分析,识别并展示网络拓扑结构及网络中装置信息。
优选的,所述步骤2中“对镜像后的站内通信数据进行过滤、特征匹配”内容的具体过程:
步骤201:分析镜像后的站内通信数据对应设备的检测设备是否在学习期;当处于学习期时,则对镜像后的数据进行102协议、103协议分析,并建立数据模型;否则,执行步骤202;
步骤202:将流量监测的通信数据与处于学习期内建立的所述数据模型进行通信特征匹配,若匹配,则进行站内通信数据存储;否则生成告警信息,执行步骤3。
优选的,所述步骤2中对镜像后的站内通信数据进行模型训练,通过训练的模型对站内通信数据进行通信判定具体包括:
步骤2001:判断镜像后的站内通信数据是否在对应的数据模型的预测值置信区间内;若通信数据在置信区间内,则判断镜像后的站内通讯数据是否异常,执行步骤2002;否则,执行步骤2003;
步骤2002:若镜像后的站内通讯数据异常,则生成告警信息,执行步骤3;否则,则结束;
步骤2003:收集达到阈值数量的镜像后的站内通信数据进行模型训练,执行步骤2001。
优选的,所述步骤2中通过对镜像后的监测装置的热点监测模块,发现并甄别热点的合法性,同时持续监测无线热点是否已经有无线设备接入,是否正在通过无线热点进行无线网络通讯具体包括:
步骤20001:热点监测模块检测站控层网络接入热点是否合法,若合法,则执行步骤20002;否则,生成告警信息,执行步骤3;其中,热点检测是通过无线网卡发现热点。
步骤20002:分析管控模块持续检测该热点;
步骤20003:分析管控模块判断是否有外部设备接入该热点,若有外部设备接入,则执行步骤20004;否则,返回步骤20002;
步骤20004:判断外部设备是否合法,若合法,则持续检测该设备,否则生成告警信息,执行步骤3。
优选的,所述步骤4具体包括:
步骤401:对所述镜像后的站内通信数据进行过滤,去除非真实设备通讯数据,根据通讯数据包获取该装置信息;
步骤402:判断已知厂站装置信息是否包括该装置信息;若包括,则封装后展示该装置信息;否则,则基于协议分析识别该装置,然后封装并展示该装置信息。
一种基于网络流量的智能分析管控系统包括:
镜像数据获取模块,用于通过在站控层网络的汇接处将站内通信数据通过交换机镜像到流量监测装置;
分析模块,用于执行方案1、方案2、方案3中的一种方案、两种方案或三种方案;方案1是对镜像后的站内通信数据进行过滤、特征匹配;方案2是对镜像后的站内通信数据进行模型训练,通过训练的模型对站内通信数据进行通信判定;方案3是通过对镜像后的监测装置的热点监测模块,发现并甄别热点的合法性,同时持续监测无线热点是否已经有无线设备接入,是否正在通过无线热点进行无线网络通讯;
告警模块,用于当执行方案1,若通信特征不匹配,则生成告警信息并对告警信息进行处理;当执行方案2,若通信判定为异常时,则生成告警信息并对告警信息进行处理;当执行方案3,若无线热点分别与无线设备有接入和通讯异常的情况时,生成告警信息并对告警信息进行处理。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述的基于网络流量的智能分析管控方法的步骤。
一种基于网络流量的智能分析管控设备包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现如上述任一项所述的基于网络流量的智能分析管控方法的步骤。
相对于现有的技术,本发明能够基于流量监测进行数据分析,做到一下内容:
1、实时发现潜在安全威胁或正在进行的攻击事件并自动处置。
2、智能模型训练与优化,发现异常数据。
3、发现网络中的设备信息及状态。
4、发现异常/非法热点,及与热点相关的无线连接及通信。
5、跨区跨网部署。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一方案流程图;
图2为本申请实施例提供的另一方案流程图;
图3为本申请实施例提供的第三方案流程图;
图4为本申请实施例提供的第四方案流程图;
图5为本申请实施例提供的系统分层架构图;
图6为本申请实施例提供的系统部署方案图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行描述。
基于网络流量的智能分析管控方法应用于各个需要应用场景,例如特定工业控制环境,如电力监控系统中智能厂站与常规厂站。本申请包括
步骤1:通过在站控层网络的汇接处将站内通信数据通过交换机镜像到流量监测装置;
步骤2:执行方案1、方案2、方案3中的一种方案、两种方案或三种方案;方案1是对镜像后的站内通信数据进行过滤、特征匹配;方案2是对镜像后的站内通信数据进行模型训练,通过训练的模型对站内通信数据进行通信判定;方案3是通过对镜像后的监测装置的热点监测模块,发现并甄别热点的合法性,同时持续监测无线热点是否已经有无线设备接入,是否正在通过无线热点进行无线网络通讯;
步骤3:当执行方案1,若通信特征不匹配,则生成告警信息并对告警信息进行处理;当执行方案2,若通信判定不正常时,则生成告警信息并对告警信息进行处理;当执行方案3,若无线热点分别与无线设备有接入和通讯异常的情况时,生成告警信息并对告警信息进行处理。
其中满足第一条件生成告警信息,告警信息进行处理指的是分析管控模块进行规则匹配与处置,并通知指定管理员或用户进行处理;
满足第二条件生成告警信息,告警信息进行处理指的是分析管控模块进行规则匹配与处置,并通知指定管理员或用户进行处理;
满足第三条件生成告警信息时,告警信息进行处理指的是分析管控模块进行规则匹配与处置,并通知指定管理员或用户进行处理。
上述所述规则匹配是根据告警类型、适用的告警等级、适用的设备范围等进行过滤,获取该类告警的处置规则(启用状态),并按照优先级进行排序,依据优先级最高的告警处置规则对当前产生的告警进行处置。处置方式包含:自动处置、延迟自动处置、人工处置(一键处置)、通知其他装置等方式。
为了详述上述实施例公开的基于网络流量的智能分析管控方法,“对镜像后的站内通信数据进行过滤、特征匹配;所述通信特征不匹配,生成告警信息并对告警信息进行处理”,如图1所示,本申请通过在站控层网络的汇接处将流量通过交换机镜像到流量监测装置,流量监测装置通过内置的分析模块,对站内通信数据进行过滤、特征匹配、告警分类、生成告警,实时上报智能分析管控系统通知用户当前网络中潜在的安全威胁或正在进行攻击,智能分析管控系统依据默认或自定义告警处置规则进行自动处置;具体包括:
步骤201:分析镜像后的站内通信数据对应设备的检测设备是否在学习期;当处于学习期时,则对镜像后的数据进行102协议、103协议分析,并建立数据模型;否则,执行步骤202;
其中,学习期是指在管理员指定的时间段内获取样本集的过程,并默认为在采样器获取的数据为正常数据,从而建立基本的判定模型,后续再根据实际的数据或人工介入进行实时的调整。
102协议全称为IEC61850标准,是一个变电站自动化系统通信体系标准;103协议全称为IEC60870-5-103规约(也为IEC103规约),是一个继电保护设备信息接口配套标准。
其中,经过102协议、103协议分析后,对已知处于协议黑名单或匹配已知异常通信特征等的通信数据进行过滤,避免对正常的数据模型训练造成影响;将过滤后的通信数据输入到搭建的神经网络中,进行模型训练,并得到数据模型。
步骤202:将流量监测的通信数据与处于学习期内建立的所述数据模型进行通信特征匹配,若匹配,则进行站内通信数据存储;否则生成告警信息,执行步骤3;
其中,通信特征匹配具体基于包长、时间差维度与已有模型进行匹配。
步骤203:所述智能分析管控系统接收告警信息,并对告警信息进行规则匹配,并通知指定管理员或用户。
其中,对镜像后的站内通信数据进行过滤、特征匹配;所述通信特征不匹配,生成告警信息时,告警信息的规则匹配具体根据告警类型、适用的告警等级、适用的设备范围等进行过滤,获取该类告警的处置规则(启用状态),并按照优先级进行排序,依据优先级最高的告警处置规则对当前产生的告警进行处置。
处置方式包含:自动处置、延迟自动处置、人工处置(一键处置)、通知其他装置等方式。
为了详述上述实施例公开的基于网络流量的智能分析管控方法,关于“对镜像后的站内通信数据进行模型训练,通过训练的模型对站内通信数据进行通信判定,当所述通信判定不正常,生成告警信息并对告警信息进行处理”具体过程如图2,本申请在站控层网络的汇接处将流量通过交换机镜像到流量监测装置,将流量数据发送至智能分析管控系统的智能数据分析服务,智能数据分析服务进行模型训练、调优、通信判定,并将判定异常数据上报智能分析管控系统通知用户当前网络通信中潜在的异常通信信息,智能分析管控系统依据默认或自定义告警处置规则进行自动处置,关于步骤2 中“对镜像后的站内通信数据进行模型训练,通过训练的模型对站内通信数据进行通信判定”具体包括:
步骤2001:判断镜像后的站内通信数据是否在对应的数据模型的预测值置信区间内;若通信数据在置信区间内,则镜像后的站内通讯数据正常,执行步骤2002;否则,执行步骤2003;
其中,置信区间指的是允许的误差值范围。
步骤2002:若镜像后的站内通讯数据异常,则生成告警信息,执行步骤3;否则,则结束;
其中,对镜像后的站内通信数据进行模型训练,通过训练的模型对站内通信数据进行通信判定,当所述通信判定不正常,生成告警信息并对告警信息进行处理。
步骤2003:收集达到阈值数量的镜像后的站内通信数据进行模型训练,执行步骤2001。
其中,模型训练过程是:基于已搭建的神经网络,将通讯数据输入到神经网络模型训练。
为了详述上述实施例公开的基于网络流量的智能分析管控方法,关于“通过对镜像后的监测装置的热点监测模块,发现并甄别热点的合法性,同时持续监测无线热点是否已经有无线设备接入,是否正在通过无线热点进行无线网络通讯,当无线热点分别与无线设备有接入和通讯异常,生成告警信息并对告警信息进行处理”具体如图3,通过对镜像后的监测装置的热点监测模块,发现并甄别热点的合法性,同时持续监测无线热点是否已经有无线设备接入,是否正在通过无线热点进行无线网络通讯并实时上报智能分析管控系统,生成告警信息,智能分析管控系统结合通知和规则处置对此类安全威胁进行通知,具体包括:
步骤20001:热点监测模块检测站控层网络接入热点是否合法,若合法,则执行步骤20002;否则,生成告警信息,执行步骤3;其中,热点检测是通过无线网卡发现热点。
步骤20002:分析管控模块持续检测该热点;
步骤20003:分析管控模块判断是否有外部设备接入该热点,若有外部设备接入,则执行步骤20004;否则,返回步骤20002;
步骤20004:判断外部设备是否合法,若合法,则持续检测该设备,否则生成告警信息,执行步骤3;
其中,步骤20004中所述持续检测该设备指的是持续检测该设备接入该热点的状态;
判断外部设备是否合法具体根据外部设备的发现时间点(监测设备处于学习期/工作期)是否在SCD/IP映射表包含、IP信息、网段信息、通信方式、通信内容等综合判定得到装置合法性的置信值,将至置信值规划到0-100的范围,根据处于不同置信区间的来判定外部设备的合法性。
其中,通过对镜像后的监测装置的热点监测模块,发现并甄别热点的合法性,同时持续监测无线热点是否已经有无线设备接入,是否正在通过无线热点进行无线网络通讯,当无线热点分别与无线设备有接入和通讯异常,生成告警信息并对告警信息进行处理时,生成告警信息,分析管控模块进行规则匹配与处置,并通知指定管理员或用户进行处理。其中,此处规则匹配与处置是否合法具体根据告警类型、适用的告警等级、适用的设备范围等进行过滤,获取该类告警的处置规则(启用状态),并按照优先级进行排序,依据优先级最高的告警处置规则对当前产生的告警进行处置。处置方式包含:自动处置、延迟自动处置、人工处置(一键处置)、通知其他装置等方式。
为了详述上述实施例公开的基于网络流量的智能分析管控方法,关于“通过对镜像后的站内通信数据分析,识别并展示网络拓扑结构及网络中装置信息”具体步骤如图4,通过在站控层网络的汇接处将流量通过交换机镜像到流量监测装置,通过智能识别网络拓扑结构及网络中装置信息,同时,支持人工校正与智能识别相结合的方式,已达到更准确更直观的展示厂站网络中的拓扑结构和装置信息,具体包括:
步骤401:对所述镜像后的站内通信数据进行过滤,去除非真实设备通讯数据,根据通讯数据包获取该装置信息;
其中,去除非真实设备通讯数据指的是过滤掉广播包、组播包、ARP包或者不存在双向通信数据包的装置。
其中,装置信息指的是,装置的名称、描述、类型、型号、生产厂商、网段、所属网、所属区等。
步骤402:判断已知厂站装置信息是否包括该装置信息;若包括,则封装后展示该装置信息;否则,则基于协议分析识别该装置,然后封装后展示该装置信息。
其中,封装是根据厂站提供的SCD文件、IP映射表等已有的网络建设信息获取厂站中已包含或应包含的装置的基本信息。
其中,基于协议分析识别该装置并封装该装置信息具体过程是:基于通讯包协议(例如走102端口、103端口的协议头通讯)、Mac特征知识库(某些厂商的Mac地址存在一定的规律性)、内容(内容知识库匹配等方式)、TTL等获取装置信息。
为了详述上述实施例公开的基于网络流量的智能分析管控方法,本申请对应保护一种基于网络流量的智能分析管控系统包括:
镜像数据获取模块,用于通过在站控层网络的汇接处(汇接处通过如图5中数据监测与采集部分进行数据采集)将站内通信数据通过交换机镜像到流量监测装置(例如图5中业务服务化层部分);
分析模块,用于执行方案1、方案2、方案3中的一种方案、两种方案或三种方案;方案1是对镜像后的站内通信数据进行过滤、特征匹配;方案2是对镜像后的站内通信数据进行模型训练,通过训练的模型对站内通信数据进行通信判定;方案3是通过对镜像后的监测装置的热点监测模块,发现并甄别热点的合法性,同时持续监测无线热点是否已经有无线设备接入,是否正在通过无线热点进行无线网络通讯;
告警模块,用于当执行方案1,若通信特征不匹配,则生成告警信息并对告警信息进行处理;当执行方案2,若通信判定不正常时,则生成告警信息并对告警信息进行处理;当执行方案3,若无线热点分别与无线设备有接入和通讯异常的情况时,生成告警信息并对告警信息进行处理。
本申请实施例还包括:厂站网络拓扑模块,用于通过对镜像后的站内通信数据分析,识别并展示网络拓扑结构及网络中装置信息。
其中,如图5所述,所述基于网络流量的智能分析管控系统完成态势可视化、业务服务化、数据监测与采集以及分布式存储等功能。
1)分布式存储所有的服务提供数据的存储功能;分布式存储,存储系统运行期间所有的数据,提供数据的整体存储服务。
2)业务服务化层将采集到的数据进行过滤、分析等,通过服务restful接口规范的方式提供给态势可视化(web)进行友好呈现。业务服务化,提供系统基础的支撑功能,并提供数据分析、告警管理、态势评估等核心功能,采用微服务部署方式。
3)数据监测与采集为系统分析提供基础业务数据支撑,通过消息总线的方式提供给业务服务化层;数据监测与采集,包括部署在各个厂站的监测设备,用于采集厂站中各区、各网的通讯数据,以及部分数据分析与过滤功能。
4)态势可视化提供下层服务数据的可视化展示。
为了详述上述实施例公开的基于网络流量的智能分析管控系统,如图6所述,系统支持跨区跨网部署;采用双中心模式:
三区中心系统负责数据的展示;二区中心系统除了数据展示,还提供管理功能。
二区中心系统与三区中心系统在满足二区、三区不可直接互通的前提下,提供数据同步服务,并满足实时性要求。
同时,二区中心系统屏蔽业务场景中的多平面(不同网络规划,互为不可达的子网)问题,在满足隔离设备前提下,二区三区之间通过轻量级RPC进行数据同步服务。
站控层网络的汇接处通过监测设备形成检测数据,并将检测的数据通过消息总线方式统一汇总到中心系统,提供统一的管理与数据存储分析。
两个中心系统能实现上述步骤2和3功能,除此外,还可以实现4的功能。一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述的基于网络流量的智能分析管控方法的步骤。
一种基于网络流量的智能分析管控设备包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现如上述任一项所述的基于网络流量的智能分析管控方法的步骤。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (7)

1.一种基于网络流量的智能分析管控方法,其特征在于包括:
步骤1:通过在站控层网络的汇接处将站内通信数据通过交换机镜像到流量监测装置;
步骤2:执行方案1、方案2、方案3中的一种方案、两种方案或三种方案,其中执行方案1、方案2、方案3中的任意两种方案时,所述任意两种方案是同时执行的;执行方案1、方案2、方案3中的三种方案时,所述三种方案是同时执行的;方案1是对镜像后的站内通信数据进行过滤、特征匹配;方案2是对镜像后的站内通信数据进行模型训练,通过训练的模型对站内通信数据进行通信判定;方案3是通过对镜像后的监测装置的热点监测模块,发现并甄别热点的合法性,同时持续监测无线热点是否已经有无线设备接入,是否正在通过无线热点进行无线网络通讯;
步骤3:当执行方案1,若通信特征不匹配,则生成告警信息并对告警信息进行处理;当执行方案2,若通信判定不正常时,则生成告警信息并对告警信息进行处理;当执行方案3,若无线热点分别与无线设备有接入和通讯异常的情况时,生成告警信息并对告警信息进行处理;
所述步骤2中“对镜像后的站内通信数据进行过滤、特征匹配”具体过程:
步骤201:分析镜像后的站内通信数据对应设备的检测设备是否在学习期;当处于学习期时,则对镜像后的数据进行102协议、103协议分析,并建立数据模型;否则,执行步骤202;
步骤202:将流量监测的通信数据与处于学习期内建立的所述数据模型进行通信特征匹配,若匹配,则进行站内通信数据存储;否则生成告警信息,执行步骤3;
所述步骤2中“对镜像后的站内通信数据进行模型训练,通过训练的模型对站内通信数据进行通信判定”具体过程包括:
步骤2001:判断镜像后的站内通信数据是否在对应的数据模型的预测值置信区间内;若通信数据在置信区间内,则判断镜像后的站内通讯数据是否异常,执行步骤2002;否则,执行步骤2003;
步骤2002:若镜像后的站内通讯数据异常,则生成告警信息,执行步骤3;否则,则结束;
步骤2003:收集达到阈值数量的镜像后的站内通信数据进行模型训练,执行步骤2001。
2.如权利要求1所述的方法,其特征在于还包括:
步骤4:通过对镜像后的站内通信数据分析,识别并展示网络拓扑结构及网络中装置信息。
3.如权利要求1所述的方法,其特征在于所述步骤2中通过对镜像后的监测装置的热点监测模块,发现并甄别热点的合法性,同时持续监测无线热点是否已经有无线设备接入,是否正在通过无线热点进行无线网络通讯具体包括:
步骤20001:热点监测模块检测站控层网络接入热点是否合法,若合法,则执行步骤20002;否则,生成告警信息,执行步骤3;
步骤20002:分析管控模块持续检测该热点;
步骤20003:分析管控模块判断是否有外部设备接入该热点,若有外部设备接入,则执行步骤20004;否则,返回步骤20002;
步骤20004:判断外部设备是否合法,若合法,则持续检测该设备,否则生成告警信息,执行步骤3。
4.如权利要求2所述的方法,其特征在于所述步骤4具体包括:
步骤401:对所述镜像后的站内通信数据进行过滤,去除非真实设备通讯数据,根据通讯数据包获取该装置信息;
步骤402:判断已知厂站装置信息是否包括该装置信息;若包括,则封装后展示该装置信息;否则,则基于协议分析识别该装置,然后封装并展示该装置信息。
5.一种基于网络流量的智能分析管控系统,其特征在于,包括:
镜像数据获取模块,用于通过在站控层网络的汇接处将站内通信数据通过交换机镜像到流量监测装置;
分析模块,用于执行方案1、方案2、方案3中的一种方案、两种方案或三种方案;其中执行方案1、方案2、方案3中的任意两种方案时,所述任意两种方案是同时执行的;执行方案1、方案2、方案3中的三种方案时,所述三种方案是同时执行的;方案1是对镜像后的站内通信数据进行过滤、特征匹配;方案2是对镜像后的站内通信数据进行模型训练,通过训练的模型对站内通信数据进行通信判定;方案3是通过对镜像后的监测装置的热点监测模块,发现并甄别热点的合法性,同时持续监测无线热点是否已经有无线设备接入,是否正在通过无线热点进行无线网络通讯;
告警模块,用于当执行方案1,若通信特征不匹配,则生成告警信息并对告警信息进行处理;当执行方案2,若通信判定为异常时,则生成告警信息并对告警信息进行处理;当执行方案3,若无线热点分别与无线设备有接入和通讯异常的情况时,生成告警信息并对告警信息进行处理;
所述方案1中“对镜像后的站内通信数据进行过滤、特征匹配”具体过程:
步骤201:分析镜像后的站内通信数据对应设备的检测设备是否在学习期;当处于学习期时,则对镜像后的数据进行102协议、103协议分析,并建立数据模型;否则,执行步骤202;
步骤202:将流量监测的通信数据与处于学习期内建立的所述数据模型进行通信特征匹配,若匹配,则进行站内通信数据存储;否则生成告警信息,执行步骤3;
所述方案2中“对镜像后的站内通信数据进行模型训练,通过训练的模型对站内通信数据进行通信判定”内容具体包括:
步骤2001:判断镜像后的站内通信数据是否在对应的数据模型的预测值置信区间内;若通信数据在置信区间内,则判断镜像后的站内通讯数据是否异常,执行步骤2002;否则,执行步骤2003;
步骤2002:若镜像后的站内通讯数据异常,则生成告警信息,执行步骤3;否则,则结束;
步骤2003:收集达到阈值数量的镜像后的站内通信数据进行模型训练,执行步骤2001。
6.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述的基于网络流量的智能分析管控方法的步骤。
7.一种基于网络流量的智能分析管控设备,其特征在于,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现如权利要求1至4任一项所述的基于网络流量的智能分析管控方法的步骤。
CN202010434753.9A 2020-05-21 2020-05-21 基于网络流量的智能分析管控方法、系统、介质及设备 Active CN111343211B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010434753.9A CN111343211B (zh) 2020-05-21 2020-05-21 基于网络流量的智能分析管控方法、系统、介质及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010434753.9A CN111343211B (zh) 2020-05-21 2020-05-21 基于网络流量的智能分析管控方法、系统、介质及设备

Publications (2)

Publication Number Publication Date
CN111343211A CN111343211A (zh) 2020-06-26
CN111343211B true CN111343211B (zh) 2020-10-16

Family

ID=71187601

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010434753.9A Active CN111343211B (zh) 2020-05-21 2020-05-21 基于网络流量的智能分析管控方法、系统、介质及设备

Country Status (1)

Country Link
CN (1) CN111343211B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112422568B (zh) * 2020-11-19 2022-09-13 国网宁夏电力有限公司电力科学研究院 新能源厂站非法网络通道的识别方法及厂站系统
CN112822683B (zh) * 2020-12-31 2023-04-07 四川英得赛克科技有限公司 一种利用移动网络进行非法外联的检测方法
CN113259202A (zh) * 2021-06-28 2021-08-13 四川新网银行股份有限公司 一种监控不安全文件共享的方法与系统
CN113612764B (zh) * 2021-07-30 2023-05-23 广西电网有限责任公司 基于回复确认机制的电网监控系统数据跨区可靠传输方法
CN113794774A (zh) * 2021-09-15 2021-12-14 厦门畅合赢文化传媒有限公司 一种基于网络视听新媒体的流量监测系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109768889A (zh) * 2019-01-16 2019-05-17 高正民 一种可视化安全管理智慧运维平台
CN110113336A (zh) * 2019-05-06 2019-08-09 四川英得赛克科技有限公司 一种用于变电站网络环境的网络流量异常分析与识别方法
CN110808865A (zh) * 2019-11-13 2020-02-18 北京理工大学 一种被动工控网络拓扑发现方法及工控网络安全管理系统
CN111049843A (zh) * 2019-12-18 2020-04-21 国网浙江省电力有限公司宁波供电公司 一种智能变电站网络异常流量分析方法
CN111049762A (zh) * 2019-12-23 2020-04-21 上海金仕达软件科技有限公司 数据采集方法、装置、存储介质及交换机

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109768889A (zh) * 2019-01-16 2019-05-17 高正民 一种可视化安全管理智慧运维平台
CN110113336A (zh) * 2019-05-06 2019-08-09 四川英得赛克科技有限公司 一种用于变电站网络环境的网络流量异常分析与识别方法
CN110808865A (zh) * 2019-11-13 2020-02-18 北京理工大学 一种被动工控网络拓扑发现方法及工控网络安全管理系统
CN111049843A (zh) * 2019-12-18 2020-04-21 国网浙江省电力有限公司宁波供电公司 一种智能变电站网络异常流量分析方法
CN111049762A (zh) * 2019-12-23 2020-04-21 上海金仕达软件科技有限公司 数据采集方法、装置、存储介质及交换机

Also Published As

Publication number Publication date
CN111343211A (zh) 2020-06-26

Similar Documents

Publication Publication Date Title
CN111343211B (zh) 基于网络流量的智能分析管控方法、系统、介质及设备
US10505819B2 (en) Method and apparatus for computing cell density based rareness for use in anomaly detection
US20220225101A1 (en) Ai cybersecurity system monitoring wireless data transmissions
US20190014137A1 (en) IoT DEVICE SECURITY
CN103430483B (zh) 用于确定通信系统中的关联事件的技术
US7295524B1 (en) Methods, apparatuses and systems facilitating management of airspace in wireless computer network environments
CN103036733B (zh) 非常规网络接入行为的监测系统及监测方法
CN113904862A (zh) 分布式列车控制网络入侵检测方法、系统、存储介质
CN108063753A (zh) 一种信息安全监测方法及系统
CN107995192B (zh) 一种网络边界违规内联的检测与阻断系统
CN109104438B (zh) 窄带物联网中的僵尸网络预警方法、装置及可读存储介质
CN102447570A (zh) 一种基于健康度分析的监控装置及方法
WO2004028121A2 (en) System and method for wireless local area network monitoring and intrusion detection
CA2484041A1 (en) Method and system for wireless intrusion detection
CN110138770B (zh) 一种基于物联网威胁情报生成和共享系统及方法
CN111600863B (zh) 网络入侵检测方法、装置、系统和存储介质
CN110891283A (zh) 一种基于边缘计算模型的小基站监控装置及方法
CN112350846B (zh) 一种智能变电站的资产学习方法、装置、设备及存储介质
EP4087201A1 (en) Method and apparatus for collecting network traffic in wireless communication system
CN108848448A (zh) 一种无线网络故障诊断系统和方法
CN111542083A (zh) 一种通过工业无线网空口采集和分析的方法
CN111818021B (zh) 一种基于新一代信息技术的配置信息安全防护系统与方法
CN111565196B (zh) 一种KNXnet/IP协议入侵检测方法、装置、设备及介质
Meng et al. Building a wireless capturing tool for WiFi
Joshi et al. 5G Technology

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: Room 1101, 11 / F, unit 2, building 1, No. 777, north section of Yizhou Avenue, Chengdu hi tech Zone, China (Sichuan) pilot Free Trade Zone, Chengdu 610041

Applicant after: SICHUAN YINGDESAIKE TECHNOLOGY Co.,Ltd.

Address before: 610041 1, 3, 1, 366 north section of lakeside road, Tianfu New District, Chengdu, Sichuan

Applicant before: SICHUAN YINGDESAIKE TECHNOLOGY Co.,Ltd.

GR01 Patent grant
GR01 Patent grant