CN111614611B - 一种用于电网嵌入式终端的网络安全审计方法及装置 - Google Patents
一种用于电网嵌入式终端的网络安全审计方法及装置 Download PDFInfo
- Publication number
- CN111614611B CN111614611B CN202010251014.6A CN202010251014A CN111614611B CN 111614611 B CN111614611 B CN 111614611B CN 202010251014 A CN202010251014 A CN 202010251014A CN 111614611 B CN111614611 B CN 111614611B
- Authority
- CN
- China
- Prior art keywords
- power grid
- embedded terminal
- white list
- time
- operation time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种用于电网嵌入式终端的网络安全审计方法及装置,通过对电网嵌入式终端的历史网络流量数据包进行分析,生成电网嵌入式终端操作时间白名单和操作周期白名单,在对当前电网网络流量数据进行实时审计时,将网络流量数据中的操作与操作时间白名单和操作周期白名单进行比对,若操作未在操作时间白名单中,则操作时间异常,若操作周期超出预先设置的范围,则操作周期异常,进而完成对当前电网网络流量数据的实时审计,解决对嵌入式终端的安全审计的需求。
Description
技术领域
本申请涉及安全审计领域,具体涉及一种用于电网嵌入式终端的网络安全审计方法,同时涉及一种用于电网嵌入式终端的网络安全审计装置。
背景技术
电网嵌入式终端设备的安全性关系到国计民生和国家的战略安全。在电网中的广泛使用,如电力工控系统中的PLC、RTU、HMI、工程师站、操作员站等。嵌入式终端设备在使电网更加网络化、智能化、多功能的同时,也带来了更多的安全风险。智能电网业务系统中存在大量基于单片机或嵌入式操作系统的设备,例如配电终端、输变电在线状态监测终端等。这些嵌入式终端具有一定的处理能力,支持网络接入和访问,而且部分系统的终端设备部署在开放环境或用户侧,缺少物理访问控制或控制不足,导致设备更容易被攻击者直接接触。这些设备与通用的IT系统不同,仅考虑实现业务功能,往往不具备完善的安全功能和安全保证测试。因此需要对电网嵌入式终端的运行状态进行实时的安全审计,及时识别网络攻击等问题。
发明内容
本申请提供一种用于电网嵌入式终端的网络安全审计方法及装置,解决对嵌入式终端的安全审计的需求。
本申请提供一种用于电网嵌入式终端的网络安全审计方法,包括:
获取电网嵌入式终端的网络流量数据;
根据预先生成的所述电网嵌入式终端操作时间白名单和操作周期白名单,实时审计所述电网嵌入式终端的网络流量数据;若所述网络流量数据包中存在操作时间限制,则在所述操作时间白名单中查找所述操作;若所述网络流量数据包中存在操作周期限制,则在所述操作周期白名单中查找所述操作。
优选的,在根据预先生成的所述电网嵌入式终端操作时间白名单和操作周期白名单,实时审计所述电网嵌入式终端的网络流量数据的步骤之前,还包括:
从电网嵌入式终端的历史网络流量中,筛选出带有时间戳信息的通信协议的数据包;
根据所述数据包,获得电网嵌入式终端操作时间特征和操作周期特征;根据所述操作时间特征和操作周期特征,分别生成所述电网嵌入式终端操作时间白名单和操作周期白名单。
优选的,电网嵌入式终端的历史网络流量,包括:
网络实体信息、电网嵌入式终端操作信息,以及电网嵌入式终端操作信息和操作流程信息。
优选的,网络实体信息,包括:电网嵌入式终端的IP地址、网络服务信息,以及网络连接信息。
优选的,电网嵌入式终端操作信息,包括:
所述电网嵌入式终端的协议应用层的网络数据包。
优选的,根据所述数据包,获得电网嵌入式终端操作时间特征和操作周期特征,分别生成所述电网嵌入式终端操作时间白名单和操作周期白名单,包括:
将所述相同协议类型的数据包,按照时间戳对应到时间轴上;
使用聚类算法对所述相同协议类型的数据包,按照时间轴位置进行聚类,获得电网嵌入式终端操作时间特征;
根据所述操作时间特征,生成所述电网嵌入式终端操作时间白名单;
根据所述相同协议类型的数据包出现的时间间隔,获得电网嵌入式终端操作周期特征;
根据所述操作周期特征,生成所述电网嵌入式终端操作周期白名单。
优选的,根据所述电网嵌入式终端操作时间白名单和操作周期白名单,实时审计网络流量数据;若所述网络流量数据包中存在操作时间限制,则在所述操作时间白名单中查找所述操作;若所述网络流量数据包中存在操作周期限制,则在所述操作周期白名单中查找所述操作,包括:
获取当前电网嵌入式终端的数据包;
从所述数据包中提取所述嵌入式终端的操作,以及操作时间;
若所述操作存在时间限制,则在所述操作时间白名单中查找所述操作;
若所述操作时间未在所述操作时间白名单中,则确定所述操作时间异常;
若所述操作存在周期限制,则将当前操作周期,与所述操作周期白名单中对应的操作周期进行对比,若对比结果超出预先设定的范围,则确定所述操作周期异常。
优选的,在确定所述操作时间异常和操作周期异常的步骤之后,还包括:
对应的发出电网嵌入式终端操作时间异常或操作周期异常告警信息。
本申请同时提供一种用于电网嵌入式终端的网络安全审计装置,包括:
网络流量数据获取单元,用于获取电网嵌入式终端的网络流量数据;
审计单元,用于根据所述电网嵌入式终端操作时间白名单和操作周期白名单,实时审计网络流量数据;若所述网络流量数据包中存在操作时间限制,则在所述操作时间白名单中查找所述操作;若所述网络流量数据包中存在操作周期限制,则在所述操作周期白名单中查找所述操作。
优选的,还包括:
告警子单元,用于对应的发出电网嵌入式终端操作时间异常或操作周期异常告警信息。
本申请提供一种用于电网嵌入式终端的网络安全审计方法及装置,通过对电网嵌入式终端的历史网络流量数据包进行分析,生成电网嵌入式终端操作时间白名单和操作周期白名单,在对当前电网网络流量数据进行实时审计时,将网络流量数据中的操作与操作时间白名单和操作周期白名单进行比对,若操作未在操作时间白名单中,则操作时间异常,若操作周期超出预先设置的范围,则操作周期异常,进而完成对当前电网网络流量数据的实时审计,解决对嵌入式终端的安全审计的需求。
附图说明
图1是本申请提供的一种用于电网嵌入式终端的网络安全审计方法的流程示意图;
图2是本申请提供的一种用于电网嵌入式终端的网络安全审计装置示意图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是本申请能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似推广,因此本申请不受下面公开的具体实施的限制。
图1为本申请提供的一种用于电网嵌入式终端的网络安全审计方法的流程示意图,下面结合图1对本申请提供的方法进行详细说明。
步骤S101,获取电网嵌入式终端的网络流量数据。
步骤S102,根据预先生成的所述电网嵌入式终端操作时间白名单和操作周期白名单,实时审计所述电网嵌入式终端的网络流量数据;若所述网络流量数据包中存在操作时间限制,则在所述操作时间白名单中查找所述操作;若所述网络流量数据包中存在操作周期限制,则在所述操作周期白名单中查找所述操作。
实时审计所述电网嵌入式终端的网络流量数据的步骤之前,首先从电网嵌入式终端的历史网络流量中,筛选出带有时间戳信息的通信协议的数据包;根据所述数据包,获得电网嵌入式终端操作时间特征和操作周期特征;根据所述操作时间特征和操作周期特征,分别生成所述电网嵌入式终端操作时间白名单和操作周期白名单。
电网嵌入式终端的历史网络流量,包括:网络实体信息、电网嵌入式终端操作信息,以及电网嵌入式终端操作信息和操作流程信息。网络实体信息由电网嵌入式终端网络数据包中的5元组(源IP、源端口、目的IP、目的端口、传输层协议)体现,包含电网嵌入式终端网络中出现的嵌入式终端的IP地址、网络服务以及网络连接等信息。电网嵌入式终端操作信息包含电网嵌入式终端协议应用层的网络数据包,通常包含有操作码、访问地址以及数据信息。
在网络交换机的镜像口抓取一段时间内的嵌入式终端的网络流量作为历史网络流量,解析网络流量里的数据包并分类。需要对网络适配器的监听,并对在这个网络适配器上进行通信的数据包进行捕获采集,也就是终端流量捕获功能。用于采集嵌入式终端流量的终端流量捕获功能监听网络适配器如“eth0”一段时间,这段时间的长度由用户确定,并采集捕获这段时间内在这个网络适配器上进行通信的所有数据包。
然后系统将捕获到的数据包按照被捕获的时间顺序保存在一个数据包 pcap文件中,等待后续的识别与解析。需要保存pcap文件以及保存提取到的各项特征值和协议类型识别结果的文件,以及保存这些数据包信息的数据库表格。
流量解析主要实现对网络会话的解析功能和协议的类型识别功能。网络会话解析功能主要是对终端流量捕获子模块中捕获到的数据包提取其源IP地址、目的IP地址、源端口号、目的端口号以及传输层协议类型特征值信息,并将这五项提取结果以五元组形式表示。协议的类型识别包括常用的传输层协议、网络层协议以及应用层协议的类型识别,其中应用层协议类别的识别应包括通用应用层协议类型和电力工控协议类型的识别,前者包括HTTP、FTP、SSH、IGMP、SNMP协议类型的识别,后者则包括GOOSE、SV、DNP3、IEC104四种特定电力工控协议类型的识别。首先够读取捕获的嵌入式设备网络流量pcap文件的内容。然后根据读取的pcap文件内容对上面列举的特征值信息进行提取以及对协议类型的识别。并且将提取的信息和协议类型识别结果也按照数据包时间戳的顺序保存在文件中,等待后续的审计规则生成。
从发生时间上总结特征,将所述相同协议类型的数据包,按照时间戳对应到时间轴上,使用聚类算法对所述相同协议类型的数据包,按照时间轴位置进行聚类,获得电网嵌入式终端操作时间特征,根据所述操作时间特征,生成电网嵌入式终端操作时间白名单:电网嵌入式终端操作时间白名单描述的是电网嵌入式终端设备的操作只能发生在特定时间段内;电网嵌入式终端操作时间白名单生成过程如下:
(1)将采集到的相同协议类型的嵌入式终端数据包按照时间戳对应到时间轴(0:00—23:59)上;
(2)使用K-means聚类算法对这些数据按照时间轴位置进行聚类,初始的K值选取1~5,并将初始点均匀分布;
(3)使用轮廓系数法判定是否存在时间特性。计算当前k的平均轮廓系数s(i)=(b(i)–a(i))/max{a(i),b(i)},其中a(i)是每个样本点i与其同一个簇内的所有其他元素距离的平均值,b(i)是样本点i与外簇b中所有点的平均距离。如果平均轮廓系数s(i)大于给定阈值S,则进入第4步;否则,生成全时间段白名单结束;
(4)将K个簇所形成的K个时间段作为该嵌入式终端操作出现的K个合法时间段,并生成如下所示格式的白名单。
从电网嵌入式终端操作周期上总结特征,根据所述相同协议类型的数据包出现的时间间隔,获得电网嵌入式终端操作周期特征,根据所述操作周期特征,生成所述电网嵌入式终端操作周期白名单。电网嵌入式终端操作周期白名单描述的是嵌入式终端设备的操作必须满足一定的周期性。嵌入式终端操作周期白名单生成过程如下:
(1)记录相同的嵌入式终端数据包出现的时间间隔,形成一个时间差序列Δt1,Δt2,...,Δtn;
电网嵌入式终端的操作是针对嵌入式终端设备在发生时间和周期上的合法检测。从当前网络流量数据包中提取所述嵌入式终端的操作,以及操作时间若所述操作存在时间限制,则在所述操作时间白名单中查找所述操作;若所述操作时间未在所述操作时间白名单中,则确定所述操作时间异常;若所述操作存在周期限制,则将当前操作周期,与所述操作周期白名单中对应的操作周期进行对比,若对比结果超出预先设定的范围,则确定所述操作周期异常,对应的发出电网嵌入式终端操作时间异常或操作周期异常告警信息。具体的包括:
(1)算法首先从嵌入式终端网络数据包中提取其嵌入式终端操作,同时记录其出现的时间。
(2)如果该嵌入式终端操作存在时间限制,则在其时间白名单内查找。
(3)查找不到,则认定为嵌入式终端操作时间异常,并给出嵌入式终端操作时间异常告警。
(4)如果该嵌入式终端操作存在周期限制,则结合周期白名单进行周期比对判定。做法是将本次出现的时间与上次出现的时间差和合法周期进行对比。
(5)如果周期比对超出一定范围,则认定为嵌入式终端操作周期异常。
基于同一发明构思,本申请同时提供一种用于电网嵌入式终端的网络安全审计装置200,如图2所示,包括:
网络流量数据获取单元210,用于获取电网嵌入式终端的网络流量数据;
审计单元220,用于根据所述电网嵌入式终端操作时间白名单和操作周期白名单,实时审计网络流量数据;若所述网络流量数据包中存在操作时间限制,则在所述操作时间白名单中查找所述操作;若所述网络流量数据包中存在操作周期限制,则在所述操作周期白名单中查找所述操作。
优选的,所述审计单元,包括:
数据包获取子单元,用于获取当前电网嵌入式终端的数据包;
操作及操作时间提取单元,用于从所述数据包中提取所述嵌入式终端的操作,以及操作时间;
查找子单元,若所述操作存在时间限制,则在所述操作时间白名单中查找所述操作;
操作时间异常确定子单元,若所述操作时间未在所述操作时间白名单中,则确定所述操作时间异常;
操作周期异常确定子单元,若所述操作存在周期限制,则将当前操作周期,与所述操作周期白名单中对应的操作周期进行对比,若对比结果超出预先设定的范围,则确定所述操作周期异常。
优选的,还包括:
告警子单元,用于对应的发出电网嵌入式终端操作时间异常或操作周期异常告警信息。
综上,本申请提供一种用于电网嵌入式终端的网络安全审计方法及装置,通过对电网嵌入式终端的历史网络流量数据包进行分析,生成电网嵌入式终端操作时间白名单和操作周期白名单,在对当前电网网络流量数据进行实时审计时,将网络流量数据中的操作与操作时间白名单和操作周期白名单进行比对,若操作未在操作时间白名单中,则操作时间异常,若操作周期超出预先设置的范围,则操作周期异常,进而完成对当前电网网络流量数据的实时审计,解决对嵌入式终端的安全审计的需求。
本申请提供的方法可广泛部署于配电、变电自动化等监控系统中,对这些系统中采用的嵌入式终端设备的自身和面临的安全威胁进行深入分析与检测,后期可进行全面的推广应用,将有更加广阔的应用前景。可逐步拓展应用到银行、铁路、水利、轨道交通等行业领域。
Claims (8)
1.一种用于电网嵌入式终端的网络安全审计方法,其特征在于,包括:
获取电网嵌入式终端的网络流量数据;
从电网嵌入式终端的历史网络流量中,筛选出带有时间戳信息的通信协议的数据包;
根据所述数据包,获得电网嵌入式终端操作时间特征和操作周期特征;根据所述操作时间特征和操作周期特征,分别生成所述电网嵌入式终端操作时间白名单和操作周期白名单,包括:
将相同协议类型的数据包,按照时间戳对应到时间轴上;
使用聚类算法对所述相同协议类型的数据包,按照时间轴位置进行聚类,获得电网嵌入式终端操作时间特征;
根据所述操作时间特征,生成所述电网嵌入式终端操作时间白名单;
根据所述相同协议类型的数据包出现的时间间隔,获得电网嵌入式终端操作周期特征;
根据所述操作周期特征,生成所述电网嵌入式终端操作周期白名单;
根据预先生成的所述电网嵌入式终端操作时间白名单和操作周期白名单,实时审计所述电网嵌入式终端的网络流量数据;若所述网络流量数据包中存在操作时间限制,则在所述操作时间白名单中查找所述操作;若所述网络流量数据包中存在操作周期限制,则在所述操作周期白名单中查找所述操作。
2.根据权利要求1所述的方法,其特征在于,电网嵌入式终端的历史网络流量,包括:
网络实体信息、电网嵌入式终端操作信息,以及电网嵌入式终端操作信息和操作流程信息。
3.根据权利要求2所述的方法,其特征在于,网络实体信息,包括:电网嵌入式终端的IP地址、网络服务信息,以及网络连接信息。
4.根据权利要求2所述的方法,其特征在于,电网嵌入式终端操作信息,包括:
所述电网嵌入式终端的协议应用层的网络数据包。
5.根据权利要求1所述的方法,其特征在于,根据所述电网嵌入式终端操作时间白名单和操作周期白名单,实时审计网络流量数据;若所述网络流量数据包中存在操作时间限制,则在所述操作时间白名单中查找所述操作;若所述网络流量数据包中存在操作周期限制,则在所述操作周期白名单中查找所述操作,包括:
获取当前电网嵌入式终端的数据包;
从所述数据包中提取所述嵌入式终端的操作,以及操作时间;
若所述操作存在时间限制,则在所述操作时间白名单中查找所述操作;
若所述操作时间未在所述操作时间白名单中,则确定所述操作时间异常;
若所述操作存在周期限制,则将当前操作周期,与所述操作周期白名单中对应的操作周期进行对比,若对比结果超出预先设定的范围,则确定所述操作周期异常。
6.根据权利要求5所述的方法,其特征在于,在确定所述操作时间异常和操作周期异常的步骤之后,还包括:
对应的发出电网嵌入式终端操作时间异常或操作周期异常告警信息。
7.一种用于电网嵌入式终端的网络安全审计装置,其特征在于,包括:
网络流量数据获取单元,用于获取电网嵌入式终端的网络流量数据;
从电网嵌入式终端的历史网络流量中,筛选出带有时间戳信息的通信协议的数据包;
根据所述数据包,获得电网嵌入式终端操作时间特征和操作周期特征;根据所述操作时间特征和操作周期特征,分别生成所述电网嵌入式终端操作时间白名单和操作周期白名单,包括:
将相同协议类型的数据包,按照时间戳对应到时间轴上;
使用聚类算法对所述相同协议类型的数据包,按照时间轴位置进行聚类,获得电网嵌入式终端操作时间特征;
根据所述操作时间特征,生成所述电网嵌入式终端操作时间白名单;
根据所述相同协议类型的数据包出现的时间间隔,获得电网嵌入式终端操作周期特征;
根据所述操作周期特征,生成所述电网嵌入式终端操作周期白名单;
审计单元,用于根据所述电网嵌入式终端操作时间白名单和操作周期白名单,实时审计网络流量数据;若所述网络流量数据包中存在操作时间限制,则在所述操作时间白名单中查找所述操作;若所述网络流量数据包中存在操作周期限制,则在所述操作周期白名单中查找所述操作。
8.根据权利要求7所述的装置,其特征在于,还包括:
告警子单元,用于对应的发出电网嵌入式终端操作时间异常或操作周期异常告警信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010251014.6A CN111614611B (zh) | 2020-04-01 | 2020-04-01 | 一种用于电网嵌入式终端的网络安全审计方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010251014.6A CN111614611B (zh) | 2020-04-01 | 2020-04-01 | 一种用于电网嵌入式终端的网络安全审计方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111614611A CN111614611A (zh) | 2020-09-01 |
CN111614611B true CN111614611B (zh) | 2022-11-08 |
Family
ID=72201554
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010251014.6A Active CN111614611B (zh) | 2020-04-01 | 2020-04-01 | 一种用于电网嵌入式终端的网络安全审计方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111614611B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115297033B (zh) * | 2022-07-20 | 2023-08-11 | 上海量讯物联技术有限公司 | 一种物联网终端流量审计方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106850637A (zh) * | 2017-02-13 | 2017-06-13 | 韩伟杰 | 一种基于流量白名单的异常流量检测方法 |
CN107612733A (zh) * | 2017-09-19 | 2018-01-19 | 杭州安恒信息技术有限公司 | 一种基于工控系统的网络审计和监测方法及其系统 |
CN109842628A (zh) * | 2018-12-13 | 2019-06-04 | 成都亚信网络安全产业技术研究院有限公司 | 一种异常行为检测方法及装置 |
WO2019220427A1 (en) * | 2018-05-17 | 2019-11-21 | Cyberbit Ltd. | An anomaly detection system and method |
CN110891055A (zh) * | 2019-11-20 | 2020-03-17 | 北京航空航天大学 | 一种基于规则树的工控网络白名单异常检测方法 |
-
2020
- 2020-04-01 CN CN202010251014.6A patent/CN111614611B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106850637A (zh) * | 2017-02-13 | 2017-06-13 | 韩伟杰 | 一种基于流量白名单的异常流量检测方法 |
CN107612733A (zh) * | 2017-09-19 | 2018-01-19 | 杭州安恒信息技术有限公司 | 一种基于工控系统的网络审计和监测方法及其系统 |
WO2019220427A1 (en) * | 2018-05-17 | 2019-11-21 | Cyberbit Ltd. | An anomaly detection system and method |
CN109842628A (zh) * | 2018-12-13 | 2019-06-04 | 成都亚信网络安全产业技术研究院有限公司 | 一种异常行为检测方法及装置 |
CN110891055A (zh) * | 2019-11-20 | 2020-03-17 | 北京航空航天大学 | 一种基于规则树的工控网络白名单异常检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111614611A (zh) | 2020-09-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105871832B (zh) | 一种基于协议属性的网络应用加密流量识别方法及其装置 | |
CN109167798B (zh) | 一种基于机器学习的家用物联网设备DDoS检测方法 | |
CN1652519B (zh) | 通信测量系统及其通信分析方法 | |
CN107623754B (zh) | 基于真伪MAC识别的WiFi采集系统及其方法 | |
US20090238088A1 (en) | Network traffic analyzing device, network traffic analyzing method and network traffic analyzing system | |
CN111935170A (zh) | 一种网络异常流量检测方法、装置及设备 | |
CN107426059B (zh) | Dpi设备特征库自动更新方法、系统、dpi设备及云端服务器 | |
CN105424395A (zh) | 设备故障的确定方法和装置 | |
CN112350846B (zh) | 一种智能变电站的资产学习方法、装置、设备及存储介质 | |
CN105337951A (zh) | 对系统攻击进行路径回溯的方法与装置 | |
CN111683097A (zh) | 一种基于两级架构的云网络流量监控系统 | |
CN111885106A (zh) | 一种基于终端设备特征信息的物联网安全管控方法及系统 | |
CN111654486A (zh) | 一种服务器设备判定识别方法 | |
CN111614611B (zh) | 一种用于电网嵌入式终端的网络安全审计方法及装置 | |
CN112532614A (zh) | 一种用于电网终端的安全监测方法和系统 | |
CN111294342A (zh) | 一种软件定义网络中DDos攻击的检测方法及系统 | |
US8826296B2 (en) | Method of supervising a plurality of units in a communications network | |
CN112512073A (zh) | 一种基于指纹识别技术的物联网设备异常检测方法 | |
CN110677327A (zh) | 一种基于芯片的rtp流量故障实时检测方法 | |
CN111478925B (zh) | 应用于工业控制环境的端口扫描检测方法、系统 | |
CN112448911A (zh) | 一种基于K-Means的正常Server IP白名单的挖掘方法 | |
CN115665259A (zh) | 一种加密http请求采集装置、系统及方法 | |
CN116346434A (zh) | 电力系统网络攻击行为监测准确度提升方法及系统 | |
CN115333915A (zh) | 一种面向异构主机的网络管控系统 | |
CN113807373B (zh) | 一种流量识别方法及装置、设备、存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |