CN112804239B - 一种流量安全分析建模方法和系统 - Google Patents

一种流量安全分析建模方法和系统 Download PDF

Info

Publication number
CN112804239B
CN112804239B CN202110074053.8A CN202110074053A CN112804239B CN 112804239 B CN112804239 B CN 112804239B CN 202110074053 A CN202110074053 A CN 202110074053A CN 112804239 B CN112804239 B CN 112804239B
Authority
CN
China
Prior art keywords
flow
traffic
packet
analysis
threat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110074053.8A
Other languages
English (en)
Other versions
CN112804239A (zh
Inventor
尚金龙
卢黎芳
马福艳
刘伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Weiping Information Security Evaluation Technology Co ltd
Original Assignee
Shandong Weiping Information Security Evaluation Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Weiping Information Security Evaluation Technology Co ltd filed Critical Shandong Weiping Information Security Evaluation Technology Co ltd
Priority to CN202110074053.8A priority Critical patent/CN112804239B/zh
Publication of CN112804239A publication Critical patent/CN112804239A/zh
Application granted granted Critical
Publication of CN112804239B publication Critical patent/CN112804239B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/004Artificial life, i.e. computing arrangements simulating life
    • G06N3/006Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Molecular Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Medical Informatics (AREA)
  • Biomedical Technology (AREA)

Abstract

本发明提出了一种流量安全分析建模方法和系统,该方法包括:按照不同的协议将流量导入旁路流量镜像所对应的协议池,在协议池中对所述流量进行压缩后放入缓存中;将流量分发用于威胁分析,威胁分析包括流量拆包后,对流量包内容和流量包频率分别进行分析形成流量威胁模型;通过可信计算部件对所述流量威胁模型以加密和解密的方式实现流量传输,同时提取异常流量的特征信息,采用机器学习和免疫的方法对当前及未来异常流量的特征信息进行模型计算形成流量安全模型。基于该方法,还提出了一种流量安全分析建模系统。本发明采用N‑Tier的方式分层,在使用工控协议的网络流量传输过程中,基于网络流量镜像旁路体系,对网络流量实现无侵入式镜像。

Description

一种流量安全分析建模方法和系统
技术领域
本发明属于工业控制网络安全技术领域,特别涉及一种流量安全分析建模方法和系统。
背景技术
在工控生产系统运行期间,各类型设备固件通过固有的协议执行相互通信,一般常见工控协议中包含了大量的命令字,如读取、写入数据等。工控协议的特性是面向命令、面向功能、轮询应答式,攻击者只需要掌握协议构造方式,并接入到了工控网络中,便可以通过协议对目标设备的任意数据进行篡改。而高级协议约定的自定义功能往往会给用户安全带来更多的威胁,如Modbus协议的从机诊断命令将会造成从机设备切换到侦听模式、CIP协议某些命令字还能导致设备直接重启、S7协议的STOP CPU功能将会导致PLC程序运行停止,在大多数的情况下用户在上位机进行组态时仅会使用协议的某些读取数据功能和固定范围、固定地址的写数据功能,而协议栈上更多的功能则不会应用于系统集成中。
如图1给出了现有技术中工控行业安全检测的方法流程图。针对工控行业的安全检测中,行业内通用做法有两种,一是直接接入工控生产系统的网络设备中进行侵入式探测和体检,对生产设备的运行带来极大的安全隐患,二是流量分析都是基于流量统计特征来对周期性进行说明,没有深入到数据包的字段和字段所存储的内存及缓存模型里来探寻工控流量的安全特性。
发明内容
为了解决上述技术问题,本发明提出了一种流量安全分析建模方法和系统,基于网络流量镜像旁路体系,对网络流量实现无侵入式镜像。
为实现上述目的,本发明采用以下技术方案:
一种流量安全分析建模方法,包括以下步骤:
按照不同的协议将流量导入旁路流量镜像所对应的协议池,在协议池中对所述流量进行压缩后放入缓存中;
将流量分发用于威胁分析,所述威胁分析包括流量拆包后,对流量包内容和流量包频率分别进行分析形成流量威胁模型;
通过可信计算部件对所述流量威胁模型以加密和解密的方式实现流量传输,同时提取异常流量的特征信息,采用机器学习和免疫的方法对当前及未来异常流量的特征信息进行模型计算形成流量安全模型。
进一步的,所述按照不同的协议将流量导入旁路流量镜像所对应的协议池之前还包括对协议进行池化分类,分为共有协议池和私有协议池。
进一步的,所述在协议池中对所述流量进行无损压缩后放入缓存中的过程为:
首先对流量进行无损压缩;
然后以网络包大小为阈值构建多级缓存容器,所述多级缓存容器串联后构成塔式缓存结构;
无损压缩后的流量放入所述塔式缓存中。
进一步的,所述对流量包内容分析的过程为:
基于N-gram模型,将流量包的内容进行编码作为特定字符,并统计得到当前不同的流量包的共现概率;
结合所述共现概率判断所述当前不同的流量包的合理性,并根据阈值实时更新所述共现概率。
进一步的,所述流量包频率分析的过程为:
预先对流量包的历史数据,计算均值和标准差;
基于k-sigma方法,收集内容相同时间间隔为1S的当前流量包,然后判断当前流量包的频率;
结合所述共现概率,区别正常数据包和异常数据包,并根据区别的结果实时更新流量包的频率。
进一步的,所述通过可信计算部件对所述流量威胁模型以加密和解密的方式实现流量传输的过程为:可信计算部件以密码为基因,使用当前网络流量包的本地密钥表中的索引,附加到下一个网络流量包中作为加密密钥的数据,最终实现当前网络流量的完全加密,通过密钥对比分析,实现流量识别、流量状态度量和流量加密传输。
本发明还提出了一种流量安全分析建模系统,包括工控网络旁路模块、威胁分析模块和可信根计算模块;
所述工控网络旁路模块用于按照不同的协议将流量导入旁路流量镜像所对应的协议池,在协议池中对所述流量进行压缩后放入缓存中;将流量分发用于威胁分析,
所述威胁分析模块用于流量拆包后,对流量包内容和流量包频率分别进行分析形成流量威胁模型;
所述可信根计算模块用于通过可信计算部件对所述流量威胁模型以加密和解密的方式实现流量传输,同时提取异常流量的特征信息,采用机器学习和免疫的方法对当前及未来异常流量的特征信息进行模型计算形成流量安全模型。
进一步的,所述工控网络旁路模块包括协议分类子模块、非侵入式流量镜像子模块和镜像转发子模块;
所述协议分类子模块用于对协议进行池化分类,分为共有协议池和私有协议池;
所述非侵入式镜像子模块用于流量进行无损压缩;以网络包大小为阈值构建多级缓存容器,多级缓存容器串联后构成塔式缓存结构;无损压缩后的流量放入所述塔式缓存中;
所述镜像转发子模块用于主动将流量分发至威胁分析模块。
进一步的,所述威胁分析模块包括流量包内容分析子模块、流量包频率分析子模块和流量威胁建模子模块;
所述流量包内容分析子模块用于基于N-gram模型,将流量包的内容进行编码作为特定字符,并统计得到当前不同的流量包的共现概率;结合所述共现概率判断所述当前不同的流量包的合理性,并根据阈值实时更新所述共现概率以实现流量包内容分析;
所述流量包频率分析子模块用于预先对流量包的历史数据,计算均值和标准差;基于k-sigma方法,收集内容相同时间间隔为1S的当前流量包,然后判断当前流量包的频率;结合所述共现概率,区别正常数据包和异常数据包,并根据区别的结果实时更新流量包的频率以实现流量包频率分析;
所述流量威胁建模子模块用于基于流量包内容分析和流量包频率分析建立流量威胁模型。
进一步的,所述可信根计算模块包括可信计算部件子模块、主动免疫模块、流量安全建模子模块和机器学习子模块;
所述可信计算部件子模块用于以密码为基因,使用当前网络流量包的本地密钥表中的索引,附加到下一个网络流量包中作为加密密钥的数据,最终实现当前网络流量的完全加密,通过密钥对比分析,实现流量识别、流量状态度量和流量加密传输;
所述主动免疫模块用于将异常流量的特征信息形成指纹特征大数据;
所以流量安全建模子模块用于采用机器学习和免疫的方法对当前及未来异常流量的特征信息进行模型计算形成流量安全模型;
所述机器学习子模块用于通过威胁情报自动学习和可信加密深度学习形成威胁模型知识库。
发明内容中提供的效果仅仅是实施例的效果,而不是发明所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:
本发明提出了一种流量安全分析建模方法和系统,基于网络流量镜像旁路体系,对网络流量实现无侵入式镜像。该方法包括以下步骤:按照不同的协议将流量导入旁路流量镜像所对应的协议池,在协议池中对所述流量进行压缩后放入缓存中;将流量分发用于威胁分析,威胁分析包括流量拆包后,对流量包内容和流量包频率分别进行分析形成流量威胁模型;通过可信计算部件对所述流量威胁模型以加密和解密的方式实现流量传输,同时提取异常流量的特征信息,采用机器学习和免疫的方法对当前及未来异常流量的特征信息进行模型计算形成流量安全模型。基于一种流量安全分析建模方法,本发明还提出了一种流量安全分析建模系统。本发明采用N-Tier的方式分层,在使用工控协议的网络流量传输过程中,基于网络流量镜像旁路体系,对网络流量实现无侵入式镜像;基于机器学习的数据挖掘和生物学原理,在原有威胁情报库基础上,追加最新未知的威胁情报库及威胁建模,对工控网络流量异常检测准备率可达98%以上。基于可信软件基,将多频率威胁分析主动植入免疫体系,提升对新型异常流量攻击的阻抗能力。
附图说明
如图1为现有技术中工控行业安全检测的方法流程图;
如图2为本发明实施例1一种流量安全分析建模方法流程图;
如图3为本发明实施例2一种流量安全分析建模系统结构示意图。
具体实施方式
为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
实施例1
本发明实施例1提出了一种流量安全分析建模方法,本发明采用N-Tier的方式分层,在使用工控协议的网络流量传输过程中,基于网络流量镜像旁路体系,对网络流量实现无侵入式镜像。
如图1给出了本发明实施例1一种流量安全分析建模方法流程图;
在步骤S101中,对协议进行池化分类,分为共有协议池和私有协议池。
在步骤S102中,按照不同的协议将流量导入旁路流量镜像所对应的协议池,流量进行无损压缩处理,以网络包大小为阀值构建多级缓存容器,各级缓存容器串联成一个数组,形成一个塔式缓存结构;
在步骤S103中,将流量按照网络最低网络带宽(减少网络带宽耗损)、传输速率最优(基于QoS的动态带宽分配控制算法)、传输近零延迟的技术,分发用于威胁分析,威胁分析包括首先对流量进行拆包,并传送到威胁包内容分析模块;内容分析模块分根据包内容的合理性以及包频率的合理性,将流量包判定为已知类型流量包、新增类型流量包、异常类型流量包;
本发明中包内容的合理性:主要是流量数据包与其上下文的共现概率判定,主要基于N-gram模型,分析数据包与其上文的共现概率判断合理性。包括以下步骤:
第一,将数据包内容经过编码作为一个特定字符(单词),通过上下文N-gram
第二,切割,统计得到不同数据包的共现概率(coappearance)表,即二元词表。
第三,获取新数据包后,联系其上文(可自定义,默认窗口大小为5,这是一个经验值),结合共现概率得到当前数据包的合理性。
第四,依据一定的阈值判断(默认为-10,认为在窗口大小为5的情况下,平均两个相邻词的频概率所分配的概率不小于$e^{-2.5}=0.08$)
第五,根据判断结果实时更新共现概率表。
本发明中包频率的合理性,主要基于统计学原理,对数据包在此前一段时间的出现频率(单位:个/秒)进行统计,针对均值和标准差等统计信息进行统计。包括以下步骤:
第一,预先对历史数据进行分析,抽取均值和标准差数据。
第二,对新数据包,首先收集相同内容包的上文中,时间间隔为1s的包的数量,然后进行判断其近期频率,使用k-sigma原则。
第三,实验发现,结合数据包的共现概率表,当k=4.5的时候能够较好提出已有类型和新增类型的正常数据包,否则判定为异常数据包。
第四,根据判断信息实时更新频率。
在步骤S104中,通过可信计算部件对流量威胁模型以加密和解密的方式实现流量传输,同时提取异常流量的特征信息。
具体的过程为:可信计算部件以密码为基因,使用当前网络流量包的本地密钥表中的索引,附加到下一个网络流量包中作为加密密钥的数据,最终实现当前网络流量的完全加密,通过密钥对比分析,实现流量识别、流量状态度量和流量加密传输。
在步骤S105中,采用机器学习和免疫的方法对当前及未来异常流量的特征信息进行模型计算形成流量安全模型。
经过流量包内容、以及流量包频率的合理性判定,最终形成流量威胁模型后,传入到可信计算部件。可信软件基(TSB),以密码为基因,使用当前网络流量包的本地密钥表中的索引,附加到下一个网络流量包中作为加密密钥的数据,最终实现本次网络整体流量的完全加密,通过密钥对比分析,可以达到流量识别、流量状态度量、流量加密传输等目标,及时识别“自己”和“非己”流量成分,从而破坏和排斥进入基体的有害流量。同时把有害流量的指纹特征以并行传输的方式记录到主动免疫体系,主动免疫体系形成指纹特征大数据,体系内通过机器学习的机制,采用机器学习之数据挖掘中的聚类分析、关联分析、分类等算法,以及机器学习之生物学原理中的神经网络、遗传算法,同时再结合机器学习之免疫学原理对现有及未来的异常流量的指纹特征、威胁情报进行分析、模型计算、可信加密深度等流程,最终形成流量安全模型以及相应的知识库。
实施例2
基于本发明实施例1提出的一种流量安全分析建模方法,本发明实施例2提出了一种流量安全分析建模系统。如图3给出了本发明实施例2一种流量安全分析建模系统示意图。该系统包括工控网络旁路模块、威胁分析模块和可信根计算模块;
工控网络旁路模块用于按照不同的协议将流量导入旁路流量镜像所对应的协议池,在协议池中对所流量进行压缩后放入缓存中;将流量分发用于威胁分析;
威胁分析模块用于流量拆包后,对流量包内容和流量包频率分别进行分析形成流量威胁模型;
可信根计算模块用于通过可信计算部件对流量威胁模型以加密和解密的方式实现流量传输,同时提取异常流量的特征信息,采用机器学习和免疫的方法对当前及未来异常流量的特征信息进行模型计算形成流量安全模型。
工控网络旁路模块包括协议分类子模块、非侵入式流量镜像子模块和镜像转发子模块;
协议分类子模块用于对协议进行池化分类,分为共有协议池和私有协议池;
非侵入式镜像子模块用于流量进行无损压缩;以网络包大小为阈值构建多级缓存容器,多级缓存容器串联后构成塔式缓存结构;无损压缩后的流量放入所述塔式缓存中;
镜像转发子模块用于主动将流量分发至威胁分析模块。
威胁分析模块包括流量包内容分析子模块、流量包频率分析子模块和流量威胁建模子模块;
流量包内容分析子模块用于基于N-gram模型,将流量包的内容进行编码作为特定字符,并统计得到当前不同的流量包的共现概率;结合所述共现概率判断所述当前不同的流量包的合理性,并根据阈值实时更新所述共现概率以实现流量包内容分析;
流量包频率分析子模块用于预先对流量包的历史数据,计算均值和标准差;基于k-sigma方法,收集内容相同时间间隔为1S的当前流量包,然后判断当前流量包的频率;结合所述共现概率,区别正常数据包和异常数据包,并根据区别的结果实时更新流量包的频率以实现流量包频率分析;
流量威胁建模子模块用于基于流量包内容分析和流量包频率分析建立流量威胁模型。
可信根计算模块包括可信计算部件子模块、主动免疫模块、流量安全建模子模块和机器学习子模块;
可信计算部件子模块用于以密码为基因,使用当前网络流量包的本地密钥表中的索引,附加到下一个网络流量包中作为加密密钥的数据,最终实现当前网络流量的完全加密,通过密钥对比分析,实现流量识别、流量状态度量和流量加密传输;
主动免疫模块用于将异常流量的特征信息形成指纹特征大数据;
流量安全建模子模块用于采用机器学习和免疫的方法对当前及未来异常流量的特征信息进行模型计算形成流量安全模型;
机器学习子模块用于通过威胁情报自动学习和可信加密深度学习形成威胁模型知识库。
本发明基于非接入侵入式的N-Tier的频率分析的流量安全分析建模的方法研究,解决在工控系统运行中,不对运行产生任何影响环境,按威胁频率深度分析的算法,结合可信根与机器学习的技术路线,对采用工控通信协议的流量威胁进行建模,对工控网络安全环境植入主动免疫能力。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制。对于所属领域的技术人员来说,在上述说明的基础上还可以做出其它不同形式的修改或变形。这里无需也无法对所有的实施方式予以穷举。在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。

Claims (5)

1.一种流量安全分析建模方法,其特征在于,包括以下步骤:
按照不同的协议将流量导入旁路流量镜像所对应的协议池,在协议池中对所述流量进行压缩后放入缓存中;
将流量分发用于威胁分析,所述威胁分析包括流量拆包后,对流量包内容和流量包频率分别进行分析形成流量威胁模型;所述对流量包内容分析的过程为:基于N-gram模型,将流量包的内容进行编码作为特定字符,并统计得到当前不同的流量包的共现概率;结合所述共现概率判断所述当前不同的流量包的合理性,并根据阈值实时更新所述共现概率;所述流量包频率分析的过程为:预先对流量包的历史数据,计算均值和标准差;基于k-sigma方法,收集内容相同时间间隔为1S的当前流量包,然后判断当前流量包的频率;结合所述共现概率,区别正常数据包和异常数据包,并根据区别的结果实时更新流量包的频率;
通过可信计算部件对所述流量威胁模型以加密和解密的方式实现流量传输,同时提取异常流量的特征信息,采用机器学习和免疫的方法对当前及未来异常流量的特征信息进行模型计算形成流量安全模型;所述通过可信计算部件对所述流量威胁模型以加密和解密的方式实现流量传输的过程为:可信计算部件以密码为基因,使用当前网络流量包的本地密钥表中的索引,附加到下一个网络流量包中作为加密密钥的数据,最终实现当前网络流量的完全加密,通过密钥对比分析,实现流量识别、流量状态度量和流量加密传输。
2.根据权利要求1所述的一种流量安全分析建模方法,其特征在于,所述按照不同的协议将流量导入旁路流量镜像所对应的协议池之前还包括对协议进行池化分类,分为共有协议池和私有协议池。
3.根据权利要求2所述的一种流量安全分析建模方法,其特征在于,所述在协议池中对所述流量进行无损压缩后放入缓存中的过程为:
首先对流量进行无损压缩;
然后以网络包大小为阈值构建多级缓存容器,所述多级缓存容器串联后构成塔式缓存结构;
无损压缩后的流量放入所述塔式缓存中。
4.一种流量安全分析建模系统,其特征在于,包括工控网络旁路模块、威胁分析模块和可信根计算模块;
所述工控网络旁路模块用于按照不同的协议将流量导入旁路流量镜像所对应的协议池,在协议池中对所述流量进行压缩后放入缓存中;将流量分发用于威胁分析,
所述威胁分析模块用于流量拆包后,对流量包内容和流量包频率分别进行分析形成流量威胁模型;所述威胁分析模块包括流量包内容分析子模块、流量包频率分析子模块和流量威胁建模子模块;所述流量包内容分析子模块用于基于N-gram模型,将流量包的内容进行编码作为特定字符,并统计得到当前不同的流量包的共现概率;结合所述共现概率判断所述当前不同的流量包的合理性,并根据阈值实时更新所述共现概率以实现流量包内容分析;所述流量包频率分析子模块用于预先对流量包的历史数据,计算均值和标准差;基于k-sigma方法,收集内容相同时间间隔为1S的当前流量包,然后判断当前流量包的频率;结合所述共现概率,区别正常数据包和异常数据包,并根据区别的结果实时更新流量包的频率以实现流量包频率分析;所述流量威胁建模子模块用于基于流量包内容分析和流量包频率分析建立流量威胁模型;
所述可信根计算模块用于通过可信计算部件对所述流量威胁模型以加密和解密的方式实现流量传输,同时提取异常流量的特征信息,采用机器学习和免疫的方法对当前及未来异常流量的特征信息进行模型计算形成流量安全模型;所述可信根计算模块包括可信计算部件子模块、主动免疫模块、流量安全建模子模块和机器学习子模块;所述可信计算部件子模块用于以密码为基因,使用当前网络流量包的本地密钥表中的索引,附加到下一个网络流量包中作为加密密钥的数据,最终实现当前网络流量的完全加密,通过密钥对比分析,实现流量识别、流量状态度量和流量加密传输;所述主动免疫模块用于将异常流量的特征信息形成指纹特征大数据;所以流量安全建模子模块用于采用机器学习和免疫的方法对当前及未来异常流量的特征信息进行模型计算形成流量安全模型;所述机器学习子模块用于通过威胁情报自动学习和可信加密深度学习形成威胁模型知识库。
5.根据权利要求4所述的一种流量安全分析建模系统,其特征在于,所述工控网络旁路模块包括协议分类子模块、非侵入式流量镜像子模块和镜像转发子模块;
所述协议分类子模块用于对协议进行池化分类,分为共有协议池和私有协议池;
所述非侵入式镜像子模块用于流量进行无损压缩;以网络包大小为阈值构建多级缓存容器,多级缓存容器串联后构成塔式缓存结构;无损压缩后的流量放入所述塔式缓存中;
所述镜像转发子模块用于主动将流量分发至威胁分析模块。
CN202110074053.8A 2021-01-22 2021-01-22 一种流量安全分析建模方法和系统 Active CN112804239B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110074053.8A CN112804239B (zh) 2021-01-22 2021-01-22 一种流量安全分析建模方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110074053.8A CN112804239B (zh) 2021-01-22 2021-01-22 一种流量安全分析建模方法和系统

Publications (2)

Publication Number Publication Date
CN112804239A CN112804239A (zh) 2021-05-14
CN112804239B true CN112804239B (zh) 2022-04-08

Family

ID=75810644

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110074053.8A Active CN112804239B (zh) 2021-01-22 2021-01-22 一种流量安全分析建模方法和系统

Country Status (1)

Country Link
CN (1) CN112804239B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115859058B (zh) * 2023-02-27 2023-05-30 中南大学湘雅医院 一种基于宽度学习网络的ups故障预测方法和系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108777643A (zh) * 2018-06-08 2018-11-09 武汉思普崚技术有限公司 一种流量可视化平台系统
CN109672671A (zh) * 2018-12-12 2019-04-23 北京华清信安科技有限公司 基于智能行为分析的安全网关及安全防护系统
CN109587179B (zh) * 2019-01-28 2021-04-20 南京云利来软件科技有限公司 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法
CN111092862B (zh) * 2019-11-29 2023-06-02 中国电力科学研究院有限公司 一种用于对电网终端通信流量异常进行检测的方法及系统
CN111641634B (zh) * 2020-05-28 2021-06-15 东北大学 一种基于蜜网的工业控制网络主动防御系统及其方法

Also Published As

Publication number Publication date
CN112804239A (zh) 2021-05-14

Similar Documents

Publication Publication Date Title
WO2022011977A1 (zh) 一种网络异常检测方法、系统、终端以及存储介质
Abu Al‐Haija et al. Boost‐Defence for resilient IoT networks: A head‐to‐toe approach
WO2022021696A1 (zh) 一种基于多信息来源的全流程区块链系统
CN111262722A (zh) 一种用于工业控制系统网络的安全监测方法
CN110046297B (zh) 运维违规操作的识别方法、装置和存储介质
CN109309675A (zh) 一种基于卷积神经网络的网络入侵检测方法
CN116346384A (zh) 一种基于变分自编码器的恶意加密流量检测方法
CN110276195A (zh) 一种智能设备入侵检测方法、设备及存储介质
CN112804239B (zh) 一种流量安全分析建模方法和系统
CN117220920A (zh) 基于人工智能的防火墙策略管理方法
CN115796279A (zh) 一种基于知识图谱的贵金属材料数据集成处理方法及装置
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
CN116614251A (zh) 一种数据安全监控系统
CN117221018A (zh) 一种基于数据编码的数据安全传输方法及系统
Luz et al. Data preprocessing and feature extraction for phishing URL detection
CN117097571A (zh) 一种网络传输敏感数据的检测方法、系统、装置及介质
CN110602709B (zh) 可穿戴式设备的网络数据安全方法、装置及存储介质
CN116756763A (zh) 一种电力终端交互数据的隐私保护方法及系统
Gu et al. Network intrusion detection with nonsymmetric deep autoencoding feature extraction
CN110889467A (zh) 一种公司名称匹配方法、装置、终端设备及存储介质
Hu et al. Classification of Abnormal Traffic in Smart Grids Based on GACNN and Data Statistical Analysis
CN115473734A (zh) 基于单分类和联邦学习的远程代码执行攻击检测方法
CN115801366A (zh) 攻击检测的方法、装置、电子设备及计算机可读存储介质
CN105491023B (zh) 一种面向电力物联网的数据隔离交换和安全过滤方法
Xie et al. Research and application of intrusion detection method based on hierarchical features

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant