CN113168460A - 用于数据分析的方法、设备和系统 - Google Patents

用于数据分析的方法、设备和系统 Download PDF

Info

Publication number
CN113168460A
CN113168460A CN201880099783.XA CN201880099783A CN113168460A CN 113168460 A CN113168460 A CN 113168460A CN 201880099783 A CN201880099783 A CN 201880099783A CN 113168460 A CN113168460 A CN 113168460A
Authority
CN
China
Prior art keywords
data
data analysis
sensitive
monitored network
sensitive data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201880099783.XA
Other languages
English (en)
Inventor
郭代飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of CN113168460A publication Critical patent/CN113168460A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

提出了一种用于数据分析的方法、设备和系统,通过所述方法、设备和系统,不需要从受监测网络传送敏感数据。一种用于在受监测网络(10)处进行数据分析的方法(300),其包含:获取(S201)所述受监测网络(10)中的数据段(30);从所述数据段(30)中提取(S202)非敏感数据(30a);从所述受监测网络(10)发送(S204)所述非敏感数据(30a);接收(S208)数据分析任务(40),其中所述数据分析任务是基于有关所述非敏感数据(30a)的第一数据分析结果(51)产生的,并指示对所述数据段(30)中的敏感数据(30b)进行进一步数据分析;基于所述敏感数据(30b)执行(S209)所述数据分析任务(40)以产生有关所述数据段(30)的第二数据分析结果(52)。

Description

用于数据分析的方法、设备和系统
技术领域
本发明涉及数据分析的技术,且更具体地说,涉及用于数据分析的方法、设备、系统和计算机可读存储介质以及计算机程序。
背景技术
对于基于云的监测,例如装置状态监测或网络安全监测,数据收集装置通常部署在客户端以从受监测网络收集信息。例如,可以部署网络流量监测装置以监测安全情况。它可以从受监测网络中的节点捕获网络流量数据,并基于多个预定义的规则对所捕获数据进行检查。
一方面,收集网络流量数据,并可将其传送到远程监测中心(任选地,基于云的中心)以进行更深入的数据分析。
另一方面,主要关注的是所捕获数据的内容可能包含个人信息、商业敏感数据或其它预定义的重要信息,我们称这些类型的数据为“敏感数据”。
此外,在一些国家或地区,根据当地网络安全相关法律和/或法规,未经安全评估,不允许一些或所有此类敏感数据的跨境传送,这可能会影响数据分析的目的,从而进一步研究、测试、跟踪和执行相关性分析。即使不限制从受监测网络传送数据,也总是存在敏感数据泄漏的风险。
发明内容
在解决敏感数据泄漏的问题的一个解决方案中,敏感数据掩蔽装置可部署在受监测网络处,在将敏感数据发送出去之前对敏感数据进行掩蔽。但这种解决方案并不能完全消除对敏感数据泄漏的担忧,因为所掩蔽的敏感数据仍然需要发送出去,一旦解除掩蔽,仍然存在敏感数据泄漏的可能性。
本发明中提出了一种用于数据分析的方法、设备和系统,通过所述方法、设备和系统,不需要从受监测网络传送敏感数据。可以(任选地基于白名单机制)提取非敏感数据(其被视为非敏感数据)并将其发送到外部数据分析中心,在受监测网络处对剩下的敏感数据进行分析。可以通过使本地和外部分析的结果相关来任选地获得数据分析的最终结果。
根据本公开的第一方面,呈现了一种用于在受监测网络处进行数据分析的方法,所述方法包含:
-获取所述受监测网络中的数据段;
-从所述数据段中提取非敏感数据;
-从所述受监测网络发送所述非敏感数据以进行数据分析;
-接收数据分析任务,其中所述数据分析任务是基于有关所述非敏感数据的第一数据分析结果产生的,并指示对所述数据段中的敏感数据进行进一步数据分析;
-基于所述敏感数据执行所述数据分析任务以产生第二数据分析结果。
根据本公开的第二方面,呈现了一种用于在数据分析中心处进行数据分析的方法,所述方法包含:
-从受监测网络接收所述受监测网络中的数据段中的非敏感数据;
-对所述非敏感数据进行分析以产生第一数据分析结果;
-基于所述第一结果确定是否产生指示对所述数据段中的敏感数据进行进一步数据分析的数据分析任务;
-如果确定产生所述数据分析任务,则产生所述数据分析任务并将其发送到所述受监测网络。
根据本公开的第三方面,呈现了一种用于在受监测网络处进行数据分析的设备,所述设备包含:
-至少一个存储器,其被配置成存储指令;
-至少一个处理器,其耦合到所述至少一个存储器,并且在执行所述可执行指令后被配置成:
-获取所述受监测网络中的数据段;
-从所述数据段中提取非敏感数据;
-从所述受监测网络发送所述非敏感数据以进行数据分析;
-接收数据分析任务,其中所述数据分析任务是基于有关所述非敏感数据的第一数据分析结果产生的,并指示对所述数据段中的敏感数据进行进一步数据分析;
-基于所述敏感数据执行所述数据分析任务以产生有关所述数据段的第二数据分析结果。
根据本公开的第四方面,呈现了一种用于在数据分析中心处进行数据分析的设备,所述设备包含:
-至少一个存储器,其被配置成存储可执行指令;
-至少一个处理器,其耦合到所述至少一个存储器并且在执行所述可执行指令后被配置成:
-从受监测网络接收所述受监测网络中的数据段中的非敏感数据;
-对所述非敏感数据进行分析以产生第一数据分析结果;
-基于所述第一数据分析结果确定是否产生指示对所述数据段中的敏感数据进行进一步数据分析的数据分析任务;
-如果确定产生所述数据分析任务,则产生所述数据分析任务并将其发送到所述受监测网络。
根据本公开的第五方面,呈现了一种计算机可读介质,其存储可执行指令,所述可执行指令在由计算机执行后使所述计算机能够执行根据本公开的第一或第二方面所述的方法。
根据本公开的第六方面,呈现了一种用于数据分析的系统,所述系统包含:
-受监测网络,其被配置成
-获取所述受监测网络中的数据段,
-从所述数据段中提取非敏感数据,并且
-将所述非敏感数据从所述受监测网络发送到数据分析中心,
-所述数据分析中心,其被配置成
-从受监测网络接收所述受监测网络中传输的数据段中的非敏感数据,
-对所述非敏感数据进行分析以产生第一数据分析结果,
-基于所述第一数据分析结果确定是否产生指示对所述数据段中的敏感数据进行进一步数据分析的数据分析任务,并且
-如果确定产生所述数据分析任务,则产生所述数据分析任务并将其发送到所述受监测网络;
-所述受监测网络,其进一步被配置成
-接收所述数据分析任务,并且
-基于所述敏感数据执行所述数据分析任务以产生有关所述数据段的第二数据分析结果。
在所提供的解决方案的情况下,可以筛选敏感数据,仅从受监测网络发送非敏感数据以进行数据分析。在数据分析中心,将对非敏感数据进行分析,并且必要时,将产生数据分析任务以指示对敏感数据进行进一步数据分析并且将所述敏感数据发送到受监测网络。一旦受监测网络接收到数据分析任务,其将基于敏感数据进行进一步分析以获得数据分析的最终结果。因此,在本公开中,将不从受监测网络发送敏感数据,这将有效防止数据泄漏。此外,数据分析分布在受监测网络和数据分析中心,并且敏感数据在受监测网络处进行分析,可以对全套数据进行深入的数据分析,不会造成数据泄漏。
在本公开的实施例中,在所述受监测网络处,基于白名单机制从所述数据段中提取所述非敏感数据。通过白名单机制,可以对非敏感数据进行明确的定义,从而防止一些可疑数据被视为非敏感数据而从受监测网络发送。
在本公开的实施例中,在所述数据分析中心处,基于所述第一数据分析结果确定是否产生数据分析任务。任选地,如果所述第一数据分析结果指示还需要对所述数据段中的所述敏感数据进行分析,则确定产生所述数据分析任务。
在本公开的实施例中,在所述受监测网络处,通过以下步骤执行所述数据分析任务:
-对所述敏感数据进行数据分析以产生第三数据分析结果;
-接收所述第一数据分析结果;
-基于所述第一数据分析结果和所述第三数据分析结果产生所述第二数据分析结果。
在本公开的实施例中,在所述受监测网络处,通过以下步骤执行所述数据分析任务:
-接收所述第一数据分析结果;
-基于所述第一数据分析结果和所述敏感数据产生所述第二数据分析结果。
在本公开的实施例中,在所述受监测网络处,对所述非敏感数据做出第一标记,并且从所述受监测网络发送带有所述第一标记的所述非敏感数据,其中所述第一标记指示所述非敏感数据是所述数据段的一部分。还在所述受监测网络处,对所述敏感数据做出第二标记并且所述敏感数据与所述第二标记一起存储,其中所述第二标记指示所述敏感数据是所述数据段的一部分。然后,在所述数据分析中心处,接收带有第一标记的所述非敏感数据,并且如果产生所述数据分析任务,则由所述数据分析中心将所述数据分析任务发送到带有所述第一标记的所述受监测网络。接下来,在所述受监测网络处,接收带有所述第一标记的所述数据分析任务并且根据所述第一标记和所述第二标记获得所存储的敏感数据。通过所述第一标记和所述第二标记,可以连接所述敏感数据和所述非敏感数据以及对应的数据分析结果。
附图说明
通过参考以下结合附图进行的对本发明技术的实施例的描述,本发明技术的上文所提到属性和其它特征和优点以及其实现方式将变得更显而易见,并且本发明技术自身将得到更好理解,在附图中:
图1描绘本公开的用于数据分析的系统。
图2描绘本公开的用于数据分析的流程图。
图3描绘本公开的用于在受监测网络处进行数据分析的流程图。
图4A和图4B描绘本公开的用于在受监测网络处执行数据分析任务的步骤的2个选项。
图5描绘本公开的用于在数据分析中心处进行数据分析的流程图。
图6描绘显示本公开的用于在受监测网络处进行数据分析的设备的示例性实施例的框图。
图7描绘显示本公开的用于在数据分析中心处进行数据分析的设备的示例性实施例的框图。
图8描绘显示本公开的用于数据分析的系统的示例性实施例的框图。
附图标记
100,用于数据分析的系统
10,受监测网络
20,数据分析中心
30,在受监测网络10中传输的数据段
30a,数据段30的非敏感数据
30b,数据段30的敏感数据
40,数据分析任务
51,第一数据分析结果
52,第二数据分析结果
53,第三数据分析结果
61,非敏感数据30a上的第一标记,其指示非敏感数据30a是数据段30的一部分
62,敏感数据30b上的第二标记指示,其指示敏感数据30b是数据段30的一部分
200、300、500,用于数据分析的方法
S201,获取受监测网络10中的数据段30
S202,从数据段30中提取非敏感数据30a
S203,存储数据段30的敏感数据30b
S204,从受监测网络10发送出自受监测网络10的非敏感数据30a以进行数据分析,并且在数据分析中心20处接收非敏感数据30a
S205,对非敏感数据30a进行分析以产生第一数据分析结果51
S206,基于第一数据分析结果51确定是否产生指示对数据段30中的敏感数据30a进行进一步数据分析的数据分析任务40
S207,产生数据分析任务40
S208,将数据分析任务40从数据分析中心20发送到受监测网络10,并且在受监测网络10处接收数据分析任务40
S209,基于敏感数据30b执行数据分析任务40以产生有关数据段30的第二数据分析结果52。
S2091,对敏感数据30b进行数据分析以产生第三数据分析结果53
S2092,接收第一数据分析结果51
S2093,基于第一数据分析结果51和第三数据分析结果53产生第二数据分析结果52
S2091',接收第一数据分析结果51
S2092',基于第一数据分析结果51和敏感数据30b产生第二数据分析结果52
600,用于在受监测网络10处进行数据分析的设备
601,存储器
602,处理器
603,通信模块
700,用于在数据分析中心20处进行数据分析的设备
701,存储器
702,处理器
703,通信模块
101,数据收集和敏感数据筛选子系统
1011,数据收集模块
1012,敏感数据筛选模块
1013,白名单产生器
1014,白名单产生器配置DB
1015,数据白名单配置DB
103,安全通信模块
102,敏感数据分析子系统
1021,训练配置DB
1022,敏感数据训练DB
1023,敏感数据分析规则DB
1024,敏感数据分析模块
1025,相关性分析模块
1026,敏感数据DB
1027,相关性规则DB
201,安全通信模块
202,数据分析模块
203,敏感数据分析任务产生器
204,大数据DB
205,分布式分析划分模块
206,数据分析任务模块
207,数据分析规则DB
具体实施方式
在下文中,详细描述本发明技术的上文所提到特征和其它特征。参考图式描述各种实施例,其中相同的附图标记贯穿全文用于指代相同的元件。在以下描述中,出于解释的目的,阐述众多具体细节以便提供对一个或多个实施例的透彻理解。可注意到,所示出的实施例意图解释而非限制本发明。明显的是,可以在没有这些具体细节的情况下实践此类实施例。
当介绍本公开的各种实施例的元件时,冠词“一”和“所述”旨在表示存在所述元件中的一个或多个。词语“包括”、“包含”和“具有”旨在为包含性的,意指可能存在所列元件之外的额外元件。
在下文中已参考图1至9详细描述了本发明技术。
通过介绍,图1描绘本公开的用于数据分析的系统100。系统100可包含:受监测网络10和数据分析中心20。受监测网络10可以是工业网络,例如,在工厂中部署的网络、传统IT网络,或在客户端部署的任何其它种类的网络。数据分析中心20可以是受监测网络10外部的网络/服务器,其被配置成对受监测网络10和/或其它受监测网络中的数据进行数据分析。表达“在受监测网络10中传输的数据”包含但不限于:
1)在受监测网络10中传输的数据;
其包含在受监测网络10中的网络元件之间传输的网络流量、从受监测网络10传输的数据和/或在受监测网络中从外部网络接收的数据;
2)系统记录;
3)装置、网络10的配置数据;
4)可用于进行分析的任何其它数据。
例如,可以在工业控制网络中捕获和标识网络协议的网络流量。系统记录(Syslog)服务器可应用于通过系统记录协议收集系统记录。配置收集模块可以自动登录目标装置以收集关于系统、网络、安全的配置信息。在传统的数据分析场景中,受监测网络中的数据通常会被发送到数据分析中心以进行更深入的分析,如上文所提及的,这可能会带来数据泄漏的风险。
现在参考图2,描绘本公开的通过系统100进行数据分析的流程图。方法200可包含以下步骤:
-S201:在受监测网络10处获取受监测网络10中的数据段30。
数据段30可以是应用层PDU(协议数据单元)、传输层PDU或网络层PDU或若干PDU。在某些情形下,可将一些PDU重新组织为用于分析的数据段30。内部通常存在敏感数据,例如最终用户的名称、密码、私用家庭地址、IP地址等,客户不希望这些类型的敏感数据泄漏。对于网络流量,数据段30可包含MAC地址、IP PDU、TCP/UDP PDU、应用PDU(HTTP/FTP/S7/ModBus)等。
-S202:在受监测网络10处从数据段30中提取非敏感数据30a。
在此步骤中,可基于白名单机制从数据段30中提取非敏感数据30a。
通过白名单机制,可以对非敏感数据进行明确的定义,从而防止一些可疑数据被视为非敏感数据而从受监测网络发送。
以工业网络为实例,通常这种网络中的数据是相对恒定的,可以定义非敏感数据白名单以从原始数据中提取非敏感数据并将其发送到数据分析中心20。白名单可包含特定网络数据包和一些定义的网络字段。例如,白名单可将所有ARP(地址分辨协议)、TCP(传输控制协议)SYN/ACK连接网络包定义为非敏感数据。还可以将例如OPC UA(用于过程控制通用架构的OLE)AE(报警和事件)数据、Modbus诊断之类的工业控制协议包定义为非敏感数据。
白名单可定义为以下字段中的任一个或组合:
(1)IP地址
(2)TCP/UDP(用户数据报协议)端口
(3)协议,例如ICMP(互联网控制消息协议)、ARP等。
(4)协议命令
(5)其它字段
-S203:在受监测网络10处数据段30的敏感数据30b。
使用所确定的非敏感数据30a,可以对敏感数据30b进行筛选和保存以进行可能的进一步分析。
-S204:从受监测网络发送出自受监测网络(10)的非敏感数据30a以进行数据分析。
-S205:在数据分析中心20处对非敏感数据30a进行分析以产生第一数据分析结果51。
一旦数据分析中心20接收到非敏感数据30a,就对其进行分析并且产生第一数据分析结果51。
-S206:在数据分析中心20处基于第一数据分析结果51确定是否产生指示对数据段30的敏感数据30a进行进一步数据分析的数据分析任务40。例如,如果第一数据分析结果51指示还需要对敏感数据30b进行分析,则数据分析中心20可以在数据分析中心20处确定可以产生数据分析任务40,否则,第一数据分析结果51可被视为数据段30的最终数据分析结果。
-S207,在数据分析中心处产生数据分析任务40。
-S208,将数据分析任务40从数据分析中心20发送到受监测网络10,并且在受监测网络10处接收数据分析任务40。
-S209,在受监测网络处并且基于敏感数据30b执行数据分析任务40以产生数据段30的第二数据分析结果52。
以下是步骤S209的2个实施例:
在第一实施例中(参考图4A),步骤S209可包含以下子步骤:
-S2091,对敏感数据30b进行数据分析以产生第三数据分析结果53。
-S2092,接收第一数据分析结果51。
-S2093,基于第一数据分析结果51和第三数据分析结果53产生第二数据分析结果52。
在第二实施例中(参考图4B),步骤S209可包含以下子步骤:
-S2091',接收第一数据分析结果51。
-S2092',基于第一数据分析结果51和敏感数据30b产生第二数据分析结果52。
任选地,为了对敏感数据30b进行可能的进一步分析,在从受监测网络10发送非敏感数据30a以进行数据分析的步骤S204之前,可以在受监测网络10处对非敏感数据30a做出第一标记61,这指示非敏感数据30a是数据段30的一部分,并且在步骤S204中,第一标记61可以与非敏感数据30a一起发送(它们可以在一个消息或分离的相关消息中发送)。并且在受监测网络处,可以对敏感数据30b做出第二标记62并且将所述第二标记与敏感数据30b一起存储,其中第二标记62指示敏感数据30b是数据段30的一部分。在步骤S208中,第一标记61可与数据分析任务40一起从数据分析中心20发送到受监测网络10(它们可在一个消息或在分离的相关消息中发送),使得在第一标记61与数据分析任务一起在受监测网络10处被接收时,可以基于第一标记61和第二标记62来确定敏感数据30b。然后,可对敏感数据30b进行进一步分析。任选地,第一标记61可以是相关非敏感数据30a的序号,第二标记62可用于指示敏感数据30b,例如敏感数据30b的序列,其可包含但不限于:数据类型、数据格式、数据序列。
标记的另一实例是数据链路,敏感数据30b和非敏感数据30a与具有以下数据链路的数据链路连接:数据ID、数据包负载、下一个数据ID等。
在以上数据分析程序中,使用两层分析机制。在第一层分析中,首先在数据分析中心20处对非敏感数据进行数据分析(任选地,在受监测网络10处对敏感数据也进行数据分析),然后可以得到第一数据分析结果51并将其发送到受监测网络10。双方的结果将基于第二层分析而相关。然后,可获得最终数据分析结果52并且任选地发送到数据分析中心20。
如果在第一层数据分析中,双方都进行了数据分析,则双方都可以分析异常流量的例如量、频率、协议类型、端口、协议命令以及攻击包内容之类的信息。对于例如用户/密码、生产数据交换之类的敏感数据,可以在受监测网络10处对其进行分析以避免敏感数据泄漏。
将从数据分析中心得到的第一数据分析结果51发送到受监测网络。例如,第一数据分析结果51可含有在数据分析中心20处发现的IP地址、端口或协议类型等。
在受监测网络10处,以安全分析作为实例,如果还对敏感数据进行数据分析,则可发现一些异常登录行为,例如,产生数据上传/下载、来自网络流量或系统记录的敏感数据30b的配置修改等。
在第二层分析中,以安全分析作为实例,基于双方的结果,在受监测网络10处进行相关性分析以找出可能的异常行为。例如,IP地址、端口、协议类型可与登录行为组合,以发现对关键控制系统的可能的异常攻击行为。
图3描绘本公开的用于在受监测网络处进行数据分析的流程图。方法300可包含以下步骤:
-S201:获取受监测网络10中的数据段30。
-S202:从数据段30中提取非敏感数据30a。
-S204:从受监测网络10发送出自受监测网络10的非敏感数据30a以进行数据分析,并且在数据分析中心20处接收非敏感数据30a。
-S208:将数据分析任务40从数据分析中心20发送到受监测网络10,并且在受监测网络10处接收数据分析任务40。
-S209:基于敏感数据30b执行数据分析任务40以产生数据段30的第二数据分析结果52。
方法300的其它实施例可参考图2和方法200对受监测网络10的对应描述。
图5描绘本公开的用于在数据分析中心处进行数据分析的流程图。方法500可包含以下步骤:
-S204:从受监测网络10接收出自受监测网络10的非敏感数据30a以进行数据分析,并且接收非敏感数据30a。
-S205:对非敏感数据30a进行分析以产生第一数据分析结果51。
-S206:基于第一数据分析结果51确定是否产生指示对数据段30中的敏感数据30a进行进一步数据分析的数据分析任务40。
-S207:产生数据分析任务40。
-S208:将数据分析任务40从数据分析中心20发送到受监测网络10,并且在受监测网络10处接收数据分析任务40。
方法500的其它实施例可参考图2和方法200对数据分析中心20的对应描述。
图6描绘显示本公开的用于在受监测网络处进行数据分析的设备的示例性实施例的框图。参考图6,设备600可包含:
-至少一个存储器601,其被配置成存储指令;
-至少一个处理器602,其耦合到至少一个存储器601并且在执行所述可执行指令后被配置成:
-获取受监测网络10中的数据段30;
-从数据段30中提取非敏感数据30a;
-从受监测网络10发送非敏感数据30a以进行数据分析;
-接收数据分析任务40,其中基于非敏感数据30a的第一数据分析结果51产生数据分析任务,并指示对数据段30中的敏感数据30b进行进一步数据分析;
-基于敏感数据30b执行数据分析任务40以产生数据段30的第二数据分析结果52。
任选地,至少一个处理器602在执行可执行指令后进一步被配置成在从数据段30中提取非敏感数据30a时,基于白名单机制从数据段30中提取非敏感数据30a。
任选地,在执行数据分析任务40时,至少一个处理器602在执行可执行指令后进一步被配置成:
-对敏感数据30b进行数据分析以产生第三数据分析结果53;
-接收第一数据分析结果51;
-基于第一数据分析结果51和第三数据分析结果53产生第二数据分析结果52。
任选地,在执行数据分析任务40时,至少一个处理器602在执行可执行指令后进一步被配置成:
-接收第一数据分析结果51;
-基于第一数据分析结果51和敏感数据30b产生第二数据分析结果52。任选地,其中至少一个处理器602在执行可执行指令后进一步被配置成:
-在从受监测网络10发送非敏感数据30a以进行数据分析之前,对非敏感数据30a上做出第一标记61,其中第一标记61指示非敏感数据30a是数据段30的一部分;
-在从受监测网络10发送非敏感数据30a以进行数据分析时,发送带有第一标记61的非敏感数据30a;
-在接收数据分析任务40之前,对敏感数据30b做出第二标记62并且存储带有第二标记62的敏感数据30b,其中第二标记62指示敏感数据30b是数据段30的一部分;
-当接收数据分析任务40时,接收带有第一标记61的数据分析任务40;
-在受监测网络10中执行数据分析任务40之前,根据第一标记和第二标记获得敏感数据30b。
任选地,设备600还可包含通信模块603,所述通信模块被配置成将数据、指示等传输到数据分析中心20和/或从数据分析中心20接收数据指示。至少一个处理器602、至少一个存储器601和通信模块603可通过总线连接,或彼此直接连接。
图7描绘显示本公开的用于在数据分析中心处进行数据分析的设备的示例性实施例的框图。参考图7,设备700可包含:
-至少一个存储器701,其被配置成存储可执行指令;
-至少一个处理器702,其耦合到至少一个存储器601并且在执行可执行指令后被配置成:
-从受监测网络10接收受监测网络10中的数据段30中的非敏感数据30a;
-对非敏感数据30a进行分析以产生第一数据分析结果51;
-基于第一数据分析结果51确定是否产生指示对数据段30中的敏感数据30b进行进一步数据分析的数据分析任务40;
-如果确定产生数据分析任务40,则产生数据分析任务40并将其发送到受监测网络10。
任选地,在基于第一数据分析结果51确定是否产生数据分析任务40时,至少一个处理器702在执行可执行指令后进一步被配置成:
-如果第一结果51指示还需要对数据段30中的敏感数据30b进行分析,则确定产生数据分析任务40。
任选地,至少一个处理器702在执行可执行指令后进一步被配置成:
-当从受监测网络10接收受监测网络10中的数据段30中的非敏感数据30a时,接收带有第一标记61的非敏感数据30a,其中第一标记61指示非敏感数据30a是数据段30的一部分;
-在将数据分析任务40发送到受监测网络10时,发送带有第一标记61的数据分析任务40。
任选地,设备700还可包含通信模块703,所述通信模块被配置成将数据、指示等传输到受监测网络10和/或从受监测网络10接收数据指示。至少一个处理器702、至少一个存储器701和通信模块703可通过总线连接,或彼此直接连接。
图8描绘显示本公开的用于数据分析的系统的示例性实施例的框图,其中:
数据收集和敏感数据筛选子系统101可部署在受监测网络10处,这有助于收集数据(例如,通过数据收集模块1011收集的数据段30)以用于检测对网络流量或系统记录数据的可能攻击。在通过敏感数据筛选模块1012将数据段30发送到数据分析中心20之前,可对敏感数据30b进行筛选。非敏感数据30a可通过安全通信模块103发送到数据分析中心20,并且敏感数据30b可存储在本地受监测网络10处的敏感数据DB 1026中。
可以从受监测网络10中的交换机收集数据,交换机的端口可被配置成镜像模式,这使得将网络流量映射到此端口。数据收集模块1011可附接到此端口并且捕获在受监测网络10中传输的数据。
以安全分析作为实例,敏感数据筛选模块1012可执行基本网络安全扫描,可在基于上文所提及的白名单机制将数据段30发送到数据分析中心之前对敏感数据30b进行筛选。将仅发送非敏感数据30a,并且敏感数据30b将存储在敏感数据DB 1026中。
在数据分析中心20处,非敏感数据30a可通过安全通信模块201接收并且存储在大数据DB 204中。对于历史数据,数据分析模块202可用于训练分析引擎,使得可产生规则并且将其存储在数据分析规则DB 207中。例如,正常流量可用于训练正常行为,然后可标识恶意行为模式以产生异常行为检测规则。分布式分析划分模块205可产生2个数据分析任务,一个指示在数据分析中心20处对非敏感数据30a进行分析,另一个指示对敏感数据30b进行分析(其可以是上文所提及的数据分析任务40)。例如,分布式分析划分模块205可产生任务参数和目标敏感数据30b。任务参数可包含分析类型和分析规则,例如进行强力密码猜测的分析,规则是在一秒钟内重复次数>5。分布式分析划分模块205指示敏感数据分析任务产生器203产生敏感数据30b的分析任务40,并且敏感数据分析任务产生器203通过安全通信模块201将所产生的分析任务40发送到受监测网络10。
经由安全通信模块201和安全通信模块103将敏感数据30b的数据分析任务40发送到部署在受监测网络10处的敏感数据分析子系统102。这两个安全通信模块确保受监测网络10与数据分析中心20之间的安全通信。
与图4A所示的选项相对应,一方面,敏感数据分析子系统102中的敏感数据分析模块1024可以基于由敏感数据分析规则DB 1023提供的规则对敏感数据DB 1026进行分析,并且产生第三数据分析结果53(S2091)。另一方面,可以将通过数据分析中心20产生的第一数据分析结果51发送到敏感数据分析子系统102中的相关性分析模块1025。相关性分析模块1025可以基于由相关性规则DB 1027提供的相关性规则进行相关性分析以产生最终数据分析结果,即,上文所提及的第二数据分析结果52。任选地,可以将最终数据分析结果发送到数据分析中心以进行进一步分析。
与图4B所示的选项相对应,数据分析任务40由敏感数据分析模块1024接收。基于任务40,敏感数据分析模块1024决定需要哪种类型的敏感数据来进行相关性分析,并且获得所需敏感数据30b并将其发送到相关性分析模块1025。然后,相关性分析模块1025对所接收的第一结果51和所接收的敏感数据30b进行相关性分析,以类似地还基于由相关性规则DB 1027提供的规则产生最终数据分析结果(第二结果52)。
以切断链路作为实例,攻击者扫描PLC网络端口,并且尝试向PLC的网络管理界面输入弱用户名称和密码,并且在PLC上进行一些配置。对于数据分析任务,数据分析中心处的分布式分析划分模块205可以产生两个任务:一个指示对数据分析中心20处的非敏感数据30a的分析,例如对ICMP(互联网控制消息协议)的网络延迟(ping)流量或对TCP端口扫描流量的分析,以检测扫描异常行为。检测结果(即,第一数据分析结果51)和其它任务(即,数据分析任务40)将被发送到受监测网络10。在接收到数据分析任务40时,敏感数据分析模块1024将基于敏感数据30b对用户/名称破解(crack)行为进行分析,并且相关性分析模块1025将通过使ICMP的网络延迟流量或TCP端口扫描流量的数据分析结果51与用户/姓名破解行为相结合而获得攻击的最终数据分析结果52。此外,相关性分析模块1025可以对PLC上不允许的配置操作进行分析以发现其它的攻击行为。可以将最终数据分析结果52发送到数据分析中心20。
如上文所提及的,可基于白名单机制从数据段30中提取非敏感数据30a。在此示例性实施例中,在受监测网络10处的数据收集和敏感数据筛选子系统101中,白名单产生器1013可用于基于由白名单产生器配置DB 1014提供的产生规则自动产生白名单。例如,如果Modbus或OPC命令包在预定义的时间段内从未使用过,则可将这些命令视为非敏感数据,因为如果在正常执行中很少使用这些命令,则这些命令可用于攻击。那些命令可以在数据白名单配置DB 1015中配置,所述数据白名单配置DB可用作从数据段30中提取非敏感数据30a的规则。以下是可由白名单产生器1013使用的一些规则:
(1)如果协议在预定义的时段内从未出现在网络流量中,则此协议的数据可被视为非敏感的。
(2)如果协议命令在预定义的时段内从未出现在网络流量中,则此协议的数据可被视为非敏感的。
(3)如果IP地址在预定义的时段内从未出现在网络流量中,则从此IP地址发送的数据可被视为非敏感的。
(4)如果TCP/UDP端口在预定义的时段内从未出现在网络流量中,则从此端口发送的数据可被视为非敏感的。
(5)如果HTTP(超文本传送协议)代理类型在预定义的时段内从未出现在网络流量中,则由这种类型的代理发送的数据可被视为非敏感的。
本公开提供了一种用于数据分析的方法、设备和系统。在所提供的解决方案的情况下,可以筛选敏感数据,仅从受监测网络发送非敏感数据以进行数据分析。在数据分析中心,将对非敏感数据进行分析,并且必要时,将产生数据分析任务以指示对敏感数据进行进一步数据分析并且将所述敏感数据发送到受监测网络。一旦受监测网络接收到数据分析任务,其将基于敏感数据进行进一步分析以获得数据分析的最终结果。因此,在本公开中,将不从受监测网络发送敏感数据,这将有效防止数据泄漏。此外,数据分析分布在受监测网络和数据分析中心,并且敏感数据在受监测网络处进行分析,可以对全套数据进行深入的数据分析,不会造成数据泄漏。
在本公开提供的解决方案的情况下,可以在数据分析中心的外部结构中防止敏感数据泄漏,尤其是对于部署在云中的数据分析中心。可实现以下优点:
(1)由于从受监测网络收集的敏感数据存储在受监测网络中,而不是发送到外部,因此保护受监测网络的敏感数据变得更加容易,尤其是对于具有关键基础设施的网络。
(2)由于敏感数据存储在本地受监测网络中且没有被发送出去,因此说服客户采用例如基于云的中央监测中心之类的外部监测中心变得更加容易。
(3)本地受监测网络的存储和计算能力通常有限,在将非敏感数据发送到外部数据分析中心的情况下,可以降低对本地装置的性能要求和计算效率。
(4)分析任务可以划分为不同的子任务,并且可以在数据分析中心和本地受监测网络中进行计算,从而降低监测装置的全部成本。
本公开中还提供一种计算机可读介质,其存储可执行指令,所述可执行指令在由计算机执行后使计算机能够执行本公开中呈现的方法中的任一个。
计算机程序正由至少一个处理器执行并且执行本公开中呈现的方法中的任一个。
虽然已参考某些实施例详细地描述了本发明技术,但应了解,本发明技术不限于那些精确的实施例。实际上,鉴于描述用于实践本发明的示例性模式的本公开,在不脱离本发明的范围和精神的情况下,所属领域的技术人员能进行许多修改和变化。因此,本发明的范围由所附权利要求书指示,而非由前文描述指示。落入权利要求的等效含义和范围内的所有改变、修改和变化将被认为在权利要求的范围内。

Claims (18)

1.一种用于在受监测网络(10)处进行数据分析的方法(300),其包括:
-获取(S201)所述受监测网络(10)中的数据段(30);
-从所述数据段(30)中提取(S202)非敏感数据(30a);
-从所述受监测网络(10)发送(S204)所述非敏感数据(30a)以进行数据分析;
-接收(S208)数据分析任务(40),其中所述数据分析任务是基于有关所述非敏感数据(30a)的第一数据分析结果(51)产生的,并指示对所述数据段(30)中的敏感数据(30b)进行进一步数据分析;
-基于所述敏感数据(30b)执行(S209)所述数据分析任务(40)以产生第二数据分析结果(52)。
2.根据权利要求1所述的方法,其中从所述数据段(30)中提取非敏感数据(30a)的步骤包括:
-基于白名单机制从所述数据段(30)中提取所述非敏感数据(30a)。
3.根据权利要求1或2所述的方法,其中执行所述数据分析任务(40)的步骤包括:
-对所述敏感数据(30b)进行数据分析(S2091)以产生第三数据分析结果(53);
-接收(S2092)所述第一数据分析结果(51);
-基于所述第一数据分析结果(51)和所述第三数据分析结果(53)产生(S2093)所述第二数据分析结果(52)。
4.根据权利要求1或2所述的方法,其中执行所述数据分析任务(40)的所述步骤包括:
-接收(S2091')所述第一数据分析结果(51);
-基于所述第一数据分析结果(51)和所述敏感数据(30b)产生(S2092')所述第二数据分析结果(52)。
5.根据权利要求1至4中任一项所述的方法,其中
-在从所述受监测网络(10)发送(S204)所述非敏感数据(30a)以进行数据分析的步骤之前,所述方法进一步包括:对所述非敏感数据(30a)做出第一标记(61),其中所述第一标记(61)指示所述非敏感数据(30a)是所述数据段(30)的一部分;
-从所述受监测网络(10)发送(S204)所述非敏感数据(30a)以进行数据分析的所述步骤包括:发送带有所述第一标记(61)的所述非敏感数据(30a);
-在接收(S208)数据分析任务(40)的步骤之前,所述方法进一步包括:对所述敏感数据(30b)做出第二标记(62)并且存储带有所述第二标记(62)的所述敏感数据(30b),其中所述第二标记(62)指示所述敏感数据(30b)是所述数据段(30)的一部分;
-接收(S208)数据分析任务(40)的所述步骤包括:接收带有所述第一标记(61)的所述数据分析任务(40);
-在受监测网络(10)中执行所述数据分析任务(40)的步骤(S209)之前,所述方法进一步包括:根据所述第一标记和所述第二标记获得所述敏感数据(30b)。
6.一种用于在数据分析中心(20)处进行数据分析的方法(500),其包括:
-从受监测网络(10)接收(S204)所述受监测网络(10)中的数据段(30)中的非敏感数据(30a);
-对所述非敏感数据(30a)进行分析(S205)以产生第一数据分析结果(51);
-基于所述第一结果(51)确定(S206)是否产生指示对所述数据段(30)中的敏感数据(30b)进行进一步数据分析的数据分析任务(40);
-如果确定产生所述数据分析任务(40),则产生(S207)所述数据分析任务(40)并将其发送(S208)到所述受监测网络(10)。
7.根据权利要求6所述的方法,其中基于所述第一数据分析结果(51)确定(S206)是否产生数据分析任务(40)的步骤包括:
-如果所述第一数据分析结果(51)指示还需要对所述数据段(30)中的所述敏感数据(30b)进行分析,则确定产生所述数据分析任务(40)。
8.根据权利要求6或7所述的方法,其中,
-从受监测网络(10)接收(S204)所述受监测网络(10)中的数据段(30)中的非敏感数据(30a)的步骤包括:接收带有第一标记(61)的所述非敏感数据(30a),其中所述第一标记(61)指示所述非敏感数据(30a)是所述数据段(30)的一部分;
-将所述数据分析任务(40)发送(S208)到所述受监测网络(10)的步骤包括:发送带有所述第一标记(61)的所述数据分析任务(40)。
9.一种用于在受监测网络(10)处进行数据分析的设备(600),其包括:
-至少一个存储器(601),其被配置成存储指令;
-至少一个处理器(602),其耦合到所述至少一个存储器(601),并且在执行所述可执行指令后被配置成:
-获取所述受监测网络(10)中的数据段(30);
-从所述数据段(30)中提取非敏感数据(30a);
-从所述受监测网络(10)发送所述非敏感数据(30a)以进行数据分析;
-接收数据分析任务(40),其中所述数据分析任务是基于有关所述非敏感数据(30a)的第一数据分析结果(51)产生的,并指示对所述数据段(30)中的敏感数据(30b)进行进一步数据分析;
-基于所述敏感数据(30b)执行所述数据分析任务(40)以产生有关所述数据段(30)的第二数据分析结果(52)。
10.根据权利要求9所述的设备(600),其中所述至少一个处理器(602)在执行所述可执行指令后进一步被配置成在从所述数据段(30)中提取非敏感数据(30a)时,基于白名单机制从所述数据段(30)中提取所述非敏感数据(30a)。
11.根据权利要求9或10所述的设备(600),其中在执行所述数据分析任务(40)时,所述至少一个处理器(602)在执行所述可执行指令后进一步被配置成:
-对所述敏感数据(30b)进行数据分析以产生第三数据分析结果(53);
-接收所述第一数据分析结果(51);
-基于所述第一数据分析结果(51)和所述第三数据分析结果(53)产生所述第二数据分析结果(52)。
12.根据权利要求9或10所述的设备(600),其中在执行所述数据分析任务(40)时,所述至少一个处理器(602)在执行所述可执行指令后进一步被配置成:
-接收所述第一数据分析结果(51);
-基于所述第一数据分析结果(51)和所述敏感数据(30b)产生所述第二数据分析结果(52)。
13.根据权利要求9至12中任一项所述的设备(600),其中所述至少一个处理器(602)在执行所述可执行指令后进一步被配置成:
-在从所述受监测网络(10)发送所述非敏感数据(30a)以进行数据分析之前,对所述非敏感数据(30a)做出第一标记(61),其中所述第一标记(61)指示所述非敏感数据(30a)是所述数据段(30)的一部分;
-在从所述受监测网络(10)发送所述非敏感数据(30a)以进行数据分析时,发送带有所述第一标记(61)的所述非敏感数据(30a);
-在接收数据分析任务(40)之前,对所述敏感数据(30b)做出第二标记(62)并且存储带有所述第二标记(62)的所述敏感数据(30b),其中所述第二标记(62)指示所述敏感数据(30b)是所述数据段(30)的一部分;
-在接收数据分析任务(40)时,接收带有所述第一标记(61)的所述数据分析任务(40);
-在所述受监测网络(10)中执行所述数据分析任务(40)之前,根据所述第一标记和所述第二标记获得所述敏感数据(30b)。
14.一种用于在数据分析中心(20)处进行数据分析的设备(700),其包括:
-至少一个存储器(701),其被配置成存储可执行指令;
-至少一个处理器(702),其耦合到所述至少一个存储器(601),并且在执行所述可执行指令后被配置成:
-从受监测网络(10)接收所述受监测网络(10)中的数据段(30)中的非敏感数据(30a);
-对所述非敏感数据(30a)进行分析以产生第一数据分析结果(51);
-基于所述第一数据分析结果(51)确定是否产生指示对所述数据段(30)中的敏感数据(30b)进行进一步数据分析的数据分析任务(40);
-如果确定产生所述数据分析任务(40),则产生所述数据分析任务(40)并将其发送到所述受监测网络(10)。
15.根据权利要求14所述的设备(700),其中在基于所述第一结果(51)确定是否产生数据分析任务(40)时,所述至少一个处理器(702)在执行所述可执行指令后进一步被配置成:
-如果所述第一结果(51)指示还需要对所述数据段(30)的所述敏感数据(30b)进行分析,则确定产生所述数据分析任务(40)。
16.根据权利要求14或15所述的设备(700),其中,至少一个处理器(702)在执行所述可执行指令后被配置成:
-在从受监测网络(10)接收所述受监测网络(10)中的数据段(30)中的非敏感数据(30a)时,接收带有第一标记(61)的所述非敏感数据(30a),其中所述第一标记(61)指示所述非敏感数据(30a)是所述数据段(30)的一部分;
-在将所述数据分析任务(40)发送到所述受监测网络(10)时,发送带有所述第一标记(61)的所述数据分析任务(40)。
17.一种计算机可读介质,其存储可执行指令,所述可执行指令在由计算机执行后使所述计算机能够执行根据权利要求1至8中任一项所述的方法。
18.一种用于数据分析的系统(100),其包括:
-受监测网络(10),其被配置成
-获取所述受监测网络(10)中的数据段(30),
-从所述数据段(30)中提取非敏感数据(30a),并且
-将所述非敏感数据(30a)从所述受监测网络(10)发送到数据分析中心(20);
-所述数据分析中心(20),其被配置成
-从受监测网络(10)接收在所述受监测网络(10)中传输的数据段(30)中的非敏感数据(30a);
-对所述非敏感数据(30a)进行分析以产生第一数据分析结果(51);
-基于所述第一数据分析结果(51)确定是否产生指示对所述数据段(30)中的敏感数据(30b)进行进一步数据分析的数据分析任务(40),并且
-如果确定产生所述数据分析任务(40),则产生所述数据分析任务(40)并将其发送到所述受监测网络(10);
-所述受监测网络(10),其进一步被配置成
-接收所述数据分析任务,并且
-基于所述敏感数据(30b)执行所述数据分析任务(40)以产生有关所述数据段(30)的第二数据分析结果(52)。
CN201880099783.XA 2018-11-23 2018-11-23 用于数据分析的方法、设备和系统 Pending CN113168460A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2018/117283 WO2020103154A1 (en) 2018-11-23 2018-11-23 Method, apparatus and system for data analysis

Publications (1)

Publication Number Publication Date
CN113168460A true CN113168460A (zh) 2021-07-23

Family

ID=70774335

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880099783.XA Pending CN113168460A (zh) 2018-11-23 2018-11-23 用于数据分析的方法、设备和系统

Country Status (2)

Country Link
CN (1) CN113168460A (zh)
WO (1) WO2020103154A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220358237A1 (en) * 2021-05-04 2022-11-10 International Business Machines Corporation Secure data analytics
CN114448819B (zh) * 2021-12-24 2024-03-22 固安县艾拉信息科技有限公司 基于网络实时数据的密码分析和实现方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009003527A (ja) * 2007-06-19 2009-01-08 Toshiba Corp 情報通信試験装置及び医用機器
EP2782041B1 (en) * 2013-03-22 2018-11-14 F. Hoffmann-La Roche AG Analysis system ensuring that sensitive data are not accessible
DE102014211140A1 (de) * 2014-06-11 2015-12-17 Siemens Aktiengesellschaft Computersystem und Verfahren zum Analysieren von Daten
US20150381579A1 (en) * 2014-06-26 2015-12-31 Vivalect Software Ab Method and server for handling of personal information
US9946895B1 (en) * 2015-12-15 2018-04-17 Amazon Technologies, Inc. Data obfuscation
CN106022173B (zh) * 2016-05-18 2019-07-02 北京京东尚科信息技术有限公司 敏感数据显示方法和装置
CN107748848A (zh) * 2017-10-16 2018-03-02 维沃移动通信有限公司 一种信息处理方法及移动终端

Also Published As

Publication number Publication date
WO2020103154A1 (en) 2020-05-28

Similar Documents

Publication Publication Date Title
Fachkha et al. Internet-scale Probing of CPS: Inference, Characterization and Orchestration Analysis.
US10440049B2 (en) Network traffic analysis for malware detection and performance reporting
Barbosa et al. Flow whitelisting in SCADA networks
US11201880B2 (en) Network attack tainting and tracking
Serbanescu et al. ICS threat analysis using a large-scale honeynet
AU2016234999A1 (en) Path scanning for the detection of anomalous subgraphs and use of dns requests and host agents for anomaly/change detection and network situational awareness
Bouyeddou et al. Detecting network cyber-attacks using an integrated statistical approach
Ramaki et al. A survey of IT early warning systems: architectures, challenges, and solutions
Bidou Security operation center concepts & implementation
CN113079185B (zh) 实现深度数据包检测控制的工业防火墙控制方法及设备
US20230115046A1 (en) Network security system for preventing unknown network attacks
Garant et al. Mining botnet behaviors on the large-scale web application community
Kang et al. Cyber threats and defence approaches in SCADA systems
CN113168460A (zh) 用于数据分析的方法、设备和系统
Mavrakis Passive asset discovery and operating system fingerprinting in industrial control system networks
JP2007019981A (ja) ネットワーク監視システム
US20240114052A1 (en) Network security system for preventing spoofed ip attacks
RU2531878C1 (ru) Способ обнаружения компьютерных атак в информационно-телекоммуникационной сети
WO2013189723A1 (en) Method and system for malware detection and mitigation
Johnson et al. Soar4Der: security orchestration, automation, and response for distributed energy resources
CN114172881B (zh) 基于预测的网络安全验证方法、装置及系统
d'Estalenx et al. NURSE: eNd-UseR IoT malware detection tool for Smart homEs
Oliveira et al. Investigation of amplification-based DDoS attacks on IoT devices
KR20090116206A (ko) 클라이언트 ddos 방어 시스템 및 그 방법
Giacobe Data fusion in cyber security: first order entity extraction from common cyber data

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination