CN113556354A - 一种基于流量分析的工业互联网安全威胁检测方法与系统 - Google Patents
一种基于流量分析的工业互联网安全威胁检测方法与系统 Download PDFInfo
- Publication number
- CN113556354A CN113556354A CN202110864239.3A CN202110864239A CN113556354A CN 113556354 A CN113556354 A CN 113556354A CN 202110864239 A CN202110864239 A CN 202110864239A CN 113556354 A CN113556354 A CN 113556354A
- Authority
- CN
- China
- Prior art keywords
- identification
- analysis
- security threat
- flow
- industrial internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于流量分析的工业互联网安全威胁检测方法及系统。该方法包括:通过捕获标识解析网络节点数据包,确定标识解析数据流的原始特征数据;根据所述原始特征数据识别标识解析流量的标识解析流量特征;将所述标识解析流量特征与工业互联网安全威胁检测规则数据进行静态参数阈值对比匹配,确定工业互联网安全威胁行为;根据所述标识解析流量特征周期性的迭代训练异常流量检测模型;根据所述异常流量检测模型确定未知安全威胁行为;根据所述工业互联网安全威胁行为以及所述未知安全威胁行为确定安全事件的检测结果。本发明能够提高工业互联网的安全防范能力,有效提升识别准确率以及避免误识别的情况。
Description
技术领域
本发明涉及工信安全领域,特别是涉及一种基于流量分析的工业互联网安全威胁检测方法与系统。
背景技术
工业互联网:工业互联网是面向制造业数字化、网络化、智能化需求,构建基于云平台的海量数据采集、汇聚、分析服务体系,支撑制造资源泛在连接、弹性供给、高效配置。工业互联网作为新一代信息技术与制造业深度融合的产物,日益成为新工业革命的关键支撑和深化“互联网+先进制造业”的重要基石,对未来工业发展产生全方位、深层次、革命性影响。
标识解析系统:工业互联网标识解析是工业互联网实现全要素互联互通的重要网络基础设施,为工业设备、机器、零部件和产品提供编码、注册与解析服务,是平台、网络、设备、控制、数据等工业互联网关键要素实现协同的“纽带”。类似域名解析系统DNS之于互联网,工业互联网标识解析是工业互联网的神经中枢,是整个网络互联互通、资源调度、生产协调的重要基础设施。
工业互联网的发展对标识解析提出更高的要求。一方面标识的对象更为广阔。随着工业互联网的发展,需要标识的对象已从以往的域名,延伸到一个身份、一个零部件、一个产品、一个作品、一个交易、一个服务等更为具体、更为广阔的对象。另一方面信息的管理更为复杂多变。由于工业互联网中对象的多样性,使得标识相对应的信息结构更加复杂多变,因此标识层的信息管理需要扩展以支持数据安全交互与安全共享。
工业互联网安全风险:工业互联网将工业控制系统和互联网技术相结合,把传统的工业控制过程转换为智能化、数字化和互联互通的工业控制系统网络,完善了工业生产和控制过程。同业互联网快速发展的同时,面临诸多网络安全挑战,主要体现在:
1、工业化应用场景对安全性要求更高。与消费者物联网相比,工业互联网中存在的网络威胁,将产生更广泛、更深远的影响,尤其是关系国民经济命脉的重要行业,如航空、航天、国防等制造业的设备和传感器安全问题,会对企业造成不可估量的损失。
2、攻击面扩宽导致风险进一步加剧。越来越多的物联网终端设备接入工业互联网,导致攻击面进一步扩大。使得攻击者能通过更多途径渗透入工业互联网内部。
3、异构网络使威胁发现难度进一步加大。工业互联网由异构网络高度互联组成,具有许多不通的域。例如:智能电网中不同区域分别负责发电、配电、用户供电的可再生能源供应、变电站网络和企业网络。对网络攻击行为分析,需要来自不通域的事件综合考量,这导致威胁发现难度进一步加大。
4、传统保护机制难以部署在轻量级设备上。工业互联网中存在较多资源受限的通信网络,其边缘设备大多为轻量级设备。传统的入侵检测和防火墙技术难以部署在这些轻量级工业互联网设备上。
5、脆弱通信协议带来的安全风险。现有基于数据采集和监视控制系统的工业互联网中,存在一些老旧的通信协议,入Modbus、Profinet等。在涉及时没有考虑安全性,缺乏对用户的身份验证、检测故障或发现异常行为的能力,进一步加大了工业互联网中存在的安全风险。
工业互联网标识解析技术安全风险:当前工业互联网标识解析技术,根据其演进方式可分为DNS域名解析技术、基于改良路径的标识解析技术、基于革新路径的标识解析技术三类。改良路径仍基于互联网DNS系统,对现有互联网DNS系统进行适当改进实现标识解析,这类标识解析技术是在DNS技术上叠加一套标识服务,然后再往下保存标识ID和与标识相关的映射。革新路径是采用不同于DNS的标识解析技术,包括Handle体系、UID体系,以及一些其他类型的体系。
目前工业互联网标识解析体系面临的安全风险包括架构安全风险、身份安全风险、数据安全风险和运营安全风险。
1、架构风险。主要包括节点可用性风险、节点之间协同风险、关键节点关联性风险等。标识解析体系系统从架构上而言,是一个树形分层型架构,从逻辑上而言是一个分布式信息系统。主要包括查询客户端、解析服务器、镜像服务器、代理服务器、缓存服务器,该架构安全性在事务的每一步都依赖于这些部件的安全性,当体系架构的某一层节点出现问题时,就会对于整个架构的安全性产生一定程度的威胁。
2、身份安全风险。身份安全是工业互联网标识解析的门户,用户使用系统首先要进行身份认证,身份的重要性不言而喻。从人、机、物的角度分析标识解析系统中各种角色的身份以及其对应的风险点。不同的角色拥有不同级别和不同种类的权限,标识解析系统中各种风险点都可造成权限或信任受到侵害。
3、数据安全风险。工业互联网标识解析涉及标识注册数据、标识解析数据和日志数据等共三类数据。标识解析数据安全涉及到数据采集、数据传输、数据存储、数据使用、数据交换和数据销毁等环节。基于以上数据安全维度,标识解析数据安全风险有:数据窃取、数据篡改、隐私数据泄露和数据丢失四类风险。
4、运营安全风险。随着标识生态的形成,参与者角色不断丰富,规模不断扩大。用户体量和系统规模的持续壮大,给标识解析体系的运营带来新的挑战。来自内部与外部的风险,都将影响整个工业互联网标识解析体系的安全可控运营。标识解析运营安全风险有:物理环境管理风险、访问控制风险、业务连续性管理风风险、人员管理风险、分支机构管理风险以及流程管理风险。
当前的入侵检测系统(intrusion detection system,IDS)主要解决传统互联网和移动互联网的网络安全问题,针对常规的网络安全问题有着较好的表现,但针对工业互联网的安全威胁问题,缺乏工业互联网流量的协议识别分析能力和安全威胁的检测手段。
现有的传统网络安全威胁检测方式在工业互联网海量流量环境下性能较差,且难以检测工业互联网特有的分片数据包,一方面缺乏对工业互联网协议,特别是标识解析协议的支持,另一方面缺乏针对工业互联网攻击行为的检测规则,难以满足工业互联网安全防护的需求。工业互联网网络结构复杂,涉及行业众多,网络流量大,攻击方式多样化的情况下,检测的准确性、误识别情况,以及识别效率,有待进一步提升。
发明内容
本发明的目的是提供一种基于流量分析的工业互联网安全威胁检测方法及系统,以解决现有的传统网络安全威胁检测方式检测准确性低,误识别情况多以及识别效率低的问题。
为实现上述目的,本发明提供了如下方案:
一种基于流量分析的工业互联网安全威胁检测方法,包括:
通过捕获标识解析网络节点数据包,确定标识解析数据流的原始特征数据;所述原始特征数据包括数据包IP信息、端口信息以及负载信息;
根据所述原始特征数据识别标识解析流量的标识解析流量特征;
将所述标识解析流量特征与工业互联网安全威胁检测规则数据进行静态参数阈值对比匹配,确定工业互联网安全威胁行为;所述工业互联网安全威胁检测规则数据包含针对标识解析系统和工业互联网剩余系统的安全威胁检测规则,所述安全威胁检测规则包括多种安全威胁类型,所述安全威胁类型包括与所述标识解析流量特征一一对应的静态参数阈值、分布式拒绝服务攻击、反射放大、缓存穿透、暴力试探以及重放攻击;
根据所述标识解析流量特征周期性的迭代训练异常流量检测模型;
根据所述异常流量检测模型确定未知安全威胁行为;
根据所述工业互联网安全威胁行为以及所述未知安全威胁行为确定安全事件的检测结果;所述检测结果包括安全事件的类别、攻击目标、严重等级、影响范围以及持续事件。
可选的,所述通过捕获标识解析网络节点数据包,确定标识解析数据流的原始特征数据,具体包括:
通过捕获所述标识解析网络节点数据包获取标识解析数据包;
根据所述标识解析数据包的协议格式对所述标识解析网络节点数据包进行拆分、解包处理,并检测所述标识解析网络节点数据包内报文的长度以及校验和,确定所述报文的合法性;
根据合法的报文对标识解析数据流进行会话重组,确定所述标识解析数据流的原始特征数据。
可选的,所述根据所述原始特征数据识别标识解析流量的标识解析流量特征,具体包括:
提取所述原始特征数据中的标识解析数据流报文关键字段;所述标识解析数据流报文关键字段包括协议端口以及协议版本号;
将所述标识解析数据流报文关键字段和标识解析协议特征库进行特征匹配,判断所述原始特征数据是否为标识解析流量,得到第一判断结果;所述标识解析协议特征库包含多种标识解析协议的特征规则,所述特征规则包括常用端口、长度特征、数据包头特征、数据包体特征以及分片特征;
若所述第一判断结果表示为所述原始特征数据为标识解析流量,提取所述标识解析流量的标识解析流量特征;所述标识解析流量特征包括标识解析协议信息以及异常标识解析报文的异常信息;所述标识解析协议信息包括版本信息、操作类型、操作次数、操作时间、操作内容、操作结果以及签名字段;所述异常信息包括协议格式错误、长度错误、可疑标识及标识内容、签名错误以及版本过低。
可选的,所述将所述标识解析流量特征与工业互联网安全威胁检测规则数据进行静态参数阈值对比匹配,确定工业互联网安全威胁行为,具体包括:
将所述标识解析流量特征与工业互联网安全威胁检测规则数据进行静态参数阈值对比匹配,检测所述标识解析流量特征中的各项特征参数是否异常,当所述标识解析流量特征中的任一所述特征参数超出所述工业互联网安全威胁检测规则数据中对应的静态参数阈值,判断检测到工业互联网安全威胁行为。
可选的,所述根据所述标识解析流量特征周期性的迭代训练异常流量检测模型,之后还包括:
获取实际业务流量的增长趋势;
根据所述增长趋势调整所述异常流量检测模型的参数指标。
可选的,所述根据所述工业互联网安全威胁行为以及所述未知安全威胁行为确定安全事件的检测结果,之后还包括:
可视化显示所述安全事件的检测结果。
一种基于流量分析的工业互联网安全威胁检测系统,包括:
原始特征数据确定模块,用于通过捕获标识解析网络节点数据包,确定标识解析数据流的原始特征数据;所述原始特征数据包括数据包IP信息、端口信息以及负载信息;
标识解析流量特征识别模块,用于根据所述原始特征数据识别标识解析流量的标识解析流量特征;
工业互联网安全威胁行为确定模块,用于将所述标识解析流量特征与工业互联网安全威胁检测规则数据进行静态参数阈值对比匹配,确定工业互联网安全威胁行为;所述工业互联网安全威胁检测规则数据包含针对标识解析系统和工业互联网剩余系统的安全威胁检测规则,所述安全威胁检测规则包括多种安全威胁类型,所述安全威胁类型包括与所述标识解析流量特征一一对应的静态参数阈值、分布式拒绝服务攻击、反射放大、缓存穿透、暴力试探以及重放攻击;
异常监测模型训练模块,用于根据所述标识解析流量特征周期性的迭代训练异常流量检测模型;
未知安全威胁行为确定模块,用于根据所述异常流量检测模型确定未知安全威胁行为;
检测结果确定模块,用于根据所述工业互联网安全威胁行为以及所述未知安全威胁行为确定安全事件的检测结果;所述检测结果包括安全事件的类别、攻击目标、严重等级、影响范围以及持续事件。
可选的,所述原始特征数据确定模块,具体包括:
标识解析数据包获取单元,用于通过捕获所述标识解析网络节点数据包获取标识解析数据包;
标识解析数据网络节点数据包处理单元,用于根据所述标识解析数据包的协议格式对所述标识解析网络节点数据包进行拆分、解包处理,并检测所述标识解析网络节点数据包内报文的长度以及校验和,确定所述报文的合法性;
原始特征数据确定单元,用于根据合法的报文对标识解析数据流进行会话重组,确定所述标识解析数据流的原始特征数据。
可选的,所述标识解析流量特征识别模块,具体包括:
提取单元,用于提取所述原始特征数据中的标识解析数据流报文关键字段;所述标识解析数据流报文关键字段包括协议端口以及协议版本号;
第一判断单元,用于将所述标识解析数据流报文关键字段和标识解析协议特征库进行特征匹配,判断所述原始特征数据是否为标识解析流量,得到第一判断结果;所述标识解析协议特征库包含多种标识解析协议的特征规则,所述特征规则包括常用端口、长度特征、数据包头特征、数据包体特征以及分片特征;
标识解析流量的标识解析流量特征提取单元,用于若所述第一判断结果表示为所述原始特征数据为标识解析流量,提取所述标识解析流量的标识解析流量特征;所述标识解析流量特征包括标识解析协议信息以及异常标识解析报文的异常信息;所述标识解析协议信息包括版本信息、操作类型、操作次数、操作时间、操作内容、操作结果以及签名字段;所述异常信息包括协议格式错误、长度错误、可疑标识及标识内容、签名错误以及版本过低。
可选的,所述工业互联网安全威胁行为确定模块,具体包括:
工业互联网安全威胁行为确定单元,用于将所述标识解析流量特征与工业互联网安全威胁检测规则数据进行静态参数阈值对比匹配,检测所述标识解析流量特征中的各项特征参数是否异常,当所述标识解析流量特征中的任一所述特征参数超出所述工业互联网安全威胁检测规则数据中对应的静态参数阈值,判断检测到工业互联网安全威胁行为。
根据本发明提供的具体实施例,本发明公开了以下技术效果:本发明提供了一种基于流量分析的工业互联网安全威胁检测方法及系统,通过获取含有标识解析流量的标识解析数据流的原始特征数据,对标识解析流量的协议识别分析并提取特征,将标识解析流量的特征与工业互联网安全威胁规则库进行比对,检测出工业互联网安全威胁。本发明通过对标识解析流量的分析,不仅能够检测针对标识解析系统的安全威胁,还能够检测工业互联网中其他系统的安全威胁,显著提高了工业互联网的安全防范能力。同时,本发明根据标识解析流量特征周期性的迭代训练异常流量检测模型,不断修正该异常流量检测模型,能够有效提升识别准确率以及避免误识别的情况。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明所提供的基于流量分析的工业互联网安全威胁检测方法流程图;
图2为本发明所提供的业互联网安全威胁检测方法具有更多细节步骤的流程图;
图3为本发明所提供的基于流量分析的工业互联网安全威胁检测系统结构图;
图4为本发明所提供的简化的基于流量分析的工业互联网安全威胁检测系统结构图;
图5为本发明所提供的标识解析流量采集模块示意图;
图6为本发明所提供的标识解析流量协议识别分析模块示意图;
图7为本发明所提供的基于流量分析的工业互联网安全威胁检测模块示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种基于流量分析的工业互联网安全威胁检测方法及系统,能够提高工业互联网的安全防范能力,有效提升识别准确率以及避免误识别的情况。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
标识解析系统作为用户访问工业互联网的入口,其安全问题更是直接影响工业互联网的安全;针对工业互联网中其他系统的网络攻击行为,也会在攻击过程中在标识解析系统中产生相关的网络行为,为通过标识解析流量分析工业互联网安全威胁提供了机会。但是通过标识解析流量分析对工业互联网安全威胁进行检测的技术目前尚数空白。
图1为本发明所提供的基于流量分析的工业互联网安全威胁检测方法流程图,如图1所示,一种基于流量分析的工业互联网安全威胁检测方法,包括:
步骤101:通过捕获标识解析网络节点数据包,确定标识解析数据流的原始特征数据;所述原始特征数据包括数据包IP信息、端口信息以及负载信息。
通过捕获标识解析网络节点数据包获取标识解析流量,随后根据标识解析数据包的协议格式对标识解析网络节点数据包进行拆分、解包,检测标识解析网络节点数据包内报文的长度、校验和,确认报文的合法性,实现对标识解析数据流进行会话重组,得到标识解析数据流的原始特征数据,该原始特征数据包括数据包IP信息、端口信息以及负载信息等。
步骤102:根据所述原始特征数据识别标识解析流量的标识解析流量特征。
所述步骤102具体包括:提取所述原始特征数据中的标识解析数据流报文关键字段;所述标识解析数据流报文关键字段包括协议端口以及协议版本号;将所述标识解析数据流报文关键字段和标识解析协议特征库进行特征匹配,判断所述原始特征数据是否为标识解析流量,得到第一判断结果;所述标识解析协议特征库包含多种标识解析协议的特征规则,所述特征规则包括常用端口、长度特征、数据包头特征、数据包体特征以及分片特征;若所述第一判断结果表示为是,提取所述标识解析流量的标识解析流量特征;若所述第一判断结果表示为否,返回步骤101,重新确定原始特征数据;所述标识解析流量特征包括标识解析协议信息以及异常标识解析报文的异常信息;所述标识解析协议信息包括版本信息、操作类型、操作次数、操作时间、操作内容、操作结果以及签名字段;所述异常信息包括协议格式错误、长度错误、可疑标识及标识内容、签名错误以及版本过低。标识解析协议特征库支持DNS、OID、Handle等主流标识解析协议,并支持扩展。
在实际应用中,根据步骤101中获取的标识解析数据流的原始特征信息,提取其中的协议端口、协议版本号等关键字段作为标识解析数据流报文关键字段,通过将标识解析数据流报文关键字段和标识解析协议特征库进行特征匹配,判断原始数据是否为标识解析流量;提取标识解析协议的版本信息、操作类型、操作次数、操作时间、操作内容、操作结果、签名字段等标识解析协议信息,以及异常标识解析报文的异常信息,如协议格式错误、长度错误、可疑标识及标识内容、签名错误、版本过低等,标识解析流量协议信息和异常标识解析报文信息共同组成标识解析流量特征。
步骤103:将所述标识解析流量特征与工业互联网安全威胁检测规则数据进行静态参数阈值对比匹配,确定工业互联网安全威胁行为;所述工业互联网安全威胁检测规则数据包含针对标识解析系统和工业互联网剩余系统的安全威胁检测规则,所述安全威胁检测规则包括多种安全威胁类型,所述安全威胁类型包括与所述标识解析流量特征一一对应的静态参数阈值、分布式拒绝服务攻击、反射放大、缓存穿透、暴力试探以及重放攻击。
所述步骤103具体包括:将所述标识解析流量特征与工业互联网安全威胁检测规则数据进行静态参数阈值对比匹配,检测所述标识解析流量特征中的各项特征参数是否异常,当所述标识解析流量特征中的任一所述特征参数超出所述工业互联网安全威胁检测规则数据中对应的静态参数阈值,判断检测到工业互联网安全威胁行为。
加载工业互联网安全威胁检测规则数据中的检测规则,包含了针对标识解析系统和工业互联网其他系统的安全威胁检测规则。安全威胁检测规则,由与标识解析流量特征一一对应的静态参数阈值,以及对应的分布式拒绝服务攻击(Distribution Denial ofService,DDoS)、反射放大、缓存穿透、暴力试探、重放攻击等安全威胁类别组成。
将标识解析流量特征与工业互联网安全威胁检测规则数据进行静态参数阈值对比匹配,检测标识解析流量特征中的各项特征参数是否异常,当标识解析流量特征中的任一特征参数出现超出阈值的异常时,则判定检测到工业互联网安全威胁行为。
步骤104:根据所述标识解析流量特征周期性的迭代训练异常流量检测模型。
步骤105:根据所述异常流量检测模型确定未知安全威胁行为。
将捕获的标识解析数据流的原始特征信息,通过分类、聚类、深度学习等机器学习的方法,对历史的标识解析流量特征进行模型训练,得到异常流量检测模型;该模型是通过对正常标识解析流量进行机器学习算法训练得到的标识解析正常行为模型;利用该模型对标识解析流量特征信息进行异常检测,任何超出该模型阈值范围的标识解析流量均认为是异常网络流量,并将该异常网络流量视为未知安全威胁。
通过周期性的使用标识解析流量特征训练异常流量检测模型,改进、调整模型中的参数指标,可以有效的根据实际业务流量的增长趋势来调整异常流量检测模型的参数指标,提升检测的准确性;其中,实际业务流量包括但不限于标识注册、标识解析、标识查询、标识修改以及标识更新等中产生的网络流量;根据具体业务流量不同,其所产生的标识解析流量特征也不同。业务流量类型,影响标识解析流量特征。参数指标包括但不限于流量峰值阈值、访问次数阈值以及安全基线阈值等。
步骤106:根据所述工业互联网安全威胁行为以及所述未知安全威胁行为确定安全事件的检测结果;所述检测结果包括安全事件的类别、攻击目标、严重等级、影响范围以及持续事件。
所述步骤106之后还包括:可视化显示所述安全事件的检测结果。
图2为本发明所提供的业互联网安全威胁检测方法具有更多细节步骤的流程图,如图2所示,本发明针对标识解析流量的协议识别、分析和特征提取方法,包括标识解析协议特征库的构建、标识解析协议会话重组和还原、标识解析流量特征提取。提取的标识解析流量特征,能够与工业互联网安全威胁检测规则进行比对,检测出安全威胁行为,也能够作为未知安全威胁检测模型的训练数据,根据业务实际增长情况迭代训练,识别出未知的安全威胁。
本发明从标识解析流量中提取到的标识解析流量特征数据,将其与工业互联网安全威胁检测规则进行比对,检测出针对标识解析系统,和工业互联网中其他系统的安全威胁;将其作为未知安全威胁检测模型的训练数据,进行未知安全检测模型的训练,并用训练出的检测模型来检测未知的安全威胁。
工业互联网安全威胁检测规则,由与标识解析流量特征一一对应的参数阈值,以及对应的安全威胁类别组成,这些安全威胁可以是针对标识解析系统的安全威胁,也可以是针对工业互联网中其他系统的安全威胁。
未知安全检测模型的训练,可根据业务实际增长情况进行周期性的迭代训练,可有效的提升识别的准确率,避免误识别的情况。
图3为本发明所提供的基于流量分析的工业互联网安全威胁检测系统结构图,如图3所示,一种基于流量分析的工业互联网安全威胁检测系统,包括:
原始特征数据确定模块301,用于通过捕获标识解析网络节点数据包,确定标识解析数据流的原始特征数据;所述原始特征数据包括数据包IP信息、端口信息以及负载信息。
所述原始特征数据确定模块301,具体包括:标识解析数据包获取单元,用于通过捕获所述标识解析网络节点数据包获取标识解析数据包;标识解析数据网络节点数据包处理单元,用于根据所述标识解析数据包的协议格式对所述标识解析网络节点数据包进行拆分、解包处理,并检测所述标识解析网络节点数据包内报文的长度以及校验和,确定所述报文的合法性;原始特征数据确定单元,用于根据合法的报文对标识解析数据流进行会话重组,确定所述标识解析数据流的原始特征数据。
标识解析流量特征识别模块302,用于根据所述原始特征数据识别标识解析流量的标识解析流量特征。
所述标识解析流量特征识别模块302,具体包括:提取单元,用于提取所述原始特征数据中的标识解析数据流报文关键字段;所述标识解析数据流报文关键字段包括协议端口以及协议版本号;第一判断单元,用于将所述标识解析数据流报文关键字段和标识解析协议特征库进行特征匹配,判断所述原始特征数据是否为标识解析流量,得到第一判断结果;所述标识解析协议特征库包含多种标识解析协议的特征规则,所述特征规则包括常用端口、长度特征、数据包头特征、数据包体特征以及分片特征;标识解析流量的标识解析流量特征提取单元,用于若所述第一判断结果表示为所述原始特征数据为标识解析流量,提取所述标识解析流量的标识解析流量特征;所述标识解析流量特征包括标识解析协议信息以及异常标识解析报文的异常信息;所述标识解析协议信息包括版本信息、操作类型、操作次数、操作时间、操作内容、操作结果以及签名字段;所述异常信息包括协议格式错误、长度错误、可疑标识及标识内容、签名错误以及版本过低。
工业互联网安全威胁行为确定模块303,用于将所述标识解析流量特征与工业互联网安全威胁检测规则数据进行静态参数阈值对比匹配,确定工业互联网安全威胁行为;所述工业互联网安全威胁检测规则数据包含针对标识解析系统和工业互联网剩余系统的安全威胁检测规则,所述安全威胁检测规则包括多种安全威胁类型,所述安全威胁类型包括与所述标识解析流量特征一一对应的静态参数阈值、分布式拒绝服务攻击、反射放大、缓存穿透、暴力试探以及重放攻击。
所述工业互联网安全威胁行为确定模块303,具体包括:工业互联网安全威胁行为确定单元,用于将所述标识解析流量特征与工业互联网安全威胁检测规则数据进行静态参数阈值对比匹配,检测所述标识解析流量特征中的各项特征参数是否异常,当所述标识解析流量特征中的任一所述特征参数超出所述工业互联网安全威胁检测规则数据中对应的静态参数阈值,判断检测到工业互联网安全威胁行为。
异常监测模型训练模块304,用于根据所述标识解析流量特征周期性的迭代训练异常流量检测模型。
未知安全威胁行为确定模块305,用于根据所述异常流量检测模型确定未知安全威胁行为。
检测结果确定模块306,用于根据所述工业互联网安全威胁行为以及所述未知安全威胁行为确定安全事件的检测结果;所述检测结果包括安全事件的类别、攻击目标、严重等级、影响范围以及持续事件。
基于本发明的技术方案,图4为本发明所提供的简化的基于流量分析的工业互联网安全威胁检测系统结构图,如图4所示,包括:
标识解析流量采集模块,用于标识流量解析系统的网络流量采集,并生成标识解析流量的初始数据。
标识解析协议识别分析模块,用于标识解析协议的识别和标识解析流量特征提取。
工业互联网安全威胁检测模块,用于检测标识解析系统和工业互联网中其他系统的安全威胁。
可视化分析模块,用于呈现检测到的安全威胁。利用可视化分析模块能够直观呈现工业互联网安全威胁事件,并展示多个维度的统计信息。
其中,如图5所示,标识解析流量采集模块包括:网络接口单元,用于从网络设备获取标识解析原始流量;数据校验单元,用于校验获取数据的完整性、正确性;数据重组单元,用于承载协议的会话重组还原,输出标识解析数据流的原始数据。
如图6所示,标识解析流量协议识别分析模块包括:协议特征提取单元,用于提取标识解析数据流原始数据的特征信息,包括数据包IP信息、端口信息、负载信息;标识解析协议规则单元,用于管理标识解析协议的特征规则数据;标识解析协议识别单元,用于将提取的标识解析数据流原始特征和标识解析协议的特征规则数据进行匹配,确定原始标识解析数据流是否是标识解析协议,以及标识解析协议的类别;标识解析流量特征提取单元,用于标识解析流量的分片重组、会话还原,并提取标识解析流量特征信息。
如图7所示,工业互联网安全威胁检测模块包括:工业互联网安全威胁检测规则单元,用于管理针对标识解析系统和工业互联网中其他系统的安全威胁检测规则;工业互联网安全威胁检测单元,用于将标识解析流量特征信息,与安全威胁检测规则进行比对,检测标识解析流量是否存在安全威胁,以及安全威胁的类别;未知安全威胁检测单元,通过机器学习的方法,对历史的标识解析流量特征进行模型训练,得到异常流量检测模型,并对标识解析流量特征信息进行异常检测,输出未知安全威胁。
此外,本发明还包括工业互联网安全威胁事件输出模块,用于对检测出的安全威胁进行判定,确定安全威胁的类别、攻击目标、严重等级、影响范围、持续时间等,对短时间内多次检出的同一类型安全威胁事件进行合并,生成最终的安全威胁事件详情。
本发明通过对标识解析系统软件及其网络流量的深入研究分析,构建了一种专门针对标识解析流量的流量分析过程,能够有效提取标识解析流量的报文特征,用于异常数据包和异常标识解析数据流的检测;通过对针对标识解析系统的攻击行为,针对工业互联网其他系统攻击行为的研究和探索,挖掘出网络报文和攻击行为的关联特征,制定出一套有效的工业互联网安全威胁检测规则和检测流程,并运用上述技术构建安全威胁检测系统。本发明通过分析标识解析流量,在不影响标识解析正常业务的情况下,能够快速检测针对标识解析系统以及工业互联网其他系统的安全威胁事件,解决了目前缺少专门解决工业互联网安全威胁检测系统的问题,可以为工业互联网的安全防护工作,发挥重要价值。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种基于流量分析的工业互联网安全威胁检测方法,其特征在于,包括:
通过捕获标识解析网络节点数据包,确定标识解析数据流的原始特征数据;所述原始特征数据包括数据包IP信息、端口信息以及负载信息;
根据所述原始特征数据识别标识解析流量的标识解析流量特征;
将所述标识解析流量特征与工业互联网安全威胁检测规则数据进行静态参数阈值对比匹配,确定工业互联网安全威胁行为;所述工业互联网安全威胁检测规则数据包含针对标识解析系统和工业互联网剩余系统的安全威胁检测规则,所述安全威胁检测规则包括多种安全威胁类型,所述安全威胁类型包括与所述标识解析流量特征一一对应的静态参数阈值、分布式拒绝服务攻击、反射放大、缓存穿透、暴力试探以及重放攻击;
根据所述标识解析流量特征周期性的迭代训练异常流量检测模型;
根据所述异常流量检测模型确定未知安全威胁行为;
根据所述工业互联网安全威胁行为以及所述未知安全威胁行为确定安全事件的检测结果;所述检测结果包括安全事件的类别、攻击目标、严重等级、影响范围以及持续事件。
2.根据权利要求1所述的基于流量分析的工业互联网安全威胁检测方法,其特征在于,所述通过捕获标识解析网络节点数据包,确定标识解析数据流的原始特征数据,具体包括:
通过捕获所述标识解析网络节点数据包获取标识解析数据包;
根据所述标识解析数据包的协议格式对所述标识解析网络节点数据包进行拆分、解包处理,并检测所述标识解析网络节点数据包内报文的长度以及校验和,确定所述报文的合法性;
根据合法的报文对标识解析数据流进行会话重组,确定所述标识解析数据流的原始特征数据。
3.根据权利要求1所述的基于流量分析的工业互联网安全威胁检测方法,其特征在于,所述根据所述原始特征数据识别标识解析流量的标识解析流量特征,具体包括:
提取所述原始特征数据中的标识解析数据流报文关键字段;所述标识解析数据流报文关键字段包括协议端口以及协议版本号;
将所述标识解析数据流报文关键字段和标识解析协议特征库进行特征匹配,判断所述原始特征数据是否为标识解析流量,得到第一判断结果;所述标识解析协议特征库包含多种标识解析协议的特征规则,所述特征规则包括常用端口、长度特征、数据包头特征、数据包体特征以及分片特征;
若所述第一判断结果表示为所述原始特征数据为标识解析流量,提取所述标识解析流量的标识解析流量特征;所述标识解析流量特征包括标识解析协议信息以及异常标识解析报文的异常信息;所述标识解析协议信息包括版本信息、操作类型、操作次数、操作时间、操作内容、操作结果以及签名字段;所述异常信息包括协议格式错误、长度错误、可疑标识及标识内容、签名错误以及版本过低。
4.根据权利要求1所述的基于流量分析的工业互联网安全威胁检测方法,其特征在于,所述将所述标识解析流量特征与工业互联网安全威胁检测规则数据进行静态参数阈值对比匹配,确定工业互联网安全威胁行为,具体包括:
将所述标识解析流量特征与工业互联网安全威胁检测规则数据进行静态参数阈值对比匹配,检测所述标识解析流量特征中的各项特征参数是否异常,当所述标识解析流量特征中的任一所述特征参数超出所述工业互联网安全威胁检测规则数据中对应的静态参数阈值,判断检测到工业互联网安全威胁行为。
5.根据权利要求1所述的基于流量分析的工业互联网安全威胁检测方法,其特征在于,所述根据所述标识解析流量特征周期性的迭代训练异常流量检测模型,之后还包括:
获取实际业务流量的增长趋势;
根据所述增长趋势调整所述异常流量检测模型的参数指标。
6.根据权利要求1所述的基于流量分析的工业互联网安全威胁检测方法,其特征在于,所述根据所述工业互联网安全威胁行为以及所述未知安全威胁行为确定安全事件的检测结果,之后还包括:
可视化显示所述安全事件的检测结果。
7.一种基于流量分析的工业互联网安全威胁检测系统,其特征在于,包括:
原始特征数据确定模块,用于通过捕获标识解析网络节点数据包,确定标识解析数据流的原始特征数据;所述原始特征数据包括数据包IP信息、端口信息以及负载信息;
标识解析流量特征识别模块,用于根据所述原始特征数据识别标识解析流量的标识解析流量特征;
工业互联网安全威胁行为确定模块,用于将所述标识解析流量特征与工业互联网安全威胁检测规则数据进行静态参数阈值对比匹配,确定工业互联网安全威胁行为;所述工业互联网安全威胁检测规则数据包含针对标识解析系统和工业互联网剩余系统的安全威胁检测规则,所述安全威胁检测规则包括多种安全威胁类型,所述安全威胁类型包括与所述标识解析流量特征一一对应的静态参数阈值、分布式拒绝服务攻击、反射放大、缓存穿透、暴力试探以及重放攻击;
异常监测模型训练模块,用于根据所述标识解析流量特征周期性的迭代训练异常流量检测模型;
未知安全威胁行为确定模块,用于根据所述异常流量检测模型确定未知安全威胁行为;
检测结果确定模块,用于根据所述工业互联网安全威胁行为以及所述未知安全威胁行为确定安全事件的检测结果;所述检测结果包括安全事件的类别、攻击目标、严重等级、影响范围以及持续事件。
8.根据权利要求7所述的基于流量分析的工业互联网安全威胁检测系统,其特征在于,所述原始特征数据确定模块,具体包括:
标识解析数据包获取单元,用于通过捕获所述标识解析网络节点数据包获取标识解析数据包;
标识解析数据网络节点数据包处理单元,用于根据所述标识解析数据包的协议格式对所述标识解析网络节点数据包进行拆分、解包处理,并检测所述标识解析网络节点数据包内报文的长度以及校验和,确定所述报文的合法性;
原始特征数据确定单元,用于根据合法的报文对标识解析数据流进行会话重组,确定所述标识解析数据流的原始特征数据。
9.根据权利要求7所述的基于流量分析的工业互联网安全威胁检测系统,其特征在于,所述标识解析流量特征识别模块,具体包括:
提取单元,用于提取所述原始特征数据中的标识解析数据流报文关键字段;所述标识解析数据流报文关键字段包括协议端口以及协议版本号;
第一判断单元,用于将所述标识解析数据流报文关键字段和标识解析协议特征库进行特征匹配,判断所述原始特征数据是否为标识解析流量,得到第一判断结果;所述标识解析协议特征库包含多种标识解析协议的特征规则,所述特征规则包括常用端口、长度特征、数据包头特征、数据包体特征以及分片特征;
标识解析流量的标识解析流量特征提取单元,用于若所述第一判断结果表示为所述原始特征数据为标识解析流量,提取所述标识解析流量的标识解析流量特征;所述标识解析流量特征包括标识解析协议信息以及异常标识解析报文的异常信息;所述标识解析协议信息包括版本信息、操作类型、操作次数、操作时间、操作内容、操作结果以及签名字段;所述异常信息包括协议格式错误、长度错误、可疑标识及标识内容、签名错误以及版本过低。
10.根据权利要求7所述的基于流量分析的工业互联网安全威胁检测系统,其特征在于,所述工业互联网安全威胁行为确定模块,具体包括:
工业互联网安全威胁行为确定单元,用于将所述标识解析流量特征与工业互联网安全威胁检测规则数据进行静态参数阈值对比匹配,检测所述标识解析流量特征中的各项特征参数是否异常,当所述标识解析流量特征中的任一所述特征参数超出所述工业互联网安全威胁检测规则数据中对应的静态参数阈值,判断检测到工业互联网安全威胁行为。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110864239.3A CN113556354B (zh) | 2021-07-29 | 2021-07-29 | 一种基于流量分析的工业互联网安全威胁检测方法与系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110864239.3A CN113556354B (zh) | 2021-07-29 | 2021-07-29 | 一种基于流量分析的工业互联网安全威胁检测方法与系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113556354A true CN113556354A (zh) | 2021-10-26 |
CN113556354B CN113556354B (zh) | 2022-03-01 |
Family
ID=78133346
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110864239.3A Active CN113556354B (zh) | 2021-07-29 | 2021-07-29 | 一种基于流量分析的工业互联网安全威胁检测方法与系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113556354B (zh) |
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114006750A (zh) * | 2021-10-29 | 2022-02-01 | 北京顶象技术有限公司 | 异常操作的检测方法、装置和电子设备 |
CN114022049A (zh) * | 2021-12-10 | 2022-02-08 | 萍乡市圣迈互联网科技有限公司 | 一种基于云计算的智慧业务信息风险处理方法及系统 |
CN114221805A (zh) * | 2021-12-13 | 2022-03-22 | 恒安嘉新(北京)科技股份公司 | 一种工业互联网数据的监测方法、装置、设备及介质 |
CN114666088A (zh) * | 2021-12-30 | 2022-06-24 | 爱普(福建)科技有限公司 | 工业网络数据行为信息的侦测方法、装置、设备和介质 |
CN114710354A (zh) * | 2022-04-11 | 2022-07-05 | 中国电信股份有限公司 | 异常事件检测方法及装置、存储介质及电子设备 |
CN114726631A (zh) * | 2022-04-12 | 2022-07-08 | 中国电信股份有限公司 | 一种标识解析体系架构的安全防护方法及相关设备 |
CN114760126A (zh) * | 2022-04-08 | 2022-07-15 | 沈阳化工大学 | 一种工控网络流量实时入侵检测方法 |
CN114844831A (zh) * | 2022-03-18 | 2022-08-02 | 奇安信科技集团股份有限公司 | 行为安全基线的编辑数据路由方法、装置和设备 |
CN115065552A (zh) * | 2022-07-27 | 2022-09-16 | 北京六方云信息技术有限公司 | 工业通讯防护方法、装置、终端设备及存储介质 |
CN115086022A (zh) * | 2022-06-14 | 2022-09-20 | 中国银行股份有限公司 | 一种调整安全评估指标体系的方法及装置 |
CN115174211A (zh) * | 2022-07-05 | 2022-10-11 | 北京珞安科技有限责任公司 | 基于流量分析与控制的工业安全防护系统 |
CN115174273A (zh) * | 2022-09-06 | 2022-10-11 | 军工保密资格审查认证中心 | 数据处理方法、工业控制系统、电子设备及存储介质 |
CN115580490A (zh) * | 2022-11-25 | 2023-01-06 | 国家工业信息安全发展研究中心 | 工业互联网边缘设备行为检测方法、装置、设备及介质 |
CN115695593A (zh) * | 2022-12-27 | 2023-02-03 | 国家工业信息安全发展研究中心 | 基于多维探测的被动式工业互联网资产识别方法及系统 |
CN115865526A (zh) * | 2023-02-20 | 2023-03-28 | 国家工业信息安全发展研究中心 | 一种基于云边协同的工业互联网安全检测方法及系统 |
CN116074113A (zh) * | 2023-03-06 | 2023-05-05 | 成都市以太节点科技有限公司 | 基于业务流程约束的安全防护方法、装置及存储介质 |
CN116628554A (zh) * | 2023-05-31 | 2023-08-22 | 烟台大学 | 一种工业互联网数据异常的检测方法、系统和设备 |
WO2023160227A1 (zh) * | 2022-02-24 | 2023-08-31 | 江苏省未来网络创新研究院 | 一种基于sdn的工业互联网标识异常流量识别方法 |
CN117395070A (zh) * | 2023-11-16 | 2024-01-12 | 国家计算机网络与信息安全管理中心 | 一种基于流量特征的异常流量检测方法 |
CN114006750B (zh) * | 2021-10-29 | 2024-05-28 | 北京顶象技术有限公司 | 异常操作的检测方法、装置和电子设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110753064A (zh) * | 2019-10-28 | 2020-02-04 | 中国科学技术大学 | 机器学习和规则匹配融合的安全检测系统 |
CN111200605A (zh) * | 2019-12-31 | 2020-05-26 | 网络通信与安全紫金山实验室 | 一种基于Handle系统的恶意标识防御方法及系统 |
CN112165501A (zh) * | 2020-08-05 | 2021-01-01 | 宁夏无线互通信息技术有限公司 | 基于工业互联网标识解析产品远程运维系统及运维方法 |
CN112417477A (zh) * | 2020-11-24 | 2021-02-26 | 恒安嘉新(北京)科技股份公司 | 一种数据安全监测方法、装置、设备及存储介质 |
US20210194909A1 (en) * | 2018-05-03 | 2021-06-24 | Siemens Aktiengesellschaft | Analysis device, method and system for operational technology system and storage medium |
CN113079148A (zh) * | 2021-03-25 | 2021-07-06 | 恒安嘉新(北京)科技股份公司 | 一种工业互联网安全监测方法、装置、设备及储存介质 |
CN113114690A (zh) * | 2021-04-15 | 2021-07-13 | 恒安嘉新(北京)科技股份公司 | 威胁事件识别方法、装置、设备及存储介质 |
-
2021
- 2021-07-29 CN CN202110864239.3A patent/CN113556354B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20210194909A1 (en) * | 2018-05-03 | 2021-06-24 | Siemens Aktiengesellschaft | Analysis device, method and system for operational technology system and storage medium |
CN110753064A (zh) * | 2019-10-28 | 2020-02-04 | 中国科学技术大学 | 机器学习和规则匹配融合的安全检测系统 |
CN111200605A (zh) * | 2019-12-31 | 2020-05-26 | 网络通信与安全紫金山实验室 | 一种基于Handle系统的恶意标识防御方法及系统 |
CN112165501A (zh) * | 2020-08-05 | 2021-01-01 | 宁夏无线互通信息技术有限公司 | 基于工业互联网标识解析产品远程运维系统及运维方法 |
CN112417477A (zh) * | 2020-11-24 | 2021-02-26 | 恒安嘉新(北京)科技股份公司 | 一种数据安全监测方法、装置、设备及存储介质 |
CN113079148A (zh) * | 2021-03-25 | 2021-07-06 | 恒安嘉新(北京)科技股份公司 | 一种工业互联网安全监测方法、装置、设备及储存介质 |
CN113114690A (zh) * | 2021-04-15 | 2021-07-13 | 恒安嘉新(北京)科技股份公司 | 威胁事件识别方法、装置、设备及存储介质 |
Non-Patent Citations (1)
Title |
---|
池程等: "《工业互联网标识解析安全风险分析模型研究》", 《信息通信技术与政策》 * |
Cited By (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114006750A (zh) * | 2021-10-29 | 2022-02-01 | 北京顶象技术有限公司 | 异常操作的检测方法、装置和电子设备 |
CN114006750B (zh) * | 2021-10-29 | 2024-05-28 | 北京顶象技术有限公司 | 异常操作的检测方法、装置和电子设备 |
CN114022049A (zh) * | 2021-12-10 | 2022-02-08 | 萍乡市圣迈互联网科技有限公司 | 一种基于云计算的智慧业务信息风险处理方法及系统 |
CN114221805A (zh) * | 2021-12-13 | 2022-03-22 | 恒安嘉新(北京)科技股份公司 | 一种工业互联网数据的监测方法、装置、设备及介质 |
CN114666088A (zh) * | 2021-12-30 | 2022-06-24 | 爱普(福建)科技有限公司 | 工业网络数据行为信息的侦测方法、装置、设备和介质 |
WO2023160227A1 (zh) * | 2022-02-24 | 2023-08-31 | 江苏省未来网络创新研究院 | 一种基于sdn的工业互联网标识异常流量识别方法 |
CN114844831B (zh) * | 2022-03-18 | 2024-02-27 | 奇安信科技集团股份有限公司 | 行为安全基线的编辑数据路由方法、装置和设备 |
CN114844831A (zh) * | 2022-03-18 | 2022-08-02 | 奇安信科技集团股份有限公司 | 行为安全基线的编辑数据路由方法、装置和设备 |
CN114760126A (zh) * | 2022-04-08 | 2022-07-15 | 沈阳化工大学 | 一种工控网络流量实时入侵检测方法 |
CN114760126B (zh) * | 2022-04-08 | 2023-09-19 | 沈阳化工大学 | 一种工控网络流量实时入侵检测方法 |
CN114710354A (zh) * | 2022-04-11 | 2022-07-05 | 中国电信股份有限公司 | 异常事件检测方法及装置、存储介质及电子设备 |
CN114710354B (zh) * | 2022-04-11 | 2023-09-08 | 中国电信股份有限公司 | 异常事件检测方法及装置、存储介质及电子设备 |
CN114726631A (zh) * | 2022-04-12 | 2022-07-08 | 中国电信股份有限公司 | 一种标识解析体系架构的安全防护方法及相关设备 |
CN114726631B (zh) * | 2022-04-12 | 2023-10-03 | 中国电信股份有限公司 | 一种标识解析体系架构的安全防护方法及相关设备 |
CN115086022A (zh) * | 2022-06-14 | 2022-09-20 | 中国银行股份有限公司 | 一种调整安全评估指标体系的方法及装置 |
CN115174211A (zh) * | 2022-07-05 | 2022-10-11 | 北京珞安科技有限责任公司 | 基于流量分析与控制的工业安全防护系统 |
CN115065552A (zh) * | 2022-07-27 | 2022-09-16 | 北京六方云信息技术有限公司 | 工业通讯防护方法、装置、终端设备及存储介质 |
CN115065552B (zh) * | 2022-07-27 | 2023-01-10 | 北京六方云信息技术有限公司 | 工业通讯防护方法、装置、终端设备及存储介质 |
CN115174273A (zh) * | 2022-09-06 | 2022-10-11 | 军工保密资格审查认证中心 | 数据处理方法、工业控制系统、电子设备及存储介质 |
CN115174273B (zh) * | 2022-09-06 | 2023-01-06 | 军工保密资格审查认证中心 | 数据处理方法、工业控制系统、电子设备及存储介质 |
CN115580490B (zh) * | 2022-11-25 | 2023-03-24 | 国家工业信息安全发展研究中心 | 工业互联网边缘设备行为检测方法、装置、设备及介质 |
CN115580490A (zh) * | 2022-11-25 | 2023-01-06 | 国家工业信息安全发展研究中心 | 工业互联网边缘设备行为检测方法、装置、设备及介质 |
CN115695593B (zh) * | 2022-12-27 | 2023-03-10 | 国家工业信息安全发展研究中心 | 基于多维探测的被动式工业互联网资产识别方法及系统 |
CN115695593A (zh) * | 2022-12-27 | 2023-02-03 | 国家工业信息安全发展研究中心 | 基于多维探测的被动式工业互联网资产识别方法及系统 |
CN115865526B (zh) * | 2023-02-20 | 2023-05-30 | 国家工业信息安全发展研究中心 | 一种基于云边协同的工业互联网安全检测方法及系统 |
CN115865526A (zh) * | 2023-02-20 | 2023-03-28 | 国家工业信息安全发展研究中心 | 一种基于云边协同的工业互联网安全检测方法及系统 |
CN116074113B (zh) * | 2023-03-06 | 2023-08-15 | 成都市以太节点科技有限公司 | 基于业务流程约束的安全防护方法、装置及存储介质 |
CN116074113A (zh) * | 2023-03-06 | 2023-05-05 | 成都市以太节点科技有限公司 | 基于业务流程约束的安全防护方法、装置及存储介质 |
CN116628554A (zh) * | 2023-05-31 | 2023-08-22 | 烟台大学 | 一种工业互联网数据异常的检测方法、系统和设备 |
CN116628554B (zh) * | 2023-05-31 | 2023-11-03 | 烟台大学 | 一种工业互联网数据异常的检测方法、系统和设备 |
CN117395070A (zh) * | 2023-11-16 | 2024-01-12 | 国家计算机网络与信息安全管理中心 | 一种基于流量特征的异常流量检测方法 |
CN117395070B (zh) * | 2023-11-16 | 2024-05-03 | 国家计算机网络与信息安全管理中心 | 一种基于流量特征的异常流量检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113556354B (zh) | 2022-03-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113556354B (zh) | 一种基于流量分析的工业互联网安全威胁检测方法与系统 | |
CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
CN111277570A (zh) | 数据的安全监测方法和装置、电子设备、可读介质 | |
CN107172022B (zh) | 基于入侵途径的apt威胁检测方法和系统 | |
Le et al. | Traffic dispersion graph based anomaly detection | |
CN111404914A (zh) | 一种特定攻击场景下泛在电力物联网终端安全防护方法 | |
CN112131577A (zh) | 一种漏洞检测方法、装置、设备及计算机可读存储介质 | |
CN101771702A (zh) | 点对点网络中防御分布式拒绝服务攻击的方法及系统 | |
CN115865526B (zh) | 一种基于云边协同的工业互联网安全检测方法及系统 | |
Fei et al. | The abnormal detection for network traffic of power iot based on device portrait | |
Shi et al. | The penetration testing framework for large-scale network based on network fingerprint | |
Zhao | Network intrusion detection system model based on data mining | |
Kebande et al. | Functional requirements for adding digital forensic readiness as a security component in IoT environments | |
Singh et al. | Hides: Hybrid intrusion detector for energy systems | |
Khade et al. | Detection of phishing websites using data mining techniques | |
Sen et al. | Towards an approach to contextual detection of multi-stage cyber attacks in smart grids | |
Aldwairi et al. | Flukes: Autonomous log forensics, intelligence and visualization tool | |
Athavale et al. | Framework for threat analysis and attack modelling of network security protocols | |
CN109729084B (zh) | 一种基于区块链技术的网络安全事件检测方法 | |
CN111031068B (zh) | 一种基于复杂网络的dns分析方法 | |
Peng et al. | Research on abnormal detection technology of real-time interaction process in new energy network | |
Sivabalan et al. | Detecting IoT zombie attacks on web servers | |
Lingkang et al. | Detection of abnormal data flow at network boundary of renewable energy power system | |
Tan et al. | Web Application Anomaly Detection Based On Converting HTTP Request Parameters To Numeric | |
CN112417462B (zh) | 一种网络安全漏洞追踪方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |