CN113872958B - 一种基于工控安全态势感知的智能网络识别工具 - Google Patents
一种基于工控安全态势感知的智能网络识别工具 Download PDFInfo
- Publication number
- CN113872958B CN113872958B CN202111121632.XA CN202111121632A CN113872958B CN 113872958 B CN113872958 B CN 113872958B CN 202111121632 A CN202111121632 A CN 202111121632A CN 113872958 B CN113872958 B CN 113872958B
- Authority
- CN
- China
- Prior art keywords
- data
- baseline
- module
- stream
- intelligent network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于工控安全态势感知的智能网络识别工具,包括,数据流镜像模块、数据包切流和拼接模块、解码模块、数据流识别模块、关键字数据库、信息数据库、基线拟合算法和基线报警模块;数据流镜像模块、数据包切流和拼接模块、解码模块对数据包进行切流、拼流、解码等操作,获得明文流量;定制关键字数据库时,数据流识别模块根据明文流量的还原出的文件,对明文流量进行识别,标识有价值的数据、文件,整理抓取规则,形成关键字数据库,数据流识别模块依照关键字数据库对流量进行数据抓取,把抓取到的数据存入信息数据库;基线拟合算法根据抓取到的数据拟合为系统运行基线;基线报警模块根据系统运行基线,对落在基线外的数据进行报警。
Description
技术领域
本申请涉及工控网络安全领域,尤其涉及一种基于工控安全态势感知的智能网络识别工具。
背景技术
态势感知与监测预警平台是一套通过感知能力汇聚威胁情报汇入和深度分析能力延展,支撑态势分析研判、安全策略制定、通报预警处置、交互式信息资产安全分析的业务系统,是以防护目标为视角,赋予用户私有化威胁发现能力的网络安全全局掌控与感知新体系。
一般地,态势感知与监测预警平台包含前端监测和防御组件、后端安全运营中心(SOC),优劣主要体现在三个方面,一是前端的终端、服务器和网络检测和防护设备的检测、监测能力以及防护能力和这些设备在用户网络中的部署范围(全面覆盖或部分覆盖);二是后端态势感知与监测预警平台的大数据分析能力和专家人工分析能力;三是网络威胁情报库的容量。本技术是一种不基于网络威胁情报的态势感知分析报警工具。
CN111885059B提供了一种工业网络异常检测算法,包括步骤1、在工业网络流量交换的节点部署交换机,步骤2、通过网络接口读取流量数据,将流量数据传递给协议解析算法进行实时分层协议剖析,提取网络行为特征;步骤3、对特征缺失的情况进行处理,将数据特征处理成数字形式,从数据特征中选取合适的特征组合进行模型训练;步骤4、对每种协议建立网络行为模型,以判断是否出现异常;步骤5、利用正常的流量数据对OSI网络模型的各层协议特征建立网络行为模型,将异常流量输入网络行为模型进行进一步的异常分析,输出流量的异常定位结果;步骤6、每隔一段时间,对网络行为模型进行训练数据的更新并替换原模型;
CN106330964B提供了一种网络入侵探测与主动防御联动控制装置,包括:数据包转发模块;数据包镜像流量预处理模块;联动控制装置模块;网络行为检测分析模块;流量数据库集群系统。本发明结合传统的网络异常检测PHAD模型方法,结合有限地对数据包内容关键字段进行深度检测和分析,力求准确地判断是否具有攻击行为特征的网络流量,在此基础上,通过对数据包转发模块的转发规则表实施动态干预,实现对异常数据流量的阻断。
现有态势感知技术都是基于流量特征进行分析,利用样本库、威胁情报库等匹配危险流量特征进行报警,针对0day或未列入威胁情报的1day攻击缺乏发现能力,对于针对性的手动精密攻击或APT攻击同样缺乏发现能力。
发明内容
本发明公开了一种基于工控安全态势感知的智能网络识别工具,包括:
数据流镜像模块、数据包切流和拼接模块、解码模块、数据流识别模块、关键字数据库、信息数据库、基线拟合算法和基线报警模块;
数据流镜像模块对网络流量进行复制、转发、备份,得到流量数据流;所述数据包切流和拼接模块对流量数据流进行切流,得到ip对间的交互数据流,再依照时序对交互数据流的数据包的携带数据进行拼接,得到完整的ip对间的传输数据流;解码模块对所述ip对间的传输数据流进行解码,得到解码后的明文流量;定制关键字数据库时,数据流识别模块根据明文流量的还原出的文件,识别出想要抓取的数据,和对识别有干扰的应排除的无用数据,对明文流量进行识别,标识有价值的数据、文件,整理抓取规则,形成关键字数据库,数据流识别模块依照关键字数据库对流量进行数据抓取,把抓取到的数据存入信息数据库;基线拟合算法根据抓取到的数据拟合为系统运行基线,规划出正常运行范围和非常规运行范围;基线报警模块根据系统运行基线、规划出正常运行范围和非常规运行范围,对落在基线外的数据进行报警。
优选地,还包括:基线数据库;基线数据库存储计算出的基线,并不断根据新数据更新基线数据。
优选地,数据包切流和拼接模块对所述流量数据流进行切流之前还包括:从流量数据流中按行读取每个数据包,对数据包进行解包,分离数据包包头和携带数据,得到包头中包含的数据包的五元组。
优选地,五元组包括:源IP地址、源端口、目的IP地址、目的端口和传输层协议。
优选地,数据包切流和拼接模块根据所述五元组对所述流量数据流进行切流,得到ip对间的交互数据流。
优选地,进行解码的具体过程包括:从raw_unicode转码为可读的utf8或者gbk编码。
优选地,关键字数据库存储明文流量的关键字字段和人工识别的还原文件中的有价值字段;
默认存储有中文、日期、邮箱、电话、姓名。
优选地,信息数据库存储抓取到的明文流量的数据字段组,包括数据包时间、数据包通讯IP、网页标题,网页内姓名、电话、登陆时间、操作行为,或者是传输文件的行为、文件名、大小、时间、格式、目标路径。
优选地,基线报警模块还包括:
管理人员对报警进行处置,根据处置结果判断是否根据新数据更新基线范围;
处置结果为正常则存入信息数据库,用于计算更新基线覆盖范围。
优选地,基线拟合算法还包括:
结合报警的处置结果对基线进行修正,使基线逐渐贴合实际业务环境。
本申请实施例提供的上述技术方案与现有技术相比具有如下优点:
1、从态势感知流量数据包中抓取文件,可帮助分析网络行为;
2、从态势感知流量数据包中抓取目标信息,用于进一步分析或直接收集信息;
3、利用态势感知流量数据包中抓取到的信息进行网络行为建模并基于模型进行异常行为报警。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例提供的基于工控安全态势感知的智能网络识别工具结构框图;
图2是本发明实施例提供的基于工控安全态势感知的智能网络识别工具识别过程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1:
如图1和图2所示,本申请实施例提供的基于工控安全态势感知的智能网络识别工具,包括
数据流镜像模块、数据包切流和拼接模块、解码模块、数据流识别模块、关键字数据库、信息数据库、基线拟合算法和基线报警模块;
所述数据流镜像模块对网络流量进行复制、转发、备份,得到流量数据流;所述数据包切流和拼接模块对所述流量数据流进行切流,得到ip对间的交互数据流,再依照时序对交互数据流的数据包的携带数据进行拼接,得到完整的ip对间的传输数据流;所述解码模块对所述ip对间的传输数据流进行解码,得到解码后的明文流量;定制所述关键字数据库时,所述数据流识别模块根据明文流量的还原出的文件,识别出想要抓取的数据,和对识别有干扰的应排除的无用数据,对明文流量进行识别,标识有价值的数据、文件,整理抓取规则,形成关键字数据库,所述数据流识别模块依照关键字数据库对流量进行数据抓取,把抓取到的数据存入信息数据库;所述基线拟合算法根据抓取到的数据拟合为系统运行基线,规划出正常运行范围和非常规运行范围;
在一些实施例中,抓取的数据中存时间、用户名、登录行为的字段组,则可对时间和用户名进行关联分析,建立相应规则,如出现异常时间登陆行为则进行报警;
所述基线报警模块根据系统运行基线、规划出正常运行范围和非常规运行范围,对落在基线外的数据进行报警。
根据上述方案,进一步,所述工具还包括:基线数据库;所述基线数据库存储计算出的基线,并不断根据新数据更新基线数据。
其中,所述数据包切流和拼接模块对所述流量数据流进行切流之前还包括:从流量数据流中按行读取每个数据包,对数据包进行解包,分离数据包包头和携带数据,得到包头中包含的数据包的五元组;所述五元组包括:源IP地址、源端口、目的IP地址、目的端口和传输层协议;因为流量包中包含了整个网络中的所有数据包,需要根据数据包五元组对混杂的数据流进行切流,得到ip对间的交互数据流
在一些实施例中,切流和拼接后的数据流大都经过编码甚至简单的加密,部分字符经过url转码,所以需要对得到的ip对间数据流进行解码,从raw_unicode转码为可读的utf8或者gbk编码,得到解码后的明文流量。
优选地,在关键字数据库中存储识别规则,例如在某网页中用户名存储于<CreatePersonName>字段后,所以用<CreatePersonName>(.*?)</CreatePersonName>规则抓取明文流量内的相应字符串,就可以得到用户名。在关键字数据库中存储了多种规则,例如[^\d](1[3584]\d{9})[^\d]对应的手机号规则,\d{4}-\d{7}对应的座机号规则等。
同时,文件在流量中也以字符串形式存在,所以只要识别文件头和文件尾,即可抓取文件。
更进一步,所述关键字数据库存储明文流量的关键字字段和人工识别的还原文件中的有价值字段;
默认存储有中文、日期、邮箱、电话、姓名。
在一些实施例中,所述信息数据库存储抓取到的明文流量的数据字段组,包括数据包时间、数据包通讯IP、网页标题,网页内姓名、电话、登陆时间、操作行为,或者是传输文件的行为、文件名、大小、时间、格式、目标路径。
其中,所述基线报警模块还包括:
管理人员对报警进行处置,根据处置结果判断是否根据新数据更新基线范围;
所述处置结果为正常则存入信息数据库,用于计算更新基线覆盖范围,不断迭代使基线更加贴合业务流程,误报率不断降低;
处置结果为异常则存入异常信息库,管理人员处置之后用于训练基线。
在一些实施例中,优选地,所述基线拟合算法还包括:
结合报警的处置结果对基线进行修正,使基线逐渐贴合实际业务环境。
本说明书中描述的主题及功能操作的实施例可以在以下中实现:数字电子电路、有形体现的计算机软件或固件、包括本说明书中公开的结构及其结构性等同物的计算机硬件、或者它们中的一个或多个的组合。本说明书中描述的主题的实施例可以实现为一个或多个计算机程序,即编码在有形非暂时性程序载体上以被数据处理装置执行或控制数据处理装置的操作的计算机程序指令中的一个或多个模块。可替代地或附加地,程序指令可以被编码在人工生成的传播信号上,例如机器生成的电、光或电磁信号,该信号被生成以将信息编码并传输到合适的接收机装置以由数据处理装置执行。计算机存储介质可以是机器可读存储设备、机器可读存储基板、随机或串行存取存储器设备、或它们中的一个或多个的组合。
本说明书中描述的处理及逻辑流程可以由执行一个或多个计算机程序的一个或多个可编程计算机执行,以通过根据输入数据进行操作并生成输出来执行相应的功能。所述处理及逻辑流程还可以由专用逻辑电路—例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)来执行,并且装置也可以实现为专用逻辑电路。
适合用于执行计算机程序的计算机包括,例如通用和/或专用微处理器,或任何其他类型的中央处理单元。通常,中央处理单元将从只读存储器和/或随机存取存储器接收指令和数据。计算机的基本组件包括用于实施或执行指令的中央处理单元以及用于存储指令和数据的一个或多个存储器设备。通常,计算机还将包括用于存储数据的一个或多个大容量存储设备,例如磁盘、磁光盘或光盘等,或者计算机将可操作地与此大容量存储设备耦接以从其接收数据或向其传送数据,抑或两种情况兼而有之。然而,计算机不是必须具有这样的设备。此外,计算机可以嵌入在另一设备中,例如移动电话、个人数字助理(PDA)、移动音频或视频播放器、游戏操纵台、全球定位系统(GPS)接收机、或例如通用串行总线(USB)闪存驱动器的便携式存储设备,仅举几例。
适合于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性存储器、媒介和存储器设备,例如包括半导体存储器设备(例如EPROM、EEPROM和闪存设备)、磁盘(例如内部硬盘或可移动盘)、磁光盘以及CD ROM和DVD-ROM盘。处理器和存储器可由专用逻辑电路补充或并入专用逻辑电路中。
虽然本说明书包含许多具体实施细节,但是这些不应被解释为限制任何发明的范围或所要求保护的范围,而是主要用于描述特定发明的具体实施例的特征。本说明书内在多个实施例中描述的某些特征也可以在单个实施例中被组合实施。另一方面,在单个实施例中描述的各种特征也可以在多个实施例中分开实施或以任何合适的子组合来实施。此外,虽然特征可以如上所述在某些组合中起作用并且甚至最初如此要求保护,但是来自所要求保护的组合中的一个或多个特征在一些情况下可以从该组合中去除,并且所要求保护的组合可以指向子组合或子组合的变型。
类似地,虽然在附图中以特定顺序描绘了操作,但是这不应被理解为要求这些操作以所示的特定顺序执行或顺次执行、或者要求所有例示的操作被执行,以实现期望的结果。在某些情况下,多任务和并行处理可能是有利的。此外,上述实施例中的各种系统模块和组件的分离不应被理解为在所有实施例中均需要这样的分离,并且应当理解,所描述的程序组件和系统通常可以一起集成在单个软件产品中,或者封装成多个软件产品。
由此,主题的特定实施例已被描述。其他实施例在所附权利要求书的范围以内。在某些情况下,权利要求书中记载的动作可以以不同的顺序执行并且仍实现期望的结果。此外,附图中描绘的处理并非必需所示的特定顺序或顺次顺序,以实现期望的结果。在某些实现中,多任务和并行处理可能是有利的。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种基于工控安全态势感知的智能网络识别工具,其特征在于,所述工具包括:
数据流镜像模块、数据包切流和拼接模块、解码模块、数据流识别模块、关键字数据库、信息数据库、基线拟合算法和基线报警模块;
所述数据流镜像模块对网络流量进行复制、转发、备份,得到流量数据流;所述数据包切流和拼接模块对所述流量数据流进行切流,得到ip对间的交互数据流,再依照时序对交互数据流的数据包的携带数据进行拼接,得到完整的ip对间的传输数据流;所述解码模块对所述ip对间的传输数据流进行解码,得到解码后的明文流量;定制所述关键字数据库时,所述数据流识别模块根据明文流量的还原出的文件,识别出想要抓取的数据,和对识别有干扰的应排除的无用数据,对明文流量进行识别,标识有价值的数据、文件,整理抓取规则,形成关键字数据库,所述数据流识别模块依照关键字数据库对流量进行数据抓取,把抓取到的数据存入信息数据库;所述基线拟合算法和基线报警模块根据规划出正常运行范围和非常规运行范围;所述基线报警模块根据系统运行基线、规划出正常运行范围和非常规运行范围,对落在基线外的数据进行报警。
2.根据权利要求1所述的基于工控安全态势感知的智能网络识别工具,其特征在于,所述工具还包括:基线数据库;所述基线数据库存储计算出的基线,并不断根据新数据更新基线数据。
3.根据权利要求1所述的基于工控安全态势感知的智能网络识别工具,其特征在于,所述数据包切流和拼接模块对所述流量数据流进行切流之前还包括:从流量数据流中按行读取每个数据包,对数据包进行解包,分离数据包包头和携带数据,得到包头中包含的数据包的五元组。
4.根据权利要求3所述的基于工控安全态势感知的智能网络识别工具,其特征在于,所述五元组包括:源IP地址、源端口、目的IP地址、目的端口和传输层协议。
5.根据权利要求4所述的基于工控安全态势感知的智能网络识别工具,其特征在于,所述数据包切流和拼接模块根据所述五元组对所述流量数据流进行切流,得到ip对间的交互数据流。
6.根据权利要求1所述的基于工控安全态势感知的智能网络识别工具,其特征在于,所述进行解码的具体过程包括:从raw_unicode转码为可读的utf8或者gbk编码。
7.根据权利要求1所述的基于工控安全态势感知的智能网络识别工具,其特征在于,所述关键字数据库存储明文流量的关键字字段和人工识别的还原文件中的有价值字段;
默认存储有中文、日期、邮箱、电话、姓名。
8.根据权利要求1所述的基于工控安全态势感知的智能网络识别工具,其特征在于,所述信息数据库存储抓取到的明文流量的数据字段组,包括数据包时间、数据包通讯IP、网页标题,网页内姓名、电话、登陆时间、操作行为,或者是传输文件的行为、文件名、大小、时间、格式、目标路径。
9.根据权利要求1所述的基于工控安全态势感知的智能网络识别工具,其特征在于,所述基线报警模块还包括:
管理人员对报警进行处置,根据处置结果判断是否根据新数据更新基线范围;
所述处置结果为正常则存入信息数据库,用于计算更新基线覆盖范围。
10.根据权利要求9所述的基于工控安全态势感知的智能网络识别工具,其特征在于,所述基线拟合算法还包括:
结合报警的处置结果对基线进行修正,使基线逐渐贴合实际业务环境。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111121632.XA CN113872958B (zh) | 2021-09-24 | 2021-09-24 | 一种基于工控安全态势感知的智能网络识别工具 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111121632.XA CN113872958B (zh) | 2021-09-24 | 2021-09-24 | 一种基于工控安全态势感知的智能网络识别工具 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113872958A CN113872958A (zh) | 2021-12-31 |
| CN113872958B true CN113872958B (zh) | 2023-07-28 |
Family
ID=78993893
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111121632.XA Active CN113872958B (zh) | 2021-09-24 | 2021-09-24 | 一种基于工控安全态势感知的智能网络识别工具 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113872958B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110753049A (zh) * | 2019-10-21 | 2020-02-04 | 清华大学 | 一种基于工控网络流量的安全态势感知系统 |
| CN111343169A (zh) * | 2020-02-19 | 2020-06-26 | 中能融合智慧科技有限公司 | 一种工控环境下安全资源汇聚与情报共享的系统及方法 |
| CN111404964A (zh) * | 2020-03-30 | 2020-07-10 | 恒安嘉新(北京)科技股份公司 | 对ip数据报进行汇聚分流的方法、装置、设备及介质 |
| CN111555919A (zh) * | 2020-04-28 | 2020-08-18 | 山石网科通信技术股份有限公司 | 基于虚拟化云平台的转发流量的方法、装置与存储介质 |
| CN112351024A (zh) * | 2020-11-03 | 2021-02-09 | 广东电网有限责任公司 | 一种公网通信安全监测系统及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120304130A1 (en) * | 2011-05-25 | 2012-11-29 | Battelle Energy Alliance, Llc | Systems, methods, and computer-readable media for monitoring communications on a network |
-
2021
- 2021-09-24 CN CN202111121632.XA patent/CN113872958B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110753049A (zh) * | 2019-10-21 | 2020-02-04 | 清华大学 | 一种基于工控网络流量的安全态势感知系统 |
| CN111343169A (zh) * | 2020-02-19 | 2020-06-26 | 中能融合智慧科技有限公司 | 一种工控环境下安全资源汇聚与情报共享的系统及方法 |
| CN111404964A (zh) * | 2020-03-30 | 2020-07-10 | 恒安嘉新(北京)科技股份公司 | 对ip数据报进行汇聚分流的方法、装置、设备及介质 |
| CN111555919A (zh) * | 2020-04-28 | 2020-08-18 | 山石网科通信技术股份有限公司 | 基于虚拟化云平台的转发流量的方法、装置与存储介质 |
| CN112351024A (zh) * | 2020-11-03 | 2021-02-09 | 广东电网有限责任公司 | 一种公网通信安全监测系统及方法 |
Non-Patent Citations (2)
| Title |
|---|
| "光电子技术";《中国无线电电子学文摘》;第26卷(第2期);第22-55页 * |
| "电力工控系统网络安全智能化管控技术实";俞利锋;《网络空间安全》;第12卷(第Z4期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113872958A (zh) | 2021-12-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230063480A1 (en) | Collection of error packet information for network policy enforcement | |
| US10419464B2 (en) | Systems and methods for targeted attack protection using predictive sandboxing | |
| US9094338B2 (en) | Attributes of captured objects in a capture system | |
| US9497585B1 (en) | Systems and methods for managing emergency information | |
| US8010689B2 (en) | Locational tagging in a capture system | |
| WO2022083417A1 (zh) | 一种数据包处理方法、装置、电子设备、计算机可读存储介质以及计算机程序产品 | |
| US20070022468A1 (en) | Packet transmission equipment and packet transmission system | |
| CN110300100A (zh) | 日志审计的关联分析方法与系统 | |
| JP2006279930A (ja) | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 | |
| CN105915516B (zh) | 基于安全检测的数据流获取方法及装置 | |
| JP2010237975A (ja) | インシデント監視装置,方法,プログラム | |
| CN110995693A (zh) | 一种攻击特征的提取方法、装置及设备 | |
| CN110149318B (zh) | 邮件元数据的处理方法及装置、存储介质、电子装置 | |
| US9027120B1 (en) | Hierarchical architecture in a network security system | |
| JP2008193538A (ja) | ネットワークへの攻撃監視装置および攻撃証跡管理装置 | |
| CN113872958B (zh) | 一种基于工控安全态势感知的智能网络识别工具 | |
| CN115017502A (zh) | 一种流量处理方法、及防护系统 | |
| JP2006246195A (ja) | ネットワーク情報収集システム、ネットワーク情報収集装置およびその制御方法 | |
| CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
| CN108900430B (zh) | 一种网络流量阻断的方法及装置 | |
| CN110881016A (zh) | 一种网络安全威胁评估方法及装置 | |
| CN113992419A (zh) | 一种用户异常行为检测和处理系统及其方法 | |
| CN108881255B (zh) | 一种基于c&c通信状态转换检测僵尸网络的方法 | |
| CN112511545A (zh) | 一种工业审计系统中安全事件上报的方法 | |
| Maru et al. | QoE control of network using collective intelligence of SNS in large-scale disasters |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |