CN114826711A - 一种电力监控系统主机安全监控方法 - Google Patents
一种电力监控系统主机安全监控方法 Download PDFInfo
- Publication number
- CN114826711A CN114826711A CN202210396010.6A CN202210396010A CN114826711A CN 114826711 A CN114826711 A CN 114826711A CN 202210396010 A CN202210396010 A CN 202210396010A CN 114826711 A CN114826711 A CN 114826711A
- Authority
- CN
- China
- Prior art keywords
- data
- traffic
- flow
- packet
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 111
- 238000000034 method Methods 0.000 title claims abstract description 56
- 238000004891 communication Methods 0.000 claims abstract description 39
- 238000012706 support-vector machine Methods 0.000 claims abstract description 25
- 238000000605 extraction Methods 0.000 claims description 25
- 238000004590 computer program Methods 0.000 claims description 23
- 230000015654 memory Effects 0.000 claims description 21
- 238000012545 processing Methods 0.000 claims description 13
- 238000012806 monitoring device Methods 0.000 claims description 8
- 238000013473 artificial intelligence Methods 0.000 description 29
- 239000013598 vector Substances 0.000 description 23
- 230000001960 triggered effect Effects 0.000 description 8
- 230000008520 organization Effects 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000002829 reductive effect Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000007405 data analysis Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000013527 convolutional neural network Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 206010033799 Paralysis Diseases 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000036961 partial effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 230000000306 recurrent effect Effects 0.000 description 1
- 230000006403 short-term memory Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000001308 synthesis method Methods 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种电力监控系统主机安全监控方法。所述方法包括:获取网络通信中的流量数据包,所述流量数据包中包括至少一种流量数据;对所述流量数据进行特征提取,得到所述流量数据对应的流量特征,所述流量数据为所述网络通信对应的监听主机的应用层中的流量数据;将所述流量特征输入预先训练的支持向量机模型,得到所述流量数据对应的至少一种数据类型,并基于所述数据类型对所述流量数据进行安全判断,得到第一判断结果;若所述第一判断结果为所述流量数据为恶意数据,则获取主机对应的安全状态信息,并将所述安全状态信息保存至安全状态区域,生成安全状态日志。采用本方法能够提高安全监控的准确性和可信性。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种电力监控系统主机安全监控方法。
背景技术
随着计算机技术的发展,出现了监控技术,目前安全入侵检测主要分布在各网络节点、边缘,虽然可以发现攻击行为但无法确定攻击者是否成功攻陷目标主机,攻击成功后是否借助隐蔽通道造成了更大的影响,因此网络安全设备存在检测盲区,另外攻击者在攻陷主机后可能会删除日志记录,给漏洞影响排查带来一定影响。
基于新能源厂站监控系统的网络安全风险,在遭受安全攻击时最为关切的事情。电力厂站面临最高级别的定向攻击(Advanced Persistent Threat,APT,高级可持续性威胁)时,在安全识别中如何发现攻击行为、还原攻击路径、确定被攻击影响范围进行攻击取证等,因此,如何准确可信地进行主机安全监控是目前亟待解决的问题。
发明内容
基于此,有必要针对上述技术问题,提供一种能够进行主机安全监控方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种电力监控系统主机安全监控方法。所述方法包括:获取网络通信中的流量数据包,所述流量数据包中包括至少一种流量数据;对所述流量数据进行特征提取,得到所述流量数据对应的流量特征,所述流量数据为所述网络通信对应的监听主机的应用层中的流量数据;将所述流量特征输入预先训练的支持向量机模型,得到所述流量数据对应的至少一种数据类型,并基于所述数据类型对所述流量数据进行安全判断,得到第一判断结果;若所述第一判断结果为所述流量数据为恶意数据,则获取主机对应的安全状态信息,并将所述安全状态信息保存至安全状态区域,生成安全状态日志。
在其中一个实施例中,所述获取网络通信中的流量数据包之后,还包括:对数据流量包进行解析,得到数据流量信息,所述数据流量信息表征所述数据流量包的表达信息量的大小;对所述数据流量信息的大小与预设的流量阈值进行对比,得到第二判断结果;若所述第二判断结果为所述数据流量信息的大小大于所述预设的第一阈值,则禁止访问网络,若所述第二判断结果为所述数据流量信息的大小小于或者等于所述预设的第一阈值,则保持系统正常运行或者返回监听识别。
在其中一个实施例中,所述对数据流量包进行解析,得到数据流量信息,所述数据流量信息表征所述数据流量包的表达信息量的大小之前,还包括:获取所述监听主机对应的所有网卡的抓包文件信息,并将所述抓包文件信息按照预设格式进行存储;判断当前预设格式存储对应抓包文件信息对应的存储时间是否超过预设的第二阈值;得到第三判断结果;若所述第三判断结果为所述存储时间超过所述预设的第二阈值,则删除所述抓包文件信息对应的信息包;所所述第三判断结果为所述存储时间符合所述预设的第二阈值,则获取下一个对应的抓包文件信息。
在其中一个实施例中,所述对数据流量包进行解析,得到数据流量信息,所述数据流量信息表征所述数据流量包的表达信息量的大小之前,还包括:获取通过在网络中传输的所有所述流量数据包,所述流量数据包包括正常数据和所述恶意数据,所述正常数据是能够通过所述安全监控的数据,所述恶意数据是被所述安全监控所拦截的数据。
在其中一个实施例中,所述对所述流量数据进行特征提取,得到所述流量数据对应的流量特征,包括:获取所述流量数据中的应用层协议流量,并对所述应用层协议流量进行特征提取,得到所述应用层协议流量对应的协议流量特征;当所述应用层协议流量中存在文件对象时,对所述文件对象进行特征提取,得到所述文件对象对应的文件对象特征;在所述主机中运行所述文件对象,并根据运行结果确定与所述主机相关的文件运行特征;根据所述协议流量特征、所述文件对象特征以及所述文件运行特征,得到所述流量数据对应的流量特征。
在其中一个实施例中,所述基于所述数据类型对所述流量数据进行安全判断,得到第一判断结果的之后,还包括:若所述第一判断结果为所述流量数据为正常数据,则保持系统正常运行或者返回监听识别。
第二方面,本申请还提供了一种电力监控系统主机安全监控装置。所述装置包括:流量数据包获取模块,用于获取网络通信中的流量数据包,所述流量数据包中包括至少一种流量数据;流量特征得到模块,用于对所述流量数据进行特征提取,得到所述流量数据对应的流量特征,所述流量数据为所述网络通信对应的监听主机的应用层中的流量数据;第一判断结果得到模块,用于将所述流量特征输入预先训练的支持向量机模型,得到所述流量数据对应的至少一种数据类型,并基于所述数据类型对所述流量数据进行安全判断,得到第一判断结果;恶意数据处理模块,用于若所述第一判断结果为所述流量数据为恶意数据,则获取主机对应的安全状态信息,并将所述安全状态信息保存至安全状态区域,生成安全状态日志。
在其中一个实施例中,第二判断结果处理模块,用于对数据流量包进行解析,得到数据流量信息,所述数据流量信息表征所述数据流量包的表达信息量的大小;对所述数据流量信息的大小与预设的流量阈值进行对比,得到第二判断结果;若所述第二判断结果为所述数据流量信息的大小大于所述预设的第一阈值,则禁止访问网络,若所述第二判断结果为所述数据流量信息的大小小于或者等于所述预设的第一阈值,则保持系统正常运行或者返回监听识别
在其中一个实施例中,监听模块,用于获取所述监听主机对应的所有网卡的抓包文件信息,并将所述抓包文件信息按照预设格式进行存储;判断当前预设格式存储对应抓包文件信息对应的存储时间是否超过预设的第二阈值;得到第三判断结果;若所述第三判断结果为所述存储时间超过所述预设的第二阈值,则删除所述抓包文件信息对应的信息包;所所述第三判断结果为所述存储时间符合所述预设的第二阈值,则获取下一个对应的抓包文件信息。
在其中一个实施例中,监听模块,还用于获取通过在网络中传输的所有所述流量数据包,所述流量数据包包括正常数据和所述恶意数据,所述正常数据是能够通过所述安全监控的数据,所述恶意数据是被所述安全监控所拦截的数据。
在其中一个实施例中,流量特征得到模块,用于获取所述流量数据中的应用层协议流量,并对所述应用层协议流量进行特征提取,得到所述应用层协议流量对应的协议流量特征;
当所述应用层协议流量中存在文件对象时,对所述文件对象进行特征提取,得到所述文件对象对应的文件对象特征;在所述主机中运行所述文件对象,并根据运行结果确定与所述主机相关的文件运行特征;根据所述协议流量特征、所述文件对象特征以及所述文件运行特征,得到所述流量数据对应的流量特征。
在其中一个实施例中,正常数据处理模块,用于若所述第一判断结果为所述流量数据为正常数据,则保持系统正常运行或者返回监听识别。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:获取网络通信中的流量数据包,所述流量数据包中包括至少一种流量数据;对所述流量数据进行特征提取,得到所述流量数据对应的流量特征,所述流量数据为所述网络通信对应的监听主机的应用层中的流量数据;将所述流量特征输入预先训练的支持向量机模型,得到所述流量数据对应的至少一种数据类型,并基于所述数据类型对所述流量数据进行安全判断,得到第一判断结果;若所述第一判断结果为所述流量数据为恶意数据,则获取主机对应的安全状态信息,并将所述安全状态信息保存至安全状态区域,生成安全状态日志。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:获取网络通信中的流量数据包,所述流量数据包中包括至少一种流量数据;对所述流量数据进行特征提取,得到所述流量数据对应的流量特征,所述流量数据为所述网络通信对应的监听主机的应用层中的流量数据;将所述流量特征输入预先训练的支持向量机模型,得到所述流量数据对应的至少一种数据类型,并基于所述数据类型对所述流量数据进行安全判断,得到第一判断结果;若所述第一判断结果为所述流量数据为恶意数据,则获取主机对应的安全状态信息,并将所述安全状态信息保存至安全状态区域,生成安全状态日志。
第五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:获取网络通信中的流量数据包,所述流量数据包中包括至少一种流量数据;对所述流量数据进行特征提取,得到所述流量数据对应的流量特征,所述流量数据为所述网络通信对应的监听主机的应用层中的流量数据;将所述流量特征输入预先训练的支持向量机模型,得到所述流量数据对应的至少一种数据类型,并基于所述数据类型对所述流量数据进行安全判断,得到第一判断结果;若所述第一判断结果为所述流量数据为恶意数据,则获取主机对应的安全状态信息,并将所述安全状态信息保存至安全状态区域,生成安全状态日志。
上述电力监控系统主机安全监控方法、装置、计算机设备、存储介质和计算机程序产品,通过获取网络通信中的流量数据包,流量数据包中包括至少一种流量数据;对流量数据进行特征提取,得到流量数据对应的流量特征,流量数据为网络通信对应的监听主机的应用层中的流量数据;将流量特征输入预先训练的支持向量机模型,得到流量数据对应的至少一种数据类型,并基于数据类型对流量数据进行安全判断,得到第一判断结果;若第一判断结果为流量数据为恶意数据,则获取主机对应的安全状态信息,并将安全状态信息保存至安全状态区域,生成安全状态日志。
通过获取网络通信中的流量数据包,能够直接快速地将大量流量数据传输到服务器,减少服务器与终端的交互时间;对流量数据进行特征提取,得到流量数据对应的流量特征,能够使用流量特征对流量数据中的特点进行表示,进一步突出流量数据的特点;将流量特征输入预先训练的支持向量机模型,得到流量数据对应的至少一种数据类型,并基于数据类型对流量数据进行安全判断,得到第一判断结果,能够减少人工分类所带来的缺点,使得分类更为准确,提升分类的效率,进一步提升判断结果的准确率;若第一判断结果为流量数据为恶意数据,则获取主机对应的安全状态信息,并将安全状态信息保存至安全状态区域,生成安全状态日志,能够及时拦截恶意数据,并对拦截的情况进行记录,有助于对拦截的情况进行翻阅。
通过上述方法可以提高组织的入侵检测能力,能够更加全面的监测到所属资产的历史状态信息,针对攻击行为能够快速记录入侵日志,及时确定攻击影响范围,提升组织应急响应的能力,保障组织的业务连续性,同时可信的日志保证了取证的有效性。
附图说明
图1为一个实施例中电力监控系统主机安全监控方法的应用环境图;
图2为一个实施例中电力监控系统主机安全监控方法的流程示意图;
图3为另一个实施例中电力监控系统主机安全监控方法的流程示意图;
图4为又一个实施例中电力监控系统主机安全监控方法的流程示意图;
图5为再一个实施例中电力监控系统主机安全监控方法的流程示意图;
图6为一个实施例中电力监控系统主机安全监控装置的结构框图;
图7为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的电力监控系统主机安全监控方法,可以应用于如图1所示的应用环境中。终端102获取数据,服务器104响应终端102的指令接收终端102的数据,并且对获取得到的数据进行计算,服务器104将数据的计算结果传输回终端102,并且由终端102进行显示。其中,终端102通过网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上,也可以放在云上或其他网络服务器上。服务器104从终端102处获取网络通信中的流量数据包,流量数据包中包括至少一种流量数据;对流量数据进行特征提取,得到流量数据对应的流量特征,流量数据为网络通信对应的监听主机的应用层中的流量数据;将流量特征输入预先训练的支持向量机模型,得到流量数据对应的至少一种数据类型,并基于数据类型对流量数据进行安全判断,得到第一判断结果;若第一判断结果为流量数据为恶意数据,则获取主机对应的安全状态信息,并将安全状态信息保存至安全状态区域,生成安全状态日志。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种电力监控系统主机安全监控方法,以该方法应用于图1中的服务器为例进行说明,包括以下步骤:
步骤202,获取网络通信中的流量数据包。
其中,网络通信可以是通过网络将各个孤立的设备进行连接,通过信息交换实现人与人,人与计算机,计算机与计算机之间的通信。网络通信中最重要的就是网络通信协议,局域网中最常用的有三个网络协议:MICROSOFT的NETBEUI、NOVELL的IPX/SPX和TCP/IP协议。
其中,流量数据包可以是用户访问产品/页面时,从启动到使用产品等一系列的过程产生流量数据所形成的数字形式的包裹。流量数据包中包含了监听模块所获得的关于从终端对电力监控系统主机传输的状态数据。
具体地,服务器响应终端的指令,通过网络通信的方式从终端处获取至少一个流量数据包,流量数据包中包括了至少一个由监听模块所获取到的输入数据,能够传输至电力监控系统主机并对主机进行操作。这里的网络通信可以使用MICROSOFT的NETBEUI、NOVELL的IPX/SPX和TCP/IP协议的其中一种。服务器获取到流量数据包后将流量数据包存储在服务器的存储单元中,需要使用流量数据包的时候服务器将从存储单元中调用对应的数据到服务器的中央处理器中进行计算。
举例来说,服务器A通过网络通信的方式从终端B中获取大量流量数据包C,这些流量数据包是终端发出,用来操作电力监控系统主机所发出的运行数据,服务器A获取到流量数据包C后将存储到服务器的存储单元中。
步骤204,对流量数据进行特征提取,得到流量数据对应的流量特征。
其中,流量数据可以是服务器从终端处获得用以操作电力监控系统主机的数据,该流量数据主要来自于终端,并操作电力监控系统主机中包括实时历史数据库XPMS、工业自动化组态软件、电力自动化软件、“软”控制策略软件、通信网关服务器、OPC产品、Web门户工具等,可以广泛地应用于企业信息化、DCS系统、PLC系统、SCADA系统。
其中,流量特征可以是流量数据通过预先训练好的人工智能模型进行特征提取后所得到的特征向量(features/feature vector),特征向量是属性的集合,通常用一个向量表示,附属于一个实例。每一个样例都有自己不同的属性,不同的属性用不同的属性值代表,多个属性值组合在一起就可以用一个向量来表示,这个向量就称之为特征向量。
具体地,对流量数据包中的流量数据使用预先训练好的人工智能模型进行特征提取,人工智能模型可以是分析型人工智能模型、功能型人工智能模型、交互型人工智能模型、文本型人工智能模型以及视觉型人工智能模型,服务器根据数据的类型以及目标的任务需求智能选择其中一类人工智能模型,也可以通过人工的干预进行选择,得到流量数据对应的流量特征,该流量特征一般采用特征向量进行表示。
举例来说,服务器A根据流量数据包C中的流量数据D的类型以及业务需求,从人工智能模型中选择功能型人工智能模型(如:长短期记忆网络(LSTM,Long Short-TermMemory))进行特征提取,得到了流量数据包C中的流量数据D对应的流量特征E。
步骤206,将流量特征输入预先训练的支持向量机模型,得到流量数据对应的至少一种数据类型,并基于数据类型对流量数据进行安全判断,得到第一判断结果。
其中,支持向量机(Support Vector Machine,SVM)可以是一类按监督学习(supervised learning)方式对数据进行二元分类的广义线性分类器(generalizedlinear classifier),其决策边界是对学习样本求解的最大边距超平面(maximum-marginhyperplane)。支持向量机使用铰链损失函数(hinge loss)计算经验风险(empiricalrisk)并在求解系统中加入了正则化项以优化结构风险(structural risk),是一个具有稀疏性和稳健性的分类器,支持向量机可以通过核方法(kernel method)进行非线性分类。
其中,数据类型可以是流量数据经过人工智能模型的分类器进行分类所得到的关于流量数据的类型,数据类型可以根据需要设置分类器的分类种类进行改变。
其中,安全判断可以是根据数据类型对数据流量包中的数据流量进行是否有危害的判断,判断的标准可以是预先设置的,也可以服务器根据当前的情况进行自动调整。
其中,第一判断结果可以是对于流量数据进行安全判断后所得到的结论,对于终端所获取到的数据,第一判断结果包括正常数据以及恶意数据等。
具体地,预先训练的支持向量机模型对于分类的类型已经确定了,对于流量特征的输入可以直接进行分类,通过支持向量机模型的分类后,得到流量数据对应的数据类型,并且基于已经分类后的数据类型输入至能够对数据类型的安全情况进行判断的数字判断器,经过判断后输出第一判断结果,对于电力监控系统主机所需要的数据,第一判断结果包括正常数据以及恶意数据等。其中,这里的支持向量机模型可以是类SVC,NuSVC,LinearSVC等。
举例来说,对于流量特征E输入至已经训练好的支持向量机模型中进行分类,该支持向量机模型选择SVC,得到了流量数据D所对应的数据类型,并根据该数据类型输入至数字判断器F中进行安全判断,得到了关于流量数据D所对应的第一判断结果,例如第一判断结果为恶意数据。
步骤208,若第一判断结果为流量数据为恶意数据,则获取主机对应的安全状态信息,并将安全状态信息保存至安全状态区域,生成安全状态日志。
其中,恶意数据可以是从终端发出,用以非正常操作电力监控系统主机的数据,该数据里面包含了至少一个恶意操作指令以及一些非正常数据,使得电力监控系统主机出现运行错误。
其中,安全状态信息可以是电力生产中起安全作用的信息集合。它包括很多方面,比如电压实时信息、功率变化信息等等,是诸多方面对电力生产工作起到安全影响作用的信息总称。
其中,安全状态区域可以是用以存储安全状态信息的一个区域,该区域受到服务器的特别保护,需要通过多重验证才能修改里面的数据,对于存储在里面的安全状态信息能够有效地保护以达到不被篡改。
其中,安全状态日志可以是电力监控系统主机每次受到恶意数据攻击后对于攻击情况所记录的一个日志文件,例如电力监控系统受到非正常操作攻击,则非正常操作攻击的具体信息和情况就会记录到安全状态日志中。
具体地,如果流量数据经过数字判断器判断后得到的第一判断结果为恶意数据,则服务器获取电力监控系统主机中对应的安全状态信息,并且对安全状态信息进行检查,若检查的时候发现问题则进行报警。对于获取到的安全状态信息,将会保存到具有多重验证的安全状态区域进行安全保存,并基于上述的安全问题生成对应的安全状态日志,记录与安全相关的数据。
举例来说,如果第一判断结果显示该流量数据D为恶意数据,则服务器A立即获取电力监控系统主机中对应的安全状态信息H,并将安全状态信息H保存至安全级别更高的安全状态区域I中,并且根据该次流量数据D对应的恶意攻击建立安全状态日志J。
上述电力监控系统主机安全监控方法中,通过获取网络通信中的流量数据包,流量数据包中包括至少一种流量数据;对流量数据进行特征提取,得到流量数据对应的流量特征,流量数据为网络通信对应的监听主机的应用层中的流量数据;将流量特征输入预先训练的支持向量机模型,得到流量数据对应的至少一种数据类型,并基于数据类型对流量数据进行安全判断,得到第一判断结果;若第一判断结果为流量数据为恶意数据,则获取主机对应的安全状态信息,并将安全状态信息保存至安全状态区域,生成安全状态日志。
通过获取网络通信中的流量数据包,能够直接快速地将大量流量数据传输到服务器,减少服务器与终端的交互时间;对流量数据进行特征提取,得到流量数据对应的流量特征,能够使用流量特征对流量数据中的特点进行表示,进一步突出流量数据的特点;将流量特征输入预先训练的支持向量机模型,得到流量数据对应的至少一种数据类型,并基于数据类型对流量数据进行安全判断,得到第一判断结果,能够减少人工分类所带来的缺点,使得分类更为准确,提升分类的效率,进一步提升判断结果的准确率;若第一判断结果为流量数据为恶意数据,则获取主机对应的安全状态信息,并将安全状态信息保存至安全状态区域,生成安全状态日志,能够及时拦截恶意数据,并对拦截的情况进行记录,有助于对拦截的情况进行翻阅。
通过上述方法可以提高组织的入侵检测能力,能够更加全面的监测到所属资产的历史状态信息,针对攻击行为能够快速记录入侵日志,及时确定攻击影响范围,提升组织应急响应的能力,保障组织的业务连续性,同时可信的日志保证了取证的有效性。
在一个实施例中,如图3所示,获取网络通信中的流量数据包之后,还包括:
步骤302,对数据流量包进行解析,得到数据流量信息。
其中,数据流量信息可以是表征数据流量包的表达信息量的大小的一个参数,根据终端获取的信息的不同,数据流量包所携带的数据流量的信息量也不同,对于服务器,终端的数据流量最大获取能力即为安全监控系统的最大处理能力。
具体地,服务器对从终端获取到的数据流量包进行解析,获得了数据流量包对应的数据流量的信息,该信息表达了数据流量包中信息量的大小。其中,本技术方案采用的解析可以但不局限于JOSN数据解析、XML数据解析,对于JOSN数据解析:首先创建JSON文件,然后在类中包含document.h和cocos-ext.h头文件,接着通过File Utils获得JSON文件路径,并通过Document对象解析JSON数据,最终获得不同类型的数据值。对于XML数据解析:首先创建XML文件,接着在类中包含头文件并使用命名文件,然后获得XML文件全路径,并加载XML文件,最后获得元素并解析。
举例来说,服务器A对终端B所获得的数据流量包C进行解析,解析方案采用XML数据解析,解析后得到数据流量包C对应的表达信息量的大小。
步骤304,对数据流量信息的大小与预设的第一阈值进行对比,得到第二判断结果。
其中,第一阈值可以是流量阈值,第一阈值可以是预先设定或者根据业务需求以及实际情况实时变化的阈值,该阈值用于与数据流量信息的大小进行对比,如果大于第一阈值,则采取方案一,如果小于或者等于第一阈值,则采取方案二。
其中,第二判断结果可以是数据流量信息的大小跟第一阈值进行对比后得到的结果,该结果包括但不局限于大于、小于以及等于。
具体地,对数据流量包进行解析后得到的数据流量信息的大小跟预设或者根据实际需求设置的第一阈值进行对比,得到第二判断结果,该结果包括但不局限于大于、小于以及等于。
举例来说,对于数据流量包C进行解析后得到了信息的大小N,进一步跟第一阈值n进行对比,得到关于数据流量包C所对应的第二判断结果。
步骤306,若第二判断结果为数据流量信息的大小大于预设的第一阈值,则禁止访问网络,若第二判断结果为数据流量信息的大小小于或者等于预设的第一阈值,则保持系统正常运行或者返回监听识别。
具体地,如果数据流量信息的大小与第一阈值进行对比后,对比结果为数据流量信息的大小大于第一阈值,则触发拦截系统,对数据流量包进行拦截,禁止其访问网络,如果对比结果为数据流量信息的大小小于或者等于第一阈值,则不触发拦截系统,数据流量包进入下一步,然后保持系统正常运行或者返回监听识别。
举例来说,如果数据流量包C的信息的大小N与第一阈值n进行对比后,得出N大于n的结果,则触发拦截系统,对数据流量包C进行拦截,禁止其访问网络,如果N小于或者等于n,不触发拦截系统,数据流量包C进入下一步,然后保持系统正常运行或者返回监听识别。
本实施例中,通过对数据流量信息的大小与预设的第一阈值进行对比,能够过滤数据流量信息过大的数据流量包,保证电力监控系统主机的资源不被数据流量信息过大的数据流量包所占据,同时能够防止恶意流量使用数据流量信息过大的方法导致电力监控系统主机瘫痪。
在一个实施例中,如图4所示,对数据流量包进行解析,得到数据流量信息,数据流量信息表征数据流量包的表达信息量的大小之前,还包括:
步骤402,获取监听主机对应的所有网卡的抓包文件信息,并将抓包文件信息按照预设格式进行存储。
其中,抓包文件可以是通过抓包的方式得到相应的数据而生成的文件,抓包(packet capture)就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作,也用来检查网络安全。抓包也经常被用来进行数据截取等。
具体地,服务器通过网络通信的方式对监听主机对应的所有的网卡中的数据采用抓包的方式得到对应的数据,抓包后得到的数据量应小于原来的数据量,并生成抓包文件信息,进一步对抓包文件信息采用预设的格式进行存储。其中预设的格式可以但不局限于pcap以及cap格式,pcap以及cap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以需要解析里面的数据,也必须按照一定的格式。
举例来说,服务器A通过抓包的方式获取监听主机X中所有网卡对应的数据的部分数据并生成抓包文件信息P,然后对抓包文件信息P采用预设的格式pcap进行存储,存储位置为服务器的存储单元,需要的时候随时从存储单元中调用之中央处理器进行计算。
步骤404,判断当前预设格式存储对应抓包文件信息对应的存储时间是否超过预设的第二阈值;得到第三判断结果。
其中,第二阈值可以是时间阈值,第二阈值可以是预先设定或者根据业务需求以及实际情况实时变化的阈值,该阈值作用于抓包文件信息对应的存储时间,如果大于第二阈值,则采取方案一,如果小于或者等于第二阈值,则采取方案二。
其中,第三判断结果可以是抓包文件信息对应的存储时间跟第二阈值进行对比后得到的结果,该结果仅局限于由大于、小于以及等于中的一个或者多个进行组合。
具体地,对通过抓包的方式所形成的抓包文件信息对应的存储时间的大小跟预设或者根据实际需求自动设置的第二阈值进行对比,得到第三判断结果,该结果仅局限于由大于、小于以及等于中的一个或者多个进行组合。
举例来说,基于监听主机X的信息进行抓包后得到了关于抓包文件信息P的存储时间T,进一步跟第二阈值t进行对比,得到关于抓包文件信息P所对应的第三判断结果。
步骤406,若第三判断结果为存储时间超过预设的第二阈值,则删除抓包文件信息对应的信息包;若第三判断结果为存储时间符合预设的第二阈值,则获取下一个对应的抓包文件信息。
具体地,如果抓包文件信息所对应的存储时间与第二阈值进行对比后,对比结果为存储时间大于第二阈值,则触发删除系统,删除抓包文件信息对应的信息包,如果对比结果为存储时间小于或者等于第二阈值,则不触发删除系统,信息包进入下一步,然后获取下一个对应的抓包文件信息。
举例来说,如果抓包文件信息P所对应的存储时间T与第二阈值t进行对比后,得出T大于t的结果,则触发删除系统,删除抓包文件信息P对应的信息包,如果T小于或者等于t,不触发删除系统,信息包进入下一步,然后获取下一个对应的抓包文件信息P'。
本实施例中,通过获取抓包文件信息中对应的存储时间,并对存储时间与第二阈值进行对比,能够使得存储时间大于第二阈值的抓包文件信息被删除,保留小于或者等于第二阈值的抓包文件信息,避免电力监控系统主机收到过量的抓包文件信息而导致无法处理。
在一个实施例中,对数据流量包进行解析,得到数据流量信息,数据流量信息表征数据流量包的表达信息量的大小之前,还包括:
步骤502,获取通过在网络中传输的所有流量数据包。
具体地,系统中的数据包获取子模块获取所有通过始终网络进行传输的数据流量包,获取到所有数据流量包后,进一步对所有的数据流量包进行存储。
举例来说,数据包获取子模块获取所有通过网络进行传输的数据流量包C,并且对所有数据流量包C作进一步存储。
本实施例中,通过对网络中传输的所有流量数据包进行获取,能够保证所有流量数据包都经过处理,保证不遗留任何一个数据而导致电力监控系统主机的操作出现断层。
在一个实施例中,如图5所示,对流量数据进行特征提取,得到流量数据对应的流量特征,包括:
步骤602,获取流量数据中的应用层协议流量,并对应用层协议流量进行特征提取,得到应用层协议流量对应的协议流量特征。
其中,应用层协议流量可以是应用层中通过网络协议而进行传输的数据流量,因此该数据流量的传输具备有稳定性,不容易受到外界的影响,而且传输速度快。局域网中最常用的有三个网络协议:MICROSOFT的NETBEUI、NOVELL的IPX/SPX和TCP/IP协议。
其中,协议流量特征可以是应用层协议流量通过预先训练好的人工智能模型进行特征提取后所得到的协议流量特征向量(features/feature vector),协议流量特征向量是属性的集合,通常用一个向量表示,附属于一个实例。每一个样例都有自己不同的属性,不同的属性用不同的属性值代表,多个属性值组合在一起就可以用一个向量来表示,这个向量就称之为协议流量特征向量。
具体地,服务器获取位于应用层的应用层协议流量,该流量采用网络协议进行传输,以保证传输的效率,根据需求网络协议可以包括但不局限于MICROSOFT的NETBEUI、NOVELL的IPX/SPX和TCP/IP协议。对于获得的应用层协议流量采用预先训练好的人工智能模型进行特征提取,得到应用层协议流量对应的协议流量特征,其中人工智能模型可以是分析型人工智能模型、功能型人工智能模型、交互型人工智能模型、文本型人工智能模型以及视觉型人工智能模型,服务器根据数据的类型以及目标的任务需求智能选择其中一类人工智能模型,也可以通过人工的干预进行选择,该协议流量特征一般采用特征向量进行表示。
举例来说,服务器A获取位于应用层的应用层协议流量K,根据应用层协议流量K的类型以及业务需求,从人工智能模型中选择功能型人工智能模型(如:卷积神经网络(Convolutional Neural Networks,CNN))进行特征提取,得到了应用层协议流量K对应的协议流量特征L。
步骤604,当应用层协议流量中存在文件对象时,对文件对象进行特征提取,得到文件对象对应的文件对象特征。
其中,文件对象可以是应用层协议流量中包含有多种格式的数据,其中有一些数据是以文件的方式进行存储,该文件在传输数据的时候被称为文件对象。
其中,文件对象特征可以是文件对象通过预先训练好的人工智能模型进行特征提取后所得到的文件对象特征向量(features/feature vector),文件对象特征向量是属性的集合,通常用一个向量表示,附属于一个实例。每一个样例都有自己不同的属性,不同的属性用不同的属性值代表,多个属性值组合在一起就可以用一个向量来表示,这个向量就称之为文件对象特征向量。
具体地,当服务器在应用层协议流量中检测到文件对象时,则对文件对象从应用层协议流量中提取出来,并使用人工智能模型对文件对象进行特征提取,得到文件对象对应的文件对象特征。其中人工智能模型可以是分析型人工智能模型、功能型人工智能模型、交互型人工智能模型、文本型人工智能模型以及视觉型人工智能模型,服务器根据文件对象的类型以及目标的任务需求智能选择其中一类人工智能模型,也可以通过人工的干预进行选择,该文件对象特征一般采用特征向量进行表示。
举例来说,当服务器A在应用层协议流量K中检测到文件对象Y时,则对文件对象Y从应用层协议流量K中提取出来,根据文件对象Y的类型以及业务需求,从人工智能模型中选择功能型人工智能模型(如:循环神经网络(Recurrent Neural Network,RNN))进行特征提取,得到了文件对象Y对应的协议流量特征Z。
步骤606,在主机中运行文件对象,并根据运行结果确定与主机相关的文件运行特征。
其中,文件运行特征可以是对文件对象进行运行,根据运行情况以及运行结果而反映出文件对象经过运行所表现出来的特征。
具体地,服务器从应用层协议流量中提取出文件对象,则对该文件对象进行运行,并实时监测运行该文件对象时,服务器所输出的运行结果,基于运行结果来确定文件对象运行时和运行后所表现出来的文件运行特征。
举例来说,服务器A从应用层协议流量K中发现文件对象Y,并将文件对象Y从应用层协议流量K中提取出来,进一步交由服务器A进行运行,并实时监测运行结果f,运行完毕后基于多个运行结果f确定文件对象运行时和运行后所表现出来的文件运行特征W。
步骤608,根据协议流量特征、文件对象特征以及文件运行特征,得到流量数据对应的流量特征。
具体地,基于上述所计算和分析得到的协议流量特征、文件对象特征以及文件运行特征三者进行融合,得到协议流量特征、文件对象特征以及文件运行特征组成的流量数据对应的流量特征。其中,协议流量特征、文件对象特征以及文件运行特征三者进行融合可以是对三个特征进行合成、相加以及相乘等操作。
举例来说,将协议流量特征L、文件对象特征Z以及文件运行特征W使用合成的方法进行融合,得到由协议流量特征L、文件对象特征Z以及文件运行特征W组成的流量数据D对应的流量特征E。
本实施例中,通过特征提取得到协议流量特征、文件对象特征以及文件运行特征,并对这三个特征进行组合,能够使得流量数据对应的流量特征具备以上三种特征,保证囊括流量数据包中各种特征而导致的变化,使得流量特征的表述更准确。
在一个实施例中,基于数据类型对流量数据进行安全判断,得到第一判断结果的之后,还包括:
步骤702,若第一判断结果为流量数据为正常数据,则保持系统正常运行或者返回监听识别。
其中,正常数据可以是可以是从终端发出,用来正常操作电力监控系统主机的数据,该数据里面包含了至少一个合理的操作指令以及一些正常数据,使得电力监控系统主机出现运行按照预设的指令运行。
具体地,如果流量数据经过数字判断器判断后得到的第一判断结果为正常数据,则将正常数据输入值下一个步骤,并且重置数字判断器,使得保持系统正常运行或者返回监听识别。
举例来说,如果流量数据D经过数字判断器判断后得到的第一判断结果为正常数据,则服务器A将正常数据对应的流量数据D传输至下一个步骤,并且重置数字判断器,使得保持系统正常运行或者返回监听识别。
本实施例中,通过对第一判断结果的读取,能够使得服务器及时地将正常数据传输到下一个步骤,保障数据的时效性。
应该理解的是,虽然如上的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的电力监控系统主机安全监控方法的电力监控系统主机安全监控装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个电力监控系统主机安全监控装置实施例中的具体限定可以参见上文中对于电力监控系统主机安全监控方法的限定,在此不再赘述。
在一个实施例中,如图6所示,提供了一种安全监控装置,包括:流量数据包获取模块、流量特征得到模块、第一判断结果得到模块和恶意数据处理模块,其中:
流量数据包获取模块602,用于获取网络通信中的流量数据包,流量数据包中包括至少一种流量数据;
流量特征得到模块604,用于对流量数据进行特征提取,得到流量数据对应的流量特征,流量数据为网络通信对应的监听主机的应用层中的流量数据;
第一判断结果得到模块606,用于将流量特征输入预先训练的支持向量机模型,得到流量数据对应的至少一种数据类型,并基于数据类型对流量数据进行安全判断,得到第一判断结果;
恶意数据处理模块608,用于若第一判断结果为流量数据为恶意数据,则获取主机对应的安全状态信息,并将安全状态信息保存至安全状态区域,生成安全状态日志。
在其中一个实施例中,第二判断结果处理模块,用于对数据流量包进行解析,得到数据流量信息,数据流量信息表征数据流量包的表达信息量的大小;对数据流量信息的大小与预设的流量阈值进行对比,得到第二判断结果;若第二判断结果为数据流量信息的大小大于预设的第一阈值,则禁止访问网络,若第二判断结果为数据流量信息的大小小于或者等于预设的第一阈值,则保持系统正常运行或者返回监听识别
在其中一个实施例中,监听模块,用于获取监听主机对应的所有网卡的抓包文件信息,并将抓包文件信息按照预设格式进行存储;判断当前预设格式存储对应抓包文件信息对应的存储时间是否超过预设的第二阈值;得到第三判断结果;若第三判断结果为存储时间超过预设的第二阈值,则删除抓包文件信息对应的信息包;所第三判断结果为存储时间符合预设的第二阈值,则获取下一个对应的抓包文件信息。
在其中一个实施例中,监听模块,还用于获取通过在网络中传输的所有流量数据包,流量数据包包括正常数据和恶意数据,正常数据是能够通过安全监控的数据,恶意数据是被安全监控所拦截的数据。
在其中一个实施例中,流量特征得到模块,用于获取流量数据中的应用层协议流量,并对应用层协议流量进行特征提取,得到应用层协议流量对应的协议流量特征;
当应用层协议流量中存在文件对象时,对文件对象进行特征提取,得到文件对象对应的文件对象特征;在主机中运行文件对象,并根据运行结果确定与主机相关的文件运行特征;根据协议流量特征、文件对象特征以及文件运行特征,得到流量数据对应的流量特征。
在其中一个实施例中,正常数据处理模块,用于若第一判断结果为流量数据为正常数据,则保持系统正常运行或者返回监听识别。
上述电力监控系统主机安全监控装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储服务器数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种电力监控系统主机安全监控方法。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各方法实施例中的步骤。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (10)
1.一种电力监控系统主机安全监控方法,其特征在于,所述方法包括:
获取网络通信中的流量数据包,所述流量数据包中包括至少一种流量数据;
对所述流量数据进行特征提取,得到所述流量数据对应的流量特征,所述流量数据为所述网络通信对应的监听主机的应用层中的流量数据;
将所述流量特征输入预先训练的支持向量机模型,得到所述流量数据对应的至少一种数据类型,并基于所述数据类型对所述流量数据进行安全判断,得到第一判断结果;
若所述第一判断结果为所述流量数据为恶意数据,则获取主机对应的安全状态信息,并将所述安全状态信息保存至安全状态区域,生成安全状态日志。
2.根据权利要求1所述的方法,其特征在于,所述获取网络通信中的流量数据包之后,还包括:
对数据流量包进行解析,得到数据流量信息,所述数据流量信息表征所述数据流量包的表达信息量的大小;
对所述数据流量信息的大小与预设的第一阈值进行对比,得到第二判断结果;
若所述第二判断结果为所述数据流量信息的大小大于所述预设的第一阈值,则禁止访问网络,若所述第二判断结果为所述数据流量信息的大小小于或者等于所述预设的第一阈值,则保持系统正常运行或者返回监听识别。
3.根据权利要求2所述的方法,其特征在于,所述对数据流量包进行解析,得到数据流量信息,所述数据流量信息表征所述数据流量包的表达信息量的大小之前,还包括:
获取所述监听主机对应的所有网卡的抓包文件信息,并将所述抓包文件信息按照预设格式进行存储;
判断当前预设格式存储对应抓包文件信息对应的存储时间是否超过预设的第二阈值;得到第三判断结果;
若所述第三判断结果为所述存储时间超过所述预设的第二阈值,则删除所述抓包文件信息对应的信息包;若所述第三判断结果为所述存储时间符合所述预设的第二阈值,则获取下一个对应的抓包文件信息。
4.根据权利要求2所述的方法,其特征在于,所述对数据流量包进行解析,得到数据流量信息,所述数据流量信息表征所述数据流量包的表达信息量的大小之前,还包括:
获取通过在网络中传输的所有所述流量数据包,所述流量数据包包括正常数据和所述恶意数据,所述正常数据是能够通过所述安全监控的数据,所述恶意数据是被所述安全监控所拦截的数据。
5.根据权利要求1所述的方法,其特征在于,所述对所述流量数据进行特征提取,得到所述流量数据对应的流量特征,包括:
获取所述流量数据中的应用层协议流量,并对所述应用层协议流量进行特征提取,得到所述应用层协议流量对应的协议流量特征;
当所述应用层协议流量中存在文件对象时,对所述文件对象进行特征提取,得到所述文件对象对应的文件对象特征;
在所述主机中运行所述文件对象,并根据运行结果确定与所述主机相关的文件运行特征;
根据所述协议流量特征、所述文件对象特征以及所述文件运行特征,得到所述流量数据对应的流量特征。
6.根据权利要求1所述的方法,其特征在于,所述基于所述数据类型对所述流量数据进行安全判断,得到第一判断结果的之后,还包括:
若所述第一判断结果为所述流量数据为正常数据,则保持系统正常运行或者返回监听识别。
7.一种电力监控系统主机安全监控装置,其特征在于,所述装置包括:
流量数据包获取模块,用于获取网络通信中的流量数据包,所述流量数据包中包括至少一种流量数据;
流量特征得到模块,用于对所述流量数据进行特征提取,得到所述流量数据对应的流量特征,所述流量数据为所述网络通信对应的监听主机的应用层中的流量数据;
第一判断结果得到模块,用于将所述流量特征输入预先训练的支持向量机模型,得到所述流量数据对应的至少一种数据类型,并基于所述数据类型对所述流量数据进行安全判断,得到第一判断结果;
恶意数据处理模块,用于若所述第一判断结果为所述流量数据为恶意数据,则获取主机对应的安全状态信息,并将所述安全状态信息保存至安全状态区域,生成安全状态日志。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210396010.6A CN114826711A (zh) | 2022-04-15 | 2022-04-15 | 一种电力监控系统主机安全监控方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210396010.6A CN114826711A (zh) | 2022-04-15 | 2022-04-15 | 一种电力监控系统主机安全监控方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114826711A true CN114826711A (zh) | 2022-07-29 |
Family
ID=82537565
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210396010.6A Pending CN114826711A (zh) | 2022-04-15 | 2022-04-15 | 一种电力监控系统主机安全监控方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114826711A (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040049693A1 (en) * | 2002-09-11 | 2004-03-11 | Enterasys Networks, Inc. | Modular system for detecting, filtering and providing notice about attack events associated with network security |
| KR20110100598A (ko) * | 2010-03-04 | 2011-09-14 | 재단법인 한국전기전자시험연구원 | 스마트 그리드 상의 가입자 인증기반의 전력거래장치 |
| EP2815282A1 (en) * | 2012-02-17 | 2014-12-24 | TT Government Solutions, Inc. | Method and system for packet acquisition, analysis and intrusion detection in field area networks |
| CN107135234A (zh) * | 2017-07-03 | 2017-09-05 | 福建六壬网安股份有限公司 | 一种数据流量监听控制的方法和装置 |
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
| CN108833437A (zh) * | 2018-07-05 | 2018-11-16 | 成都康乔电子有限责任公司 | 一种基于流量指纹和通信特征匹配的apt检测方法 |
| WO2020082853A1 (zh) * | 2018-10-24 | 2020-04-30 | 珠海格力电器股份有限公司 | 监控网络安全的方法及装置、空调器、家用电器 |
| CN112287336A (zh) * | 2019-11-21 | 2021-01-29 | 北京京东乾石科技有限公司 | 基于区块链的主机安全监控方法、装置、介质及电子设备 |
| CN113467311A (zh) * | 2021-07-08 | 2021-10-01 | 国网新疆电力有限公司电力科学研究院 | 基于软件定义的电力物联网安全防护装置及方法 |
-
2022
- 2022-04-15 CN CN202210396010.6A patent/CN114826711A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040049693A1 (en) * | 2002-09-11 | 2004-03-11 | Enterasys Networks, Inc. | Modular system for detecting, filtering and providing notice about attack events associated with network security |
| KR20110100598A (ko) * | 2010-03-04 | 2011-09-14 | 재단법인 한국전기전자시험연구원 | 스마트 그리드 상의 가입자 인증기반의 전력거래장치 |
| EP2815282A1 (en) * | 2012-02-17 | 2014-12-24 | TT Government Solutions, Inc. | Method and system for packet acquisition, analysis and intrusion detection in field area networks |
| CN107135234A (zh) * | 2017-07-03 | 2017-09-05 | 福建六壬网安股份有限公司 | 一种数据流量监听控制的方法和装置 |
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
| CN108833437A (zh) * | 2018-07-05 | 2018-11-16 | 成都康乔电子有限责任公司 | 一种基于流量指纹和通信特征匹配的apt检测方法 |
| WO2020082853A1 (zh) * | 2018-10-24 | 2020-04-30 | 珠海格力电器股份有限公司 | 监控网络安全的方法及装置、空调器、家用电器 |
| CN112287336A (zh) * | 2019-11-21 | 2021-01-29 | 北京京东乾石科技有限公司 | 基于区块链的主机安全监控方法、装置、介质及电子设备 |
| WO2021098313A1 (zh) * | 2019-11-21 | 2021-05-27 | 北京京东乾石科技有限公司 | 基于区块链的主机安全监控方法、装置、介质及电子设备 |
| CN113467311A (zh) * | 2021-07-08 | 2021-10-01 | 国网新疆电力有限公司电力科学研究院 | 基于软件定义的电力物联网安全防护装置及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 赵建新 著: "《智能安防》", 30 September 2020, 科学技术文献出版社, pages: 17 - 18 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11522881B2 (en) | Structural graph neural networks for suspicious event detection | |
| US11973774B2 (en) | Multi-stage anomaly detection for process chains in multi-host environments | |
| Nagarajan et al. | IADF-CPS: Intelligent anomaly detection framework towards cyber physical systems | |
| US10452845B2 (en) | Generic framework to detect cyber threats in electric power grid | |
| EP3373552A1 (en) | Multi-modal, multi-disciplinary feature discovery to detect cyber threats in electric power grid | |
| US20220263860A1 (en) | Advanced cybersecurity threat hunting using behavioral and deep analytics | |
| US20200160230A1 (en) | Tool-specific alerting rules based on abnormal and normal patterns obtained from history logs | |
| US20230291755A1 (en) | Enterprise cybersecurity ai platform | |
| WO2016115182A1 (en) | Activity model for detecting suspicious user activity | |
| US11074652B2 (en) | System and method for model-based prediction using a distributed computational graph workflow | |
| CN113486334A (zh) | 网络攻击预测方法、装置、电子设备及存储介质 | |
| US10749882B2 (en) | Network security system and methods for encoding network connectivity for activity classification | |
| CN111444072B (zh) | 客户端的异常识别方法、装置、计算机设备和存储介质 | |
| US20220207135A1 (en) | System and method for monitoring, measuring, and mitigating cyber threats to a computer system | |
| CN111953665B (zh) | 服务器攻击访问识别方法及系统、计算机设备、存储介质 | |
| CN115378619A (zh) | 敏感数据访问方法及电子设备、计算机可读存储介质 | |
| Lambert II | Security analytics: Using deep learning to detect cyber attacks | |
| Wang et al. | An unknown protocol syntax analysis method based on convolutional neural network | |
| US20220058745A1 (en) | System and method for crowdsensing-based insurance premiums | |
| CN117061254B (zh) | 异常流量检测方法、装置和计算机设备 | |
| CN113965406A (zh) | 网络阻断方法、装置、电子装置和存储介质 | |
| CN116991675A (zh) | 一种异常访问监控方法、装置、计算机设备及存储介质 | |
| CN112583768A (zh) | 一种用户异常行为检测方法及装置 | |
| CN114826711A (zh) | 一种电力监控系统主机安全监控方法 | |
| Rathod et al. | AI & ML Based Anamoly Detection and Response Using Ember Dataset |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |