CN115396325A - 一种基于计算机网络安全数据采集分析的管理系统及方法 - Google Patents
一种基于计算机网络安全数据采集分析的管理系统及方法 Download PDFInfo
- Publication number
- CN115396325A CN115396325A CN202210982903.9A CN202210982903A CN115396325A CN 115396325 A CN115396325 A CN 115396325A CN 202210982903 A CN202210982903 A CN 202210982903A CN 115396325 A CN115396325 A CN 115396325A
- Authority
- CN
- China
- Prior art keywords
- data packet
- data
- correlation
- analysis
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 56
- 238000000034 method Methods 0.000 title claims abstract description 17
- 231100000279 safety data Toxicity 0.000 title abstract description 5
- 230000004044 response Effects 0.000 claims abstract description 64
- 230000002159 abnormal effect Effects 0.000 claims abstract description 58
- 230000000875 corresponding effect Effects 0.000 claims description 82
- 238000010219 correlation analysis Methods 0.000 claims description 46
- 238000011156 evaluation Methods 0.000 claims description 35
- 238000012545 processing Methods 0.000 claims description 27
- 238000012544 monitoring process Methods 0.000 claims description 19
- 238000007726 management method Methods 0.000 claims description 18
- 230000005540 biological transmission Effects 0.000 claims description 11
- 238000012163 sequencing technique Methods 0.000 claims description 11
- 238000010606 normalization Methods 0.000 claims description 9
- 230000002596 correlated effect Effects 0.000 claims description 8
- 230000001276 controlling effect Effects 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 claims description 4
- 238000010276 construction Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 230000003749 cleanliness Effects 0.000 description 3
- 238000010408 sweeping Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 238000010835 comparative analysis Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 239000000779 smoke Substances 0.000 description 1
- 239000004071 soot Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0823—Errors, e.g. transmission errors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明公开了一种基于计算机网络安全数据采集分析的管理系统及方法,包括数据库白名单建立模块、数据库黑名单建立模块、异常数据特征比较模块、控制数据包分析模块、预警响应模块;数据库白名单建立模块用于建立存储家庭网关接收智能设备传输的控制数据特征;所述数据库黑名单建立模块用于建立存储家庭网关中的异常数据特征;异常数据特征比较模块用于将控制数据包与数据库黑名单和白名单中的数据特征进行先后比较,并根据相似度输出预警信号;控制数据包分析模块用于分析与数据库白名单比较后满足相似度阈值的数据包;预警响应模块用于对与数据库黑名单或数据库白名单满足预警响应条件的数据包进行预警响应。
Description
技术领域
本发明涉及计算机网络技术领域,具体为一种基于计算机网络安全数据采集分析的管理系统及方法。
背景技术
目前,应用计算机网络的智能家居的基本结构是家庭网关、智能设备、网络和控制中心,家庭网关是负责各种设备的逻辑联动,接收设备传输的数据,相当于整个智能家居的核心大脑,智能设备就是目前大家常知的智能家电、智能照明等,网络是指智能设备通过有线或无线网络进行配网后进行智能管控,控制中心目前的主要形式则是应用APP;在智能家居的整个运行过程中,为了保障用户信息以及数据传输的安全性,通常会存在对历史攻击数据的记录,以为了后续面对异常数据信息时快速进行对比;但是往往现在的异常数据特征变化多样,如何有效的分析出家庭网关中连接设备的异常所在是首要解决的问题,且在众多具有关联的智能设备中如何对网关接收数据包的处理优先级进行确定也是在分析网络安全数据过程中不能避开的问题,因为处理的顺序不同,异常数据对整个智能家居的数据安全造成的威胁也不尽不同。
发明内容
本发明的目的在于提供一种基于计算机网络安全数据采集分析的管理系统及方法,以解决上述背景技术中提出的问题。
为了解决上述技术问题,本发明提供如下技术方案:一种基于计算机网络安全数据采集分析的管理方法,包括以下步骤:
获取智能家居中家庭网关存储的历史存储数据,并建立数据库白名单和数据库黑名单,数据库白名单用于存储家庭网关接收智能设备传输的控制数据特征,数据库黑名单用于存储家庭网关中已发生网络安全事件中智能设备传输的异常数据特征;
当家庭网关接收到智能设备传输的控制数据包时,将控制数据包与数据库黑名单中的异常数据特征进行比较;
如果控制数据包中存在特征与数据库黑名单中的异常数据特征的相似度大于等于第一相似度阈值时,控制家庭网关输出预警信号;否则,将控制数据包与数据库白名单中的控制数据特征进行比较;
如果控制数据包与数据库白名单中的控制数据特征的相似度大于等于第二相似度阈值,那么判断控制数据包为常态数据包,否则对控制数据包进行进一步的分析。
进一步的,对控制数据包进行进一步的分析包括以下步骤:
设控制数据包为待分析数据包,获取第一关联分析数据包与待分析数据包产生关联响应的时间差为第一关联时间间隔,以及第一关联分析数据包与待分析数据包产生关联响应后的响应数据为第一关联响应数据;第一关联分析数据包为家庭网关中与控制数据包的发送设备产生直接关联的智能设备在待分析数据包传输前的最近一个控制数据包;获取第二关联分析数据包与待分析数据包产生关联响应的时间差为第二关联时间间隔,以及第二关联分析数据包与待分析数据包产生关联响应后的响应数据为第二关联响应数据;第二关联分析数据包为家庭网关中与控制数据包的发送设备产生直接关联的智能设备在待分析数据包传输后的最近一个控制数据包;获取第一关联分析数据包和第二关联分析数据包是通过分析与待分析数据包相关联的智能设备是否会产生时间延迟或响应数据差异,来进一步判断待分析数据包是否异常;
如果第一关联时间间隔与第二关联时间间隔的差值小于差值阈值,且第一关联响应数据与第二关联响应数据的相似度差值小于差值阈值,则输出待分析数据包为常态数据包,并提取对应待分析数据包存入数据库白名单中;否则,控制家庭网关输出预警信号。待分析数据如果发生异常,相关的设备上会在时间和数据的体现上产生差异,如果时间和响应数据上均与接收待分析数据包前的时间和响应数据产生超过历史数据记载分析的阈值范围,那么说明这个待分析数据为异常数据的可能性极大。
进一步的,判断控制数据包为常态数据包之后包括以下具体步骤:
获取常态数据包对应智能设备的关联设备集中的关联数据包,若常态数据包中的关联设备集中的关联数据包大于等于家庭网关中所有智能设备关联设备集中的关联数据包的平均值,则设常态数据包为目标数据包;当家庭网关中关联的智能设备不仅仅是单线传输数据时,关联其他设备的数量带来的难题成为在发生异常数据攻击时分析设备的主要方向;
获取历史存储数据中目标数据包对应关联数据包的关联因子,关联因子包括智能设备具有共通性的处理分析对象和控制指令来源;关联因子不同,产生并传输到家庭网关的数据也是不同的;
若在监测时段内存在某两个目标数据包的关联因子相同,则令关联因子相同对应的目标数据包为待选数据包,对待选数据包构建一个新的数据包作为该相同关联因子的个体数据包;
若在监测时段内存在某两个目标数据包的关联因子不相同,则对不相同关联因子的目标数据包分别构建两个个体数据包;
对各个个体数据包进行排序,确定个体数据包的关联级别评估顺序。
进一步的,对待选数据包构建一个新的数据包作为相同关联因子的个体数据包,包括以下具体步骤:
获取待选数据包中关联因子的具体属性,具体属性为关联因子类别中的具体智能设备或具体分析对象;若待选数据包中的具体属性相似度大于属性相似度阈值,则构建待选数据包的交集为新的数据包作为相同关联因子的个体数据包;当关联因子的具体属性都基本相似时,那么待选数据包对应发送的智能设备也基本是一致的;
若待选数据包中的具体属性相似度小于等于属性相似度阈值,则根据关联因子的具体属性分别构建对应的个体数据包。
进一步的,对各个个体数据包进行排序,包括以下步骤:
获取各个个体数据包的接收时间并设置该接收时间为起始时间,以及个体数据包对应关联数据包的接收时间,计算每个个体数据包对应关联数据包的接收时间与起始时间的差值设为关联时间间隔时长,对各个个体数据包中关联数据包的关联时间间隔时长进行归一化处理得到第一参数E;分析关联时间间隔时长是为了分析在家庭网关接收到个体数据包之后,与个体数据包产生关联的关联数据包对应的智能设备的使用时间是否与个体数据包对应智能设备的使用时间重叠或相近,因为重叠的话说明关联的两个设备经常在一起使用,当传输异常数据包时,可以作为优先处理分析的关联对象;
计算各个个体数据包中关联数据包的相对大小sij,sij=(Si-S0j)/S0j,其中sij表示第j个个体数据包对应第i个关联数据包的相对大小,Si表示个体数据包对应的第i个关联数据包的大小,S0j表示第j个个体数据包的大小;获取m个个体数据包对应n个关联数据包的相对大小sij并对其进行归一化处理得到第二参数D,其中i≤n,j≤m;考虑个体数据包对应关联数据包的相对大小,可以从侧面分析出智能设备发送数据包对应在整个家庭网关接收的数据包中的影响程度;
获取各个个体数据包在监测时段内对应关联数据包的比重,比重为关联数据包的个数与关联数据包的个数最大值的比值,关联数据包的个数最大值是指在所有个体数据包中对应的关联数据包个数的最大值;对所有个体数据包所对应在监测时段内对应关联数据包的比重进行归一化处理得到第三参数F;分析个体数据包中关联数据包的个数是为了确认在异常数据产生时,所关联设备的比重,如果关联的较少我们可以优先处理,因为目标少且容易找到故障所在;
获取各个个体数据包与其关联数据包对应的智能设备的历史参数为第四参数G,其中历史参数为个体数据包与其关联数据包对应智能设备传输异常数据包的总次数与个体数据包与其关联数据包对应智能设备传输数据包的总次数的比值;
计算综合关联级别评估值W=0.35*E+0.15*D+0.27*F+0.23*G;将各个个体数据包的综合关联级别评估值按照从小到大的顺序进行排序生成关联级别评估顺序,并按照该顺序对存在异常数据时的个体数据包进行先后处理,异常数据为不同于数据库黑名单中的异常数据特征的数据。分析关联级别评估值是为了家庭网关接收数据包与数据库黑名单的异常数据特征不同时,在面对个体数据包众多的关联数据包中快速有效的定位分析异常数据包并进行计算机网络安全的维护。
一种基于计算机网络安全数据采集分析的管理系统,包括数据库白名单建立模块、数据库黑名单建立模块、异常数据特征比较模块、控制数据包分析模块、预警响应模块;
数据库白名单建立模块用于建立存储家庭网关接收智能设备传输的控制数据特征;数据库黑名单建立模块用于建立存储家庭网关中已发生网络安全事件中智能设备传输的异常数据特征;
异常数据特征比较模块用于将家庭网关接收到智能设备传输的控制数据包,与数据库黑名单和白名单中的数据特征进行先后比较,并根据相似度输出预警信号;
控制数据包分析模块用于分析与数据库白名单比较后满足相似度阈值的数据包;
预警响应模块用于对与数据库黑名单或数据库白名单满足预警响应条件的数据包进行预警响应。
进一步的,控制数据包分析模块包括第一关联分析数据包分析单元、第二关联分析数据包分析单元、常态数据包确定单元;
第一关联分析数据包分析单元用于分析第一关联分析数据包与待分析数据包的时间和响应数据;
第二关联分析数据包分析单元用于分析第二关联分析数据包与待分析数据包的时间和响应数据;
常态数据包确定单元用于分析第一关联分析数据包对应的时间和响应数据以及第二关联分析数据包对应的时间和响应数据之间的差值关系,对满足差值关系的数据包输出为常态数据包。
进一步的,常态数据包确定单元包括目标数据包确定单元、关联因子提取单元、个体数据包构建单元和关联级别评估顺序确定单元;
目标数据包确定单元用于根据常态数据包中对应关联数据包的个数进行确定;
关联因子提取单元用于提取目标数据包对应关联数据包的关联因子;
个体数据包构建单元用于分析关联因子是否相同并因此构建个体数据包;
关联级别评估顺序确定单元用于对各个个体数据包进行排序,确定个体数据包的关联级别评估顺序。
进一步的,关联级别评估顺序确定单元包括第一参数获取单元、第二参数获取单元、第三参数获取单元、第四参数获取单元和综合关联级别评估值计算单元;
第一参数获取单元用于分析个体数据包中与对应关联数据包的时间关系,并依此提取第一参数;
第二参数获取单元用于分析个体数据包中关联数据包的相对大小关系,并依此提取第二参数;
第三参数获取单用于分析个体数据包在监测时段内对应关联数据包的比重关系,并依此提取第三参数;
第四参数获取单用于分析个体数据包与其关联数据包对应的智能设备的历史参数,并依此提取第四参数;
综合关联级别评估值计算单元用于依据第一参数获取单元、第二参数获取单元、第三参数获取单元和第四参数获取单元,综合分析关联级别评估值。
与现有技术相比,本发明所达到的有益效果是:本发明通过构建黑白数据库对比分析家庭网关接收到的数据是否存在异常,对异常的数据进行直接的处理,在面对未能发现的异常时进一步分析发送设备之间的直接联系作出进一步的判断,以增加数据库白名单的丰富度和容量,且在家庭网关接收众多数据包时但并未发现数据包异常情况下设备出现异常时,本发明通过分析监测时段内接收个体数据包与对应关联数据包的关联性以及在面对异常数据处理分析的关联性,分析出个体数据包和关联数据包所对应的智能设备的优先处理顺序,提高了计算机网络在处理异常数据风险和安全问题时的针对性以及处理的效率,增加了家庭网关数据采集传输的安全性。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是本发明一种基于计算机网络安全数据采集分析的管理系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本发明提供技术方案:一种基于计算机网络安全数据采集分析的管理方法,包括以下步骤:
获取智能家居中家庭网关存储的历史存储数据,并建立数据库白名单和数据库黑名单,数据库白名单用于存储家庭网关接收智能设备传输的控制数据特征,数据库黑名单用于存储家庭网关中已发生网络安全事件中智能设备传输的异常数据特征;
当家庭网关接收到智能设备传输的控制数据包时,将控制数据包与数据库黑名单中的异常数据特征进行比较;
如果控制数据包中存在特征与数据库黑名单中的异常数据特征的相似度大于等于第一相似度阈值时,控制家庭网关输出预警信号;否则,将控制数据包与数据库白名单中的控制数据特征进行比较;
如果控制数据包与数据库白名单中的控制数据特征的相似度大于等于第二相似度阈值,那么判断控制数据包为常态数据包,否则对控制数据包进行进一步的分析。
对控制数据包进行进一步的分析包括以下步骤:
设控制数据包为待分析数据包,获取第一关联分析数据包与待分析数据包产生关联响应的时间差为第一关联时间间隔,以及第一关联分析数据包与待分析数据包产生关联响应后的响应数据为第一关联响应数据;第一关联分析数据包为家庭网关中与控制数据包的发送设备产生直接关联的智能设备在待分析数据包传输前的最近一个控制数据包;产生直接关联是指如在智能家居中智能窗帘的数据可能存在由智能监控或智能灯光照明进行控制,当智能监控监测到室内的光线昏暗,传输信号给智能窗帘,则此时智能窗帘与智能监控是产生直接关联;
获取第二关联分析数据包与待分析数据包产生关联响应的时间差为第二关联时间间隔,以及第二关联分析数据包与待分析数据包产生关联响应后的响应数据为第二关联响应数据;第二关联分析数据包为家庭网关中与控制数据包的发送设备产生直接关联的智能设备在待分析数据包传输后的最近一个控制数据包;获取第一关联分析数据包和第二关联分析数据包是通过分析与待分析数据包相关联的智能设备是否会产生时间延迟或响应数据差异,来进一步判断待分析数据包是否异常;
如果第一关联时间间隔与第二关联时间间隔的差值小于差值阈值,且第一关联响应数据与第二关联响应数据的相似度差值小于差值阈值,则输出待分析数据包为常态数据包,并提取对应待分析数据包存入数据库白名单中;否则,控制家庭网关输出预警信号。待分析数据如果发生异常,相关的设备上会在时间和数据的体现上产生差异,如果时间和响应数据上均与接收待分析数据包前的时间和响应数据产生超过历史数据记载分析的阈值范围,那么说明这个待分析数据为异常数据的可能性极大。
判断控制数据包为常态数据包之后包括以下具体步骤:
获取常态数据包对应智能设备的关联设备集中的关联数据包,若常态数据包中的关联设备集中的关联数据包大于等于家庭网关中所有智能设备关联设备集中的关联数据包的平均值,则设常态数据包为目标数据包;当家庭网关中关联的智能设备不仅仅是单线传输数据时,关联其他设备的数量带来的难题成为在发生异常数据攻击时分析设备的主要方向;
获取历史存储数据中目标数据包对应关联数据包的关联因子,关联因子包括智能设备具有共通性的处理分析对象和控制指令来源;关联因子不同,产生并传输到家庭网关的数据也是不同的;处理分析对象是指如在智能家居中使用的智能空气净化器和智能扫地机器人,它们的处理分析对象均是环境中的洁净程度,如当在室内抽烟时,空气净化器感知到气体的异常变化,扫地机器人可以分析到因气体变化产生烟灰落下的可能性,则环境中洁净程度是智能空气净化器和智能扫地机器人这一类设备的关联因子,是具有共通性的处理分析对象,且处理分析对象不仅局限于此种情况;控制指令来源是指在如智能电视和智能投影仪均受智能音箱控制时,他们的控制指令来源均可以是智能音箱,则智能音响是针对于智能电视和智能投影仪这两个设备的关联因子,是具有共通性的控制指令来源,且控制指令来源不仅局限于此种情况;
若在监测时段内存在某两个目标数据包的关联因子相同,则令关联因子相同对应的目标数据包为待选数据包,对待选数据包构建一个新的数据包作为该相同关联因子的个体数据包;
若在监测时段内存在某两个目标数据包的关联因子不相同,则对不相同关联因子的目标数据包分别构建两个个体数据包;
对各个个体数据包进行排序,确定个体数据包的关联级别评估顺序。
对待选数据包构建一个新的数据包作为相同关联因子的个体数据包,包括以下具体步骤:
获取待选数据包中关联因子的具体属性,具体属性为关联因子类别中的具体智能设备或具体分析对象;如上述所说的环境中的洁净程度为具体分析对象,智能音箱为具体智能设备;若待选数据包中的具体属性相似度大于属性相似度阈值,则构建待选数据包的交集为新的数据包作为相同关联因子的个体数据包;当关联因子的具体属性都基本相似时,那么待选数据包对应发送的智能设备也基本是一致的;
若待选数据包中的具体属性相似度小于等于属性相似度阈值,则根据关联因子的具体属性分别构建对应的个体数据包。
对各个个体数据包进行排序,包括以下步骤:
获取各个个体数据包的接收时间并设置该接收时间为起始时间,以及个体数据包对应关联数据包的接收时间,计算每个个体数据包对应关联数据包的接收时间与起始时间的差值设为关联时间间隔时长,对各个个体数据包中关联数据包的关联时间间隔时长进行归一化处理得到第一参数E;分析关联时间间隔时长是为了分析在家庭网关接收到个体数据包之后,与个体数据包产生关联的关联数据包对应的智能设备的使用时间是否与个体数据包对应智能设备的使用时间重叠或相近,因为重叠的话说明关联的两个设备经常在一起使用,当传输异常数据包时,可以作为优先处理分析的关联对象;
计算各个个体数据包中关联数据包的相对大小sij,sij=(Si-S0j)/S0j,其中sij表示第j个个体数据包对应第i个关联数据包的相对大小,Si表示个体数据包对应的第i个关联数据包的大小,S0j表示第j个个体数据包的大小;获取m个个体数据包对应n个关联数据包的相对大小sij并对其进行归一化处理得到第二参数D,其中i≤n,j≤m;考虑个体数据包对应关联数据包的相对大小,可以从侧面分析出智能设备发送数据包对应在整个家庭网关接收的数据包中的影响程度;
获取各个个体数据包在监测时段内对应关联数据包的比重,比重为关联数据包的个数与关联数据包的个数最大值的比值,关联数据包的个数最大值是指在所有个体数据包中对应的关联数据包个数的最大值;对所有个体数据包所对应在监测时段内对应关联数据包的比重进行归一化处理得到第三参数F;分析个体数据包中关联数据包的个数是为了确认在异常数据产生时,所关联设备的比重,如果关联的较少我们可以优先处理,因为目标少且容易找到故障所在;
获取各个个体数据包与其关联数据包对应的智能设备的历史参数为第四参数G,其中历史参数为个体数据包与其关联数据包对应智能设备传输异常数据包的总次数与个体数据包与其关联数据包对应智能设备传输数据包的总次数的比值;
本申请中在进行归一化处理时,是先将需要进行归一化处理的参数所对应的数据按照从小到大的顺序排序,并提取排序第一的数据为Ymin,选取排序最后的顺序为Ymax,则对数据Y进行归一化处理的后的数据即为T=(Y-Ymin)/(Ymax-Ymin);
计算综合关联级别评估值W=0.35*E+0.15*D+0.27*F+0.23*G;将各个个体数据包的综合关联级别评估值按照从小到大的顺序进行排序生成关联级别评估顺序,并按照该顺序对存在异常数据时的个体数据包进行先后处理,异常数据为不同于数据库黑名单中的异常数据特征的数据。分析关联级别评估值是为了家庭网关接收数据包与数据库黑名单的异常数据特征不同时,在面对个体数据包众多的关联数据包中快速有效的定位分析异常数据包并进行计算机网络安全的维护。这里的异常数据可能是在对比分析数据库的黑白名单中未发现的数据,但是最终在家庭网关或者设备上予以体现,从而需要对家庭网关所接受的个体数据包进行排序分析异常位置的可能性。
一种基于计算机网络安全数据采集分析的管理系统,包括数据库白名单建立模块、数据库黑名单建立模块、异常数据特征比较模块、控制数据包分析模块、预警响应模块;
数据库白名单建立模块用于建立存储家庭网关接收智能设备传输的控制数据特征;数据库黑名单建立模块用于建立存储家庭网关中已发生网络安全事件中智能设备传输的异常数据特征;
异常数据特征比较模块用于将家庭网关接收到智能设备传输的控制数据包,与数据库黑名单和白名单中的数据特征进行先后比较,并根据相似度输出预警信号;
控制数据包分析模块用于分析与数据库白名单比较后满足相似度阈值的数据包;
预警响应模块用于对与数据库黑名单或数据库白名单满足预警响应条件的数据包进行预警响应。
控制数据包分析模块包括第一关联分析数据包分析单元、第二关联分析数据包分析单元、常态数据包确定单元;
第一关联分析数据包分析单元用于分析第一关联分析数据包与待分析数据包的时间和响应数据;
第二关联分析数据包分析单元用于分析第二关联分析数据包与待分析数据包的时间和响应数据;
常态数据包确定单元用于分析第一关联分析数据包对应的时间和响应数据以及第二关联分析数据包对应的时间和响应数据之间的差值关系,对满足差值关系的数据包输出为常态数据包。
常态数据包确定单元包括目标数据包确定单元、关联因子提取单元、个体数据包构建单元和关联级别评估顺序确定单元;
目标数据包确定单元用于根据常态数据包中对应关联数据包的个数进行确定;
关联因子提取单元用于提取目标数据包对应关联数据包的关联因子;
个体数据包构建单元用于分析关联因子是否相同并因此构建个体数据包;
关联级别评估顺序确定单元用于对各个个体数据包进行排序,确定个体数据包的关联级别评估顺序。
关联级别评估顺序确定单元包括第一参数获取单元、第二参数获取单元、第三参数获取单元、第四参数获取单元和综合关联级别评估值计算单元;
第一参数获取单元用于分析个体数据包中与对应关联数据包的时间关系,并依此提取第一参数;
第二参数获取单元用于分析个体数据包中关联数据包的相对大小关系,并依此提取第二参数;
第三参数获取单用于分析个体数据包在监测时段内对应关联数据包的比重关系,并依此提取第三参数;
第四参数获取单用于分析个体数据包与其关联数据包对应的智能设备的历史参数,并依此提取第四参数;
综合关联级别评估值计算单元用于依据第一参数获取单元、第二参数获取单元、第三参数获取单元和第四参数获取单元,综合分析关联级别评估值。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种基于计算机网络安全数据采集分析的管理方法,其特征在于,包括以下步骤:
获取智能家居中家庭网关存储的历史存储数据,并建立数据库白名单和数据库黑名单,所述数据库白名单用于存储家庭网关接收智能设备传输的控制数据特征,所述数据库黑名单用于存储家庭网关中已发生网络安全事件中智能设备传输的异常数据特征;
当家庭网关接收到智能设备传输的控制数据包时,将控制数据包与数据库黑名单中的异常数据特征进行比较;
如果所述控制数据包中存在特征与数据库黑名单中的异常数据特征的相似度大于等于第一相似度阈值时,控制家庭网关输出预警信号;否则,将控制数据包与数据库白名单中的控制数据特征进行比较;
如果所述控制数据包与数据库白名单中的控制数据特征的相似度大于等于第二相似度阈值,那么判断控制数据包为常态数据包,否则对所述控制数据包进行进一步的分析。
2.根据权利要求1所述的一种基于计算机网络安全数据采集分析的管理方法,其特征在于:所述对控制数据包进行进一步的分析包括以下步骤:
设所述控制数据包为待分析数据包,获取第一关联分析数据包与待分析数据包产生关联响应的时间差为第一关联时间间隔,以及第一关联分析数据包与待分析数据包产生关联响应后的响应数据为第一关联响应数据;第一关联分析数据包为家庭网关中与所述控制数据包的发送设备产生直接关联的智能设备在待分析数据包传输前的最近一个控制数据包;
获取第二关联分析数据包与待分析数据包产生关联响应的时间差为第二关联时间间隔,以及第二关联分析数据包与待分析数据包产生关联响应后的响应数据为第二关联响应数据;所述第二关联分析数据包为家庭网关中与所述控制数据包的发送设备产生直接关联的智能设备在待分析数据包传输后的最近一个控制数据包;如果第一关联时间间隔与第二关联时间间隔的差值小于差值阈值,且第一关联响应数据与第二关联响应数据的相似度差值小于差值阈值,则输出待分析数据包为常态数据包,并提取对应待分析数据包存入数据库白名单中;否则,控制家庭网关输出预警信号。
3.根据权利要求2所述的一种基于计算机网络安全数据采集分析的管理方法,其特征在于:所述判断控制数据包为常态数据包之后包括以下具体步骤:
获取常态数据包对应智能设备的关联设备集中的关联数据包,若所述常态数据包中的关联设备集中的关联数据包大于等于家庭网关中所有智能设备关联设备集中的关联数据包的平均值,则设所述常态数据包为目标数据包;
获取历史存储数据中目标数据包对应关联数据包的关联因子,所述关联因子包括智能设备具有共通性的处理分析对象和控制指令来源;
若在监测时段内存在某两个目标数据包的关联因子相同,则令关联因子相同对应的目标数据包为待选数据包,对待选数据包构建一个新的数据包作为该相同关联因子的个体数据包;
若在监测时段内存在某两个目标数据包的关联因子不相同,则对不相同关联因子的目标数据包分别构建两个个体数据包;
对各个个体数据包进行排序,确定个体数据包的关联级别评估顺序。
4.根据权利要求1所述的一种基于计算机网络安全数据采集分析的管理方法,其特征在于:所述对待选数据包构建一个新的数据包作为相同关联因子的个体数据包,包括以下具体步骤:
获取待选数据包中关联因子的具体属性,所述具体属性为关联因子类别中的具体智能设备或具体分析对象;若待选数据包中的具体属性相似度大于属性相似度阈值,则构建待选数据包的交集为新的数据包作为相同关联因子的个体数据包;若待选数据包中的具体属性相似度小于等于属性相似度阈值,则根据关联因子的具体属性分别构建对应的个体数据包。
5.根据权利要求4所述的一种基于计算机网络安全数据采集分析的管理方法,其特征在于:所述对各个个体数据包进行排序,包括以下步骤:
获取各个个体数据包的接收时间并设置该接收时间为起始时间,以及个体数据包对应关联数据包的接收时间,计算每个个体数据包对应关联数据包的接收时间与起始时间的差值设为关联时间间隔时长,对各个个体数据包中关联数据包的关联时间间隔时长进行归一化处理得到第一参数E;
计算各个个体数据包中关联数据包的相对大小sij,sij=(Si-S0j)/S0j,其中sij表示第j个个体数据包对应第i个关联数据包的相对大小,Si表示个体数据包对应的第i个关联数据包的大小,S0j表示第j个个体数据包的大小;获取m个个体数据包对应n个关联数据包的相对大小sij并对其进行归一化处理得到第二参数D,其中i≤n,j≤m;
获取各个个体数据包在监测时段内对应关联数据包的比重,所述比重为关联数据包的个数与关联数据包的个数最大值的比值,所述关联数据包的个数最大值是指在所有个体数据包中对应的关联数据包个数的最大值;对所有个体数据包所对应在监测时段内对应关联数据包的比重进行归一化处理得到第三参数F;
获取各个个体数据包与其关联数据包对应的智能设备的历史参数为第四参数G,其中历史参数为个体数据包与其关联数据包对应智能设备传输异常数据包的总次数与个体数据包与其关联数据包对应智能设备传输数据包的总次数的比值;
计算综合关联级别评估值W=0.35*E+0.15*D+0.27*F+0.23*G;将各个个体数据包的综合关联级别评估值按照从小到大的顺序进行排序生成关联级别评估顺序,并按照该顺序对存在异常数据时的个体数据包进行先后处理,所述异常数据为不同于数据库黑名单中的异常数据特征的数据。
6.应用权利要求1-5所述的一种基于计算机网络安全数据采集分析的管理方法的一种基于计算机网络安全数据采集分析的管理系统,其特征在于,包括数据库白名单建立模块、数据库黑名单建立模块、异常数据特征比较模块、控制数据包分析模块、预警响应模块;
所述数据库白名单建立模块用于建立存储家庭网关接收智能设备传输的控制数据特征;所述数据库黑名单建立模块用于建立存储家庭网关中已发生网络安全事件中智能设备传输的异常数据特征;
所述异常数据特征比较模块用于将家庭网关接收到智能设备传输的控制数据包,与数据库黑名单和白名单中的数据特征进行先后比较,并根据相似度输出预警信号;
所述控制数据包分析模块用于分析与数据库白名单比较后满足相似度阈值的数据包;
所述预警响应模块用于对与数据库黑名单或数据库白名单满足预警响应条件的数据包进行预警响应。
7.根据权利要求6所述的一种基于计算机网络安全数据采集分析的管理系统,其特征在于:所述控制数据包分析模块包括第一关联分析数据包分析单元、第二关联分析数据包分析单元、常态数据包确定单元;
所述第一关联分析数据包分析单元用于分析第一关联分析数据包与待分析数据包的时间和响应数据;
所述第二关联分析数据包分析单元用于分析第二关联分析数据包与待分析数据包的时间和响应数据;
所述常态数据包确定单元用于分析第一关联分析数据包对应的时间和响应数据以及第二关联分析数据包对应的时间和响应数据之间的差值关系,对满足差值关系的数据包输出为常态数据包。
8.根据权利要求7所述的一种基于计算机网络安全数据采集分析的管理系统,其特征在于:所述常态数据包确定单元包括目标数据包确定单元、关联因子提取单元、个体数据包构建单元和关联级别评估顺序确定单元;
所述目标数据包确定单元用于根据常态数据包中对应关联数据包的个数进行确定;
所述关联因子提取单元用于提取目标数据包对应关联数据包的关联因子;
所述个体数据包构建单元用于分析关联因子是否相同并因此构建个体数据包;
所述关联级别评估顺序确定单元用于对各个个体数据包进行排序,确定个体数据包的关联级别评估顺序。
9.根据权利要求8所述的一种基于计算机网络安全数据采集分析的管理系统,其特征在于:所述关联级别评估顺序确定单元包括第一参数获取单元、第二参数获取单元、第三参数获取单元、第四参数获取单元和综合关联级别评估值计算单元;
所述第一参数获取单元用于分析个体数据包中与对应关联数据包的时间关系,并依此提取第一参数;
所述第二参数获取单元用于分析个体数据包中关联数据包的相对大小关系,并依此提取第二参数;
所述第三参数获取单用于分析个体数据包在监测时段内对应关联数据包的比重关系,并依此提取第三参数;
所述第四参数获取单用于分析个体数据包与其关联数据包对应的智能设备的历史参数,并依此提取第四参数;
所述综合关联级别评估值计算单元用于依据第一参数获取单元、第二参数获取单元、第三参数获取单元和第四参数获取单元,综合分析关联级别评估值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210982903.9A CN115396325A (zh) | 2022-08-16 | 2022-08-16 | 一种基于计算机网络安全数据采集分析的管理系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210982903.9A CN115396325A (zh) | 2022-08-16 | 2022-08-16 | 一种基于计算机网络安全数据采集分析的管理系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115396325A true CN115396325A (zh) | 2022-11-25 |
Family
ID=84120032
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210982903.9A Pending CN115396325A (zh) | 2022-08-16 | 2022-08-16 | 一种基于计算机网络安全数据采集分析的管理系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115396325A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105657073A (zh) * | 2016-04-01 | 2016-06-08 | 蒋闯 | 一种智能家居系统 |
CN109275202A (zh) * | 2017-07-18 | 2019-01-25 | 上海顺舟智能科技股份有限公司 | 一种ZigBee网络的无线组网方法 |
CN113315777A (zh) * | 2021-06-03 | 2021-08-27 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于电力规约操作智能运维监控系统 |
US20220109697A1 (en) * | 2020-10-02 | 2022-04-07 | Johnson Controls Technology Company | System for and method of detecting communication security in building automation and control networks |
-
2022
- 2022-08-16 CN CN202210982903.9A patent/CN115396325A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105657073A (zh) * | 2016-04-01 | 2016-06-08 | 蒋闯 | 一种智能家居系统 |
CN109275202A (zh) * | 2017-07-18 | 2019-01-25 | 上海顺舟智能科技股份有限公司 | 一种ZigBee网络的无线组网方法 |
US20220109697A1 (en) * | 2020-10-02 | 2022-04-07 | Johnson Controls Technology Company | System for and method of detecting communication security in building automation and control networks |
CN113315777A (zh) * | 2021-06-03 | 2021-08-27 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于电力规约操作智能运维监控系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20190166144A1 (en) | Detection of malicious network activity | |
US20060034305A1 (en) | Anomaly-based intrusion detection | |
CN109861985A (zh) | 基于风险等级划分的ip风控方法、装置、设备和存储介质 | |
CN105629947B (zh) | 家居设备监测方法、家居设备监测装置和终端 | |
CN109889512B (zh) | 一种充电桩can报文的异常检测方法及装置 | |
CN110198526B (zh) | 一种基于物联网的燃烧机故障诊断系统 | |
CN112556130A (zh) | 空调报警控制方法、装置、电子设备及存储介质 | |
CN111885106A (zh) | 一种基于终端设备特征信息的物联网安全管控方法及系统 | |
CN112149967B (zh) | 基于复杂系统理论的电力通信网脆弱性评估方法和系统 | |
CN111651760B (zh) | 一种设备安全状态综合分析的方法及计算机可读存储介质 | |
US20240005771A1 (en) | Methods and systems for gas leakage safety warning based on internet of things (iot) of smart gas | |
CN115396325A (zh) | 一种基于计算机网络安全数据采集分析的管理系统及方法 | |
CN116489019B (zh) | 一种智能视觉信令通道管理方法、系统及介质 | |
CN110995733B (zh) | 一种基于遥测技术的工控领域的入侵检测系统 | |
CN109976168B (zh) | 一种去中心化的智能家居控制方法及系统 | |
CN113569947A (zh) | 电弧检测方法和系统 | |
CN112865312A (zh) | 一种电力调度系统及电力数据处理方法 | |
KR102484940B1 (ko) | 패킷 순서정보를 이용한 산업제어시스템의 이상징후를 감지하는 방법 및 장치 | |
CN116418674B (zh) | 智能物联网vpn路由器系统自动低延迟管理的方法、装置 | |
CN113890814B (zh) | 故障感知模型构建和故障感知方法与系统、设备、介质 | |
CN112419680B (zh) | 一种输电线路安全隐患分类识别方法及系统 | |
CN115884242B (zh) | 基于动态复杂信息系统的动态网络脆弱性评价系统及方法 | |
CN117347791B (zh) | 基于大数据的电力电网故障在线识别系统及方法 | |
CN114338221B (zh) | 一种基于大数据分析的网络检测系统 | |
CN116030422B (zh) | 一种可视化视频监控智能运维管理系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |