CN116248346A - 面向智慧城市的cps网络安全态势感知建立方法和系统 - Google Patents
面向智慧城市的cps网络安全态势感知建立方法和系统 Download PDFInfo
- Publication number
- CN116248346A CN116248346A CN202211694213.XA CN202211694213A CN116248346A CN 116248346 A CN116248346 A CN 116248346A CN 202211694213 A CN202211694213 A CN 202211694213A CN 116248346 A CN116248346 A CN 116248346A
- Authority
- CN
- China
- Prior art keywords
- flow
- network
- module
- situation awareness
- security situation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Databases & Information Systems (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开面向智慧城市的CPS网络安全态势感知建立方法和系统,涉及网络安全检测技术领域;面向智慧城市,构建CPS网络安全态势感知系统,通过流量实时抓取模块使用循环的方式抓取网络数据包,通过流量解析模块解析抓取的网络数据包获取流量数据特征属性,通过攻击识别模块使用LSTM模型根据解析获取的流量数据特征属性实时识别流量状态,若识别结果为正常流量则放行,若识别结果为异常流量则丢弃掉对应的网络数据包并将对应的流量数据特征属性送入攻击分类模块的CNN模型中进行攻击类型分类,通过安全态势感知可视化模块获取实时同步的异常流量及相关数据,实时显示威胁类型、攻击态势、流量状态和攻击来源。
Description
技术领域
本发明公开方法和系统,涉及网络安全检测技术领域,具体地说是面向智慧城市的CPS网络安全态势感知建立方法和系统。
背景技术
信息物理融合系统(Cyber-PhysicalSystem,CPS)是通过将计算、通信和控制技术有机融合与深度协作,从而实现信息域和物理域紧密结合的计算过程与物理过程相融合的复杂系统。
智慧城市是信物融合系统最为典型的应用场景之一,智慧城市CPS通过物联网及感知终端承载着大量的关键数据及信息,包括各种传感器数据的采集和远程设备的控制指令和监视数据等,对推动城市新型管理和服务智慧化、提高城市运行管理和公共服务水平、提升城市居民幸福感和满意度具有重要作用。
CPS系统中的物联网网关和边缘计算服务器需要支持大规模物联网终端设备的开放式连接,从而容易成为网络攻击目标。此外,CPS中物联网终端设备数量众多且防护能力较弱,往往容易被恶意利用,更是为CPS在大规模应用和部署时带来巨大的网络安全风险隐患。尤其针对智慧城市CPS网络设备和服务的网络攻击行为变得越来越规模化、复杂化和隐蔽化,一些以分布式拒绝服务攻击和Web代码注入为代表新型的网络攻击技术大量涌现。而以防火墙和口令管理为代表的网络安全技术,只能被动地应对特定攻击行为,实时性较差,难以高效应对愈加复杂的攻击手段。
发明内容
本发明针对现有技术的问题,提供面向智慧城市的CPS网络安全态势感知建立方法和系统。本发明提出的具体方案是:
本发明提供面向智慧城市的CPS网络安全态势感知建立方法,面向智慧城市,构建CPS网络安全态势感知系统,所述CPS网络安全态势感知系统包括流量实时抓取模块、流量解析模块、神经网络流量监测模块和安全态势感知可视化模块,神经网络流量监测模块包括攻击识别模块和攻击分类模块,
通过流量实时抓取模块使用循环的方式抓取网络数据包,并设定单个文件的所容纳的网络数据包的数量,达到所述数量后进行新一轮的网络数据包的抓取,
通过流量解析模块解析抓取的网络数据包获取流量数据特征属性,先解析获取网络连接基本特征和网络连接内容特征,再解析获取基于时间的网络流量统计特和基于主机的网络流量统计特征,
通过攻击识别模块使用长短期记忆神经网络(LSTM)根据解析获取的流量数据特征属性实时识别流量状态,若识别结果为正常流量则放行,若识别结果为异常流量则丢弃掉对应的网络数据包并将对应的流量数据特征属性送入攻击分类模块的卷积神经网络(CNN)中进行攻击类型分类,
通过安全态势感知可视化模块获取实时同步的异常流量及相关数据,实时显示威胁类型、攻击态势、流量状态和攻击来源。
进一步,所述的面向智慧城市的CPS网络安全态势感知建立方法中通过流量实时抓取模块利用Tcpdump工具使用循环的方式抓取网络数据包,设置命令Tcpdump-n-iport80-c100-U-wdata.pcap,-i表示指定抓取端口的流量,-c表示指定抓取多少个网络数据包,-U表示当每个网络数据包被保存时,将及时被写入文件中,-w表示将抓取的网络数据包写入指定文件。
进一步,所述的面向智慧城市的CPS网络安全态势感知建立方法中通过流量解析模块使用Bro脚本对网络数据包解析获取网络连接基本特征和网络连接内容特征。
进一步,所述的面向智慧城市的CPS网络安全态势感知建立方法中在攻击识别模块中所述LSTM模型包括Dense全连接层、LSTM网络层和Sigmoid分类器,Dense全连接层为输入层,Sigmoid分类器为输出层,输出识别结果,
设置所述LSTM模型的参数:在第一层Dense全连接层中,units参数取值为64,激活函数activation参数取值为relu;在第二层LSTM网络层中,输出空间的维度units参数取值为70;在第三层sigmoid分类器中,units参数取值为1,activation参数取值为sigmoid。
进一步,所述的面向智慧城市的CPS网络安全态势感知建立方法中在攻击分类模块中CNN模型包括卷积层、池化层、Flatten层、全连接层和Softmax分类器,
设置CNN模型中使用以下参数:在第一层卷积层中units参数取值为64,activation参数取值为relu;第二层池化层中参数poolsize取值为2;第三层卷积层中units参数取值为128,activation参数取值为relu;在全连接层中units参数取值为128,在最后一层softmax分类器中units参数取值为4,activation参数取值为softmax。
进一步,所述的面向智慧城市的CPS网络安全态势感知建立方法中分别使用keras框架下layers模块中的Dense函数、Flatten函数、Convolution1D函数和MaxPooling1D函数逐层搭建CNN模型。
进一步,所述的面向智慧城市的CPS网络安全态势感知建立方法中采用jQuery框架编写CPS网络安全态势感知系统的前端,借助div、CSS以及flex进行安全态势感知可视化模块布局,通过安全态势感知可视化模块使用ajax、echarts呈现图表,展示后端json数据。
进一步,所述的面向智慧城市的CPS网络安全态势感知建立方法中使用SpringBoot框架进行CPS网络安全态势感知系统的后端开发,存储数据于MySQL数据库中,并将数据处理成前端安全态势感知可视化模块所需要的json格式。
本发明还提供面向智慧城市的CPS网络安全态势感知系统,面向智慧城市,包括流量实时抓取模块、流量解析模块、神经网络流量监测模块和安全态势感知可视化模块,神经网络流量监测模块包括攻击识别模块和攻击分类模块,
流量实时抓取模块使用循环的方式抓取网络数据包,并设定单个文件的所容纳的网络数据包的数量,达到所述数量后进行新一轮的网络数据包的抓取,
流量解析模块解析抓取的网络数据包获取流量数据特征属性,先解析获取网络连接基本特征和网络连接内容特征,再解析获取基于时间的网络流量统计特和基于主机的网络流量统计特征,
攻击识别模块使用LSTM模型根据解析获取的流量数据特征属性实时识别流量状态,若识别结果为正常流量则放行,若识别结果为异常流量则丢弃掉对应的网络数据包并将对应的流量数据特征属性送入攻击分类模块的CNN模型中进行攻击类型分类,
安全态势感知可视化模块获取实时同步的异常流量及相关数据,实时显示威胁类型、攻击态势、流量状态和攻击来源。
本发明还提供面向智慧城市的CPS网络安全态势感知设备,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行所述的面向智慧城市的CPS网络安全态势感知建立方法。
本发明的有益之处是:
本发明提供面向智慧城市的CPS网络安全态势感知建立方法,有助于在各类网络安全事件中及时预警、高效的事中防护和精准的事后溯源,实现对网络攻击的事件进行全面的感知和防御。本发明提供的方法简化了数据截取的流程,降低了数据分析的难度。与此同时,本发明在神经网络流量监测模块中建立的深度学习模型能够很好的发挥自身架构的优势,实现对数据实时、快速、高效的识别与分类。除此之外,本发明提供的可视化设计方法实现了所有数据的集成化实时展示。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实现的系统框架示意图;
图2是本发明实现的神经网络流量监测模块流程示意图;
图3是本发明实现的安全态势感知可视化模块实时监测界面图表布局示意图。
具体实施方式
网络安全态势感知是指对网络状态变化要素进行获取、分析、理解和可视化以感知网络安全状态并预测未来安全发展趋势,从而为后续决策和处置提供依据。网络安全态势感知系统能够基于采集的网络流量、安全日志、安全告警、威胁情报等数据,利用机器学习和大数据分析技术,提取网络运行行为关键特征,从而实现异常行为的智能识别,进而实现网络安全环境风险的评估和预测。
下面结合附图和具体实施例对本发明作进一步说明,以使本领域的技术人员可以更好地理解本发明并能予以实施,但所举实施例不作为对本发明的限定。
为解决物联网边缘计算层存在数据泄露、节点盗窃、拒绝服务、监视探测、非法访问、越权访问等多种攻击类型,且网络流量具有数据体量大、特征维度高、异常攻击数据远小于正常流量数据、网络丢包导致数据特征不完整、未知攻击和攻击变种不断涌现等挑战性问题,
本发明提供面向智慧城市的CPS网络安全态势感知建立方法,面向智慧城市,构建CPS网络安全态势感知系统,所述CPS网络安全态势感知系统包括流量实时抓取模块、流量解析模块、神经网络流量监测模块和安全态势感知可视化模块,神经网络流量监测模块包括攻击识别模块和攻击分类模块,
通过流量实时抓取模块使用循环的方式抓取网络数据包,并设定单个文件的所容纳的网络数据包的数量,达到所述数量后进行新一轮的网络数据包的抓取,
通过流量解析模块解析抓取的网络数据包获取流量数据特征属性,先解析获取网络连接基本特征和网络连接内容特征,再解析获取基于时间的网络流量统计特和基于主机的网络流量统计特征,
通过攻击识别模块使用LSTM模型根据解析获取的流量数据特征属性实时识别流量状态,若识别结果为正常流量则放行,若识别结果为异常流量则丢弃掉对应的网络数据包并将对应的流量数据特征属性送入攻击分类模块的CNN模型中进行攻击类型分类,
通过安全态势感知可视化模块获取实时同步的异常流量及相关数据,实时显示威胁类型、攻击态势、流量状态和攻击来源。
本发明方法建立CPS网络安全态势感知系统实现网络流量数据的实时抓取、智能分析、自动识别和直观可视化。具体应用中,在本发明方法的一些实施例中,构建了CPS网络安全态势感知系统,包括流量实时抓取模块、流量解析模块、神经网络流量监测模块以及安全态势感知可视化模块,
通过流量实时抓取模块使用Tcpdump抓取网络流量数据包,通过Tcpdump可以将网络中传送的数据包的完全截获下来提供分析。为了实现对网络攻击的实时检测,通过流量实时抓取模块使用Tcpdump使用循环的方式捕捉网络数据包,先设定单个文件所容纳的数据包的数量,达到数量后在进行新的一轮的数据包的抓取。通过这种方式能源源不断为解析程序提供最新捕捉的数据包,以达到实时检测的目的。进一步地,设置命令“Tcpdump-n-iport80-c100-U-wdata.pcap”,-i是指定抓取端口的流量,-c指定抓取多少个数据包,-U当每个数据包被保存时,它将及时被写入文件中,而不是等文件的输出缓冲已满时才真正写入此文件,-w将抓取的数据包写入指定文件。
通过流量解析模块在抓取到数据包后提取出网络数据包的特征属性,其中这些特征属性一共有41个,可以将其分为4个类别:网络连接基本特征(1-9号)、网络连接内容特征(10-22号)、基于时间的网络流量统计特征(23-31号)和基于主机的网络流量统计特征(32-41号)。本发明在提取特征时分为两步进行,第一步先将网络连接基本特征和网络连接内容特征提取出来,使用Bro脚本对原始数据分析并提取出原始数据集中前22项特征属性。Bro是一个提供BSD授权的开源软件项目,它包含一种事件驱动型的脚本语言,可以应用这种语言重写与特征属性相关的事件处理函数。第二步将基于时间和基于主机的网络流量统计特征提取出来,提取这两类特征需要对一段较长时间内所有的网络连接进行整体分析,因此需要对第一步中提取的特征进行输出和整理。
通过神经网络流量监测模块负责监测来自流量解析的流量,通过LSTM模型识别正常流量或异常流量,异常流量被送入CNN模型中进行攻击类型分类。
其中,攻击识别模块中的LSTM包括输入门、遗忘门、输出门三部分。遗忘门用来决定保留上一个模块的中的多少信息,再由输入门用来决定将多少新的输入数据更新到神经元状态中,最终经过输出门得到输出值。LSTM通过三个门对信息进行筛选,然后将有效信息向下传递,在一定程度上减少了无效信息对预测结果的干扰,有效地缓解了梯度消失的问题,适合处理和预测时间序列中间隔较大的信息,因此适用于包含会话流特征的攻击流量检测。本发明实现的LSTM模型由Dense全连接层、LSTM网络层、Sigmoid分类器三部分组成,其中Dense层为输入层,Sigmoid分类器为输出层,输出结果是正常流量或异常流量。
在攻击分类模块中,本发明方法搭建一个7层卷积神经网络,由卷积层、池化层、Flatten层、全连接层、Softmax层组成的CNN模型,卷积神经网络通过局部感受野、权重共享和降采样3种策略,降低了网络模型的复杂度,同时对于平移、旋转、尺度缩放等形式的变有度的不变性。因此被广泛应用于图像分类、目标识别、语音识别等领域。进一步地,CNN模型在keras框架下通过逐层搭建的方式来实现,分别使用了keras框架下layers模块中的Dense函数,Flatten函数,Convolution1D函数,MaxPooling1D函数。
进一步地,本发明方法将两个模型应用在KDDCUP99上。还将KDDCUP99数据集训练的模型应用在上述仿真工具生成的数据集上,来验证这两个模型的泛化能力。在LSTM模型中使用以下参数:在第一层全连接层中,units参数取值为64、激活函数activation参数取值为relu;在第二层LSTM网络层中,输出空间的维度units参数取值为70;在第三层sigmoid分类器中,units参数取值为1,activation参数取值为sigmoid。参数epoch用来描述在整个网络训练过程中,重复进行多少次训练,取值为50。在CNN模型中使用以下参数:在第一层卷积层中,units参数取值为64,activation参数取值为relu,第二层最大池化层中,参数poolsize取值为2,第三层卷积层中,units参数取值为128,activation参数取值为relu,全连接层,units参数取值为128,在最后一层softmax分类器中,units参数取值为4,activation参数取值为softmax。参数epoch用来描述在整个网络训练过程中,重复进行多少次训练,取值为100。
通过安全态势感知可视化模块实时显示威胁类型、攻击态势、流量状态、攻击来源。威胁类型主要包括DDoS攻击、监视探测(Probing)、非法访问(R2L)、越权访问(U2R),攻击态势是展现当前边缘服务器的安全状态,流量状态是展现边缘服务器最近一小时之内进入和发送的流量数据,攻击来源通过地图的形式展现出攻击者来自的地区。通过安全态势感知可视化模块进行数据管理则能够从后台对整个系统进行管理员设置,实现模型的更新、开关、删除,数据的更新、查看、删除等功能。实时展示数据的方式包括:选用柱状图对四类网络攻击类型进行展示,选用折线图对网络中正常访问条目以及受攻击条目进行展示,选用折线图对实时流量进行展示,使用js编写地图模块用于标注攻击者所在地区等,参考图3的布局。
进一步地,本发明方法构建CPS网络安全态势感知系统时,可以选择关系型数据库MySQL作为数据存储的介质。在关系型数据库中,MySQL数据库凭借它的按需可扩展性、高可靠性以及快速启动的特点,与较轻量级的可视化系统能够较好的适配。除此之外,综合MySQL数据库的成本效益、效率以及可靠性,MySQL数据库能节约大量资源投入。
本发明方法可以使用SpringBoot框架进行系统后端开发,提取MySQL数据库中数据,并处理到前端所需要的json格式。
后端是创建数据接口的部分,通过接口返回经过处理的数据子集,供前端部分接入。
本发明方法可以采用jQuery框架编写系统前端部分,借助div、CSS以及flex进行布局,使用ajax、echarts呈现图表,通过获取后端json数据进行处理、展示。本发明方法对网络攻击态势数据进行呈现,对有限的网页空间进行了设计与布局,数据呈现清晰且高效。其中echarts图表集直观、易读、参数可调节为一体,在可视化应用中使用广泛。此外,作为ASF孵化级项目,其发展前景广阔。最后,为了使前端能够从后端实时更新数据,在echarts图表编写中引入ajax方式。使用ajax能在不更新整个页面的前提下维护数据,这使得Web应用程序更为迅捷地回应用户动作,并避免了在网络上发送那些没有改变的信息。与此同时,本发明方法构建的系统同时适配一般情况的网页分辨率尺寸,即1920*1024。考虑到不同分辨率的显示器适配,可以设计页面布局缩放功能,使可视化页面具备更强的设备适应能力。
本发明还提供面向智慧城市的CPS网络安全态势感知系统,面向智慧城市,包括流量实时抓取模块、流量解析模块、神经网络流量监测模块和安全态势感知可视化模块,神经网络流量监测模块包括攻击识别模块和攻击分类模块,
流量实时抓取模块使用循环的方式抓取网络数据包,并设定单个文件的所容纳的网络数据包的数量,达到所述数量后进行新一轮的网络数据包的抓取,
流量解析模块解析抓取的网络数据包获取流量数据特征属性,先解析获取网络连接基本特征和网络连接内容特征,再解析获取基于时间的网络流量统计特和基于主机的网络流量统计特征,
攻击识别模块使用LSTM模型根据解析获取的流量数据特征属性实时识别流量状态,若识别结果为正常流量则放行,若识别结果为异常流量则丢弃掉对应的网络数据包并将对应的流量数据特征属性送入攻击分类模块的CNN模型中进行攻击类型分类,
安全态势感知可视化模块获取实时同步的异常流量及相关数据,实时显示威胁类型、攻击态势、流量状态和攻击来源。
上述系统内的各模块间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
同样地,本发明系统有助于在各类网络安全事件中及时预警、高效的事中防护和精准的事后溯源,实现对网络攻击的事件进行全面的感知和防御。本发明系统简化了数据截取的流程,降低了数据分析的难度。与此同时,本发明系统在神经网络流量监测模块中建立的深度学习模型能够很好的发挥自身架构的优势,实现对数据实时、快速、高效的识别与分类。除此之外,本发明系统提供的可视化模块实现了所有数据的集成化实时展示。
本发明还提供面向智慧城市的CPS网络安全态势感知设备,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行所述的面向智慧城市的CPS网络安全态势感知建立方法。
上述设备内的处理器的信息交互、执行可读程序过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
同样地,本发明设备有助于在各类网络安全事件中及时预警、高效的事中防护和精准的事后溯源,实现对网络攻击的事件进行全面的感知和防御。本发明设备简化了数据截取的流程,降低了数据分析的难度。与此同时,本发明设备在神经网络流量监测模块中建立的深度学习模型能够很好的发挥自身架构的优势,实现对数据实时、快速、高效的识别与分类。除此之外,本发明设备提供的可视化设计实现了所有数据的集成化实时展示。
需要说明的是,上述各流程和各系统结构中不是所有的步骤和模块都是必须的,可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的,可以根据需要进行调整。上述各实施例中描述的系统结构可以是物理结构,也可以是逻辑结构,即,有些模块可能由同一物理实体实现,或者,有些模块可能分由多个物理实体实现,或者,可以由多个独立设备中的某些部件共同实现。
以上所述实施例仅是为充分说明本发明而所举的较佳的实施例,本发明的保护范围不限于此。本技术领域的技术人员在本发明基础上所作的等同替代或变换,均在本发明的保护范围之内。本发明的保护范围以权利要求书为准。
Claims (10)
1.面向智慧城市的CPS网络安全态势感知建立方法,其特征是面向智慧城市,构建CPS网络安全态势感知系统,所述CPS网络安全态势感知系统包括流量实时抓取模块、流量解析模块、神经网络流量监测模块和安全态势感知可视化模块,神经网络流量监测模块包括攻击识别模块和攻击分类模块,
通过流量实时抓取模块使用循环的方式抓取网络数据包,并设定单个文件的所容纳的网络数据包的数量,达到所述数量后进行新一轮的网络数据包的抓取,
通过流量解析模块解析抓取的网络数据包获取流量数据特征属性,先解析获取网络连接基本特征和网络连接内容特征,再解析获取基于时间的网络流量统计特和基于主机的网络流量统计特征,
通过攻击识别模块使用LSTM模型根据解析获取的流量数据特征属性实时识别流量状态,若识别结果为正常流量则放行,若识别结果为异常流量则丢弃掉对应的网络数据包并将对应的流量数据特征属性送入攻击分类模块的CNN模型中进行攻击类型分类,
通过安全态势感知可视化模块获取实时同步的异常流量及相关数据,实时显示威胁类型、攻击态势、流量状态和攻击来源。
2.根据权利要求1所述的面向智慧城市的CPS网络安全态势感知建立方法,其特征是通过流量实时抓取模块利用Tcpdump工具使用循环的方式抓取网络数据包,设置命令Tcpdump-n-iport80-c100-U-wdata.pcap,-i表示指定抓取端口的流量,-c表示指定抓取多少个网络数据包,-U表示当每个网络数据包被保存时,将及时被写入文件中,-w表示将抓取的网络数据包写入指定文件。
3.根据权利要求1所述的面向智慧城市的CPS网络安全态势感知建立方法,其特征是通过流量解析模块使用Bro脚本对网络数据包解析获取网络连接基本特征和网络连接内容特征。
4.根据权利要求1所述的面向智慧城市的CPS网络安全态势感知建立方法,其特征是在攻击识别模块中所述LSTM模型包括Dense全连接层、LSTM网络层和Sigmoid分类器,Dense全连接层为输入层,Sigmoid分类器为输出层,输出识别结果,
设置所述LSTM模型的参数:在第一层Dense全连接层中,units参数取值为64,激活函数activation参数取值为relu;在第二层LSTM网络层中,输出空间的维度units参数取值为70;在第三层sigmoid分类器中,units参数取值为1,activation参数取值为sigmoid。
5.根据权利要求1所述的面向智慧城市的CPS网络安全态势感知建立方法,其特征是在攻击分类模块中CNN模型包括卷积层、池化层、Flatten层、全连接层和Softmax分类器,
设置CNN模型中使用以下参数:在第一层卷积层中units参数取值为64,activation参数取值为relu;第二层池化层中参数poolsize取值为2;第三层卷积层中units参数取值为128,activation参数取值为relu;在全连接层中units参数取值为128,在最后一层softmax分类器中units参数取值为4,activation参数取值为softmax。
6.根据权利要求5所述的面向智慧城市的CPS网络安全态势感知建立方法,其特征是分别使用keras框架下layers模块中的Dense函数、Flatten函数、Convolution1D函数和MaxPooling1D函数逐层搭建CNN模型。
7.根据权利要求1所述的面向智慧城市的CPS网络安全态势感知建立方法,其特征是采用jQuery框架编写CPS网络安全态势感知系统的前端,借助div、CSS以及flex进行安全态势感知可视化模块布局,通过安全态势感知可视化模块使用ajax、echarts呈现图表,展示后端json数据。
8.根据权利要求1或7所述的面向智慧城市的CPS网络安全态势感知建立方法,其特征是使用SpringBoot框架进行CPS网络安全态势感知系统的后端开发,存储数据于MySQL数据库中,并将数据处理成前端安全态势感知可视化模块所需要的json格式。
9.面向智慧城市的CPS网络安全态势感知系统,其特征是面向智慧城市,包括流量实时抓取模块、流量解析模块、神经网络流量监测模块和安全态势感知可视化模块,神经网络流量监测模块包括攻击识别模块和攻击分类模块,
流量实时抓取模块使用循环的方式抓取网络数据包,并设定单个文件的所容纳的网络数据包的数量,达到所述数量后进行新一轮的网络数据包的抓取,
流量解析模块解析抓取的网络数据包获取流量数据特征属性,先解析获取网络连接基本特征和网络连接内容特征,再解析获取基于时间的网络流量统计特和基于主机的网络流量统计特征,
攻击识别模块使用LSTM模型根据解析获取的流量数据特征属性实时识别流量状态,若识别结果为正常流量则放行,若识别结果为异常流量则丢弃掉对应的网络数据包并将对应的流量数据特征属性送入攻击分类模块的CNN模型中进行攻击类型分类,
安全态势感知可视化模块获取实时同步的异常流量及相关数据,实时显示威胁类型、攻击态势、流量状态和攻击来源。
10.面向智慧城市的CPS网络安全态势感知设备,其特征是包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;所述至少一个处理器,用于调用所述机器可读程序,执行权利要求1至8中任一项所述的面向智慧城市的CPS网络安全态势感知建立方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211694213.XA CN116248346A (zh) | 2022-12-28 | 2022-12-28 | 面向智慧城市的cps网络安全态势感知建立方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211694213.XA CN116248346A (zh) | 2022-12-28 | 2022-12-28 | 面向智慧城市的cps网络安全态势感知建立方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116248346A true CN116248346A (zh) | 2023-06-09 |
Family
ID=86628729
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211694213.XA Pending CN116248346A (zh) | 2022-12-28 | 2022-12-28 | 面向智慧城市的cps网络安全态势感知建立方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116248346A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117579384A (zh) * | 2024-01-16 | 2024-02-20 | 杭州智顺科技有限公司 | 基于实战化的网络安全运营与指挥系统 |
-
2022
- 2022-12-28 CN CN202211694213.XA patent/CN116248346A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117579384A (zh) * | 2024-01-16 | 2024-02-20 | 杭州智顺科技有限公司 | 基于实战化的网络安全运营与指挥系统 |
CN117579384B (zh) * | 2024-01-16 | 2024-03-29 | 杭州智顺科技有限公司 | 基于实战化的网络安全运营与指挥系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
US10298607B2 (en) | Constructing graph models of event correlation in enterprise security systems | |
CN104303152B (zh) | 在内网检测异常以识别协同群组攻击的方法、装置和系统 | |
CN104601591B (zh) | 网络攻击源组织检测方法 | |
Saxena et al. | General study of intrusion detection system and survey of agent based intrusion detection system | |
CN111797326B (zh) | 一种融合多尺度视觉信息的虚假新闻检测方法及系统 | |
CN108282460B (zh) | 一种面向网络安全事件的证据链生成方法及装置 | |
CN112468347A (zh) | 一种云平台的安全管理方法、装置、电子设备及存储介质 | |
CN112560029A (zh) | 基于智能分析技术的网站内容监测和自动化响应防护方法 | |
Fan et al. | An interactive visual analytics approach for network anomaly detection through smart labeling | |
Khan et al. | Digital forensics and cyber forensics investigation: security challenges, limitations, open issues, and future direction | |
CN102045357A (zh) | 一种基于仿射聚类分析的入侵检测方法 | |
WO2018071356A1 (en) | Graph-based attack chain discovery in enterprise security systems | |
CN116248346A (zh) | 面向智慧城市的cps网络安全态势感知建立方法和系统 | |
CN113938401A (zh) | 一种舰艇网络安全可视化系统 | |
CN111798356A (zh) | 一种基于大数据的轨道交通客流异常模式识别方法 | |
Liu et al. | An intrusion detection system based on a quantitative model of interaction mode between ports | |
Shukla et al. | UInDeSI4. 0: An efficient Unsupervised Intrusion Detection System for network traffic flow in Industry 4.0 ecosystem | |
CN111211948B (zh) | 基于载荷特征和统计特征的Shodan流量识别方法 | |
CN110708341A (zh) | 一种基于远程桌面加密网络流量模式差异的用户行为检测方法及系统 | |
Liu et al. | Automated behavior identification of home security camera traffic | |
CN111343205B (zh) | 工控网络安全检测方法、装置、电子设备以及存储介质 | |
CN114638356A (zh) | 一种静态权重引导的深度神经网络后门检测方法及系统 | |
CN114170548A (zh) | 一种基于深度学习的油田现场微目标检测方法及系统 | |
Herrero et al. | Mobile hybrid intrusion detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |