CN116938507A - 一种电力物联网安全防御终端及其控制系统 - Google Patents
一种电力物联网安全防御终端及其控制系统 Download PDFInfo
- Publication number
- CN116938507A CN116938507A CN202310248784.9A CN202310248784A CN116938507A CN 116938507 A CN116938507 A CN 116938507A CN 202310248784 A CN202310248784 A CN 202310248784A CN 116938507 A CN116938507 A CN 116938507A
- Authority
- CN
- China
- Prior art keywords
- message
- data
- network
- module
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000007123 defense Effects 0.000 title claims description 15
- 238000004458 analytical method Methods 0.000 claims abstract description 45
- 238000011156 evaluation Methods 0.000 claims abstract description 20
- 238000012795 verification Methods 0.000 claims abstract description 17
- 238000004891 communication Methods 0.000 claims abstract description 12
- 230000008447 perception Effects 0.000 claims abstract description 5
- 238000012544 monitoring process Methods 0.000 claims description 34
- 238000000034 method Methods 0.000 claims description 20
- 230000002159 abnormal effect Effects 0.000 claims description 19
- 238000012545 processing Methods 0.000 claims description 15
- 230000001360 synchronised effect Effects 0.000 claims description 13
- 230000005540 biological transmission Effects 0.000 claims description 12
- 230000005856 abnormality Effects 0.000 claims description 11
- 238000012216 screening Methods 0.000 claims description 9
- 238000001514 detection method Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 6
- 238000007781 pre-processing Methods 0.000 claims description 5
- 230000011218 segmentation Effects 0.000 claims description 5
- 230000000903 blocking effect Effects 0.000 claims description 4
- 238000010276 construction Methods 0.000 claims description 4
- 238000004364 calculation method Methods 0.000 claims description 3
- 239000000470 constituent Substances 0.000 claims description 3
- 238000005259 measurement Methods 0.000 claims description 3
- 238000012360 testing method Methods 0.000 claims description 3
- 238000001914 filtration Methods 0.000 claims description 2
- 230000006855 networking Effects 0.000 claims 2
- 230000002265 prevention Effects 0.000 abstract description 2
- 230000006399 behavior Effects 0.000 description 21
- 230000007246 mechanism Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 239000003795 chemical substances by application Substances 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 239000000306 component Substances 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000012854 evaluation process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000003862 health status Effects 0.000 description 1
- 239000002994 raw material Substances 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种电力物联网安全防御终端及其控制系统,包括风险判断模块、场景感知模块、安全验证评估模块以及安全浏览模块,其中,所述风险判断模块通过对主体信任的识别和动态感知以生成评分和有关与主体和环境相关的潜在风险的报告;所述场景感知模块用于安全浏览设备链接以执行设备的身份验证;所述安全验证评估模块与所述安全浏览模块连接以连续提供评估数据;所述安全浏览模块将控制平台和数据连接起来,并根据来自数据的通信会话为所有访问请求建立安全浏览策略。本发明能够加强电力物联网终端网络安全分析、预警和风险防范能力,加强电力物联网终端网络安全整体的业务安全。
Description
技术领域
本发明涉及电力物联网相关技术领域,尤其是一种电力物联网安全防御终端及其控制系统。
背景技术
电力物联网是物联网在智能电网中的应用,是信息通信技术发展到一定阶段的结果,其将有效整合通信基础设施资源和电力系统基础设施资源,提高电力系统信息化水平,改善电力系统现有基础设施利用效率,为电网发、输、变、配、用电等环节提供重要技术支撑;
电力物联网由于网络专用、协议专用等特点,亟需在传统基于网络报文攻击特征分析的基础上,进一步研究适用于电力物联网终端的安全监测技术手段,提升电力物联网在终端面抵御各类攻击威胁的能力。
发明内容
本发明要解决的技术问题是提供一种电力物联网安全防御终端及其控制系统。
为解决上述技术问题,本发明所采取的技术发明如下:
一方面,本发明公开一种电力物联网安全防御终端及其控制系统,包括。
作为本发明的一种优选技术发明,包括风险判断模块、场景感知模块、安全验证评估模块以及安全浏览模块,其中,所述风险判断模块通过对主体信任的识别和动态感知以生成评分和有关与主体和环境相关的潜在风险的报告;所述场景感知模块用于安全浏览设备链接以执行设备的身份验证;所述安全验证评估模块与所述安全浏览模块连接以连续提供评估数据;所述安全浏览模块将控制平台和数据连接起来,并根据来自数据的通信会话为所有访问请求建立安全浏览策略。
另一方面,本发明公开一种电力物联网安全防御控制系统,包括流量特征白名单监测、语法语义特征监测、设备网络访问行为特征监测、构建设备画像,其中流量特征白名单监测包括采集良性的网络流量报文首部的基础属性,应用基于属性分类的报文聚类方法,对数据进行预处理形成一个三元组集合,再将每个集合进行属性分类,最后通过特征词提取,得到网络流量外在特征白名单;所述语法语义特征监测包括分析终端网络流量中的关键字段和关键字组合的频率与时隙,建立协议关键字白名单,通过分析关键字与关键字组合的频率与时隙,确定设备画像的协议关键字频率与时隙的安全阈值;所述设备网络访问行为特征监测通过设备网络访问行为基线,实现对设备网络访问行文的监测;通过网络流量的外在特征、协议关键字阈值和设备网络访问行为基线构建设备画像。
作为本发明的一种优选技术发明,所述流量特征白名单监测包括:数据预处理,提取网络流秩序中的报文信息,对网络流秩序进行分词处理,IP取目的IP用f1表示,流量类型f2,报文大小f3,报文时隙f4,报文方向f5,其中IP部分取后八位,报文时隙由当前报文时间减去上个相邻报文时间得到,报文方向的接收用1表示,发送用2表示,运用报文聚类方法定义一组三元组集合表示网络流秩序向量:
A=(S,P,V)
其中,集合S是需要处理的数据集即报文集合,集合P是网络流秩序中的属性组成即集合fi,V是属性fi中的具体值。
作为本发明的一种优选技术发明,所述流量特征白名单监测还包括:按属性分类,对于某一属性Pi,如果报文与报文之间的Vi(Vi∈Pi)相同,则将报文划分为同一簇,形成初步的聚类结果;对属性分类的结果进行过滤,用于反应报文的特征:先计算每个Vi的集合数量,再除以总报文数,去除结果大于0.05的属性。
作为本发明的一种优选技术发明,所述流量特征白名单监测还包括:特征词提取,将Vi按集合数量降序排序,对应Vi中的每个报文Si(Si∈Vi)进行交运算得到Vi特征词集合,直到获得所有关于fi的特征词集合,根据特征词集合建立网络流秩序白名单;在实行安全监测时,将报文首部信息与网络流秩序白名单中的集合匹配,如果没有出现在集合中则判断为异常。
作为本发明的一种优选技术发明,所述语法语义特征监测包括:根据语法与语义检测报文数据段的异常情况;其中根据语法内容,使用数据段切分的同步解析方法,在识别到关键字段后,将其与关键字段的白名单匹配,若其没有在白名单中则认为语法出现异常;根据语义内容,使用统计网络报文每种协议的关键字使用次数,并计算关键字单位时间内出现的次数,得到频率阈值,根据计算结果,评估安全阈值实现语义检测。
作为本发明的一种优选技术发明,语法测报文数据段的异常情况包括:关键字位置己知时的同步解析,在同步解析的处理时,如果先匹配已知位置的关键字组合,根据关键字的数量设置多个切入点,快速读取对应的内容;关键字位置未知时的同步解析,如果关键字位置不确定,把报文的数据段分块处理,根据实际需要插入n-1个扫描点,之后开始对每一个数据分块解析,将解析到的数据与关键字段匹配,最终完成对于关键字位置未知的同步解析;根据上述两个条件实现对不同情况关键字的报文解析后,通过先验知识与协议己知关键字和字段内容的匹配,如果出现了位置字段或者未知数据内容则判断协议报文出现语法异常。
作为本发明的一种优选技术发明,语义测报文数据段的异常情况包括:A、通过终端设备良性设备通信时的流量数据,将其转换为自然语言,筛选其数据段中重复字段的次数记为xi,计算xi与总报文T的比值得到各个关键字的频率fi
fi=xi/T
B、针对每个关键字yi,以yi出现的报文为样本即Ti=yi∩T,再对Ti执行上一步中的筛选得到Ti中的关键字;将Ti的每个关键字与合并得到yi的关键字组合,之后根据上式计算关键字组合的频率;
C、计算相邻的不同关键字首次出现的时间差,取最大时间差作为最大响应时间,最小值为最快响应时间;
D、记录fi根据实际运行状态设置T的窗口范围即最远记录点,选取频率较高的若干fi构成设备的语义画像,当fi与当前数据偏差较大时或关键字之间超出正常的时间分布时,认为设备出现异常状态。
作为本发明的一种优选技术发明,构建设备画像包括:
A、选取公共数据集,读入数据集的pcap文件,跳过首部信息的24个字节;
B、处理数据包包头信息共16字节,将每条流量数据看作一帧读取到数据包头说明进入新的一帧;
C、处理链路层信息共14字节,保存第1至第6字节的目的mac地址和第7至第12位的源mac地址,第13、14字节的标识符表示网络层协议类型,记录ARP(0806H)、ipv4(0800H)与ipv6(86ddH)的数量;
D、处理网络层信息,记录UDP(11h)与TCP(06H)第24位的传输层协议类型,并记录ICMP(06H)协议;
E、处理传输层信息,记录TCP与UDP协议的端口访问信息,寻找下一个数据包包头。
作为本发明的一种优选技术发明,构建设备画像还包括:设备网络流量分析和数据包分析,所述设备网络流量分析包括通过筛选TCP/IP堆栈的网络层传输层的流,完成正常流量的分析和受攻击流量的分析;所述数据包分析包括使用dpkt库来解析数据链路层和传输层物,完成物联网设备网络行为的解析。
采用上述技术发明所产生的有益效果在于:本发明可以增强电力物联网终端网络安全的监测效果,改善现阶段电力物联网终端网络安全机制、终端身份认证机制、终端安全监测的潜在隐患。基于网络流秩序和协议深度解析层面分析终端异常的技术,并通过终端设备画像,实现对现场网络安全状态异常的监测识别,保障承载业务的协同应用和安全安全浏览,能够加强电力物联网终端网络安全分析、预警和风险防范能力,加强电力物联网终端网络安全整体的业务安全。
附图说明
图1为本发明电力物联网安全防御终端的结构示意图。
图2为本发明语义测报文数据段的异常情况流程图。
图3为本发明构建设备画像流程图。
具体实施方式
以下实施例详细说明了本发明。本发明所使用的各种原料及各项设备均为常规市售产品,均能够通过市场购买直接获得。
在以下实施例的描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
一方面,本发明公开一种电力物联网安全防御终端,结合图1,具体包括风险判断模块、场景感知模块、安全验证评估模块以及安全浏览模块。
风险判断是以主体和环境维度为中心执行。通过对主体信任的识别和动态感知,风险判断机制可以生成评分和有关与主体和环境相关的潜在风险的详细报告,这些是信任度评估过程中的关键参考。面向主体和环境的评估机制:访问行为的风险判断机制侧重于设备应用的访问主体和环境。
风险判断包括两部分:风险评分和风险报告。风险评分的主要目的是为电力物联网设备提供快速的信任度认证功能。可以基于分数设置业务操作服务的所有安全访问策略。风险报告的主要目的是提供深入的终端信任度认证功能。可以根据报告中的特定属性来判断所有服务,以实现业务操作的细粒度安全浏览。风险评分采用“可信加权”原理,将所有风险项目产生的权重相加,并以百分制表示,以便策略方可以针对不同的评分结果制定相应的安全策略。管理者可以根据自己的需求定制该模板。风险分为三个级别:潜在风险,一般风险和严重风险。
情境感知模块需要通过监视各种客户端和专用设备,同时感知电力物联网系统中物理,网络和计算环境的可信度。系统使用安全策略来确定不同信任级别的访问行为。作为一个完整的零信任系统,场景感知模块可以与安全浏览设备(如安全浏览平台和安全应用网关)链接以执行设备的身份验证。场景感知模块具有四种类型的感知能力:基本安全性,系统安全性,应用程序合法性以及设备健康状况。基本安全是指感知威胁的能力,例如病毒,APT攻击和系统漏洞;系统安全感知是指感知与登录,帐户,配置等有关风险的能力;设备健康状况是指能够感知终端的基本运作状态。情境感知模块还需要记录操作人员的行为,通过各种物理环境感知设备进行识别,从而识别物理环境风险,例如UKEY插拔,多人围观和授权人员离开。
安全验证评估模块是实现连续安全验证评估功能的零信任体系结构的核心组件,该模块与安全浏览引擎链接以连续提供评估数据,主体的信任级别、资源安全级别和环境评估结果作为决定安全浏览策略的基础。安全验证评估模块建立在电力物联网四维安全框架上。以主体(即用户身份、安全凭证和用户行为分析)和客体(即设备基础信息、终端安全状态、终端行为分析)作为身份安全验证评估的输入。该模块使用风险判断机制进行风险确定,将客体的安全级别与主体的信任级别进行匹配。安全验证评估模块迭代执行安全验证评估,将评估结果反馈至安全浏览引擎执行零信任策略的决策过程,确定安全浏览是否需要更改策略,并按需中断经由访问代理的连接,以在必要时执行资源保护。在安全验证评估过程中,使用者需制定量化标准来满足其自身的安全需求,并且可以在实践中完善这些标准,因此应为此保留相应的配置接口。
安全浏览模块将控制平台和数据连接起来,并根据来自数据的通信会话为所有访问请求建立安全浏览策略如图所示。根据“最小化安全浏览”的原则,该模块连续执行安全验证评估并动态调整访问权限。严格执行动态安全浏览策略来阻止没有适当特权的访问请求。安全浏览模块不断地从安全验证评估模块接收评估结果,并遵循最小授权原则,基于会话进行动态授权判断。根据所有访问请求的上下文属性,信任级别和安全策略,决定授予资源访问请求权限。一旦访问代理收到访问请求,安全浏览引擎就会对访问主体进行身份验证,并动态确定访问主体的权限。访问代理将为已通过身份验证过程并具有适当权限的访问请求建立安全通道,以使主体可以访问受保护的资源。当安全浏览引擎确定已建立的连接需要策略更改时,访问代理会相应地更改、挂起或取消会话。
另一方面,本发明公开一种电力物联网安全防御控制系统,具体包括流量特征白名单监测、语法语义特征监测和设备网络访问行为特征监测三方面。针对流量特征,采集良性的网络流量报文首部的基础属性,应用基于属性分类的报文聚类方法,对数据进行预处理形成一个三元组集合,再将每个集合进行属性分类,最后通过特征词提取,得到网络流量外在特征白名单。针对语法语义特征,分析终端网络流量中的关键字段和关键字组合的频率与时隙,建立协议关键字白名单。通过分析关键字与关键字组合的频率与时隙,确定设备画像的协议关键字频率与时隙的安全阈值。针对设备的网络访问行为,从ICMP、DNS、WEB等方面实验分析,得到设备网络访问行为基线,实现对设备网络访问行文的监测。结合网络流量的外在特征、协议关键字阈值和设备网络访问行为基线构建设备画像。
电力物联网设备网络流量的异常检测,接下来要通过网络流秩序向量提取特征词白名单。具体的,采用报文聚类方法,其实现过程如下:
(1)数据预处理,提取网络流秩序中的报文信息,对网络流秩序进行分词处理,IP取目的IP用f1表示,流量类型f2,报文大小f3,报文时隙f4,报文方向f5,其中IP部分取后八位,报文时隙由当前报文时间减去上个相邻报文时间得到,报文方向的接收用1表示,发送用2表示,运用报文聚类方法定义一组三元组集合表示网络流秩序向量:
A=(S,P,V)
其中,集合S是需要处理的数据集即报文集合,集合P是网络流秩序中的属性组成即集合fi,V是属性fi中的具体值。
(2)按属性分类,对于某一属性Pi,如果报文与报文之间的Vi(Vi∈Pi)相同,则将报文划分为同一簇,形成初步的聚类结果。鉴于电力物联网设备通信的稳定性,部分聚类结果可能不符合报文聚类的参考条件,所以必须对第二步属性分类的结果进行过滤。完美的聚类结果是单个属性对应的报文数量会占据多数,这样的属性说明具有代表性,更加反应报文的特征。基于这个思想,先计算每个Vi的集合数量,再除以总报文数,去除结果大于0.05(可以根据先验知识调整)的属性。
(3)特征词提取,将Vi按集合数量降序排序,对应Vi中的每个报文Si(Si∈Vi)进行交运算得到Vi特征词集合,直到获得所有关于fi的特征词集合,根据特征词集合建立网络流秩序白名单;在实行安全监测时,将报文首部信息与网络流秩序白名单中的集合匹配,如果没有出现在集合中则判断为异常。
基于协议解析的电力物联网终端异常分析通过提取报文数据段,根据语法与语义,检测报文数据段的异常情况。针对语法内容,设计了一种数据段切分的同步解析方法,做到快速定位关键字增加解析速率,在识别到关键字段后,将其与关键字段的白名单匹配,若其没有在白名单中则认为语法出现异常。针对语义内容,统计网络报文每种协议的关键字使用次数,并计算关键字单位时间内出现的次数,得到频率阈值。根据计算结果,评估安全阈值实现语义检测。
语法测报文数据段的异常情况包括:关键字位置己知时的同步解析,在同步解析的处理时,如果先匹配已知位置的关键字组合,根据关键字的数量设置多个切入点,快速读取对应的内容;关键字位置未知时的同步解析,如果关键字位置不确定,把报文的数据段分块处理,根据实际需要插入n-1个扫描点,之后开始对每一个数据分块解析,将解析到的数据与关键字段匹配,最终完成对于关键字位置未知的同步解析;根据上述两个条件实现对不同情况关键字的报文解析后,通过先验知识与协议己知关键字和字段内容的匹配,如果出现了位置字段或者未知数据内容则判断协议报文出现语法异常。
上述过程为协议语法层面的异常检测,简单高效。但攻击者可以借助正常协议执行恶意攻击,在协议语法层面无法发现异常,因而需要进行更深入的协议语义层面的异常检测。然而,协议的运行逻辑复杂,而且不同协议具有不同的设计思路。物联网设备通信通常分为控制报文和信息报文,并且基于设备稳定性的特点,通常报文通讯中有些字段会经常出现,可以把这类字段看作报文的数据传输特征也就是关键字段。
参见图2,语义测报文数据段的异常情况包括:A、通过终端设备良性设备通信时的流量数据,将其转换为自然语言,筛选其数据段中重复字段的次数记为xi,计算xi与总报文T的比值得到各个关键字的频率fi
fi=xi/T
B、针对每个关键字yi,以yi出现的报文为样本即Ti=yi∩T,再对Ti执行上一步中的筛选得到Ti中的关键字;将Ti的每个关键字与合并得到yi的关键字组合,之后根据上式计算关键字组合的频率;
C、计算相邻的不同关键字首次出现的时间差,取最大时间差作为最大响应时间,最小值为最快响应时间;
D、记录fi根据实际运行状态设置T的窗口范围即最远记录点,选取频率较高的若干fi构成设备的语义画像,当fi与当前数据偏差较大时或关键字之间超出正常的时间分布时,认为设备出现异常状态。
终端设备画像由网络流秩序特征,语法语义关键字特征和网络访问行为特征三个方面构成。网络流秩序包括:IP地址,流量类型,报文长度,报文时隙以及报文的方向。通过报文聚类的检测方法实现对报文首部信息的刻画;语法语义关键字特征通过报文分块、同步解析和关键字频率分析实现对协议数据段的刻画。网络访问行为通过分析现有数据集中良性数据与异常数据各个方面的区别,提取具有代表性的访问行为如DNS、ICMP、WEB等实现安全访问行为基线的刻画。参见图3,构建设备画像包括:
A、选取公共数据集,读入数据集的pcap文件,跳过首部信息的24个字节;
B、处理数据包包头信息共16字节,将每条流量数据看作一帧读取到数据包头说明进入新的一帧;
C、处理链路层信息共14字节,保存第1至第6字节的目的mac地址和第7至第12位的源mac地址,第13、14字节的标识符表示网络层协议类型,记录ARP(0806H)、ipv4(0800H)与ipv6(86ddH)的数量;
D、处理网络层信息,记录UDP(11h)与TCP(06H)第24位的传输层协议类型,并记录ICMP(06H)协议;
E、处理传输层信息,记录TCP与UDP协议的端口访问信息,寻找下一个数据包包头。
该分析检查正常流量和攻击流量中不同协议的数据包、字节和流率、以及最大流量和传输端口的差异,从而构建设备的网络行为画像。此结果是基于设备网络流量和数据包进行分析。
(1)设备网络流量分析分析的基本方法是通过分析一小时的时隙中的总体流量来完成的。通过筛选TCP/IP堆栈的第3层(网络层)和第4层(传输层)的流,可以完成正常流量的分析和受攻击流量的分析。
(2)数据包分析对于数据包分析,本发明使用了Python脚本,特别是dpkt库来解析这两个数据集。通过对数据包的分析,能够更加了解物联网设备的网络行为,创建更全面、更详尽的设备画像。
以上实施例仅用以说明本发明的技术发明,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术发明进行修改,或者对其中部分技术特征进行同替换;而这些修改或者替换,并不使相应技术发明的本质脱离本发明各实施例技术发明的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种电力物联网安全防御终端,其特征在于,包括风险判断模块、场景感知模块、安全验证评估模块以及安全浏览模块,其中,所述风险判断模块通过对主体信任的识别和动态感知以生成评分和有关与主体和环境相关的潜在风险的报告;所述场景感知模块用于安全浏览设备链接以执行设备的身份验证;所述安全验证评估模块与所述安全浏览模块连接以连续提供评估数据;所述安全浏览模块将控制平台和数据连接起来,并根据来自数据的通信会话为所有访问请求建立安全浏览策略。
2.一种电力物联网安全防御控制系统,其特征在于:包括流量特征白名单监测、语法语义特征监测、设备网络访问行为特征监测、构建设备画像,其中流量特征白名单监测包括采集良性的网络流量报文首部的基础属性,应用基于属性分类的报文聚类方法,对数据进行预处理形成一个三元组集合,再将每个集合进行属性分类,最后通过特征词提取,得到网络流量外在特征白名单;所述语法语义特征监测包括分析终端网络流量中的关键字段和关键字组合的频率与时隙,建立协议关键字白名单,通过分析关键字与关键字组合的频率与时隙,确定设备画像的协议关键字频率与时隙的安全阈值;所述设备网络访问行为特征监测通过设备网络访问行为基线,实现对设备网络访问行文的监测;通过网络流量的外在特征、协议关键字阈值和设备网络访问行为基线构建设备画像。
3.根据权利要求2所述的一种电力物联网安全防御控制系统,其特征在于:所述流量特征白名单监测包括:数据预处理,提取网络流秩序中的报文信息,对网络流秩序进行分词处理,IP取目的IP用f1表示,流量类型f2,报文大小f3,报文时隙f4,报文方向f5,其中IP部分取后八位,报文时隙由当前报文时间减去上个相邻报文时间得到,报文方向的接收用1表示,发送用2表示,运用报文聚类方法定义一组三元组集合表示网络流秩序向量:
A=(S,P,V)
其中,集合S是需要处理的数据集即报文集合,集合P是网络流秩序中的属性组成即集合fi,V是属性fi中的具体值。
4.根据权利要求3所述的一种电力物联网安全防御控制系统,其特征在于:所述流量特征白名单监测还包括:按属性分类,对于某一属性Pi,如果报文与报文之间的Vi(Vi∈Pi)相同,则将报文划分为同一簇,形成初步的聚类结果;对属性分类的结果进行过滤,用于反应报文的特征:先计算每个Vi的集合数量,再除以总报文数,去除结果大于0.05的属性。
5.根据权利要求4所述的一种电力物联网安全防御控制系统,其特征在于:所述流量特征白名单监测还包括:特征词提取,将Vi按集合数量降序排序,对应Vi中的每个报文Si(Si∈Vi)进行交运算得到Vi特征词集合,直到获得所有关于fi的特征词集合,根据特征词集合建立网络流秩序白名单;在实行安全监测时,将报文首部信息与网络流秩序白名单中的集合匹配,如果没有出现在集合中则判断为异常。
6.根据权利要求5所述的一种电力物联网安全防御控制系统,其特征在于:所述语法语义特征监测包括:根据语法与语义检测报文数据段的异常情况;其中根据语法内容,使用数据段切分的同步解析方法,在识别到关键字段后,将其与关键字段的白名单匹配,若其没有在白名单中则认为语法出现异常;根据语义内容,使用统计网络报文每种协议的关键字使用次数,并计算关键字单位时间内出现的次数,得到频率阈值,根据计算结果,评估安全阈值实现语义检测。
7.根据权利要求6所述的一种电力物联网安全防御控制系统,其特征在于:语法测报文数据段的异常情况包括:关键字位置己知时的同步解析,在同步解析的处理时,如果先匹配已知位置的关键字组合,根据关键字的数量设置多个切入点,快速读取对应的内容;关键字位置未知时的同步解析,如果关键字位置不确定,把报文的数据段分块处理,根据实际需要插入n-1个扫描点,之后开始对每一个数据分块解析,将解析到的数据与关键字段匹配,最终完成对于关键字位置未知的同步解析;根据上述两个条件实现对不同情况关键字的报文解析后,通过先验知识与协议己知关键字和字段内容的匹配,如果出现了位置字段或者未知数据内容则判断协议报文出现语法异常。
8.根据权利要求7所述的一种电力物联网安全防御控制系统,其特征在于:语义测报文数据段的异常情况包括:A、通过终端设备良性设备通信时的流量数据,将其转换为自然语言,筛选其数据段中重复字段的次数记为xi,计算xi与总报文T的比值得到各个关键字的频率fi
fi=xi/T
B、针对每个关键字yi,以yi出现的报文为样本即Ti=yi∩T,再对Ti执行上一步中的筛选得到Ti中的关键字;将Ti的每个关键字与合并得到yi的关键字组合,之后根据上式计算关键字组合的频率;
C、计算相邻的不同关键字首次出现的时间差,取最大时间差作为最大响应时间,最小值为最快响应时间;
D、记录fi根据实际运行状态设置T的窗口范围即最远记录点,选取频率较高的若干fi构成设备的语义画像,当fi与当前数据偏差较大时或关键字之间超出正常的时间分布时,认为设备出现异常状态。
9.根据权利要求8所述的一种电力物联网安全防御控制系统,其特征在于:构建设备画像包括:
A、选取公共数据集,读入数据集的pcap文件,跳过首部信息的24个字节;
B、处理数据包包头信息共16字节,将每条流量数据看作一帧读取到数据包头说明进入新的一帧;
C、处理链路层信息共14字节,保存第1至第6字节的目的mac地址和第7至第12位的源mac地址,第13、14字节的标识符表示网络层协议类型,记录ARP(0806H)、ipv4(0800H)与ipv6(86ddH)的数量;
D、处理网络层信息,记录UDP(11h)与TCP(06H)第24位的传输层协议类型,并记录ICMP(06H)协议;
E、处理传输层信息,记录TCP与UDP协议的端口访问信息,寻找下一个数据包包头。
10.根据权利要求9所述的一种电力物联网安全防御控制系统,其特征在于:构建设备画像还包括:设备网络流量分析和数据包分析,所述设备网络流量分析包括通过筛选TCP/IP堆栈的网络层传输层的流,完成正常流量的分析和受攻击流量的分析;所述数据包分析包括使用dpkt库来解析数据链路层和传输层物,完成物联网设备网络行为的解析。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310248784.9A CN116938507A (zh) | 2023-03-15 | 2023-03-15 | 一种电力物联网安全防御终端及其控制系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310248784.9A CN116938507A (zh) | 2023-03-15 | 2023-03-15 | 一种电力物联网安全防御终端及其控制系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116938507A true CN116938507A (zh) | 2023-10-24 |
Family
ID=88378047
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310248784.9A Pending CN116938507A (zh) | 2023-03-15 | 2023-03-15 | 一种电力物联网安全防御终端及其控制系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116938507A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117688503A (zh) * | 2024-02-04 | 2024-03-12 | 国网天津市电力公司滨海供电分公司 | 一种基于移动端的用电安全检查系统 |
| CN117857222A (zh) * | 2024-03-07 | 2024-04-09 | 国网江西省电力有限公司电力科学研究院 | 一种基于动态ip的新能源集控站网络动态防御系统及方法 |
| CN118337535A (zh) * | 2024-06-13 | 2024-07-12 | 湖南华辰智通科技有限公司 | 基于设备画像生成预测模型的设备报警方法及可读介质 |
-
2023
- 2023-03-15 CN CN202310248784.9A patent/CN116938507A/zh active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117688503A (zh) * | 2024-02-04 | 2024-03-12 | 国网天津市电力公司滨海供电分公司 | 一种基于移动端的用电安全检查系统 |
| CN117688503B (zh) * | 2024-02-04 | 2024-04-16 | 国网天津市电力公司滨海供电分公司 | 一种基于移动端的用电安全检查系统 |
| CN117857222A (zh) * | 2024-03-07 | 2024-04-09 | 国网江西省电力有限公司电力科学研究院 | 一种基于动态ip的新能源集控站网络动态防御系统及方法 |
| CN118337535A (zh) * | 2024-06-13 | 2024-07-12 | 湖南华辰智通科技有限公司 | 基于设备画像生成预测模型的设备报警方法及可读介质 |
| CN118337535B (zh) * | 2024-06-13 | 2024-08-09 | 湖南华辰智通科技有限公司 | 基于设备画像生成预测模型的设备报警方法及可读介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11399288B2 (en) | Method for HTTP-based access point fingerprint and classification using machine learning | |
| CN107135093B (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
| CN116938507A (zh) | 一种电力物联网安全防御终端及其控制系统 | |
| US20060129810A1 (en) | Method and apparatus for evaluating security of subscriber network | |
| KR102017810B1 (ko) | 모바일 기기용 침입방지장치 및 방법 | |
| US11973783B1 (en) | Attack prevention in internet of things networks | |
| JP2006506853A (ja) | 能動的ネットワーク防衛システム及び方法 | |
| CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
| KR100684602B1 (ko) | 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법 | |
| Park et al. | Network log-based SSH brute-force attack detection model. | |
| JP2022554101A (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
| CN111262832B (zh) | 云环境下融合信任和学习的DDoS攻击发现方法 | |
| WO2024065956A1 (zh) | 一种基于数据多维熵值指纹的网络异常行为检测方法 | |
| CN108712369B (zh) | 一种工业控制网多属性约束访问控制决策系统和方法 | |
| Sawaya et al. | Detection of attackers in services using anomalous host behavior based on traffic flow statistics | |
| Nie et al. | Intrusion detection using a graphical fingerprint model | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| Sourour et al. | Environmental awareness intrusion detection and prevention system toward reducing false positives and false negatives | |
| Ding et al. | Machine learning for cybersecurity: Network-based botnet detection using time-limited flows | |
| Saravanan et al. | Security enhancement in distributed networks using link-based mapping scheme for network intrusion detection with enhanced Bloom filter | |
| Lysenko et al. | Botnet Detection Approach Based on DNS. | |
| Hamsaveni | AN IMPLEMENTAION OF SNORT BASED INTRUSION DETECTION SYSTEM USING WIRELESS SENSOR NETWORK | |
| KR102671718B1 (ko) | 머신러닝을 통한 새로운 침입을 예측하는 웹로그 신규 위협 탐지 보안 시스템 | |
| KR20040085266A (ko) | 이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법 | |
| Pir | Intrusion detection techniques and open source intrusion detection (IDS) tools |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |