CN117118707A - 一种变电站的恶意网络入侵检测方法、系统、设备及介质 - Google Patents
一种变电站的恶意网络入侵检测方法、系统、设备及介质 Download PDFInfo
- Publication number
- CN117118707A CN117118707A CN202311084988.XA CN202311084988A CN117118707A CN 117118707 A CN117118707 A CN 117118707A CN 202311084988 A CN202311084988 A CN 202311084988A CN 117118707 A CN117118707 A CN 117118707A
- Authority
- CN
- China
- Prior art keywords
- network
- malicious
- intrusion
- event
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 50
- 230000006399 behavior Effects 0.000 claims abstract description 53
- 238000000034 method Methods 0.000 claims abstract description 38
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims abstract description 19
- 238000004458 analytical method Methods 0.000 claims abstract description 10
- 230000008569 process Effects 0.000 claims description 12
- 241000700605 Viruses Species 0.000 claims description 3
- 238000001914 filtration Methods 0.000 claims description 3
- 230000009467 reduction Effects 0.000 claims description 3
- 238000003860 storage Methods 0.000 claims description 3
- 238000007781 pre-processing Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 10
- 238000004590 computer program Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种变电站的恶意网络入侵检测方法、系统、设备及介质,用以解决现有的电网防护系统只能事后告警的技术问题。方法包括:基于旁路镜像,获取变电站所在的电网系统的网络镜像流量;对网络镜像流量执行完整性检查,以确定网络镜像流量是否产生了事件;若产生事件,则基于协议解码提取网络镜像流量的网络元数据,生成数据包;基于内置恶意网络入侵检测规则脚本检测数据包中是否含有恶意入侵行为;若存在入侵行为,则基于旁路镜像对恶意入侵行为进行溯源分析,启动本地木马对黑客进行主动反击并在本地预警。能够通过构建本地木马并获取攻击行为所在的IP地址对攻击者进行反制,并可以在电网系统受到恶意入侵之前进行告警。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种变电站的恶意网络入侵检测方法、系统、设备及介质。
背景技术
随着信息技术的不断发展,电网系统作为国计民生的一项重要部分也逐渐迈入信息化进程。通过互联网技术,电网系统在供配电的可靠性及高效性方面有了显著的提高,但也面临着诸多挑战。
随着电网规模的不断扩大,电网系统也越来越容易遭到外部恶意网络的入侵,犯罪分子通过层出不穷的技术手段入侵电网系统,盗取电网内部数据,以谋取不当利益。虽然目前已有一些相应的技术可以实现电网网络系统的防护及预警,但效果不尽如人意,且多数都是事后告警,即电网系统数据被窃取之后防护系统才能得知消息,无法做到事前预警。
发明内容
本申请实施例提供了一种变电站的恶意网络入侵检测方法、系统、设备及介质,用以解决现有的电网防护系统只能事后告警的技术问题。
一方面,本申请实施例提供了一种变电站的恶意网络入侵检测方法,所述方法包括以下步骤:
步骤S1:基于旁路镜像,获取变电站所在的电网系统的网络镜像流量;
步骤S2:对所述网络镜像流量执行完整性检查,以确定所述网络镜像流量是否产生了事件;
步骤S3:若产生事件,则基于协议解码提取所述网络镜像流量的网络元数据,生成数据包;
步骤S4:基于内置恶意网络入侵检测规则脚本检测所述数据包中是否含有恶意入侵行为;
步骤S5:若存在入侵行为,则基于所述旁路镜像对所述恶意入侵行为进行溯源分析,启动本地木马对黑客进行主动反击并在本地预警。
在本申请的一种实现方式中,所述步骤S1之后,所述方法还包括:通过libpcap数据包捕获库对所述网络镜像流量进行处理;过滤所述网络镜像流量中无效的流量数据。
在本申请的一种实现方式中,所述步骤S2中,完整性检查的过程,具体为:检验所述网络镜像流量的IP头校验和,以判断所述网络镜像流量的数据头部格式是否正确;若所述数据头部格式不正确,则产生报错并丢弃所述网络镜像流量;若所述数据头部格式正确,则检查队列中是否出现事件。
在本申请的一种实现方式中,所述步骤S4,具体包括:基于区域检测规则确定所述事件是否属于跨区域行为;基于恶意域名规则确定所述事件是否属于黑名单中的行为;基于恶意软件检测规则确定所述事件中是否包含恶意软件。
在本申请的一种实现方式中,基于恶意文件检测规则确定所述事件中是否包含恶意文件的过程,具体为:提取指定文件的哈希;所述指定文件的类型包括:hostname、method、url;基于提取的哈希进行文件还原;基于恶意软件特征库,比对还原出来的文件,检测所述指定文件中的病毒。
在本申请的一种实现方式中,所述步骤S5,具体包括:基于所述网络镜像流量获取所述恶意入侵行为的样本流量;分析所述样本流量,绘制恶意入侵者的设备画像;基于所述样本流量在本地数据库中查找类似的历史攻击事件,调用同类型的反制木马攻击所述恶意入侵者,并生成反制及预警日志。
其次,本申请还提供了一种变电站的恶意网络入侵检测系统,所述系统包括:镜像流量获取单元,用于基于旁路镜像,获取变电站所在的电网系统的网络镜像流量;完整性检查单元,用于对所述网络镜像流量执行完整性检查,以确定所述网络镜像流量是否产生了事件;解码单元,用于在产生事件时,基于协议解码提取所述网络镜像流量的网络元数据,生成数据包;恶意入侵检测单元,用于基于内置恶意网络入侵检测规则脚本检测所述数据包中是否含有恶意入侵行为;反制单元,用于在存在入侵行为时,基于所述旁路镜像对所述恶意入侵行为进行溯源分析,启动本地木马对黑客进行主动反击并在本地预警。
在本申请的一种实现方式中,所述系统还包括流量数据预处理单元,用于通过libpcap数据包捕获库对所述网络镜像流量进行处理,以及过滤所述网络镜像流量中无效的流量数据。
再其次,本申请还提供了一种变电站的恶意网络入侵检测设备,所述设备包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:基于旁路镜像,获取变电站所在的电网系统的网络镜像流量;对所述网络镜像流量执行完整性检查,以确定所述网络镜像流量是否产生了事件;若产生事件,则基于协议解码提取所述网络镜像流量的网络元数据,生成数据包;基于内置恶意网络入侵检测规则脚本检测所述数据包中是否含有恶意入侵行为;若存在入侵行为,则基于所述旁路镜像对所述恶意入侵行为进行溯源分析,启动本地木马对黑客进行主动反击并在本地预警。
最后,本申请还提供了一种变电站的恶意网络入侵检测的非易失性计算机存储介质,存储有计算机可执行指令,所述计算机可执行指令设置为:基于旁路镜像,获取变电站所在的电网系统的网络镜像流量;对所述网络镜像流量执行完整性检查,以确定所述网络镜像流量是否产生了事件;若产生事件,则基于协议解码提取所述网络镜像流量的网络元数据,生成数据包;基于内置恶意网络入侵检测规则脚本检测所述数据包中是否含有恶意入侵行为;若存在入侵行为,则基于所述旁路镜像对所述恶意入侵行为进行溯源分析,启动本地木马对黑客进行主动反击并在本地预警。
本申请实施例提供的一种变电站的恶意网络入侵检测方法、系统、设备及介质,通过获取变电站所在的电网系统的流量数据,然后通过数据处理的方式对获取到的流量样本进行分析是否产生了恶意入侵行为,并能够通过构建本地木马并获取攻击行为所在的IP地址对攻击者进行反制,最重要的是本申请提供的方法可以在电网系统受到恶意入侵之前进行告警,可以最大程度的保证电网数据安全。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例提供的一种变电站的恶意网络入侵检测方法流程图;
图2为本申请实施例提供的一种变电站的恶意网络入侵检测系统组成图;
图3为本申请实施例提供的一种变电站的恶意网络入侵检测设备示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供了一种变电站的恶意网络入侵检测方法、系统、设备及介质,用以解决现有的电网防护系统只能事后告警的技术问题。
下面通过附图对本申请实施例提出的技术方案进行详细的说明。
图1为本申请实施例提供的一种电站的恶意网络入侵检测方法流程图。如图1所示,该方法主要包括以下步骤:
步骤S1:基于旁路镜像,获取变电站所在的电网系统的网络镜像流量;
步骤S2:对所述网络镜像流量执行完整性检查,以确定所述网络镜像流量是否产生了事件;
步骤S3:若产生事件,则基于协议解码提取所述网络镜像流量的网络元数据,生成数据包;
步骤S4:基于内置恶意网络入侵检测规则脚本检测所述数据包中是否含有恶意入侵行为;
步骤S5:若存在入侵行为,则基于所述旁路镜像对所述恶意入侵行为进行溯源分析,启动本地木马对黑客进行主动反击并在本地预警。
在本申请的一种实现方式中,所述步骤S1之后,所述方法还包括:通过libpcap数据包捕获库对所述网络镜像流量进行处理;过滤所述网络镜像流量中无效的流量数据。
在本申请的一种实现方式中,所述步骤S2中,完整性检查的过程,具体为:检验所述网络镜像流量的IP头校验和,以判断所述网络镜像流量的数据头部格式是否正确;若所述数据头部格式不正确,则产生报错并丢弃所述网络镜像流量;若所述数据头部格式正确,则检查队列中是否出现事件。
在本申请的一种实现方式中,所述步骤S4,具体包括:基于区域检测规则确定所述事件是否属于跨区域行为;基于恶意域名规则确定所述事件是否属于黑名单中的行为;基于恶意软件检测规则确定所述事件中是否包含恶意软件。
在本申请的一种实现方式中,基于恶意文件检测规则确定所述事件中是否包含恶意文件的过程,具体为:提取指定文件的哈希;所述指定文件的类型包括:hostname、method、url;基于提取的哈希进行文件还原;基于恶意软件特征库,比对还原出来的文件,检测所述指定文件中的病毒。
在本申请的一种实现方式中,所述步骤S5,具体包括:基于所述网络镜像流量获取所述恶意入侵行为的样本流量;分析所述样本流量,绘制恶意入侵者的设备画像;基于所述样本流量在本地数据库中查找类似的历史攻击事件,调用同类型的反制木马攻击所述恶意入侵者,并生成反制及预警日志。
以上是本申请实施例提供的一种电站的恶意网络入侵检测方法,基于同样的发明构思,本申请实施例还提供了一种电站的恶意网络入侵检测系统,图2为本申请实施例提供的一种电站的恶意网络入侵检测系统组成图,如图2所示,所述系统主要包括:镜像流量获取单元201,用于基于旁路镜像,获取变电站所在的电网系统的网络镜像流量;完整性检查单元202,用于对所述网络镜像流量执行完整性检查,以确定所述网络镜像流量是否产生了事件;解码单元203,用于在产生事件时,基于协议解码提取所述网络镜像流量的网络元数据,生成数据包;恶意入侵检测单元204,用于基于内置恶意网络入侵检测规则脚本检测所述数据包中是否含有恶意入侵行为;反制单元205,用于在存在入侵行为时,基于所述旁路镜像对所述恶意入侵行为进行溯源分析,启动本地木马对黑客进行主动反击并在本地预警。
以上是本申请实施例提供的一种电站的恶意网络入侵检测系统,基于同样的发明构思,本申请实施例还提供了一种电站的恶意网络入侵检测设备,图3为本申请实施例提供的一种电站的恶意网络入侵检测设备示意图,如图3所示,该设备主要包括:至少一个处理器301;以及,与至少一个处理器通信连接的存储器302;其中,存储器302存储有可被至少一个处理器301执行的指令,指令被至少一个处理器301执行,以使至少一个处理器301能够完成:基于旁路镜像,获取变电站所在的电网系统的网络镜像流量;对所述网络镜像流量执行完整性检查,以确定所述网络镜像流量是否产生了事件;若产生事件,则基于协议解码提取所述网络镜像流量的网络元数据,生成数据包;基于内置恶意网络入侵检测规则脚本检测所述数据包中是否含有恶意入侵行为;若存在入侵行为,则基于所述旁路镜像对所述恶意入侵行为进行溯源分析,启动本地木马对黑客进行主动反击并在本地预警。
除此之外,本申请实施例还提供了一种电站的恶意网络入侵检测的非易失性计算机存储介质,存储有计算机可执行指令,所述计算机可执行指令设置为:基于旁路镜像,获取变电站所在的电网系统的网络镜像流量;对所述网络镜像流量执行完整性检查,以确定所述网络镜像流量是否产生了事件;若产生事件,则基于协议解码提取所述网络镜像流量的网络元数据,生成数据包;基于内置恶意网络入侵检测规则脚本检测所述数据包中是否含有恶意入侵行为;若存在入侵行为,则基于所述旁路镜像对所述恶意入侵行为进行溯源分析,启动本地木马对黑客进行主动反击并在本地预警。
本申请实施例提供的一种变电站的恶意网络入侵检测方法、系统、设备及介质,通过获取变电站所在的电网系统的流量数据,然后通过数据处理的方式对获取到的流量样本进行分析是否产生了恶意入侵行为,并能够通过构建本地木马并获取攻击行为所在的IP地址对攻击者进行反制,最重要的是本申请提供的方法可以在电网系统受到恶意入侵之前进行告警,可以最大程度的保证电网数据安全。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
本申请中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种变电站的恶意网络入侵检测方法,其特征在于,所述方法包括以下步骤:
步骤S1:基于旁路镜像,获取变电站所在的电网系统的网络镜像流量;
步骤S2:对所述网络镜像流量执行完整性检查,以确定所述网络镜像流量是否产生了事件;
步骤S3:若产生事件,则基于协议解码提取所述网络镜像流量的网络元数据,生成数据包;
步骤S4:基于内置恶意网络入侵检测规则脚本检测所述数据包中是否含有恶意入侵行为;
步骤S5:若存在入侵行为,则基于所述旁路镜像对所述恶意入侵行为进行溯源分析,启动本地木马对黑客进行主动反击并在本地预警。
2.根据权利要求1所述的一种变电站的恶意网络入侵检测方法,其特征在于,所述步骤S1之后,所述方法还包括:
通过libpcap数据包捕获库对所述网络镜像流量进行处理;
过滤所述网络镜像流量中无效的流量数据。
3.根据权利要求1所述的一种变电站的恶意网络入侵检测方法,其特征在于,所述步骤S2中,完整性检查的过程,具体为:
检验所述网络镜像流量的IP头校验和,以判断所述网络镜像流量的数据头部格式是否正确;
若所述数据头部格式不正确,则产生报错并丢弃所述网络镜像流量;
若所述数据头部格式正确,则检查队列中是否出现事件。
4.根据权利要求1所述的一种变电站的恶意网络入侵检测方法,其特征在于,所述步骤S4,具体包括:
基于区域检测规则确定所述事件是否属于跨区域行为;
基于恶意域名规则确定所述事件是否属于黑名单中的行为;
基于恶意软件检测规则确定所述事件中是否包含恶意软件。
5.根据权利要求4所述的一种变电站的恶意网络入侵检测方法,其特征在于,基于恶意文件检测规则确定所述事件中是否包含恶意文件的过程,具体为:
提取指定文件的哈希;所述指定文件的类型包括:hostname、method、url;
基于提取的哈希进行文件还原;
基于恶意软件特征库,比对还原出来的文件,检测所述指定文件中的病毒。
6.根据权利要求1所述的一种变电站的恶意网络入侵检测方法,其特征在于,所述步骤S5,具体包括:
基于所述网络镜像流量获取所述恶意入侵行为的样本流量;
分析所述样本流量,绘制恶意入侵者的设备画像;
基于所述样本流量在本地数据库中查找类似的历史攻击事件,调用同类型的反制木马攻击所述恶意入侵者,并生成反制及预警日志。
7.一种变电站的恶意网络入侵检测系统,应用如权利要求1-6任意一项所述的一种变电站的恶意网络入侵检测方法,其特征在于,所述系统包括:
镜像流量获取单元,用于基于旁路镜像,获取变电站所在的电网系统的网络镜像流量;
完整性检查单元,用于对所述网络镜像流量执行完整性检查,以确定所述网络镜像流量是否产生了事件;
解码单元,用于在产生事件时,基于协议解码提取所述网络镜像流量的网络元数据,生成数据包;
恶意入侵检测单元,用于基于内置恶意网络入侵检测规则脚本检测所述数据包中是否含有恶意入侵行为;
反制单元,用于在存在入侵行为时,基于所述旁路镜像对所述恶意入侵行为进行溯源分析,启动本地木马对黑客进行主动反击并在本地预警。
8.根据权利要求7所述的一种变电站的恶意网络入侵检测系统,其特征在于,所述系统还包括流量数据预处理单元,用于通过libpcap数据包捕获库对所述网络镜像流量进行处理,以及过滤所述网络镜像流量中无效的流量数据。
9.一种变电站的恶意网络入侵检测设备,其特征在于,所述设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
基于旁路镜像,获取变电站所在的电网系统的网络镜像流量;
对所述网络镜像流量执行完整性检查,以确定所述网络镜像流量是否产生了事件;
若产生事件,则基于协议解码提取所述网络镜像流量的网络元数据,生成数据包;
基于内置恶意网络入侵检测规则脚本检测所述数据包中是否含有恶意入侵行为;
若存在入侵行为,则基于所述旁路镜像对所述恶意入侵行为进行溯源分析,启动本地木马对黑客进行主动反击并在本地预警。
10.一种变电站的恶意网络入侵检测的非易失性计算机存储介质,存储有计算机可执行指令,其特征在于,所述计算机可执行指令设置为:
基于旁路镜像,获取变电站所在的电网系统的网络镜像流量;
对所述网络镜像流量执行完整性检查,以确定所述网络镜像流量是否产生了事件;
若产生事件,则基于协议解码提取所述网络镜像流量的网络元数据,生成数据包;
基于内置恶意网络入侵检测规则脚本检测所述数据包中是否含有恶意入侵行为;
若存在入侵行为,则基于所述旁路镜像对所述恶意入侵行为进行溯源分析,启动本地木马对黑客进行主动反击并在本地预警。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311084988.XA CN117118707A (zh) | 2023-08-25 | 2023-08-25 | 一种变电站的恶意网络入侵检测方法、系统、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311084988.XA CN117118707A (zh) | 2023-08-25 | 2023-08-25 | 一种变电站的恶意网络入侵检测方法、系统、设备及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117118707A true CN117118707A (zh) | 2023-11-24 |
Family
ID=88810628
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311084988.XA Pending CN117118707A (zh) | 2023-08-25 | 2023-08-25 | 一种变电站的恶意网络入侵检测方法、系统、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117118707A (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009130664A (ja) * | 2007-11-26 | 2009-06-11 | Yokogawa Electric Corp | 不正侵入検出システムおよび不正侵入検出方法 |
US20130333032A1 (en) * | 2012-06-12 | 2013-12-12 | Verizon Patent And Licensing Inc. | Network based device security and controls |
CN116094817A (zh) * | 2023-02-09 | 2023-05-09 | 数传(上海)企业发展有限公司 | 一种网络安全检测系统和方法 |
-
2023
- 2023-08-25 CN CN202311084988.XA patent/CN117118707A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009130664A (ja) * | 2007-11-26 | 2009-06-11 | Yokogawa Electric Corp | 不正侵入検出システムおよび不正侵入検出方法 |
US20130333032A1 (en) * | 2012-06-12 | 2013-12-12 | Verizon Patent And Licensing Inc. | Network based device security and controls |
CN116094817A (zh) * | 2023-02-09 | 2023-05-09 | 数传(上海)企业发展有限公司 | 一种网络安全检测系统和方法 |
Non-Patent Citations (2)
Title |
---|
付钰 等: "基于大数据分析的APT攻击检测研究综述", 《通信学报》, vol. 36, no. 11, 30 December 2015 (2015-12-30), pages 2 - 4 * |
田伟宏: "智能变电站网络异常检测方法的研究与实现", 《中国优秀硕士学位论文全文数据库工程科技Ⅱ辑》, 15 July 2020 (2020-07-15), pages 4 - 4 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110324311B (zh) | 漏洞检测的方法、装置、计算机设备和存储介质 | |
US8024804B2 (en) | Correlation engine for detecting network attacks and detection method | |
CN110602029B (zh) | 一种用于识别网络攻击的方法和系统 | |
CN112003838B (zh) | 网络威胁的检测方法、装置、电子装置和存储介质 | |
EP3646218A1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
US20150047034A1 (en) | Composite analysis of executable content across enterprise network | |
CN105491053A (zh) | 一种Web恶意代码检测方法及系统 | |
CN113162953B (zh) | 网络威胁报文检测及溯源取证方法和装置 | |
CN108881271B (zh) | 一种代理主机的反向追踪溯源方法及装置 | |
CN109144023A (zh) | 一种工业控制系统的安全检测方法和设备 | |
CN113872965B (zh) | 一种基于Snort引擎的SQL注入检测方法 | |
CN112131571B (zh) | 威胁溯源方法及相关设备 | |
CN111464526A (zh) | 一种网络入侵检测方法、装置、设备及可读存储介质 | |
CN112600797A (zh) | 异常访问行为的检测方法、装置、电子设备及存储介质 | |
CN108804914B (zh) | 一种异常数据检测的方法及装置 | |
CN110443039A (zh) | 插件安全性的检测方法、装置以及电子设备 | |
CN112347484A (zh) | 软件漏洞检测方法、装置、设备及计算机可读存储介质 | |
CN117201273A (zh) | 安全告警自动化分析降噪方法、装置及服务器 | |
TWI640891B (zh) | 偵測惡意程式的方法和裝置 | |
CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及系统 | |
CN117118707A (zh) | 一种变电站的恶意网络入侵检测方法、系统、设备及介质 | |
CN112953895B (zh) | 一种攻击行为检测方法、装置、设备及可读存储介质 | |
CN107341396B (zh) | 入侵检测方法、装置及服务器 | |
CN116155519A (zh) | 威胁告警信息处理方法、装置、计算机设备和存储介质 | |
Kergl et al. | Detection of zero day exploits using real-time social media streams |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |