ES2931991T3 - Dispositivo y método de procesamiento de datos - Google Patents
Dispositivo y método de procesamiento de datos Download PDFInfo
- Publication number
- ES2931991T3 ES2931991T3 ES17898759T ES17898759T ES2931991T3 ES 2931991 T3 ES2931991 T3 ES 2931991T3 ES 17898759 T ES17898759 T ES 17898759T ES 17898759 T ES17898759 T ES 17898759T ES 2931991 T3 ES2931991 T3 ES 2931991T3
- Authority
- ES
- Spain
- Prior art keywords
- data
- content
- historical data
- historical
- mapping database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012545 processing Methods 0.000 title claims abstract description 31
- 238000000034 method Methods 0.000 title claims abstract description 22
- 238000013507 mapping Methods 0.000 claims abstract description 71
- 238000006243 chemical reaction Methods 0.000 claims abstract description 25
- 238000013480 data collection Methods 0.000 claims abstract description 12
- 238000004891 communication Methods 0.000 claims description 5
- 238000003672 processing method Methods 0.000 claims description 5
- 238000013519 translation Methods 0.000 abstract 1
- 238000004458 analytical method Methods 0.000 description 6
- 238000010219 correlation analysis Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000007781 pre-processing Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Un dispositivo y método de procesamiento de datos. El dispositivo de procesamiento de datos comprende: una unidad de recopilación de datos (100), configurada para recopilar datos transmitidos en una red, y dividir los datos recopilados, según una característica predeterminada, en datos de ataque conocidos y datos de ataque desconocidos; y una unidad de conversión de datos (300), configurada para reemplazar, según una base de datos de mapeo, al menos una parte del contenido incluido en los datos de ataque desconocidos con los códigos de identificación correspondientes. Por lo tanto, se puede reducir el tamaño de los datos transmitidos en la red. (Traducción automática con Google Translate, sin valor legal)
Description
DESCRIPCIÓN
Dispositivo y método de procesamiento de datos
Campo técnico
La presente invención se refiere a un dispositivo y a un método de procesamiento de datos.
Antecedentes
En la monitorización de seguridad de una red central se puede disponer un dispositivo de recopilación de tráfico de red en un objeto que necesita protección para recopilar tráfico de red desde una red. Por ejemplo, se puede disponer un monitor de seguridad de red (NSM) en una red de un cliente para obtener tráfico de red. El monitor de seguridad de red (NSM), que funciona de manera similar a un sistema de detección de intrusos (IDS), puede monitorizar eventos de seguridad tales como denegación de servicio, escaneado de red y ataques desde otras redes o aplicaciones desencadenados por software malicioso.
En la monitorización de seguridad de una red central, el NSM no solo se puede configurar como un sensor de detección dispuesto en un extremo frontal en un entorno de red, sino que también se puede usar como un recopilador de datos sin procesar. Como tal, el NSM puede capturar flujos de datos de red como archivos no estructurados, tal como archivos pcap, preprocesar estos archivos de datos y luego enviarlos a un centro de monitorización de seguridad de red central. Por lo tanto, el NSM se puede usar para ayudar a realizar un análisis de correlación de las amenazas a la seguridad de una red.
Sin embargo, cuando los flujos de datos de la red monitorizada se vuelven bastante grandes, se requiere un gran ancho de banda para transmitir archivos tales como archivos pcap. En aplicaciones de redes de control industrial, se propone un método de preprocesamiento de datos para realizar, basado en la correlación, un análisis de los datos recopilados antes de enviar los datos recopilados al centro de monitorización de seguridad de la red central para abordar este problema. En un entorno de red de control industrial, el tráfico de red asociado al control y a la monitorización de un proceso de producción automático es relativamente constante. Por lo tanto, existe la necesidad de reducir los datos que deben enviarse y aliviar la presión sobre el ancho de banda identificando y simplificando los datos conocidos y procesando solo los datos desconocidos.
Los siguientes documentos de la técnica anterior son relevantes para la definición de la invención: US 2010/050084 A1, US 9152706 B1, US 2013/227689 A1, US 2005/229254 A1.
Sumario de la invención
La presente invención está diseñada para proporcionar un dispositivo y un método de procesamiento de datos que resuelva el problema técnico anterior y/u otros problemas técnicos.
En una realización, un dispositivo de procesamiento de datos comprende: una unidad de recopilación de datos, configurada para recopilar datos transmitidos en una red y dividir los datos recopilados, según una característica predeterminada, en datos de ataques conocidos y datos de ataques desconocidos; y una unidad de conversión de datos, configurada para reemplazar, de acuerdo con una base de datos de mapeo, al menos una porción del contenido incluido en los datos de ataques desconocidos con códigos de identificación correspondientes. Por lo tanto, se pueden reducir los datos enviados a un centro de monitorización de seguridad de una red central.
La unidad de conversión de datos comprende: una unidad de identificación de datos, configurada para identificar contenido incluido en los datos de ataques desconocidos; y una unidad de clasificación de datos, configurada para clasificar, según los resultados de identificación de la unidad de identificación de datos, el contenido identificado por la unidad de identificación de datos en los datos de ataques desconocidos. Por lo tanto, se puede mejorar la velocidad y la precisión del análisis de seguridad.
La unidad de conversión de datos comprende: una unidad de coincidencia de datos, configurada para determinar si el contenido de los datos de ataques desconocidos es idéntico a los datos históricos transmitidos previamente en la red e incluidos en la base de datos de mapeo; y una unidad de reemplazo de datos, configurada para reemplazar contenido idéntico con códigos de identificación correspondientes a los datos históricos en la base de datos de mapeo cuando se determina que el contenido en los datos de ataques desconocidos es idéntico a los datos históricos.
La base de datos de mapeo incluye códigos de identificación correspondientes a los datos históricos e información relacionada con los datos históricos, y la unidad de coincidencia de datos está configurada para determinar si el contenido de los datos de ataques desconocidos es idéntico a los datos históricos de acuerdo con la información relacionada con los datos históricos en la base de datos de mapeo. La información relacionada con los datos históricos incluye un resumen del mensaje de los datos históricos, y la unidad de coincidencia de datos está configurada para obtener un resumen del mensaje del contenido en los datos de ataques desconocidos y, según si el resumen del
mensaje del contenido en los datos de ataques desconocidos es idéntico al resumen del mensaje de los datos históricos, determinar si el contenido de los datos de ataques desconocidos es idéntico a los datos históricos. La información relacionada con los datos históricos incluye la posición inicial y la longitud de los datos históricos, y la unidad de coincidencia de datos está configurada para seleccionar, según la posición inicial y la longitud de los datos históricos, el contenido de los datos de ataques desconocidos para realizar una valoración de si son idénticos.
El dispositivo de procesamiento de datos comprende, además: una unidad de generación de base de datos de mapeo, configurada para generar una base de datos de mapeo según datos históricos previamente transmitidos en la red. La unidad de generación de base de datos de mapeo genera una base de datos de mapeo en función, entre los datos históricos previamente transmitidos en la red, de aquellas piezas que tienen una frecuencia de aparición superior a un valor umbral predeterminado.
El dispositivo de procesamiento de datos comprende, además: una unidad de comunicación, configurada para enviar datos convertidos por la unidad de conversión de datos al exterior.
En otra realización, un método de procesamiento de datos comprende: recopilar datos transmitidos en una red y dividir los datos recopilados, según una característica predeterminada, en datos de ataques conocidos y datos de ataques desconocidos; y reemplazar, según una base de datos de mapeo, al menos una porción del contenido incluido en los datos de ataques desconocidos con códigos de identificación correspondientes. Por lo tanto, se pueden reducir los datos enviados a un centro de monitorización de seguridad de una red central.
La etapa de conversión comprende: identificar el contenido incluido en los datos de ataques desconocidos; y clasificar, según los resultados de la identificación, el contenido identificado por la unidad de identificación de datos en los datos de ataques desconocidos. Por lo tanto, se puede mejorar la velocidad y la precisión del análisis de seguridad.
La etapa de conversión comprende: determinar si el contenido de los datos de ataques desconocidos es idéntico a los datos históricos transmitidos previamente en la red e incluidos en la base de datos de mapeo; y reemplazar contenido idéntico con códigos de identificación correspondientes a los datos históricos en la base de datos de mapeo cuando se determina que el contenido en los datos de ataques desconocidos es idéntico a los datos históricos. La base de datos de mapeo incluye códigos de identificación correspondientes a los datos históricos e información relacionada con los datos históricos, y la etapa de conversión comprende: determinar si el contenido de los datos de ataques desconocidos es idéntico a los datos históricos según la información relacionada con los datos históricos en la base de datos de mapeo. La información relacionada con los datos históricos incluye un resumen del mensaje de los datos históricos, y la etapa de conversión comprende: obtener un resumen del mensaje del contenido en los datos de ataque desconocido y, según si el resumen del mensaje del contenido en los datos de ataques desconocidos es idéntico al resumen del mensaje de los datos históricos, determinar si el contenido de los datos de ataques desconocidos es idéntico a los datos históricos. La información relacionada con los datos históricos incluye la posición inicial y la longitu d de los datos históricos, y la etapa de conversión comprende: seleccionar, según la posición inicial y la longitud de los datos históricos, el contenido de los datos de ataques desconocidos para realizar una valoración sobre si es idéntico.
El método comprende, además: generar una base de datos de mapeo según datos históricos previamente transmitidos en la red. La etapa de generar una base de datos de mapeo comprende: generar una base de datos de mapeo según, entre los datos históricos previamente transmitidos en la red, aquellas piezas que tengan una frecuencia de aparición mayor a un valor umbral predeterminado.
El método comprende, además: enviar datos convertidos al exterior.
Según realizaciones de ejemplo, el dispositivo y el método de procesamiento de datos pueden realizar un análisis de correlación de los datos transmitidos en una red de control industrial, establecer una base de datos de mapeo y reemplazar una porción idéntica de los datos con un código de identificación, reduciendo así los datos enviados a un centro de monitorización de seguridad de red central. Además, los datos transmitidos en la red se pueden clasificar para mejorar la velocidad y la precisión del análisis de seguridad.
Breve descripción de los dibujos
Los siguientes dibujos solo pretenden hacer una ilustración esquemática y una explicación de la presente invención, y no limitan el alcance de la presente invención. Entre ellos,
La figura 1 es un diagrama de bloques esquemático de un dispositivo de procesamiento de datos según una realización de ejemplo;
La figura 2 es un diagrama de una aplicación de ejemplo de un dispositivo de procesamiento de datos según una realización de ejemplo; y
La figura 3 es un diagrama de flujo de un método de procesamiento de datos según una realización de ejemplo.
Descripción de los signos de referencia:
100 unidad de recopilación de datos; 300 unidad de conversión de datos; 500 unidad de generación de bases de datos de mapeo; 700 unidad de comunicación
310 unidad de identificación de datos; 330 unidad de clasificación de datos; 350 unidad de coincidencia de datos; 370 unidad de reemplazo de datos
Modo de realizar la invención
Para una mejor comprensión de las características técnicas, objetivos y efectos de la presente invención, las formas específicas de implementación de la presente invención se describen en el presente documento con referencia a los dibujos.
La figura 1 es un diagrama de bloques esquemático de un dispositivo de procesamiento de datos según una realización de ejemplo, y la figura 2 es un diagrama que ilustra una aplicación de ejemplo de un dispositivo de procesamiento de datos según una realización de ejemplo. En el presente documento, el dispositivo de procesamiento de datos según una realización de ejemplo puede recopilar, por ejemplo, datos transmitidos en una red de control industrial y procesar los datos para reducir el tamaño de los datos y, por lo tanto, puede transmitir a través de un ancho de banda más pequeño los datos reducidos por el procesamiento. Como tal, el dispositivo de procesamiento de datos también se denominará en adelante agente de recopilación y preprocesamiento de datos.
Como se muestra en la figura 1, el dispositivo de procesamiento de datos según una realización de ejemplo puede comprender una unidad 100 de recopilación de datos y una unidad 300 de conversión de datos.
La unidad 100 de recopilación de datos puede disponerse en un entorno de red que necesita protección, tal como una red de control industrial, para recopilar datos transmitidos en la red que necesita protección. Por ejemplo, la red de control industrial puede usar el protocolo de control industrial Modbus y el protocolo FTP, etc.
Habiendo recopilado los datos transmitidos en la red que necesitan protección, la unidad 100 de recopilación de datos puede dividir los datos recopilados en datos conocidos y datos de ataques desconocidos según una característica predeterminada. Para ser específicos, la unidad 100 de recopilación de datos puede realizar un escaneado de seguridad básico de los datos recopilados según la característica predeterminada, determinando así qué datos en los datos recopilados son datos correspondientes a ataques que posiblemente amenacen la seguridad de la red que necesita ser protegida. Aquí, la unidad 100 de recopilación de datos puede clasificar los datos recopilados, sobre la base de una técnica de coincidencia de cadenas de características de una base de datos de características de ataques conocidos, en datos de ataques conocidos correspondientes a ataques conocidos y datos de ataques desconocidos correspondientes a ataques desconocidos. Como el método es conocido, en el presente documento se omite una descripción de la técnica conocida para evitar redundancia.
La unidad 100 de recopilación de datos puede filtrar los datos de ataques conocidos transmitidos en la red. La unidad 100 de recopilación de datos puede enviar los datos de ataques desconocidos determinados a la unidad 300 de conversión de datos. La unidad 300 de conversión de datos puede reemplazar el contenido incluido en los datos de ataques desconocidos con los códigos de identificación correspondientes según una base de datos de mapeo.
Para ser específicos, la unidad 300 de conversión de datos puede comprender una unidad 310 de identificación de datos y una unidad 330 de clasificación de datos. La unidad 310 de identificación de datos puede identificar contenido incluido en los datos de ataques desconocidos. Por ejemplo, la unidad 310 de identificación de datos puede analizar un protocolo usado por los datos de ataques desconocidos para la transmisión en la red para obtener datos de encabezado y datos de carga de los datos de ataques desconocidos. Cuando la transmisión de datos se realiza usando, por ejemplo, el protocolo Modbus, se puede obtener una etiqueta de protocolo de Modbus.
Entonces, la unidad 330 de clasificación de datos puede clasificar, según los resultados de identificación de la unidad 310 de identificación de datos, el contenido identificado por la unidad de identificación de datos en los datos de ataques desconocidos. Para ser específicos, la unidad 330 de clasificación de datos puede clasificar los datos de ataques desconocidos en diferentes categorías sobre la base de una base de datos de categorías. Una base de datos de clasificación de datos puede incluir información de reglas de categoría relacionadas con diferentes protocolos de red, tal como categoría de protocolo, categoría de aplicación y categoría de comando. La base de datos de categorías se puede usar para clasificar los datos en función de los escenarios de aplicación. En la red de control industrial, cada vez más aplicaciones se combinan con protocolos de red tradicionales tales como HTTP, FTP, Telnet y SSH. Por ejemplo, en la red de control industrial de la serie Siemens PCS7, se adoptan los protocolos PROFINET, OPC y S7. Por lo tanto, la base de datos de categorías puede almacenar tipos de protocolos de control industrial y comandos importantes sobre la base de los datos transmitidos en la red y la construcción de la red. Por ejemplo, cuando se usa el protocolo Modbus, la base de datos de categorías puede incluir una etiqueta de protocolo del protocolo Modbus, categoría de comando y similares.
La unidad 300 de conversión de datos puede incluir además una unidad 350 de coincidencia de datos y una unidad
370 de reemplazo de datos. La unidad 350 de coincidencia de datos puede determinar si el contenido, dividido en diferentes categorías, en los datos de ataques desconocidos es parcial o totalmente idéntico a los datos incluidos en la base de datos de mapeo. Para ser específicos, la base de datos de mapeo puede almacenar información relacionada con datos históricos y códigos de identificación correspondientes a los datos históricos, en la que la información relacionada con los datos históricos puede incluir un resumen de mensajes de datos, información de categoría relacionada y posición inicial y longitud de datos. En el presente documento, los datos históricos se refieren a aquellos paquetes de datos que ocurren con frecuencia en los datos transmitidos previamente en la red. El resumen del mensaje puede incluir un resultado de cálculo hash de los datos históricos, tal como MD5 y SHA.
La unidad 350 de coincidencia de datos puede buscar información relacionada con los datos históricos en la base de datos de mapeo, tal como un resumen de mensajes de datos, información de categoría relacionada, posición inicial y longitud de los datos. Entonces, la unidad 350 de coincidencia de datos puede realizar análisis de correlación para averiguar si hay contenido idéntico al contenido en los datos de ataques desconocidos en la base de datos de mapeo. Por ejemplo, la unidad 350 de coincidencia de datos puede ubicar contenido en los datos de ataques desconocidos por medio de la posición inicial de los datos en la base de datos de mapeo y luego determinar un resultado de cálculo hash de segmentos de datos en los datos de ataques desconocidos que tienen una longitud idéntica a partir de la posición inicial con la longitud en la base de datos de mapeo, determinando así si el contenido en los datos de ataques desconocidos es idéntico al contenido en la base de datos de mapeo al juzgar si el resultado del cálculo hash determinado es idéntico al resumen del mensaje en la base de datos de mapeo.
Además, para el contenido que tiene una posición inicial idéntica en la base de datos de mapeo, la unidad 350 de coincidencia de datos puede calcular y comparar primero si el resultado del cálculo hash del contenido que tiene la longitud más pequeña es idéntico al resumen del mensaje. Cuando se determina que son idénticos, la unidad 350 de coincidencia de datos puede calcular y comparar si el segundo contenido más pequeño es idéntico. Como tal, cuando la unidad 350 de coincidencia de datos determina que el resumen del mensaje del contenido que tiene la misma longitud es diferente del resultado del cálculo hash, la unidad 350 de coincidencia de datos puede dejar de funcionar para verificar. Eso significa que el contenido que sigue en los datos de ataques desconocidos será diferente de los datos históricos que tienen una mayor longitud en la base de datos de mapeo.
A continuación, cuando la unidad 350 de coincidencia de datos determina el contenido de los datos de ataques desconocidos que es idéntico a los datos históricos en la base de datos de mapeo, la unidad 350 de coincidencia de datos puede enviar la posición inicial y la información de longitud del contenido idéntico en los datos de ataques desconocidos a la unidad 370 de reemplazo de datos.
La unidad 370 de reemplazo de datos puede reemplazar el contenido idéntico con un código de identificación, que tiene una relación de mapeo con el mismo contenido idéntico, en la base de datos de mapeo. Por ejemplo, la unidad 370 de reemplazo de datos puede reemplazar el contenido idéntico con el código de identificación desde la posición inicial. Como se describió anteriormente, el tamaño del código de identificación en la base de datos de mapeo puede ser más pequeño que el tamaño de los datos correspondientes al código de identificación. Por lo tanto, los datos obtenidos después del tratamiento de reemplazo con la unidad 370 de reemplazo de datos pueden ser más pequeños que, por ejemplo, mucho más pequeños que, los datos de ataques desconocidos originales.
Además, el dispositivo de procesamiento de datos según una realización de ejemplo puede comprender una unidad 500 de generación de base de datos de mapeo. La unidad 500 de generación de base de datos de mapeo se usa para realizar un análisis de correlación de los datos históricos transmitidos en la red y puede extraer datos comunes o superpuestos que se producen con frecuencia. Para ser específicos, la unidad 500 de generación de base de datos de mapeo primero puede hacer estadísticas de los datos históricos según la información de categoría, tal como la categoría de protocolo, la categoría de aplicación y la categoría de comando, obteniendo así datos comunes o superpuestos que tienen una frecuencia de aparición relativamente alta (por ejemplo, superior a un valor umbral predeterminado). Luego, la unidad 500 de generación de base de datos de mapeo puede establecer códigos de identificación para los datos comunes o superpuestos, y puede establecer una base de datos de mapeo basada en los códigos de identificación y la información relacionada con los datos comunes o superpuestos.
Para ser más específicos, el módulo 500 de generación de base de datos de mapeo puede realizar un escaneo de asociación de coincidencia máxima sobre la base de los datos históricos. El módulo 500 de generación de base de datos de mapeo puede determinar cuáles son los datos que se producen con frecuencia en la red según los valores T1 y T2 umbral predeterminados. Si el número de ocurrencias de los datos en la categoría idéntica es mayor que el primer valor de umbral T1, el módulo 500 de generación de base de datos de mapeo realizará cálculos de coincidencia de los datos que tienen protocolos, aplicaciones y comandos idénticos. El módulo 500 de generación de base de datos de mapeo seleccionará dos piezas de datos que tienen información de protocolo idéntica, comparará la porción común o superpuesta más larga entre ellos y luego registrará la posición inicial y la longitud de la porción. El módulo 500 de generación de base de datos de mapeo puede comparar esta parte con otros datos y almacenar el número de piezas de datos que tienen una porción idéntica a esta porción. Si el número es mayor que el segundo valor T2 umbral, el módulo 500 de generación de base de datos de mapeo puede establecer una base de datos de mapeo sobre esta porción.
Además, el dispositivo de procesamiento de datos puede comprender además una unidad 700 de comunicación. Cuando el contenido de los datos de ataques desconocidos se reemplaza con un código de identificación más corto para reducir el tamaño de los datos, la unidad 700 de comunicación puede enviar los datos procesados a un centro externo de monitorización de seguridad de la red central. Al recibir los datos procesados, el centro de monitorización de seguridad de la red central puede procesar los datos procesados según la base de datos de mapeo para restaurar los datos de ataques desconocidos y realizar un análisis de seguridad de los datos de ataques desconocidos restaurados.
La figura 3 es un diagrama de flujo de un método de procesamiento de datos según una realización de ejemplo.
Como se muestra en la figura 3, primero, en la operación S310, los datos transmitidos en la red pueden recopilarse y, según una característica predeterminada, los datos recopilados se dividen en datos de ataques conocidos y datos de ataques desconocidos. Entonces, al menos una porción del contenido incluido en los datos de ataques desconocidos puede reemplazarse con códigos de identificación correspondientes según la base de datos de mapeo (S330). Además, en la operación S350, los datos convertidos se pueden enviar al exterior.
En una realización, el contenido incluido en los datos de ataques desconocidos puede identificarse, y luego el contenido identificado por la unidad de identificación de datos en los datos de ataques desconocidos puede clasificarse según los resultados de identificación.
En otra realización, se puede determinar si el contenido de los datos de ataques desconocidos es idéntico a los datos históricos transmitidos previamente en la red e incluidos en la base de datos de mapeo y, cuando se puede determinar que el contenido de los datos de ataques desconocidos es idéntico a los datos históricos, el contenido idéntico se reemplaza con códigos de identificación correspondientes a los datos históricos en la base de datos de mapeo.
Para ser específicos, la base de datos de mapeo puede incluir códigos de identificación correspondientes a los datos históricos e información relacionada con los datos históricos. De esta forma, si el contenido de los datos de ataques desconocidos es idéntico a los datos históricos se determina de acuerdo con la información relacionada con los datos históricos en la base de datos de mapeo. La información relacionada con los datos históricos incluye un resumen de mensajes de los datos históricos. Como tal, se puede obtener el resumen del mensaje del contenido de los datos de ataques desconocidos, y si el contenido de los datos de ataques desconocidos es idéntico a los datos históricos se determina según si el resumen del mensaje del contenido de los datos de ataques desconocidos es idéntico al resumen del mensaje de los datos históricos. Por ejemplo, la información relacionada con los datos históricos incluye la posición inicial y la duración de los datos históricos. En el presente documento, el contenido de los datos de ataques desconocidos para realizar una valoración sobre si es idéntico se selecciona según la posición inicial y la longitud de los datos históricos.
La base de datos de mapeo se puede generar según datos históricos transmitidos previamente en la red. Por ejemplo, se genera una base de datos de mapeo según, entre los datos históricos previamente transmitidos en la red, aquellas piezas que tienen una frecuencia de aparición superior a un valor umbral predeterminado.
Según las realizaciones de ejemplo, el dispositivo y el método de procesamiento de datos pueden realizar análisis de correlación de los datos transmitidos en una red de control industrial, establecer una base de datos de mapeo y reemplazar una porción idéntica de los datos con un código de identificación, reduciendo así los datos enviados a un centro de monitorización de seguridad de red central. Además, los datos transmitidos en la red se pueden clasificar para mejorar la velocidad y la precisión del análisis de seguridad.
Debe entenderse que, aunque la descripción se ilustra por medio de varias realizaciones, no todas las realizaciones incluyen solo una solución técnica independiente, la forma narrativa de la descripción es meramente por motivos de claridad. Un experto en la materia debería tomar la descripción en conjunto; las soluciones técnicas en varias realizaciones pueden combinarse de manera apropiada para formar otras formas de implementación que pueden ser entendidas por un experto en la materia.
Lo mencionado anteriormente son solo ejemplos de formas de implementación de la presente invención, y no pretenden limitar el alcance de la presente invención.
Claims (13)
1. Dispositivo de procesamiento de datos, caracterizado por que el dispositivo de procesamiento de datos comprende:
una unidad (100) de recopilación de datos, configurada para recopilar datos transmitidos en una red, y dividir los datos recopilados, según una característica predeterminada, en datos de ataques conocidos y datos de ataques desconocidos; y
una unidad (300) de conversión de datos, configurada para reemplazar, según una base de datos de mapeo, al menos una porción del contenido incluido en los datos de ataques desconocidos con códigos de identificación más cortos correspondientes para reducir el tamaño de los datos,
en el que la unidad (300) de conversión de datos comprende:
una unidad (350) de coincidencia de datos, configurada para determinar si al menos una porción del contenido de los datos de ataques desconocidos es idéntico a los datos históricos transmitidos previamente en la red e incluidos en la base de datos de mapeo; y
una unidad (370) de reemplazo de datos, configurada para reemplazar contenido idéntico con códigos de identificación correspondientes a los datos históricos en la base de datos de mapeo cuando se determina que al menos una porción de
el contenido de los datos de ataques desconocidos es idéntico a los datos históricos.
2. Dispositivo de procesamiento de datos según la reivindicación 1, caracterizado por que la unidad (300) de conversión de datos comprende:
una unidad (310) de identificación de datos, configurada para identificar contenido incluido en los datos de ataques desconocidos; y
una unidad (330) de clasificación de datos, configurada para clasificar, según los resultados de identificación de la unidad de identificación de datos, el contenido identificado por la unidad de identificación de datos en los datos de ataques desconocidos.
3. Dispositivo de procesamiento de datos según la reivindicación 1, caracterizado por que la base de datos de mapeo incluye códigos de identificación correspondientes a los datos históricos e información relacionada con los datos históricos, y la unidad de coincidencia de datos está configurada para determinar si al menos una porción del contenido en los datos de ataques desconocidos son idénticos a los datos históricos según la información relacionada con los datos históricos en la base de datos de mapeo, en el que, en particular, la información relacionada con los datos históricos incluye un resumen de mensajes de los datos históricos, y la unidad de coincidencia de datos está configurada obtener un resumen del mensaje del contenido de los datos de ataques desconocidos y, según si el resumen del mensaje del contenido de los datos de ataques desconocidos es idéntico al resumen del mensaje de los datos históricos, determinar si al menos una porción del contenido en los datos de ataques desconocidos son idénticos a los datos históricos.
4. Dispositivo de procesamiento de datos según la reivindicación 3, caracterizado por que la información relacionada con los datos históricos incluye la posición inicial y la longitud de los datos históricos, y la unidad de coincidencia de datos está configurada para seleccionar, según la posición inicial y la longitud de los datos históricos, contenido en los datos de ataques desconocidos para realizar una valoración sobre si es idéntico.
5. Dispositivo de procesamiento de datos según la reivindicación 1, caracterizado por que el dispositivo de procesamiento de datos comprende, además:
una unidad (550) de generación de base de datos de mapeo, configurada para generar una base de datos de mapeo de acuerdo con los datos históricos previamente transmitidos en la red, en el que, en particular, la unidad de generación de base de datos de mapeo genera una base de datos de mapeo según, entre los datos históricos previamente transmitidos en la red, aquellas piezas que tienen una frecuencia de aparición superior a un valor umbral predeterminado.
6. Dispositivo de procesamiento de datos según la reivindicación 1, caracterizado por que el dispositivo de procesamiento de datos comprende, además:
una unidad (700) de comunicación, configurada para enviar datos convertidos por la unidad de conversión de datos al exterior.
7. Método de procesamiento de datos, caracterizado por que el método de procesamiento de datos comprende: recopilar datos transmitidos en una red y dividir los datos recopilados, según una característica predeterminada, en datos de ataques conocidos y datos de ataques desconocidos; y
reemplazar, según una base de datos de mapeo, al menos una porción del contenido incluido en los datos de ataques desconocidos con códigos de identificación más cortos correspondientes para reducir el tamaño de los datos,
en el que una etapa de conversión comprende:
determinar si al menos una porción del contenido de los datos de ataques desconocidos es idéntica a los datos históricos transmitidos previamente en la red e incluidos en la base de datos de mapeo; y
reemplazar contenido idéntico con códigos de identificación correspondientes a los datos históricos en la base de datos de mapeo cuando se determina que al menos una porción del contenido en los datos de ataques desconocidos es idéntica a los datos históricos.
8. Método según la reivindicación 7, caracterizado por que una etapa de conversión comprende:
identificar el contenido incluido en los datos de ataques desconocidos; y
clasificar, según los resultados de la identificación, el contenido identificado por la unidad de identificación de datos en los datos de ataques desconocidos.
9. Método según la reivindicación 7, caracterizado por que la base de datos de mapeo incluye códigos de identificación correspondientes a los datos históricos e información relacionada con los datos históricos, y la etapa de conversión comprende:
determinar si la al menos una porción del contenido de los datos de ataques desconocidos es idéntica a los datos históricos según la información relacionada con los datos históricos en la base de datos de mapeo.
10. Método según la reivindicación 9, caracterizado por que la información relacionada con los datos históricos incluye un resumen del mensaje de los datos históricos, y la etapa de conversión comprende:
obtener un resumen del mensaje del contenido en los datos de ataques desconocidos y, según si el resumen del mensaje del contenido en los datos de ataques desconocidos es idéntico al resumen del mensaje de los datos históricos, determinar si el contenido de los datos de ataques desconocidos es idéntico a los datos históricos.
11. Método según la reivindicación 10, caracterizado por que la información relacionada con los datos históricos incluye la posición inicial y la longitud de los datos históricos, y la etapa de conversión comprende: seleccionar, según la posición inicial y la longitud de los datos históricos, contenido en los datos de ataques desconocidos para realizar una valoración sobre si es idéntico.
12. Método según la reivindicación 7, caracterizado por que el método comprende, además:
generar una base de datos de mapeo según los datos históricos transmitidos previamente en la red, y en particular,
según, entre los datos históricos previamente transmitidos en la red, aquellas piezas que tienen una frecuencia de aparición superior a un valor umbral predeterminado.
13. Método según la reivindicación 7, caracterizado por que el método comprende, además:
enviar datos convertidos al exterior.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2017/075349 WO2018157336A1 (zh) | 2017-03-01 | 2017-03-01 | 数据处理装置和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2931991T3 true ES2931991T3 (es) | 2023-01-05 |
Family
ID=63369865
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES17898759T Active ES2931991T3 (es) | 2017-03-01 | 2017-03-01 | Dispositivo y método de procesamiento de datos |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11405358B2 (es) |
| EP (1) | EP3576365B1 (es) |
| CN (1) | CN110574348B (es) |
| ES (1) | ES2931991T3 (es) |
| WO (1) | WO2018157336A1 (es) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111639073A (zh) * | 2020-04-30 | 2020-09-08 | 深圳精匠云创科技有限公司 | 边缘计算接入方法及边缘计算节点装置 |
| CN114978782B (zh) * | 2022-08-02 | 2022-11-01 | 北京六方云信息技术有限公司 | 工控威胁检测方法、装置、工控设备以及存储介质 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6449695B1 (en) * | 1999-05-27 | 2002-09-10 | Microsoft Corporation | Data cache using plural lists to indicate sequence of data storage |
| US7146644B2 (en) * | 2000-11-13 | 2006-12-05 | Digital Doors, Inc. | Data security system and method responsive to electronic attacks |
| US7966658B2 (en) * | 2004-04-08 | 2011-06-21 | The Regents Of The University Of California | Detecting public network attacks using signatures and fast content analysis |
| US9152706B1 (en) * | 2006-12-30 | 2015-10-06 | Emc Corporation | Anonymous identification tokens |
| US8402529B1 (en) * | 2007-05-30 | 2013-03-19 | M86 Security, Inc. | Preventing propagation of malicious software during execution in a virtual machine |
| US8762515B2 (en) * | 2008-08-20 | 2014-06-24 | The Boeing Company | Methods and systems for collection, tracking, and display of near real time multicast data |
| US8504504B2 (en) * | 2008-09-26 | 2013-08-06 | Oracle America, Inc. | System and method for distributed denial of service identification and prevention |
| US8621634B2 (en) * | 2011-01-13 | 2013-12-31 | F-Secure Oyj | Malware detection based on a predetermined criterion |
| US9110101B2 (en) | 2012-02-17 | 2015-08-18 | Vencore Labs, Inc. | Method and system for packet acquisition, analysis and intrusion detection in field area networks |
| CN103731393A (zh) | 2012-10-10 | 2014-04-16 | 盐城睿泰数字科技有限公司 | 一种Web资源数据的压缩方法 |
| US8935784B1 (en) * | 2013-03-15 | 2015-01-13 | Symantec Corporation | Protecting subscribers of web feeds from malware attacks |
| CN103825888A (zh) * | 2014-02-17 | 2014-05-28 | 北京奇虎科技有限公司 | 网络威胁处理方法及设备 |
| US9973520B2 (en) * | 2014-07-15 | 2018-05-15 | Cisco Technology, Inc. | Explaining causes of network anomalies |
| US10230747B2 (en) * | 2014-07-15 | 2019-03-12 | Cisco Technology, Inc. | Explaining network anomalies using decision trees |
| CN104125273A (zh) | 2014-07-16 | 2014-10-29 | 百度在线网络技术(北京)有限公司 | 网页中图片传输方法、图片服务器、网络服务器和客户端 |
| CN104159249B (zh) | 2014-07-30 | 2018-05-18 | 华为技术有限公司 | 一种业务数据管理的方法、装置及系统 |
| CN105491078B (zh) | 2014-09-15 | 2019-01-22 | 阿里巴巴集团控股有限公司 | Soa系统中的数据处理方法及装置、soa系统 |
| US10515112B2 (en) * | 2015-06-23 | 2019-12-24 | Politecnico Di Torino | Method and device for searching images |
| CN105429963B (zh) * | 2015-11-04 | 2019-01-22 | 北京工业大学 | 基于Modbus/Tcp的入侵检测分析方法 |
| CN105577685A (zh) * | 2016-01-25 | 2016-05-11 | 浙江海洋学院 | 云计算环境中的自主分析入侵检测方法及系统 |
-
2017
- 2017-03-01 WO PCT/CN2017/075349 patent/WO2018157336A1/zh unknown
- 2017-03-01 US US16/490,150 patent/US11405358B2/en active Active
- 2017-03-01 EP EP17898759.0A patent/EP3576365B1/en active Active
- 2017-03-01 CN CN201780087242.0A patent/CN110574348B/zh active Active
- 2017-03-01 ES ES17898759T patent/ES2931991T3/es active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20200007505A1 (en) | 2020-01-02 |
| EP3576365A1 (en) | 2019-12-04 |
| EP3576365B1 (en) | 2022-10-26 |
| CN110574348B (zh) | 2022-09-27 |
| CN110574348A (zh) | 2019-12-13 |
| US11405358B2 (en) | 2022-08-02 |
| EP3576365A4 (en) | 2020-09-16 |
| WO2018157336A1 (zh) | 2018-09-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110011999B (zh) | 基于深度学习的IPv6网络DDoS攻击检测系统及方法 | |
| US11399288B2 (en) | Method for HTTP-based access point fingerprint and classification using machine learning | |
| US10932017B2 (en) | Network telemetry with byte distribution and cryptographic protocol data elements | |
| CN113206860B (zh) | 一种基于机器学习和特征选择的DRDoS攻击检测方法 | |
| CN109450721B (zh) | 一种基于深度神经网络的网络异常行为识别方法 | |
| KR101295708B1 (ko) | 트래픽 수집장치, 트래픽 분석장치, 시스템 및 그 분석방법 | |
| CN112910851B (zh) | 基于知识图谱的数据包标记溯源装置 | |
| CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
| CN102739457A (zh) | 一种基于dpi和svm技术的网络流量识别系统及方法 | |
| CN110868404B (zh) | 一种基于tcp/ip指纹的工控设备自动识别方法 | |
| CN106357660B (zh) | 一种ddos防御系统中检测伪造源ip的方法和装置 | |
| CN103281336A (zh) | 网络入侵检测方法 | |
| Janabi et al. | Convolutional neural network based algorithm for early warning proactive system security in software defined networks | |
| ES2931991T3 (es) | Dispositivo y método de procesamiento de datos | |
| Chang et al. | Study on os fingerprinting and nat/tethering based on dns log analysis | |
| KR101488271B1 (ko) | Ids 오탐 검출 장치 및 방법 | |
| Algaolahi et al. | Port-scanning attack detection using supervised machine learning classifiers | |
| KR20110107880A (ko) | 패스트 정보 엔트로피와 능동형 이동평균 탐지기를 이용한 분산형 서비스 거부 공격 탐지 방법 | |
| Sarika et al. | A detection of IoT based IDS attacks using deep neural network | |
| CN113810336A (zh) | 一种数据报文加密判定方法、装置及计算机设备 | |
| CN115766204B (zh) | 一种针对加密流量的动态ip设备标识系统及方法 | |
| US20220263733A1 (en) | Burst Traffic Detection Device and Method | |
| CN114268484A (zh) | 恶意加密流量检测方法、装置、电子设备及存储介质 | |
| CN113159992A (zh) | 一种闭源电力工控系统行为模式的分类方法及装置 | |
| CN114726801A (zh) | 一种加密流量的转发方法和系统 |