[發(fā)明專利]基于旁路技術(shù)的工控網(wǎng)絡(luò)流量分析安全檢測系統(tǒng)及方法在審
| 申請?zhí)枺?/td> | 202211636451.5 | 申請日: | 2022-12-20 |
| 公開(公告)號(hào): | CN115632883A | 公開(公告)日: | 2023-01-20 |
| 發(fā)明(設(shè)計(jì))人: | 馬超;張典;石小川 | 申請(專利權(quán))人: | 武漢大學(xué) |
| 主分類號(hào): | H04L9/40 | 分類號(hào): | H04L9/40;H04L43/04;H04L43/12;H04L49/90;G06F18/241;G06N3/04;G06N20/00 |
| 代理公司: | 武漢科皓知識(shí)產(chǎn)權(quán)代理事務(wù)所(特殊普通合伙) 42222 | 代理人: | 羅飛 |
| 地址: | 430072 湖北省武*** | 國省代碼: | 湖北;42 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 基于 旁路 技術(shù) 網(wǎng)絡(luò)流量 分析 安全 檢測 系統(tǒng) 方法 | ||
1.基于旁路技術(shù)的工控網(wǎng)絡(luò)流量分析安全檢測系統(tǒng),其特征在于,包括:
通訊模塊,用于采用旁路技術(shù)接入工控網(wǎng)絡(luò),采集工控網(wǎng)絡(luò)流量數(shù)據(jù),包括原始通信數(shù)據(jù)、網(wǎng)絡(luò)會(huì)話日志和網(wǎng)絡(luò)應(yīng)用日志;
大數(shù)據(jù)轉(zhuǎn)發(fā)模塊,用于利用Kafka分布式消息轉(zhuǎn)發(fā)訂閱框架構(gòu)建包括數(shù)據(jù)采集層、數(shù)據(jù)緩存層、數(shù)據(jù)轉(zhuǎn)發(fā)層三個(gè)層次的大數(shù)據(jù)模型,其中,數(shù)據(jù)采集層通過接入通訊模塊,利用Kafka的生產(chǎn)者功能,編寫程序?qū)崟r(shí)讀取通訊模塊采集的工控網(wǎng)絡(luò)流量數(shù)據(jù);數(shù)據(jù)緩存層用于對工控網(wǎng)絡(luò)流量數(shù)據(jù)中的多源數(shù)據(jù)進(jìn)行融合;數(shù)據(jù)轉(zhuǎn)發(fā)層用于利用Kafka的消費(fèi)者功能,編寫程序?qū)崟r(shí)消費(fèi)工控網(wǎng)絡(luò)原始數(shù)據(jù),同時(shí)在大數(shù)據(jù)集群中多個(gè)節(jié)點(diǎn)上部署消費(fèi)者程序,讀取Kafka中的相同消息,并將消息中攜帶的工控網(wǎng)流量數(shù)據(jù)發(fā)送給字段解碼模塊;
字段解碼模塊,用于對數(shù)據(jù)轉(zhuǎn)發(fā)層發(fā)送的工控網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行字段解碼;
安全檢測模塊,用于對字段解碼后的流量數(shù)據(jù)進(jìn)行安全檢測。
2.如權(quán)利要求1所述的基于旁路技術(shù)的工控網(wǎng)絡(luò)流量分析安全檢測系統(tǒng),其特征在于,通訊模塊包括串口通訊單元、GSM通訊單元、LTE通訊單元以及移動(dòng)監(jiān)控終端。
3.如權(quán)利要求1所述的基于旁路技術(shù)的工控網(wǎng)絡(luò)流量分析安全檢測系統(tǒng),其特征在于,字段解碼模塊根據(jù)預(yù)設(shè)時(shí)間間隔對對數(shù)據(jù)轉(zhuǎn)發(fā)層發(fā)送的工控網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行字段解碼。
4.如權(quán)利要求1所述的基于旁路技術(shù)的工控網(wǎng)絡(luò)流量分析安全檢測系統(tǒng),其特征在于,安全檢測模塊,包括:
攻擊行為檢測模塊,用于對字段解碼后的流量數(shù)據(jù)采用通信協(xié)議進(jìn)行識(shí)別,根據(jù)預(yù)訓(xùn)練的模型對字段解碼后的流量數(shù)據(jù)進(jìn)行檢測,檢測其是否受到攻擊;
異常行為檢測模塊,用于對字段解碼后的流量數(shù)據(jù)采用的通信協(xié)議進(jìn)行行為分析,利用機(jī)器學(xué)習(xí)和數(shù)據(jù)分析算法識(shí)別其行為是否異常;
基線式檢測模塊,用于離線分析海量的工控網(wǎng)絡(luò)流量數(shù)據(jù),判斷預(yù)設(shè)基線式檢測檢測項(xiàng)是否正常;
安全分析模塊,用于構(gòu)建三層工控網(wǎng)絡(luò)安全態(tài)勢感知模型,對工控網(wǎng)絡(luò)的安全態(tài)勢進(jìn)行感知。
5.如權(quán)利要求1所述的基于旁路技術(shù)的工控網(wǎng)絡(luò)流量分析安全檢測系統(tǒng),其特征在于,預(yù)訓(xùn)練的模型為預(yù)先通過大量已經(jīng)標(biāo)注的工控網(wǎng)流量數(shù)據(jù)訓(xùn)練好的機(jī)器學(xué)習(xí)模型或者深度學(xué)習(xí)模塊,檢測的攻擊包括Web攻擊、應(yīng)用層攻擊、端口/服務(wù)掃描攻擊。
6.如權(quán)利要求1所述的基于旁路技術(shù)的工控網(wǎng)絡(luò)流量分析安全檢測系統(tǒng),其特征在于,異常行為檢測模塊具體用于:
通過預(yù)訓(xùn)練完畢的機(jī)器學(xué)習(xí)或深度學(xué)習(xí)模型對字段解碼后的流量數(shù)據(jù)進(jìn)行檢測,檢測其所處時(shí)刻的工控系統(tǒng)的行為;
統(tǒng)計(jì)固定時(shí)間段某行為出現(xiàn)次數(shù),并與固定時(shí)刻出現(xiàn)次數(shù)閾值進(jìn)行比對,判斷固定時(shí)間的工控網(wǎng)絡(luò)行為是否為異常。
7.如權(quán)利要求4所述的基于旁路技術(shù)的工控網(wǎng)絡(luò)流量分析安全檢測系統(tǒng),其特征在于,所述系統(tǒng)還包括攻擊溯源模塊,用于根據(jù)攻擊行為檢測模塊、異常行為檢測模塊、基線式檢測模塊以及安全分析模塊的結(jié)果對工控網(wǎng)絡(luò)攻擊進(jìn)行回溯,并生成工控網(wǎng)絡(luò)安全分析報(bào)告。
8.如權(quán)利要求7所述的基于旁路技術(shù)的工控網(wǎng)絡(luò)流量分析安全檢測系統(tǒng),其特征在于,所述系統(tǒng)還包括異常報(bào)警模塊,用于根據(jù)生成的工控網(wǎng)絡(luò)安全分析報(bào)告發(fā)出報(bào)警信息并執(zhí)行相應(yīng)的動(dòng)作。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于武漢大學(xué),未經(jīng)武漢大學(xué)許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202211636451.5/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 防止技術(shù)開啟的鎖具新技術(shù)
- 技術(shù)評(píng)價(jià)裝置、技術(shù)評(píng)價(jià)程序、技術(shù)評(píng)價(jià)方法
- 防止技術(shù)開啟的鎖具新技術(shù)
- 視聽模擬技術(shù)(VAS技術(shù))
- 用于技術(shù)縮放的MRAM集成技術(shù)
- 用于監(jiān)測技術(shù)設(shè)備的方法和用戶接口、以及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)
- 用于監(jiān)測技術(shù)設(shè)備的技術(shù)
- 技術(shù)偵查方法及技術(shù)偵查系統(tǒng)
- 使用投影技術(shù)增強(qiáng)睡眠技術(shù)
- 基于技術(shù)庫的技術(shù)推薦方法
- 無線數(shù)據(jù)卡中的網(wǎng)絡(luò)流量統(tǒng)計(jì)指示裝置
- 網(wǎng)絡(luò)流量回放測試方法及裝置
- 移動(dòng)應(yīng)用網(wǎng)絡(luò)流量聚類方法、計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)和終端
- 移動(dòng)應(yīng)用網(wǎng)絡(luò)流量聚類裝置
- 一種網(wǎng)絡(luò)流量表示的方法及裝置
- 基于網(wǎng)絡(luò)流量多視圖融合的惡意軟件檢測方法及系統(tǒng)
- 一種網(wǎng)絡(luò)流量預(yù)測方法、裝置及電子設(shè)備
- 異常網(wǎng)絡(luò)流量檢測方法、可讀存儲(chǔ)介質(zhì)和終端
- 異常網(wǎng)絡(luò)流量檢測裝置
- 一種網(wǎng)絡(luò)流量分類方法和系統(tǒng)
