CN102868679A - 用于网络入侵检测的***、方法和器件 - Google Patents
用于网络入侵检测的***、方法和器件 Download PDFInfo
- Publication number
- CN102868679A CN102868679A CN2012102755882A CN201210275588A CN102868679A CN 102868679 A CN102868679 A CN 102868679A CN 2012102755882 A CN2012102755882 A CN 2012102755882A CN 201210275588 A CN201210275588 A CN 201210275588A CN 102868679 A CN102868679 A CN 102868679A
- Authority
- CN
- China
- Prior art keywords
- communication
- content
- network
- tabulation
- management controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Alarm Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种用于网络入侵检测的***(200)、方法(500)和器件。配置为促进网络入侵检测的装置(205)包括至少一个存储器(252)和至少一个处理器(250)。至少一个存储器(252)可配置为存储计算机可执行指令。至少一个处理器(250)可配置为访问至少一个存储器(252)并执行计算机可执行指令以:(i)识别通信(520),该通信包括(a)由装置(205)接收的通信或(b)由装置(205)生成的通信中的一个;(ii)识别与通信关联的类型;(iii)至少部分基于所识别的类型来确定(525)用于通信的可接受内容的列表;(iv)至少部分基于所确定的列表来分析(530)通信的内容;以及(v)至少部分基于该分析来确定(535)该内容是否为可接受的内容。
Description
技术领域
本发明的实施例通常涉及网络安全,并且更具体地涉及用于检测网络入侵的***、方法和器件。
背景技术
在多种应用中利用网络以在各种网络装置之间传递数据。例如,各种类型的网络用在公用事业应用、医学应用和工业控制应用中。利用公用事业应用的示例,网格网络(mesh network)典型地用于在需给电表(utility meter)之间传递数据。另外,与高级计量体系(AdvancedMetering Infrastructure:“AMI”)关联的网络典型地用于将电表数据传递给中央控制装置和中央服务器。其它类型的网络也用于在发电装置、电厂以及操作控制器之间传递数据。
在任何网络中安全通常是最为关心的。为促进网络安全,某些传统***可分析通信以便确定通信是否包含无效的内容或黑名单数据。然而,更新并维护黑名单数据或无效内容的列表通常是不实用的并且费时的。因此,需要改良的用于网络入侵检测的***、方法和器件。
发明内容
通过本发明的某些实施例可解决一些或所有的以上需求要和/或问题。本发明的实施例可以包含用于网络入侵检测的***、方法和器件。根据本发明的一个实施例,公开了一种器件或装置,例如需给电表,配置为促进在网络中的入侵检测。该装置可以包含至少一个存储器和至少一个处理器。至少一个存储器可配置为存储计算机可执行指令。至少一个处理器可配置为访问至少一个存储器并执行计算机可执行指令以(i)识别通信,该通信包括(a)由该装置接收的通信或(b)由该装置生成的通信中的一个;(ii)识别与该通信关联的类型;(iii)至少部分基于所识别的类型,确定用于该通信的可接受内容的列表;(iv)至少部分基于所确定的列表,分析该通信的内容;以及(v)至少部分基于该分析,确定内容是否为可接受内容。
根据本发明的另一实施例,公开了一种用于网络入侵检测的方法。通信可被识别。该通信可以是(i)由装置接收的通信或(ii)由该装置生成的通信中的一个。可识别与该通信关联的类型。至少部分基于所识别的类型,可识别可接受内容的列表。至少部分基于所确定的列表,可分析该通信的内容。至少部分基于该分析,可做出确定关于内容是否为可接受内容。在某些实施例中,可由与该装置关联的一个或多个处理器执行的通信检验应用来进行以上操作。
通过本发明的各实施例的技术可实现额外的***、方法、器件、特征和方面。本发明的其它实施例和方面在本文中详细描述,并被认为是要求保护的发明的一部分。参考描述和附图可以理解其它实施例、特征和方面。
附图说明
因此,已经以一般术语描述本发明,现在将参考附图,其不必按比例绘制,并且其中:
图1是根据本发明的说明性的实施例的促进网络入侵检测的一个示例***的框图。
图2是根据本发明的说明性的实施例的促进网络入侵检测的另一***的另一示例的框图。
图3是其中可利用本发明的各实施例的公用事业应用的示例的框图。
图4是根据本发明的说明性的实施例的用于分析通信以促进网络入侵检测的示例方法的流程图。
图5是根据本发明的说明性的实施例的用于分析通信以促进网络入侵检测的另一示例方法的流程图。
具体实施方式
在下文中参考附图将更充分地描述本发明的说明性的实施例,其中示出本发明的一些实施例,但不是所有的实施例。实际上,本发明可以实施为多种不同的形式,并且不应解释为限制于本文所阐述的实施例;而是,提供这些实施例以便本公开将满足应用法律要求。通篇类似的编号指代类似的元件。
公开的是用于网络入侵检测的***、方法和器件。在本发明的一个示例实施例中,一个或多个装置可经由任何数量的合适的网络进行通信。例如,一个或多个公用事业装置(例如,需给电表、AMI装置、分布式自动化装置、公用事业现场力量装置、变电站自动化装置等)可经由任何数量的合适的网络(例如,网格网络、AMI网络、局域网、广域网、蜂窝网络等)进行通信。作为另一示例,一个或多个医学装置可经由任何数量的合适的网络(例如专用医学网络)进行通信。每个装置可配置为利用所识别的或所确定的可接受内容的列表(即,可接受内容和/或元数据的白名单)来识别通信并分析通信的内容。在某些实施例中,可基于一个或多个所建立的用于网络通信的标准和/或协议和/或与装置关联的装置消息元数据来确定可接受内容。至少部分基于该分析,可以做出关于内容是否为可接受内容的确定。如果确定内容是不可接受的,则可识别潜在的网络入侵。在这点上,可基于通信内容与预定的可接受内容的列表的比较来提供网络安全。
在某些实施例中,装置可配置为存储和执行促进内容分析的专用应用。应用可促进与装置关联的类型(例如,装置模型编号等)的识别和由装置所利用或与装置类型关联的一个或多个通信接口和/或网络接口的识别。至少部分基于识别信息,应用可确定或识别可接受内容的列表(例如白名单),可接受内容可包含在由装置接收的通信中和/或由装置生成的通信中。例如,应用可确定与用于装置通信和/或装置消息元数据的一个或多个所建立的标准关联的可接受内容。一旦装置识别通信,应用可识别与通信关联的消息类型,并且应用可至少部分基于所识别的消息类型来确定可接受内容的列表(例如,白名单)。接着应用可利用深度包检验来确定通信的内容并评价利用可接受内容的列表的内容。例如,当利用基于包的协议(例如,因特网协议等)时,可执行深度包检验以便检验与通信关联的一个或多个包。至少部分基于该评价或分析,应用可确定内容是否为可接受内容。
作为一个示例,可在需给电表中上安装专用应用。需给电表可以标准格式(例如专用供应商格式或工业标准格式)来接收并传送数据。因此,通信到需给电表的数据或来自需给电表的数据可以具有相对受限的有效排列集。例如,通信可以包括具有预定长度和格式的电表编号、具有预定长度和格式的读数、以及确定通信的数据成分的序列的结构。应用可利用所建立的标准以生成通信中接收的可接受的数据、元数据、和/或数据排列的白名单。接着应用可利用白名单来分析通信内容以便确定通信是否包括可接受内容。
在各实施例中,装置可配置为基于所分析通信中包含的无效或不可接受内容的识别来生成告警,例如安全告警。在某些实施例中,所生成的告警可通信给用于处理和/或分析的管理服务器或管理控制器(例如,中央控制器等)。例如,需给电表可将所生成的告警通信给管理控制(例如,AMI控制器等),并且管理控制器可处理所生成的告警以便识别和/或作用于任何潜在的安全威胁。在其它实施例中,所生成的告警可由该装置处理,并且该装置可基于所生成的告警而采取一个或多个控制动作。例如,在管理控制器基于通信分析而生成告警的情况下,管理控制可识别潜在的安全威胁并基于该识别而采取一个或多个控制动作。如本发明的各实施例中所希望的,可以采取多种控制动作。合适的控制动作包含但不限于,识别用于通信的始发装置、阻断从始发装置接收的通信、重定向通信、分派操作员来调查始发装置等。
本发明的各实施例可以包括促进网络入侵检测的一个或多个专用计算机、***、和/或特定的机器。如各实施例中所希望的,专用计算机或特定的机器可包括多种的不同软件模块。如以下更详细地解释的,在某些实施例中,这些各种软件部件可用来检测网络内潜在的网络入侵和/或安全风险。
如本发明的各实施例中所希望的,检测网络入侵的装置可以是连接到一个或多个网络的独立装置。在其它实施例中,网络入侵检测功能可并入一个或多个现存装置中。
本文描述的本发明的某些实施例可以具有基于通信与一个或多个可接受内容的列表的比较而检测网络入侵(例如公用事业网络或医学网络内的网络入侵)的技术效果。此外,本发明的实施例可以具有采取一个或多个控制动作来校正或以其它方式响应于所检测的网络入侵或另一所识别的安全威胁的技术效果。
图1是根据本发明的说明性的实施例的用于检测网络入侵的一个示例***100的框图。图1所图示的***100可以包含任何数量的装置105、110、115以及至少一个管理控制器120。任何数量的网络125、130可用于促进***100的各部件之间的通信。例如,如图1中所示,装置105可经由一个或多个合适的网络125(例如公用事业网络、医学网络、工业控制网络、局域网、广域网、蜂窝网络等)与任何数量的其它装置110和/或管理控制器120进行通信。作为另一示例,装置105可以是经由任何数量的合适的网格网络130与任何数量的其它网格装置(mesh device)115和/或网格网络控制器135通信的合适的网格网络装置。如所希望的,网格网络控制器135可经由任何数量的合适的网络125与管理控制器120通信。
实际上,如在本发明的各实施例中所希望的,可利用多种网络配置和安排。例如,一个或多个网络配置可与公用事业提供商关联。作为一个示例,任何数量的局域网和/或广域网可促进控制装置之间的通信。此外,任何数量的网格网络130可以包含与AMI***关联的网格节点和/或装置。例如,需给电表和/或其它传感器可以是监测公用事业使用(例如煤气、水、和/或电的使用)的AMI***的一部分。如所希望的,AMI***的部件可与网格网络控制器135通信,并且网格网络控制器135可通信信息以监测公用事业,例如与管理控制器120关联的一个或多个公用事业。网格网络130可以包含任何数量的网格装置。网格装置可以是配置为作为网格网络130内的节点参与的任何合适的装置,例如需给电表、网格网络控制器135、网格中继器、和/或其它网格节点。每个网格节点可充当独立的路由器以允许连续的连接以及通过从节点到节点的“跳”直到到达目的地在断开或阻断路径周围的重新配置。
作为另一示例,一个或多个网络配置可与医学***和/或医学提供商关联。例如,可利用专用医学网络、因特网、或另一网络来促进在各医学装置(例如患者监测装置、医师装置、保险提供商装置、制药装置、和/或各种管理控制器和/或服务提供商)之间的通信。作为又一示例,一个或多个网络配置可与工业控制***关联。例如,各种网络可促进管理控制器、分布式控制***、和/或分布式传感器和/或现场自动化装置之间的通信。
如上所述,任何数量的装置105、110、115可彼此通信和/或与管理控制器120通信。现在将进一步详细描述示例装置105。装置105可以是连接到网络的任何合适的装置,例如合适的需给电表、AMI装置、工业控制装置、现场自动化装置、医学装置、或其它装置。因此,装置105可以可选地配置为测量或监测各参数(例如,用电、电压、电流、温度等)。如所希望的,测量数据和/或其它数据可由装置105通信给***100的其它装置和/或部件。此外,根据本发明的一个方面,装置105可评价由装置105生成的通信和/或由装置105接收的通信,以确定通信的内容是否为可接受内容。
装置105可以包含促进装置105的一般操作和/或促进用于网络入侵检测目的的通信的评价的任何数量的合适的计算机处理部件。例如,装置105可以包含配置为监测并评价通信的一个或多个控制器或处理装置。可并入到装置105中的合适的处理装置的示例包括但不限于,专用电路、微控制器、小型计算机、其它计算装置等。因此,装置105可以包含促进计算机可读指令的执行以控制装置105的操作和潜在网络入侵检测的任何数量的处理器140。通过执行计算机可读指令,装置105可以包含或形成促进网络入侵检测的专用计算机。
除一个或多个处理器140以外,装置105还可以包含一个或多个存储器装置142、一个或多个输入/输出(“I/O”)接口144、和/或一个或多个网络接口装置146。一个或多个存储器装置142或存储器可以是任何合适的存储器装置,例如,缓存、只读存储器装置、随机存取存储器装置、磁存储装置等。一个或多个存储器装置142可存储由装置105利用的数据、可执行指令、和/或各种程序模块,例如,数据文件148、操作***(“OS”)150,和/或检验应用152或检验模块。数据文件148可以包含,例如,与装置105的操作关联的信息、与关联于装置105的一个或多个所建立的通信标准相关联的信息、一个或多个所生成的可接受内容的列表(例如,白名单等)、与所生成的告警消息关联的信息、和/或与由装置采取的测量和/或读数关联的数据。
在本发明的某些实施例中,装置105可以包含执行以促进装置105的操作的任何数量的软件应用或模块。软件应用可以包含由一个或多个处理器140执行的计算机可读指令。计算机可读指令的执行可形成促进装置105的操作以及网络入侵检测的专用计算机。作为软件应用的示例,装置105可以可选地包括控制装置105的一般操作并促进额外的软件应用的执行的OS 150。
此外,装置105可以包含检验应用152或检验模块。检验应用152可以是配置为促进由装置105生成和/或由装置105接收的通信或消息的识别和处理的合适的软件模块。在操作中,检验应用152可建立或生成用于装置105的一个或多个可接受内容的列表。例如,检验应用152可识别促进装置通信的与装置105相关联的类型和/或与一个或多个网络相关联的信息。检验应用152可利用该信息的至少一部分以生成一个或多个可接受内容的列表。例如,检验应用152可识别用于装置类型和/或网络的一个或多个所建立的通信标准、元数据标准、和/或协议,并且检验应用152可利用所识别的标准和/或协议来生成一个或多个可接受内容的列表。可接受内容的列表可以包含多种信息,例如用于装置通信的有效排列、格式、长度、和/或结构和/或与装置通信关联的元数据。作为生成可接受内容的列表的备选方案,检验应用152可识别以前已经存储在装置105上的可接受内容的列表,或者检验应用152可从外部资源获得可接受内容的列表。例如,检验应用152可从可移动存储装置获得可接受内容的列表。作为另一示例,检验应用152可经由任何数量的合适的网络通信从外部资源(例如,管理控制器120)获得可接受内容的列表。
一旦已经生成和/或获得一个或多个可接受内容的列表,检验应用152可利用一个或多个列表来分析或评价由装置105生成和/或由装置105接收的通信。例如,检验应用152可进行通信内容(例如,数据负载等)的深度包检验,并且可以将内容与可接受内容的列表相比较和/或以其它方式利用可接受内容的列表来评价该内容。至少部分基于该评价,检验应用152可确定内容是否为可接受的或有效的内容。如果确定内容是可接受内容,则检验应用152可核准通信。然而,如果确定内容是不可接受的或无效的内容(例如,内容与经核准的内容不匹配,内容不满足用于经核准内容的一个或多个参数等),则检验应用152可生成与通信关联的告警。在某些实施例中,检验应用152可指示告警消息的通信给管理控制器120用于进一步处理。在这点上,管理控制器120可确定是否已经发生网络入侵,并且管理控制器120可响应于该确定来指示一个或多个控制动作。例如,管理控制器120可将指令通信给装置105用于处理未来的通信。在其它实施例中,检验应用152可响应于所生成的告警指示一个或多个控制动作。如本发明的各实施例中所希望的,可采取多种控制动作。以下参考管理控制器120进一步详细讨论几个示例控制动作。
实际上,检验应用152可进行多种不同操作以评价通信,并确定包含在通信中的内容是否为可接受的或有效的内容。以上描述的操作仅以示例的方式提供。以下参考图4进一步详细描述可由检验应用152进行的操作的另一示例。
继续参考装置105,一个或多个I/O接口144可促进装置105和一个或多个输入/输出装置之间的通信,输入/输出装置例如为一个或多个用户接口装置,例如显示器、键盘、鼠标、指向装置、控制面板、触摸屏显示器、麦克风、扬声器等,其促进用户与装置105的交互。在这点上,用户命令可由装置105接收。此外,一个或多个网络接口装置146可促进装置105与任何数量的合适网络(例如网格网络130或其它类型的网络125)的连接。在这点上,装置105可从***100其它部件接收数据和/或将数据通信给***100的其它部件。在某些实施例中,网络接口装置146可包括配置为与网格网络30通信的网格无线电(mesh radio)。无线电可将消息传送、接收、和转发给网格网络130的其它节点。此外,如在某些实施例中所希望的,网络接口装置146可以包含配置为经由任何数量的广域网或其它网络与其它装置110和/或管理控制器120通信的任何合适的通信接口、网卡、和/或其它装置。例如,网络接口装置146可以包含以太网卡、网络接口卡、蜂窝收发器、宽带电力线适配器、和/或其它装置。
在某些实施例中,装置105可配置为经由网格网络130进行通信。如所希望的,网格网络控制器135可配置为促进装置105和管理控制器120之间的通信。网格网络控制器135可以是合适的处理器驱动的装置,其配置为作为促进与管理控制器120通信的网格网络130和网络125之间的接口。因此,网格网络控制器135可以包含这样的部件,该部件类似于用于装置105和/或管理控制120的所描述的部件。例如,网格网络控制器135可以包含一个或多个处理器、一个或多个存储器、和/或一个或多个网络接口装置。在操作中,网格网络控制器135可经由网格网络130从网格装置接收消息,并且网格网络控制器135可选择地经由一个或多个广域网125将所接收到的消息通信给管理控制器120。以类似的方式,通信可从管理控制器120传递至网格装置。
如所希望的,网格网络控制器135可以类似于用于装置105所描述的方式来评价或分析通信。例如,网格网络控制器135可以包含识别一个或多个可接受内容的列表并利用该一个或多个列表来确定包括在所识别的通信中的内容是否为可接受内容的合适的检验模块或检验应用。其结果是,在识别了无效的或不可接受内容的情况下,网格网络控制器135可选择性地生成告警消息。此外,在某些实施例中,网格网络控制器135可基于生成告警和/或基于接收来自网格装置的告警消息而采取一个或多个控制动作。
继续参考图1,管理控制器120可形成与装置105关联的合适的***或作为与装置105关联的合适的***的一部分。例如,在装置105是需给电表或现场自动化装置的情况下,管理控制器120可以与变电站或其它公用事业***关联。管理控制器120可以包含任何数量的合适的计算机处理部件,其促进告警消息的接收和处理、基于入侵检测的控制动作的指示、和/或数据和/或指令到任何数量的装置的通信。可并入管理控制器120的合适的处理装置的示例包括但不限于,专用电路、微控制器、小型计算机、个人计算机、服务器、其它计算装置等。因此,管理控制器120可以包含促进计算机可读指令的执行以控制管理控制器120的操作的任何数量的处理器160。通过执行计算机可读指令,管理控制器120可以包含或形成促进告警消息的接收和处理以便识别潜在的网络入侵的专用计算机。
除一个或多个处理器160外,管理控制器120还可以包含一个或多个存储器装置162、一个或多个网络接口装置164、和/或一个或多个输入/输出(“I/O”)接口166。一个或多个存储器装置162或存储器可以是任何合适的存储器装置,例如,缓存、只读存储器装置、随机存取存储器装置、磁存储装置等。一个或多个存储器装置162可存储由管理控制器120使用的数据、可执行指令、和/或各种程序模块,例如,数据文件168、操作***(“OS”)170、和/或控制应用172或控制模块。数据文件168可以包含与管理控制器120的操作关联的所存储的数据、与所接收的告警消息关联的信息、与所识别的入侵和/或入侵装置节点关联的信息、与由管理控制器120采取的控制动作关联的信息、与可接受内容关联的信息、和/或与通信的分析或评价关联的信息。
OS 170可以是执行计算机可执行指令以控制管理控制器120的一般操作并促进额外的软件应用的执行的合适的软件模块或应用。控制应用172可是执行计算机可执行指令以促进任何数量的分布式装置和/或网络装置的管理和/或通信的合适的软件模块或应用。在这点上,控制应用172可配置为接收并处理由装置(例如装置105、和/或***100的其它部件)输出的数据。例如,在公用事业应用中,控制应用172可配置为接收并处理由一个或多个需给电表和/或现场自动化装置输出的测量数据、状态消息、和/或告警消息。控制应用172可附加地配置为将消息、指令、和/或更新通信给***100的任何数量的其它装置和/或部件。
根据本发明的一方面,控制应用172可配置为接收并处理与所识别的无效的或不可接受的内容关联的一个或多个告警消息。基于所接收的告警消息的分析,控制应用172可识别潜在的安全威胁和/或网络入侵。如所希望的,控制应用172可附加地识别引起潜在安全威胁的装置的位置或近似位置。一旦已经识别潜在安全威胁,控制应用172可指示或触发与潜在安全威胁关联的任何数量的控制动作的执行。在这点上,控制应用172可增强在一个或多个网络内的安全性并可响应于入侵检测。如在本发明的各实施例中所希望的,可指示多种控制动作。例如,可以分派技术人员或技术人员组来评价潜在的安全威胁。作为另一示例,可限制或不允许来自引发潜在安全威胁的装置的通信和/或至该装置的通信。以下参考图4进一步详细描述由控制应用172进行的操作的一个示例。
此外,在某些实施例中,管理控制器120可配置为以类似于用于该装置的所描述的方式编译和/或生成一个或多个可接受内容的列表。管理控制器120接着利用一个或多个列表来评价由管理控制器120生成的和/或接收的通信,以便确定通信的内容是否为有效的或可接受的内容。在某些实施例中,多个网络和/或网络接口可与管理控制器120关联。例如,与公用事业提供商关联的管理控制器可配置为利用多种通信协议(例如AMI协议和/或基金会现场总线协议)经由多个类型的网络进行通信。如所希望的,管理控制器120可为任何数量的不同接口生成可接受内容的列表并可选地利用一个或多个适当的列表来评价通信。例如,管理控制器120可以类似于以下参考附图2进一步详细描述的装置205的方式运行。
继续参考管理控制器120,一个或多个网络接口装置164可促进管理控制器120与多个网络的连接,例如一个或多个广域网125。在这点上,管理控制器120可从***100的其它部件接收数据和/或将数据通信至***100的其它部件,例如配置为经由网络125进行通信的网格网络控制器135和/或其它部件。另外,一个或多个I/O接口166可促进管理控制器120和一个或多个输入/输出装置之间的通信,输入/输出装置例如为一个或多个用户接口装置,例如显示器、键盘、控制板、触摸屏显示器、远程控制、麦克风等,其促进用户与管理控制器120的交互。
一个或多个网络125可以包含促进***100中各部件(例如管理控制器120、某些装置105、110、和/或网格网络控制器135)之间的通信的任何数量的合适的网络。例如,一个或多个网络125可以包含任何数量的合适的广域网和/或局域网,例如因特网、蜂窝网络(例如2G、3G、4G等)、数字用户线路(“DSL”)网络、光纤网络、无线网络(例如802.11网络、802.16网络等)、Wi-Fi功能网络、蓝牙功能网络、宽带电线网络、基于卫星的网络、专用医学网络等。
图2是根据本发明的说明性的实施例的用于检测网络入侵的另一示例***200的框图。图2所示的***200可以包含任何数量的装置205、210、215、220。在某些实施例中,***200也可以包含至少一个管理控制器225。任何数量的网络230、235、240和/或网络连接可用来促进***200的各部件之间的通信。例如,如图2所示,装置205可经由多种不同类型的网络和/或网络与任何数量的其它装置210、215、220通信。
如本发明的各实施例中所希望的,可利用多种网络配置和布置。例如,一个或多个网络配置可与公用事业提供商关联。作为一个示例,任何数量的局域网和/或广域网可促进器件205和任何数量的分布式装置之间的通信。例如,与公用事业网络关联的控制装置可经由不同类型的网络和/或通信接口与多种类型的分布式装置进行通信,例如需给电表、现场自动化装置、变电站控制装置等。作为另一示例,医学控制器可经由各种类型的医学网络与各种分布式装置进行通信,例如保健索赔付款器、患者装置、和/或监测装置。
继续参考图2,现在进一步详细描述装置205。装置205可以是能够连接到一个或多个网络的任何合适的装置,例如AMI控制装置、变电站控制装置、分布式自动化装置、公用事业现场力量自动化装置、医学控制装置、和/或工业控制装置。因此,装置205可配置为经由各种类型的网络230、235、240接收和/或传送通信给任何数量的分布式装置210、215、220。此外,在某些实施例中,装置205可配置为与更高级别控制器(图示为管理控制器225)通信。例如,AMI控制装置可与变电站控制装置或中央公用事业控制器通信。
装置205可以包含促进装置205的一般操作和/或促进用于网络入侵检测目的的通信评价的任何数量的合适的计算机处理部件。例如,装置205可包括配置为监测和评价通信的一个或多个控制器或处理装置。可并入装置205的合适的处理装置的示例包含但不限于,专用电路、微控制器、小型计算机、其它计算装置等。因此,装置205可以包含促进计算机可读指令的执行以控制装置205操作并促进潜在网络入侵检测的任何数量的处理器250。通过执行计算机可读指令,装置205可以包含或形成促进网络入侵检测的专用计算机。
除一个或多个处理器250之外,装置205还可以包含一个或多个存储器装置252、一个或多个输入/输出(“I/O”)接口254、和/或一个或多个网络接口装置256。一个或多个存储器装置252或存储器可以是任何合适的存储器装置,例如,缓存、只读存储器装置、随机存取存储器装置、磁存储装置等。一个或多个存储器装置252可存储由装置205利用的数据、可执行指令、和/或各种程序模块,例如,数据文件258、操作***(“OS”)260、和/或检验应用262或检测模型。数据文件258可以包含,例如,与装置205的操作关联的信息、与一个或多个网络和/或分布式装置关联的信息,与一个或多个所建立的通信关联的信息和/或与装置205关联的元数据标准,一个或多个所生成的可接受内容的列表(例如白名单等),与所生成的告警消息关联的信息、和/或与由装置205采取的控制动作关联的数据。
在本发明的某些实施例中,装置205可以包含执行其以促进装置205的操作的任何数量的软件应用或模块。软件应用可以包含由一个或多个处理器250执行的计算机可读指令。计算机可读指令的执行可形成促进装置205的操作以及网络入侵检测的专用计算机。作为软件应用的示例,装置205可以可选地包含控制装置205的一般操作并促进额外的软件应用的执行的OS 250。
此外,装置205可以包含检验应用262或检验模块。检验应用262可以是配置为促进由装置205生成和/或接收的通信或消息的识别和处理的合适的软件模块。在操作中,检验应用262可建立或生成用于装置205的一个或多个可接受内容的列表。例如,检验应用262可识别促进装置通信的一个或多个网络和/或通信接口。检验应用262可以接着确定用于每个所识别网络和/或通信接口的一个或多个可接受内容的列表(例如白名单等)。例如,检验应用262可识别用于网络的一个或多个所建立的通信标准、装置消息元数据标准、和/或协议,并且检验应用262可利用所识别的标准和/或协议来生成用于网络的一个或多个可接受内容的列表。可接受内容的列表可以包含多种信息,例如用于装置通信的有效排列、格式、长度、和/或结构和/或与装置通信关联的有效元数据。作为生成可接受内容的列表的备选方案,检验应用262可识别以前已经存储在装置205上的可接受内容的列表,或检验应用262可从外部资源获得可接受内容的列表。例如,检验应用262可从远程存储装置获得可接受内容的列表。作为另一示例,检验应用262可经由任何数量的合适的网络通信从外部资源(例如管理控制器225)获得可接受内容的列表。
一旦已经生成和/或获得一个或多个可接受内容的列表,检验应用262可利用该一个或多个列表来分析或评价由装置205生成和/或接收的通信。例如,检验应用262可识别与所识别的通信关联的网络、通信接口、或通信链路。检验应用262接着可访问或确定与所识别的网络或通信接口关联的一个或多个可接受内容的列表。检验应用262可进行通信内容(例如数据负载等)的深度包检验,并且可将内容与可接受内容的列表相比较和/或可以其它方式利用可接受内容的列表来评价内容。至少部分基于该评价,检验应用262可确定内容是否为可接受的或有效的内容。如果确定内容为可接受内容,则检验应用262可核准通信。然而,如果确定内容为不可接受的或无效的内容(例如,内容与所核准的内容不匹配、内容不满足用于所核准内容的一个或多个参数等),则检验应用262可生成与通信关联的告警。在某些实施例中,检验应用262可将告警消息的通信指示给管理控制器225用于进一步处理。在这点上,管理控制器225可确定是否已经发生网络入侵,并且管理控制器225可响应于该确定指示一个或多个控制动作。例如,为处理未来的通信,管理控制器225可将指令通信给装置205。在其它实施例中,检验应用262可响应于所生成的告警指示一个或多个控制动作。如上述参考附图1的***100所进一步详细解释的,可如本发明的各实施例中所希望的采取多种控制动作。
实际上,检验应用262可进行多种不同的操作以评价通信并确定通信中包含的内容是否为可接受的或有效的内容。以上描述的操作仅以示例的方式提供。以下参考附图5进一步详细描述可由检验应用262进行的操作的另一示例。
继续参考装置205,一个或多个I/O接口254可促进装置205和一个或多个输入/输出装置之间的通信,输入/输出装置例如为促进用户与装置205的交互的一个或多个用户接口装置,例如显示器、键盘、鼠标、指向装置、控制面板、触摸屏显示器、麦克风、扬声器等。在这点上,用户命令可由装置205接收。此外,一个或多个网络接口装置256可促进装置205连接到任何数量的合适的网络,如图2所示的网络230、235、240。在这点上,装置205可从***200的其它部件接收数据和/或将数据通信给***200的其它部件。如在某些实施例中所希望的,网络接口装置256可以包含配置为经由任何数量的广域网或其它网络与其它装置210、215、220和/或管理控制器225通信的任何合适的通信接口、网卡、和/或其它装置。例如,网络接口装置256可以包含以太网卡、网络接口卡、蜂窝收发器、宽带电线适配器、和/或其它装置。
继续参考图2,管理控制器225可类似于以上参考图1描述的管理控制器120。另外,每个其它装置210、215、220可包括类似于以上参考图1描述的装置205和/或装置105的部件。各网络230、235、240可以包含促进装置间通信的任何合适的网络,例如局域网、广域网、蓝牙功能网络、Wi-Fi功能网络、蜂窝网络、射频网络、私有网络、公共交换网络等。如所希望的,装置可配置为经由任何数量的网络进行通信。例如,公用事业控制装置可配置为经由多个公用事业网络(例如AMI网络、现场总线网络等)进行通信。在装置经由多个网络进行通信的情况下,可对于每个网络确定不同的可接受内容的列表。
如所希望的,本发明的实施例可以包含具有多于或少于图1和2中所示的部件的***。此外,在本发明的各实施例中***100、200的某些部件可组合。图1和图2的***100、200仅以示例的方式提供。
如所希望的,本发明的实施例可用于多种应用中,例如公用事业应用、医学应用、和/或工业控制应用。在某些实施例中,所通信的消息和/或通信的类型可能由于应用的特定属性而相对受限。例如,相对受限数量的不同类型应用可在公用事业网络的各部件之间进行通信。图3是可以利用本发明的各实施例的一个公用事业应用300的框图。
参考图3,公用事业应用300的各部件可经由任何数量的合适网络彼此通信。例如,家庭区域网络(“HAN”)装置310可与关联于公用事业提供商的各种消费者的相应需给电表315通信。需给电表315又可与促进与公用事业应用300的任何数量的其它部件通信的合适的AMI子***320(例如操作子***325)通信。如所希望的,需给电表315可经由一个或多个网格网络彼此通信。此外,某些需给电表315(或网格网络控制器)可经由任何数量的AMI网络与AMI子***320通信。
继续参考图3,操作子***325也可与任何数量的其它公用事业部件通信,例如电厂子***330、任何数量的分布式能量子***335(例如,光伏电池子***、风力涡轮机子***等)、任何数量的现场力量子***340、任何数量的分布式自动化子***345和/或任何数量的变电站子自动化子***350。此外,操作子***325可与企业子***355通信。虽然操作子***325描述为与多个其它装置通信,但应用300的任何部件可经由网络305彼此通信。
根据本发明的一方面,可为用于公用事业应用300所描述的每个类型的网络接口和/或网络建立或确定一个或多个可接受内容的列表。例如,需给电表315可以包含用于从其它需给电表接收的通信的可接受内容的列表、用于从HAN装置接收的通信的可接受内容的列表、和/或用于从AMI子***320接收通信的可接受内容的列表。作为另一示例,操作子***325可包括关联于与操作子***325通信的应用300的各部件的相应可接受内容的列表。如所希望的,每个装置或子***可评价或分析利用可接受内容的列表的通信。在这点上,装置可确定通信内容是否为有效的或可接受的内容,并且装置可识别潜在的安全风险和/或网络入侵。
仅以示例的方式提供图3所示的公用事业应用300。如所希望的,本发明的实施例可与其它类型的应用(例如医学应用和/或工业控制应用)一起利用。
图4是根据本发明的说明性的实施例的用于分析通信以促进网络入侵检测的示例方法400的流程图。方法400可用来关联于一个或多个基于网络的***,例如图1所示的***100。在某些实施例中,方法400的操作可由至少一个装置和管理控制器(例如图1所示的装置105和管理控制器120)进行。
方法400可在框405开始。在框405,通信检验应用(例如图1所示的检验应用152)可安装到装置105上。在某些实施例中,技术人员或其它个体可在装置105上安装检验应用152。例如,技术人员可安装来自便携存储装置的检验应用152。在其它实施例中,检验应用152可从其它装置或***通信(例如管理控制器120)至该装置。例如,检验应用152可与装置105通信并作为软件更新的一部分进行安装。一旦已经安装,检验应用152可由装置105执行以便促进用于入侵检测目的的通信的分析。
在框410,装置类型可由检验应用152识别。例如,检验应用152可利用用于装置105的识别信息,例如装置标识符或模型编号来识别装置类型。在这点上,检验应用152可以是可由多种不同类型的装置利用的相对通用的应用。在某些实施例中,装置类型可以输入装置105用于由检验应用152接收和处理。在其它实施例中,可由检验应用152基于从装置105所执行的其它模块或应用接收的信息来识别装置类型。
在框415,可为装置105确定可接受内容的列表,例如白名单。在某些实施例中,至少部分基于装置类型的识别,可确定可接受内容的列表。例如,可利用装置类型来确定或识别用于促进装置通信的通信接口或网络接口。作为一个示例,如果装置是需给电表,则可利用装置类型来识别需给电表网络接口或通信接口。如所希望的,可识别或确定与装置通信和/或通信接口关联的一个或多个所建立的通信标准、消息元数据标准、和/或通信协议。利用需给电表的示例,可确定各种需给电表数据格式标准(例如,国际电工委员会(“IEC”)61850、IEC 61968、ZigBee简档标准(例如,智能能源简档1.0、智能能源简档2.0等)、北美能源标准委员会(“NAESB”)能源服务提供商接口标准等)。接着可利用标准和/或协议来确定或生成用于通信的可接受内容的列表。例如,可利用标准为包含在通信中的数据确定有效的排列,例如用于测量和/或读数的长度和格式、装置标识符的长度和格式、和/或用于在通信内排序数据的结构和/或顺序。如所希望的,在可接受内容的列表中可以包含用于有效的或可接受内容的多种不同类型的处理参数。
在框420,可识别与装置105关联的下一通信。例如,可识别经由通信网络由装置105从另一装置接收的通信。在框425,可利用用于装置的可接受内容的列表来评价或分析通信的内容。例如,可识别通信的数据负载的深度包检验,并且可利用可接受内容的列表来评价包含在数据负载中的内容。可利用多种合适的方法和/或技术来评价内容。例如,可关于内容是否与包括在可接受内容的列表中的已核准的内容匹配做出确定。作为另一示例,可关于内容是否满足包括在可接受内容的列表中的一个或多个参数或规则(例如序列规则、结构规则、格式规则等)做出确定。
在框430,可关于是否包括在通信中的内容是有效的或可接受内容做出确定。例如,可关于内容是否与包括在可接受内容的列表中的可接受内容匹配和/或内容是否满足包括在可接受内容的列表中的一个或多个规则或参数做出确定。在框430,如果确定内容是有效内容,则可核准通信并可继续在上述的框420操作。然而,如果在框430确定内容是无效的或不可接受的内容,则在框435继续操作。
在框435,可生成与所识别的无效内容和/或潜在通信关联的告警消息。多种信息可以包括在告警消息中,例如装置105的标识符、与无效内容关联的信息、通信始发装置标识符、已经改变通信的一个或多个中间装置的标识符、装置105的位置信息、和/或与始发和/或中间装置关联的位置信息和/或定时信息。一旦生成,装置可输出告警消息,用于通信给一个或多个接收者(例如管理控制器120)。
在框440,管理控制器120可接收由装置105输出的告警消息。在框445,管理控制器120可分析告警消息(和从其它装置接收的任何告警消息)。在框450,管理控制器120可至少部分基于告警消息的分析来识别任意潜在的安全威胁和/或网络入侵。例如,管理控制器120可识别通信的始发装置或作为网络内的潜在安全威胁的改变通信的装置。在某些实施例中,基于接收多个告警消息,可识别安全威胁。例如,与始发装置通信的多个装置可生成经处理以识别安全威胁的相应告警消息。可利用多种方法和/或技术以促进潜在安全威胁或网络入侵的识别。
在某些实施例中,可由用于与一个或多个其它装置(例如生成告警消息的装置)通信的管理控制器120输出与识别为潜在安全威胁的装置关联的位置信息的一个或多个请求。装置105可接收位置信息请求,并且位置信息可响应于该请求而通信至管理控制器120。管理控制器120可从任何数量的装置接收位置信息。作为请求位置信息的备选方案,位置信息可包含在一个或多个告警消息中并且由管理控制器120识别。多种位置信息可由管理控制器120接收,例如触发告警的一个或多个装置的位置(例如,全球定位坐标、存储的位置、街道地址等)、和/或与引发潜在威胁的装置与该装置之间的通信关联的定时信息。
如所希望的,可由管理控制120确定、计算、估计潜在安全威胁装置的定位或位置。可利用多种合适的技术确定装置位置。作为一个示例,可利用无线电三角测量来确定定位。例如,可利用触发告警的装置定位结合定时信息(例如在一个或多个装置与潜在安全威胁装置之间的消息响应时间)以便推断装置的估计定位。在这点上,可确定网络中潜在安全风险的位置。
在框455,可由管理控制器120确定并指示任何数量的控制动作。控制动作可以是旨在最小化或降低安全风险的任何合适的动作,该安全风险与已经识别为引发入侵或安全风险的所识别的装置相关。例如,控制动作可最小化通过通信至装置而潜在危害的数据。如在本发明的各实施例中所希望的,可利用多种不同的控制动作。例如,管理控制器120可指示其它装置不将消息通信给引发安全威胁的装置或不处理从引发安全威胁的装置接收的消息。如图4所示,在框460,管理控制器120可将指令(例如,用于进一步处理通信的指令)通信给一个或多个其它装置。在框465,可由装置105接收并处理指令。作为控制动作的另一示例,管理控制器120可指示分派技术人员到已确定的入侵装置的位置。
接着框465,方法400可结束。
图5是根据本发明的说明性的实施例的用于分析通信以促进网络入侵检测的另一示例方法500的流程图。方法500可用来与一个或多个基于网络的***(例如图2所示的***200)关联。在某些实施例中,可由至少一个装置(例如图2所示的装置205)执行方法500的操作。
方法500可在框505开始。在框505,可识别与装置205关联的一个或多个通信信道、通信链路、和/或网络接口。例如,可识别促进装置通信的一个或多个网络,并可识别用于网络的一个或多个不同类型的通信链路。作为一个示例,如果装置是变电站装置,则可识别促进与需给电表、AMI控制器、现场自动化装置、和/或其它类型的装置通信的一个或多个通信接口。
在框510,可识别或确定与各通信信道和/或链路关联的一个或多个相应的通信标准、元数据标准、和/或通信协议。另外,在某些实施例中,可为可经由单个通信链路接收到的各种类型的通信识别一个或多个相应的通信标准、元数据标准、和/或协议。例如,在公用事业应用中,可利用AMI通信链路来接收由需给电表输出的消息以及与AMI控制装置的操作关联的消息。在框515,可接着利用各种标准和/或协议来确定或生成经由各通信信道接收的通信的相应的可接受内容的列表。例如,可利用标准来确定用于包含在用于通信链路中的通信中的数据的有效排列,例如用于测量和/或读数的长度和格式、用于装置标识符的长度和格式、和/或用于在通信内排序数据的结构和/或序列。如所希望的,用于有效的或可接受内容的多种不同类型的处理参数可包括在可接受内容的列表中。
在框520,可识别与装置205关联的下一通信。例如,可识别经由通信网络由装置205从另一装置接收的通信。在框525,可识别或确定用于分析或评价通信的可接受内容的列表。例如,可识别与通信关联的类型和/或与通信关联的通信链路,并且至少部分基于通信链路和/或通信类型,可确定可接受内容的列表。
在框530,利用用于装置的可接受内容的列表可评价或分析通信内容。例如,可识别通信的数据负载的深度包检验,并且可利用可接受内容的列表来评价包括在数据负载中的内容。可利用多种合适的方法和/或技术来评价内容。例如,可关于内容是否与包含在可接受内容的列表中的经核准的内容匹配做出确定。作为另一示例,可关于内容是否满足包含在可接受内容的列表中的一个或多个参数或规则(例如,序列规则、结构规则、格式规则等)做出确定。
在框535,可关于是否包含在通信中的内容是有效的或可接受的内容做出确定。例如,可关于内容是否与包含在可接受内容的列表中的可接受内容匹配和/或内容是否满足包含在可接受内容的列表中的一个或多个规则或参数做出确定。如果在框535确定内容是有效的内容,则可核准通信并如上所描述地可继续在框520操作。然而,如果在框535确定内容是无效的或不可接受的内容,则可在框540继续操作。
在框540,可基于无效内容的识别由装置205指示控制动作。在某些实施例中,控制动作可包括生成与所识别的无效内容和/或潜在的通信关联的告警消息。一旦生成,可由装置205输出用于与一个或多个接收方(例如管理控制器)通信的告警消息。如所希望的,可由接收方以与以上参考图4的方法400描述的方式类似的方式来处理告警消息。
在其它实施例中,控制动作可包括潜在安全威胁或网络入侵和/或与安全威胁(例如,用于通信的始发装置等)关联的装置的识别。接着装置205可采取旨在最小化或降低安全威胁的任何合适的动作,该安全威胁与已经识别为引发入侵或安全风险的装置相关。例如,装置205可采取控制动作以最小化通过通信至入侵装置而潜在危害的数据。如本发明的各实施例所希望的,可利用多种不同的控制动作。例如,装置205可限制或挂起从入侵装置接收的通信的处理。作为另一示例,装置205可指示其它装置不将消息通信给入侵装置或不处理从入侵装置接收的消息。如所希望的,装置205可将指令(例如,用于处理进一步的通信的指令)通信给一个或多个其它装置。作为控制动作的另一示例,装置205可指示分派技术人员到所确定的入侵装置的位置。
接着框540,方法500可结束。
在图4-图5的方法400、500描述或示出的操作可以如本发明的各实施例中所希望的任何合适的顺序实现或进行。此外,在某些实施例中,操作的至少一部分可并行实现。此外,在某些实施例中,可进行少于或多于图4-图5中描述的操作。
以上参考根据本发明的示例实施例的***、方法、器件和/或计算机程序产品的框图和流程图来描述本发明。将理解,框图和流程图的一个或多个框、以及框图和流程图中框的组合可分别由计算机可执行程序指令来实现。类似地,根据本发明的一些实施例,框图和流程图中的一些框可以不必需要以所呈现的顺序进行,或根本可以不必需要进行。
这些计算机可执行程序指令可载入到通用计算机、专用计算机、处理器或其它可编程数据处理器件以产生特定机器,以便执行在计算机、处理器、或其它可编程数据处理器件上的指令创建用于实现流程图框或多个框中规定的一个或多个功能的组件。这些计算机程序指令也可存储到计算机可读存储器中,该计算机可读存储器能够指示计算机或其它可编程数据处理器件以特定方式起作用,以便存储在计算机可读存储器中的指令产生包括指令组件的制品,该组件实现流程图的框或多个框中规定的一个或多个功能。作为示例,本发明的实施例可提供计算机程序产品,包括具有在其中实施的计算机可读程序代码或程序指令的计算机可用介质,所述计算机可读程序代码适配为执行以实现流程图的框或多个框中规定的一个或多个功能。计算机程序指令也可装载到计算机或其它可编程数据处理器件上以引发一系列操作元件或步骤在计算机或其它可编程器件上执行以产生计算机可实现的过程,从而在计算机或其它可编程器件上执行的指令提供用于实现流程图的框或多个框中规定的功能的元件或步骤。
因此,框图和流程图的多个框支持用于执行规定功能的组件的组合、用于进行规定功能的元件或步骤与用于进行规定功能的程序指令组件的组合。将理解框图和流程图中的每个框、以及框图和流程图中框的组合,能够由进行规定功能、元件或步骤的专用的、基于硬件的计算机***、或专用硬件和计算机指令的组合来实现。
虽然本发明已经连同目前认为是最实用的和最多样的实施例进行描述,但是应当理解本发明不限于所公开的实施例,而是相反,旨在覆盖包括在所附权利要求的精神和范围内的各种修改和等同安排。
本书面描述使用示例来公开本发明,包括最佳模式,并使本领域技术人员能实践本发明,包括做出和使用任何装置或***以及进行任何并入的方法。本发明的可专利范围由权利要求限定,并可包括本领域技术人员想到的其它示例。如果这样的其它示例具有与权利要求的字面语言没有区别的结构元件,或者如果他们包括与权利要求的字面语言没有实质区别的等效结构元件,则他们旨在落在权利要求范围内。
部件列表:
100-***
105-装置
110-装置
115-网格装置
120-管理控制器
125-合适的网络
130-网格网络
135-网格网络控制器
140-处理器
142-存储器装置
144-I/O接口
146-网络接口
148-数据文件
150-操作***
152-检验应用
160-处理器
162-存储器装置
164-网络接口
166-I/O接口
168-数据文件
170-操作***
172-控制应用
200-***
205-装置
210-装置
215-装置
220-装置
225-管理控制器
230-网络
235-网络
240-网络
250-处理器
252-存储器装置
254-I/O接口
256-网络接口
258-数据文件
260-操作***
262-检验应用
300-公用事业应用
305-网络
310-家庭区域网络装置
315-需给电表
320-AMI子***
325-操作子***
330-电厂子***
335-分布式能量子***
340-现场力量子***
345-分布式自动化子***
350-变电站自动化子***
355-企业子***
400-方法
405-框
410-框
415-框
420-框
425-框
430-框
435-框
440-框
445-框
450-框
455-框
460-框
465-框
500-方法
505-框
510-框
515-框
520-框
525-框
530-框
535-框
540-框。
Claims (10)
1.一种装置(205),包括:
至少一个存储器(252),配置为存储计算机可执行指令;以及至少一个处理器(250),配置为访问所述至少一个存储器(252)并执行所述计算机可执行指令以:
识别(520)通信,所述通信包括(i)由所述装置(205)接收的通信或(ii)由所述装置(205)生成的通信中的一个;
识别与所述通信关联的类型;
至少部分基于所述所识别的类型来确定(525)用于所述通信的可接受内容的列表;
至少部分基于所述所确定的列表来分析(530)所述通信的内容;以及
至少部分基于所述分析来确定(535)所述内容是否为可接受的内容。
2.如权利要求1的所述的装置(205),其中所述至少一个处理器(250)配置为通过执行所述计算机可执行指令以进行以下动作来识别与所述通信关联的所述类型:
识别(505)与所述通信关联的通信链路;以及
至少部分基于所述所识别的通信链路来识别所述类型。
3.如权利要求2所述的装置(205),其中所述可接受内容的列表包括与(i)用于所述所识别的通信链路的所建立的标准、(ii)用于装置消息的所建立的标准、或(iii)用于装置消息元数据的所建立的标准中的至少一个关联的白名单。
4.如权利要求3所述的装置(205),其中所述至少一个处理器(250)配置为通过执行所述计算机可执行指令来分析所述内容以确定所述内容是否遵从所述所建立的标准。
5.如权利要求1所述的装置(205),其中所述至少一个处理器(250)配置为通过执行所述计算机可执行指令来分析所述内容以进行所述通信的深度包检验。
6.如权利要求1所述的装置(205),其中确定所述内容是不可接受的内容,以及其中所述至少一个处理器(250)还配置为至少部分基于所述确定来执行所述计算机可执行指令以指示(540)控制动作。
7.如权利要求6所述的装置(205),其中所述通信包括由所述装置(205)接收的通信,以及
其中所述至少一个处理器(250)还配置为执行所述计算机可执行指令以识别所述通信的始发装置作为无效装置。
8.如权利要求6所述的装置(205),其中所述控制动作包括至管理控制器(225)的告警消息的所述通信。
9.如权利要求1所述的装置(205),其中所述通信包括第一通信,以及
其中所述至少一个处理器(250)进一步配置为执行所述计算机可执行指令以:
接收(440)由另一装置(105)输出的告警消息,其中由所述另一装置(105)基于第二通信的分析来生成所述告警消息;以及
分析(445)所述告警消息以识别(450)安全风险。
10.如权利要求1所述的装置(205),其中所述装置(205)包括以下之一:(i)变电站控制装置、(ii)变电站自动化装置、(iii)分布自动化装置、(iv)公用事业现场力量装置、(v)高级计量体系装置、(vi)工业控制装置、或(vii)医学装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/108,342 | 2011-05-16 | ||
| US13/108,342 US8656492B2 (en) | 2011-05-16 | 2011-05-16 | Systems, methods, and apparatus for network intrusion detection |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102868679A true CN102868679A (zh) | 2013-01-09 |
Family
ID=46197010
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012102755882A Pending CN102868679A (zh) | 2011-05-16 | 2012-05-16 | 用于网络入侵检测的***、方法和器件 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8656492B2 (zh) |
| EP (2) | EP2525548A1 (zh) |
| CN (1) | CN102868679A (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9405900B2 (en) * | 2013-03-13 | 2016-08-02 | General Electric Company | Intelligent cyberphysical intrusion detection and prevention systems and methods for industrial control systems |
| CN103716203B (zh) * | 2013-12-21 | 2017-02-08 | 华中科技大学 | 基于本体模型的网络化控制***入侵检测方法及*** |
| EP2908195B1 (de) * | 2014-02-13 | 2017-07-05 | Siemens Aktiengesellschaft | Verfahren zur Überwachung der Sicherheit in einem Automatisierungsnetzwerk sowie Automatisierungsnetzwerk |
| US9935829B1 (en) | 2014-09-24 | 2018-04-03 | Amazon Technologies, Inc. | Scalable packet processing service |
| US9998482B2 (en) | 2015-09-18 | 2018-06-12 | International Business Machines Corporation | Automated network interface attack response |
| CN106295323A (zh) * | 2016-07-27 | 2017-01-04 | 苏盛 | 基于云安全的高级计量体系恶意软件检测方法 |
| IL255561A (en) * | 2017-11-09 | 2018-04-30 | Aspir Oren | A system and method for threat detection |
| CN108810020B (zh) * | 2017-12-08 | 2021-05-18 | 中国科学院信息工程研究所 | 一种空间互联网管控方法及*** |
| US11140020B1 (en) | 2018-03-01 | 2021-10-05 | Amazon Technologies, Inc. | Availability-enhancing gateways for network traffic in virtualized computing environments |
| CN113596064B (zh) * | 2021-09-30 | 2021-12-24 | 成都诺比侃科技有限公司 | 一种安防平台的分析控制方法及*** |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003055148A1 (en) * | 2001-12-21 | 2003-07-03 | Esphion Limited | Method, apparatus and software for network traffic management |
| CN101193068A (zh) * | 2006-11-21 | 2008-06-04 | 华为技术有限公司 | 一种应答请求的方法和设备 |
| CN101355734A (zh) * | 2008-09-11 | 2009-01-28 | 中兴通讯股份有限公司 | 移动终端电视业务网络的数据解析存储***和方法 |
| US20090119743A1 (en) * | 2007-11-07 | 2009-05-07 | Mcafee, Inc. | Method and system for generic real time management of devices on computers connected to a network |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6259911B1 (en) * | 1998-01-06 | 2001-07-10 | Wireless Access | Network operations center hardware and software design |
| US6408391B1 (en) * | 1998-05-06 | 2002-06-18 | Prc Inc. | Dynamic system defense for information warfare |
| US6356950B1 (en) * | 1999-01-11 | 2002-03-12 | Novilit, Inc. | Method for encoding and decoding data according to a protocol specification |
| US6496935B1 (en) * | 2000-03-02 | 2002-12-17 | Check Point Software Technologies Ltd | System, device and method for rapid packet filtering and processing |
| US6959328B1 (en) * | 2000-03-16 | 2005-10-25 | Ipac Acquisition Subsidiary I, Llc | Method and system for improving email traffic using a digital imaging device |
| US6957259B1 (en) * | 2001-06-25 | 2005-10-18 | Bellsouth Intellectual Property Corporation | System and method for regulating emails by maintaining, updating and comparing the profile information for the email source to the target email statistics |
| US20030074578A1 (en) * | 2001-10-16 | 2003-04-17 | Richard Ford | Computer virus containment |
| US7694128B2 (en) * | 2002-03-08 | 2010-04-06 | Mcafee, Inc. | Systems and methods for secure communication delivery |
| US20040049698A1 (en) | 2002-09-06 | 2004-03-11 | Ott Allen Eugene | Computer network security system utilizing dynamic mobile sensor agents |
| US7308703B2 (en) * | 2002-12-18 | 2007-12-11 | Novell, Inc. | Protection of data accessible by a mobile device |
| US7409203B2 (en) * | 2003-11-12 | 2008-08-05 | Redknee Inc. | Method and system for the prevention of unwanted wireless telecommunications |
| KR100628317B1 (ko) * | 2004-12-03 | 2006-09-27 | 한국전자통신연구원 | 네트워크 공격 상황 탐지 장치 및 그 방법 |
| US7830874B2 (en) * | 2006-02-03 | 2010-11-09 | Itron, Inc. | Versatile radio packeting for automatic meter reading systems |
| ES2354632T3 (es) * | 2006-06-03 | 2011-03-16 | B. BRAUN MEDIZINELEKTRONIK GMBH & CO. KG | Dispositivo y procedimiento para la protección de un aparato médico y de un paciente tratado con dicho aparato, contra influencias peligrosas procedentes de una red de comunicaciones. |
| US8024800B2 (en) * | 2006-09-25 | 2011-09-20 | International Business Machines Corporation | File attachment processing method and system |
| DE102007029120B4 (de) * | 2007-06-25 | 2010-06-17 | Siemens Ag | Verfahren zum Betreiben eines drahtlosen, vermaschten Datennetzes mit einer Mehrzahl an Netzknoten |
| US7685246B2 (en) * | 2008-01-24 | 2010-03-23 | International Business Machines Corporation | Control of an instant message system that allows multiple clients with identical credentials |
| US9208318B2 (en) * | 2010-08-20 | 2015-12-08 | Fujitsu Limited | Method and system for device integrity authentication |
| US8826437B2 (en) * | 2010-12-14 | 2014-09-02 | General Electric Company | Intelligent system and method for mitigating cyber attacks in critical systems through controlling latency of messages in a communications network |
-
2011
- 2011-05-16 US US13/108,342 patent/US8656492B2/en not_active Expired - Fee Related
-
2012
- 2012-05-15 EP EP12168055A patent/EP2525548A1/en not_active Withdrawn
- 2012-05-15 EP EP12167977A patent/EP2525546A1/en not_active Withdrawn
- 2012-05-16 CN CN2012102755882A patent/CN102868679A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003055148A1 (en) * | 2001-12-21 | 2003-07-03 | Esphion Limited | Method, apparatus and software for network traffic management |
| CN101193068A (zh) * | 2006-11-21 | 2008-06-04 | 华为技术有限公司 | 一种应答请求的方法和设备 |
| US20090119743A1 (en) * | 2007-11-07 | 2009-05-07 | Mcafee, Inc. | Method and system for generic real time management of devices on computers connected to a network |
| CN101355734A (zh) * | 2008-09-11 | 2009-01-28 | 中兴通讯股份有限公司 | 移动终端电视业务网络的数据解析存储***和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2525546A1 (en) | 2012-11-21 |
| EP2525548A1 (en) | 2012-11-21 |
| US20120297482A1 (en) | 2012-11-22 |
| US8656492B2 (en) | 2014-02-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102868679A (zh) | 用于网络入侵检测的***、方法和器件 | |
| CN102833094A (zh) | 基于监测网络业务的网络入侵检测***、方法和器件 | |
| EP2485533B1 (en) | Systems, methods, and apparatus for identifying invalid nodes within a mesh network | |
| RU2583703C2 (ru) | Обнаружение и анализ злоумышленной атаки | |
| Liu et al. | Optimal D-FACTS placement in moving target defense against false data injection attacks | |
| RU2518178C2 (ru) | Система и способ для управления электроэнергетической системой | |
| Singhal et al. | Anytime anywhere-remote monitoring of attendance system based on RFID using GSM network | |
| Reddy et al. | Communication technologies for interoperable smart microgrids in urban energy community: A broad review of the state of the art, challenges, and research perspectives | |
| EP2525547A1 (en) | Systems, methods, and apparatus for network intrusion detection based on monitoring network traffic | |
| CN107390628B (zh) | 配网状态监测与预警方法及*** | |
| CN103336493A (zh) | 一种能源管理*** | |
| EP2525549A1 (en) | Systems, methods, and apparatus for network intrusion detection | |
| CN107069345A (zh) | 一种家用智能插座***及其控制方法 | |
| CN104581806A (zh) | 一种监测业务***的方法及终端 | |
| Maistriaux et al. | Modeling the carbon footprint of battery-powered iot sensor nodes for environmental-monitoring applications | |
| CN102780592A (zh) | 用于检测电网控制***内的兼容性问题的方法和*** | |
| CN105207367A (zh) | 一种远程电力监控*** | |
| CN107390592A (zh) | 一种企业用电监控信息与手机交互通信*** | |
| CN114034928B (zh) | 基于分布式多点反馈的谐波溯源方法及配电网络分析*** | |
| JP2019121155A (ja) | センサネットワークシステムおよびセンター装置 | |
| CN108345650A (zh) | 电子***业务实时监控预警方法及*** | |
| CN113132153A (zh) | 一种基于边缘计算与Zigbee技术的组网通信方法 | |
| CN113728239A (zh) | 检测配电服务中的能耗欺诈 | |
| Khan et al. | MLA based protocol for monitoring electrical parameters in Smart Gird using WSN | |
| CN107677301B (zh) | 监控设备检测方法与装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130109 |
|
| RJ01 | Rejection of invention patent application after publication |