CN112333023A - 一种基于物联网流量的入侵检测***及其检测方法 - Google Patents
一种基于物联网流量的入侵检测***及其检测方法 Download PDFInfo
- Publication number
- CN112333023A CN112333023A CN202011231137.XA CN202011231137A CN112333023A CN 112333023 A CN112333023 A CN 112333023A CN 202011231137 A CN202011231137 A CN 202011231137A CN 112333023 A CN112333023 A CN 112333023A
- Authority
- CN
- China
- Prior art keywords
- data
- internet
- things
- flow
- deep
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于物联网流量的入侵检测***,其包括基础数据采集模块、物联网协议识别模块、数据流量异常检测模块以及可视化分析模块。本发明还公开了一种基于物联网流量的入侵检测方法,其包括获取物联网数据流的初始数据,确定获取的物联网数据流的协议类型,对物联网数据流的深度包进行异常检测,对物联网数据流的深度流进行异常检测,根据深度包的检测结果和深度流的检测结果判定物联网数据流是否异常等步骤。本发明深入物联网入侵检测***从流量采集到检测的过程,完善物联网下的入侵检测***体系,提高入侵检测效率,提醒安全人员从事事件响应计划,为物联网安全防范提供有力保障。
Description
技术领域
本发明属于物联网安全技术领域,具体是指一种基于物联网流量的入侵检测***及其检测方法。
背景技术
针对物联网的动态性、复杂性、网络及设备异构性,物联网暴露出了越来越多的安全问题,并且针对物联网的大部分入侵行为都是通过网络方式进行渗透的,为了适用于物联网的新场景,不断有新的物联网通信协议出现,但是目前还没有一款专门针对物联网协议的数据流量的入侵检测***。为了保障物联网设备的安全运行,数据的安全存储,对于物联网协议的数据包检测安全研究刻不容缓。
发明内容
本发明的目的在于解决上述问题,提供一种以物联网应用环境下的数据流量为主要检测对象,通过对物联网环境中的数据流量进行网络环境安全性检测,及时发现安全问题,实现数据包流量检测的入侵检测***及其检测方法。
本发明的目的通过下述技术方案实现:一种基于物联网流量的入侵检测***,包括:
基础数据采集模块,用于采集物联网环境下的网络数据流量,并生成数据流的初始数据;
物联网协议识别模块,用于识别数据流的协议类别;
数据流量异常检测模块,用于检测数据流量是否异常;
可视化分析模块,用于呈现数据流量的检测结果信息。
进一步的,所述基础数据采集模块包括:
接口模块,用于连接物联网设备;
数据流量采集模块,用于实时或在离线状态下采集物联网环境下的网络数据流量;
数据流量缓存模块,用于缓存采集的网络数据流量;
数据流量重组模块,用于对网络数据流量进行会话流重组,生成数据流的初始数据。
所述物联网协议识别模块包括:
协议特征提取模块,用于提取数据流的特征信息,包括数据流初始数据的端口信息、报头内容信息、单包协议语义信息;
协议特征知识库,用于存储物联网协议数据资源;
协议特征匹配模块,用于将提取的数据流特征信息与存储的物联网协议数据资源进行匹配,得到所采集的数据流的协议类别。
所述数据流量异常检测模块包括:
深度包/深度流特征提取模块,用于提取数据流量中深度包的特征和数据流量中深度流的特征;
深度包异常检测规则库,用于存储物联网数据流量异常规则数据,并将提取的深度包特征与存储的物联网数据流量异常规则数据进行规范检测,输出深度包检测结果;
深度流分类器,用于将提取的深度流特征与设定的正常阈值进行比对,检测深度流是否异常,并输出深度流检测结果;
流量异常判定模块,用于根据深度包检测结果和深度流检测结果判定数据流量是否异常。
一种基于物联网流量的入侵检测方法,包括以下步骤:
步骤1:获取物联网数据流的初始数据;
步骤2:确定获取的物联网数据流的协议类型;
步骤3:对物联网数据流的深度包进行异常检测;
步骤4:对物联网数据流的深度流进行异常检测;
步骤5:根据深度包的检测结果和深度流的检测结果判定物联网数据流是否异常;是,则判定物联网设备存在入侵风险,否,判定物联网设备不存在入侵风险。
进一步的,所述步骤1中获取物联网数据流的初始数据包括以下步骤:
A、从物联网链路层或运行在物联网环境下的设备中获取物联网数据流量包,并将流量包保存在缓冲区上;
B、对物联网数据流量进行会话流重组,得到数据流初始数据。
所述步骤2中确定获取的物联网数据流的协议类型包括以下步骤:
a、提取数据流初始数据的特征信息;其中,提取数据流初始数据的特征信息包括:初始数据的端口信息、报头内容信息以及单包协议语义信息;
b、将提取的数据流初始数据的特征信息与存储的物联网协议数据资源进行匹配,确定获取的物联网数据流的协议类型。
所述步骤3中对物联网数据流的深度包进行异常检测包括以下步骤:
Ⅰ、提取数据流量中深度包的特征;其中,提取的数据流量中深度包特征包括:数据包的大小、类型、长度、载荷中包含的可疑信息、数据包头;
Ⅱ、将提取的深度包的各项特征与存储的物联网数据流量异常规则数据进行规范检测,检测深度包的各项特征是否异常,当深度包中任意一项特征出现异常时,则判定该深度包出现异常,输出深度包检测结果。
所述步骤4中对物联网数据流的深度流进行异常检测包括以下步骤:
一、提取数据流量中深度流的特征;其中,提取的数据流量中深度流特征包括:大小链向量、获取的数据流中包的总个数、数据流中数据包的总大小、时间链向量、数据流的持续时间、方向链向量、同方向数据流深度中包的均方差、同方向数据流深度中时间的均方差、同方向数据流深度中包的总和;
二、将提取的数据流量中深度流的各项特征与设定的各项正常阈值进行比对,检测各项特征是否异常,当深度流中任意一项特征出现异常时,则判定该深度流出现异常,输出深度流检测结果。
所述步骤5中当深度包和深度流任意一项出现异常或二者均出现异常时,判定采集的物联网数据流出现异常。
本发明与现有技术相比,具有以下优点及有益效果:
(1)本发明设计并构建了一个基础数据采集模块,当超大流量来袭时,在普通检测***不响应服务、甚至崩溃的情况下,本发明可以进行分布式部署,将数据导入成镜像流量进行切割再交予***进行分析;本发明结合物联网协议模式,提出一种具有行为监控的物联网检测框架,通过对安全事件、安全标准、安全漏洞交叉融合的研究,从数据包规范检测、数据包载荷检测等多个维度联动实现物联网数据包检测。
(2)本发明设计并构建了一个基于物联网数据包的逆向分析机制的异常检测模块,提高对物联网流量的检测准确度及可靠性。其从数据包规范检测、数据包载荷检测、数据流的大小、行为等多个维度联动实现流量的检测,以提高入侵检测的检测率。
(3)本发明以物联网应用环境下的数据流量为主要检测对象,研究物联网通信协议的产生和传输过程,在交通、能源等多行业中物联网感知层的大量节点均通过网关、路由器或交换机等信息基础设施与中心控制平台进行通信,因此在不影响业务的同时,对物联网网关、路由器或交换机等信息基础设施进行数据采集,并传送给物联网协议识别模块,通过综合的物联网协议库识别,确定物联网协议。物联网数据流量异常检测模块结合浓度包与浓度流两检测模式,挖掘特征字符串、特征端口、特征语义、流间隔、流大小以及流持续时间等,输出检测结果将数据呈现在可视化分析模块中。通过对物联网环境中的数据流量进行网络环境安全性检测,及时发现安全问题,实现数据包流量检测。
附图说明
图1为本发明的基于物联网流量的入侵检测***的结构框图。
图2为本发明的基础数据采集模块的结构框图。
图3为本发明的物联网协议识别模块的结构框图。
图4为本发明的数据流量异常检测模块的结构框图。
图5为本发明的基于物联网流量的入侵检测方法的流程图。
图6为本发明获取物联网数据流的初始数据的方法流程图。
图7为本发明确定获取的物联网数据流的协议类型的方法流程图。
图8为本发明对物联网数据流的深度包进行异常检测的方法流程图。
图9为本发明对物联网数据流的深度流进行异常检测的方法流程图。
图10为本发明物联网数据包异常检测可视化流程图。
具体实施方式
下面结合实施例对本发明作进一步的详细说明,但本发明的实施方式不限于此。
实施例1
如图1所示,本发明的基于物联网流量的入侵检测***,其包括基础数据采集模块,与基础数据采集模块连接的物联网协议识别模块,与物联网协议识别模块连接的数据流量异常检测模块,以及与数据流量异常检测模块连接的可视化分析模块。
具体的,该基础数据采集模块运行或挂载在物联网第三方设备中,其用于采集物联网环境下的网络数据流量,并生成数据流的初始数据,同时将初始数据传送给物联网协议识别模块;即该基础数据采集模块可在物联网链路层上面对流经网卡的数据包进行实时捕捉,也可以从运行在物联网环境下的设备中导出待处理的物联网数据包,此时普通流量直接导入物联网协议识别模块中,超大流量则进行切割分离后导入物联网协议识别模块中。
该基础数据采集模块包括接口模块、数据流量采集模块、数据流量缓存模块以及数据流量重组模块四个部分。其中,数据流量采集模块与接口模块连接,数据流量缓存模块与数据流量采集模块连接,数据流量重组模块则与数据流量缓存模块连接,如图2所示。
具体的,该接口模块连接在路由器、网关或交换机等物联网设备上,其可以是路由器接口、网关接口或交换机接口等。
数据流量采集模块则用于实时的在物联网链路层上面对流经的数据包进行捕捉;同时其也可以从运行在物联网环境下的设备中导出待处理的物联网数据包,当数据包为超大流量则进行切割分离,采集到的网络数据流量则传送给数据流量缓存模块。
数据流量缓存模块用于缓存采集的网络数据流量。数据流量重组模块用于对网络数据流量进行会话流重组,使其生成数据流的初始数据,并将初始数据传送给物联网协议识别模块。
该物联网协议识别模块用于识别数据流的协议类别,如图3所示,其包括协议特征提取模块,与协议特征提取模块连接的协议特征匹配模块,以及与协议特征匹配模块连接的协议特征知识库。
具体的,该协议特征提取模块用于提取基础数据采集模块传送过来的数据流的特征信息;其中,提取的特征信息包括数据流初始数据的端口信息、报头内容信息、单包协议语义信息等。
协议特征知识库用于存储物联网协议数据资源。协议特征匹配模块用于将协议特征提取模块提取的数据流特征信息与协议特征知识库中存储的物联网协议数据资源进行匹配,识别出所采集的数据流的协议类别。该协议特征知识库复用全世界关于物联网协议相关的数据资源,以提取物联网协议的关键特征;因此,该协议特征匹配模块能够在协议特征知识库中找到并识别出所采集的数据流的协议类别。
数据流量异常检测模块,用于检测数据流量是否异常。具体的,如图4所示,该数据流量异常检测模块包括深度包/深度流特征提取模块,分别与深度包/深度流特征提取模块连接的深度包异常检测规则库和深度流分类器,同时与深度包异常检测规则库和深度流分类器连接的流量异常判定模块。
深度包/深度流特征提取模块用于提取采集到的数据流量中深度包的特征和数据流量中深度流的特征。其中,提取的数据流量中深度包的特征包括数据包的大小、类型、长度、载荷中包含的可疑信息以及数据包头信息等;数据流量中深度流的特征则包括:大小链向量、获取的数据流中包的总个数、数据流中数据包的总大小、时间链向量、数据流的持续时间、方向链向量、同方向数据流深度中包的均方差、同方向数据流深度中时间的均方差、同方向数据流深度中包的总和。深度包/深度流特征提取模块提取的深度包特征发送给深度包异常检测规则库,其提取的深度流特征则发送给深度流分类器。
深度包异常检测规则库用于存储物联网数据流量异常规则数据,并将深度包/深度流特征提取模块提取的深度包特征与其存储的物联网数据流量异常规则数据进行规范检测,判定深度包是否异常,并输出深度包检测结果给流量异常判定模块。
深度流分类器用于将提取的深度流的各项特征与设定的各项正常阈值进行比对,检测深度流是否异常,并输出深度流检测结果给流量异常判定模块。
流量异常判定模块则根据深度包异常检测规则库传送的深度包检测结果和深度流分类器传送的深度流检测结果,判定采集到的数据流量是否异常,同时把判定信息传送给可视化分析模块。
可视化分析模块接收到流量异常判定模块传送的信息后,提取检测结果的会话数据,并生成检测报告,以呈现数据流量的检测结果信息;同时,可在可视化分析模块的安全界面中监视、管理和保护物联网设备,并且实现对设备远程管理。
实施例2
本实施例是采用实施例1中的基于物联网流量的入侵检测***的检测方法,如图5所示,其具体包括以下步骤:
步骤1:基础数据采集模块获取物联网数据流的初始数据。如图6所示,该基础数据采集模块获取物联网数据流的初始数据包括以下步骤:
A、该基础数据采集模块通过其上的接口模块连接在路由器、网关或交换机上,启动该基础数据采集模块时,基础数据采集模块上的数据流量采集模块则从物联网链路层或运行在物联网环境下的设备中获取物联网数据流量包,并将流量包保存在数据流量缓存模块中。当从运行在物联网环境下的设备中获取物联网数据流量包为超大流量时,可对流量包进行切割分离后保存在数据流量缓存模块中。
B、数据流量重组模块对采集到的物联网数据流量进行会话流重组,得到数据流初始数据。
步骤2:物联网协议识别模块确定步骤1中生成的物联网数据流的协议类型。如图7所示,其具体步骤如下:
a、协议特征提取模块提取数据流初始数据的特征信息。其中,提取数据流初始数据的特征信息包括:初始数据的端口信息、报头内容信息以及单包协议语义信息。
b、协议特征匹配模块将提取的数据流初始数据的特征信息与存储在协议特征知识库里的物联网协议数据资源进行匹配,确定获取的物联网数据流的协议类型。
步骤3:数据流量异常检测模块对物联网数据流的深度包进行异常检测。如图8所示,其具体检测步骤如下:
Ⅰ、深度包/深度流特征提取模块提取数据流量中深度包的特征,并传送给深度包异常检测规则库。其中,提取的数据流量中深度包特征包括:数据包的大小、类型、长度、载荷中包含的可疑信息、数据包头。
Ⅱ、深度包异常检测规则库通过逐包分析、模式匹配的方式,结合物联网数据流的协议类型,将提取的深度包的各项特征与其存储的各项物联网数据流量异常规则数据进行规范检测,当提取的特征与存储的物联网数据流量异常规则数据不符时,则说明该特征出现异常。当深度包中任意一项特征出现异常时,则判定该深度包出现异常,输出深度包的检测结果。
步骤4:数据流量异常检测模块对物联网数据流的深度流进行异常检测。如图9所示,其具体检测步骤如下:
一、深度包/深度流特征提取模块提取数据流量中深度流的特征,并传送给深度流分类器。其中,提取的数据流量中深度流特征包括:大小链向量、获取的数据流中包的总个数、数据流中数据包的总大小、时间链向量、数据流的持续时间、方向链向量、同方向数据流深度中包的均方差、同方向数据流深度中时间的均方差、同方向数据流深度中包的总和。
二、深度流分类器将提取的数据流量中深度流的各项特征与设定的各项正常特征参数阈值进行比对,当提取的某一项特征超过设定的正常特征参数阈值时,说明该项特征出现异常。当深度流中任意一项特征出现异常时,则判定该深度流再现异常,输出深度流的检测结果。
步骤5:流量异常判定模块根据深度包的检测结果和深度流的检测结果判定物联网数据流是否异常;是,则判定物联网设备存在入侵风险,否,判定物联网设备不存在入侵风险。具体的,当深度包和深度流任意一项出现异常或二者均出现异常时,判定采集的物联网数据流出现异常。
另外,如图10所示,步骤5之后还可以通过可视化分析模块呈现出数据流异常位置、异常内容等信息,并生成检测报告,便于工作人员查阅及后续处理。
如上所述,便可很好的实现本发明。
Claims (10)
1.一种基于物联网流量的入侵检测***,其特征在于,包括:
基础数据采集模块,用于采集物联网环境下的网络数据流量,并生成数据流的初始数据;
物联网协议识别模块,用于识别数据流的协议类别;
数据流量异常检测模块,用于检测数据流量是否异常;
可视化分析模块,用于呈现数据流量的检测结果信息。
2.根据权利要求1所述的一种基于物联网流量的入侵检测***,其特征在于,所述基础数据采集模块包括:
接口模块,用于连接物联网设备;
数据流量采集模块,用于实时或在离线状态下采集物联网环境下的网络数据流量;
数据流量缓存模块,用于缓存采集的网络数据流量;
数据流量重组模块,用于对网络数据流量进行会话流重组,生成数据流的初始数据。
3.根据权利要求1所述的一种基于物联网流量的入侵检测***,其特征在于,所述物联网协议识别模块包括:
协议特征提取模块,用于提取数据流的特征信息,包括数据流初始数据的端口信息、报头内容信息、单包协议语义信息;
协议特征知识库,用于存储物联网协议数据资源;
协议特征匹配模块,用于将提取的数据流特征信息与存储的物联网协议数据资源进行匹配,得到所采集的数据流的协议类别。
4.根据权利要求1所述的一种基于物联网流量的入侵检测***,其特征在于,所述数据流量异常检测模块包括:
深度包/深度流特征提取模块,用于提取数据流量中深度包的特征和数据流量中深度流的特征;
深度包异常检测规则库,用于存储物联网数据流量异常规则数据,并将提取的深度包特征与存储的物联网数据流量异常规则数据进行规范检测,输出深度包检测结果;
深度流分类器,用于将提取的深度流特征与设定的正常阈值进行比对,检测深度流是否异常,并输出深度流检测结果;
流量异常判定模块,用于根据深度包检测结果和深度流检测结果判定数据流量是否异常。
5.一种基于物联网流量的入侵检测方法,其特征在于,包括以下步骤:
步骤1:获取物联网数据流的初始数据;
步骤2:确定获取的物联网数据流的协议类型;
步骤3:对物联网数据流的深度包进行异常检测;
步骤4:对物联网数据流的深度流进行异常检测;
步骤5:根据深度包的检测结果和深度流的检测结果判定物联网数据流是否异常;是,则判定物联网设备存在入侵风险,否,判定物联网设备不存在入侵风险。
6.根据权利要求5所述的一种基于物联网流量的入侵检测方法,其特征在于,所述步骤1中获取物联网数据流的初始数据包括以下步骤:
A、从物联网链路层或运行在物联网环境下的设备中获取物联网数据流量包,并将流量包保存在缓冲区上;
B、对物联网数据流量进行会话流重组,得到数据流初始数据。
7.根据权利要求5所述的一种基于物联网流量的入侵检测方法,其特征在于,所述步骤2中确定获取的物联网数据流的协议类型包括以下步骤:
a、提取数据流初始数据的特征信息;其中,提取数据流初始数据的特征信息包括:初始数据的端口信息、报头内容信息以及单包协议语义信息;
b、将提取的数据流初始数据的特征信息与存储的物联网协议数据资源进行匹配,确定获取的物联网数据流的协议类型。
8.根据权利要求5所述的一种基于物联网流量的入侵检测方法,其特征在于,所述步骤3中对物联网数据流的深度包进行异常检测包括以下步骤:
Ⅰ、提取数据流量中深度包的特征;其中,提取的数据流量中深度包特征包括:数据包的大小、类型、长度、载荷中包含的可疑信息、数据包头;
Ⅱ、将提取的深度包的各项特征与存储的物联网数据流量异常规则数据进行规范检测,检测深度包的各项特征是否异常,当深度包中任意一项特征出现异常时,则判定该深度包出现异常,输出深度包检测结果。
9.根据权利要求5所述的一种基于物联网流量的入侵检测方法,其特征在于,所述步骤4中对物联网数据流的深度流进行异常检测包括以下步骤:
一、提取数据流量中深度流的特征;其中,提取的数据流量中深度流特征包括:大小链向量、获取的数据流中包的总个数、数据流中数据包的总大小、时间链向量、数据流的持续时间、方向链向量、同方向数据流深度中包的均方差、同方向数据流深度中时间的均方差、同方向数据流深度中包的总和;
二、将提取的数据流量中深度流的各项特征与设定的各项正常阈值进行比对,检测各项特征是否异常,当深度流中任意一项特征出现异常时,则判定该深度流出现异常,输出深度流检测结果。
10.根据权利要求5所述的一种基于物联网流量的入侵检测方法,其特征在于,所述步骤5中当深度包和深度流任意一项出现异常或二者均出现异常时,判定采集的物联网数据流出现异常。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011231137.XA CN112333023A (zh) | 2020-11-06 | 2020-11-06 | 一种基于物联网流量的入侵检测***及其检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011231137.XA CN112333023A (zh) | 2020-11-06 | 2020-11-06 | 一种基于物联网流量的入侵检测***及其检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112333023A true CN112333023A (zh) | 2021-02-05 |
Family
ID=74316496
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011231137.XA Pending CN112333023A (zh) | 2020-11-06 | 2020-11-06 | 一种基于物联网流量的入侵检测***及其检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112333023A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113904812A (zh) * | 2021-09-18 | 2022-01-07 | 中标慧安信息技术股份有限公司 | 一种基于孤立森林的物联网入侵检测方法 |
CN113949589A (zh) * | 2021-12-20 | 2022-01-18 | 四川师范大学 | 一种网络流量的马尔科夫图像表征方法 |
CN114374530A (zh) * | 2021-11-25 | 2022-04-19 | 江苏开博科技有限公司 | 基于实时网络流量进行监测分析的ids***和检测方法 |
CN115134306A (zh) * | 2022-09-01 | 2022-09-30 | 杭州安恒信息技术股份有限公司 | 一种物联网终端的数据流量检测方法、装置、设备及介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100138920A1 (en) * | 2008-12-03 | 2010-06-03 | Electronics And Telecommunications Research Institute | Method and system for detecting and responding to harmful traffic |
CN101997700A (zh) * | 2009-08-11 | 2011-03-30 | 上海大学 | 基于深度包检测和深度流检测技术的IPv6监测设备 |
CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | ***通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和*** |
CN102833263A (zh) * | 2012-09-07 | 2012-12-19 | 北京神州绿盟信息安全科技股份有限公司 | 入侵检测和防护的方法及设备 |
CN109995740A (zh) * | 2018-01-02 | 2019-07-09 | 国家电网公司 | 基于深度协议分析的威胁检测方法 |
-
2020
- 2020-11-06 CN CN202011231137.XA patent/CN112333023A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100138920A1 (en) * | 2008-12-03 | 2010-06-03 | Electronics And Telecommunications Research Institute | Method and system for detecting and responding to harmful traffic |
CN101997700A (zh) * | 2009-08-11 | 2011-03-30 | 上海大学 | 基于深度包检测和深度流检测技术的IPv6监测设备 |
CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | ***通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和*** |
CN102833263A (zh) * | 2012-09-07 | 2012-12-19 | 北京神州绿盟信息安全科技股份有限公司 | 入侵检测和防护的方法及设备 |
CN109995740A (zh) * | 2018-01-02 | 2019-07-09 | 国家电网公司 | 基于深度协议分析的威胁检测方法 |
Non-Patent Citations (2)
Title |
---|
李焕洲等: "在网络信息***安全平台中增加入侵检测功能", 《四川师范大学学报》 * |
苏春: "DPI技术的研究与设计实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113904812A (zh) * | 2021-09-18 | 2022-01-07 | 中标慧安信息技术股份有限公司 | 一种基于孤立森林的物联网入侵检测方法 |
CN114374530A (zh) * | 2021-11-25 | 2022-04-19 | 江苏开博科技有限公司 | 基于实时网络流量进行监测分析的ids***和检测方法 |
CN113949589A (zh) * | 2021-12-20 | 2022-01-18 | 四川师范大学 | 一种网络流量的马尔科夫图像表征方法 |
CN115134306A (zh) * | 2022-09-01 | 2022-09-30 | 杭州安恒信息技术股份有限公司 | 一种物联网终端的数据流量检测方法、装置、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112333023A (zh) | 一种基于物联网流量的入侵检测***及其检测方法 | |
CN104937886B (zh) | 日志分析装置、信息处理方法 | |
CN107040517B (zh) | 一种面向云计算环境的认知入侵检测方法 | |
CN111277587A (zh) | 基于行为分析的恶意加密流量检测方法及*** | |
US8065722B2 (en) | Semantically-aware network intrusion signature generator | |
CN109995740A (zh) | 基于深度协议分析的威胁检测方法 | |
US8903749B2 (en) | Method of identifying a protocol giving rise to a data flow | |
CN110430191A (zh) | 调度数据网中基于协议识别的安全预警方法及装置 | |
CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
CN106953833A (zh) | 一种DDoS攻击检测*** | |
CN101364981A (zh) | 基于因特网协议版本6的混合式入侵检测方法 | |
CN112953971A (zh) | 一种网络安全流量入侵检测方法和*** | |
CN112491849B (zh) | 一种基于流量特征的电力终端漏洞攻击防护方法 | |
CN113079150A (zh) | 一种电力终端设备入侵检测方法 | |
CN110266680B (zh) | 一种基于双重相似性度量的工业通信异常检测方法 | |
CN117336055A (zh) | 一种网络异常行为检测方法、装置、电子设备及存储介质 | |
CN112153020A (zh) | 一种工控流量分析方法及装置 | |
CN113259367B (zh) | 工控网络流量多级异常检测方法及装置 | |
CN113721569A (zh) | 一种分散控制***攻击入侵检测装置及其方法 | |
CN112055007B (zh) | 一种基于可编程节点的软硬件结合威胁态势感知方法 | |
KR20170081543A (ko) | 상황 정보 기반 이상징후 탐지 장치 및 방법 | |
CN117560196A (zh) | 一种智慧变电站二次***测试***及方法 | |
US20150150132A1 (en) | Intrusion detection system false positive detection apparatus and method | |
EP3576365B1 (en) | Data processing device and method | |
CN115801441A (zh) | 一种列车通信网络的安全防护***及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210205 |