CN113596064B - 一种安防平台的分析控制方法及*** - Google Patents

一种安防平台的分析控制方法及*** Download PDF

Info

Publication number
CN113596064B
CN113596064B CN202111155873.6A CN202111155873A CN113596064B CN 113596064 B CN113596064 B CN 113596064B CN 202111155873 A CN202111155873 A CN 202111155873A CN 113596064 B CN113596064 B CN 113596064B
Authority
CN
China
Prior art keywords
monitoring
security
data
monitoring device
verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111155873.6A
Other languages
English (en)
Other versions
CN113596064A (zh
Inventor
苏茂才
林仁辉
唐泰可
廖峪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nobicam Artificial Intelligence Technology Chengdu Co ltd
Original Assignee
Chengdu Nuobikan Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Nuobikan Technology Co ltd filed Critical Chengdu Nuobikan Technology Co ltd
Priority to CN202111155873.6A priority Critical patent/CN113596064B/zh
Publication of CN113596064A publication Critical patent/CN113596064A/zh
Application granted granted Critical
Publication of CN113596064B publication Critical patent/CN113596064B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Alarm Systems (AREA)

Abstract

本发明公开了一种安防平台的分析控制方法及***,包括以下步骤:步骤S1、给安防平台的每个监测装置所监测到的安防数据上附加时序属性和坐标属性;步骤S2、安防平台的控制***接收每个监测装置的安防数据并对安防数据进行定期的触发监听;步骤S3,定位到安防平台中被入侵的监测装置以及监测装置的被入侵时序,对被入侵的监测装置在被入侵时序处进行定向安防加强。本发明利用定期的触发监听识别出入侵数据,可在定期监听中加入触发监听,定期监听可实现对伪装成与入侵时序前的安防场景一致的入侵行为的识别,触发监听可实现对伪装成自定义的安防场景的入侵行为的识别,从而实现对具有伪装的入侵行为的识别,安防识别精度高,时效性强。

Description

一种安防平台的分析控制方法及***
技术领域
本发明涉及安防技术领域,具体涉及一种安防平台的分析控制方法及***。
背景技术
传统信息安全防御体系包括:防火墙、UTM、IPS、IDS、漏洞扫描***、防病毒***、终端管理***、WAF、DB-AUDIT以及安全监控平台等,从网络结构分层方面看,产品体系已经健全,然而,在实际功能方面,不足之处也比较明显,主要表现在以下方面:缺乏对海量多维度的监测装置进行有效的融合关联分析,无法产生协同效应;不能使这些安全监测数据成为上层安全决策的有效资源。
这些传统的安全防御设施大多数都通过分析网络七层中安全设备的日志对已经发生的攻击行为进行分析和监测,难以识别具有伪装的入侵,导致安防精度和时效性均较低。
发明内容
本发明的目的在于提供一种安防平台的分析控制方法及***,以解决现有技术中安全防御设施大多数都通过分析网络七层中安全设备的日志对已经发生的攻击行为进行分析和监测,难以识别具有伪装的入侵,导致安防精度和时效性均较低的技术问题。
为解决上述技术问题,本发明具体提供下述技术方案:
一种安防平台的分析控制方法,包括以下步骤:
步骤S1、给安防平台的每个监测装置所监测到的安防数据上附加时序属性和坐标属性,所述安防数据用于表征安防平台中监测装置的监测状态,所述安防数据附加的时序属性包括监测装置监测得到安防数据的时序,所述安防数据附加的坐标属性包括所述监测装置的坐标;
所述安防数据添加了时序属性和坐标属性后表征为
Figure 317843DEST_PATH_IMAGE001
,其中,
Figure 516743DEST_PATH_IMAGE002
表征为坐标
Figure 388884DEST_PATH_IMAGE003
处的监测装置在时序
Figure 913406DEST_PATH_IMAGE004
时监测得到的安防数据,i表征为时序计量常数,j表征为监测装置的计量常数,n表征为监测装置的总数目;
步骤S2、安防平台的控制***接收每个监测装置的安防数据并对安防数据进行定期的触发监听,以实现从安防数据中识别出入侵数据,所述定期的触发监听用于对所述安防数据进行周期式校正和实时式校正并存的校验方法,所述入侵数据表征为静态伪装成安防数据以及动态伪装成安防数据的数据;
步骤S3,基于入侵数据的坐标属性以及时序属性定位到安防平台中被入侵的监测装置以及监测装置的被入侵时序,对被入侵的监测装置在被入侵时序处进行定向安防加强,以实现对安防平台中薄弱的监测装置的挖掘和修复。
作为本发明的一种优选方案,所述步骤S2中, 所述安防数据的监听方法包括:
所述安防平台的控制***通过自定义编码规则生成用于周期式校正和实时式校正的验证监测数据,并将所述验证监测数据发送至监测装置的数据监测端供监测装置进行验证监测;
其中,所述自定义编码规则是生成一组与安防数据差异度大的随机数向量作为验证监测数据,所述随机数向量数据量与数据检测端的传输通道呈满容量匹配,以使得验证监测时监测装置仅能接收验证监测数据。
作为本发明的一种优选方案,所述步骤S2中,所述周期式校正识别入侵数据的方法包括:
步骤S201、设置定期监听时钟k,其中,
Figure 730053DEST_PATH_IMAGE005
,M为定期监听时钟k的计量周期;
步骤S202、将所述定期监听时钟k初始化为1;
步骤S203、利用所述坐标
Figure 998223DEST_PATH_IMAGE006
处的监测装置监测得到所述安防数据
Figure 724871DEST_PATH_IMAGE007
,并对所述定期监听时钟k进行自加1处理,以及对所述时序计量常数i进行自加1处理;
步骤S204、当K=M时,所述坐标
Figure 154715DEST_PATH_IMAGE006
处的监测装置进行验证监测,并在验证监测完成后转至步骤S202;当K<M时,转至步骤S203,以用于在安防数据中校验出静态伪装成安防数据的入侵数据。
作为本发明的一种优选方案,在所述步骤S203中执行实时式校验,所述实时式检验识别入侵数据的方法包括:
将所述坐标
Figure 724237DEST_PATH_IMAGE006
处的监测装置在时序
Figure 530519DEST_PATH_IMAGE008
处监测得到所述安防数据
Figure 111673DEST_PATH_IMAGE009
与在时序
Figure 977997DEST_PATH_IMAGE010
处监测得到所述安防数据
Figure 769236DEST_PATH_IMAGE007
进行监听相似度计算,以判定安防数据的静动态特征,其中,
若所述监听相似度高于监听相似度阈值时,则安防数据呈静态特征,所述静态特征表征为坐标
Figure 379209DEST_PATH_IMAGE006
处的监测装置的监测状态呈静态;
若所述监听相似度低于监听相似度阈值时,则安防数据呈动态特征,所述动态特征表征为坐标
Figure 80449DEST_PATH_IMAGE006
处的监测装置的监测状态呈动态,以用于在安防数据中校验出动态伪装成安防数据的入侵数据;
在所述监听相似度低于相似度阈值时,所述坐标
Figure 852095DEST_PATH_IMAGE006
处的监测装置进行验证监测。
作为本发明的一种优选方案,所述验证监测的方法包括:
所述监测装置监测验证监测数据,并为验证监测数据附加时序属性和坐标属性,并同步传输至所述控制***;
所述控制***将接收到的数据作为待核实的安防数据与所述验证监测数据进行验证相似度计算,以判定监测装置被入侵与否,其中,
若验证相似度小于所述验证相似度阈值,则将待核实的安防数据标定为入侵数据,再根据入侵数据的坐标属性和时序属性定位至安防平台中被入侵的监测装置以及监测装置的被入侵时序,将被入侵的监测装置赋予薄弱标签;
若验证相似度大于所述验证相似度阈值,则将待核实的安防数据标定为常规的安防数据。
作为本发明的一种优选方案,所述步骤S2中还包括对所述验证监测的复核以避免入侵误判:
获取所述安防平台的所有监测装置的工况参数,并基于所述工况参数对所述监测装置进行分类成簇得到多组监测装置簇;
将每组监测装置簇中包含的不具有薄弱标签的监测装置的安防数据与具有薄弱标签的检测装置的安防数据进行误判相似度计算,其中,
若误判相似度低于误判相似度阈值,则误判相似度对应的不具有薄弱标签的监测装置保持原状;
若误判相似度高于误判相似度阈值,则为误判相似度对应的不具有薄弱标签的监测装置赋予薄弱标签,实现监听失效导致的入侵误判。
作为本发明的一种优选方案,所述步骤S3中,安防加强的方法包括:
为每组监测装置簇唯一标定安防薄弱因素,其中,位于同一组入侵簇中的所有监测装置具有相同的安防薄弱因素;
以监测装置簇为单位进行安防加强方案的制定,并将监测装置簇的安防加强方案统一应用到监测装置簇内部包含的所有监测装置处进行定向的安防加强。
作为本发明的一种优选方案,所述监听相似度、验证相似度和误判相似度均利用欧式距离进行衡量。
作为本发明的一种优选方案,本发明提供了一种根据所述的安防平台的分析控制方法的安防***,包括:
监测装置,用于监测得到安防数据;
验证监测数据生成模块,用于随机生成验证监测数据;
数据分析模块,用于对安防数据进行分析挖掘出薄弱监测装置;
安防加强模块,用于制定安防加强方案并应用至监测装置处进行定向安防加强。
作为本发明的一种优选方案,所述监测装置、验证监测数据生成模块、数据分析模块以及安防加强模块通过网络通信协议进行数据的通信交互。
本发明与现有技术相比较具有如下有益效果:
本发明利用定期的触发监听识别出入侵数据,可在定期监听中加入触发监听,定期监听可实现对伪装成与入侵时序前的安防场景一致的入侵行为的识别,触发监听可实现对伪装成自定义的安防场景的入侵行为的识别,从而实现对具有伪装的入侵行为的识别,安防识别精度高,时效性强。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
图1为本发明实施例提供的安防平台的分析控制方法流程图;
图2为本发明实施例提供的安防***结构框图。
图中的标号分别表示如下:
1-监测装置;2-验证监测数据验证监测数据生成模块;3-数据分析模块;4-安防加强模块。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,对安防平台的入侵攻击通常发生在安防平台的监测装置处,导致监测装置失去正常的监测状态,即将入侵数据伪装成监测装置监测到的安防数据起到切断监测装置的入侵监测作用,入侵行为原则上会导致原有的安防数据变化,因此本来只需要对安防数据出现变化的部分进行分析,就可以判定出入侵行为的发生与否,而入侵伪装则是一种利用薄弱的监测装置进行入侵数据的伪装,使得安防接收到的入侵数据一直维持在入侵前的一个安防数据上,是一种对入侵数据的静态伪装,相较于静态伪装入侵数据一直维持在一个安防数据上会提高被发现的几率,因此将安防接收到的入侵数据呈现一个变动模式,更符合实际动态安防场景,实现了一种对入侵数据的动态伪装,因此本发明提供了一种安防平台的分析控制方法,用于对伪装的入侵数据进行识别得出入侵点和入侵时序,并进行定向修复。
本发明提供了一种安防平台的分析控制方法,包括以下步骤:
步骤S1、给安防平台的每个监测装置所监测到的安防数据上附加时序属性和坐标属性,安防数据用于表征安防平台中监测装置的监测状态,安防数据附加的时序属性包括监测装置监测得到安防数据的时序,安防数据附加的坐标属性包括监测装置的坐标;
安防数据添加了时序属性和坐标属性后表征为
Figure 661789DEST_PATH_IMAGE011
,其中,
Figure 544294DEST_PATH_IMAGE012
表征为坐标
Figure 100040DEST_PATH_IMAGE006
处的监测装置在时序
Figure 42588DEST_PATH_IMAGE010
时监测得到的安防数据,i表征为时序计量常数,j表征为监测装置的计量常数,n表征为监测装置的总数目。
步骤S2、安防平台的控制***接收每个监测装置的安防数据并对安防数据进行定期的触发监听,以实现从安防数据中识别出入侵数据,定期的触发监听用于对安防数据进行周期式校正和实时式校正并存的校验方法,入侵数据表征为静态伪装成安防数据以及动态伪装成安防数据的数据。
步骤S2中, 安防数据的监听方法包括:
安防平台的控制***通过自定义编码规则生成用于周期式校正和实时式校正的验证监测数据,并将验证监测数据发送至监测装置的数据监测端供监测装置进行验证监测;
其中,自定义编码规则是生成一组与安防数据差异度大的随机数向量作为验证监测数据,随机数向量数据量与数据检测端的传输通道呈满容量匹配,即在验证监测时随机数向量会完全占用监测装置数据检测端的传输通道,以使得验证监测时监测装置仅能接收验证监测数据。
步骤S2中,周期式校正识别入侵数据的方法包括:
步骤S201、设置定期监听时钟k,其中,
Figure 808419DEST_PATH_IMAGE005
,M为定期监听时钟k的计量周期;
步骤S202、将定期监听时钟k初始化为1;
步骤S203、利用坐标
Figure 760195DEST_PATH_IMAGE006
处的监测装置监测得到安防数据
Figure 170447DEST_PATH_IMAGE007
,并对定期监听时钟k进行自加1处理,以及对时序计量常数i进行自加1处理;
步骤S204、当K=M时,坐标
Figure 549476DEST_PATH_IMAGE006
处的监测装置进行验证监测,并在验证监测完成后转至步骤S202;当K<M时,转至步骤S203,以用于在安防数据中校验出静态伪装成安防数据的入侵数据。
定期监听时钟是用于识别静态伪装的入侵数据,比如定期监听时钟k设定为5,坐标
Figure 802603DEST_PATH_IMAGE006
处的监测装置依时序递进监测得到安防数据
Figure 292490DEST_PATH_IMAGE013
Figure 822828DEST_PATH_IMAGE014
Figure 372759DEST_PATH_IMAGE015
Figure 847602DEST_PATH_IMAGE016
Figure 141180DEST_PATH_IMAGE017
Figure 526025DEST_PATH_IMAGE007
(
Figure 246857DEST_PATH_IMAGE018
)中在
Figure 474576DEST_PATH_IMAGE019
时对
Figure 306265DEST_PATH_IMAGE020
进行验证监测,假设
Figure 545617DEST_PATH_IMAGE020
是经过静态伪装的入侵数据,则
Figure 437349DEST_PATH_IMAGE020
是对安防数据
Figure 886785DEST_PATH_IMAGE013
Figure 522166DEST_PATH_IMAGE014
Figure 881603DEST_PATH_IMAGE015
Figure 944237DEST_PATH_IMAGE016
Figure 880969DEST_PATH_IMAGE017
Figure 54461DEST_PATH_IMAGE017
的保持伪装,导致后续接收到的安防数据呈现
Figure 268405DEST_PATH_IMAGE013
Figure 501940DEST_PATH_IMAGE014
Figure 925968DEST_PATH_IMAGE015
Figure 903152DEST_PATH_IMAGE016
Figure 237181DEST_PATH_IMAGE017
Figure 641618DEST_PATH_IMAGE021
Figure 287363DEST_PATH_IMAGE022
规律,即
Figure 68237DEST_PATH_IMAGE023
的后续时序
Figure 256773DEST_PATH_IMAGE024
Figure 832111DEST_PATH_IMAGE025
Figure 965152DEST_PATH_IMAGE026
…处真实的安防数据被入侵数据
Figure 284137DEST_PATH_IMAGE017
替代,安防平台只能接收到
Figure 327180DEST_PATH_IMAGE017
,导致安防平台被入侵数据的伪装所欺骗,从而导致了安防平台的安防失效,而本实施例在对时序
Figure 73419DEST_PATH_IMAGE024
的安防数据
Figure 959335DEST_PATH_IMAGE020
进行验证监测,以识别时序
Figure 816433DEST_PATH_IMAGE024
是否产生了静态伪装。
在时序
Figure 979561DEST_PATH_IMAGE024
处的安防空间中加入随机生成的验证监测数据
Figure 896701DEST_PATH_IMAGE027
,控制监测装置重新监测得到安防空间的安防数据作为验证安防数据
Figure 4335DEST_PATH_IMAGE020
将验证安防数据
Figure 665123DEST_PATH_IMAGE020
与验证监测数据
Figure 682758DEST_PATH_IMAGE027
的验证相似度与相似度阈值比较,验证相似度表征为
Figure 770800DEST_PATH_IMAGE020
Figure 365729DEST_PATH_IMAGE028
的相似程度,若
Figure 830208DEST_PATH_IMAGE020
Figure 702349DEST_PATH_IMAGE028
的验证相似度越高,则
Figure 961292DEST_PATH_IMAGE020
Figure 43518DEST_PATH_IMAGE028
的相似程度越高,则表明安防平台还能够在时序
Figure 311688DEST_PATH_IMAGE024
处进行真实的安防监测并获取真实的安防数据,若
Figure 38336DEST_PATH_IMAGE020
Figure 468180DEST_PATH_IMAGE028
的验证相似度越低,则
Figure 37702DEST_PATH_IMAGE020
Figure 843984DEST_PATH_IMAGE028
的相似程度越低,则表明安防平台不能够在时序
Figure 425138DEST_PATH_IMAGE024
处进行真实的安防监测并获取真实的安防数据,所以可将验证相似度小于相似度阈值对应的验证安防数据标定为入侵数据,并将入侵数据的坐标属性和时序属性作为安防平台中被入侵的监测装置以及监测装置的被入侵时序。
若时序
Figure 291463DEST_PATH_IMAGE024
处未发生入侵伪装,则将进行定时监听时钟的下一个时钟周期,即
Figure 82701DEST_PATH_IMAGE029
,对时序
Figure 692674DEST_PATH_IMAGE030
的安防数据
Figure 128334DEST_PATH_IMAGE031
进行验证监测,以识别时序
Figure 165561DEST_PATH_IMAGE030
是否产生了静态伪装,以此类推得到,依次对时序
Figure 444095DEST_PATH_IMAGE032
、时序
Figure 592180DEST_PATH_IMAGE033
、时序
Figure 147926DEST_PATH_IMAGE034
...进行验证监测。
本实施例对定期监听时钟k的设定不作限定,由使用者进行自定义。
在步骤S203中执行实时式校验,实时式检验识别入侵数据的方法包括:
将坐标
Figure 356053DEST_PATH_IMAGE006
处的监测装置在时序
Figure 121884DEST_PATH_IMAGE008
处监测得到安防数据
Figure 73660DEST_PATH_IMAGE009
与在时序
Figure 483912DEST_PATH_IMAGE010
处监测得到安防数据
Figure 862941DEST_PATH_IMAGE007
进行监听相似度计算,以判定安防数据的静动态特征,其中,
若监听相似度高于监听相似度阈值时,则安防数据呈静态特征,静态特征表征为坐标
Figure 116068DEST_PATH_IMAGE006
处的监测装置的监测状态呈静态;
若监听相似度低于监听相似度阈值时,则安防数据呈动态特征,动态特征表征为坐标
Figure 605955DEST_PATH_IMAGE006
处的监测装置的监测状态呈动态,以用于在安防数据中校验出动态伪装成安防数据的入侵数据;
在监听相似度低于相似度阈值时,坐标
Figure 136294DEST_PATH_IMAGE006
处的监测装置进行验证监测。
验证监测的方法包括:
监测装置监测验证监测数据,并为验证监测数据附加时序属性和坐标属性,并同步传输至控制***;
控制***将接收到的数据作为待核实的安防数据与验证监测数据进行验证相似度计算,以判定监测装置被入侵与否,其中,
若验证相似度小于验证相似度阈值,则将待核实的安防数据标定为入侵数据,再根据入侵数据的坐标属性和时序属性定位至安防平台中被入侵的监测装置以及监测装置的被入侵时序,将被入侵的监测装置赋予薄弱标签;
若验证相似度大于验证相似度阈值,则将待核实的安防数据标定为常规的安防数据。
触发监听是用于识别动态伪装的入侵数据,比如定期监听时钟k设定为5,坐标
Figure 155065DEST_PATH_IMAGE006
处的监测装置依时序递进监测得到安防数据
Figure 161067DEST_PATH_IMAGE013
Figure 454645DEST_PATH_IMAGE014
Figure 839490DEST_PATH_IMAGE015
Figure 560322DEST_PATH_IMAGE016
Figure 522461DEST_PATH_IMAGE017
,安防数据
Figure 88572DEST_PATH_IMAGE013
Figure 655820DEST_PATH_IMAGE014
Figure 485235DEST_PATH_IMAGE015
Figure 872354DEST_PATH_IMAGE016
Figure 570052DEST_PATH_IMAGE017
是一个安防空间中动态场景的安防数据,其中
Figure 195068DEST_PATH_IMAGE035
为第一个定期监听时钟周期,依次监测相邻时序的安防数据的监听相似度,若
Figure 992123DEST_PATH_IMAGE014
Figure 866538DEST_PATH_IMAGE013
的监听相似度越高,
Figure 102347DEST_PATH_IMAGE014
Figure 378608DEST_PATH_IMAGE013
的相似程度越高,则在时序
Figure 549826DEST_PATH_IMAGE036
处的场景变化概率越低,若
Figure 911537DEST_PATH_IMAGE014
Figure 951038DEST_PATH_IMAGE013
的监听相似度越低,
Figure 81805DEST_PATH_IMAGE014
Figure 423924DEST_PATH_IMAGE013
的相似程度越低,则在时序
Figure 272932DEST_PATH_IMAGE036
处的场景变化概率越高,而安防空间中场景变化会导致安防数据的变化,在安防数据出现变动的时序处就可判定出入侵行为的发生与否,因此
Figure 381702DEST_PATH_IMAGE014
Figure 304659DEST_PATH_IMAGE013
的监听相似度越低,则在时序
Figure 879996DEST_PATH_IMAGE036
处进入验证监测。
将验证安防数据
Figure 278617DEST_PATH_IMAGE014
与验证监测数据
Figure 332023DEST_PATH_IMAGE037
的验证相似度与相似度阈值比较,验证相似度表征为
Figure 437383DEST_PATH_IMAGE014
Figure 121305DEST_PATH_IMAGE038
的相似程度,若
Figure 944904DEST_PATH_IMAGE014
Figure 864319DEST_PATH_IMAGE038
的验证相似度越高,则
Figure 824185DEST_PATH_IMAGE014
Figure 944587DEST_PATH_IMAGE038
的相似程度越高,则表明安防平台还能够在时序
Figure 989904DEST_PATH_IMAGE036
处进行真实的安防监测并获取真实的安防数据,若
Figure 713009DEST_PATH_IMAGE014
Figure 792961DEST_PATH_IMAGE038
的验证相似度越低,则
Figure 818685DEST_PATH_IMAGE014
Figure 351298DEST_PATH_IMAGE038
的相似程度越低,则表明安防平台不能够在时序
Figure 878094DEST_PATH_IMAGE024
处进行真实的安防监测并获取真实的安防数据,所以可将验证相似度小于相似度阈值对应的验证安防数据标定为入侵数据,并将入侵数据的坐标属性和时序属性作为安防平台中被入侵的监测装置以及监测装置的被入侵时序。
若时序
Figure 812552DEST_PATH_IMAGE036
处未发生入侵伪装,则将进行依次进行时序
Figure 9178DEST_PATH_IMAGE039
、时序
Figure 29087DEST_PATH_IMAGE040
和时序
Figure 93995DEST_PATH_IMAGE023
处的监听相似度计算以及根据监听相似度在
Figure 882959DEST_PATH_IMAGE041
进行验证监测,以识别时序
Figure 516066DEST_PATH_IMAGE041
是否产生了动态伪装,以此类推得到,进入第二个定时监听时钟的时钟周期
Figure 23271DEST_PATH_IMAGE029
的触发监听,第三个定时监听时钟的时钟周期
Figure 626290DEST_PATH_IMAGE042
的触发监听。
步骤S2中还包括对验证监测的复核以避免入侵误判:
获取安防平台的所有监测装置的工况参数,并基于工况参数对监测装置进行分类成簇得到多组监测装置簇;
将每组监测装置簇中包含的不具有薄弱标签的监测装置的安防数据与具有薄弱标签的检测装置的安防数据进行误判相似度计算,其中,
若误判相似度低于误判相似度阈值,则误判相似度对应的不具有薄弱标签的监测装置保持原状;
若误判相似度高于误判相似度阈值,则为误判相似度对应的不具有薄弱标签的监测装置赋予薄弱标签,实现监听失效导致的入侵误判。
将监测装置按工况参数进行分类,分至一类的多个监测装置具有相同的监测状态,可利用协同比对识别出其中的除以异常监测状态的监测装置,从而可以对监听进行一个补充复核,提高入侵监听的准确性,实现了对海量多维度的监测装置进行有效的融合关联分析,利用协同效应,分析准确性更强。
步骤S3,基于入侵数据的坐标属性以及时序属性定位到安防平台中被入侵的监测装置以及监测装置的被入侵时序,对被入侵的监测装置在被入侵时序处进行定向安防加强,以实现对安防平台中薄弱的监测装置的挖掘和修复。
步骤S3中,安防加强的方法包括:
为每组监测装置簇唯一标定安防薄弱因素,其中,位于同一组入侵簇中的所有监测装置具有相同的安防薄弱因素;
以监测装置簇为单位进行安防加强方案的制定,并将监测装置簇的安防加强方案统一应用到监测装置簇内部包含的所有监测装置处进行定向的安防加强。
以簇为单位进行定向的安防加强,可以有效的提高安防加强效率。
监听相似度、验证相似度和误判相似度均利用欧式距离进行衡量。
如图2所示,基于上述安防平台的分析控制方法,本发明提供了一种安防***,包括:
监测装置,用于监测得到安防数据;
验证监测数据生成模块,用于随机生成验证监测数据;
数据分析模块,用于对安防数据进行分析挖掘出薄弱监测装置;
安防加强模块,用于制定安防加强方案并应用至监测装置处进行定向安防加强。
监测装置1、验证监测数据验证监测数据生成模块2、数据分析模块3以及安防加强模块4通过网络通信协议进行数据的通信交互。
本发明利用定期的触发监听识别出入侵数据,可在定期监听中加入触发监听,定期监听可实现对伪装成与入侵时序前的安防场景一致的入侵行为的识别,触发监听可实现对伪装成自定义的安防场景的入侵行为的识别,从而实现对具有伪装的入侵行为的识别,安防识别精度高,时效性强。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。

Claims (9)

1.一种安防平台的分析控制方法,其特征在于,包括以下步骤:
步骤S1、给安防平台的每个监测装置所监测到的安防数据上附加时序属性和坐标属性,所述安防数据用于表征安防平台中监测装置的监测状态,所述安防数据附加的时序属性包括监测装置监测得到安防数据的时序,所述安防数据附加的坐标属性包括所述监测装置的坐标;
所述安防数据添加了时序属性和坐标属性后表征为
Figure 97775DEST_PATH_IMAGE002
,其中,
Figure 546074DEST_PATH_IMAGE004
表征为坐标
Figure 997915DEST_PATH_IMAGE006
处的监测装置在时序
Figure 658703DEST_PATH_IMAGE008
时监测得到的安防数据,i表征为时序计量常数,j表征为监测装置的计量常数,n表征为监测装置的总数目;
步骤S2、安防平台的控制***接收每个监测装置的安防数据并对安防数据进行定期的触发监听,以实现从安防数据中识别出入侵数据,所述定期的触发监听用于对所述安防数据进行周期式校正和实时式校正并存的校验方法,所述入侵数据表征为静态伪装成安防数据以及动态伪装成安防数据的数据;
步骤S3,基于入侵数据的坐标属性以及时序属性定位到安防平台中被入侵的监测装置以及监测装置的被入侵时序,对被入侵的监测装置在被入侵时序处进行定向安防加强,以实现对安防平台中薄弱的监测装置的挖掘和修复;
安防加强的方法包括:
为每组监测装置簇唯一标定安防薄弱因素,其中,位于同一组入侵簇中的所有监测装置具有相同的安防薄弱因素;
以监测装置簇为单位进行安防加强方案的制定,并将监测装置簇的安防加强方案统一应用到监测装置簇内部包含的所有监测装置处进行定向的安防加强。
2.根据权利要求1所述的一种安防平台的分析控制方法,其特征在于:所述步骤S2中,所述安防数据的监听方法包括:
所述安防平台的控制***通过自定义编码规则生成用于周期式校正和实时式校正的验证监测数据,并将所述验证监测数据发送至监测装置的数据监测端供监测装置进行验证监测;
其中,通过自定义编码规则生成验证监测数据是生成一组与安防数据差异度大的随机数向量作为验证监测数据,所述随机数向量数据与数据监测端的传输通道呈满容量匹配,以使得验证监测时监测装置仅能接收验证监测数据。
3.根据权利要求2所述的一种安防平台的分析控制方法,其特征在于:所述步骤S2中,所述周期式校正识别入侵数据的方法包括:
步骤S201、设置定期监听时钟k,验证监测,其中
Figure 394447DEST_PATH_IMAGE010
,M为定期监听时钟k的计量周期;
步骤S202、将所述定期监听时钟k初始化为1;
步骤S203、利用所述坐标
Figure 623434DEST_PATH_IMAGE006
处的监测装置监测得到所述安防数据
Figure 156046DEST_PATH_IMAGE012
,并对所述定期监听时钟k进行自加1处理,以及对所述时序计量常数i进行自加1处理;
步骤S204、当K=M时,所述坐标
Figure 886105DEST_PATH_IMAGE006
处的监测装置进行验证监测,并在验证监测完成后转至步骤S202;当K<M时,转至步骤S203,以用于在安防数据中校验出静态伪装成安防数据的入侵数据。
4.根据权利要求3所述的一种安防平台的分析控制方法,其特征在于:在所述步骤S203中执行实时式校验,所述实时式检验识别入侵数据的方法包括:
将所述坐标
Figure 210776DEST_PATH_IMAGE006
处的监测装置在时序
Figure 735298DEST_PATH_IMAGE014
处监测得到所述安防数据
Figure 896152DEST_PATH_IMAGE016
与在时序
Figure 164323DEST_PATH_IMAGE008
处监测得到所述安防数据
Figure 343500DEST_PATH_IMAGE012
进行监听相似度计算,以判定安防数据的静动态特征,其中,
若所述监听相似度高于监听相似度阈值时,则安防数据呈静态特征,所述静态特征表征为坐标
Figure 304503DEST_PATH_IMAGE006
处的监测装置的监测状态呈静态;
若所述监听相似度低于监听相似度阈值时,则安防数据呈动态特征,所述动态特征表征为坐标
Figure 952653DEST_PATH_IMAGE006
处的监测装置的监测状态呈动态,以用于在安防数据中校验出动态伪装成安防数据的入侵数据;
在所述监听相似度低于相似度阈值时,所述坐标
Figure 758935DEST_PATH_IMAGE006
处的监测装置进行验证监测。
5.根据权利要求4所述的一种安防平台的分析控制方法,其特征在于:所述验证监测的方法包括:
所述监测装置监测验证监测数据,并为验证监测数据附加时序属性和坐标属性,并同步传输至所述控制***;
所述控制***将接收到的数据作为待核实的安防数据与所述验证监测数据进行验证相似度计算,以判定监测装置被入侵与否,其中,
若验证相似度小于所述验证相似度阈值,则将待核实的安防数据标定为入侵数据,再根据入侵数据的坐标属性和时序属性定位至安防平台中被入侵的监测装置以及监测装置的被入侵时序,将被入侵的监测装置赋予薄弱标签;
若验证相似度大于所述验证相似度阈值,则将待核实的安防数据标定为常规的安防数据。
6.根据权利要求5所述的一种安防平台的分析控制方法,其特征在于:所述步骤S2中还包括对所述验证监测的复核以避免入侵误判:
获取所述安防平台的所有监测装置的工况参数,并基于所述工况参数对所述监测装置进行分类成簇得到多组监测装置簇;
将每组监测装置簇中包含的不具有薄弱标签的监测装置的安防数据与具有薄弱标签的监测装置的安防数据进行误判相似度计算,其中,
若误判相似度低于误判相似度阈值,则误判相似度对应的不具有薄弱标签的监测装置保持原状;
若误判相似度高于误判相似度阈值,则为误判相似度对应的不具有薄弱标签的监测装置赋予薄弱标签,实现复核监听失效导致的入侵误判。
7.根据权利要求6所述的一种安防平台的分析控制方法,其特征在于:所述监听相似度、验证相似度和误判相似度均利用欧式距离进行衡量。
8.一种根据权利要求1-7任一项所述的安防平台的分析控制方法的安防***,其特征在于,包括:
监测装置(1),用于监测得到安防数据;
验证监测数据生成模块(2),用于随机生成验证监测数据;
数据分析模块(3),用于对安防数据进行分析挖掘出薄弱监测装置;
安防加强模块(4),用于制定安防加强方案并应用至监测装置处进行定向安防加强。
9.根据权利要求8所述的一种安防***,其特征在于,所述监测装置、验证监测数据生成模块、数据分析模块以及安防加强模块通过网络通信协议进行数据的通信交互。
CN202111155873.6A 2021-09-30 2021-09-30 一种安防平台的分析控制方法及*** Active CN113596064B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111155873.6A CN113596064B (zh) 2021-09-30 2021-09-30 一种安防平台的分析控制方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111155873.6A CN113596064B (zh) 2021-09-30 2021-09-30 一种安防平台的分析控制方法及***

Publications (2)

Publication Number Publication Date
CN113596064A CN113596064A (zh) 2021-11-02
CN113596064B true CN113596064B (zh) 2021-12-24

Family

ID=78242593

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111155873.6A Active CN113596064B (zh) 2021-09-30 2021-09-30 一种安防平台的分析控制方法及***

Country Status (1)

Country Link
CN (1) CN113596064B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114024809B (zh) * 2021-11-03 2022-09-02 成都诺比侃科技有限公司 一种卫星下行信号处理方法及***

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007026528A1 (de) * 2007-06-08 2008-12-24 Siemens Ag Verfahren zum Sammeln von Überwachungsdaten
CN102739647A (zh) * 2012-05-23 2012-10-17 国家计算机网络与信息安全管理中心 基于高交互蜜罐的网络安全***及实现方法
EP2525548A1 (en) * 2011-05-16 2012-11-21 General Electric Company Systems, methods, and apparatus for network intrusion detection based on monitoring network traffic
CN103326462A (zh) * 2013-02-22 2013-09-25 成都宝利信通科技有限公司 一种变电站双视在线监测智能预警***
CN104270378A (zh) * 2014-10-14 2015-01-07 天津理工大学 一种基于预警机制自适应选择协议抵抗重放攻击的方法
CN206235742U (zh) * 2016-12-09 2017-06-09 北京东方安杰科技有限公司 一种定点监测设备数据保真辅助***
CN106998326A (zh) * 2017-03-22 2017-08-01 北京匡恩网络科技有限责任公司 工业控制网络行为监测方法、装置、以及***
CN109040083A (zh) * 2018-08-13 2018-12-18 武汉智慧地铁科技有限公司 一种应用于轨道交通的信息安全防护***及其防护方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101188531B (zh) * 2007-12-27 2010-04-07 东软集团股份有限公司 一种监测网络流量异常的方法及***
WO2016178088A2 (en) * 2015-05-07 2016-11-10 Cyber-Ark Software Ltd. Systems and methods for detecting and reacting to malicious activity in computer networks
CN105959335B (zh) * 2016-07-19 2019-11-19 腾讯科技(深圳)有限公司 一种网络攻击行为检测方法及相关装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007026528A1 (de) * 2007-06-08 2008-12-24 Siemens Ag Verfahren zum Sammeln von Überwachungsdaten
EP2525548A1 (en) * 2011-05-16 2012-11-21 General Electric Company Systems, methods, and apparatus for network intrusion detection based on monitoring network traffic
CN102739647A (zh) * 2012-05-23 2012-10-17 国家计算机网络与信息安全管理中心 基于高交互蜜罐的网络安全***及实现方法
CN103326462A (zh) * 2013-02-22 2013-09-25 成都宝利信通科技有限公司 一种变电站双视在线监测智能预警***
CN104270378A (zh) * 2014-10-14 2015-01-07 天津理工大学 一种基于预警机制自适应选择协议抵抗重放攻击的方法
CN206235742U (zh) * 2016-12-09 2017-06-09 北京东方安杰科技有限公司 一种定点监测设备数据保真辅助***
CN106998326A (zh) * 2017-03-22 2017-08-01 北京匡恩网络科技有限责任公司 工业控制网络行为监测方法、装置、以及***
CN109040083A (zh) * 2018-08-13 2018-12-18 武汉智慧地铁科技有限公司 一种应用于轨道交通的信息安全防护***及其防护方法

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
"Securing Control and Communications Systems in Rail Transit Environments";Joy Thompson;《APTA》;20161026;全文 *
"城市轨道交通综合监控***网络安全方案设计";金晶;《万方》;20210225;全文 *
"网络安全中安全审计与监控***的设计与实现";陈亮;《中国优秀硕士学位论文全文数据库》;20040205;全文 *
"轨道交通信号***信息安全风险监测方法研究";陈佳民;《万方》;20180920;全文 *

Also Published As

Publication number Publication date
CN113596064A (zh) 2021-11-02

Similar Documents

Publication Publication Date Title
CN111046379B (zh) 一种对抗攻击的监测方法和装置
CN107819631B (zh) 一种设备异常检测方法、装置及设备
CN104901971B (zh) 对网络行为进行安全分析的方法和装置
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
US20160019388A1 (en) Event correlation based on confidence factor
Babun et al. A system-level behavioral detection framework for compromised CPS devices: Smart-grid case
CN113722748B (zh) 一种基于区块链和通用工业标识的设备信息获取方法
CN112202817A (zh) 一种基于多事件关联与机器学习的攻击行为检测方法
CN106790189B (zh) 一种基于响应报文的入侵检测方法和装置
KR102267564B1 (ko) 원격 단말기의 능동적 보안 위협 탐지 방법
CN113596064B (zh) 一种安防平台的分析控制方法及***
Nafea et al. Efficient non-linear covert channel detection in TCP data streams
CN113904811A (zh) 异常检测方法、装置、计算机设备和存储介质
CN112422513A (zh) 一种基于网络流量报文的异常检测和攻击发起者分析***
CN108566307B (zh) 一种定量化的网络安全保护强度评估方法及***
US20170346834A1 (en) Relating to the monitoring of network security
US11790091B2 (en) Monitoring information-security coverage to identify an exploitable weakness in the information-securing coverage
Quintal et al. Sensory data-driven modeling of adversaries in mobile crowdsensing platforms
Kadam et al. An enhanced approach for intrusion detection in virtual network of cloud computing
CN113132414B (zh) 一种多步攻击模式挖掘方法
Li et al. Detection of variations of local irregularity of traffic under DDOS flood attack
CN115603995A (zh) 一种信息处理方法、装置、设备及计算机可读存储介质
CN112989355B (zh) 一种漏洞威胁感知方法、装置、存储介质和设备
KR20150131846A (ko) 캡차를 이용한 아이디도용 차단방법 및 차단 시스템
CN113141274A (zh) 基于网络全息图实时检测敏感数据泄露的方法、***和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 610015 No. 1534, floor 15, building 1, No. 88, Guanghua South Third Road, Qingyang District, Chengdu, Sichuan Province

Patentee after: Nobicam Artificial Intelligence Technology (Chengdu) Co.,Ltd.

Address before: No. 1534, floor 15, building 1, No. 88, Guanghua South Third Road, Qingyang District, Chengdu, Sichuan 610074

Patentee before: CHENGDU NUOBIKAN TECHNOLOGY Co.,Ltd.