CN115174240A - 一种铁路加密流量监测***及方法 - Google Patents
一种铁路加密流量监测***及方法 Download PDFInfo
- Publication number
- CN115174240A CN115174240A CN202210827751.5A CN202210827751A CN115174240A CN 115174240 A CN115174240 A CN 115174240A CN 202210827751 A CN202210827751 A CN 202210827751A CN 115174240 A CN115174240 A CN 115174240A
- Authority
- CN
- China
- Prior art keywords
- data
- flow
- model
- subsystem
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 81
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000004458 analytical method Methods 0.000 claims abstract description 106
- 238000000605 extraction Methods 0.000 claims abstract description 74
- 238000007726 management method Methods 0.000 claims description 28
- 230000006399 behavior Effects 0.000 claims description 21
- 238000010801 machine learning Methods 0.000 claims description 15
- 238000013500 data storage Methods 0.000 claims description 13
- 238000013136 deep learning model Methods 0.000 claims description 12
- 238000005206 flow analysis Methods 0.000 claims description 11
- 238000007781 pre-processing Methods 0.000 claims description 11
- 239000000284 extract Substances 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 8
- 238000010219 correlation analysis Methods 0.000 claims description 7
- 230000010354 integration Effects 0.000 claims description 7
- 230000002159 abnormal effect Effects 0.000 claims description 5
- 238000001914 filtration Methods 0.000 claims description 5
- 230000004044 response Effects 0.000 claims description 2
- 230000003542 behavioural effect Effects 0.000 claims 1
- 235000019580 granularity Nutrition 0.000 abstract description 5
- 230000008901 benefit Effects 0.000 abstract description 4
- 238000004891 communication Methods 0.000 description 12
- 238000001514 detection method Methods 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 10
- 238000004422 calculation algorithm Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000006872 improvement Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 239000000523 sample Substances 0.000 description 6
- 238000012098 association analyses Methods 0.000 description 5
- 238000013528 artificial neural network Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000013135 deep learning Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 241000282414 Homo sapiens Species 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000007635 classification algorithm Methods 0.000 description 2
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 238000003066 decision tree Methods 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 238000013486 operation strategy Methods 0.000 description 2
- 230000000306 recurrent effect Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 240000003086 Cynanchum laeve Species 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 230000019771 cognition Effects 0.000 description 1
- 230000001149 cognitive effect Effects 0.000 description 1
- 238000013527 convolutional neural network Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000007477 logistic regression Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F30/00—Computer-aided design [CAD]
- G06F30/20—Design optimisation, verification or simulation
- G06F30/27—Design optimisation, verification or simulation using machine learning, e.g. artificial intelligence, neural networks, support vector machines [SVM] or training a model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/20—Support for services
- H04L49/208—Port mirroring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Software Systems (AREA)
- Geometry (AREA)
- General Physics & Mathematics (AREA)
- Train Traffic Observation, Control, And Security (AREA)
Abstract
本发明提供一种铁路加密流量监测***及方法,***包括:数据获取子***、特征建模子***、智能分析子***和配置管理子***;数据获取子***用于获取目标业务***的流量数据;特征建模子***用于接收传来的目标业务***的流量数据,根据流量数据的业务需求和识别场景选用对应的特征提取模型,并利用特征提取模型提取流量数据的数据特征;智能分析子***用于根据特征提取模型选用对应的智能分析模型,利用智能分析模型对流量数据进行检测和识别;配置管理子***用于对整个铁路加密流量监测***进行配置管理。本发明通过构建流程化的智能监控***,自定义调用工具,实时识别和监测不同粒度的加密流量及加密威胁,提升铁路行业对加密流量的管控能力。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种铁路加密流量监测***及方法。
背景技术
近年来,随着SSL、SSH、VPN等加密技术在网络中的广泛使用,铁路网络加密流量快速增长且在改变着威胁形势。攻击者将加密作为隐藏活动的工具,加密流量给攻击者隐藏其命令与控制活动提供了可乘之机。铁路网络作为国家关键基础设施,易成为国家之间网络对抗和有组织黑客的攻击目标。高准确度识别与检测铁路网络加密流量对保证铁路网络信息安全和维护关键基础设施正常运行具有重要实际意义。
在国家层面,美国基于“爱因斯坦”、“藏宝图”等计划建设了较为成熟完善的网络流量监控体系,在网络出口部署了超过200监控节点,超过9000条检测特征。工业界中,大多结合使用机器学习、高级分析和基于规则来检测企业网络上的可疑活动,Cisco、Paloalto、Sandvine等企业均推出了加密流量识别服务,通过监控传入和传出网络流量,检测零日恶意软件、内部威胁、高级持久性威胁、分布式拒绝服务等。国内华为、绿盟科技、安天、观成科技等企业正同步研发针对加密流量检测的设备,通过盒式防火墙和智能检测引擎检测并防御隐藏在SSL加密流量中的威胁,并对使用加密通信的恶意样本、非法应用等进行深度分析。在学术界,国外研究团队包括密歇根州立大学、加州大学伯克利分校ICSI、Cisco公司、英国牛津大学等,主要通过TLS背景流信息如DNS响应、HTTP头部等辅助检测恶意加密流量。国内清华大学、北邮、中科院、东南大学等高校及科研院所主要基于信息流从加密网络流量中分析恶意攻击的行为模式,并通过CNN、LSTM等智能算法基于加密流量特征进行恶意攻击识别与分类。
现有技术中,美国基于“爱因斯坦”、“藏宝图”等计划建设的网络流量监控体系尚不支持基于异常和状态的检测方法,而且数据类型目前也有限,无法检测加密网络流量、邮件、文件传输中的攻击;国内外各公司和科研院所针对加密流量的检测和识别技术大多是针对特定的、单一的协议或业务,存在普适性低等问题。
发明内容
本发明的目的是提供一种铁路加密流量监测***及方法,用于解决当前铁路网络安全中加密流量监管困难,加密威胁难以检测,特别是加密流量分析粒度不够,技术支撑性不足,体系化、实时性不够等问题。
本发明第一方面提供一种铁路加密流量监测***,包括:数据获取子***、特征建模子***、智能分析子***和配置管理子***;
所述数据获取子***用于获取目标业务***的流量数据;其中,所述目标业务***为需要被监测的业务***;
所述特征建模子***用于接收所述数据获取子***传来的所述目标业务***的流量数据;用于根据所述流量数据的业务需求和识别场景,选用对应的特征提取模型;并利用所述特征提取模型提取所述流量数据的数据特征;
所述智能分析子***用于接收所述特征建模子***传来的所述流量数据的数据特征,并根据所述特征提取模型选用对应的智能分析模型,基于所述流量数据的数据特征,利用所述智能分析模型对所述流量数据进行检测和识别,所述智能分析模型包括关联分析模型、分类器模型、深度学习模型、机器学习模型和集成模型中的至少一个;
所述配置管理子***用于对整个铁路加密流量监测***进行配置管理。
根据本发明提供的铁路加密流量监测***,所述数据获取子***包括:
深度流解析模块、流量预处理模块和数据存储模块;
其中,所述深度流解析模块用于获取采集到的流量数据;
所述流量预处理模块用于过滤掉所述流量数据中的冗余流量;
所述数据存储模块用于存储所述流量数据。
根据本发明提供的铁路加密流量监测***,所述特征提取模型包括Elmo+LSTM+SelfAttention模型,所述Elmo+LSTM+SelfAttention模型用于提取所述流量数据的流特征和包特征,相应的,所述智能分析子***利用关联分析模型检测和识别所述流量数据中的密文流量与明文流量。
根据本发明提供的铁路加密流量监测***,所述特征提取模型包括载荷相邻概率模型,所述载荷相邻概率模型用于提取所述流量数据的协议特征,相应的,所述智能分析子***利用分类器模型检测和识别所述流量数据的加密协议类型。
根据本发明提供的铁路加密流量监测***,所述特征提取模型包括两阶段LSTM模型,所述两阶段LSTM模型用于提取所述流量数据的行为合规特征,相应的,所述智能分析子***利用深度学习模型检测和识别所述流量数据中的异常流量。
根据本发明提供的铁路加密流量监测***,所述特征提取模型包括密码服务模型,所述密码服务模型用于提取所述流量数据的服务流量特征,相应的,所述智能分析子***利用机器学习模型检测和识别所述流量数据的加密服务类型。
根据本发明提供的铁路加密流量监测***,所述特征提取模型包括攻击识别模型,所述攻击识别模型用于提取所述流量数据的模式特征、组合特征和上下文特征,相应的,所述智能分析子***利用集成模型检测和识别所述流量数据的攻击行为。
本发明第二方面提供一种铁路加密流量监测方法,所述方法是基于上述的铁路加密流量监测***实现的,方法包括:
特征建模子***接收由数据获取子***获取的目标业务***的流量数据;
特征建模子***根据所述流量数据的业务需求和识别场景,选用对应的特征提取模型,并利用所述特征提取模型提取所述流量数据的数据特征;
特征建模子***将所述流量数据的数据特征传给智能分析子***,由智能分析子***根据所述特征提取模型选用对应的智能分析模型,并利用所述智能分析模型对所述流量数据进行检测和识别。
本发明第三方面提供一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如本发明第二方面所述铁路加密流量监测方法的步骤。
本发明第四方面提供一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如本发明第二方面所述铁路加密流量监测方法的步骤。
本发明提供的一种铁路加密流量监测***,通过设置数据获取子***、特征建模子***、智能分析子***和配置管理子***;所述数据获取子***用于获取目标业务***的流量数据;其中,所述目标业务***为需要监测的业务***;所述特征建模子***用于接收所述数据获取子***传来的所述目标业务***的流量数据;用于根据所述流量数据的业务需求和识别场景,选用对应的特征提取模型;并利用所述特征提取模型提取所述流量数据的数据特征;所述智能分析子***用于接收所述特征建模子***传来的所述流量数据的数据特征,并根据所述特征提取模型选用对应的智能分析模型,基于所述流量数据的数据特征,利用所述智能分析模型对所述流量数据进行检测和识别,所述智能分析模型包括关联分析模型、分类器模型、深度学习模型、机器学习模型和集成模型中的至少一个;所述配置管理子***用于对整个铁路加密流量监测***进行配置管理。本发明通过构建流程化的智能监控***,自定义调用工具,实时识别和监测不同粒度的加密流量及加密流量威胁,提升了铁路行业对加密流量的管控能力。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种铁路加密流量监测***的结构示意图;
图2为本发明提供的一种铁路加密流量监测***的整体结构示意图;
图3为本发明提供的一种铁路加密流量监测方法的流程示意图;
图4为本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合图1-图4描述本发明的铁路加密流量监测***及方法。
图1为本发明提供的铁路加密流量监测***的结构示意图,如图1所示,本发明提供的一种铁路加密流量监测***,包括:数据获取子***110、特征建模子***120、智能分析子***130和配置管理子***140;
所述数据获取子***用于获取目标业务***的流量数据;其中,所述目标业务***为需要被监测的业务***;
所述特征建模子***用于接收所述数据获取子***传来的所述目标业务***的流量数据;用于根据所述流量数据的业务需求和识别场景,选用对应的特征提取模型;并利用所述特征提取模型提取所述流量数据的数据特征;
所述智能分析子***用于接收所述特征建模子***传来的所述流量数据的数据特征,并根据所述特征提取模型选用对应的智能分析模型,基于所述流量数据的数据特征,利用所述智能分析模型对所述流量数据进行检测和识别,所述智能分析模型包括关联分析模型、分类器模型、深度学习模型、机器学习模型和集成模型中的至少一个;
所述配置管理子***用于对整个铁路加密流量监测***进行配置管理。
在本实施例中,数据获取子***为整个铁路加密流量监测***提供了数据基础,铁路加密流量监测***中的数据获取子***与外部的态势感知***进行联动,对与目标业务***对应的核心交换机或服务器交换机上的流量进行旁路,使用端口镜像技术将目标业务***的流量数据复制并从特定输出端口输出,其中,目标业务***是指外部需要被监测的业务***。
特征建模子***建立基于加密流量流特征、包特征、协议特征、服务特征等的提取工具包,线性与非线性特征降维工具包,统计学习与人工智能分类算法工具包,构建特征提取模型的组件库。根据具体的业务需求与识别场景,针对数据获取子***传来的目标业务***对应的不同的识别内容与加密流量可自定义调用工具,选用对应的特征提取模型对流量数据进行特征建模,提取流量数据的数据特征。
智能分析子***通过对各类样本流量进行机器学习,构造各种智能分析模型,根据针对铁路加密流量的不同特征建模方法中采用的特征提取模型,采用相应的的智能分析模型,然后基于特征建模子***传来的流量数据的数据特征,利用选定的智能分析模型对流量数据进行检测和识别,智能分析模型包括关联分析模型、分类器模型、深度学习模型、机器学习模型和集成模型等。
另外,由于对铁路加密流量的分析大多建立在背景流量基础上,随着目标业务***的变化会产生一定的智能分析模型偏移问题,采用智能分析模型自适应技术保证其智能分析模型检测和识别效率。通过人工介入和智能分析模型动态反馈的方式,更新智能分析模型,使智能分析模型建立对当前流量数据的识别能力,保证智能分析模型质量。同时,由于实际部署的轻量及运算需求,构造智能分析模型压缩模块。
配置管理子***包括流量特征库、智能分析模型库、***运行策略库、深度学***台、中心侧通信组件、大数据存储和运算平台,对整个铁路加密流量监测***进行特征建模管理、模型管理、策略管理、告警管理和平台管理。
在本实施例中,数据获取子***与外部态势感知***进行联动,获取目标业务***的流量数据,并将目标业务***的流量数据传送给特征建模子***;特征建模子***基于接收到的数据获取子***传来的流量数据,选用对应的特征提取模型提取数据流量的数据特征,并将提取的数据流量的数据特征传送给智能分析子***;智能分析子***选用与特征提取模型对应的智能分析模型,并利用选定的智能分析模型基于流量数据的数据特征对流量数据进行检测和识别;配置管理子***与数据获取子***、特征提取子***和智能分析子***进行有效协同,实现***化、层次化架构,使得数据存储与平台运算技术更好的支撑智能分析运算,提升铁路加密流量监测***整体分析能力。
本发明提供的一种铁路加密流量监测***,通过设置数据获取子***获取目标业务***的流量数据,通过特征建模子***接收数据获取子***传来的目标业务***的流量数据,根据流量数据的业务需求和识别场景选用对应的特征提取模型,并利用特征提取模型提取流量数据的数据特征,通过智能分析子***根据特征提取模型选用对应的智能分析模型,利用智能分析模型对流量数据进行检测和识别,通过配置管理子***对整个铁路加密流量监测***进行配置管理。本发明通过构建流程化的智能监控***,自定义调用工具,实时识别和监测不同粒度的加密流量及加密流量威胁,提升了铁路行业对加密流量的管控能力。
基于上述任一实施例,在本实施例中,根据本发明提供的铁路加密流量监测***,所述数据获取子***包括:
深度流解析模块、流量预处理模块和数据存储模块;
其中,所述深度流解析模块用于获取采集到的流量数据;
所述流量预处理模块用于过滤掉所述流量数据中的冗余流量;
所述数据存储模块用于存储所述流量数据。
在本实施例中,深度流解析DFI(Deep Flow Inspection)是一种基于流量行为的应用识别技术,深度流解析模块包括DFI设备。Pcap包又叫过程特性分析软件包,是一种常用的数据存储文件格式,包括“Pcap报头”和“数据区”两个部分。
在本实施例中,DFI设备与探针直接相连,外部管控中心侧采集到的目标业务***的流量数据通过与探针直接相连的DFI设备传送给数据获取子***。目标业务***的流量数据以Pcap包的形式被DFI设备获取,初步生成了数据流的部分特征,同时,由于流量数据中包含了部分网络广播或心跳包等冗余流量,利用流量预处理模块中的流量预处理设备,根据采集到的流量数据情况进行初始的流量数据过滤,并将处理好的流量数据存储在数据存储模块的存储设备中。
本发明提供的一种铁路加密流量监测***,数据获取子***通过深度流解析模块以Pcap包的形式获取目标业务***的流量数据,再由流量预处理模块对数据流量进行预处理,过滤冗余流量,最后将经过预处理以后的数据流量存储到数据存储模块,有力的支持了铁路行业对加密流量管控能力的提升。
基于上述任一实施例,在本实施例中,根据本发明提供的铁路加密流量监测***,所述特征提取模型包括Elmo+LSTM+SelfAttention模型,所述Elmo+LSTM+SelfAttention模型用于提取所述流量数据的流特征和包特征,相应的,所述智能分析子***利用关联分析模型检测和识别所述流量数据中的密文流量与明文流量。
在本实施例中,Elmo(Embedding from language models)是一种双向语言模型,会根据上下文来推断每个词对应的词向量,能够根据语境来对多义词理解。LSTM(long-short term memory)即长短期记忆模型,是一种特殊的时间循环神经网络RNN,是为了解决循环神经网络RNN模型梯度弥散的问题而提出的。SelfAttention即自注意力机制,用于处理序列数据,可以实现序列数据的全依赖。Elmo+LSTM+SelfAttention模型是一个基于Elmo模型、LSTM模型和SelfAttention模型的联合模型。数据包是一种起始和目的地均为网络层的信息单位,数据流是通信领域使用的概念,代表传输中所使用的信息的数字编码信号序列。关联分析模型是指基于规则、统计、情境等方法分析流量数据的流特征和包特征之间的关联关系,实现业务***的明文流量和密文流量的分类。
在本实施例中,特征提取模型为Elmo+LSTM+SelfAttention模型,使用Elmo+LSTM+SelfAttention模型提取流量数据的数据流特征和数据包特征,数据流特征主要包括分组特征、熵特征、统计特征和距离特征,数据包特征包括负载特征、包分布特征、五元组信息及随机性特征。相应的,智能分析子***中选用和Elmo+LSTM+SelfAttention模型对应的关联分析模型来分类目标业务***的流量数据中的密文流量和明文流量。
本发明提供的一种铁路加密流量监测***,特征建模子***选定的特征提取模型为Elmo+LSTM+SelfAttention模型,用于提取流量数据的流特征和包特征,相应的,智能分析子***利用关联分析模型检测和识别流量数据中的密文流量与明文流量,进一步阐明了针对目标业务***流量数据的特征建模的具体过程,有力的支持了铁路行业对加密流量管控能力的提升。
基于上述任一实施例,在本实施例中,根据本发明提供的铁路加密流量监测***,所述特征提取模型包括载荷相邻概率模型,所述载荷相邻概率模型用于提取所述流量数据的协议特征,相应的,所述智能分析子***利用分类器模型检测和识别所述流量数据的加密协议类型。
在本实施例中,分类器是数据挖掘中对样本进行分类的方法的统称,包含决策树、逻辑回归、朴素贝叶斯、神经网络等算法。载荷相邻概率模型是指利用网络流量报文负载内容构建特定分类矩阵,并根据特定矩阵计算网络流量报文的相邻评估向量,提取密文协议特征的模型。分类器模型是指通过对样本数据的学习得出其中的规律,并按照此规律对未知的测试数据进行预测和判断的模型,作为数据分类的有效方法常常被用于在协议识别和流量类中,分类器模型中具体采用决策树算法、贝叶斯网络分类算法等。
在本实施例中,特征提取模型为载荷相邻概率模型,使用载荷相邻概率模型提取流量数据的密文协议特征,包括隧道通信特征、层叠加密特征、行为特征和距离特征。相应的,智能分析子***中选用和载荷相邻概率模型对应的分类器模型检测和识别目标业务***的流量数据的加密协议类型。
本发明提供的一种铁路加密流量监测***,特征建模子***选定的特征提取模型为载荷相邻概率模型,用于提取流量数据的密文协议特征,相应的,智能分析子***利用分类器模型检测和识别流量数据中的加密协议类型,进一步阐明了针对目标业务***流量数据的特征建模的具体过程,有力的支持了铁路行业对加密流量管控能力的提升。
基于上述任一实施例,在本实施例中,根据本发明提供的铁路加密流量监测***,所述特征提取模型包括两阶段LSTM模型,所述两阶段LSTM模型用于提取所述流量数据的行为合规特征,相应的,所述智能分析子***利用深度学习模型检测和识别所述流量数据中的异常流量。
在本实施例中,两阶段LSTM模型是指在一个网络结构的两个阶段中分别构建独立LSTM模型,第一阶段LSTM提取流量数据包的特征,第二阶段LSTM提取网络流的序列特征,通过两个阶段LSTM的串联提取,更加全面地捕捉流量数据的特征信息。深度学习模型是指构建一种与人脑的认知结构类似的多层网络结构,模拟人类的认知过程,从经验中进行计算与学习,形成预测分类能力的模型。
在本实施例中,对目标业务***的流量数据进行异常检测,结合铁路领域特征与深度模型特征对流量数据进行行为画像,使用两阶段LSTM模型对流量数据合规性进行识别,通过构造业务流量基线模型,计算向量距离进行识别。相应的,基于两阶段LSTM模型提取的流量数据的行为合规特征,智能分析子***选用与两阶段LSTM模型对应的深度学习模型检测和识别流量数据中的异常流量。
两阶段LSTM模型的具体特征提取过程包括:流量数据输入两阶段LSTM模型后首先按数据包进行编码,在第一阶段的LSTM中,针对每个数据包进行深度学习,并逐个输出每个数据包的特征数据,即深度模型特征;在第二阶段中,将提取到的数据包时空、背景等领域特征与深度模型特征拼接在一起,形成完整的流量特征数据后输入至LSTM中,LSTM进一步学习流量数据之间的序列关系,最后使用分类器算法进行分类识别。
本发明提供的一种铁路加密流量监测***,特征建模子***选定的特征提取模型为两阶段LSTM模型,用于提取流量数据的行为合规特征,相应的,智能分析子***利用深度学习模型检测和识别流量数据中的异常流量,进一步阐明了针对目标业务***流量数据的特征建模的具体过程,有力的支持了铁路行业对加密流量管控能力的提升。
基于上述任一实施例,在本实施例中,根据本发明提供的铁路加密流量监测***,所述特征提取模型包括密码服务模型,所述密码服务模型用于提取所述流量数据的服务流量特征,相应的,所述智能分析子***利用机器学习模型检测和识别所述流量数据的加密服务类型。
在本实施例中,密码服务模型是指根据构建的一套特定特征提取规则,基于TCP/IP层的传输信息、上下文流量、业务流特征等,提取流量数据服务特征,实现对流量加密服务类型的分类的模型。机器学习模型是指一种算法的表达,通过海量数据对模型进行训练后,可以使用新的流量数据进行推理,并对这些新的流量数据进行预测分类。
在本实施例中,特征提取模型为密码服务模型,使用密码服务模型提取流量数据的服务流量特征,包括密钥协商流量特征、业务流量特征、管理流量特征和加密数据特征。相应的,智能分析子***中选用和密码服务模型对应的机器学习模型检测和识别目标业务***的流量数据的加密服务类型。
本发明提供的一种铁路加密流量监测***,特征建模子***选定的特征提取模型为密码服务模型,相应的,智能分析子***利用机器学习模型检测和识别流量数据中的加密服务类型,进一步阐明了针对目标业务***流量数据的特征建模的具体过程,有力的支持了铁路行业对加密流量管控能力的提升。
基于上述任一实施例,在本实施例中,根据本发明提供的铁路加密流量监测***,所述特征提取模型包括攻击识别模型,所述攻击识别模型用于提取所述流量数据的模式特征、组合特征和上下文特征,相应的,所述智能分析子***利用集成模型检测和识别所述流量数据的攻击行为。
在本实施例中,攻击识别模型是指基于通信交互行为对攻击行为进行识别,使用多尺度卷积窗口,提取加密流量中攻击流量特征的模型。集成模型是指通过组合多个分类器来完成学习、预测及分类任务的模型,一般通过集成方法可以将多个弱分类器组合成一个强分类器,集成模型中具体采用随机森林算法、GBDT算法等。
在本实施例中,特征提取模型为攻击识别模型,使用攻击识别模型提取流量数据的模式特征、组合特征和上下文特征。相应的,智能分析子***中选用和攻击识别模型对应的集成模型检测和识别目标业务***的流量数据的攻击行为,能够识别的攻击行为包括C&C攻击、DDoS攻击、中间人攻击、扫描探测攻击、暴力破解攻击等。
本发明提供的一种铁路加密流量监测***,特征建模子***选定的特征提取模型为攻击识别模型,相应的,智能分析子***利用集成模型检测和识别流量数据中的攻击行为,进一步阐明了针对目标业务***流量数据的特征建模的具体过程,有力的支持了铁路行业对加密流量管控能力的提升。
为更好地说明本发明的技术方案,下面结合图2再次说明本发明中铁路加密流量监测***的详细完整的***构成,图2为本发明提供的一种铁路加密流量监测***的整体结构示意图,如图2所示,铁路加密流量监测***的整体结构包括:
数据获取子***,为整个铁路加密流量监测***提供数据基础。包括深度流解析(DFI,Deep Flow Inspection)、流量预处理和数据存储功能。铁路加密流量监测***与态势感知***进行联动,在部署时,针对需要监测的业务***,对核心交换机或服务器交换机上的流量进行旁路,使用端口镜像技术将业务流量复制并从特定输出端口发出,DFI设备与探针直接相连,获取管控中心侧采集到的流量数据。该流量数据以pcap包的形式被DFI设备获取,初步生成了流量数据的部分特征,同时,由于流量数据中包含了部分网络广播或心跳包等冗余流量,采用流量预处理设备,根据不同采集到的流量数据情况进行初始的流量过滤,并将处理好的流量数据存储在存储设备中。
特征建模子***,该模块实现了对数据流和数据包的特征提取,根据检测要求,设计明密流量智能识别模型、加密协议识别、加密服务识别、异常行为检测及攻击行为识别等不同的特征建模方法。在对明密流量进行识别时,提取流量数据的流特征和包特征,流特征主要包括分组特征、熵特征、统计特征和距离特征,包特征包括负载特征、包分布特征、五元组信息及随机性特征;在对加密协议进行识别时,主要提取其协议特征,包括隧道通信特征、层叠加密特征、行为特征和距离特征;在对密码服务进行识别时,主要提取其服务流量特征,包括密钥协商流量特征、业务流量特征、管理流量特征和加密数据特征;在对加密流量进行异常检测时,结合对铁路领域特征与深度模型特征对加密流量进行行为画像,针对其合规性进行识别,通过构造业务流量基线模型,计算向量距离进行识别;在对攻击行为进行识别时,主要提取攻击行为的模式特征、组合特征以及上下文特征。
智能分析子***,通过对各类样本进行机器学习,构造识别和监测模型,根据业务***流量数据的不同的特征建模方法,采用不同的智能分析模型,包括关联分析模型,分类器模型,机器学习模型,深度学习模型,集成模型,同时,由于加密流量分析大多建立在背景流量基础上,随着业务变化会产生一定的模型偏移问题,采用模型自适应技术保证其模型检测和识别效率。通过人工介入和模型动态反馈的方式,更新模型,保证模型质量。同时,由于实际部署的轻量及运算需求,构造模型压缩模块。
配置管理子***,铁路加密流量监测***由多种类型的组件和中间件组成,包括流量特征库、智能分析模型库、***运行策略库、深度学***台、中心侧通信组件、大数据存储和运算平台。需要对整个铁路加密流量监测***进行管理,主要包括特征建模管理、模型管理、策略管理、告警管理和平台管理。
另一方面,本发明还提供一种铁路加密流量监测方法,所述方法是基于上述任一项所述的铁路加密流量监测方法***实现的,图2为本发明提供的铁路加密流量监测方法的流程示意图,如图2所示,方法包括:
步骤S310、特征建模子***接收由数据获取子***获取的目标业务***的流量数据;
步骤S320、特征建模子***根据所述流量数据的业务需求和识别场景,选用对应的特征提取模型,并利用所述特征提取模型提取所述流量数据的数据特征;
步骤S330、特征建模子***将所述流量数据的数据特征传给智能分析子***,由智能分析子***根据所述特征提取模型选用对应的智能分析模型,并利用所述智能分析模型对所述流量数据进行检测和识别。
在本实施例中,数据获取子***获取目标业务***的流量数据,并发送给特征建模子***,特征建模子***根据目标业务***流量数据的业务需求和识别场景,自主选用对应的特征提取模型,并利用选定的特征提取模型提取目标业务***流量数据的数据特征,最后将提取的目标业务***流量数据的数据特征传给智能分析子***,由智能分析子***根据选定的特征提取模型选用对应的智能分析模型,并由选定的智能分析模型,基于目标业务***流量数据的数据特征,对目标业务***流量数据进行检测和识别。
本发明提供的一种铁路加密流量监测方法,通过数据获取子***获取目标业务***的流量数据,通过特征建模子***接收数据获取子***传来的目标业务***的流量数据,根据流量数据的业务需求和识别场景选用对应的特征提取模型,并利用特征提取模型提取流量数据的数据特征,通过智能分析子***根据选定的特征提取模型选用对应的智能分析模型,由智能分析模型对流量数据进行检测和识别。本发明通过流程化的智能监控***,自定义调用工具,实时识别和监测不同粒度的加密流量及加密流量威胁,提升了铁路行业对加密流量的管控能力。
另一方面,本发明还提供一种电子设备,图4示例了一种电子设备的实体结构示意图,如图4所示,该电子设备可以包括处理器410、通信总线440、存储器430、通信接口420以及存储在所述存储器430上并可在所述处理器410上运行的计算机程序,其中,处理器340、通信接口420、存储器430通过通信总线440完成相互间的通信,处理器410可以调用存储器430中的逻辑指令,以执行铁路加密流量监测方法,该方法包括:
特征建模子***接收由数据获取子***获取的目标业务***的流量数据;
特征建模子***根据所述流量数据的业务需求和识别场景,选用对应的特征提取模型,并利用所述特征提取模型提取所述流量数据的数据特征;
特征建模子***将所述流量数据的数据特征传给智能分析子***,由智能分析子***根据所述特征提取模型选用对应的智能分析模型,并利用所述智能分析模型对所述流量数据进行检测和识别。
最后,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,当所述计算机程序被处理器执行时,可以实现铁路加密流量监测方法,该方法包括:
特征建模子***接收由数据获取子***获取的目标业务***的流量数据;
特征建模子***根据所述流量数据的业务需求和识别场景,选用对应的特征提取模型,并利用所述特征提取模型提取所述流量数据的数据特征;
特征建模子***将所述流量数据的数据特征传给智能分析子***,由智能分析子***根据所述特征提取模型选用对应的智能分析模型,并利用所述智能分析模型对所述流量数据进行检测和识别。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种铁路加密流量监测***,其特征在于,包括:数据获取子***、特征建模子***、智能分析子***和配置管理子***;
所述数据获取子***用于获取目标业务***的流量数据;其中,所述目标业务***为需要被监测的业务***;
所述特征建模子***用于接收所述数据获取子***传来的所述目标业务***的流量数据;用于根据所述流量数据的的业务需求和识别场景,选用对应的特征提取模型;并利用所述特征提取模型提取所述流量数据的数据特征;
所述智能分析子***用于接收所述特征建模子***传来的所述流量数据的数据特征,并根据所述特征提取模型选用对应的智能分析模型,基于所述流量数据的数据特征,利用所述智能分析模型对所述流量数据进行检测和识别,所述智能分析模型包括关联分析模型、分类器模型、深度学习模型、机器学习模型和集成模型中的至少一个;
所述配置管理子***用于对整个铁路加密流量监测***进行配置管理。
2.根据权利要求1所述的铁路加密流量监测***,其特征在于,所述数据获取子***包括:
深度流解析模块、流量预处理模块和数据存储模块;
其中,所述深度流解析模块用于获取采集到的流量数据;
所述流量预处理模块用于过滤掉所述流量数据中的冗余流量;
所述数据存储模块用于存储所述流量数据。
3.根据权利要求1所述的铁路加密流量监测***,其特征在于,所述特征提取模型包括Elmo+LSTM+SelfAttention模型,所述Elmo+LSTM+SelfAttention模型用于提取所述流量数据的流特征和包特征,相应的,所述智能分析子***利用关联分析模型检测和识别所述流量数据中的密文流量与明文流量。
4.根据权利要求1所述的铁路加密流量监测***,其特征在于,所述特征提取模型包括载荷相邻概率模型,所述载荷相邻概率模型用于提取所述流量数据的协议特征,相应的,所述智能分析子***利用分类器模型检测和识别所述流量数据的加密协议类型。
5.根据权利要求1所述的铁路加密流量监测***,其特征在于,所述特征提取模型包括两阶段LSTM模型,所述两阶段LSTM模型用于提取所述流量数据的行为合规特征,相应的,所述智能分析子***利用深度学习模型检测和识别所述流量数据中的异常流量。
6.根据权利要求1所述的铁路加密流量监测***,其特征在于,所述特征提取模型包括密码服务模型,所述密码服务模型用于提取所述流量数据的服务流量特征,相应的,所述智能分析子***利用机器学习模型检测和识别所述流量数据的加密服务类型。
7.根据权利要求1所述的铁路加密流量监测***,其特征在于,所述特征提取模型包括攻击识别模型,所述攻击识别模型用于提取所述流量数据的模式特征、组合特征和上下文特征,相应的,所述智能分析子***利用集成模型检测和识别所述流量数据的攻击行为。
8.一种铁路加密流量监测方法,其特征在于,所述方法是基于权利要求1至7任一项所述的铁路加密流量监测***实现的,方法包括:
特征建模子***接收由数据获取子***获取的目标业务***的流量数据;
特征建模子***根据所述流量数据的的业务需求和识别场景,选用对应的特征提取模型,并利用所述特征提取模型提取所述流量数据的数据特征;
特征建模子***将所述流量数据的数据特征传给智能分析子***,由智能分析子***根据所述特征提取模型选用对应的智能分析模型,并利用所述智能分析模型对所述流量数据进行检测和识别。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求8所述铁路加密流量监测方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求8所述铁路加密流量监测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210827751.5A CN115174240A (zh) | 2022-07-13 | 2022-07-13 | 一种铁路加密流量监测***及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210827751.5A CN115174240A (zh) | 2022-07-13 | 2022-07-13 | 一种铁路加密流量监测***及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115174240A true CN115174240A (zh) | 2022-10-11 |
Family
ID=83495015
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210827751.5A Pending CN115174240A (zh) | 2022-07-13 | 2022-07-13 | 一种铁路加密流量监测***及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115174240A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115883789A (zh) * | 2022-11-30 | 2023-03-31 | 中国铁道科学研究院集团有限公司 | 一种基于5g的铁路基础设施监测及信息安全防护的*** |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | ***通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和*** |
CN105430021A (zh) * | 2015-12-31 | 2016-03-23 | 中国人民解放军国防科学技术大学 | 基于载荷相邻概率模型的加密流量识别方法 |
CN107819646A (zh) * | 2017-10-23 | 2018-03-20 | 国网冀北电力有限公司信息通信分公司 | 一种分布式传输的网络流量分类***和方法 |
WO2019114700A1 (zh) * | 2017-12-15 | 2019-06-20 | 华为技术有限公司 | 流量分析方法、公共服务流量归属方法及相应的计算机*** |
CN112671757A (zh) * | 2020-12-22 | 2021-04-16 | 无锡江南计算技术研究所 | 一种基于自动机器学习的加密流量协议识别方法及装置 |
CN113824729A (zh) * | 2021-09-27 | 2021-12-21 | 杭州安恒信息技术股份有限公司 | 一种加密流量检测方法、***及相关装置 |
-
2022
- 2022-07-13 CN CN202210827751.5A patent/CN115174240A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | ***通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和*** |
CN105430021A (zh) * | 2015-12-31 | 2016-03-23 | 中国人民解放军国防科学技术大学 | 基于载荷相邻概率模型的加密流量识别方法 |
CN107819646A (zh) * | 2017-10-23 | 2018-03-20 | 国网冀北电力有限公司信息通信分公司 | 一种分布式传输的网络流量分类***和方法 |
WO2019114700A1 (zh) * | 2017-12-15 | 2019-06-20 | 华为技术有限公司 | 流量分析方法、公共服务流量归属方法及相应的计算机*** |
CN112671757A (zh) * | 2020-12-22 | 2021-04-16 | 无锡江南计算技术研究所 | 一种基于自动机器学习的加密流量协议识别方法及装置 |
CN113824729A (zh) * | 2021-09-27 | 2021-12-21 | 杭州安恒信息技术股份有限公司 | 一种加密流量检测方法、***及相关装置 |
Non-Patent Citations (2)
Title |
---|
李洋;张慧;肖雪露;: "基于深度报文检测和机器学习的加密流量识别方法", 计算机产品与流通, no. 10, 9 September 2020 (2020-09-09) * |
王上淇: "基于深度学习的加密流量算法识别研究", 《万方学位论文》, 27 November 2020 (2020-11-27), pages 2 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115883789A (zh) * | 2022-11-30 | 2023-03-31 | 中国铁道科学研究院集团有限公司 | 一种基于5g的铁路基础设施监测及信息安全防护的*** |
CN115883789B (zh) * | 2022-11-30 | 2023-12-01 | 中国铁道科学研究院集团有限公司 | 一种基于5g的铁路基础设施监测及信息安全防护的*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Karatas et al. | Deep learning in intrusion detection systems | |
US11997113B2 (en) | Treating data flows differently based on level of interest | |
Ashraf et al. | IoTBoT-IDS: A novel statistical learning-enabled botnet detection framework for protecting networks of smart cities | |
CN107040517B (zh) | 一种面向云计算环境的认知入侵检测方法 | |
Al-Hawawreh et al. | Deep learning-enabled threat intelligence scheme in the internet of things networks | |
US11621970B2 (en) | Machine learning based intrusion detection system for mission critical systems | |
US20230012220A1 (en) | Method for determining likely malicious behavior based on abnormal behavior pattern comparison | |
Duan et al. | Application of a dynamic line graph neural network for intrusion detection with semisupervised learning | |
Jiang et al. | An approach to detect remote access trojan in the early stage of communication | |
Sudharsan et al. | Edge2guard: Botnet attacks detecting offline models for resource-constrained iot devices | |
US20220224724A1 (en) | Artificial intelligence based analyst as an evaluator | |
Lim et al. | Network anomaly detection system: The state of art of network behaviour analysis | |
CN114531273A (zh) | 一种防御工业网络***分布式拒绝服务攻击的方法 | |
CN113518042A (zh) | 一种数据处理方法、装置、设备及存储介质 | |
CN115174240A (zh) | 一种铁路加密流量监测***及方法 | |
Ali et al. | Securing IoT based maritime transportation system through entropy-based dual-stack machine learning framework | |
CN104580087A (zh) | 一种免疫网络*** | |
CN115225301B (zh) | 基于d-s证据理论的混合入侵检测方法和*** | |
Nicheporuk et al. | A System for Detecting Anomalies and Identifying Smart Home Devices Using Collective Communication. | |
Pelaez et al. | VoIP network forensic patterns | |
McCusker et al. | Deriving behavior primitives from aggregate network features using support vector machines | |
Abou Haidar et al. | High perception intrusion detection system using neural networks | |
Saeed et al. | Machine learning based intrusion detection system in cloud environment | |
Deraman et al. | Multilayer packet tagging for network behaviour analysis | |
Sadotra et al. | Intrusion Detection in Networks Security: A New Proposed Min-Min Algorithm. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |