網(wǎng)絡安全檢測方法及裝置制造方法
【專利摘要】一種網(wǎng)絡安全檢測方法及裝置�����,其方法包括:采集各設備的流量數(shù)據(jù)���,將各流量數(shù)據(jù)進行歸一化處理�����,獲得具有空間信息�����、時間信息和技術指標信息的設備數(shù)據(jù)流���;存儲設備數(shù)據(jù)流�;將設備數(shù)據(jù)流的空間信息與預設的正常數(shù)據(jù)流集合進行匹配���,若不匹配���,則網(wǎng)絡異常,若匹配���,則將設備數(shù)據(jù)流與指標數(shù)據(jù)進行比較���;若屬于第一指標數(shù)據(jù),則將設備數(shù)據(jù)流與預設特征基線進行比較����;若屬于第二指標數(shù)據(jù),則查詢該設備數(shù)據(jù)流對應的歷史設備數(shù)據(jù)流���,確定設備數(shù)據(jù)流的周期性基線���,并進行比較�����;若屬于第三指標數(shù)據(jù),則查詢該設備數(shù)據(jù)流對應的正常歷史設備數(shù)據(jù)流���,確定預設時間內(nèi)設備數(shù)據(jù)流的平均值�,并進行比較���,從而判斷出網(wǎng)絡異常狀態(tài)����。本發(fā)明提高網(wǎng)絡安全檢測精確度����。
【專利說明】網(wǎng)絡安全檢測方法及裝置
【技術領域】
[0001]本發(fā)明涉及網(wǎng)絡通訊【技術領域】,特別是涉及網(wǎng)絡安全檢測方法及裝置��。
【背景技術】
[0002]隨著電力自動化水平的提高����,通信技術和網(wǎng)絡技術的發(fā)展�����,電力系統(tǒng)越來越依賴電力信息網(wǎng)絡來保障其安全�、可靠和高效的運行�����,信息網(wǎng)絡的安全直接關系到電力系統(tǒng)的安全�,因此保證電力系統(tǒng)信息安全顯得尤為重要。
[0003]隨著一體化智能運行系統(tǒng)研發(fā)及應用的深入發(fā)展��,基于OSB總線的各種應用之間的交互快速增長�,安全問題逐漸突出,傳統(tǒng)的電力二次系統(tǒng)安全防護面臨巨大的新挑戰(zhàn)�����。與傳統(tǒng)獨立的應用系統(tǒng)不同�,一體化智能運行系統(tǒng)各應用之間的系統(tǒng)邊界更加模糊,應用間交互更加復雜�。結合生產(chǎn)控制系統(tǒng)的網(wǎng)絡及業(yè)務特征,綜合運用多種先進的信息安全技術手段����,設計合理使用的應用服務特征識別及應用交互行為分析系統(tǒng)�����,在應對二次系統(tǒng)安全防護新問題�����,確保系統(tǒng)安全穩(wěn)定運行方面具有重要意義�����。
[0004]伴隨著帶寬的增加,電力二次系統(tǒng)網(wǎng)絡上的應用和業(yè)務也不斷的豐富���,如控制業(yè)務流量��,監(jiān)控業(yè)務流量和其它誤操作流量等等����。與此同時���,網(wǎng)絡攻擊的成本和技術門檻大幅下降�,網(wǎng)絡上會出現(xiàn)各種攻擊和異常流量。在這種流量成分日益復雜����,異常流量海量涌現(xiàn)的情況下,對業(yè)務行為交互模式的深入分析從而全面了解業(yè)務流量的各種分布以及變化趨勢就顯得十分必要了����。
[0005]傳統(tǒng)方法是采用IDS技術(Intrusion Detection System,入侵檢測檢測),就是對入侵行為的發(fā)覺�����。他通過對計算機網(wǎng)絡或計算機系統(tǒng)中若干關鍵點收集信息����,并對其進行關鍵字判斷,從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象�。也可以通過對每個設備判斷流量,當流量大于閾值時�,則判斷為異常。然而�,往往有些設備流量較大時,設備數(shù)據(jù)流屬于正常情況����,采用關鍵字或閾值的判斷方式�����,常將正常的設備數(shù)據(jù)流誤判為異常��,從而得出網(wǎng)絡異常��,檢測精確度低�。
【發(fā)明內(nèi)容】
[0006]基于此����,有必要針對檢測精度低的問題,提供一種網(wǎng)絡安全檢測方法及裝置��。
[0007]一種網(wǎng)絡安全檢測方法��,包括步驟:
[0008]采集網(wǎng)絡中各設備的流量數(shù)據(jù)��,將各所述流量數(shù)據(jù)進行歸一化處理���,獲得具有空間信息、時間信息和技術指標信息的設備數(shù)據(jù)流��;
[0009]存儲所述設備數(shù)據(jù)流�;
[0010]將設備數(shù)據(jù)流的空間信息與預設的正常數(shù)據(jù)流集合進行匹配���,若不匹配,則網(wǎng)絡異常����,若匹配,則將設備數(shù)據(jù)流與指標數(shù)據(jù)進行比較���;
[0011]若設備數(shù)據(jù)流屬于第一指標數(shù)據(jù)���,則比較所述設備數(shù)據(jù)流是否符合預設特征基線,若不符合�,則網(wǎng)絡異常,其中���,特征基線包括閾值���、關鍵字、閾值范圍�;
[0012]若設備數(shù)據(jù)流屬于第二指標數(shù)據(jù),則查詢該設備數(shù)據(jù)流對應的歷史設備數(shù)據(jù)流�����,根據(jù)歷史設備數(shù)據(jù)流確定設備數(shù)據(jù)流的周期性基線,若該設備數(shù)據(jù)流不符合周期波動���,則網(wǎng)絡異常��;
[0013]若設備數(shù)據(jù)流屬于第三指標數(shù)據(jù)����,則查詢該設備數(shù)據(jù)流對應的正常歷史設備數(shù)據(jù)流�,根據(jù)歷史設備數(shù)據(jù)流確定預設時間內(nèi)設備數(shù)據(jù)流的平均值,計算該設備數(shù)據(jù)流與平均值的波動范圍�����,若所述波動范圍不符合預設波動范圍���,則網(wǎng)絡異常�。
[0014]一種網(wǎng)絡安全檢測裝置�,包括:
[0015]采集模塊�����,用于采集網(wǎng)絡中各設備的流量數(shù)據(jù)�����;
[0016]歸一化模塊,用于將各所述流量數(shù)據(jù)進行歸一化處理�����,獲得具有空間信息�����、時間信息和技術指標信息的設備數(shù)據(jù)流��;
[0017]存儲模塊���,用于存儲所述設備數(shù)據(jù)流�;
[0018]異常判斷模塊�����,用于將設備數(shù)據(jù)流的空間信息與預設的正常數(shù)據(jù)流集合進行匹配�,若不匹配,則網(wǎng)絡異常����,若匹配�����,則將設備數(shù)據(jù)流與指標數(shù)據(jù)進行比較�;
[0019]若設備數(shù)據(jù)流屬于第一指標數(shù)據(jù)�,則比較所述設備數(shù)據(jù)流是否符合預設特征基線,若不符合����,則網(wǎng)絡異常,其中����,特征基線包括閾值、關鍵字�、閾值范圍;
[0020]若設備數(shù)據(jù)流屬于第二指標數(shù)據(jù)�,則查詢該設備數(shù)據(jù)流對應的歷史設備數(shù)據(jù)流,根據(jù)歷史設備數(shù)據(jù)流確定設備數(shù)據(jù)流的周期性基線���,若該設備數(shù)據(jù)流不符合周期波動��,則網(wǎng)絡異常;
[0021]若設備數(shù)據(jù)流屬于第三指標數(shù)據(jù)���,則查詢該設備數(shù)據(jù)流對應的正常歷史設備數(shù)據(jù)流����,根據(jù)歷史設備數(shù)據(jù)流確定預設時間內(nèi)設備數(shù)據(jù)流的平均值,計算該設備數(shù)據(jù)流與平均值的波動范圍�����,若所述波動范圍不符合預設波動范圍�����,則網(wǎng)絡異常���。
[0022]上述網(wǎng)絡安全檢測方法及裝置�����,通過將設備數(shù)據(jù)流進行歸一化后進行存儲���,判斷設備數(shù)據(jù)流與預設的正常數(shù)據(jù)流集合是否相符,即判斷該設備數(shù)據(jù)流是否符合規(guī)格����。比如由于外來入侵或異常病毒等導致新增的設備數(shù)據(jù)流不屬于正常數(shù)據(jù)流集合����,則該網(wǎng)絡異常�����。當符合正常數(shù)據(jù)流集合時���,然后進一步判斷設備數(shù)據(jù)流是否屬于第一�����、第二或第三指標數(shù)據(jù)�,不同指標數(shù)據(jù)采用不同判斷方法�,當為周期性或漸變性設備數(shù)據(jù)流時,根據(jù)歷史設備數(shù)據(jù)流來進行判斷���,從而提高了網(wǎng)絡安全檢測的準確度��。
【專利附圖】
【附圖說明】
[0023]圖1為本發(fā)明網(wǎng)絡安全檢測方法的流程示意圖�;
[0024]圖2為本發(fā)明網(wǎng)絡安全檢測裝置的結構示意圖�����。
【具體實施方式】
[0025]以下針對本發(fā)明網(wǎng)絡安全檢測方法及裝置的各實施例進行詳細的描述。
[0026]首先針對網(wǎng)絡安全檢測方法的各實施例進行描述���。
[0027]參見圖1,為本發(fā)明網(wǎng)絡安全檢測方法的流程示意圖�����,包括步驟:
[0028]步驟SlOl:采集網(wǎng)絡中各設備的流量數(shù)據(jù)��;
[0029]數(shù)據(jù)采集是所有分析設備的基礎�����,是整個系統(tǒng)數(shù)據(jù)流的入口�����。數(shù)據(jù)采集的大體上可以有Netflow��、sFlow���、SPAN�����、SNMP/RM0N四種方式�。這些方式是與設備相關的。即某些設備只能支持某一種或幾種采集方式��。每種采集方式有其固有的優(yōu)勢和局限�����。[0030]在其中一個實施例中�,采用flow流量與鏡像流量自適應的復合采集方案,既采集鏡像數(shù)據(jù)��,也可以直接采集flow數(shù)據(jù)��。鏡像數(shù)據(jù)是一端口產(chǎn)生的流量備份����,作為分析數(shù)據(jù)數(shù)。Flow流量包括網(wǎng)絡信息��、時間��、數(shù)量等信息�����。
[0031]步驟S102:將各流量數(shù)據(jù)進行歸一化處理,獲得具有空間信息��、時間信息和技術指標信息的設備數(shù)據(jù)流���。采集的各種流量數(shù)據(jù)后,本方案會歸一化為統(tǒng)一的格式���,便于后續(xù)分析與存儲���。
[0032]步驟S103:存儲設備數(shù)據(jù)流。
[0033]存儲的方式有很多種����,可以直接將獲取的設備數(shù)據(jù)流進行存儲。在其中一個實施例中����,將流量數(shù)據(jù)按照vFlow格式進行存儲,vFlow格式包括頭部數(shù)據(jù)和數(shù)據(jù)部數(shù)據(jù)�����,其中,頭部數(shù)據(jù)包括版本�、流記錄個數(shù)、系統(tǒng)啟動至今時間���、系統(tǒng)時間�����、流序列號��、引擎類型��、引擎序號����、采樣率�,數(shù)據(jù)部數(shù)據(jù)包括源IP地址、目的IP地址�、下一跳路由器的IP地址、輸入接口索引��、輸出接口索引��、流中報文、在流的報文中第三層字節(jié)的總數(shù)���、流開始的時間����、流中最后一個報文被接收時的時間�、源端口、目的端口�、未使用的字節(jié)、TCP標志位�、IP協(xié)議、發(fā)送TCP校驗和錯誤次數(shù)���、發(fā)送TCP重傳次數(shù)、發(fā)送TCP零窗口次數(shù)���、發(fā)送RST包數(shù)�、發(fā)送FIN包書�����、發(fā)送SYN包數(shù)�����、連接成功次數(shù)、連接失敗次數(shù)��?��?梢愿鶕?jù)頭部數(shù)據(jù)和數(shù)據(jù)部數(shù)據(jù)查詢該設備數(shù)據(jù)流對應的歷史設備數(shù)據(jù)流����。以這種方式存儲��,可以根據(jù)頭部數(shù)據(jù)和數(shù)據(jù)部數(shù)據(jù)任一進行查詢��,擴大了查詢維度����,同時也為后續(xù)分析提供了多種分析途徑。不限于傳統(tǒng)中根據(jù)IP地址或端口查詢����,本方案還可以根據(jù)索引、序號等進行查詢��,同時還可以查詢流中最后一個報文被接收時的時間�、連接失敗次數(shù)、發(fā)送TCP校驗和錯誤次數(shù)等。例如��,vFlow格式可以定義如下:
字段名 I 類型長度 I 描述 _頭部格式_
[0034]version uintl6 版本
_count__uintl6__流記 錄個數(shù)_
sysUptimeuint32系統(tǒng)啟動至今時間
【權利要求】
1.一種網(wǎng)絡安全檢測方法�,其特征在于,包括步驟: 采集網(wǎng)絡中各設備的流量數(shù)據(jù)�����,將各所述流量數(shù)據(jù)進行歸一化處理�����,獲得具有空間信息���、時間信息和技術指標信息的設備數(shù)據(jù)流�����; 存儲所述設備數(shù)據(jù)流; 將設備數(shù)據(jù)流的空間信息與預設的正常數(shù)據(jù)流集合進行匹配�����,若不匹配���,則網(wǎng)絡異常���,若匹配����,則將設備數(shù)據(jù)流與指標數(shù)據(jù)進行比較�����; 若設備數(shù)據(jù)流屬于第一指標數(shù)據(jù)�����,則比較所述設備數(shù)據(jù)流是否符合預設特征基線�����,若不符合��,則網(wǎng)絡異常�,其中,特征基線包括閾值��、關鍵字���、閾值范圍�����; 若設備數(shù)據(jù)流屬于第二指標數(shù)據(jù)���,則查詢該設備數(shù)據(jù)流對應的歷史設備數(shù)據(jù)流�,根據(jù)歷史設備數(shù)據(jù)流確定設備數(shù)據(jù)流的周期性基線�,若該設備數(shù)據(jù)流不符合周期波動,則網(wǎng)絡異常��; 若設備數(shù)據(jù)流屬于第三指標數(shù)據(jù)�,則查詢該設備數(shù)據(jù)流對應的正常歷史設備數(shù)據(jù)流,根據(jù)歷史設備數(shù)據(jù)流確定預設時間內(nèi)設備數(shù)據(jù)流的平均值����,計算該設備數(shù)據(jù)流與平均值的波動范圍,若所述波動范圍不符合預設波動范圍�,則網(wǎng)絡異常。
2.根據(jù)權利要求1所述的網(wǎng)絡安全檢測方法��,其特征在于�����,所述存儲所述設備數(shù)據(jù)流步驟�,包括步驟: 根據(jù)空間信息、時間信息��、預設聚合條件和預設時間粒度將設備數(shù)據(jù)流進行流量疊加���,存儲疊加后的流量數(shù)據(jù)和聚合項��。
3.根據(jù)權利要求2所 述的網(wǎng)絡安全檢測方法�����,其特征在于����,所述根據(jù)空間信息���、時間信息��、預設聚合條件和預設時間粒度將設備數(shù)據(jù)流進行流量疊加�,存儲疊加后的流量數(shù)據(jù)和聚合項步驟之后��,還包括步驟: 根據(jù)所述預設聚合條件�����、預設時間粒度、疊加后的流量數(shù)據(jù)進行關聯(lián)分析���,生成報表���,實時更新并顯示所述報表。
4.根據(jù)權利要求2所述的網(wǎng)絡安全檢測方法�,其特征在于,所述根據(jù)空間信息�����、時間信息��、預設聚合條件和預設時間粒度將設備數(shù)據(jù)流進行流量疊加����,存儲疊加后的流量數(shù)據(jù)和聚合項步驟之后,還包括步驟: 根據(jù)所述預設聚合條件�、預設時間粒度、疊加后的流量數(shù)據(jù)分時段���、分線程查詢設備數(shù)據(jù)流��。
5.根據(jù)權利要求1所述的網(wǎng)絡安全檢測方法���,其特征在于,所述存儲所述設備數(shù)據(jù)流步驟��,包括步驟:將所述設備數(shù)據(jù)流按照vFlow格式進行存儲��,vFlow格式包括頭部數(shù)據(jù)和數(shù)據(jù)部數(shù)據(jù)���, 其中����,頭部數(shù)據(jù)包括版本����、流記錄個數(shù)、系統(tǒng)啟動至今時間�、系統(tǒng)時間、流序列號�����、引擎類型、引擎序號����、采樣率����,所述數(shù)據(jù)部數(shù)據(jù)包括源IP地址���、目的IP地址����、下一跳路由器的IP地址����、輸入接口索引����、輸出接口索引��、流中報文��、在流的報文中第三層字節(jié)的總數(shù)�����、流開始的時間、流中最后一個報文被接收時的時間、源端口、目的端口����、未使用的字節(jié)、TCP標志位��、IP協(xié)議�、發(fā)送TCP校驗和錯誤次數(shù)、發(fā)送TCP重傳次數(shù)�、發(fā)送TCP零窗口次數(shù)、發(fā)送RST包數(shù)���、發(fā)送FIN包書����、發(fā)送SYN包數(shù)�����、連接成功次數(shù)�����、連接失敗次數(shù)�; 根據(jù)頭部數(shù)據(jù)和數(shù)據(jù)部數(shù)據(jù)查詢該設備數(shù)據(jù)流對應的歷史設備數(shù)據(jù)流。
6.一種網(wǎng)絡安全檢測裝置,其特征在于,包括:采集模塊����,用于采集網(wǎng)絡中各設備的流量數(shù)據(jù); 歸一化模塊,用于將各所述流量數(shù)據(jù)進行歸一化處理���,獲得具有空間信息����、時間信息和技術指標信息的設備數(shù)據(jù)流�����; 存儲模塊,用于存儲所述設備數(shù)據(jù)流; 異常判斷模塊����,用于將設備數(shù)據(jù)流的空間信息與預設的正常數(shù)據(jù)流集合進行匹配,若不匹配���,則網(wǎng)絡異常,若匹配��,則將設備數(shù)據(jù)流與指標數(shù)據(jù)進行比較�����; 若設備數(shù)據(jù)流屬于第一指標數(shù)據(jù)���,則比較所述設備數(shù)據(jù)流是否符合預設特征基線�,若不符合,則網(wǎng)絡異常���,其中����,特征基線包括閾值�����、關鍵字���、閾值范圍���; 若設備數(shù)據(jù)流屬于第二指標數(shù)據(jù),則查詢該設備數(shù)據(jù)流對應的歷史設備數(shù)據(jù)流���,根據(jù)歷史設備數(shù)據(jù)流確定設備數(shù)據(jù)流的周期性基線���,若該設備數(shù)據(jù)流不符合周期波動,則網(wǎng)絡異常��; 若設備數(shù)據(jù)流屬于第三指標數(shù)據(jù)���,則查詢該設備數(shù)據(jù)流對應的正常歷史設備數(shù)據(jù)流��,根據(jù)歷史設備數(shù)據(jù)流確定預設時間內(nèi)設備數(shù)據(jù)流的平均值�����,計算該設備數(shù)據(jù)流與平均值的波動范圍�����,若所述波動范圍不符合預設波動范圍�����,則網(wǎng)絡異常���。
7.根據(jù)權利要求6所述的網(wǎng)絡安全檢測裝置����,其特征在于�����,所述存儲模塊還用于: 根據(jù)空間信息�、時間信息、預設聚合條件和預設時間粒度將設備數(shù)據(jù)流進行流量疊加�,存儲疊加后的流量數(shù)據(jù)和聚合項。
8.根據(jù)權利要求7所述的網(wǎng)絡安全檢測裝置����,其特征在于,還包括關聯(lián)分析模塊��,用于根據(jù)所述預設聚合條件����、預設時間粒度、疊加后的流量數(shù)據(jù)進行關聯(lián)分析��,生成報表��,實時更新并顯示所述報表��。`
9.根據(jù)權利要求7所述的網(wǎng)絡安全檢測裝置����,其特征在于,還包括查詢模塊���,用于根據(jù)所述預設聚合條件�����、預設時間粒度�����、疊加后的流量數(shù)據(jù)分時段�、分線程查詢設備數(shù)據(jù)流。
10.根據(jù)權利要求6所述的網(wǎng)絡安全檢測裝置�����,其特征在于�,所述存儲模塊用于將所述設備數(shù)據(jù)流按照vFlow格式進行存儲,vFlow格式包括頭部數(shù)據(jù)和數(shù)據(jù)部數(shù)據(jù)����, 其中,頭部數(shù)據(jù)包括版本��、流記錄個數(shù)��、系統(tǒng)啟動至今時間�、系統(tǒng)時間���、流序列號�、引擎類型、引擎序號���、采樣率�����,所述數(shù)據(jù)部數(shù)據(jù)包括源IP地址���、目的IP地址、下一跳路由器的IP地址���、輸入接口索引�、輸出接口索引���、流中報文�����、在流的報文中第三層字節(jié)的總數(shù)��、流開始的時間�、流中最后一個報文被接收時的時間、源端口�、目的端口、未使用的字節(jié)��、TCP標志位��、IP協(xié)議�����、發(fā)送TCP校驗和錯誤次數(shù)��、發(fā)送TCP重傳次數(shù)��、發(fā)送TCP零窗口次數(shù)�、發(fā)送RST包數(shù)、發(fā)送FIN包書����、發(fā)送SYN包數(shù)、連接成功次數(shù)�、連接失敗次數(shù); 所述異常判斷模塊����,還用于根據(jù)頭部數(shù)據(jù)和數(shù)據(jù)部數(shù)據(jù)查詢該設備數(shù)據(jù)流對應的歷史設備數(shù)據(jù)流。
【文檔編號】H04L29/06GK103532940SQ201310461691
【公開日】2014年1月22日 申請日期:2013年9月30日 優(yōu)先權日:2013年9月30日
【發(fā)明者】周安, 蘇揚, 鄧大為 申請人:廣東電網(wǎng)公司電力調(diào)度控制中心