【技术实现步骤摘要】
网络入侵检测方法和装置
本专利技术涉及网络安全
,更具体地,涉及一种网络入侵检测方法和装置。
技术介绍
随着工业信息化的发展,工控网络的安全性逐渐成为人们关注的问题,为了应对工控网络被攻击的事件,需要对网络流量数据进行实时监测,以确定工控网络的运行状态。为了监控工控网络中的网络流量数据,需要对数据包的主要特征进行提取、判断数据包是否应该发送到/来自正确的设备,因此需要对工控网络内的设备进行识别。目前往往借助IP(网络之间互连的协议)、MAC(物理地址)、端口号等特征用于设备识别,根据这些特征判断数据包的合法性。然而这些特征很容易被网络攻击者所伪造,因此识别网络攻击的准确率较低,安全性不高。
技术实现思路
本专利技术实施例提供一种克服上述问题或者至少部分地解决上述问题的网络入侵检测方法、装置、电子设备和可读存储介质。第一方面,本专利技术实施例提供一种网络入侵检测方法包括:获取待检测的数据包,所述待检测的数据包包括设备标识;基于所述设备标识,获取预存的设备参考信息,所述设备参考信...
【技术保护点】
1.一种网络入侵检测方法,其特征在于,包括:/n获取待检测的数据包,所述待检测的数据包包括设备标识;/n基于所述设备标识,获取预存的设备参考信息,所述设备参考信息包括所述设备标识、预设参考周期和参考动态标识;/n基于数据包组,确定待检测动态标识,所述数据包组包括所述待检测的数据包,且所述数据包组中的每个数据包均包括所述设备标识;/n基于所述待检测动态标识和所述参考动态标识,确定所述待检测的数据包是否与所述设备标识对应的设备同源。/n
【技术特征摘要】
1.一种网络入侵检测方法,其特征在于,包括:
获取待检测的数据包,所述待检测的数据包包括设备标识;
基于所述设备标识,获取预存的设备参考信息,所述设备参考信息包括所述设备标识、预设参考周期和参考动态标识;
基于数据包组,确定待检测动态标识,所述数据包组包括所述待检测的数据包,且所述数据包组中的每个数据包均包括所述设备标识;
基于所述待检测动态标识和所述参考动态标识,确定所述待检测的数据包是否与所述设备标识对应的设备同源。
2.根据权利要求1所述的网络入侵检测方法,其特征在于,所述基于数据包组,确定待检测动态标识,包括:
提取所述数据包组的待检测负载向量和待检测响应时间向量,所述待检测负载向量用于表征所述数据包组的方向和负载长度,所述待检测响应时间向量用于表征设备响应时间以及服务器处理时间;
基于所述待检测负载向量和所述待检测响应时间向量,确定待检测设备向量;
基于所述待检测设备向量,确定所述待检测动态标识。
3.根据权利要求2所述的网络入侵检测方法,其特征在于,所述基于所述待检测设备向量,确定所述待检测动态标识,包括:
基于所述待检测设备向量,确定待检测响应时间统计特征,所述待检测响应时间统计特征用于表征预存的设备响应时间以及服务器处理时间;
基于所述待检测设备向量和所述待检测响应时间统计特征,确定所述待检测动态标识。
4.根据权利要求1所述的网络入侵检测方法,其特征在于,所述预存的设备参考信息的确定方法包括:
获取参考数据包,所述参考数据包包括所述设备标识;
提取所述参考数据包的参考负载向量和参考响应时间向量;
基于所述参考负载向量和所述参考响应时间向量,确定参考设备向量;
基于所述参考设备向量,确定所述设备参考信息。
5.根据权利要求4所述的网络入侵检测方法,其特征在于,所述基于所述参考设备向量...
【专利技术属性】
技术研发人员:李楠,金忠峰,刘超,李梅梅,黄伟庆,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。