【技术实现步骤摘要】
一种终端设备异常网络访问行为监测系统及方法
本专利技术属于流量监测
,具体涉及一种终端设备异常网络访问行为监测系统及方法。
技术介绍
物联网终端设备呈现规模庞大、结构复杂、种类多样等趋势。物联网要在短时间内做到异常网络访问行为监测,对硬件资源开销极高。此外,物联网络结构不灵活,网络越发失控,网络安全问题突出,人工维护工作海量,维护成本居高不下,无法适应不断涌现的新设备、新业务的监测需求。随着物联网事业的发展,物联网规模在不断扩大,网络攻击手段多样化,不可避免地带来物联网安全问题突出,对物联网正常运行带来巨大隐患。常用的流量监测手段有DPI(DeepPacketInspection,深度报文检测),在传统报文检测技术(数据链路层、网络层、传输层)之上增加了对应用层数据的应用协议识别,报文内容检测与深度解析。DPI技术可使用其三大类的检测手段:基于应用数据的“特征值”检测、基于应用层协议的识别检测、基于行为模式的数据检测。根据不同的检测方法对可能含有的异常数据的报文逐一的拆包分析,通过对报文内容的分析,深度挖据出宏...
【技术保护点】
1.一种终端设备异常网络访问行为监测系统,其特征是,包括转发模块、控制模块和应用程序,/n所述转发模块根据所述控制模块的指令获取采集数据与统计数据,得到第一采集数据集和第一统计数据集;/n所述控制模块分别对第一采集数据集和第一统计数据集中的数据进行清洗处理,打上标签,做成样本,根据这些样本生成监测模型并对监测模型进行训练;/n所述转发模块根据生成的监测模型下发的转发策略、采集策略和统计策略执行转发数据、采集数据和统计数据,并再次获取采集数据与统计数据,得到第二采集数据集和第二统计数据集;/n所述控制模块将第二采集数据集和第二统计数据集作为监测模型的输入,计算判断是否为异常流...
【技术特征摘要】
1.一种终端设备异常网络访问行为监测系统,其特征是,包括转发模块、控制模块和应用程序,
所述转发模块根据所述控制模块的指令获取采集数据与统计数据,得到第一采集数据集和第一统计数据集;
所述控制模块分别对第一采集数据集和第一统计数据集中的数据进行清洗处理,打上标签,做成样本,根据这些样本生成监测模型并对监测模型进行训练;
所述转发模块根据生成的监测模型下发的转发策略、采集策略和统计策略执行转发数据、采集数据和统计数据,并再次获取采集数据与统计数据,得到第二采集数据集和第二统计数据集;
所述控制模块将第二采集数据集和第二统计数据集作为监测模型的输入,计算判断是否为异常流量;若是异常流量,则发出告警;同时向应用程序提供应用程序接口。
2.根据权利要求1所述的终端设备异常网络访问行为监测系统,其特征是,所述转发模块包括解包器、转发器、采集器和统计器,所述解包器用于接收并解析网络包,获取网络包表项中的actionset,并根据actionset中的内容对网络包进行转发或丢弃;
所述转发器用于根据解包器对网络包的解析,处理并从指定的带外端口转发网络包或根据openflow协议,把网络包封装openflow消息的头部,并以switch-to-controller的消息类型从指定的带内端口输出至控制模块;
所述采集器用于根据actionset中的采集规则,抽取网络包中的字段,封装openflow消息的头部,并以switch-to-controller的消息类型从指定的带内端口输出至控制模块;同时,所述统计器用于根据actionset中的统计规则,更新统计数据。
3.根据权利要求1所述的终端设备异常网络访问行为监测系统,其特征是,所述控制模块包括控制器,所述控制器的安全组件包括openflow解析器、采样数据库、流学习库和DFI学习器,所述openflow解析器用于解析转发模块传送的switch-to-controller消息,把采样数据输入至采样数据库,把统计数据输入至流学习库;
所述采样数据库用于存储采样数据;
所述流学习库用于存...
【专利技术属性】
技术研发人员:汪洋,韦小刚,孙歆,李沁园,孙昌华,
申请(专利权)人:国网电力科学研究院有限公司,南京南瑞信息通信科技有限公司,国网浙江省电力有限公司电力科学研究院,国家电网有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。