【技术实现步骤摘要】
一种轻量化恶意流量检测存证方法、装置、设备及介质
[0001]本专利技术涉及网络安全
,特别是涉及一种轻量化恶意流量检测存证方法、装置、设备及介质。
技术介绍
[0002]随着“大、云、物、移、智”等新技术在电力工控及其他关键信息基础领域的深化应用,主站云化部署以及业务应用快速迭代、通信网络架构复杂化、海量异构终端广泛互联、APP将用户和业务系统连接互动,工业、关基信息化系统在更灵活、开放、高效的同时,业务主站、通信网络和感知终端各层面更加严峻的安全形势,零日漏洞利用、定向端口攻击、高级逃逸、APT等未知、持续、隐蔽性恶意攻击已成为当今国际国网空间中的主流攻击手段,而传统基于防火墙、杀毒软件、入侵检测系统的“封、堵、查、杀”被动防守式安全防护技术已经无法应对此类攻击,需进一步深入研究适配数字化、智慧化工控系统的主动防御技术。
[0003]考虑到攻击时常常伴有流量异常现象,实施有效的异常流量检测以提升网络对攻击的识别能力是增强网络安全的重要手段。异常流量检测与识别算法可分成基于规则的检测算法和基于机器学习的检测算...
【技术保护点】
【技术特征摘要】
1.一种轻量化恶意流量检测存证方法,其特征在于,包括以下步骤:基于多协议和时序行为的流量特征信息提取方法对收到的数据流量进行特征提取,得到协议特征和时序特征;具体包括:对收到的数据流量进行解析,确定所述数据流量采用的协议;基于确定的协议对数据流量进行截取,得到报文头和核心报文体;从所述报文头和核心报文体中过滤出协议特征;以通信信道作为检测单元,从设定的时间窗口内提取流量数据的时序特征;将所述协议特征和时序特征输入至恶意流量检测模型,得到数据流量的类别;当所述数据流量的类别为恶意时,将恶意的数据流量及其类别打包形成安防区块,并将所述安防区块送入区块链内进行存证。2.根据权利要求1所述的轻量化恶意流量检测存证方法,其特征在于,所述协议特征包括与连接建立相关的协议记录版本、握手版本、密码套件列表、压缩方法列表、扩展列表、椭圆曲线列表、EC点格式列表、签名算法列表、以及目标服务器IP、服务器名称指示和匿名客户端IP网络信息。3.根据权利要求1所述的轻量化恶意流量检测存证方法,其特征在于,所述时序特征包括流量分布特征、一致性特征和统计特征,所述流量分布特征是指流量数据的某个特征在所有样本上的分布情况,所述一致性特征是指流量数据在某一特征上相类似或相关联的情况,所述统计特征是指流量数据在统计学数值上的情况。4.根据权利要求1所述的轻量化恶意流量检测存证方法,其特征在于,所述恶意流量检测模型基于逻辑回归模型构建,包括N个二分类子模型,每个二分类子模型分别将一个数据流量的类别与其他数据流量的类别进行区分;所述恶意流量检测模型的输入为协议特征和时序特征,输出为N个二分类结果中概率最大的数据流量的类别。5.根据权利要求1所述的轻量化恶意流量检测存证方法,其特征在于,所述安防区块包括前一个安防区块的散列值、本安防区块生成的时间戳、Merkle树和Nonce随机数;所述Merkle树包括恶意流量数据,所述恶意流量数据包含数据流量的报文、数据流量检测的类别和监测点信息;所述数据流量的报文和数据流量检测的类别将用于区块链节点的校验;所述监测点信息为恶意的数据流量被检出时所在的配电终端相关信息。6.根据权利要求1所述的轻量化恶意流量检测存证方法,其特征在于,还包括:接收到其他节点同步的安防区块后进行分类准确性校验的步骤,具体为:...
【专利技术属性】
技术研发人员:亢超群,李玉凌,朱克琪,李二霞,刘海涛,吕广宪,王利,韩子龙,刘芸杉,杜金陵,许保平,樊勇华,孙国齐,周振华,
申请(专利权)人:国网上海能源互联网研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。