【技术实现步骤摘要】
一种基于Snort的电力物联网入侵检测方法
[0001]本专利技术属于物联网安全领域,具体涉及一种基于Snort的电力物联网入侵检测方法。
技术介绍
[0002]随着分布式能源的不断接入、电力系统环境日益复杂,现有的电力物联网系统中动态分布着海量数据,而电力系统中的信息具有安全级别高、分布广和实用性强的特点,网络的开放性和共享性会对电力系统造成一定的威胁。例如电力系统会受到DDoS攻击、APT攻击、漏洞、恶意软件等类型的攻击,这些攻击会带来丢失数据等危险。物联网网络层建立在现有通信网和互联网的基础上实现感知网与通信网的结合,主要用于可靠地接受来自感知层的数据并根据应用需求进行不同的处理,入侵检测技术能实时检测到物联网系统各层是不是受到了非法入侵。现有的基于误用检测方法的Snort入侵检测系统依赖预先建立攻击规则库进行检测,无法检测未知的攻击,而随着各类新系统等的产生,新类型的攻击方法在快速增长中,所以该方法不适用;而且攻击规则库的往往需要专业人员的参与才能完成,这就意味算法本身不能自身适应环境的改变,即使是最简单的攻击行为,...
【技术保护点】
【技术特征摘要】
1.一种基于Snort的电力物联网入侵检测方法,其特征在于,所述方法包括:使用聚类分析模块将预处理后的数据分为两类,第一类为与未知数据及入侵攻击具有明显区别特征的大部分正常数据,第二类为入侵攻击数据、未知数据及与此两者特征相似的小部分正常数据;利用Snort自带的检测引擎中的匹配算法进行数据的关联匹配,将从聚类分析模块传递过来的小部分正常数据、入侵攻击数据及未知数据与规则数据库中预设的攻击规则进行模式匹配;利用判别阈值对数据进行匹配结果判别,若匹配成功,则判断数据为已知攻击,将其报警信息传递给输出模块进行处理;若匹配不成功,则将数据送往关联挖掘模块;将检测引擎中筛出的非已知攻击类数据与攻击规则库中的数据进行关联性分析处理,通过检测两者数据中存在的关联关系来判定是否存在新的攻击类型,若存在,将关联挖掘模块筛选得到的新入侵攻击数据放入攻击规则库中,方便后续检测引擎检测到相似攻击时能够进行报警。2.根据权利要求1所述的一种基于Snort的电力物联网入侵检测方法,其特征在于,所述方法还包括:通过Snort系统本身带有的数据包嗅探器在电力系统物联网的网络层抓取网络数据包;将抓取的网络数据包送到Snort中数据包解码器进行解码,将捕获的数据包解码成Snort识别的统一的格式,即得到解码后的数据包;对解码后的数据包利用Snort内部预处理器中的插件对数据进行预处理,得到预处理后的数据。3.根据权利要求2所述的一种基于Snort的电力物联网入侵检测方法,其特征在于,对解码后的数据包利用Snort内部预处理器中的插件对数据进行预处理,包括:对能分片的数据包进行重新组装、处理明显的错误,最终得到的数据为适用于检测引擎使用的形式。4.根据权利要求1所述的一种基于Snort的电力物联网入侵检测方法,其特征在于,使用聚类分析模块将所述预处理后的数据分为两类,第一类为与未知数据及入侵攻击具有明显区别特征的大部分正常数据,第二类为入侵攻击数据、未知数据及与此两者特征相似的小部分正常数据,具体包括:对预处理后的数据进行标准化处理,计算每个特征属性的平均值及平均绝对误差,并对每条数据记录进行标准化度量;将标准化处理...
【专利技术属性】
技术研发人员:张建亮,马军伟,段敬,顾玮,霍美如,高英豪,薛泓林,朱春山,杨成鹏,张峰,王迪,武昕,钟岩,
申请(专利权)人:国网山西省电力公司信息通信分公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。