[发明专利]用于网络入侵检测的系统、方法和器件

说明书

技术领域

本发明的实施例通常涉及网络安全，并且更具体地涉及用于检测网络入侵的系统、方法和器件。

背景技术

在多种应用中利用网络以在各种网络装置之间传递数据。例如，各种类型的网络用在公用事业应用、医学应用和工业控制应用中。利用公用事业应用的示例，网格网络(mesh network)典型地用于在需给电表(utility meter)之间传递数据。另外，与高级计量体系(Advanced Metering Infrastructure：“AMI”)关联的网络典型地用于将电表数据传递给中央控制装置和中央服务器。其它类型的网络也用于在发电装置、电厂以及操作控制器之间传递数据。

在任何网络中安全通常是最为关心的。为促进网络安全，某些传统系统可分析通信以便确定通信是否包含无效的内容或黑名单数据。然而，更新并维护黑名单数据或无效内容的列表通常是不实用的并且费时的。因此，需要改良的用于网络入侵检测的系统、方法和器件。

发明内容

通过本发明的某些实施例可解决一些或所有的以上需求要和/或问题。本发明的实施例可以包含用于网络入侵检测的系统、方法和器件。根据本发明的一个实施例，公开了一种器件或装置，例如需给电表，配置为促进在网络中的入侵检测。该装置可以包含至少一个存储器和至少一个处理器。至少一个存储器可配置为存储计算机可执行指令。至少一个处理器可配置为访问至少一个存储器并执行计算机可执行指令以(i)识别通信，该通信包括(a)由该装置接收的通信或(b)由该装置生成的通信中的一个；(ii)识别与该通信关联的类型；(iii)至少部分基于所识别的类型，确定用于该通信的可接受内容的列表；(iv)至少部分基于所确定的列表，分析该通信的内容；以及(v)至少部分基于该分析，确定内容是否为可接受内容。

根据本发明的另一实施例，公开了一种用于网络入侵检测的方法。通信可被识别。该通信可以是(i)由装置接收的通信或(ii)由该装置生成的通信中的一个。可识别与该通信关联的类型。至少部分基于所识别的类型，可识别可接受内容的列表。至少部分基于所确定的列表，可分析该通信的内容。至少部分基于该分析，可做出确定关于内容是否为可接受内容。在某些实施例中，可由与该装置关联的一个或多个处理器执行的通信检验应用来进行以上操作。

通过本发明的各实施例的技术可实现额外的系统、方法、器件、特征和方面。本发明的其它实施例和方面在本文中详细描述，并被认为是要求保护的发明的一部分。参考描述和附图可以理解其它实施例、特征和方面。

附图说明

因此，已经以一般术语描述本发明，现在将参考附图，其不必按比例绘制，并且其中：

图1是根据本发明的说明性的实施例的促进网络入侵检测的一个示例系统的框图。

图2是根据本发明的说明性的实施例的促进网络入侵检测的另一系统的另一示例的框图。

图3是其中可利用本发明的各实施例的公用事业应用的示例的框图。

图4是根据本发明的说明性的实施例的用于分析通信以促进网络入侵检测的示例方法的流程图。

图5是根据本发明的说明性的实施例的用于分析通信以促进网络入侵检测的另一示例方法的流程图。

具体实施方式

在下文中参考附图将更充分地描述本发明的说明性的实施例，其中示出本发明的一些实施例，但不是所有的实施例。实际上，本发明可以实施为多种不同的形式，并且不应解释为限制于本文所阐述的实施例；而是，提供这些实施例以便本公开将满足应用法律要求。通篇类似的编号指代类似的元件。

公开的是用于网络入侵检测的系统、方法和器件。在本发明的一个示例实施例中，一个或多个装置可经由任何数量的合适的网络进行通信。例如，一个或多个公用事业装置(例如，需给电表、AMI装置、分布式自动化装置、公用事业现场力量装置、变电站自动化装置等)可经由任何数量的合适的网络(例如，网格网络、AMI网络、局域网、广域网、蜂窝网络等)进行通信。作为另一示例，一个或多个医学装置可经由任何数量的合适的网络(例如专用医学网络)进行通信。每个装置可配置为利用所识别的或所确定的可接受内容的列表(即，可接受内容和/或元数据的白名单)来识别通信并分析通信的内容。在某些实施例中，可基于一个或多个所建立的用于网络通信的标准和/或协议和/或与装置关联的装置消息元数据来确定可接受内容。至少部分基于该分析，可以做出关于内容是否为可接受内容的确定。如果确定内容是不可接受的，则可识别潜在的网络入侵。在这点上，可基于通信内容与预定的可接受内容的列表的比较来提供网络安全。