[发明专利]基于自学习白名单的工控异常行为分析方法及系统在审
| 申请号: | 201711460732.9 | 申请日: | 2017-12-28 |
| 公开(公告)号: | CN108055282A | 公开(公告)日: | 2018-05-18 |
| 发明(设计)人: | 孙歆;戴桦;卢新岱;李景;李沁园;周辉;韩嘉佳;姚影;李霁远;吕磅 | 申请(专利权)人: | 国网浙江省电力有限公司电力科学研究院;国家电网公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 浙江翔隆专利事务所(普通合伙) 33206 | 代理人: | 张建青 |
| 地址: | 310014 浙江*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于自学习白名单的工控异常行为分析方法及系统。本发明采用驱动层对数据处理后,安全引擎中的协议解码引擎对协议进行深度解码处理,解码后的数据信息经过应用层界面与业务的过程进行关联处理,对于设定周期内操作行为的感知,采用自学习模块形成业务系统中的基线关系表和资产表;后续来自应用层解码的数据与自学习模块的基线进行比对分析,发现其中是否存在不符合通信关系基线的通信行为及未注册的新增资产,对异常通信或者异常资产进行告警。本发明为工业控制系统的安全事故调查提供坚实的基础。 | ||
| 搜索关键词: | 基于 自学习 名单 异常 行为 分析 方法 系统 | ||
【主权项】:
1.一种基于自学习白名单的工控异常行为分析方法,包括网卡获取数据包,经过DPDK的快速处理后交由数通引擎对数据包进行分类处理,分类好的数据进入到队列中按照相关优先级的顺序进行安全引擎处理,安全引擎处理后,形成相关的基线对应关系;其特征在于,驱动层对数据处理后,安全引擎中的协议解码引擎对协议进行深度解码处理,解码后的数据信息经过应用层界面与业务的过程进行关联处理,对于设定周期内操作行为的感知,采用自学习模块形成业务系统中的基线关系表和资产表;后续来自应用层解码的数据与自学习模块的基线进行比对分析,发现其中是否存在不符合通信关系基线的通信行为及未注册的新增资产,对异常通信或者异常资产进行告警。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国网浙江省电力有限公司电力科学研究院;国家电网公司,未经国网浙江省电力有限公司电力科学研究院;国家电网公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201711460732.9/,转载请声明来源钻瓜专利网。
