一种针对DNP协议的异常流量检测平台的制作方法
本实用新型涉及工业控制系统信息安全领域,特别涉及一种针对DNP协议的异常流量检测平台。
背景技术:
由于DNP3.0的设计结构具有灵活性和复杂性,这些灵活性和复杂性都使得攻击者更有可能利用协议本身的规则进行欺骗型攻击如命令注入攻击。命令注入攻击是命令本身合乎协议规则,属于欺骗型攻击,一旦插入系统网络后,正常和恶意代码一并执行,导致信息泄露或者正常数据的破坏,恶意命令掌控外站和网络,最终引起系统的崩坏。如何检测具有信息安全隐患的DNP3.0协议控制系统或设备成为一个重要问题。目前,工业控制网络常用的安全防护手段主要以TCP/IP为主的以太网通信网络作为对象,提出了大量的防护和检测的解决方案,而对以DNP3.0为代表的工业现场通信协议缺乏具体的防护和检测手段。
技术实现要素:
本实用新型的目的在于提供一种实现对电力SCADA系统和设备的DNP3.0通信的流量分析、解决电力SCADA系统信息安全的设备级检测问题、防范基于DNP3.0的信息安全攻击的针对DNP3.0协议的异常流量检测平台。
本实用新型的目的是通过以下技术方案实现的:
一种针对DNP协议的异常流量检测平台,其特征在于:包括模拟设备、DNP3.0流量记录装置、被测试设备和DNP3.0异常流量分析装置;所述模拟设备模拟无信息安全隐患且无故障的正常设备站;所述DNP3.0流量记录装置设置在模拟设备和被测试设备之间并截获由DNP3.0通信流量形成的DNP3.0报文,并且DNP3.0流量记录装置与DNP3.O异常流量分析装置通信相连;所述被测试设备通过其调试端口与DNP3.O异常流量分析装置数据相连;所述DNP3.O异常流量分析装置接收并分析截获的所有DNP3.0报文。
所述DNP3.0流量记录装置通过RS485和/或RS232形式的串口线缆与所述模拟设备和被测试设备通信相连。
所述DNP3.0流量记录装置与DNP3.O异常流量分析装置通过双绞线形式的以太网相连。
所述模拟设备为基于嵌入式技术的仿真硬件平台和/或具有实际应用功能的具体工业控制设备。例如PLC、RTU、智能仪表、HMI等。仿真硬件平台包括但不限于具有网络仿真软件(MATLAB、OPNET、NS2等)的机架式计算机。模拟设备为机柜式结构,安装2U或3U机架式计算机,部分具体工业控制设备采用DIN导轨安装。
所述被测试设备为单个工业控制设备和/或一套SCADA系统。
所述DNP3.0流量记录装置包括至少两个支持DNP3.0协议的RS232或RS485接口,部署于模拟设备和被测试设备之间实现对DNP3.0协议流量的截获和记录形成DNP3.0报文,并通过网络将DNP3.0报文发送给DNP3.0异常流量分析装置。这样DNP3.0流量记录装置具备DNP3.0报文采集和转发功能,其流量抓取的结果通过以太网传给DNP3.O异常流量分析装置用于进一步的分析。
所述被测试设备为多个工业控制设备和/或仿真设备,被测试设备和DNP3.0流量记录装置之间通过工业串口交换机相连。
带有DNP3.0异常流量分析装置的计算机搭载了DNP3.0异常流量分析系统或软件,并且具有多个以太网卡。
所述DNP3.O异常流量分析装置包括壳体和设置在壳体内并与主控制模块数据相连的DNP3.0通信模块、网络通信模块、看门狗模块、Bypass模块和存储模块和,还设置有电源模块为装置各部件供电;壳体上设置有协议信号接口、网络接口、拨码开关、运行状态灯和电源开关,协议信号接口与DNP3.0通信模块相连,网络接口与网络通信模块相连;看门狗模块监测主控制模块的运行状态,并控制管理Bypass模块和电源模块,Bypass模块还与DNP3.0通信模块相连以保证断电和/或主控制模块异常时信号正常地通过装置。
所述主控制模块为基于ARM Cortex-A8处理器的AM3358开发板,工作频率800MHz。具备两个工业千兆位以太网接口(10、100 和 1000Mbps)和多个UART通用异步收发接口。为了保证AM3358能够正常运行,扩展了256MB的DDR存储以实时运行程序、1GB的FLASH来存储入侵检测程序和基础数据,同时还扩展了一个4GB microSD卡用于存储系统配置和异常流量特征数据。
所述DNP3.0通信模块包括至少两个RS485转换电路,DNP3.0通信模块与主控制模块之间采用光耦隔离进行保护。两个RS485转换电路支持终端匹配和无终端匹配两种模式。
DNP3.0异常流量分析装置搭载了DNP3.0异常流量分析系统或软件,实现异常流量的判定,其工作流程如下:
1、访问DNP3.0流量记录装置,读取截获的DNP3.0协议双向数据包;
2、访问被测试设备,读取设备状态、输入输出数据、系统日志等信息;
3、通过机器学习算法(神经网络、决策树、支持向量机等)构建的流量分析模型来判断所截获的数据包与被测试设备的信息之间的匹配程度,若匹配程度大于90%,则判定为异常流量;
4、单独记录判定的异常流量以供后期分析。
所述网络通信模块包括至少一个匹配RJ45类型接口的以太网转换电路。以太网通达模块和DNP3.0通信模块都具有保护功能,可防止意外高压对模块的冲击
所述看门狗模块包括看门狗处理器和扩展电路,看门狗模块接收来自主处理模块的喂狗信号,控制主处理模块的供电电路及Bypass模块。喂狗信号可以是主处理模块的气动信号,看门狗电路独立于其它模块电路,实时监测主处理模块的运行状态,发现主处理模块有异常时可以重启该模块并保证Bypass功能开启。
所述电源模块包括主控制模块供电及复位控制电路、看门狗供电电路和通信模块供电电路,分别输出+1.8V、+3.3V和+5V电压。电源模块向主控制模块提供复位信号,复位电路的输入源是看门狗处理器的输出。
DNP3.0异常流量分析装置搭载了DNP3.0异常流量分析系统或软件,实现异常流量的判定,其工作流程如下:
1、访问DNP3.0流量记录装置,读取截获的DNP3.0协议双向数据包;
2、访问被测试设备,读取设备状态、输入输出数据、系统日志等信息;
3、通过机器学习算法(神经网络、决策树、支持向量机等)构建的流量分析模型来判断所截获的数据包与被测试设备的信息之间的匹配程度,若匹配程度大于90%,则判定为异常流量;
4、单独记录判定的异常流量以供后期分析。
本实用新型的有益效果如下:
一、本实用新型提供的一种针对DNP协议的异常流量检测平台,模拟设备主要用于模拟无信息安全隐患且无故障的正常设备;DNP3.0流量记录装置主要用于截获模拟设备和被测试设备之间的DNP3.0通信流量,具备DNP3.0报文采集和转发功能,流量抓取的结果传给DNP3.O异常流量分析装置用于进一步的分析;DNP3.O异常流量分析装置主要用于接收并分析截获的所有DNP3.0报文,通过被测试设备或系统上设定的调试端口,监视被测试设备的系统状态,读取被测试设备采集的数据或下发的控制指令,检查被测试设备的系统日志,从而判断DNP3.0流量记录装置所截获的单条或多条报文是否为异常报文,进而给出被测试设备是否具有信息安全隐患的结论。
二、本实用新型提供的一种针对DNP协议的异常流量检测平台,DNP3.0流量记录装置通过RS485和/或RS232形式的串口线缆与模拟设备和被测试设备通信相连、DNP3.0流量记录装置与DNP3.O异常流量分析装置通过双绞线形式的以太网相连,采用成熟稳定地连接方式有助于提高平台的稳定性,同时也具有更好的兼容性;模拟设备为基于嵌入式技术的仿真硬件平台和/或具有实际应用功能的具体工业控制设备,可采用的技术方案多兼容性高,例如PLC、RTU、智能仪表、HMI等等,对应可以选择最适合现场实际的安装方式;被测试设备为单个工业控制设备和/或一套SCADA系统,可以实现对单一或同时对多元系统的检测;DNP3.0流量记录装置包括至少两个支持DNP3.0协议的RS232或RS485接口,部署于模拟设备和被测试设备之间实现对DNP3.0协议流量的截获和记录形成DNP3.0报文,并通过网络将DNP3.0报文发送给DNP3.0异常流量分析装置,这样DNP3.0流量记录装置具备DNP3.0报文采集和转发功能,其流量抓取的结果通过以太网传给DNP3.O异常流量分析装置用于进一步的分析;被测试设备为多个工业控制设备和/或仿真设备,被测试设备和DNP3.0流量记录装置之间通过工业串口交换机相连,即可实现同时对多个对象的监管检测。
附图说明
图1是本实用新型一种优选方案的通信关系示意图;
图2是本实用新型一种优选方案设备级异常流量检测的连接结构示意图;
图3是本实用新型一种优选方案系统级异常流量检测的连接关系示意图;
图中:
1、模拟设备;2、DNP3.0流量记录装置;3、被测试设备;4、DNP3.0异常流量分析装置;5、计算机;6、工业串口交换机。
具体实施方式
以下通过几个具体实施例来进一步说明实现本实用新型目的的技术方案,需要说明的是,本实用新型的技术方案包含但不限于以下实施例。
实施例1
如图1、图2和图3,一种针对DNP协议的异常流量检测平台,包括模拟设备1、DNP3.0流量记录装置2、被测试设备3和带有DNP3.0异常流量分析装置4的计算机5;所述模拟设备1模拟无信息安全隐患且无故障的正常设备站;所述DNP3.0流量记录装置2设置在模拟设备1和被测试设备3之间并截获由DNP3.0通信流量形成的DNP3.0报文,并且DNP3.0流量记录装置2与DNP3.O异常流量分析装置4通信相连;所述被测试设备3设有调试端口,被测试设备3通过其调试端口与DNP3.O异常流量分析装置4数据相连;所述DNP3.O异常流量分析装置4接收并分析截获的所有DNP3.0报文。
这是本实用新型一种最基本实施方案。模拟设备1主要用于模拟无信息安全隐患且无故障的正常设备;DNP3.0流量记录装置2主要用于截获模拟设备1和被测试设备3之间的DNP3.0通信流量,具备DNP3.0报文采集和转发功能,流量抓取的结果传给DNP3.O异常流量分析装置4用于进一步的分析;DNP3.O异常流量分析装置4主要用于接收并分析截获的所有DNP3.0报文,通过被测试设备3或系统上设定的调试端口,监视被测试设备3的系统状态,读取被测试设备3采集的数据或下发的控制指令,检查被测试设备的系统日志,从而判断DNP3.0流量记录装置2所截获的单条或多条报文是否为异常报文,进而给出被测试设备3是否具有信息安全隐患的结论。
实施例2
如图1、图2和图3,一种针对DNP协议的异常流量检测平台,包括模拟设备1、DNP3.0流量记录装置2、被测试设备3和带有DNP3.0异常流量分析装置4的计算机5;所述模拟设备1模拟无信息安全隐患且无故障的正常设备站;所述DNP3.0流量记录装置2设置在模拟设备1和被测试设备3之间并截获由DNP3.0通信流量形成的DNP3.0报文,并且DNP3.0流量记录装置2与DNP3.O异常流量分析装置4通信相连;所述被测试设备3设有调试端口,被测试设备3通过其调试端口与DNP3.O异常流量分析装置4数据相连;所述DNP3.O异常流量分析装置4接收并分析截获的所有DNP3.0报文。
所述DNP3.0流量记录装置2通过RS485和/或RS232形式的串口线缆与所述模拟设备1和被测试设备3通信相连。
所述DNP3.0流量记录装置2与DNP3.O异常流量分析装置4通过双绞线形式的以太网相连。
这是本实用新型一种优选的实施方案。模拟设备1主要用于模拟无信息安全隐患且无故障的正常设备;DNP3.0流量记录装置2主要用于截获模拟设备1和被测试设备3之间的DNP3.0通信流量,具备DNP3.0报文采集和转发功能,流量抓取的结果传给DNP3.O异常流量分析装置4用于进一步的分析;DNP3.O异常流量分析装置4主要用于接收并分析截获的所有DNP3.0报文,通过被测试设备3或系统上设定的调试端口,监视被测试设备3的系统状态,读取被测试设备3采集的数据或下发的控制指令,检查被测试设备的系统日志,从而判断DNP3.0流量记录装置2所截获的单条或多条报文是否为异常报文,进而给出被测试设备3是否具有信息安全隐患的结论;DNP3.0流量记录装置2通过RS485和/或RS232形式的串口线缆与模拟设备1和被测试设备3通信相连、DNP3.0流量记录装置2与DNP3.O异常流量分析装置4通过双绞线形式的以太网相连,采用成熟稳定地连接方式有助于提高平台的稳定性,同时也具有更好的兼容性。
实施例3
如图1、图2和图3,一种针对DNP协议的异常流量检测平台,包括模拟设备1、DNP3.0流量记录装置2、被测试设备3和带有DNP3.0异常流量分析装置4的计算机5;所述模拟设备1模拟无信息安全隐患且无故障的正常设备站;所述DNP3.0流量记录装置2设置在模拟设备1和被测试设备3之间并截获由DNP3.0通信流量形成的DNP3.0报文,并且DNP3.0流量记录装置2与DNP3.O异常流量分析装置4通信相连;所述被测试设备3设有调试端口,被测试设备3通过其调试端口与DNP3.O异常流量分析装置4数据相连;所述DNP3.O异常流量分析装置4接收并分析截获的所有DNP3.0报文。
所述DNP3.0流量记录装置2通过RS485和/或RS232形式的串口线缆与所述模拟设备1和被测试设备3通信相连。
所述DNP3.0流量记录装置2与DNP3.O异常流量分析装置4通过双绞线形式的以太网相连。
所述模拟设备1为基于嵌入式技术的仿真硬件平台和/或具有实际应用功能的具体工业控制设备。
所述被测试设备3为单个工业控制设备和/或一套SCADA系统。
这是本实用新型一种优选的实施方案。模拟设备1主要用于模拟无信息安全隐患且无故障的正常设备;DNP3.0流量记录装置2主要用于截获模拟设备1和被测试设备3之间的DNP3.0通信流量,具备DNP3.0报文采集和转发功能,流量抓取的结果传给DNP3.O异常流量分析装置4用于进一步的分析;DNP3.O异常流量分析装置4主要用于接收并分析截获的所有DNP3.0报文,通过被测试设备3或系统上设定的调试端口,监视被测试设备3的系统状态,读取被测试设备3采集的数据或下发的控制指令,检查被测试设备的系统日志,从而判断DNP3.0流量记录装置2所截获的单条或多条报文是否为异常报文,进而给出被测试设备3是否具有信息安全隐患的结论;DNP3.0流量记录装置2通过RS485和/或RS232形式的串口线缆与模拟设备1和被测试设备3通信相连、DNP3.0流量记录装置2与DNP3.O异常流量分析装置4通过双绞线形式的以太网相连,采用成熟稳定地连接方式有助于提高平台的稳定性,同时也具有更好的兼容性;模拟设备1为基于嵌入式技术的仿真硬件平台和/或具有实际应用功能的具体工业控制设备,可采用的技术方案多兼容性高,例如PLC、RTU、智能仪表、HMI等等,对应可以选择最适合现场实际的安装方式;被测试设备3为单个工业控制设备和/或一套SCADA系统,可以实现对单一或同时对多元系统的检测。
实施例4
如图1、图2和图3,一种针对DNP协议的异常流量检测平台,包括模拟设备1、DNP3.0流量记录装置2、被测试设备3和带有DNP3.0异常流量分析装置4的计算机5;所述模拟设备1模拟无信息安全隐患且无故障的正常设备站;所述DNP3.0流量记录装置2设置在模拟设备1和被测试设备3之间并截获由DNP3.0通信流量形成的DNP3.0报文,并且DNP3.0流量记录装置2与DNP3.O异常流量分析装置4通信相连;所述被测试设备3设有调试端口,被测试设备3通过其调试端口与DNP3.O异常流量分析装置4数据相连;所述DNP3.O异常流量分析装置4接收并分析截获的所有DNP3.0报文。
所述DNP3.0流量记录装置2通过RS485和/或RS232形式的串口线缆与所述模拟设备1和被测试设备3通信相连。
所述DNP3.0流量记录装置2与DNP3.O异常流量分析装置4通过双绞线形式的以太网相连。
所述模拟设备1为基于嵌入式技术的仿真硬件平台和/或具有实际应用功能的具体工业控制设备。
所述被测试设备3为单个工业控制设备和/或一套SCADA系统。
所述DNP3.0流量记录装置2包括至少两个支持DNP3.0协议的RS232和/或RS485接口,部署于模拟设备1和被测试设备3之间实现对DNP3.0协议流量的截获和记录形成DNP3.0报文,并通过网络将DNP3.0报文发送给DNP3.0异常流量分析装置4。
所述被测试设备3为多个工业控制设备和/或仿真设备,被测试设备3和DNP3.0流量记录装置2之间通过工业串口交换机6相连。
这是本实用新型一种优选的实施方案。模拟设备1主要用于模拟无信息安全隐患且无故障的正常设备;DNP3.0流量记录装置2主要用于截获模拟设备1和被测试设备3之间的DNP3.0通信流量,具备DNP3.0报文采集和转发功能,流量抓取的结果传给DNP3.O异常流量分析装置4用于进一步的分析;DNP3.O异常流量分析装置4主要用于接收并分析截获的所有DNP3.0报文,通过被测试设备3或系统上设定的调试端口,监视被测试设备3的系统状态,读取被测试设备3采集的数据或下发的控制指令,检查被测试设备的系统日志,从而判断DNP3.0流量记录装置2所截获的单条或多条报文是否为异常报文,进而给出被测试设备3是否具有信息安全隐患的结论;DNP3.0流量记录装置2通过RS485和/或RS232形式的串口线缆与模拟设备1和被测试设备3通信相连、DNP3.0流量记录装置2与DNP3.O异常流量分析装置4通过双绞线形式的以太网相连,采用成熟稳定地连接方式有助于提高平台的稳定性,同时也具有更好的兼容性;模拟设备1为基于嵌入式技术的仿真硬件平台和/或具有实际应用功能的具体工业控制设备,可采用的技术方案多兼容性高,例如PLC、RTU、智能仪表、HMI等等,对应可以选择最适合现场实际的安装方式;被测试设备3为单个工业控制设备和/或一套SCADA系统,可以实现对单一或同时对多元系统的检测;DNP3.0流量记录装置2包括至少两个支持DNP3.0协议的RS232或RS485接口,部署于模拟设备1和被测试设备3之间实现对DNP3.0协议流量的截获和记录形成DNP3.0报文,并通过网络将DNP3.0报文发送给DNP3.0异常流量分析装置4,这样DNP3.0流量记录装置2具备DNP3.0报文采集和转发功能,其流量抓取的结果通过以太网传给DNP3.O异常流量分析装置用于进一步的分析;被测试设备3为多个工业控制设备和/或仿真设备,被测试设备3和DNP3.0流量记录装置2之间通过工业串口交换机6相连,即可实现同时对多个对象的监管检测。
实施例5
如图1和图2,一种针对DNP协议的异常流量检测平台其设备级异常流量检测运用,检测系统包括模拟设备1、DNP3.0流量记录装置2、被测试设备3、DNP3.0异常流量分析装置4。
所述模拟设备1主要用于模拟无信息安全隐患且无故障的正常设备,可以模拟DNP3.0主站或从站。模拟设备1可以是基于嵌入式技术的仿真硬件平台,也可以采用具有实际应用功能的具体工业控制设备,例如PLC、RTU、智能仪表、HMI等等。
所述被测试设备3是指可能存在信息安全隐患的工业控制设备,可能会发送异常的DNP3.0通信报文到模拟设备。被测试设备3可以是单个工业控制设备,也可以是一套SCADA系统。
所述DNP3.0流量记录装置2主要用于截获模拟设备1和被测试设备3之间的DNP3.0通信流量。该设备具备DNP3.0报文采集和转发功能。流量抓取的结果通过以太网传给DNP3.O异常流量分析装置4用于进一步的分析。
DNP3.0流量记录装置2与模拟设备1和被测试设备3之间采用符合RS232或RS485标准的串行总线连接。
所述DNP3.O异常流量分析装置4主要用于接收并分析截获的所有DNP3.0报文。该设备具有对比分析功能。该设备可以通过被测试设备或系统上设定的调试端口,监视被测试设备的系统状态,读取被测试设备采集的数据或下发的控制指令,检查被测试设备的系统日志,从而判断DNP3.0流量记录装置所截获的单条或多条报文是否为异常报文,进而给出被测试设备是否具有信息安全隐患的结论。所述DNP3.O异常流量分析装置4通过以太网与DNP3.0流量检测装置相连。
被测试设备是具有DNP3.0通信功能的设备,例如一个PLC。该设备不但具有DNP3.0通信模块,而且具有以太网或串口的调试接口用以连接DNP3.0异常流量分析装置,DNP3.0异常流量分析装置通过访问可以读取设备运行状态、IO模块的输入输出、系统配置,部分设备可以获得系统日志和操作日志。
模拟设备采用内置了仿真计算机的仿真设备机柜,该机柜内的仿真计算机采用机架式结构,该计算机具备一个串口扩展卡,并通过MATLAB/OPNET/NS2等网络仿真软件仿真DNP3.0通信。
DNP3.0异常流量分析装置搭载了DNP3.0异常流量分析系统或软件,实现异常流量的判定,其工作流程如下:
1、访问DNP3.0流量记录装置,读取截获的DNP3.0协议双向数据包;
2、访问被测试设备,读取设备状态、输入输出数据、系统日志等信息;
3、通过机器学习算法(神经网络、决策树、支持向量机等)构建的流量分析模型来判断所截获的数据包与被测试设备的信息之间的匹配程度,若匹配程度大于90%,则判定为异常流量;
4、单独记录判定的异常流量以供后期分析。
实施例
如图1和图3,一种针对DNP协议的异常流量检测平台其设备级异常流量检测运用,检测系统包括模拟设备1、DNP3.0流量记录装置2、被测试设备3、DNP3.0异常流量分析装置4。
所述模拟设备1主要用于模拟无信息安全隐患且无故障的正常设备,可以模拟DNP3.0主站或从站。模拟设备1可以是基于嵌入式技术的仿真硬件平台,也可以采用具有实际应用功能的具体工业控制设备,例如PLC、RTU、智能仪表、HMI等等。
所述被测试设备3是指可能存在信息安全隐患的工业控制设备,可能会发送异常的DNP3.0通信报文到模拟设备。被测试设备3可以是单个工业控制设备,也可以是一套SCADA系统。
所述DNP3.0流量记录装置2主要用于截获模拟设备1和被测试设备3之间的DNP3.0通信流量。该设备具备DNP3.0报文采集和转发功能。流量抓取的结果通过以太网传给DNP3.O异常流量分析装置4用于进一步的分析。
DNP3.0流量记录装置2与模拟设备1和被测试设备3之间采用符合RS232或RS485标准的串行总线连接。
所述DNP3.O异常流量分析装置4主要用于接收并分析截获的所有DNP3.0报文。该设备具有对比分析功能。该设备可以通过被测试设备或系统上设定的调试端口,监视被测试设备的系统状态,读取被测试设备采集的数据或下发的控制指令,检查被测试设备的系统日志,从而判断DNP3.0流量记录装置所截获的单条或多条报文是否为异常报文,进而给出被测试设备是否具有信息安全隐患的结论。所述DNP3.O异常流量分析装置4通过以太网与DNP3.0流量检测装置相连。
被测试设备是支持DNP3.0通信的SCADA系统。该系统可通过工业串口交换机连接多个DNP3.0协议工业控制设备,例如PLC、HMI、智能仪表等。
模拟设备采用支持DNP3.0的已知工业控制设备,如智能仪表、HMI、PLC等。已知工业控制设备采用分布式部署,各个设备通过串口交换机与DNP3.0流量记录装置连接。。
DNP3.0流量记录装置采用定制开发的专用设备,至少具备2个支持DNP3.0协议的RS232或RS485接口,部署于模拟设备和被测试设备之间实现对DNP3.0协议流量的截获和记录。该装置同时具备一个以太网类型的访问接口以实现将截获的DNP3.0报文发送给DNP3.0异常流量分析装置的功能。当模拟设备由多个工业控制设备或仿真设备组成时,DNP3.0流量记录装置应部署于工业串口交换机与被测试设备之间。
DNP3.0异常流量分析装置采用具有多个以太网卡的计算机工作站实现。同时连接DNP3.0流量记录装置和被测试设备。
DNP3.0异常流量分析装置搭载了DNP3.0异常流量分析系统或软件,实现异常流量的判定,其工作流程如下:
1、访问DNP3.0流量记录装置,读取截获的DNP3.0协议双向数据包;
2、访问被测试设备,读取设备状态、输入输出数据、系统日志等信息;
3、通过机器学习算法(神经网络、决策树、支持向量机等)构建的流量分析模型来判断所截获的数据包与被测试设备的信息之间的匹配程度,若匹配程度大于90%,则判定为异常流量;
4、单独记录判定的异常流量以供后期分析。
- 还没有人留言评论。精彩留言会获得点赞!