[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN104954864B - 双向机顶盒入侵检测系统及其检测方法 - Google Patents

双向机顶盒入侵检测系统及其检测方法 Download PDF

Info

Publication number
CN104954864B
CN104954864B CN201510342856.1A CN201510342856A CN104954864B CN 104954864 B CN104954864 B CN 104954864B CN 201510342856 A CN201510342856 A CN 201510342856A CN 104954864 B CN104954864 B CN 104954864B
Authority
CN
China
Prior art keywords
data
detection
user
top box
traffic data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510342856.1A
Other languages
English (en)
Other versions
CN104954864A (zh
Inventor
李玉峰
张明明
李康士
于松林
王文功
陈博
张传浩
杜飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PLA Information Engineering University
Original Assignee
PLA Information Engineering University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PLA Information Engineering University filed Critical PLA Information Engineering University
Priority to CN201510342856.1A priority Critical patent/CN104954864B/zh
Publication of CN104954864A publication Critical patent/CN104954864A/zh
Application granted granted Critical
Publication of CN104954864B publication Critical patent/CN104954864B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/442Monitoring of processes or resources, e.g. detecting the failure of a recording device, monitoring the downstream bandwidth, the number of times a movie has been viewed, the storage space available from the internal hard disk
    • H04N21/44236Monitoring of piracy processes or activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/23Processing of content or additional data; Elementary server operations; Server middleware
    • H04N21/24Monitoring of processes or resources, e.g. monitoring of server load, available bandwidth, upstream requests
    • H04N21/2407Monitoring of transmitted content, e.g. distribution time, number of downloads

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种双向机顶盒入侵检测系统及其检测方法,其入侵检测系统,包含前端子系统和后端子系统,前端子系统,与OLT上游双向链路连接,对出/入OLT上游双向链路的双向流量进行采集和处理;后端子系统,对前端子系统的数据包进行安全检测和数据分析。本发明部署在OLT上游双向链路,对汇聚流量实现实时、智能识别,并实时检测并阻断、清洗恶意攻击流量;保证接入网正常不间断运行,对其串联在链路中可能产生的中断问题加以处理,保证链路的畅通;系统本身无外部可探测到的IP地址,类似于物理层的透明传输装置,类似一段光纤,具有天然的“隐形”特性,可免除攻击者对其进行探测,确保自身网络安全。

Description

双向机顶盒入侵检测系统及其检测方法
技术领域
本发明涉及广电网安全技术领域,特别涉及一种双向机顶盒入侵检测系统及其检测方法。
背景技术
2014年8月,温州广电网遭受黑客攻击,合法节目被中断,终端出现大量敏感画面,造成极其恶劣的影响,这给我们敲响了广电网安全的警钟。三网融合演进中,广电网原来安全的部分在新的融合形势下可能变得不再安全。双向改造为普通用户带来自主、个性化视频观看服务的同时,也为恶意攻击者提供了攻击路径,传统广电网络单向传播这一安全基石不复存在。终端智能化、电视网络化也为广电网带来新的安全隐患,智能化的机顶盒、电视机、家庭网关等终端运行在各种处理器平台基础上,安装有安卓等操作系统,具备了连接外部网络的双向通信通道,也就可以成为恶意攻击者实施网络攻击的目标或者攻击跳板。如图1所示,广电网网络分为外部网络和内部网络,其中内部网络分为前端、传输和终端三大部分。1)外部网络:对应于广电网络之外的其他公共网络,如互联网;2)前端网络:对应于广播业务前端网络、双向业务前端网络和广电办公网络,前端网络位于运营商网络的前部,完成日常办公和广播、双向业务的节目管理、节目发布、EPG(Electronic Program Guide)、BOSS/SMS等功能,在整个广电网络通信系统模型中可抽象成源端部分;3)传输网络:位于前端网络之后,在整个广电网络通信系统模型中可抽象成信道部分;包括单向广播传输网络和双向传输网络,从层次上还可分为骨干网络和接入网络,骨干网络由骨干路由器连接构成,接入网络通常采用PON+EOC(PON, Passive Optical Network; EOC, Ethernet overCoax)或其他接入方式;4)终端网络:以新型机顶盒或家庭智能网关形成的家庭网络,在整个广电网络通信系统模型中可抽象成终端部分。
广电网络的网络安全边界包括外部网络与前端网络之间的区域边界,前端网络与传输网络的区域边界,传输网络与终端网络的边界。目前,广电网已在前端网络与外部网络边界、前端网络与传输网络边界加装了防火墙、IDS、IPS(Intrusion Prevention System)等常规安全防护设备,以防范攻击者从外部网络或办公网络对广电前端网络发起攻击,防范攻击者从双向传输网络或者终端网络对广电前端网络发起攻击。相比而言,在传输网络与终端网络的边界上至今少有相应的网络安全保障技术提出和实施。广电网的网络安全建设需要对网络整体实施安全加固,忽视对传输网络与终端网络边界的安全防护可能会造成安全木桶的“短板”,即网络的整体安全并不是由安全性最强的那一部分决定,而往往由安全性最低的那部分确定。
在互联网领域中,接入网是安全防护的重点布防区,防火墙、漏洞扫描、IDS、IPS等专用安全设备被广泛部署,以及在互联网接入网内的终端PC上,也都有防病毒之类的软件,操作系统也都是定期升级以此来弥补操作系统的安全漏洞。显然,在互联网中现已存在相对立体的安全防护系统。相比互联网,广电接入网目前缺乏相对立体的安全体系,没有类似的专门针对广电的安全专用设备,广电接入网端相对来说是“裸”安全的状态,攻击者可以轻松透明地进入网络并直接攻击到机顶盒。这样,即使机顶盒内部安装各类安全固件,攻击者的攻击难度也不大。
接入网存在安全“短板”可能带来的安全隐患有:(1)攻击者可从终端网络发起对前端网络的上行攻击。在终端网络中智能机顶盒潜藏的安全漏洞很少被关注,实际上,很多智能机顶盒由于升级困难,再加上人们对机顶盒安全的意识薄弱以及机顶盒本身的“静默”特性,使得机顶盒安全隐患有较长的潜伏周期,容易被恶意攻击者大范围、大规模长期控制,可能造成严重的破坏后果。(2)接入网无边界防护,攻击者可从前端网络发起对终端网络的下行攻击。通过控制大量机顶盒酝酿大范围安全事故,利用机顶盒静默特性造成机顶盒下载存储非法应用,播放非法信息。(3)接入网无边界防护,非法的终端可能以假冒的身份轻易进入网络,进行各种破坏活动;合法身份的终端在进入网络后,也可能越权访问各种网络资源。
发明内容
针对现有技术中的不足,本发明提供一种双向机顶盒入侵检测系统及其检测方法,能够应对广电网现在面临的安全问题,提升了广电网安全防护能力,弥补了广电网接入网安全机制缺失的问题,实现为广电接入网防护提供一种有效的安全保障方法,保证了攻击流量的无可遁形。
按照本发明所提供的设计方案,一种双向机顶盒入侵检测系统,包含前端子系统和后端子系统,前端子系统,与OLT上游双向链路连接,对出/入OLT上游双向链路的双向流量进行采集和处理,剔出已知确定无危害的数据,将剩余的可疑流量采集并送入后端子系统;后端子系统,对前端子系统的数据包进行安全检测和数据分析。
上述的,所述后端子系统还包含安全检测模块,安全检测模块依据安全威胁库对安全威胁进行比对检测,并实时通知前端子系统。
上述的,还包含线速串接光/电切换保护模块,线速串接光/电切换保护模块处理串联在OLT上游双向链路中的中断问题,保证链路的畅通。
一种双向机顶盒入侵检测方法,包含如下步骤:
步骤1.前端子系统对出/入OLT上游双向链路的双向流量进行筛选采集,剔除已知确定无危害的流量数据,采集剩余的可疑流量数据并传输至后端子系统;
步骤2. 后端子系统根据接收到的可疑流量数据判定是否包含已知威胁特征,若包含,则根据已知安全威胁库对接收到的可疑流量数据进行安全威胁检测并清除,否则,通过统计行为特征并根据大数据关联分析方法对该可疑流量数据进行安全威胁检测,并对检测出的安全威胁进行特征分析,将分析结果加入已知安全威胁库中。
上述的双向机顶盒入侵检测方法,所述步骤1具体包含如下步骤:
步骤1.1.根据广电网流量的特点判断出/入OLT上游双向链路的双向流量是否是已知合法音视频内容,若是,则剔除,否则进行下一步,则判定为可疑流量数据;
步骤1.2.对可疑流量数据进行采集;
步骤1.3.将采集到的可疑流量数据传输至后端子系统进行分析处理;
步骤1.4.后端子系统分析通过分析判定该可疑流量数据是否为攻击流量数据,若是,则进行下一步,否则,剔除;
步骤1.5.通过后端子系统对数据分析处理后,前端子系统发送响应处理命令,进入步骤1.6;
步骤1.6.根据响应命令,前端子系统对该攻击流量数据做出相应处理。
上述的双向机顶盒入侵检测方法,所述步骤2具体包含如下步骤:
步骤2.1.接收可疑流量数据,将该可疑流量数据传输至安全检测模块;
步骤2.2.安全检测模块通过比对已知安全威胁特征库,判断可疑流量数据是否存在已知安全威胁,若存在,则向前端子系统发送异常处理指令,否则,进入下一步骤2.3;
步骤2.3.根据大数据关联分析方法检测可疑流量数据,判断可疑流量数据是否存在未知安全威胁,若存在,则向前端子系统发送异常处理指令,否则,执行步骤2.4;
步骤2.4.将检测完的可疑流量数据传送到相应光线路终端。
上述的双向机顶盒入侵检测方法,所述步骤2还包含广电网回传流量检测,所述广电网回传流量检测具体包含如下内容:对用户流量进行检测,是否有大规模流量回传,如果没有,则判定属于正常行为,如果有,则检测大规模流量回传的时间是否为约定的时间节点,若是,则判定属于正常流量回传行为,否则,判定为入侵行为,并对入侵行为采取入侵响应。
上述的双向机顶盒入侵检测方法,所述步骤2中通过统计行为特征并根据大数据关联分析方法对该可疑流量数据进行安全威胁检测,并对检测出的安全威胁进行特征分析,具体包含如下步骤:步骤(1)从受保护的业务系统中取出用户历史数据,将历史数据进行转换得到供双向机顶盒入侵检测系统使用的对应数据;步骤(2)根据转换得到的对应数据生成用户正常行为规范模型,根据网络安全技术在双向机顶盒入侵检测系统中生成用户正常行为规范,用于作为检测用户当前行为是否为正常行为的标准;步骤(3)检测用户当前行为,从受保护的业务系统中提取需要进行检测的用户的当前行为数据,根据步骤(2)中生成的用户正常行为规范,进行检测对比分析,若当前行为数据与正常行为数据的差别大于规定阈值,则判定用户当前行为异常,有安全风险,双向机顶盒入侵检测系统发出被非法入侵的安全警报;若当前行为数据符合正常行为数据规范,则判定用户当前行为为正常行为;步骤(4)从受保护的业务系统中取出用户当前行为数据,将用户当前行为数据通过算法转换,供双向机顶盒入侵检测系统管理员进行数据分析;步骤(5)将当前用户行为数据转为用户历史数据,供后续用户行为检测分析使用。
本发明的有益效果:
1.本发明双向机顶盒入侵检测系统部署在OLT上游双向链路,完成对汇聚流量的实时、智能识别,实现对汇聚流量的正确处理;串接部署方式下,系统可检测安全威胁并可实时检测并阻断、清洗恶意攻击流量;系统设计线速串接光/电切换保护技术,在故障出现时能实时将链路切换到透明传输模式,自动实时避绕了故障点,从而保证接入网正常不间断运行,采用线速串接光/电切换保护技术对其串联在链路中可能产生的中断问题加以处理,保证链路的畅通;采用“非配合”的部署与工作方式,系统部署在OLT上游双向链路后可独立运行,对已知的安全流量进行实时转发,对已知特征的安全威胁进行实时阻断,对未知特征的可疑流量进行关联分析,判断其安全属性并进行相应处理,整个运行过程不需要普通用户的配合,不需要机顶盒等智能终端厂商的配合,也不需要运营商前端网络运营系统的配合;部署在OLT上游双向链路,系统本身无外部可探测到的IP地址,类似于物理层的透明传输装置,类似一段光纤,具有天然的“隐形”特性,可免除攻击者对其进行探测,确保自身网络安全。
2.本发明双向机顶盒入侵检测方法中前端子系统对流量的处理主要包括两部分:数据采集和数据处理,功能是对按照“排出”原则采集到的数据进行处理判断,即剔出已知确定无危害的视频、音频等数据,将剩余的可疑流量采集并送入后端系统。再根据后端子系统传回的相关指令对流量进行相应的处理;后端子系统对前端子系统筛选出的数据包进行进一步的分析处理,一方面,通过对采集流量进行分析,可以直观展现广电运营商的互动业务、互联网业务、直播业务,及用户使用情况和收益情况,包括内容热点、各类型URL访问频度、频道用户数、用户流量分析等;另一方面,系统中设置安全检测模块,当安全威胁到达后,该模块可根据安全威胁库对已知威胁特征的安全威胁进行比对检测,发现威胁后实时通知前端系统进行阻断等处理;而对于0-DAY攻击等需要后验知识才能确定的未知特征安全威胁,安全检测模块可基于前端子系统采集的全维数据,通过统计行为特征利用大数据关联分析方法检测未知威胁。
3.本发明双向机顶盒入侵检测方法充分利用系统区分前后端的结构特点,按照复杂度大小由易及难层层约减待检测流量,完成检测;首先,前端子系统可以过滤掉大多数已知的合规视频节目流量,这就使得本系统要检测的流量远小于输入流量,大大约减了待检测流量,提高了检测精度;广电双向接入网链路中的混合流量成份与互联网流量组成有很大不同,其中既有广电运营商很多自有业务产生的流量,又有广电运营商独特的运营交互信息。这就使得广电网流量安全检测有别于互联网;在已知安全威胁库中除了常用的已知安全威胁特征外,还有针对广电网流量的特有的已知安全特征,比如机顶盒定期回传信息检测,由于广电网运营商需要对节目信息进行统计(比如收视率、点播率等),在某个约定的时间段会有大量的数据从智能机顶盒到服务器进行回传,在其他时间段除了点播流量外不会有大量流量回传现象,如果在其他时间段也有大量的回传流量则可能遭受攻击,需要对其进行处理;此外,应对未知安全威胁时通过行为分析对采集数据进行关联分析,通过扩大被检测域,将基于单个时间点、单个攻击事件的实时检测转变为基于历史时间窗的检测来发现攻击;由于广电网流量的特点,根据广电网特有行为特征加以分析建模;机顶盒APP更新数据流需要相应的传输标准,网络上发送的NIT中Loader的linkage descriptor包含了更新机顶盒厂家代号、硬件版本号、软件版本号以及产品序列号等标识参数,而黑客伪造的更新数据流往往无法完全匹配,也可作为一个攻击判别依据;在切频道换时,人手工切换频道的时间有一定的间隔和规律,而黑客的切换很难模仿,也作为一个攻击判别依据。
附图说明:
图1为广电网络层次关系示意图;
图2为互联网与广电网流量对比图;
图3为本发明的双向机顶盒入侵检测系统结构示意图;
图4为本发明的双向机顶盒入侵检测系统部署示意图;
图5为本发明的安全检测模块结构框图;
图6为本发明的前端子系统流量处理流程图;
图7为本发明的安全检测模块处理流程;
图8为本发明的广电网回传流量检测流程示意图;
图9为本发明的用户行为模型检测流程示意图。
具体实施方式:
下面结合附图和技术方案对本发明作进一步详细的说明,并通过优选的实施例详细说明本发明的实施方式,但本发明的实施方式并不限于此。
实施例一,参见图2~4所示,图2给出了互联网和广电网的流量对比图,互联网中流量成分相当复杂、应用繁多、流量规律性较差,这也促使在互联网接入网端必须采用多种相对复杂的检测方法来检测攻击,确保安全;不同于互联网,广电网流量少并且其成分相对简单,主要只是一些视频流,客户点播流以及运营商在一定时间段内需要回收的机顶盒记录流,这些可以预测的广电网流量处理起来并不像互联网那么复杂;因此广电网接入网没有必要沿袭互联网接入网的安全机制,它可以直接用一种更简单的检测系统或方法来完成相应接入端的安全检测。图3和图4是该双向机顶盒入侵检测系统整体结构和部署示意图,一种双向机顶盒入侵检测系统,包含前端子系统和后端子系统,前端子系统,与OLT上游双向链路连接,对出/入OLT上游双向链路的双向流量进行采集和处理,剔出已知确定无危害的数据,将剩余的可疑流量采集并送入后端子系统;后端子系统,对前端子系统的数据包进行安全检测和数据分析。
实施例二,参见图5所示,与实施例一基本相同,不同之处在于:所述后端子系统还包含安全检测模块,安全检测模块依据安全威胁库对安全威胁进行比对检测,并实时通知前端子系统。后端系统设置安全检测模块,包括已知威胁特征的安全检测模块和未知威胁特征的安全检测模块。已知威胁特征的安全检测模块维护特征已知的各种安全威胁库,并根据已知特征对输入流量进行安全威胁检测。未知威胁特征的安全检测模块利用近年来刚提出的大数据关联分析的方法检测安全威胁,对检测出的威胁进行威胁特征分析,并将分析结果加入已知威胁特征库。前端系统采集的可疑攻击流量首先通过已知威胁特征的安全检测模块,由该模块将已知安全威胁检测并清除,剩余的未知流量送入未知威胁特征检测模块,进一步分析检测。
实施例三,与实施例一基本相同,不同之处在于:该双向机顶盒入侵检测系统还包含线速串接光/电切换保护模块,线速串接光/电切换保护模块处理串联在OLT上游双向链路中的中断问题,保证链路的畅通,在故障出现时能实时将链路切换到透明传输模式,自动实时避绕了故障点,从而保证接入网正常不间断运行。
实施例四,一种双向机顶盒入侵检测方法,包含如下步骤:
步骤1.前端子系统对出/入OLT上游双向链路的双向流量进行筛选采集,剔除已知确定无危害的流量数据,采集剩余的可疑流量数据并传输至后端子系统;
步骤2. 后端子系统根据接收到的可疑流量数据判定是否包含已知威胁特征,若包含,则根据已知安全威胁库对接收到的可疑流量数据进行安全威胁检测并清除,否则,通过统计行为特征并根据大数据关联分析方法对该可疑流量数据进行安全威胁检测,并对检测出的安全威胁进行特征分析,将分析结果加入已知安全威胁库中。
实施例五,参见图6所示,与实施例四基本相同,不同之处在于:所述步骤1具体包含如下步骤:
步骤1.1. 根据广电网流量的特点判断出/入OLT上游双向链路的双向流量是否是已知合法音视频内容,若是,则剔除,否则进行下一步,则判定为可疑流量数据;
步骤1.2. 对可疑流量数据进行采集;
步骤1.3. 将采集到的可疑流量数据传输至后端子系统进行分析处理;
步骤1.4. 后端子系统分析通过分析判定该可疑流量数据是否为攻击流量数据,若是,则进行下一步,否则,剔除;
步骤1.5. 通过后端子系统对数据分析处理后,前端子系统发送响应处理命令,进入步骤1.6;
步骤1.6. 根据响应命令,前端子系统对该攻击流量数据做出相应处理。
实施例六,参见图7所示,与实施例四基本相同,不同之处在于:所述步骤2具体包含如下步骤:
步骤2.1. 接收可疑流量数据,将该可疑流量数据传输至安全检测模块;
步骤2.2. 安全检测模块通过比对已知安全威胁特征库,判断可疑流量数据是否存在已知安全威胁,若存在,则向前端子系统发送异常处理指令,否则,进入下一步骤2.3;
步骤2.3. 根据大数据关联分析方法检测可疑流量数据,判断可疑流量数据是否存在未知安全威胁,若存在,则向前端子系统发送异常处理指令,否则,执行步骤2.4;
步骤2.4. 将检测完的可疑流量数据传送到相应光线路终端。
实施例七,参见图8所示,与实施例四基本相同,不同之处在于:所述步骤2还包含广电网回传流量检测,所述广电网回传流量检测具体包含如下内容:对用户流量进行检测,是否有大规模流量回传,如果没有,则判定属于正常行为,如果有,则检测大规模流量回传的时间是否为约定的时间节点,若是,则判定属于正常流量回传行为,否则,判定为入侵行为,并对入侵行为采取入侵响应。
实施例八,参见图9所示,与实施例四基本相同,不同之处在于:所述步骤2中通过统计行为特征并根据大数据关联分析方法对该可疑流量数据进行安全威胁检测,并对检测出的安全威胁进行特征分析,具体包含如下步骤:步骤(1)从受保护的业务系统中取出用户历史数据,将历史数据进行转换得到供双向机顶盒入侵检测系统使用的对应数据;步骤(2)根据转换得到的对应数据生成用户正常行为规范模型,根据网络安全技术在双向机顶盒入侵检测系统中生成用户正常行为规范,用于作为检测用户当前行为是否为正常行为的标准;步骤(3)检测用户当前行为,从受保护的业务系统中提取需要进行检测的用户的当前行为数据,根据步骤(2)中生成的用户正常行为规范,进行检测对比分析,若当前行为数据与正常行为数据的差别大于规定阈值,则判定用户当前行为异常,有安全风险,双向机顶盒入侵检测系统发出被非法入侵的安全警报;若当前行为数据符合正常行为数据规范,则判定用户当前行为为正常行为;步骤(4)从受保护的业务系统中取出用户当前行为数据,将用户当前行为数据通过算法转换,供双向机顶盒入侵检测系统管理员进行数据分析;步骤(5)将当前用户行为数据转为用户历史数据,供后续用户行为检测分析使用。
本发明并不局限于上述具体实施方式,本领域技术人员还可据此做出多种变化,但任何与本发明等同或者类似的变化都应涵盖在本发明权利要求的范围内。

Claims (4)

1.一种双向机顶盒入侵检测方法,其特征在于:包含如下步骤:
步骤1.前端子系统对出/入OLT上游双向链路的双向流量进行筛选采集,剔除已知确定无危害的流量数据,采集剩余的可疑流量数据并传输至后端子系统;
步骤2.后端子系统根据接收到的可疑流 量数据判定是否包含已知威胁特征,若包含,则根据已知安全威胁库对接收到的可疑流量数据进行安全威胁检测并清除,否则,通过统计行为特征并根据大数据关联分析方法对该可疑流量数据进行安全威胁检测,并对检测出的安全威胁进行特征分析,将分析结果加入已知安全威胁库中;还包含广电网回传流量检测,所述广电网回传流量检测具体包含如下内容:对用户流量进行检测,是否有大规模流量回传,如果没有,则判定属于正常行为,如果有,则检测大规模流量回传的时间是否为约定的时间节点,若是,则判定属于正常流量回传行为,否则,判定为入侵行为,并对入侵行为采取入侵响应。
2.根据权利要求1所述的双向机顶盒入侵检测方法,其特征在于:所述步骤1具体包含如下步骤:
步骤1.1.根据广电网流量的特点判断出/入OLT上游双向链路的双向流量是否是已知合法音视频内容,若是,则剔除,否则进行下一步,则判定为可疑流量数据;
步骤1.2.对可疑流量数据进行采集;
步骤1.3.将采集到的可疑流量数据传输至后端子系统进行分析处理;
步骤1.4.后端子系统分析通过分析判定该可疑流量数据是否为攻击流量数据,若是,则进行下一步,否则,剔除;
步骤1.5.通过后端子系统对数据分析处理后,前端子系统发送响应处理命令,进入步骤1.6;
步骤1.6.根据响应命令,前端子系统对该攻击流量数据做出相应处理。
3.根据权利要求1所述的双向机顶盒入侵检测方法,其特征在于:所述步骤2具体包含如下步骤:
步骤2.1.接收可疑流量数据,将该可疑流量数据传输至安全检测模块;
步骤2.2.安全检测模块通过比对已知安全威胁特征库,判断可疑流量数据是否存在已知安全威胁,若存在,则向前端子系统发送异常处理指令,否则,进入下一步骤2.3;
步骤2.3.根据大数据关联分析方法检测可疑流量数据,判断可疑流量数据是否存在未知安全威胁,若存在,则向前端子系统发送异常处理指令,否则,执行步骤2.4;
步骤2.4.将检测完的可疑流量数据传送到相应光线路终端。
4.根据权利要求1所述的双向机顶盒入侵检测方法,其特征在于:所述步骤2中通过统计行为特征并根据大数据关联分析方法对该可疑流量数据进行安全威胁检测,并对检测出的安全威胁进行特征分析,具体包含如下步骤:步骤(1)从受保护的业务系统中取出用户历史数据,将历史数据进行转换得到供双向机顶盒入侵检测系统使用的对应数据;步骤(2)根据转换得到的对应数据生成用户正常行为规范模型,根据网络安全技术在双向机顶盒入侵检测系统中生成用户正常行为规范,用于作为检测用户当前行为是否为正常行为的标准;步骤(3)检测用户当前行为,从受保护的业务系统中提取需要进行检测的用户的当前行为数据,根据步骤(2)中生成的用户正常行为规范,进行检测对比分析,若当前行为数据与正常行为数据的差别大于规定阈值,则判定用户当前行为异常,有安全风险,双向机顶盒入侵检测系统发出被非法入侵的安全警报;若当前行为数据符合正常行为数据规范,则判定用户当前行为为正常行为;步骤(4)从受保护的业务系统中取出用户当前行为数据,将用户当前行为数据通过算法转换,供双向机顶盒入侵检测系统管理员进行数据分析;步骤(5)将当前用户行为数据转为用户历史数据,供后续用户行为检测分析使用。
CN201510342856.1A 2015-06-19 2015-06-19 双向机顶盒入侵检测系统及其检测方法 Active CN104954864B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510342856.1A CN104954864B (zh) 2015-06-19 2015-06-19 双向机顶盒入侵检测系统及其检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510342856.1A CN104954864B (zh) 2015-06-19 2015-06-19 双向机顶盒入侵检测系统及其检测方法

Publications (2)

Publication Number Publication Date
CN104954864A CN104954864A (zh) 2015-09-30
CN104954864B true CN104954864B (zh) 2019-03-01

Family

ID=54169150

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510342856.1A Active CN104954864B (zh) 2015-06-19 2015-06-19 双向机顶盒入侵检测系统及其检测方法

Country Status (1)

Country Link
CN (1) CN104954864B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107404466A (zh) * 2016-05-20 2017-11-28 中国移动通信集团上海有限公司 一种sdn的网络安全防护方法及装置
CN107294666B (zh) * 2017-06-02 2020-01-31 沈阳航空航天大学 应用于无线自组网络的广播包传输流程及功率控制方法
CN111355687B (zh) * 2018-12-21 2022-04-22 国家新闻出版广电总局广播科学研究院 广电融合业务系统
CN110113204A (zh) * 2019-05-05 2019-08-09 江苏阳廷电气科技有限公司 一种在智能网关上实现应用程序管理的方法
CN116346774A (zh) * 2023-02-16 2023-06-27 北京有元科技有限公司 一种基于dns路由的网络流量数据查询系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101321171A (zh) * 2008-07-04 2008-12-10 北京锐安科技有限公司 一种检测分布式拒绝服务攻击的方法及设备
CN101729873A (zh) * 2009-12-11 2010-06-09 浪潮电子信息产业股份有限公司 一种实现多媒体业务融合接入的网络平台
CN101854275A (zh) * 2010-05-25 2010-10-06 军工思波信息科技产业有限公司 一种通过分析网络行为检测木马程序的方法及装置
CN103312693A (zh) * 2013-05-08 2013-09-18 华迪计算机集团有限公司 音视频访问控制网关设备
CN104468631A (zh) * 2014-12-31 2015-03-25 国家电网公司 基于ip终端异常流量及黑白名单库的网络入侵识别方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100456830C (zh) * 2006-06-28 2009-01-28 华为技术有限公司 实现流媒体内容审查的用户终端设备及审查方法
JP6359463B2 (ja) * 2012-02-17 2018-07-18 ヴェンコア ラブズ、インク.Vencore Labs, Inc. 多機能電力量計器アダプタ及び使用方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101321171A (zh) * 2008-07-04 2008-12-10 北京锐安科技有限公司 一种检测分布式拒绝服务攻击的方法及设备
CN101729873A (zh) * 2009-12-11 2010-06-09 浪潮电子信息产业股份有限公司 一种实现多媒体业务融合接入的网络平台
CN101854275A (zh) * 2010-05-25 2010-10-06 军工思波信息科技产业有限公司 一种通过分析网络行为检测木马程序的方法及装置
CN103312693A (zh) * 2013-05-08 2013-09-18 华迪计算机集团有限公司 音视频访问控制网关设备
CN104468631A (zh) * 2014-12-31 2015-03-25 国家电网公司 基于ip终端异常流量及黑白名单库的网络入侵识别方法

Also Published As

Publication number Publication date
CN104954864A (zh) 2015-09-30

Similar Documents

Publication Publication Date Title
CN109962891B (zh) 监测云安全的方法、装置、设备和计算机存储介质
CN111385236B (zh) 一种基于网络诱骗的动态防御系统
US8769682B2 (en) Mechanism for identifying malicious content, DoS attacks, and illegal IPTV services
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
CN104954864B (zh) 双向机顶盒入侵检测系统及其检测方法
CN101087196B (zh) 多层次蜜网数据传输方法及系统
CN106411562B (zh) 一种电力信息网络安全联动防御方法及系统
US20120023572A1 (en) Malicious Attack Response System and Associated Method
CN106850690B (zh) 一种蜜罐构造方法及系统
KR102045468B1 (ko) 네트워크 데이터 분석에 기반한 비정상 연결 행위 탐지 장치 및 방법
CN106992955A (zh) Apt防火墙
CN106534042A (zh) 基于数据分析的服务器入侵识别方法、装置和云安全系统
CN107347067B (zh) 一种网络风险监控方法、系统及安全网络系统
CN103916288A (zh) 一种基于网关与本地的Botnet检测方法及系统
CN100435513C (zh) 网络设备与入侵检测系统联动的方法
CN112565300A (zh) 基于行业云黑客攻击识别与封堵方法、系统、装置及介质
CN110753014B (zh) 基于流量转发的威胁感知方法、设备、装置及存储介质
CN115987531A (zh) 一种基于动态欺骗式“平行网络”的内网安全防护系统及方法
KR20120000942A (ko) 블랙리스트 접근 통계 기반의 봇 감염 호스트 탐지 장치 및 그 탐지 방법
Behal et al. Signature-based botnet detection and prevention
KR20130033161A (ko) 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템
Mudgal et al. Spark-Based Network Security Honeypot System: Detailed Performance Analysis
CN111241543B (zh) 一种应用层智能抵御DDoS攻击的方法及系统
KR101923054B1 (ko) 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법
Panimalar et al. A review on taxonomy of botnet detection

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant