CN103905451B - 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法 - Google Patents
一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法 Download PDFInfo
- Publication number
- CN103905451B CN103905451B CN201410133307.9A CN201410133307A CN103905451B CN 103905451 B CN103905451 B CN 103905451B CN 201410133307 A CN201410133307 A CN 201410133307A CN 103905451 B CN103905451 B CN 103905451B
- Authority
- CN
- China
- Prior art keywords
- data packet
- network
- embedded equipment
- actual embedded
- platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 55
- 238000005259 measurement Methods 0.000 claims abstract description 126
- 238000004458 analytical method Methods 0.000 claims abstract description 58
- 238000004891 communication Methods 0.000 claims abstract description 57
- 238000001514 detection method Methods 0.000 claims abstract description 19
- 238000011156 evaluation Methods 0.000 claims abstract description 10
- 238000012545 processing Methods 0.000 claims description 52
- 230000002159 abnormal effect Effects 0.000 claims description 33
- 238000012795 verification Methods 0.000 claims description 30
- 230000006870 function Effects 0.000 claims description 17
- 238000004088 simulation Methods 0.000 claims description 15
- 230000001186 cumulative effect Effects 0.000 claims description 12
- 239000000284 extract Substances 0.000 claims description 12
- 238000003860 storage Methods 0.000 claims description 10
- 230000008859 change Effects 0.000 claims description 9
- 238000001914 filtration Methods 0.000 claims description 9
- 230000007246 mechanism Effects 0.000 claims description 8
- 238000012544 monitoring process Methods 0.000 claims description 7
- 238000003752 polymerase chain reaction Methods 0.000 claims description 7
- 101150102573 PCR1 gene Proteins 0.000 claims description 6
- 230000001010 compromised effect Effects 0.000 claims description 6
- 238000011158 quantitative evaluation Methods 0.000 claims description 6
- 230000001105 regulatory effect Effects 0.000 claims description 6
- 239000004576 sand Substances 0.000 claims description 6
- 238000001926 trapping method Methods 0.000 claims description 6
- 230000007123 defense Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000009826 distribution Methods 0.000 description 3
- 230000006872 improvement Effects 0.000 description 3
- 238000002955 isolation Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 238000010248 power generation Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000005265 energy consumption Methods 0.000 description 1
- 238000005286 illumination Methods 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 210000000554 iris Anatomy 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种智能电网嵌入式设备网络攻击诱捕系统,包括诱捕装置和安全分析服务器;诱捕装置包括网络接口模块、安全控制模块和实际嵌入式设备模拟机;网络接口模块用于完成IP数据包的收发,安全控制模块用于对IP数据包进行标识和解析判别,安全控制模块连接有串口通信模块、外部存储器和开关模块;实际嵌入式设备模拟机将网络状态及主机状态信息发送至安全分析服务器;安全分析服务器通过多维度属性综合度量得出最终安全检测结果。本发明能够在不影响嵌入式终端正常工作的情况下,快速、准确地对已知或未知的电力系统网络攻击进行实时动态的安全检测和评估;同时有效阻止攻击者通过网络接口模块对诱捕装置进行攻击。
Description
技术领域
本发明涉及网络安全防御领域,尤其涉及一种能够在智能电网中针对网络攻击进行诱捕的系统和方法。
背景技术
目前,随着物联网产业的兴起,在智能电网中,各种传感器、控制设备均为嵌入式系统,广泛应用于发电、输电、变电、配电以及用户用电的各主要环节。除了业务上的测量、传输功能外,嵌入式系统还起着核心业务运行控制的功能。例如,用户层的复费率电能计量管理单元,设备层的变压器油温等传感器、电压电流变送器、继电保护装置、故障录波、线路保护、故障测距装置,控制室的数字录音、变电站的图像监控、配电网的远程抄表、负荷控制及自动化保护模块等等,基本上涵盖了电网指挥运行的各个方面。
从嵌入式系统自身来看,相对于传统的PC设备,嵌入式操作系统及其应用程序主要考虑的是硬件的适配性、更少的资源占用等问题,很多嵌入式系统的安全防护功能很少或者几乎没有,恶意攻击者很容易侵入到系统中,对嵌入式系统实施干扰、监视甚至远程控制。近年来,在国内外由于嵌入式系统造成的电力系统事故屡有发生,如著名的伊朗Stuxnet震网病毒事件,该病毒专门针对PLC(Programmable Logic Controller,可编程逻辑控制器)设备攻击,通过修改PLC来改变工业生产控制系统的行为,一度导致伊朗核电站推迟发电。
从网络层面来看,随着3G、WIFI等通讯手段的普及,嵌入式系统从有线网络向无线网络延伸,使得网络的安全问题更加突出。嵌入式系统由于计算资源有限,很多嵌入式网络协议均没有考虑安全问题,其设计目标是尽可能简单地实现路由,并方便日后扩展网络,基本上没有任何的安全机制。一旦嵌入式系统遭到网络攻击,整个智能电网的正常业务工作便会受到影响甚至于瘫痪。
与传统PC设备相比,嵌入式系统计算资源少、能耗低、工作环境复杂,现有的很多安全解决方案并不适用,而且嵌入式系统一般处于开放的工作环境中,传统计算机很容易解决的物理安全问题在嵌入式系统上也成为一个难题。这些嵌入式系统多为一体化设备,其操作系统包括嵌入式Linux、VxWorks、WinCe等。针对来自网络层面的非法截获、中断、篡改或伪造等攻击,由于无法直接在这些嵌入式设备上加装额外的网络安全检测软件或系统,因此无法做到对嵌入式系统进行实时的网络安全检测与评估。
另一方面,随着网络攻击的日益严重,为提高网络安全性,防火墙、入侵检测、加密VPN等设备相继推出,能够在一定程度上提高网络安全性。但针对现有的网络安全设备,网络攻击发起者很容易利用网络接口模块对网络攻击过滤装置进行攻击,攻击者通过配置程序获取对网络安全设备进行配置的权限,然后修改网络安全设备中的配置信息。修改配置时,攻击者会按照后续攻击的目的设定特定的配置,以达到最终攻击受上述网络安全设备保护的网络的目的。因此,现有的网络攻击过滤装置在配置程序上存在漏洞,危害非常巨大,极易造成网络安全设备完全失去了防御作用。
发明内容
本发明的目的是提供一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法,能够在保护真实智能电网终端的基础上,通过诱捕设备捕获各种针对真实设备的攻击,在不影响嵌入式终端正常工作的情况下,快速、准确地对已知或未知的电力系统网络攻击进行实时动态的安全检测和评估;同时,本发明还能够通过硬件的改进实现网络攻击过滤装置的数据包标识和解析判别模式与文件配置模式的隔离,有效阻止攻击者通过网络接口模块对诱捕装置进行攻击,提高安全性,实现诱捕装置的有效保护。
本发明采用下述技术方案:
一种智能电网嵌入式设备网络攻击诱捕系统,包括诱捕装置和安全分析服务器;
所述诱捕装置的数据接收端连接智能电网网络,诱捕装置的数据发送端分别连接实际嵌入式设备和安全分析服务器;诱捕装置包括网络接口模块、安全控制模块和实际嵌入式设备模拟机;
网络接口模块用于完成IP数据包的收发,包括外网网络接口模块和内网网络接口模块;外网网络接口模块连接安全控制模块和智能电网网络,用于接收外部通讯网络所发送的IP数据包并传送给安全控制模块,以及接收安全控制模块所发送的IP数据包并通过外部通信网络进行发送;内网网络接口模块分别连接安全控制模块和实际嵌入式设备模拟机以及安全控制模块和实际嵌入式设备,用于接收安全控制模块所发送的IP数据包并传送给实际嵌入式设备或实际嵌入式设备模拟机,以及接收实际嵌入式设备所发送的IP数据包并传送给安全控制模块;
安全控制模块用于对所接收的实际嵌入式设备发送的IP数据包进行标识后通过网络接口模块发送至智能电网网络,以及对所接收的智能电网网络发送的IP数据包进行解析判别,并将正常的IP数据包发送至实际嵌入式设备,将异常的IP数据包发送至实际嵌入式设备模拟机;安全控制模块连接有串口通信模块和用于单独存放文件配置程序的外部存储器,安全控制模块还连接有开关模块,开关模块的信号输出端连接安全控制模块的信号输入端;
实际嵌入式设备模拟机用于对实际嵌入式设备的运行环境和计算环境进行模拟,包括硬件环境模拟和软件环境模拟,对实际嵌入式设备在受到网络攻击时其网络状态和主机状态变化进行检测,并将网络状态及主机状态信息发送至安全分析服务器;
所述安全分析服务器用于对实际嵌入式设备模拟机发送的网络状态及主机状态信息,通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量,得出最终安全检测结果。
所述的安全控制模块内存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列号;当安全控制模块接收到实际嵌入式设备所发送的IP数据包时,安全控制模块读取该IP数据包并提取IP数据包目的地址,根据目的地址获取对应的密钥和发送序列号,将发送序列号置于IP数据包尾部,利用密钥对IP数据包和发送序列号进行摘要运算,将摘要运算结果附于发送序列号之后,并根据当前长度调整IP首部信息中的长度指示信息,然后将添加标识后的IP数据包通过外网网络接口模块发送至智能电网网络;当安全控制模块接收到智能电网网络所发送的IP数据包时,安全控制模块读取该IP数据包并提取IP数据包来源地址,根据IP数据包来源地址获取对应的密钥和接收序列号,安全控制模块利用密钥对IP数据包中被保护的内容和发送序列号进行摘要运算,并将运算结果与IP数据包中自带的摘要运算结果进行比较,如果结果比较不一致则认为IP数据包被篡改和伪造,将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机;如果结果比较一致则判断IP数据包没有被篡改和伪造,继续比较从IP数据包中读取的发送序列号和接收序列号的大小,若发送序列号大于接收序列号则认为IP数据包正常,安全控制模块接收该IP数据包并将此IP数据包通过内网网络接口模块发送至实际嵌入式设备;如果发送序列号小于等于接收序列号则认为IP数据包非法,将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机。
所述的实际嵌入式设备模拟机包括硬件可信密码模块TPM,用于实现信息采集与组件动态可信度量;其中信息采集是指采集异常网络事件和主机事件并发送至安全分析服务器,异常网络事件信息包括异常的网络数据信息和网络流量信息,主机事件包括实际嵌入式设备模拟机配置信息和实际嵌入式设备模拟机运行信息;进行组件动态可信度量时首先在实际嵌入式设备模拟机内配置XEN虚拟机,XEN虚拟机位于实际嵌入式设备模拟机硬件层之上且操作系统之下;然后利用XEN虚拟机的超级调用机制,在组件请求页面调入内存运行之前,通过地址指针获取调入内存的页面;在XEN虚拟机执行权限检查后,执行该超级调用的处理函数;在处理函数中加入对组件进行度量的代码,使度量代码操作首先执行;最后利用度量代码中基于指定的度量方式实现组件当前内存快照的可信度量或风险监测。
所述的安全分析服务器用于从平台配置属性、平台运行属性和用户认证属性进行多维度属性综合量化评估;
所述的平台配置属性度量通过对存储在硬件可信密码模块TPM相应平台配置寄存器PCRs中的各个组件完整性进行综合评价反映平台配置的可信任程度:首先基于实际嵌入式设备模拟机可信硬件模块TPM,以安全可信的方式获得实际嵌入式设备模拟机计算平台各个组件的完整性报告信息,包括PCR值和签名信息;然后安全分析服务器对完整性报告进行验证,得到PCR0,PCR1,…,PCRn-1对应组件的完整性信息,其中n为组件的个数;若得到的完整性验证失败的组件个数f,则完整性验证成功的组件个数为n-f;最后依据组件完整性与否的信息,计算平台配置信任度Ti;
本发明使用三元组{bS,dS,uS}表示完整性验证成功的组件可信情况,bS表示该组件未受恶意代码影响的可能性,dS表示该组件受恶意代码影响的可能性,uS表示该组件受恶意代码影响的不确定程度。
用三元组{bF,dF,uF}表示完整性验证失败的组件可信情况(完整性验证失败未必表示组件安全性受到威胁,其中bF表示该组件对系统安全性造成破坏的可能性,dF表示该组件对系统安全性不会造成破坏的可能性,uF表示该组件对系统安全性是否造成破坏的不确定程度。
使用三元组表示平台配置信任度TI,TI={bI,dI,uI};
其中,bI表示平台完整性没有受到破坏的可能性;dI表示平台完整性受到破坏的可能性;uI表示平台完整性完好的不确定程度;κ为调整因子,一般取当f=0时,κ=1;f越大,κ越小,bI越小,信任组件随着非信任组件的增多受影响越来越大,符合实际情况;当信任度或不信任度没有衰减时,uS和uF为0;
所述的平台运行属性度量通过将正常的网络通信事件作为肯定事件,肯定事件的累计数用r表示;将对网络的攻击事件和嗅探事件作为否定事件,否定事件的累计数用s表示;计算平台运行属性信任度TH;
使用三元组表示平台运行属性信任度TH,TH={bH,dH,uH},
其中,bH表示正常网络通信的可能性;
dH表示非法网络通信事件的可能性;
uH表正常网络通信的不确定程度;
所述的用户认证属性度量采用认证方法被攻破的概率来计算认证信任级,设一个攻击者成功攻破认证方法A并可以扮演成正常用户的事件发生的概率是P(A),则该认证方法A的可信等级levelA=-log(P(A));若系统采取多因素认证方案,A1,A2,…Am,m为认证因素的数量,则该多因素认证法被攻破的条件是全部认证方法均被攻破,其概率为P(A1∩A2…∩Am);假设用户U通过了多因素认证,那么U通过系统认证后取得的可信等级AU表示为:
AU=-log(P(A1∩A2…∩Am));
所述基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行多维度属性综合度量是在用户认证属性度量的基础上,对平台配置属性度量和平台运行属性度量的加权平均;设αI,αH分别为平台配置属性度量与平台运行属性度量的权重,αI+αH=1,则实际嵌入式设备模拟机安全度量评估值TP={bP,dP,uP}为:
bP=αI bI+αH bH
dP=αI dI+αH dH
uP=αI uI+αH uH;
其中,bP表示实际嵌入式设备模拟机安全可信的可能性;dP表示实际嵌入式设备模拟机非安全可信的可能性;uP表示实际嵌入式设备模拟机安全可信的不确定程度。
一种智能电网嵌入式设备网络攻击诱捕方法,包括以下步骤:
A:将诱捕装置的数据接收端直接接入智能电网网络,诱捕装置的数据发送端分别连接实际嵌入式设备和安全分析服务器;所述诱捕装置包括网络接口模块、安全控制模块和实际嵌入式设备模拟机;网络接口模块包括外网网络接口模块和内网网络接口模块;外网网络接口模块连接安全控制模块和智能电网网络,用于接收外部通讯网络所发送的IP数据包并传送给安全控制模块,以及接收安全控制模块所发送的IP数据包并通过外部通信网络进行发送;内网网络接口模块分别连接安全控制模块和实际嵌入式设备模拟机以及安全控制模块和实际嵌入式设备,用于接收安全控制模块所发送的IP数据包并传送给实际嵌入式设备或实际嵌入式设备模拟机,以及接收实际嵌入式设备所发送的IP数据包并传送给安全控制模块;
B:当实际嵌入式设备需向智能电网网络上其他设备发送IP数据包时,利用安全控制模块对所接收的实际嵌入式设备发送的IP数据包进行标识后通过网络接口模块发送至智能电网网络,安全控制模块内存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列号;当安全控制模块接收到实际嵌入式设备所发送的IP数据包时,安全控制模块读取该IP数据包并提取IP数据包目的地址,根据目的地址获取对应的密钥和发送序列号,将发送序列号置于IP数据包尾部,利用密钥对IP数据包和发送序列号进行摘要运算,将摘要运算结果附于发送序列号之后,并根据当前长度调整IP首部信息中的长度指示信息,然后将添加标识后的IP数据包通过外网网络接口模块发送至智能电网网络;
当安全控制模块接收到智能电网网络所发送的IP数据包时,安全控制模块读取该IP数据包并提取IP数据包来源地址,根据IP数据包来源地址获取对应的密钥和接收序列号,安全控制模块利用密钥对IP数据包中被保护的内容和发送序列号进行摘要运算,并将运算结果与IP数据包中自带的摘要运算结果进行比较,如果结果比较不一致则认为IP数据包被篡改和伪造,将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机;如果结果比较一致则判断IP数据包没有被篡改和伪造,继续比较从IP数据包中读取的发送序列号和接收序列号的大小,若发送序列号大于接收序列号则认为IP数据包正常,安全控制模块接收该IP数据包并将此IP数据包通过内网网络接口模块发送至实际嵌入式设备;如果发送序列号小于等于接收序列号则认为IP数据包非法,将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机;
C:利用实际嵌入式设备模拟机对实际嵌入式设备的运行环境和计算环境进行模拟,包括硬件环境模拟和软件环境模拟,对实际嵌入式设备在受到网络攻击时其网络状态和主机状态变化进行检测,并将网络状态及主机状态信息发送至安全分析服务器;
D:利用安全分析服务器用于对实际嵌入式设备模拟机发送的网络状态及主机状态信息,通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量,得出最终安全检测结果。
所述的B步骤中,在安全处理模块上连接有串口通信模块和用于单独存放网络攻击过滤装置的文件配置程序的外部存储器,同时在安全处理模块上连接开关模块,开关模块的信号输出端连接安全处理模块的信号输入端;利用开关模块向安全处理模块输入高电平或低电平信号,安全处理模块根据接收到开关模块发送的不同信号分别执行IP数据包标识和解析判别模式与文件配置模式,文件配置模式下安全处理模块仅通过串口通信模块与外界进行通信;当安全处理模块执行IP数据包标识和解析判别模式时,安全处理模块从内部启动,即安全处理模块从内部存储单元中读取网络攻击过滤程序并执行,安全处理模块不能访问外部存储器;当安全处理模块执行配置程序运行模式时,安全处理模块从外部存储器中读取配置程序并执行,配置程序在用户的计算机中运行,用户计算机通过串口通信模块与安全处理模块进行通信。
所述的C步骤中,实际嵌入式设备模拟机包括硬件可信密码模块TPM,用于实现信息采集与组件动态可信度量;其中信息采集是指采集异常网络事件和主机事件并发送至安全分析服务器,异常网络事件信息包括异常的网络数据信息和网络流量信息,主机事件包括实际嵌入式设备模拟机配置信息和实际嵌入式设备模拟机运行信息;进行组件动态可信度量时首先在实际嵌入式设备模拟机内配置XEN虚拟机,XEN虚拟机位于实际嵌入式设备模拟机硬件层之上且操作系统之下;然后利用XEN虚拟机的超级调用机制,在组件请求页面调入内存运行之前,通过地址指针获取调入内存的页面;在XEN虚拟机执行权限检查后,执行该超级调用的处理函数;在处理函数中加入对组件进行度量的代码,使度量代码操作首先执行;最后利用度量代码中基于指定的度量方式实现组件当前内存快照的可信度量或风险监测。
所述的D步骤中,安全分析服务器用于从平台配置属性、平台运行属性和用户认证属性进行多维度属性综合量化评估;
所述的平台配置属性度量通过对存储在硬件可信密码模块TPM相应平台配置寄存器PCRs中的各个组件完整性进行综合评价反映平台配置的可信任程度:首先基于实际嵌入式设备模拟机可信硬件模块TPM,以安全可信的方式获得实际嵌入式设备模拟机计算平台各个组件的完整性报告信息,包括PCR值和签名信息;然后安全分析服务器对完整性报告进行验证,得到PCR0,PCR1,…,PCRn-1对应组件的完整性信息,其中n为组件的个数;若得到的完整性验证失败的组件个数f,则完整性验证成功的组件个数为n-f;最后依据组件完整性与否的信息,计算平台配置信任度Ti:
本发明使用三元组{bS,dS,uS}表示完整性验证成功的组件可信情况,bS表示该组件未受恶意代码影响的可能性,dS表示该组件受恶意代码影响的可能性,uS表示该组件受恶意代码影响的不确定程度。
用三元组{bF,dF,uF}表示完整性验证失败的组件可信情况,其中bF表示该组件对系统安全性造成破坏的可能性,dF表示该组件对系统安全性不会造成破坏的可能性,uF表示该组件对系统安全性是否造成破坏的不确定程度。
使用三元组表示平台配置信任度TI,TI={bI,dI,uI};
其中,bI表示平台完整性没有受到破坏的可能性;dI表示平台完整性受到破坏的可能性;uI表示平台完整性完好的不确定程度;κ为调整因子,一般取当f=0时,κ=1;f越大,κ越小,bI越小,信任组件随着非信任组件的增多受影响越来越大,符合实际情况;当信任度或不信任度没有衰减时,uS和uF为0;
所述的平台运行属性度量通过将正常的网络通信事件作为肯定事件,肯定事件的累计数用r表示;将对网络的攻击事件和嗅探事件作为否定事件,否定事件的累计数用s表示;计算平台运行属性信任度TH;
使用三元组表示平台运行属性信任度TH,TH={bH,dH,uH},
其中,bH表示正常网络通信的可能性;
dH表示非法网络通信事件的可能性;
uH表正常网络通信的不确定程度;
所述的用户认证属性度量采用认证方法被攻破的概率来计算认证信任级,设一个攻击者成功攻破认证方法A并可以扮演成正常用户的事件发生的概率是P(A),则该认证方法A的可信等级levelA=-log(P(A));若系统采取多因素认证方案,A1,A2,…Am,m为认证因素的数量,则该多因素认证法被攻破的条件是全部认证方法均被攻破,其概率为P(A1∩A2…∩Am);假设用户U通过了多因素认证,那么U通过系统认证后取得的可信等级AU表示为:
AU=-log(P(A1∩A2…∩Am));
所述基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行多维度属性综合度量是在用户认证属性度量的基础上,对平台配置属性度量和平台运行属性度量的加权平均;设αI,αH分别为平台配置属性度量与平台运行属性度量的权重,αI+αH=1,则实际嵌入式设备模拟机安全度量评估值TP={bP,dP,uP}为:
bP=αI bI+αH bH
dP=αI dI+αH dH
uP=αI uI+αH uH;
其中,bP表示实际嵌入式设备模拟机安全可信的可能性;dP表示实际嵌入式设备模拟机非安全可信的可能性;uP表示实际嵌入式设备模拟机安全可信的不确定程度。
本发明所述的智能电网嵌入式设备网络攻击诱捕系统通过引入诱捕装置,利用安全控制模块所接收的实际嵌入式设备发送的IP数据包进行标识,对所接收的智能电网网络发送的IP数据包进行解析判别,并将正常的IP数据包发送至实际嵌入式设备,将异常的IP数据包发送至实际嵌入式设备模拟机,再利用实际嵌入式设备模拟机对实际嵌入式设备的运行环境和计算环境进行模拟,实际嵌入式设备能够在受到网络攻击时其网络状态和主机状态变化进行检测,并将网络状态及主机状态信息发送至安全分析服务器,最终通过安全分析服务器对实际嵌入式设备模拟机发送的网络状态及主机状态信息,通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量,得出最终安全检测结果。本发明在保证实际嵌入式设备正常工作的同时,对未知网络攻击进行实时检测和感知,克服现有网络攻击检测技术无法直接应用于嵌入式设备且只能做到事后防御的弊端,能够主动做到对嵌入式设备的网络攻击进行诱捕。同时,本发明还能够通过硬件的改进实现网络攻击过滤装置的数据包标识和解析判别模式与文件配置模式的隔离,有效阻止攻击者通过网络接口模块对诱捕装置进行攻击,提高安全性,实现诱捕装置的有效保护。
附图说明
图1为本发明所述智能电网嵌入式设备网络攻击诱捕系统的原理框图;
图2为本发明的智能电网嵌入式设备网络攻击诱捕方法的流程图;
图3为IP数据包标识原理示意图。
具体实施方式
如图1所示,本发明所述智能电网嵌入式设备网络攻击诱捕系统包括诱捕装置和安全分析服务器;
所述诱捕装置的数据接收端连接智能电网网络,诱捕装置的数据发送端分别连接实际嵌入式设备和安全分析服务器;诱捕装置包括网络接口模块、安全控制模块和实际嵌入式设备模拟机;
网络接口模块用于完成IP数据包的收发,包括外网网络接口模块和内网网络接口模块;外网网络接口模块连接安全控制模块和智能电网网络,用于接收外部通讯网络所发送的IP数据包并传送给安全控制模块,以及接收安全控制模块所发送的IP数据包并通过外部通信网络进行发送;内网网络接口模块分别连接安全控制模块和实际嵌入式设备模拟机以及安全控制模块和实际嵌入式设备,用于接收安全控制模块所发送的IP数据包并传送给实际嵌入式设备或实际嵌入式设备模拟机,以及接收实际嵌入式设备所发送的IP数据包并传送给安全控制模块。
安全控制模块用于对所接收的实际嵌入式设备发送的IP数据包进行标识后通过网络接口模块发送至智能电网网络,以及对所接收的智能电网网络发送的IP数据包进行解析判别,并将正常的IP数据包发送至实际嵌入式设备,将异常的IP数据包发送至实际嵌入式设备模拟机。异常的网络数据信息包括两部分:
(1)网络数据内容异常:安全控制模块通过判断网络数据包格式、协议、数据内容等信息,将异常的网络信息发送给实际嵌入式设备模拟机,安全分析服务器依据这些信息能够发现扫描、渗透攻击、重放攻击、缓冲溢出、漏洞利用等多种网络攻击行为。
(2)网络流量信息:安全控制模块通过判断设备总体流量、某个服务流量、当前会话连接数量等网络流量信息,将异常的网络流量信息发送给实际嵌入式设备模拟机,安全分析服务器通过这些信息能够发现非法信息外传、拒绝服务攻击等。
安全控制模块内存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列号;当安全控制模块接收到实际嵌入式设备所发送的IP数据包时,安全控制模块读取该IP数据包并提取IP数据包目的地址,根据目的地址获取对应的密钥和发送序列号,将发送序列号置于IP数据包尾部,利用密钥对IP数据包和发送序列号进行摘要运算,将摘要运算结果附于发送序列号之后,并根据当前长度调整IP首部信息中的长度指示信息,然后将添加标识后的IP数据包通过外网网络接口模块发送至智能电网网络;当安全控制模块接收到智能电网网络所发送的IP数据包时,安全控制模块读取该IP数据包并提取IP数据包来源地址,根据IP数据包来源地址获取对应的密钥和接收序列号,安全控制模块利用密钥对IP数据包中被保护的内容和发送序列号进行摘要运算,并将运算结果与IP数据包中自带的摘要运算结果进行比较,如果结果比较不一致则认为IP数据包被篡改和伪造,将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机;如果结果比较一致则判断IP数据包没有被篡改和伪造,继续比较从IP数据包中读取的发送序列号和接收序列号的大小,若发送序列号大于接收序列号则认为IP数据包正常,安全控制模块接收该IP数据包并将此IP数据包通过内网网络接口模块发送至实际嵌入式设备;如果发送序列号小于等于接收序列号则认为IP数据包非法,将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机。图3为IP数据包标识原理示意图。
安全控制模块还连接有串口通信模块和用于单独存放文件配置程序的外部存储器,安全控制模块还连接有开关模块,开关模块的信号输出端连接安全控制模块的信号输入端;开关模块用于向安全控制模块输入高电平或低电平信号,安全控制模块根据接收到开关模块发送的不同信号分别执行IP数据包标识和解析判别模式与文件配置模式,文件配置模式下安全控制模块仅通过串口通信模块与外界进行通信。当安全控制模块执行攻击过滤模式时,安全控制模块从内部启动,即安全控制模块从内部存储单元中读取IP数据包标识和解析判别程序并执行,安全控制模块不能访问外部存储器,能够保证不会篡改外部存储中的程序,进而保证了配置程序的安全。当安全控制模块执行配置程序运行模式时,安全控制模块从外部存储器中读取配置程序并执行,配置程序在用户的计算机中运行,用户计算机通过串口通信模块与安全控制模块进行通信,此时安全控制模块中运行配置程序,与用户的计算机形成C/S的工作模式。本发明利用硬件开关隔离安全控制模块两种运行模式,安全控制模块执行配置程序时不通过网络进行,能够有效阻止通过网络接口模块发起的针对安全控制模块本身的攻击,不论安全控制模块的配置程序有无漏洞,攻击者均不能修改安全控制模块的配置程序,安全性大为提高。
本实施例中,网络接口模块采用支持IEEE802.3等以太网规范的接口芯片,称为网卡芯片,能够支持以太网数据包的收发。为提高整体安全性,网卡芯片选择国产芯片。安全控制模块,指具有安全功能的控制芯片,安全功能指能够进行密码运算且自身具有较强的防多种攻击措施,密码运算可采用摘要运算,自身具有的防攻击措施包括芯片具有的多层特殊版图设计、电压检测、存储区加密保护、光照检测、MPU(内存保护单元)等防范物理攻击、软件攻击的保护措施。开关模块可采用电路开关,电路开关的开合可以向安全处理芯片发出低电平、高电平两种不同的控制信号。串口通信模块可采用支持RS232标准的异步串行通信接口芯片,通信时需要专用的串口电缆分别连接该异步串行通信接口芯片与用户配置用计算机上的异步串行通信接口芯片(一般称为COM口)。外部存储器可采用FLASH芯片,FLASH芯片为通用的一种存储芯片,在掉电情况下保存数据,可以通过FLASH芯片的外部接口对FLASH芯片进行读、写、擦除等操作。
实际嵌入式设备模拟机用于对实际嵌入式设备的运行环境和计算环境进行模拟,包括硬件环境模拟和软件环境模拟,对实际嵌入式设备在受到网络攻击时其网络状态和主机状态变化进行检测,并将网络状态及主机状态信息发送至安全分析服务器。实际嵌入式设备模拟机包括硬件可信密码模块TPM,用于实现信息采集与组件动态可信度量;其中信息采集是指采集异常网络事件和主机事件并发送至安全分析服务器,异常网络事件信息包括异常的网络数据信息和网络流量信息,主机事件包括实际嵌入式设备模拟机配置信息和实际嵌入式设备模拟机运行信息;实际嵌入式设备模拟机中的组件动态可信度量利用实际嵌入式设备模拟机的特权控制机制分析实际嵌入式设备模拟机内的组件运行时的动态内存影像,从而对运行组件进行有效的动态度量,及时发现组件运行异常情况(受到攻击或破坏),对攻击做到主动防御,为实际嵌入式设备模拟机安全稳定运行提供安全可信的计算和运行环境。
组件动态变化是通过操作系统对内存的分配和置换反映出来的。操作系统对应用程序(组件)实施加载管理和运行管理。当组件或应用程序被执行时,操作系统为其分配一定数量的内存,并为该进程创建页表,以映射物理内存和地址空间。当组件或应用程序发生页面失效时,即运行过程中,操作系统按照一定的页面置换算法,将部分所需的页面从磁盘上置换进内存,并更新页表。
基于上述工作原理,进行组件动态可信度量时:
首先在实际嵌入式设备模拟机内配置XEN虚拟机,XEN虚拟机位于实际嵌入式设备模拟机硬件层之上且操作系统之下;
然后利用XEN虚拟机的超级调用机制,在组件请求页面调入内存运行之前,通过地址指针获取调入内存的页面;在XEN虚拟机执行权限检查后,执行该超级调用的处理函数;在处理函数中加入对组件进行度量的代码,使度量代码操作首先执行;
最后利用度量代码中基于指定的度量方式实现组件当前内存快照的可信度量或风险监测,指定的度量方式包括完整性度量、代码特征检测、行为相似度检测。在每次发生内存分配和置换时都进行组件动态可信度量检测,即可实现组件变化过程的动态度量。
所述安全分析服务器通过对实际嵌入式设备模拟机发送的网络状态及主机状态信息,从平台配置属性、平台运行属性和用户认证属性进行多维度属性综合量化评估,最终得到安全检测结果。安全分析服务器的多维属性包括计算平台配置、平台运行和身份认证属性,这些属性均对系统安全产生影响。
(1)平台配置属性度量
平台配置属性度量实际上就是基于各个组件完整性的综合评价,反映出平台配置的可信任程度。平台各个组件的完整性度量值已经被扩展存储到实际嵌入式设备模拟机平台硬件可信密码模块TPM(Trusted Platform Module)相应的平台配置寄存器PCRs中,平台配置属性度量通过验证这些PCRs值,即可计算出平台配置的可信任程度。
(1)平台配置属性度量的具体方法如下:
首先基于实际嵌入式设备模拟机可信硬件模块TPM,以安全可信的方式获得实际嵌入式设备模拟机计算平台各个组件的完整性报告信息,包括PCR值和签名信息;
然后安全分析服务器对完整性报告进行验证,得到PCR0,PCR1,…,PCRn-1对应组件的完整性信息,其中n为组件的个数;假设得到的完整性验证失败的组件个数f,则完整性验证成功的组件个数为n-f;
最后依据组件完整性与否的信息,计算平台配置信任度Ti:
本发明使用三元组{bS,dS,uS}表示完整性验证成功的组件可信情况,bS表示该组件未受恶意代码影响的可能性,dS表示该组件受恶意代码影响的可能性,uS表示该组件受恶意代码影响的不确定程度;
用三元组{bF,dF,uF}表示完整性验证失败的组件可信情况(完整性验证失败未必表示组件安全性受到威胁,例如软件版本升级等也会导致PCR值验证失败,却是无害的),其中bF表示该组件对系统安全性造成破坏的可能性,dF表示该组件对系统安全性不会造成破坏的可能性,uF表示该组件对系统安全性是否造成破坏的不确定程度;
使用三元组表示平台配置信任度TI,TI={bI,dI,uI};
其中,bI表示平台完整性没有受到破坏的可能性;dI表示平台完整性受到破坏的可能性;uI表示平台完整性完好的不确定程度;κ为调整因子,一般取当f=0时,κ=1;f越大,κ越小,bI越小,信任组件随着非信任组件的增多受影响越来越大,符合实际情况;当信任度或不信任度没有衰减时,uS和uF为0;
式(1)可简化为
(2)平台运行属性度量
平台运行属性反映了实际嵌入式设备模拟机当前行为可观察的信任属性。平台运行属性包括性能特性性(如CPU、内存、硬盘使用情况和网络流量信息等)、可靠特性(如成功率、丢包率和平均无故障时间等)和安全特性(如非法连接次数、端口扫描次数和越权尝试企图等)。
平台运行属性度量通过将正常的网络通信事件作为肯定事件,肯定事件的累计数用r表示;将对网络的攻击事件和嗅探事件作为否定事件,否定事件的累计数用s表示;计算平台运行属性信任度TH;
基于这些特性,可计算当前实际嵌入式设备模拟机运行情况的信任值。计算方法如下:
平台运行属性信任度TH由三元组TH={bH,dH,uH}组成,其中,
其中,bH表示正常网络通信的可能性;dH表示非法网络通信事件的可能性;uH表正常网络通信的不确定程度;
基于式(3),即可计算出平台运行属性信任度TH。
(3)用户认证属性度量
当用户为了获得非法利益时,如访问未授权资源,可能利用系统漏洞或其它技术手段假冒其他用户身份,这就要求能对用户提交的身份凭证的可信性做出度量,即计算认证信任等级。在系统中,用户身份凭证可能有多种,如数字证书、指纹、虹膜乃至简单的PIN码,为了统一用户身份属性可信性的表达,用户认证属性度量采用认证方法被攻破的概率来计算认证信任级。用户身份属性度量问题实际上时如何计算多因素认证方式的破解概率问题。
用户认证属性度量具体步骤如下:
首先,设一个攻击者成功攻破认证方法A并可以扮演成合法用户的事件发生的概率是P(A),则该认证方法A的可信等级levelA=-log(P(A));
然后,如果系统采取多因素认证方案,A1,A2,…Am,m为认证因素的数量,如采用指纹、口令和证书三因素认证,那么m=3;则该多因素认证法被攻破的条件是全部认证方法均被攻破,其概率为P(A1∩A2…∩Am);假设用户U通过了多因素认证,那么U通过系统认证后取得的可信等级AU表示为:
AU=-log(P(A1∩A2…∩Am));
(4)多维度属性综合度量
基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行多维度属性综合度量是在用户认证属性度量的基础上,对平台配置属性度量和平台运行属性度量的加权平均;设αI,αH分别为平台配置属性度量与平台运行属性度量的权重,αI+αH=1,则实际嵌入式设备模拟机安全度量评估值TP={bP,dP,uP}为:
bP=αI bI+αH bH
dP=αI dI+αH dH (4)
uP=αI uI+αH uH
其中,bP表示实际嵌入式设备模拟机安全可信的可能性;dP表示实际嵌入式设备模拟机非安全可信的可能性;uP表示实际嵌入式设备模拟机安全可信的不确定程度。
基于式(4),即可计算出实际嵌入式设备模拟机安全状况的量化值,得出最终安全检测结果。
例如,检测系统设定用户认证安全阈值AU=0.65,实际嵌入式设备模拟机安全状况阈值{λbP,λdP,λuP}={0.7,0.1,0.2}。当用上述方法计算出某一时刻用户认证属性度量值为0.7,实际嵌入式设备模拟机平台度量值为{0.6,0.2,0.2}时,虽然用户认证属性度量值0.7>用户认证安全阈值0.65,但由于平台度量值中bP=0.6<λbP=0.7,所以认定该时刻实际嵌入式设备模拟机安全状况没有达到规定,是存在安全风险的。
本发明所述的智能电网嵌入式设备网络攻击诱捕系统通过引入诱捕装置,在保证实际嵌入式设备正常工作的同时,对未知网络攻击进行实时检测和感知。实际嵌入式设备模拟机模拟实际设备,从组件、进程、硬件配置等影响系统安全的关键因素进行动态检测和控制,对未知的网络攻击和异常应为进行及时相应和处理,克服现有网络攻击检测技术无法直接应用于嵌入式设备且只能做到事后防御的弊端,能够主动做到对嵌入式设备的网络攻击进行诱捕。同时,本发明还能够通过硬件的改进实现网络攻击过滤装置的数据包标识和解析判别模式与文件配置模式的隔离,有效阻止攻击者通过网络接口模块对诱捕装置进行攻击,提高安全性,实现诱捕装置的有效保护。
如图2所示,本发明所述的智能电网嵌入式设备网络攻击诱捕方法,包括以下步骤:
A:将诱捕装置的数据接收端直接接入智能电网网络,诱捕装置的数据发送端分别连接实际嵌入式设备和安全分析服务器;所述诱捕装置包括网络接口模块、安全控制模块和实际嵌入式设备模拟机;网络接口模块包括外网网络接口模块和内网网络接口模块;外网网络接口模块连接安全控制模块和智能电网网络,用于接收外部通讯网络所发送的IP数据包并传送给安全控制模块,以及接收安全控制模块所发送的IP数据包并通过外部通信网络进行发送;内网网络接口模块分别连接安全控制模块和实际嵌入式设备模拟机以及安全控制模块和实际嵌入式设备,用于接收安全控制模块所发送的IP数据包并传送给实际嵌入式设备或实际嵌入式设备模拟机,以及接收实际嵌入式设备所发送的IP数据包并传送给安全控制模块;
B:当实际嵌入式设备需向智能电网网络上其他设备发送IP数据包时,利用安全控制模块对所接收的实际嵌入式设备发送的IP数据包进行标识后通过网络接口模块发送至智能电网网络,安全控制模块内存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列号;当安全控制模块接收到实际嵌入式设备所发送的IP数据包时,安全控制模块读取该IP数据包并提取IP数据包目的地址,根据目的地址获取对应的密钥和发送序列号,将发送序列号置于IP数据包尾部,利用密钥对IP数据包和发送序列号进行摘要运算,将摘要运算结果附于发送序列号之后,并根据当前长度调整IP首部信息中的长度指示信息,然后将添加标识后的IP数据包通过外网网络接口模块发送至智能电网网络;
当安全控制模块接收到智能电网网络所发送的IP数据包时,安全控制模块读取该IP数据包并提取IP数据包来源地址,根据IP数据包来源地址获取对应的密钥和接收序列号,安全控制模块利用密钥对IP数据包中被保护的内容和发送序列号进行摘要运算,并将运算结果与IP数据包中自带的摘要运算结果进行比较,如果结果比较不一致则认为IP数据包被篡改和伪造,将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机;如果结果比较一致则判断IP数据包没有被篡改和伪造,继续比较从IP数据包中读取的发送序列号和接收序列号的大小,若发送序列号大于接收序列号则认为IP数据包正常,安全控制模块接收该IP数据包并将此IP数据包通过内网网络接口模块发送至实际嵌入式设备;如果发送序列号小于等于接收序列号则认为IP数据包非法,将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机;
C:利用实际嵌入式设备模拟机对实际嵌入式设备的运行环境和计算环境进行模拟,包括硬件环境模拟和软件环境模拟,对实际嵌入式设备在受到网络攻击时其网络状态和主机状态变化进行检测,并将网络状态及主机状态信息发送至安全分析服务器;
D:利用安全分析服务器用于对实际嵌入式设备模拟机发送的网络状态及主机状态信息,通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量,得出最终安全检测结果。
B步骤中,在安全处理模块上连接有串口通信模块和用于单独存放网络攻击过滤装置的文件配置程序的外部存储器,同时在安全处理模块上连接开关模块,开关模块的信号输出端连接安全处理模块的信号输入端;利用开关模块向安全处理模块输入高电平或低电平信号,安全处理模块根据接收到开关模块发送的不同信号分别执行IP数据包标识和解析判别模式与文件配置模式,文件配置模式下安全处理模块仅通过串口通信模块与外界进行通信;当安全处理模块执行IP数据包标识和解析判别模式时,安全处理模块从内部启动,即安全处理模块从内部存储单元中读取网络攻击过滤程序并执行,安全处理模块不能访问外部存储器;当安全处理模块执行配置程序运行模式时,安全处理模块从外部存储器中读取配置程序并执行,配置程序在用户的计算机中运行,用户计算机通过串口通信模块与安全处理模块进行通信。
C步骤中,实际嵌入式设备模拟机包括硬件可信密码模块TPM,用于实现信息采集与组件动态可信度量;其中信息采集是指采集异常网络事件和主机事件并发送至安全分析服务器,异常网络事件信息包括异常的网络数据信息和网络流量信息,主机事件包括实际嵌入式设备模拟机配置信息和实际嵌入式设备模拟机运行信息;进行组件动态可信度量时首先在实际嵌入式设备模拟机内配置XEN虚拟机,XEN虚拟机位于实际嵌入式设备模拟机硬件层之上且操作系统之下;然后利用XEN虚拟机的超级调用机制,在组件请求页面调入内存运行之前,通过地址指针获取调入内存的页面;在XEN虚拟机执行权限检查后,执行该超级调用的处理函数;在处理函数中加入对组件进行度量的代码,使度量代码操作首先执行;最后利用度量代码中基于指定的度量方式实现组件当前内存快照的可信度量或风险监测。
D步骤中,安全分析服务器用于从平台配置属性、平台运行属性和用户认证属性进行多维度属性综合量化评估;
所述的平台配置属性度量通过对存储在硬件可信密码模块TPM相应平台配置寄存器PCRs中的各个组件完整性进行综合评价反映平台配置的可信任程度:首先基于实际嵌入式设备模拟机可信硬件模块TPM,以安全可信的方式获得实际嵌入式设备模拟机计算平台各个组件的完整性报告信息,包括PCR值和签名信息;然后安全分析服务器对完整性报告进行验证,得到PCR0,PCR1,…,PCRn-1对应组件的完整性信息,其中n为组件的个数;若得到的完整性验证失败的组件个数f,则完整性验证成功的组件个数为n-f;最后依据组件完整性与否的信息,计算平台配置信任度Ti:
本发明使用三元组{bS,dS,uS}表示完整性验证成功的组件可信情况,bS表示该组件未受恶意代码影响的可能性,dS表示该组件受恶意代码影响的可能性,uS表示该组件受恶意代码影响的不确定程度;
用三元组{bF,dF,uF}表示完整性验证失败的组件可信情况(完整性验证失败未必表示组件安全性受到威胁,例如软件版本升级等也会导致PCR值验证失败,却是无害的),其中bF表示该组件对系统安全性造成破坏的可能性,dF表示该组件对系统安全性不会造成破坏的可能性,uF表示该组件对系统安全性是否造成破坏的不确定程度;
使用三元组表示平台配置信任度TI,TI={bI,dI,uI};
其中,bI表示平台完整性没有受到破坏的可能性;dI表示平台完整性受到破坏的可能性;uI表示平台完整性完好的不确定程度;κ为调整因子,一般取当f=0时,κ=1;f越大,κ越小,bI越小,信任组件随着非信任组件的增多受影响越来越大,符合实际情况;当信任度或不信任度没有衰减时,uS和uF为0;
所述的平台运行属性度量通过将正常的网络通信事件作为肯定事件,肯定事件的累计数用r表示;将对网络的攻击事件和嗅探事件作为否定事件,否定事件的累计数用s表示;计算平台运行属性信任度TH;
使用三元组表示平台运行属性信任度TH,TH={bH,dH,uH},
其中,bH表示正常网络通信的可能性;
dH表示非法网络通信事件的可能性;
uH表正常网络通信的不确定程度;
所述的用户认证属性度量采用认证方法被攻破的概率来计算认证信任级,设一个攻击者成功攻破认证方法A并可以扮演成正常用户的事件发生的概率是P(A),则该认证方法A的可信等级levelA=-log(P(A));若系统采取多因素认证方案,A1,A2,…Am,m为认证因素的数量,则该多因素认证法被攻破的条件是全部认证方法均被攻破,其概率为P(A1∩A2…∩Am);假设用户U通过了多因素认证,那么U通过系统认证后取得的可信等级AU表示为:
AU=-log(P(A1∩A2…∩Am));
所述基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行多维度属性综合度量是在用户认证属性度量的基础上,对平台配置属性度量和平台运行属性度量的加权平均;设αI,αH分别为平台配置属性度量与平台运行属性度量的权重,αI+αH=1,则实际嵌入式设备模拟机安全度量评估值TP={bP,dP,uP}为:
bP=αI bI+αH bH
dP=αI dI+αH dH
uP=αI uI+αH uH;
其中,bP表示实际嵌入式设备模拟机安全可信的可能性;dP表示实际嵌入式设备模拟机非安全可信的可能性;uP表示实际嵌入式设备模拟机安全可信的不确定程度。
由于智能电网嵌入式设备网络攻击诱捕方法是配合智能电网嵌入式设备网络攻击诱捕系统实现,方法与工作原理在此不再赘述。
Claims (8)
1.一种智能电网嵌入式设备网络攻击诱捕系统,其特征在于:包括诱捕装置和安全分析服务器;
所述诱捕装置的数据接收端连接智能电网网络,诱捕装置的数据发送端分别连接实际嵌入式设备和安全分析服务器;诱捕装置包括网络接口模块、安全控制模块和实际嵌入式设备模拟机;
网络接口模块用于完成IP数据包的收发,包括外网网络接口模块和内网网络接口模块;外网网络接口模块连接安全控制模块和智能电网网络,用于接收外部通讯网络所发送的IP数据包并传送给安全控制模块,以及接收安全控制模块所发送的IP数据包并通过外部通信网络进行发送;内网网络接口模块分别连接安全控制模块和实际嵌入式设备模拟机以及实际嵌入式设备,用于接收安全控制模块所发送的IP数据包并传送给实际嵌入式设备或实际嵌入式设备模拟机,以及接收实际嵌入式设备所发送的IP数据包并传送给安全控制模块;
安全控制模块用于对所接收的实际嵌入式设备发送的IP数据包进行标识后通过网络接口模块发送至智能电网网络,以及对所接收的智能电网网络发送的IP数据包进行解析判别,并将正常的IP数据包发送至实际嵌入式设备,将异常的IP数据包发送至实际嵌入式设备模拟机;安全控制模块连接有串口通信模块和用于单独存放文件配置程序的外部存储器,安全控制模块还连接有开关模块,开关模块的信号输出端连接安全控制模块的信号输入端;
实际嵌入式设备模拟机用于对实际嵌入式设备的运行环境和计算环境进行模拟,包括硬件环境模拟和软件环境模拟,对实际嵌入式设备在受到网络攻击时其网络状态和主机状态变化进行检测,并将网络状态及主机状态信息发送至安全分析服务器;
所述安全分析服务器用于对实际嵌入式设备模拟机发送的网络状态及主机状态信息,通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量,得出最终安全检测结果。
2.根据权利要求1所述的智能电网嵌入式设备网络攻击诱捕系统,其特征在于:所述的安全控制模块内存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列号;当安全控制模块接收到实际嵌入式设备所发送的IP数据包时,安全控制模块读取该IP数据包并提取IP数据包目的地址,根据目的地址获取对应的密钥和发送序列号,将发送序列号置于IP数据包尾部,利用密钥对IP数据包和发送序列号进行摘要运算,将摘要运算结果附于发送序列号之后,并根据当前长度调整IP首部信息中的长度指示信息,然后将添加标识后的IP数据包通过外网网络接口模块发送至智能电网网络;当安全控制模块接收到智能电网网络所发送的IP数据包时,安全控制模块读取该IP数据包并提取IP数据包来源地址,根据IP数据包来源地址获取对应的密钥和接收序列号,安全控制模块利用密钥对IP数据包中被保护的内容和发送序列号进行摘要运算,并将运算结果与IP数据包中自带的摘要运算结果进行比较,如果结果比较不一致则认为IP数据包被篡改和伪造,将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机;如果结果比较一致则判断IP数据包没有被篡改和伪造,继续比较从IP数据包中读取的发送序列号和接收序列号的大小,若发送序列号大于接收序列号则认为IP数据包正常,安全控制模块接收该IP数据包并将此IP数据包通过内网网络接口模块发送至实际嵌入式设备;如果发送序列号小于等于接收序列号则认为IP数据包非法,将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机。
3.根据权利要求2所述的智能电网嵌入式设备网络攻击诱捕系统,其特征在于:所述的实际嵌入式设备模拟机包括硬件可信密码模块TPM,用于实现信息采集与组件动态可信度量;其中信息采集是指采集异常网络事件和主机事件并发送至安全分析服务器,异常网络事件信息包括异常的网络数据信息和网络流量信息,主机事件包括实际嵌入式设备模拟机配置信息和实际嵌入式设备模拟机运行信息;进行组件动态可信度量时首先在实际嵌入式设备模拟机内配置XEN虚拟机,XEN虚拟机位于实际嵌入式设备模拟机硬件层之上且操作系统之下;然后利用XEN虚拟机的超级调用机制,在组件请求页面调入内存运行之前,通过地址指针获取调入内存的页面;在XEN虚拟机执行权限检查后,执行该超级调用的处理函数;在处理函数中加入对组件进行度量的代码,使度量代码操作首先执行;最后利用度量代码中基于指定的度量方式实现组件当前内存快照的可信度量或风险监测。
4.根据权利要求3所述的智能电网嵌入式设备网络攻击诱捕系统,其特征在于:所述的安全分析服务器用于从平台配置属性、平台运行属性和用户认证属性进行多维度属性综合量化评估;
所述的平台配置属性度量通过对存储在硬件可信密码模块TPM相应平台配置寄存器PCRs中的各个组件完整性进行综合评价反映平台配置的可信任程度:首先基于实际嵌入式设备模拟机可信硬件模块TPM,以安全可信的方式获得实际嵌入式设备模拟机计算平台各个组件的完整性报告信息,包括PCR值和签名信息;然后安全分析服务器对完整性报告进行验证,得到PCR0,PCR1,…,PCRn-1对应组件的完整性信息,其中n为组件的个数;若得到的完整性验证失败的组件个数f,则完整性验证成功的组件个数为n-f;最后依据组件完整性与否的信息,计算平台配置信任度Ti;
本发明使用三元组{bS,dS,uS}表示完整性验证成功的组件可信情况,bS表示该组件未受恶意代码影响的可能性,dS表示该组件受恶意代码影响的可能性,uS表示该组件受恶意代码影响的不确定程度;
用三元组{bF,dF,uF}表示完整性验证失败的组件可信情况,其中bF表示该组件对系统安全性造成破坏的可能性,dF表示该组件对系统安全性不会造成破坏的可能性,uF表示该组件对系统安全性是否造成破坏的不确定程度;
使用三元组表示平台配置信任度TI,TI={bI,dI,uI};
其中,bI表示平台完整性没有受到破坏的可能性;dI表示平台完整性受到破坏的可能性;uI表示平台完整性完好的不确定程度;κ为调整因子,一般取当f=0时,κ=1;f越大,κ越小,bI越小,信任组件随着非信任组件的增多受影响越来越大,符合实际情况;当信任度或不信任度没有衰减时,uS和uF为0;
所述的平台运行属性度量通过将正常的网络通信事件作为肯定事件,肯定事件的累计数用r表示;将对网络的攻击事件和嗅探事件作为否定事件,否定事件的累计数用s表示;计算平台运行属性信任度TH;
使用三元组表示平台运行属性信任度TH,TH={bH,dH,uH},
其中,bH表示正常网络通信的可能性;
dH表示非法网络通信事件的可能性;
uH表正常网络通信的不确定程度;
所述的用户认证属性度量采用认证方法被攻破的概率来计算认证信任级,设一个攻击者成功攻破认证方法A并可以扮演成正常用户的事件发生的概率是P(A),则该认证方法A的可信等级levelA=-log(P(A));若系统采取多因素认证方案,A1,A2,…Am,m为认证因素的数量,则该多因素认证法被攻破的条件是全部认证方法均被攻破,其概率为P(A1∩A2…∩Am);假设用户U通过了多因素认证,那么U通过系统认证后取得的可信等级AU表示为:
AU=-log(P(A1∩A2…∩Am));
所述基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行多维度属性综合度量是在用户认证属性度量的基础上,对平台配置属性度量和平台运行属性度量的加权平均;设αI,αH分别为平台配置属性度量与平台运行属性度量的权重,αI+αH=1,则实际嵌入式设备模拟机安全度量评估值TP={bP,dP,uP}为:
bP=αIbI+αHbH
dP=αIdI+αHdH
uP=αIuI+αHuH;
其中,bP表示实际嵌入式设备模拟机安全可信的可能性;dP表示实际嵌入式设备模拟机非安全可信的可能性;uP表示实际嵌入式设备模拟机安全可信的不确定程度。
5.一种智能电网嵌入式设备网络攻击诱捕方法,其特征在于,包括以下步骤:
A:将诱捕装置的数据接收端直接接入智能电网网络,诱捕装置的数据发送端分别连接实际嵌入式设备和安全分析服务器;所述诱捕装置包括网络接口模块、安全控制模块和实际嵌入式设备模拟机;网络接口模块包括外网网络接口模块和内网网络接口模块;外网网络接口模块连接安全控制模块和智能电网网络,用于接收外部通讯网络所发送的IP数据包并传送给安全控制模块,以及接收安全控制模块所发送的IP数据包并通过外部通信网络进行发送;内网网络接口模块分别连接安全控制模块和实际嵌入式设备模拟机以及实际嵌入式设备,用于接收安全控制模块所发送的IP数据包并传送给实际嵌入式设备或实际嵌入式设备模拟机,以及接收实际嵌入式设备所发送的IP数据包并传送给安全控制模块;
B:当实际嵌入式设备需向智能电网网络上其他设备发送IP数据包时,利用安全控制模块对所接收的实际嵌入式设备发送的IP数据包进行标识后通过网络接口模块发送至智能电网网络,安全控制模块内存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列号;当安全控制模块接收到实际嵌入式设备所发送的IP数据包时,安全控制模块读取该IP数据包并提取IP数据包目的地址,根据目的地址获取对应的密钥和发送序列号,将发送序列号置于IP数据包尾部,利用密钥对IP数据包和发送序列号进行摘要运算,将摘要运算结果附于发送序列号之后,并根据当前长度调整IP首部信息中的长度指示信息,然后将添加标识后的IP数据包通过外网网络接口模块发送至智能电网网络;
当安全控制模块接收到智能电网网络所发送的IP数据包时,安全控制模块读取该IP数据包并提取IP数据包来源地址,根据IP数据包来源地址获取对应的密钥和接收序列号,安全控制模块利用密钥对IP数据包中被保护的内容和发送序列号进行摘要运算,并将运算结果与IP数据包中自带的摘要运算结果进行比较,如果结果比较不一致则认为IP数据包被篡改和伪造,将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机;如果结果比较一致则判断IP数据包没有被篡改和伪造,继续比较从IP数据包中读取的发送序列号和接收序列号的大小,若发送序列号大于接收序列号则认为IP数据包正常,安全控制模块接收该IP数据包并将此IP数据包通过内网网络接口模块发送至实际嵌入式设备;如果发送序列号小于等于接收序列号则认为IP数据包非法,将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机;
C:利用实际嵌入式设备模拟机对实际嵌入式设备的运行环境和计算环境进行模拟,包括硬件环境模拟和软件环境模拟,对实际嵌入式设备在受到网络攻击时其网络状态和主机状态变化进行检测,并将网络状态及主机状态信息发送至安全分析服务器;
D:利用安全分析服务器用于对实际嵌入式设备模拟机发送的网络状态及主机状态信息,通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量,得出最终安全检测结果。
6.根据权利要求5所述的智能电网嵌入式设备网络攻击诱捕方法,其特征在于:所述的B步骤中,在安全处理模块上连接有串口通信模块和用于单独存放网络攻击过滤装置的文件配置程序的外部存储器,同时在安全处理模块上连接开关模块,开关模块的信号输出端连接安全处理模块的信号输入端;利用开关模块向安全处理模块输入高电平或低电平信号,安全处理模块根据接收到开关模块发送的不同信号分别执行IP数据包标识和解析判别模式与文件配置模式,文件配置模式下安全处理模块仅通过串口通信模块与外界进行通信;当安全处理模块执行IP数据包标识和解析判别模式时,安全处理模块从内部启动,即安全处理模块从内部存储单元中读取网络攻击过滤程序并执行,安全处理模块不能访问外部存储器;当安全处理模块执行配置程序运行模式时,安全处理模块从外部存储器中读取配置程序并执行,配置程序在用户的计算机中运行,用户计算机通过串口通信模块与安全处理模块进行通信。
7.根据权利要求6所述的智能电网嵌入式设备网络攻击诱捕方法,其特征在于:所述的C步骤中,实际嵌入式设备模拟机包括硬件可信密码模块TPM,用于实现信息采集与组件动态可信度量;其中信息采集是指采集异常网络事件和主机事件并发送至安全分析服务器,异常网络事件信息包括异常的网络数据信息和网络流量信息,主机事件包括实际嵌入式设备模拟机配置信息和实际嵌入式设备模拟机运行信息;进行组件动态可信度量时首先在实际嵌入式设备模拟机内配置XEN虚拟机,XEN虚拟机位于实际嵌入式设备模拟机硬件层之上且操作系统之下;然后利用XEN虚拟机的超级调用机制,在组件请求页面调入内存运行之前,通过地址指针获取调入内存的页面;在XEN虚拟机执行权限检查后,执行该超级调用的处理函数;在处理函数中加入对组件进行度量的代码,使度量代码操作首先执行;最后利用度量代码中基于指定的度量方式实现组件当前内存快照的可信度量或风险监测。
8.根据权利要求7所述的智能电网嵌入式设备网络攻击诱捕方法,其特征在于:所述的D步骤中,安全分析服务器用于从平台配置属性、平台运行属性和用户认证属性进行多维度属性综合量化评估;
所述的平台配置属性度量通过对存储在硬件可信密码模块TPM相应平台配置寄存器PCRs中的各个组件完整性进行综合评价反映平台配置的可信任程度:首先基于实际嵌入式设备模拟机可信硬件模块TPM,以安全可信的方式获得实际嵌入式设备模拟机计算平台各个组件的完整性报告信息,包括PCR值和签名信息;然后安全分析服务器对完整性报告进行验证,得到PCR0,PCR1,…,PCRn-1对应组件的完整性信息,其中n为组件的个数;若得到的完整性验证失败的组件个数f,则完整性验证成功的组件个数为n-f;最后依据组件完整性与否的信息,计算平台配置信任度Ti:
本发明使用三元组{bS,dS,uS}表示完整性验证成功的组件可信情况,bS表示该组件未受恶意代码影响的可能性,dS表示该组件受恶意代码影响的可能性,uS表示该组件受恶意代码影响的不确定程度;
用三元组{bF,dF,uF}表示完整性验证失败的组件可信情况(完整性验证失败未必表示组件安全性受到威胁,例如软件版本升级等也会导致PCR值验证失败,却是无害的),其中bF表示该组件对系统安全性造成破坏的可能性,dF表示该组件对系统安全性不会造成破坏的可能性,uF表示该组件对系统安全性是否造成破坏的不确定程度;
使用三元组表示平台配置信任度TI,TI={bI,dI,uI};
其中,bI表示平台完整性没有受到破坏的可能性;dI表示平台完整性受到破坏的可能性;uI表示平台完整性完好的不确定程度;κ为调整因子,一般取当f=0时,κ=1;f越大,κ越小,bI越小,信任组件随着非信任组件的增多受影响越来越大,符合实际情况;当信任度或不信任度没有衰减时,uS和uF为0;
所述的平台运行属性度量通过将正常的网络通信事件作为肯定事件,肯定事件的累计数用r表示;将对网络的攻击事件和嗅探事件作为否定事件,否定事件的累计数用s表示;计算平台运行属性信任度TH;
使用三元组表示平台运行属性信任度TH,TH={bH,dH,uH},
其中,bH表示正常网络通信的可能性;
dH表示非法网络通信事件的可能性;
uH表正常网络通信的不确定程度;
所述的用户认证属性度量采用认证方法被攻破的概率来计算认证信任级,设一个攻击者成功攻破认证方法A并可以扮演成正常用户的事件发生的概率是P(A),则该认证方法A的可信等级levelA=-log(P(A));若系统采取多因素认证方案,A1,A2,…Am,m为认证因素的数量,则该多因素认证法被攻破的条件是全部认证方法均被攻破,其概率为P(A1∩A2…∩Am);假设用户U通过了多因素认证,那么U通过系统认证后取得的可信等级AU表示为:
AU=-log(P(A1∩A2…∩Am));
所述基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行多维度属性综合度量是在用户认证属性度量的基础上,对平台配置属性度量和平台运行属性度量的加权平均;设αI,αH分别为平台配置属性度量与平台运行属性度量的权重,αI+αH=1,则实际嵌入式设备模拟机安全度量评估值TP={bP,dP,uP}为:
bP=αIbI+αHbH
dP=αIdI+αHdH
uP=αIuI+αHuH;
其中,bP表示实际嵌入式设备模拟机安全可信的可能性;dP表示实际嵌入式设备模拟机非安全可信的可能性;uP表示实际嵌入式设备模拟机安全可信的不确定程度。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410133307.9A CN103905451B (zh) | 2014-04-03 | 2014-04-03 | 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法 |
PCT/CN2015/075367 WO2015149663A1 (zh) | 2014-04-03 | 2015-03-30 | 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410133307.9A CN103905451B (zh) | 2014-04-03 | 2014-04-03 | 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103905451A CN103905451A (zh) | 2014-07-02 |
CN103905451B true CN103905451B (zh) | 2017-04-12 |
Family
ID=50996605
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410133307.9A Active CN103905451B (zh) | 2014-04-03 | 2014-04-03 | 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN103905451B (zh) |
WO (1) | WO2015149663A1 (zh) |
Families Citing this family (40)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103905451B (zh) * | 2014-04-03 | 2017-04-12 | 国网河南省电力公司电力科学研究院 | 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法 |
CN105552886B (zh) * | 2015-12-17 | 2016-11-23 | 西安交通大学 | 基于Smart Grid的智能诱骗系统 |
CN105516159B (zh) * | 2015-12-17 | 2016-11-23 | 西安交通大学 | 基于SmartGrid的攻击智能捕获系统 |
CN105959131A (zh) * | 2016-04-15 | 2016-09-21 | 贵州电网有限责任公司信息中心 | 一种基于安全日志数据挖掘的电力信息网络安全度量方法 |
CN105896529B (zh) * | 2016-04-26 | 2018-05-29 | 武汉大学 | 针对智能电网中虚假数据注入攻击的数据修复方法 |
US10268170B2 (en) | 2017-01-03 | 2019-04-23 | General Electric Company | Validation of control command in substantially real time for industrial asset control system threat detection |
JP6396519B2 (ja) * | 2017-01-23 | 2018-09-26 | ファナック株式会社 | 通信環境への侵入を検出するシステム、および侵入検出方法 |
EP3512179B1 (en) | 2018-01-15 | 2021-03-03 | Carrier Corporation | Cyber security framework for internet-connected embedded devices |
CN108650225B (zh) * | 2018-04-03 | 2021-03-02 | 国家计算机网络与信息安全管理中心 | 一种远程安全监测设备、系统及远程安全监测方法 |
CN109167794B (zh) * | 2018-09-25 | 2021-05-14 | 北京计算机技术及应用研究所 | 一种面向网络系统安全度量的攻击检测方法 |
US10896261B2 (en) * | 2018-11-29 | 2021-01-19 | Battelle Energy Alliance, Llc | Systems and methods for control system security |
CN109802973A (zh) | 2019-03-15 | 2019-05-24 | 北京百度网讯科技有限公司 | 用于检测流量的方法和装置 |
CN110083363B (zh) * | 2019-04-22 | 2022-04-01 | 珠海网博信息科技股份有限公司 | 一种Linux内核动态注入方式截取无线数据包的方法 |
CN110492994B (zh) * | 2019-07-25 | 2022-08-09 | 北京笛卡尔盾科技有限公司 | 一种可信网络接入方法和系统 |
CN110851885B (zh) * | 2019-11-08 | 2023-09-26 | 北京计算机技术及应用研究所 | 嵌入式系统安全防护架构体系 |
CN110995841A (zh) * | 2019-12-04 | 2020-04-10 | 国网山东省电力公司信息通信公司 | 基于iamt的电力调度录音系统远程维护方法及系统 |
CN110826075A (zh) * | 2019-12-20 | 2020-02-21 | 宁波和利时信息安全研究院有限公司 | Plc动态度量方法、装置、系统、存储介质及电子设备 |
CN111651740B (zh) * | 2020-05-26 | 2023-04-07 | 西安电子科技大学 | 一种面向分布式智能嵌入式系统的可信平台共享系统 |
CN111901348A (zh) * | 2020-07-29 | 2020-11-06 | 北京宏达隆和科技有限公司 | 主动网络威胁感知与拟态防御的方法及系统 |
CN112073375B (zh) * | 2020-08-07 | 2023-09-26 | 中国电力科学研究院有限公司 | 一种适用于电力物联网客户侧的隔离装置及隔离方法 |
CN112347472B (zh) * | 2020-10-27 | 2022-05-06 | 中国南方电网有限责任公司 | 基于电力边缘计算的行为可信度量方法和装置 |
CN112511494B (zh) * | 2020-11-05 | 2023-10-31 | 中国电力科学研究院有限公司 | 一种适用于电力智能终端设备的安全防护系统及方法 |
CN112491849B (zh) * | 2020-11-18 | 2022-08-05 | 深圳供电局有限公司 | 一种基于流量特征的电力终端漏洞攻击防护方法 |
CN112383150A (zh) * | 2020-11-27 | 2021-02-19 | 中能电力科技开发有限公司 | 一种新能源电力监控系统安全监测装置 |
CN113098844B (zh) * | 2021-03-08 | 2023-03-21 | 黑龙江大学 | 硬件协议的智能网络检测入侵系统 |
CN113219895B (zh) * | 2021-05-10 | 2022-06-10 | 上海交通大学宁波人工智能研究院 | 一种使能边缘控制器安全可信的装置和方法 |
CN113467311B (zh) * | 2021-07-08 | 2023-03-14 | 国网新疆电力有限公司电力科学研究院 | 基于软件定义的电力物联网安全防护装置及方法 |
CN113596022A (zh) * | 2021-07-27 | 2021-11-02 | 北京卫达信息技术有限公司 | 识别网络内恶意源的设备和方法 |
CN113542036B (zh) * | 2021-09-14 | 2022-01-04 | 广州锦行网络科技有限公司 | 针对网络攻击行为的演示方法、电子及演示装置 |
CN113572793B (zh) * | 2021-09-26 | 2021-12-21 | 苏州浪潮智能科技有限公司 | 访问请求捕获方法、装置、计算机设备和存储介质 |
CN114124523B (zh) * | 2021-11-22 | 2024-01-26 | 中国电子科技集团公司第五十四研究所 | 一种零信任与网络诱捕相结合的网络防御系统及方法 |
CN114500014B (zh) * | 2022-01-14 | 2024-03-08 | 成都网域探行科技有限公司 | 一种网络系统安全评估方法 |
CN114745182A (zh) * | 2022-04-12 | 2022-07-12 | 宇辰科技(山东)有限公司 | 一种内、外网应用数据安全交互智慧出行系统及其设备 |
CN114745191B (zh) * | 2022-04-22 | 2024-03-08 | 中国电力科学研究院有限公司 | 能源互联网终端的可信实时度量方法、装置、设备及介质 |
CN115150140B (zh) * | 2022-06-23 | 2024-04-09 | 云南电网有限责任公司 | 一种基于集中统一布防的分布式攻击诱捕系统 |
CN114979281B (zh) * | 2022-07-11 | 2022-11-08 | 成都信息工程大学 | 一种应用于工业互联网云服务平台的数据交互方法 |
CN116132194B (zh) * | 2023-03-24 | 2023-06-27 | 杭州海康威视数字技术股份有限公司 | 嵌入式设备未知攻击入侵检测防御方法、系统及装置 |
CN116506208B (zh) * | 2023-05-17 | 2023-12-12 | 河南省电子信息产品质量检验技术研究院 | 一种基于局域网内计算机软件信息安全维护系统 |
CN117591542B (zh) * | 2024-01-18 | 2024-03-22 | 准检河北检测技术服务有限公司 | 一种数据库软件数据安全智能检测方法 |
CN118316733B (zh) * | 2024-06-07 | 2024-08-06 | 威海双子星软件科技有限公司 | 基于区块链的智能数据快速加密传输系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1776823A1 (en) * | 2004-08-13 | 2007-04-25 | Honeywell International Inc. | Anomaly-based intrusion detection |
CN102014138A (zh) * | 2010-12-16 | 2011-04-13 | 北京安天电子设备有限公司 | 嵌入式病毒捕获设备和电路板 |
CN102710649A (zh) * | 2012-06-12 | 2012-10-03 | 上海市电力公司 | 一种用于电力信息采集系统的网络安全架构 |
CN102947801A (zh) * | 2010-05-20 | 2013-02-27 | 埃森哲环球服务有限公司 | 恶意攻击检测和分析 |
CN103546488A (zh) * | 2013-11-05 | 2014-01-29 | 上海电机学院 | 电力二次系统的主动安全防御系统及方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7617170B2 (en) * | 2006-10-09 | 2009-11-10 | Radware, Ltd. | Generated anomaly pattern for HTTP flood protection |
US20130086635A1 (en) * | 2011-09-30 | 2013-04-04 | General Electric Company | System and method for communication in a network |
CN102438026B (zh) * | 2012-01-12 | 2014-05-07 | 冶金自动化研究设计院 | 工业控制网络安全防护方法及系统 |
CN102821102B (zh) * | 2012-07-30 | 2016-09-21 | 中国电力科学研究院 | 一种智能配电网防御系统及其防御方法 |
CN103905451B (zh) * | 2014-04-03 | 2017-04-12 | 国网河南省电力公司电力科学研究院 | 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法 |
-
2014
- 2014-04-03 CN CN201410133307.9A patent/CN103905451B/zh active Active
-
2015
- 2015-03-30 WO PCT/CN2015/075367 patent/WO2015149663A1/zh active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1776823A1 (en) * | 2004-08-13 | 2007-04-25 | Honeywell International Inc. | Anomaly-based intrusion detection |
CN102947801A (zh) * | 2010-05-20 | 2013-02-27 | 埃森哲环球服务有限公司 | 恶意攻击检测和分析 |
CN102014138A (zh) * | 2010-12-16 | 2011-04-13 | 北京安天电子设备有限公司 | 嵌入式病毒捕获设备和电路板 |
CN102710649A (zh) * | 2012-06-12 | 2012-10-03 | 上海市电力公司 | 一种用于电力信息采集系统的网络安全架构 |
CN103546488A (zh) * | 2013-11-05 | 2014-01-29 | 上海电机学院 | 电力二次系统的主动安全防御系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN103905451A (zh) | 2014-07-02 |
WO2015149663A1 (zh) | 2015-10-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103905451B (zh) | 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法 | |
CN103905450B (zh) | 智能电网嵌入式设备网络检测评估系统与检测评估方法 | |
RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
Jardine et al. | Senami: Selective non-invasive active monitoring for ics intrusion detection | |
CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
Zhou et al. | Anomaly detection methods for IIoT networks | |
CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
CN110276198B (zh) | 一种基于概率预测的嵌入式可变粒度控制流验证方法及系统 | |
KR101964148B1 (ko) | 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법 | |
McMinn et al. | A firmware verification tool for programmable logic controllers | |
CN114666088A (zh) | 工业网络数据行为信息的侦测方法、装置、设备和介质 | |
KR20170091989A (ko) | 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 | |
Wei et al. | Status-based detection of malicious code in Internet of Things (IoT) devices | |
CN115668190A (zh) | 用于抑制对计算系统的攻击的分析处理电路 | |
CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
CN111800427B (zh) | 一种物联网设备评估方法、装置及系统 | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
CN113422776A (zh) | 一种面向信息网络安全的主动防御方法及系统 | |
Cagalaban et al. | Improving SCADA control systems security with software vulnerability analysis | |
KR101551537B1 (ko) | 정보유출방지장치 | |
Ye et al. | Position paper: On using trusted execution environment to secure COTS devices for accessing industrial control systems | |
CN115883170A (zh) | 网络流量数据监测分析方法、装置及电子设备及存储介质 | |
Ravindrababu et al. | Analysis of vulnerability trends and attacks in ot systems | |
KR101153115B1 (ko) | 해킹 툴을 탐지하는 방법, 서버 및 단말기 | |
Ponomarev | Intrusion Detection System of industrial control networks using network telemetry |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 450008 Songshan South Road, Henan, No. 85, No. Applicant after: Electric Power Research Institute, State Grid Henan Electric Power Company Applicant after: State Grid Corporation of China Address before: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing Applicant before: State Grid Corporation of China Applicant before: Electric Power Research Institute, State Grid Henan Electric Power Company |
|
GR01 | Patent grant | ||
GR01 | Patent grant |