CN104283889B - 基于网络架构的电力系统内部apt攻击检测及预警系统 - Google Patents

Abstract

基于网络架构的电力系统内部APT攻击检测及预警系统,包括有：用户终端监控子系统、服务器监控子系统和云平台管理子系统。针对APT攻击无孔不入的特性，设计了涵盖用户终端和系统服务器的APT攻击检测及预警系统。该检测及预警系统不仅具备常见的网络安全管理功能，同时能对日志和事件做出异常分析，对系统的漏洞进行挖掘和修复，并能在网络系统遭受APT攻击后，迅速的恢复被攻击设备的数据，协助安全管理员反向追踪攻击来源。

Description

基于网络架构的电力系统内部APT攻击检测及预警系统

技术领域

本发明涉及信息安全技术领域，特别是一种针对APT攻击的检测及预警系统。

背景技术

高级持续性威胁(Advanced Persistent Threat，APT)，是针对一个特定组织所做的复杂的、多方位的、长期的且持续性的网络攻击，是一种以商业和政治为目的的网络犯罪类别，具有长期经营与策划、高度隐蔽等特性。

根据入侵方式，APT攻击分为两类：一类是对公司的对公服务器进行攻击，再以服务器为跳板攻击公司内部网络，这类攻击方式叫做外部APT攻击；另一类是通过对公司员工的电脑进行攻击，再以员工电脑为跳板攻击公司内部服务器，这类攻击方式成为内部APT攻击，这种方式称为更加难以防范，也更具有隐蔽性。

APT攻击在近些年内多次被发现，其影响很深，比较著名的攻击包括极光攻击、夜龙攻击，RSA SecurID窃取攻击，震网攻击，Shady RAT，韩国黑客入侵事件等。

来自企业内部的APT攻击的一个典型案例就是震网攻击，它攻击的对象是一个与外界物理隔离的能源网络系统，这是一次十分成功的APT攻击，而其最为恐怖的地方就在于极为巧妙的控制了攻击范围，攻击十分精准。其攻击流程如下：

(1)攻击者通过社会工程学的方法收集核电站相关工作人员的信息。

(2)攻击者针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻击，并进一步感染相关人员的U盘。

(3)病毒以U盘为桥梁进入堡垒内部，随即潜伏下来。

(4)病毒很有耐心的逐步扩散，利用多种漏洞，包括当时的一个0day漏洞，一点一点的进行破坏。

与国外企业不同，国内企业更加内敛和低调，即使发生了安全事故也往往不为人知。自从CSDN密码被黑客窃取并公开之后，很多黑客利用这个数据库对其他网站的密码进行猜测式攻击，导致多个网站出现账户异常、账户被盗等严重问题，使得多起APT攻击案例被迫曝光。

就电力企业而言，信息网络的安全直接关系着其自身的效益与发展，最重要的是它还关系到电力生产系统的安全性与稳定性，对于如今生活生产都依赖于电力保障的社会来说至关重要。

电力企业调度数据网和综合信息网在物理上实现了隔离，在一定程度上保证了调度数据网的安全运行，避免受到来自综合信息网的可能的攻击；但是，财务、营销、客户管理等系统的网络信息安全还相当薄弱。电力系统虽然对计算机信息安全一直非常重视，但由于各种原因，目前还没有一套统一完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范。

火眼公司提供的2013年APT攻击报告指出，这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行，包括能源、电力、国防、金融等关系到国计民生，或者是国家核心利益的网络基础设施。此外，APT攻击具有持续性，甚至长达数年，这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断的收集各种信息，直到收集到重要情报。

电力行业基于以往的厂电隔离，在信息安全上有着其他行业不可比拟的优势，但这并不意味着电力行业的通信足够安全，事实上，在上述的震网攻击例子中，被攻击的核电站就属于电力行业的一次典型APT案例。

目前，电力企业在网络信息安全方面仍存在：信息化机构建设不够健全、安全法制体系不完善、信息化管理滞后、软硬件依赖国外以及安全意识淡薄等诸多问题。这些问题都增加了电力企业应对APT攻击的难度。

发明内容

本发明的目的就是提供一种基于网络架构的电力系统内部APT攻击检测及预警系统，它可以系统的对APT攻击进行检测及防御，显著提高电力系统的安全性。

本发明的目的是通过这样的技术方案实现的，它包括有用户终端和系统服务器，多台用户终端与系统服务器相连，包括有用户终端监控子系统、服务器监控子系统和云平台管理子系统；

用户终端监控子系统，安装在每台用户终端上，对用户终端的邮件、便携式移动设备进行实时监控防护，对用户终端的通信流量进行监控，并记录和分析用户的操作记录日志，并将记录的信息发送至云平台管理子系统；

服务器监控子系统，安装在系统服务器上，用于监控用户权限和流量，对系统服务器进行防护，并对系统服务器操作进行记录，生成日志文件，并将记录的信息发送至云平台管理子系统；

云平台管理子系统，分别与每台用户终端和每台系统服务器进行信息交互，协调用户终端和系统服务器的数据通信、存储和计算功能，分析用户终端监控子系统和服务器监控子系统上传的信息文件，对APT攻击进行分析预警；

所述云平台管理子系统针对APT攻击的监控信息包括有：

A)针对Web、邮件和传输文件信息；

B)针对文件进行静态分析和动态运行分析信息；

C)针对可以攻击流量信息；

D)针对Web行为模型进行建模和统计分析信息；

E)针对用户活动日志的分析信息；

所述云平台管理子系统对APT攻击进行分析预警的方法包括有：

1)异常行为分析法；

2)漏洞挖掘法；

3)反向跟踪法；

异常行为分析法的具体方法为：

1-1)针对通信流量采用抽样检测进行监控，检测是否有异常数据包的外发，用于检测数据是否被窃取外发；

1-2)对用户权限进行监测，对各权限区域数据的访问的授权进行验证，找出是否有非法访问、越权访问、权限变更；

1-3)对行为模式进行监测，根据用户类型，对其权限内的行为进行建模，对于非模型行为进行合理性判断；

1-4)基于行为模式的异常检测，将用户权限内的操作归并，找出其中的规律并建立行为模式。

进一步，所述用户终端监控子系统包括有用户终端防护模块和用户终端监控模块；

用户终端防护模块，对用户终端的邮件和便携式移动设备进行监控并查杀病毒；

用户终端监控模块包括有以下子模块：

用户终端设备管理子模块，用于管理用户终端安全设备的信息，实现对用户终端安全设备的增加、删除、修改和查询；

用户终端事件管理子模块，用于实时显示用户终端的安全事件，查看各安全事件的详细信息；所述安全事件包括有病毒信息、防火墙信息、防火墙日志信息、入侵检测信息和用户终端安全信息；

用户终端告警管理子模块，对安全事件进行分析，生成图形和文字的告警信息；

用户终端报表管理子模块，生成安全事件统计报表和设备信息报表；

用户终端应急管理子模块，对用户终端的软件和硬件备份资源信息，快速定位备份资源信息，通过记录安全告警信息的处理过程形成案件库；

用户终端系统管理子模块，用于用户终端系统基础数据输入、系统用户管理和系统参数配置管理；

用户终端工具管理子模块，提供工具下载权限，包括有普通工具下载权限和管理员工具下载权限。

进一步，所述用户终端采用多级部署管理，下级用户终端监控模块将信息发送至上级用户终端监控模块，上级用户终端监控模块对下级用户终端监控模块的数据进行控制。

进一步，所述服务器监控子系统包括有服务器防护模块和服务器监控模块；

服务器防护模块，包括有防火墙；

服务器监控模块包括有以下子模块：

服务器设备管理子模块，用于管理服务器安全设备的信息，实现对服务器安全设备的增加、删除、修改和查询；

服务器事件管理子模块，用于实时显示服务器的安全事件，查看各安全事件的详细信息；所述安全事件包括有病毒信息、防火墙信息、防火墙日志信息、入侵检测信息和服务器安全信息；

服务器告警管理子模块，对安全事件进行分析，生成图形和文字的告警信息；

服务器报表管理子模块，生成安全事件统计报表和设备信息报表；

服务器应急管理子模块，对服务器的软件和硬件备份资源信息，快速定位备份资源信息，通过记录安全告警信息的处理过程形成案件库；

服务器系统管理子模块，用于服务器系统基础数据输入、系统用户管理和系统参数配置管理；

服务器工具管理子模块，提供工具下载权限，包括有普通工具下载权限和管理员工具下载权限。

进一步，所述云平台管理子系统将用户终端和服务器上传的信息备份至私有云服务器上，所述私有云服务器对用户终端和服务器上传的信息进行以下处理：数据压缩、重复数据删除、自动精简配置、自动分层存储和存储虚拟化。

进一步，所述反向跟踪法通过分析网路钓鱼电子邮件和恶意软件代码，从而追踪攻击者的来源。

由于采用了上述技术方案，本发明具有如下的优点：

本发明针对APT攻击无孔不入的特性，设计了涵盖用户终端和系统服务器的APT攻击检测及预警系统。该检测及预警系统不仅具备常见的网络安全管理功能，同时能对日志和事件做出异常分析，对系统的漏洞进行挖掘和修复，并能在网络系统遭受APT攻击后，迅速的恢复被攻击设备的数据，协助安全管理员反向追踪攻击来源。

本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述，并且在某种程度上，基于对下文的考察研究对本领域技术人员而言将是显而易见的，或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书和权利要求书来实现和获得。

附图说明

本发明的附图说明如下。

图1为本发明的结构示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步说明。

电力内部APT攻击虽然手段多样，但仍有着阶段性，其攻击过程可分为探测期、入侵期、潜伏扩散期、数据挖掘期和退出期等五个阶段：

在探测期间，攻击者使用技术和社会工程学手段收集大量关于系统业务流程和使用情况等关键信息，其数据来源社交网站，博客，公司网站，甚至通过一些渠道购买相关信息并对收集的内容加以研究，以确认攻击方向和攻击方式。

在入侵期间，攻击者在确定好攻击目标后，将会通过各种方式来试图突破攻击目标的防线.常见的渗透突破的方法包括：电子邮件，即时通讯，网站挂马等网络钓鱼手段欺骗企业内部员工下载或执行恶意软件，或是通过攻击员工家用电脑，感染员工的可携带设备，入侵内部网络终端设备。

在潜伏扩散期间，攻击者不会马上获取敏感信息和数据，而是潜伏下来。同时，攻击者会定期对程序进行检测，一旦发现程序能被安全软件检测到，则对程序做版本更新。在此阶段，程序会逐步获取计算机更高级的权限，并会尝试通过各种手段进一步入侵企业内部的其他计算机。在入侵过程中可能会留下一些审计报错信息，但是这些信息一般会被忽略。

在数据挖掘期间，攻击者通过已感染的企业内部用户，对服务器发动攻击，并试图窃取敏感数据。其采用的方法分为合法访问和非法访问两种。合法访问是指攻击者以欺骗等方式，以被感染用户的身份访问服务器，以获取敏感数据，因其访问是在用户权限内进行，因此，很难被系统发现。非法访问则是通过攻击服务器来获取敏感数据，常见的方法包括系统漏洞攻击、用户权限提示等。

在退出期间，在达到窃取数据的目的后，或者被发现攻击后，攻击者植入用户的程序失去了使用价值。此时，攻击者为避免被推断出攻击来源，或是以破坏为目的，都会清除程序在网络中存在的痕迹，以避免被推断出攻击来源。

本发明针对入侵期、潜伏扩散期、数据挖掘期和退出期进行以下处理：

针对入侵期的防御主要为对用户终端设备的网络管理与设备管理，通过对网络邮件的病毒扫描和网络地址的安全性验证，以减少来自网络攻击的可能。病毒通常是由U盘等便携式设备引发的，企业内部的电脑大多与外网物理隔离，不能与外网连接的同时又缺乏安全软件的防护，U盘等便携式设备的泛滥使用，很容易导致企业内部用户电脑被感染。因此，对U盘等便携式设备的限制性管理，可以在一定程度上降低病毒感染的风险。事实上，即便是与外网隔离的企业电脑，仍旧需要安装安全软件，并实时升级。

针对潜伏扩散期的攻击检测，则主要依靠对日志文件和通信流量的监控及分析来发现。一旦找出可疑的攻击，则可根据日志记录追溯攻击来源。

针对数据挖掘期，在此阶段，攻击者或是通过服务器漏洞，以端口扫描等的形式攻击服务器，获取敏感数据。或是以被攻击破解的用户身份，“合法”的登录服务器获取该用户权限范围内的敏感数据。因此，在数据挖掘期的APT攻击检测则以权限监控、行为模式监控和日志监控为主。通过权限监控用户操作的合法性，通过行为模式监控用户操作的合理性，而通过日志监控，则可疑找出利用服务器漏洞进行的攻击。

针对退出期，在此阶段，攻击者在获取了足够的敏感信息或者被发现之后，会清理自身的痕迹以免被追溯来源，或是对系统进行破坏。此时，云存储和云恢复则显得尤其重要，云存储和云恢复不但可用于复网络系统的正常运作，还可以通过对存储数据的分析来找到并修复漏洞以及追溯攻击源头。

本发明中，云平台管理子系统采用异常行为分析法、漏洞挖掘法和反向跟踪法，来对APT攻击进行检测及预警防护。

异常行为分析法：

异常检测研究分类方法较多，在应对APT攻击时，检测的对象也不再是单一对象，因此，对系统的设计应囊括通信流量监测、权限监测、行为模式监测等多个被检测对象。

通过对通信流量的监控，检测是否有异常数据包的外发，可以用于检测数据是否被窃取外发。基于流量异常的检测方法通常采用抽样检测，由于检测本身也会造成系统流量的变化，因此，抽样检测在大规模高速网络异常检测的必然选择。同时，分布式网络节点的流量变化具有很强的相关性，在抽样检测时不止需要监测服务器与外部网络的通信，还需要根据数据来源监测终端与服务器的通信、终端与终端之间的通信，根据这些网络流量变化的关联性，更容易挖掘一些在单节点不能发现的网络异常行为。

对用户权限的监测，对各权限区域数据的访问的授权进行验证，则可以用于查找出是否有非法访问、越权访问、权限变更的发生，这一检测同样可用于漏洞挖掘。基于权限监测的异常检测，则是通过对访问用户的权限进行验证，判断该次访问是否合法。在来自企业内部的APT攻击中，攻击者入侵服务器的方式通常有欺骗和提升权限。但无论是创新新账户，或是更改现有用户权限，都能在权限监测系统中留下访问记录。根据这些访问记录，有利于判断网络系统受到攻击的程度。

而对行为模式的监测，则是根据企业所涉及的用户类型，对其权限内的行为进行建模，对于非模型的行为应判断其合理性。

基于行为模式的异常检测，是将用户权限内的操作归并，找出其中的规律以建立行为模式。用户对服务器的访问大都是带有目的性的，而其中又有着一定的关联性和流程。如：企业新引进一批设备，首先需要由人员A定下采购意向单，然后由B审核，再通过采购C获取报价信息，并通过财务D进行确认……直至最终入库并投入使用，整个事件中涉及了A、B、C、D……等多个用户操作。即便单个用户的操作在其权限内，而若没有其他用户的关联性动作，则其行为仍旧属于异常。而在基于行为模式的异常检测中，很有可能会有误判的情况发生，这就需要系统具有一定的灵活性以分辨是否为攻击。

基于用户权限和行为模式的异常检测，容易出现误判的可能。而应对这种误判，可以通过动态调整用户权限来判断和检测可疑的攻击。具体操作方法为：

初始状态为赋予用户访问权限有A,B,C,D,E。按数据重要性和敏感性排序，A的数据敏感度最低，E的数据敏感度最高。在检测到用户进行可疑操作后，更改用户权限为A,B,C,D，若再次发生异常行为，可进一步提升安全级别。在对可疑事件处理后，或在一定时间延时后，恢复用户所有权限。若用户属于误操作，则对局部权限E的暂时锁定并不影响用户的经常性操作；而若是用户急需权限E，则可以通过联络管理员等其他方式进行解锁。若是同一用户的多次异常行为，则可能会是被攻击。

漏洞挖掘法：

漏洞挖掘是根据漏洞产生的原因从安全分析和模拟攻击两个角度去发现软件中可能存在的漏洞。漏洞产生的原因包括缓冲区溢出、输入验证错误、设计错误、意外情况处理错误、访问验证错误、配置错误、环境错误和竞争条件几大类。

而根据挖掘技术对测试对象的曹组可分为静态分析和动态测试两种，静态分析不需要运行程序，而动态测试则需要运行程序进行调试。考虑到服务器系统需要处于不间断工作状态，因此，本系统适合于动态分析和静态分析相结合。

漏洞挖掘的动态测试则是通过运行软件，通过修改其输入值、观察输出结果的变化来发现漏洞。漏洞挖掘的动态测试方法主要包括FUZZ测试、错误注入和污点传播分析等方法。

FUZZ测试是通过产生大量随机字符串和随机键盘鼠标消息，作为软件的输入，监测软件异常来判断是否存在漏洞。

缺陷注入主要通过给软件注入一些缺陷数据，判断其能否正常处理，如果出现异常，则表明软件可能存在漏洞。

污点传播分析是一种在模拟和实际攻击环境中挖掘新漏洞的技术方法，通过漏洞植入攻击代码，然后改变程序的执行流程，最后让攻击代码执行。在动态污点测试中，把产生于非信任源的数据标记为污点数据，在程序执行时追踪污点数据的扩散状态，检测到污点数据被以危险的方式使用时就判定有攻击发生，这种方法可以用来检测重写攻击，攻击导致一个敏感的值，如返回地址、函数指针、格式化字符串等，被攻击者的数据改写。

反向跟踪法：

辨别攻击来源并不容易。所幸如同所有的犯罪现场一样，任何被入侵的主机都会留下痕迹，在对攻击源头有定论前，任何线索都有可能会是攻击者刻意的误导。但是从入侵主机所留下的痕迹，我们仍可以得到很多线索。

FireEye公司研究发现以下可能会有用的线索：

研究人员可以分析网路钓鱼电子邮件、恶意软件等代码，从中找出一些特定的信息，从而追踪攻击者的来源，虽然这种追踪方法未必准确。比如，根据键盘配置、内嵌字体、语言、DNS注册信息来判断攻击者所在地区；根据恶意软件中继资料追踪编译环境；根据行为模式来判断多起攻击是否来自同一集团。

因此，本系统在设计时，需要加入对以上内容的收集及确认，在检测到APT攻击时，将以上信息记录，作为追踪攻击来源的依据。

本发明其网络系统中的每一个网络节点，即用户终端和系统服务器，都需要具有以下功能：

(1)设备管理：设备管理的主要功能是管理安全设备的基本信息，能够安全便捷的实现对设备的增加、删除、修改及查询，掌握设备信息。子功能包括：添加安全设备，管理和查看安全设备，管理和查看防火墙设备，管理和查看入侵检测设备。前文说到APT内部攻击的主要入侵方式是通过U盘、网络邮件等方式入侵用户系统，设备管理在这一阶段可以有效的检测并防止入侵的发生。

(2)事件管理：事件管理的功能包括实时显示各类安全事件功能，查看各类安全事件的详细信息，并能按安全设备的类型和安全事件的各个字段进行组合查询。安全事件包括：病毒信息、防火墙日志、入侵检测信息、终端安全事件信息。这是APT监测的核心之一，通过事件管理，实时监控APT攻击中的非法操作。

(3)告警管理：告警管理功能根据设置的告警规章集对收集到的安全事件进行分析，并通过图形、文字等方式进行告警，引起管理员注意并作出响应，告警管理包括待处理告警名单管理、已处理告警名单管理和告警规则管理。这是APT监测中的又一核心功能。

(4)报表管理：报表管理是整个系统平台的公共基础模块，为各个模块提供报表支持。报表类型主要包括：事件安全统计报表(防火墙事件统计报表、病毒事件报表和终端事件统计报表等)和设备信息报表。

(5)应急管理：应急管理功能包括对软件和硬件备份资源信息，快速定位备份资源信息，通过记录安全事件告警信息的处理过程形成案例库，为安全管理员处理紧急事件提供技术支持，全面掌握安全管理员的联系方式、工作责任等信息，为保障系统运行安全提供有力保障。

(6)系统管理：系统管理包括系统基础数据输入、系统用户管理、系统参数配置管理等功能。系统管理中的系统基础数据管理是对系统中的基本数据(如设备信息)进行集中管理，配置管理则是对系统参数进行配置，用户管理是对系统中用户的权限，登录和操作等基本信息进行管理，并实时记录系统启动、运行等情况。

(7)多级部署管理：数据管理系统采用多级部署管理策略，下级数据管理系统将设备信息以及事件关联分析得到的结果数据信息和原始安全事件信息送交分级管理系统。上级数据管理系统可对下级数据管理系统的数据进行控制，调取相应的信息，并以通知文件的方式对下级数据管理系统下达安全管理策略。

(8)工具管理：工具管理的主要功能是提供常用工具的下载和上传等功能。通常划分为普通工具和管理员工具，普通工具没有下载限制，管理员工具只有管理员能下载。

云平台管理子系统的数据存储和恢复方法为：

(1)私有云：

在APT攻击在退出期对系统可能造成的破坏，云恢复则显得很重要。在云存储中，存在着公有云和私有云。公有云是将数据存储在第三方服务器上，成本较低且不需要专业人员的维护，但其安全性不足，一旦第三方服务器被攻克，存储在其中的数据则面临泄露危险。私有云则是将数据存储在公司内部的专用数据服务器上，它是企业内部数据安全的一个重要保证。相对于公有云，具有更好的可用性和安全性，但现在的不少私有云往往需要网络管理人员有较高的技术能力，对其进行个性化配置，不断进行安全维护等等。

在云恢复方案选择时，要考虑的不仅仅是数据存储的安全性，还需要考虑用户可以在海量备份数据中快速定位，迅速恢复数据。在本系统中，选用私有云作为云恢复方案较为合适。

(2)分布式存储：

电力系统APT攻击是复杂的，多维度的，因此，需要对海量的数据进行分析检索，检测APT攻击。而随着电力企业信息化的发展，需要存储的数据也越来越多。诸如存储空间巨大、管理复杂、存储利用率低下、能源消耗巨大等问题。

对海量数据的存储，分为两大类：一是集中式数据管理，另一种是分布式数据管理。集中式数据管理便于人为可控并且维护方便，在处理数据同步时更为简单，但是系统存在单点故障的危险。而分布式数据管理没有主控节点，因而可以避免单点失效带来的危险，不需要过多人工干预，但由于无主控节点因而对于一些元数据更新操作较为复杂，不易进行人工控制。而对于本系统而言，选择分布式存储更能应对APT攻击。

(3)数据管理策略：

对于海量数据而言，对数据库的访问操作极为频繁。在对数据库的操作中，以增加和检索较多，而删除、修改较少。对数据库的管理还需要考虑数据关系结构的合理性、检索数据关联性、数据存储访问速度等方面。

根据上述分析，本系统中数据存储方案宜采用私有云，存储方式采用分布式存储，并需要加入数据压缩、重复数据删除、自动精简配置、自动分层存储和存储虚拟化技术以提高访问速度。

最后说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本技术方案的宗旨和范围，其均应涵盖在本发明的权利要求范围当中。

Claims (6)

1.基于网络架构的电力系统内部APT攻击检测及预警系统，电力系统包括有用户终端和系统服务器，多台用户终端与系统服务器相连，其特征在于：包括有用户终端监控子系统、服务器监控子系统和云平台管理子系统；

用户终端监控子系统，安装在每台用户终端上，对用户终端的邮件、便携式移动设备进行实时监控防护，对用户终端的通信流量进行监控，并记录和分析用户的操作记录日志，并将记录的信息发送至云平台管理子系统；

服务器监控子系统，安装在系统服务器上，用于监控用户权限和流量，对系统服务器进行防护，并对系统服务器操作进行记录，生成日志文件，并将记录的信息发送至云平台管理子系统；

云平台管理子系统，分别与每台用户终端和每台系统服务器进行信息交互，协调用户终端和系统服务器的数据通信、存储和计算功能，分析用户终端监控子系统和服务器监控子系统上传的信息文件，对APT攻击进行分析预警；

所述云平台管理子系统针对APT攻击的监控信息包括有：

A)针对Web、邮件和传输文件信息；

B)针对文件进行静态分析和动态运行分析信息；

C)针对可以攻击流量信息；

D)针对Web行为模型进行建模和统计分析信息；

E)针对用户活动日志的分析信息；

所述云平台管理子系统对APT攻击进行分析预警的方法包括有：

1)异常行为分析法；

2)漏洞挖掘法；

3)反向跟踪法；

异常行为分析法的具体方法为：

1-1)针对通信流量采用抽样检测进行监控，检测是否有异常数据包的外发，用于检测数据是否被窃取外发；

1-2)对用户权限进行监测，对各权限区域数据的访问的授权进行验证，找出是否有非法访问、越权访问、权限变更；

1-3)对行为模式进行监测，根据用户类型，对其权限内的行为进行建模，对于非模型行为进行合理性判断；

1-4)基于行为模式的异常检测，将用户权限内的操作归并，找出其中的规律并建立行为模式。

2.如权利要求1所述的基于网络架构的电力系统内部APT攻击检测及预警系统，其特征在于，所述用户终端监控子系统包括有用户终端防护模块和用户终端监控模块；

用户终端防护模块，对用户终端的邮件和便携式移动设备进行监控并查杀病毒；

用户终端监控模块包括有以下子模块：

用户终端设备管理子模块，用于管理用户终端安全设备的信息，实现对用户终端安全设备的增加、删除、修改和查询；

用户终端事件管理子模块，用于实时显示用户终端的安全事件，查看各安全事件的详细信息；所述安全事件包括有病毒信息、防火墙信息、防火墙日志信息、入侵检测信息和用户终端安全信息；

用户终端告警管理子模块，对安全事件进行分析，生成图形和文字的告警信息；

用户终端报表管理子模块，生成安全事件统计报表和设备信息报表；

用户终端应急管理子模块，对用户终端的软件和硬件备份资源信息，快速定位备份资源信息，通过记录安全告警信息的处理过程形成案件库；

用户终端系统管理子模块，用于用户终端系统基础数据输入、系统用户管理和系统参数配置管理；

用户终端工具管理子模块，提供工具下载权限，包括有普通工具下载权限和管理员工具下载权限。

3.如权利要求2所述的基于网络架构的电力系统内部APT攻击检测及预警系统，其特征在于：所述用户终端采用多级部署管理，下级用户终端监控模块将信息发送至上级用户终端监控模块，上级用户终端监控模块对下级用户终端监控模块的数据进行控制。

4.如权利要求1所述的基于网络架构的电力系统内部APT攻击检测及预警系统，其特征在于：所述服务器监控子系统包括有服务器防护模块和服务器监控模块；

服务器防护模块，包括有防火墙；

服务器监控模块包括有以下子模块：

服务器设备管理子模块，用于管理服务器安全设备的信息，实现对服务器安全设备的增加、删除、修改和查询；

服务器事件管理子模块，用于实时显示服务器的安全事件，查看各安全事件的详细信息；所述安全事件包括有病毒信息、防火墙信息、防火墙日志信息、入侵检测信息和服务器安全信息；

服务器告警管理子模块，对安全事件进行分析，生成图形和文字的告警信息；

服务器报表管理子模块，生成安全事件统计报表和设备信息报表；

服务器应急管理子模块，对服务器的软件和硬件备份资源信息，快速定位备份资源信息，通过记录安全告警信息的处理过程形成案件库；

服务器系统管理子模块，用于服务器系统基础数据输入、系统用户管理和系统参数配置管理；

服务器工具管理子模块，提供工具下载权限，包括有普通工具下载权限和管理员工具下载权限。

5.如权利要求1所述的基于网络架构的电力系统内部APT攻击检测及预警系统，其特征在于：所述云平台管理子系统将用户终端和服务器上传的信息备份至私有云服务器上，所述私有云服务器对用户终端和服务器上传的信息进行以下处理：数据压缩、重复数据删除、自动精简配置、自动分层存储和存储虚拟化。

6.如权利要求1所述的基于网络架构的电力系统内部APT攻击检测及预警系统，其特征在于，所述反向跟踪法通过分析网路钓鱼电子邮件和恶意软件代码，从而追踪攻击者的来源。