CN106411562B - 一种电力信息网络安全联动防御方法及系统 - Google Patents
一种电力信息网络安全联动防御方法及系统 Download PDFInfo
- Publication number
- CN106411562B CN106411562B CN201610440388.6A CN201610440388A CN106411562B CN 106411562 B CN106411562 B CN 106411562B CN 201610440388 A CN201610440388 A CN 201610440388A CN 106411562 B CN106411562 B CN 106411562B
- Authority
- CN
- China
- Prior art keywords
- network
- network security
- alarm data
- defense
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000007123 defense Effects 0.000 title claims abstract description 83
- 238000000034 method Methods 0.000 title claims abstract description 31
- 238000005065 mining Methods 0.000 claims abstract description 19
- 238000007781 pre-processing Methods 0.000 claims abstract description 13
- 238000010219 correlation analysis Methods 0.000 claims abstract description 9
- 238000012545 processing Methods 0.000 claims description 28
- 238000010586 diagram Methods 0.000 claims description 15
- 238000002955 isolation Methods 0.000 claims description 13
- 238000001514 detection method Methods 0.000 claims description 12
- 230000003993 interaction Effects 0.000 claims description 12
- 238000012806 monitoring device Methods 0.000 claims description 9
- 238000004458 analytical method Methods 0.000 claims description 8
- 230000007246 mechanism Effects 0.000 claims description 7
- 238000012544 monitoring process Methods 0.000 claims description 7
- 239000000126 substance Substances 0.000 claims description 5
- 238000012098 association analyses Methods 0.000 claims description 3
- 230000000875 corresponding effect Effects 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 10
- 230000006399 behavior Effects 0.000 description 3
- 244000035744 Hura crepitans Species 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 230000008260 defense mechanism Effects 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013144 data compression Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出一种电力信息网络安全联动防御方法及系统,包括采集安全告警数据并进行预处理;采用已知攻击模式对安全告警数据进行关联分析;对安全告警数据进行序列挖掘;结合网络拓扑,自动确定参与联动防御的网络安全设备;向选定的网络安全设备下发防御规则,以实现联动防御。从而解决了电力信息网络难以抵御复杂网络攻击的难题。
Description
技术领域:
本发明属于网络安全管理领域,具体涉及一种电力信息网络安全联动防御方法及系统。
背景技术
为应对日益增多的网络安全事件,企业、政府等不同部门都部署了各种网络安全产品,来确保网络应用的正常实施。如防火墙、入侵检测、身份鉴别、数据加解密、安全通信协议、容错技术、日志审计等网络防御技术和设备,在安全领域中发挥着必不可少的作用。但随着网络规模的扩大和技术的进步,网络安全事件也日趋多样,传统的单一网络安全产品很难发现所有的网络安全事件,例如防火墙能有效检测到外网到内网的访问事件,但对于恶意代码的传播和执行却无能为力。为了确保网络的安全,需要综合入侵检测、病毒防范、信息加密认证等多种安全技术,即网络安全联动防御技术。
网络安全联动防御技术强调的是系统适应安全的能力。结合现有的网络安全技术,对网络安全事件准确响应,动态调整响应策略,确保关键数据的自动保护和恢复,最大可能地降低外来攻击造成的损失。网络系统从单纯的被动防护提升为攻防兼备的联动式防御,这在网络安全攻防的应用中具有实用价值。目前,国内外关注度较高的联动防御技术是入侵防御系统(Intrusion Prevention System,IPS),通过防火墙和入侵检测系统(Intrusion Detection System,IDS)之间的联动,以达到保护计算机网络,阻断网络入侵攻击的目的。
但现有联动防御技术存在以下三点不足:(1)基于防火墙和入侵检测系统间的联动防御仅考虑防火墙和入侵检测系统等两项网络安全防护设备,未能包括其它安全防护设备,如身份认证、蜜罐等,联动的范围有限,因而防御的效果较差。(2)联动防御仅针对单一安全告警事件,没有采用安全告警事件关联分析,因而存在较高误报,限制了联动防御技术的实用化。(3)事先设定参与联动防御的网络安全设备,不能根据实际的网络环境和攻击情况动态选择,缺乏部署灵活性。
发明内容
为了克服上述不足,本发明结合电力信息网络自身的特点,提供一种电力信息网络安全联动防御方法及系统,通过集中采集和分析网络告警数据,生成相互关联的攻击步骤,消除误报警。联动防火墙、入侵检测系统、安全交互平台、逻辑强隔离装置以及正反向隔离装置等电力信息网络安全设备,结合电力信息网络拓扑,自动确定参与联动防御的具体网络安全设备,实现电力信息网络安全联动防御。
本发明的目的是采用下述技术方案实现的:
一种电力信息网络安全联动防御方法,所述方法包括:
步骤S1,采集安全告警数据并进行预处理;
步骤S2,采用已知攻击模式对安全告警数据进行关联分析;
步骤S3,对安全告警数据进行序列挖掘;
步骤S4,结合网络拓扑,自动确定参与联动防御的网络安全设备;
步骤S5,向选定的网络安全设备下发防御规则,以实现联动防御。
优选的,所述步骤S1中采用分布式部署方式采集安全告警数据,并对采集到的安全告警数据集中进行预处理,统一数据格式。
优选的,所述步骤S1具体包括:
S101,在网络安全设备上部署监控装置;其中,
所述网络安全设备,包括防火墙、入侵检测系统、安全交互平台、逻辑强隔离装置和正反向隔离装置;
S102,所述监控装置采用定时或事件触发机制,采集安全设备产生的安全告警数据,并发送至中心处理平台;
S103,通过所述中心处理平台对安全告警数据进行预处理。
进一步地,所述S103中,通过中心处理平台对安全告警数据进行解密和解压缩后,获得明文数据,然后对明文数据进行预处理,所述预处理具体包括:
①从明文数据中抽取源IP地址、源端口、目的IP地址、目的端口、告警时间、事件类别和安全告警数据内容;
②根据抽取的安全告警数据内容和事件类别,定义最终规范类别;所述最终规范类别由操作人员预先制定,其方式包括漏洞扫描、未授权远程访问和权限提升;
采用关键字匹配方式,自动确定当前预处理的安全告警数据的时间类别,选择与该安全告警内容和事件类别关键字匹配度最高的类别作为最终规范类别;
③将<源IP地址,源端口,目的IP地址,目的端口,告警时间,最终规范类别>作为一条安全告警记录存入数据库。
优选的,所述步骤S2中,采用已知攻击模式对安全告警数据进行关联分析具体包括如下步骤:
S201,输入已知攻击模式,构建与所述已知攻击模式相关联的规则层次结构;
S202,从数据库中逐条提取待分析的安全告警数据记录,并将记录中的规范类别与攻击步骤相对应,填充所述规则层次结构;
S203,对规则层次结构进行细粒度划分,获取攻击步骤关联集合。
进一步地,所述S201中,使用公开的网络攻击模式或者自定义的网络攻击模式作为已知攻击模式,将所述已知攻击模式相关的攻击步骤按照逻辑先后顺序排列,完成规则层次结构的构建;
所述S202包括,提取当前待分析的安全告警数据记录,若记录中的规范类别与攻击步骤类型相同,则将该条安全告警数据记录的<源IP地址,源端口,目的IP地址,目的端口,告警时间>信息加入所述规则的相应节点中;循环执行S202,直至分析完成所有安全告警数据记录。
优选的,所述步骤S3具体包括:采用PrefixSpan算法对安全告警数据进行序列挖掘,并根据频繁项集,搜寻疑似关联的攻击步骤包括:
S301扫描数据库,找出各个频繁项a并组成集合;其中,对于每一个频繁项a至少满足以下两个条件之一:
i.a可以嵌入序列s的最后一个元素中形成一个序列模式;或者,
ii.将a追加到序列s末尾,形成一个序列模式;
其中,定义s为空序列;
S302对于每一个频繁项a,将其追加至序列s组成一个序列模式s’并输出;
S303对于每个s’,递归调用PrefixSpan算法,直至序列长度不再增加。
优选的,所述步骤S4中,结合电力信息网络拓扑,自动确定参与联动防御的具体网络安全设备包括如下步骤:
S401结合网络拓扑,选取所有遭受攻击的网络节点的前置或后置网络安全设备;
S402删除重复的网络安全设备;
S403构建网络安全设备间的虚拟连接图;
S404在虚拟连接图中选取数量最少的节点,以覆盖所有网络路径。
进一步地,所述S403中,构建网络安全设备间的虚拟连接图包括:删除选取的所述安全设备之间的其它网络设备,并用直线相连,从而形成网络安全设备间的虚拟连接图;
所述S404具体包括,按照电力信息网络层次架构,由外向内选择网络安全设备;当选择节点时,以网络安全设备所覆盖的网络路径数量为判断依据,选择覆盖网络路径数量最多的网络安全设备加入设备队列,然后在虚拟连接图中删除该设备和对应的网络路径;循环执行S402,直至虚拟连接图中所有路径被删除;最终的设备队列仅包含网络安全设备参与联动防御。
优选的,所述步骤S5下发防御规则至选定的网络安全设备,以实现联动防御的具体包括如下步骤:
S501自定义防御规则;
S502通过中心处理平台远程调用网络安全设备提供的配置接口;
S503将所述防御规则发送至对应网络安全设备;
S504网络安全设备执行防御规则。
一种电力信息网络安全联动防御系统,其特征在于,所述系统由中心处理平台、网络安全设备和监控单元组成;其中,
所述监控单元,用于采集安全告警数据并发送至中心处理平台;
所述中心处理平台,用于对采集到的安全告警数据进行预处理;
所述网络安全设备,用于执行防御规则,以实现联动防御。
优选的,所述中心处理平台包括分析单元、序列挖掘单元、拓扑单元和执行单元;
所述分析单元,用于采用已知攻击模式对安全告警数据进行关联分析;
所述序列挖掘单元,用于采用已知攻击模式对安全告警数据进行序列挖掘。
所述拓扑单元,用于自动确定参与联动防御的网络安全设备;
所述执行单元,用于向选定的网络安全设备下发防御规则。
与最接近的现有技术相比,本发明的有益效果为:
(1)本发明提供的方法针对电力信息网络安全防护,首次提出电力信息网络安全联动防御方法及系统;解决了电力信息网络难以抵御复杂网络攻击的难题。
(2)本发明使用已知攻击模式匹配和攻击事件序列挖掘方法,联动防火墙、入侵检测系统、安全交互平台、逻辑强隔离装置以及正反向隔离装置等电力信息网络安全设备,获取相互关联的攻击事件,以消除网络安全设备产生的误报警事件,使得联动防御更具有目的性;
(3)本发明专利结合电力信息网络拓扑,自动确定参与联动防御的具体网络安全设备,避免了人工干预,使得电力信息网络安全联动防御方法及系统更加实用化。
附图说明
图1为本发明提供的电力信息网络安全联动防御系统结构示意图;
图2为本发明实施例中提供的电力公司所采用的网络安全设备部署架构图;
图3为本发明实施例中提供的联动防御机制示意图;
具体实施方式:
本发明提供了一种电力信息网络安全联动防御方法及系统,解决了电力信息网络无法有效防御复杂网络攻击的难题。通过已知攻击模式和事件序列挖掘方式对电力信息网络安全告警事件进行关联规则分析,获取相互关联的攻击事件。结合电力信息网络拓扑结构,确定每一个攻击事件针对的网络节点,选择该网络节点的前置或后置网络安全设备参与联动防御。通过向选定的网络安全设备下发防御规则,切断参与攻击的网络节点间的网络连接,或将特定网络流量引入蜜罐等网络安全攻击分析设备中,执行联动防御。该联动防御方法及系统实现过程具体如下:
一种电力信息网络安全联动防御方法及系统,包括如下步骤:
步骤S1,采集安全告警数据并进行预处理;
步骤S1中采用分布式部署方式采集安全告警数据,并对采集到的安全告警数据集中进行预处理,统一数据格式。具体操作步骤为:
S101,在网络安全设备上部署监控装置;其中,所述网络安全设备,包括防火墙、入侵检测系统、安全交互平台、逻辑强隔离装置以及正反向隔离装置;
所述监控装置,可以为网络安全设备的组件,也可以为独立运行的软件程序。
S102,所述监控装置采用定时或事件触发机制,采集安全设备产生的安全告警数据,并发送至中心处理平台;在步骤S102中,监控装置可以通过调用网络安全设备自身提供的数据访问接口方式进行数据采集,也可以通过读取网络安全设备的日志方式来采集告警数据。定时机制为设定一时间范围t,每隔t时间进行一次数据采集。事件触发机制为当有新的告警事件发生时,监控装置立即读取该事件并发送至中心处理平台。采用定时机制或事件触发机制可由网络管理员根据实际网络需求进行设定。为保障数据传输安全,监控装置采用数据压缩和加密网络连接方式将采集的告警数据发送至中心处理平台。
S103,通过中心处理平台对所述安全告警数据进行预处理。在步骤S103中,中心处理平台对采集的数据进行解密和解压缩后,得到明文数据,然后对明文数据进行预处理。预处理过程具体为:
①从明文数据中抽取源IP地址、源端口、目的IP地址、目的端口、告警时间、事件类别以及具体的安全告警数据内容。
②根据抽取的安全告警数据内容和事件类别,定义该告警的最终规范类别;所述最终规范类别由系统运维人员或网络安全专家预先制定,包括漏洞扫描、未授权远程访问和权限提升等;
可使用关键字匹配方式,自动确定当前预处理的告警事件的规范类别,寻找与抽取的安全告警内容和事件类别拥有最多共同关键字的类别作为最终规范类别。
③将<源IP地址,源端口,目的IP地址,目的端口,告警时间,最终规范类别>作为一条安全告警记录存入数据库。
步骤S2,采用已知攻击模式对安全告警数据进行关联分析;在数据预处理基础上,本发明专利首先使用已知攻击模式对电力信息网络安全告警事件进行关联分析,寻找出相互关联的攻击步骤,将多个分散的安全告警事件形成一个整体,恢复出完整攻击路径,从而减少由于误告警而导致的错误联动防御次数。
具体包括如下步骤:
S201,输入已知攻击模式,构建与攻击模式对应关联规则的层次结构;S201中,使用公开的网络攻击模式或者自定义的网络攻击模式作为已知攻击模式,将所述已知攻击模式相关的攻击事件按照逻辑先后顺序排列,完成与攻击模式对应关联规则的层次结构的构建;
S202,从数据库中逐条提取待分析的安全告警数据记录,并将记录中的规范类别与其攻击事件相对应,填充所述关联规则的层次结构;
S202包括,提取当前待分析的安全告警数据记录,若记录中的规范类别与攻击事件类型相同,则将该条安全告警数据记录的<源IP地址,源端口,目的IP地址,目的端口,告警时间>信息加入所述关联规则的相应节点中;循环执行S202,直至分析完成所有安全告警数据记录。
S203,对关联规则进行细粒度划分,获取攻击事件关联集合。
步骤S3,对安全告警数据进行序列挖掘;具体包括:使用PrefixSpan算法对安全告警数据进行序列挖掘,并根据频繁项集,搜寻疑似关联攻击事件的步骤如下:
S301扫描数据库,找出各个频繁项a并组成集合;其中,对于每一个频繁项a至少满足以下两个条件之一:
i.a可以嵌入序列s的最后一个元素中形成一个序列模式;或者,
ii.将a追加到序列s末尾,形成一个序列模式;
其中,定义s为空序列;
S302对于每一个频繁项a,将其追加至序列s组成一个序列模式s’并输出;
S303对于每个s’,递归调用PrefixSpan算法,直至序列长度不再增加。
步骤S4,结合网络拓扑,自动确定参与联动防御的网络安全设备;
S401结合网络拓扑,选取所有遭受攻击的网络节点的前置或后置网络安全设备;
S402删除重复的网络安全设备;
S403构建网络安全设备间的虚拟连接图;S403中,构建网络安全设备间的虚拟连接图包括:删除选取的所述安全设备之间的所有其它网络设备,并用直线相连,从而形成网络安全设备间的虚拟连接图;
S404在虚拟连接图中选取数量最少的节点,以覆盖所有网络路径。
所述S404具体包括,按照电力信息网络层次架构,由外向内选择网络安全设备;当选择节点时,以网络安全设备所覆盖的网络路径数量为判断依据,选择覆盖网络路径数量最多的网络安全设备加入设备队列,然后在虚拟连接图中删除该设备和对应的网络路径;循环执行S402,直至虚拟连接图中所有路径被删除;最终的设备队列仅包含网络安全设备参与联动防御。
步骤S5,向选定的网络安全设备下发安全防御规则,执行联动防御。具体包括如下步骤:
S501自定义防御规则;
S502通过中心处理平台远程调用网络安全设备提供的配置接口;
S503将所述防御规则发送至对应网络安全设备;
S504网络安全设备执行防御规则,实现联动防御。
S502中,中心处理平台通过远程调用网络安全设备提供的配置接口进行防御规则的分发。常见的配置接口包括web页面、ssh、telnet等,依据具体网络安全设备而定。若某一类型的网络安全设备不提供远程调用接口时,可通过人工复制方式进行规则分发。
如图1所示的一种电力信息网络安全联动防御系统,由中心处理平台、网络安全设备和监控单元组成;其中,
监控单元,用于采集安全告警数据并发送至中心处理平台;
中心处理平台,用于对收集到的数据进行预处理;
所述网络安全设备,用于执行防御规则,以实现联动防御。
其中,所述中心处理平台包括分析单元、序列挖掘单元、拓扑单元和执行单元;
分析单元,用于采用已知攻击模式对安全告警数据进行关联分析;
序列挖掘单元,用于采用已知攻击模式对安全告警数据进行序列挖掘。
拓扑单元,用于自动确定参与联动防御的网络安全设备;
执行单元,用于向选定的网络安全设备下发防御规则。
为了方便描述,我们假设有如下应用实例:
某电力公司采用如图2所示的网络安全设备部署架构进行联动防御。互联网客户端访问位于电力信息内网的具体业务系统时,访问流量首先转发至电力安全交互平台,进行身份认证。通过身份认证后,电力安全交互平台将认证通过信息发送至防火墙。此后,访问流量进过防火墙和入侵检测系统IDS,两种安全设备对流量行为和内容进行判断。若判断为正常流量,则转发流量至部署于电力信息外网和内网之间的隔离装置,最后由隔离装置提取具体的业务数据内容,并发送数据至业务系统。业务系统返回的流量经过隔离装置、IDS和防火墙,发送至互联网客户端。
具体的实施方案为:
数据采集Agent采集到的安全事件包括:
(1)电力安全交互平台检测到该互联网终端(IP地址为128.10.xx.xx)在多次输入错误密码(用户名为liandong_test),成功通过身份验证,发生时间为2016年3月11日19时00分至2016年3月11日19时20分;
(2)防火墙和IDS检测到该互联网终端的访问流量中包括exe可执行文件,但未能判断exe文件是否为恶意木马,仅给出可疑文件报警信息,发生时间为2016年3月11日19时30分;
(3)隔离装置检测出敏感文件泄漏,发生时间为2016年3月12日09时30分。
由于防火墙和IDS未能判断exe文件为何种恶意木马,因此无法采用已知攻击模式进行告警信息关联分析。但通过序列挖掘方法,形成如下所示攻击步骤:
登陆尝试→上传恶意代码文件→窃取机密文件
由于防火墙和电力安全交互平台已覆盖上述攻击步骤对应的网络路径,自动选择防火墙和安全交互平台为联动防御组件。该攻击中使用了未知的恶意木马,造成了敏感文件的泄漏,给电力公司造成了严重损失。为避免此类攻击事件的进一步发生,在公司信息外网中增加了恶意文件检测沙箱安全设备,对可执行文件的行为进行分析,判定是否为恶意文件。
网络管理员制动联动防御规则,在电力安全交互平台中针对该账号增加身份验证方式,在通过用户名/密码认证后,进一步采用硬件密钥方式确认身份;将该互联网客户端IP地址加入防火墙黑名单,并在防火墙中增加规则,将检测出含有执行文件的流量导入沙箱中进行行为判定,判定通过以后才能接入业务系统。
中心处理平台下发联动防御规则至安全交互平台和防火墙,最终形成的联动防御机制如图3所示。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求范围当中。
Claims (9)
1.一种电力信息网络安全联动防御方法,其特征在于,所述方法包括:
步骤S1,采集安全告警数据并进行预处理;
步骤S2,采用已知攻击模式对安全告警数据进行关联分析;
步骤S3,对安全告警数据进行序列挖掘;
步骤S4,结合网络拓扑,自动确定参与联动防御的网络安全设备;
步骤S5,向选定的网络安全设备下发防御规则,以实现联动防御;
所述步骤S4中,结合电力信息网络拓扑,自动确定参与联动防御的具体网络安全设备包括如下步骤:
S401结合网络拓扑,选取所有遭受攻击的网络节点的前置或后置网络安全设备;
S402删除重复的网络安全设备;
S403构建网络安全设备间的虚拟连接图;
S404在虚拟连接图中选取数量最少的网络安全设备,以覆盖所有网络路径;
所述S403中,构建网络安全设备间的虚拟连接图包括:删除选取的所述网络安全设备之间的其它网络设备,并用直线相连,从而形成网络安全设备间的虚拟连接图;
所述S404具体包括,按照电力信息网络层次架构,由外向内选择网络安全设备;当选择网络安全设备时,以网络安全设备所覆盖的网络路径数量为判断依据,选择覆盖网络路径数量最多的网络安全设备加入设备队列,然后在虚拟连接图中删除该设备和对应的网络路径;循环执行S404,直至虚拟连接图中所有路径被删除;最终的设备队列仅包含网络安全设备参与联动防御。
2.如权利要求1所述的方法,其特征在于,所述步骤S1中采用分布式部署方式采集安全告警数据,并对采集到的安全告警数据集中进行预处理,统一数据格式。
3.如权利要求1所述的方法,其特征在于,所述步骤S1具体包括:
S101,在网络安全设备上部署监控装置;其中,
所述网络安全设备,包括防火墙、入侵检测系统、安全交互平台、逻辑强隔离装置和正反向隔离装置;
S102,所述监控装置采用定时或事件触发机制,采集安全设备产生的安全告警数据,并发送至中心处理平台;
S103,通过所述中心处理平台对安全告警数据进行预处理。
4.如权利要求3所述的方法,其特征在于,所述S103中,通过中心处理平台对安全告警数据进行解密和解压缩后,获得明文数据,然后对明文数据进行预处理,所述预处理具体包括:
①从明文数据中抽取源IP地址、源端口、目的IP地址、目的端口、告警时间、事件类别和安全告警数据内容;
②根据抽取的安全告警数据内容和事件类别,定义最终规范类别;所述最终规范类别由操作人员预先制定,其方式包括漏洞扫描、未授权远程访问和权限提升;
采用关键字匹配方式,自动确定当前预处理的安全告警数据的时间类别,选择与该安全告警数据内容和事件类别关键字匹配度最高的类别作为最终规范类别;
③将<源IP地址,源端口,目的IP地址,目的端口,告警时间,最终规范类别>作为一条安全告警记录存入数据库。
5.如权利要求1所述的方法,其特征在于,所述步骤S2中,采用已知攻击模式对安全告警数据进行关联分析具体包括如下步骤:
S201,输入已知攻击模式,构建与所述已知攻击模式相关联的规则层次结构;
S202,从数据库中逐条提取待分析的安全告警数据记录,并将记录中的规范类别与攻击步骤相对应,填充所述规则层次结构;
S203,对规则层次结构进行细粒度划分,获取攻击步骤关联集合。
6.权利要求5所述的方法,其特征在于,所述S201中,使用公开的网络攻击模式或者自定义的网络攻击模式作为已知攻击模式,将所述已知攻击模式相关的攻击步骤按照逻辑先后顺序排列,完成规则层次结构的构建;
所述S202包括,提取当前待分析的安全告警数据记录,若记录中的规范类别与攻击步骤类型相同,则将该条安全告警数据记录的<源IP地址,源端口,目的IP地址,目的端口,告警时间>信息加入所述规则的相应节点中;循环执行S202,直至分析完成所有安全告警数据记录。
7.如权利要求1所述的方法,其特征在于,所述步骤S3具体包括:采用PrefixSpan算法对安全告警数据进行序列挖掘,并根据频繁项集,搜寻疑似关联的攻击步骤包括:
S301扫描数据库,找出各个频繁项a并组成集合;其中,对于每一个频繁项a至少满足以下两个条件之一:
i.a可以嵌入序列s的最后一个元素中形成一个序列模式;或者,
ii.将a追加到序列s末尾,形成一个序列模式;
其中,定义s为空序列;
S302对于每一个频繁项a,将其追加至序列s组成一个序列模式s’并输出;
S303对于每个s’,递归调用PrefixSpan算法,直至序列长度不再增加。
8.如权利要求1所述的方法,其特征在于,所述步骤S5下发防御规则至选定的网络安全设备,执行防御规则的具体包括如下步骤:
S501自定义防御规则;
S502通过中心处理平台远程调用网络安全设备提供的配置接口;
S503将所述防御规则发送至对应网络安全设备;
S504通过网络安全设备执行防御规则。
9.一种用于如权利要求1-8任一项所述电力信息网络安全联动防御方法的防御系统,其特征在于,所述系统由中心处理平台、网络安全设备和监控单元组成;其中,
所述监控单元,用于采集安全告警数据并发送至中心处理平台;
所述中心处理平台,用于对采集到的安全告警数据进行预处理;
所述网络安全设备,用于执行防御规则,以实现联动防御;
所述中心处理平台还包括分析单元、序列挖掘单元、拓扑单元和执行单元;
所述分析单元,用于采用已知攻击模式对安全告警数据进行关联分析;
所述序列挖掘单元,用于对安全告警数据进行序列挖掘;
所述拓扑单元,用于自动确定参与联动防御的网络安全设备;
所述执行单元,用于向选定的网络安全设备下发防御规则。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610440388.6A CN106411562B (zh) | 2016-06-17 | 2016-06-17 | 一种电力信息网络安全联动防御方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610440388.6A CN106411562B (zh) | 2016-06-17 | 2016-06-17 | 一种电力信息网络安全联动防御方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106411562A CN106411562A (zh) | 2017-02-15 |
| CN106411562B true CN106411562B (zh) | 2021-10-29 |
Family
ID=58005725
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610440388.6A Active CN106411562B (zh) | 2016-06-17 | 2016-06-17 | 一种电力信息网络安全联动防御方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106411562B (zh) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107070889B (zh) * | 2017-03-10 | 2020-04-07 | 中国电建集团成都勘测设计研究院有限公司 | 一种基于云平台的统一安全防御系统 |
| CN106941494A (zh) * | 2017-03-30 | 2017-07-11 | 中国电力科学研究院 | 一种适用于用电信息采集系统的安全隔离网关及其使用方法 |
| CN108833383B (zh) * | 2018-06-01 | 2019-05-24 | 南瑞集团有限公司 | 基于深度学习和agent的联动防御系统 |
| CN108833442A (zh) * | 2018-07-25 | 2018-11-16 | 安徽三实信息技术服务有限公司 | 一种分布式网络安全监控装置及其方法 |
| CN109302380B (zh) * | 2018-08-15 | 2022-10-25 | 全球能源互联网研究院有限公司 | 一种安全防护设备联动防御策略智能决策方法及系统 |
| CN109194505A (zh) * | 2018-08-15 | 2019-01-11 | 全球能源互联网研究院有限公司 | 一种电力网络安全防御告警系统 |
| CN109587124B (zh) * | 2018-11-21 | 2021-08-03 | 国家电网有限公司 | 电力网络的处理方法、装置和系统 |
| CN109309687A (zh) * | 2018-11-27 | 2019-02-05 | 杭州迪普科技股份有限公司 | 网络安全防御方法、装置及网络设备 |
| CN109818984A (zh) * | 2019-04-10 | 2019-05-28 | 吉林亿联银行股份有限公司 | 漏洞的防御方法及装置 |
| CN110351377A (zh) * | 2019-07-17 | 2019-10-18 | 成都鑫芯电子科技有限公司 | 一种多级联动控制方法及系统 |
| CN110717845A (zh) * | 2019-08-27 | 2020-01-21 | 格局商学教育科技(深圳)有限公司 | 一种用于直播教学的组织架构联动安全管理系统和方法 |
| CN110445665B (zh) * | 2019-09-06 | 2022-06-14 | 国网江苏省电力有限公司信息通信分公司 | 基于改进gsp的电力通信网络告警关联挖掘方法 |
| CN110855697A (zh) * | 2019-11-20 | 2020-02-28 | 国网湖南省电力有限公司 | 电力行业网络安全的主动防御方法 |
| CN111404914A (zh) * | 2020-03-11 | 2020-07-10 | 南京邮电大学 | 一种特定攻击场景下泛在电力物联网终端安全防护方法 |
| CN111371807B (zh) * | 2020-03-24 | 2022-02-25 | 河南信大网御科技有限公司 | 基于接入层的安全系统及其构建方法、终端、存储介质 |
| CN111726342B (zh) * | 2020-06-08 | 2022-08-02 | 中国电信集团工会上海市委员会 | 一种提升蜜罐系统告警输出精准性的方法及系统 |
| CN112615808B (zh) * | 2020-10-27 | 2022-01-25 | 国网浙江省电力有限公司绍兴供电公司 | 智能变电站过程层报文白名单的表示方法、设备及介质 |
| CN112367315B (zh) * | 2020-11-03 | 2021-09-28 | 浙江大学 | 一种内生安全waf蜜罐部署方法 |
| CN112422568B (zh) * | 2020-11-19 | 2022-09-13 | 国网宁夏电力有限公司电力科学研究院 | 新能源厂站非法网络通道的识别方法及厂站系统 |
| CN113225334B (zh) * | 2021-04-30 | 2023-04-07 | 中国工商银行股份有限公司 | 终端安全管理方法、装置、电子设备及存储介质 |
| CN113315666A (zh) * | 2021-07-02 | 2021-08-27 | 天津嘉恒达科技有限公司 | 一种面向信息网络安全的防御控制方法及系统 |
| CN113660223B (zh) * | 2021-07-28 | 2023-06-09 | 上海纽盾科技股份有限公司 | 基于告警信息的网络安全数据处理方法、装置及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104639504A (zh) * | 2013-11-12 | 2015-05-20 | 华为技术有限公司 | 网络协同防御方法、装置和系统 |
| CN104901838A (zh) * | 2015-06-23 | 2015-09-09 | 中国电建集团成都勘测设计研究院有限公司 | 企业网络安全事件管理系统及其方法 |
| CN105471882A (zh) * | 2015-12-08 | 2016-04-06 | 中国电子科技集团公司第三十研究所 | 一种基于行为特征的网络攻击检测方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20120068611A (ko) * | 2010-12-17 | 2012-06-27 | 한국전자통신연구원 | 공간 연동을 통한 보안 상황 인지와 상황 정보 생성 장치 및 방법 |
-
2016
- 2016-06-17 CN CN201610440388.6A patent/CN106411562B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104639504A (zh) * | 2013-11-12 | 2015-05-20 | 华为技术有限公司 | 网络协同防御方法、装置和系统 |
| CN104901838A (zh) * | 2015-06-23 | 2015-09-09 | 中国电建集团成都勘测设计研究院有限公司 | 企业网络安全事件管理系统及其方法 |
| CN105471882A (zh) * | 2015-12-08 | 2016-04-06 | 中国电子科技集团公司第三十研究所 | 一种基于行为特征的网络攻击检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106411562A (zh) | 2017-02-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106411562B (zh) | 一种电力信息网络安全联动防御方法及系统 | |
| Kholidy et al. | CIDS: A framework for intrusion detection in cloud systems | |
| US7197762B2 (en) | Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits | |
| Xu et al. | Alert correlation through triggering events and common resources | |
| Sandhu et al. | A survey of intrusion detection & prevention techniques | |
| US20030084326A1 (en) | Method, node and computer readable medium for identifying data in a network exploit | |
| CN113315666A (zh) | 一种面向信息网络安全的防御控制方法及系统 | |
| Signorini et al. | Advise: anomaly detection tool for blockchain systems | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
| Beigh et al. | Intrusion detection and prevention system: issues and challenges | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| Farook et al. | Implementation of Intrusion Detection Systems for High Performance Computing Environment Applications | |
| KR101871406B1 (ko) | 화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템 | |
| KR102131496B1 (ko) | 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법 | |
| Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
| CN106878338B (zh) | 远动设备网关防火墙一体机系统 | |
| Ibrahim et al. | Sdn-based intrusion detection system | |
| Abudalfa et al. | Evaluating performance of supervised learning techniques for developing real-time intrusion detection system | |
| KR101518233B1 (ko) | 기업 내부 전산환경의 위협탐지를 위한 보안 장치 | |
| Parate et al. | A review of network forensics techniques for the analysis of web based attack | |
| Sandhu et al. | A study of the novel approaches used in intrusion detection and prevention systems | |
| Prabhu et al. | Network intrusion detection system | |
| Mishra et al. | Intrusion detection systems for high performance computing environment | |
| Hsiao et al. | Detecting stepping‐stone intrusion using association rule mining | |
| Liu et al. | Research on Network Attack Detection Technology based on Reverse Detection and Protocol Analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |