CN107920077A - 一种用于电力调度系统的拒接服务攻击判断方法及装置 - Google Patents

一种用于电力调度系统的拒接服务攻击判断方法及装置 Download PDF

Info

Publication number
CN107920077A
CN107920077A CN201711161982.2A CN201711161982A CN107920077A CN 107920077 A CN107920077 A CN 107920077A CN 201711161982 A CN201711161982 A CN 201711161982A CN 107920077 A CN107920077 A CN 107920077A
Authority
CN
China
Prior art keywords
network
equipment
data
port
electric power
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201711161982.2A
Other languages
English (en)
Inventor
胡斌
易国华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hubei Xin Intentia System Technology Ltd By Share Ltd
Original Assignee
Hubei Xin Intentia System Technology Ltd By Share Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hubei Xin Intentia System Technology Ltd By Share Ltd filed Critical Hubei Xin Intentia System Technology Ltd By Share Ltd
Priority to CN201711161982.2A priority Critical patent/CN107920077A/zh
Publication of CN107920077A publication Critical patent/CN107920077A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种攻击判断方法及装置,属于信息安全技术领域,具体涉及一种用于电力调度系统的拒接服务攻击判断方法及装置。包括:数据收集步骤,通过收集模组收集电力调度系统中的数据包;数据解析步骤,解析所述数据包,调用相应判断模型识别所述拒接服务攻击。该方法及装置不同于大多数现有技术在攻击发生的事后才进行告警和审计汇报,其着重于分布式拒绝服务攻击的入侵阶段,可以有效的预防攻击者对网络的渗透,以此在攻击发生前就对攻击做出相应的预测和判断。

Description

一种用于电力调度系统的拒接服务攻击判断方法及装置
技术领域
本发明涉及一种攻击判断方法及装置,属于信息安全技术领域,具体涉及一种用于电力调度系统的拒接服务攻击判断方法及装置。
背景技术
本发明涉及网络数据包收集模组和数据综合分析模组。通过对内网环境中网络数据包的包头信息(packet header)进行收集,利用数据模型进行分析后得到可能的网络攻击信息和进行了威胁网络安全的操作的危险设备。在国家电网内网环境中,因为安全因素许多网络服务(如DHCP DNS等)并未打开,网络设备的功能受限,网络拓扑固定不变,因此网络安全也格外脆弱。
发明内容
本发明主要是解决现有技术所存在的上述的技术问题,提供了一种用于电力调度系统的拒接服务攻击判断方法及装置。该方法及装置不同于大多数现有技术在攻击发生的事后才进行告警和审计汇报,其着重于分布式拒绝服务攻击的入侵阶段,可以有效的预防攻击者对网络的渗透,以此在攻击发生前就对攻击做出相应的预测和判断。
本发明的上述技术问题主要是通过下述技术方案得以解决的:
一种用于电力调度系统的拒接服务攻击判断方法,包括:
数据收集步骤,通过收集模组收集电力调度系统中的数据包;
数据解析步骤,解析所述数据包,调用相应判断模型识别所述拒接服务攻击。
优选的,上述的一种用于电力调度系统的拒接服务攻击判断方法,
所述数据收集步骤中,在监控网络中的网络节点部署相关收集程序,所述网络节点包括交换及路由设备,网络安全设备。
优选的,上述的一种用于电力调度系统的拒接服务攻击判断方法,所述数据收集步骤中,在监控目标设备上部署收集程序,对收集到的数据包包头信息进行处理后再发送到收集模组的数据采集服务器,由数据采集服务器采用分布式信息处理系统对信息进行采集处理。
优选的,上述的一种用于电力调度系统的拒接服务攻击判断方法,所述数据解析步骤具体包括以下子步骤:
全网广播扫描子步骤,对所述全网广播扫描的监控通过对每台设备自身发出的网络数据包进行分析,当对大量非常用设备发送数据包时则认为是全网广播扫描;
网络端口扫描子步骤,对所述网络端口扫描的监控通过对每台设备收到的网络数据包进行分析,当设备的多个未开放端口或非常用端口收到数据包时任务发生了网络端口扫描;
全网端口扫描子步骤,对所述全网端口扫描通称端口清扫的监控是通过分析设备发出的网络数据包,如一台设备对多台设备的同一端口发送数据包,且目标设备的数量大于该发送设备自身设置的预警阈值,则认为发生了全网端口扫描;
多并发连接攻击判断子步骤,对所述多并发连接的监控通过网络连接信息和对设备收到的网络数据包进行联合分析完成,当短时间内连接进入设备的同一端口连接数量超过了该设备的连接数阈值则认为发生了多并发连接攻击。
一种用于电力调度系统的拒接服务攻击判断装置,包括:
数据收集模块,通过收集模组收集电力调度系统中的数据包;
数据解析模块,解析所述数据包,调用相应判断模型识别所述拒接服务攻击。
优选的,上述的一种用于电力调度系统的拒接服务攻击判断装置,所述数据收集模块中,在监控网络中的网络节点部署相关收集程序,所述网络节点包括交换及路由设备,网络安全设备。
优选的,上述的一种用于电力调度系统的拒接服务攻击判断装置,所述数据收集模块中,在监控目标设备上部署收集程序,对收集到的数据包包头信息进行处理后再发送到收集模组的数据采集服务器,由数据采集服务器采用分布式信息处理系统对信息进行采集处理。
优选的,上述的一种用于电力调度系统的拒接服务攻击判断装置,所述数据解析模块具体包括以下单元:
全网广播扫描单元,对所述全网广播扫描的监控通过对每台设备自身发出的网络数据包进行分析,当对大量非常用设备发送数据包时则认为是全网广播扫描;
网络端口扫描单元,对所述网络端口扫描的监控通过对每台设备收到的网络数据包进行分析,当设备的多个未开放端口或非常用端口收到数据包时任务发生了网络端口扫描;
全网端口扫描单元,对所述全网端口扫描通称端口清扫的监控是通过分析设备发出的网络数据包,如一台设备对多台设备的同一端口发送数据包,且目标设备的数量大于该发送设备自身设置的预警阈值,则认为发生了全网端口扫描;
多并发连接攻击判断单元,对所述多并发连接的监控通过网络连接信息和对设备收到的网络数据包进行联合分析完成,当短时间内连接进入设备的同一端口连接数量超过了该设备的连接数阈值则认为发生了多并发连接攻击。
因此,本发明具有如下优点:可以有效的预防攻击者对网络的渗透,以此在攻击发生前就对攻击做出相应的预测和判断,
具体实施方式
下面通过实施例,对本发明的技术方案作进一步具体的说明。
实施例:
一、数据包收集
在内网环境中,网络数据包通过收集模组实现,由于通常的代理程序直传模式中自身产生的数据包数量巨大将会对所属的网络产生不可避免的影响,因此所述网络数据包收集模组提供多种实施方式,可以根据不同网络环境下的不同需求调整部署策略。具体来说包括以下两种:
1.收集模组在监控网络中的各个网络节点部署相关收集程序。网络节点包括网络设备(交换机、路由器等),网络安全设备(横向隔离装置、纵向隔离装置等)。
2.在所有监控目标设备上部署收集程序。对收集到的数据包包头信息进行处理后在发送到收集模组的数据采集服务器,数据采集服务器采用分布式信息处理系统对信息进行采集处理。相对于现有类似产品,本收集模组对大型网络系统的支持更为全面稳定,更能无视电网内网中网络隔离分区的特殊环境将不同安全分区中的设备信息同时高效的进行收集分析。
二、数据分析
所述数据综合分析模组利用四种数据模型对所述网络数据包收集模组收集到的信息进行分析,判断出被管网络环境中各个设备发起的对网络环境造成威胁的操作,和可能发生的拒绝服务攻击威胁,或受到的对该设备自身造成威胁的疑似网络攻击。
在攻击者对网络中的服务或主机进行分布式拒绝服务攻击时,如攻击者对所处的网络环境并不了解,通常会进行四个步骤来确定所攻击的服务或主机网络环境。1.全网广播扫描,某台或少数数台设备对网络中全部或多台设备发送TCP数据包,并通过分析收到的回复构筑网络拓扑,后可通过全网扫描网络拓扑可能被恶意利用来设计之后的攻击,因此全网扫描属于极其危险的安全威胁操作。2.网络端口扫描,通过一台或多台设备对一台或多台设备的网络端口进行扫描。通过向一定范围的服务器端口发送对应客户端请求,以此确认可使用的端口。虽然其本身可能并不是恶意的网络活动,但也是网络攻击者探测目标主机服务,为利用网络服务的已知漏洞做先期准备的重要手段。3.全网端口扫描通称端口清扫,是通过扫描多个主机以获取特定的某个端口,以此获取网络中含有特定的服务或漏洞的主机,为正式的攻击或攻击前期构建受控机组的入侵做准备。4.多并发连接为一台或数台设备的服务同时收到大量请求,产生大量并发连接。在DDOS攻击发生前,攻击者通常会发起由少数设备参与的小型的测试性攻击用以测试对受控群组的控制和受控群组的预想攻击强度是否可以打成攻击目的。对多并发连接的监视可以有效的提高对分布式拒绝服务攻击预警的准确性,降低误报率。
在上述拒绝服务攻击的前期准备工作所可能产生网络行为模式中,扫描操作对时间的敏感性较低,因为在固定的网络环境中,环境本身发生变化的可能较小。所以攻击者可能对上述扫描操作在执行时间上进行相应的限制,让扫描时间长达数周或数月,来隐蔽扫描的执行,达到在网络管理员不知情的情况下对网络进行渗透。
因此在恶意操作者在执行分布式拒绝服务攻击之前极大概率执行的网络威胁操作:全网广播扫描,网络端口扫描,全网端口扫描和多并发连接。对所述全网广播扫描的监控通过对每台设备自身发出的网络数据包进行分析,当对大量非常用设备发送数据包时则认为是全网广播扫描。对所述网络端口扫描的监控通过对每台设备收到的网络数据包进行分析,当设备的多个未开放端口或非常用端口收到数据包时任务发生了网络端口扫描。对所述全网端口扫描通称端口清扫的监控是通过分析设备发出的网络数据包,如一台设备对多台设备的同一端口发送数据包,且目标设备的数量大于该发送设备自身设置的预警阈值,则认为发生了全网端口扫描。对所述多并发连接的监控通过网络连接信息和对设备收到的网络数据包进行联合分析完成,当短时间内发生大量连接进入设备的同一端口时,如连接数量超过了该设备的连接数阈值则认为发生了多并发连接攻击。
相较于现有技术,本发明对全网广播扫描,网络端口扫描和全网端口扫描监控在时间上的判断阈值可以通过网络管理员自定义设置,并由分析系统分析历史数据,将历史数据的特征值提供给管理员做参考。因此,不同于现有类似产品提供通用数值,本产品对扫描的判断更为切合当前网络环境,对不同网络环境中的特殊情况进行分析并给网络管理员提供具体详实的数据支持。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

Claims (8)

1.一种用于电力调度系统的拒接服务攻击判断方法,其特征在于,包括:
数据收集步骤,通过收集模组收集电力调度系统中的数据包;
数据解析步骤,解析所述数据包,调用相应判断模型识别所述拒接服务攻击。
2.根据权利要求1所述的一种用于电力调度系统的拒接服务攻击判断方法,其特征在于,
所述数据收集步骤中,在监控网络中的网络节点部署相关收集程序,所述网络节点包括交换及路由设备,网络安全设备。
3.根据权利要求1所述的一种用于电力调度系统的拒接服务攻击判断方法,其特征在于,所述数据收集步骤中,在监控目标设备上部署收集程序,对收集到的数据包包头信息进行处理后再发送到收集模组的数据采集服务器,由数据采集服务器采用分布式信息处理系统对信息进行采集处理。
4.根据权利要求1所述的一种用于电力调度系统的拒接服务攻击判断方法,其特征在于,所述数据解析步骤具体包括以下子步骤:
全网广播扫描子步骤,对所述全网广播扫描的监控通过对每台设备自身发出的网络数据包进行分析,当对大量非常用设备发送数据包时则认为是全网广播扫描;
网络端口扫描子步骤,对所述网络端口扫描的监控通过对每台设备收到的网络数据包进行分析,当设备的多个未开放端口或非常用端口收到数据包时任务发生了网络端口扫描;
全网端口扫描子步骤,对所述全网端口扫描通称端口清扫的监控是通过分析设备发出的网络数据包,如一台设备对多台设备的同一端口发送数据包,且目标设备的数量大于该发送设备自身设置的预警阈值,则认为发生了全网端口扫描;
多并发连接攻击判断子步骤,对所述多并发连接的监控通过网络连接信息和对设备收到的网络数据包进行联合分析完成,当短时间内连接进入设备的同一端口连接数量超过了该设备的连接数阈值则认为发生了多并发连接攻击。
5.一种用于电力调度系统的拒接服务攻击判断装置,其特征在于,包括:
数据收集模块,通过收集模组收集电力调度系统中的数据包;
数据解析模块,解析所述数据包,调用相应判断模型识别所述拒接服务攻击。
6.根据权利要求5所述的一种用于电力调度系统的拒接服务攻击判断装置,其特征在于,
所述数据收集模块中,在监控网络中的网络节点部署相关收集程序,所述网络节点包括交换及路由设备,网络安全设备。
7.根据权利要求5所述的一种用于电力调度系统的拒接服务攻击判断装置,其特征在于,所述数据收集模块中,在监控目标设备上部署收集程序,对收集到的数据包包头信息进行处理后再发送到收集模组的数据采集服务器,由数据采集服务器采用分布式信息处理系统对信息进行采集处理。
8.根据权利要求5所述的一种用于电力调度系统的拒接服务攻击判断装置,其特征在于,所述数据解析模块具体包括以下单元:
全网广播扫描单元,对所述全网广播扫描的监控通过对每台设备自身发出的网络数据包进行分析,当对大量非常用设备发送数据包时则认为是全网广播扫描;
网络端口扫描单元,对所述网络端口扫描的监控通过对每台设备收到的网络数据包进行分析,当设备的多个未开放端口或非常用端口收到数据包时任务发生了网络端口扫描;
全网端口扫描单元,对所述全网端口扫描通称端口清扫的监控是通过分析设备发出的网络数据包,如一台设备对多台设备的同一端口发送数据包,且目标设备的数量大于该发送设备自身设置的预警阈值,则认为发生了全网端口扫描;
多并发连接攻击判断单元,对所述多并发连接的监控通过网络连接信息和对设备收到的网络数据包进行联合分析完成,当短时间内连接进入设备的同一端口连接数量超过了该设备的连接数阈值则认为发生了多并发连接攻击。
CN201711161982.2A 2017-11-21 2017-11-21 一种用于电力调度系统的拒接服务攻击判断方法及装置 Pending CN107920077A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711161982.2A CN107920077A (zh) 2017-11-21 2017-11-21 一种用于电力调度系统的拒接服务攻击判断方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711161982.2A CN107920077A (zh) 2017-11-21 2017-11-21 一种用于电力调度系统的拒接服务攻击判断方法及装置

Publications (1)

Publication Number Publication Date
CN107920077A true CN107920077A (zh) 2018-04-17

Family

ID=61897499

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711161982.2A Pending CN107920077A (zh) 2017-11-21 2017-11-21 一种用于电力调度系统的拒接服务攻击判断方法及装置

Country Status (1)

Country Link
CN (1) CN107920077A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110875898A (zh) * 2018-08-29 2020-03-10 厦门白山耘科技有限公司 一种确定可疑ip的方法及装置
CN112261042A (zh) * 2020-10-21 2021-01-22 中国科学院信息工程研究所 一种基于攻击危害评估的防渗透系统

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1722674A (zh) * 2004-07-15 2006-01-18 联想网御科技(北京)有限公司 一种防火墙及其访问限制方法
CN1848745A (zh) * 2005-04-13 2006-10-18 安氏互联网安全系统(中国)有限公司 基于网络流量特征的蠕虫病毒检测方法
CN101414927A (zh) * 2008-11-20 2009-04-22 浙江大学 用于内网网络攻击检测的报警和响应系统
CN101895521A (zh) * 2009-05-22 2010-11-24 中国科学院研究生院 一种网络蠕虫检测与特征自动提取方法及其系统
CN101902349A (zh) * 2009-05-27 2010-12-01 北京启明星辰信息技术股份有限公司 一种检测端口扫描行为的方法和系统
US7860006B1 (en) * 2005-04-27 2010-12-28 Extreme Networks, Inc. Integrated methods of performing network switch functions
CN104836702A (zh) * 2015-05-06 2015-08-12 华中科技大学 一种大流量环境下主机网络异常行为检测及分类方法
CN106790193A (zh) * 2016-12-30 2017-05-31 山石网科通信技术有限公司 基于主机网络行为的异常检测方法和装置
CN107077566A (zh) * 2014-10-25 2017-08-18 迈克菲股份有限公司 计算平台安全方法和装置

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1722674A (zh) * 2004-07-15 2006-01-18 联想网御科技(北京)有限公司 一种防火墙及其访问限制方法
CN1848745A (zh) * 2005-04-13 2006-10-18 安氏互联网安全系统(中国)有限公司 基于网络流量特征的蠕虫病毒检测方法
US7860006B1 (en) * 2005-04-27 2010-12-28 Extreme Networks, Inc. Integrated methods of performing network switch functions
CN101414927A (zh) * 2008-11-20 2009-04-22 浙江大学 用于内网网络攻击检测的报警和响应系统
CN101895521A (zh) * 2009-05-22 2010-11-24 中国科学院研究生院 一种网络蠕虫检测与特征自动提取方法及其系统
CN101902349A (zh) * 2009-05-27 2010-12-01 北京启明星辰信息技术股份有限公司 一种检测端口扫描行为的方法和系统
CN107077566A (zh) * 2014-10-25 2017-08-18 迈克菲股份有限公司 计算平台安全方法和装置
CN104836702A (zh) * 2015-05-06 2015-08-12 华中科技大学 一种大流量环境下主机网络异常行为检测及分类方法
CN106790193A (zh) * 2016-12-30 2017-05-31 山石网科通信技术有限公司 基于主机网络行为的异常检测方法和装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110875898A (zh) * 2018-08-29 2020-03-10 厦门白山耘科技有限公司 一种确定可疑ip的方法及装置
CN112261042A (zh) * 2020-10-21 2021-01-22 中国科学院信息工程研究所 一种基于攻击危害评估的防渗透系统

Similar Documents

Publication Publication Date Title
CN103442008B (zh) 一种路由安全检测系统及检测方法
KR100800370B1 (ko) 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치
CN101355463B (zh) 网络攻击的判断方法、系统和设备
CN102045214B (zh) 僵尸网络检测方法、装置和系统
KR101070614B1 (ko) 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법
CN107819633B (zh) 一种快速发现并处理网络故障的方法
CN107770199A (zh) 一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用
CN108289088A (zh) 基于业务模型的异常流量检测系统及方法
KR100748246B1 (ko) 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법
CN103746885A (zh) 一种面向下一代防火墙的测试系统和测试方法
CN111049843A (zh) 一种智能变电站网络异常流量分析方法
CN101026505A (zh) 用于监控通信网络中的恶意流量的方法和装置
SE524963C2 (sv) Nod och mobil anordning för ett mobiltelekommunikationsnätverk som tillhandahåller intrångsdetektering
CN107222462A (zh) 一种局域网内部攻击源的自动定位、隔离方法
CN111092900B (zh) 服务器异常连接和扫描行为的监控方法和装置
CN106452955B (zh) 一种异常网络连接的检测方法及系统
CN111083117A (zh) 一种基于蜜罐的僵尸网络的追踪溯源系统
CN109462621A (zh) 网络安全保护方法、装置及电子设备
CN100377534C (zh) 一种网络蠕虫检测系统及方法
CN107920077A (zh) 一种用于电力调度系统的拒接服务攻击判断方法及装置
CN100450012C (zh) 一种基于移动代理的入侵检测系统和方法
CN110149300A (zh) 网络流分析方法及其相关系统
Rinaldi et al. Softwarization of SCADA: lightweight statistical SDN-agents for anomaly detection
CN117061249A (zh) 基于网络流量的入侵监控方法及系统
CN110290124B (zh) 一种交换机入端口阻断方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20180417

RJ01 Rejection of invention patent application after publication