CN109409113B - 一种电网数据安全防护方法和分布式电网数据安全防护系统 - Google Patents
一种电网数据安全防护方法和分布式电网数据安全防护系统 Download PDFInfo
- Publication number
- CN109409113B CN109409113B CN201811250464.2A CN201811250464A CN109409113B CN 109409113 B CN109409113 B CN 109409113B CN 201811250464 A CN201811250464 A CN 201811250464A CN 109409113 B CN109409113 B CN 109409113B
- Authority
- CN
- China
- Prior art keywords
- information
- request
- attack
- preset
- detected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 55
- 238000002347 injection Methods 0.000 claims abstract description 25
- 239000007924 injection Substances 0.000 claims abstract description 25
- 238000004458 analytical method Methods 0.000 claims description 8
- 238000004891 communication Methods 0.000 claims description 6
- 238000013480 data collection Methods 0.000 claims 1
- 238000013500 data storage Methods 0.000 abstract description 4
- 238000005516 engineering process Methods 0.000 abstract description 3
- 230000006870 function Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000012550 audit Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明实施例提供一种电网数据安全防护方法和分布式电网数据安全防护系统,其中,该方法是应用于基于区块链技术实现数据存储的分布式存储系统中,通过从节点和主节点之间的双层安全防护,能够有效提高SQL注入攻击的识别率,确保电网数据的安全性。
Description
技术领域
本发明涉及智能电网数据安全存储技术领域,具体而言,涉及一种电网数据安全防护方法和分布式电网数据安全防护系统。
背景技术
电网数据存储系统中存在各种不同的数据攻击,尤其对于核心数据,但现有的电网系统中的数据安全防护和审计主要还是依赖于人工或者防护级别低,从而导致电网系统运行可靠性差。
发明内容
有鉴于此,本发明实施例的目的在于提供一种电网数据安全防护方法和分布式电网数据安全防护系统,以改善上述问题。
一方面,本发明较佳实施例提供一种电网数据安全防护方法,应用于包括主节点和多个从节点的分布式电网数据安全防护系统,各所述从节点之间以及各所述从节点与所述主节点之间通信连接,所述方法包括:
各所述从节点对自身接收到的数据访问请求进行解析以获取发送该数据访问请求的客户端的身份信息,并将所述身份信息与预设攻击黑名单中的信息进行比对;
当所述预设攻击黑名单中不存在所述身份信息或者与该身份信息对应的攻击次数小于阈值时,所述从节点将比对结果添加至所述数据访问请求以作为待检测请求并转发给所述主节点;
所述主节点对接收到的所述待检测请求进行SQL语句解析以得到与该待检测请求对应的语法规则信息,并将该语法规则信息与预设攻击规则信息进行比对以提取所述语法规则信息与所述预设攻击规则信息中相似度大于第一预设值的语法信息;
所述主节点统计相似度大于所述第一预设值的语法信息的数量,并在该数量大于第二预设值时将所述语法规则信息对应的待检测请求标记为SQL注入攻击;
所述主节点反馈所述待检测请求的身份信息给各所述从节点,各所述从节点根据接收到的所述主节点反馈的所述待检测请求的身份信息将该身份信息添加至所述预设攻击黑名单并对所述数据访问请求进行拦截。
在本发明较佳实施例的选择中,将所述身份信息与预设攻击黑名单中的信息进行比对的步骤包括:
判断所述预设攻击黑名单中是否存在与所述身份信息对应的攻击信息;
若存在,则继续判断在预设时长内该身份信息对应的攻击次数是否小于阈值,若小于,则判定所述预设攻击黑名单中与该身份信息对应的攻击次数小于阈值。
在本发明较佳实施例的选择中,所述方法还包括:
在所述数量小于第二预设值时,所述主节点将所述语法规则信息与已经访问自身存储数据的历史攻击语句信息进行比对,判断是否存在与该语法规则信息匹配的历史攻击语句;
若存在,则判定所述待检测请求为SQL注入攻击并反馈拦截通知以及所述待检测请求的身份信息给各所述从节点以进行数据访问拦截,各所述从节点将所述身份信息添加至所述预设攻击黑名单中。
在本发明较佳实施例的选择中,所述方法还包括:
在所述待检测请求为SQL注入攻击时,所述主节点根据所述待检测请求的身份信息、访问时间信息、访问路径信息、访问内容信息中的一种或多种生成攻击预警信息并进行预警。
在本发明较佳实施例的选择中,所述方法还包括:
获取所述客户端的登录信息,根据该登录信息判断使用所述客户端的用户的数据访问权限,并在所述数据访权限为数据库管理权限时,执行将所述比对结果添加至所述数据访问请求以作为待检测请求并转发给所述主节点的步骤。
在本发明较佳实施例的选择中,所述方法还包括:
当所述相似度大于所述第一预设值的语法信息的数量不大于所述第二预设值时,所述主节点判定所述待检测请求为安全信息,并反馈安全通知给发送所述待检测请求的从节点;
所述从节点在接收到所述安全通知后,根据所述数据访问请求提供由自身维护的区块链中的电网数据以用于所述客户端进行数据访问。
在本发明较佳实施例的选择中,所述从节点判断在预设时间内是否接收到所述主节点反馈的安全通知,若未接收到,则判定所述数据访问请求为非法访问请求,并对该数据访问请求进行拦截。
另一方面,本发明较佳实施例还提供一种分布式电网数据安全防护系统,所述电网数据安全防护系统包括主节点和多个从节点,各所述从节点之间以及各所述从节点与所述主节点之间通信连接,其中:
各所述从节点用于对自身接收到的数据访问请求进行解析以获取发送该数据访问请求的客户端的身份信息,并将所述身份信息与预设攻击黑名单中的信息进行比对;
当所述预设攻击黑名单不存在所述身份信息或者攻击次数小于阈值时,所述从节点用于将比对结果添加至所述数据访问请求以作为待检测请求并转发给所述主节点;
所述主节点用于对接收到的所述待检测请求进行SQL语句解析以得到与该待检测请求对应的语法规则信息,并将该语法规则信息与预设攻击规则信息进行比对以提取所述语法规则信息与所述预设攻击规则信息中相似度大于第一预设值的语法信息;
所述主节点用于统计相似度大于所述第一预设值的语法信息的数量,并在该数量大于第二预设值时将所述语法规则信息对应的待检测请求标记为SQL注入攻击;
所述主节点用于反馈所述待检测请求的身份信息给各所述从节点,各所述从节点根据收到的所述主节点反馈的所述待检测请求的身份信息将该身份信息添加至所述预设攻击黑名单并对所述数据访问请求进行拦截。
在本发明较佳实施例的选择中,各所述从节点包括用于进行数据采集到数据感知节点或者具有通信功能的电子设备。
在本发明较佳实施例的选择中,在将所述身份信息与预设攻击黑名单中的信息进行比对时,所述从节点还用于判断所述预设攻击黑名单中是否存在与所述身份信息对应的攻击信息;若存在,则判断在预设时长内该身份信息对应的攻击次数是否小于阈值,若小于,则判定所述预设攻击黑名单中与该身份信息对应的攻击次数小于阈值。
与现有技术相比,本发明实施例提供的一种电网数据安全防护方法和分布式电网数据安全防护系统,该方法是应用于基于区块链技术实现数据存储的分布式存储系统中,通过从节点和主节点之间的双层安全防护,能够有效提高SQL注入攻击的识别率,确保电网数据的安全性。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例提供的分布式电网数据安全防护系统的系统结构示意图。
图2为本发明实施例提供的电网数据安全防护方法的流程示意图。
图3为图2中所示的步骤S10的子流程示意图。
图4为本发明实施例提供的电网数据安全防护方法的另一流程示意图。
图标:10-分布式电网数据安全防护系统;11-从节点;12-主节点。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
如图1所示,为本发明较佳实施例提供的分布式电网数据安全防护系统10的结构示意图,该分布式电网数据安全防护系统10包括主节点12和多个从节点11,各所述从节点11之间以及各所述从节点11与所述主节点12之间通信连接,其中,各所述从节点11可以是但不限于用于进行数据采集到数据感知节点或者具有通信功能的其他电子设备等。
本实施例中,所述分布式电网数据安全防护系统10中的各从节点11基于区块链技术实现电网数据的存储,即各所述从节点11相当于一个公共的账本,且各从节点11之间可通过智能合约的方式,设置共享条件、时长和次数等参数,自动执行数据在节点间的共享、安全访问等。
所述主节点12用于对访问所述分布式电网数据安全防护系统10的数据访问请求进行安全验证等,所述主节点12可以是但不限于电脑、手机、IPAD、服务器等电子设备。
进一步地,基于对上述分布式电网数据安全防护系统10的描述,如图2所示,本发明实施例提供一种电网数据安全防护方法,该电网数据安全防护方法应用于所述分布式电网数据安全防护系统10,下面将结合图2对所述电网数据安全防护方法的具体流程和步骤进行详细说明。所应说明的是,本发明实施例提供的应用切换方法不以图2及以下所述的具体顺序为限制。
步骤S10,各所述从节点11对自身接收到的数据访问请求进行解析以获取发送该数据访问请求的客户端的身份信息,并将所述身份信息与预设攻击黑名单中的信息进行比对;
步骤S11,当所述预设攻击黑名单中不存在所述身份信息或者与该身份信息对应的攻击次数小于阈值时,所述从节点11将比对结果添加至所述数据访问请求以作为待检测请求并转发给所述主节点12;
步骤S12,所述主节点12对接收到的所述待检测请求进行SQL语句解析以得到与该待检测请求对应的语法规则信息,并将该语法规则信息与预设攻击规则信息进行比对以提取所述语法规则信息与所述预设攻击规则信息中相似度大于第一预设值的语法信息;
步骤S13,所述主节点12统计相似度大于所述第一预设值的语法信息的数量,并在该数量大于第二预设值时将所述语法规则信息对应的待检测请求标记为SQL注入攻击;
步骤S14,所述主节点12反馈所述待检测请求的身份信息给各所述从节点11,各所述从节点11根据接收到的所述主节点12反馈的所述待检测请求的身份信息将该身份信息添加至所述预设攻击黑名单并对所述数据访问请求进行拦截。
上述步骤S10-步骤S14中,各所述从节点11首先对自身接收到的数据访问请求进行初步的安全判断,并在发送该数据访问请求的客户端不在预设攻击黑名单中之后,再通过对所述数据访问请求的编辑后发送给主节点12进行进一步的安全检测,本实施例中通过前述两个层次的安全检测,能够在有效确保电网数据访问安全的同时,还可有效避免由于安全检测都在从节点11上执行而出现的数据堵塞、宕机等问题,有效提高数据处理能力,降低对设备硬件要求。
详细地,步骤S10中所述的身份信息可以是但不限于发送所述数据访问请求的客户端的源IP地址、登录信息、账户信息等,所述预设攻击黑名单中保存有历史攻击者的身份信息、攻击次数、攻击事件等。实际实施时,所述从节点11可将获取的客户端的身份信息与所述预设攻击黑名单中的信息进行比对,从而实现对所述数据访问请求的初步审查,以降低所述主节点12的审计压力。
可选地,如图3所示,本实施例中将所述身份信息与预设攻击黑名单中的信息进行比对的步骤可通过下述步骤S100-步骤S101实现。
步骤S100,判断所述预设攻击黑名单中是否存在与所述身份信息对应的攻击信息;
步骤S101,若存在,则继续判断在预设时长内该身份信息对应的攻击次数是否小于阈值,若小于,则判定所述预设攻击黑名单中与该身份信息对应的攻击次数小于阈值。
上述步骤S100-步骤S101能够进一步提高所述电网数据安全防护方法的适用性,所述预设时长和所述阈值可以根据实际需求进行灵活设计,且针对不同类型的数据访问请求,所述预设时长和所述阈值可以相同也可以不同,本实施例在此不做限制。
另外,实际实施时,为了进一步提高所述电网数据访问的安全性,所述电网数据安全防护方法还包括获取所述客户端的登录信息,根据该登录信息判断使用所述客户端的用户的数据访问权限,并在所述数据访权限为数据库管理权限时,执行将所述比对结果添加至所述数据访问请求以作为待检测请求并转发给所述主节点12的步骤。
进一步地,在步骤S11中通过将比对结果添加至所述数据访问请求以得到待检测请求并转发给所述主节点12进行进一步地安全审计。其中,在进行比对结果添加时,还可将从节点11自身以及客户端的身份信息等一并添加至数据访问请求中,使得所述主节点12能够实现对所述待检测请求全面、精确的安全审计。
进一步地,在步骤S12中,所述主节点12在对所述待检测请求进行SQL语句解析时,所述语法规则信息可包括语法元素以及与该语法元素对应的上下文信息,其中,对待检测请求进行解析的实现方式有多种,在本实施例中的一个可选实施例中,可以表现为对待测SQL语句进行以下至少之一处理:词法分析和语法分析,且对于上述词法和语法分析的处理过程可以通过但不限于构造SQL语法树的形式实现。具体地,基于词法分析和语法分析,生成基于语法元素和语义结构的语法树,然后遍历语法树中的每个语法元素节点,并获取该语法元素节点的父节点数据和子节点数据(即语法元素的上下文信息)。
所述预设攻击规则信息可以通过以下方式实现,但不限于此:收集、分析目前黑客经常使用的SQL注入方法(或SQL注入语句),使用基于词法、语法分析的方法,将这些SQL注入方法(或SQL注入语句)构造成基于语法元素、语义结构的规则集合。按规则出现在SQL注入方法及正常SQL中的概率将规则分为不同等级,例如将只会出现在SQL注入方法中,正常SQL很少使用的规则定义成高级别。为不同等级定义阀值,命中规则个数超过阀值的判定为SQL注入。
应注意的是,为了有效提高SQL注入的精确度和检测效率,降低误报率,本实施例中通过相似度来判定所述待检测请求是否为SQL注入攻击,其中,所述相似度的具体计算过程可以有多种,可以是基于所述语法规则信息中的字符实现,也可以是基于词组、拼接形式等实现,本实施例在此不做限制。
进一步地,步骤S14中的第一预设值和所述第二预设值可根据实际需求进行灵活设计,本实施例在此不做限制。应注意的是,在所述主节点12将所述待检测请求标记为SQL注入攻击时,还可根据所述预设攻击规则信息的建立规则将所述待检测请求保存至所述预设攻击规则信息中,以进一步完善所述预设攻击规则信息。
其中,根据实际需求,步骤S14中的各从节点11可根据所述主节点12反馈的审计信息对所述预设攻击黑名单进行更新,以用于后续接收到相同的数据访问请求时,直接在所述从节点11中的第一次安全审计时即可进行访问拦截,提高所述电网数据安全防护方法的进行安全防护时的高效性、准确性。
另外,在一个实施例中,如图4所示,为了进一步提高数据防护的安全性,避免SQL漏报和检测,所述电网数据安全防护方法还可包括以下步骤:
步骤S15,当所述数量小于第二预设值时,所述主节点12将所述语法规则信息与已经访问自身存储数据的历史攻击语句信息进行比对,判断是否存在与该语法规则信息匹配的历史攻击语句;
步骤S16,若存在,则判定所述待检测请求为SQL注入攻击并反馈拦截通知以及所述待检测请求的身份信息给各所述从节点11以进行数据访问拦截,各所述从节点11将所述身份信息添加至所述预设攻击黑名单中。
可以理解的是,所述历史攻击语句是所述主节点12在以往的数据审计过程中进行建立并在持续审计过程中进行维护的。另外,在另一个实施例中,当相似度大于所述第一预设值的语法信息的数量不大于所述第二预设值时,所述主节点12判定所述待检测请求为安全信息,并反馈安全通知给发送所述待检测请求的从节点11;所述从节点11在接收到所述安全通知后,根据所述数据访问请求提供由自身维护的区块链中的电网数据以用于所述客户端进行数据访问。
另外,根据实际需求,所述从节点判断在预设时间内是否接收到所述主节点反馈的安全通知,若未接收到,则判定所述数据访问请求为非法访问请求,并对该数据访问请求进行拦截。本实施例中通过前述设置,能够提高所述从节点对数据访问请求的处理效率。
进一步地,在本实施例中,当所述待检测请求为SQL注入攻击时,所述主节点12根据所述待检测请求的身份信息、访问时间信息、访问路径信息、访问内容信息中的一种或多种生成攻击预警信息并进行预警。其中,所述攻击预警信息能够用于快速提醒工作人员对存在的数据安全隐患或攻击进行人工处理,以免造成不可挽回的损失。另外,在所述从节点11接收到所述数据访问请求开始,所述从节点11和所述主节点12即可对根据所述数据访问请求对应的相关访问信息进行访问日志的建立,以用于后续的查看和追踪。
基于对上述电网数据安全防护方法的描述,下面对所述分布式电网数据安全防护系统10中的主节点12和从节点11的相应功能进行介绍,具体如下。
各所述从节点11用于对自身接收到的数据访问请求进行解析以获取发送该数据访问请求的客户端的身份信息,并将所述身份信息与预设攻击黑名单中的信息进行比对;
当所述预设攻击黑名单不存在所述身份信息或者攻击次数小于阈值时,所述从节点11用于将比对结果添加至所述数据访问请求以作为待检测请求并转发给所述主节点12;
所述主节点12用于对接收到的所述待检测请求进行SQL语句解析以得到与该待检测请求对应的语法规则信息,并将该语法规则信息与预设攻击规则信息进行比对以提取所述语法规则信息与所述预设攻击规则信息中相似度大于第一预设值的语法信息;
所述主节点12用于统计相似度大于所述第一预设值的语法信息的数量,并在该数量大于第二预设值时将所述语法规则信息对应的待检测请求标记为SQL注入攻击;
所述主节点12用于反馈所述待检测请求的身份信息给各所述从节点11,各所述从节点11根据收到的所述主节点12反馈的所述待检测请求的身份信息将该身份信息添加至所述预设攻击黑名单并对所述数据访问请求进行拦截。
另外,在将所述身份信息与预设攻击黑名单中的信息进行比对时,所述从节点11还用于判断所述预设攻击黑名单中是否存在与所述身份信息对应的攻击信息;若存在,则继续判断在预设时长内该身份信息对应的攻击次数是否小于阈值,若小于,则判定所述预设攻击黑名单中与该身份信息对应的攻击次数小于阈值。
可以理解的是,所述从节点11和所述主节点12的在所述分布式电网数据安全防护系统10的功能不限于上述描述,实际实施时,关于所述主节点12和所述从节点11的详细描述还可参照上述电网数据安全防护方法的详细描述。
综上所述,本发明实施例提供的一种电网数据安全防护方法和分布式电网数据安全防护系统10,该方法是应用于基于区块链技术实现数据存储的分布式存储系统中,通过从节点11和主节点12之间的双层安全防护,能够有效提高SQL注入攻击的识别率,确保电网数据的安全性。
在本发明实施例所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,电子终端,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本发明的可选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种电网数据安全防护方法,其特征在于,应用于包括主节点和多个从节点的分布式电网数据安全防护系统,各所述从节点之间以及各所述从节点与所述主节点之间通信连接,所述方法包括:
各所述从节点对自身接收到的数据访问请求进行解析以获取发送该数据访问请求的客户端的身份信息,并将所述身份信息与预设攻击黑名单中的信息进行比对;
当所述预设攻击黑名单中不存在所述身份信息或者与该身份信息对应的攻击次数小于阈值时,所述从节点将比对结果添加至所述数据访问请求以作为待检测请求并转发给所述主节点;
所述主节点对接收到的所述待检测请求进行SQL语句解析以得到与该待检测请求对应的语法规则信息,并将该语法规则信息与预设攻击规则信息进行比对以提取所述语法规则信息与所述预设攻击规则信息中相似度大于第一预设值的语法信息;
所述主节点统计相似度大于所述第一预设值的语法信息的数量,并在该数量大于第二预设值时将所述语法规则信息对应的待检测请求标记为SQL注入攻击;
所述主节点反馈所述待检测请求的身份信息给各所述从节点,各所述从节点根据接收到的所述主节点反馈的所述待检测请求的身份信息将该身份信息添加至所述预设攻击黑名单并对所述数据访问请求进行拦截。
2.根据权利要求1所述的电网数据安全防护方法,其特征在于,将所述身份信息与预设攻击黑名单中的信息进行比对的步骤包括:
判断所述预设攻击黑名单中是否存在与所述身份信息对应的攻击信息;
若存在,则继续判断在预设时长内该身份信息对应的攻击次数是否小于阈值,若小于,则判定所述预设攻击黑名单中与该身份信息对应的攻击次数小于阈值。
3.根据权利要求1所述的电网数据安全防护方法,其特征在于,所述方法还包括:
在所述数量小于第二预设值时,所述主节点将所述语法规则信息与已经访问自身存储数据的历史攻击语句信息进行比对,判断是否存在与该语法规则信息匹配的历史攻击语句;
若存在,则判定所述待检测请求为SQL注入攻击并反馈拦截通知以及所述待检测请求的身份信息给各所述从节点以进行数据访问拦截,各所述从节点将所述身份信息添加至所述预设攻击黑名单中。
4.根据权利要求1所述的电网数据安全防护方法,其特征在于,所述方法还包括:
在所述待检测请求为SQL注入攻击时,所述主节点根据所述待检测请求的身份信息、访问时间信息、访问路径信息、访问内容信息中的一种或多种生成攻击预警信息并进行预警。
5.根据权利要求1所述的电网数据安全防护方法,其特征在于,所述身份信息包括所述客户端的登录信息,所述将所述身份信息与预设攻击黑名单中的信息进行比对,包括:
通过将所述登录信息与预设攻击黑名单中的信息进行比对,确定所述客户端的用户的数据访问权限;
相应的,所述从节点将比对结果添加至所述数据访问请求以作为待检测请求并转发给所述主节点,包括:
在所述数据访权限为数据库管理权限时,所述从节点执行将所述比对结果添加至所述数据访问请求以作为待检测请求并转发给所述主节点的步骤。
6.根据权利要求1所述的电网数据安全防护方法,其特征在于,所述方法还包括:
当所述相似度大于所述第一预设值的语法信息的数量不大于所述第二预设值时,所述主节点判定所述待检测请求为安全信息,并反馈安全通知给发送所述待检测请求的从节点;
所述从节点在接收到所述安全通知后,根据所述数据访问请求提供由自身维护的区块链中的电网数据以用于所述客户端进行数据访问。
7.根据权利要求6所述的电网数据安全防护方法,其特征在于,所述从节点判断在预设时间内是否接收到所述主节点反馈的安全通知,若未接收到,则判定所述数据访问请求为非法访问请求,并对该数据访问请求进行拦截。
8.一种分布式电网数据安全防护系统,其特征在于,所述电网数据安全防护系统包括主节点和多个从节点,各所述从节点之间以及各所述从节点与所述主节点之间通信连接,其中:
各所述从节点用于对自身接收到的数据访问请求进行解析以获取发送该数据访问请求的客户端的身份信息,并将所述身份信息与预设攻击黑名单中的信息进行比对;
当所述预设攻击黑名单不存在所述身份信息或者攻击次数小于阈值时,所述从节点用于将比对结果添加至所述数据访问请求以作为待检测请求并转发给所述主节点;
所述主节点用于对接收到的所述待检测请求进行SQL语句解析以得到与该待检测请求对应的语法规则信息,并将该语法规则信息与预设攻击规则信息进行比对以提取所述语法规则信息与所述预设攻击规则信息中相似度大于第一预设值的语法信息;
所述主节点用于统计相似度大于所述第一预设值的语法信息的数量,并在该数量大于第二预设值时将所述语法规则信息对应的待检测请求标记为SQL注入攻击;
所述主节点用于反馈所述待检测请求的身份信息给各所述从节点,各所述从节点根据收到的所述主节点反馈的所述待检测请求的身份信息将该身份信息添加至所述预设攻击黑名单并对所述数据访问请求进行拦截。
9.根据权利要求8所述的分布式电网数据安全防护系统,其特征在于,各所述从节点包括用于进行数据采集的数据感知节点或者具有通信功能的电子设备。
10.根据权利要求8所述的分布式电网数据安全防护系统,其特征在于,在将所述身份信息与预设攻击黑名单中的信息进行比对时,所述从节点还用于判断所述预设攻击黑名单中是否存在与所述身份信息对应的攻击信息;若存在,则判断在预设时长内该身份信息对应的攻击次数是否小于阈值,若小于,则判定所述预设攻击黑名单中与该身份信息对应的攻击次数小于阈值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811250464.2A CN109409113B (zh) | 2018-10-25 | 2018-10-25 | 一种电网数据安全防护方法和分布式电网数据安全防护系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811250464.2A CN109409113B (zh) | 2018-10-25 | 2018-10-25 | 一种电网数据安全防护方法和分布式电网数据安全防护系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109409113A CN109409113A (zh) | 2019-03-01 |
| CN109409113B true CN109409113B (zh) | 2020-10-02 |
Family
ID=65469881
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811250464.2A Expired - Fee Related CN109409113B (zh) | 2018-10-25 | 2018-10-25 | 一种电网数据安全防护方法和分布式电网数据安全防护系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109409113B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110177113B (zh) * | 2019-06-06 | 2021-08-31 | 北京奇艺世纪科技有限公司 | 互联网防护系统及访问请求处理方法 |
| CN110225060A (zh) * | 2019-06-26 | 2019-09-10 | 深圳市元征科技股份有限公司 | 一种恶意攻击处理方法、装置、设备及可读存储介质 |
| CN110736890B (zh) * | 2019-10-31 | 2021-07-20 | 国网河南省电力公司信息通信公司 | 一种配电网数据安全预警系统 |
| CN113343300A (zh) * | 2021-06-21 | 2021-09-03 | 杭州市电力设计院有限公司余杭分公司 | 电网数据安全防护方法和分布式电网数据安全防护系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104767757A (zh) * | 2015-04-17 | 2015-07-08 | 国家电网公司 | 基于web业务的多维度安全监测方法和系统 |
| CN107403106A (zh) * | 2017-07-18 | 2017-11-28 | 北京计算机技术及应用研究所 | 基于终端用户的数据库细粒度访问控制方法 |
| CN108241915A (zh) * | 2016-12-25 | 2018-07-03 | 湖南易分销电子商务有限公司 | 一种基于b2b2c电商平台运营管理系统技术开发 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102722667B (zh) * | 2012-03-07 | 2015-12-02 | 甘肃省电力公司信息通信公司 | 基于虚拟数据库和虚拟补丁的数据库安全防护系统和方法 |
| US9298913B2 (en) * | 2013-11-12 | 2016-03-29 | Macau University Of Science And Technology | Method of detecting intrusion based on improved support vector machine |
| CN104394197A (zh) * | 2014-11-07 | 2015-03-04 | 南方电网科学研究院有限责任公司 | 基于云环境的sql注入检测系统及方法 |
| CN108629035B (zh) * | 2018-05-10 | 2022-05-27 | 福建星瑞格软件有限公司 | 一种基于jdbc代理的异构数据库应用迁移方法 |
-
2018
- 2018-10-25 CN CN201811250464.2A patent/CN109409113B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104767757A (zh) * | 2015-04-17 | 2015-07-08 | 国家电网公司 | 基于web业务的多维度安全监测方法和系统 |
| CN108241915A (zh) * | 2016-12-25 | 2018-07-03 | 湖南易分销电子商务有限公司 | 一种基于b2b2c电商平台运营管理系统技术开发 |
| CN107403106A (zh) * | 2017-07-18 | 2017-11-28 | 北京计算机技术及应用研究所 | 基于终端用户的数据库细粒度访问控制方法 |
Non-Patent Citations (2)
| Title |
|---|
| A two tier defense against SQL injection;Naresh Duhan 等;《2014 International Conference on Signal Propagation and Computer Technology (ICSPCT 2014)》;20140828;全文 * |
| 基于云平台的网站安全多维监测系统;郑生军 等;《计算机与现代化》;20160517;第2016卷(第1期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109409113A (zh) | 2019-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109409113B (zh) | 一种电网数据安全防护方法和分布式电网数据安全防护系统 | |
| US11558418B2 (en) | System for query injection detection using abstract syntax trees | |
| CN108763031B (zh) | 一种基于日志的威胁情报检测方法及装置 | |
| CN107888571B (zh) | 一种基于HTTP日志的多维度webshell入侵检测方法及检测系统 | |
| CN104660594B (zh) | 一种面向社交网络的虚拟恶意节点及其网络识别方法 | |
| CN110519150B (zh) | 邮件检测方法、装置、设备、系统及计算机可读存储介质 | |
| CN104539514B (zh) | 消息过滤方法和装置 | |
| EP2760162B1 (en) | Method and device for detecting rule optimization configuration | |
| CN110650117B (zh) | 跨站攻击防护方法、装置、设备及存储介质 | |
| CN107666468B (zh) | 网络安全检测方法和装置 | |
| CN112463553B (zh) | 一种基于普通告警关联分析智能告警的系统与方法 | |
| CN103379099A (zh) | 恶意攻击识别方法及系统 | |
| CN112491784A (zh) | Web网站的请求处理方法及装置、计算机可读存储介质 | |
| CN109688137A (zh) | 一种sql注入攻击的检测方法、系统及相关组件 | |
| CN110868418A (zh) | 一种威胁情报生成方法、装置 | |
| CN114915479A (zh) | 一种基于Web日志的Web攻击阶段分析方法及系统 | |
| CN114157501B (zh) | 一种基于天睿数据库的参数解析方法及装置 | |
| CN114301692B (zh) | 攻击预测方法、装置、介质及设备 | |
| CN110912753B (zh) | 一种基于机器学习的云安全事件实时检测系统及方法 | |
| CN112468444B (zh) | 互联网域名滥用识别方法和装置,电子设备,存储介质 | |
| CN113901441A (zh) | 一种用户异常请求检测方法、装置、设备及存储介质 | |
| CN109190408B (zh) | 一种数据信息的安全处理方法及系统 | |
| CN111221804A (zh) | 基于抽象语法树的防数据越权方法、装置及存储介质 | |
| CN113852625B (zh) | 一种弱口令监测方法、装置、设备及存储介质 | |
| CN114969450A (zh) | 一种用户行为分析方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20201002 |