CN109660550A - 一种用于嵌入式终端安全防御的系统及方法 - Google Patents

一种用于嵌入式终端安全防御的系统及方法 Download PDF

Info

Publication number
CN109660550A
CN109660550A CN201811641423.6A CN201811641423A CN109660550A CN 109660550 A CN109660550 A CN 109660550A CN 201811641423 A CN201811641423 A CN 201811641423A CN 109660550 A CN109660550 A CN 109660550A
Authority
CN
China
Prior art keywords
terminal
isolation
self
healing
security threat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811641423.6A
Other languages
English (en)
Other versions
CN109660550B (zh
Inventor
王磊
李俊娥
周亮
应欢
朱朝阳
王宇
韩丽芳
王婷
余文豪
王永
缪思薇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Wuhan University WHU
State Grid Zhejiang Electric Power Co Ltd
China Electric Power Research Institute Co Ltd CEPRI
Original Assignee
State Grid Corp of China SGCC
Wuhan University WHU
State Grid Zhejiang Electric Power Co Ltd
China Electric Power Research Institute Co Ltd CEPRI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Wuhan University WHU, State Grid Zhejiang Electric Power Co Ltd, China Electric Power Research Institute Co Ltd CEPRI filed Critical State Grid Corp of China SGCC
Priority to CN201811641423.6A priority Critical patent/CN109660550B/zh
Publication of CN109660550A publication Critical patent/CN109660550A/zh
Application granted granted Critical
Publication of CN109660550B publication Critical patent/CN109660550B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种用于嵌入式终端安全防御的系统及方法,属于智能电网安全技术领域。本发明系统包括:安全威胁检测单元,所述安全检测单元包括:分布式数据采集模块和安全威胁检测模块;安全威胁隔离单元,所述安全威胁隔离单元包括:隔离策略制定模块、终端隔离模块和网络隔离模块;自愈单元,接收网络隔离信息和终端隔离信息,所述自愈单元包括:自愈策略制定模块、攻击源追溯和消除模块、终端自愈模块和网络自愈模块。本发明能够在电网嵌入式终端遭受安全威胁时及时有效地使终端恢复正常运行状态,进而保障电力工控系统安全可靠运行。

Description

一种用于嵌入式终端安全防御的系统及方法
技术领域
本发明涉及智能电网安全技术领域,并且更具体地,涉及一种用于嵌入式终端安全防御的系统及方法。
背景技术
嵌入式终端已广泛应用于智能电网的各个环节中,构成电力工控系统的重要组成部分。嵌入式设备在使电网更加智能化的同时,也带来了更多的安全风险。研究表明大部分嵌入式设备存在大量安全隐患和安全漏洞,同时相关嵌入式系统的固件还存在厂商植入的后门。设备的安全性极大程度上决定了电力工控系统的安全性,一旦遭受攻击,将导致电力设备故障,从而威胁到智能电网的安全稳定运行。因此,在电网越来越智能化的新形势下,如何有效应对嵌入式终端可能遭受的安全威胁、提高电力工控系统的生存性、保障电网的安全稳定运行成为亟待解决的问题。
目前没有威胁检测、隔离与自愈一体化实时联动的电力工控系统主动防御体系的相关成果,也没有终端与网络协同的安全威胁隔离或自愈体系。已有成果主要针对通信网络或嵌入式终端的物理性故障研究自愈方法,没有考虑网络攻击因素,也没有与攻击检测的联动;在电力工控系统网络攻击检测方面有初步研究,但主要研究检测方法,没有与隔离和自愈一体化的实时联动体系;个别对攻击阻断的研究没有与自愈协同,也没有从终端和网络协同的角度研究。这些成果均只研究了针对一个具体故障类型的防御技术,未形成完善的体系,仅仅从终端自身或网络通信单侧出发无法有效防御某些类型的网络攻击,从而难以有效抵御电网嵌入式终端面临的各种网络攻击。
发明内容
本发明的目的在于有效防御电网嵌入式终端面临的安全威胁,避免对电网的安全稳定运行造成危害,提出了一种用于嵌入式终端安全防御的系统,包括:
安全威胁检测单元,所述安全检测单元包括:
分布式数据采集模块,基于交换机端口映射的网络信息采集获得嵌入式终端网络流量数据和通过基于代理的嵌入式终端信息采集获得嵌入式终端的运行状态特征数据,并将网络流量数据和运行状态特征数据传输至安全威胁检测模块;安全威胁检测模块,接收网络流量数据和运行状态特征数据,对网络流量数据和运行状态特征数据进行安全威胁检测,当检测到存在安全威胁时输出安全威胁信息;
安全威胁隔离单元,所述安全威胁隔离单元包括:
隔离策略制定模块,根据安全检测模块输出的安全威胁信息,确定隔离对象、确定隔离位置和确定隔离控制方式,根据隔离对象、隔离位置和隔离控制方式制定隔离策略,并将隔离策略传输至终端隔离模块和网络隔离模块;
终端隔离模块,接收隔离策略,根据隔离策略执行终端侧隔离操作;
网络隔离模块,接收隔离策略,根据隔离策略执行网络侧隔离操作;
自愈单元,接收网络隔离信息和终端隔离信息,所述自愈单元包括:
自愈策略制定模块,根据隔离策略,生成自愈策略;
攻击源追溯和消除模块,接收自愈策略,根据自愈策略执行攻击源追溯与消除操作;
终端自愈模块,接收自愈策略,根据自愈策略执行终端侧自愈操作;
网络自愈模块,接收自愈策略,根据自愈策略执行网络侧自愈操作。
可选的,安全威胁检测模块部署在检测设备中。
可选的,检测包括:
网络攻击检测,检测嵌入式终端是否遭受网络攻击,当嵌入式终端遭受网络攻击时输出攻击类型;
故障检测,检测嵌入式终端是否发生故障,当嵌入式终端发生故障时输出故障类型。
可选的,安全威胁类型包括:网络攻击和终端故障。
可选的,终端侧隔离操作包括:恶意文件删除和恶意程序关闭,实现安全威胁终端侧的隔离。
可选的,网络侧隔离操作包括:过滤规则恢复、ACL恢复端口使用恢复、基于IP或TCP/UDP协议的网络攻击隔离和对未知设备的鉴权功能,实现安全威胁网络侧的隔离。
可选的,攻击源追溯与消除操作包括:对安全威胁源进行MAC定位、设备指纹识别和IP追踪定位,使用综合MAC地址、IP地址和设备指纹的白名单对安全威胁源进行判断;
当安全威胁源为非法设备时,针对安全威胁源的消除策略为通过端口关闭对安全威胁源的阻断;
当安全威胁源为合法设备时,针对安全威胁源的消除策略为通过终端自愈攻击源的自愈。
可选的,终端侧自愈操作包括:快速切换冗余组件的硬件、系统快照还原操作系统、数据文件的备份/恢复、资源控制的通信和基于并行冗余协议与高可用性无缝冗余协议的端口自愈。
可选的,网络侧自愈操作包括:过滤规则恢复、ACL恢复和端口使用恢复。
本发明还提出了一种用于嵌入式终端安全防御的方法,包括:
基于交换机端口映射的网络信息采集嵌入式终端网络流量数据和通嵌入式终端的运行状态特征数据,并将网络流量数据和运行状态特征数据;
接收网络流量数据和运行状态特征数据,对网络流量数据和运行状态特征数据进行安全威胁检测,当检测到存在安全威胁时输出安全威胁信息;
根据输出的安全威胁信息,确定隔离对象、确定隔离位置和确定隔离控制方式,根据隔离对象、隔离位置和隔离控制方式制定隔离策略;
接收隔离策略,根据隔离策略执行终端侧隔离操作、根据隔离策略执行网络侧隔离操作、接收网络隔离信息和终端隔离信息;
根据隔离策略,生成自愈策略,接收自愈策略,根据自愈策略执行攻击源追溯与消除操作、根据自愈策略执行终端侧自愈操作和根据自愈策略执行网络侧自愈操作。
可选的,检测包括:
网络攻击检测,检测嵌入式终端是否遭受网络攻击,当嵌入式终端遭受网络攻击时输出攻击类型;
故障检测,检测嵌入式终端是否发生故障,当嵌入式终端发生故障时输出故障类型。
可选的,安全威胁类型包括:网络攻击和终端故障。
可选的,终端侧隔离操作包括:恶意文件删除和恶意程序关闭,实现安全威胁终端侧的隔离。
可选的,网络侧隔离操作包括:过滤规则恢复、ACL恢复端口使用恢复、基于IP或TCP/UDP协议的网络攻击隔离和对未知设备的鉴权功能,实现安全威胁网络侧的隔离。
可选的,攻击源追溯与消除操作包括:对安全威胁源进行MAC定位、设备指纹识别和IP追踪定位,使用综合MAC地址、IP地址和设备指纹的白名单对安全威胁源进行判断;
当安全威胁源为非法设备时,针对安全威胁源的消除策略为通过端口关闭对安全威胁源的阻断;
当安全威胁源为合法设备时,针对安全威胁源的消除策略为通过终端自愈攻击源的自愈。
可选的,终端侧自愈操作包括:快速切换冗余组件的硬件、系统快照还原操作系统、数据文件的备份/恢复、资源控制的通信和基于并行冗余协议与高可用性无缝冗余协议的端口自愈。
可选的,网络侧自愈操作包括:过滤规则恢复、ACL恢复和端口使用恢复。
本发明充分考虑了电网嵌入式终端可能遭受的网络攻击类型、同时考虑了物理性故障、融安全威胁检测、隔离和自愈于一体且实时联动,隔离策略与自愈策略建立在网络和终端协同的基础上,且自愈策略与隔离策略相协调,能够在电网嵌入式终端遭受安全威胁时及时有效地使终端恢复正常运行状态,进而保障电力工控系统安全可靠运行。
附图说明
图1为本发明用于嵌入式终端安全防御的系统结构图;
图2为本发明用于嵌入式终端安全防御的方法流程图;
图3为本发明用于嵌入式终端安全防御的系统嵌入式终端模型图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
本发明提供了一种用于嵌入式终端安全防御的系统200,如图3所示,表示了一种针对电网嵌入式终端可能遭受的网络攻击场景。首先,攻击者将恶意代码植入运维人员设备上;之后,当运维人员将该设备连入变电站站控层网络进行运维时,通过该设备作为“跳板”,利用电网嵌入式终端即测控终端存在的漏洞向一个终端中植入恶意代码;该恶意代码可以通过篡改网络上传输的GOOSE控制报文的数据字段,实现对与该终端处于同一VLAN的其它终端所控制的断路器开断操作;最后,该恶意程序通过不断篡改控制报文实现多个断路器多次同时开/断,从而达到对电网造成持续性破坏的目的。本发明系统200,如图1所示,包括:
安全威胁检测单元201,所述安全检测单元包括:
分布式数据采集模块,基于交换机端口映射的网络信息采集获取嵌入式终端网络流量数据和基于代理的嵌入式终端信息采集获得嵌入式终端的运行状态特征数据,并将网络流量数据和运行状态特征数据传输至安全威胁检测模块;
安全威胁检测模块,接收网络流量数据和运行状态特征数据,对网络流量数据和运行状态特征数据进行安全威胁检测,当检测到存在安全威胁时输出安全威胁信息,威胁检测模块部署在检测设备中。
检测包括:网络攻击检测,检测嵌入式终端是否遭受网络攻击,当嵌入式终端遭受网络攻击时输出攻击类型;
故障检测,检测嵌入式终端是否发生故障,当嵌入式终端发生故障时输出故障类型。
安全威胁类型包括:网络攻击和终端故障。
安全威胁隔离单元202,所述安全威胁隔离单元包括:
隔离策略制定模块,根据安全检测模块输出的安全威胁信息,确定隔离对象、确定隔离位置和确定隔离控制方式,根据隔离对象、隔离位置和隔离控制方式制定隔离策略,并将隔离策略传输至终端隔离模块和网络隔离模块;
终端隔离模块,接收隔离策略,根据隔离策略执行终端侧隔离操作;
网络隔离模块,接收隔离策略,根据隔离策略执行网络侧隔离操作;
终端侧隔离操作包括:恶意文件删除和恶意程序关闭,实现安全威胁终端侧的隔离。
网络侧隔离操作包括:过滤规则恢复、ACL恢复端口使用恢复、基于IP或TCP/UDP协议的网络攻击隔离和对未知设备的鉴权功能,实现安全威胁网络侧的隔离。
自愈单元203,接收网络隔离信息和终端隔离信息,所述自愈单元包括:
自愈策略制定模块,根据隔离策略,生成自愈策略;
攻击源追溯和消除模块,接收自愈策略,根据自愈策略执行攻击源追溯与消除操作;
终端自愈模块,接收自愈策略,根据自愈策略执行终端侧自愈操作;
网络自愈模块,接收自愈策略,根据自愈策略执行网络侧自愈操作。
攻击源追溯与消除操作包括:对安全威胁源进行MAC定位、设备指纹识别和IP追踪定位,使用综合MAC地址、IP地址和设备指纹的白名单对安全威胁源进行判断;
当安全威胁源为非法设备时,针对安全威胁源的消除策略为通过端口关闭对安全威胁源的阻断;
当安全威胁源为合法设备时,针对安全威胁源的消除策略为通过终端自愈攻击源的自愈。
终端侧自愈操作包括:快速切换冗余组件的硬件、系统快照还原操作系统、数据文件的备份/恢复、资源控制的通信和基于并行冗余协议与高可用性无缝冗余协议的端口自愈。
网络侧自愈操作包括:过滤规则恢复、ACL恢复和端口使用恢复。
本发明还提供了一种用于嵌入式终端安全防御的方法,如图2所示,包括:
基于交换机端口映射的网络信息采集获取嵌入式终端网络流量数据和基于代理的嵌入式终端信息采集获得嵌入式终端的运行状态特征数据,并将网络流量数据和运行状态特征数据;
接收网络流量数据和运行状态特征数据,对网络流量数据和运行状态特征数据进行安全威胁检测,当检测到存在安全威胁时输出安全威胁信息;
检测包括:
网络攻击检测,检测嵌入式终端是否遭受网络攻击,当嵌入式终端遭受网络攻击时输出攻击类型;
故障检测,检测嵌入式终端是否发生故障,当嵌入式终端发生故障时输出故障类型。
安全威胁类型包括:网络攻击和终端故障。
根据安全检测模块输出的安全威胁信息,确定隔离对象、确定隔离位置和确定隔离控制方式,根据隔离对象、隔离位置和隔离控制方式制定隔离策略,;
终端侧隔离操作包括:恶意文件删除和恶意程序关闭,实现安全威胁终端侧的隔离。
网络侧隔离操作包括:过滤规则恢复、ACL恢复端口使用恢复、基于IP或TCP/UDP协议的网络攻击隔离和对未知设备的鉴权功能,实现安全威胁网络侧的隔离。
接收隔离策略,根据隔离策略执行终端侧隔离操作、根据隔离策略执行网络侧隔离操作、接收网络隔离信息和终端隔离信息;
根据隔离策略,生成自愈策略,接收自愈策略,根据自愈策略执行攻击源追溯与消除操作、根据自愈策略执行终端侧自愈操作和根据自愈策略执行网络侧自愈操作。
对安全威胁源进行MAC定位、设备指纹识别和IP追踪定位,使用综合MAC地址、IP地址和设备指纹的白名单对安全威胁源进行判断;
当安全威胁源为非法设备时,针对安全威胁源的消除策略为通过端口关闭对安全威胁源的阻断;
当安全威胁源为合法设备时,针对安全威胁源的消除策略为通过终端自愈攻击源的自愈。
快速切换冗余组件的硬件、系统快照还原操作系统、数据文件的备份/恢复、资源控制的通信和基于并行冗余协议与高可用性无缝冗余协议的端口自愈。
网络侧自愈操作包括:过滤规则恢复、ACL恢复和端口使用恢复。
本发明充分考虑了电网嵌入式终端可能遭受的网络攻击类型、同时考虑了物理性故障、融安全威胁检测、隔离和自愈于一体且实时联动,隔离策略与自愈策略建立在网络和终端协同的基础上,且自愈策略与隔离策略相协调,能够在电网嵌入式终端遭受安全威胁时及时有效地使终端恢复正常运行状态,进而保障电力工控系统安全可靠运行。

Claims (17)

1.一种用于嵌入式终端安全防御的系统,所述系统包括:
安全威胁检测单元,所述安全检测单元包括:
分布式数据采集模块,基于交换机端口映射的网络信息采集获取嵌入式终端网络流量数据和基于代理的嵌入式终端信息采集获得嵌入式终端的运行状态特征数据,并将网络流量数据和运行状态特征数据传输至安全威胁检测模块;
安全威胁检测模块,接收网络流量数据和运行状态特征数据,对网络流量数据和运行状态特征数据进行安全威胁检测,当检测到存在安全威胁时输出安全威胁信息;
安全威胁隔离单元,所述安全威胁隔离单元包括:
隔离策略制定模块,根据安全检测模块输出的安全威胁信息,确定隔离对象、确定隔离位置和确定隔离控制方式,根据隔离对象、隔离位置和隔离控制方式制定隔离策略,并将隔离策略传输至终端隔离模块和网络隔离模块;
终端隔离模块,接收隔离策略,根据隔离策略执行终端侧隔离操作;
网络隔离模块,接收隔离策略,根据隔离策略执行网络侧隔离操作;
自愈单元,接收网络隔离信息和终端隔离信息,所述自愈单元包括:
自愈策略制定模块,根据隔离策略,生成自愈策略;
攻击源追溯和消除模块,接收自愈策略,根据自愈策略执行攻击源追溯与消除操作;
终端自愈模块,接收自愈策略,根据自愈策略执行终端侧自愈操作;
网络自愈模块,接收自愈策略,根据自愈策略执行网络侧自愈操作。
2.根据权利要求1所述的系统,所述的安全威胁检测模块部署在检测设备中。
3.根据权利要求1所述的系统,所述的检测包括:
网络攻击检测,检测嵌入式终端是否遭受网络攻击,当嵌入式终端遭受网络攻击时输出攻击类型;
故障检测,检测嵌入式终端是否发生故障,当嵌入式终端发生故障时输出故障类型。
4.根据权利要求1所述的系统,所述的安全威胁类型包括:网络攻击和终端故障。
5.根据权利要求1所述的系统,所述的终端侧隔离操作包括:恶意文件删除和恶意程序关闭,实现安全威胁终端侧的隔离。
6.根据权利要求1所述的系统,所述的网络侧隔离操作包括:过滤规则恢复、ACL恢复端口使用恢复、基于IP或TCP/UDP协议的网络攻击隔离和对未知设备的鉴权功能,实现安全威胁网络侧的隔离。
7.根据权利要求1所述的系统,所述的攻击源追溯与消除操作包括:对安全威胁源进行MAC定位、设备指纹识别和IP追踪定位,使用综合MAC地址、IP地址和设备指纹的白名单对安全威胁源进行判断;
当安全威胁源为非法设备时,针对安全威胁源的消除策略为通过端口关闭对安全威胁源的阻断;
当安全威胁源为合法设备时,针对安全威胁源的消除策略为通过终端自愈攻击源的自愈。
8.根据权利要求1所述的系统,所述的终端侧自愈操作包括:快速切换冗余组件的硬件、系统快照还原操作系统、数据文件的备份/恢复、资源控制的通信和基于并行冗余协议与高可用性无缝冗余协议的端口自愈。
9.根据权利要求1所述的系统,所述的网络侧自愈操作包括:过滤规则恢复、ACL恢复和端口使用恢复。
10.一种用于嵌入式终端安全防御的方法,所述方法包括:
基于交换机端口映射的网络信息采集获取嵌入式终端网络流量数据和通过基于代理的嵌入式终端信息采集获得嵌入式终端的运行状态特征数据,并将网络流量数据和运行状态特征数据;
接收网络流量数据和运行状态特征数据,对网络流量数据和运行状态特征数据进行安全威胁检测,当检测到存在安全威胁时输出安全威胁信息;
根据输出的安全威胁信息,确定隔离对象、确定隔离位置和确定隔离控制方式,根据隔离对象、隔离位置和隔离控制方式制定隔离策略;
接收隔离策略,根据隔离策略执行终端侧隔离操作、根据隔离策略执行网络侧隔离操作、接收网络隔离信息和终端隔离信息;
根据隔离策略,生成自愈策略,接收自愈策略,根据自愈策略执行攻击源追溯与消除操作、根据自愈策略执行终端侧自愈操作和根据自愈策略执行网络侧自愈操作。
11.根据权利要求10所述的方法,所述的检测包括:
网络攻击检测,检测嵌入式终端是否遭受网络攻击,当嵌入式终端遭受网络攻击时输出攻击类型;
故障检测,检测嵌入式终端是否发生故障,当嵌入式终端发生故障时输出故障类型。
12.根据权利要求10所述的方法,所述的安全威胁类型包括:网络攻击和终端故障。
13.根据权利要求10所述的方法,所述的终端侧隔离操作包括:恶意文件删除和恶意程序关闭,实现安全威胁终端侧的隔离。
14.根据权利要求10所述的方法,所述的网络侧隔离操作包括:过滤规则恢复、ACL恢复端口使用恢复、基于IP或TCP/UDP协议的网络攻击隔离和对未知设备的鉴权功能,实现安全威胁网络侧的隔离。
15.根据权利要求10所述的方法,所述的攻击源追溯与消除操作包括:对安全威胁源进行MAC定位、设备指纹识别和IP追踪定位,使用综合MAC地址、IP地址和设备指纹的白名单对安全威胁源进行判断;
当安全威胁源为非法设备时,针对安全威胁源的消除策略为通过端口关闭对安全威胁源的阻断;
当安全威胁源为合法设备时,针对安全威胁源的消除策略为通过终端自愈攻击源的自愈。
16.根据权利要求10所述的方法,所述的终端侧自愈操作包括:快速切换冗余组件的硬件、系统快照还原操作系统、数据文件的备份/恢复、资源控制的通信和基于并行冗余协议与高可用性无缝冗余协议的端口自愈。
17.根据权利要求10所述的方法,所述的网络侧自愈操作包括:过滤规则恢复、ACL恢复和端口使用恢复。
CN201811641423.6A 2018-12-29 2018-12-29 一种用于嵌入式终端安全防御的系统及方法 Active CN109660550B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811641423.6A CN109660550B (zh) 2018-12-29 2018-12-29 一种用于嵌入式终端安全防御的系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811641423.6A CN109660550B (zh) 2018-12-29 2018-12-29 一种用于嵌入式终端安全防御的系统及方法

Publications (2)

Publication Number Publication Date
CN109660550A true CN109660550A (zh) 2019-04-19
CN109660550B CN109660550B (zh) 2022-09-20

Family

ID=66118465

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811641423.6A Active CN109660550B (zh) 2018-12-29 2018-12-29 一种用于嵌入式终端安全防御的系统及方法

Country Status (1)

Country Link
CN (1) CN109660550B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110505215A (zh) * 2019-07-29 2019-11-26 电子科技大学 基于虚拟运行和状态转换的工控系统网络攻击应对方法
CN110830494A (zh) * 2019-11-14 2020-02-21 深信服科技股份有限公司 一种iot攻击防御方法、装置及电子设备和存储介质
CN110970921A (zh) * 2019-11-19 2020-04-07 北京中电飞华通信股份有限公司 新型电网多重防御系统的抗攻击机制
CN111935064A (zh) * 2020-05-28 2020-11-13 南京南瑞信息通信科技有限公司 一种工控网络威胁自动隔离方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104954157A (zh) * 2014-03-27 2015-09-30 中国移动通信集团湖北有限公司 一种故障自愈方法及系统
CN107295021A (zh) * 2017-08-16 2017-10-24 深信服科技股份有限公司 一种基于集中管理的主机的安全检测方法及系统
US20170353490A1 (en) * 2016-06-03 2017-12-07 Ciena Corporation Method and system of mitigating network attacks

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104954157A (zh) * 2014-03-27 2015-09-30 中国移动通信集团湖北有限公司 一种故障自愈方法及系统
US20170353490A1 (en) * 2016-06-03 2017-12-07 Ciena Corporation Method and system of mitigating network attacks
CN107295021A (zh) * 2017-08-16 2017-10-24 深信服科技股份有限公司 一种基于集中管理的主机的安全检测方法及系统

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110505215A (zh) * 2019-07-29 2019-11-26 电子科技大学 基于虚拟运行和状态转换的工控系统网络攻击应对方法
CN110505215B (zh) * 2019-07-29 2021-03-30 电子科技大学 基于虚拟运行和状态转换的工控系统网络攻击应对方法
CN110830494A (zh) * 2019-11-14 2020-02-21 深信服科技股份有限公司 一种iot攻击防御方法、装置及电子设备和存储介质
CN110830494B (zh) * 2019-11-14 2022-11-22 深信服科技股份有限公司 一种iot攻击防御方法、装置及电子设备和存储介质
CN110970921A (zh) * 2019-11-19 2020-04-07 北京中电飞华通信股份有限公司 新型电网多重防御系统的抗攻击机制
CN111935064A (zh) * 2020-05-28 2020-11-13 南京南瑞信息通信科技有限公司 一种工控网络威胁自动隔离方法及系统

Also Published As

Publication number Publication date
CN109660550B (zh) 2022-09-20

Similar Documents

Publication Publication Date Title
CN109660550A (zh) 一种用于嵌入式终端安全防御的系统及方法
Li et al. Cybersecurity in distributed power systems
Yang et al. Impact of cyber-security issues on smart grid
Quincozes et al. A survey on intrusion detection and prevention systems in digital substations
Rawat et al. Cyber security for smart grid systems: Status, challenges and perspectives
Premaratne et al. An intrusion detection system for IEC61850 automated substations
EP2721801B1 (en) Security measures for the smart grid
Yang et al. Multiattribute SCADA-specific intrusion detection system for power networks
Cleveland IEC TC57 security standards for the power system's information infrastructure-beyond simple encryption
Suleiman et al. Integrated smart grid systems security threat model
Yang et al. Man-in-the-middle attack test-bed investigating cyber-security vulnerabilities in smart grid SCADA systems
McLaughlin et al. Multi-vendor penetration testing in the advanced metering infrastructure
Wei et al. Greenbench: A benchmark for observing power grid vulnerability under data-centric threats
Hossain et al. Cyber–physical security for on‐going smart grid initiatives: a survey
CN104702584A (zh) 一种基于自学习规则的Modbus通信访问控制方法
Babay et al. Deploying intrusion-tolerant scada for the power grid
Singh et al. Security evaluation of two intrusion detection systems in smart grid scada environment
Abouzakhar Critical infrastructure cybersecurity: A review of recent threats and violations
Saxena et al. Impact evaluation of malicious control commands in cyber-physical smart grids
Nizam et al. Attack detection and prevention in the cyber physical system
Min et al. Design and analysis of security attacks against critical smart grid infrastructures
Zhang et al. Reliability analysis of power grids with cyber vulnerability in SCADA system
Erdődi et al. Attacking power grid substations: An experiment demonstrating how to attack the scada protocol iec 60870-5-104
Tyav et al. A comprehensive review on smart grid data security
Dolezilek et al. Cybersecurity based on IEC 62351 and IEC 62443 for IEC 61850 systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant