CN110855697A - 电力行业网络安全的主动防御方法 - Google Patents

电力行业网络安全的主动防御方法 Download PDF

Info

Publication number
CN110855697A
CN110855697A CN201911138099.0A CN201911138099A CN110855697A CN 110855697 A CN110855697 A CN 110855697A CN 201911138099 A CN201911138099 A CN 201911138099A CN 110855697 A CN110855697 A CN 110855697A
Authority
CN
China
Prior art keywords
firewall
behavior
user
active defense
power industry
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911138099.0A
Other languages
English (en)
Inventor
孙毅臻
陈中伟
田峥
戴大维
李树
曾少华
贺泽华
姚施情
何宜校
黄佳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Hunan Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Hunan Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
State Grid Hunan Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Hunan Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Hunan Electric Power Co Ltd, Information and Telecommunication Branch of State Grid Hunan Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201911138099.0A priority Critical patent/CN110855697A/zh
Publication of CN110855697A publication Critical patent/CN110855697A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种电力行业网络安全的主动防御方法,包括获取访问用户的行为并分析;根据分析结果,对访问用户的行为进行定义和解释,并采用防火墙、蜜罐和WAF进行主动防御。本发明提供的这种电力行业网络安全的主动防御方法,既利用了现有的防御策略,同时又创造性的加入了一种欺骗防御方法,在统一的防御策略调控下,进行整个电力业务系统的安全立体防御,极大限度的提高了电力行业网络环境的防护能力;而且本发明方法可以建构一个可快速侦测、减少漏报并即时封锁恶意行为的系统,防护能力强、防护手段多样化且防护效果较好。

Description

电力行业网络安全的主动防御方法
技术领域
本发明属于信息安全领域,具体涉及一种电力行业网络安全的主动防御方法。
背景技术
随着经济技术的发展和人们生活水平的提高,电能已经成为了人们生产和生活中必不可少的二次能源,给人们的生产和生活带来了无尽的便利。因此,保证自身的稳定可靠运行,就成为了电力系统最重要的任务之一。
而随着现今大数据时代的到来,电力系统也融入了互联网;而互联网的融入,也让电力系统变得更为智能化。但是,互联网在给电力系统带来便捷的同时,也带来了严重的安全威胁。
目前,黑客、病毒和木马已经呈现出爆发式增长模式,安全攻击呈现出来新型特点,比如安全攻击隐蔽的时间更长、攻击渠道也更多。目前电力行业防御手段主要通过防火墙,WAF等方式进行单一的防御,现有的网络安全机制无法以单一系统来确保其网络安全,为了提高网络的安全性,往往会将这些系统联合起来,以建立网络边界防护机制,如防火墙与入侵检测系统联动结构,或入侵检测系统与蜜罐联动结构。但前者检测攻击的成功率取决入检测系统的漏报与误报率高或低的问题,后者有无法即时阻止攻击的问题。一般网络管理员经常通过网络流量分析得知目前网络流量大小以判断网络使用状况和服务器所提供的服务是否正常。但是看似正常的网络流量底下是否有黑客正在进行恶意活动,网络管理员却无从得知。
发明内容
本发明的目的在于提供一种防护能力强、防护手段多样化且防护效果较好的电力行业网络安全的主动防御方法。
本发明提供的这种电力行业网络安全的主动防御方法,包括如下步骤:
S1.获取访问用户的行为,并进行分析;
S2.根据步骤S1的分析结果,对访问用户的行为进行定义和解释;
S3.根据步骤S1的分析结果,采用防火墙、蜜罐和WAF进行主动防御。
步骤S1所述的获取访问用户的行为,并进行分析,具体为获取用户的访问行为并进行分析:若用户的访问行为为正常访问行为,则不作任何处理并放行;若用户的访问行为为攻击行为,则进行后续的主动防御步骤。
步骤S2所述的根据步骤S1的分析结果,对访问用户的行为进行定义和解释,具体为获取用户的攻击行为,并与事先建立的知识库中的数据进行比对:若比对成功,则直接触发知识库中的执行行为,并执行对应的防御策略。
步骤S3所述的采用防火墙进行主动防御,具体为采用步骤进行防火墙阻断和解除阻断:
阻断流程:
A.接收到防御命令;
B.唤醒防火墙装置;
C.初始化防火墙环境;
D.防火墙阻断处置;
E.防火墙阻断日志记录;
F.阻断结束,防火墙进入休眠模式;
解除阻断流程:
a.确认待解除的目标用户;
b.接收目标用户的解除指令;
c.唤醒防火墙并传输目标用户的信息;
d.防火墙解禁目标用户;
e.更新目标用户的处置状态;
f.防火墙进入休眠模式。
所述的蜜罐为信息收集类蜜罐、反制类蜜罐和破坏类蜜罐。
步骤S3所述的采用蜜罐进行主动防御,具体为采用如下步骤启动蜜罐并进行主动防御:
(1)添加蜜罐;
(2)接收制作蜜罐的基础数据与指令;
(3)初始化蜜罐;
(4)启动蜜罐;
(5)将攻击者引入蜜罐系统。
本发明提供的这种电力行业网络安全的主动防御方法,既利用了现有的防御策略,同时又创造性的加入了一种欺骗防御方法,在统一的防御策略调控下,进行整个电力业务系统的安全立体防御,极大限度的提高了电力行业网络环境的防护能力;而且本发明方法可以建构一个可快速侦测、减少漏报并即时封锁恶意行为的系统,防护能力强、防护手段多样化且防护效果较好。
附图说明
图1为本发明方法的方法流程示意图。
具体实施方式
本发明提供的这种电力行业网络安全的主动防御方法,包括如下步骤:
S1.获取访问用户的行为,并进行分析;具体为获取用户的访问行为并进行分析:若用户的访问行为为正常访问行为,则不作任何处理并放行;若用户的访问行为为攻击行为,则进行后续的主动防御步骤;
S2.根据步骤S1的分析结果,对访问用户的行为进行定义和解释;具体为获取用户的攻击行为,并与事先建立的知识库中的数据进行比对:若比对成功,则直接触发知识库中的执行行为,并执行对应的防御策略;
S3.根据步骤S1的分析结果,采用防火墙、蜜罐和WAF进行主动防御;具体为采用步骤进行防火墙阻断和解除阻断:
阻断流程:
A.接收到防御命令;
B.唤醒防火墙装置;
C.初始化防火墙环境;
D.防火墙阻断处置;
E.防火墙阻断日志记录;
F.阻断结束,防火墙进入休眠模式;
解除阻断流程:
a.确认待解除的目标用户;
b.接收目标用户的解除指令;
c.唤醒防火墙并传输目标用户的信息;
d.防火墙解禁目标用户;
e.更新目标用户的处置状态;
f.防火墙进入休眠模式;
同时,蜜罐为信息收集类蜜罐、反制类蜜罐和破坏类蜜罐;而且采用如下步骤启动蜜罐并进行主动防御:
(1)添加蜜罐;
(2)接收制作蜜罐的基础数据与指令;
(3)初始化蜜罐;
(4)启动蜜罐;
(5)将攻击者引入蜜罐系统。
在具体实施时,首先根据流量分析装置、日志分析装置等威胁发现装置,分析用户的攻击行为,对于正常的访问,则不进行任何处理,直接转到业务系统,对于存在攻击行为的访问,则进行主动立体防御:
立体防御装置根据防御策略联动:防御策略基于专家规则装置,包含知识库、数据库、推理引擎、解释设备和用户界面。知识库包含解决问题相关的领域知识:在基于规则的专家系统中,知识用一组规则来表达;每一条规则表达一个关系、建议、指示、策略或启发式方法,具有IF(条件)THEN(行为)结构;当规则的条件被满足时,触发规则,继而执行行为。数据库包含一组事实,用于匹配存储在知识库中的IF(条件)部分。推理引擎执行推理,从而找到解决方案。推理引擎链接知识库中的规则和数据库中的事实。用户使用解释设备查看专家装置怎样得出解决方案的过程,以及为什么需要特定事实。专家系统解释推理并证明所给的建议、分析或结论。用户界面是实现用户(用户请求IP、目标地址、威胁级别,权重,调用不同的处置方式(防火墙、蜜罐、WAF))和专家系统之间交流的途径。这几个部分构成了基于专家规则的策略装置的核心。
对于用户的攻击行为进行主动防御。防御策略会调用不同的处置方式(防火墙、蜜罐、WAF)。譬如针对威胁级别为致命的直接调用防火墙进行阻断,采用的防火墙是一种用来控制网络存取的设备,并阻断所有不予放行的流量,用于保护内部网络的运行及主机的安全可以依照特定的规则。
防火墙阻断流程如下:
内置服务接收到防御指令;
唤醒防火墙装置;
初始化防火墙环境;
防火墙阻断处置中;
防火墙阻断日志记录;
阻断结束,防火墙装置进入休眠模式。
解除阻断流程如下:
用户操作通过前端页面操作待解除用户;
内置服务接收到用户解禁操作指令;
内置服务唤醒防火墙并传入解禁用户信息;
防火墙解禁用户;
更新该用户处置状态;
防火墙装置进入休眠模式。
针对系统门户进行攻击的,将其攻击流量转发至蜜罐系统。该蜜罐系统是一种故意部署在网络中存在安全漏洞的主机或系统,被用来吸引网络中黑客的注意,并对其攻击,以达到对真正主机的保护,还可以通过收集数据,分析出攻击者的目的、手法等。另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐浪费时间,从而保护真正的门户网站。攻击者进入蜜罐系统后,滞留的时间越长,就可以更多地被蜜罐所记录,而这些信息就可以用来分析攻击者的技术水平及所使用的工具,通过学习攻击者的攻击思路与方法来加强防御及保护本地的网络与系统。采用的蜜罐关键技术主要有网络欺骗、信息捕获、信息分析及信息控制等,针对具体单位可以通过蜜罐控制装置制作不同的蜜罐系统。
蜜罐装置制作和启动流程流程如下:
用户通过装置提供的操作界面添加蜜罐;
蜜罐主机内置相关服务接收到制作蜜罐的基础数据与指令;
蜜罐主机初始化蜜罐;
用户通过装置提供操作界面查看蜜罐状态并启动该蜜罐。
蜜罐启动后,可以将攻击者引入不同的蜜罐系统,或者将攻击同一目标的,也可以将其引入相互隔离的蜜罐系统中进行进一步的诱捕。并解决了对攻击者实现有效溯源和反向控制的技术问题。
蜜罐反制方式:
1、信息收集类蜜罐
蜜罐的流量包需要保存
利用跨域漏洞获取百度、腾讯等账号信息
浏览器信息(插件、内网IP)
通过电话号码等方式收集手机号码
2、反制类蜜罐
(1)AWVS、蚁剑漏洞
(2)压缩包漏洞
(3)Word EXP
(4)Flash EXP
(5)浏览器EXP。
3、破坏类蜜罐
(1)弹窗威慑
(2)通过js死循环浏览器卡死。

Claims (6)

1.一种电力行业网络安全的主动防御方法,包括如下步骤:
S1.获取访问用户的行为,并进行分析;
S2.根据步骤S1的分析结果,对访问用户的行为进行定义和解释;
S3.根据步骤S1的分析结果,采用防火墙、蜜罐和WAF进行主动防御。
2.根据权利要求1所述的电力行业网络安全的主动防御方法,其特征在于步骤S1所述的获取访问用户的行为,并进行分析,具体为获取用户的访问行为并进行分析:若用户的访问行为为正常访问行为,则不作任何处理并放行;若用户的访问行为为攻击行为,则进行后续的主动防御步骤。
3.根据权利要求2所述的电力行业网络安全的主动防御方法,其特征在于步骤S2所述的根据步骤S1的分析结果,对访问用户的行为进行定义和解释,具体为获取用户的攻击行为,并与事先建立的知识库中的数据进行比对:若比对成功,则直接触发知识库中的执行行为,并执行对应的防御策略。
4.根据权利要求3所述的电力行业网络安全的主动防御方法,其特征在于步骤S3所述的采用防火墙进行主动防御,具体为采用步骤进行防火墙阻断和解除阻断:
阻断流程:
A.接收到防御命令;
B.唤醒防火墙装置;
C.初始化防火墙环境;
D.防火墙阻断处置;
E.防火墙阻断日志记录;
F.阻断结束,防火墙进入休眠模式;
解除阻断流程:
a.确认待解除的目标用户;
b.接收目标用户的解除指令;
c.唤醒防火墙并传输目标用户的信息;
d.防火墙解禁目标用户;
e.更新目标用户的处置状态;
f.防火墙进入休眠模式。
5.根据权利要求3所述的电力行业网络安全的主动防御方法,其特征在于所述的蜜罐为信息收集类蜜罐、反制类蜜罐和破坏类蜜罐。
6.根据权利要求5所述的电力行业网络安全的主动防御方法,其特征在于步骤S3所述的采用蜜罐进行主动防御,具体为采用如下步骤启动蜜罐并进行主动防御:
(1)添加蜜罐;
(2)接收制作蜜罐的基础数据与指令;
(3)初始化蜜罐;
(4)启动蜜罐;
(5)将攻击者引入蜜罐系统。
CN201911138099.0A 2019-11-20 2019-11-20 电力行业网络安全的主动防御方法 Pending CN110855697A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911138099.0A CN110855697A (zh) 2019-11-20 2019-11-20 电力行业网络安全的主动防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911138099.0A CN110855697A (zh) 2019-11-20 2019-11-20 电力行业网络安全的主动防御方法

Publications (1)

Publication Number Publication Date
CN110855697A true CN110855697A (zh) 2020-02-28

Family

ID=69602680

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911138099.0A Pending CN110855697A (zh) 2019-11-20 2019-11-20 电力行业网络安全的主动防御方法

Country Status (1)

Country Link
CN (1) CN110855697A (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112087466A (zh) * 2020-09-18 2020-12-15 国家电网有限公司华东分部 一种基于身份识别的电力网络安全系统及其防护方法
CN112217832A (zh) * 2020-10-21 2021-01-12 新华三信息安全技术有限公司 一种局域网主动防御方法、装置、介质及设备
CN113518067A (zh) * 2021-03-25 2021-10-19 国网浙江省电力有限公司金华供电公司 一种基于原始报文的安全分析方法
CN113596028A (zh) * 2021-07-29 2021-11-02 南京南瑞信息通信科技有限公司 一种网络异常行为的处置方法及装置
CN113676472A (zh) * 2021-08-18 2021-11-19 国网湖南省电力有限公司 电力行业可扩展式蜜罐溯源反制方法
CN114079576A (zh) * 2020-08-18 2022-02-22 奇安信科技集团股份有限公司 安全防御方法、装置、电子设备及介质
CN114205127A (zh) * 2021-11-29 2022-03-18 中国铁路北京局集团有限公司北京通信段 一种针对铁路的网络安全监测方法及系统
CN114363023A (zh) * 2021-12-23 2022-04-15 国家电网有限公司 一种Web安全防护系统实施及策略调优方法、系统
CN115051875A (zh) * 2022-08-02 2022-09-13 软极网络技术(北京)有限公司 一种基于新型蜜罐的攻击检测方法
CN114079576B (zh) * 2020-08-18 2024-06-11 奇安信科技集团股份有限公司 安全防御方法、装置、电子设备及介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102185858A (zh) * 2011-05-06 2011-09-14 山东中创软件商用中间件股份有限公司 一种应用于应用层的web入侵防御方法及系统
CN103581104A (zh) * 2012-07-18 2014-02-12 江苏中科慧创信息安全技术有限公司 一种基于行为捕捉的主动诱捕方法
US20160294875A1 (en) * 2015-03-30 2016-10-06 Varmour Networks, Inc. System and method for threat-driven security policy controls
CN106411562A (zh) * 2016-06-17 2017-02-15 全球能源互联网研究院 一种电力信息网络安全联动防御方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102185858A (zh) * 2011-05-06 2011-09-14 山东中创软件商用中间件股份有限公司 一种应用于应用层的web入侵防御方法及系统
CN103581104A (zh) * 2012-07-18 2014-02-12 江苏中科慧创信息安全技术有限公司 一种基于行为捕捉的主动诱捕方法
US20160294875A1 (en) * 2015-03-30 2016-10-06 Varmour Networks, Inc. System and method for threat-driven security policy controls
CN106411562A (zh) * 2016-06-17 2017-02-15 全球能源互联网研究院 一种电力信息网络安全联动防御方法及系统

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114079576A (zh) * 2020-08-18 2022-02-22 奇安信科技集团股份有限公司 安全防御方法、装置、电子设备及介质
CN114079576B (zh) * 2020-08-18 2024-06-11 奇安信科技集团股份有限公司 安全防御方法、装置、电子设备及介质
CN112087466A (zh) * 2020-09-18 2020-12-15 国家电网有限公司华东分部 一种基于身份识别的电力网络安全系统及其防护方法
CN112217832A (zh) * 2020-10-21 2021-01-12 新华三信息安全技术有限公司 一种局域网主动防御方法、装置、介质及设备
CN112217832B (zh) * 2020-10-21 2022-03-29 新华三信息安全技术有限公司 一种局域网主动防御方法、装置、介质及设备
CN113518067A (zh) * 2021-03-25 2021-10-19 国网浙江省电力有限公司金华供电公司 一种基于原始报文的安全分析方法
CN113596028A (zh) * 2021-07-29 2021-11-02 南京南瑞信息通信科技有限公司 一种网络异常行为的处置方法及装置
CN113676472A (zh) * 2021-08-18 2021-11-19 国网湖南省电力有限公司 电力行业可扩展式蜜罐溯源反制方法
CN114205127A (zh) * 2021-11-29 2022-03-18 中国铁路北京局集团有限公司北京通信段 一种针对铁路的网络安全监测方法及系统
CN114363023A (zh) * 2021-12-23 2022-04-15 国家电网有限公司 一种Web安全防护系统实施及策略调优方法、系统
CN115051875A (zh) * 2022-08-02 2022-09-13 软极网络技术(北京)有限公司 一种基于新型蜜罐的攻击检测方法
CN115051875B (zh) * 2022-08-02 2024-05-24 软极网络技术(北京)有限公司 一种基于新型蜜罐的攻击检测方法

Similar Documents

Publication Publication Date Title
CN110855697A (zh) 电力行业网络安全的主动防御方法
Giura et al. A context-based detection framework for advanced persistent threats
KR101057432B1 (ko) 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템, 방법, 프로그램 및 기록매체
CN110213226B (zh) 基于风险全要素辨识关联的网络攻击场景重建方法及系统
CN113422771A (zh) 威胁预警方法和系统
Jain et al. Defending against internet worms using honeyfarm
CN102208004B (zh) 一种基于最小化特权原则的软件行为控制方法
Khairkar et al. Ontology for detection of web attacks
Lim et al. Network anomaly detection system: The state of art of network behaviour analysis
US20230239318A1 (en) Cyber security restoration engine
CN112685734A (zh) 安全防护方法、装置、计算机设备和存储介质
Techateerawat et al. Energy efficiency of intrusion detection systems in wireless sensor networks
Anwar et al. Android botnets: a serious threat to android devices.
Jasiul et al. Identification of malware activities with rules
Hasan et al. Artificial intelligence empowered cyber threat detection and protection for power utilities
Rowe et al. Fake honeypots: A defensive tactic for cyberspace
Kamruzzaman et al. Social engineering incidents and preventions
Ahmad et al. Detection and Analysis of Active Attacks using Honeypot
Chen et al. Effective allied network security system based on designed scheme with conditional legitimate probability against distributed network attacks and intrusions
Thu Integrated intrusion detection and prevention system with honeypot on cloud computing environment
Al Amin et al. Dynamic cyber deception using partially observable Monte‐Carlo planning framework
Maskat et al. Mobile agents in intrusion detection system: review and analysis
Divya et al. Computer Network worms propagation and its defence mechanisms: a survey
Greco et al. Advanced widespread behavioral probes against lateral movements
Jain et al. A hybrid honeyfarm based technique for defense against worm attacks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200228

RJ01 Rejection of invention patent application after publication