CN111669371A - 一种适用于电力网络的网络攻击还原系统及方法 - Google Patents
一种适用于电力网络的网络攻击还原系统及方法 Download PDFInfo
- Publication number
- CN111669371A CN111669371A CN202010419099.4A CN202010419099A CN111669371A CN 111669371 A CN111669371 A CN 111669371A CN 202010419099 A CN202010419099 A CN 202010419099A CN 111669371 A CN111669371 A CN 111669371A
- Authority
- CN
- China
- Prior art keywords
- file
- attack
- network
- content
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 96
- 238000001514 detection method Methods 0.000 claims abstract description 82
- 238000001914 filtration Methods 0.000 claims abstract description 9
- 230000008569 process Effects 0.000 claims description 74
- 238000012544 monitoring process Methods 0.000 claims description 25
- 238000011084 recovery Methods 0.000 claims description 12
- 230000009467 reduction Effects 0.000 claims description 5
- 238000012795 verification Methods 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012216 screening Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 238000011895 specific detection Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Business, Economics & Management (AREA)
- Economics (AREA)
- General Health & Medical Sciences (AREA)
- Public Health (AREA)
- Tourism & Hospitality (AREA)
- Water Supply & Treatment (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种适用于电力网络的网络攻击还原系统,包括:控制终端、主服务器、安全防火墙,所述安全防火墙用于利用协议过滤接口过滤所述控制指令,所述检测终端用于接收无法通过协议过滤接口的控制命令,并对接收到的控制指令进行网络攻击还原,以实现对控制指令进行检测,以确定是否为网络攻击内容,并在确定为网络攻击内容时,将所述攻击内容的信息发送至安全防火墙,以使得所述安全防火墙根据所述攻击内容信息增加新的检测规则。本发明还公开了相应的方法。实施本发明实施例,可以有效避免服务器收到网络攻击,增强了电力网络的安全性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种适用于电力网络的网络攻击还原系统及方法。
背景技术
在信息技术高速发展的今天,网络技术不断地应用到各种电力控制系统中,同时提高了国家电力系统的整体效率,特别是供电单位通过远程控制,减少操作人员,提高了工作效率,增加了效益。随着电力系统对网络应用需求的不断增加,与此同时,也对我国电力系统的安全防护方面提出了更高的要求。
电力内部管理网络在电力系统产电供电和服务方面发挥了重要作用,同时,也为电网调度控制系统的安全保驾护航,确保电力系统能安稳地运行。电力内部管理网络安全漏洞容易受到黑客的攻击,造成电力系统事故。为了减少网络攻击造成的损失,越来越多的安全分析场景需要对全网环境中遭受的攻击进行快速准确还原,以尽快确定网络攻击的类型和对应的漏洞,进而尽快弥补漏洞和制定新的拦截规则。
在实现本发明的过程中,发明人发现如下技术问题:电力内部管理网络通常作为局域专网,避免直接暴露在互联网下。目前现有的网络攻击还原技术重点在于还原直接漏洞攻击,以查找攻击路径和攻击对应的端口,特别是隐藏后的攻击主机和攻击代码。而在内网中,直接漏洞攻击的可能性较少,并不适用于电力网络,特别是内部电力管理控制网络。
发明内容
本发明所要解决的技术问题在于,提供一种适用于电力网络的网络攻击还原系统及方法,以解决现有技术中网络攻击还原技术对电力网络适用性差的技术问题。
为解决上述技术问题,本发明的一方面,提供了一种适用于电力网络的网络攻击还原系统,包括主服务器、多个控制终端,以及连接在所述控制终端与主服务器之间的安全防火墙,安全防火墙连接有检测终端,其中:
控制终端,用于向主服务器发送调整指令;
主服务器,用于根据所述调整指令,对电力网络进行运行控制,所述控制终端与所述主服务器在同一局域网内通过网络连接;
安全防火墙,用于利用协议过滤接口过滤所述控制指令,并将过滤后合格的控制指令发送至主服务器;
检测终端,用于接收无法通过协议过滤接口的控制命令,并对接收到的控制指令进行网络攻击还原,以实现对控制指令进行检测,以确定是否为网络攻击内容,并在确定为网络攻击内容时,将所述攻击内容的信息发送至安全防火墙,以使得所述安全防火墙根据所述攻击内容信息增加新的检测规则。
其中,所述检测终端,包括:
检测虚拟机,所述检测虚拟机用于对可能包括网络攻击内容进行检测。
其中,所述检测虚拟机包括:
进程监测模块,用于监测新创建进程,所述进程监测模块预先向系统提供其所对应的进程在进程树的位置以实现对进程监测模块对应的进程的验证,在通过验证后,向系统提供所述所对应的进程的指针;
进程判断模块,用于根据所述新创建进程判断是否包括网络攻击内容。
其中,所述进程判断模块进一步用于:
计算进程释放文件的MD5码,根据所述MD5码确定是否为网络攻击内容。
其中,所述检测虚拟机包括:
文件监控模块,用于利用日志监控新生成文件;
判断模块,用于在所述新生成文件为可执行文件或批处理文件时,判断为网络攻击内容。
其中,所述判断模块进一步用于:
将所述可执行文件或批处理文件替换为正常文件,重新执行新生成文件的进程,根据重新生成的文件是否为替换的正常文件判断是否为网络攻击内容。
作为本发明的另一方面,还提供了一种适用于用于电力网络的网络攻击还原方法,包括:
利用安全防火墙检测控制终端单次向主服务器发送的信息包的数量;
在所述信息包的数量与所述预设的信息包规则不一致时,将所述信息包转发至检测终端;
所述检测终端对所述信息包的内容进行还原检测,在所述内容包括网络攻击内容时,将所述网络攻击内容作为攻击标志发送至安全防火墙;
安全防火墙根据所述攻击标志确定数据包的数量,根据所述数量增加新的检测规则。
其中,所述检测终端对所述信息包的内容进行还原检测,包括:
在检测终端生成检测虚拟机,在检测虚拟机中启动进程监控;
检测新创建进程;
根据所述新创建进程判断是否存在网络攻击内容。
其中,所述检测终端对所述信息包的内容进行还原检测,包括:
在检测终端生成检测虚拟机,利用所述检测虚拟机日志监控新生成文件;
在所述新生成文件为可执行文件或者批处理文件时,判断所述文件为网络攻击内容。
其中,所述方法还包括:
所述检测虚拟机将所述可执行文件或批处理文件替换为正常文件,重新执行新生成文件的进程,根据重新生成的文件是否为替换的正常文件判断是否为网络攻击内容。
实施本发明实施例,还具有如下有的有益效果:
本发明实施例提供的适用于电力网络的网络攻击还原系统及方法,通过设置安全防火墙,可以利用已有规则对常见的攻击类型进行拦截,并且可以在控制终端与主服务器流量异常时,将信息包进行暂时拦截,通过检测终端进行网络攻击还原检测,在确定为网络攻击时,将内容作为攻击标识发送至安全防火墙,以使得所述安全防火墙根据所述标识增加新的检测规则。在确定为正常信息时,通过安全防火墙重新进行发送,使得服务器可以根据控制终端的指令进行正常工作。可以有效避免服务器收到网络攻击,增强了电力网络的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,根据这些附图获得其他的附图仍属于本发明的范畴。
图1是本发明提供的一种适用于电力网络的网络攻击还原系统的结构示意图;
图2为图1中检测终端中的检测虚拟机的一个实施例的结构示意图;
图3为图1中检测终端中的检测虚拟机的另一个实施例的结构示意图;
图4是本发明提供一种适用于电力网络的网络攻击还原方法的主流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
图1是本发明实施例一提供的适用于电力网络的网络攻击还原系统的结构示意图。一并结合图2和图3所示,在本实施例中,所述适用于电力网络的网络攻击还原系统,包括多个控制终端1、主服务器2,连接在所述控制终端1与主服务器2之间的安全防火墙3,且安全防火墙3连接有检测终端4。其中:
控制终端1,用于向主服务器发送调整指令,用于查看电力网络当前运行状态参数以及对运行状态进行调整,以及对设备运行环境设备参数进行调整。例如:电压和频率查看指令,负载开关指令以及对变压站的空调风机功率调整指令等。
主服务器2,用于根据所述调整指令,对电力网络进行运行控制,所述控制终端与所述主服务器在同一局域网内通过网络连接;
安全防火墙3,用于对所述控制指令进行检测,以初步判断所述控制指令中是否包括网络攻击内容;
检测终端4,用于对可能包括网络攻击内容进行检测,以确定是否为网络攻击内容,并进行网络攻击还原,以确定所述网络攻击对应的漏洞,并将所述攻击内容的信息发送至安全防火墙,以使得所述安全防火墙根据所述攻击内容信息增加新的检测规则。
在本实施例中,所述控制终端1与所述主服务器2通常设置在一个虚拟局域网中,所述控制终端可以为多个。所述控制终端可以分布在不同的地理位置,且与所述主服务器不在同一地理位置。以满足电力控制系统的需要。
由于控制终端1也同时分布在其它网络中,虽然也设有防火墙控制其与互联网的直接连接,但仍可能存在一定的网络风险。因此,在本实施例中,所述适用于电力网络的网络攻击还原系统还包括:安全防火墙3。
所述安全防火墙3在实现其本身拥有的及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性等基础功能方面,根据电力控制网络方面进行了灵活的调整,以在保证安全的基础上,提升数据交互的速度。
示例性的,所述安全防火墙3分别与所述控制终端1和主服务器2网络连接,用于对所述控制指令进行检测,以初步判断所述控制指令中是否包括网络攻击内容。示例性的,具体的检测方式可以采用同一IP地址对应的控制终端单次向主服务器发送数据包的数量来进行检测。在电力管理网络中,通常只允许所述控制终端1向主服务器2上报特殊的数据,例如:远程电站的各种数据,或者控制指令等,其所发送的内容较为有限。且其发送的数据不会通过转发方式,其数据包中的数据头和结束位为固定格式,因此其单次传输的数据包数量固定,因此,可以根据正常工作过程中,每个局域网IP地址对应的控制终端向主服务器发送的数据包数量来确定筛选规则。可选的,可以将所有可能的数据包数量的集合作为筛选规则对发送的控制指令进行检测,在不满足筛选规则时,初步判断所述控制指令中包括网络攻击内容。
虽然上述规则可以有效减少主服务器遭受网络攻击的可能性,但其可能会存在着一定的误判,因此,在本实施例中,所述适用于电力网络的网络攻击还原系统还包括:检测终端4,所述检测终端4用于对可能包括网络攻击内容进行检测,以确定是否为网络攻击内容,并进行网络攻击还原,以确定所述网络攻击对应的漏洞,并将所述攻击内容的信息发送至安全防火墙,以使得所述安全防火墙根据所述攻击内容信息增加新的检测规则以适应该种攻击内容。
在本实施例中,所述检测终端4用于进行网络攻击还原,以实现对可能包括网络攻击内容进行检测,以确定是否为网络攻击内容,并将所述攻击内容的信息发送至安全防火墙,以使得所述安全防火墙根据所述攻击内容信息增加新的检测规则。示例性的,所述检测终端4可以通过虚拟机机制来实现网络攻击还原。
利用虚拟机机制可以有效避免恶意网络攻击信息对检测终端造成的损害。
由于电力控制网络中主服务器不直接暴露在互联网,其遭受匿名主机直接通过攻击命令进行远程攻击的可能性较低。其可能遭受的攻击只可能是被感染的控制终端发出的。根据分析,主要的攻击方式主要为两种,一种为文档攻击,另一种为蠕虫攻击。因此,在本实施例中,所述检测终端4主要针对这两种攻击方式进行网络攻击还原,以实现对网络攻击内容的检测,进而确定是否为网络攻击内容。
示例性的,在本发明的实施例中,所述检测终端4包括有检测虚拟机40,所述检测虚拟机40用于对可能包括网络攻击内容进行检测。
更加具体地,所述检测虚拟机40包括:
进程监测模块400,用于监测新创建进程,所述进程监测模块预先向系统提供其所对应的进程在进程树的位置,和所述所对应的进程的指针;
进程判断模块401,用于根据所述新创建进程判断是否包括网络攻击内容。所述进程模块通常在虚拟机启动时一并启动,为了防止进程监测模块被模仿或者篡改,在虚拟机系统启动时,系统可以通过系统内部预先存储用于监测进程的进程在进程树中的位置来验证进程判断模块对应的进程是否为真实可靠的进程,而非被篡改的进程。示例性的,预先存储的所述进程在进程树中的位置信息可以存储在虚拟机之外额外设定的安全区中。并且在完成验证后,向系统提供所述对应的进程的指针,以使得进程监测模块能够根据需要随意访问内存地址,进而对其它所有进程进行监测。
蠕虫攻击通常是一个壳程序,其内部通常为一动态链接库文件为最终运行的恶意代码。其在运行过程中,会增加额外的进程来执行恶意代码。并且,其主动加入到主动启动程序中,进而主动创建进程,执行恶意代码。
对该种蠕虫攻击进行还原检测时,通常需要将其植入虚拟机中,然后利用日志检测是否存在新创建进程。在存在新创建进程时,其会释放临时文件,并执行运行动态链接库操作。可以将所述释放的临时文件的MD5码与现有的蠕虫病毒MD5码进行比较,以确定是否为蠕虫网络攻击内容。
对于文档攻击,则可采用另外一种方式对其进行攻击还原。示例性的,在其他的实施例中,所述检测虚拟机40包括:
文件监控模块402,用于利用日志监控新生成文件;
判断模块403,用于在所述新生成文件为可执行文件或批处理文件时,判断所述文件是否为网络攻击内容。文档攻击的本质是利用RCE漏洞在word、sql文件中植入恶意程序,在word、sql文件被打开时自动释放恶意程序,通常以可执行文件或者批处理文件方式存在。但由于多种文件在打开时同样会生成文件。为避免误检测,在本实施例中,可以将所述可执行文件或者批处理文件替换为正常文件,例如文本文件等。具体的,可以通过进程替换规则将所述可执行文件或者批处理文件替换为正常文件。可以通过在API层,通过读取目标代码完成替换。在重新执行打开word或sql文件对应的进程,确定重新生成的文件是否为替换的正常文件,且正常文件被运行,如果发现正常文件被运行,则可确定为网络攻击内容。而正常的文件打开时生成的文件并不具有特殊路径的指示性,因此,能够有效区分文档攻击和正常的文档文件。
本实施例通过设置安全防火墙,可以利用已有规则对常见的攻击类型进行拦截,并且可以在控制终端与主服务器流量异常时,将信息包进行暂时拦截,通过检测终端进行网络攻击还原检测,在确定为网络攻击时,将内容作为攻击标识发送至安全防火墙,以使得所述安全防火墙根据所述标识增加新的检测规则。在确定为正常信息时,通过安全防火墙重新进行发送,使得服务器可以根据控制终端的指令进行正常工作。可以有效避免服务器收到网络攻击,增强了电力网络的安全性
图2为本发明提供一种适用于电力网络的网络攻击还原方法的流程示意图。本实施例通过图1提供的适用于电力网络的网络攻击还原系统实现。
在本实施例中,所述适用于电力网络的网络攻击还原方法,具体包括如下步骤:
步骤S110,利用安全防火墙检测控制终端单次向主服务器发送的信息包的数量。
步骤S120,在所述信息包的数量与所述预设的信息包规则不一致时,将所述信息包转发至检测终端。
电力管理网络中,通常只允许所述控制终端向主服务器上报特殊的数据。因此其单次传输的数据包数量固定,因此,可以根据正常工作过程中每个局域网每个IP地址对应的控制终端向主服务器发送的数据包数量作为预设的信息报规则,在不一致时,初步判断所述控制指令中包括网络攻击内容。并转至检测终端进行处理。
步骤S130,所述检测终端对所述信息包的内容进行还原检测,在所述内容包括网络攻击内容时,将所述网络攻击内容作为攻击标志发送至安全防火墙。
由于电力控制网络中主服务器不直接暴露在互联网,其遭受匿名主机直接通过攻击命令进行远程攻击的可能性较低。其可能遭受的攻击只可能是被感染的控制终端发出的。根据分析,主要的攻击方式主要为两种,一种为文档攻击,另一种为蠕虫攻击。本实施例中,所述检测终端主要针对这两种攻击方式进行网络攻击还原,以实现对网络攻击内容的检测,进而确定是否为网络攻击内容。具体的,所述检测终端对所述信息包的内容进行还原检测,包括:在检测终端生成检测虚拟机,在检测虚拟机中启动进程监控;检测新创建进程;根据所述新创建进程判断是否存在网络攻击内容。用于进行蠕虫检测。并还可以包括:在检测终端生成检测虚拟机,利用所述检测虚拟机日志监控新生成文件;
在所述新生成文件为可执行文件或者批处理文件时,判断所述文件为网络攻击内容。并在所述检测虚拟机将所述可执行文件或批处理文件替换为正常文件,重新执行新生成文件的进程,根据重新生成的文件是否为替换的正常文件判断是否为网络攻击内容。用于实现对文档攻击的检测。在检测确定为网络攻击时,将所述网络攻击内容作为攻击标志发送至安全防火墙,以使得安全防火墙根据所述攻击标志不运行或者启动相应的进程执行网络攻击内容,而只利用其统计数据包的数量等属性信息。
步骤S140,安全防火墙根据所述攻击标志确定数据包的数量,根据所述数量增加新的检测规则。
根据上述属性信息中的数据包的数量等属性信息增加到新的检测规则,在通过对控制终端与主服务器之间流量统计时,利用新的检测规则可以实现对该种网络恶意攻击信息进行屏蔽的效果。
更多细节,可以参考前述对图1至图3的介绍,在此不进行赘述。
实施本发明实施例,具有如下有益效果:
本发明实施例通过设置安全防火墙,可以利用已有规则对常见的攻击类型进行拦截,并且可以在控制终端与主服务器流量异常时,将信息包进行暂时拦截,通过检测终端进行网络攻击还原检测,在确定为网络攻击时,将内容作为攻击标识发送至安全防火墙,以使得所述安全防火墙根据所述标识增加新的检测规则。在确定为正常信息时,通过安全防火墙重新进行发送,使得服务器可以根据控制终端的指令进行正常工作。可以有效避免服务器收到网络攻击,增强了电力网络的安全性。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种适用于电力网络的网络攻击还原系统,其特征在于,包括主服务器、多个控制终端,以及连接在所述控制终端与主服务器之间的安全防火墙,安全防火墙连接有检测终端,其中:
控制终端,用于向主服务器发送调整指令;
主服务器,用于根据所述调整指令,对电力网络进行运行控制,所述控制终端与所述主服务器在同一局域网内通过网络连接;
安全防火墙,用于利用协议过滤接口过滤所述控制指令,并将过滤后合格的控制指令发送至主服务器;
检测终端,用于接收无法通过协议过滤接口的控制命令,并对接收到的控制指令进行网络攻击还原,以实现对控制指令进行检测,以确定是否为网络攻击内容,并在确定为网络攻击内容时,将所述攻击内容的信息发送至安全防火墙,以使得所述安全防火墙根据所述攻击内容信息增加新的检测规则。
2.根据权利要求1所述的适用于电力网络的网络攻击还原系统,其特征在于,所述检测终端,包括:
检测虚拟机,所述检测虚拟机用于对可能包括网络攻击内容进行检测。
3.根据权利要求1或2所述的适用于电力网络的网络攻击还原系统,其特征在于,所述检测虚拟机包括:
进程监测模块,用于监测新创建进程,所述进程监测模块预先向系统提供其所对应的进程在进程树的位置以实现对进程监测模块对应的进程的验证,在通过验证后,向系统提供所述所对应的进程的指针;
进程判断模块,用于根据所述新创建进程判断是否包括网络攻击内容。
4.根据权利要求3所述的适用于电力网络的网络攻击还原系统,其特征在于,所述进程判断模块进一步用于:
计算进程释放文件的MD5码,根据所述MD5码确定是否为网络攻击内容。
5.根据权利要求1或2所述的适用于电力网络的网络攻击还原系统,其特征在于,所述检测虚拟机包括:
文件监控模块,用于利用日志监控新生成文件;
判断模块,用于在所述新生成文件为可执行文件或批处理文件时,判断为网络攻击内容。
6.根据权利要求5所述的适用于电力网络的网络攻击还原系统,其特征在于,所述判断模块进一步用于:
将所述可执行文件或批处理文件替换为正常文件,重新执行新生成文件的进程,根据重新生成的文件是否为替换的正常文件判断是否为网络攻击内容。
7.一种适用于电力网络的网络攻击还原方法,其利用权利要求1至6任一项所述的网络攻击还原系统来实现,其特征在于,所述方法包括如下步骤:
利用安全防火墙检测控制终端单次向主服务器发送的信息包的数量;
在所述信息包的数量与所述预设的信息包规则不一致时,将所述信息包转发至检测终端;
所述检测终端对所述信息包的内容进行还原检测,在所述内容包括网络攻击内容时,将所述网络攻击内容作为攻击标志发送至安全防火墙;
安全防火墙根据所述攻击标志确定数据包的数量,根据所述数量增加新的检测规则。
8.根据权利要求7所述的方法,其特征在于,所述检测终端对所述信息包的内容进行还原检测,包括:
在检测终端生成检测虚拟机,在检测虚拟机中启动进程监控;
检测新创建进程;
根据所述新创建进程判断是否存在网络攻击内容。
9.根据权利要求7所述的方法,其特征在于,所述检测终端对所述信息包的内容进行还原检测,包括:
在检测终端生成检测虚拟机,利用所述检测虚拟机日志监控新生成文件;
在所述新生成文件为可执行文件或者批处理文件时,判断所述文件为网络攻击内容。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
所述检测虚拟机将所述可执行文件或批处理文件替换为正常文件,重新执行新生成文件的进程,根据重新生成的文件是否为替换的正常文件判断是否为网络攻击内容。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010419099.4A CN111669371B (zh) | 2020-05-18 | 2020-05-18 | 一种适用于电力网络的网络攻击还原系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010419099.4A CN111669371B (zh) | 2020-05-18 | 2020-05-18 | 一种适用于电力网络的网络攻击还原系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111669371A true CN111669371A (zh) | 2020-09-15 |
| CN111669371B CN111669371B (zh) | 2022-09-30 |
Family
ID=72383750
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010419099.4A Active CN111669371B (zh) | 2020-05-18 | 2020-05-18 | 一种适用于电力网络的网络攻击还原系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111669371B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113347184A (zh) * | 2021-06-01 | 2021-09-03 | 国家计算机网络与信息安全管理中心 | 网络流量安全检测引擎的测试方法、装置、设备及介质 |
| CN113645181A (zh) * | 2021-06-21 | 2021-11-12 | 上海电力大学 | 一种基于孤立森林的分布式规约攻击检测方法及系统 |
| CN114826741A (zh) * | 2022-04-27 | 2022-07-29 | 新华三信息安全技术有限公司 | 一种攻击监测系统及攻击监测方法 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6513122B1 (en) * | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
| CN101184094A (zh) * | 2007-12-06 | 2008-05-21 | 北京启明星辰信息技术有限公司 | 一种适于局域网环境的网络节点扫描检测方法和系统 |
| CN102891829A (zh) * | 2011-07-18 | 2013-01-23 | 航天信息股份有限公司 | 检测与防御分布式拒绝服务攻击的方法及系统 |
| CN103856470A (zh) * | 2012-12-06 | 2014-06-11 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击检测方法及检测装置 |
| CN106506435A (zh) * | 2015-09-08 | 2017-03-15 | 中国电信股份有限公司 | 用于检测网络攻击的方法和防火墙系统 |
| CN106506527A (zh) * | 2016-12-05 | 2017-03-15 | 国云科技股份有限公司 | 一种防御udp无连接洪水攻击的方法 |
| CN109981587A (zh) * | 2019-02-27 | 2019-07-05 | 南京众智维信息科技有限公司 | 一种基于apt攻击的网络安全监控溯源系统 |
| CN110392034A (zh) * | 2018-09-28 | 2019-10-29 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN110572412A (zh) * | 2019-09-24 | 2019-12-13 | 南京大学 | 云环境下基于入侵检测系统反馈的防火墙及其实现方法 |
| CN111027052A (zh) * | 2019-01-31 | 2020-04-17 | 深圳市安之天信息技术有限公司 | 基于应用程序版本虚拟机文档判别方法、装置及存储设备 |
| CN111163103A (zh) * | 2019-12-31 | 2020-05-15 | 奇安信科技集团股份有限公司 | 由计算设备执行的风险控制方法、装置、计算设备、介质 |
-
2020
- 2020-05-18 CN CN202010419099.4A patent/CN111669371B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6513122B1 (en) * | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
| CN101184094A (zh) * | 2007-12-06 | 2008-05-21 | 北京启明星辰信息技术有限公司 | 一种适于局域网环境的网络节点扫描检测方法和系统 |
| CN102891829A (zh) * | 2011-07-18 | 2013-01-23 | 航天信息股份有限公司 | 检测与防御分布式拒绝服务攻击的方法及系统 |
| CN103856470A (zh) * | 2012-12-06 | 2014-06-11 | 腾讯科技(深圳)有限公司 | 分布式拒绝服务攻击检测方法及检测装置 |
| CN106506435A (zh) * | 2015-09-08 | 2017-03-15 | 中国电信股份有限公司 | 用于检测网络攻击的方法和防火墙系统 |
| CN106506527A (zh) * | 2016-12-05 | 2017-03-15 | 国云科技股份有限公司 | 一种防御udp无连接洪水攻击的方法 |
| CN110392034A (zh) * | 2018-09-28 | 2019-10-29 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN111027052A (zh) * | 2019-01-31 | 2020-04-17 | 深圳市安之天信息技术有限公司 | 基于应用程序版本虚拟机文档判别方法、装置及存储设备 |
| CN109981587A (zh) * | 2019-02-27 | 2019-07-05 | 南京众智维信息科技有限公司 | 一种基于apt攻击的网络安全监控溯源系统 |
| CN110572412A (zh) * | 2019-09-24 | 2019-12-13 | 南京大学 | 云环境下基于入侵检测系统反馈的防火墙及其实现方法 |
| CN111163103A (zh) * | 2019-12-31 | 2020-05-15 | 奇安信科技集团股份有限公司 | 由计算设备执行的风险控制方法、装置、计算设备、介质 |
Non-Patent Citations (1)
| Title |
|---|
| 金舒等: "基于动态防火墙SecuRouter的网络安全框架", 《微计算机信息》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113347184A (zh) * | 2021-06-01 | 2021-09-03 | 国家计算机网络与信息安全管理中心 | 网络流量安全检测引擎的测试方法、装置、设备及介质 |
| CN113645181A (zh) * | 2021-06-21 | 2021-11-12 | 上海电力大学 | 一种基于孤立森林的分布式规约攻击检测方法及系统 |
| CN114826741A (zh) * | 2022-04-27 | 2022-07-29 | 新华三信息安全技术有限公司 | 一种攻击监测系统及攻击监测方法 |
| CN114826741B (zh) * | 2022-04-27 | 2024-02-09 | 新华三信息安全技术有限公司 | 一种攻击监测系统及攻击监测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111669371B (zh) | 2022-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111669371B (zh) | 一种适用于电力网络的网络攻击还原系统及方法 | |
| RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
| JP2004304752A (ja) | 攻撃防御システムおよび攻撃防御方法 | |
| CN111510436B (zh) | 网络安全系统 | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| CN111885210A (zh) | 一种基于最终用户环境的云计算网络监控系统 | |
| GB2532630A (en) | Network intrusion alarm method and system for nuclear power station | |
| CN113872965B (zh) | 一种基于Snort引擎的SQL注入检测方法 | |
| CN113746781A (zh) | 一种网络安全检测方法、装置、设备及可读存储介质 | |
| CN110798353B (zh) | 基于行为特征大数据分析的网络行为风险感知及防御方法 | |
| CN101127645A (zh) | 一种远程网络服务的完整性检验方法 | |
| CN113438249A (zh) | 一种基于策略的攻击溯源方法 | |
| Kang et al. | Whitelists based multiple filtering techniques in SCADA sensor networks | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| CN113132412A (zh) | 一种计算机网络安全测试检验方法 | |
| Zheng et al. | Security protection and testing system for cyber-physical based smart power grid | |
| CN117014232A (zh) | 一种拒绝服务攻击的防御方法、装置、设备和介质 | |
| CN109785537B (zh) | 一种atm机的安全防护方法及装置 | |
| CN109756483B (zh) | 一种针对melsec协议的安全防护方法 | |
| CN110674499A (zh) | 一种识别计算机威胁的方法、装置及存储介质 | |
| CN113206852B (zh) | 一种安全防护方法、装置、设备及存储介质 | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| CN109255243B (zh) | 一种终端内潜在威胁的修复方法、系统、装置及存储介质 | |
| CN111988333B (zh) | 一种代理软件工作异常检测方法、装置及介质 | |
| CN217282957U (zh) | 一种网络安全入侵检测防御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |