CN112115457B - 一种电力终端接入方法及系统 - Google Patents
一种电力终端接入方法及系统 Download PDFInfo
- Publication number
- CN112115457B CN112115457B CN202010854566.6A CN202010854566A CN112115457B CN 112115457 B CN112115457 B CN 112115457B CN 202010854566 A CN202010854566 A CN 202010854566A CN 112115457 B CN112115457 B CN 112115457B
- Authority
- CN
- China
- Prior art keywords
- power terminal
- equipment
- vulnerability
- library
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y10/00—Economic sectors
- G16Y10/35—Utilities, e.g. electricity, gas or water
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y40/00—IoT characterised by the purpose of the information processing
- G16Y40/50—Safety; Security of things, users, data or systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- Economics (AREA)
- Business, Economics & Management (AREA)
- Development Economics (AREA)
- Accounting & Taxation (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种电力终端接入方法及系统,包括步骤:对地区电力终端设备的IP进行扫描;抓取各个电力终端设备的指纹信息;将各个电力终端设备的指纹信息与设备漏洞建立联系,并形成设备漏洞多因素指纹库;当有电力终端设备要求接入电力工业网络时,判断当前威胁来源是来自局域网的外部还是内部,并根据结果进行不同的处理。本发明解决了电力终端设备缺乏良好的身份认证问题。
Description
技术领域
本发明涉及电力终端安全技术领域,特别是一种电力终端接入方法及系统。
背景技术
随着“电力物联网”的不断推动发展,越来越多的物联网设备连接到电力工业网络当中,从该网络当中获取其自身工作需要的信息,同时也在其中留下了自己探索的“痕迹”。物联网环境下终端接入网若不能提供有效身份保护机制,一旦发生恶意入侵、受到破坏性攻击、信息泄露等安全事故,造成的损失是不可估量的。因此,由于电力系统物联网环境的特殊性,为其设立足够健壮且高效的身份保护机制,是为实现广泛互联、开放共享的电网系统的一个亟待解决的问题。
发明内容
有鉴于此,本发明的目的是提出一种电力终端接入方法及系统,解决了电力终端设备缺乏良好的身份认证问题。
本发明采用以下方案实现:一种电力终端接入方法,具体包括以下步骤:
对地区电力终端设备的IP进行扫描;
抓取各个电力终端设备的指纹信息;
将各个电力终端设备的指纹信息与设备漏洞建立联系,并形成设备漏洞多因素指纹库;
当有电力终端设备要求接入电力工业网络时,判断当前威胁来源是来自局域网的外部还是内部;
若当前威胁来源是来自局域网的外部,则抓取欲入网电力终端设备的指纹信息,并在设备漏洞多因素指纹库中进行漏洞匹配,如果不存在漏洞风险,则允许接入网络,否则禁止该电力终端设备访问;
若当前威胁来源为自局域网的内部,则直接从设备漏洞多因素指纹库中检索对应型号的设备是否存在高危身份安全漏洞,若存在,将受威胁设备提取出来单独处理,并建立访问控制因素库,由漏洞的危险性,决定设备的访问控制等级。
进一步地,所述对地区电力终端设备的IP进行扫描具体为:
根据该地区的IP存活情况、网络延时率、网络丢包率和服务器不同配置的负载能力在内的因素综合决定分发到每个地区的IP任务数量,以减轻后续云子节点服务器由于扫描任务分配不均带来的额外负载压力。
具体的,为解决由于IP任务分配不合理造成的扫描精度低和系统复杂度增加的问题,根据目标网络的地理环境、网络环境等因素综合考虑,基于多因素的IP任务分片思想,根据该地区的IP存活情况、网络延时率、网络丢包率和服务器不同配置的负载能力等因素综合决定分发到每个地区的IP任务数量,如果IP并不存活,网络延迟率高,网络丢包率高、服务器负载能力低,则分配的IP任务数较少;如果IP存活,网络延迟率低,网络丢包率低、服务器负载能力高,则分配的IP任务数较多,在保证经济花销最小和时间最短的前提下,尽可能减轻后续云子节点服务器由于扫描任务分配不均带来的额外负载压力。
进一步地,所述指纹信息包括电力终端设备的相关运行数据与运行状态特征值。
进一步地,所述设备漏洞多因素指纹库是从NVD漏洞库中抽取所有的CPE条目,根据NVD漏洞库中的CPE标识符为基准进行CVE匹配而形成的,能够有效提高识别CPE的准确性。其中,所述CPE为Common Platform Enumeration,是一种结构化的命名方案,用于描述和识别企业计算资产中存在的软件、应用程序、操作系统和硬件设备的类别。所述CVE为Common Vulnerabilities and Exposures,公共漏洞与披露实施例。
进一步地,所述建立访问控制因素库,由漏洞的危险性,决定设备的访问控制等级具体为:根据电力终端设备的设备安全评估等级来进行分级,并以设备型号绑定访问控制权限,以此建立访问控制因素库;其中存在漏洞危险的等级越强,分配的权限越低,反之分配的权限越高;当有电力终端设备欲入网时,根据访问控制因素库确定对应的权限。
本发明还提供了一种电力终端接入系统,包括存储器、处理器以及存储于存储器上并能够在处理器上运行的计算机程序,当处理器运行该计算机程序时,实现如上文所述的方法步骤。
与现有技术相比,本发明有以下有益效果:本发明所提供的方法与系统为电力设备以及传输网段构建相应的安全防护措施,包括漏洞检测、身份授权管理等,增强电力设备的安全性和可靠性。同时,本发明的方法与系统能够让物联网电力设备更及时的修补漏洞,更快的应对风险,从而保护整个泛在电力物联网的安全。
附图说明
图1为本发明实施例原理流程示意图。
具体实施方式
下面结合附图及实施例对本发明做进一步说明。
应该指出,以下详细说明都是示例性的,旨在对本申请提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本申请的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
如图1所示,本实施例提供了一种电力终端接入方法,具体包括以下步骤:
步骤S1:对地区电力终端设备的IP进行扫描;
步骤S2:抓取各个电力终端设备的指纹信息;
步骤S3:将各个电力终端设备的指纹信息与设备漏洞建立联系,并形成设备漏洞多因素指纹库;
步骤S4:当有电力终端设备要求接入电力工业网络时,判断当前威胁来源是来自局域网的外部还是内部;并分别进入步骤S5或者步骤S56;
步骤S5:若当前威胁来源是来自局域网的外部,则抓取欲入网电力终端设备的指纹信息,并在设备漏洞多因素指纹库中进行漏洞匹配,如果不存在漏洞风险,则允许接入网络,否则禁止该电力终端设备访问;
步骤S6:若当前威胁来源为自局域网的内部,则直接从设备漏洞多因素指纹库中检索对应型号的设备是否存在高危身份安全漏洞,若存在,将受威胁设备提取出来单独处理,并建立访问控制因素库,由漏洞的危险性,决定设备的访问控制等级。
在本实施例中,所述对地区电力终端设备的IP进行扫描具体为:
根据该地区的IP存活情况、网络延时率、网络丢包率和服务器不同配置的负载能力在内的因素综合决定分发到每个地区的IP任务数量,以减轻后续云子节点服务器由于扫描任务分配不均带来的额外负载压力。
具体的,为解决由于IP任务分配不合理造成的扫描精度低和系统复杂度增加的问题,根据目标网络的地理环境、网络环境等因素综合考虑,基于多因素的IP任务分片思想,根据该地区的IP存活情况、网络延时率、网络丢包率和服务器不同配置的负载能力等因素综合决定分发到每个地区的IP任务数量,如果IP并不存活,网络延迟率高,网络丢包率高、服务器负载能力低,则分配的IP任务数较少;如果IP存活,网络延迟率低,网络丢包率低、服务器负载能力高,则分配的IP任务数较多,在保证经济花销最小和时间最短的前提下,尽可能减轻后续云子节点服务器由于扫描任务分配不均带来的额外负载压力。
在本实施例中,所述指纹信息包括电力终端设备的相关运行数据与运行状态特征值。
在本实施例中,所述设备漏洞多因素指纹库是从NVD漏洞库中抽取所有的CPE条目,根据NVD漏洞库中的CPE标识符为基准进行CVE匹配而形成的,能够有效提高识别CPE的准确性。其中,所述CPE为Common Platform Enumeration,是一种结构化的命名方案,用于描述和识别企业计算资产中存在的软件、应用程序、操作系统和硬件设备的类别。所述CVE为Common Vulnerabilities and Exposures,公共漏洞与披露实施例。将设备的指纹信息与漏洞建立起联系,当需要判断一个设备是否为威胁时,只需要提取其指纹信息,并在设备漏洞多因素指纹库中进行比对,查找是否存在对应的漏洞,即是否存在漏洞风险。
在本实施例中,所述建立访问控制因素库,由漏洞的危险性,决定设备的访问控制等级具体为:根据电力终端设备的设备安全评估等级来进行分级,并以设备型号绑定访问控制权限,以此建立访问控制因素库;其中存在漏洞危险的等级越强,分配的权限越低,反之分配的权限越高;当有电力终端设备欲入网时,根据访问控制因素库确定对应的权限。其中,若安全评估等级越高对应漏洞危险等级越低,若安全评估等级越低,说明对应的漏铜危险等级越高。
本实施例还提供了一种电力终端接入系统,包括存储器、处理器以及存储于存储器上并能够在处理器上运行的计算机程序,当处理器运行该计算机程序时,实现如上文所述的方法步骤。
以上所述,仅是本发明的较佳实施例而已,并非是对本发明作其它形式的限制,任何熟悉本专业的技术人员可能利用上述揭示的技术内容加以变更或改型为等同变化的等效实施例。但是凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与改型,仍属于本发明技术方案的保护范围。
Claims (5)
1.一种电力终端接入方法,其特征在于,包括以下步骤:
对地区电力终端设备的IP进行扫描;
抓取各个电力终端设备的指纹信息;
将各个电力终端设备的指纹信息与设备漏洞建立联系,并形成设备漏洞多因素指纹库;
当有电力终端设备要求接入电力工业网络时,判断当前威胁来源是来自局域网的外部还是内部;
若当前威胁来源是来自局域网的外部,则抓取欲入网电力终端设备的指纹信息,并在设备漏洞多因素指纹库中进行漏洞匹配,如果不存在漏洞风险,则允许接入网络,否则禁止该电力终端设备访问;
若当前威胁来源为自局域网的内部,则直接从设备漏洞多因素指纹库中检索对应型号的设备是否存在高危身份安全漏洞,若存在,将受威胁设备提取出来单独处理,并建立访问控制因素库,由漏洞的危险性,决定电力终端设备的访问控制等级;
所述建立访问控制因素库,由漏洞的危险性,决定设备的访问控制等级具体为:根据电力终端设备的设备安全评估等级来进行分级,并以设备型号绑定访问控制权限,以此建立访问控制因素库;其中存在漏洞危险的等级越强,分配的权限越低,反之分配的权限越高;当有电力终端设备欲入网时,根据访问控制因素库确定对应的权限。
2.根据权利要求1所述的一种电力终端接入方法,其特征在于,所述对地区电力终端设备的IP进行扫描具体为:
根据该地区的IP存活情况、网络延时率、网络丢包率和服务器不同配置的负载能力在内的因素综合决定分发到每个地区的IP任务数量,以减轻后续云子节点服务器由于扫描任务分配不均带来的额外负载压力。
3.根据权利要求1所述的一种电力终端接入方法,其特征在于,所述指纹信息包括电力终端设备的相关运行数据与运行状态特征值。
4.根据权利要求1所述的一种电力终端接入方法,其特征在于,所述设备漏洞多因素指纹库是从NVD漏洞库中抽取所有的CPE条目,根据NVD漏洞库中的CPE标识符为基准进行CVE匹配而形成的。
5.一种电力终端接入系统,包括存储器、处理器以及存储于存储器上并能够在处理器上运行的计算机程序,当处理器运行该计算机程序时,实现如权利要求1-4任一项所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010854566.6A CN112115457B (zh) | 2020-08-24 | 2020-08-24 | 一种电力终端接入方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010854566.6A CN112115457B (zh) | 2020-08-24 | 2020-08-24 | 一种电力终端接入方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112115457A CN112115457A (zh) | 2020-12-22 |
| CN112115457B true CN112115457B (zh) | 2022-08-05 |
Family
ID=73805364
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010854566.6A Active CN112115457B (zh) | 2020-08-24 | 2020-08-24 | 一种电力终端接入方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112115457B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113839941B (zh) * | 2021-09-22 | 2023-08-29 | 国网湖北省电力有限公司检修公司 | 基于smote和并行随机森林的物联网设备准入检测方法和系统 |
| CN114095286B (zh) * | 2022-01-24 | 2022-05-03 | 浙江国利网安科技有限公司 | 一种电力智能终端网络安全风险深度检测方法及装置 |
| CN115529160A (zh) * | 2022-08-22 | 2022-12-27 | 东北大学秦皇岛分校 | 一种高效安全的大规模isp网络漏洞评估方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103905265A (zh) * | 2012-12-27 | 2014-07-02 | 中国移动通信集团公司 | 一种网络中新增设备的检测方法和装置 |
| CN106161426A (zh) * | 2016-06-08 | 2016-11-23 | 北京工业大学 | 一种应用于工业物联网的漏洞扫描方法 |
| CN108696544A (zh) * | 2018-09-05 | 2018-10-23 | 杭州安恒信息技术股份有限公司 | 基于工控系统的安全漏洞探测方法和装置 |
| CN110099074A (zh) * | 2019-05-28 | 2019-08-06 | 阿里巴巴集团控股有限公司 | 一种物联网设备的异常检测方法、系统及电子设备 |
| WO2019153384A1 (zh) * | 2018-02-07 | 2019-08-15 | 网宿科技股份有限公司 | 一种漏洞扫描方法、服务端及系统 |
-
2020
- 2020-08-24 CN CN202010854566.6A patent/CN112115457B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103905265A (zh) * | 2012-12-27 | 2014-07-02 | 中国移动通信集团公司 | 一种网络中新增设备的检测方法和装置 |
| CN106161426A (zh) * | 2016-06-08 | 2016-11-23 | 北京工业大学 | 一种应用于工业物联网的漏洞扫描方法 |
| WO2019153384A1 (zh) * | 2018-02-07 | 2019-08-15 | 网宿科技股份有限公司 | 一种漏洞扫描方法、服务端及系统 |
| CN108696544A (zh) * | 2018-09-05 | 2018-10-23 | 杭州安恒信息技术股份有限公司 | 基于工控系统的安全漏洞探测方法和装置 |
| CN110099074A (zh) * | 2019-05-28 | 2019-08-06 | 阿里巴巴集团控股有限公司 | 一种物联网设备的异常检测方法、系统及电子设备 |
Non-Patent Citations (1)
| Title |
|---|
| 工业控制系统漏洞扫描与挖掘技术研究;杨磊;《电子世界》;20200330(第06期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112115457A (zh) | 2020-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109922075B (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
| CN112115457B (zh) | 一种电力终端接入方法及系统 | |
| US11068588B2 (en) | Detecting irregularities on a device | |
| CN109076063B (zh) | 在云环境中保护动态和短期虚拟机实例 | |
| Kholidy et al. | A risk mitigation approach for autonomous cloud intrusion response system | |
| EP2955894B1 (en) | Deception network system | |
| CN111737696A (zh) | 一种恶意文件检测的方法、系统、设备及可读存储介质 | |
| US9450974B2 (en) | Intrusion management | |
| US20070266433A1 (en) | System and Method for Securing Information in a Virtual Computing Environment | |
| CA3021285C (en) | Methods and systems for network security | |
| CN107733725B (zh) | 一种安全预警方法、装置、设备及存储介质 | |
| CN110598404A (zh) | 安全风险监控方法、监控装置、服务器和存储介质 | |
| CN108141408B (zh) | 确定系统、确定装置及确定方法 | |
| US10652259B2 (en) | Information processing apparatus, method and medium for classifying unauthorized activity | |
| CN103384240B (zh) | 一种p2p主动防御方法及系统 | |
| Mishra et al. | Out-VM monitoring for malicious network packet detection in cloud | |
| US20220417255A1 (en) | Managed detection and response system and method based on endpoints | |
| Abbasi et al. | Machine learning-based EDoS attack detection technique using execution trace analysis | |
| CN108183884B (zh) | 一种网络攻击判定方法及装置 | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| CN105447385A (zh) | 一种多层次检测的应用型数据库蜜罐实现系统及方法 | |
| CN116305155A (zh) | 一种程序安全检测防护方法、装置、介质及电子设备 | |
| CN112583841B (zh) | 虚拟机安全防护方法及系统、电子设备和存储介质 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| CN114726579B (zh) | 防御网络攻击的方法、装置、设备、存储介质及程序产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |