CN112769797A - 一种闭源电力工控系统的安全防御系统及防御方法 - Google Patents

Abstract

本发明公开了一种闭源电力工控系统的安全防御系统及防御方法。所述安全防御系统包括：预测模块、防御模块、检测模块、响应模块、学习模块，所述预测模块通过收集情报并进行分析，识别出潜在的威胁，并建立威胁数据库以及基于攻击树的威胁模型；所述防御模块基于预测模块识别出的潜在威胁进行防御性部署；所述检测模块通过攻击匹配和系统状态数据监控对实际发生的攻击行为进行检测；所述响应模块对检测模块检测的攻击作出相应的响应，并记录响应日志；所述学习模块通过分析历史响应日志和定期学习对威胁数据库和威胁模型进行更新。本发明的安全防御系统能够防范绝大多数外部攻击方式，能够灵活适应并预测敌方攻击中的改变。

Description

一种闭源电力工控系统的安全防御系统及防御方法

技术领域

本发明涉及电力工控系统的信息安全，具体涉及一种闭源电力工控系统的安全防御系统及防御方法。

背景技术

电力系统的安全稳定运行关系着整个社会的稳定和经济发展，为适应全球能源互联网的发展需求，加之闭源系统的安全特殊性，对保障电力工控系统信息安全提出了更高的要求。面向工业控制系统(Industrial Control System，ICS)的网络威胁的频率和复杂程度不断提高。这一现实，加上ICS与企业网络之间日益增强的互连性以及对标准系统平台和操作系统的利用，给关键基础架构的安全性和信息系统的安全性均带来了潜在威胁。

传统的安全防御架构方法主要通过系统加固应对攻击，这样做的潜台词是一旦系统部署上去就有责任拦截所有攻击。然而过度依赖加固的系统在其生命周期中无法从攻击者那学到什么，也没法适应其技术、能力和目标中的改变，更不用说当攻击者偶尔成功时能处理好突发情况。因此有必要对现有的电力工控系统安全防御体系加以改进，使得系统能够应对更加复杂多变的攻击手段。

发明内容

发明目的：针对现有技术的不足，本发明提供了一种闭源电力工控系统的安全防御系统，提高电力工控系统应对攻击的能力。

本发明的另一目的是提供一种闭源电力工控系统的安全防御方法。

技术方案：第一方面，一种闭源电力工控系统的安全防御系统，包括：预测模块、防御模块、检测模块、响应模块、学习模块，这五大模块构成闭环进行防御，所述预测模块通过收集情报并进行分析，识别出潜在的威胁，并建立威胁数据库以及基于攻击树的威胁模型；所述防御模块基于预测模块识别出的潜在威胁进行防御性部署；所述检测模块通过攻击匹配和系统状态数据监控对实际发生的攻击行为进行检测；所述响应模块对检测模块检测的攻击作出相应的响应，并记录响应日志；所述学习模块通过分析历史响应日志和定期学习对威胁数据库和威胁模型进行更新。

其中，所述预测模块包括：资产识别单元，通过业务上下文分析识别系统的资产，记录系统和环境中的资产类型，并指明其所在位置，对资产进行赋值；

攻击面确定单元，根据闭源电力工控系统的体系结构分离出各种组件，得到每一个组件要实现的功能，结合功能的实现方式以及实现过程中用到的技术手段来定义各个组件的攻击面；

系统分解单元，根据资产赋值结果和定义的攻击面将应用系统分解为层次化的视图；

攻击向量识别单元，基于定义的攻击面、系统分解及主要使用案例来记录攻击途径，捕捉包含在这些路径中的组件及功能范围，形成攻击向量；

威胁输出单元，判定资产面临的攻击者及其攻击意图，具体特征包括攻击动机、技能水平、攻击行为所需要的资源与目标，并将其列出，包括威胁源和攻击代理；

攻击树建立单元，根据威胁源和攻击代理、攻击面、攻击向量，绘制成树的结构形式建立攻击树，表示威胁攻击及其攻击步骤间的逻辑关系；

威胁数据库建立单元：建立包含威胁代号、威胁名称、威胁特征、威胁等级、威胁解决方案、解决方案程序指令以及威胁的攻击树路径字段的威胁数据库；

情报云建立单元，建立包含私有云和公有云的混合情报云，在私有云中存储本地电力工控系统中的安全相关信息，在公有云中存放可以开放共享和其他企业进行交流互动的安全相关信息，公有云从其他企业的开放云端中获取新的攻击向量以及解决方案并更新到威胁数据库。

进一步地，所述防御模块包括：

分析与评估单元，找出最有可能出现的攻击及攻击成功后产生的影响，说明对业务上下文中的影响及相关条件，考虑最坏的情况会造成的影响；

分类单元，根据对业务资产及功能造成的影响，列出一个攻击向量、威胁源及攻击成功引发的结果的列表；

控制单元，根据分类列出的列表，选择并实施安全控制，移除、阻止发现的威胁与攻击向量，和/或提升已有控制的有效性。

进一步地，所述检测模块包括：

系统状态数据监控单元，监测闭源电力工控系统状态是否在稳定的范围内，以及闭源电力工控系统数据是否被非法存取和更改，一旦出现上述情况中的任一种则判断发生攻击，将状态变更信息传递至响应模块；以及

攻击匹配单元，根据识别的攻击向量和威胁源，对当前闭源电力工控系统状态进行监控，通过攻击树进行操作匹配，进行威胁安保，检测闭源电力工控系统中的漏洞以及屏蔽监控的隐秘攻击方式，并寻找病毒以及不明来源文件。

进一步地，所述响应模块根据建立的威胁数据库匹配威胁特征，寻找数据库中存储的威胁处理和解决方案，作出相应的响应并记录响应日志；若没有找到威胁的处理方法，则上报管理员进行响应。

进一步地，所述学习模块包括：

历史响应日志分析单元，通过已记录的响应日志，分析威胁来源频率最高的威胁代理和攻击方式，动态调整威胁数据库的响应威胁代理和攻击方式的优先级，将威胁数据库内处理不了的威胁上报管理员；以及

定期学习单元，通过从其他平台收集更新的攻击向量来更新威胁源和攻击代理。

第二方面，一种闭源电力工控系统的安全防御方法，包括以下步骤：

预测步骤：通过收集闭源电力工控系统情报并进行分析，识别出潜在的威胁，并建立威胁数据库、情报云以及基于攻击树的威胁模型；

防御步骤：基于预测模块识别出的潜在威胁进行防御性部署；

检测步骤：通过攻击匹配和系统状态数据监控对实际发生的攻击行为进行检测；

响应步骤：对检测模块检测的攻击作出相应的响应，并记录响应日志；

学习步骤：通过分析历史响应日志和定期学习对威胁数据库和威胁模型进行更新。

其中，所述预测步骤具体包括：

资产识别步骤：通过业务上下文分析识别闭源电力工控系统的资产，记录系统和环境中的资产类型，并指明其所在位置，对资产进行赋值；

攻击面确定步骤：根据闭源电力工控系统的体系结构分离出各种组件，得到每一个组件要实现的功能，结合功能的实现方式以及实现过程中用到的技术手段来定义各个组件的攻击面；

系统分解步骤：根据资产赋值结果和定义的攻击面将应用系统分解为层次化的视图；

攻击向量识别步骤：基于定义的攻击面、系统分解及主要使用案例来记录攻击途径，捕捉包含在这些路径中的组件及功能范围，形成攻击向量；

威胁输出步骤：判定资产面临的攻击者及其攻击意图，具体特征包括攻击动机、技能水平、攻击行为所需要的资源与目标，并将其列出，包括威胁源和攻击代理；

攻击树建立步骤：根据威胁源和攻击代理、攻击面、攻击向量，绘制成树的结构形式建立攻击树，表示威胁攻击及其攻击步骤间的逻辑关系；

威胁数据库建立步骤：建立包含威胁代号、威胁名称、威胁特征、威胁等级、威胁解决方案、解决方案程序指令以及威胁的攻击树路径字段的威胁数据库；

情报云建立步骤：建立包含私有云和公有云的混合情报云，在私有云中存储本地电力工控系统中的安全相关信息，在公有云中存放可以开放共享和其他企业进行交流互动的安全相关信息，公有云从其他企业的开放云端中获取新的攻击向量以及解决方案并更新到威胁数据库。

进一步地，所述防御步骤包括：

分析与评估步骤：找出最有可能出现的攻击及攻击成功后产生的影响，说明对业务上下文中的影响及相关条件，考虑最坏的情况会造成的影响；

分类步骤：根据对业务资产及功能造成的影响，列出一个攻击向量、威胁源及攻击成功引发的结果的列表；

控制步骤：根据分类列出的列表，选择并实施安全控制，移除、阻止发现的威胁与攻击向量，和/或提升已有控制的有效性。

进一步地，所述检测步骤包括：

系统状态数据监控步骤：监测闭源电力工控系统状态是否在稳定的范围内，以及闭源电力工控系统数据是否被非法存取和更改，一旦出现上述情况中的任一种则判断发生攻击，将状态变更信息传递至响应模块进行响应步骤的执行；

攻击匹配步骤：根据识别的攻击向量和威胁源，对当前闭源电力工控系统状态进行监控，通过攻击树进行操作匹配，进行威胁安保，检测闭源电力工控系统中的漏洞以及屏蔽监控的隐秘攻击方式，并寻找病毒以及不明来源文件。

进一步地，所述响应步骤根据建立的威胁数据库匹配威胁特征，寻找数据库中存储的威胁处理和解决方案，作出相应的响应并记录响应日志；若没有找到威胁的处理方法，则上报管理员进行响应。

进一步地，所述学习步骤包括：

历史响应日志分析步骤：通过已记录的响应日志，分析威胁来源频率最高的威胁代理和攻击方式，动态调整威胁数据库的响应威胁代理和攻击方式的优先级，将威胁数据库内处理不了的威胁上报管理员；

定期学习步骤：通过从其他平台如公共平台或其他企业开放的公有云中收集更新的攻击向量来更新威胁源和攻击代理。

有益效果：本发明提出的基于威胁情报的安全防御系统，通过预测、防御、检测、响应、学习这五大模块构成闭环进行攻击防御，预测模块通过收集情报并进行分析，识别出潜在的威胁，并建立威胁数据库以及基于攻击树的威胁模型，建立的情报云以及威胁数据库可以为防御提供强大的后备力量，从而能够灵活适应和及时准确地预测敌方攻击中的改变。检测模块通过攻击匹配和系统状态数据监控对实际发生的攻击行为进行检测，通过内部系统状态和数据的监控能够防止内部渗透的攻击方式。响应模块对检测模块检测的攻击作出相应的响应，提供了在无管理人员的情况下进行应急处理的能力，并记录响应日志以便学习模块通过分析历史响应日志和定期学习对威胁数据库和威胁模型进行更新，能够及时学习了解最新的攻击方式并将防御方式纳入威胁数据库并上载到情报云。因此，部署该安全防御系统能够防范当前已知的绝大多数外部攻击方式，且通过外部情报交互能够主动预测攻击变化，提高闭源电力工控系统安全防御能力。

附图说明

图1为本发明实施例提供的闭源电力工控系统的安全防御系统整体框架图。

具体实施方式

下面结合附图对本发明的技术方案作进一步说明。

本发明提供了一种能更清楚地反映闭源电力工控系统该如何进行防御的方案。基于这一体系，使用情报驱动防御技术的系统能更好地适应敌人的变化，包括其目标和TTP(Tactics,Techniques,and Procedures)。对一些复杂的持续攻击如APT要求系统能以一种旗鼓相当的复杂方式进行主动防御。通过各种来源的情报如系统自身的交互，建立能理解攻击者的模型使得防御者能适应和预测敌方攻击中的改变。通过结合威胁数据库和情报云，系统能更好地抵抗威胁，而对威胁情报的使用也将贯穿于系统的设计、开发和运营期间。

参照图1，本发明提出的闭源电力工控系统的安全防御系统，主要由五大模块组成。五大模块是搭建FDDAS闭环：Forecast(预测)、Defense(防御)、Detection(检测)、Action(响应)、Study(学习)。预测模块，主要通过收集情报并进行分析，识别出潜在的威胁，并建立威胁数据库、情报云以及基于攻击树的威胁模型；防御模块，用于基于预测模块识别出的潜在威胁进行防御性部署；检测模块，用于通过攻击匹配和系统状态数据监控对实际发生的攻击行为进行检测；响应模块，用于对检测模块检测的攻击作出相应的响应，并记录响应日志；学习模块，则通过分析历史响应日志和定期学习对威胁数据库和威胁模型进行更新。这五大模块构成闭环进行防御，通过闭环迭代的防御循环模式，建立攻击树，能够对威胁进行严谨的分析，通过威胁数据库能不断提高防范各种攻击威胁的能力，通过情报云，内部云可以方便数据的共享，公有云可以与其他企业或领域相互学习借鉴，以一种更加综合全面的方式来应对当下复杂的网络环境。

相应地，根据该安全防御系统进行闭源电力工控系统的安全防御方法包括：预测、防御、检测、响应、学习这五个阶段，每个阶段完成相应模块的功能。为了描述的便利，下面从方法角度对各个阶段的具体实现进行说明。应当理解，相应的模块通过同样的处理逻辑也应该能完成相应的功能，不再一一细述。

(一)Forecast(预测)。首先进行情报收集与提前分析。建立“情报云”来收集各方面的情报，进行分析与感知。建立威胁数据库以及基于攻击树的威胁模型，在有情报加持以后，安全体系需要AI进行机器学习，对已有的情报进行分析，提供最有价值的安全信息，帮助企业对安全策略、防御部署。

预测阶段完成威胁预测的流程具体包括：

(1)识别资产：识别业务资产，对系统业务十分重要的数据、组件及功能。识别安全资产，引发攻击者特殊兴趣的数据、组件及功能。通过业务上下文分析，识别系统的资产，获取对手目标的威胁情报，记录系统和环境中的资产类型，并指明其所在位置，对资产进行赋值。示例性的，对资产进行赋值的一种形式如下：1.很低，不重要，安全属性破坏后对系统不会造成损害。2.低，不太重要，安全属性破坏后可能对系统造成较低的损失。3.中等，比较重要，安全属性破坏后可能对系统造成中等的损失。4.高，重要，不具有控制功能的且其安全属性破坏后可能对系统造成比较严重的损失。5.很高，非常重要，具有控制功能的且安全属性破坏后可能对系统造成非常严重的损失。

(2)定义攻击面：完成资产识别之后，从宏观层面标出应用系统中的组件及元素，既包括系统中的也包括通信中的，以及对资产进行访问的方式和途径。根据系统的体系结构，分离出系统的各种组件，从每一个组件要实现的功能出发，结合功能的实现方式以及实现过程中可以用到的技术手段来定义各个组件的攻击面。电力系统攻击面主要有管理信息大区，与互联网连接的资产，生产控制大区中差异化、多样化的电力终端。示例性的，管理信息大区通信组件总体攻击面分为4类：移动端、云端、通信层面、设备层面。移动端攻击面分为存储介质、认证方式、加密手段、通信方式、原生移动端系统漏洞。云端攻击面分为存储介质、认证方式、加密手段、通信方式、特定接口、原生web端和云端架构漏洞。通信层面攻击面分为认证方式、加密手段、偏离协议标准、协议实现异常。硬件设备攻击面分为存储介质、认证方式、加密手段、通信方式、感应接口、外设接口、硬件接口、人机交互接口。具体定义硬件设备中存储介质的攻击面有SD卡、USB载体、非易失性内存、易失性内存、单片机内存。

(3)系统分解：使用前2个步骤收集到的信息将应用系统分解为层次化的视图。涵盖设备、接口、库、协议、函数、应用程序接口等。审查工作范围内现有安全控制的有效性。电力系统主要分为生产控制大区(含调度数据网)，管理信息大区(含综合数据网)。

(4)识别攻击向量：借助定义的攻击面、系统分解及主要的使用案例来记录攻击途径。捕捉包含在这些路径中的组件及功能范围。包括计算机病毒、蠕虫、木马程序、后门程序、逻辑炸弹等攻击方式。示例性的，API参数篡改：客户端所传明文参数，劫持者可直接修改参数，攻击向量则记录所传的参数类型、参数个数、参数名以及参数传递起始点和参数接受点。

(5)列出威胁源和攻击代理。判定资产面临的攻击者及其攻击意图，具体特征包括攻击动机、技能水平、攻击行为所需要的资源与目标，并将其列出，同时寻找攻击源的类型的不同，并将威胁预测的结果存入威胁数据库。威胁情报可以从以下平台收集，国家信息安全漏洞共享平台(CNVD)，国家信息安全漏洞库(CNNVD)等公共漏洞库信息，满足STIX/CyberOX等标准的商业威胁情报信息，社会工程学库、WHOIS、IP地理库等基础数据情报信息。

(6)攻击树建立：把从1-5中得到的威胁源和攻击代理、攻击面、攻击向量绘制成树的结构形式建立攻击树，表示威胁攻击及其攻击步骤间的逻辑关系。每棵树代表一个威胁源或攻击代理的所有攻击方式，每一条路径代表具体的针对某个攻击面的攻击向量。一颗基本的攻击树模型包括根节点、叶节点和中间节点。根节点代表威胁源和攻击代理，叶子节点表示不同攻击面，中间节点则为攻击某个具体攻击面的攻击向量。

(7)情报云建立：情报云为混合云，在私有云中存储本地电力工控系统中的本地安全相关信息，在公有云中存放可以开放共享和其他企业进行交流互动的安全相关信息，公有云从其他企业的开放云端中获取新的攻击向量以及解决方案可以更新到威胁数据库。

(8)威胁数据库建立：威胁数据库中存放的字段有威胁代号、威胁名称、威胁特征、威胁等级、威胁解决方案、解决方案程序指令以及威胁的攻击树路径等，解决方案通过从其他共享云端获取或者安全工作人员进行录入，通过生成的解决方案程序指令集可以实现快速响应。通过在不同阶段对威胁数据库的不断更新来使得对各种威胁的响应能够实现自动化，即在检测模块检测到攻击发生后，响应模块可以执行威胁数据库中的解决方案程序指令集来实现自动响应攻击。

(二)在预测威胁以后，企业需要对威胁进行Defense——防御性的部署。

防御性部署主要分为：首先进行分析与评估，找出最有可能出现的攻击及攻击成功后产生的影响，说明业务上下文中的影响及相关条件，考虑最坏的情况会造成的影响。然后进行分类，根据对业务资产及功能造成的影响，列出一个攻击向量、威胁源及攻击成功引发的结果的列表。之后进行控制，根据分类列出的列表，选择并实施安全控制，移除、阻止发现的威胁与攻击向量，或提升已有控制的有效性。

控制处理的手段有：对内层控制系统进行安全扫描，检测生产控制大区的服务器/网络设备等是否存在弱口令，用户权限设置不合理，存在默认账号，空闲端口未关闭，系统软件、操作系统漏洞升级困难，缺少必要的应用安全控制策略，对用户登录应用系统，访问系统资源等操作进行身份认证、访问控制和安全审计。建立网络准入和控制机制，上位机与下位机通信的身份鉴别和认证机制，只要能够从协议层面跟下位机建立连接，即可以对下位机进行修改，建立限制系统最高权限的限制，建立事后追查的有效工具审计日志，做好责任划分和威胁追踪。对外层边界进行隔离与监控，隔离闭源工控系统网络与边界网络，在边界两侧进行双边防控，进入边界之前进行安全预检测，在边界网络处进行安全检测，在边界网络和内部工控网络之间进行安全侧重点检测。

(三)而当攻击发生时，之前部署的防御系统能意识到攻击的发生，即Detection。

检测分为两个环节：攻击匹配和系统状态数据监控。

攻击匹配：根据识别的攻击向量和威胁源，对当前系统状态进行监控，通过攻击树对敏感的操作进行匹配，进行威胁安保，检测系统中的漏洞以及屏蔽监控的隐秘攻击方式，并寻找病毒以及不明来源文件。

系统状态数据监控：只要系统状态在稳定的范围内，那么破坏系统攻击就没有出现，对系统数据进行监控，只要系统数据没有非法的存取和更改，那么系统的数据就没有泄露。状态数据超过稳定范围，或者系统数据有被非法存取和更改，则认为发生了攻击。并将数据改变状态信息传递给响应模块，由响应模块做出应对。

(四)整个闭环最困难的一部分，则是Action——响应的步骤。

根据之前建立的威胁数据库和情报云，匹配威胁特征，寻找数据库和云数据中威胁的处理和解决方法，并作出相应的响应，并记录响应日志。

若没有找到威胁的处理方法，则上报管理员，若管理员也未能给与系统及时的操作响应，则根据攻击树给出的对威胁资产的赋值，进行服务降级，对工控系统中的一些服务进行降级处理，减少损失。

(五)整个闭环最关键的一部分，也就是能让安全防御能力提高的部分，是学习部分。

学习包括两种途径：

(1)分析历史响应日志。通过之前记录的响应日志，分析威胁来源频率最高的威胁代理和攻击方式，动态调整威胁数据库的响应威胁代理和攻击方式的优先级。将威胁来源频率高的威胁代理和攻击方式设为高优先级，将威胁数据库内处理不了的威胁上报管理员由人工决定解决方案。

(2)定期更新学习。通过从其他平台收集更新的攻击向量来更新威胁源和威胁代理。通过在进行的对进攻的防御或者防御演习，发现不足和短板，在详细安全策略中加固安全部署，并把相应的威胁等级、威胁特征和应急处理方法计入威胁数据库和情报云，为下一次威胁出现提供防范，并从其他领域或者行业学习相关的知识，进而预防系统可能受到的攻击。

本发明提出的基于威胁情报的安全防御系统及防御方法能够防范当前已知的绝大多数外部攻击方式，且能够及时学习了解最新的攻击方式并将防御方式纳入威胁数据库并上载到情报云，建立的情报云以及威胁数据库可以为防御提供强大的后备力量，从而能够灵活适应和及时准确地预测敌方攻击中的改变。此外，通过内部系统状态和数据的监控能够防止内部渗透的攻击方式，并提供了在无管理人员的情况下进行应急处理的能力。

Claims (10)

1.一种闭源电力工控系统的安全防御系统，其特征在于，包括：预测模块、防御模块、检测模块、响应模块、学习模块，所述预测模块通过收集闭源电力工控系统情报并进行分析，识别出潜在的威胁，并建立威胁数据库、情报云以及基于攻击树的威胁模型；所述防御模块基于预测模块识别出的潜在威胁进行防御性部署；所述检测模块通过攻击匹配和系统状态数据监控对实际发生的攻击行为进行检测；所述响应模块对检测模块检测的攻击作出相应的响应，并记录响应日志；所述学习模块通过分析历史响应日志和定期学习对威胁数据库和威胁模型进行更新。

2.根据权利要求1所述的闭源电力工控系统的安全防御系统，其特征在于，所述预测模块包括：

资产识别单元，通过业务上下文分析识别系统的资产，记录系统和环境中的资产类型，并指明其所在位置，对资产进行赋值；

攻击面确定单元，根据闭源电力工控系统的体系结构分离出各种组件，得到每一个组件要实现的功能，结合功能的实现方式以及实现过程中用到的技术手段来定义各个组件的攻击面；

系统分解单元，根据资产赋值结果和定义的攻击面将应用系统分解为层次化的视图；

攻击向量识别单元，基于定义的攻击面、系统分解及主要使用案例来记录攻击途径，捕捉包含在这些路径中的组件及功能范围，形成攻击向量；

威胁输出单元，判定资产面临的攻击者及其攻击意图，具体特征包括攻击动机、技能水平、攻击行为所需要的资源与目标，并将其列出，包括威胁源和攻击代理；

攻击树建立单元，根据威胁源和攻击代理、攻击面、攻击向量，绘制成树的结构形式建立攻击树，表示威胁攻击及其攻击步骤间的逻辑关系；

威胁数据库建立单元，建立包含威胁代号、威胁名称、威胁特征、威胁等级、威胁解决方案、解决方案程序指令以及威胁的攻击树路径字段的威胁数据库；

情报云建立单元，建立包含私有云和公有云的混合情报云，在私有云中存储本地电力工控系统中的安全相关信息，在公有云中存放可以开放共享和其他企业进行交流互动的安全相关信息，公有云从其他企业的开放云端中获取新的攻击向量以及解决方案并更新到威胁数据库。

3.根据权利要求2所述的闭源电力工控系统的安全防御系统，其特征在于，攻击树中每棵树代表一个威胁源或攻击代理的所有攻击方式，每一条路径代表具体的针对某个攻击面的攻击向量，其中的根节点代表威胁源和攻击代理，叶子节点表示不同攻击面，中间节点则为攻击某个具体攻击面的攻击向量。

4.根据权利要求1所述的闭源电力工控系统的安全防御系统，其特征在于，所述防御模块包括：

分析与评估单元，找出最有可能出现的攻击及攻击成功后产生的影响，说明对业务上下文中的影响及相关条件，考虑最坏的情况会造成的影响；

分类单元，根据对业务资产及功能造成的影响，列出一个攻击向量、威胁源及攻击成功引发的结果的列表；

控制单元，根据分类列出的列表，选择并实施安全控制，移除、阻止发现的威胁与攻击向量，和/或提升已有控制的有效性。

5.根据权利要求1所述的闭源电力工控系统的安全防御系统，其特征在于，所述检测模块包括：系统状态数据监控单元，监测闭源电力工控系统状态是否在稳定的范围内，以及闭源电力工控系统数据是否被非法存取和更改，一旦出现上述情况中的任一种则判断发生攻击，将状态变更信息传递至响应模块；以及

攻击匹配单元，根据识别的攻击向量和威胁源，对当前闭源电力工控系统状态进行监控，通过攻击树进行操作匹配，进行威胁安保，检测闭源电力工控系统中的漏洞以及屏蔽监控的隐秘攻击方式，并寻找病毒以及不明来源文件。

6.根据权利要求2所述的闭源电力工控系统的安全防御系统，其特征在于，所述响应模块根据建立的威胁数据库匹配威胁特征，寻找数据库中存储的威胁处理和解决方案，作出相应的响应并记录响应日志；若没有找到威胁的处理方法，则上报管理员进行响应。

7.根据权利要求1所述的闭源电力工控系统的安全防御系统，其特征在于，所述学习模块包括：

历史响应日志分析单元，通过已记录的响应日志，分析威胁来源频率最高的威胁代理和攻击方式，动态调整威胁数据库的响应威胁代理和攻击方式的优先级，将威胁数据库内处理不了的威胁上报管理员；以及

定期学习单元，通过从其他平台收集更新的攻击向量来更新威胁源和攻击代理。

8.一种闭源电力工控系统的安全防御方法，其特征在于，所述方法包括以下步骤：

预测步骤：通过收集闭源电力工控系统情报并进行分析，识别出潜在的威胁，并建立威胁数据库、情报云以及基于攻击树的威胁模型；

防御步骤：基于预测模块识别出的潜在威胁进行防御性部署；

检测步骤：通过攻击匹配和系统状态数据监控对实际发生的攻击行为进行检测；

响应步骤：对检测模块检测的攻击作出相应的响应，并记录响应日志；

学习步骤：通过分析历史响应日志和定期学习对威胁数据库和威胁模型进行更新。

9.根据权利要求8所述的闭源电力工控系统的安全防御方法，其特征在于，所述预测步骤具体包括：

资产识别步骤：通过业务上下文分析识别闭源电力工控系统的资产，记录系统和环境中的资产类型，并指明其所在位置，对资产进行赋值；

攻击面确定步骤：根据闭源电力工控系统的体系结构分离出各种组件，得到每一个组件要实现的功能，结合功能的实现方式以及实现过程中用到的技术手段来定义各个组件的攻击面；

系统分解步骤：根据资产赋值结果和定义的攻击面将应用系统分解为层次化的视图；

攻击向量识别步骤：基于定义的攻击面、系统分解及主要使用案例来记录攻击途径，捕捉包含在这些路径中的组件及功能范围，形成攻击向量；

威胁输出步骤：判定资产面临的攻击者及其攻击意图，具体特征包括攻击动机、技能水平、攻击行为所需要的资源与目标，并将其列出，包括威胁源和攻击代理；

攻击树建立步骤：根据威胁源和攻击代理、攻击面、攻击向量，绘制成树的结构形式建立攻击树，表示威胁攻击及其攻击步骤间的逻辑关系；

威胁数据库建立步骤：建立包含威胁代号、威胁名称、威胁特征、威胁等级、威胁解决方案、解决方案程序指令以及威胁的攻击树路径字段的威胁数据库；

情报云建立步骤：建立包含私有云和公有云的混合情报云，在私有云中存储本地电力工控系统中的安全相关信息，在公有云中存放可以开放共享和其他企业进行交流互动的安全相关信息，公有云从其他企业的开放云端中获取新的攻击向量以及解决方案并更新到威胁数据库。

10.根据权利要求8所述的闭源电力工控系统的安全防御方法，其特征在于，所述防御步骤包括：

分析与评估步骤：找出最有可能出现的攻击及攻击成功后产生的影响，说明对业务上下文中的影响及相关条件，考虑最坏的情况会造成的影响；

分类步骤：根据对业务资产及功能造成的影响，列出一个攻击向量、威胁源及攻击成功引发的结果的列表；

控制步骤：根据分类列出的列表，选择并实施安全控制，移除、阻止发现的威胁与攻击向量，和/或提升已有控制的有效性。

Images