CN113259316A - 电力系统内部的攻击路径可视化方法、系统和电子设备 - Google Patents
电力系统内部的攻击路径可视化方法、系统和电子设备 Download PDFInfo
- Publication number
- CN113259316A CN113259316A CN202110361858.0A CN202110361858A CN113259316A CN 113259316 A CN113259316 A CN 113259316A CN 202110361858 A CN202110361858 A CN 202110361858A CN 113259316 A CN113259316 A CN 113259316A
- Authority
- CN
- China
- Prior art keywords
- attack
- traffic
- malicious
- power system
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种电力系统内部的攻击路径可视化方法、系统和电子设备,所述方法包括:通过入侵检测系统对电力系统实时流量进行采集过滤,得到恶意攻击流量;提取所述恶意攻击流量的恶意流量特征并聚合生成攻击者指纹库;根据所述攻击者指纹库,从电力系统历史流量中过滤出攻击行为对应的攻击流量;对所述攻击流量进行时序划分,根据所述时序划分的结果定位所述攻击行为的攻击节点,根据所述攻击节点生成所述攻击行为的攻击路径并可视化展示。本公开基于电力系统的实际网络环境,依据攻击者指纹库反向追溯攻击流量,尽可能的搜集攻击者的攻击行为,基于攻击流量时序划分,更形象、全面的刻画攻击者的行为路径,实现网络攻击可视化。
Description
技术领域
本公开涉及技术电力系统信息安全技术领域,尤其涉及一种电力系统内部的攻击路径可视化方法、系统和电子设备。
背景技术
电力系统保障着人们日常生活的同时为国家经济发展提供着重大的支撑,且电网正在向自动化、信息化推进,电网运行和服务模式都正在发生重大改变,这些变化带来了大量安全风险和挑战,而网络攻击可视化技术通过将网络攻击与可视化技术结合,将检测数据直观的展示给网络管理人员,能够有效的帮助管理人员综合识别、分析网络攻击并做出有效决策,保障网络的安全。目前在电网场景中尚缺乏全面有效的网络攻击可视化方法,不利于管理人员完整分析攻击发生的过程。
发明内容
有鉴于此,本公开的目的在于提出一种电力系统内部的攻击路径可视化方法、系统和电子设备。
本公开的第一方面,提供了一种电力系统内部的攻击路径可视化方法,包括:
通过入侵检测系统对电力系统实时流量进行采集过滤,得到恶意攻击流量;
提取所述恶意攻击流量的恶意流量特征并聚合生成攻击者指纹库;
根据所述攻击者指纹库,从电力系统历史流量中过滤出攻击行为对应的攻击流量;
对所述攻击流量进行时序划分,根据所述时序划分的结果定位所述攻击行为的攻击节点,根据所述攻击节点生成所述攻击行为的攻击路径并可视化展示。
本公开的第二方面,提供了一种电力系统内部的攻击路径可视化系统,包括:
数据采集模块,被配置为用于通过入侵检测系统对电力系统实时流量进行采集过滤,得到恶意攻击流量;
攻击者指纹库生成模块,被配置为用于提取所述恶意攻击流量的恶意流量特征并聚合生成攻击者指纹库;
反向溯源模块,被配置为用于根据所述攻击者指纹库,从电力系统历史流量中过滤出攻击行为对应的攻击流量;
攻击路径可视化模块,被配置为用于对所述攻击流量进行时序划分,根据所述时序划分的结果定位所述攻击行为的攻击节点,根据所述攻击节点生成所述攻击行为的攻击路径并可视化展示。
本公开的第三方面,提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并由所述处理器执行的计算机程序,所述处理器执行所述程序时实现如上任意一项所述的方法。
从上面所述可以看出,本公开提供了一种电力系统内部的攻击路径可视化方法、系统和电子设备,基于电力系统的实际网络环境,依据攻击者指纹库反向追溯攻击流量,尽可能的搜集攻击者的攻击行为,基于攻击流量时序划分,更形象、全面的刻画攻击者的行为路径,实现网络攻击可视化;通过反向溯源的方式,在电力系统历史流量中溯源攻击流量,更有针对性和目标性,可以更全面的复刻攻击路径;通过定位攻击节点将不同协议和时间的攻击行为进行合理划分排列,更有利于管理人员完整分析攻击行为的过程。
附图说明
为了更清楚地说明本公开或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例的一种电力系统内部的攻击路径可视化方法的流程示意图;
图2为本公开实施例的反向溯源过程的算法示意图;
图3为本公开实施例的一种电力系统内部的攻击路径可视化系统的结构示意图;
图4为本公开实施例的电子设备结构示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
需要说明的是,除非另外定义,本公开实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开实施例中使用的“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
如背景技术所述,电网系统中由于大量信息数据的交互、智能终端接入方式不断增多,带来了大量安全风险和挑战,而网络攻击可视化技术通过将网络攻击与可视化技术结合,将检测数据直观的展示给网络管理人员,能够有效的帮助管理人员综合识别、分析网络攻击并做出有效决策,保障网络的安全。相关技术基本是针对单个的、被动的网络攻击行为路径可视化技术,没有针对电网环境的设计,在电网系统的场景中也没有清晰完整的可视化展示网络攻击路径的方案,管理人员无法详尽了解攻击行为。
根据不同的数据来源,常见的网络攻击可视化技术包括:基于流量的网络攻击可视化、基于网络中间设备的网络攻击可视化、基于日志的网络攻击可视化和基于其他数据的网络攻击可视化,因为在电网中部署着很多的流量采集设备,可以根据电网的特点,采用基于流量的网络攻击可视化技术,借助网络流量数据,对网络攻击追踪溯源,使网络攻击路径直观地展示在分析人员面前,便于对攻击进行分析和处理。
基于流量的网络攻击可视化通过分析流量的变化,能够检测端口扫描、DDoS(Distributed Denial of Service,分布式拒绝服务攻击)、蠕虫等网络攻击事件,因为这一类事件发生时流量方面会有明显的异常。可视化技术通常会将攻击事件相关的源IP地址、目的IP地址、源端口、目的端口、网络协议和时间等属性数据提取出来,并以节点连接图、网格图、柱状图、散点图、平行坐标图的形式表现。
申请人在实现本公开的过程中发现,基于网络流量对电力系统内部的网络攻击路径进行可视化,实现可视化技术的技术手段多以被动追踪溯源为主,缺少主动获取追踪溯源以实现可视化的关键信息方面的研究,被动溯源收集到的是攻击者有意或无意泄露的信息,线索质量难以满足溯源方的预期,而主动溯源是在传输过程中标记信息,攻击一旦发生,管理人员就能够利用这些信息去跟踪路由路径并确定攻击源,所以主动溯源可以更好地实现攻击可视化,并且网络攻击并非单一的过程,如果将攻击行为特征聚合构建指纹库,依据指纹库反向溯源攻击流量,可以更全面的追踪攻击行为,再依据节点划分攻击流量,可以更直观完整的体现攻击路径。
以下,通过具体的实施例来详细说明本公开的技术方案。
参考图1,为本公开实施例的一种电力系统内部的攻击路径可视化方法的流程示意图,包括以下步骤:
S1、通过IDS(入侵检测系统,Intrusion Detection System)对电力系统实时流量进行采集过滤,得到恶意攻击流量。
本步骤为数据采集过程,电力系统实时流量经过所述IDS识别过滤出所述恶意攻击流量,为后续恶意攻击流量特征的提取提供基础。
作为一可选实施例,所述步骤S1之后还包括:
根据所述恶意攻击流量,生成恶意攻击流量日志并储存到分布式搜索和分析引擎集群中,所述分布式搜索和分析引擎集群构建有全文索引数据结构,为其他流程提供数据来源和技术服务支撑。
具体的,所述分布式搜索和分析引擎集群为Elasticsearch集群,其适用于所有类型的数据,包括文本、数字、地理空间、结构化和非结构化数据,所述恶意攻击流量日志在所述Elasticsearch集群中进行索引之前的解析、标准化,在所述Elasticsearch集群索引完成之后,用户便可针对他们的数据运行复杂的查询,并使用聚合来检索自身数据的复杂汇总。
进一步的,所述全文索引数据结构为倒排索引数据结构,这一结构的设计可以允许比较快速地进行全文本搜索,所述倒排索引结构会列出在所有文档中出现的每个特有词汇,并且可以找到包含每个词汇的全部文档。
S2、提取所述恶意攻击流量的恶意流量特征并聚合生成AFD(AttackerFingerprint Database,攻击者指纹库)。
本步骤为攻击者指纹库生成过程,当系统确认攻击行为发生后,通过提取所述恶意攻击流量特征生成所述AFD,为攻击流量的反向溯源提供依据,并且网络攻击行为具有一定的持续性,通过不断提取所述恶意攻击流量特征完善所述AFD的构建,可以更全面的刻画攻击者。
作为一可选实施例,所述步骤S2具体包括:
判断所述恶意攻击流量日志的协议类型;从所述分布式搜索和分析引擎集群中提取相应的所述恶意流量特征;聚合不同所述协议类型的所述恶意流量特征并形成所述AFD,因为网络攻击通常是多协议流量的,这样可以比较全面的刻画攻击者,为复刻攻击行为路径提供支撑。
进一步的,所述恶意流量特征包括内容特征、数据流统计特征以及网络连接行为特征,可以多维度提取攻击者行为,使攻击路径刻画更全面。
所述内容特征包括所述恶意攻击流量中特有值以及其负载中含有的特殊字符序列;所述内容特征还包括告警日志信息等,当系统遭受攻击时,安全设备会产生大量的告警日志,通过分析所述告警日志信息能够发现当前系统存在的漏洞;在电网环境下,所述内容特征的信息提取主要为针对蠕虫、APT(Advanced Persistent Threat,高级可持续威胁攻击)、Botnet(僵尸网络)等C&C(command and control,命令与控制)恶意攻击流量的内容特征自动提取。
所述数据流统计特征可以从网络层、传输层提取,提取过程需要先计算流量统计值,再从所述统计值中提取所述恶意流量特征,鉴于信令数据包大小、密钥长度、通信双方维持协议状态机的时间等条件,所述统计值会在一定范围内变化,且所述变化有规律可循,因此提取的所述数据流统计特征可用于检测恶意攻击流量。
所述网络连接行为特征可用于检测DDoS攻击、信息探测攻击等,提取所述网络连接行为特征可采取网络连接图描述攻击行为,提取节点数特征、节点平均出度特征等。
所述数据流统计特征和所述网络连接行为特征都是通过对采集的数据进行统计分析得到的,可统称为统计特征;相比于所述统计特征,内容特征是最常用且可靠的,对于非加密的恶意攻击流量,提取生成所述内容特征,而对于加密恶意流量或不含应用负载信息的恶意攻击流量,提取生成所述统计特征。
S3、根据所述AFD,从电力系统历史流量中过滤出攻击行为对应的攻击流量。
本步骤为反向溯源过程,采用反向溯源的方式,更有针对性和目标性,可以更全面的复刻攻击路径;通过所述AFD,从所述电力系统历史流量中定向过滤对应的攻击流量,为攻击路径可视化提供支撑。
作为一可选实施例,所述步骤S3具体包括:
根据所述AFD的每个所述恶意流量特征从所述电力系统历史流量的Mlogs(Multiprotocol traffic log,多协议流量日志)中过滤出相应的所述攻击流量,不同的所述攻击流量在攻击流量数据库中聚合并储存。
该实施例具体算法参照图2,所述反向溯源过程的算法输入为Mlogs和AFD,算法输出为攻击流量集合result,对于所述Mlogs里的每条流量日志item,判断其协议类型,然后分别提取其内容特征、数据流统计特征以及网络连接行为特征,当所述三种恶意流量特征中任意一种或多种位于所述AFD中时,将所述item添加到result中去并最终返回result储存到所述攻击流量数据库中。
S4、对所述攻击流量进行时序划分,根据所述时序划分的结果定位所述攻击行为的攻击节点,根据所述攻击节点生成所述攻击行为的攻击路径并可视化展示。
本步骤为攻击路径可视化过程,攻击者的攻击行为有明显的时间顺序特征,为了完整清晰地刻画所述攻击行为,需要对所述攻击流量进行时序划分,根据所述时序划分的结果,定位所述攻击行为的攻击节点,生成所述攻击行为的攻击路径并可视化展示,以便完整的了解攻击者的行为方式。
作为一可选实施例,所述步骤S4具体包括:
将所述攻击流量数据库中的所述攻击流量进行时序划分,排列出所述攻击行为的不同阶段;根据所述不同阶段定位所述攻击行为的攻击节点;根据所述攻击节点构建有向无环图,根据所述有向无环图生成所述攻击行为的攻击路径并可视化展示。
因为所述攻击者的攻击方式可能通过多种协议完成,每个所述协议可能分属所述攻击行为的不同阶段,所以相应的,需要把所述攻击流量按照所述攻击行为的不同阶段进行排列,进而分析定位所述不同阶段的攻击节点,依据所述攻击节点构建有向无环图并生成攻击路径,所述攻击路径以网络拓扑图的形式进行可视化展示,最终实现电力系统内部基于网络流量的攻击路径可视化。
在一些实施例中,为进一步描述攻击行为,依据网络杀伤链模型,将所述攻击行为的不同阶段分为侦查追踪、武器构建、载荷投递、漏洞利用、安装植入、持续控制以及目标达成阶段,不同攻击类型的攻击行为具有特定的攻击节点,例如载荷投递攻击行为,攻击者可能会通过特定的漏洞上传木马文件以感染宿主机器,该节点便是载荷投递的攻击节点。
可见,本公开的电力系统内部的攻击路径可视化方法,完整清晰地实现了网络攻击可视化,基于电力系统的实际网络环境,依据攻击者指纹库反向追溯攻击流量,尽可能的搜集攻击者的攻击行为,基于攻击流量时序划分,更形象、全面的刻画攻击者的行为路径,实现网络攻击可视化;通过反向溯源的方式,在电力系统历史流量中溯源攻击流量,更有针对性和目标性,可以更全面的复刻攻击路径;引入网络杀伤链模型,通过定位攻击节点将不同协议和时间的攻击行为进行合理划分排列,更有利于管理人员完整分析攻击行为的过程;通过从内容特征、数据流统计特征以及网络连接行为特征多维度提取攻击者行为,可以使攻击路径刻画更全面。
需要说明的是,本公开一个或多个实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本公开一个或多个实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
上述对本公开特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
基于同一发明构思,与上述任意实施例方法相对应的,本公开还提供了一种电力系统内部的攻击路径可视化系统,参考图3,包括:
数据采集模块301,被配置为用于通过入侵检测系统对电力系统实时流量进行采集过滤,得到恶意攻击流量;
攻击者指纹库生成模块302,被配置为用于提取所述恶意攻击流量的恶意流量特征并聚合生成攻击者指纹库;
反向溯源模块303,被配置为用于根据所述攻击者指纹库,从电力系统历史流量中过滤出攻击行为对应的攻击流量;
攻击路径可视化模块304,被配置为用于对所述攻击流量进行时序划分,根据所述时序划分的结果定位所述攻击行为的攻击节点,根据所述攻击节点生成所述攻击行为的攻击路径并可视化展示。
为了描述的方便,描述以上系统时以功能分为各种模块分别描述。当然,在实施本公开一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
进一步的,所述电力系统内部的攻击路径可视化系统还包括物理设备集群300,所述电力系统实时流量以及所述电力系统历史流量来自于所述物理设备集群300传输的流量,所述物理设备集群300包括正向隔离装置、反向隔离装置、监测装置。
上述实施例的系统用于实现前述实施例中相应的方法,并且具有相应的电力系统内部的攻击路径可视化方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本公开还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上任意一实施例所述的电力系统内部的攻击路径可视化方法。
图4示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述任一实施例中相应的电力系统内部的攻击路径可视化方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
需要说明的是,本公开的实施例还可以以下方式进一步描述:
一种电力系统内部的攻击路径可视化方法,包括:
通过入侵检测系统对电力系统实时流量进行采集过滤,得到恶意攻击流量;
提取所述恶意攻击流量的恶意流量特征并聚合生成攻击者指纹库;
根据所述攻击者指纹库,从电力系统历史流量中过滤出攻击行为对应的攻击流量;
对所述攻击流量进行时序划分,根据所述时序划分的结果定位所述攻击行为的攻击节点,根据所述攻击节点生成所述攻击行为的攻击路径并可视化展示。
可选的,所述通过入侵检测系统对电力系统实时流量进行采集过滤,得到恶意攻击流量,之后还包括:
根据所述恶意攻击流量,生成恶意攻击流量日志并储存到分布式搜索和分析引擎集群中;所述分布式搜索和分析引擎集群构建有全文索引数据结构,所述全文索引数据结构被配置为用于全文检索提取所述恶意流量特征。
可选的,所述提取所述恶意攻击流量的恶意流量特征并聚合生成攻击者指纹库,具体包括:
判断所述恶意攻击流量日志的协议类型;
从所述分布式搜索和分析引擎集群中提取相应的所述恶意流量特征;
聚合不同所述协议类型的所述恶意流量特征并形成所述攻击者指纹库。
可选的,所述恶意流量特征包括内容特征、数据流统计特征以及网络连接行为特征。
可选的,所述根据所述攻击者指纹库,从电力系统历史流量中过滤出攻击行为对应的攻击流量,具体包括:
根据所述攻击者指纹库的每个所述恶意流量特征从所述电力系统历史流量的多协议流量日志中过滤出相应的所述攻击流量,不同的所述攻击流量在攻击流量数据库中聚合并储存。
可选的,所述对所述攻击流量进行时序划分,根据所述时序划分的结果定位所述攻击行为的攻击节点,根据所述攻击节点生成所述攻击行为的攻击路径并可视化展示,具体包括:
将所述攻击流量数据库中的所述攻击流量进行时序划分,排列出所述攻击行为的不同阶段;
根据所述不同阶段定位所述攻击行为的攻击节点;
根据所述攻击节点构建有向无环图,根据所述有向无环图生成所述攻击行为的攻击路径并可视化展示。
可选的,所述攻击行为的不同阶段包括侦查追踪、武器构建、载荷投递、漏洞利用、安装植入、持续控制以及目标达成阶段。
一种电力系统内部的攻击路径可视化系统,包括:
数据采集模块,被配置为用于通过入侵检测系统对电力系统实时流量进行采集过滤,得到恶意攻击流量;
攻击者指纹库生成模块,被配置为用于提取所述恶意攻击流量的恶意流量特征并聚合生成攻击者指纹库;
反向溯源模块,被配置为用于根据所述攻击者指纹库,从电力系统历史流量中过滤出攻击行为对应的攻击流量;
攻击路径可视化模块,被配置为用于对所述攻击流量进行时序划分,根据所述时序划分的结果定位所述攻击行为的攻击节点,根据所述攻击节点生成所述攻击行为的攻击路径并可视化展示。
可选的,还包括物理设备集群,所述电力系统实时流量以及所述电力系统历史流量来自于所述物理设备集群传输的流量,所述物理设备集群包括正向隔离装置、反向隔离装置、监测装置。
一种电子设备,包括存储器、处理器及存储在所述存储器上并由所述处理器执行的计算机程序,所述处理器执行所述程序时实现如任意一实施例所述的电力系统内部的攻击路径可视化方法。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本公开实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本公开实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本公开实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本公开实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本公开的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本公开实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本公开的具体实施例对本公开进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本公开实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本公开实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (10)
1.一种电力系统内部的攻击路径可视化方法,包括:
通过入侵检测系统对电力系统实时流量进行采集过滤,得到恶意攻击流量;
提取所述恶意攻击流量的恶意流量特征并聚合生成攻击者指纹库;
根据所述攻击者指纹库,从电力系统历史流量中过滤出攻击行为对应的攻击流量;
对所述攻击流量进行时序划分,根据所述时序划分的结果定位所述攻击行为的攻击节点,根据所述攻击节点生成所述攻击行为的攻击路径并可视化展示。
2.根据权利要求1所述的方法,所述通过入侵检测系统对电力系统实时流量进行采集过滤,得到恶意攻击流量,之后还包括:
根据所述恶意攻击流量,生成恶意攻击流量日志并储存到分布式搜索和分析引擎集群中;所述分布式搜索和分析引擎集群构建有全文索引数据结构,所述全文索引数据结构被配置为用于全文检索提取所述恶意流量特征。
3.根据权利要求2所述的方法,所述提取所述恶意攻击流量的恶意流量特征并聚合生成攻击者指纹库,具体包括:
判断所述恶意攻击流量日志的协议类型;
从所述分布式搜索和分析引擎集群中提取相应的所述恶意流量特征;
聚合不同所述协议类型的所述恶意流量特征并形成所述攻击者指纹库。
4.根据权利要求1至3中任意一项所述的方法,所述恶意流量特征包括内容特征、数据流统计特征以及网络连接行为特征。
5.根据权利要求1所述的方法,所述根据所述攻击者指纹库,从电力系统历史流量中过滤出攻击行为对应的攻击流量,具体包括:
根据所述攻击者指纹库的每个所述恶意流量特征从所述电力系统历史流量的多协议流量日志中过滤出相应的所述攻击流量,不同的所述攻击流量在攻击流量数据库中聚合并储存。
6.根据权利要求5所述的方法,所述对所述攻击流量进行时序划分,根据所述时序划分的结果定位所述攻击行为的攻击节点,根据所述攻击节点生成所述攻击行为的攻击路径并可视化展示,具体包括:
将所述攻击流量数据库中的所述攻击流量进行时序划分,排列出所述攻击行为的不同阶段;
根据所述不同阶段定位所述攻击行为的攻击节点;
根据所述攻击节点构建有向无环图,根据所述有向无环图生成所述攻击行为的攻击路径并可视化展示。
7.根据权利要求6所述的方法,所述攻击行为的不同阶段包括侦查追踪、武器构建、载荷投递、漏洞利用、安装植入、持续控制以及目标达成阶段。
8.一种电力系统内部的攻击路径可视化系统,包括:
数据采集模块,被配置为用于通过入侵检测系统对电力系统实时流量进行采集过滤,得到恶意攻击流量;
攻击者指纹库生成模块,被配置为用于提取所述恶意攻击流量的恶意流量特征并聚合生成攻击者指纹库;
反向溯源模块,被配置为用于根据所述攻击者指纹库,从电力系统历史流量中过滤出攻击行为对应的攻击流量;
攻击路径可视化模块,被配置为用于对所述攻击流量进行时序划分,根据所述时序划分的结果定位所述攻击行为的攻击节点,根据所述攻击节点生成所述攻击行为的攻击路径并可视化展示。
9.根据权利要求8所述的系统,还包括物理设备集群,所述电力系统实时流量以及所述电力系统历史流量来自于所述物理设备集群传输的流量,所述物理设备集群包括正向隔离装置、反向隔离装置、监测装置。
10.一种电子设备,包括存储器、处理器及存储在所述存储器上并由所述处理器执行的计算机程序,所述处理器执行所述程序时实现如权利要求1至7中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110361858.0A CN113259316A (zh) | 2021-04-02 | 2021-04-02 | 电力系统内部的攻击路径可视化方法、系统和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110361858.0A CN113259316A (zh) | 2021-04-02 | 2021-04-02 | 电力系统内部的攻击路径可视化方法、系统和电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113259316A true CN113259316A (zh) | 2021-08-13 |
Family
ID=77220230
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110361858.0A Pending CN113259316A (zh) | 2021-04-02 | 2021-04-02 | 电力系统内部的攻击路径可视化方法、系统和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113259316A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113676484A (zh) * | 2021-08-27 | 2021-11-19 | 绿盟科技集团股份有限公司 | 一种攻击溯源方法、装置和电子设备 |
| CN114584401A (zh) * | 2022-05-06 | 2022-06-03 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种面向大规模网络攻击的追踪溯源系统及方法 |
| CN115174141A (zh) * | 2022-05-27 | 2022-10-11 | 贵州华谊联盛科技有限公司 | 一种基于图与链路流量分析的入侵检测与链路动态可视化方法 |
| CN117997650A (zh) * | 2024-04-03 | 2024-05-07 | 环球数科集团有限公司 | 一种基于人工智能的攻击检测系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110149350A (zh) * | 2019-06-24 | 2019-08-20 | 国网安徽省电力有限公司信息通信分公司 | 一种告警日志关联的网络攻击事件分析方法及装置 |
| CN110958257A (zh) * | 2019-12-06 | 2020-04-03 | 北京中睿天下信息技术有限公司 | 一种内网渗透过程还原方法和系统 |
| WO2020193333A1 (en) * | 2019-03-27 | 2020-10-01 | British Telecommunications Public Limited Company | Computer security |
| CN111818103A (zh) * | 2020-09-09 | 2020-10-23 | 信联科技(南京)有限公司 | 一种网络靶场中基于流量的溯源攻击路径方法 |
| CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
-
2021
- 2021-04-02 CN CN202110361858.0A patent/CN113259316A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020193333A1 (en) * | 2019-03-27 | 2020-10-01 | British Telecommunications Public Limited Company | Computer security |
| CN110149350A (zh) * | 2019-06-24 | 2019-08-20 | 国网安徽省电力有限公司信息通信分公司 | 一种告警日志关联的网络攻击事件分析方法及装置 |
| CN110958257A (zh) * | 2019-12-06 | 2020-04-03 | 北京中睿天下信息技术有限公司 | 一种内网渗透过程还原方法和系统 |
| CN111818103A (zh) * | 2020-09-09 | 2020-10-23 | 信联科技(南京)有限公司 | 一种网络靶场中基于流量的溯源攻击路径方法 |
| CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 李泽科 等: "电力监控系统的网络安全威胁溯源技术研究", 《电力工程技术》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113676484A (zh) * | 2021-08-27 | 2021-11-19 | 绿盟科技集团股份有限公司 | 一种攻击溯源方法、装置和电子设备 |
| CN113676484B (zh) * | 2021-08-27 | 2023-04-18 | 绿盟科技集团股份有限公司 | 一种攻击溯源方法、装置和电子设备 |
| CN114584401A (zh) * | 2022-05-06 | 2022-06-03 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种面向大规模网络攻击的追踪溯源系统及方法 |
| CN114584401B (zh) * | 2022-05-06 | 2022-07-12 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种面向大规模网络攻击的追踪溯源系统及方法 |
| CN115174141A (zh) * | 2022-05-27 | 2022-10-11 | 贵州华谊联盛科技有限公司 | 一种基于图与链路流量分析的入侵检测与链路动态可视化方法 |
| CN117997650A (zh) * | 2024-04-03 | 2024-05-07 | 环球数科集团有限公司 | 一种基于人工智能的攻击检测系统 |
| CN117997650B (zh) * | 2024-04-03 | 2024-05-28 | 环球数科集团有限公司 | 一种基于人工智能的攻击检测系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113259316A (zh) | 电力系统内部的攻击路径可视化方法、系统和电子设备 | |
| CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
| CN111786950B (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| Qin et al. | DDoS attack detection using flow entropy and clustering technique | |
| JP6201614B2 (ja) | ログ分析装置、方法およびプログラム | |
| CN106656991A (zh) | 一种网络威胁检测系统及检测方法 | |
| CN108833185B (zh) | 一种网络攻击路线还原方法及系统 | |
| Rahal et al. | A distributed architecture for DDoS prediction and bot detection | |
| CN104246786A (zh) | 模式发现中的字段选择 | |
| CN110809010A (zh) | 威胁信息处理方法、装置、电子设备及介质 | |
| CN110708292A (zh) | Ip处理方法、装置、介质、电子设备 | |
| EP2936772A1 (en) | Network security management | |
| CN115225386A (zh) | 基于事件序列关联融合的业务识别与风险分析方法及系统 | |
| CN113923003A (zh) | 一种攻击者画像生成方法、系统、设备以及介质 | |
| CN113839925A (zh) | 基于数据挖掘技术的IPv6网络入侵检测方法及系统 | |
| CN110881022A (zh) | 一种大型网络安全态势检测分析方法 | |
| CN117220957A (zh) | 一种基于威胁情报的攻击行为响应方法及系统 | |
| CN112261034A (zh) | 基于企业内网的网络安全防护系统 | |
| US20230379361A1 (en) | System and method for generating cyber threat intelligence | |
| WO2023163842A1 (en) | Thumbprinting security incidents via graph embeddings | |
| CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 | |
| CN116155519A (zh) | 威胁告警信息处理方法、装置、计算机设备和存储介质 | |
| Zheng et al. | Traffic anomaly detection and containment using filter-ary-sketch | |
| Gavrilovic et al. | Snort IDS system visualization interface for alert analysis | |
| KR20120038882A (ko) | 네트워크 모니터링 시스템 및 방법, 네트워크 모니터링을 위한 보안이벤트 수집 장치 및 서비스 이상상황 탐지 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210813 |