CN113676486B - 一种边缘物联代理安全检测方法 - Google Patents

一种边缘物联代理安全检测方法 Download PDF

Info

Publication number
CN113676486B
CN113676486B CN202110997023.4A CN202110997023A CN113676486B CN 113676486 B CN113676486 B CN 113676486B CN 202110997023 A CN202110997023 A CN 202110997023A CN 113676486 B CN113676486 B CN 113676486B
Authority
CN
China
Prior art keywords
score
dread
attack
edge internet
analysis center
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110997023.4A
Other languages
English (en)
Other versions
CN113676486A (zh
Inventor
徐宏
刘书涵
孙歆
花志伟
徐梦宇
汪勇
边珊
林蓓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Wudun Information Technology Co ltd
Tongxiang Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Original Assignee
Shanghai Wudun Information Technology Co ltd
Tongxiang Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Wudun Information Technology Co ltd, Tongxiang Power Supply Co of State Grid Zhejiang Electric Power Co Ltd filed Critical Shanghai Wudun Information Technology Co ltd
Priority to CN202110997023.4A priority Critical patent/CN113676486B/zh
Publication of CN113676486A publication Critical patent/CN113676486A/zh
Application granted granted Critical
Publication of CN113676486B publication Critical patent/CN113676486B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y10/00Economic sectors
    • G16Y10/35Utilities, e.g. electricity, gas or water
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Business, Economics & Management (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • General Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Alarm Systems (AREA)

Abstract

一种边缘物联代理安全策略,构建适用于边缘物联代理的威胁模型;对边缘物联代理进行安全检测,并上报至分析中心;分析中心根据威胁模型实时判断边缘物联代理是否存在异常,若存在异常,则对边缘物联代理做出响应。

Description

一种边缘物联代理安全检测方法
技术领域
本发明属于物联网安全技术领域,特别涉及一种边缘物联代理安全策略。
背景技术
泛在电力物联网(UEIOT;Ubiquitous Electric Internet of Things),是围绕电力系统各环节,充分应用移动互联、人工智能等现代信息技术、先进通信技术,实现电力系统各环节万物互联、人机交互,具有状态全面感知、信息高效处理、应用便捷灵活特征的智慧服务系统。
随着泛在电力物联网建设的快速推进,原有的网络边界不断向用户侧延伸,其计算能力和安全防护特性也从云端向终端和边缘侧下沉。根据泛在电力物联网总体建设方案,边缘物联代理将作为终端接入和边缘计算的核心装置进行大规模部署,使得在距离风险源更近边缘侧采集和分析终端的网络行为成为可能。
然而,一方面,作为下接终端、上连网络的关键节点,边缘物联代理的安全十分重要,但是现阶段缺乏快速有效的安全保护措施;另一方面,边缘物联代理的种类繁多,无论架构还是操作系统,都存在较大差异,现有安全检测技术无法很好地覆盖。
发明内容
本发明实施例之一,一种边缘物联代理安全策略,包括,
构建适用于边缘物联代理的威胁模型;
对边缘物联代理进行安全检测,并上报至分析中心;
分析中心根据威胁模型实时判断边缘物联代理是否存在异常,若存在异常,则对边缘物联代理做出响应。
本发明适用于不同系统架构和操作系统,能够快速、有效解决边缘物联代理安全检测和响应问题。
附图说明
通过参考附图阅读下文的详细描述,本发明示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中,以示例性而非限制性的方式示出了本发明的若干实施方式,其中:
图1根据本发明实施例之一的威胁模型示意图。
图2根据本发明实施例之一的对威胁的响应类型判断流程示意图。
具体实施方式
根据一个或者多个实施例,一种基于威胁模型的边缘物联代理安全检测和响应技术,运行在边缘物联代理及分析中心,适用于各种系统架构和操作系统的边缘物联代理。该技术首先构建适用于边缘物联代理的威胁模型;然后对边缘物联代理进行安全检测,并上报至分析中心;分析中心根据威胁模型实时判断边缘物联代理是否存在异常;若存在异常,则对边缘物联代理做出有效的响应。
根据一个或者多个实施例,一种对基于威胁模型的边缘物联代理安全检测和响应技术,该方法包括如下步骤:
构建适用于边缘物联代理的威胁模型,如图1所示,该威胁模型中的终端威胁包括静态威胁和动态威胁。所述静态威胁包括CIS基线DREAD和系统脆弱性 DREAD。所述动态威胁包括文件威胁和进程威胁。所述文件威胁包括恶意软件 DREAD和文件完整性DREAD,所述进程威胁包括恶意进程DREAD。
对边缘物联代理本体安全检测,该检测包括以下内容,
a)CIS基线:系统安全合规基线,依据CIS标准对系统安全配置进行评分。
b)脆弱性扫描:系统漏洞扫描,依据CVE、NVD等漏洞库,挖掘系统存在的漏洞。
c)文件完整性:对系统重要目录文件进行实时保护,记录恶意篡改,替换,删除的危险操作。
d)恶意软件检测:依据恶意软件,木马病毒的二进制特征,发现系统潜在的恶意程序。
e)恶意进程:分析进程特征,采用白名单的机制,对非白名单的进程告警,阻断。
实时进行安全分析,根据本体安全检测结果,计算威胁模型中每个节点的 DREAD分数,计算方式见下表:
Figure BDA0003234226480000031
对边缘物联代理的异常行为进行响应,根据安全分析结果,对不同的异常类型做出对应的响应,具体流程如图2所示,
边缘物联代理将本体安全检测结果发送至分析中心;
分析中心根据计算得出的攻击点威胁分数、终端设备威胁分数,做出是否需要响应的判断,如果需要响应,则确定响应类型,包括阻断进程、修改配置、恢复文件;
所述边缘物联代理收到分析中心的响应后执行响应,并且将响应类型发送回分析中心,由分析中心记录响应结果。
其中,威胁的响应类型由响应判断模块判断,判断的因素包括:设备威胁分数是否大于阈值、攻击点分数方差是否大于阈值、确定受影响攻击点、确定受影响攻击点的具体攻击位置。
值得说明的是,虽然前述内容已经参考若干具体实施方式描述了本发明创造的精神和原理,但是应该理解,本发明并不限于所公开的具体实施方式,对各方面的划分也不意味着这些方面中的特征不能组合,这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包括的各种修改和等同布置。

Claims (1)

1.一种边缘物联代理安全检测方法,其特征在于,
构建适用于边缘物联代理的威胁模型;
对边缘物联代理进行安全检测,并上报至分析中心;
分析中心根据威胁模型实时判断边缘物联代理是否存在异常,若存在异常,则对边缘物联代理做出响应,
其中,终端威胁包括静态威胁和动态威胁,
所述静态威胁包括CIS基线和系统脆弱性,
所述动态威胁包括文件威胁和进程威胁,
所述文件威胁包括恶意软件和文件完整性,
所述进程威胁包括恶意进程,
所述的CIS基线是系统安全合规基线,对其检测是依据CIS标准对系统安全配置进行评分,
对系统脆弱性检测是对系统漏洞扫描,依据CVE、NVD漏洞库,挖掘系统存在的漏洞,
对于文件完整性检测,是对系统重要目录文件进行实时保护,记录监控对文件的恶意篡改、替换、删除的危险操作,
对恶意软件检测,是依据恶意软件、木马病毒的二进制特征,发现系统潜在的恶意程序,
对恶意进程的检测是分析进程特征,采用白名单的机制,对非白名单的进程告警、阻断,
所述边缘物联代理将本体安全检测结果发送至分析中心;
所述分析中心根据计算得出的攻击点威胁分数、终端设备威胁分数,做出是否需要响应的判断,如果需要响应,则确定响应类型,包括阻断进程、修改配置、恢复文件;
所述边缘物联代理收到分析中心的响应后执行响应,并且将响应类型发送回分析中心,由分析中心记录响应结果,
由响应判断模块判断对威胁的响应类型,判断的因素包括:设备威胁分数是否大于阈值、攻击点分数方差是否大于阈值、确定受影响攻击点、确定受影响攻击点的具体攻击位置,
根据本体安全检测结果,计算威胁模型中每个节点的DREAD分数,计算方式包括:
对于“Damage Potential ”,“获取完全验证权限、执行管理员操作、非法上传文件”的DREAD风险等级分数高,为3分,
“泄露敏感信息”的DREAD风险等级分数中,为2分,
“泄露其他信息”的DREAD风险等级分数低,为1分,
对于“Reproducibility”,“攻击者可以随意再次攻击”的 DREAD分数为3分,
“攻击者可以重复攻击,但是有时间限制”的DREAD分数为2分,
“攻击者很难重复攻击过程”的DREAD分数为1分,
对于“Exploitability”,“ 初学者短期能掌握攻击方法”的DREAD分数为3分,
“熟练的攻击者才能完成这次攻击”的DREAD分数为2分,
“漏洞利用条件非常苛刻”的DREAD分数为1分,
对于“Affected users”,“所有用户、默认配置、关键用户”的DREAD分数为3分,
“部分用户、非默认配置”的DREAD分数为2分,
“极少数用户、匿名用户”的DREAD分数为1分,
对于“Discoverability”,“漏洞很显眼、攻击条件很容易获得”的DREAD分数为3分,
“在私有区域,部分人能看到,需要深入挖掘漏洞”的DREAD分数为2分,
“发现漏洞极其困难”的DREAD分数为1分。
CN202110997023.4A 2021-08-27 2021-08-27 一种边缘物联代理安全检测方法 Active CN113676486B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110997023.4A CN113676486B (zh) 2021-08-27 2021-08-27 一种边缘物联代理安全检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110997023.4A CN113676486B (zh) 2021-08-27 2021-08-27 一种边缘物联代理安全检测方法

Publications (2)

Publication Number Publication Date
CN113676486A CN113676486A (zh) 2021-11-19
CN113676486B true CN113676486B (zh) 2023-02-10

Family

ID=78546998

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110997023.4A Active CN113676486B (zh) 2021-08-27 2021-08-27 一种边缘物联代理安全检测方法

Country Status (1)

Country Link
CN (1) CN113676486B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114268460B (zh) * 2021-11-25 2024-02-13 国网电力科学研究院有限公司 一种网络安全异常检测方法、装置、存储介质及计算设备
CN114363367B (zh) * 2021-12-09 2023-12-01 广东电网有限责任公司 一种基于边缘物联代理的业务处理方法及系统
CN117879974B (zh) * 2024-03-11 2024-05-14 西昌学院 一种基于边缘计算的网络安全防护方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109639634A (zh) * 2018-11-05 2019-04-16 杭州安恒信息技术股份有限公司 一种物联网自适应安全防护方法及系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111404914A (zh) * 2020-03-11 2020-07-10 南京邮电大学 一种特定攻击场景下泛在电力物联网终端安全防护方法
CN113191674A (zh) * 2021-05-20 2021-07-30 广东电网有限责任公司 一种安全风险评估方法、装置、存储介质及电子设备

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109639634A (zh) * 2018-11-05 2019-04-16 杭州安恒信息技术股份有限公司 一种物联网自适应安全防护方法及系统

Also Published As

Publication number Publication date
CN113676486A (zh) 2021-11-19

Similar Documents

Publication Publication Date Title
CN113676486B (zh) 一种边缘物联代理安全检测方法
Milajerdi et al. Holmes: real-time apt detection through correlation of suspicious information flows
US9043869B2 (en) Aggregating the knowledge base of computer systems to proactively protect a computer from malware
Sendi et al. Real time intrusion prediction based on optimized alerts with hidden Markov model
Tan et al. Hiding intrusions: From the abnormal to the normal and beyond
CN113422771A (zh) 威胁预警方法和系统
Maglaras et al. Threats, countermeasures and attribution of cyber attacks on critical infrastructures
Khosravi et al. Alerts correlation and causal analysis for APT based cyber attack detection
Skovoroda et al. Securing mobile devices: malware mitigation methods.
Letou et al. Host-based intrusion detection and prevention system (HIDPS)
Bradford et al. A layered approach to insider threat detection and proactive forensics
KR20070068162A (ko) 호스트 침해 발생 시점에서의 포렌식 증거자료 수집 시스템및 그 방법
WO2021217449A1 (zh) 恶意入侵检测方法、装置、系统、计算设备、介质和程序
CN112347484A (zh) 软件漏洞检测方法、装置、设备及计算机可读存储介质
Coulibaly An overview of intrusion detection and prevention systems
CN115694928A (zh) 全舰计算环境云端蜜罐、攻击事件感知和行为分析方法
KR100961438B1 (ko) 실시간 침입 탐지 시스템 및 방법, 그리고 그 방법을수행하기 위한 프로그램이 기록된 기록매체
Ozturk et al. Dynamic behavioural analysis of privacy-breaching and data theft ransomware
RU2794713C1 (ru) Способ обнаружения вредоносного файла с использованием базы уязвимых драйверов
Hassan et al. Extraction of malware iocs and ttps mapping with coas
GB2572155A (en) Threat detection system
US20230214489A1 (en) Rootkit detection based on system dump files analysis
CN114357436A (zh) 结合用户行为画像和设备资源监测的入侵检测系统及方法
Lewandowska Intrusion Detection Systems: Categories, attack detection and response.
CN117972727A (zh) 防病毒安全系统部署方法、装置、计算机设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant