CN113676486B - 一种边缘物联代理安全检测方法 - Google Patents
一种边缘物联代理安全检测方法 Download PDFInfo
- Publication number
- CN113676486B CN113676486B CN202110997023.4A CN202110997023A CN113676486B CN 113676486 B CN113676486 B CN 113676486B CN 202110997023 A CN202110997023 A CN 202110997023A CN 113676486 B CN113676486 B CN 113676486B
- Authority
- CN
- China
- Prior art keywords
- score
- dread
- attack
- edge internet
- analysis center
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y10/00—Economic sectors
- G16Y10/35—Utilities, e.g. electricity, gas or water
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- Business, Economics & Management (AREA)
- Development Economics (AREA)
- Economics (AREA)
- General Business, Economics & Management (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Alarm Systems (AREA)
Abstract
一种边缘物联代理安全策略,构建适用于边缘物联代理的威胁模型;对边缘物联代理进行安全检测,并上报至分析中心;分析中心根据威胁模型实时判断边缘物联代理是否存在异常,若存在异常,则对边缘物联代理做出响应。
Description
技术领域
本发明属于物联网安全技术领域,特别涉及一种边缘物联代理安全策略。
背景技术
泛在电力物联网(UEIOT;Ubiquitous Electric Internet of Things),是围绕电力系统各环节,充分应用移动互联、人工智能等现代信息技术、先进通信技术,实现电力系统各环节万物互联、人机交互,具有状态全面感知、信息高效处理、应用便捷灵活特征的智慧服务系统。
随着泛在电力物联网建设的快速推进,原有的网络边界不断向用户侧延伸,其计算能力和安全防护特性也从云端向终端和边缘侧下沉。根据泛在电力物联网总体建设方案,边缘物联代理将作为终端接入和边缘计算的核心装置进行大规模部署,使得在距离风险源更近边缘侧采集和分析终端的网络行为成为可能。
然而,一方面,作为下接终端、上连网络的关键节点,边缘物联代理的安全十分重要,但是现阶段缺乏快速有效的安全保护措施;另一方面,边缘物联代理的种类繁多,无论架构还是操作系统,都存在较大差异,现有安全检测技术无法很好地覆盖。
发明内容
本发明实施例之一,一种边缘物联代理安全策略,包括,
构建适用于边缘物联代理的威胁模型;
对边缘物联代理进行安全检测,并上报至分析中心;
分析中心根据威胁模型实时判断边缘物联代理是否存在异常,若存在异常,则对边缘物联代理做出响应。
本发明适用于不同系统架构和操作系统,能够快速、有效解决边缘物联代理安全检测和响应问题。
附图说明
通过参考附图阅读下文的详细描述,本发明示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中,以示例性而非限制性的方式示出了本发明的若干实施方式,其中:
图1根据本发明实施例之一的威胁模型示意图。
图2根据本发明实施例之一的对威胁的响应类型判断流程示意图。
具体实施方式
根据一个或者多个实施例,一种基于威胁模型的边缘物联代理安全检测和响应技术,运行在边缘物联代理及分析中心,适用于各种系统架构和操作系统的边缘物联代理。该技术首先构建适用于边缘物联代理的威胁模型;然后对边缘物联代理进行安全检测,并上报至分析中心;分析中心根据威胁模型实时判断边缘物联代理是否存在异常;若存在异常,则对边缘物联代理做出有效的响应。
根据一个或者多个实施例,一种对基于威胁模型的边缘物联代理安全检测和响应技术,该方法包括如下步骤:
构建适用于边缘物联代理的威胁模型,如图1所示,该威胁模型中的终端威胁包括静态威胁和动态威胁。所述静态威胁包括CIS基线DREAD和系统脆弱性 DREAD。所述动态威胁包括文件威胁和进程威胁。所述文件威胁包括恶意软件 DREAD和文件完整性DREAD,所述进程威胁包括恶意进程DREAD。
对边缘物联代理本体安全检测,该检测包括以下内容,
a)CIS基线:系统安全合规基线,依据CIS标准对系统安全配置进行评分。
b)脆弱性扫描:系统漏洞扫描,依据CVE、NVD等漏洞库,挖掘系统存在的漏洞。
c)文件完整性:对系统重要目录文件进行实时保护,记录恶意篡改,替换,删除的危险操作。
d)恶意软件检测:依据恶意软件,木马病毒的二进制特征,发现系统潜在的恶意程序。
e)恶意进程:分析进程特征,采用白名单的机制,对非白名单的进程告警,阻断。
实时进行安全分析,根据本体安全检测结果,计算威胁模型中每个节点的 DREAD分数,计算方式见下表:
对边缘物联代理的异常行为进行响应,根据安全分析结果,对不同的异常类型做出对应的响应,具体流程如图2所示,
边缘物联代理将本体安全检测结果发送至分析中心;
分析中心根据计算得出的攻击点威胁分数、终端设备威胁分数,做出是否需要响应的判断,如果需要响应,则确定响应类型,包括阻断进程、修改配置、恢复文件;
所述边缘物联代理收到分析中心的响应后执行响应,并且将响应类型发送回分析中心,由分析中心记录响应结果。
其中,威胁的响应类型由响应判断模块判断,判断的因素包括:设备威胁分数是否大于阈值、攻击点分数方差是否大于阈值、确定受影响攻击点、确定受影响攻击点的具体攻击位置。
值得说明的是,虽然前述内容已经参考若干具体实施方式描述了本发明创造的精神和原理,但是应该理解,本发明并不限于所公开的具体实施方式,对各方面的划分也不意味着这些方面中的特征不能组合,这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包括的各种修改和等同布置。
Claims (1)
1.一种边缘物联代理安全检测方法,其特征在于,
构建适用于边缘物联代理的威胁模型;
对边缘物联代理进行安全检测,并上报至分析中心;
分析中心根据威胁模型实时判断边缘物联代理是否存在异常,若存在异常,则对边缘物联代理做出响应,
其中,终端威胁包括静态威胁和动态威胁,
所述静态威胁包括CIS基线和系统脆弱性,
所述动态威胁包括文件威胁和进程威胁,
所述文件威胁包括恶意软件和文件完整性,
所述进程威胁包括恶意进程,
所述的CIS基线是系统安全合规基线,对其检测是依据CIS标准对系统安全配置进行评分,
对系统脆弱性检测是对系统漏洞扫描,依据CVE、NVD漏洞库,挖掘系统存在的漏洞,
对于文件完整性检测,是对系统重要目录文件进行实时保护,记录监控对文件的恶意篡改、替换、删除的危险操作,
对恶意软件检测,是依据恶意软件、木马病毒的二进制特征,发现系统潜在的恶意程序,
对恶意进程的检测是分析进程特征,采用白名单的机制,对非白名单的进程告警、阻断,
所述边缘物联代理将本体安全检测结果发送至分析中心;
所述分析中心根据计算得出的攻击点威胁分数、终端设备威胁分数,做出是否需要响应的判断,如果需要响应,则确定响应类型,包括阻断进程、修改配置、恢复文件;
所述边缘物联代理收到分析中心的响应后执行响应,并且将响应类型发送回分析中心,由分析中心记录响应结果,
由响应判断模块判断对威胁的响应类型,判断的因素包括:设备威胁分数是否大于阈值、攻击点分数方差是否大于阈值、确定受影响攻击点、确定受影响攻击点的具体攻击位置,
根据本体安全检测结果,计算威胁模型中每个节点的DREAD分数,计算方式包括:
对于“Damage Potential ”,“获取完全验证权限、执行管理员操作、非法上传文件”的DREAD风险等级分数高,为3分,
“泄露敏感信息”的DREAD风险等级分数中,为2分,
“泄露其他信息”的DREAD风险等级分数低,为1分,
对于“Reproducibility”,“攻击者可以随意再次攻击”的 DREAD分数为3分,
“攻击者可以重复攻击,但是有时间限制”的DREAD分数为2分,
“攻击者很难重复攻击过程”的DREAD分数为1分,
对于“Exploitability”,“ 初学者短期能掌握攻击方法”的DREAD分数为3分,
“熟练的攻击者才能完成这次攻击”的DREAD分数为2分,
“漏洞利用条件非常苛刻”的DREAD分数为1分,
对于“Affected users”,“所有用户、默认配置、关键用户”的DREAD分数为3分,
“部分用户、非默认配置”的DREAD分数为2分,
“极少数用户、匿名用户”的DREAD分数为1分,
对于“Discoverability”,“漏洞很显眼、攻击条件很容易获得”的DREAD分数为3分,
“在私有区域,部分人能看到,需要深入挖掘漏洞”的DREAD分数为2分,
“发现漏洞极其困难”的DREAD分数为1分。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110997023.4A CN113676486B (zh) | 2021-08-27 | 2021-08-27 | 一种边缘物联代理安全检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110997023.4A CN113676486B (zh) | 2021-08-27 | 2021-08-27 | 一种边缘物联代理安全检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113676486A CN113676486A (zh) | 2021-11-19 |
| CN113676486B true CN113676486B (zh) | 2023-02-10 |
Family
ID=78546998
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110997023.4A Active CN113676486B (zh) | 2021-08-27 | 2021-08-27 | 一种边缘物联代理安全检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113676486B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114268460B (zh) * | 2021-11-25 | 2024-02-13 | 国网电力科学研究院有限公司 | 一种网络安全异常检测方法、装置、存储介质及计算设备 |
| CN114363367B (zh) * | 2021-12-09 | 2023-12-01 | 广东电网有限责任公司 | 一种基于边缘物联代理的业务处理方法及系统 |
| CN117614713A (zh) * | 2023-11-29 | 2024-02-27 | 天翼物联科技有限公司 | 勒索病毒的检测和防御方法、装置、设备及介质 |
| CN117879974B (zh) * | 2024-03-11 | 2024-05-14 | 西昌学院 | 一种基于边缘计算的网络安全防护方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109639634A (zh) * | 2018-11-05 | 2019-04-16 | 杭州安恒信息技术股份有限公司 | 一种物联网自适应安全防护方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111404914A (zh) * | 2020-03-11 | 2020-07-10 | 南京邮电大学 | 一种特定攻击场景下泛在电力物联网终端安全防护方法 |
| CN113191674A (zh) * | 2021-05-20 | 2021-07-30 | 广东电网有限责任公司 | 一种安全风险评估方法、装置、存储介质及电子设备 |
-
2021
- 2021-08-27 CN CN202110997023.4A patent/CN113676486B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109639634A (zh) * | 2018-11-05 | 2019-04-16 | 杭州安恒信息技术股份有限公司 | 一种物联网自适应安全防护方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113676486A (zh) | 2021-11-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113676486B (zh) | 一种边缘物联代理安全检测方法 | |
| Milajerdi et al. | Holmes: real-time apt detection through correlation of suspicious information flows | |
| US9043869B2 (en) | Aggregating the knowledge base of computer systems to proactively protect a computer from malware | |
| Tan et al. | Hiding intrusions: From the abnormal to the normal and beyond | |
| Maglaras et al. | Threats, countermeasures and attribution of cyber attacks on critical infrastructures | |
| CN113422771A (zh) | 威胁预警方法和系统 | |
| Ozturk et al. | Dynamic behavioural analysis of privacy-breaching and data theft ransomware | |
| Skovoroda et al. | Securing mobile devices: malware mitigation methods. | |
| Letou et al. | Host-based intrusion detection and prevention system (HIDPS) | |
| CN108345795B (zh) | 用于检测和分类恶意软件的系统和方法 | |
| Bradford et al. | A layered approach to insider threat detection and proactive forensics | |
| CN115694928A (zh) | 全舰计算环境云端蜜罐、攻击事件感知和行为分析方法 | |
| Qadri et al. | A Review of Significance of Energy-Consumption Anomaly in Malware Detection in Mobile Devices. | |
| KR20070068162A (ko) | 호스트 침해 발생 시점에서의 포렌식 증거자료 수집 시스템및 그 방법 | |
| CN112347484A (zh) | 软件漏洞检测方法、装置、设备及计算机可读存储介质 | |
| Coulibaly | An overview of intrusion detection and prevention systems | |
| US20230214489A1 (en) | Rootkit detection based on system dump files analysis | |
| KR100961438B1 (ko) | 실시간 침입 탐지 시스템 및 방법, 그리고 그 방법을수행하기 위한 프로그램이 기록된 기록매체 | |
| Sharma | Securing the Digital Frontier: Proactive Strategies for Defending Against Evolving Malware Threats | |
| RU2794713C1 (ru) | Способ обнаружения вредоносного файла с использованием базы уязвимых драйверов | |
| Hassan et al. | Extraction of malware iocs and ttps mapping with coas | |
| GB2572155A (en) | Threat detection system | |
| US20240333747A1 (en) | Llm technology for polymorphic generation of samples of malware for modeling, grouping, detonation and analysis | |
| Lewandowska | Intrusion Detection Systems: Categories, attack detection and response. | |
| CN117972727A (zh) | 防病毒安全系统部署方法、装置、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |