CN114301669A - 针对电网厂站主机的安全防御方法、装置、设备和介质 - Google Patents
针对电网厂站主机的安全防御方法、装置、设备和介质 Download PDFInfo
- Publication number
- CN114301669A CN114301669A CN202111623038.0A CN202111623038A CN114301669A CN 114301669 A CN114301669 A CN 114301669A CN 202111623038 A CN202111623038 A CN 202111623038A CN 114301669 A CN114301669 A CN 114301669A
- Authority
- CN
- China
- Prior art keywords
- static
- result
- security
- dynamic behavior
- behavior analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本申请涉及一种针对电网厂站主机的安全防御方法、装置、计算机设备、存储介质和计算机程序产品。本申请能够实现电力网络中边缘节点(即厂站主机)层面的安全防御,进一步提升电力网络的安全性。该方法包括:采集输入输出日志;针对输入输出日志进行静态网络安全特征识别,得到静态特征识别结果;针对输入输出日志进行动态行为分析,得到动态行为分析结果;将静态特征识别结果和动态行为分析结果发送至主站系统。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种针对电网厂站主机的安全防御方法、装置、计算机设备、存储介质和计算机程序产品。
背景技术
随着信息技术的发展,网络安全也日益受到重视。在电力网络中,如果电力网络受到黑客的攻击,可能会导致一整个区域的电网崩溃,造成巨大的经济损失。
工控网络就是工业控制系统中的网络部分,是一种把工厂中各个生产流程和自动化控制系统通过各种通信设备组织起来的通信网络。对于电网来说,电网中的通信网络即为工控网络,电网工控网路中还包括多个厂站系统,厂站系统,顾名思义,是指包括发电厂和变电站在内的自动化系统。一个电网工控网络中包含多个厂站系统。厂站系统由多个主机节点构成。现有的工控网络(工业控制网络)安全体系架构中,重点在于工控通信的整体网络布放。
到厂站系统的主机节点布放层面,网络安全防御仅限于通信链路数据采集及通信流量分析,对厂站系统主机的安全监测、安全防御存在薄弱点。由于对电网工控系统的渗透往往从整个网络体系架构的边缘节点开始(即厂站系统主机节点),因此边缘节点的安全防患依然比较薄弱,导致整个电网不够安全。
发明内容
基于此,有必要针对上述技术问题,提供一种针对电网厂站主机的安全防御方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种针对电网厂站主机的安全防御方法。所述方法包括:
采集输入输出日志;
针对所述输入输出日志进行静态网络安全特征识别,得到静态特征识别结果;
针对所述输入输出日志进行动态行为分析,得到动态行为分析结果;
将所述静态特征识别结果和所述动态行为分析结果发送至主站系统。
在其中一个实施例中,所述输入输出日志包括USB拔插操作记录、操作系统登录日志、网口拔插操作记录、预设关键文件变更操作记录和文件信息采集记录。
在其中一个实施例中,所述操作系统登录日志包括操作系统安全审计配置信息、安全选项配置信息、防火墙状态信息和服务配置信息;所述静态网络安全特征识别结果包括基线核查结果;所述针对所述输入输出日志进行静态网络安全特征识别,得到静态特征识别结果,包括:
分别针对所述操作系统安全审计配置信息、所述安全选项配置信息、所述防火墙状态信息和所述服务配置信息进行基线核查,得到所述基线核查结果。
在其中一个实施例中,所述静态网络安全特征识别结果包括静态病毒扫描结果;所述针对所述输入输出日志进行静态网络安全特征识别,得到静态特征识别结果,还包括:
针对所述预设关键文件变更操作记录和所述文件信息采集记录,分别进行静态病毒扫描,得到所述静态病毒扫描结果。
在其中一个实施例中,所述动态行为分析结果包括权限变更识别结果;所述针对所述输入输出日志进行动态行为分析,得到动态行为分析结果,包括:
针对所述操作系统登录日志进行基线核查,得到所述权限变更识别结果。
在其中一个实施例中,所述方法还包括:
若所述静态特征识别结果或所述动态行为分析结果中包含病毒特征,则将相应的源文件进行可疑文件隔离。
第二方面,本申请还提供了一种针对电网厂站主机的安全防御装置。所述装置包括:
日志采集模块,用于采集输入输出日志;
静态特征识别模块,用于针对所述输入输出日志进行静态网络安全特征识别,得到静态特征识别结果;
动态行为分析模块,用于针对所述输入输出日志进行动态行为分析,得到动态行为分析结果;
结果发送模块,用于将所述静态特征识别结果和所述动态行为分析结果发送至主站系统。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述针对电网厂站主机的安全防御方法实施例中的各步骤。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以上述针对电网厂站主机的安全防御方法实施例中的各步骤。
第五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述针对电网厂站主机的安全防御方法实施例中的各步骤。
上述针对电网厂站主机的安全防御方法、装置、计算机设备、存储介质和计算机程序产品,通过采集输入输出日志;针对输入输出日志进行静态网络安全特征识别,得到静态特征识别结果;针对输入输出日志进行动态行为分析,得到动态行为分析结果;将静态特征识别结果和动态行为分析结果发送至主站系统。本申请能够实现电力网络中边缘节点(即厂站主机)层面的安全防御,进一步提升电力网络的安全性。
附图说明
图1为一个实施例中针对电网厂站主机的安全防御方法的应用环境图;
图2为一个实施例中针对电网厂站主机的安全防御方法的流程示意图;
图3为一个实施例中厂站主机安全配套工具的功能模块示意图;
图4为一个实施例中主站系统安全监控的功能模块示意图;
图5为一个实施例中态势感知系统与沙箱联动的流程示意图;
图6为一个实施例中主站网络安全系统的系统架构图;
图7为一个实施例中针对电网厂站主机的安全防御装置的结构框图;
图8为一个实施例中计算机设备的内部结构图;
图9为另一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的针对电网厂站主机的安全防御方法,可以应用于如图1所示的应用环境中。其中,厂站系统是指一个厂站网络,该厂站系统中包括多个厂站主机节点101;厂站系统可与主站(或称为主站系统)102进行通信;主机节点101包括变电站业务主机;主站102可用于统一管理各个主机节点101。主站102可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种针对电网厂站主机的安全防御方法,以该方法应用于图1中的主机节点101为例进行说明,包括以下步骤:
步骤S201,采集输入输出日志;
其中,输入输出日志是指各个厂站主机节点上的I/O输入输出信息日志。
具体地,在每个厂站主机上安装安全监测及防御Agent,Agent为主机病毒监控软件,用于对个体主机进行监测。本申请中用到的方法都是该Agent软件所实施的方法流程。通过Agent软件监听各个端口事件,采集I/O输入输出信息日志,所识别的I/O输入信息日志包括:USB拔插操作记录、操作系统登录日志,网口拔插操作记录、预设关键文件变更操作记录,及文件信息采集记录。
步骤S202,针对输入输出日志进行静态网络安全特征识别,得到静态特征识别结果;
具体地,上述Agent软件会对厂站主机采集的输入输出日志进行静态网络安全特征识别,得到静态特征识别结果;静态特征识别,Agent对操作系统安全审计配置、安全选项配置、防火墙状态、服务配置等静态特征进行合规监测及基线核查,基线核查是指Agent对其中所存在的风险点进行核查,例如账号、弱密码等;Agent对系统内文件进行病毒扫描,识别系统内是否存在潜伏的静态病毒特征。
步骤S203,针对输入输出日志进行动态行为分析,得到动态行为分析结果;
具体地,上述Agent软件会对厂站主机采集的输入输出日志进行动态行为分析,得到动态行为分析结果;具体包括:Agent对操作系统账号权限变更,静态特征配置变更作合规监测及基线核查,Agent对外来通信流量进行监测,识别外来通信是否构成安全威胁;产生主机系统静态特征或动态行为告警上送电力监控主站系统。
步骤S204,将静态特征识别结果和动态行为分析结果发送至主站系统。
具体地,将上述静态特征识别结果和上述动态行为分析结果发送至主站系统102,以供主站系统102对上报结果进行汇总分析。
上述实施例,通过采集输入输出日志;针对输入输出日志进行静态网络安全特征识别,得到静态特征识别结果;针对输入输出日志进行动态行为分析,得到动态行为分析结果;将静态特征识别结果和动态行为分析结果发送至主站系统。本实施例能够实现电力网络中边缘节点(即厂站主机)层面的安全防御,进一步提升电力网络的安全性。
在一实施例中,上述操作系统登录日志包括操作系统安全审计配置信息、安全选项配置信息、防火墙状态信息和服务配置信息;上述静态网络安全特征识别结果包括基线核查结果;上述步骤S202包括:
分别针对操作系统安全审计配置信息、安全选项配置信息、防火墙状态信息和服务配置信息进行基线核查,得到基线核查结果。
具体地,上述输入输出日志中的操作系统登录日志包括操作系统安全审计配置信息、安全选项配置信息、防火墙状态信息和服务配置信息;静态网络安全特征识别具体是指分别针对上述操作系统安全审计配置信息、安全选项配置信息、防火墙状态信息和服务配置信息进行基线核查,得到基线核查结果。基线核查是指Agent对其中所存在的风险点进行核查,例如账号、弱密码等;静态病毒特征是指日志中包含的语句类似病毒特征(比如包含一句话木马等),但是该病毒特征暂未形成动态威胁,称为静态病毒特征。
上述实施例,通过基线核查能够保证每个主机节点的日志中的安全性。
在一实施例中,所述静态网络安全特征识别结果包括静态病毒扫描结果;上述步骤S202,还包括:针对所述预设关键文件变更操作记录和所述文件信息采集记录,分别进行静态病毒扫描,得到所述静态病毒扫描结果。
具体地,预设关键文件变更操作记录的具体识别方法为:建立厂站主机系统审计账号,将厂站主机系统预设关键文件纳入审计账号被监视的范围,若厂站主机系统关键文件信息发生变更,则Agent将通过审计账号采集到变更信息日志,即静态病毒扫描结果,并将该结果上送电力监控主站系统。
上述实施例,通过预设关键文件,并对该预设关键文件进行扫描,得到静态病毒扫描结果,能够提高关键文件的安全性。
在一实施例中,上述动态行为分析结果包括权限变更识别结果;上述步骤S203包括:针对所述操作系统登录日志进行基线核查,得到所述权限变更识别结果。
具体地,动态行为分析,Agent对操作系统账号权限变更,静态特征配置变更作合规监测及基线核查,Agent对外来通信流量进行监测,识别外来通信是否构成安全威胁;产生主机系统静态特征或动态行为告警上送电力监控主站系统。
上述实施例,通过动态行为分析对操作系统登录日志进行基线核查,进一步提高了操作系统登录日志的安全性。
在一实施例中,若静态特征识别结果或动态行为分析结果中包含病毒特征,则将相应的源文件进行可疑文件隔离。
具体的,Agent主机安全防护还可进行防病毒处置。包括,Agent对系统内文件进行病毒扫描,针对病毒文件可进行可疑文件隔离,若静态特征识别结果或动态行为分析结果中包含病毒特征,则将相应的源文件进行可疑文件隔离;Agent还提供文件误杀恢复方法。
上述实施例,通过提供可疑文件隔离和文件误杀恢复,能够防止关键文件误删除,且能够防止被感染文件中的病毒进一步扩大。
为更清楚地解释本申请中的方法,图3展示了一实施例中厂站主机安全配套工具(即上述Agent)的功能模块示意图;主要包括数据采集功能、网络安全风险识别、主机安全防护处置措施功能模块以及监控信息交互功能。
其中,监控信息交互功能可由主站系统102来实施,主机监控系统集成联动原电力监控系统态势感知平台沙箱、威胁情报功能,提供主机安全防病毒监控扫描。
图4展示了主站系统安全监控的功能模块示意图,其功能模块包括:主机安全监测及防御概况展示、主机安全监测及防御告警监视以及报表分析功能。如图5所示,图5态势感知系统与沙箱联动的流程示意图。主站系统安全监控的功能主要实现的方法如下:
厂站Agent将厂站主机系统I/O输入信息、基线配置、病毒及可疑文件监控信息、动态威胁监测信息上送主站网络安全监控系统。
主机安全监测及防御概况展示模块主要展示厂站主机系统的基线配置情况。以树状文件结构模式下挂厂站,厂站下挂主机系统,主机系统内可查看基线配置情况。
主机安全监测及防御告警监视模块主要展示厂站主机系统的I/O输入信息、病毒及可疑文件监控信息、动态威胁监测信息基本情况。厂站主机发生USB拔插,操作系统登录,网口拔插等I/O输入信息操作,形成输入操作日志,操作日志被态势感知采集装置采集。态势感知采集装置对所采集日志进行范式化解析,并上送主站网络安全监控系统。厂站主机发现病毒文件,Agent将病毒文件放置在隔离区,同时通过态势感知采集装置向主站上送病毒特征信息。厂站主机识别到恶意通信、文件伪造等威胁情报,Agent将第一时间实施通信阻断,同时通过态势感知采集装置向主站上送威胁情报信息。
报表分析模块主要通过历史文件回溯、可疑文件分析功能对各个厂站系统主机产生的安全事件及日志文件进行分析,形成基于厂站的安全漏洞报表及威胁趋势情报报表。
所述态势感知系统为电力监控网络安全态势预警监测系统,态势感知采集装置为态势感知系统部署在厂站端的网络基本流量信息装置,负责将采集到的厂站网络基本情况上送主站。
上述实施例通过联动态势感知系统进一步提高了电网系统的风险防范实时性。
在一实施例中,如图6所示,图6为主站网络安全系统的系统架构图,站网络安全主机监控系统数据架构一共分为6个层级:采集层、通信层、计算层、存储层、服务层、应用层。其中,
采集层:采集上送的工控终端设备的主机安全的实时监测数据以及文件信息和日志信息、设备使用信息、端口信息等网络安全数据;
通信层:与主机安全监测与防御模块建立通信通道,网络安全数据按照经过通道上送到大数据后续计算层等部分;
计算层:采用kafka作为态势感知系统主机安全监测及防御配套工具的网络安全数据总线,采用spark技术完成对网络安全数据的实时计算,网络安全数据按照主题(topic)用被放入kafka数据总线,spark流处理订阅并消费不同的topic。
存储层:Elasticsearch作为态势感知系统主机安全监测及防御配套工具的全文检索库,完成对网络安全数据的全文快速检索;HBase作为实时查询库,MongoDB作为统计报表库;Hive作为全量历史库,共同完成对主机安全监测与防御结果的查询存储功能。计算层spark流处理订阅并消费不同的topic分析得出的网络安全数据,经过解析后存入Elasticsearch库,符合告警逻辑则转发到相应的topic,告警数据在被消费后存入MongoDB数据库中。
服务层:拟采用Redis应用缓存请求先访问到Redis,再访问后端数据库;服务层结合沙箱、威胁情报数据,实现对可疑文件的已知主机安全监测与防御及可疑文件的动态分析。
应用层:对厂站主机安全配套工具进行统一管理;通过对接态势感知系统,实现厂站主机安全问题情况、全网主机安全监测与防御统计报表等的集中展示;通过联动沙箱矩阵及态势感知威胁情报实现主机安全的深度分析及对历史文件的回溯分析。
上述实施例,通过从采集层、通信层、到服务层、应用层实现了全方位的安全监测及防御,实现了电网系统中从主机节点到整体层面的安全防护。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的针对电网厂站主机的安全防御方法的针对电网厂站主机的安全防御装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个针对电网厂站主机的安全防御装置实施例中的具体限定可以参见上文中对于针对电网厂站主机的安全防御方法的限定,在此不再赘述。
在一个实施例中,如图7所示,提供了一种针对电网厂站主机的安全防御装置700,包括:日志采集模块701、静态特征识别模块702、动态行为分析模块703和结果发送模块704,其中:
日志采集模块701,用于采集输入输出日志;
静态特征识别模块702,用于针对所述输入输出日志进行静态网络安全特征识别,得到静态特征识别结果;
动态行为分析模块703,用于针对所述输入输出日志进行动态行为分析,得到动态行为分析结果;
结果发送模块704,用于将所述静态特征识别结果和所述动态行为分析结果发送至主站系统。
在一实施例中,所述输入输出日志包括USB拔插操作记录、操作系统登录日志、网口拔插操作记录、预设关键文件变更操作记录和文件信息采集记录。
在一实施例中,所述操作系统登录日志包括操作系统安全审计配置信息、安全选项配置信息、防火墙状态信息和服务配置信息;所述静态网络安全特征识别结果包括基线核查结果;上述静态特征识别模块702,进一步用于:
分别针对所述操作系统安全审计配置信息、所述安全选项配置信息、所述防火墙状态信息和所述服务配置信息进行基线核查,得到所述基线核查结果。
在一实施例中,所述静态网络安全特征识别结果包括静态病毒扫描结果;上述静态特征识别模块702,进一步用于:针对所述预设关键文件变更操作记录和所述文件信息采集记录,分别进行静态病毒扫描,得到所述静态病毒扫描结果。
在一实施例中,所述动态行为分析结果包括权限变更识别结果;上述动态行为分析模块703,进一步用于:针对所述操作系统登录日志进行基线核查,得到所述权限变更识别结果。
在一实施例中,还包括可疑文件隔离单元,用于若所述静态特征识别结果或所述动态行为分析结果中包含病毒特征,则将相应的源文件进行可疑文件隔离。
上述针对电网厂站主机的安全防御装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图8所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储电力系统采集的数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种针对电网厂站主机的安全防御方法。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图9所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种针对电网厂站主机的安全防御方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图8至9中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述针对电网厂站主机的安全防御方法实施例中的各步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述针对电网厂站主机的安全防御方法实施例中的各步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述针对电网厂站主机的安全防御方法实施例中的各步骤。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (10)
1.一种针对电网厂站主机的安全防御方法,其特征在于,应用于厂站主机,所述方法包括:
采集输入输出日志;
针对所述输入输出日志进行静态网络安全特征识别,得到静态特征识别结果;
针对所述输入输出日志进行动态行为分析,得到动态行为分析结果;
将所述静态特征识别结果和所述动态行为分析结果发送至主站系统。
2.根据权利要求1所述的方法,其特征在于,所述输入输出日志包括USB拔插操作记录、操作系统登录日志、网口拔插操作记录、预设关键文件变更操作记录和文件信息采集记录。
3.根据权利要求2所述的方法,其特征在于,所述操作系统登录日志包括操作系统安全审计配置信息、安全选项配置信息、防火墙状态信息和服务配置信息;所述静态网络安全特征识别结果包括基线核查结果;所述针对所述输入输出日志进行静态网络安全特征识别,得到静态特征识别结果,包括:
分别针对所述操作系统安全审计配置信息、所述安全选项配置信息、所述防火墙状态信息和所述服务配置信息进行基线核查,得到所述基线核查结果。
4.根据权利要求2所述的方法,其特征在于,所述静态网络安全特征识别结果包括静态病毒扫描结果;所述针对所述输入输出日志进行静态网络安全特征识别,得到静态特征识别结果,还包括:
针对所述预设关键文件变更操作记录和所述文件信息采集记录,分别进行静态病毒扫描,得到所述静态病毒扫描结果。
5.根据权利要求2所述的方法,其特征在于,所述动态行为分析结果包括权限变更识别结果;所述针对所述输入输出日志进行动态行为分析,得到动态行为分析结果,包括:
针对所述操作系统登录日志进行基线核查,得到所述权限变更识别结果。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述方法还包括:
若所述静态特征识别结果或所述动态行为分析结果中包含病毒特征,则将相应的源文件进行可疑文件隔离。
7.一种针对电网厂站主机的安全防御装置,其特征在于,所述装置包括:
日志采集模块,用于采集输入输出日志;
静态特征识别模块,用于针对所述输入输出日志进行静态网络安全特征识别,得到静态特征识别结果;
动态行为分析模块,用于针对所述输入输出日志进行动态行为分析,得到动态行为分析结果;
结果发送模块,用于将所述静态特征识别结果和所述动态行为分析结果发送至主站系统。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111623038.0A CN114301669A (zh) | 2021-12-28 | 2021-12-28 | 针对电网厂站主机的安全防御方法、装置、设备和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111623038.0A CN114301669A (zh) | 2021-12-28 | 2021-12-28 | 针对电网厂站主机的安全防御方法、装置、设备和介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114301669A true CN114301669A (zh) | 2022-04-08 |
Family
ID=80969069
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111623038.0A Pending CN114301669A (zh) | 2021-12-28 | 2021-12-28 | 针对电网厂站主机的安全防御方法、装置、设备和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114301669A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018081629A1 (en) * | 2016-10-28 | 2018-05-03 | Tala Security, Inc. | Application security service |
| CN109462621A (zh) * | 2019-01-10 | 2019-03-12 | 国网浙江省电力有限公司杭州供电公司 | 网络安全保护方法、装置及电子设备 |
| CN111935064A (zh) * | 2020-05-28 | 2020-11-13 | 南京南瑞信息通信科技有限公司 | 一种工控网络威胁自动隔离方法及系统 |
| CN113595790A (zh) * | 2021-07-29 | 2021-11-02 | 国网电力科学研究院有限公司 | 一种电力终端设备的安全访问评估方法及装置 |
-
2021
- 2021-12-28 CN CN202111623038.0A patent/CN114301669A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018081629A1 (en) * | 2016-10-28 | 2018-05-03 | Tala Security, Inc. | Application security service |
| CN109462621A (zh) * | 2019-01-10 | 2019-03-12 | 国网浙江省电力有限公司杭州供电公司 | 网络安全保护方法、装置及电子设备 |
| CN111935064A (zh) * | 2020-05-28 | 2020-11-13 | 南京南瑞信息通信科技有限公司 | 一种工控网络威胁自动隔离方法及系统 |
| CN113595790A (zh) * | 2021-07-29 | 2021-11-02 | 国网电力科学研究院有限公司 | 一种电力终端设备的安全访问评估方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220210200A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
| US9661003B2 (en) | System and method for forensic cyber adversary profiling, attribution and attack identification | |
| CN104283889B (zh) | 基于网络架构的电力系统内部apt攻击检测及预警系统 | |
| CN112560027A (zh) | 一种数据安全监测系统 | |
| CN112073389B (zh) | 云主机安全态势感知系统、方法、设备及存储介质 | |
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| Eden et al. | A forensic taxonomy of SCADA systems and approach to incident response | |
| CN107563199A (zh) | 一种基于文件请求监控的勒索软件实时检测与防御方法 | |
| CN114584405B (zh) | 一种电力终端安全防护方法及系统 | |
| Taveras | SCADA live forensics: real time data acquisition process to detect, prevent or evaluate critical situations | |
| CN103051707A (zh) | 一种基于动态用户行为的云取证方法及系统 | |
| US11777961B2 (en) | Asset remediation trend map generation and utilization for threat mitigation | |
| CN110896386B (zh) | 识别安全威胁的方法、装置、存储介质、处理器和终端 | |
| Dalai et al. | Neutralizing SQL injection attack using server side code modification in web applications | |
| US11762991B2 (en) | Attack kill chain generation and utilization for threat analysis | |
| CN113132318A (zh) | 面向配电自动化系统主站信息安全的主动防御方法及系统 | |
| RU2481633C2 (ru) | Система и способ автоматического расследования инцидентов безопасности | |
| CN114301669A (zh) | 针对电网厂站主机的安全防御方法、装置、设备和介质 | |
| CN113132379A (zh) | 仓储体系智慧安防系统 | |
| CN114268481A (zh) | 内网终端违规外联信息处理方法、装置、设备和介质 | |
| Imran et al. | Provintsec: a provenance cognition blueprint ensuring integrity and security for real life open source cloud | |
| CN110933064A (zh) | 确定用户行为轨迹的方法及其系统 | |
| CN115577369B (zh) | 源代码泄露行为检测方法、装置、电子设备及存储介质 | |
| Mihailescu et al. | Unveiling Threats: Leveraging User Behavior Analysis for Enhanced Cybersecurity | |
| CN115085965B (zh) | 电力系统信息网络受攻击风险评估方法、装置和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20230809 Address after: 518000 building 501, 502, 601, 602, building D, wisdom Plaza, Qiaoxiang Road, Gaofa community, Shahe street, Nanshan District, Shenzhen City, Guangdong Province Applicant after: China Southern Power Grid Digital Platform Technology (Guangdong) Co.,Ltd. Address before: Room 86, room 406, No.1, Yichuang street, Zhongxin Guangzhou Knowledge City, Huangpu District, Guangzhou City, Guangdong Province Applicant before: Southern Power Grid Digital Grid Research Institute Co.,Ltd. |