CN114584366B - 电力监控网络安全检测系统及方法 - Google Patents
电力监控网络安全检测系统及方法 Download PDFInfo
- Publication number
- CN114584366B CN114584366B CN202210197046.1A CN202210197046A CN114584366B CN 114584366 B CN114584366 B CN 114584366B CN 202210197046 A CN202210197046 A CN 202210197046A CN 114584366 B CN114584366 B CN 114584366B
- Authority
- CN
- China
- Prior art keywords
- data
- virus
- plant station
- station
- control platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 78
- 238000000034 method Methods 0.000 title claims abstract description 31
- 238000001514 detection method Methods 0.000 title claims abstract description 26
- 230000002155 anti-virotic effect Effects 0.000 claims abstract description 130
- 241000700605 Viruses Species 0.000 claims abstract description 42
- 238000012806 monitoring device Methods 0.000 claims abstract description 32
- 238000012545 processing Methods 0.000 claims abstract description 18
- 238000003860 storage Methods 0.000 claims abstract description 9
- 238000004590 computer program Methods 0.000 claims abstract description 6
- 241000196324 Embryophyta Species 0.000 claims description 133
- 244000035744 Hura crepitans Species 0.000 claims description 10
- 230000002441 reversible effect Effects 0.000 claims description 8
- 230000010365 information processing Effects 0.000 claims description 6
- 238000007689 inspection Methods 0.000 claims description 4
- 238000012423 maintenance Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 10
- 239000003443 antiviral agent Substances 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 8
- 230000006399 behavior Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 230000007123 defense Effects 0.000 description 4
- 238000009826 distribution Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000002955 isolation Methods 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 3
- 238000007405 data analysis Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000035515 penetration Effects 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012552 review Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 231100001261 hazardous Toxicity 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000007789 sealing Methods 0.000 description 1
- 238000004659 sterilization and disinfection Methods 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Medical Informatics (AREA)
- Remote Monitoring And Control Of Power-Distribution Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请涉及一种电力监控网络安全检测系统、方法、装置、存储介质和计算机程序产品。所述系统包括:分别设于各厂站内的防病毒中心、连接防病毒中心的各监测设备、均设于主站内的防病毒管控平台和处理中心;其中防病毒中心用于接收厂站的厂站数据,并通过防病毒管控平台将厂站数据传输给处理中心;处理中心用于接收各厂站数据,并对各厂站数据进行处理得到厂站病毒数据和厂站威胁情报数据,以及将厂站病毒数据和厂站威胁情报数据输出至防病毒管控平台。采用本系统能够有效防御电力监控系统中的漏洞、威胁和攻击。
Description
技术领域
本申请涉及网络安全防护技术领域,特别是涉及一种电力监控网络安全检测系统及方法。
背景技术
随着网络技术的发展,网络安全威胁的方式层出不穷。其中电力监控系统受到的病毒、蠕虫、后门和木马等网络威胁,以及网络攻击、安全漏洞等威胁事件越来越多;其次伴随着电力系统自动化、信息化、智能化技术的深入发展和广泛应用,电力系统大量业务应用部署在电力外网侧,其中包括移动作业APP(Application),无人机巡检、配网运检车等业务应用。
由于电力监控系统中多型网络安全设备的孤立堆叠,且电力监控系统的漏洞与威胁监测和安全防护之间缺乏有机联系,因此存在难以有效防御电力系统中各种新型网络攻击行为的问题。
发明内容
基于此,有必要针对上述技术问题,提供一种电力监控网络安全检测系统、方法、装置和计算机可读存储介质。
第一方面,本申请提供了一种电力监控网络安全检测系统。所述系统包括分别设于各厂站内的防病毒中心、连接所述防病毒中心的各监测设备、均设于主站内的防病毒管控平台和处理中心;其中,所述处理中心连接所述防病毒管控平台,所述防病毒管控平台与各所述防病毒中心相连;
所述防病毒中心用于接收所述厂站的厂站数据,并通过所述防病毒管控平台将所述厂站数据传输给所述处理中心;所述厂站数据为所述厂站采集对应的所述监测设备所得到的数据;
所述处理中心用于接收各所述厂站数据,并对各所述厂站数据进行处理得到厂站病毒数据和厂站威胁情报数据,以及将所述厂站病毒数据和所述厂站威胁情报数据输出至所述防病毒管控平台。
在其中一个实施例中,所述处理中心包括沙箱集群;
所述沙箱集群用于接收并对各所述厂站数据进行分析得到所述厂站病毒数据,以及将所述厂站病毒数据输出至所述防病毒管控平台。
在其中一个实施例中,所述处理中心还包括威胁情报处理中心;
所述威胁情报处理中心用于接收并对各所述厂站数据进行分析得到所述厂站威胁情报数据,以及将所述厂站威胁情报数据输出至所述防病毒管控平台。
在其中一个实施例中,所述监测设备包括以下设备中的任意一种或任意组合:工作站和服务器;
所述防病毒管控平台与各所述防病毒中心之间通过反向代理通道进行连接。
在其中一个实施例中,所述防病毒管控平台还用于对各所述监测设备发出调用指令;所述调用指令包括基线核查指令和主动断网指令;
所述基线核查指令用于指示所述防病毒管控平台对各所述监测设备进行基线核查;所述主动断网指令用于指示各所述监测设备进行主动断网。
在其中一个实施例中,所述防病毒管控平台还用于在任一所述监测设备受恶意攻击的情况下,接收所述防病毒中心传输的攻击事件,并对所述攻击事件进行分析展示,且输出告警结果;所述攻击事件为任一所述监测设备产生并发送给所述防病毒中心的数据。
第二方面,本申请还提供了一种电力监控网络安全检测方法。所述方法包括以下步骤:
接收由所述防病毒管控平台传输的各所述厂站数据;
对各所述厂站数据进行处理得到所述厂站病毒数据和所述厂站威胁情报数据;
将所述厂站病毒数据和所述厂站威胁情报数据输出至所述防病毒管控平台。
第三方面,本申请还提供了一种电力监控系统网络安全检测装置。所述装置包括:
数据接收模块,用于接收由所述防病毒管控平台传输的各所述厂站数据;
检测处理模块,用于对各所述厂站数据进行处理得到所述厂站病毒数据和所述厂站威胁情报数据,并将所述厂站病毒数据和所述厂站威胁情报数据输出至所述防病毒管控平台。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
接收由所述防病毒管控平台传输的各所述厂站数据;
对各所述厂站数据进行处理得到所述厂站病毒数据和所述厂站威胁情报数据;
将所述厂站病毒数据和所述厂站威胁情报数据输出至所述防病毒管控平台。
上述电力监控网络安全检测系统、方法、装置和计算机可读存储介质,本申请依次通过防病毒中心和防病毒管控平台将厂站数据传输至处理中心,继而利用处理中心对该厂站数据进行处理得到厂站病毒数据和厂站威胁情报数据,并将处理得到的数据输出至防病毒管控平台,从而能够对电力监控系统中的漏洞、威胁和攻击进行有效防御,实现电力监控系统的安全防护与威胁的高度关联和协同联动,提高配电系统的可靠性、安全性和智能化水平。
附图说明
图1为一个实施例中电力监控网络安全检测系统的结构示意图;
图2为一个实施例中电力监控网络安全检测系统的具体结构示意图;
图3为另一个实施例中电力监控网络安全检测系统的具体结构示意图;
图4为一个实施例电力监控网络安全检测系统中数据采集及处理示意图;
图5为一个实施例中电力监控网络安全检测方法的流程示意图。
具体实施方式
为了便于理解本申请,下面将参照相关附图对本申请进行更全面的描述。附图中给出了本申请的实施例。但是,本申请可以以许多不同的形式来实现,并不限于本文所描述的实施例。相反地,提供这些实施例的目的是使本申请的公开内容更加透彻全面。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中在本申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请。
随着工业互联网和工业4.0等战略的提出,工业生产的数字化已然成为一种不可阻挡的未来趋势。计算机技术和网络通信技术在电力工业控制系统的广泛应用,传统电力工业控制系统逐步打破了以往的封闭性和专有性,标准、通用的通信协议及软硬件系统应用愈发广泛。
电力系统中大量业务应用部署在电力外网侧,但是由于网络安全要求,电力内外网被物理隔离,运维人员无法直接在电力内网远程管控外网侧的设备,传统方式需要人员去现场完成运维工作,该方式工作量大,工作效率低,运维成本高;其次现有的主机网络安全监测及防御的解决方案仅适用于互联网应用环境,并不适用于电力监控系统点多面广、孤岛众多的工控环境,由于电力监控系统中多型网络安全设备的孤立堆叠,因此现有技术并不能瞄准针对电力系统的新型网络攻击进行有效防御,且电力监控系统的漏洞与威胁监测和安全防护之间缺乏有机联系,存在局部防御过度、局部防御不足的问题,难以有效防御具有系统性攻击的攻击行为。
本申请通过通信代理技术实现孤岛网络主机的安全数据采集和数据分析,并且基于正反向代理技术支持接入运维工具的数据连接请求,并发布携带运维对象身份标识的请求数据流,以及支持提供连接电力内网侧和电力外网侧的穿透通道,接收请求数据流形成的服务端消息,并连接运维对象完成运维数据流贯通,从而能够对电力监控系统中的漏洞、威胁和攻击进行有效防御,帮助运维人员全面获取数据、实时掌控状态、降低运维成本、提高工作效率并加快电气异常的响应速度,极大地提高配电系统的可靠性、安全性和智能化水平,实现电力监控系统的安全防护与威胁的高度关联和协同联动,实现全方位的个体监控、整区监控、协同防御网络威胁、安全分析、实时告警,立体全面地保障电力监控系统的网络安全。
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在一个实施例中,如图1所示,提供了一种电力监控网络安全检测系统,可以包括分别设于各厂站内的防病毒中心110、连接防病毒中心110的各监测设备120、均设于主站内的防病毒管控平台130和处理中心140;其中,处理中心140连接防病毒管控平台130,防病毒管控平台130与各防病毒中心110相连;
防病毒中心110用于接收厂站的厂站数据,并通过防病毒管控平台130将厂站数据传输给处理中心140;厂站数据为厂站采集对应的监测设备120所得到的数据;
处理中心140用于接收各厂站数据,并对各厂站数据进行处理得到厂站病毒数据和厂站威胁情报数据,以及将厂站病毒数据和厂站威胁情报数据输出至防病毒管控平台130。
具体地,每个厂站内均设有防病毒中心110,以及连接该防病毒中心110的各监测设备120,厂站负责采集其对应的监测设备120的数据,从而得到厂站数据,厂站数据可以包括日志信息、流量情报信息和病毒信息,在一些示例中,监测设备120可以包括服务器、工作站、网络设备和安全防护设备,该监测设备120也就是厂站的资产,进一步地,厂站还可以采集服务器和工作站的用户登录信息、操作行为信息、网络连接信息、系统配置信息、权限变更信息、硬件配置信息、硬件状态信息、系统运行信息、外设接入信息和平台核查指令信息等;其次针对局域网内交换机设备、连接交换机的活跃设备等网络设备的拓扑信息、在线时长、CPU利用率、内存利用率、网口状态和网络连接情况等网络设备运行信息进行采集;厂站还可以对监测设备120的登录操作、网口拔插、USB拔插、关键文件变更等行为信息采集并监控,对文件信息和进程状态进行采集,其中文件信息包括文件详细信息、hash、签名、版本、文件格式和大小,进程状态包括操作行为、操作描述、应用场景和文件实体,并支持对其相关的数据进行采集并关联,例如发现时间、计算机名、IP地址、文件名、威胁名称等;厂站还支持通过GB/T 31992协议采集安全防护设备的信息,该信息包括安全防护设备自身策略的安全事件、配置信息、运行信息和操作信息;
进一步地,厂站将采集的厂站数据传输至其对应的防病毒中心110,在一些示例中,厂站内的资产均可以安装防病毒Agent以形成安全防护客户端,例如安装有防病毒Agent的工作站,其中Agent可以负责监控工作站通信端口,扫描工作站磁盘内容信息,采集得到工作站的日志信息和通信流量等厂站数据,并负责将其传输到防病毒中心前置服务器中;
防病毒中心110在接收到厂站数据后又通过防病毒管控平台130将厂站数据传输给处理中心140,其中防病毒管控平台130部署于电力监控系统局域网内,可以建立分布式存储机制,用于分别存储各厂站采集对应的监测设备120所得的厂站数据;继而处理中心140对接收到的厂站数据分析处理并得到厂站病毒数据和厂站威胁情报数据,以及将处理得到的数据输出至防病毒管控平台130。
上述电力监控网络安全检测系统,通过厂站采集对应监测设备120得到厂站数据,继而依次通过防病毒中心110和防病毒管控平台130将厂站数据最终传输至处理中心140,从而处理中心140对其进行处理得到厂站病毒数据和厂站威胁情报数据,并将处理得到的数据输出至防病毒管控平台130,以便运维人员实时查阅和掌控电力监控系统的网络安全状态,解决了电力监控系统中的威胁和防护问题,实现了对电力监控系统中的漏洞、威胁和攻击的有效防御。
在其中一个实施例中,处理中心140包括沙箱集群;
沙箱集群用于接收并对各厂站数据进行分析得到厂站病毒数据,以及将厂站病毒数据输出至防病毒管控平台130。
其中,防病毒管控平台130依赖分布式数据库信息与态势感知系统沙箱集群进行联动,通过沙箱功能分析厂站数据中的病毒信息等而得到厂站病毒数据,并将其输出给防病毒管控平台130。
在其中一个实施例中,处理中心140还包括威胁情报处理中心;
威胁情报处理中心用于接收并对各厂站数据进行分析得到厂站威胁情报数据,以及将厂站威胁情报数据输出至防病毒管控平台130。
其中,防病毒管控平台130依赖分布式数据库信息还可以与威胁情报处理中心进行联动,威胁情报处理中心通过对厂站数据中的流量情报信息等分析得到厂站威胁情报数据,同样将其输出至防病毒管控平台130。
在一个具体示例中,如图2所示,厂站内工作站将产生的厂站数据上送至相应的厂站防病毒中心110,厂站防病毒中心110继续将该厂站数据上送至防病毒管控平台130,防病毒管控平台130通过与沙箱集群的联动得到厂站病毒数据,以及通过与威胁情报处理中心的联动得到厂站威胁情报数据。
在其中一个实施例中,监测设备120包括以下设备中的任意一种或任意组合:工作站和服务器;
防病毒管控平台130与各防病毒中心110之间通过反向代理通道进行连接。
其中,防病毒管控平台130与各防病毒中心110之间通过反向代理通道建立数据总线通道,实现各监测设备120与内网防病毒管控平台130的无缝对接,及关联主机的有效捕捉,从而帮助网络管理者实时监测网络安全状态,便于及时作出安全处置措施,保障网络、数据安全传输及设备安全等;
在一个具体示例中,当监测设备120仅包括工作站时,电力监控网络安全检测系统的具体结构示意图如图3所示,其中,XX厂站内设有XX厂站防病毒中心1,且该防病毒中心1连接有相应的工作站1和工作站2等,另一XX厂站内设有XX厂站防病毒中心2,且该防病毒中心2同样连接有对应的工作站1和工作站2等,再另一XX厂站内设有XX厂站防病毒中心3,且该防病毒中心3同样连接有对应的工作站1和工作站2等,其中,XX厂站防病毒中心1、XX厂站防病毒中心2、XX厂站防病毒中心3等均通过反向代理通道与主站内防病毒管控平台相连,防病毒管控平台又分别与沙箱集群和威胁情报数据中心相连。
在一些示例中,可以利用分布式孤岛网络的服务代理技术(数据中继技术),充当防病毒Agent和主站主机安全监控模块(也就是防病毒管控平台130)交互的“中间人”,在两者之间形成通信隧道,从而为两者之间的请求和回应实现封装传输,与主机安全监测及防御业务解耦,作为一种透明的支撑技术实现数据中继,在安全网络隔离的情况下进行信息安全交换,将厂站主机系统内的I/O输入信息、基线配置、病毒及可疑文件监控信息、动态威胁监测信息上送防病毒管控平台130,既能保证各网络之间系统的安全隔离交换,又能保证内部信息网络不受来自外界的黑客攻击,解决了防病毒管控平台130主站系统与防病毒Agent在孤岛网络环境下的数据接入难题;
具体来说,防病毒管控平台130主站系统为每个防病毒Agent分配全局唯一的终端编号,用于数据的点到点加密传输;当电力终端(即监测设备120)间开始传输数据时,由发送者计算明文消息的校验码之后再确定含校验码的明文消息,其中校验码的打开方式设置为只读,发送者对含校验码的明文消息加密,从而获得密文消息。
通过前述方法可以达到数据安全传输、高并发、高可用及高可扩展,并且支持通过定期轮询服务平台的控制指令,最终实现各电力监控系统及厂站变电站的数据安全传输,有效对电力监控系统各站点服务器起到安全防护作用并减少攻击。
在其中一个实施例中,防病毒管控平台130还用于对各监测设备120发出调用指令;调用指令包括基线核查指令和主动断网指令;
基线核查指令用于指示防病毒管控平台130对各监测设备120进行基线核查;主动断网指令用于指示各监测设备120进行主动断网。
具体地,在一些示例中,防病毒管控平台130可以利用通信功能,对变电站内的网络通信装置进行集中采集配置及远程监控,同时采用自定义TCP(Transmission ControlProtocol)协议与服务器、变电站等设备通信,实现对服务器、变电站等设备的信息采集、数据分析与远程处置命令控制,进而通过管理指令隔离可疑文件实现应急处置,同时具备应急还原功能,即可疑文件的误杀恢复;
防病毒管控平台130还可以通过远程调阅采集信息、上传事件等数据信息,具体可以根据时间段、设备类型、事件等级、事件记录个数等综合过滤条件远程调阅该数据信息;还可以对厂站内的资产(也就是监测设备120)进行远程资产的杀毒及管理,监视资产防护客户端的版本及其关联的病毒库详细版本信息,以及资产信息列表、资产病毒扫描、展示资产的病毒扫描结果等;还可以对参数配置进行远程管理,参数包括系统参数、通信参数及事件处理参数;还可以通过代理方式对服务器、变电站等监测设备发出调用指令,具体地,可以实现对监测设备的基线核查指令和设备主动断网指令的调用,以及通过代理方式实现对服务器、变电站等监测设备的关键文件清单、危险操作定义值、周期性事件上报周期等参数的添加、删除、修改和查看。
上述防病毒管控平台130,可以大大提高变电站设备的可靠性和运维水平,满足变电站运行管理自动化、智能化的需求,实现远程杀毒。
在其中一个实施例中,防病毒管控平台130还用于在任一监测设备120受恶意攻击的情况下,接收防病毒中心110传输的攻击事件,并对攻击事件进行分析展示,且输出告警结果;攻击事件为任一监测设备120产生并发送给防病毒中心110的数据。
具体来说,在一些示例中,防病毒管控平台130可以对采集到的用户的站点、回路、设备进行全方位、全时段的监控,并实时记录各项参数和状态变化,防病毒管控平台130还可以对内存使用率、网口流量、用户登录失败等信息进行分析处理,并发现事件及时通知,根据处理结果决定是否形成新的上报事件;防病毒管控平台130还可以对网络设备的日志信息进行分析处理,提取出需要的事件信息,以形成外设接入事件、用户登录事件、危险操作事件、状态异常事件等上传事件;
在一个具体示例中,如图4所示,厂站内的资产产生日志信息,日志信息包括登录操作信息、网络接入信息、移动介质接入信息、关键文件变更信息和通信对信息,进而将该日志信息传输至安全防护客户端,安全防护客户端在接收到该资产日志后通过日志范式化解析成事件,并将该事件通过反向代理通道传输给主机安全监测平台(也就是防病毒管控平台130),继而主机安全监测平台对事件数据入库,并分析展示;
当任一监测设备120(也就是受监视资产)受到恶意代码攻击行为的情况下,安全防护客户端将通过调用恶意代码通道,将攻击事件经防病毒中心110由反向代理通道及时上送至主站防病毒管控平台130,防病毒管控平台130完成分析后,并展示该恶意代码攻击事件的详情,并产生对应告警结果且支持以列表的形式综合展示各个接口的运行状态列表。
防病毒管控平台130还支持对厂站内的资产及其安装的安全防护客户端进行监视,以用于危险资产展示;具体地,可以根据历史恶意代码攻击事件对感染恶意代码的资产依据感染次数进行排名,并分析其危险等级,也可以根据攻击事件信息判断黑客的恶意程度,并支持以列表的形式综合展示各资产的运行状态,在有异常状态的情况下输出威胁告警结果和溯源分析结果,并将输出的结果以界面进行展示,其中溯源分析结果包括以下任意一种:网络攻击来源、网络攻击目的和网络攻击路径;
上述电力监控网络安全检测系统,可以实现在安全网络隔离情况下的信息安全交换,既能保证各网络之间系统信息的安全隔离交换,又能保证内部信息网络不受来自外界的黑客攻击,实现全方位的数据安全传输、远程控制、数据采集、事件告警、数据分析等业务功能,从而大大提高用户变配电综合管理水平。
在一个实施例中,如图5所示,提供了一种电力监控网络安全检测方法,以该方法应用于上述电力监控网络安全检测系统中的处理中心140为例,可以包括以下步骤:
步骤S510,接收由防病毒管控平台130传输的各厂站数据;
步骤S520,对各厂站数据进行处理得到厂站病毒数据和厂站威胁情报数据;
步骤S530,将厂站病毒数据和厂站威胁情报数据输出至防病毒管控平台130。
具体来说,首先接收由防病毒管控平台130传输的各厂站数据,进而对各厂站数据进行分析处理,进而分别得到厂站病毒数据和厂站威胁情报数据,并将处理得到的结果输出至防病毒管控平台130,以便运维人员实时查阅和实时监控电力监控网络的安全状态。
上述电力监控网络安全检测方法,可以解决电力监控系统中的威胁和防护问题,实现对电力监控系统中的漏洞、威胁和攻击的有效防御。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的电力监控网络安全检测方法的电力监控网络安全检测装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个电力监控网络安全检测装置实施例中的具体限定可以参见上文中对于电力监控网络安全检测方法的限定,在此不再赘述。
在一个实施例中,提供了一种电力监控系统网络安全检测装置,所述装置包括:
数据接收模块,用于接收由防病毒管控平台130传输的各厂站数据;
检测处理模块,用于对各厂站数据进行处理得到厂站病毒数据和厂站威胁情报数据,并将厂站病毒数据和厂站威胁情报数据输出至防病毒管控平台130。
上述电力监控系统网络安全检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (8)
1.一种电力监控网络安全检测系统,其特征在于,所述系统包括分别设于各厂站内的防病毒中心、连接所述防病毒中心的各监测设备、均设于主站内的防病毒管控平台和处理中心;其中,所述处理中心连接所述防病毒管控平台,所述防病毒管控平台与各所述防病毒中心相连;
所述防病毒中心用于接收所述厂站的厂站数据,并通过所述防病毒管控平台将所述厂站数据传输给所述处理中心;所述厂站数据为所述厂站采集对应的所述监测设备所得到的数据;
所述处理中心用于接收各所述厂站数据,并对各所述厂站数据进行处理得到厂站病毒数据和厂站威胁情报数据,以及将所述厂站病毒数据和所述厂站威胁情报数据输出至所述防病毒管控平台;
所述处理中心包括沙箱集群;
所述沙箱集群用于接收并对各所述厂站数据进行分析得到所述厂站病毒数据,以及将所述厂站病毒数据输出至所述防病毒管控平台。
2.根据权利要求1所述的系统,其特征在于,所述处理中心还包括威胁情报处理中心;
所述威胁情报处理中心用于接收并对各所述厂站数据进行分析得到所述厂站威胁情报数据,以及将所述厂站威胁情报数据输出至所述防病毒管控平台。
3.根据权利要求1所述的系统,其特征在于,所述监测设备包括以下设备中的任意一种或任意组合:工作站和服务器;
所述防病毒管控平台与各所述防病毒中心之间通过反向代理通道进行连接。
4.根据权利要求1至3任意一项所述的系统,其特征在于,
所述防病毒管控平台还用于对各所述监测设备发出调用指令;所述调用指令包括基线核查指令和主动断网指令;
所述基线核查指令用于指示所述防病毒管控平台对各所述监测设备进行基线核查;所述主动断网指令用于指示各所述监测设备进行主动断网。
5.根据权利要求4所述的系统,其特征在于,
所述防病毒管控平台还用于在任一所述监测设备受恶意攻击的情况下,接收所述防病毒中心传输的攻击事件,并对所述攻击事件进行分析展示,且输出告警结果;所述攻击事件为任一所述监测设备产生并发送给所述防病毒中心的数据。
6.一种电力监控网络安全检测方法,其特征在于,所述方法应用于权利要求1至5中任一项所述的电力监控网络安全检测系统中的处理中心,所述方法包括以下步骤:
接收由所述防病毒管控平台传输的各所述厂站数据;
对各所述厂站数据进行处理得到所述厂站病毒数据和所述厂站威胁情报数据;
将所述厂站病毒数据和所述厂站威胁情报数据输出至所述防病毒管控平台。
7.一种电力监控系统网络安全检测装置,其特征在于,所述装置应用于权利要求1至5中任一项所述的电力监控网络安全检测系统中的处理中心,所述装置包括:
数据接收模块,用于接收由所述防病毒管控平台传输的各所述厂站数据;
检测处理模块,用于对各所述厂站数据进行处理得到所述厂站病毒数据和所述厂站威胁情报数据,并将所述厂站病毒数据和所述厂站威胁情报数据输出至所述防病毒管控平台。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求6所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210197046.1A CN114584366B (zh) | 2022-03-01 | 2022-03-01 | 电力监控网络安全检测系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210197046.1A CN114584366B (zh) | 2022-03-01 | 2022-03-01 | 电力监控网络安全检测系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114584366A CN114584366A (zh) | 2022-06-03 |
CN114584366B true CN114584366B (zh) | 2024-05-07 |
Family
ID=81776737
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210197046.1A Active CN114584366B (zh) | 2022-03-01 | 2022-03-01 | 电力监控网络安全检测系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114584366B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115941326A (zh) * | 2022-12-07 | 2023-04-07 | 贵州电网有限责任公司 | 一种后台监控机加固方法 |
CN115986944B (zh) * | 2023-03-10 | 2023-06-09 | 广东正超电气有限公司 | 一种通过dtu传输配电环网柜在线监测和环境监测数据的方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111343169A (zh) * | 2020-02-19 | 2020-06-26 | 中能融合智慧科技有限公司 | 一种工控环境下安全资源汇聚与情报共享的系统及方法 |
WO2021017614A1 (zh) * | 2019-07-31 | 2021-02-04 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、系统、装置及存储介质 |
CN112422527A (zh) * | 2020-11-03 | 2021-02-26 | 中国南方电网有限责任公司 | 变电站电力监控系统的安全防护系统、方法和装置 |
CN113783886A (zh) * | 2021-09-17 | 2021-12-10 | 国网江苏省电力有限公司常州供电分公司 | 一种基于情报和数据的电网智慧运维方法及其系统 |
-
2022
- 2022-03-01 CN CN202210197046.1A patent/CN114584366B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021017614A1 (zh) * | 2019-07-31 | 2021-02-04 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、系统、装置及存储介质 |
CN111343169A (zh) * | 2020-02-19 | 2020-06-26 | 中能融合智慧科技有限公司 | 一种工控环境下安全资源汇聚与情报共享的系统及方法 |
CN112422527A (zh) * | 2020-11-03 | 2021-02-26 | 中国南方电网有限责任公司 | 变电站电力监控系统的安全防护系统、方法和装置 |
CN113783886A (zh) * | 2021-09-17 | 2021-12-10 | 国网江苏省电力有限公司常州供电分公司 | 一种基于情报和数据的电网智慧运维方法及其系统 |
Also Published As
Publication number | Publication date |
---|---|
CN114584366A (zh) | 2022-06-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Ahmed et al. | Scada systems: Challenges for forensic investigators | |
CN114584366B (zh) | 电力监控网络安全检测系统及方法 | |
Lin et al. | Cyber attack and defense on industry control systems | |
CN109739203B (zh) | 一种工业网络边界防护系统 | |
CN110958262A (zh) | 电力行业泛在物联网安全防护网关系统、方法及部署架构 | |
US11606368B2 (en) | Threat control method and system | |
Eden et al. | A forensic taxonomy of SCADA systems and approach to incident response | |
CN214306527U (zh) | 一种燃气管网调度监控网络安全系统 | |
Januário et al. | Security challenges in SCADA systems over Wireless Sensor and Actuator Networks | |
US11378929B2 (en) | Threat detection system for industrial controllers | |
CN113259356A (zh) | 大数据环境下的威胁情报与终端检测响应方法及系统 | |
AbuEmera et al. | Security framework for identifying threats in smart manufacturing systems using STRIDE approach | |
Guo et al. | A survey of industrial control system devices on the Internet | |
US10387351B2 (en) | One-way data transfer device with onboard system detection | |
CN108833333B (zh) | 一种基于dcs分布式控制的蜜罐系统 | |
CN114125083A (zh) | 工业网络分布式数据采集方法、装置、电子设备及介质 | |
Graveto et al. | A network intrusion detection system for building automation and control systems | |
Pan et al. | Anomaly behavior analysis for building automation systems | |
Gautam et al. | Suessa: Sustainable & ultra-elastic stack security architecture for securing iot networks of future smart cities | |
Louati et al. | Big-IDS: a decentralized multi agent reinforcement learning approach for distributed intrusion detection in big data networks | |
Kamal et al. | Identifying and scoring vulnerability in scada environments | |
CN115102725B (zh) | 一种工业机器人的安全审计方法、装置及介质 | |
Pancaroglu et al. | An analysis of the current state of security in the Internet of Things | |
Sand | Incident handling, forensics sensors and information sources in industrial control systems | |
An et al. | Trusted collection, management and sharing of data based on blockchain and IoT devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |