CN115021953A - 一种网络安全监控装置 - Google Patents

一种网络安全监控装置 Download PDF

Info

Publication number
CN115021953A
CN115021953A CN202210405868.4A CN202210405868A CN115021953A CN 115021953 A CN115021953 A CN 115021953A CN 202210405868 A CN202210405868 A CN 202210405868A CN 115021953 A CN115021953 A CN 115021953A
Authority
CN
China
Prior art keywords
network security
unit
alarm
data
data acquisition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210405868.4A
Other languages
English (en)
Other versions
CN115021953B (zh
Inventor
宾冬梅
余通
凌颖
陈文迪
陆力瑜
刘慕娴
刘桂华
杨春燕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electric Power Research Institute of Guangxi Power Grid Co Ltd
Original Assignee
Electric Power Research Institute of Guangxi Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electric Power Research Institute of Guangxi Power Grid Co Ltd filed Critical Electric Power Research Institute of Guangxi Power Grid Co Ltd
Priority to CN202210405868.4A priority Critical patent/CN115021953B/zh
Publication of CN115021953A publication Critical patent/CN115021953A/zh
Application granted granted Critical
Publication of CN115021953B publication Critical patent/CN115021953B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于电力领域,尤其涉及一种网络安全监控装置,包括触发式告警单元、网络安全分析单元、数据采集单元、系统管理单元和反制阻断单元。通过数据采集单元能够获取电力监控系统的数据以实现对电力监控系统的监控能力;通过网络安全分析单元能够分析得到IP设备的安全事件以便于针对安全事件提出改进;通过触发式告警单元根据下发的告警分析规则解析数据得到外部攻击特征以及自身脆弱性特征以形成网络安全告警以提高对攻击行为的防范能力;通过反制阻断单元实现对IP资产进行保护,能够降低系统受到攻击造成的损失;通过系统管理单元实现集中配置以调高整体的管理效率。

Description

一种网络安全监控装置
技术领域
本发明属于电力监控技术领域,尤其涉及一种网络安全监控装置。
背景技术
随着网络技术的发展,网络安全问题日益突出,黑客入侵以及网络攻击现象日益增多。电力监控系统作为国家关键信息基础设施,面临的网络安全形势日趋严峻,一旦遭受网络安全攻击将可能导致大面积停电事件,严重威胁企业安全。因此,对电力监控系统开展网络安全集中监控以及分析十分必要。
发明内容
为了解决或者改善上述问题,本发明提供了一种网络安全监控装置,具体技术方案如下:
本发明提供一种网络安全监控装置,包括:触发式告警单元、网络安全分析单元、数据采集单元、系统管理单元和反制阻断单元;其中,所述数据采集单元用于采集电力监控系统当中的网络安全日志以及网络安全流量;所述网络安全分析单元用于根据网络安全主站系统下发的日志/流量规则分析出IP设备的自身脆弱性安全事件以及所述IP设备遭受到的外部攻击安全事件;所述触发式告警单元用于根据所述网络安全主站系统下发的告警分析规则、自身日志的告警分析规则,提取网络安全日志数据以及网络安全流量数据的外部攻击特征以及自身脆弱性特征,形成网络安全告警;所述反制阻断单元用于根据所述网络安全主站系统下发的控制指令对网络攻击者进行阻断和对遭受到攻击行为的 IP资产进行保护;系统管理单元用于对所述网络安全监控装置进行集中配置;所述数据采集单元与所述网络安全分析单元连接;所述网络安全分析单元与所述触发式告警单元、所述数据采集单元、所述系统管理单元连接;所述触发式告警单元与所述系统管理单元、所述网络安全分析单元连接;所述系统管理单元与所述触发式告警单元、所述反制阻断单元连接;所述反制阻断单元与系统管理单元连接。
优选的,所述触发式告警单元用于获取所述网络安全主站系统下发的日志/ 流量规则分析规则、告警规则,并将所述日志/流量分析规则转发至所述网络安全分析单元;所述系统管理单元用于获取所述网络安全主站系统下发的控制指令,并通知所述反制阻断单元对网络攻击者进行阻断或对遭受到攻击行为的IP 资产进行保护。
优选的,所述数据采集单元通过主动探测模式和被动监听模式进行数据采集;网络安全监控装置部署在电力监控系统的中控制区、非控制区和生产管理区,对所述IP设备的网络安全日志类数据和流量类数据进行集中采集;
其中,主动探测模式包括:SNMP、ICMP、SSH、漏洞扫描和基线核查;被动监听模式包括:流量嗅探、syslog日志采集、snmp trap日志采集、防病毒数据采集;所述数据采集单元根据所述网络安全主站系统下发的控制指令修改本次数据采集周期的参数;所述数据采集单元将采集得到的网络安全数据传输至所述网络安全分析单元。
优选的,所述网络安全分析单元包括用于分析外部攻击行为的分析组件和分析自身脆弱性的分析组件;其中,所述外部攻击行为包括物理接近攻击、dos 攻击、web应用攻击和基于操作系统漏洞的攻击;所述自身脆弱性包括操作系统自身漏洞、WEB系统漏洞、开放高危端口及服务、网络资产。
优选的,所述网络安全分析单元根据网络安全流量数据的分析规则自动分析网络嗅探的流量以分析流量网络安全事件,以及根据日志分析规则分析日志网络安全事件。
优选的,所述触发式告警单元根据所述网络安全主站系统下发的告警规则以及自身预设的告警规则对流量网络安全事件、日志网络安全事件进行综合分析,并产生安全告警,并通过将安全告警转发至所述网络安全主站系统以进行集中展示。
优选的,所述数据采集单元根据上一数据采集周期内触发告警记录修改本次数据采集周期的参数,根据上一数据采集周期内不同的告警类型触发次数与总风险警告触发次数的关系,改变本次数据采集周期的时长。
优选的,所述根据上一数据采集周期内不同的告警类型触发次数与总风险警告触发次数的关系,改变本次数据采集周期的时长包括:所述上一数据采集周期为f1秒,总风险触发次数为a,告警类型为高中风险告警的触发次数为b,告警类型为中风险告警的触发次数为c,告警类型为低风险告警的触发次数为 d,a=b+c+d;所述本次数据采集周期的时长
Figure 2
优选的,所述网络安全分析单元包括数据分类组件,用于根据内部设备的重要程度,将所述主动探测模式下采集到的数据分类;对应的,所述网络安全分析单元,用于当所述被动采集模式下的一个数据采集周期的时长大于前一个数据采集周期的时长时,存储所述主动探测模式下采集到的数据并根据数据的类型确定优先分析数据。
本发明的有益效果为:通过数据采集单元能够获取电力监控系统的数据以实现对电力监控系统的监控能力;通过网络安全分析单元能够分析得到IP设备的安全事件以便于针对安全事件提出改进;通过触发式告警单元根据下发的告警分析规则解析数据得到外部攻击特征以及自身脆弱性特征以形成网络安全告警以提高对攻击行为的防范能力;通过反制阻断单元实现对IP资产进行保护,能够降低系统受到攻击造成的损失;通过系统管理单元实现集中配置以调高整体的管理效率。
附图说明
图1是根据本发明的网络安全监控装置的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/ 或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
为了解决或者改善网络数据监控效率不高的问题,提出如图1所示的一种网络安全监控装置,包括:触发式告警单元、网络安全分析单元、数据采集单元、系统管理单元和反制阻断单元;其中,所述数据采集单元用于采集电力监控系统当中的网络安全日志以及网络安全流量;所述网络安全分析单元用于根据网络安全主站系统下发的日志/流量规则分析出IP设备(包括IP设备1~n) 的自身脆弱性安全事件以及所述IP设备遭受到的外部攻击安全事件;所述触发式告警单元用于根据所述网络安全主站系统下发的告警分析规则、自身日志的告警分析规则,提取网络安全日志数据以及网络安全流量数据的外部攻击特征以及自身脆弱性特征,形成网络安全告警;所述反制阻断单元用于根据所述网络安全主站系统下发的控制指令对网络攻击者进行阻断和对遭受到攻击行为的 IP资产进行保护;系统管理单元用于对所述网络安全监控装置进行集中配置;所述数据采集单元与所述网络安全分析单元连接;所述网络安全分析单元与所述触发式告警单元、所述数据采集单元、所述系统管理单元连接;所述触发式告警单元与所述系统管理单元、所述网络安全分析单元连接;所述系统管理单元与所述触发式告警单元、所述反制阻断单元连接;所述反制阻断单元与系统管理单元连接。
电力监控系统是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及做为基础支撑的通信及数据网络。
电力监控系统包括多种设备,电力监控系统需要掌控这些设备输出的数据来判断系统运行状态,为此需要设置对应的数据采集路径并对采集到的数据进行处理。
系统管理单元控制所述数据采集单元和所述触发式告警单元。数据采集单元包括数据接口、交换器和存储器等结构,网络安全分析单元包括数据端口、处理器和处理器等结构,通过端口连接不同的数据接口并获取电力监控系统相关的设备输出的数据,处理器会根据预设的程序处理采集道的数据。触发式告警单元会根据数据来输出告警信息。电力监控系统包括生产管理区和控制区,网络安全监控装置可以设置在这两个区域。
系统管理单元用于获取电力监控系统工作人员输入的设定数据;所述数据采集单元根据所述设定数据获取电力监控系统中控制区、非控制区和生产管理区相关的设备日志/网络安全日志的数据、网络安全流量和设备通信数据;所述数据采集单元将汇集得到的数据传输至所述网络安全分析单元。
网络安全分析单元用于根据网络安全主站系统下发的日志/流量规则分析出IP设备的自身脆弱性安全事件以及所述IP设备遭受到的外部攻击安全事件。
所述触发式告警单元用于获取所述网络安全主站系统下发的日志/流量规则分析规则、告警规则,并将所述日志/流量分析规则转发至所述网络安全分析单元;所述系统管理单元用于获取所述网络安全主站系统下发的控制指令,并通知所述反制阻断单元对网络攻击者进行阻断或对遭受到攻击行为的IP资产进行保护。
数据采集单元与网络安全分析单元连接;网络安全分析单元与触发式告警单元、数据采集单元、系统管理单元连接;触发式告警单元与系统管理单元、网络安全分析单元连接;系统管理单元与触发式告警单元、所述反制阻断单元连接;反制阻断单元与系统管理单元连接
所述数据采集单元通过主动探测模式和被动监听模式进行数据采集;网络安全监控装置部署在电力监控系统的中控制区、非控制区和生产管理区,对所述IP设备的网络安全日志类数据和流量类数据进行集中采集;
数据采集单元有两种采集模式一种是主动采集,另一种是被动采集。主动采集为根据设定数据非常态的进行的数据采集,被动采集为常规的数据采集。被动采集模式的采集方法如下:设定时间周期为f秒,设定网络安全监控装置提供的网络安全防护网在上一周期f1被触发次数为a次,设定在a次触发中低风险触发次数为b次,中风险触发次数为c次、高风险触发次数为d次,并且 b+c+d=a,则下一被动数据采集周期为
Figure BDA0003602124980000071
其中,主动探测模式包括:SNMP、ICMP、SSH、漏洞扫描和基线核查;被动监听模式包括:流量嗅探、syslog日志采集、snmp trap日志采集、防病毒数据采集;所述数据采集单元根据所述网络安全主站系统下发的控制指令修改本次数据采集周期的参数;所述数据采集单元将采集得到的网络安全数据传输至所述网络安全分析单元。
设备日志数据为设备运行中产生的运行记录,设备通信数据为设备实现其功能中产生的数据。SNMP(简单网络管理协议)是专门设计用于在IP网络管理网络节点(服务器、工作站、路由器、交换机及HUBS等)的一种标准协议,它是一种应用层协议;ICMP(InternetControl Message Protocol)Internet 控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息;SSH为Secure Shell的缩写,由IETF的网络小组 (NetworkWorking Group)所制定;SSH为建立在应用层基础上的安全协议; SNMP Trap为简单网络管理协议(SNMP)的端口号;Syslog常被称为系统日志或系统记录,是一种用来在互联网协议(TCP/IP)的网上中传递记录档消息的标准;流量嗅探数据为嗅探器获取到的流量相关的数据。
所述网络安全分析单元包括用于分析外部攻击行为的分析组件和分析自身脆弱性的分析组件;其中,所述外部攻击行为包括物理接近攻击、dos攻击、 web应用攻击和基于操作系统漏洞的攻击;所述自身脆弱性包括操作系统自身漏洞、WEB系统漏洞、开放高危端口及服务、网络资产。
所述网络安全分析单元根据网络安全流量数据的分析规则自动分析网络嗅探的流量以分析流量网络安全事件,以及根据日志分析规则分析日志网络安全事件。
所述触发式告警单元根据所述网络安全主站系统下发的告警规则以及自身预设的告警规则对流量网络安全事件、日志网络安全事件进行综合分析,并产生安全告警,并通过将安全告警转发至所述网络安全主站系统以进行集中展示。
所述数据采集单元根据上一数据采集周期内触发告警记录修改本次数据采集周期的参数,根据上一数据采集周期内不同的告警类型触发次数与总风险警告触发次数的关系,改变本次数据采集周期的时长。
所述根据上一数据采集周期内不同的告警类型触发次数与总风险警告触发次数的关系,改变本次数据采集周期的时长包括:所述上一数据采集周期为f1 秒,总风险触发次数为a,告警类型为高中风险告警的触发次数为b,告警类型为中风险告警的触发次数为c,告警类型为低风险告警的触发次数为d, a=b+c+d;所述本次数据采集周期的时长
Figure 3
所述网络安全分析单元包括数据分类组件,用于根据内部设备的重要程度,将所述主动探测模式下采集到的数据分类;对应的,所述网络安全分析单元,用于当所述被动采集模式下的一个数据采集周期的时长大于前一个数据采集周期的时长时,存储所述主动探测模式下采集到的数据并根据数据的类型确定优先分析数据。
所述网络安全分析单元包括数据分类组件,用于根据内部设备的重要程度,将所述主动探测模式下采集到的数据分类;对应的,所述网络安全分析单元,用于当所述被动采集模式下的一个数据采集周期的时长大于前一个数据采集周期的时长时,存储所述主动探测模式下采集到的数据并根据数据的类型确定优先分析数据。
网络安全分析单元内部设置有数据分类组件,所述数据分类组件用于把数据采集单元主动采集的信息和被动采集的信息分类。可以把主动采集的信息依据采集的设备的重要程度分为核心设备、重要设备和辅助设备三个等级,然后把同一类的设备上主动采集的信息分为核心运算信息、系统运行信息和其余信息三类;在被动采集的采集周期f2大于等于f的时候,数据采集单元采集全部数据进行存储,并把核心设备中的核心运算信息、系统运行信息和其余信息送至网络安全分析单元分析,把重要设备中的核心运算信息、系统运行信息(属于优先分析数据)送至网络安全分析单元分析,把辅助设备的核心运算信息(属于优先分析数据)送至网络安全分析单元分析,其余的待分析数据采用减低分析频率和降低分析算法难度的方式分析,提高系统分析需要分析的数据的运算速度。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本申请所提供的实施例中,应该理解到,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元可结合为一个单元,一个单元可拆分为多个单元,或一些特征可以忽略等。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。

Claims (9)

1.一种网络安全监控装置,其特征在于,包括:
触发式告警单元、网络安全分析单元、数据采集单元、系统管理单元和反制阻断单元;
其中,所述数据采集单元用于采集电力监控系统当中的网络安全日志以及网络安全流量;
所述网络安全分析单元用于根据网络安全主站系统下发的日志/流量规则分析出IP设备的自身脆弱性安全事件以及所述IP设备遭受到的外部攻击安全事件;
所述触发式告警单元用于根据所述网络安全主站系统下发的告警分析规则、自身日志的告警分析规则,提取网络安全日志数据以及网络安全流量数据的外部攻击特征以及自身脆弱性特征,形成网络安全告警;
所述反制阻断单元用于根据所述网络安全主站系统下发的控制指令对网络攻击者进行阻断和对遭受到攻击行为的IP资产进行保护;
所述系统管理单元用于对所述网络安全监控装置进行集中配置;
所述数据采集单元与所述网络安全分析单元连接;
所述网络安全分析单元与所述触发式告警单元、所述数据采集单元、所述系统管理单元连接;
所述触发式告警单元与所述系统管理单元、所述网络安全分析单元连接;
所述系统管理单元与所述触发式告警单元、所述反制阻断单元连接;
所述反制阻断单元与系统管理单元连接。
2.根据权利要求1所述网络安全监控装置,其特征在于,所述触发式告警单元用于获取所述网络安全主站系统下发的日志/流量规则分析规则、告警规则,并将所述日志/流量分析规则转发至所述网络安全分析单元;
所述系统管理单元用于获取所述网络安全主站系统下发的控制指令,并通知所述反制阻断单元对网络攻击者进行阻断或对遭受到攻击行为的IP资产进行保护。
3.根据权利要求2所述网络安全监控装置,其特征在于,所述数据采集单元通过主动探测模式和被动监听模式进行数据采集;
网络安全监控装置部署在电力监控系统的中控制区、非控制区和生产管理区,对所述IP设备的网络安全日志类数据和流量类数据进行集中采集;
其中,主动探测模式包括:SNMP、ICMP、SSH、漏洞扫描和基线核查;
被动监听模式包括:流量嗅探、syslog日志采集、snmp trap日志采集、防病毒数据采集;
所述数据采集单元根据所述网络安全主站系统下发的控制指令修改本次数据采集周期的参数;
所述数据采集单元将采集得到的网络安全数据传输至所述网络安全分析单元。
4.根据权利要求2所述网络安全监控装置,其特征在于,所述网络安全分析单元包括用于分析外部攻击行为的分析组件和分析自身脆弱性的分析组件;
其中,所述外部攻击行为包括物理接近攻击、dos攻击、web应用攻击和基于操作系统漏洞的攻击;
所述自身脆弱性包括操作系统自身漏洞、WEB系统漏洞、开放高危端口及服务、网络资产。
5.根据权利要求2所述网络安全监控装置,其特征在于,所述网络安全分析单元根据网络安全流量数据的分析规则自动分析网络嗅探的流量以分析流量网络安全事件,以及根据日志分析规则分析日志网络安全事件。
6.根据权利要求2所述网络安全监控装置,其特征在于,所述触发式告警单元根据所述网络安全主站系统下发的告警规则以及自身预设的告警规则对流量网络安全事件、日志网络安全事件进行综合分析,并产生安全告警,并通过将安全告警转发至所述网络安全主站系统以进行集中展示。
7.根据权利要求2所述网络安全监控装置,其特征在于,所述数据采集单元根据上一数据采集周期内触发告警记录修改本次数据采集周期的参数,根据上一数据采集周期内不同的告警类型触发次数与总风险警告触发次数的关系,改变本次数据采集周期的时长。
8.根据权利要求7所述网络安全监控装置,其特征在于,所述根据上一数据采集周期内不同的告警类型触发次数与总风险警告触发次数的关系,改变本次数据采集周期的时长包括:
所述上一数据采集周期为f1秒,总风险触发次数为a,告警类型为高中风险告警的触发次数为b,告警类型为中风险告警的触发次数为c,告警类型为低风险告警的触发次数为d,a=b+c+d;
所述本次数据采集周期的时长
Figure 1
9.根据权利要求8所述网络安全监控装置,其特征在于,所述网络安全分析单元包括数据分类组件,用于根据内部设备的重要程度,将所述主动探测模式下采集到的数据分类;
对应的,所述网络安全分析单元,用于当所述被动采集模式下的一个数据采集周期的时长大于前一个数据采集周期的时长时,存储所述主动探测模式下采集到的数据并根据数据的类型确定优先分析数据。
CN202210405868.4A 2022-04-18 2022-04-18 一种网络安全监控装置 Active CN115021953B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210405868.4A CN115021953B (zh) 2022-04-18 2022-04-18 一种网络安全监控装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210405868.4A CN115021953B (zh) 2022-04-18 2022-04-18 一种网络安全监控装置

Publications (2)

Publication Number Publication Date
CN115021953A true CN115021953A (zh) 2022-09-06
CN115021953B CN115021953B (zh) 2024-05-24

Family

ID=83068056

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210405868.4A Active CN115021953B (zh) 2022-04-18 2022-04-18 一种网络安全监控装置

Country Status (1)

Country Link
CN (1) CN115021953B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108494727A (zh) * 2018-02-06 2018-09-04 成都清华永新网络科技有限公司 一种用于网络安全管理的安全事件闭环处理方法
CN109067596A (zh) * 2018-09-21 2018-12-21 南京南瑞继保电气有限公司 一种变电站网络安全态势感知方法及系统
CN109922073A (zh) * 2019-03-19 2019-06-21 中国南方电网有限责任公司 网络安全监控装置、方法和系统
CN110381092A (zh) * 2019-08-29 2019-10-25 南京经纬信安科技有限公司 一种自适应闭环解决网络威胁的防御系统及方法
CN110740141A (zh) * 2019-11-15 2020-01-31 国网山东省电力公司信息通信公司 一体化网络安全态势感知方法、装置及计算机设备
CN112751864A (zh) * 2020-12-30 2021-05-04 招联消费金融有限公司 网络攻击反制系统、方法、装置和计算机设备
CN113965406A (zh) * 2021-11-04 2022-01-21 杭州安恒信息技术股份有限公司 网络阻断方法、装置、电子装置和存储介质
CN114257413A (zh) * 2021-11-19 2022-03-29 南方电网数字电网研究院有限公司 基于应用容器引擎的反制阻断方法、装置和计算机设备

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108494727A (zh) * 2018-02-06 2018-09-04 成都清华永新网络科技有限公司 一种用于网络安全管理的安全事件闭环处理方法
CN109067596A (zh) * 2018-09-21 2018-12-21 南京南瑞继保电气有限公司 一种变电站网络安全态势感知方法及系统
CN109922073A (zh) * 2019-03-19 2019-06-21 中国南方电网有限责任公司 网络安全监控装置、方法和系统
CN110381092A (zh) * 2019-08-29 2019-10-25 南京经纬信安科技有限公司 一种自适应闭环解决网络威胁的防御系统及方法
CN110740141A (zh) * 2019-11-15 2020-01-31 国网山东省电力公司信息通信公司 一体化网络安全态势感知方法、装置及计算机设备
CN112751864A (zh) * 2020-12-30 2021-05-04 招联消费金融有限公司 网络攻击反制系统、方法、装置和计算机设备
CN113965406A (zh) * 2021-11-04 2022-01-21 杭州安恒信息技术股份有限公司 网络阻断方法、装置、电子装置和存储介质
CN114257413A (zh) * 2021-11-19 2022-03-29 南方电网数字电网研究院有限公司 基于应用容器引擎的反制阻断方法、装置和计算机设备

Also Published As

Publication number Publication date
CN115021953B (zh) 2024-05-24

Similar Documents

Publication Publication Date Title
US10681079B2 (en) Method for mitigation of cyber attacks on industrial control systems
US7493659B1 (en) Network intrusion detection and analysis system and method
Ganame et al. A global security architecture for intrusion detection on computer networks
US7197762B2 (en) Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits
US7596807B2 (en) Method and system for reducing scope of self-propagating attack code in network
CN100435513C (zh) 网络设备与入侵检测系统联动的方法
US20040098618A1 (en) System and method for defending against distributed denial-of-service attack on active network
CN107547228B (zh) 一种基于大数据的安全运维管理平台的实现架构
CN214306527U (zh) 一种燃气管网调度监控网络安全系统
US20160110544A1 (en) Disabling and initiating nodes based on security issue
CN113645213A (zh) 一种基于vpn技术的多终端网络管理监控系统
CN113794590B (zh) 处理网络安全态势感知信息的方法、装置及系统
KR20020075319A (ko) 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템
Oo et al. Effective detection and mitigation of SYN flooding attack in SDN
KR100607110B1 (ko) 종합 보안 상황 관리 시스템
Hershey et al. Procedure for detection of and response to distributed denial of service cyber attacks on complex enterprise systems
Patil et al. Analysis of distributed intrusion detection systems using mobile agents
Araújo et al. EICIDS-elastic and internal cloud-based detection system
CN115021953B (zh) 一种网络安全监控装置
CN116488923A (zh) 一种基于openstack的网络攻击场景构建方法
KR20190134287A (ko) 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법
KR102444922B1 (ko) 스마트그리드에서 보안상황 인식을 위한 지능형 접근제어 장치
Jain et al. The role of decision tree technique for automating intrusion detection system
Chen et al. Active event correlation in Bro IDS to detect multi-stage attacks
Lussi et al. A lightweight fog-based internal intrusion detection system for smart environments

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant