CN115766189B - 一种多通道隔离安全防护方法及系统 - Google Patents
一种多通道隔离安全防护方法及系统 Download PDFInfo
- Publication number
- CN115766189B CN115766189B CN202211408335.8A CN202211408335A CN115766189B CN 115766189 B CN115766189 B CN 115766189B CN 202211408335 A CN202211408335 A CN 202211408335A CN 115766189 B CN115766189 B CN 115766189B
- Authority
- CN
- China
- Prior art keywords
- node
- network
- intranet
- external network
- nodes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 75
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000004458 analytical method Methods 0.000 claims abstract description 60
- 230000005540 biological transmission Effects 0.000 claims description 32
- 238000004891 communication Methods 0.000 claims description 10
- 238000003860 storage Methods 0.000 claims description 9
- 238000012795 verification Methods 0.000 claims description 9
- 238000007621 cluster analysis Methods 0.000 claims description 7
- 230000002159 abnormal effect Effects 0.000 claims description 6
- 230000000903 blocking effect Effects 0.000 claims description 6
- 238000001914 filtration Methods 0.000 claims description 5
- 241000700605 Viruses Species 0.000 claims description 4
- 238000001514 detection method Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 claims description 4
- 239000000284 extract Substances 0.000 claims description 4
- 238000004140 cleaning Methods 0.000 claims description 3
- 230000000694 effects Effects 0.000 abstract description 3
- 230000007123 defense Effects 0.000 abstract description 2
- 238000004364 calculation method Methods 0.000 description 5
- 230000005484 gravity Effects 0.000 description 5
- 238000011160 research Methods 0.000 description 5
- 238000011161 development Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 238000010926 purge Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
Abstract
本发明公开了一种多通道隔离安全防护方法及系统包括:对电力信息网络,进行内网和外网的区分,对所述内网和所述外网进行划分,得到相应的内网节点集合以及边缘节点集合,获取内网中各节点的目标节点属性信息,根据所述节点属性信息进行内网安全稳定分析,并根据所得的分析结果,在不满足稳定运行条件的目标内网节点处进行逻辑隔离,在边缘节点处进行物理隔离;本发明提供的多通道隔离安全防护方法及系统使用拓扑结构区分内网外网数据来源,利用逻辑隔离和物理隔离两种方法实现多层防御,在面临多重攻击的情况,依旧保持较高的安全性,在网络安全防护方面取得更加良好的效果。
Description
技术领域
本发明涉及电网安全防护技术领域,具体为一种多通道隔离安全防护方法及系统。
背景技术
随着我国信息技术的快速发展,计算机及信息网络对促进国民经济和社会发展发挥着日益重要的作用。加强对重要领域的计算机信息系统安全保护工作的监督管理,打击各类计算机违法犯罪活动,是我国信息化顺利发展的重要保障。
目前的基础网络架构,一般是通过防火墙、隔离装置等安全防护措施构建信息内网和信息外网,其中,信息内网用于存放数据库,信息外网搭建了内网和互联网进行数据交换的桥梁。虽然,现有的网络结构能够满足基本的安全防护要求,但一旦面临多重攻击的情况,其将直接导致安全性的大大降低,给电力系统带来了极大的运行风险。因此,亟需一种同时可以进行物理隔离与逻辑隔离同步运行,阻挡多重攻击的防护方法。
发明内容
本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊,而这种简化或省略不能用于限制本发明的范围。
鉴于上述存在的问题,提出了本发明。
因此,本发明解决的技术问题是:现有网络安全防护结构存在无法同时面对多重攻击的问题。
为解决上述技术问题,本发明提供如下技术方案:一种多通道隔离安全防护方法及系统,包括:
对电力信息网络,进行内网和外网的区分;
对所述内网和所述外网进行划分,得到相应的内网节点集合以及边缘节点集合;
获取内网中各节点的目标节点属性信息;
根据所述节点属性信息进行内网安全稳定分析,并根据所得的分析结果,在不满足稳定运行条件的目标内网节点处进行逻辑隔离,在边缘节点处进行物理隔离。
作为本发明所述的多通道隔离安全防护方法的一种优选方案,其中:所述对内网和外网的区分包括,电力信息网络的拓扑结构通过开关设备将预设的电力元件相联系,并将所述电力元件抽象成与元件样式无关的节点,各节点之间通过抽象成线的电力线路连接,以拓扑图的形式表示各节点之间的关系。
作为本发明所述的多通道隔离安全防护方法的一种优选方案,其中:所述提取相应内网节点集合以及边缘节点集合包括,
根据所述内网和外网的拓扑结构,进行内网节点和边缘节点的识别;
根据节点间相似性、所属区域以及节点间联通关系中的至少一个分析条件,分别对所述内网节点和所述边缘节点进行聚类分析,以将分析条件满足预设阈值条件的多个目标节点划分到同一节点集合中。
作为本发明所述的多通道隔离安全防护方法的一种优选方案,其中:所述获取内网中各节点的目标节点属性信息包括,
确定用于获取内网中各节点的节点属性信息的数据获取任务,所述数据获取任务包括涵盖目标节点属性信息的搜索信息;
将所述数据获取任务发送至所述存储单元,以由所述存储单元基于解析所得的搜索信息进行对应目标检索词的搜索,以及反馈对应的搜索结果;
基于获取到的搜索结果,确定所需的目标节点属性信息。
作为本发明所述的多通道隔离安全防护方法的一种优选方案,其中::所述根据所述节点属性信息进行内网安全稳定分析包括,
根据所述节点属性信息,确定影响内网安全稳定运行的影响指标;
根据各所述影响指标对电力信息网络的影响程度,分别确定对应所占的比重;
综合所述影响指标和对应所占的比重,进行内网安全稳定分析。
作为本发明所述的多通道隔离安全防护方法的一种优选方案,其中:所述节点属性信息进行内网安全稳定分析还包括,
当通过内网中相应目标内网节点发送数据到外网时,先通过整体设备运行状态,探测对应边缘节点以及外网是否可以访问,并在能访问的情况下进行数据传输,否则,反馈第一异常传输信息,示警外网为可能存在危险;
当经由外网发送数据至内网时,将基于内网与外网之间的联通拓扑结构,建立外网与相应目标边缘节点、以及所述目标边缘节点与内网中相应目标内网节点之间的连接关系,在连接关系成功建立的情况下,进行数据传输,其中,在连接关系建立失败的情况下,反馈第二异常传输信息,对外网数据进行所述物理隔离,过滤非安全请求、以及采用预设的认证方式进行接入身份验证,经过预设身份验证判定为安全后重新建立连接关系。
作为本发明所述的多通道隔离安全防护系统的一种优选方案,其中:内外网区分模块、节点划分模块、节点信息获取模块、稳定性分析模块以及物理隔离模块,其中:
所述内外网区分模块,用于针对电力信息网络,进行内网和外网的区分;
所述节点划分模块,用于对所述内网和所述外网进行划分,得到相应的内网节点集合以及边缘节点集合;
所述节点信息获取模块,用于获取内网中各节点的目标节点属性信息,所述目标节点属性信息包括所属同一边的多个节点之间的相似度、节点之间的连接关系以及节点状态信息中的至少一种;
所述稳定性分析模块,用于根据所述节点属性信息进行内网安全稳定分析,并根据所得的分析结果,在不满足稳定运行条件的目标内网节点处进行逻辑隔离,其中,逻辑隔离方式包括数据传输限制、安全检测、病毒阻断以及流量清洗中的至少一种;
所述物理隔离模块,用于在边缘节点处进行物理隔离,物理隔离方式包括过滤非安全请求、以及采用预设的认证方式进行接入身份验证。
作为本发明所述的多通道隔离安全防护系统的一种优选方案,其中:所述内外网区分模块还用于根据所述电力信息网络的拓扑结构,进行内网和外网的区分,其中,所述电力信息网络的拓扑结构通过开关设备将预设的电力元件相联系,并将所述电力元件抽象成与元件样式无关的节点,各节点之间通过抽象成线的电力线路连接,以拓扑图的形式表示各节点之间的关系。
作为本发明所述的多通道隔离安全防护系统的一种优选方案,其中:所述内外网划分模块将内网和外网进行区分,所述节点划分模块提取相应的内网节点集合以及边缘节点集合,所述节点信息获取模块提取节点属性信息;
当稳定性分析模块接受内网向外网发送的信息,检测对应边缘节点以及外网是否可以访问,可以访问则进行正常数据传输,若不可访问,则取消数据传输,发出外网危险中断数据传输示警;
当稳定性分析模块接受由外网向内网发送的信息,根据外网相应的目标边缘节点的属性信息进行内网安全稳定分析,若满足传输条件,则进行正常数据传输,若不满足稳定运行条件,则在目标内网节点处进行逻辑隔离,物理隔离模块在边缘节点处进行物理隔离,并发出内网接收危险数据示警。
本发明的有益效果:本发明提供的多通道隔离安全防护方法及系统使用拓扑结构区分内网外网数据来源,利用逻辑隔离和物理隔离两种方法实现多层防御,在面临多重攻击的情况,依旧保持较高的安全性,在网络安全防护方面取得更加良好的效果。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。其中:
图1为本发明一个实施例提供的一种多通道隔离安全防护方法的整体流程图;
图2为本发明第二个实施例提供的一种多通道隔离安全防护系统的结构示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明,显然所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明的保护的范围。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
其次,此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。
本发明结合示意图进行详细描述,在详述本发明实施例时,为便于说明,表示器件结构的剖面图会不依一般比例作局部放大,而且所述示意图只是示例,其在此不应限制本发明保护的范围。此外,在实际制作中应包含长度、宽度及深度的三维空间尺寸。
同时在本发明的描述中,需要说明的是,术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一、第二或第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本发明中除非另有明确的规定和限定,术语“安装、相连、连接”应做广义理解,例如:可以是固定连接、可拆卸连接或一体式连接;同样可以是机械连接、电连接或直接连接,也可以通过中间媒介间接相连,也可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
实施例1
参照图1,为本发明的一个实施例,提供了一种多通道隔离安全防护方法,以该方法应用于计算机设备该计算机设备具体可以是终端或服务器,终端具体可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备。服务器可以用独立的服务器或者是多个服务器组成的服务器集群为例进行说明,包括:
S1:对电力信息网络,进行内网和外网的区分。
更进一步的,平台参数包括任务信息和资源信息。
应说明的是,电力信息网络的拓扑结构通过开关设备将预设的电力元件相联系,并将所述电力元件抽象成与元件样式无关的节点,各节点之间通过抽象成线的电力线路连接,以拓扑图的形式表示各节点之间的关系。
还应说明的是,由于信息内网一般可以用于存放数据库,信息外网一般用于搭建内网和互联网进行数据交换的桥梁,计算机设备可以根据整体网络中各区域分别实现的功能进行区分,在区分规则已知的情况下,计算机设备还可以基于该区分规则进行内、外网的区分。
S2:对所述内网和所述外网进行划分,得到相应的内网节点集合以及边缘节点集合。
更进一步的,提取相应的内网节点集合以及边缘节点集合包括:
根据所述内网和外网的拓扑结构,进行内网节点和边缘节点的识别;
根据节点间相似性、所属区域以及节点间联通关系中的至少一个分析条件,分别对所述内网节点和所述边缘节点进行聚类分析,以将分析条件满足预设阈值条件的多个目标节点划分到同一节点集合中。
应说明的是,内网节点集合和边缘节点集合的数量可以是多个,不同节点集合之间可以按照多个节点涵盖的大区域、各节点分别实现的功能的不同等加以区分。
还应说明的是,边缘节点指在靠近用户的网络边缘侧构建的业务平台,其可以用于提供存储、计算、网络等资源,在一些应用中,可以将部分关键业务应用下沉到接入网络边缘,以减少网络传输和多级转发带来的宽度和时延损耗。通过这种方法,海量的数据无需再上传至云端进行处理,即可实现在网络边缘侧对数据的处理,减少请求响应时间、提升电池续航能力、减少网络带宽同时保证数据的安全性和私密性。
更进一步的,计算机设备可以只根据节点间相似性、所属区域以及节点间联通关系中的其中一种分析条件,进行聚类分析,并以此确定所需的节点集合,或基于上述各项分析条件中的多种进行聚类分析;聚类分析主要是依据研究对象的特征,结合各研究对象之间的相关关系,对其进行分类,目的是将性质相近的事物归为一类,以减少研究对象的数目,提高计算效率。
S3:获取内网中各节点的目标节点属性信息。
更进一步的,获取内网中各节点的目标节点属性信息包括:
确定用于获取内网中各节点的节点属性信息的数据获取任务,所述数据获取任务包括涵盖目标节点属性信息的搜索信息;
将所述数据获取任务发送至所述存储单元,以由所述存储单元基于解析所得的搜索信息进行对应目标检索词的搜索,以及反馈对应的搜索结果;
基于获取到的搜索结果,确定所需的目标节点属性信息。
应说明的时,所述目标节点属性信息包括所属同一边的多个节点之间的相似度、节点之间的连接关系以及节点状态信息中的至少一种。
还应说明的是,内网中各节点的节点属性信息可以实时存放在预设的存储器中,计算机设备通过对该存储器的访问,以实现对目标节点属性信息的获取。
S4:根据节点属性信息进行内网安全稳定分析。
应说明的是,根据所述节点属性信息进行内网安全稳定分析包括:
根据所述节点属性信息,确定影响内网安全稳定运行的影响指标;
根据各所述影响指标对电力信息网络的影响程度,分别确定对应所占的比重;
综合所述影响指标和对应所占的比重,进行内网安全稳定分析。
还应说明的是,节点属性信息例如可以是设备实时、历史运行状态、技术参数以及设备间关联关系等。计算机设备可以基于预设的判断指标、过去的研判经验、以及基于影响内网安全稳定运行的主要因素进行影响指标的确定。
还应说明的是,根据各所述影响指标对电力信息网络的影响程度,分别确定对应所占的比重,比重的确定可以认为影响程度越大,其所占的比重则越高,反之,则越低。比重的取值范围可以统一在[0,1]这一范围内,以降低运算量。
更进一步的,计算机设备可以基于所得的影响指标和对应所占的比重进行加权求和计算,之后基于所得的加权计算结果,进行内网安全稳定分析,具体为:
在所得的加权计算结果大于预设的评估阈值的时候,则认为当前内网处于不稳定的运行状态中,当前则需要对不满足稳定运行条件的目标内网节点处进行逻辑隔离,反之,则认为当前内网处于稳定的运行状态中。
S5:根据所得的分析结果,在不满足稳定运行条件的目标内网节点处进行逻辑隔离,在边缘节点处进行物理隔离。
更进一步的,逻辑隔离包括数据传输限制、安全检测、病毒阻断以及流量清洗中的至少一种;
还应说明的是,物理隔离包括过滤非安全请求、以及采用预设的认证方式进行接入身份验证;
应说明的是,当通过内网中相应目标内网节点发送数据到外网时,先通过整体设备运行状态,探测对应边缘节点以及外网是否可以访问,并在能访问的情况下进行数据传输,否则,反馈第一异常传输信息,示警外网为可能存在危险;
当经由外网发送数据至内网时,将基于内网与外网之间的联通拓扑结构,建立外网与相应目标边缘节点、以及所述目标边缘节点与内网中相应目标内网节点之间的连接关系,之后,在连接关系成功建立的情况下,进行数据传输,其中,在连接关系建立失败的情况下,反馈第二异常传输信息,对外网数据进行所述物理隔离,过滤非安全请求、以及采用预设的认证方式进行接入身份验证,经过预设身份验证判定为安全后重新建立连接关系。
实施例2
参照图2,为本发明的一个实施例,提供了一种多通道隔离安全防护系统,该系统包括:内外网区分模块、节点划分模块、节点信息获取模块、稳定性分析模块以及所述物理隔离模块,其中:
所述内外网区分模块,用于针对电力信息网络,进行内网和外网的区分。
所述节点划分模块,用于对所述内网和所述外网进行划分,得到相应的内网节点集合以及边缘节点集合。
所述节点信息获取模块,用于获取内网中各节点的目标节点属性信息,所述目标节点属性信息包括所属同一边的多个节点之间的相似度、节点之间的连接关系以及节点状态信息中的至少一种。
所述稳定性分析模块,用于根据所述节点属性信息进行内网安全稳定分析,并根据所得的分析结果,在不满足稳定运行条件的目标内网节点处进行逻辑隔离,其中,逻辑隔离方式包括数据传输限制、安全检测、病毒阻断以及流量清洗中的至少一种。
所述物理隔离模块,用于在边缘节点处进行物理隔离,物理隔离方式包括过滤非安全请求、以及采用预设的认证方式进行接入身份验证。
还应说明的是,所述节点划分模块还用于根据内网和外网的拓扑结构,进行内网节点和边缘节点的识别;根据节点间相似性、所属区域以及节点间联通关系中的至少一个分析条件,分别对所述内网节点和所述边缘节点进行聚类分析,以将分析条件满足预设阈值条件的多个目标节点划分到同一节点集合中。
更进一步的,所述节点信息获取模块还用于确定用于获取内网中各节点的节点属性信息的数据获取任务,所述数据获取任务包括涵盖目标节点属性信息的搜索信息;将所述数据获取任务发送至所述存储单元,以由所述存储单元基于解析所得的搜索信息进行对应目标检索词的搜索,以及反馈对应的搜索结果;基于获取到的搜索结果,确定所需的目标节点属性信息。
更进一步的,所述稳定性分析模块还用于根据所述节点属性信息,确定影响内网安全稳定运行的影响指标;根据各所述影响指标对电力信息网络的影响程度,分别确定对应所占的比重;综合所述影响指标和对应所占的比重,进行内网安全稳定分析。
还应说明的是,所述内外网划分模块将内网和外网进行区分,所述节点划分模块提取相应的内网节点集合以及边缘节点集合,所述节点信息获取模块提取节点属性信息;
当稳定性分析模块接受内网向外网发送的信息,检测对应边缘节点以及外网是否可以访问,可以访问则进行正常数据传输,若不可访问,则取消数据传输,发出外网危险中断数据传输示警;
当稳定性分析模块接受由外网向内网发送的信息,根据外网相应的目标边缘节点的属性信息进行内网安全稳定分析,若满足传输条件,则进行正常数据传输,若不满足稳定运行条件,则在目标内网节点处进行逻辑隔离,物理隔离模块在边缘节点处进行物理隔离,并发出内网接收危险数据示警。
表1为本发明的方法与系统相较于传统的网络结构在面对多重网络攻击时对危险数据的阻挡过滤情况,网络攻击种类为MITM攻击、Dos和DDos攻击、SQL注入攻击、密码攻击。
表1
| 网络攻击种类 | 1 | 2 | 3 | 4 |
| 传统防火墙隔离率 | 99% | 82% | 61% | 33% |
| 我方发明隔离率 | 99% | 99% | 99% | 99% |
根据隔离率对比可知,随着网络攻击种类的增加,传统防火墙逐渐失效,安全性快速降低,我方发明在面对网络攻击总类的增加时,可以有效的对其进行过滤隔离,防止其对数据产生破坏或窃取数据。
Claims (7)
1.一种多通道隔离安全防护方法,其特征在于,包括:
对电力信息网络,进行内网和外网的区分;
对所述内网和所述外网进行划分,得到相应的内网节点集合以及边缘节点集合;
获取内网中各节点的目标节点属性信息;
根据所述节点属性信息进行内网安全稳定分析,并根据所得的分析结果,在不满足稳定运行条件的目标内网节点处进行逻辑隔离,在边缘节点处进行物理隔离;
所述根据所述节点属性信息进行内网安全稳定分析包括,
根据所述节点属性信息,确定影响内网安全稳定运行的影响指标;
根据各所述影响指标对电力信息网络的影响程度,分别确定对应所占的比重;
综合所述影响指标和对应所占的比重,进行内网安全稳定分析;
所述节点属性信息进行内网安全稳定分析还包括,
当通过内网中相应目标内网节点发送数据到外网时,先通过整体设备运行状态,探测对应边缘节点以及外网是否可以访问,并在能访问的情况下进行数据传输,否则,反馈第一异常传输信息,示警外网为可能存在危险;
当经由外网发送数据至内网时,将基于内网与外网之间的联通拓扑结构,建立外网与相应目标边缘节点、以及所述目标边缘节点与内网中相应目标内网节点之间的连接关系,在连接关系成功建立的情况下,进行数据传输,其中,在连接关系建立失败的情况下,反馈第二异常传输信息,对外网数据进行所述物理隔离,过滤非安全请求、以及采用预设的认证方式进行接入身份验证,经过预设身份验证判定为安全后重新建立连接关系。
2.如权利要求1所述的多通道隔离安全防护方法,其特征在于:所述进行内网和外网的区分包括,电力信息网络的拓扑结构通过开关设备将预设的电力元件相联系,并将所述电力元件抽象成与元件样式无关的节点,各节点之间通过抽象成线的电力线路连接,以拓扑图的形式表示各节点之间的关系。
3.如权利要求 2 所述的多通道隔离安全防护方法,其特征在于:所述得到相应的内网节点集合以及边缘节点集合包括,根据所述内网和外网的拓扑结构,进行内网节点和边缘节点的识别;
根据节点间相似性、所属区域以及节点间联通关系中的至少一个分析条件,分别对所述内网节点和所述边缘节点进行聚类分析,以将分析条件满足预设阈值条件的多个目标节点划分到同一节点集合中。
4.如权利要求3所述的多通道隔离安全防护方法,其特征在于:所述获取内网中各节点的目标节点属性信息包括,
确定用于获取内网中各节点的节点属性信息的数据获取任务,所述数据获取任务包括涵盖目标节点属性信息的搜索信息;
将所述数据获取任务发送至存储单元,以由所述存储单元基于解析所得的搜索信息进行对应目标检索词的搜索,以及反馈对应的搜索结果;
基于获取到的搜索结果,确定所需的目标节点属性信息。
5.一种多通道隔离安全防护系统,其特征在于,包括,内外网区分模块、节点划分模块、节点信息获取模块、稳定性分析模块以及物理隔离模块,其中:
所述内外网区分模块,用于针对电力信息网络,进行内网和外网的区分;
所述节点划分模块,用于对所述内网和所述外网进行划分,得到相应的内网节点集合以及边缘节点集合;
所述节点信息获取模块,用于获取内网中各节点的目标节点属性信息,所述目标节点属性信息包括所属同一边的多个节点之间的相似度、节点之间的连接关系以及节点状态信息中的至少一种;
所述稳定性分析模块,用于根据所述节点属性信息进行内网安全稳定分析,并根据所得的分析结果,在不满足稳定运行条件的目标内网节点处进行逻辑隔离,其中,逻辑隔离方式包括数据传输限制、安全检测、病毒阻断以及流量清洗中的至少一种;
所述物理隔离模块,用于在边缘节点处进行物理隔离,物理隔离方式包括过滤非安全请求、以及采用预设的认证方式进行接入身份验证;
所述稳定性分析模块还用于根据所述节点属性信息,确定影响内网安全稳定运行的影响指标,根据各所述影响指标对电力信息网络的影响程度,分别确定对应所占的比重,综合所述影响指标和对应所占的比重,进行内网安全稳定分析;
所述内外网区分模块将内网和外网进行区分,所述节点划分模块提取相应的内网节点集合以及边缘节点集合,所述节点信息获取模块提取节点属性信息;
当稳定性分析模块接受内网向外网发送的信息,检测对应边缘节点以及外网是否可以访问,可以访问则进行正常数据传输,若不可访问,则取消数据传输,发出外网危险中断数据传输示警;
当稳定性分析模块接受由外网向内网发送的信息,根据外网相应的目标边缘节点的属性信息进行内网安全稳定分析,若满足传输条件,则进行正常数据传输,若不满足稳定运行条件,则在目标内网节点处进行逻辑隔离,物理隔离模块在边缘节点处进行物理隔离,并发出内网接收危险数据示警。
6.如权利要求5所述的多通道隔离安全防护系统,其特征在于:所述内外网区分模块还用于根据所述电力信息网络的拓扑结构,进行内网和外网的区分,其中,所述电力信息网络的拓扑结构通过开关设备将预设的电力元件相联系,并将所述电力元件抽象成与元件样式无关的节点,各节点之间通过抽象成线的电力线路连接,以拓扑图的形式表示各节点之间的关系。
7.如权利要求5所述的多通道隔离安全防护系统,其特征在于:所述节点划分模块还用于根据内网和外网的拓扑结构,进行内网节点和边缘节点的识别;根据节点间相似性、所属区域以及节点间联通关系中的至少一个分析条件,分别对所述内网节点和所述边缘节点进行聚类分析,以将分析条件满足预设阈值条件的多个目标节点划分到同一节点集合中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211408335.8A CN115766189B (zh) | 2022-11-10 | 一种多通道隔离安全防护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211408335.8A CN115766189B (zh) | 2022-11-10 | 一种多通道隔离安全防护方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115766189A CN115766189A (zh) | 2023-03-07 |
| CN115766189B true CN115766189B (zh) | 2024-05-03 |
Family
ID=
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103856486A (zh) * | 2014-02-28 | 2014-06-11 | 中国人民解放军91655部队 | 一种大规模网络逻辑安全域访问控制方法 |
| WO2015200012A1 (en) * | 2014-06-22 | 2015-12-30 | Cisco Technology, Inc. | A framework for network technology agnostic multi-cloud elastic extension and isolation |
| CN105790262A (zh) * | 2016-04-08 | 2016-07-20 | 深圳供电局有限公司 | 一种基于枚举法的eens等值计算的方法及系统 |
| CN107231371A (zh) * | 2017-06-23 | 2017-10-03 | 国家电网公司 | 电力信息网的安全防护方法、装置和系统 |
| CN107528732A (zh) * | 2017-08-30 | 2017-12-29 | 国家电网公司 | 一种用于电力控制系统网络安全监管的拓扑展示方法 |
| CN108063751A (zh) * | 2017-10-20 | 2018-05-22 | 国网宁夏电力有限公司 | 一种用于新能源电厂的公网安全接入方法 |
| CN110020815A (zh) * | 2019-05-07 | 2019-07-16 | 云南电网有限责任公司 | 一种基于网络层次分析法的电网节点综合脆弱性指标计算方法 |
| CN112751843A (zh) * | 2020-12-28 | 2021-05-04 | 中铁第一勘察设计院集团有限公司 | 铁路供电系统网络安全防护系统 |
| CN113704781A (zh) * | 2021-07-23 | 2021-11-26 | 平安银行股份有限公司 | 文件安全传输方法、装置、电子设备及计算机存储介质 |
| CN114205154A (zh) * | 2021-12-12 | 2022-03-18 | 中国电子科技集团公司第十五研究所 | 一种针对隔离安全机制的网络安全测试方法 |
| CN114665481A (zh) * | 2022-01-27 | 2022-06-24 | 国网江苏省电力有限公司泰州供电分公司 | 一种基于电网节点矢量化的城市电网分区方法及装置 |
| CN115203623A (zh) * | 2022-07-06 | 2022-10-18 | 贵州电网有限责任公司 | 一种覆冰监测异常数据质量评估处理方法及系统 |
| CN115277696A (zh) * | 2022-07-13 | 2022-11-01 | 京信数据科技有限公司 | 一种跨网络联邦学习系统及方法 |
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103856486A (zh) * | 2014-02-28 | 2014-06-11 | 中国人民解放军91655部队 | 一种大规模网络逻辑安全域访问控制方法 |
| WO2015200012A1 (en) * | 2014-06-22 | 2015-12-30 | Cisco Technology, Inc. | A framework for network technology agnostic multi-cloud elastic extension and isolation |
| CN105790262A (zh) * | 2016-04-08 | 2016-07-20 | 深圳供电局有限公司 | 一种基于枚举法的eens等值计算的方法及系统 |
| CN107231371A (zh) * | 2017-06-23 | 2017-10-03 | 国家电网公司 | 电力信息网的安全防护方法、装置和系统 |
| CN107528732A (zh) * | 2017-08-30 | 2017-12-29 | 国家电网公司 | 一种用于电力控制系统网络安全监管的拓扑展示方法 |
| CN108063751A (zh) * | 2017-10-20 | 2018-05-22 | 国网宁夏电力有限公司 | 一种用于新能源电厂的公网安全接入方法 |
| CN110020815A (zh) * | 2019-05-07 | 2019-07-16 | 云南电网有限责任公司 | 一种基于网络层次分析法的电网节点综合脆弱性指标计算方法 |
| CN112751843A (zh) * | 2020-12-28 | 2021-05-04 | 中铁第一勘察设计院集团有限公司 | 铁路供电系统网络安全防护系统 |
| CN113704781A (zh) * | 2021-07-23 | 2021-11-26 | 平安银行股份有限公司 | 文件安全传输方法、装置、电子设备及计算机存储介质 |
| CN114205154A (zh) * | 2021-12-12 | 2022-03-18 | 中国电子科技集团公司第十五研究所 | 一种针对隔离安全机制的网络安全测试方法 |
| CN114665481A (zh) * | 2022-01-27 | 2022-06-24 | 国网江苏省电力有限公司泰州供电分公司 | 一种基于电网节点矢量化的城市电网分区方法及装置 |
| CN115203623A (zh) * | 2022-07-06 | 2022-10-18 | 贵州电网有限责任公司 | 一种覆冰监测异常数据质量评估处理方法及系统 |
| CN115277696A (zh) * | 2022-07-13 | 2022-11-01 | 京信数据科技有限公司 | 一种跨网络联邦学习系统及方法 |
Non-Patent Citations (3)
| Title |
|---|
| Research on node importance of power communication network based on Multi-Attribute Analysis;H. Liu et al.;2020 IEEE 4th Information Technology, Networking, Electronic and Automation Control Conference (ITNEC);20200504;第2683-2687页 * |
| 安全隔离技术在电力信息网络安全防护中的应用;陈建业 等;山东理工大学学报(自然科学版);20090915;第23卷(第05期);第72-75页 * |
| 面向电力云的业务隔离系统设计与实现;杨旭;中国优秀硕士学位论文全文数据库工程科技Ⅱ辑;20220315(2022年第03期);全文 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110380896B (zh) | 基于攻击图的网络安全态势感知系统和方法 | |
| CN107241226B (zh) | 基于工控私有协议的模糊测试方法 | |
| CN105553998B (zh) | 一种网络攻击异常检测方法 | |
| CN111935170B (zh) | 一种网络异常流量检测方法、装置及设备 | |
| US20180063146A1 (en) | Black list generating device, black list generating system, method of generating black list, and program of generating black list | |
| CN106209817A (zh) | 基于大数据和可信计算的信息网络安全自防御系统 | |
| Zhe et al. | DoS attack detection model of smart grid based on machine learning method | |
| CN111431939A (zh) | 基于cti的sdn恶意流量防御方法及系统 | |
| Rahal et al. | A distributed architecture for DDoS prediction and bot detection | |
| CN113420802B (zh) | 基于改进谱聚类的报警数据融合方法 | |
| Ishida et al. | High-performance intrusion detection using optigrid clustering and grid-based labelling | |
| Balogun et al. | Anomaly intrusion detection using an hybrid of decision tree and K-nearest neighbor | |
| CN110896386A (zh) | 识别安全威胁的方法、装置、存储介质、处理器和终端 | |
| CN111786986B (zh) | 一种数控系统网络入侵防范系统及方法 | |
| Yu et al. | Data-adaptive clustering analysis for online botnet detection | |
| Guangxu | Research on computer network information security based on improved machine learning | |
| He et al. | Ensemble feature selection for improving intrusion detection classification accuracy | |
| CN111709021B (zh) | 一种基于海量告警的攻击事件识别方法及电子装置 | |
| CN115766189B (zh) | 一种多通道隔离安全防护方法及系统 | |
| CN113839925A (zh) | 基于数据挖掘技术的IPv6网络入侵检测方法及系统 | |
| CN117478403A (zh) | 一种全场景网络安全威胁关联分析方法及系统 | |
| Ren et al. | Application of network intrusion detection based on fuzzy c-means clustering algorithm | |
| CN115766189A (zh) | 一种多通道隔离安全防护方法及系统 | |
| CN113709097B (zh) | 网络风险感知方法及防御方法 | |
| Liao et al. | Research on network intrusion detection method based on deep learning algorithm |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |