CN117319019A - 一种基于智能决策的电力网络动态防御系统 - Google Patents
一种基于智能决策的电力网络动态防御系统 Download PDFInfo
- Publication number
- CN117319019A CN117319019A CN202311227971.5A CN202311227971A CN117319019A CN 117319019 A CN117319019 A CN 117319019A CN 202311227971 A CN202311227971 A CN 202311227971A CN 117319019 A CN117319019 A CN 117319019A
- Authority
- CN
- China
- Prior art keywords
- attack
- defense
- network
- strategy
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000007123 defense Effects 0.000 title claims abstract description 241
- 238000012544 monitoring process Methods 0.000 claims abstract description 157
- 238000012795 verification Methods 0.000 claims description 74
- 230000005856 abnormality Effects 0.000 claims description 29
- 230000002159 abnormal effect Effects 0.000 claims description 16
- 238000004364 calculation method Methods 0.000 claims description 12
- 238000011156 evaluation Methods 0.000 claims description 10
- 238000005336 cracking Methods 0.000 claims description 8
- 238000001514 detection method Methods 0.000 claims description 5
- 238000003860 storage Methods 0.000 claims description 3
- 230000006399 behavior Effects 0.000 description 43
- 238000000034 method Methods 0.000 description 29
- 230000009471 action Effects 0.000 description 21
- 230000008569 process Effects 0.000 description 15
- 241000700605 Viruses Species 0.000 description 8
- 230000000977 initiatory effect Effects 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 5
- 230000000903 blocking effect Effects 0.000 description 5
- 238000010276 construction Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000003203 everyday effect Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 206010000117 Abnormal behaviour Diseases 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 241000287828 Gallus gallus Species 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000005520 cutting process Methods 0.000 description 1
- 230000002354 daily effect Effects 0.000 description 1
- 230000008260 defense mechanism Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全技术领域,公开了一种基于智能决策的电力网络动态防御系统,包括攻击监测模块,用于存储根据电力网络的攻击特征数据构建的攻击监测策略;防御策略库,用于存储并执行和各报警信息匹配的联动防御策略;智能决策模块,用于根据目标报警信息从防御策略库中匹配若干目标联动防御策略,结合目标联动防御策略、目标报警信息和与预设网络信息生成网络攻击图,根据网络攻击图计算并输出执行联动防御策略时对应的总网络风险值,本发明结合网络攻击图得到的总网络风险值可以体现网络的总体风险,网络管理员可以根据每个联动防御策略对应的总网络风险值选择合适的联动防御策略进行执行,实现对未知攻击进行联动处置,保护电力系统安全。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及基于一种基于智能决策的电力网络动态防御系统。
背景技术
随着互联网技术的发展,计算机技术以及网络技术越来越离不开人们的日常工作和工业生产,在社会生产和生活的各个领域都得到了广泛的应用。但随之而来的是不断暴露的安全问题。多元化和复杂化的网络入侵攻击等事件变得越来越频繁,严重扰乱正常的网络秩序,影响了社会经济发展。比如很多网络入侵与攻击直接导致电商行业的用户和商家利益受损。面对日益严峻的网络安全形势。
近年来随着物联网和虚拟化设备的应用普及,网络攻击的规模量成指数上升,从PC端到移动端,入侵和攻击手段层出不穷,造成的严重数据泄露事件频频发生。目前电力网络虽已有一些防御技术和手段对网络攻击进行监测和防御,电力网络目前部署了大量的安全监测系统和防御设备,具备了一定的安全防御能力,但缺少协同、联动防御机制,针对高级持续性威胁APT等未知攻击目前尚不具备全网的联动分析与联动处置能力。
发明内容
有鉴于此,本发明提供了一种基于智能决策的电力网络动态防御系统,以解决目前电力网络的安全系统对未知攻击不具备联动分析与联动处置能力的问题。
本发明提供了一种基于智能决策的电力网络动态防御系统,包括:
攻击监测模块,用于存储根据电力网络的攻击特征数据构建的攻击监测策略,基于所述攻击监测策略对电力网络进行监测,并在监测到攻击行为时发出对应的目标报警信息;防御策略库,用于存储并执行和各报警信息匹配的联动防御策略;智能决策模块,用于根据所述目标报警信息从所述防御策略库的各联动防御策略中匹配若干对应目标联动防御策略,结合所述目标联动防御策略、所述目标报警信息和与预设网络信息生成网络攻击图,根据所述网络攻击图计算并输出执行所述目标联动防御策略时对应的总网络风险值。
可选地,所述攻击监测模块包括:攻击监测特征库,用于存储结合电力网络特征构建的攻击特征数据,所述攻击特征数据包括攻击类型及和所述攻击类型对应的监测数据类型、攻击规则和告警规范,所述监测数据类型用于确定待监测的数据,所述攻击规则用于根据待监测的数据判断是否存在攻击行为,所述告警规范用于确定所述报警信息的类型;攻击监测策略库,用于存储根据电力网络的攻击特征数据构建的攻击监测策略,所述攻击监测策略包括监测数据类型、监测规则、告警规范、策略执行平台和策略控制信息,所述监测规则包括攻击规则和时间窗口,所述时间窗口用于定义监测规则运算的监测数据缓存区间,所述策略执行平台用于定义策略执行位置和载体,所述策略控制信息用于确定所述攻击监测策略的启用和执行情况。
可选地,所述攻击监测特征库包括:安全内控监测特征模块,用于存储基于安全内控的攻击特征数据,基于安全内控的攻击特征数据包括攻击类型为口令暴力破解、账号异常登录、休眠账号检测和内网非法外联的所述攻击特征数据;内容泄密监测特征模块,用于存储基于内容泄密的攻击特征数据,基于内容泄密的攻击特征数据包括攻击类型为外网出口敏感信息泄露、网络流的敏感信息泄露和终端行为的敏感信息泄露的所述攻击特征数据;流量异常监测特征模块,用于存储基于流量异常的攻击特征数据,基于流量异常的共计特征数据包括攻击类型为域外异常下载、终端应用程序大流量外发行为、业务系统大流量外传、正常流向异常和特定流量异常的所述攻击特征数据。
可选地,所述防御策略库包括:防御执行策略模块,用于存储防御执行策略,所述防御执行策略用于定义防御的实体对象和执行的操作;防御验证策略模块,用于存储防御验证策略,所述防御验证策略用于定义防御执行后是否起效的验证操作,其中,所述联动防御策略包括防御执行策略和验证策略。
可选地,所述智能决策模块包括:策略匹配模块,用于根据所述报警信息从所述防御策略库中匹配若干所述联动防御策略;攻击图生成模块,用于通过企业网络安全分析器根据所述联动防御策略、所述报警信息和所述预设网络信息生成网络攻击图;策略评估模块,用于根据所述网络攻击图计算执行所述联动防御策略时对应的所述总网络风险值;输出模块,用于输出所述联动防御策略和对应的所述总网络风险值。
可选地,所述攻击图生成模块包括:信息获取模块,用于接收网络配置、系统配置以及扫描工具扫描得到的系统漏洞,所述预设网络信息包括所述网络配置和所述系统配置;计算模块,用于通过所述企业网络安全分析器结合所述联动防御策略、所述系统漏洞、所述网络配置、所述系统配置和所述报警信息生成网络攻击图,所述网络攻击图包括若干攻击链,所述攻击链包括若干系统漏洞和所述系统漏洞的利用前提和利用后果。
可选地,所述策略评估模块包括:子风险计算模块,用于基于所述系统漏洞的风险值计算执行每条所述联动防御策略时所述攻击链的风险值;总风险计算模块,用于基于所述攻击链的风险值计算执行每条所述联动防御策略时对应的总网络风险值。
可选地,所述策略评估模块还包括:漏洞风险计算模块,用于根据预设的漏洞流行度、漏洞容易度和漏洞影响力计算检测到的所述系统漏洞的风险值。
可选地,所述基于所述系统漏洞的风险值计算执行每条所述联动防御策略时所述攻击链的风险值,包括:判断执行所述联动防御策略时能否阻断所述攻击链,若能阻断,则所述攻击链的风险值为零,若不能阻断,则所述攻击链的风险值为所述攻击链中包括的全部所述系统漏洞的风险值的乘积。
可选地,所述基于所述攻击链的风险值计算执行所述联动防御策略时对应的总网络风险值,包括:将执行所述联动防御策略时对应的所述网络攻击图中包含的全部所述攻击链的风险值进行求和,得到执行所述联动防御策略时对应的总网络风险值。
可选地,所述联动防御策略包括基于主机的联动防御策略和基于安全设备的联动防御策略。
从以上技术方案可以看出,本发明具有以下优点:
本发明提供的一种基于智能决策的电力网络动态防御系统,通过攻击监测模块存储根据电力网络的攻击特征数据构建的攻击监测策略,基于所述攻击监测策略对电力网络进行监测,并在监测到攻击行为时发出对应的目标报警信息,通过防御策略库存储并执行和各报警信息匹配的联动防御策略,通过智能决策模块根据所述目标报警信息从所述防御策略库的各联动防御策略中匹配若干对应目标联动防御策略,结合所述目标联动防御策略、所述目标报警信息和与预设网络信息生成网络攻击图,根据所述网络攻击图计算并输出执行所述目标联动防御策略时对应的总网络风险值,结合网络攻击图得到的每个联动防御策略对应的总网络风险值可以体现网络的总体风险,实现对未知攻击进行联动分析,网络管理员可以根据每个联动防御策略对应的总网络风险值选择合适的联动防御策略进行执行,实现对未知攻击进行联动处置,从而保护电力系统安全。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的基于智能决策的电力网络动态防御系统的结构示意图;
图2是根据本发明实施例的基于智能决策的电力网络动态防御系统的工作流程图;
图3是根据本发明实施例的防御策略库的工作流程图;
图4是根据本发明实施例搭建的电力网络的结构示意图;
图5是根据本发明实施例的攻击链的展示示意图;
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本实施例中提供的一种基于智能决策的电力网络动态防御系统,应用于对电力网络进行安全防御,以解决目前电力网络的安全系统对未知攻击不具备联动分析与联动处置能力的问题。
请参见图1、图2和图3,本发明实施例提供了一种基于智能决策的电力网络动态防御系统,包括:
攻击监测模块,用于存储根据电力网络的攻击特征数据构建的攻击监测策略,基于攻击监测策略对电力网络进行监测,并在监测到攻击行为时发出对应的目标报警信息;防御策略库,用于存储并执行和各报警信息匹配的联动防御策略;智能决策模块,用于根据目标报警信息从防御策略库的各联动防御策略中匹配若干对应目标联动防御策略,结合目标联动防御策略、目标报警信息和与预设网络信息生成网络攻击图,根据网络攻击图计算并输出执行目标联动防御策略时对应的总网络风险值。
具体地,攻击监测模块负责监测电力网络的状态,并根据预先构建的攻击特征数据进行攻击监测策略的匹配。攻击特征数据根据电力网络的电力业务特征进行构建。示例性地,攻击监测模块通过分析网络流量、检测异常行为和对比历史攻击数据等方式来监测电力网络中的攻击行为。当监测到攻击行为时,攻击监测模块将发出相应的目标报警信息,并进行异常展示以进行可视化提醒。
防御策略库存储并执行与各报警信息匹配的联动防御策略。联动防御策略包括自动隔离受感染的设备、禁用可疑的网络连接、更新网络安全设备的规则等。通过执行这些联动防御策略,可以快速响应并减轻攻击对电力网络的影响。防御策略库存储中存储的联动防御策略包括触发事件,该触发事件和攻击监测模块监测的攻击行为对应,当监测到对应攻击行为时,发出对应的目标报警信息,即说明监测到触发事件,从而获取该出发触发事件对应的目标联动防御策略。
智能决策模块负责根据目标报警信息选择匹配的目标联动防御策略,并基于预设网络信息生成网络攻击图。网络攻击图可以显示攻击路径、攻击者的行动以及攻击的前提条件以及后果。智能决策模块结合联动防御策略、报警信息和网络攻击图来计算并输出执行联动防御策略时对应的总网络风险值,可以帮助决策者更全面地评估执行防御策略的风险,并根据需要进行调整。通过利用网络攻击图计算执行联动防御策略时对应的总网络风险值,能够利用智能决策和自动化技术来有效监测电力网络的安全状态,并及时采取相应的防御措施。通过联动防御策略和网络攻击图的生成,系统能够提供对电力网络整体安全状况的评估,帮助决策者制定更合理的防御策略,从而执行最合理的联动防御策略,如执行告警、禁用、阻断、隔离等操作,在最小化风险的同时保护电力网络的可靠性和安全性。
本发明实施例提供的一种基于智能决策的电力网络动态防御系统,通过攻击监测模块存储根据电力网络的攻击特征数据构建的攻击监测策略,基于攻击监测策略对电力网络进行监测,并在监测到攻击行为时发出对应的目标报警信息,通过防御策略库存储并执行和各报警信息匹配的联动防御策略,通过智能决策模块根据目标报警信息从防御策略库的各联动防御策略中匹配若干对应目标联动防御策略,结合目标联动防御策略、目标报警信息和与预设网络信息生成网络攻击图,根据网络攻击图计算并输出执行目标联动防御策略时对应的总网络风险值,结合网络攻击图得到的每个联动防御策略对应的总网络风险值可以体现网络的总体风险,实现对未知攻击进行联动分析,网络管理员可以根据每个联动防御策略对应的总网络风险值选择合适的联动防御策略进行执行,实现对未知攻击进行联动处置,从而保护电力系统安全。
在一些可选的实施方式中,攻击监测模块包括:
攻击监测特征库,用于存储结合电力网络特征构建的攻击特征数据,攻击特征数据包括攻击类型及和攻击类型对应的监测数据类型、攻击规则和告警规范,监测数据类型用于确定待监测的数据,攻击规则用于根据待监测的数据判断是否存在攻击行为,告警规范用于确定报警信息的类型;
攻击监测策略库,用于存储根据电力网络的攻击特征数据构建的攻击监测策略,攻击监测策略包括监测数据类型、监测规则、告警规范、策略执行平台和策略控制信息,监测规则包括攻击规则和时间窗口,时间窗口用于定义监测规则运算的监测数据缓存区间,策略执行平台用于定义策略执行位置和载体,策略控制信息用于确定攻击监测策略的启用和执行情况。
具体地,分析电力信息网络和业务异常特征,从安全内控、内容泄密、流量异常等方面进行攻击监测特征库构建。
攻击监测特征库包括:
安全内控监测特征模块,用于存储基于安全内控的攻击特征数据,基于安全内控的攻击特征数据包括攻击类型为口令暴力破解、账号异常登录、休眠账号检测和内网非法外联的攻击特征数据;
内容泄密监测特征模块,用于存储基于内容泄密的攻击特征数据,基于内容泄密的攻击特征数据包括攻击类型为外网出口敏感信息泄露、网络流的敏感信息泄露和终端行为的敏感信息泄露的攻击特征数据;
流量异常监测特征模块,用于存储基于流量异常的攻击特征数据,基于流量异常的共计特征数据包括攻击类型为域外异常下载、终端应用程序大流量外发行为、业务系统大流量外传、正常流向异常和特定流量异常的攻击特征数据。
下面结合具体例子说明攻击监测特征库中各个特征模块的构建过程。
(1)安全内控监测特征模块构建
安全内控监测特征模块主要包括口令暴力破解、账号异常登录、休眠账号检测、内网非法外联的四个模型,对公司信息内外网主机、数据库等系统、设备的安全情况进行监控,立在发现公司网络内部的越权访问、异常访问等行为。
举例如下:
①主机口令暴力破解
主要用于发现对账号采用密码暴力破解的攻击行为,通过对账号登录失败日志频度的判断,发现账户密码是否被成功破译。
监测数据类型:
攻击规则:
a.同一账号,每个小时内登录失败次数大于等于10(阈值5-60);
b.同一账号,5(阈值2-8)个小时内(以自然小时为计时周期,以第一次登录失败开始计,中断后重新计数)每个小时登录失败次数大于等于1(不可配置);
c.同一IP,同时对多个账户进行登录,且5(阈值1-60)分钟内存在10(阈值10-100)次以上登录失败记录(所有账户相加);
d.同一IP在满足上述特征后,出现登录成功日志。
告警规范:
定义报警信息的类型为疑似主机口令暴力破解
②业务系统口令暴力破解
主要用于发现在一段时间内,出现同一账号大量登录的情况。
监测数据类型:
攻击规则:
a.同一账号,每个小时内登录失败次数大于等于10(阈值5-60);
b.同一账号,5(阈值2-8)个小时内(以自然小时为计时周期,以第一次登录失败开始计,中断后重新计数)每个小时登录失败次数大于等于1(不可配置);
c.同一IP,同时对多个账户进行登录,且5(阈值1-60)分钟内存在10(阈值10-100)次以上登录失败记录(所有账户相加);
d.同一IP在满足上述特征后,出现登录成功日志。
告警规范:
类型为疑似业务口令暴力破解
③业务系统账号异常登录
主要用于发现业务系统账户的异常登录行为,通过将业务系统账户登录日志与IP地址经纬库的对比关联,发现在关联时间内账户的异地登录情况。
监测数据类型:
攻击规则:
a.账号两次登录的IP位置距离大于两次登录时间内飞机的最大飞行距离;
b.业务系统账号两次登录IP不同,同一(第二次)登录IP在5(阈值1-60);分钟内触发10(阈值10-100)次前提条件(条件1)。
告警规范:
类型为业务账号异常登录。
④休眠账号检测
主要用于发现账号中长期不用的休眠账号,通常出现该情况的原因极有可能是账户被盗用。
监测数据类型:
攻击规则:
存在超过三个月未登录的休眠账号。
告警规范:
类型为存在休眠账号。
⑤内网违规外联
主要用于发现内网终端违规连接外网的行为。通常出现该情况的原因可能是运维人员的误操作、恶意人员的有意行为。一般出现该情况都属于风险等级最高的事件,极有可能造成恶意人员对国网内网的渗透。
监测数据类型:
攻击规则:
内网终端发出对外链接,且目的IP为外网地址。
告警规范:
类型为违规外连。
(2)内容泄密监测特征模块
内容泄密监测特征模块中的内容泄露类场景主要包括基于外网出口、网络流、主机行为、恶意攻击等四个敏感信息泄露子场景,对公司敏感信息外发的安全情况进行监控,旨在发现公司网络内部的敏感信息外传行为。
①外网出口敏感信息泄露
主要用于发现在公司外网访问过程中的敏感数据外发行为。
监测数据类型:
攻击规则:
网络流中存在敏感字。
告警规范:
类型为外网出口敏感信息泄露。
②网络流的敏感信息泄露
主要用于公司信息外网用户通过互联网有意或无意的信息泄露行为,识别的行为包括web网页文件上传、web邮件、常见即时通讯软件、smtp邮件、FTP文件传输等敏感信息泄露行为。
监测数据类型:
攻击规则:
文件中存在敏感信息。
告警规范:
类型为网络流敏感信息泄露。
③终端行为的敏感信息泄露
主要用于公司信息内外网用户通过终端操作产生的,识别的行为包括USB拷贝、打印机、DVD刻录等敏感信息泄露行为。
监测数据类型:
攻击规则:
文件拷贝、打印、DVD刻录操作中有敏感信息。
告警规范:
类型为终端行为敏感信息泄露。
(3)流量异常监测特征模块建立
流量异常监测特征模块的场景主要包括域外异常下载、终端应用程序大流量外发行为、业务系统大流量外传、基于正常流量模型监测和基于特定流量模型监测等子场景,对公司流量异常情况进行监控,旨在发现流量异常行为。
①海外异常下载
用于发现海外IP登录国网邮件并下载信息的行为。对该监控点的关注主要用于判断已发生账户密码破译事件中敏感信息的外泄。
监测数据类型:
攻击规则:
a.登录地址为海外地址,且非常驻海外人员账号(建立海外人员白名单库);
b.账号登录成功;
c.在登录地址成功后,源IP和目的IP之间的外发流量大于500K。
告警规范:
类型为海外异常下载。
②终端应用程序大流量外发行为
用于发现海外IP连接公司外网终端并下载大量数据的行为,终端应用程序包括可控应用程序和不可控的恶意代码。
监测数据类型
攻击规则:
a.发现敏感字(敏感字库);
b.连接IP为海外地址(IP经纬度库);
c.网络流量发现源IP和目的IP之间的外发流量大于500K(可配置)。
告警规范:
类型为发现终端应用程序大流量外发。
③业务系统大流量外传监测
用于发现海外IP连接公司外网服务器并下载大量数据的行为,包括拖库行为、数据外传等。
监测数据类型:
攻击规则:
a.连接IP为海外地址(IP经纬度库),网络流量发现源IP和目的IP之间的外发流量大于500K(可配置);
b.连接IP为海外地址(IP经纬度库),一小时内累计下载数据量大于或等于500M;
c.连接IP为海外地址(IP经纬度库),当天连接频率大于或等于3且每次下载数据量大于或等于500K。
告警规范:
类型为发现外网应用大流量外传。
④基于正常流量模型监测
用于发现内网或外网突发流量异常的行为。
监测数据类型:
攻击规则
a.基于大数据分析平台计算公司在1个月内,各个IP每天上行、下行流量的平均值(去除最高点与最低点),每天上行流量超过平均值的10%为异常,计算该IP对应的目的端口流量的平均值(去除最高点与最低点),记录端口分布情况,每天端口流量超过平均值的10%为异常;
b.基于大数据分析平台计算公司在1个月内,各个IP每天会话连接数的平均值,每天会话连接数超过平均值的10%为异常,计算该IP对应的目的端口会话连接数的平均值,记录端口分布情况,每天端口会话连接数超过平均值的10%为异常。
告警规范:
类型为突发流量异常。
⑤基于特定流量模型监测
用于发现外网用户发生定向型、特殊型安全事件后出现了异常行为(涵盖勒索软件、木马、僵尸网络等)的监控。
监测数据类型:
攻击规则:
a.当外网出口流量中出现符合规则的协议或数据;
b.当外网出口流量中出现符合规则的IP或内容信息(关联相关资产)。
告警规范:
类型为发现异常流量。
攻击监测策略库的构建:
在构建攻击监测策略库时,首先对攻击监测特征库中的数据进行分解,依据攻击时间窗口、攻击产生的数据类型和攻击的行为特征等进行攻击监测策略的构建,同时将告警规范、策略执行方式和策略执行频率等策略内容添加到攻击监测策略中,形成完整的策略项,攻击监测策略被放置在云平台中,根据策略规则执行攻击监测。
攻击监测策略库中的单条攻击监测策略被定义为五元组{监测数据类型,{攻击规则,时间窗口},告警规范,策略执行平台,{策略执行频率,策略是否启动}}。包括监测数据类型、监测规则、告警规范、策略执行平台、策略控制信息。
监测数据类型:定义监测策略中进行规则运算的原始数据,与采集策略中的采集内容和数据类型对应。
监测规则:定义对监测对象的运算规则,包括攻击规则和时间窗口。其中攻击规则定义了攻击行为成立的条件,时间窗口定义了监测规则运算的监测数据缓存区间,如实时流、一小时、一天等。
告警规范:定义监测策略命中后输出的报警信息,基于统一的告警规范产生可读告警。
策略执行平台:定义策略执行位置和载体,包括负责实时监测的storm组件、负责准实时监测的spark组件等。
策略控制信息:包括是否启用标记和确定执行频率,是否启用决定该攻击监测策略是否生效,执行频率定义该攻击监测策略启用执行的频率。
本发明实施例紧密结合电力实际业务分析网络和业务异常特征,从安全内控、内容泄密、流量异常等方面进行攻击监测特征库构建,并对监测数据类型、告警规则和数据规范做了明确规定,提高了电力告警的准确性与有效性。
本发明实施例的攻击监测策略库对电力攻击行为规则即攻击监测特征库中的数据进行分解,依据攻击时间窗口、攻击产生的数据类型和攻击的行为特征等进行攻击监测策略的构建,同时将告警规范、策略执行方式和策略执行频率等策略内容添加到攻击监测策略中,形成完整的策略项,能够对电力网络进行自动化监测。
在一些可选的实施方式中,防御策略库包括:
防御执行策略模块,用于存储防御执行策略,防御执行策略用于定义防御的实体对象和执行的操作;
防御验证策略模块,用于存储防御验证策略,防御验证策略用于定义防御执行后是否起效的验证操作,其中,联动防御策略包括防御执行策略和验证策略。
具体地,针对监测到的符合攻击监测特征库中的攻击规则规定的行为,需要进行动态防御。防御策略库由联动防御策略构成,联动防御策略定义为二元组{{防御对象,防御动作},{验证源,验证目标,验证动作}}。包括防御执行和防御验证两部分,防御执行部分包括防御对象和防御动作,验证部分包括验证源,验证目标,验证动作。
防御执行策略:定义防御的实体对象和执行的操作,如主机断开网络连接、主机禁用USB等。
防御验证策略:定义防御执行后是否起效的验证操作,如主机禁用网络后通过ping该主机验证是否起效。
联动防御策略包括基于主机的联动防御策略和基于安全设备的联动防御策略两种。下面具体说明这两种联动防御策略的具体构建过程。
(1)基于主机的联动防御策略
针对主机的攻击作为攻击链的最后几步,已经存在较大的威胁,一旦主机被攻击成功则对主机上的系统、数据、及主机所属网络会带来进一步的破坏和影响。主机防御,以切断威胁主机向外访问及其他设备或主机访问该主机的渠道为处理原则,分为链路阻断、禁用网卡、禁用USB、禁用服务等。
①链路阻断
触发事件:通过主机访问行为审计监测发现存在对主机的异常访问,如篡改主机配置、上传非法文件、下载敏感数据等。
防御执行策略:防御对象即为主机,以IP或可识别的ID作为唯一标识;防御动作为执行链路阻断命令,即杀死存在安全风险的链路的链接进程。
防御验证策略:验证源为发起验证的主机,验证目标为执行链路阻断的主机,以IP或可识别的ID作为唯一标识;验证动作为验证目标主机通过命令查看被阻断的链路进程是否存在,若存在则验证不通过,若不存在则验证通过。
②禁用网卡
触发事件:监测发现某主机已被攻击者利用,并存在向外攻击的行为,如作为DDOS的肉鸡向其他主机发起大量连接或服务请求等。
防御执行策略:防御对象即为主机,以IP或可识别的ID作为唯一标识;防御动作为执行网卡禁用命令,即将活动的网卡关闭。
防御验证策略:验证源为发起验证的主机,验证目标为执行禁用网卡的主机,以IP或可识别的ID作为唯一标识;验证动作为向验证目标主机发送ping包,通过是否返回判断网卡是否禁用成功。若能ping通则验证不通过,若ping不通则验证通过。
③禁用USB
触发事件:监测发现某禁止U盘拷贝的主机上存在U盘插入及拷贝行为。
防御执行策略:防御对象即为主机,以IP或可识别的ID作为唯一标识;防御动作为执行USB禁用命令,即将活动的USB口关闭。
防御验证策略:验证源为发起验证的主机,验证目标为执行禁用USB的主机,以IP或可识别的ID作为唯一标识;验证动作为验证目标主机查看USB状态,若仍然启用则验证不通过,若已禁用通则验证通过。
④禁用服务
触发事件:监测发现某主机开启具有安全风险的服务,且该服务存在异常网络访问,如频繁连接恶意ip或恶意网站等。
防御执行策略:防御对象即为主机,以IP或可识别的ID作为唯一标识;防御动作为执行服务禁用命令,即将监测到的具有安全风险的服务结束。
防御验证策略:验证源为发起验证的主机,验证目标为执行禁用服务的主机,以IP或可识别的ID作为唯一标识;验证动作为验证目标主机查看当前运行的服务列表中是否存在禁用服务,若仍存在则验证不通过,若不存在则验证通过。
⑤禁用进程
触发事件:监测发现某主机存在非法进程运行痕迹,如恶意代码进程等。
防御执行策略:防御对象即为主机,以IP或可识别的ID作为唯一标识;防御动作为执行进程终止命令,即将监测到的具有安全风险的进程结束。
防御验证策略:验证源为发起验证的主机,验证目标为执行终止进程的主机,以IP或可识别的ID作为唯一标识;验证动作为验证目标主机查看当前运行的进程列表中是否存在需被杀死的进程,若仍存在则验证不通过,若不存在则验证通过。
(2)基于安全设备的联动防御策略
基于安全设备防御针对网络边界攻击,此类策略中,防御对象、验证源和验证目标均不涉及。根据常见的网络边界攻击,防御策略分为DoS类攻击防御策略、扫描类攻击防御策略、利用类攻击防御策略、病毒类攻击防御策略等。
①DoS类攻击防御措施
以常见的ping-of-death攻击为例,ping-of-death攻击是通过向目的主机发送长度超过65536的icmp报文,使目的主机发生处理异常而崩溃的攻击。
触发事件:NIPS系统检测出DoS攻击,大量的连接资源被占用,正常数据无法通过设备。
防御执行策略:识别DoS攻击的类型,启用事故所在子网NIPS的相应防DoS攻击配置。
配置防ping-of-death攻击:ping-of-death攻击是通过向目的主机发送长度超过65535的icmp报文,使目的主机发生处理异常而崩溃。配置了防ping-of-death攻击功能后,防火墙可以检测出ping-of-death攻击,丢弃攻击报文并输出告警日志信息。
防御验证策略:持续监测该域是否存在DoS攻击,若存在则验证不通过,否则,验证通过。
②扫描类攻击防御措施
触发条件:安全域中检测出TCP扫描事件。
防御执行策略:①开启USG防火墙的防TCP扫描功能,持续20秒;②开启NIPS的防TCP扫描功能,持续20秒。
配置动作:①(启明星辰USG防火墙):解析日志中USG的IP地址,对USG所在子网的防火墙执行block动作。②(启明星辰NIPS):解析日志中NIPS的IP地址,对NIPS所在子网的防火墙执行block动作。
防御执行验证策略:持续监测是否还存在TCP扫描,如存在则验证不通过,否则,验证通过。
③利用类攻击防御措施
触发条件:安全域中检测出利用类权限提升/拒绝服务攻击发生;
防御策略:①升级数据库;②关闭对应的应用服务;③提示管理员进行应用软件升级;④修改用户口令。
配置动作:①启用补丁管理系统升级数据库;②更改USG防火墙的规则;③管理员进行软件升级;④通知用户修改口令。
防御验证策略:持续监测安全域中是否还存在利用类权限提升/拒绝服务攻击,如存在则验证不通过,否则,验证通过。
④病毒类攻击防御措施
触发条件:安全域中的某主机显示有病毒告警。
防御策略:①删除病毒告警主机与其他设备或主机的连接;②启用防病毒安全防护表;③提示管理员进行手动病毒查杀;④进行漏洞扫描操作。
配置动作:①删除主机与其他设备或主机的连接;②启用安全防护表中的防病毒选项;③开启病毒扫描查杀程序;④进行漏洞扫描。
防御验证策略:①通过ping等方式查看是否能够访问该主机,如能则验证不通过,否则验证通过;②启用主机防病毒工具进行病毒扫描,查看是否存在病毒,如存在则验证不通过,否则验证通过。
本发明实施例通过防御执行策略模块执行防御后通过防御验证策略模块中的防御验证策略对执行的联动防御策略进行验证,能够保证防御的有效性,并且分别设置了基于主机和基于安全设备的联动防御策略,使得防御更加全面、安全。
在一些可选的实施方式中,智能决策模块包括:
策略匹配模块,用于根据报警信息从防御策略库中匹配若干联动防御策略;
攻击图生成模块,用于通过企业网络安全分析器根据联动防御策略、报警信息和预设网络信息生成网络攻击图;
策略评估模块,用于根据网络攻击图计算执行联动防御策略时对应的总网络风险值;
输出模块,用于输出联动防御策略和对应的总网络风险值。
具体地,在防御策略库中,每个触发事件对应有若干联动防御策略,而每个触发事件又和报警信息对应,基于此,根据报警信息从防御策略库中匹配若干联动防御策略,通过网络攻击图计算每个联动防御策略对系统全局的安全影响,即总网络风险值,将总网络风险值作为决策依据。
企业网络安全分析器采用MulVAL分析器,该分析器能够在输入联动防御策略、报警信息和预设网络信息后,使用Datalog语言建模输入元素,利用一系列推理规则自动构建危及安全目标的网络攻击图,即发现利用同一主机或不同主机之间的系统漏洞组合带来的安全问题。网络攻击图考虑到系统漏洞间的交互作用,能够很好地反映出多阶段攻击给系统带来的风险。即以触发事件对应的联动防御策略的集合{r1,r2,……,rn}为输入,针对预设网络信息及漏洞信息,在给定实施联动防御策略的假设下,构建网络攻击图,进一步计算电力网络的总网络风险值,向安全管理员输出联动防御策略及对应的总网络风险值,最后由管理员选择系统安全风险低、具有可实施性的联动策略。
在一些可选的实施方式中,攻击图生成模块包括:
信息获取模块,用于接收网络配置、系统配置以及扫描工具扫描得到的系统漏洞,预设网络信息包括网络配置和系统配置;
计算模块,用于通过企业网络安全分析器结合联动防御策略、系统漏洞、网络配置、系统配置和报警信息生成网络攻击图,网络攻击图包括若干攻击链,攻击链包括若干系统漏洞、系统漏洞的利用前提和利用后果。
具体地,网络配置和系统配置为系统信息,在系统初始化时获得或通过用户输入得到。
扫描工具采用绿盟、Nessus等通用性网络安全漏洞扫描工具,在扫描工具扫描到具体的系统漏洞之后,利用对应的系统漏洞会产生相应的异常行为,从而满足攻击监测策略库中攻击行为成立的条件,就认定存攻击行为,从而根据告警规范产生相应的报警信息。
企业网络安全分析器生成的网络攻击图包括若干攻击链,通过攻击链能够反映系统漏洞组合带来的安全问题,从而能够计算总网络风险值。
在一些可选的实施方式中,策略评估模块包括:
子风险计算模块,用于基于系统漏洞的风险值计算执行每条联动防御策略时攻击链的风险值;
总风险计算模块,用于基于攻击链的风险值计算执行每条联动防御策略时对应的总网络风险值。
具体地,给定网络攻击图G,So为攻击链的初始状态,Sg为攻击链的终止状态,其包含n条攻击链L1、L2、……、Ln,攻击链Li由m个系统漏洞V1、V2、……、Vm组成。针对网络中存在的所有攻击链,定义总网络风险值R(G)为各条攻击链的风险值之和,计算方法为:
R(G)=R(L1)+R(L2)+…+R(Ln)
其中,R(Li)(i=1,2,…,n)为由m个系统漏洞组成的攻击链Li的风险值,其需要满足m个系统漏洞的攻击条件才能实现该攻击链,其风险值定义为:
R(Li)=R(V1)×R(V2)×…×R(Vm)
其中,R(Vk)(k=1,2,…,m)为系统漏洞Vk的风险值,即黑客对网络进行攻击所利用的每个系统漏洞的风险程度。
具体地,基于系统漏洞的风险值计算执行每条联动防御策略时攻击链的风险值,包括:判断执行联动防御策略时能否阻断攻击链,若能阻断,则攻击链的风险值为零,若不能阻断,则攻击链的风险值为攻击链中包括的全部系统漏洞的风险值的乘积。基于攻击链的风险值计算执行联动防御策略时对应的总网络风险值,包括:将执行联动防御策略时对应的网络攻击图中包含的全部攻击链的风险值进行求和,得到执行联动防御策略时对应的总网络风险值。
当执行联动防御策略时,若某个系统漏洞被修复了,则计算包含其的攻击链的风险值时,将该系统漏洞的风险值置为零,即包含其的攻击链被阻断了,该攻击链的风险值为零。若攻击链不包含被修复的系统漏洞,则该攻击链的风险值为系统漏洞风险值的乘积。将此时全部攻击链的风险值相加即得到执行每条联动防御策略时对应的总网络风险值。
在一些可选的实施方式中,策略评估模块还包括:
漏洞风险计算模块,用于根据预设的漏洞流行度、漏洞容易度和漏洞影响力计算检测到的系统漏洞的风险值。
具体地,每个系统漏洞的风险值由漏洞流行度Pp、漏洞容易度Pd和漏洞影响力Pe决定,其计算公式为:
漏洞流行度Pp、漏洞容易度Pd和漏洞影响力Pe主要采用专家评分以及通用漏洞打分系统CVSS来获取,其概念定义及取值如下:
漏洞流行度:现实中某个漏洞用于攻击实际目标的使用频繁度。取值0.1为极少使用,0.5为经常使用,1为广泛使用。
漏洞容易度:利用某个漏洞执行攻击所必须的技巧。取值0.1为很少或不需技巧,0.5为普通的安全程序员,1为老练的安全程序员。
漏洞影响力:利用某个漏洞实施成功攻击后导致的潜在损害。取值0.1为目标的一些无关紧要的信息,0.5为普通用户账户或拒绝服务,1为超级用户账户或类似的信息。
下面结合一个具体例子说明本发明实施例的基于智能决策的电力网络动态防御系统的联动决策的实现过程。
请参见图4和图5,实验室搭建电力网络,网络配置和系统配置信息如下:
主机A的操作系统为Sun Solaris 9.0,系统设有普通用户usrA和超级用户root,且允许访问主机C的MySQL数据库,可以普通用户身份访问主机B;主机B的操作系统为Windows 2000,提供远程登陆服务SSH,且设有管理员账户AdministratorB,可访问主机C的MySQL数据库;主机C的操作系统为Windows2000,设有管理员账户AdministratorC,提供MySQL数据库服务,且可访问和更改MySQL数据库。
通过基于主机和基于网络的扫描工具对网络中三个主机节点进行扫描,得到系统漏洞信息如下表所示。
当主机C的MySQL数据库遭到非授权更改,智能决策模块接收到报警信息,根据报警信息的告警类型从防御策略库中读取对应的联动防御策略。将实验网络的系统漏洞、网络配置、系统配置、报警信息和联动防御策略输入到企业网络安全分析器MulVAL,输出的网络攻击图含有两条攻击链L1和L2,其中,So为攻击链的初始状态,Sg为攻击链的终止状态,S1和S2为中间状态,即对应的后果。攻击链充分体现出漏洞与漏洞的关联组合,核心思想是利用系统漏洞的利用前提与利用后果,主要有:
1)所在主机A的系统漏洞V1关联V2,其关联条件是具有本地非特权用户,关联结果是获得主机A的root用户权限。
2)系统漏洞V1关联系统漏洞V3,其关联条件是主机B运行SSH服务且打开对应端口、主机A的用户可访问主机B的SSH服务,关联结果是获得主机B的root用户权限。
3)系统漏洞V2关联系统漏洞V4,其关联条件是主机C运行MySQL数据库和允许主机A的用户访问主机C的MySQL数据库,关联结果是可访问和更改所在主机C的MySQL数据库。
4)系统漏洞V3关联系统漏洞V4,其关联条件是主机C运行MySQL数据库和允许主机B的用户访问主机C的MySQL数据库,关联结果是可访问和更改所在主机C的MySQL数据库。
基于给定的漏洞流行度Pp、漏洞容易度Pd和漏洞影响力Pe,利用系统漏洞的风险值计算公式,计算系统漏洞Vk的风险值R(Vk):
计算出4个系统漏洞V1、V2、V3和V4的风险值分别为:0.2、0.867、0.9、0.93,进一步可得到两条攻击链的风险值R(L1)、R(L2)及总网络风险值R(G)分别为:
R(L1)=R(V1)×R(V2)×R(V4)=0.161
R(L2)=R(V1)×R(V3)×R(V4)=0.167
R(G)=R(L1)+R(L2)=0.328
当智能决策模块接收到一条报警信息:主机C的MySQL数据库遭到非授权更改,报警信息的告警类型从防御策略库中读取对应的联动防御策略:
P1:升级MySQL
P2:修改默认配置,即关闭MySQL用户配置文件的权限
P3:修改弱口令—V1
P4:升级Newgrp应用软件
进一步,决策引擎假定实施联动防御策略P1、P2、P3和P4,其中,联动防御策略P4只能阻断攻击链L1,联动防御策略P1、P2和P3则两条攻击链均能阻断,获取的对应总网络风险值分别为:0、0、0、0.167。对于联动防御策略P1,升级MySQL会影响到系统业务的运行,而且新版本MySQL数据库的稳定性有待测试,故最后管理员根据联动防御策略的可实施性,可选择的联动防御策略为P2或P3,即关闭主机C的MySQL用户配置文件权限或修改主机A的弱口令。
本发明实施例的基于智能决策的电力网络动态防御系统有以下改进:
(1)本发明实施例提出的基于智能决策的电力网络动态防御系统综合考虑攻击与防御策略,对电力网络系统的各个层面进行整体性考虑,通过智能决策模块对电力网络的威胁和攻击进行动态防御和策略执行,解决了电力网络安全防御整体协同问题。
(2)本发明实施例提出的攻击监测策略库的构建紧密结合电力实际业务分析网络和业务异常特征,从安全内控、内容泄密、流量异常等方面进行攻击监测特征库构建,并对监测数据类型、告警规则和数据规范做了明确规定,提高了电力告警的准确性与有效性。
(3)本发明实施例提出的攻击监测策略库对电力攻击行为规则特征库中的数据进行分解,依据攻击时间窗口、攻击产生的数据类型和攻击的行为特征等进行攻击监测策略的构建,同时将告警规范、策略执行方式和策略执行频率等策略内容添加到攻击监测策略中,形成完整的策略项,从而实现智能监测。
应当理解的,在本发明实施例中所使用的术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的系统较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (11)
1.一种基于智能决策的电力网络动态防御系统,其特征在于,包括:
攻击监测模块,用于存储根据电力网络的攻击特征数据构建的攻击监测策略,基于所述攻击监测策略对电力网络进行监测,并在监测到攻击行为时发出对应的目标报警信息;
防御策略库,用于存储并执行和各报警信息匹配的联动防御策略;
智能决策模块,用于根据所述目标报警信息从所述防御策略库的各联动防御策略中匹配若干对应目标联动防御策略,结合所述目标联动防御策略、所述目标报警信息和与预设网络信息生成网络攻击图,根据所述网络攻击图计算并输出执行所述目标联动防御策略时对应的总网络风险值。
2.根据权利要求1所述的系统,其特征在于,所述攻击监测模块包括:
攻击监测特征库,用于存储结合电力网络特征构建的攻击特征数据,所述攻击特征数据包括攻击类型及和所述攻击类型对应的监测数据类型、攻击规则和告警规范,所述监测数据类型用于确定待监测的数据,所述攻击规则用于根据待监测的数据判断是否存在攻击行为,所述告警规范用于确定所述报警信息的类型;
攻击监测策略库,用于存储根据电力网络的攻击特征数据构建的攻击监测策略,所述攻击监测策略包括监测数据类型、监测规则、告警规范、策略执行平台和策略控制信息,所述监测规则包括攻击规则和时间窗口,所述时间窗口用于定义监测规则运算的监测数据缓存区间,所述策略执行平台用于定义策略执行位置和载体,所述策略控制信息用于确定所述攻击监测策略的启用和执行情况。
3.根据权利要求1所述的系统,其特征在于,所述攻击监测特征库包括:
安全内控监测特征模块,用于存储基于安全内控的攻击特征数据,基于安全内控的攻击特征数据包括攻击类型为口令暴力破解、账号异常登录、休眠账号检测和内网非法外联的所述攻击特征数据;
内容泄密监测特征模块,用于存储基于内容泄密的攻击特征数据,基于内容泄密的攻击特征数据包括攻击类型为外网出口敏感信息泄露、网络流的敏感信息泄露和终端行为的敏感信息泄露的所述攻击特征数据;
流量异常监测特征模块,用于存储基于流量异常的攻击特征数据,基于流量异常的共计特征数据包括攻击类型为域外异常下载、终端应用程序大流量外发行为、业务系统大流量外传、正常流向异常和特定流量异常的所述攻击特征数据。
4.根据权利要求1所述的系统,其特征在于,所述联动防御策略包括防御执行策略及防御验证策略,所述防御策略库包括:
防御执行策略模块,用于存储防御执行策略,所述防御执行策略用于定义防御的实体对象和执行的操作;
防御验证策略模块,用于存储防御验证策略,所述防御验证策略用于定义防御执行后是否起效的验证操作,其中,所述联动防御策略包括防御执行策略和验证策略。
5.根据权利要求1所述的系统,其特征在于,所述智能决策模块包括:
策略匹配模块,用于根据所述报警信息从所述防御策略库中匹配若干所述联动防御策略;
攻击图生成模块,用于通过企业网络安全分析器根据所述联动防御策略、所述报警信息和所述预设网络信息生成网络攻击图;
策略评估模块,用于根据所述网络攻击图计算执行所述联动防御策略时对应的所述总网络风险值;
输出模块,用于输出所述联动防御策略和对应的所述总网络风险值。
6.根据权利要求5所述的系统,其特征在于,所述攻击图生成模块包括:
信息获取模块,用于接收网络配置、系统配置以及扫描工具扫描得到的系统漏洞,所述预设网络信息包括所述网络配置和所述系统配置;
计算模块,用于通过所述企业网络安全分析器结合所述联动防御策略、所述系统漏洞、所述网络配置、所述系统配置和所述报警信息生成网络攻击图,所述网络攻击图包括若干攻击链,所述攻击链包括若干系统漏洞和所述系统漏洞的利用前提和利用后果。
7.根据权利要求6所述的系统,其特征在于,所述策略评估模块包括:
子风险计算模块,用于基于所述系统漏洞的风险值计算执行每条所述联动防御策略时所述攻击链的风险值;
总风险计算模块,用于基于所述攻击链的风险值计算执行每条所述联动防御策略时对应的总网络风险值。
8.根据权利要求7所述的系统,其特征在于,所述策略评估模块还包括:
漏洞风险计算模块,用于根据预设的漏洞流行度、漏洞容易度和漏洞影响力计算检测到的所述系统漏洞的风险值。
9.根据权利要求7所述的系统,其特征在于,所述基于所述系统漏洞的风险值计算执行每条所述联动防御策略时所述攻击链的风险值,包括:
判断执行所述联动防御策略时能否阻断所述攻击链,若能阻断,则所述攻击链的风险值为零,若不能阻断,则所述攻击链的风险值为所述攻击链中包括的全部所述系统漏洞的风险值的乘积。
10.根据权利要求7所述的系统,其特征在于,所述基于所述攻击链的风险值计算执行所述联动防御策略时对应的总网络风险值,包括:
将执行所述联动防御策略时对应的所述网络攻击图中包含的全部所述攻击链的风险值进行求和,得到执行所述联动防御策略时对应的总网络风险值。
11.根据权利要求1所述的系统,其特征在于,所述联动防御策略包括基于主机的联动防御策略和基于安全设备的联动防御策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311227971.5A CN117319019A (zh) | 2023-09-21 | 2023-09-21 | 一种基于智能决策的电力网络动态防御系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311227971.5A CN117319019A (zh) | 2023-09-21 | 2023-09-21 | 一种基于智能决策的电力网络动态防御系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117319019A true CN117319019A (zh) | 2023-12-29 |
Family
ID=89261404
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311227971.5A Pending CN117319019A (zh) | 2023-09-21 | 2023-09-21 | 一种基于智能决策的电力网络动态防御系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117319019A (zh) |
-
2023
- 2023-09-21 CN CN202311227971.5A patent/CN117319019A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Cazorla et al. | Cyber stealth attacks in critical information infrastructures | |
| Agarwal et al. | A closer look at intrusion detection system for web applications | |
| Joshi et al. | Honeypots: a new paradigm to information security | |
| Verwoerd et al. | Intrusion detection techniques and approaches | |
| Marinova-Boncheva | A short survey of intrusion detection systems | |
| Beigh et al. | Intrusion Detection and Prevention System: Classification and Quick | |
| Yaacoub et al. | A survey on ethical hacking: issues and challenges | |
| Chen | Guarding against network intrusions | |
| KR20170091989A (ko) | 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 | |
| Bendiab et al. | IoT Security Frameworks and Countermeasures | |
| CN117319019A (zh) | 一种基于智能决策的电力网络动态防御系统 | |
| Putri et al. | Implementation Of Next-Generation Firewalls To Protect Applications From Malware Attacks | |
| Singh et al. | Intrusion detection using network monitoring tools | |
| Anand et al. | Network intrusion detection and prevention | |
| Almutairi | Improving intrusion detection systems using data mining techniques | |
| Zhou et al. | Research on computer network information security and protection strategy based on deep learning algorithm | |
| Pir | Intrusion detection techniques and open source intrusion detection (IDS) tools | |
| Singh | Intrusion detection system (IDS) and intrusion prevention system (IPS) for network security: a critical analysis | |
| Falguni et al. | 'E-SPY': DETECTION AND PREDICTION OF WEBSITE ATTACKS. | |
| Suhag | Paradigmatic Approaches for Network Security and Preventing Intrusions: A Secure Computer Shield | |
| Papadaki | Classifying and responding to network intrusions | |
| Ou | Research and Design of Multi-level Network Security Active Defense System | |
| El Hayat | Intrusion Detection Systems: To an Optimal Hybrid Intrusion Detection System | |
| Hudson | An analysis of botnet vulnerabilities | |
| Hamed | An agent-based intrusion detection system using fuzzy logic for computer system threat evaluation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |