電力二次系統(tǒng)的主動安全防御系統(tǒng)及方法
【專利摘要】本發(fā)明公開了一種電力二次系統(tǒng)的主動安全防御系統(tǒng)及方法,該主動安全防御系統(tǒng)在現(xiàn)有電力二次系統(tǒng)安全防御體系的基礎上����,還包括:入侵知識獲取模塊,利用陷阱網(wǎng)絡獲取電力企業(yè)內(nèi)部網(wǎng)絡及外部網(wǎng)絡的入侵知識;入侵知識使用模塊�����,設置于電力企業(yè)內(nèi)部網(wǎng)絡內(nèi)����,負責使用獲得的入侵知識來實施對電力企業(yè)內(nèi)部網(wǎng)絡的防御��;入侵防御系統(tǒng),部署于內(nèi)外網(wǎng)交界處����,以提高電力二次系統(tǒng)的主動安全防御能力����,本發(fā)明可提高電力二次系統(tǒng)抵御內(nèi)外風險的能力��,變被動防護為主動防御。
【專利說明】電力二次系統(tǒng)的主動安全防御系統(tǒng)及方法
【技術領域】
[0001]本發(fā)明涉及電力系統(tǒng)的安全防御系統(tǒng)及方法,特別是涉及一種電力二次系統(tǒng)的主動安全防御系統(tǒng)及方法�。
【背景技術】
[0002]電力系統(tǒng)包括一次和二次系統(tǒng),而電力二次系統(tǒng)的安全防護是近十幾年才提出來的電力安全防護體系����。隨著網(wǎng)絡技術在電力系統(tǒng)各領域的廣泛應用���,電力二次系統(tǒng)的安全與其涉及的網(wǎng)絡的安全息息相關。具體技術主要涉及電力二次系統(tǒng)的安全分區(qū),每個分區(qū)之間的安全防護以及內(nèi)外網(wǎng)之間的安全防護,尤其是主動防御【技術領域】��。
[0003]目前,國內(nèi)外對電力二次系統(tǒng)的安全防護都在加強建設和不斷完善的過程中���。相關的技術主要有防火墻技術,反病毒技術�,身份認證技術,入侵檢測技術(IntrusionDetection Systems),入侵防御技術(Intrusion Prevent System),物理隔離和邏輯隔離,虛擬專用網(wǎng)(Virtual Private Network)等關鍵技術�。
[0004]然而,雖然目前國內(nèi)外對電力二次系統(tǒng)安全進了大量的研究并取得了一定的成果�,但距離達到保障電力系統(tǒng)安全的要求還有很大差距。通過對電力二次系統(tǒng)的應用現(xiàn)狀及安全需求分析�,發(fā)現(xiàn)目前電力二次系統(tǒng)安全建設主要存在以下問題:安全防護的目標�、策略和體系不夠健全���,安全防護反應過度反而影響正常業(yè)務����,沒有建立一個針對威脅和資產(chǎn)保護相一致的安全保護體系;另外��,目前電力二次系統(tǒng)所采取的一些安全措施大部分是被動防護�,圖1為現(xiàn)有技術中電力二次系統(tǒng)安全防御體系的一般結構圖���。如圖1所示���,目前電力二次系統(tǒng)安全防護的總體原則是“安全分區(qū)、網(wǎng)絡專用����、橫向隔離���、縱向認證”,以下從這幾個方面對其進行簡述�。
[0005]1�、安全分區(qū)
[0006]原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)�����。生產(chǎn)控制大區(qū)可以分為控制區(qū)(又稱安全區(qū)I )和非控制區(qū)(又稱安全區(qū)II)����。
[0007]1.1生產(chǎn)控制大區(qū)的安全區(qū)劃分
[0008](I)控制區(qū)(安全區(qū)I)
[0009]控制區(qū)的典型業(yè)務系統(tǒng)包括電力數(shù)據(jù)采集和監(jiān)控系統(tǒng)���、能量管理系統(tǒng)�����、廣域相量測量系統(tǒng)����、配電網(wǎng)自動化系統(tǒng)、變電站自動化系統(tǒng)�、發(fā)電廠自動控制系統(tǒng)等���,其主要使用者為調(diào)度員和運行操作人員,數(shù)據(jù)傳輸實時性為毫秒級或秒級,其數(shù)據(jù)通信使用電力調(diào)度數(shù)據(jù)網(wǎng)的實時子網(wǎng)或?qū)S猛ǖ肋M行傳輸�����。該區(qū)內(nèi)還包括采用專用通道的控制系統(tǒng)����,如:繼電保護����、安全自動控制系統(tǒng)、低頻(或低壓)自動減負荷系統(tǒng)����、負荷管理系統(tǒng)等�,這類系統(tǒng)對數(shù)據(jù)傳輸?shù)膶崟r性要求為毫秒級或秒級,其中負荷管理系統(tǒng)為分鐘級��。
[0010](2)非控制區(qū)(安全區(qū)II)
[0011]非控制區(qū)的典型業(yè)務系統(tǒng)包括調(diào)度員培訓模擬系統(tǒng)�、水庫調(diào)度自動化系統(tǒng)�、繼電保護及故障錄波信息管理系統(tǒng)����、電能量計量系統(tǒng)�、電力市場運營系統(tǒng)等�,其主要使用者分別為電力調(diào)度員、水電調(diào)度員、繼電保護人員及電力市場交易員等���。在廠站端還包括電能量遠方終端�、故障錄波裝置及發(fā)電廠的報價系統(tǒng)等。非控制區(qū)的數(shù)據(jù)采集頻度是分鐘級或小時級,其數(shù)據(jù)通信使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實時子網(wǎng)。
[0012]1.2管理信息大區(qū)的安全區(qū)劃分
[0013]管理信息大區(qū)是指生產(chǎn)控制大區(qū)以外的電力企業(yè)管理業(yè)務系統(tǒng)的集合。電力企業(yè)可根據(jù)具體情況劃分安全區(qū)����,但不應影響生產(chǎn)控制大區(qū)的安全。在此劃分如生產(chǎn)管理區(qū)(安全區(qū)III)與管理信息區(qū)(安全區(qū)IV)
[0014]2���、網(wǎng)絡專用
[0015]電力調(diào)度數(shù)據(jù)網(wǎng)是為生產(chǎn)控制大區(qū)服務的專用數(shù)據(jù)網(wǎng)絡,承載電力實時控制�����、在線生產(chǎn)交易等業(yè)務�����。安全區(qū)的外部邊界網(wǎng)絡之間的安全防護隔離強度應該和所連接的安全區(qū)之間的安全防護隔離強度相匹配�����。
[0016]電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實時子網(wǎng)和非實時子網(wǎng)��,分別連接控制區(qū)和非控制區(qū)�。可采用VPN (virtual private network,虛擬專用網(wǎng)絡)技術(包括實時VPN�、非實時VPN�、生產(chǎn)VPN及信息VPN)���、國家電力調(diào)度網(wǎng)絡SPDnet (state Power DispatchingNetwork)�、國家電力數(shù)據(jù)通信網(wǎng) SPTnet (State Power Telecommunication Network)�����、安全隧道技術、靜態(tài)路由等構造子網(wǎng)�����。
[0017]3、橫向隔離
[0018]橫向隔離是電力二次安全防護體系的橫向防線��。采用不同強度的安全設備隔離各安全區(qū)���,在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設置經(jīng)國家指定部門檢測認證的電力專用橫向單向安全隔離裝置,隔離強度應接近或達到物理隔離�����。電力專用橫向單向安全隔離裝置作為生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的必備邊界防護措施��,是橫向防護的關鍵設備。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應當采用具有訪問控制功能的網(wǎng)絡設備���、防火墻或者相當功能的設施,實現(xiàn)邏輯隔離���。
[0019]按照數(shù)據(jù)通信方向電力專用橫向單向安全隔離裝置分為正向型和反向型。正向安全隔離裝置用于生產(chǎn)控制大區(qū)到管理信息大區(qū)的非網(wǎng)絡方式的單向數(shù)據(jù)傳輸�����。反向安全隔離裝置用于從管理信息大區(qū)到生產(chǎn)控制大區(qū)單向數(shù)據(jù)傳輸����,是管理信息大區(qū)到生產(chǎn)控制大區(qū)的唯一數(shù)據(jù)傳輸途徑。反向安全隔離裝置集中接收管理信息大區(qū)發(fā)向生產(chǎn)控制大區(qū)的數(shù)據(jù)�,進行簽名驗證����、內(nèi)容過濾、有效性檢查等處理后�,轉發(fā)給生產(chǎn)控制大區(qū)內(nèi)部的接收程序。專用橫向單向隔離裝置應該滿足實時性����、可靠性和傳輸流量等方面的要求�����。
[0020]4�、縱向認證
[0021]縱向加密認證是電力二次系統(tǒng)安全防護體系的縱向防線����。采用認證����、加密��、訪問控制等技術措施實現(xiàn)數(shù)據(jù)的遠方安全傳輸以及縱向邊界的安全防護(如圖1中IP認證加密裝置)����。對于重點防護的調(diào)度中心�����、發(fā)電廠、變電站在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向連接處應當設置經(jīng)過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網(wǎng)關及相應設施��,實現(xiàn)雙向身份認證�����、數(shù)據(jù)加密和訪問控制����。暫時不具備條件的可以采用硬件防火墻或網(wǎng)絡設備的訪問控制技術臨時代替�����。
[0022]可見�,在現(xiàn)有技術的電力二次系統(tǒng)的安全防御體系中�,有的僅僅是單點防御,尚沒有一個完整的體系�����,有的雖有完整的體系���,如圖1���,但其所采取的一些安全措施大部分是被動防護�,容易出現(xiàn)安全漏洞�����,因此��,針對日益發(fā)展的網(wǎng)絡攻擊技術�����,需要進一步完善電力二次系統(tǒng)的安全防護體系����,建立更有效的主動防御體系。
【發(fā)明內(nèi)容】
[0023]為克服上述現(xiàn)有技術存在的不足����,本發(fā)明之目的在于提供一種電力二次系統(tǒng)的主動安全防御系統(tǒng)及方法�����,通過將主動防御與被動防御相結合��,在原有的電力二次系統(tǒng)的安全防御體系基礎上提高其主動性����、積極性,更好的提高電力二次系統(tǒng)抵御內(nèi)外風險的能力,變被動防護為主動防御�����。
[0024]為達上述及其它目的�����,本發(fā)明提出一種電力二次系統(tǒng)的主動安全防御系統(tǒng),在現(xiàn)有電力二次系統(tǒng)安全防御體系的基礎上����,該主動安全防御系統(tǒng)還包括:
[0025]入侵知識獲取模塊�,利用陷阱網(wǎng)絡獲取電力企業(yè)內(nèi)部網(wǎng)絡及外部網(wǎng)絡的入侵知識;
[0026]入侵知識使用模塊,設置于電力企業(yè)內(nèi)部網(wǎng)絡內(nèi),負責使用獲得的入侵知識來實施對電力企業(yè)內(nèi)部網(wǎng)絡的防御����;
[0027]入侵防御系統(tǒng)��,部署于內(nèi)外網(wǎng)交界處�,以提高電力二次系統(tǒng)的主動安全防御能力����。
[0028]進一步地�����,該入侵知識使用模塊包括網(wǎng)絡主動防御監(jiān)控中心與網(wǎng)絡主動防御代理��,該網(wǎng)絡主動防御監(jiān)控中心部署在中心交換機上��,要求能夠和網(wǎng)絡中所有網(wǎng)絡主動防御代理通信�,負責為安全管理員提供系統(tǒng)控制平臺,制定具有廣譜效果的檢測規(guī)則��,接收來自陷阱網(wǎng)絡的規(guī)則更新���;該網(wǎng)絡主動防御代理直接連接、運行于被監(jiān)控網(wǎng)絡�����,能同時并發(fā)、實時地對多個子網(wǎng)進行監(jiān)控,接收由該網(wǎng)絡主動防御監(jiān)控中心傳來的命令,回送運行結果。
[0029]進一步地��,該入侵知識獲取模塊包括第一陷阱網(wǎng)絡及第二陷阱網(wǎng)絡�,該第一陷阱網(wǎng)絡設置于外網(wǎng)區(qū)域,與內(nèi)外網(wǎng)間的防火墻處于并行的位置�,其用于檢測所有包括繞過該防火墻進入內(nèi)部網(wǎng)絡的數(shù)據(jù)包��,該第二陷阱網(wǎng)絡設置于該電力企業(yè)內(nèi)部網(wǎng)絡的內(nèi)網(wǎng)區(qū)域,與主干網(wǎng)絡連接�,用于獲取入侵該電力企業(yè)內(nèi)部網(wǎng)絡的入侵知識。
[0030]進一步地�����,該第一陷阱網(wǎng)絡對來自外部網(wǎng)絡的黑客病毒、黑客攻擊實施誘捕����,并分析其特性,提取檢測特征來更新該網(wǎng)絡主動防御監(jiān)控中心的規(guī)則數(shù)據(jù)庫�;該第二陷阱網(wǎng)絡負責誘捕來自內(nèi)部網(wǎng)絡的黑客病毒、黑客攻擊實施��,分析其特性�,提取檢測特征來更新該網(wǎng)絡主動防御監(jiān)控中心的規(guī)則數(shù)據(jù)庫����。
[0031]進一步地,該網(wǎng)絡主動防御監(jiān)控中心在發(fā)現(xiàn)有新規(guī)則生成后�,自動將該規(guī)則數(shù)據(jù)庫中新策略下發(fā)到部署在不同子網(wǎng)內(nèi)的網(wǎng)絡主動防御代理����,該網(wǎng)絡主動防御代理接收并執(zhí)行該網(wǎng)絡主動防御監(jiān)控中心制定的策略�����,完成網(wǎng)絡數(shù)據(jù)包的捕獲分析�����,詳細記錄網(wǎng)絡狀態(tài)產(chǎn)生日志,發(fā)現(xiàn)網(wǎng)絡異常并產(chǎn)生告警��,通過通信模塊完成日志及告警上傳至該網(wǎng)絡主動防御監(jiān)控中心��。
[0032]進一步地�����,該網(wǎng)絡主動防御監(jiān)控中心接收該網(wǎng)絡主動防御代理上傳的日志、告警�����,將其寫入數(shù)據(jù)庫�,并通知管理員�。
[0033]為達到上述目的���,本發(fā)明還提供一種電力二次系統(tǒng)的主動安全防御方法�����,包括如下步驟:
[0034]步驟一�,利用陷阱網(wǎng)絡獲取電力企業(yè)內(nèi)部網(wǎng)絡及外部網(wǎng)絡的入侵知識,提取其中的檢測特征更新網(wǎng)絡主動防御監(jiān)控中心的規(guī)則數(shù)據(jù)庫���;
[0035]步驟二���,該網(wǎng)絡主動防御監(jiān)控中心在發(fā)現(xiàn)有新規(guī)則生成后,自動將規(guī)則數(shù)據(jù)庫中新策略下發(fā)到部署在不同子網(wǎng)內(nèi)的網(wǎng)絡主動防御代理�;[0036]步驟三��,該網(wǎng)絡主動防御代理接收并執(zhí)行該網(wǎng)絡主動防御監(jiān)控中心制定的策略�,完成網(wǎng)絡數(shù)據(jù)包的捕獲分析�,發(fā)現(xiàn)網(wǎng)絡異常并產(chǎn)生告警,通過通信模塊完成告警上傳;
[0037]步驟四����,該網(wǎng)絡主動防御監(jiān)控中心接收該網(wǎng)絡主動防御代理上傳的告警����,并對告警進行相應處理。
[0038]進一步地��,于步驟三中��,該網(wǎng)絡主動防御代理還記錄網(wǎng)絡狀態(tài)產(chǎn)生日志�����,并將該日志上傳�;于步驟四中�,該網(wǎng)絡主動防御監(jiān)控中心將接收的日志及告警寫入數(shù)據(jù)庫�,并通知管理員�����。
[0039]進一步地,于步驟四中,對于已知報警��,該網(wǎng)絡主動防御監(jiān)控中心直接根據(jù)事先定義的方法對攻擊進行攔截��;對于未知報警,該網(wǎng)絡主動防御監(jiān)控中心 申請人:工干預����,并做出最終判斷,以實現(xiàn)雙層粒度的檢測��。
[0040]進一步地�,于步驟一中,利用第一陷阱網(wǎng)絡對來自外部網(wǎng)絡的黑客病毒����、黑客攻擊實施誘捕,并分析其特性����,提取檢測特征來更新該網(wǎng)絡主動防御監(jiān)控中心上的規(guī)則數(shù)據(jù)庫;利用第二陷阱網(wǎng)絡誘捕來自電力企業(yè)內(nèi)部網(wǎng)絡的黑客病毒、黑客攻擊實施�,分析其特性,提取檢測特征來更新該網(wǎng)絡主動防御監(jiān)控中心的規(guī)則數(shù)據(jù)庫����。
[0041]與現(xiàn)有技術相比,本發(fā)明一種電力二次系統(tǒng)的主動安全防御系統(tǒng)及方法通過將主動與被動防御結合在一起����,在傳統(tǒng)的防火墻,加密認證網(wǎng)絡隔離等技術基礎上�����,加入了入侵防御(IPS)���、陷阱網(wǎng)絡����、網(wǎng)絡主動防御代理(NAD Agent)與網(wǎng)絡主動防御監(jiān)控中心(NAD CMC)構成一種聯(lián)動的防御體系����,提高了電力二次系統(tǒng)的主動防御能力����。
【專利附圖】
【附圖說明】
[0042]圖1為現(xiàn)有技術中電力二次系統(tǒng)安全防御體系的一般結構示意圖;
[0043]圖2為本發(fā)明一種電力二次系統(tǒng)的主動安全防御系統(tǒng)的系統(tǒng)架構圖���;
[0044]圖3為本發(fā)明一種電力二次系統(tǒng)的主動安全防御系統(tǒng)之較佳實施例的結構示意圖�;
[0045]圖4為本發(fā)明一種電力二次系統(tǒng)的主動安全防御方法的步驟流程圖����。
【具體實施方式】
[0046]以下通過特定的具體實例并結合【專利附圖】
【附圖說明】本發(fā)明的實施方式,本領域技術人員可由本說明書所揭示的內(nèi)容輕易地了解本發(fā)明的其它優(yōu)點與功效�����。本發(fā)明亦可通過其它不同的具體實例加以施行或應用�,本說明書中的各項細節(jié)亦可基于不同觀點與應用,在不背離本發(fā)明的精神下進行各種修飾與變更���。
[0047]圖2為本發(fā)明一種電力二次系統(tǒng)的主動安全防御系統(tǒng)的系統(tǒng)架構圖��。如圖2所示���,本發(fā)明一種電力二次系統(tǒng)的主動安全防御系統(tǒng)��,在現(xiàn)有電力二次系統(tǒng)安全防御體系的基礎上��,本發(fā)明之電力二次系統(tǒng)的主動安全防御系統(tǒng)還包括:入侵知識獲取模塊20����、入侵知識使用模塊21及入侵防御系統(tǒng)(IPS) 22�����。
[0048]其中入侵知識獲取模塊20利用陷阱網(wǎng)絡獲取電力企業(yè)內(nèi)部網(wǎng)絡及外部網(wǎng)絡的入侵知識���;入侵知識使用模塊21負責使用獲得的入侵知識來實施對電力企業(yè)內(nèi)部網(wǎng)絡的防御�;入侵防御系統(tǒng)(IPS) 22部署于內(nèi)外網(wǎng)交界處�,其代替?zhèn)鹘y(tǒng)網(wǎng)絡中的入侵檢測系統(tǒng)IDS,以提高電力二次系統(tǒng)的主動安全防御能力�����。具體地說,入侵知識獲取模塊20包括陷阱網(wǎng)絡I (第一陷阱網(wǎng)絡)及陷阱網(wǎng)絡2 (第二陷阱網(wǎng)絡)��,陷阱網(wǎng)絡I設置于外網(wǎng)區(qū)域�����,與內(nèi)外網(wǎng)間的防火墻處于并行的位置���,用于檢測所有進入內(nèi)部網(wǎng)絡的數(shù)據(jù)包,包括繞過防火墻的數(shù)據(jù)包����,陷阱網(wǎng)絡I對來自外部網(wǎng)絡的黑客病毒、黑客攻擊實施誘捕��,并分析其特性�,提取檢測特征來更新入侵知識使用模塊21的規(guī)則數(shù)據(jù)庫;陷阱網(wǎng)絡2設置于電力企業(yè)內(nèi)部網(wǎng)絡的內(nèi)網(wǎng)區(qū)域���,與主干網(wǎng)絡連接��,負責誘捕來自內(nèi)部網(wǎng)絡的黑客病毒�����、黑客攻擊實施�,分析其特性,提取檢測特征來更新入侵知識使用模塊21的規(guī)則數(shù)據(jù)庫��。
[0049]入侵知識使用模塊21包括網(wǎng)絡主動防御監(jiān)控中心(NAD CMC)與網(wǎng)絡主動防御代理(NAD Agent)�����,網(wǎng)絡主動防御監(jiān)控中心(NAD CMC)部署在中心交換機上��,要求能夠和網(wǎng)絡中所有網(wǎng)絡主動防御代理(NAD Agent)通信���,負責為安全管理員提供系統(tǒng)控制平臺�����,制定具有廣譜效果的檢測規(guī)則�,接收來自陷阱網(wǎng)絡的規(guī)則更新�����;網(wǎng)絡主動防御代理(NAD Agent)直接連接���、運行于被監(jiān)控網(wǎng)絡����,能同時并發(fā)、實時地對多個子網(wǎng)進行監(jiān)控�,接收由網(wǎng)絡主動防御監(jiān)控中心(NAD CMC)傳來的命令,回送運行結果����。具體地說���,網(wǎng)絡主動防御監(jiān)控中心(NADCMC)部署在中心交換機上���,在發(fā)現(xiàn)有新規(guī)則生成后,會自動將規(guī)則數(shù)據(jù)庫中新策略下發(fā)到部署在不同子網(wǎng)內(nèi)的網(wǎng)絡主動防御代理(NAD Agent)����。網(wǎng)絡主動防御代理(NAD Agent)接收并執(zhí)行網(wǎng)絡主動防御監(jiān)控中心(NAD CMC)制定的策略,完成網(wǎng)絡數(shù)據(jù)包的捕獲分析��,詳細記錄網(wǎng)絡狀態(tài)產(chǎn)生日志�,發(fā)現(xiàn)網(wǎng)絡異常并產(chǎn)生告警,通過通信模塊完成日志及告警上傳���,對于已知報警��,網(wǎng)絡主動防御監(jiān)控中心(NAD CMC)直接根據(jù)事先定義的方法對攻擊進行攔截�,對于未知報警,網(wǎng)絡主動防御監(jiān)控中心(NAD CMC) 申請人:工干預�,并做出最終判斷,以實現(xiàn)雙層粒度的檢測�。網(wǎng)絡主動防御監(jiān)控中心(NAD CMC)接收日志、告警�,寫入數(shù)據(jù)庫中,并通知管理員����。
[0050]圖3為本發(fā)明一種電力二次系統(tǒng)的主動安全防御系統(tǒng)之較佳實施例的結構示意圖。如圖3所示�,在本發(fā)明較佳實施例中,虛線框中為電力企業(yè)內(nèi)部網(wǎng)及安全分區(qū)(此部分為現(xiàn)有技術�����,在此不予贅述)����,本發(fā)明在此基礎上增加部署了入侵防御及陷阱網(wǎng)絡,本發(fā)明在邏輯上分為入侵知識的獲取與入侵知識的使用兩部分�����,陷阱網(wǎng)絡負責獲取入侵知識,網(wǎng)絡主動防御監(jiān)控中心(NAD CMC)和網(wǎng)絡主動防御代理(NAD Agent)負責使用入侵知識來實施對內(nèi)部網(wǎng)絡的防御工作����。如圖3所示,在外網(wǎng)區(qū)域(外部因特網(wǎng))設置陷阱網(wǎng)絡1����,與防火墻處于并行的位置,可以檢測所有進入內(nèi)部網(wǎng)(電力企業(yè)內(nèi)部網(wǎng))的數(shù)據(jù)包�,包括繞過防火墻的數(shù)據(jù)包,陷阱網(wǎng)絡I對來自外部網(wǎng)絡(外部因特網(wǎng))的黑客病毒�����、黑客攻擊實施誘捕��,并分析其特性�����,提取檢測特征來更新NAD CMC上的規(guī)則數(shù)據(jù)庫����。在內(nèi)網(wǎng)區(qū)域設置陷阱網(wǎng)絡2與主干網(wǎng)絡連接�,負責誘捕來自內(nèi)部網(wǎng)絡(電力企業(yè)內(nèi)部網(wǎng))的黑客病毒�、黑客攻擊實施���,分析其特性�����,提取檢測特征來更新NAD CMC上的規(guī)則數(shù)據(jù)庫�����。網(wǎng)絡主動防御監(jiān)控中心(NAD CMC)部署在中心交換機上���,在發(fā)現(xiàn)有新規(guī)則生成后,會自動將規(guī)則數(shù)據(jù)庫中新策略下發(fā)到部署在不同子網(wǎng)內(nèi)的網(wǎng)絡主動防御代理(NAD Agent)���。網(wǎng)絡主動防御代理(NAD Agent)接收并執(zhí)行NAD CMC制定的策略���,完成網(wǎng)絡數(shù)據(jù)包的捕獲分析,詳細記錄網(wǎng)絡狀態(tài)產(chǎn)生日志��,發(fā)現(xiàn)網(wǎng)絡異常并產(chǎn)生告警��,通過通信模塊完成日志及告警上傳。對于已知報警���,NAD CMC直接根據(jù)事先定義的方法對攻擊進行攔截�����,對于未知報警�,網(wǎng)絡主動防御監(jiān)控中心(NAD CMC) 申請人:工干預�����,并做出最終判斷����,以實現(xiàn)雙層粒度的檢測。網(wǎng)絡主動防御監(jiān)控中心NAD CMC直接根據(jù)事先定義的方法對攻擊進行攔截���,對于未知報警,網(wǎng)絡主動防御監(jiān)控中心(NAD CMC)接收日志�、告警,寫入數(shù)據(jù)庫中��,并通知管理員�����。本發(fā)明在內(nèi)外網(wǎng)交界處還部署了入侵防御系統(tǒng)IPS代替?zhèn)鹘y(tǒng)網(wǎng)絡中的入侵檢測系統(tǒng)IDS,進一步提高了電力二次系統(tǒng)的主動安全防御能力����。
[0051]圖4為本發(fā)明一種電力二次系統(tǒng)的主動安全防御方法的步驟流程圖。如圖4所示���,本發(fā)明一種電力二次系統(tǒng)的主動安全防御方法�����,包括如下步驟:
[0052]步驟401��,利用陷阱網(wǎng)絡獲取電力企業(yè)內(nèi)部網(wǎng)絡及外部網(wǎng)絡的入侵知識�����,提取其中的檢測特征更新網(wǎng)絡主動防御監(jiān)控中心(NAD CMC)上的規(guī)則數(shù)據(jù)庫�����。具體地說����,利用設置于外網(wǎng)區(qū)域的陷阱網(wǎng)絡I檢測所有進入內(nèi)部網(wǎng)絡的數(shù)據(jù)包,包括繞過防火墻的數(shù)據(jù)包�,對來自外部網(wǎng)絡的黑客病毒、黑客攻擊實施誘捕����,并分析其特性,提取檢測特征來更新網(wǎng)絡主動防御監(jiān)控中心(NAD CMC)上的規(guī)則數(shù)據(jù)庫��;利用設置于內(nèi)網(wǎng)區(qū)域的陷阱網(wǎng)絡2誘捕來自內(nèi)部網(wǎng)絡的黑客病毒�、黑客攻擊實施,分析其特性��,提取檢測特征來更新網(wǎng)絡主動防御監(jiān)控中心(NAD CMC)上的規(guī)則數(shù)據(jù)庫�。
[0053]步驟402,網(wǎng)絡主動防御監(jiān)控中心(NAD CMC)在發(fā)現(xiàn)有新規(guī)則生成后���,自動將規(guī)則數(shù)據(jù)庫中新策略下發(fā)到部署在不同子網(wǎng)內(nèi)的網(wǎng)絡主動防御代理(NAD Agent)����。
[0054]步驟403��,網(wǎng)絡主動防御代理(NAD Agent)接收并執(zhí)行網(wǎng)絡主動防御監(jiān)控中心(NADCMC)制定的策略�,完成網(wǎng)絡數(shù)據(jù)包的捕獲分析���,詳細記錄網(wǎng)絡狀態(tài)產(chǎn)生日志�,發(fā)現(xiàn)網(wǎng)絡異常并產(chǎn)生告警,通過通信模塊完成日志及告警上傳�。
[0055]步驟404,網(wǎng)絡主動防御監(jiān)控中心(NAD CMC)接收網(wǎng)絡主動防御代理(NAD Agent)上傳的日志及告警�����,并對告警進行相應處理��,同時����,將接收的日志及告警寫入數(shù)據(jù)庫并通知管理員。對于已知報警�,網(wǎng)絡主動防御監(jiān)控中心(NAD CMC)直接根據(jù)事先定義的方法對攻擊進行攔截;對于未知報警��,網(wǎng)絡主動防御監(jiān)控中心(NAD CMC) 申請人:工干預��,并做出最終判斷����,以實現(xiàn)雙層粒度的檢測。
[0056]綜上所述����,本發(fā)明一種電力二次系統(tǒng)的主動安全防御系統(tǒng)及方法通過將主動與被動防御結合在一起���,在傳統(tǒng)的防火墻,加密認證網(wǎng)絡隔離等技術基礎上����,加入了入侵防御(IPS)、陷阱網(wǎng)絡���、網(wǎng)絡主動防御代理(NAD Agent)與網(wǎng)絡主動防御監(jiān)控中心(NAD CMC)構成一種聯(lián)動的防御體系�,提高了電力二次系統(tǒng)的主動防御能力�����。
[0057]上述實施例僅例示性說明本發(fā)明的原理及其功效�,而非用于限制本發(fā)明。任何本領域技術人員均可在不違背本發(fā)明的精神及范疇下��,對上述實施例進行修飾與改變��。因此�����,本發(fā)明的權利保護范圍�����,應如權利要求書所列����。
【權利要求】
1.一種電力二次系統(tǒng)的主動安全防御系統(tǒng),在現(xiàn)有電力二次系統(tǒng)安全防御體系的基礎上,其特征在于���,該主動安全防御系統(tǒng)還包括: 入侵知識獲取模塊���,利用陷阱網(wǎng)絡獲取電力企業(yè)內(nèi)部網(wǎng)絡及外部網(wǎng)絡的入侵知識; 入侵知識使用模塊��,設置于電力企業(yè)內(nèi)部網(wǎng)絡內(nèi)��,負責使用獲得的入侵知識來實施對電力企業(yè)內(nèi)部網(wǎng)絡的防御�����; 入侵防御系統(tǒng)�����,部署于內(nèi)外網(wǎng)交界處,以提高電力二次系統(tǒng)的主動安全防御能力����。
2.如權利要求1所述的一種電力二次系統(tǒng)的主動安全防御系統(tǒng),其特征在于:該入侵知識使用模塊包括網(wǎng)絡主動防御監(jiān)控中心與網(wǎng)絡主動防御代理���,該網(wǎng)絡主動防御監(jiān)控中心部署在中心交換機上��,要求能夠和網(wǎng)絡中所有網(wǎng)絡主動防御代理通信���,負責為安全管理員提供系統(tǒng)控制平臺,制定具有廣譜效果的檢測規(guī)則�����,接收來自陷阱網(wǎng)絡的規(guī)則更新�;該網(wǎng)絡主動防御代理直接連接、運行于被監(jiān)控網(wǎng)絡�,能同時并發(fā)、實時地對多個子網(wǎng)進行監(jiān)控�,接收由該網(wǎng)絡主動防御監(jiān)控中心傳來的命令,回送運行結果����。
3.如權利要求2所述的一種電力二次系統(tǒng)的主動安全防御系統(tǒng)�����,其特征在于:該入侵知識獲取模塊包括第一陷阱網(wǎng)絡及第二陷阱網(wǎng)絡�,該第一陷阱網(wǎng)絡設置于外網(wǎng)區(qū)域���,與內(nèi)外網(wǎng)間的防火墻處于并行的位置,其用于檢測所有包括繞過該防火墻進入內(nèi)部網(wǎng)絡的數(shù)據(jù)包�,該第二陷阱網(wǎng)絡設置于該電力企業(yè)內(nèi)部網(wǎng)絡的內(nèi)網(wǎng)區(qū)域,與主干網(wǎng)絡連接����,用于獲取入侵該電力企業(yè)內(nèi)部網(wǎng)絡的入侵知識。
4.如權利要求3所述的一種電力二次系統(tǒng)的主動安全防御系統(tǒng),其特征在于:該第一陷阱網(wǎng)絡對來自外部網(wǎng)絡的黑客病毒����、黑客攻擊實施誘捕,并分析其特性����,提取檢測特征來更新該網(wǎng)絡主動防御監(jiān)控中心的規(guī)則數(shù)據(jù)庫;該第二陷阱網(wǎng)絡負責誘捕來自內(nèi)部網(wǎng)絡的黑客病毒��、黑客攻擊實施��,分析其特性,提取檢測特征來更新該網(wǎng)絡主動防御監(jiān)控中心的規(guī)則數(shù)據(jù)庫����。
5.如權利要求4所述的一種電力二次系統(tǒng)的主動安全防御系統(tǒng),其特征在于:該網(wǎng)絡主動防御監(jiān)控中心在發(fā)現(xiàn)有新規(guī)則生成后��,自動將該規(guī)則數(shù)據(jù)庫中新策略下發(fā)到部署在不同子網(wǎng)內(nèi)的網(wǎng)絡主動防御代理����,該網(wǎng)絡主動防御代理接收并執(zhí)行該網(wǎng)絡主動防御監(jiān)控中心制定的策略,完成網(wǎng)絡數(shù)據(jù)包的捕獲分析��,詳細記錄網(wǎng)絡狀態(tài)產(chǎn)生日志�,發(fā)現(xiàn)網(wǎng)絡異常并產(chǎn)生告警,通過通信模塊完成日志及告警上傳至該網(wǎng)絡主動防御監(jiān)控中心�。
6.如權利要求5所述的一種電力二次系統(tǒng)的主動安全防御系統(tǒng),其特征在于:該網(wǎng)絡主動防御監(jiān)控中心接收該網(wǎng)絡主動防御代理上傳的日志����、告警,將其寫入數(shù)據(jù)庫����,并通知管理員。
7.一種電力二次系統(tǒng)的主動安全防御方法,包括如下步驟: 步驟一��,利用陷阱網(wǎng)絡獲取電力企業(yè)內(nèi)部網(wǎng)絡及外部網(wǎng)絡的入侵知識���,提取其中的檢測特征更新網(wǎng)絡主動防御監(jiān)控中心的規(guī)則數(shù)據(jù)庫��; 步驟二�,該網(wǎng)絡主動防御監(jiān)控中心在發(fā)現(xiàn)有新規(guī)則生成后�,自動將規(guī)則數(shù)據(jù)庫中新策略下發(fā)到部署在不同子網(wǎng)內(nèi)的網(wǎng)絡主動防御代理��; 步驟三����,該網(wǎng)絡主動防御代理接收并執(zhí)行該網(wǎng)絡主動防御監(jiān)控中心制定的策略,完成網(wǎng)絡數(shù)據(jù)包的捕獲分析����,發(fā)現(xiàn)網(wǎng)絡異常并產(chǎn)生告警,通過通信模塊完成告警上傳����; 步驟四,該網(wǎng)絡主動防御監(jiān)控中心接收該網(wǎng)絡主動防御代理上傳的告警���,并對告警進行相應處理��。
8.如權利要求7所述的一種電力二次系統(tǒng)的主動安全防御方法�����,其特征在于:于步驟三中����,該網(wǎng)絡主動防御代理還記錄網(wǎng)絡狀態(tài)產(chǎn)生日志,并將該日志上傳��;于步驟四中�,該網(wǎng)絡主動防御監(jiān)控中心將接收的日志及告警寫入數(shù)據(jù)庫,并通知管理員�����。
9.如權利要求7所述的一種電力二次系統(tǒng)的主動安全防御方法����,其特征在于:于步驟四中����,對于已知報警�����,該網(wǎng)絡主動防御監(jiān)控中心直接根據(jù)事先定義的方法對攻擊進行攔截��;對于未知報警���,該網(wǎng)絡主動防御監(jiān)控中心 申請人:工干預,并做出最終判斷����,以實現(xiàn)雙層粒度的檢測。
10.如權利要求7所述的一種電力二次系統(tǒng)的主動安全防御方法����,其特征在于:于步驟一中����,利用第一陷阱網(wǎng)絡對來自外部網(wǎng)絡的黑客病毒、黑客攻擊實施誘捕���,并分析其特性��,提取檢測特征來更新該網(wǎng)絡主動防御監(jiān)控中心上的規(guī)則數(shù)據(jù)庫�����;利用第二陷阱網(wǎng)絡誘捕來自電力企業(yè)內(nèi)部網(wǎng)絡的黑客病毒����、黑客攻擊實施,分析其特性����,提取檢測特征來更新該網(wǎng)絡主動防御監(jiān)控中心的規(guī)則數(shù) 據(jù)庫。
【文檔編號】H04L29/06GK103546488SQ201310542263
【公開日】2014年1月29日 申請日期:2013年11月5日 優(yōu)先權日:2013年11月5日
【發(fā)明者】馮兆紅, 賈鐵軍, 陳玉晶, 梅曉娟, 戴志軍, 張玉, 公維祥, 高志偉 申請人:上海電機學院