本發(fā)明涉及數(shù)據(jù)安全技術(shù)領(lǐng)域�,具體涉及一種針對智慧能源終端數(shù)據(jù)的主動防御系統(tǒng)����,主要針對“互聯(lián)網(wǎng)+”智慧能源智能終端接入數(shù)據(jù)的安全分析,各類攻擊實現(xiàn)主動防御。
背景技術(shù):
主動防御是近幾年來網(wǎng)絡安全領(lǐng)域新興的一個概念�,受到了人們的廣泛關(guān)注。網(wǎng)絡安全主動防御技術(shù)就是在增強和保證本地網(wǎng)絡安全性的同時�,及時發(fā)現(xiàn)正在進行的網(wǎng)絡攻擊,預測和識別未知攻擊�����,并采取各種措施使攻擊者不能達到其目的所使用的各種方法與技術(shù)��。主動防御是一種前攝性防御����,由于一些防御措施的實施,使攻擊者無法完成對目標的攻擊����,或者使系統(tǒng)能夠在無需人為被動響應的情況下預防安全事件。
智能電網(wǎng)中信息安全也面臨著安全風險�����,主要面對智慧能源智能終端接入數(shù)據(jù)的安全分析����,對各類攻擊實現(xiàn)主動防御。
技術(shù)實現(xiàn)要素:
本發(fā)明的目的在于克服現(xiàn)有技術(shù)中的不足,提供了一種針對智慧能源終端數(shù)據(jù)的主動防御系統(tǒng)���,能夠?qū)崟r檢測到攻擊,并針對攻擊提供安全策略�,對各類攻擊進行主動防御。
為解決上述技術(shù)問題��,本發(fā)明提供了一種針對智慧能源終端數(shù)據(jù)的主動防御系統(tǒng)��,其特征是�,包括入侵檢測單元、入侵響應單元�����、入侵防護單元和策略部署單元���;
所述入侵檢測單元�,用于利用檢測工具對輸入的數(shù)據(jù)集進行攻擊行為檢測��,當有攻擊行為時����,分析攻擊行為發(fā)生的規(guī)律,預測未來一段時間的安全趨勢,根據(jù)預測結(jié)果將攻擊行為的規(guī)律傳遞至策略部署單元��,并依據(jù)安全策略配置檢測工具的檢測規(guī)則����;
所述策略部署單元,用于根據(jù)攻擊行為的規(guī)律��,獲得相應的安全策略����,將安全策略分別傳送至入侵檢測單元、入侵響應單元和入侵防護單元�����;
所述入侵響應單元����,用于根據(jù)安全策略進行攻擊響應;
所述入侵防護單元���,用于根據(jù)安全策略利用防護工具進行相應的安全策略���。
進一步的�����,策略部署單元先計算攻擊的嚴重度��,分析攻擊的特征�����,如果攻擊的可能性和嚴重度達到安全閾值,則生成相應的安全策略�����。
進一步的���,所述檢測工具包括漏洞評估或入侵檢測系統(tǒng)��。
進一步的��,所述攻擊響應包括蜜罐�����、取證或入侵跟蹤����。
進一步的,所述防護工具包括防火墻����、身份認證、訪問控制����、安全掃描或數(shù)據(jù)備份。
與現(xiàn)有技術(shù)相比���,本發(fā)明所達到的有益效果是:本發(fā)明系統(tǒng)能夠?qū)崟r檢測到攻擊�����,并針對攻擊提供安全策略��,對各類攻擊進行主動防御��,提高智慧能源終端采集�����、傳輸數(shù)據(jù)的安全性�����。
附圖說明
圖1為本發(fā)明系統(tǒng)的結(jié)構(gòu)框圖���。
具體實施方式
下面結(jié)合附圖對本發(fā)明作進一步描述�����。以下實施例僅用于更加清楚地說明本發(fā)明的技術(shù)方案�,而不能以此來限制本發(fā)明的保護范圍��。
電力行業(yè)中��,從智慧能源終端采集的數(shù)據(jù)集導入Splunk大數(shù)據(jù)分析平臺�����,實現(xiàn)對已預處理的數(shù)據(jù)進行歸類�、分析和計算等過程���。依據(jù)數(shù)據(jù)分析結(jié)果及安全事件�,研究出針對智能終端的安全模型并逐步對安全模型進行修正�����。安全模型建立后,將Spark大數(shù)據(jù)平臺處理后的數(shù)據(jù)導入到安全模型中�,得出攻擊行為分析結(jié)果,為下一步主動防御提供數(shù)據(jù)支撐�。
如圖1所示,本發(fā)明的一種針對智慧能源終端數(shù)據(jù)的主動防御系統(tǒng)����,其特征是,包括入侵檢測單元�、入侵響應單元、入侵防護單元和策略部署單元���;
所述入侵檢測單元����,用于利用檢測工具對輸入的數(shù)據(jù)集進行攻擊行為檢測����,當有攻擊行為時,分析攻擊行為發(fā)生的規(guī)律�,預測未來一段時間的安全趨勢,根據(jù)預測結(jié)果將攻擊行為的規(guī)律傳遞至策略部署單元��,并依據(jù)安全策略提高檢測工具的檢測方式;
檢測工具可以采用現(xiàn)有技術(shù)中的漏洞評估或入侵檢測系統(tǒng)����。
所述策略部署單元,用于根據(jù)攻擊行為的規(guī)律����,獲得相應的安全策略,將安全策略分別傳送至入侵檢測單元�、入侵響應單元和入侵防護單元;
所述入侵響應單元���,用于根據(jù)安全測量進行攻擊響應�;攻擊響應包括蜜罐���、取證或入侵跟蹤;
所述入侵防護單元�,用于根據(jù)安全策略利用防護工具進行相應的安全部署。防護工具可以采用現(xiàn)有技術(shù)中的防火墻����、身份認證、訪問控制�、安全掃描或數(shù)據(jù)備份����。
以簡單數(shù)據(jù)集攻擊防御為例來介紹系統(tǒng)的運行過程����,當入侵檢測單元檢測到一個攻擊時,向策略部署單元發(fā)送入侵告警���,策略部署單元接收到告警信息后進入安全防備狀態(tài)�����,計算攻擊的嚴重度���,分析攻擊的特征,如果攻擊的可能性和嚴重度達到安全閾值��,則生成相應的安全策略��,將安全策略發(fā)送至入侵檢測單元��、入侵響應單元和入侵防護單元����,入侵檢測單元接收到安全策略后重新配置檢測工具的檢測規(guī)則�����,挖掘攻擊的上下文信息�����,以獲得更多的攻擊特征�,入侵響應單元接收到安全策略后����,向安全管理員發(fā)出報警信號,關(guān)閉攻擊源和受害對象的TCP連接���,入侵防護單元接收到安全策略后����,利用防護工具進行防御�,如配置防火墻規(guī)則���,拒絕所有來自攻擊源的連接請求��。
以上所述僅是本發(fā)明的優(yōu)選實施方式�,應當指出,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說��,在不脫離本發(fā)明技術(shù)原理的前提下����,還可以做出若干改進和變型,這些改進和變型也應視為本發(fā)明的保護范圍�。