一种电力终端多级分布式监测与防渗透系统

技术领域

本发明涉及电力终端安全领域，更为具体地，涉及一种电力终端多级分布式监测与防渗透系统。

背景技术

电力终端网络中的设备众多，组网形式复杂，仅针对电力终端进行监测在监测层面维度不足，系统扩展性较差。首先，当前电力终端网内使用的电力终端设备种类繁多，包括电力控制终端、用电采集终端、变电终端、配电终端、网络设备、各类业务终端等，无法对每种终端建立单独的安全防护方法；其次，电力终端网络组网形式比较复杂，需要将不同子网中的安全数据进行关联分析，才能够做到全面的安全态势感知；最后，当前针对电力终端进行安全监测的维度不足，有些只针对业务数据，有些只针对网络数据，有些只针对终端数据，没有将不同维度的数据进行有效的融合。因此，结合电力终端分布式的结构特点，实现多级分布式安全监测与防渗透模型架构，同时对终端、网络和业务系统三个层面实现监测，形成更加全面的安全监测。此外，安全监测设计了所感知的监测数据的标准数据结构，可以将不同应用场景的感知数据转换为基于可扩展标记语言的标准结构，从而减低检测分析模块的运算负载，增强整体框架的可扩展性。

目前基于操作行为电力终端安全状态评估方法专利是CN104683106A，该专利提供了一种基于操作行为的电力终端安全状态评估方法，检测电力终端是否处于安全状态，包括收集电力终端操作行为习惯，对电力终端安全状态进行评估，对电力终端进行补充认证等步骤。此方法需要对单独的电力终端进行建模，不具有普适性。针对手持终端的电力安全监控系统专利是CN208797905U，该专利包含用于光伏电站参数检测的数据检测终端、服务器终端和无线手持终端，基于无线手持终端进行电力安全监控。此方法只针对手持终端，对于非手持的终端无法进行安全防护。另外一种基于终端安全防护方法和设备的专利是CN1033475478B，该专利采用中断模式接收终端传输的工业过程数据，对终端传输的工业过程数据进行规约检查，根据IPSEC VPN安全策略对规约检查后的工业过程数据加密、签名，对解密、验签、完整性校验后的数据或控制命令进行规约检查，将规约检查后的数据或控制命令发送到终端。此方法需要中断工业过程数据，对整个控制系统影响较大，会造成较大的延迟。

综上所述，现有的电力终端安全框架和方法普遍存在四个方面问题：(1)通用性问题。往往只能对某种/类设备进行建模和安全防护，无法做到模型及方法的通用性；(2)数据维度问题。只针对终端数据进行建模，没有考虑业务数据和网络数据；(3)系统扰动问题。有些方法需要中断控制过程，对整个控制系统的影响较大；(4)攻击阻断及隔离问题。现有方法没有提到对攻击的阻断和隔离，单纯的只是异常的检测。

发明内容

本发明技术解决问题：克服现有技术的不足，提供一种电力终端多级分布式监测与防渗透系统，结合电力终端分布式的结构特点，实现多级分布式安全监测与防渗透模型框架，同时对电力终端、网络和业务三个层面实现安全数据感知，形成更加全面的安全监测。基于危害评估的防渗透技术对攻击进行量化危害评估，基于量化评估结果构建防渗透策略，并采用终端控制阻断与网络隔离技术，实现终端对电力终端的控制阻断和网络隔离，阻止攻击危害的进一步扩散。

本发明技术解决方案：一种电力终端多级分布式监测与防渗透系统，包括：安全监测与防渗透联动部分、电力终端多级分布式安全监测与防渗透模型框架；

安全监测与防渗透联动部分：首先，判别被攻击电力终端，并对攻击进行建模；然后，基于攻击建模，构建攻击危害评估量化指标体系，确定攻击的影响范围和攻击的影响程度；最后，基于攻击危害评估的量化结果，制定相应的防渗透策略。

电力终端多级分布式安全监测与防渗透模型框架，同时对电力终端、网络和业务三个层面实现分布式监测，包括对电力终端的网络流量的检测和对应用协议的深度解析处理，获得协议报文的业务指令，实现对电力终端、网络、业务多维度融合的安全态势感知，得到感知数据；然后，基于所述感知数据，识别发生的攻击，并对攻击进行形式化建模；最后，在建模的基础上，采用量化危害评估方法，对攻击进行量化危害评，基于评估结果构建防渗透策略，并分别采用终端控制阻断与网络隔离技术，实现终端对攻击的阻断和隔离。

所述安全监测与防渗透联动部分包括三个模块：攻击建模及识别模块、攻击危害评估模块、防渗透策略生成模块；

攻击建模及识别模块：基于感知数据，判定被攻击终端，并对被攻击终端和攻击过程进行形式化建模，并将建立的模型传递给位危害攻击评估模块；

攻击危害评估模块：基于攻击建模及识别模块传递的被攻击终端和攻击过程的形式化模型，构建攻击危害量化指标体系，确定攻击所造成的影响程度以及影响范围，最终获得攻击危害的量化评估结果，并将攻击危害评估结果传递至防渗透策略生成模块；

防渗透策略生成模块：基于攻击建模及识别模块生成的形式化模型和攻击危害评估模块计算的攻击危害量化评估结果，从被攻击终端分别向其上游和下游同时做广度优先遍历，生成防渗透策略。

所述电力终端多级分布式安全监测与防渗透框架包括三个模块：多维融合的电力终端安全状态感知模块、基于形式化描述的攻击建模及识别模块、基于攻击危害评估的防渗透模块。

多级融合的电力终端安全状态感知模块：(1)对电力终端、网络和业务三级感知，并将感知的数据进行融合；(2)通过构建电力终端安全感知指标体系，采用一种基于多指标加权计算方法的电力终端设备异常综合感知方法实现对电力终端的安全状态感知；(3)通过网络流量的采集与获取、网络正常指标的提取与解析、网络正常工作模型的构建，实现对网络的安全状态感知；(4)通过对协议报文进行深度解析和业务控制指令匹配，实现对业务的安全状态感知；(5)将电力终端、网络和业务感知的数据融合后传递给基于形式化描述的攻击建模及识别模块；

基于形式化描述的攻击建模及识别模块：(1)利用基于多级融合的电力终端安全状态感知模块传递的安全状态感知数据，对电力终端的业务场景进行确认，从而为攻击建模提供数据支持；(2)基于电力终端的业务场景，通过对电力终端及网络连接抽象化描述，利用形式化语言对攻击进行形式化建模；(3)基于电力终端的业务场景和攻击形式化模型，对实际发生的攻击进行识别；(4)将生成的攻击形式化模型传递给基于攻击危害评估的防渗透模块，用于提供基础数据支撑；

基于攻击危害评估的防渗透模块：(1)利用基于形式化描述的攻击建模及识别模块传递的攻击形式化模型，对攻击进行危害评估；(2)从电力终端、网络和业务三个维度构建危害评估量化指标体系，结合实际的攻击，计算攻击危害评估的量化结果，并基于攻击危害评估结果确定电力终端安全等级；(3)基于攻击危害评估结果和电力终端安全等级，对终端设备、网络连接和执行规则进行建模，构建防渗透策略集合；(4)采用基于规则集的算法，对防渗透策略集合进行冗余去除，获得去冗余后的防渗透策略集合；(5)采用去除最早策略原则和执行否定策略原则，对去冗余后的防渗透策略集合进行冲突消解，获得优化后的防渗透策略集合；(6)基于电力终端安全等级和优化后的防渗透策略集合，执行电力终端控制阻断与网络隔离技术，实现对攻击的阻断。

所述一种基于多指标加权计算方法的电力终端设备异常综合感知方法实现如下：

(1)构建电力终端设备安全指标体系，电力终端设备安全指标体系包括无线电力终端设备的安全指标体系和有线电力终端设备安全指标体系；其中无线电力终端设备的安全指标体系包括：CPU超阀值、内存超阀值、磁盘超阀值、弱口令、非法进程，非法进程CPU内存(CPU、内存使用率超阀值)、非法连接、非法端口、网口状态、网口流量、关键进程(CPU、内存利用率超阀值)、终端上线和离线状态、终端在线率；有线电力终端设备安全指标体系包括：非法端口、弱口令、操作系统版本、终端上线和离线状态、终端在线率；

(2)基于多指标加权计算方法，针对不同的电力终端设备类型，即无线和有线，对所有电力终端安全指标体系设置安全阈值，如果发生攻击时，某项安全指标的监测值小于所述安全阈值，该项安全指标的计算带入值为0，表示电力终端设备此项安全指标无异常；如果发生攻击时，某项安全指标的监测值大于等于该安全阈值，则该项安全指标的计算带入值为1，表示电力终端设备此项指标出现异常；根据电力终端类型，对各项安全指标设置权重系数，然后利用所有安全指标的计算带入值和权重系数进行加权求和，并将求和结果作为电力终端的安全状态感知结果，从而实现对电力终端的安全状态感知，求和计算公式为：

所述电力终端控制阻断与网络隔离技术具体实现如下：

(1)对于安全等级低于设定阈值的电力终端，设定数据包过滤规则，通过简单网络管理协议作用在电力终端网络的安全设备；电力终端网络的安全设备将数据包过滤规则映射到管理信息库MIB(MIB，Management Information Base)中的管理对象，对攻击数据包进行过滤，从而实现对被攻击终端的控制阻断；

(2)对于安全等级高于等于设定阈值的电力终端，设定地址或端口过滤规则，通过简单网络管理协议作用在电力终端网络的通信设备；电力终端网络的通信设备将地址或端口过滤规则映射到管理信息库MIB中的管理对象，关闭目的地址或端口，从而实现对被攻击终端的网络隔离。

本发明的电力终端多级分布式监测与防渗透架构具有如下有益效果：

(1)从电力终端、网络和业务三个维度实现分布式安全监测，对电力终端安全状态实现多维度全面感知。

(2)基于形式化描述的攻击建模和识别，能够对攻击进行比较准确和全面的形式化描述和建模，做到统一标准，为后续攻击阻断提供技术支持。

(3)本发明具有较强的通用性，可以对各类电力终端实现攻击危害量化评估，并基于量化评估结果确定电力终端安全等级。

(4)本发明利用基于危害评估进行防渗透的构建，可以准确度量攻击的危害程度和影响范围。

附图说明

图1是本发明中整体架构示意图；

图2是本发明中安全监测与防渗透联动部分示意图；

图3为本发明中电力终端控制阻断与网络隔离技术实现示意图；

图4为本发明中一种基于多指标加权计算方法的电力终端设备异常综合感知方法流程图。

具体实施方式

为使本发明的实施例的目的、技术方案和优点更加清楚，下面进一步结合附图对本发明作详细描述。

如图1所示，本发明的一种电力终端多级分布式监测与防渗透系统，包括两个部分：安全监测与防渗透联动部分、电力终端多级分布式安全监测与防渗透模型框架。

安全监测与防渗透联动部分，用于指导电力终端多级分布式安全监测与防渗透模型框架的运行过程。

其中，安全监测与防渗透联动部分包括三个模块：攻击建模及识别模块，攻击危害评估模块，防渗透策略生成模块，在整个电力终端多级分布式监测与防渗透架构的中起指导作用。

电力终端多级分布式安全监测与防渗透模型框架包括三个模块：多维融合的电力终端安全状态感知模块；基于形式化描述的攻击建模及识别模块；基于攻击危害评估的防渗透模块。

多维融合的电力终端安全状态感知模块：(1)多维融合的电力终端安全状态感知模块包括对电力终端、网络和业务三级感知，并将感知的数据进行融合。具体过程：通过电力终端安全感知指标体系获得终端安全感知，通过网络流量解析获得网络安全感知，通过协议报文深度解析获得业务安全感知；然后，采用可扩展标记语言(XML)将安全感知的数据进行格式统一转换为标准数据格式，使得来自力终端、网络和业务的安全感知数据能够进行融合。(2)通过构建电力终端安全感知指标体系，采用一种基于多指标加权计算方法的电力终端设备异常综合感知方法实现对电力终端的安全状态感知。(3)通过网络流量的采集与获取、网络正常指标的提取与解析、网络正常工作模型的构建，实现对网络的安全状态感知。具体过程：1)网络流量的采集与获取。网络流量数据由一系列数据报文组成，包括用户和系统的各种状态信息；采用旁路映射的方法，通过部署在网络通信探针获取网络流量。2)网络正常指标的提取与解析。对网络流量进行预处理，过滤无关报文数据信息；a.对预处理后的网络流量进行提取，获得所有报文的长度、类型、源IP地址、目的IP地址、源端口、目的端口和服务类型等静态指标。b.对预处理后的报文进行发送时间统计，计算得到网络流量的统计指标数据，包括单位时间内同一个源IP的同一个端口发送的报文数量、单位时间内特定报文的应答数量等。3)网络正常工作模型的构建。基于提取的网络流量静态指标和统计指标数据，利用基于指标集合的样本数据进行训练和学习，通过不断迭代调优，设定合适的时间窗口，构建网络正常工作模型。4)将待检测网络流量通过数据预处理和指标提取后，输入到网络正常工作模型中，并用训练好的网络正常工作模型进行比对，发现待检测流量与网络正常工作模型的偏离程度，从而实现对网络的安全状态感知。(4)通过对协议报文进行深度解析和业务控制指令匹配，实现对业务的安全状态感知。具体过程：1)协议报文的深度解析。对协议报文采用深度解析(DPI)的方法，获得源IP地址、目的IP地址、源端口、目的端口、协议类型、报文流向等信息。2)定义业务控制指令模式。将每个业务控制指令定义为一个子结构。3)基于业务控制指令关键字，利用子结构对每一行报文进行按位与运算，判定子结构在报文中的位置，从而实现业务控制指令的匹配。(5)将电力终端、网络和业务感知的数据传递给基于形式化描述的攻击建模及识别模块，用于提供基础数据支撑。

基于形式化描述的攻击建模及识别模块：(1)利用基于多级融合的电力终端安全状态感知模块传递的安全状态感知数据，对电力终端的业务场景进行确认，从而为攻击建模提供数据支持。其中，电力终端业务场景确定具体过程：将电力终端业务场景归纳为两大类，包括数据采集和远程控制。数据采集是指电力终端将采集的用户数据逐级上传，用于系统的安全监测；远程控制是指电力终端发送控制指令，使得被控其他终端执行相应动作。(2)基于电力终端的业务场景，通过对电力终端及网络连接抽象化描述，利用形式化语言对攻击进行形式化建模，具体过程：1)对电力终端进行抽象建模。H＝(HostID，Commands，Service，Value)，其中H表示电力终端，HostID表示终端设备的标识，此处用IP地址表示；Commands表示终端设备需要执行的命令；Service表示终端设备提供的服务；Value表示终端设备自身的价值大小。2)对网络连接进行抽象建模。C＝(HFrom，Protocol，Hto)，其中C表示网络连接，Hfrom表示发起的终端设备；Protocol表示连接发起终端与连接的终端设备之间的连接协议；Hto表示连接的终端设备。3)对攻击进行建模。a.确定攻击传播路径，包括攻击动作和每个动作后电力终端所处的状态；b.确定攻击动作与电力终端状态之间的转移关系；c.利用Petri网对攻击过程进行建模，实现对攻击的模型化描述。(3)基于电力终端的业务场景和攻击形式化模型，对实际发生的攻击模式进行识别。将实际发生的攻击与攻击形式化模型进行比对，确定攻击进行的步骤和当前电力终端所处的状态，确定实际发生的攻击模式。(4)将生成的攻击形式化模型传递给基于攻击危害评估的防渗透模块，用于提供基础数据支撑。

基于攻击危害评估的防渗透模块：(1)利用基于形式化描述的攻击建模及识别模块传递的攻击形式化模型，对攻击进行危害评估。(2)从电力终端、网络和业务三个维度构建危害评估量化指标体系，结合实际的攻击，计算攻击危害评估的量化结果，并基于攻击危害评估结果确定电力终端安全等级攻击危害评估结果和电力终端安全等级，对终端设备、网络连接和执行规则进行建模，构建防渗透策略集合。(3)采用基于规则集的算法，对防渗透策略集合进行冗余去除，获得去冗余后的防渗透策略集合；(4)采用去除最早策略原则和执行否定策略原则，对去冗余后的防渗透策略集合进行冲突消解，获得优化后的防渗透策略集合；(5)基于电力终端安全等级和优化后的防渗透策略集合，执行电力终端控制阻断与网络隔离技术，实现对攻击的阻断。具体来说，对于安全等级低于设定阈值的电力终端，防渗透策略实例化为工业控制协议数据包过滤规则，数据包过滤规则通过简单网络管理协议(SNMP)作用在电力终端网络的安全设备(例如，防火墙设备)上，电力终端网络的安全设备将工业控制协议数据包过滤规则映射到管理信息库MIB中的管理对象，使数据包过滤规则在深度数据包解析(DPI)架构中生效；在被攻击终端上游生效的控制阻断策略可以有效限制控制指令的下发，从而防止攻击者实施进一步动作，阻断攻击渗透的途径；在被攻击终端下游生效的控制阻断策略限制了从一般风险终端发出的控制指令，从而防止危害的进一步扩散。由于没有限制回传的数据传送指令，因此电力终端控制阻断技术在阻断攻击渗透的途径的同时确保一般风险终端能够继续回传现场数据，以便进一步分析。对于安全等级高于设定阈值的电力终端，防渗透策略实例化为地址或端口过滤规则，地址或端口过滤规则通过SNMP协议作用在电力终端网络的网络通信设备(例如，交换机、路由器设备)上，与控制阻断策略相同，电力终端网络的网络通信设备将地址或端口过滤规则映射到MIB中的管理对象，从而关闭目的地址或端口。在被攻击终端上游生效的网络隔离策略可以快速隔离高风险终端，阻断攻击；在被攻击终端下游生效的网络隔离策略限制了从高风险终端发出的任何数据，从而防止危害的进一步扩散。此方式同时限制了上下行的数据，因此不会有现场数据回传。

如图2所示，是本发明中安全监测与防渗透联动部分示意图。

攻击建模及识别模块，基于感知数据，判定被攻击终端，并对被攻击终端和攻击过程进行形式化建模，并将建立的模型传递给位危害攻击评估模块，用于指导攻击危害量化评估。

攻击危害评估模块：基于攻击建模及识别模块传递的被攻击终端和攻击过程的形式化模型，构建攻击危害量化指标体系，确定攻击所造成的影响程度以及影响范围，最终获得攻击危害的量化评估结果，并将攻击危害评估结果传递给防渗透策略生成模块，用于指导防渗透策略的生成；

防渗透策略生成模块：基于攻击建模及识别模块生成的形式化模型和攻击危害评估模块计算的攻击危害量化评估结果，从被攻击终端分别向其上游和下游同时做广度优先遍历，生成防渗透策略。具体过程：1)将上游方向广度遍历过程中发现直接前驱终端作为源端集合，将被攻击的终端作为目的端，构建控制阻断的防渗透策略集合；2)将被攻击的终端作为源端，将下游方向广度遍历过程中发现直接后继终端作为目的端集合，购进网络隔离的防渗透策略集合。3)对已构建的防渗透策略集合进行冗余去除及冲突检测和消解，实现防渗透策略的优化。首先，对防渗透策略进行冗余检测，减小策略的冗余度，提升策略的下发、执行效率最终；然后，对渗透策略集合实施冲突策略的检测和消除，最终获得经过优化后的防渗透策略集合。

如图3所示，终端控制阻断与网络隔离技术具体实现如下：

(1)对于安全等级较低，即低于设定的阈值的电力终端，设定数据包过滤规则，通过简单网络管理协议作用在电力终端网络的安全设备；电力终端网络的安全设备将数据包过滤规则映射到管理信息库MIB中的管理对象，对攻击数据包进行过滤，从而实现对被攻击终端的控制阻断。

(2)对于安全等级较高的电力终端，即高于或等于设定的阈值的电力终端，设定地址或端口过滤规则，通过简单网络管理协议作用在电力终端网络的通信设备；电力终端网络的通信设备将地址或端口过滤规则映射到管理信息库MIB中的管理对象，关闭目的地址或端口，从而实现对被攻击终端的网络隔离。

综上所述，本发明的电力终端多级分布式监测与防渗透系统，结合电力终端分布式的结构特点，实现多级分布式安全监测与防渗透模型框架，同时对电力终端、网络和业务三个层面实现安全数据感知，形成更加全面的安全监测。基于危害评估的防渗透技术对攻击进行量化危害评估，基于量化评估结果构建防渗透策略，并采用终端控制阻断与网络隔离技术，实现终端对电力终端的控制阻断和网络隔离，阻止攻击危害的进一步扩散。

如图4所示，一种基于多指标加权计算方法的电力终端设备异常综合感知方法实现如下：

(1)构建电力终端设备安全指标体系。1)无线电力终端设备的安全指标体系包括：CPU超阀值、内存超阀值、磁盘超阀值、弱口令、非法进程，非法进程CPU内存(CPU、内存使用率超阀值)、非法连接、非法端口、网口状态、网口流量、关键进程(CPU、内存利用率超阀值)、终端上线和离线状态，终端在线率；2)有线电力终端设备安全指标体系包括：非法端口、弱口令、操作系统版本、终端上线和离线状态，终端在线率。

(2)基于多指标加权计算方法。1)针对不同的电力终端设备类型(无线/有线)，对所有电力终端安全指标体系设置安全阈值；2)小于该安全阈值，该项值为0，表示电力终端设备此项指标无异常；大于等于该安全阈值，则该项为1，表示电力终端设备此项指标出现异常；3)对各项指标体系设置权重系数，然后再对所有指标体系进行加权求和，将所得的结果作为电力终端设备的综合异常感知结果T

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明所述电力终端多级分布式监测与防渗透架构的实现过程，以上实施示例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保护范围应以权利要求书所述为准。