一种变电站的恶意网络入侵检测方法、系统、设备及介质

技术领域

本申请涉及网络安全技术领域，尤其涉及一种变电站的恶意网络入侵检测方法、系统、设备及介质。

背景技术

随着信息技术的不断发展，电网系统作为国计民生的一项重要部分也逐渐迈入信息化进程。通过互联网技术，电网系统在供配电的可靠性及高效性方面有了显著的提高，但也面临着诸多挑战。

随着电网规模的不断扩大，电网系统也越来越容易遭到外部恶意网络的入侵，犯罪分子通过层出不穷的技术手段入侵电网系统，盗取电网内部数据，以谋取不当利益。虽然目前已有一些相应的技术可以实现电网网络系统的防护及预警，但效果不尽如人意，且多数都是事后告警，即电网系统数据被窃取之后防护系统才能得知消息，无法做到事前预警。

发明内容

本申请实施例提供了一种变电站的恶意网络入侵检测方法、系统、设备及介质，用以解决现有的电网防护系统只能事后告警的技术问题。

一方面，本申请实施例提供了一种变电站的恶意网络入侵检测方法，所述方法包括以下步骤：

步骤S1：基于旁路镜像，获取变电站所在的电网系统的网络镜像流量；

步骤S2：对所述网络镜像流量执行完整性检查，以确定所述网络镜像流量是否产生了事件；

步骤S3：若产生事件，则基于协议解码提取所述网络镜像流量的网络元数据，生成数据包；

步骤S4：基于内置恶意网络入侵检测规则脚本检测所述数据包中是否含有恶意入侵行为；

步骤S5：若存在入侵行为，则基于所述旁路镜像对所述恶意入侵行为进行溯源分析，启动本地木马对黑客进行主动反击并在本地预警。

在本申请的一种实现方式中，所述步骤S1之后，所述方法还包括：通过libpcap数据包捕获库对所述网络镜像流量进行处理；过滤所述网络镜像流量中无效的流量数据。

在本申请的一种实现方式中，所述步骤S2中，完整性检查的过程，具体为：检验所述网络镜像流量的IP头校验和，以判断所述网络镜像流量的数据头部格式是否正确；若所述数据头部格式不正确，则产生报错并丢弃所述网络镜像流量；若所述数据头部格式正确，则检查队列中是否出现事件。

在本申请的一种实现方式中，所述步骤S4，具体包括：基于区域检测规则确定所述事件是否属于跨区域行为；基于恶意域名规则确定所述事件是否属于黑名单中的行为；基于恶意软件检测规则确定所述事件中是否包含恶意软件。

在本申请的一种实现方式中，基于恶意文件检测规则确定所述事件中是否包含恶意文件的过程，具体为：提取指定文件的哈希；所述指定文件的类型包括：hostname、method、url；基于提取的哈希进行文件还原；基于恶意软件特征库，比对还原出来的文件，检测所述指定文件中的病毒。

在本申请的一种实现方式中，所述步骤S5，具体包括：基于所述网络镜像流量获取所述恶意入侵行为的样本流量；分析所述样本流量，绘制恶意入侵者的设备画像；基于所述样本流量在本地数据库中查找类似的历史攻击事件，调用同类型的反制木马攻击所述恶意入侵者，并生成反制及预警日志。

其次，本申请还提供了一种变电站的恶意网络入侵检测系统，所述系统包括：镜像流量获取单元，用于基于旁路镜像，获取变电站所在的电网系统的网络镜像流量；完整性检查单元，用于对所述网络镜像流量执行完整性检查，以确定所述网络镜像流量是否产生了事件；解码单元，用于在产生事件时，基于协议解码提取所述网络镜像流量的网络元数据，生成数据包；恶意入侵检测单元，用于基于内置恶意网络入侵检测规则脚本检测所述数据包中是否含有恶意入侵行为；反制单元，用于在存在入侵行为时，基于所述旁路镜像对所述恶意入侵行为进行溯源分析，启动本地木马对黑客进行主动反击并在本地预警。

在本申请的一种实现方式中，所述系统还包括流量数据预处理单元，用于通过libpcap数据包捕获库对所述网络镜像流量进行处理，以及过滤所述网络镜像流量中无效的流量数据。

再其次，本申请还提供了一种变电站的恶意网络入侵检测设备，所述设备包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：基于旁路镜像，获取变电站所在的电网系统的网络镜像流量；对所述网络镜像流量执行完整性检查，以确定所述网络镜像流量是否产生了事件；若产生事件，则基于协议解码提取所述网络镜像流量的网络元数据，生成数据包；基于内置恶意网络入侵检测规则脚本检测所述数据包中是否含有恶意入侵行为；若存在入侵行为，则基于所述旁路镜像对所述恶意入侵行为进行溯源分析，启动本地木马对黑客进行主动反击并在本地预警。

最后，本申请还提供了一种变电站的恶意网络入侵检测的非易失性计算机存储介质，存储有计算机可执行指令，所述计算机可执行指令设置为：基于旁路镜像，获取变电站所在的电网系统的网络镜像流量；对所述网络镜像流量执行完整性检查，以确定所述网络镜像流量是否产生了事件；若产生事件，则基于协议解码提取所述网络镜像流量的网络元数据，生成数据包；基于内置恶意网络入侵检测规则脚本检测所述数据包中是否含有恶意入侵行为；若存在入侵行为，则基于所述旁路镜像对所述恶意入侵行为进行溯源分析，启动本地木马对黑客进行主动反击并在本地预警。

本申请实施例提供的一种变电站的恶意网络入侵检测方法、系统、设备及介质，通过获取变电站所在的电网系统的流量数据，然后通过数据处理的方式对获取到的流量样本进行分析是否产生了恶意入侵行为，并能够通过构建本地木马并获取攻击行为所在的IP地址对攻击者进行反制，最重要的是本申请提供的方法可以在电网系统受到恶意入侵之前进行告警，可以最大程度的保证电网数据安全。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本申请实施例提供的一种变电站的恶意网络入侵检测方法流程图；

图2为本申请实施例提供的一种变电站的恶意网络入侵检测系统组成图；

图3为本申请实施例提供的一种变电站的恶意网络入侵检测设备示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例提供了一种变电站的恶意网络入侵检测方法、系统、设备及介质，用以解决现有的电网防护系统只能事后告警的技术问题。

下面通过附图对本申请实施例提出的技术方案进行详细的说明。

图1为本申请实施例提供的一种电站的恶意网络入侵检测方法流程图。如图1所示，该方法主要包括以下步骤：

步骤S1：基于旁路镜像，获取变电站所在的电网系统的网络镜像流量；

步骤S2：对所述网络镜像流量执行完整性检查，以确定所述网络镜像流量是否产生了事件；

步骤S3：若产生事件，则基于协议解码提取所述网络镜像流量的网络元数据，生成数据包；

步骤S4：基于内置恶意网络入侵检测规则脚本检测所述数据包中是否含有恶意入侵行为；

步骤S5：若存在入侵行为，则基于所述旁路镜像对所述恶意入侵行为进行溯源分析，启动本地木马对黑客进行主动反击并在本地预警。

在本申请的一种实现方式中，所述步骤S1之后，所述方法还包括：通过libpcap数据包捕获库对所述网络镜像流量进行处理；过滤所述网络镜像流量中无效的流量数据。

在本申请的一种实现方式中，所述步骤S2中，完整性检查的过程，具体为：检验所述网络镜像流量的IP头校验和，以判断所述网络镜像流量的数据头部格式是否正确；若所述数据头部格式不正确，则产生报错并丢弃所述网络镜像流量；若所述数据头部格式正确，则检查队列中是否出现事件。

在本申请的一种实现方式中，所述步骤S4，具体包括：基于区域检测规则确定所述事件是否属于跨区域行为；基于恶意域名规则确定所述事件是否属于黑名单中的行为；基于恶意软件检测规则确定所述事件中是否包含恶意软件。

在本申请的一种实现方式中，基于恶意文件检测规则确定所述事件中是否包含恶意文件的过程，具体为：提取指定文件的哈希；所述指定文件的类型包括：hostname、method、url；基于提取的哈希进行文件还原；基于恶意软件特征库，比对还原出来的文件，检测所述指定文件中的病毒。

在本申请的一种实现方式中，所述步骤S5，具体包括：基于所述网络镜像流量获取所述恶意入侵行为的样本流量；分析所述样本流量，绘制恶意入侵者的设备画像；基于所述样本流量在本地数据库中查找类似的历史攻击事件，调用同类型的反制木马攻击所述恶意入侵者，并生成反制及预警日志。

以上是本申请实施例提供的一种电站的恶意网络入侵检测方法，基于同样的发明构思，本申请实施例还提供了一种电站的恶意网络入侵检测系统，图2为本申请实施例提供的一种电站的恶意网络入侵检测系统组成图，如图2所示，所述系统主要包括：镜像流量获取单元201，用于基于旁路镜像，获取变电站所在的电网系统的网络镜像流量；完整性检查单元202，用于对所述网络镜像流量执行完整性检查，以确定所述网络镜像流量是否产生了事件；解码单元203，用于在产生事件时，基于协议解码提取所述网络镜像流量的网络元数据，生成数据包；恶意入侵检测单元204，用于基于内置恶意网络入侵检测规则脚本检测所述数据包中是否含有恶意入侵行为；反制单元205，用于在存在入侵行为时，基于所述旁路镜像对所述恶意入侵行为进行溯源分析，启动本地木马对黑客进行主动反击并在本地预警。

以上是本申请实施例提供的一种电站的恶意网络入侵检测系统，基于同样的发明构思，本申请实施例还提供了一种电站的恶意网络入侵检测设备，图3为本申请实施例提供的一种电站的恶意网络入侵检测设备示意图，如图3所示，该设备主要包括：至少一个处理器301；以及，与至少一个处理器通信连接的存储器302；其中，存储器302存储有可被至少一个处理器301执行的指令，指令被至少一个处理器301执行，以使至少一个处理器301能够完成：基于旁路镜像，获取变电站所在的电网系统的网络镜像流量；对所述网络镜像流量执行完整性检查，以确定所述网络镜像流量是否产生了事件；若产生事件，则基于协议解码提取所述网络镜像流量的网络元数据，生成数据包；基于内置恶意网络入侵检测规则脚本检测所述数据包中是否含有恶意入侵行为；若存在入侵行为，则基于所述旁路镜像对所述恶意入侵行为进行溯源分析，启动本地木马对黑客进行主动反击并在本地预警。

除此之外，本申请实施例还提供了一种电站的恶意网络入侵检测的非易失性计算机存储介质，存储有计算机可执行指令，所述计算机可执行指令设置为：基于旁路镜像，获取变电站所在的电网系统的网络镜像流量；对所述网络镜像流量执行完整性检查，以确定所述网络镜像流量是否产生了事件；若产生事件，则基于协议解码提取所述网络镜像流量的网络元数据，生成数据包；基于内置恶意网络入侵检测规则脚本检测所述数据包中是否含有恶意入侵行为；若存在入侵行为，则基于所述旁路镜像对所述恶意入侵行为进行溯源分析，启动本地木马对黑客进行主动反击并在本地预警。

本申请实施例提供的一种变电站的恶意网络入侵检测方法、系统、设备及介质，通过获取变电站所在的电网系统的流量数据，然后通过数据处理的方式对获取到的流量样本进行分析是否产生了恶意入侵行为，并能够通过构建本地木马并获取攻击行为所在的IP地址对攻击者进行反制，最重要的是本申请提供的方法可以在电网系统受到恶意入侵之前进行告警，可以最大程度的保证电网数据安全。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

本申请中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。