基于网络架构的电力系统内部APT攻击检测及预警系统技术方案

基于网络架构的电力系统内部APT攻击检测及预警系统,包括有：用户终端监控子系统、服务器监控子系统和云平台管理子系统。针对APT攻击无孔不入的特性，设计了涵盖用户终端和系统服务器的APT攻击检测及预警系统。该检测及预警系统不仅具备常见的网络安全管理功能，同时能对日志和事件做出异常分析，对系统的漏洞进行挖掘和修复，并能在网络系统遭受APT攻击后，迅速的恢复被攻击设备的数据，协助安全管理员反向追踪攻击来源。

【技术实现步骤摘要】

本专利技术涉及信息安全
，特别是一种针对APT攻击的检测及预警系统。
技术介绍
高级持续性威胁(Advanced Persistent Threat，APT)，是针对一个特定组织所做的复杂的、多方位的、长期的且持续性的网络攻击，是一种以商业和政治为目的的网络犯罪类别，具有长期经营与策划、高度隐蔽等特性。根据入侵方式，APT攻击分为两类：一类是对公司的对公服务器进行攻击，再以服务器为跳板攻击公司内部网络，这类攻击方式叫做外部APT攻击；另一类是通过对公司员工的电脑进行攻击，再以员工电脑为跳板攻击公司内部服务器，这类攻击方式成为内部APT攻击，这种方式称为更加难以防范，也更具有隐蔽性。APT攻击在近些年内多次被发现，其影响很深，比较著名的攻击包括极光攻击、夜龙攻击，RSA SecurID窃取攻击，震网攻击，Shady RAT，韩国黑客入侵事件等。来自企业内部的APT攻击的一个典型案例就是震网攻击，它攻击的对象是一个与外界物理隔离的能源网络系统，这是一次十分成功的APT攻击，而其最为恐怖的地方就在于极为巧妙的控制了攻击范围，攻击十分精准。其攻击流程如下：(1)攻击者通过社会工程学的方法收集核电站相关工作人员的信息。(2)攻击者针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻击，并进一步感染相关人员的U盘。(3)病毒以U盘为桥梁进入堡垒内部，随即潜伏下来。(4)病毒很有耐心的逐步扩散，利用多种漏洞，包括当时的一个0day漏洞，一点一点的进行破坏。与国外企业不同，国内企业更加内敛和低调，即使发生了安全事故也往往不为人知。自从CSDN密码被黑客窃取并公开之后，很多黑客利用这个数据库对其他网站的密码进行猜测式攻击，导致多个网站出现账户异常、账户被盗等严重问题，使得多起APT攻击案例被迫曝光。就电力企业而言，信息网络的安全直接关系着其自身的效益与发展，最重要的是它还关系到电力生产系统的安全性与稳定性，对于如今生活生产都依赖于电力保障的社会来说至关重要。电力企业调度数据网和综合信息网在物理上实现了隔离，在一定程度上保证了调度数据网的安全运行，避免受到来自综合信息网的可能的攻击；但是，财务、营销、客户管理等系统的网络信息安全还相当薄弱。电力系统虽然对计算机信息安全一直非常重视，但由于各种原因，目前还没有一套统一完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范。火眼公司提供的2013年APT攻击报告指出，这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行，包括能源、电力、国防、金融等关系到国计民生，或者是国家核心利益的网络基础设施。此外，APT攻击具有持续性，甚至长达数年，这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断的收集各种信息，直到收集到重要情报。电力行业基于以往的厂电隔离，在信息安全上有着其他行业不可比拟的优势，但这并不意味着电力行业的通信足够安全，事实上，在上述的震网攻击例子中，被攻击的核电站就属于电力行业的一次典型APT案例。目前，电力企业在网络信息安全方面仍存在：信息化机构建设不够健全、安全法制体系不完善、信息化管理滞后、软硬件依赖国外以及安全意识淡薄等诸多问题。这些问题都增加了电力企业应对APT攻击的难度。
技术实现思路
本专利技术的目的就是提供一种基于网络架构的电力系统内部APT攻击检测及预警系统，它可以系统的对APT攻击进行检测及防御，显著提高电力系统的安全性。本专利技术的目的是通过这样的技术方案实现的，它包括有用户终端和系统服务器，多台用户终端与系统服务器相连，包括有用户终端监控子系统、服务器监控子系统和云平台管理子系统；用户终端监控子系统，安装在每台用户终端上，对用户终端的邮件、便携式移动设备进行实时监控防护，对用户终端的通信流量进行监控，并记录和分析用户的操作记录日志，并将记录的信息发送至云平台管理子系统；服务器监控子系统，安装在系统服务器上，用于监控用户权限和流量，对系统服务器进行防护，并对系统服务器操作进行记录，生成日志文件，并将记录的信息发送至云平台管理子系统；云平台管理子系统，分别与每台用户终端和每台系统服务器进行信息交互，协调用户终端和系统服务器的数据通信、存储和计算功能，分析用户终端监控子系统和服务器监控子系统上传的信息文件，对APT攻击进行分析预警。进一步，所述用户终端监控子系统包括有用户终端防护模块和用户终端监控模块；用户终端防护模块，对用户终端的邮件和便携式移动设备进行监控并查杀病毒；用户终端监控模块包括有以下子模块：用户终端设备管理子模块，用于管理用户终端安全设备的信息，实现对用户终端安全设备的增加、删除、修改和查询；用户终端事件管理子模块，用于实时显示用户终端的安全事件，查看各安全事件的详细信息；所述安全事件包括有病毒信息、防火墙信息、防火墙日志信息、入侵检测信息和用户终端安全信息；用户终端告警管理子模块，对安全事件进行分析，生成图形和文字的告警信息；用户终端报表管理子模块，生成安全事件统计报表和设备信息报表；用户终端应急管理子模块，对用户终端的软件和硬件备份资源信息，快速定位备份资源信息，通过记录安全告警信息的处理过程形成案件库；用户终端系统管理子模块，用于用户终端系统基础数据输入、系统用户管理和系统参数配置管理；用户终端工具管理子模块，提供工具下载权限，包括有普通工具下载权限和管理员工具下载权限。进一步，所述用户终端采用多级部署管理，下级用户终端监控模块将信息发送至上级用户终端监控模块，上级用户终端监控模块对下级用户终端监控模块的数据进行控制。进一步，所述服务器监控子系统包括有服务器防护模块和服务器监控模块；服务器防护模块，包括有防火墙；服务器监控模块包括有以下子模块：服务器设备管理子模块，用于管理服务器安全设备的信息，实现对服务器安全设备的增加、删除、修改和查询；服务器事件管理子模块，用于实时显示服务器的安全事件，查看各安全事件的详细信息；所述安全事件包括有病毒信息、防火墙信息、防火墙日志信息、入侵检测信息和服务器安全信息；服务器告警管理子模块，对安全事件进行分析，生成图形和文字的告警信息；服务器报表管理子模块，生成安全事件统计报表和设备信息报表；服务器应急管理子模块，对服务器的软件和硬件备份资源信息，快速定位备份资源信息，通过记录安全告警信息的处理本文档来自技高网...

【技术保护点】
基于网络架构的电力系统内部APT攻击检测及预警系统，电力系统包括有用户终端和系统服务器，多台用户终端与系统服务器相连，其特征在于：包括有用户终端监控子系统、服务器监控子系统和云平台管理子系统；用户终端监控子系统，安装在每台用户终端上，对用户终端的邮件、便携式移动设备进行实时监控防护，对用户终端的通信流量进行监控，并记录和分析用户的操作记录日志，并将记录的信息发送至云平台管理子系统；服务器监控子系统，安装在系统服务器上，用于监控用户权限和流量，对系统服务器进行防护，并对系统服务器操作进行记录，生成日志文件，并将记录的信息发送至云平台管理子系统；云平台管理子系统，分别与每台用户终端和每台系统服务器进行信息交互，协调用户终端和系统服务器的数据通信、存储和计算功能，分析用户终端监控子系统和服务器监控子系统上传的信息文件，对APT攻击进行分析预警。

【技术特征摘要】
1.基于网络架构的电力系统内部APT攻击检测及预警系统，电力系统包括有用
户终端和系统服务器，多台用户终端与系统服务器相连，其特征在于：包括有用户终
端监控子系统、服务器监控子系统和云平台管理子系统；
用户终端监控子系统，安装在每台用户终端上，对用户终端的邮件、便携式移动
设备进行实时监控防护，对用户终端的通信流量进行监控，并记录和分析用户的操作
记录日志，并将记录的信息发送至云平台管理子系统；
服务器监控子系统，安装在系统服务器上，用于监控用户权限和流量，对系统服
务器进行防护，并对系统服务器操作进行记录，生成日志文件，并将记录的信息发送
至云平台管理子系统；
云平台管理子系统，分别与每台用户终端和每台系统服务器进行信息交互，协调
用户终端和系统服务器的数据通信、存储和计算功能，分析用户终端监控子系统和服
务器监控子系统上传的信息文件，对APT攻击进行分析预警。
2.如权利要求1所述的基于网络架构的电力系统内部APT攻击检测及预警系
统，其特征在于，所述用户终端监控子系统包括有用户终端防护模块和用户终端监控
模块；
用户终端防护模块，对用户终端的邮件和便携式移动设备进行监控并查杀病毒；
用户终端监控模块包括有以下子模块：
用户终端设备管理子模块，用于管理用户终端安全设备的信息，实现对用户终端
安全设备的增加、删除、修改和查询；
用户终端事件管理子模块，用于实时显示用户终端的安全事件，查看各安全事件
的详细信息；所述安全事件包括有病毒信息、防火墙信息、防火墙日志信息、入侵检
测信息和用户终端安全信息；
用户终端告警管理子模块，对安全事件进行分析，生成图形和文字的告警信息；
用户终端报表管理子模块，生成安全事件统计报表和设备信息报表；
用户终端应急管理子模块，对用户终端的软件和硬件备份资源信息，快速定位备
份资源信息，通过记录安全告警信息的处理过程形成案件库；
用户终端系统管理子模块，用于用户终端系统基础数据输入、系统用户管理和系
统参数配置管理；
用户终端工具管理子模块，提供工具下载权限，包括有普通工具下载权限和管理
员工具下载权限。
3.如权利要求2所述的基于网络架构的电力系统内部APT攻击检测及预警系
统，其特征在于：所述用户终端采用多级部署管理，下级用户终端监控模块将信息发
送至上级用户终端监控模块，上级用户终端监控模块对下级用户终端监控模块的数据
进行控制。
4.如权利要求1所述的基于网络架构的电力系统内部APT攻击检测及预警系
统，其特征在于：所述服务器监控子系统包括有服务器防护模块和服务器监控模块；
服务器防护模块，包括有防火墙；
服务器监控模...

【专利技术属性】
技术研发人员：张明哲，徐瑞林，陈涛，朱珠，雷娟，张伟，徐鑫，
申请(专利权)人：国网重庆市电力公司电力科学研究院，国家电网公司，
类型：发明
国别省市：重庆;85