本发明专利技术公开了一种变电站网络安全态势感知方法及系统,其中系统包括网络扫描模块用于对网络报文的分析实现网络拓扑的发现及网络异常告警;主机核查模块用于将各主机与基线库的比对得到主机的安全状态;漏洞扫描模块用于对各主机的漏洞扫描得到主机的漏洞信息;报文解析模块用于对变电站报文的深度解析来检测是否存在畸形或攻击报文;网络设备检测模块用于对网络设备及安防设备的监视实现日志的采集;态势感知模块用于根据各个模块采集到的信息进行威胁分析、脆弱点分析和关联分析。本发明专利技术针对变电站网络的特点,给出了对于网络安全态势感知所需要采集的数据对象;并给出了处理流程和管控方法,有利于提高变电站整体的网络安全。
【技术实现步骤摘要】
一种变电站网络安全态势感知方法及系统
本专利技术涉及一种变电站网络安全态势感知方法及系统,属于变电站网络安全和电力自动化领域。
技术介绍
随着智能变电站的全面普及和推进,变电站在站控层、间隔层和过程层的网络越来越复杂。而日趋复杂的变电站网络环境也带来了更多的安全隐患,变电站中的网络安全越来越得到重视。当前变电站的网络安全主要依靠网络专用、安全分区、横向隔离、纵向认证来实现安全区和变电站的边界防护。但对于变电站的内部网络安全防护,相对还比较薄弱。一旦内部主机或二次设备感染病毒,或是操作人员非恶意性的非法操作,会对变电站的运行造成严重的安全威胁。因此对变电站整个网络的设备和通信进行监测和管控就非常重要。因此,需要一个能够对变电站网络安全进行态势感知的系统,能够采集各种设备和网络的安全状态,对采集信息进行提取、分析和处理,通过汇总、过滤和关联分析安全事件,评估变电站的风险等级,给出决策支持,并能对安全威胁进行管控。
技术实现思路
本专利技术的目的旨在解决现有技术中存在的上述问题和缺陷的至少一个方面。为实现上述目的,本专利技术提供了一种变电站网络安全态势感知方法,包括:对镜像网络报文进行抓取获得数据包,并以网络白名单为基础对数据包进行网络安全状态识别实现网络异常告警,获得网络安全状态识别结果;根据SNMP规约从交换机获取网络拓扑信息及网络异常告警并进行网络拓扑显示;在主机上安装安全监测探针程序,获得主机的安全状态并确定主机上对应的操作系统或中间件版本是否满足基线库要求,得到主机的安全状态识别结果;对主机进行漏洞扫描,并与漏洞库对比获得主机的漏洞信息;根据规约库中特定规约对网络抓包中获得的应用层报文进行分析确定是否存在畸变或攻击报文,获得应用层报文解析结果;通过SNMP规约或syslog规约采集网络设备的日志信息;通过syslog规约采集,获得安防设备的日志信息;响应于获得的网络安全状态识别结果、主机的安全状态识别结果、应用层报文解析结果以及安防设备的日志信息进行威胁分析、脆弱点分析和关联分析;所述威胁分析包括分析可能存在的网络攻击;所述脆弱点分析包括分析网络中的设备可能存在基线版本低或存在漏洞;所述关联分析包括将各类告警或日志进行归并或多源数据融合。进一步地,还包括通过人工智能算法进行态势预测并通过层次分析法进行网络风险评估,获得态势预测结果和网络风险评估结果并给出威胁情报和决策支持。进一步地,还包括根据预先设定的系统配置预测结果和网络风险评估结果进行网络风险控制,所述网络风险控制包括交换机/主机的网口关闭、主机USB口禁用和威胁源主动攻击。优选地,网络拓扑显示能动态反映网络拓扑变化。优选地,所述安全状态识别包括非法IP识别和非法连接识别。优选地,所述主机的安全状态识别包括非法外联、USB设备接入和非法操作识别。进一步地,所述特定规约包括EC61850规约和IEC103规约。在另一方面本专利技术提供了一种变电站网络安全态势感知系统,包括:网络扫描模块,用于对镜像网络报文进行抓取获得数据包,并以网络白名单为基础对数据包进行网络安全状态识别实现网络异常告警,获得网络安全状态识别结果;同时用于根据SNMP规约从交换机获取网络拓扑信息及网络异常告警并进行网络拓扑显示;主机核查模块,用于在主机上安装安全监测探针程序,获得主机的安全状态并确定主机上对应的操作系统或中间件版本是否满足基线库要求,得到主机的安全状态识别结果;漏洞扫描模块,用于对主机进行漏洞扫描,并与漏洞库对比获得主机的漏洞信息;报文解析模块,用于根据规约库中特定规约对网络抓包中获得的应用层报文进行分析是否存在畸变或攻击报文,获得应用层报文解析结果;网络设备检测模块,用于通过SNMP规约或syslog规约采集网络设备的日志信息;通过syslog规约采集,获得安防设备的日志信息;态势感知模块,用于响应于获得的网络安全状态识别结果、主机的安全状态识别结果、应用层报文解析结果以及安防设备的日志信息进行威胁分析、脆弱点分析和关联分析;所述威胁分析包括分析可能存在的网络攻击;所述脆弱点分析包括分析网络中的设备可能存在基线版本低或存在漏洞;所述关联分析包括将各类告警或日志进行归并或多源数据融合。进一步地,还包括:风险评估模块,用于通过人工智能算法进行态势预测并通过层次分析法进行网络风险评估,获得态势预测结果和网络风险评估结果并给出威胁情报和决策支持。进一步地,还包括:风险控制模块,用于根据预先设定的系统配置进行网络风险管控进行网络风险控制,所述网络风险控制包括交换机/主机的网口关闭、主机USB口禁用和威胁源主动攻击。本专利技术所达到的有益效果:本专利技术针对变电站网络的特点,给出了对于网络安全态势感知所需要采集的数据对象;并给出了处理流程和管控方法,有利于提高变电站整体的网络安全。附图说明图1是本专利技术系统具体实施例结构示意图;图2是本专利技术系统具体实施例各模块实现示意图;具体实施方式下面结合附图和具体的实施例对本专利技术技术方案作进一步的详细描述,以使本领域的技术人员可以更好的理解本专利技术并能予以实施,但所举实施例不作为对本专利技术的限定。一种变电站网络安全态势感知方法及系统,如图2所示,系统由网络扫描模块,主机核查模块,漏洞扫描模块,报文解析模块,网络设备检测模块,态势感知模块,风险评估模块和风险控制模块组成。网络扫描模块主要实现两个功能:(1)以网络白名单(包含合法的IP和链接)为基础,通过对镜像网络报文的抓取来进行网络安全分析,识别非法IP及非法连接,并将识别的结果上送给态势感知模块;(2)通过SNMP规约从交换机获取网络拓扑信息,从而形成网络拓扑的直观展示,并能动态反应网络拓扑的变化,网络拓扑的展示可以采用星形、平铺或总线式。主机核查模块通过在主机上安装相应的探针程序以实现两个功能:(1)获取到主机对应的安全状态,如非法外联、USB设备接入、非法操作等,并将识别的结果上送给态势感知模块;(2)将主机上对应的操作系统或中间件版本与基线库比对,查看是否满足基线库要求,并将结果上送给态势感知模块。此处的基线库是指电网用户对主机操作系统、数据库、中间件(如Apache、Tomcat或IIS等)、网络设备、终端、应用定义的需要满足的安全要求,或如主机安全基线配置规范,包括了对设备管理、用户账号与口令安全、日志与审计、服务优化、安全防护这样的一系列要求。漏洞扫描模块通过对主机进行漏洞扫描,并与漏洞库对比获得主机的漏洞信息,并将结果上送给态势感知模块。报文解析模块对网络抓包中获得的应用层报文进行深度分析,根据规约库中电力系统常用的规约(如IEC61850规约、IEC103规约或IEC104等),分析是否存在畸变或攻击报文,并将结果上送给态势感知模块。以IEC104报文为例,需要分析如下内容:(1)报文基本格式是否正确。(2)帧序号是否连续。(3)是否存在遥测量的突变(就是某个电流值突然和前一时刻比变化很大)。(4)是否存在频繁的遥控。如果发生上述情况,可能存在一定的入侵风险。网络设备检测模块通过SNMP规约或syslog规约采集网络设备(主要指交换机设备)的日志信息;通过syslog规约采集安防设备的日志信息。并将结果上送给态势感知模块。在图2中示出了所述安防设备的日志信息包括网络设备监视信息和安防设备本文档来自技高网...
【技术保护点】
1.一种变电站网络安全态势感知方法,其特征是,包括:对镜像网络报文进行抓取获得数据包,并以网络白名单为基础对数据包进行网络安全状态识别实现网络异常告警,获得网络安全状态识别结果;根据SNMP规约从交换机获取网络拓扑信息及网络异常告警并进行网络拓扑显示;在主机上安装安全监测探针程序,获得主机的安全状态并确定主机上对应的操作系统或中间件版本是否满足基线库要求,得到主机的安全状态识别结果;对主机进行漏洞扫描,并与漏洞库对比获得主机的漏洞信息;根据规约库中特定规约对网络抓包中获得的应用层报文进行分析确定是否存在畸变或攻击报文,获得应用层报文解析结果;通过SNMP规约或syslog规约采集网络设备的日志信息;通过syslog规约采集,获得安防设备的日志信息;响应于获得的网络安全状态识别结果、主机的安全状态识别结果、应用层报文解析结果以及安防设备的日志信息进行威胁分析、脆弱点分析和关联分析;所述威胁分析包括分析可能存在的网络攻击;所述脆弱点分析包括分析网络中的设备可能存在基线版本低或存在漏洞;所述关联分析包括将各类告警或日志进行归并或多源数据融合。
【技术特征摘要】
1.一种变电站网络安全态势感知方法,其特征是,包括:对镜像网络报文进行抓取获得数据包,并以网络白名单为基础对数据包进行网络安全状态识别实现网络异常告警,获得网络安全状态识别结果;根据SNMP规约从交换机获取网络拓扑信息及网络异常告警并进行网络拓扑显示;在主机上安装安全监测探针程序,获得主机的安全状态并确定主机上对应的操作系统或中间件版本是否满足基线库要求,得到主机的安全状态识别结果;对主机进行漏洞扫描,并与漏洞库对比获得主机的漏洞信息;根据规约库中特定规约对网络抓包中获得的应用层报文进行分析确定是否存在畸变或攻击报文,获得应用层报文解析结果;通过SNMP规约或syslog规约采集网络设备的日志信息;通过syslog规约采集,获得安防设备的日志信息;响应于获得的网络安全状态识别结果、主机的安全状态识别结果、应用层报文解析结果以及安防设备的日志信息进行威胁分析、脆弱点分析和关联分析;所述威胁分析包括分析可能存在的网络攻击;所述脆弱点分析包括分析网络中的设备可能存在基线版本低或存在漏洞;所述关联分析包括将各类告警或日志进行归并或多源数据融合。2.根据权利要求1所述的变电站网络安全态势感知方法,其特征是,还包括通过人工智能算法进行态势预测并通过层次分析法进行网络风险评估,获得态势预测结果和网络风险评估结果并给出威胁情报和决策支持。3.根据权利要求1所述的变电站网络安全态势感知方法,其特征是,还包括根据预先设定的系统配置进行网络风险控制,所述网络风险控制包括交换机/主机的网口关闭、主机USB口禁用和威胁源主动攻击。4.根据权利要求1所述的变电站网络安全态势感知方法,其特征是,网络拓扑显示能动态反映网络拓扑变化。5.根据权利要求1所述的变电站网络安全态势感知方法,其特征是,所述安全状态识别包括非法IP识别和非法连接识别。6.根据权利要求1所述的变电站网络安全态势感知方法,其特征是,主机的安全状态识别包括非法...
【专利技术属性】
技术研发人员:曹翔,张阳,宋林川,林青,胡绍谦,汤震宇,张春合,
申请(专利权)人:南京南瑞继保电气有限公司,南京南瑞继保工程技术有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。