本发明专利技术涉及电力技术领域,提供一种APT攻击检测方法及装置。其中,APT攻击检测方法首先获得电力控制系统中的采集得到的异常数据,然后判断异常数据与异常检测模型是否满足预设相似度条件。若满足预设相似度条件,表明当前的异常数据具有APT攻击的某些特征,从而可以将其确定为疑似APT攻击。最后,将疑似APT攻击的异常数据保存至异常数据库中,以便进行后续的数据分析或者APT攻击的防御。上述方法及装置能够有效检测电力控制系统中的APT攻击,并将疑似APT攻击的异常数据进行保存,为分析APT攻击的特征以及APT攻击的防御打下了坚实的基础,有利于改善电力控制系统的安全性,确保其正常稳定运行。
【技术实现步骤摘要】
APT攻击检测方法及装置
本专利技术涉及电力
,具体而言,涉及一种APT攻击检测方法及装置。
技术介绍
APT(AdvancedPersistentThreat)是指高级持续性威胁。即利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。电力控制系统主要用于配变电监控,对于保障生产生活用电起着至关重要的作用,目前,随着电力设备数量的增加,电力控制系统的结构也变得越发复杂,其安全需求不断提高。网络攻击,特别是APT攻击对电力控制系统的威胁不断加大,然而,在现有的电力控制系统中,还缺乏对APT进行有效检测的方法。
技术实现思路
有鉴于此,本专利技术实施例提供一种智能规划方法及系统,以解决上述技术问题。为实现上述目的,本专利技术提供如下技术方案:第一方面,本专利技术实施例提供一种APT攻击检测方法,包括:获得电力控制系统中的异常数据;判断异常数据与异常检测模型是否满足预设相似度条件,其中,异常检测模型为基于已有的APT攻击的数据特征构建的模型;若满足预设相似度条件,则将异常数据确定为疑似APT攻击,并将疑似APT攻击的异常数据保存至异常数据库。在第一方面的一种可能的实现方式中,判断异常数据与异常检测模型是否满足预设相似度条件,包括:利用大数据聚类算法判断异常数据与异常检测模型是否满足预设相似度条件。在第一方面的一种可能的实现方式中,大数据聚类算法为结构性聚类算法中的层次聚类算法。在第一方面的一种可能的实现方式中,层次聚类算法包括凝聚层次聚类算法AGNES或分裂层次聚类算法DIANA。在第一方面的一种可能的实现方式中,聚类算法在计算相似度时采用下列相似度计算方法中的至少一种:欧式距离相似度、Jaccard相似度、余弦相似度、Pearson相似度以及相对熵。在第一方面的一种可能的实现方式中,异常数据由电力控制系统中的纵向加密装置、横向隔离装置、防火墙设备以及安全管理平台中的至少一种对象采集。在第一方面的一种可能的实现方式中,在获得电力控制系统中的异常数据之后,在判断异常数据与异常检测模型是否满足预设相似度条件之前,方法还包括:利用安全风险评价模型对异常数据进行过滤,过滤出存在安全风险的异常数据,其中,安全风险评价模型为基于数据的日常规律构建的模型,不符合日常规律的异常数据被确定为存在安全风险;判断异常数据与异常检测模型是否满足预设相似度条件,包括:判断存在安全风险的异常数据与异常检测模型是否满足预设相似度条件。在第一方面的一种可能的实现方式中,在将疑似APT攻击的异常数据保存至异常数据库之后,方法还包括:定期检测异常数据库中的疑似APT攻击的异常数据是否为持续攻击;若否,将疑似APT攻击的异常数据从异常数据库中删除。在第一方面的一种可能的实现方式中,在将疑似APT攻击的异常数据保存至异常数据库之后,方法还包括:对异常数据库中的疑似APT攻击的异常数据进行下列至少一种数据分析:异常流量检测、异常代码检测、数据挖掘、事件关联以及数据对比。第二方面,本专利技术实施例提供一种APT攻击检测装置,包括:异常数据获取模块,用于获得电力控制系统中的异常数据;异常数据判断模块,用于判断异常数据与异常检测模型是否满足预设相似度条件,其中,异常检测模型为基于已有的APT攻击的数据特征构建的模型;异常数据存储模块,用于若满足预设相似度条件,则将异常数据确定为疑似APT攻击,并将疑似APT攻击的异常数据保存至异常数据库。第三方面,本专利技术实施例提供一种计算机存储介质,计算机存储介质中存储有计算机程序指令,计算机程序指令被计算机的处理器读取并运行时,执行第一方面或第一方面的任意一种可能的实现方式提供的方法。第四方面,本专利技术实施例提供一种电子设备,包括处理器以及计算机存储介质,计算机存储介质中存储有计算机程序指令,计算机程序指令被处理器读取并运行时,执行第一方面或第一方面的任意一种可能的实现方式提供的方法。本专利技术提供的技术方案至少具有如下有益效果:本专利技术实施例提供一种APT攻击检测方法及装置,首先获得电力控制系统中的采集得到的异常数据,然后判断异常数据与异常检测模型是否满足预设相似度条件,其中,异常检测模型为基于已有的APT攻击的数据特征构建的模型。若满足预设相似度条件,表明当前的异常数据具有APT攻击的某些特征,从而可以将其确定为疑似APT攻击。最后,将疑似APT攻击的异常数据保存至异常数据库中,以便进行后续的数据分析或者APT攻击的防御。上述方法及装置能够有效检测电力控制系统中的APT攻击,并将疑似APT攻击的异常数据进行保存,为分析APT攻击的特征以及APT攻击的防御打下了坚实的基础,有利于改善电力控制系统的安全性,确保其正常稳定运行。为使本专利技术的上述目的、技术方案和有益效果能更明显易懂,下文特举实施例,并配合所附附图,作详细说明如下。附图说明为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本专利技术的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。图1示出了一种可应用于本专利技术实施例中的电子设备的结构框图;图2示出了本专利技术第一实施例提供的APT攻击检测方法的流程图;图3示出了本专利技术第一实施例提供的APT攻击检测方法的工作原理示意图;图4示出了凝聚层次聚类算法以及分裂层次聚类算法的工作原理示意图;图5示出了专利技术第二实施例提供的APT攻击检测装置的功能模块图。具体实施方式下面将结合本专利技术实施例中附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本专利技术的实施例的详细描述并非旨在限制要求保护的本专利技术的范围,而是仅仅表示本专利技术的选定实施例。基于本专利技术的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本专利技术的描述中,术语“第一”、“第二”等仅用于将一个实体或者操作与另一个实体或操作区分开来,而不能理解为指示或暗示相对重要性,也不能理解为要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。图1示出了一种可应用于本本文档来自技高网...
【技术保护点】
1.一种APT攻击检测方法,其特征在于,包括:获得电力控制系统中的异常数据;判断所述异常数据与异常检测模型是否满足预设相似度条件,其中,所述异常检测模型为基于已有的APT攻击的数据特征构建的模型;若满足所述预设相似度条件,则将所述异常数据确定为疑似APT攻击,并将疑似APT攻击的异常数据保存至异常数据库。
【技术特征摘要】
1.一种APT攻击检测方法,其特征在于,包括:获得电力控制系统中的异常数据;判断所述异常数据与异常检测模型是否满足预设相似度条件,其中,所述异常检测模型为基于已有的APT攻击的数据特征构建的模型;若满足所述预设相似度条件,则将所述异常数据确定为疑似APT攻击,并将疑似APT攻击的异常数据保存至异常数据库。2.根据权利要求1所述的APT攻击检测方法,其特征在于,所述判断所述异常数据与异常检测模型是否满足预设相似度条件,包括:利用大数据聚类算法判断所述异常数据与所述异常检测模型是否满足所述预设相似度条件。3.根据权利要求2所述的APT攻击检测方法,其特征在于,所述大数据聚类算法为结构性聚类算法中的层次聚类算法。4.根据权利要求3所述的APT攻击检测方法,其特征在于,所述层次聚类算法包括凝聚层次聚类算法AGNES或分裂层次聚类算法DIANA。5.根据权利要求2中任一项所述的APT攻击检测方法,其特征在于,所述聚类算法在计算相似度时采用下列相似度计算方法中的至少一种:欧式距离相似度、Jaccard相似度、余弦相似度、Pearson相似度以及相对熵。6.根据权利要求1-5中任一项所述的APT攻击检测方法,其特征在于,所述异常数据由所述电力控制系统中的纵向加密装置、横向隔离装置、防火墙设备以及安全管理平台中的至少一种对象采集。7.根据权利要求1-5中任一项所述的APT攻击检测方法,其特征在于,在所述获得电力控制系统中的异常数据之后,在所述判断所述异常数据与异常检测模型是...
【专利技术属性】
技术研发人员:何纪成,卢楷,王坤,李勃,梁野,高明慧,张志军,王玉涛,赵航,郭乃豪,王洋,
申请(专利权)人:北京科东电力控制系统有限责任公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。