The invention relates to an Internet threat monitoring and defense method based on dynamic joint defense, which includes the following contents: the automatic blocking module is connected with the Internet border blocking device through the application layer interface to realize data transmission; wherein, the automatic blocking module is configured to conduct real-time monitoring on various functional events processed by the functional layer, and achieve the set threat in the monitoring results, etc Level event is sent to the Internet border blocking device. The Internet border blocking device filters the IP address, MAC address and terminal name in the threat event with ads blacklist protection strategy. As long as the source IP address of the data packet matches an address in the blacklist, the ads device will block it without any other detection. The ads device receives the blackip information, completes the blocking action and returns to the blocking state. The Internet threat monitoring and defense method based on the dynamic joint defense of the invention can replace the manual operation by adding the automatic defense mechanism, avoid the omission of the manual operation, protect the power network equipment and software, and effectively prevent the threat attack.
【技术实现步骤摘要】
一种基于动态联防的互联网威胁监测防御方法
本专利技术涉及网络安全,具体涉及一种基于动态联防的互联网威胁监测防御方法。
技术介绍
近年来,我国关键信息基础设施网络安全形势日趋严峻,其中,电力公司作为国家重要的关键信息基础设施单位,负责管理和营运着多个重要对外应用,常常成为黑客的攻击目标。目前,针对电力行业的网络攻击事件也日益增多,为保障电力网络环境安全,阻断来自互联网的各种攻击行为,网络安全部门长期以来的做法基本上是通过投入大量人力物力开展日常监测与巡查工作。为报障互联网出口的安全,信息中心在互联网出口部署了多个安全防护设备,每日监测到了多种攻击。为在源头上阻断来自互联网的攻击,信息中心采取日巡检,每日巡视、检测、分析各个安全设备上的攻击日志,在海量的日志中找寻威胁较高的事件,对其攻击源头进行人工封堵。然而,效果却不理想,仍然有大量的网络攻击未能在第一时间有效截断,导致网络内部系统遭受攻击,进而影响社会各行业用电安全。目前,信息中心每日要投入大量的人工开展监视余处置工作,花费较大,按照现有机制,相关人员每隔2小时开展巡检1次,防御机制会产生在工作日正常上班时间时预算2小时的事件响应时间,晚间及周末等非工作时间响应时间最长可达48小时,安全防护时效性难以提高。且大量工作由人工实现的话,难免会产生失误,影响防护质量。因此,电力网络安全存在面向互联网威胁自动防御体系不健全;威胁防护手段与技术工具过于传统;工作量大、人工耗费多,事件响应时间较长、存在误操作风险等问题。需要从现有网站安全防护机制的短板出发,建立完 ...
【技术保护点】
1.一种基于动态联防的互联网威胁监测防御方法,包括如下内容:/n在现有安全监测平台中加入动态防御模块,所述动态防御模块包括自动封堵模块和人工封堵模块;/n所述自动封堵模块通过应用层接口与互联网边界封堵设备相连实现数据传输;/n其中,所述自动封堵模块被配置为对功能层处理的各项功能事件进行实时监测,并将监测结果中达到设定威胁等级的事件发送给互联网边界封堵设备;/n所述实时监测的具体步骤为:/na.所述功能层将所需处理的各项功能事件发送给数据采集模块进行数据采集和清洗整理;/nb.所述自动封堵模块对数据采集和清洗整理后的IPS日志数据以及WAF日志数据进行威胁判断;所述威胁判断的步骤为:/nb1)将获取的日志数据中的协议报文进行协议分析;/nb2)基于协议分析结果提取安全相关的事件及时间序列;/nb3)将提取安全相关的事件数据流中的IP地址、MAC地址、终端名称;/nb4)自动遍历查找安全列表中所登记的IP地址、MAC地址、终端名称具有威胁等级标记,并将具有威胁等级标记超过阈值的事件数据流对应的时间序列所涉及的IPS及WAF日志数据进行标记作为威胁事件;/nb5)将威胁事件发送给互联网边界封 ...
【技术特征摘要】
1.一种基于动态联防的互联网威胁监测防御方法,包括如下内容:
在现有安全监测平台中加入动态防御模块,所述动态防御模块包括自动封堵模块和人工封堵模块;
所述自动封堵模块通过应用层接口与互联网边界封堵设备相连实现数据传输;
其中,所述自动封堵模块被配置为对功能层处理的各项功能事件进行实时监测,并将监测结果中达到设定威胁等级的事件发送给互联网边界封堵设备;
所述实时监测的具体步骤为:
a.所述功能层将所需处理的各项功能事件发送给数据采集模块进行数据采集和清洗整理;
b.所述自动封堵模块对数据采集和清洗整理后的IPS日志数据以及WAF日志数据进行威胁判断;所述威胁判断的步骤为:
b1)将获取的日志数据中的协议报文进行协议分析;
b2)基于协议分析结果提取安全相关的事件及时间序列;
b3)将提取安全相关的事件数据流中的IP地址、MAC地址、终端名称;
b4)自动遍历查找安全列表中所登记的IP地址、MAC地址、终端名称具有威胁等级标记,并将具有威胁等级标记超过阈值的事件数据流对应的时间序列所涉及的IPS及WAF日志数据进行标记作为威胁事件;
b5)将威胁事件发送给互联网边界封堵设备;
所述互联网边界封堵设备接收所述威胁事件并将威胁事件中相关的IP地址、MAC地址、终端名称记录到威胁列表中,并对所述威胁事件的IP地址、MAC地址、终端名称全部进行封堵。
2.根据权利要求1所述的一种基于动态联防的互联网威胁监测防御方法,其特征在于:所述人工封堵模块由人工增加配置以及手动更新安全列表进行人工干预封堵威胁事件。
3.根据权利要求1所述的一种基于动态联防的互联网威胁监测防御方法,其特征在于:所述安全列表由人工预先配置并在威胁监测防御过程中不断进行大数据技术统计增加新的威胁事件的IP地址、MAC地址、终端名称。
4.根据权利要求1所述...
【专利技术属性】
技术研发人员:黄巨涛,陈守明,梁运德,高尚,温柏坚,王甜,黄敬志,陈敏,王飞鸣,刘冯政,卢妍倩,
申请(专利权)人:广东电网有限责任公司信息中心,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。