一种基于动态联防的互联网威胁监测防御方法技术

本发明专利技术涉及一种基于动态联防的互联网威胁监测防御方法，包括如下内容：所述自动封堵模块通过应用层接口与互联网边界封堵设备相连实现数据传输；其中，所述自动封堵模块被配置为对功能层处理的各项功能事件进行实时监测，并将监测结果中达到设定威胁等级的事件发送给互联网边界封堵设备。所述互联网边界封堵设备对威胁事件中的IP地址、MAC地址、终端名称采用ADS黑名单防护策略进行过滤，只要数据包的源IP地址与黑名单列表中的某个地址相匹配，ADS设备就会将其阻断，不再进行其他检测，ADS设备接收黑IP信息，完成封堵动作并返回封堵状态。本发明专利技术的基于动态联防的互联网威胁监测防御方法，通过增加自动防御机制能够代替人工操作，避免人工操作的疏漏，对电力网络设备和软件进行保护，有效防止威胁攻击。

A method of Internet threat monitoring and defense based on dynamic joint defense

The invention relates to an Internet threat monitoring and defense method based on dynamic joint defense, which includes the following contents: the automatic blocking module is connected with the Internet border blocking device through the application layer interface to realize data transmission; wherein, the automatic blocking module is configured to conduct real-time monitoring on various functional events processed by the functional layer, and achieve the set threat in the monitoring results, etc Level event is sent to the Internet border blocking device. The Internet border blocking device filters the IP address, MAC address and terminal name in the threat event with ads blacklist protection strategy. As long as the source IP address of the data packet matches an address in the blacklist, the ads device will block it without any other detection. The ads device receives the blackip information, completes the blocking action and returns to the blocking state. The Internet threat monitoring and defense method based on the dynamic joint defense of the invention can replace the manual operation by adding the automatic defense mechanism, avoid the omission of the manual operation, protect the power network equipment and software, and effectively prevent the threat attack.

【技术实现步骤摘要】
一种基于动态联防的互联网威胁监测防御方法
本专利技术涉及网络安全，具体涉及一种基于动态联防的互联网威胁监测防御方法。
技术介绍
近年来，我国关键信息基础设施网络安全形势日趋严峻，其中，电力公司作为国家重要的关键信息基础设施单位，负责管理和营运着多个重要对外应用，常常成为黑客的攻击目标。目前，针对电力行业的网络攻击事件也日益增多，为保障电力网络环境安全，阻断来自互联网的各种攻击行为，网络安全部门长期以来的做法基本上是通过投入大量人力物力开展日常监测与巡查工作。为报障互联网出口的安全，信息中心在互联网出口部署了多个安全防护设备，每日监测到了多种攻击。为在源头上阻断来自互联网的攻击，信息中心采取日巡检，每日巡视、检测、分析各个安全设备上的攻击日志，在海量的日志中找寻威胁较高的事件，对其攻击源头进行人工封堵。然而，效果却不理想，仍然有大量的网络攻击未能在第一时间有效截断，导致网络内部系统遭受攻击，进而影响社会各行业用电安全。目前，信息中心每日要投入大量的人工开展监视余处置工作，花费较大，按照现有机制，相关人员每隔2小时开展巡检1次，防御机制会产生在工作日正常上班时间时预算2小时的事件响应时间，晚间及周末等非工作时间响应时间最长可达48小时，安全防护时效性难以提高。且大量工作由人工实现的话，难免会产生失误，影响防护质量。因此，电力网络安全存在面向互联网威胁自动防御体系不健全；威胁防护手段与技术工具过于传统；工作量大、人工耗费多，事件响应时间较长、存在误操作风险等问题。需要从现有网站安全防护机制的短板出发，建立完善的自动化防御，以安全防御体系化、威胁处置动态化、攻击封堵自动化为目标。需要实现融合机器检测、安全分析、主动防御等多方面效果，补全传统人工作业的不足，从而实现“精简人力资源投入，提升事件处置效能，杜绝人工误操作风险”预期效益。实现面向互联网高危行为的封堵能力由“5*8人工处置”水平提升至“7*24全天候动态防御”水平，这样才能大幅提升了互联网安全防护的时效性，使电力网络安全防护工作在电力行业及重要关键信息基础设施单位中发挥重要作用。
技术实现思路
针对目前电力网络环境安全防御缺陷，本专利技术提供了一种基于动态联防的互联网威胁监测防御方法，包括如下内容：在现有安全监测平台中加入动态防御模块，所述动态防御模块包括自动封堵模块和人工封堵模块；所述自动封堵模块通过应用层接口与互联网边界封堵设备相连实现数据传输；其中，所述自动封堵模块被配置为对功能层处理的各项功能事件进行实时监测，并将监测结果中达到设定威胁等级的事件发送给互联网边界封堵设备；所述实时监测的具体步骤为：a.所述功能层将所需处理的各项功能事件发送给数据采集模块进行数据采集和清洗整理；b.所述自动封堵模块对数据采集和清洗整理后的IPS日志数据以及WAF日志数据进行威胁判断；所述威胁判断的步骤为：b1)将获取的日志数据中的协议报文进行协议分析；b2)基于协议分析结果提取安全相关的事件及时间序列；b3)将提取安全相关的事件数据流中的IP地址、MAC地址、终端名称；b4)自动遍历查找安全列表中所登记的IP地址、MAC地址、终端名称具有威胁等级标记，并将具有威胁等级标记超过阈值的事件数据流对应的时间序列所涉及的IPS及WAF日志数据进行标记作为威胁事件；b5)将威胁事件发送给互联网边界封堵设备；c.所述互联网边界封堵设备接收所述威胁事件并将威胁事件中相关的IP地址、MAC地址、终端名称记录到威胁列表中，并对所述威胁事件的IP地址、MAC地址、终端名称全部进行封堵。所述人工封堵模块由人工增加配置以及手动更新安全列表进行人工干预封堵威胁事件。所述安全列表由人工预先配置并在威胁监测防御过程中不断进行大数据技术统计增加新的威胁事件的IP地址、MAC地址、终端名称。所述自动封堵模块设有人工开启和关闭的通道，实现在人工和自动监测中进行切换。所述安全监测平台所处理的功能事件包括资产管理、业务管理、弱点管理、事件分析、风险评估、态势分析、威胁情报、通报管理、告警管理、工单管理、知识管理、报表管理。所述互联网边界封堵设备属于基础应用层设备，能够由人工进行配置。所述数据采集模块配置为分析各项功能事件进行数据采集和清洗整理，包括对资产数据、性能数据、事件数据、流数据、漏洞数据以及配置数据的采集和清洗整理，提取其中的元数据，之后将元数据发送给数据层、自动封堵模块以及互联网边界封堵设备，由所述互联网边界封堵设备对元数据中的进行威胁判断和封堵。所述元数据包括网络设备数据、安全设备数据、主机数据、存储数据、数据库配置数据、IPS日志数据、WAF日志数据。所述数据层对数据采集模块发送过来的各项数据进行存储备案。所述互联网边界封堵设备对威胁事件中的IP地址、MAC地址、终端名称采用ADS黑名单防护策略进行过滤，只要数据包的源IP地址与黑名单列表中的某个地址相匹配，ADS设备就会将其阻断，不再进行其他检测，ADS设备接收黑IP信息，完成封堵动作并返回封堵状态。本专利技术的基于动态联防的互联网威胁监测防御方法，通过增加自动防御机制能够代替人工操作，避免人工操作的疏漏，对电力网络设备和软件进行保护，有效防止威胁攻击。附图说明图1是本专利技术基于动态联防的互联网威胁监测防御方法的功能模块示意图；图2是自动封堵模块人机交互界面展示图；图3是本专利技术方法应用后对电力网络威胁事件处置的效果统计图。具体实施方式本专利技术的方法应用于现有的安全监测平台中，现有的安全监测平台如图1的功能模块示意图，包括展示层、功能层、应用街扩层、数据层、数据采集模块。其中，功能层中设有本专利技术新增的自动封堵模块，且通过展示层展示自动封堵模块的实时运作情况，如图2所示，该自动封堵模块的界面展示为操作人员提供人机操作界面操作输入接口，以及提供IPS来源统计展示、WAF来源统计展示以及SOC来源统计展示，统计来源与IPS、WAF和SOC系统的黑名数量。在现有安全监测平台中加入动态防御模块，动态防御模块包括自动封堵模块和人工封堵模块；自动封堵模块通过应用层接口与互联网边界封堵设备相连实现数据传输；其中，自动封堵模块被配置为对功能层处理的各项功能事件进行实时监测，实现自动封堵服务状态监控，并将监测结果中达到设定威胁等级的事件发送给互联网边界封堵设备；实时监测的具体步骤为：d.功能层将所需处理的各项功能事件发送给数据采集模块进行数据采集和清洗整理；e.自动封堵模块对数据采集和清洗整理后的IPS日志数据以及WAF日志数据进行威胁判断；所述威胁判断的步骤为：b1)将获取的日志数据中的协议报文进行协议分析；b2)基于协议分析结果提取安全相关的事件及时间序列；b3)将提取安全相关的事件数据流中的IP地址、MAC地址、终端名称；b4)自动遍历查找安全列表中所登记的IP地址、本文档来自技高网...

【技术保护点】
1.一种基于动态联防的互联网威胁监测防御方法，包括如下内容：/n在现有安全监测平台中加入动态防御模块，所述动态防御模块包括自动封堵模块和人工封堵模块；/n所述自动封堵模块通过应用层接口与互联网边界封堵设备相连实现数据传输；/n其中，所述自动封堵模块被配置为对功能层处理的各项功能事件进行实时监测，并将监测结果中达到设定威胁等级的事件发送给互联网边界封堵设备；/n所述实时监测的具体步骤为：/na.所述功能层将所需处理的各项功能事件发送给数据采集模块进行数据采集和清洗整理；/nb.所述自动封堵模块对数据采集和清洗整理后的IPS日志数据以及WAF日志数据进行威胁判断；所述威胁判断的步骤为：/nb1)将获取的日志数据中的协议报文进行协议分析；/nb2)基于协议分析结果提取安全相关的事件及时间序列；/nb3)将提取安全相关的事件数据流中的IP地址、MAC地址、终端名称；/nb4)自动遍历查找安全列表中所登记的IP地址、MAC地址、终端名称具有威胁等级标记，并将具有威胁等级标记超过阈值的事件数据流对应的时间序列所涉及的IPS及WAF日志数据进行标记作为威胁事件；/nb5)将威胁事件发送给互联网边界封堵设备；/n所述互联网边界封堵设备接收所述威胁事件并将威胁事件中相关的IP地址、MAC地址、终端名称记录到威胁列表中，并对所述威胁事件的IP地址、MAC地址、终端名称全部进行封堵。/n...

【技术特征摘要】
1.一种基于动态联防的互联网威胁监测防御方法，包括如下内容：
在现有安全监测平台中加入动态防御模块，所述动态防御模块包括自动封堵模块和人工封堵模块；
所述自动封堵模块通过应用层接口与互联网边界封堵设备相连实现数据传输；
其中，所述自动封堵模块被配置为对功能层处理的各项功能事件进行实时监测，并将监测结果中达到设定威胁等级的事件发送给互联网边界封堵设备；
所述实时监测的具体步骤为：
a.所述功能层将所需处理的各项功能事件发送给数据采集模块进行数据采集和清洗整理；
b.所述自动封堵模块对数据采集和清洗整理后的IPS日志数据以及WAF日志数据进行威胁判断；所述威胁判断的步骤为：
b1)将获取的日志数据中的协议报文进行协议分析；
b2)基于协议分析结果提取安全相关的事件及时间序列；
b3)将提取安全相关的事件数据流中的IP地址、MAC地址、终端名称；
b4)自动遍历查找安全列表中所登记的IP地址、MAC地址、终端名称具有威胁等级标记，并将具有威胁等级标记超过阈值的事件数据流对应的时间序列所涉及的IPS及WAF日志数据进行标记作为威胁事件；
b5)将威胁事件发送给互联网边界封堵设备；
所述互联网边界封堵设备接收所述威胁事件并将威胁事件中相关的IP地址、MAC地址、终端名称记录到威胁列表中，并对所述威胁事件的IP地址、MAC地址、终端名称全部进行封堵。


2.根据权利要求1所述的一种基于动态联防的互联网威胁监测防御方法，其特征在于：所述人工封堵模块由人工增加配置以及手动更新安全列表进行人工干预封堵威胁事件。


3.根据权利要求1所述的一种基于动态联防的互联网威胁监测防御方法，其特征在于：所述安全列表由人工预先配置并在威胁监测防御过程中不断进行大数据技术统计增加新的威胁事件的IP地址、MAC地址、终端名称。


4.根据权利要求1所述...

【专利技术属性】
技术研发人员：黄巨涛，陈守明，梁运德，高尚，温柏坚，王甜，黄敬志，陈敏，王飞鸣，刘冯政，卢妍倩，
申请(专利权)人：广东电网有限责任公司信息中心，
类型：发明
国别省市：广东;44