一种适用于电力网络的网络攻击还原系统及方法技术方案

本发明专利技术实施例公开了一种适用于电力网络的网络攻击还原系统，包括：控制终端、主服务器、安全防火墙，所述安全防火墙用于利用协议过滤接口过滤所述控制指令，所述检测终端用于接收无法通过协议过滤接口的控制命令，并对接收到的控制指令进行网络攻击还原，以实现对控制指令进行检测，以确定是否为网络攻击内容，并在确定为网络攻击内容时，将所述攻击内容的信息发送至安全防火墙，以使得所述安全防火墙根据所述攻击内容信息增加新的检测规则。本发明专利技术还公开了相应的方法。实施本发明专利技术实施例，可以有效避免服务器收到网络攻击，增强了电力网络的安全性。

【技术实现步骤摘要】
一种适用于电力网络的网络攻击还原系统及方法
本专利技术涉及网络安全
，尤其涉及一种适用于电力网络的网络攻击还原系统及方法。
技术介绍
在信息技术高速发展的今天，网络技术不断地应用到各种电力控制系统中，同时提高了国家电力系统的整体效率，特别是供电单位通过远程控制，减少操作人员，提高了工作效率，增加了效益。随着电力系统对网络应用需求的不断增加，与此同时，也对我国电力系统的安全防护方面提出了更高的要求。电力内部管理网络在电力系统产电供电和服务方面发挥了重要作用，同时，也为电网调度控制系统的安全保驾护航，确保电力系统能安稳地运行。电力内部管理网络安全漏洞容易受到黑客的攻击，造成电力系统事故。为了减少网络攻击造成的损失，越来越多的安全分析场景需要对全网环境中遭受的攻击进行快速准确还原,以尽快确定网络攻击的类型和对应的漏洞，进而尽快弥补漏洞和制定新的拦截规则。在实现本专利技术的过程中，专利技术人发现如下技术问题：电力内部管理网络通常作为局域专网，避免直接暴露在互联网下。目前现有的网络攻击还原技术重点在于还原直接漏洞攻击，以查找攻击路径和攻击对应的端口，特别是隐藏后的攻击主机和攻击代码。而在内网中，直接漏洞攻击的可能性较少，并不适用于电力网络，特别是内部电力管理控制网络。
技术实现思路
本专利技术所要解决的技术问题在于，提供一种适用于电力网络的网络攻击还原系统及方法，以解决现有技术中网络攻击还原技术对电力网络适用性差的技术问题。为解决上述技术问题，本专利技术的一方面，提供了一种适用于电力网络的网络攻击还原系统，包括主服务器、多个控制终端，以及连接在所述控制终端与主服务器之间的安全防火墙，安全防火墙连接有检测终端，其中：控制终端，用于向主服务器发送调整指令；主服务器，用于根据所述调整指令，对电力网络进行运行控制，所述控制终端与所述主服务器在同一局域网内通过网络连接；安全防火墙，用于利用协议过滤接口过滤所述控制指令，并将过滤后合格的控制指令发送至主服务器；检测终端，用于接收无法通过协议过滤接口的控制命令，并对接收到的控制指令进行网络攻击还原，以实现对控制指令进行检测，以确定是否为网络攻击内容，并在确定为网络攻击内容时，将所述攻击内容的信息发送至安全防火墙，以使得所述安全防火墙根据所述攻击内容信息增加新的检测规则。其中，所述检测终端，包括：检测虚拟机，所述检测虚拟机用于对可能包括网络攻击内容进行检测。其中，所述检测虚拟机包括：进程监测模块，用于监测新创建进程，所述进程监测模块预先向系统提供其所对应的进程在进程树的位置以实现对进程监测模块对应的进程的验证，在通过验证后，向系统提供所述所对应的进程的指针；进程判断模块，用于根据所述新创建进程判断是否包括网络攻击内容。其中，所述进程判断模块进一步用于：计算进程释放文件的MD5码，根据所述MD5码确定是否为网络攻击内容。其中，所述检测虚拟机包括：文件监控模块，用于利用日志监控新生成文件；判断模块，用于在所述新生成文件为可执行文件或批处理文件时，判断为网络攻击内容。其中，所述判断模块进一步用于：将所述可执行文件或批处理文件替换为正常文件，重新执行新生成文件的进程，根据重新生成的文件是否为替换的正常文件判断是否为网络攻击内容。作为本专利技术的另一方面，还提供了一种适用于用于电力网络的网络攻击还原方法，包括：利用安全防火墙检测控制终端单次向主服务器发送的信息包的数量；在所述信息包的数量与所述预设的信息包规则不一致时，将所述信息包转发至检测终端；所述检测终端对所述信息包的内容进行还原检测，在所述内容包括网络攻击内容时，将所述网络攻击内容作为攻击标志发送至安全防火墙；安全防火墙根据所述攻击标志确定数据包的数量，根据所述数量增加新的检测规则。其中，所述检测终端对所述信息包的内容进行还原检测，包括：在检测终端生成检测虚拟机，在检测虚拟机中启动进程监控；检测新创建进程；根据所述新创建进程判断是否存在网络攻击内容。其中，所述检测终端对所述信息包的内容进行还原检测，包括：在检测终端生成检测虚拟机，利用所述检测虚拟机日志监控新生成文件；在所述新生成文件为可执行文件或者批处理文件时，判断所述文件为网络攻击内容。其中，所述方法还包括：所述检测虚拟机将所述可执行文件或批处理文件替换为正常文件，重新执行新生成文件的进程，根据重新生成的文件是否为替换的正常文件判断是否为网络攻击内容。实施本专利技术实施例，还具有如下有的有益效果：本专利技术实施例提供的适用于电力网络的网络攻击还原系统及方法，通过设置安全防火墙，可以利用已有规则对常见的攻击类型进行拦截，并且可以在控制终端与主服务器流量异常时，将信息包进行暂时拦截，通过检测终端进行网络攻击还原检测，在确定为网络攻击时，将内容作为攻击标识发送至安全防火墙，以使得所述安全防火墙根据所述标识增加新的检测规则。在确定为正常信息时，通过安全防火墙重新进行发送，使得服务器可以根据控制终端的指令进行正常工作。可以有效避免服务器收到网络攻击，增强了电力网络的安全性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，根据这些附图获得其他的附图仍属于本专利技术的范畴。图1是本专利技术提供的一种适用于电力网络的网络攻击还原系统的结构示意图；图2为图1中检测终端中的检测虚拟机的一个实施例的结构示意图；图3为图1中检测终端中的检测虚拟机的另一个实施例的结构示意图；图4是本专利技术提供一种适用于电力网络的网络攻击还原方法的主流程示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚，下面将结合附图对本专利技术作进一步地详细描述。图1是本专利技术实施例一提供的适用于电力网络的网络攻击还原系统的结构示意图。一并结合图2和图3所示，在本实施例中，所述适用于电力网络的网络攻击还原系统，包括多个控制终端1、主服务器2，连接在所述控制终端1与主服务器2之间的安全防火墙3，且安全防火墙3连接有检测终端4。其中：控制终端1，用于向主服务器发送调整指令，用于查看电力网络当前运行状态参数以及对运行状态进行调整，以及对设备运行环境设备参数进行调整。例如：电压和频率查看指令，负载开关指令以及对变压站的空调风机功率调整指令等。主服务器2，用于根据所述调整指令，对电力网络进行运行控制，所述控制终端与所述主服务器在同一局域网内通过网络连接；安全防火墙3，用于对所述控制指令进行检测，以初步判断所述控制指令中是否包括网络攻击内容；检测终端4，用于对可能包括网络攻击内容进行检测，以确定是否为网络攻击内容，并进行网络攻击还原，本文档来自技高网...

【技术保护点】
1.一种适用于电力网络的网络攻击还原系统，其特征在于，包括主服务器、多个控制终端，以及连接在所述控制终端与主服务器之间的安全防火墙，安全防火墙连接有检测终端，其中：/n控制终端，用于向主服务器发送调整指令；/n主服务器，用于根据所述调整指令，对电力网络进行运行控制，所述控制终端与所述主服务器在同一局域网内通过网络连接；/n安全防火墙，用于利用协议过滤接口过滤所述控制指令，并将过滤后合格的控制指令发送至主服务器；/n检测终端，用于接收无法通过协议过滤接口的控制命令，并对接收到的控制指令进行网络攻击还原，以实现对控制指令进行检测，以确定是否为网络攻击内容，并在确定为网络攻击内容时，将所述攻击内容的信息发送至安全防火墙，以使得所述安全防火墙根据所述攻击内容信息增加新的检测规则。/n

【技术特征摘要】
1.一种适用于电力网络的网络攻击还原系统，其特征在于，包括主服务器、多个控制终端，以及连接在所述控制终端与主服务器之间的安全防火墙，安全防火墙连接有检测终端，其中：
控制终端，用于向主服务器发送调整指令；
主服务器，用于根据所述调整指令，对电力网络进行运行控制，所述控制终端与所述主服务器在同一局域网内通过网络连接；
安全防火墙，用于利用协议过滤接口过滤所述控制指令，并将过滤后合格的控制指令发送至主服务器；
检测终端，用于接收无法通过协议过滤接口的控制命令，并对接收到的控制指令进行网络攻击还原，以实现对控制指令进行检测，以确定是否为网络攻击内容，并在确定为网络攻击内容时，将所述攻击内容的信息发送至安全防火墙，以使得所述安全防火墙根据所述攻击内容信息增加新的检测规则。


2.根据权利要求1所述的适用于电力网络的网络攻击还原系统，其特征在于，所述检测终端，包括：
检测虚拟机，所述检测虚拟机用于对可能包括网络攻击内容进行检测。


3.根据权利要求1或2所述的适用于电力网络的网络攻击还原系统，其特征在于，所述检测虚拟机包括：
进程监测模块，用于监测新创建进程，所述进程监测模块预先向系统提供其所对应的进程在进程树的位置以实现对进程监测模块对应的进程的验证，在通过验证后，向系统提供所述所对应的进程的指针；
进程判断模块，用于根据所述新创建进程判断是否包括网络攻击内容。


4.根据权利要求3所述的适用于电力网络的网络攻击还原系统，其特征在于，所述进程判断模块进一步用于：
计算进程释放文件的MD5码，根据所述MD5码确定是否为网络攻击内容。


5.根据权利要求1或2所述的适用于电力网络的网络攻击还原系统，其特征在于，所述检测虚拟机包括：
文件监控模块，用于利用日志监控新生成文件；

【专利技术属性】
技术研发人员：丘惠军，陈昊，连耿雄，孙强强，
申请(专利权)人：深圳供电局有限公司，
类型：发明
国别省市：广东;44