本申请涉及一种针对电网厂站主机的安全防御方法、装置、计算机设备、存储介质和计算机程序产品。本申请能够实现电力网络中边缘节点(即厂站主机)层面的安全防御,进一步提升电力网络的安全性。该方法包括:采集输入输出日志;针对输入输出日志进行静态网络安全特征识别,得到静态特征识别结果;针对输入输出日志进行动态行为分析,得到动态行为分析结果;将静态特征识别结果和动态行为分析结果发送至主站系统。系统。系统。
【技术实现步骤摘要】
针对电网厂站主机的安全防御方法、装置、设备和介质
[0001]本申请涉及网络安全
,特别是涉及一种针对电网厂站主机的安全防御方法、装置、计算机设备、存储介质和计算机程序产品。
技术介绍
[0002]随着信息技术的发展,网络安全也日益受到重视。在电力网络中,如果电力网络受到黑客的攻击,可能会导致一整个区域的电网崩溃,造成巨大的经济损失。
[0003]工控网络就是工业控制系统中的网络部分,是一种把工厂中各个生产流程和自动化控制系统通过各种通信设备组织起来的通信网络。对于电网来说,电网中的通信网络即为工控网络,电网工控网路中还包括多个厂站系统,厂站系统,顾名思义,是指包括发电厂和变电站在内的自动化系统。一个电网工控网络中包含多个厂站系统。厂站系统由多个主机节点构成。现有的工控网络(工业控制网络)安全体系架构中,重点在于工控通信的整体网络布放。
[0004]到厂站系统的主机节点布放层面,网络安全防御仅限于通信链路数据采集及通信流量分析,对厂站系统主机的安全监测、安全防御存在薄弱点。由于对电网工控系统的渗透往往从整个网络体系架构的边缘节点开始(即厂站系统主机节点),因此边缘节点的安全防患依然比较薄弱,导致整个电网不够安全。
技术实现思路
[0005]基于此,有必要针对上述技术问题,提供一种针对电网厂站主机的安全防御方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
[0006]第一方面,本申请提供了一种针对电网厂站主机的安全防御方法。所述方法包括:
[0007]采集输入输出日志;
[0008]针对所述输入输出日志进行静态网络安全特征识别,得到静态特征识别结果;
[0009]针对所述输入输出日志进行动态行为分析,得到动态行为分析结果;
[0010]将所述静态特征识别结果和所述动态行为分析结果发送至主站系统。
[0011]在其中一个实施例中,所述输入输出日志包括USB拔插操作记录、操作系统登录日志、网口拔插操作记录、预设关键文件变更操作记录和文件信息采集记录。
[0012]在其中一个实施例中,所述操作系统登录日志包括操作系统安全审计配置信息、安全选项配置信息、防火墙状态信息和服务配置信息;所述静态网络安全特征识别结果包括基线核查结果;所述针对所述输入输出日志进行静态网络安全特征识别,得到静态特征识别结果,包括:
[0013]分别针对所述操作系统安全审计配置信息、所述安全选项配置信息、所述防火墙状态信息和所述服务配置信息进行基线核查,得到所述基线核查结果。
[0014]在其中一个实施例中,所述静态网络安全特征识别结果包括静态病毒扫描结果;所述针对所述输入输出日志进行静态网络安全特征识别,得到静态特征识别结果,还包括:
[0015]针对所述预设关键文件变更操作记录和所述文件信息采集记录,分别进行静态病毒扫描,得到所述静态病毒扫描结果。
[0016]在其中一个实施例中,所述动态行为分析结果包括权限变更识别结果;所述针对所述输入输出日志进行动态行为分析,得到动态行为分析结果,包括:
[0017]针对所述操作系统登录日志进行基线核查,得到所述权限变更识别结果。
[0018]在其中一个实施例中,所述方法还包括:
[0019]若所述静态特征识别结果或所述动态行为分析结果中包含病毒特征,则将相应的源文件进行可疑文件隔离。
[0020]第二方面,本申请还提供了一种针对电网厂站主机的安全防御装置。所述装置包括:
[0021]日志采集模块,用于采集输入输出日志;
[0022]静态特征识别模块,用于针对所述输入输出日志进行静态网络安全特征识别,得到静态特征识别结果;
[0023]动态行为分析模块,用于针对所述输入输出日志进行动态行为分析,得到动态行为分析结果;
[0024]结果发送模块,用于将所述静态特征识别结果和所述动态行为分析结果发送至主站系统。
[0025]第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述针对电网厂站主机的安全防御方法实施例中的各步骤。
[0026]第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以上述针对电网厂站主机的安全防御方法实施例中的各步骤。
[0027]第五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述针对电网厂站主机的安全防御方法实施例中的各步骤。
[0028]上述针对电网厂站主机的安全防御方法、装置、计算机设备、存储介质和计算机程序产品,通过采集输入输出日志;针对输入输出日志进行静态网络安全特征识别,得到静态特征识别结果;针对输入输出日志进行动态行为分析,得到动态行为分析结果;将静态特征识别结果和动态行为分析结果发送至主站系统。本申请能够实现电力网络中边缘节点(即厂站主机)层面的安全防御,进一步提升电力网络的安全性。
附图说明
[0029]图1为一个实施例中针对电网厂站主机的安全防御方法的应用环境图;
[0030]图2为一个实施例中针对电网厂站主机的安全防御方法的流程示意图;
[0031]图3为一个实施例中厂站主机安全配套工具的功能模块示意图;
[0032]图4为一个实施例中主站系统安全监控的功能模块示意图;
[0033]图5为一个实施例中态势感知系统与沙箱联动的流程示意图;
[0034]图6为一个实施例中主站网络安全系统的系统架构图;
[0035]图7为一个实施例中针对电网厂站主机的安全防御装置的结构框图;
[0036]图8为一个实施例中计算机设备的内部结构图;
[0037]图9为另一个实施例中计算机设备的内部结构图。
具体实施方式
[0038]为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
[0039]本申请实施例提供的针对电网厂站主机的安全防御方法,可以应用于如图1所示的应用环境中。其中,厂站系统是指一个厂站网络,该厂站系统中包括多个厂站主机节点101;厂站系统可与主站(或称为主站系统)102进行通信;主机节点101包括变电站业务主机;主站102可用于统一管理各个主机节点101。主站102可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
[0040]在一个实施例中,如图2所示,提供了一种针对电网厂站主机的安全防御方法,以该方法应用于图1中的主机节点101为例进行说明,包括以下步骤:
[0041]步骤S201,采集输入输出日志;
[0042]其中,输入输出日志是指各个厂站主机节点上的I/O输入输出信息日志。
[0043]具体地本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种针对电网厂站主机的安全防御方法,其特征在于,应用于厂站主机,所述方法包括:采集输入输出日志;针对所述输入输出日志进行静态网络安全特征识别,得到静态特征识别结果;针对所述输入输出日志进行动态行为分析,得到动态行为分析结果;将所述静态特征识别结果和所述动态行为分析结果发送至主站系统。2.根据权利要求1所述的方法,其特征在于,所述输入输出日志包括USB拔插操作记录、操作系统登录日志、网口拔插操作记录、预设关键文件变更操作记录和文件信息采集记录。3.根据权利要求2所述的方法,其特征在于,所述操作系统登录日志包括操作系统安全审计配置信息、安全选项配置信息、防火墙状态信息和服务配置信息;所述静态网络安全特征识别结果包括基线核查结果;所述针对所述输入输出日志进行静态网络安全特征识别,得到静态特征识别结果,包括:分别针对所述操作系统安全审计配置信息、所述安全选项配置信息、所述防火墙状态信息和所述服务配置信息进行基线核查,得到所述基线核查结果。4.根据权利要求2所述的方法,其特征在于,所述静态网络安全特征识别结果包括静态病毒扫描结果;所述针对所述输入输出日志进行静态网络安全特征识别,得到静态特征识别结果,还包括:针对所述预设关键文件变更操作记录和所述文件信息采集记录,分别进行静态病毒扫描,得到所述静态病毒扫描结果。5.根据权利要求2...
【专利技术属性】
技术研发人员:陈善锋,姜渭鹏,胡朝辉,陈海光,彭伯庄,罗强,胡钊,杨逸岳,
申请(专利权)人:南方电网数字电网研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。