CN109587124A - 电力网络的处理方法、装置和*** - Google Patents
电力网络的处理方法、装置和*** Download PDFInfo
- Publication number
- CN109587124A CN109587124A CN201811393591.8A CN201811393591A CN109587124A CN 109587124 A CN109587124 A CN 109587124A CN 201811393591 A CN201811393591 A CN 201811393591A CN 109587124 A CN109587124 A CN 109587124A
- Authority
- CN
- China
- Prior art keywords
- electric power
- power networks
- prevention policies
- data
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种电力网络的处理方法、装置和***。其中,该方法包括:获取电力网络中安全设备的防护策略;对防护策略进行分析,得到分析结果,其中,分析结果用于表征防护策略是否有效;在分析结果为防护策略无效的情况下,对防护策略进行处理,其中,处理包括如下一种或多种:删除、合并。本发明解决了现有技术的电力网络中安全设备无法满足安全防护要求的技术问题。
Description
技术领域
本发明涉及电力***领域,具体而言,涉及一种电力网络的处理方法、装置和***。
背景技术
目前国网青海省电力公司信息通信公司现有的网络安全防御体系综合采用防火墙、入侵检测、主机监控、身份认证、防病毒等多种手段构筑堡垒式的刚性防御体系,阻挡或隔绝外界入侵,如图1所示,由防火墙、入侵检测、入侵防御、信息网络边界安全检测探针、内外网防病毒、内外网统一漏洞补丁管理***、内外网桌面终端管理***、***漏洞扫描设备、未知威胁感应设备、流量控制及溯源等***组成。
省公司针对数据中心、营销、ERP等边界数据传输安全,在各应用区域边界均部署有安全域边界防火墙,在安全域边界防火墙上设置基于五元组的安全防护策略实现对数据中心、营销、交易等***端口级的安全访问控制。在各安全域旁路部署IDS/IPS安全设备,采用基于特征库匹配的方式对省公司网络中的异常流量、木马、蠕虫、SQL注入、XSS等已知威胁进行有效检测与呈现。并通过IPS对SQL注入、XSS等应用层攻击行为进行精确阻断,保障业务***应用级安全。
在骨干网络上部署有防火墙、入侵防御等安全产品,采用防火墙安全策略和IPS特征库保障青海公司纵向骨干网络安全。
地市通过部署入侵检测、防火墙等安全设备,采用源地址+目的地址+端口的方式实现访问控制,降低未知风险和威胁。
但是,这种静态分层的深度防御体系基于先验知识,在面对已知攻击时,具有反应迅速、防护有效的优点,但在对抗未知攻击对手时,则无法进行有效感知、告警与定位,且存在自身易被攻击的危险。在这种防御体系中,由于基本的安全防护设施通常采用固定部署模式,相关的协议、服务、应用和运行参数等也普遍缺少变化部署,使得攻击者可以进行长期分析,查找并利用***漏洞,攻击得手后即可持续长期控守,持续危害***安全,而且单个攻击手段一旦对局部生效,很容易扩散开来,对全网造成大面积影响。
针对现有技术的电力网络中安全设备无法满足安全防护要求的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种电力网络的处理方法、装置和***,以至少解决现有技术的电力网络中安全设备无法满足安全防护要求的技术问题。
根据本发明实施例的一个方面,提供了一种电力网络的处理方法,包括:获取电力网络中安全设备的防护策略;对防护策略进行分析,得到分析结果,其中,分析结果用于表征防护策略是否有效;在分析结果为防护策略无效的情况下,对防护策略进行处理,其中,处理包括如下一种或多种:删除、合并。
进一步地,对防护策略进行分析,得到分析结果包括:对防护策略的逻辑进行分析,判断防护策略中是否存在预设策略,其中,预设策略包括如下一种或多种:交叉策略、冗余策略、冲突策略和合并策略;获取电力网络的数据流量,并判断防护策略与数据流量的第一匹配度是否大于等于第一预设阈值,其中,数据流量包括:业务流量和管理流量;获取预设防护名单,并判断防护策略与预设防护名单的第二匹配度是否大于等于第二预设阈值,其中,预设防护名单包括:黑名单和白名单;在防护策略中不存在预设策略,第一匹配度大于等于第一预设阈值,且第二匹配度大于等于第二预设阈值的情况下,确定分析结果为防护策略有效;在防护策略中存在预设策略,第一匹配度小于第一预设阈值,或第二匹配度小于第二预设阈值的情况下,确定分析结果为防护策略无效。
进一步地,在对防护策略进行处理之后,上述方法还包括:获取电力网络的数据流量,安全设备的第一设备信息,其中,第一设备信息包括:安全设备的操作***信息和开放的端口信息;基于数据流量和设备信息,得到安全设备之间的关联关系;显示关联关系。
进一步地,基于数据流量和设备信息,得到安全设备之间的关联关系包括:基于数据流量和设备信息,得到电力网络的五元组数据;基于五元组数据,得到关联关系。
进一步地,显示关联关系包括:显示关联关系的互联信息,其中,互联信息包括:关联关系的起始时间和结束时间、网络地址、开放的端口、归属地、安全设备的属性信息和协议数据。
进一步地,在获取电力网络的数据流量之后,上述方法还包括:获取数据流量的特征;基于数据流量的特征,得到电力网络的网络资产;对网络资产进行合法性校验,得到校验结果。
进一步地,在基于数据流量的特征,得到电力网络的网络资产之后,上述方法还包括:判断网络资产是否为预设资产,其中,预设资产为电力网络中的资产产生的;在确定网络资产是预设资产之后,确定网络资产对应的网络地址为存活的网络资产。
进一步地,在对防护策略进行处理之后,上述方法还包括:获取电力网络中的网络报文;基于网络报文,对电力网络进行攻击检测,得到第一检测结果,其中,第一检测结果用于表征电力网络中是否存在攻击,攻击包括如下一种或多种:选项攻击、扫描攻击、圣诞树攻击和拒绝服务攻击。
进一步地,在第一检测结果为电力网络中存在攻击的情况下,上述方法还包括:通过网络地址定位,得到存在攻击的安全设备的网络地址;显示存在攻击的安全设备的网络地址。
进一步地,在对防护策略进行处理之后,上述方法还包括:获取电力网络的业务连接;对业务连接进行分析,得到第二检测结果,其中,第二检测结果用于表征电力网络中是否存在木马行为。
进一步地,对业务连接进行分析,得到第二检测结果包括如下一种或多种:判断业务连接中是否存在反向连接,其中,如果业务连接中存在反向连接,则确定第二检测结果为电力网络中存在木马行为,如果业务连接中不存在反向连接,则确定第二检测结果为电力网络中不存在木马行为;判断业务连接的上行流量与下行流量的流量比是否满足预设特征,其中,如果流量比不满足预设特征,则确定第二检测结果为电力网络中存在木马行为,如果流量比满足预设特征,则确定第二检测结果为电力网络中不存在木马行为;判断业务连接中是否存在心跳数据报文,其中,如果业务连接中存在心跳数据报文,则确定第二检测结果为电力网络中存在木马行为,如果业务连接中不存在心跳数据报文,则确定第二检测结果为电力网络中不存在木马行为;判断业务连接对应的业务报文是否能够解析,是否存在加密行为,或是否存在非法值,其中,如果业务报文无法解析,存在加密行为,或存在非法值,则确定第二检测结果为电力网络中存在木马行为,如果业务报文能够解析,不存在加密行为,且不存在非法值,则确定第二检测结果为电力网络中不存在木马行为。
根据本发明实施例的另一方面,还提供了一种电力网络的处理装置,包括:获取模块,用于获取电力网络中安全设备的防护策略;分析模块,用于对防护策略进行分析,得到分析结果,其中,分析结果用于表征防护策略是否有效;处理模块,用于在分析结果为防护策略无效的情况下,对防护策略进行处理,其中,处理包括如下一种或多种:删除、合并。
根据本发明实施例的另一方面,还提供了一种电力网络的处理***,包括:电力网络,包括:安全设备;监控设备,与电力网络连接,用于获取安全设备的防护策略,对防护策略进行分析,得到分析结果,在分析结果为防护策略无效的情况下,对防护策略进行处理,其中,分析结果用于表征防护策略是否有效,处理包括如下一种或多种:删除、合并。
进一步地,监控设备包括:第一监控设备,部署在电力网络中的省公司;第二监控设备,部署在电力网络中的省公司数据中心、管理***和营销***前端;第三监控设备,部署在地市级接入网的核心交换机上。
根据本发明实施例的另一方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述的电力网络的处理方法。
根据本发明实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述的电力网络的处理方法。
在本发明实施例中,可以在获取到电力网络中安全设备的防护策略之后,对防护策略进行分析,得到分析结果,并在在分析结果为防护策略无效的情况下,对防护策略进行删除、合并等处理,从而实现对防火墙策略进行验证与梳理,指出问题策略的问题所在之处,并能够给出清晰合理的优化建议,达到了推动防火墙策略的优化,以确保安全设备的性能和防护效果满足各单位的基本需要的技术效果,进而解决了现有技术的电力网络中安全设备无法满足安全防护要求的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据现有技术的一种电力网络的示意图;
图2是根据本发明实施例的一种电力网络的处理方法的流程图;
图3是根据本发明实施例的一种电力网络的处理装置的示意图;
图4是根据本发明实施例的一种电力网络的处理***的示意图;
图5是根据本发明实施例的一种可选的省公司的处理***的示意图;以及
图6是根据本发明实施例的一种可选的地市公司的处理***的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
根据本发明实施例,提供了一种电力网络的处理方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图2是根据本发明实施例的一种电力网络的处理方法的流程图,如图2所示,该方法包括如下步骤:
步骤S202,获取电力网络中安全设备的防护策略。
具体地,上述的安全设备可以是电力网络中的安全域设备,例如可以是防火墙,上述的防护策略可以是防火墙策略。防火墙策略是否合理有效,关系到防火墙的自身性能是否能够全面的发挥,更关系到电力信息内网是否达到预期的访问控制效果。
步骤S204,对防护策略进行分析,得到分析结果,其中,分析结果用于表征防护策略是否有效。
需要说明的是,由于防火墙管理员无法对电力信息内部网络情况进行全面的掌握,也就无法制定出高效的访问控制策略,随着时间的推移,防火墙的效率会越来越低。有些过期、冗余需要清理的策略,管理员却不敢清理,担心影响访问控制;对于可以合并的策略问题,会导致防火墙性能下降。将原有老旧安全技术装备的防护策略及配置“迁移”至新产品时面临最大不能确认原有老旧技术装备的安全防护策略是否生效、是否存在冗余、宽松、重复等问题。
在一种可选的方案中,可以通过安全域流监控***对防火墙策略进行审计分析,以及时发现防火墙策略中存在的交叉策略、冗余策略、冲突策略和可合并策略等问题,当确定防火墙策略中存在上述问题时,可以确定防火墙策略无效。
步骤S206,在分析结果为防护策略无效的情况下,对防护策略进行处理,其中,处理包括如下一种或多种:删除、合并。
在一种可选的方案中,在对防火墙策略进行分析,确定防火墙策略无效之后,如果确定防火墙策略中存在时间过期、冗余需要清理的策略,则可以对相关策略进行清理删除;如果确定防火墙策略中存在可以合并的策略问题,则可以对相关策略进行合并。
采用本发明上述实施例,可以在获取到电力网络中安全设备的防护策略之后,对防护策略进行分析,得到分析结果,并在在分析结果为防护策略无效的情况下,对防护策略进行删除、合并等处理,从而实现对防火墙策略进行验证与梳理,指出问题策略的问题所在之处,并能够给出清晰合理的优化建议,达到了推动防火墙策略的优化,以确保安全设备的性能和防护效果满足各单位的基本需要的技术效果,进而解决了现有技术的电力网络中安全设备无法满足安全防护要求的技术问题。
可选地,在本发明上述实施例中,步骤S204,对防护策略进行分析,得到分析结果包括:
步骤S2040,对防护策略的逻辑进行分析,判断防护策略中是否存在预设策略,其中,预设策略包括如下一种或多种:交叉策略、冗余策略、冲突策略和合并策略。
在一种可选的方案中,可以对防火墙策略进行基础分析,也即,对防火墙策略自身逻辑进行审计分析,发现防火墙策略中存在交叉策略、冗余策略、冲突策略和可合并策略等问题。
步骤S2042,获取电力网络的数据流量,并判断防护策略与数据流量的第一匹配度是否大于等于第一预设阈值,其中,数据流量包括:业务流量和管理流量。
需要说明的是,在电力信息网络实际环境中经常会遇到需要配置包含时间范围的策略,时间过期但是策略却没有及时清理;另外一种情况还是由于防火墙管理员缺乏对电力信息网络的整体把握,对访问控制规则的不确定,配置了包含任何或者范围很大的策略。
具体地,上述的数据流量可以是电力业务网中的数据流量,上述的第一预设阈值可以是预先设置的用于表征防护策略与数据流量匹配成功的匹配度。
在一种可选的方案中,通过将防火墙策略与真实的数据流量进行匹配关联,可以实现发现防火墙策略中存在的深层问题,达到优化防火墙的目的。
步骤S2044,获取预设防护名单,并判断防护策略与预设防护名单的第二匹配度是否大于等于第二预设阈值,其中,预设防护名单包括:黑名单和白名单。
具体地,上述的预设防护名单可以黑名单和白名单,上述的第二预设阈值可以是预先设置的用于表征防护策略与黑白名单匹配成功的匹配度。
在一种可选的方案中,可以根据黑白名单的确定,达到细化防火墙策略的目的,哪些是该放行的流量,哪些是该阻断的流量,通过一段时间的互联数据,可以整理得到黑白名单,并将整理出来的黑白名单与防火墙策略进行匹配关联分析,从而实现对防火墙策略进行进一步的细化。
步骤S2046,在防护策略中不存在预设策略,第一匹配度大于等于第一预设阈值,且第二匹配度大于等于第二预设阈值的情况下,确定分析结果为防护策略有效。
在一种可选的方案中,如果确定防火墙策略中不存在交叉策略、冗余策略、冲突策略和可合并策略等问题,防火墙策略与数据流量匹配成功(也即,防护策略与数据流量的第一匹配度大于等于第一预设阈值),且防火墙策略与黑白名单匹配成功(也即,防护策略与黑白名单的第二匹配度大于等于第二预设阈值),则可以确定防火墙策略合理有效。
步骤S2048,在防护策略中存在预设策略,第一匹配度小于第一预设阈值,或第二匹配度小于第二预设阈值的情况下,确定分析结果为防护策略无效。
在一种可选的方案中,如果确定防火墙策略中存在交叉策略、冗余策略、冲突策略和可合并策略等问题,防火墙策略与数据流量匹配失败(也即,防护策略与数据流量的第一匹配度小于第一预设阈值),或防火墙策略与黑白名单匹配失败(也即,防护策略与黑白名单的第二匹配度小于第二预设阈值),则可以确定防火墙策略无效,需要进行优化。
通过上述方案,不仅可以采用防火墙策略的静态分析(分析防火墙策略之间的静态关系)技术,还可以基于真实防火墙流量的策略动态分析技术,使得宽泛策略的检测、隐蔽流量的检测更准确。
可选地,在本发明上述实施例中,在步骤S206,对防护策略进行处理之后,该方法还包括:
步骤S208,获取电力网络的数据流量,安全设备的第一设备信息,其中,第一设备信息包括:安全设备的操作***信息和开放的端口信息。
具体地,上述的数据流量可以是通过嗅探方式获取到的国网青海信通公司信息内网流量。上述的第一设备信息可以是主机的操作***信息、端口开放信息。
步骤S210,基于数据流量和设备信息,得到安全设备之间的关联关系。
步骤S212,显示关联关系。
在一种可选的方案中,可以通过安全域流监控***对电力内网安全域中各个安全域之间及安全域内的数据流量的采集,获取业务内网主机信息后,可以梳理出安全域设备间的互联关系,并展现互联关系。
通过上述方案,省公司及各地市分公司安全态势可视化可在发生未知威胁攻击第一时间内对攻击源的定位与发现,并将攻击轨迹形成可视化地图展示,为决策者做出正确的指挥工作提供重要依据。实时对违规外联、非法资产等事件进行预警,打造一张可运营可管理可见的安全网络环境。
可选地,在本发明上述实施例中,步骤S210,基于数据流量和设备信息,得到安全设备之间的关联关系包括:
步骤S2102,基于数据流量和设备信息,得到电力网络的五元组数据。
具体地,上述的五元组数据可以包括:源IP、目的IP、源端口、目的端口、协议等。
步骤S2104,基于五元组数据,得到关联关系。
在一种可选的方案中,可以通过安全域流监控***对电力内网安全域中各个安全域之间及安全域内的数据流量的采集,获取业务内网主机信息后,可以进一步通过网络安全的五元组数据梳理出安全域设备间的互联关系。
可选地,在本发明上述实施例中,步骤S212,显示关联关系包括:
步骤S2122,显示关联关系的互联信息,其中,互联信息包括:关联关系的起始时间和结束时间、网络地址、开放的端口、归属地、安全设备的属性信息和协议数据。
具体地,上述的网络地址可以是IP地址,上述的归属地可以是IP归属地,上述的属性信息可以是IP对应设备的属性信息,上述的协议数据可以是应用层协议内容。
在一种可选的方案中,在通过安全域流监控***梳理出安全域设备间的互联关系之后,可以展现互联关系的互联的起止时间、IP、端口、IP归属地、IP对应设备的属性信息、应用层协议内容等详细信息。
通过上述方案,安全域流监控***不但可以记录互联的数据详细信息,而且可及时发现国网青海信通公司网络中的违规外联、可疑数据量等,并进行可视化展示。
可选地,在本发明上述实施例中,在步骤S208,获取电力网络的数据流量之后,该方法还包括:
步骤S214,获取数据流量的特征。
步骤S216,基于数据流量的特征,得到电力网络的网络资产。
在一种可选的方案中,在通过主动嗅探发方式获取到国网青海信通公司信息内网流量之后,可以分析流量的特征,准确发现电力网络中的资产。
步骤S218,对网络资产进行合法性校验,得到校验结果。
在一种可选的方案中,对于发现的电力内网网络资产,可以通过人工方式审核确认哪些是合法的网络资产,哪些是非法接入的网络资产,支持对资产的在线确认。
通过上述方案,可以实现在对网络无任何干扰的情况下,全面、准确、自动发现网络资产中存活的主机。
可选地,在本发明上述实施例中,在步骤S216,基于数据流量的特征,得到电力网络的网络资产之后,该方法还包括:
步骤S220,判断网络资产是否为预设资产,其中,预设资产为电力网络中的资产产生的。
具体地,上述的预设资产可以是电力内网中真实资产产生的流量。
步骤S222,在确定网络资产是预设资产之后,确定网络资产对应的网络地址为存活的网络资产。
在一种可选的方案中,可以通过分析流量的特征,准确发现哪些流量是电力内网中真实资产产生的,并将对应的IP地址报告为存活的网络资产。
可选地,在本发明上述实施例中,在步骤S206,对防护策略进行处理之后,该方法还包括:
步骤S224,获取电力网络中的网络报文。
具体地,针对国网青海信通公司网络中存在的异常连接检测,安全域流监控***提供四种攻击类型的检测,分别为Tcp(传输控制协议,是Transmission Control Protocol的简称)Option攻击(即上述的选项攻击)、Tcp Scan攻击(即上述的扫描攻击)、Xmas Tree攻击(即上述的圣诞树攻击)以及Land攻击(即上述的拒绝服务攻击)。
进一步地,上述的网络报文可以是TCP报文,上述的第二设备信息包括:主机存活,端口开启,操作***等信息。
步骤S226,基于网络报文,对电力网络进行攻击检测,得到第一检测结果,其中,第一检测结果用于表征电力网络中是否存在攻击,攻击包括如下一种或多种:选项攻击、扫描攻击、圣诞树攻击和拒绝服务攻击。
需要说明的是,针对Tcp Option攻击,攻击者利用TCP报文中选项字段特点,构造异常报文,增加服务器性能消耗,严重可能导致协议处理单元崩溃等情况;对于Tcp Scan攻击,攻击者利用TCP报文中标志位在不同组合情况下,主机返回不同信息的特点,探测主机信息,便于后续攻击;对于Xmas Tree攻击,攻击者将TCP报文标志位字段全部设置为1,处理这些报文会增加路由处理器的资源和IP内部控制通信总线的带宽,达到消耗路由器或服务器资源,抑制正常合法连接的目的;对于Land攻击,攻击者将报文源目的地址都设置为服务器地址,造成服务器与自己建立通信,消耗自身资源,Land攻击下,服务器会运行及其缓慢甚至***崩溃。
在一种可选的方案中,可以通过检测TCP报文中选项字段,检测电力网络中是否存在Tcp Option攻击;通过检测TCP报文中标志位是否表征是否对主机信息进行扫描,检测电力网络中是否存在Tcp Scan攻击;通过检TCP报文中报纸为字段是否全部设置为1,检测电力网络中是否存在Xmas Tree攻击;通过检测TCP报文中源目的地址是否都设置为服务器地址,检测电力网络中是否存在Land攻击。在检测到电力网络中存在任意一种攻击之后,生成电力网络中存在攻击的检测结果。
可选地,在本发明上述实施例中,在第一检测结果为电力网络中存在攻击的情况下,该方法还包括:
步骤S228,通过网络地址定位,得到存在攻击的安全设备的网络地址。
具体地,上述的网络地址定位可以是IP地理定位技术,利用IP定位技术,实现了IP来源定位、名单/策略的IP地址区域配置支持,不但增强了数据的可读性和关联性,更丰富了数据分析的视角。
步骤S230,显示存在攻击的安全设备的网络地址。
在一种可选的方案中,可以通过IP地理定位技术对存在攻击的IP地址进行定位,并进行有效呈现,可以实现国网青海信通公司网络中流量安全态势可视化,及时发现与定位网络中因零日漏洞引起的病毒传播的轨迹和攻击源。
可选地,在本发明上述实施例中,在步骤S206,对防护策略进行处理之后,该方法还包括:
步骤S232,获取电力网络的业务连接。
步骤S234,对业务连接进行分析,得到第二检测结果,其中,第二检测结果用于表征电力网络中是否存在木马行为。
在一种可选的方案中,安全域流监控***可以基于木马流量行为特征的木马检测方法,对国网青海信通公司业务连接中的特征进行特征解析,确定电力网络中是否存在木马行为,并在确定电力网络中存在木马行为的情况下,可以通过IP地理定位技术对木马行为的IP地址进行定位,并进行有效呈现,可以实现国网青海信通公司网络中流量安全态势可视化,及时发现与定位网络中因零日漏洞引起的木马传播的轨迹和攻击源。
通过上述方案,可以采用基于木马流量行为特征的检测技术,使得木马流量的检测范围更广,不但可检测已知木马的流量,也可有效检测未知木马的流量。
可选地,在本发明上述实施例中,步骤S234,对业务连接进行分析,得到第二检测结果包括如下一种或多种:
步骤S2342,判断业务连接中是否存在反向连接,其中,如果业务连接中存在反向连接,则确定第二检测结果为电力网络中存在木马行为,如果业务连接中不存在反向连接,则确定第二检测结果为电力网络中不存在木马行为。
步骤S2344,判断业务连接的上行流量与下行流量的流量比是否满足预设特征,其中,如果流量比不满足预设特征,则确定第二检测结果为电力网络中存在木马行为,如果流量比满足预设特征,则确定第二检测结果为电力网络中不存在木马行为。
步骤S2346,判断业务连接中是否存在心跳数据报文,其中,如果业务连接中存在心跳数据报文,则确定第二检测结果为电力网络中存在木马行为,如果业务连接中不存在心跳数据报文,则确定第二检测结果为电力网络中不存在木马行为。
步骤S2348,判断业务连接对应的业务报文是否能够解析,是否存在加密行为,或是否存在非法值,其中,如果业务报文无法解析,存在加密行为,或存在非法值,则确定第二检测结果为电力网络中存在木马行为,如果业务报文能够解析,不存在加密行为,且不存在非法值,则确定第二检测结果为电力网络中不存在木马行为。
在一种可选的方案中,可以通过将连接中是否存在反向连接,连接上下行流量比是否不符合一般特征,连接是否存在类似心跳的数据报文,连接建立在普通的服务上,但是数据内容无法解析或者存在加密行为,数据报文中的某些字段存在非法值等特征作为检测点,从而可以检测国网青海信通公司网络中可能存在的新型未知木马,无需依赖木马特征库工作,提高了新型木马检测的时效性,可以有效的检测电力内网流量中的木马行为。
需要说明的是,安全域流监控***还可以通过行为特征算法主动发现的、具有一定威胁的IP,实现高危IP检测的目的,目前支持:蠕虫、ip扫描、端口扫描、ARP欺骗、木马、频次突变、流量突变等几种特征的检测。
还需要说明的是,可以采用地图、拓扑图、柱状图、饼状图、趋势图等数据可视化展现技术,使得信息内网数据展现更直观,监控分析工作更轻松,发生重大信息安全事件是可辅助决策者做出正确的决策。
通过本发明上述实施例提供的方案,可以从网络安全防护策略梳理、设备间互联关系及业务逻辑访问关系可视化、高级未知威胁感知与告警等多个维度辅助完成安全防护策略梳理优化,实现现有安全防护设备防护策略有效性及合理性验证。同时将流经核心交换区的流量通过IP地理定位技术实现可视化,并对公司网络环境中存在的网络未知威胁进行感知预警,为全网安全防护提供决策依据。可以完善公司信息安全***的功能,提高信息安全事件处理效率,减少生产***因信息安全事故停机检修的次数,有效提高生产和管理效率。使信息安全决策更加及时、准确,更好的实现公司信息安全目标,避免因信息安全事故造成的负面影响。从而解决公司信息安全防护策略梳理优化、策略有效性验证、网络流量可视化呈现、木马CC通道发现、高级未知威胁感知等工作,提升现有和拟新增安全设备的处理性能及防护效果,进而形成一套动态防御体系,提高公司各***的信息安全防御能力,将为智能电网自动化业务的开展奠定坚实的安全技术支撑,具有广阔的推广应用前景和社会效益。
实施例2
根据本发明实施例,提供了一种电力网络的处理装置的实施例。
图3是根据本发明实施例的一种电力网络的处理装置的示意图,如图3所示,该装置包括:
获取模块32,用于获取电力网络中安全设备的防护策略。
具体地,上述的安全设备可以是电力网络中的安全域设备,例如可以是防火墙,上述的防护策略可以是防火墙策略。防火墙策略是否合理有效,关系到防火墙的自身性能是否能够全面的发挥,更关系到电力信息内网是否达到预期的访问控制效果。
分析模块34,用于对防护策略进行分析,得到分析结果,其中,分析结果用于表征防护策略是否有效。
处理模块36,用于在分析结果为防护策略无效的情况下,对防护策略进行处理,其中,处理包括如下一种或多种:删除、合并。
采用本发明上述实施例,可以在获取到电力网络中安全设备的防护策略之后,对防护策略进行分析,得到分析结果,并在在分析结果为防护策略无效的情况下,对防护策略进行删除、合并等处理,从而实现对防火墙策略进行验证与梳理,指出问题策略的问题所在之处,并能够给出清晰合理的优化建议,达到了推动防火墙策略的优化,以确保安全设备的性能和防护效果满足各单位的基本需要的技术效果,进而解决了现有技术的电力网络中安全设备无法满足安全防护要求的技术问题。
实施例3
根据本发明实施例,提供了一种电力网络的处理***的实施例。
图4是根据本发明实施例的一种电力网络的处理***的示意图,如图4所示,该***包括:电力网络42和监控设备44,电力网络包括:安全设备。
其中,监控设备,与电力网络连接,用于获取安全设备的防护策略,对防护策略进行分析,得到分析结果,在分析结果为防护策略无效的情况下,对防护策略进行处理,其中,分析结果用于表征防护策略是否有效,处理包括如下一种或多种:删除、合并。
具体地,上述的监控设备可以是安全域流监控***。安全设备可以是电力网络中的安全域设备,例如可以是防火墙,上述的防护策略可以是防火墙策略。防火墙策略是否合理有效,关系到防火墙的自身性能是否能够全面的发挥,更关系到电力信息内网是否达到预期的访问控制效果。
采用本发明上述实施例,可以在获取到电力网络中安全设备的防护策略之后,通过监控设备对防护策略进行分析,得到分析结果,并在在分析结果为防护策略无效的情况下,对防护策略进行删除、合并等处理,从而实现对防火墙策略进行验证与梳理,指出问题策略的问题所在之处,并能够给出清晰合理的优化建议,达到了推动防火墙策略的优化,以确保安全设备的性能和防护效果满足各单位的基本需要的技术效果,进而解决了现有技术的电力网络中安全设备无法满足安全防护要求的技术问题。
可选地,在本发明上述实施例中,监控设备包括:第一监控设备、第二监控设备和第三监控设备。
其中,第一监控设备部署在电力网络中的省公司;第二监控设备部署在电力网络中的省公司数据中心、管理***和营销***前端;第三监控设备部署在地市级接入网的核心交换机上。
具体地,上述的第一监控设备可以是安全域流监控***数据中心设备,上述的第二监控设备和第三监控设备可以是安全域流监控***审计引擎。
在一种可选的方案中,如图5所示,在省公司部署2台安全域流监控***-数据中心设备,在省公司数据中心、ERP、营销***前端部署1台安全域流监控***-审计引擎,对该区域的数据流量进行安全审计分析与可视化。如图6所示,同时在西宁、海东、黄化、海南、海北、海西、果洛、玉树8个地市接入网核心交换机上分别部署1台安全域流监控***-审计引擎,采集流经核心交换机的所有业务与管理流量,用于实现安全分析审计与检测。合计2台数据中心设备和9台审计引擎。
需要说明的是,可以通过对8个地市公司防火墙策略的梳理与验证工作,提高数据通信网管理信息业务的安全访问控制能力;通过省公司和8个地市分公司设备间互联关系的可视化展示,终端用户对业务***逻辑访问关系的可视化展示,内部傀儡主机、木马等发现、定位与告警;公司网络中存在的未知威胁进行感知与预警。
实施例4
根据本发明实施例,提供了一种存储介质的实施例,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述实施例1中的电力网络的处理方法。
实施例5
根据本发明实施例,提供了一种处理器的实施例,处理器用于运行程序,其中,程序运行时执行上述实施例1中的电力网络的处理方法。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (16)
1.一种电力网络的处理方法,其特征在于,包括:
获取电力网络中安全设备的防护策略;
对所述防护策略进行分析,得到分析结果,其中,所述分析结果用于表征所述防护策略是否有效;
在所述分析结果为所述防护策略无效的情况下,对所述防护策略进行处理,其中,所述处理包括如下一种或多种:删除、合并。
2.根据权利要求1所述的方法,其特征在于,对所述防护策略进行分析,得到分析结果包括:
对所述防护策略的逻辑进行分析,判断所述防护策略中是否存在预设策略,其中,所述预设策略包括如下一种或多种:交叉策略、冗余策略、冲突策略和合并策略;
获取所述电力网络的数据流量,并判断所述防护策略与所述数据流量的第一匹配度是否大于等于第一预设阈值,其中,所述数据流量包括:业务流量和管理流量;
获取预设防护名单,并判断所述防护策略与所述预设防护名单的第二匹配度是否大于等于第二预设阈值,其中,所述预设防护名单包括:黑名单和白名单;
在所述防护策略中不存在所述预设策略,所述第一匹配度大于等于所述第一预设阈值,且所述第二匹配度大于等于所述第二预设阈值的情况下,确定所述分析结果为所述防护策略有效;
在所述防护策略中存在所述预设策略,所述第一匹配度小于所述第一预设阈值,或所述第二匹配度小于所述第二预设阈值的情况下,确定所述分析结果为所述防护策略无效。
3.根据权利要求1所述的方法,其特征在于,在对所述防护策略进行处理之后,所述方法还包括:
获取所述电力网络的数据流量,所述安全设备的第一设备信息,其中,所述第一设备信息包括:所述安全设备的操作***信息和开放的端口信息;
基于所述数据流量和所述设备信息,得到所述安全设备之间的关联关系;
显示所述关联关系。
4.根据权利要求3所述的方法,其特征在于,基于所述数据流量和所述设备信息,得到所述安全设备之间的关联关系包括:
基于所述数据流量和所述设备信息,得到所述电力网络的五元组数据;
基于所述五元组数据,得到所述关联关系。
5.根据权利要求3所述的方法,其特征在于,显示所述关联关系包括:
显示所述关联关系的互联信息,其中,所述互联信息包括:所述关联关系的起始时间和结束时间、网络地址、开放的端口、归属地、所述安全设备的属性信息和协议数据。
6.根据权利要求3所述的方法,其特征在于,在获取所述电力网络的数据流量之后,所述方法还包括:
获取所述数据流量的特征;
基于所述数据流量的特征,得到所述电力网络的网络资产;
对所述网络资产进行合法性校验,得到校验结果。
7.根据权利要求6所述的方法,其特征在于,在基于所述数据流量的特征,得到所述电力网络的网络资产之后,所述方法还包括:
判断所述网络资产是否为预设资产,其中,所述预设资产为所述电力网络中的资产产生的;
在确定所述网络资产是所述预设资产之后,确定所述网络资产对应的网络地址为存活的网络资产。
8.根据权利要求1所述的方法,其特征在于,在对所述防护策略进行处理之后,所述方法还包括:
获取所述电力网络中的网络报文;
基于所述网络报文,对所述电力网络进行攻击检测,得到第一检测结果,其中,所述第一检测结果用于表征所述电力网络中是否存在攻击,所述攻击包括如下一种或多种:选项攻击、扫描攻击、圣诞树攻击和拒绝服务攻击。
9.根据权利要求8所述的方法,其特征在于,在所述第一检测结果为所述电力网络中存在所述攻击的情况下,所述方法还包括:
通过网络地址定位,得到存在所述攻击的安全设备的网络地址;
显示存在所述攻击的安全设备的网络地址。
10.根据权利要求1所述的方法,其特征在于,在对所述防护策略进行处理之后,所述方法还包括:
获取所述电力网络的业务连接;
对所述业务连接进行分析,得到第二检测结果,其中,所述第二检测结果用于表征所述电力网络中是否存在木马行为。
11.根据权利要求10所述的方法,其特征在于,对所述业务连接进行分析,得到第二检测结果包括如下一种或多种:
判断所述业务连接中是否存在反向连接,其中,如果所述业务连接中存在所述反向连接,则确定所述第二检测结果为所述电力网络中存在所述木马行为,如果所述业务连接中不存在所述反向连接,则确定所述第二检测结果为所述电力网络中不存在所述木马行为;
判断所述业务连接的上行流量与下行流量的流量比是否满足预设特征,其中,如果所述流量比不满足所述预设特征,则确定所述第二检测结果为所述电力网络中存在所述木马行为,如果所述流量比满足所述预设特征,则确定所述第二检测结果为所述电力网络中不存在所述木马行为;
判断所述业务连接中是否存在心跳数据报文,其中,如果所述业务连接中存在所述心跳数据报文,则确定所述第二检测结果为所述电力网络中存在所述木马行为,如果所述业务连接中不存在所述心跳数据报文,则确定所述第二检测结果为所述电力网络中不存在所述木马行为;
判断所述业务连接对应的业务报文是否能够解析,是否存在加密行为,或是否存在非法值,其中,如果所述业务报文无法解析,存在所述加密行为,或存在所述非法值,则确定所述第二检测结果为所述电力网络中存在所述木马行为,如果所述业务报文能够解析,不存在所述加密行为,且不存在所述非法值,则确定所述第二检测结果为所述电力网络中不存在所述木马行为。
12.一种电力网络的处理装置,其特征在于,包括:
获取模块,用于获取电力网络中安全设备的防护策略;
分析模块,用于对所述防护策略进行分析,得到分析结果,其中,所述分析结果用于表征所述防护策略是否有效;
处理模块,用于在所述分析结果为所述防护策略无效的情况下,对所述防护策略进行处理,其中,处理包括如下一种或多种:删除、合并。
13.一种电力网络的处理***,其特征在于,包括:
电力网络,包括:安全设备;
监控设备,与所述电力网络连接,用于获取所述安全设备的防护策略,对所述防护策略进行分析,得到分析结果,在所述分析结果为所述防护策略无效的情况下,对所述防护策略进行处理,其中,所述分析结果用于表征所述防护策略是否有效,所述处理包括如下一种或多种:删除、合并。
14.根据权利要求13所述的***,其特征在于,所述监控设备包括:
第一监控设备,部署在所述电力网络中的省公司;
第二监控设备,部署在所述电力网络中的省公司数据中心、管理***和营销***前端;
第三监控设备,部署在地市级接入网的核心交换机上。
15.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求1至11中任意一项所述的电力网络的处理方法。
16.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至11中任意一项所述的电力网络的处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811393591.8A CN109587124B (zh) | 2018-11-21 | 2018-11-21 | 电力网络的处理方法、装置和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811393591.8A CN109587124B (zh) | 2018-11-21 | 2018-11-21 | 电力网络的处理方法、装置和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109587124A true CN109587124A (zh) | 2019-04-05 |
| CN109587124B CN109587124B (zh) | 2021-08-03 |
Family
ID=65923675
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811393591.8A Active CN109587124B (zh) | 2018-11-21 | 2018-11-21 | 电力网络的处理方法、装置和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109587124B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110933064A (zh) * | 2019-11-26 | 2020-03-27 | 云南电网有限责任公司信息中心 | 确定用户行为轨迹的方法及其*** |
| CN111641601A (zh) * | 2020-05-12 | 2020-09-08 | 中信银行股份有限公司 | 防火墙管理方法、装置、设备及存储介质 |
| CN111988273A (zh) * | 2020-07-07 | 2020-11-24 | 国网思极网安科技(北京)有限公司 | 一种防火墙策略管理方法及装置 |
| CN112153053A (zh) * | 2020-09-25 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | DDoS防护配置检测方法、装置、设备及可读存储介质 |
| CN112637179A (zh) * | 2020-12-17 | 2021-04-09 | 深信服科技股份有限公司 | 防火墙策略分析方法、装置、设备及存储介质 |
| CN113467311A (zh) * | 2021-07-08 | 2021-10-01 | 国网新疆电力有限公司电力科学研究院 | 基于软件定义的电力物联网安全防护装置及方法 |
| CN113676473A (zh) * | 2021-08-19 | 2021-11-19 | 中国电信股份有限公司 | 网络业务安全防护装置、方法以及存储介质 |
| WO2022073406A1 (zh) * | 2020-10-10 | 2022-04-14 | 华为技术有限公司 | 一种监控网络意图的方法、网络意图监控***及存储介质 |
| CN116405328A (zh) * | 2023-06-08 | 2023-07-07 | 国网上海能源互联网研究院有限公司 | 一种多级联动的电力监控***网络******及方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104580090A (zh) * | 2013-10-18 | 2015-04-29 | 华为技术有限公司 | 安全策略运维评估的方法及装置 |
| CN105721188A (zh) * | 2014-12-04 | 2016-06-29 | 北京神州泰岳信息安全技术有限公司 | 防火墙策略核查方法及*** |
| US9438559B1 (en) * | 2003-01-09 | 2016-09-06 | Jericho Systems Corporation | System for managing access to protected resources |
| CN106411562A (zh) * | 2016-06-17 | 2017-02-15 | 全球能源互联网研究院 | 一种电力信息网络安全联动防御方法及*** |
| CN107612890A (zh) * | 2017-08-24 | 2018-01-19 | 中国科学院信息工程研究所 | 一种网络监测方法及*** |
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及*** |
| CN108289088A (zh) * | 2017-01-09 | 2018-07-17 | ***通信集团河北有限公司 | 基于业务模型的异常流量检测***及方法 |
-
2018
- 2018-11-21 CN CN201811393591.8A patent/CN109587124B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9438559B1 (en) * | 2003-01-09 | 2016-09-06 | Jericho Systems Corporation | System for managing access to protected resources |
| CN104580090A (zh) * | 2013-10-18 | 2015-04-29 | 华为技术有限公司 | 安全策略运维评估的方法及装置 |
| CN105721188A (zh) * | 2014-12-04 | 2016-06-29 | 北京神州泰岳信息安全技术有限公司 | 防火墙策略核查方法及*** |
| CN106411562A (zh) * | 2016-06-17 | 2017-02-15 | 全球能源互联网研究院 | 一种电力信息网络安全联动防御方法及*** |
| CN108289088A (zh) * | 2017-01-09 | 2018-07-17 | ***通信集团河北有限公司 | 基于业务模型的异常流量检测***及方法 |
| CN107612890A (zh) * | 2017-08-24 | 2018-01-19 | 中国科学院信息工程研究所 | 一种网络监测方法及*** |
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及*** |
Non-Patent Citations (1)
| Title |
|---|
| 孙少华: "青海电力信息网络安全防护体系设计", 《青海电力》 * |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110933064A (zh) * | 2019-11-26 | 2020-03-27 | 云南电网有限责任公司信息中心 | 确定用户行为轨迹的方法及其*** |
| CN110933064B (zh) * | 2019-11-26 | 2023-10-03 | 云南电网有限责任公司信息中心 | 确定用户行为轨迹的方法及其*** |
| CN111641601A (zh) * | 2020-05-12 | 2020-09-08 | 中信银行股份有限公司 | 防火墙管理方法、装置、设备及存储介质 |
| CN111988273A (zh) * | 2020-07-07 | 2020-11-24 | 国网思极网安科技(北京)有限公司 | 一种防火墙策略管理方法及装置 |
| CN112153053A (zh) * | 2020-09-25 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | DDoS防护配置检测方法、装置、设备及可读存储介质 |
| WO2022073406A1 (zh) * | 2020-10-10 | 2022-04-14 | 华为技术有限公司 | 一种监控网络意图的方法、网络意图监控***及存储介质 |
| CN112637179A (zh) * | 2020-12-17 | 2021-04-09 | 深信服科技股份有限公司 | 防火墙策略分析方法、装置、设备及存储介质 |
| CN113467311A (zh) * | 2021-07-08 | 2021-10-01 | 国网新疆电力有限公司电力科学研究院 | 基于软件定义的电力物联网安全防护装置及方法 |
| CN113676473A (zh) * | 2021-08-19 | 2021-11-19 | 中国电信股份有限公司 | 网络业务安全防护装置、方法以及存储介质 |
| CN113676473B (zh) * | 2021-08-19 | 2023-05-02 | 中国电信股份有限公司 | 网络业务安全防护装置、方法以及存储介质 |
| CN116405328A (zh) * | 2023-06-08 | 2023-07-07 | 国网上海能源互联网研究院有限公司 | 一种多级联动的电力监控***网络******及方法 |
| CN116405328B (zh) * | 2023-06-08 | 2023-08-08 | 国网上海能源互联网研究院有限公司 | 一种多级联动的电力监控***网络******及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109587124B (zh) | 2021-08-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109587124A (zh) | 电力网络的处理方法、装置和*** | |
| Hoque et al. | An implementation of intrusion detection system using genetic algorithm | |
| Bryant et al. | A novel kill-chain framework for remote security log analysis with SIEM software | |
| CN109922075A (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
| Sandhu et al. | A survey of intrusion detection & prevention techniques | |
| US9438616B2 (en) | Network asset information management | |
| CN111371758B (zh) | 一种基于动态贝叶斯攻击图的网络欺骗效能评估方法 | |
| CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| Osanaiye | Short Paper: IP spoofing detection for preventing DDoS attack in Cloud Computing | |
| CN106657025A (zh) | 网络攻击行为检测方法及装置 | |
| Fraunholz et al. | Defending web servers with feints, distraction and obfuscation | |
| CN108768989A (zh) | 一种采用拟态技术的apt攻击防御方法、*** | |
| CN104883356A (zh) | 一种基于目标模型的网络攻击检测方法 | |
| CN113422779B (zh) | 一种基于集中管控的积极的安全防御的*** | |
| Porras et al. | Large-scale collection and sanitization of network security data: risks and challenges | |
| CN117040871B (zh) | 一种网络安全运营服务方法 | |
| Baykara et al. | An overview of monitoring tools for real-time cyber-attacks | |
| Babatope et al. | Strategic sensor placement for intrusion detection in network-based IDS | |
| Meng et al. | Adaptive character frequency-based exclusive signature matching scheme in distributed intrusion detection environment | |
| Carrasco et al. | A Proposal for a New Way of Classifying Network Security Metrics: Study of the Information Collected through a Honeypot | |
| Sommestad et al. | A test of intrusion alert filtering based on network information | |
| CN115987531A (zh) | 一种基于动态欺骗式“平行网络”的内网安全防护***及方法 | |
| Sandhu et al. | A study of the novel approaches used in intrusion detection and prevention systems | |
| KR20210141198A (ko) | 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템 | |
| Indumathi et al. | Customized privacy preservation using unknowns to stymie unearthing of association rules |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |