CN109922073A - 网络安全监控装置、方法和*** - Google Patents
网络安全监控装置、方法和*** Download PDFInfo
- Publication number
- CN109922073A CN109922073A CN201910206334.7A CN201910206334A CN109922073A CN 109922073 A CN109922073 A CN 109922073A CN 201910206334 A CN201910206334 A CN 201910206334A CN 109922073 A CN109922073 A CN 109922073A
- Authority
- CN
- China
- Prior art keywords
- data
- equipment
- acquisition
- analysis
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种网络安全监控装置。网络安全监控装置包括数据分析装置、***管理装置和数据采集装置;***管理装置基于接收到的采集配置信号、确认数据采集方式,并向数据采集装置传输采集指令;数据采集装置根据采集指令,采用相应的数据采集方式对电力监控***中控制区、非控制区和生产管理区的设备进行数据采集,并将采集到的设备日志数据和设备通信流数据传输给数据分析装置,进而基于设备日志数据和设备通信流数据,得到分析结果,并向主站***传输分析结果。本申请公开的网络安全监控装置能够有效的解决传统技术采集手段不足、核查效率低下的问题,可以对网络安全态势进行监测和准确分析预警,提高了对电力监控***网络安全监控的效率。
Description
技术领域
本申请涉及电力监控***网络安全技术领域,特别是涉及一种网络安全监控装置、方法和***。
背景技术
随着网络技术的发展,网络安全问题日益突出,黑客入侵以及网络攻击现象日益增多。电力***作为国家关键信息基础设施,面临的网络安全形势日趋严峻,一旦遭受网络安全攻击将可能导致大面积停电事件,严重威胁企业和国家安全。因此,在电力***中,网络安全监控技术尤为必要。
在实现过程中,发明人发现传统技术中至少存在如下问题:目前电力***中的网络安全监控技术存在效率低下等问题。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高效率的网络安全监控装置、方法和***。
为了实现上述目的,一方面,本发明实施例提供了一种网络安全监控装置,网络安全监控装置分别部署于控制区以及生产管理区;网络安全监控装置包括数据分析装置、***管理装置和数据采集装置;数据分析装置连接数据采集装置,***管理装置与数据采集装置连接;
***管理装置基于接收到的采集配置信号、确认数据采集方式,并向数据采集装置传输采集指令;数据采集方式包括主动数据采集和被动数据采集;数据采集装置根据采集指令,采用相应的数据采集方式对电力监控***中控制区、非控制区和生产管理区的设备进行数据采集,并将采集到的设备日志数据和设备通信流数据传输给数据分析装置;
数据分析装置基于设备日志数据和设备通信流数据,得到分析结果,并向主站***传输分析结果。
在其中一个实施例中,数据分析装置将设备日志数据和设备通信流数据传输给主站***;
数据分析装置包括外部威胁分析单元、自身脆弱性分析单元和原始文件分析单元;
外部威胁分析单元、自身脆弱性分析单元、原始文件分析单元连接数据采集装置;
外部威胁分析单元用于分析外部接入数据;
自身脆弱性分析单元用于分析设备自身生成的数据;
原始文件分析单元用于分析设备的原始文件数据。
在其中一个实施例中,外部威胁分析单元用于分析设备网络通讯数据、外接设备数据和人工操作行为数据,得出分析结果,并向主站***传输分析结果。
在其中一个实施例中,自身脆弱性分析模块用于分析在线IP资产信息,各设备之间的逻辑拓扑连接关系信息,以及各设备的操作***信息、开放端口信息、运行数据、基线数据、漏洞数据,得出分析结果,并向主站***传输分析结果。
设备包括主机设备、网络设备和安全设备。
在其中一个实施例中,原始文件分析模块用于分析主机设备、网络设备和安全设备的日志信息以及析网络设备的原始报文信息,得出分析结果,并向主站***传输分析结果。
在其中一个实施例中,主动数据采集包括SNMP、ICMP和SSH;被动数据采集包括SNMP Trap、Syslog和流量嗅探。
在其中一个实施例中,还包括连接数据分析装置的通讯装置;
数据分析装置通过通讯装置向主站***传输分析结果、设备日志数据和设备通信流数据。
一方面,本发明实施例还提供了一种网络安全监控方法,包括以下步骤:
***管理装置基于接收到的采集配置信号、确认数据采集方式,并向数据采集装置传输采集指令;数据采集方式包括主动数据采集和被动数据采集;数据采集装置根据采集指令,采用相应的数据采集方式对电力监控***中控制区、非控制区和生产管理区的设备进行数据采集,并将采集到的设备日志数据和设备通信流数据传输给数据分析装置;
数据分析装置基于设备日志数据和设备通信流数据,得到分析结果,并向主站***传输分析结果。
另一方面,本发明实施例还提供了一种网络安全监控***,包括主站***,连接在控制区与非控制区之间的第一网络安全隔离装置,连接在非控制区与生产管理区之间的第二网络安全隔离装置,以及至少2个如权利要求1至7任一项的网络安全监控装置;
第一网络安全隔离装置通过***总线连接第二网络安全隔离装置;各网络安全监控装置分别连接***总线和主站***。
在其中一个实施例中,第一网络安全隔离装置包括第一正向隔离装置和第一反向隔离装置;第二网络安全隔离装置包括第二正向隔离装置和第二反向隔离装置;
第一正向隔离装置或第一反向隔离装置通过***总线连接第二正向隔离装置;
第一正向隔离装置或第一反向隔离装置通过***总线连接第二反向隔离装置。
上述技术方案中的一个技术方案具有如下优点和有益效果:
本申请公开的网络安全监控装置部署于电力监控***的控制区和生产管理区,用于监控控制区、非控制区和生产管理区设备的网络安全。本申请可以通过***管理装置进行设置数据采集方式,通过不同的数据采集方式有效地采集所需信息数据。数据采集装置对控制区、非控制区和生产管理区内的设备进行数据采集,得到设备日志数据和设备通信流数据。数据分析装置对得到的数据信息进行分析,得到数据分析结果,并将数据分析结果传输到主站***。本申请公开的网络安全监控装置能够有效的解决传统技术采集手段不足、核查效率低下的问题,可以对网络安全态势进行监测和准确分析预警,提高了对电力监控***网络安全监控的效率。
附图说明
通过附图中所示的本申请的优选实施例的更具体说明,本申请的上述及其它目的、特征和优势将变得更加清晰。在全部附图中相同的附图标记指示相同的部分,且并未刻意按实际尺寸等比例缩放绘制附图,重点在于示出本申请的主旨。
图1为一个实施例中网络安全监控装置的第一示意性结构图;
图2为一个实施例中网络安全监控装置的第二示意性结构图;
图3为一个实施例中网络安全监控方法的流程示意图;
图4为一个实施例中网络安全监控***的示意性结构图;
图5为一个实施例中网络安全监控***的安装使用示意图;
图6为一个实施例中计算机设备的内部结构图。
具体实施方式
为了便于理解本申请,下面将参照相关附图对本申请进行更全面的描述。附图中给出了本申请的首选实施例。但是,本申请可以以许多不同的形式来实现,并不限于本文所描述的实施例。相反地,提供这些实施例的目的是使对本申请的公开内容更加透彻全面。
需要说明的是,当一个元件被认为是“连接”另一个元件,它可以是直接连接到另一个元件并与之结合为一体,或者可能同时存在居中元件。本文所使用的术语“设于”、“部署于”以及类似的表述只是为了说明的目的。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。在本申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
在一个实施例中,如图1所示,提供了一种网络安全监控装置,网络安全监控装置分别部署于控制区以及生产管理区;网络安全监控装置包括数据分析装置130、***管理装置110和数据采集装置120;数据分析装置120连接数据采集装置120,***管理装置110与数据采集装置120连接;
***管理装置110基于接收到的采集配置信号、确认数据采集方式,并向数据采集装置120传输采集指令;数据采集方式包括主动数据采集和被动数据采集;数据采集装置120根据采集指令,采用相应的数据采集方式对电力监控***中控制区的设备、非控制区的设备和生产管理区的设备进行数据采集,并将采集到的设备日志数据和设备通信流数据传输给数据分析装置130;
数据分析装置130基于设备日志数据和设备通信流数据,得到分析结果,并向主站***传输分析结果。
具体而言,数据采集装置设置于电力监控***的控制区和生产管理区,用于监控非控制区、生产管理区和控制区设备的网络安全,采集对象为控制区、非控制区和生产管理区中的通用主机设备、嵌入式主机设备、网络设备、安全设备。通过数据采集装置对上述设备进行数据采集,数据分析装置对采集到的设备日志数据和设备通信流数据进行分析,将得到的分析结果传输给主站***。
在一个具体示例中,通用主机设备包括采用通用操作***的服务器、工作站,嵌入式主机设备包括采用非通用操作***或无操作***的嵌入式装置,网络设备包括交换机、路由器等网络通信设备。安全设备包括防火墙、纵向加密认证装置、正向隔离装置、反向隔离装置、态势感知采集装置、入侵检测***(IDS)、运维操作审计***、防病毒***等网络安全设备。
进一步的,采集方式分为主动采集与被动采集,采集内容包括日志信息和通信流信息。具体的,通用主机设备的采集数据应包括日志信息,嵌入式主机设备的采集数据应包括日志信息,网络设备的采集数据应包括日志信息、通信流信息,安全设备的采集数据应包括日志信息。
上述网络安全监控装置可以通过***管理装置进行设置数据采集方式,不同的数据采集方式可以有效地采集所需信息数据。数据采集装置对、控制区、非控制区和生产管理区内的设备进行数据采集,得到设备日志数据和设备通信流数据。数据分析装置对得到的数据信息进行分析,得到数据分析结果,并将数据分析结果传输到主站***。上述网络安全监控装置能够有效的解决传统技术采集手段不足、核查效率低下的问题,可以对网络安全态势进行监测和准确分析预警,提高了对电力监控***网络安全监控的效率。
在一个实施例中,如图2所示,提供了一种网络安全监控装置,网络安全监控装置分别部署于控制区以及生产管理区;网络安全监控装置包括数据分析230装置、***管理装置210和数据采集装置220;数据分析装置230连接数据采集装置220,***管理装置210与数据采集装置220连接;
***管理装置210基于接收到的采集配置信号、确认数据采集方式,并向数据采集装置220传输采集指令;数据采集方式包括主动数据采集和被动数据采集;数据采集装置220根据采集指令,采用相应的数据采集方式对电力监控***中控制区、非控制区和生产管理区的设备进行数据采集,并将采集到的设备日志数据和设备通信流数据传输给数据分析装置230;
数据分析装置230基于设备日志数据和设备通信流数据,得到分析结果,并向主站***传输分析结果。
其中,数据分析装置230将设备日志数据和设备通信流数据传输给主站***;
数据分析装置230包括外部威胁分析单元2310、自身脆弱性分析单元2320和原始文件分析单元2330;
外部威胁分析单元2310、自身脆弱性分析单元2320、原始文件分析单元2330分别连接数据采集装置220;
外部威胁分析单元2310用于分析外部接入数据;
自身脆弱性分析单元2320用于分析设备自身生成的数据;
原始文件分析单元2330用于分析设备的原始文件数据。
进一步的,外部威胁分析单元2310分析设备网络通讯数据、外接设备数据和人工操作行为数据,并得出分析结果,向主站***传输分析结果。
自身脆弱性分析模块2320分析在线IP资产信息,各设备之间的逻辑拓扑连接关系信息,以及各设备的操作***信息、开放端口信息、运行数据、基线数据、漏洞数据;并得出分析结果,向主站***传输分析结果。设备包括主机设备、网络设备和安全设备。
原始文件分析模块2330分析主机设备、网络设备和安全设备的日志信息以及析网络设备的原始报文信息,并得出分析结果,向主站***传输分析结果。
主动数据采集包括SNMP、ICMP和SSH;被动数据采集包括SNMP Trap、Syslog和流量嗅探。
其中,网络安全监控装置还包括连接数据分析装置的通讯装置240;
数据分析装置230通过通讯装置240向主站***传输分析结果、设备日志数据和设备通信流数据。
具体而言,数据分析装置可以包括外部威胁分析单元、自身脆弱性分析单元和原始文件分析单元。其中外部威胁分析单元分析设备网络通讯数据、外接设备数据和人工操作行为数据、代码程序等;自身脆弱性分析模块分析在线IP资产信息,各设备之间的逻辑拓扑连接关系信息,以及各设备的操作***信息、开放端口信息、运行数据、基线数据、漏洞数据;原始文件分析模块分析主机设备、网络设备和安全设备的日志信息以及析网络设备的原始报文信息。
主动采集包括SNMP(Simple Network Management Protocol)、Agent、ICMP(Internet Control Message Protocol)、SSH(Secure Shell)、网络主动扫描等方式,被动采集包括SNMP Trap、Syslog、流量嗅探等方式;采集内容包括日志信息和通信流信息,其中日志信息是指通过SNMP、SNMP Trap、Syslog、Agent、ICMP、SSH、网络主动扫描等方式采集到的信息,通信流信息是指通过流量嗅探方式采集到的信息。
进一步的,对设备网络通讯数据的分析包括:(1)支持分析设备网络接入事件,包括:网口***、网口拔出;(2)支持分析网络中的通信连接信息,包括:通信客户端/通信服务端IP、通信客户端/通信服务端端口、协议、通信开始时间、通信结束时间;(3)支持网络中包括FTP、HTTP通信协议特征识别,宜支持网络中包括DNS、POP3、SMTP、IMAP4、TLS等通信协议特征识别;(4)支持还原网络中FTP协议的通信内容信息,包括文件类型、文件名、文件大小和文件MD5;(5)支持将网络接入事件、通信连接信息、通信协议特征信息和通信内容信息实时上送主站***。
对于外接设备数据分析包括:(1)支持识别通用主机设备的外设接入事件,包括接入和拔出;(2)支持分析通用主机设备的接入外设信息,包括外设类型(可为空)、外设厂家(可为空)和外设序列号(可为空);(3)支持将外设接入状态和信息实时上送主站***。
对于人工操作行为数据分析:(1)支持识别通用主机设备、网络设备、安全设备的登退操作事件,包括登录成功、登录失败和退出登录;(2)支持识别网络设备、安全设备的修改配置操作事件;(3)支持通过数字证书方式登录并执行命令获取通用主机设备(仅限类Unix操作***)的操作命令信息;(4)支持将登录操作事件、修改配置事件和操作命令信息上送主站***。
此外,对于代码程序分析包括:(1)支持接收主站下发的关键文件名单;(2)支持通过数字证书方式登录并执行命令获取通用主机设备(仅限类Unix操作***)的关键文件信息,包括文件名、文件路径和文件MD5;(3)支持将关键文件信息实时上送主站***。
对在线IP资产信息分析包括:(1)支持网络扫描功能,基于全协议栈扫描方式、流量镜像方式自动发现通用主机设备、嵌入式主机设备、网络设备和安全设备的在线IP资产;(2)支持多源在线IP资产信息的比对、去重和拼接;(3)支持与态势感知主站***联动,实现资产的主动上送、合法注册和实时同步,实现资产属性的主站***统一维护。
对于各设备之间互联拓扑数据分析包括:(1)支持自动生成通用主机设备、嵌入式主机设备、网络设备、安全设备的逻辑拓扑连接关系,逻辑拓扑连接关系包含序号、安全分区、分网标识、IP子网、VLAN号(可为空)、设备名称(可为空)、IP地址和设备全局唯一标识(GUID);(2)支持逻辑拓扑连接关系动态上送主站***。
对于开放端口信息数据分析包括:(1)支持接收和执行主站下发的扫描指令;(2)支持分析通用主机设备、嵌入式主机设备、网络设备、安全设备的操作***信息;(3)支持分析通用主机设备、嵌入式主机设备、网络设备、安全设备的开放端口信息,包括开放端口、协议名称和服务名称;(4)支持操作***信息和开放端口信息实时上送主站***。
对于运行数据分析包括:(1)支持分析通用主机设备运行状态,包括在线状态、CPU利用率、内存利用率、磁盘使用率和网口状态;(2)支持分析嵌入式主机设备运行状态,包括在线状态;(3)支持分析网络设备运行状态,包括在线状态、CPU利用率、内存利用率和网口状态;(4)应支持分析安全设备运行状态,分别包括:a)纵向加密认证装置:在线状态、CPU利用率、内存利用率、备机心跳、隧道建立错误等;b)正反向隔离装置:在线状态、CPU利用率、内存利用率;c)硬件防火墙设备:在线状态、CPU利用率、内存利用率,网口状态;d)态势感知采集装置:在线状态、CPU利用率、内存利用率,网口状态、关键进程状态;(5)支持设备运行状态事件实时上送主站***。
对基线数据分析包括:(1)支持接收主站***下发的基线核查脚本及基线核查任务;(2)支持数字证书方式登录通用主机设备进行基线核查;(3)支持将基线核查结果上送主站***。
对漏洞数据分析包括支持基于服务代理技术转发主站***的漏洞扫描数据,并向被监测设备发起远程漏洞扫描。
对原始日志信息分析包括:(1)支持匹配主站***下发的日志范式化规则文件,进行通用主机设备、网络设备、安全设备的日志信息提取;(2)支持将未匹配范式化规则的原始日志实时上送主站***。
需要说明的是,网络安全监控装置还包括连接数据分析装置的通讯装置,数据分析装置通过通讯装置向主站***传输信息。在一个具体示例中,通讯装置可以为有线通讯设备和无线通讯设备。
上述网络安全监控装置的数据分析装置可以由外部威胁分析单元、自身脆弱性分析单元和原始文件分析单元组成,外部威胁分析单元分析设备网络通讯数据、外接设备数据和人工操作行为数据;自身脆弱性分析模块分析在线IP资产信息,各设备之间的逻辑拓扑连接关系信息,以及各设备的操作***信息、开放端口信息、运行数据、基线数据、漏洞数据;原始文件分析模块分析主机设备、网络设备和安全设备的日志信息以及析网络设备的原始报文信息。通过不同细分模块,实现了对各类网络安全风险事件的全面感知,强化电力监控***网络安全闭环管控,全面提高电力监控***网络安全防护水平。
在一个实施例中,如图3所示,提供了一种网络安全监控方法,包括以下步骤:
步骤S310,***管理装置基于接收到的采集配置信号、确认数据采集方式,并向数据采集装置传输采集指令;数据采集方式包括主动数据采集和被动数据采集。
其中,人工对数据采集方式进行设置,并对***管理装置发出采集配置信号,从而确定数据采集方式。然后,***管理装置对数据采集装置传输采集指令。在一个具体示例中,主动数据采集包括SNMP、ICMP和SSH;被动数据采集包括SNMP Trap、Syslog和流量嗅探。步骤S320,数据采集装置根据采集指令,采用相应的数据采集方式对电力监控***中控制区、非控制区和生产管理区的设备进行数据采集,并将采集到的设备日志数据和设备通信流数据传输给数据分析装置。
其中,数据采集装置接收到采集指令,根据初始设置的数据采集方式进行数据采集,采集对象为控制区、非控制区和生产管理区中的通用主机设备、嵌入式主机设备、网络设备、安全设备,并将采集到的设备日志数据和设备通信流数据传输给数据分析装置。
步骤S330,数据分析装置基于设备日志数据和设备通信流数据,得到分析结果,并向主站***传输分析结果。
具体的,根据数据采集装置传输来的设备日志数据和设备通信流数据,数据分析装置对该数据进行分析,得到分析结果,并将分析结果传输给主站***。
上述网络安全监控方法,采用主动数据采集和被动数据采集的方法,可以有效的采集到所需数据,同时,根据上述采集方法得到的数据规范化较高,可以直接分析处理。通过数据分析装置对备日志数据和设备通信流数据进行处理,实现了对各类网络安全风险事件的全面监控,全面提高电力监控***网络安全防护水平。
在一个实施例中,如图4所示,提供了一种网络安全监控***,包括主站***410,连接在控制区与非控制区之间的第一网络安全隔离装置420,连接在非控制区与生产管理区之间的第二网络安全隔离装置430,以及至少2个如权利要求1至7任一项的网络安全监控装置440;
第一网络安全隔离装置通过***总线连接第二网络安全隔离装置;各网络安全监控装置分别连接***总线和主站***。
其中,第一网络安全隔离装置包括第一正向隔离装置和第一反向隔离装置;
第二网络安全隔离装置包括第二正向隔离装置和第二反向隔离装置;
第一正向隔离装置或第一反向隔离装置通过***总线连接第二正向隔离装置;
第一正向隔离装置或第一反向隔离装置通过***总线连接第二反向隔离装置。
具体而言,第一网络安全监控装置、第二网络安全监控装置分别部署在控制区和生产管理区中,用于对厂站电力监控***网络安全数据进行采集、对安全事件进行分析处理、对***进行管理等。其中第一网络安全监控装置实现对控制区和非控制区设备的数据采集、分析,并将得到的数据以及分析结果传输给非控制区,通过非控制区中网络设备传输给上级主站***;第二网络安全监控装置实现对生产管理区设备的数据采集、处理及通信功能,并将得到的数据以及分析结果传输给上级主站***。第一网络安全隔离装置设于控制区和非控制区之间,第二网络安全隔离装置设于非控制区和生产管理区之间。第一网络安全隔离装置和第二网络安全隔离装置均连接在***总线上。
在一个具体示例中,如图5所示,第一网络安全监控装置实现对控制区和非控制区设备的数据采集、分析,并将得到的数据以及分析结果传输给非控制区,通过非控制区中网络设备传输给上级主站***;第二网络安全监控装置与上级主站***之间的通讯连接是通过网络设备去实现的,其中,网络设备包括交换机、纵向加密认证装置以及数据网路由器。通过这些设备,可以更加安全有效地对数据信息进行传输。
在一个具体示例中,网络安全隔离装置可以包括横向互联防火墙、正向隔离装置、反向隔离装置的一种。
本申请的网络安全监控***,通过网络安全隔离装置可以保证数据传输的安全,采用网络安全监控装置可以强化电力监控***网络安全闭环管控,本申请可以实现对各类网络安全风险事件的全面感知,全面提高电力监控***网络安全防护整体水平。同时,传统技术需要在控制区、非控制区和生产管理区分别放置一个网络安全隔离装置,而本申请只需要在控制区和生产管理区放置一个网络安全隔离装置即可,大大节省了成本和提高了网络安全监控效率。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图6所示。该计算机设备包括通过***总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***和计算机程序。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络安全监控方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
***管理装置基于接收到的采集配置信号、确认数据采集方式,并向数据采集装置传输采集指令;数据采集方式包括主动数据采集和被动数据采集。
数据采集装置根据采集指令,采用相应的数据采集方式对电力监控***中控制区的设备、非控制区的设备和生产管理区的设备进行数据采集,并将采集到的设备日志数据和设备通信流数据传输给数据分析装置。
数据分析装置基于设备日志数据和设备通信流数据,得到分析结果,并向主站***传输分析结果。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
***管理装置基于接收到的采集配置信号、确认数据采集方式,并向数据采集装置传输采集指令;数据采集方式包括主动数据采集和被动数据采集。
数据采集装置根据采集指令,采用相应的数据采集方式对电力监控***中控制区的设备、非控制区的设备和生产管理区的设备进行数据采集,并将采集到的设备日志数据和设备通信流数据传输给数据分析装置。
数据分析装置基于设备日志数据和设备通信流数据,得到分析结果,并向主站***传输分析结果。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种网络安全监控装置,其特征在于,所述网络安全监控装置分别部署于控制区以及生产管理区;所述网络安全监控装置包括数据分析装置、***管理装置和数据采集装置;所述数据分析装置连接所述数据采集装置,所述***管理装置与所述数据采集装置连接;
所述***管理装置基于接收到的采集配置信号,确认数据采集方式,并向所述数据采集装置传输采集指令;所述数据采集方式包括主动数据采集和被动数据采集;所述数据采集装置根据所述采集指令,采用相应的数据采集方式对电力监控***中控制区、非控制区和生产管理区的设备进行数据采集,并将采集到的设备日志数据和设备通信流数据传输给所述数据分析装置;
所述数据分析装置基于所述设备日志数据和所述设备通信流数据,得到分析结果,并向主站***传输所述分析结果。
2.根据权利要求1所述的网络安全监控装置,其特征在于,所述数据分析装置将所述设备日志数据和所述设备通信流数据传输给所述主站***;
所述数据分析装置包括外部威胁分析单元、自身脆弱性分析单元和原始文件分析单元;
所述外部威胁分析单元、所述自身脆弱性分析单元、所述原始文件分析单元分别连接所述数据采集装置;
所述外部威胁分析单元用于分析外部接入数据;所述自身脆弱性分析单元用于分析设备自身生成的数据;所述原始文件分析单元用于分析设备的原始文件数据。
3.根据权利要求2所述的网络安全监控装置,其特征在于,
所述外部威胁分析单元用于分析设备网络通讯数据、外接设备数据和人工操作行为数据,得出分析结果,并向所述主站***传输所述分析结果。
4.根据权利要求2所述的网络安全监控装置,其特征在于,
所述自身脆弱性分析模块用于分析在线IP资产信息,各设备之间的逻辑拓扑连接关系信息,以及各所述设备的操作***信息、开放端口信息、运行数据、基线数据、漏洞数据,得出分析结果,并向所述主站***传输所述分析结果;
所述设备包括主机设备、网络设备和安全设备。
5.根据权利要求2所述的网络安全监控装置,其特征在于,
所述原始文件分析模块用于分析主机设备、网络设备和安全设备的日志信息以及所述网络设备的原始报文信息,得出分析结果,并向所述主站***传输所述分析结果。
6.根据权利要求1所述的网络安全监控装置,其特征在于,所述主动数据采集包括SNMP、ICMP和SSH;所述被动数据采集包括SNMP Trap、Syslog和流量嗅探。
7.根据权利要求1所述的网络安全监控装置,其特征在于,还包括连接所述数据分析装置的通讯装置;
所述数据分析装置通过所述通讯装置向所述主站***传输所述分析结果、所述设备日志数据和所述设备通信流数据。
8.一种基于权利要求1至7任一项所述的网络安全监控装置的网络安全监控方法,其特征在于,包括以下步骤:
所述***管理装置基于接收到的采集配置信号、确认数据采集方式,并向所述数据采集装置传输采集指令;所述数据采集方式包括主动数据采集和被动数据采集;
所述数据采集装置根据所述采集指令,采用相应的数据采集方式对电力监控***中控制区、非控制区和生产管理区的设备进行数据采集,并将采集到的设备日志数据和设备通信流数据传输给所述数据分析装置;
所述数据分析装置基于所述设备日志数据和所述设备通信流数据,得到分析结果,并向主站***传输所述分析结果。
9.一种网络安全监控***,其特征在于,包括主站***,连接在控制区与非控制区之间的第一网络安全隔离装置,连接在非控制区与生产管理区之间的第二网络安全隔离装置,以及至少2个如权利要求1至7任一项所述的网络安全监控装置;
所述第一网络安全隔离装置通过***总线连接所述第二网络安全隔离装置;各所述网络安全监控装置分别连接所述***总线和所述主站***。
10.根据权利要求9所述的网络安全监控***,其特征在于,所述第一网络安全隔离装置包括第一正向隔离装置和第一反向隔离装置;所述第二网络安全隔离装置包括第二正向隔离装置和第二反向隔离装置;
所述第一正向隔离装置或所述第一反向隔离装置通过所述***总线连接所述第二正向隔离装置;
所述第一正向隔离装置或所述第一反向隔离装置通过所述***总线连接所述第二反向隔离装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910206334.7A CN109922073A (zh) | 2019-03-19 | 2019-03-19 | 网络安全监控装置、方法和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910206334.7A CN109922073A (zh) | 2019-03-19 | 2019-03-19 | 网络安全监控装置、方法和*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109922073A true CN109922073A (zh) | 2019-06-21 |
Family
ID=66965514
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910206334.7A Pending CN109922073A (zh) | 2019-03-19 | 2019-03-19 | 网络安全监控装置、方法和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109922073A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110505221A (zh) * | 2019-08-12 | 2019-11-26 | 中国南方电网有限责任公司 | 服务器检测方法、装置、计算机设备和存储介质 |
| CN110677299A (zh) * | 2019-09-30 | 2020-01-10 | 中兴通讯股份有限公司 | 网络数据采集方法、装置和*** |
| CN110784459A (zh) * | 2019-10-22 | 2020-02-11 | 云南恒协科技有限公司 | 一种基于模糊理论的电力网络安全防护诊断***及方法 |
| CN110867967A (zh) * | 2019-11-27 | 2020-03-06 | 云南电网有限责任公司电力科学研究院 | 一种电力监控***通信的背景流量回放方法 |
| CN111310874A (zh) * | 2020-02-19 | 2020-06-19 | 北京安帝科技有限公司 | 一种工控环境下的全量数据采集标识方法 |
| CN111625821A (zh) * | 2020-05-29 | 2020-09-04 | 北京中超伟业信息安全技术股份有限公司 | 一种基于云平台的应用攻击检测*** |
| CN111970166A (zh) * | 2020-07-31 | 2020-11-20 | 南京南瑞继保电气有限公司 | 一种测试方法、装置、设备、***及计算机可读存储介质 |
| CN112019515A (zh) * | 2020-07-31 | 2020-12-01 | 浙江浙能兰溪发电有限责任公司 | 一种电力工控***跨区安全监测方法、装置及*** |
| CN112905408A (zh) * | 2021-01-12 | 2021-06-04 | 南方电网数字电网研究院有限公司 | 一种用于电力运维网络安全监测预警***的服务器 |
| CN113542100A (zh) * | 2021-07-30 | 2021-10-22 | 国网青海省电力公司信息通信公司 | 电厂安全防护***及方法 |
| CN115021953A (zh) * | 2022-04-18 | 2022-09-06 | 广西电网有限责任公司电力科学研究院 | 一种网络安全监控装置 |
| CN116680098A (zh) * | 2022-02-23 | 2023-09-01 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 工业机器人安全监测方法、装置及电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101369927A (zh) * | 2008-09-23 | 2009-02-18 | 沈阳理工大学 | 通用远程自动数据采集*** |
| CN103530328A (zh) * | 2013-09-26 | 2014-01-22 | 杭州意能软件有限公司 | 一种数据统计分析***和方法 |
| CN106685685A (zh) * | 2016-09-06 | 2017-05-17 | 国网浙江省电力公司温州供电公司 | 一种跨安全分区的交换机性能监测方法及*** |
| CN108769048A (zh) * | 2018-06-08 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种安全可视化与态势感知平台*** |
| CN208227074U (zh) * | 2018-02-09 | 2018-12-11 | 鼎信信息科技有限责任公司 | 电力监控***网络安全监测终端 |
| US20180375831A1 (en) * | 2017-06-27 | 2018-12-27 | Microsoft Technology Licensing, Llc | Firewall configuration manager |
-
2019
- 2019-03-19 CN CN201910206334.7A patent/CN109922073A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101369927A (zh) * | 2008-09-23 | 2009-02-18 | 沈阳理工大学 | 通用远程自动数据采集*** |
| CN103530328A (zh) * | 2013-09-26 | 2014-01-22 | 杭州意能软件有限公司 | 一种数据统计分析***和方法 |
| CN106685685A (zh) * | 2016-09-06 | 2017-05-17 | 国网浙江省电力公司温州供电公司 | 一种跨安全分区的交换机性能监测方法及*** |
| US20180375831A1 (en) * | 2017-06-27 | 2018-12-27 | Microsoft Technology Licensing, Llc | Firewall configuration manager |
| CN208227074U (zh) * | 2018-02-09 | 2018-12-11 | 鼎信信息科技有限责任公司 | 电力监控***网络安全监测终端 |
| CN108769048A (zh) * | 2018-06-08 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种安全可视化与态势感知平台*** |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110505221A (zh) * | 2019-08-12 | 2019-11-26 | 中国南方电网有限责任公司 | 服务器检测方法、装置、计算机设备和存储介质 |
| CN110677299A (zh) * | 2019-09-30 | 2020-01-10 | 中兴通讯股份有限公司 | 网络数据采集方法、装置和*** |
| US11929884B2 (en) | 2019-09-30 | 2024-03-12 | Zte Corporation | Network data collection method and device |
| CN110784459A (zh) * | 2019-10-22 | 2020-02-11 | 云南恒协科技有限公司 | 一种基于模糊理论的电力网络安全防护诊断***及方法 |
| CN110784459B (zh) * | 2019-10-22 | 2021-10-26 | 云南恒协科技有限公司 | 一种基于模糊理论的电力网络安全防护诊断***及方法 |
| CN110867967A (zh) * | 2019-11-27 | 2020-03-06 | 云南电网有限责任公司电力科学研究院 | 一种电力监控***通信的背景流量回放方法 |
| CN110867967B (zh) * | 2019-11-27 | 2023-11-10 | 云南电网有限责任公司电力科学研究院 | 一种电力监控***通信的背景流量回放方法 |
| CN111310874A (zh) * | 2020-02-19 | 2020-06-19 | 北京安帝科技有限公司 | 一种工控环境下的全量数据采集标识方法 |
| CN111625821A (zh) * | 2020-05-29 | 2020-09-04 | 北京中超伟业信息安全技术股份有限公司 | 一种基于云平台的应用攻击检测*** |
| CN111970166A (zh) * | 2020-07-31 | 2020-11-20 | 南京南瑞继保电气有限公司 | 一种测试方法、装置、设备、***及计算机可读存储介质 |
| CN112019515A (zh) * | 2020-07-31 | 2020-12-01 | 浙江浙能兰溪发电有限责任公司 | 一种电力工控***跨区安全监测方法、装置及*** |
| CN112019515B (zh) * | 2020-07-31 | 2023-03-21 | 浙江浙能兰溪发电有限责任公司 | 一种电力工控***跨区安全监测方法、装置及*** |
| CN111970166B (zh) * | 2020-07-31 | 2021-11-12 | 南京南瑞继保电气有限公司 | 一种测试方法、装置、设备、***及计算机可读存储介质 |
| CN112905408A (zh) * | 2021-01-12 | 2021-06-04 | 南方电网数字电网研究院有限公司 | 一种用于电力运维网络安全监测预警***的服务器 |
| CN113542100A (zh) * | 2021-07-30 | 2021-10-22 | 国网青海省电力公司信息通信公司 | 电厂安全防护***及方法 |
| CN116680098A (zh) * | 2022-02-23 | 2023-09-01 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 工业机器人安全监测方法、装置及电子设备 |
| CN116680098B (zh) * | 2022-02-23 | 2024-06-11 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 工业机器人安全监测方法、装置及电子设备 |
| CN115021953A (zh) * | 2022-04-18 | 2022-09-06 | 广西电网有限责任公司电力科学研究院 | 一种网络安全监控装置 |
| CN115021953B (zh) * | 2022-04-18 | 2024-05-24 | 广西电网有限责任公司电力科学研究院 | 一种网络安全监控装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109922073A (zh) | 网络安全监控装置、方法和*** | |
| Coffey et al. | Vulnerability analysis of network scanning on SCADA systems | |
| US10873594B2 (en) | Test system and method for identifying security vulnerabilities of a device under test | |
| Gringoli et al. | Gt: picking up the truth from the ground for internet traffic | |
| Shiravi et al. | Toward developing a systematic approach to generate benchmark datasets for intrusion detection | |
| JP2017538376A (ja) | オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法 | |
| KR20180120157A (ko) | 데이터세트 추출 기반 패턴 매칭 | |
| CN105391687A (zh) | 一种向中小企业提供信息安全运维服务的***与方法 | |
| US9479523B2 (en) | System and method for automated configuration of intrusion detection systems | |
| Dalamagkas et al. | A survey on honeypots, honeynets and their applications on smart grid | |
| Joshi et al. | Fundamentals of Network Forensics | |
| Cusack et al. | Evaluating IP surveillance camera vulnerabilities | |
| Mireles et al. | Extracting attack narratives from traffic datasets | |
| Yamada et al. | RAT-based malicious activities detection on enterprise internal networks | |
| US11757915B2 (en) | Exercising security control point (SCP) capabilities on live systems based on internal validation processing | |
| Uramová et al. | Packet capture infrastructure based on Moloch | |
| Marchese et al. | Monitoring unauthorized internet accesses through a ‘honeypot’system | |
| Castiglione et al. | A novel methodology to acquire live big data evidence from the cloud | |
| Volarević et al. | Network forensics | |
| Stoecklin et al. | Passive security intelligence to analyze the security risks of mobile/BYOD activities | |
| Zeinali | Analysis of security information and event management (SIEM) evasion and detection methods | |
| Knöchel et al. | Analysing attackers and intrusions on a high-interaction honeypot system | |
| CN114301802A (zh) | 密评检测方法、装置和电子设备 | |
| US20240169067A1 (en) | Testing device, testing method, and testing program | |
| Toor et al. | Deployment of Low Interaction Honeypot in a Private Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 510000 Guangdong city of Guangzhou province Luogang District Science City Kexiang Road No. 11 Applicant after: China Southern Power Grid Co., Ltd. Applicant after: Southern Power Grid Digital Grid Research Institute Co., Ltd. Address before: 510000 Guangdong city of Guangzhou province Luogang District Science City Kexiang Road No. 11 Applicant before: China Southern Power Grid Co., Ltd. Applicant before: Dingxin Information Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190621 |
|
| RJ01 | Rejection of invention patent application after publication |