CN115022056B - 针对电网***的网络攻击行为智能处置方法 - Google Patents

针对电网***的网络攻击行为智能处置方法 Download PDF

Info

Publication number
CN115022056B
CN115022056B CN202210650557.4A CN202210650557A CN115022056B CN 115022056 B CN115022056 B CN 115022056B CN 202210650557 A CN202210650557 A CN 202210650557A CN 115022056 B CN115022056 B CN 115022056B
Authority
CN
China
Prior art keywords
attack
attacked
domain name
blocking
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210650557.4A
Other languages
English (en)
Other versions
CN115022056A (zh
Inventor
陈一帆
周鹏
兰润芬
邓婵
左勇
吴方方
伍文伟
罗长春
过耀东
侯敏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Hunan Electric Power Co Ltd
Chenzhou Power Supply Co of State Grid Hunan Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
State Grid Hunan Electric Power Co Ltd
Chenzhou Power Supply Co of State Grid Hunan Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Hunan Electric Power Co Ltd, Chenzhou Power Supply Co of State Grid Hunan Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202210650557.4A priority Critical patent/CN115022056B/zh
Publication of CN115022056A publication Critical patent/CN115022056A/zh
Application granted granted Critical
Publication of CN115022056B publication Critical patent/CN115022056B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种针对电网***的网络攻击行为智能处置方法,包括当流量传感器检测到攻击行为时从流量传感器接收攻击日志;进行攻击类型的识别;进行防火墙访问阻断、DHCP访问阻断和DNS访问阻断;通过邮件发送的方式进行远程预警。本发明提供的这种针对电网***的网络攻击行为智能处置方法,能够从流量传感器自动接收攻击日志,并且根据攻击类型智能采取相应对策,在防火墙、DHCP***、DNS***和邮件***等设备和***上进行处置;因此,本发明方法能够有效减少攻击窗口的时间,提升***的安全性,而且响应快速、应对速度快且安全可靠。

Description

针对电网***的网络攻击行为智能处置方法
技术领域
本发明属于计算机网络安全领域,具体涉及一种针对电网***的网络攻击行为智能处置方法。
背景技术
随着经济技术的发展和人们生活水平的提高,电能已经成为了人们生产和生活中必不可少的二次能源,给人们的生产和生活带来了无尽的便利。因此,保证电力***的稳定可靠运行,就成为了电力***最重要的任务之一。
目前,电网***越来越朝着智能化发展,因此电网***的信息网络安全就显得尤为重要。目前,针对电网信息***的攻击行为越来越多。从发现攻击行为到完成攻击行为处置,这之间的时间间隔被称为攻击窗口时间。攻击窗口时间越短,攻击者能够采取的手段越少,信息***面临的安全风险也就越小。
目前,电网针对该类攻击,一般使用流量传感器来检测攻击行为;发现攻击行为之后再通过防火墙、DHCP***、DNS***来对攻击者进行处置;这一方案的优点是成本较低,但是缺点是安全设备和***之间缺乏互动,不能对发现的攻击行为自动进行响应,只能通过管理员手动操作来对攻击行为进行处置。因此不能确保及时对攻击行为进行处置,攻击窗口时间较长。
发明内容
本发明的目的在于提供一种响应快速、应对速度快且安全可靠的针对电网***的网络攻击行为智能处置方法。
本发明提供的这种针对电网***的网络攻击行为智能处置方法,包括如下步骤:
S1. 当流量传感器检测到攻击行为时,从流量传感器接收攻击日志;
S2. 根据步骤S1获取的攻击日志,进行攻击类型的识别;
S3. 根据步骤S2得到的识别结果,进行防火墙访问阻断、DHCP访问阻断和DNS访问阻断;
S4. 通过邮件发送的方式,进行远程预警。
步骤S1所述的从流量传感器接收攻击日志,具体包括如下步骤:
在流量传感器上,将日志传输地址设置为***部署的地址,传输协议选择TCP协议;
通过Python程序来接收TCP协议的传输信息;
将接收到的攻击日志按条分解。
步骤S2所述的进行攻击类型的识别,具体包括如下步骤:
逐条进行攻击行为的类型识别;
识别攻击类型为主动式攻击或被动式攻击:主动式攻击为由攻击者主动访问受攻击目标的攻击,包括WEB攻击、弱口令攻击和拒绝服务攻击;被动式攻击为由攻击者控制受攻击目标访问攻击者控制的恶意域名的攻击;
若确定攻击类型为主动式攻击,则检查攻击源IP和受攻击IP是否均处于监测范围:若是,则调用防火墙访问功能,将攻击源IP加入封堵范围;若否,则不进行任何操作;
若确定攻击类型为被动式攻击,则先调用DNS访问功能,检查攻击恶意域名是否列入恶意域名列表:若是,则直接调用DHCP访问功能对受攻击IP进行隔离;若否,则将恶意域名加入恶意域名列表,再调用DHCP访问功能对受攻击IP进行隔离。
步骤S3所述的防火墙访问阻断,用于对攻击源IP进行封堵,具体包括如下步骤:
在防火墙上启用SSH服务,并修改SSH端口;
通过Python程序来访问防火墙,并将攻击源IP加入防火墙的封堵列表中。
步骤S3所述的DHCP访问阻断,用于对受攻击IP进行隔离,具体包括如下步骤:
通过netsh协议访问DHCP服务器,查询受攻击IP是否存在于DHCP中:如果不存在,直接结束处理;若存在,则查询受攻击IP所在IP段;
进入受攻击IP所在IP段,删除分配给受攻击IP的地址,以达到隔离终端的效果。
步骤S3所述的DNS访问阻断,用于对恶意域名进行阻断,具体包括如下步骤:
通过dnscmd命令访问DNS服务器,查询恶意域名列表中是否存在恶意域名:若存在,则结束处理;若不存在,则将该恶意域名加入到DNS***中,并将域名地址指向127.0.0.2,以防止用户访问。
步骤S4所述的通过邮件发送的方式,进行远程预警,具体包括如下步骤:
通过Python程序访问邮箱服务器;
将处理信息通过邮件发送给管理员,以完成远程预警;所述的处理信息包括攻击类型、攻击源IP、受攻击IP、攻击时间和处置情况。
本发明提供的这种针对电网***的网络攻击行为智能处置方法,能够从流量传感器自动接收攻击日志,并且根据攻击类型智能采取相应对策,在防火墙、DHCP***、DNS***和邮件***等设备和***上进行处置;因此,本发明方法能够有效减少攻击窗口的时间,提升***的安全性,而且响应快速、应对速度快且安全可靠。
附图说明
图1为本发明方法的方法流程示意图。
实施方式
如图1所示为本发明方法的方法流程示意图:本发明提供的这种针对电网***的网络攻击行为智能处置方法,包括如下步骤:
S1. 当流量传感器检测到攻击行为时,从流量传感器接收攻击日志;具体包括如下步骤:
在流量传感器上,将日志传输地址设置为***部署的地址,传输协议选择TCP协议;
通过Python程序来接收TCP协议的传输信息;
将接收到的攻击日志按条分解;
S2. 根据步骤S1获取的攻击日志,进行攻击类型的识别;具体包括如下步骤:
逐条进行攻击行为的类型识别;
识别攻击类型为主动式攻击或被动式攻击:主动式攻击为由攻击者主动访问受攻击目标的攻击,包括WEB攻击、弱口令攻击和拒绝服务攻击;被动式攻击为由攻击者控制受攻击目标访问攻击者控制的恶意域名的攻击;
若确定攻击类型为主动式攻击,则检查攻击源IP和受攻击IP是否均处于监测范围:若是,则调用防火墙访问功能,将攻击源IP加入封堵范围;若否,则不进行任何操作;
若确定攻击类型为被动式攻击,则先调用DNS访问功能,检查攻击恶意域名是否列入恶意域名列表:若是,则调用DHCP访问功能对受攻击IP进行隔离;若否,则将恶意域名加入恶意域名列表,再调用DHCP访问功能对受攻击IP进行隔离;
S3. 根据步骤S2得到的识别结果,进行防火墙访问阻断、DHCP访问阻断和DNS访问阻断;
其中,防火墙访问阻断用于对攻击源IP进行封堵,具体包括如下步骤:
在防火墙上启用SSH服务,并修改SSH端口;
通过Python程序来访问防火墙,并将攻击源IP加入防火墙的封堵列表中;
DHCP访问阻断用于对受攻击IP进行隔离,具体包括如下步骤:
通过netsh协议访问DHCP服务器,查询受攻击IP是否存在于DHCP中:如果不存在,直接结束处理;若存在,则查询受攻击IP所在IP段;
进入受攻击IP所在IP段,删除分配给受攻击IP的地址,以达到隔离终端的效果;
DNS访问阻断用于对恶意域名进行阻断,具体包括如下步骤:
通过dnscmd命令访问DNS服务器,查询恶意域名列表中是否存在恶意域名:若存在,则结束处理;若不存在,则将该恶意域名加入到DNS***中,并将域名地址指向127.0.0.2,以防止用户访问;
S4. 通过邮件发送的方式,进行远程预警;具体包括如下步骤:
通过Python程序访问邮箱服务器;
将处理信息通过邮件发送给管理员,以完成远程预警;所述的处理信息包括攻击类型、攻击源IP、受攻击IP、攻击时间和处置情况。

Claims (2)

1.一种针对电网***的网络攻击行为智能处置方法,包括如下步骤:
S1. 当流量传感器检测到攻击行为时,从流量传感器接收攻击日志;具体包括如下步骤:
在流量传感器上,将日志传输地址设置为***部署的地址,传输协议选择TCP协议;
通过Python程序来接收TCP协议的传输信息;
将接收到的攻击日志按条分解;
S2. 根据步骤S1获取的攻击日志,进行攻击类型的识别;具体包括如下步骤:
逐条进行攻击行为的类型识别;
识别攻击类型为主动式攻击或被动式攻击:主动式攻击为由攻击者主动访问受攻击目标的攻击,包括WEB攻击、弱口令攻击和拒绝服务攻击;被动式攻击为由攻击者控制受攻击目标访问攻击者控制的恶意域名的攻击;
若确定攻击类型为主动式攻击,则检查攻击源IP和受攻击IP是否均处于监测范围:若是,则调用防火墙访问功能,将攻击源IP加入封堵范围;若否,则不进行任何操作;
若确定攻击类型为被动式攻击,则先调用DNS访问功能,检查攻击恶意域名是否列入恶意域名列表:若是,则调用DHCP访问功能对受攻击IP进行隔离;若否,则将恶意域名加入恶意域名列表,再调用DHCP访问功能对受攻击IP进行隔离;
S3. 根据步骤S2得到的识别结果,进行防火墙访问阻断、DHCP访问阻断和DNS访问阻断;
所述的防火墙访问阻断,用于对攻击源IP进行封堵,具体包括如下步骤:
在防火墙上启用SSH服务,并修改SSH端口;
通过Python程序来访问防火墙,并将攻击源IP加入防火墙的封堵列表中;
所述的DHCP访问阻断,用于对受攻击IP进行隔离,具体包括如下步骤:
通过netsh协议访问DHCP服务器,查询受攻击IP是否存在于DHCP中:如果不存在,直接结束处理;若存在,则查询受攻击IP所在IP段;
进入受攻击IP所在IP段,删除分配给受攻击IP的地址,以达到隔离终端的效果;
所述的DNS访问阻断,用于对恶意域名进行阻断,具体包括如下步骤:
通过dnscmd命令访问DNS服务器,查询恶意域名列表中是否存在恶意域名:若存在,则结束处理;若不存在,则将该恶意域名加入到DNS***中,并将域名地址指向127.0.0.2,以防止用户访问;
S4. 通过邮件发送的方式,进行远程预警。
2.根据权利要求1所述的针对电网***的网络攻击行为智能处置方法,其特征在于步骤S4所述的通过邮件发送的方式,进行远程预警,具体包括如下步骤:
通过Python程序访问邮箱服务器;
将处理信息通过邮件发送给管理员,以完成远程预警;所述的处理信息包括攻击类型、攻击源IP、受攻击IP、攻击时间和处置情况。
CN202210650557.4A 2022-06-09 2022-06-09 针对电网***的网络攻击行为智能处置方法 Active CN115022056B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210650557.4A CN115022056B (zh) 2022-06-09 2022-06-09 针对电网***的网络攻击行为智能处置方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210650557.4A CN115022056B (zh) 2022-06-09 2022-06-09 针对电网***的网络攻击行为智能处置方法

Publications (2)

Publication Number Publication Date
CN115022056A CN115022056A (zh) 2022-09-06
CN115022056B true CN115022056B (zh) 2023-11-21

Family

ID=83073703

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210650557.4A Active CN115022056B (zh) 2022-06-09 2022-06-09 针对电网***的网络攻击行为智能处置方法

Country Status (1)

Country Link
CN (1) CN115022056B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103916406A (zh) * 2014-04-25 2014-07-09 上海交通大学 一种基于dns日志分析的apt攻击检测***和方法
CN104811447A (zh) * 2015-04-21 2015-07-29 深信服网络科技(深圳)有限公司 一种基于攻击关联的安全检测方法和***
CN112165470A (zh) * 2020-09-18 2021-01-01 国网辽宁省电力有限公司电力科学研究院 一种基于日志大数据分析的智能终端接入安全预警***
CN114598525A (zh) * 2022-03-09 2022-06-07 中国医学科学院阜外医院 一种针对网络攻击的ip自动封禁的方法和装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9294483B2 (en) * 2013-05-03 2016-03-22 John Wong Method and system for mitigation of distributed denial of service (DDOS) attacks
US11223637B2 (en) * 2018-01-07 2022-01-11 Microsoft Technology Licensing, Llc Detecting attacks on web applications using server logs

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103916406A (zh) * 2014-04-25 2014-07-09 上海交通大学 一种基于dns日志分析的apt攻击检测***和方法
CN104811447A (zh) * 2015-04-21 2015-07-29 深信服网络科技(深圳)有限公司 一种基于攻击关联的安全检测方法和***
CN112165470A (zh) * 2020-09-18 2021-01-01 国网辽宁省电力有限公司电力科学研究院 一种基于日志大数据分析的智能终端接入安全预警***
CN114598525A (zh) * 2022-03-09 2022-06-07 中国医学科学院阜外医院 一种针对网络攻击的ip自动封禁的方法和装置

Also Published As

Publication number Publication date
CN115022056A (zh) 2022-09-06

Similar Documents

Publication Publication Date Title
US9699204B2 (en) Abnormal traffic detection apparatus and method based on modbus communication pattern learning
KR101369727B1 (ko) 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법
CN108931968B (zh) 一种应用于工业控制***中的网络安全防护***及其防护方法
CN102035793B (zh) 僵尸网络检测方法、装置以及网络安全防护设备
CN110855697A (zh) 电力行业网络安全的主动防御方法
CN111510436B (zh) 网络安全***
CN101621428A (zh) 一种僵尸网络检测方法及***以及相关设备
CN110012036A (zh) 一种针对工业物联网数据采集层终端设备的安全防护体系
CN111193738A (zh) 一种工业控制***的入侵检测方法
Kang et al. Cyber threats and defence approaches in SCADA systems
CN114257413A (zh) 基于应用容器引擎的反制阻断方法、装置和计算机设备
CN110162978A (zh) 一种终端安全风险评估管理方法、装置及***
CN115022056B (zh) 针对电网***的网络攻击行为智能处置方法
Kang et al. Whitelists based multiple filtering techniques in SCADA sensor networks
Feng et al. Snort improvement on profinet RT for industrial control system intrusion detection
CN114137934A (zh) 一种具有入侵检测功能的工业控制***及检测方法
CN109474567B (zh) Ddos攻击溯源方法、装置、存储介质及电子设备
CN115174242B (zh) 一种内网与外网间的数据安全传输控制方法及***
CN116668078A (zh) 一种互联网入侵安全防御***
US11621972B2 (en) System and method for protection of an ICS network by an HMI server therein
CN114760151B (zh) 一种通过plc获取上位机权限的方法和装置
CN116781380A (zh) 一种校园网安全风险终端拦截溯源***
CN113467311B (zh) 基于软件定义的电力物联网安全防护装置及方法
Sawada Model-based cybersecurity for control systems: Modeling, design and control
CN117714126A (zh) 一种基于人工智能的自动网络安全防护***及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant