CN115022056B - 针对电网***的网络攻击行为智能处置方法 - Google Patents
针对电网***的网络攻击行为智能处置方法 Download PDFInfo
- Publication number
- CN115022056B CN115022056B CN202210650557.4A CN202210650557A CN115022056B CN 115022056 B CN115022056 B CN 115022056B CN 202210650557 A CN202210650557 A CN 202210650557A CN 115022056 B CN115022056 B CN 115022056B
- Authority
- CN
- China
- Prior art keywords
- attack
- attacked
- domain name
- blocking
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 23
- 230000000903 blocking effect Effects 0.000 claims abstract description 32
- 230000006399 behavior Effects 0.000 claims description 17
- 230000005540 biological transmission Effects 0.000 claims description 10
- 230000000694 effects Effects 0.000 claims description 3
- 238000012544 monitoring process Methods 0.000 claims description 3
- 230000004044 response Effects 0.000 abstract description 5
- 230000008901 benefit Effects 0.000 abstract description 3
- 206010001488 Aggression Diseases 0.000 description 1
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 230000016571 aggressive behavior Effects 0.000 description 1
- 208000012761 aggressive behavior Diseases 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种针对电网***的网络攻击行为智能处置方法,包括当流量传感器检测到攻击行为时从流量传感器接收攻击日志;进行攻击类型的识别;进行防火墙访问阻断、DHCP访问阻断和DNS访问阻断;通过邮件发送的方式进行远程预警。本发明提供的这种针对电网***的网络攻击行为智能处置方法,能够从流量传感器自动接收攻击日志,并且根据攻击类型智能采取相应对策,在防火墙、DHCP***、DNS***和邮件***等设备和***上进行处置;因此,本发明方法能够有效减少攻击窗口的时间,提升***的安全性,而且响应快速、应对速度快且安全可靠。
Description
技术领域
本发明属于计算机网络安全领域,具体涉及一种针对电网***的网络攻击行为智能处置方法。
背景技术
随着经济技术的发展和人们生活水平的提高,电能已经成为了人们生产和生活中必不可少的二次能源,给人们的生产和生活带来了无尽的便利。因此,保证电力***的稳定可靠运行,就成为了电力***最重要的任务之一。
目前,电网***越来越朝着智能化发展,因此电网***的信息网络安全就显得尤为重要。目前,针对电网信息***的攻击行为越来越多。从发现攻击行为到完成攻击行为处置,这之间的时间间隔被称为攻击窗口时间。攻击窗口时间越短,攻击者能够采取的手段越少,信息***面临的安全风险也就越小。
目前,电网针对该类攻击,一般使用流量传感器来检测攻击行为;发现攻击行为之后再通过防火墙、DHCP***、DNS***来对攻击者进行处置;这一方案的优点是成本较低,但是缺点是安全设备和***之间缺乏互动,不能对发现的攻击行为自动进行响应,只能通过管理员手动操作来对攻击行为进行处置。因此不能确保及时对攻击行为进行处置,攻击窗口时间较长。
发明内容
本发明的目的在于提供一种响应快速、应对速度快且安全可靠的针对电网***的网络攻击行为智能处置方法。
本发明提供的这种针对电网***的网络攻击行为智能处置方法,包括如下步骤:
S1. 当流量传感器检测到攻击行为时,从流量传感器接收攻击日志;
S2. 根据步骤S1获取的攻击日志,进行攻击类型的识别;
S3. 根据步骤S2得到的识别结果,进行防火墙访问阻断、DHCP访问阻断和DNS访问阻断;
S4. 通过邮件发送的方式,进行远程预警。
步骤S1所述的从流量传感器接收攻击日志,具体包括如下步骤:
在流量传感器上,将日志传输地址设置为***部署的地址,传输协议选择TCP协议;
通过Python程序来接收TCP协议的传输信息;
将接收到的攻击日志按条分解。
步骤S2所述的进行攻击类型的识别,具体包括如下步骤:
逐条进行攻击行为的类型识别;
识别攻击类型为主动式攻击或被动式攻击:主动式攻击为由攻击者主动访问受攻击目标的攻击,包括WEB攻击、弱口令攻击和拒绝服务攻击;被动式攻击为由攻击者控制受攻击目标访问攻击者控制的恶意域名的攻击;
若确定攻击类型为主动式攻击,则检查攻击源IP和受攻击IP是否均处于监测范围:若是,则调用防火墙访问功能,将攻击源IP加入封堵范围;若否,则不进行任何操作;
若确定攻击类型为被动式攻击,则先调用DNS访问功能,检查攻击恶意域名是否列入恶意域名列表:若是,则直接调用DHCP访问功能对受攻击IP进行隔离;若否,则将恶意域名加入恶意域名列表,再调用DHCP访问功能对受攻击IP进行隔离。
步骤S3所述的防火墙访问阻断,用于对攻击源IP进行封堵,具体包括如下步骤:
在防火墙上启用SSH服务,并修改SSH端口;
通过Python程序来访问防火墙,并将攻击源IP加入防火墙的封堵列表中。
步骤S3所述的DHCP访问阻断,用于对受攻击IP进行隔离,具体包括如下步骤:
通过netsh协议访问DHCP服务器,查询受攻击IP是否存在于DHCP中:如果不存在,直接结束处理;若存在,则查询受攻击IP所在IP段;
进入受攻击IP所在IP段,删除分配给受攻击IP的地址,以达到隔离终端的效果。
步骤S3所述的DNS访问阻断,用于对恶意域名进行阻断,具体包括如下步骤:
通过dnscmd命令访问DNS服务器,查询恶意域名列表中是否存在恶意域名:若存在,则结束处理;若不存在,则将该恶意域名加入到DNS***中,并将域名地址指向127.0.0.2,以防止用户访问。
步骤S4所述的通过邮件发送的方式,进行远程预警,具体包括如下步骤:
通过Python程序访问邮箱服务器;
将处理信息通过邮件发送给管理员,以完成远程预警;所述的处理信息包括攻击类型、攻击源IP、受攻击IP、攻击时间和处置情况。
本发明提供的这种针对电网***的网络攻击行为智能处置方法,能够从流量传感器自动接收攻击日志,并且根据攻击类型智能采取相应对策,在防火墙、DHCP***、DNS***和邮件***等设备和***上进行处置;因此,本发明方法能够有效减少攻击窗口的时间,提升***的安全性,而且响应快速、应对速度快且安全可靠。
附图说明
图1为本发明方法的方法流程示意图。
实施方式
如图1所示为本发明方法的方法流程示意图:本发明提供的这种针对电网***的网络攻击行为智能处置方法,包括如下步骤:
S1. 当流量传感器检测到攻击行为时,从流量传感器接收攻击日志;具体包括如下步骤:
在流量传感器上,将日志传输地址设置为***部署的地址,传输协议选择TCP协议;
通过Python程序来接收TCP协议的传输信息;
将接收到的攻击日志按条分解;
S2. 根据步骤S1获取的攻击日志,进行攻击类型的识别;具体包括如下步骤:
逐条进行攻击行为的类型识别;
识别攻击类型为主动式攻击或被动式攻击:主动式攻击为由攻击者主动访问受攻击目标的攻击,包括WEB攻击、弱口令攻击和拒绝服务攻击;被动式攻击为由攻击者控制受攻击目标访问攻击者控制的恶意域名的攻击;
若确定攻击类型为主动式攻击,则检查攻击源IP和受攻击IP是否均处于监测范围:若是,则调用防火墙访问功能,将攻击源IP加入封堵范围;若否,则不进行任何操作;
若确定攻击类型为被动式攻击,则先调用DNS访问功能,检查攻击恶意域名是否列入恶意域名列表:若是,则调用DHCP访问功能对受攻击IP进行隔离;若否,则将恶意域名加入恶意域名列表,再调用DHCP访问功能对受攻击IP进行隔离;
S3. 根据步骤S2得到的识别结果,进行防火墙访问阻断、DHCP访问阻断和DNS访问阻断;
其中,防火墙访问阻断用于对攻击源IP进行封堵,具体包括如下步骤:
在防火墙上启用SSH服务,并修改SSH端口;
通过Python程序来访问防火墙,并将攻击源IP加入防火墙的封堵列表中;
DHCP访问阻断用于对受攻击IP进行隔离,具体包括如下步骤:
通过netsh协议访问DHCP服务器,查询受攻击IP是否存在于DHCP中:如果不存在,直接结束处理;若存在,则查询受攻击IP所在IP段;
进入受攻击IP所在IP段,删除分配给受攻击IP的地址,以达到隔离终端的效果;
DNS访问阻断用于对恶意域名进行阻断,具体包括如下步骤:
通过dnscmd命令访问DNS服务器,查询恶意域名列表中是否存在恶意域名:若存在,则结束处理;若不存在,则将该恶意域名加入到DNS***中,并将域名地址指向127.0.0.2,以防止用户访问;
S4. 通过邮件发送的方式,进行远程预警;具体包括如下步骤:
通过Python程序访问邮箱服务器;
将处理信息通过邮件发送给管理员,以完成远程预警;所述的处理信息包括攻击类型、攻击源IP、受攻击IP、攻击时间和处置情况。
Claims (2)
1.一种针对电网***的网络攻击行为智能处置方法,包括如下步骤:
S1. 当流量传感器检测到攻击行为时,从流量传感器接收攻击日志;具体包括如下步骤:
在流量传感器上,将日志传输地址设置为***部署的地址,传输协议选择TCP协议;
通过Python程序来接收TCP协议的传输信息;
将接收到的攻击日志按条分解;
S2. 根据步骤S1获取的攻击日志,进行攻击类型的识别;具体包括如下步骤:
逐条进行攻击行为的类型识别;
识别攻击类型为主动式攻击或被动式攻击:主动式攻击为由攻击者主动访问受攻击目标的攻击,包括WEB攻击、弱口令攻击和拒绝服务攻击;被动式攻击为由攻击者控制受攻击目标访问攻击者控制的恶意域名的攻击;
若确定攻击类型为主动式攻击,则检查攻击源IP和受攻击IP是否均处于监测范围:若是,则调用防火墙访问功能,将攻击源IP加入封堵范围;若否,则不进行任何操作;
若确定攻击类型为被动式攻击,则先调用DNS访问功能,检查攻击恶意域名是否列入恶意域名列表:若是,则调用DHCP访问功能对受攻击IP进行隔离;若否,则将恶意域名加入恶意域名列表,再调用DHCP访问功能对受攻击IP进行隔离;
S3. 根据步骤S2得到的识别结果,进行防火墙访问阻断、DHCP访问阻断和DNS访问阻断;
所述的防火墙访问阻断,用于对攻击源IP进行封堵,具体包括如下步骤:
在防火墙上启用SSH服务,并修改SSH端口;
通过Python程序来访问防火墙,并将攻击源IP加入防火墙的封堵列表中;
所述的DHCP访问阻断,用于对受攻击IP进行隔离,具体包括如下步骤:
通过netsh协议访问DHCP服务器,查询受攻击IP是否存在于DHCP中:如果不存在,直接结束处理;若存在,则查询受攻击IP所在IP段;
进入受攻击IP所在IP段,删除分配给受攻击IP的地址,以达到隔离终端的效果;
所述的DNS访问阻断,用于对恶意域名进行阻断,具体包括如下步骤:
通过dnscmd命令访问DNS服务器,查询恶意域名列表中是否存在恶意域名:若存在,则结束处理;若不存在,则将该恶意域名加入到DNS***中,并将域名地址指向127.0.0.2,以防止用户访问;
S4. 通过邮件发送的方式,进行远程预警。
2.根据权利要求1所述的针对电网***的网络攻击行为智能处置方法,其特征在于步骤S4所述的通过邮件发送的方式,进行远程预警,具体包括如下步骤:
通过Python程序访问邮箱服务器;
将处理信息通过邮件发送给管理员,以完成远程预警;所述的处理信息包括攻击类型、攻击源IP、受攻击IP、攻击时间和处置情况。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210650557.4A CN115022056B (zh) | 2022-06-09 | 2022-06-09 | 针对电网***的网络攻击行为智能处置方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210650557.4A CN115022056B (zh) | 2022-06-09 | 2022-06-09 | 针对电网***的网络攻击行为智能处置方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115022056A CN115022056A (zh) | 2022-09-06 |
CN115022056B true CN115022056B (zh) | 2023-11-21 |
Family
ID=83073703
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210650557.4A Active CN115022056B (zh) | 2022-06-09 | 2022-06-09 | 针对电网***的网络攻击行为智能处置方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115022056B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103916406A (zh) * | 2014-04-25 | 2014-07-09 | 上海交通大学 | 一种基于dns日志分析的apt攻击检测***和方法 |
CN104811447A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 一种基于攻击关联的安全检测方法和*** |
CN112165470A (zh) * | 2020-09-18 | 2021-01-01 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于日志大数据分析的智能终端接入安全预警*** |
CN114598525A (zh) * | 2022-03-09 | 2022-06-07 | 中国医学科学院阜外医院 | 一种针对网络攻击的ip自动封禁的方法和装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9294483B2 (en) * | 2013-05-03 | 2016-03-22 | John Wong | Method and system for mitigation of distributed denial of service (DDOS) attacks |
US11223637B2 (en) * | 2018-01-07 | 2022-01-11 | Microsoft Technology Licensing, Llc | Detecting attacks on web applications using server logs |
-
2022
- 2022-06-09 CN CN202210650557.4A patent/CN115022056B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103916406A (zh) * | 2014-04-25 | 2014-07-09 | 上海交通大学 | 一种基于dns日志分析的apt攻击检测***和方法 |
CN104811447A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 一种基于攻击关联的安全检测方法和*** |
CN112165470A (zh) * | 2020-09-18 | 2021-01-01 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于日志大数据分析的智能终端接入安全预警*** |
CN114598525A (zh) * | 2022-03-09 | 2022-06-07 | 中国医学科学院阜外医院 | 一种针对网络攻击的ip自动封禁的方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN115022056A (zh) | 2022-09-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9699204B2 (en) | Abnormal traffic detection apparatus and method based on modbus communication pattern learning | |
KR101369727B1 (ko) | 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법 | |
CN108931968B (zh) | 一种应用于工业控制***中的网络安全防护***及其防护方法 | |
CN102035793B (zh) | 僵尸网络检测方法、装置以及网络安全防护设备 | |
CN110855697A (zh) | 电力行业网络安全的主动防御方法 | |
CN111510436B (zh) | 网络安全*** | |
CN101621428A (zh) | 一种僵尸网络检测方法及***以及相关设备 | |
CN110012036A (zh) | 一种针对工业物联网数据采集层终端设备的安全防护体系 | |
CN111193738A (zh) | 一种工业控制***的入侵检测方法 | |
Kang et al. | Cyber threats and defence approaches in SCADA systems | |
CN114257413A (zh) | 基于应用容器引擎的反制阻断方法、装置和计算机设备 | |
CN110162978A (zh) | 一种终端安全风险评估管理方法、装置及*** | |
CN115022056B (zh) | 针对电网***的网络攻击行为智能处置方法 | |
Kang et al. | Whitelists based multiple filtering techniques in SCADA sensor networks | |
Feng et al. | Snort improvement on profinet RT for industrial control system intrusion detection | |
CN114137934A (zh) | 一种具有入侵检测功能的工业控制***及检测方法 | |
CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
CN115174242B (zh) | 一种内网与外网间的数据安全传输控制方法及*** | |
CN116668078A (zh) | 一种互联网入侵安全防御*** | |
US11621972B2 (en) | System and method for protection of an ICS network by an HMI server therein | |
CN114760151B (zh) | 一种通过plc获取上位机权限的方法和装置 | |
CN116781380A (zh) | 一种校园网安全风险终端拦截溯源*** | |
CN113467311B (zh) | 基于软件定义的电力物联网安全防护装置及方法 | |
Sawada | Model-based cybersecurity for control systems: Modeling, design and control | |
CN117714126A (zh) | 一种基于人工智能的自动网络安全防护***及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |