本發明實施例公開了一種適用于電力網絡的網絡攻擊還原系統，包括：控制終端、主服務器、安全防火墻，所述安全防火墻用于利用協議過濾接口過濾所述控制指令，所述檢測終端用于接收無法通過協議過濾接口的控制指令，并對接收到的控制指令進行網絡攻擊還原，以實現對控制指令進行檢測，以確定是否為網絡攻擊內容，并在確定為網絡攻擊內容時，將所述攻擊內容的信息發送至安全防火墻，以使得所述安全防火墻根據所述攻擊內容信息增加新的檢測規則。本發明還公開了相應的方法。實施本發明實施例，可以有效避免服務器收到網絡攻擊，增強了電力網絡的安全性。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種適用于電力網絡的網絡攻擊還原系統及方法。

背景技術

在信息技術高速發展的今天，網絡技術不斷地應用到各種電力控制系統中，同時提高了國家電力系統的整體效率，特別是供電單位通過遠程控制，減少操作人員，提高了工作效率，增加了效益。隨著電力系統對網絡應用需求的不斷增加，與此同時，也對我國電力系統的安全防護方面提出了更高的要求。

電力內部管理網絡在電力系統產電供電和服務方面發揮了重要作用，同時，也為電網調度控制系統的安全保駕護航，確保電力系統能安穩地運行。電力內部管理網絡安全漏洞容易受到黑客的攻擊，造成電力系統事故。為了減少網絡攻擊造成的損失，越來越多的安全分析場景需要對全網環境中遭受的攻擊進行快速準確還原,以盡快確定網絡攻擊的類型和對應的漏洞，進而盡快彌補漏洞和制定新的攔截規則。

在實現本發明的過程中，發明人發現如下技術問題：電力內部管理網絡通常作為局域專網，避免直接暴露在互聯網下。目前現有的網絡攻擊還原技術重點在于還原直接漏洞攻擊，以查找攻擊路徑和攻擊對應的端口，特別是隱藏后的攻擊主機和攻擊代碼。而在內網中，直接漏洞攻擊的可能性較少，并不適用于電力網絡，特別是內部電力管理控制網絡。

發明內容

本發明所要解決的技術問題在于，提供一種適用于電力網絡的網絡攻擊還原系統及方法，以解決現有技術中網絡攻擊還原技術對電力網絡適用性差的技術問題。

為解決上述技術問題，本發明的一方面，提供了一種適用于電力網絡的網絡攻擊還原系統，包括主服務器、多個控制終端，以及連接在所述控制終端與主服務器之間的安全防火墻，安全防火墻連接有檢測終端，其中：

控制終端，用于向主服務器發送控制指令；

主服務器，用于根據所述控制指令，對電力網絡進行運行控制，所述控制終端與所述主服務器在同一局域網內通過網絡連接；

安全防火墻，用于利用協議過濾接口過濾所述控制指令，并將過濾后合格的控制指令發送至主服務器；

檢測終端，用于接收無法通過協議過濾接口的控制指令，并對接收到的控制指令進行網絡攻擊還原，以實現對控制指令進行檢測，以確定是否為網絡攻擊內容，并在確定為網絡攻擊內容時，將所述攻擊內容的信息發送至安全防火墻，以使得所述安全防火墻根據所述攻擊內容信息增加新的檢測規則。

其中，所述檢測終端，包括：

檢測虛擬機，所述檢測虛擬機用于對可能包括網絡攻擊內容進行檢測。

其中，所述檢測虛擬機包括：

進程監測模塊，用于監測新創建進程，所述進程監測模塊預先向系統提供其所對應的進程在進程樹的位置以實現對進程監測模塊對應的進程的驗證，在通過驗證后，向系統提供所述所對應的進程的指針；

進程判斷模塊，用于根據所述新創建進程判斷是否包括網絡攻擊內容。

其中，所述進程判斷模塊進一步用于：

計算進程釋放文件的MD5碼，根據所述MD5碼確定是否為網絡攻擊內容。

其中，所述檢測虛擬機包括：