本發(fā)明公開一種基于電力網(wǎng)絡(luò)環(huán)境下的安全威脅追溯方法。對(duì)電力網(wǎng)絡(luò)環(huán)境下不同安全域的實(shí)際運(yùn)行場景進(jìn)行安全威脅地深入精準(zhǔn)化主動(dòng)追溯，識(shí)別電力網(wǎng)絡(luò)環(huán)境下各類網(wǎng)絡(luò)安全威脅進(jìn)行綜合式分析，結(jié)合攻擊過程中在不同節(jié)點(diǎn)處所留下的行為軌跡及系統(tǒng)進(jìn)程影響進(jìn)行關(guān)聯(lián)性分析，貼合電力網(wǎng)絡(luò)環(huán)境實(shí)際應(yīng)用場景形成適應(yīng)的安全威脅行為模型，實(shí)現(xiàn)對(duì)電力網(wǎng)絡(luò)環(huán)境下各類網(wǎng)絡(luò)安全威脅的統(tǒng)一管控，有效防止可疑性威脅行為的發(fā)生，滿足電力網(wǎng)絡(luò)環(huán)境下不同安全域的防護(hù)需求。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)威脅追溯技術(shù)領(lǐng)域，尤其涉及一種基于電力網(wǎng)絡(luò)環(huán)境下的安全威脅追溯方法及系統(tǒng)。

背景技術(shù)

系統(tǒng)漏洞借助各大社區(qū)、社交平臺(tái)，漏洞的傳播速度驚人，早上披露的系統(tǒng)漏洞，到下午可能已經(jīng)有了利用代碼，到了晚上很多攻擊可能已經(jīng)發(fā)生。由于利用系統(tǒng)漏洞帶來的龐大利益，越來越多的人投身于漏洞研究，越來越多的系統(tǒng)漏洞利用腳本被開發(fā)應(yīng)用，普通人不需要具備專業(yè)知識(shí)，就可以成為一名破壞力十足的黑客。

現(xiàn)在的電力系統(tǒng)經(jīng)過多年建設(shè)，已經(jīng)形成了一定的積累，完成了多種安全防御措施與管理措施，主要通過檢測系統(tǒng)的運(yùn)行情況，及時(shí)發(fā)現(xiàn)和制止對(duì)系統(tǒng)進(jìn)行的各種攻擊。但安全工作都處于被動(dòng)狀態(tài)，只當(dāng)出現(xiàn)問題時(shí)再定位源頭和處理，但在平常，安全隱患已經(jīng)潛伏在服務(wù)器中，例如新增了未知帳號(hào)，被安裝未知程序等等，這些潛在的風(fēng)險(xiǎn)威脅著電力行業(yè)信息安全。

發(fā)明內(nèi)容

針對(duì)上述問題，本發(fā)明提出一種基于電力網(wǎng)絡(luò)環(huán)境下的安全威脅追溯方法及系統(tǒng)，主要解決電力網(wǎng)絡(luò)系統(tǒng)主要采用被動(dòng)防御不夠安全的問題。

為解決上述技術(shù)問題，本發(fā)明一方面提出了一種基于電力網(wǎng)絡(luò)環(huán)境下的安全威脅追溯方法，包括以下步驟，

根據(jù)配置的電力網(wǎng)絡(luò)漏洞采集策略從網(wǎng)絡(luò)公開的漏洞庫中采集威脅情報(bào)信息，對(duì)于危害等級(jí)判別為高危的所述威脅情報(bào)信息進(jìn)行情報(bào)預(yù)警公告；

獲取安全威脅的各攻擊場景，判斷所述各攻擊場景中所包含的攻擊步驟在不同節(jié)點(diǎn)處所留下的行為軌跡以及系統(tǒng)進(jìn)程影響是否存在的相同的關(guān)聯(lián)規(guī)則，其中每個(gè)所述攻擊步驟對(duì)應(yīng)多個(gè)不同的能夠?qū)崿F(xiàn)該攻擊步驟的事件；

若存在所述相同的關(guān)聯(lián)規(guī)則，則觸發(fā)威脅的檢測流程：若所述情報(bào)預(yù)警公告為攻擊場景中任一的攻擊步驟所對(duì)應(yīng)的事件，則將所述當(dāng)前電力網(wǎng)絡(luò)中的原始事件直接作為該攻擊場景所對(duì)應(yīng)的一條新的攻擊序列保存；

對(duì)得到的所述攻擊序列進(jìn)行追溯處理，保存溯源路徑并進(jìn)行輸出。

優(yōu)選的，將所述溯源路徑通過共享接口發(fā)送到拓展平臺(tái)。

優(yōu)選的，將所述溯源路徑發(fā)送到客戶端，所述溯源路徑還用于觸發(fā)所述客戶端產(chǎn)生協(xié)助警報(bào)。

優(yōu)選的，根據(jù)電力網(wǎng)絡(luò)的架構(gòu)特征構(gòu)建所述電力網(wǎng)絡(luò)漏洞采集策略。

優(yōu)選的，歷史積累的所述威脅情報(bào)信息經(jīng)分類后輸出統(tǒng)計(jì)分析報(bào)表。

另一方面，本發(fā)明還提出了一種基于電力網(wǎng)絡(luò)環(huán)境下的安全威脅追溯系統(tǒng)，包括：

采集裝置，用于根據(jù)配置的電力網(wǎng)絡(luò)漏洞采集策略從網(wǎng)絡(luò)公開的漏洞庫中采集威脅情報(bào)信息，對(duì)于危害等級(jí)判別為高危的所述威脅情報(bào)信息進(jìn)行情報(bào)預(yù)警公告；

第一檢測裝置，用于獲取安全威脅的各攻擊場景，判斷所述各攻擊場景中所包含的攻擊步驟在不同節(jié)點(diǎn)處所留下的行為軌跡以及系統(tǒng)進(jìn)程影響是否存在的相同的關(guān)聯(lián)規(guī)則，其中每個(gè)所述攻擊步驟對(duì)應(yīng)多個(gè)不同的能夠?qū)崿F(xiàn)該攻擊步驟的事件；

第二檢測裝置，若存在所述相同的關(guān)聯(lián)規(guī)則，則觸發(fā)威脅的檢測流程：若所述情報(bào)預(yù)警公告為攻擊場景中任一的攻擊步驟所對(duì)應(yīng)的事件，則將所述當(dāng)前電力網(wǎng)絡(luò)中的原始事件直接作為該攻擊場景所對(duì)應(yīng)的一條新的攻擊序列保存；

追溯裝置，用于對(duì)得到的所述攻擊序列進(jìn)行追溯處理，保存溯源路徑并進(jìn)行輸出。