本發明公開了一種閉源電力工控系統的安全防御系統及防御方法。所述安全防御系統包括：預測模塊、防御模塊、檢測模塊、響應模塊、學習模塊，所述預測模塊通過收集情報并進行分析，識別出潛在的威脅，并建立威脅數據庫以及基于攻擊樹的威脅模型；所述防御模塊基于預測模塊識別出的潛在威脅進行防御性部署；所述檢測模塊通過攻擊匹配和系統狀態數據監控對實際發生的攻擊行為進行檢測；所述響應模塊對檢測模塊檢測的攻擊作出相應的響應，并記錄響應日志；所述學習模塊通過分析歷史響應日志和定期學習對威脅數據庫和威脅模型進行更新。本發明的安全防御系統能夠防范絕大多數外部攻擊方式，能夠靈活適應并預測敵方攻擊中的改變。

技術領域

本發明涉及電力工控系統的信息安全，具體涉及一種閉源電力工控系統的安全防御系統及防御方法。

背景技術

電力系統的安全穩定運行關系著整個社會的穩定和經濟發展，為適應全球能源互聯網的發展需求，加之閉源系統的安全特殊性，對保障電力工控系統信息安全提出了更高的要求。面向工業控制系統(Industrial Control System，ICS)的網絡威脅的頻率和復雜程度不斷提高。這一現實，加上ICS與企業網絡之間日益增強的互連性以及對標準系統平臺和操作系統的利用，給關鍵基礎架構的安全性和信息系統的安全性均帶來了潛在威脅。

傳統的安全防御架構方法主要通過系統加固應對攻擊，這樣做的潛臺詞是一旦系統部署上去就有責任攔截所有攻擊。然而過度依賴加固的系統在其生命周期中無法從攻擊者那學到什么，也沒法適應其技術、能力和目標中的改變，更不用說當攻擊者偶爾成功時能處理好突發情況。因此有必要對現有的電力工控系統安全防御體系加以改進，使得系統能夠應對更加復雜多變的攻擊手段。

發明內容

發明目的：針對現有技術的不足，本發明提供了一種閉源電力工控系統的安全防御系統，提高電力工控系統應對攻擊的能力。

本發明的另一目的是提供一種閉源電力工控系統的安全防御方法。

技術方案：第一方面，一種閉源電力工控系統的安全防御系統，包括：預測模塊、防御模塊、檢測模塊、響應模塊、學習模塊，這五大模塊構成閉環進行防御，所述預測模塊通過收集情報并進行分析，識別出潛在的威脅，并建立威脅數據庫以及基于攻擊樹的威脅模型；所述防御模塊基于預測模塊識別出的潛在威脅進行防御性部署；所述檢測模塊通過攻擊匹配和系統狀態數據監控對實際發生的攻擊行為進行檢測；所述響應模塊對檢測模塊檢測的攻擊作出相應的響應，并記錄響應日志；所述學習模塊通過分析歷史響應日志和定期學習對威脅數據庫和威脅模型進行更新。

其中，所述預測模塊包括：資產識別單元，通過業務上下文分析識別系統的資產，記錄系統和環境中的資產類型，并指明其所在位置，對資產進行賦值；

攻擊面確定單元，根據閉源電力工控系統的體系結構分離出各種組件，得到每一個組件要實現的功能，結合功能的實現方式以及實現過程中用到的技術手段來定義各個組件的攻擊面；

系統分解單元，根據資產賦值結果和定義的攻擊面將應用系統分解為層次化的視圖；

攻擊向量識別單元，基于定義的攻擊面、系統分解及主要使用案例來記錄攻擊途徑，捕捉包含在這些路徑中的組件及功能范圍，形成攻擊向量；

威脅輸出單元，判定資產面臨的攻擊者及其攻擊意圖，具體特征包括攻擊動機、技能水平、攻擊行為所需要的資源與目標，并將其列出，包括威脅源和攻擊代理；

攻擊樹建立單元，根據威脅源和攻擊代理、攻擊面、攻擊向量，繪制成樹的結構形式建立攻擊樹，表示威脅攻擊及其攻擊步驟間的邏輯關系；

威脅數據庫建立單元：建立包含威脅代號、威脅名稱、威脅特征、威脅等級、威脅解決方案、解決方案程序指令以及威脅的攻擊樹路徑字段的威脅數據庫；