logo好方法网

电网信息物理系统网络攻击物理侧与信息侧协同溯源装置

发布时间:2020-09-10 发布人:admin 分类:专利技术 资料大小:1.19M 资料格式:pdf

技术摘要:
本发明公开了一种电网信息物理系统网络攻击物理侧与信息侧协同溯源装置,包括:入侵检测模块,用于输出各类攻击异常信息、业务威胁度、流量统计数据异常度及终端异常度;考虑网络攻击的电网物理系统故障溯因模块,用于确定故障物理元件及故障类型,并根据所述故障物理  全部
背景技术:
网络攻击溯源可以帮助电网信息物理系统(Grid  Cyber-Physical  Systems, GCPS)采取合适的防御策略,从源头处阻断攻击,最大程度上使电网信息物理系统摆脱攻击 的威胁。目前,缺乏针对电网信息物理系统的网络攻击溯源模型的相关研究。由于传统的网 络攻击溯源模型都是以入侵检测系统发现攻击为触发条件,利用已知的攻击相关信息定位 攻击源所在位置,无法对电网物理系统发生故障的原因进行追溯,也无法对一些入侵检测 系统未发现但已造成电网物理系统发生故障的攻击进行追溯。
技术实现要素:
本发明的目的在于提供一种电网信息物理系统网络攻击物理侧与信息侧协同溯 源装置,可以发现一部分已造成物理系统故障但未被入侵检测系统检测出的网络攻击,实 现电网物理系统故障溯因与电网信息系统网络攻击溯源。 本发明解决其技术问题所采用的技术方案是: 一种电网信息物理系统网络攻击物理侧与信息侧协同溯源装置,包括: 入侵检测模块,包括报文攻击检测子模块、泛洪攻击检测子模块和恶意代码攻击 检测子模块; 所述报文攻击检测子模块,用于对网络流量数据进行检测,并输出业务威胁度,若 检测到报文攻击时输出报文攻击异常信息,所述报文攻击异常信息包括:原始攻击报文、攻 击报文的捕获点位置的MAC地址、攻击报文的捕获时间、受攻击终端的MAC地址; 所述泛洪攻击检测子模块,用于对网络流量统计数据进行检测,并输出流量统计 数据异常度,若检测到泛洪攻击时输出泛洪攻击异常信息,所述泛洪攻击异常信息包括:原 始攻击报文、攻击报文的捕获点位置的MAC地址、攻击报文的捕获时间和受攻击终端的MAC 地址; 所述恶意代码攻击检测子模块,用于对终端文件进行检测,并输出终端异常度,若 检测到存在泛洪攻击时,输出恶意代码攻击异常信息,所述恶意代码攻击异常信息包括:恶 意代码文件、受攻击终端的MAC地址; 考虑网络攻击的电网物理系统故障溯因模块,用于确定故障物理元件及故障类 型,并根据所述故障物理元件及所述故障类型,确定误动或拒动的信息系统故障节点和关 联节点,并结合所述信息系统故障节点和关联节点的业务威胁度、流量统计数据异常度和 终端异常度,确定故障原因; 电网信息系统网络攻击溯源模块,用于若故障原因为网络攻击,则根据所述信息 系统故障节点和关联节点的攻击异常信息,确定攻击源与攻击路径。 4 CN 111556083 A 说 明 书 2/7 页 进一步地,所述考虑网络攻击的电网物理系统故障溯因模块,包括: 电网物理系统故障感知子模块,用于在物理系统发生故障后,确定故障的发生及 故障级别; 电网物理系统故障定位子模块,用于在确定物理系统发生故障后,确定故障物理 区段,以及物理元件,并确定元件故障类型; 电网信息系统故障节点及关联节点确定子模块,用于根据故障发生的物理区段与 物理元件,确定误动或拒动的信息系统故障节点及关联节点; 信息收集子模块,用于获取故障物理区段、故障物理元件、误动或拒动的信息系统 故障节点及关联节点的相关信息; 故障溯因子模块,根据信息收集子模块获取的相关信息,基于预设的故障溯因树, 确定故障原因,若故障原因为网络攻击时,确定网络攻击类型,并从入侵检测模块获取攻击 异常信息。 进一步地,所述电网信息系统网络攻击溯源模块,包括: 溯源方法调度子模块,用于判断若故障原因为网络攻击,且为恶意代码攻击源时, 直接输出攻击源,否则,通过溯源子模块进一步对攻击源进行追溯; 溯源子模块,用于根据信息系统故障节点和关联节点的攻击异常信息,确定攻击 源与攻击路径。 进一步地,所述故障原因包括:系统内部原因与网络攻击;其中,所述系统内部原 因包括,物理线路损坏、通信链路故障和软件错误;所述网络攻击包括,恶意代码攻击、泛洪 攻击与报文攻击。 进一步地,所述相关信息包括:故障物理区段及故障物理元件的状态信息;信息系 统故障节点及关联节点的告警信息、业务威胁度、流量统计数据异常度和设备异常度;所述 告警信息包括设备自检告警信息、通信链路状态告警信息和采样值异常告警信息。 本发明的有益效果是: 通过入侵检测模块获取各业务威胁度、流量统计数据异常度和终端异常度,实现 了网络攻击的全面检测。通过考虑网络攻击的电网物理系统故障溯因模块,确定电网信息 系统故障节点,再结合物理故障元件和各类攻击异常信息,能够准确定位故障原因是系统 的物理故障还是网络攻击导致的故障,以及确定网络攻击的类型,有利于进行攻击源和攻 击路径的追溯。可以帮助电网信息物理系统采取合适的防御策略,从源头处阻断攻击,最大 程度上使电网信息物理系统摆脱攻击的威胁。 附图说明 下面将结合附图及实施方式对本发明作进一步说明,附图中: 图1为本发明实施例提供的电网信息物理系统网络攻击物理侧与信息侧协同溯源 装置结构示意图; 图2为本发明实施例提供的电网信息物理系统网络攻击物理侧与信息侧协同溯源 装置应用场景图; 图3为本发明实施例提供的电网信息物理系统网络攻击物理侧与信息侧协同溯源 装置应用流程图。 5 CN 111556083 A 说 明 书 3/7 页
下载此资料需消耗2积分,
分享到:
收藏

相关推荐