[发明专利]电力二次系统的主动安全防御系统及方法

权利要求书

1.一种电力二次系统的主动安全防御系统，在现有电力二次系统安全防御体系的基础上，其特征在于，该主动安全防御系统还包括：

入侵知识获取模块，利用陷阱网络获取电力企业内部网络及外部网络的入侵知识；

入侵知识使用模块，设置于电力企业内部网络内，负责使用获得的入侵知识来实施对电力企业内部网络的防御；

入侵防御系统，部署于内外网交界处，以提高电力二次系统的主动安全防御能力。

2.如权利要求1所述的一种电力二次系统的主动安全防御系统，其特征在于：该入侵知识使用模块包括网络主动防御监控中心与网络主动防御代理，该网络主动防御监控中心部署在中心交换机上，要求能够和网络中所有网络主动防御代理通信，负责为安全管理员提供系统控制平台，制定具有广谱效果的检测规则，接收来自陷阱网络的规则更新；该网络主动防御代理直接连接、运行于被监控网络，能同时并发、实时地对多个子网进行监控，接收由该网络主动防御监控中心传来的命令，回送运行结果。

3.如权利要求2所述的一种电力二次系统的主动安全防御系统，其特征在于：该入侵知识获取模块包括第一陷阱网络及第二陷阱网络，该第一陷阱网络设置于外网区域，与内外网间的防火墙处于并行的位置，其用于检测所有包括绕过该防火墙进入内部网络的数据包，该第二陷阱网络设置于该电力企业内部网络的内网区域，与主干网络连接，用于获取入侵该电力企业内部网络的入侵知识。

4.如权利要求3所述的一种电力二次系统的主动安全防御系统，其特征在于：该第一陷阱网络对来自外部网络的黑客病毒、黑客攻击实施诱捕，并分析其特性，提取检测特征来更新该网络主动防御监控中心的规则数据库；该第二陷阱网络负责诱捕来自内部网络的黑客病毒、黑客攻击实施，分析其特性，提取检测特征来更新该网络主动防御监控中心的规则数据库。

5.如权利要求4所述的一种电力二次系统的主动安全防御系统，其特征在于：该网络主动防御监控中心在发现有新规则生成后，自动将该规则数据库中新策略下发到部署在不同子网内的网络主动防御代理，该网络主动防御代理接收并执行该网络主动防御监控中心制定的策略，完成网络数据包的捕获分析，详细记录网络状态产生日志，发现网络异常并产生告警，通过通信模块完成日志及告警上传至该网络主动防御监控中心。

6.如权利要求5所述的一种电力二次系统的主动安全防御系统，其特征在于：该网络主动防御监控中心接收该网络主动防御代理上传的日志、告警，将其写入数据库，并通知管理员。

7.一种电力二次系统的主动安全防御方法，包括如下步骤：

步骤一，利用陷阱网络获取电力企业内部网络及外部网络的入侵知识，提取其中的检测特征更新网络主动防御监控中心的规则数据库；

步骤二，该网络主动防御监控中心在发现有新规则生成后，自动将规则数据库中新策略下发到部署在不同子网内的网络主动防御代理；

步骤三，该网络主动防御代理接收并执行该网络主动防御监控中心制定的策略，完成网络数据包的捕获分析，发现网络异常并产生告警，通过通信模块完成告警上传；

步骤四，该网络主动防御监控中心接收该网络主动防御代理上传的告警，并对告警进行相应处理。

8.如权利要求7所述的一种电力二次系统的主动安全防御方法，其特征在于：于步骤三中，该网络主动防御代理还记录网络状态产生日志，并将该日志上传；于步骤四中，该网络主动防御监控中心将接收的日志及告警写入数据库，并通知管理员。

9.如权利要求7所述的一种电力二次系统的主动安全防御方法，其特征在于：于步骤四中，对于已知报警，该网络主动防御监控中心直接根据事先定义的方法对攻击进行拦截；对于未知报警，该网络主动防御监控中心申请人工干预，并做出最终判断，以实现双层粒度的检测。

10.如权利要求7所述的一种电力二次系统的主动安全防御方法，其特征在于：于步骤一中，利用第一陷阱网络对来自外部网络的黑客病毒、黑客攻击实施诱捕，并分析其特性，提取检测特征来更新该网络主动防御监控中心上的规则数据库；利用第二陷阱网络诱捕来自电力企业内部网络的黑客病毒、黑客攻击实施，分析其特性，提取检测特征来更新该网络主动防御监控中心的规则数据库。