[发明专利]基于网络架构的电力系统内部APT攻击检测及预警系统

权利要求书

1.基于网络架构的电力系统内部APT攻击检测及预警系统，电力系统包括有用户终端和系统服务器，多台用户终端与系统服务器相连，其特征在于：包括有用户终端监控子系统、服务器监控子系统和云平台管理子系统；

用户终端监控子系统，安装在每台用户终端上，对用户终端的邮件、便携式移动设备进行实时监控防护，对用户终端的通信流量进行监控，并记录和分析用户的操作记录日志，并将记录的信息发送至云平台管理子系统；

服务器监控子系统，安装在系统服务器上，用于监控用户权限和流量，对系统服务器进行防护，并对系统服务器操作进行记录，生成日志文件，并将记录的信息发送至云平台管理子系统；

云平台管理子系统，分别与每台用户终端和每台系统服务器进行信息交互，协调用户终端和系统服务器的数据通信、存储和计算功能，分析用户终端监控子系统和服务器监控子系统上传的信息文件，对APT攻击进行分析预警；

所述云平台管理子系统针对APT攻击的监控信息包括有：

A)针对Web、邮件和传输文件信息；

B)针对文件进行静态分析和动态运行分析信息；

C)针对可以攻击流量信息；

D)针对Web行为模型进行建模和统计分析信息；

E)针对用户活动日志的分析信息；

所述云平台管理子系统对APT攻击进行分析预警的方法包括有：

1)异常行为分析法；

2)漏洞挖掘法；

3)反向跟踪法；

异常行为分析法的具体方法为：

1-1)针对通信流量采用抽样检测进行监控，检测是否有异常数据包的外发，用于检测数据是否被窃取外发；

1-2)对用户权限进行监测，对各权限区域数据的访问的授权进行验证，找出是否有非法访问、越权访问、权限变更；

1-3)对行为模式进行监测，根据用户类型，对其权限内的行为进行建模，对于非模型行为进行合理性判断；

1-4)基于行为模式的异常检测，将用户权限内的操作归并，找出其中的规律并建立行为模式。

2.如权利要求1所述的基于网络架构的电力系统内部APT攻击检测及预警系统，其特征在于，所述用户终端监控子系统包括有用户终端防护模块和用户终端监控模块；

用户终端防护模块，对用户终端的邮件和便携式移动设备进行监控并查杀病毒；

用户终端监控模块包括有以下子模块：

用户终端设备管理子模块，用于管理用户终端安全设备的信息，实现对用户终端安全设备的增加、删除、修改和查询；

用户终端事件管理子模块，用于实时显示用户终端的安全事件，查看各安全事件的详细信息；所述安全事件包括有病毒信息、防火墙信息、防火墙日志信息、入侵检测信息和用户终端安全信息；

用户终端告警管理子模块，对安全事件进行分析，生成图形和文字的告警信息；

用户终端报表管理子模块，生成安全事件统计报表和设备信息报表；

用户终端应急管理子模块，对用户终端的软件和硬件备份资源信息，快速定位备份资源信息，通过记录安全告警信息的处理过程形成案件库；

用户终端系统管理子模块，用于用户终端系统基础数据输入、系统用户管理和系统参数配置管理；

用户终端工具管理子模块，提供工具下载权限，包括有普通工具下载权限和管理员工具下载权限。

3.如权利要求2所述的基于网络架构的电力系统内部APT攻击检测及预警系统，其特征在于：所述用户终端采用多级部署管理，下级用户终端监控模块将信息发送至上级用户终端监控模块，上级用户终端监控模块对下级用户终端监控模块的数据进行控制。