[发明专利]基于网络架构的电力系统内部APT攻击检测及预警系统

说明书

技术领域

本发明涉及信息安全技术领域，特别是一种针对APT攻击的检测及预警系统。

背景技术

高级持续性威胁(Advanced Persistent Threat，APT)，是针对一个特定组织所做的复杂的、多方位的、长期的且持续性的网络攻击，是一种以商业和政治为目的的网络犯罪类别，具有长期经营与策划、高度隐蔽等特性。

根据入侵方式，APT攻击分为两类：一类是对公司的对公服务器进行攻击，再以服务器为跳板攻击公司内部网络，这类攻击方式叫做外部APT攻击；另一类是通过对公司员工的电脑进行攻击，再以员工电脑为跳板攻击公司内部服务器，这类攻击方式成为内部APT攻击，这种方式称为更加难以防范，也更具有隐蔽性。

APT攻击在近些年内多次被发现，其影响很深，比较著名的攻击包括极光攻击、夜龙攻击，RSA SecurID窃取攻击，震网攻击，Shady RAT，韩国黑客入侵事件等。

来自企业内部的APT攻击的一个典型案例就是震网攻击，它攻击的对象是一个与外界物理隔离的能源网络系统，这是一次十分成功的APT攻击，而其最为恐怖的地方就在于极为巧妙的控制了攻击范围，攻击十分精准。其攻击流程如下：

(1)攻击者通过社会工程学的方法收集核电站相关工作人员的信息。

(2)攻击者针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻击，并进一步感染相关人员的U盘。

(3)病毒以U盘为桥梁进入堡垒内部，随即潜伏下来。

(4)病毒很有耐心的逐步扩散，利用多种漏洞，包括当时的一个0day漏洞，一点一点的进行破坏。

与国外企业不同，国内企业更加内敛和低调，即使发生了安全事故也往往不为人知。自从CSDN密码被黑客窃取并公开之后，很多黑客利用这个数据库对其他网站的密码进行猜测式攻击，导致多个网站出现账户异常、账户被盗等严重问题，使得多起APT攻击案例被迫曝光。

就电力企业而言，信息网络的安全直接关系着其自身的效益与发展，最重要的是它还关系到电力生产系统的安全性与稳定性，对于如今生活生产都依赖于电力保障的社会来说至关重要。

电力企业调度数据网和综合信息网在物理上实现了隔离，在一定程度上保证了调度数据网的安全运行，避免受到来自综合信息网的可能的攻击；但是，财务、营销、客户管理等系统的网络信息安全还相当薄弱。电力系统虽然对计算机信息安全一直非常重视，但由于各种原因，目前还没有一套统一完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范。

火眼公司提供的2013年APT攻击报告指出，这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行，包括能源、电力、国防、金融等关系到国计民生，或者是国家核心利益的网络基础设施。此外，APT攻击具有持续性，甚至长达数年，这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断的收集各种信息，直到收集到重要情报。

电力行业基于以往的厂电隔离，在信息安全上有着其他行业不可比拟的优势，但这并不意味着电力行业的通信足够安全，事实上，在上述的震网攻击例子中，被攻击的核电站就属于电力行业的一次典型APT案例。

目前，电力企业在网络信息安全方面仍存在：信息化机构建设不够健全、安全法制体系不完善、信息化管理滞后、软硬件依赖国外以及安全意识淡薄等诸多问题。这些问题都增加了电力企业应对APT攻击的难度。

发明内容

本发明的目的就是提供一种基于网络架构的电力系统内部APT攻击检测及预警系统，它可以系统的对APT攻击进行检测及防御，显著提高电力系统的安全性。

本发明的目的是通过这样的技术方案实现的，它包括有用户终端和系统服务器，多台用户终端与系统服务器相连，包括有用户终端监控子系统、服务器监控子系统和云平台管理子系统；

用户终端监控子系统，安装在每台用户终端上，对用户终端的邮件、便携式移动设备进行实时监控防护，对用户终端的通信流量进行监控，并记录和分析用户的操作记录日志，并将记录的信息发送至云平台管理子系统；

服务器监控子系统，安装在系统服务器上，用于监控用户权限和流量，对系统服务器进行防护，并对系统服务器操作进行记录，生成日志文件，并将记录的信息发送至云平台管理子系统；

云平台管理子系统，分别与每台用户终端和每台系统服务器进行信息交互，协调用户终端和系统服务器的数据通信、存储和计算功能，分析用户终端监控子系统和服务器监控子系统上传的信息文件，对APT攻击进行分析预警；