[发明专利]一种变电站网络安全态势感知方法及系统

说明书

本发明公开了一种变电站网络安全态势感知方法及系统，其中系统包括网络扫描模块用于对网络报文的分析实现网络拓扑的发现及网络异常告警；主机核查模块用于将各主机与基线库的比对得到主机的安全状态；漏洞扫描模块用于对各主机的漏洞扫描得到主机的漏洞信息；报文解析模块用于对变电站报文的深度解析来检测是否存在畸形或攻击报文；网络设备检测模块用于对网络设备及安防设备的监视实现日志的采集；态势感知模块用于根据各个模块采集到的信息进行威胁分析、脆弱点分析和关联分析。本发明针对变电站网络的特点，给出了对于网络安全态势感知所需要采集的数据对象；并给出了处理流程和管控方法，有利于提高变电站整体的网络安全。

技术领域

本发明涉及一种变电站网络安全态势感知方法及系统，属于变电站网络安全和电力自动化领域。

背景技术

随着智能变电站的全面普及和推进，变电站在站控层、间隔层和过程层的网络越来越复杂。而日趋复杂的变电站网络环境也带来了更多的安全隐患，变电站中的网络安全越来越得到重视。当前变电站的网络安全主要依靠网络专用、安全分区、横向隔离、纵向认证来实现安全区和变电站的边界防护。但对于变电站的内部网络安全防护，相对还比较薄弱。一旦内部主机或二次设备感染病毒，或是操作人员非恶意性的非法操作，会对变电站的运行造成严重的安全威胁。因此对变电站整个网络的设备和通信进行监测和管控就非常重要。

因此，需要一个能够对变电站网络安全进行态势感知的系统，能够采集各种设备和网络的安全状态，对采集信息进行提取、分析和处理，通过汇总、过滤和关联分析安全事件，评估变电站的风险等级，给出决策支持，并能对安全威胁进行管控。

发明内容

本发明的目的旨在解决现有技术中存在的上述问题和缺陷的至少一个方面。

为实现上述目的，本发明提供了一种变电站网络安全态势感知方法，包括：

对镜像网络报文进行抓取获得数据包，并以网络白名单为基础对数据包进行网络安全状态识别实现网络异常告警，获得网络安全状态识别结果；

根据SNMP规约从交换机获取网络拓扑信息及网络异常告警并进行网络拓扑显示；

在主机上安装安全监测探针程序，获得主机的安全状态并确定主机上对应的操作系统或中间件版本是否满足基线库要求，得到主机的安全状态识别结果；

对主机进行漏洞扫描，并与漏洞库对比获得主机的漏洞信息；

根据规约库中特定规约对网络抓包中获得的应用层报文进行分析确定是否存在畸变或攻击报文，获得应用层报文解析结果；

通过SNMP规约或syslog规约采集网络设备的日志信息；通过syslog规约采集，获得安防设备的日志信息；

响应于获得的网络安全状态识别结果、主机的安全状态识别结果、应用层报文解析结果以及安防设备的日志信息进行威胁分析、脆弱点分析和关联分析；所述威胁分析包括分析可能存在的网络攻击；所述脆弱点分析包括分析网络中的设备可能存在基线版本低或存在漏洞；所述关联分析包括将各类告警或日志进行归并或多源数据融合。

进一步地，还包括通过人工智能算法进行态势预测并通过层次分析法进行网络风险评估，获得态势预测结果和网络风险评估结果并给出威胁情报和决策支持。

进一步地，还包括根据预先设定的系统配置预测结果和网络风险评估结果进行网络风险控制，所述网络风险控制包括交换机/主机的网口关闭、主机USB口禁用和威胁源主动攻击。

优选地，网络拓扑显示能动态反映网络拓扑变化。

优选地，所述安全状态识别包括非法IP识别和非法连接识别。

优选地，所述主机的安全状态识别包括非法外联、USB设备接入和非法操作识别。