[发明专利]一种面向电力工控网络的攻击溯源方法及系统

权利要求书

1.一种面向电力工控网络的攻击溯源方法，其特征是，包括以下过程：

在电力工控网络静态时，采集电力工控网络中所有电力VPN设备的隧道配置信息、策略配置信息和链路信息，并获取中心节点及所有终端节点的节点配置表；根据隧道配置信息、链路信息和节点配置表构建网络连接静态模型；

在电力工控网络运行时，获取实时网络连接关系；

将实时网络连接关系与网络连接静态模型比对，若存在不匹配的网络连接，则判定所述网络连接为网络攻击链路；

对检测到的网络攻击链路进行溯源分析，定位攻击者源端所在区域或节点；

根据定位攻击者源端所在区域或节点，将所述策略配置信息更新为限制所述区域或节点的网络连接；

所述对检测到的网络攻击链路进行溯源分析的具体过程为：

(1)根据采集到的隧道配置信息及节点配置表，构建隧道关系表；

此隧道关系表由多条记录构成，每条记录包含节点IDm、隧道IDx、对端节点IDn和对端隧道IDy的信息；

(2)根据网络攻击链路中的隧道ID及所属节点ID，查找隧道关系表，定位该链路的源头为对端节点ID，再查找对端节点ID的区域IP地址范围列表，从而定位出该源头的区域IP地址范围，记为[IP1,IP2]；

(3)检查网络攻击链路中的对端局域网内主机IP是否在[IP1,IP2]内，若不是，则判定为伪造源IP地址攻击，最终溯源的源端可以定位到攻击的节点区域网络；否则进入下一步；

(4)检测之前是否有与此对端局域网内主机IP地址的历史网络攻击链路信息存在，如果有，则判定此次攻击为跳板机攻击，否则，为普通攻击；跳板机攻击或普通攻击最终溯源的源端可以定位到对端局域网内主机IP。

2.根据权利要求1所述的一种面向电力工控网络的攻击溯源方法，其特征是，所述隧道配置信息由至少一条隧道配置记录组成，每一条隧道配置记录包括隧道ID、本端电力VPN设备IP地址和对端电力VPN设备IP地址信息；

所述策略配置信息由至少一条策略配置记录组成，每一条策略配置记录包括该配置记录对应的隧道ID、本端局域网内主机IP地址及端口的范围、对端局域网内主机IP地址及端口的范围和协议信息；

链路信息由至少一条网络连接记录组成，每一条链路信息记录包括对应的隧道ID、本端局域网内主机IP地址、本端局域网内主机端口、对端局域网内主机IP地址、对端局域网内主机端口、协议和发起标识信息；

中心节点及所有终端节点的节点配置表由与节点个数相等的多条记录组成，每条记录包括节点ID和节点电力VPN设备的IP地址信息。

3.根据权利要求1所述的一种面向电力工控网络的攻击溯源方法，其特征是，网络连接静态模型为一条或多条网络连接记录，每条记录包括节点ID，对应的隧道ID，本端局域网内主机IP地址与本端局域网内主机端口和对端局域网内主机IP地址与对端局域网内主机端口信息。

4.根据权利要求1所述的一种面向电力工控网络的攻击溯源方法，其特征是，将实时网络连接关系与网络连接静态模型比对的过程为：

将实时网络连接关系里的每一条网络连接与网络连接静态模型中的网络连接记录进行逐个比对。