[发明专利]基于电力网络环境下的安全威胁追溯方法及系统

说明书

本发明公开一种基于电力网络环境下的安全威胁追溯方法。对电力网络环境下不同安全域的实际运行场景进行安全威胁地深入精准化主动追溯，识别电力网络环境下各类网络安全威胁进行综合式分析，结合攻击过程中在不同节点处所留下的行为轨迹及系统进程影响进行关联性分析，贴合电力网络环境实际应用场景形成适应的安全威胁行为模型，实现对电力网络环境下各类网络安全威胁的统一管控，有效防止可疑性威胁行为的发生，满足电力网络环境下不同安全域的防护需求。

技术领域

本发明涉及网络威胁追溯技术领域，尤其涉及一种基于电力网络环境下的安全威胁追溯方法及系统。

背景技术

系统漏洞借助各大社区、社交平台，漏洞的传播速度惊人，早上披露的系统漏洞，到下午可能已经有了利用代码，到了晚上很多攻击可能已经发生。由于利用系统漏洞带来的庞大利益，越来越多的人投身于漏洞研究，越来越多的系统漏洞利用脚本被开发应用，普通人不需要具备专业知识，就可以成为一名破坏力十足的黑客。

现在的电力系统经过多年建设，已经形成了一定的积累，完成了多种安全防御措施与管理措施，主要通过检测系统的运行情况，及时发现和制止对系统进行的各种攻击。但安全工作都处于被动状态，只当出现问题时再定位源头和处理，但在平常，安全隐患已经潜伏在服务器中，例如新增了未知帐号，被安装未知程序等等，这些潜在的风险威胁着电力行业信息安全。

发明内容

针对上述问题，本发明提出一种基于电力网络环境下的安全威胁追溯方法及系统，主要解决电力网络系统主要采用被动防御不够安全的问题。

为解决上述技术问题，本发明一方面提出了一种基于电力网络环境下的安全威胁追溯方法，包括以下步骤，

根据配置的电力网络漏洞采集策略从网络公开的漏洞库中采集威胁情报信息，对于危害等级判别为高危的所述威胁情报信息进行情报预警公告；

获取安全威胁的各攻击场景，判断所述各攻击场景中所包含的攻击步骤在不同节点处所留下的行为轨迹以及系统进程影响是否存在的相同的关联规则，其中每个所述攻击步骤对应多个不同的能够实现该攻击步骤的事件；

若存在所述相同的关联规则，则触发威胁的检测流程：若所述情报预警公告为攻击场景中任一的攻击步骤所对应的事件，则将所述当前电力网络中的原始事件直接作为该攻击场景所对应的一条新的攻击序列保存；

对得到的所述攻击序列进行追溯处理，保存溯源路径并进行输出。

优选的，将所述溯源路径通过共享接口发送到拓展平台。

优选的，将所述溯源路径发送到客户端，所述溯源路径还用于触发所述客户端产生协助警报。

优选的，根据电力网络的架构特征构建所述电力网络漏洞采集策略。

优选的，历史积累的所述威胁情报信息经分类后输出统计分析报表。

另一方面，本发明还提出了一种基于电力网络环境下的安全威胁追溯系统，包括：

采集装置，用于根据配置的电力网络漏洞采集策略从网络公开的漏洞库中采集威胁情报信息，对于危害等级判别为高危的所述威胁情报信息进行情报预警公告；

第一检测装置，用于获取安全威胁的各攻击场景，判断所述各攻击场景中所包含的攻击步骤在不同节点处所留下的行为轨迹以及系统进程影响是否存在的相同的关联规则，其中每个所述攻击步骤对应多个不同的能够实现该攻击步骤的事件；

第二检测装置，若存在所述相同的关联规则，则触发威胁的检测流程：若所述情报预警公告为攻击场景中任一的攻击步骤所对应的事件，则将所述当前电力网络中的原始事件直接作为该攻击场景所对应的一条新的攻击序列保存；

追溯装置，用于对得到的所述攻击序列进行追溯处理，保存溯源路径并进行输出。