[发明专利]基于网络架构的电力系统内部APT攻击检测及预警系统有效
| 申请号: | 201410557060.3 | 申请日: | 2014-10-20 |
| 公开(公告)号: | CN104283889B | 公开(公告)日: | 2018-04-24 |
| 发明(设计)人: | 张明哲;徐瑞林;陈涛;朱珠;雷娟;张伟;徐鑫 | 申请(专利权)人: | 国网重庆市电力公司电力科学研究院;国家电网公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/24 |
| 代理公司: | 北京众合诚成知识产权代理有限公司11246 | 代理人: | 裴娜 |
| 地址: | 401123 重庆市渝北*** | 国省代码: | 重庆;85 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 基于网络架构的电力系统内部APT攻击检测及预警系统,包括有用户终端监控子系统、服务器监控子系统和云平台管理子系统。针对APT攻击无孔不入的特性,设计了涵盖用户终端和系统服务器的APT攻击检测及预警系统。该检测及预警系统不仅具备常见的网络安全管理功能,同时能对日志和事件做出异常分析,对系统的漏洞进行挖掘和修复,并能在网络系统遭受APT攻击后,迅速的恢复被攻击设备的数据,协助安全管理员反向追踪攻击来源。 | ||
| 搜索关键词: | 基于 网络 架构 电力系统 内部 apt 攻击 检测 预警系统 | ||
【主权项】:
基于网络架构的电力系统内部APT攻击检测及预警系统,电力系统包括有用户终端和系统服务器,多台用户终端与系统服务器相连,其特征在于:包括有用户终端监控子系统、服务器监控子系统和云平台管理子系统;用户终端监控子系统,安装在每台用户终端上,对用户终端的邮件、便携式移动设备进行实时监控防护,对用户终端的通信流量进行监控,并记录和分析用户的操作记录日志,并将记录的信息发送至云平台管理子系统;服务器监控子系统,安装在系统服务器上,用于监控用户权限和流量,对系统服务器进行防护,并对系统服务器操作进行记录,生成日志文件,并将记录的信息发送至云平台管理子系统;云平台管理子系统,分别与每台用户终端和每台系统服务器进行信息交互,协调用户终端和系统服务器的数据通信、存储和计算功能,分析用户终端监控子系统和服务器监控子系统上传的信息文件,对APT攻击进行分析预警;所述云平台管理子系统针对APT攻击的监控信息包括有:A)针对Web、邮件和传输文件信息;B)针对文件进行静态分析和动态运行分析信息;C)针对可以攻击流量信息;D)针对Web行为模型进行建模和统计分析信息;E)针对用户活动日志的分析信息;所述云平台管理子系统对APT攻击进行分析预警的方法包括有:1)异常行为分析法;2)漏洞挖掘法;3)反向跟踪法;异常行为分析法的具体方法为:1‑1)针对通信流量采用抽样检测进行监控,检测是否有异常数据包的外发,用于检测数据是否被窃取外发;1‑2)对用户权限进行监测,对各权限区域数据的访问的授权进行验证,找出是否有非法访问、越权访问、权限变更;1‑3)对行为模式进行监测,根据用户类型,对其权限内的行为进行建模,对于非模型行为进行合理性判断;1‑4)基于行为模式的异常检测,将用户权限内的操作归并,找出其中的规律并建立行为模式。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国网重庆市电力公司电力科学研究院;国家电网公司,未经国网重庆市电力公司电力科学研究院;国家电网公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201410557060.3/,转载请声明来源钻瓜专利网。
