一种变电站网络安全态势感知方法及系统[发明专利]

(12)发明专利申请

(10)申请公布号 CN 109067596 A(43)申请公布日 2018.12.21

(21)申请号 201811107392.6(22)申请日 2018.09.21

(71)申请人 南京南瑞继保电气有限公司

地址 211102 江苏省南京市江宁区苏源大

道69号

申请人 南京南瑞继保工程技术有限公司(72)发明人 曹翔　张阳　宋林川　林青　

胡绍谦　汤震宇　张春合　(74)专利代理机构 南京纵横知识产权代理有限

公司 32224

代理人 董建林(51)Int.Cl.

H04L 12/24(2006.01)H04L 29/06(2006.01)

权利要求书2页 说明书4页 附图1页

CN 109067596 A()发明名称

一种变电站网络安全态势感知方法及系统(57)摘要

本发明公开了一种变电站网络安全态势感知方法及系统，其中系统包括网络扫描模块用于对网络报文的分析实现网络拓扑的发现及网络异常告警；主机核查模块用于将各主机与基线库的比对得到主机的安全状态；漏洞扫描模块用于对各主机的漏洞扫描得到主机的漏洞信息；报文解析模块用于对变电站报文的深度解析来检测是否存在畸形或攻击报文；网络设备检测模块用于对网络设备及安防设备的监视实现日志的采集；态势感知模块用于根据各个模块采集到的信息进行威胁分析、脆弱点分析和关联分析。本发明针对变电站网络的特点，给出了对于网络安全态势感知所需要采集的数据对象；并给出了处理流程和管控方法，有利于提高变电站整体的网络安全。

CN 109067596 A

权　利　要　求　书

1/2页

1.一种变电站网络安全态势感知方法，其特征是，包括：对镜像网络报文进行抓取获得数据包，并以网络白名单为基础对数据包进行网络安全状态识别实现网络异常告警，获得网络安全状态识别结果；

根据SNMP规约从交换机获取网络拓扑信息及网络异常告警并进行网络拓扑显示；在主机上安装安全监测探针程序，获得主机的安全状态并确定主机上对应的操作系统或中间件版本是否满足基线库要求，得到主机的安全状态识别结果；

对主机进行漏洞扫描，并与漏洞库对比获得主机的漏洞信息；

根据规约库中特定规约对网络抓包中获得的应用层报文进行分析确定是否存在畸变或攻击报文，获得应用层报文解析结果；

通过SNMP规约或syslog规约采集网络设备的日志信息；通过syslog规约采集，获得安防设备的日志信息；

响应于获得的网络安全状态识别结果、主机的安全状态识别结果、应用层报文解析结果以及安防设备的日志信息进行威胁分析、脆弱点分析和关联分析；所述威胁分析包括分析可能存在的网络攻击；所述脆弱点分析包括分析网络中的设备可能存在基线版本低或存在漏洞；所述关联分析包括将各类告警或日志进行归并或多源数据融合。

2.根据权利要求1所述的变电站网络安全态势感知方法，其特征是，还包括通过人工智能算法进行态势预测并通过层次分析法进行网络风险评估，获得态势预测结果和网络风险评估结果并给出威胁情报和决策支持。

3.根据权利要求1所述的变电站网络安全态势感知方法，其特征是，还包括根据预先设定的系统配置进行网络风险控制，所述网络风险控制包括交换机/主机的网口关闭、主机USB口禁用和威胁源主动攻击。

4.根据权利要求1所述的变电站网络安全态势感知方法，其特征是，网络拓扑显示能动态反映网络拓扑变化。

5.根据权利要求1所述的变电站网络安全态势感知方法，其特征是，所述安全状态识别包括非法IP识别和非法连接识别。

6.根据权利要求1所述的变电站网络安全态势感知方法，其特征是，主机的安全状态识别包括非法外联、USB设备接入和非法操作识别。

7.根据权利要求1所述的变电站网络安全态势感知方法，其特征是，所述特定规约包括EC61850规约和IEC103规约。8.变电站网络安全态势感知系统，其特征是，包括：网络扫描模块，用于对镜像网络报文进行抓取获得数据包，并以网络白名单为基础对数据包进行网络安全状态识别实现网络异常告警，获得网络安全状态识别结果；同时用于根据SNMP规约从交换机获取网络拓扑信息及网络异常告警并进行网络拓扑显示；

主机核查模块，用于在主机上安装安全监测探针程序，获得主机的安全状态并确定主机上对应的操作系统或中间件版本是否满足基线库要求，得到主机的安全状态识别结果；

漏洞扫描模块，用于对主机进行漏洞扫描，并与漏洞库对比获得主机的漏洞信息；报文解析模块，用于根据规约库中特定规约对网络抓包中获得的应用层报文进行分析是否存在畸变或攻击报文，获得应用层报文解析结果；

网络设备检测模块，用于通过SNMP规约或syslog规约采集网络设备的日志信息；通过

2

CN 109067596 A

权　利　要　求　书

2/2页

syslog规约采集，获得安防设备的日志信息；态势感知模块，用于响应于获得的网络安全状态识别结果、主机的安全状态识别结果、应用层报文解析结果以及安防设备的日志信息进行威胁分析、脆弱点分析和关联分析；所述威胁分析包括分析可能存在的网络攻击；所述脆弱点分析包括分析网络中的设备可能存在基线版本低或存在漏洞；所述关联分析包括将各类告警或日志进行归并或多源数据融合。

9.根据权利要求8所述的变电站网络安全态势感知系统，其特征是，还包括：风险评估模块，通过人工智能算法进行态势预测并通过层次分析法进行网络风险评估，获得态势预测结果和网络风险评估结果并给出威胁情报和决策支持。

10.根据权利要求8所述的变电站网络安全态势感知系统，其特征是，还包括：风险控制模块，根据预先设定的系统配置进行网络风险控制，所述网络风险控制包括交换机/主机的网口关闭、主机USB口禁用和威胁源主动攻击。

3

CN 109067596 A

说　明　书

一种变电站网络安全态势感知方法及系统

1/4页

技术领域

[0001]本发明涉及一种变电站网络安全态势感知方法及系统，属于变电站网络安全和电力自动化领域。

背景技术

[0002]随着智能变电站的全面普及和推进，变电站在站控层、间隔层和过程层的网络越来越复杂。而日趋复杂的变电站网络环境也带来了更多的安全隐患，变电站中的网络安全越来越得到重视。当前变电站的网络安全主要依靠网络专用、安全分区、横向隔离、纵向认证来实现安全区和变电站的边界防护。但对于变电站的内部网络安全防护，相对还比较薄弱。一旦内部主机或二次设备感染病毒，或是操作人员非恶意性的非法操作，会对变电站的运行造成严重的安全威胁。因此对变电站整个网络的设备和通信进行监测和管控就非常重要。

[0003]因此，需要一个能够对变电站网络安全进行态势感知的系统，能够采集各种设备和网络的安全状态，对采集信息进行提取、分析和处理，通过汇总、过滤和关联分析安全事件，评估变电站的风险等级，给出决策支持，并能对安全威胁进行管控。发明内容

[0004]本发明的目的旨在解决现有技术中存在的上述问题和缺陷的至少一个方面。[0005]为实现上述目的，本发明提供了一种变电站网络安全态势感知方法，包括：[0006]对镜像网络报文进行抓取获得数据包，并以网络白名单为基础对数据包进行网络安全状态识别实现网络异常告警，获得网络安全状态识别结果；

[0007]根据SNMP规约从交换机获取网络拓扑信息及网络异常告警并进行网络拓扑显示；[0008]在主机上安装安全监测探针程序，获得主机的安全状态并确定主机上对应的操作系统或中间件版本是否满足基线库要求，得到主机的安全状态识别结果；[0009]对主机进行漏洞扫描，并与漏洞库对比获得主机的漏洞信息；

[0010]根据规约库中特定规约对网络抓包中获得的应用层报文进行分析确定是否存在畸变或攻击报文，获得应用层报文解析结果；

[0011]通过SNMP规约或syslog规约采集网络设备的日志信息；通过syslog规约采集，获得安防设备的日志信息；

[0012]响应于获得的网络安全状态识别结果、主机的安全状态识别结果、应用层报文解析结果以及安防设备的日志信息进行威胁分析、脆弱点分析和关联分析；所述威胁分析包括分析可能存在的网络攻击；所述脆弱点分析包括分析网络中的设备可能存在基线版本低或存在漏洞；所述关联分析包括将各类告警或日志进行归并或多源数据融合。[0013]进一步地，还包括通过人工智能算法进行态势预测并通过层次分析法进行网络风险评估，获得态势预测结果和网络风险评估结果并给出威胁情报和决策支持。[0014]进一步地，还包括根据预先设定的系统配置预测结果和网络风险评估结果进行网

4

CN 109067596 A

说　明　书

2/4页

络风险控制，所述网络风险控制包括交换机/主机的网口关闭、主机USB口禁用和威胁源主动攻击。

[0015]优选地，网络拓扑显示能动态反映网络拓扑变化。[0016]优选地，所述安全状态识别包括非法IP识别和非法连接识别。[0017]优选地，所述主机的安全状态识别包括非法外联、USB设备接入和非法操作识别。[0018]进一步地，所述特定规约包括EC61850规约和IEC103规约。

[0019]在另一方面本发明提供了一种变电站网络安全态势感知系统，包括：[0020]网络扫描模块，用于对镜像网络报文进行抓取获得数据包，并以网络白名单为基础对数据包进行网络安全状态识别实现网络异常告警，获得网络安全状态识别结果；同时用于根据SNMP规约从交换机获取网络拓扑信息及网络异常告警并进行网络拓扑显示；[0021]主机核查模块，用于在主机上安装安全监测探针程序，获得主机的安全状态并确定主机上对应的操作系统或中间件版本是否满足基线库要求，得到主机的安全状态识别结果；

[0022]漏洞扫描模块，用于对主机进行漏洞扫描，并与漏洞库对比获得主机的漏洞信息；[0023]报文解析模块，用于根据规约库中特定规约对网络抓包中获得的应用层报文进行分析是否存在畸变或攻击报文，获得应用层报文解析结果；[0024]网络设备检测模块，用于通过SNMP规约或syslog规约采集网络设备的日志信息；通过syslog规约采集，获得安防设备的日志信息；[0025]态势感知模块，用于响应于获得的网络安全状态识别结果、主机的安全状态识别结果、应用层报文解析结果以及安防设备的日志信息进行威胁分析、脆弱点分析和关联分析；所述威胁分析包括分析可能存在的网络攻击；所述脆弱点分析包括分析网络中的设备可能存在基线版本低或存在漏洞；所述关联分析包括将各类告警或日志进行归并或多源数据融合。

[0026]进一步地，还包括：[0027]风险评估模块，用于通过人工智能算法进行态势预测并通过层次分析法进行网络风险评估，获得态势预测结果和网络风险评估结果并给出威胁情报和决策支持。[0028]进一步地，还包括：[0029]风险控制模块，用于根据预先设定的系统配置进行网络风险管控进行网络风险控制，所述网络风险控制包括交换机/主机的网口关闭、主机USB口禁用和威胁源主动攻击。[0030]本发明所达到的有益效果：

[0031]本发明针对变电站网络的特点，给出了对于网络安全态势感知所需要采集的数据对象；并给出了处理流程和管控方法，有利于提高变电站整体的网络安全。附图说明

[0032]图1是本发明系统具体实施例结构示意图；

[0033]图2是本发明系统具体实施例各模块实现示意图；

具体实施方式

[0034]下面结合附图和具体的实施例对本发明技术方案作进一步的详细描述，以使本领

5

CN 109067596 A

说　明　书

3/4页

域的技术人员可以更好的理解本发明并能予以实施，但所举实施例不作为对本发明的限定。

[0035]一种变电站网络安全态势感知方法及系统，如图2所示，系统由网络扫描模块，主机核查模块，漏洞扫描模块，报文解析模块，网络设备检测模块，态势感知模块，风险评估模块和风险控制模块组成。

[0036]网络扫描模块主要实现两个功能：(1)以网络白名单(包含合法的IP和链接)为基础，通过对镜像网络报文的抓取来进行网络安全分析，识别非法IP及非法连接，并将识别的结果上送给态势感知模块；(2)通过SNMP规约从交换机获取网络拓扑信息，从而形成网络拓扑的直观展示，并能动态反应网络拓扑的变化，网络拓扑的展示可以采用星形、平铺或总线式。

[0037]主机核查模块通过在主机上安装相应的探针程序以实现两个功能：(1)获取到主机对应的安全状态，如非法外联、USB设备接入、非法操作等，并将识别的结果上送给态势感知模块；(2)将主机上对应的操作系统或中间件版本与基线库比对，查看是否满足基线库要求，并将结果上送给态势感知模块。此处的基线库是指电网用户对主机操作系统、数据库、中间件(如Apache、Tomcat或IIS等)、网络设备、终端、应用定义的需要满足的安全要求，或如主机安全基线配置规范，包括了对设备管理、用户账号与口令安全、日志与审计、服务优化、安全防护这样的一系列要求。

[0038]漏洞扫描模块通过对主机进行漏洞扫描，并与漏洞库对比获得主机的漏洞信息，并将结果上送给态势感知模块。

[0039]报文解析模块对网络抓包中获得的应用层报文进行深度分析，根据规约库中电力系统常用的规约(如IEC61850规约、IEC103规约或IEC104等)，分析是否存在畸变或攻击报文，并将结果上送给态势感知模块。[0040]以IEC104报文为例，需要分析如下内容：[0041](1)报文基本格式是否正确。[0042](2)帧序号是否连续。[0043](3)是否存在遥测量的突变(就是某个电流值突然和前一时刻比变化很大)。[0044](4)是否存在频繁的遥控。[0045]如果发生上述情况，可能存在一定的入侵风险。

[0046]网络设备检测模块通过SNMP规约或syslog规约采集网络设备(主要指交换机设备)的日志信息；通过syslog规约采集安防设备的日志信息。并将结果上送给态势感知模块。在图2中示出了所述安防设备的日志信息包括网络设备监视信息和安防设备监视信息。[0047]态势感知模块对以上模块采集得到的网络安全状态识别结果、主机的安全状态识别结果、应用层报文解析结果以及安防设备的日志信息进行威胁分析、脆弱点分析和关联分析即响应于获得的网络安全状态识别结果、主机的安全状态识别结果、应用层报文解析结果以及安防设备的日志信息进行威胁分析、脆弱点分析和关联分析。在电力领域中,网络信息技术已经得到广泛的运用,使得电力信息系统对信息安全的依赖度也越来越高。为了提高日志审计效率，图2示出了在态势感知模块中设置了日志审计模块，以实现信息分析功能和信息存储功能，即对于采集上来的信息进行分析、审计以及对于采集到原始信息，以及审计后的信息都要进行保存，备查，并可以作为取证的依据。

6

CN 109067596 A[0048]

说　明　书

4/4页

其中威胁分析是指分析可能存在的网络攻击(如规约攻击或网络流量攻击)；脆弱

点分析是指分析网络中的设备可能存在的基线版本低(如用户密码强度过低)或存在漏洞；关联分析是指将各类告警或日志进行归并或多源数据融合。

[0049]风险评估模块主要通过人工智能算法(如采用基于支持向量机的回归预测)进行态势预测；通过层次分析法进行网络风险评估；通过态势感知模块的输出和态势预测及网络风险评估的结果给出威胁情报和决策支持。再具体实施例中威胁情报可以显示：通过不同的告警类型表示可能有入侵发生、发生了何种入侵或者后续可能会发生什么；决策支持可以提示用户可以针对网络风险采取的操譬如关闭某个网口，比如升级某个补丁包。[0050]风险控制模块能够根据预先设定的系统配置进行网络风险管控，包括交换机/主机的网口关闭、主机USB口禁用、威胁源主动攻击等。在具体实施例中可以预先输入系统配置也可以支持为用户提供的决策支持，支持用户手动执行一些风险管控的操作。[0051]本发明针对变电站网络的特点，给出了对于网络安全态势感知所需要采集的数据对象；并给出了处理流程和管控方法，有利于提高变电站整体的网络安全。[0052]以上仅为本发明的优选实施例，并非因此本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或者等效流程变换，或者直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

7

CN 109067596 A

说　明　书　附　图

1/1页

图1

图2

8