[发明专利]基于规约深度解析的电网工控安全协同监测方法及装置

说明书

本发明提出一种基于规约深度解析的电网工控安全协同监测方法及装置，该电网工控安全协同监测方法包括：采集电网工控系统中的多个数据包；建立由针对已知攻击的规则和针对未知攻击的脚本组成的策略库；对上述多个数据包进行规约解析，生成规约异常事件；对上述规约异常事件进行聚合，生成聚合告警分组；根据上述策略库及聚合告警分组生成安全威胁评估结果。本发明实现了安全威胁的有效识别、定位和评估，以及全面的安全防护，提高了电网工控系统的安全监测精度，加强了安全监测的可扩展性。

技术领域

本发明涉及信息安全领域，具体涉及一种基于规约深度解析的电网工控安全协同监测方法及装置。

背景技术

近年来，电网工控系统正遭受越来越严重的安全威胁，且攻击行为日渐频繁和系统化。与传统的互联网攻击手段相比，针对电网工控系统的攻击手段普遍为APT(AdvancedPersistent Threat)攻击，攻击者利用工控自身软硬件漏洞和运维调试时管控不健全等问题，通过隐蔽通道或加密通道，利用未知木马程序发动攻击，威胁电网安全稳定运行。

为了构建全面、主动的电网工控安全防护体系，入侵检测技术越来越得到研究学者和技术人员的重视，然而目前绝大多数入侵检测系统都是基于通用的计算机网络设计的，虽然能够较准确的识别大多数通用的数据传输协议，发现传输异常，但是还没有一种针对电力工控专有通信协议、电力专用设备、适用于电力系统专有业务逻辑的安全监测方法。如果将现有的入侵检测方法直接应用于电网工控系统的安全监测当中，存在两个问题。

第一，基于通用计算机网络设计的传统入侵检测技术只针对网络层进行检测，难以发现应用层攻击事件，然而电网工控系统应用层协议众多，同时各类应用层协议层出不穷，将现有的入侵检测方法直接应用于电网工控系统的安全监测当中，其防护强度最多只能达到某个系统安全级别，并不能提供全面的安全防护。

第二，绝大多数入侵检测系统的检测机制还停留在：基本的数据包捕获加以非智能模式匹配与特征搜索技术来探测攻击。目前国内电力行业的自动化系统中规约种类繁多，各体系里又衍生出大量规约变种。由于不同体系间通信规约定义的数据项差异很大，即使是同一体系中不同规约变种所定义的数据项也存在着差异，在不同时期内对同一种通信规约的实现也有所不同，面对众多千差万别的数据项，单独为每种规约编写解析代码工作量巨大、系统的后期维护相当困难。因此简单的特征模式匹配技术存在着两个最根本的缺陷：匹配算法计算量大、特征匹配误报率较高。

发明内容

鉴于上述的分析，本发明提出了一种基于规约深度解析的电网工控安全协同监测方法及装置，用以解决现有入侵检测技术难以发现应用层攻击事件、现有入侵检测机制的特征匹配算法计算量大以及误配率高的问题。

本发明的目的主要是通过以下技术方案实现的：

本发明提供一种基于规约深度解析的电网工控安全协同监测方法，包括：采集电网工控系统中的多个数据包；建立由针对已知攻击的规则和针对未知攻击的脚本组成的策略库；对所述多个数据包进行规约解析，生成规约异常事件；对所述规约异常事件进行聚合，生成聚合告警分组；根据所述策略库及聚合告警分组生成安全威胁评估结果。

可选地，上述基于规约深度解析的电网工控安全协同监测方法中，建立由针对已知攻击的规则和针对未知攻击的脚本组成的策略库，包括：S21：根据识别电网工控系统的安全威胁的策略建立原始策略库，所述原始策略库中包含针对已知攻击的规则和针对未知攻击的脚本；S22：以所述多个数据包为训练数据集进行机器学习，根据训练结果对所述原始策略库进行修改，生成修改后的策略库；S23：以所述原始策略库对修改后的策略库进行一致性检验；S24：将通过一致性检验的修改后的策略库作为新的策略库，将所述新的策略库替换所述原始策略库，重复执行步骤S22-S24，对所述原始策略库进行更新，生成更新后的策略库。