[发明专利]一种面向电力监控系统的网络安全威胁溯源方法

说明书

本发明公开了一种面向电力监控系统的网络安全威胁溯源方法，包括以下过程：依据电力监控系统的日志信息为告警事件建立事件发生树；对事件发生树进行拆分得到事件发生链；计算事件发生链威胁值；依据事件发生链威胁值判断其是否是危险事件；若判断为危险事件，则依据事件发生链进行可视化展示得到攻击图，实现网络安全威胁溯源。本发明在电力监控系统中采用建立事件发生链的方式来寻找网络事件攻击者，快速定位攻击源的位置，实现电力监控系统的网络安全威胁的溯源。

技术领域

本发明属于电力系统技术领域，具体涉及一种面向电力监控系统的网络安全威胁溯源方法。

背景技术

近年来，我国电力系统信息化建设持续保持高速成长，并有一定的信息安全防护系统，能对电力信息进行实施监控，但对于越来越泛滥、技术手段越来越隐蔽的网络攻击行为，入侵检测(IDS)、入侵防御系统(IPS)之类的安全设备也在与新技术的结合中不断的被优化和更新。这类系统检测和防御的基本原理是基于模式匹配、协议分析、异常流量分析等等的方式进行被动的攻击检测，且只能针对于已知类型的攻击。这种简单的对于已知攻击进行检测的方法，并不能从根本上有效防御新兴的、复杂的网络攻击，因此必须有更有针对性的主动防御措施。通过主动确定攻击的源头，及时主动的采取有效的措施防御攻击，才能将威胁降到最低。

当前威胁溯源是对攻击者的所有相关数据信息进行获取和分析，最终完成对于网络攻击者在物理世界中的信息进行确认的过程。常用IP威胁溯源是一种基于IP的溯源技术，旨在有效地找到攻击者的源地址信息，有效地阻止攻击行为，为追踪攻击者提供法律依据，从根本上抵御DDoS攻击。常见IP溯源技术有基于数据包标记的溯源方法、基于日志记录的溯源、基于链路测试的溯源、基于消息传送的溯源等。

(1)链路测试法从离受害者最近的路由器开始，检查与其相邻的路由器，找到能够转发攻击报文的路由器。该方法在各方面的表现都比较差，存在路由器存储开销大、路径回溯开销大、溯源精度低等缺点；

(2)日志记录法要求所有的边界路由器节点能够以一定的规则记录经过的数据包特征并把重要信息保留在路由器中。该方法的优点是追踪能力快，但因路由器记录了路径信息，这导致如果转发的数据包数量增加，存储和运行开销也将随之增加且将导致路由器负荷过重；

(3)包标记法将路径信息插入到IP数据报的头部，在路由器处以一定的概率向过往的数据包中填塞部分的路径信息。该方法在各方面表现相对比较优秀，但因路径信息被存放在数据包中，受到标记空间受限、路径信息无法被重构不利因素的影响。

发明内容

本发明的目的在于克服现有技术中的不足，提供了一种面向电力监控系统的网络安全威胁溯源方法，解决了现有技术中威胁溯源方法存储开销大、溯源精度低、标记空间受限等方面的技术问题。

为解决上述技术问题，本发明提供了一种面向电力监控系统的网络安全威胁溯源方法，其特征是，包括以下过程：

依据电力监控系统的日志信息为告警事件建立事件发生树；

对事件发生树进行拆分得到事件发生链；

计算事件发生链的威胁值；

依据事件发生链威胁值判断其是否是危险事件；

若判断为危险事件，则依据事件发生链进行可视化展示得到攻击图，实现网络安全威胁溯源。

进一步的，所述依据电力监控系统的日志信息为告警事件建立事件发生树的具体过程为：

从电力监控系统的日志信息中提取多个告警事件；告警事件包括源IP地址、目的IP地址、告警事件类型、开始时间和结束时间；

以各告警事件的IP地址作为节点，连接两节点之间的边表示从源IP地址到目的IP地址的告警事件；多告警事件的树状图形式的结构化表现形式即为事件发生树。