基于软件定义的电力物联网安全防护装置及方法制造方法及图纸

本发明专利技术涉及一种网络安全防护技术领域，是一种基于软件定义的电力物联网安全防护装置及方法，前者包括数据模块监控终端流量数据和终端本体运行数据，部署电力物联网终端安全防护措施；控制模块分析终端流量数据和终端本体运行数据，决定并控制每个电力物联网终端的安全防护策略变化，控制数据模块调整终端安全防护措施。本发明专利技术无需改造现有的各类电力物联网终端，并且通过结合终端网络状态监测和终端本体状态监测来实现对电力物联网终端的安全防护，可实现对常见的各类终端漏洞安全监测及阻断，且对于同类型终端无需重复操作，有效提高了电力物联网不可靠环境下网络安全攻击的防御效果，减少防御成本。减少防御成本。减少防御成本。

【技术实现步骤摘要】
基于软件定义的电力物联网安全防护装置及方法


[0001]本专利技术涉及一种网络安全防护
，是一种基于软件定义的电力物联网安全防护装置及方法。

技术介绍

[0002]近年来，随着电力物联网的建设与发展，各类新型信息技术和能源技术深度融合，新技术的广泛应用使电力系统的业务模式发生变革，海量异构电力物联网终端广泛接入，网络边界模糊、数据交互多元，电力系统由封闭独立向互联互通转变。电力物联网终端种类众多、安全标准不统一、供应链不可信，终端漏洞频发且部分终端无法实时更新安全补丁。攻击者一旦利用漏洞控制物联网终端作跳板发起对电力主要业务系统的攻击，将造成电力关键信息基础设施被破坏，危害国家安全和社会稳定。
[0003]目前，现有的电力物联网安全防护方法仍然以基于边界防护的传统方法为主，如使用防火墙、IDS、IPS等安全设备，不适用于大量物联终端接入的情况。虽然已经有一些基于软件定义的物联网控制方法，但是这些方法主要聚焦于通过把终端进行硬件改造的方式来增加物联网安全性，或是仅能监测单个漏洞，成本较高且实现难度大、安全防护性低，无法适用于当前电力物联网安全防护需求。

技术实现思路

[0004]本专利技术提供了一种基于软件定义的电力物联网安全防护装置及方法，克服了上述现有技术之不足，其能有效解决现有电力物联网环境下存在的应对各类网络安全攻击防御效果不佳、防御代价较大的问题。
[0005]本专利技术的技术方案之一是通过以下措施来实现的：一种基于软件定义的电力物联网安全防护装置，包括：数据模块，连接电力物联网终端和上层网络，监控终端流量数据和终端本体运行数据，部署电力物联网终端安全防护措施；控制模块，分析终端流量数据和终端本体运行数据，决定并控制每个电力物联网终端的安全防护策略变化，控制数据模块调整终端安全防护措施。
[0006]下面是对上述专利技术技术方案的进一步优化或/和改进：上述数据模块，包括：虚拟电力物联网关，连接电力物联网终端本地通信网络及上层网络，所有和终端通信的流量均经过虚拟电力物联网关传输，反馈终端流量数据至控制模块；物联终端接口单元，连接不同类型的电力物联网终端，获取并反馈终端本体运行数据至控制模块，并控制电力物联网终端运行状态切换；漏洞监测处置单元链，针对每一类电力物联网终端部署一组漏洞监测处置单元，每个漏洞监测处置单元对应一类漏洞，漏洞监测处置单元之间相互连接形成单元链，通过单元链之间数据流转判定当前单元是否监测到对应漏洞。
[0007]上述漏洞监测处置单元能够监测终端流量包并检查其内容，生成并发送终端流量告警信息至控制模块。
[0008]上述控制模块，包括：策略状态机，分析终端流量数据和终端本体运行数据确定对否产生终端本体告警信息和终端流量告警信息，并依据预设的策略状态转换模型确定电力物联网终端的安全防护策略，其中安全防护策略包括终端运行状态切换和对应的安全响应策略；终端控制单元，定期处理终端本体告警信息，并依据策略状态机判断结果，确定是否产生终端告警；漏洞监测处置控制器，接收数据模块产生的终端流量告警信息并进行相应管理。
[0009]上述策略状态转换模型具备深度学习功能，根据每类电力物联网终端的终端流量告警信息和终端本体告警信息，自动决定该电力物联网终端在网络层面和终端层面的安全响应。
[0010]本专利技术的技术方案之二是通过以下措施来实现的：一种基于软件定义的电力物联网安全防护方法，包括：数据模块与电力物联网终端连接；数据模块监控电力物联网终端的终端流量数据和终端本体运行数据，并发送至控制模块；控制模块根据结合终端流量数据和终端本体运行数据，确定终端本体告警信息和终端流量告警信息，并根据终端本体告警信息和终端流量告警信息确定电力物联网终端的安全防护策略，控制模块控制数据模块执行安全防护策略，其中安全防护策略包括终端运行状态切换和对应的安全响应策略。
[0011]下面是对上述专利技术技术方案的进一步优化或/和改进：上述控制模块根据结合终端流量数据和终端本体运行数据，确定终端本体告警信息和终端流量告警信息，并根据终端本体告警信息和终端流量告警信息确定电力物联网终端的安全防护策略，控制模块控制数据模块执行安全防护策略，包括：策略状态机分别通过终端控制单元和漏洞监测处置控制器获得终端流量数据和终端本体运行数据，判断电力物联网终端的当前状态；若判断发生终端流量异常，则输入终端流量告警信息至策略状态转换模型，策略状态转换模型输出对应的安全防护策略，其中安全防护策略包括将终端从正常状态转为可疑状态、改变终端采样频率，在漏洞监测处置单元链中部署攻击源阻断单元；若判断发生终端本体异常，则输入终端本体告警信息至策略状态转换模型，策略状态转换模型输出对应的安全防护策略，其中安全防护策略包括将终端从正常状态转为攻击状态、改变终端采样频率，在漏洞监测处置单元链中部署流量全阻断漏洞监测处置单元。
[0012]上述在执行完所述安全防护策略后，发出告警提示至运维人员进行处理。
[0013]上述策略状态机分别通过终端控制单元和漏洞监测处置控制器获得终端流量数据和终端本体运行数据，判断电力物联网终端的当前状态，包括：分析终端流量数据是否终端流量异常条件的任意一条，响应于是，则电力物联网终端的当前状态为终端流量异常，其中终端流量异常条件包括：异常流量、通用漏洞攻击、特定物联终端攻击；
分析终端本体数据是否终端本体异常条件的任意一条，响应于是，则电力物联网终端的当前状态为终端本体异常，其中终端本体异常条件包括：终端本体运行数据与预定义值不符、数据获取时间超时、与近期采样值相比数据异常、与同类型终端数据不一致、与同范围内终端数据不一致。
[0014]上述在数据模块监控电力物联网终端的终端流量数据和终端本体运行数据，并发送至控制模块之前，进行初始化，初始化包括设置电力物联网终端安全状态为正常状态，终端本体运行接口为默认值，初始化漏洞监测处置单元链。
[0015]本专利技术通过在网络层增加安全防护措施，无需改造现有的各类电力物联网终端，并且通过结合终端网络状态监测和终端本体状态监测来实现对电力物联网终端的安全防护，可实现对常见的各类终端漏洞安全监测及阻断，且对于同类型终端无需重复操作，有效提高了电力物联网不可靠环境下网络安全攻击的防御效果，减少防御成本。
附图说明
[0016]附图1为本专利技术实施例1的装置结构图。
[0017]附图2为本专利技术实施例2的装置动态数据流图。
[0018]附图3为本专利技术实施例3的方法流程图。
具体实施方式
[0019]本专利技术不受下述实施例的限制，可根据本专利技术的技术方案与实际情况来确定具体的实施方式。
[0020]下面结合实施例及附图对本专利技术作进一步描述：实施例1：如附图1所示，本专利技术实施例公开了一种基于软件定义的电力物联网安全防护装置，包括：数据模块，连接电力物联网终端和上层网络，监控终端流量数据和终端本体运行数据，部署电力物联网终端安全防护措施；具体包括虚拟电力物联网关、物联终端接口单元、漏洞监测处置单元链本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于软件定义的电力物联网安全防护装置，其特征在于，包括：数据模块，连接电力物联网终端和上层网络，监控终端流量数据和终端本体运行数据，部署电力物联网终端安全防护措施；控制模块，分析终端流量数据和终端本体运行数据，决定并控制每个电力物联网终端的安全防护策略变化，控制数据模块调整终端安全防护措施。2.根据权利要求1所述的基于软件定义的电力物联网安全防护装置，其特征在于，所述数据模块，包括：虚拟电力物联网关，连接电力物联网终端本地通信网络及上层网络，所有和终端通信的流量均经过虚拟电力物联网关传输，反馈终端流量数据至控制模块；物联终端接口单元，连接不同类型的电力物联网终端，获取并反馈终端本体运行数据至控制模块，并控制电力物联网终端运行状态切换；漏洞监测处置单元链，针对每一类电力物联网终端部署一组漏洞监测处置单元，每个漏洞监测处置单元对应一类漏洞，漏洞监测处置单元之间相互连接形成单元链，通过单元链之间数据流转判定当前单元是否监测到对应漏洞。3.根据权利要求2所述的基于软件定义的电力物联网安全防护装置，其特征在于，所述漏洞监测处置单元能够监测终端流量包并检查其内容，生成并发送终端流量告警信息至控制模块。4.根据权利要求1或2或3所述的基于软件定义的电力物联网安全防护装置，其特征在于，所述控制模块，包括：策略状态机，分析终端流量数据和终端本体运行数据确定对否产生终端本体告警信息和终端流量告警信息，并依据预设的策略状态转换模型确定电力物联网终端的安全防护策略，其中安全防护策略包括终端运行状态切换和对应的安全响应策略；终端控制单元，定期处理终端本体告警信息，并依据策略状态机判断结果，确定是否产生终端告警；漏洞监测处置控制器，接收数据模块产生的终端流量告警信息并进行相应管理。5.根据权利要求4所述的基于软件定义的电力物联网安全防护装置，其特征在于，所述策略状态转换模型具备深度学习功能，根据每类电力物联网终端的终端流量告警信息和终端本体告警信息，自动决定该电力物联网终端在网络层面和终端层面的安全响应。6.一种基于软件定义的电力物联网安全防护方法，其特征在于，包括：数据模块与电力物联网终端连接；数据模块监控电力物联网终端的终端流量数据和终端本体运行数据，并发送至控制模块；控制模块根据结合终端流量数据和终端本体运行数据，确定终端本体告警信息和终端流量告警信息，并根据终端本体告警信息和终端流量告警信息确定电力物联...

【专利技术属性】
技术研发人员：杨慧婷，李峰，王斌，舒斐，邹振婉，
申请(专利权)人：国家电网有限公司，
类型：发明
国别省市：