本发明专利技术公开了一种调度数据网多级阻断的安全防护方法及系统,具体为,将调度数据网络安全防护装置以串行方式接入网络,预先设置白名单,并对白名单内的链接建立通信隧道;装置检测到应用层报文异常后,对应用层报文进行阻断;装置检测到网络层或传输层非法链接后,对网络层链接进行阻断;装置检测到攻击行为后,对物理层进行阻断;在发生阻断后,装置能通过本地或远程方式恢复通信,保证业务的连续性。本发明专利技术方法实现了对调度数据网各个层面威胁的逐层渐进式安全防护,保证了调度数据网络的安全。安全。安全。
【技术实现步骤摘要】
一种调度数据网多级阻断的安全防护方法及系统
[0001]本专利技术涉及一种调度数据网多级阻断的安全防护方法及系统,属于电网自动化
技术介绍
[0002]变电站的通信网络属于局域网,唯一对外通信的出口就是调度层网络。站内的各种遥信遥测数据会通过调度层网络送往调度,调度下发的控制命令也是通过调度层网络发往站内。作为变电站对外通信的关口,调度层网络的安全问题显得尤为重要,一旦调度层网络遭受到入侵或其他恶意威胁,便会对变电站的运行造成严重的影响。
[0003]目前调度层网络缺乏有效的管理,随着变电站对外业务的增多,调度层网络接入的设备越来越多,业务也越来越复杂,急需一种对网络的管控,降低网络风险。
技术实现思路
[0004]本专利技术所要解决的技术问题是对调度层网络各个层面所面临的威胁进行管控,提供一种调度数据网多级阻断的安全防护方法及系统,从应用层到物理层的逐层分析和管控,对各种层级威胁的感知和处理,实现了对调度数据网各个层面威胁的逐层渐进式安全防护,保证了调度数据网络的安全。
[0005]为达成上述目的,本专利技术所采用的技术方案是:本专利技术提供一种调度数据网多级阻断的安全防护方法,包括:将调度数据网络安全防护装置以串行方式接入调度层网络,以及对预先配置的白名单内的链接建立通信隧道;通过调度数据网络安全防护装置对调度数据网的应用层报文进行检测,若检测到异常,则对应用层报文进行阻断;通过调度数据网络安全防护装置对调度数据网的网络层和传输层链接进行检测,若为非法链接,则对网络层链接进行阻断;通过调度数据网络安全防护装置对攻击行为进行检测,若存在攻击行为,则对调度数据网的物理层进行阻断。
[0006]进一步的,一条所述白名单内的链接包括:协议名、源IP地址、目的IP地址、源端口和目的端口。
[0007]进一步的,所述白名单的链接中还包括应用层协议名称。
[0008]进一步的,所述对调度数据网的应用层报文进行检测,包括:对正常状态下应用层报文基于通信协议进行解析,得到有效数据,并形成基准库;若从接收到的应用层报文中提取的有效数据与基准库相比发生了跳变,且跳变值超过预设阈值,则判断应用层报文异常。
[0009]进一步的,所述对应用层报文进行阻断,包括:对应用层报文进行丢弃处理。
[0010]进一步的,所述对调度数据网的网络层和传输层链接进行检测,包括:将从报文中捕获的链接与所述白名单内的链接进行对比,若捕获的链接不在白名单中,则将该链接的通信隧道的正常通信进行阻断。
[0011]进一步的,所述攻击行为包括泛洪攻击、畸形报文攻击和阻断服务攻击。
[0012]进一步的,所述对调度数据网的物理层进行阻断,包括:对受到攻击的网口进行禁用操作。
[0013]本专利技术还提供一种调度数据网多级阻断的安全防护系统,采用前述的调度数据网多级阻断的安全防护方法对调度数据网进行安全防护,所述系统包括:调度数据网络安全防护装置,所述调度数据网络安全防护装置以串行方式接入调度层网络,并对预先配置的白名单内的链接建立通信隧道;所述调度数据网络安全防护装置配置:第一阻断模块,用于对调度数据网的应用层报文进行检测,若检测到异常,则对应用层报文进行阻断;第二阻断模块,用于对调度数据网的网络层和传输层链接进行检测,若为非法链接,则对网络层链接进行阻断;第三阻断模块,用于对攻击行为进行检测,若存在攻击行为,则对调度数据网的物理层进行阻断。
[0014]本专利技术的有益效果是:本专利技术对调度层网络从应用层到物理层进行逐层分析和管控,对各种层级威胁进行感知和处理,实现了对调度数据网各个层面威胁的逐层渐进式安全防护,保证了调度数据网络的安全。
附图说明
[0015]图1为本专利技术实施例中多级阻断在网络各个层面上的输入输出示意图;图2为本专利技术实施例提供的一种调度数据网多级阻断的安全防护方法流程图。
具体实施方式
[0016]下面对本专利技术作进一步描述。以下实施例仅用于更加清楚地说明本专利技术的技术方案,而不能以此来限制本专利技术的保护范围。
[0017]实施例1本实施例提供一种调度数据网多级阻断的安全防护方法,对调度层网络从应用层到物理层逐层分析和管控,随着威胁强度的增大,对应的阻断力度也增强,如图1所示,实现了对调度数据网各个层面威胁的逐层渐进式安全防护。
[0018]本实施例的调度数据网多级阻断的安全防护方法具体实现过程如图2所示,包括:S1、将调度数据网络安全防护装置以串行方式接入网络,网络流量从安全防护装置的一个网口流进,从另一个网口流出;对预先配置的白名单内的链接建立通信隧道,所有通信的报文都经过隧道。
[0019]需要说明的是,白名单可以是预先配置的,也可以是通过学习获得的。
[0020]需要说明的是,白名单中至少包含了协议名(如TCP或UDP)、源IP地址、目的IP地
址、源端口、目的端口,也可以包含此链路所采用的应用层协议名称,如IEC104协议。白名单示例如下:TCP,10.10.10.1,0,192.168.0.1,2404,IEC104。
[0021]S2、通过调度数据网络安全防护装置对应用层报文进行检测,若检测到异常,则对应用层报文进行阻断。
[0022]本实施例中,对应用层报文进行检测,具体实现方式为,对报文的特征行为进行异常判断,特征行为是指基于通信协议从报文中提取的有效数据的跳变,如协议为IEC104协议,本实施例中,通过对正常状态下的报文基于IEC104协议格式提取出遥信遥测内容进行解析并形成基准库;若从接收到的应用层报文中提取的遥信遥测内容与基准库相比发生了跳变,且跳变值超过预设阈值,则判断应用层报文异常。
[0023]本实施例中,对应用层报文进行阻断,包括:对应用层报文进行丢弃处理。
[0024]由于调度数据网络安全防护装置是通过网络代理方式实现的隧道,故对应用层报文的丢弃并不会影响链接的传输层和网络层通信。
[0025]S3、通过调度数据网络安全防护装置对网络层和传输层链接进行检测,若为非法链接,则对网络层链接进行阻断。
[0026]本实施例中,对网络层和传输层链接进行检测,具体实现方式为:将网络链接白名单和实际数据流进行对比。
[0027]假设在实际报文中捕获到一个链接是TCP,10.10.10.1,7686,192.168.0.1,2405,且该链接不在白名单中。则将该链接的通信隧道的正常通信进行阻断。
[0028]S4、通过调度数据网络安全防护装置对攻击行为进行检测,若存在攻击行为,则对物理层进行阻断。
[0029]本实施例中,攻击行为包括泛洪攻击、畸形报文攻击和阻断服务攻击等,如SYN flood,teardrop攻击。
[0030]本实施例中,对物理层进行阻断,是对受到攻击的网口进行禁用操作。
[0031]本实施例中,在发生阻断后,装置能通过本地或远程方式恢复通信,保证业务的连续性。
[0032]实施例2本实施例提供本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种调度数据网多级阻断的安全防护方法,其特征在于,包括:将调度数据网络安全防护装置以串行方式接入调度层网络,以及对预先配置的白名单内的链接建立通信隧道;通过调度数据网络安全防护装置对调度数据网的应用层报文进行检测,若检测到异常,则对应用层报文进行阻断;通过调度数据网络安全防护装置对调度数据网的网络层和传输层链接进行检测,若为非法链接,则对网络层链接进行阻断;通过调度数据网络安全防护装置对攻击行为进行检测,若存在攻击行为,则对调度数据网的物理层进行阻断。2.根据权利要求1所述的一种调度数据网多级阻断的安全防护方法,其特征在于,一条所述白名单内的链接包括:协议名、源IP地址、目的IP地址、源端口和目的端口。3.根据权利要求2所述的一种调度数据网多级阻断的安全防护方法,其特征在于,所述白名单的链接中还包括应用层协议名称。4.根据权利要求1所述的一种调度数据网多级阻断的安全防护方法,其特征在于,所述对调度数据网的应用层报文进行检测,包括:对正常状态下应用层报文基于通信协议进行解析,得到有效数据,并形成基准库;若从接收到的应用层报文中提取的有效数据与基准库相比发生了跳变,且跳变值超过预设阈值,则判断应用层报文异常。5.根据权利要求4所述的一种调度数据网多级阻断的安全防护方法,其特征在于,所述对应用层报文进行阻断,包括:对应用层报文...
【专利技术属性】
技术研发人员:张云飞,徐行之,吴江,侯永春,华德峰,韩学春,甘强,许卫刚,何露芽,
申请(专利权)人:国网江苏省电力有限公司超高压分公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。