一种未知威胁的主动防御系统和方法技术方案

本发明专利技术公开了一种未知威胁的主动防御系统和方法，该系统包括：智能威胁预警模块、未知威胁检测模块和自适应防御处置模块；智能威胁预警模块，用于对从电力信息网络实时采集到的网络数据进行威胁预测得到威胁预警信息，将威胁预警信息发送到未知威胁检测模块；未知威胁检测模块，用于在接收到威胁预警信息时，对采集到的未知威胁网络数据进行威胁检测和分析，生成威胁分析报告，并将威胁分析报告发送到自适应防御处置模块；自适应防御处置模块，用于根据威胁分析报告触发预设威胁防御策略对应的防御处置操作，形成了更加精细化和自适应的安全防护体系，提高了系统安全事件的监测预警能力，提升了整体电力网络防御水平。提升了整体电力网络防御水平。提升了整体电力网络防御水平。

【技术实现步骤摘要】
一种未知威胁的主动防御系统和方法


[0001]本专利技术涉及电力系统
，尤其涉及一种未知威胁的主动防御系统和方法。

技术介绍

[0002]电力信息网络是指在电力系统中，为实现智能化、信息化及远程控制等功能，采用计算机技术和通信技术对电力设备进行互联互通的网络。
[0003]当下电力信息网络面临的网络安全风险有：（1）网络攻击，黑客可能通过各种方式进入电力信息网络，对系统进行攻击和破坏，例如DDoS攻击、恶意软件攻击、数据篡改等；这些攻击可能导致电网停电、数据泄露和信息安全问题；（2）人为操作失误，电力信息网络涉及到众多的人为操作，例如系统维护、网络管理等，如果发生操作失误，可能会导致系统故障或者信息泄露等问题；（3）社会工程学攻击，通过伪装、欺骗、信息收集等方式获取系统或者应用程序的信息，从而达到进入计算机系统或者网络的目的；（4）IoT设备安全问题，电力信息网络中常用的物联网设备存在着一些安全漏洞，例如默认密码、未及时升级等，这些问题容易被攻击者利用。针对上述网络安全风险，需要采取相应的安全措施来保障电力信息网络的安全运行。
[0004]现有的安全技术虽然应对一些传统的网络安全问题，但是对于电力信息网络的建设存在的不足主要表现在三个方面：第一，传统的电力网络安全防御系统大多是基于被动防御的基础上建立的，主要依靠杀毒软件，防火墙，身份认证等技术手段。比如防火墙技术，虽然通过配置一些安全访问规则，可以有效阻拦大部分非法入侵操作，但是这些配置规则都是静态的，一旦攻击手段多样化，就会使得安全防护的主动性方面有所欠缺，缺乏探测灵活性；第二，从技术层面的角度，电力网络的安全防御大多侧重于边界防御，没有全面分析威胁，缺乏对网络安全威胁全局态势的感知灵敏性，导致对变换后的攻击无法及时应对，防御效果降低。第三，传统的防御手段过多依赖运维工程师的手动操作，缺乏自主性。

技术实现思路

[0005]本专利技术提供了一种未知威胁的主动防御系统和方法，以解决电力信息网络现有的安全技术，缺乏主动性和自主性，防御不全面的问题，形成更加精细化和自适应的安全防护体系，提高系统安全事件的监测预警能力，提升整体电力网络防御水平。
[0006]根据本专利技术的一方面，提供了一种未知威胁的主动防御系统，应用于电力信息网络，所述系统包括：
[0007]智能威胁预警模块、未知威胁检测模块和自适应防御处置模块；
[0008]所述智能威胁预警模块，用于对从电力信息网络实时采集到的网络数据进行威胁预测得到威胁预警信息，将所述威胁预警信息发送到所述未知威胁检测模块；
[0009]所述未知威胁检测模块，用于在接收到所述威胁预警信息时，对采集到的未知威胁网络数据进行威胁检测和分析，生成威胁分析报告，并将所述威胁分析报告发送到所述自适应防御处置模块；
[0010]所述自适应防御处置模块，用于根据所述威胁分析报告触发预设威胁防御策略对应的防御处置操作。
[0011]根据本专利技术的另一方面，提供了一种未知威胁的主动防御方法，应用于未知威胁的主动防御系统，所述方法包括：
[0012]通过智能威胁预警模块，对从电力信息网络实时采集到的网络数据进行威胁预测得到威胁预警信息；
[0013]通过未知威胁检测模块，在接收到所述威胁预警信息时，根据所述未知威胁网络数据进行威胁分析，生成威胁分析报告；并将所述威胁分析报告发送到自适应防御处置模块；
[0014]通过所述自适应防御处置模块，根据所述威胁分析报告触发预设威胁防御策略对应的防御处置操作。
[0015]本专利技术实施例提供一种未知威胁的主动防御系统包括：智能威胁预警模块、未知威胁检测模块和自适应防御处置模块；智能威胁预警模块，用于对从电力信息网络实时采集到的网络数据进行威胁预测得到威胁预警信息，将威胁预警信息发送到未知威胁检测模块；未知威胁检测模块，用于在接收到威胁预警信息时，对采集到的未知威胁网络数据进行威胁检测和分析，生成威胁分析报告，并将威胁分析报告发送到自适应防御处置模块；自适应防御处置模块，用于根据威胁分析报告触发预设威胁防御策略对应的防御处置操作，通过主动预警、及时检测和自动防御，解决了电力信息网络现有的安全技术，缺乏主动性和自主性，防御不全面的问题，形成了更加精细化和自适应的安全防护体系，提高了系统安全事件的监测预警能力，提升了整体电力网络防御水平。
[0016]应当理解，本部分所描述的内容并非旨在标识本专利技术的实施例的关键或重要特征，也不用于限制本专利技术的范围。本专利技术的其它特征将通过以下的说明书而变得容易理解。
附图说明
[0017]为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0018]图1是本专利技术实施例一提供的一种未知威胁的主动防御系统的结构示意图；
[0019]图2是本专利技术实施例一提供的一种示例的训练样本集的生成过程的示意图；
[0020]图3是本专利技术实施例一提供的一种基于大数据预测的预警单元的业务流程的示意图；
[0021]图4是本专利技术实施例一提供的一种日志数据采集过程的示意图；
[0022]图5是本专利技术实施例一提供的一种威胁情报在区块链中的共享流程的示意图；
[0023]图6是本专利技术实施例一提供的一种威胁情报在区块链中的共享流程的示意图；
[0024]图7是本专利技术实施例提供的一种流量加密安全检测方法的流程示意图；
[0025]图8是本专利技术实施一提供的一种自适应安全设备联动的执行过程的示意图；
[0026]图9是本专利技术实施例一提供的一种自动化处置单元的执行过程的示意图；
[0027]图10是本专利技术实施例二提供的一种未知威胁的主动防御系统的结构示意图；
[0028]图11是本专利技术实施例二提供的一种有限状态机的执行过程的示意图；
[0029]图12是本专利技术实施例二提供的一种基于异常行为关联的威胁链结构架构图。
具体实施方式
[0030]为了使本
的人员更好地理解本专利技术方案，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分的实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本专利技术保护的范围。
[0031]需要说明的是，本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种未知威胁的主动防御系统，其特征在于，应用于电力信息网络，所述系统包括：智能威胁预警模块、未知威胁检测模块和自适应防御处置模块；所述智能威胁预警模块，用于对从电力信息网络实时采集到的网络数据进行威胁预测得到威胁预警信息，将所述威胁预警信息发送到所述未知威胁检测模块；所述未知威胁检测模块，用于在接收到所述威胁预警信息时，对采集到的未知威胁网络数据进行威胁检测和分析，生成威胁分析报告，并将所述威胁分析报告发送到所述自适应防御处置模块；所述自适应防御处置模块，用于根据所述威胁分析报告触发预设威胁防御策略对应的防御处置操作。2.根据权利要求1所述的系统，其特征在于，所述智能威胁预警模块包括：基于态势感知预测的预警单元、基于大数据预测的预警单元、基于联盟链情报共享的预警单元和联合预警单元；所述基于态势感知预测的预警单元，用于通过预先训练完备的态势预测模型，对采集到的多源电网态势数据集进行预测得到态势预测结果，并根据所述态势预测结果生成第一威胁预警信息；所述基于大数据预测的预警单元，用于通过预先训练完备的数据挖掘模型和特征提取模型对采集到的各设备的日志数据进行处理，得到威胁预测结果，根据威胁预测结果生成第二威胁预警信息；所述基于联盟链情报共享的预警单元，用于通过联盟链获取所述电力信息网络中受威胁节点的威胁情报数据，根据所述威胁情报数据确定第三威胁预警信息；所述联合预警单元，用于根据所述第一威胁预警信息、所述第二威胁预警信息和所述第三威胁预警信息生成联合预警信息，并将所述联合预警信息发送到所述未知威胁检测模块。3.根据权利要求2所述的系统，其特征在于，所述基于态势感知预测的预警单元包括：多源电网态势数据处理子单元、态势预测子单元和威胁预警子单元；所述多源电网态势数据处理子单元，用于采集多源电网态势数据，对所述多源电网态势数据进行数据转换和数据预处理，获得多源电网态势数据集；所述态势预测子单元，用于将所述多源电网态势数据集输入预先训练完备的态势预测模型，获得态势预测结果；所述威胁预警子单元，用于比较所述态势预测结果和态势临界值，生成第一威胁预警信息。4.根据权利要求1所述的系统，其特征在于，所述未知威胁检测模块，包括：基于加密流量的威胁检测单元、基于复杂事件处理框架的威胁检测单元和基于行为深度学习的威胁分析单元；所述基于加密流量的威胁检测单元，用于对采集到的第一未知威胁网络数据进行威胁检测，获得第一威胁检测结果；所述第一未知威胁网络数据包括：加密通信的恶意流量数据、加密的攻击行为或者恶意应用；所述基于复杂事件处理框架的威胁检测单元，用于根据基于复杂时间处理框架的威胁事件检测规则对采集到的第二未知威胁网络数进行威胁分析，获得第二威胁检测结果；所
述第二未知威胁网络数据包括受威胁设备的日志数据；基于行为深度学习的威胁分析单元，用于对所述第一威胁检测结果和所述第二威胁检测结果进行深度学习，获得威胁分析报告。5.根据权利要求4所述的系统，其特征在于，所述基于行为深度学习的威胁分析单元包括：告警日志...

【专利技术属性】
技术研发人员：赵新建，李千目，夏飞，袁国泉，冒佳明，商林江，郭靓，张颂，陈石，徐晨维，窦昊翔，孟顺梅，刘剑，宋浒，金倩倩，
申请(专利权)人：国网江苏省电力有限公司南京南瑞信息通信科技有限公司南京理工大学，
类型：发明
国别省市：