一种面向移动互联网的电力信息安全防护方法
【专利摘要】本发明公开了一种面向移动互联网的电力信息安全防护方法,该方法从服务资源安全防护和主动防御两个方面增强安全防护,通过利用安全沙箱、隔离区、单向访问通道、内容过滤等安全防护机制,实现移动互联网数据安全交互,提升和完善网络安全水平。本发明能有效保护用电客户在移动互联网环境下的个人隐私,并基于用户行为模型,实现主动防御,提升营销移动服务整体水平,营造“安全可靠”的用电服务生态环境。
【专利说明】—种面向移动互联网的电力信息安全防护方法
[0001]
【技术领域】
[0002]本发明属于电网在移动互联网环境安全防护领域,具体地说是一种面向移动互联网的电力信息安全防护方法。
【背景技术】
[0003]随着移动互联网的发展和移动应用的普及,用户通过移动网络获取用电信息的需求日益剧增,对于移动互联网网络安全的要求越来越高。目前电网公司的构建了一套基础网络架构,通过防火墙、隔离装置等安全防护设施构建信息内网和信息外网,信息内网存放数据库,信息外网搭建了内网和互联网数据交换的桥梁。信息外网分为DMZ区和安全区,在信息内网与信息外网、DMZ区与安全区分别部署防火墙,在安全区部署应用,DMZ区配置前端服务器。虽然目前的网络部署已经较为安全,现有的网络结构已经满足基础安全防护要求,但缺乏应用层的安全防护体系,如缺乏对应用程序安全验证,信息外网服务资源的保护,容易引起服务资源信息泄露,导致发生拒绝服务攻击等网络安全事故。
【发明内容】
[0004]本发明的目的是提供一种面向移动互联网的电力信息安全防护方法,该方法通过利用安全沙箱、隔离区、单向访问通道、内容过滤等安全防护机制,实现移动互联网数据安全交互,提升和完善网络安全水平。
[0005]本发明的目的通过以下技术方案实现:
一种面向移动互联网的电力信息安全防护方法,其特征在于:该方法从服务资源安全防护和主动防御两个方面增强安全防护,具体方法如下:
I)服务资源安全防护方法:
(1-1)应用程序运行于安全沙箱,数据存放隔离区
基于Sandbox设计理念,建立安全沙箱,实现应用程序运行容器,该安全沙箱封装所有系统接口,避免应用直接调用而引起的安全问题;建立虚拟文件系统,所有应用独立存储,用独立的数据存储空间,限制应用访问路径,应用仅能访问自己所在文件夹的路径,应用和数据分别存储加密,防止恶意篡改;
(1-2)基于握手协议,对传输内容进行加密,构建数据安全传输通道客户端与服务器端之间采用对称和非对称两种混合加密方式实现交互安全;建立连接使用非对称密钥加密,建立连接后,采用对称密钥加密;客户端保存非对称密钥的公钥,月艮务器保存非对称私钥;
(1-3)解析http请求内容,过滤非安全请求,保护服务资源
通过定义指令集的方式,系统只处理该指令集内的请求以及该应用可访问的服务资源;利用正则表达式过滤特殊字符,防止跨站脚本网络攻击; (1-4)利用单向访问通道,有效保证服务资源
单向访问通道可以缩小网络攻击范围,有效保障安全区的服务资源。安全区通过主动连接DMZ区,DMZ区对安全区和外网连接进行监听,当DMZ区监听到用户请求后,对请求进行http协议解析,控制socket在DMZ区和安全区之间建立连接,安全区对请求数据进行解析,连接内网数据,并进行数据传输;
2)主动防御方法:
(2-1)提取用户行为日志,建立用户行为数据库和用户异常行为模型针对用户应用下载、用户应用的使用频率、用户移动设备更换频率和设备位置信息改变等关键点进行日志记录,并过滤日志文件中网络爬虫访问数据,提取用户行为有效数据,建立用户行为数据库。通过使用决策树算法、神经网络算法等数据挖掘算法,对用户行为数据库中的数据进行深度挖掘,识别异常行为,提取异常访问规则,建立异常访问发现模型;(2-2)实时分析用户行为,实现主动防御
利用多级缓存,对用户实时数据进行记录,并通过异常行为模型对用户行为进行监测,及早发现异常攻击,并反馈系统管理人员和用户。
[0006]本发明通过利用安全沙箱、隔离区、单向访问通道、内容过滤等安全防护机制,实现移动互联网数据安全交互,提升和完善网络安全水平。本发明能有效保护用电客户在移动互联网环境下的个人隐私,并基于用户行为模型,实现主动防御,提升营销移动服务整体水平,营造“安全可靠”的用电服务生态环境。
【专利附图】
【附图说明】
[0007]图1是服务资源安全防护图。
【具体实施方式】
[0008]以服务资源请求过程为例说明具体的操作步骤:
一种面向移动互联网的电力信息安全防护方法,具体方法如下:
1)应用通过安全沙箱向服务器请求资源
应用程序运行于安全沙箱,数据存放隔离区;基于Sandbox设计理念,建立安全沙箱,实现应用程序运行容器,该安全沙箱封装所有系统接口,避免应用直接调用而引起的安全问题;建立虚拟文件系统,所有应用独立存储,用独立的数据存储空间,限制应用访问路径,应用仅能访问自己所在文件夹的路径,应用和数据分别存储加密,防止恶意篡改;
2)安全沙箱通过数据安全传输通道与服务端资源建立连接,并传输数据。
[0009]基于握手协议,对传输内容进行加密,构建数据安全传输通道;客户端与服务器端之间采用对称和非对称两种混合加密方式实现交互安全;建立连接使用非对称密钥加密,建立连接后,采用对称密钥加密;客户端保存非对称密钥的公钥,服务器保存非对称私钥;
3)DMZ区服务端进行应用认证和内容过滤,并通过单向访问通道传递给安全区应用服务。
[0010]解析http请求内容,过滤非安全请求,保护服务资源;通过定义指令集的方式,系统只处理该指令集内的请求以及该应用可访问的服务资源;利用正则表达式过滤特殊字符,防止跨站脚本网络攻击; 利用单向访问通道,有效保证服务资源;单向访问通道可以缩小网络攻击范围,有效保障安全区的服务资源。安全区通过主动连接DMZ区,DMZ区对安全区和外网连接进行监听,当DMZ区监听到用户请求后,对请求进行http协议解析,控制socket在DMZ区和安全区之间建立连接,安全区对请求数据进行解析,连接内网数据,并进行数据传输;
4)根据当前访问的服务请求以及该用户的历史操作记录,基于异常行为模型和置信度空间,判断是否为异常操作。
[0011]提取用户行为日志,建立用户行为数据库和用户异常行为模型;针对用户应用下载、用户应用的使用频率、用户移动设备更换频率和设备位置信息改变等关键点进行日志记录,并过滤日志文件中网络爬虫访问数据,提取用户行为有效数据,建立用户行为数据库。通过使用决策树算法、神经网络算法等数据挖掘算法,对用户行为数据库中的数据进行深度挖掘,识别异常行为,提取异常访问规则,建立异常访问发现模型;
5)若该请求为正常操作,则通过隔离装置获取内网数据,并按照以上过程原路返回至移动客户端应用。
[0012]若该请求为异常操作,则进行预警,并告知用户。
【权利要求】
1.一种面向移动互联网的电力信息安全防护方法,其特征在于:该方法从服务资源安全防护和主动防御两个方面增强安全防护,具体方法如下: 1)服务资源安全防护方法: (1-1)应用程序运行于安全沙箱,数据存放隔离区 基于Sandbox设计理念,建立安全沙箱,实现应用程序运行容器,该安全沙箱封装所有系统接口,避免应用直接调用而引起的安全问题;建立虚拟文件系统,所有应用独立存储,用独立的数据存储空间,限制应用访问路径,应用仅能访问自己所在文件夹的路径,应用和数据分别存储加密,防止恶意篡改; (1-2)基于握手协议,对传输内容进行加密,构建数据安全传输通道客户端与服务器端之间采用对称和非对称两种混合加密方式实现交互安全;建立连接使用非对称密钥加密,建立连接后,采用对称密钥加密;客户端保存非对称密钥的公钥,月艮务器保存非对称私钥; (1-3)解析http请求内容,过滤非安全请求,保护服务资源 通过定义指令集的方式,系统只处理该指令集内的请求以及该应用可访问的服务资源;利用正则表达式过滤特殊字符,防止跨站脚本网络攻击; (1-4)利用单向访问通道,有效保证服务资源 单向访问通道可以缩小网络攻击范围,有效保障安全区的服务资源; 安全区通过主动连接DMZ区,DMZ区对安全区和外网连接进行监听,当DMZ区监听到用户请求后,对请求进行http协议解析,控制socket在DMZ区和安全区之间建立连接,安全区对请求数据进行解析,连接内网数据,并进行数据传输; 2)主动防御方法: (2-1)提取用户行为日志,建立用户行为数据库和用户异常行为模型针对用户应用下载、用户应用的使用频率、用户移动设备更换频率和设备位置信息改变进行日志记录,并过滤日志文件中网络爬虫访问数据,提取用户行为有效数据,建立用户行为数据库;通过使用数据挖掘算法,对用户行为数据库中的数据进行深度挖掘,识别异常行为,提取异常访问规则,建立异常访问发现模型; (2-2)实时分析用户行为,实现主动防御 利用多级缓存,对用户实时数据进行记录,并通过异常行为模型对用户行为进行监测,及早发现异常攻击,并反馈系统管理人员和用户。
2.根据权利要求1所述的面向移动互联网的电力信息安全防护方法,其特征在于:步骤(2-1)中,数据挖掘算法包括决策树算法、神经网络算法。
【文档编号】H04L29/06GK104135475SQ201410344556
【公开日】2014年11月5日 申请日期:2014年7月18日 优先权日:2014年7月18日
【发明者】潘留兴, 李夫宝, 刘刚 申请人:国家电网公司, 江苏省电力公司, 江苏电力信息技术有限公司, 江苏省电力公司信息通信分公司