一种用于嵌入式终端安全防御的系统及方法与流程

本发明涉及智能电网安全技术领域，并且更具体地，涉及一种用于嵌入式终端安全防御的系统及方法。

背景技术：

嵌入式终端已广泛应用于智能电网的各个环节中，构成电力工控系统的重要组成部分。嵌入式设备在使电网更加智能化的同时，也带来了更多的安全风险。研究表明大部分嵌入式设备存在大量安全隐患和安全漏洞，同时相关嵌入式系统的固件还存在厂商植入的后门。设备的安全性极大程度上决定了电力工控系统的安全性，一旦遭受攻击，将导致电力设备故障，从而威胁到智能电网的安全稳定运行。因此，在电网越来越智能化的新形势下，如何有效应对嵌入式终端可能遭受的安全威胁、提高电力工控系统的生存性、保障电网的安全稳定运行成为亟待解决的问题。

目前没有威胁检测、隔离与自愈一体化实时联动的电力工控系统主动防御体系的相关成果，也没有终端与网络协同的安全威胁隔离或自愈体系。已有成果主要针对通信网络或嵌入式终端的物理性故障研究自愈方法，没有考虑网络攻击因素，也没有与攻击检测的联动；在电力工控系统网络攻击检测方面有初步研究，但主要研究检测方法，没有与隔离和自愈一体化的实时联动体系；个别对攻击阻断的研究没有与自愈协同，也没有从终端和网络协同的角度研究。这些成果均只研究了针对一个具体故障类型的防御技术，未形成完善的体系，仅仅从终端自身或网络通信单侧出发无法有效防御某些类型的网络攻击，从而难以有效抵御电网嵌入式终端面临的各种网络攻击。

技术实现要素：

本发明的目的在于有效防御电网嵌入式终端面临的安全威胁，避免对电网的安全稳定运行造成危害，提出了一种用于嵌入式终端安全防御的系统，包括：

安全威胁检测单元，所述安全检测单元包括：

分布式数据采集模块，基于交换机端口映射的网络信息采集获得嵌入式终端网络流量数据和通过基于代理的嵌入式终端信息采集获得嵌入式终端的运行状态特征数据，并将网络流量数据和运行状态特征数据传输至安全威胁检测模块；安全威胁检测模块，接收网络流量数据和运行状态特征数据，对网络流量数据和运行状态特征数据进行安全威胁检测，当检测到存在安全威胁时输出安全威胁信息；

安全威胁隔离单元，所述安全威胁隔离单元包括：

隔离策略制定模块，根据安全检测模块输出的安全威胁信息，确定隔离对象、确定隔离位置和确定隔离控制方式，根据隔离对象、隔离位置和隔离控制方式制定隔离策略，并将隔离策略传输至终端隔离模块和网络隔离模块；

终端隔离模块，接收隔离策略，根据隔离策略执行终端侧隔离操作；

网络隔离模块，接收隔离策略，根据隔离策略执行网络侧隔离操作；

自愈单元，接收网络隔离信息和终端隔离信息，所述自愈单元包括：

自愈策略制定模块，根据隔离策略，生成自愈策略；

攻击源追溯和消除模块，接收自愈策略，根据自愈策略执行攻击源追溯与消除操作；

终端自愈模块，接收自愈策略，根据自愈策略执行终端侧自愈操作；

网络自愈模块，接收自愈策略，根据自愈策略执行网络侧自愈操作。

可选的，安全威胁检测模块部署在检测设备中。

可选的，检测包括：

网络攻击检测，检测嵌入式终端是否遭受网络攻击，当嵌入式终端遭受网络攻击时输出攻击类型；

故障检测，检测嵌入式终端是否发生故障，当嵌入式终端发生故障时输出故障类型。

可选的，安全威胁类型包括：网络攻击和终端故障。

可选的，终端侧隔离操作包括：恶意文件删除和恶意程序关闭，实现安全威胁终端侧的隔离。

可选的，网络侧隔离操作包括：过滤规则恢复、acl恢复端口使用恢复、基于ip或tcp/udp协议的网络攻击隔离和对未知设备的鉴权功能，实现安全威胁网络侧的隔离。

可选的，攻击源追溯与消除操作包括：对安全威胁源进行mac定位、设备指纹识别和ip追踪定位，使用综合mac地址、ip地址和设备指纹的白名单对安全威胁源进行判断；

当安全威胁源为非法设备时，针对安全威胁源的消除策略为通过端口关闭对安全威胁源的阻断；

当安全威胁源为合法设备时，针对安全威胁源的消除策略为通过终端自愈攻击源的自愈。

可选的，终端侧自愈操作包括：快速切换冗余组件的硬件、系统快照还原操作系统、数据文件的备份/恢复、资源控制的通信和基于并行冗余协议与高可用性无缝冗余协议的端口自愈。

可选的，网络侧自愈操作包括：过滤规则恢复、acl恢复和端口使用恢复。

本发明还提出了一种用于嵌入式终端安全防御的方法，包括：

基于交换机端口映射的网络信息采集嵌入式终端网络流量数据和通嵌入式终端的运行状态特征数据，并将网络流量数据和运行状态特征数据；

接收网络流量数据和运行状态特征数据，对网络流量数据和运行状态特征数据进行安全威胁检测，当检测到存在安全威胁时输出安全威胁信息；

根据输出的安全威胁信息，确定隔离对象、确定隔离位置和确定隔离控制方式，根据隔离对象、隔离位置和隔离控制方式制定隔离策略；

接收隔离策略，根据隔离策略执行终端侧隔离操作、根据隔离策略执行网络侧隔离操作、接收网络隔离信息和终端隔离信息；

根据隔离策略，生成自愈策略，接收自愈策略，根据自愈策略执行攻击源追溯与消除操作、根据自愈策略执行终端侧自愈操作和根据自愈策略执行网络侧自愈操作。

可选的，检测包括：

网络攻击检测，检测嵌入式终端是否遭受网络攻击，当嵌入式终端遭受网络攻击时输出攻击类型；

故障检测，检测嵌入式终端是否发生故障，当嵌入式终端发生故障时输出故障类型。

可选的，安全威胁类型包括：网络攻击和终端故障。

可选的，终端侧隔离操作包括：恶意文件删除和恶意程序关闭，实现安全威胁终端侧的隔离。

可选的，网络侧隔离操作包括：过滤规则恢复、acl恢复端口使用恢复、基于ip或tcp/udp协议的网络攻击隔离和对未知设备的鉴权功能，实现安全威胁网络侧的隔离。

可选的，攻击源追溯与消除操作包括：对安全威胁源进行mac定位、设备指纹识别和ip追踪定位，使用综合mac地址、ip地址和设备指纹的白名单对安全威胁源进行判断；

当安全威胁源为非法设备时，针对安全威胁源的消除策略为通过端口关闭对安全威胁源的阻断；

当安全威胁源为合法设备时，针对安全威胁源的消除策略为通过终端自愈攻击源的自愈。

可选的，终端侧自愈操作包括：快速切换冗余组件的硬件、系统快照还原操作系统、数据文件的备份/恢复、资源控制的通信和基于并行冗余协议与高可用性无缝冗余协议的端口自愈。

可选的，网络侧自愈操作包括：过滤规则恢复、acl恢复和端口使用恢复。

本发明充分考虑了电网嵌入式终端可能遭受的网络攻击类型、同时考虑了物理性故障、融安全威胁检测、隔离和自愈于一体且实时联动，隔离策略与自愈策略建立在网络和终端协同的基础上，且自愈策略与隔离策略相协调，能够在电网嵌入式终端遭受安全威胁时及时有效地使终端恢复正常运行状态，进而保障电力工控系统安全可靠运行。

附图说明

图1为本发明用于嵌入式终端安全防御的系统结构图；

图2为本发明用于嵌入式终端安全防御的方法流程图；

图3为本发明用于嵌入式终端安全防御的系统嵌入式终端模型图。

具体实施方式

现在参考附图介绍本发明的示例性实施方式，然而，本发明可以用许多不同的形式来实施，并且不局限于此处描述的实施例，提供这些实施例是为了详尽地且完全地公开本发明，并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中，相同的单元/元件使用相同的附图标记。

除非另有说明，此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外，可以理解的是，以通常使用的词典限定的术语，应当被理解为与其相关领域的语境具有一致的含义，而不应该被理解为理想化的或过于正式的意义。

本发明提供了一种用于嵌入式终端安全防御的系统200，如图3所示，表示了一种针对电网嵌入式终端可能遭受的网络攻击场景。首先，攻击者将恶意代码植入运维人员设备上；之后，当运维人员将该设备连入变电站站控层网络进行运维时，通过该设备作为“跳板”，利用电网嵌入式终端即测控终端存在的漏洞向一个终端中植入恶意代码；该恶意代码可以通过篡改网络上传输的goose控制报文的数据字段，实现对与该终端处于同一vlan的其它终端所控制的断路器开断操作；最后，该恶意程序通过不断篡改控制报文实现多个断路器多次同时开/断，从而达到对电网造成持续性破坏的目的。本发明系统200，如图1所示，包括：

安全威胁检测单元201，所述安全检测单元包括：

分布式数据采集模块，基于交换机端口映射的网络信息采集获取嵌入式终端网络流量数据和基于代理的嵌入式终端信息采集获得嵌入式终端的运行状态特征数据，并将网络流量数据和运行状态特征数据传输至安全威胁检测模块；

安全威胁检测模块，接收网络流量数据和运行状态特征数据，对网络流量数据和运行状态特征数据进行安全威胁检测，当检测到存在安全威胁时输出安全威胁信息，威胁检测模块部署在检测设备中。

检测包括：网络攻击检测，检测嵌入式终端是否遭受网络攻击，当嵌入式终端遭受网络攻击时输出攻击类型；

故障检测，检测嵌入式终端是否发生故障，当嵌入式终端发生故障时输出故障类型。

安全威胁类型包括：网络攻击和终端故障。

安全威胁隔离单元202，所述安全威胁隔离单元包括：

隔离策略制定模块，根据安全检测模块输出的安全威胁信息，确定隔离对象、确定隔离位置和确定隔离控制方式，根据隔离对象、隔离位置和隔离控制方式制定隔离策略，并将隔离策略传输至终端隔离模块和网络隔离模块；

终端隔离模块，接收隔离策略，根据隔离策略执行终端侧隔离操作；

网络隔离模块，接收隔离策略，根据隔离策略执行网络侧隔离操作；

终端侧隔离操作包括：恶意文件删除和恶意程序关闭，实现安全威胁终端侧的隔离。

网络侧隔离操作包括：过滤规则恢复、acl恢复端口使用恢复、基于ip或tcp/udp协议的网络攻击隔离和对未知设备的鉴权功能，实现安全威胁网络侧的隔离。

自愈单元203，接收网络隔离信息和终端隔离信息，所述自愈单元包括：

自愈策略制定模块，根据隔离策略，生成自愈策略；

攻击源追溯和消除模块，接收自愈策略，根据自愈策略执行攻击源追溯与消除操作；

终端自愈模块，接收自愈策略，根据自愈策略执行终端侧自愈操作；

网络自愈模块，接收自愈策略，根据自愈策略执行网络侧自愈操作。

攻击源追溯与消除操作包括：对安全威胁源进行mac定位、设备指纹识别和ip追踪定位，使用综合mac地址、ip地址和设备指纹的白名单对安全威胁源进行判断；

当安全威胁源为非法设备时，针对安全威胁源的消除策略为通过端口关闭对安全威胁源的阻断；

当安全威胁源为合法设备时，针对安全威胁源的消除策略为通过终端自愈攻击源的自愈。

终端侧自愈操作包括：快速切换冗余组件的硬件、系统快照还原操作系统、数据文件的备份/恢复、资源控制的通信和基于并行冗余协议与高可用性无缝冗余协议的端口自愈。

网络侧自愈操作包括：过滤规则恢复、acl恢复和端口使用恢复。

本发明还提供了一种用于嵌入式终端安全防御的方法，如图2所示，包括：

基于交换机端口映射的网络信息采集获取嵌入式终端网络流量数据和基于代理的嵌入式终端信息采集获得嵌入式终端的运行状态特征数据，并将网络流量数据和运行状态特征数据；

接收网络流量数据和运行状态特征数据，对网络流量数据和运行状态特征数据进行安全威胁检测，当检测到存在安全威胁时输出安全威胁信息；

检测包括：

网络攻击检测，检测嵌入式终端是否遭受网络攻击，当嵌入式终端遭受网络攻击时输出攻击类型；

故障检测，检测嵌入式终端是否发生故障，当嵌入式终端发生故障时输出故障类型。

安全威胁类型包括：网络攻击和终端故障。

根据安全检测模块输出的安全威胁信息，确定隔离对象、确定隔离位置和确定隔离控制方式，根据隔离对象、隔离位置和隔离控制方式制定隔离策略，；

终端侧隔离操作包括：恶意文件删除和恶意程序关闭，实现安全威胁终端侧的隔离。

网络侧隔离操作包括：过滤规则恢复、acl恢复端口使用恢复、基于ip或tcp/udp协议的网络攻击隔离和对未知设备的鉴权功能，实现安全威胁网络侧的隔离。

接收隔离策略，根据隔离策略执行终端侧隔离操作、根据隔离策略执行网络侧隔离操作、接收网络隔离信息和终端隔离信息；

根据隔离策略，生成自愈策略，接收自愈策略，根据自愈策略执行攻击源追溯与消除操作、根据自愈策略执行终端侧自愈操作和根据自愈策略执行网络侧自愈操作。

对安全威胁源进行mac定位、设备指纹识别和ip追踪定位，使用综合mac地址、ip地址和设备指纹的白名单对安全威胁源进行判断；

当安全威胁源为非法设备时，针对安全威胁源的消除策略为通过端口关闭对安全威胁源的阻断；

当安全威胁源为合法设备时，针对安全威胁源的消除策略为通过终端自愈攻击源的自愈。

快速切换冗余组件的硬件、系统快照还原操作系统、数据文件的备份/恢复、资源控制的通信和基于并行冗余协议与高可用性无缝冗余协议的端口自愈。

网络侧自愈操作包括：过滤规则恢复、acl恢复和端口使用恢复。

本发明充分考虑了电网嵌入式终端可能遭受的网络攻击类型、同时考虑了物理性故障、融安全威胁检测、隔离和自愈于一体且实时联动，隔离策略与自愈策略建立在网络和终端协同的基础上，且自愈策略与隔离策略相协调，能够在电网嵌入式终端遭受安全威胁时及时有效地使终端恢复正常运行状态，进而保障电力工控系统安全可靠运行。