云边协同的报文未知攻击感知系统及方法与流程

本发明涉及信息安全，具体涉及一种云边协同的报文未知攻击感知系统及方法。

背景技术：

1、随着信息化的不断深入，网络信息安全越来越受到重视，而网络安全面临的风险也显著提升。电力系统的网络安全对国家安全、社会稳定具有重要意义。

2、近年来，台区智能融合终端的大规模建设为实现海量分布式资源的分散自律、动态聚合和协同控制提供了有效技术手段。通过“云-管-边-端”架构，开展台区融合终端部署及向下延伸建设，为台区数据就地交互、台区资源协调互动打下了良好的基础，但与此同时，可控资源的智慧感知、台区数据就地交互、台区资源协调互动等需求带来的网络架构、数据交互变化给网络安全防护提出了新的挑战。目前，边端设备安全防护主要通过身份认证、数据加密、安全审计等传统安全防护措施实现，其业务应用自身安全漏洞无法避免且难以彻底根除，而在发现问题开展补丁加载过程中不但会影响正常业务开展，同时又易引入新的安全风险，难以保证对于业务应用未知漏洞的安全风险规避。

技术实现思路

1、为了克服上述电网系统易被恶意攻击和风险处理影响正常业务处理的问题，本发明提供一种云边协同的报文未知攻击感知系统，所述系统包括：

2、边缘代理设备、安全接入网关、电力业务系统和电力管控子系统，所述边缘代理设备分别与所述安全接入网关和所述电力管控子系统通讯连接，所述安全接入网关分别与所述电力业务系统和所述电力管控子系统通讯连接；

3、所述边缘代理设备，用于接收业务终端上报的业务数据，对所述业务数据进行加密处理并转发；

4、所述安全接入网关，用于接收所述边缘代理转发的所述业务数据的加密报文，对所述加密报文进行解密处理以获得解密报文；并将所述解密报文发送给云端的所述电力业务系统和所述电力管控子系统；

5、所述电力管控子系统，用于对接收的所述解密报文进行攻击检测，在攻击检测结果异常的情况下生成异常行为通知指令，向所述边缘代理设备发送所述异常行为通知指令；

6、所述边缘代理设备，还用于基于接收到的所述异常行为通知指令，对上报所述业务数据的业务终端进行隔离。

7、可选的，所述安全接入网关包括旁路报文分析模块，所述旁路报文分析模块分别与所述电力业务系统和所述电力管控子系统通讯连接；

8、所述旁路报文分析模块用于将所述解密报文的各帧数据划分为多个片段，对所述多个片段进行并行解析，将解析结果发送给所述电力业务系统和所述电力管控子系统。

9、可选的，所述旁路报文分析模块包括：第一字段划分子模块、第二字段划分子模块和字段解析子模块，所述第一字段划分子模块和所述第二字段划分子模块之间通讯连接，及所述第二字段划分子模块和所述字段解析子模块之间通讯连接；

10、所述第一字段划分子模块，用于基于字段的位置可变性，对每帧数据进行字段划分，获得对应的固定位置字段和可变位置字段；

11、第二字段划分子模块，分别对所述固定位置字段和所述可变位置字段进行子字段划分，获得对应的多个固定位置子字段和多个可变位置子字段；

12、字段解析子模块，用于对于每个所述固定位置子字段，按照字段的固定长度解析所述固定位置子字段；对于每个所述可变位置子字段，通过字段扫描确定对应的目标关键字段，基于所述目标关键字段解析出所述可变位置子字段关联的目标字段值。

13、可选的，所述边缘代理设备包括主动防御模块，所述主动防御模块与所述旁路报文分析模块通讯连接；

14、所述主动防御模块，用于获取上报所述业务数据的业务终端的终端标识和终端类型，并将所述终端标识和所述终端类型发送给所述安全接入网关；

15、所述旁路报文分析模块，还用于确定所述解析结果对应帧数据的帧序号，将所述解析结果、所述终端标识、所述终端类型和所述帧序号发送给所述电力管控子系统。

16、可选的，所述旁路报文分析模块，还用于通过消息队列将所述解析结果、所述终端标识、所述终端类型和所述帧序号发送给所述电力管控子系统。

17、可选的，所述电力管控子系统包括：

18、第一攻击检测模块，用于基于所述终端类型匹配对应的目标业务协议，基于所述目标业务协议确定对应的目标白名单，基于所述目标白名单对所述解析结果进行攻击检测，若所述解析结果不属于所述目标白名单，确定攻击检测结果异常。

19、可选的，所述电力管控子系统包括：

20、第二攻击检测模块，用于基于所述帧序号统计各所述帧数据对应的关键字相关指标信息，基于各所述帧数据对应关键字相关指标，通过遍历预先构建的异常检测模型确定攻击检测结果。

21、可选的，所述关键字相关指标包括关键字出现频率指标、两个关键字共现频率指标和每个关键字相邻两次出现的时间间隔指标中的至少一项。

22、可选的，所述第二攻击检测模块还用于：

23、获取历史业务数据；

24、对所述历史业务数据中的各帧数据进行解析，提取各帧数据中的关键字；以各关键字为节点，以关键字出现频率为节点的第一属性，以每个关键字相邻两次出现的时间间隔为节点的第二属性；

25、在同时出现的两个关键字对应节点之间构建边，以两个关键字共现频率为边的属性，构建所述异常检测模型。

26、可选的，所述第二攻击检测模块还用于判断所述关键字相关指标是否满足以下至少一项：

27、所述关键字出现频率指标是否超过所述异常检测模型中对应节点的第一属性的值；

28、每个所述关键字相邻两次出现的时间间隔是否超过所述异常检测模型中对应节点的第二属性的值；

29、所述两个关键字共现频率指标是否超过所述异常检测模型中对应边的属性值；

30、若满足，则确定攻击检测结果异常。

31、可选的，所述业务数据包括所述终端标识；

32、所述边缘代理设备，还用于将携带有终端标识的加密报文转发给所述安全接入网关；

33、所述电力管控子系统，还用于接收所述安全接入网关发送的所述终端标识。

34、可选的，所述业务数据不包括所述终端标识；

35、所述边缘代理设备，还用于为各业务终端分配终端标识并记录各业务终端与边缘代理设备之间的通信链路形成边缘代理连接关系库，将携带有终端标识的加密报文转发给所述安全接入网关；

36、所述电力管控子系统，还用于接收所述安全接入网关发送的所述终端标识。

37、可选的，所述电力管控子系统包括指令下发模块，所述指令下发模块分别与所述第一攻击检测模块和第二攻击检测模块通讯连接；

38、所述指令下发模块，用于接收所述第一攻击检测模块和所述第二攻击检测模块发送的所述攻击检测结果，并基于所述攻击检测结果和所述终端标识生成对应的异常行为通知指令；基于所述边缘代理连接关系库确定与所述终端标识对应的目标通信链路，基于所述目标通信链路，将所述异常行为通知指令发送给对应的边缘代理设备；

39、所述主动防御模块，用于解析所述异常行为通知指令以获得所述终端标识，基于所述终端标识，遍历所述边缘代理连接关系库以筛选出所述目标通信链路，并关闭所述目标通信链路。

40、可选的，所述边缘代理与所述安全接入网关之间通过构建服务于业务的加密通道进行数据传输。

41、另一方面，本发明还提供一种云边协同的报文未知攻击感知方法，包括：

42、通过边缘代理设备接收业务终端上报的业务数据，对所述业务数据进行加密处理，以获得加密报文；

43、通过安全接入网关对所述加密报文进行解密处理以获得解密报文，并将所述解密报文发送给云端的电力业务系统和电力管控子系统；

44、通过电力管控子系统对所述解密报文进行攻击检测，在攻击检测结果异常的情况下，生成异常行为通知指令，向所述边缘代理设备发送所述异常行为通知指令；

45、通过边缘代理设备基于接收到的所述异常行为通知指令，对上报所述业务数据的业务终端进行隔离。

46、另一方面，本发明还提供一种电子设备，包括：至少一个处理器和存储器；所述存储器和处理器通过总线相连；

47、所述存储器，用于存储一个或多个程序；

48、当所述一个或多个程序被所述至少一个处理器执行时，实现上述中任意一项所述的云边协同的报文未知攻击感知方法。

49、另一方面，本发明还提供一种可读存储介质，其上存有执行程序，所述执行程序被执行时，实现上述中任意一项所述的云边协同的报文未知攻击感知方法。

50、与现有技术相比，本发明的有益效果为：

51、本发明提供一种云边协同的报文未知攻击感知系统，一方面，通过在安全接入网关将业务报文同时发送给电力管控子系统和电力业务系统，以使本系统可以针对业务报文进行攻击检测，从而及时发现针对业务的未知攻击行为，避免由业务自身引起的安全漏洞，提升系统安全性；同时，接入的攻击检测能力攻击检测作为业务系统旁路，不影响正常业务处理过程，在检测出异常之前，终端业务报文正常传输至电力业务系统；另一方面，通过在电力管控子系统进行攻击检测并基于检测结果生成异常行为通知指令并下发给边缘端，可以使边缘端基于该指令实现边端的主动防御，提高电力业务系统的运行稳定性。