基于软件定义的电力物联网安全防护装置及方法与流程

本发明涉及一种网络安全防护技术领域，是一种基于软件定义的电力物联网安全防护装置及方法。

背景技术

近年来，随着电力物联网的建设与发展，各类新型信息技术和能源技术深度融合，新技术的广泛应用使电力系统的业务模式发生变革，海量异构电力物联网终端广泛接入，网络边界模糊、数据交互多元，电力系统由封闭独立向互联互通转变。电力物联网终端种类众多、安全标准不统一、供应链不可信，终端漏洞频发且部分终端无法实时更新安全补丁。攻击者一旦利用漏洞控制物联网终端作跳板发起对电力主要业务系统的攻击，将造成电力关键信息基础设施被破坏，危害国家安全和社会稳定。

目前，现有的电力物联网安全防护方法仍然以基于边界防护的传统方法为主，如使用防火墙、IDS、IPS等安全设备，不适用于大量物联终端接入的情况。虽然已经有一些基于软件定义的物联网控制方法，但是这些方法主要聚焦于通过把终端进行硬件改造的方式来增加物联网安全性，或是仅能监测单个漏洞，成本较高且实现难度大、安全防护性低，无法适用于当前电力物联网安全防护需求。

技术实现要素：

本发明提供了一种基于软件定义的电力物联网安全防护装置及方法，克服了上述现有技术之不足，其能有效解决现有电力物联网环境下存在的应对各类网络安全攻击防御效果不佳、防御代价较大的问题。

本发明的技术方案之一是通过以下措施来实现的：一种基于软件定义的电力物联网安全防护装置，包括：

数据模块，连接电力物联网终端和上层网络，监控终端流量数据和终端本体运行数据，部署电力物联网终端安全防护措施；

控制模块，分析终端流量数据和终端本体运行数据，决定并控制每个电力物联网终端的安全防护策略变化，控制数据模块调整终端安全防护措施。

下面是对上述发明技术方案的进一步优化或/和改进：

上述数据模块，包括：

虚拟电力物联网关，连接电力物联网终端本地通信网络及上层网络，所有和终端通信的流量均经过虚拟电力物联网关传输，反馈终端流量数据至控制模块；

物联终端接口单元，连接不同类型的电力物联网终端，获取并反馈终端本体运行数据至控制模块，并控制电力物联网终端运行状态切换；

漏洞监测处置单元链，针对每一类电力物联网终端部署一组漏洞监测处置单元，每个漏洞监测处置单元对应一类漏洞，漏洞监测处置单元之间相互连接形成单元链，通过单元链之间数据流转判定当前单元是否监测到对应漏洞。

上述漏洞监测处置单元能够监测终端流量包并检查其内容，生成并发送终端流量告警信息至控制模块。

上述控制模块，包括：

策略状态机，分析终端流量数据和终端本体运行数据确定对否产生终端本体告警信息和终端流量告警信息，并依据预设的策略状态转换模型确定电力物联网终端的安全防护策略，其中安全防护策略包括终端运行状态切换和对应的安全响应策略；

终端控制单元，定期处理终端本体告警信息，并依据策略状态机判断结果，确定是否产生终端告警；

漏洞监测处置控制器，接收数据模块产生的终端流量告警信息并进行相应管理。

上述策略状态转换模型具备深度学习功能，根据每类电力物联网终端的终端流量告警信息和终端本体告警信息，自动决定该电力物联网终端在网络层面和终端层面的安全响应。

本发明的技术方案之二是通过以下措施来实现的：一种基于软件定义的电力物联网安全防护方法，包括：

数据模块与电力物联网终端连接；

数据模块监控电力物联网终端的终端流量数据和终端本体运行数据，并发送至控制模块；

控制模块根据结合终端流量数据和终端本体运行数据，确定终端本体告警信息和终端流量告警信息，并根据终端本体告警信息和终端流量告警信息确定电力物联网终端的安全防护策略，控制模块控制数据模块执行安全防护策略，其中安全防护策略包括终端运行状态切换和对应的安全响应策略。

下面是对上述发明技术方案的进一步优化或/和改进：

上述控制模块根据结合终端流量数据和终端本体运行数据，确定终端本体告警信息和终端流量告警信息，并根据终端本体告警信息和终端流量告警信息确定电力物联网终端的安全防护策略，控制模块控制数据模块执行安全防护策略，包括：

策略状态机分别通过终端控制单元和漏洞监测处置控制器获得终端流量数据和终端本体运行数据，判断电力物联网终端的当前状态；

若判断发生终端流量异常，则输入终端流量告警信息至策略状态转换模型，策略状态转换模型输出对应的安全防护策略，其中安全防护策略包括将终端从正常状态转为可疑状态、改变终端采样频率，在漏洞监测处置单元链中部署攻击源阻断单元；

若判断发生终端本体异常，则输入终端本体告警信息至策略状态转换模型，策略状态转换模型输出对应的安全防护策略，其中安全防护策略包括将终端从正常状态转为攻击状态、改变终端采样频率，在漏洞监测处置单元链中部署流量全阻断漏洞监测处置单元。

上述在执行完所述安全防护策略后，发出告警提示至运维人员进行处理。

上述策略状态机分别通过终端控制单元和漏洞监测处置控制器获得终端流量数据和终端本体运行数据，判断电力物联网终端的当前状态，包括：

分析终端流量数据是否终端流量异常条件的任意一条，响应于是，则电力物联网终端的当前状态为终端流量异常，其中终端流量异常条件包括：异常流量、通用漏洞攻击、特定物联终端攻击；

分析终端本体数据是否终端本体异常条件的任意一条，响应于是，则电力物联网终端的当前状态为终端本体异常，其中终端本体异常条件包括：终端本体运行数据与预定义值不符、数据获取时间超时、与近期采样值相比数据异常、与同类型终端数据不一致、与同范围内终端数据不一致。

上述在数据模块监控电力物联网终端的终端流量数据和终端本体运行数据，并发送至控制模块之前，进行初始化，初始化包括设置电力物联网终端安全状态为正常状态，终端本体运行接口为默认值，初始化漏洞监测处置单元链。

本发明通过在网络层增加安全防护措施，无需改造现有的各类电力物联网终端，并且通过结合终端网络状态监测和终端本体状态监测来实现对电力物联网终端的安全防护，可实现对常见的各类终端漏洞安全监测及阻断，且对于同类型终端无需重复操作，有效提高了电力物联网不可靠环境下网络安全攻击的防御效果，减少防御成本。

附图说明

附图1为本发明实施例1的装置结构图。

附图2为本发明实施例2的装置动态数据流图。

附图3为本发明实施例3的方法流程图。

具体实施方式

本发明不受下述实施例的限制，可根据本发明的技术方案与实际情况来确定具体的实施方式。

下面结合实施例及附图对本发明作进一步描述：

实施例1：如附图1所示，本发明实施例公开了一种基于软件定义的电力物联网安全防护装置，包括：

数据模块，连接电力物联网终端和上层网络，监控终端流量数据和终端本体运行数据，部署电力物联网终端安全防护措施；具体包括虚拟电力物联网关、物联终端接口单元、漏洞监测处置单元链，其中：

虚拟电力物联网关，连接电力物联网终端本地通信网络及上层网络，所有和终端通信的流量均经过虚拟电力物联网关传输，反馈终端流量数据至控制模块；这里连接电力物联网终端本地通信网络及上层网络，所有和终端通信的流量均经过虚拟电力物联网关传输，可利用OVS多层虚拟交换机等技术实现；

物联终端接口单元，连接不同类型的电力物联网终端，获取并反馈终端本体运行数据至控制模块，并控制电力物联网终端运行状态切换；

漏洞监测处置单元链，针对每一类电力物联网终端部署一组漏洞监测处置单元，每个漏洞监测处置单元对应一类漏洞，可利用KVM虚拟机等技术实现，漏洞监测处置单元之间相互连接形成单元链，通过单元链之间数据流转判定当前单元是否监测到对应漏洞。

控制模块，分析终端流量数据和终端本体运行数据，决定并控制每个电力物联网终端的安全防护策略变化，控制数据模块调整终端安全防护措施；具体包括策略状态机、终端控制单元、漏洞监测处置控制器，其中：

策略状态机，分析终端流量数据和终端本体运行数据确定对否产生终端本体告警信息和终端流量告警信息，并依据预设的策略状态转换模型确定电力物联网终端的安全防护策略，其中安全防护策略包括终端运行状态切换和对应的安全响应策略；这里的策略状态转换模型具备深度学习功能，根据每类电力物联网终端的终端流量告警信息和终端本体告警信息，自动决定该电力物联网终端在网络层面和终端层面的安全响应；

终端控制单元，定期处理终端本体告警信息，并依据策略状态机判断结果，确定是否产生终端告警；这里终端告警包括终端本体告警和终端流量告警；

漏洞监测处置控制器，接收数据模块产生的终端流量告警信息并管理控制漏洞监测处置单元。

实施例2：如附图2所示，为本发明装置的动态数据流图，结合附图可以看出：

本装置同时监测两类告警信息：终端流量告警信息和终端本体告警信息，其中流量告警信息可来自数据模块的漏洞监测处置单元，也可是策略状态机通过对终端流量数据进行分析产生；若来自数据模块的漏洞监测处置单元，则为通过对电力物联网终端发送的流量进行监测以推断可能存在的攻击，如当恶意攻击者试图通过暴力破解登录终端时，或有来自终端的异常流量，则判断可能正在遭受攻击；终端本体告警信息可是策略状态机通过对终端本体数据进行分析产生，即通过利用终端本体数据接口监测其运行数据，以推断当前终端运行状态是否正常，如当某个电力用户侧温湿度传感器出现了超出其所处位置合理范围内的温湿度值时，说明该传感器存在已经被攻击者攻陷并故意产生错误的虚假数据的风险。

控制模块将终端流量告警信息和终端本体告警信息输入至策略状态机中预先设置好的策略状态转换模型中，由策略状态转换模型来电力物联网终端的安全防护策略，安全防护策略包括终端运行状态切换和对应的安全响应策略，如果策略状态机判定电力物联网终端需要从当前安全状态转变到另一个状态时，会通过策略告知电力物联终端和漏洞监测处置单元如何做出相应的响应。

电力物联网终端的流量转发到数据模块，由虚拟电力物联网关接收后转发至漏洞监测处置单元链上，每个类型的电力物联网终端对应一个或多个漏洞监测处置单元，漏洞监测处置单元之间相互连接形成链条，流量从漏洞监测处置单元1开始逐步传递到漏洞监测处置单元N，由每个漏洞监测处置单元分别判定当前终端在当前时刻是否存在本单元所检测的漏洞类型，当流量完成整个漏洞监测处置单元链上的传递时，就从数据模块传出。

在特定时间和某个类型电力物联网终端相关联的漏洞监测处置单元可以实现定制化的适用于当前终端的监测和处置功能，既可以是适用于多类型终端的通用型单元，也可以是针对某个类型特定漏洞专用型单元。漏洞监测处置单元的配置信息可以来自多个方面，如一些网络分析工具，用来判断终端的行为是否存在异常，或是一些来自于国内外官方漏洞平台上关于该类型终端的已知漏洞。

漏洞监测处置单元包括以下几个功能：当检测到电力物联网终端上的一些恶意攻击后生成终端流量告警信息，并发送到漏洞监测处置控制器；监测电力物联网终端发送的流量信息，并分析流量包内容作出相应，如当检测到可疑流量包时，可新增短信发送单元通过发送短信的方式提醒运维人员注意该终端；当某个电力物联网终端缺少身份认证功能时，漏洞监测处置单元可以增加http身份认证功能，只允许授权用户访问终端，或者是强制要求使用https方式访问终端，通过这种方式变相向终端新增安全防护功能；实现一些低层次的功能，如当监测到恶意攻击者正在利用某个漏洞进行攻击时，可以阻断来自指定地址的所有流量包。

实施例3：如附图3所示，本发明实施例公开了一种基于软件定义的电力物联网安全防护装置，包括：

步骤S301，初始化工作，设置电力物联网终端安全状态为正常状态，终端本体运行接口为默认值（如温湿度传感器初始化采样频率为默认值）；初始化漏洞监测处置单元链，其中含拒绝服务单元、暴力破解单元等基础单元；

步骤S302，数据模块与电力物联网终端连接，具体包括虚拟电力物联网关连接电力物联网终端本地通信网络及上层网络，所有和终端通信的流量均经过网关传输；物联终端接口单元利用终端本体数据接口连接不同类型终端；

步骤S303，数据模块监控电力物联网终端的终端流量数据和终端本体运行数据，并发送至控制模块；具体包括虚拟电力物联网关通过漏洞监测处置单元链监测终端发送的终端流量数据，发送至漏洞监测处置控制器，物联终端接口单元通过终端本体数据接口查询终端本体运行数据（如当前的温度和湿度），然后发送至终端控制单元，再由终端控制单元和漏洞监测处置控制器发送至策略状态机；

步骤S304，控制模块根据结合终端流量数据和终端本体运行数据，确定终端本体告警信息和终端流量告警信息，并根据终端本体告警信息和终端流量告警信息确定电力物联网终端的安全防护策略，其中安全防护策略包括终端运行状态切换和对应的安全响应策略；

具体包括：

（1）策略状态机分别通过终端控制单元和漏洞监测处置控制器获得终端流量数据和终端本体运行数据，判断电力物联网终端的当前状态，具体包括：

A、分析终端流量数据是否终端流量异常条件的任意一条，响应于是，则电力物联网终端的当前状态为终端流量异常，其中终端流量异常条件包括：异常流量、通用漏洞攻击、特定物联终端攻击；

B、分析终端本体数据是否终端本体异常条件的任意一条，响应于是，则电力物联网终端的当前状态为终端本体异常，其中终端本体异常条件包括：终端本体运行数据与预定义值不符、数据获取时间超时、与近期采样值相比数据异常、与同类型终端数据不一致、与同范围内终端数据不一致；

（2）若判断发生终端流量异常，则输入终端流量告警信息至策略状态转换模型，策略状态转换模型输出对应的安全防护策略，其中安全防护策略包括将终端从正常状态转为可疑状态、改变终端采样频率，在漏洞监测处置单元链中部署攻击源阻断单元；

例如：如漏洞监测处置单元监测到1分钟内有超过10次登录尝试时，则输入暴力破解告警值策略状态转换模型，策略状态转换模型输出安全防护策略，即终端从正常状态转为可疑状态，并条用终端本体数据接口增加传感器采样频率为原来的两倍获得更多终端的温湿度数据，然后在漏洞监测处置单元链中部署新的单元，即攻击源阻断单元，将阻断所以来自攻击源IP的流量，部署完新的单元后系统将通过新的漏洞监测处置链监测流量，用新的采样率查询终端，然后用新状态的策略验证采集到的温湿度值是否正确；

（3）若判断发生终端本体异常，则输入终端本体告警信息至策略状态转换模型，策略状态转换模型输出对应的安全防护策略，其中安全防护策略包括将终端从正常状态转为攻击状态、改变终端采样频率，在漏洞监测处置单元链中部署流量全阻断漏洞监测处置单元；

例如：当恶意攻击者已经登录成功，会尝试改变温湿度传感器的值以发送错误数据，此时若监测到最近20个温湿度传感器的平均值不在配置范围内，则输入终端本体异常至策略状态转换模型，策略状态转换模型输出安全防护策略，即温湿度传感器切换到攻击状态，策略状态机控制漏洞监测处置单元链新增一个流量全阻断漏洞监测处置单元，阻断所有出入温湿度传感器的流量。

步骤S305，在执行完所述安全防护策略后，发出告警提示至运维人员进行处理；具体为当电力物联网终端进入可疑状态或攻击状态后，自动部署新的漏洞监测处置单元进行提醒，如短信提示单元，通过发送短信的方式告知运维人员需处理异常终端，或邮件告警，通过发送邮件的方式告知运维人员需进行处理，待运维人员处理后可通过状态重置转化终端的运行状态至正常态。

本发明通过在网络层增加安全防护措施，无需改造现有的各类电力物联网终端，并且通过结合终端网络状态监测和终端本体状态监测来实现对电力物联网终端的安全监测及安全防护，能及时电力物联网终端的异常状态，并对对应的各类电力物联网终端安全漏洞进行阻断，且对于同类型终端无需重复操作，有效提高了电力物联网不可靠环境下网络安全攻击的防御效果，减少防御成本。

以上技术特征构成了本发明的最佳实施例，其具有较强的适应性和最佳实施效果，可根据实际需要增减非必要的技术特征，来满足不同情况的需求。