本發(fā)明屬于網(wǎng)絡(luò)安全管理領(lǐng)域，具體涉及一種電力信息網(wǎng)絡(luò)安全聯(lián)動(dòng)防御方法及系統(tǒng)。

背景技術(shù)：

為應(yīng)對(duì)日益增多的網(wǎng)絡(luò)安全事件，企業(yè)、政府等不同部門都部署了各種網(wǎng)絡(luò)安全產(chǎn)品，來確保網(wǎng)絡(luò)應(yīng)用的正常實(shí)施。如防火墻、入侵檢測(cè)、身份鑒別、數(shù)據(jù)加解密、安全通信協(xié)議、容錯(cuò)技術(shù)、日志審計(jì)等網(wǎng)絡(luò)防御技術(shù)和設(shè)備，在安全領(lǐng)域中發(fā)揮著必不可少的作用。但隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和技術(shù)的進(jìn)步，網(wǎng)絡(luò)安全事件也日趨多樣，傳統(tǒng)的單一網(wǎng)絡(luò)安全產(chǎn)品很難發(fā)現(xiàn)所有的網(wǎng)絡(luò)安全事件，例如防火墻能有效檢測(cè)到外網(wǎng)到內(nèi)網(wǎng)的訪問事件，但對(duì)于惡意代碼的傳播和執(zhí)行卻無能為力。為了確保網(wǎng)絡(luò)的安全，需要綜合入侵檢測(cè)、病毒防范、信息加密認(rèn)證等多種安全技術(shù)，即網(wǎng)絡(luò)安全聯(lián)動(dòng)防御技術(shù)。

網(wǎng)絡(luò)安全聯(lián)動(dòng)防御技術(shù)強(qiáng)調(diào)的是系統(tǒng)適應(yīng)安全的能力。結(jié)合現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)，對(duì)網(wǎng)絡(luò)安全事件準(zhǔn)確響應(yīng)，動(dòng)態(tài)調(diào)整響應(yīng)策略，確保關(guān)鍵數(shù)據(jù)的自動(dòng)保護(hù)和恢復(fù)，最大可能地降低外來攻擊造成的損失。網(wǎng)絡(luò)系統(tǒng)從單純的被動(dòng)防護(hù)提升為攻防兼?zhèn)涞穆?lián)動(dòng)式防御，這在網(wǎng)絡(luò)安全攻防的應(yīng)用中具有實(shí)用價(jià)值。目前，國內(nèi)外關(guān)注度較高的聯(lián)動(dòng)防御技術(shù)是入侵防御系統(tǒng)(Intrusion Prevention System，IPS)，通過防火墻和入侵檢測(cè)系統(tǒng)(Intrusion Detection System，IDS)之間的聯(lián)動(dòng)，以達(dá)到保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)，阻斷網(wǎng)絡(luò)入侵攻擊的目的。

但現(xiàn)有聯(lián)動(dòng)防御技術(shù)存在以下三點(diǎn)不足：(1)基于防火墻和入侵檢測(cè)系統(tǒng)間的聯(lián)動(dòng)防御僅考慮防火墻和入侵檢測(cè)系統(tǒng)等兩項(xiàng)網(wǎng)絡(luò)安全防護(hù)設(shè)備，未能包括其它安全防護(hù)設(shè)備，如身份認(rèn)證、蜜罐等，聯(lián)動(dòng)的范圍有限，因而防御的效果較差。(2)聯(lián)動(dòng)防御僅針對(duì)單一安全告警事件，沒有采用安全告警事件關(guān)聯(lián)分析，因而存在較高誤報(bào)，限制了聯(lián)動(dòng)防御技術(shù)的實(shí)用化。(3)事先設(shè)定參與聯(lián)動(dòng)防御的網(wǎng)絡(luò)安全設(shè)備，不能根據(jù)實(shí)際的網(wǎng)絡(luò)環(huán)境和攻擊情況動(dòng)態(tài)選擇，缺乏部署靈活性。

技術(shù)實(shí)現(xiàn)要素：

為了克服上述不足，本發(fā)明結(jié)合電力信息網(wǎng)絡(luò)自身的特點(diǎn)，提供一種電力信息網(wǎng)絡(luò)安全聯(lián)動(dòng)防御方法及系統(tǒng)，通過集中采集和分析網(wǎng)絡(luò)告警數(shù)據(jù)，生成相互關(guān)聯(lián)的攻擊步驟，消除 誤報(bào)警。聯(lián)動(dòng)防火墻、入侵檢測(cè)系統(tǒng)、安全交互平臺(tái)、邏輯強(qiáng)隔離裝置以及正反向隔離裝置等電力信息網(wǎng)絡(luò)安全設(shè)備，結(jié)合電力信息網(wǎng)絡(luò)拓?fù)?，自?dòng)確定參與聯(lián)動(dòng)防御的具體網(wǎng)絡(luò)安全設(shè)備，實(shí)現(xiàn)電力信息網(wǎng)絡(luò)安全聯(lián)動(dòng)防御。

本發(fā)明的目的是采用下述技術(shù)方案實(shí)現(xiàn)的：

一種電力信息網(wǎng)絡(luò)安全聯(lián)動(dòng)防御方法，所述方法包括：

步驟S1，采集安全告警數(shù)據(jù)并進(jìn)行預(yù)處理；

步驟S2，采用已知攻擊模式對(duì)安全告警數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析；

步驟S3，對(duì)安全告警數(shù)據(jù)進(jìn)行序列挖掘；

步驟S4，結(jié)合網(wǎng)絡(luò)拓?fù)?，自?dòng)確定參與聯(lián)動(dòng)防御的網(wǎng)絡(luò)安全設(shè)備；

步驟S5，向選定的網(wǎng)絡(luò)安全設(shè)備下發(fā)防御規(guī)則，以實(shí)現(xiàn)聯(lián)動(dòng)防御。

優(yōu)選的，所述步驟S1中采用分布式部署方式采集安全告警數(shù)據(jù)，并對(duì)采集到的安全告警數(shù)據(jù)集中進(jìn)行預(yù)處理，統(tǒng)一數(shù)據(jù)格式。

優(yōu)選的，所述步驟S1具體包括：

S101，在網(wǎng)絡(luò)安全設(shè)備上部署監(jiān)控裝置；其中，

所述網(wǎng)絡(luò)安全設(shè)備，包括防火墻、入侵檢測(cè)系統(tǒng)、安全交互平臺(tái)、邏輯強(qiáng)隔離裝置和正反向隔離裝置；

S102，所述監(jiān)控裝置采用定時(shí)或事件觸發(fā)機(jī)制，采集安全設(shè)備產(chǎn)生的安全告警數(shù)據(jù)，并發(fā)送至中心處理平臺(tái)；

S103，通過所述中心處理平臺(tái)對(duì)安全告警數(shù)據(jù)進(jìn)行預(yù)處理。

進(jìn)一步地，所述S103中，通過中心處理平臺(tái)對(duì)安全告警數(shù)據(jù)進(jìn)行解密和解壓縮后，獲得明文數(shù)據(jù)，然后對(duì)明文數(shù)據(jù)進(jìn)行預(yù)處理，所述預(yù)處理具體包括：

①從明文數(shù)據(jù)中抽取源IP地址、源端口、目的IP地址、目的端口、告警時(shí)間、事件類別和安全告警數(shù)據(jù)內(nèi)容；

②根據(jù)抽取的安全告警數(shù)據(jù)內(nèi)容和事件類別，定義最終規(guī)范類別；所述最終規(guī)范類別由操作人員預(yù)先制定，其方式包括漏洞掃描、未授權(quán)遠(yuǎn)程訪問和權(quán)限提升；

采用關(guān)鍵字匹配方式，自動(dòng)確定當(dāng)前預(yù)處理的安全告警數(shù)據(jù)的時(shí)間類別，選擇與該安全告警內(nèi)容和事件類別關(guān)鍵字匹配度最高的類別作為最終規(guī)范類別；

③將<源IP地址，源端口，目的IP地址，目的端口，告警時(shí)間，最終規(guī)范類別>作為一條安全告警記錄存入數(shù)據(jù)庫。

優(yōu)選的，所述步驟S2中，采用已知攻擊模式對(duì)安全告警數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析具體包括如下步驟：

S201，輸入已知攻擊模式，構(gòu)建與所述已知攻擊模式相關(guān)聯(lián)的規(guī)則層次結(jié)構(gòu)；

S202，從數(shù)據(jù)庫中逐條提取待分析的安全告警數(shù)據(jù)記錄，并將記錄中的規(guī)范類別與攻擊步驟相對(duì)應(yīng)，填充所述規(guī)則層次結(jié)構(gòu)；

S203，對(duì)規(guī)則層次結(jié)構(gòu)進(jìn)行細(xì)粒度劃分，獲取攻擊步驟關(guān)聯(lián)集合。

進(jìn)一步地，所述S201中，使用公開的網(wǎng)絡(luò)攻擊模式或者自定義的網(wǎng)絡(luò)攻擊模式作為已知攻擊模式，將所述已知攻擊模式相關(guān)的攻擊步驟按照邏輯先后順序排列，完成規(guī)則層次結(jié)構(gòu)的構(gòu)建；

所述S202包括，提取當(dāng)前待分析的安全告警數(shù)據(jù)記錄，若記錄中的規(guī)范類別與攻擊步驟類型相同，則將該條安全告警數(shù)據(jù)記錄的<源IP地址，源端口，目的IP地址，目的端口，告警時(shí)間>信息加入所述規(guī)則的相應(yīng)節(jié)點(diǎn)中；循環(huán)執(zhí)行S202，直至分析完成所有安全告警數(shù)據(jù)記錄。

優(yōu)選的，所述步驟S3具體包括：采用PrefixSpan算法對(duì)安全告警數(shù)據(jù)進(jìn)行序列挖掘，并根據(jù)頻繁項(xiàng)集，搜尋疑似關(guān)聯(lián)的攻擊步驟包括：

S301掃描數(shù)據(jù)庫，找出各個(gè)頻繁項(xiàng)a并組成集合；其中，對(duì)于每一個(gè)頻繁項(xiàng)a至少滿足以下兩個(gè)條件之一：

i.a可以嵌入序列s的最后一個(gè)元素中形成一個(gè)序列模式；或者，

ii.將a追加到序列s末尾，形成一個(gè)序列模式；

其中，定義s為空序列；

S302對(duì)于每一個(gè)頻繁項(xiàng)a，將其追加至序列s組成一個(gè)序列模式s’并輸出；

S303對(duì)于每個(gè)s’，遞歸調(diào)用PrefixSpan算法，直至序列長度不再增加。

優(yōu)選的，所述步驟S4中，結(jié)合電力信息網(wǎng)絡(luò)拓?fù)洌詣?dòng)確定參與聯(lián)動(dòng)防御的具體網(wǎng)絡(luò)安全設(shè)備包括如下步驟：

S401結(jié)合網(wǎng)絡(luò)拓?fù)?，選取所有遭受攻擊的網(wǎng)絡(luò)節(jié)點(diǎn)的前置或后置網(wǎng)絡(luò)安全設(shè)備；

S402刪除重復(fù)的網(wǎng)絡(luò)安全設(shè)備；

S403構(gòu)建網(wǎng)絡(luò)安全設(shè)備間的虛擬連接圖；

S404在虛擬連接圖中選取數(shù)量最少的節(jié)點(diǎn)，以覆蓋所有網(wǎng)絡(luò)路徑。

進(jìn)一步地，所述S403中，構(gòu)建網(wǎng)絡(luò)安全設(shè)備間的虛擬連接圖包括：刪除選取的所述安全設(shè)備之間的其它網(wǎng)絡(luò)設(shè)備，并用直線相連，從而形成網(wǎng)絡(luò)安全設(shè)備間的虛擬連接圖；

所述S404具體包括，按照電力信息網(wǎng)絡(luò)層次架構(gòu)，由外向內(nèi)選擇網(wǎng)絡(luò)安全設(shè)備；當(dāng)選擇節(jié)點(diǎn)時(shí)，以網(wǎng)絡(luò)安全設(shè)備所覆蓋的網(wǎng)絡(luò)路徑數(shù)量為判斷依據(jù)，選擇覆蓋網(wǎng)絡(luò)路徑數(shù)量最多的網(wǎng)絡(luò)安全設(shè)備加入設(shè)備隊(duì)列，然后在虛擬連接圖中刪除該設(shè)備和對(duì)應(yīng)的網(wǎng)絡(luò)路徑；循環(huán)執(zhí)行S402，直至虛擬連接圖中所有路徑被刪除；最終的設(shè)備隊(duì)列僅包含網(wǎng)絡(luò)安全設(shè)備參與聯(lián)動(dòng)防御。

優(yōu)選的，所述步驟S5下發(fā)防御規(guī)則至選定的網(wǎng)絡(luò)安全設(shè)備，以實(shí)現(xiàn)聯(lián)動(dòng)防御的具體包括如下步驟：

S501自定義防御規(guī)則；

S502通過中心處理平臺(tái)遠(yuǎn)程調(diào)用網(wǎng)絡(luò)安全設(shè)備提供的配置接口；

S503將所述防御規(guī)則發(fā)送至對(duì)應(yīng)網(wǎng)絡(luò)安全設(shè)備；

S504網(wǎng)絡(luò)安全設(shè)備執(zhí)行防御規(guī)則。

一種電力信息網(wǎng)絡(luò)安全聯(lián)動(dòng)防御系統(tǒng)，其特征在于，所述系統(tǒng)由中心處理平臺(tái)、網(wǎng)絡(luò)安全設(shè)備和監(jiān)控單元組成；其中，

所述監(jiān)控單元，用于采集安全告警數(shù)據(jù)并發(fā)送至中心處理平臺(tái)；

所述中心處理平臺(tái)，用于對(duì)采集到的安全告警數(shù)據(jù)進(jìn)行預(yù)處理；

所述網(wǎng)絡(luò)安全設(shè)備，用于執(zhí)行防御規(guī)則，以實(shí)現(xiàn)聯(lián)動(dòng)防御。

優(yōu)選的，所述中心處理平臺(tái)包括分析單元、序列挖掘單元、拓?fù)鋯卧蛨?zhí)行單元；

所述分析單元，用于采用已知攻擊模式對(duì)安全告警數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析；

所述序列挖掘單元，用于采用已知攻擊模式對(duì)安全告警數(shù)據(jù)進(jìn)行序列挖掘。

所述拓?fù)鋯卧?，用于自?dòng)確定參與聯(lián)動(dòng)防御的網(wǎng)絡(luò)安全設(shè)備；

所述執(zhí)行單元，用于向選定的網(wǎng)絡(luò)安全設(shè)備下發(fā)防御規(guī)則。

與最接近的現(xiàn)有技術(shù)相比，本發(fā)明的有益效果為：

(1)本發(fā)明提供的方法針對(duì)電力信息網(wǎng)絡(luò)安全防護(hù)，首次提出電力信息網(wǎng)絡(luò)安全聯(lián)動(dòng)防御方法及系統(tǒng)；解決了電力信息網(wǎng)絡(luò)難以抵御復(fù)雜網(wǎng)絡(luò)攻擊的難題。

(2)本發(fā)明使用已知攻擊模式匹配和攻擊事件序列挖掘方法，聯(lián)動(dòng)防火墻、入侵檢測(cè)系統(tǒng)、安全交互平臺(tái)、邏輯強(qiáng)隔離裝置以及正反向隔離裝置等電力信息網(wǎng)絡(luò)安全設(shè)備，獲取相互關(guān)聯(lián)的攻擊事件，以消除網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的誤報(bào)警事件，使得聯(lián)動(dòng)防御更具有目的性；

(3)本發(fā)明專利結(jié)合電力信息網(wǎng)絡(luò)拓?fù)?，自?dòng)確定參與聯(lián)動(dòng)防御的具體網(wǎng)絡(luò)安全設(shè)備，避免了人工干預(yù)，使得電力信息網(wǎng)絡(luò)安全聯(lián)動(dòng)防御方法及系統(tǒng)更加實(shí)用化。

附圖說明

圖1為本發(fā)明提供的電力信息網(wǎng)絡(luò)安全聯(lián)動(dòng)防御系統(tǒng)結(jié)構(gòu)示意圖；

圖2為本發(fā)明實(shí)施例中提供的電力公司所采用的網(wǎng)絡(luò)安全設(shè)備部署架構(gòu)圖；

圖3為本發(fā)明實(shí)施例中提供的聯(lián)動(dòng)防御機(jī)制示意圖；

具體實(shí)施方式：

本發(fā)明提供了一種電力信息網(wǎng)絡(luò)安全聯(lián)動(dòng)防御方法及系統(tǒng)，解決了電力信息網(wǎng)絡(luò)無法有效防御復(fù)雜網(wǎng)絡(luò)攻擊的難題。通過已知攻擊模式和事件序列挖掘方式對(duì)電力信息網(wǎng)絡(luò)安全告警事件進(jìn)行關(guān)聯(lián)規(guī)則分析，獲取相互關(guān)聯(lián)的攻擊事件。結(jié)合電力信息網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，確定每一個(gè)攻擊事件針對(duì)的網(wǎng)絡(luò)節(jié)點(diǎn)，選擇該網(wǎng)絡(luò)節(jié)點(diǎn)的前置或后置網(wǎng)絡(luò)安全設(shè)備參與聯(lián)動(dòng)防御。通過向選定的網(wǎng)絡(luò)安全設(shè)備下發(fā)防御規(guī)則，切斷參與攻擊的網(wǎng)絡(luò)節(jié)點(diǎn)間的網(wǎng)絡(luò)連接，或?qū)⑻囟ňW(wǎng)絡(luò)流量引入蜜罐等網(wǎng)絡(luò)安全攻擊分析設(shè)備中，執(zhí)行聯(lián)動(dòng)防御。該聯(lián)動(dòng)防御方法及系統(tǒng)實(shí)現(xiàn)過程具體如下：

一種電力信息網(wǎng)絡(luò)安全聯(lián)動(dòng)防御方法及系統(tǒng)，包括如下步驟：

步驟S1，采集安全告警數(shù)據(jù)并進(jìn)行預(yù)處理；

步驟S1中采用分布式部署方式采集安全告警數(shù)據(jù)，并對(duì)采集到的安全告警數(shù)據(jù)集中進(jìn)行預(yù)處理，統(tǒng)一數(shù)據(jù)格式。具體操作步驟為：

S101，在網(wǎng)絡(luò)安全設(shè)備上部署監(jiān)控裝置；其中，所述網(wǎng)絡(luò)安全設(shè)備，包括防火墻、入侵檢測(cè)系統(tǒng)、安全交互平臺(tái)、邏輯強(qiáng)隔離裝置以及正反向隔離裝置；

所述監(jiān)控裝置，可以為網(wǎng)絡(luò)安全設(shè)備的組件，也可以為獨(dú)立運(yùn)行的軟件程序。

S102，所述監(jiān)控裝置采用定時(shí)或事件觸發(fā)機(jī)制，采集安全設(shè)備產(chǎn)生的安全告警數(shù)據(jù)，并發(fā)送至中心處理平臺(tái)；在步驟S102中，監(jiān)控裝置可以通過調(diào)用網(wǎng)絡(luò)安全設(shè)備自身提供的數(shù)據(jù)訪問接口方式進(jìn)行數(shù)據(jù)采集，也可以通過讀取網(wǎng)絡(luò)安全設(shè)備的日志方式來采集告警數(shù)據(jù)。定時(shí)機(jī)制為設(shè)定一時(shí)間范圍t，每隔t時(shí)間進(jìn)行一次數(shù)據(jù)采集。事件觸發(fā)機(jī)制為當(dāng)有新的告警 事件發(fā)生時(shí)，監(jiān)控裝置立即讀取該事件并發(fā)送至中心處理平臺(tái)。采用定時(shí)機(jī)制或事件觸發(fā)機(jī)制可由網(wǎng)絡(luò)管理員根據(jù)實(shí)際網(wǎng)絡(luò)需求進(jìn)行設(shè)定。為保障數(shù)據(jù)傳輸安全，監(jiān)控裝置采用數(shù)據(jù)壓縮和加密網(wǎng)絡(luò)連接方式將采集的告警數(shù)據(jù)發(fā)送至中心處理平臺(tái)。

S103，通過中心處理平臺(tái)對(duì)所述安全告警數(shù)據(jù)進(jìn)行預(yù)處理。在步驟S103中，中心處理平臺(tái)對(duì)采集的數(shù)據(jù)進(jìn)行解密和解壓縮后，得到明文數(shù)據(jù)，然后對(duì)明文數(shù)據(jù)進(jìn)行預(yù)處理。預(yù)處理過程具體為：

①從明文數(shù)據(jù)中抽取源IP地址、源端口、目的IP地址、目的端口、告警時(shí)間、事件類別以及具體的安全告警數(shù)據(jù)內(nèi)容。

②根據(jù)抽取的安全告警數(shù)據(jù)內(nèi)容和事件類別，定義該告警的最終規(guī)范類別；所述最終規(guī)范類別由系統(tǒng)運(yùn)維人員或網(wǎng)絡(luò)安全專家預(yù)先制定，包括漏洞掃描、未授權(quán)遠(yuǎn)程訪問和權(quán)限提升等；

可使用關(guān)鍵字匹配方式，自動(dòng)確定當(dāng)前預(yù)處理的告警事件的規(guī)范類別，尋找與抽取的安全告警內(nèi)容和事件類別擁有最多共同關(guān)鍵字的類別作為最終規(guī)范類別。

③將<源IP地址，源端口，目的IP地址，目的端口，告警時(shí)間，最終規(guī)范類別>作為一條安全告警記錄存入數(shù)據(jù)庫。

步驟S2，采用已知攻擊模式對(duì)安全告警數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析；在數(shù)據(jù)預(yù)處理基礎(chǔ)上，本發(fā)明專利首先使用已知攻擊模式對(duì)電力信息網(wǎng)絡(luò)安全告警事件進(jìn)行關(guān)聯(lián)分析，尋找出相互關(guān)聯(lián)的攻擊步驟，將多個(gè)分散的安全告警事件形成一個(gè)整體，恢復(fù)出完整攻擊路徑，從而減少由于誤告警而導(dǎo)致的錯(cuò)誤聯(lián)動(dòng)防御次數(shù)。

具體包括如下步驟：

S201，輸入已知攻擊模式，構(gòu)建與攻擊模式對(duì)應(yīng)關(guān)聯(lián)規(guī)則的層次結(jié)構(gòu)；S201中，使用公開的網(wǎng)絡(luò)攻擊模式或者自定義的網(wǎng)絡(luò)攻擊模式作為已知攻擊模式，將所述已知攻擊模式相關(guān)的攻擊事件按照邏輯先后順序排列，完成與攻擊模式對(duì)應(yīng)關(guān)聯(lián)規(guī)則的層次結(jié)構(gòu)的構(gòu)建；

S202，從數(shù)據(jù)庫中逐條提取待分析的安全告警數(shù)據(jù)記錄，并將記錄中的規(guī)范類別與其攻擊事件相對(duì)應(yīng)，填充所述關(guān)聯(lián)規(guī)則的層次結(jié)構(gòu)；

S202包括，提取當(dāng)前待分析的安全告警數(shù)據(jù)記錄，若記錄中的規(guī)范類別與攻擊事件類型相同，則將該條安全告警數(shù)據(jù)記錄的<源IP地址，源端口，目的IP地址，目的端口，告警時(shí) 間>信息加入所述關(guān)聯(lián)規(guī)則的相應(yīng)節(jié)點(diǎn)中；循環(huán)執(zhí)行S202，直至分析完成所有安全告警數(shù)據(jù)記錄。

S203，對(duì)關(guān)聯(lián)規(guī)則進(jìn)行細(xì)粒度劃分，獲取攻擊事件關(guān)聯(lián)集合。

步驟S3，對(duì)安全告警數(shù)據(jù)進(jìn)行序列挖掘；具體包括：使用PrefixSpan算法對(duì)安全告警數(shù)據(jù)進(jìn)行序列挖掘，并根據(jù)頻繁項(xiàng)集，搜尋疑似關(guān)聯(lián)攻擊事件的步驟如下：

S301掃描數(shù)據(jù)庫，找出各個(gè)頻繁項(xiàng)a并組成集合；其中，對(duì)于每一個(gè)頻繁項(xiàng)a至少滿足以下兩個(gè)條件之一：

i.a可以嵌入序列s的最后一個(gè)元素中形成一個(gè)序列模式；或者，

ii.將a追加到序列s末尾，形成一個(gè)序列模式；

其中，定義s為空序列；

S302對(duì)于每一個(gè)頻繁項(xiàng)a，將其追加至序列s組成一個(gè)序列模式s’并輸出；

S303對(duì)于每個(gè)s’，遞歸調(diào)用PrefixSpan算法，直至序列長度不再增加。

步驟S4，結(jié)合網(wǎng)絡(luò)拓?fù)?，自?dòng)確定參與聯(lián)動(dòng)防御的網(wǎng)絡(luò)安全設(shè)備；

S401結(jié)合網(wǎng)絡(luò)拓?fù)?，選取所有遭受攻擊的網(wǎng)絡(luò)節(jié)點(diǎn)的前置或后置網(wǎng)絡(luò)安全設(shè)備；

S402刪除重復(fù)的網(wǎng)絡(luò)安全設(shè)備；

S403構(gòu)建網(wǎng)絡(luò)安全設(shè)備間的虛擬連接圖；S403中，構(gòu)建網(wǎng)絡(luò)安全設(shè)備間的虛擬連接圖包括：刪除選取的所述安全設(shè)備之間的所有其它網(wǎng)絡(luò)設(shè)備，并用直線相連，從而形成網(wǎng)絡(luò)安全設(shè)備間的虛擬連接圖；

S404在虛擬連接圖中選取數(shù)量最少的節(jié)點(diǎn)，以覆蓋所有網(wǎng)絡(luò)路徑。

所述S404具體包括，按照電力信息網(wǎng)絡(luò)層次架構(gòu)，由外向內(nèi)選擇網(wǎng)絡(luò)安全設(shè)備；當(dāng)選擇節(jié)點(diǎn)時(shí)，以網(wǎng)絡(luò)安全設(shè)備所覆蓋的網(wǎng)絡(luò)路徑數(shù)量為判斷依據(jù)，選擇覆蓋網(wǎng)絡(luò)路徑數(shù)量最多的網(wǎng)絡(luò)安全設(shè)備加入設(shè)備隊(duì)列，然后在虛擬連接圖中刪除該設(shè)備和對(duì)應(yīng)的網(wǎng)絡(luò)路徑；循環(huán)執(zhí)行S402，直至虛擬連接圖中所有路徑被刪除；最終的設(shè)備隊(duì)列僅包含網(wǎng)絡(luò)安全設(shè)備參與聯(lián)動(dòng)防御。

步驟S5，向選定的網(wǎng)絡(luò)安全設(shè)備下發(fā)安全防御規(guī)則，執(zhí)行聯(lián)動(dòng)防御。具體包括如下步驟：

S501自定義防御規(guī)則；

S502通過中心處理平臺(tái)遠(yuǎn)程調(diào)用網(wǎng)絡(luò)安全設(shè)備提供的配置接口；

S503將所述防御規(guī)則發(fā)送至對(duì)應(yīng)網(wǎng)絡(luò)安全設(shè)備；

S504網(wǎng)絡(luò)安全設(shè)備執(zhí)行防御規(guī)則，實(shí)現(xiàn)聯(lián)動(dòng)防御。

S502中，中心處理平臺(tái)通過遠(yuǎn)程調(diào)用網(wǎng)絡(luò)安全設(shè)備提供的配置接口進(jìn)行防御規(guī)則的分發(fā)。常見的配置接口包括web頁面、ssh、telnet等，依據(jù)具體網(wǎng)絡(luò)安全設(shè)備而定。若某一類型的網(wǎng)絡(luò)安全設(shè)備不提供遠(yuǎn)程調(diào)用接口時(shí)，可通過人工復(fù)制方式進(jìn)行規(guī)則分發(fā)。

如圖1所示的一種電力信息網(wǎng)絡(luò)安全聯(lián)動(dòng)防御系統(tǒng)，由中心處理平臺(tái)、網(wǎng)絡(luò)安全設(shè)備和監(jiān)控單元組成；其中，

監(jiān)控單元，用于采集安全告警數(shù)據(jù)并發(fā)送至中心處理平臺(tái)；

中心處理平臺(tái)，用于對(duì)收集到的數(shù)據(jù)進(jìn)行預(yù)處理；

所述網(wǎng)絡(luò)安全設(shè)備，用于執(zhí)行防御規(guī)則，以實(shí)現(xiàn)聯(lián)動(dòng)防御。

其中，所述中心處理平臺(tái)包括分析單元、序列挖掘單元、拓?fù)鋯卧蛨?zhí)行單元；

分析單元，用于采用已知攻擊模式對(duì)安全告警數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析；

序列挖掘單元，用于采用已知攻擊模式對(duì)安全告警數(shù)據(jù)進(jìn)行序列挖掘。

拓?fù)鋯卧?，用于自?dòng)確定參與聯(lián)動(dòng)防御的網(wǎng)絡(luò)安全設(shè)備；

執(zhí)行單元，用于向選定的網(wǎng)絡(luò)安全設(shè)備下發(fā)防御規(guī)則。

為了方便描述，我們假設(shè)有如下應(yīng)用實(shí)例：

某電力公司采用如圖2所示的網(wǎng)絡(luò)安全設(shè)備部署架構(gòu)進(jìn)行聯(lián)動(dòng)防御?；ヂ?lián)網(wǎng)客戶端訪問位于電力信息內(nèi)網(wǎng)的具體業(yè)務(wù)系統(tǒng)時(shí)，訪問流量首先轉(zhuǎn)發(fā)至電力安全交互平臺(tái)，進(jìn)行身份認(rèn)證。通過身份認(rèn)證后，電力安全交互平臺(tái)將認(rèn)證通過信息發(fā)送至防火墻。此后，訪問流量進(jìn)過防火墻和入侵檢測(cè)系統(tǒng)IDS，兩種安全設(shè)備對(duì)流量行為和內(nèi)容進(jìn)行判斷。若判斷為正常流量，則轉(zhuǎn)發(fā)流量至部署于電力信息外網(wǎng)和內(nèi)網(wǎng)之間的隔離裝置，最后由隔離裝置提取具體的業(yè)務(wù)數(shù)據(jù)內(nèi)容，并發(fā)送數(shù)據(jù)至業(yè)務(wù)系統(tǒng)。業(yè)務(wù)系統(tǒng)返回的流量經(jīng)過隔離裝置、IDS和防火墻，發(fā)送至互聯(lián)網(wǎng)客戶端。

具體的實(shí)施方案為：

數(shù)據(jù)采集Agent采集到的安全事件包括：

(1)電力安全交互平臺(tái)檢測(cè)到該互聯(lián)網(wǎng)終端(IP地址為128.10.xx.xx)在多次輸入錯(cuò)誤密碼(用戶名為liandong_test)，成功通過身份驗(yàn)證，發(fā)生時(shí)間為2016年3月11日19時(shí)00分至2016年3月11日19時(shí)20分；

(2)防火墻和IDS檢測(cè)到該互聯(lián)網(wǎng)終端的訪問流量中包括exe可執(zhí)行文件，但未能判斷exe文件是否為惡意木馬，僅給出可疑文件報(bào)警信息，發(fā)生時(shí)間為2016年3月11日19時(shí)30分；

(3)隔離裝置檢測(cè)出敏感文件泄漏，發(fā)生時(shí)間為2016年3月12日09時(shí)30分。

由于防火墻和IDS未能判斷exe文件為何種惡意木馬，因此無法采用已知攻擊模式進(jìn)行告警信息關(guān)聯(lián)分析。但通過序列挖掘方法，形成如下所示攻擊步驟：

登陸嘗試→上傳惡意代碼文件→竊取機(jī)密文件

由于防火墻和電力安全交互平臺(tái)已覆蓋上述攻擊步驟對(duì)應(yīng)的網(wǎng)絡(luò)路徑，自動(dòng)選擇防火墻和安全交互平臺(tái)為聯(lián)動(dòng)防御組件。該攻擊中使用了未知的惡意木馬，造成了敏感文件的泄漏，給電力公司造成了嚴(yán)重?fù)p失。為避免此類攻擊事件的進(jìn)一步發(fā)生，在公司信息外網(wǎng)中增加了惡意文件檢測(cè)沙箱安全設(shè)備，對(duì)可執(zhí)行文件的行為進(jìn)行分析，判定是否為惡意文件。

網(wǎng)絡(luò)管理員制動(dòng)聯(lián)動(dòng)防御規(guī)則，在電力安全交互平臺(tái)中針對(duì)該賬號(hào)增加身份驗(yàn)證方式，在通過用戶名/密碼認(rèn)證后，進(jìn)一步采用硬件密鑰方式確認(rèn)身份；將該互聯(lián)網(wǎng)客戶端IP地址加入防火墻黑名單，并在防火墻中增加規(guī)則，將檢測(cè)出含有執(zhí)行文件的流量導(dǎo)入沙箱中進(jìn)行行為判定，判定通過以后才能接入業(yè)務(wù)系統(tǒng)。

中心處理平臺(tái)下發(fā)聯(lián)動(dòng)防御規(guī)則至安全交互平臺(tái)和防火墻，最終形成的聯(lián)動(dòng)防御機(jī)制如圖3所示。

最后應(yīng)當(dāng)說明的是：以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非對(duì)其限制，盡管參照上述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明，所屬領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解：依然可以對(duì)本發(fā)明的具體實(shí)施方式進(jìn)行修改或者等同替換，而未脫離本發(fā)明精神和范圍的任何修改或者等同替換，其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。