本发明涉及一种攻击判断方法及装置,属于信息安全技术领域,具体涉及一种用于电力调度系统的拒接服务攻击判断方法及装置。
背景技术:
本发明涉及网络数据包收集模组和数据综合分析模组。通过对内网环境中网络数据包的包头信息(packetheader)进行收集,利用数据模型进行分析后得到可能的网络攻击信息和进行了威胁网络安全的操作的危险设备。在国家电网内网环境中,因为安全因素许多网络服务(如dhcpdns等)并未打开,网络设备的功能受限,网络拓扑固定不变,因此网络安全也格外脆弱。
技术实现要素:
本发明主要是解决现有技术所存在的上述的技术问题,提供了一种用于电力调度系统的拒接服务攻击判断方法及装置。该方法及装置不同于大多数现有技术在攻击发生的事后才进行告警和审计汇报,其着重于分布式拒绝服务攻击的入侵阶段,可以有效的预防攻击者对网络的渗透,以此在攻击发生前就对攻击做出相应的预测和判断。
本发明的上述技术问题主要是通过下述技术方案得以解决的:
一种用于电力调度系统的拒接服务攻击判断方法,包括:
数据收集步骤,通过收集模组收集电力调度系统中的数据包;
数据解析步骤,解析所述数据包,调用相应判断模型识别所述拒接服务攻击。
优选的,上述的一种用于电力调度系统的拒接服务攻击判断方法,
所述数据收集步骤中,在监控网络中的网络节点部署相关收集程序,所述网络节点包括交换及路由设备,网络安全设备。
优选的,上述的一种用于电力调度系统的拒接服务攻击判断方法,所述数据收集步骤中,在监控目标设备上部署收集程序,对收集到的数据包包头信息进行处理后再发送到收集模组的数据采集服务器,由数据采集服务器采用分布式信息处理系统对信息进行采集处理。
优选的,上述的一种用于电力调度系统的拒接服务攻击判断方法,所述数据解析步骤具体包括以下子步骤:
全网广播扫描子步骤,对所述全网广播扫描的监控通过对每台设备自身发出的网络数据包进行分析,当对大量非常用设备发送数据包时则认为是全网广播扫描;
网络端口扫描子步骤,对所述网络端口扫描的监控通过对每台设备收到的网络数据包进行分析,当设备的多个未开放端口或非常用端口收到数据包时任务发生了网络端口扫描;
全网端口扫描子步骤,对所述全网端口扫描通称端口清扫的监控是通过分析设备发出的网络数据包,如一台设备对多台设备的同一端口发送数据包,且目标设备的数量大于该发送设备自身设置的预警阈值,则认为发生了全网端口扫描;
多并发连接攻击判断子步骤,对所述多并发连接的监控通过网络连接信息和对设备收到的网络数据包进行联合分析完成,当短时间内连接进入设备的同一端口连接数量超过了该设备的连接数阈值则认为发生了多并发连接攻击。
一种用于电力调度系统的拒接服务攻击判断装置,包括:
数据收集模块,通过收集模组收集电力调度系统中的数据包;
数据解析模块,解析所述数据包,调用相应判断模型识别所述拒接服务攻击。
优选的,上述的一种用于电力调度系统的拒接服务攻击判断装置,所述数据收集模块中,在监控网络中的网络节点部署相关收集程序,所述网络节点包括交换及路由设备,网络安全设备。
优选的,上述的一种用于电力调度系统的拒接服务攻击判断装置,所述数据收集模块中,在监控目标设备上部署收集程序,对收集到的数据包包头信息进行处理后再发送到收集模组的数据采集服务器,由数据采集服务器采用分布式信息处理系统对信息进行采集处理。
优选的,上述的一种用于电力调度系统的拒接服务攻击判断装置,所述数据解析模块具体包括以下单元:
全网广播扫描单元,对所述全网广播扫描的监控通过对每台设备自身发出的网络数据包进行分析,当对大量非常用设备发送数据包时则认为是全网广播扫描;
网络端口扫描单元,对所述网络端口扫描的监控通过对每台设备收到的网络数据包进行分析,当设备的多个未开放端口或非常用端口收到数据包时任务发生了网络端口扫描;
全网端口扫描单元,对所述全网端口扫描通称端口清扫的监控是通过分析设备发出的网络数据包,如一台设备对多台设备的同一端口发送数据包,且目标设备的数量大于该发送设备自身设置的预警阈值,则认为发生了全网端口扫描;
多并发连接攻击判断单元,对所述多并发连接的监控通过网络连接信息和对设备收到的网络数据包进行联合分析完成,当短时间内连接进入设备的同一端口连接数量超过了该设备的连接数阈值则认为发生了多并发连接攻击。
因此,本发明具有如下优点:可以有效的预防攻击者对网络的渗透,以此在攻击发生前就对攻击做出相应的预测和判断,
具体实施方式
下面通过实施例,对本发明的技术方案作进一步具体的说明。
实施例:
一、数据包收集
在内网环境中,网络数据包通过收集模组实现,由于通常的代理程序直传模式中自身产生的数据包数量巨大将会对所属的网络产生不可避免的影响,因此所述网络数据包收集模组提供多种实施方式,可以根据不同网络环境下的不同需求调整部署策略。具体来说包括以下两种:
1.收集模组在监控网络中的各个网络节点部署相关收集程序。网络节点包括网络设备(交换机、路由器等),网络安全设备(横向隔离装置、纵向隔离装置等)。
2.在所有监控目标设备上部署收集程序。对收集到的数据包包头信息进行处理后在发送到收集模组的数据采集服务器,数据采集服务器采用分布式信息处理系统对信息进行采集处理。相对于现有类似产品,本收集模组对大型网络系统的支持更为全面稳定,更能无视电网内网中网络隔离分区的特殊环境将不同安全分区中的设备信息同时高效的进行收集分析。
二、数据分析
所述数据综合分析模组利用四种数据模型对所述网络数据包收集模组收集到的信息进行分析,判断出被管网络环境中各个设备发起的对网络环境造成威胁的操作,和可能发生的拒绝服务攻击威胁,或受到的对该设备自身造成威胁的疑似网络攻击。
在攻击者对网络中的服务或主机进行分布式拒绝服务攻击时,如攻击者对所处的网络环境并不了解,通常会进行四个步骤来确定所攻击的服务或主机网络环境。1.全网广播扫描,某台或少数数台设备对网络中全部或多台设备发送tcp数据包,并通过分析收到的回复构筑网络拓扑,后可通过全网扫描网络拓扑可能被恶意利用来设计之后的攻击,因此全网扫描属于极其危险的安全威胁操作。2.网络端口扫描,通过一台或多台设备对一台或多台设备的网络端口进行扫描。通过向一定范围的服务器端口发送对应客户端请求,以此确认可使用的端口。虽然其本身可能并不是恶意的网络活动,但也是网络攻击者探测目标主机服务,为利用网络服务的已知漏洞做先期准备的重要手段。3.全网端口扫描通称端口清扫,是通过扫描多个主机以获取特定的某个端口,以此获取网络中含有特定的服务或漏洞的主机,为正式的攻击或攻击前期构建受控机组的入侵做准备。4.多并发连接为一台或数台设备的服务同时收到大量请求,产生大量并发连接。在ddos攻击发生前,攻击者通常会发起由少数设备参与的小型的测试性攻击用以测试对受控群组的控制和受控群组的预想攻击强度是否可以打成攻击目的。对多并发连接的监视可以有效的提高对分布式拒绝服务攻击预警的准确性,降低误报率。
在上述拒绝服务攻击的前期准备工作所可能产生网络行为模式中,扫描操作对时间的敏感性较低,因为在固定的网络环境中,环境本身发生变化的可能较小。所以攻击者可能对上述扫描操作在执行时间上进行相应的限制,让扫描时间长达数周或数月,来隐蔽扫描的执行,达到在网络管理员不知情的情况下对网络进行渗透。
因此在恶意操作者在执行分布式拒绝服务攻击之前极大概率执行的网络威胁操作:全网广播扫描,网络端口扫描,全网端口扫描和多并发连接。对所述全网广播扫描的监控通过对每台设备自身发出的网络数据包进行分析,当对大量非常用设备发送数据包时则认为是全网广播扫描。对所述网络端口扫描的监控通过对每台设备收到的网络数据包进行分析,当设备的多个未开放端口或非常用端口收到数据包时任务发生了网络端口扫描。对所述全网端口扫描通称端口清扫的监控是通过分析设备发出的网络数据包,如一台设备对多台设备的同一端口发送数据包,且目标设备的数量大于该发送设备自身设置的预警阈值,则认为发生了全网端口扫描。对所述多并发连接的监控通过网络连接信息和对设备收到的网络数据包进行联合分析完成,当短时间内发生大量连接进入设备的同一端口时,如连接数量超过了该设备的连接数阈值则认为发生了多并发连接攻击。
相较于现有技术,本发明对全网广播扫描,网络端口扫描和全网端口扫描监控在时间上的判断阈值可以通过网络管理员自定义设置,并由分析系统分析历史数据,将历史数据的特征值提供给管理员做参考。因此,不同于现有类似产品提供通用数值,本产品对扫描的判断更为切合当前网络环境,对不同网络环境中的特殊情况进行分析并给网络管理员提供具体详实的数据支持。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。