(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111449997.5 (22)申请日 2021.11.30 (71)申请人 中国电力科 学研究院有限公司 地址 100192 北京市海淀区清河小营东路 15号 (72)发明人 朱亚运　朱朝阳　周亮　缪思薇　 张晓娟　王海翔　蔺子卿　曹靖怡　 姜琳　 (74)专利代理 机构 北京中巡通大知识产权代理 有限公司 1 1703 代理人 孟大帅 (51)Int.Cl. H04L 67/12(2022.01) H04L 9/40(2022.01) G16Y 10/35(2020.01)G16Y 30/10(2020.01) (54)发明名称 一种电力物联网安全防御方法、 系统、 存储 介质及服 务器 (57)摘要 一种电力物联网安全防御方法、 系统、 存储 介质及服务器， 方法包括： 建立电力物联网的安 全防护体系； 将电力物联网的安全防护体系从协 同的角度进行精简， 并在电力物联网的安全防护 体系下进行安全 数据的监测与采集， 当检测到入 侵攻击后， 对该攻击路径进行封锁； 对电力物联 网的安全防护体系从设备级、 区域级、 全局级三 个层面开展协同防御。 本发明针对电力物联网面 临新型复杂攻击的背景， 突破传统的单点防护、 边界防护模式， 引入云网端协 同防御的理念， 基 于多点数据采集开展全局安全防护策略制定， 从 设备级、 区域级、 全局级多个层面进行协同防护。 协同防护的流程包括攻击图生成、 策略生成、 冲 突消除、 策略下发执行， 对电力物联网起到较好 的防护效果。 权利要求书3页 说明书10页 附图4页 CN 114143348 A 2022.03.04 CN 114143348 A 1.一种电力物联网安全防御方法， 其特 征在于， 包括： 建立电力物联网的安全防护体系； 将电力物联网的安全防护体系从协同的角度进行精简， 并在电力物联网的安全防护体 系下进行安全数据的监测与采集， 当检测到入侵攻击后， 对该攻击路径进行封锁； 对电力物联网的安全防护体系从设备级、 区域级、 全局级三个层面 开展协同 防御。 2.根据权利要求1所述电力物联网安全防御方法， 其特征在于： 在所述建立电力物联网 的安全防护体系的步骤中， 所建立的电力物联网的安全防护体系包括 终端层、 边缘计算层、 网络层、 云平台层以及智能应用层； 其中， 所述终端层防护用于实现终端安全； 所述边缘计 算层防护为边缘计算设备和本地通信网的安全防护； 所述网络层防护用于实现通信安全传 输； 所述云平台层防护用于实现数据安全处理； 所述智能应用层防护用于实现业务安全应 用。 3.根据权利要求1所述电力物联网安全防御方法， 其特征在于： 在所述将电力物联网的 安全防护体系从协同的角度进 行精简的步骤中， 将电力物联网的安全防护体系精简形成云 侧、 网侧以及端侧协同的三层体系， 其中， 所述云侧包括智能应用层和云平台层， 所述网侧 为网络层， 所述端侧包括 边缘计算层和终端层。 4.根据权利要求1所述电力物联网安全防御方法， 其特征在于： 在所述在电力物联网的 安全防护体系下进行安全数据的监测与采集的步骤中， 所述的安全数据包括边缘计算终端 入侵检测 服务产生的联动入侵检测告释信息， 以及入侵检测设备 的实时告警、 扫描器输出 的漏洞、 网络安全官方机构或网站 提供的告警类型； 告警类型包括： 默认用户名和密码的登 录尝试、 网络扫描、 拒绝服务攻击、 获取管理员权限、 获取普通用户权限、 木马活动、 缓冲区 溢出、 SQL注入、 路径遍历、 跨站脚本、 配置错 误、 信息泄 露、 边界条件错 误、 格式化字符串。 5.根据权利要求4所述电力物联网安全防御方法， 其特征在于： 在所述当检测到入侵攻 击后， 对该攻击路径进行封锁的步骤中， 通过持续监控， 检测攻击行为特征形成的异常， 判 定入侵攻击情况， 检测到入侵攻击后， 针对事故风险进行态势评估， 明确攻击行为特征， 将 被感染的数据与资产进行划分， 隔离被感染的系统和账户， 形成阻断机制， 封锁该攻击路 径。 6.根据权利要求1所述电力物联网安全防御方法， 其特征在于： 在所述对电力物联网的 安全防护体系从设备级、 区域级、 全局级三个层面开展协同防御的步骤中， 所述设备级开展 设备联动， 以通用防火墙、 电力专用安全防护设备在线联动为要点， 设置联动系统模型； 所 述区域级开展局部 自治， 区域协同防御中心对厂站端上报的各类事件和信息进行分析， 判 断是否有异常行为 发生， 发现厂站端因视角受限而没有发现的异常行为， 若发现异常， 根据 区域级协同防御策略， 将协同防御方案分别下发给所辖的各个厂站端执行， 并向全局协同 防御中心进行上报； 所述全局级开展全局协同， 通过协同机制把网络中多个相对独立的安 全设备有机组合起来， 全局协同防御中心对各个自治域上报的各类事件和信息进行分析， 判断是否有异常行为发生， 对于异常行为， 全局协同防御中心会根据全局协同防御策略， 将 相应的协同 防御方案分别下发给相应的区域协同 防御中心执 行， 实现全局的协同 防御。 7.根据权利要求1所述电力物联网安全防御方法， 其特征在于： 在所述对电力物联网的 安全防护体系从设备级、 区域级、 全局级三个层面开展协同防御的步骤中， 协同防御策略包 括攻击图生成、 策略生成、 冲突消除以及策略下发执 行；权　利　要　求　书 1/3 页 2 CN 114143348 A 2所述攻击 图生成过程中， 攻击节点代表网络中存在的某一单步攻击手段， 称为原子攻 击节点； 攻击图的边表示原子攻击的攻击过程， 即从一个攻击节点跳转到与之相连 的另一 个攻击节 点； 攻击图定义为一个有向无权图AG＝(V， E)， 其中V表 示攻击图的点集合， 包括原 子攻击节点、 前提节点和后果节点； E表示 攻击图的边 集合， 包括前提 边和后果 边； 所述策略生成过程中， 对所有节点得到的出度和入度进行识别并分类初始节点集合、 原子攻击节点集合以及后果属性节点集合， 在此基础上， 寻找一个集合能够覆盖攻击图AG 的所有原子攻击节点极小集合簇， 并对集合中的每一个子集进行攻防收益计算， 根据博弈 论计算满足纳什均衡的最优策略， 形成云网端三侧的最优防御策略； 所述冲突消除过程中， 消除云网端三侧的最优 防御策略之间的冲突， 冲突指策略的内 容与外部约束中明确规定不 允许出现的情况发生了冲突， 通过在策略关联对象上附加属性 标签， 并按照时序关系生成DAG图， 采用动态方法来检测应用相关冲突； 所述策略下发执行过程中， 将制定好的策略下发进行执行， 返回执行效果， 并通过下一 轮安全数据采集进行整体安全防护。 8.根据权利要求7所述电力物联网安全防御方法， 其特征在于： 所述冲突消除过程中要 消除的冲突包括： ①主体关联冲突 ‑指两条授权策略的主体相同， 由于在不同的客体集合上 执行措施而导致的冲突； ②客体关联冲突 ‑指不同的主体在相同客体上执行不同措施而导 致的冲突； ③措施关联冲突 ‑指不同的主体在相同客体上执行相同措施而导致的冲突； ④主 客体关联冲突 ‑指当两条正向授权策略的客体和主体发生重叠， 有些措施被管理员应用定 义成的冲突。 9.根据权利要求7所述电力物联网安全防御方法， 其特征在于， 所述冲突消除按照以下 规则： 反向策略优先， 使反向策略具有比正向策略更高的优先权， 使明确被拒绝执行的策略 永远不会得到执行； 全局策略优先， 相比于本地策略， 全局策略被赋予更高的优先权； 新加 载策略优 先， 新加载的策略具有 更高的优先权， 当策略出现冲突的时候， 选择后加载的策略 予以执行； 指定优先权， 通过 给每条策略赋予严格的优先权值， 来定义执 行的优先顺序。 10.一种电力物联网安全防御系统， 其特 征在于， 包括： 安全防护体系建立模块， 用于建立电力物联网的安全防护体系； 安全数据监测与采集模块， 用于将电力物联网的安全防护体系从协同的角度进行精 简， 并在电力物联网的安全防护体系下进 行安全数据的监测与采集， 当检测到入侵攻击后， 对该攻击路径进行封锁； 协同防御模块， 用于对电力物联网的安全防护体系从设备级、 区域级、 全局级三个层面 开展协同 防御。 11.根据权利要求10所述电力物联网安全防御系统， 其特征在于， 所述的协同防御模块 在设备级开展设备联动， 以通用防火墙、 电力专用安全防护设备在 线联动为要点， 设置联动 系统模型； 在区域级开展局部 自治， 区域协同防御中心对厂站端上报的各类事件和信息进 行分析， 判断是否有异常行为 发生， 发现厂站端因视角受限而没有发现的异常行为， 若发现 异常， 根据区域级协同防御策略， 将协同防御方案 分别下发给所辖的各个厂站端 执行， 并向 全局协同防御中心进行上报； 在全局级开展全局协同， 通过协同机制把网络中多个相对独 立的安全设备有机组合起来， 全局协同防御中心对各个自治域上报的各类事件和信息进 行 分析， 判断是否有异常行为 发生， 对于异常行为， 全局协同防御中心会根据全局协同防御策权　利　要　求　书 2/3 页 3 CN 114143348 A 3