威胁监测

本项目属于信息安全技术、电气工程等学科交叉研究范畴，先后获得国家发改委、国家电网公司、国网河南省电力公司专项资金支持，经费累计8072万元。 项目针对我国能源互联网特点，建成了具有多层次、多维度和多场景特征的能源互联网安全防护体系，有效提升了能源互联网的网络安全威胁应对能力。首次提出了面向能源互联网的设备冗余控制架构攻击面分析与业务逻辑状态完备推断相结合的复合漏洞挖掘技术，发现能源互联网重大安全隐患84项；攻克了抗高阶侧信道攻击的多值掩码算法和抗多点故障攻击的双核异步交叉验证方法，成功研制了基于对称/非对称加解密高性能内核引擎的自主可控工业级安全芯片，将用电环节核心芯片国产化率从2010年不足10%提高到85%，配电侧核心芯片国产化率提高到50%以上。提出了一种基于规约安全扩展的控制网络互操作指令高速安全校验技术，研制了终端多密码芯片并行加密和规约安全增强套件，在国际上首次实现了IEC 61850系统规约控制指令毫秒级微时延的高效安全认证，解决了低时延条件下的工控网络交互指令防篡改问题。提出了海量源码数据多维特征驱动的控制软件安全缺陷传播链控制方法，首次将36万开源项目与12万CVE缺陷库进行对齐分析，实现了控制软件源码级安全缺陷传播链的全过程追踪分析和安全控制，解决了控制软件源码级安全管控难题。提出了基于能源互联网业务报文的多维实时攻击协同监测和智能阻断方法，研制了企业级能源互联网安全监测系统，首次建立了能源互联网业务安全特征库，实现了针对能源互联网的定制化、高隐蔽性攻击的有效识别及阻断，攻击预警准确率由62.1%提高至83.6%。 本项目形成了一批具有核心知识产权的自主可控技术装备，项目成果得到了孙优贤院士、何德全院士以及行业知名专家的高度评价，在工控设备漏洞复合挖掘与验证技术、工业级安全芯片、面向工控网络互操作指令高速安全校验认证技术、控制软件安全缺陷传播链管控技术和能源互联网安全威胁监测及智能响应技术等方面达到国际领先水平，受到中国能源报、河南日报等主流媒体的广泛报道。项目获得授权发明专利授权13项，软著15项。发表高水平论文25篇，出版专著3部，发布标准3项。项目成果在电网公司、设备生产制造商、安全服务提供商等不同领域得到了大规模应用，有力支撑了G20峰会、全国少数民族运动会等国家重大活动以及护网专项演习信息安全保障工作，部分产品出口至欧洲、中亚地区。

本项目立足于网络安全防护难题，构建“多源情报融合预警、漏洞自动闭环管控、未知威胁感知溯源、多域风险联动处置”于一体的网络安全全环节联动防御技术体系，为公司能源互联网建设提供坚实安全保障。主要创新点包括：率先建成国家电网特色多源威胁情报预警指挥平台。利用杀伤链和模糊聚类从海量告警日志中挖掘攻击场景，融合国家、商业等多源外部情报，构建多源威胁情报知识库。支撑安全设备威胁监测准确率提升5倍以上，协助发现多个国际黑客组织，支撑网络安全运营工作。创新设计电力行业信息系统状态转移自动机，提出基于情报驱动的漏洞闭环管理模型。基于情报建立漏洞修复优先级评估模型，以“互联网+”的形式改革漏洞管理流程，追踪管理漏洞4000余项，周均工作时间从1天降低到5分钟。填补0Day攻击监测空白，提出面向实战的未知威胁感知反制技术。基于半监督深度学习和异质图挖掘的离群点检测技术，实现样本匮乏状态下的0Day攻击识别，构建电力攻防对抗蜜网体系，精准定位黑客40余名，年均捕获恶意攻击地址2万余个，助力重特大保障圆满结束、国家专项演习获得佳绩。首创多域安全威胁智能联动处置模型。模型自动定位受威胁安全域，通过威胁处置策略调度引擎智能定位受威胁安全域，将安全策略分别自动推送至信通公司内部和全网处置设备，实现“一处监测、全网处置”，将威胁处置速率由小时级提升至秒级。 项目获得授权发明专利11项，发表论文21篇，规范4项，专著1部。该项目从情报预警、隐患管控、威胁感知、联动处置等方面进行联动防御技术体系的研究和实践，成果推广至全网，开拓了一体化防御局面。

目前各行业中的多种应用系统、工业控制系统，其基础设备种类复杂、老旧系统共存的现象日益严重，许多控制系统中无法安装主机检测防护类代理，并且缺乏安全检测的防护手段，受到的攻击威胁越来越频繁和严重。针对电力行业、5G领域的安全现状，工业互联网下的蜜网威胁监测系统能够对其各业务系统的入侵行为提供高精度的监测与报警，收集攻击数据与情报，同时为进一步攻击溯源、智能联动防护等提供数据与情报支撑。

​8月29日，山东菏泽供电公司完成相关功能测试，建成投运配电自动化备用调度系统。该系统在不增加现场终端投资、不更改现场设备配置的前提下，让菏泽地区配电网具备了“双核共存、快速切换、独立调控”的应急管理功能，具有“全终端切换、全业务同步、全威胁监测”的优势，可实现配网调控人员、场所、技术支持系统的无缝切换。