CN103905451B - 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法 - Google Patents

Abstract

本发明公开了一种智能电网嵌入式设备网络攻击诱捕系统，包括诱捕装置和安全分析服务器；诱捕装置包括网络接口模块、安全控制模块和实际嵌入式设备模拟机；网络接口模块用于完成IP数据包的收发，安全控制模块用于对IP数据包进行标识和解析判别，安全控制模块连接有串口通信模块、外部存储器和开关模块；实际嵌入式设备模拟机将网络状态及主机状态信息发送至安全分析服务器；安全分析服务器通过多维度属性综合度量得出最终安全检测结果。本发明能够在不影响嵌入式终端正常工作的情况下，快速、准确地对已知或未知的电力系统网络攻击进行实时动态的安全检测和评估；同时有效阻止攻击者通过网络接口模块对诱捕装置进行攻击。

Description

一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法

技术领域

本发明涉及网络安全防御领域，尤其涉及一种能够在智能电网中针对网络攻击进行诱捕的系统和方法。

背景技术

目前,随着物联网产业的兴起，在智能电网中，各种传感器、控制设备均为嵌入式系统，广泛应用于发电、输电、变电、配电以及用户用电的各主要环节。除了业务上的测量、传输功能外，嵌入式系统还起着核心业务运行控制的功能。例如，用户层的复费率电能计量管理单元，设备层的变压器油温等传感器、电压电流变送器、继电保护装置、故障录波、线路保护、故障测距装置，控制室的数字录音、变电站的图像监控、配电网的远程抄表、负荷控制及自动化保护模块等等，基本上涵盖了电网指挥运行的各个方面。

从嵌入式系统自身来看，相对于传统的PC设备，嵌入式操作系统及其应用程序主要考虑的是硬件的适配性、更少的资源占用等问题，很多嵌入式系统的安全防护功能很少或者几乎没有，恶意攻击者很容易侵入到系统中，对嵌入式系统实施干扰、监视甚至远程控制。近年来，在国内外由于嵌入式系统造成的电力系统事故屡有发生，如著名的伊朗Stuxnet震网病毒事件，该病毒专门针对PLC（Programmable Logic Controller，可编程逻辑控制器）设备攻击，通过修改PLC来改变工业生产控制系统的行为，一度导致伊朗核电站推迟发电。

从网络层面来看，随着3G、WIFI等通讯手段的普及，嵌入式系统从有线网络向无线网络延伸，使得网络的安全问题更加突出。嵌入式系统由于计算资源有限，很多嵌入式网络协议均没有考虑安全问题，其设计目标是尽可能简单地实现路由，并方便日后扩展网络，基本上没有任何的安全机制。一旦嵌入式系统遭到网络攻击，整个智能电网的正常业务工作便会受到影响甚至于瘫痪。

与传统PC设备相比，嵌入式系统计算资源少、能耗低、工作环境复杂，现有的很多安全解决方案并不适用，而且嵌入式系统一般处于开放的工作环境中，传统计算机很容易解决的物理安全问题在嵌入式系统上也成为一个难题。这些嵌入式系统多为一体化设备，其操作系统包括嵌入式Linux、VxWorks、WinCe等。针对来自网络层面的非法截获、中断、篡改或伪造等攻击，由于无法直接在这些嵌入式设备上加装额外的网络安全检测软件或系统，因此无法做到对嵌入式系统进行实时的网络安全检测与评估。

另一方面，随着网络攻击的日益严重，为提高网络安全性，防火墙、入侵检测、加密VPN等设备相继推出，能够在一定程度上提高网络安全性。但针对现有的网络安全设备，网络攻击发起者很容易利用网络接口模块对网络攻击过滤装置进行攻击，攻击者通过配置程序获取对网络安全设备进行配置的权限，然后修改网络安全设备中的配置信息。修改配置时，攻击者会按照后续攻击的目的设定特定的配置，以达到最终攻击受上述网络安全设备保护的网络的目的。因此，现有的网络攻击过滤装置在配置程序上存在漏洞，危害非常巨大，极易造成网络安全设备完全失去了防御作用。

发明内容

本发明的目的是提供一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法，能够在保护真实智能电网终端的基础上，通过诱捕设备捕获各种针对真实设备的攻击，在不影响嵌入式终端正常工作的情况下，快速、准确地对已知或未知的电力系统网络攻击进行实时动态的安全检测和评估；同时，本发明还能够通过硬件的改进实现网络攻击过滤装置的数据包标识和解析判别模式与文件配置模式的隔离，有效阻止攻击者通过网络接口模块对诱捕装置进行攻击，提高安全性，实现诱捕装置的有效保护。

本发明采用下述技术方案：

一种智能电网嵌入式设备网络攻击诱捕系统，包括诱捕装置和安全分析服务器；

所述诱捕装置的数据接收端连接智能电网网络，诱捕装置的数据发送端分别连接实际嵌入式设备和安全分析服务器；诱捕装置包括网络接口模块、安全控制模块和实际嵌入式设备模拟机；

网络接口模块用于完成IP数据包的收发，包括外网网络接口模块和内网网络接口模块；外网网络接口模块连接安全控制模块和智能电网网络，用于接收外部通讯网络所发送的IP数据包并传送给安全控制模块，以及接收安全控制模块所发送的IP数据包并通过外部通信网络进行发送；内网网络接口模块分别连接安全控制模块和实际嵌入式设备模拟机以及安全控制模块和实际嵌入式设备，用于接收安全控制模块所发送的IP数据包并传送给实际嵌入式设备或实际嵌入式设备模拟机，以及接收实际嵌入式设备所发送的IP数据包并传送给安全控制模块；

安全控制模块用于对所接收的实际嵌入式设备发送的IP数据包进行标识后通过网络接口模块发送至智能电网网络，以及对所接收的智能电网网络发送的IP数据包进行解析判别，并将正常的IP数据包发送至实际嵌入式设备，将异常的IP数据包发送至实际嵌入式设备模拟机；安全控制模块连接有串口通信模块和用于单独存放文件配置程序的外部存储器，安全控制模块还连接有开关模块，开关模块的信号输出端连接安全控制模块的信号输入端；

实际嵌入式设备模拟机用于对实际嵌入式设备的运行环境和计算环境进行模拟，包括硬件环境模拟和软件环境模拟，对实际嵌入式设备在受到网络攻击时其网络状态和主机状态变化进行检测，并将网络状态及主机状态信息发送至安全分析服务器；

所述安全分析服务器用于对实际嵌入式设备模拟机发送的网络状态及主机状态信息，通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量，得出最终安全检测结果。

所述的安全控制模块内存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列号；当安全控制模块接收到实际嵌入式设备所发送的IP数据包时，安全控制模块读取该IP数据包并提取IP数据包目的地址，根据目的地址获取对应的密钥和发送序列号，将发送序列号置于IP数据包尾部，利用密钥对IP数据包和发送序列号进行摘要运算，将摘要运算结果附于发送序列号之后，并根据当前长度调整IP首部信息中的长度指示信息，然后将添加标识后的IP数据包通过外网网络接口模块发送至智能电网网络；当安全控制模块接收到智能电网网络所发送的IP数据包时，安全控制模块读取该IP数据包并提取IP数据包来源地址，根据IP数据包来源地址获取对应的密钥和接收序列号，安全控制模块利用密钥对IP数据包中被保护的内容和发送序列号进行摘要运算，并将运算结果与IP数据包中自带的摘要运算结果进行比较，如果结果比较不一致则认为IP数据包被篡改和伪造，将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机；如果结果比较一致则判断IP数据包没有被篡改和伪造，继续比较从IP数据包中读取的发送序列号和接收序列号的大小，若发送序列号大于接收序列号则认为IP数据包正常，安全控制模块接收该IP数据包并将此IP数据包通过内网网络接口模块发送至实际嵌入式设备；如果发送序列号小于等于接收序列号则认为IP数据包非法，将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机。

所述的实际嵌入式设备模拟机包括硬件可信密码模块TPM，用于实现信息采集与组件动态可信度量；其中信息采集是指采集异常网络事件和主机事件并发送至安全分析服务器，异常网络事件信息包括异常的网络数据信息和网络流量信息，主机事件包括实际嵌入式设备模拟机配置信息和实际嵌入式设备模拟机运行信息；进行组件动态可信度量时首先在实际嵌入式设备模拟机内配置XEN虚拟机，XEN虚拟机位于实际嵌入式设备模拟机硬件层之上且操作系统之下；然后利用XEN虚拟机的超级调用机制，在组件请求页面调入内存运行之前，通过地址指针获取调入内存的页面；在XEN虚拟机执行权限检查后，执行该超级调用的处理函数；在处理函数中加入对组件进行度量的代码，使度量代码操作首先执行；最后利用度量代码中基于指定的度量方式实现组件当前内存快照的可信度量或风险监测。

所述的安全分析服务器用于从平台配置属性、平台运行属性和用户认证属性进行多维度属性综合量化评估；

所述的平台配置属性度量通过对存储在硬件可信密码模块TPM相应平台配置寄存器PCRs中的各个组件完整性进行综合评价反映平台配置的可信任程度：首先基于实际嵌入式设备模拟机可信硬件模块TPM，以安全可信的方式获得实际嵌入式设备模拟机计算平台各个组件的完整性报告信息，包括PCR值和签名信息；然后安全分析服务器对完整性报告进行验证，得到PCR0,PCR1,…,PCRn-1对应组件的完整性信息，其中n为组件的个数；若得到的完整性验证失败的组件个数f，则完整性验证成功的组件个数为n-f；最后依据组件完整性与否的信息，计算平台配置信任度Ti；

本发明使用三元组{bS,dS,uS}表示完整性验证成功的组件可信情况，bS表示该组件未受恶意代码影响的可能性，dS表示该组件受恶意代码影响的可能性，uS表示该组件受恶意代码影响的不确定程度。

用三元组{bF,dF,uF}表示完整性验证失败的组件可信情况（完整性验证失败未必表示组件安全性受到威胁，其中bF表示该组件对系统安全性造成破坏的可能性，dF表示该组件对系统安全性不会造成破坏的可能性，uF表示该组件对系统安全性是否造成破坏的不确定程度。

使用三元组表示平台配置信任度TI，TI={bI,dI,uI}；

其中，b_I表示平台完整性没有受到破坏的可能性；d_I表示平台完整性受到破坏的可能性；u_I表示平台完整性完好的不确定程度；κ为调整因子，一般取当f=0时，κ=1；f越大，κ越小，b_I越小，信任组件随着非信任组件的增多受影响越来越大，符合实际情况；当信任度或不信任度没有衰减时，u_S和u_F为0；

所述的平台运行属性度量通过将正常的网络通信事件作为肯定事件，肯定事件的累计数用r表示；将对网络的攻击事件和嗅探事件作为否定事件，否定事件的累计数用s表示；计算平台运行属性信任度T_H；

使用三元组表示平台运行属性信任度T_H，T_H={b_H,d_H,u_H}，

其中，b_H表示正常网络通信的可能性；

d_H表示非法网络通信事件的可能性；

u_H表正常网络通信的不确定程度；

所述的用户认证属性度量采用认证方法被攻破的概率来计算认证信任级，设一个攻击者成功攻破认证方法A并可以扮演成正常用户的事件发生的概率是P(A)，则该认证方法A的可信等级levelA=-log(P(A))；若系统采取多因素认证方案，A1,A2,…Am，m为认证因素的数量，则该多因素认证法被攻破的条件是全部认证方法均被攻破，其概率为P(A1∩A2…∩Am)；假设用户U通过了多因素认证，那么U通过系统认证后取得的可信等级AU表示为：

AU=-log(P(A1∩A2…∩Am))；

所述基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行多维度属性综合度量是在用户认证属性度量的基础上，对平台配置属性度量和平台运行属性度量的加权平均；设α_I,α_H分别为平台配置属性度量与平台运行属性度量的权重，α_I+α_H=1，则实际嵌入式设备模拟机安全度量评估值T_P={b_P,d_P,u_P}为：

b_P=α_I b_I+α_H b_H

d_P=α_I d_I+α_H d_H

u_P=α_I u_I+α_H u_H；

其中，b_P表示实际嵌入式设备模拟机安全可信的可能性；d_P表示实际嵌入式设备模拟机非安全可信的可能性；u_P表示实际嵌入式设备模拟机安全可信的不确定程度。

一种智能电网嵌入式设备网络攻击诱捕方法，包括以下步骤：

A：将诱捕装置的数据接收端直接接入智能电网网络，诱捕装置的数据发送端分别连接实际嵌入式设备和安全分析服务器；所述诱捕装置包括网络接口模块、安全控制模块和实际嵌入式设备模拟机；网络接口模块包括外网网络接口模块和内网网络接口模块；外网网络接口模块连接安全控制模块和智能电网网络，用于接收外部通讯网络所发送的IP数据包并传送给安全控制模块，以及接收安全控制模块所发送的IP数据包并通过外部通信网络进行发送；内网网络接口模块分别连接安全控制模块和实际嵌入式设备模拟机以及安全控制模块和实际嵌入式设备，用于接收安全控制模块所发送的IP数据包并传送给实际嵌入式设备或实际嵌入式设备模拟机，以及接收实际嵌入式设备所发送的IP数据包并传送给安全控制模块；

B：当实际嵌入式设备需向智能电网网络上其他设备发送IP数据包时，利用安全控制模块对所接收的实际嵌入式设备发送的IP数据包进行标识后通过网络接口模块发送至智能电网网络，安全控制模块内存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列号；当安全控制模块接收到实际嵌入式设备所发送的IP数据包时，安全控制模块读取该IP数据包并提取IP数据包目的地址，根据目的地址获取对应的密钥和发送序列号，将发送序列号置于IP数据包尾部，利用密钥对IP数据包和发送序列号进行摘要运算，将摘要运算结果附于发送序列号之后，并根据当前长度调整IP首部信息中的长度指示信息，然后将添加标识后的IP数据包通过外网网络接口模块发送至智能电网网络；

当安全控制模块接收到智能电网网络所发送的IP数据包时，安全控制模块读取该IP数据包并提取IP数据包来源地址，根据IP数据包来源地址获取对应的密钥和接收序列号，安全控制模块利用密钥对IP数据包中被保护的内容和发送序列号进行摘要运算，并将运算结果与IP数据包中自带的摘要运算结果进行比较，如果结果比较不一致则认为IP数据包被篡改和伪造，将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机；如果结果比较一致则判断IP数据包没有被篡改和伪造，继续比较从IP数据包中读取的发送序列号和接收序列号的大小，若发送序列号大于接收序列号则认为IP数据包正常，安全控制模块接收该IP数据包并将此IP数据包通过内网网络接口模块发送至实际嵌入式设备；如果发送序列号小于等于接收序列号则认为IP数据包非法，将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机；

C：利用实际嵌入式设备模拟机对实际嵌入式设备的运行环境和计算环境进行模拟，包括硬件环境模拟和软件环境模拟，对实际嵌入式设备在受到网络攻击时其网络状态和主机状态变化进行检测，并将网络状态及主机状态信息发送至安全分析服务器；

D：利用安全分析服务器用于对实际嵌入式设备模拟机发送的网络状态及主机状态信息，通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量，得出最终安全检测结果。

所述的B步骤中，在安全处理模块上连接有串口通信模块和用于单独存放网络攻击过滤装置的文件配置程序的外部存储器，同时在安全处理模块上连接开关模块，开关模块的信号输出端连接安全处理模块的信号输入端；利用开关模块向安全处理模块输入高电平或低电平信号，安全处理模块根据接收到开关模块发送的不同信号分别执行IP数据包标识和解析判别模式与文件配置模式，文件配置模式下安全处理模块仅通过串口通信模块与外界进行通信；当安全处理模块执行IP数据包标识和解析判别模式时，安全处理模块从内部启动，即安全处理模块从内部存储单元中读取网络攻击过滤程序并执行，安全处理模块不能访问外部存储器；当安全处理模块执行配置程序运行模式时，安全处理模块从外部存储器中读取配置程序并执行，配置程序在用户的计算机中运行，用户计算机通过串口通信模块与安全处理模块进行通信。

所述的C步骤中，实际嵌入式设备模拟机包括硬件可信密码模块TPM，用于实现信息采集与组件动态可信度量；其中信息采集是指采集异常网络事件和主机事件并发送至安全分析服务器，异常网络事件信息包括异常的网络数据信息和网络流量信息，主机事件包括实际嵌入式设备模拟机配置信息和实际嵌入式设备模拟机运行信息；进行组件动态可信度量时首先在实际嵌入式设备模拟机内配置XEN虚拟机，XEN虚拟机位于实际嵌入式设备模拟机硬件层之上且操作系统之下；然后利用XEN虚拟机的超级调用机制，在组件请求页面调入内存运行之前，通过地址指针获取调入内存的页面；在XEN虚拟机执行权限检查后，执行该超级调用的处理函数；在处理函数中加入对组件进行度量的代码，使度量代码操作首先执行；最后利用度量代码中基于指定的度量方式实现组件当前内存快照的可信度量或风险监测。

所述的D步骤中，安全分析服务器用于从平台配置属性、平台运行属性和用户认证属性进行多维度属性综合量化评估；

所述的平台配置属性度量通过对存储在硬件可信密码模块TPM相应平台配置寄存器PCRs中的各个组件完整性进行综合评价反映平台配置的可信任程度：首先基于实际嵌入式设备模拟机可信硬件模块TPM，以安全可信的方式获得实际嵌入式设备模拟机计算平台各个组件的完整性报告信息，包括PCR值和签名信息；然后安全分析服务器对完整性报告进行验证，得到PCR0,PCR1,…,PCRn-1对应组件的完整性信息，其中n为组件的个数；若得到的完整性验证失败的组件个数f，则完整性验证成功的组件个数为n-f；最后依据组件完整性与否的信息，计算平台配置信任度Ti：

本发明使用三元组{bS,dS,uS}表示完整性验证成功的组件可信情况，bS表示该组件未受恶意代码影响的可能性，dS表示该组件受恶意代码影响的可能性，uS表示该组件受恶意代码影响的不确定程度。

用三元组{bF,dF,uF}表示完整性验证失败的组件可信情况，其中bF表示该组件对系统安全性造成破坏的可能性，dF表示该组件对系统安全性不会造成破坏的可能性，uF表示该组件对系统安全性是否造成破坏的不确定程度。

使用三元组表示平台配置信任度TI，TI={bI,dI,uI}；

其中，b_I表示平台完整性没有受到破坏的可能性；d_I表示平台完整性受到破坏的可能性；u_I表示平台完整性完好的不确定程度；κ为调整因子，一般取当f=0时，κ=1；f越大，κ越小，b_I越小，信任组件随着非信任组件的增多受影响越来越大，符合实际情况；当信任度或不信任度没有衰减时，u_S和u_F为0；

所述的平台运行属性度量通过将正常的网络通信事件作为肯定事件，肯定事件的累计数用r表示；将对网络的攻击事件和嗅探事件作为否定事件，否定事件的累计数用s表示；计算平台运行属性信任度T_H；

使用三元组表示平台运行属性信任度T_H，T_H={b_H,d_H,u_H}，

其中，b_H表示正常网络通信的可能性；

d_H表示非法网络通信事件的可能性；

u_H表正常网络通信的不确定程度；

所述的用户认证属性度量采用认证方法被攻破的概率来计算认证信任级，设一个攻击者成功攻破认证方法A并可以扮演成正常用户的事件发生的概率是P(A)，则该认证方法A的可信等级levelA=-log(P(A))；若系统采取多因素认证方案，A1,A2,…Am，m为认证因素的数量，则该多因素认证法被攻破的条件是全部认证方法均被攻破，其概率为P(A1∩A2…∩Am)；假设用户U通过了多因素认证，那么U通过系统认证后取得的可信等级AU表示为：

AU=-log(P(A1∩A2…∩Am))；

所述基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行多维度属性综合度量是在用户认证属性度量的基础上，对平台配置属性度量和平台运行属性度量的加权平均；设α_I,α_H分别为平台配置属性度量与平台运行属性度量的权重，α_I+α_H=1，则实际嵌入式设备模拟机安全度量评估值T_P={b_P,d_P,u_P}为：

b_P=α_I b_I+α_H b_H

d_P=α_I d_I+α_H d_H

u_P=α_I u_I+α_H u_H；

其中，b_P表示实际嵌入式设备模拟机安全可信的可能性；d_P表示实际嵌入式设备模拟机非安全可信的可能性；u_P表示实际嵌入式设备模拟机安全可信的不确定程度。

本发明所述的智能电网嵌入式设备网络攻击诱捕系统通过引入诱捕装置，利用安全控制模块所接收的实际嵌入式设备发送的IP数据包进行标识，对所接收的智能电网网络发送的IP数据包进行解析判别，并将正常的IP数据包发送至实际嵌入式设备，将异常的IP数据包发送至实际嵌入式设备模拟机，再利用实际嵌入式设备模拟机对实际嵌入式设备的运行环境和计算环境进行模拟，实际嵌入式设备能够在受到网络攻击时其网络状态和主机状态变化进行检测，并将网络状态及主机状态信息发送至安全分析服务器，最终通过安全分析服务器对实际嵌入式设备模拟机发送的网络状态及主机状态信息，通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量，得出最终安全检测结果。本发明在保证实际嵌入式设备正常工作的同时，对未知网络攻击进行实时检测和感知，克服现有网络攻击检测技术无法直接应用于嵌入式设备且只能做到事后防御的弊端，能够主动做到对嵌入式设备的网络攻击进行诱捕。同时，本发明还能够通过硬件的改进实现网络攻击过滤装置的数据包标识和解析判别模式与文件配置模式的隔离，有效阻止攻击者通过网络接口模块对诱捕装置进行攻击，提高安全性，实现诱捕装置的有效保护。

附图说明

图1为本发明所述智能电网嵌入式设备网络攻击诱捕系统的原理框图；

图2为本发明的智能电网嵌入式设备网络攻击诱捕方法的流程图；

图3为IP数据包标识原理示意图。

具体实施方式

如图1所示，本发明所述智能电网嵌入式设备网络攻击诱捕系统包括诱捕装置和安全分析服务器；

所述诱捕装置的数据接收端连接智能电网网络，诱捕装置的数据发送端分别连接实际嵌入式设备和安全分析服务器；诱捕装置包括网络接口模块、安全控制模块和实际嵌入式设备模拟机；

网络接口模块用于完成IP数据包的收发，包括外网网络接口模块和内网网络接口模块；外网网络接口模块连接安全控制模块和智能电网网络，用于接收外部通讯网络所发送的IP数据包并传送给安全控制模块，以及接收安全控制模块所发送的IP数据包并通过外部通信网络进行发送；内网网络接口模块分别连接安全控制模块和实际嵌入式设备模拟机以及安全控制模块和实际嵌入式设备，用于接收安全控制模块所发送的IP数据包并传送给实际嵌入式设备或实际嵌入式设备模拟机，以及接收实际嵌入式设备所发送的IP数据包并传送给安全控制模块。

安全控制模块用于对所接收的实际嵌入式设备发送的IP数据包进行标识后通过网络接口模块发送至智能电网网络，以及对所接收的智能电网网络发送的IP数据包进行解析判别，并将正常的IP数据包发送至实际嵌入式设备，将异常的IP数据包发送至实际嵌入式设备模拟机。异常的网络数据信息包括两部分：

（1）网络数据内容异常：安全控制模块通过判断网络数据包格式、协议、数据内容等信息，将异常的网络信息发送给实际嵌入式设备模拟机，安全分析服务器依据这些信息能够发现扫描、渗透攻击、重放攻击、缓冲溢出、漏洞利用等多种网络攻击行为。

（2）网络流量信息：安全控制模块通过判断设备总体流量、某个服务流量、当前会话连接数量等网络流量信息，将异常的网络流量信息发送给实际嵌入式设备模拟机，安全分析服务器通过这些信息能够发现非法信息外传、拒绝服务攻击等。

安全控制模块内存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列号；当安全控制模块接收到实际嵌入式设备所发送的IP数据包时，安全控制模块读取该IP数据包并提取IP数据包目的地址，根据目的地址获取对应的密钥和发送序列号，将发送序列号置于IP数据包尾部，利用密钥对IP数据包和发送序列号进行摘要运算，将摘要运算结果附于发送序列号之后，并根据当前长度调整IP首部信息中的长度指示信息，然后将添加标识后的IP数据包通过外网网络接口模块发送至智能电网网络；当安全控制模块接收到智能电网网络所发送的IP数据包时，安全控制模块读取该IP数据包并提取IP数据包来源地址，根据IP数据包来源地址获取对应的密钥和接收序列号，安全控制模块利用密钥对IP数据包中被保护的内容和发送序列号进行摘要运算，并将运算结果与IP数据包中自带的摘要运算结果进行比较，如果结果比较不一致则认为IP数据包被篡改和伪造，将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机；如果结果比较一致则判断IP数据包没有被篡改和伪造，继续比较从IP数据包中读取的发送序列号和接收序列号的大小，若发送序列号大于接收序列号则认为IP数据包正常，安全控制模块接收该IP数据包并将此IP数据包通过内网网络接口模块发送至实际嵌入式设备；如果发送序列号小于等于接收序列号则认为IP数据包非法，将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机。图3为IP数据包标识原理示意图。

安全控制模块还连接有串口通信模块和用于单独存放文件配置程序的外部存储器，安全控制模块还连接有开关模块，开关模块的信号输出端连接安全控制模块的信号输入端；开关模块用于向安全控制模块输入高电平或低电平信号，安全控制模块根据接收到开关模块发送的不同信号分别执行IP数据包标识和解析判别模式与文件配置模式，文件配置模式下安全控制模块仅通过串口通信模块与外界进行通信。当安全控制模块执行攻击过滤模式时，安全控制模块从内部启动，即安全控制模块从内部存储单元中读取IP数据包标识和解析判别程序并执行，安全控制模块不能访问外部存储器，能够保证不会篡改外部存储中的程序，进而保证了配置程序的安全。当安全控制模块执行配置程序运行模式时，安全控制模块从外部存储器中读取配置程序并执行，配置程序在用户的计算机中运行，用户计算机通过串口通信模块与安全控制模块进行通信，此时安全控制模块中运行配置程序，与用户的计算机形成C/S的工作模式。本发明利用硬件开关隔离安全控制模块两种运行模式，安全控制模块执行配置程序时不通过网络进行，能够有效阻止通过网络接口模块发起的针对安全控制模块本身的攻击，不论安全控制模块的配置程序有无漏洞，攻击者均不能修改安全控制模块的配置程序，安全性大为提高。

本实施例中，网络接口模块采用支持IEEE802.3等以太网规范的接口芯片，称为网卡芯片，能够支持以太网数据包的收发。为提高整体安全性，网卡芯片选择国产芯片。安全控制模块，指具有安全功能的控制芯片，安全功能指能够进行密码运算且自身具有较强的防多种攻击措施，密码运算可采用摘要运算，自身具有的防攻击措施包括芯片具有的多层特殊版图设计、电压检测、存储区加密保护、光照检测、MPU（内存保护单元）等防范物理攻击、软件攻击的保护措施。开关模块可采用电路开关，电路开关的开合可以向安全处理芯片发出低电平、高电平两种不同的控制信号。串口通信模块可采用支持RS232标准的异步串行通信接口芯片，通信时需要专用的串口电缆分别连接该异步串行通信接口芯片与用户配置用计算机上的异步串行通信接口芯片（一般称为COM口）。外部存储器可采用FLASH芯片，FLASH芯片为通用的一种存储芯片，在掉电情况下保存数据，可以通过FLASH芯片的外部接口对FLASH芯片进行读、写、擦除等操作。

实际嵌入式设备模拟机用于对实际嵌入式设备的运行环境和计算环境进行模拟，包括硬件环境模拟和软件环境模拟，对实际嵌入式设备在受到网络攻击时其网络状态和主机状态变化进行检测，并将网络状态及主机状态信息发送至安全分析服务器。实际嵌入式设备模拟机包括硬件可信密码模块TPM，用于实现信息采集与组件动态可信度量；其中信息采集是指采集异常网络事件和主机事件并发送至安全分析服务器，异常网络事件信息包括异常的网络数据信息和网络流量信息，主机事件包括实际嵌入式设备模拟机配置信息和实际嵌入式设备模拟机运行信息；实际嵌入式设备模拟机中的组件动态可信度量利用实际嵌入式设备模拟机的特权控制机制分析实际嵌入式设备模拟机内的组件运行时的动态内存影像，从而对运行组件进行有效的动态度量，及时发现组件运行异常情况（受到攻击或破坏），对攻击做到主动防御，为实际嵌入式设备模拟机安全稳定运行提供安全可信的计算和运行环境。

组件动态变化是通过操作系统对内存的分配和置换反映出来的。操作系统对应用程序（组件）实施加载管理和运行管理。当组件或应用程序被执行时，操作系统为其分配一定数量的内存，并为该进程创建页表，以映射物理内存和地址空间。当组件或应用程序发生页面失效时，即运行过程中，操作系统按照一定的页面置换算法，将部分所需的页面从磁盘上置换进内存，并更新页表。

基于上述工作原理，进行组件动态可信度量时：

首先在实际嵌入式设备模拟机内配置XEN虚拟机，XEN虚拟机位于实际嵌入式设备模拟机硬件层之上且操作系统之下；

然后利用XEN虚拟机的超级调用机制，在组件请求页面调入内存运行之前，通过地址指针获取调入内存的页面；在XEN虚拟机执行权限检查后，执行该超级调用的处理函数；在处理函数中加入对组件进行度量的代码，使度量代码操作首先执行；

最后利用度量代码中基于指定的度量方式实现组件当前内存快照的可信度量或风险监测，指定的度量方式包括完整性度量、代码特征检测、行为相似度检测。在每次发生内存分配和置换时都进行组件动态可信度量检测，即可实现组件变化过程的动态度量。

所述安全分析服务器通过对实际嵌入式设备模拟机发送的网络状态及主机状态信息，从平台配置属性、平台运行属性和用户认证属性进行多维度属性综合量化评估，最终得到安全检测结果。安全分析服务器的多维属性包括计算平台配置、平台运行和身份认证属性，这些属性均对系统安全产生影响。

（1）平台配置属性度量

平台配置属性度量实际上就是基于各个组件完整性的综合评价，反映出平台配置的可信任程度。平台各个组件的完整性度量值已经被扩展存储到实际嵌入式设备模拟机平台硬件可信密码模块TPM(Trusted Platform Module)相应的平台配置寄存器PCRs中，平台配置属性度量通过验证这些PCRs值，即可计算出平台配置的可信任程度。

（1）平台配置属性度量的具体方法如下：

首先基于实际嵌入式设备模拟机可信硬件模块TPM，以安全可信的方式获得实际嵌入式设备模拟机计算平台各个组件的完整性报告信息，包括PCR值和签名信息；

然后安全分析服务器对完整性报告进行验证，得到PCR0,PCR1,…,PCRn-1对应组件的完整性信息，其中n为组件的个数；假设得到的完整性验证失败的组件个数f，则完整性验证成功的组件个数为n-f；

最后依据组件完整性与否的信息，计算平台配置信任度Ti：

本发明使用三元组{bS,dS,uS}表示完整性验证成功的组件可信情况，bS表示该组件未受恶意代码影响的可能性，dS表示该组件受恶意代码影响的可能性，uS表示该组件受恶意代码影响的不确定程度；

用三元组{bF,dF,uF}表示完整性验证失败的组件可信情况（完整性验证失败未必表示组件安全性受到威胁，例如软件版本升级等也会导致PCR值验证失败，却是无害的），其中bF表示该组件对系统安全性造成破坏的可能性，dF表示该组件对系统安全性不会造成破坏的可能性，uF表示该组件对系统安全性是否造成破坏的不确定程度；

使用三元组表示平台配置信任度TI，TI={bI,dI,uI}；

其中，b_I表示平台完整性没有受到破坏的可能性；d_I表示平台完整性受到破坏的可能性；u_I表示平台完整性完好的不确定程度；κ为调整因子，一般取当f=0时，κ=1；f越大，κ越小，b_I越小，信任组件随着非信任组件的增多受影响越来越大，符合实际情况；当信任度或不信任度没有衰减时，u_S和u_F为0；

式（1）可简化为

（2）平台运行属性度量

平台运行属性反映了实际嵌入式设备模拟机当前行为可观察的信任属性。平台运行属性包括性能特性性（如CPU、内存、硬盘使用情况和网络流量信息等）、可靠特性（如成功率、丢包率和平均无故障时间等）和安全特性（如非法连接次数、端口扫描次数和越权尝试企图等）。

平台运行属性度量通过将正常的网络通信事件作为肯定事件，肯定事件的累计数用r表示；将对网络的攻击事件和嗅探事件作为否定事件，否定事件的累计数用s表示；计算平台运行属性信任度T_H；

基于这些特性，可计算当前实际嵌入式设备模拟机运行情况的信任值。计算方法如下：

平台运行属性信任度T_H由三元组T_H={b_H,d_H,u_H}组成，其中，

其中，b_H表示正常网络通信的可能性；d_H表示非法网络通信事件的可能性；u_H表正常网络通信的不确定程度；

基于式(3)，即可计算出平台运行属性信任度T_H。

（3）用户认证属性度量

当用户为了获得非法利益时，如访问未授权资源，可能利用系统漏洞或其它技术手段假冒其他用户身份，这就要求能对用户提交的身份凭证的可信性做出度量，即计算认证信任等级。在系统中，用户身份凭证可能有多种，如数字证书、指纹、虹膜乃至简单的PIN码，为了统一用户身份属性可信性的表达，用户认证属性度量采用认证方法被攻破的概率来计算认证信任级。用户身份属性度量问题实际上时如何计算多因素认证方式的破解概率问题。

用户认证属性度量具体步骤如下：

首先，设一个攻击者成功攻破认证方法A并可以扮演成合法用户的事件发生的概率是P(A)，则该认证方法A的可信等级levelA=-log(P(A))；

然后，如果系统采取多因素认证方案，A1,A2,…Am，m为认证因素的数量，如采用指纹、口令和证书三因素认证，那么m=3；则该多因素认证法被攻破的条件是全部认证方法均被攻破，其概率为P(A1∩A2…∩Am)；假设用户U通过了多因素认证，那么U通过系统认证后取得的可信等级AU表示为：

AU=-log(P(A1∩A2…∩Am))；

（4）多维度属性综合度量

基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行多维度属性综合度量是在用户认证属性度量的基础上，对平台配置属性度量和平台运行属性度量的加权平均；设α_I,α_H分别为平台配置属性度量与平台运行属性度量的权重，α_I+α_H=1，则实际嵌入式设备模拟机安全度量评估值T_P={b_P,d_P,u_P}为：

b_P=α_I b_I+α_H b_H

d_P=α_I d_I+α_H d_H (4)

u_P=α_I u_I+α_H u_H

其中，b_P表示实际嵌入式设备模拟机安全可信的可能性；d_P表示实际嵌入式设备模拟机非安全可信的可能性；u_P表示实际嵌入式设备模拟机安全可信的不确定程度。

基于式（4），即可计算出实际嵌入式设备模拟机安全状况的量化值，得出最终安全检测结果。

例如，检测系统设定用户认证安全阈值AU=0.65，实际嵌入式设备模拟机安全状况阈值{λb_P，λd_P，λu_P}={0.7,0.1,0.2}。当用上述方法计算出某一时刻用户认证属性度量值为0.7，实际嵌入式设备模拟机平台度量值为{0.6，0.2，0.2}时，虽然用户认证属性度量值0.7>用户认证安全阈值0.65，但由于平台度量值中b_P=0.6<λb_P=0.7,所以认定该时刻实际嵌入式设备模拟机安全状况没有达到规定，是存在安全风险的。

本发明所述的智能电网嵌入式设备网络攻击诱捕系统通过引入诱捕装置，在保证实际嵌入式设备正常工作的同时，对未知网络攻击进行实时检测和感知。实际嵌入式设备模拟机模拟实际设备，从组件、进程、硬件配置等影响系统安全的关键因素进行动态检测和控制，对未知的网络攻击和异常应为进行及时相应和处理，克服现有网络攻击检测技术无法直接应用于嵌入式设备且只能做到事后防御的弊端，能够主动做到对嵌入式设备的网络攻击进行诱捕。同时，本发明还能够通过硬件的改进实现网络攻击过滤装置的数据包标识和解析判别模式与文件配置模式的隔离，有效阻止攻击者通过网络接口模块对诱捕装置进行攻击，提高安全性，实现诱捕装置的有效保护。

如图2所示，本发明所述的智能电网嵌入式设备网络攻击诱捕方法，包括以下步骤：

A：将诱捕装置的数据接收端直接接入智能电网网络，诱捕装置的数据发送端分别连接实际嵌入式设备和安全分析服务器；所述诱捕装置包括网络接口模块、安全控制模块和实际嵌入式设备模拟机；网络接口模块包括外网网络接口模块和内网网络接口模块；外网网络接口模块连接安全控制模块和智能电网网络，用于接收外部通讯网络所发送的IP数据包并传送给安全控制模块，以及接收安全控制模块所发送的IP数据包并通过外部通信网络进行发送；内网网络接口模块分别连接安全控制模块和实际嵌入式设备模拟机以及安全控制模块和实际嵌入式设备，用于接收安全控制模块所发送的IP数据包并传送给实际嵌入式设备或实际嵌入式设备模拟机，以及接收实际嵌入式设备所发送的IP数据包并传送给安全控制模块；

B：当实际嵌入式设备需向智能电网网络上其他设备发送IP数据包时，利用安全控制模块对所接收的实际嵌入式设备发送的IP数据包进行标识后通过网络接口模块发送至智能电网网络，安全控制模块内存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列号；当安全控制模块接收到实际嵌入式设备所发送的IP数据包时，安全控制模块读取该IP数据包并提取IP数据包目的地址，根据目的地址获取对应的密钥和发送序列号，将发送序列号置于IP数据包尾部，利用密钥对IP数据包和发送序列号进行摘要运算，将摘要运算结果附于发送序列号之后，并根据当前长度调整IP首部信息中的长度指示信息，然后将添加标识后的IP数据包通过外网网络接口模块发送至智能电网网络；

当安全控制模块接收到智能电网网络所发送的IP数据包时，安全控制模块读取该IP数据包并提取IP数据包来源地址，根据IP数据包来源地址获取对应的密钥和接收序列号，安全控制模块利用密钥对IP数据包中被保护的内容和发送序列号进行摘要运算，并将运算结果与IP数据包中自带的摘要运算结果进行比较，如果结果比较不一致则认为IP数据包被篡改和伪造，将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机；如果结果比较一致则判断IP数据包没有被篡改和伪造，继续比较从IP数据包中读取的发送序列号和接收序列号的大小，若发送序列号大于接收序列号则认为IP数据包正常，安全控制模块接收该IP数据包并将此IP数据包通过内网网络接口模块发送至实际嵌入式设备；如果发送序列号小于等于接收序列号则认为IP数据包非法，将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机；

C：利用实际嵌入式设备模拟机对实际嵌入式设备的运行环境和计算环境进行模拟，包括硬件环境模拟和软件环境模拟，对实际嵌入式设备在受到网络攻击时其网络状态和主机状态变化进行检测，并将网络状态及主机状态信息发送至安全分析服务器；

D：利用安全分析服务器用于对实际嵌入式设备模拟机发送的网络状态及主机状态信息，通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量，得出最终安全检测结果。

B步骤中，在安全处理模块上连接有串口通信模块和用于单独存放网络攻击过滤装置的文件配置程序的外部存储器，同时在安全处理模块上连接开关模块，开关模块的信号输出端连接安全处理模块的信号输入端；利用开关模块向安全处理模块输入高电平或低电平信号，安全处理模块根据接收到开关模块发送的不同信号分别执行IP数据包标识和解析判别模式与文件配置模式，文件配置模式下安全处理模块仅通过串口通信模块与外界进行通信；当安全处理模块执行IP数据包标识和解析判别模式时，安全处理模块从内部启动，即安全处理模块从内部存储单元中读取网络攻击过滤程序并执行，安全处理模块不能访问外部存储器；当安全处理模块执行配置程序运行模式时，安全处理模块从外部存储器中读取配置程序并执行，配置程序在用户的计算机中运行，用户计算机通过串口通信模块与安全处理模块进行通信。

C步骤中，实际嵌入式设备模拟机包括硬件可信密码模块TPM，用于实现信息采集与组件动态可信度量；其中信息采集是指采集异常网络事件和主机事件并发送至安全分析服务器，异常网络事件信息包括异常的网络数据信息和网络流量信息，主机事件包括实际嵌入式设备模拟机配置信息和实际嵌入式设备模拟机运行信息；进行组件动态可信度量时首先在实际嵌入式设备模拟机内配置XEN虚拟机，XEN虚拟机位于实际嵌入式设备模拟机硬件层之上且操作系统之下；然后利用XEN虚拟机的超级调用机制，在组件请求页面调入内存运行之前，通过地址指针获取调入内存的页面；在XEN虚拟机执行权限检查后，执行该超级调用的处理函数；在处理函数中加入对组件进行度量的代码，使度量代码操作首先执行；最后利用度量代码中基于指定的度量方式实现组件当前内存快照的可信度量或风险监测。

D步骤中，安全分析服务器用于从平台配置属性、平台运行属性和用户认证属性进行多维度属性综合量化评估；

所述的平台配置属性度量通过对存储在硬件可信密码模块TPM相应平台配置寄存器PCRs中的各个组件完整性进行综合评价反映平台配置的可信任程度：首先基于实际嵌入式设备模拟机可信硬件模块TPM，以安全可信的方式获得实际嵌入式设备模拟机计算平台各个组件的完整性报告信息，包括PCR值和签名信息；然后安全分析服务器对完整性报告进行验证，得到PCR0,PCR1,…,PCRn-1对应组件的完整性信息，其中n为组件的个数；若得到的完整性验证失败的组件个数f，则完整性验证成功的组件个数为n-f；最后依据组件完整性与否的信息，计算平台配置信任度Ti：

本发明使用三元组{bS,dS,uS}表示完整性验证成功的组件可信情况，bS表示该组件未受恶意代码影响的可能性，dS表示该组件受恶意代码影响的可能性，uS表示该组件受恶意代码影响的不确定程度；

用三元组{bF,dF,uF}表示完整性验证失败的组件可信情况（完整性验证失败未必表示组件安全性受到威胁，例如软件版本升级等也会导致PCR值验证失败，却是无害的），其中bF表示该组件对系统安全性造成破坏的可能性，dF表示该组件对系统安全性不会造成破坏的可能性，uF表示该组件对系统安全性是否造成破坏的不确定程度；

使用三元组表示平台配置信任度TI，TI={bI,dI,uI}；

其中，b_I表示平台完整性没有受到破坏的可能性；d_I表示平台完整性受到破坏的可能性；u_I表示平台完整性完好的不确定程度；κ为调整因子，一般取当f=0时，κ=1；f越大，κ越小，b_I越小，信任组件随着非信任组件的增多受影响越来越大，符合实际情况；当信任度或不信任度没有衰减时，u_S和u_F为0；

所述的平台运行属性度量通过将正常的网络通信事件作为肯定事件，肯定事件的累计数用r表示；将对网络的攻击事件和嗅探事件作为否定事件，否定事件的累计数用s表示；计算平台运行属性信任度T_H；

使用三元组表示平台运行属性信任度T_H，T_H={b_H,d_H,u_H}，

其中，b_H表示正常网络通信的可能性；

d_H表示非法网络通信事件的可能性；

u_H表正常网络通信的不确定程度；

所述的用户认证属性度量采用认证方法被攻破的概率来计算认证信任级，设一个攻击者成功攻破认证方法A并可以扮演成正常用户的事件发生的概率是P(A)，则该认证方法A的可信等级levelA=-log(P(A))；若系统采取多因素认证方案，A1,A2,…Am，m为认证因素的数量，则该多因素认证法被攻破的条件是全部认证方法均被攻破，其概率为P(A1∩A2…∩Am)；假设用户U通过了多因素认证，那么U通过系统认证后取得的可信等级AU表示为：

AU=-log(P(A1∩A2…∩Am))；

所述基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行多维度属性综合度量是在用户认证属性度量的基础上，对平台配置属性度量和平台运行属性度量的加权平均；设α_I,α_H分别为平台配置属性度量与平台运行属性度量的权重，α_I+α_H=1，则实际嵌入式设备模拟机安全度量评估值T_P={b_P,d_P,u_P}为：

b_P=α_I b_I+α_H b_H

d_P=α_I d_I+α_H d_H

u_P=α_I u_I+α_H u_H；

其中，b_P表示实际嵌入式设备模拟机安全可信的可能性；d_P表示实际嵌入式设备模拟机非安全可信的可能性；u_P表示实际嵌入式设备模拟机安全可信的不确定程度。

由于智能电网嵌入式设备网络攻击诱捕方法是配合智能电网嵌入式设备网络攻击诱捕系统实现，方法与工作原理在此不再赘述。

Claims (8)

1.一种智能电网嵌入式设备网络攻击诱捕系统，其特征在于：包括诱捕装置和安全分析服务器；

所述诱捕装置的数据接收端连接智能电网网络，诱捕装置的数据发送端分别连接实际嵌入式设备和安全分析服务器；诱捕装置包括网络接口模块、安全控制模块和实际嵌入式设备模拟机；

网络接口模块用于完成IP数据包的收发，包括外网网络接口模块和内网网络接口模块；外网网络接口模块连接安全控制模块和智能电网网络，用于接收外部通讯网络所发送的IP数据包并传送给安全控制模块，以及接收安全控制模块所发送的IP数据包并通过外部通信网络进行发送；内网网络接口模块分别连接安全控制模块和实际嵌入式设备模拟机以及实际嵌入式设备，用于接收安全控制模块所发送的IP数据包并传送给实际嵌入式设备或实际嵌入式设备模拟机，以及接收实际嵌入式设备所发送的IP数据包并传送给安全控制模块；

安全控制模块用于对所接收的实际嵌入式设备发送的IP数据包进行标识后通过网络接口模块发送至智能电网网络，以及对所接收的智能电网网络发送的IP数据包进行解析判别，并将正常的IP数据包发送至实际嵌入式设备，将异常的IP数据包发送至实际嵌入式设备模拟机；安全控制模块连接有串口通信模块和用于单独存放文件配置程序的外部存储器，安全控制模块还连接有开关模块，开关模块的信号输出端连接安全控制模块的信号输入端；

实际嵌入式设备模拟机用于对实际嵌入式设备的运行环境和计算环境进行模拟，包括硬件环境模拟和软件环境模拟，对实际嵌入式设备在受到网络攻击时其网络状态和主机状态变化进行检测，并将网络状态及主机状态信息发送至安全分析服务器；

所述安全分析服务器用于对实际嵌入式设备模拟机发送的网络状态及主机状态信息，通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量，得出最终安全检测结果。

2.根据权利要求1所述的智能电网嵌入式设备网络攻击诱捕系统，其特征在于：所述的安全控制模块内存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列号；当安全控制模块接收到实际嵌入式设备所发送的IP数据包时，安全控制模块读取该IP数据包并提取IP数据包目的地址，根据目的地址获取对应的密钥和发送序列号，将发送序列号置于IP数据包尾部，利用密钥对IP数据包和发送序列号进行摘要运算，将摘要运算结果附于发送序列号之后，并根据当前长度调整IP首部信息中的长度指示信息，然后将添加标识后的IP数据包通过外网网络接口模块发送至智能电网网络；当安全控制模块接收到智能电网网络所发送的IP数据包时，安全控制模块读取该IP数据包并提取IP数据包来源地址，根据IP数据包来源地址获取对应的密钥和接收序列号，安全控制模块利用密钥对IP数据包中被保护的内容和发送序列号进行摘要运算，并将运算结果与IP数据包中自带的摘要运算结果进行比较，如果结果比较不一致则认为IP数据包被篡改和伪造，将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机；如果结果比较一致则判断IP数据包没有被篡改和伪造，继续比较从IP数据包中读取的发送序列号和接收序列号的大小，若发送序列号大于接收序列号则认为IP数据包正常，安全控制模块接收该IP数据包并将此IP数据包通过内网网络接口模块发送至实际嵌入式设备；如果发送序列号小于等于接收序列号则认为IP数据包非法，将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机。

3.根据权利要求2所述的智能电网嵌入式设备网络攻击诱捕系统，其特征在于：所述的实际嵌入式设备模拟机包括硬件可信密码模块TPM，用于实现信息采集与组件动态可信度量；其中信息采集是指采集异常网络事件和主机事件并发送至安全分析服务器，异常网络事件信息包括异常的网络数据信息和网络流量信息，主机事件包括实际嵌入式设备模拟机配置信息和实际嵌入式设备模拟机运行信息；进行组件动态可信度量时首先在实际嵌入式设备模拟机内配置XEN虚拟机，XEN虚拟机位于实际嵌入式设备模拟机硬件层之上且操作系统之下；然后利用XEN虚拟机的超级调用机制，在组件请求页面调入内存运行之前，通过地址指针获取调入内存的页面；在XEN虚拟机执行权限检查后，执行该超级调用的处理函数；在处理函数中加入对组件进行度量的代码，使度量代码操作首先执行；最后利用度量代码中基于指定的度量方式实现组件当前内存快照的可信度量或风险监测。

4.根据权利要求3所述的智能电网嵌入式设备网络攻击诱捕系统，其特征在于：所述的安全分析服务器用于从平台配置属性、平台运行属性和用户认证属性进行多维度属性综合量化评估；

所述的平台配置属性度量通过对存储在硬件可信密码模块TPM相应平台配置寄存器PCRs中的各个组件完整性进行综合评价反映平台配置的可信任程度：首先基于实际嵌入式设备模拟机可信硬件模块TPM，以安全可信的方式获得实际嵌入式设备模拟机计算平台各个组件的完整性报告信息，包括PCR值和签名信息；然后安全分析服务器对完整性报告进行验证，得到PCR0,PCR1,…,PCRn-1对应组件的完整性信息，其中n为组件的个数；若得到的完整性验证失败的组件个数f，则完整性验证成功的组件个数为n-f；最后依据组件完整性与否的信息，计算平台配置信任度Ti；

本发明使用三元组{bS,dS,uS}表示完整性验证成功的组件可信情况，bS表示该组件未受恶意代码影响的可能性，dS表示该组件受恶意代码影响的可能性，uS表示该组件受恶意代码影响的不确定程度；

用三元组{bF,dF,uF}表示完整性验证失败的组件可信情况，其中bF表示该组件对系统安全性造成破坏的可能性，dF表示该组件对系统安全性不会造成破坏的可能性，uF表示该组件对系统安全性是否造成破坏的不确定程度；

使用三元组表示平台配置信任度TI，TI＝{bI,dI,uI}；

$b_I=\mathrm{\&kappa;}\left(\frac{1}{n}\underset{i=1}{\overset{n-f}{\&Sigma;}}{b}_{Si}\right)+\frac{1}{n}\underset{j=1}{\overset{f}{\&Sigma;}}{b}_{Fj},$

$d_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\&Sigma;}}{d}_{Si}+\frac{1}{n}\underset{j=1}{\overset{f}{\&Sigma;}}{d}_{Fj}$

$u_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\&Sigma;}}{u}_{Si}+\frac{1}{n}\underset{j=1}{\overset{f}{\&Sigma;}}{u}_{Fj}$

其中，b_I表示平台完整性没有受到破坏的可能性；d_I表示平台完整性受到破坏的可能性；u_I表示平台完整性完好的不确定程度；κ为调整因子，一般取当f＝0时，κ＝1；f越大，κ越小，b_I越小，信任组件随着非信任组件的增多受影响越来越大，符合实际情况；当信任度或不信任度没有衰减时，u_S和u_F为0；

所述的平台运行属性度量通过将正常的网络通信事件作为肯定事件，肯定事件的累计数用r表示；将对网络的攻击事件和嗅探事件作为否定事件，否定事件的累计数用s表示；计算平台运行属性信任度T_H；

使用三元组表示平台运行属性信任度T_H，T_H＝{b_H,d_H,u_H}，

其中，b_H表示正常网络通信的可能性；

d_H表示非法网络通信事件的可能性；

u_H表正常网络通信的不确定程度；

所述的用户认证属性度量采用认证方法被攻破的概率来计算认证信任级，设一个攻击者成功攻破认证方法A并可以扮演成正常用户的事件发生的概率是P(A)，则该认证方法A的可信等级levelA＝-log(P(A))；若系统采取多因素认证方案，A1,A2,…Am，m为认证因素的数量，则该多因素认证法被攻破的条件是全部认证方法均被攻破，其概率为P(A1∩A2…∩Am)；假设用户U通过了多因素认证，那么U通过系统认证后取得的可信等级AU表示为：

AU＝-log(P(A1∩A2…∩Am))；

所述基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行多维度属性综合度量是在用户认证属性度量的基础上，对平台配置属性度量和平台运行属性度量的加权平均；设α_I,α_H分别为平台配置属性度量与平台运行属性度量的权重，α_I+α_H＝1，则实际嵌入式设备模拟机安全度量评估值T_P＝{b_P,d_P,u_P}为：

b_P＝α_Ib_I+α_Hb_H

d_P＝α_Id_I+α_Hd_H

u_P＝α_Iu_I+α_Hu_H；

其中，b_P表示实际嵌入式设备模拟机安全可信的可能性；d_P表示实际嵌入式设备模拟机非安全可信的可能性；u_P表示实际嵌入式设备模拟机安全可信的不确定程度。

5.一种智能电网嵌入式设备网络攻击诱捕方法，其特征在于，包括以下步骤：

A：将诱捕装置的数据接收端直接接入智能电网网络，诱捕装置的数据发送端分别连接实际嵌入式设备和安全分析服务器；所述诱捕装置包括网络接口模块、安全控制模块和实际嵌入式设备模拟机；网络接口模块包括外网网络接口模块和内网网络接口模块；外网网络接口模块连接安全控制模块和智能电网网络，用于接收外部通讯网络所发送的IP数据包并传送给安全控制模块，以及接收安全控制模块所发送的IP数据包并通过外部通信网络进行发送；内网网络接口模块分别连接安全控制模块和实际嵌入式设备模拟机以及实际嵌入式设备，用于接收安全控制模块所发送的IP数据包并传送给实际嵌入式设备或实际嵌入式设备模拟机，以及接收实际嵌入式设备所发送的IP数据包并传送给安全控制模块；

B：当实际嵌入式设备需向智能电网网络上其他设备发送IP数据包时，利用安全控制模块对所接收的实际嵌入式设备发送的IP数据包进行标识后通过网络接口模块发送至智能电网网络，安全控制模块内存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列号；当安全控制模块接收到实际嵌入式设备所发送的IP数据包时，安全控制模块读取该IP数据包并提取IP数据包目的地址，根据目的地址获取对应的密钥和发送序列号，将发送序列号置于IP数据包尾部，利用密钥对IP数据包和发送序列号进行摘要运算，将摘要运算结果附于发送序列号之后，并根据当前长度调整IP首部信息中的长度指示信息，然后将添加标识后的IP数据包通过外网网络接口模块发送至智能电网网络；

当安全控制模块接收到智能电网网络所发送的IP数据包时，安全控制模块读取该IP数据包并提取IP数据包来源地址，根据IP数据包来源地址获取对应的密钥和接收序列号，安全控制模块利用密钥对IP数据包中被保护的内容和发送序列号进行摘要运算，并将运算结果与IP数据包中自带的摘要运算结果进行比较，如果结果比较不一致则认为IP数据包被篡改和伪造，将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机；如果结果比较一致则判断IP数据包没有被篡改和伪造，继续比较从IP数据包中读取的发送序列号和接收序列号的大小，若发送序列号大于接收序列号则认为IP数据包正常，安全控制模块接收该IP数据包并将此IP数据包通过内网网络接口模块发送至实际嵌入式设备；如果发送序列号小于等于接收序列号则认为IP数据包非法，将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机；

C：利用实际嵌入式设备模拟机对实际嵌入式设备的运行环境和计算环境进行模拟，包括硬件环境模拟和软件环境模拟，对实际嵌入式设备在受到网络攻击时其网络状态和主机状态变化进行检测，并将网络状态及主机状态信息发送至安全分析服务器；

D：利用安全分析服务器用于对实际嵌入式设备模拟机发送的网络状态及主机状态信息，通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量，得出最终安全检测结果。

6.根据权利要求5所述的智能电网嵌入式设备网络攻击诱捕方法，其特征在于：所述的B步骤中，在安全处理模块上连接有串口通信模块和用于单独存放网络攻击过滤装置的文件配置程序的外部存储器，同时在安全处理模块上连接开关模块，开关模块的信号输出端连接安全处理模块的信号输入端；利用开关模块向安全处理模块输入高电平或低电平信号，安全处理模块根据接收到开关模块发送的不同信号分别执行IP数据包标识和解析判别模式与文件配置模式，文件配置模式下安全处理模块仅通过串口通信模块与外界进行通信；当安全处理模块执行IP数据包标识和解析判别模式时，安全处理模块从内部启动，即安全处理模块从内部存储单元中读取网络攻击过滤程序并执行，安全处理模块不能访问外部存储器；当安全处理模块执行配置程序运行模式时，安全处理模块从外部存储器中读取配置程序并执行，配置程序在用户的计算机中运行，用户计算机通过串口通信模块与安全处理模块进行通信。

7.根据权利要求6所述的智能电网嵌入式设备网络攻击诱捕方法，其特征在于：所述的C步骤中，实际嵌入式设备模拟机包括硬件可信密码模块TPM，用于实现信息采集与组件动态可信度量；其中信息采集是指采集异常网络事件和主机事件并发送至安全分析服务器，异常网络事件信息包括异常的网络数据信息和网络流量信息，主机事件包括实际嵌入式设备模拟机配置信息和实际嵌入式设备模拟机运行信息；进行组件动态可信度量时首先在实际嵌入式设备模拟机内配置XEN虚拟机，XEN虚拟机位于实际嵌入式设备模拟机硬件层之上且操作系统之下；然后利用XEN虚拟机的超级调用机制，在组件请求页面调入内存运行之前，通过地址指针获取调入内存的页面；在XEN虚拟机执行权限检查后，执行该超级调用的处理函数；在处理函数中加入对组件进行度量的代码，使度量代码操作首先执行；最后利用度量代码中基于指定的度量方式实现组件当前内存快照的可信度量或风险监测。

8.根据权利要求7所述的智能电网嵌入式设备网络攻击诱捕方法，其特征在于：所述的D步骤中，安全分析服务器用于从平台配置属性、平台运行属性和用户认证属性进行多维度属性综合量化评估；

所述的平台配置属性度量通过对存储在硬件可信密码模块TPM相应平台配置寄存器PCRs中的各个组件完整性进行综合评价反映平台配置的可信任程度：首先基于实际嵌入式设备模拟机可信硬件模块TPM，以安全可信的方式获得实际嵌入式设备模拟机计算平台各个组件的完整性报告信息，包括PCR值和签名信息；然后安全分析服务器对完整性报告进行验证，得到PCR0,PCR1,…,PCRn-1对应组件的完整性信息，其中n为组件的个数；若得到的完整性验证失败的组件个数f，则完整性验证成功的组件个数为n-f；最后依据组件完整性与否的信息，计算平台配置信任度Ti：

本发明使用三元组{bS,dS,uS}表示完整性验证成功的组件可信情况，bS表示该组件未受恶意代码影响的可能性，dS表示该组件受恶意代码影响的可能性，uS表示该组件受恶意代码影响的不确定程度；

用三元组{bF,dF,uF}表示完整性验证失败的组件可信情况(完整性验证失败未必表示组件安全性受到威胁，例如软件版本升级等也会导致PCR值验证失败，却是无害的)，其中bF表示该组件对系统安全性造成破坏的可能性，dF表示该组件对系统安全性不会造成破坏的可能性，uF表示该组件对系统安全性是否造成破坏的不确定程度；

使用三元组表示平台配置信任度TI，TI＝{bI,dI,uI}；

$b_I=\mathrm{\&kappa;}\left(\frac{1}{n}\underset{i=1}{\overset{n-f}{\&Sigma;}}{b}_{Si}\right)+\frac{1}{n}\underset{j=1}{\overset{f}{\&Sigma;}}{b}_{Fj},$

$d_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\&Sigma;}}{d}_{Si}+\frac{1}{n}\underset{j=1}{\overset{f}{\&Sigma;}}{d}_{Fj}$

$u_I=\frac{1}{n}\underset{i=1}{\overset{n-f}{\&Sigma;}}{u}_{Si}+\frac{1}{n}\underset{j=1}{\overset{f}{\&Sigma;}}{u}_{Fj}$

其中，b_I表示平台完整性没有受到破坏的可能性；d_I表示平台完整性受到破坏的可能性；u_I表示平台完整性完好的不确定程度；κ为调整因子，一般取当f＝0时，κ＝1；f越大，κ越小，b_I越小，信任组件随着非信任组件的增多受影响越来越大，符合实际情况；当信任度或不信任度没有衰减时，u_S和u_F为0；

所述的平台运行属性度量通过将正常的网络通信事件作为肯定事件，肯定事件的累计数用r表示；将对网络的攻击事件和嗅探事件作为否定事件，否定事件的累计数用s表示；计算平台运行属性信任度T_H；

使用三元组表示平台运行属性信任度T_H，T_H＝{b_H,d_H,u_H}，

其中，b_H表示正常网络通信的可能性；

d_H表示非法网络通信事件的可能性；

u_H表正常网络通信的不确定程度；

所述的用户认证属性度量采用认证方法被攻破的概率来计算认证信任级，设一个攻击者成功攻破认证方法A并可以扮演成正常用户的事件发生的概率是P(A)，则该认证方法A的可信等级levelA＝-log(P(A))；若系统采取多因素认证方案，A1,A2,…Am，m为认证因素的数量，则该多因素认证法被攻破的条件是全部认证方法均被攻破，其概率为P(A1∩A2…∩Am)；假设用户U通过了多因素认证，那么U通过系统认证后取得的可信等级AU表示为：

AU＝-log(P(A1∩A2…∩Am))；

所述基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行多维度属性综合度量是在用户认证属性度量的基础上，对平台配置属性度量和平台运行属性度量的加权平均；设α_I,α_H分别为平台配置属性度量与平台运行属性度量的权重，α_I+α_H＝1，则实际嵌入式设备模拟机安全度量评估值T_P＝{b_P,d_P,u_P}为：

b_P＝α_Ib_I+α_Hb_H

d_P＝α_Id_I+α_Hd_H

u_P＝α_Iu_I+α_Hu_H；

其中，b_P表示实际嵌入式设备模拟机安全可信的可能性；d_P表示实际嵌入式设备模拟机非安全可信的可能性；u_P表示实际嵌入式设备模拟机安全可信的不确定程度。