CN110784476A - 一种基于虚拟化动态部署的电力监控主动防御方法及系统 - Google Patents
一种基于虚拟化动态部署的电力监控主动防御方法及系统 Download PDFInfo
- Publication number
- CN110784476A CN110784476A CN201911054239.6A CN201911054239A CN110784476A CN 110784476 A CN110784476 A CN 110784476A CN 201911054239 A CN201911054239 A CN 201911054239A CN 110784476 A CN110784476 A CN 110784476A
- Authority
- CN
- China
- Prior art keywords
- abnormal data
- data flow
- behavior
- virtual
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种基于虚拟化动态部署的电力监控主动防御方法及系统,包括(1)创建虚拟蜜网系统,模拟电力网络真实业务系统;(2)实时监测虚拟机状态,在监测到异常数据流时,进行蜜网诱捕,获取异常行为轨迹;(3)分析是否为恶意攻击行为,并进行阻断响应。本发明采用的蜜罐和沙箱技术的主动防御系统可以降低电力系统的真实业务网络被探测到的可能性,增加攻击者攻击的成本难度与时效,与电力系统中存在的被动防护措施进行有效的互补。
Description
技术领域
本申请属于网络信息安全技术领域,尤其是涉及一种基于虚拟化动态部署的电力监控主动防御方法及系统。
背景技术
随着电力系统信息化、智能化发展带来的网络边界模糊化,导致智能电网的安全风险逐步提高,使信息安全治理面临重大挑战。
电力监控系统与传统的工业控制系统相比,不允许出现过大的延迟和系统震荡,必须要及时发现各种网络威胁(包括未知威胁)来确保电力调度的精确、快速。主动防御技术能够有效解决电力信息网络安全中的问题,受到极大的关注。
目前,主动防御技术在学术界和工业界都取得一定的研究成果。学术界方面,文献[2]提出了基于网络安全态势感知的主动防御技术,通过转换网络端信息实现网络拓扑结构的动态随机改变,从而达到增加网络攻击难度和成本的目的。文献[3]提出了基于动态转化数据传输加密协议的主动防御技术,通过随机变换传输加密协议,获得比单一加密协议更好的扩展性和更高的安全性。文献[4]构建了基于虚拟化的主动防御平台,通过行为轨迹分析,取证发现攻击风险,并通过实验测试显示该主动防御平台有着较高的检测效率。
在工业界,早在20世纪90年代,国外的安全领域市场就已经开始着手研究主动防御技术了。2004年7月,欧洲最大的安全公司熊猫软件(Panda)公司宣布引进全新一代的防病毒技术—TruPrevent,该技术实现了对未知病毒和攻击的有效拦截和主动响应,从根本上改变了传统互联网安全防护机制。国内对于主动防御技术的研究虽然相对较晚,但比较主流的安全厂商早已对此项技术有所关注。东方微点公司凭借自主研发的新一代反病毒产品在主动防御领域取得了一定的国际地位[7]。2008年,微点公司总经理、反病毒安全专家刘旭提出了世界领先的“监控并举、动态保护”的防御体系[8]。瑞星杀毒软件是国内外最具实用价值的杀软产品,拥有六项核心技术,其中包括具有三层架构的主动防御系统。
上述主动防御技术都是通过让系统本身处于动态性异构冗余空间中不断变化,且仿真传统网络服务如HTTP,FTP,SMTP,SSH,没有对复杂电力系统的工业协议进行模拟仿真。
发明内容
本发明要解决的技术问题是:为解决现有技术中电力系统网络信息安全防御不够的问题,从而提供一种基于虚拟化动态部署的电力监控主动防御方法及系统。
本发明解决其技术问题所采用的技术方案是:
本发明的第一方面提供了一种基于虚拟化动态部署的电力监控主动防御方法,包括如下步骤:
步骤1,针对电力网络的真实业务系统部署虚拟蜜网系统,并对所述虚拟蜜网系统进行网络配置,使虚拟蜜网系统与电力网络的真实业务系统的网络配置一致,模拟具有漏洞的电力网络;
步骤2,创建知识库,所述知识库中存储有外部网络对电力网络的恶意攻击行为信息;
步骤3,实时监测虚拟蜜网系统中虚拟机的运行状态,当监测到有异常数据流时,将所述异常数据流与所述知识库中存储的已知恶意攻击行为信息进行比对分析,若判定该异常数据流属于恶意攻击行为,则直接进行阻断响应;否则,进入步骤4;
步骤4,通过虚拟蜜网系统对所述异常数据流进行诱捕,获取异常数据流在虚拟机中的行为轨迹;
步骤5,通过对所述行为轨迹的分析,识别所述异常数据流是否是恶意攻击行为,若是,则将所述恶意攻击行为的攻击信息写入知识库,并进行阻断响应,否则,通过虚拟重定向,将监测到的异常数据流重新调度到电力网络的真实业务系统中。
进一步地,根据本申请第一方面提供的电力监控主动防御方法,所述主动防御方法创建了云沙箱,通过构建沙箱环境,使得恶意软件或APT在一个封闭环境中执行,并对所述恶意软件或APT进行深度分析,判定是否属于恶意攻击行为。
进一步地,根据本申请第一方面提供的电力监控主动防御方法,步骤5中,进一步采用交叉验证的方式,判定异常数据流是否属于恶意攻击行为。
本申请第二方面提供了一种基于虚拟化动态部署的电力监控主动防御系统,包括:
云平台子系统,用于针对电力网络的真实业务系统部署虚拟蜜网系统,对所述虚拟蜜网系统进行网络配置,使虚拟蜜网系统与电力网络的真实业务系统的网络配置一致;同时,实时监测虚拟蜜网系统中虚拟机的运行状态,并在监测到异常数据流量后,及时通知所述威胁分析防护子系统;
威胁分析防护子系统,用于创建存储有已知恶意攻击行为信息的知识库,并实时监测虚拟蜜网系统中虚拟机的运行状态,当监测到异常数据流时,将所述异常数据流与所述知识库中存储的已知恶意攻击行为信息进行比对分析,若判定该异常数据流属于恶意攻击行为,则直接进行阻断响应;否则,通过虚拟蜜网系统进行诱捕,获取异常数据流的行为轨迹,识别所述异常数据流量是否属于恶意攻击行为,若属于,则将所述恶意攻击行为的攻击信息写入知识库,并进行阻断响应;否则,将监测到的异常数据流调度到电力网络的真实业务系统中。
进一步地,根据本申请第二方面提供的电力监控主动防御系统,所述云平台子系统包括:
蜜罐状态监控模块,用于实时监测虚拟云蜜网系统中虚拟机的运行状态,当监测到异常数据流时,及时通知威胁分析防护子系统,并记录恶意行为信息;
蜜网快速部署模块,用于快速部署虚拟蜜网系统,并对所述虚拟蜜网系统进行网络配置,使虚拟蜜网系统与电力网络的真实业务系统的网络配置一致。
进一步地,根据本申请第二方面提供的电力监控主动防御系统,所述威胁分析防护子系统包括:
知识库模块,用于创建知识库,所述知识库用于存储恶意攻击行为信息;
行为捕获模块,用于捕获所述异常数据流在虚拟蜜网系统虚拟机中的行为轨迹,并记录;
数据分析模块,用于将虚拟机中监测到的所述异常数据流与所述知识库中存储的已知恶意攻击行为信息进行比对分析,若判定该异常数据流属于恶意攻击行为,则直接进行阻断响应;同时,将所述行为捕获模块得到的行为轨迹进行综合分析,并当判定属于恶意攻击行为时,进行阻断响应。
进一步地,根据本申请第二方面提供的电力监控主动防御系统,所述电力监控主动防御系统还包括业务管理子系统,所述业务管理子系统包括:
云蜜网管理模块,用于对云蜜网系统中的蜜罐类型、蜜罐部署数量、网络场景、实时数据展示、历史趋势分析、分析报告、蜜罐分组、用户分组等内容进行管理;
云沙箱管理模块,用于对沙箱类型、沙箱部署数量、沙箱运行日志、分析报告等内容进行管理。
进一步地,根据本申请第二方面提供的电力监控主动防御系统,所述电力监控主动防御系统还包括物理资源层,所述物理资源层包括存储模块、计算模块,以及虚拟机软件平台Xen,所述物理资源层用于为所述电力监控主动防御系统提供物理硬件资源,为所述云平台子系统的运行提供物理平台。
进一步地,根据本申请第二方面提供的电力监控主动防御系统,所述知识库用于存储恶意攻击行为的数据信息,所述知识库包括恶意行为指纹库、敏感组织指纹库、威胁分类和评分标准、恶意行为四级评价体系以及分析报告自动生成引擎。
进一步地,根据本申请第二方面提供的电力监控主动防御系统,所述云平台子系统还包括资源动态调度模块,用于增量镜像文件的管理和调度。
本发明的有益效果是:本发明采用动态虚拟化技术构建分布式云蜜网和云沙箱来模拟具有漏洞的电力网络,从而吸引并诱骗攻击者进入。通过入侵特征的提取,记录其攻击轨迹,并利用主动防御数据分析技术解析攻击轨迹,进一步了解攻击者意图、手段和方法等信息,提高电力网络的安全保障能力。
另一方面,本发明采用的蜜罐和沙箱技术的主动防御系统可以降低电力系统的真实业务网络被探测到的可能性,增加攻击者攻击的成本难度与时效,与电力系统中存在的被动防护措施进行有效的互补。
附图说明
下面结合附图和实施例对本申请的技术方案进一步说明。
图1是本申请实施例的方法流程图;
图2是本申请实施例的系统架构图;
图3是本申请实施例的数据分析模块工作流程图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
下面将参考附图并结合实施例来详细说明本申请的技术方案。
本发明通过设置虚拟网络系统来进行主动防御,该虚拟网络系统包含有与电力网络的真实网络系统相同数目、相同种类主机的局域网,该虚拟网络系统通过采用蜜罐技术,将自身伪装成电力网络的真实业务系统,模拟电力网络,实现对网络环境的动态构建和虚拟,保护电力网络的底层系统,实现主动防御。其中,电力网络的真实业务系统是由包含客户机、网关,以及提供web服务或文件服务的各个服务器在内的所有主机组成的局域网。
本发明采用的蜜罐和沙箱技术的主动防御系统可以降低电力系统的真实业务网络被探测到的可能性,增加攻击者攻击的成本难度与时效,与电力系统中存在的被动防护措施进行有效的互补。
实施例1:
本实施例提供了一种基于虚拟化动态部署的电力监控主动防御方法,如图1所示,包括如下步骤:
步骤1,部署虚拟蜜网系统
针对电力网络的真实业务系统部署虚拟蜜网系统,并对所述虚拟蜜网系统进行网络配置,使虚拟蜜网系统与电力网络的真实业务系统的网络配置一致,模拟具有漏洞的电力网络。
步骤2,创建知识库
创建知识库,所述知识库中存储有外部网络对电力网络的恶意攻击行为信息。
步骤3,蜜网诱捕
如果有异常数据流访问真实业务系统,由于部署的虚拟蜜网系统足够真实地模拟电力网络的业务系统,可以吸引并诱骗攻击者攻击已部署的虚拟机。
实时监控虚拟蜜网系统中虚拟机的运行状态,当监测到异常数据流时,根据所构建的知识库,将所述异常数据流与知识库中存储的已知恶意攻击行为信息进行比对分析,若判定该异常数据流属于已知的恶意攻击行为,则直接进行阻断响应;否则异常数据流会被虚拟蜜网系统诱捕,进一步进行监控并记录。
步骤4,行为捕获、识别
获取异常数据流在虚拟机中的行为轨迹,并对所述行为轨迹进行综合分析:若分析判定异常数据流在虚拟机中的行为是外部网络发起的已知恶意攻击行为,则发出阻断响应,并反馈至知识库中,供下一次实时判定;若判定是正常行为,则进行虚拟重定向,将监测到的异常数据流重新定向到电力网络的真实业务系统中。
作为进一步地实施方案,对于未知的异常数据流,可以采用交叉验证的方式进做进一步地分析判断,判断此次异常行为是否真的是恶意攻击行为,还是检测失误,使得用户行为的判定更为准确。
在更进一步地实施方式中,本实施例还构建了云沙箱,通过构建沙箱环境,使得恶意软件或APT(高级持续性威胁)能在一个封闭环境中执行,并对其进行深度分析,判定是否属于恶意攻击行为。
云沙箱主要是为了能够辅助判断并深度剖析一些恶意代码(比如APT代码)。部署云沙箱虚拟机允许恶意软件安装并运行以供观察其恶意行为;而蜜罐和蜜网则主要模拟一些系统协议,更关注分析外部攻击者会在自以为已被渗透的网络上干些什么,获得行为轨迹。
实施例2:
本实施例提供了一种基于虚拟化动态部署的电力监控主动防御系统,本实施例通过构建分布式云蜜网和云沙箱来模拟具有漏洞的电力网络,本实施例采用分层式体系构架进行设计,包括:
(1)业务管理子系统:
业务管理子系统包括云蜜网管理模块和云沙箱管理模块,其中,云蜜网管理模块用于对仿真模拟的蜜罐类型、蜜罐部署数量、网络场景、实时数据展示、历史趋势分析、分析报告、蜜罐分组、用户分组等内容进行管理;
云沙箱管理模块用于对沙箱类型、沙箱部署数量、沙箱运行日志、分析报告等内容进行管理。
(2)威胁分析防护子系统:
威胁分析防护子系统是主动防御的关键,用于识别外部网络发起的恶意攻击行为,并对恶意攻击行为进行阻断响应。威胁分析防护子系统包括:
所述知识库模块,用于创建知识库,所述知识库用于存储恶意攻击行为信息;
所述行为捕获模块,用于捕获所述异常数据流在虚拟蜜网系统虚拟机中的行为轨迹,并记录;
所述数据分析模块,用于将虚拟机中监测到的所述异常数据流与所述知识库中存储的已知恶意攻击行为信息进行比对分析,若判定该异常数据流属于恶意攻击行为,则直接进行阻断响应;同时,将所述行为捕获模块得到的行为轨迹进行综合分析,并当判定属于恶意攻击行为时,进行阻断响应。
所述蜜罐管理模块,负责接收业务管理子系统的相关虚拟机部署参数,并对这些参数进行解析,传送至云平台子系统,同时管理虚拟蜜网系统中各个虚拟机的运行状态,用户根据个人需求可随时启动、关闭、销毁虚拟机。
如图3所示,数据分析模块的具体工作过程如下:
当电力网络有异常数据流访问时,系统管理员通过查询知识库存储的恶意攻击行为数据信息进行初步分析,若判定外部网络行为属于对电力网络的恶意攻击行为,则直接进行阻断响应;
若系统管理员初步无法判定是否属于恶意攻击行为,则将异常数据流调度到虚拟蜜网系统,利用虚拟蜜网系统对异常数据流进行伪装诱捕,捕获外部网络行为,并通过数据分析,若判定外部网络行为属于恶意攻击行为,则将分析出的攻击者的攻击信息写入知识库,并通知电力网络进行阻断响应;若分析结果属于正常行为,则进行虚拟重定向,将监测到的异常数据流重新定向到电力网络的真实业务系统中。其中,攻击者的攻击信息包括攻击者的特征信息和攻击行为信息。
本实施例的知识库包含恶意行为指纹库、敏感组织指纹库、威胁分类和评分标准、恶意行为四级评价体系以及分析报告自动生成引擎。
本实施例进一步地构建了云沙箱,例如可以构建Cuckoo沙箱,Cuckoo沙箱是基于虚拟化环境所建立的恶意程序分析系统,它能自动执行并且分析程序行为,记录对真实操作系统的更改,并生成多种分析报告格式。通过构建沙箱环境,使得恶意软件或APT(高级持续性威胁)能在一个封闭环境中执行,并对其进行深度分析,判定是否属于恶意攻击行为。
(3)云平台子系统:
云平台子系统,用于部署虚拟蜜网系统,对虚拟蜜网系统进行网络配置,实时监测虚拟蜜网系统中虚拟机的运行状态,并在监测到虚拟机有异常数据流量后,及时通知威胁分析防护子系统,云平台子系统包括:
蜜罐状态监控模块,用于实时监测虚拟云蜜网系统中虚拟机的运行状态,当监测到异常数据流时,及时通知威胁分析防护子系统,并记录恶意行为信息;蜜网快速部署模块,用于快速部署虚拟蜜网系统,并对所述虚拟蜜网系统进行网络配置,使虚拟蜜网系统与电力网络的真实业务系统的网络配置一致。当主动防御系统需要模拟大规模网络时,如果没有合理的资源调度引擎,则会出现拥塞等问题,影响系统性能,因此,作为进一步优化的实施方案,本实施例的云平台子系统设置了资源动态调度模块,所述资源动态调度模块,负责蜜网的所有增量镜像文件的管理和调度,增量镜像就是基本镜像的副本,拥有和基本镜像一样的环境。
(4)物理资源层:
物理资源层主要包括各种存储、计算等资源,以及系统所依赖的虚拟机软件平台Xen,用以存储资源用户、保存虚拟机镜像模板等。
物理资源层用于为所述电力监控主动防御系统提供物理硬件资源,为所述云平台子系统的运行提供物理平台。
本发明通过动态虚拟化部署技术,设计了一种电力监控主动防御系统。该系统具备未知威胁检测、发现能力以及事件驱动的应急响应流程。对于电力监控网络的关键设备、系统、应用、服务提供“影子”保护功能,降低真实业务系统被网络探测到的可能,增加攻击者攻击的成本难度与时效,与电力网络中存在的被动防护措施进行有效的互补。
以上述依据本申请的理想实施例为启示,通过上述的说明内容,相关工作人员完全可以在不偏离本项申请技术思想的范围内,进行多样的变更以及修改。本项申请的技术性范围并不局限于说明书上的内容,必须要根据权利要求范围来确定其技术性范围。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
Claims (10)
1.一种基于虚拟化动态部署的电力监控主动防御方法,其特征在于,包括如下步骤:
步骤1,针对电力网络的真实业务系统部署虚拟蜜网系统,并对所述虚拟蜜网系统进行网络配置,使虚拟蜜网系统与电力网络的真实业务系统的网络配置一致,模拟具有漏洞的电力网络;
步骤2,创建知识库,所述知识库中存储有外部网络对电力网络的恶意攻击行为信息;
步骤3,实时监测虚拟蜜网系统中虚拟机的运行状态,当监测到有异常数据流时,将所述异常数据流与所述知识库中存储的已知恶意攻击行为信息进行比对分析,若判定该异常数据流属于恶意攻击行为,则直接进行阻断响应;否则,进入步骤4;
步骤4,通过虚拟蜜网系统对所述异常数据流进行诱捕,获取异常数据流在虚拟机中的行为轨迹;
步骤5,通过对所述行为轨迹的分析,识别所述异常数据流是否是恶意攻击行为,若是,则将所述恶意攻击行为的攻击信息写入知识库,并进行阻断响应,否则,通过虚拟重定向,将监测到的异常数据流重新调度到电力网络的真实业务系统中。
2.根据权利要求1所述的电力监控主动防御方法,其特征在于,所述主动防御方法创建了云沙箱,通过构建沙箱环境,使得恶意软件或APT在一个封闭环境中执行,并对所述恶意软件或APT进行深度分析,判定是否属于恶意攻击行为。
3.根据权利要求1所述的电力监控主动防御方法,其特征在于,步骤5中,进一步采用交叉验证的方式,判定异常数据流是否属于恶意攻击行为。
4.一种基于虚拟化动态部署的电力监控主动防御系统,其特征在于,包括:
云平台子系统,用于针对电力网络的真实业务系统部署虚拟蜜网系统,对所述虚拟蜜网系统进行网络配置,使虚拟蜜网系统与电力网络的真实业务系统的网络配置一致;同时,实时监测虚拟蜜网系统中虚拟机的运行状态,并在监测到异常数据流量后,及时通知所述威胁分析防护子系统;
威胁分析防护子系统,用于创建存储有已知恶意攻击行为信息的知识库,并实时监测虚拟蜜网系统中虚拟机的运行状态,当监测到异常数据流时,将所述异常数据流与所述知识库中存储的已知恶意攻击行为信息进行比对分析,若判定该异常数据流属于恶意攻击行为,则直接进行阻断响应;否则,通过虚拟蜜网系统进行诱捕,获取异常数据流的行为轨迹,识别所述异常数据流量是否属于恶意攻击行为,若属于,则将所述恶意攻击行为的攻击信息写入知识库,并进行阻断响应;否则,将监测到的异常数据流调度到电力网络的真实业务系统中。
5.根据权利要求4所述的基于虚拟化动态部署的电力监控主动防御系统,其特征在于,所述云平台子系统包括:
蜜罐状态监控模块,用于实时监测虚拟云蜜网系统中虚拟机的运行状态,当监测到异常数据流时,及时通知威胁分析防护子系统,并记录恶意行为信息;
蜜网快速部署模块,用于快速部署虚拟蜜网系统,并对所述虚拟蜜网系统进行网络配置,使虚拟蜜网系统与电力网络的真实业务系统的网络配置一致。
6.根据权利要求5所述的基于虚拟化动态部署的电力监控主动防御系统,其特征在于,所述威胁分析防护子系统包括:
知识库模块,用于创建知识库,所述知识库用于存储恶意攻击行为信息;
行为捕获模块,用于捕获所述异常数据流在虚拟蜜网系统虚拟机中的行为轨迹,并记录;
数据分析模块,用于将虚拟机中监测到的所述异常数据流与所述知识库中存储的已知恶意攻击行为信息进行比对分析,若判定该异常数据流属于恶意攻击行为,则直接进行阻断响应;同时,将所述行为捕获模块得到的行为轨迹进行综合分析,并当判定属于恶意攻击行为时,进行阻断响应。
7.根据权利要求4所述的基于虚拟化动态部署的电力监控主动防御系统,其特征在于,所述电力监控主动防御系统还包括业务管理子系统,所述业务管理子系统包括:
云蜜网管理模块,用于对云蜜网系统中的蜜罐类型、蜜罐部署数量、网络场景、实时数据展示、历史趋势分析、分析报告、蜜罐分组、用户分组等内容进行管理;
云沙箱管理模块,用于对沙箱类型、沙箱部署数量、沙箱运行日志、分析报告等内容进行管理。
8.根据权利要求4所述的基于虚拟化动态部署的电力监控主动防御系统,其特征在于,所述电力监控主动防御系统还包括物理资源层,所述物理资源层包括存储资源、计算资源,以及虚拟机软件平台Xen,所述物理资源层用于为所述电力监控主动防御系统提供物理硬件资源,为所述云平台子系统的运行提供物理平台。
9.根据权利要求6所述的基于虚拟化动态部署的电力监控主动防御系统,其特征在于,所述知识库包括恶意行为指纹库、敏感组织指纹库、威胁分类和评分标准、恶意行为四级评价体系以及分析报告自动生成引擎。
10.根据权利要求5所述的基于虚拟化动态部署的电力监控主动防御系统,其特征在于,所述云平台子系统还包括资源动态调度模块,用于增量镜像文件的管理和调度。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911054239.6A CN110784476A (zh) | 2019-10-31 | 2019-10-31 | 一种基于虚拟化动态部署的电力监控主动防御方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911054239.6A CN110784476A (zh) | 2019-10-31 | 2019-10-31 | 一种基于虚拟化动态部署的电力监控主动防御方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110784476A true CN110784476A (zh) | 2020-02-11 |
Family
ID=69388213
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911054239.6A Pending CN110784476A (zh) | 2019-10-31 | 2019-10-31 | 一种基于虚拟化动态部署的电力监控主动防御方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110784476A (zh) |
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111935185A (zh) * | 2020-10-09 | 2020-11-13 | 北京元支点信息安全技术有限公司 | 基于云计算构建大规模诱捕场景的方法及系统 |
| CN111953685A (zh) * | 2020-08-12 | 2020-11-17 | 珠海市鸿瑞信息技术股份有限公司 | 一种动态电力监控网络安全分析系统 |
| CN112115468A (zh) * | 2020-09-07 | 2020-12-22 | 沈建锋 | 基于大数据和云计算的业务信息检测方法及云计算中心 |
| CN112187825A (zh) * | 2020-10-13 | 2021-01-05 | 网络通信与安全紫金山实验室 | 一种基于拟态防御的蜜罐防御方法、系统、设备及介质 |
| CN112350848A (zh) * | 2020-06-11 | 2021-02-09 | 广州锦行网络科技有限公司 | 一种可视化动态蜜网自定义拓扑部署方法 |
| CN112578761A (zh) * | 2021-02-03 | 2021-03-30 | 山东云天安全技术有限公司 | 一种工业控制蜜罐安全防护装置及方法 |
| CN112822291A (zh) * | 2021-02-07 | 2021-05-18 | 国网福建省电力有限公司电力科学研究院 | 一种工控设备的监测方法与装置 |
| CN112948821A (zh) * | 2021-04-10 | 2021-06-11 | 北京国联易安信息技术有限公司 | 一种apt检测预警方法 |
| CN113037567A (zh) * | 2021-04-01 | 2021-06-25 | 国网河北省电力有限公司电力科学研究院 | 一种用于电网企业的网络攻击行为仿真系统及其仿真方法 |
| CN113051583A (zh) * | 2021-04-30 | 2021-06-29 | 中国银行股份有限公司 | 漏洞的防御方法及系统 |
| CN113067840A (zh) * | 2021-06-03 | 2021-07-02 | 江苏天翼安全技术有限公司 | 一种云化插件式漏洞响应的蜜网架构实现方法 |
| CN113612783A (zh) * | 2021-08-09 | 2021-11-05 | 杭州安恒信息安全技术有限公司 | 一种蜜罐防护系统 |
| CN113642005A (zh) * | 2021-08-17 | 2021-11-12 | 安天科技集团股份有限公司 | 安全防护产品的防御性评估方法、装置、设备及介质 |
| CN113794674A (zh) * | 2021-03-09 | 2021-12-14 | 北京沃东天骏信息技术有限公司 | 用于检测邮件的方法、装置和系统 |
| CN113949579A (zh) * | 2021-10-20 | 2022-01-18 | 安天科技集团股份有限公司 | 网站攻击防御方法、装置、计算机设备及存储介质 |
| CN114363093A (zh) * | 2022-03-17 | 2022-04-15 | 浙江君同智能科技有限责任公司 | 一种基于深度强化学习的蜜罐部署主动防御方法 |
| CN114374535A (zh) * | 2021-12-09 | 2022-04-19 | 北京和利时系统工程有限公司 | 一种基于虚拟化技术的控制器网络攻击防御方法与系统 |
| CN114462023A (zh) * | 2022-01-21 | 2022-05-10 | 内蒙古工业大学 | 一种用于发电厂控制系统的蜜罐防御控制方法及装置 |
| CN114513372A (zh) * | 2022-04-20 | 2022-05-17 | 中科星启(北京)科技有限公司 | 基于宿主的拟态威胁感知预警方法及系统 |
| CN114884744A (zh) * | 2022-06-07 | 2022-08-09 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 一种攻击行为的分析方法及电子设备 |
| CN114925363A (zh) * | 2022-05-12 | 2022-08-19 | 丝路信息港云计算科技有限公司 | 基于递归神经网络的云在线恶意软件检测方法 |
| CN115242466A (zh) * | 2022-07-04 | 2022-10-25 | 北京华圣龙源科技有限公司 | 一种基于高仿真虚拟环境的入侵主动诱捕系统和方法 |
| CN115460002A (zh) * | 2022-09-13 | 2022-12-09 | 北京天融信网络安全技术有限公司 | 一种蜜网动态部署方法及系统 |
| CN115664855A (zh) * | 2022-12-22 | 2023-01-31 | 北京市大数据中心 | 网络攻击的防御方法、电子设备、计算机可读介质 |
| CN116192495A (zh) * | 2023-02-15 | 2023-05-30 | 国核自仪系统工程有限公司 | 电力监控系统蜜场的设计方法、系统、设备和介质 |
| CN115460002B (zh) * | 2022-09-13 | 2024-07-05 | 北京天融信网络安全技术有限公司 | 一种蜜网动态部署方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104410617A (zh) * | 2014-11-21 | 2015-03-11 | 西安邮电大学 | 一种云平台的信息安全攻防体系架构 |
| CN107370756A (zh) * | 2017-08-25 | 2017-11-21 | 北京神州绿盟信息安全科技股份有限公司 | 一种蜜网防护方法及系统 |
| CN109889488A (zh) * | 2018-12-29 | 2019-06-14 | 江苏博智软件科技股份有限公司 | 一种基于云部署的工控网络蜜网安全防护系统 |
| CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
-
2019
- 2019-10-31 CN CN201911054239.6A patent/CN110784476A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104410617A (zh) * | 2014-11-21 | 2015-03-11 | 西安邮电大学 | 一种云平台的信息安全攻防体系架构 |
| CN107370756A (zh) * | 2017-08-25 | 2017-11-21 | 北京神州绿盟信息安全科技股份有限公司 | 一种蜜网防护方法及系统 |
| CN109889488A (zh) * | 2018-12-29 | 2019-06-14 | 江苏博智软件科技股份有限公司 | 一种基于云部署的工控网络蜜网安全防护系统 |
| CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
Non-Patent Citations (1)
| Title |
|---|
| 董玲: "基于虚拟化平台的主动防御技术研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112350848A (zh) * | 2020-06-11 | 2021-02-09 | 广州锦行网络科技有限公司 | 一种可视化动态蜜网自定义拓扑部署方法 |
| CN112350848B (zh) * | 2020-06-11 | 2021-09-21 | 广州锦行网络科技有限公司 | 一种可视化动态蜜网自定义拓扑部署方法 |
| CN111953685B (zh) * | 2020-08-12 | 2022-12-13 | 珠海市鸿瑞信息技术股份有限公司 | 一种动态电力监控网络安全分析系统 |
| CN111953685A (zh) * | 2020-08-12 | 2020-11-17 | 珠海市鸿瑞信息技术股份有限公司 | 一种动态电力监控网络安全分析系统 |
| CN112115468A (zh) * | 2020-09-07 | 2020-12-22 | 沈建锋 | 基于大数据和云计算的业务信息检测方法及云计算中心 |
| CN112115468B (zh) * | 2020-09-07 | 2021-04-02 | 深圳市瑞冠信息科技有限公司 | 基于大数据和云计算的业务信息检测方法及云计算中心 |
| CN111935185A (zh) * | 2020-10-09 | 2020-11-13 | 北京元支点信息安全技术有限公司 | 基于云计算构建大规模诱捕场景的方法及系统 |
| CN112187825A (zh) * | 2020-10-13 | 2021-01-05 | 网络通信与安全紫金山实验室 | 一种基于拟态防御的蜜罐防御方法、系统、设备及介质 |
| CN112187825B (zh) * | 2020-10-13 | 2022-08-02 | 网络通信与安全紫金山实验室 | 一种基于拟态防御的蜜罐防御方法、系统、设备及介质 |
| CN112578761A (zh) * | 2021-02-03 | 2021-03-30 | 山东云天安全技术有限公司 | 一种工业控制蜜罐安全防护装置及方法 |
| CN112822291A (zh) * | 2021-02-07 | 2021-05-18 | 国网福建省电力有限公司电力科学研究院 | 一种工控设备的监测方法与装置 |
| CN113794674A (zh) * | 2021-03-09 | 2021-12-14 | 北京沃东天骏信息技术有限公司 | 用于检测邮件的方法、装置和系统 |
| CN113794674B (zh) * | 2021-03-09 | 2024-04-09 | 北京沃东天骏信息技术有限公司 | 用于检测邮件的方法、装置和系统 |
| CN113037567A (zh) * | 2021-04-01 | 2021-06-25 | 国网河北省电力有限公司电力科学研究院 | 一种用于电网企业的网络攻击行为仿真系统及其仿真方法 |
| CN113037567B (zh) * | 2021-04-01 | 2022-01-11 | 国网河北省电力有限公司电力科学研究院 | 一种用于电网企业的网络攻击行为仿真系统的仿真方法 |
| CN112948821A (zh) * | 2021-04-10 | 2021-06-11 | 北京国联易安信息技术有限公司 | 一种apt检测预警方法 |
| CN113051583A (zh) * | 2021-04-30 | 2021-06-29 | 中国银行股份有限公司 | 漏洞的防御方法及系统 |
| CN113067840B (zh) * | 2021-06-03 | 2021-08-24 | 江苏天翼安全技术有限公司 | 一种云化插件式漏洞响应的蜜网架构实现方法 |
| CN113067840A (zh) * | 2021-06-03 | 2021-07-02 | 江苏天翼安全技术有限公司 | 一种云化插件式漏洞响应的蜜网架构实现方法 |
| CN113612783A (zh) * | 2021-08-09 | 2021-11-05 | 杭州安恒信息安全技术有限公司 | 一种蜜罐防护系统 |
| CN113612783B (zh) * | 2021-08-09 | 2023-05-19 | 杭州安恒信息安全技术有限公司 | 一种蜜罐防护系统 |
| CN113642005A (zh) * | 2021-08-17 | 2021-11-12 | 安天科技集团股份有限公司 | 安全防护产品的防御性评估方法、装置、设备及介质 |
| CN113642005B (zh) * | 2021-08-17 | 2023-07-21 | 安天科技集团股份有限公司 | 安全防护产品的防御性评估方法、装置、设备及介质 |
| CN113949579A (zh) * | 2021-10-20 | 2022-01-18 | 安天科技集团股份有限公司 | 网站攻击防御方法、装置、计算机设备及存储介质 |
| CN113949579B (zh) * | 2021-10-20 | 2024-04-30 | 安天科技集团股份有限公司 | 网站攻击防御方法、装置、计算机设备及存储介质 |
| CN114374535A (zh) * | 2021-12-09 | 2022-04-19 | 北京和利时系统工程有限公司 | 一种基于虚拟化技术的控制器网络攻击防御方法与系统 |
| CN114374535B (zh) * | 2021-12-09 | 2024-01-23 | 北京和利时系统工程有限公司 | 一种基于虚拟化技术的控制器网络攻击防御方法与系统 |
| CN114462023A (zh) * | 2022-01-21 | 2022-05-10 | 内蒙古工业大学 | 一种用于发电厂控制系统的蜜罐防御控制方法及装置 |
| CN114363093A (zh) * | 2022-03-17 | 2022-04-15 | 浙江君同智能科技有限责任公司 | 一种基于深度强化学习的蜜罐部署主动防御方法 |
| CN114513372A (zh) * | 2022-04-20 | 2022-05-17 | 中科星启(北京)科技有限公司 | 基于宿主的拟态威胁感知预警方法及系统 |
| CN114513372B (zh) * | 2022-04-20 | 2022-06-28 | 中科星启(北京)科技有限公司 | 基于宿主的拟态威胁感知预警方法及系统 |
| CN114925363A (zh) * | 2022-05-12 | 2022-08-19 | 丝路信息港云计算科技有限公司 | 基于递归神经网络的云在线恶意软件检测方法 |
| CN114925363B (zh) * | 2022-05-12 | 2023-05-19 | 丝路信息港云计算科技有限公司 | 基于递归神经网络的云在线恶意软件检测方法 |
| CN114884744A (zh) * | 2022-06-07 | 2022-08-09 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 一种攻击行为的分析方法及电子设备 |
| CN115242466A (zh) * | 2022-07-04 | 2022-10-25 | 北京华圣龙源科技有限公司 | 一种基于高仿真虚拟环境的入侵主动诱捕系统和方法 |
| CN115460002A (zh) * | 2022-09-13 | 2022-12-09 | 北京天融信网络安全技术有限公司 | 一种蜜网动态部署方法及系统 |
| CN115460002B (zh) * | 2022-09-13 | 2024-07-05 | 北京天融信网络安全技术有限公司 | 一种蜜网动态部署方法及系统 |
| CN115664855A (zh) * | 2022-12-22 | 2023-01-31 | 北京市大数据中心 | 网络攻击的防御方法、电子设备、计算机可读介质 |
| CN116192495A (zh) * | 2023-02-15 | 2023-05-30 | 国核自仪系统工程有限公司 | 电力监控系统蜜场的设计方法、系统、设备和介质 |
| CN116192495B (zh) * | 2023-02-15 | 2023-11-10 | 国核自仪系统工程有限公司 | 电力监控系统蜜场的设计方法、系统、设备和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110784476A (zh) | 一种基于虚拟化动态部署的电力监控主动防御方法及系统 | |
| US10574685B2 (en) | Synthetic cyber-risk model for vulnerability determination | |
| Zhang et al. | An IoT honeynet based on multiport honeypots for capturing IoT attacks | |
| CN113422771A (zh) | 威胁预警方法和系统 | |
| CN103679026A (zh) | 一种云计算环境下的恶意程序智能防御系统及防御方法 | |
| Bou-Harb et al. | Big data behavioral analytics meet graph theory: on effective botnet takedowns | |
| CN106650425B (zh) | 一种安全沙箱的控制方法及装置 | |
| Mudgerikar et al. | Edge-based intrusion detection for IoT devices | |
| Gnatyuk et al. | Studies on Cloud-based Cyber Incidents Detection and Identification in Critical Infrastructure. | |
| Cao et al. | Learning state machines to monitor and detect anomalies on a kubernetes cluster | |
| Sivamohan et al. | Efficient Multi-platform Honeypot for Capturing Real-time Cyber Attacks | |
| Pitropakis et al. | Till all are one: Towards a unified cloud IDS | |
| Burji et al. | Malware analysis using reverse engineering and data mining tools | |
| Kanaker et al. | Trojan Horse Infection Detection in Cloud Based Environment Using Machine Learning. | |
| Kachare et al. | Sandbox environment for real time malware analysis of IoT devices | |
| Zammit | A machine learning based approach for intrusion prevention using honeypot interaction patterns as training data | |
| Liu et al. | Detecting data exploits using low-level hardware information: A short time series approach | |
| Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
| Tan et al. | Attack provenance tracing in cyberspace: Solutions, challenges and future directions | |
| Luo et al. | Security of HPC systems: From a log-analyzing perspective | |
| Vu et al. | A real-time evaluation framework for machine learning-based ids | |
| Verma et al. | Uncovering collateral damages and advanced defense strategies in cloud environments against DDoS attacks: A comprehensive review | |
| Veetil et al. | Real-time network intrusion detection using Hadoop-based Bayesian classifier | |
| Demoulin et al. | Automated detection and mitigation of application-level asymmetric DoS attacks | |
| Hong et al. | Shock Trap: An active defense architecture based on trap vulnerabilities |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200211 |
|
| RJ01 | Rejection of invention patent application after publication |