CN114915493A - 一种基于电力监控系统网络攻击的诱捕部署方法 - Google Patents

一种基于电力监控系统网络攻击的诱捕部署方法 Download PDF

Info

Publication number
CN114915493A
CN114915493A CN202210713153.5A CN202210713153A CN114915493A CN 114915493 A CN114915493 A CN 114915493A CN 202210713153 A CN202210713153 A CN 202210713153A CN 114915493 A CN114915493 A CN 114915493A
Authority
CN
China
Prior art keywords
module
attack
honeypot
power monitoring
trapping
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210713153.5A
Other languages
English (en)
Inventor
韩校
蒋亚坤
苏扬
吴金宇
李晓耕
王彬筌
林旭
刘问宇
何馨
蒋渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yunnan Power Grid Co Ltd
Original Assignee
Yunnan Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yunnan Power Grid Co Ltd filed Critical Yunnan Power Grid Co Ltd
Priority to CN202210713153.5A priority Critical patent/CN114915493A/zh
Publication of CN114915493A publication Critical patent/CN114915493A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Alarm Systems (AREA)

Abstract

本发明公开了一种基于电力监控系统网络攻击的诱捕部署方法包括:基于蜜罐技术搭建电力监控系统网络蜜罐系统;基于所述蜜罐系统设计诱饵,蜜罐之间通过诱饵相互关联形成蜜网;对系统捕获到的攻击事件分析、溯源,实时监控危险节点并形成系统告警。本发明提供基于电力监控系统网络攻击的诱捕部署的方法,在攻击者经常使用的信息源中,掺杂由蜜罐技术实现的伪装信息,诱导攻击者在准备阶段收集到错误信息,将攻击目标对准蜜罐。本发明支持数据推送实现消息联动,可以将蜜罐平台所记录的黑客威胁数据字段根据需要推送到其它安全可视化平台上,能提供足够的威胁情报数据分析的来源日志,实现与其他第三方设备联动的优势,及时发现攻击并报警。

Description

一种基于电力监控系统网络攻击的诱捕部署方法
技术领域
本发明涉及网络蜜罐技术领域,具体为一种基于电力监控系统网络攻击的诱捕部署方法。
背景技术
在计算机安全方面,网络蜜罐是为黑客设下的诱饵。这是一种具有牺牲性质的计算机系统,旨在吸引网络攻击,就像诱饵一样。它模仿黑客的目标,利用黑客的入侵企图来获取网络犯罪分子的信息以及他们的行动方式,或者将他们从其他目标上引开。蜜罐技术已经成为重大保障期间的必选项之一,当攻防对抗高度集中,防守方需要在这期间维持一个长时间的高水准防守水平,才能避免被攻击者突破防线,蜜罐的欺骗伪装特性,让其在重大活动保障期间逐渐成为防守方的有效手段。
目前散点式部署的各类蜜罐应用,由于蜜罐类型多样,包括ssh攻击、HTTP 攻击、RDP等多类型蜜罐,其接口规范不一,无法对数据进行集中采集分析和展示,基于这个现状,急需针对电力监控系统的网络安全攻击诱捕需求,调研现有蜜罐的数据接口规范,开展多种类型网络安全统一建模技术,为后续蜜罐诱捕分析打下坚实基础,同时,结合网络攻击最新的攻击特征以及蜜罐的诱捕特征,可对本项目研发或者部署蜜罐的运行状态,网络安全诱捕情况等数据进行可视化监测,支持对各种攻击类型的数据接入、处理、分析及可视监视等。
发明内容
本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊,而这种简化或省略不能用于限制本发明的范围。
鉴于上述现有存在的问题,提出了本发明。
因此,本发明解决的技术问题是:现有的电力监控系统的网络安全防守效率低下,以及如何搭建电力监控网络蜜罐系统的问题。
为解决上述技术问题,本发明提供如下技术方案:一种基于电力监控系统网络攻击的诱捕部署方法及系统,包括:
基于蜜罐技术搭建电力监控系统网络蜜罐系统;
基于所述蜜罐系统设计诱饵,蜜罐之间通过诱饵相互关联形成蜜网;
对系统捕获到的攻击事件分析、溯源,实时监控危险节点并形成系统告警。
作为本发明所述的基于电力监控系统网络攻击的诱捕部署方法的一种优选方案,其中:所述蜜罐系统包括:
诱饵环境模块,用于模拟真实物联网业务环境的功能模块;
监控模块,用于可视化监控统计分析展示蜜罐系统捕获到的攻击事件,溯源攻击源、分析攻击行为特征、定位危险资产等。
作为本发明所述的基于电力监控系统网络攻击的诱捕部署方法的一种优选方案,其中:所述诱饵环境模块信号输出段的连接,包括:
诱饵接口模块,用于对接第三方多源蜜罐产品,部署第三方的诱饵到物联网网络环境中;
执行环境模块,用于连接多个诱饵形成蜜网,模拟物联网真实的可执行环境,诱导攻击者攻击;
物理业务模型模块,用于管理模拟物联网业务模型,支持自定义模拟环境的IP端口服务配合,定义业务模型的内容包括账号、密码、可执行文件等。
作为本发明所述的基于电力监控系统网络攻击的诱捕部署方法的一种优选方案,其中:所述监控模块信号输出端的连接,包括:
数据捕获模块,负责捕获蜜罐诱饵接收到的攻击访问流量;
安全控制模块,负责保障蜜獾系统运行,分析捕获到的攻击流量,包括统计分析、溯源分析等,产生系统攻击事件;还支持限制攻击者的访问、限制蜜罐占用的cpu内存资源、控制蜜罐攻击的告警阈值等;
作为本发明所述的基于电力监控系统网络攻击的诱捕部署方法的一种优选方案,其中:所述数据捕获模块和安全控制模块信号输出端的连接,包括:
记录模块,负责记录存储蜜罐系统根据捕获到的攻击数据所形成的攻击事件;
所述记录模块信号输出端连接推送模块,推送模块负责将记录模块保存的攻击事件数据推送至可视化平台模块;
所述推送模块信号输出端连接可视化平台模块,可视化平台模块负责多维度可视化展示系统攻击事件数据,并展示事件的攻击源、攻击内容等详细信息;图表展示系统各个监控节点的攻击趋势等,及时发现危险网络节点;
所述可视化平台模块信号输出端连接报警模块,报警模块负责根据告警配置匹配系统攻击事件形成系统告警,提示运维人员进行及时响应。
作为本发明所述的基于电力监控系统网络攻击的诱捕部署方法的一种优选方案,其中:基于所述蜜罐系统设计诱饵,包括:
在物联网蜜罐系统的物理业务模型模块构建物联网物理业务模拟数据,暴露代码信息,并且不进行数据脱敏处理。
作为本发明所述的基于电力监控系统网络攻击的诱捕部署方法的一种优选方案,其中还包括:
在执行环境模块中利用物理业务模块创建的模拟数据进行诱饵布防,同时也利用诱饵接口模块布防第三方蜜罐产品的诱饵到执行环境中,提供更多的网络服务,提高执行环境模块的真实性。在攻击者做子域名爆破时设计和投放域名诱饵,保证域名不被搜索引擎抓取,但可以被基于字典的子域名爆破工具发现;
在执行环境模块某些公开位置放置名称和内容与企业的某业务系统(蜜罐) 相关的文档,在文档中有意暴露若干虚有其表的信息,实现扰乱视线的效果。
作为本发明所述的基于电力监控系统网络攻击的诱捕部署方法的一种优选方案,其中:蜜罐之间通过诱饵形成蜜网,包括:
在执行环境中暴露出架构信息、开发语言、目录文件、难度较低的漏洞等的蜜罐若被选为深挖对象,则蜜罐中的诱饵开始发挥作用,蜜罐之间可以通过诱饵相互关联,形成紧密相关的蜜网。
作为本发明所述的基于电力监控系统网络攻击的诱捕部署方法的一种优选方案,其中:分析蜜罐系统捕获到的攻击事件,包括:
诱饵环境模块攻击诱捕部署完成后,监听模块可视化监控统计分析展示蜜罐系统捕获到的攻击事件,溯源攻击源、分析攻击行为特征、定位危险资产等:其中数据捕获模块负责捕获蜜罐诱饵接收到的攻击访问流量;安全控制模块负责保障蜜獾系统运行,分析捕获到的攻击流量,包括统计分析、溯源分析等,产生系统攻击事件,还有限制攻击者的访问、限制蜜罐占用的cpu内存资源、控制蜜罐攻击的告警阈值等。
作为本发明所述的基于电力监控系统网络攻击的诱捕部署方法的一种优选方案,其中:对捕获到的攻击事件推送以及告警,包括:
数据捕获模块获取到数据后,记录模块负责记录存储蜜罐系统根据捕获到的攻击数据所形成的攻击事件;接着推送模块将记录模块保存的攻击事件数据推送至可视化平台模块;可视化平台模块按多维度可视化展示系统攻击事件数据,并展示事件的攻击源、攻击内容等详细信息,图表展示系统各个监控节点的攻击趋势等,及时发现危险监控节点;报警模块根据告警配置匹配系统攻击事件形成系统告警,提示运维人员进行及时响应。
本发明的有益效果:本发明提供的一种基于电力监控系统网络攻击的诱捕部署方法,在攻击者经常使用的信息源中,掺杂由蜜罐技术实现的伪装信息,诱导攻击者在一种基于电力监控系统网络攻击的诱捕部署方法及系统阶段收集到错误信息,将攻击对准蜜罐。本发明支持数据推送实现消息联动,可以将蜜罐平台所记录的黑客威胁数据字段根据需要推送到其它安全可视化平台上,能提供足够的威胁情报数据分析的来源日志,实现与其他第三方设备联动的优势,及时发现攻击并报警。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。其中:
图1为本发明一个实施例提供的一种基于电力监控系统网络攻击的诱捕部署方法的系统图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明,显然所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明的保护的范围。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
其次,此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。
本发明结合示意图进行详细描述,在详述本发明实施例时,为便于说明,表示器件结构的剖面图会不依一般比例作局部放大,而且所述示意图只是示例,其在此不应限制本发明保护的范围。此外,在实际制作中应包含长度、宽度及深度的三维空间尺寸。
同时在本发明的描述中,需要说明的是,术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一、第二或第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本发明中除非另有明确的规定和限定,术语“安装、相连、连接”应做广义理解,例如:可以是固定连接、可拆卸连接或一体式连接;同样可以是机械连接、电连接或直接连接,也可以通过中间媒介间接相连,也可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
实施例1
参照图1,为本发明的第一个实施例,该实施例提供了一种基于电力监控系统网络攻击的诱捕部署方法,包括:
S1:基于蜜罐技术搭建电力监控系统网络蜜罐系统;
更进一步的,所述蜜罐系统包括诱饵环境模块和监控模块。诱饵环境模块用于模拟真实物联网业务环境的功能模块;监控模块用于可视化监控统计分析展示蜜罐系统捕获到的攻击事件,溯源攻击源、分析攻击行为特征、定位危险资产等。
更进一步的,诱饵环境模块信号输出段的连接包括诱饵接口模块、执行环境模块和物理业务模块。诱饵接口模块用于对接第三方多源蜜罐产品,部署第三方的诱饵到物联网网络环境中;执行环境模块用于连接多个诱饵形成蜜网,模拟物联网真实的可执行环境,诱导攻击者攻击;物理业务模型模块,用于管理模拟物联网业务模型,支持自定义模拟环境的IP端口服务配合,定义业务模型的内容包括账号、密码、可执行文件等。
更进一步的,监控模块信号输出端的连接包括数据捕获模块和安全控制模块。数据捕获模块负责捕获蜜罐诱饵接收到的攻击访问流量;安全控制模块负责保障蜜罐系统运行,分析捕获到的攻击流量,包括统计分析、溯源分析等,产生系统攻击事件;还支持限制攻击者的访问、限制蜜罐占用的cpu内存资源、控制蜜罐攻击的告警阈值等。
更进一步的,数据捕获模块和安全控制模块信号输出端连的接记录模块负责记录存储蜜罐系统根据捕获到的攻击数据所形成的攻击事件;记录模块信号输出端连接的推送模块负责将记录模块保存的攻击事件数据推送至可视化平台模块;可视化平台模块负责多维度可视化展示系统攻击事件数据,并展示事件的攻击源、攻击内容等详细信息,图表展示系统各个监控节点的攻击趋势等,及时发现危险网络节点;可视化平台模块信号输出端连接的报警模块负责根据告警配置匹配系统攻击事件形成系统告警,提示运维人员进行及时响应。
S2:基于所述蜜罐系统设计诱饵,蜜罐之间通过诱饵相互关联形成蜜网;
更进一步的,在物联网蜜罐系统的物理业务模型模块构建物联网物理业务模拟数据,暴露代码信息,并且不进行数据脱敏处理。
应说明的是,数据包括配置信息、系统用户信息、文件信息,配置信息包括账号设置、维护记录、名称设置方法和关键字匹配,甚至是邮箱的用户名和密码。
更进一步的,在执行环境模块中利用物理业务模块创建的模拟数据进行诱饵布防,同时也利用诱饵接口模块布防第三方蜜罐产品的诱饵到执行环境中,提供更多的网络服务,提高执行环境模块的真实性。在攻击者做子域名爆破时设计和投放域名诱饵,保证域名不被搜索引擎抓取,但可以被基于字典的子域名爆破工具发现。
应说明的是,设计此类诱饵时,防守方可综合生成冷门子域名以及常用子域名,匹配不同攻击者的心理。
更进一步的,在执行环境模块某些公开位置放置名称和内容与企业的某业务系统(蜜罐)相关的文档,在文档中有意暴露若干虚有其表的信息,实现扰乱视线的效果。
应说明的是,在整个攻击过程中,攻击者都会尽量隐藏自己的身份,通常不会为了价值较低的资产弄出太大动静,因此,投放在关键路径上的、有吸引力的诱饵往往需要足够诱人,才能增大被攻击的概率,甚至让一些潜伏的攻击者主动暴露,尤其面对经验丰富的攻击者,诱饵一定要经过精心设计才能发挥作用。
更进一步的,在执行环境中暴露出架构信息、开发语言、目录文件、难度较低的漏洞等的蜜罐若被选为深挖对象,则蜜罐中的诱饵开始发挥作用,蜜罐之间可以通过诱饵相互关联,形成紧密相关的蜜网。
应说明的是,在蜜罐中放置诱饵,使攻击者深陷蜜网,在此阶段,攻击者的目的是尽可能全面的分析收集到的资产,从而快速找到突破口,信息越全面,对之后的渗透帮助越大,此时,防守方要做的是利用蜜罐充当短板,将蜜罐暴露在攻击者面前,吸引其分析蜜罐,同时在蜜罐中放置诱饵牵制攻击者,使其无法逃出由蜜罐组成的蜜网。比如在企业邮箱蜜罐中可以暴露其他业务系统 (蜜罐)的运维记录文档、升级文档等,将攻击者的攻击视线转移到其他蜜罐,比如设置蜜罐的数据库配置文件,通过文件路径指向和连接记录伪造来误导和牵制攻击者。
应说明的是,如果攻击者在信息收集阶段没有被诱饵迷惑,已拿下真实服务器并开始内网漫游,这时防守方需要考虑的是如何把攻击者从真实网络吸引到蜜网,针对这种情况,诱饵需要提前投放到在部分真实资产中,比如制造一些连接到其他蜜罐的历史操作指令、放置SSH连接蜜罐过程中的公钥记录等。为了达到更好的效果,蜜罐需要配合诱饵使用:在诱饵指向的蜜罐上开放有利用价值的端口,在攻击者做资产嗅探时,可以吸引其入侵并进入蜜罐。再比如,攻击者偏爱OA、邮件等用户量大的系统,防守方可以在重点区域部署此类蜜罐,并通过在真实服务器伪造虚假的连接记录诱导攻击者掉入陷阱。
S3:对系统捕获到的攻击事件分析、溯源,实时监控危险节点并形成系统告警。
进一步的,诱饵环境模块攻击诱捕部署完成后,监听模块可视化监控统计分析展示蜜罐系统捕获到的攻击事件,溯源攻击源、分析攻击行为特征、定位危险资产等:其中数据捕获模块负责捕获蜜罐诱饵接收到的攻击访问流量;安全控制模块负责保障蜜獾系统运行,分析捕获到的攻击流量,包括统计分析、溯源分析等,产生系统攻击事件,还有限制攻击者的访问、限制蜜罐占用的cpu 内存资源、控制蜜罐攻击的告警阈值等。
进一步的,数据捕获模块获取到数据后,记录模块负责记录存储蜜罐系统根据捕获到的攻击数据所形成的攻击事件;接着推送模块将记录模块保存的攻击事件数据推送至可视化平台模块;可视化平台模块按多维度可视化展示系统攻击事件数据,并展示事件的攻击源、攻击内容等详细信息,图表展示系统各个监控节点的攻击趋势等,及时发现危险监控节点;报警模块根据告警配置匹配系统攻击事件形成系统告警,提示运维人员进行及时响应。
实施例2
参照图1,为本发明的第一个实施例,提供了种基于电力监控系统网络攻击的诱捕部署方法,为了验证本发明的有益效果,通过具体的实施数据进行科学论证。
1.在诱饵接口模块对接第三方蜜罐A;
2.部署蜜罐A的通用OA仿真系统服务、ES数据库服务、mysql数据库服务、redis服务到执行环境模块中;
4.配置虚拟引流IP(172.16.140.10、172.16.140.11)到站点B的专用终端物理网口eth0上;
3.将诱饵环境模块中新增的蜜罐A个服务利用反向代理通道映射到指定站点B专用终端的引流IP(172.16.140.10、172.16.140.11)中;
4.引流IP引流的数据通过代理通道送达数据捕获模块;
5.进而在安全控制模块进行安全分析,攻击行为特征匹配分析,OA系统攻击匹配、ES数据库攻击匹配、mysql数据库攻击匹配以及redis服务攻击匹配;
6.安全控制模块分析完成后攻击数据送至记录模块;
7.通过推送模块将数据送至可视化平台模块;
8.在可视化平台观察捕获到的攻击数据如下;
Figure BDA0003707696430000081
Figure BDA0003707696430000091
9.对于可视化平台模块的数据经过大数据flink规则分析并进行告警归并可产生如下告警数据,如下;
Figure BDA0003707696430000092
应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。

Claims (10)

1.一种基于电力监控系统网络攻击的诱捕部署方法,其特征在于,包括:
基于蜜罐技术搭建电力监控系统网络蜜罐系统;
基于所述蜜罐系统设计诱饵,蜜罐之间通过诱饵相互关联形成蜜网;
对系统捕获到的攻击事件分析、溯源,实时监控危险节点并形成系统告警。
2.如权利要求1所述的基于电力监控系统网络攻击的诱捕部署方法,其特征在于:所述蜜罐系统包括诱饵环境模块和监控模块。
3.如权利要求2所述的基于电力监控系统网络攻击的诱捕部署方法,其特征在于:所述诱饵环境模块的信号输出段信号连接有诱饵接口模块、执行环境模块和物理业务模型模块。
4.如权利要求2所述的基于电力监控系统网络攻击的诱捕部署方法,其特征在于:所述监控模块的信号输出端信号连接有数据捕获模块和安全控制模块。
5.如权利要求4所述的基于电力监控系统网络攻击的诱捕部署方法,其特征在于:所述数据捕获模块和安全控制模块的信号输出端信号连接有记录模块,记录模块的信号输出端信号连接推送模块,推送模块的信号输出端信号连接可视化平台模块,可视化平台模块的信号输出端连接报警模块。
6.如权利要求1所述的基于电力监控系统网络攻击的诱捕部署方法,其特征在于:基于所述蜜罐系统设计诱饵,包括:
在物联网蜜罐系统的物理业务模型模块构建物联网物理业务模拟数据,暴露代码信息,并且不进行数据脱敏处理,数据包括配置信息、系统用户信息、文件信息等。
7.如权利要求6所述的基于电力监控系统网络攻击的诱捕部署方法,其特征在于,还包括:
在执行环境模块中利用物理业务模块创建的模拟数据进行诱饵布防,同时也利用诱饵接口模块布防第三方蜜罐产品的诱饵到执行环境中,提供更多的网络服务,提高执行环境模块的真实性。在攻击者做子域名爆破时设计和投放域名诱饵,保证域名不被搜索引擎抓取,但可以被基于字典的子域名爆破工具发现;
在执行环境模块某些公开位置放置名称和内容与企业的某业务系统(蜜罐)相关的文档,在文档中有意暴露若干虚有其表的信息,实现扰乱视线的效果。
8.如权利要求7所述的基于电力监控系统网络攻击的诱捕部署方法,其特征在于:蜜罐之间通过诱饵形成蜜网,包括:
在执行环境中暴露出架构信息、开发语言、目录文件、难度较低的漏洞等的蜜罐若被选为深挖对象,则蜜罐中的诱饵开始发挥作用,蜜罐之间可以通过诱饵相互关联,形成紧密相关的蜜网。
9.如权利要求1所述的基于电力监控系统网络攻击的诱捕部署方法,其特征在于:分析蜜罐系统捕获到的攻击事件,包括:
诱饵环境模块攻击诱捕部署完成后,监听模块可视化监控统计分析展示蜜罐系统捕获到的攻击事件,溯源攻击源、分析攻击行为特征、定位危险资产等:其中数据捕获模块负责捕获蜜罐诱饵接收到的攻击访问流量;安全控制模块负责保障蜜罐系统运行,分析捕获到的攻击流量,包括统计分析、溯源分析等,产生系统攻击事件,还有限制攻击者的访问、限制蜜罐占用的cpu内存资源、控制蜜罐攻击的告警阈值等。
10.如权利要求9所述的基于电力监控系统网络攻击的诱捕部署方法,其特征在于:对捕获到的攻击事件推送以及告警,包括:
数据捕获模块获取到数据后,记录模块负责记录存储蜜罐系统根据捕获到的攻击数据所形成的攻击事件;接着推送模块将记录模块保存的攻击事件数据推送至可视化平台模块;可视化平台模块按多维度可视化展示系统攻击事件数据,并展示事件的攻击源、攻击内容等详细信息,图表展示系统各个监控节点的攻击趋势等,及时发现危险监控节点;报警模块根据告警配置匹配系统攻击事件形成系统告警,提示运维人员进行及时响应。
CN202210713153.5A 2022-06-22 2022-06-22 一种基于电力监控系统网络攻击的诱捕部署方法 Pending CN114915493A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210713153.5A CN114915493A (zh) 2022-06-22 2022-06-22 一种基于电力监控系统网络攻击的诱捕部署方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210713153.5A CN114915493A (zh) 2022-06-22 2022-06-22 一种基于电力监控系统网络攻击的诱捕部署方法

Publications (1)

Publication Number Publication Date
CN114915493A true CN114915493A (zh) 2022-08-16

Family

ID=82772523

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210713153.5A Pending CN114915493A (zh) 2022-06-22 2022-06-22 一种基于电力监控系统网络攻击的诱捕部署方法

Country Status (1)

Country Link
CN (1) CN114915493A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115987686A (zh) * 2023-03-17 2023-04-18 北京启天安信科技有限公司 一种基于https代理的威胁检测方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107070929A (zh) * 2017-04-20 2017-08-18 中国电子技术标准化研究院 一种工控网络蜜罐系统
CN112367307A (zh) * 2020-10-27 2021-02-12 中国电子科技集团公司第二十八研究所 一种基于容器级蜜罐群的入侵检测方法及系统
US20210067553A1 (en) * 2019-09-04 2021-03-04 Oracle International Corporation Honeypots for infrastructure-as-a-service security
CN112738120A (zh) * 2020-12-31 2021-04-30 上海戎磐网络科技有限公司 基于蜜罐的数据处理方法、装置、系统以及电子设备
CN112948821A (zh) * 2021-04-10 2021-06-11 北京国联易安信息技术有限公司 一种apt检测预警方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107070929A (zh) * 2017-04-20 2017-08-18 中国电子技术标准化研究院 一种工控网络蜜罐系统
US20210067553A1 (en) * 2019-09-04 2021-03-04 Oracle International Corporation Honeypots for infrastructure-as-a-service security
CN112367307A (zh) * 2020-10-27 2021-02-12 中国电子科技集团公司第二十八研究所 一种基于容器级蜜罐群的入侵检测方法及系统
CN112738120A (zh) * 2020-12-31 2021-04-30 上海戎磐网络科技有限公司 基于蜜罐的数据处理方法、装置、系统以及电子设备
CN112948821A (zh) * 2021-04-10 2021-06-11 北京国联易安信息技术有限公司 一种apt检测预警方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115987686A (zh) * 2023-03-17 2023-04-18 北京启天安信科技有限公司 一种基于https代理的威胁检测方法
CN115987686B (zh) * 2023-03-17 2023-06-06 北京启天安信科技有限公司 一种基于https代理的威胁检测方法

Similar Documents

Publication Publication Date Title
CN110430190B (zh) 基于att&ck的欺骗性防御系统、构建方法及全链路防御实现方法
Almohannadi et al. Cyber threat intelligence from honeypot data using elasticsearch
US7412723B2 (en) Method and system for morphing honeypot with computer security incident correlation
US9009829B2 (en) Methods, systems, and media for baiting inside attackers
CN107888607A (zh) 一种网络威胁检测方法、装置及网络管理设备
CN110677438A (zh) 一种攻击链构建方法、装置、设备、介质
CN108965346A (zh) 一种失陷主机检测方法
CN113014597A (zh) 蜜罐防御系统
Marotta et al. Integrating a proactive technique into a holistic cyber risk management approach
Olagunju et al. In search of effective honeypot and honeynet systems for real-time intrusion detection and prevention
CN113098835A (zh) 基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐系统
CN100568876C (zh) 用于操作数据处理系统的方法和用于处理无线通信的设备
Al-Mohannadi et al. Analysis of adversary activities using cloud-based web services to enhance cyber threat intelligence
Wang et al. RansomTracer: exploiting cyber deception for ransomware tracing
CN114915493A (zh) 一种基于电力监控系统网络攻击的诱捕部署方法
Whitham Automating the generation of fake documents to detect network intruders
CN114124414A (zh) 蜜罐服务的生成方法、装置和攻击行为数据的捕获方法
Grant et al. Simulating adversarial interactions between intruders and system administrators using OODA-RR
CN115134166A (zh) 一种基于蜜洞的攻击溯源方法
Shumakov et al. Increasing the attractiveness of false objects of attack on the web-servers
IL279893A (en) A system and method for detecting exposures of online vulnerabilities, which are abused using honey traps
Svensson Auditing the human factor as a part of setting up an information security management system
Achille et al. Obtaining digital evidence from intrusion detection systems
Tundis et al. An exploratory analysis on the impact of Shodan scanning tool on the network attacks
Gupta Improving the effectiveness of deceptive honeynets through an empirical learning approach

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination