CN116192495A - 电力监控系统蜜场的设计方法、系统、设备和介质 - Google Patents
电力监控系统蜜场的设计方法、系统、设备和介质 Download PDFInfo
- Publication number
- CN116192495A CN116192495A CN202310122013.5A CN202310122013A CN116192495A CN 116192495 A CN116192495 A CN 116192495A CN 202310122013 A CN202310122013 A CN 202310122013A CN 116192495 A CN116192495 A CN 116192495A
- Authority
- CN
- China
- Prior art keywords
- network
- entity
- simulation
- equipment
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 197
- 235000012907 honey Nutrition 0.000 title claims abstract description 123
- 238000013461 design Methods 0.000 title claims abstract description 53
- 238000000034 method Methods 0.000 title claims abstract description 51
- 238000004088 simulation Methods 0.000 claims abstract description 240
- 238000004458 analytical method Methods 0.000 claims abstract description 49
- 238000005516 engineering process Methods 0.000 claims abstract description 46
- 230000006399 behavior Effects 0.000 claims abstract description 45
- 238000005192 partition Methods 0.000 claims description 109
- 238000012550 audit Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 11
- 230000002787 reinforcement Effects 0.000 claims description 6
- 230000000694 effects Effects 0.000 abstract description 22
- 230000009545 invasion Effects 0.000 abstract description 7
- 230000035515 penetration Effects 0.000 abstract description 7
- 238000004519 manufacturing process Methods 0.000 description 13
- 238000011160 research Methods 0.000 description 9
- 230000007123 defense Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 238000010276 construction Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 6
- 238000011161 development Methods 0.000 description 5
- 238000007726 management method Methods 0.000 description 5
- 238000012360 testing method Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000004146 energy storage Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Alarm Systems (AREA)
Abstract
本发明公开了一种电力监控系统蜜场的设计方法、系统、设备和介质,该设计方法包括获取所述电力监控系统的实体网络对应的实体网络信息;基于预设仿真技术搭建所述电力监控系统的虚拟蜜场网络;所述预设仿真技术的仿真精度高于设定阈值;基于所述虚拟蜜场网络对所述电力监控系统进行网络安全监控分析。本发明的虚拟蜜场网络对应的虚拟网络信息与实体网络对应的实体网络信息相同,可以完全模拟出电力监控系统的真实业务场景,通过虚拟蜜场网络开展针对网络安全的渗透和入侵诱捕活动,诱捕攻击者对电力监控系统的攻击活动,分析攻击行为,从而避免对实体网络的攻击,提高电力监控系统安全防护能力。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于电力监控系统仿真场景的蜜场设计方法、系统、设备和介质。
背景技术
随着5G(5thGenerationMobileCommunicationTechnology,第五代移动通信技术)技术、物联网技术在工业控制领域的应用、黑客网络安全攻击技术的更新换代等诸多因素,工业控制系统网络安全防护电力行业作为能源领域的一部分,一旦收到破坏,将会对生产、生活等方面产生重大打击。
当前发电站的安全防护体系主要由外挂网络安全工具构成,以保障系统安全运行,整体安全防御能力依赖网络安全工具的特征库升级情况,无法阻拦最新已被公布或是未被公布的攻击。
作为发电站的控制中心,电力监控系统的安全防护是电力行业信息管理的重中之重,须以极高标准与严格要求实施建设。在现阶段的网络应用安全防护体系中,通过在系统网络体系架构上增设防火墙、网关等硬件工具及入侵检测、访问控制等软件模块来提高生产系统安全防护能力。然而当前工控系统面临的攻击往往是有组织、大规模、持续性久与隐蔽性强的。使用传统的防火墙、入侵检测等安全手段难以检测并防护这些攻击,在越来越复杂的渗透式网络入侵环境下,工控安全系统面临的挑战将更加严峻。
发明内容
本发明要解决的技术问题是为了克服现有技术中,对电力监控系统完备的全仿真不足,从而无法发现存在的安全防护缺陷的问题,本发明提供一种基于电力监控系统仿真场景的蜜场设计方法、系统、设备和介质。
本发明是通过下述技术方案来解决上述技术问题:
第一方面,提供一种基于电力监控系统仿真场景的蜜场设计方法,所述蜜场设计方法包括:
获取所述电力监控系统的实体网络对应的实体网络信息;
基于预设仿真技术搭建所述电力监控系统的虚拟蜜场网络;
其中,所述虚拟蜜场网络对应的虚拟网络信息与所述实体网络对应的所述实体网络信息相同,所述预设仿真技术的仿真精度高于设定阈值;
基于所述虚拟蜜场网络对所述电力监控系统进行网络安全监控分析。
较佳地,所述电力监控系统中包括若干个网络安全分区,每个所述网络安全分区包括若干个实体设备;所述实体设备包括实体主机设备、实体网络设备和实体专用设备;
所述获取所述电力监控系统的实体网络对应的实体网络信息的步骤包括:
获取各个所述实体设备对应的实体设备信息和各个所述实体设备之间的第一网络拓扑信息,以及各个所述网络安全分区之间的第二网络拓扑信息;
其中,所述实体网络信息包括所述实体设备信息、所述第一网络拓扑信息和所述第二网络拓扑信息;
所述实体设备部署有第一实体监测工具,所述实体设备信息包括所述实体主机设备的操作系统的关联数据、应用系统的关联数据和数据库的关联数据,以及所述实体网络设备和所述实体专用设备运行状态相关的关联数据,以及所述第一实体监测工具对应的配置数据。
较佳地,所述基于预设仿真技术搭建所述电力监控系统的虚拟蜜场网络的步骤包括:
基于所述实体设备信息建立所述实体设备对应的仿真设备,并建立所述网络安全分区对应的仿真网络安全分区;
其中,所述仿真设备包括分别与所述实体主机设备、所述实体网络设备和所述实体专用设备对应的仿真主机设备、仿真网络设备和和仿真专用设备;所述仿真设备对应的仿真设备信息与所述实体设备对应的所述实体设备信息相同;
基于所述第一网络拓扑信息配置各个所述仿真设备之间的第一网桥,基于所述第二网络拓扑信息配置各个所述仿真网络安全分区之间的第二网桥;
基于所述第一网桥对各个所述仿真设备进行连接,基于所述第二网桥对各个所述仿真网络安全分区进行连接,以搭建出所述虚拟蜜场网络。
较佳地,所述基于所述实体设备信息建立所述实体设备对应的仿真设备,并建立所述网络安全分区对应的仿真网络安全分区的步骤包括:
基于所述实体设备信息,采用业务逻辑仿真、电力网络拓扑仿真和协议层仿真对所述实体设备和所述网络安全分区进行仿真,建立所述实体设备对应的所述仿真设备和所述网络安全分区对应的所述仿真网络安全分区。
较佳地,所述仿真主机设备基于网络接口与对应的所述实体主机设备所属的服务器相连接;
所述仿真主机设备中配置有第一虚拟监测工具,所述第一虚拟监测工具包括流量审计、日志审计和探针软件;
所述仿真主机设备中还配置有第二虚拟监测工具,所述第二虚拟监测工具的配置数据,与所述仿真主机设备对应的所述实体主机设备中的所述第一实体监测工具的配置数据相同,所述第一实体监测工具包括防火墙和隔离墙中的至少一种;
所述基于所述虚拟蜜场网络对所述电力监控系统进行网络安全监控分析的步骤包括:
基于所述仿真主机设备中的所述第一虚拟监测工具的运行数据判断所述虚拟蜜场网络是否检测到网络攻击;
若是,则判断所述仿真主机设备中的所述第二虚拟监测工具是否检测到网络攻击;
若所述第二虚拟监测工具未检测到所述网络攻击,则确定所述网络攻击为未公布的攻击行为,并对所述攻击行为进行威胁溯源分析、攻击者画像分析和告警;
若所述第二虚拟监测工具检测到所述网络攻击,则确定所述网络攻击为已公布的攻击行为,并根据所述攻击行为对与所述仿真主机设备对应的所述实体主机设备进行安全防护加固。
较佳地,所述网络安全分区部署有第二实体监测工具;
所述基于所述第一网桥对各个所述仿真设备进行连接,基于所述第二网桥对各个所述仿真网络安全分区进行连接,以搭建出所述虚拟蜜场网络的步骤之前还包括:
在所述网络安全分区对应的所述仿真网络安全分区中部署第三虚拟监测工具;
其中,所述第三虚拟监测工具的配置数据与所述第二实体监测工具的配置数据相同。
较佳地,所述蜜场设计方法还包括:
预先在所述电力监控系统中部署网络漏洞,基于所述网络漏洞对攻击者进行攻击诱捕;
当所述第一虚拟监测工具检测到所述攻击者针对所述网络漏洞进行攻击时,获取所述攻击对应的攻击数据,对所述攻击数据进行攻击行为分析。
较佳地,所述预设仿真技术包括网络靶场技术。
第二方面,还提供一种基于电力监控系统仿真场景的蜜场设计系统,所述蜜场设计系统包括:
实体网络获取模块,用于获取所述电力监控系统的实体网络对应的实体网络信息;
虚拟网络搭建模块,用于基于预设仿真技术搭建所述电力监控系统的虚拟蜜场网络;
其中,所述虚拟蜜场网络对应的虚拟网络信息与所述实体网络对应的所述实体网络信息相同,所述预设仿真技术的仿真精度高于设定阈值;
安全监控分析模块,用于基于所述虚拟蜜场网络对所述电力监控系统进行网络安全监控分析。
较佳地,所述电力监控系统中包括若干个网络安全分区,每个所述网络安全分区包括若干个实体设备;所述实体设备包括实体主机设备、实体网络设备和实体专用设备;
所述实体网络获取模块具体用于获取各个实体设备对应的实体设备信息和各个所述实体设备之间的第一网络拓扑信息,以及各个所述网络安全分区之间的第二网络拓扑信息;
其中,所述实体网络信息包括所述实体设备信息、所述第一网络拓扑信息和所述第二网络拓扑信息;
所述实体设备部署有第一实体监测工具,所述实体设备信息包括所述实体主机设备的操作系统的关联数据、应用系统的关联数据和数据库的关联数据,以及所述实体网络设备和所述实体专用设备运行状态相关的关联数据,以及所述第一实体监测工具对应的配置数据。
较佳地,所述虚拟网络搭建模块包括:
仿真分区建立单元,用于基于所述实体设备信息建立所述实体设备对应的仿真设备,并建立所述网络安全分区对应的仿真网络安全分区;
其中,所述仿真设备包括分别与所述实体主机设备、所述实体网络设备和所述实体专用设备对应的仿真主机设备、仿真网络设备和和仿真专用设备;所述仿真设备对应的仿真设备信息与所述实体设备对应的所述实体设备信息相同;网桥配置单元,用于基于所述第一网络拓扑信息配置各个所述仿真设备之间的第一网桥,基于所述第二网络拓扑信息配置各个所述仿真网络安全分区之间的第二网桥;
虚拟网络搭建单元,用于基于所述第一网桥对各个所述仿真设备进行连接,基于所述第二网桥对各个所述仿真网络安全分区进行连接,以搭建出所述虚拟蜜场网络。
较佳地,所述仿真分区建立单元具体用于基于所述实体设备信息,采用业务逻辑仿真、电力网络拓扑仿真和协议层仿真对所述实体设备和所述网络安全分区进行仿真,建立所述实体设备对应的所述仿真设备和所述网络安全分区对应的所述仿真网络安全分区。
较佳地,所述仿真主机设备基于网络接口与对应的所述实体主机设备所属的服务器相连接;
所述仿真主机设备中配置有第一虚拟监测工具,所述第一虚拟监测工具包括流量审计、日志审计和探针软件;
所述仿真主机设备中还配置有第二虚拟监测工具,所述第二虚拟监测工具的配置数据,与所述仿真主机设备对应的所述实体主机设备中的所述第一实体监测工具的配置数据相同,所述第一实体监测工具包括防火墙和隔离墙中的至少一种;
所述安全监控分析模块包括:
第一判断单元,用于基于所述仿真主机设备中的所述第一虚拟监测工具的运行数据判断所述虚拟蜜场网络是否检测到网络攻击;
第二判断单元,用于在所述第一判断单元判断出所述虚拟蜜场网络检测到网络攻击时,判断所述仿真主机设备中的所述第二虚拟监测工具是否检测到网络攻击;
攻击行为分析单元,用于若所述第二虚拟监测工具未检测到所述网络攻击,则确定所述网络攻击为未公布的攻击行为,并对所述攻击行为进行威胁溯源分析、攻击者画像分析和告警;
所述攻击行为分析单元还用于若所述第二虚拟监测工具检测到所述网络攻击,则确定所述网络攻击为已公布的攻击行为,并根据所述攻击行为对与所述仿真主机设备对应的所述实体主机设备进行安全防护加固。
较佳地,所述网络安全分区部署有第二实体监测工具;所述虚拟网络搭建模块还包括
分区监测部署单元,用于在所述网络安全分区对应的所述仿真网络安全分区中部署第三虚拟监测工具;
其中,所述第三虚拟监测工具的配置数据与所述第二实体监测工具的配置数据相同。
较佳地,所述蜜场设计系统还包括:
漏洞部署模块,用于预先在所述电力监控系统中部署网络漏洞,基于所述网络漏洞对攻击者进行攻击诱捕;
所述攻击行为分析单元还用于当所述第一虚拟监测工具检测到所述攻击者针对所述网络漏洞进行攻击时,获取所述攻击对应的攻击数据,对所述攻击数据进行攻击行为分析。
较佳地,所述预设仿真技术包括网络靶场技术。
第三方面,还提供一种电子设备,包括存储器、处理器及存储在存储器上并用于在处理器上运行的计算机程序,所述处理器执行计算机程序时实现上述所述的基于电力监控系统仿真场景的蜜场设计方法。
第四方面,还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述所述的基于电力监控系统仿真场景的蜜场设计方法。
在符合本领域常识的基础上,上述各优选条件,可任意组合,即得本发明各较佳实例。
本发明的积极进步效果在于:
本发明的基于电力监控系统仿真场景的蜜场设计方法、系统、设备和介质,基于预设仿真技术搭建出了电力监控系统的虚拟蜜场网络,虚拟蜜场网络对应的虚拟网络信息与实体网络对应的实体网络信息相同,可以完全模拟出电力监控系统的真实业务场景,通过虚拟蜜场网络开展针对网络安全的渗透和入侵诱捕活动,诱捕攻击者对电力监控系统的攻击活动,分析攻击行为,从而避免对实体网络的攻击,提高电力监控系统安全防护能力;同时,依托虚拟蜜场网络的数据,完善了对实际网络的安全防护体系和防护策略,形成网络安全实战对抗工作能力;依托虚拟蜜场网络开展测试验证、安全技术研究等安全研究活动,提升了相关人员网络安全攻防技术以及分析水平,满足了企业发展需要。
附图说明
图1为本发明实施例1提供的基于电力监控系统仿真场景的蜜场设计方法的第一流程示意图;
图2为本发明实施例1提供的基于电力监控系统仿真场景的蜜场设计方法的第二流程示意图;
图3为本发明实施例1提供的电力监控系统的运行结构示意图;
图4为本发明实施例1提供的基于电力监控系统仿真场景的蜜场设计方法的第三流程示意图;
图5为本发明实施例1提供的电力监控系统的仿真场景的示意图;
图6为本发明实施例1提供的基于电力监控系统仿真场景的蜜场设计方法的第四流程示意图;
图7为本发明实施例1提供的基于电力监控系统仿真场景的蜜场设计方法的第三流程示意图;
图8为本发明实施例2提供的基于电力监控系统仿真场景的蜜场设计系统的结构示意图;
图9为本发明实施例3提供的电子设备的结构示意图。
具体实施方式
下面通过实施例的方式进一步说明本发明,但并不因此将本发明限制在所述的实施例范围之中。
实施例1
本实施例提供一种基于电力监控系统仿真场景的蜜场设计方法,如图1所示,蜜场设计方法包括:
S101、获取电力监控系统的实体网络对应的实体网络信息。
其中,实体网络信息为电力监控系统的实体网络的详细部署情况,以能够搭建实体网络对应的虚拟蜜场网络为准;例如电力监控系统中的设备构成,各个设备之间的网络拓扑关系,各个设备的操作系统、应用系统等详细信息。
S102、基于预设仿真技术搭建电力监控系统的虚拟蜜场网络。
其中,虚拟蜜场网络对应的虚拟网络信息与实体网络对应的实体网络信息相同,预设仿真技术的仿真精度高于设定阈值。
虚拟蜜场网络是基于蜜罐的概念引申出来的,指的是具有欺骗伪装、诱捕特征的虚拟网络,属于主动防御技术,可以模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标,但虚拟蜜场网络没有真实业务的网络场景,攻击者对其所有的连接尝试都是不正常的,虚拟蜜场网络可拖延攻击者对其真正的实体网络的攻击。
预设仿真技术的仿真精度高于设定阈值,可以建立高精度的仿真场景,可以保证搭建的虚拟蜜场网络与实体网络的结构相同,虚拟蜜场网络对应的虚拟网络信息与实体网络对应的实体网络信息相同,通过仿真的方式,搭建电力监控系统的虚拟蜜场网络。
本发明以电力监控系统真实的实体网络的结构为蓝本,基于预设仿真技术搭建电力监控系统的虚拟蜜场网络,以虚拟蜜场网络为依托开展入侵诱捕活动。
S103、基于虚拟蜜场网络对电力监控系统进行网络安全监控分析。
虚拟蜜场网络组建了一个具有具体场景和生产过程的真实攻击目标,对电力监控系统进行网络安全监控分析,进而提升电力监控系统总体安全防护能力,保障电力监控系统安全稳定运行,提升电力监控系统的主动防御能力。
本实施例的基于电力监控系统仿真场景的蜜场设计方法,基于预设仿真技术搭建出了电力监控系统的虚拟蜜场网络,虚拟蜜场网络对应的虚拟网络信息与实体网络对应的实体网络信息相同,可以完全模拟出电力监控系统的真实业务场景,通过虚拟蜜场网络开展针对网络安全的渗透和入侵诱捕活动,诱捕攻击者对电力监控系统的攻击活动,分析攻击行为,从而避免对实体网络的攻击,提高电力监控系统安全防护能力;同时,依托虚拟蜜场网络的数据,完善了对实际网络的安全防护体系和防护策略,形成网络安全实战对抗工作能力;依托虚拟蜜场网络开展测试验证、安全技术研究等安全研究活动,提升了相关人员网络安全攻防技术以及分析水平,满足了企业发展需要。
在一可选的实施方式中,所述电力监控系统中包括若干个网络安全分区,每个网络安全分区包括若干个实体设备;实体设备包括实体主机设备、实体网络设备和实体专用设备;如图2所示,上述步骤S101包括:
S1011、获取各个实体设备对应的实体设备信息和各个实体设备之间的第一网络拓扑信息,以及各个网络安全分区之间的第二网络拓扑信息。
其中,实体网络信息包括实体设备信息、第一网络拓扑信息和第二网络拓扑信息;实体设备部署有第一实体监测工具,实体设备信息包括实体主机设备的操作系统的关联数据、应用系统的关联数据和数据库的关联数据,以及实体网络设备和实体专用设备运行状态相关的关联数据,以及第一实体监测工具对应的配置数据。
电站会部署电力监控系统,电站按类型可以分为风电站、光伏电站、水电站、火电站、核电站和储能电站等不同类型,以实体电站为基础,搭建具备高精度仿真度的虚拟电站环境。
电力监控系统中包括若干个网络安全分区,每个网络安全分区包括若干个实体设备;图3为本实施方式提供的电力监控系统的运行结构示意图,如图3所示,电力监控系统的网络安全分区包括生产控制大区安全I区、生产控制大区安全II区、管理信息大区安全III区、信息内网区和信息外网区,每个网络安全分区内包括若干实体设备。
生产控制大区安全I区中的实体设备主要是监控和采集电站的运行数据,并传至生产控制大区安全II区,生产控制大区安全II区中的实体设备进行数据分析和存储,并传输至管理信息大区安全III区,管理信息大区安全III区中的实体设备进行数据的显示,以便于管理人员查看电站的生产运行数据。生产控制大区安全I区、生产控制大区安全II区和管理信息大区安全III区对应电站的生产运行场景。
其中,信息内网区为电站内部的办公内网,其中的实体设备不与外部互联网连接;信息外网区为办公外网,其中的实体设备与外部互联网连接,信息内网区和信息外网区对应场站的办公场景。
实体设备中部署有第一实体监测工具,用于对实体设备的运行安全进行监测;每个实体设备都有一定的实体设备信息,实体设备信息包括但不限于实体主机设备的操作系统的关联数据、应用系统的关联数据和数据库的关联数据,以及实体网络设备和实体专用设备运行状态相关的关联数据,以及第一实体监测工具对应的配置数据。
不同的实体设备之间的连接关系,构成了各个实体设备之间的第一网络拓扑信息。不同的网络安全分区按照实时控制、非实时控制、办公网络等实际情况进行划分,不同网络安全分区之间进行网络隔离,保证数据的传输,各个网络安全分区之间的网络关系构成了各个网络安全分区之间的第二网络拓扑信息。第一网络拓扑信息即各个实体设备之间的网络拓扑信息,第二网络拓扑信息即各个网络安全分区之间的网络拓扑信息。
本实施方式的基于电力监控系统仿真场景的蜜场设计方法,通过获取各个实体主机对应的实体主机信息和各个实体主机之间的第一网络拓扑信息,以及各个网络安全分区之间的第二网络拓扑信息,基于预设仿真技术搭建出了电力监控系统的虚拟蜜场网络,虚拟蜜场网络对应的虚拟网络信息与实体网络对应的实体网络信息相同,可以完全模拟出电力监控系统的真实业务场景,通过虚拟蜜场网络开展针对网络安全的渗透和入侵诱捕活动,诱捕攻击者对电力监控系统的攻击活动,分析攻击行为,从而避免对实体网络的攻击,提高电力监控系统安全防护能力。
在一可选的实施方式中,预设仿真技术包括网络靶场技术。
网络靶场技术即网络安全靶场,又称为靶场平台技术,是一种基于虚拟化技术,对真实网络空间中的网络架构、系统设备、业务流程的运行状态及运行环境进行模拟和复现的技术或产品,以更有效地实现与网络安全相关的学习、研究、检验、竞赛、演习等行为,从而提高人员及机构的网络安全对抗水平。
网络靶场的核心理念是仿真,在一个脱离或部分脱离生产环境和业务环境的情况下,对真实环境实现最大限度的模拟。仿真能力从技术实现来看,主要有虚拟化和虚实结合两种情况。虚拟化技术在靶场环境中模拟硬件设备、系统的运行,从而实现在没有实际设备、系统的情况下,仿真出相关环境的需求,包括有容器虚拟化、数字仿真、模拟器、协议模拟等多种虚拟化技术。而对于一些暂时无法虚拟化模拟的设备(比如工控设备),或者要求进行实网攻防的情况(比如护网行动),则需要虚实结合的技术,将物理的设备以及真实运行的网络环境接入靶场环境之中;不同于传统的基于蜜罐系统的网络安全监控分析,无需搭建复杂的蜜罐系统,而是基于仿真技术,采用虚实结合的方法搭建虚拟蜜场网络,可以完全模拟出电力监控系统的真实业务场景,通过虚拟蜜场网络开展针对网络安全的渗透和入侵诱捕活动,诱捕攻击者对电力监控系统的攻击活动,分析攻击行为,从而避免对实体网络的攻击,提高电力监控系统安全防护能力。
网络安全靶场提供了一个可信性、可控性、可操作性强近似实战的仿真试验环境,是验证安全技术可行性、攻击防御手段有效性及评估系统安全防护水平的重要基础设施。开展网络安全靶场研究是提升网络安全防护能力,提高网络安全防护技能的重要措施。
在一可选的实施方式中,如图4所示,上述步骤S102包括:
S1021、基于实体设备信息建立实体设备对应的仿真设备,并建立网络安全分区对应的仿真网络安全分区。
其中,仿真设备包括分别与实体主机设备、实体网络设备和实体专用设备对应的仿真主机设备、仿真网络设备和仿真专用设备;仿真设备对应的仿真设备信息与实体主机设备对应的实体设备信息相同;即仿真主机设备的操作系统的关联数据、应用系统的关联数据、数据库的关联数据,与实体主机设备的操作系统的关联数据、应用系统的关联数据和数据库的关联数据相同;仿真网络设备和仿真专用设备运行状态相关的关联数据与实体网络设备和实体专用设备运行状态相关的关联数据相同。
在电力安全接入场景仿真上,在仿真场景中可以采用虚拟化仿真方式实现,即建立仿真设备。
实体设备部署有第一实体监测工具,对应的仿真设备中也部署有对应的安全监控分析工具,安全监控分析工具的配置数据与实体设备中第一实体监测工具的配置数据相同。
S1022、基于第一网络拓扑信息配置各个仿真设备之间的第一网桥,基于第二网络拓扑信息配置各个仿真网络安全分区之间的第二网桥。
S1023、基于第一网桥对各个仿真设备进行连接,基于第二网桥对各个仿真网络安全分区进行连接,以搭建出虚拟蜜场网络。
各个仿真设备之间通过第一网桥进行连接,以进行数据传输;各个仿真网络安全分区之间通过第二网桥之间进行连接,以进行数据传输,通过仿真设备、仿真网络安全分区、第一网桥和第二网桥搭建出虚拟蜜场网络。
本实施方式的基于电力监控系统仿真场景的蜜场设计方法,通过对建立与实体设备对应的仿真设备,并建立对应的第一网桥和第二网桥,使得搭建出的虚拟蜜场网络对应的虚拟网络信息与实体网络对应的实体网络信息相同,可以完全模拟出电力监控系统的真实业务场景,通过虚拟蜜场网络开展针对网络安全的渗透和入侵诱捕活动,诱捕攻击者对电力监控系统的攻击活动,分析攻击行为,从而避免对实体网络的攻击,提高电力监控系统安全防护能力。
在一可选的实施方式中,上述步骤S1021包括:
基于实体设备信息,采用业务逻辑仿真、电力网络拓扑仿真和协议层仿真对实体设备和网络安全分区进行仿真,建立实体设备对应的仿真设备和网络安全分区对应的仿真网络安全分区。
图5为本实施方式提供的电力监控系统的仿真场景示意图;如图5所示,业务逻辑仿真主要是对仿真设备中的读写文件记录进行对应的仿真;电力网络拓扑仿真,即虚实交互的电力网络拓扑仿真,可以构建出真实的电力监控系统对应的影子系统,将电力监控系统中的上位机、服务器、交换机、PLC(Programmable Logic Controller,可编程逻辑控制器)及各个设备之间的连接关系和数据交互关系进行仿真。协议层仿真是对TCP/IP((Transmission Control Protocol/Internet Protocol,传输控制协议/网际协议)网络指纹、HTTP/SNMP(超文本传输协议/简单邮件传输协议,属于TCP/IP的应用层)、读系统状态列表、读设备指纹信息、读写寄存器、读写文件记录。
在确定实体设备的实体设备信息后,采用业务逻辑仿真、电力网络拓扑仿真和协议层仿真对实体设备和网络安全分区进行仿真,建立实体设备对应的仿真设备和网络安全分区对应的仿真网络安全分区,形成电力监控系统的仿真环境,保证电力监控系统中各个仿真设备之间的数据传输和各个仿真网络安全分区之间的数据传输与实体网路保持一致。
在一可选的实施方式中,仿真主机设备基于网络接口与对应的实体主机设备所属的服务器相连接;仿真主机设备中配置有第一虚拟监测工具,第一虚拟监测工具包括但不限于流量审计、日志审计和探针软件;仿真主机设备中还配置有第二虚拟监测工具,第二虚拟监测工具的配置数据,与仿真主机设备对应的实体主机设备中的第一实体监测工具的配置数据相同,第一实体监测工具包括但不限于防火墙和隔离墙。如图6所示,上述步骤S103包括:
S1031、基于仿真主机设备中的第一虚拟监测工具的运行数据判断虚拟蜜场网络是否检测到网络攻击。
若是,则执行S1032。
S1032、判断仿真主机设备中的第二虚拟监测工具是否检测到网络攻击。
若否,则执行S1033,若是,则执行S1034。
S1033、确定网络攻击为未公布的攻击行为,并对攻击行为进行威胁溯源分析、攻击者画像分析和告警。
S1034、确定网络攻击为已公布的攻击行为,并根据攻击行为对与仿真主机对应的实体主机设备进行安全防护加固。
基于网络接口,通过虚实结合技术将仿真主机设备中的第二虚拟监测工具与对应的实体主机设备中的第一实体监测工具所属的服务器相连接,使得虚拟仿真场景更加趋于电力监控系统的实际场景。例如,实体主机设备A对应的仿真主机设备为A',将仿真主机设备A'的虚拟网卡通过网桥的设置对应映射到实体主机设备A服务器的实际网络接口上。
第一虚拟监测工具包括但不限于流量审计、日志审计和探针软件,通过对第一虚拟监测工具的流量、日志文件进行监控分析,并将流量数据和日志数据送至上位机进行判断,在流量发生异常时,或者日志文件发生异常时,即可判断出虚拟蜜场网络检测到网络攻击。探针软件是部署在仿真主机设备,用于监控分析仿真主机设备的实时状态,例如CPU(Central Processing Unit/Processor,中央处理器)的运行状态,并将仿真主机设备的运行状态数据发送至上位机进行判断,以判断出是否发生了网络攻击。
实体主机设备中配置有第一实体监测工具,由于仿真主机设备的仿真主机信息与对应的实体主机设备的实体主机信息相同,因此,仿真主机设备中相应的配置了第二虚拟监测工具,第二虚拟监测工具的配置数据,与仿真主机设备对应的实体主机设备中的第一实体监测工具的配置数据相同,例如,第一实体监测工具为防火墙,则第二虚拟监测工具也为防火墙,且两个防火墙的各项数据都相同,使得仿真主机设备完全仿真实体主机设备。
首先通过仿真主机设备中的第一虚拟监测工具对电力监控系统进行网络安全监控分析,在第一虚拟监测工具检测到网络攻击时,则进一步查看第二虚拟监测工具是否检测到网络攻击;若第二虚拟监测工具未检测到网络攻击,则确定网络攻击为未公布的攻击行为,并对攻击行为进行威胁溯源分析、攻击者画像分析和告警;若第二虚拟监测工具检测网络攻击,则确定网络攻击为已公布的攻击行为,并根据攻击行为对与仿真主机设备对应的实体主机设备进行安全防护加固。
本实施方式的基于电力监控系统仿真场景的蜜场设计方法,通过由第一虚拟监测工具和第二虚拟监测工具形成的双层网络安全监控分析设备,高效的实现了对电力监控系统的网络安全监控分析,并精准的区分出攻击行为是未公布的攻击行为还是已公布的攻击行为,并根据不同的情况,进行后续处理,从而保证电力监控系统的网络安全,提高了电力监控系统安全防护能力。
在一可选的实施方式中,网络安全分区部署有第二实体监测工具;如图7所示,上述步骤S1023之前还包括:
S1020、在网络安全分区对应的仿真网络安全分区中部署第三虚拟监测工具。
其中,第三虚拟监测工具的配置数据与第二实体监测工具的配置数据相同。
实体主机设备中部署了主机级别的第一实体监测工具,网络安全分区部署有分区级别的第二实体监测工具,第二实体监测工具包括但不限于入侵检测和防火墙等。因此,在网络安全分区对应的仿真网络安全分区中部署对应的第三虚拟监测工具,第三虚拟监测工具的配置数据与第二实体监测工具的配置数据相同,例如网络安全分区的第二实体监测工具为入侵检测,则对应的仿真网络安全分区的第三虚拟监测工具同样为入侵检测,且两个入侵检测的各项数据都相同,使得仿真网络安全分区完全仿真实网络安全分区。
同样,基于网络接口,通过虚实结合技术将仿真网络安全分区中的第三虚拟监测工具与对应的网络安全分区中的第二实体监测工具所属的服务器相连接,使得虚拟仿真场景更加趋于电力监控系统的实际场景。各个网络安全分区之间对外的出口一般会通过通讯服务器基于网络设备对外传输,通过虚拟的通讯服务器映射到网络安全分区对应的服务器的网络接口上。
在一可选的实施方式中,蜜场设计方法还包括:
S104、预先在电力监控系统中部署网络漏洞,基于网络漏洞对攻击者进行攻击诱捕。
S105、当第一虚拟监测工具检测到攻击者针对网络漏洞进行攻击时,获取攻击对应的攻击数据,对攻击数据进行攻击行为分析。
虚拟蜜场网络自身具有攻击诱捕特性,可以诱捕攻击者对电力监控系统进行攻击。通过预先在电力监控系统中部署网络漏洞,基于网络漏洞对攻击者进行攻击诱捕,实现了电力监控系统的漏洞伪装,当第一虚拟监测工具检测到攻击者针对网络漏洞进行攻击时,获取攻击对应的攻击数据,对攻击数据进行攻击行为分析,从而依托虚拟蜜场网络的攻击数据,完善了对实际网络的安全防护体系和防护策略,形成网络安全实战对抗工作能力;同时,依托虚拟蜜场网络开展测试验证、安全技术研究等安全研究活动,提升了相关人员网络安全攻防技术以及分析水平,满足了企业发展需要。
实施例2
本实施例提供了一种基于电力监控系统仿真场景的蜜场设计系统,如图8所示,蜜场设计系统包括:实体网络获取模块1,用于获取电力监控系统的实体网络对应的实体网络信息;虚拟网络搭建模块2,用于基于预设仿真技术搭建电力监控系统的虚拟蜜场网络;其中,虚拟蜜场网络对应的虚拟网络信息与实体网络对应的实体网络信息相同,预设仿真技术的仿真精度高于设定阈值;安全监控分析模块3,用于基于虚拟蜜场网络对电力监控系统进行网络安全监控分析。
在一可选的实施方式中,电力监控系统中包括若干个网络安全分区,每个网络安全分区包括若干个实体设备;实体设备包括实体主机设备、实体网络设备和实体专用设备;实体网络获取模块1具体用于获取各个实体设备对应的实体设备信息和各个实体设备之间的第一网络拓扑信息,以及各个网络安全分区之间的第二网络拓扑信息;其中,实体网络信息包括实体设备信息、第一网络拓扑信息和第二网络拓扑信息;实体设备部署有第一实体监测工具,实体设备信息包括实体主机设备的操作系统的关联数据、应用系统的关联数据和数据库的关联数据,以及实体网络设备和实体专用设备运行状态相关的关联数据,以及第一实体监测工具对应的配置数据。
在一可选的实施方式中,虚拟网络搭建模块2包括:仿真分区建立单元21,用于基于实体设备信息建立实体设备对应的仿真设备,并建立网络安全分区对应的仿真网络安全分区;其中,仿真设备包括分别与实体主机设备、实体网络设备和实体专用设备对应的仿真主机设备、仿真网络设备和仿真专用设备;仿真设备对应的仿真设备信息与实体设备对应的实体设备信息相同;网桥配置单元22,用于基于第一网络拓扑信息配置各个仿真设备之间的第一网桥,基于第二网络拓扑信息配置各个仿真网络安全分区之间的第二网桥;虚拟网络搭建单元23,用于基于第一网桥对各个仿真设备进行连接,基于第二网桥对各个仿真网络安全分区进行连接,以搭建出虚拟蜜场网络。
在一可选的实施方式中,仿真分区建立单元21具体用于基于实体设备信息,采用业务逻辑仿真、电力网络拓扑仿真和协议层仿真对实体设备和网络安全分区进行仿真,建立实体设备对应的仿真设备和网络安全分区对应的仿真网络安全分区。
在一可选的实施方式中,仿真主机设备基于网络接口与对应的实体主机设备所属的服务器相连接;仿真主机设备中配置有第一虚拟监测工具,第一虚拟监测工具包括流量审计、日志审计和探针软件;仿真主机设备中还配置有第二虚拟监测工具,第二虚拟监测工具的配置数据,与仿真主机设备对应的实体主机设备中的第一实体监测工具的配置数据相同,第一实体监测工具包括防火墙和隔离墙中的至少一种;安全监控分析模块3包括:第一判断单元31,用于基于仿真主机设备中的第一虚拟监测工具的运行数据判断虚拟蜜场网络是否检测到网络攻击;第二判断单元32,用于在第一判断单元31判断出虚拟蜜场网络检测到网络攻击时,判断仿真主机设备中的第二虚拟监测工具是否检测到网络攻击;攻击行为分析单元33,用于若第二虚拟监测工具未检测到网络攻击,则确定网络攻击为未公布的攻击行为,并对攻击行为进行威胁溯源分析、攻击者画像分析和告警;攻击行为分析单元33还用于若第二虚拟监测工具检测到网络攻击,则确定网络攻击为已公布的攻击行为,并根据攻击行为对与仿真主机设备对应的实体主机设备进行安全防护加固。
在一可选的实施方式中,网络安全分区部署有第二实体监测工具;虚拟网络搭建模块2还包括:
分区监测部署单元24,用于在网络安全分区对应的仿真网络安全分区中部署第三虚拟监测工具;其中,第三虚拟监测工具的配置数据与第二实体监测工具的配置数据相同。
在一可选的实施方式中,蜜场设计系统还包括:漏洞部署模块4,用于预先在电力监控系统中部署网络漏洞,基于网络漏洞对攻击者进行攻击诱捕;攻击行为分析单元33还用于当第一虚拟监测工具检测到攻击者针对网络漏洞进行攻击时,获取攻击对应的攻击数据,对攻击数据进行攻击行为分析。
在一可选的实施方式中,预设仿真技术包括网络靶场技术。
本实施例的基于电力监控系统仿真场景的蜜场设计系统的工作原理与实施1中的基于电力监控系统仿真场景的蜜场设计方法的工作原理相同,此处就不再赘述。
本实施例的基于电力监控系统仿真场景的蜜场设计系统,基于预设仿真技术搭建出了电力监控系统的虚拟蜜场网络,虚拟蜜场网络对应的虚拟网络信息与实体网络对应的实体网络信息相同,可以完全模拟出电力监控系统的真实业务场景,通过虚拟蜜场网络开展针对网络安全的渗透和入侵诱捕活动,诱捕攻击者对电力监控系统的攻击活动,分析攻击行为,从而避免对实体网络的攻击,提高电力监控系统安全防护能力;同时,依托虚拟蜜场网络的数据,完善了对实际网络的安全防护体系和防护策略,形成网络安全实战对抗工作能力;依托虚拟蜜场网络开展测试验证、安全技术研究等安全研究活动,提升了相关人员网络安全攻防技术以及分析水平,满足了企业发展需要。
实施例3
本实施例提供一种电子设备,图9为本实施例提供的电子设备的结构示意图,电子设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述实施例1中的基于电力监控系统仿真场景的蜜场设计方法。图9显示的电子设备70仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。如图9所示,电子设备70可以以通用计算设备的形式表现,例如其可以为服务器设备。电子设备70的组件可以包括但不限于:上述至少一个处理器71、上述至少一个存储器72、连接不同系统组件(包括存储器72和处理器71)的总线73。
总线73包括数据总线、地址总线和控制总线。
存储器72可以包括易失性存储器,例如随机存取存储器(RAM)721和/或高速缓存存储器722,还可以进一步包括只读存储器(ROM)723。
存储器72还可以包括具有一组(至少一个)程序模块724的程序工具725(或实用工具),这样的程序模块724包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
处理器71通过运行存储在存储器72中的计算机程序,从而执行各种功能应用以及数据处理,例如上述实施例1中的基于电力监控系统仿真场景的蜜场设计方法。
电子设备70也可以与一个或多个外部设备74通信。这种通信可以通过输入/输出(I/O)接口75进行。并且,模型生成的电子设备70还可以通过网络适配器76与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图9所示,网络适配器76通过总线73与电子设备70的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备70使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID(磁盘阵列)系统、磁带驱动器以及数据备份存储系统等。
应当注意,尽管在上文详细描述中提及了电子设备的若干单元/模块或子单元/模块,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多单元/模块的特征和功能可以在一个单元/模块中具体化。反之,上文描述的一个单元/模块的特征和功能可以进一步划分为由多个单元/模块来具体化。
实施例4
本实施例提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序在由处理器执行时实现上述实施例1中的基于电力监控系统仿真场景的蜜场设计方法。
其中,可读存储介质可以采用的更具体可以包括但不限于:便携式盘、硬盘、随机存取存储器、只读存储器、可擦拭可编程只读存储器、光存储器件、磁存储器件或上述的任意合适的组合。
在可能的实施方式中,本发明还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行实现上述实施例1中的基于电力监控系统仿真场景的蜜场设计方法中的步骤。
其中,可以以一种或多种程序设计语言的任意组合来编写用于执行本发明的程序代码,程序代码可以完全地在用户设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户设备上部分在远程设备上执行或完全在远程设备上执行。
虽然以上描述了本发明的具体实施方式,但是本领域的技术人员应当理解,这仅是举例说明,本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下,可以对这些实施方式做出多种变更或修改,但这些变更和修改均落入本发明的保护范围。
Claims (11)
1.一种基于电力监控系统仿真场景的蜜场设计方法,其特征在于,所述蜜场设计方法包括:
获取所述电力监控系统的实体网络对应的实体网络信息;
基于预设仿真技术搭建所述电力监控系统的虚拟蜜场网络;
其中,所述虚拟蜜场网络对应的虚拟网络信息与所述实体网络对应的所述实体网络信息相同,所述预设仿真技术的仿真精度高于设定阈值;
基于所述虚拟蜜场网络对所述电力监控系统进行网络安全监控分析。
2.根据权利要求1所述的蜜场设计方法,其特征在于,所述电力监控系统中包括若干个网络安全分区,每个所述网络安全分区包括若干个实体设备;所述实体设备包括实体主机设备、实体网络设备和实体专用设备;
所述获取所述电力监控系统的实体网络对应的实体网络信息的步骤包括:
获取各个所述实体设备对应的实体设备信息和各个所述实体设备之间的第一网络拓扑信息,以及各个所述网络安全分区之间的第二网络拓扑信息;
其中,所述实体网络信息包括所述实体设备信息、所述第一网络拓扑信息和所述第二网络拓扑信息;
所述实体设备部署有第一实体监测工具,所述实体设备信息包括所述实体主机设备的操作系统的关联数据、应用系统的关联数据和数据库的关联数据,以及所述实体网络设备和所述实体专用设备运行状态相关的关联数据,以及所述第一实体监测工具对应的配置数据。
3.根据权利要求2所述的蜜场设计方法,其特征在于,所述基于预设仿真技术搭建所述电力监控系统的虚拟蜜场网络的步骤包括:
基于所述实体设备信息建立所述实体设备对应的仿真设备,并建立所述网络安全分区对应的仿真网络安全分区;
其中,所述仿真设备包括分别与所述实体主机设备、所述实体网络设备和所述实体专用设备对应的仿真主机设备、仿真网络设备和仿真专用设备;所述仿真设备对应的仿真设备信息与所述实体设备对应的所述实体设备信息相同;
基于所述第一网络拓扑信息配置各个所述仿真设备之间的第一网桥,基于所述第二网络拓扑信息配置各个所述仿真网络安全分区之间的第二网桥;
基于所述第一网桥对各个所述仿真设备进行连接,基于所述第二网桥对各个所述仿真网络安全分区进行连接,以搭建出所述虚拟蜜场网络。
4.根据权利要求3所述的蜜场设计方法,其特征在于,所述基于所述实体设备信息建立所述实体设备对应的仿真设备,并建立所述网络安全分区对应的仿真网络安全分区的步骤包括:
基于所述实体设备信息,采用业务逻辑仿真、电力网络拓扑仿真和协议层仿真对所述实体设备和所述网络安全分区进行仿真,建立所述实体设备对应的所述仿真设备和所述网络安全分区对应的所述仿真网络安全分区。
5.根据权利要求3所述的蜜场设计方法,其特征在于,所述仿真主机设备中基于网络接口与对应的所述实体主机设备所属的服务器相连接;
所述仿真主机设备中配置有第一虚拟监测工具,所述第一虚拟监测工具包括流量审计、日志审计和探针软件;
所述仿真主机设备中还配置有第二虚拟监测工具,所述第二虚拟监测工具的配置数据,与所述仿真主机设备对应的所述实体主机设备中的所述第一实体监测工具的配置数据相同,所述第一实体监测工具包括防火墙和隔离墙中的至少一种;
所述基于所述虚拟蜜场网络对所述电力监控系统进行网络安全监控分析的步骤包括:
基于所述仿真主机设备中的所述第一虚拟监测工具的运行数据判断所述虚拟蜜场网络是否检测到网络攻击;
若是,则判断所述仿真主机设备中的所述第二虚拟监测工具是否检测到网络攻击;
若所述第二虚拟监测工具未检测到所述网络攻击,则确定所述网络攻击为未公布的攻击行为,并对所述攻击行为进行威胁溯源分析、攻击者画像分析和告警;
若所述第二虚拟监测工具检测到所述网络攻击,则确定所述网络攻击为已公布的攻击行为,并根据所述攻击行为对与所述仿真主机设备对应的所述实体主机设备进行安全防护加固。
6.根据权利要求3所述的蜜场设计方法,其特征在于,所述网络安全分区部署有第二实体监测工具;
所述基于所述第一网桥对各个所述仿真主机设备进行连接,基于所述第二网桥对各个所述仿真网络安全分区进行连接,以搭建出所述虚拟蜜场网络的步骤之前还包括:
在所述网络安全分区对应的所述仿真网络安全分区中部署第三虚拟监测工具;
其中,所述第三虚拟监测工具的配置数据与所述第二实体监测工具的配置数据相同。
7.根据权利要求5所述的蜜场设计方法,其特征在于,所述蜜场设计方法还包括:
预先在所述电力监控系统中部署网络漏洞,基于所述网络漏洞对攻击者进行攻击诱捕;
当所述第一虚拟监测工具检测到所述攻击者针对所述网络漏洞进行攻击时,获取所述攻击对应的攻击数据,对所述攻击数据进行攻击行为分析。
8.根据权利要求1-7中任一项所述的蜜场设计方法,其特征在于,所述预设仿真技术包括网络靶场技术。
9.一种基于电力监控系统仿真场景的蜜场设计系统,其特征在于,所述蜜场设计系统包括:
实体网络获取模块,用于获取所述电力监控系统的实体网络对应的实体网络信息;
虚拟网络搭建模块,用于基于预设仿真技术搭建所述电力监控系统的虚拟蜜场网络;
其中,所述虚拟蜜场网络对应的虚拟网络信息与所述实体网络对应的所述实体网络信息相同,所述预设仿真技术的仿真精度高于设定阈值;
安全监控分析模块,用于基于所述虚拟蜜场网络对所述电力监控系统进行网络安全监控分析。
10.一种电子设备,包括存储器、处理器及存储在存储器上并用于在处理器上运行的计算机程序,其特征在于,所述处理器执行计算机程序时实现如权利要求1-8中任一项所述的基于电力监控系统仿真场景的蜜场设计方法。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-8中任一项所述的基于电力监控系统仿真场景的蜜场设计方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310122013.5A CN116192495B (zh) | 2023-02-15 | 2023-02-15 | 电力监控系统蜜场的设计方法、系统、设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310122013.5A CN116192495B (zh) | 2023-02-15 | 2023-02-15 | 电力监控系统蜜场的设计方法、系统、设备和介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116192495A true CN116192495A (zh) | 2023-05-30 |
CN116192495B CN116192495B (zh) | 2023-11-10 |
Family
ID=86445760
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310122013.5A Active CN116192495B (zh) | 2023-02-15 | 2023-02-15 | 电力监控系统蜜场的设计方法、系统、设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116192495B (zh) |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6005759A (en) * | 1998-03-16 | 1999-12-21 | Abb Power T&D Company Inc. | Method and system for monitoring and controlling an electrical distribution network |
CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
CN104410617A (zh) * | 2014-11-21 | 2015-03-11 | 西安邮电大学 | 一种云平台的信息安全攻防体系架构 |
CN106506435A (zh) * | 2015-09-08 | 2017-03-15 | 中国电信股份有限公司 | 用于检测网络攻击的方法和防火墙系统 |
CN109495440A (zh) * | 2018-09-06 | 2019-03-19 | 国家电网有限公司 | 一种内网动态防御的随机方法 |
KR20190029486A (ko) * | 2017-09-11 | 2019-03-20 | 숭실대학교산학협력단 | 탄력적 허니넷 시스템 및 그 동작 방법 |
CN110784476A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 一种基于虚拟化动态部署的电力监控主动防御方法及系统 |
US20200153861A1 (en) * | 2018-11-13 | 2020-05-14 | Electronics And Telecommunications Research Institute | Decoy apparatus and method for expanding fake attack surface using deception network |
CN114422196A (zh) * | 2021-12-24 | 2022-04-29 | 北京永信至诚科技股份有限公司 | 一种网络靶场安全管控系统和方法 |
CN114584359A (zh) * | 2022-02-24 | 2022-06-03 | 烽台科技(北京)有限公司 | 安全诱捕方法、装置和计算机设备 |
CN115694965A (zh) * | 2022-10-27 | 2023-02-03 | 南方电网科学研究院有限责任公司 | 一种电力行业网络安全密网系统 |
-
2023
- 2023-02-15 CN CN202310122013.5A patent/CN116192495B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6005759A (en) * | 1998-03-16 | 1999-12-21 | Abb Power T&D Company Inc. | Method and system for monitoring and controlling an electrical distribution network |
CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
CN104410617A (zh) * | 2014-11-21 | 2015-03-11 | 西安邮电大学 | 一种云平台的信息安全攻防体系架构 |
CN106506435A (zh) * | 2015-09-08 | 2017-03-15 | 中国电信股份有限公司 | 用于检测网络攻击的方法和防火墙系统 |
KR20190029486A (ko) * | 2017-09-11 | 2019-03-20 | 숭실대학교산학협력단 | 탄력적 허니넷 시스템 및 그 동작 방법 |
CN109495440A (zh) * | 2018-09-06 | 2019-03-19 | 国家电网有限公司 | 一种内网动态防御的随机方法 |
US20200153861A1 (en) * | 2018-11-13 | 2020-05-14 | Electronics And Telecommunications Research Institute | Decoy apparatus and method for expanding fake attack surface using deception network |
CN110784476A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 一种基于虚拟化动态部署的电力监控主动防御方法及系统 |
CN114422196A (zh) * | 2021-12-24 | 2022-04-29 | 北京永信至诚科技股份有限公司 | 一种网络靶场安全管控系统和方法 |
CN114584359A (zh) * | 2022-02-24 | 2022-06-03 | 烽台科技(北京)有限公司 | 安全诱捕方法、装置和计算机设备 |
CN115694965A (zh) * | 2022-10-27 | 2023-02-03 | 南方电网科学研究院有限责任公司 | 一种电力行业网络安全密网系统 |
Also Published As
Publication number | Publication date |
---|---|
CN116192495B (zh) | 2023-11-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11316891B2 (en) | Automated real-time multi-dimensional cybersecurity threat modeling | |
Mallouhi et al. | A testbed for analyzing security of SCADA control systems (TASSCS) | |
CN112054996B (zh) | 一种蜜罐系统的攻击数据获取方法、装置 | |
CN110784476A (zh) | 一种基于虚拟化动态部署的电力监控主动防御方法及系统 | |
US9350748B1 (en) | Countering service enumeration through optimistic response | |
Fovino et al. | Cyber security assessment of a power plant | |
Pliatsios et al. | A novel and interactive industrial control system honeypot for critical smart grid infrastructure | |
Disso et al. | A plausible solution to SCADA security honeypot systems | |
CN110990115A (zh) | 针对蜜罐的容器化部署管理系统及其方法 | |
Lucchese et al. | HoneyICS: A high-interaction physics-aware honeynet for industrial control systems | |
CN112398857B (zh) | 防火墙测试方法、装置、计算机设备和存储介质 | |
Maesschalck et al. | World wide ics honeypots: A study into the deployment of conpot honeypots | |
Murillo et al. | High-fidelity cyber and physical simulation of water distribution systems. II: Enabling cyber-physical attack localization | |
CN116781412A (zh) | 一种基于异常行为的自动防御方法 | |
CN111245800B (zh) | 网络安全测试方法和装置、存储介质、电子装置 | |
CN116192495B (zh) | 电力监控系统蜜场的设计方法、系统、设备和介质 | |
CN105025067A (zh) | 一种信息安全技术研究平台 | |
KR101200055B1 (ko) | 합동전력군사지휘소용 지휘통제통신컴퓨터감시정찰 종합운용체계 및 데이터 센터 시스템에 대한 실시간 해킹 및 침입 방지 시스템 | |
Pacheco et al. | Security framework for IoT cloud services | |
Wei et al. | Study on active defense of honeypot-based industrial control network | |
Thorpe et al. | A cyber-physical experimentation platform for resilience analysis | |
Basan et al. | Exploring Security Testing Methods for Cyber-Physical Systems | |
CN112637873A (zh) | 基于无人系统无线通信网络的鲁棒性测试方法及装置 | |
Furfaro et al. | Gathering Malware Data through High-Interaction Honeypots. | |
CN116668061A (zh) | 基于机器学习的电力监控系统的网络安全主动防御方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |