一种用于发电厂控制系统的蜜罐防御控制方法及装置制造方法及图纸

本发明专利技术涉及工业控制系统技术领域，并提供一种用于发电厂控制系统的蜜罐防御控制方法及装置，蜜罐防御控制方法包括如下步骤：将发电厂控制系统置于沙盒中营造高仿真的交互场景，以形成工控蜜罐，并通过所述工控蜜罐捕获不利于所述发电厂控制系统的异常数据；针对所述异常数据，进行数据分析，以识别出来源于攻击者发起的攻击数据；针对所述攻击数据，进行数据处理；本发明专利技术将发电厂控制系统置于沙盒内以形成工控蜜罐，营造出高仿真的交互场景，以提高蜜罐的“甜度”，换言之，提高工控蜜罐的诱捕能力，对存在不利于发电厂控制系统的异常数据进行分析后判定识别出来源于攻击者的攻击数据，进行数据处理，从而有效的提高发电厂控制系统的防御能力。制系统的防御能力。制系统的防御能力。

【技术实现步骤摘要】
一种用于发电厂控制系统的蜜罐防御控制方法及装置


[0001]本专利技术涉及工业控制系统
，具体而言，涉及一种用于发电厂控制系统的蜜罐防御控制方法及装置。

技术介绍

[0002]随着互联网、物联网、5G等网络技术的发展，工业控制系统网络逐步由独立封闭的网络向通用互联网转化。大量的工业控制设备逐渐接入互联网，不仅节省人力资源成本提高工业生产效率，还实现了工业生产、控制、管理的智能化；当前，工业控制系统结合多种新型信息技术的发展与应用，给工业控制系统信息安全保障工作提出了新任务、新挑战，工业控制系统的安全问题不容忽视；电力行业作为工业控制领域的重要组成部分，正面临着严峻的信息安全风险，亟需对目前的电力工业控制系统网络安全方面进行深入的研究分析；顺应时代响应，当前发电厂控制系统结合多种新型信息技术已经成为近年来的发展趋势；同时也为工业控制系统网络安全防护工作带来了新任务、新挑战。
[0003]由于早年工控网络环境以物理防护为主，设计研发的工控协议并没有考虑通用互联网威胁，很多工控协议缺乏安全机制；在智能电网的大环境下，发电厂系统将不再完全物理隔离，很多数据流通向企业内网，甚至完全暴露在互联网中；由于电力系统具有实时性、可靠性、分布性等特殊性，针对当前面临的电力系统威胁情况，结合主动防御技术，以陷阱的方式来保护电力系统不受威胁，例如，采用蜜罐技术结合发电厂控制系统而成的工控蜜罐，一直是近几年的研究热点；工控蜜罐在受到黑客攻击后不会对电力系统造成损失，同时还可以捕获黑客的攻击数据用来后续的分析和研究，将研究成果应用于维护整个电力控制系统。
[0004]目前现有的工控蜜罐中在工控协议实现方面大多是西门子、施耐德相关通讯设备的工控协议，其他工控设备领域通讯协议比较匮乏；目前流行的工控蜜罐主要是高交互蜜罐，比如XPOT 、HoneyPLC蜜罐系统，但是上述高交互蜜罐系统不仅成本高，而且一旦受到攻击恢复困难，导致维护成本更高。

技术实现思路

[0005]本专利技术解决的问题是如何有效提高发电厂控制系统的防御能力。
[0006]为解决上述问题，本专利技术提供一种用于发电厂控制系统的蜜罐防御控制方法，包括如下步骤：将发电厂控制系统置于沙盒中营造高仿真的交互场景，以形成工控蜜罐，并通过所述工控蜜罐捕获不利于所述发电厂控制系统的异常数据；针对所述异常数据，进行数据分析，以识别出来源于攻击者发起的攻击数据；针对所述攻击数据，进行数据处理。
[0007]可选地，所述工控蜜罐包括核心库psutil和scapy库；所述异常数据包括进程数据、文件数据和网络数据包；所述并通过所述工控蜜罐捕获不利于所述发电厂控制系统的
异常数据包括：通过所述核心库psutil捕获所述进程数据和所述文件数据；以及通过所述scapy库捕获所述网络数据包。
[0008]可选地，所述攻击数据包括异常进程、异常文件和异常数据包；所述针对所述异常数据，进行数据分析，以识别出来源于攻击者发起的攻击数据包括：通过随机森林模型，对所述异常数据中的所述进程数据和所述文件数据分别进行数据分析，以分别识别出异常进程和异常文件。
[0009]可选地，所述针对所述异常数据，进行数据分析，以识别出来源于攻击者发起的攻击数据还包括：采用机器学习算法对比的方式，评估所述随机森林模型的识别性能。
[0010]可选地，所述采用机器学习算法对比的方式，评估所述随机森林模型的识别性能包括：获取发电厂控制系统在正常运行时的正常数据，以及攻击样本数据；其中，所述正常数据包括正常进程和正常文件；对所述正常数据和所述攻击样本数据进行数据降维处理，以形成样本数据集；其中，所述样本数据集包括训练数据集和测试数据集；采用同样的所述训练数据集分别对所述随机森林模型和多种不同的参照机器学习模型进行参数学习；其中，所述随机森林模型和所述参照机器学习模型分别包括模型判别函数；通过所述测试数据集，以及所述随机森林模型和所述参照机器学习模型中的所述模型判别函数，分别生成第一预测结果和第二预测结果；从多个评价指标，根据所述第一预测结果和所述第二预测结果比对结果，以评估所述随机森林模型的识别性能。
[0011]可选地，所述针对所述攻击数据，进行数据处理包括：对识别出的所述异常进程进行转存并告警；和/或，对所述异常进程进行阻断。
[0012]可选地，所述针对所述攻击数据，进行数据处理包括：对识别出的所述异常文件进行转存并告警；和/或，对所述异常文件进行提交至所述沙盒的分析工具进行分析或进行删除处理。
[0013]可选地，所述针对所述异常数据，进行数据分析，以识别出来源于攻击者发起的攻击数据包括：根据所述异常数据中的网络数据包，通过端口号方式来判断是否为EGD协议；若是，则通过EGD协议，对所述异常数据中网络数据包进行数据分析，以从所述网络数据包中识别出异常数据包；其中，所述异常数据包是指不符合通讯规约的异常网络数据。
[0014]可选地，所述针对所述攻击数据，进行数据处理包括：对识别出的所述异常数据包进行转存并告警；发送默认响应包，以响应所述异常数据包。
[0015]与现有技术相比，本专利技术通过将发电厂控制系统置于沙盒内以形成工控蜜罐，从而营造出高仿真的交互场景，以提高蜜罐的“甜度”，换言之，提高工控蜜罐的诱捕能力，并且还可以通过工控蜜罐捕获不利于发电厂控制系统的异常数据，随后在针对所述异常数据进行数据分析，以从异常数据中识别出攻击者发起的攻击数据，换言之，对存在不利于发电厂控制系统的异常数据进行分析后以判定识别出来源于攻击者发起的攻击数据；最后针对攻击数据，进行数据处理，例如可以告知网络安全管理员及时阻断，从而有效的提高发电厂控制系统的防御能力。另外，沙盒的恢复功能使得攻击者对沙盒内的发电厂控制系统遭受攻击破坏后更容易恢复，从而大大降低工控蜜罐的维护成本，以及沙盒的防逃逸功能防止
攻击者识别工控蜜罐后借助为跳板转而攻击其他设备。
[0016]第二方面，本专利技术提供一种用于发电厂控制系统的蜜罐防御控制装置，包括：数据捕获模块，用于在将发电厂控制系统置于沙盒中营造高仿真的交互场景，以形成工控蜜罐之后，通过所述工控蜜罐捕获不利于所述发电厂控制系统的异常数据；数据分析模块，用于针对所述异常数据，进行数据分析，以识别出来源于攻击者发起的攻击数据；数据处理模块，用于针对所述攻击数据，进行数据处理。
[0017]由于，一种用于发电厂控制系统的蜜罐防御控制装置，用于实现上述用于发电厂控制系统的蜜罐防御控制方法，因此，用于发电厂控制系统的蜜罐防御控制装置至少具有用于发电厂控制系统的蜜罐防御控制方法的全部有益效果，在此不再赘述。
附图说明
[0018]图1为本专利技术实施例中蜜罐防御控制方法的步骤示意图；图2为本专利技术实施例中对异常进程和异常文件的处理步骤示意图；图3为本专利技术实施例中对网络数据包的处理步骤示意图；图4为本专利技术实施例中蜜罐防御控制装置的结构示意图。
具体实施方式
[0019]为使本专利技术的上述目的、特征和优点能够更为明显易懂，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于发电厂控制系统的蜜罐防御控制方法，其特征在于，包括如下步骤：将发电厂控制系统置于沙盒中营造高仿真的交互场景，以形成工控蜜罐，并通过所述工控蜜罐捕获不利于所述发电厂控制系统的异常数据； 针对所述异常数据，进行数据分析，以识别出来源于攻击者发起的攻击数据；针对所述攻击数据，进行数据处理。2.根据权利要求1所述的用于发电厂控制系统的蜜罐防御控制方法，其特征在于，所述工控蜜罐包括核心库psutil和scapy库；所述异常数据包括进程数据、文件数据和网络数据包；所述并通过所述工控蜜罐捕获不利于所述发电厂控制系统的异常数据包括：通过所述核心库psutil捕获所述进程数据和所述文件数据；以及通过所述scapy库捕获所述网络数据包。3.根据权利要求2所述的用于发电厂控制系统的蜜罐防御控制方法，其特征在于，所述攻击数据包括异常进程、异常文件和异常数据包；所述针对所述异常数据，进行数据分析，以识别出来源于攻击者发起的攻击数据包括：通过随机森林模型，对所述异常数据中的所述进程数据和所述文件数据分别进行数据分析，以分别识别出异常进程和异常文件。4.根据权利要求3所述的用于发电厂控制系统的蜜罐防御控制方法，其特征在于，所述针对所述异常数据，进行数据分析，以识别出来源于攻击者发起的攻击数据还包括：采用机器学习算法对比的方式，评估所述随机森林模型的识别性能。5.根据权利要求4所述的用于发电厂控制系统的蜜罐防御控制方法，其特征在于，所述采用机器学习算法对比的方式，评估所述随机森林模型的识别性能包括：获取发电厂控制系统在正常运行时的正常数据，以及攻击样本数据；其中，所述正常数据包括正常进程和正常文件；对所述正常数据和所述攻击样本数据进行数据降维处理，以形成样本数据集；其中，所述样本数据集包括训练数据集和测试数据集；采用同样的所述训练数据集分别对所述随机森林模型和多种不同的参照机器学习模型进行参数学习；其中，所述随机...

【专利技术属性】
技术研发人员：王钢，姚旭，张立芳，孙叶，
申请(专利权)人：内蒙古工业大学，
类型：发明
国别省市：