一种基于蜜网的电力信息网络防御系统和方法技术方案

本发明专利技术属于网络安全技术领域，尤其涉及一种基于蜜网的电力信息网络防御系统和方法。本发明专利技术是在耦合网络中建立含有蜜网的双层耦合网络的恶意软件传播模型，并根据模型建立基于蜜网的电力信息网络防御系统；即根据实际网络结构，构建非均匀分布的双层耦合网络；所述构建非均匀分布的双层耦合网络，为含有工控蜜罐的双层耦合网络的恶意软件传播模型，包含：电力信息网和蜜网。本发明专利技术在构建网络结构时，考虑非均匀网络结构更符合真实的电力信息网络，利用蜜网技术，既能有针对性、有效地对抗在电力信息网中大肆传播的恶意软件，还能够利用可视化技术直观地展示模型的预测结果，同时研究结果也有利于提高蜜罐的部署效率。结果也有利于提高蜜罐的部署效率。结果也有利于提高蜜罐的部署效率。

【技术实现步骤摘要】
一种基于蜜网的电力信息网络防御系统和方法


[0001]本专利技术属于网络安全
，尤其涉及一种基于蜜网的电力信息网络防御系统和方法。

技术介绍

[0002]目前，暴露在互联网中的工控系统越来越多，电力信息网络协议中的漏洞也层出不穷。由于 计算机恶意软件的传播与人类传染病传播模型存在着相似之，很多学者对恶意软件的传播模型进 行研究，进而分析恶意软件的攻击特性和传播趋势，一些受SIR模型 (Susceptible
‑
Infective
‑
Removal)启发的数学模型已被用于抑制恶意软件的传播。同时，许 多研究表明，网络的拓扑结构对恶意软件的传播具有重要影响。因此，研究电力信息网的拓扑结 构是分析恶意软件传播及对抗的重要因素。
[0003][0004]传统的防病毒、防入侵等系统软件，例如使用防火墙，入侵检测系统(IDS)和良性蠕虫防 御系统，然而，这些针对恶意软件入侵的技术通常基于已知的恶意软件样本。而由于工业控制系 统网络的协议种类繁杂、相对隔离、网络结构复杂且耦合度高等特性，如何获取样本信息以对恶 意软件进行对抗成为重中之重。
[0005]蜜网是由多个蜜罐组成的网络，蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置 一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进 行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了 解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。工控蜜罐通 过模拟PLC(可编程逻辑控制器)等电力设备，诱使恶意软件对它们实施攻击，从而可以对攻击 行为进行捕获和分析。
[0006]目前，关于蜜罐的大多数研究都集中在其技术水平上，如数据捕获，信息收集和虚拟化技术。 然而，由于电力信息网络的物理过程和后果有着非常复杂的相互作用、工控网络隔离特征、通信 协议专有性与复杂性等特征，使得蜜罐应用于电力信息网络中的对于恶意软件的对抗与控制相较 于互联网更有难度。
[0007]因此，目前针对电力信息网络领域，使用蜜网技术对抗恶意软件，鲜有有效的解决方案。

技术实现思路

[0008]针对上述现有技术中存在的不足之处，本专利技术提供了一种基于蜜网的电力信息网络防御系统 和方法。其目的是为了实现既能有针对性、有效地对抗在电力信息网中大肆传播的恶意软件，还 能够利用可视化技术直观地展示模型的预测结果，提高蜜罐的部署效率的专利技术目的。
[0009]本专利技术为实现上述目的所采用的技术方案是：
[0010]一种基于蜜网的电力信息网络防御系统，是在耦合网络中建立含有蜜网的双层耦
合网络的恶 意软件传播模型，并根据模型建立基于蜜网的电力信息网络防御系统；即根据实际网络结构，构 建非均匀分布的双层耦合网络；所述构建非均匀分布的双层耦合网络，为含有工控蜜罐的双层耦 合网络的恶意软件传播模型，包含：电力信息网和蜜网。
[0011]一种基于蜜网的电力信息网络防御方法，包括以下步骤：
[0012]步骤1.根据实际网络结构，构建非均匀分布的双层耦合网络；
[0013]步骤2.根据构建的非均匀分布的双层耦合网络，提出基于工控蜜罐的恶意软件对抗策略；即 含有工控蜜罐的双层耦合网络的恶意软件传播模型对抗恶意软件的对抗策略；包括以下步骤：
[0014]步骤a.根据恶意软件的攻击，电力设备的四种切换状态，以及蜜罐的三种切换状态；
[0015]步骤b.电力设备的电力信息网中易感电力设备被感染的概率β
11
，感染的电力设备恢复的概 率电力设备失去免疫的概率δ1变为易感电力设备；
[0016]蜜罐被感染的电力设备感染的概率β
22
，感染蜜罐的隔离概率蜜罐重新部署回到易感染 状态的概率δ2再次回到易感状态；一旦蜜罐捕获到恶意软件的样本信息，易受攻击的电力信息 中易感电力设备的免疫概率β
12
转换为隔离状态，采取具体的免疫措施来对抗后，部分被隔离的 电力设备将以电力设备的恢复概率ω恢复；
[0017]步骤c.构建遵循幂律分布的耦合网络度分布；
[0018]步骤d.定义网络的平均度和度的二阶矩；
[0019]步骤e.计算易感电力设备和蜜罐分别与感染的电力设备和蜜罐之间的通信概率；
[0020]步骤f
‑
步骤l.分别通过表达式来表示步骤a中的状态转换过程；
[0021]步骤m.计算电力设备和蜜罐的总数量；
[0022]步骤n.得到含有工控蜜罐的双层耦合网络的恶意软件传播模型；
[0023]步骤3.利用可视化展示系统，将模型的预测结果和蜜网的防御效果进行展示。
[0024]更进一步的，所述电力设备的四种切换状态，包括：
[0025]易感状态Susceptible state(Sp)；
[0026]感染状态Infectious state(Ip)；
[0027]隔离状态Quarantined state(Qp)；
[0028]免疫状态Removed state(Rp)；
[0029]分别用Sp(t)，Ip(t)，Qp(t)和Rp(t)表示t时刻易感染状态、感染状态、隔离状态和免疫 状态的电力设备数量；
[0030]所述蜜罐的三种切换状态，包括：
[0031]易感状态Susceptible state(Sh)；
[0032]感染状态Infectious state(Ih)；
[0033]隔离状态Quarantined state(Qh)；
[0034]分别用Sh(t)，Ih(t)和Qh(t)表示t时刻易感染状态、感染状态、隔离状态的蜜罐数量。
[0035]更进一步的，步骤b所述电力设备由易感状态转换为感染状态的概率，为电力信息网中易感 电力设备被感染的概率β
11
；感染的电力设备恢复的概率通过安装补丁等来恢
复；某些情况下， 由于补丁是临时的等原因，电力设备失去免疫的概率δ1变为易感状态电力设备；
[0036]蜜罐由易感状态转换为蜜罐被感染的电力设备感染的概率β
22
，感染蜜罐的隔离概率通过 重新安装，蜜罐重新部署回到易感染状态的概率δ2再次回到易感状态；一旦蜜罐捕获到恶意软 件的样本信息，易受攻击的电力信息中易感电力设备的免疫概率β
12
转换为隔离状态，采取具体 的免疫措施来对抗，部分被隔离的电力设备将以电力设备的恢复概率ω恢复。
[0037]更进一步的，步骤c所述构建遵循幂律分布的耦合网络度分布，包括：
[0038]P(k)＝k
‑
γ
[0039]上式中，P为连接概率,k为节点的边数，r为幂律指数；
[0040]对与电力设备，用(i,j)表示有i条边与其他电力设备相连，j条边与蜜罐相连；对蜜罐，用 (k,l)表示有k条边与本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于蜜网的电力信息网络防御系统，其特征是：在耦合网络中建立含有蜜网的双层耦合网络的恶意软件传播模型，并根据模型建立基于蜜网的电力信息网络防御系统；即根据实际网络结构，构建非均匀分布的双层耦合网络；所述构建非均匀分布的双层耦合网络，为含有工控蜜罐的双层耦合网络的恶意软件传播模型，包含：电力信息网和蜜网。2.一种基于蜜网的电力信息网络防御方法，其特征是：包括以下步骤：步骤1.根据实际网络结构，构建非均匀分布的双层耦合网络；步骤2.根据构建的非均匀分布的双层耦合网络，提出基于工控蜜罐的恶意软件对抗策略；即含有工控蜜罐的双层耦合网络的恶意软件传播模型对抗恶意软件的对抗策略；包括以下步骤：步骤a.根据恶意软件的攻击，电力设备的四种切换状态，以及蜜罐的三种切换状态；步骤b.电力设备的电力信息网中易感电力设备被感染的概率β
11
，感染的电力设备恢复的概率电力设备失去免疫的概率δ1变为易感电力设备；蜜罐被感染的电力设备感染的概率β
22
，感染蜜罐的隔离概率蜜罐重新部署回到易感染状态的概率δ2再次回到易感状态；一旦蜜罐捕获到恶意软件的样本信息，易受攻击的电力信息中易感电力设备的免疫概率β
12
转换为隔离状态，采取具体的免疫措施来对抗后，部分被隔离的电力设备将以电力设备的恢复概率ω恢复；步骤c.构建遵循幂律分布的耦合网络度分布；步骤d.定义网络的平均度和度的二阶矩；步骤e.计算易感电力设备和蜜罐分别与感染的电力设备和蜜罐之间的通信概率；步骤f
‑
步骤l.分别通过表达式来表示步骤a中的状态转换过程；步骤m.计算电力设备和蜜罐的总数量；步骤n.得到含有工控蜜罐的双层耦合网络的恶意软件传播模型；步骤3.利用可视化展示系统，将模型的预测结果和蜜网的防御效果进行展示。3.根据权利要求2所述的一种基于蜜网的电力信息网络防御方法，其特征是：所述电力设备的四种切换状态，包括：易感状态Susceptible state(Sp)；感染状态Infectious state(Ip)；隔离状态Quarantined state(Qp)；免疫状态Removed state(Rp)；分别用Sp(t)，Ip(t)，Qp(t)和Rp(t)表示t时刻易感染状态、感染状态、隔离状态和免疫状态的电力设备数量；所述蜜罐的三种切换状态，包括：易感状态Susceptible state(Sh)；感染状态Infectious state(Ih)；隔离状态Quarantined state(Qh)；分别用Sh(t)，Ih(t)和Qh(t)表示t时刻易感染状态、感染状态、隔离状态的蜜罐数量。4.根据权利要求2所述的一种基于蜜网的电力信息网络防御方法，其特征是：步骤b所述电力设备由易感状态转换为感染状态的概率，为电力信息网中易感电力设备被感染的概
率β
11
；感染的电力设备恢复的概率通过安装补丁等来恢复；某些情况下，由于补丁是临时的等原因，电力设备失去免疫的概率δ1变为易感状态电力设备；蜜罐由易感状态转换为蜜罐被感染的电力设备感染的概率β
22
，感染蜜罐的隔离概率通过重新安装，蜜罐重新部署回到易感染状态的概率δ2再次回到易感状态；一旦蜜罐捕获到恶意软件的样本信息，易受攻击的电力信息中易感电力设备的免疫概率β
12
转换为隔离状态，采取具体的免疫措施来对抗，部分被隔离的电力设备将以电力设备的恢复概率ω恢复。5.根据权利要求2所述的一种基于蜜网的电力信息网络防御方法，其特征是：步骤c所述构建遵循幂律分布的耦合网络度分布，包括：P(k)＝k
‑
γ
上式中，P为连接概率,k为节点的边数，r为幂律指数；对与电力设备，用(i,j)表示有i条边与其他电力设备相连，j条边与蜜罐相连；对蜜罐，用(k,l)表示有k条边与其他蜜罐相连，l条边与电力设备相连；节点最大连接度：和上式中，n为最大度，i，j，k,l表示不同节点连接的边数；所述电力信息网和蜜网的联合度分布和边际度分布表示如下：所述电力信息网和蜜网的联合度分布和边际度分布表示如下：所述电力信息网和蜜网的联合度分布和边际度分布表示如下：上式中，P
P
为ICS网络的联合度分布，P
h
为蜜网的联合度分布,P
A
(i,
·
)为子网A的边缘度分布，P
B
(k,
·
)为子网A的边缘度分布，P
A
(
·
,j)为子网A的边缘度分布，P
B
(
·
,j)为子网A的边缘度分布，N为总节点数,为ICS网络节点总数，为蜜网节点总数，N
p
为PLC的总数量，N
h
为蜜罐的总数量，h为蜜罐，p为PLC设备；(i,j)表示有i条边与其他电力设备相连，j条边与蜜罐相连；(k,l)表示有k条边与其他蜜罐相连，l条边与电力设备相连。6.根据权利要求2所述的一种基于蜜网的电力信息网络防御方法，其特征是：步骤d所述定义网络的平均度和度的二阶矩，包括：述定义网络的平均度和度的二阶矩，包括：述定义网络的平均度和度的二阶矩，包括：述定义网络的平均度和度的二阶矩，包括：
上式中，<k>
11,12,21,22
为网络平均度，<k2>
...

【专利技术属性】
技术研发人员：胡博，姚羽，付强，周小明，申扬，李钊，王磊，王顺江，扬爽，王阳，
申请(专利权)人：东北大学国网辽宁省电力有限公司信息通信分公司，
类型：发明
国别省市：