一种基于拟态防御的密码服务监控系统及方法技术方案

本发明专利技术提供一种基于拟态防御的密码服务监控系统及方法，属于电力物联网信息安全技术领域，包括：密码服务平台至少具有二个冗余备份系统，密码服务平台的一级密码服务监控系统生成密钥服务请求通过预设的网络协议发送至二级密码服务监控系统；一级密码服务监控系统包括密钥管理模块、证书管理模块、数字验签模块、身份认证模块和动态防御切换模块；二级密码服务监控系统包括密码服务模块、侦测模块、拟态异构防御模块；动态防御切换模块分析拟态异构防御模块的裁决结果并结合防御策略，用于当密钥服务请求存在威胁攻击时直接动态转移攻击面并将系统切换至冗余备份的密码服务平台。大大增加了攻击成本、消耗攻击时间，实现了系统的动态防御。系统的动态防御。系统的动态防御。

【技术实现步骤摘要】
一种基于拟态防御的密码服务监控系统及方法


[0001]本专利技术属于电力物联网信息安全
，更具体地，涉及一种基于拟态防御的密码服务监控系统及方法。

技术介绍

[0002]随着智能电网的高速发展，感知、计算、通信、控制等先进信息技术的深入应用，电力系统逐渐实现信息化、网络化与智能化。在促进电力资源实时分析、科学决策、高效配置的同时，开放的通信网络与设备终端接口也带来了潜在的安全隐患。
[0003]国家电网公司开发建设统一密码服务平台，用于将密码基础设施资源集中统一建设、管理和维护，规范密码在各业务系统中的规范应用。该密码服务平台为各业务系统提供了密码机、微服务、数据库等软硬件设施，用于支撑数字证书颁发、用户身份鉴别、实名认证、业务数据加解密等密码服务。但由于电力系统和通信与信息系统自身内在原因，通信与信息系统依然存在安全隐患，仍存在网络攻击无法防御、或者可防御但代价太高的可能性。为了保障密码服务平台中各类软硬件设备和服务的正常运行，需要构建有针对性的弹性防御体系，采取主动防御的方式执行合适的防御策略，降低系统面临的风险。

技术实现思路

[0004]本专利技术针对现有技术中存在的问题，旨在提供一种基于拟态防御的密码服务监控系统及方法，对密码服务平台系统进行冗余备份，实时监控网络之间传输的密钥服务请求，分析密钥服务请求是否带有威胁的数据，面对威胁攻击时，能直接动态转移攻击面并将密码服务平台系统切换至冗余备份系统，使得攻击时很难找到固定的漏洞，大大增加了攻击成本、消耗攻击时间。
[0005]为了实现上述目的，本专利技术的技术方案如下：一种基于拟态防御的密码服务监控系统，所述系统包括：密码服务平台，所述密码服务平台至少具有二个冗余备份系统，所述密码服务平台包括一级密码服务监控系统，所述一级密码服务监控系统通信连接至少一个二级密码服务监控系统，所述一级密码服务监控系统生成密钥服务请求通过预设的网络协议发送至所述二级密码服务监控系统；所述一级密码服务监控系统包括密钥管理模块、证书管理模块、数字验签模块、身份认证模块和动态防御切换模块；所述身份认证模块用于对登入所述密码服务平台的用户标识授权对应的操作等级；所述密钥管理模块获取密码机产生的密钥对并对所述密钥对进行存储、加密和分发；所述证书管理模块基于所述密钥对的公钥结合不同操作等级的用户标识生成对应的签名证书；
数字验签模块基于所述密钥对的私钥对所述密钥服务请求进行数字签名，以生成加密的所述密钥服务请求；所述一级密码服务监控系统将具有用户标识签名的加密的密钥服务请求下发至所述二级密码服务监控系统；所述二级密码服务监控系统包括密码服务模块、侦测模块、拟态异构防御模块；所述侦测模块用于自动侦测并获取带有用户标识签名的加密的密钥服务请求；所述密码服务模块获取签名证书中所述密钥对的公钥对所述密钥服务请求进行解密；所述拟态异构防御模块包括分发单元、调度单元、执行体单元、裁决单元、执行体池和执行体池中多个执行体；所述执行体单元从所述执行体池中获取具有相同功能的执行体；所述分发单元将解密后的所述密钥服务请求动态随机分发至所述执行体单元的多个所述执行体进行归一化处理并将处理结果返回至所述裁决单元；所述裁决单元对归一化处理结果进行比较和裁决，输出裁决结果；所述调度单元基于动态调度算法和裁决结果从所述执行体池调度若干执行体至所述执行体单元，替换所述执行体单元中具有异常输出的执行体；所述动态防御切换模块分析所述拟态异构防御模块的裁决结果并结合防御策略，用于当所述密钥服务请求存在威胁攻击时直接动态转移攻击面并将系统切换至冗余备份的所述密码服务平台。
[0006]优选的，所述二级密码服务监控系统根据所述密钥服务请求生成密钥获取请求并发送至所述一级密码服务监控系统，所述密钥管理模块包括密钥分发单元，所述密钥分发单元根据所述密钥获取请求，确定密钥下发方式，将存储的所述密钥对下发至所述密码服务模块，所述密码服务模块对所述密钥对进行解析，并下发至使用该密钥对的终端物联设备。
[0007]优选的，所述二级密码服务监控系统还包括异常报警模块，所述异常报警模块根据具有相同功能的执行体产生的执行日志对所述密钥服务请求存在的威胁程度进行信息分类并输出告警信息。
[0008]优选的，所述一级密码服务监控系统还包括安全分析模块，所述安全分析模块设置于所述一级密码服务监控系统的前端，所述安全分析模块预设特征信息规则库，对所述密码服务平台通信网络的运行状态进行监控，采集网络报文提取特征信息，基于所述特征信息规则库对通信网络的运行状态进行安全评估并对异常网络报文进行响应。
[0009]优选的，所述一级密码服务监控系统还包括监听模块和拦截模块，所述监听模块和所述拦截模块设置于所述一级密码服务监控系统的后端，所述监听模块捕获所述网络报文并解析该网络报文的数据包，所述拦截模块预设异常拦截规则库，所述拦截模块基于所述异常拦截规则库的异常判断规则，对解析后的数据包进行检测，以对异常网络报文进行捕获拦截。
[0010]优选的，所述防御策略由区间端点分别为表示最高优先级的需要防御策略类型和表示最低优先级的不需要防御策略类型组成的防御策略集合区间，根据防御策略权重因子从所述防御策略集合区间选取对应可用的防御策略。
[0011]优选的，所述二级密码服务监控系统还包括防御策略更新模块，所述防御策略更新模块实时监控并分析多个所述执行体生成的执行日志，用于更新所述防御策略权重因子，基于更新的所述防御策略权重因子从所述防御策略集合区间选取最优防御策略。
[0012]优选的，根据防御策略权重因子从所述防御策略集合区间选取防御策略的计算模型为：其中，D表示防御策略集合，为采用第i个防御策略的概率，n为攻击策略的总数，为根据多个所述执行体生成的执行日志计算生成对应的防御策略权重因子，α为当前防御策略与前一个防御策略的关联因子，为基于关联因子α与防御策略权重因子定义的防御策略，为防御策略的效用，为从从防御策略集合中选取对应可用的防御策略的效用。
[0013]优选的，所述密码服务平台采用分布式微服务架构。
[0014]本专利技术还提供一种基于拟态防御的密码服务监控方法，应用上述所述的基于拟态防御的密码服务监控系统，包括如下步骤：步骤S1：密码服务平台初始化配置，使其至少具有二个冗余备份系统，其中，所述密码服务平台配置有一级密码服务监控系统和至少一个二级密码服务监控系统；步骤S2：所述一级密码服务监控系统与所述二级密码服务监控系统建立通信连接；步骤S3：获取密码机产生的密钥对，将所述密钥对结合登入所述密码服务平台的用户标识对应授权的操作等级生成对应的签名证书；步骤S4：生成密钥服务请求，基于所述密钥对的私钥对所述密码服务请求进行数字签名，以生成加密的所述密码服务请求，并下发至所述二级密码服务监控系统；步骤S5：自动侦测并获取带有用户标识签名的加密的密码服务请求，基于签名证书中所述密钥对的公钥对所述密码服务请求进行解密；步骤S6：将解密后的所述密码服务请求动态随机分发至执行体单元中多个执行体进行归一化处理，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于拟态防御的密码服务监控系统，其特征在于，所述系统包括：密码服务平台，所述密码服务平台至少具有二个冗余备份系统，所述密码服务平台包括一级密码服务监控系统，所述一级密码服务监控系统通信连接至少一个二级密码服务监控系统，所述一级密码服务监控系统生成密钥服务请求通过预设的网络协议发送至所述二级密码服务监控系统；所述一级密码服务监控系统包括密钥管理模块、证书管理模块、数字验签模块、身份认证模块和动态防御切换模块；所述身份认证模块用于对登入所述密码服务平台的用户标识授权对应的操作等级；所述密钥管理模块获取密码机产生的密钥对并对所述密钥对进行存储、加密和分发；所述证书管理模块基于所述密钥对的公钥结合不同操作等级的用户标识生成对应的签名证书；数字验签模块基于所述密钥对的私钥对所述密钥服务请求进行数字签名，以生成加密的所述密钥服务请求；所述一级密码服务监控系统将具有用户标识签名的加密的密钥服务请求下发至所述二级密码服务监控系统；所述二级密码服务监控系统包括密码服务模块、侦测模块、拟态异构防御模块；所述侦测模块用于自动侦测并获取带有用户标识签名的加密的密钥服务请求；所述密码服务模块获取签名证书中所述密钥对的公钥对所述密钥服务请求进行解密；所述拟态异构防御模块包括分发单元、调度单元、执行体单元、裁决单元、执行体池和执行体池中多个执行体；所述执行体单元从所述执行体池中获取具有相同功能的执行体；所述分发单元将解密后的所述密钥服务请求动态随机分发至所述执行体单元的多个所述执行体进行归一化处理并将处理结果返回至所述裁决单元；所述裁决单元对归一化处理结果进行比较和裁决，输出裁决结果；所述调度单元基于动态调度算法和裁决结果从所述执行体池调度若干执行体至所述执行体单元，替换所述执行体单元中具有异常输出的执行体；所述动态防御切换模块分析所述拟态异构防御模块的裁决结果并结合防御策略，用于当所述密钥服务请求存在威胁攻击时直接动态转移攻击面并将系统切换至冗余备份的所述密码服务平台。2.根据权利要求1所述的基于拟态防御的密码服务监控系统，其特征在于，所述二级密码服务监控系统根据所述密钥服务请求生成密钥获取请求并发送至所述一级密码服务监控系统，所述密钥管理模块包括密钥分发单元，所述密钥分发单元根据所述密钥获取请求，确定密钥下发方式，将存储的所述密钥对下发至所述密码服务模块，所述密码服务模块对所述密钥对进行解析，并下发至使用该密钥对的终端物联设备。3.根据权利要求1所述的基于拟态防御的密码服务监控系统，其特征在于，所述二级密码服务监控系统还包括异常报警模块，所述异常报警模块根据具有相同功能的执行体产生的执行日志对所述密钥服务请求存在的威胁程度进行信息分类并输出告警信息。4.根据权利要求1所述的基于拟态防御的密码服务监控系统，其特征在于，所述一级密码服务监控系统还包括安全分析模块，所述安全分析模块设置于所述一级密码服务监控系
统的前端，所述安全分析模块预设特征信息规则库，对所述密码服务平台通信网络的运行状态进行监控，采集网络报文提取特征信息，基于所述特征信息规则库对通信网络的运行状态进行安全评估并对异常网络报文进...

【专利技术属性】
技术研发人员：张五一，江楠，兰先登，汤敏杰，刘雪梅，田叶，杨乘胜，蒋啸，
申请(专利权)人：南京华盾电力信息安全测评有限公司，
类型：发明
国别省市：