本发明专利技术公开了一种基于异常行为的自动防御方法,步骤包括:预设条件后从配电网络中抓取目标数据,分析所述目标数据并存储;通过蜜罐与容器化技术构建配电网络自动防御架构,部署环境,模拟异常行为,分析数据并得到分析结果;通过所述目标数据与配电网络自动防御架构整合分析,基于HHM协议构建威胁情报库,所述威胁情报库的功能包括态势察觉,态势理解和态势投射;主动扫描配电网络中的漏洞,自主感知未知威胁,监测配电网络中的异常行为并及时处理,所述异常行为还包括监测配电网络中原始时域序列变化的数据。本发明专利技术技术方案更具有主动性,实时性,精确性和高效性。精确性和高效性。精确性和高效性。
【技术实现步骤摘要】
一种基于异常行为的自动防御方法
[0001]本公开涉及网络信息安全
,具体涉及一种基于异常行为的自动防御方法。
技术介绍
[0002]随着电力系统信息化、智能化发展带来的网络边界模糊化,导致智能电网的安全风险逐步提高,使信息安全治理面临重大挑战。在分布式新能源的场景下,能源互联网安全变得非常重要,电力物联网设备必须实现各种传感设置。当这些设备受到网络安全的威胁,会造成经济损失和设备损坏,对国家能源安全造成重大影响。
[0003]蜜罐是一台不作任何安全防范措施而且连接网络的计算机,但是与一般计算机不同,它内部运行着多种多样的数据记录程序,也可以称之为一种诱捕网络罪犯的系统;通过迷惑入侵者,保护服务器;通过抵御入侵者,加固服务器,以提高网络安全性。其本质在于欺骗和引诱,通过部署潜在目标(如漏洞主机、价值信息和请求服务)来吸引攻击者,并推测他们的攻击意图和方法。
[0004]容器技术是通过一种虚拟化技术来隔离运行在主机上不同进程,从而达到进程之间、进程和宿主操作系统相互隔离、互不影响的技术。这种相互孤立进程就叫容器,它有自己的一套文件系统资源和从属进程。
技术实现思路
[0005]为解决现有技术中存在的不足,本专利技术提供一种基于异常行为的自动防御方法及系统,通过蜜罐与容器技术实时监测流量与时域序列变化,主动并精确识别防御网络中的异常行为,使得网络安全防御能力高效。
[0006]本专利技术采用如下的技术方案,一种基于异常行为的自动防御方法,步骤包括:
[0007]预设条件后从配电网络中抓取目标数据,分析所述目标数据并存储;
[0008]通过蜜罐与容器化技术构建配电网络自动防御架构,部署环境,模拟异常行为,分析数据并得到分析结果;
[0009]通过目标数据与配电网络自动防御架构整合分析,基于HHM协议构建威胁情报库,威胁情报库的功能包括态势察觉,态势理解和态势投射;
[0010]主动扫描配电网络中的漏洞,自主感知未知威胁,监测配电网络中的异常行为并及时处理,异常行为还包括监测配电网络中原始时域序列变化的数据。
[0011]进一步的,预设条件抓取目标数据的步骤包括:
[0012]确定抓取方式;
[0013]确定抓取目标,抓取目标的预设标准至少包括以下其中一项:目的地址,源地址,目标数据长度,协议类型,物理层链路地址,网络层链路地址;
[0014]设置过滤条件,过滤条件至少包括以下其中一项:协议类型,源地址,目标地址。
[0015]进一步的,模拟异常行为包括模拟攻击,模拟攻击的步骤包括:
[0016]设计攻击场景,包括攻击目标,攻击工具;
[0017]涉及攻击策略,包括攻击方式,攻击流程;
[0018]启动攻击流程;
[0019]蜜罐监测和记录攻击行为,包括攻击流量,攻击日志,攻击痕迹,用于后续分析和评估演练效果;
[0020]使用安全设备对攻击行为进行阻断和监测,进行演练响应和防御。
[0021]进一步的,分析结果的步骤包括:
[0022]收集和整理攻击数据,包括攻击流量,攻击日志和攻击痕迹;
[0023]对攻击数据继续宁分析和挖掘,识别攻击方式,攻击者来源和攻击目标;
[0024]评估演练效果和安全性;
[0025]生成评估报告,包括演练的目的,过程,结果以及建议改进措施。
[0026]进一步的,配电网络自动防御架构的构建方法包括:
[0027]确定网络拓扑结构,包括确定网络拓扑结构的组成单元,确定组成单元间的互联方式,确定使用的技术是蜜罐和/或容器;
[0028]选择蜜罐技术和部署蜜罐技术的策略,策略包括隐藏蜜罐的方式,蜜罐记录攻击行为的方式;
[0029]制定蜜罐攻防细节;
[0030]确定目标和评估标准。
[0031]进一步的,势态投射的步骤包括:
[0032]态势量化评估,量化配电网络自动防御架构中节点的安全风险,评估节点的重要程度,量化配电网络的整体安全风险;
[0033]异常行为预测,通过融合算法对配电网络的状态进行预测;
[0034]攻击溯源。
[0035]进一步的,主动扫描配电网络系统漏洞的方法包括:
[0036]确定扫描范围;
[0037]选择扫描方式并预设扫描参数;
[0038]在扫描范围内开始扫描并在扫描完成后分析扫描数据生成分析结果;
[0039]对分析结果中的漏洞进行优先级排序,制定漏洞修复计划;
[0040]按照预设扫描参数,定期对扫描范围进行漏洞扫描并更新漏洞库和扫描工具。
[0041]进一步的,主动感知未知威胁的方法包括:
[0042]对配电网络进行安全监测并进行配置和调试;
[0043]对监测中的配电网络进行基准测试,基准测试包括监测配电网络的网络流量和事件,时间包括行为;
[0044]开始监测配电网络,使用安全事件和漏洞数据库与配电网络的监测数据进行比对;
[0045]建立响应流程,在发现异常行为时启动所述响应流程进行处理。
[0046]进一步的,监测配电网络中的异常行为方法包括:
[0047]对配电网络进行流量监测并进行配置和调试;
[0048]分析配电网络流量和事件,使用安全时间和漏洞数据库与配电网络的监测数据进
行比对;
[0049]根据识别比对的结果,制定策列和规则并定期审查和更新;
[0050]建立响应流程,在发现异常行为时启动流程进行处理。
[0051]进一步的,蜜罐攻防细节包括预设攻击场景和目标,确定角色攻击手段和策略;
[0052]角色包括攻击者和防守者。
[0053]本专利技术的有益效果在于,与现有技术相比,本专利技术技术方案更具有主动性,可以在配电网络被攻击时自动识别并防御,无需等待攻击者触发蜜罐;更具有实时性,可以实时监测流量并识别异常行为,及时对攻击配电网络的行为进行防御攻击,无需等待攻击者进入配电网络或者蜜罐才发动监测和识别;更具有精确性,可以对配电网络流量进行深入的分析,能够更准确的识别攻击配电网络的攻击行为类别和攻击者的策略,传统的现有技术中蜜罐的识别精度比较低,容易被攻击者识别和规避;更具有高效性,可以自动对配电网络的流量进行分析和防御,减少人工干预的成本和风险,更快速的进行流程响应和防御攻击。
附图说明
[0054]图1是本专利技术中自动防御方法流程图;
[0055]图2是本专利技术中自动防御方法S1的流程图;
[0056]图3是本专利技术中自动防御方法S2的流程图;
[0057]图4是本专利技术中自动防御方法S3的流程图;
[0058]图5是本专利技术中自动防御方法S4的流程图。
具体实施方式
[0059]为使本专利技术的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术的技术方案进行清楚、完整地描述。本申请所描述的实施本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于异常行为的自动防御方法,其特征在于,步骤包括:预设条件后从配电网络中抓取目标数据,分析所述目标数据并存储;通过蜜罐与容器化技术构建配电网络自动防御架构,部署环境,模拟异常行为,分析数据并得到分析结果;通过所述目标数据与配电网络自动防御架构整合分析,基于HHM协议构建威胁情报库,所述威胁情报库的功能包括态势察觉,态势理解和态势投射;主动扫描配电网络中的漏洞,自主感知未知威胁,监测配电网络中的异常行为并及时处理,所述异常行为还包括监测配电网络中原始时域序列变化的数据。2.根据权利要求1所述的基于异常行为的自动防御方法,其特征在于,所述预设条件抓取目标数据的预设条件包括:确定抓取方式;确定抓取目标,所述抓取目标的预设标准至少包括以下其中一项:目的地址,源地址,目标数据长度,协议类型,物理层链路地址,网络层链路地址;设置过滤条件,所述过滤条件至少包括以下其中一项:协议类型,源地址,目标地址。3.根据权利要求1所述的基于异常行为的自动防御方法,其特征在于,所述模拟异常行为包括模拟攻击,所述模拟攻击的步骤包括:设计攻击场景,包括攻击目标,攻击工具;涉及攻击策略,包括攻击方式,攻击流程;启动攻击流程;蜜罐监测和记录攻击行为,包括攻击流量,攻击日志,攻击痕迹,用于后续分析和评估演练效果;使用安全设备对攻击行为进行阻断和监测,进行演练响应和防御。4.根据权利要求1所述的基于异常行为的自动防御方法,其特征在于,所述分析结果的步骤包括:收集和整理攻击数据,包括攻击流量,攻击日志和攻击痕迹;对攻击数据继续宁分析和挖掘,识别攻击方式,攻击者来源和攻击目标;评估演练效果和安全性;生成评估报告,包括演练的目的,过程,结果以及建议改进措施。5.根据权利要求1所述的基于异常行为的自动防御方法,其特征在于,所述配电网络自动防御架构的构建方法包括:确定网络拓扑结构,包括确定所述网络拓扑结构的组成单元,确定所述组成单元间的互...
【专利技术属性】
技术研发人员:王波,李晓龙,王晓康,段文奇,魏文婷,王宁,张治民,王峰,张庆平,景妍华,张翔,侯瑞,晏振宇,杨家玉,
申请(专利权)人:国网宁夏电力有限公司国网宁夏电力有限公司电力科学研究院华北电力大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。