一种用于核电工控系统的蜜罐防御方法及装置与流程

1.本技术涉及工业控制安全技术领域，尤其涉及一种用于核电工控系统的蜜罐防御方法及装置。


背景技术：

2.随着it(信息技术)和ot(操作技术)的相互融合，工业控制系统慢慢的由相对孤立模式转向开放模式，新型信息技术的应用极大的提高了工业生产效率，但同时也带来一定的风险。作为我国新能源的供应点，核电站的网络安全至关重要。数字化信息技术对核电项目的应用逐渐增多，如目前国内二代核电的数字化升级改造和三代核电的全数字仪控技术，一旦核电系统遭受网络攻击，轻则影响系统的正常运行，重则会造成可怕的核安全事故。
3.传统的防御技术对于核电系统而言，其相对被动的防御不足以构成核电站的安全屏障，为了让本就处于攻防博弈中相对劣势的防护方掌握主动权，需要一种主动防御手段来应对攻击者的破坏。


技术实现要素：

4.有鉴于此，本技术的目的在于至少提供一种用于核电工控系统的蜜罐防御方法及装置，本技术通过对核电工控系统安装蜜罐，利用蜜罐代替真实的核电工控系统与请求源进行交互，达到主动防御防止被黑客攻击的技术效果。本技术主要包括以下几个方面：
5.第一方面，本技术实施例提供一种用于核电工控系统的蜜罐防御方法，蜜罐防御方法包括：获取请求源针对核电工控系统的目标请求；根据目标请求，提取能够表征目标请求的目标特征向量；确定所提取的目标特征向量的分类指标值；若根据分类指标值确定目标请求为攻击请求，则基于目标请求更新请求数据库；利用更新后的请求数据库，确定针对核电工控系统的预测攻击行为。
6.可选地，根据目标请求，提取能够表征目标请求的目标特征向量的步骤包括：从目标请求中提取用于描述目标请求的所有特征元素，以形成矩阵；确定所述矩阵的特征向量和特征值；将各特征值进行降序排序，并根据所确定的特征值的累计贡献率，选取前预定数量的特征值，其中，前预定数量的特征值的累计贡献率大于或等于特征贡献阈值；由所选取的特征值对应的特征向量形成目标特征向量。
7.可选地，目标特征向量包括至少一个特征元素，其中，确定所提取的目标特征向量的分类指标值的步骤包括：对目标特征向量中的每个特征元素进行归一化处理；确定每个特征元素对应的权重值，其中，权重值是根据预先训练好的逻辑回归分类器获得的，逻辑回归分类器是用于对请求进行分类的分类器；根据归一化处理后的每个特征元素以及对应的权重值，确定分类指标值。
8.可选地，利用更新后的请求数据库，预测针对核电工控系统的攻击行为的步骤包括：将更新后的请求数据库中的多条数据记录输入到时间序列模型中，获得针对核电工控
系统的预测攻击行为，预测攻击行为包括以下项中的至少一项：预测攻击的攻击类型、攻击频率。
9.可选地，请求数据库包括多条数据记录，每条数据记录对应一请求，其中，基于目标请求更新请求数据库的步骤包括：确定目标请求对应的目标数据记录与请求数据库中的各数据记录的相似度值；若目标数据记录与请求数据库中的每个数据记录的相似度值均不大于相似阈值，则将目标请求以及对应的目标数据记录添加到请求数据库中；若请求数据库中存在与目标数据记录的相似度值大于相似阈值的数据记录，则基于目标数据记录对匹配数据记录进行更新，其中，匹配数据记录为相似度值大于相似阈值的数据记录中相似度值最大的数据记录。
10.可选地，利用更新后的请求数据库，确定针对核电工控系统的预测攻击行为的步骤包括：从请求数据库中提取与目标请求对应的目标数据记录的相似度值大于相似阈值的数据记录；将目标数据记录以及所提取的数据记录输入到时间序列模型中，获得针对核电工控系统的预测攻击行为。
11.可选地，蜜罐防御方法还包括：若根据分类指标值确定目标请求为攻击请求，则确定攻击请求触发的预先布置的目标漏洞，并输出目标漏洞的描述信息，以针对目标漏洞进行防御；和/或，蜜罐防御方法还包括：若根据分类指标值确定目标请求为攻击请求，则确定攻击请求所请求的服务，生成与服务对应的模拟响应，并发送至请求源。
12.可选地，蜜罐防御方法还包括：若根据分类指标值确定目标请求为正常请求，则将目标请求发送至目标请求指示的请求对象，以由请求对象生成与目标请求对应的服务响应，并发送至请求源。
13.可选地，通过以下方式构建时间序列模型：从请求数据库中提取与目标请求相似的数据记录，同目标请求组成数据集，对数据集进行平稳性检验，从而获得差分次数；确定数据集的自回归项数和移动平均项数；根据差分次数、自回归项数和移动平均项数，构建多个候选时间序列模型；根据赤池信息准则和贝叶斯信息准则，从多个候选时间序列模型中选取自回归项数和移动平均项数最优的候选时间序列模型，确定为时间序列模型。
14.第二方面，本技术实施例还提供一种用于核电工控系统的蜜罐防御装置，蜜罐防御装置，包括：获取模块，用于获取请求源针对核电工控系统的目标请求；提取模块，用于根据目标请求，提取能够表征目标请求的目标特征向量；分类模块，用于确定所提取的目标特征向量的分类指标值；更新模块，用于若根据分类指标值确定目标请求为攻击请求，则基于目标请求更新请求数据库；预测模块，用于利用更新后的请求数据库，确定针对核电工控系统的预测攻击行为。
15.第三方面，本技术实施例还提供一种电子设备，包括：处理器、存储器和总线，存储器存储有处理器可执行的机器可读指令，当电子设备运行时，处理器与存储器之间通过总线进行通信，机器可读指令被处理器运行时执行上述第一方面或第一方面中任一种可能的实施方式中的用于核电工控系统的蜜罐防御方法的步骤。
16.第四方面，本技术实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行上述第一方面或第一方面中任一种可能的实施方式中所述的用于核电工控系统的蜜罐防御方法的步骤。
17.本技术实施例提供的一种用于核电工控系统的蜜罐防御方法及装置，蜜罐防御方
法包括：获取请求源针对核电工控系统的目标请求；根据目标请求，提取能够表征目标请求的特征向量；确定所提取的特征向量的分类指标值；若根据分类指标值确定目标请求为攻击请求，则基于目标请求更新请求数据库；利用更新后的请求数据库，确定针对核电工控系统的预测攻击行为。通过对核电工控系统安装蜜罐，利用蜜罐代替真实的核电工控系统与请求源进行交互，达到主动防御防止被黑客攻击的技术效果。
18.为使本技术的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。
附图说明
19.为了更清楚地说明本技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
20.图1示出了本技术实施例所提供的一种用于核电工控系统的蜜罐防御方法的流程图。
21.图2示出了本技术实施例所提供的根据目标请求，提取能够表征目标请求的目标特征向量的步骤的流程图。
22.图3示出了本技术实施例所提供的确定目标特征向量的分类指标值的步骤的流程图。
23.图4示出了本技术实施例所提供的利用更新后的请求数据库，确定针对核电工控系统的预测攻击行为的步骤的流程图。
24.图5示出了本技术实施例所提供的构建时间序列模型的步骤的流程图。
25.图6示出了本技术实施例所提供的一种用于核电工控系统的蜜罐防御装置的结构示意图。
26.图7示出了本技术实施例所提供的一种电子设备的结构示意图。
具体实施方式
27.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，应当理解，本技术中的附图仅起到说明和描述的目的，并不用于限定本技术的保护范围。另外，应当理解，示意性的附图并未按实物比例绘制。本技术中使用的流程图示出了根据本技术的一些实施例实现的操作。应当理解，流程图的操作可以不按顺序实现，没有逻辑的上下文关系的步骤可以反转顺序或者同时实施。此外，本领域技术人员在本技术内容的指引下，可以向流程图添加一个或多个其他操作，也可以从流程图中移除一个或多个操作。
28.另外，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本技术实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本技术的实施例的详细描述并非旨在限制要求保护的本技术的范围，而是仅仅表示本技术的选定实施例。基于本技术的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的全部其他实施例，都属于本技术保护的范围。
29.现有技术的缺点是核电工控系统不具备主动防御的能力，也没办法对未来一定时间段的攻击进行预测，同时也无法得知系统可能存在的漏洞，当黑客攻击核电工控系统时，核定系统会面对巨大的安全隐患。
30.基于此，本技术实施例提供了一种用于核电工控系统的蜜罐防御方法及装置，通过对核电工控系统安装蜜罐，利用蜜罐代替真实的核电工控系统与请求源进行交互，达到主动防御防止被黑客攻击的技术效果，具体如下：
31.请参阅图1，图1为本技术实施例所提供的一种用于核电工控系统的蜜罐防御方法的流程图。如图1所示，本技术实施例提供的蜜罐防御方法，包括以下步骤：
32.s101、获取请求源针对核电工控系统的目标请求。
33.在本技术实施例中，可以针对核电工控系统预先布置蜜罐，将蜜罐作为核电工控系统的一道保护屏障，以蜜罐来充当诱饵，引诱攻击者前来攻击核电工控系统，攻击者实施攻击后，通过监测与分析，可以获知攻击者是对核电工控系统的攻击类型，随时了解针对核电工控系统发动的最新的攻击和漏洞，从而可以有针对性地对核电工控系统自身进行安全防护。
34.示例性的，核电工控系统中可以包括多个工控设备，不同工控设备之间通过工控协议来传输数据，在核电工控系统中可布置有至少一台控制终端，至少一台控制终端与工控设备进行通信，在其中一台控制终端上安装蜜罐，以全方位观测攻击者的动态，这样可以减少蜜罐的布置数量，以最少的资源进行最全面的防护。
35.在一可选示例中，可以在核电工控系统的各工控设备的所有端口处部署探针，通过探针感知所有端口的来自外部请求源的请求，例如，可以利用syn(同步序列编号)、fin、tcp connect等探测技术监测端口的tcp(传输控制协议)/udp(用户数据报协议)流量情况，探针会扫描记录下来，进而获取访问端口的请求。
36.示例性的，探针可以监听多种网络扫描和探测行为，例如，口令爆破、执行shell脚本等。
37.作为示例，请求源可以为终端，如台式计算机、笔记本电脑、手机、平板电脑等电子设备。该请求源的操作者可能是黑客，也可能是内部的研发人员等，上述目标请求可以包括正常请求和攻击请求。
38.具体的，探针获取到请求发起的目标请求之后，可以利用重定向技术将目标请求重定向到蜜罐中，蜜罐解析目标请求，并针对目标请求的类型响应对应的请求报文，以此来达到模拟核电工控系统中的工控设备和工控协议的目的，从而达到保护核电工控系统的技术效果。
39.作为示例，工控协议可包括：iec104(一个广泛应用于电力、城市轨道交通等行业的国际标准)、modbus/tcp(一种工业现场总线协议标准)、s7(西门子s7系列产品之间通讯使用的标准协议)、dnp3(分布式网络协议3)等。
40.s102、根据目标请求，提取能够表征目标请求的目标特征向量。
41.请参阅图2，图2为本技术实施例所提供的根据目标请求，提取能够表征目标请求的目标特征向量的步骤流程图，包括以下步骤：
42.s1021、从目标请求中提取用于描述目标请求的所有特征元素，以形成矩阵。
43.作为示例，目标请求的特征元素包括但不限于：目的ip、源ip、源端口、目的端口、
攻击时间、攻击次数。
44.在一可选实施例中，可对特征元素进行数字化处理，例如，对于特征元素为ip地址的数字化处理过程可以是：先将ip地址进行二进制转换，再进行十进制转换，得到数字化处理后的特征元素为ip地址的数据，以执行后续处理。
45.s1022、确定所述矩阵的特征向量和特征值。
46.作为示例，可将数字化处理的每个特征元素组成初始矩阵，对所形成的初始矩阵进行高斯核变换得到核矩阵，计算核矩阵的特征向量和特征值。
47.s1023、将各特征值进行降序排序，并根据所确定的特征值的累计贡献率，选取前预定数量的特征值。这里，前预定数量的特征值的累计贡献率大于或等于特征贡献阈值。
48.具体的，可以通过以下步骤来选取特征值：步骤a，将所有特征值进行降序排序(即，从大到小排列)，选取k个特征值，步骤b，计算k个特征值的累计贡献率，步骤c，如果k个特征值的累计贡献率大于特征贡献阈值，则将k个特征值对应的特征向量确定为所选取的预定数量的特征向量，步骤d，如果k个特征值的累计贡献率小于特征贡献阈值，则使得k＝k+1，并返回执行步骤b，直至选取到累计贡献率大于或等于特征贡献阈值的k个特征值对应的特征向量。这里，k的取值范围为大于等于1且小于等于m，m为所有特征值的总数量。
49.作为示例，可以通过以下方式来确定k个特征值的累计贡献率：计算k个特征元素的特征值的第一和值，计算所有特征元素的特征值的第二和值，将第一和值与第二和值的比值确定为k个特征值的累计贡献率。当累计贡献率大于特征贡献阈值时，可以将所有特征元素中选取预定数量的特征元素代替多个特征元素进而达到降低特征矩阵的维度的效果，即，对目标请求进行了降维处理。
50.s1024、由所选取的特征值对应的特征向量形成目标特征向量。
51.也就是说，上述获得的特征向量即为降维处理后的目标请求的特征元素形成的特征向量。
52.作为示例，当目标请求为时，将进行高斯核变换得到核矩阵求得核矩阵的特征值λ1，λ2，λ3，
…
，λ
m
和特征向量将特征值进行降序排列(即，从大到小排列)得到降序排列特征值λ1′
，λ2′
，λ3′
，
…
，λ
m
′
，通过以下公式计算降序排列特征值的累计贡献率：
[0053][0054]
公式(1)中，λ
i
′
代表进行降序排列后的第i个特征值，1≤i≤k，k代表降序排列中的前k个特征值，λ
j
代表目标请求进行高斯核变换得到核矩阵的第j个特征值，1≤j≤m，m代表目标请求进行高斯核变换得到核矩阵的所有特征值的个数，t代表特征贡献阈值，t可以预先设置。当累计贡献率满足大于或等于特征贡献阈值时，将降序排列特征值λ1′
，λ2′
，λ3′
，
…
，λ
k
′
对应的特征向量组成目标特征向量，将目标特征向量
代替目标请求进而到达降低目标请求维度的效果。
[0055]
返回图1，s103、确定所提取的目标特征向量的分类指标值。
[0056]
请参阅图3，图3为本技术实施例所提供的确定所提取的目标特征向量的分类指标值的步骤的流程图，包括以下步骤：
[0057]
s1031、对目标特征向量中的每个特征元素进行归一化处理。
[0058]
其中，目标特征向量包括至少一个特征元素。
[0059]
在一示例中，可以采用离差标准化(min
‑
max标准化)对每个特征元素进行归一化处理，例如，通过如下公式进行离差标准化处理：
[0060][0061]
公式(2)中，x1表示归一化处理后的任一特征元素，x1的值在区间[0,1]内，x表示特征向量中的任一特征元素，x
min
表示特征向量中的多个特征元素中的最小值，x
max
表示特征向量中的多个特征元素中的最大值。
[0062]
在另一示例中，还可以采用z
‑
score标准化对每个特征元素进行归一化处理，例如，采用z
‑
score标准化的公式：
[0063][0064]
公式(3)中，x1表示归一化处理后的任一特征元素，x1的值在区间[0,1]内，x表示特征向量中的任一特征元素，μ表示特征向量中的多个特征元素的平均值，σ表示特征向量中的多个特征元素的标准差。经过z
‑
score标准化处理后的数据是符合均值为0，标准差为1的标准正态分布。
[0065]
通过对特征向量中的每个特征元素进行归一化处理，进而提高后续工作的处理效率。
[0066]
s1032、确定每个特征元素对应的权重值。这里，权重值是根据预先训练好的逻辑回归分类器获得的，逻辑回归分类器是用于对请求进行分类的分类器。
[0067]
作为示例，训练好的逻辑回归分类器是依据包括正常请求和攻击请求的请求数据库训练出来的。其中，该逻辑回归分类器的输入为目标请求的目标特征向量(即，预定数量的特征元素形成特征向量，也就是说，降维后的目标请求的特征向量)，输出为针对请求的分类结果，即，属于正常请求还是攻击请求，确定每个特征元素的重要性指标，基于该重要性指标来确定各特征元素的权重值。这里，特征元素的重要性指标越大，则该特征元素的权重值越大，特征元素的重要性指标越小，则该特征元素的权重值越小。
[0068]
s1033、根据归一化处理后的每个特征元素以及对应的权重值，确定分类指标值。
[0069]
例如，可以通过以下公式先对归一化处理后的每个特征元素进行分类预处理，得到分类预处理数据。
[0070]
z＝ω
t
×
x2ꢀꢀꢀꢀ
(4)
[0071]
公式(4)中，z表示分类预处理数据，其中，ω表示由各特征元素对应的权重值组成的向量，ω
t
表示ω的转置向量，x2表示由归一化处理后的每个特征元素组成的特征向量。
[0072]
例如，可将分类预处理数据z带入以下公式，确定分类指标值：
[0073][0074]
公式(5)中，g(z)表示特征向量的分类指标值，z表示分类预处理数据。
[0075]
返回图1，s104、若根据分类指标值确定目标请求为攻击请求，则基于目标请求更新请求数据库。
[0076]
具体的，当分类指标值大于分类预设阈值时，认为此分类指标值对应的目标请求为攻击请求；当分类指标值小于或等于分类预设阈值时，认为此分类指标值对应的目标请求为正常请求。
[0077]
示例性的，请求数据库可包括多条数据记录，每条数据记录对应一请求，基于目标请求更新请求数据库的步骤可具体如下：
[0078]
确定目标请求对应的目标数据记录与请求数据库中的各数据记录的相似度值。
[0079]
作为示例，可以采用邻近分类算法(knn算法)将目标请求对应的目标数据记录与请求数据库中的各数据记录进行相似性判别，knn算法中一般用距离来度量相似性，常用的是欧式距离。
[0080]
例如，可以通过以下公式计算欧式距离：
[0081][0082]
公式(6)中，a
i
表示目标数据记录中的第i个特征元素，b
i
代表请求数据库中的任一数据记录中的第i个特征元素，d代表目标请求对应的目标数据记录与请求数据库中的该任一数据记录的欧式距离，k表示目标请求对应的目标数据记录中的特征元素的数量。
[0083]
此时，通过欧式距离d确定目标请求对应的目标数据记录与请求数据库中的各数据记录的相似度值，d值越小则相似度值越大，d值越大则相似度值越小。
[0084]
在一可选示例中，若目标数据记录与请求数据库中的每个数据记录的相似度值均不大于相似阈值，则将目标请求以及对应的目标数据记录添加到请求数据库中。
[0085]
也就是说，若目标数据记录与请求数据库中的每个数据记录的相似度值均不大于相似阈值(即，d值大于预设阈值时)，此时认为目标数据记录对应的目标请求与请求数据库中的各请求均不相似，则将目标请求以及对应的目标数据记录添加到请求数据库中以进行更新。
[0086]
若请求数据库中存在与目标数据记录的相似度值大于相似阈值的数据记录，则基于目标数据记录对匹配数据记录进行更新。这里，匹配数据记录可指相似度值大于相似阈值的数据记录中相似度值最大的数据记录。
[0087]
也就是说，若请求数据库中存在与目标数据记录的相似度值大于相似阈值的数据记录(即，d值不大于预设阈值时)，则认为目标数据记录对应的目标请求与请求数据库中的部分请求较为相似，此时从相似的数据记录中选取出相似度值最大的数据记录作为匹配数据记录，利用目标数据记录对匹配数据记录进行更新。
[0088]
这里，一条数据记录可以包括多个属性项，多个属性项可对应于多个特征元素。也就是说，对匹配数据记录进行更新可以是，对匹配数据记录的属性项进行更新，或者，对匹配数据记录的属性项进行添加。以属性项包括攻击次数为例，对属性项进行更新可指将攻
击次数加一。
[0089]
在一可选示例中，当请求数据库中存在与目标数据记录的相似度大于极限阈值的数据记录时，也可以进行人为判断，即，将目标数据记录以及大于极限阈值的数据记录均提供给研发人员，以确定两者是否相同，如果认为两者相同，则不将目标请求加入请求数据库。
[0090]
在一优选示例中，上述蜜罐防御方法可还包括：若根据分类指标值确定目标请求为攻击请求，则确定攻击请求触发的预先布置的目标漏洞，并输出目标漏洞的描述信息，以针对目标漏洞进行防御。
[0091]
在另一优选实施例中，上述蜜罐防御方法可还包括：若根据分类指标值确定目标请求为攻击请求，则确定攻击请求所请求的服务，生成与服务对应的模拟响应，发送至请求源。
[0092]
也就是说，蜜罐获取攻击请求并代替核电工控系统回应攻击请求，以此达到模拟核电工控系统的工控设备和工控协议的效果，通过蜜罐与发起攻击请求的请求源进行交互，以保护真实的核电工控系统。
[0093]
具体的，蜜罐在linux系统中模拟工控设备和工控协议，对工控设备和工控协议的模拟主要是运用协议解析技术对工控协议进行逆向解析。通过在端口设置探针，探针将接收到的请求引入蜜罐，蜜罐对请求进行解析，返回对应的响应报文，以此完成对工控设备和工控协议的仿真功能。
[0094]
其中，蜜罐对设备的模拟主要是对真实的工控设备和软件进行模拟，生成虚拟资产，这些虚拟资产之间可以实现一个逼真的业务环境，增强诱骗能力，干扰攻击者对目标的判断，减缓对真实系统的攻击速度。
[0095]
在再一优选实施例中，上述蜜罐防御方法可还包括：若根据分类指标值确定目标请求为正常请求，则将目标请求发送至目标请求指示的请求对象，以由请求对象生成与目标请求对应的服务响应，并发送至请求源。
[0096]
返回图1，s105、利用更新后的请求数据库，确定针对核电工控系统的预测攻击行为。
[0097]
例如，可以基于更新后的请求数据库和时间序列模型，来确定针对核电工控系统的预测攻击行为。
[0098]
例如，将更新后的请求数据库中的多条数据记录输入到时间序列模型中，获得针对核电工控系统的预测攻击行为。作为示例，预测攻击行为可包括以下项中的至少一项：预测攻击的攻击类型、攻击频率。
[0099]
也就是说，将更新后的请求数据库中的多条数据记录输入到时间序列模型中进行预测，预测出未来时间段内核电工控系统可能受到的攻击类型、攻击频率。其中，攻击频率可以是，在未来时间段内，一种攻击类型攻击核电工控系统的次数，或者，多种攻击类型攻击核电工控系统的次数。
[0100]
其中，预测攻击行为还可以包括：预测攻击的ip地址、攻击时间。
[0101]
请参阅图4，图4为本技术实施例所提供的利用更新后的请求数据库，确定针对核电工控系统的预测攻击行为的步骤的流程图，包括以下步骤：
[0102]
s1051、从请求数据库中提取与目标请求对应的目标数据记录的相似度值大于相
似阈值的数据记录。
[0103]
在该步骤中，通过上述处理从请求数据库中筛选出一定数量的数据记录，以用于预测攻击行为。
[0104]
在一优选实施例中，可以当目标请求为攻击请求时，从请求数据库中筛选出与该攻击请求类似的攻击请求，利用这些相似的攻击请求来进行攻击行为预测。
[0105]
s1052、将目标数据记录以及所提取的数据记录输入到时间序列模型中，获得针对核电工控系统的预测攻击行为。
[0106]
在本技术实施例中，请求数据库中包括正常请求和攻击请求，在图4所示的处理流程中，从请求数据库中筛选出相似攻击请求以进行攻击行为预测，可以提高针对目标请求所属攻击类型的攻击行为的预测准确性。这里，当核电工控系统遭受到某一攻击类型的攻击请求之后，攻击者很有可能会在较短时间内发起第二次攻击，利用上述处理流程可以有效进行预测。
[0107]
请参阅图5，图5为本技术实施例所提供的构建时间序列模型的步骤的流程图，包括以下步骤：
[0108]
示例性的，时间序列模型可以是arima(p，q，d)模型。其中，d为差分次数，p为自回归项数，q为移动平均项数。应理解，也可以选用其他模型来进行攻击行为的预测，本技术不限于此。
[0109]
s201、从请求数据库中提取与目标请求相似度值大于相似阈值的数据记录，同目标请求组成数据集，对数据集进行平稳性检验，从而获得差分次数。
[0110]
具体的，数据集包括目标请求和从请求数据库中提取的数据记录，其中，数据记录与目标请求的相似度值大于相似阈值，数据记录的记录时间是收到目标请求之前的一段历史时期内。
[0111]
具体的，若数据记录进行平稳性检验后确定是非平稳的，则通过差分平稳化处理使之平稳化，这便确定了差分次数d的值；若数据记录进行平稳性检验后确定是平稳的，则差分次数d＝0。
[0112]
s202、确定数据集的自回归项数和移动平均项数。
[0113]
具体的，对请求数据库中的各数据记录按照趋势因素、随机因素等因素进行分解，接着获得各数据记录所对应的自相关图和偏自相关图，来确定各数据记录对应的自相关系数和偏自相关系数，根据自相关系数(acf)确定q的值，根据偏自相关系数(pacf)确定p的值。
[0114]
s203、根据差分次数、自回归项数和移动平均项数，构建多个候选时间序列模型。
[0115]
这里，可以重复上述的步骤s201
‑
s202，以获得多个差分次数、自回归项数和移动平均项数，利用随机组合的方式获得多组差分次数、自回归项数和移动平均项数，根据每组差分次数、自回归项数和移动平均项数，来构建一个候选时间序列模型，从而获得多个候选时间序列模型。
[0116]
s204、根据赤池信息准则和贝叶斯信息准则，从多个候选时间序列模型中选取自回归项数和移动平均项数最优的候选时间序列模型，确定为时间序列模型。
[0117]
具体的，赤池信息准则(aic)提供了权衡估计模型复杂度和拟合数据优良性的标准，但当样本数量过多时，容易出现过度拟合的情况。故在此基础上引入了具有相对更大惩
罚项的贝叶斯信息准则(bic准则)，可有效防止模型精度过高造成的模型复杂度过高问题。
[0118]
一种可能的实施例中，还可以将获取的攻击请求和预测攻击行为通过web页面的形式来进行可视化展示，便于研发人员对核电工控系统的形式进行掌握和了解，更好的对系统的安全状况进行维护。
[0119]
基于同一申请构思，本技术实施例中还提供了与上述实施例提供的用于核电工控系统的蜜罐防御方法对应的用于核电工控系统的蜜罐防御装置，由于本技术实施例中的装置解决问题的原理与本技术上述实施例的用于核电工控系统的蜜罐防御方法相似，因此装置的实施可以参见方法的实施，重复之处不再赘述。
[0120]
请参阅图6，图6为本技术实施例提供的一种用于核电工控系统的蜜罐防御装置的功能模块图。其中，用于核电工控系统的蜜罐防御装置10包括：获取模块101、提取模块102、分类模块103、更新模块104和预测模块105。
[0121]
获取模块101，用于获取请求源针对核电工控系统的目标请求；提取模块102，用于根据目标请求，提取能够表征目标请求的目标特征向量；分类模块103，用于确定所提取的目标特征向量的分类指标值；更新模块104，用于若根据分类指标值确定目标请求为攻击请求，则基于目标请求更新请求数据库；预测模块105，用于利用更新后的请求数据库，确定针对核电工控系统的预测攻击行为。
[0122]
其中，蜜罐系统通过虚拟机的方式均安装在核电工控系统中的任一个工控设备的主机上，获取模块101和提取模块102设置在蜜罐系统中，分类模块103、更新模块104和预测模块105设置在核电工控系统的另一台主机上。
[0123]
基于同一申请构思，参见图7所示，为本技术实施例提供的一种电子设备20的结构示意图，包括：处理器201、存储器202和总线203，存储器202存储有处理器201可执行的机器可读指令，当电子设备20运行时，处理器201与存储器202之间通过总线203进行通信，机器可读指令被处理器201运行时执行如上述实施例中任一的用于核电工控系统的蜜罐防御方法的步骤。
[0124]
基于同一申请构思，本技术实施例还提供了一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器运行时执行上述实施例提供的用于核电工控系统的蜜罐防御方法的步骤。
[0125]
具体地，存储介质能够为通用的存储介质，如移动磁盘、硬盘等，存储介质上的计算机程序被运行时，能够执行上述用于核电工控系统的蜜罐防御方法，通过对核电工控系统安装蜜罐，代替真实的核电工控系统与请求源进行交互，达到主动防御防止被黑客攻击的技术效果。
[0126]
所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。在本技术所提供的几个实施例中，应理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0127]
作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0128]
另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。
[0129]
功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者技术方案的部分可以以软件产品的形式体现出来，计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read
‑
only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
[0130]
以上仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以权利要求的保护范围为准。