面向电力系统独立网络攻击的边缘数据引流诱捕技术方法与流程

1.本发明涉及网络安全技术领域，尤其涉及一种面向电力系统独立网络攻击的边缘数据引流诱捕技术方法。


背景技术：

2.目前网络安全面临的一个大问题是缺乏对入侵者的了解。即谁正在攻击、攻击的目的是什么、如何攻击以及何时进行攻击等，而蜜罐为安全专家们提供一个研究各种攻击的平台。它是采取主动的方式，用定制好的特征吸引和诱骗攻击者，将攻击从网络中比较重要的机器上转移开，同时在黑客攻击蜜罐期间对其行为和过程进行深入的分析和研究，从而发现新型攻击，检索新型黑客工具，了解黑客和黑客团体的背景、目的、活动规律等。目前缺乏大范围诱捕网络攻击的手段，距离构建电力监控系统网络安全全域防御与纵深防御体系还存在一定距离。


技术实现要素：

3.本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本技术的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。
4.鉴于上述现有存在的问题，提出了本发明。
5.因此，本发明提供了一种面向电力系统独立网络攻击的边缘数据引流诱捕技术方法，解决无法方便简单快捷，有效获取攻击者地址，无法准确得知攻击者的问题。
6.为解决上述技术问题，本发明提供如下技术方案：包括：
7.在蜜罐主站平台侧部署安装多源蜜罐；
8.建立引流通道；
9.对所述引流通道进行代理配置；
10.蜜罐主站平台下发引流容器到站端，配置欺骗服务下发至引流容器，将配置的引流ip虚拟网口与引流容器做ip端口映射并将引流数据转发至中继/非中继高并发通道监听的端口中，实现引流诱捕。
11.作为本发明所述的面向电力系统独立网络攻击的边缘数据引流诱捕技术方法的一种优选方案，其中：所述多源蜜罐包括：web服务蜜罐、数据库服务蜜罐、网络基础服务蜜罐、高仿真服务蜜罐。
12.作为本发明所述的面向电力系统独立网络攻击的边缘数据引流诱捕技术方法的一种优选方案，其中：所述多源蜜罐配置有蜜罐服务，可实现应用、数据、设备层的不同服务类型的欺骗。
13.作为本发明所述的面向电力系统独立网络攻击的边缘数据引流诱捕技术方法的一种优选方案，其中：所述引流通道包括中继代理引流通道或者非中继代理引流通道。
14.作为本发明所述的面向电力系统独立网络攻击的边缘数据引流诱捕技术方法的
一种优选方案，其中：所述建立引流通道包括多级中继代理引流通道启动，蜜罐主站平台首先向专用终端发送中继服务端启动指令，返回成功后接着根据欺骗服务ip端口配置向节点2发送中继客户端启动指令；
15.节点2回成功后向节点2发送中继服务端启动指令；
16.节点2又返回成功后根据欺骗服务ip端口配置向节点1发送中继客户端启动指令；
17.节点1返回成功后中继代理引流通道建立成功。
18.作为本发明所述的面向电力系统独立网络攻击的边缘数据引流诱捕技术方法的一种优选方案，其中：所述建立引流通道还包括非中继代理引流通道启动，蜜罐主站平台首先向专用终端发送代理通道服务端启动指令，返回成功后接着根据欺骗服务ip端口配置向节点1发送代理通道客户端启动指令；
19.节点1返回成功后中继代理引流通道建立成功。
20.作为本发明所述的面向电力系统独立网络攻击的边缘数据引流诱捕技术方法的一种优选方案，其中：对引流通道进行代理配置包括：首先配置空闲ip；接着对需要布防的虚拟引流ip将中继/非中继通道的引流配置与该ip进行绑定，并配置将中继客户端/通道客户端接收的数据发送至所述多源蜜罐中指定的第三方蜜罐。
21.作为本发明所述的面向电力系统独立网络攻击的边缘数据引流诱捕技术方法的一种优选方案，其中：所述引流容器可将访问流量通过中继/非中继高并发通道牵引至与其关联的第三方蜜罐服务中，实现对已配置的诱捕ip、端口进行扫描探测、攻击等行为的监听。
22.作为本发明所述的面向电力系统独立网络攻击的边缘数据引流诱捕技术方法的一种优选方案，其中：所述引流容器在攻击者对虚拟网口引流ip的引流端口发起攻击时，可将对引流ip/port的异常访问流量首先转发至中继/通道服务端中，接着通过中继/非中继高并发通道牵引发送至中继/通道客户端。
23.作为本发明所述的面向电力系统独立网络攻击的边缘数据引流诱捕技术方法的一种优选方案，其中：所述引流容器可以根据中继/通道客户端中的服务ip以及服务端口配置将异常访问流量引流至第三方蜜罐中，将攻击流量牵引至真实蜜罐服务器中，实现引流诱捕。
24.本发明的有益效果：本发明能够针对电力监控系统的网络的多级架构环境建立中继代理引流通道进行攻击流量数据引流，针对电力监控系统的网络的单级架构环境建立非中继代理引流通道进行攻击流量数据引流；通过将真实蜜罐的欺骗服务代理至诱捕节点中进行攻击流量引流，完成对网络中的空闲ip引流布防，支持对需要布防的孤岛网络进行反向代理配置启动中继非中继代理通道，将蜜罐布防延伸至所有电力监控系统所有网络环境。并且提供了一种兼容多源诱捕产品实现多网络覆盖监控的部署方案及系统，在电力系统环境下，只需要在主站系统中配置下发相应的诱捕容器或者引流容器便可以完成诱捕产品的部署布防工作，大大减少了系统布防的工作量并且支持多源诱捕产品的统一布防和网络监控，大大增加了系统防护功能有效性。
附图说明
25.为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用
的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。其中：
26.图1为本发明第一个实施例所述的面向电力系统独立网络攻击的边缘数据引流诱捕技术方法的流程图；
27.图2为本发明第一个实施例所述的面向电力系统独立网络攻击的边缘数据引流诱捕技术方法中的多级中继通道流程示意图；
28.图3为本发明第一个实施例所述的面向电力系统独立网络攻击的边缘数据引流诱捕技术方法的的中的非中继通道流程示意图；
29.图4为本发明第一个实施例所述的面向电力系统独立网络攻击的边缘数据引流诱捕技术方法的的中的攻击引流示意图。
具体实施方式
30.为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合说明书附图对本发明的具体实施方式做详细的说明，显然所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明的保护的范围。
31.在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是本发明还可以采用其他不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广，因此本发明不受下面公开的具体实施例的限制。
32.其次，此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例，也不是单独的或选择性的与其他实施例互相排斥的实施例。
33.本发明结合示意图进行详细描述，在详述本发明实施例时，为便于说明，表示器件结构的剖面图会不依一般比例作局部放大，而且所述示意图只是示例，其在此不应限制本发明保护的范围。此外，在实际制作中应包含长度、宽度及深度的三维空间尺寸。
34.同时在本发明的描述中，需要说明的是，术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一、第二或第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。
35.本发明中除非另有明确的规定和限定，术语“安装、相连、连接”应做广义理解，例如：可以是固定连接、可拆卸连接或一体式连接；同样可以是机械连接、电连接或直接连接，也可以通过中间媒介间接相连，也可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。
36.实施例1
37.参照图1～4，为本发明的一个实施例，提供了一种面向电力系统独立网络攻击的边缘数据引流诱捕技术方法，包括：
38.s1：在蜜罐主站平台侧部署安装多源蜜罐；
39.更进一步的，多源蜜罐包括：web服务蜜罐、数据库服务蜜罐、网络基础服务蜜罐、高仿真服务蜜罐。
40.更进一步的，多源蜜罐配置有蜜罐服务，可实现应用、数据、设备层的不同服务类型的欺骗。
41.s2：建立引流通道；
42.更进一步的，引流通道包括中继代理引流通道或者非中继代理引流通道。
43.更进一步的，建立引流通道包括多级中继代理引流通道启动，
44.蜜罐主站平台首先向专用终端发送中继服务端启动指令，返回成功后接着根据欺骗服务ip端口配置向节点2发送中继客户端启动指令；
45.节点2回成功后向节点2发送中继服务端启动指令；
46.节点2又返回成功后根据欺骗服务ip端口配置向节点1发送中继客户端启动指令；
47.节点1返回成功后中继代理引流通道建立成功。
48.更进一步的，建立引流通道还包括非中继代理引流通道启动，
49.蜜罐主站平台首先向专用终端发送代理通道服务端启动指令，返回成功后接着根据欺骗服务ip端口配置向节点1发送代理通道客户端启动指令；
50.节点1返回成功后中继代理引流通道建立成功。
51.应说明的是，构建引流通道引流站端捕获到的攻击流量到达多源蜜罐中，达到攻击者访问流量引流的目的，进而多源蜜罐解析攻击流量，匹配攻击行为特征发现攻击事件并形成告警，进一步的溯源攻击链，还原攻击者基本信息以及扩展信息等，让攻击者无处遁形。
52.s3：对引流通道进行代理配置；
53.更进一步的，对引流通道进行代理配置包括：首先配置空闲ip；接着对需要布防的虚拟引流ip将中继/非中继通道的引流配置与该ip进行绑定，并配置将中继客户端/通道客户端接收的数据发送至多源蜜罐中指定的第三方蜜罐。
54.应说明的是，攻击引流通过将引流容器暴露于内网中，对网络中的扫描探测、攻击行为进行监听。当发现异常访问时，将异常访问流量转发至与之关联的蜜罐服务中，根据配置的蜜罐服务可实现应用、数据、设备层等不同服务类型的欺骗。高仿真的蜜罐支持多种仿真网络服务，当蜜罐服务暴露于内网中，可对网络环境中的攻击进行识别和流量获取，并进行通信流量数据分析，识别出攻击类型、攻击内容等详情。
55.在实时布防之前，进行上述s3的引流通道代理配置，其中，配置空闲ip具体为针对专用终端利用track技术将物理网口逻辑划分为多个虚拟网口进行子网口ip配置。
56.s4：蜜罐主站平台下发引流容器到站端，配置欺骗服务下发至引流容器，将配置的引流ip虚拟网口与引流容器做ip端口映射并将引流数据转发至中继/非中继高并发通道监听的端口中，实现引流诱捕。
57.更进一步的，引流容器可将访问流量通过中继/非中继高并发通道牵引至与其关联的第三方蜜罐服务中，实现对已配置的诱捕ip、端口进行扫描探测、攻击等行为的监听。
58.更进一步的，引流容器在攻击者对虚拟网口引流ip的引流端口发起攻击时，可将对引流ip/port的异常访问流量首先转发至中继/通道服务端中，接着通过中继/非中继高并发通道牵引发送至中继/通道客户端。
59.引流容器可以根据中继/通道客户端中的服务ip以及服务端口配置将异常访问流量引流至第三方蜜罐中，将攻击流量牵引至真实蜜罐服务器中，实现引流诱捕。
60.应说明的是，建立引流ip/端口与欺骗服务的映射关系，将引流ip/端口受到的攻击者访问数据转发至引流通道，通过引流通道上送至多源蜜罐中。
61.总体上，本发明通过研究基于代理的攻击引流技术实现将孤立网络的网络安全攻击数据引流至主站系统，达到孤岛网络攻击诱捕的监测的目的。
62.为了整合升级蜜罐防护能力，一次部署，多点使用，节约蜜罐部署成本，需研发实现在不破坏电力监控系统现有网络结构及业务的情况下，通过网络反向代理技术，实现将孤立网络的网络安全攻击数据引流至主站系统，达到孤岛网络攻击诱捕的监测的目的。因此针对电力监控系统的网络的多级架构环境建立中继代理引流通道进行攻击流量数据引流，针对电力监控系统的网络的单级架构环境建立非中继代理引流通道进行攻击流量数据引流；通过将真实蜜罐的欺骗服务代理至诱捕节点中进行攻击流量引流，完成对网络中的空闲ip引流布防，支持对需要布防的孤岛网络进行反向代理配置启动中继非中继代理通道，将蜜罐布防延伸至所有电力监控系统所有网络环境。
63.实施例2
64.参照图1，为本发明的一个实施例，提供了一种面向电力系统独立网络攻击的边缘数据引流诱捕技术方法，为了验证其有益效果，提供一个实际运行效果实例已验证其可行性和效果。
65.中继代理通道配置如表1：
66.表1中继代理通道配置
[0067][0068]
配置欺骗服务映射如表2：
[0069]
表2配置欺骗服务映射
[0070][0071]
以上数据配置能够实时发现变电站端的mysql服务攻击访问事件、redis服务攻击
访问事件。当引流ip172.12.14.10的28080以及28089端口被攻击者访问后，攻击访问流量立即被牵引至多源蜜罐的mysql服务以及redis服务中并形成攻击访问事件；当引流ip172.12.14.12的443以及9096端口被攻击者访问后，攻击访问流量立即被牵引至多源蜜罐的http服务以及仿真oa系统服务中并形成攻击访问事件；当引流ip172.12.14.13的23端口被攻击者访问后，攻击访问流量立即被牵引至多源蜜罐的telnet服务中并形成攻击访问事件。
[0072]
应当认识到，本发明的实施例可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术-包括配置有计算机程序的非暂时性计算机可读存储介质在计算机程序中实现，其中如此配置的存储介质使得计算机以特定和预定义的方式操作——根据在具体实施例中描述的方法和附图。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系统通信。然而，若需要，该程序可以以汇编或机器语言实现。在任何情况下，该语言可以是编译或解释的语言。此外，为此目的该程序能够在编程的专用集成电路上运行。
[0073]
应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。