一种针对电网主厂站蜜罐镜像技术的方法与流程

1.本发明涉及网络安全技术领域，尤其涉及一种针对电网主厂站蜜罐镜像技术的方法。


背景技术：

2.现有的网络安全防御体系大部分综合采用防火墙、入侵检测、主机监控、身份认证、防病毒软件、漏扫工具等多种构筑堡垒式的刚性防御体系，阻挡或隔绝外界入侵，这种静态分层的防御体系基于先验知识，在面对已知攻击时，具有反应迅速、防护有效的优点，但在对抗未知攻击对手时则稍有不足，且自身存在被攻击的危险。
3.电力监控系统目前已在防护体系的边界以及系统内部均部署了多种的网络安全设备，蜜罐作为一种用于诱捕入侵者的安全资源，通过虚假的资源诱骗入侵者，采集入侵者攻击数据和分析入侵者攻击行为，以达到保护真实主机目的。


技术实现要素：

4.本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本技术的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。
5.鉴于上述现有存在的问题，提出了本发明。
6.因此，本发明解决的技术问题是：针对电网主厂站进行蜜罐镜像技术的使用，研究镜像真实系统的技术，支持将主站系统真实部署的业务系统虚拟成蜜罐镜像至厂站侧，将攻击者诱捕至主站系统的问题。
7.为解决上述技术问题，本发明提供如下技术方案，一种针对电网主厂站蜜罐镜像技术的方法，包括：
8.根据资源文件和预设脚本生成蜜罐镜像，并利用所述蜜罐镜像生成蜜罐；
9.利用异构蜜罐镜像构建拟态蜜罐；
10.根据所述拟态蜜罐进行信息采集得到响应结果；
11.利用所述响应结果对拟态蜜罐信息进行监控得到裁决结果；
12.根据所述裁决结果对拟态蜜罐进行管理提高攻击者的辨识难度系数，达到网络安全的效果。
13.作为本发明所述的针对电网主厂站蜜罐镜像技术的方法与应用的一种优选方案，其中：所述资源文件包括：
14.利用网站克隆技术获取待仿制网站的地址、页面数据和待绑定标识，对地址和页面数据进行页面操作，得到资源文件。
15.作为本发明所述的针对电网主厂站蜜罐镜像技术的方法与应用的一种优选方案，其中：所述蜜罐镜像包括：
16.设置预设脚本，根据预设脚本生成基础镜像，根据所述资源文件和预设脚本生成
镜像层，利用基础镜像和镜像层生成蜜罐镜像。
17.作为本发明所述的针对电网主厂站蜜罐镜像技术的方法与应用的一种优选方案，其中：所述蜜罐包括：
18.利用所述蜜罐镜像生成蜜罐，并将蜜罐与待绑定标识进行绑定。
19.作为本发明所述的针对电网主厂站蜜罐镜像技术的方法与应用的一种优选方案，其中：所述异构蜜罐镜像包括：
20.利用已生成的蜜罐镜像制作上层应用相同而底层基础架构不同的异构蜜罐环境，实现异构性，得到异构蜜罐镜像。
21.作为本发明所述的针对电网主厂站蜜罐镜像技术的方法与应用的一种优选方案，其中：所述拟态蜜罐包括：
22.将所述异构蜜罐镜像通过虚拟机镜像技术进行镜像化处理，生成拟态蜜罐及拟态蜜罐系统。
23.作为本发明所述的针对电网主厂站蜜罐镜像技术的方法与应用的一种优选方案，其中：所述拟态蜜罐进行信息采集，包括：
24.通过虚拟化管理系统中识别模块对拟态蜜罐进行识别信息，利用虚拟化管理系统中定位模块对已识别的拟态蜜罐进行定位信息，通过虚拟化管理系统中管理模块对已定位的拟态蜜罐进行管理；通过虚拟化管理系统中控制模块对拟态蜜罐进行控制响应结果。
25.作为本发明所述的针对电网主厂站蜜罐镜像技术的方法与应用的一种优选方案，其中：所述对拟态蜜罐信息进行监控，包括：
26.对拟态蜜罐响应结果进行监控，将所有的响应结果进行裁决，对所有已裁决的响应结果进行输出裁决结果。
27.作为本发明所述的针对电网主厂站蜜罐镜像技术的方法与应用的一种优选方案，其中：所述裁决结果包括：
28.裁决结果中包括判定为已被攻陷的拟态蜜罐信息
29.作为本发明所述的针对电网主厂站蜜罐镜像技术的方法与应用的一种优选方案，其中：所述对拟态蜜罐进行管理，包括：
30.根据裁决结果，对拟态蜜罐和拟态蜜罐系统进行动态切换，将判定为已被攻陷的拟态蜜罐切换为未被攻陷的拟态蜜罐，对判定为已被攻陷的拟态蜜罐执行回滚操作，将拟态蜜罐对应的拟态蜜罐系统进行调度切换；有效的利用蜜罐进行防御，提高攻击者的辨识难度系，达到了网络安全的效果。
31.本发明的有益效果：支持分布式大规模的蜜罐统一编排布防，支持基于中继代理技术的攻击引流，支持远程引流布防以及本地诱捕布防两种方式；支持将主站系统真实部署的业务系统虚拟成蜜罐镜像至厂站侧，支持对各类蜜罐产品的统一接入，提高攻击者的辨识难度系数，达到网络安全的效果。
附图说明
32.为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它
的附图。其中：
33.图1为本发明第一个实施例所述的一种针对电网主厂站蜜罐镜像技术的方法的生成蜜罐具体步骤图；
34.图2为本发明第一个实施例所述的一种针对电网主厂站蜜罐镜像技术的方法的拟态蜜罐信息采集视图；
35.图3为本发明第一个实施例所述的一种针对电网主厂站蜜罐镜像技术的方法的拟态蜜罐信息监控视图；
36.图4为本发明第一个实施例所述的一种针对电网主厂站蜜罐镜像技术的方法的拟态蜜罐结构示意图。
具体实施方式
37.为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合说明书附图对本发明的具体实施方式做详细的说明，显然所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明的保护的范围。
38.在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是本发明还可以采用其他不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广，因此本发明不受下面公开的具体实施例的限制。
39.其次，此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例，也不是单独的或选择性的与其他实施例互相排斥的实施例。
40.本发明结合示意图进行详细描述，在详述本发明实施例时，为便于说明，表示器件结构的剖面图会不依一般比例作局部放大，而且所述示意图只是示例，其在此不应限制本发明保护的范围。此外，在实际制作中应包含长度、宽度及深度的三维空间尺寸。
41.同时在本发明的描述中，需要说明的是，术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一、第二或第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。
42.本发明中除非另有明确的规定和限定，术语“安装、相连、连接”应做广义理解，例如：可以是固定连接、可拆卸连接或一体式连接；同样可以是机械连接、电连接或直接连接，也可以通过中间媒介间接相连，也可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。
43.实施例1
44.参照图1～3，为本发明的第一个实施例，提供了一种针对电网主厂站蜜罐镜像技术的方法，包括：
45.s1:根据资源文件和预设脚本生成蜜罐镜像，并利用蜜罐镜像生成蜜罐；
46.更进一步的，资源文件包括：
47.利用网站克隆技术获取待仿制网站的地址、页面数据和待绑定标识，对地址和页
面数据进行页面操作，得到资源文件。
48.更进一步的，蜜罐镜像包括：
49.设置预设脚本，根据预设脚本生成基础镜像，根据资源文件和预设脚本生成镜像层，利用基础镜像和镜像层生成蜜罐镜像。
50.更进一步的，蜜罐包括：
51.利用蜜罐镜像生成蜜罐，并将蜜罐与待标识进行绑定。
52.应说明的是，实现快速和灵活地自动化生成蜜罐，从而能够有效迷惑入侵者，支持将主站系统真实部署的业务系统虚拟成蜜罐镜像至厂站侧，将攻击者诱捕至主站系统，形成蜜罐有效迷惑入侵者，达到了网络安全的效果。
53.s2:利用异构蜜罐镜像构建拟态蜜罐；
54.更进一步的，异构蜜罐镜像包括：
55.利用已生成的蜜罐镜像制作上层应用相同而底层基础架构不同的异构蜜罐环境，实现异构性，得到异构蜜罐镜像。
56.应说明的是，上层应用即蜜罐对外暴露出的网络服务，如http、ssh等网络服务应用。
57.更进一步的，拟态蜜罐包括：
58.将异构蜜罐镜像通过虚拟机镜像技术进行镜像化处理，生成拟态蜜罐及拟态蜜罐系统。
59.应说明的是，拟态蜜罐同时提供虚拟网络服务的主机或程序，支持诱惑攻击者进行攻击访问；拟态蜜罐需要将攻击访问流量转发至真实蜜罐中达到攻击诱捕的目的。
60.s3:根据拟态蜜罐进行信息采集得到响应结果；
61.更进一步的，拟态蜜罐进行信息采集，包括：
62.通过虚拟化管理系统中识别模块对拟态蜜罐进行识别信息，利用虚拟化管理系统中定位模块对已识别的拟态蜜罐进行定位信息，通过虚拟化管理系统中管理模块对已定位的拟态蜜罐进行管理；通过虚拟化管理系统中控制模块对拟态蜜罐进行控制响应结果。
63.s4:利用响应结果对拟态蜜罐信息进行监控得到裁决结果；
64.更进一步的，对拟态蜜罐信息进行监控，包括：
65.对拟态蜜罐响应结果进行监控，将所有的响应结果进行裁决，对所有已裁决的响应结果进行输出裁决结果。
66.更进一步的，裁决结果包括：
67.裁决结果中包括判定为已被攻陷的拟态蜜罐信息。
68.应说明的是，裁决是通过对多源蜜罐进行赋予权重，标识该蜜罐的可信度，根据蜜罐的权重值以及对应的结果利用结果评价算法进行评定蜜罐响应结果是否属实。
69.s5:根据裁决结果对拟态蜜罐进行管理提高攻击者的辨识难度系数，达到网络安全的效果；
70.更进一步的，对拟态蜜罐进行管理，包括：
71.根据裁决结果，对拟态蜜罐和拟态蜜罐系统进行动态切换，将判定为已被攻陷的拟态蜜罐切换为未被攻陷的拟态蜜罐，对判定为已被攻陷的拟态蜜罐执行回滚操作，将拟态蜜罐对应的拟态蜜罐系统进行调度切换；有效的利用蜜罐进行防御，提高攻击者的辨识
难度系，达到了网络安全的效果。
72.实施例2
73.参照图4，为本发明的第二个实施例，提供了一种针对电网主厂站蜜罐镜像技术的方法，进行仿真实验，验证有益效果。
74.1.在主站端部署安装退役的各类物联网业务系统，这些系统用于接收攻击者访问流量产出相关日志；
75.2.退役业务系统包括退役poc服务器、退役保信服务器、退役大数据服务器、退役pas服务器、退役scada服务器、退役安稳服务器、退役数据库服务器；
76.3.在厂站端通过拟态蜜罐镜像启动引流容器在生产控制大区虚拟出poc服务、保信服务、大数据服务、pas服务、scada服务、安稳服务、数据库服务；
77.4.利用以上多个虚拟服务形成仿真蜜网对攻击者进行攻击诱捕；
78.5.当攻击者对虚拟仿真蜜网进行攻击，拟态蜜罐将攻击访问流量牵引至主站端真实的退役的高仿真交互式蜜网；
79.6.利用并分析高仿真交互式蜜网输出的日志信息，溯源攻击者信息、解析攻击行为特征，还原攻击链。
80.将大规模的蜜罐统一编排布防，基于中继代理技术的攻击引流，利用远程引流布防以及本地诱捕布防两种方式；将主站系统真实部署的业务系统虚拟成蜜罐镜像至厂站侧，对各类蜜罐产品的统一接入，提高攻击者的辨识难度系数，达到网络安全的效果。
81.应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。