本发明专利技术公开了一种基于高仿真虚拟蜜罐技术进行电网安全防护的方法包括:蜜罐主机基于虚拟软件获得存在漏洞的多台虚拟蜜罐或网络服务;利用所述虚拟蜜罐或网络服务吸引攻击,捕获攻击活动并将所述攻击活动数据上传至节点控制中心;所述节点控制中心对所述数据进行简单的数据处理与存储,再汇总上传至管理控制中心;所述管理控制中心对所述数据进行数据分析与管理,并基于数据分析结果进行报警处理。本发明专利技术通过采用分布式部署蜜罐系统的方式扩大了数据信息的收集面;当其中一个节点控制中心被攻击者识破后,不会暴露整个蜜罐系统,进而增强了整个系统的安全性。而增强了整个系统的安全性。而增强了整个系统的安全性。
【技术实现步骤摘要】
一种基于高仿真虚拟蜜罐技术进行电网安全防护的方法
[0001]本专利技术涉及蜜罐
,具体为一种基于高仿真虚拟蜜罐技术进行电网安全防护的方法。
技术介绍
[0002]随着网络覆盖范围的进一步扩大,网络给人们的生活带来各种便利的同时,也面临着越来越复杂多样的网络威胁,传统的网络安全技术比如防火墙,入侵检测都属于被动防御的方式,对于已知的安全威胁有着很好的报警和防御措施,对于未知的安全威胁如何检测、如何防御,也是网络安全研究的一个重要方向;蜜罐技术采用主动防御的方式,在监测网络入侵、保护网络客体、信息学习反馈、提高完善反击入侵能力等网络安全方面有极大的优势,但单一蜜罐捕捉到攻击者的活动范围小,当蜜罐被攻击者的识破时,会导致整个蜜罐系统暴露在攻击者的面前,从而无法有效的保障网络安全。因此,本专利技术提出了一种基于高仿真虚拟蜜罐技术进行电网安全防护的方法。
技术实现思路
[0003]本部分的目的在于概述本专利技术的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和专利技术名称中可能会做些简化或省略以避免使本部分、说明书摘要和专利技术名称的目的模糊,而这种简化或省略不能用于限制本专利技术的范围。
[0004]鉴于上述存在的问题,提出了本专利技术。
[0005]因此,本专利技术解决的技术问题是:单一蜜罐捕捉到攻击者的活动范围小,蜜罐被攻击者识破,会暴露整个蜜罐系统的问题。
[0006]为解决上述技术问题,本专利技术提供如下技术方案:一种基于高仿真虚拟蜜罐技术进行电网安全防护的方法,包括:
[0007]蜜罐主机基于虚拟软件获得存在漏洞的多台虚拟蜜罐或网络服务;
[0008]利用所述虚拟蜜罐或网络服务吸引攻击,捕获攻击活动并将所述攻击活动数据上传至节点控制中心;
[0009]所述节点控制中心对所述数据进行简单的数据处理与存储,再汇总上传至管理控制中心;
[0010]所述管理控制中心对所述数据进行数据分析与管理,并基于数据分析结果进行报警处理。
[0011]作为本专利技术所述的基于高仿真虚拟蜜罐技术进行电网安全防护的方法的一种优选方案,其中:所述基于虚拟软件得到带有漏洞的多台虚拟蜜罐或网络服务,包括:
[0012]基于docker技术创建虚拟环境,将带有漏洞代码的程序打包到虚拟docker环境中,再通过端口映射将代码网络服务映射到宿主机的端口。
[0013]作为本专利技术所述的基于高仿真虚拟蜜罐技术进行电网安全防护的方法的一种优选方案,其中:所述存在的漏洞,包括:
[0014]注入漏洞、实效的身份认证和会话管理、敏感信息泄露、XML外部实体泄露、失效的访问控制、跨站脚本、不安全的反序列化、跨站请求伪造。
[0015]作为本专利技术所述的基于高仿真虚拟蜜罐技术进行电网安全防护的方法的一种优选方案,其中:所述捕获攻击活动,包括:
[0016]基于tcp/ip报文进行捕获,根据攻击者访问的IP端口即可知晓攻击者访问的网络服务;正常在内网中运行的业务机器不会去访问虚拟蜜罐向外暴露出的网络服务;正常的arp访问或者广播报文不会是攻击访问,针对虚拟蜜罐向外暴露的网络服务访问基本可判断为不合法的攻击访问。
[0017]作为本专利技术所述的基于高仿真虚拟蜜罐技术进行电网安全防护的方法的一种优选方案,其中:所述节点控制中心,包括:
[0018]将捕获的原始数据以及分析处理后的数据存储至数据库中;基于大数据组件对数据进行简单的处理。
[0019]作为本专利技术所述的基于高仿真虚拟蜜罐技术进行电网安全防护的方法的一种优选方案,其中:所述节点控制中心,还包括:
[0020]对本网段的所有蜜罐进行配置和管理;节点控制中心基于管理控制中心下发的带有蜜罐各类参数的控制指令进行虚拟蜜罐的配置;基于管理控制中心下发的控制指令对虚拟蜜罐进行启动、停止、删除操作。
[0021]作为本专利技术所述的基于高仿真虚拟蜜罐技术进行电网安全防护的方法的一种优选方案,其中:所述汇总数据上传至管理控制中心,包括:
[0022]当管理控制中心需要对真实访问流量数据进行分析时,会通过发送上传指令和定时上传两种方式使节点控制中心将数据汇总上传至管理控制中心。
[0023]作为本专利技术所述的基于高仿真虚拟蜜罐技术进行电网安全防护的方法的一种优选方案,其中:所述管理控制中心,包括:
[0024]设置自动前端处理的分拣机制,基于大数据组件对节点控制中心上传的数据按照规则进行过滤和分类,利用数据挖掘、统计分析、可视化手段进行特征分析、攻击趋势分析。
[0025]作为本专利技术所述的基于高仿真虚拟蜜罐技术进行电网安全防护的方法的一种优选方案,其中:所述规则,包括:
[0026]按照单位、站点、网络协议类型进行分类;按照通信IP、端口进行过滤:对于广播地址、网络号的地址通信进行过滤;对于白名单IP的通信进行过滤。
[0027]作为本专利技术所述的基于高仿真虚拟蜜罐技术进行电网安全防护的方法的一种优选方案,其中:所述报警处理,包括:
[0028]进行告警配置,基于数据分析结果对告警配置相关的参数、阈值、告警等级、告警描述信息并建立模式匹配规则;通过系统集群中的日志管理组件监视目标系统中的各种日志,并对系统的运行状态进行分析,将日志信息和系统运行状态与模式规则进行匹配,当出现异常时及时报警。
[0029]本专利技术的有益效果:本专利技术通过采用分布式部署蜜罐系统的方式扩大了数据信息的收集面;当其中一个节点控制中心被攻击者识破后,不会暴露整个蜜罐系统,进而增强了整个系统的安全性。
附图说明
[0030]为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。其中:
[0031]图1为本专利技术一个实施例提供的一种基于高仿真虚拟蜜罐技术进行电网安全防护的方法的整体流程图;
[0032]图2为本专利技术一个实施例提供的通过宿主机部署高仿真蜜罐的示意图。
具体实施方式
[0033]为使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本专利技术的具体实施方式做详细的说明,显然所描述的实施例是本专利技术的一部分实施例,而不是全部实施例。基于本专利技术中的实施例,本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术的保护的范围。
[0034]在下面的描述中阐述了很多具体细节以便于充分理解本专利技术,但是本专利技术还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本专利技术内涵的情况下做类似推广,因此本专利技术不受下面公开的具体实施例的限制。
[0035]其次,此处所称的“一个实施例”或“实施例”是指可包含于本专利技术至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于高仿真虚拟蜜罐技术进行电网安全防护的方法,其特征在于,包括:蜜罐主机基于虚拟软件获得存在漏洞的多台虚拟蜜罐或网络服务;利用所述虚拟蜜罐或网络服务吸引攻击,捕获攻击活动并将所述攻击活动数据上传至节点控制中心;所述节点控制中心对所述数据进行简单的数据处理与存储,再汇总上传至管理控制中心;所述管理控制中心对所述数据进行数据分析与管理,并基于数据分析结果进行报警处理。2.如权利要求1所述的基于高仿真虚拟蜜罐技术进行电网安全防护的方法,其特征在于:所述基于虚拟软件获得带有漏洞的多台虚拟蜜罐或网络服务,包括:基于docker技术创建虚拟环境,将带有漏洞代码的程序打包到虚拟docker环境中,再通过端口映射将代码网络服务映射到宿主机的端口。3.如权利要求1或2所述的基于高仿真虚拟蜜罐技术进行电网安全防护的方法,其特征在于:所述存在的漏洞,包括:注入漏洞、实效的身份认证和会话管理、敏感信息泄露、XML外部实体泄露、失效的访问控制、跨站脚本、不安全的反序列化、跨站请求伪造。4.如权利要求3所述的基于高仿真虚拟蜜罐技术进行电网安全防护的方法,其特征在于:所述捕获攻击活动,包括:基于tcp/ip报文进行捕获,根据攻击者访问的IP端口即可知晓攻击者访问的网络服务;由于正常在内网中运行的业务机器不会去访问虚拟蜜罐向外暴露出的网络服务;而正常的arp访问或者广播报文不会是攻击访问,因此针对虚拟蜜罐向外暴露的网络服务访问基本可判断为不合法的攻击访问,进而捕获攻击活动。5.如权利要求4所述的基于高仿真虚拟蜜罐技术进行电网安全防护的方法,其特征在于:所述,包括:将捕获的原始数据以及分析处理后的数据存储至数据库中;基于大数据组件对数据进行简单的处理。6.如权利要求5所述...
【专利技术属性】
技术研发人员:蒋亚坤,陶文伟,曹扬,韩校,李晓耕,王彬筌,林旭,刘问宇,陈文,韩熙媛,蒋渊,何馨,
申请(专利权)人:云南电网有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。