一种基于蜜网的电力信息网络防御系统和方法

1.本发明属于网络安全技术领域，尤其涉及一种基于蜜网的电力信息网络防御系统和方法。


背景技术：

2.目前，暴露在互联网中的工控系统越来越多，电力信息网络协议中的漏洞也层出不穷。由于 计算机恶意软件的传播与人类传染病传播模型存在着相似之，很多学者对恶意软件的传播模型进 行研究，进而分析恶意软件的攻击特性和传播趋势，一些受sir模型 (susceptible-infective-removal)启发的数学模型已被用于抑制恶意软件的传播。同时，许 多研究表明，网络的拓扑结构对恶意软件的传播具有重要影响。因此，研究电力信息网的拓扑结 构是分析恶意软件传播及对抗的重要因素。
[0003][0004]
传统的防病毒、防入侵等系统软件，例如使用防火墙，入侵检测系统(ids)和良性蠕虫防 御系统，然而，这些针对恶意软件入侵的技术通常基于已知的恶意软件样本。而由于工业控制系 统网络的协议种类繁杂、相对隔离、网络结构复杂且耦合度高等特性，如何获取样本信息以对恶 意软件进行对抗成为重中之重。
[0005]
蜜网是由多个蜜罐组成的网络，蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置 一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进 行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了 解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。工控蜜罐通 过模拟plc(可编程逻辑控制器)等电力设备，诱使恶意软件对它们实施攻击，从而可以对攻击 行为进行捕获和分析。
[0006]
目前，关于蜜罐的大多数研究都集中在其技术水平上，如数据捕获，信息收集和虚拟化技术。 然而，由于电力信息网络的物理过程和后果有着非常复杂的相互作用、工控网络隔离特征、通信 协议专有性与复杂性等特征，使得蜜罐应用于电力信息网络中的对于恶意软件的对抗与控制相较 于互联网更有难度。
[0007]
因此，目前针对电力信息网络领域，使用蜜网技术对抗恶意软件，鲜有有效的解决方案。


技术实现要素：

[0008]
针对上述现有技术中存在的不足之处，本发明提供了一种基于蜜网的电力信息网络防御系统 和方法。其目的是为了实现既能有针对性、有效地对抗在电力信息网中大肆传播的恶意软件，还 能够利用可视化技术直观地展示模型的预测结果，提高蜜罐的部署效率的发明目的。
[0009]
本发明为实现上述目的所采用的技术方案是：
[0010]
一种基于蜜网的电力信息网络防御系统，是在耦合网络中建立含有蜜网的双层耦
合网络的恶 意软件传播模型，并根据模型建立基于蜜网的电力信息网络防御系统；即根据实际网络结构，构 建非均匀分布的双层耦合网络；所述构建非均匀分布的双层耦合网络，为含有工控蜜罐的双层耦 合网络的恶意软件传播模型，包含：电力信息网和蜜网。
[0011]
一种基于蜜网的电力信息网络防御方法，包括以下步骤：
[0012]
步骤1.根据实际网络结构，构建非均匀分布的双层耦合网络；
[0013]
步骤2.根据构建的非均匀分布的双层耦合网络，提出基于工控蜜罐的恶意软件对抗策略；即 含有工控蜜罐的双层耦合网络的恶意软件传播模型对抗恶意软件的对抗策略；包括以下步骤：
[0014]
步骤a.根据恶意软件的攻击，电力设备的四种切换状态，以及蜜罐的三种切换状态；
[0015]
步骤b.电力设备的电力信息网中易感电力设备被感染的概率β
11
，感染的电力设备恢复的概 率电力设备失去免疫的概率δ1变为易感电力设备；
[0016]
蜜罐被感染的电力设备感染的概率β
22
，感染蜜罐的隔离概率蜜罐重新部署回到易感染 状态的概率δ2再次回到易感状态；一旦蜜罐捕获到恶意软件的样本信息，易受攻击的电力信息 中易感电力设备的免疫概率β
12
转换为隔离状态，采取具体的免疫措施来对抗后，部分被隔离的 电力设备将以电力设备的恢复概率ω恢复；
[0017]
步骤c.构建遵循幂律分布的耦合网络度分布；
[0018]
步骤d.定义网络的平均度和度的二阶矩；
[0019]
步骤e.计算易感电力设备和蜜罐分别与感染的电力设备和蜜罐之间的通信概率；
[0020]
步骤f-步骤l.分别通过表达式来表示步骤a中的状态转换过程；
[0021]
步骤m.计算电力设备和蜜罐的总数量；
[0022]
步骤n.得到含有工控蜜罐的双层耦合网络的恶意软件传播模型；
[0023]
步骤3.利用可视化展示系统，将模型的预测结果和蜜网的防御效果进行展示。
[0024]
更进一步的，所述电力设备的四种切换状态，包括：
[0025]
易感状态susceptible state(sp)；
[0026]
感染状态infectious state(ip)；
[0027]
隔离状态quarantined state(qp)；
[0028]
免疫状态removed state(rp)；
[0029]
分别用sp(t)，ip(t)，qp(t)和rp(t)表示t时刻易感染状态、感染状态、隔离状态和免疫 状态的电力设备数量；
[0030]
所述蜜罐的三种切换状态，包括：
[0031]
易感状态susceptible state(sh)；
[0032]
感染状态infectious state(ih)；
[0033]
隔离状态quarantined state(qh)；
[0034]
分别用sh(t)，ih(t)和qh(t)表示t时刻易感染状态、感染状态、隔离状态的蜜罐数量。
[0035]
更进一步的，步骤b所述电力设备由易感状态转换为感染状态的概率，为电力信息网中易感 电力设备被感染的概率β
11
；感染的电力设备恢复的概率通过安装补丁等来恢
复；某些情况下， 由于补丁是临时的等原因，电力设备失去免疫的概率δ1变为易感状态电力设备；
[0036]
蜜罐由易感状态转换为蜜罐被感染的电力设备感染的概率β
22
，感染蜜罐的隔离概率通过 重新安装，蜜罐重新部署回到易感染状态的概率δ2再次回到易感状态；一旦蜜罐捕获到恶意软 件的样本信息，易受攻击的电力信息中易感电力设备的免疫概率β
12
转换为隔离状态，采取具体 的免疫措施来对抗，部分被隔离的电力设备将以电力设备的恢复概率ω恢复。
[0037]
更进一步的，步骤c所述构建遵循幂律分布的耦合网络度分布，包括：
[0038]
p(k)＝k-γ
[0039]
上式中，p为连接概率,k为节点的边数，r为幂律指数；
[0040]
对与电力设备，用(i,j)表示有i条边与其他电力设备相连，j条边与蜜罐相连；对蜜罐，用 (k,l)表示有k条边与其他蜜罐相连，l条边与电力设备相连；
[0041]
节点最大连接度：和
[0042]
上式中，n为最大度，i，j，k,l表示不同节点连接的边数；
[0043]
所述电力信息网和蜜网的联合度分布和边际度分布表示如下：
[0044][0045][0046][0047]
上式中，p
p
为ics网络的联合度分布，ph为蜜网的联合度分布,pa(i,
·
)为子网a的边缘度 分布，pb(k,
·
)为子网a的边缘度分布，pa(
·
,j)为子网a的边缘度分布，pb(
·
,j)为子 网a的边缘度分布，n为总节点数,为ics网络节点总数，为蜜网节点总数，n
p
为plc 的总数量，nh为蜜罐的总数量，h为蜜罐，p为plc设备；(i,j)表示有i条边与其他电力设备 相连，j条边与蜜罐相连；(k,l)表示有k条边与其他蜜罐相连，l条边与电力设备相连。
[0048]
更进一步的，步骤d所述定义网络的平均度和度的二阶矩，包括：
[0049][0050][0051][0052][0053]
上式中，《k》
11,12,21,22
为网络平均度，《k2》
11,12,21,22
为二阶矩阵。
[0054]
更进一步的，步骤e所述计算易感电力设备和蜜罐分别与感染的电力设备和蜜罐之间的通信 概率，包括:
[0055]
易感染电力设备与受感染的电力设备通信概率为：
[0056][0057]
上式中，ip
p
(i，j)为度分布概率，为t时刻，电力信息网中度为(i,j)的感染电力设 备数量，n为最大度，k为平均度；
[0058]
易感染电力设备与受感染的蜜罐通信的概率是：
[0059][0060]
上式中，为t时刻，蜜网中度为(k,l)的感染蜜罐数量，l为l条边与电力设备相连， k为有k条边与其他蜜罐相连；
[0061]
易感染蜜罐与受感染的蜜罐通信的概率是：
[0062][0063]
上式中，θ
21
(t)为感染概率，kph为度分布概率；
[0064]
易感染蜜罐与受感染的电力设备通信的概率是：
[0065][0066]
上式中，θ
22
(t)为感染概率jpc为度分布概率,(i,j)表示有i条边与其他电力设备相连，j 条边与蜜罐相连；为感染设备数量。
[0067]
更进一步的，步骤f所述通过下面的表达式来表示步骤a中的状态转换过程：
[0068][0069]
上式中，为微分，β
11
为电力信息网中易感电力设备被感染的概率，β
12
为电力信息 网中易感电力设备的免疫概率β
12
，d为微分符号，s为易感染状态，t为时间；
[0070]
如果电力设备是易感染状态(s)，那么它将会被感染状态电力设备所感染，也可能在工控蜜 罐捕获到样本信息后被隔离；
[0071]
步骤g.
[0072]
上式中，为微分，为t时刻，电力信息网中度为(i,j)的易感电力设备数量，i 为感染状态，i为连接边数；
[0073]
如果电力设备是感染状态(i)，那么它是由易感电力设备感染恶意软件转化的，将会通过打 补丁等方式免疫恶意软件；
[0074]
步骤h.
[0075]
上式中，为微分，为t时刻，电力信息网中度为(i,j)的隔离电力设备数量； β
22
为蜜罐被感染的电力设备感染的概率，θ
22
(t)为感染概率，l为连接边数，q为隔离状态，ω为 电力设备的恢复概率；
[0076]
如果电力设备是隔离状态(q)，那么它将会通过打补丁等方式免疫恶意软件；
[0077]
步骤i.
[0078]
上式中，为微分，为t时刻，电力信息网中度为(i,j)的感染电力设备数量，为t时刻，电力信息网中度为(i,j)的免疫电力设备数量；
[0079]
如果电力设备是免疫状态(r)，那么重新安装后，它将会重新转换为易感染状态；
[0080]
步骤j.
[0081]
上式中，为微分，为t时刻，蜜网中度为(k,l)的易感蜜罐数量，δ2为蜜罐重 新部署回到易感染状态的概率；为t时刻，蜜网中度为(k,l)的免疫蜜罐数量，β
22
为蜜罐 被感染的电力设备感染的概率；
[0082]
易感染蜜罐与已被感染的电力设备通信后将会转换为感染蜜罐；
[0083]
步骤k.
[0084]
上式中，为微分；
[0085]
已感染的蜜罐，在获取恶意软件的样本信息后，将被隔离；
[0086]
步骤l.
[0087]
上式中，为微分，为感染蜜罐的隔离概率；
[0088]
处于隔离状态的蜜罐，在重新安装后将重新转变为易感染蜜罐。
[0089]
更进一步的，步骤m所述计算电力设备蜜罐的总数量，即plc的总数量为n
p
；蜜罐的总数 量为nh，其算式如下：
[0090][0091][0092]
上式中，为t时刻，电力信息网中度为(i,j)的易感电力设备数量；为t时刻， 电力信息网中度为(i,j)的感染电力设备数量；为t时刻，电力信息网中度为(i,j)的隔离电 力设备数量；为t时刻，电力信息网中度为(i,j)的免疫电力设备数量；
为t时刻， 蜜网中度为(k,l)的易感蜜罐数量；为t时刻，蜜网中度为(k,l)的感染蜜罐数量；为t 时刻，蜜网中度为(k,l)的免疫蜜罐数量；
[0093]
步骤n.得到本发明含有工控蜜罐的双层耦合网络的恶意软件传播模型，整理为：
[0094][0095]
上式中，d为微分符号,l为连接边数，δ1为电力设备失去免疫的概率,δ2为蜜罐重新部署 回到易感染状态的概率,为感染的电力设备恢复的概率,为感染蜜罐的隔离概率,β
11
为电力 信息网中易感电力设备被感染的概率，β
12
为电力信息网中易感电力设备的免疫概率，β
22
为蜜 罐被感染的电力设备感染的概率，ω为电力设备的恢复概率。
[0096]
更进一步的，所述含有工控蜜罐的双层耦合网络的恶意软件传播模型，具有一个唯一的正平 衡点：
[0097][0098]
上式中，e
*
为平衡点，为易感染plc数量，为隔离plc数量，为免疫plc数量， 为易感染蜜罐数量，为感染蜜罐数量，为隔离蜜罐数量；
[0099]
其中：
[0100][0101][0102]
证明步骤如下：
[0103]
步骤(1)：当等式稳定时，如果等号左边的导数均为0，则模型是稳定的，可得到：
[0104]
[0105][0106]
上式中，为感染plc数量，为感染蜜罐数量，为免疫plc数量，为 隔离plc数量，为隔离蜜罐数量；
[0107]
步骤(2)：由上式可以到导出：
[0108][0109][0110]
i＝1,2,
···
,n
11
,
[0111]
j＝1,2,
···
,n
12
,
[0112]
k＝1,2,
···
,n
21
,
[0113]
l＝1,2,
···
,n
22
,
[0114]
上式中，为感染plc数量，为感染蜜罐数量，为免疫plc数量，为 隔离plc数量，为隔离蜜罐数量；
[0115]
步骤(3)：显然有一个唯一的正数根，且有唯一的一个正平衡点
[0116][0117]
步骤(4)：证明结束。
[0118]
本发明具有以下有益效果及优点：
[0119]
本发明在构建网络结构时，考虑非均匀网络结构更符合真实的电力信息网络。利用蜜网技术， 既能有针对性、有效地对抗在电力信息网中大肆传播的恶意软件，还能够利用可视化技术直观地 展示模型的预测结果，同时研究结果也有利于提高蜜罐的部署效率。
附图说明
[0120]
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易 理解，其中：
[0121]
图1是本发明电力信息网和工控蜜网通过接触连边组成的网络拓扑图；
[0122]
图2是本发明的状态转换图；
[0123]
图3是本发明恶意软件与蜜罐在耦合网络中相互作用部分流程图；
[0124]
图4是本发明的电力设备无病平衡点检测图；
[0125]
图5是本发明的蜜罐无病平衡点检测图；
[0126]
图6是本发明的防御策略效果图。
[0127]
图7是本发明的可视化展示图。
具体实施方式
[0128]
为了能够更清楚地理解本发明的上述目的、特征和优点，下面将结合附图和具体实施方式对 本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本技术的实施例及实施例中 的特征可以相互组合。
[0129]
在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他 不同于在此描述的其他方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限 制。
[0130]
下面参照图1-图7描述本发明一些实施例的技术方案。
[0131]
实施例1
[0132]
本发明提供了一个实施例，是一种基于蜜网的电力信息网络防御系统，如图1所示，是本发 明电力信息网和工控蜜网通过接触连边组成的网络拓扑图。该系统由两个相互依赖的子网络电力 信息网和蜜网构成，每个子网由节点和它们的连接边所构成。
[0133]
随着两化融合进程的深入，电力信息网已经和互联网密不可分，因此受到越来越多的恶意攻 击。本发明是在耦合网络中建立了一个含有蜜网的双层耦合网络的恶意软件传播模型，并根据模 型建立了一个基于蜜网的电力信息网络防御系统。即根据实际网络结构，构建非均匀分布的双层 耦合网络。
[0134]
所述构建非均匀分布的双层耦合网络，为含有工控蜜罐的双层耦合网络的恶意软件传播模型。 所述非均匀分布的双层耦合网络包含电力信息网和蜜网。
[0135]
恶意软件在非均匀分布的双层耦合网络中传播，由于自身特性，受感染的蜜罐不会感染其他 节点，因此易受影响的节点只能被感染的电力设备感染。但是，受感染的蜜罐可以捕获恶意软件 样本，一旦蜜罐捕获了与恶意软件样本相关的信息，易感染状态的电力设备将以一定的概率被隔 离，后应该采取具体的免疫措施来对抗恶意软件，一部分被隔离的电力设备将以一定的概率转向 免疫状态。以此方法，既能有针对性、有效地对抗在电力信息网中大肆传播的恶意软件，同时研 究结果有利于提高蜜罐的部署效率。
[0136]
实施例2
[0137]
本发明又提供了一个实施例，是一种基于蜜网的电力信息网络防御方法，包括以下步骤：
[0138]
步骤1.根据实际网络结构，构建非均匀分布的双层耦合网络。
[0139]
步骤2.根据构建的非均匀分布的双层耦合网络，提出基于工控蜜罐的恶意软件对抗策略。即， 含有工控蜜罐的双层耦合网络的恶意软件传播模型对抗恶意软件的对抗策略，具体包括以下步骤：
[0140]
步骤a.根据恶意软件的攻击，设电力设备在以下四种状态中切换：
[0141]
易感状态susceptible state(sp)；
[0142]
感染状态infectious state(ip)；
[0143]
隔离状态quarantined state(qp)；
[0144]
免疫状态removed state(rp)。
[0145]
分别用sp(t)，ip(t)，qp(t)和rp(t)表示t时刻易感染状态、感染状态、隔离状态和免疫 状态的电力设备数量。
[0146]
设蜜罐在以下三种状态中切换：
[0147]
易感状态susceptible state(sh)；
[0148]
感染状态infectious state(ih)；
[0149]
隔离状态quarantined state(qh)。
[0150]
分别用sh(t)，ih(t)和qh(t)表示t时刻易感染状态、感染状态、隔离状态的蜜罐数量。
[0151]
如图2所示，是本发明的状态转换图。描述了恶意软件在含耦合网络中电力设备和蜜罐的状 态转换，其中，蜜罐由于自身特性，被感染后不能感染其他设备。
[0152]
步骤b.电力设备由易感状态转换为感染状态的概率，为电力信息网中易感电力设备被感染的 概率β
11
；感染的电力设备恢复的概率通过安装补丁等来恢复。某些情况下，由于补丁是临时 的等原因，电力设备失去免疫的概率δ1变为易感状态电力设备。
[0153]
蜜罐由易感状态转换为蜜罐被感染的电力设备感染的概率β
22
，感染蜜罐的隔离概率通过 重新安装，蜜罐重新部署回到易感染状态的概率δ2再次回到易感状态。一旦蜜罐捕获到恶意软 件的样本信息，易受攻击的电力信息中易感电力设备的免疫概率β
12
转换为隔离状态，采取具体 的免疫措施来对抗，部分被隔离的电力设备将以电力设备的恢复概率ω恢复。
[0154]
如图3所示，是本发明恶意软件与蜜罐在耦合网络中相互作用部分流程图。描述了恶意软件 在电力设备与蜜罐中传播的过程和蜜罐探测恶意软件信息并提供隔离策略的过程。
[0155]
如图4所示，是本发明的电力设备无病平衡点检测图；如图5所示，图5是本发明的蜜罐无 病平衡点检测图；由图可以看出采用了本发明防御方法后，电力设备与蜜罐感染的数量逐渐减少， 最后全转换为易感染状态。验证了无病平衡点的存在，恶意软件的传播得到了有效对抗。
[0156]
步骤c.构建遵循幂律分布的耦合网络度分布。
[0157]
即p(k)＝k-γ
[0158]
上式中，p为连接概率,k为节点的边数，r为幂律指数。
[0159]
对与电力设备，用(i,j)表示有i条边与其他电力设备相连，j条边与蜜罐相连。
[0160]
对蜜罐，用(k,l)表示有k条边与其他蜜罐相连，l条边与电力设备相连。
[0161]
节点最大连接度：和
[0162]
上式中，n为最大度，i，j，k,l表示不同节点连接的边数。
[0163]
所述电力信息网和蜜网的联合度分布和边际度分布表示如下：
[0164][0165][0166]
[0167]
上式中，p
p
为ics网络的联合度分布，ph为蜜网的联合度分布,pa(i,
·
)为子网a的边缘度 分布，pb(k,
·
)为子网a的边缘度分布，pa(
·
,j)为子网a的边缘度分布，pb(
·
,j)为子 网a的边缘度分布，n为总节点数,为ics网络节点总数，为蜜网节点总数，n
p
为plc 的总数量，nh为蜜罐的总数量，h为蜜罐，p为plc设备；(i,j)表示有i条边与其他电力设备 相连，j条边与蜜罐相连；(k,l)表示有k条边与其他蜜罐相连，l条边与电力设备相连；
[0168]
步骤d.定义网络的平均度和度的二阶矩如下：
[0169][0170][0171][0172][0173]
上式中，《k》
11,12,21,22
为网络平均度，《k2》
11,12,21,22
为二阶矩阵。
[0174]
步骤e.计算易感电力设备和蜜罐分别与感染的电力设备和蜜罐之间的通信概率，包括:
[0175]
易感染电力设备与受感染的电力设备通信概率为：
[0176][0177]
上式中，ip
p
(i，j)为度分布概率，为t时刻，电力信息网中度为(i,j)的感染电力设 备数量，n为最大度，k为平均度。
[0178]
易感染电力设备与受感染的蜜罐通信的概率是：
[0179][0180]
上式中，为t时刻，蜜网中度为(k,l)的感染蜜罐数量，l为l条边与电力设备相连，k 为有k条边与其他蜜罐相连。
[0181]
易感染蜜罐与受感染的蜜罐通信的概率是：
[0182][0183]
上式中，θ
21
(t)为感染概率，kph为度分布概率。
[0184]
易感染蜜罐与受感染的电力设备通信的概率是：
[0185][0186]
上式中，θ
22
(t)为感染概率jpc为度分布概率,(i,j)表示有i条边与其他电力设备相连，j 条边与蜜罐相连；为感染设备数量。
[0187]
步骤f.通过下面的表达式来表示步骤a中的状态转换过程：
[0188][0189]
上式中，为微分，β
11
为电力信息网中易感电力设备被感染的概率，β
12
为电力信息 网中易感电力设备的免疫概率β
12
，d为微分符号，s为易感染状态，t为时间。
[0190]
如果电力设备是易感染状态(s)，那么它将会被感染状态电力设备所感染，也可能在工控蜜 罐捕获到样本信息后被隔离。
[0191]
步骤g.
[0192]
上式中，为微分，为t时刻，电力信息网中度为(i,j)的易感电力设备数量，i 为感染状态，i为连接边数。
[0193]
如果电力设备是感染状态(i)，那么它是由易感电力设备感染恶意软件转化的，将会通过打 补丁等方式免疫恶意软件。
[0194]
步骤h.
[0195]
上式中，为微分，为t时刻，电力信息网中度为(i,j)的隔离电力设备数量； β
22
为蜜罐被感染的电力设备感染的概率，θ
22
(t)为感染概率，l为连接边数，q为隔离状态，ω为 电力设备的恢复概率。
[0196]
如果电力设备是隔离状态(q)，那么它将会通过打补丁等方式免疫恶意软件。
[0197]
步骤i.
[0198]
上式中，为微分，为t时刻，电力信息网中度为(i,j)的感染电力设备数量，为t时刻，电力信息网中度为(i,j)的免疫电力设备数量。
[0199]
如果电力设备是免疫状态(r)，那么重新安装后，它将会重新转换为易感染状态。
[0200]
步骤j.
[0201]
上式中，为微分，为t时刻，蜜网中度为(k,l)的易感蜜罐数量，δ2为蜜罐重 新部署回到易感染状态的概率；为t时刻，蜜网中度为(k,l)的免疫蜜罐数量，β
22
为蜜罐 被感染的电力设备感染的概率。
[0202]
易感染蜜罐与已被感染的电力设备通信后将会转换为感染蜜罐。
[0203]
步骤k.
[0204]
上式中，为微分。
[0205]
已感染的蜜罐，在获取恶意软件的样本信息后，将被隔离。
[0206]
步骤l.
[0207]
上式中，为微分，为感染蜜罐的隔离概率。
[0208]
处于隔离状态的蜜罐，在重新安装后将重新转变为易感染蜜罐。
[0209]
步骤m.计算电力设备蜜罐的总数量，即plc的总数量为n
p
；蜜罐的总数量为nh，其算式 如下：
[0210][0211][0212]
上式中，为t时刻，电力信息网中度为(i,j)的易感电力设备数量；为t时刻， 电力信息网中度为(i,j)的感染电力设备数量；为t时刻，电力信息网中度为(i,j)的隔离电 力设备数量；为t时刻，电力信息网中度为(i,j)的免疫电力设备数量；为t时刻， 蜜网中度为(k,l)的易感蜜罐数量；为t时刻，蜜网中度为(k,l)的感染蜜罐数量；为t 时刻，蜜网中度为(k,l)的免疫蜜罐数量。
[0213]
步骤n.得到本发明含有工控蜜罐的双层耦合网络的恶意软件传播模型，整理为：
[0214][0215]
上式中，d为微分符号,l为连接边数，δ1为电力设备失去免疫的概率,δ2为蜜罐重新
部署 回到易感染状态的概率,为感染的电力设备恢复的概率,为感染蜜罐的隔离概率,β
11
为电力 信息网中易感电力设备被感染的概率，β
12
为电力信息网中易感电力设备的免疫概率，β
22
为蜜 罐被感染的电力设备感染的概率，ω为电力设备的恢复概率。
[0216]
如图6所示，是本发明的防御策略效果图。描述了蜜罐捕获到恶意软件的样本信息，易受攻 击的电力设备将按照β
12
的概率转换为隔离状态，采取具体的免疫措施来对抗，β
12
越高，被感染 的电力设备数量越小。也就是说，部署的蜜网防御效果越好。因此，根据以上实验结果能优化蜜 网部署策略。
[0217]
步骤3.可视化展示系统。
[0218]
如图7所示，是本发明的可视化展示图。在本发明建立的模型基础上，利用可视化技术，以 辽宁省为例将模型的预测结果和蜜网的防御效果展示出来。通过可视化技术，可以使工作人员更 直观的了解模型预测结果和蜜网的防御效果，并可以及时对蜜网的部署做出调整。
[0219]
实施例3
[0220]
本发明提供了一个实施例，是一种基于蜜网的电力信息网络防御方法。本发明含有工控蜜罐 的双层耦合网络的恶意软件传播模型具有一个唯一的正平衡点：
[0221][0222]
上式中，e
*
为平衡点，为易感染plc数量，为隔离plc数量，为免疫plc数量，为易感染蜜罐数量，为感染蜜罐数量，为隔离蜜罐数量。
[0223]
其中：
[0224][0225][0226]
证明步骤如下：
[0227]
步骤(1)：当等式稳定时，如果等号左边的导数均为0，则意味着模型是稳定的，可以得到：
[0228][0229][0230]
上式中，为感染plc数量，为感染蜜罐数量，为免疫plc数量，为 隔离plc数量，为隔离蜜罐数量。
[0231]
步骤(2)：由上式可以到导出：
[0232]
[0233][0234]
i＝1,2,
···
,n
11
,
[0235]
j＝1,2,
···
,n
12
,
[0236]
k＝1,2,
···
,n
21
,
[0237]
l＝1,2,
···
,n
22
,
[0238]
上式中，为感染plc数量，为感染蜜罐数量，为免疫plc数量，为 隔离plc数量，为隔离蜜罐数量。为电力信息网中度为(i,j)的电力设备数量，为 蜜网中度为(k,l)的蜜罐数量。
[0239]
步骤(3)：显然有一个唯一的正数根，且有唯一的一个正平衡点：
[0240][0241]
步骤(4)：证明结束。
[0242]
实施例4
[0243]
基于同一发明构思，本发明实施例还提供了一种计算机存储介质，所述计算机存储介质上存 有计算机程序，所述计算机程序被处理器执行时实现实施例2或3所述的一种基于蜜网的电力信 息网络防御方法的步骤。
[0244]
本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因 此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。 而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括 但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0245]
本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或 方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、 以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、 专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算 机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程 和/或方框图一个方框或多个方框中指定的功能的装置。
[0246]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作 的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品， 该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0247]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他 可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上 执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指 定的功能的步骤。
[0248]
最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述 实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然
可以对本发明的具 体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均 应涵盖在本发明的权利要求保护范围之内。