一种基于蜜网的电力信息网络防御系统和方法

技术特征：
1.一种基于蜜网的电力信息网络防御系统，其特征是：在耦合网络中建立含有蜜网的双层耦合网络的恶意软件传播模型，并根据模型建立基于蜜网的电力信息网络防御系统；即根据实际网络结构，构建非均匀分布的双层耦合网络；所述构建非均匀分布的双层耦合网络，为含有工控蜜罐的双层耦合网络的恶意软件传播模型，包含：电力信息网和蜜网。2.一种基于蜜网的电力信息网络防御方法，其特征是：包括以下步骤：步骤1.根据实际网络结构，构建非均匀分布的双层耦合网络；步骤2.根据构建的非均匀分布的双层耦合网络，提出基于工控蜜罐的恶意软件对抗策略；即含有工控蜜罐的双层耦合网络的恶意软件传播模型对抗恶意软件的对抗策略；包括以下步骤：步骤a.根据恶意软件的攻击，电力设备的四种切换状态，以及蜜罐的三种切换状态；步骤b.电力设备的电力信息网中易感电力设备被感染的概率β
11
，感染的电力设备恢复的概率电力设备失去免疫的概率δ1变为易感电力设备；蜜罐被感染的电力设备感染的概率β
22
，感染蜜罐的隔离概率蜜罐重新部署回到易感染状态的概率δ2再次回到易感状态；一旦蜜罐捕获到恶意软件的样本信息，易受攻击的电力信息中易感电力设备的免疫概率β
12
转换为隔离状态，采取具体的免疫措施来对抗后，部分被隔离的电力设备将以电力设备的恢复概率ω恢复；步骤c.构建遵循幂律分布的耦合网络度分布；步骤d.定义网络的平均度和度的二阶矩；步骤e.计算易感电力设备和蜜罐分别与感染的电力设备和蜜罐之间的通信概率；步骤f-步骤l.分别通过表达式来表示步骤a中的状态转换过程；步骤m.计算电力设备和蜜罐的总数量；步骤n.得到含有工控蜜罐的双层耦合网络的恶意软件传播模型；步骤3.利用可视化展示系统，将模型的预测结果和蜜网的防御效果进行展示。3.根据权利要求2所述的一种基于蜜网的电力信息网络防御方法，其特征是：所述电力设备的四种切换状态，包括：易感状态susceptible state(sp)；感染状态infectious state(ip)；隔离状态quarantined state(qp)；免疫状态removed state(rp)；分别用sp(t)，ip(t)，qp(t)和rp(t)表示t时刻易感染状态、感染状态、隔离状态和免疫状态的电力设备数量；所述蜜罐的三种切换状态，包括：易感状态susceptible state(sh)；感染状态infectious state(ih)；隔离状态quarantined state(qh)；分别用sh(t)，ih(t)和qh(t)表示t时刻易感染状态、感染状态、隔离状态的蜜罐数量。4.根据权利要求2所述的一种基于蜜网的电力信息网络防御方法，其特征是：步骤b所述电力设备由易感状态转换为感染状态的概率，为电力信息网中易感电力设备被感染的概
率β
11
；感染的电力设备恢复的概率通过安装补丁等来恢复；某些情况下，由于补丁是临时的等原因，电力设备失去免疫的概率δ1变为易感状态电力设备；蜜罐由易感状态转换为蜜罐被感染的电力设备感染的概率β
22
，感染蜜罐的隔离概率通过重新安装，蜜罐重新部署回到易感染状态的概率δ2再次回到易感状态；一旦蜜罐捕获到恶意软件的样本信息，易受攻击的电力信息中易感电力设备的免疫概率β
12
转换为隔离状态，采取具体的免疫措施来对抗，部分被隔离的电力设备将以电力设备的恢复概率ω恢复。5.根据权利要求2所述的一种基于蜜网的电力信息网络防御方法，其特征是：步骤c所述构建遵循幂律分布的耦合网络度分布，包括：p(k)＝k-γ
上式中，p为连接概率,k为节点的边数，r为幂律指数；对与电力设备，用(i,j)表示有i条边与其他电力设备相连，j条边与蜜罐相连；对蜜罐，用(k,l)表示有k条边与其他蜜罐相连，l条边与电力设备相连；节点最大连接度：和上式中，n为最大度，i，j，k,l表示不同节点连接的边数；所述电力信息网和蜜网的联合度分布和边际度分布表示如下：所述电力信息网和蜜网的联合度分布和边际度分布表示如下：所述电力信息网和蜜网的联合度分布和边际度分布表示如下：上式中，p
p
为ics网络的联合度分布，p
h
为蜜网的联合度分布,p
a
(i,
·
)为子网a的边缘度分布，p
b
(k,
·
)为子网a的边缘度分布，p
a
(
·
,j)为子网a的边缘度分布，p
b
(
·
,j)为子网a的边缘度分布，n为总节点数,为ics网络节点总数，为蜜网节点总数，n
p
为plc的总数量，n
h
为蜜罐的总数量，h为蜜罐，p为plc设备；(i,j)表示有i条边与其他电力设备相连，j条边与蜜罐相连；(k,l)表示有k条边与其他蜜罐相连，l条边与电力设备相连。6.根据权利要求2所述的一种基于蜜网的电力信息网络防御方法，其特征是：步骤d所述定义网络的平均度和度的二阶矩，包括：述定义网络的平均度和度的二阶矩，包括：述定义网络的平均度和度的二阶矩，包括：述定义网络的平均度和度的二阶矩，包括：
上式中，<k>
11,12,21,22
为网络平均度，<k2>
11,12,21,22
为二阶矩阵。7.根据权利要求2所述的一种基于蜜网的电力信息网络防御方法，其特征是：步骤e所述计算易感电力设备和蜜罐分别与感染的电力设备和蜜罐之间的通信概率，包括:易感染电力设备与受感染的电力设备通信概率为：上式中，ip
p
(i，j)为度分布概率，为t时刻，电力信息网中度为(i,j)的感染电力设备数量，n为最大度，k为平均度；易感染电力设备与受感染的蜜罐通信的概率是：上式中，为t时刻，蜜网中度为(k,l)的感染蜜罐数量，l为l条边与电力设备相连，k为有k条边与其他蜜罐相连；易感染蜜罐与受感染的蜜罐通信的概率是：上式中，θ
21
(t)为感染概率，kp
h
为度分布概率；易感染蜜罐与受感染的电力设备通信的概率是：上式中，θ
22
(t)为感染概率jp
c
为度分布概率,(i,j)表示有i条边与其他电力设备相连，j条边与蜜罐相连；为感染设备数量。8.根据权利要求2所述的一种基于蜜网的电力信息网络防御方法，其特征是：步骤f所述通过下面的表达式来表示步骤a中的状态转换过程：上式中，为微分，β
11
为电力信息网中易感电力设备被感染的概率，β
12
为电力信息网中易感电力设备的免疫概率β
12
，d为微分符号，s为易感染状态，t为时间；如果电力设备是易感染状态(s)，那么它将会被感染状态电力设备所感染，也可能在工控蜜罐捕获到样本信息后被隔离；步骤g.上式中，为微分，为t时刻，电力信息网中度为(i,j)的易感电力设备数量，i为感染状态，i为连接边数；
如果电力设备是感染状态(i)，那么它是由易感电力设备感染恶意软件转化的，将会通过打补丁等方式免疫恶意软件；步骤h.上式中，为微分，为t时刻，电力信息网中度为(i,j)的隔离电力设备数量；β
22
为蜜罐被感染的电力设备感染的概率，θ
22
(t)为感染概率，l为连接边数，q为隔离状态，ω为电力设备的恢复概率；如果电力设备是隔离状态(q)，那么它将会通过打补丁等方式免疫恶意软件；步骤i.上式中，为微分，为t时刻，电力信息网中度为(i,j)的感染电力设备数量，为t时刻，电力信息网中度为(i,j)的免疫电力设备数量；如果电力设备是免疫状态(r)，那么重新安装后，它将会重新转换为易感染状态；步骤j.上式中，为微分，为t时刻，蜜网中度为(k,l)的易感蜜罐数量，δ2为蜜罐重新部署回到易感染状态的概率；为t时刻，蜜网中度为(k,l)的免疫蜜罐数量，β
22
为蜜罐被感染的电力设备感染的概率；易感染蜜罐与已被感染的电力设备通信后将会转换为感染蜜罐；步骤k.上式中，为微分；已感染的蜜罐，在获取恶意软件的样本信息后，将被隔离；步骤l.上式中，为微分，为感染蜜罐的隔离概率；处于隔离状态的蜜罐，在重新安装后将重新转变为易感染蜜罐。9.根据权利要求2所述的一种基于蜜网的电力信息网络防御方法，其特征是：步骤m所述计算电力设备蜜罐的总数量，即plc的总数量为n
p
；蜜罐的总数量为n
h
，其算式如下：，其算式如下：上式中，为t时刻，电力信息网中度为(i,j)的易感电力设备数量；为t时刻，
电力信息网中度为(i,j)的感染电力设备数量；为t时刻，电力信息网中度为(i,j)的隔离电力设备数量；为t时刻，电力信息网中度为(i,j)的免疫电力设备数量；为t时刻，蜜网中度为(k,l)的易感蜜罐数量；为t时刻，蜜网中度为(k,l)的感染蜜罐数量；为t时刻，蜜网中度为(k,l)的免疫蜜罐数量；步骤n.得到本发明含有工控蜜罐的双层耦合网络的恶意软件传播模型，整理为：上式中，d为微分符号,l为连接边数，δ1为电力设备失去免疫的概率,δ2为蜜罐重新部署回到易感染状态的概率,为感染的电力设备恢复的概率,为感染蜜罐的隔离概率,β
11
为电力信息网中易感电力设备被感染的概率，β
12
为电力信息网中易感电力设备的免疫概率，β
22
为蜜罐被感染的电力设备感染的概率，ω为电力设备的恢复概率。10.根据权利要求1所述的一种基于蜜网的电力信息网络防御方法，其特征是：所述含有工控蜜罐的双层耦合网络的恶意软件传播模型，具有一个唯一的正平衡点：上式中，e
*
为平衡点，为易感染plc数量，为隔离plc数量，为免疫plc数量，为易感染蜜罐数量，为感染蜜罐数量，为隔离蜜罐数量；其中：其中：证明步骤如下：步骤(1)：当等式稳定时，如果等号左边的导数均为0，则模型是稳定的，可得到：
上式中，为感染plc数量，为感染蜜罐数量，为免疫plc数量，为隔离plc数量，为隔离蜜罐数量；步骤(2)：由上式可以到导出：步骤(2)：由上式可以到导出：i＝1,2,
···
,n
11
,j＝1,2,
···
,n
12
,k＝1,2,
···
,n
21
,l＝1,2,
···
,n
22
,上式中，为感染plc数量，为感染蜜罐数量，为免疫plc数量，为隔离plc数量，为隔离蜜罐数量；步骤(3)：显然有一个唯一的正数根，且有唯一的一个正平衡点：步骤(4)：证明结束。

技术总结
本发明属于网络安全技术领域，尤其涉及一种基于蜜网的电力信息网络防御系统和方法。本发明是在耦合网络中建立含有蜜网的双层耦合网络的恶意软件传播模型，并根据模型建立基于蜜网的电力信息网络防御系统；即根据实际网络结构，构建非均匀分布的双层耦合网络；所述构建非均匀分布的双层耦合网络，为含有工控蜜罐的双层耦合网络的恶意软件传播模型，包含：电力信息网和蜜网。本发明在构建网络结构时，考虑非均匀网络结构更符合真实的电力信息网络，利用蜜网技术，既能有针对性、有效地对抗在电力信息网中大肆传播的恶意软件，还能够利用可视化技术直观地展示模型的预测结果，同时研究结果也有利于提高蜜罐的部署效率。结果也有利于提高蜜罐的部署效率。结果也有利于提高蜜罐的部署效率。


技术研发人员：胡博 姚羽 付强 周小明 申扬 李钊 王磊 王顺江 扬爽 王阳
受保护的技术使用者：东北大学 国网辽宁省电力有限公司信息通信分公司
技术研发日：2021.12.30
技术公布日：2022/5/25