本公开涉及网络信息安全,具体涉及一种基于异常行为的自动防御方法。
背景技术:
1、随着电力系统信息化、智能化发展带来的网络边界模糊化,导致智能电网的安全风险逐步提高,使信息安全治理面临重大挑战。在分布式新能源的场景下,能源互联网安全变得非常重要,电力物联网设备必须实现各种传感设置。当这些设备受到网络安全的威胁,会造成经济损失和设备损坏,对国家能源安全造成重大影响。
2、蜜罐是一台不作任何安全防范措施而且连接网络的计算机,但是与一般计算机不同,它内部运行着多种多样的数据记录程序,也可以称之为一种诱捕网络罪犯的系统;通过迷惑入侵者,保护服务器;通过抵御入侵者,加固服务器,以提高网络安全性。其本质在于欺骗和引诱,通过部署潜在目标(如漏洞主机、价值信息和请求服务)来吸引攻击者,并推测他们的攻击意图和方法。
3、容器技术是通过一种虚拟化技术来隔离运行在主机上不同进程,从而达到进程之间、进程和宿主操作系统相互隔离、互不影响的技术。这种相互孤立进程就叫容器,它有自己的一套文件系统资源和从属进程。
技术实现思路
1、为解决现有技术中存在的不足,本发明提供一种基于异常行为的自动防御方法及系统,通过蜜罐与容器技术实时监测流量与时域序列变化,主动并精确识别防御网络中的异常行为,使得网络安全防御能力高效。
2、本发明采用如下的技术方案,一种基于异常行为的自动防御方法,步骤包括:
3、预设条件后从配电网络中抓取目标数据,分析所述目标数据并存储;
4、通过蜜罐与容器化技术构建配电网络自动防御架构,部署环境,模拟异常行为,分析数据并得到分析结果;
5、通过目标数据与配电网络自动防御架构整合分析,基于hhm协议构建威胁情报库,威胁情报库的功能包括态势察觉,态势理解和态势投射;
6、主动扫描配电网络中的漏洞,自主感知未知威胁,监测配电网络中的异常行为并及时处理,异常行为还包括监测配电网络中原始时域序列变化的数据。
7、进一步的,预设条件抓取目标数据的步骤包括:
8、确定抓取方式;
9、确定抓取目标,抓取目标的预设标准至少包括以下其中一项:目的地址,源地址,目标数据长度,协议类型,物理层链路地址,网络层链路地址;
10、设置过滤条件,过滤条件至少包括以下其中一项:协议类型,源地址,目标地址。
11、进一步的,模拟异常行为包括模拟攻击,模拟攻击的步骤包括:
12、设计攻击场景,包括攻击目标,攻击工具;
13、涉及攻击策略,包括攻击方式,攻击流程;
14、启动攻击流程;
15、蜜罐监测和记录攻击行为,包括攻击流量,攻击日志,攻击痕迹,用于后续分析和评估演练效果;
16、使用安全设备对攻击行为进行阻断和监测,进行演练响应和防御。
17、进一步的,分析结果的步骤包括:
18、收集和整理攻击数据,包括攻击流量,攻击日志和攻击痕迹;
19、对攻击数据继续宁分析和挖掘,识别攻击方式,攻击者来源和攻击目标;
20、评估演练效果和安全性;
21、生成评估报告,包括演练的目的,过程,结果以及建议改进措施。
22、进一步的,配电网络自动防御架构的构建方法包括:
23、确定网络拓扑结构,包括确定网络拓扑结构的组成单元,确定组成单元间的互联方式,确定使用的技术是蜜罐和/或容器;
24、选择蜜罐技术和部署蜜罐技术的策略,策略包括隐藏蜜罐的方式,蜜罐记录攻击行为的方式;
25、制定蜜罐攻防细节;
26、确定目标和评估标准。
27、进一步的,势态投射的步骤包括:
28、态势量化评估,量化配电网络自动防御架构中节点的安全风险,评估节点的重要程度,量化配电网络的整体安全风险;
29、异常行为预测,通过融合算法对配电网络的状态进行预测;
30、攻击溯源。
31、进一步的,主动扫描配电网络系统漏洞的方法包括:
32、确定扫描范围;
33、选择扫描方式并预设扫描参数;
34、在扫描范围内开始扫描并在扫描完成后分析扫描数据生成分析结果;
35、对分析结果中的漏洞进行优先级排序,制定漏洞修复计划;
36、按照预设扫描参数,定期对扫描范围进行漏洞扫描并更新漏洞库和扫描工具。
37、进一步的,主动感知未知威胁的方法包括:
38、对配电网络进行安全监测并进行配置和调试;
39、对监测中的配电网络进行基准测试,基准测试包括监测配电网络的网络流量和事件,时间包括行为;
40、开始监测配电网络,使用安全事件和漏洞数据库与配电网络的监测数据进行比对;
41、建立响应流程,在发现异常行为时启动所述响应流程进行处理。
42、进一步的,监测配电网络中的异常行为方法包括:
43、对配电网络进行流量监测并进行配置和调试;
44、分析配电网络流量和事件,使用安全时间和漏洞数据库与配电网络的监测数据进行比对;
45、根据识别比对的结果,制定策列和规则并定期审查和更新;
46、建立响应流程,在发现异常行为时启动流程进行处理。
47、进一步的,蜜罐攻防细节包括预设攻击场景和目标,确定角色攻击手段和策略;
48、角色包括攻击者和防守者。
49、本发明的有益效果在于,与现有技术相比,本发明技术方案更具有主动性,可以在配电网络被攻击时自动识别并防御,无需等待攻击者触发蜜罐;更具有实时性,可以实时监测流量并识别异常行为,及时对攻击配电网络的行为进行防御攻击,无需等待攻击者进入配电网络或者蜜罐才发动监测和识别;更具有精确性,可以对配电网络流量进行深入的分析,能够更准确的识别攻击配电网络的攻击行为类别和攻击者的策略,传统的现有技术中蜜罐的识别精度比较低,容易被攻击者识别和规避;更具有高效性,可以自动对配电网络的流量进行分析和防御,减少人工干预的成本和风险,更快速的进行流程响应和防御攻击。
1.一种基于异常行为的自动防御方法,其特征在于,步骤包括:
2.根据权利要求1所述的基于异常行为的自动防御方法,其特征在于,所述预设条件抓取目标数据的预设条件包括:
3.根据权利要求1所述的基于异常行为的自动防御方法,其特征在于,所述模拟异常行为包括模拟攻击,所述模拟攻击的步骤包括:
4.根据权利要求1所述的基于异常行为的自动防御方法,其特征在于,所述分析结果的步骤包括:
5.根据权利要求1所述的基于异常行为的自动防御方法,其特征在于,所述配电网络自动防御架构的构建方法包括:
6.根据权利要求1所述的基于异常行为的自动防御方法,其特征在于,所述势态投射的步骤包括:
7.根据权利要求1所述的基于异常行为的自动防御方法,其特征在于,所述主动扫描配电网络系统漏洞的方法包括:
8.根据权利要求1所述的基于异常行为的自动防御方法,其特征在于,所述主动感知未知威胁的方法包括:
9.根据权利要求1所述的基于异常行为的自动防御方法,其特征在于,所述监测配电网络中的异常行为方法包括:
10.根据权利要求5所述的基于异常行为的自动防御方法,其特征在于,所述蜜罐攻防细节包括预设攻击场景和目标,确定角色攻击手段和策略;