一种基于异常行为的自动防御方法与流程

本公开涉及网络信息安全，具体涉及一种基于异常行为的自动防御方法。

背景技术：

1、随着电力系统信息化、智能化发展带来的网络边界模糊化，导致智能电网的安全风险逐步提高，使信息安全治理面临重大挑战。在分布式新能源的场景下，能源互联网安全变得非常重要，电力物联网设备必须实现各种传感设置。当这些设备受到网络安全的威胁，会造成经济损失和设备损坏，对国家能源安全造成重大影响。

2、蜜罐是一台不作任何安全防范措施而且连接网络的计算机，但是与一般计算机不同，它内部运行着多种多样的数据记录程序，也可以称之为一种诱捕网络罪犯的系统；通过迷惑入侵者，保护服务器；通过抵御入侵者，加固服务器，以提高网络安全性。其本质在于欺骗和引诱，通过部署潜在目标(如漏洞主机、价值信息和请求服务)来吸引攻击者，并推测他们的攻击意图和方法。

3、容器技术是通过一种虚拟化技术来隔离运行在主机上不同进程，从而达到进程之间、进程和宿主操作系统相互隔离、互不影响的技术。这种相互孤立进程就叫容器，它有自己的一套文件系统资源和从属进程。

技术实现思路

1、为解决现有技术中存在的不足，本发明提供一种基于异常行为的自动防御方法及系统，通过蜜罐与容器技术实时监测流量与时域序列变化，主动并精确识别防御网络中的异常行为，使得网络安全防御能力高效。

2、本发明采用如下的技术方案，一种基于异常行为的自动防御方法，步骤包括：

3、预设条件后从配电网络中抓取目标数据，分析所述目标数据并存储；

4、通过蜜罐与容器化技术构建配电网络自动防御架构，部署环境，模拟异常行为，分析数据并得到分析结果；

5、通过目标数据与配电网络自动防御架构整合分析，基于hhm协议构建威胁情报库，威胁情报库的功能包括态势察觉，态势理解和态势投射；

6、主动扫描配电网络中的漏洞，自主感知未知威胁，监测配电网络中的异常行为并及时处理，异常行为还包括监测配电网络中原始时域序列变化的数据。

7、进一步的，预设条件抓取目标数据的步骤包括：

8、确定抓取方式；

9、确定抓取目标，抓取目标的预设标准至少包括以下其中一项：目的地址，源地址，目标数据长度，协议类型，物理层链路地址，网络层链路地址；

10、设置过滤条件，过滤条件至少包括以下其中一项：协议类型，源地址，目标地址。

11、进一步的，模拟异常行为包括模拟攻击，模拟攻击的步骤包括：

12、设计攻击场景，包括攻击目标，攻击工具；

13、涉及攻击策略，包括攻击方式，攻击流程；

14、启动攻击流程；

15、蜜罐监测和记录攻击行为，包括攻击流量，攻击日志，攻击痕迹，用于后续分析和评估演练效果；

16、使用安全设备对攻击行为进行阻断和监测，进行演练响应和防御。

17、进一步的，分析结果的步骤包括：

18、收集和整理攻击数据，包括攻击流量，攻击日志和攻击痕迹；

19、对攻击数据继续宁分析和挖掘，识别攻击方式，攻击者来源和攻击目标；

20、评估演练效果和安全性；

21、生成评估报告，包括演练的目的，过程，结果以及建议改进措施。

22、进一步的，配电网络自动防御架构的构建方法包括：

23、确定网络拓扑结构，包括确定网络拓扑结构的组成单元，确定组成单元间的互联方式，确定使用的技术是蜜罐和/或容器；

24、选择蜜罐技术和部署蜜罐技术的策略，策略包括隐藏蜜罐的方式，蜜罐记录攻击行为的方式；

25、制定蜜罐攻防细节；

26、确定目标和评估标准。

27、进一步的，势态投射的步骤包括：

28、态势量化评估，量化配电网络自动防御架构中节点的安全风险，评估节点的重要程度，量化配电网络的整体安全风险；

29、异常行为预测，通过融合算法对配电网络的状态进行预测；

30、攻击溯源。

31、进一步的，主动扫描配电网络系统漏洞的方法包括：

32、确定扫描范围；

33、选择扫描方式并预设扫描参数；

34、在扫描范围内开始扫描并在扫描完成后分析扫描数据生成分析结果；

35、对分析结果中的漏洞进行优先级排序，制定漏洞修复计划；

36、按照预设扫描参数，定期对扫描范围进行漏洞扫描并更新漏洞库和扫描工具。

37、进一步的，主动感知未知威胁的方法包括：

38、对配电网络进行安全监测并进行配置和调试；

39、对监测中的配电网络进行基准测试，基准测试包括监测配电网络的网络流量和事件，时间包括行为；

40、开始监测配电网络，使用安全事件和漏洞数据库与配电网络的监测数据进行比对；

41、建立响应流程，在发现异常行为时启动所述响应流程进行处理。

42、进一步的，监测配电网络中的异常行为方法包括：

43、对配电网络进行流量监测并进行配置和调试；

44、分析配电网络流量和事件，使用安全时间和漏洞数据库与配电网络的监测数据进行比对；

45、根据识别比对的结果，制定策列和规则并定期审查和更新；

46、建立响应流程，在发现异常行为时启动流程进行处理。

47、进一步的，蜜罐攻防细节包括预设攻击场景和目标，确定角色攻击手段和策略；

48、角色包括攻击者和防守者。

49、本发明的有益效果在于，与现有技术相比，本发明技术方案更具有主动性，可以在配电网络被攻击时自动识别并防御，无需等待攻击者触发蜜罐；更具有实时性，可以实时监测流量并识别异常行为，及时对攻击配电网络的行为进行防御攻击，无需等待攻击者进入配电网络或者蜜罐才发动监测和识别；更具有精确性，可以对配电网络流量进行深入的分析，能够更准确的识别攻击配电网络的攻击行为类别和攻击者的策略，传统的现有技术中蜜罐的识别精度比较低，容易被攻击者识别和规避；更具有高效性，可以自动对配电网络的流量进行分析和防御，减少人工干预的成本和风险，更快速的进行流程响应和防御攻击。

技术特征：

1.一种基于异常行为的自动防御方法，其特征在于，步骤包括：

2.根据权利要求1所述的基于异常行为的自动防御方法，其特征在于，所述预设条件抓取目标数据的预设条件包括：

3.根据权利要求1所述的基于异常行为的自动防御方法，其特征在于，所述模拟异常行为包括模拟攻击，所述模拟攻击的步骤包括：

4.根据权利要求1所述的基于异常行为的自动防御方法，其特征在于，所述分析结果的步骤包括：

5.根据权利要求1所述的基于异常行为的自动防御方法，其特征在于，所述配电网络自动防御架构的构建方法包括：

6.根据权利要求1所述的基于异常行为的自动防御方法，其特征在于，所述势态投射的步骤包括：

7.根据权利要求1所述的基于异常行为的自动防御方法，其特征在于，所述主动扫描配电网络系统漏洞的方法包括：

8.根据权利要求1所述的基于异常行为的自动防御方法，其特征在于，所述主动感知未知威胁的方法包括：

9.根据权利要求1所述的基于异常行为的自动防御方法，其特征在于，所述监测配电网络中的异常行为方法包括：

10.根据权利要求5所述的基于异常行为的自动防御方法，其特征在于，所述蜜罐攻防细节包括预设攻击场景和目标，确定角色攻击手段和策略；

技术总结
本发明公开了一种基于异常行为的自动防御方法，步骤包括：预设条件后从配电网络中抓取目标数据，分析所述目标数据并存储；通过蜜罐与容器化技术构建配电网络自动防御架构，部署环境，模拟异常行为，分析数据并得到分析结果；通过所述目标数据与配电网络自动防御架构整合分析，基于HHM协议构建威胁情报库，所述威胁情报库的功能包括态势察觉，态势理解和态势投射；主动扫描配电网络中的漏洞，自主感知未知威胁，监测配电网络中的异常行为并及时处理，所述异常行为还包括监测配电网络中原始时域序列变化的数据。本发明技术方案更具有主动性，实时性，精确性和高效性。

技术研发人员：王波,李晓龙,王晓康,段文奇,魏文婷,王宁,张治民,王峰,张庆平,景妍华,张翔,侯瑞,晏振宇,杨家玉
受保护的技术使用者：国网宁夏电力有限公司吴忠供电公司
技术研发日：
技术公布日：2024/1/15