基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程.docx

基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程本申请涉及一种基于虚拟化动态部署的电力监控主动防御方法及系统，包括(1)创立虚拟蜜网系统，模拟电力网络真实业务系统；(2)实时监测虚拟机状态，在监测到异常数据流时，进行蜜网诱捕，获取异常行为轨迹；(3)分析能否为恶意攻击行为，并进行阻断响应。本技术采用的蜜罐和沙箱技术的主动防御系统能够降低电力系统的真实业务网络被探测到的可能性，增加攻击者攻击的成本难度与时效，与电力系统中存在的被动防护措施进行有效的互补。权利要求书1.一种基于虚拟化动态部署的电力监控主动防御方法，其特征在于，包括如下步骤：基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程步骤1，针对电力网络的真实业务系统部署虚拟蜜网系统，并对所述虚拟蜜网系统进行网络配置，使虚拟蜜网系统与电力网络的真实业务系统的网络配置一致，模拟具有漏洞的电力网络；步骤2，创立知识库，所述知识库中存储有外部网络对电力网络的恶意攻击行为信息；步骤3，实时监测虚拟蜜网系统中虚拟机的运行状态，当监测到有异常数据流时，将所述异常数据流与所述知识库中存储的已知恶意攻击行为信息进行比对分析，若断定该异常数据流属于恶意攻击行为，则直接进行阻断响应；否则，进入步骤4；步骤4，通过虚拟蜜网系统对所述异常数据流进行诱捕，获取异常数据流在虚拟机中的行为轨迹；步骤5，通过对所述行为轨迹的分析，识别所述异常数据流能否是恶意攻击行为，若是，则将所述恶意攻击行为的攻击信息写入知识库，并进行阻断响应，否则，通过虚拟重定向，将监测到的异常数据流重新调度到电力网络的真实业务系统中。2.根据权利要求1所述的电力监控主动防御方法，其特征在于，所述主动防御方法创立了云沙箱，通过构建沙箱环境，使得恶意软件或APT在一个封闭环境中执行，并对所述恶意软件或APT进行深度分析，断定能否属于恶意攻击行为。3.根据权利要求1所述的电力监控主动防御方法，其特征在于，步骤5中，进一步采用穿插验证的方式，断定异常数据流能否属于恶意攻击行为。4.一种基于虚拟化动态部署的电力监控主动防御系统，其特征在于，包括：云平台子系统，用于针对电力网络的真实业务系统部署虚拟蜜网系统，对所述虚拟蜜网系统进行网络配置，使虚拟蜜网系统与电力网络的真实业务系统的网络配置一致；同时，实时监测虚拟蜜网系统中虚拟机的运行状态，并在监测到异常数据流量后，及时通知所述威胁分析防护子系统；基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程威胁分析防护子系统，用于创立存储有已知恶意攻击行为信息的知识库，并实时监测虚拟蜜网系统中虚拟机的运行状态，当监测到异常数据流时，将所述异常数据流与所述知识库中存储的已知恶意攻击行为信息进行比对分析，若断定该异常数据流属于恶意攻击行为，则直接进行阻断响应；否则，通过虚拟蜜网系统进行诱捕，获取异常数据流的行为轨迹，识别所述异常数据流量能否属于恶意攻击行为，若属于，则将所述恶意攻击行为的攻击信息写入知识库，并进行阻断响应；否则，将监测到的异常数据流调度到电力网络的真实业务系统中。5.根据权利要求4所述的基于虚拟化动态部署的电力监控主动防御系统，其特征在于，所述云平台子系统包括：蜜罐状态监控模块，用于实时监测虚拟云蜜网系统中虚拟机的运行状态，当监测到异常数据流时，及时通知威胁分析防护子系统，并记录恶意行为信息；蜜网快速部署模块，用于快速部署虚拟蜜网系统，并对所述虚拟蜜网系统进行网络配置，使虚拟蜜网系统与电力网络的真实业务系统的网络配置一致。6.根据权利要求5所述的基于虚拟化动态部署的电力监控主动防御系统，其特征在于，所述威胁分析防护子系统包括：知识库模块，用于创立知识库，所述知识库用于存储恶意攻击行为信息；行为捕获模块，用于捕获所述异常数据流在虚拟蜜网系统虚拟机中的行为轨迹，并记录；数据分析模块，用于将虚拟机中监测到的所述异常数据流与所述知识库中存储的已知恶意攻击行为信息进行比对分析，若断定该异常数据流属于恶意攻击行为，则直接进行阻断响应；同时，将所述行为捕获模块得到的行为轨迹进行综合分析，并当断定属于恶意攻击行为时，进行阻断响应。7.根据权利要求4所述的基于虚拟化动态部署的电力监控主动防御系统，其特征在于，所述电力监控主动防御系统还包括业务管理子系统，所述业务管理子系统包括：基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程云蜜网管理模块，用于对云蜜网系统中的蜜罐类型、蜜罐部署数量、网络场景、实时数据展示、历史趋势分析、分析报告、蜜罐分组、用户分组等内容进行管理；云沙箱管理模块，用于对沙箱类型、沙箱部署数量、沙箱运行日志、分析报告等内容进行管理。8.根据权利要求4所述的基于虚拟化动态部署的电力监控主动防御系统，其特征在于，所述电力监控主动防御系统还包括物理资源层，所述物理资源层包括存储资源、计算资源，以及虚拟机软件平台Xen，所述物理资源层用于为所述电力监控主动防御系统提供物理硬件资源，为所述云平台子系统的运行提供物理平台。9.根据权利要求6所述的基于虚拟化动态部署的电力监控主动防御系统，其特征在于，所述知识库包括恶意行为指纹库、敏感组织指纹库、威胁分类和评分标准、恶意行为四级评价体系以及分析报告自动生成引擎。10.根据权利要求5所述的基于虚拟化动态部署的电力监控主动防御系统，其特征在于，所述云平台子系统还包括资源动态调度模块，用于增量镜像文件的管理和调度。技术讲明书一种基于虚拟化动态部署的电力监控主动防御方法及系统技术领域本申请属于网络信息安全技术领域，尤其是涉及一种基于虚拟化动态部署的电力监控主动防御方法及系统。基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程背景技术随着电力系统信息化、智能化发展带来的网络边界模糊化，导致智能电网的安全风险逐步提高，使信息安全治理面临重大挑战。电力监控系统与传统的工业控制系统相比，不允许出现过大的延迟和系统震荡，必需要及时发现各种网络威胁(包括未知威胁)来确保电力调度的准确、快速。主动防御技术能够有效解决电力信息网络安全中的问题，遭到极大的关注。目前，主动防御技术在学术界和工业界都获得一定的研究成果。学术界方面，文献2提出了基于网络安全态势感悟的主动防御技术，通过转换网络端信息实现网络拓扑构造的动态随机改变，进而到达增加网络攻击难度和成本的目的。文献3提出了基于动态转化数据传输加密协议的主动防御技术，通过随机变换传输加密协议，获得比单一加密协议更好的扩展性和更高的安全性。文献4构建了基于虚拟化的主动防御平台，通过行为轨迹分析，取证发现攻击风险，并通过实验测试显示该主动防御平台有着较高的检测效率。在工业界，早在20世纪90年代，国外的安全领域市场就已经开场着手研究主动防御技术了。2004年7月，欧洲最大的安全公司熊猫软件(Panda)公司公布引进全新一代的防病毒技术TruPrevent，该技术实现了对未知病毒和攻击的有效拦截和主动响应，从根本上改变了传统互联网安全防护机制。国内对于主动防御技术的研究固然相对较晚，但比拟主流的安全厂商早已对此项技术有所关注。东方微点公司凭借自主研发的新一代反病毒产品在主动防御领域获得了一定的国际地位7。2020年，微点公司总经理、反病毒安全专家刘旭提出了世界领先的“监控并举、动态保护的防御体系8。瑞星杀毒软件是国内外最具实用价值的杀软产品，拥有六项核心技术，其中包括具有三层架构的主动防御系统。上述主动防御技术都是通过让系统本身处于动态性异构冗余空间中不断变化，且仿真传统网络服务如HTTP，FTP，SMTP，SSH，没有对复杂电力系统的工业协议进行模拟仿真。技术内容本技术要解决的技术问题是：为解决现有技术中电力系统网络信息安全防御不够的问题，从基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程而提供一种基于虚拟化动态部署的电力监控主动防御方法及系统。本技术解决其技术问题所采用的技术方案是：本技术的第一方面提供了一种基于虚拟化动态部署的电力监控主动防御方法，包括如下步骤：步骤1，针对电力网络的真实业务系统部署虚拟蜜网系统，并对所述虚拟蜜网系统进行网络配置，使虚拟蜜网系统与电力网络的真实业务系统的网络配置一致，模拟具有漏洞的电力网络；步骤2，创立知识库，所述知识库中存储有外部网络对电力网络的恶意攻击行为信息；步骤3，实时监测虚拟蜜网系统中虚拟机的运行状态，当监测到有异常数据流时，将所述异常数据流与所述知识库中存储的已知恶意攻击行为信息进行比对分析，若断定该异常数据流属于恶意攻击行为，则直接进行阻断响应；否则，进入步骤4；步骤4，通过虚拟蜜网系统对所述异常数据流进行诱捕，获取异常数据流在虚拟机中的行为轨迹；步骤5，通过对所述行为轨迹的分析，识别所述异常数据流能否是恶意攻击行为，若是，则将所述恶意攻击行为的攻击信息写入知识库，并进行阻断响应，否则，通过虚拟重定向，将监测到的异常数据流重新调度到电力网络的真实业务系统中。进一步地，根据本申请第一方面提供的电力监控主动防御方法，所述主动防御方法创立了云沙箱，通过构建沙箱环境，使得恶意软件或APT在一个封闭环境中执行，并对所述恶意软件或APT进行深度分析，断定能否属于恶意攻击行为。进一步地，根据本申请第一方面提供的电力监控主动防御方法，步骤5中，进一步采用穿插验证的方式，断定异常数据流能否属于恶意攻击行为。基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程本申请第二方面提供了一种基于虚拟化动态部署的电力监控主动防御系统，包括：云平台子系统，用于针对电力网络的真实业务系统部署虚拟蜜网系统，对所述虚拟蜜网系统进行网络配置，使虚拟蜜网系统与电力网络的真实业务系统的网络配置一致；同时，实时监测虚拟蜜网系统中虚拟机的运行状态，并在监测到异常数据流量后，及时通知所述威胁分析防护子系统；威胁分析防护子系统，用于创立存储有已知恶意攻击行为信息的知识库，并实时监测虚拟蜜网系统中虚拟机的运行状态，当监测到异常数据流时，将所述异常数据流与所述知识库中存储的已知恶意攻击行为信息进行比对分析，若断定该异常数据流属于恶意攻击行为，则直接进行阻断响应；否则，通过虚拟蜜网系统进行诱捕，获取异常数据流的行为轨迹，识别所述异常数据流量能否属于恶意攻击行为，若属于，则将所述恶意攻击行为的攻击信息写入知识库，并进行阻断响应；否则，将监测到的异常数据流调度到电力网络的真实业务系统中。进一步地，根据本申请第二方面提供的电力监控主动防御系统，所述云平台子系统包括：蜜罐状态监控模块，用于实时监测虚拟云蜜网系统中虚拟机的运行状态，当监测到异常数据流时，及时通知威胁分析防护子系统，并记录恶意行为信息；蜜网快速部署模块，用于快速部署虚拟蜜网系统，并对所述虚拟蜜网系统进行网络配置，使虚拟蜜网系统与电力网络的真实业务系统的网络配置一致。进一步地，根据本申请第二方面提供的电力监控主动防御系统，所述威胁分析防护子系统包括：知识库模块，用于创立知识库，所述知识库用于存储恶意攻击行为信息；行为捕获模块，用于捕获所述异常数据流在虚拟蜜网系统虚拟机中的行为轨迹，并记录；数据分析模块，用于将虚拟机中监测到的所述异常数据流与所述知识库中存储的已知恶意攻击行为信息进行比对分析，若断定该异常数据流属于恶意攻击行为，则直接进行阻断响应；基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程同时，将所述行为捕获模块得到的行为轨迹进行综合分析，并当断定属于恶意攻击行为时，进行阻断响应。进一步地，根据本申请第二方面提供的电力监控主动防御系统，所述电力监控主动防御系统还包括业务管理子系统，所述业务管理子系统包括：云蜜网管理模块，用于对云蜜网系统中的蜜罐类型、蜜罐部署数量、网络场景、实时数据展示、历史趋势分析、分析报告、蜜罐分组、用户分组等内容进行管理；云沙箱管理模块，用于对沙箱类型、沙箱部署数量、沙箱运行日志、分析报告等内容进行管理。进一步地，根据本申请第二方面提供的电力监控主动防御系统，所述电力监控主动防御系统还包括物理资源层，所述物理资源层包括存储模块、计算模块，以及虚拟机软件平台Xen，所述物理资源层用于为所述电力监控主动防御系统提供物理硬件资源，为所述云平台子系统的运行提供物理平台。进一步地，根据本申请第二方面提供的电力监控主动防御系统，所述知识库用于存储恶意攻击行为的数据信息，所述知识库包括恶意行为指纹库、敏感组织指纹库、威胁分类和评分标准、恶意行为四级评价体系以及分析报告自动生成引擎。进一步地，根据本申请第二方面提供的电力监控主动防御系统，所述云平台子系统还包括资源动态调度模块，用于增量镜像文件的管理和调度。本技术的有益效果是：本技术采用动态虚拟化技术构建分布式云蜜网和云沙箱来模拟具有漏洞的电力网络，进而吸引并诱骗攻击者进入。通过入侵特征的提取，记录其攻击轨迹，并利用主动防御数据分析技术解析攻击轨迹，进一步了解攻击者意图、手段和方法等信息，提高电力网络的安全保障能力。另一方面，本技术采用的蜜罐和沙箱技术的主动防御系统能够降低电力系统的真实业务网络被探测到的可能性，增加攻击者攻击的成本难度与时效，与电力系统中存在的被动防护措施基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程进行有效的互补。附图讲明下面结合附图和施行例对本申请的技术方案进一步讲明。图1是本申请施行例的方法流程图；图2是本申请施行例的系统架构图；图3是本申请施行例的数据分析模块工作流程图。详细施行方式需要讲明的是，在不冲突的情况下，本申请中的施行例及施行例中的特征能够互相组合。下面将参考附图并结合施行例来具体讲明本申请的技术方案。本技术通过设置虚拟网络系统来进行主动防御，该虚拟网络系统包含有与电力网络的真实网络系统一样数目、一样种类主机的局域网，该虚拟网络系统通过采用蜜罐技术，将本身伪装成电力网络的真实业务系统，模拟电力网络，实现对网络环境的动态构建和虚拟，保护电力网络的底层系统，实现主动防御。其中，电力网络的真实业务系统是由包含客户机、网关，以及提供web服务或文件服务的各个服务器在内的所有主机组成的局域网。本技术采用的蜜罐和沙箱技术的主动防御系统能够降低电力系统的真实业务网络被探测到的可能性，增加攻击者攻击的成本难度与时效，与电力系统中存在的被动防护措施进行有效的互补。施行例1：本施行例提供了一种基于虚拟化动态部署的电力监控主动防御方法，如图1所示，包括如下基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程步骤：步骤1，部署虚拟蜜网系统针对电力网络的真实业务系统部署虚拟蜜网系统，并对所述虚拟蜜网系统进行网络配置，使虚拟蜜网系统与电力网络的真实业务系统的网络配置一致，模拟具有漏洞的电力网络。步骤2，创立知识库创立知识库，所述知识库中存储有外部网络对电力网络的恶意攻击行为信息。步骤3，蜜网诱捕假如有异常数据流访问真实业务系统，由于部署的虚拟蜜网系统足够真实地模拟电力网络的业务系统，能够吸引并诱骗攻击者攻击已部署的虚拟机。实时监控虚拟蜜网系统中虚拟机的运行状态，当监测到异常数据流时，根据所构建的知识库，将所述异常数据流与知识库中存储的已知恶意攻击行为信息进行比对分析，若断定该异常数据流属于已知的恶意攻击行为，则直接进行阻断响应；否则异常数据流会被虚拟蜜网系统诱捕，进一步进行监控并记录。步骤4，行为捕获、识别获取异常数据流在虚拟机中的行为轨迹，并对所述行为轨迹进行综合分析：若分析断定异常数据流在虚拟机中的行为是外部网络发起的已知恶意攻击行为，则发出阻断响应，并反应至知识库中，供下一次实时断定；若断定是正常行为，则进行虚拟重定向，将监测到的异常数据流重新定向到电力网络的真实业务系统中。作为进一步地施行方案，对于未知的异常数据流，能够采用穿插验证的方式进做进一步地分析判定，判定此次异常行为能否真的是恶意攻击行为，还是检测失误，使得用户行为的断定更为准确。基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程在更进一步地施行方式中，本施行例还构建了云沙箱，通过构建沙箱环境，使得恶意软件或APT(高级持续性威胁)能在一个封闭环境中执行，并对其进行深度分析，断定能否属于恶意攻击行为。云沙箱主要是为了能够辅助判定并深度分析一些恶意代码(比方APT代码)。部署云沙箱虚拟机允许恶意软件安装并运行以供观察其恶意行为；而蜜罐和蜜网则主要模拟一些系统协议，更关注分析外部攻击者会在自以为已被浸透的网络上干些什么，获得行为轨迹。施行例2：本施行例提供了一种基于虚拟化动态部署的电力监控主动防御系统，本施行例通过构建分布式云蜜网和云沙箱来模拟具有漏洞的电力网络，本施行例采用分层式体系构架进行设计，包括：(1)业务管理子系统：业务管理子系统包括云蜜网管理模块和云沙箱管理模块，其中，云蜜网管理模块用于对仿真模拟的蜜罐类型、蜜罐部署数量、网络场景、实时数据展示、历史趋势分析、分析报告、蜜罐分组、用户分组等内容进行管理；云沙箱管理模块用于对沙箱类型、沙箱部署数量、沙箱运行日志、分析报告等内容进行管理。(2)威胁分析防护子系统：威胁分析防护子系统是主动防御的关键，用于识别外部网络发起的恶意攻击行为，并对恶意攻击行为进行阻断响应。威胁分析防护子系统包括：所述知识库模块，用于创立知识库，所述知识库用于存储恶意攻击行为信息；