基于虚拟化动态部署的电力监控主动防御方法及系统与制作流程

本申请涉及一种基于虚拟化动态部署的电力监控主动防御方法及系统，包括(1)创建虚拟蜜网系统，模拟电力网络真实业务系统；(2)实时监测虚拟机状态，在监测到异常数据流时，进行蜜网诱捕，获取异常行为轨迹；(3)分析是否为恶意攻击行为，并进行阻断响应。本技术采用的蜜罐和沙箱技术的主动防御系统可以降低电力系统的真实业务网络被探测到的可能性，增加攻击者攻击的成本难度与时效，与电力系统中存在的被动防护措施进行有效的互补。

权利要求书

1.一种基于虚拟化动态部署的电力监控主动防御方法，其特征在于，包括如下步骤：

步骤1，针对电力网络的真实业务系统部署虚拟蜜网系统，并对所述虚拟蜜网系统进行网络配置，使虚拟蜜网系统与电力网络的真实业务系统的网络配置一致，模拟具有漏洞的电力网络；

步骤2，创建知识库，所述知识库中存储有外部网络对电力网络的恶意攻击行为信息；

步骤3，实时监测虚拟蜜网系统中虚拟机的运行状态，当监测到有异常数据流时，将所述异常数据流与所述知识库中存储的已知恶意攻击行为信息进行比对分析，若判定该异常数据流属于恶意攻击行为，则直接进行阻断响应；否则，进入步骤4；

步骤4，通过虚拟蜜网系统对所述异常数据流进行诱捕，获取异常数据流在虚拟机中的行为轨迹；

步骤5，通过对所述行为轨迹的分析，识别所述异常数据流是否是恶意攻击行为，若是，则将所述恶意攻击行为的攻击信息写入知识库，并进行阻断响应，否则，通过虚拟重定向，将监测到的异常数据流重新调度到电力网络的真实业务系统中。

2.根据权利要求1所述的电力监控主动防御方法，其特征在于，所述主动防御方法创建

了云沙箱，通过构建沙箱环境，使得恶意软件或APT在一个封闭环境中执行，并对所述恶意软件或APT进行深度分析，判定是否属于恶意攻击行为。

3.根据权利要求1所述的电力监控主动防御方法，其特征在于，步骤5中，进一步采用交叉验证的方式，判定异常数据流是否属于恶意攻击行为。

4.一种基于虚拟化动态部署的电力监控主动防御系统，其特征在于，包括：

云平台子系统，用于针对电力网络的真实业务系统部署虚拟蜜网系统，对所述虚拟蜜网系统进行网络配置，使虚拟蜜网系统与电力网络的真实业务系统的网络配置一致；同时，实时监测虚拟蜜网系统中虚拟机的运行状态，并在监测到异常数据流量后，及时通知所述威胁分析防护子系统；

威胁分析防护子系统，用于创建存储有已知恶意攻击行为信息的知识库，并实时监测虚拟蜜网系统中虚拟机的运行状态，当监测到异常数据流时，将所述异常数据流与所述知识库中存储的已知恶意攻击行为信息进行比对分析，若判定该异常数据流属于恶意攻击行为，则直接进行阻断响应；否则，通过虚拟蜜网系统进行诱捕，获取异常数据流的行为轨迹，识别所述异常数据流量是否属于恶意攻击行为，若属于，则将所述恶意攻击行为的攻击信息写入知识库，并进行阻断响应；否则，将监测到的异常数据流调度到电力网络的真实业务系统中。

5.根据权利要求4所述的基于虚拟化动态部署的电力监控主动防御系统，其特征在于，所

述云平台子系统包括：

蜜罐状态监控模块，用于实时监测虚拟云蜜网系统中虚拟机的运行状态，当监测到异常数据流时，及时通知威胁分析防护子系统，并记录恶意行为信息；

蜜网快速部署模块，用于快速部署虚拟蜜网系统，并对所述虚拟蜜网系统进行网络配置，使虚拟蜜网系统与电力网络的真实业务系统的网络配置一致。

6.根据权利要求5所述的基于虚拟化动态部署的电力监控主动防御系统，其特征在于，所述威胁分析防护子系统包括：

知识库模块，用于创建知识库，所述知识库用于存储恶意攻击行为信息；

行为捕获模块，用于捕获所述异常数据流在虚拟蜜网系统虚拟机中的行为轨迹，并记录；

数据分析模块，用于将虚拟机中监测到的所述异常数据流与所述知识库中存储的已知恶意攻击行为信息进行比对分析，若判定该异常数据流属于恶意攻击行为，则直接进行阻断响应；同时，将所述行为捕获模块得到的行为轨迹进行综合分析，并当判定属于恶意攻击行为时，进行阻断响应。

7.根据权利要求4所述的基于虚拟化动态部署的电力监控主动防御系统，其特征在于，所述电力监控主动防御系统还包括业务管理子系统，所述业务管理子系统包括：

云蜜网管理模块，用于对云蜜网系统中的蜜罐类型、蜜罐部署数量、网络场景、实时数据展示、历史趋势分析、分析报告、蜜罐分组、用户分组等内容进行管理；

云沙箱管理模块，用于对沙箱类型、沙箱部署数量、沙箱运行日志、分析报告等内容进行管理。

8.根据权利要求4所述的基于虚拟化动态部署的电力监控主动防御系统，其特征在于，所述电力监控主动防御系统还包括物理资源层，所述物理资源层包括存储资源、计算资源，以及虚拟机软件平台Xen，所述物理资源层用于为所述电力监控主动防御系统提供物理硬件资源，为所述云平台子系统的运行提供物理平台。

9.根据权利要求6所述的基于虚拟化动态部署的电力监控主动防御系统，其特征在于，所述知识库包括恶意行为指纹库、敏感组织指纹库、威胁分类和评分标准、恶意行为四级评价体系以及分析报告自动生成引擎。

10.根据权利要求5所述的基于虚拟化动态部署的电力监控主动防御系统，其特征在于，所

述云平台子系统还包括资源动态调度模块，用于增量镜像文件的管理和调度。

技术说明书

一种基于虚拟化动态部署的电力监控主动防御方法及系统

技术领域

本申请属于网络信息安全技术领域，尤其是涉及一种基于虚拟化动态部署的电力监控主动防御方法及系统。

背景技术

随着电力系统信息化、智能化发展带来的网络边界模糊化，导致智能电网的安全风险逐步提高，使信息安全治理面临重大挑战。

电力监控系统与传统的工业控制系统相比，不允许出现过大的延迟和系统震荡，必须要及时发现各种网络威胁(包括未知威胁)来确保电力调度的精确、快速。主动防御技术能够有效解决电力信息网络安全中的问题，受到极大的关注。

目前，主动防御技术在学术界和工业界都取得一定的研究成果。学术界方面，文献[2]提出了基于网络安全态势感知的主动防御技术，通过转换网络端信息实现网络拓扑结构的动态随机改变，从而达到增加网络攻击难度和成本的目的。文献[3]提出了基于动态转化数据传输加密协议的主动防御技术，通过随机变换传输加密协议，获得比单一加密协议更好的扩展性和更高的安全性。文献[4]构建了基于虚拟化的主动防御平台，通过行为轨迹分析，取证发现攻击风险，并通过实验测试显示该主动防御平台有着较高的检测效率。

在工业界，早在20世纪90年代，国外的安全领域市场就已经开始着手研究主动防御技术了。2004年7月，欧洲最大的安全公司熊猫软件(Panda)公司宣布引进全新一代的防病毒技术—TruPrevent，该技术实现了对未知病毒和攻击的有效拦截和主动响应，从根本上改变了传统互联网安全防护机制。国内对于主动防御技术的研究虽然相对较晚，但比较主流的安全厂商早已对此项技术有所关注。东方微点公司凭借自主研发的新一代反病毒产品在主动防御领域取得了一定的国际地位[7]。2008年，微点公司总经理、反病毒安全专家刘旭提出了世界领先的“监控并举、动态保护”的防御体系[8]。瑞星杀毒软件是国内外最具实用价值的杀软产品，拥有六项核心技术，其中包括具有三层架构的主动防御系统。

上述主动防御技术都是通过让系统本身处于动态性异构冗余空间中不断变化，且仿真传统网络服务如HTTP，FTP，SMTP，SSH，没有对复杂电力系统的工业协议进行模拟仿真。

技术内容

本技术要解决的技术问题是：为解决现有技术中电力系统网络信息安全防御不够的问题，从