[发明专利]一种用于核电工控系统的蜜罐防御方法及装置

权利要求书

1.一种用于核电工控系统的蜜罐防御方法，其特征在于，所述蜜罐防御方法包括：

获取请求源针对核电工控系统的目标请求；

根据所述目标请求，提取能够表征所述目标请求的目标特征向量；所述目标特征向量包括至少一个特征元素；

对所述目标特征向量中的每个特征元素进行归一化处理；确定每个特征元素对应的权重值，其中，所述权重值是根据预先训练好的逻辑回归分类器获得的，所述逻辑回归分类器是用于对请求进行分类的分类器；根据归一化处理后的每个特征元素以及对应的权重值，确定分类指标值；

若所述分类指标值大于分类预设阈值，确定所述目标请求为攻击请求，则基于所述目标请求更新请求数据库；

利用更新后的请求数据库，确定针对核电工控系统的预测攻击行为；

其中，利用更新后的请求数据库，确定针对核电工控系统的预测攻击行为的步骤包括：

从请求数据库中提取与所述目标请求对应的目标数据记录的相似度值大于相似阈值的数据记录；

将所述目标数据记录以及所提取的数据记录输入到时间序列模型中，获得针对所述核电工控系统的预测攻击行为。

2.根据权利要求1所述的用于核电工控系统的蜜罐防御方法，其特征在于，根据所述目标请求，提取能够表征所述目标请求的目标特征向量的步骤包括：

从所述目标请求中提取用于描述所述目标请求的所有特征元素，以形成矩阵；

确定所述矩阵的特征向量和特征值；

将各特征值进行降序排序，并根据所确定的特征值的累计贡献率，选取前预定数量的特征值，其中，所述前预定数量的特征值的累计贡献率大于或等于特征贡献阈值；

由所选取的特征值对应的特征向量形成所述目标特征向量。

3.根据权利要求1所述的用于核电工控系统的蜜罐防御方法，其特征在于，利用更新后的请求数据库，预测针对核电工控系统的攻击行为的步骤包括：

将更新后的请求数据库中的多条数据记录输入到时间序列模型中，获得针对所述核电工控系统的预测攻击行为，所述预测攻击行为包括以下项中的至少一项：预测攻击的攻击类型、攻击频率。

4.根据权利要求1或3所述的用于核电工控系统的蜜罐防御方法，其特征在于，所述请求数据库包括多条数据记录，每条数据记录对应一请求，

其中，基于所述目标请求更新请求数据库的步骤包括：

确定所述目标请求对应的目标数据记录与请求数据库中的各数据记录的相似度值；

若目标数据记录与请求数据库中的每个数据记录的相似度值均不大于相似阈值，则将所述目标请求以及对应的目标数据记录添加到请求数据库中；

若请求数据库中存在与目标数据记录的相似度值大于所述相似阈值的数据记录，则基于所述目标数据记录对匹配数据记录进行更新，其中，所述匹配数据记录为相似度值大于所述相似阈值的数据记录中相似度值最大的数据记录。

5.根据权利要求1所述的用于核电工控系统的蜜罐防御方法，其特征在于，所述蜜罐防御方法，还包括：

若根据所述分类指标值确定所述目标请求为攻击请求，则确定所述攻击请求触发的预先布置的目标漏洞，并输出所述目标漏洞的描述信息，以针对所述目标漏洞进行防御；

和/或，所述蜜罐防御方法，还包括：

若根据所述分类指标值确定所述目标请求为攻击请求，则确定所述攻击请求所请求的服务，

生成与所述服务对应的模拟响应，并发送至请求源。

6.根据权利要求1所述的用于核电工控系统的蜜罐防御方法，其特征在于，所述蜜罐防御方法还包括：

若根据所述分类指标值确定所述目标请求为正常请求，则将所述目标请求发送至所述目标请求指示的请求对象，以由所述请求对象生成与所述目标请求对应的服务响应，并发送至请求源。