[发明专利]一种用于核电工控系统的蜜罐防御方法及装置

说明书

本申请提供了一种用于核电工控系统的蜜罐防御方法及装置，其中，蜜罐防御方法包括：获取请求源针对核电工控系统的目标请求；根据所述目标请求，提取能够表征所述目标请求的目标特征向量；确定所提取的目标特征向量的分类指标值；若根据所述分类指标值确定所述目标请求为攻击请求，则基于所述目标请求更新请求数据库；利用更新后的请求数据库，确定针对核电工控系统的预测攻击行为。本申请通过对核电工控系统安装蜜罐，代替真实的核电工控系统与请求源进行交互，达到主动防御防止被黑客攻击的技术效果。

技术领域

本申请涉及工业控制安全技术领域，尤其涉及一种用于核电工控系统的蜜罐防御方法及装置。

背景技术

随着IT(信息技术)和OT(操作技术)的相互融合，工业控制系统慢慢的由相对孤立模式转向开放模式，新型信息技术的应用极大的提高了工业生产效率，但同时也带来一定的风险。作为我国新能源的供应点，核电站的网络安全至关重要。数字化信息技术对核电项目的应用逐渐增多，如目前国内二代核电的数字化升级改造和三代核电的全数字仪控技术，一旦核电系统遭受网络攻击，轻则影响系统的正常运行，重则会造成可怕的核安全事故。

传统的防御技术对于核电系统而言，其相对被动的防御不足以构成核电站的安全屏障，为了让本就处于攻防博弈中相对劣势的防护方掌握主动权，需要一种主动防御手段来应对攻击者的破坏。

发明内容

有鉴于此，本申请的目的在于至少提供一种用于核电工控系统的蜜罐防御方法及装置，本申请通过对核电工控系统安装蜜罐，利用蜜罐代替真实的核电工控系统与请求源进行交互，达到主动防御防止被黑客攻击的技术效果。本申请主要包括以下几个方面：

第一方面，本申请实施例提供一种用于核电工控系统的蜜罐防御方法，蜜罐防御方法包括：获取请求源针对核电工控系统的目标请求；根据目标请求，提取能够表征目标请求的目标特征向量；确定所提取的目标特征向量的分类指标值；若根据分类指标值确定目标请求为攻击请求，则基于目标请求更新请求数据库；利用更新后的请求数据库，确定针对核电工控系统的预测攻击行为。

可选地，根据目标请求，提取能够表征目标请求的目标特征向量的步骤包括：从目标请求中提取用于描述目标请求的所有特征元素，以形成矩阵；确定所述矩阵的特征向量和特征值；将各特征值进行降序排序，并根据所确定的特征值的累计贡献率，选取前预定数量的特征值，其中，前预定数量的特征值的累计贡献率大于或等于特征贡献阈值；由所选取的特征值对应的特征向量形成目标特征向量。

可选地，目标特征向量包括至少一个特征元素，其中，确定所提取的目标特征向量的分类指标值的步骤包括：对目标特征向量中的每个特征元素进行归一化处理；确定每个特征元素对应的权重值，其中，权重值是根据预先训练好的逻辑回归分类器获得的，逻辑回归分类器是用于对请求进行分类的分类器；根据归一化处理后的每个特征元素以及对应的权重值，确定分类指标值。

可选地，利用更新后的请求数据库，预测针对核电工控系统的攻击行为的步骤包括：将更新后的请求数据库中的多条数据记录输入到时间序列模型中，获得针对核电工控系统的预测攻击行为，预测攻击行为包括以下项中的至少一项：预测攻击的攻击类型、攻击频率。

可选地，请求数据库包括多条数据记录，每条数据记录对应一请求，其中，基于目标请求更新请求数据库的步骤包括：确定目标请求对应的目标数据记录与请求数据库中的各数据记录的相似度值；若目标数据记录与请求数据库中的每个数据记录的相似度值均不大于相似阈值，则将目标请求以及对应的目标数据记录添加到请求数据库中；若请求数据库中存在与目标数据记录的相似度值大于相似阈值的数据记录，则基于目标数据记录对匹配数据记录进行更新，其中，匹配数据记录为相似度值大于相似阈值的数据记录中相似度值最大的数据记录。

可选地，利用更新后的请求数据库，确定针对核电工控系统的预测攻击行为的步骤包括：从请求数据库中提取与目标请求对应的目标数据记录的相似度值大于相似阈值的数据记录；将目标数据记录以及所提取的数据记录输入到时间序列模型中，获得针对核电工控系统的预测攻击行为。