[发明专利]一种用于发电厂控制系统的蜜罐防御控制方法及装置

说明书

本发明涉及工业控制系统技术领域，并提供一种用于发电厂控制系统的蜜罐防御控制方法及装置，蜜罐防御控制方法包括如下步骤：将发电厂控制系统置于沙盒中营造高仿真的交互场景，以形成工控蜜罐，并通过所述工控蜜罐捕获不利于所述发电厂控制系统的异常数据；针对所述异常数据，进行数据分析，以识别出来源于攻击者发起的攻击数据；针对所述攻击数据，进行数据处理；本发明将发电厂控制系统置于沙盒内以形成工控蜜罐，营造出高仿真的交互场景，以提高蜜罐的“甜度”，换言之，提高工控蜜罐的诱捕能力，对存在不利于发电厂控制系统的异常数据进行分析后判定识别出来源于攻击者的攻击数据，进行数据处理，从而有效的提高发电厂控制系统的防御能力。

技术领域

本发明涉及工业控制系统技术领域，具体而言，涉及一种用于发电厂控制系统的蜜罐防御控制方法及装置。

背景技术

随着互联网、物联网、5G等网络技术的发展，工业控制系统网络逐步由独立封闭的网络向通用互联网转化。大量的工业控制设备逐渐接入互联网，不仅节省人力资源成本提高工业生产效率，还实现了工业生产、控制、管理的智能化；当前，工业控制系统结合多种新型信息技术的发展与应用，给工业控制系统信息安全保障工作提出了新任务、新挑战，工业控制系统的安全问题不容忽视；电力行业作为工业控制领域的重要组成部分，正面临着严峻的信息安全风险，亟需对目前的电力工业控制系统网络安全方面进行深入的研究分析；顺应时代响应，当前发电厂控制系统结合多种新型信息技术已经成为近年来的发展趋势；同时也为工业控制系统网络安全防护工作带来了新任务、新挑战。

由于早年工控网络环境以物理防护为主，设计研发的工控协议并没有考虑通用互联网威胁，很多工控协议缺乏安全机制；在智能电网的大环境下，发电厂系统将不再完全物理隔离，很多数据流通向企业内网，甚至完全暴露在互联网中；由于电力系统具有实时性、可靠性、分布性等特殊性，针对当前面临的电力系统威胁情况，结合主动防御技术，以陷阱的方式来保护电力系统不受威胁，例如，采用蜜罐技术结合发电厂控制系统而成的工控蜜罐，一直是近几年的研究热点；工控蜜罐在受到黑客攻击后不会对电力系统造成损失，同时还可以捕获黑客的攻击数据用来后续的分析和研究，将研究成果应用于维护整个电力控制系统。

目前现有的工控蜜罐中在工控协议实现方面大多是西门子、施耐德相关通讯设备的工控协议，其他工控设备领域通讯协议比较匮乏；目前流行的工控蜜罐主要是高交互蜜罐，比如XPOT 、HoneyPLC蜜罐系统，但是上述高交互蜜罐系统不仅成本高，而且一旦受到攻击恢复困难，导致维护成本更高。

发明内容

本发明解决的问题是如何有效提高发电厂控制系统的防御能力。

为解决上述问题，本发明提供一种用于发电厂控制系统的蜜罐防御控制方法，包括如下步骤：

将发电厂控制系统置于沙盒中营造高仿真的交互场景，以形成工控蜜罐，并通过所述工控蜜罐捕获不利于所述发电厂控制系统的异常数据；

针对所述异常数据，进行数据分析，以识别出来源于攻击者发起的攻击数据；

针对所述攻击数据，进行数据处理。

可选地，所述工控蜜罐包括核心库psutil和scapy库；所述异常数据包括进程数据、文件数据和网络数据包；所述并通过所述工控蜜罐捕获不利于所述发电厂控制系统的异常数据包括：通过所述核心库psutil捕获所述进程数据和所述文件数据；以及通过所述scapy库捕获所述网络数据包。

可选地，所述攻击数据包括异常进程、异常文件和异常数据包；所述针对所述异常数据，进行数据分析，以识别出来源于攻击者发起的攻击数据包括：通过随机森林模型，对所述异常数据中的所述进程数据和所述文件数据分别进行数据分析，以分别识别出异常进程和异常文件。

可选地，所述针对所述异常数据，进行数据分析，以识别出来源于攻击者发起的攻击数据还包括：采用机器学习算法对比的方式，评估所述随机森林模型的识别性能。