一种基于异常行为的自动防御方法

1.本公开涉及网络信息安全技术领域，具体涉及一种基于异常行为的自动防御方法。


背景技术：

2.随着电力系统信息化、智能化发展带来的网络边界模糊化，导致智能电网的安全风险逐步提高，使信息安全治理面临重大挑战。在分布式新能源的场景下，能源互联网安全变得非常重要，电力物联网设备必须实现各种传感设置。当这些设备受到网络安全的威胁，会造成经济损失和设备损坏，对国家能源安全造成重大影响。
3.蜜罐是一台不作任何安全防范措施而且连接网络的计算机，但是与一般计算机不同，它内部运行着多种多样的数据记录程序，也可以称之为一种诱捕网络罪犯的系统；通过迷惑入侵者，保护服务器；通过抵御入侵者，加固服务器，以提高网络安全性。其本质在于欺骗和引诱，通过部署潜在目标(如漏洞主机、价值信息和请求服务)来吸引攻击者，并推测他们的攻击意图和方法。
4.容器技术是通过一种虚拟化技术来隔离运行在主机上不同进程，从而达到进程之间、进程和宿主操作系统相互隔离、互不影响的技术。这种相互孤立进程就叫容器，它有自己的一套文件系统资源和从属进程。


技术实现要素：

5.为解决现有技术中存在的不足，本发明提供一种基于异常行为的自动防御方法及系统，通过蜜罐与容器技术实时监测流量与时域序列变化，主动并精确识别防御网络中的异常行为，使得网络安全防御能力高效。
6.本发明采用如下的技术方案，一种基于异常行为的自动防御方法，步骤包括：
7.预设条件后从配电网络中抓取目标数据，分析所述目标数据并存储；
8.通过蜜罐与容器化技术构建配电网络自动防御架构，部署环境，模拟异常行为，分析数据并得到分析结果；
9.通过目标数据与配电网络自动防御架构整合分析，基于hhm协议构建威胁情报库，威胁情报库的功能包括态势察觉，态势理解和态势投射；
10.主动扫描配电网络中的漏洞，自主感知未知威胁，监测配电网络中的异常行为并及时处理，异常行为还包括监测配电网络中原始时域序列变化的数据。
11.进一步的，预设条件抓取目标数据的步骤包括：
12.确定抓取方式；
13.确定抓取目标，抓取目标的预设标准至少包括以下其中一项：目的地址，源地址，目标数据长度，协议类型，物理层链路地址，网络层链路地址；
14.设置过滤条件，过滤条件至少包括以下其中一项：协议类型，源地址，目标地址。
15.进一步的，模拟异常行为包括模拟攻击，模拟攻击的步骤包括：
16.设计攻击场景，包括攻击目标，攻击工具；
17.涉及攻击策略，包括攻击方式，攻击流程；
18.启动攻击流程；
19.蜜罐监测和记录攻击行为，包括攻击流量，攻击日志，攻击痕迹，用于后续分析和评估演练效果；
20.使用安全设备对攻击行为进行阻断和监测，进行演练响应和防御。
21.进一步的，分析结果的步骤包括：
22.收集和整理攻击数据，包括攻击流量，攻击日志和攻击痕迹；
23.对攻击数据继续宁分析和挖掘，识别攻击方式，攻击者来源和攻击目标；
24.评估演练效果和安全性；
25.生成评估报告，包括演练的目的，过程，结果以及建议改进措施。
26.进一步的，配电网络自动防御架构的构建方法包括：
27.确定网络拓扑结构，包括确定网络拓扑结构的组成单元，确定组成单元间的互联方式，确定使用的技术是蜜罐和/或容器；
28.选择蜜罐技术和部署蜜罐技术的策略，策略包括隐藏蜜罐的方式，蜜罐记录攻击行为的方式；
29.制定蜜罐攻防细节；
30.确定目标和评估标准。
31.进一步的，势态投射的步骤包括：
32.态势量化评估，量化配电网络自动防御架构中节点的安全风险，评估节点的重要程度，量化配电网络的整体安全风险；
33.异常行为预测，通过融合算法对配电网络的状态进行预测；
34.攻击溯源。
35.进一步的，主动扫描配电网络系统漏洞的方法包括：
36.确定扫描范围；
37.选择扫描方式并预设扫描参数；
38.在扫描范围内开始扫描并在扫描完成后分析扫描数据生成分析结果；
39.对分析结果中的漏洞进行优先级排序，制定漏洞修复计划；
40.按照预设扫描参数，定期对扫描范围进行漏洞扫描并更新漏洞库和扫描工具。
41.进一步的，主动感知未知威胁的方法包括：
42.对配电网络进行安全监测并进行配置和调试；
43.对监测中的配电网络进行基准测试，基准测试包括监测配电网络的网络流量和事件，时间包括行为；
44.开始监测配电网络，使用安全事件和漏洞数据库与配电网络的监测数据进行比对；
45.建立响应流程，在发现异常行为时启动所述响应流程进行处理。
46.进一步的，监测配电网络中的异常行为方法包括：
47.对配电网络进行流量监测并进行配置和调试；
48.分析配电网络流量和事件，使用安全时间和漏洞数据库与配电网络的监测数据进
行比对；
49.根据识别比对的结果，制定策列和规则并定期审查和更新；
50.建立响应流程，在发现异常行为时启动流程进行处理。
51.进一步的，蜜罐攻防细节包括预设攻击场景和目标，确定角色攻击手段和策略；
52.角色包括攻击者和防守者。
53.本发明的有益效果在于，与现有技术相比，本发明技术方案更具有主动性，可以在配电网络被攻击时自动识别并防御，无需等待攻击者触发蜜罐；更具有实时性，可以实时监测流量并识别异常行为，及时对攻击配电网络的行为进行防御攻击，无需等待攻击者进入配电网络或者蜜罐才发动监测和识别；更具有精确性，可以对配电网络流量进行深入的分析，能够更准确的识别攻击配电网络的攻击行为类别和攻击者的策略，传统的现有技术中蜜罐的识别精度比较低，容易被攻击者识别和规避；更具有高效性，可以自动对配电网络的流量进行分析和防御，减少人工干预的成本和风险，更快速的进行流程响应和防御攻击。
附图说明
54.图1是本发明中自动防御方法流程图；
55.图2是本发明中自动防御方法s1的流程图；
56.图3是本发明中自动防御方法s2的流程图；
57.图4是本发明中自动防御方法s3的流程图；
58.图5是本发明中自动防御方法s4的流程图。
具体实施方式
59.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明的技术方案进行清楚、完整地描述。本技术所描述的实施例仅仅是本发明一部分的实施例，而不是全部实施例。基于本发明精神，本领域普通技术人员在没有作出创造性劳动前提下所获得的有所其它实施例，都属于本发明的保护范围。
60.针对分布式光伏接入场景下，传统边界安全防护装置无法有效及时阻断的问题，研究恶意流量的自动化防御技术，实现边到端的恶意流量精准识别和有效防御。基于蜜罐技术的入侵防御系统，可以伪装成易受攻击的节点，通过引诱和捕获攻击流量，延迟攻击，提高网络的鲁棒性。蜜罐系统可以为入侵取证提供重要信息和线索，并将攻击情报上传到云端进行分析研究。
61.智能变电站中的mms报文，分析其传输的时间特性变化。通过检测变化，可检测到原始时域序列的变化，进而检测报文传输的异常。根据业务系统的功能不同，数据源和分析方法有很大的差别，根据系统的特点和功能对其数据进行分析与学习，将得到的结果与专家知识结合，可发现业务系统中的异常情况，实现分布式接入场景下配电自动化网络针对网络攻击实现自动防御。
62.为了有效提升网络安全防御的能力，本发明提供了一种基于异常行为的自动防御方法。通过检测变化，即可检测到原始时域序列的变化，进而检测报文传输的异常。根据业务系统的功能不同，其数据源和分析方法有较大的差别。根据系统的特点和功能对其数据进行分析与学习，将得到的结果与专家知识结合，即可发现业务系统中的异常情况。以上即
可实现分布式光伏接入场景下配电自动化网络针对网络攻击实现自动防御。
63.一种基于异常行为的自动防御方法，如图1所示，流程如下：
64.s1，使用网络抓包工具针对配电网络数据进行抓取；预设条件后从配电网络中抓取目标数据，分析所述目标数据并存储；如图2所示，在一种实施例中的，流程步骤如下：
65.s101.预设条件；
66.s102,抓取目标数据，从配电网络中抓取目标数据；
67.s103,分析并存储，分析目标数据并存储；
68.预设条件，抓取目标数据的预设条件包括：确定抓取方式；确定抓取目标，抓取目标的预设标准至少包括以下其中一项：目的地址，源地址，目标数据长度，协议类型，物理层链路地址，网络层链路地址；设置过滤条件，过滤条件至少包括以下其中一项：协议类型，源地址，目标地址。
69.通过目标数据与配电网络自动防御架构整合分析，基于hhm协议构建威胁情报库，威胁情报库的功能包括态势察觉，态势理解和态势投射；
70.配电网络自动防御架构的构建方法包括：确定网络拓扑结构，包括确定所述网络拓扑结构的组成单元，确定所述组成单元间的互联方式，确定使用的技术是蜜罐和/或容器；选择蜜罐技术和部署所述蜜罐技术的策略，所述策略包括隐藏蜜罐的方式，蜜罐记录攻击行为的方式；制定蜜罐攻防细节，蜜罐攻防细节包括预设攻击场景和目标，确定角色攻击手段和策略；确定目标和评估标准。
71.基于电力系统通信规约，通过部署在电力信息网络中的交换机或者路由器上的流量采集设备，使用电力系统通信规约协议解析工具、网络抓包工具，批量采集电力网络中智能电表、相量测量单元以及各种传感器设备中的电力网络数据网络流量数据，获得变电站网络安全的数据集。在本发明的实施例中，使用网络抓包工具，包括如下步骤：
72.步骤一，确定使用的网络抓包工具。在一种实施例中，网络抓包工具可以是wireshark，需要确保网络抓包工具已经安装并正确配置。
73.步骤二，确定抓取目标。在进行抓包之前，需要明确抓取哪些数据。在配电
74.网络中，需要抓取各种数据报文的目的地址、源地址、长度、协议类型、物理层链路地址与网络层地址，构建涵盖多协议、多层级、多来源、多目的的时空二维数据等等。
75.步骤三，设置过滤器。使用过滤器。可以根据协议类型、源地址、目标地址等条件设置过滤器，可以减少抓取到的数据量，更容易定位所需要的数据包。
76.步骤四，启动抓包工具。启动选择的抓包工具，开始捕获网络流量。确保正
77.确配置过滤器和捕获条件，以便只捕获到需要的数据。
78.步骤五，分析数据。捕获到网络数据后，使用电力系统通信规约协议解析工具对数据进行分析，包括查看数据包头部信息、查看数据包负载、解码数据包等操作。
79.步骤六，存储数据。将捕获到的数据导出到数据库暂存，以便于日后的分析。
80.s2，利用蜜罐技术、容器化技术构建网络攻防演练基础设施。通过蜜罐与容器化技术构建配电网络自动防御架构，部署环境，模拟异常行为，分析数据并得到分析结果；蜜罐技术和容器化技术能够模拟真实的网络环境，从而构建网络攻防演练基础设施。利用这些技术，建立一系列虚拟机、容器等环境，让攻击者进入虚拟环境后无法发现真实的网络环境，从而达到防御攻击的目的。
81.在本实施例中，使用蜜罐技术、容器化技术，针对配电网络搭建攻防演练基础设施，如图3所示，流程步骤如下：
82.s201，构建自动防御架构，步骤包括：
83.步骤一，确定网络拓扑结构和服务器配置，包括使用哪些虚拟机、容器等技术，以及它们之间的互联方式。
84.步骤二，选择蜜罐技术和部署策略，如何隐藏蜜罐，以及如何记录攻击行为等。
85.步骤三，制定攻击场景和目标，确定攻击者和防守方的角色，以及攻击手段和策略。
86.步骤四，确定攻防演练的目的和评估标准，以及如何记录和报告演练过程和结果。
87.s202，部署环境步骤包括：
88.步骤一，安装和配置蜜罐系统honeyd，按照架构设计将其部署在合适的位置。
89.步骤二，部署docker容器化技术，用于构建隔离的演练环境，并根据需要安装必要的软件和工具。
90.步骤三，部署安全监控和日志收集系统，在一种实施例中，包括使用ids实时监测攻击行为，并记录攻击事件和响应过程。
91.步骤四，部署网络设备和配置网络，如路由器、交换机、防火墙等，用于隔离演练环境和外部网络，以及保护演练系统的安全。
92.s203，模拟异常行为，异常行为包括攻击行为，模拟攻击的步骤包括：
93.设计攻击场景，包括攻击目标，攻击工具；涉及攻击策略，包括攻击方式，攻击流程；启动攻击流程；蜜罐监测和记录攻击行为，包括攻击流量，攻击日志，攻击痕迹，用于后续分析和评估演练效果；使用安全设备对攻击行为进行阻断和监测，进行演练响应和防御。
94.在一种实施例中，模拟攻击，具体的步骤包括：
95.步骤一，设计攻击场景和攻击策略，包括攻击目标、攻击方式、攻击工具和攻击流程等。
96.步骤二，启动攻击器，使用漏洞扫描器、渗透测试工具、恶意软件等手段进行攻击，以验证演练环境的安全性和防御能力。
97.步骤三，监测和记录攻击行为，包括攻击流量、攻击日志、攻击痕迹等信息，用于后续分析和评估演练效果。
98.步骤四，进行演练响应和防御，包括使用防火墙、ids等安全设备进行阻断和监测，以及进行恢复和修复操作。
99.s204，分析数据并得到结果，步骤包括：
100.收集和整理攻击数据，包括攻击流量，攻击日志和攻击痕迹；对攻击数据继续宁分析和挖掘，识别攻击方式，攻击者来源和攻击目标；评估演练效果和安全性；生成评估报告，包括演练的目的，过程，结果以及建议改进措施。
101.在一种实施例中，分析结果的步骤包括：
102.步骤一，收集和整理攻击数据，包括攻击流量、攻击日志、攻击痕迹等信息。
103.步骤二，对攻击数据进行分析和挖掘，如识别攻击方式、攻击者的来源、攻击目标等信息。
104.步骤三，评估演练效果和安全性，如检测漏洞是否被攻击者利用、评估安全设备的
防御能力等。
105.生成评估报告，包括演练的目的、过程、结果以及建议改进措施等，以便于安全团队和管理层进行演练的总结和提高演练的效果。
106.s3,针对网络攻防及抓包获取的知识构建协同联动的威胁情报库，如图4所示，流程步骤如下：
107.s301，目标数据与架构整合分析，通过对网络攻防和抓包获取的知识进行整合和分析；
108.s302，构建威胁情报库，该情报库可以协同联动。该威胁情报库能够提供及时的安全威胁情报和攻击者的行为模式，从而能够更好地识别网络中的威胁并采取相应的防御措施；
109.s303，态势察觉、理解和投射功能。
110.态势察觉，包括以下步骤：
111.步骤一，异常行为的识别和攻击检测：通过在蜜罐或蜜网中利用大量专用的分析工具对威胁者的行为进行收集、分析，形成威胁情报，威胁情报中的内容包含详细的攻击特征、检测方法、攻击危害评估方法和安全修复方法和防御方案。
112.步骤二，确定攻击特征：通过对态势要素的提取、清洗、关联，利用威胁情报对攻击数据进行处理，制作成具有规范化、结构化的信息格式，这些标准化的信息为攻击识别提供更全面、准确的攻击特征。
113.态势理解，通过对攻击行为的理解，确定攻击者的攻击策略，并将系统内部的攻击信息制作成具有规范格式的威胁情报。
114.态势投射，包括以下态势量化评估。基于hhm对配电网络进行建模，通过节点的直接风险和相关性引起的间接风险来量化节点的安全风险；考虑节点在配电网络中的重要性程度，结合节点安全风险，量化配电网络的整体安全风险；基于异常行为的自动防御方法能够对由节点相关性和节点重要性程度所带来的配电网络安全风险进行量化，使得配电网络安全风险评估结果更加准确、可信。
115.态势理解。通过对攻击行为的理解，确定攻击者的攻击策略，并将系
116.统内部的攻击信息制作成具有规范格式的威胁情报。
117.态势投射，包括如下步骤：
118.步骤一，态势量化评估，基于hhm对配电网络进行建模，通过节点的直接风险和相关性引起的间接风险来量化节点的安全风险；考虑节点在配电网络中的重要性程度，结合节点安全风险，量化配电网络的整体安全风险；方法能够对由节点相关性和节点重要性程度所带来的配电网络安全风险进行量化，使得配电网络安全风险评估结果更加准确、可信。
119.步骤二，攻击预测，融合算法对配电网络的潜在威胁进行预测，在一种实施例中，融合算法可以是人工智能k-means算法、在另一种实施例中的融合算法可以是机器学习k-mediod算法，在另一种实施例中的融合算法可以是pam聚类算法。
120.步骤三，攻击溯源，本发明实施例使用基于ip地址的攻击溯源方法，提高态势感知技术的准确性。主动扫描网络系统漏洞，自主感知未知威胁，监测网络行为；通过主动扫描配电网络系统中的潜在漏洞、自主感知未知威胁和监测配电网络行为，能够快速识别并应对配电网络攻击，及时了解配电网络系统的安全状况，从而加强配电网络安全防御。
121.s4，主动扫描网络系统漏洞，自主感知未知威胁，监测网络行为；主动扫描配电网络中的漏洞，自主感知配电网络中未知的威胁，监测配电网络中的异常行为并及时处理，异常行为还包括监测配电网络中原始时域序列变化的数据。如图5所示，流程步骤如下：
122.s401，主动扫描漏洞，步骤包括：
123.确定扫描范围；选择扫描方式并预设扫描参数；在所述扫描范围内开始扫描并在扫描完成后分析扫描数据生成分析结果；对所述分析结果中的漏洞进行优先级排序，制定漏洞修复计划；按照预设扫描参数，定期对所述扫描范围进行漏洞扫描并更新漏洞库和扫描工具。
124.在一种实施例中，上述方法可具体到如下步骤：
125.步骤一，确定要扫描的目标系统或网络范围；
126.步骤二，选择适合的漏洞扫描工具，并设置扫描参数；
127.步骤三，开始漏洞扫描，并在扫描完成后分析扫描结果；
128.步骤四，对发现的漏洞进行优先级排序，并制定漏洞修复计划；
129.步骤五，定期进行漏洞扫描，并更新漏洞库和扫描工具。
130.s402，自主感知未知威胁，步骤包括：
131.对配电网络进行安全监测并进行配置和调试；对监测中的配电网络进行基准测试，所述基准测试包括监测配电网络的网络流量和事件，所述时间包括行为；开始监测配电网络，使用安全事件和漏洞数据库与配电网络的监测数据进行比对；建立响应流程，在发现异常行为时启动所述响应流程进行处理。
132.在一种实施例中，上述方法可具体到如下步骤：
133.步骤一，部署配电网络安全监测系统，并对其进行配置和调试；
134.步骤二，对监测系统进行基准测试，以便了解正常的网络流量和行为；
135.步骤三，开始监测配电网络流量和事件，并使用安全事件和漏洞数据库进行
136.比对，以识别潜在的安全威胁；
137.步骤四，建立安全事件响应流程，并在发现异常行为时迅速响应和处理。
138.s403,监测配电网络异常行为，步骤包括：
139.对配电网络进行流量监测并进行配置和调试；分析配电网络流量和事件，使用安全时间和漏洞数据库与配电网络的监测数据进行比对；根据识别比对的结果，制定策列和规则并定期审查和更新；建立响应流程，在发现异常行为时启动流程进行处理。
140.在一种实施例中，上述方法可具体到如下步骤：
141.步骤一，部署配电网络流量监测系统，并对其进行配置和调试；
142.步骤二，分析配电网络流量和事件，并使用安全事件和漏洞数据库进行比对，
143.以识别潜在的安全威胁；
144.步骤三，根据监测结果，制定安全策略和规则，并定期审查和更新；
145.步骤四，建立安全事件响应流程，并在发现异常行为时迅速响应和处理。
146.s404，监测原始时域序列变化。
147.本发明技术方案主要通过针对配电网络数据进行抓取进行的网络抓包，针对配电网络，利用蜜罐技术、容器化技术进行攻防演练基础设施的搭建，基于hhm对配电网络进行建模，针对配电网络系统漏洞的主动扫描、自主感知和监测，通过检测变化，即可检测到原
始时域序列的变化，进而检测报文传输的，根据系统的特点和功能对其数据进行分析与学习，将得到的结果与专家知识结合，以此发现业务系统中的异常情况。
148.上述的监测变化是对抓包获取的网络流量数据进行监测，在本实施例中，具体是对目标数据进行流量监测。当流量中出现大量异常流量时，则认定此时出现异常。异常的情况有：数据分组大小异常，协议数据分布异常，网络连接状态异常，网络流量大小异常，网络数据分组数目异常。
149.针对网络安全需求和当前技术现状，拟研究结合人工智能的安全风险提示和防护技术。根据国家电网电力信息网络安全需求和当前主要的问题，结合工业协议，如iec-104，建立物联终端的业务场景行为安全检测判别技术，开展智能变电站/台区业务场景行为安全研究，保障和维护信息系统的安全运行的能力和效率，保证电力信息和网络的安全，解决分布式光伏接入配电网带来的多方所属、缺乏规划、分批建设、联合运营所带来的网络安全问题。下面将给出一种实施例。
150.首先建立面向电力场景的数据收集，包含物联终端的业务数据与智能变电站的各种行为数据，然后将数据进行数据的清晰、去重、降噪等一系列操作，基于现有数据构建面向业务场景的数据集，并将数据进行数据集划分。当构建充分的数据模型后，借助特征工程对数据集进行更加具体的处理，包括数据集的归一化、数据类型转换、数据值的转换与抽取、数据格式的转换，为建立可复用的机器学习数据集奠定基础。当完成整个数据集的处理之后，利用信息科学手段构建机器学习环境，搭建服务器与深度学习环境，与此同时针对具体的数据集和机器学习业务场景构建深度学习模型，实现加密流量多粒度精准识别。
151.其次开展物联节点的业务场景安全研究，结合之前的数据集与物联终端的安全行为进行数据模型的构建，首先对数据集采用数据科学工具进行关联分析与相似度聚类分析，首先建立物联终端业务场景的宏观安全概念。通过上述数据科学，在进一步丰富机器学习数据集的信息，特别是根据数据科学的结果对于机器学习的数据集进行标记，指引机器学习模型迭代和优化的方向。随后构建人工神经网络，进行电力信息与网络安全的模型迭代训练，根据训练结果进行多次循环，最后将得到的神经学习结果进行测试集验证，从而构建基于机器自学习的行为模型分析，实现基于物联终端进行业务行为的安全检测。在具备安全检测能力之后，不断更新网络识别的知识库，形成时空域内更新的端到端网络行为识别技术框架。然后开展分布式光伏智能变电站/台区业务场景行为安全研究。基于电力系统通信规约，获得变电站网络安全的数据集，使用电力系统通信规约协议解析工具、网络抓包工具汇聚智能变电站或者台区的网络流量数据，包含各种数据报文的目的地址、源地址、长度、协议类型、物理层链路地址与网络层地址，构建涵盖多协议、多层级、多来源、多目的的时空二维数据，通过网络攻防技术获取电力系统通信规约异常流量的特征，进行细分的网络异常流量分类，通过数据科学模型与信息模型构建异常电力系统通信规约报文的特征，根据不同类型的网络攻击方式对于智能变电站/台区的网络报文数据进行分析与学习，结合智能变电站/台区网络安全专家知识进行异常电力系统通信规约控制与传感行为的检测，实现局部发现与全局关联的异常加密流量检测技术研究。
152.本发明的有益效果在于，与现有技术相比，本发明技术方案更具有主动性，可以在配电网络被攻击时自动识别并防御，无需等待攻击者触发蜜罐；更具有实时性，可以实时监测流量并识别异常行为，及时对攻击配电网络的行为进行防御攻击，无需等待攻击者进入
配电网络或者蜜罐才发动监测和识别；更具有精确性，可以对配电网络流量进行深入的分析，能够更准确的识别攻击配电网络的攻击行为类别和攻击者的策略，传统的现有技术中蜜罐的识别精度比较低，容易被攻击者识别和规避；更具有高效性，可以自动对配电网络的流量进行分析和防御，减少人工干预的成本和风险，更快速的进行流程响应和防御攻击。
153.本公开可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质，其上载有用于使处理器实现本公开的各个方面的计算机可读程序指令。
154.计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、静态随机存取存储器(sram)、便携式压缩盘只读存储器(cd-rom)、数字多功能盘(dvd)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身，诸如无线电波或者其它自由传播的电磁波、通过波导或其它传输媒介传播的电磁波(例如，通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
155.这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。
156.用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(isa)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言—诸如smalltalk、c++等，以及常规的过程式编程语言—诸如“c”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(fpga)或可编程逻辑阵列(pla)，该电子电路可以执行计算机可读程序指令，从而实现本公开的各个方面。
157.最后应当说明的是，以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。

技术特征：
1.一种基于异常行为的自动防御方法，其特征在于，步骤包括：预设条件后从配电网络中抓取目标数据，分析所述目标数据并存储；通过蜜罐与容器化技术构建配电网络自动防御架构，部署环境，模拟异常行为，分析数据并得到分析结果；通过所述目标数据与配电网络自动防御架构整合分析，基于hhm协议构建威胁情报库，所述威胁情报库的功能包括态势察觉，态势理解和态势投射；主动扫描配电网络中的漏洞，自主感知未知威胁，监测配电网络中的异常行为并及时处理，所述异常行为还包括监测配电网络中原始时域序列变化的数据。2.根据权利要求1所述的基于异常行为的自动防御方法，其特征在于，所述预设条件抓取目标数据的预设条件包括：确定抓取方式；确定抓取目标，所述抓取目标的预设标准至少包括以下其中一项：目的地址，源地址，目标数据长度，协议类型，物理层链路地址，网络层链路地址；设置过滤条件，所述过滤条件至少包括以下其中一项：协议类型，源地址，目标地址。3.根据权利要求1所述的基于异常行为的自动防御方法，其特征在于，所述模拟异常行为包括模拟攻击，所述模拟攻击的步骤包括：设计攻击场景，包括攻击目标，攻击工具；涉及攻击策略，包括攻击方式，攻击流程；启动攻击流程；蜜罐监测和记录攻击行为，包括攻击流量，攻击日志，攻击痕迹，用于后续分析和评估演练效果；使用安全设备对攻击行为进行阻断和监测，进行演练响应和防御。4.根据权利要求1所述的基于异常行为的自动防御方法，其特征在于，所述分析结果的步骤包括：收集和整理攻击数据，包括攻击流量，攻击日志和攻击痕迹；对攻击数据继续宁分析和挖掘，识别攻击方式，攻击者来源和攻击目标；评估演练效果和安全性；生成评估报告，包括演练的目的，过程，结果以及建议改进措施。5.根据权利要求1所述的基于异常行为的自动防御方法，其特征在于，所述配电网络自动防御架构的构建方法包括：确定网络拓扑结构，包括确定所述网络拓扑结构的组成单元，确定所述组成单元间的互联方式，确定使用的技术是蜜罐和/或容器；选择蜜罐技术和部署所述蜜罐技术的策略，所述策略包括隐藏蜜罐的方式，蜜罐记录攻击行为的方式；制定蜜罐攻防细节；确定目标和评估标准。6.根据权利要求1所述的基于异常行为的自动防御方法，其特征在于，所述势态投射的步骤包括：态势量化评估，量化配电网络自动防御架构中节点的安全风险，评估节点的重要程度，
量化配电网络的整体安全风险；异常行为预测，通过融合算法对配电网络的状态进行预测；攻击溯源。7.根据权利要求1所述的基于异常行为的自动防御方法，其特征在于，所述主动扫描配电网络系统漏洞的方法包括：确定扫描范围；选择扫描方式并预设扫描参数；在所述扫描范围内开始扫描并在扫描完成后分析扫描数据生成分析结果；对所述分析结果中的漏洞进行优先级排序，制定漏洞修复计划；按照预设扫描参数，定期对所述扫描范围进行漏洞扫描并更新漏洞库和扫描工具。8.根据权利要求1所述的基于异常行为的自动防御方法，其特征在于，所述主动感知未知威胁的方法包括：对配电网络进行安全监测并进行配置和调试；对监测中的配电网络进行基准测试，所述基准测试包括监测配电网络的网络流量和事件，所述时间包括行为；开始监测配电网络，使用安全事件和漏洞数据库与配电网络的监测数据进行比对；建立响应流程，在发现异常行为时启动所述响应流程进行处理。9.根据权利要求1所述的基于异常行为的自动防御方法，其特征在于，所述监测配电网络中的异常行为方法包括：对配电网络进行流量监测并进行配置和调试；分析配电网络流量和事件，使用安全时间和漏洞数据库与配电网络的监测数据进行比对；根据识别比对的结果，制定策列和规则并定期审查和更新；建立响应流程，在发现异常行为时启动流程进行处理。10.根据权利要求5所述的基于异常行为的自动防御方法，其特征在于，所述蜜罐攻防细节包括预设攻击场景和目标，确定角色攻击手段和策略；所述角色包括攻击者和防守者。

技术总结
本发明公开了一种基于异常行为的自动防御方法，步骤包括：预设条件后从配电网络中抓取目标数据，分析所述目标数据并存储；通过蜜罐与容器化技术构建配电网络自动防御架构，部署环境，模拟异常行为，分析数据并得到分析结果；通过所述目标数据与配电网络自动防御架构整合分析，基于HHM协议构建威胁情报库，所述威胁情报库的功能包括态势察觉，态势理解和态势投射；主动扫描配电网络中的漏洞，自主感知未知威胁，监测配电网络中的异常行为并及时处理，所述异常行为还包括监测配电网络中原始时域序列变化的数据。本发明技术方案更具有主动性，实时性，精确性和高效性。精确性和高效性。精确性和高效性。


技术研发人员：王波 李晓龙 王晓康 段文奇 魏文婷 王宁 张治民 王峰 张庆平 景妍华 张翔 侯瑞 晏振宇 杨家玉
受保护的技术使用者：国网宁夏电力有限公司 国网宁夏电力有限公司电力科学研究院 华北电力大学
技术研发日：2023.08.03
技术公布日：2023/9/20