一种基于多源蜜罐的集中监控系统的制作方法

1.本发明涉及电力监控技术领域，具体为一种基于多源蜜罐的集中监控系统。


背景技术：

2.随着电网数字化转型，物联网新技术在电网行业中发挥越来越重要的作用，随着物联终端不断增长，网络安全防护方面的挑战也不断加大。其中在物联网络环境中部署蜜罐诱捕攻击者是网络安全防护方法之一，但是市面上均为单一的蜜罐系统，较难适应电力物联网络点多面广的特点，而且各类品牌的蜜罐产品(以下统称为多源蜜罐)之间产生的数据不相关联，不能共享，此外，在传统的运维环境中，在查看各种蜜罐系统时需要多次登录，查看界面繁多，更新管理的大部分工作大多是手工操作，即使是简单的系统更改，也需要运维人员逐个登录系统，如果遇到问题，管理员就会在各种平台之间来回查询，不断重复这种工作方式。


技术实现要素：

3.本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本技术的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。
4.鉴于上述现有存在的问题，提出了本发明。
5.因此，本发明提供了一种基于多源蜜罐的集中监控系统，能够通过对多源蜜罐产品进行统一建模，对蜜罐产品服务建立欺骗服务映射关系，形成统一的布防建模方案。
6.为解决上述技术问题，本发明提供如下技术方案，包括：
7.将多源蜜罐统一建模、统一接入；
8.布防统一建模；
9.进行攻击事件集中展示，实时关联告警；
10.集中监视多源蜜罐的运行状态。
11.作为本发明所述的用于基于多源蜜罐的集中监控系统的一种优选方案，其中：所述多源蜜罐包括所有品类的蜜罐产品。
12.作为本发明所述的用于基于多源蜜罐的集中监控系统的一种优选方案，其中：所述统一建模包括：系统管理平台建立统一的结构管理多源蜜罐服务器以及蜜罐服务；将蜜罐服务器id、蜜罐服务器ip、蜜罐服务器名称等信息作为管理蜜罐服务器的标准接入数据结构，再建立子表将蜜罐服务ip、蜜罐服务欺骗端口、蜜罐服务引流端口等信息作为管理蜜罐服务信息的标准接入数据结构。
13.作为本发明所述的用于基于多源蜜罐的集中监控系统的一种优选方案，其中：所述统一接入包括：系统管理平台支持多种数据接入方式，兼容多源蜜罐；支持api接入，利用第三方蜜罐服务器的api接口进行数据对接；支持syslog接入，利用在第三方蜜罐配置syslog服务器进行数据对接；支持数据库直接读取，利用直接读取第三方蜜罐服务器进行
数据对接。
14.作为本发明所述的用于基于多源蜜罐的集中监控系统的一种优选方案，其中：所述布防统一建模包括：系统管理平台建立欺骗服务模板库，将蜜罐以及蜜罐服务进行有意组合生成多种欺骗服务模板。
15.作为本发明所述的用于基于多源蜜罐的集中监控系统的一种优选方案，其中：所述攻击事件集中展示包括：攻击行为展示，系统管理平台分析多源蜜罐事件的攻击类型、攻击描述，统一展示通信五元组、事件取证信息、攻击事件时间线等内容。
16.作为本发明所述的用于基于多源蜜罐的集中监控系统的一种优选方案，其中：所述攻击事件集中展示包括：攻击溯源分析，系统管理平台接收大量多源蜜罐上送的各种攻击类型数据，结合大数据技术进行数据存储、数据溯源分析，并生成分析报告。
17.作为本发明所述的用于基于多源蜜罐的集中监控系统的一种优选方案，其中：所述攻击事件集中展示包括：事件统计分析，系统管理平台接收大量多源蜜罐上送的攻击行为事件，根据时间、空间等维度进行多源统一展示，支持多样化可视图表展示。
18.作为本发明所述的用于基于多源蜜罐的集中监控系统的一种优选方案，其中：所述实时关联告警包括：系统管理平台建立告警统一建模技术，对多源蜜罐产生的ssh攻击、http攻击、rdp攻击等多种网络安全攻击形式的告警完成兼容处理，按相同告警规则完成归并，统一实时展示。
19.作为本发明所述的用于基于多源蜜罐的集中监控系统的一种优选方案，其中：所述集中监视多源蜜罐的运行状态包括：系统管理平台通过分析已接入的多源蜜罐的运行特征，采集关键特征数据，集中监视各个蜜罐服务器的运行状态，包括实时的cpu使用率、内存使用率、硬盘占用率，并支持手动配置资源限制。
20.本发明的有益效果：本发明提供的基于多源蜜罐的集中监控系统通过对多源蜜罐产品进行统一建模，对蜜罐产品服务建立欺骗服务映射关系，形成统一的布防建模方案。该系统能够完成对站端的欺骗引流ip的攻击引流，及时发现电力系统网络中的网络攻击并进行集中实时监视，使得系统能够全方面保障电力系统的有序运转。
21.市面上蜜罐产品种类繁多，已有相对成熟的网络欺骗技术，为用户提供主动的防御手段。但是电力监控行业面对市面多样的蜜罐产品选择时，缺乏客观且准确的产品对比依据，面临着选型困难，甚至选择了几款蜜罐产品由于缺乏运维管理平台，运维管理工作量大，同时也未能施展其效用。
22.建设多源蜜罐集中监视管理平台，通过结合市面上多源蜜罐产品能力，形成平台引导、规范应用的生态，为多源蜜罐产品提供“比武场”，甄选出满足电力监控系统使用环境和平台功能要求的蜜罐产品。平台通过调用多源蜜罐产品功能，充分发挥其“大脑”价值，与引流“触手”联动，将蜜罐产品价值发挥极致。
附图说明
23.为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。其中：
24.图1为本发明第一个实施例所述的一种基于多源蜜罐的集中监控系统中统一建模工作原理图；
25.图2为本发明第一个实施例所述的一种基于多源蜜罐的集中监控系统中集中监视工作原理图；
26.图3为本发明第二个实施例所述的一种基于多源蜜罐的集中监控系统的仿真实验工作原理图。
具体实施方式
27.为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合说明书附图对本发明的具体实施方式做详细的说明，显然所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明的保护的范围。
28.在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是本发明还可以采用其他不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广，因此本发明不受下面公开的具体实施例的限制。
29.其次，此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例，也不是单独的或选择性的与其他实施例互相排斥的实施例。
30.本发明结合示意图进行详细描述，在详述本发明实施例时，为便于说明，表示器件结构的剖面图会不依一般比例作局部放大，而且所述示意图只是示例，其在此不应限制本发明保护的范围。此外，在实际制作中应包含长度、宽度及深度的三维空间尺寸。
31.同时在本发明的描述中，需要说明的是，术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一、第二或第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。
32.本发明中除非另有明确的规定和限定，术语“安装、相连、连接”应做广义理解，例如：可以是固定连接、可拆卸连接或一体式连接；同样可以是机械连接、电连接或直接连接，也可以通过中间媒介间接相连，也可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。
33.实施例1
34.参照图1-2，为本发明的第一个实施例，该实施例提供了一种基于多源蜜罐的集中监控系统，包括：
35.s1：将多源蜜罐统一建模、统一接入；
36.应说明的是，所述多源蜜罐包括所有品类的蜜罐产品。管理平台建立统一的结构管理多源蜜罐服务器以及蜜罐服务。将蜜罐服务器id、蜜罐服务器ip、蜜罐服务器名称等信息作为管理蜜罐服务器的标准接入数据结构，再建立子表将蜜罐服务ip、蜜罐服务欺骗端口、蜜罐服务引流端口等信息作为管理蜜罐服务信息的标准接入数据结构。管理平台支持多种数据接入方式，兼容多源蜜罐。支持api接入，利用第三方蜜罐服务器的api接口进行数
据对接；支持syslog接入，利用在第三方蜜罐配置syslog服务器进行数据对接；支持数据库直接读取，利用直接读取第三方蜜罐服务器进行数据对接。
37.更进一步的，在管理平台中建立多源蜜罐数据标准数据接入结构以及支持兼容多种接入方式，当多源蜜罐接入管理平台时，多源蜜罐须和蜜罐管理平台部署在同一局域网内，实现网络可达。
38.通过多源蜜罐的api接口、数据库直接读取以及syslog等方式，将多源蜜罐所产生的攻击事件数据上传至蜜罐管理平台数据库，对http、ftp、ssh等各类蜜罐的服务进行统一建模并分析其攻击特征，组合形成蜜罐服务统一的欺骗模板库，用以进行引流布防；
39.完成对各类蜜罐产品的统一建模，统一数据接入数据结构，统一蜜罐事件数据的数据结构，有助于适应电力物联网络点多面广的特点，支持多种蜜罐产品的数据关联分析，降低运维人员工作量。
40.s2：布防统一建模；
41.应说明的是，管理平台建立欺骗服务模板库，将蜜罐以及蜜罐服务进行有意组合生成多种欺骗服务模板，作为布防工具使用。通过在引流装置中建立引流ip和欺骗服务模板的映射关系完成布防操作，形成统一布防图。
42.更进一步的，在实时布防模块中，通过对引流ip和欺骗服务模板建立映射关系，完成对站端空闲引流ip的统一布防操作；通过在多源蜜罐管理平台侧部署多个业务蜜罐或蜜网，可在对外的边界设备，将这些多个蜜罐或蜜网进行引流映射，通过技术引流的方式，将所有攻击流量通过引流ip以及引流通道引入该蜜罐或蜜网中，从而对攻击者的登录方式、所使用的嗅探工具、攻击意图、所利用的漏洞等进行数据的收集，完成对攻击者/攻击事件的识别，保障电力监控系统的安全运行。
43.s3：进行攻击事件集中展示，实时关联告警；
44.应说明的是，管理平台对已接入的多源蜜罐捕捉到的攻击流量，形成攻击事件，主要以攻击行为、攻击溯源分析、事件统计分析三个方面内容进行集中展示。
45.更进一步的，攻击行为展示表现为管理平台分析多源蜜罐事件的攻击类型、攻击描述，统一展示通信五元组、事件取证信息、攻击事件时间线等内容。
46.攻击溯源分析表现为管理平台接收大量多源蜜罐上送的各种攻击类型数据，结合大数据技术进行数据存储、数据溯源分析，并生成分析报告。
47.事件统计分析表现为管理平台接收大量多源蜜罐上送的攻击行为事件，根据时间、空间等维度进行多源统一展示，支持多样化可视图表展示。
48.还应说明的是，管理平台建立告警统一建模技术，对多源蜜罐产生的ssh攻击、http攻击、rdp攻击等多种网络安全攻击形式的告警完成兼容处理，按相同告规则完成归并，统一实时展示。
49.更进一步的，利用蜜罐欺骗服务模板与引流ip建立欺骗服务映射关系和分布式引流容器部署完成对电力网络的实时布防。一旦引流节点的引流ip收到攻击，即可通过引流通道将攻击流量发送至多源蜜罐，多源蜜罐将捕捉到恶意攻击流量进行数据分析攻击特征匹配产生攻击日志，蜜罐主站平台随即通过api、数据库直接读取或syslog等方式获取到攻击日志存储入库，从而在前端进行攻击行为展示，并进行攻击事件统计分析，多源可视化展示。
50.其中恶意访问行为包含ssh攻击、http攻击、rdp攻击等多种网络安全攻击形式，多源蜜罐捕捉的攻击流量经过蜜罐管理平台的解析生成攻击事件，管理平台可区分攻击事件来源。
51.管理平台结合大数据技术对攻击事件进行数据存储、告警分析处理，按相同告警规则对攻击事件完成归并且向用户实时推送告警。通过告警数据溯源分析功能，识别出告警来源为具体某品牌蜜罐，整合多源蜜罐的攻击事件。通过告警分析处理功能，分析攻击者的攻击频次、攻击类型、攻击对象等攻击特征信息。
52.事件溯源分析模块以大数据技术作为支撑，通过在大量的数据中溯源整个攻击事件流，展示整个攻击事件流程；能够还原攻击流程，找到真实攻击源，保护电力网络环境安全运行。
53.s4：集中监视多源蜜罐的运行状态。
54.应说明的是，管理平台通过分析已接入的多源蜜罐的运行特征，采集关键特征数据，集中监视各个蜜罐服务器的运行状态，包括实时的cpu使用率、内存使用率、硬盘占用率，并支持手动配置资源限制。
55.实施例2
56.参照图3，为本发明的第二个实施例，为了验证本发明的有益效果，通过仿真实验进行科学论证。
57.实施流程如下：
58.s1：首先通过api/syslog/数据库读取等方式获取多源蜜罐的蜜罐服务数据；
59.s2：接着利用蜜罐统一建模技术对蜜罐服务进行建模，构建多源蜜罐欺骗服务模板库；
60.s3：根据欺骗服务模板库中的服务数据组合形成布防使用的欺骗服务模板；
61.s4：实时布防根据欺骗服务模板与引流ip建立映射关系；
62.s5：配置引流端口启动引流ip的欺骗服务引流；
63.s6：当攻击者进行网络访问时，访问流量被引流至多源蜜罐中；
64.s7：多源蜜罐分析访问流量，匹配攻击行为特征，产生攻击日志；
65.s8：大数据模块大数据接收日志数据进行攻击特征分析、事件统计、事件溯源；
66.s9：事件关联产生实时攻击告警，告警溯源相关攻击事件；
67.s10：集中监视模块展示事件、告警等数据供运维人员阅览及时发现网络攻击并进行相关处理；
68.从该仿真实验中可以看出，本发明能够完成对站端的欺骗引流ip的攻击引流，及时发现电力系统网络中的网络攻击并进行集中实时监视，使得系统能够全方面保障电力系统的有序运转。
69.应当认识到，本发明的实施例可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术-包括配置有计算机程序的非暂时性计算机可读存储介质在计算机程序中实现，其中如此配置的存储介质使得计算机以特定和预定义的方式操作——根据在具体实施例中描述的方法和附图。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系统通信。然而，若需要，该程序可以以汇编或机器语言实现。在任何情况下，该语言可以是编
译或解释的语言。此外，为此目的该程序能够在编程的专用集成电路上运行。
70.此外，可按任何合适的顺序来执行本文描述的过程的操作，除非本文另外指示或以其他方式明显地与上下文矛盾。本文描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下执行，并且可作为共同地在一个或多个处理器上执行的代码(例如，可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。
71.进一步，所述方法可以在可操作地连接至合适的任何类型的计算平台中实现，包括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成的计算机平台、或者与带电粒子工具或其它成像装置通信等等。本发明的各方面可以以存储在非暂时性存储介质或设备上的机器可读代码来实现，无论是可移动的还是集成至计算平台，如硬盘、光学读取和/或写入存储介质、ram、rom等，使得其可由可编程计算机读取，当存储介质或设备由计算机读取时可用于配置和操作计算机以执行在此所描述的过程。此外，机器可读代码，或其部分可以通过有线或无线网络传输。当此类媒体包括结合微处理器或其他数据处理器实现上文所述步骤的指令或程序时，本文所述的发明包括这些和其他不同类型的非暂时性计算机可读存储介质。当根据本发明所述的方法和技术编程时，本发明还包括计算机本身。计算机程序能够应用于输入数据以执行本文所述的功能，从而转换输入数据以生成存储至非易失性存储器的输出数据。输出信息还可以应用于一个或多个输出设备如显示器。在本发明优选的实施例中，转换的数据表示物理和有形的对象，包括显示器上产生的物理和有形对象的特定视觉描绘。
72.如在本技术所使用的，术语“组件”、“模块”、“系统”等等旨在指代计算机相关实体，该计算机相关实体可以是硬件、固件、硬件和软件的结合、软件或者运行中的软件。例如，组件可以是，但不限于是：在处理器上运行的处理、处理器、对象、可执行文件、执行中的线程、程序和/或计算机。作为示例，在计算设备上运行的应用和该计算设备都可以是组件。一个或多个组件可以存在于执行中的过程和/或线程中，并且组件可以位于一个计算机中以及/或者分布在两个或更多个计算机之间。此外，这些组件能够从在其上具有各种数据结构的各种计算机可读介质中执行。这些组件可以通过诸如根据具有一个或多个数据分组(例如，来自一个组件的数据，该组件与本地系统、分布式系统中的另一个组件进行交互和/或以信号的方式通过诸如互联网之类的网络与其它系统进行交互)的信号，以本地和/或远程过程的方式进行通信。
73.应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。