[发明专利]一种基于蜜网的工业控制网络主动防御系统及其方法

权利要求书

1.一种基于蜜网的工业控制网络主动防御系统，其特征在于，其包含以下三个组件：信息收集组件、流量分析组件与知识管理组件；其中，

所述的信息收集组件包括工业控制系统蜜网、网络爬虫、流量镜像；其中：

所述的工业控制系统蜜网被部署在三个层：外部网络、隔离区和工业控制系统网络，分别构成外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐；所述的外部网络蜜罐用于捕获来自外部攻击者的攻击流量，从而提供最新且流行的攻击模式；所述的隔离区蜜罐用于检测对受保护的企业网络的攻击和接收来自现有攻击工具的攻击流量，以更新当前流量分析模型；所述的工业控制系统网络蜜罐用于捕获针对工业控制系统网络的攻击；

所述的网络爬虫设置于蜜网控制器中，蜜网控制器设置于隔离区，用于存储所有攻击者的威胁情报，外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐均能查询这些情报；

所述的流量镜像将工业控制系统网络的流量导入工业控制系统网络蜜罐，工业控制系统网络蜜罐构建工业控制系统通信模式库，实时监控工业控制系统网络；

所述的流量分析组件包括流量处理模块、流量建模模块和流量评估模块，外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐中均嵌入流量分析组件，以提高流量分析的实时性，降低了各蜜罐中数据传输的负载；其中：

所述流量处理模块从会话提取开始，将连接流减少到工业控制系统协议级会话流，基于所提取的会话，外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐均从沟通通信策略、通信强度和通信内容三个方面刻画了工业控制系统网络的流量的通信模式：沟通通信策略用于评估沟通通信过程的复杂性；通信强度用于评估会话中工业控制系统协议流量的负载和数量；通信内容用于描述工业控制系统协议数据包的数据部分；

所述的流量建模模块将流量分析模型分成以下两步：第一步、用CART算法构造二叉决策树，使用基尼系数来选择分区特性；第二步、利用OVO方法构造多分类模型OVO-CART，OVO方法即One-Vs-One方法；

所述的流量评估模块从异常流量、威胁级别和攻击组织三个方面对工业控制系统网络流量进行评估；其中：异常流量评估涉及两个问题：通信模式是否异常；传播模式是否呈现出一种新的传播模式；同时，所述的流量评估模块将通信模式的威胁等级划分为低、中、高三个等级；流量评估模块通过两种方法发现通信模式的攻击组织，当通信模式由外部IP生成时，首先在知识图中搜索其组织信息，其次尝试用网络爬虫收集威胁信息，该网络爬虫包含组织信息并用于更新知识图；如果威胁情报不可用，则通过通信模式指纹发现通信模式的攻击组织；

所述的知识管理组件通过知识图来管理工业控制系统网络的所有信息，分为内部网络知识图和外部网络知识图两个子图，均存储在图数据库中，内部网络知识图负责管理存储在工业控制系统网络蜜罐和蜜网控制器中的工业控制系统网络信息，外部网络知识图负责管理存储在蜜网控制器中的外部网络信息和威胁智能。