电力信息化及其网络安全主动防御技术浅谈

国电南瑞科技股份有限公司 王 均

传统的电力系统所建立的电力防御网络是被动的，它遵循被动防御机制，在主动防御方面建设并不到位，这导致诸多外来黑客不法入侵行为的增加。如今电力信息化行业发展加速，网络安全主动防御技术应运而生，新技术体系中所涵盖的技术内容是相当丰富的，例如本文中所希望研究的蜜罐蜜网主动防御技术系统，它可诱使外来黑客攻击者主动攻击蜜罐，进而获得攻击者的所有信息，将数据信息整合归纳建立大数据库，不断强化电力系统的威胁识别能力。在使用该技术后，电力企业防御网络就能做到预先了解未知攻击行为并加以分析研究，再提出相关防御策略，保证电力企业系统安全运行。

1 电力信息化及网络安全主动防御技术系统——蜜罐蜜网技术的基本理论

1.1 蜜罐蜜网技术的发展起源

蜜罐的发展起源思想来自于美国物理学家Clifford Stoll。他在加州大学的伯克利分校就读期间就已经对攻击行为检测产生了极为浓厚的研究兴趣，所以后来他专门提出了安全可控实验条件，分析了主动发布虚假信息的可能性，期待基于此来引诱、欺骗某些不法黑客入侵者能够主动攻击目标系统，进而确保被攻击一方获取攻击信息，建立大数据库，建立主动防御体系，这就是蜜罐技术的最初思想雏形。举个例子，如果一台计算机系统已经接入了互联网，它就能够与外部产生通信连接，就有被黑客攻击的可能性。而伴随外部黑客攻击者攻击方式的不断发展进步与变化，如果仅采用传统的防火墙或入侵检测技术明显不够，基本无法满足当前网络环境所提出的诸多安全需求，这也是蜜罐技术产生的原因所在。

蜜罐技术本身能够在十分复杂的环境中操作，它会提前配置一个漏洞系统，引诱攻击者主动进入到受控环境中进行攻击，此时系统就会里利用到蜜网监控方式来记录攻击者的所有行为举动，主动形成攻击行为分析记录。在结合大数据库已有数据和新加入数据，系统对于漏洞问题的分析是非常深入到位的，它甚至也会掌握攻击者所采用的工具与方法，做到对系统中漏洞的自动修补与完善，这就大幅提升了系统与网络的运行安全性。当攻击者再次攻击系统时就会失败。从某种程度来讲，蜜罐技术有效降低了攻击者成功攻击的可能性，确保电力系统网络提高安全保障等级，确保正常运行。

蜜罐蜜网技术的出现与实践应用已经获得了诸多社会安全组织机构的重视，它作为一种主动防御技术也建立了“蜜网研究联盟”、“蜜网邮件组”等，他们都在深入分析研究黑客技术内容，共享相关研究成果，主要对网络攻击、入侵技术等进行分析测试。在比较完毕技术之后捕捉信息、追根溯源、确保蜜罐蜜网技术体系成功建立，时刻保证电力系统网络运行安全。

1.2 蜜罐蜜网主动防御技术的基本特征

由蜜罐蜜网所建立的主动防御技术系统可实现对攻击者信息的主动大量收集，并在随后建立大数据系统，结合大量数据信息内容深入了解攻击者的攻击机制，以求达到维护电力系统网络安全的目的。客观讲这对于当前的电力系统信息化发展是十分有利的，因为从技术角度来讲它深入理解了外来攻击者的攻击机制与攻击内容，然后针对性维护网络系统安全，这对良好抵御攻击者的二度进攻效果明显。在这一过程中，蜜罐蜜网主动防御技术系统所建立核心技术体系就是蜜网，它与蜜罐形成相互分工，由蜜罐引诱外来攻击者，由蜜网负责收集攻击者数据信息。

虽然蜜网所收集的信息数量并不多但准确率极高，基本可达到99%以上。在这一信息收集过程中，蜜罐将会拖延外来攻击者的攻击时间，即让他们花费更多精力在蜜罐破解上，而蜜网则提供研究素材，深入了解黑客的各种攻击方法，改善防御系统漏洞问题，如此对提高网络系统防御能力而言价值作用很大。就实践成果看来蜜罐蜜网主动防御系统占用资源偏少，它并不会采用任何高级算法，只需要计算机操作系统就能连接网络快速制作蜜罐，且所制作的蜜罐都拥有统一规格，可与其它网络安全防御技术（如防火墙等）配合使用，在主动防御效果方面表现良好[1]。

1.3 蜜罐蜜网主动防御技术的实现条件

蜜罐蜜网主动防御技术实现的基础条件就是科学合理设计蜜网，它可配合蜜罐引诱外来攻击者，大量获取有价值数据信息。为此蜜网在设计过程中必须满足3点条件：要做到对数据采集与控制能力的提升，合理规划数据采集数量，将外来攻击者的攻击范围、攻击时间等限制在可接受、可控制范围内；第二，要提高对数据的捕获能力，保证利用数据捕获来获取蜜网上的攻击者信息，且必须保证不被攻击者察觉；第三，要提高数据的收集能力，在进行数据收集过程中研究蜜网所搜集、提供信息是否能够对电力系统网络产生威胁。

就整体而言，数据控制条件应该作为关键，要确保围绕数据控制条件建立最高优先级。若要构建蜜罐蜜网主动防御技术体系，满足其技术应用实现条件，就必须结合多点内容展开分析，确保蜜罐蜜网技术在数据收集、数据处理、数据应用方面做到技术应用到位，这也是在为蜜罐蜜网主动防御系统中的虚拟蜜网技术建设与应用奠定前提基础[2]。

2 蜜罐蜜网主动防御系统中的虚拟蜜网技术分析

所谓虚拟蜜网技术是蜜罐蜜网主动防御系统中的核心技术内容之一。在计算机系统独立运行多个应用程序过程中，系统必须配合多种操作系统与网络服务展开分析，此时就需要建立一个同步运行的虚拟网络环境。具体来讲，蜜网此时要与虚拟机之间建立关联关系，相互结合运行独立计算机系统中数据信息内容，确保实现对技术内容的统一化管理，简化维护管理技术流程。在这里蜜网所与虚拟机共同打造了一个相对独立的计算机系统，且虚拟机本身也会成为蜜罐蜜网主动防御系统中的关键，它其中会采用到大量软件技术，包括了UML、Virtual PC、VMware等。

在本文中专门举例VMware技术，它的技术应用范围是相当广泛的，且表现出了极强的功能性，对于系统的运行兼容能力也很强，可在Windows、OS等操作系统中建立技术体系[3]。另外VMware软件中配置了Ghost文件，这主要是用于蜜罐备份，且它在升级服务方面也表现出了极高效能，可建立完全不同的3种联网模式，其中就包括了桥接模式、主机模式以及NAT模式，3种联网模式可分别满足不同用户的不同系统建设与应用技术要求。就目前看来，在联合多台计算机组建管理端过程中可确保防御外来入侵者主动攻击行为，优化提升数据管控能力。而它的入侵检测系统则可实现主动防御，全面提升系统的网络安全维护能力，所以说虚拟蜜网技术的应用可信度是非常高的。

3 基于蜜罐蜜网主动防御技术支持的电力信息化行业主动防御网络系统构建

蜜罐蜜网主动防御技术内容、模式丰富，在通过蜜罐引诱、蜜网搜集数据的过程中也建立了大数据库，基本做到了对外来黑客入侵者的系统攻击主动预防。具体来说，在蜜罐蜜网主动防御技术的支持下，电力信息化行业可主动搭建主动防御网络系统，创建数据控制模块与数据捕捉模块，结合这两大模块形成一套完整的电力信息化网络主动防御系统[4]。

3.1 数据控制模块的设计与功能应用

蜜罐蜜网主动防御技术支持下的电力信息化网络系统首先要追求对输入信息数据的有效控制，这对于系统的整体稳定运行而言意义重大。比如说在配合黑客利用蜜罐蜜网主动攻击系统过程中，数据控制模块会采用到IPtables以及NIPS两大模块，主要可实现对数据的有效控制。这里专门以IPtables为例展开分析：

IPtables所建立的是电力信息化行业网络中的桌面级防火墙，它的主要工作任务就是控制蜜网数据，借此机会高筑蜜墙，如此可实现对电力信息化网络系统中的数据及数据包检查。在防火墙方面主要采用到-m limit计算与统计方法，该方法能够在短时间范围内快速技术，并设置合理的防御时间。就技术内容组成而言，IPtables数据控制模块中所采用的是密网数据控制系统Snort inline，它属于一种数据信息特征检测机制，可准确辨别哪些数据信息属于来自黑客的危险数据信息。在检测过程中，其检测对象就包括了各种数据包，深入研究可能来自于外部入侵者的某些非善意数据。而蜜网则同时运行，监控并限制数据包的输入数量，它就构建了IPtables与Snort inline之间的功能连带关系。

综上所述，上述IPtables就建立了一套完整的、基于自主规则的数据包监测体系，利用蜜网Snort inline优化分析所检测结果，实现对外部入侵者不利数据的有效整合，形成数据包。而在此刻，蜜网可实现对这些数据包的有效限制，如图1[5]。

图1 Snort inline与IPtables的关系示意图

参考图1内容，参考蜜网所搜集数据内容与数据实现过程，就建立了蜜墙Honeywall数据控制机制，它可实现对数据包的有效控制与调整，建立诱惑黑客攻击者对蜜墙主动进攻机制，确保对大量数据控制到位。而在对攻击包连接限制过程进行抑制过程中，就建立了一套完整的数据控制流程图，它可预先形成警报报送给技术管理人员（图2）[6]。

图2 蜜罐蜜网主动防御系统数据控制流程示意图

3.2 数据捕获模块的设计与功能应用

除建立数据控制模块以外，蜜罐蜜网主动防御系统也会设计创建数据捕获模块，这一模块是结合蜜网分析机制所建立的，它拥有数据快速捕获功能，可对数据的获取者信息进行分析，充分考量蜜罐技术获取数量的多少与真伪，同时评估所获取数据的真实价值。进一步讲，要建立蜜罐蜜网防火墙日志、形成Sebek客户端，这是数据捕获模块建立的重要基础，这其中就包括了防火墙日志。

在防火墙日志中是能够形成蜜网中大量的数据包的，这些数据包能够为数据捕获模块的构建奠定数据基础，即形成一套完整的大数据库运行机制，确保基于大数据基础之上再展开蜜罐蜜网主动防御技术应用过程。它在保证防火墙获取全面信息内容过程中，也能够做到对大量大数据包内容的严谨记载。就数据包中所记载的大量数据内容而言，它不但会记载数据包的通过状况，也会对数据包的内部数据内容进行详细记录与分析。

这里要对Sebek客户端进行分析，了解黑客外来入侵者的攻击过程，确保数据信息搜集到位。具体讲，就是要利用Sebek客户端来获取攻击者所残留的数据信息痕迹内容，深入分析外来入侵者的攻击过程，了解是哪些操作命令导致系统攻击行为的出现。基于上述论述，应深度分析Sebek客户端的基本工作原理，了解其对外数据传输的主要流程，它是直接传送信息数据到网络接口驱动程序中的，如此可保证驱动程序运行到位。而在这一过程中也需要分析控制网络接口，了解其驱动程序运行过程，建立控制网络接口，规避外来入侵者的网络监视行为，获取大量的Sebek重要数据信息内容，如此就能避免信息泄露问题的出现。具体到Sebek客户端，需要建立一套完整的Sebek Web大数据存储库，对黑客攻击者的各种信息内容进行分析，确保数据传输过程中数据丢失现象被合理控制，如此可确保对外来入侵者的攻击过程产生一定影响，合理引诱攻击行为[7]。

具体来说，在建立数据捕获模块过程中应分析其模块功能，配合蜜罐构建一套完整的数据获取机制，这是基础，可为数据分析提供重要保障。再者就是要快速还原攻击者的攻击过程，满足数据捕获过程中的技术应用流程，建立一套完整的Sebek客户端，对黑客攻击行为信息数据内容进行详细分析，保证时刻做到对系统行为的记录。具体讲就是要建立隐匿通道，对数据传送过程进行监视，确保所有数据都能被传送到Sebek服务器中，结合查询与浏览功能捕获数据内容。

具体到蜜网结构建设中，应参考运用各种蜜罐来安装Sebek客户端，大量捕获黑客外来入侵者对蜜罐的攻击操作行为，然后将来自于入侵者的攻击数据信息传送到Sebek客户端服务器中，深度了解攻击者思想行为，再参考结合数据捕获过程来建立数据捕获模块。正是基于这一操作行为，可实现对蜜罐蜜网主动防御系统的深入了解与运用，这对电力信息化网络建设而言是非常有益的。

综上所述，应该基于数据控制模块、数据捕获模块两大模块来建立蜜罐蜜网主动防御系统，满足电力信息化网络建设要求，实现对外来入侵者黑客数据信息的主动防御与二度利用。换言之，就是在蜜罐蜜网基础之上重点分析主动防御系统的数据控制模块有效内容，设置良好的自动报警与数据分析分支系统[8]。

3.3 基于蜜罐主动防御技术支持下的电力信息化网络主动防御系统攻击测试

要结合电力信息化网络主动防御系统建立蜜罐蜜网主动防御技术体系，为此需要针对黑客攻击展开测试检验，例如建立一套蜜罐扫描攻击测试机制。该攻击测试机制中首先要在宿主主机上运行Zenmap，对虚拟机蜜罐进行全面扫描控制，保证对端口部分进行扫描处理，生成一条完整独立的蜜罐蜜网扫描图，并从中提取蜜罐扫描攻击数据。在获取数据后，需要提出拒绝服务器攻击测试的相关内容，保证对电力系统的拒绝服务攻击过程进行深度检测，客观识别存在于系统中的各个类型访问行为，由此可建立一套拒绝服务攻击的测试体系，对实验测试参数结果进行分析[9]。

具体来说，在网络主动防御系统攻击测试中就包括了固定DDOS、Flash Crowd以及各项合法访问机制，要配合实验结果建立攻击测试中的X/Y轴坐标平面，如此可实现对不同类型向量点分布内容的分析，构建坐标平面区域，如此可客观真实反映外来入侵者的攻击行为与攻击数据，客观反映攻击特征[10]。

综上，在当前的电力信息化行业网络中，积极采用安全主动的防御技术，构建技术体系很有必要。本文中基于大数据技术所建立的蜜罐蜜网主动防御技术系统，在建立数据控制模块与数据捕获模块的过程中实现了对电力信息化网络的安全主动防御能力优化，大量增加网络节点，确保实现对系统检测能力的有效扩展甚至是重新规划，对提高电力信息化网络系统长期安全稳定运行绝对是十分有利的。