電力信息化及其網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)淺談

國(guó)電南瑞科技股份有限公司 王 均

傳統(tǒng)的電力系統(tǒng)所建立的電力防御網(wǎng)絡(luò)是被動(dòng)的，它遵循被動(dòng)防御機(jī)制，在主動(dòng)防御方面建設(shè)并不到位，這導(dǎo)致諸多外來(lái)黑客不法入侵行為的增加。如今電力信息化行業(yè)發(fā)展加速，網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)應(yīng)運(yùn)而生，新技術(shù)體系中所涵蓋的技術(shù)內(nèi)容是相當(dāng)豐富的，例如本文中所希望研究的蜜罐蜜網(wǎng)主動(dòng)防御技術(shù)系統(tǒng)，它可誘使外來(lái)黑客攻擊者主動(dòng)攻擊蜜罐，進(jìn)而獲得攻擊者的所有信息，將數(shù)據(jù)信息整合歸納建立大數(shù)據(jù)庫(kù)，不斷強(qiáng)化電力系統(tǒng)的威脅識(shí)別能力。在使用該技術(shù)后，電力企業(yè)防御網(wǎng)絡(luò)就能做到預(yù)先了解未知攻擊行為并加以分析研究，再提出相關(guān)防御策略，保證電力企業(yè)系統(tǒng)安全運(yùn)行。

1 電力信息化及網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)系統(tǒng)——蜜罐蜜網(wǎng)技術(shù)的基本理論

1.1 蜜罐蜜網(wǎng)技術(shù)的發(fā)展起源

蜜罐的發(fā)展起源思想來(lái)自于美國(guó)物理學(xué)家Clifford Stoll。他在加州大學(xué)的伯克利分校就讀期間就已經(jīng)對(duì)攻擊行為檢測(cè)產(chǎn)生了極為濃厚的研究興趣，所以后來(lái)他專門提出了安全可控實(shí)驗(yàn)條件，分析了主動(dòng)發(fā)布虛假信息的可能性，期待基于此來(lái)引誘、欺騙某些不法黑客入侵者能夠主動(dòng)攻擊目標(biāo)系統(tǒng)，進(jìn)而確保被攻擊一方獲取攻擊信息，建立大數(shù)據(jù)庫(kù)，建立主動(dòng)防御體系，這就是蜜罐技術(shù)的最初思想雛形。舉個(gè)例子，如果一臺(tái)計(jì)算機(jī)系統(tǒng)已經(jīng)接入了互聯(lián)網(wǎng)，它就能夠與外部產(chǎn)生通信連接，就有被黑客攻擊的可能性。而伴隨外部黑客攻擊者攻擊方式的不斷發(fā)展進(jìn)步與變化，如果僅采用傳統(tǒng)的防火墻或入侵檢測(cè)技術(shù)明顯不夠，基本無(wú)法滿足當(dāng)前網(wǎng)絡(luò)環(huán)境所提出的諸多安全需求，這也是蜜罐技術(shù)產(chǎn)生的原因所在。

蜜罐技術(shù)本身能夠在十分復(fù)雜的環(huán)境中操作，它會(huì)提前配置一個(gè)漏洞系統(tǒng)，引誘攻擊者主動(dòng)進(jìn)入到受控環(huán)境中進(jìn)行攻擊，此時(shí)系統(tǒng)就會(huì)里利用到蜜網(wǎng)監(jiān)控方式來(lái)記錄攻擊者的所有行為舉動(dòng)，主動(dòng)形成攻擊行為分析記錄。在結(jié)合大數(shù)據(jù)庫(kù)已有數(shù)據(jù)和新加入數(shù)據(jù)，系統(tǒng)對(duì)于漏洞問題的分析是非常深入到位的，它甚至也會(huì)掌握攻擊者所采用的工具與方法，做到對(duì)系統(tǒng)中漏洞的自動(dòng)修補(bǔ)與完善，這就大幅提升了系統(tǒng)與網(wǎng)絡(luò)的運(yùn)行安全性。當(dāng)攻擊者再次攻擊系統(tǒng)時(shí)就會(huì)失敗。從某種程度來(lái)講，蜜罐技術(shù)有效降低了攻擊者成功攻擊的可能性，確保電力系統(tǒng)網(wǎng)絡(luò)提高安全保障等級(jí)，確保正常運(yùn)行。

蜜罐蜜網(wǎng)技術(shù)的出現(xiàn)與實(shí)踐應(yīng)用已經(jīng)獲得了諸多社會(huì)安全組織機(jī)構(gòu)的重視，它作為一種主動(dòng)防御技術(shù)也建立了“蜜網(wǎng)研究聯(lián)盟”、“蜜網(wǎng)郵件組”等，他們都在深入分析研究黑客技術(shù)內(nèi)容，共享相關(guān)研究成果，主要對(duì)網(wǎng)絡(luò)攻擊、入侵技術(shù)等進(jìn)行分析測(cè)試。在比較完畢技術(shù)之后捕捉信息、追根溯源、確保蜜罐蜜網(wǎng)技術(shù)體系成功建立，時(shí)刻保證電力系統(tǒng)網(wǎng)絡(luò)運(yùn)行安全。

1.2 蜜罐蜜網(wǎng)主動(dòng)防御技術(shù)的基本特征

由蜜罐蜜網(wǎng)所建立的主動(dòng)防御技術(shù)系統(tǒng)可實(shí)現(xiàn)對(duì)攻擊者信息的主動(dòng)大量收集，并在隨后建立大數(shù)據(jù)系統(tǒng)，結(jié)合大量數(shù)據(jù)信息內(nèi)容深入了解攻擊者的攻擊機(jī)制，以求達(dá)到維護(hù)電力系統(tǒng)網(wǎng)絡(luò)安全的目的?？陀^講這對(duì)于當(dāng)前的電力系統(tǒng)信息化發(fā)展是十分有利的，因?yàn)閺募夹g(shù)角度來(lái)講它深入理解了外來(lái)攻擊者的攻擊機(jī)制與攻擊內(nèi)容，然后針對(duì)性維護(hù)網(wǎng)絡(luò)系統(tǒng)安全，這對(duì)良好抵御攻擊者的二度進(jìn)攻效果明顯。在這一過程中，蜜罐蜜網(wǎng)主動(dòng)防御技術(shù)系統(tǒng)所建立核心技術(shù)體系就是蜜網(wǎng)，它與蜜罐形成相互分工，由蜜罐引誘外來(lái)攻擊者，由蜜網(wǎng)負(fù)責(zé)收集攻擊者數(shù)據(jù)信息。

雖然蜜網(wǎng)所收集的信息數(shù)量并不多但準(zhǔn)確率極高，基本可達(dá)到99%以上。在這一信息收集過程中，蜜罐將會(huì)拖延外來(lái)攻擊者的攻擊時(shí)間，即讓他們花費(fèi)更多精力在蜜罐破解上，而蜜網(wǎng)則提供研究素材，深入了解黑客的各種攻擊方法，改善防御系統(tǒng)漏洞問題，如此對(duì)提高網(wǎng)絡(luò)系統(tǒng)防御能力而言價(jià)值作用很大。就實(shí)踐成果看來(lái)蜜罐蜜網(wǎng)主動(dòng)防御系統(tǒng)占用資源偏少，它并不會(huì)采用任何高級(jí)算法，只需要計(jì)算機(jī)操作系統(tǒng)就能連接網(wǎng)絡(luò)快速制作蜜罐，且所制作的蜜罐都擁有統(tǒng)一規(guī)格，可與其它網(wǎng)絡(luò)安全防御技術(shù)（如防火墻等）配合使用，在主動(dòng)防御效果方面表現(xiàn)良好[1]。

1.3 蜜罐蜜網(wǎng)主動(dòng)防御技術(shù)的實(shí)現(xiàn)條件

蜜罐蜜網(wǎng)主動(dòng)防御技術(shù)實(shí)現(xiàn)的基礎(chǔ)條件就是科學(xué)合理設(shè)計(jì)蜜網(wǎng)，它可配合蜜罐引誘外來(lái)攻擊者，大量獲取有價(jià)值數(shù)據(jù)信息。為此蜜網(wǎng)在設(shè)計(jì)過程中必須滿足3點(diǎn)條件：要做到對(duì)數(shù)據(jù)采集與控制能力的提升，合理規(guī)劃數(shù)據(jù)采集數(shù)量，將外來(lái)攻擊者的攻擊范圍、攻擊時(shí)間等限制在可接受、可控制范圍內(nèi)；第二，要提高對(duì)數(shù)據(jù)的捕獲能力，保證利用數(shù)據(jù)捕獲來(lái)獲取蜜網(wǎng)上的攻擊者信息，且必須保證不被攻擊者察覺；第三，要提高數(shù)據(jù)的收集能力，在進(jìn)行數(shù)據(jù)收集過程中研究蜜網(wǎng)所搜集、提供信息是否能夠?qū)﹄娏ο到y(tǒng)網(wǎng)絡(luò)產(chǎn)生威脅。

就整體而言，數(shù)據(jù)控制條件應(yīng)該作為關(guān)鍵，要確保圍繞數(shù)據(jù)控制條件建立最高優(yōu)先級(jí)。若要構(gòu)建蜜罐蜜網(wǎng)主動(dòng)防御技術(shù)體系，滿足其技術(shù)應(yīng)用實(shí)現(xiàn)條件，就必須結(jié)合多點(diǎn)內(nèi)容展開分析，確保蜜罐蜜網(wǎng)技術(shù)在數(shù)據(jù)收集、數(shù)據(jù)處理、數(shù)據(jù)應(yīng)用方面做到技術(shù)應(yīng)用到位，這也是在為蜜罐蜜網(wǎng)主動(dòng)防御系統(tǒng)中的虛擬蜜網(wǎng)技術(shù)建設(shè)與應(yīng)用奠定前提基礎(chǔ)[2]。

2 蜜罐蜜網(wǎng)主動(dòng)防御系統(tǒng)中的虛擬蜜網(wǎng)技術(shù)分析

所謂虛擬蜜網(wǎng)技術(shù)是蜜罐蜜網(wǎng)主動(dòng)防御系統(tǒng)中的核心技術(shù)內(nèi)容之一。在計(jì)算機(jī)系統(tǒng)獨(dú)立運(yùn)行多個(gè)應(yīng)用程序過程中，系統(tǒng)必須配合多種操作系統(tǒng)與網(wǎng)絡(luò)服務(wù)展開分析，此時(shí)就需要建立一個(gè)同步運(yùn)行的虛擬網(wǎng)絡(luò)環(huán)境。具體來(lái)講，蜜網(wǎng)此時(shí)要與虛擬機(jī)之間建立關(guān)聯(lián)關(guān)系，相互結(jié)合運(yùn)行獨(dú)立計(jì)算機(jī)系統(tǒng)中數(shù)據(jù)信息內(nèi)容，確保實(shí)現(xiàn)對(duì)技術(shù)內(nèi)容的統(tǒng)一化管理，簡(jiǎn)化維護(hù)管理技術(shù)流程。在這里蜜網(wǎng)所與虛擬機(jī)共同打造了一個(gè)相對(duì)獨(dú)立的計(jì)算機(jī)系統(tǒng)，且虛擬機(jī)本身也會(huì)成為蜜罐蜜網(wǎng)主動(dòng)防御系統(tǒng)中的關(guān)鍵，它其中會(huì)采用到大量軟件技術(shù)，包括了UML、Virtual PC、VMware等。

在本文中專門舉例VMware技術(shù)，它的技術(shù)應(yīng)用范圍是相當(dāng)廣泛的，且表現(xiàn)出了極強(qiáng)的功能性，對(duì)于系統(tǒng)的運(yùn)行兼容能力也很強(qiáng)，可在Windows、OS等操作系統(tǒng)中建立技術(shù)體系[3]。另外VMware軟件中配置了Ghost文件，這主要是用于蜜罐備份，且它在升級(jí)服務(wù)方面也表現(xiàn)出了極高效能，可建立完全不同的3種聯(lián)網(wǎng)模式，其中就包括了橋接模式、主機(jī)模式以及NAT模式，3種聯(lián)網(wǎng)模式可分別滿足不同用戶的不同系統(tǒng)建設(shè)與應(yīng)用技術(shù)要求。就目前看來(lái)，在聯(lián)合多臺(tái)計(jì)算機(jī)組建管理端過程中可確保防御外來(lái)入侵者主動(dòng)攻擊行為，優(yōu)化提升數(shù)據(jù)管控能力。而它的入侵檢測(cè)系統(tǒng)則可實(shí)現(xiàn)主動(dòng)防御，全面提升系統(tǒng)的網(wǎng)絡(luò)安全維護(hù)能力，所以說虛擬蜜網(wǎng)技術(shù)的應(yīng)用可信度是非常高的。

3 基于蜜罐蜜網(wǎng)主動(dòng)防御技術(shù)支持的電力信息化行業(yè)主動(dòng)防御網(wǎng)絡(luò)系統(tǒng)構(gòu)建

蜜罐蜜網(wǎng)主動(dòng)防御技術(shù)內(nèi)容、模式豐富，在通過蜜罐引誘、蜜網(wǎng)搜集數(shù)據(jù)的過程中也建立了大數(shù)據(jù)庫(kù)，基本做到了對(duì)外來(lái)黑客入侵者的系統(tǒng)攻擊主動(dòng)預(yù)防。具體來(lái)說，在蜜罐蜜網(wǎng)主動(dòng)防御技術(shù)的支持下，電力信息化行業(yè)可主動(dòng)搭建主動(dòng)防御網(wǎng)絡(luò)系統(tǒng)，創(chuàng)建數(shù)據(jù)控制模塊與數(shù)據(jù)捕捉模塊，結(jié)合這兩大模塊形成一套完整的電力信息化網(wǎng)絡(luò)主動(dòng)防御系統(tǒng)[4]。

3.1 數(shù)據(jù)控制模塊的設(shè)計(jì)與功能應(yīng)用

蜜罐蜜網(wǎng)主動(dòng)防御技術(shù)支持下的電力信息化網(wǎng)絡(luò)系統(tǒng)首先要追求對(duì)輸入信息數(shù)據(jù)的有效控制，這對(duì)于系統(tǒng)的整體穩(wěn)定運(yùn)行而言意義重大。比如說在配合黑客利用蜜罐蜜網(wǎng)主動(dòng)攻擊系統(tǒng)過程中，數(shù)據(jù)控制模塊會(huì)采用到IPtables以及NIPS兩大模塊，主要可實(shí)現(xiàn)對(duì)數(shù)據(jù)的有效控制。這里專門以IPtables為例展開分析：

IPtables所建立的是電力信息化行業(yè)網(wǎng)絡(luò)中的桌面級(jí)防火墻，它的主要工作任務(wù)就是控制蜜網(wǎng)數(shù)據(jù)，借此機(jī)會(huì)高筑蜜墻，如此可實(shí)現(xiàn)對(duì)電力信息化網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)及數(shù)據(jù)包檢查。在防火墻方面主要采用到-m limit計(jì)算與統(tǒng)計(jì)方法，該方法能夠在短時(shí)間范圍內(nèi)快速技術(shù)，并設(shè)置合理的防御時(shí)間。就技術(shù)內(nèi)容組成而言，IPtables數(shù)據(jù)控制模塊中所采用的是密網(wǎng)數(shù)據(jù)控制系統(tǒng)Snort inline，它屬于一種數(shù)據(jù)信息特征檢測(cè)機(jī)制，可準(zhǔn)確辨別哪些數(shù)據(jù)信息屬于來(lái)自黑客的危險(xiǎn)數(shù)據(jù)信息。在檢測(cè)過程中，其檢測(cè)對(duì)象就包括了各種數(shù)據(jù)包，深入研究可能來(lái)自于外部入侵者的某些非善意數(shù)據(jù)。而蜜網(wǎng)則同時(shí)運(yùn)行，監(jiān)控并限制數(shù)據(jù)包的輸入數(shù)量，它就構(gòu)建了IPtables與Snort inline之間的功能連帶關(guān)系。

綜上所述，上述IPtables就建立了一套完整的、基于自主規(guī)則的數(shù)據(jù)包監(jiān)測(cè)體系，利用蜜網(wǎng)Snort inline優(yōu)化分析所檢測(cè)結(jié)果，實(shí)現(xiàn)對(duì)外部入侵者不利數(shù)據(jù)的有效整合，形成數(shù)據(jù)包。而在此刻，蜜網(wǎng)可實(shí)現(xiàn)對(duì)這些數(shù)據(jù)包的有效限制，如圖1[5]。

圖1 Snort inline與IPtables的關(guān)系示意圖

參考圖1內(nèi)容，參考蜜網(wǎng)所搜集數(shù)據(jù)內(nèi)容與數(shù)據(jù)實(shí)現(xiàn)過程，就建立了蜜墻Honeywall數(shù)據(jù)控制機(jī)制，它可實(shí)現(xiàn)對(duì)數(shù)據(jù)包的有效控制與調(diào)整，建立誘惑黑客攻擊者對(duì)蜜墻主動(dòng)進(jìn)攻機(jī)制，確保對(duì)大量數(shù)據(jù)控制到位。而在對(duì)攻擊包連接限制過程進(jìn)行抑制過程中，就建立了一套完整的數(shù)據(jù)控制流程圖，它可預(yù)先形成警報(bào)報(bào)送給技術(shù)管理人員（圖2）[6]。

圖2 蜜罐蜜網(wǎng)主動(dòng)防御系統(tǒng)數(shù)據(jù)控制流程示意圖

3.2 數(shù)據(jù)捕獲模塊的設(shè)計(jì)與功能應(yīng)用

除建立數(shù)據(jù)控制模塊以外，蜜罐蜜網(wǎng)主動(dòng)防御系統(tǒng)也會(huì)設(shè)計(jì)創(chuàng)建數(shù)據(jù)捕獲模塊，這一模塊是結(jié)合蜜網(wǎng)分析機(jī)制所建立的，它擁有數(shù)據(jù)快速捕獲功能，可對(duì)數(shù)據(jù)的獲取者信息進(jìn)行分析，充分考量蜜罐技術(shù)獲取數(shù)量的多少與真?zhèn)?，同時(shí)評(píng)估所獲取數(shù)據(jù)的真實(shí)價(jià)值。進(jìn)一步講，要建立蜜罐蜜網(wǎng)防火墻日志、形成Sebek客戶端，這是數(shù)據(jù)捕獲模塊建立的重要基礎(chǔ)，這其中就包括了防火墻日志。

在防火墻日志中是能夠形成蜜網(wǎng)中大量的數(shù)據(jù)包的，這些數(shù)據(jù)包能夠?yàn)閿?shù)據(jù)捕獲模塊的構(gòu)建奠定數(shù)據(jù)基礎(chǔ)，即形成一套完整的大數(shù)據(jù)庫(kù)運(yùn)行機(jī)制，確?；诖髷?shù)據(jù)基礎(chǔ)之上再展開蜜罐蜜網(wǎng)主動(dòng)防御技術(shù)應(yīng)用過程。它在保證防火墻獲取全面信息內(nèi)容過程中，也能夠做到對(duì)大量大數(shù)據(jù)包內(nèi)容的嚴(yán)謹(jǐn)記載。就數(shù)據(jù)包中所記載的大量數(shù)據(jù)內(nèi)容而言，它不但會(huì)記載數(shù)據(jù)包的通過狀況，也會(huì)對(duì)數(shù)據(jù)包的內(nèi)部數(shù)據(jù)內(nèi)容進(jìn)行詳細(xì)記錄與分析。

這里要對(duì)Sebek客戶端進(jìn)行分析，了解黑客外來(lái)入侵者的攻擊過程，確保數(shù)據(jù)信息搜集到位。具體講，就是要利用Sebek客戶端來(lái)獲取攻擊者所殘留的數(shù)據(jù)信息痕跡內(nèi)容，深入分析外來(lái)入侵者的攻擊過程，了解是哪些操作命令導(dǎo)致系統(tǒng)攻擊行為的出現(xiàn)?；谏鲜稣撌?，應(yīng)深度分析Sebek客戶端的基本工作原理，了解其對(duì)外數(shù)據(jù)傳輸?shù)闹饕鞒?，它是直接傳送信息?shù)據(jù)到網(wǎng)絡(luò)接口驅(qū)動(dòng)程序中的，如此可保證驅(qū)動(dòng)程序運(yùn)行到位。而在這一過程中也需要分析控制網(wǎng)絡(luò)接口，了解其驅(qū)動(dòng)程序運(yùn)行過程，建立控制網(wǎng)絡(luò)接口，規(guī)避外來(lái)入侵者的網(wǎng)絡(luò)監(jiān)視行為，獲取大量的Sebek重要數(shù)據(jù)信息內(nèi)容，如此就能避免信息泄露問題的出現(xiàn)。具體到Sebek客戶端，需要建立一套完整的Sebek Web大數(shù)據(jù)存儲(chǔ)庫(kù)，對(duì)黑客攻擊者的各種信息內(nèi)容進(jìn)行分析，確保數(shù)據(jù)傳輸過程中數(shù)據(jù)丟失現(xiàn)象被合理控制，如此可確保對(duì)外來(lái)入侵者的攻擊過程產(chǎn)生一定影響，合理引誘攻擊行為[7]。

具體來(lái)說，在建立數(shù)據(jù)捕獲模塊過程中應(yīng)分析其模塊功能，配合蜜罐構(gòu)建一套完整的數(shù)據(jù)獲取機(jī)制，這是基礎(chǔ)，可為數(shù)據(jù)分析提供重要保障。再者就是要快速還原攻擊者的攻擊過程，滿足數(shù)據(jù)捕獲過程中的技術(shù)應(yīng)用流程，建立一套完整的Sebek客戶端，對(duì)黑客攻擊行為信息數(shù)據(jù)內(nèi)容進(jìn)行詳細(xì)分析，保證時(shí)刻做到對(duì)系統(tǒng)行為的記錄。具體講就是要建立隱匿通道，對(duì)數(shù)據(jù)傳送過程進(jìn)行監(jiān)視，確保所有數(shù)據(jù)都能被傳送到Sebek服務(wù)器中，結(jié)合查詢與瀏覽功能捕獲數(shù)據(jù)內(nèi)容。

具體到蜜網(wǎng)結(jié)構(gòu)建設(shè)中，應(yīng)參考運(yùn)用各種蜜罐來(lái)安裝Sebek客戶端，大量捕獲黑客外來(lái)入侵者對(duì)蜜罐的攻擊操作行為，然后將來(lái)自于入侵者的攻擊數(shù)據(jù)信息傳送到Sebek客戶端服務(wù)器中，深度了解攻擊者思想行為，再參考結(jié)合數(shù)據(jù)捕獲過程來(lái)建立數(shù)據(jù)捕獲模塊。正是基于這一操作行為，可實(shí)現(xiàn)對(duì)蜜罐蜜網(wǎng)主動(dòng)防御系統(tǒng)的深入了解與運(yùn)用，這對(duì)電力信息化網(wǎng)絡(luò)建設(shè)而言是非常有益的。

綜上所述，應(yīng)該基于數(shù)據(jù)控制模塊、數(shù)據(jù)捕獲模塊兩大模塊來(lái)建立蜜罐蜜網(wǎng)主動(dòng)防御系統(tǒng)，滿足電力信息化網(wǎng)絡(luò)建設(shè)要求，實(shí)現(xiàn)對(duì)外來(lái)入侵者黑客數(shù)據(jù)信息的主動(dòng)防御與二度利用。換言之，就是在蜜罐蜜網(wǎng)基礎(chǔ)之上重點(diǎn)分析主動(dòng)防御系統(tǒng)的數(shù)據(jù)控制模塊有效內(nèi)容，設(shè)置良好的自動(dòng)報(bào)警與數(shù)據(jù)分析分支系統(tǒng)[8]。

3.3 基于蜜罐主動(dòng)防御技術(shù)支持下的電力信息化網(wǎng)絡(luò)主動(dòng)防御系統(tǒng)攻擊測(cè)試

要結(jié)合電力信息化網(wǎng)絡(luò)主動(dòng)防御系統(tǒng)建立蜜罐蜜網(wǎng)主動(dòng)防御技術(shù)體系，為此需要針對(duì)黑客攻擊展開測(cè)試檢驗(yàn)，例如建立一套蜜罐掃描攻擊測(cè)試機(jī)制。該攻擊測(cè)試機(jī)制中首先要在宿主主機(jī)上運(yùn)行Zenmap，對(duì)虛擬機(jī)蜜罐進(jìn)行全面掃描控制，保證對(duì)端口部分進(jìn)行掃描處理，生成一條完整獨(dú)立的蜜罐蜜網(wǎng)掃描圖，并從中提取蜜罐掃描攻擊數(shù)據(jù)。在獲取數(shù)據(jù)后，需要提出拒絕服務(wù)器攻擊測(cè)試的相關(guān)內(nèi)容，保證對(duì)電力系統(tǒng)的拒絕服務(wù)攻擊過程進(jìn)行深度檢測(cè)，客觀識(shí)別存在于系統(tǒng)中的各個(gè)類型訪問行為，由此可建立一套拒絕服務(wù)攻擊的測(cè)試體系，對(duì)實(shí)驗(yàn)測(cè)試參數(shù)結(jié)果進(jìn)行分析[9]。

具體來(lái)說，在網(wǎng)絡(luò)主動(dòng)防御系統(tǒng)攻擊測(cè)試中就包括了固定DDOS、Flash Crowd以及各項(xiàng)合法訪問機(jī)制，要配合實(shí)驗(yàn)結(jié)果建立攻擊測(cè)試中的X/Y軸坐標(biāo)平面，如此可實(shí)現(xiàn)對(duì)不同類型向量點(diǎn)分布內(nèi)容的分析，構(gòu)建坐標(biāo)平面區(qū)域，如此可客觀真實(shí)反映外來(lái)入侵者的攻擊行為與攻擊數(shù)據(jù)，客觀反映攻擊特征[10]。

綜上，在當(dāng)前的電力信息化行業(yè)網(wǎng)絡(luò)中，積極采用安全主動(dòng)的防御技術(shù)，構(gòu)建技術(shù)體系很有必要。本文中基于大數(shù)據(jù)技術(shù)所建立的蜜罐蜜網(wǎng)主動(dòng)防御技術(shù)系統(tǒng)，在建立數(shù)據(jù)控制模塊與數(shù)據(jù)捕獲模塊的過程中實(shí)現(xiàn)了對(duì)電力信息化網(wǎng)絡(luò)的安全主動(dòng)防御能力優(yōu)化，大量增加網(wǎng)絡(luò)節(jié)點(diǎn)，確保實(shí)現(xiàn)對(duì)系統(tǒng)檢測(cè)能力的有效擴(kuò)展甚至是重新規(guī)劃，對(duì)提高電力信息化網(wǎng)絡(luò)系統(tǒng)長(zhǎng)期安全穩(wěn)定運(yùn)行絕對(duì)是十分有利的。