基于蜜罐技术的电力信息网络安全模型.pdf

维普资讯 东北 电力技术 2OO6年第5期 基于蜜罐技术的电力信息网络安全模型 A SafetyModelforElectricPowerInformation NetworkBasedon “Honeypots’’Technologies 翟继强，叶 飞 (哈尔滨理工大学，黑龙江 哈尔滨 150080) 摘要：介绍主动安全防御新技术——蜜罐，给出了蜜罐的定义和分类，分析了蜜罐的安全价值和相应缺陷以及在计算机 证中的应用。依据P2DR模型，提出利用蜜罐技术保障电力信息网络安全的动态安全模型，讨论了模型特点和优越性。 关键词：蜜罐 ；交互程度；蜜网；计算机取证 [中图分类号】TP393．08 [文献标识码】B [文章编号]1004—7913(2006)05—0022—04 随着整个社会 电子商务、电子政务及电力信息 吸引入侵搜集信息。将蜜罐和现有的安全防卫手段 化的逐渐普及 ，网络应用越来越深入到 电力企业 的 古1入侵检测系统 (IDS)、防火墙 (Fimwal1)、杀毒 要害领域，电力部门向外界开放的接 口越来越多。 软件等结合使用，可以有效提高系统安全性。 但相应的安全技术和措施的投入较小，有的只是购 1．2 蜜罐的分类 买了防病毒软件和防火墙 ，保障安全的技术单一， 根据蜜罐的交互程度，可将蜜罐分为3种。 网络中存在有许多安全隐患，个别地方甚至没有考 蜜罐的交互程度 (LevelofInvolvement)指攻击 虑到安全防护问题，如调度 自动化和配网自动化之 者与蜜罐相互作用的程度 间，调度 自动化系统和电力 MIS系统之间数据传输 a．低交互蜜罐 的安全性问题等，如何保证 电力系统网络安全稳定 只是运行于现有系统上的一个仿真服务，在特 运行 ，已显得越来越重要 。 定的端 口监听记录所有进入的数据包，提供少量的 另一方面，电力系统现在的安全防护主要是采 交互功能，黑客只能在仿真服务预设的范围内动 用传统的被动网络安全技术，如防火墙技术和入侵 作。低交互蜜罐上没有真正的操作系统和服务，结 检测技术等，这些技术都存在一定缺陷。防火墙对 构简单，部署容易，风险低，所能收集的信息也是 病毒、访问限制、后门威胁和来 自内部的黑客攻击 有限的。 无能为力；目前的入侵检测系统也无法监测到所有 b． 中交互蜜罐 可能的攻击，有较高的漏报率和误报率。 不提供真实的操作系统，而是应用脚本或小程 本文介绍一种新的主动型网络安全技术——蜜 序来模拟服务行为，提供的功能主要取决于脚本。 罐，并以P2DR模型为基础，将蜜罐技术和传统安 在不同的端 口进行监听，通过更多和更复杂的互 全技术结合，提出一种电力信息网络安全模型。 动，让攻击者产生真正操作系统的错觉，能够收集 更多数据。开发中交互蜜罐，要确保在模拟服务和 1 蜜罐技术 漏洞时并不产生新的真实漏洞，而给黑客渗透和攻 1．1 蜜罐的定义 击真实系统的机会。 蜜罐是指受到严密监控的网络诱骗系统，通过 C． 高交互蜜罐 真实或模拟的网络和服务来吸引攻击，从而在黑客 由真实的操作系统来构建，提供给黑客的是真 攻击蜜罐期间对其行为和过程进行记录分析，搜集 实的