(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111654168.0 (22)申请日 2021.12.3 0 (71)申请人 国网辽宁省电力有限公司 地址 110006 辽宁省沈阳市和平区宁波路 18号 申请人 东北大学　 国网辽宁省电力有限公司信息通信 分公司 (72)发明人 胡博　姚羽　付强　周小明　申扬　 李钊　王磊　王顺江　扬爽　王阳　 (74)专利代理 机构 辽宁沈阳国兴知识产权代理 有限公司 21 100 专利代理师 何学军　侯景明 (51)Int.Cl. G06F 21/55(2013.01)G06F 21/56(2013.01) G06Q 50/06(2012.01) (54)发明名称 一种基于蜜网的电力信息网络防御系统和 方法 (57)摘要 本发明属于网络安全技术领域， 尤其涉及一 种基于蜜网的电力信息网络防御系统和方法。 本 发明是在耦合网络中建立含有蜜网的双层耦合 网络的恶意软件传播模型， 并根据模 型建立基于 蜜网的电力信息网络防御系统； 即根据实际网络 结构， 构建非均匀分布的双层耦合网络； 所述构 建非均匀分布的双层耦合网络， 为含有工控蜜罐 的双层耦合网络的恶意软件传播模型， 包含： 电 力信息网和蜜网。 本发明在构建网络结构时， 考 虑非均匀网络结构更符合真实的电力信息网络， 利用蜜网技术， 既能有针对性、 有效地对抗在电 力信息网中大肆传播的恶意软件， 还能够利用可 视化技术直观 地展示模型的预测结果， 同时研究 结果也有利于提高蜜罐的部署效率。 权利要求书6页 说明书15页 附图4页 CN 114528546 A 2022.05.24 CN 114528546 A 1.一种基于蜜网的电力信息网络防御系统， 其特征是： 在耦合网络中建立含有蜜网的 双层耦合网络的恶意软件传播模型， 并根据模型建立基于蜜网的电力信息网络防御系统； 即根据实际网络结构， 构建非均匀分布的双层耦合网络； 所述构建非均匀分布的双层耦合 网络， 为含有工控蜜罐的双 层耦合网络的恶意软件传播模型， 包 含： 电力信息网和蜜网。 2.一种基于蜜网的电力 信息网络防御方法， 其特 征是： 包括以下步骤： 步骤1.根据实际网络结构， 构建非均匀分布的双 层耦合网络； 步骤2.根据构建的非均匀分布的双层耦合网络， 提出基于工控蜜罐的恶意软件对抗策 略； 即含有工控蜜罐 的双层耦合网络的恶意软件传播模型对抗恶意软件的对抗策略； 包括 以下步骤： 步骤a.根据恶意软件的攻击， 电力设备的四种切换状态， 以及蜜罐的三种切换状态； 步骤b.电力设备的电力信息网中易感电力设备被感染的概率β11， 感染的电力设备恢复 的概率 电力设备失去免疫的概 率 δ1变为易感电力设备； 蜜罐被感染的电力设备感染的概率β22， 感染蜜罐的隔离概率 蜜罐重新部署回到易 感染状态的概率δ2再次回到易感状态； 一旦蜜罐捕获到恶意软件的样本信息， 易受攻击 的 电力信息中易感电力设备的免疫概率β12转换为隔离状态， 采取具体的免疫措施来对抗后， 部分被隔离的电力设备将以电力设备的恢复概 率ω恢复； 步骤c.构建遵循幂律分布的耦合网络度分布； 步骤d.定义网络的平均度和度的二阶矩； 步骤e.计算 易感电力设备和蜜罐分别与感染的电力设备和蜜罐之间的通信概 率； 步骤f‑步骤l.分别通过表达式来表示 步骤a中的状态转换 过程； 步骤m.计算电力设备和蜜罐的总数量； 步骤n.得到含有工控蜜罐的双 层耦合网络的恶意软件传播模型； 步骤3.利用可视化展示系统， 将模型的预测结果和蜜网的防御效果进行展示。 3.根据权利要求2所述的一种基于蜜网的电力信 息网络防御 方法， 其特征是： 所述电力 设备的四种切换状态， 包括： 易感状态Susceptible  state(Sp)； 感染状态I nfectious state(Ip)； 隔离状态Quaranti ned state(Qp)； 免疫状态Removed  state(Rp)； 分别用Sp(t)， Ip(t)， Qp(t)和Rp(t)表示t时刻 易感染状态、 感染状态、 隔离状态和免疫 状态的电力设备 数量； 所述蜜罐的三种切换状态， 包括： 易感状态Susceptible  state(Sh)； 感染状态I nfectious state(Ih)； 隔离状态Quaranti ned state(Qh)； 分别用Sh(t)， Ih(t)和Qh(t)表示t时刻易感染状态、 感染状态、 隔离状态的蜜罐 数量。 4.根据权利要求2所述的一种基于蜜网的 电力信息网络防御方法， 其特征是： 步骤b所 述电力设备由易感状态转换为感染状态的概率， 为电力信息网中易感电力设备被感染的概权　利　要　求　书 1/6 页 2 CN 114528546 A 2率β11； 感染的电力设备恢复的概率 通过安装补丁等来恢复； 某些情况下， 由于补丁是临时 的等原因， 电力设备失去免疫的概 率 δ1变为易感状态电力设备； 蜜罐由易感状态转换为蜜罐被感染的电力设备感染的概率β22， 感染蜜罐的隔离概率 通过重新安装， 蜜罐重新部署回到易感染状态的概率δ2再次回到易感状态； 一旦蜜罐捕获 到恶意软件的样本信息， 易受攻击的电力信息中易感电力设备的免疫概率β12转换为隔离状 态， 采取具体的免疫措施来对抗， 部分被隔离的电力设备将以电力设备的恢复概 率ω恢复。 5.根据权利要求2所述的一种基于蜜网的 电力信息网络防御方法， 其特征是： 步骤c所 述构建遵循幂律分布的耦合网络度分布， 包括： P(k)＝k‑γ 上式中， P为连接概 率,k为节点的边数， r为幂律指数； 对与电力设备， 用(i,j)表示有i条边与 其他电力设备相连， j条边与蜜罐相连； 对蜜罐， 用(k,l)表示有k条边与其 他蜜罐相连， l条边与电力设备相连； 节点最大连接度： 和 上式中， n为最大度， i， j， k,l表示 不同节点连接的边数； 所述电力 信息网和蜜网的联合度分布和边际度分布 表示如下： 上式中， PP为ICS网络的联合度分布， Ph为蜜网的联合度分布,PA(i,·)为子网A的边缘 度分布， PB(k,·)为子网A的边缘度分布， PA(·,j)为子网A的边缘度分布， PB(·,j)为子网A 的边缘度分布， N为总节点数, 为ICS网络节 点总数， 为蜜网节点总数， Np为PLC的总 数量， Nh为蜜罐的总数量， h为蜜罐， p为P LC设备； (i,j)表示有i条边与其他电力设备相连， j 条边与蜜罐相连； (k,l)表示有k条边与其 他蜜罐相连， l条边与电力设备相连。 6.根据权利要求2所述的一种基于蜜网的 电力信息网络防御方法， 其特征是： 步骤d所 述定义网络的平均度和度的二阶矩， 包括： 权　利　要　求　书 2/6 页 3 CN 114528546 A 3