[发明专利]一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法

权利要求书

1.一种智能电网嵌入式设备网络攻击诱捕系统，其特征在于：包括诱捕装置和安全分析服务器；

所述诱捕装置的数据接收端连接智能电网网络，诱捕装置的数据发送端分别连接实际嵌入式设备和安全分析服务器；诱捕装置包括网络接口模块、安全控制模块和实际嵌入式设备模拟机；

网络接口模块用于完成IP数据包的收发，包括外网网络接口模块和内网网络接口模块；外网网络接口模块连接安全控制模块和智能电网网络，用于接收外部通讯网络所发送的IP数据包并传送给安全控制模块，以及接收安全控制模块所发送的IP数据包并通过外部通信网络进行发送；内网网络接口模块分别连接安全控制模块和实际嵌入式设备模拟机以及安全控制模块和实际嵌入式设备，用于接收安全控制模块所发送的IP数据包并传送给实际嵌入式设备或实际嵌入式设备模拟机，以及接收实际嵌入式设备所发送的IP数据包并传送给安全控制模块；

安全控制模块用于对所接收的实际嵌入式设备发送的IP数据包进行标识后通过网络接口模块发送至智能电网网络，以及对所接收的智能电网网络发送的IP数据包进行解析判别，并将正常的IP数据包发送至实际嵌入式设备，将异常的IP数据包发送至实际嵌入式设备模拟机；安全控制模块连接有串口通信模块和用于单独存放文件配置程序的外部存储器，安全控制模块还连接有开关模块，开关模块的信号输出端连接安全控制模块的信号输入端；

实际嵌入式设备模拟机用于对实际嵌入式设备的运行环境和计算环境进行模拟，包括硬件环境模拟和软件环境模拟，对实际嵌入式设备在受到网络攻击时其网络状态和主机状态变化进行检测，并将网络状态及主机状态信息发送至安全分析服务器；

所述安全分析服务器用于对实际嵌入式设备模拟机发送的网络状态及主机状态信息，通过基于平台配置属性度量、平台运行属性度量和用户认证属性度量进行的多维度属性综合度量，得出最终安全检测结果。

2.根据权利要求1所述的智能电网嵌入式设备网络攻击诱捕系统，其特征在于：所述的安全控制模块内存储有与相应目的地址和来源地址对应的密钥、发送序列号及接收序列号；当安全控制模块接收到实际嵌入式设备所发送的IP数据包时，安全控制模块读取该IP数据包并提取IP数据包目的地址，根据目的地址获取对应的密钥和发送序列号，将发送序列号置于IP数据包尾部，利用密钥对IP数据包和发送序列号进行摘要运算，将摘要运算结果附于发送序列号之后，并根据当前长度调整IP首部信息中的长度指示信息，然后将添加标识后的IP数据包通过外网网络接口模块发送至智能电网网络；当安全控制模块接收到智能电网网络所发送的IP数据包时，安全控制模块读取该IP数据包并提取IP数据包来源地址，根据IP数据包来源地址获取对应的密钥和接收序列号，安全控制模块利用密钥对IP数据包中被保护的内容和发送序列号进行摘要运算，并将运算结果与IP数据包中自带的摘要运算结果进行比较，如果结果比较不一致则认为IP数据包被篡改和伪造，将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机；如果结果比较一致则判断IP数据包没有被篡改和伪造，继续比较从IP数据包中读取的发送序列号和接收序列号的大小，若发送序列号大于接收序列号则认为IP数据包正常，安全控制模块接收该IP数据包并将此IP数据包通过内网网络接口模块发送至实际嵌入式设备；如果发送序列号小于等于接收序列号则认为IP数据包非法，将此IP数据包通过内网网络接口模块发送至实际嵌入式设备模拟机。

3.根据权利要求2所述的智能电网嵌入式设备网络攻击诱捕系统，其特征在于：所述的实际嵌入式设备模拟机包括硬件可信密码模块TPM，用于实现信息采集与组件动态可信度量；其中信息采集是指采集异常网络事件和主机事件并发送至安全分析服务器，异常网络事件信息包括异常的网络数据信息和网络流量信息，主机事件包括实际嵌入式设备模拟机配置信息和实际嵌入式设备模拟机运行信息；进行组件动态可信度量时首先在实际嵌入式设备模拟机内配置XEN虚拟机，XEN虚拟机位于实际嵌入式设备模拟机硬件层之上且操作系统之下；然后利用XEN虚拟机的超级调用机制，在组件请求页面调入内存运行之前，通过地址指针获取调入内存的页面；在XEN虚拟机执行权限检查后，执行该超级调用的处理函数；在处理函数中加入对组件进行度量的代码，使度量代码操作首先执行；最后利用度量代码中基于指定的度量方式实现组件当前内存快照的可信度量或风险监测。