基础建设 - 311 - 控、遥信、遥测、遥调和遥视等功能。它对提高发 电设备运行的可靠性、安全性与经济效益，减轻运 维人员的负担，实现电力生产控制自动化与现代化 等方面有不可替代的作用。 2.2 入侵诱捕技术 洛克希德马丁在 2011 年提出了网络杀伤链 （Cyber kill chain） 。网络杀伤链是攻击者为了实 现目标而必须执行的一系列步骤，是理解网络攻击 的抽象行为序列模型，它将网络攻击划分为七个阶 段：侦查目标、制作工具、传送工具、触发工具、 安装木马、建立连接以及执行攻击。 入侵诱捕设备能够捕获入侵前期的扫描、恶意 软件的下发和执行等，可在网络杀伤链的前期发现 攻击。入侵诱捕设备是一种安全威胁的主动防御技 术，最为典型的设备就是蜜罐，它通过模拟一个或 多个易受攻击的主机或服务来吸引攻击者，捕获攻 击流量与样本，发现网络威胁、提取威胁特征，蜜 罐的价值在于被探测、攻陷。其在本质上来说，是 一个与攻击者进行攻防博弈的过程。蜜罐提供服务， 攻击者提供访问，通过蜜罐对攻击者的吸引，攻击 者对蜜罐进行攻击，在攻击的过程中，有经验的攻 击者也可能识别出目标是一个蜜罐。为此，为更好 的吸引攻击者，蜜罐也需要提供强悍的攻击诱骗能 力。 依据蜜罐诱骗能力或交互能力的高低，蜜罐可 分为低交互蜜罐与高交互蜜罐。低交互蜜罐主要通 过模拟一些服务，为攻击者提供简单的交互，而高 交互蜜罐模拟了整个系统与服务，它们大多是真实 的系统或设备，存在配置难，难以部署的问题。相 反低交互蜜罐配置简单，可以较容易的完成部署， 但是受限于交互能力，无法捕获高价值的攻击。较 传统的入侵检测和其他被动防御技术有更大的优 势，其可以及早感知攻击行为和捕获未知攻击。因 此，蜜罐是对网络攻击非常敏感的检测工具，特别 是应对集团式国家级的针对工业控制系统的攻击， 更具有积极检测和主动防御的价值。 2.3 追踪溯源技术 网络追踪溯源技术是一种依据收集到的网络攻 击信息对正在发生或已经发生的网络攻击进行发现 定位的技术。追踪溯源技术通过流量分析、攻击链 分析等手段定位发起攻击的攻击者，收集攻击者攻 击的相关信息，形成攻击画像。 本方案中溯源技术基于多源威胁情报与大数据 技术，采用多视角的方法进行攻击特征聚类分析， 提取攻击特征与攻击组织间的关联性，建立攻击者 模型并基于该模型实现自动化溯源。 图 2-1 网络杀伤链