CN105262771B - 一种电力行业网络安全攻防实验方法 - Google Patents

一种电力行业网络安全攻防实验方法 Download PDF

Info

Publication number
CN105262771B
CN105262771B CN201510741698.7A CN201510741698A CN105262771B CN 105262771 B CN105262771 B CN 105262771B CN 201510741698 A CN201510741698 A CN 201510741698A CN 105262771 B CN105262771 B CN 105262771B
Authority
CN
China
Prior art keywords
attack
defending
task
data packet
examination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510741698.7A
Other languages
English (en)
Other versions
CN105262771A (zh
Inventor
薛海伟
田建伟
田峥
漆文辉
刘洁
陈圣晟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Hunan Electric Power Co Ltd
State Grid Hunan Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Hunan Electric Power Co Ltd
State Grid Hunan Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Electric Power Research Institute of State Grid Hunan Electric Power Co Ltd, State Grid Hunan Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201510741698.7A priority Critical patent/CN105262771B/zh
Publication of CN105262771A publication Critical patent/CN105262771A/zh
Application granted granted Critical
Publication of CN105262771B publication Critical patent/CN105262771B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种电力行业网络安全攻防实验方法,步骤包括:搭建实验装置、建立用户数据库、分配用户资源;导入教案或者考题,下发教案或者随机抽取考题,选择当前考核任务;针对每一个当前考核任务,如果为理论考核任务,则对用户选择或者输入的任务考核结果进行计分;否则捕获用户执行当前考核任务的数据包,对数据包进行场景分析得到当前考核任务对应的攻击场景,对分析得到的攻击场景进行计分,最终输出下发的教案或者随机抽取得到的考题的计分结果总和。本发明所述的无线网络安全攻防实验方法可用于电力行业无线终端设备的安全攻防实验,能够为电力系统无线接入设备的安全性测试实验提供便捷的、完善的、可扩展的研究与安全测试体系。

Description

一种电力行业网络安全攻防实验方法
技术领域
本发明涉及电力行业无线网络安全攻防实验技术,具体涉及一种电力行业网络安全攻防实验方法。
背景技术
无线网络(WLAN)在电力行业应用越来越广泛。作为资产密集型企业,电力系统高效率和规范化的运行、监控、检修活动得到了无线网络的强力支撑。特别是智能手机的普及,使得手机的功能从生活领域逐步走向工作领域。电力营销、自动抄表、电费自助缴费等应用系统可以使用智能手机,通过无线网络访问。无人值班变电站、设备状态信息采集、仓储物质管理、巡检记录等系统可以通过无线终端设备,接入网络传输数据。无线网络作为有线网络的方式的重要延伸,在电力系统中充分发挥了其简洁、灵活的特点,逐步成为电力信息网络中一个重要的部分。
无线网络在带来便捷的同时也带来了诸多安全问题。无线网络是利用开放的空间传送数据,因此任何带有无线功能的客户端,在合适的范围内就可以接收到无线网络信号。正是这一特点导致无线网络很容易别监听,进而带来安全问题。例如,非法用户接入、非法接入点、SSID破解、无线网络钓鱼、无线网络数据监听、中间人攻击、代码注入等安全问题。
无线网络在其自身有安全问题的同时,使用无线网络的移动终端应用(移动APP)安全测试也面临诸多困难。移动APP是指运行在移动终端的软件,例如微信、微信服务号、业务应用等等。2015年上半年,国网公司就通报了多起移动APP存在安全漏洞,可能导致用户用电信息泄露。然而这些移动APP在访问网络时通常隐藏了访问服务器的IP地址和域名,因此传统的安全检测工具无法直接对其服务端的安全性进行安全测试。
当前网络安全实验产品缺少支持电力系统无线网络安全实验的装置。当前的网络安全实验平台,杭州安恒、启明星辰、君立华域等厂商都推出自己的产品,这些产品可以搭建Web、主机、数据库安全实验环境,但是这些实验环境都是基于有线网络,而且攻击方式也仅限于有线攻击方式。例如,在无线网络环境下会话劫持攻防实验除了传统的劫持方法,还有通过直接监听无线信道、密码破译等方法。但是现有的网络安全实验平台无法监听无线信道上的传输信号,也无法利用无线信道上的信号进行数据分析,无法进行这些攻击方式的实验。
发明内容
本发明要解决的技术问题:针对现有技术的上述问题,提供一种能够完成电力行业无线终端设备的安全攻防实验,能够为电力系统无线接入设备的安全性测试实验提供便捷的、完善的、可扩展的研究与安全测试体系的电力行业网络安全攻防实验方法。
为了解决上述技术问题,本发明采用的技术方案为:
一种电力行业网络安全攻防实验方法,步骤包括:
S1)搭建网络安全攻防实验装置,且所述网络安全攻防实验装置包括资源池服务器、系统控制服务器、数据分析服务器、核心网络设备、网络接入设备、无线终端设备和有线终端设备,所述资源池服务器、系统控制服务器、网络接入设备分别与核心网络设备相连,所述无线终端设备和有线终端设备分别与网络接入设备相连,所述数据分析服务器为物理机且包括一块支持混杂模式的网卡和一块用于进行数据通信的网卡,所述数据分析服务器的网卡均与核心网络设备相连,且支持混杂模式的网卡与核心网络设备相连的交换机端口为镜像端口,所述核心网络设备将无线终端设备、有线终端设备两者和资源池服务器之间的流量均镜像到所述镜像端口;所述核心网络设备中设有串联攻击防御过程演示设备和并接攻击防御过程演示设备,所述串联攻击防御过程演示设备串接于无线终端设备、有线终端设备两者和资源池服务器之间,所述并接攻击防御过程演示设备并接于无线终端设备、有线终端设备两者和资源池服务器之间,所述串联攻击防御过程演示设备中装有过滤防火墙、Web应用防火墙WAF和入侵防御系统IPS,所述并接攻击防御过程演示设备中装有入侵检测系统IDS和日志系统;所述资源池服务器为虚拟化平台管理的资源池,用于为整个实验装置提供实验环境所需要的计算资源、存储资源和网络资源;
S2)通过系统控制服务器建立网络安全攻防实验的用户数据库,并针对用户数据库中的用户分配资源池服务器中计算资源、存储资源和网络资源的使用权限;
S3)通过系统控制服务器导入教案或者考题,所述教案或者考题包括理论考核任务和网络安全攻击考核任务中的至少一种,然后基于Web服务、通过安全攻防实验网络向无线终端设备或有线终端设备的用户下发教案或者随机抽取考题,用户选择教案或者随机抽取得到的考题中的当前考核任务;
S4)如果当前考核任务为理论考核任务,则跳转执行步骤S5);否则如果当前考核任务为网络安全攻击考核任务,则跳转执行步骤S6);
S5)所述系统控制服务器获取用户选择或者输入的任务考核结果,基于当前考核任务的标准考核结果对用户选择或者输入的任务考核结果进行计分,然后跳转执行步骤S7);
S6)所述数据分析服务器捕获用户执行当前考核任务的数据包,对数据包进行场景分析得到当前考核任务对应的攻击场景,所述系统控制服务器基于当前考核任务的标准攻击场景对分析得到的攻击场景进行计分,然后跳转执行步骤S7);
S7)所述系统控制服务器判断下发的教案或者随机抽取得到的考题是否已经全部完成,如果尚未全部完成,则用户选择下一道教案或者随机抽取得到的考题作为新的当前考核任务,跳转执行步骤S4);否则如果已经全部完成,则输出本轮下发的教案或者随机抽取得到的考题的计分结果总和。
优选地,所述步骤S6)中对数据包进行场景分析得到当前考核任务对应的攻击场景的详细步骤包括:
S6.1)针对捕获用户执行当前考核任务的原始数据包进行初步筛选;
S6.2)对筛选后的数据包进行拆解和分类,得到包括ARP、ICMP、IP、TCP、UDP、HTTP、HTTPS、FTP、SNMP、SMTP、POP3、SSH、Telnet、DNS、RPC通信协议中至少一种通信协议对应的协议数据;
S6.3)分析攻击场景分析并通过串联攻击防御过程演示设备或者并接攻击防御过程演示设备进行攻击场景展示。
优选地,所述步骤S6.1)的详细步骤包括:
S6.1.1)获取攻击场景中攻击者的IP地址和MAC地址;
S6.1.2)分析数据包是否是ARP协议,如果是跳转步骤S6.1.5),否则跳转步骤S6.1.2);
S6.1.3)分析数据包是否是ICMP协议,如果是跳转步骤S6.1.5),否则跳转步骤S6.1.4);
S6.1.4)分析数据包是否是IP承载的其他协议,如果是跳转步骤S6.1.5),否则跳转步骤5.1.7);
S6.1.5)获取数据包中的MAC地址或者IP地址,判断MAC地址或IP地址和步骤S6.1.1)中的MAC地址和IP地址进行匹配,若有一项相同,则跳转步骤S6.1.6),否则跳转步骤S6.1.7);
S6.1.6)使用该数据包;
S6.1.7)丢弃该数据包。
优选地,所述步骤S6.3)的详细步骤包括:
S6.3.1)将步骤S6.1)和S6.2)得到的结果及数据包输入入侵检测分析系统分析攻击类型;
S6.3.2)根据攻击类型获取预设的攻击模板;
S6.3.3)根据数据包填充攻击模板中所需要的参数;
S6.3.4)显示填充完毕的攻击模板,通过串联攻击防御过程演示设备或者并接攻击防御过程演示设备进行攻击场景展示以展示攻击过程。
本发明电力行业网络安全攻防实验方法具有下述优点:首先搭建网络安全攻防实验装置,该装置中含网络安全攻防实验装置包括资源池服务器、系统控制服务器、数据分析服务器、核心网络设备、网络接入设备、无线终端设备和有线终端设备,为无线网络安全攻防实验提供基础的接入环境,然后针对用户数据库中的用户分配资源池服务器中计算资源、存储资源和网络资源的使用权限,基于Web服务、通过安全攻防实验网络向无线终端设备或有线终端设备的用户下发教案或者考题,用户选择教案或者考题中的当前考核任务,且针对每一个当前考核任务,如果当前考核任务为理论考核任务,则基于当前考核任务的标准考核结果对用户选择或者输入的任务考核结果进行计分,如果当前考核任务为网络安全攻击考核任务,则数据分析服务器捕获用户执行当前考核任务的数据包,对数据包进行场景分析得到当前考核任务对应的攻击场景,所述系统控制服务器基于当前考核任务的标准攻击场景对用户选分析得到的攻击场景进行计分,最终输出本轮下发的教案或者考题的计分结果总和,完成电力行业网络安全攻防实验的实验教案及考试的实现方法以及还原攻击过程完成攻击实验的实施及展示,能够实现无线网络设备的安全测试、无线网络设备渗透测试培训教学、无线网络安全研发、课题研究、安全课程培训考试,能够为电力系统无线接入设备的安全性测试实验提供便捷的、完善的、可扩展的研究与安全测试体系,能够让从事无线网络安全的工作人员,充分了解攻防过程,了解攻击与防御的原理及方法,提高实际动手能力。
附图说明
图1是本发明实施例方法的基本流程示意图。
图2是本发明实施例方法中搭建的网络安全攻防实验装置网络架构图。
图3是本发明实施例中系统控制服务器的控制逻辑架构图。
图4是本发明实施例中系统控制服务器的控制逻辑流程图。
图5是本发明实施例中数据分析服务器的数据分析逻辑架构图。
图例说明:1、资源池服务器;2、系统控制服务器;3、数据分析服务器;4、核心网络设备;41、串联攻击防御过程演示设备;42、并接攻击防御过程演示设备;5、网络接入设备;6、无线终端设备;7、有线终端设备。
具体实施方式
如图1所示,本实施例的电力行业网络安全攻防实验方法的步骤包括:
S1)搭建网络安全攻防实验装置;如图2所示,网络安全攻防实验装置包括资源池服务器1、系统控制服务器2、数据分析服务器3、核心网络设备4、网络接入设备5、无线终端设备6和有线终端设备7,资源池服务器1、系统控制服务器2、网络接入设备5分别与核心网络设备4相连,无线终端设备6和有线终端设备7分别与网络接入设备5相连,数据分析服务器3为物理机且包括一块支持混杂模式的网卡和一块用于进行数据通信的网卡,数据分析服务器3的网卡均与核心网络设备4相连,且支持混杂模式的网卡与核心网络设备4相连的交换机端口为镜像端口,核心网络设备4将无线终端设备6、有线终端设备7两者和资源池服务器1之间的流量均镜像到镜像端口;核心网络设备4中设有串联攻击防御过程演示设备41和并接攻击防御过程演示设备42,串联攻击防御过程演示设备41串接于无线终端设备6、有线终端设备7两者和资源池服务器1之间,并接攻击防御过程演示设备42并接于无线终端设备6、有线终端设备7两者和资源池服务器1之间,串联攻击防御过程演示设备41中装有过滤防火墙、Web应用防火墙WAF和入侵防御系统IPS,并接攻击防御过程演示设备42中装有入侵检测系统IDS和日志系统;资源池服务器1为虚拟化平台管理的资源池,用于为整个实验装置提供实验环境所需要的计算资源、存储资源和网络资源;
S2)通过系统控制服务器2建立网络安全攻防实验的用户数据库,并针对用户数据库中的用户分配资源池服务器1中计算资源、存储资源和网络资源的使用权限;
S3)通过系统控制服务器2导入教案或者考题,所述教案或者考题包括理论考核任务和网络安全攻击考核任务中的至少一种,然后基于Web服务、通过安全攻防实验网络向无线终端设备6或有线终端设备7的用户下发教案或者随机抽取考题,用户选择教案或者随机抽取得到的考题中的当前考核任务;
S4)如果当前考核任务为理论考核任务,则跳转执行步骤S5);否则如果当前考核任务为网络安全攻击考核任务,则跳转执行步骤S6);
S5)所述系统控制服务器2获取用户选择或者输入的任务考核结果,基于当前考核任务的标准考核结果对用户选择或者输入的任务考核结果进行计分,然后跳转执行步骤S7);
S6)所述数据分析服务器3捕获用户执行当前考核任务的数据包,对数据包进行场景分析得到当前考核任务对应的攻击场景,所述系统控制服务器2基于当前考核任务的标准攻击场景对分析得到的攻击场景进行计分,然后跳转执行步骤S7);
S7)所述系统控制服务器2判断下发的教案或者随机抽取得到的考题是否已经全部完成,如果尚未全部完成,则用户选择下一道教案或者随机抽取得到的考题作为新的当前考核任务,跳转执行步骤S4);否则如果已经全部完成,则输出本轮下发的教案或者随机抽取得到的考题的计分结果总和。
本实施例中,资源池服务器1为整个网络安全攻防实验装置提供实验环境所需要的计算资源、存储资源、网络资源,管理员可以根据实际实验内容,使用资源池快速部署实验环境所需要的软硬件资源。资源池服务器1是一个虚拟化平台管理的资源池,为整个实验装置提供实验环境所需要的计算资源、存储资源、网络资源。资源池服务器可采用多台物理服务器、磁盘阵列、光纤交换机、虚拟化软件组合。使用多台物理服务器安装虚拟化软件提供计算资源,并设置虚拟化软件存储方式为磁盘阵列方式,配合光纤交换机提供存储资源。资源池服务器应建立负载均衡、冗余容错措施,以保证实验装置所需要的计算资源、网络资源的稳定性和可用性。
本实施例中,系统控制服务器2是整个网络安全攻防实验装置的控制单元,使用系统控制服务器2可以完成对资源池服务器1的资源管理、对串联攻击防御过程演示设备41和并接攻击防御过程演示设备42的配置管理、对网络接入设备5包括有线和无线接入设备的管理;系统控制服务器2采用典型、通用的操作系统(Linux,此外可以根据需要采用Unix、Windows),使用B/S模式为用户提供实验环境管理功能,中间件可针对后台的代码选择Tomcat、Apache、IIS、Weblogic等,提供一个兼容Chrome浏览器、Firefox浏览器、IE浏览器的B/S模式管理界面,可以对实验系统进行账号管理、配置管理、教案管理、考试管理功能。如图3所示,账号管理、配置管理、教案管理、考试管理四个功能分别作为四个独立的模块构成了控制业务层,业务接口层则用于为控制业务层提供业务控制接口,分别包括配置、权限、展示、统计、下发、随机抽取业务控制接口,在资源接口层分别包含数据库、Web前台和Web后台,以实现对资源层虚拟化设备和真实物理设备的透明访问。基于上述分层结构,账号管理模块可以实现对账号的创建、删除、修改、查询;配置管理模块可以实现配置实验环境的显示参数、运行参数、权限参数;教案管理模块可以实现实验教案的上传、下载、删除、分发功能;考试管理模块可以实现试环境创建,以及考试试题的上传、下载、随机抽取、自动分发、自动改卷、自动计分、成绩分析功能。系统控制服务器2的控制流程如图4所示,其中教案分发的流程为:A1)管理员上传教案;A2)管理员设置教案的权限,分配教案至指定用户;A3)用户进行教案学习;A4)教案学习完毕后记录积分;A5)计算平时成绩,并纳入最后考试成绩。考试模块的流程为:B1)管理员上传试题;B2)管理员使用系统随机抽取试题;B3)用户进行答题考试;B4)考试结束计算成绩。教案分发流程和考试流程都需要资源调度模块的资源分配。为保证系统控制服务器的性能,系统控制服务器2应尽量采用物理服务器单独提供服务,若采用虚拟化服务器提供服务时,应尽可能为系统控制服务器2配置较多的计算和存储资源。为保证系统控制服务器2的可用性,采用物理服务器单独提供服务时,应尽量采用双机备份和负载均衡系统。采用虚拟化服务器提供系统控制服务器2时,应使用虚拟化平台的功能实现容错和负载均衡。
数据分析服务器3是记录实验过程中网络访问数据;通过数据分析服务器3可以对整个实验过程进行还原,还原攻击者的信息收集、漏洞利用、攻击过程。数据分析服务器3提供C/S模式的实验数据分析功能,C/S模式的实验数据分析功能包括数据包捕获、数据包拆解、数据包分析功能,数据分析服务器3提供数据包捕获功能,使用工作于混杂模式下的网卡网络监听实现。数据分析服务器3使用两块网卡,其中一块网卡应采用支持混杂模式的网卡,用于监听网络数据包,使得数据分析服务器能够监听到所有数据包;另一块网卡用来数据通信,同时将连接数据服务器监听网卡的交换机端口设置为镜像端口,并将无线网络安全攻防装置中的无线终端、有线终端与资源池服务器之间的流量镜像到该端口。数据分析服务器3还提供数据包拆解、数据包分析功能,所支持的协议包括ARP、ICMP、IP、TCP、UDP、HTTP、HTTPS、FTP、SNMP、SMTP、POP3、SSH、Telnet、DNS、RPC等协议。如图5所示,数据分析服务器3应在捕获网卡数据时,应用数据包分析器对数据包进行初步筛选,避免无关数据包对系统的数据包拆解分析造成过重的负载,数据包分类器应在数据包分析器之后,对攻击相关的数据包进行分类,应实现对ARP、ICMP、IP、TCP、UDP、HTTP、HTTPS、FTP、SNMP、SMTP、POP3、SSH、Telnet、DNS、RPC协议的支持, 攻击场景分析器应根据数据包分类器得出的分类结果,进行攻击关联性分析,进而还原攻击过程。
本实施例中,核心网络设备4由连接无线终端设备的无线路由器、连接有线终端设备的接入层交换机、连接无线路由器和接入层交换机的核心层交换机构成,此外还包括连接资源池服务器1的资源池交换机。
本实施例中,核心网络设备4上连接的安全设备包括串联攻击防御过程演示设备41和并接攻击防御过程演示设备42,其中并接攻击防御过程演示设备42中设有入侵检测系统IDS、日志系统。串联攻击防御过程演示设备41中设有包过滤防火墙、Web应用防火墙WAF、入侵防御系统IPS。
本实施例中,网络接入设备5由无线接入路由器组成。网络接入设备5支持SSID隐藏、加密认证等功能,加密方法应包括WEP、WAP、WAP2等加密方式,支持PIN码快速认证功能。
本实施例中,网络接入设备5接入的客户端设备包括无线终端设备6和有线终端设备7。本实施例中,无线终端设备6包括手机、平板电脑、无线接入的笔记本、使用无线局域网功能的手持终端,本实施例中的无线终端设备6为使用Android操作系统的智能手机,并支持Root以便具有最高的系统权限,保证攻击终端能够安置渗透测试软件;无线终端设备6使用WiFi接入实验装置网络,使用网络监听和ARP欺骗两种方式实施攻击实验,可进行的安全实验包括会话劫持、口令破解、中间人攻击、代码注入、数据包复制。本实施例中,有线终端设备7是指使用网线接入网络接入设备5网络的终端。
本实施例中,步骤S6)中对数据包进行场景分析得到当前考核任务对应的攻击场景的详细步骤包括:
S6.1)针对捕获用户执行当前考核任务的原始数据包进行初步筛选;
S6.2)对筛选后的数据包进行拆解和分类,得到包括ARP、ICMP、IP、TCP、UDP、HTTP、HTTPS、FTP、SNMP、SMTP、POP3、SSH、Telnet、DNS、RPC通信协议中至少一种通信协议对应的协议数据;
S6.3)分析攻击场景分析并通过串联攻击防御过程演示设备41或者并接攻击防御过程演示设备42进行攻击场景展示。
本实施例中,步骤S6.1)的详细步骤包括:
S6.1.1)获取攻击场景中攻击者的IP地址和MAC地址;
S6.1.2)分析数据包是否是ARP协议,如果是跳转步骤S6.1.5),否则跳转步骤S6.1.2);
S6.1.3)分析数据包是否是ICMP协议,如果是跳转步骤S6.1.5),否则跳转步骤S6.1.4);
S6.1.4)分析数据包是否是IP承载的其他协议,如果是跳转步骤S6.1.5),否则跳转步骤5.1.7);
S6.1.5)获取数据包中的MAC地址或者IP地址,判断MAC地址或IP地址和步骤S6.1.1)中的MAC地址和IP地址进行匹配,若有一项相同,则跳转步骤S6.1.6),否则跳转步骤S6.1.7);
S6.1.6)使用该数据包;
S6.1.7)丢弃该数据包。
本实施例中,步骤S6.3)的详细步骤包括:
S6.3.1)将步骤S6.1)和S6.2)得到的结果及数据包输入入侵检测分析系统分析攻击类型;
S6.3.2)根据攻击类型获取预设的攻击模板;
S6.3.3)根据数据包填充攻击模板中所需要的参数;
S6.3.4)显示填充完毕的攻击模板,通过串联攻击防御过程演示设备41或者并接攻击防御过程演示设备42进行攻击场景展示以展示攻击过程。
以上所述仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施例,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (1)

1.一种电力行业网络安全攻防实验方法,其特征在于步骤包括:
S1)搭建网络安全攻防实验装置,且所述网络安全攻防实验装置包括资源池服务器(1)、系统控制服务器(2)、数据分析服务器(3)、核心网络设备(4)、网络接入设备(5)、无线终端设备(6)和有线终端设备(7),所述资源池服务器(1)、系统控制服务器(2)、网络接入设备(5)分别与核心网络设备(4)相连,所述无线终端设备(6)和有线终端设备(7)分别与网络接入设备(5)相连,所述数据分析服务器(3)为物理机且包括一块支持混杂模式的网卡和一块用于进行数据通信的网卡,所述数据分析服务器(3)的网卡均与核心网络设备(4)相连,且支持混杂模式的网卡与核心网络设备(4)相连的交换机端口为镜像端口,所述核心网络设备(4)将无线终端设备(6)、有线终端设备(7)两者和资源池服务器(1)之间的流量均镜像到所述镜像端口;所述核心网络设备(4)中设有串联攻击防御过程演示设备(41)和并接攻击防御过程演示设备(42),所述串联攻击防御过程演示设备(41)串接于无线终端设备(6)、有线终端设备(7)两者和资源池服务器(1)之间,所述并接攻击防御过程演示设备(42)并接于无线终端设备(6)、有线终端设备(7)两者和资源池服务器(1)之间,所述串联攻击防御过程演示设备(41)中装有过滤防火墙、Web应用防火墙WAF和入侵防御系统IPS,所述并接攻击防御过程演示设备(42)中装有入侵检测系统IDS和日志系统;所述资源池服务器(1)为虚拟化平台管理的资源池,用于为整个实验装置提供实验环境所需要的计算资源、存储资源和网络资源;
S2)通过系统控制服务器(2)建立网络安全攻防实验的用户数据库,并针对用户数据库中的用户分配资源池服务器(1)中计算资源、存储资源和网络资源的使用权限;
S3)通过系统控制服务器(2)导入教案或者考题,所述教案或者考题包括理论考核任务和网络安全攻击考核任务中的至少一种,然后基于Web服务、通过安全攻防实验网络向无线终端设备(6)或有线终端设备(7)的用户下发教案或者随机抽取考题,用户选择教案或者随机抽取得到的考题中的当前考核任务;
S4)如果当前考核任务为理论考核任务,则跳转执行步骤S5);否则如果当前考核任务为网络安全攻击考核任务,则跳转执行步骤S6);
S5)所述系统控制服务器(2)获取用户选择或者输入的任务考核结果,基于当前考核任务的标准考核结果对用户选择或者输入的任务考核结果进行计分,然后跳转执行步骤S7);
S6)所述数据分析服务器(3)捕获用户执行当前考核任务的数据包,对数据包进行场景分析得到当前考核任务对应的攻击场景,所述系统控制服务器(2)基于当前考核任务的标准攻击场景对分析得到的攻击场景进行计分,然后跳转执行步骤S7);
S7)所述系统控制服务器(2)判断下发的教案或者随机抽取得到的考题是否已经全部完成,如果尚未全部完成,则用户选择下一道教案或者随机抽取得到的考题作为新的当前考核任务,跳转执行步骤S4);否则如果已经全部完成,则输出本轮下发的教案或者随机抽取得到的考题的计分结果总和;
所述步骤S6)中对数据包进行场景分析得到当前考核任务对应的攻击场景的详细步骤包括:
S6.1)针对捕获用户执行当前考核任务的原始数据包进行初步筛选;
S6.2)对筛选后的数据包进行拆解和分类,得到包括ARP、ICMP、IP、TCP、UDP、HTTP、HTTPS、FTP、SNMP、SMTP、POP3、SSH、Telnet、DNS、RPC通信协议中至少一种通信协议对应的协议数据;
S6.3)分析攻击场景分析并通过串联攻击防御过程演示设备(41)或者并接攻击防御过程演示设备(42)进行攻击场景展示;
所述步骤S6.1)的详细步骤包括:
S6.1.1)获取攻击场景中攻击者的IP地址和MAC地址;
S6.1.2)分析数据包是否是ARP协议,如果是跳转步骤S6.1.5),否则跳转步骤S6.1.2);
S6.1.3)分析数据包是否是ICMP协议,如果是跳转步骤S6.1.5),否则跳转步骤S6.1.4);
S6.1.4)分析数据包是否是IP承载的其他协议,如果是跳转步骤S6.1.5),否则跳转步骤5.1.7);
S6.1.5)获取数据包中的MAC地址或者IP地址,判断MAC地址或IP地址和步骤S6.1.1)中的MAC地址和IP地址进行匹配,若有一项相同,则跳转步骤S6.1.6),否则跳转步骤S6.1.7);
S6.1.6)使用该数据包;
S6.1.7)丢弃该数据包;
所述步骤S6.3)的详细步骤包括:
S6.3.1)将步骤S6.1)和S6.2)得到的结果及数据包输入入侵检测分析系统分析攻击类型;
S6.3.2)根据攻击类型获取预设的攻击模板;
S6.3.3)根据数据包填充攻击模板中所需要的参数;
S6.3.4)显示填充完毕的攻击模板,通过串联攻击防御过程演示设备(41)或者并接攻击防御过程演示设备(42)进行攻击场景展示以展示攻击过程。
CN201510741698.7A 2015-11-04 2015-11-04 一种电力行业网络安全攻防实验方法 Active CN105262771B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510741698.7A CN105262771B (zh) 2015-11-04 2015-11-04 一种电力行业网络安全攻防实验方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510741698.7A CN105262771B (zh) 2015-11-04 2015-11-04 一种电力行业网络安全攻防实验方法

Publications (2)

Publication Number Publication Date
CN105262771A CN105262771A (zh) 2016-01-20
CN105262771B true CN105262771B (zh) 2018-04-13

Family

ID=55102276

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510741698.7A Active CN105262771B (zh) 2015-11-04 2015-11-04 一种电力行业网络安全攻防实验方法

Country Status (1)

Country Link
CN (1) CN105262771B (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105869089A (zh) * 2016-04-21 2016-08-17 国家计算机网络与信息安全管理中心 一种基于虚拟化技术的网络安全在线实操考试系统及方法
CN106789233B (zh) * 2016-12-16 2020-07-24 华北电力科学研究院有限责任公司 一种网络攻防实验平台的自动评分方法及装置
CN106647714B (zh) * 2017-01-04 2018-11-09 上海云剑信息技术有限公司 工业控制系统共性安全技术测试床
CN107071781B (zh) * 2017-05-04 2019-11-29 国网江苏省电力公司电力科学研究院 一种适用于电力无线专网核心网的安全防护性能测评方法
CN107483481B (zh) * 2017-09-11 2020-12-15 杭州域晓科技有限公司 一种工业控制系统攻防模拟平台及其实现方法
CN109167792A (zh) * 2018-09-19 2019-01-08 四川长虹电器股份有限公司 一种基于Nginx的新型WAF设计方法
CN109446635B (zh) * 2018-10-23 2023-05-05 中国电力科学研究院有限公司 一种基于机器学习的电力工控攻击分类方法和系统
CN109523858A (zh) * 2018-12-11 2019-03-26 衡阳师范学院 一种基于docker的网络协议仿真教学系统实现方法与流程
CN111711601A (zh) * 2020-04-24 2020-09-25 宁夏凯信特信息科技有限公司 一种星空网络安全攻防平台
CN111526147A (zh) * 2020-04-24 2020-08-11 北京安码科技有限公司 应用于真实网络攻防的实时管控方法、系统、电子设备及存储介质
CN111641596B (zh) * 2020-05-11 2021-08-20 湖南大学 电力网络信息物理安全隐患评估方法、系统及电力系统
CN111600766A (zh) * 2020-06-17 2020-08-28 深圳安讯数字科技有限公司 一种采集分析网络数据包的设备及其使用方法
US20230318845A1 (en) * 2022-04-01 2023-10-05 Vectra Ai, Inc. Method, product, and system for generating detection signatures based on attack paths in a computer network identified using a software representation that embodies network configuration and policy data for security management using detection signature templates

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1773983A (zh) * 2005-11-03 2006-05-17 上海交通大学 实现大规模交互式安全审计与监控教学实验的方法
CN104809404A (zh) * 2015-04-17 2015-07-29 广东电网有限责任公司信息中心 一种信息安全攻防平台的数据层系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2872653B1 (fr) * 2004-06-30 2006-12-29 Skyrecon Systems Sa Systeme et procedes de securisation de postes informatiques et/ou de reseaux de communications

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1773983A (zh) * 2005-11-03 2006-05-17 上海交通大学 实现大规模交互式安全审计与监控教学实验的方法
CN104809404A (zh) * 2015-04-17 2015-07-29 广东电网有限责任公司信息中心 一种信息安全攻防平台的数据层系统

Also Published As

Publication number Publication date
CN105262771A (zh) 2016-01-20

Similar Documents

Publication Publication Date Title
CN105262771B (zh) 一种电力行业网络安全攻防实验方法
KR101534194B1 (ko) 침입자 행동패턴을 반영한 사이버보안 교육훈련시스템 및 방법
CN105227383B (zh) 一种网络拓扑排查的装置
US11265334B1 (en) Methods and systems for detecting malicious servers
CN107070929A (zh) 一种工控网络蜜罐系统
CN108646722A (zh) 一种工业控制系统信息安全仿真模型及终端
CN106131023A (zh) 一种信息安全风险强力识别系统
CN107347047A (zh) 攻击防护方法和装置
Annor-Asante et al. Development of smart grid testbed with low-cost hardware and software for cybersecurity research and education
Cisar et al. Some ethical hacking possibilities in Kali Linux environment
Maglaras et al. Teaching the process of building an Intrusion Detection System using data from a small‐scale SCADA testbed
Tarman et al. Comparing reproduced cyber experimentation studies across different emulation testbeds
CN111245800A (zh) 基于应用场景的工控网络的网络安全测试方法和装置
Zhu et al. Scaffisd: a scalable framework for fine-grained identification and security detection of wireless routers
Mohd Ariffin et al. Deployment of Honeypot and SIEM Tools for Cyber Security Education Model in UITM.
Volarević et al. Network forensics
Tayag et al. IoT security: penetration testing of white-label cloud-based IoT camera compromising personal data privacy
Labuschagne et al. Developing a capability to classify technical skill levels within a cyber range
Winn Constructing cost-effective and targetable ICS honeypots suited for production networks
Vaccari et al. Perpetrate cyber-attacks using IoT devices as attack vector: the ESP8266 use case
Labuschagne et al. Towards an automated security awareness system in a virtualized environment
Fetter et al. Raspberry pis for network security
Mayorga et al. Honeypot network configuration through cyberattack patterns
Granö et al. Virtual environments for penetration testing of IoT devices
Thom et al. Casting a wide net: An internet of things testbed for cybersecurity education and research

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant