CN108111482A - 一种智能电网工业控制网络安全测试系统和测试方法 - Google Patents

Abstract

本发明涉及一种智能电网工业控制网络安全测试系统和测试方法，其技术特点在于：包括变电站层和间隔层，所述变电站层包括上位控制主机和模拟攻击主机；所述间隔层包括多个嵌入式二次设备；在变电站层和间隔层之间连接有网络数据交换机，所述上位控制主机、模拟攻击主机和多个嵌入式二次设备分别与网络数据交换机相连接，用于实现变电站层和间隔层之间的数据通信，该网络数据交换机还与流量监控主机相连接；用于旁路监听工控网络流量。本发明遵照IEC 61850通信规范，通过嵌入式设备模拟智能电网中的二次设备，并通过PC主机模拟智能电网中的变电站控制主机，可实现对IEC 61850工控网络安全问题的精确分析和测试。

Description

一种智能电网工业控制网络安全测试系统和测试方法

技术领域

本发明属于智能电网工业控制技术领域，涉及基于开源系统框架下的支持多类型网络异常与攻击测试的智能电网，尤其是一种智能电网工业控制网络安全测试系统和测试方法。

背景技术

智能电网是一种相较于传统电网更智能、更经济、互动性更强的电网体系，它引领了电网系统未来发展的方向。通过智能电网的部署，可以有效地提升电网业务服务水平，实现电力流、信息流和业务流的高度融合。随着智能电网的发展，电网系统的自动化水平不断提高，其所属的各类电力、通信、监控体系也越来越复杂。近几年来，随着智能电网的应用和研究，针对智能电网的安全事件越来越多地出现在人们的视野当中。2015年12月23日，乌克兰电力系统遭受恶意代码攻击，攻击者入侵了监控管理系统，导致至少有三个电力区域停电数小时。

目前,智能电网标准的制定也主要围绕着如何提升电网自动化系统的可扩展性和互操作性，对智能电网工控网络的安全性重视不足。而随着智能电网越来越多地依赖于实时以太网通信技术，必然会导致更多信息安全事件的发生。由于计算机网络具有互联、开放和连接方式多样性的特点，再加上计算机网络协议固有而难以解决的自身脆弱性，以及网络管理者的安全意识疏漏，导致了当今网络环境下计算机系统存在各类安全隐患。目前，智能电网工控网络所面临的信息安全风险主要包括信息窃取、截获篡改、拒绝服务攻击、以及恶意代码攻击等。

当前，智能电网系统已在电力应用的部分领域已有应用，对于一个典型的智能电网系统，主要包含了变电站层、间隔层和过程层三部分，如图1所示，其中，变电站层包含对整个智能电网控制系统的控制、监视以及日志等功能，由于变电站层往往直接与互联网相连，因此也是整个智能电网系统中最容易产生安全威胁的部分；间隔层主要由智能二次设备组成，负责对生产过程中的相关设备进行控制，优化生产过程，提升系统效率；过程层一般由带有智能芯片的生产设备或仪表等组成，一般只对信息进行推送和执行由间隔层或变电站层提出的控制指令的操作。

但在典型的智能电网系统实施和开发过程中，为保障系统运行效率和网络通信延迟，往往不包含相关网络安全检测设备和网络安全防御机制，因此系统安全性会产生较大隐患。

发明内容

本发明的目的在于提供一种高扩展性，高可用性的智能电网工业控制网络安全测试系统和测试方法，通过模拟智能电网中变电站层与间隔层的网络主机及其通信，能够实现对智能电网系统的网络安全测试，发现智能电网系统中可能存在的各类安全问题。

本发明解决其现实问题是采取以下技术方案实现的：

一种智能电网工业控制网络安全测试系统，包括变电站层和间隔层，所述变电站层包括上位控制主机和模拟攻击主机；所述间隔层包括多个嵌入式二次设备；在变电站层和间隔层之间连接有网络数据交换机，所述上位控制主机、模拟攻击主机和多个嵌入式二次设备分别与网络数据交换机相连接，用于实现变电站层和间隔层之间的数据通信，该网络数据交换机还与流量监控主机相连接；用于旁路监听工控网络流量；所述上位控制主机用于对所述多个嵌入式二次设备进行通信和控制；所述模拟攻击主机用于模拟黑客攻击者对智能电网工控网络发起的多类型网络攻击；所述嵌入式二次设备用于模拟智能变电站内部的二次智能设备。

而且，所述流量监控主机通过交换机网络镜像端口与网络数据交换机相连接，一方面可用于检测系统运行时的网络状态，另一方面也可在网络攻击事件发生时进行预警。

一种智能电网工业控制网络安全测试方法，包括以下步骤：

步骤1、启动智能电网工业控制网络安全测试系统内全部硬件设备，至正常运行后进行智能电网工业控制网络安全测试中的控制测试；

步骤2、启动智能电网工业控制网络安全测试系统内全部硬件设备，至正常运行后进行智能电网工业控制网络安全测试中的攻击测试。

而且，所述步骤1的具体步骤包括：

(1)运行上位控制主机客户端程序，该客户端程序为基于libiec61850相关API进行开发的控制系统，用于对嵌入式二次设备发送控制指令；该客户端程序为测试系统中上位控制主机所使用的控制软件，用于对嵌入式二次设备发送控制指令，在控制测试流程中，由上位控制主机客户端发送模拟开关的开启/闭合指令；

(2)运行嵌入式二次设备服务端程序，该服务端程序是基于libiec61850相关API进行开发，实现了接收客户端程序连接，执行客户端程序所发送指令的功能；

(3)上位控制主机向嵌入式二次设备发送连接请求，嵌入式二次设备收到请求后建立连接并接受上位控制主机的指令，调用相关硬件接口，以硬件LED灯明灭的方式展示模拟开关的开启/闭合状态；

(4)在连接建立及控制指令发送过程中，由流量监控主机开启Wireshark，TCPdump的数据包捕捉工具进行实时数据包监测，并了解IEC 61850相关网络协议通信模式。

而且，所述步骤2的具体步骤包括：

(1)运行上位控制主机客户端程序，在攻击测试流程中，客户端程序以秒为时间周期持续发送控制指令，并记录嵌入式二次设备的响应延迟，同时在界面中进行绘图展示；

(2)运行嵌入式二次设备服务端程序，该服务端程序是基于libiec61850相关API进行开发，实现了接收客户端程序连接，执行客户端程序所发送指令的功能；

(3)上位控制主机向嵌入式二次设备发送连接请求，嵌入式设备收到请求后建立连接并接受上位控制主机指令，同时上位控制主机开始以秒为单位对嵌入式二次设备发送控制命令，命令内容与控制流程相同，为通过LED等明灭的方式展示模拟开关的开启/闭合状态；

(4)模拟攻击主机在上位控制主机和嵌入式二次设备进行正常通信的过程中，使用流量型攻击脚本或针对业务系统的攻击脚本，分别对上位控制主机和嵌入式二次设备发起攻击测试；

(5)在攻击发起的过程中，流量监控主机可通过使用Wireshark，TCP dump的数据包捕捉工具检测到数据包异常，如流量型攻击发起时，数据流量会瞬间变大，针对业务系统的攻击发起时，智能电网相关通信连接会增多或产生异常；

(6)由于上位控制主机所运行的客户端持续发送控制指令，并嵌入式二次设备响应延迟，因此在攻击发起后，会在客户端观测到设备响应延迟提升，甚至连接中断现象，此时证明攻击有效并已对业务系统产生了影响；

(7)模拟攻击主机停止攻击脚本的攻击；

(8)在上位控制主机中可以观察到业务系统恢复正常，控制指令响应延迟恢复正常。

本发明的优点和有益效果：

1、本发明考虑到目前存在的有关智能电网安全事件和智能电网系统网络架构方式的特点，提出智能电网工控网络安全测试系统主要通过变电站层和过程层两部分实现对IEC 61850工控网络安全问题的精确分析和测试。本发明的安全测试系统包括上位控制主机、嵌入式二次设备、流量监控主机、模拟攻击主机以及网络数据交换机；遵照IEC 61850通信规范，通过嵌入式设备模拟智能电网中的二次设备，并通过PC主机模拟智能电网中的变电站控制主机，同时在攻击模拟主机中，本发明提供了攻击模拟主机运行环境及其多种攻击测试代码，并支持多种编程脚本语言，可根据需要自行进行开发。本发明还同时提供了网络流量镜像监控接口，可通过该接口连接各类网络监控设备或主机，实现对攻击发起全过程的监控和研究。

2、本发明为克服当前智能电网系统结构上的安全性缺陷，引入了现实网络系统中的恶意用户即网络攻击者角色，并可由网络攻击者发起多种类型的网络攻击，攻击类型包含了一般网络系统中常见的流量型攻击(如洪水攻击，拒绝服务攻击，欺骗攻击等)以及针对智能电网相关业务系统的攻击(如连接攻击，针对控制系统的攻击等)。同时在攻击发生的过程中测试系统提供了流量监控主机的角色，可对网络攻击的发起和攻击过程进行可视化的分析并对网络攻击特征进行收集，可在监控主机中通过分析相关攻击特征，制定入侵检测规则，建立入侵检测和防御系统。

3、本发明的安全测试方法的上位控制主机中的控制系统中添加了对嵌入式二次设备响应延迟的记录和展示功能，可以更为直观的使测试系统使用者发现网络攻击行为，同时除上位控制主机所体现的响应延迟的记录和展示外，流量监控主机也提供了网络数据包的展示和记录功能，可以详尽的记录各类型网络攻击在实施过程中所产生的流量特征并发现网络攻击行为，并为将来有关网络攻击检测和防御方法的研究提供数据支持。

4、智能电网通信标准的特殊性，智能电网系统的开发往往使用非开源代码进行开发，本发中的测试系统使用了符合IEC 61850通信规范的开源库进行开发，不仅完全满足通信规约，同时较非开源系统，具备了更强的可扩展性，系统使用者可根据需要进行二次开发，同时系统使用者也可更加方便的对通信协议栈进行分析和研究，发现安全问题。

5、本发明在上位控制主机中的控制系统中添加了对嵌入式二次设备响应延迟的记录和展示功能，可以更为直观的使测试系统使用者发现网络攻击行为，同时除上位控制主机所体现的响应延迟的记录和展示外，流量监控主机也提供了网络数据包的展示和记录功能，可以详尽的记录各类型网络攻击在实施过程中所产生的流量特征并发现网络攻击行为，并为将来有关网络攻击检测和防御方法的研究提供数据支持。

6、本发明的嵌入式二次设备部分使用了嵌入式设备，其信息处理能力与真实运行环境中的相关设备接近，因此能够更准确的了解系统运行中由于网络攻击而产生影响。

7、本发明中的测试系统是一个基于智能电网真实运行环境并提供多种网络攻击测试功能的测试系统，因此本发明的测试系统可用于相关业务系统信息安全应急演练，对于提升管理和工作人员的信息安全意识和技能具有重要作用。

附图说明

图1为本发明的背景技术中典型的智能电网系统的架构示意图；

图2为本发明的智能电网工控网络安全测试系统架构示意图；

图3为本发明的智能电网工业控制网络安全测试方法处理流程图；

图4为本发明的上位控制主机组成结构示意图；

图5为本发明的模拟攻击主机组成结构示意图；

图6为本发明的流量监控主机组成结构示意图；

图7为本发明的嵌入式二次设备结构示意图；

图8为本发明的智能电网工控网络安全测试系统的实物连接示意图；

图9为本发明的安全测试系统网络层攻击测试结果图；

图10为本发明的流量监控主机中抓取到攻击产生的数据包；

图11为本发明的安全测试系统应用层攻击测试结果图；

图12为本发明的模拟攻击主机实施攻击效果图；

图13为本发明的应用层多连接攻击测试结果图。

具体实施方式

以下结合附图对本发明实施例作进一步详述：

本发明在深入研究国际电工委员会的变电站国际化标准IEC 61850的基础上，提出了一种面向智能电网IEC 61850工控网络的安全测试系统和测试方法，根据现有的智能电网安全事件和智能电网系统网络架构方式的特点，通过在系统内部署不同角色的网络节点，对智能电网IEC 61850工控网络安全风险进行精确分析和测试。

一种智能电网工业控制网络安全测试系统，用于实现对IEC 61850工控网络安全问题的测试；如图2所示，包括变电站层和间隔层，所述变电站层包括上位控制主机和模拟攻击主机；所述间隔层包括多个嵌入式二次设备；在变电站层和间隔层之间连接有网络数据交换机，所述上位控制主机、模拟攻击主机和多个嵌入式二次设备分别与网络数据交换机相连接，用于实现变电站层和间隔层之间的数据通信，该网络数据交换机还与流量监控主机相连接；用于旁路监听工控网络流量；所述上位控制主机用于对所述多个嵌入式二次设备进行通信和控制；所述模拟攻击主机用于模拟黑客攻击者对智能电网工控网络发起的多类型网络攻击；所述嵌入式二次设备用于模拟智能变电站内部的二次智能设备。

在本实施例中，所述流量监控主机通过交换机网络镜像端口与网络数据交换机相连接，一方面可用于检测系统运行时的网络状态，另一方面也可在网络攻击事件发生时进行预警。

在本实施例中，上述各设备之间通过网络数据交换机组成智能变电站工控网络。该智能变电站智能工控网络安全测试系统共包含了五种类型的主机角色，包括上位控制主机、模拟攻击主机、流量监控主机、智能二次设备和网络数据交换机，不同角色的主机在测试系统中的实现方式和功能不同，下面分别对本发明的智能电网工业控制网络安全测试系统内上位控制主机、模拟攻击主机、流量监控主机、网络数据交换机和嵌入式二次设备的构成和功能进行详细说明：

(1)上位控制主机是针对智能电网系统中使用PC或服务器主机模拟上位机控制部分，通过调用libiec61850相关客户端API进行相关功能的实现，并通过C#语言进行二次开发，实现与嵌入式设备通过IEC 61850相关协议进行通信。

在本实施例中，所述上位控制主机由PC或服务器主机模拟，该上位控制主机如图4所示，包含操作系统层、中间层和应用层三部分，其中，操作系统部分，上位控制主机运行通用windows操作系统。中间层部分通过调用libiec61850相关客户端API实现与嵌入式设备的通信。应用层通过C#语言对相关功能进行二次开发，使用者既通过现有可执行程序进行测试。

其中，操作系统层包括了操作系统接口和系统网络接口两部分，操作系统接口为上位控制主机实现功能提供运行环境，通过Windows/Linux/Vxwork等操作系统实现，系统网络接口为操作系统中所提供基于以太网的网络连接与数据包封装、解析等服务。

中间层采用基于IEC 61850的工控网络协议栈实现，并通过协议栈提供的API接口实现工控网络组网、智能变电站工控信息的封装与解析等功能。

应用层应用程序由C语言以及C#语言通过调用中间件层中libiec61850有关客户端API进行实现。应用层包括控制功能与攻击验证两种工作模式：控制功能模式主要实现对变电站智能设备中特定数据属性的读写操作，以模拟变电站内部的日常网络行为；攻击验证模式在控制模式的基础上，可以实时收集智能电网工控网络的QoS数据，并对恶意入侵行为所产生的攻击效果，如传输时延、丢包率、吞吐量、网络可靠性等进行分析评估。

(2)模拟攻击主机，应满足支持运行多种类操作系统，并提供多种常见的网络攻击脚本，同时还应支持多种类编程语言，以增强攻击种类的多样性。

在本实施例中，所述模拟攻击主机，如图5所示，包括操作系统层、应用层两部分，其中操作系统层使用了Windows以及Linux等多操作系统，用以支持不同的网络攻击测试工具，在应用层部分，包含了多类型网络攻击测试工具，从网络入侵的角度，实现了对智能电网工控网络中各类入侵行为的场景重构与分析测试。支持的测试内容包含了网络层攻击如各类型洪水攻击和针对智能电网的应用层攻击。其攻击相关代码由系统搭建者提供一部分预置的常见网络攻击脚本，并为系统使用者提供多种语言运行环境，也可由用户自行编写相关攻击脚本。

模拟攻击主机结构可分为两层：操作系统层和应用层，操作系统层同时支持Windows操作系统和多类型Linux操作系统，应用层中包含了多类型网络流量攻击测试工具，其支持的测试内容包含了网络层攻击如各类型洪水攻击和针对智能电网的应用层攻击。

其中，网络流量攻击测试包含了常见的流量型攻击脚本，如UDP flood，ICMPflood，SYN flood等，这些类型的攻击是基于传统网络传输所存在的安全威胁进行设计和实现，同时业务系统攻击测试中包含了针对智能电网业务系统及其网络通信的攻击脚本，这些攻击脚本利用了业务系统或网络通信过程中尚未发现或被忽略的安全漏洞，实现了更加具有针对性的攻击测试。测试系统用户也可根据自身需要，编写相关漏洞利用和网络攻击脚本，验证尚未发现的安全问题。

(3)流量监控主机，是连接于交换机镜像端口的PC主机，该主机可通过运行多种抓包工具，实现对数据包的实时监控，研究各类型攻击发起的过程。同时还运行入侵检测工具，用于攻击发生时产生告警。

在本实施例中，所述流量监控主机如图6所示，同样分为操作系统层和应用层两部分，操作系统运行于一般Windows操作系统，应用层包含了网络数据包捕获工具，用于抓取网络交换机镜像端口中的数据包，以及入侵检测工具，用于在网络攻击发起时提供告警。

流量监控主机通过网络数据交换机的镜像端口与测试系统连接，一方面实现了对智能电网工控网络中的流量数据进行实时采集与分析，另一方面有效避免了对工控网络交换机中其他端口通信的影响。流量监控主机结构可分为两部分，操作系统层和应用层，其中，操作系统层使用了Windows及Liunx操作系统为流量监控工具提供运行环境，应用层通过Wireshark/TCP dump/Smartsniff等网络抓包工具，实现对工控网络数据包的采集与分析，同时应用层还通过部署snort工具，具备一定入侵检测功能。

(4)网络数据交换机，是支持镜像端口和vlan划分的交换机设备，网络数据交换机处于测试系统的中心，智能变电站工控网络内的所有设备均与该网络数据交换机相连接。

网络数据交换机主要实现的功能包括了数据转发，数据镜像端口，vlan划分的功能，数据转发为本测试系统提供网络通信服务，数据镜像端口为流量监控主机提供全部交换机端口的网络镜像数据，vlan划分用于在逻辑上分割变电站层和间隔层的网络通信，使得测试系统网络结构清晰。

(5)嵌入式二次设备是针对智能电网二次设备的模拟，其包含了一整套linux操作系统，并为网络通信提供基本通信接口，IEC 61850功能实现部分通过使用libiec61850开源库实现，具体业务代码可直接使用现有样例，也可由使用者自行开发。

在本实施例中，嵌入式二次设备架构如图7所示，主要包括物理层，中间层、操作系统层和应用层四部分。

其中，物理层部分的底层硬件设备使用了Beagle Bone Black嵌入式开发板，该开发板性能与实际业务系统底层设备相似；操作系统层部分使用了该开发板中包含的一整套基于的linux操作系统。由操作系统直接提供控制及网络通信接口；中间层部分使用了基于libiec61850的第三方开源运行库所提供的相关服务器API。其中，Libiec61850官方已通过了对Beagle Bone Black的测试，因此系统运行稳定性更强；应用层部分，本嵌入式二次设备通过C语言编写相关模拟智能电网业务系统代码，实现嵌入式二次设备的智能电网通信服务器相关功能；应用系统部分通过C语言调用中间件相关API，以及针对二次设备相关文件(icd文件)的解析，实现对二次设备的模拟。应用系统是在libiec61850的基础上根据测试需要进行二次开发的应用程序。

其中，①物理层：IEC 61850工控安全测试系统所使用的物理层设备为BeagleBoneBlack开源硬件开发系统。使用该设备用以模拟智能电网中相关设备原因如下：首先，BeagleBone Black是一款内嵌Linux操作系统的嵌入式开发设备，在该设备中，操作系统为设备提供了完整的操作系统以及网络支持，不仅开发成本低，开发效率高，而且程序运行稳定性较好。接着，由于测试系统现场节点相关功能由Libiec61850框架提供，在该框架的官方说明文档中，已通过对BeagleBone Black的API兼容性测试。最后，由于目前条件无法获得智能电网真实生产环境下的智能设备，BeagleBone Black其处理性能与电网真实环境下的智能设备相似，而设备成本较低。因此，从兼容性和开发效率以及设备成本等方面，BeagleBone Black是可以满足多方面要求的选择。②操作系统层：BeagleBone Black包含了一套完整的Linux操作系统，在该操作系统中，已经封装好了相关功能和接口，并提供了程序运行环境以及网络通信相关功能。③中间层：IEC 61850信息安全测试系统中现场节点使用了Libiec61850提供的服务器API，通过调用服务器API，可以实现智能电网中智能设备的相关功能，并与上位机进行顺利通信。④应用层：IEC 61850信息安全测试系统应用层使用C语言进行实现，通过调用Libiec61850所提供的服务器API接口实现二次开发，并对智能电网中特定智能设备进行模拟。在嵌入式二次设备中，应用层功能主要实现了接收并执行上位控制主机的控制指令，并根据指令调用设备自身接口，控制LED灯光开启/关闭的功能。

图8为根据本发明的智能电网工控网络安全测试系统的实物连接示意图，其中，上位控制主机，模拟攻击主机，嵌入式二次设备和流量监控主机均通过网线与网络数据交换机相连接，上位控制主机连接至端口1用于发送控制指令；模拟攻击主机连接至端口2，用于发起多类型网络攻击；多个嵌入式二次设备连接至端口3、4，用于执行由上位控制主机发送的控制指令；流量监控主机连接至镜像端口，用于监视网络流量。同时上位控制主机和模拟攻击主机划分至vlan1中，嵌入式二次设备划分至vlan2中，用以体现不同网络逻辑层次(vlan1为变电站层，vlan2为间隔层)并通过对网络数据交换机的配置，实现不同vlan间的通信。

一种智能电网工业控制网络安全测试方法，如图3所示，包括以下步骤：

步骤1、启动智能电网工业控制网络安全测试系统内全部硬件设备，至正常运行后进行智能电网工业控制网络安全测试中的控制测试；

所述步骤1的具体步骤包括：

(1)运行上位控制主机客户端程序，该客户端程序为基于libiec61850相关API进行开发的控制系统，用于对嵌入式二次设备发送控制指令；该客户端程序为测试系统中上位控制主机所使用的控制软件，用于对嵌入式二次设备发送控制指令，在控制测试流程中，由上位控制主机客户端发送模拟开关的开启/闭合指令；

(2)运行嵌入式二次设备服务端程序，该服务端程序是基于libiec61850相关API进行开发，实现了接收客户端程序连接，执行客户端程序所发送指令的功能；

(3)上位控制主机向嵌入式二次设备发送连接请求，嵌入式二次设备收到请求后建立连接并接受上位控制主机的指令，调用相关硬件接口，以硬件LED灯明灭的方式展示模拟开关的开启/闭合状态；

(4)在连接建立及控制指令发送过程中，由流量监控主机开启Wireshark，TCPdump的数据包捕捉工具进行实时数据包监测，并了解IEC 61850相关网络协议通信模式。

步骤2、启动智能电网工业控制网络安全测试系统内全部硬件设备，至正常运行后进行智能电网工业控制网络安全测试中的攻击测试。

所述步骤2的具体步骤包括：

(1)运行上位控制主机客户端程序，在攻击测试流程中，客户端程序以秒为时间周期持续发送控制指令，并记录嵌入式二次设备的响应延迟，同时在界面中进行绘图展示；

(2)运行嵌入式二次设备服务端程序，该服务端程序是基于libiec61850相关API进行开发，实现了接收客户端程序连接，执行客户端程序所发送指令的功能；

(3)上位控制主机向嵌入式二次设备发送连接请求，嵌入式设备收到请求后建立连接并接受上位控制主机指令，同时上位控制主机开始以秒为单位对嵌入式二次设备发送控制命令，命令内容与控制流程相同，为通过LED等明灭的方式展示模拟开关的开启/闭合状态；

(4)模拟攻击主机在上位控制主机和嵌入式二次设备进行正常通信的过程中，使用流量型攻击脚本或针对业务系统的攻击脚本，分别对上位控制主机和嵌入式二次设备发起攻击测试；

(5)在攻击发起的过程中，流量监控主机可通过使用Wireshark，TCP dump的数据包捕捉工具检测到数据包异常，如流量型攻击发起时，数据流量会瞬间变大，针对业务系统的攻击发起时，智能电网相关通信连接会增多或产生异常；

(6)由于上位控制主机所运行的客户端持续发送控制指令，并嵌入式二次设备响应延迟，因此在攻击发起后，会在客户端观测到设备响应延迟提升，甚至连接中断现象，此时证明攻击有效并已对业务系统产生了影响；

(7)模拟攻击主机停止攻击脚本的攻击；

(8)在上位控制主机中可以观察到业务系统恢复正常，控制指令响应延迟恢复正常。

本发明智能电网工业控制网络安全测试方法中有关网络攻击的测试由模拟攻击主机进行实现，攻击模拟主机可提供多种类型的网络攻击测试，主要包含流量型攻击和业务系统攻击两大类。

流量型攻击测试实施案例在本测试系统上实现了基于网络层的UDP flood拒绝服务网络攻击以及基于应用层的恶意控制和多连接攻击测试。其中，基于UDP flood的网络攻击测试代码运行在模拟攻击主机上，并运用多线程技术调用操作系统的socket库，根据目标主机的IP地址、目标端口、以及数据包大小等参数，产生针对目标主机的大规模UDP网络流量，以实现拒绝服务网络攻击测试；通过上位控制主机的攻击验证模式，对智能二次设备与上位控制主机之间的网络连接与传输时延参数进行实时分析与统计，以分析基于UDPflood的网络攻击性能；通过流量监控主机与Wireshark流量分析工具对工控交换机镜像端口导出的网络流量进行实时收集与分析，以发现智能电网工控网络中的异常网络行为。

基于网络层的UDP flood攻击测试结果如图9所示；攻击发起后控制端已无法正常和智能设备进行连接；同时，还可以在监控主机中抓取到攻击产生的数据包，如图10所示，可以看出，在攻击发起后，流量监控主机可以发现大量由IP地址192.168.1.109发送至192.168.1.101的UDP数据包，其中192.168.1.109主机为模拟攻击主机的IP地址，而192.168.1.101为嵌入式二次设备的IP地址，当攻击发起时，可以在流量监控软件中直观的观测到数据包的增多和异常，同时控制系统主机中运行的客户端断线无法正常连接也验证了攻击的有效性。

基于应用层的恶意控制攻击以及多连接攻击是一种由于智能电网二次设备缺乏有效认证机制而导致的应用层攻击，攻击测试的代码运行于模拟攻击主机上，并通过调用libiec61850运行库中所提供的客户端API实施攻击，模拟攻击主机可针对不同的二次系统所提供的业务，进行攻击代码的定制，同时通过上位主机发起正常的控制指令用以验证攻击是否有效，并通过流量监控主机实时获取攻击发生时的流量状态，并与其它类型攻击进行对比。

基于应用层的恶意控制攻击测试结果如图11所示，此时控制端已无法对本测试系统中的二次设备实施控制，用户点击“控制按钮开/关”按钮后，系统当前变量保持“on”状态，无法进行切换，同时在嵌入式二次设备中也可以观察到通过控制按钮已无法控制LED灯的明灭。图12为模拟攻击主机发起攻击时的攻击者攻击脚本实施效果，可以看到模拟攻击主机反复向二次设备发送数据包，修改设备中相关参数，从而导致控制端无法正常使用系统。此外，如图13所示，在恶意控制攻击发起的过程中，由于模拟攻击主机持续的向嵌入式二次设备发送控制指令，对嵌入式二次设备信息处理性能产生影响，点击控制端“auto”按钮，可以看到在攻击发起前，二次设备响应延迟在20ms左右，而当攻击发起后，传输延迟产生了明显的波动，这表明攻击生效，在工业控制领域特别是电网控制领域，其对传输响应延迟的要求很高，轻微的数据延迟波动都会对业务系统产生难以预料的影响，因此针对业务系统的攻击有效且具有一定价值，此类型的攻击也可根据响应延迟的波动进行发现和检测。

需要强调的是，本发明所述实施例是说明性的，而不是限定性的，因此本发明包括并不限于具体实施方式中所述实施例，凡是由本领域技术人员根据本发明的技术方案得出的其他实施方式，同样属于本发明保护的范围。

Claims (5)

1.一种智能电网工业控制网络安全测试系统，其特征在于：包括变电站层和间隔层，所述变电站层包括上位控制主机和模拟攻击主机；所述间隔层包括多个嵌入式二次设备；在变电站层和间隔层之间连接有网络数据交换机，所述上位控制主机、模拟攻击主机和多个嵌入式二次设备分别与网络数据交换机相连接，用于实现变电站层和间隔层之间的数据通信，该网络数据交换机还与流量监控主机相连接；用于旁路监听工控网络流量；所述上位控制主机用于对所述多个嵌入式二次设备进行通信和控制；所述模拟攻击主机用于模拟黑客攻击者对智能电网工控网络发起的多类型网络攻击；所述嵌入式二次设备用于模拟智能变电站内部的二次智能设备。

2.根据权利要求1所述的一种智能电网工业控制网络安全测试系统，其特征在于：所述流量监控主机通过交换机网络镜像端口与网络数据交换机相连接，一方面可用于检测系统运行时的网络状态，另一方面也可在网络攻击事件发生时进行预警。

3.如权利要求1或2所述的一种智能电网工业控制网络安全测试系统的安全测试方法，其特征在于：包括以下步骤：

步骤1、启动智能电网工业控制网络安全测试系统内全部硬件设备，至正常运行后进行智能电网工业控制网络安全测试中的控制测试；

步骤2、启动智能电网工业控制网络安全测试系统内全部硬件设备，至正常运行后进行智能电网工业控制网络安全测试中的攻击测试。

4.根据权利要求3所述的一种智能电网工业控制网络安全测试系统的安全测试方法，其特征在于：所述步骤1的具体步骤包括：

(1)运行上位控制主机客户端程序，该客户端程序为基于libiec61850相关API进行开发的控制系统，用于对嵌入式二次设备发送控制指令；该客户端程序为测试系统中上位控制主机所使用的控制软件，用于对嵌入式二次设备发送控制指令，在控制测试流程中，由上位控制主机客户端发送模拟开关的开启/闭合指令；

(2)运行嵌入式二次设备服务端程序，该服务端程序是基于libiec61850相关API进行开发，实现了接收客户端程序连接，执行客户端程序所发送指令的功能；

(3)上位控制主机向嵌入式二次设备发送连接请求，嵌入式二次设备收到请求后建立连接并接受上位控制主机的指令，调用相关硬件接口，以硬件LED灯明灭的方式展示模拟开关的开启/闭合状态；

(4)在连接建立及控制指令发送过程中，由流量监控主机开启Wireshark，TCP dump的数据包捕捉工具进行实时数据包监测，并了解IEC 61850相关网络协议通信模式。

5.根据权利要求3所述的一种智能电网工业控制网络安全测试系统的安全测试方法，其特征在于：所述步骤2的具体步骤包括：

(1)运行上位控制主机客户端程序，在攻击测试流程中，客户端程序以秒为时间周期持续发送控制指令，并记录嵌入式二次设备的响应延迟，同时在界面中进行绘图展示；

(2)运行嵌入式二次设备服务端程序，该服务端程序是基于libiec61850相关API进行开发，实现了接收客户端程序连接，执行客户端程序所发送指令的功能；

(3)上位控制主机向嵌入式二次设备发送连接请求，嵌入式设备收到请求后建立连接并接受上位控制主机指令，同时上位控制主机开始以秒为单位对嵌入式二次设备发送控制命令，命令内容与控制流程相同，为通过LED等明灭的方式展示模拟开关的开启/闭合状态；

(4)模拟攻击主机在上位控制主机和嵌入式二次设备进行正常通信的过程中，使用流量型攻击脚本或针对业务系统的攻击脚本，分别对上位控制主机和嵌入式二次设备发起攻击测试；

(5)在攻击发起的过程中，流量监控主机可通过使用Wireshark，TCP dump的数据包捕捉工具检测到数据包异常，如流量型攻击发起时，数据流量会瞬间变大，针对业务系统的攻击发起时，智能电网相关通信连接会增多或产生异常；

(6)由于上位控制主机所运行的客户端持续发送控制指令，并嵌入式二次设备响应延迟，因此在攻击发起后，会在客户端观测到设备响应延迟提升，甚至连接中断现象，此时证明攻击有效并已对业务系统产生了影响；

(7)模拟攻击主机停止攻击脚本的攻击；

(8)在上位控制主机中可以观察到业务系统恢复正常，控制指令响应延迟恢复正常。