CN113473472A - 一种电力网络靶场终端接入仿真和攻击重放方法及系统 - Google Patents

一种电力网络靶场终端接入仿真和攻击重放方法及系统 Download PDF

Info

Publication number
CN113473472A
CN113473472A CN202111026732.4A CN202111026732A CN113473472A CN 113473472 A CN113473472 A CN 113473472A CN 202111026732 A CN202111026732 A CN 202111026732A CN 113473472 A CN113473472 A CN 113473472A
Authority
CN
China
Prior art keywords
message
terminal
data stream
abnormal
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111026732.4A
Other languages
English (en)
Other versions
CN113473472B (zh
Inventor
林冠洲
李超
张云
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xinlian Technology Nanjing Co ltd
Beijing Xinlian Kehui Technology Co ltd
Original Assignee
Xinlian Technology Nanjing Co ltd
Beijing Xinlian Kehui Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xinlian Technology Nanjing Co ltd, Beijing Xinlian Kehui Technology Co ltd filed Critical Xinlian Technology Nanjing Co ltd
Priority to CN202111026732.4A priority Critical patent/CN113473472B/zh
Publication of CN113473472A publication Critical patent/CN113473472A/zh
Application granted granted Critical
Publication of CN113473472B publication Critical patent/CN113473472B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/06Energy or water supply
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/06Testing, supervising or monitoring using simulated traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/35Services specially adapted for particular environments, situations or purposes for the management of goods or merchandise

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • Economics (AREA)
  • Public Health (AREA)
  • Water Supply & Treatment (AREA)
  • General Health & Medical Sciences (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种电力网络靶场终端接入仿真和攻击重放方法及系统,通过网络流量提取和分析,执行终端仿真和行为模拟,实现与电力网络靶场系统的对接和应用,满足靶场中针对电力安全接入场景的模拟和安全研究需求,能够覆盖电力接入场景中终端侧包含行为内容和时间序列的所有行为,适配任意类型的终端,无需定制,人工干预程度低,设计方案具备通用性和自动化特性,适用于带有任意电力终端和异常终端的场景,并且在捕获包含有网络安全事件的网络流量时,可实现事件行为的重放,有助于安全分析研究。

Description

一种电力网络靶场终端接入仿真和攻击重放方法及系统
技术领域
本发明涉及一种电力网络靶场终端接入仿真和攻击重放方法及系统,属于电力网络靶场技术领域。
背景技术
当前,众多电力公司、科研机构、高校建立电力网络靶场系统,基于实体设备、虚拟化系统或两者相结合方式构建电力仿真环境,用于仿真电力业务场景,并基于网络靶场开展网络安全攻防演练、安全测评、技术培训、应急演练等工作,提升建设单位针对电力网络安全的研究能力和实践水平。
随着物联网、NB-IOT、5G、北斗等新一代通信技术在电力场景中的逐步应用,以及采用密码通信技术等通信安全保障措施的进一步完善,大量各种类型的终端基于4G、NB-IOT、5G等有线或无线方式接入电力网络,例如:摄像头、移动作业终端、数据采集终端等,实现了数据的采集上报和反馈,极大便利了业务的开展。
在电力安全接入场景中主要分为电力终端、安全接入设备和业务主站三类元素。其中:
(1)电力终端包含了视频终端、采集终端、移动作业终端等多种类型,对应不同的通信协议,每种类型又涵盖了多种不同厂商。电力终端上安装了基于数字证书和加密芯片的装置,实现与安全接入设备之间的终端认证、密钥协商和加密数据通信。
(2)安全接入设备主要由安全接入网关组成,连接外网侧和内网侧两个网络。外网侧面向电力终端,实现终端认证、数据接收和解密功能,而后以明文方式转发到内网侧网络,实现与业务主站的通信。
(3)业务主站主要由电力业务系统组成,主站接收业务数据实现电力相关的业务功能。
大量终端的接入改变了原有相对封闭的电力网络架构,使得非法用户通过受控终端接入并渗透进入电力网络成为可能,存在严重的安全隐患,是当前电力网络安全的重点关注领域。基于电力网络靶场系统开展针对电力终端接入场景的安全仿真、安全研究、攻防演练是电力靶场系统的重要功能需求。在电力安全接入场景仿真上,安全接入网关和业务主站在实际场景中数量不多且业务功能类型单一,在仿真场景中可以采用实物仿真或者虚拟化仿真方式实现。但是,电力终端设备在实际场景中数量普遍在数十万及以上量级,厂商、类型众多,并且在安全接入网关外网侧需要认证和加密,如何在仿真环境中大规模、自动化仿真是一大难点。此外,当在真实的电力终端接入网络中捕获电力终端引起的网络安全事件或疑似网络安全事件相关的网络流量后,如何从网络流量中提取出电力终端行为,在电力网络靶场系统中快速、自动化、高还原度地仿真,实现网络安全事件重放、复盘是电力网络靶场开展终端接入安全研究亟需解决的技术难题。
针对电力网络靶场终端接入场景中自动化实现终端仿真和网络攻击重放,现有主要采用的技术方案和存在的问题包括:
(1)通过实体或模拟器方式仿真电力终端设备并进行攻击重现,该方案通过对真实的电力终端接入网络中捕获网络安全事件或疑似网络安全事件相关的网络流量进行专家分析方式,发现非法用户的攻击行为和手法。再通过对电力网络靶场系统中接入的实体终端设备或者模拟器终端设备进行同样的手动攻击,实现真实网络场景网络安全事件的攻击重放。
该方案存在的问题是需要大量的人工干预,无法自动化模拟真实场景。同时,在电力网络靶场中集成同类终端实体设备,其成本高昂,难以实现大规模终端仿真;若采用全功能的模拟器仿真终端设备,对靶场环境中终端模拟器功能要求高。面对海量各类终端,方案通用性差。
(2)通过网络流量重放方式仿真电力终端设备和行为,该方案通过在电力网络靶场系统中直接重放现网捕获的网络流量的方式,实现真实网络场景网络安全事件的攻击重放。
该方案存在的问题是由于终端和电力主站系统之间要求存在安全接入网关设备,终端与安全接入网关之间通信流量为加密流量。直接重放报文将导致通信被安全接入网关拒绝,无法实现攻击重放功能。
发明内容
本发明所要解决的技术问题是提供一种电力网络靶场终端接入仿真和攻击重放方法,通过网络流量提取和分析,执行终端仿真和行为模拟,能够覆盖电力接入场景中终端侧的所有行为,有助于电力接入场景的安全分析研究。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种电力网络靶场终端接入仿真和攻击重放方法,包括用于实现正常终端和符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放,执行如下步骤A至步骤C:
步骤A. 基于外网电力终端经安全接入设备连接内网业务主站的电力安全接入场 景中的历史应用,捕获安全接入设备与内网业务主站之间来自正常终端、以及符合通信规 范的非法终端的明文网络流量
Figure 446819DEST_PATH_IMAGE001
,然后进入步骤B;
步骤B. 首先根据明文数据流报文对应预设各数据流属性的数据,针对明文网络 流量
Figure 932335DEST_PATH_IMAGE001
中的各条明文数据流报文进行分组,获得各明文数据流报文组,并删除各明文数据 流报文组中内网业务主站指向安全接入设备方向的各条明文数据流报文,更新各明文数据 流报文组;然后基于明文数据流报文组中各条明文数据流报文的应用层数据内容、以及各 条明文数据流报文的时间,按各条明文数据流报文相对时间的顺序,构建各明文数据流报 文组分别所对应的明文数据流报文序列,最后进入步骤C;
步骤C. 基于外网侧、安全接入设备、以及内网业务主站所构建的电力网络靶场,初始化与明文数据流报文组的数量相等、且包含正常终端和符合通信规范的非法终端的各个电力终端仿真模块,且各个电力终端仿真模块分别与各明文数据流报文序列一一对应,首先由各电力终端仿真模块分别与电力网络靶场中的安全接入设备实现终端认证和密钥协商,然后各电力终端仿真模块分别针对其所对应明文数据流报文序列中各明文数据流报文,按电力接入数据发送方式,顺序将各明文数据流报文的应用层数据内容经安全接入设备向内网业务主站进行发送,即实现正常终端和符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
作为本发明的一种优选技术方案:还包括用于实现不符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放,执行如下步骤I至步骤III;
步骤I. 基于外网电力终端经安全接入设备连接内网业务主站的电力安全接入场 景中的历史应用,捕获外网电力终端与安全接入设备之间的网络流量,并基于电力终端加 密通信规范,筛选出其中不符合通信规范的网络流量,即为来自不符合通信规范的非法终 端的异常网络流量
Figure 289235DEST_PATH_IMAGE002
,然后进入步骤II;
步骤II. 首先根据异常数据流报文对应预设各数据流属性的数据,针对异常网络 流量
Figure 28652DEST_PATH_IMAGE002
中的各条异常数据流报文进行分组,获得各异常数据流报文组,并删除各异常数据 流报文组中安全接入设备指向外网电力终端方向的各条异常数据流报文,更新各异常数据 流报文组;然后基于异常数据流报文组中各条异常数据流报文的应用层数据内容、以及各 条异常数据流报文的时间,按各条异常数据流报文相对时间的顺序,构建各异常数据流报 文组分别所对应的异常数据流报文序列,最后进入步骤III;
步骤III. 基于外网侧、安全接入设备、以及内网业务主站所构建的电力网络靶场,初始化与异常数据流报文组的数量相等、且属于不符合通信规范的非法终端的各个异常终端仿真模块,且各个异常终端仿真模块分别与各异常数据流报文序列一一对应,各异常终端仿真模块分别针对其所对应异常数据流报文序列中各异常数据流报文,按通用协议数据发送方式,顺序将各异常数据流报文的应用层数据内容经安全接入设备向内网业务主站进行发送,即实现不符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
作为本发明的一种优选技术方案:所述步骤I中,基于外网电力终端经安全接入设 备连接内网业务主站的电力安全接入场景中的历史应用,捕获外网电力终端与安全接入设 备之间与所述明文网络流量
Figure 157539DEST_PATH_IMAGE001
同时间段的网络流量,并删除其中明文网络流量
Figure 822744DEST_PATH_IMAGE004
对应外网 电力终端与安全接入设备之间的符合通信规范的加密网络流量,获得外网电力终端与安全 接入设备之间来自不符合通信规范的非法终端的异常网络流量
Figure 168406DEST_PATH_IMAGE002
,然后进入步骤II。
作为本发明的一种优选技术方案:所述步骤II包括步骤II1至步骤II3;
步骤II1. 根据由异常数据流报文对应预设各数据流属性的数据,组合构成异常 数据流报文所对应的类别组,获得异常网络流量
Figure 212979DEST_PATH_IMAGE002
中各条异常数据流报文分别所对应的类 别组,并按相同类别组的各异常数据流报文归为一组的方式,针对异常网络流量
Figure 724600DEST_PATH_IMAGE002
中的各 条异常数据流报文进行分组,获得各异常数据流报文组
Figure 327751DEST_PATH_IMAGE005
,然后进入步骤II2;其中,预设各 数据流属性包括报文通信双方IP、报文通信双方的端口、报文通信双方之间传输层协议类 型,
Figure 193332DEST_PATH_IMAGE006
Figure 540131DEST_PATH_IMAGE007
表示异常数据流报文组的数量,
Figure 171839DEST_PATH_IMAGE005
表示第
Figure 211470DEST_PATH_IMAGE008
个异常数据流报文组,
Figure 576066DEST_PATH_IMAGE009
步骤II2. 根据各异常数据流报文组
Figure 460977DEST_PATH_IMAGE005
分别对应的类别组,删除各异常数据流报 文组
Figure 212770DEST_PATH_IMAGE005
中报文通信源头方IP为安全接入网关IP的各条异常数据流报文,更新各异常数据流 报文组
Figure 659188DEST_PATH_IMAGE005
,然后进入步骤II3;
步骤II3. 分别针对各异常数据流报文组,提取异常数据流报文组
Figure 997896DEST_PATH_IMAGE005
中各条异常 数据流报文的应用层数据内容
Figure 919454DEST_PATH_IMAGE010
、以及各条异常数据流报文的时间,按各条异常数据流报 文的相对时间
Figure 27218DEST_PATH_IMAGE011
,构成各条异常数据流报文分别所对应的异常报文对象
Figure 644538DEST_PATH_IMAGE012
,并按 各条异常数据流报文的时间顺序,针对各异常报文对象
Figure 703498DEST_PATH_IMAGE012
进行排序,构建该异常数 据流报文组
Figure 195791DEST_PATH_IMAGE005
所对应的异常数据流报文序列
Figure 393947DEST_PATH_IMAGE013
,其中,
Figure 946283DEST_PATH_IMAGE014
表示第
Figure 226960DEST_PATH_IMAGE008
个异常数据流报文组
Figure 257364DEST_PATH_IMAGE005
中异常数据流报文的数量,
Figure 829467DEST_PATH_IMAGE010
表示第
Figure 785659DEST_PATH_IMAGE008
个异常数据流报文组
Figure 320677DEST_PATH_IMAGE005
中第
Figure 390657DEST_PATH_IMAGE015
个异常数据流报文的 应用层数据内容,
Figure 796362DEST_PATH_IMAGE011
表示第
Figure 392297DEST_PATH_IMAGE008
个异常数据流报文组
Figure 650497DEST_PATH_IMAGE005
中第
Figure 22703DEST_PATH_IMAGE015
个异常数据流报文的相对时 间,
Figure 312608DEST_PATH_IMAGE012
表示第
Figure 613533DEST_PATH_IMAGE008
个异常数据流报文组
Figure 123143DEST_PATH_IMAGE005
中第
Figure 797575DEST_PATH_IMAGE015
个异常数据流报文所对应的异常报文 对象;进而获得各异常数据流报文组分别所对应的异常数据流报文序列,然后进入步骤 III。
作为本发明的一种优选技术方案:所述步骤II3中,针对异常数据流报文组中的各条异常数据流报文,按各条异常数据流报文的时间顺序进行排序,首先以第一条异常数据流报文的时间为0的变化时长,针对各条异常数据流报文的时间进行更新,然后分别以各条异常数据流报文的时间与第一条异常数据流报文的时间的绝对时间之差,作为各条异常数据流报文的相对时间。
作为本发明的一种优选技术方案,所述步骤III包括如下步骤III1至步骤III2:
步骤III1. 基于外网侧、安全接入设备、以及内网业务主站所构建的电力网络靶场,初始化与异常数据流报文组的数量相等、且属于不符合通信规范的非法终端的各个异常终端仿真模块,且各个异常终端仿真模块分别与各异常数据流报文序列一一对应,然后进入步骤III2;
步骤III2. 各异常终端仿真模块分别针对其所对应异常数据流报文序列:由异常终端仿真模块针对其所对应异常数据流报文序列中的各异常报文对象,以各异常报文对象中异常数据流报文的相对时间为时间间隔,按通用传输层协议数据发送方式,顺序将各异常报文对象中异常数据流报文的应用层数据内容经安全接入设备向内网业务主站进行发送;即实现不符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
作为本发明的一种优选技术方案,所述步骤B包括如下步骤B1至步骤B3;
步骤B1. 根据由明文数据流报文对应预设各数据流属性的数据,组合构成明文数 据流报文所对应的类别组,获得明文网络流量
Figure 709031DEST_PATH_IMAGE001
中各条明文数据流报文分别所对应的类 别组,并按相同类别组的各明文数据流报文归为一组的方式,针对明文网络流量
Figure 192576DEST_PATH_IMAGE001
中的各 条明文数据流报文进行分组,获得各明文数据流报文组
Figure 189482DEST_PATH_IMAGE016
,然后进入步骤B2;其中,预设各 数据流属性包括报文通信双方IP、报文通信双方的端口、报文通信双方之间传输层协议类 型,
Figure 667605DEST_PATH_IMAGE017
Figure 403873DEST_PATH_IMAGE018
表示明文数据流报文组的数量,
Figure 810715DEST_PATH_IMAGE016
表示第
Figure 793452DEST_PATH_IMAGE019
个明文数据流报文组,
Figure 311152DEST_PATH_IMAGE020
步骤B2. 根据各明文数据流报文组
Figure 433086DEST_PATH_IMAGE016
分别对应的类别组,删除各明文数据流报文 组
Figure 745249DEST_PATH_IMAGE016
中报文通信目的方IP为安全接入网关IP的各条明文数据流报文,更新各明文数据流 报文组
Figure 949704DEST_PATH_IMAGE016
,然后进入步骤B3;
步骤B3. 分别针对各明文数据流报文组,提取明文数据流报文组
Figure 772559DEST_PATH_IMAGE016
中各条明文数 据流报文的应用层数据内容
Figure 247534DEST_PATH_IMAGE021
、以及各条明文数据流报文的时间,按各条明文数据流报文 的相对时间
Figure 494714DEST_PATH_IMAGE022
,构成各条明文数据流报文分别所对应的明文报文对象
Figure 687929DEST_PATH_IMAGE023
,并按各 条明文数据流报文的时间顺序,针对各明文报文对象
Figure 771598DEST_PATH_IMAGE023
进行排序,构建该明文数 据流报文组
Figure 366659DEST_PATH_IMAGE016
所对应的明文数据流报文序列
Figure 784740DEST_PATH_IMAGE024
,其中,
Figure 701136DEST_PATH_IMAGE025
表示第
Figure 629909DEST_PATH_IMAGE019
个明文数据流报文 组
Figure 578011DEST_PATH_IMAGE026
中明文数据流报文的数量,
Figure 668458DEST_PATH_IMAGE027
表示第
Figure 806572DEST_PATH_IMAGE019
个明文数据流报文组
Figure 273457DEST_PATH_IMAGE026
中第
Figure 76065DEST_PATH_IMAGE028
个明文数据流 报文的应用层数据内容,
Figure 573299DEST_PATH_IMAGE029
表示第
Figure 228402DEST_PATH_IMAGE019
个明文数据流报文组
Figure 731934DEST_PATH_IMAGE026
中第
Figure 890514DEST_PATH_IMAGE028
个明文数据流报文的 相对时间,
Figure 101526DEST_PATH_IMAGE023
表示第
Figure 978346DEST_PATH_IMAGE019
个明文数据流报文组
Figure 285569DEST_PATH_IMAGE026
中第
Figure 800120DEST_PATH_IMAGE028
个明文数据流报文所对应的 明文报文对象;进而获得各明文数据流报文组分别所对应的明文数据流报文序列,然后进 入步骤C。
作为本发明的一种优选技术方案:所述步骤B3中,针对明文数据流报文组中的各条明文数据流报文,按各条明文数据流报文的时间顺序进行排序,首先以第一条明文数据流报文的时间为0的变化时长,针对各条明文数据流报文的时间进行更新,然后分别以各条明文数据流报文的时间与第一条明文数据流报文的时间的绝对时间之差,作为各条明文数据流报文的相对时间。
作为本发明的一种优选技术方案,所述步骤C包括如下步骤C1至步骤C3:
步骤C1. 基于外网侧、安全接入设备、以及内网业务主站所构建的电力网络靶场,初始化与明文数据流报文组的数量相等、且包含正常终端和符合通信规范的非法终端的各个电力终端仿真模块,且各个电力终端仿真模块分别与各明文数据流报文序列一一对应,然后进入步骤C2;
步骤C2. 各电力终端仿真模块分别与电力网络靶场中的安全接入设备实现终端认证和密钥协商,然后进入步骤C3;
步骤C3. 各电力终端仿真模块分别针对其所对应明文数据流报文序列:由电力终端仿真模块针对其所对应明文数据流报文序列中的各明文报文对象,以各明文报文对象中明文数据流报文的相对时间为时间间隔,按电力接入数据发送方式,顺序将各明文报文对象中明文数据流报文的应用层数据内容经安全接入设备向内网业务主站进行发送,即实现正常终端和符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
与上述相对应,本发明所要解决的技术问题是提供一种电力网络靶场终端接入仿真和攻击重放方法的系统,基于模块化设计,分别实现所设计方法中的各个步骤,获得对电力接入场景中终端侧所有行为的覆盖,实现电力接入场景的安全分析研究。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种电力网络靶场终端接入仿真和攻击重放方法的系统,包括电力终端网络流量解析提取模块、终端仿真模块生成模块、电力网络靶场终端仿真调度模块、电力网络靶场网络攻击重放模块;
其中,电力终端网络流量解析提取模块用于执行步骤A至步骤B、以及用于执行步骤I至步骤II;
终端仿真模块生成模块用于执行步骤C初始化包含正常终端和符合通信规范的非法终端的各个电力终端仿真模块、以及终端仿真模块生成模块用于执行步骤III初始化属于不符合通信规范的非法终端的各个异常终端仿真模块;
电力网络靶场终端仿真调度模块用于实现与电力网络靶场对接,调用电力网络靶场的仿真节点生成接口,按照电力终端仿真模块和异常终端仿真模块的加载要求,在电力网络靶场中调度形成指定数量的电力终端仿真模块和异常终端仿真模块;
电力网络靶场网络攻击重放模块用于执行步骤C实现正常终端和符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放,以及电力网络靶场网络攻击重放模块用于执行步骤III实现不符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
本发明所述一种电力网络靶场终端接入仿真和攻击重放方法及系统,采用以上技术方案与现有技术相比,具有以下技术效果:
(1)本发明所设计一种电力网络靶场终端接入仿真和攻击重放方法及系统,通过网络流量提取和分析,执行终端仿真和行为模拟,实现与电力网络靶场系统的对接和应用,满足靶场中针对电力安全接入场景的模拟和安全研究需求,能够覆盖电力接入场景中终端侧包含行为内容和时间序列的所有行为,适配任意类型的终端,无需定制,人工干预程度低,设计方案具备通用性和自动化特性,适用于带有任意电力终端和异常终端的场景,并且在捕获包含有网络安全事件的网络流量时,可实现事件行为的重放,有助于安全分析研究;
(2)本发明所设计一种电力网络靶场终端接入仿真和攻击重放方法及系统中,基于对电力安全接入场景的分析,将接入终端进行分类,构建了电力终端仿真模块和异常终端仿真模块,适用于场景中的任意终端仿真需求;并通过内网侧明文网络流量报文的提取,结合外网侧的电力终端仿真模块,实现了对加密流量的重放,并通过外网侧加密网络流量报文的筛选和提取,实现了异常终端流量的重放,综合形成对任意场景的网络攻击重放,并且网络攻击重放过程中,兼顾考虑重放内容和时间间隔两个要素,与现网终端行为保持一致,有助于提高电力接入网安全分析的准确度。
附图说明
图1是本发明所设计电力网络靶场终端接入仿真和攻击重放方法的流程示意图;
图2是本发明所设计电力网络靶场终端接入仿真和攻击重放方法的系统的模块示意图。
具体实施方式
下面结合说明书附图对本发明的具体实施方式作进一步详细的说明。
本发明设计了一种电力网络靶场终端接入仿真和攻击重放方法,首先对电力接入网中所涉及的终端进行定义,包括正常终端与非法终端,其中,正常终端是指按照通信规范要求、与安全接入网关实现终端认证和正常的加密数据通信。
非法终端是指产生网络安全事件的终端,其中,非法终端又可以分为如下两类:
1)符合通信规范的非法终端:符合通信规范的非法终端(例如,被渗透后受控制的电力终端设备)能够按照通信规范要求,与安全接入网关实现终端认证和正常的加密数据通信,在通信内容中包含了非法信息,实现网络攻击行为。
2)不符合通信规范的非法终端:不符合通信规范的非法终端(例如,接入网络的任意设备)则不按通信规范要求,直接与安全接入网关通信,试图通过对安全接入网关的渗透攻击来实现网络攻击行为。
面向上述三类终端分类,具体设计如下两类终端仿真模块。
(1)电力终端仿真模块:电力终端仿真模块对应上述终端分类中的正常终端和符合通信规范的非法终端两类进行设计。该仿真模块能够按照电力通信规范要求,加载数字证书和加密算法,实现与安全接入网关的终端认证功能和密钥协商功能。同时,该仿真模块支持按照输入字段序列内容与安全接入网关进行加密通信。输入字段序列内容由外部提供,可仿照真实场景中不同类型终端的传输内容进行任意构造。
(2)异常终端仿真模块:异常终端仿真模块对应上述终端分类中的不符合通信规范的非法终端进行设计。该仿真模块不支持终端认证与加解密功能,仅支持按照输入字段序列内容与安全接入网关进行通信。输入字段序列内容由外部提供,可仿照真实场景中的不符合通信规范的非法终端的传输内容进行任意构造。
基于上述关于电力接入网中终端的定义与分类,设计本发明的电力网络靶场终端接入仿真和攻击重放方法,具体包括用于实现正常终端和符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放,以及用于实现不符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放,实际应用当中,如图1所示,用于实现正常终端和符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放,具体执行如下步骤A至步骤C。
步骤A. 基于外网电力终端经安全接入设备连接内网业务主站的电力安全接入场 景中的历史应用,捕获安全接入设备与内网业务主站之间来自正常终端、以及符合通信规 范的非法终端的明文网络流量
Figure 668850DEST_PATH_IMAGE001
,然后进入步骤B。
步骤B. 首先根据明文数据流报文对应预设各数据流属性的数据,针对明文网络 流量
Figure 531502DEST_PATH_IMAGE001
中的各条明文数据流报文进行分组,获得各明文数据流报文组,并删除各明文数据 流报文组中内网业务主站指向安全接入设备方向的各条明文数据流报文,更新各明文数据 流报文组;然后基于明文数据流报文组中各条明文数据流报文的应用层数据内容、以及各 条明文数据流报文的时间,按各条明文数据流报文相对时间的顺序,构建各明文数据流报 文组分别所对应的明文数据流报文序列,最后进入步骤C。
实际应用当中,上述步骤B具体执行如下步骤B1至步骤B3。
步骤B1. 根据由明文数据流报文对应预设各数据流属性的数据,组合构成明文数 据流报文所对应的类别组,获得明文网络流量
Figure 612721DEST_PATH_IMAGE001
中各条明文数据流报文分别所对应的类 别组,并按相同类别组的各明文数据流报文归为一组的方式,针对明文网络流量
Figure 247358DEST_PATH_IMAGE001
中的各 条明文数据流报文进行分组,获得各明文数据流报文组
Figure 286990DEST_PATH_IMAGE016
,然后进入步骤B2;其中,预设各 数据流属性包括报文通信双方IP、报文通信双方的端口、报文通信双方之间传输层协议类 型,
Figure 105779DEST_PATH_IMAGE017
Figure 226575DEST_PATH_IMAGE018
表示明文数据流报文组的数量,
Figure 214254DEST_PATH_IMAGE016
表示第
Figure 657742DEST_PATH_IMAGE019
个明文数据流报文组,
Figure 955038DEST_PATH_IMAGE020
这里关于预设各数据流属性的设计,称之为五元组,即各明文数据流报文所对应 的五元组,则上述步骤B1中,即按相同五元组的各明文数据流报文归为一组的方式,针对明 文网络流量
Figure DEST_PATH_IMAGE030
中的各条明文数据流报文进行分组。
步骤B2. 根据各明文数据流报文组
Figure 361749DEST_PATH_IMAGE016
分别对应的类别组,删除各明文数据流报文 组
Figure 439820DEST_PATH_IMAGE016
中报文通信目的方IP为安全接入网关IP的各条明文数据流报文,更新各明文数据流 报文组
Figure 523051DEST_PATH_IMAGE016
,然后进入步骤B3。
步骤B3. 分别针对各明文数据流报文组,提取明文数据流报文组
Figure 817897DEST_PATH_IMAGE016
中各条明文数 据流报文的应用层数据内容
Figure 546075DEST_PATH_IMAGE021
、以及各条明文数据流报文的时间,按各条明文数据流报文 的相对时间
Figure 741302DEST_PATH_IMAGE022
,构成各条明文数据流报文分别所对应的明文报文对象
Figure 293637DEST_PATH_IMAGE023
,并按各 条明文数据流报文的时间顺序,针对各明文报文对象
Figure 577245DEST_PATH_IMAGE023
进行排序,构建该明文数 据流报文组
Figure 607649DEST_PATH_IMAGE016
所对应的明文数据流报文序列
Figure 922961DEST_PATH_IMAGE024
,其中,
Figure 706302DEST_PATH_IMAGE025
表示第
Figure 241320DEST_PATH_IMAGE019
个明文数据流报文 组
Figure 573950DEST_PATH_IMAGE026
中明文数据流报文的数量,
Figure 776392DEST_PATH_IMAGE027
表示第
Figure 171995DEST_PATH_IMAGE019
个明文数据流报文组
Figure 928729DEST_PATH_IMAGE026
中第
Figure 799471DEST_PATH_IMAGE028
个明文数据流 报文的应用层数据内容,
Figure 295568DEST_PATH_IMAGE029
表示第
Figure 563869DEST_PATH_IMAGE019
个明文数据流报文组
Figure 306435DEST_PATH_IMAGE026
中第
Figure 983798DEST_PATH_IMAGE028
个明文数据流报文的 相对时间,
Figure 629674DEST_PATH_IMAGE023
表示第
Figure 364149DEST_PATH_IMAGE019
个明文数据流报文组
Figure 361055DEST_PATH_IMAGE026
中第
Figure 564811DEST_PATH_IMAGE028
个明文数据流报文所对应的 明文报文对象;进而获得各明文数据流报文组分别所对应的明文数据流报文序列,然后进 入步骤C。
实际应用中,针对明文数据流报文组中的各条明文数据流报文,按各条明文数据流报文的时间顺序进行排序,首先以第一条明文数据流报文的时间为0的变化时长,针对各条明文数据流报文的时间进行更新,然后分别以各条明文数据流报文的时间与第一条明文数据流报文的时间的绝对时间之差,作为各条明文数据流报文的相对时间。
步骤C. 基于外网侧、安全接入设备、以及内网业务主站所构建的电力网络靶场,初始化与明文数据流报文组的数量相等、且包含正常终端和符合通信规范的非法终端的各个电力终端仿真模块,且各个电力终端仿真模块分别与各明文数据流报文序列一一对应,首先由各电力终端仿真模块分别与电力网络靶场中的安全接入设备实现终端认证和密钥协商,然后各电力终端仿真模块分别针对其所对应明文数据流报文序列中各明文数据流报文,按电力接入数据发送方式,顺序将各明文数据流报文的应用层数据内容经安全接入设备向内网业务主站进行发送,即实现正常终端和符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
实际应用当中,上述步骤C具体执行如下步骤C1至步骤C3。
步骤C1. 基于外网侧、安全接入设备、以及内网业务主站所构建的电力网络靶场,初始化与明文数据流报文组的数量相等、且包含正常终端和符合通信规范的非法终端的各个电力终端仿真模块,且各个电力终端仿真模块分别与各明文数据流报文序列一一对应,然后进入步骤C2。
步骤C2. 各电力终端仿真模块分别与电力网络靶场中的安全接入设备实现终端认证和密钥协商,然后进入步骤C3。
步骤C3. 各电力终端仿真模块分别针对其所对应明文数据流报文序列:由电力终端仿真模块针对其所对应明文数据流报文序列中的各明文报文对象,以各明文报文对象中明文数据流报文的相对时间为时间间隔,按电力接入数据发送方式,顺序将各明文报文对象中明文数据流报文的应用层数据内容经安全接入设备向内网业务主站进行发送,即实现正常终端和符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
另外,用于实现不符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放,如图1所示,具体执行如下步骤I至步骤III。
步骤I. 基于外网电力终端经安全接入设备连接内网业务主站的电力安全接入场 景中的历史应用,捕获外网电力终端与安全接入设备之间的网络流量,并基于电力终端加 密通信规范,筛选出其中不符合通信规范的网络流量,即为来自不符合通信规范的非法终 端的异常网络流量
Figure 563728DEST_PATH_IMAGE002
,然后进入步骤II。
实际应用当中,对于上述步骤I的执行,诸如设计基于外网电力终端经安全接入设 备连接内网业务主站的电力安全接入场景中的历史应用,捕获外网电力终端与安全接入设 备之间与所述明文网络流量
Figure 970570DEST_PATH_IMAGE001
同时间段的网络流量,并删除其中明文网络流量
Figure 690658DEST_PATH_IMAGE001
对应外 网电力终端与安全接入设备之间的符合通信规范的加密网络流量,获得外网电力终端与安 全接入设备之间来自不符合通信规范的非法终端的异常网络流量
Figure 473937DEST_PATH_IMAGE002
,然后进入步骤II。
步骤II. 首先根据异常数据流报文对应预设各数据流属性的数据,针对异常网络 流量
Figure DEST_PATH_IMAGE032
中的各条异常数据流报文进行分组,获得各异常数据流报文组,并删除各异常数据 流报文组中安全接入设备指向外网电力终端方向的各条异常数据流报文,更新各异常数据 流报文组;然后基于异常数据流报文组中各条异常数据流报文的应用层数据内容、以及各 条异常数据流报文的时间,按各条异常数据流报文相对时间的顺序,构建各异常数据流报 文组分别所对应的异常数据流报文序列,最后进入步骤III。
实际应用当中,上述步骤II具体执行如下步骤II1至步骤II3。
步骤II1. 根据由异常数据流报文对应预设各数据流属性的数据,组合构成异常 数据流报文所对应的类别组,获得异常网络流量
Figure 202727DEST_PATH_IMAGE002
中各条异常数据流报文分别所对应的类 别组,并按相同类别组的各异常数据流报文归为一组的方式,针对异常网络流量
Figure 281935DEST_PATH_IMAGE002
中的各 条异常数据流报文进行分组,获得各异常数据流报文组
Figure 220810DEST_PATH_IMAGE005
,然后进入步骤II2;其中,预设各 数据流属性包括报文通信双方IP、报文通信双方的端口、报文通信双方之间传输层协议类 型,
Figure 276622DEST_PATH_IMAGE006
Figure 253062DEST_PATH_IMAGE007
表示异常数据流报文组的数量,
Figure 1706DEST_PATH_IMAGE005
表示第
Figure 693456DEST_PATH_IMAGE008
个异常数据流报文组,
Figure 552959DEST_PATH_IMAGE009
这里关于预设各数据流属性的设计,称之为五元组,即各异常数据流报文所对应 的五元组,则上述步骤II1中,即按相同五元组的各异常数据流报文归为一组的方式,针对 异常网络流量
Figure 395624DEST_PATH_IMAGE033
中的各条异常数据流报文进行分组。
步骤II2. 根据各异常数据流报文组
Figure 813705DEST_PATH_IMAGE005
分别对应的类别组,删除各异常数据流报 文组
Figure 494216DEST_PATH_IMAGE005
中报文通信源头方IP为安全接入网关IP的各条异常数据流报文,更新各异常数据流 报文组
Figure 393295DEST_PATH_IMAGE005
,然后进入步骤II3。
步骤II3. 分别针对各异常数据流报文组,提取异常数据流报文组
Figure 577283DEST_PATH_IMAGE005
中各条异常 数据流报文的应用层数据内容
Figure 431844DEST_PATH_IMAGE010
、以及各条异常数据流报文的时间,按各条异常数据流报 文的相对时间
Figure 569958DEST_PATH_IMAGE011
,构成各条异常数据流报文分别所对应的异常报文对象
Figure 36842DEST_PATH_IMAGE012
,并按 各条异常数据流报文的时间顺序,针对各异常报文对象
Figure 839451DEST_PATH_IMAGE012
进行排序,构建该异常数 据流报文组
Figure 835220DEST_PATH_IMAGE005
所对应的异常数据流报文序列
Figure 726209DEST_PATH_IMAGE013
,其中,
Figure 731205DEST_PATH_IMAGE014
表示第
Figure 326003DEST_PATH_IMAGE008
个异常数据流报文组
Figure 247999DEST_PATH_IMAGE005
中异常数据流报文的数量,
Figure 124819DEST_PATH_IMAGE010
表示第
Figure 166462DEST_PATH_IMAGE008
个异常数据流报文组
Figure 946593DEST_PATH_IMAGE005
中第
Figure 815323DEST_PATH_IMAGE015
个异常数据流报文的 应用层数据内容,
Figure 146816DEST_PATH_IMAGE011
表示第
Figure 759194DEST_PATH_IMAGE008
个异常数据流报文组
Figure 393831DEST_PATH_IMAGE005
中第
Figure 167883DEST_PATH_IMAGE015
个异常数据流报文的相对时 间,
Figure 517831DEST_PATH_IMAGE012
表示第
Figure 904206DEST_PATH_IMAGE008
个异常数据流报文组
Figure 891885DEST_PATH_IMAGE005
中第
Figure 600953DEST_PATH_IMAGE015
个异常数据流报文所对应的异常报文 对象;进而获得各异常数据流报文组分别所对应的异常数据流报文序列,然后进入步骤 III。
这里针对异常数据流报文组中的各条异常数据流报文,按各条异常数据流报文的时间顺序进行排序,首先以第一条异常数据流报文的时间为0的变化时长,针对各条异常数据流报文的时间进行更新,然后分别以各条异常数据流报文的时间与第一条异常数据流报文的时间的绝对时间之差,作为各条异常数据流报文的相对时间。
步骤III. 基于外网侧、安全接入设备、以及内网业务主站所构建的电力网络靶场,初始化与异常数据流报文组的数量相等、且属于不符合通信规范的非法终端的各个异常终端仿真模块,且各个异常终端仿真模块分别与各异常数据流报文序列一一对应,各异常终端仿真模块分别针对其所对应异常数据流报文序列中各异常数据流报文,按通用协议数据发送方式,顺序将各异常数据流报文的应用层数据内容经安全接入设备向内网业务主站进行发送,即实现不符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
实际应用当中,上述步骤III具体执行如下步骤III1至步骤III2。
步骤III1. 基于外网侧、安全接入设备、以及内网业务主站所构建的电力网络靶场,初始化与异常数据流报文组的数量相等、且属于不符合通信规范的非法终端的各个异常终端仿真模块,且各个异常终端仿真模块分别与各异常数据流报文序列一一对应,然后进入步骤III2。
步骤III2. 各异常终端仿真模块分别针对其所对应异常数据流报文序列:由异常终端仿真模块针对其所对应异常数据流报文序列中的各异常报文对象,以各异常报文对象中异常数据流报文的相对时间为时间间隔,按通用传输层协议数据发送方式,顺序将各异常报文对象中异常数据流报文的应用层数据内容经安全接入设备向内网业务主站进行发送;即实现不符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
将上述技术方案所设计电力网络靶场终端接入仿真和攻击重放方法,应用于实际当中,即设计实现此方法的系统,如图2所示,包括电力终端网络流量解析提取模块、终端仿真模块生成模块、电力网络靶场终端仿真调度模块、电力网络靶场网络攻击重放模块。
其中,电力终端网络流量解析提取模块根据功能可以划分为流量采集、流量解析、流量过滤、流量拆分、流量存储五个功能块组成;具体来说,设计电力终端网络流量解析提取模块用于执行步骤A至步骤B、以及用于执行步骤I至步骤II,在步骤A至步骤B的执行过程中、以及步骤I至步骤II的执行过程中,依次完成流量采集、流量解析、流量过滤、流量拆分、流量存储。
终端仿真模块生成模块用于执行步骤C初始化包含正常终端和符合通信规范的非法终端的各个电力终端仿真模块、以及终端仿真模块生成模块用于执行步骤III初始化属于不符合通信规范的非法终端的各个异常终端仿真模块。
其中,电力终端仿真模块对应终端分类中的正常终端和符合通信规范的非法终端两类进行设计。该仿真模块能够按照电力通信规范要求,加载数字证书和加密算法,实现与安全接入网关的终端认证功能和密钥协商功能。同时,该仿真模块支持按照输入字段序列内容与安全接入网关进行加密通信。输入字段序列内容由外部提供,可仿照真实场景中不同类型终端的传输内容进行任意构造。
电力终端仿真模块的核心功能如下:
(1)终端认证:按照电力终端的认证协议规范,与安全接入网关进行通信,实现终端的正常认证;认证协议规范具有通用性,与终端类型无关;
(2)密钥协商:在终端认证通过的基础上,与安全接入网关实现通信密钥协商,后续数据传输基于该密钥进行加解密;
(3)数据传输:提供接口,支持外部模块输入数据序列,模块基于该输入数据序列依次封装成应用层报文内容,按照序列中指定的时间间隔,面向指定目标IP进行加密发送;数据传输中只负责按照符合传输层协议交互规范的方式进行数据发送和接收,对接收的数据不予处理。因此,可仿真模拟任意的电力终端。
异常终端仿真模块对应上述终端分类中的不符合通信规范的非法终端进行设计,该异常终端仿真模块不支持终端认证与加解密功能,仅支持按照输入字段序列内容与安全接入网关进行通信。输入字段序列内容由外部提供,可仿照真实场景中的不符合通信规范的非法终端的传输内容进行任意构造。
异常终端仿真模块的核心功能如下:
(1)数据传输:提供接口,支持外部模块输入数据序列,模块基于该输入数据序列依次封装成应用层报文内容,按照序列中指定的时间间隔,面向指定目标IP进行直接发送;数据传输中只负责按照符合传输层协议交互规范的方式进行数据发送和接收,对接收的数据不予处理。因此,可仿真模拟任意的异常终端。
电力网络靶场终端仿真调度模块用于实现与电力网络靶场对接,调用电力网络靶场的仿真节点生成接口,按照电力终端仿真模块和异常终端仿真模块的加载要求,在电力网络靶场中调度形成指定数量的电力终端仿真模块和异常终端仿真模块。
电力网络靶场终端仿真调度模块的主要功能包括:
(1)电力网络靶场仿真节点生成接口对接:与电力网络靶场对接,调用靶场系统的仿真节点生成接口,申请仿真节点所需的计算、存储资源;
(2)电力终端仿真模块节点生成:调用电力网络靶场仿真节点生成接口,按照电力终端仿真模块的加载要求,在电力网络靶场中调度形成指定数量的仿真电力终端。
(2)异常终端仿真模块节点生成:调用电力网络靶场仿真节点生成接口,按照异常终端仿真模块的加载要求,在电力网络靶场中调度形成指定数量的仿真异常终端。
电力网络靶场网络攻击重放模块是整个系统的统筹调度模块,电力网络靶场网络攻击重放模块按照电力终端网络流量解析提取模块的分析结果,与电力网络靶场终端仿真调度模块对接,在电力网络靶场中生成指定数量的电力终端仿真模块和异常终端仿真模块。进而,根据电力终端网络流量解析提取模块的提取结果,按照指定序列要求,调用相应的仿真电力终端和仿真异常终端进行数据发送重放。
电力网络靶场网络攻击重放模块具体用于执行步骤C实现正常终端和符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放,以及电力网络靶场网络攻击重放模块用于执行步骤III实现不符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
上述技术方案所设计电力网络靶场终端接入仿真和攻击重放方法及系统,通过网络流量提取和分析,执行终端仿真和行为模拟,实现与电力网络靶场系统的对接和应用,满足靶场中针对电力安全接入场景的模拟和安全研究需求,能够覆盖电力接入场景中终端侧包含行为内容和时间序列的所有行为,适配任意类型的终端,无需定制,人工干预程度低,设计方案具备通用性和自动化特性,适用于带有任意电力终端和异常终端的场景,并且在捕获包含有网络安全事件的网络流量时,可实现事件行为的重放,有助于安全分析研究。
应用中,基于对电力安全接入场景的分析,将接入终端进行分类,构建了电力终端仿真模块和异常终端仿真模块,适用于场景中的任意终端仿真需求;并通过内网侧明文网络流量报文的提取,结合外网侧的电力终端仿真模块,实现了对加密流量的重放,并通过外网侧加密网络流量报文的筛选和提取,实现了异常终端流量的重放,综合形成对任意场景的网络攻击重放,并且网络攻击重放过程中,兼顾考虑重放内容和时间间隔两个要素,与现网终端行为保持一致,有助于提高电力接入网安全分析的准确度。
下面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变化。

Claims (10)

1.一种电力网络靶场终端接入仿真和攻击重放方法,其特征在于:包括用于实现正常终端和符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放,执行如下步骤A至步骤C:
步骤A. 基于外网电力终端经安全接入设备连接内网业务主站的电力安全接入场景中的历史应用,捕获安全接入设备与内网业务主站之间来自正常终端、以及符合通信规范的非法终端的明文网络流量
Figure DEST_PATH_IMAGE001
,然后进入步骤B;
步骤B. 首先根据明文数据流报文对应预设各数据流属性的数据,针对明文网络流量
Figure 895886DEST_PATH_IMAGE001
中的各条明文数据流报文进行分组,获得各明文数据流报文组,并删除各明文数据流报文组中内网业务主站指向安全接入设备方向的各条明文数据流报文,更新各明文数据流报文组;然后基于明文数据流报文组中各条明文数据流报文的应用层数据内容、以及各条明文数据流报文的时间,按各条明文数据流报文相对时间的顺序,构建各明文数据流报文组分别所对应的明文数据流报文序列,最后进入步骤C;
步骤C. 基于外网侧、安全接入设备、以及内网业务主站所构建的电力网络靶场,初始化与明文数据流报文组的数量相等、且包含正常终端和符合通信规范的非法终端的各个电力终端仿真模块,且各个电力终端仿真模块分别与各明文数据流报文序列一一对应,首先由各电力终端仿真模块分别与电力网络靶场中的安全接入设备实现终端认证和密钥协商,然后各电力终端仿真模块分别针对其所对应明文数据流报文序列中各明文数据流报文,按电力接入数据发送方式,顺序将各明文数据流报文的应用层数据内容经安全接入设备向内网业务主站进行发送,即实现正常终端和符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
2.根据权利要求1所述一种电力网络靶场终端接入仿真和攻击重放方法,其特征在于:还包括用于实现不符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放,执行如下步骤I至步骤III;
步骤I. 基于外网电力终端经安全接入设备连接内网业务主站的电力安全接入场景中的历史应用,捕获外网电力终端与安全接入设备之间的网络流量,并基于电力终端加密通信规范,筛选出其中不符合通信规范的网络流量,即为来自不符合通信规范的非法终端的异常网络流量
Figure DEST_PATH_IMAGE002
,然后进入步骤II;
步骤II. 首先根据异常数据流报文对应预设各数据流属性的数据,针对异常网络流量
Figure 875343DEST_PATH_IMAGE002
中的各条异常数据流报文进行分组,获得各异常数据流报文组,并删除各异常数据流报文组中安全接入设备指向外网电力终端方向的各条异常数据流报文,更新各异常数据流报文组;然后基于异常数据流报文组中各条异常数据流报文的应用层数据内容、以及各条异常数据流报文的时间,按各条异常数据流报文相对时间的顺序,构建各异常数据流报文组分别所对应的异常数据流报文序列,最后进入步骤III;
步骤III. 基于外网侧、安全接入设备、以及内网业务主站所构建的电力网络靶场,初始化与异常数据流报文组的数量相等、且属于不符合通信规范的非法终端的各个异常终端仿真模块,且各个异常终端仿真模块分别与各异常数据流报文序列一一对应,各异常终端仿真模块分别针对其所对应异常数据流报文序列中各异常数据流报文,按通用协议数据发送方式,顺序将各异常数据流报文的应用层数据内容经安全接入设备向内网业务主站进行发送,即实现不符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
3.根据权利要求2所述一种电力网络靶场终端接入仿真和攻击重放方法,其特征在于:所述步骤I中,基于外网电力终端经安全接入设备连接内网业务主站的电力安全接入场景中的历史应用,捕获外网电力终端与安全接入设备之间与所述明文网络流量
Figure DEST_PATH_IMAGE004
同时间段的网络流量,并删除其中明文网络流量
Figure 248555DEST_PATH_IMAGE001
对应外网电力终端与安全接入设备之间的符合通信规范的加密网络流量,获得外网电力终端与安全接入设备之间来自不符合通信规范的非法终端的异常网络流量
Figure 174923DEST_PATH_IMAGE002
,然后进入步骤II。
4.根据权利要求2所述一种电力网络靶场终端接入仿真和攻击重放方法,其特征在于:所述步骤II包括步骤II1至步骤II3;
步骤II1. 根据由异常数据流报文对应预设各数据流属性的数据,组合构成异常数据流报文所对应的类别组,获得异常网络流量
Figure 520454DEST_PATH_IMAGE002
中各条异常数据流报文分别所对应的类别组,并按相同类别组的各异常数据流报文归为一组的方式,针对异常网络流量
Figure 874075DEST_PATH_IMAGE002
中的各条异常数据流报文进行分组,获得各异常数据流报文组
Figure DEST_PATH_IMAGE005
,然后进入步骤II2;其中,预设各数据流属性包括报文通信双方IP、报文通信双方的端口、报文通信双方之间传输层协议类型,
Figure DEST_PATH_IMAGE006
Figure DEST_PATH_IMAGE007
表示异常数据流报文组的数量,
Figure 265742DEST_PATH_IMAGE005
表示第
Figure DEST_PATH_IMAGE008
个异常数据流报文组,
Figure DEST_PATH_IMAGE009
步骤II2. 根据各异常数据流报文组
Figure 66906DEST_PATH_IMAGE005
分别对应的类别组,删除各异常数据流报文组
Figure 266944DEST_PATH_IMAGE005
中报文通信源头方IP为安全接入网关IP的各条异常数据流报文,更新各异常数据流报文组
Figure 588204DEST_PATH_IMAGE005
,然后进入步骤II3;
步骤II3. 分别针对各异常数据流报文组,提取异常数据流报文组
Figure 873691DEST_PATH_IMAGE005
中各条异常数据流报文的应用层数据内容
Figure DEST_PATH_IMAGE010
、以及各条异常数据流报文的时间,按各条异常数据流报文的相对时间
Figure DEST_PATH_IMAGE011
,构成各条异常数据流报文分别所对应的异常报文对象
Figure DEST_PATH_IMAGE012
,并按各条异常数据流报文的时间顺序,针对各异常报文对象
Figure 266495DEST_PATH_IMAGE012
进行排序,构建该异常数据流报文组
Figure 321039DEST_PATH_IMAGE005
所对应的异常数据流报文序列
Figure DEST_PATH_IMAGE013
,其中,
Figure DEST_PATH_IMAGE014
表示第
Figure 675185DEST_PATH_IMAGE008
个异常数据流报文组
Figure 447969DEST_PATH_IMAGE005
中异常数据流报文的数量,
Figure 50988DEST_PATH_IMAGE010
表示第
Figure 225618DEST_PATH_IMAGE008
个异常数据流报文组
Figure 826363DEST_PATH_IMAGE005
中第
Figure DEST_PATH_IMAGE015
个异常数据流报文的应用层数据内容,
Figure 414339DEST_PATH_IMAGE011
表示第
Figure 24312DEST_PATH_IMAGE008
个异常数据流报文组
Figure 53448DEST_PATH_IMAGE005
中第
Figure 90674DEST_PATH_IMAGE015
个异常数据流报文的相对时间,
Figure 572471DEST_PATH_IMAGE012
表示第
Figure 986135DEST_PATH_IMAGE008
个异常数据流报文组
Figure 666515DEST_PATH_IMAGE005
中第
Figure 137292DEST_PATH_IMAGE015
个异常数据流报文所对应的异常报文对象;进而获得各异常数据流报文组分别所对应的异常数据流报文序列,然后进入步骤III。
5.根据权利要求4所述一种电力网络靶场终端接入仿真和攻击重放方法,其特征在于:所述步骤II3中,针对异常数据流报文组中的各条异常数据流报文,按各条异常数据流报文的时间顺序进行排序,首先以第一条异常数据流报文的时间为0的变化时长,针对各条异常数据流报文的时间进行更新,然后分别以各条异常数据流报文的时间与第一条异常数据流报文的时间的绝对时间之差,作为各条异常数据流报文的相对时间。
6.根据权利要求4所述一种电力网络靶场终端接入仿真和攻击重放方法,其特征在于,所述步骤III包括如下步骤III1至步骤III2:
步骤III1. 基于外网侧、安全接入设备、以及内网业务主站所构建的电力网络靶场,初始化与异常数据流报文组的数量相等、且属于不符合通信规范的非法终端的各个异常终端仿真模块,且各个异常终端仿真模块分别与各异常数据流报文序列一一对应,然后进入步骤III2;
步骤III2. 各异常终端仿真模块分别针对其所对应异常数据流报文序列:由异常终端仿真模块针对其所对应异常数据流报文序列中的各异常报文对象,以各异常报文对象中异常数据流报文的相对时间为时间间隔,按通用传输层协议数据发送方式,顺序将各异常报文对象中异常数据流报文的应用层数据内容经安全接入设备向内网业务主站进行发送;即实现不符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
7.根据权利要求1所述一种电力网络靶场终端接入仿真和攻击重放方法,其特征在于,所述步骤B包括如下步骤B1至步骤B3;
步骤B1. 根据由明文数据流报文对应预设各数据流属性的数据,组合构成明文数据流报文所对应的类别组,获得明文网络流量
Figure 106385DEST_PATH_IMAGE001
中各条明文数据流报文分别所对应的类别组,并按相同类别组的各明文数据流报文归为一组的方式,针对明文网络流量
Figure 58161DEST_PATH_IMAGE001
中的各条明文数据流报文进行分组,获得各明文数据流报文组
Figure DEST_PATH_IMAGE016
,然后进入步骤B2;其中,预设各数据流属性包括报文通信双方IP、报文通信双方的端口、报文通信双方之间传输层协议类型,
Figure DEST_PATH_IMAGE017
Figure DEST_PATH_IMAGE018
表示明文数据流报文组的数量,
Figure 389785DEST_PATH_IMAGE016
表示第
Figure DEST_PATH_IMAGE019
个明文数据流报文组,
Figure DEST_PATH_IMAGE020
步骤B2. 根据各明文数据流报文组
Figure 893447DEST_PATH_IMAGE016
分别对应的类别组,删除各明文数据流报文组
Figure 349836DEST_PATH_IMAGE016
中报文通信目的方IP为安全接入网关IP的各条明文数据流报文,更新各明文数据流报文组
Figure 105303DEST_PATH_IMAGE016
,然后进入步骤B3;
步骤B3. 分别针对各明文数据流报文组,提取明文数据流报文组
Figure 494696DEST_PATH_IMAGE016
中各条明文数据流报文的应用层数据内容
Figure DEST_PATH_IMAGE021
、以及各条明文数据流报文的时间,按各条明文数据流报文的相对时间
Figure DEST_PATH_IMAGE022
,构成各条明文数据流报文分别所对应的明文报文对象
Figure DEST_PATH_IMAGE023
,并按各条明文数据流报文的时间顺序,针对各明文报文对象
Figure 703348DEST_PATH_IMAGE023
进行排序,构建该明文数据流报文组
Figure 647033DEST_PATH_IMAGE016
所对应的明文数据流报文序列
Figure DEST_PATH_IMAGE024
,其中,
Figure DEST_PATH_IMAGE025
表示第
Figure 268507DEST_PATH_IMAGE019
个明文数据流报文组
Figure DEST_PATH_IMAGE026
中明文数据流报文的数量,
Figure DEST_PATH_IMAGE027
表示第
Figure 637041DEST_PATH_IMAGE019
个明文数据流报文组
Figure 357872DEST_PATH_IMAGE026
中第
Figure DEST_PATH_IMAGE028
个明文数据流报文的应用层数据内容,
Figure DEST_PATH_IMAGE029
表示第
Figure 859959DEST_PATH_IMAGE019
个明文数据流报文组
Figure 691649DEST_PATH_IMAGE026
中第
Figure 321213DEST_PATH_IMAGE028
个明文数据流报文的相对时间,
Figure 212946DEST_PATH_IMAGE023
表示第
Figure 131223DEST_PATH_IMAGE019
个明文数据流报文组
Figure 766604DEST_PATH_IMAGE026
中第
Figure 188358DEST_PATH_IMAGE028
个明文数据流报文所对应的明文报文对象;进而获得各明文数据流报文组分别所对应的明文数据流报文序列,然后进入步骤C。
8.根据权利要求7所述一种电力网络靶场终端接入仿真和攻击重放方法,其特征在于:所述步骤B3中,针对明文数据流报文组中的各条明文数据流报文,按各条明文数据流报文的时间顺序进行排序,首先以第一条明文数据流报文的时间为0的变化时长,针对各条明文数据流报文的时间进行更新,然后分别以各条明文数据流报文的时间与第一条明文数据流报文的时间的绝对时间之差,作为各条明文数据流报文的相对时间。
9.根据权利要求7所述一种电力网络靶场终端接入仿真和攻击重放方法,其特征在于,所述步骤C包括如下步骤C1至步骤C3:
步骤C1. 基于外网侧、安全接入设备、以及内网业务主站所构建的电力网络靶场,初始化与明文数据流报文组的数量相等、且包含正常终端和符合通信规范的非法终端的各个电力终端仿真模块,且各个电力终端仿真模块分别与各明文数据流报文序列一一对应,然后进入步骤C2;
步骤C2. 各电力终端仿真模块分别与电力网络靶场中的安全接入设备实现终端认证和密钥协商,然后进入步骤C3;
步骤C3. 各电力终端仿真模块分别针对其所对应明文数据流报文序列:由电力终端仿真模块针对其所对应明文数据流报文序列中的各明文报文对象,以各明文报文对象中明文数据流报文的相对时间为时间间隔,按电力接入数据发送方式,顺序将各明文报文对象中明文数据流报文的应用层数据内容经安全接入设备向内网业务主站进行发送,即实现正常终端和符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
10.一种实现权利要求2所述一种电力网络靶场终端接入仿真和攻击重放方法的系统,其特征在于:包括电力终端网络流量解析提取模块、终端仿真模块生成模块、电力网络靶场终端仿真调度模块、电力网络靶场网络攻击重放模块;
其中,电力终端网络流量解析提取模块用于执行步骤A至步骤B、以及用于执行步骤I至步骤II;
终端仿真模块生成模块用于执行步骤C初始化包含正常终端和符合通信规范的非法终端的各个电力终端仿真模块、以及终端仿真模块生成模块用于执行步骤III初始化属于不符合通信规范的非法终端的各个异常终端仿真模块;
电力网络靶场终端仿真调度模块用于实现与电力网络靶场对接,调用电力网络靶场的仿真节点生成接口,按照电力终端仿真模块和异常终端仿真模块的加载要求,在电力网络靶场中调度形成指定数量的电力终端仿真模块和异常终端仿真模块;
电力网络靶场网络攻击重放模块用于执行步骤C实现正常终端和符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放,以及电力网络靶场网络攻击重放模块用于执行步骤III实现不符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
CN202111026732.4A 2021-09-02 2021-09-02 一种电力网络靶场终端接入仿真和攻击重放方法及系统 Active CN113473472B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111026732.4A CN113473472B (zh) 2021-09-02 2021-09-02 一种电力网络靶场终端接入仿真和攻击重放方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111026732.4A CN113473472B (zh) 2021-09-02 2021-09-02 一种电力网络靶场终端接入仿真和攻击重放方法及系统

Publications (2)

Publication Number Publication Date
CN113473472A true CN113473472A (zh) 2021-10-01
CN113473472B CN113473472B (zh) 2021-11-12

Family

ID=77867451

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111026732.4A Active CN113473472B (zh) 2021-09-02 2021-09-02 一种电力网络靶场终端接入仿真和攻击重放方法及系统

Country Status (1)

Country Link
CN (1) CN113473472B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114040408A (zh) * 2021-11-02 2022-02-11 恒安嘉新(北京)科技股份公司 一种基于4g移动网络模拟环境的靶场系统
CN114513536A (zh) * 2022-01-18 2022-05-17 成都网域探行科技有限公司 一种物联网安全管理分析方法
CN114996703A (zh) * 2022-06-06 2022-09-02 南方电网科学研究院有限责任公司 一种电力系统网络安全靶场混合仿真方法、系统及设备
CN115277153A (zh) * 2022-07-22 2022-11-01 国网山东省电力公司电力科学研究院 一种智能电网5g网络风险评估系统及评估方法
CN116074114A (zh) * 2023-03-06 2023-05-05 鹏城实验室 网络靶场防御效能评测方法、装置、设备及存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110082597A1 (en) * 2009-10-01 2011-04-07 Edsa Micro Corporation Microgrid model based automated real time simulation for market based electric power system optimization
US20130060554A1 (en) * 2011-08-25 2013-03-07 Siemens Corporation Network Traffic Profile Aggregation for Efficient Discrete Event Smart Grid Network Simulations
CN106302535A (zh) * 2016-09-30 2017-01-04 中国南方电网有限责任公司电网技术研究中心 电力系统的攻击仿真方法、装置及攻击仿真设备
CN110867967A (zh) * 2019-11-27 2020-03-06 云南电网有限责任公司电力科学研究院 一种电力监控系统通信的背景流量回放方法
CN112180759A (zh) * 2020-09-16 2021-01-05 国网新疆电力有限公司电力科学研究院 电网安全稳定控制装置的虚拟仿真闭环测试系统及方法
CN112448857A (zh) * 2021-02-01 2021-03-05 博智安全科技股份有限公司 靶场的构建方法、装置、设备及存储介质
CN113132388A (zh) * 2021-04-21 2021-07-16 广东电网有限责任公司 一种数据安全交互方法及系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110082597A1 (en) * 2009-10-01 2011-04-07 Edsa Micro Corporation Microgrid model based automated real time simulation for market based electric power system optimization
US20130060554A1 (en) * 2011-08-25 2013-03-07 Siemens Corporation Network Traffic Profile Aggregation for Efficient Discrete Event Smart Grid Network Simulations
CN106302535A (zh) * 2016-09-30 2017-01-04 中国南方电网有限责任公司电网技术研究中心 电力系统的攻击仿真方法、装置及攻击仿真设备
CN110867967A (zh) * 2019-11-27 2020-03-06 云南电网有限责任公司电力科学研究院 一种电力监控系统通信的背景流量回放方法
CN112180759A (zh) * 2020-09-16 2021-01-05 国网新疆电力有限公司电力科学研究院 电网安全稳定控制装置的虚拟仿真闭环测试系统及方法
CN112448857A (zh) * 2021-02-01 2021-03-05 博智安全科技股份有限公司 靶场的构建方法、装置、设备及存储介质
CN113132388A (zh) * 2021-04-21 2021-07-16 广东电网有限责任公司 一种数据安全交互方法及系统

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114040408A (zh) * 2021-11-02 2022-02-11 恒安嘉新(北京)科技股份公司 一种基于4g移动网络模拟环境的靶场系统
CN114040408B (zh) * 2021-11-02 2024-05-28 恒安嘉新(北京)科技股份公司 一种基于4g移动网络模拟环境的靶场系统
CN114513536A (zh) * 2022-01-18 2022-05-17 成都网域探行科技有限公司 一种物联网安全管理分析方法
CN114513536B (zh) * 2022-01-18 2023-12-08 成都网域探行科技有限公司 一种物联网安全管理分析方法
CN114996703A (zh) * 2022-06-06 2022-09-02 南方电网科学研究院有限责任公司 一种电力系统网络安全靶场混合仿真方法、系统及设备
CN114996703B (zh) * 2022-06-06 2024-04-19 南方电网科学研究院有限责任公司 一种电力系统网络安全靶场混合仿真方法、系统及设备
CN115277153A (zh) * 2022-07-22 2022-11-01 国网山东省电力公司电力科学研究院 一种智能电网5g网络风险评估系统及评估方法
CN115277153B (zh) * 2022-07-22 2023-11-03 国网山东省电力公司电力科学研究院 一种智能电网5g网络风险评估系统及评估方法
CN116074114A (zh) * 2023-03-06 2023-05-05 鹏城实验室 网络靶场防御效能评测方法、装置、设备及存储介质
CN116074114B (zh) * 2023-03-06 2023-06-13 鹏城实验室 网络靶场防御效能评测方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN113473472B (zh) 2021-11-12

Similar Documents

Publication Publication Date Title
CN113473472B (zh) 一种电力网络靶场终端接入仿真和攻击重放方法及系统
Bikos et al. LTE/SAE security issues on 4G wireless networks
CN110233868A (zh) 一种基于Fabric的边缘计算数据安全与隐私保护方法
CN110032878A (zh) 一种安全的特征工程方法和装置
CN102857393B (zh) 一种基于报文模拟的非公开密码算法ssl vpn设备性能测试方法
CN111224834B (zh) 模拟测试方法、装置、服务器及存储介质
CN105530255A (zh) 验证请求数据的方法及装置
CN110349468A (zh) 一种基于多人协同的电气设备绝缘试验虚拟仿真系统
CN114040408B (zh) 一种基于4g移动网络模拟环境的靶场系统
Elbez et al. A cost-efficient software testbed for cyber-physical security in iec 61850-based substations
CN109379233A (zh) 一种云仿真平台模型安全保障系统、方法、服务器及终端
CN114119021A (zh) 图像文件安全多方计算方法及系统
CN203859823U (zh) 一种量子加密视频会议终端和系统
CN103684925A (zh) 一种基于仿真终端的性能测试方法
CN114584359A (zh) 安全诱捕方法、装置和计算机设备
CN108712369A (zh) 一种工业控制网多属性约束访问控制决策系统和方法
Guo et al. Blockchain-assisted privacy-preserving data computing architecture for Web3
CN114338172A (zh) 一种移动网络靶场系统以及网络流量攻击模拟方法
Xu et al. Mining cloud 3D video data for interactive video services
CN211791776U (zh) 一种分布式录播系统
Abdeljebbar et al. Security Improvements of EPS-AKA Protocol.
CN114071467A (zh) 一种基于4g移动网络模拟环境的靶场系统
CN115277696B (zh) 一种跨网络联邦学习系统及方法
CN115859371A (zh) 基于区块链的隐私计算方法、电子设备和存储介质
CN110971565A (zh) 基于恶意攻击建模的源网荷系统脆弱性评价方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant