CN114996703B - 一种电力系统网络安全靶场混合仿真方法、系统及设备 - Google Patents

一种电力系统网络安全靶场混合仿真方法、系统及设备 Download PDF

Info

Publication number
CN114996703B
CN114996703B CN202210631597.4A CN202210631597A CN114996703B CN 114996703 B CN114996703 B CN 114996703B CN 202210631597 A CN202210631597 A CN 202210631597A CN 114996703 B CN114996703 B CN 114996703B
Authority
CN
China
Prior art keywords
simulation
network
target
power system
scene
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210631597.4A
Other languages
English (en)
Other versions
CN114996703A (zh
Inventor
陈霖
匡晓云
吕华辉
杨航
樊凯
杨祎巍
洪超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China South Power Grid International Co ltd
China Southern Power Grid Co Ltd
Original Assignee
China South Power Grid International Co ltd
China Southern Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China South Power Grid International Co ltd, China Southern Power Grid Co Ltd filed Critical China South Power Grid International Co ltd
Priority to CN202210631597.4A priority Critical patent/CN114996703B/zh
Publication of CN114996703A publication Critical patent/CN114996703A/zh
Application granted granted Critical
Publication of CN114996703B publication Critical patent/CN114996703B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45504Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
    • G06F9/45508Runtime interpretation or emulation, e g. emulator loops, bytecode interpretation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
    • G06F9/505Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering the load
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5061Partitioning or combining of resources
    • G06F9/5077Logical partitioning of resources; Management or configuration of virtualized resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/06Energy or water supply
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Economics (AREA)
  • Computer Hardware Design (AREA)
  • Marketing (AREA)
  • Public Health (AREA)
  • Water Supply & Treatment (AREA)
  • Human Resources & Organizations (AREA)
  • Virology (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Supply And Distribution Of Alternating Current (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及电力系统信息安全技术领域,公开了一种电力系统网络安全靶场混合仿真方法、系统及设备。本发明对电力系统中的目标设备进行关键物理属性仿真,根据目标网络中不同层次的数据流编制流量仿真重放策略以进行数据重放,并根据攻防行为描述信息设置模拟智能化程序重现攻防行为;基于元场景将目标设备的网络连接情况划分为最小单位进行描述,扩展得到规模化虚拟网络场景,并将该场景通过电力信息物理通信混合仿真接口与电力系统相应的真实设备连接;在各仿真过程中,还通过镜像差分压缩、分级存储以及基于云架构的高速资源调度技术提供性能支持。本发明能够提高网络安全靶场的仿真效率及仿真精度,实现快速存储、快速组网和资源的高效分配。

Description

一种电力系统网络安全靶场混合仿真方法、系统及设备
技术领域
本发明涉及电力系统信息安全技术领域,尤其涉及一种电力系统网络安全靶场混合仿真方法、系统及设备。
背景技术
随着智能电网、电力物联网等新技术的大量引入,以及大量智能终端设备的接入,网络安全态势呈现结构复杂化、便捷模糊化以及威胁形态多样化等特点,给电力系统的安全防护带来了严峻挑战。为精确评估各类网络攻击对电力系统的影响,需要一个近似实战的仿真试验环境。
网络安全靶场是近年来开展网络安全事件分析、演练和仿真的重要平台,通过网络安全靶场可以在不影响主体业务的情况下,对网络攻击进行高仿真模拟,具有重要的实践价值。现有技术中基于网络安全靶场对电力系统网络进行仿真模拟。目前,主流的网络安全靶场的模拟仿真主要是虚实结合的混合仿真,一方面将现实的安全设备、网络设备等映射到虚拟环境中,实现在虚拟环境中的连接与模拟;一方面对于无法映射的物理设备则通过物理接线的方式与虚拟环境接口进行对接,实现虚拟环境数据流与真实环境数据流的互联互通。该方法虽然能够满足网络安全靶场的模拟仿真需求,但是其在仿真效率、仿真精度以及靶场云计算环境中的虚拟资源调度方面还存在不足,具体表现在:1)仿真过程中,靶场内的场景在关键物理属性方面与目标场景不能保持一致性;2)复杂业务场景下大规模靶场构建效率低下;3)大规模网络靶场存在存储性能差、节点实例化难度大及节点存储拥塞的特点;4)大规模靶场仿真过程中存在资源调度慢的缺陷。
发明内容
本发明提供了一种电力系统网络安全靶场混合仿真方法、系统及设备,解决了现有网络安全靶场的模拟仿真方法在仿真效率、仿真精度以及虚拟资源调度方面还存在不足的技术问题。
本发明第一方面提供一种电力系统网络安全靶场混合仿真方法,包括:
步骤S1,对电力系统中可映射的目标设备进行关键物理属性仿真;对于无法映射的目标设备,利用靶场的软件定义和动态调整虚拟网络的能力,将目标设备的管理端口和业务端口动态接入对应试验场景及网络;
步骤S2,对电力系统目标网络中不同层次的数据流进行采集,根据所述数据流编制流量仿真重放策略,以在相应的仿真场景中根据所述流量仿真重放策略对所述数据流进行重放;利用自动化脚本对目标行为对象的攻防行为进行描述,并设置相应的攻防行为模拟智能化程序,以根据所述攻防行为模拟智能化程序模拟和重现攻防行为;
步骤S3,将目标设备的网络连接情况划分为最小单位进行描述,形成相应的元场景描述文件,基于各所述元场景描述文件的拼接操作进行复杂业务扩展模拟,以实现对各所述目标设备组网的模拟仿真,得到相应的规模化虚拟网络场景;
步骤S4,构建电力系统电网物理层、信息网络层及业务应用层的电力信息物理通信混合仿真接口,将所述规模化虚拟网络场景通过对应的电力信息物理通信混合仿真接口与电力系统相应的真实设备连接,以实现电网一次与二次设备网络的全真模拟;
所述步骤S1-S4中,基于镜像差分压缩的方式进行数据传输,采用分级存储的方式进行数据存储,并基于云架构的高速资源调度方式进行电力系统网络安全靶场的计算资源、存储资源和网络资源的统一调度。
根据本发明第一方面的一种能够实现的方式,所述对电力系统中可映射的目标设备进行关键物理属性仿真,包括:
确定电力系统中可映射的目标设备,获取所述可映射的目标设备的关键物理属性的信息,所述关键物理属性包括目标设备的操作系统、协议、端口及版本;
根据所述关键物理属性的信息对相应的目标设备的关键物理属性进行虚拟映射。
根据本发明第一方面的一种能够实现的方式,所述基于各所述元场景描述文件的拼接操作进行复杂业务扩展模拟,包括:
获取真实状态下目标设备的网络连接信息,根据所述网络连接信息确定相应的元场景描述文件;
确定目标设备的主场景描述文件,在目标设备的场景结构描述区域内,基于多重嵌套的方式,将确定的相应的元场景描述文件引入所述主场景描述文件中,实现目标设备的虚拟网络场景的构建。
根据本发明第一方面的一种能够实现的方式,所述基于云架构的高速资源调度方式进行电力系统网络安全靶场的计算资源、存储资源和网络资源的统一调度,包括:
实时检测电力系统网络安全靶场各物理机不同资源的负载信息;
基于虚拟机迁移策略将负载大于预置负载上限的物理机上的虚拟机迁移到负载不大于预置负载下限的物理机上。
本发明第二方面提供一种电力系统网络安全靶场混合仿真系统,包括:
第一仿真模块,用于对电力系统中可映射的目标设备进行关键物理属性仿真;对于无法映射的目标设备,利用靶场的软件定义和动态调整虚拟网络的能力,将目标设备的管理端口和业务端口动态接入对应试验场景及网络;
第二仿真模块,用于对电力系统目标网络中不同层次的数据流进行采集,根据所述数据流编制流量仿真重放策略,以在相应的仿真场景中根据所述流量仿真重放策略对所述数据流进行重放;利用自动化脚本对目标行为对象的攻防行为进行描述,并设置相应的攻防行为模拟智能化程序,以根据所述攻防行为模拟智能化程序模拟和重现攻防行为;
第三仿真模块,用于将目标设备的网络连接情况划分为最小单位进行描述,形成相应的元场景描述文件,基于各所述元场景描述文件的拼接操作进行复杂业务扩展模拟,以实现对各所述目标设备组网的模拟仿真,得到相应的规模化虚拟网络场景;
第四仿真模块,用于构建电力系统电网物理层、信息网络层及业务应用层的电力信息物理通信混合仿真接口,将所述规模化虚拟网络场景通过对应的电力信息物理通信混合仿真接口与电力系统相应的真实设备连接,以实现电网一次与二次设备网络的全真模拟;
靶场管理模块,用于在第一仿真模块、第二仿真模块、第三仿真模块及第四仿真模块的仿真过程中,基于镜像差分压缩的方式进行数据传输,采用分级存储的方式进行数据存储,并基于云架构的高速资源调度方式进行电力系统网络安全靶场的计算资源、存储资源和网络资源的统一调度。
根据本发明第二方面的一种能够实现的方式,所述第一仿真模块包括:
获取单元,用于确定电力系统中可映射的目标设备,获取所述可映射的目标设备的关键物理属性的信息,所述关键物理属性包括目标设备的操作系统、协议、端口及版本;
仿真单元,用于根据所述关键物理属性的信息对相应的目标设备的关键物理属性进行虚拟映射。
根据本发明第二方面的一种能够实现的方式,所述第三仿真模块包括:
元场景确定单元,用于获取真实状态下目标设备的网络连接信息,根据所述网络连接信息确定相应的元场景描述文件;
场景构建单元,用于确定目标设备的主场景描述文件,在目标设备的场景结构描述区域内,基于多重嵌套的方式,将确定的相应的元场景描述文件引入所述主场景描述文件中,实现目标设备的虚拟网络场景的构建。
根据本发明第二方面的一种能够实现的方式,所述靶场管理模块包括:
检测单元,用于实时检测电力系统网络安全靶场各物理机不同资源的负载信息;
调度单元,用于基于虚拟机迁移策略将负载大于预置负载上限的物理机上的虚拟机迁移到负载不大于预置负载下限的物理机上。
本发明第三方面提供了一种电力系统网络安全靶场混合仿真设备,包括:
存储器,用于存储指令;其中,所述指令用于实现如上任意一项能够实现的方式所述的电力系统网络安全靶场混合仿真方法;
处理器,用于执行所述存储器中的指令。
本发明第四方面一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上任意一项能够实现的方式所述的电力系统网络安全靶场混合仿真方法。
从以上技术方案可以看出,本发明具有以下优点:
本发明对电力系统中可映射的目标设备进行关键物理属性仿真,将无法映射的目标设备的管理端口和业务端口动态接入对应试验场景及网络;根据电力系统目标网络中不同层次的数据流编制流量仿真重放策略,以用于进行数据重放,并根据攻防行为的描述信息设置模拟智能化程序模拟和重现攻防行为;基于元场景技术将目标设备的网络连接情况划分为最小单位进行描述,以进行复杂业务扩展模拟,得到相应的规模化虚拟网络场景;构建电力系统电网物理层、信息网络层及业务应用层的电力信息物理通信混合仿真接口,将所述规模化虚拟网络场景通过对应的电力信息物理通信混合仿真接口与电力系统相应的真实设备连接,以实现电网一次与二次设备网络的全真模拟;在各仿真过程中,还基于镜像差分压缩的方式进行数据传输,采用分级存储的方式进行数据存储,并基于云架构的高速资源调度方式进行电力系统网络安全靶场的计算资源、存储资源和网络资源的统一调度;本发明通过各方面的仿真过程,能够有效提高电力系统网络安全靶场的仿真效率及仿真精度,基于镜像差分压缩技术、基于分级存储的节点快速重构技术与基于云架构的高速资源调度的技术为设备网络模拟仿真、场景组件及虚实结合提供性能支持,能够实现快速存储、快速组网和资源的高效分配。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为本发明一个可选实施例提供的一种电力系统网络安全靶场混合仿真方法的流程图;
图2为本发明一个可选实施例提供的一种电力系统网络安全靶场混合仿真系统的结构连接框图。
附图标记:
1-第一仿真模块;2-第二仿真模块;3-第三仿真模块;4-第四仿真模块;5-靶场管理模块。
具体实施方式
本发明实施例提供了一种电力系统网络安全靶场混合仿真方法、系统及设备,用于解决现有网络安全靶场的模拟仿真方法在仿真效率、仿真精度以及虚拟资源调度方面还存在不足的技术问题。
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明提供了一种电力系统网络安全靶场混合仿真方法。
请参阅图1,图1示出了本发明实施例提供的一种电力系统网络安全靶场混合仿真方法的流程图。
本发明实施例提供的一种电力系统网络安全靶场混合仿真方法,包括步骤S1-S4。
步骤S1,对电力系统中可映射的目标设备进行关键物理属性仿真;对于无法映射的目标设备,利用靶场的软件定义和动态调整虚拟网络的能力,将目标设备的管理端口和业务端口动态接入对应试验场景及网络。
在一种能够实现的方式中,所述对电力系统中可映射的目标设备进行关键物理属性仿真,包括:
确定电力系统中可映射的目标设备,获取所述可映射的目标设备的关键物理属性的信息,所述关键物理属性包括目标设备的操作系统、协议、端口及版本;
根据所述关键物理属性的信息对相应的目标设备的关键物理属性进行虚拟映射。
本发明上述实施例,针对无法使用虚拟化或其他仿真方式进行高逼真仿真的实体设备,利用靶场的软件定义和动态调整虚拟网络的能力,将实体设备的管理端口和业务端口动态的接入各类实验场景和网络,能够保证靶场内的场景在特定的物理属性方面与目标场景保持高度的一致性,实现了虚拟设备和物理设备的混合组网,从而提升了属性平行仿真程度。
步骤S2,对电力系统目标网络中不同层次的数据流进行采集,根据所述数据流编制流量仿真重放策略,以在相应的仿真场景中根据所述流量仿真重放策略对所述数据流进行重放;利用自动化脚本对目标行为对象的攻防行为进行描述,并设置相应的攻防行为模拟智能化程序,以根据所述攻防行为模拟智能化程序模拟和重现攻防行为。
在一种能够实现的方式中,所述基于各所述元场景描述文件的拼接操作进行复杂业务扩展模拟,包括:
获取真实状态下目标设备的网络连接信息,根据所述网络连接信息确定相应的元场景描述文件;
确定目标设备的主场景描述文件,在目标设备的场景结构描述区域内,基于多重嵌套的方式,将确定的相应的元场景描述文件引入所述主场景描述文件中,实现目标设备的虚拟网络场景的构建。
高逼真地仿真一个目标场景,不仅仅需要在网络架构、操作系统、应用、服务、漏洞等基础场景层面做到一致,还需要在场景中使得运行的数据、业务及行为保持活性和逼真性。在数据和业务仿真方面,本发明实施例,采用分层数据流采集的模式,在目标网络中有针对性地对不同层次的数据流进行采集和留存,编制流量仿真重放策略,将这些有典型代表性的数据流在仿真场景中进行重放,赋予场景鲜活的数据基础活力,进一步提升仿真效果;在行为模拟方面,本发明实施例,利用自动化脚本的方式对网络应用行为、业务行为、攻击行为、安全运维行为、加固行为等进行描述,进一步地提升了仿真效果,并可以根据策略灵活配置,模拟出真实的业务应用中的各种常规行为,通过设置相应的攻防行为模拟智能化程序,按照通常的人类行为方式对这些行为进行模拟和重现,从而提升了整个攻防行为的逼真性。
步骤S3,将目标设备的网络连接情况划分为最小单位进行描述,形成相应的元场景描述文件,基于各所述元场景描述文件的拼接操作进行复杂业务扩展模拟,以实现对各所述目标设备组网的模拟仿真,得到相应的规模化虚拟网络场景。
具体地,针对多重嵌套网络区域,可以采用多重嵌套技术,在场景描述文件的场景结构描述区中,将其他场景描述文件作为一个子区域引入至主场景描述文件中,从而实现规模化虚拟网络场景的构建,解决了复杂业务场景下大规模靶场构建难、构建步骤繁杂以及本地存储瓶颈的难题。
本发明实施例,针对大规模网络靶场业务复杂、节点众多、拓扑多样等特点,提出基于可扩展元场景的复杂业务模拟技术,结合基于元场景的多分区管理、多场景要素整合的复杂场景模型描述方法,解决了复杂场景模型节点众多难以扩展模拟的问题。其中,采用了复杂业务场景结构描述文件记录的方法,以及元场景分区描述技术,针对性地读取场景节点数据、结构数据或连通性数据,大幅提高了读取效率。
步骤S4,构建电力系统电网物理层、信息网络层及业务应用层的电力信息物理通信混合仿真接口,将所述规模化虚拟网络场景通过对应的电力信息物理通信混合仿真接口与电力系统相应的真实设备连接,以实现电网一次与二次设备网络的全真模拟。
针对一次系统、二次系统、电力通信无法大规模联合实时仿真的技术难题,本发明实施例中,通过构建电网物理层、信息网络层、业务应用层的电力信息物理通信混合仿真接口,打通电力能量流、信息流及业务流的连接,构建“虚实结合、数模协同、硬件在环”的一次系统、二次系统、电力通信在线联动的电力信息物理通信混合仿真环境,实现网络攻击与电力系统的运行状态耦合关联。
在上述步骤S1-S4中,基于镜像差分压缩的方式进行数据传输,采用分级存储的方式进行数据存储,并基于云架构的高速资源调度方式进行电力系统网络安全靶场的计算资源、存储资源和网络资源的统一调度。
具体地,对于要传输的数据,可以确定相应的镜像文件,根据确定的镜像文件生成差分镜像文件,进而对差分镜像文件进行压缩处理,将得到的压缩镜像数据包进行传输。分级存储是将数据采取不同的存储方式分别存储在不同性能的存储设备上,减少非重要性数据在一级本地磁盘所占用的空间,还可加快整个系统的存储性能。
需要说明的是,由于镜像差分压缩技术和分级存储技术是已有技术,本发明实施例中对采用镜像差分压缩技术和分级存储技术进行数据传输和存储的具体过程不做限定。
针对大规模网络靶场存储性能差、节点实例化难度大、节点存储拥塞等特点,本发明实施例,提出基于镜像差分压缩的方式进行数据传输,从而能够实现靶机虚拟机文件无存储压力的复制,降低了存储网络的带宽拥堵可能性,保证存储网络具有足够的带宽和充足的性能。采用分级存储的方式进行数据存储,能够将存储网络流量和其他类型的网络流量物理隔离,保证存储网络的独立性和高效性。本发明实施例,利用镜像差分压缩与分级存储相结合的方式,实现了繁琐任务并发执行,能够有效缩短场景构建时间,可实现基于节点重构的大规模靶场构建。
具体地,为实现电力系统网络安全靶场的计算资源、存储资源和网络资源的统一调度,可以构建相应的靶场云平台,利用虚拟资源动态资源感知均衡调度技术,将靶场云平台的资源调度过程分为三个阶段:资源初始分配、资源动态调度以及资源动态整合。通过虚拟机迁移技术将负载过高的物理机上的虚拟机迁移到资源利用率较低或者空闲物理机上,以此来实现负载均衡,并尽量减少服务等级协议冲突的概率。进一步地,可以针对靶场云平台中的虚拟资源分配问题进行相应的建模,得到相应的决策模型。例如,所构建的模型的云平台由一组物理机组成,每个物理机通过虚拟化平台管理多个虚拟机,从而实现虚拟机可以在任意的两个物理机器之间进行迁移,并利用监控技术对当前应用程序的性能进行监控,可以基于动态决策技术构建虚拟机迁移策略,该策略可以根据当前应用程序的负载和资源分配情况进行性能评估,从而决定是否需要分配更多的虚拟机,还是释放空闲的虚拟机。
在一种能够实现的方式中,基于虚拟机迁移策略进行电力系统网络安全靶场的计算资源、存储资源和网络资源的统一调度时,可以执行:
实时检测电力系统网络安全靶场各物理机不同资源的负载信息;
基于虚拟机迁移策略将负载大于预置负载上限的物理机上的虚拟机迁移到负载不大于预置负载下限的物理机上。
其中,负载上限和负载下限可以根据实际情况在设定虚拟机迁移策略时进行设置。
本发明实施例,能够对靶场云计算环境中的虚拟资源进行高效的分配与管理,解决了在模拟仿真过程中云资源有效利用的问题。
本发明还提供了一种电力系统网络安全靶场混合仿真系统。
请参阅图2,图2示出了本发明实施例提供的一种电力系统网络安全靶场混合仿真系统的结构连接框图。
本发明实施例提供了一种电力系统网络安全靶场混合仿真系统,包括:
第一仿真模块1,用于对电力系统中可映射的目标设备进行关键物理属性仿真;对于无法映射的目标设备,利用靶场的软件定义和动态调整虚拟网络的能力,将目标设备的管理端口和业务端口动态接入对应试验场景及网络;
第二仿真模块2,用于对电力系统目标网络中不同层次的数据流进行采集,根据所述数据流编制流量仿真重放策略,以在相应的仿真场景中根据所述流量仿真重放策略对所述数据流进行重放;利用自动化脚本对目标行为对象的攻防行为进行描述,并设置相应的攻防行为模拟智能化程序,以根据所述攻防行为模拟智能化程序模拟和重现攻防行为;
第三仿真模块3,用于将目标设备的网络连接情况划分为最小单位进行描述,形成相应的元场景描述文件,基于各所述元场景描述文件的拼接操作进行复杂业务扩展模拟,以实现对各所述目标设备组网的模拟仿真,得到相应的规模化虚拟网络场景;
第四仿真模块4,用于构建电力系统电网物理层、信息网络层及业务应用层的电力信息物理通信混合仿真接口,将所述规模化虚拟网络场景通过对应的电力信息物理通信混合仿真接口与电力系统相应的真实设备连接,以实现电网一次与二次设备网络的全真模拟;
靶场管理模块5,用于在第一仿真模块1、第二仿真模块2、第三仿真模块3及第四仿真模块4的仿真过程中,基于镜像差分压缩的方式进行数据传输,采用分级存储的方式进行数据存储,并基于云架构的高速资源调度方式进行电力系统网络安全靶场的计算资源、存储资源和网络资源的统一调度。
在一种能够实现的方式中,所述第一仿真模块1包括:
获取单元,用于确定电力系统中可映射的目标设备,获取所述可映射的目标设备的关键物理属性的信息,所述关键物理属性包括目标设备的操作系统、协议、端口及版本;
仿真单元,用于根据所述关键物理属性的信息对相应的目标设备的关键物理属性进行虚拟映射。
在一种能够实现的方式中,所述第三仿真模块3包括:
元场景确定单元,用于获取真实状态下目标设备的网络连接信息,根据所述网络连接信息确定相应的元场景描述文件;
场景构建单元,用于确定目标设备的主场景描述文件,在目标设备的场景结构描述区域内,基于多重嵌套的方式,将确定的相应的元场景描述文件引入所述主场景描述文件中,实现目标设备的虚拟网络场景的构建。
在一种能够实现的方式中,所述靶场管理模块5包括:
检测单元,用于实时检测电力系统网络安全靶场各物理机不同资源的负载信息;
调度单元,用于基于虚拟机迁移策略将负载大于预置负载上限的物理机上的虚拟机迁移到负载不大于预置负载下限的物理机上。
本发明还提供了一种电力系统网络安全靶场混合仿真设备,包括:
存储器,用于存储指令;其中,所述指令用于实现如上任意一项实施例所述的电力系统网络安全靶场混合仿真方法;
处理器,用于执行所述存储器中的指令。
本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上任意一项实施例所述的电力系统网络安全靶场混合仿真方法。
所属领域的技术人员可以清楚地了解到,为描述地方便和简洁,上述描述的系统、设备和模块的具体工作过程,可以参考前述方法实施例中的对应过程,上述描述的系统、设备和模块的具体有益效果,可以参考前述方法实施例中的对应有益效果,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种电力系统网络安全靶场混合仿真方法,其特征在于,包括:
步骤S1,对电力系统中可映射的目标设备进行关键物理属性仿真;对于无法映射的目标设备,利用靶场的软件定义和动态调整虚拟网络的能力,将目标设备的管理端口和业务端口动态接入对应试验场景及网络;
步骤S2,对电力系统目标网络中不同层次的数据流进行采集,根据所述数据流编制流量仿真重放策略,以在相应的仿真场景中根据所述流量仿真重放策略对所述数据流进行重放;利用自动化脚本对目标行为对象的攻防行为进行描述,并设置相应的攻防行为模拟智能化程序,以根据所述攻防行为模拟智能化程序模拟和重现攻防行为;
步骤S3,将目标设备的网络连接情况划分为最小单位进行描述,形成相应的元场景描述文件,基于各所述元场景描述文件的拼接操作进行复杂业务扩展模拟,以实现对各所述目标设备组网的模拟仿真,得到相应的规模化虚拟网络场景;
步骤S4,构建电力系统电网物理层、信息网络层及业务应用层的电力信息物理通信混合仿真接口,将所述规模化虚拟网络场景通过对应的电力信息物理通信混合仿真接口与电力系统相应的真实设备连接,以实现电网一次与二次设备网络的全真模拟;
步骤S1-S4中,基于镜像差分压缩的方式进行数据传输,采用分级存储的方式进行数据存储,并基于云架构的高速资源调度方式进行电力系统网络安全靶场的计算资源、存储资源和网络资源的统一调度。
2.根据权利要求1所述的电力系统网络安全靶场混合仿真方法,其特征在于,所述对电力系统中可映射的目标设备进行关键物理属性仿真,包括:
确定电力系统中可映射的目标设备,获取所述可映射的目标设备的关键物理属性的信息,所述关键物理属性包括目标设备的操作系统、协议、端口及版本;
根据所述关键物理属性的信息对相应的目标设备的关键物理属性进行虚拟映射。
3.根据权利要求1所述的电力系统网络安全靶场混合仿真方法,其特征在于,所述基于各所述元场景描述文件的拼接操作进行复杂业务扩展模拟,包括:
获取真实状态下目标设备的网络连接信息,根据所述网络连接信息确定相应的元场景描述文件;
确定目标设备的主场景描述文件,在目标设备的场景结构描述区域内,基于多重嵌套的方式,将确定的相应的元场景描述文件引入所述主场景描述文件中,实现目标设备的虚拟网络场景的构建。
4.根据权利要求1所述的电力系统网络安全靶场混合仿真方法,其特征在于,所述基于云架构的高速资源调度方式进行电力系统网络安全靶场的计算资源、存储资源和网络资源的统一调度,包括:
实时检测电力系统网络安全靶场各物理机不同资源的负载信息;
基于虚拟机迁移策略将负载大于预置负载上限的物理机上的虚拟机迁移到负载不大于预置负载下限的物理机上。
5.一种电力系统网络安全靶场混合仿真系统,其特征在于,包括:
第一仿真模块,用于对电力系统中可映射的目标设备进行关键物理属性仿真;对于无法映射的目标设备,利用靶场的软件定义和动态调整虚拟网络的能力,将目标设备的管理端口和业务端口动态接入对应试验场景及网络;
第二仿真模块,用于对电力系统目标网络中不同层次的数据流进行采集,根据所述数据流编制流量仿真重放策略,以在相应的仿真场景中根据所述流量仿真重放策略对所述数据流进行重放;利用自动化脚本对目标行为对象的攻防行为进行描述,并设置相应的攻防行为模拟智能化程序,以根据所述攻防行为模拟智能化程序模拟和重现攻防行为;
第三仿真模块,用于将目标设备的网络连接情况划分为最小单位进行描述,形成相应的元场景描述文件,基于各所述元场景描述文件的拼接操作进行复杂业务扩展模拟,以实现对各所述目标设备组网的模拟仿真,得到相应的规模化虚拟网络场景;
第四仿真模块,用于构建电力系统电网物理层、信息网络层及业务应用层的电力信息物理通信混合仿真接口,将所述规模化虚拟网络场景通过对应的电力信息物理通信混合仿真接口与电力系统相应的真实设备连接,以实现电网一次与二次设备网络的全真模拟;
靶场管理模块,用于在第一仿真模块、第二仿真模块、第三仿真模块及第四仿真模块的仿真过程中,基于镜像差分压缩的方式进行数据传输,采用分级存储的方式进行数据存储,并基于云架构的高速资源调度方式进行电力系统网络安全靶场的计算资源、存储资源和网络资源的统一调度。
6.根据权利要求5所述的电力系统网络安全靶场混合仿真系统,其特征在于,所述第一仿真模块包括:
获取单元,用于确定电力系统中可映射的目标设备,获取所述可映射的目标设备的关键物理属性的信息,所述关键物理属性包括目标设备的操作系统、协议、端口及版本;
仿真单元,用于根据所述关键物理属性的信息对相应的目标设备的关键物理属性进行虚拟映射。
7.根据权利要求5所述的电力系统网络安全靶场混合仿真系统,其特征在于,所述第三仿真模块包括:
元场景确定单元,用于获取真实状态下目标设备的网络连接信息,根据所述网络连接信息确定相应的元场景描述文件;
场景构建单元,用于确定目标设备的主场景描述文件,在目标设备的场景结构描述区域内,基于多重嵌套的方式,将确定的相应的元场景描述文件引入所述主场景描述文件中,实现目标设备的虚拟网络场景的构建。
8.根据权利要求5所述的电力系统网络安全靶场混合仿真系统,其特征在于,所述靶场管理模块包括:
检测单元,用于实时检测电力系统网络安全靶场各物理机不同资源的负载信息;
调度单元,用于基于虚拟机迁移策略将负载大于预置负载上限的物理机上的虚拟机迁移到负载不大于预置负载下限的物理机上。
9.一种电力系统网络安全靶场混合仿真设备,其特征在于,包括:
存储器,用于存储指令;其中,所述指令用于实现如权利要求1-4任意一项所述的电力系统网络安全靶场混合仿真方法;
处理器,用于执行所述存储器中的指令。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-4任意一项所述的电力系统网络安全靶场混合仿真方法。
CN202210631597.4A 2022-06-06 2022-06-06 一种电力系统网络安全靶场混合仿真方法、系统及设备 Active CN114996703B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210631597.4A CN114996703B (zh) 2022-06-06 2022-06-06 一种电力系统网络安全靶场混合仿真方法、系统及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210631597.4A CN114996703B (zh) 2022-06-06 2022-06-06 一种电力系统网络安全靶场混合仿真方法、系统及设备

Publications (2)

Publication Number Publication Date
CN114996703A CN114996703A (zh) 2022-09-02
CN114996703B true CN114996703B (zh) 2024-04-19

Family

ID=83032325

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210631597.4A Active CN114996703B (zh) 2022-06-06 2022-06-06 一种电力系统网络安全靶场混合仿真方法、系统及设备

Country Status (1)

Country Link
CN (1) CN114996703B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115879329A (zh) * 2023-02-28 2023-03-31 中电运行(北京)信息技术有限公司 用于电力网络安全仿真的多靶场同步方法及系统
CN117667361B (zh) * 2024-01-31 2024-04-26 西安羚控电子科技有限公司 一种分布式协同仿真架构实现方法及装置
CN118296593B (zh) * 2024-06-06 2024-08-20 北京长亭科技有限公司 一种网络安全靶场的实操结果验证方法及系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016101638A1 (zh) * 2014-12-23 2016-06-30 国家电网公司 一种电力系统云仿真平台的运营管理方法
CN110401661A (zh) * 2019-07-29 2019-11-01 云南电网有限责任公司电力科学研究院 一种电力监控系统的网络安全靶场系统
CN111555913A (zh) * 2020-04-24 2020-08-18 北京安码科技有限公司 基于虚拟化对真实网络环境模拟的仿真方法、系统、电子设备及存储介质
CN111800420A (zh) * 2020-07-06 2020-10-20 南方电网科学研究院有限责任公司 一种电力系统网络安全靶场系统
CN113473472A (zh) * 2021-09-02 2021-10-01 北京信联科汇科技有限公司 一种电力网络靶场终端接入仿真和攻击重放方法及系统
CN113778615A (zh) * 2021-08-06 2021-12-10 北京永信至诚科技股份有限公司 一种快速稳定的网络靶场虚拟机构建系统
CN113872960A (zh) * 2021-09-24 2021-12-31 南方电网科学研究院有限责任公司 一种面向电力行业的网络安全靶场及其运行方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016101638A1 (zh) * 2014-12-23 2016-06-30 国家电网公司 一种电力系统云仿真平台的运营管理方法
CN110401661A (zh) * 2019-07-29 2019-11-01 云南电网有限责任公司电力科学研究院 一种电力监控系统的网络安全靶场系统
CN111555913A (zh) * 2020-04-24 2020-08-18 北京安码科技有限公司 基于虚拟化对真实网络环境模拟的仿真方法、系统、电子设备及存储介质
CN111800420A (zh) * 2020-07-06 2020-10-20 南方电网科学研究院有限责任公司 一种电力系统网络安全靶场系统
CN113778615A (zh) * 2021-08-06 2021-12-10 北京永信至诚科技股份有限公司 一种快速稳定的网络靶场虚拟机构建系统
CN113473472A (zh) * 2021-09-02 2021-10-01 北京信联科汇科技有限公司 一种电力网络靶场终端接入仿真和攻击重放方法及系统
CN113872960A (zh) * 2021-09-24 2021-12-31 南方电网科学研究院有限责任公司 一种面向电力行业的网络安全靶场及其运行方法

Non-Patent Citations (8)

* Cited by examiner, † Cited by third party
Title
A Survey: Machine Learning Based Security Analytics Approaches and Applications of Blockchain in Network Security;Lin Chen等;2020 3rd International Conference on Smart BlockChain (SmartBlock);20210507;第17-22页 *
An Ensemble Learning Approach to Detect Malwares Based on Static Information;Lin Chen 等;International Conference on Algorithms and Architectures for Parallel Processing;20200929;第676-686页 *
Cyber-Physical Power System (CPPS): A Review on Modeling, Simulation, and Analysis With Cyber Security Applications;RAJAA VIKHRAM YOHANANDHAN 等;IEEE ACCESS;20200827;第8卷;第151019-151064页 *
以平行仿真技术为核心的网络安全蜜罐技术路线;蔡晶晶;潘柱廷;张凯;余慧英;;信息技术与标准化;20191010(10);第24-27+61页 *
基于动态增量聚类分析的电力信息网络攻击模式识别算法;陈霖 等;南方电网技术;20200831;第14卷(第8期);第25-32页 *
电力行业管理信息系统网络安全靶场平台系统设计;何永远 等;第三届智能电网会议论文集 计算机工程与应用;20181231;第22-25页 *
网络空间安全靶场技术研究及系统架构设计;赵静;;电脑知识与技术;20200125(第03期);第57-60页 *
网络空间安全靶场设计研究;韩挺 等;信息安全研究;20180505;第4卷(第5期);第430-432页 *

Also Published As

Publication number Publication date
CN114996703A (zh) 2022-09-02

Similar Documents

Publication Publication Date Title
CN114996703B (zh) 一种电力系统网络安全靶场混合仿真方法、系统及设备
CN103649916B (zh) 虚拟机在数据中心中的分配
Etemad et al. Using DEVS for modeling and simulating a Fog Computing environment
CN106843745A (zh) 容量扩展方法及装置
CN112580217A (zh) 基于复杂网络的通信体系结构参数化建模方法
Khan et al. Clouds of small things: Provisioning infrastructure-as-a-service from within community networks
Lin et al. Research on resource self-organizing model for cloud computing
CN111309443B (zh) 物联网设备系统的虚拟化方法、装置、设备及存储介质
CN113032149B (zh) 基于演化博弈的边缘计算服务放置和请求分配方法及系统
Suciu et al. Cloud computing as evolution of distributed computing-A case study for SlapOS distributed cloud computing platform
CN107967164A (zh) 一种虚拟机热迁移的方法及系统
Noor et al. Portkey: Adaptive key-value placement over dynamic edge networks
CN109150574A (zh) 一种规模网络复现方法
Liu et al. DCNSim: A data center network simulator
Liu et al. Towards a community cloud storage
CN104022937B (zh) 一种基于细胞型p系统的虚拟网络映射方法
Nakata et al. Starbed2: Large-scale, realistic and real-time testbed for ubiquitous networks
Farooq et al. Faster dynamic spatial partitioning in opensimulator
Farooq et al. Integrating dynamic scalability into the opensimulator framework
Kumar et al. BMAQR: balanced multi attribute QoS aware replication in HDFS
CN109656830B (zh) 一种软件产品性能测试方法
CN113489796A (zh) 基于云计算与物联网的虚拟电厂管控系统
Tsung et al. Performance analysis in HyperFlex and vSAN hyper convergence platforms for online course consideration
Jian et al. A HDFS dynamic load balancing strategy using improved niche PSO algorithm in cloud storage
CN117149099B (zh) 一种计算存储分体式服务器系统及控制方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant