一种电力网络靶场终端接入仿真和攻击重放方法及系统
阅读说明:本技术 一种电力网络靶场终端接入仿真和攻击重放方法及系统 (Power network target range terminal access simulation and attack replay method and system ) 是由 林冠洲 李超 张云 于 2021-09-02 设计创作,主要内容包括:本发明涉及一种电力网络靶场终端接入仿真和攻击重放方法及系统,通过网络流量提取和分析,执行终端仿真和行为模拟,实现与电力网络靶场系统的对接和应用,满足靶场中针对电力安全接入场景的模拟和安全研究需求,能够覆盖电力接入场景中终端侧包含行为内容和时间序列的所有行为,适配任意类型的终端,无需定制,人工干预程度低,设计方案具备通用性和自动化特性,适用于带有任意电力终端和异常终端的场景,并且在捕获包含有网络安全事件的网络流量时,可实现事件行为的重放,有助于安全分析研究。(The invention relates to a power network target range terminal access simulation and attack replay method and a system, which execute terminal simulation and behavior simulation through network flow extraction and analysis, realize butt joint and application with a power network target range system, meet the simulation and safety research requirements aiming at a power safety access scene in a target range, cover all behaviors containing behavior content and time sequence at a terminal side in the power access scene, adapt to terminals of any type, do not need customization, have low manual intervention degree, have universality and automation characteristics in a design scheme, are suitable for scenes with any power terminals and abnormal terminals, can realize replay of event behaviors when capturing network flow containing network safety events, and are beneficial to safety analysis research.)
技术领域
本发明涉及一种电力网络靶场终端接入仿真和攻击重放方法及系统,属于电力网络靶场
技术领域
。背景技术
当前,众多电力公司、科研机构、高校建立电力网络靶场系统,基于实体设备、虚拟化系统或两者相结合方式构建电力仿真环境,用于仿真电力业务场景,并基于网络靶场开展网络安全攻防演练、安全测评、技术培训、应急演练等工作,提升建设单位针对电力网络安全的研究能力和实践水平。
随着物联网、NB-IOT、5G、北斗等新一代通信技术在电力场景中的逐步应用,以及采用密码通信技术等通信安全保障措施的进一步完善,大量各种类型的终端基于4G、NB-IOT、5G等有线或无线方式接入电力网络,例如:摄像头、移动作业终端、数据采集终端等,实现了数据的采集上报和反馈,极大便利了业务的开展。
在电力安全接入场景中主要分为电力终端、安全接入设备和业务主站三类元素。其中:
(1)电力终端包含了视频终端、采集终端、移动作业终端等多种类型,对应不同的通信协议,每种类型又涵盖了多种不同厂商。电力终端上安装了基于数字证书和加密芯片的装置,实现与安全接入设备之间的终端认证、密钥协商和加密数据通信。
(2)安全接入设备主要由安全接入网关组成,连接外网侧和内网侧两个网络。外网侧面向电力终端,实现终端认证、数据接收和解密功能,而后以明文方式转发到内网侧网络,实现与业务主站的通信。
(3)业务主站主要由电力业务系统组成,主站接收业务数据实现电力相关的业务功能。
大量终端的接入改变了原有相对封闭的电力网络架构,使得非法用户通过受控终端接入并渗透进入电力网络成为可能,存在严重的安全隐患,是当前电力网络安全的重点关注领域。基于电力网络靶场系统开展针对电力终端接入场景的安全仿真、安全研究、攻防演练是电力靶场系统的重要功能需求。在电力安全接入场景仿真上,安全接入网关和业务主站在实际场景中数量不多且业务功能类型单一,在仿真场景中可以采用实物仿真或者虚拟化仿真方式实现。但是,电力终端设备在实际场景中数量普遍在数十万及以上量级,厂商、类型众多,并且在安全接入网关外网侧需要认证和加密,如何在仿真环境中大规模、自动化仿真是一大难点。此外,当在真实的电力终端接入网络中捕获电力终端引起的网络安全事件或疑似网络安全事件相关的网络流量后,如何从网络流量中提取出电力终端行为,在电力网络靶场系统中快速、自动化、高还原度地仿真,实现网络安全事件重放、复盘是电力网络靶场开展终端接入安全研究亟需解决的技术难题。
针对电力网络靶场终端接入场景中自动化实现终端仿真和网络攻击重放,现有主要采用的技术方案和存在的问题包括:
(1)通过实体或模拟器方式仿真电力终端设备并进行攻击重现,该方案通过对真实的电力终端接入网络中捕获网络安全事件或疑似网络安全事件相关的网络流量进行专家分析方式,发现非法用户的攻击行为和手法。再通过对电力网络靶场系统中接入的实体终端设备或者模拟器终端设备进行同样的手动攻击,实现真实网络场景网络安全事件的攻击重放。
该方案存在的问题是需要大量的人工干预,无法自动化模拟真实场景。同时,在电力网络靶场中集成同类终端实体设备,其成本高昂,难以实现大规模终端仿真;若采用全功能的模拟器仿真终端设备,对靶场环境中终端模拟器功能要求高。面对海量各类终端,方案通用性差。
(2)通过网络流量重放方式仿真电力终端设备和行为,该方案通过在电力网络靶场系统中直接重放现网捕获的网络流量的方式,实现真实网络场景网络安全事件的攻击重放。
该方案存在的问题是由于终端和电力主站系统之间要求存在安全接入网关设备,终端与安全接入网关之间通信流量为加密流量。直接重放报文将导致通信被安全接入网关拒绝,无法实现攻击重放功能。
发明内容
本发明所要解决的技术问题是提供一种电力网络靶场终端接入仿真和攻击重放方法,通过网络流量提取和分析,执行终端仿真和行为模拟,能够覆盖电力接入场景中终端侧的所有行为,有助于电力接入场景的安全分析研究。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种电力网络靶场终端接入仿真和攻击重放方法,包括用于实现正常终端和符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放,执行如下步骤A至步骤C:
步骤A. 基于外网电力终端经安全接入设备连接内网业务主站的电力安全接入场 景中的历史应用,捕获安全接入设备与内网业务主站之间来自正常终端、以及符合通信规 范的非法终端的明文网络流量,然后进入步骤B;
步骤B. 首先根据明文数据流报文对应预设各数据流属性的数据,针对明文网络 流量中的各条明文数据流报文进行分组,获得各明文数据流报文组,并删除各明文数据 流报文组中内网业务主站指向安全接入设备方向的各条明文数据流报文,更新各明文数据 流报文组;然后基于明文数据流报文组中各条明文数据流报文的应用层数据内容、以及各 条明文数据流报文的时间,按各条明文数据流报文相对时间的顺序,构建各明文数据流报 文组分别所对应的明文数据流报文序列,最后进入步骤C;
步骤C. 基于外网侧、安全接入设备、以及内网业务主站所构建的电力网络靶场,初始化与明文数据流报文组的数量相等、且包含正常终端和符合通信规范的非法终端的各个电力终端仿真模块,且各个电力终端仿真模块分别与各明文数据流报文序列一一对应,首先由各电力终端仿真模块分别与电力网络靶场中的安全接入设备实现终端认证和密钥协商,然后各电力终端仿真模块分别针对其所对应明文数据流报文序列中各明文数据流报文,按电力接入数据发送方式,顺序将各明文数据流报文的应用层数据内容经安全接入设备向内网业务主站进行发送,即实现正常终端和符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
作为本发明的一种优选技术方案:还包括用于实现不符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放,执行如下步骤I至步骤III;
步骤I. 基于外网电力终端经安全接入设备连接内网业务主站的电力安全接入场 景中的历史应用,捕获外网电力终端与安全接入设备之间的网络流量,并基于电力终端加 密通信规范,筛选出其中不符合通信规范的网络流量,即为来自不符合通信规范的非法终 端的异常网络流量,然后进入步骤II;
步骤II. 首先根据异常数据流报文对应预设各数据流属性的数据,针对异常网络 流量中的各条异常数据流报文进行分组,获得各异常数据流报文组,并删除各异常数据 流报文组中安全接入设备指向外网电力终端方向的各条异常数据流报文,更新各异常数据 流报文组;然后基于异常数据流报文组中各条异常数据流报文的应用层数据内容、以及各 条异常数据流报文的时间,按各条异常数据流报文相对时间的顺序,构建各异常数据流报 文组分别所对应的异常数据流报文序列,最后进入步骤III;
步骤III. 基于外网侧、安全接入设备、以及内网业务主站所构建的电力网络靶场,初始化与异常数据流报文组的数量相等、且属于不符合通信规范的非法终端的各个异常终端仿真模块,且各个异常终端仿真模块分别与各异常数据流报文序列一一对应,各异常终端仿真模块分别针对其所对应异常数据流报文序列中各异常数据流报文,按通用协议数据发送方式,顺序将各异常数据流报文的应用层数据内容经安全接入设备向内网业务主站进行发送,即实现不符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
作为本发明的一种优选技术方案:所述步骤I中,基于外网电力终端经安全接入设 备连接内网业务主站的电力安全接入场景中的历史应用,捕获外网电力终端与安全接入设 备之间与所述明文网络流量同时间段的网络流量,并删除其中明文网络流量对应外网 电力终端与安全接入设备之间的符合通信规范的加密网络流量,获得外网电力终端与安全 接入设备之间来自不符合通信规范的非法终端的异常网络流量,然后进入步骤II。
作为本发明的一种优选技术方案:所述步骤II包括步骤II1至步骤II3;
步骤II1. 根据由异常数据流报文对应预设各数据流属性的数据,组合构成异常 数据流报文所对应的类别组,获得异常网络流量中各条异常数据流报文分别所对应的类 别组,并按相同类别组的各异常数据流报文归为一组的方式,针对异常网络流量中的各 条异常数据流报文进行分组,获得各异常数据流报文组,然后进入步骤II2;其中,预设各 数据流属性包括报文通信双方IP、报文通信双方的端口、报文通信双方之间传输层协议类 型,,表示异常数据流报文组的数量,表示第个异常数据流报文组,;
步骤II2. 根据各异常数据流报文组分别对应的类别组,删除各异常数据流报 文组中报文通信源头方IP为安全接入网关IP的各条异常数据流报文,更新各异常数据流 报文组,然后进入步骤II3;
步骤II3. 分别针对各异常数据流报文组,提取异常数据流报文组中各条异常 数据流报文的应用层数据内容、以及各条异常数据流报文的时间,按各条异常数据流报 文的相对时间,构成各条异常数据流报文分别所对应的异常报文对象,并按 各条异常数据流报文的时间顺序,针对各异常报文对象进行排序,构建该异常数 据流报文组所对应的异常数据流报文序列,其中,表示第个异常数据流报文组 中异常数据流报文的数量,表示第个异常数据流报文组中第个异常数据流报文的 应用层数据内容,表示第个异常数据流报文组中第个异常数据流报文的相对时 间,表示第个异常数据流报文组中第个异常数据流报文所对应的异常报文 对象;进而获得各异常数据流报文组分别所对应的异常数据流报文序列,然后进入步骤 III。
作为本发明的一种优选技术方案:所述步骤II3中,针对异常数据流报文组中的各条异常数据流报文,按各条异常数据流报文的时间顺序进行排序,首先以第一条异常数据流报文的时间为0的变化时长,针对各条异常数据流报文的时间进行更新,然后分别以各条异常数据流报文的时间与第一条异常数据流报文的时间的绝对时间之差,作为各条异常数据流报文的相对时间。
作为本发明的一种优选技术方案,所述步骤III包括如下步骤III1至步骤III2:
步骤III1. 基于外网侧、安全接入设备、以及内网业务主站所构建的电力网络靶场,初始化与异常数据流报文组的数量相等、且属于不符合通信规范的非法终端的各个异常终端仿真模块,且各个异常终端仿真模块分别与各异常数据流报文序列一一对应,然后进入步骤III2;
步骤III2. 各异常终端仿真模块分别针对其所对应异常数据流报文序列:由异常终端仿真模块针对其所对应异常数据流报文序列中的各异常报文对象,以各异常报文对象中异常数据流报文的相对时间为时间间隔,按通用传输层协议数据发送方式,顺序将各异常报文对象中异常数据流报文的应用层数据内容经安全接入设备向内网业务主站进行发送;即实现不符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
作为本发明的一种优选技术方案,所述步骤B包括如下步骤B1至步骤B3;
步骤B1. 根据由明文数据流报文对应预设各数据流属性的数据,组合构成明文数 据流报文所对应的类别组,获得明文网络流量中各条明文数据流报文分别所对应的类 别组,并按相同类别组的各明文数据流报文归为一组的方式,针对明文网络流量中的各 条明文数据流报文进行分组,获得各明文数据流报文组,然后进入步骤B2;其中,预设各 数据流属性包括报文通信双方IP、报文通信双方的端口、报文通信双方之间传输层协议类 型,,表示明文数据流报文组的数量,表示第个明文数据流报文组,;
步骤B2. 根据各明文数据流报文组分别对应的类别组,删除各明文数据流报文 组中报文通信目的方IP为安全接入网关IP的各条明文数据流报文,更新各明文数据流 报文组,然后进入步骤B3;
步骤B3. 分别针对各明文数据流报文组,提取明文数据流报文组中各条明文数 据流报文的应用层数据内容、以及各条明文数据流报文的时间,按各条明文数据流报文 的相对时间,构成各条明文数据流报文分别所对应的明文报文对象,并按各 条明文数据流报文的时间顺序,针对各明文报文对象进行排序,构建该明文数 据流报文组所对应的明文数据流报文序列,其中,表示第个明文数据流报文 组中明文数据流报文的数量,表示第个明文数据流报文组中第个明文数据流 报文的应用层数据内容,表示第个明文数据流报文组中第个明文数据流报文的 相对时间,表示第个明文数据流报文组中第个明文数据流报文所对应的 明文报文对象;进而获得各明文数据流报文组分别所对应的明文数据流报文序列,然后进 入步骤C。
作为本发明的一种优选技术方案:所述步骤B3中,针对明文数据流报文组中的各条明文数据流报文,按各条明文数据流报文的时间顺序进行排序,首先以第一条明文数据流报文的时间为0的变化时长,针对各条明文数据流报文的时间进行更新,然后分别以各条明文数据流报文的时间与第一条明文数据流报文的时间的绝对时间之差,作为各条明文数据流报文的相对时间。
作为本发明的一种优选技术方案,所述步骤C包括如下步骤C1至步骤C3:
步骤C1. 基于外网侧、安全接入设备、以及内网业务主站所构建的电力网络靶场,初始化与明文数据流报文组的数量相等、且包含正常终端和符合通信规范的非法终端的各个电力终端仿真模块,且各个电力终端仿真模块分别与各明文数据流报文序列一一对应,然后进入步骤C2;
步骤C2. 各电力终端仿真模块分别与电力网络靶场中的安全接入设备实现终端认证和密钥协商,然后进入步骤C3;
步骤C3. 各电力终端仿真模块分别针对其所对应明文数据流报文序列:由电力终端仿真模块针对其所对应明文数据流报文序列中的各明文报文对象,以各明文报文对象中明文数据流报文的相对时间为时间间隔,按电力接入数据发送方式,顺序将各明文报文对象中明文数据流报文的应用层数据内容经安全接入设备向内网业务主站进行发送,即实现正常终端和符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
与上述相对应,本发明所要解决的技术问题是提供一种电力网络靶场终端接入仿真和攻击重放方法的系统,基于模块化设计,分别实现所设计方法中的各个步骤,获得对电力接入场景中终端侧所有行为的覆盖,实现电力接入场景的安全分析研究。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种电力网络靶场终端接入仿真和攻击重放方法的系统,包括电力终端网络流量解析提取模块、终端仿真模块生成模块、电力网络靶场终端仿真调度模块、电力网络靶场网络攻击重放模块;
其中,电力终端网络流量解析提取模块用于执行步骤A至步骤B、以及用于执行步骤I至步骤II;
终端仿真模块生成模块用于执行步骤C初始化包含正常终端和符合通信规范的非法终端的各个电力终端仿真模块、以及终端仿真模块生成模块用于执行步骤III初始化属于不符合通信规范的非法终端的各个异常终端仿真模块;
电力网络靶场终端仿真调度模块用于实现与电力网络靶场对接,调用电力网络靶场的仿真节点生成接口,按照电力终端仿真模块和异常终端仿真模块的加载要求,在电力网络靶场中调度形成指定数量的电力终端仿真模块和异常终端仿真模块;
电力网络靶场网络攻击重放模块用于执行步骤C实现正常终端和符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放,以及电力网络靶场网络攻击重放模块用于执行步骤III实现不符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
本发明所述一种电力网络靶场终端接入仿真和攻击重放方法及系统,采用以上技术方案与现有技术相比,具有以下技术效果:
(1)本发明所设计一种电力网络靶场终端接入仿真和攻击重放方法及系统,通过网络流量提取和分析,执行终端仿真和行为模拟,实现与电力网络靶场系统的对接和应用,满足靶场中针对电力安全接入场景的模拟和安全研究需求,能够覆盖电力接入场景中终端侧包含行为内容和时间序列的所有行为,适配任意类型的终端,无需定制,人工干预程度低,设计方案具备通用性和自动化特性,适用于带有任意电力终端和异常终端的场景,并且在捕获包含有网络安全事件的网络流量时,可实现事件行为的重放,有助于安全分析研究;
(2)本发明所设计一种电力网络靶场终端接入仿真和攻击重放方法及系统中,基于对电力安全接入场景的分析,将接入终端进行分类,构建了电力终端仿真模块和异常终端仿真模块,适用于场景中的任意终端仿真需求;并通过内网侧明文网络流量报文的提取,结合外网侧的电力终端仿真模块,实现了对加密流量的重放,并通过外网侧加密网络流量报文的筛选和提取,实现了异常终端流量的重放,综合形成对任意场景的网络攻击重放,并且网络攻击重放过程中,兼顾考虑重放内容和时间间隔两个要素,与现网终端行为保持一致,有助于提高电力接入网安全分析的准确度。
附图说明
图1是本发明所设计电力网络靶场终端接入仿真和攻击重放方法的流程示意图;
图2是本发明所设计电力网络靶场终端接入仿真和攻击重放方法的系统的模块示意图。
具体实施方式
下面结合说明书附图对本发明的具体实施方式作进一步详细的说明。
本发明设计了一种电力网络靶场终端接入仿真和攻击重放方法,首先对电力接入网中所涉及的终端进行定义,包括正常终端与非法终端,其中,正常终端是指按照通信规范要求、与安全接入网关实现终端认证和正常的加密数据通信。
非法终端是指产生网络安全事件的终端,其中,非法终端又可以分为如下两类:
1)符合通信规范的非法终端:符合通信规范的非法终端(例如,被渗透后受控制的电力终端设备)能够按照通信规范要求,与安全接入网关实现终端认证和正常的加密数据通信,在通信内容中包含了非法信息,实现网络攻击行为。
2)不符合通信规范的非法终端:不符合通信规范的非法终端(例如,接入网络的任意设备)则不按通信规范要求,直接与安全接入网关通信,试图通过对安全接入网关的渗透攻击来实现网络攻击行为。
面向上述三类终端分类,具体设计如下两类终端仿真模块。
(1)电力终端仿真模块:电力终端仿真模块对应上述终端分类中的正常终端和符合通信规范的非法终端两类进行设计。该仿真模块能够按照电力通信规范要求,加载数字证书和加密算法,实现与安全接入网关的终端认证功能和密钥协商功能。同时,该仿真模块支持按照输入字段序列内容与安全接入网关进行加密通信。输入字段序列内容由外部提供,可仿照真实场景中不同类型终端的传输内容进行任意构造。
(2)异常终端仿真模块:异常终端仿真模块对应上述终端分类中的不符合通信规范的非法终端进行设计。该仿真模块不支持终端认证与加解密功能,仅支持按照输入字段序列内容与安全接入网关进行通信。输入字段序列内容由外部提供,可仿照真实场景中的不符合通信规范的非法终端的传输内容进行任意构造。
基于上述关于电力接入网中终端的定义与分类,设计本发明的电力网络靶场终端接入仿真和攻击重放方法,具体包括用于实现正常终端和符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放,以及用于实现不符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放,实际应用当中,如图1所示,用于实现正常终端和符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放,具体执行如下步骤A至步骤C。
步骤A. 基于外网电力终端经安全接入设备连接内网业务主站的电力安全接入场 景中的历史应用,捕获安全接入设备与内网业务主站之间来自正常终端、以及符合通信规 范的非法终端的明文网络流量,然后进入步骤B。
步骤B. 首先根据明文数据流报文对应预设各数据流属性的数据,针对明文网络 流量中的各条明文数据流报文进行分组,获得各明文数据流报文组,并删除各明文数据 流报文组中内网业务主站指向安全接入设备方向的各条明文数据流报文,更新各明文数据 流报文组;然后基于明文数据流报文组中各条明文数据流报文的应用层数据内容、以及各 条明文数据流报文的时间,按各条明文数据流报文相对时间的顺序,构建各明文数据流报 文组分别所对应的明文数据流报文序列,最后进入步骤C。
实际应用当中,上述步骤B具体执行如下步骤B1至步骤B3。
步骤B1. 根据由明文数据流报文对应预设各数据流属性的数据,组合构成明文数 据流报文所对应的类别组,获得明文网络流量中各条明文数据流报文分别所对应的类 别组,并按相同类别组的各明文数据流报文归为一组的方式,针对明文网络流量中的各 条明文数据流报文进行分组,获得各明文数据流报文组,然后进入步骤B2;其中,预设各 数据流属性包括报文通信双方IP、报文通信双方的端口、报文通信双方之间传输层协议类 型,,表示明文数据流报文组的数量,表示第个明文数据流报文组,。
这里关于预设各数据流属性的设计,称之为五元组,即各明文数据流报文所对应 的五元组,则上述步骤B1中,即按相同五元组的各明文数据流报文归为一组的方式,针对明 文网络流量中的各条明文数据流报文进行分组。
步骤B2. 根据各明文数据流报文组分别对应的类别组,删除各明文数据流报文 组中报文通信目的方IP为安全接入网关IP的各条明文数据流报文,更新各明文数据流 报文组,然后进入步骤B3。
步骤B3. 分别针对各明文数据流报文组,提取明文数据流报文组中各条明文数 据流报文的应用层数据内容、以及各条明文数据流报文的时间,按各条明文数据流报文 的相对时间,构成各条明文数据流报文分别所对应的明文报文对象,并按各 条明文数据流报文的时间顺序,针对各明文报文对象进行排序,构建该明文数 据流报文组所对应的明文数据流报文序列,其中,表示第个明文数据流报文 组中明文数据流报文的数量,表示第个明文数据流报文组中第个明文数据流 报文的应用层数据内容,表示第个明文数据流报文组中第个明文数据流报文的 相对时间,表示第个明文数据流报文组中第个明文数据流报文所对应的 明文报文对象;进而获得各明文数据流报文组分别所对应的明文数据流报文序列,然后进 入步骤C。
实际应用中,针对明文数据流报文组中的各条明文数据流报文,按各条明文数据流报文的时间顺序进行排序,首先以第一条明文数据流报文的时间为0的变化时长,针对各条明文数据流报文的时间进行更新,然后分别以各条明文数据流报文的时间与第一条明文数据流报文的时间的绝对时间之差,作为各条明文数据流报文的相对时间。
步骤C. 基于外网侧、安全接入设备、以及内网业务主站所构建的电力网络靶场,初始化与明文数据流报文组的数量相等、且包含正常终端和符合通信规范的非法终端的各个电力终端仿真模块,且各个电力终端仿真模块分别与各明文数据流报文序列一一对应,首先由各电力终端仿真模块分别与电力网络靶场中的安全接入设备实现终端认证和密钥协商,然后各电力终端仿真模块分别针对其所对应明文数据流报文序列中各明文数据流报文,按电力接入数据发送方式,顺序将各明文数据流报文的应用层数据内容经安全接入设备向内网业务主站进行发送,即实现正常终端和符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
实际应用当中,上述步骤C具体执行如下步骤C1至步骤C3。
步骤C1. 基于外网侧、安全接入设备、以及内网业务主站所构建的电力网络靶场,初始化与明文数据流报文组的数量相等、且包含正常终端和符合通信规范的非法终端的各个电力终端仿真模块,且各个电力终端仿真模块分别与各明文数据流报文序列一一对应,然后进入步骤C2。
步骤C2. 各电力终端仿真模块分别与电力网络靶场中的安全接入设备实现终端认证和密钥协商,然后进入步骤C3。
步骤C3. 各电力终端仿真模块分别针对其所对应明文数据流报文序列:由电力终端仿真模块针对其所对应明文数据流报文序列中的各明文报文对象,以各明文报文对象中明文数据流报文的相对时间为时间间隔,按电力接入数据发送方式,顺序将各明文报文对象中明文数据流报文的应用层数据内容经安全接入设备向内网业务主站进行发送,即实现正常终端和符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
另外,用于实现不符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放,如图1所示,具体执行如下步骤I至步骤III。
步骤I. 基于外网电力终端经安全接入设备连接内网业务主站的电力安全接入场 景中的历史应用,捕获外网电力终端与安全接入设备之间的网络流量,并基于电力终端加 密通信规范,筛选出其中不符合通信规范的网络流量,即为来自不符合通信规范的非法终 端的异常网络流量,然后进入步骤II。
实际应用当中,对于上述步骤I的执行,诸如设计基于外网电力终端经安全接入设 备连接内网业务主站的电力安全接入场景中的历史应用,捕获外网电力终端与安全接入设 备之间与所述明文网络流量同时间段的网络流量,并删除其中明文网络流量对应外 网电力终端与安全接入设备之间的符合通信规范的加密网络流量,获得外网电力终端与安 全接入设备之间来自不符合通信规范的非法终端的异常网络流量,然后进入步骤II。
步骤II. 首先根据异常数据流报文对应预设各数据流属性的数据,针对异常网络 流量中的各条异常数据流报文进行分组,获得各异常数据流报文组,并删除各异常数据 流报文组中安全接入设备指向外网电力终端方向的各条异常数据流报文,更新各异常数据 流报文组;然后基于异常数据流报文组中各条异常数据流报文的应用层数据内容、以及各 条异常数据流报文的时间,按各条异常数据流报文相对时间的顺序,构建各异常数据流报 文组分别所对应的异常数据流报文序列,最后进入步骤III。
实际应用当中,上述步骤II具体执行如下步骤II1至步骤II3。
步骤II1. 根据由异常数据流报文对应预设各数据流属性的数据,组合构成异常 数据流报文所对应的类别组,获得异常网络流量中各条异常数据流报文分别所对应的类 别组,并按相同类别组的各异常数据流报文归为一组的方式,针对异常网络流量中的各 条异常数据流报文进行分组,获得各异常数据流报文组,然后进入步骤II2;其中,预设各 数据流属性包括报文通信双方IP、报文通信双方的端口、报文通信双方之间传输层协议类 型,,表示异常数据流报文组的数量,表示第个异常数据流报文组,。
这里关于预设各数据流属性的设计,称之为五元组,即各异常数据流报文所对应 的五元组,则上述步骤II1中,即按相同五元组的各异常数据流报文归为一组的方式,针对 异常网络流量中的各条异常数据流报文进行分组。
步骤II2. 根据各异常数据流报文组分别对应的类别组,删除各异常数据流报 文组中报文通信源头方IP为安全接入网关IP的各条异常数据流报文,更新各异常数据流 报文组,然后进入步骤II3。
步骤II3. 分别针对各异常数据流报文组,提取异常数据流报文组中各条异常 数据流报文的应用层数据内容、以及各条异常数据流报文的时间,按各条异常数据流报 文的相对时间,构成各条异常数据流报文分别所对应的异常报文对象,并按 各条异常数据流报文的时间顺序,针对各异常报文对象进行排序,构建该异常数 据流报文组所对应的异常数据流报文序列,其中,表示第个异常数据流报文组 中异常数据流报文的数量,表示第个异常数据流报文组中第个异常数据流报文的 应用层数据内容,表示第个异常数据流报文组中第个异常数据流报文的相对时 间,表示第个异常数据流报文组中第个异常数据流报文所对应的异常报文 对象;进而获得各异常数据流报文组分别所对应的异常数据流报文序列,然后进入步骤 III。
这里针对异常数据流报文组中的各条异常数据流报文,按各条异常数据流报文的时间顺序进行排序,首先以第一条异常数据流报文的时间为0的变化时长,针对各条异常数据流报文的时间进行更新,然后分别以各条异常数据流报文的时间与第一条异常数据流报文的时间的绝对时间之差,作为各条异常数据流报文的相对时间。
步骤III. 基于外网侧、安全接入设备、以及内网业务主站所构建的电力网络靶场,初始化与异常数据流报文组的数量相等、且属于不符合通信规范的非法终端的各个异常终端仿真模块,且各个异常终端仿真模块分别与各异常数据流报文序列一一对应,各异常终端仿真模块分别针对其所对应异常数据流报文序列中各异常数据流报文,按通用协议数据发送方式,顺序将各异常数据流报文的应用层数据内容经安全接入设备向内网业务主站进行发送,即实现不符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
实际应用当中,上述步骤III具体执行如下步骤III1至步骤III2。
步骤III1. 基于外网侧、安全接入设备、以及内网业务主站所构建的电力网络靶场,初始化与异常数据流报文组的数量相等、且属于不符合通信规范的非法终端的各个异常终端仿真模块,且各个异常终端仿真模块分别与各异常数据流报文序列一一对应,然后进入步骤III2。
步骤III2. 各异常终端仿真模块分别针对其所对应异常数据流报文序列:由异常终端仿真模块针对其所对应异常数据流报文序列中的各异常报文对象,以各异常报文对象中异常数据流报文的相对时间为时间间隔,按通用传输层协议数据发送方式,顺序将各异常报文对象中异常数据流报文的应用层数据内容经安全接入设备向内网业务主站进行发送;即实现不符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
将上述技术方案所设计电力网络靶场终端接入仿真和攻击重放方法,应用于实际当中,即设计实现此方法的系统,如图2所示,包括电力终端网络流量解析提取模块、终端仿真模块生成模块、电力网络靶场终端仿真调度模块、电力网络靶场网络攻击重放模块。
其中,电力终端网络流量解析提取模块根据功能可以划分为流量采集、流量解析、流量过滤、流量拆分、流量存储五个功能块组成;具体来说,设计电力终端网络流量解析提取模块用于执行步骤A至步骤B、以及用于执行步骤I至步骤II,在步骤A至步骤B的执行过程中、以及步骤I至步骤II的执行过程中,依次完成流量采集、流量解析、流量过滤、流量拆分、流量存储。
终端仿真模块生成模块用于执行步骤C初始化包含正常终端和符合通信规范的非法终端的各个电力终端仿真模块、以及终端仿真模块生成模块用于执行步骤III初始化属于不符合通信规范的非法终端的各个异常终端仿真模块。
其中,电力终端仿真模块对应终端分类中的正常终端和符合通信规范的非法终端两类进行设计。该仿真模块能够按照电力通信规范要求,加载数字证书和加密算法,实现与安全接入网关的终端认证功能和密钥协商功能。同时,该仿真模块支持按照输入字段序列内容与安全接入网关进行加密通信。输入字段序列内容由外部提供,可仿照真实场景中不同类型终端的传输内容进行任意构造。
电力终端仿真模块的核心功能如下:
(1)终端认证:按照电力终端的认证协议规范,与安全接入网关进行通信,实现终端的正常认证;认证协议规范具有通用性,与终端类型无关;
(2)密钥协商:在终端认证通过的基础上,与安全接入网关实现通信密钥协商,后续数据传输基于该密钥进行加解密;
(3)数据传输:提供接口,支持外部模块输入数据序列,模块基于该输入数据序列依次封装成应用层报文内容,按照序列中指定的时间间隔,面向指定目标IP进行加密发送;数据传输中只负责按照符合传输层协议交互规范的方式进行数据发送和接收,对接收的数据不予处理。因此,可仿真模拟任意的电力终端。
异常终端仿真模块对应上述终端分类中的不符合通信规范的非法终端进行设计,该异常终端仿真模块不支持终端认证与加解密功能,仅支持按照输入字段序列内容与安全接入网关进行通信。输入字段序列内容由外部提供,可仿照真实场景中的不符合通信规范的非法终端的传输内容进行任意构造。
异常终端仿真模块的核心功能如下:
(1)数据传输:提供接口,支持外部模块输入数据序列,模块基于该输入数据序列依次封装成应用层报文内容,按照序列中指定的时间间隔,面向指定目标IP进行直接发送;数据传输中只负责按照符合传输层协议交互规范的方式进行数据发送和接收,对接收的数据不予处理。因此,可仿真模拟任意的异常终端。
电力网络靶场终端仿真调度模块用于实现与电力网络靶场对接,调用电力网络靶场的仿真节点生成接口,按照电力终端仿真模块和异常终端仿真模块的加载要求,在电力网络靶场中调度形成指定数量的电力终端仿真模块和异常终端仿真模块。
电力网络靶场终端仿真调度模块的主要功能包括:
(1)电力网络靶场仿真节点生成接口对接:与电力网络靶场对接,调用靶场系统的仿真节点生成接口,申请仿真节点所需的计算、存储资源;
(2)电力终端仿真模块节点生成:调用电力网络靶场仿真节点生成接口,按照电力终端仿真模块的加载要求,在电力网络靶场中调度形成指定数量的仿真电力终端。
(2)异常终端仿真模块节点生成:调用电力网络靶场仿真节点生成接口,按照异常终端仿真模块的加载要求,在电力网络靶场中调度形成指定数量的仿真异常终端。
电力网络靶场网络攻击重放模块是整个系统的统筹调度模块,电力网络靶场网络攻击重放模块按照电力终端网络流量解析提取模块的分析结果,与电力网络靶场终端仿真调度模块对接,在电力网络靶场中生成指定数量的电力终端仿真模块和异常终端仿真模块。进而,根据电力终端网络流量解析提取模块的提取结果,按照指定序列要求,调用相应的仿真电力终端和仿真异常终端进行数据发送重放。
电力网络靶场网络攻击重放模块具体用于执行步骤C实现正常终端和符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放,以及电力网络靶场网络攻击重放模块用于执行步骤III实现不符合通信规范的非法终端针对电力网络靶场的仿真与攻击重放。
上述技术方案所设计电力网络靶场终端接入仿真和攻击重放方法及系统,通过网络流量提取和分析,执行终端仿真和行为模拟,实现与电力网络靶场系统的对接和应用,满足靶场中针对电力安全接入场景的模拟和安全研究需求,能够覆盖电力接入场景中终端侧包含行为内容和时间序列的所有行为,适配任意类型的终端,无需定制,人工干预程度低,设计方案具备通用性和自动化特性,适用于带有任意电力终端和异常终端的场景,并且在捕获包含有网络安全事件的网络流量时,可实现事件行为的重放,有助于安全分析研究。
应用中,基于对电力安全接入场景的分析,将接入终端进行分类,构建了电力终端仿真模块和异常终端仿真模块,适用于场景中的任意终端仿真需求;并通过内网侧明文网络流量报文的提取,结合外网侧的电力终端仿真模块,实现了对加密流量的重放,并通过外网侧加密网络流量报文的筛选和提取,实现了异常终端流量的重放,综合形成对任意场景的网络攻击重放,并且网络攻击重放过程中,兼顾考虑重放内容和时间间隔两个要素,与现网终端行为保持一致,有助于提高电力接入网安全分析的准确度。
下面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变化。
- 上一篇:一种医用注射器针头装配设备
- 下一篇:网络连接控制方法及装置