一种适用于电力企业网络战兵棋推演的方法与流程

1.本发明涉及网络信息安全技术领域，具体涉及一种适用于电力企业网络战兵棋推演的方法。


背景技术：

2.网络战兵棋推演通过仿真不同攻击场景、攻击策略和攻击流，自动推算对网络信息系统的攻击路径、攻击深度和攻击范围，并预先演练网络防卫策略，制定相应网络攻防应急预案，主要用于评价当前和预测未来的网络对抗形势，利用网络战兵棋推演过程为如何在网络攻防中更好地进行调度和决策，提供了参考方向。
3.由于电力企业工控系统特殊性，无法在实际生产环境中进行网络战攻防演练，搭建兵棋推演平台即构建模拟网络安全攻防环境为网络安全从业者开展安全加固、防护体系建设提供指导。兵棋推演平台是基于电力企业工控系统仿真环境、网络安全攻防体系构建。平台通过模拟发电企业遭受网络攻击、渗透攻击、病毒入侵、蠕虫感染等展现攻击行为危害企业生产，验证阻断攻击、防守体系安全防护效果的有效性。


技术实现要素：

4.本发明的目的在于克服现有技术中存在的上述问题，提供一种适用于电力企业网络战兵棋推演的方法，解决了发电厂业务系统运行环境下，无法在实际生产环境中进行网络战攻防演练的问题。
5.为实现上述技术目的，达到上述技术效果，本发明是通过以下技术方案实现：
6.一种适用于电力企业网络战兵棋推演的方法，基于网络攻防行动链的网络对抗推演流程如下：
7.步骤一、攻击方首先进行初步想定的构设；
8.步骤二、想定方案经过匹配策略模型库，针对被攻击方网络拓扑中的脆弱点及未在网络安全防护范围内的终端，结合对抗规则和参数等进行针对性的建模，形成可供推演系统识别的规则化想定方案；
9.步骤三、攻击方按想定方案执行攻击推演，控制傀儡主机持续向防守方薄弱目标发送垃圾数据包，或在正常数据包中植入蠕虫病毒，防守方接收到数据包后进行读包，若是正常数据包，则以网络传输三次握手原则正常响应；若分析判断为垃圾数据包，则在模型库中寻找同类型数据交互应答方式；若无法清理出正常数据，则防守方服务瘫痪的目的达成；
10.步骤四、防守方检测到所受的攻击，通过网络攻击的特征匹配行为模型库，确认网络攻击的类型；
11.然后配置防御策略，设定防御的想定方案，及时过滤网络垃圾数据；防守方收集攻击数据存入历史数据库中，将库中的行为数据进行更深层次的分析溯源后，找到攻击源并推导出攻击方更详尽的攻击策略，为防守方调整防御想定或反击的想定方案，提供更全面的支持；
12.步骤五、攻防双方的攻防博弈情况和网络空间的实时状态记录到实时数据库中，效能评估模块调用评估模型对网络攻击效率、网络薄弱点、网络损毁情况、网络漏洞方面进行网络状态的评估，评估结果与想定结果进行比对，根据差异及时调整攻防双方的推演想定，保证推演流程的顺利推进；
13.步骤六、攻防双方的对抗关系经过可视化工具的处理，将复杂的网络结构以网络拓扑、统计图表和gis图等更直观的形式展示；
14.步骤七、攻防双方持续对抗的推演过程记录到历史数据库中，系统将历史数据整合为流程化的可视化脚本，输入到可视化平台进行整个推演过程的复盘回放，以辅助攻防双方从整个流程出发对推演情况进行分析和反馈；
15.步骤八、一个完整的攻防过程是推演系统服务的核心，推演过程中对抗双方的网络状态输入到运算决策平台中，平台根据双方的博弈和交互过程构建出最终的攻防过程；同时，攻防数据流及过程不断螺旋上升和自我调整，也对整个网络站推演系统的调度和控制起着指导作用。
16.优选地，所述步骤一中，在构设前先进行初始环境的评估，包括攻防双方漏洞库、病毒库的部署情况，路由设备、传输信道的通信状况，对抗环境的整体安防级别。
17.优选地，所述步骤一中，对初始的网络环境的掌握，可对想定方案的制定提供参考；使用想定编辑功能，从想定数据库中抽取想定元素，用于组装成推演攻击的初步想定方案。
18.优选地，所述步骤六中，网络空间中的关键区域、脆弱节点，攻防过程产生的网络攻击效果、网络设备损毁情况，都以系统特有的网络可视化效果进行展示。
19.与现有技术相比，本发明的有益效果如下：
20.一、以练促学、以赛促练创新网络安全人才培养模式。
21.二、通过网络战兵棋推演来研判某类型网络工攻击会造成的影响范围和影响程度；检验公司网络安全部门能否利用现有网络安全设备快速确定并评估漏洞；检验公司网络安全部门能否制定有效决策遏制网络攻击行为；评价公司在网络安全方面在存在的不足。
22.三、结合网络可视化脚本生成、网络拓扑分析、网络攻防效能评估等功能，丰富推演系统的关键模块，持续引入更有效的可视化技术和评估推演算法等，使网络对抗推演的结果更加实用。
23.四、通过真实网络环境下的网络对抗考察发电厂网络安全从业人员的攻击和防御水平，提高其实际动手能力。
24.当然，实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
25.为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
26.图1为本发明的流程框图。
具体实施方式
27.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
28.实施例一
29.本发明提供一种技术方案：
30.1、据电力企业工控系统网络架构，搭建模拟平台，平台架构为b/s架构，软件服务器的运行环境为windows 10专业版、tomcat服务器、mysql数据库管理系统；用户运行环境主要是标准的浏览器环境。服务器业务逻辑的处理采用jsp技术实现，用户端的功能显示与功能实现采用html5和javascript语言实现，同时采用css语言进行画面渲染及页面美工。功能模块包括用户管理、仿真环境管理、设备元件管理、恶意代码库管理、效果评估管理、报表管理等模块。平台搭建采用管理信息系统设计方法，架构分为数据库、可视化平台、运算决策平台。
31.2、数据库是网络战兵棋推演过程的数据支撑，记录了对抗双方在网络推演中的博弈过程，其中包括：实时数据库、历史数据库、规则数据库等。
32.2.1、实时数据库实时收集、记录网络对抗中的交互数据，处理系统推演的数据请求，确保网络攻防行为的数据流通。
33.2.2、历史数据库存储网络攻防历史数据，记录一个完整的攻防流程，为推演控制中的复盘分析以及推演模型库的构建提供支持。
34.2.3、规则数据库存储推演过程中的逻辑规则，包括推演平台固有的推演规则和攻防双方在特定推演需求下设定的推演规则。
35.3、可视化平台主要用于实时显示推演对抗双方的态势信息，为攻防双方人员提供决策依据，包括可视化建模、构设脚本可视化生成、网络拓扑生成、时间轴控制、统计图表生成等组件。
36.3.1、可视化建模组件用于网络构设的可视化转化，将用户想定和网络空间的元素提取转化为网络可视化模型，基于gis、echarts等形式将网络态势、网络拓扑等做可视化展示。
37.3.2、构设脚本可视化生成组件用于整合攻防双方编辑的构设脚本，将脚本中的想定元素转换成按流程推进的可视化网络态势效果。
38.3.3、网络拓扑生成组件主要以网络拓扑的形式展示复杂的网络结构，主要参照火电厂工业控制系统网络架构，寻找网络环境中的关键、脆弱区域等，发现区域边界、网络节点之间的数据联系。
39.3.4、时间轴控制组件用于控制可视化推演脚本的推进进度。统计图表生成组件用于统计网络态势数据并以图表的形式展示。
40.4、运算决策平台用于感知网络空间状态，对于攻击方提交的攻击方式及数据进行运算，监控网络对抗双方的攻防形势。由于网络对抗的不确定性，导致推演规则更加复杂。该平台负责跟踪推演计划执行情况，将推演结果反馈给推演引擎，推演人员根据反馈及时调整推演策略，处理复杂对抗中出现的意外问题，保证推演目标的顺利达成。
41.决策平台引入数据分析功能，对于数据量较大的历史数据，开展数据挖掘与深度学习，历史演练过程作为数据集，比对推演结果分析推演成功的数据注入点，进而得出网络架构中脆弱点，以此对推演人员的决策及方法调整提供指导。
42.5、平台模型参照火电厂工控系统和办公网架构，其中涉及的主机设备包括dcs工程师站、opc站，辅控工程师站、历史站，ncs操作员站、工程师站、oms主机，sis主服务器、镜像服务器、数据库服务器、web服务器，办公网主机等；涉及的网络设备包括交换机、i、ii区防火墙，纵向加密设备，安全ii区与管理信息大区之间的横向隔离装置，外网防火墙，外网路由器等；涉及的安全设备包括安全ii区的日志审计装置、入侵检测系统，管理信息大区的网络流量审计装置、防病毒网关、入侵防御系统、日志审计装置等。
43.6、在推演平台中，攻击方以关键网络节点为网络战攻击的靶点，调用规则数据库中的推演规则开展网络攻击。
44.6.1、攻击方开展针对管理信息大区电力企业门户网站、电力用户服务网站或终端的攻击，此类攻击主要包括：a、通过sql注入、木马、后门和跨站脚本等攻击事件，攻击电力企业门户网站，篡改电力企业门户网站发布的信息，从而降低公司公信力、破坏企业形象；b、通过制造钓鱼网站、伪造服务终端等方式，对电力交易系统、电力用户互动网站或电力用户服务终端等发起攻击，窃取电力用户信息、篡改电力交易数据。
45.6.2、攻击方通过非法植入，将蠕虫、病毒通过移动存储介质注入生产控制大区网络，收集电力生产控制系统中计算机配置信息或电力生产信息，再次使用移动存储介质并联入互联网等渠道，在企业外部接收电力生产信息，通过特定程序触发蠕虫、病毒入侵，当工作人员在生产控制大区的工程师站、操作员站等终端操作指令时，按照设定的攻击方法对主站系统、dcs系统数据进行篡改、删除等，即发送错误命令，进而达到控制电力企业生产运行的目的，造成电力生产事故。
46.6.3、攻击方通过获取某应用系统中管理员终端地址，暴力破解用户口令，借助网络漏洞侵入终端，进而植入蠕虫、木马等，此类攻击方式目的在于通过管理员账号篡改某管理信息系统数据，开展社会工程学攻击，进而造成不良社会影响。
47.7、在推演平台中，部署web安全防护设备和防sql注入的数据库安全防护设备。设定漏洞扫描规则，通过攻击方安全渗透测试的方式，发掘电力门户网站和用户服务网站潜在的安全隐患，及时采取更新补丁、查杀病毒等手段防止攻击方采取渗透攻击方式破坏网络结构。
48.具体地，本发明一种适用于电力企业网络战兵棋推演的方法，在网络战兵棋推演过程中，基于网络攻防行动链的网络对抗推演流程如下：
49.步骤一、攻击方首先进行初步想定的构设；在构设前先进行初始环境的评估，包括攻防双方漏洞库、病毒库的部署情况，路由设备、传输信道的通信状况，对抗环境的整体安防级别等；对初始的网络环境的掌握，可对想定方案的制定提供参考；使用想定编辑功能，从想定数据库中抽取想定元素，用于组装成推演攻击的初步想定方案。
50.步骤二、想定方案经过匹配策略模型库，针对被攻击方网络拓扑中的脆弱点及未在网络安全防护范围内的终端，结合对抗规则和参数等进行针对性的建模，形成可供推演系统识别的规则化想定方案。
51.步骤三、攻击方按想定方案执行攻击推演，控制傀儡主机持续向防守方薄弱目标
发送垃圾数据包，或在正常数据包中植入蠕虫病毒，防守方接收到数据包后进行读包，若是正常数据包，则以网络传输三次握手原则正常响应；若分析判断为垃圾数据包，则在模型库中寻找同类型数据交互应答方式；若无法清理出正常数据，则防守方服务瘫痪的目的达成。
52.步骤四、防守方检测到所受的攻击，通过网络攻击的特征匹配行为模型库，确认网络攻击的类型；然后配置防御策略，设定防御的想定方案，及时过滤网络垃圾数据；防守方收集攻击数据存入历史数据库中，将库中的行为数据进行更深层次的分析溯源后，找到攻击源并推导出攻击方更详尽的攻击策略，为防守方调整防御想定或反击的想定方案，提供更全面的支持。
53.步骤五、攻防双方的攻防博弈情况和网络空间的实时状态记录到实时数据库中，效能评估模块调用评估模型对网络攻击效率、网络薄弱点、网络损毁情况、网络漏洞等方面进行网络状态的评估，评估结果与想定结果进行比对，根据差异及时调整攻防双方的推演想定，保证推演流程的顺利推进。
54.步骤六、攻防双方的对抗关系经过可视化工具的处理，将复杂的网络结构以网络拓扑、统计图表和gis图等更直观的形式展示；网络空间中的关键区域、脆弱节点，攻防过程产生的网络攻击效果、网络设备损毁情况等，都以系统特有的网络可视化效果进行展示。
55.步骤七、攻防双方持续对抗的推演过程记录到历史数据库中，系统将历史数据整合为流程化的可视化脚本，输入到可视化平台进行整个推演过程的复盘回放，以辅助攻防双方从整个流程出发对推演情况进行分析和反馈。
56.步骤八、一个完整的攻防过程是推演系统服务的核心，推演过程中对抗双方的网络状态输入到运算决策平台中，平台根据双方的博弈和交互过程构建出最终的攻防过程；同时，攻防数据流及过程不断螺旋上升和自我调整，也对整个网络站推演系统的调度和控制起着指导作用。
57.实施例二
58.网络战兵棋推演中攻防行动全流程是从网络对抗中对抗形势实时改变、对抗双方数据交互和克制关系明显的特点出发，形成的具有攻防博弈性链式结构的行动想定或构设。主要类型分为：ftp服务器漏洞、获取windows本地密码、通过网络嗅探获取password、通过系统漏洞获取敏感文件内容、sql-server提权、sql注入、表单欺骗、数据恢复、服务器木马查杀、利用系统漏洞对目标主机植入远程控制后门、网站漏洞攻击、本地提权、ssf、ssrf、ddos攻击等。
59.以ddos攻击为例：
60.s100：初始阶段，蓝方学习ddos攻击模型并制定攻击策略；
61.s101：首先通过网络扫描等方式，以扫描端口形式寻找网络环境中的有系统漏洞的主机；
62.s102：再通过木马程序或恶意软件等入侵主机，并将其作为发送大网络流量的数据包；在取得控制权后，配置ddos攻击工具到这些傀儡主机上，为发起攻击做好准备；同时，蓝方通过对网络拓扑进行全面分析，发现网络拓扑中的最薄弱环节或最容易攻破的节点，以确认攻击目标；红方在准备阶段主要监控整个网络，检测攻击行为的发生，在尚未被攻击之前要进行网络安全风险分析评估，检测系统薄弱点或漏洞并及时修复，防止网络防护体系被攻破。
63.s200：攻击开始阶段，蓝方开始向确定的攻击目标发起攻击，主要方式是调用已控制的规则，向目标主机持续发送无用的网络数据包，目标主机处理这些大量的无用数据包而消耗大量的系统资源和网络带宽，这样就不会再有空余资源去处理普通用户的正常请求；最终的结果就是网络信道堵塞，目标主机或服务器陷入瘫痪；
64.红方在检测到ddos攻击行为后，学习ddos防御模型并制定防御策略；红方在目标主机上配置ddos防御工具，采取过滤攻击数据包的方法，区分并过滤掉垃圾数据流量，及时处理正常的请求报文，消除网络信道的阻塞。
65.s300：攻击后续阶段，蓝方通过检测网络状态对ddos攻击效果进行评判，如是否攻陷了目标主机，红方采取的防护方案是否有效地阻止了攻击的进行，为下一轮攻击方案的制定提供参考；
66.红方在过滤垃圾数据流量，消除ddos攻击的同时，还通过追踪溯源工具追踪攻击源头，收集攻击者的信息，为后续进行反击做准备。
67.s400：在攻防双方处于不同的网络阶段时，会根据对方的网络阶段以及整体的网络空间状态，决定下一步的攻防行为。在一次对抗过程完成之后，立即进入下一阶段的对抗，如此反复循环，网络空间的状态随着时间轴的推移螺旋上升。
68.在本说明书的描述中，参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
69.以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。