电力系统的攻击仿真方法、装置及攻击仿真设备与流程

本发明涉及计算机
技术领域：
，尤其涉及一种电力系统的攻击仿真方法、装置及攻击仿真设备。
背景技术：
：目前电力监控系统面临严重的网络攻击威胁，如“震网”病毒、“blackenergy”病毒等。为了提高电力监控系统安全防护水平，对于电力监控系统安全防护技术研究来说，建立电力监控系统的攻击和安全防护仿真验证平台具有重要意义。其中，报文劫持攻击已成为攻击电力监控系统的主要网络攻击手段。目前现有的攻击仿真验证技术主要是基于TCP(TransmissionControlProtocol，传输控制协议)/IP(InternetProtocol，因特网协议)网络结构应用层中的远程登录(Telnet)协议、FTP(FileTransferProtocol，文件传输协议)、SSH(SecureShell，安全外壳)协议等，针对因特网(Internet)或者TCP局域网络进行报文劫持仿真攻击验证，由于电力系统专用协议的特殊格式，现有攻击仿真验证技术无法实现对电力系统专有协议的解析与识别，更无法篡改、伪造电力数据报文，因此无法针对电力监控系统的专用协议进行报文劫持攻击的仿真验证。技术实现要素：有鉴于此，有必要提供一种攻击仿真方法、装置及攻击仿真设备，实现对电力系统的报文劫持攻击仿真验证，以提高投入运行的电力系统的安全性。本发明公开了一种电力系统的攻击仿真方法，其包括：抓取通信数据包并获取报文数据；根据预设电力专用协议库，解析所述报文数据的信息内容；针对所述信息内容进行相应的攻击仿真操作。作为一种实施方式，所述根据预设的电力专用协议库，解析所述报文数据的信息内容，包括：将所述报文数据与所述预设电力专用协议库进行匹配，获取所述报文数据的协议类型；根据所述协议类型解析所述报文数据的信息内容。作为一种实施方式，所述将所述报文数据与所述预设电力专用协议库进行匹配，获取所述报文数据的协议类型，包括：将所述报文数据的头部字段与所述预设电力专用协议库的字段进行匹配，获取所述报文数据的协议类型。作为一种实施方式，所述根据所述协议类型，解析所述报文数据的信息内容，包括：根据所述协议类型规定的报文帧格式，获取所述报文数据中的报文信息体；根据所述报文信息体内的报文代码，识别所述报文数据携带的信息内容。作为一种实施方式，所述针对所述信息内容进行相应的攻击仿真操作，包括：判断所述信息内容是否为下行信息，是则进行伪造报文攻击仿真操作；否则进一步判断所述信息内容是否为上行数值信息，是则进行重放攻击仿真操作。本发明还公开了一种电力系统的攻击仿真装置，其包括：抓取模块，用于抓取通信数据包并获取报文数据；解析模块，用于根据预设电力专用协议库，解析所述报文数据的信息内容；仿真模块，用于针对所述信息内容进行相应的攻击仿真操作。作为一种实施方式，所述解析模块包括：匹配单元，用于将所述报文数据与所述预设电力专用协议库进行匹配，获取所述报文数据的协议类型；解析单元，用于根据所述协议类型解析所述报文数据的信息内容。作为一种实施方式，所述匹配单元，用于将所述报文数据的头部字段与所述预设电力专用协议库的字段进行匹配，获取所述报文数据的协议类型。作为一种实施方式，所述解析单元包括：获取子单元，用于根据所述协议类型规定的报文帧格式，获取所述报文数据中的报文信息体；识别子单元，用于根据所述报文信息体内的报文代码，识别所述报文数据携带的信息内容。作为一种实施方式，所述仿真模块包括判断单元及攻击单元，其中：所述判断单元用于判断所述信息内容是否为下行信息，是则由所述攻击单元进行伪造报文攻击仿真操作；否则所述判断单元进一步判断所述信息内容是否为上行数值信息，是则由所述攻击单元进行重放攻击仿真操作。本发明还公开了一种攻击仿真设备，其包括上述任一实施例所述的攻击仿真装置。上述电力系统的攻击仿真方法、装置及攻击仿真设备，既能模拟正常电力监控系统业务和专用规约通信场景，又能通过窃听手段窃取电力系统内部报文，并识别电力专用协议报文格式，通过报文回放和旁路控制手段对服务器端发布虚假或恶意报文，对电力系统的正常通信业务进行破坏，从而实现报文劫持攻击方法仿真验证，以提高投入运行的电力系统的安全性。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他实施例的附图。图1为本发明一实施例的电力系统的攻击仿真方法的流程示意图；图2为本发明一实施例的电力系统的通信示意图；图3为本发明另一实施例的电力系统的攻击仿真方法的流程示意图；图4为本发明又一实施例的电力系统的攻击仿真方法的流程示意图；图5为本发明一实施例的电力系统的攻击仿真装置的模块结构示意图；图6为本发明另一实施例的电力系统的攻击仿真装置的模块结构示意图；图7为本发明一实施例的电力系统的攻击仿真设备的结构示意图；图8为本发明另一实施例的电力系统的攻击仿真设备的结构示意图。具体实施方式为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。在本发明的描述中，需要理解的是，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。下面结合附图描述根据本发明实施例的电力系统的攻击仿真方法、装置及攻击仿真设备。例如，本发明一实施例的电力系统的攻击仿真方法包括以下步骤：抓取通信数据包并获取报文数据；根据预设电力专用协议库，解析所述报文数据的信息内容；针对所述信息内容进行相应的攻击仿真操作，例如进行重放攻击仿真操作或伪造报文攻击仿真操作。请参阅图1，其为本发明一实施例的电力系统的攻击仿真方法的流程示意图。如图1所示，所述攻击仿真方法包括以下步骤：S110，抓取通信数据包并获取报文数据。例如，抓取电力系统中主站与从站的通信链路上的通信数据包，并获取通信数据包中的报文数据。又如，抓取电力系统中从站的设备间的通信链路上的通信数据包，并获取通信数据包中的报文数据。其中，在电力系统中，主站指的是调度中心，例如电网调度控制系统；从站指的是电网中的其他站点，例如变电站。例如，如图2所示，电网调度控制系统(主站)与变电站(从站)之间通过电力调度数据网进行通信。其中，变电站侧包括站控层、间隔层及过程层，站控层包括时钟系统、监控主机、五防系统、继电保护管理模块等；间隔层包括测控装置、安自装置、PMU(PhasorMeasurementUnit，同步向量测量装置)、保护装置等；过程层包括多组由合并单元、智能终端及一次设备等组成的设备组。例如，采用窃听手段抓取数据包，例如窃听手段包括ARP(AddressResolutionProtocol，地址解析协议)欺骗手段或入侵交互机。作为一种实施方式，通过ARP欺骗方式，抓取通信数据包。例如，在局域网中，接收ARP请求广播包，窃听局域网内各节点的IP地址及MAC(MediaAccessControl，媒体访问控制)地址，伪装为局域网内的节点，向受害节点(例如电力系统中的主站和/或从站)发送假地址，从而截取局域网中的通信数据包。作为另一种实施方式，通过入侵通信链路上的业务交换机，抓取通信数据包，以获取其中的报文数据。S130，根据预设电力专用协议库，解析所述报文数据的信息内容。在本实施例中，攻击仿真设备内预设电力专用协议库，其中存储有电力系统专用的多种协议/规约，例如存储有IEC101、IEC103、IEC104、IEC61850等电力专用协议/规约中至少一种。其中，上述IEC101、IEC103、IEC104、IEC61850等协议/规约是国际电工委员会制定的用于变电站自动化系统的国际标准，建立在TCP/IP协议的应用层，使用TCP/IP提供的传输功能进行报文通信。其中，不同的电力专用协议/规约，用于对电力系统中不同的通信数据传输进行规定。例如，变电站自动化系统需要通信传输的信息包括继电保护故障信息(含故障录波、扰动记录)和SCADA(SupervisoryControlAndDataAcquisition，数据采集与监视控制系统)监控信息，继电保护故障信息包括：状态变位、告警信号数据；系统故障后的状态变化信号以及事件顺序(SOE)记录、故障录波、扰动记录的数据。SCADA监控信息包括：测量值数据；电能累积量数据；控制、升降命令和继电保护设备的投退命令及互锁信息。其中，基于IEC103协议传送的信息主要包括针对继电保护的相关信息，如：遥测、遥信、SOE事件、故障信息、故障录波信息等。基于IEC104协议传送的信息主要为SCADA监控信息，例如包括遥测、遥信、遥脉、终端设备状态等上行信息内容，还包括遥控、设点、对时信息等下行信息内容。IEC61850系列规约则在已有的IEC/IEEE/ISO/OSI可用的通信标准的基础上，规范了变电站内智能电子设备(IED)之间的通信行为和相关的系统要求。以IEC104规约为例，IEC104规约采用TCP网络通道，标准的端口号为2404，由IANA(TheInternetAssignedNumbersAuthority，互联网数字分配机构)分配授权定义和确认，也可根据需要自行确定。例如，IEC104规约的报文帧格式如下表所示：启动字符68HAPDU长度(最大为253)控制域八位位组1控制域八位位组控制域八位位组控制域八位位组IEC104定义的ASDU在电力系统中，尤其在生产控制大区内，电力监控系统内站控层的主机系统与间隔层、过程层的设备或模块通信时采用电力专有协议，如IEC103、IEC104、IEC61850等。其中，不同协议规定的报文格式亦不相同，因此，先确定报文数据的协议类型，再根据协议类型解析报文数据的信息内容。例如，将获取的报文数据与预设电力专用协议库进行匹配，确定该报文数据的协议类型，进而根据协议类型解析报文数据的信息内容。S150，针对所述信息内容进行相应的攻击仿真操作。在本实施例中，攻击仿真操作至少包括伪造报文攻击仿真操作及重放攻击仿真操作两种。例如，若上述信息内容为下行信息，则进行伪造报文攻击仿真操作，则篡改报文数据得到伪造报文，并将伪造报文发送给从站服务器，从而进行伪造报文攻击仿真。其中，下行信息包括：遥控信息、设点信息、对时信息等至少一种。例如，若上述信息为上行数值信息，则发起重放攻击，例如向主站服务器发送主站已接收过的包，使主站端服务器无法获取更新的信息。其中，上行数值信息包括遥测数值信息、遥信数值信息、遥脉数值信息、终端设备状态信息等。在一个实施例中，进行相应的攻击仿真操作之后，根据仿真结果判断通信链路是否安全，或判断主战设备/从站设备的防攻击能力是否合格。例如，若设备的防攻击能力不合格，则加强设备的防御部署，或使设备不予出厂，以保障电力系统的安全防护性能。上述电力系统的攻击仿真方法，既能模拟正常电力监控系统业务和专用规约通信场景，又能通过窃听手段窃取电力系统内部报文，并识别电力专用协议报文格式，通过报文回放和旁路控制手段对服务器端发布虚假或恶意报文，对电力系统的正常通信业务进行破坏，从而实现报文劫持攻击方法仿真验证，以提高投入运行的电力系统的安全性。在一个实施例中，如图3所示，步骤S130包括如下步骤：S131，将所述报文数据与所述预设电力专用协议库进行匹配，获取所述报文数据的协议类型。由于预先部署有电力专有协议库，因此具备IEC101、IEC102、IEC103、IEC104、IEC61850等多种电力专用协议报文格式的识别能力。例如，将所述报文数据的头部字段与所述预设电力专用协议库的字段进行匹配，获取所述报文数据的协议类型。例如，将所述报文数据的头部字段与所述预设电力专用协议库中各类协议规定的头部字段进行对比，与所述报文数据的头部字段相匹配的协议类型，即所述报文数据的协议类型。S133，根据所述协议类型解析所述报文数据的信息内容。在一个实施例中，步骤S133包括如下步骤：s1331，根据所述协议类型规定的报文帧格式，获取所述报文数据中的报文信息体。例如，按照所述协议类型规定的报文格式，剔除所述数据报文中的格式数据，得到报文信息体。例如，所述格式数据包括协议规定的固定报文头及报文尾。s1332，根据所述报文信息体内的报文代码，识别所述报文数据携带的信息内容。以IEC104协议为例，参照IEC104协议规定的报文帧格式，剥离报文数据中的固定报文头和报文尾，获取报文信息体，根据信息体内报文代码，识别此报文数据携带的信息内容，从而达到解析报文协议的目的。在一个实施例中，如图4所示，步骤S150包括如下步骤：S151，判断所述信息内容是否为下行信息，是则执行步骤S153，否则执行步骤S155。在本实施例中，下行信息包括遥控信息、设点信息、对时信息等。例如，判断信息内容是否包括遥控信息、设点信息、对时信息中至少一种，是则判断所述信息内容为下行信息。例如，截取报文源码内容为：681402000800670106000100000000010510090a0302，根据协议库规定的格式进行如下分析：0x501＝1秒281毫秒，0x10＝16分，0x09＝9时，0x0a＝10日，0x03＝3月，0x02＝2002年，可得报文携带的信息内容为2002年3月10日9时16分1秒281毫秒，由此可知此报文为对时报文，属于下行信息。S153，进行伪造报文攻击仿真操作。在本实施例中，若报文中的信息内容为下行信息内容，例如报文的信息内容为控制指令报文或对时报文，则进行伪造报文攻击仿真操作，即，篡改报文数据得到伪造报文，并将伪造报文发送给从站服务器。S155，判断所述信息内容是否为上行数值信息，执行步骤S157。在本实施例中，上行数值信息包括遥测数值信息、遥信数值信息、遥脉数值信息、终端设备状态信息等。S157，进行重放攻击仿真操作。即，发起重放攻击，亦可理解为重新发起攻击仿真操作。在本实施例中，若报文中的信息内容为上行数值信息，则发起重放攻击，例如向主站服务器发送主站已接收过的包，使主站端服务器无法获取更新的信息。应当理解，作为一种实施方式，也可以先执行步骤S155的判断操作，是则执行S157，否则执行步骤S151的进一次判断操作，进一次判断为是则执行步骤S153。本发明实施例还提供了一种电力系统的攻击仿真装置，例如，所述攻击仿真装置采用上述任一实施例所述的电力系统的攻击仿真方法实现。例如，如图5所示，所述攻击仿真装置500包括：抓取模块510，用于抓取通信数据包并获取报文数据。解析模块530，用于根据预设电力专用协议库，解析所述报文数据的信息内容。仿真模块550，用于针对所述信息内容进行相应的攻击仿真操作。在一个实施例中，如图6所示，解析模块530包括：匹配单元531，用于将所述报文数据与所述预设电力专用协议库进行匹配，获取所述报文数据的协议类型。解析单元533，用于根据所述协议类型解析所述报文数据的信息内容。在一个实施例中，匹配单元531，用于将所述报文数据的头部字段与所述预设电力专用协议库的字段进行匹配，获取所述报文数据的协议类型。在一个实施例中，解析单元533包括获取子单元及识别子单元，其中：获取子单元，用于根据所述协议类型规定的报文帧格式，获取所述报文数据中的报文信息体；识别子单元，用于根据所述报文信息体内的报文代码，识别所述报文数据携带的信息内容。在一个实施例中，仿真模块550包括判断单元及攻击单元，其中：判断单元用于判断所述信息内容是否为下行信息，是则由攻击单元进行伪造报文攻击仿真操作；否则判断单元进一步判断所述信息内容是否为上行数值信息，是则由攻击单元进行重放攻击仿真操作。本发明又一实施例是，一种电力系统的攻击仿真装置，其采用上述任一实施例所述攻击仿真方法；例如，一种电力系统的攻击仿真装置，其采用上述任一实施例所述攻击仿真方法实现；又如，一种电力系统的攻击仿真装置，其具有上述任一实施例所述攻击仿真方法所对应的功能模块。上述电力系统的攻击仿真装置，既能模拟正常电力监控系统业务和专用规约通信场景，又能通过窃听手段窃取电力系统内部报文，并识别电力专用协议报文格式，通过报文回放和旁路控制手段对服务器端发布虚假或恶意报文，对电力系统的正常通信业务进行破坏，从而实现报文劫持攻击方法仿真验证，以提高投入运行的电力系统的安全性。本发明实施例还提供了一种攻击仿真设备，其包括上述任一实施例所述的攻击仿真装置。在一个实施例中，上述攻击仿真设备按照工业环境要求进行设计，使用板载高性能嵌入式1037UCPU，无风扇设计，耐高温高湿，适合多种工业应用场合，具有强大的环境适应性。例如，上述攻击仿真设备的具体参数如下表所示：在一个实施例中，如图7所示，一实施例的攻击仿真设备700，包括壳体701，还包括置于所述壳体内的中央处理器702、存储器703、收发器704、网络接口模组705以及硬件加解密模组706，其中，中央处理器702、存储器703、收发器704、网络接口模组705通过总线707连接，硬件加解密模组706与收发器704电连接。在本实施例中，存储器703存储有电力专用协议库及协议匹配工具，例如存储有IEC701、IEC703、IEC704、IEC61850等电力专用协议/规约中至少一种。其中协议匹配工具，用于在报文窃听和识别过程中，为中央处理模块提供匹配支持。在本实施例中，收发器704用于接收及发送数据。例如，根据中央处理器702的指令，收发器704按照预先设置好的模式/窃听流程从交换机、路由器获取网络数据报文。中央处理器702是上述攻击仿真设备的主要组成部分，负责整个系统的调度和处理运算。在仿真验证方法发起时，中央处理器按照预定的顺序发起攻击。例如，中央处理器702接收收发器704获取的网络数据报文，按照流程和存储器703中预先存储的算法，对报文进行分类处理，并根据报文类型发起报文重放攻击和虚假报文注入攻击。在一个实施例中，中央处理器702启动攻击运行后，向收发器704发送启动命令，并传输相应的参数，使收发器704按照预先设置好的模式/窃听流程从交换机、路由器获取网络数据报文。在本实施例中，网络接口模组705包括多个接口，例如包括攻击专用网络接口即通用网络接口。在模拟攻击时，攻击专用网络接口严格按照攻击控制模块的命令和报文发送时间要求发送报文。在收到(侦听或拦截到)报文时将报文交给中央处理器。通用网络接口用于接收用户通过网络对攻击主机进行的配置参数。例如，可以将多个硬件接口中的至少一个直接接入交换机或路由器的通用端口，以监听网络报文，与通过镜像口连接的网络流量进行对比。在本实施例中，硬件加解密模组用于加密或解密，例如，当收发器704接收到的报文需要解密时，收发器704与硬件加解密模组706通信，向硬件加解密模组706发送报文，由硬件加解密模组706将报文解密后发送至中央处理器。又如，当攻击仿真设备对外发送的报文需要进行加密时，由硬件加解密模组706对外发的报文进行加密，再传输给收发器704对外发送。作为一种实施方式，硬件加解密模组706可包括数据输入模块、密钥生成模块、数据处理模块、控制模块及存储模块，其中数据输入模块分别连接密钥生成模块、数据处理模块及控制模块，数据处理模块还与密钥生成模块和存储模块连接。上述电力系统的攻击仿真设备，既能模拟正常电力监控系统业务和专用规约通信场景，又能通过窃听手段窃取电力系统内部报文，发布虚假或恶意报文，对电力系统的正常通信业务进行破坏，从而实现报文劫持攻击方法仿真验证，以提高投入运行的电力系统的安全性。在一个实施例中，如图8所示，上述攻击仿真设备还包括：电源管理模组708、USB模组709及人机交互模组710中至少一种。例如，在一个实施例中，上述攻击仿真设备还包括电源管理模组，所述电源管理模组通过总线分别与所述中央处理器、所述存储器、所述收发器及所述网络接口连接。作为一种实施方式，所述电源管理模组设置于所述壳体700内部。作为另一种实施方式，所述电源管理模组包括固定设置于所述壳体上的电源接口以及可移动的电源适配器，其中所述电源接口通过总线分别与所述中央处理器、所述存储器、所述收发器及所述网络接口连接。在一个实施例中，所述电源适配器包括钢化玻璃外壳以及设置于所述钢化玻璃外壳内的至少一太阳能板、太阳能蓄电池及电压转换电路，其中：所述至少一太阳能板贴合于所述钢化玻璃外壳的至少一内表面并与所述太阳能蓄电池连接；所述电压转换电路与所述太阳能蓄电池连接。作为一种实施方式，所述攻击仿真设备还包括USB(UniversalSerialBus，通用串行总线)模组，所述USB模组通过总线分别与所述中央处理器、所述存储器、所述收发器及所述网络接口连接，所述USB模组包括互相电连接的USB接口及USB识别电路。在本实施例中，USB模组用于与使用USB接口的设备连接，如U盘。通过USB连接，使得攻击仿真设备可以导入导出系统配置文件，攻击模型等。作为一种实施方式，所述攻击仿真设备还包括人机交互模组，所述人机交互模组通过总线分别与所述中央处理器、所述存储器、所述收发器及所述网络接口连接。作为一种实施方式，所述人机交互模组包括输入装置及输出装置，其中所述输入装置包括摄像头、声音采集装置、鼠标、键盘中至少一种，所述输出装置包括显示器及音频播放装置中至少一种。通过人机交互模组，用户可以实现登录、配置攻击仿真设备及选择攻击模式等操作。上述电力系统的攻击仿真方法、装置及攻击仿真设备，对电力系统的通信业务进行模拟，采用软硬件仿真构建调控中心和变电站的通信环境，可以实现电力系统主要业务及专用通信规约(如IEC103、IEC104、IEC61850等)的通信场景。其中，攻击仿真设备采用窃听手段窃取电力系统数据报文，通过协议库匹配自动识别电力系统规约报文格式，并根据报文内容发起报文重放攻击或报文篡改/伪造攻击，实现电力系统报文劫持攻击场景，通过仿真判断电力系统的通信业务是否安全，以及判断电力系统中的设备是否需要更换。应该说明的是，上述装置实施例中，所包括的各个模块只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能模块的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。另外，本领域普通技术人员可以理解实现上述各实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，相应的程序可以存储于可读取存储介质中，所述存储介质，如ROM/RAM、磁盘、光盘等。以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。当前第1页1 2 3