一种电力系统的网络安全靶场构建系统及方法与流程

1.本发明涉及电力系统信息安全相关技术领域，尤其是涉及一种电力系统的网络安全靶场构建系统及方法。


背景技术：

2.电力行业作为关系国计民生的重要基础行业，同时也是技术、资金密集型行业，在注重信息化建设的同时，对于网络安全工作也历来高度重视。随着自动化、智能化和信息化程度逐步提升，电力系统之间的联系日趋紧密，各级主站、各电压等级变电站及发电厂高度互联形成了一个巨大的网络空间，任何一处发生的网络攻击都可能牵一发而动全身，影响电力系统安全稳定运行。
3.近年来，网络安全形势日益严峻，网络攻击国家化的趋势明显。电力系统作为国家重要的基础设施，是网络战打击的首要目标之一。且随着智能电网、电力物联网等新技术的大量引入，以及大量智能终端设备通过无线或有线等方式接入，网络安全态势呈现结构复杂化、便捷模糊化、威胁形态多样化等，给安全防护带来了严峻挑战，这就对电力系统的安全性测试和评估提出了更高要求。要精确评估各类网络攻击对电力系统的影响，为制定针对性的防护措施提供依据，则需要一个近似实战的仿真试验环境。
4.网络安全靶场提供了一个可信性、可控性、可操作性强近似实战的仿真试验环境，是验证安全技术可行性、攻击防御手段有效性及评估系统安全防护水平的重要基础设施。然而，传统的网络靶场存在网络安全攻防手段单一，建模场景不具有代表性与靶场功能不完备的问题。


技术实现要素：

5.本发明旨在至少解决现有技术中存在的技术问题。为此，本发明提出一种电力系统的网络安全靶场构建系统及方法，能够实现对电力系统的高逼真建模仿真，同时模拟针对电力系统的各种典型网络攻击手段，从而实现多样化的电力系统网络安全场景训练，提升训练的灵活性。
6.本发明的第一方面，提供了一种电力系统的网络安全靶场构建系统，包括如下步骤：
7.电力系统组件模块，用于根据电力系统组件构建电力系统相关模型；
8.场景配置模块，用于根据预先设置的电力系统网络对抗模拟方案生成相应的场景配置；
9.拓扑自动部署模块，用于根据所述电力系统相关模型与所述场景配置生成拓扑结构，所述拓扑结构中包括所述电力系统的数字孪生系统；
10.网络安全对抗演练模块，用于根据所述电力系统网络对抗模拟方案对所述数字孪生系统进行攻击与防守演练，得到演练指数；
11.评估服务模块，用于评价所述攻击与防守演练的演练指数，得到评价指数；
12.演练展示模块，用于展示整个演练过程中的态势、配置和效果。
13.根据本发明的实施例，至少具有如下技术效果：
14.本系统通过根据电力系统组件构建电力系统相关模型，根据预先设置的电力系统网络对抗模拟方案生成相应的场景配置，根据电力系统相关模型与场景配置生成拓扑结构，拓扑结构中包括电力系统的数字孪生系统，实现了对电力系统的高逼真建模仿真，根据电力系统网络对抗模拟方案对数字孪生系统进行攻击与防守演练，得到演练指数，评价攻击与防守演练的演练指数，得到评价指数，通过模拟针对电力系统的各种典型网络攻击手段，实现了多样化的电力系统网络安全场景训练，节省了电力系统网络靶场研制和部署的成本，提升了训练的灵活性。
15.根据本发明的一些实施例，所述网络安全对抗演练模块包括：
16.战例战法管理模块，用于提供针对所述数字孪生系统的网络攻击的战例战法；
17.攻防武器库模块，用于提供与管理针对所述数字孪生系统的攻防武器；
18.数据采集模块，用于收集所述攻击与防守演练过程中的数据；
19.演练模块，用于根据所述电力系统网络对抗模拟方案对所述数字孪生系统进行攻击与防守演练，得到演练指数，其中，所述电力系统网络对抗模拟方案包括应用所述战例战法与所述攻防武器的方案。
20.根据本发明的一些实施例，所述电力系统的网络安全靶场构建系统还包括：
21.复盘讲评模块，用于记录所述攻击与防守演练的过程和总结的经验；
22.评估管理模块，用于记录专家对所述评价指数的评估结果。
23.根据本发明的一些实施例，所述演练指数包括基本运行指数、脆弱性指数和威胁指数，其中，所述基本运行指数为稳定性指标和容灾性指标，所述脆弱性指数为权限获取漏洞指标和其他漏洞指标，所述威胁指数为木马指标、病毒指标、僵尸网络指标、拒绝服务攻击指标和网络欺骗指标。
24.根据本发明的一些实施例，所述电力系统相关模型包括发电设备模型、输电设备模型、变电设备模型、配电设备模型、用电设备模型和工控设备模型。
25.本发明的第二方面，提供一种电力系统的网络安全靶场构建方法，所述电力系统的网络安全靶场构建方法包括：
26.根据电力系统组件构建电力系统相关模型；
27.根据预先设置的电力系统网络对抗模拟方案生成相应的场景配置；
28.根据所述电力系统相关模型与所述场景配置生成拓扑结构，所述拓扑结构中包括所述电力系统的数字孪生系统；
29.根据所述电力系统网络对抗模拟方案对所述数字孪生系统进行攻击与防守演练，得到演练指数；
30.评价所述攻击与防守演练的演练指数，得到评价指数。
31.本方法通过根据电力系统组件构建电力系统相关模型，根据预先设置的电力系统网络对抗模拟方案生成相应的场景配置，根据电力系统相关模型与场景配置生成拓扑结构，拓扑结构中包括电力系统的数字孪生系统，实现了对电力系统的高逼真建模仿真，根据电力系统网络对抗模拟方案对数字孪生系统进行攻击与防守演练，得到演练指数，评价攻击与防守演练的演练指数，得到评价指数，通过模拟针对电力系统的各种典型网络攻击手
段，实现了多样化的电力系统网络安全场景训练，节省了电力系统网络靶场研制和部署的成本，提升了训练的灵活性。
32.根据本发明的一些实施例，所述演练指数包括基本运行指数、脆弱性指数和威胁指数，其中，所述基本运行指数为稳定性指标和容灾性指标，所述脆弱性指数为权限获取漏洞指标和其他漏洞指标，所述威胁指数为木马指标、病毒指标、僵尸网络指标、拒绝服务攻击指标和网络欺骗指标。
33.根据本发明的一些实施例，所述电力系统相关模型包括发电设备模型、输电设备模型、变电设备模型、配电设备模型、用电设备模型和工控设备模型。
34.本发明的第三方面，提供了一种电力系统的网络安全靶场构建电子设备，包括至少一个控制处理器和用于与所述至少一个控制处理器通信连接的存储器；所述存储器存储有可被所述至少一个控制处理器执行的指令，所述指令被所述至少一个控制处理器执行，以使所述至少一个控制处理器能够执行上述的电力系统的网络安全靶场构建方法。
35.本发明的第四方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使计算机执行上述的电力系统的网络安全靶场构建方法。
36.需要注意的是，本发明的第二方面至第四方面与现有技术之间的有益效果与上述的一种电力系统的网络安全靶场构建系统与现有技术之间的有益效果相同，此处不再细述。
37.本发明的附加方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。
附图说明
38.本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：
39.图1是本发明一实施例的一种电力系统的网络安全靶场构建系统的流程图；
40.图2是本发明一实施例的一种电力系统的网络安全靶场构建方法的流程图。
具体实施方式
41.下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。
42.在本发明的描述中，如果有描述到第一、第二等只是用于区分技术特征为目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量或者隐含指明所指示的技术特征的先后关系。
43.在本发明的描述中，需要理解的是，涉及到方位描述，例如上、下等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。
44.本发明的描述中，需要说明的是，除非另有明确的限定，设置、安装、连接等词语应
做广义理解，所属技术领域技术人员可以结合技术方案的具体内容合理确定上述词语在本发明中的具体含义。
45.网络安全靶场提供了一个可信性、可控性、可操作性强近似实战的仿真试验环境，是验证安全技术可行性、攻击防御手段有效性及评估系统安全防护水平的重要基础设施。然而，传统的网络靶场存在网络安全攻防手段单一，建模场景不具有代表性与靶场功能不完备的问题。
46.为了解决上述技术缺陷，参照图1，包括电力系统组件模块1100、场景配置模块1200、拓扑自动部署模块1300、网络安全对抗演练模块1400、评估服务模块1500以及演练展示模块1600，其中：
47.电力系统组件模块1100用于根据电力系统组件构建电力系统相关模型。
48.场景配置模块1200用于根据预先设置的电力系统网络对抗模拟方案生成相应的场景配置。
49.拓扑自动部署模块1300用于根据电力系统相关模型与场景配置生成拓扑结构，拓扑结构中包括电力系统的数字孪生系统。
50.网络安全对抗演练模块1400用于根据电力系统网络对抗模拟方案对数字孪生系统进行攻击与防守演练，得到演练指数。
51.评估服务模块1500用于评价攻击与防守演练的演练指数，得到评价指数。
52.演练展示模块1600用于展示整个演练过程中的态势、配置和效果。
53.本系统通过根据电力系统组件构建电力系统相关模型，根据预先设置的电力系统网络对抗模拟方案生成相应的场景配置，根据电力系统相关模型与场景配置生成拓扑结构，拓扑结构中包括电力系统的数字孪生系统，实现了对电力系统的高逼真建模仿真，根据电力系统网络对抗模拟方案对数字孪生系统进行攻击与防守演练，得到演练指数，评价攻击与防守演练的演练指数，得到评价指数，通过模拟针对电力系统的各种典型网络攻击手段，实现了多样化的电力系统网络安全场景训练，节省了电力系统网络靶场研制和部署的成本，提升了训练的灵活性。
54.在一些实施例中，网络安全对抗演练模块包括：
55.战例战法管理模块，用于提供针对数字孪生系统的网络攻击的战例战法。
56.攻防武器库模块，用于提供与管理针对数字孪生系统的攻防武器。
57.数据采集模块，用于收集攻击与防守演练过程中的数据。
58.演练模块，用于根据电力系统网络对抗模拟方案对数字孪生系统进行攻击与防守演练，得到演练指数，其中，电力系统网络对抗模拟方案包括应用战例战法与攻防武器的方案。
59.在一些实施例中，电力系统的网络安全靶场构建系统还包括：
60.复盘讲评模块，用于记录攻击与防守演练的过程和总结的经验。
61.评估管理模块，用于记录专家对评价指数的评估结果。
62.在一些实施例中，演练指数包括基本运行指数、脆弱性指数和威胁指数，其中，基本运行指数为稳定性指标和容灾性指标，脆弱性指数为权限获取漏洞指标和其他漏洞指标，威胁指数为木马指标、病毒指标、僵尸网络指标、拒绝服务攻击指标和网络欺骗指标。
63.在一些实施例中，电力系统相关模型包括发电设备模型、输电设备模型、变电设备
模型、配电设备模型、用电设备模型和工控设备模型。
64.步骤s101、根据电力系统组件构建电力系统相关模型。
65.步骤s102、根据预先设置的电力系统网络对抗模拟方案生成相应的场景配置。
66.步骤s103、根据电力系统相关模型与场景配置生成拓扑结构，拓扑结构中包括电力系统的数字孪生系统。
67.步骤s104、根据电力系统网络对抗模拟方案对数字孪生系统进行攻击与防守演练，得到演练指数。
68.步骤s105、评价攻击与防守演练的演练指数，得到评价指数。
69.本方法通过根据电力系统组件构建电力系统相关模型，根据预先设置的电力系统网络对抗模拟方案生成相应的场景配置，根据电力系统相关模型与场景配置生成拓扑结构，拓扑结构中包括电力系统的数字孪生系统，实现了对电力系统的高逼真建模仿真，根据电力系统网络对抗模拟方案对数字孪生系统进行攻击与防守演练，得到演练指数，评价攻击与防守演练的演练指数，得到评价指数，通过模拟针对电力系统的各种典型网络攻击手段，实现了多样化的电力系统网络安全场景训练，节省了电力系统网络靶场研制和部署的成本，提升了训练的灵活性。
70.在一些实施例中，演练指数包括基本运行指数、脆弱性指数和威胁指数，其中，基本运行指数为稳定性指标和容灾性指标，脆弱性指数为权限获取漏洞指标和其他漏洞指标，威胁指数为木马指标、病毒指标、僵尸网络指标、拒绝服务攻击指标和网络欺骗指标。
71.在一些实施例中，电力系统相关模型包括发电设备模型、输电设备模型、变电设备模型、配电设备模型、用电设备模型和工控设备模型。
72.需要注意的是，本方法实施例与上述的系统实施例是基于相同的发明构思，因此上述系统实施例的相关内容同样适用于本方法实施例，这里不再赘述。
73.本技术还提供一种电力系统的网络安全靶场构建电子设备，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现：如上述的电力系统的网络安全靶场构建方法。
74.处理器和存储器可以通过总线或者其他方式连接。
75.存储器作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序以及非暂态性计算机可执行程序。此外，存储器可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中，存储器可选包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至该处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
76.实现上述实施例的电力系统的网络安全靶场构建方法所需的非暂态软件程序以及指令存储在存储器中，当被处理器执行时，执行上述实施例中的电力系统的网络安全靶场构建方法，例如，执行以上描述的图2中的方法步骤s101至步骤s105。
77.本技术还提供一种计算机可读存储介质，存储有计算机可执行指令，计算机可执行指令用于执行：如上述的电力系统的网络安全靶场构建方法。
78.该计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令被一个处理器或控制器执行，例如，被上述电子设备实施例中的一个处理器执行，可使得上述处理器
执行上述实施例中的电力系统的网络安全靶场构建方法，例如，执行以上描述的图2中的方法步骤 s101至步骤s105。
79.本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统可以被实施为软件、固件、硬件及其适当的组合。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序单元或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于ram、rom、eeprom、闪存或其他存储器技术、cd-rom、数字多功能盘(dvd)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序单元或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。
80.上面结合附图对本发明实施例作了详细说明，但本发明不限于上述实施例，在所属技术领域普通技术人员所具备的知识范围内，还可以在不脱离本发明宗旨的前提下作出各种变化。