一种电力系统的网络攻击模拟方法及系统与流程

[0001]
本申请涉及信息安全防护技术领域，特别是涉及一种电力系统的网络攻击模拟方法及系统。


背景技术：

[0002]
电力系统的安全稳定运行关乎我国能源安全，而配电终端作为电力系统的重要部分，直接与前置机进行的通讯，传递采集的数据，但终端与配电自动化主站之间又没有什么防御机制，是网络黑客最容易接触的，很容易受到恶意攻击、病毒入侵等攻击的影响，进而产生严重的后果，例如2015年，乌克兰黑客就以终端为攻击跳板，对其电力系统展开攻击，攻击约60座变电站，致使乌克兰大规模停电，造成极大利益损失，因此急需一套切实可行的方法来检测电力系统终端的安全性与可靠性。
[0003]
对电力终端信息安全的研究不能仅限于防御手段的升级，也要学会了解黑客如何攻击配电终端，所以需要提早对终端其进行模拟攻击，通过对被测试的终端进行攻击效果的检测与评估，综合评价被测系统抵御网络攻击的能力，以减小系统受到真实攻击的可能性和由此带来的影响。
[0004]
如何通过对被测试的终端进行攻击效果的检测与评估，综合评价被测系统抵御网络攻击的能力，以减小系统受到真实攻击的可能性和由此带来的影响，现有技术中存在的，目前还未有合理的方案。


技术实现要素：

[0005]
本公开的实施例提供了一种电力系统的网络攻击模拟方法及系统，以至少解决现有技术中存在的如何通过对被测试的终端进行攻击效果的检测与评估，综合评价被测系统抵御网络攻击的能力，以减小系统受到真实攻击的可能性和由此带来的影响的技术问题。
[0006]
根据本公开实施例的一个方面，提供了一种电力系统的网络攻击模拟方法，包括：通过电力系统中的配电终端的扫描模块对目标主机进行扫描，收集网络攻击信息；通过电力系统中的配电终端的漏洞利用模块将漏洞插入插件库，根据网络攻击信息，针对目标主机的操作系统，利用漏洞插件对目标主机进行攻击；通过电力系统中的配电终端的木马生成模块，根据配置信息在本地生成带有负载控制的木马文件，利用漏洞利用模块和木马生成模块将木马文件发送至目标主机进行攻击；以及根据网络攻击信息，通过电力系统中的配电终端的拒绝服务攻击模块消耗目标主机的主机资源，导致目标主机无法处理其他正常的服务请求。
[0007]
根据本公开实施例的另一方面，还提供了一种电力系统的网络攻击模拟系统，包括：扫描模块，用于通过电力系统中的配电终端的扫描模块对目标主机进行扫描，收集网络攻击信息；漏洞利用模块，用于通过电力系统中的配电终端的漏洞利用模块将漏洞插件插入插件库，根据网络攻击信息，针对目标主机的操作系统，利用漏洞对目标主机进行攻击；木马生成模块，用于通过电力系统中的配电终端的木马生成模块，根据配置信息在本地生
成带有负载控制的木马文件，利用漏洞利用模块和木马生成模块将木马文件发送至目标主机进行攻击；以及拒绝服务攻击模块，用于根据网络攻击信息，通过电力系统中的配电终端的拒绝服务攻击模块消耗目标主机的主机资源，导致目标主机无法处理其他正常的服务请求。
[0008]
在本发明中，根据电力系统的配电终端的扫描模块、漏洞利用模块、木马生成模块和拒绝服务攻击模块实现网络攻击模拟。通过扫描模块对目标主机进行扫描，通过漏洞利用模块将漏洞插入插件库，针对目标主机的操作系统，利用漏洞对目标主机进行攻击。通过木马生成模块在本地生成带有负载控制的木马文件，利用漏洞利用模块和木马生成模块将木马文件发送至目标主机进行攻击。通过拒绝服务攻击模块消耗目标主机的主机资源，导致目标主机无法处理其他正常的服务请求。
[0009]
从而，对目标主机的终端其进行模拟攻击，通过对被测试的终端进行攻击效果的检测与评估，综合评价被测系统抵御网络攻击的能力，以减小系统受到真实攻击的可能性和由此带来的影响。进而解决了现有技术中存在的如何通过对被测试的终端进行攻击效果的检测与评估，综合评价被测系统抵御网络攻击的能力，以减小系统受到真实攻击的可能性和由此带来的影响的技术问题。
附图说明
[0010]
此处所说明的附图用来提供对本公开的进一步理解，构成本申请的一部分，本公开的示意性实施例及其说明用于解释本公开，并不构成对本公开的不当限定。在附图中：
[0011]
图1是根据本公开实施例所述的一种电力系统的网络攻击模拟方法的流程示意图；
[0012]
图2是根据本公开实施例所述的配电自动化系统中的配电终端的示意图；
[0013]
图3是根据本公开实施例所述的扫描模块的流程图；
[0014]
图4是根据本公开实施例所述的漏洞利用模块的流程图；
[0015]
图5是根据本公开实施例所述的木马生成模块流程图；以及
[0016]
图6是根据本公开实施例3的第一个方面所述的一种电力系统的网络攻击模拟系统的示意图。
具体实施方式
[0017]
现在参考附图介绍本发明的示例性实施方式，然而，本发明可以用许多不同的形式来实施，并且不局限于此处描述的实施例，提供这些实施例是为了详尽地且完全地公开本发明，并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中，相同的单元/元件使用相同的附图标记。
[0018]
除非另有说明，此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外，可以理解的是，以通常使用的词典限定的术语，应当被理解为与其相关领域的语境具有一致的含义，而不应该被理解为理想化的或过于正式的意义。
[0019]
根据本实施例的第一个方面，提供了一种电力系统的网络攻击模拟方法。图1示出了该方法的流程示意图，参考图1所示，该方法包括：
[0020]
s102：通过电力系统中的配电终端的扫描模块对目标主机进行扫描，收集网络攻击信息；
[0021]
s104:通过电力系统中的配电终端的漏洞利用模块将漏洞插件插入插件库，根据网络攻击信息，针对目标主机的操作系统，利用漏洞插件对目标主机进行攻击；
[0022]
s106:通过电力系统中的配电终端的木马生成模块，根据配置信息在本地生成带有负载控制的木马文件，利用漏洞利用模块和木马生成模块将木马文件发送至目标主机进行攻击；以及
[0023]
s108:根据网络攻击信息，通过电力系统中的配电终端的拒绝服务攻击模块消耗目标主机的主机资源，导致目标主机无法处理其他正常的服务请求。
[0024]
具体地，参考图2所示，本实施例是对电力系统中的配电终端进行的网络攻击模拟测试。该配电终端的模拟测试模块包括扫描模块、漏洞利用模块、木马生成模块和拒绝服务攻击模块。
[0025]
扫描模块用于信息收集。对于所有类型的网络攻击，信息的收集都是前提。具体来说，对于拒绝服务攻击模块而言，存活的主机ip是后续发动大流量消耗主机资源从而进行攻击的前提；对于漏洞利用和木马生成模块而言，目标ip开放的端口和各个端口提供的服务以及服务的具体版本信息等相关信息都是进行有效攻击必不可少的基础。
[0026]
漏洞利用模块通过利用cve数据库内存储的exploit和payload组合，根据扫描模块收集的信息，产生针对目标主机操作系统或其上所提供的服务的漏洞进行攻击的流程及相应负载。由于攻击是根据收集到信息产生的有针对性攻击，所以攻击的效率会相对较高。
[0027]
木马生成模块根据配置会在本地生成一个带有指定payload(负载控制)的木马文件，然后利用扫描模块及漏洞利用模块共同协作获取的连接将木马文件上传至目标主机实现攻击。
[0028]
拒绝服务攻击模块通过产生大量的流量对目标服务器进行以消耗主机资源为途径的拒绝服务攻击。具体的攻击主要通过icmp和tcp协议实现，根据扫描模块收集的数据，判断存活的ip及其上所开放的服务，如果目标主机开放的端口提供http、https等可进行tcp连接的服务，则拒绝服务攻击模块会根据配置的信息进行大量的tcp连接请求并且保持连接不断开，借此使被攻击主机上的服务无法处理正常的请求，进而导致服务瘫痪；如果目标主机开放端口但并无合适的可进行tcp连接的服务端口，则会产生大量的icmp请求，同样产生对目标主机cpu的消耗，进而导致被攻击的主机瘫痪。
[0029]
从而，根据电力系统的配电终端的扫描模块、漏洞利用模块、木马生成模块和拒绝服务攻击模块实现网络攻击模拟。通过扫描模块对目标主机进行扫描，通过漏洞利用模块将漏洞插入插件库，针对目标主机的操作系统，利用漏洞对目标主机进行攻击。通过木马生成模块在本地生成带有负载控制的木马文件，利用漏洞利用模块和木马生成模块将木马文件发送至目标主机进行攻击。通过拒绝服务攻击模块消耗目标主机的主机资源，导致目标主机无法处理其他正常的服务请求。
[0030]
从而，对目标主机的终端其进行模拟攻击，通过对被测试的终端进行攻击效果的检测与评估，综合评价被测系统抵御网络攻击的能力，以减小系统受到真实攻击的可能性和由此带来的影响。进而解决了现有技术中存在的如何通过对被测试的终端进行攻击效果的检测与评估，综合评价被测系统抵御网络攻击的能力，以减小系统受到真实攻击的可能
性和由此带来的影响的技术问题。
[0031]
可选地，通过电力系统的扫描模块对目标主机进行扫描，收集网络攻击信息，包括：通过电力系统的扫描模块对目标主机进行扫描，获得扫描信息；将扫描信息结合计算机服务的指纹信息和相关规则，对目标主机的基本信息进行获取；对目标主机的网络拓扑结构信息进行获取；以及扫描模块内置了具有扫描功能的攻击插件，扫描模块使用的工具包括网络映射器。
[0032]
具体地，扫描模块内置了所有具有扫描功能的攻击插件，可以对指定目标网络或主机进行扫描，根据目标网络内主机返回的相应信息结合计算机服务的指纹信息和相关规则(包括主机发现、端口扫描、版本侦测、操作系统侦测和ids规避等等)，对计算机的基本信息进行较为全面的获取。除此之外，此模块还可以对网络拓扑结构信息进行一定程度的获取，进而为其他攻击行为提供基础。
[0033]
扫描模块主要使用的工具包括network mapper，即nmap(网络映射器)，设计目标是快速地扫描大型的网络与主机。nmap初期是linux下的网络扫描和嗅探工具包，后来经过不断的更新发展，成为了一款以新颖的方式使用原始ip数据报文发现网络主机的网络探测工具。nmap能够发现网络上的主机以及主机提供的服务(应用程序名和版本号)，运行服务的操作系统信息、主机使用的报文过滤器和防火墙等多种网络信息。可用于安全审核和许多系统管理时的维护、主机监护和服务的运行。
[0034]
在配电终端的网络安全中，有以下几个方面：计算机网络的系统漏洞、网络硬件设施不完善、使用者安全意识的不足、计算机病毒的入侵威胁和黑客的攻击。而nmap具有十分强大的功能，除了端口扫描、远程操控、操作系统识别之外，nmap还可以提供相对完整的信息收集、数据库渗透、网络渗透测试等功能，并且在nmap的脚本支持下可以扩展更多的网络扫描攻击测试。
[0035]
攻击的流程参考图3所示，首先，模块调用mian()函数，接受扫描的信息参数，然后运行nse脚本进入主循环，发现主机、扫描端口、检测相关威胁信息，接下来管理信息大区应用的mysql数据库将遭受到扫描攻击，可以用来审计mysql的安全设置。其中为了避开防火墙检查到获取信息，-f选项可以实现报文分段功能，将tcp包分段在几个包中，在面对进展icmp的防火墙时可以很好的逃避。
[0036]
可选地，通过电力系统的漏洞利用模块将漏洞插件插入插件库，根据网络攻击信息，针对目标主机的操作系统，利用漏洞插件对目标主机进行攻击，包括：通过电力系统的漏洞利用模块，以插件的形式将漏洞插件添加至插件库；根据网络攻击信息，调用漏洞插件对目标主机进行测试，获得测试结果；以及根据测试结果，对含有漏洞的目标主机进行攻击。
[0037]
具体地，结合电力系统终端的漏洞的现状和特点，漏洞利用模块以插件添加的形式为主，该模块以插件的形式已写入一些经典型漏洞，包括常见的sql注入、smb远程溢出漏洞、openssl心脏出血、ftp弱口令等。若需加入新的漏洞，提供自行写入插件功能，方便于电力系统在最新的漏洞出来之时加入模拟攻击，在快捷方便的情况下保证系统的安全运行。
[0038]
以sql注入漏洞为例，结合电力系统终端，web服务器和数据库服务器中都是有一定规模数据存储的，对于有web服务器很容易产生sql注入，接而被脱库盗数据。参考图4所示，首先选择漏洞利用模块的sql注入插件，并进行配置的初始化，如conf、主机、header参
数等等，紧接着检测是否有注入点，若存在注入点则识别数据库指纹分析用户传递参数行为，拿到sa权限后完成攻击。若不存在注入点，则根据需求调用xss插件、csrf插件等配合后续攻击接管完成本次攻击。
[0039]
漏洞利用模块收集了大量已经公布的不同级别的漏洞对应的攻击插件，并且可以随时调用其中的插件对目标网络进行攻击测试。根据攻击测试的结果，可以及时发现目标网络中存在的漏洞，依据漏洞的级别进行相应的判断就可以对目标网络的安全级别、存在的风险进行详细的分析，并得到详细报告。
[0040]
可选地，通过电力系统的木马生成模块，根据配置信息生成带有指定负载控制的木马文件，利用漏洞利用模块和木马生成模块将木马文件发送至目标主机实现攻击，包括：利用渗透测试框架的扩展模块，通过电力系统的木马生成模块，根据配置信息生成带有指定负载控制的木马文件；以及利用扩展模块，利用漏洞利用模块和木马生成模块，将木马文件发送至目标主机实现攻击；以及渗透测试框架可以实现木马的生成、捆绑以及免杀，指定负载控制用于针对不同的操作系统。
[0041]
具体地，木马生成模块实现的是生成木马到入侵主机实时监控的过程，木马是指隐藏在正常程序中的一段有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击dos等特殊功能的后门程序，前期的漏洞扫描、渗透攻击的最终目的多数都是在目标网络或主机内植入木马或病毒，并借此达到破坏计算机系统或窃取信息的最终目的。
[0042]
木马生成模块主要使用metasploit渗透测试框架模块，metasploit具有繁多的接口、模块等等。metasploit框架是为数不多的可以方便的实现木马的生成、捆绑、免杀的优秀开源框架。它将负载控制(payload)、编码器(encoder)、无操作生成器(nops)和漏洞整合在一起，它集成了各种平台(android、windows、linux)下的场景漏洞和流行shellcode。此外，meterpreter也是metasploit框架中的一个杀手锏，通常作为利用漏洞后的攻击载荷所使用，攻击载荷在触发漏洞后能够返回给用户一个控制通道。当使用armitage、msfcli或msfconsole获取到目标系统上的一个meterpreter连接时，用户必须使用meterpreter传递攻击载荷。msfconsole用于管理用户的会话，而meterpreter则是攻击载荷和渗透攻击交互。简单的说，当木马执行，meterpreter可以实现众多操控，如监控键盘，视频监控，远程执行等。
[0043]
如图5所示，该模块的主要流程为攻击方生成打包木马，配置msf接受到木马返回的有效的反向连接，通过web或者email等方法诱使系统工作人员运行，再利用meterpreter实现全部的操控。运行后，木马会找寻入侵方，就是根据自身的ip来找到它，然后通过设定好的端口号来连接入侵方，这样入侵方就可以下达指令了。
[0044]
木马生成模块收集了大量的木马，可根据系统所处环境生成对应的程序配合其他模块的攻击测试结果进行攻击测试，更加贴近现实环境地展示针对目标网络的恶意攻击可以造成的破坏和后果。
[0045]
可选地，根据网络攻击信息，通过电力系统的拒绝服务攻击模块消耗目标主机的主机资源，导致所述目标主机无法处理其他正常的服务请求，包括：通过网际控制报文协议和传输控制协议，根据网络攻击信息，确定存活的目标主机；以及在存活的目标主机的端口提供可进行传输控制协议的服务的情况下，通过电力系统的拒绝服务攻击模块与存活的目标主机进行连接且不断开，促使存活的目标主机的服务无法正常处理。
[0046]
在本实施例中，根据扫描模块、漏洞利用模块、木马生成模块以及拒绝服务攻击模块，评估电力系统中的配电终端和目标主机的抵御网络攻击能力。从而减少受到真实攻击的可能性和由此带来的影响。
[0047]
根据本实施例的另一个方面，提供了一种电力系统的网络攻击模拟系统600，该系统600包括：扫描模块610，用于通过电力系统中的配电终端的扫描模块对目标主机进行扫描，收集网络攻击信息；漏洞利用模块620，用于通过电力系统中的配电终端的漏洞利用模块将漏洞插入插件库，根据网络攻击信息，针对目标主机的操作系统，利用漏洞对目标主机进行攻击；木马生成模块630，用于通过电力系统中的配电终端的木马生成模块，根据配置信息在本地生成带有负载控制的木马文件，利用漏洞利用模块和木马生成模块将木马文件发送至目标主机进行攻击；以及拒绝服务攻击模块640，用于根据网络攻击信息，通过电力系统中的配电终端的拒绝服务攻击模块消耗目标主机的主机资源，导致目标主机无法处理其他正常的服务请求。
[0048]
可选地，扫描模块610，包括：扫描目标主机子模块，用于通过电力系统中的配电终端的扫描模块对目标主机进行扫描，获得扫描信息；结合信息规则子模块，用于将扫描信息结合计算机服务的指纹信息和相关规则，对目标主机的基本信息进行获取；以及获取拓扑结构信息子模块，用于对目标主机的网络拓扑结构信息进行获取。
[0049]
可选地，漏洞利用模块620，包括：添加漏洞插件子模块，用于通过电力系统中的配电终端的漏洞利用模块，以插件的形式将漏洞添加至插件库；调用漏洞子模块，用于根据网络攻击信息，调用漏洞对目标主机进行测试，获得测试结果；以及漏洞攻击目标主机子模块，用于根据测试结果以及漏洞的安全级别，对安全级别低于预定阈值的目标主机进行攻击。
[0050]
可选地，木马生成模块630，包括：生成木马文件子模块，用于利用渗透测试框架的扩展模块，通过电力系统中的配电终端的木马生成模块，根据配置信息生成带有指定负载控制的木马文件；以及发送木马文件子模块，用于利用扩展模块，利用漏洞利用模块和木马生成模块，将木马文件发送至目标主机实现攻击；渗透测试框架可以实现木马的生成、捆绑以及免杀，指定负载控制用于针对不同的操作系统。
[0051]
可选地，拒绝服务攻击模块640，包括：确定存活目标主机子模块，用于通过网际控制报文协议和传输控制协议，根据网络攻击信息，确定存活的目标主机；以及连接目标主机子模块，用于在存活的目标主机的端口提供可进行传输控制协议的服务的情况下，通过电力系统中的配电终端的拒绝服务攻击模块与存活的目标主机进行连接且不断开，促使存活的目标主机的服务无法正常处理。
[0052]
本发明的实施例的一种电力系统的网络攻击模拟系统600与本发明的另一个实施例的一种电力系统的网络攻击模拟方法相对应，在此不再赘述。
[0053]
本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。本申请实施例中的方案可以采用各种计算机语言实现，例如，面向对象的程序设计语言java和直译式脚本语言javascript等。
[0054]
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0055]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0056]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0057]
尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
[0058]
显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。