基于轻量级虚拟化的工业控制系统安全仿真方法

技术领域

本发明属于工业控制系统安全技术领域，尤其涉及基于轻量级虚拟化的工业控制系统安全仿真方法。

背景技术

本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

随着信息化和工业化的深度融合，工业控制系统已经不是只运行于原来封闭的环境中，而需要与上层决策系统进行联动。

工业控制系统一旦与外界互联网进行联通，就在很大程度上降低了黑客的攻击成本，使得工业控制系统随时都可能面临木马病毒、消息窃取、消息篡改、重放攻击等传统计算机信息安全威胁。目前虽然有一些防护措施和手段，但是措施和手段是否有效，无法在真实环境中进行验证，否则可能会导致工控系统失效或宕机。

现有技术中，研究了基于云的软PLC系统架构，但是仅仅构建了一套工控系统仿真环境，不适用于实时性要求较高的工业控制系统，采用OPC-UA来完成通信，更多关注工业控制系统功能方面的仿真，安全仿真方面暂无考虑，因此，无法对真实环境中采用的Modbus、Profinet等协议进行仿真，也无法对安全特性及安全措施的有效性进行仿真。

发明内容

为克服上述现有技术的不足，本发明提供了基于轻量级虚拟化的工业控制系统安全仿真方法，不仅能够应用于工控系统漏洞扫描和挖掘；同时能够应用于工控安全产品有效性的验证。

为实现上述目的，本发明的一个或多个实施例提供了如下技术方案：

第一方面，公开了基于轻量级虚拟化的工业控制系统安全仿真方法，包括：

采用轻量级虚拟化技术模拟工业控制系统的五层；

其中，仿真过程中每一层均采用轻量级虚拟化技术构建底层环境，且进行快速批量部署，每一层直接的流量都用来进行抓取和分析。

作为进一步的技术方案，采用轻量级虚拟化技术模拟工业控制系统的五层，具体为：

在现场控制层和过程监控层采用硬件PLC与软PLC相结合的方式同时模拟硬实时和软实时；

在生产管理层和企业资源层采用轻量级虚拟化技术进行生产管理和企业资源管理系统的快速模拟；

现场设备层，通过轻量级虚拟化技术模拟设备执行及数据采集。

作为进一步的技术方案，在过程监控层与现场控制层通信过程中，将通信的双方部署在轻量级虚拟化容器中，模拟通信的Modbus Slave端与Master端。

作为进一步的技术方案，所述过程监控层与现场控制层通信过程中间的通信网络不采用轻量级虚拟化容器自带的网络，采用GNS来模拟工控系统中不同节点的通信链路。

作为进一步的技术方案，采用GNS来模拟工控系统中不同节点的通信链路，之后，通过Wireshark来抓取通信数据包，分析数据包数据流向。

作为进一步的技术方案，采用GNS来模拟工控系统中不同节点的通信链路，借助scapy工具模拟对工业控制系统的安全攻击。

第二方面，公开了一种工业控制系统，所述工业控制系统包括现场设备层、现场控制层、过程监控层、生产管理层、企业资源层；

采用轻量级虚拟化技术模拟工业控制系统的五层；

仿真过程中每一层均采用轻量级虚拟化技术构建底层环境，且进行快速批量部署，每一层直接的流量都用来进行抓取和分析。

作为进一步的技术方案，在现场控制层和过程监控层采用硬件PLC与软PLC相结合的方式同时模拟硬实时和软实时；

在生产管理层和企业资源层采用轻量级虚拟化技术进行生产管理和企业资源管理系统的快速模拟；

现场设备层，通过轻量级虚拟化技术模拟设备执行及数据采集。

作为进一步的技术方案，在过程监控层与现场控制层通信过程中，将通信的双方部署在轻量级虚拟化容器中，模拟通信的Modbus Slave端与Master端。

作为进一步的技术方案，所述过程监控层与现场控制层通信过程中间的通信网络不采用轻量级虚拟化容器自带的网络，采用GNS来模拟工控系统中不同节点的通信链路。

以上一个或多个技术方案存在以下有益效果：

本发明采用硬件PLC与软PLC相结合的方法，提高了系统验证的全面性和真实性，仿真环境更加接近真实情况；除此之外，通过仿真环境中的轻量级虚拟化容器，可以快速的部署生产管理层及企业资源层模拟仿真系统，不仅能够应用于工控系统漏洞扫描和挖掘；同时能够应用于工控安全产品有效性的验证。

本发明扩充了仿真范围，借助轻量级虚拟化技术模拟工业控制系统的五层，仿真过程中每一层都采用轻量级虚拟化技术来快速构建底层环境，且可以实现快速批量部署；每一层直接的流量都能够方便地进行抓取和分析。

本发明不仅仅完成软实时的仿真，而且兼顾硬实时等接近实际应用场景的仿真。

本发明除了完成功能仿真之外，重点对工业控制系统的安全进行了仿真，一方面提供漏洞挖掘和漏洞扫描的环境，另一方面提供了渗透测试环境，并且提供了用于验证安全措施有效性的环境。

本发明提出的工业控制系统安全仿真平台能够用于轻量级虚拟化容器的一键快速部署，且能够实现工业控制系统流量的可视化呈现功能，便于分析和呈现。

本发明附加方面的优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

构成本发明的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。

图1为本发明实施例系统图；

图2为本发明实施例仿真节点示意图；

图3为本发明实施例整体仿真节点示意图。

具体实施方式

应该指出，以下详细说明都是示例性的，旨在对本发明提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本发明的示例性实施方式。

在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

实施例一

参见附图2-3所示，本实施例公开了基于轻量级虚拟化的工业控制系统安全仿真方法，具体为：

对现场设备层、现场控制层、过程监控层、生产管理层、企业资源层中每一层都提出了模拟仿真。

在现场控制层和过程监控层采用硬件PLC与软PLC相结合的方法，提高了工业控制系统验证的真实性，使得仿真平台更加接近实际情况，同时模拟硬实时和软实时。在生产管理层和企业资源层采用轻量级虚拟化技术，实现生产管理和企业资源管理系统的快速模拟，轻量级虚拟化技术天然就具有模拟仿真特性，不仅能够快速批量部署，而且能够实现服务编排。在现场设备层，也通过轻量级虚拟化技术模拟设备执行及数据采集。

在过程监控层与现场控制层通信过程中，本发明将通信的双方也部署在轻量级虚拟化容器中，借助pymodbus等来模拟通信的Modbus Slave端与Master端；中间的通信网络不采用轻量级虚拟化容器自带的网络，而是采用GNS来模拟工控系统中不同节点的通信链路，便于后续抓取数据流量。

本发明通过GNS来模拟工控系统中不同节点的通信链路，在此基础上，可以通过Wireshark来抓取通信数据包，分析数据包数据流向；借助scapy等工具可以模拟对工业控制系统的安全攻击；除此之外，还可以依托该安全仿真环境，验证安全措施的有效性。

在过程监控层与现场控制层通信过程中，本发明将通信的双方也部署在轻量级虚拟化容器中，借助pymodbus等来模拟通信的Modbus Slave端与Master端；中间的通信网络不采用轻量级虚拟化容器自带的网络，而是采用GNS来模拟工控系统中不同节点的通信链路，便于后续抓取数据流量。

本发明通过GNS来模拟工控系统中不同节点的通信链路，依托网络仿真环境可以通过Wireshark来抓取通信数据包，分析数据包数据流向；依托工业控制系统安全仿真环境，借助scapy等工具可以模拟对工业控制系统的安全攻击；除此之外，还可以依托该安全仿真环境，验证安全措施的有效性，比如数据加密，身份认证，访问控制等。

本发明扩充了仿真范围，借助轻量级虚拟化技术模拟工业控制系统的五层，仿真过程中每一层都采用轻量级虚拟化技术来快速构建底层环境，且可以实现快速批量部署；每一层直接的流量都能够方便地进行抓取和分析；

本发明不仅仅完成软实时的仿真，而且兼顾硬实时等接近实际应用场景的仿真；

本发明除了完成功能仿真之外，重点对工业控制系统的安全进行了仿真，一方面提供漏洞挖掘和漏洞扫描的环境，另一方面提供了渗透测试环境，并且提供了用于验证安全措施有效性的环境；

本发明提出的工业控制系统安全仿真平台能够用于轻量级虚拟化容器的一键快速部署，且能够实现工业控制系统流量的可视化呈现功能，便于分析和呈现。

实施例二

参见附图1所示，本实施例的目的是提供一种工业控制系统，所述工业控制系统从底到上包含现场设备层、现场控制层、过程监控层、生产管理层、企业资源层共五层。

采用轻量级虚拟化技术模拟工业控制系统的五层；

仿真过程中每一层均采用轻量级虚拟化技术构建底层环境，且进行快速批量部署，每一层直接的流量都用来进行抓取和分析。

在现场控制层和过程监控层采用硬件PLC与软PLC相结合的方式同时模拟硬实时和软实时；

在生产管理层和企业资源层采用轻量级虚拟化技术进行生产管理和企业资源管理系统的快速模拟；

现场设备层，通过轻量级虚拟化技术模拟设备执行及数据采集。

本发明在现场控制层和过程监控层采用硬件PLC与软PLC相结合的方法，提高了工业控制系统验证的真实性，使得仿真平台更加接近实际情况，同时模拟硬实时和软实时。在生产管理层和企业资源层采用轻量级虚拟化技术，实现生产管理和企业资源管理系统的快速模拟，轻量级虚拟化技术天然就具有模拟仿真特性，不仅能够快速批量部署，而且能够实现服务编排。

在过程监控层与现场控制层通信过程中，将通信的双方部署在轻量级虚拟化容器中，模拟通信的Modbus Slave端与Master端。

所述过程监控层与现场控制层通信过程中间的通信网络不采用轻量级虚拟化容器自带的网络，采用GNS来模拟工控系统中不同节点的通信链路。

本发明针对基于云的软PLC系统架构研究更多关注工业控制系统功能方面的仿真，安全仿真方面暂无考虑的这一问题，且无法对真实环境中采用的Modbus、Profinet等协议进行仿真，本发明通过GNS来模拟工控系统中不同节点的通信链路，依托网络仿真环境可以通过Wireshark来抓取通信数据包，分析数据包数据流向；依托工业控制系统安全仿真环境，借助scapy等工具可以模拟对工业控制系统的安全攻击；除此之外，还可以依托该安全仿真环境，验证安全措施的有效性，比如数据加密，身份认证，访问控制等。

上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。