一种用于电网企业的网络攻击行为仿真系统及其仿真方法

技术领域

本发明涉及电力系统信息安全技术领域，尤其是一种用于电网企业的网络攻击行为仿真系统及其仿真方法。

背景技术

随着信息技术的不断发展，电网企业生产经营工作对信息系统的依赖程度越来越高。如何确保网络系统及其承载的信息系统和数据的安全也成为了信息安全工作的焦点。目前，企业信息安全防护主要依托防火墙和入侵检测系统等传统技术手段实现，这些传统的信息安全防护手段在应对当前各种各样的攻击手段时存在明显的局限性和不适用性，无法在提高检测速度的前提下同时提高攻击检测的准确度。

发明内容

本发明要解决的技术问题是提供一种用于电网企业的网络攻击行为仿真系统及其仿真方法，能够解决现有技术的不足，有效的提高了攻击行为的检测速度和准确性。

为解决上述技术问题，本发明所采取的技术方案如下。

一种用于电网企业的网络攻击行为仿真系统，包括，

数据包分配模块，用于对进入仿真系统的数据包分配路径IP地址；

若干个数据模拟模块，用于对接收的数据包进行模拟运行，每个数据模拟模块内设置有程序调用接口、数据通讯接口和安全探针接口；

预设程序数据库，用于存储预设程序，通过程序调用接口与数据模拟模块通讯连接；

安全探针监测模块，通过安全探针接口与数据模拟模块连接，用于对攻击行为进行监测；

攻击行为特征监控模块，通过数据通讯接口与数据模拟模块连接，用于对攻击行为特征进行提取和比对。

一种上述的用于电网企业的网络攻击行为仿真系统的仿真方法，包括以下步骤：

A、数据模拟模块根据仿真需求通过程序调用接口向预设程序数据库调取相应的程序数据，同时通过数据通讯接口将执行预设程序的数据模拟模块按照仿真需求进行通讯连接，并将数据包分配模块与对应的数据模拟模块通过数据通讯接口通讯连接；

B、数据包分配模块分配路径IP地址给数据包，数据包根据分配到的路径IP地址进入对应的数据模拟模块进行仿真运行；

C、攻击行为特征监控模块通过数据通讯接口对攻击行为进行特征的提取和比对，得到攻击行为特征集合；

D、安全探针监测模块通过安全探针接口向数据模拟模块部署安全探针，对攻击行为进行监测。

作为优选，步骤B中，数据模拟模块进行仿真运行包括以下步骤，

B1、数据模拟模块对原始数据包进行存档；

B2、数据模拟模块根据调取的程序数据对数据包进行运行，对运行过程中产生的中间数据进行存档，中间数据包括目标IP、数据类别和数据置信度；

B3、对存档的中间数据按照目标IP和数据类别进行二维聚类。

作为优选，步骤C中，攻击行为特征监控模块对攻击行为进行特征的提取和比对包括以下步骤，

C1、攻击行为特征监控模块采集数据模拟模块的输入流量数据和输出流量数据；

C2、对输入流量数据和输出流量数据按照步骤B3得到的聚类组别进行比对，得到可疑数据；

C3、对可疑数据进行样本筛选和分析得到攻击行为特征。

作为优选，步骤C2中，对每一组输入流量数据和输出流量数据进行比对包括以下步骤，

C21、建立输入流量数据和输出流量数据的关联函数集；

C22、对输入流量数据进行部分替换，使用替换前后关联函数线性度阈值作为约束条件，得到输入流量数据最大替换阈值；

C23、在输入流量数据最大替换阈值内对输入流量数据进行替换，根据关联函数集计算输入流量数据替换后对应的输出流量数据，使用原输出流量数据与输入流量数据替换后对应的输出流量数据进行比对，根据比对规则确定可疑数据。

作为优选，步骤C23中，

首先将输入流量数据分为若干个序列，每个序列进行若干连续字节替换，得到输出流量数据的变化序列；然后对每个输入流量数据序列进行字节间隔替换和/或字节间隔交换，得到输出流量数据的变化序列；最后对前后两次变化序列进行比对，若线性度高于50%，则判定为可疑数据。

作为优选，步骤C3中，对可疑数据进行样本筛选和分析包括以下步骤，

C31、分若干次向可疑数据中加入噪声数据分量，每次加入后进行数据重组，噪声数据分量的比例呈线性增加；

C32、对重组前的可疑数据分别进行聚类处理，得到若干个聚类中心，使用对应聚类组数据的平均数据置信度作为聚类中心的置信度，删除低于置信度阈值的聚类中心和对应的聚类组数据，然后使用得到的聚类中心对重组后的可疑数据进行聚类处理；

C33、在重组后的可疑数据中选定随着噪声数据分量增加，变化率不超过设定阈值的聚类分组，将选定的聚类分组对应的聚类中心集合作为攻击行为特征。

作为优选，步骤D中，部署安全探针，对攻击行为进行监测包括以下步骤，

D1、向每个数据模拟模块至少部署两个安全探针，每个数据模拟模块中的安全探针采用串行数据采集方式；

D2、位于数据采集最前端的安全探针对数据流进行全部采集，后续的安全探针在其前端安全探针采集的数据流中进行部分采集；

D3、将安全探针采集的数据流与步骤C得到的攻击行为特征集合进行比对，进行攻击行为监测。

作为优选，数据模拟模块上部署安全探针的初始数量和数据模拟模块的平均数据流量成正比。

作为优选，步骤D2中，后续安全探针进行部分采集的采集率为50%～80%。

作为优选，步骤D3中，数据流与攻击行为特征集合进行比对包括以下步骤，

D31、提取数据流中的IP地址数据、进程数据和堆栈溢出数据；

D32、根据数据类别分别与攻击行为特征集合进行比对，计算数据流中三类数据与攻击行为特征集合相似度的平均值；

D33、当步骤D32计算的相似度平均度超过报警阈值时，判定此数据流含有攻击行为。

采用上述技术方案所带来的有益效果在于：本发明通过对攻击行为的特征提取，采用特征比对的方式实现对数据流的实时监控。通过对中间数据进行二维分类，并根据分类结果将对应的输入流量数据和输出流量进行分组对比，可以降低运算量，加快可疑数据对比过程；与此同时，这种序列式对比判定方式使提取的特征具有显著的序列分布特点，可以很好的配合安全探针的串联部署方式，从而提高安全探针的数据分析效率。利用可疑数据对字节变化和噪声干扰的不敏感特性对可疑数据进行鉴别和特征提取，准确度高。采用串联方式部署安全探针，并在采集数据流过程中使用部分采集方式，可以进一步提高数据采集和分析效率。

附图说明

图1是本发明一个具体实施方式的结构图。

图中：1、数据包分配模块；2、数据模拟模块；21、程序调用接口；22、数据通讯接口；23、安全探针接口；3、预设程序数据库；4、安全探针监测模块；5、攻击行为特征监控模块。

具体实施方式

在以下实施例的描述中，为了说明而不是为了限定，提出了诸如特定系统结构、技术之类的具体细节，以便透彻理解本申请实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中，省略对众所周知的系统、装置、电路以及方法的详细说明，以免不必要的细节妨碍本申请的描述。

实施例1、

参照图1，本发明一个具体实施方式包括，

数据包分配模块1，用于对进入仿真系统的数据包分配路径IP地址；

若干个数据模拟模块2，用于对接收的数据包进行模拟运行，每个数据模拟模块2内设置有程序调用接口21、数据通讯接口22和安全探针接口23；

预设程序数据库3，用于存储预设程序，通过程序调用接口21与数据模拟模块2通讯连接；

安全探针监测模块4，通过安全探针接口23与数据模拟模块2连接，用于对攻击行为进行监测；

攻击行为特征监控模块5，通过数据通讯接口22与数据模拟模块2连接，用于对攻击行为特征进行提取和比对。

一种上述的用于电网企业的网络攻击行为仿真系统的仿真方法，包括以下步骤：

A、数据模拟模块2根据仿真需求通过程序调用接口21向预设程序数据库3调取相应的程序数据，同时通过数据通讯接口22将执行预设程序的数据模拟模块2按照仿真需求进行通讯连接，并将数据包分配模块1与对应的数据模拟模块2通过数据通讯接口22通讯连接；

B、数据包分配模块1分配路径IP地址给数据包，数据包根据分配到的路径IP地址进入对应的数据模拟模块2进行仿真运行；

C、攻击行为特征监控模块5通过数据通讯接口22对攻击行为进行特征的提取和比对，得到攻击行为特征集合；

D、安全探针监测模块4通过安全探针接口23向数据模拟模块2部署安全探针，对攻击行为进行监测。

步骤B中，数据模拟模块2进行仿真运行包括以下步骤，

B1、数据模拟模块2对原始数据包进行存档；

B2、数据模拟模块2根据调取的程序数据对数据包进行运行，对运行过程中产生的中间数据进行存档，中间数据包括目标IP、数据类别和数据置信度；

B3、对存档的中间数据按照目标IP和数据类别进行二维聚类。

步骤C中，攻击行为特征监控模块5对攻击行为进行特征的提取和比对包括以下步骤，

C1、攻击行为特征监控模块5采集数据模拟模块2的输入流量数据和输出流量数据；

C2、对输入流量数据和输出流量数据按照步骤B3得到的聚类组别进行比对，得到可疑数据；

C3、对可疑数据进行样本筛选和分析得到攻击行为特征。

步骤C2中，对每一组输入流量数据和输出流量数据进行比对包括以下步骤，

C21、建立输入流量数据和输出流量数据的关联函数集；

C22、对输入流量数据进行部分替换，使用替换前后关联函数线性度阈值作为约束条件，得到输入流量数据最大替换阈值；线性度阈值优选为0.5%；

C23、在输入流量数据最大替换阈值内对输入流量数据进行替换，根据关联函数集计算输入流量数据替换后对应的输出流量数据，使用原输出流量数据与输入流量数据替换后对应的输出流量数据进行比对，根据比对规则确定可疑数据。

步骤C23中，

首先将输入流量数据分为若干个序列，每个序列进行若干连续字节替换，得到输出流量数据的变化序列；然后对每个输入流量数据序列进行字节间隔替换和/或字节间隔交换，得到输出流量数据的变化序列；最后对前后两次变化序列进行比对，若线性度高于50%，则判定为可疑数据。

步骤C3中，对可疑数据进行样本筛选和分析包括以下步骤，

C31、分若干次向可疑数据中加入噪声数据分量，每次加入后进行数据重组，噪声数据分量的比例呈线性增加；

C32、对重组前的可疑数据分别进行聚类处理，得到若干个聚类中心，使用对应聚类组数据的平均数据置信度作为聚类中心的置信度，删除低于置信度阈值的聚类中心和对应的聚类组数据，然后使用得到的聚类中心对重组后的可疑数据进行聚类处理；置信度阈值优选为90%；

C33、在重组后的可疑数据中选定随着噪声数据分量增加，变化率不超过设定阈值的聚类分组，将选定的聚类分组对应的聚类中心集合作为攻击行为特征；设定阈值优选为15%。

步骤D中，部署安全探针，对攻击行为进行监测包括以下步骤，

D1、向每个数据模拟模块2至少部署两个安全探针，每个数据模拟模块2中的安全探针采用串行数据采集方式；

D2、位于数据采集最前端的安全探针对数据流进行全部采集，后续的安全探针在其前端安全探针采集的数据流中进行部分采集；

D3、将安全探针采集的数据流与步骤C得到的攻击行为特征集合进行比对，进行攻击行为监测。

数据模拟模块2上部署安全探针的初始数量和数据模拟模块2的平均数据流量成正比。

步骤D2中，后续安全探针进行部分采集的采集率为50%～80%。

步骤D3中，数据流与攻击行为特征集合进行比对包括以下步骤，

D31、提取数据流中的IP地址数据、进程数据和堆栈溢出数据；

D32、根据数据类别分别与攻击行为特征集合进行比对，计算数据流中三类数据与攻击行为特征集合相似度的平均值；

D33、当步骤D32计算的相似度平均度超过报警阈值时，判定此数据流含有攻击行为；报警阈值优选为75%。

数据模拟模块2部署的安全探针数量是动态调整的，当数据模拟模块2出现攻击行为报警的次数持续增加时，提高安全探针的数量，将新加的安全探针部署在最后端，当数据模拟模块2出现攻击行为报警的次数持续减少时，减少安全探针的数量，优先删除最后端的安全探针。

对于进行部分采集的安全探针，在其前一级安全探针的报警数据位置两侧优先进行数据流采集，数据流采集密度与采集点和前一级安全探针报警数据位置的距离成反比。

当安全探针的总数增加时，提高新增加安全探针的前一级安全探针的数据流采集率。

本发明在国网冀北电力有限公司参加的京津冀供电保障联合应 急演练中进行实验，展现出了对网络攻击行为的高效率识别和拦截效 果。

在本发明的描述中，需要理解的是，术语“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

在各个实施例中，技术的硬件实现可以直接采用现有的智能设备，包括但不限于工控机、PC机、智能手机、手持单机、落地式单机等。其输入设备优选采用屏幕键盘，其数据存储和计算模块采用现有的存储器、计算器、控制器，其内部通信模块采用现有的通信端口和协议，其远程通信采用现有的gprs网络、万维互联网等。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本发明所提供的实施例中，应该理解到，所揭露的装置/终端设备和方法，可以通过其它的方式实现。例如，以上所描述的装置/终端设备实施例仅仅是示意性的，例如，模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口，装置或单元的间接耦合或通讯连接，可以是电性，机械或其它的形式。作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。。其中，计算机程序包括计算机程序代码，计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括：能够携带计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Acces Memory，RAM)、电载波信号、电信信号以及软件分发介质等。需要说明的是，计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。