一种面向电力系统的网络安全平行训练平台

技术领域

本发明属于电力技术领域，尤其涉及一种面向电力系统的网络安全平行训练平台。

背景技术

电力系统是重要的工业系统，其运行、维护涉及大量的数据处理，由于电力系统规模庞大的特质，数据的处理需要通过信息网络进行。电力系统的运行需要使用人力进行，而由于电力系统的复杂的特质，需要长期保持对人员进行训练以降低运行事故发生的概率，而电力系统的人员分布广泛，不容易进行集中的培训。电力系统的正常运行关乎社会的问题，所以其相关的各项数据的处理都需要确保安全。

当前社会缺少能够满足大量数据处理、针对零散人员的培训以及安全需求的训练机制。

发明内容

为了解决或者改善上述问题，本发明提供了面向电力系统的网络安全平行训练平台，具体技术方案如下：

本发明提供一种面向电力系统的网络安全平行训练平台，包括：硬件资源层，用于为平行训练平台上层应用提供基础硬件资源，外接应用于场景构建的仿真物理设备；核心层，用于为平行训练平台驱动器，为平行训练平台提供包括场景仿真、数据采集、资源监控、分布式存储的基础核心能力；业务层，用于提供业务服务，所述业务服务涉及：综合管理子系统、资源库、教学培训子系统、安全研究研究子系统和攻防竞赛子系统。

优选的，所述基础硬件资源，包括：云平台，用于实现非本地的数据计算、网络通信和存储能力；计算资源，用于提供算力以实现指定的数据处理；网络资源，用于实现数据的传输；存储资源，用于实现数据的存储；安全资源，用于提供数据安全保证措施并实施。

优选的，所述综合管理子系统，用于提供运维管理服务、用户管理服务、安全管理服务、日志管理服务和公告管理服务；所述资源库，包括知识库、镜像库、工具库、漏洞库和场景库；教学培训子系统，用于提供课程管理服务、教学管理服务、培训学习服务、理论考试服务和题库管理服务；安全研究研究子系统，用于进行安全研究，进行研究成果的共享；攻防竞赛子系统，用于提供竞赛管理服务、赛事监控服务、阶段管理服务、赛题管理服务和竞赛大屏服务。

优选的，服务以docker容器的方式运行，基于docker-compose或k8s集成docker服务。

优选的，所述存储资源，包括：缓存Redis、数据库持久化存储Mysql、分布式存储FastDFS和时序数据库Prometheus。

优选的，所述竞赛管理服务，用于获取客户需求并配置下发，自定义竞赛模式，设置竞赛细节参数，针对比赛中的不同阶段进行状态监控；所述赛事监控服务，用于进行中的比赛以及对比赛的各阶段进行状态和资源的监控，设置防作弊机制和作弊处罚手段；所述阶段管理服务，用于将各个竞赛类型作为一个阶段，每个阶段设置准入条件，对单个竞赛阶段的独立管理，所述独立管理包括对阶段下的选手、题目、解题思路和各类竞赛展示榜单，进行统一管理；所述赛题管理服务，用于提供网络安全攻防题型及经典攻防对抗业务场景，包含夺旗赛赛题、闯关赛赛题、对抗赛赛题、领地赛赛题，以及对经典赛事的套题管理；所述竞赛大屏服务，用于设置可视化大屏，以展示竞赛数据。

优选的，采用高并发设计，并通过开源框架实现多个数据库的同步，其中，数据同步冲突算法包括单向回环补救和时间交集补救。

优选的，采用多源仿真目标的兼容性虚拟技术，以将现实场景中网络信息、协议流量、行为数据、实体设备和人员行为，进行平行仿真建模。

优选的，基于OpenNebula架构实现多源仿真目标的兼容性虚拟技术。

优选的，平台针对网络安全设备与方案测试、网络安全攻防竞赛与演练、网络安全攻防人才培训，采用可信安全检测及验证技术。

本发明的有益效果为：硬件资源层，用于为平行训练平台上层应用提供基础硬件资源，外接应用于场景构建的仿真物理设备；核心层，用于为平行训练平台驱动器，为平行训练平台提供包括场景仿真、数据采集、资源监控、分布式存储的基础核心能力；业务层，用于提供业务服务，所述业务服务涉及：综合管理子系统、资源库、教学培训子系统、安全研究研究子系统和攻防竞赛子系统，能够提供高质量的网络安全平行训练平台。

附图说明

图1是根据本发明的基于动态建模评估机制的云边协同母线负荷预测机制的示意图；

图2是根据本发明的训练平台构架示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

为解决背景提到的技术问题，本发明提供本发明提供如图1所示的一种面向电力系统的网络安全平行训练平台，包括：硬件资源层，用于为平行训练平台上层应用提供基础硬件资源，外接应用于场景构建的仿真物理设备；核心层，用于为平行训练平台驱动器，为平行训练平台提供包括场景仿真、数据采集、资源监控、分布式存储的基础核心能力；业务层，用于提供业务服务，所述业务服务涉及：综合管理子系统、资源库、教学培训子系统、安全研究研究子系统和攻防竞赛子系统。

平行训练平台设计的整体架构分为三层：硬件资源层、核心层、业务层。

硬件资源层作为基础设施为平行训练平台上层应用提供基础硬件资源，包含云平台、计算资源、网络资源、存储资源、安全资源，以及外接其他应用于场景构建的仿真物理设备。

核心层作为平行训练平台驱动器，为平行训练平台提供包括场景仿真、数据采集、资源监控、分布式存储等基础核心能力。

仿真引擎在容器管理、虚拟化管理、物理资源管理、SDN网络仿真等服务的基础上构建了四大核心引擎：仿真资源统一管理引擎、虚实结合引擎、网络编排引擎、场景构建引擎，从资源管理到整体场景构建编排仿真出多样化的贴近真实业务，包括复杂网络结构的安全场景。

仿真资源统一管理引擎，一方面通过对仿真资源的统一抽象，形成标准化的定义和描述，从而对虚拟机、容器、物理设备、网络等各种类型资源进行统一的管理。同时也对各类资源的异构管理平台的接入提供统一的接入标准才方式，在保证资源统一定义管理的基础上也保证了相关资源管理平台的接入和仿真资源的高可扩展。

虚实结合引擎，通过实到虚映射技术，将物理设备无差异映射成可编排仿真资源，同时支持无感知虚实资源统一编排，实现虚实的融合混合场景仿真。

网络编排引擎，通过SDN技术结合相关的虚拟网络设备，实现网络动态编排，从而实现场景拓扑所画即所得。同时通过VLAN、VXLAN结合虚拟网络设备，实现场景内多区域子网划分隔离，场景多场景间网络隔离，一方面保证了各仿真场景间不会互相影响，另一方面也支持同一场景也可以多份创建。

场景构建引擎，融合以上三大引擎的基础能力，完成场景的完整构建仿真。

如图2所示的训练平台构架示意图，框架包括：

上层：

综合管理系统，用于进行运维管理，用户管理，安全管理，日志管理，公告管理。

资源库，包括知识库，镜像库，工具库，漏洞库，场景库。

教学培训系统，用于进行课程管理，教学管理，培训学习，理论考试，题库管理。

安全研究系统，用于进行安全研究和成果共享。

攻防竞赛系统，用于进行竞赛管理，赛事监控，阶段管理，赛题管理，竞赛大屏。

中层：

仿真引擎，包括仿真资源统一管理引擎，虚实结合引擎，网络编排引擎，场景构建引擎；用于实现容器管理服务，化管理服务，物理资源管理服务，SDN网络仿真服务。分布式存储，数据采集服务，资源监控。

下层：

云平台，计算资源，网络资源，存储资源，安全资源，静态场景资源，其他外界物理设备。

上中下层，通过资源调用的方式进行交互。

分布式存储服务，对平台底层存储设备进行统一的管理，方便平台资源的统一存储和管理，同时也保证了存储资源的充分复用。

数据采集服务，通过对平行训练平台内相关环境的流量、日志等数据进行采集和存储，为上层业务对攻防和实验过程数据进行分析提供基础数据支撑。

资源监控服务，对平台内的各类资源包括虚拟的物理的资源进行统一的监控，反馈相关环境的运行状态，为上层运维管理提供基础数据支撑。

业务功能：平台包含了综合管理系统、资源库、教学培训系统、安全研究研究系统、攻防竞赛系统，能够满足客户培训、教学、实验、研究、测试、比赛等业务需求。

综合管理系统为整个平台提供运维管理、用户管理、安全管理、日志管理、公告管理等基础支撑，能够准确得知系统资源耗费情况，从而保证用户能够有效利用平台资源；

资源库为业务实现提供便利的资源和工具，平台包含漏洞库、知识库、工具库、镜像库和场景库，用户在业务场景下可以随时调用所需资源，并且资源支持横向扩展；

教学培训系统能够实现按照岗位技能和知识点的分类，有针对性对安全基础理论知识进行学习，并通过作业、实验与考试来验证知识掌握的熟练程度；

安全研究研究系统能够对真实防护场景进行仿真，用户可针对安全场景进行漏洞挖掘及安全研究，同时，也可以结合行业内的安全产品，通过配套实验，自己在真实的安全设备上动手操作，了解安全防护知识，加深对安全设备的理解。

攻防竞赛系统，平台通过理论+竞赛的综合考核形式，实现对学员的能力评估与学习成果的验证。不同的竞赛形态满足了不同的训练需求，竞赛系统内置了丰富的网络安全攻防题型及典型攻防对抗业务场景，针对竞赛配置、赛事监控、竞赛题目、积分、报表、题库、反作弊进行管理和维护。具有4种2D、3D可视化大屏竞赛数据展示，使竞赛过程更具趣味化，直观的展示竞赛结果。有效的开展网安人才培养、人才挖掘、人选选拔。

所述基础硬件资源，包括：云平台，用于实现非本地的数据计算、网络通信和存储能力；计算资源，用于提供算力以实现指定的数据处理；网络资源，用于实现数据的传输；存储资源，用于实现数据的存储；安全资源，用于提供数据安全保证措施并实施。

所述综合管理子系统，用于提供运维管理服务、用户管理服务、安全管理服务、日志管理服务和公告管理服务；所述资源库，包括知识库、镜像库、工具库、漏洞库和场景库；教学培训子系统，用于提供课程管理服务、教学管理服务、培训学习服务、理论考试服务和题库管理服务；安全研究研究子系统，用于进行安全研究，进行研究成果的共享；攻防竞赛子系统，用于提供竞赛管理服务、赛事监控服务、阶段管理服务、赛题管理服务和竞赛大屏服务。

服务以docker容器的方式运行，基于docker-compose或k8s集成docker服务。

本发明拟采用系统架构分为五层的技术路线，包括：第一层业务应用，第二层服务组件，第三层数据共享，第四层数据治理，第五层资源调取；其中，上两层提供功能和服务，第三、四层承上启下做数据适配、调度和治理，后期可以扩展数据分析和挖掘功能。底部“资源调取层”提供数据数据存储能力和仿真虚拟化资源支持。

其中上四层涉及的服务和组件均能输出docker镜像，最终是由docker-compose或k8s集成docker服务，将服务以docker容器的方式运行，具备很高的服务迁移性和扩展性，可以将应用服务对接上云。数据存储对接中心数据中心，若独立部署同样为docker化部署方式，具备上云的能力。

所述存储资源，包括：缓存Redis、数据库持久化存储Mysql、分布式存储FastDFS和时序数据库Prometheus。

整体架构前后端分离，前端使用Vue+ElementUI。API请求采用Restful风格，经过负载均衡将请求分配到网关SpringCloud Gateway。网关进行用户认证、权限校验等功能，鉴权基于OAuth2.0协议，采用sa-token进行访问控制。

服务之间采用消息队列RabbitMQ进行各业务关联的异步解耦。全局任务使用XXL-JOB进行统一调度。所有服务通过Nacos进行注册，并且对服务的配置进行动态管理。服务之间的同步RPC请求利用Nacos注册的信息，采用Feign进行通信。

服务存储分为四部分，缓存Redis、数据库持久化存储Mysql、分布式存储FastDFS和时序数据库Prometheus。

服务追踪采用Zipkin追踪服务调用链出现的问题，将各个服务信息交给Prometheus进行聚合分析，再由Grafana进行可视化展示。

所述竞赛管理服务，用于获取客户需求并配置下发，自定义竞赛模式，设置竞赛细节参数，针对比赛中的不同阶段进行状态监控；所述赛事监控服务，用于进行中的比赛以及对比赛的各阶段进行状态和资源的监控，设置防作弊机制和作弊处罚手段；所述阶段管理服务，用于将各个竞赛类型作为一个阶段，每个阶段设置准入条件，对单个竞赛阶段的独立管理，所述独立管理包括对阶段下的选手、题目、解题思路和各类竞赛展示榜单，进行统一管理；所述赛题管理服务，用于提供网络安全攻防题型及经典攻防对抗业务场景，包含CTF夺旗赛赛题(CTF(Capture The Flag)中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式)、BTC闯关赛赛题、AWD对抗赛赛题(AWD(Attack With Defense，攻防兼备)模式)、CTL领地赛赛题(CTL(The War for the NetworkSecurity CTL))，以及对经典赛事的套题管理；所述竞赛大屏服务，用于设置可视化大屏，以展示竞赛数据。

本发明拟开发的平台具备闯关赛功能，闯关赛是通过闯关的形式对特定场景进行渗透攻击，通过给出一个入口地址信息，要求参赛队伍能够在指定时间内拿到内网中指定主机/数据库内机密信息。通过场景的复杂度设定，可以对选手的综合渗透能力进行全面考核，让选手可以了解渗透攻击的完整过程。

本发明拟开发的平台具备对抗赛模式功能(AWD)，AWD(Attack With Defense，攻防兼备)模式是一个非常有意思的模式，提供网络隔离的真实对抗环境，供选手开展攻防角逐。能够对队伍的漏洞发现能力、漏洞利用能力、安全加固能力，团队分工协同作战等能力进行综合考核。

对抗赛需要在一场比赛里要扮演攻击方和防守方，攻者得分，失守者会被扣分。也就是说，攻击别人的靶机可以获取Flag分数时，别人会被扣分，同时你也要保护自己的主机不被别人得分，以防扣分。参赛队伍在网络空间互相进行攻击和防守，挖掘网络服务漏洞并攻击对手服务来得分，修补自身服务漏洞进行防御来避免丢分。

通常来说，如果对抗赛时间比较短的话，一般只会考核Web、数据库的渗透、已有漏洞的利用；如果时间较长，很可能还需要做内网渗透。

一般一个队伍由三人组成。负责两个方面：一方面负责防守加固、做基线、加WAF、流量回放等等。一方面负责源码审计、写攻击脚本、维持权限、持续渗透，具体怎么安排都视三人能力而定。

本发明拟开发的平台具备领地赛模式，这种竞赛模式由于实时性和综合性更强，需要很快的反应快速处置能力，和很强的综合能力以及丰富的实战经验，满足新形势下客户的创新需求和实战化需求。

领地赛，是一种混合赛制，它在夺旗赛解题和攻防对抗模式的基础上添加了领地争夺的形态，具有攻防兼备的特点，跟攻防赛不同的是，它没有固定的领地，不能事先加固防御，需要靠争夺去抢占领地，快速实现对领地的加固，以抵挡外来的争夺，在保住已攻占的领地的基础上，还要不断扩张自己的领地。因此，比赛的复杂性和难度大大提高，也因此增强了比赛的实战意义和趣味性，以及比赛的激烈程度，令网络安全赛事更加具有观赏性的同时也对队员的实战能力要求更高。

本发明拟开发的平台具备不同的竞赛形态满足了不同的训练需求，竞赛系统内置了丰富的网络安全攻防题型及经典攻防对抗业务场景，包含CTF夺旗赛赛题、BTC闯关赛赛题、AWD对抗赛赛题、CTL领地赛赛题，以及对经典赛事的套题管理。

平行训练平台支持单兵作战、多兵作战参赛形式，支持竞赛成绩以积分榜、奖牌榜、解题速度榜、题目视角榜、选手视角解题速度榜等多种形式统计导出，具有4种可视化大屏、4种分页实时动态可视化展示，具有16种2D、3D可视化大屏竞赛数据展示，支持技能领域方向展示，是竞赛过程更具趣味化，直观的展示竞赛结果。

采用高并发设计，并通过开源框架实现多个数据库的同步，其中，数据同步冲突算法包括单向回环补救和时间交集补救。

本发明拟采用高并发设计技术，维持平台稳定性。采用远程数据同步，通过开源框架实现多个数据库的同步，例如阿里的otter，底层为canal，模拟mysql的从库，实现日志解析并数据库入库，时间差较短，如果网络没有太大问题，可在秒级完成数据同步。数据同步冲突算法有两种：单向回环补救、时间交集补救。一般推荐使用单向回环补救，即：如果发现数据库A与数据库B的同步时间差大于某个数值，则根据pk查询最新记录同步到数据库中。而另一种算法时间交集补救，是根据“时间交集”的定义，获得双方数据库的“时间交叉的操作”清单，然后根据此清单执行单向回环补救。

采用多源仿真目标的兼容性虚拟技术，以将现实场景中网络信息、协议流量、行为数据、实体设备和人员行为，进行平行仿真建模。

本发明采用多源仿真目标的兼容性虚拟技术，将现实场景中网络信息、协议流量、行为数据、实体设备、人员行为等因素进行平行仿真建模，是本发明的关键点点。本发明充分利用了OpenNebula架构自带的各项前沿技术，且保持各项技术的独立性同时，组合在一起，形成兼容性良好，功能强大的技术框架，从而在保证技术架构的安全可靠前提下，实现真实场景的完整虚拟化。

基于OpenNebula架构实现多源仿真目标的兼容性虚拟技术。

平台针对网络安全设备与方案测试、网络安全攻防竞赛与演练、网络安全攻防人才培训，采用可信安全检测及验证技术。

本发明拟采用可信安全检测及验证技术，平台的应用范围目前主要针对网络安全设备与方案测试、网络安全攻防竞赛于演练、网络安全攻防人才培训，本次所开发平台具备高可靠与可信特性，该点是本次课题研究重点技术。借助可信计算、数字身份识别等技术，从接入底层硬件信息至终端应用数据，在不同节点上构建一条信任链，并通过数字身份识别对不同角色用户动态分配最小权限，确保平台运行的可靠与安全，同时，利用蜜罐、沙箱等技术，创造出一个可供运行各类实验武器、攻击工具与木马病毒等安全检测及验证空间，从而为公司构建主动防御体系提供参考依据。

本领域普通技术人员可以意识到，结合本实施例中所公开的实施例描述的各示例的单元，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本申请所提供的实施例中，应该理解到，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元可结合为一个单元，一个单元可拆分为多个单元，或一些特征可以忽略等。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。