本发明涉及工业控制系统安全领域,特别是涉及一种应用于工业控制系统的网络攻击模拟系统。
背景技术:
工业控制系统(industrialcontrolsystem)广泛的应用于关键基础设施中,包括发电、电网、交通运输、石油石化、公共服务和生产制造等产业领域。近年来,随着信息通信技术的高速发展,工业控制系统广泛采用新型信息通信技术,许多工业控制系统的设备连接互联网,并且呈现逐年上升的趋势。工业控制系统控制着实际的物理生产工艺,一旦遭受网络攻击可能会造成更为严重的后果。在传统的it网络中难以准确模拟针对工业控制系统的网络攻击行为,也就无法开发和验证针对性的安全防护技术。
现有技术中已经存在工业控制系统网络攻击的模拟方法,且主要是针对某种工业控制设备、系统或协议开展网络攻击模拟,并提出安全加固或安全防护方案。
无法针对控制系统或企业网络进行完整的攻击模拟,也就无法模拟真实发生过的工业控制系统网络攻击事件。
技术实现要素:
基于此,有必要针对上述的问题,提供一种应用于工业控制系统的网络攻击模拟系统,包括:
仿真区,包含有适用于工业控制系统的硬件、软件,所述仿真区用于模拟的工业控制系统环境;
监管区,与所述仿真区连接,用于监管、测试所述仿真区处于网络攻击下的数据流动;以及
攻击端,用于向所述仿真区发起网络攻击。
提供一种应用于工业控制系统的网络攻击模拟系统,通过对真实的工业控制系统进行仿真,将适用于工业控制系统的软件、硬件构建成仿真区,用于仿真工业控制系统中的各个部分,同时设置了攻击端,对仿真区进行攻击,模拟实际中工业控制系统被攻击的情形,同时还设置监管区,对仿真区内部的固有数据以及数据流动进行收集,储存。本发明建立了一个完整的对工业控制系统进行仿真测试的系统,能够直观地模拟网络攻击对工业控制系统进行攻击产生的影响,并且通过在模拟系统上对防护、检测组件进行测试,测试效果更加真实有效。
附图说明
图1为一个实施例中提供的一种应用于工业控制系统的网络攻击模拟系统示意图;
图2为一个实施例中提供的一种应用于工业控制系统的网络攻击模拟系统各功能结构之间的时序图;
图3为一个实施例中计算机设备的内部结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
可以理解,本申请所使用的术语“第一”、“第二”等可在本文中用于描述各种元件,但除非特别说明,这些元件不受这些术语限制。这些术语仅用于将第一个元件与另一个元件区分。举例来说,在不脱离本申请的范围的情况下,可以将第一xx脚本称为第二xx脚本,且类似地,可将第二xx脚本称为第一xx脚本。
图1为本发明实施例提供的一种应用于工业控制系统的网络攻击模拟系统示意图包括:
仿真区110,包含有适用于工业控制系统的硬件、软件,所述仿真区110用于模拟工业控制系统环境;
监管区120,与所述仿真区110连接,用于监管、测试所述仿真区110处于网络攻击下的数据流动;以及
攻击端130,用于向所述仿真区110发起网络攻击。
在本发明的一个实施例中,仿真区110能够和互联网连接,仿真区110中包含的硬件软件是能够应用于工业控制系统的硬件与软件,硬件可以包括计算机设备,计算机设备可以是独立的物理服务器或终端,也可以是多个物理服务器构成的服务器集群,可以是提供云服务器、云数据库、云存储和cdn等基础云计算服务的云服务器。还可以包括对生产设备进行控制的控制器,如可编程控制器、断路器、继电器等。还可以包括生产设备,可以用电机、电表等进行模拟仿真。软件可以是硬件设备的操作系统、控制系统,或者设备与设备之间的通信协议。
在本发明的一个实施例中,监管区120与仿真区110之间连接,可以通过通信线缆直接进行连接,可以和仿真区110中各个硬件进行有线连接,能够直接获取硬件设备的数据,也可以直接向硬件设备发送数据。监管区120中包括硬件设备和软件实体,如计算机设备和操作系统。计算机设备可以是独立的物理服务器或终端,也可以是多个物理服务器构成的服务器集群,可以是提供云服务器、云数据库、云存储和cdn等基础云计算服务的云服务器。监管区120会对仿真区110内的数据进行备份、储存,当仿真区110内需要传输数据时,会同步向监管区120发送一份相同的数据,且当仿真区110内发生数据丢失、文件锁定,或者系统崩溃时,监管区120能够将对应数据发送至仿真区110使其恢复。
在本发明的一个实施例中,攻击端130能够连接互联网,进而通过互联网和仿真区110连接,攻击端130向仿真区110发动网络攻击,可以发送计算机病毒进行网络攻击,对于破坏性较强的网络攻击类型,也可以发送仿真的具有攻击计算机功能的攻击数据进行网络攻击。攻击端可以是计算机设备,计算机设备可以是独立的物理服务器或终端,也可以是多个物理服务器构成的服务器集群,可以是提供云服务器、云数据库、云存储和cdn等基础云计算服务的云服务器。
在本发明实施例中,仿真区110、攻击端130、监管区120之间相互连接,共同配合,模拟仿真出一个工业控制测试系统,便于直观地模拟网络攻击对工业控制系统进行攻击产生的影响,并且通过在模拟系统上对防护、检测组件进行测试,测试效果更加真实有效。
在本发明的一种实施例中,所述仿真区110包括:
网络服务端111,与互联网连接,包括若干网络服务器,仿真工业企业业务网络中的服务器,此部分直接连接互联网;
数据服务端114,与所述网络服务端111连接,包括若干数据服务器,用于仿真控制服务器和历史数据服务器;;
执行区113,与所述操作端112连接,用于仿真工业控制系统中执行控制命令的控制器和执行器;
操作端112,连接服务端与所述执行区113,用于仿真工业控制系统中操作人员实施生产控制的操作站;以及
移动存储介质端,能够储存数据,用于所述网络数据服务端114与所述操作端112之间的数据交换。
在本发明的一个实施例中,网络服务端111主要为仿真区110提供网络服务,网络服务端111可以是网络服务器,更具体的可以包括wab服务器、邮件服务器、fpt服务器等。
在本发明的一个实施例中,数据服务端114主要为仿真区110提供控制服务器和历史数据服务。
在本发明的一个实施例中,执行区113主要是执行工业控制系统的控制命令,并控制工业生产设备进行工业生产,执行区113中可以包括可编程控制器、断路器、继电器等。
在本发明的一个实施例中,操作端112和网络服务端111或数据服务端114进行连接,同时与执行区113进行连接,操作端112可以是工程师站、操作员站等可被直接操作的计算机。
在本发明的一个实施例中,移动存储介质为便携的能够进行数据储存的储存介质,移动储存介质能够在网络服务端111和操作端112进行移动数据传输。
在本发明的一个实施例中,被执行区113控制的生产设备和操作端112能够共同模拟若干工业控制场景。如若干可编程控制器和电机组成火电厂生产场景,可编程控制器和操作端112通过相应的工业协议同连通,如ehernet/ip协议、modbus/tcp协议等;若干可编程控制器和电机组成轨道交通场景,可编程控制器和操作端112通过相应的工业协议同连通,如s7协议。能够最大程度还原工业控制中的场景,同时减少成本,在系统损坏时既能还原到网络攻击造成的影响,也能减少成本的投入。
在本发明的一个实施例中,网络服务端111和互联网通过防火墙连接,网络服务端111和数据服务端114通过防火墙连接,仿真区110和监管区120通过防火墙连接。
在本发明的一种实施例中,所述监管区120包括:
监管服务端,包括若干服务器,用于收集、备份所述仿真区110中产生、储存的仿真数据,所述仿真数据包括系统数据、防护数据、测试数据,或者攻击数据;以及
工作端,用于对所述仿真数据进行分析、恢复。
在本发明的一个实施例中,监管服务端包括若干服务器和计算机,能够收集并备份仿真区110中固有的以及传输的仿真数据,仿真数据包括仿真区110固有的系统数据,用于控制的控制数据,用于防护的防护数据,用于测试的测试数据,用于网络攻击过程中产生的攻击数据等。
在本发明的一个实施例中,工作端可由操作人员进行操作,对于仿真区110内的数据备份、数据流通进行操作,或者网络攻击过程中对仿真区110状态进行监控,或者在测试防护组件、检测组件时对仿真区110状态进行监控。
在本发明的一种实施例中,所述执行区113包括用于电网系统的集中器、用于智能制造的数控机床,所述执行区113直接与所述数据服务端114连接。
在本发明的一个实施例中,执行区113还可以形成智能电网场景或者智能制造场景。通过集中器和数据服务端114直接通过vpn进行连接,集中器和智能电表连接,形成智能电网场景。能够最大程度还原实际中的工业控制场景。
在本发明的一种实施例中,所述操作端112包括若干操作员站和工程师站,用于仿真工业控制系统中操作员和工程师的操作站;
所述执行区113包括若干可编程逻辑控制器,且所述可编程逻辑控制器与所述操作端112通过工业交换机连接。
在本发明的一个实施例中,操作端112包括若干由计算机组成,计算机之间可以连通以传输数据,也可以共同和其中一台计算机连接;计算机能够直接被工程师或者操作员操作,工业控制系统中的执行端也就是控制器需要能够被写入程序或者在计算机的控制下向生产设备发出控制指令,以完成相应的工业生产,操作人员即通过操作操作端112的计算机来对执行端发出相应的数据。
在本发明实施例中,通过构建一个完整的工业控制系统,将工业控制系统中的服务器、计算机、生产设备这些硬件,以及其中附带的软件、连接关系进行完整的模拟仿真,能够真实还原实际的工业控制系统。
在本发明的一个实施例中,执行区113包括若干可编程控制器,可编程控制器与操作端112通过有线或无线连接进行数据传输,同时根据不同的工业控制场景,设置相对应的通信协议,使两者之间进行有效的数据传输。进一步地,执行区113通过工业交换机与操作端112进行连接,方便数据的处理与传输。
在本发明的一种实施例中,所述攻击端130用于向所述网络服务端111发送邮件,所述邮件中隐藏有第一攻击数据,所述网络服务端111打开所述邮件并运行所述攻击数据,使所述攻击端130获取所述网络服务端111权限;
所述攻击端130还用于向所述数据服务端114发送第二攻击数据,所述第二攻击数据用于攻击所述数据服务端114固有漏洞,并获取所述数据服务端114权限,所述第二攻击数据还用于攻击所述操作端112固有漏洞,并获取所述操作端112权限;
所述攻击端130通过所述获取权限后的操作端112向所述执行区113发送控制指令,所述控制指令包括停止、中断,或者运转等指令;
所述数据服务端114还用于,在被所述攻击端130获取权限后,向所述攻击端130发送攻击端130所需数据。
在本发明的一个实施例中,攻击端130通过互联网向网络服务端111发送邮件,邮件可以是鱼叉式钓鱼邮件,邮件中包含有一个附件,附件为微软powerpoint文件格式的演示文稿,同时附件中还包括第一攻击数据,此时功能机数据可以攻击仿真区110中操作系统的固有漏洞,如cve-2014-4114漏洞;此时第一攻击数据可以是一个特洛伊木马病毒,在工作人员打开附件中的文件时,恶意软件被运行,网络服务端111的访问权限被攻击端130获取,攻击端130即可访问仿真区110的网络系统。
在本发明的一个实施例中,攻击端130在获取网络服务器的访问权限后,可以潜伏在网络系统中,也可以继续攻击仿真区110的数据服务器,攻击端130向仿真区110发送第二攻击数据,此时第二攻击数据用于攻击操作系统中固有漏洞,如cve-2008-4250漏洞,该漏洞允许通过远程过程调用rpc(remoteprocedurecall,远程过程调用)服务执行任意代码,进而获取组态王服务器的控制权限。同时,可以继续利用同一个漏洞,即cve-2008-4250漏洞继续对操作端112进行攻击,再获取操作端112的控制权限。
在本发明的一个实施例中,在攻击端130获取到操作端112的控制权限后,再通过操作端112向执行端发送控制指令,此时发送的为破坏性的控制指令,如对火力发电场景的plc(programmablelogiccontroller,可编程逻辑控制器)发送停机指令,使与其连接的电机停机,直接造成火力发电场景的工作停止,同时火电场景可以和轨道交通之间连接,仿真实际的场景,进而产生联动效应,即轨道交通场景同步瘫痪,更加接近实际网络攻击的破坏力。另外,还可以像控制器发送如中断、运行等指令,如向智能电网环境中的断路器发送断开指令,导致电网瘫痪。向智能制造环境中的交给你中心发送运行指令使其损坏。
在本发明的一个实施例中,在攻击端130获取数据服务端114的控制权限后,向数据服务端114的服务器调取数据,数据服务端114通过互联网将数据发送至攻击端130,攻击端130成功窃取仿真区110的数据。此时的数据一般为重要的控制数据或者系统漏洞数据等。
在本发明实施例中,在攻击端130攻击仿真区110时,仿真区110内部的各个服务器、计算机之间发送的数据,都会在发送时向监管区120发送一份数据,且服务器或者计算机内部的系统数据也会在监管区120内备份储存。一方面监管区120能够在网络功能机后仿真区110内的服务器或者计算机崩溃或者数据丢失后进行镜像恢复;一方面能够通过分析仿真数据对网络攻击进行观察,方便直观地了解网络攻击对仿真区110内各个部分的破坏影响情况。
本发明实施例可以对针对性网络攻击进行模拟仿真,针对性网络攻击是针对特定目标开展的有组织、有计划的网络攻击破坏活动,也被称为高级可持续攻击(也称apt攻击)。针对性网络攻击具有隐蔽性高、攻击目标明确、技术手段复杂,并且可能长期潜伏并对企业进行持续攻击从而达到攻击目的。本发明提供了针对cve-2014-4114漏洞并利用鱼叉式钓鱼软件的网络功能机方式,还可以是针对cve-2008-4250漏洞的并利用内网渗透的方式进行的网络攻击;还可以是针对exploit-db:19831漏洞的并利用ics攻击的方式进行的网络攻击。
本发明通过在仿真的完整的工业控制系统上进行网络攻击,能够真实地反映网络攻击的实际流程,直观地反映网络攻击对工业控制系统各个部分的影响破坏程度,进而为进一步工业控制系统的防御、检测提供方便。
在本发明的一种实施例中,所述攻击端130用于向网络服务端111发送邮件,所述邮件中包含第三攻击数据;所述外部储存介质用于将所述第三攻击数据传输至操作端112;运行第三攻击数据,对所有文件进行加密,使所述操作端112失去操作权限。
在本发明实施例中,攻击端130向网络服务端111发送邮件,邮件为包含有第三攻击数据的钓鱼软件,第三攻击数据可以是wannacry勒索软件,wannacry勒索软件感染服务器并加密服务器文件,此时将移动储存介质连接被感染服务器,并复制文件至操作端112的计算机,wannacry蠕虫利用操作端112的固有漏洞进行扩散,感染整个操作端112的计算机,并加密文件。此处利用的计算机系统固有漏洞可以是cve-2017-11780漏洞,此处是模拟实际工业控制系统中工作人员为了对系统维护升级在网络服务端111与操作端112利用u盘复制移动文件的过程。
本发明实施例是针对网络攻击中的非针对性攻击进行模拟仿真,能够真实地反映网络攻击的实际流程,直观地反映网络攻击对工业控制系统各个部分的影响破坏程度,进而为进一步工业控制系统的防御、检测提供方便。
在本发明的一种实施例中,所述攻击端130发出所述邮件满足第一预设时间后,再次向所述网络服务端111发送邮件,且连续发送不同邮件持续时长满足第二预设时间;
所述相邻的邮件中隐藏的第一攻击数据针对不同的固有漏洞;或者
所述相邻的邮件中隐藏的第三攻击数据针对不同的固有漏洞。
在本发明实施例中,攻击端130能够连续多次对网络服务端111发动网络攻击,每次攻击之间间隔的时间满足设定的第一预设时间,并且连续的攻击能够持续一段时间,持续的时间满足第二预设攻击时间。并且每次攻击所针对的固有漏洞可以是不同的,这样更加真实地模拟仿真出实际中对工业控制系统发动的网络攻击,对防御、测试软件更加真实、有效。
在本发明的一种实施例中,所述仿真区110还用于对安装于所述仿真区110的防护组件、检测组件进行测试,所述防护组件用于在所述攻击端130攻击所述仿真区110时,拦截所述攻击端130的攻击,或者发出告警信息;所述检测组件用于检测所述仿真区110的被攻击状态,当检测到所述仿真区110被攻击时,发出告警信息。
在本发明的一个实施例中,仿真区110还用于安装运行防护组件,或者检测组件,对防护组件的防护网络攻击的功能进行测试,对检测组件检测网络攻击的功能进行测试。防护组件在仿真区110受到网络攻击时,判断是否为网络攻击,一种情况是判断为网络攻击时,对网络攻击进行拦截;一种情况是无法确定是否为网络攻击,此时不能直接进行拦截,否则会影响正常的工业生产,造成经济损失,则此时发出告警信息,由工作人员进行处理。检测组件在检测到网络攻击或者疑似网络攻击时直接发出告警信息,由工作人员进行处理。不同的防护组件或者检测组件安装于仿真区110的不同位置,针对网络服务的防护、检测组件可以安装于网络服务端111或者数据服务端114,针对工业控制的防护、检测组件安装于操作端112或者执行端。
在本发明实施例中,通过对不同种类的防护、检测组件在不同的位置安装、运行,在此基础上进行不同的网络攻击,能够直观地反映防护或者检测组件的防护检测、效果。
如图2,在本发明的一种实施例中,所述模拟系统用于执行以下流程:
所述攻击端130攻击所述仿真区110,所述监管区120获取所述仿真区110仿真状态,当判断所述仿真区110被成功攻击后,生成所述仿真区110第一数据流动记录,并恢复所述仿真区110数据,所述攻击端130生成第一攻击记录;
所述仿真区110中服务端或者操作端112运行所述防护组件或者检测组件,所述攻击端130攻击所述仿真区110,所述监管区120实时获取所述仿真区110内数据流动,在攻击结束后生成第二数据流动记录,所述攻击端130生成第二攻击记录;
所述第二攻击记录与所述第二数据流动记录综合与第一攻击记录、第一数据流动记录对比,用于评估所述防护组件或者检测组件的防护、检测效果。
在本发明的一个实施例中,攻击端130先对仿真区110发动网络攻击,攻击过程中,监管区120实时获取仿真区110内的数据流动,并且获取仿真区110内操作系统,控制系统等数据,在攻击端130成功攻击仿真区110后,即工业生产场景中的电机停止运转,或者仿真区110内的服务器、计算机文件被加密锁定等,监管区120根据仿真区110的数据流动以及计算机的程序运行情况,生成第一数据流动记录,攻击端130生成第一攻击记录,监管区120将仿真区110的数据恢复,仿真区110被还原为被网络攻击前的状态。第一攻击记录记录了攻击端130发动的攻击时间、攻击次数、攻击类型、攻击路径、攻击针对漏洞等信息;第一数据流动记录记录了仿真区110内产生数据流动的时间、数据流动的对象,或者数据流动的内容等信息。
对于想要被测试的防护组件或者检测组件,将其安装或部署至仿真区110的服务器、计算机或网络环境中,并运行软件形式的防护组件或者检测组件,同时攻击端130再次向仿真区110发动相同的网络攻击,此时在监管区120实时获取仿真区110的数据流动,直至攻击端130发动的网络攻击完成,监管区120生成第二数据流动信息,攻击端130第二攻击信息。此时第二数据流动信息不仅包括产生数据流动的时间、数据流动的对象、数据流动的内容,还可以包括各种软件的运行情况,如防护组件、检测组件的运行情况。
将第二攻击记录、第二数据流动记录综合与第一攻击记录、第一数据流动记录进行对比。对于防护组件,一种情况是防护组件防护成功,可以通过仿真区110内实体硬件、软件的状态确定防护组件是否成功防护,如电机继续保持运转,系统状态与网络攻击前状态相比未发生改变等判断软件防护成功,也可通过数据流动判断防护组件是否防护成功,如系统数据是否被窃取,控制数据是否异常来判断是否防护成功。一种情况是防护组件防护成功,即攻击端130成功对仿真区110的数据窃取,或者成功加密文件,或者成功发出对执行区113的控制指令等。此时可通过监管区120记录的数据分析攻击端130在哪个环节突破防御,方便对防护组件和工业控制系统进一步完善。对于检测组件,可以通过是否发出告警信息判断是否检测成功。
进一步地,本发明还可以在安装并运行防护、检测组件后,攻击端130采用不同的攻击手段进行攻击,同时还可以在仿真区110发送正常的邮件或者正常的针对执行区113的控制指令,用于干扰检测、防护组件的功能,进而用以评估检测、防护组件的成功率,以及漏报率、误报率;不仅更加真实地模拟仿真了实际运行的工业控制系统,还能够真实地仿真实际的网络攻击,和工业生产,测试结果更加真实准确。
图3示出了一个实施例中计算机设备的内部结构图。该计算机设备具体可以是图1中的攻击端130或网络服务端111或数据服务端114或操作端112或监管区中120中的监管服务端、工作端。该计算机设备包括该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、输入装置和显示屏。其中,存储器包括非易失性存储介质和内存储器。该计算机设备的非易失性存储介质存储有操作系统,还可存储有计算机程序,该计算机程序被处理器执行时,可使得处理器实现如图2实施例所示的流程。该内存储器中也可储存有计算机程序,该计算机程序被处理器执行时,可使得处理器执行如图2实施例所示的流程。计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图3中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
应该理解的是,虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限,ram以多种形式可得,诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
1.一种应用于工业控制系统的网络攻击模拟系统,所述模拟系统包括:
仿真区,包含有适用于工业控制系统的硬件、软件,所述仿真区用于模拟的工业控制系统环境;
监管区,与所述仿真区连接,用于监管、测试所述仿真区处于网络攻击下的数据流动;以及
攻击端,用于向所述仿真区发起网络攻击。
2.根据权利要求1所述的模拟系统,其特征在于,所述仿真区包括:
网络服务端,与互联网连接,包括若干网络服务器,用于仿真工业企业业务网络中的服务器;
数据服务端,与所述网络服务端连接,包括若干服务器,用于仿真控制服务器和历史数据服务器;
执行区,与所述操作端连接,用于仿真工业控制系统中执行控制命令的控制器和执行器;
操作端,连接所述服务区与所述执行区,用于仿真工业控制系统中操作人员实施生产控制的操作站;以及
移动存储介质,能够储存数据,用于所述网络数据服务端与所述操作端之间的数据交换。
3.根据权利要求1所述的模拟系统,其特征在于,所述监管区包括:
监管服务端,包括若干服务器,用于收集、备份所述仿真区中产生、储存的仿真数据,所述仿真数据包括系统数据、防护数据、测试数据,或者攻击数据;以及
工作端,用于对所述仿真数据进行分析、恢复。
4.根据权利要求2所述的模拟系统,其特征在于,所述执行区包括用于电网系统的集中器、用于智能制造的数控机床,所述执行区直接与所述数据服务端连接。
5.根据权利要求4所述的模拟系统,其特征在于,所述操作端包括若干操作员站和工程师站,用于仿真工业控制系统中操作员和工程师的操作站;
所述执行区包括若干可编程逻辑控制器,且所述可编程逻辑控制器与所述操作端通过工业交换机连接。
6.根据权利要求2所述的模拟系统,其特征在于,
所述攻击端用于向所述网络服务端发送邮件,所述邮件中隐藏有第一攻击数据,所述网络服务端打开所述邮件并运行所述攻击数据,使所述攻击端获取所述网络服务端权限;
所述攻击端还用于向所述数据服务端发送第二攻击数据,所述第二攻击数据用于攻击所述数据服务端固有漏洞,并获取所述数据服务端权限,所述第二攻击数据还用于攻击所述操作端固有漏洞,并获取所述操作端权限;
所述攻击端通过所述获取权限后的操作端向所述执行区发送控制指令,所述控制指令包括停止、中断,或者运转等指令;
所述数据服务端还用于,在被所述攻击端获取权限后,向所述攻击端发送攻击端所需数据。
7.根据权利要求4所述的模拟系统,其特征在于,所述攻击端用于向网络服务端发送邮件,所述邮件中包含第三攻击数据;所述外部储存介质用于将所述第三攻击数据传输至操作端;运行第三攻击数据,对所有文件进行加密,使所述操作端失去操作权限。
8.根据权利要求6或7所述的模拟系统,其特征在于,
所述攻击端发出所述邮件满足第一预设时间后,再次向所述网络服务端发送邮件,且连续发送不同邮件持续时长满足第二预设时间;
所述相邻的邮件中隐藏的第一攻击数据针对不同的固有漏洞;或者
所述相邻的邮件中隐藏的第三攻击数据针对不同的固有漏洞。
9.根据权利要求2所述的模拟系统,其特征在于,
所述仿真区还用于对安装于所述仿真区的防护组件、检测组件进行测试,所述防护组件、检测组件为软件和/或硬件形态,所述防护组件用于在所述攻击端攻击所述仿真区时,拦截所述攻击端的攻击,或者发出告警信息;所述检测组件用于检测所述仿真区的被攻击状态,当检测到所述仿真区被攻击时,发出告警信息。
10.根据权利要求9所述的模拟系统,其特征在于,所述模拟系统用于执行以下流程:
所述攻击端攻击所述仿真区,所述监管区获取所述仿真区仿真状态,当判断所述仿真区被成功攻击后,生成所述仿真区第一数据流动记录,并恢复所述仿真区数据,所述攻击端生成第一攻击记录;
所述仿真区中服务端或者操作端运行所述防护组件或者检测组件,所述攻击端攻击所述仿真区,所述监管区实时获取所述仿真区内数据流动,在攻击结束后生成第二数据流动记录,所述攻击端生成第二攻击记录;
将所述第二攻击记录、第二数据流动记录与所述第一攻击记录、第一数据流动记录进行对比,以评估所述防护组件或者检测组件的防护、检测效果。
技术总结