一種面向電站工控系統實物網絡的攻擊過程可視化方法，該方法包括：1)由拓撲編輯器根據電站工控系統的實物網絡生成網絡環境；2)利用Wireshark對正常工控操作指令的數據包進行抓取，分析得到各類指令的功能碼，創建匹配規則集合；3)對實物網絡中發生的流量進行鏡像及匯聚，在流量預處理模塊中根據配置的匹配規則將流量分成兩類；4)基于工控系統歷史庫構建異常行為檢測模型，對工控操作指令類數據包進行檢測，基于SNORT特征庫對非工控操作指令類數據包進行檢測；5)對檢測到的攻擊事件用飛線進行告警，對遭受攻擊的狀態變化進行標注。本發明在不改變電站工控系統網絡結構的前提下，對實物網絡中發生的攻擊過程進行可視化輸出顯示。

技術領域

本發明涉及工控安全檢測技術領域，具體涉及一種面向電站工控系統實物網絡的攻擊過程可視化方法。

背景技術

相對于傳統IT系統，黑客針對電站工控系統的攻擊和破壞可以分為兩個階段，第一階段往往是先利用主機操作系統、應用服務層面等安全漏洞獲取主機一般權限，進行提權后獲得控制權限；第二階段是利用工控系統軟件或構造的指令數據包下達惡意操作指令，造成設備損壞、機組停機等生產事故。

然而，電站絕大部分的生產人員對于網絡中進行的數據流量并不清楚也不關注，對網絡攻擊過程幾乎一無所知，無法對攻擊過程進行及時阻斷，更別提攻擊溯源了。如果能把電站工控系統中的網絡攻擊過程進行輸出顯示，那么生產運行人員就能對黑客的攻擊路線進行直觀、準確定位，進而判斷攻擊發生的位置，采取針對性的防御措施，及時有效的阻斷攻擊并清除攻擊造成的影響。因此，針對電站工控系統網絡攻擊過程的可視化就成了生產運行人員的迫切需求，也是保障電力生產穩定運行的重要手段。

現在有很多的靶場利用虛擬化技術搭建了網絡攻擊試驗環境，用來對工控系統進行仿真，對攻擊過程及其可視化進行研究，但通用的虛擬化平臺中無法對專用的工控設備進行模擬，同時虛擬的網絡設備、主機在異常情況下的工作狀態與和真實的物理設備相比，也存在很大差別。因此，為保證攻擊過程相關數據真實、有效，網絡攻擊過程的可視化應基于電站工控系統的實物網絡。

發明內容

為了克服上述現有技術存在的問題，本發明的目的在于提供一種面向電站工控系統實物網絡的攻擊過程可視化方法，本發明方法是在真實物理設備上開展可控的網絡攻擊，基于對攻擊事件的檢測及受攻擊狀態的探測，將攻擊過程映射到網絡拓撲圖中，用可視化的方法實現攻擊過程的復現。

為了達到上述目的，本發明采用如下技術方案：

一種面向電站工控系統實物網絡的攻擊過程可視化方法，包括以下步驟

1）根據電站工控系統實際物理網絡結構，在拓撲編輯器中用拖拽的方式搭建網絡拓撲圖，收集實際物理網絡設備及主機節點的信息，包括設備和節點名稱、IP地址、MAC地址、地理位置等，將信息輸入到其對應的物理設備，完成網絡環境的搭建；

2）在進行正常的設備啟停、調控設備參數等操作后，利用Wireshark工具抓取相應時段內的網絡流量，按源地址為相應操作員站、目標地址為相應DCS控制器對數據包進行過濾，再排除無關數據包后進行逐一分析，得到工控操作指令的功能碼、設備編號等信息，按數據包固定位置是否能匹配得到的功能碼判定該數據包是否為工控操作指令，整理不同工控操作指令對應的功能碼形成工控操作指令匹配規則集合；

3）對電站工控系統實物網絡中的交換機進行設置，以旁路監控方式將接入交換機中的流量送入核心交換機，在核心交換機上對流量進行匯聚后再以旁路監控方式送入流量預處理模塊及日志審計分析系統；將步驟2）中創建的工控操作指令匹配規則加入流量預處理模塊中，流量預處理模塊根據匹配規則將流量分為工控操作指令類和非工控操作指令兩類；