本申请涉及互联网安全技术领域,特别涉及一种工控网络安全防护仿真系统。
背景技术:
随着工业时代的发展,工业控制系统网络安全问题备受瞩目。对于工控系统而言,一旦遭到病毒、蠕虫等入侵,系统将会面临停机的风险,带来不可估量的经济损失,更严重的甚至会发生安全事故,威胁到操作人员的生命安全。因此,对工业控制系统进行渗透攻击测试并提出防护策略、根据各个行业不同网络拓扑架构及特殊性来研究工控安全威胁的任务迫在眉睫。
工业现场环境是一个连续不间断作业的环境,不允许在真实工业环境中去研究工控网络安全问题和检测防护方法,而且不同行业的工业网络架构都截然不同,如果完全使用物理设备搭建测试环境,成本超级高而且对占地面积要求极高,于是需要一个成本低、能高度模拟还原现场环境的仿真系统作为研究平台,分析并复现已发生的安全威胁、发掘潜在安全威胁。当今针对工控网络安全研究的环境主要有全虚拟工控网络安全研究仿真系统和全实物工控网络安全研究仿真系统,然而,全虚拟工控网络安全研究仿真系统由于缺乏工业控制系统中关键的控制设备,无法构成真正的工业环境网络,导致其研究结果存在较大的不准确性;全实物工控网络安全研究仿真系统则由于全部采用实体设备,对实际现场环境具有较高的依赖性,不便于变换工业背景,且存在严重的成本高、占用空间大、使用寿命短的缺陷。
因此,如何提供一种既能够保证工控网络安全研究结果的准确性,又可以降低成本、提高可扩展性的工控网络安全研究仿真系统是本领域技术人员亟待解决的问题。
技术实现要素:
本申请的目的是提供一种工控网络安全防护仿真系统,该工控网络安全防护仿真系统不仅可以有效保证工控网络安全研究结果的准确性,而且成本低廉,具有较高的可扩展性。
本申请提供了一种工控网络安全防护仿真系统,包括渗透攻击平台,检测防护平台以及工控系统;所述工控系统包括物理节点和虚拟节点;
所述渗透攻击平台,用于对所述工控系统中的目标节点进行攻击,获得攻击信息;其中,所述目标节点为所述物理节点或所述虚拟节点;
所述检测防护平台,用于根据所述攻击信息调取目标防护规则进行攻击防护。
优选的,所述渗透攻击平台包括:
扫描工具,用于对所述目标节点进行扫描,获得漏洞信息;
攻击工具,用于根据所述漏洞信息对所述目标节点进行攻击,获得所述攻击信息。
优选的,所述攻击工具具体用于通过执行所述漏洞信息对应的测试用例对所述目标节点进行攻击,获得所述攻击信息;其中,所述测试用例从测试用例库中获得。
优选的,所述渗透攻击平台还包括:
渗透攻击路径生成器,用于根据所述漏洞信息和所述工控系统的网络架构信息生成渗透攻击路径;
则所述攻击工具具体用于按照所述渗透攻击路径对所述目标节点进行攻击,获得所述攻击信息。
优选的,所述渗透攻击平台还包括:
漏洞库,用于对所述漏洞信息进行存储。
优选的,所述检测防护平台具体用于利用工控防火墙调取并执行所述攻击信息对应的目标防护规则进行攻击防护。
优选的,所述检测防护平台还包括:
工控审计平台,用于根据所述攻击信息输出告警信息。
优选的,所述检测防护平台还包括:
防护规则库,用于存储各防护规则。
优选的,各所述防护规则为基于snort的防护规则。
优选的,所述检测防护平台还用于当所述防护规则库中不存在所述目标防护规则时,根据所述攻击信息对所述防护规则库进行更新。
本申请所提供的一种工控网络安全防护仿真系统,包括渗透攻击平台,检测防护平台以及工控系统;所述工控系统包括物理节点和虚拟节点;所述渗透攻击平台,用于对所述工控系统中的目标节点进行攻击,获得攻击信息;其中,所述目标节点为所述物理节点或所述虚拟节点;所述检测防护平台,用于根据所述攻击信息调取目标防护规则进行攻击防护。
可见,本申请所提供的工控网络安全防护仿真系统,主要由工控系统、渗透攻击平台、检测防护平台组成,可以模拟各类安全威胁发生的主要过程,复现攻击并基于攻击原理检测攻击行为,进而通过防护规则实现有效防护,达到工控系统网络安全攻防研究的目的,并且,工控系统由虚拟设备和实体设备共同组成,不仅可以有效保证工控网络安全研究结果的准确性,而且部署简单,成本低廉且具有较高的可扩展性。
附图说明
为了更清楚地说明现有技术和本申请实施例中的技术方案,下面将对现有技术和本申请实施例描述中需要使用的附图作简要的介绍。当然,下面有关本申请实施例的附图描述的仅仅是本申请中的一部分实施例,对于本领域普通技术人员来说,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图,所获得的其他附图也属于本申请的保护范围。
图1为本申请所提供的一种工控网络安全防护仿真系统的结构示意图;
图2为本申请所提供的另一种工控网络安全防护仿真系统的结构示意图;
图3为本申请所提供的一种渗透攻击平台的结构示意图;
图4为本申请所提供的一种渗透攻击平台的工作流程示意图;
图5为本申请所提供的一种检测防护平台的工作原理图。
具体实施方式
本申请的核心是提供一种工控网络安全防护仿真系统,该工控网络安全防护仿真系统不仅可以有效保证工控网络安全研究结果的准确性,而且成本低廉,具有较高的可扩展性。
为了对本申请实施例中的技术方案进行更加清楚、完整地描述,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行介绍。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参考图1,图1为本申请所提供的一种工控网络安全防护仿真系统的结构示意图,该工控网络安全防护仿真系统可包括渗透攻击平台1,检测防护平台2以及工控系统3;工控系统3包括物理节点和虚拟节点;
渗透攻击平台1,用于对工控系统3中的目标节点进行攻击,获得攻击信息;其中,目标节点为物理节点或虚拟节点;
检测防护平台2,用于根据攻击信息调取目标防护规则进行攻击防护。
可见,该工控网络安全防护仿真系统包括渗透攻击平台1,检测防护平台2以及工控系统3,其中,渗透攻击平台1用于对工控系统3发起攻击,检测防护平台2则用于对攻击过程进行实时检测,并为工控系统3提供攻击防护功能,由此,实现了工控网络安全防护的仿真过程,进一步可以根据仿真过程中所产生的数据信息实现工控系统网络安全的攻防研究。
具体而言,渗透攻击平台1用于通过模拟各类安全威胁发生的主要过程,对工控系统3中的目标节点发起攻击,获得攻击信息,该目标节点即为组成工控系统3的节点设备,可以为虚拟节点,也可以为物理节点,攻击信息的具体内容并不唯一,可以包括攻击过程中所产生的任何数据信息以及攻击结束后所获得的攻击结果等;检测防护平台2则用于基于攻击原理检测攻击行为,并通过防护规则实现有效地攻击防护,即根据上述攻击信息调取相应的目标防护规则对攻击行为进行防护。
其中,工控系统3由物理节点和虚拟节点组成,物理节点即为实体设备,虚拟节点即为虚拟设备,也就是说,工控系统1中既包括实体设备,也包括虚拟设备,通过将实体设备与虚拟设备相结合实现工控系统1的部署,有效的达到了降低成本、提高可扩展性的目的,同时也更加方便进行工业背景的切换。
需要说明的是,工控系统1中的各类设备具体是采用虚拟设备还是实体设备,均可以根据实际情况进行设定部署,本申请对此不做限定。并且,对于渗透攻击平台1和检测防护平台2中的各类系统设备,同样也可根据实际需求设定相应的虚拟设备或实体设备,本申请对此同样不做限定。例如,可以设定主机、plc(programmablelogiccontroller,可编程逻辑控制器)控制器等采用虚拟设备,设定交换机、检测防护产品等采用物理设备。
作为一种优选实施例,上述渗透攻击平台1可包括:
扫描工具,用于对目标节点进行扫描,获得漏洞信息;
攻击工具,用于根据漏洞信息对目标节点进行攻击,获得攻击信息。
具体而言,攻击行为多是由于系统设备存在漏洞而引发的,因此,渗透攻击平台1可以包括扫描工具和攻击工具,扫描工具用于实现漏洞扫描,攻击工具用于实现漏洞攻击。在具体实现过程中,首先通过扫描工具对工控系统1中的目标节点进行扫描,确定其所存在的漏洞,获得相应的漏洞信息;进一步,通过攻击工具基于漏洞信息对目标节点发起攻击,即可获得相应的攻击信息。
作为一种优选实施例,上述攻击工具可具体用于通过执行漏洞信息对应的测试用例对目标节点进行攻击,获得攻击信息;其中,测试用例从测试用例库中获得。
对于攻击工具而言,其对目标节点发起的攻击可通过执行对应的测试用例实现,该测试用例可以从测试用例库中调取获得。具体的,可预先创建测试用例库,用于存储不同类型的漏洞对应的测试用例,由此,当攻击工具获得扫描工具发送的漏洞信息后,即可根据该漏洞信息从测试用例库中调取对应的测试用例并执行,进而实现对目标节点的攻击。可以理解的是,当测试用例库中不存在攻击信息对应的测试用例时,可由技术人员手动配置测试用例实现目标攻击,并在完成攻击测试后将该手动配置的测试用例添加至测试用例库,实现测试用例库的更新。
作为一种优选实施例,上述渗透攻击平台1还可包括渗透攻击路径生成器,用于根据漏洞信息和工控系统3的网络架构信息生成渗透攻击路径;则攻击工具具体用于按照渗透攻击路径对目标节点进行攻击,获得攻击信息。
为进一步提高渗透攻击成功的概率,该渗透攻击平台1还可包括渗透攻击路径生成器,用于实现渗透攻击路径的生成,由此,攻击工具即可按照该攻击路径对目标节点进行攻击,从而提高攻击成功率。其中,渗透攻击路径具体可以根据漏洞信息和工控系统3的网络架构信息生成。
作为一种优选实施例,上述渗透攻击平台1还可包括漏洞库,用于对漏洞信息进行存储。
具体的,该渗透攻击平台1还可包括漏洞库,用于实现各类漏洞信息的存储,当基于扫描工具扫描获得漏洞信息时,即可将其添加至该漏洞库中。可以理解的是,为避免漏洞信息重复,在进行漏洞信息存储时,可先判断该漏洞库中是否存在该类漏洞信息,若是,则无需重复存储,丢弃该漏洞信息即可,若漏洞库中不存在该漏洞信息,则可以将其存储至漏洞库,以达到完善漏洞库的目的。
作为一种优选实施例,上述检测防护平台2可具体用于利用工控防火墙调取并执行攻击信息对应的目标防护规则进行攻击防护。
具体的,检测防护平台2的攻击防护功能具体可基于工控防火墙实现,工控防火墙的作用在于拦截并告警安全威胁风险和安全风险事件的发生,是真实的逻辑防护物理硬件设备,包括黑名单和白名单,其中,黑名单类似传统硬件防火墙中的病毒库;白名单则是允许通过、合法操作的列表,可以通过自学习生成,也支持手动修改学习到的白名单内容。需要说明的是,工控防护墙是针对工业私有协议(如s7comm、modbus、dnp3、cip等)、工业病毒(如工控蠕虫病毒、工控逻辑炸弹等)等的专用设备,包括工业协议的解析模块和防护规则库。
作为一种优选实施例,上述检测防护平台2还可包括工控审计平台,用于根据攻击信息输出告警信息。
具体的,该检测防护平台2还可包括工控审计平台,用于实现攻击告警功能,可以根据攻击信息输出对应的告警信息。更为具体的,工控安全审计平台可包括工业流量审计、工业日志审计等,可实现网络安全事件的事后追溯,通过获取交换机中的镜像流量数据包、syslog日志信息等,分析得出可能存在安全风险的部分,并生成告警信息。
作为一种优选实施例,上述检测防护平台2还可包括防护规则库,用于存储各防护规则。
具体的,该检测防护平台2还可包括防护规则库,用于实现各类防护规则的存储,由此,检测防护平台2即可根据攻击信息从防护规则库中调取对应的目标防护规则实现攻击防护功能。
作为一种优选实施例,上述各防护规则可以为基于snort的防护规则。
本优选实施例提供了具体类型的防护规则,即基于snort的防护规则。具体而言,snort规则是能够检测网络上有入侵行为数据包的“一种简单的、轻量级的描述语言”,其提供了简单、灵活的方法用于描述入侵行为。
作为一种优选实施例,上述检测防护平台2还用于当防护规则库中不存在目标防护规则时,根据攻击信息对防护规则库进行更新。
具体的,当防护规则库中不存在攻击信息对应的防护规则时,可由技术人员根据攻击信息手动配置相应的防护规则实现攻击防护;进一步,在完成攻击防护测试后,还可将该手动配置的防护规则添加至防护规则库,实现防护规则库的更新。
可见,本申请所提供的工控网络安全防护仿真系统,主要由工控系统、渗透攻击平台、检测防护平台组成,可以模拟各类安全威胁发生的主要过程,复现攻击并基于攻击原理检测攻击行为,进而通过防护规则实现有效防护,达到工控系统网络安全攻防研究的目的,并且,工控系统由虚拟设备和实体设备共同组成,不仅可以有效保证工控网络安全研究结果的准确性,而且部署简单,成本低廉且具有较高的可扩展性。
本申请实施例提供了另一种工控网络安全防护仿真系统。
请参考图2,图2为本申请所提供的另一种工控网络安全防护仿真系统的结构示意图,如图所示,该系统整体由渗透攻击平台、检测防护平台、工控系统三部分组成,工控系统网络安全研究所需环境为工业基础环境(工控系统所属环境),该工业基础环境可以模拟不同行业不同领域的主要控制流程,其中,关键设备如plc、dcs、工业交换机、工程师站、操作员站等采用硬件物理设备,其余环境均采用仿真软件模拟真实现场环境,并且,网络中流淌着多种不同的工业通讯协议(如私有公开工业协议和私有非公开工业协议)和传统网络协议(如tcpip协议和udp协议);渗透攻击平台用于模拟黑客对工业基础环境可能做出的非法行为,并发掘寻找潜在的0day漏洞(零日漏洞,一种已经被发现而官方还没有相关补丁的漏洞),进而测试工业基础环境中关键设备和安全防护环境中安全设备的稳定性、安全性、健壮性等安全性能。由此可见,在该工控网络安全防护仿真系统中,工业基础环境是“基础”、渗透攻击平台是“手段”、检测防护平台是“目标”,通过攻防博弈过程对检测防护策略升级改造,最终研发出可以有效应对不断出现的安全威胁的防护检测规则库,升级改造工控安全防护产品,使之能更有效的防护各行各业的工业控制系统。
1、渗透攻击平台:
请参考图3和图4,图3为本申请所提供的一种渗透攻击平台的结构示意图,图4为本申请所提供的一种渗透攻击平台的工作流程示意图,该渗透攻击平台类似于武器库,载体是一台主机(或服务器),其中部署有多个子模块,主要包括漏洞库、攻击路径策略库、渗透测试模块、工具集等。
(1)漏洞库主要包括传统网络漏洞、工控系统漏洞以及安全防护产品漏洞,大部分漏洞从cve、cnnvd等知名漏洞网站中获得,包括漏洞类型、危险等级、厂商等详细信息,另外部分漏洞来自于工业现场网络安全类项目。其中,主要漏洞类型包括系统漏洞、协议漏洞、web漏洞、中间件漏洞、固件漏洞;危险等级包括低、中、高危;厂商包括西门子、施耐德、ge、ab等国内外工控厂商和知名安全防护产品厂商。进一步,当fuzz工具(一种模糊测试工具)探测获得的漏洞是0day漏洞,则将其加入现有漏洞库中,可见,漏洞库实际包括已有漏洞(信息完整)和未知漏洞(信息不完整)两部分,未知漏洞可以人工补全相应信息,通过长时间累积使得漏洞库逐渐丰富而全面。
(2)攻击路径策略库可以通过分析当前网络架构和关键节点、嗅探得到的漏洞信息得出最优的渗透攻击路径,提高渗透成功的概率,最后将攻击目标和生成的最优路径等关键信息输送给渗透测试模块,进而实现节点攻击。
(3)渗透测试模块在掌握了攻击路径及路径中各个漏洞节点信息的前提下,到测试用例库中搜索适当的测试用例并调用工具集中与漏洞对应的工具来执行渗透攻击动作,若没有找到合适的测试用例,则可以由人工手动配置测试用例并将其添加至测试用例库中。
(4)工具集可以分为嗅探扫描工具集和漏洞利用攻击工具集两部分,其中,嗅探扫描工具集包括嗅探扫描工具和漏洞发掘工具,漏洞利用攻击工具集包括开源工具和脚本、自编写exp、poc等,工具集中的各类工具可以按照攻击类型划分为注入攻击、协议漏洞攻击、固件安全性攻击、数据非法篡改、远程非法控制设备等分类,也可以按照攻击对象划分为plc、dcs、厂商等分类,还可以按照利用方式划分为本地、远程等分类,详细的类型划分更加方便调用时查找匹配,此外,当漏洞库中有新漏洞增加时,工具集中也可以会增加相应的攻击工具。
2、检测防护平台:
检测防护平台中安全防护设备的部署方式可以分为两种,一种是部署在区域边界处或者被保护对象的网络入口处,例如工控防火墙;另一种是部署在网络设备旁路,例如工控审计平台。
(1)工控防火墙的作用是拦截并告警安全威胁风险和安全风险事件的发生,是真实的逻辑防护物理硬件设备,包括黑名单和白名单,黑名单类似传统硬件防火墙中的病毒库,白名单是允许通过、合法操作的列表,可以通过自学习生成,也支持手动修改学习到的白名单内容,工控防护墙是针对工业私有协议(如s7comm、modbus、dnp3、cip等)、工业病毒(如工控蠕虫病毒、工控逻辑炸弹等)等的专用设备,包括工业协议的解析模块和snort防护规则库。
(2)工控安全审计平台包括工业流量审计、工业日志审计等,主要用于网络安全事件的事后追溯,也专用于工业网络环境,可以通过获取交换机镜像流量数据包、syslog日志信息等,分析得出可能存在安全风险的部分,并生成告警信息。
上述工业防火墙和工业审计是工业现场防护最基本的设备,其他安全防护设备可根据行业的不同进行相应的部署,例如,在能源电力领域中,由于行业的特殊需求,在生产大区和管理大区之间还要存在单向隔离设备,属于物理安全防护,从逻辑上看网络是断开的,通过隔离设备中特有的摆渡结构实现两侧通讯,多种防护产品部署在不同节点处,相辅相成共同铸造工业网络安全的防护体系。
进一步,请参考图5,图5为本申请所提供的一种检测防护平台的工作原理图,检测防护平台是整个仿真系统的核心,仿真系统的最大价值在于通过模拟攻击过程及其造成的后果而完成工业网络安全产品中检测防护平台的研发和策略规则库的扩展,为学习者呈现完整的攻与防全过程。在检测防护平台中,其部署的工业安全产品具体的防护作用与渗透攻击平台的内容相搭配,产品内部的防护规则库与渗透攻击平台中的工具集相搭配,而且,随着攻击手段、工具不断的更新,规则库也实时更新,及时跟踪国内外最新的攻击事件、安全漏洞情况,提高了仿真系统的先进性和实用性。
3、工业基础环境:
工业基础环境是整个半实物仿真系统的工业网络环境,是工控网络安全研究的对象。由于不同的领域、不同的行业,搭建的工控系统内部组成单元都是不同的,且真实工业现场控制系统非常复杂,涉及的节点数数以万计,因此,仿真系统中的工业基础环境只包含整个控制过程中的一部分,由其关键设备组成的最小系统,一次设备(如执行器、传感器等)由于成本高、体积大、占地面积大等限制均使用仿真技术模拟,而关键监控设备(如plc、dcs、rtu、工程师站、操作员站、hmi等)采用真实的物理设备,尤其是plc、dcs、rtu需要和现场使用的型号、厂商保持一致。
如图2所示,工控系统由一台虚拟主机(工程师站)、虚拟plc控制器、被控对象(灯1和灯2)组成,虚拟plc控制器和工程师站位于一台物理主机中,工程师站对plc控制器编程组态并下载程序,并且监控plc控制器的运行状态,虚拟plc与物理plc一样运行着逻辑控制程序,在物理主机中加入虚拟plc特定板卡后即可外接被控对象模拟控制系统场景,由此,则无需额外购买硬件plc控制器,也无需购买io模块,明显降低了仿真系统的总成本,但控制效果却得以完美实现。在工业基础环境中,虚拟plc可以使用西门子、ab等知名厂商提供的softplc架构安装获得,也可以在网络上找到开源虚拟plc源代码编译运行而获得。
最后,如上所述的工控网络安全防护仿真系统的应用场景可以包括靶场演练、培训、竞赛环境、科研等。其中,对于靶场演练而言,在仿真环境中可以预设工控安全事件漏洞和安全风险、相关工具,按照网络安全运维、应急响应、基线核查、攻防演练等不同需求来部署和设计具体方案,也可以发掘即将上线的工业设备、安全设备、网络设备等硬件设备的已知和未知漏洞、检测补丁的安全性等多种与工业现场密切结合的应用。对于培训而言,可以分为企业培训和大学实验课,企业培训又分为认证培训中的实训需求和提高员工安全意识、处置问题能力的培训;大学实验课比较基础,包括工控设备调试与使用、网络安全设备原理、攻击与防护理论与实践等方面,为国家培育综合性工业安全人才。对于竞赛环境而言,可以是为了提高安全防护的技能,深入理解攻击给工业系统带来的恶劣影响,寻找工业现场现存安全防护的不足之处。对于科研而言,可以是为了丰富工业网络安全产品的检测防护策略而在仿真平台中做实验、科研,将成果集成到安全防护产品中。
可见,本申请实施例所提供的工控网络安全防护仿真系统,主要由工控系统、渗透攻击平台、检测防护平台组成,可以模拟各类安全威胁发生的主要过程,复现攻击并基于攻击原理检测攻击行为,进而通过防护规则实现有效防护,达到工控系统网络安全攻防研究的目的,并且,工控系统由虚拟设备和实体设备共同组成,不仅可以有效保证工控网络安全研究结果的准确性,而且部署简单,成本低廉且具有较高的可扩展性。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的技术方案进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请的保护范围内。
1.一种工控网络安全防护仿真系统,其特征在于,包括渗透攻击平台,检测防护平台以及工控系统;所述工控系统包括物理节点和虚拟节点;
所述渗透攻击平台,用于对所述工控系统中的目标节点进行攻击,获得攻击信息;其中,所述目标节点为所述物理节点或所述虚拟节点;
所述检测防护平台,用于根据所述攻击信息调取目标防护规则进行攻击防护。
2.根据权利要求1所述的工控网络安全防护仿真系统,其特征在于,所述渗透攻击平台包括:
扫描工具,用于对所述目标节点进行扫描,获得漏洞信息;
攻击工具,用于根据所述漏洞信息对所述目标节点进行攻击,获得所述攻击信息。
3.根据权利要求2所述的工控网络安全防护仿真系统,其特征在于,所述攻击工具具体用于通过执行所述漏洞信息对应的测试用例对所述目标节点进行攻击,获得所述攻击信息;其中,所述测试用例从测试用例库中获得。
4.根据权利要求2所述的工控网络安全防护仿真系统,其特征在于,所述渗透攻击平台还包括:
渗透攻击路径生成器,用于根据所述漏洞信息和所述工控系统的网络架构信息生成渗透攻击路径;
则所述攻击工具具体用于按照所述渗透攻击路径对所述目标节点进行攻击,获得所述攻击信息。
5.根据权利要求2所述的工控网络安全防护仿真系统,其特征在于,所述渗透攻击平台还包括:
漏洞库,用于对所述漏洞信息进行存储。
6.根据权利要求1所述的工控网络安全防护仿真系统,其特征在于,所述检测防护平台具体用于利用工控防火墙调取并执行所述攻击信息对应的目标防护规则进行攻击防护。
7.根据权利要求6所述的工控网络安全防护仿真系统,其特征在于,所述检测防护平台还包括:
工控审计平台,用于根据所述攻击信息输出告警信息。
8.根据权利要求6所述的工控网络安全防护仿真系统,其特征在于,所述检测防护平台还包括:
防护规则库,用于存储各防护规则。
9.根据权利要求8所述的工控网络安全防护仿真系统,其特征在于,各所述防护规则为基于snort的防护规则。
10.根据权利要求8所述的工控网络安全防护仿真系统,其特征在于,所述检测防护平台还用于当所述防护规则库中不存在所述目标防护规则时,根据所述攻击信息对所述防护规则库进行更新。
技术总结