CN107483484A - 一种攻击防护演练方法和装置 - Google Patents
一种攻击防护演练方法和装置 Download PDFInfo
- Publication number
- CN107483484A CN107483484A CN201710822848.6A CN201710822848A CN107483484A CN 107483484 A CN107483484 A CN 107483484A CN 201710822848 A CN201710822848 A CN 201710822848A CN 107483484 A CN107483484 A CN 107483484A
- Authority
- CN
- China
- Prior art keywords
- virtual
- attack
- network
- target drone
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种攻击防护演练方法和装置,该方法和装置应用于攻防演练系统的场景控制器,具体包括:响应用户的攻防请求,生成配置模板,配置模板包括攻击机克隆母体、靶机克隆母体和防火墙克隆母体;将配置模板发送至攻防演练系统的虚拟化管理平台,并控制虚拟化管理平台根据配置模板克隆出虚拟机和和虚拟防火墙,虚拟机包括虚拟攻击机和虚拟靶机;生成两个虚拟网络,包括攻击者网络和靶机网络;将虚拟网络分别与虚拟机、虚拟防火墙相关联;展现虚拟机和虚拟防火墙,并为用户提供攻击访问,虚拟防火墙的日志用于记录用户所发起攻击的攻击效果和防护效果。用户通过查看日志报告即可获取防火墙的防护效果。
Description
技术领域
本申请涉及网络技术领域,更具体地说,涉及一种攻击防护演练方法和装置。
背景技术
网络攻防实验室是一种配置有进行网络攻防所需要的软硬件设施的实验室,硬件设施包括电脑主机、服务器、路由器及连接设备等,软件包括服务器管理软件、操作系统、防火墙等,主要用于模拟网络攻击即防范,以便用户能够根据攻击检验被攻击系统的安全性。
网络攻防实验室会通打补丁对被攻击系统进行防护,再利用防火墙或IPS等系统进行防护。然而在进行攻防演练时只强调攻击,并没有展示防护效果,导致用户无法根据防护效果对防护系统进行评估和改进。
发明内容
有鉴于此,本申请提供一种攻击防护演练方法和装置,用于在攻防试验系统进行攻防演练时展示防护效果,以便用户能够根据防护效果对防护系统进行评估和改进。
为了实现上述目的,现提出的方案如下:
一种攻击防护演练方法,应用于攻防演练系统的场景控制器,所述攻击防护演练方法包括步骤:
响应用户的攻防请求,生成配置模板,所述配置模板包括攻击机克隆母体、靶机克隆母体和防火墙克隆母体;
将所述配置模板发送至所述攻防演练系统的虚拟化管理平台,并控制所述虚拟化管理平台根据所述配置模板克隆出虚拟机和和虚拟防火墙,所述虚拟机包括虚拟攻击机和虚拟靶机;
生成两个虚拟网络,包括攻击者网络和靶机网络;
将所述虚拟网络分别与所述虚拟机、所述虚拟防火墙相关联;
展现所述虚拟机和所述虚拟防火墙,并为用户提供攻击访问,所述虚拟防火墙的日志用于记录用户所发起攻击的攻击效果和防护效果。
可选的,所述将所述虚拟网络分别与所述虚拟机、所述虚拟防火墙相关联,包括:
将所述攻击者网络与所述虚拟攻击机相关联;
将所述靶机网络与所述虚拟靶机相关联;
将所述虚拟防火墙跨接在所述攻击者网络与所述靶机网络之间。
可选的,所述将所述攻击者网络与所述虚拟攻击机相关联,包括:
将所述攻击者网络的虚拟网卡增加到所述虚拟攻击机。
可选的,所述将所述靶机网络与所述虚拟靶机相关联,包括:
将所述靶机网络的虚拟网卡增加到所述虚拟靶机。
可选的,还包括步骤:
为所述虚拟机建立访问代理,所述访问代理用于为外网用户提供攻防访问服务。
一种攻击防护演练装置,应用于攻防演练系统的场景控制器,所述攻击防护演练装置包括:
模板生成模块,用于响应用户的攻防请求,生成配置模板,所述配置模板包括攻击机克隆母体、靶机克隆母体和防火墙克隆母体;
虚拟化控制模块,用于将所述配置模板发送至所述攻防演练系统的虚拟化管理平台,并控制所述虚拟化管理平台根据所述配置模板克隆出虚拟机和和虚拟防火墙,所述虚拟机包括虚拟攻击机和虚拟靶机;
网络生成模块,用于生成两个虚拟网络,包括攻击者网络和靶机网络;
网络关联模块,用于将所述虚拟网络分别与所述虚拟机、所述虚拟防火墙相关联;
虚拟机展示模块,用于展现所述虚拟机和所述虚拟防火墙,并为用户提供攻击访问,所述虚拟防火墙的日志用于记录用户所发起攻击的攻击效果和防护效果。
可选的,所述网络关联模块包括:
第一关联单元,用于将所述攻击者网络与所述虚拟攻击机相关联;
第二关联单元,用于将所述靶机网络与所述虚拟靶机相关联;
第三关联单元,用于将所述虚拟防火墙跨接在所述攻击者网络与所述靶机网络之间。
可选的,所述第一关联单元用于将所述攻击者网络的虚拟网卡增加到所述虚拟攻击机。
可选的,所述第二关联单元用于将所述靶机网络的虚拟网卡增加到所述虚拟靶机。
可选的,还包括:
代理建立模块,用于为所述虚拟机建立访问代理,所述访问代理用于为外网用户提供攻防访问服务。
从上述的技术方案可以看出,本申请公开了一种攻击防护演练方法和装置,该方法和装置应用于攻防演练系统的场景控制器,具体包括:响应用户的攻防请求,生成配置模板,配置模板包括攻击机克隆母体、靶机克隆母体和防火墙克隆母体;将配置模板发送至攻防演练系统的虚拟化管理平台,并控制虚拟化管理平台根据配置模板克隆出虚拟机和和虚拟防火墙,虚拟机包括虚拟攻击机和虚拟靶机;生成两个虚拟网络,包括攻击者网络和靶机网络;将虚拟网络分别与虚拟机、虚拟防火墙相关联;展现虚拟机和虚拟防火墙,并为用户提供攻击访问,虚拟防火墙的日志用于记录用户所发起攻击的攻击效果和防护效果。用户通过查看日志报告即可获取防火墙的防护效果,从而能够够根据防护效果对防护系统进行评估和改进。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请提供的一种攻击防护演练方法实施例的步骤流程图;
图2为本申请提供的另一种攻击防护演练方法实施例的步骤流程图;
图3为本申请提供的一种攻击防护演练装置实施例的结构框图;
图4为本申请提供的又一种攻击防护演练装置实施例的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
实施例一
图1为发明提供的一种攻击防护演练方法实施例的步骤流程图。
如图1所示,本实施例提供的攻击防护演练方法应用于网络攻防实验室,具体来说时应用于网络攻防实验室中攻防演练系统的场景控制器,用于通过模拟攻防演练中展示防火墙或IPS的防护效果,本实施例以破解owasp bwa上dvwa xss为例,该攻击防护演练方法包括如下步骤:
S101:根据用户的请求生产配置模板。
当需要进行攻防演练时,用户可以向场景控制器发出相应的攻防请求,此时,场景控制器根据该请求生产相应的配置模板,该模板包括攻击机克隆母体z-kali、靶机克隆母体z-owaspbwa和防火墙克隆母体。
其中,攻击机克隆母体上安装有brupsuite工具套件;靶机克隆母体上则安装有owasp bwa系统;防火墙克隆母体是自研防火墙,能够支持漏洞检查和报告。
S102:将配置模板发送到虚拟化管理平台,生成虚拟机和虚拟防火墙。
在生成上述配置模板后,控制该场景控制器将配置模板发送到攻防演练系统的虚拟化管理平台,如esxi,并控制该esxi vcenter根据上述克隆母体克隆出虚拟攻击机、虚拟靶机和虚拟防火墙。
如根据攻击机克隆母体z-kali克隆出虚拟攻击机z-kali-1,根据靶机克隆母体z-owaspbwa克隆出虚拟靶机z-owaspbwa-1,根据防火墙克隆母体克隆出虚拟防火墙z-fw-1。
S103:控制场景控制器生成两个虚拟网络。
该虚拟网络包括攻击者网络和靶机网络。为了与虚拟机相连接,攻击者网络和靶机网络都配置有相应的虚拟网卡。
S104:将虚拟网络分别与虚拟机和虚拟防火墙关联。
即将虚拟网络中的攻击者网络与虚拟攻击机相关联,具体来说是将攻击者网络的虚拟网卡增加到虚拟攻击机,通过这种方式实现攻击者网络与虚拟攻击机的关联;同时,将靶机网络与虚拟靶机相关联,同样也是通过将靶机网络的虚拟网卡增加到虚拟靶机;还有,将虚拟防火墙跨接在攻击者网络与靶机网络之间,利用通过桥模式连接于攻击者网络与靶机网络之间。
S105:展现虚拟机和虚拟防火墙,为用户提供攻击访问。
当场景控制器根据用户的需求提供虚拟网络、虚拟机和虚拟防火墙,且将虚拟网络与虚拟机和虚拟防火墙进行关联后,根据用户的请求将虚拟攻击机、虚拟靶机和虚拟防火墙展现在相应的显示界面上,并为用户提供攻击访问的界面和权限。用户就可以利用虚拟攻击机对虚拟靶机展开攻击,在攻击时,虚拟防火墙的日志报告即可对虚拟攻击机的攻击进行记录。
例如,可以将虚拟防火墙的漏洞检测功能关闭,此时可以利用虚拟攻击机演练攻击xss漏洞情形,日志报告中也会相应记录虚拟靶机受到了xss攻击,且还记录有防护效果。
在进行攻击演练后,用户通过查看日志报告即可对防火墙的防护效果进行查看,从而不仅能够了解攻击情况,还能够对虚拟防火墙的防护效果也能够有具体了解,从而能够够根据防护效果对防护系统进行评估和改进。
从上述技术方案可以看出,本实施例提供了一种攻击防护演练方法,该方法应用于攻防演练系统的场景控制器,具体包括:响应用户的攻防请求,生成配置模板,配置模板包括攻击机克隆母体、靶机克隆母体和防火墙克隆母体;将配置模板发送至攻防演练系统的虚拟化管理平台,并控制虚拟化管理平台根据配置模板克隆出虚拟机和和虚拟防火墙,虚拟机包括虚拟攻击机和虚拟靶机;生成两个虚拟网络,包括攻击者网络和靶机网络;将虚拟网络分别与虚拟机、虚拟防火墙相关联;展现虚拟机和虚拟防火墙,并为用户提供攻击访问,虚拟防火墙的日志用于记录用户所发起攻击的攻击效果和防护效果。用户通过查看日志报告即可获取防火墙的防护效果,从而能够够根据防护效果对防护系统进行评估和改进。
实施例二
图2为发明提供的另一种攻击防护演练方法实施例的步骤流程图。
如图2所示,本实施例提供的攻击防护演练方法应用于网络攻防实验室,具体来说时应用于网络攻防实验室中攻防演练系统的场景控制器,用于通过模拟攻防演练中展示防火墙或IPS的防护效果,本实施例以破解owasp bwa上dvwa xss为例,该攻击防护演练方法包括如下步骤:
S201:根据用户的请求生产配置模板。
当需要进行攻防演练时,用户可以向场景控制器发出相应的攻防请求,此时,场景控制器根据该请求生产相应的配置模板,该模板包括攻击机克隆母体z-kali、靶机克隆母体z-owaspbwa和防火墙克隆母体。
其中,攻击机克隆母体上安装有brupsuite工具套件;靶机克隆母体上则安装有owasp bwa系统;防火墙克隆母体是自研防火墙,能够支持漏洞检查和报告。
S202:将配置模板发送到虚拟化管理平台,生成虚拟机和虚拟防火墙。
在生成上述配置模板后,控制该场景控制器将配置模板发送到攻防演练系统的虚拟化管理平台,如esxi,并控制该esxi vcenter根据上述克隆母体克隆出虚拟攻击机、虚拟靶机和虚拟防火墙。
如根据攻击机克隆母体z-kali克隆出虚拟攻击机z-kali-1,根据靶机克隆母体z-owaspbwa克隆出虚拟靶机z-owaspbwa-1,根据防火墙克隆母体克隆出虚拟防火墙z-fw-1。
S203:控制场景控制器生成两个虚拟网络。
该虚拟网络包括攻击者网络和靶机网络。为了与虚拟机相连接,攻击者网络和靶机网络都配置有相应的虚拟网卡。
S204:将虚拟网络分别与虚拟机和虚拟防火墙关联。
即将虚拟网络中的攻击者网络与虚拟攻击机相关联,具体来说是将攻击者网络的虚拟网卡增加到虚拟攻击机,通过这种方式实现攻击者网络与虚拟攻击机的关联;同时,将靶机网络与虚拟靶机相关联,同样也是通过将靶机网络的虚拟网卡增加到虚拟靶机;还有,将虚拟防火墙跨接在攻击者网络与靶机网络之间,利用通过桥模式连接于攻击者网络与靶机网络之间。
S205:展现虚拟机和虚拟防火墙,为用户提供攻击访问。
当场景控制器根据用户的需求提供虚拟网络、虚拟机和虚拟防火墙,且将虚拟网络与虚拟机和虚拟防火墙进行关联后,根据用户的请求将虚拟攻击机、虚拟靶机和虚拟防火墙展现在相应的显示界面上,并为用户提供攻击访问的界面和权限。用户就可以利用虚拟攻击机对虚拟靶机展开攻击,在攻击时,虚拟防火墙的日志报告即可对虚拟攻击机的攻击进行记录。
例如,可以将虚拟防火墙的漏洞检测功能关闭,此时可以利用虚拟攻击机演练攻击xss漏洞情形,日志报告中也会相应记录虚拟靶机受到了xss攻击,且还记录有防护效果。
在进行攻击演练后,用户通过查看日志报告即可对防火墙的防护效果进行查看,从而不仅能够了解攻击情况,还能够对虚拟防火墙的防护效果也能够有具体了解,从而能够够根据防护效果对防护系统进行评估和改进。
S206:为虚拟机建立访问代理。
在用户的操作下,还可以为虚拟机建立访问代理,如websockify,通过上述访问代理可以为外网用户通过访问服务,从而使外网用户也可以对模拟攻击机进行操作,进行攻防演练。
从上述技术方案可以看出,本实施例提供了一种攻击防护演练方法,该方法应用于攻防演练系统的场景控制器,具体包括:响应用户的攻防请求,生成配置模板,配置模板包括攻击机克隆母体、靶机克隆母体和防火墙克隆母体;将配置模板发送至攻防演练系统的虚拟化管理平台,并控制虚拟化管理平台根据配置模板克隆出虚拟机和和虚拟防火墙,虚拟机包括虚拟攻击机和虚拟靶机;生成两个虚拟网络,包括攻击者网络和靶机网络;将虚拟网络分别与虚拟机、虚拟防火墙相关联;展现虚拟机和虚拟防火墙,并为用户提供攻击访问,虚拟防火墙的日志用于记录用户所发起攻击的攻击效果和防护效果。用户通过查看日志报告即可获取防火墙的防护效果,从而能够够根据防护效果对防护系统进行评估和改进。同时,通过建立访问代理可以为外网用户提供访问服务。
实施例三
图3为发明提供的一种攻击防护演练装置实施例的结构框图。
如图3所示,本实施例提供的攻击防护演练装置应用于网络攻防实验室,具体来说时应用于网络攻防实验室中攻防演练系统的场景控制器,用于通过模拟攻防演练中展示防火墙或IPS的防护效果,本实施例以破解owasp bwa上dvwa xss为例,该攻击防护演练装置包括模板生成模块10、虚拟化控制模块20、网络生成模块30、网络关联模块40和虚拟机展示模块50。
模板生成模块用于根据用户的请求生产配置模板。
当需要进行攻防演练时,用户可以向场景控制器发出相应的攻防请求,此时,场景控制器根据该请求生产相应的配置模板,该模板包括攻击机克隆母体z-kali、靶机克隆母体z-owaspbwa和防火墙克隆母体。
其中,攻击机克隆母体上安装有brupsuite工具套件;靶机克隆母体上则安装有owasp bwa系统;防火墙克隆母体是自研防火墙,能够支持漏洞检查和报告。
虚拟化控制模块用于将配置模板发送到虚拟化管理平台,生成虚拟机和虚拟防火墙。
在生成上述配置模板后,控制该场景控制器将配置模板发送到攻防演练系统的虚拟化管理平台,如esxi,并控制该esxi vcenter根据上述克隆母体克隆出虚拟攻击机、虚拟靶机和虚拟防火墙。
如根据攻击机克隆母体z-kali克隆出虚拟攻击机z-kali-1,根据靶机克隆母体z-owaspbwa克隆出虚拟靶机z-owaspbwa-1,根据防火墙克隆母体克隆出虚拟防火墙z-fw-1。
网络生成模块用于控制场景控制器生成两个虚拟网络。
该虚拟网络包括攻击者网络和靶机网络。为了与虚拟机相连接,攻击者网络和靶机网络都配置有相应的虚拟网卡。
网络关联模块用于将虚拟网络分别与虚拟机和虚拟防火墙关联。
该模块包括第一关联单元41、第二关联单元42和第三关联单元43。第一关联单元用于将虚拟网络中的攻击者网络与虚拟攻击机相关联,具体来说是将攻击者网络的虚拟网卡增加到虚拟攻击机,通过这种方式实现攻击者网络与虚拟攻击机的关联;第二关联单元用于将靶机网络与虚拟靶机相关联,同样也是通过将靶机网络的虚拟网卡增加到虚拟靶机;第三关联单元用于将虚拟防火墙跨接在攻击者网络与靶机网络之间,利用通过桥模式连接于攻击者网络与靶机网络之间。
虚拟机展示模块用于展现虚拟机和虚拟防火墙,为用户提供攻击访问。
当场景控制器根据用户的需求提供虚拟网络、虚拟机和虚拟防火墙,且将虚拟网络与虚拟机和虚拟防火墙进行关联后,根据用户的请求将虚拟攻击机、虚拟靶机和虚拟防火墙展现在相应的显示界面上,并为用户提供攻击访问的界面和权限。用户就可以利用虚拟攻击机对虚拟靶机展开攻击,在攻击时,虚拟防火墙的日志报告即可对虚拟攻击机的攻击进行记录。
例如,可以将虚拟防火墙的漏洞检测功能关闭,此时可以利用虚拟攻击机演练攻击xss漏洞情形,日志报告中也会相应记录虚拟靶机受到了xss攻击,且还记录有防护效果。
在进行攻击演练后,用户通过查看日志报告即可对防火墙的防护效果进行查看,从而不仅能够了解攻击情况,还能够对虚拟防火墙的防护效果也能够有具体了解,从而能够够根据防护效果对防护系统进行评估和改进。
从上述技术方案可以看出,本实施例提供了一种攻击防护演练装置,该装置应用于攻防演练系统的场景控制器,具体包括:响应用户的攻防请求,生成配置模板,配置模板包括攻击机克隆母体、靶机克隆母体和防火墙克隆母体;将配置模板发送至攻防演练系统的虚拟化管理平台,并控制虚拟化管理平台根据配置模板克隆出虚拟机和和虚拟防火墙,虚拟机包括虚拟攻击机和虚拟靶机;生成两个虚拟网络,包括攻击者网络和靶机网络;将虚拟网络分别与虚拟机、虚拟防火墙相关联;展现虚拟机和虚拟防火墙,并为用户提供攻击访问,虚拟防火墙的日志用于记录用户所发起攻击的攻击效果和防护效果。用户通过查看日志报告即可获取防火墙的防护效果,从而能够够根据防护效果对防护系统进行评估和改进。
实施例四
图4为发明提供的另一种攻击防护演练装置实施例的结构框图。
如图2所示,本实施例提供的攻击防护演练装置是在上一实施例的基础上增设了代理建立模块60。
模板生成模块用于根据用户的请求生产配置模板。
当需要进行攻防演练时,用户可以向场景控制器发出相应的攻防请求,此时,场景控制器根据该请求生产相应的配置模板,该模板包括攻击机克隆母体z-kali、靶机克隆母体z-owaspbwa和防火墙克隆母体。
其中,攻击机克隆母体上安装有brupsuite工具套件;靶机克隆母体上则安装有owasp bwa系统;防火墙克隆母体是自研防火墙,能够支持漏洞检查和报告。
虚拟化控制模块用于将配置模板发送到虚拟化管理平台,生成虚拟机和虚拟防火墙。
在生成上述配置模板后,控制该场景控制器将配置模板发送到攻防演练系统的虚拟化管理平台,如esxi,并控制该esxi vcenter根据上述克隆母体克隆出虚拟攻击机、虚拟靶机和虚拟防火墙。
如根据攻击机克隆母体z-kali克隆出虚拟攻击机z-kali-1,根据靶机克隆母体z-owaspbwa克隆出虚拟靶机z-owaspbwa-1,根据防火墙克隆母体克隆出虚拟防火墙z-fw-1。
网络生成模块用于控制场景控制器生成两个虚拟网络。
该虚拟网络包括攻击者网络和靶机网络。为了与虚拟机相连接,攻击者网络和靶机网络都配置有相应的虚拟网卡。
网络关联模块用于将虚拟网络分别与虚拟机和虚拟防火墙关联。
即将虚拟网络中的攻击者网络与虚拟攻击机相关联,具体来说是将攻击者网络的虚拟网卡增加到虚拟攻击机,通过这种方式实现攻击者网络与虚拟攻击机的关联;同时,将靶机网络与虚拟靶机相关联,同样也是通过将靶机网络的虚拟网卡增加到虚拟靶机;还有,将虚拟防火墙跨接在攻击者网络与靶机网络之间,利用通过桥模式连接于攻击者网络与靶机网络之间。
虚拟机展示模块展现虚拟机和虚拟防火墙,为用户提供攻击访问。
当场景控制器根据用户的需求提供虚拟网络、虚拟机和虚拟防火墙,且将虚拟网络与虚拟机和虚拟防火墙进行关联后,根据用户的请求将虚拟攻击机、虚拟靶机和虚拟防火墙展现在相应的显示界面上,并为用户提供攻击访问的界面和权限。用户就可以利用虚拟攻击机对虚拟靶机展开攻击,在攻击时,虚拟防火墙的日志报告即可对虚拟攻击机的攻击进行记录。
例如,可以将虚拟防火墙的漏洞检测功能关闭,此时可以利用虚拟攻击机演练攻击xss漏洞情形。
在进行攻击演练后,用户通过查看日志报告即可对防火墙的防护效果进行查看,从而不仅能够了解攻击情况,还能够对虚拟防火墙的防护效果也能够有具体了解,从而能够够根据防护效果对防护系统进行评估和改进。
代理建立模块用于根据用户的请求为虚拟机建立访问代理。
在用户的操作下,该模块可以为虚拟机建立访问代理,如websockify,通过上述访问代理可以为外网用户通过访问服务,从而使外网用户也可以对模拟攻击机进行操作,进行攻防演练。
从上述技术方案可以看出,本实施例提供了一种攻击防护演练方法,该方法应用于攻防演练系统的场景控制器,具体包括:响应用户的攻防请求,生成配置模板,配置模板包括攻击机克隆母体、靶机克隆母体和防火墙克隆母体;将配置模板发送至攻防演练系统的虚拟化管理平台,并控制虚拟化管理平台根据配置模板克隆出虚拟机和和虚拟防火墙,虚拟机包括虚拟攻击机和虚拟靶机;生成两个虚拟网络,包括攻击者网络和靶机网络;将虚拟网络分别与虚拟机、虚拟防火墙相关联;展现虚拟机和虚拟防火墙,并为用户提供攻击访问,虚拟防火墙的日志用于记录用户所发起攻击的攻击效果和防护效果。用户通过查看日志报告即可获取防火墙的防护效果,从而能够够根据防护效果对防护系统进行评估和改进。同时,通过建立访问代理可以为外网用户提供访问服务。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种攻击防护演练方法,应用于攻防演练系统的场景控制器,其特征在于,所述攻击防护演练方法包括步骤:
响应用户的攻防请求,生成配置模板,所述配置模板包括攻击机克隆母体、靶机克隆母体和防火墙克隆母体;
将所述配置模板发送至所述攻防演练系统的虚拟化管理平台,并控制所述虚拟化管理平台根据所述配置模板克隆出虚拟机和和虚拟防火墙,所述虚拟机包括虚拟攻击机和虚拟靶机;
生成两个虚拟网络,包括攻击者网络和靶机网络;
将所述虚拟网络分别与所述虚拟机、所述虚拟防火墙相关联;
展现所述虚拟机和所述虚拟防火墙,并为用户提供攻击访问,所述虚拟防火墙的日志用于记录用户所发起攻击的攻击效果和防护效果。
2.如权利要求1所述的攻击防护演练方法,其特征在于,所述将所述虚拟网络分别与所述虚拟机、所述虚拟防火墙相关联,包括:
将所述攻击者网络与所述虚拟攻击机相关联;
将所述靶机网络与所述虚拟靶机相关联;
将所述虚拟防火墙跨接在所述攻击者网络与所述靶机网络之间。
3.如权利要求2所述攻击防护演练方法,其特征在于,所述将所述攻击者网络与所述虚拟攻击机相关联,包括:
将所述攻击者网络的虚拟网卡增加到所述虚拟攻击机。
4.如权利要求2所述的攻击防护演练方法,其特征在于,所述将所述靶机网络与所述虚拟靶机相关联,包括:
将所述靶机网络的虚拟网卡增加到所述虚拟靶机。
5.如权利要求1~4任一项所述的攻击防护演练方法,其特征在于,还包括步骤:
为所述虚拟机建立访问代理,所述访问代理用于为外网用户提供攻防访问服务。
6.一种攻击防护演练装置,应用于攻防演练系统的场景控制器,其特征在于,所述攻击防护演练装置包括:
模板生成模块,用于响应用户的攻防请求,生成配置模板,所述配置模板包括攻击机克隆母体、靶机克隆母体和防火墙克隆母体;
虚拟化控制模块,用于将所述配置模板发送至所述攻防演练系统的虚拟化管理平台,并控制所述虚拟化管理平台根据所述配置模板克隆出虚拟机和和虚拟防火墙,所述虚拟机包括虚拟攻击机和虚拟靶机;
网络生成模块,用于生成两个虚拟网络,包括攻击者网络和靶机网络;
网络关联模块,用于将所述虚拟网络分别与所述虚拟机、所述虚拟防火墙相关联;
虚拟机展示模块,用于展现所述虚拟机和所述虚拟防火墙,并为用户提供攻击访问,所述虚拟防火墙的日志用于记录用户所发起攻击的攻击效果和防护效果。
7.如权利要求6所述的攻击防护演练装置,其特征在于,所述网络关联模块包括:
第一关联单元,用于将所述攻击者网络与所述虚拟攻击机相关联;
第二关联单元,用于将所述靶机网络与所述虚拟靶机相关联;
第三关联单元,用于将所述虚拟防火墙跨接在所述攻击者网络与所述靶机网络之间。
8.如权利要求7所述攻击防护演练装置,其特征在于,所述第一关联单元用于将所述攻击者网络的虚拟网卡增加到所述虚拟攻击机。
9.如权利要求7所述的攻击防护演练装置,其特征在于,所述第二关联单元用于将所述靶机网络的虚拟网卡增加到所述虚拟靶机。
10.如权利要求6~9任一项所述的攻击防护演练装置,其特征在于,还包括:
代理建立模块,用于为所述虚拟机建立访问代理,所述访问代理用于为外网用户提供攻防访问服务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710822848.6A CN107483484A (zh) | 2017-09-13 | 2017-09-13 | 一种攻击防护演练方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710822848.6A CN107483484A (zh) | 2017-09-13 | 2017-09-13 | 一种攻击防护演练方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107483484A true CN107483484A (zh) | 2017-12-15 |
Family
ID=60585297
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710822848.6A Pending CN107483484A (zh) | 2017-09-13 | 2017-09-13 | 一种攻击防护演练方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107483484A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108040070A (zh) * | 2017-12-29 | 2018-05-15 | 北京奇虎科技有限公司 | 一种网络安全测试平台及方法 |
| CN108376489A (zh) * | 2018-01-17 | 2018-08-07 | 张锦沛翀 | 一种基于模拟软件环境的教学系统 |
| CN110098951A (zh) * | 2019-03-04 | 2019-08-06 | 西安电子科技大学 | 一种基于虚拟化技术的网络攻防虚拟仿真与安全评估方法及系统 |
| CN111464548A (zh) * | 2020-04-07 | 2020-07-28 | 四川无声信息技术有限公司 | 网络通信方法、装置、网络攻防演练系统及电子设备 |
| CN112153010A (zh) * | 2020-08-31 | 2020-12-29 | 北京全路通信信号研究设计院集团有限公司 | 一种网络安全靶场系统及其运行方法 |
| CN112447076A (zh) * | 2020-11-05 | 2021-03-05 | 贵州数安汇大数据产业发展有限公司 | 一种风险可控的实网攻防演练系统 |
| CN114257522A (zh) * | 2021-12-21 | 2022-03-29 | 浙江国利网安科技有限公司 | 网络安全攻防演示系统、方法、装置及存储介质 |
| CN114629561A (zh) * | 2020-12-08 | 2022-06-14 | 科大国盾量子技术股份有限公司 | 一种用于实现多种量子通信攻防演示的控制系统 |
| CN115865519A (zh) * | 2023-02-07 | 2023-03-28 | 苏州市卫生计生统计信息中心 | 适用于网络攻防虚拟仿真的数据处理方法及系统 |
| CN116527332A (zh) * | 2023-04-13 | 2023-08-01 | 广州科技职业技术大学 | 网络攻击演练方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103618730A (zh) * | 2013-12-04 | 2014-03-05 | 天津大学 | 一种基于积分策略的网站ddos攻击防御系统及方法 |
| CN103701777A (zh) * | 2013-12-11 | 2014-04-02 | 长春理工大学 | 基于虚拟化和云技术的远程网络攻防虚拟仿真系统 |
| CN104900102A (zh) * | 2015-04-13 | 2015-09-09 | 成都双奥阳科技有限公司 | 基于虚拟环境的攻防演练系统 |
| CN105024990A (zh) * | 2015-03-30 | 2015-11-04 | 清华大学 | 网络安全攻防演练环境部署方法及装置 |
| CN106375331A (zh) * | 2016-09-23 | 2017-02-01 | 北京网康科技有限公司 | 一种攻击组织的挖掘方法及装置 |
| CN106790046A (zh) * | 2016-10-11 | 2017-05-31 | 长春理工大学 | 基于超融合架构的网络攻防虚拟仿真系统 |
-
2017
- 2017-09-13 CN CN201710822848.6A patent/CN107483484A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103618730A (zh) * | 2013-12-04 | 2014-03-05 | 天津大学 | 一种基于积分策略的网站ddos攻击防御系统及方法 |
| CN103701777A (zh) * | 2013-12-11 | 2014-04-02 | 长春理工大学 | 基于虚拟化和云技术的远程网络攻防虚拟仿真系统 |
| CN105024990A (zh) * | 2015-03-30 | 2015-11-04 | 清华大学 | 网络安全攻防演练环境部署方法及装置 |
| CN104900102A (zh) * | 2015-04-13 | 2015-09-09 | 成都双奥阳科技有限公司 | 基于虚拟环境的攻防演练系统 |
| CN106375331A (zh) * | 2016-09-23 | 2017-02-01 | 北京网康科技有限公司 | 一种攻击组织的挖掘方法及装置 |
| CN106790046A (zh) * | 2016-10-11 | 2017-05-31 | 长春理工大学 | 基于超融合架构的网络攻防虚拟仿真系统 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108040070A (zh) * | 2017-12-29 | 2018-05-15 | 北京奇虎科技有限公司 | 一种网络安全测试平台及方法 |
| CN108376489A (zh) * | 2018-01-17 | 2018-08-07 | 张锦沛翀 | 一种基于模拟软件环境的教学系统 |
| CN110098951A (zh) * | 2019-03-04 | 2019-08-06 | 西安电子科技大学 | 一种基于虚拟化技术的网络攻防虚拟仿真与安全评估方法及系统 |
| CN111464548A (zh) * | 2020-04-07 | 2020-07-28 | 四川无声信息技术有限公司 | 网络通信方法、装置、网络攻防演练系统及电子设备 |
| CN112153010B (zh) * | 2020-08-31 | 2023-01-20 | 北京全路通信信号研究设计院集团有限公司 | 一种网络安全靶场系统及其运行方法 |
| CN112153010A (zh) * | 2020-08-31 | 2020-12-29 | 北京全路通信信号研究设计院集团有限公司 | 一种网络安全靶场系统及其运行方法 |
| CN112447076A (zh) * | 2020-11-05 | 2021-03-05 | 贵州数安汇大数据产业发展有限公司 | 一种风险可控的实网攻防演练系统 |
| CN114629561A (zh) * | 2020-12-08 | 2022-06-14 | 科大国盾量子技术股份有限公司 | 一种用于实现多种量子通信攻防演示的控制系统 |
| CN114257522A (zh) * | 2021-12-21 | 2022-03-29 | 浙江国利网安科技有限公司 | 网络安全攻防演示系统、方法、装置及存储介质 |
| CN114257522B (zh) * | 2021-12-21 | 2024-01-12 | 浙江国利网安科技有限公司 | 网络安全攻防演示系统、方法、装置及存储介质 |
| CN115865519A (zh) * | 2023-02-07 | 2023-03-28 | 苏州市卫生计生统计信息中心 | 适用于网络攻防虚拟仿真的数据处理方法及系统 |
| CN116527332A (zh) * | 2023-04-13 | 2023-08-01 | 广州科技职业技术大学 | 网络攻击演练方法、装置、设备及存储介质 |
| CN116527332B (zh) * | 2023-04-13 | 2024-04-19 | 广州科技职业技术大学 | 网络攻击演练方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107483484A (zh) | 一种攻击防护演练方法和装置 | |
| KR101460589B1 (ko) | 사이버전 모의 훈련 관제 서버 | |
| McLaughlin et al. | The cybersecurity landscape in industrial control systems | |
| CN107659543B (zh) | 面向云平台apt攻击的防护方法 | |
| CN104410617B (zh) | 一种云平台的信息安全攻防体系架构 | |
| CN103795735B (zh) | 安全设备、服务器及服务器信息安全实现方法 | |
| CN105138904B (zh) | 一种访问控制方法和装置 | |
| CN104363236A (zh) | 一种自动化漏洞验证的方法 | |
| CN103701777A (zh) | 基于虚拟化和云技术的远程网络攻防虚拟仿真系统 | |
| CN110011848B (zh) | 一种移动运维审计系统 | |
| WO2014157797A1 (ko) | 시스템의 취약점 정량화 장치 및 그 방법 | |
| CN104900102A (zh) | 基于虚拟环境的攻防演练系统 | |
| KR102381277B1 (ko) | 사이버 공격을 방어하기 위한 보안 방법 및 장치 | |
| CN113114647A (zh) | 网络安全风险的检测方法、装置、电子设备、及存储介质 | |
| CN103049702A (zh) | 一种基于服务器层的安全加固策略 | |
| CN106850690A (zh) | 一种蜜罐构造方法及系统 | |
| CN104618353A (zh) | 一种计算机安全网络 | |
| CN102413192B (zh) | 云计算环境下数据安全保障方法 | |
| CN116628705A (zh) | 一种数据安全处理方法、系统、电子设备及存储介质 | |
| KR102118382B1 (ko) | 사이버 위협에 대비한 훈련 프로그램 제공 장치 | |
| CN117650948B (zh) | 一种基于离散事件模型的网络攻防模拟仿真方法 | |
| CN104917777A (zh) | 一种终端接入安全认证方法 | |
| CN107864146A (zh) | 一种安全的云存储系统 | |
| McDonald et al. | Modeling and simulation for cyber-physical system security research, development and applications | |
| US11108800B1 (en) | Penetration test monitoring server and system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171215 |
|
| RJ01 | Rejection of invention patent application after publication |