CN111245806A - 网络安全测试方法、装置和平台、存储介质和电子装置 - Google Patents
网络安全测试方法、装置和平台、存储介质和电子装置 Download PDFInfo
- Publication number
- CN111245806A CN111245806A CN202010012358.1A CN202010012358A CN111245806A CN 111245806 A CN111245806 A CN 111245806A CN 202010012358 A CN202010012358 A CN 202010012358A CN 111245806 A CN111245806 A CN 111245806A
- Authority
- CN
- China
- Prior art keywords
- evaluation
- attack
- target
- data
- monitoring data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种网络安全测试方法、装置和平台、存储介质和电子装置,其中,该方法包括:创建第一评估任务,第一评估任务为对飞机网络中的目标资产进行安全性测试的任务;生成与第一评估任务对应的第一攻击信号,第一攻击信号为用于对目标资产进行模拟攻击的仿真信号;将第一攻击信号输入到飞机网络中,得到第一监控数据,第一监控数据为第一攻击信号对目标资产进行模拟攻击的监控数据;根据第一监控数据,生成目标评估报告,目标评估报告包括用于表示使用第一攻击信号对目标资产进行模拟攻击的攻击完成情况的第一评估数据。通过本申请,解决了通过人工进行飞机网络安全测试和风险评估的方式,存在工作量大,易出现计算失误的问题。
Description
技术领域
本申请涉及计算机领域,尤其涉及一种网络安全测试方法、装置和平台、存储介质和电子装置。
背景技术
目前,对飞机网络安全测试和风险评估主要以人工评估方式为主,这种评估方式的优点是可对信息系统做较为全面的检查。但是,在信息系统方面,资产多为主机或服务器,资产脆弱性具有隐蔽性的特点。因此,采用以人工检查的方式进行安全风险评估,难以发现风险,人工评估结果的精确性也难以保证;而且,在信息系统风险评估的人工检查过程中,存在重复性操作多,工作量大,各资产、威胁信息、脆弱性信息等风险属性关联参数计算繁琐,易出现计算失误等问题,人工评估难度也较大。
因此,相关技术中通过人工进行飞机网络安全测试和风险评估的方式,存在工作量大,易出现计算失误的问题。
发明内容
本申请实施例提供了一种网络安全测试方法、装置和平台、存储介质和电子装置,以至少解决相关技术中通过人工进行飞机网络安全测试和风险评估的方式,存在工作量大,易出现计算失误的问题。
根据本申请实施例的一个方面,提供了一种网络安全测试方法,包括:创建第一评估任务,其中,第一评估任务为对飞机网络中的目标资产进行安全性测试的任务;生成与第一评估任务对应的第一攻击信号,其中,第一攻击信号为用于对目标资产进行模拟攻击的仿真信号;将第一攻击信号输入到飞机网络中,得到第一监控数据,其中,第一监控数据为第一攻击信号对目标资产进行模拟攻击的监控数据;根据第一监控数据,生成目标评估报告,其中,目标评估报告包括用于表示使用第一攻击信号对目标资产进行模拟攻击的攻击完成情况的第一评估数据。
根据本申请实施例的另一个方面,提供了一种网络安全测试装置,包括:第一创建单元,用于创建第一评估任务,其中,第一评估任务为对飞机网络中的目标资产进行安全性测试的任务;第一生成单元,用于生成与第一评估任务对应的第一攻击信号,其中,第一攻击信号为用于对目标资产进行模拟攻击的仿真信号;第一输入单元,用于将第一攻击信号输入到飞机网络中,得到第一监控数据,其中,第一监控数据为第一攻击信号对目标资产进行模拟攻击的监控数据;第二生成单元,用于根据第一监控数据,生成目标评估报告,其中,目标评估报告包括用于表示使用第一攻击信号对目标资产进行模拟攻击的攻击完成情况的第一评估数据。
可选地,第一生成单元包括:第一生成模块,用于根据第一评估任务,生成激励信号,其中,激励信号用于触发生成第一攻击信号;第二生成模块,用于响应激励信号,生成与第一评估任务对应的第一攻击信号。
可选地,第二生成单元包括:第三生成模块,用于根据第一监控数据生成第一评估数据,其中,第一评估数据为在第一攻击信号对目标资产进行模拟攻击的过程中识别出的飞机网络的威胁信息和/或脆弱性信息;合成模块,用于将第一评估数据合成到目标评估报告中。
可选地,第三生成模块包括:显示子模块,用于在通过评估工具集无法根据第一监控数据生成评估结果的情况下,将第一监控数据通过第一显示设备进行显示,其中,评估工具用于根据监控数据生成评估结果;接收子模块,用于接收通过第一输入设备输入的评估参数信息,其中,评估参数信息用于控制根据第一监控数据生成评估结果;生成子模块,用于根据第一监控数据和评估参数信息,生成第一评估结果。
可选地,上述装置还包括:显示单元,用于在根据第一监控数据,生成目标评估报告之后,通过第二显示设备显示目标评估报告,其中,目标评估报告处于可编辑状态;第一接收单元,用于接收通过第二输入设备输入的更新数据,更新数据用于更新目标评估报告中的目标评估数据;更新单元,用于使用更新数据,更新目标评估报告中的目标评估数据。
可选地,上述装置还包括:提取单元,用于在根据第一监控数据,生成目标评估报告之后,从目标评估报告中提取出第一评估数据;回放单元,用于按照第一评估数据,对使用第一攻击信号对目标资产进行模拟攻击的过程进行回放。
可选地,上述装置还包括:第二创建单元,第三生成单元和第二输入单元,第二生成单元包括:第四生成模块,其中,第二创建单元,用于在将第一攻击信号输入到飞机网络中,得到第一监控数据之后,创建第二评估任务,其中,第二评估任务为对飞机网络中的目标场景进行安全性测试的任务;第三生成单元,用于生成与第二评估任务对应的第二攻击信号,其中,第二攻击信号为用于对目标场景进行模拟攻击的仿真信号;第二输入单元,用于将第二攻击信号输入到飞机网络中,得到第二监控数据,其中,第二监控数据为第二攻击信号对目标场景进行模拟攻击的监控数据;第四生成模块,用于根据第一监控数据和第二监控数据,生成目标评估报告,其中,目标评估报告还包括用于表示使用第二攻击信号对目标场景进行模拟攻击的攻击完成情况的第二评估数据。
可选地,上述装置还包括:第二接收单元,用于在创建第一评估任务之前,接收到操作指令,其中,操作指令用于对目标类型的资产执行目标操作,目标类型包括以下至少之一:应用软件,操作系统,硬件模块,芯片,目标操作包括以下至少之一:添加,修改,删除,更新,查询,导入,导出;执行单元,用于响应操作指令,对目标类型的资产执行目标操作。
根据本申请实施例的又一个方面,提供了一种网络安全测试平台,显示终端,移动式机柜组,移动式操作台组,其中,显示终端,装配有第一显示器和第一输入输出设备,用于对激励仿真系统和攻击仿真系统的显示进行控制,其中,激励仿真系统用于根据评估任务生成激励信号,攻击仿真系统用于根据激励信号生成攻击信号,并使用攻击信号对被测的飞机网络中的资产或者场景进行模拟攻击;移动式机柜组,装配有数据采集系统,激励仿真系统,攻击仿真系统和安全网络失效评估系统,其中,数据采集系统用于对模拟攻击的过程进行数据采集,得到监控数据,安全网络失效评估系统用于根据监控数据,对飞机网络的网络安全性进行评估,得到评估报告;移动式操作台组,装配有第二显示器和第二输入输出设备,用于对攻击仿真系统的攻击仿真过程和网络安全失效评估系统的评估过程进行控制。
根据本申请的又一个实施例,还提供了一种计算机可读的存储介质,存储介质中存储有计算机程序,其中,计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本申请的又一个实施例,还提供了一种电子装置,包括存储器和处理器,存储器中存储有计算机程序,处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
通过本申请,采用仿真评测平台进行评测的方式,创建第一评估任务,其中,第一评估任务为对飞机网络中的目标资产进行安全性测试的任务;生成与第一评估任务对应的第一攻击信号,其中,第一攻击信号为用于对目标资产进行模拟攻击的仿真信号;将第一攻击信号输入到飞机网络中,得到第一监控数据,其中,第一监控数据为第一攻击信号对目标资产进行模拟攻击的监控数据;根据第一监控数据,生成目标评估报告,其中,目标评估报告包括用于表示使用第一攻击信号对目标资产进行模拟攻击的攻击完成情况的第一评估数据,由于根据评估任务生成攻击信号,并通过攻击信号对飞机网络进行模拟攻击的方式进行网络评估,可以提升飞机网络安全管理的自动化程度,降低人力成本,提升工作效率,从而解决了相关技术中通过人工进行飞机网络安全测试和风险评估的方式,存在工作量大,易出现计算失误的问题。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是根据本申请实施例的一种可选的网络安全测试平台的硬件结构框图;
图2是根据本申请实施例的另一种可选的网络安全测试平台的硬件结构框图;
图3是根据本申请实施例的一种可选的测试设备的硬件结构框图;
图4是根据本申请实施例的一种可选的网络安全测试方法的流程示意图;
图5是根据本申请实施例的一种可选的网络安全测试架构的示意图;
图6是根据本申请实施例的一种可选的硬件平台的结构示意图;
图7是根据本申请实施例的一种可选的软件平台的结构示意图;
图8是根据本申请实施例的另一种可选的网络安全测试方法的流程示意图;以及,
图9是根据本申请实施例的一种可选的网络安全测试装置的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
首先,在对本申请实施例进行描述的过程中出现的部分名词或者术语适用于如下解释:
3G:3rd Generation,第三代移动通信技术;
AFDX:Avionics Full Duplex Switched Ethernet,航天电子全双工交换式以太网,是一个确定性的网络,具有确定性、通道冗余(为每个终端系统提供两个独立的网络通道)、可扩充性、顺序一致性和容错性等特点;
AHMU:Aircraft Health Management Unit,飞机健康管理单元;
ARINC:Aeronautical Radio Incorporated,美国航空无线电公司,ARINC 429/664规范是由该公司制定的航空数据网络标准;
ASIM:Avionics system Interface module,航电系统接口模块;
AWCU:Airport Wireless Communication Unit,机场无线通信单元;
AWCA:Airport Wireless Communication Antenna,机场无线通信天线;
CIU:Cabin Interface Unit,客舱接口单元;
CMT:Crew Management Terminal,乘务员管理终端;
DDOS:Distributed Denial of Service,分布式拒绝服务攻击;
FPGA:Field Programmable Gate Array,现场可编程逻辑们阵列;
FSM:File Server Module,文件服务器模块;
GIPC:General Information Processing Computer,通用信息处理计算机;
ICD:Interface Control Document,接口控制文件;
IO:Input/Output,输入/输出;
IP:Internet Protocol,网际互连协议;
ISDT:Information System Display Terminal,信息系统显示终端;
ISIM:Information System Interface Module,信息系统接口模块;
LRU:Line Replaceable Unit,航线可更换单元;
MCU:Microcontroller Unit,微处理器;
NIC:Network Interface Controller,网络适配器;
PCI:Peripheral Component Interconnection,周边元件扩展接口。
PMAT:Performance Management and Accountability Toolkit,绩效管理与责任工具包;
RAM:Random Access Memory,随机存取存储器;
RDIU:Remote Data Interface Unit,远程数据接口单元;
RF:Radio Frequency,射频;
ROM:Read-Only Memory,只读存储器;
SRM:Secure Routing Module,安全路由模块;
USB:Universal Serial Bus,通用串行总线;
UUT:Unit Under Test,被测单元;
WiFi:Wireless-Fidelity,无线保真。
根据本申请实施例的一个方面,提供了一种网络安全测试平台。可选地,如图1所示,该网络安全测试平台包括:
(1)显示终端102,装配有第一显示器和第一输入输出设备,用于对激励仿真系统和攻击仿真系统的显示进行控制,其中,激励仿真系统用于根据评估任务生成激励信号,攻击仿真系统用于根据激励信号生成攻击信号,并使用攻击信号对被测的飞机网络中的资产或者场景进行模拟攻击;
(2)移动式机柜组104,装配有数据采集系统,激励仿真系统,攻击仿真系统和安全网络失效评估系统,其中,数据采集系统用于对模拟攻击的过程进行数据采集,得到监控数据,安全网络失效评估系统用于根据监控数据,对飞机网络的网络安全性进行评估,得到评估报告;
(3)移动式操作台组106,装配有第二显示器和第二输入输出设备,用于对攻击仿真系统的攻击仿真过程和网络安全失效评估系统的评估过程进行控制。
通过本实施例,由于根据评估任务生成攻击信号,并通过攻击信号对飞机网络进行模拟攻击的方式进行网络评估,解决了相关技术中通过人工进行飞机网络安全测试和风险评估的方式,存在工作量大,易出现计算失误的问题,提升了飞机网络安全管理的自动化程度,降低了人力成本,提升了工作效率。
上述显示终端102可以是悬臂式显示终端(例如,如图2所示),悬臂式显示终端装配有1个23英寸显示器、标准键盘和鼠标,用于激励仿真系统及攻击仿真系统的显控。
作为一种可选的实施例,移动式机柜组104包括:第一移动式机柜和第二移动式机柜,其中,
(1)第一移动式机柜包括:供配电组件,用于与为述第一服务器、第二服务器和工控机进行供电;第一服务器,装配有试验总控,用于对网络安全性评估试验进行控制;第二服务器,装配有安全网络失效评估系统;工控机,装配有数据采集系统,激励仿真系统,攻击仿真系统;第一全网管交换机,连接器接口,第一风扇组合,第一内/外部电缆网,存储箱;
(2)第二移动式机柜包括:运行有飞机网络的被测单元,以太网分析仪,第二全网管交换机,第二风扇组合,第二内/外部电缆网。
移动式机柜组104可以包括至少两个移动式机柜(例如,图2中所示的B1、B2),每个机柜高度可以为34U,机柜顶部距地面高度可以为1.73m,仪器设备结构尺寸遵循标准19英寸上架设备尺寸要求,深度符合有效安装尺寸要求,高度遵循整U系列尺寸(1U=44.45mm)要求。
对于B1移动式机柜,
B1移动式机柜装配有智能供配电、2台2U服务器(第一服务器和第二服务器,分别用于试验总控台、安全网络失效评估系统)、1个4U工控机(用于数据采集系统、激励仿真系统及攻击仿真系统)、全网管交换机、连接器接口、风扇组合、内/外部电缆网、储物箱。
对于B2移动式机柜,
B2移动式机柜装配有被测UUT、以太网分析仪、全网管交换机、风扇组合、内部/外电缆网。
通过本实施例,通过在不同的移动式机柜上配置不同的系统,已实现不同的功能,可以提高网络安全测试平台布局的合理性。
移动式操作台组106可以包括:至少两个移动式操作台。例如,如图2所示,移动式操作台组包括2个移动式操作台(C1、C2),其中,
C1/C2移动操作台装配有23寸显示器,鼠标及键盘,用于攻击仿真系统、试验总控台/网络安全失效评估系统控制。
根据本申请实施例的另一个方面,提供了一种网络安全测试方法。可选地,该方法可以在上述实施例中网络安全测试平台上执行,也可以在其他的测试设备上运行。以运行在测试设备为例,图3是根据本申请实施例的一种可选的测试设备的硬件结构框图。如图3所示,测试设备30可以包括一个或多个(图3中仅示出一个)处理器302(处理器302可以包括但不限于MCU或者FPGA等的处理装置)和用于存储数据的存储器304,可选地,上述测试设备还可以包括用于通信功能的传输设备306以及输入输出设备308。本领域普通技术人员可以理解,图3所示的结构仅为示意,其并不对上述测试设备的结构造成限定。例如,测试设备30还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。
存储器304可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本申请实施例中的网络安全测试方法对应的计算机程序,处理器302通过运行存储在存储器304内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器304可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器304可进一步包括相对于处理器302远程设置的存储器,这些远程存储器可以通过网络连接至测试设备30。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备306用于经由一个网络接收或者发送数据。上述的网络具体实例可包括测试设备30的通信供应商提供的无线网络。在一个实例中,传输设备306包括一个NIC,其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备306可以为RF模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种运行于上述测试设备的网络安全测试方法,图4是根据本申请实施例的一种可选的网络安全测试方法的流程示意图,如图4所示,该流程包括如下步骤:
步骤S402,创建第一评估任务,其中,第一评估任务为对飞机网络中的目标资产进行安全性测试的任务;
步骤S404,生成与第一评估任务对应的第一攻击信号,其中,第一攻击信号为用于对目标资产进行模拟攻击的仿真信号;
步骤S406,将第一攻击信号输入到飞机网络中,得到第一监控数据,其中,第一监控数据为第一攻击信号对目标资产进行模拟攻击的监控数据;
步骤S408,根据第一监控数据,生成目标评估报告,其中,目标评估报告包括用于表示使用第一攻击信号对目标资产进行模拟攻击的攻击完成情况的第一评估数据。
可选地,上述步骤的执行主体可以为测试设备等,但不限于此,其他能够进行网络安全测试的装置,均可以用于执行本申请实施例中的方法。
通过本实施例,采用仿真评测平台进行评测的方式,由于根据评估任务生成攻击信号,并通过攻击信号对飞机网络进行模拟攻击的方式进行网络评估,解决了相关技术中通过人工进行飞机网络安全测试和风险评估的方式,存在工作量大,易出现计算失误的问题,提升了飞机网络安全管理的自动化程度,降低了人力成本,提升了工作效率。
运行本实施例中的网络安全测试方法的网络安全测试架构可以如图5所示,该架构包括:
(1)硬件设备
该硬件设备包括以下至少之一:664板卡,429板卡,机柜及操作台,终端和服务器。
硬件设备作为系统的基础,为系统提供仿真信号输出、信号数据采集的输入以及系统运转所必须的硬件支持。
(2)数据服务、配置工具、系统管理工具
以硬件设备为基础,依次为数据服务、配置工具、系统管理工具,为系统提供通用的配置和管理工具,其中,
数据服务包括以下至少之一:设备数据库,脆弱性知识库,监控配置库,流程数据库,试验标准库,原始数据库,解码数据库,ICD配置数据库,试验数据库,评测数据库;
配置工具包括以下至少之一:监控界面配置,ICD协议配置,设备管理,试验流程配置,判读规则配置,监控参数配置,通信配置,设备参数配置,攻击工具集管理,攻击仿真配置;
系统管理工具主要提供包括以下至少之一的管理:用户管理,角色管理,权限管理,数据库维护,日志管理。
(3)控制软件和上层应用服务
以数据服务为基础,以配置工具等为支撑的是试验总控、激励仿真、攻击仿真、数据采集以及网络安全失效评估等控制软件和上层应用服务,实现对仿真和数据采集的控制,并对试验结果进行分析和评估,其中,
试验总控可以包括以下至少之一:项目管理,试验用例加载,流程执行控制,数据监控,时钟同步,试验协同控制,数据判读,试验结果管理;
激励仿真可以包括以下至少之一:激励输出控制,激励接收控制,激励参数设置,状态监控;
攻击仿真可以包括以下至少之一:攻击仿真引擎,仿真参数设备,ICD数据包生成,仿真数据输出,状态监控;
数据采集可以包括以下至少之一:数据采集控制,数据存储,ICD数据解码,时间戳控制,状态监控;
网络安全失效评估可以包括以下至少之一:项目管理,资产识别,威胁识别,数据管理,数据导出,关联分析风险,参数赋值,评估结论管理,场景构建,用例管理,脆弱性识别,脆弱性评估,鲁棒性评估,场景评估,安全需求评估,评估报告管理。
应用服务中面向客户的功能是交互展示和用户层服务,为用户提供数据和结果的展示,其中,
交互展示可以包括以下至少之一:试验总控,数据分析,监控及参数配置,流程配置,其中,监控及参数配置用于进行过程监控以及参数配置,流程配置用于配置评估的流程等(图5中仅示出了交互展示的示例,具体的试验总控、数据分析、监控及参数配置、及流程配置方式,可以结合应用场景进行设置,本实施例中对此不作具体限定)。
(4)外部接口
对外接口(外部接口)可以实现与目标系统的输入和输出接口,其中,
外部接口可以包括但不限于以下至少之一:664激励仿真输出接口,664激励仿真接收接口,429激励仿真输出接口,429激励仿真接收接口,USB攻击仿真接口,以太网攻击仿真接口,无线网攻击仿真接口,664攻击仿真接口,以太网数据采集接口,429数据采集接口,664数据采集接口。
上述网络安全测试架构可以包括:硬件平台和软件平台。下面分别对硬件平台和软件平台进行说明。
硬件平台主要为基于无线或有线的高实时性网络安全性测试分析装置提供测试硬件环境,提供仿真信号输出、信号数据采集的输入以及系统运转所必须的硬件支持。
图6是根据本申请实施例的一种可选的硬件平台的结构示意图,如图6所示,硬件平台以测控计算机为核心,总体上采用网络化拓扑架构进行数据的交换,采用以新一代高速测试总线PCIe/PCI为核心的硬件架构,在标准总线体系和网络化交换架构之下,网络安全性测试分析系统的硬件可方便的扩展和升级。为满足系统集成的要求,还需设计系统供电、电气、结构和配线相关的硬件。
硬件平台的核心是网络激励仿真模块、攻击仿真模块和数据采集模块,网络激励仿真模块集成在高性能工控机上,攻击仿真模块集成在工控机和服务器上,数据采集模块集成在工控机和以太网分析仪上。其中,工控机、服务器和以太网分析仪可以前述网络安全测试平台中的工控机、服务器和以太网分析仪。
工控机内插基于PCIe/PCI总线的AFDX航空总线模块、ARINC429航空总线模块和离散IO模块,外接基于USB总线的3G/WiFi模块,另配有网络分析仪对系统数据进行分析,同时考虑相关测试仿真资源将来的升级、扩展和复用需求。
结合图2和图5,两台服务器为网络安全性评估平台、配置管理软件提供部署平台;工控机为仿真试验平台提供部署平台;AFDX航空总线模块为系统提供ARINC 664数据激励及ARINC 664数据采集功能;ARINC 429航空总线模块为系统提供ARINC 429数据通讯及ARINC429数据采集功能;离散IO模块为系统提供仿真机载参数,对LRU进行激励;网络分析仪(即,以太网分析仪)为系统提供网络数据分析及以太网数据采集功能。
软件平台主要分为网络安全性评估平台、仿真试验平台、配置管理软件等部分,其中,
(1)网络安全性评估平台是针对目标系统的失效评估项目进行管理,对项目中涉及的资产、脆弱性、威胁等进行识别,结合人工检查,测评试验仿真的结果,利用关联分析方法对网络安全进行评估。
(2)仿真试验平台是针对网络安全性测试的试验控制和过程仿真的分系统,主要是与目标系统进行对接,实现试验控制、激励仿真、攻击仿真、数据采集等4个子系统的功能。
(3)配置管理软件是支持网络安全性测试分析系统进行试验实施和结果评估的工具集,包括ICD配置管理工具、ICD解码工具、流程配置工具、监控界面配置工具、设备参数配置工具、系统管理工具等。
图7是根据本申请实施例的一种可选的软件平台的结构示意图,如图7所示,软件平台可实现以下功能:
(1)安全性评估
安全性评估(对应于网络安全性评估平台)可以包括但不限于以下至少之一:资产管理、评估试验管理、试验协同控制、试验结果管理、评估报表管理。
1)资产是可遭受攻击或部分攻击的资源,包括核心资产和支持资产。核心资产包括:系统或设备提供的功能,支持资产是指实现功能的设备、模块、配置文件、外场可加载软件、固件、存储数据、数字证书、密钥、日志文件、健康监控数据、与航电系统的ARINC664消息等、系统、数据库、操作系统、网络通信、接口互联数据、应用程序、文件、内存、信息系统等。
资产管理对不同类型(应用软件,还是操作系统,硬件模块,芯片)的资产进行维护,实现资产的添加、修改、删除、更新、查询、导入/导出等。
2)针对资产、应用场景,创建评估任务,添加评估资产或场景流程,对目标系统中主要设备所采取的安全策略进行模拟攻击,实现试验过程的协同控制和过程监控,为试验过程实施提供支持,实现基于应用场景和选定资产的评估任务管理。可添加、删除、启动、停止、修改、监控评估任务,并对采集到的数据进行分析评估生成评估报告。
3)试验总控实现对评估任务试验流程的加载,通过同步机制协同激励仿真、攻击仿真、数据监控显示、数据判读等过程,实现试验过程的协同控制和过程监控,为试验过程实施提供支持。
4)针对试验结果工具集和策略无法给出判定的试验结果可进行人为的修正,如DDOS强力攻击、IP碎片、鲁棒性测试需要人工参与报告的生成,可对报告进行在线编辑。
5)对评估试验任务采集到的数据进行分析评估生成评估报告。提供每个使用场景下由攻击仿真系统发起的所有攻击的攻击完成情况、对资产基于安全功能需求的仿真攻击情况以及网络配置情况评估报告。提供报表的存储、预览、多文件格式导出功能。
(2)数据采集与监控
数据采集模块完成目标系统的664、429以及以太网等信号的采集功能,能够为试验协同控制过程的全过程数据采集,实现采集数据的ICD解析和数据分析,控制数据采集硬件设备通道的数据采集。试验时能对平台上的参数、信号、进程进行比较直观的监视,包括试验数据监控和网络监控。
(3)激励仿真
激励仿真模块为目标系统提供激励硬件设备,对激励设备进行控制,显示目标系统与网络安全性测试分析系统激励信号的连接情况,能够进行激励信号协议的配置和仿真信号生成,能够控制激励仿真设备进行仿真信号的输出。
(4)攻击仿真
攻击仿真使用的攻击可以包括但不限于以下至少之一:网站安全检查工具、Windows主机配置检查工具、Linux主机配置检查工具、主机病毒检查工具、主机木马检查工具、数据库安全检查工具、系统漏洞扫描工具、网站恶意代码检查工具、网络设备配置检查工具、弱口令检查工具、无线网络检查工具、协议测试工具、流量攻击、渗透测试工具。
(5)配置管理工具集
配置管理工具集可以包括但不限于以下至少之一:ICD配置管理工具,ICD解码工具。
ICD管理软件设计的核心思想是设计出统一的数据结构,通过这种ICD结构将各种航空总线标准的接口定义统一到一起,从而形成一个支持多种航空总线标准接口定义的ICD数据库。
ICD解码工具的功能可以包括:通过调用用户配置ICD文件,进行664、429、以太网和无线通信等数据采集和分析处理,并实现测试数据和分析处理结果进行显示和存储,为评估分析提供数据支持。
本申请实施例中的网络安全测试架构,依据设备和安全威胁源的内在联系,使风险评估思维条理化,风险评估过程简化,相比传统人工风险评估方法,提高了评估的效率和准确性。通过系统级层次化分析可以提供一个完备的空间,使任何评估都可在这个空间中找到解答,层次性结构可使设备在评估过程中能够系统地反映各故障模式间的内部联系,且利于根据显式故障模式求解潜隐性故障模式。
上述网络安全测试架构适用于网络架构支持机载数据网络与地面公共网络建立无线和有线的数据通信,全面有层次地分析设备的故障状态及原因,并给出相关联故障间的逻辑关系,以清晰完备的表达装备的故障模式层次,为检测、隔离及排除故障提供指导。
上述网络安全测试架构是一套针对飞机的网络架构进行安全性测试和风险评估的系统,开展网络安全风险评估对飞机安全保障的建设有积极的推动作用,可以结合应用场景实现针对飞机信息系统的公开脆弱性和鲁棒性测试,并支持飞机网络安保功能的适航取证工作。
通过对目标系统(例如,飞机网络系统)进行网络安全性测试,对信息系统进行测试和分析,确保系统免于有意或无意的数据和接口的攻击,评估并识别设计过程中存在的风险、纠正并增强设计,验证安保实现后的有效性,并建立所开发设备安保风险的可接受性;提高飞机的网络和信息系统的安全保护能力。
通过本实施例,可以通过软件实现对风险评估流程中的资产、威胁、脆弱性等风险要素的分类工作,实现了测评项目管理、资产识别、威胁识别、脆弱性识别、风险评估计算、评估报告生成等功能。提升日常安全管理的自动化程度,降低人力成本,提升工作效率。其不断积累和扩充符合民航特点的评估用例,可充分检测信息系统的安全脆弱点,自动提供安全性建议,协助组织提升信息系统的安全性,提升安全级别。
下面结合图4对本申请实施例中的网络安全测试方法进行说明。
在步骤S402中,创建第一评估任务,其中,第一评估任务为对飞机网络中的目标资产进行安全性测试的任务。
可以周期性的或者基于事件(例如,接收到评估指令)触发创建评估任务,生成的评估任务为可以对飞机网络中的资产或者应用场景进行安全性测试的任务。
被测试的资产可以是可遭受攻击或部分攻击的资源,包括:核心资产和支持资产。核心资产和支持资源与前述类似,在此不做赘述。被测试的场景可以是飞机网络中的任意应用场景。
作为一种可选的实施例,接收到操作指令,其中,操作指令用于对目标类型的资产执行目标操作,目标类型包括以下至少之一:应用软件,操作系统,硬件模块,芯片,目标操作包括以下至少之一:添加,修改,删除,更新,查询,导入,导出;响应操作指令,对目标类型的资产执行目标操作。
可以通过操作指令对不同类型的资产进行维护,实现资产的添加、修改、删除、更新、查询、导入/导出等。
通过本实施例,通过对不同类型的资产进行维护,可以提高资产管理的便捷性和合理性。
对于飞机网络中的目标资产,可以创建第一评估任务,以对目标资产进行安全性测试。
在步骤S404中,生成与第一评估任务对应的第一攻击信号,其中,第一攻击信号为用于对目标资产进行模拟攻击的仿真信号。
在创建第一评估任务之后,可以生成与该第一评估任务对应的第一攻击信号,该对应的第一攻击信号用于对目标资产进行模拟攻击。
作为一种可选的实施例,生成与第一评估任务对应的第一攻击信号包括:根据第一评估任务,生成激励信号,其中,激励信号用于触发生成第一攻击信号;响应激励信号,生成与第一评估任务对应的第一攻击信号。
第一攻击信号可以是基于激励信号生成的。根据第一评估任务,可以首先生成第一攻击信号的激励信号(可以是通过激励仿真系统生成激励信号),然后通过激励信号生成第一攻击信号(可以是将激励信号输入到攻击仿真系统,生成第一攻击信号)。
通过本实施例,通过激励信号的激发生成攻击信号,可以提高攻击信号生成的准确性。
在步骤S406中,将第一攻击信号输入到飞机网络中,得到第一监控数据,其中,第一监控数据为第一攻击信号对目标资产进行模拟攻击的监控数据。
将生成的第一攻击信号输入到飞机网络,或者,飞机网络中的部分(与所攻击的目标资产对应的网络部分),以通过第一攻击信号对目标资产进行模拟攻击。可以通过监控设备监控第一攻击信号对目标资产进行模拟攻击的过程中,得到第一监控数据。
第一监控数据可以是第一攻击信号对目标资产进行模拟攻击的过程中,目标资产的第一参数信息的变化数据,也可以是目标资产所关联的资产的第二参数信息的变化数据。监控数据的类型可以根据需要进行设定,本实施例中对此不作具体限定。
在步骤S408中,根据第一监控数据,生成目标评估报告,其中,目标评估报告包括用于表示使用第一攻击信号对目标资产进行模拟攻击的攻击完成情况的第一评估数据。
在得到第一监控数据后,可以根据第一监控数据,生成目标评估报告。上述目标评估报告可以是与第一监控数据对应的评估报告,也可以是与整个飞机网络对应的评估报告。目标评估报告至少包括:用于表示使用第一攻击信号对目标资产进行模拟攻击的攻击完成情况的第一评估数据。
作为一种可选的实施例,根据第一监控数据,生成目标评估报告包括:根据第一监控数据生成第一评估数据,其中,第一评估数据为在第一攻击信号对目标资产进行模拟攻击的过程中识别出的飞机网络的威胁信息和/或脆弱性信息;将第一评估数据合成到目标评估报告中。
在得到第一监控数据之后,可以根据第一监控数据生成第一评估数据,第一评估数据可以表示在第一攻击信号对目标资产进行模拟攻击的过程中识别出的飞机网络的威胁信息和/或脆弱性信息,上述威胁信息和/或脆弱性信息可以是与目标资产相关联的。
在生成第一评估数据之后,可以将第一评估数据合成到目标评估报告中。合成的时机可以是在:得到第一评估数据之后,也可以是在得到所有的评估数据之后,合成目标评估报告的方式可以根据需要进行设定,本实施例中的对此不作具体限定。
通过本实施例,通过评估在第一攻击信号对目标资产进行模拟攻击的过程中识别出的飞机网络的威胁信息和/或脆弱性信息,可以提高网络安全评估的准确性。
作为一种可选的实施例,根据第一监控数据生成第一评估数据包括:在通过评估工具集无法根据第一监控数据生成评估结果的情况下,将第一监控数据通过第一显示设备进行显示,其中,评估工具用于根据监控数据生成评估结果;接收通过第一输入设备输入的评估参数信息,其中,评估参数信息用于控制根据第一监控数据生成评估结果;根据第一监控数据和评估参数信息,生成第一评估结果。
针对试验结果工具集和策略无法给出判定的试验结果可进行人为的修正,如DDOS强力攻击、IP碎片、鲁棒性测试需要人工参与报告的生成,可对报告进行在线编辑。
可以通过第一显示设备(可以是上述第一显示器或者第二显示器)显示第一监控数据,同时可以显示评估数据模板,对于评估数据模板中能够根据第一监控数据得到的数据部分,可以自动填写,并将自动填写的部分设置为可编辑状态。
工作人员可以通过第一输入设备进行评估数据模板的编辑。第一输入设备(可以是上述第一输入输出设备或者第二输入输出设备)可以是鼠标,键盘等,也可以是触摸屏。通过第一输入设备可以获取到评估参数信息,其中,评估参数信息用于控制根据第一监控数据生成评估结果。
在得到第一评估参数信息之后,可以根据第一监控数据和评估参数信息,生成第一评估结果。例如,对于评估数据模板中与评估参数信息对应的部分,可以通过评估参数信息进行更新,对于评估数据模板中的其他部分,可以根据第一监控数据进行自动填写。
通过本实施例,在无法给出评估结果的情况下,通过人工参与报告的生成,可以提高生成的评估报告表征网络安全情况的能力。
作为一种可选的实施例,创建第二评估任务,其中,第二评估任务为对飞机网络中的目标场景进行安全性测试的任务;生成与第二评估任务对应的第二攻击信号,其中,第二攻击信号为用于对目标场景进行模拟攻击的仿真信号;将第二攻击信号输入到飞机网络中,得到第二监控数据,其中,第二监控数据为第二攻击信号对目标场景进行模拟攻击的监控数据。
除了目标资产的第一评估数据,目标评估报告还可以包括其他资产或者场景的评估数据。例如,与目标场景对应的评估数据。
可以通过创建第二评估任务,生成第二攻击信号,并使用第二攻击信号对目标场景进行模拟攻击,得到第二监控数据,以得到用于表示使用第二攻击信号对目标场景进行模拟攻击的攻击完成情况的第二评估数据。得到第二评估数据的方式与得到第一评估数据的方式类似,在此不做赘述。
在得到第二评估数据之后,可以将第二评估数据合成到目标评估报告中。
通过本实施例,通过将不同评估数据合成到目标评估报告中,可以提高目标评估报告表征飞机网络安全性的能力。
作为一种可选的实施例,在根据第一监控数据,生成目标评估报告之后,方法还包括:通过第二显示设备显示目标评估报告,其中,目标评估报告处于可编辑状态;接收通过第二输入设备输入的更新数据,更新数据用于更新目标评估报告中的目标评估数据;使用更新数据,更新目标评估报告中的目标评估数据。
对于生成的目标评估报告,可以进行在线编辑。可以通过第二显示设备(可以是上述第一显示器或者第二显示器)显示目标评估报告,此时,目标评估报告处于可编辑状态。
工作人员可以通过第二输入设备进行目标评估报告的编辑。第二输入设备(可以是上述第一输入输出设备或者第二输入输出设备)可以是鼠标,键盘等,也可以是触摸屏。
通过第二输入设备可以获取到更新数据,该更新数据可以用于更新目标评估报告中的目标评估数据,该目标评估数据可以对应于特定的资产或者场景。在接收到更新数据之后,可以使用更新数据更新目标评估报告中的目标评估数据,从而得到更新后的目标评估报告。
需要说明的是,更新数据所更新的可以是具体的数据,也可以是数据的表达方式,例如,更新数据在目标评估数据中的位置,将折线表示更新为直方图表示等等,更新目标评估报告的方式可以根据需要进行设定,本实施例中对此不作具体限定。
通过本实施例,根据第二输入设备输入的更新数据更新目标评估报告中的目标评估数据,可以提高生成的评估报告表征网络安全情况的能力。
作为一种可选的实施例,在根据第一监控数据,生成目标评估报告之后,可以从目标评估报告中提取出第一评估数据;按照第一评估数据,对使用第一攻击信号对目标资产进行模拟攻击的过程进行回放。
为了直观的展示模拟攻击过程,可以从目标评估报告中提取出第一评估数据,并按照第一评估数据,对第一攻击信号对目标资产进行模拟攻击的过程进行回放。模拟攻击过程的回放是可控的,例如,控制回放的速度(快进,快退,暂停,慢放,快放),回放的节点等。
通过本实施例,通过对模拟攻击过程进行回放,可以提高飞机网络评估过程的直观性,便于进行人工观察与控制。
下面结合可选示例对本申请实施例中的网络安全测试方法的说明。本示例中的试验为飞机网络安全评估试验。
如图8所示,本示例中的网络安全测试方法包括以下步骤:
步骤1,试验准备。
在试验之前可以准备必要的硬件平台和软件平台。
步骤2,试验指挥。
对试验过程进行指导,指挥整个试验过程的完成。
步骤3,试验过程监控。
在仿真试验的过程中,可以对整个仿真试验的过程进行监控,得到监控数据。得到的监控数据可以生成评估报告。
步骤4,过程回放。
可以通过设备对试验过程进行回放。
步骤5,试验人员。
试验人员可以参与评估报告的在线编辑。
步骤6,测试系统。
对于整个测试系统,可以进行必要的维护。同时,根据评估报告,可以对实际的飞机网络进行维护,更改飞机网络中的资产、场景等。并通过测试系统重新进行网络测试。
步骤7,动力能源。
在整个试验过程中,需要为试验系统提供必要的动力能源,以保证试验的顺利进行。
通过本示例,通过对飞机网络进行仿真试验,可以检测信息系统的安全脆弱点,提升系统的安全级别。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
根据本申请实施例的另一个方面,提供了一种用于实施上述实施例中的网络安全测试方法的网络安全测试装置。可选地,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图9是根据本申请实施例的一种可选的网络安全测试装置的结构框图,如图9所示,该装置包括:
(1)第一创建单元92,用于创建第一评估任务,其中,第一评估任务为对飞机网络中的目标资产进行安全性测试的任务;
(2)第一生成单元94,与第一创建单元92相连,用于生成与第一评估任务对应的第一攻击信号,其中,第一攻击信号为用于对目标资产进行模拟攻击的仿真信号;
(3)第一输入单元96,与第一生成单元94相连,用于将第一攻击信号输入到飞机网络中,得到第一监控数据,其中,第一监控数据为第一攻击信号对目标资产进行模拟攻击的监控数据;
(4)第二生成单元98,与第一输入单元96相连,用于根据第一监控数据,生成目标评估报告,其中,目标评估报告包括用于表示使用第一攻击信号对目标资产进行模拟攻击的攻击完成情况的第一评估数据。
可选地,第一创建单元92可以用于上述实施例中的步骤S402,第一生成单元94可以用于上述实施例中的步骤S404,第一输入单元96可以用于执行上述实施例中的步骤S406,第二生成单元98可以用于执行上述实施例中的步骤S408。
通过本实施例,采用仿真评测平台进行评测的方式,由于根据评估任务生成攻击信号,并通过攻击信号对飞机网络进行模拟攻击的方式进行网络评估,解决了相关技术中通过人工进行飞机网络安全测试和风险评估的方式,存在工作量大,易出现计算失误的问题,提升了飞机网络安全管理的自动化程度,降低了人力成本,提升了工作效率。作为一种可选的实施例,第一生成单元94包括:
(1)第一生成模块,用于根据第一评估任务,生成激励信号,其中,激励信号用于触发生成第一攻击信号;
(2)第二生成模块,用于响应激励信号,生成与第一评估任务对应的第一攻击信号。
作为一种可选的实施例,第二生成单元98包括:
(1)第三生成模块,用于根据第一监控数据生成第一评估数据,其中,第一评估数据为在第一攻击信号对目标资产进行模拟攻击的过程中识别出的飞机网络的威胁信息和/或脆弱性信息;
(2)合成模块,用于将第一评估数据合成到目标评估报告中。
作为一种可选的实施例,第三生成模块包括:
(1)显示子模块,用于在通过评估工具集无法根据第一监控数据生成评估结果的情况下,将第一监控数据通过第一显示设备进行显示,其中,评估工具用于根据监控数据生成评估结果;
(2)接收子模块,用于接收通过第一输入设备输入的评估参数信息,其中,评估参数信息用于控制根据第一监控数据生成评估结果;
(3)生成子模块,用于根据第一监控数据和评估参数信息,生成第一评估结果。
作为一种可选的实施例,上述装置还包括:
(1)显示单元,用于在根据第一监控数据,生成目标评估报告之后,通过第二显示设备显示目标评估报告,其中,目标评估报告处于可编辑状态;
(2)第一接收单元,用于接收通过第二输入设备输入的更新数据,更新数据用于更新目标评估报告中的目标评估数据;
(3)更新单元,用于使用更新数据,更新目标评估报告中的目标评估数据。
作为一种可选的实施例,上述装置还包括:
(1)提取单元,用于在根据第一监控数据,生成目标评估报告之后,从目标评估报告中提取出第一评估数据;
(2)回放单元,用于按照第一评估数据,对使用第一攻击信号对目标资产进行模拟攻击的过程进行回放。
作为一种可选的实施例,上述装置还包括:第二创建单元,第三生成单元和第二输入单元,第二生成单元98包括:第四生成模块,其中,
(1)第二创建单元,用于在将第一攻击信号输入到飞机网络中,得到第一监控数据之后,创建第二评估任务,其中,第二评估任务为对飞机网络中的目标场景进行安全性测试的任务;
(2)第三生成单元,用于生成与第二评估任务对应的第二攻击信号,其中,第二攻击信号为用于对目标场景进行模拟攻击的仿真信号;
(3)第二输入单元,用于将第二攻击信号输入到飞机网络中,得到第二监控数据,其中,第二监控数据为第二攻击信号对目标场景进行模拟攻击的监控数据;
(4)第四生成模块,用于根据第一监控数据和第二监控数据,生成目标评估报告,其中,目标评估报告还包括用于表示使用第二攻击信号对目标场景进行模拟攻击的攻击完成情况的第二评估数据。
作为一种可选的实施例,上述装置还包括:
(1)第二接收单元,用于在创建第一评估任务之前,接收到操作指令,其中,操作指令用于对目标类型的资产执行目标操作,目标类型包括以下至少之一:应用软件,操作系统,硬件模块,芯片,目标操作包括以下至少之一:添加,修改,删除,更新,查询,导入,导出;
(2)执行单元,用于响应操作指令,对目标类型的资产执行目标操作。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
根据本申请实施例的又一个方面,提供了一种计算机可读的存储介质。可选地,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行本申请实施例中所提供的上述任一项方法中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,创建第一评估任务,其中,第一评估任务为对飞机网络中的目标资产进行安全性测试的任务;
S2,生成与第一评估任务对应的第一攻击信号,其中,第一攻击信号为用于对目标资产进行模拟攻击的仿真信号;
S3,将第一攻击信号输入到飞机网络中,得到第一监控数据,其中,第一监控数据为第一攻击信号对目标资产进行模拟攻击的监控数据;
S4,根据第一监控数据,生成目标评估报告,其中,目标评估报告包括用于表示使用第一攻击信号对目标资产进行模拟攻击的攻击完成情况的第一评估数据。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、ROM、RAM、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
根据本申请实施例的又一个方面,提供了一种电子装置,包括:处理器(该存储器可以是图3中的处理器302)和存储器(该存储器可以是图3中的存储器304),该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行本申请实施例中所提供的上述任一项方法中的步骤。
可选地,上述电子装置还可以包括传输设备(该传输设备可以是图3中的传输设备306)以及输入输出设备(该输入输出设备可以是图3中的输入输出设备308),其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,创建第一评估任务,其中,第一评估任务为对飞机网络中的目标资产进行安全性测试的任务;
S2,生成与第一评估任务对应的第一攻击信号,其中,第一攻击信号为用于对目标资产进行模拟攻击的仿真信号;
S3,将第一攻击信号输入到飞机网络中,得到第一监控数据,其中,第一监控数据为第一攻击信号对目标资产进行模拟攻击的监控数据;
S4,根据第一监控数据,生成目标评估报告,其中,目标评估报告包括用于表示使用第一攻击信号对目标资产进行模拟攻击的攻击完成情况的第一评估数据。
可选地,本实施例中的可选示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本申请的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本申请不限制于任何特定的硬件和软件结合。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (13)
1.一种网络安全测试方法,其特征在于,包括:
创建第一评估任务,其中,所述第一评估任务为对飞机网络中的目标资产进行安全性测试的任务;
生成与所述第一评估任务对应的第一攻击信号,其中,所述第一攻击信号为用于对所述目标资产进行模拟攻击的仿真信号;
将所述第一攻击信号输入到所述飞机网络中,得到第一监控数据,其中,所述第一监控数据为所述第一攻击信号对所述目标资产进行模拟攻击的监控数据;
根据所述第一监控数据,生成目标评估报告,其中,所述目标评估报告包括用于表示使用所述第一攻击信号对所述目标资产进行模拟攻击的攻击完成情况的第一评估数据。
2.根据权利要求1所述的方法,其特征在于,生成与所述第一评估任务对应的所述第一攻击信号包括:
根据所述第一评估任务,生成激励信号,其中,所述激励信号用于触发生成所述第一攻击信号;
响应所述激励信号,生成与所述第一评估任务对应的所述第一攻击信号。
3.根据权利要求1所述的方法,其特征在于,根据所述第一监控数据,生成所述目标评估报告包括:
根据所述第一监控数据生成所述第一评估数据,其中,所述第一评估数据为在所述第一攻击信号对所述目标资产进行模拟攻击的过程中识别出的所述飞机网络的威胁信息和/或脆弱性信息;
将所述第一评估数据合成到所述目标评估报告中。
4.根据权利要求3所述的方法,其特征在于,根据所述第一监控数据生成所述第一评估数据包括:
在通过评估工具集无法根据所述第一监控数据生成评估结果的情况下,将所述第一监控数据通过第一显示设备进行显示,其中,所述评估工具用于根据监控数据生成评估结果;
接收通过第一输入设备输入的评估参数信息,其中,所述评估参数信息用于控制根据所述第一监控数据生成评估结果;
根据所述第一监控数据和所述评估参数信息,生成所述第一评估结果。
5.根据权利要求1所述的方法,其特征在于,在根据所述第一监控数据,生成所述目标评估报告之后,所述方法还包括:
通过第二显示设备显示所述目标评估报告,其中,所述目标评估报告处于可编辑状态;
接收通过第二输入设备输入的更新数据,所述更新数据用于更新所述目标评估报告中的目标评估数据;
使用所述更新数据,更新所述目标评估报告中的所述目标评估数据。
6.根据权利要求1所述的方法,其特征在于,在根据所述第一监控数据,生成所述目标评估报告之后,所述方法还包括:
从所述目标评估报告中提取出所述第一评估数据;
按照所述第一评估数据,对使用所述第一攻击信号对所述目标资产进行模拟攻击的过程进行回放。
7.根据权利要求1所述的方法,其特征在于,
在将所述第一攻击信号输入到所述飞机网络中,得到所述第一监控数据之后,所述方法还包括:创建第二评估任务,其中,所述第二评估任务为对所述飞机网络中的目标场景进行安全性测试的任务;生成与所述第二评估任务对应的第二攻击信号,其中,所述第二攻击信号为用于对所述目标场景进行模拟攻击的仿真信号;将所述第二攻击信号输入到所述飞机网络中,得到第二监控数据,其中,所述第二监控数据为所述第二攻击信号对所述目标场景进行模拟攻击的监控数据;
根据所述第一监控数据,生成所述目标评估报告包括:根据所述第一监控数据和所述第二监控数据,生成所述目标评估报告,其中,所述目标评估报告还包括用于表示使用所述第二攻击信号对所述目标场景进行模拟攻击的攻击完成情况的第二评估数据。
8.根据权利要求1至7中任一项所述的方法,其特征在于,在所述创建第一评估任务之前,所述方法还包括:
接收到操作指令,其中,所述操作指令用于对目标类型的资产执行目标操作,所述目标类型包括以下至少之一:应用软件,操作系统,硬件模块,芯片,所述目标操作包括以下至少之一:添加,修改,删除,更新,查询,导入,导出;
响应所述操作指令,对所述目标类型的资产执行所述目标操作。
9.一种网络安全测试装置,其特征在于,包括:
第一创建单元,用于创建第一评估任务,其中,所述第一评估任务为对飞机网络中的目标资产进行安全性测试的任务;
第一生成单元,用于生成与所述第一评估任务对应的第一攻击信号,其中,所述第一攻击信号为用于对所述目标资产进行模拟攻击的仿真信号;
第一输入单元,用于将所述第一攻击信号输入到所述飞机网络中,得到第一监控数据,其中,所述第一监控数据为所述第一攻击信号对所述目标资产进行模拟攻击的监控数据;
第二生成单元,用于根据所述第一监控数据,生成目标评估报告,其中,所述目标评估报告包括用于表示使用所述第一攻击信号对所述目标资产进行模拟攻击的攻击完成情况的第一评估数据。
10.一种网络安全测试平台,其特征在于,包括:显示终端,移动式机柜组,移动式操作台组,其中,
所述显示终端,装配有第一显示器和第一输入输出设备,用于对激励仿真系统和攻击仿真系统的显示进行控制,其中,所述激励仿真系统用于根据评估任务生成激励信号,所述攻击仿真系统用于根据所述激励信号生成攻击信号,并使用所述攻击信号对被测的飞机网络中的资产或者场景进行模拟攻击;
所述移动式机柜组,装配有数据采集系统,所述激励仿真系统,所述攻击仿真系统和安全网络失效评估系统,其中,所述数据采集系统用于对所述模拟攻击的过程进行数据采集,得到监控数据,所述安全网络失效评估系统用于根据所述监控数据,对所述飞机网络的网络安全性进行评估,得到评估报告;
所述移动式操作台组,装配有第二显示器和第二输入输出设备,用于对所述攻击仿真系统的攻击仿真过程和所述网络安全失效评估系统的评估过程进行控制。
11.根据权利要求10所述的平台,其特征在于,所述移动式机柜组包括:第一移动式机柜和第二移动式机柜,其中,
所述第一移动式机柜包括:
供配电组件,用于与为述第一服务器、第二服务器和工控机进行供电;
第一服务器,装配有试验总控,用于对网络安全性评估试验进行控制;
第二服务器,装配有所述安全网络失效评估系统;
工控机,装配有所述数据采集系统,所述激励仿真系统,所述攻击仿真系统;
第一全网管交换机,连接器接口,第一风扇组合,第一内/外部电缆网,存储箱;
所述第二移动式机柜包括:
运行有所述飞机网络的被测单元,以太网分析仪,第二全网管交换机,第二风扇组合,第二内/外部电缆网。
12.一种计算机可读的存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至8中任一项所述的方法。
13.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为通过所述计算机程序执行权利要求1至8中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010012358.1A CN111245806A (zh) | 2020-01-06 | 2020-01-06 | 网络安全测试方法、装置和平台、存储介质和电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010012358.1A CN111245806A (zh) | 2020-01-06 | 2020-01-06 | 网络安全测试方法、装置和平台、存储介质和电子装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111245806A true CN111245806A (zh) | 2020-06-05 |
Family
ID=70875971
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010012358.1A Pending CN111245806A (zh) | 2020-01-06 | 2020-01-06 | 网络安全测试方法、装置和平台、存储介质和电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111245806A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112637873A (zh) * | 2020-12-21 | 2021-04-09 | 中国人民解放军军事科学院国防科技创新研究院 | 基于无人系统无线通信网络的鲁棒性测试方法及装置 |
| CN112997467A (zh) * | 2020-09-18 | 2021-06-18 | 华为技术有限公司 | 入侵监控系统、方法及相关产品 |
| CN113014589A (zh) * | 2021-03-05 | 2021-06-22 | 公安部第三研究所 | 一种5g通信安全测试的方法及系统 |
| CN113364740A (zh) * | 2021-05-13 | 2021-09-07 | 中国航空工业集团公司西安航空计算技术研究所 | 一种民用飞机机载信息系统网络安保测试系统及方法 |
| CN114095250A (zh) * | 2021-11-19 | 2022-02-25 | 成都卓源网络科技有限公司 | 一种网络安全性测试分析系统 |
| CN114189459A (zh) * | 2021-12-10 | 2022-03-15 | 中国电子科技集团公司第十五研究所 | 一种隔离网络通信安全性评估方法及装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1866817A (zh) * | 2006-06-15 | 2006-11-22 | 北京华景中天信息技术有限公司 | 网站安全风险评估方法和系统 |
| CN101699815A (zh) * | 2009-10-30 | 2010-04-28 | 华南师范大学 | 一种网络攻击自动执行/展现的系统及方法 |
| CN106506545A (zh) * | 2016-12-21 | 2017-03-15 | 深圳市深信服电子科技有限公司 | 一种网络安全威胁评估系统及方法 |
| US20170201548A1 (en) * | 2016-01-08 | 2017-07-13 | Secureworks Holding Corporation | Systems and Methods for Security Configuration |
| CN107239905A (zh) * | 2017-06-08 | 2017-10-10 | 中国民航大学 | 基于改进ahp‑gcm的机载网络安全风险评估方法 |
| CN108111482A (zh) * | 2017-11-24 | 2018-06-01 | 国网天津市电力公司电力科学研究院 | 一种智能电网工业控制网络安全测试系统和测试方法 |
| CN108370370A (zh) * | 2015-12-14 | 2018-08-03 | 西门子股份公司 | 用于被动评估工业边界安全的系统和方法 |
| CN110098951A (zh) * | 2019-03-04 | 2019-08-06 | 西安电子科技大学 | 一种基于虚拟化技术的网络攻防虚拟仿真与安全评估方法及系统 |
-
2020
- 2020-01-06 CN CN202010012358.1A patent/CN111245806A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1866817A (zh) * | 2006-06-15 | 2006-11-22 | 北京华景中天信息技术有限公司 | 网站安全风险评估方法和系统 |
| CN101699815A (zh) * | 2009-10-30 | 2010-04-28 | 华南师范大学 | 一种网络攻击自动执行/展现的系统及方法 |
| CN108370370A (zh) * | 2015-12-14 | 2018-08-03 | 西门子股份公司 | 用于被动评估工业边界安全的系统和方法 |
| US20170201548A1 (en) * | 2016-01-08 | 2017-07-13 | Secureworks Holding Corporation | Systems and Methods for Security Configuration |
| CN106506545A (zh) * | 2016-12-21 | 2017-03-15 | 深圳市深信服电子科技有限公司 | 一种网络安全威胁评估系统及方法 |
| CN107239905A (zh) * | 2017-06-08 | 2017-10-10 | 中国民航大学 | 基于改进ahp‑gcm的机载网络安全风险评估方法 |
| CN108111482A (zh) * | 2017-11-24 | 2018-06-01 | 国网天津市电力公司电力科学研究院 | 一种智能电网工业控制网络安全测试系统和测试方法 |
| CN110098951A (zh) * | 2019-03-04 | 2019-08-06 | 西安电子科技大学 | 一种基于虚拟化技术的网络攻防虚拟仿真与安全评估方法及系统 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112997467A (zh) * | 2020-09-18 | 2021-06-18 | 华为技术有限公司 | 入侵监控系统、方法及相关产品 |
| CN112997467B (zh) * | 2020-09-18 | 2022-08-19 | 华为技术有限公司 | 入侵监控系统、方法及相关产品 |
| CN112637873A (zh) * | 2020-12-21 | 2021-04-09 | 中国人民解放军军事科学院国防科技创新研究院 | 基于无人系统无线通信网络的鲁棒性测试方法及装置 |
| CN113014589A (zh) * | 2021-03-05 | 2021-06-22 | 公安部第三研究所 | 一种5g通信安全测试的方法及系统 |
| CN113364740A (zh) * | 2021-05-13 | 2021-09-07 | 中国航空工业集团公司西安航空计算技术研究所 | 一种民用飞机机载信息系统网络安保测试系统及方法 |
| CN114095250A (zh) * | 2021-11-19 | 2022-02-25 | 成都卓源网络科技有限公司 | 一种网络安全性测试分析系统 |
| CN114095250B (zh) * | 2021-11-19 | 2023-12-01 | 成都卓源网络科技有限公司 | 一种网络安全性测试分析系统 |
| CN114189459A (zh) * | 2021-12-10 | 2022-03-15 | 中国电子科技集团公司第十五研究所 | 一种隔离网络通信安全性评估方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111245806A (zh) | 网络安全测试方法、装置和平台、存储介质和电子装置 | |
| CN113067728B (zh) | 一种网络安全攻防试验平台 | |
| CN110636131B (zh) | 一种基于云技术的物联网测试系统 | |
| CN111124850A (zh) | Mqtt服务器性能测试方法、系统、计算机设备及存储介质 | |
| Chen et al. | Implementing a real-time cyber-physical system test bed in RTDS and OPNET | |
| CN106327355B (zh) | 一种变电站改扩建工程二次设备仿真调试系统及实现方法 | |
| CN107273748B (zh) | 一种基于漏洞poc实现安卓系统漏洞检测的方法 | |
| CN112153010A (zh) | 一种网络安全靶场系统及其运行方法 | |
| US11743155B2 (en) | Systems and methods of monitoring and controlling remote assets | |
| CN109905492B (zh) | 基于分布式模块化数据中心的安全运营管理系统及方法 | |
| CN109639446A (zh) | Fpga设备、基于fpga设备的云系统 | |
| CN102970376A (zh) | 集群配置方法和装置 | |
| CN103684924B (zh) | 一种测试系统和一种测试方法 | |
| CN117193249A (zh) | 一种复杂航电系统测试与集成验证平台 | |
| CN109660386A (zh) | 一种半导体存储器老化测试系统软件升级方法 | |
| CN108594791A (zh) | 用于综合航电设备的集成验证系统 | |
| Kim et al. | Reality vs emulation: Running real mobility traces on a mobile wireless testbed | |
| US11281611B2 (en) | General purpose interface bus (GPIB) sniffer system and method | |
| Salazar et al. | Towards a high-fidelity network emulation of IEC 104 SCADA systems | |
| CN108875227B (zh) | 一种基于直升机多模拟器同步性的测试方法 | |
| CN113342632A (zh) | 仿真数据自动化处理方法、装置、电子设备及存储介质 | |
| US8583316B2 (en) | Checking of a communication system for an aircraft under development | |
| CN115314481B (zh) | 基于iec101/iec104的模拟主站通讯方法及系统 | |
| RU2729110C1 (ru) | Интеллектуальная система технического обслуживания для самолета | |
| Leszczyna et al. | Security evaluation of IT systems underlying critical networked infrastructures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200605 |