CN112052245B

CN112052245B - 网络安全训练中攻击行为的评判方法和装置

Info

Publication number: CN112052245B
Application number: CN202010954219.0A
Authority: CN
Inventors: 邱菡; 刘自勉; 朱俊虎; 周天阳; 曾子懿; 郭伟; 李航天; 陶礼靖; 刘正
Original assignee: Information Engineering University of PLA Strategic Support Force
Current assignee: Information Engineering University of PLA Strategic Support Force
Priority date: 2020-09-11
Filing date: 2020-09-11
Publication date: 2022-10-21
Anticipated expiration: 2040-09-11
Also published as: CN112052245A

Abstract

本申请提供一种网络安全训练中攻击行为的评判方法和装置，该方法包括：从网络安全训练系统的训练场景采集训练数据；训练数据包括日志数据，流量数据，主机状态数据和结果数据；利用模式匹配和异常检测方法从训练数据中识别得到安全训练过程中发生的攻击行为；针对训练报告所描述的每一项攻击行为，若攻击行为属于识别得到的攻击行为，确定该攻击行为的评判结果为完成行为；若该攻击行为不属于识别得到的攻击行为，从训练数据中检索得到该攻击行为的关联数据，并根据关联数据确定该攻击行为的评判结果。本方案通过识别训练过程中的攻击行为，确定训练报告中描述的攻击行为的评判结果，实现对训练报告的自动评判，从而提高安全训练的效率。

Description

网络安全训练中攻击行为的评判方法和装置

技术领域

本发明涉及网络安全技术领域，特别涉及一种网络安全训练中攻击行为的评判方法和装置。

背景技术

现代社会中，对互联网的应用涉及工作和生活的方方面面，因此，网络安全也愈发受到重视。网络安全训练系统是一种用于对网络安全的维护人员进行培训的系统。现有的网络安全训练系统只能对体现攻击结果的字符串进行模式匹配，从而识别出攻击行为，而完成安全训练过程后对受训者的攻击行为和对应结果的评判普遍需要依赖施训者对受训者提供的训练报告进行人工评判，评判效率低下且难以验证报告的真实性。这严重影响了安全训练的效率和可靠性。

发明内容

针对上述现有技术存在的问题，本申请提供一种网络安全训练中攻击行为的评判方法和装置，以提供一种对基于网络安全训练系统的安全训练过程的自动评判方案。

本申请提供一种网络安全训练中攻击行为的评判方法，包括：

从网络安全训练系统的训练场景采集训练数据；其中，所述训练数据包括在安全训练过程对应的日志数据，流量数据，主机状态数据和结果数据；

利用模式匹配和异常检测方法从所述训练数据中识别得到所述安全训练过程中发生的攻击行为；

针对所述安全训练过程对应的训练报告所描述的每一项攻击行为，若所述攻击行为属于识别得到的攻击行为，确定所述攻击行为的评判结果为完成行为；

针对所述安全训练过程对应的训练报告所描述的每一项攻击行为，若所述攻击行为不属于识别得到的攻击行为，从所述训练数据中检索得到所述攻击行为的关联数据，并根据所述攻击行为的关联数据确定所述攻击行为的评判结果；其中，评判结果包括完成行为和未完成行为。

可选的，所述从网络安全训练系统的训练场景采集训练数据，包括：

在安全训练过程中，实时从训练场景中采集训练数据；

对采集到的所述训练数据进行结构化处理，得到结构化训练数据；

将所述结构化训练数据存储至分布式存储系统中与所述结构化训练数据所属的数据主题对应的物理分区。

可选的，所述利用模式匹配和异常检测方法从所述训练数据中识别得到所述安全训练过程中发生的攻击行为，包括：

利用预期攻击行为的行为特征在所述训练数据中进行模式匹配，并根据匹配结果识别得到所述安全训练过程中发生的预期攻击行为；

利用机器学习方法检测所述训练数据，得到所述安全训练过程中发生的非预期攻击行为。

可选的，获得预期攻击行为的行为特征的方法包括：

根据所述训练场景的网络拓扑结构，预设的所述训练场景的每一个网络节点的节点漏洞，以及每两个漏洞之间的依赖关系，确定所述训练场景对应的可选攻击方法；

获取所述可选攻击方法对应的多种预设的备选行为特征；

在所述训练场景中根据所述可选攻击方法模拟执行对应的攻击行为，并收集模拟执行所述攻击行为时的安全数据；

针对每一种备选行为特征，利用所述备选行为特征在所述安全数据中进行模式匹配，若匹配成功，则确定所述攻击行为是预期攻击行为，并确定所述备选行为特征是所述预期攻击行为的行为特征。

可选的，所述从所述训练数据中检索得到所述攻击行为的关联数据，包括：

确定受训者利用所述攻击行为获得对应的结果数据的时间点，并将所述时间点之前的预设时长确定为检索时间范围；

从所述训练数据中检索得到每一项对应的时间戳位于所述检索时间范围内的训练数据，并将检索得到的训练数据作为所述攻击行为的关联数据。

可选的，还包括：

在行为展示列表中展示每一项在所述训练报告中存在对应的描述、且评判结果为完成行为的攻击行为。

本申请第二方面提供一种网络安全训练中攻击行为的评判装置，包括：

数据采集单元，用于从网络安全训练系统的训练场景采集训练数据；其中，所述训练数据包括在安全训练过程对应的日志数据，流量数据，主机状态数据和结果数据；

行为识别单元，用于利用模式匹配和异常检测方法从所述训练数据中识别得到所述安全训练过程中发生的攻击行为；

评判单元，用于针对所述安全训练过程对应的训练报告所描述的每一项攻击行为，若所述攻击行为属于识别得到的攻击行为，确定所述攻击行为的评判结果为完成行为；

所述评判单元，用于针对所述安全训练过程对应的训练报告所描述的每一项攻击行为，若所述攻击行为不属于识别得到的攻击行为，从所述训练数据中检索得到所述攻击行为的关联数据，并根据所述攻击行为的关联数据确定所述攻击行为的评判结果；其中，评判结果包括完成行为和未完成行为。

可选的，所述数据采集单元从网络安全训练系统的训练场景采集训练数据时，具体用于：

在安全训练过程中，实时从训练场景中采集训练数据；

可选的，所述行为识别单元包括：

模式匹配单元，用于获得预期攻击行为的行为特征，利用所述预期攻击行为的行为特征在所述训练数据中进行模式匹配，并根据匹配结果识别得到所述安全训练过程中发生的预期攻击行为；

异常检测单元，用于利用机器学习方法检测所述训练数据，得到所述安全训练过程中发生的非预期攻击行为。

可选的，所述模式匹配单元获得预期攻击行为的行为特征时，具体用于：

获取所述可选攻击方法对应的多种预设的备选行为特征；

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例提供的一种网络安全训练中攻击行为的评判方法的流程图；

图2为本申请实施例提供的一种数据采集框架的结构示意图；

图3为本申请实施例提供的一种索引模板和对应的索引示例的示意图；

图4为本申请实施例提供的一种属性攻击图和攻击路径的示意图；

图5为本申请实施例提供的一种网络安全训练中攻击行为的评判装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

近来，随着互联网的普及，针对网络安全方面的培训愈发受到重视，网络安全系统就是一种在网络安全培训中常用的工具。在网络安全系统中，施训者可以按一定的训练目的，搭建具有特定网络拓扑结构的虚拟网络(构建的虚拟网络相当于一个用于进行网络安全训练的训练场景)，虚拟网络由若干个主机(可以是网络安全训练系统虚拟的主机，也可以是真实的物理主机)组成，施训者在其中每个主机上都根据训练目的设计了相应的系统漏洞，受训者可以在上述虚拟网络中执行针对上述预设的系统漏洞的攻击行为，通过这种方式受训者可以充分了解针对各种漏洞可能的攻击行为，从而在维护网络安全时更好的针对每一种攻击行为进行防范。

为了确定受训者所采取的攻击行为，本申请提供了一种网络安全训练中攻击行为的评判方法以及用于执行该方法的系统，本申请提供的方案可以根据训练场景中采集到的训练数据识别出训练过程中实际发生的攻击行为，然后基于识别得到的实际发生的攻击行为对受训者提供的训练报告进行自动评判，从而提高网络安全训练的效率。

请参考图1，本申请实施例提供的针对网络安全训练中攻击行为的评判方法可以包括以下步骤；

S101、从网络安全训练系统的训练场景采集训练数据。

其中，训练数据包括在安全训练过程对应的日志数据，流量数据，主机状态数据和结果数据。

结果数据是指训练报告中由受训者提交的旗标。对应的，每一台主机中由施训者预设的旗标(flag)，旗标可以理解为特定的一个字符串，受训者在安全训练过程中以获得主机中的旗标为目的对主机采取攻击行为，并在训练报告中上传自己通过攻击主机而获得的旗标，施训者或者用于进行评判的程序可以比对训练报告中提交的旗标(即上述结果数据)和施训者预设的旗标是否一致，从而确定受训者采取的攻击行为是否成功。

S102、利用模式匹配和异常检测方法从训练数据中识别得到安全训练过程中实际发生的攻击行为。

S103、将训练报告描述的攻击行为和识别得到的攻击行为进行匹配。

S104、针对训练报告描述的每一项攻击行为，若攻击行为属于识别得到的攻击行为，确定该攻击行为的评判结果为完成行为。

S105、针对训练报告描述的每一项攻击行为，若攻击行为不属于识别得到的攻击行为，从训练数据中检索得到该攻击行为的关联数据。

S106、针对不属于识别得到的攻击行为、且在训练报告中有对应描述的攻击行为，根据其关联数据确定该攻击行为的评判结果。

本申请提供一种网络安全训练中攻击行为的评判方法，该方法包括：从网络安全训练系统的训练场景采集训练数据；训练数据包括日志数据，流量数据，主机状态数据和结果数据；利用模式匹配和异常检测方法从训练数据中识别得到安全训练过程中发生的攻击行为；针对训练报告所描述的每一项攻击行为，若攻击行为属于识别得到的攻击行为，确定该攻击行为的评判结果为完成行为；若该攻击行为不属于识别得到的攻击行为，从训练数据中检索得到该攻击行为的关联数据，并根据关联数据确定该攻击行为的评判结果。本方案通过识别训练过程中的攻击行为，确定训练报告中描述的攻击行为的评判结果，实现对训练报告的自动评判，从而提高安全训练的效率。

下面针对如图1所示的实施例中的相关步骤进行具体的说明：

在步骤S101中，采集训练数据具体包括三个方面，第一方面是直接接收训练场景中各个主机反馈的原始数据，第二方面是对原始数据进行汇聚，第三方面是为汇聚后的数据分配索引，以便支持后续对训练数据的检索。

步骤S101中，对数据的采集和汇聚可以通过基于Kafka框架设计的数据采集和汇聚程序实现。Kafka是一种现有的开源的数据流处理平台，该平台主要由producer(生产者)，broker(分类者)和consumer(消费者)三种不同角色的程序组成，每一种角色的程序用于实现对应的功能。

在本申请所提供的方案，由多个具有数据采集功能的数据采集程序(即数据采集器)承担Kafka框架中的producer角色，producer会在安全训练过程中实时从训练场景中采集训练数据，即上述日志数据，流量数据，主机状态数据和结果数据，并且对采集到的训练数据进行结构化处理，得到结构化训练数据(例如，JSON格式的训练数据就是一种结构化数据)。

由于训练场景由施训人员搭建，网络拓扑和网络节点漏洞都已知，因此网络安全训练中绝大部分的攻击行为都是可以预期的。由于能够预先确定需要收集的数据，在收集过程中对数据进行初步处理，将收集的原始数据转换为JSON格式的数据，可以使同种数据类型的字段相对固定，方便后续分配索引。

在本申请中，Kafka中的broker角色可以用于将producer提供的训练数据按不同的主题(topic)进行分类，然后将分类后不同主题的训练数据存储至该主题对应的物理分区(partition)中，此处不同的物理分区，可以指代用于存储训练数据的服务器集群中的多个不同的服务器，或者同一服务器的不同硬盘。

可选的，可以根据训练场景的类别设置上述主题，一种可选的主题划分方式可以是，划分为针对Ubuntu系统的训练数据，针对Window的训练数据，针对Android系统的训练数据等。

在这种分类存储的方案中，只需要合理设置topic和partition之间的对应关系，一方面可以利用partition机制实现服务器集群中的负载均衡，另一方面，由于数据数据能均匀分布到不同的partition里，读取和写入数据时就能够同时从多个partition中并行的读写，从而提高数据吞吐效率。

步骤S101中分配索引的环节，由Kafka中的consumer和搜索引擎Elasticsearch实现。Elasticsearch是一种现有的数据搜索引擎，在本申请提供的方案中，Elasticsearch和Kafka中的consumer可以组成ELK框架。其中，Kafka中的consumer可以由Logstash(一款开源的数据收集引擎)承担，consumer可以将各partition中存储的数据传输给搜索引擎Elasticsearch，由搜索引擎为每一条数据分配对应的索引，以便在后续步骤中支持对大量训练数据的检索。

对训练数据的检索需求主要有：第一，在训练过程中，施训人员(施训者)可能需要实时的检查受训者所采取的训练行为，这时就需要快速而准确的检索出最新采集到的，并且和指定的受训者相关的数据。第二，在训练结束后，当检测出某个受训者存在异常情况时，需要检索相关的数据以便验证该受训者的训练报告，就需要快速定位和该受训者相关的数据。

Elasticsearch这一搜索引擎，本身具有全文快速检索的功能，能够自动索引文档中的所有字段。当数据传入时，它会自动对新的字段创建索引，这就给数据的汇聚和检索带来两个问题，一是导致汇聚速度下降，创建新的字段索引需要消耗一定的时间，因此会降低汇聚速度；二是创立的字段属性不一定准确，这就给数据检索和进一步利用带来麻烦。

而在网络安全训练中，能够预先确定需要收集的数据，因此可以利用Elasticsearch自身的Mapping机制在开始执行本方案的数据汇聚之前预先建立索引和字段之间的映射关系，而不需要在汇聚数据的过程中实时建立对新的字段建立索引，从而提高数据汇聚以及配置索引的效率和准确度。

本申请提供的方案所应用的Kafka框架和ELK框架的架构示意图可以参考图2。

一般的，在Elasticsearch里，数据以Index为索引，Index相当数据库中“表”的概念，每一条数据(也可以称为一条记录)对应有一个Index，结构像是的多条数据组成一个Type(类型)，根据索引Index和数据所属的Type，就可以对数据进行过滤。在本方案中，Elasticsearch的Mapping机制，其实质就是，针对每一种训练场景，为该训练场景下需要收集的训练数据所属的字段根据如图3所示索引模板的创建字段和索引之间的基础映射，并指定字段的属性(例如如何处理该字段，这样，针对采集到的每一条数据，就可以根据该数据所属的训练场景的类型，以及该数据所属的字段为其确定对应的索引。

下面提供一个具体的示例，仍然参考图3：

假设训练场景是针对Ubuntu系统的训练场景，在该场景下采集到的系统日志数据转换为结构化的JSON数据后，得到的结果为：

{

"date":"Oct19",

"info":"tpvmlpd2[1245]:aborting",

"host":"ubuntu",

"time":"00:25:35"

}

其中每一行表示一条数据(记录)，可以看出，其中每一条数据所对应的训练场景的类型为Ubuntu系统，因此，用Ubuntu系统对应的索引(记为UbuntuIndex)作为上述数据的索引，并且，上述数据的结构相似，均为系统日志所采用的结构，因此可以将这些数据对应的Type确定为syslog，这样，后续检索的时候就可以依据UbuntuIndex和syslog这两个标签检索到上述数据。

在步骤S102中，对安全训练过程中实际发生的攻击行为的识别，主要依赖于模式匹配和异常检测两种方法。

也就是说，步骤S102具体可以包括以下两方面的动作：

第一方面，利用预期攻击行为的行为特征在训练数据中进行模式匹配，并根据匹配结果识别得到安全训练过程中发生的预期攻击行为。

第二方面，利用机器学习方法检测训练数据，得到安全训练过程中发生的非预期攻击行为。

对于第一方面，施训者在构建好训练场景之后，可以根据训练场景的网络拓扑结构和其中各个网络节点的设置好的漏洞，预测受训者会在训练过程中采取哪些攻击行为，这些由施训者预测可能会发生的攻击行为，就是上述预期攻击行为，相应的，这些预测可能发生的攻击行为的行为特征，就是上述预期攻击行为的行为特征。

在第一方面中，施训者可以根据训练场景的网络拓扑结构，预设的训练场景的每一个网络节点的节点漏洞，以及每两个漏洞之间的依赖关系，确定出训练场景中从攻击机到目标机的攻击路径，进而根据攻击路径确定该训练场景的可选攻击方法。

攻击机是指训练场景中由受训者直接操作的主机，目标机是指受训者最终要获得其中存储的旗标的主机，在一个训练场景中可以有多台目标机，也就是说，受训者可能需要攻击训练场景中的多台主机，以获得其中每一台主机的旗标。

确定从攻击机到目标机的攻击路径的方法可以是，首先，构建由受训者搭建的训练场景的网络拓扑，然后，列举出训练场景中每个网络节点中存在的漏洞信息，并列举出针对该漏洞的一个或多个漏洞利用方法。

其中，每一个节点具体有哪些漏洞，每一个漏洞的漏洞信息和漏洞利用方法均是施训者已知的信息。

获得上述信息后，可以根据网络拓扑结构，漏洞信息和漏洞利用方法，构建训练场景中多个漏洞之间的漏洞依赖关系，多个漏洞之间的漏洞利用依赖关系可以用如图4所示的属性攻击图表示，进一步的，如图4所示，获得攻击属性图之后，从攻击机指向目标机的若干条有向线段的组合，就构成训练场景中的一条攻击路径。

图4是攻击属性图的一个示例，在该示例中，图中user(0)表示主机0存在一个漏洞，利用该漏洞需要获得主机0的权限，sshd_bof(0,1)表示主机1存在sshd漏洞，可以通过漏洞利用拿到主机1的user权限。

确定了训练场景的可选攻击方法后，可以在网络安全技术领域已知的多种攻击行为的行为特征中选取可选攻击方法对应的多种备选行为特征，以及每一种备选行为特征对应的攻击行为的检测方法。

之后，可以在训练场景中模拟执行针对目标机的攻击行为，并收集相应的安全数据。针对收集到的安全数据(包括但不限于流量数据和日志数据)，可以利用每一种备选行为特征在安全数据中进行模式匹配，若任意一种备选行为特征匹配成功，则确定模拟执行的这种攻击行为是预期攻击行为，并确定匹配成功的备选行为特征，是预期攻击行为的行为特征。

针对网络中的主机采取攻击行为后，被攻击的主机的数据(包括日志数据，流量数据和主机状态数据)中会留存部分由该攻击行为产生的数据，这些留存的数据相当于该攻击行为的痕迹。

假设针对某一种攻击行为，若该攻击行为每次被执行之后，该攻击行为的痕迹中均包括一个特定的字符串，那么这个字符串就是该攻击行为对应的一个行为特征。

也就是说，若某一攻击行为每次被执行后，被攻击的主机中均会出现一条特定的数据，则该数据就是该攻击行为的行为特征。

相应的，上述模式匹配，可以理解为，在安全数据中查找是否出现和备选行为特征一致的数据，若存在和备选行为特征一致的数据，则模式匹配成功。

具体的，若备选行为特征一般出现在日志中，则可以直接用文本匹配的方法在日志数据中查找和备选行为特征一致的数据。若备选行为特征一般体现在流量数据中，则首先可以通过建立snort规则(Snort是一种现有的入侵检测系统，建立snort规则，可以理解为，在该系统中设定相应的转换规则)将攻击流量数据转换为流量日志，然后用文本匹配的方法在流量日志中查找和备选行为特征一致的数据。

针对第二方面，即利用机器学习方法检测训练数据，得到安全训练过程中发生的非预期攻击行为，其具体执行过程可以是：

首先，基于KNN算法(又称，最邻近节点算法，一种现有的数据挖掘算法)对公开的攻击数据集进行训练，形成用于检测多种攻击行为的攻击行为识别模型，然后利用攻击行为识别模型在训练数据中识别出非预期攻击行为。

本方案中的非预期攻击行为，用于指代除施训者预测的可采取的攻击行为以外的其他攻击行为。比如对web服务器的攻击，施训预测可采取sql注入这一攻击行为，而未预测到可以采取XSS攻击这一攻击行为，此时若在安全训练过程中受训者采取了XSS攻击，则XSS攻击就属于安全训练过程中发生的非预期攻击行为。

可选的，步骤S102中识别出来的攻击行为可以在相应的显示设备上果进行实时动态的展示，展示的内容包括行为发生的位置和时间、行为类型以及行为结果。

步骤S103至步骤S106可以理解为根据步骤S102中识别得到的攻击行为对训练报告进行评判的过程。

下面，结合具体的例子对上述评判过程进行说明。假设训练报告中存在针对攻击行为A1，A2，A3和A4的描述，并且这些攻击行为的攻击结果均为攻击成功，换言之，受训者表示其在安全训练过程中成功采取了这些攻击行为，那么，可以将训练报告描述的这些行为和步骤S102中识别得到的实际发生的攻击行为进行比对，获得对应的比对结果：

其中，假设训练报告描述的攻击行为A1是预期攻击行为，并且步骤S102中通过模式匹配也识别出安全训练过程中实际发生过A1行为，则确定攻击行为A1的评判结果为完成行为。

假设训练报告描述的攻击行为A2是预期攻击行为，但是步骤S102中未通过模式匹配识别的攻击行为A2，也就是说训练报告描述的攻击行为A2不属于步骤S102中识别得到的攻击行为，则可能是模式匹配程序出现故障，此时可以向施训者发出提示信息，以提示施训者修复模式匹配程序。

假设训练报告描述的攻击行为A3不是预期攻击行为，并且步骤S102中为未通过异常检测方法识别得到该攻击行为，也就是未能利用前述攻击行为识别模型从训练数据中识别出攻击行为A3，则训练报告描述的攻击行为A3也不属于步骤S102中识别得到的攻击行为。

假设训练报告描述的攻击行为A4不是预期攻击行为(即模式匹配方法无法识别)，但是在步骤S102中通过异常检测方法识别得到该攻击行为，则确定攻击行为A4的评判结果为完成行为。

其中，若一个攻击行为满足，在训练报告中存在对应的描述，但是不属于步骤S102中识别得到的攻击行为，并且攻击结果为攻击成功，即受训者提供了正确的旗标(flag)，则该攻击行为可以称为异常攻击行为。可以看出，前述例子中攻击行为A2和攻击行为A3均属于异常攻击行为。

从训练报告描述的攻击行为中确定出异常攻击行为后，可以针对每一异常攻击行为，从前述训练数据中检索得到异常攻击行为的关联数据，具体的检索方法可以是：

首先，以训练场景的ID作为索引，检索出执行异常攻击行为的受训者的所有训练数据，然后确定受训者在训练报告中描述的异常攻击行为以及受训者采用这一异常攻击行为后获得对应的旗标的时间戳(设为T0)，从受训者的所有训练数据中，找到每一项对应的时间戳位于检索时间范围内的训练数据，找到的这些数据，就是异常攻击行为的关联数据。

上述检索时间范围，是受训者采用这一异常攻击行为后获得对应的旗标的时间戳(即前述T0)为终点的，位于T0之前的一段预设的时长，例如，预设的时长可以是5min(分钟)，相应的，检索时间范围可以是，从T0-5min到T0之间的这段时间。

获得异常攻击行为的关联数据后，就可以利用异常攻击行为对应的专有的检测方法，对关联数据进行检测，以判断在安全训练过程中是否实际发生了受训者在训练报告中描述的异常攻击行为。

可选的，上述判断也可以由施训者通过人工比对关联数据和训练报告的方式实现。

对于每一项异常攻击行为，若判断出在安全训练过程中实际未发生该攻击行为，则确定其评判结果为未完成行为，换言之，也就是确定受训者未采取其在训练报告中描述的这一攻击行为。

若判断出一项异常攻击行为在安全训练过程中实际发生，则确定其评判结果为完成行为。

可选的，在获得训练报告中描述的每一种攻击行为的评判结果后，可以在行为展示列表中展示每一项在训练报告中存在对应的描述、且评判结果为完成行为的攻击行为。

请参考图5，结合本申请任一实施例提供的评判方法，本申请实施例还提供一种网络安全训练的评判装置，该装置可以包括：

数据采集单元501，用于从网络安全训练系统的训练场景采集训练数据。

行为识别单元502，用于利用模式匹配和异常检测方法从训练数据中识别得到安全训练过程中发生的攻击行为。

评判单元503，用于：

针对安全训练过程对应的训练报告所描述的每一项攻击行为，若攻击行为属于识别得到的攻击行为，确定攻击行为的评判结果为完成行为；

针对安全训练过程对应的训练报告所描述的每一项攻击行为，若攻击行为不属于识别得到的攻击行为，从训练数据中检索得到攻击行为的关联数据，并根据攻击行为的关联数据确定攻击行为的评判结果；其中，评判结果包括完成行为和未完成行为。

其中，数据采集单元501可以包括：

采集单元，用于在安全训练过程中，实时从训练场景中采集训练数据。

汇聚单元，对采集到的训练数据进行结构化处理，得到结构化训练数据；将结构化训练数据存储至分布式存储系统中与结构化训练数据所属的数据主题对应的物理分区。

检索单元，用于为结构化的数据配置索引并提供对结构化数据的检索功能。

行为识别单元502包括：

模式匹配单元，用于获得预期攻击行为的行为特征，利用预期攻击行为的行为特征在训练数据中进行模式匹配，并根据匹配结果识别得到安全训练过程中发生的预期攻击行为；

异常检测单元，用于利用机器学习方法检测训练数据，得到安全训练过程中发生的非预期攻击行为。

模式匹配单元获得预期攻击行为的行为特征时，具体用于：

根据训练场景的网络拓扑结构，预设的训练场景的每一个网络节点的节点漏洞，以及每两个漏洞之间的依赖关系，确定训练场景对应的可选攻击方法；

获取可选攻击方法对应的多种预设的备选行为特征；

在训练场景中根据可选攻击方法模拟执行对应的攻击行为，并收集模拟执行攻击行为时的安全数据；

针对每一种备选行为特征，利用备选行为特征在安全数据中进行模式匹配，若匹配成功，则确定攻击行为是预期攻击行为，并确定备选行为特征是预期攻击行为的行为特征。

评判单元503从训练数据中检索得到攻击行为的关联数据时，具体用于：

确定受训者利用攻击行为获得对应的结果数据的时间点，并将时间点之前的预设时长确定为检索时间范围；

从训练数据中检索得到每一项对应的时间戳位于检索时间范围内的训练数据，并将检索得到的训练数据作为攻击行为的关联数据。

可选的，该评判装置还包括展示单元504，用于在行为展示列表中展示每一项在训练报告中存在对应的描述、且评判结果为完成行为的攻击行为。

本申请提供一种网络安全训练中攻击行为的评判装置，其中，数据采集单元501从网络安全训练系统的训练场景采集训练数据；训练数据包括日志数据，流量数据，主机状态数据和结果数据；行为识别单元502利用模式匹配和异常检测方法从训练数据中识别得到安全训练过程中发生的攻击行为；评判单元503针对训练报告所描述的每一项攻击行为，若攻击行为属于识别得到的攻击行为，确定该攻击行为的评判结果为完成行为；若该攻击行为不属于识别得到的攻击行为，从训练数据中检索得到该攻击行为的关联数据，并根据关联数据确定该攻击行为的评判结果。本方案通过识别训练过程中的攻击行为，确定训练报告中描述的攻击行为的评判结果，实现对训练报告的自动评判，从而提高安全训练的效率。

本申请实施例还提供一种计算机存储介质，用于存储计算机程序，存储的计算机程序被执行时，具体用于实现本申请任一实施例提供的网络安全训练中攻击行为的评判方法。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

需要注意，本发明中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分，并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。

专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims

1.一种网络安全训练中攻击行为的评判方法，其特征在于，包括：

针对所述安全训练过程对应的训练报告所描述的每一项攻击行为，若所述攻击行为不属于识别得到的攻击行为，从所述训练数据中检索得到所述攻击行为的关联数据，并根据所述攻击行为的关联数据确定所述攻击行为的评判结果；其中，评判结果包括完成行为和未完成行为；

所述从所述训练数据中检索得到所述攻击行为的关联数据，包括：确定受训者利用所述攻击行为获得对应的结果数据的时间点，并将所述时间点之前的预设时长确定为检索时间范围；从所述训练数据中检索得到每一项对应的时间戳位于所述检索时间范围内的训练数据，并将检索得到的训练数据作为所述攻击行为的关联数据；

所述利用模式匹配和异常检测方法从所述训练数据中识别得到所述安全训练过程中发生的攻击行为，包括：利用预期攻击行为的行为特征在所述训练数据中进行模式匹配，并根据匹配结果识别得到所述安全训练过程中发生的预期攻击行为；利用机器学习方法检测所述训练数据，得到所述安全训练过程中发生的非预期攻击行为，获得预期攻击行为的行为特征的方法包括：根据所述训练场景的网络拓扑结构，预设的所述训练场景的每一个网络节点的节点漏洞，以及每两个漏洞之间的依赖关系，确定所述训练场景对应的可选攻击方法；获取所述可选攻击方法对应的多种预设的备选行为特征；在所述训练场景中根据所述可选攻击方法模拟执行对应的攻击行为，并收集模拟执行所述攻击行为时的安全数据；针对每一种备选行为特征，利用所述备选行为特征在所述安全数据中进行模式匹配，若匹配成功，则确定所述攻击行为是预期攻击行为，并确定所述备选行为特征是所述预期攻击行为的行为特征。

2.根据权利要求1所述的评判方法，其特征在于，所述从网络安全训练系统的训练场景采集训练数据，包括：

在安全训练过程中，实时从训练场景中采集训练数据；

3.根据权利要求1所述的评判方法，其特征在于，还包括：

4.一种网络安全训练中攻击行为的评判装置，其特征在于，包括：

所述评判单元，用于针对所述安全训练过程对应的训练报告所描述的每一项攻击行为，若所述攻击行为不属于识别得到的攻击行为，从所述训练数据中检索得到所述攻击行为的关联数据，并根据所述攻击行为的关联数据确定所述攻击行为的评判结果；其中，评判结果包括完成行为和未完成行为；

所述评判单元从训练数据中检索得到攻击行为的关联数据时，具体用于：确定受训者利用所述攻击行为获得对应的结果数据的时间点，并将所述时间点之前的预设时长确定为检索时间范围；从所述训练数据中检索得到每一项对应的时间戳位于所述检索时间范围内的训练数据，并将检索得到的训练数据作为所述攻击行为的关联数据；

所述行为识别单元包括：模式匹配单元，用于获得预期攻击行为的行为特征，利用所述预期攻击行为的行为特征在所述训练数据中进行模式匹配，并根据匹配结果识别得到所述安全训练过程中发生的预期攻击行为；异常检测单元，用于利用机器学习方法检测所述训练数据，得到所述安全训练过程中发生的非预期攻击行为；所述模式匹配单元获得预期攻击行为的行为特征时，具体用于：根据所述训练场景的网络拓扑结构，预设的所述训练场景的每一个网络节点的节点漏洞，以及每两个漏洞之间的依赖关系，确定所述训练场景对应的可选攻击方法；获取所述可选攻击方法对应的多种预设的备选行为特征；在所述训练场景中根据所述可选攻击方法模拟执行对应的攻击行为，并收集模拟执行所述攻击行为时的安全数据；针对每一种备选行为特征，利用所述备选行为特征在所述安全数据中进行模式匹配，若匹配成功，则确定所述攻击行为是预期攻击行为，并确定所述备选行为特征是所述预期攻击行为的行为特征。

5.根据权利要求4所述的评判装置，其特征在于，所述数据采集单元从网络安全训练系统的训练场景采集训练数据时，具体用于：

在安全训练过程中，实时从训练场景中采集训练数据；