CN112153010B - 一种网络安全靶场系统及其运行方法 - Google Patents
一种网络安全靶场系统及其运行方法 Download PDFInfo
- Publication number
- CN112153010B CN112153010B CN202010897043.XA CN202010897043A CN112153010B CN 112153010 B CN112153010 B CN 112153010B CN 202010897043 A CN202010897043 A CN 202010897043A CN 112153010 B CN112153010 B CN 112153010B
- Authority
- CN
- China
- Prior art keywords
- attack
- network
- protection
- network security
- optical channel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种网络安全靶场系统及其运行方法,基于可编程光通道系统,构建了能接入保护验证系统、模拟攻击系统、评估分析系统以及车载和地面目标业务系统等多种物理设备的一体化网络安全靶场系统,模拟网络系统运行的真实状态,提高了网络安全靶场系统使用场景的多样性、扩展性以及可靠性;并且无需人工配线操作,实现了对网络安全靶场系统中的多种真实物理设备或系统进行快速的拓扑构建、切换和管理,提升了网络安全攻防演练灵活性和运维效率。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种网络安全靶场系统及其运行方法。
背景技术
网络安全靶场系统是一种可提供实际攻防环境的在线部署应用,能够为使用者提供多功能、多样化的网络安全实战场景;使用者则通过不同层次的安全攻防演练靶场环境,加深对网络安全的认识,提升网络安全防护水平。现有技术多将传统的安全数据网加载至虚拟环境中,构建一个网络安全靶场系统。例如:基于OpenStack云计算技术搭建网络攻防平台,利用OpenStack中的计算服务(即Nova)实现网络攻防平台中接入集群和靶场集群的构建,利用OpenStack中的对象存储服务(即Swift)实现场景及相应的存储功能,利用OpenStack中的镜像服务(即Glance)实现攻防平台中场景的快速切换,并同时配合网络IP规划和VLAN配置等操作构建完备的网络安全靶场系统。传统的安全数据网则主要为轻量级系统、攻防系统、目标系统等各子系统之间通过配线连接组网形成,每条接线的端口均需手动配置,如配置一个具有10个节点的网络环境,需要在各节点间人工连接168根线缆;基于安全数据网构建的网络安全靶场系统在网络安全攻防演练过程中,也需要人工进行反复的网线插拔和复杂的组网工作,才能实现不同网络环境下的攻防模拟需求。
由于计算机技术、网络技术和通信技术的迅速发展,大量的信息化和数字化组件被引入到网络之中,这使得原本网络节点间固有的物理隔离被打破,网络系统整体运行效率和自动化程度大大提升。但是,现有的网络安全靶场系统在使用过程中仍需要人工进行组网,操作复杂,无法及时高效地进行网络安全攻防演练拓扑环境的搭建和切换运行,降低了网络安全靶场系统试验各种网络保护技术可行性和有效性的效率,使得网络系统面临的威胁日益严峻,其安全风险也日益突出。
发明内容
为了解决现有技术中网络安全靶场系统的组网和系统切换需要人工进行操作,并且操作复杂、效率低下的问题,本发明提出了一种网络安全靶场系统及其运行方法。
一种网络安全靶场系统及其运行方法,所述系统包括:可编程光通道系统、保护验证系统、模拟攻击系统、评估分析系统和目标业务系统,其中,所述可编程光通道系统用于构建网络安全靶场各子系统间的网络拓扑,并实现所述网络拓扑的动态切换;所述保护验证系统用于对目标业务系统建立网络安全防护体系,并更新所述网络安全防护体系;所述模拟攻击系统用于对所述目标业务系统执行模拟攻击;所述目标业务系统用于作为所述模拟攻击系统的模拟攻击对象以及所述保护验证系统的安全防护对象;所述评估分析系统用于对所述模拟攻击系统、保护验证系统和目标业务系统之间的攻击和防护数据进行采集、存储、评估和分析。
进一步的,所述可编程光通道系统包括控制平台模块,所述控制平台模块用于提供用户操作界面和管理控制可编程光通道模块,所述控制平台模块包括网管服务器、控制器和网管终端,其中,所述网管服务器用于运行系统管理软件、生成和管理网络物理连接配置表、根据业务系统的目标拓扑创建拓扑案例连接表并管理所述拓扑案例连接表,以及根据网络物理连接配置表和拓扑案例连接表,生成L2VPN通道表;所述控制器用于根据所述L2VPN通道表生成SDN流表;所述网管终端用于向用户提供操作界面、对所述系统管理软件进行操作。
进一步的,所述可编程光通道系统还包括可编程光通道模块,所述可编程光通道模块用于获取所述控制器发送的SDN流表,根据所述SDN流表构建L2VPN通道以连接其他系统,所述可编程光通道模块包括交换机阵列和交换设备之间的连接光纤,其中,所述交换机阵列包括一组或多组交换设备,所述一组或多组交换设备设置于所述可编程光通道系统的节点处。
进一步的,所述可编程光通道系统还包括云测试平台模块和虚拟化业务云模块,其中,所述云测试平台模块用于测试及获取所述虚拟业务设备遭受模拟攻击系统的网络攻击或受到保护验证系统的安全防护时的工作状态及数据;所述虚拟化业务云模块设置有一个或多个虚拟化设备,所述虚拟化设备用于模拟所述目标业务系统中的实际业务设备,形成虚拟业务设备,并作为所述模拟攻击系统的模拟攻击对象以及所述保护验证系统的安全防护对象。
进一步的,所述保护验证系统采取网闸、入侵检测、工业防火墙、堡垒机、流量审计或无线入侵防御中的一种或多种防护技术,应对模拟攻击系统发起的攻击。
进一步的,所述模拟攻击系统采取无线渗透、漏洞挖掘、内网渗透、口令爆破或网络测绘中的一种或多种攻击手段,对目标业务系统发起攻击。
进一步的,所述目标业务系统包括地面业务系统和车载业务系统,其中,所述地面业务系统包括地面列车控制系统、编组站综合自动化系统、运维系统或检测系统中的一种或多种;所述车载业务系统包括车载列车控制系统、BDZ地面仿真系统或智能采集终端中的一种或多种。
进一步的,所述评估分析系统中采用网络探针、漏洞扫描、安全管理平台或基线核查中的一种或多种技术手段评估数据库中的数据;所述评估分析系统应用态势感知、特征提取或网络免疫系统中的一种或多种技术方案分析存储数据。
本发明还提供了一种网络安全靶场运行方法,所述方法包括:
通过可编程光通道系统构建网络安全靶场系统;
模拟攻击系统对目标业务系统进行模拟攻击,保护验证系统对所述目标业务系统进行安全防护;
评估分析系统采集、存储、评估和分析所述模拟攻击系统、保护验证系统与目标业务系统之间的攻防数据,并提供网络安全防护方案优化建议;
根据所述优化建议,所述保护验证系统更新网络安全防护体系;
控制所述可编程光通道系统,实现所述网络安全靶场系统网络拓扑动态切换,所述模拟攻击系统和保护验证系统对目标业务系统开始新一轮攻防演练,所述评估分析系统对新的攻防数据进行采集、存储、评估、分析和提供优化建议。
进一步的,所述评估分析系统采集、存储、评估和分析所述模拟攻击系统、保护验证系统与目标业务系统之间的攻防数据的工作流程包括:
识别目标业务对象;
采集存储所述模拟攻击系统、保护验证系统与目标业务系统之间的攻击和防护数据,建立数据库并进行数据评估;
分析所述存储数据,展示分析结果。
本发明所述网络安全靶场系统基于可编程光通道系统,构建了能接入保护验证系统、模拟攻击系统、评估分析系统以及车载和地面目标业务系统等多种物理设备的一体化网络安全靶场系统,模拟网络系统运行的真实状态,提高了网络安全靶场系统使用场景的多样性、扩展性以及可靠性;
并且无需人工配线操作,实现了对网络安全靶场系统中的多种真实物理设备或系统进行快速的拓扑构建、切换和管理,提升了网络安全攻防演练灵活性和运维效率。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了根据本发明实施例的网络安全靶场系统结构示意图;
图2示出了根据本发明实施例的可编程光通道系统结构示意图;
图3示出了根据本发明实施例的以列车控制系统为目标业务系统的网络安全靶场系统拓扑构建图;
图4示出了根据本发明实施例的以列车控制系统为目标业务系统的网络安全靶场系统物理拓扑图;
图5示出了根据本发明实施例的以编组站综合自动化系统为目标业务系统的网络安全靶场系统拓扑构建图;
图6示出了根据本发明实施例的以编组站综合自动化系统为目标业务系统的网络安全靶场系统物理拓扑图;
图7示出了根据本发明实施例的网络安全靶场运行方法的流程图;
图8示出了根据本发明实施例的评估分析系统进行评估分析的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地说明,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种网络安全靶场系统,如图1所示,所述网络安全靶场系统包括可编程光通道系统(Programable Fiber Channel,简称PFC)、保护验证系统、模拟攻击系统、评估分析系统和目标业务系统。所述可编程光通道系统与保护验证系统、模拟攻击系统、评估分析系统和目标业务系统通过光纤或以太网线实现连接。基于所述可编程光通道系统,所述保护验证系统、模拟攻击系统、评估分析系统和目标业务系统之间形成不同的网络拓扑,构建多种攻击方式、防护手段和目标业务之间快速切换、敏捷组网,高效、多样地进行网络安全攻防演练。
所述可编程光通道系统是基于软件定义网络(Software Defined Network,简称SDN)技术和二层虚拟专用网(Layer 2Virtual Private Network,简称L2VPN)技术,根据不同的使用场景需求,通过操作系统管理软件下发命令,在所述可编程光通道系统中打通L2VPN通道,改变网络连接方式,构建出网络安全靶场各子系统间的网络拓扑;当网络拓扑需要发生改变时,只需要操作系统管理软件即可完成快速、无感知地改变网络拓扑结构,提升了工作效率,提高了网络配置的可靠性。其中,所述SDN技术将底层的网络资源、设备连接状态、设备信息、链路状态等信息全部展示给工作人员,并且使工作人员可以通过操作系统管理软件就可以改变网络连接方式,实现网络拓扑的快速切换;所述L2VPN技术是在数据链路层封装的传输通道,数据包通过该通道进行转发,一站一站的传递到目的地。在此过程中,不需要对数据包进行进一步分析,也不需要在各个网络节点上作出复杂的路由决定,所以一条L2VPN通道可以相当于网络中的一根透传光纤或以太网线,以太报文或其它网络报文可以透传通过该通道。
所述可编程光通道系统包括控制平台模块和可编程光通道模块,如图2所示。所述控制平台模块用于提供用户操作界面和管理控制可编程光通道模块。其中,所述控制平台模块包括网管服务器、控制器和网管终端;所述网管服务器用于运行系统管理软件、生成和管理网络物理连接配置表、根据业务系统的目标拓扑创建拓扑案例连接表并管理所述拓扑案例连接表,以及根据网络物理连接配置表和拓扑案例连接表,生成L2VPN通道表;所述控制器用于根据所述L2VPN通道表生成SDN流表;所述网管终端用于向用户提供操作界面、对所述系统管理软件进行操作,从而管理控制可编程光通道模块。
所述可编程光通道模块用于获取所述控制器发送的SDN流表,根据所述SDN流表构建L2VPN通道,从而通过所述L2VPN通道连接其他业务系统。所述可编程光通道模块由交换机阵列和交换设备之间的连接光纤构成,所述交换机阵列包括一组或多组交换设备,所述一组或多组交换设备设置于所述可编程光通道系统的各个节点。基于设置在所述可编程光通道系统中各节点处的交换设备,所述可编程光通道模块能够根据SDN流表在内部构建多条L2VPN通道,P1、P2、…、Pn等各种外部系统通过多条所述L2VPN通道实现互相连接和网络拓扑动态切换。具体的,所述可编程光通道系统与各种外部系统可以通过以太网线或光纤顺序插接,其连接方式固定,无需改变。
用户可操作所述控制平台模块控制所述可编程光通道模块,实现所述可编程光通道模块内部组网方式改变、形成不同的物理拓扑,从而建立可编程光通道系统、保护验证系统、模拟攻击系统、评估分析系统以及目标业务系统之间相互连接的、并可快速动态切换网络拓扑的网络安全靶场系统。所述可编程光通道系统将人工进行的反复网线插拔和复杂组网工作提升到软件层面,通过使用所述控制平台中的系统管理软件对不同的网络拓扑结构进行创建、存储、快速切换等操作,简单便捷、省时省力。
所述可编程光通道系统还包括云测试平台模块和虚拟化业务云模块,如图2所示。所述虚拟化业务云模块设置有一个或多个虚拟化设备,所述虚拟化设备用于模拟与所述可编程光通道系统连接的目标业务系统中的实际业务设备,形成多个虚拟业务设备;所述云测试平台模块用于测试及获取所述虚拟业务设备遭受模拟攻击系统的网络攻击或受到保护验证系统的安全防护时的工作状态及相关数据。所述云测试平台模块和虚拟化业务云模块可用于配合网络安全靶场系统模拟进行网络安全攻防、评测、验证等功能。
所述保护验证系统用于对目标业务系统建立网络安全防护体系,采取一种或多种防护技术应对模拟攻击系统发起的攻击。基于评估分析系统中的数据及分析结果,所述保护验证系统能够更新已有网络安全防护体系或建立新的网络安全防护体系,提高应对网络攻击的能力,提升网络安全防护水平。所述保护验证系统可使用包括网闸、入侵检测(Intrusion Detection System,简称IDS)、工业防火墙、堡垒机、流量审计或无线入侵防御(Intrusion Prevention System,简称IPS)等防护技术中的一种或多种,形成有效的网络安全防护体系。
所述模拟攻击系统用于对所述目标业务系统执行多角度、混合的模拟攻击,发现目标业务系统中存在的安全隐患或薄弱环节。所述模拟攻击系统可使用包括无线渗透、漏洞挖掘、内网渗透、口令爆破或网络测绘等攻击手段中的一种或多种,模拟真实网络环境中的网络攻击技术,提高网络安全攻防演练环境的真实性。所述目标业务系统与所述可编程光通道系统连接,其接入网络安全靶场系统后,将作为所述模拟攻击系统的模拟攻击对象以及所述保护验证系统的安全防护对象,配合完成网络安全靶场攻防演练、产品验证、安全测评等过程。
所述目标业务系统包括地面业务系统和车载业务系统。所述地面业务系统包括但不限于地面列车控制系统、编组站综合自动化系统(CIPS系统)、运维系统、检测系统以及其他地面业务子系统等;所述车载业务系统包括但不限于车载列车控制系统、BDZ地面仿真系统、智能采集终端以及其他车载业务子系统等。
所述评估分析系统则通过对所述模拟攻击系统、保护验证系统与目标业务系统之间的攻击和防护数据进行采集和存储,建立多个数据库,包括但不限于协议分析库,病毒、入侵攻击特征库,威胁态势感知库或行为预测库等;然后,所述评估分析系统通过对所述数据库中的数据进行评估分析,深度挖掘不同行业的具体需求,对现有网络安全防护体系提出优化建议,打造适合目标网络系统的专有防护体系,提供更加完善的网络安全解决方案,为目标网络系统保驾护航,实现信息安全和功能安全的融合。所述评估分析系统通过对网络安全攻防演练过程中的相关数据进行采集分析,感知保护验证系统的有效性,并协助保护验证系统不断进行更新,提升其对目标业务系统的安全防护能力。
具体的,当目标业务系统设置为列车控制系统和编组站综合自动化系统时,可编程光通道系统通过以太网线或光纤分别连接评估分析系统、保护验证系统、模拟攻击系统、列车控制系统和编组站综合自动化系统,组成一个网络安全靶场系统。
当网络安全攻防演练中的模拟攻击对象设置为所述列车控制系统时,所述网络安全靶场系统拓扑构建图如图3所示,所述可编程光通道系统中的控制平台通过系统管理软件控制可编程光通道模块生成多条L2VPN通道(图4中虚线部分为通过所述系统管理软件定义,实现的所述可编程光通道系统内部L2VPN通道的拓扑结构),实现了所述评估分析系统、保护验证系统以及模拟攻击系统与所述列车控制系统中的中心、车站A、中继站以及网管服务器等子系统或设备之间的连接,此场景下形成了如图4所示的物理拓扑结构,完成了单网单系列车控制系统的组网。所述模拟攻击系统通过一条所述L2VPN通道对所述列车控制系统执行的模拟攻击;所述保护验证系统则通过另一所述L2VPN通道对所述列车控制系统采取一种或多种防护技术、建立网络安全防护体系;所述可编程光通道系统中虚拟化业务云模拟所述列车控制系统的车站B,并基于云测试平台,进行虚拟化网络安全攻防演练;所述评估分析系统则采集、存储、评估分析本次网络安全攻防演练过程中的各种数据,形成更加完善的网络安全防护方案并发送至所述保护验证系统执行,准备进行新一轮网络安全攻防演练。
当网络安全攻防演练中的模拟攻击对象设置为所述编组站综合自动化系统时,所述网络安全靶场中的可编程光通道系统、评估分析系统、保护验证系统、模拟攻击系统、列车控制系统和编组站综合自动化系统等各系统的连接方式固定,无需改变;但所述可编程光通道系统中的控制平台通过系统管理软件控制可编程光通道模块重新生成多条L2VPN通道,实现了所述评估分析系统、保护验证系统以及模拟攻击系统与所述编组站综合自动化系统中的驼峰信号楼、以及站调楼等子系统或设备之间的连接,并且所述可编程光通道系统中虚拟化业务云模拟所述编组站综合自动化系统的II场联锁、III场联锁、IV场联锁以及站点楼中的站长、调度员等子系统或角色,此场景下所述网络安全靶场系统拓扑构建图如图5所示,并形成了如图6所示的物理拓扑结构,完成了单网单系编组站综合自动化系统的组网。所述模拟攻击系统通过一条所述L2VPN通道对所述编组站综合自动化系统执行的模拟攻击;所述保护验证系统则通过另一所述L2VPN通道对所述编组站综合自动化系统采取一种或多种防护技术、建立网络安全防护体系;基于所述可编程光通道系统中云测试平台,对所述虚拟化业务云中的模拟设备进行虚拟网络安全攻防演练;所述评估分析系统则采集、存储、评估分析本次网络安全攻防演练过程中的各种数据,形成更加完善的网络安全防护方案并发送至所述保护验证系统执行,准备进行新一轮网络安全攻防演练。
基于所述网络安全靶场系统,本发明实施例还提供了一种网络安全靶场运行方法,如图7所示,所述方法包括:
通过可编程光通道系统构建网络安全靶场系统;
模拟攻击系统对目标业务系统进行模拟攻击,保护验证系统对所述目标业务系统进行安全防护;
评估分析系统采集、存储、评估和分析所述模拟攻击系统、保护验证系统与目标业务系统之间的攻防数据,并提供网络安全防护方案优化建议;
根据所述优化建议,所述保护验证系统更新网络安全防护体系;
控制所述可编程光通道系统,实现所述网络安全靶场系统网络拓扑动态切换,所述模拟攻击系统和保护验证系统对目标业务系统开始新一轮攻防演练,所述评估分析系统对新的攻防数据进行采集、存储、评估、分析和提供优化建议。
具体的,所述评估分析系统采集、存储、评估和分析所述模拟攻击系统、保护验证系统与目标业务系统之间的攻防数据的工作流程如图8所示,包括:识别目标业务对象;采集存储所述模拟攻击系统、保护验证系统与目标业务系统之间的攻击和防护数据,建立数据库并进行数据评估;分析所述存储数据,展示分析结果。其中,所述目标业务对象包括但不限于所述目标业务系统中的各种子系统及设备;所述模拟攻击系统、保护验证系统与目标业务系统之间的攻击和防护数据包括网络安全攻防演练过程中的网络元数据、业务数据或网络设备日志等一种或多种数据类型;所述采集数据的方法包括但不限于使用网络探针等技术手段采集目标业务对象受到网络攻击或安全防护的数据;所述存储采集到的数据数据包括使用结构化/非结构化数据存储,或大数据存储等一种或多种方式;所述数据评估使用网络探针、漏洞扫描、安全管理平台或基线核查等技术手段中的一种或多种,对所述模拟攻击系统、保护验证系统与目标业务系统之间的攻击和防护数据进行评估,感知现有网络安全防护系统的有效性;所述分析存储数据主要应用态势感知、特征提取或网络免疫系统等方案,包括使用流量分析、威胁情报匹配、行为数据分析、机器学习、时间关联分析、沙箱分析、蜜罐技术、网络欺骗、安全态势度量等一种或多种方法开展数据分析;所述展示分析结果包括使用资产感知、攻击感知、运行感知、风险感知等一种或多种方式,基于网络安全攻防演练过程中的相关数据及其分析结果,打造专门的安全防护体系,提出更加完善的网络安全解决方案;另外,所述评估分析系统在数据采集、存储、分析过程中,会对有风险的数据或分析结果进行监测,并通过所述可编程光通道系统中的控制平台模块向工作人员示警或提醒。
本发明实施例基于可编程光通道系统,构建了能接入保护验证系统、模拟攻击系统、评估分析系统以及车载和地面目标业务系统等多种物理设备的一体化网络安全靶场系统,模拟网络系统运行的真实状态,提高了网络安全靶场系统使用场景的多样性、扩展性以及可靠性;并且无需人工配线操作,实现了对网络安全靶场系统中的多种真实物理设备或系统进行快速的拓扑构建、切换和管理,提升了网络安全攻防演练灵活性和运维效率。
尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种网络安全靶场系统,其特征在于,所述网络安全靶场系统包括可编程光通道系统、保护验证系统、模拟攻击系统、评估分析系统和目标业务系统,其中,
所述可编程光通道系统用于构建网络安全靶场各子系统间的网络拓扑,并实现所述网络拓扑的动态切换;
所述保护验证系统用于对目标业务系统建立网络安全防护体系,并更新所述网络安全防护体系;
所述模拟攻击系统用于对所述目标业务系统执行模拟攻击;
所述目标业务系统用于作为所述模拟攻击系统的模拟攻击对象以及所述保护验证系统的安全防护对象;
所述评估分析系统用于对所述模拟攻击系统、保护验证系统和目标业务系统之间的攻击和防护数据进行采集、存储、评估和分析;
所述可编程光通道系统包括控制平台模块,所述控制平台模块用于提供用户操作界面和管理控制可编程光通道模块,所述控制平台模块包括网管服务器、控制器和网管终端,其中,
所述网管服务器用于运行系统管理软件、生成和管理网络物理连接配置表、根据业务系统的目标拓扑创建拓扑案例连接表并管理所述拓扑案例连接表,以及根据网络物理连接配置表和拓扑案例连接表,生成L2VPN通道表;
所述控制器用于根据所述L2VPN通道表生成SDN流表;
所述网管终端用于向用户提供操作界面、对所述系统管理软件进行操作。
2.根据权利要求1所述的网络安全靶场系统,其特征在于,所述可编程光通道系统还包括可编程光通道模块,所述可编程光通道模块用于获取所述控制器发送的SDN流表,根据所述SDN流表构建L2VPN通道以连接其他系统,所述可编程光通道模块包括交换机阵列和交换设备之间的连接光纤,其中,
所述交换机阵列包括一组或多组交换设备,所述一组或多组交换设备设置于所述可编程光通道系统的节点处。
3.根据权利要求1或2所述的网络安全靶场系统,其特征在于,所述可编程光通道系统还包括云测试平台模块和虚拟化业务云模块,其中,
所述云测试平台模块用于测试及获取虚拟业务设备遭受模拟攻击系统的网络攻击或受到保护验证系统的安全防护时的工作状态及数据;
所述虚拟化业务云模块设置有一个或多个虚拟化设备,所述虚拟化设备用于模拟所述目标业务系统中的实际业务设备,形成虚拟业务设备,并作为所述模拟攻击系统的模拟攻击对象以及所述保护验证系统的安全防护对象。
4.根据权利要求1所述的网络安全靶场系统,其特征在于,所述保护验证系统采取网闸、入侵检测、工业防火墙、堡垒机、流量审计或无线入侵防御中的一种或多种防护技术,应对模拟攻击系统发起的攻击。
5.根据权利要求1所述的网络安全靶场系统,其特征在于,所述模拟攻击系统采取无线渗透、漏洞挖掘、内网渗透、口令爆破或网络测绘中的一种或多种攻击手段,对目标业务系统发起攻击。
6.根据权利要求1所述的网络安全靶场系统,其特征在于,所述目标业务系统包括地面业务系统和车载业务系统,其中,
所述地面业务系统包括地面列车控制系统、编组站综合自动化系统、运维系统或检测系统中的一种或多种;
所述车载业务系统包括车载列车控制系统、BDZ地面仿真系统或智能采集终端中的一种或多种。
7.根据权利要求1所述的网络安全靶场系统,其特征在于,所述评估分析系统中采用网络探针、漏洞扫描、安全管理平台或基线核查中的一种或多种技术手段评估数据库中的数据;
所述评估分析系统应用态势感知、特征提取或网络免疫系统中的一种或多种技术方案分析存储数据。
8.一种网络安全靶场运行方法,其特征在于,所述方法包括:
通过可编程光通道系统构建网络安全靶场系统;
模拟攻击系统对目标业务系统进行模拟攻击,保护验证系统对所述目标业务系统进行安全防护;
评估分析系统采集、存储、评估和分析所述模拟攻击系统、保护验证系统与目标业务系统之间的攻防数据,并提供网络安全防护方案优化建议;
根据所述优化建议,所述保护验证系统更新网络安全防护体系;
控制所述可编程光通道系统,实现所述网络安全靶场系统网络拓扑动态切换,所述模拟攻击系统和保护验证系统对目标业务系统开始新一轮攻防演练,所述评估分析系统对新的攻防数据进行采集、存储、评估、分析和提供优化建议;
所述可编程光通道系统包括控制平台模块,所述控制平台模块用于提供用户操作界面和管理控制可编程光通道模块,所述控制平台模块包括网管服务器、控制器和网管终端,其中,
所述网管服务器用于运行系统管理软件、生成和管理网络物理连接配置表、根据业务系统的目标拓扑创建拓扑案例连接表并管理所述拓扑案例连接表,以及根据网络物理连接配置表和拓扑案例连接表,生成L2VPN通道表;
所述控制器用于根据所述L2VPN通道表生成SDN流表;
所述网管终端用于向用户提供操作界面、对所述系统管理软件进行操作。
9.根据权利要求8所述的网络安全靶场运行方法,其特征在于,所述评估分析系统采集、存储、评估和分析所述模拟攻击系统、保护验证系统与目标业务系统之间的攻防数据的工作流程包括:
识别目标业务对象;
采集存储所述模拟攻击系统、保护验证系统与目标业务系统之间的攻击和防护数据,建立数据库并进行数据评估;
分析所述攻击和防护数据,展示分析结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010897043.XA CN112153010B (zh) | 2020-08-31 | 2020-08-31 | 一种网络安全靶场系统及其运行方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010897043.XA CN112153010B (zh) | 2020-08-31 | 2020-08-31 | 一种网络安全靶场系统及其运行方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112153010A CN112153010A (zh) | 2020-12-29 |
| CN112153010B true CN112153010B (zh) | 2023-01-20 |
Family
ID=73890271
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010897043.XA Active CN112153010B (zh) | 2020-08-31 | 2020-08-31 | 一种网络安全靶场系统及其运行方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112153010B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112968798B (zh) * | 2021-02-04 | 2023-02-07 | 西安热工研究院有限公司 | 适用于电力工控靶场平台的虚实网络环境自动生成方法 |
| CN113067728B (zh) * | 2021-03-17 | 2022-10-14 | 中国人民解放军海军工程大学 | 一种网络安全攻防试验平台 |
| CN114040408B (zh) * | 2021-11-02 | 2024-05-28 | 恒安嘉新(北京)科技股份公司 | 一种基于4g移动网络模拟环境的靶场系统 |
| CN114048487B (zh) * | 2021-11-29 | 2022-06-17 | 北京永信至诚科技股份有限公司 | 网络靶场的攻击过程评估方法、装置、存储介质及设备 |
| CN114513442A (zh) * | 2022-01-06 | 2022-05-17 | 国网山东省电力公司泰安供电公司 | 一种基于电力物联网的网络安全测试装置及方法 |
| CN114422255A (zh) * | 2022-01-24 | 2022-04-29 | 广州理工学院 | 一种云安全模拟检测系统及检测方法 |
| CN114629682B (zh) * | 2022-02-09 | 2023-06-09 | 烽台科技(北京)有限公司 | 工控网络靶场的配备方法、装置、终端及存储介质 |
| CN114915467A (zh) * | 2022-04-21 | 2022-08-16 | 南京联成科技发展股份有限公司 | 一种网络安全攻防演练的实现系统及方法 |
| CN117852048B (zh) * | 2024-03-08 | 2024-06-07 | 华中科技大学 | 一种基于多维度攻击向量的软硬结合车联网靶场构建方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483484A (zh) * | 2017-09-13 | 2017-12-15 | 北京椰子树信息技术有限公司 | 一种攻击防护演练方法和装置 |
| CN109802852A (zh) * | 2018-12-13 | 2019-05-24 | 烽台科技(北京)有限公司 | 应用于网络靶场的网络仿真拓扑的构建方法及系统 |
| CN109802841A (zh) * | 2017-11-16 | 2019-05-24 | 四川勇超网络科技有限公司 | 一种基于云平台的网络攻防靶场系统 |
| CN110098951A (zh) * | 2019-03-04 | 2019-08-06 | 西安电子科技大学 | 一种基于虚拟化技术的网络攻防虚拟仿真与安全评估方法及系统 |
| CN110401661A (zh) * | 2019-07-29 | 2019-11-01 | 云南电网有限责任公司电力科学研究院 | 一种电力监控系统的网络安全靶场系统 |
| CN111343158A (zh) * | 2020-02-12 | 2020-06-26 | 博智安全科技股份有限公司 | 一种基于虚拟化技术的网络靶场平台 |
| CN111555913A (zh) * | 2020-04-24 | 2020-08-18 | 北京安码科技有限公司 | 基于虚拟化对真实网络环境模拟的仿真方法、系统、电子设备及存储介质 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102064995B (zh) * | 2009-11-18 | 2012-12-19 | 中兴通讯股份有限公司 | 一种虚拟专用局域网络中链路保护的方法及设备 |
| KR101681855B1 (ko) * | 2012-10-23 | 2016-12-01 | 레이던 컴퍼니 | 공격에 대한 네트워크 복원성을 시뮬레이트하기 위한 방법 및 장치 |
| CN104410617B (zh) * | 2014-11-21 | 2018-04-17 | 西安邮电大学 | 一种云平台的信息安全攻防体系架构 |
| CN104811335B (zh) * | 2015-03-26 | 2019-02-15 | 华迪计算机集团有限公司 | 一种实现网络靶场系统的方法及网络靶场管理系统 |
| CN105024990A (zh) * | 2015-03-30 | 2015-11-04 | 清华大学 | 网络安全攻防演练环境部署方法及装置 |
| US10248910B2 (en) * | 2015-10-28 | 2019-04-02 | Fractal Industries, Inc. | Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform |
| CN105915428B (zh) * | 2016-04-19 | 2018-09-18 | 烽火通信科技股份有限公司 | 基于open_flow协议的sdn网络l2vpn实现方法及系统 |
| CN110166320B (zh) * | 2019-05-27 | 2022-06-21 | 苏州盛科通信股份有限公司 | 基于OpenFlow交换机的MPLS-TP OAM实现方法及系统 |
| CN111327463B (zh) * | 2020-02-12 | 2024-02-27 | 博智安全科技股份有限公司 | 一种基于虚拟化的工业互联网安全实训平台 |
-
2020
- 2020-08-31 CN CN202010897043.XA patent/CN112153010B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483484A (zh) * | 2017-09-13 | 2017-12-15 | 北京椰子树信息技术有限公司 | 一种攻击防护演练方法和装置 |
| CN109802841A (zh) * | 2017-11-16 | 2019-05-24 | 四川勇超网络科技有限公司 | 一种基于云平台的网络攻防靶场系统 |
| CN109802852A (zh) * | 2018-12-13 | 2019-05-24 | 烽台科技(北京)有限公司 | 应用于网络靶场的网络仿真拓扑的构建方法及系统 |
| CN110098951A (zh) * | 2019-03-04 | 2019-08-06 | 西安电子科技大学 | 一种基于虚拟化技术的网络攻防虚拟仿真与安全评估方法及系统 |
| CN110401661A (zh) * | 2019-07-29 | 2019-11-01 | 云南电网有限责任公司电力科学研究院 | 一种电力监控系统的网络安全靶场系统 |
| CN111343158A (zh) * | 2020-02-12 | 2020-06-26 | 博智安全科技股份有限公司 | 一种基于虚拟化技术的网络靶场平台 |
| CN111555913A (zh) * | 2020-04-24 | 2020-08-18 | 北京安码科技有限公司 | 基于虚拟化对真实网络环境模拟的仿真方法、系统、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112153010A (zh) | 2020-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112153010B (zh) | 一种网络安全靶场系统及其运行方法 | |
| CN109802852B (zh) | 应用于网络靶场的网络仿真拓扑的构建方法及系统 | |
| DeMarinis et al. | Scanning the internet for ros: A view of security in robotics research | |
| CN111327463B (zh) | 一种基于虚拟化的工业互联网安全实训平台 | |
| US20030182582A1 (en) | Network security simulation system | |
| Williams et al. | An interactive attack graph cascade and reachability display | |
| CN113542074B (zh) | 一种可视化管理kubernetes集群的东西向网络流量的方法及系统 | |
| CN106201858A (zh) | 移动终端中应用程序的测试系统及其控制方法和装置 | |
| CN109412955A (zh) | Ipran网络设备间链接关系确定方法及装置 | |
| CN116055566A (zh) | 网络靶场的通信方法、装置、设备及存储介质 | |
| CN105187403A (zh) | 软件定义网络的网络安全性测试方法 | |
| Schwab et al. | Cybersecurity experimentation at program scale: Guidelines and principles for future testbeds | |
| CN106301446A (zh) | 战术电台组网调试与训练平台 | |
| Farahmandian et al. | SDS 2: A novel software-defined security service for protecting cloud computing infrastructure | |
| Kara et al. | Design and Implementation of A Devs-Based Cyber-Attack Simulator for Cyber Security | |
| KR20200054927A (ko) | 트래픽 발생 장치, 트래픽 에이전트 장치 및 이를 포함하는 트래픽 발생 시스템 | |
| CN115426324A (zh) | 一种实体设备接入网络靶场的方法及装置 | |
| Tsochev et al. | Improving the efficiency of idps by using hybrid methods from artificial intelligence | |
| US7971244B1 (en) | Method of determining network penetration | |
| Mumrez et al. | Comparative Study on Smart Grid Security Testbeds Using MITRE ATT&CK Matrix | |
| CN117319094B (zh) | Sdn网络攻防靶场平台系统 | |
| Miao et al. | A Preliminary Study of UAV Cyber Traffic Playback Based on SDN | |
| CN115499253B (zh) | 用于测试防御技术的试验场平台和防御技术的测试方法 | |
| KR102111748B1 (ko) | 트래픽 발생 장치, 트래픽 에이전트 장치 및 이를 포함하는 트래픽 발생 시스템 | |
| CN117103281B (zh) | 一种机器人全融合仿真系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |