CN113067728A

CN113067728A - 一种网络安全攻防试验平台

Info

Publication number: CN113067728A
Application number: CN202110285959.4A
Authority: CN
Inventors: 付伟; 徐建桥; 朱婷婷; 龙柄菘; 周九星; 张志红; 何涛; 殷瑛
Original assignee: Naval University of Engineering PLA
Current assignee: Naval University of Engineering PLA
Priority date: 2021-03-17
Filing date: 2021-03-17
Publication date: 2021-07-02
Anticipated expiration: 2041-03-17
Also published as: CN113067728B

Abstract

本发明公开了一种网络安全攻防试验平台，包括目标网络分系统、应用模拟分系统、数据采集与态势评估分系统、配置管理分系统、可视化分系统和运维保障分系统；目标网络分系统实现目标网络的生成、目标网络状态管理和目标网络接入。应用模拟分系统在目标网络生成后模拟目标网络中的应用服务。数据采集分系统对目标网络中节点状态、节点操作和链路数据的采集与处理，对采集的数据进行深度分析检测，发现安全事件。配置管理分系统实现试验相关的配置和管理。可视化分系统提供各种可视化组件和展示方式，将采集、分析的数据以各种维度进行可视化展示。运维保障分系统用于保障全系统的安全稳定运行和进行相关的全局项的配置与定义。

Description

一种网络安全攻防试验平台

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络安全攻防试验平台。

背景技术

当前网络空间对抗形势愈演愈烈，网络攻击从攻击个人目标发展到攻击国家级基础设施方向发展。网络攻防评估和网络攻防演练已成为我国网络安全的重大战略需求，亟需建立网络空间靶场对网络空间安全技术和网络攻防武器平台进行验证，为网络安全人才培训和攻防演练提供平台，提高国家信息安全水平。

网络靶场是针对网络攻防演练和网络新技术评测的重要基础设施，主要供政府和军队部门使用，用来提高网络和信息系统的稳定性、安全性和性能。网络靶场平台一般由服务器资源池和网络硬件资源、大规模网络仿真平台、网络流量 /服务与用户行为模拟平台、试验数据采集与评估平台和系统安全与管理平台组成。网络靶场用户一般分为白方、红方、蓝方、绿方和黄方组成。其中，白方负责试验环境构建中的虚拟网络生成、配置实物网络和虚实互联等、试验运行实施中的数据采集、处理和态势显示等、试验结束后的资源释放；红方负责攻击武器部署和攻防对抗；蓝方负责防御武器部署和攻防对抗；绿方负责实时攻防评估和攻防效果评估；黄方负责试验准备阶段的需求确定和任务想定，试验回放和管理等。

网络靶场面临的科学问题包括：“虚实结合的网络靶场的灵活快速构建问题”、“面向业务/攻击场景的逼真模拟仿真问题”、“低损、实时攻防数据采集和准确分析评估问题”和“多任务并发运行与安全隔离问题。

发明内容

针对上述存在的问题，本发明旨在提供一种网络安全攻防试验平台，为了实现上述目的，本发明所采用的技术方案如下：

一种网络安全攻防试验平台，其特征在于，包括目标网络分系统、应用模拟分系统、数据采集与态势评估分系统、配置管理分系统、可视化分系统和运维保障分系统；

所述目标网络分系统包括虚拟节点生成子系统、虚拟网络支撑子系统、虚实互联子系统、目标网络管理子系统和目标网络接入子系统；其运行于计算集群之上，用于实现虚拟网络拓扑结构与计算集群底层物理网络拓扑结构的逻辑分离，能够按照目标网络的统一配置要求实现与实物网络的一体互联；

应用模拟分系统包括背景流量模拟、前景行为模拟、靶标操作模拟和场景模拟子系统，用于在目标网络生成后实现目标网络中应用服务的模拟；

数据采集与态势评估分系统包括数据采集子系统和态势评估子系统，用于对带外、链路等多种数据进行采集和处理，并进行攻防武器效能评估和网络安全态势量化评估；

配置管理分系统包括试验配置子系统和试验管理子系统，用于实现试验相关的配置和管理；

可视化分系统包括攻防事件可视化子系统、态势信息统计场景可视化子系统、攻防态势回放场景可视化子系统和可视化组件展示子系统，用于提供各种可视化组件和展示方式，将采集、分析的数据以各种维度进行可视化展示，提供可视化的配置和管理；

运维保障分系统包括资源管理子系统、人员权限管理子系统、平台运维子系统和安全管理子系统，用于保障全系统的安全稳定运行和进行相关的全局项的配置与定义。

本发明的有益效果是：

本发明提出的网络安全攻防试验平台，灵巧的将复杂网络环境包括服务器资源池和网络硬件资源、网络流量/服务与用户行为进行了模块化，形成可拖拽的实验构建模块，不需要采购硬件资源即可灵活组网进行试验数据采集与评估，从而实现在训练与演习和网络安全攻防竞赛中应用，为国家的网络攻防系统评测、网络安全人才培训、攻防演练和技术评测提供有效技术支撑，不但节约了各类型资源，还能将网络安全攻防实验发挥的淋漓尽致。

附图说明

图1为本平台的结构组成示意图；

图2为目标网络分系统组成结构图；

图3为目标网络分系统工作流程示意图；

图4为虚拟节点生成子系统组成结构图；

图5为虚拟节点生成子系统信息处理流程示意图；

图6为虚拟网络支撑子系统组成结构图；

图7为虚实互联子系统组成结构图；

图8为虚实互联子系统信息处理流程示意图；

图9为目标网络管理子系统组成结构图；

图10为目标网络接入子系统组成结构图；

图11为应用模拟分系统组成结构图；

图12为背景流量模拟子系统组成图；

图13为背景流量模拟子系统工作流程示意图；

图14为前景行为模拟子系统组成图；

图15为靶标模拟子系统组成图；

图16为数据采集与态势评估分系统组成结构图；

图17为带外采集模块结构图；

图18为试验管理子系统的组成结构图；

图19为人员权限管理子系统组成结构图；

图20为平台运维子系统组成结构图；

图21为安全管理子系统组成结构图；

图22为折线图组件展示效果图；

图23为跑马灯组件展示效果图；

图24为饼图组件展示效果图；

图25为仪表盘组件展示效果图；

图26为柱状图组件展示效果图；

具体实施方式

为了使本领域的普通技术人员能更好的理解本发明的技术方案，下面结合实施例对本发明的技术方案做进一步的描述。

参考附图1-2可以看出，一种网络安全攻防试验平台，包括目标网络分系统、应用模拟分系统、数据采集与态势评估分系统、配置管理分系统、可视化分系统和运维保障分系统；

应用模拟分系统用于在目标网络生成后实现目标网络中应用服务的模拟，主要包括前景流量模拟、背景流量模拟、靶标行为模拟等；

数据采集与态势评估分系统用于实现对目标网络中节点状态、节点操作和链路数据的采集与处理，并对采集的数据进行深度分析检测，发现安全事件；

配置管理分系统用于实现试验相关的配置和管理，试验配置包括拖曳式的拓扑编辑、采集配置、应用模拟配置和数据分析配置等，试验管理包括试验进程控制、试验日志保存和检索、试验回放和状态保存等；

可视化分系统用于提供各种可视化组件和展示方式，将采集、分析的数据以各种维度进行可视化展示，提供可视化的配置和管理；

运维保障分系统主要用于保障全系统的安全稳定运行和进行相关的全局项的配置与定义，包括镜像、模板、软件工具和攻防武器等资源管理、用户权限管理、平台运维管理和安全管理。

所述目标网络分系统工作流程如附图3所示，其包括以下步骤：

1、虚拟节点生成子系统基于输入的目标网络信息、物理服务器信息，通过分析调用基于优化开销收益原则，匹配各个虚拟网络节点到相应的物理服务器，并输出所需构建的虚拟节点信息及其所处服务器、所需构建的协议栈节点信息及其所处物理服务器、所需构建的虚拟链路、虚拟路由器、虚拟交换机信息及其所处服务器、所需构建的虚实链路信息及其所处服务器；

2、虚拟节点生成子系统基于输入的各个虚拟节点信息及其所处服务器，生成相应虚拟节点并放置于相应的物理服务器；

3、虚拟网络支撑子系统基于输入的所需构建的虚拟链路、虚拟路由器、虚拟交换机信息及其所处服务器，生成相应的虚拟链路、虚拟路由器、虚拟交换机并放置于相应的物理服务器，同时构建转发表与路由表，以支撑虚拟节点与协议栈节点间的互联互通；

4、虚实网络互连子系统基于输入的所需构建的虚实链路信息及其所处服务器，构建虚实路由表以及边界实物映射表，以支撑实网与虚网的互联互通；

基于上述4个步骤构建的静态目标网络环境，将目标网络部署状态、虚拟网络部署信息和虚实互联信息提供给目标网络管理子系统。同时用户可通过目标网络接入子系统对虚拟网络节点进行远程访问和控制。

进一步地，如附图4所示，虚拟节点生成子系统主要是由虚拟网络映射、快速部署和虚拟网络管理代理模块组成，虚拟网络映射将公用的虚拟资源统一管理，自动生成优化部署方案，为快速部署提供部署策略。快速部署按照部署策略完成将虚拟网络快速部署至物理网络中。虚拟网络管理代理位于集群主机上，负责管理虚拟节点之间的网络信息；

虚拟节点生成子系统信息处理流程如附图5所示：

1、配置管理分系统将待部署的目标虚拟网络信息发送给虚拟网络映射模块，并自动生成优化部署方案；

2、快速部署模块从虚拟网络映射模块获取部署方案，并进行虚拟节点的快速生成；

3、虚拟网络管理代理模块将虚拟网络信息传送给虚拟网络支撑子系统以及虚实互联子系统。

所述虚拟网络支撑子系统负责实现虚拟网络的链路仿真，为虚拟网络节点间建立通信链路，链路仿真是构建虚拟网络的核心支撑技术，支持虚拟网络拓扑结构的自动化配置和快速重构，可根据虚拟网络各节点之间网络连接关系建立虚拟链路，并仿真计算虚拟网络链路的带宽、延迟等物理特性，同时支持基于虚拟路由器构建复杂网络拓扑。参考附图6可以看出，虚拟网络支撑子系统包括网络配置解析、路由仿真、广播协议仿真、虚拟交换机/虚拟路由器、虚拟链路仿真、高速内存交换、虚拟链路数据采集和虚拟网络拓扑动态重构模块。下面对各个模块进行具体说明：

1、网络配置解析模块：

基于虚拟网络调度子系统(含虚网拓扑信息以及实网拓扑信息)，提取配置文件中相关的设备连接关系、链路特征参数，以及全局网络拓扑图；根据设备连接关系、链路特征参数构建物理服务器所辖的各条虚拟链路、隧道路由表、交换机转发表等关键数据结构；全局网络拓扑图用于支撑路由仿真。隧道路由表用于支撑网络隧道封装，隧道路由表仅与(远程)虚拟链路有关系，与虚拟路由器无关联关系；

2、路由仿真模块：

路由仿真支撑静态路由配置以及自动路由生成，以保证测试床的易用性；一方面，依托全局网络拓扑图，依靠路由计算技术，可构建全局(动态)路由器的本地路由表；另一方面，可基于静态手工配置形成路由表。本地路由表用于支撑虚拟路由器；

3、广播协议仿真模块：

实现ARP/RARP等关键网络协议的仿真，对虚拟网络节点发出的ARP请求进行模拟应答，降低系统由于模拟广播型网络传播特性而造成的性能开销；

4、虚拟交换机/虚拟路由器模块：

虚拟交换机主要实现交换机的基本功能，包括转发表静态配置、转发过滤功能；虚拟路由器主要实现路由器的基本功能，包括静态路由表和动态路由表(通过路由仿真模块实现，并实现OSPF路由协议)，能实现包过滤功能，支持优先级设置，具备拥塞控制能力(丢包率)。虚拟交换机、虚拟路由器的接口带宽、丢包率通过虚拟缓存队列实现；

5、虚拟链路仿真：

根据网络拓扑配置参数(存储于虚拟链路信息中)、网络数据传输情况等对虚拟网络链路进行带宽、延迟、丢包(虚拟缓存队列)等每一跳链路的传输特性的仿真计算，并通过定时实现数据包的延迟发送或丢包处理。虚拟链路仿真支撑高速交换内存，实现对数据包的每一跳链路进行细致模拟；

6、高速内存交换模块：

其是整个虚拟网络支撑子系统的核心，其主要功能包括2个：一是，通过在操作系统内核接管虚/实网卡的各项功能，实现对各类网络数据流量的拦截与转发，即为各类虚拟网络节点(包括虚拟节点与协议栈节点)、底层集群物理网络间构建统一管理和调度的内存数据通信环境；二是，高速交换内存针对每一个拦截(接收)的报文判断下一步的交付目标，可以为广播协议仿真、虚拟仿真节点、虚拟路由器、虚拟交换机、虚拟链路仿真(本地虚拟链路)、网络隧道封装(远程虚拟链路)；

7、虚拟链路数据采集模块：

主要用于采集流经虚拟链路的各种数据流。虚拟网络中各个环节的数据流 (包括虚拟链路、虚拟路由器、虚拟交换机、协议栈节点、虚拟节点)均需交付给高速内存交换并进一步交付给虚拟链路仿真进行处理；虚拟链路数据采集针对虚拟链路仿真模块，通过(按需)植入旁路析取、虚拟报文静态存储、真实报文构造与转发等功能，实现对虚拟网络数据的文件存储形式或实时发送形式的采集；

8、虚拟网络拓扑动态重构模块：

当目标网络拓扑发生变化(虚拟节点、协议栈节点、虚拟交换机/虚拟路由器，虚拟链路的添加或删除)，或当承载目标网络的物理服务器发生变化(虚拟节点、协议栈节点、虚拟交换机/虚拟路由器，虚拟链路的迁移)时，虚拟网络拓扑动态重构通过解析上述变化，对虚拟链路、虚拟交换机/虚拟路由器、隧道路由表、本地路由表、转发表进行增量重构，实现虚拟网络拓扑的动态增量重构。目标网络拓扑中虚拟节点、协议栈节点的添加或删除，在虚拟网络支撑子系统中仅体现为相关虚拟链路的添加或删除。

所述虚实互联子系统，能够实现模拟网络、实物网络与虚拟网络之间的通信，将模拟网络、实物网络与虚拟网络有机结合成一个具备统一网络拓扑结构和逻辑视图的目标网络。参考附图7可以看出，其包括虚实网络配置解析、模拟节点虚实互联、实物节点虚实互联3个模块，下面对各个模块依次进行说明：

1、虚实网络配置解析模块：

为虚实网络连接关系的按需创建提供基本的调度手段，与其他子系统协同实现虚实网络环境的构建；通过提取配置文件中的模拟节点部署信息、虚实互联链接关系等信息，部署模拟节点、配置模拟节点与虚拟化节点的链接关系、实物网络节点与虚拟化节点的链接关系；

2、模拟节点虚实互联模块：

提供模拟节点的按需创建能力，以及模拟节点与全虚拟化节点、轻量级虚拟化节点的无缝互通能力；模拟节点采用离散事件模拟技术实现，以满足大规模网络节点仿真需求；模拟节点通过虚实转化接口以及时钟同步机制可以其他虚拟节点进行虚实互联仿真；

3、实物节点虚实互联模块：

实现虚拟网络与实物网络设备的通信，将虚拟网络与实物网络有机融合成一个具备统一网络拓扑结构和逻辑视图的目标网络。

虚实互联子系统信息处理流程如附图8所示，其接受来自于运维保障分系统的配置信息(包括模拟节点部署信息、虚实链路链接关系等信息)。通过虚实网络配置解析模块解析配置信息，并调用模拟节点虚实互联模块实现模拟节点的生成、模拟节点虚实互联接入的配置，以及调用实物节点虚实互联模块，实现实物节点虚实互联接入的配置；最终，与虚拟节点生成子系统、虚拟网络支撑子系统形成的轻量级虚拟化节点、全虚拟化节点以及这些节点间的虚拟仿真链路共同形成4维度可伸缩的虚实仿真网络。此外，数据采集与态势评估分系统对仿真网络中的模拟节点状态进行试验数据采集。

所述目标网络管理子系统负责对生成、销毁目标网络的过程进行监控，可通过界面实时查看目标网络部署和销毁的进度；在试验过程中，负责对目标网络的运行状态进行实时的监控，包括虚拟节点的开关机状态、资源利用状态等；负责对目标网络中虚拟节点进行开机、关机、暂停、恢复、重置等操作。参考附图9 可以看出，其包括目标网络部署监控模块、虚拟节点状态监控模块和虚拟节点控制模块，下面对各个模块进行说明：

1、目标网络部署监控模块

用于负责在目标网络部署和销毁的过程中实时监控部署和销毁的进度，发现部署和销毁的异常并进行告警；

2、虚拟节点状态监控模块

用于负责处理、分析、存储虚拟节点状态信息，并提供查询和展示；

3、虚拟节点控制模块

用于负责实现虚拟节点的控制操作，用户可通过界面完成对虚拟节点的开机、关机、暂停、恢复、重置等操作。

参考附图10可知，目标网络接入子系统主要包含4个模块：1用户接入模块；2权限验证模块；3连接代理模块；4中继模块。用户接入模块提供用户的 WEB接口，用户可以通过该接口进行访问权限的申请和登入。权限验证模块验证该用户是否有访问这个虚拟机的权限；连接代理模块对用户请求进行验证并提供数据的接入代理；中继模块实现了用户网络和虚拟网络的数据连接。

进一步地，参考附图12可知，背景流量模子系统包括链路层模拟模块和网络层模拟模块，链路层模拟模块分为命令及配置解析单元、网络流量生成单元和日志生成单元，其主要用于模拟实现点对点的流量模拟；网络层模拟模块分为命令及配置解析单元、IP地址映射单元、流量分发单元、流量回放单元和日志生成单元，其主要用于实验网络层的流量模拟；

链路层流量模拟实现点对点的流量模拟，提供两种实现方式：

1、通过流量包生成工具在由一点向另外的一点发送指定模型和指定传输协议的流量包，其信息处理流程为：

(1)系统以虚拟机的方式提供，虚拟机启动后，守候进程等待实验配置子系统的配置命令和配置参数；

(2)读取配置命令和配置参数后，对系统进行初始化设置，并与接收端建立连接。连接成功后构造数据包并根据选取的模型，在制定的时间间隔完成包的发送；

(3)最后在指定的时间或通过守候进程获取实验管理子系统的指令结束本次的背景流量模拟；

2、基于回放已有的录制流量的方式实现，实验配置子系统指定IP，链路层模拟对流量包进行分析后进行回放，从而在两点之间产生流量。

网络层流量模拟接受实验配置子系统发送的网络拓扑，各个虚拟主机读取配置文件以及流量文件，在指定的时间和指定的网络拓扑里进行流量的回放。实现网络层的流量模拟，其信息处理流程为：

(1)待回放的流量需要线下预先处理，包括流量包的修复，基于源IP和目的IP将流量按时间戳的先后顺序分组，并保存至指定文件夹。

(2)部署在虚拟机的守候进程解析来自实验配置子系统的命令以及配置参数，并从指定的文件夹下读取流量文件。

(3)流量回放首先需要时间同步，在同一系统时钟的支配下，服务器端和客户端严格按照流量时序进行交互回放，保证了回放的同步。

(4)将网络层流量模拟子系统安装于虚拟机，生成镜像。试验配置子系统启动该镜像，生成云主机，传递相关的命令和配置参数，实现流量模拟。

以背景流量模拟子系统为例，其工作流程如附图13所示，具体包括以下步骤：

1、实验配置子系统下发模拟任务后，模拟子系统解析相关的命令参数以及配置参数；

2、根据命令参数设置本次模拟任务的任务；根据配置参数，设置本次任务的属性，生成本次任务的日志文件；

3、根据配置测参数，执行本次本次点对点的流量模拟，同时将执行状态写入日志文件。最终完成背景流量模拟。

参考附图14可以看出，前景行为模拟子系统包括终端应用模拟模块和终端服务模拟模块，终端应用模拟模块分为命令配置解析单元、参数配置单元、启动应用模拟程序单元和日志写入单元，其用于模拟实现高可定制的前景行为模拟，通过脚本启动模拟程序，对终端指定的应用行为进行模拟。例如对收发邮件的模拟，提供了发送附件的行为，对收邮件提供了打开附件等行为模拟；

终端服务模拟模块分为命令配置解析单元、参数配置单元、自动服务模拟单元和日志写入单元，其用于模拟实现低可定制的前景行为模拟，通过模拟客户端向服务器端发送请求，服务器响应请求的方式实现服务模拟；

所述的高可定制是指对指定的应用行为进行模拟，而低可定制是指通过请求 -响应的方式来模拟行为；

前景行为模拟子系统最终的成果方式为虚拟机或者Docker镜像。实验配置子系统生成云主机后，通过下发命令和配置参数来驱动模拟程序，实现前景行为的模拟。

参考附图15可知，所述靶标操作模拟子系统包括终端应用模拟模块和终端用户模拟模块，终端应用模拟模块分为命令配置解析单元、参数配置单元、启动模拟程序单元和日志写入单元，通过脚本驱动启动模拟程序单元，顺序模拟多个应用程序的执行；终端用户模拟模块分为命令配置解析单元、应用程序坐标计算单元、用户鼠标适配单元、用户操作行为模拟模拟单元和日志写入单元，其通过应用程序坐标计算单元计算用户要模拟执行的应用程序在桌面的坐标，从而模拟终端用户操作鼠标，使用应用软件的行为；

终端应用模拟为前景行为模拟中的终端应用模拟行为的叠加，一次模拟可以顺序模拟多各应用程序的执行；

终端用户模拟实现用户行为的逼真模拟，解析实验配置子系统的命令和配置参数，确定要模拟的用户；

应用程序坐标计算是指计算用户要模拟执行的应用程序在桌面的坐标，应用程序序列对应鼠标移动序列；

用户鼠标适配是指从模板库总查找最符合用户本次操作行为特征的鼠标轨迹；

用户操作行为的本质是鼠标移动到指定的位置，进行单机或者双击操作。而模拟也遵循这个本质来模拟鼠标的移动以及点击行为。

场景模拟子系统包括前景行为模拟模块、暗网服务模拟模块以及靶标操作模拟模块，通过场景配置来实现复杂的场景模拟。

进一步地，参考附图16-17可知，所述数据采集子系统包括带外采集模块、链路采集模块和带内探针采集模块，带外采集模块包括配置下发单元、任务调度单元、语义解析单元、虚拟机连接单元、流处理单元和数据库，用于通过配置下发模块收上层用户对于特定虚拟机特定采集任务的请求，并将请求下发到各特定的虚拟机；

其中，配置下发模块负责接收上层用户对于特定虚拟机特定采集任务的请求，如启动或停止宿主机A上虚拟机B的进程信息采集等。配置下发模块对所有虚拟机的位置信息即虚拟机所在的宿主机进行管理，同时要对虚拟机的状态、类型进行管理以正确下发采集任务；

任务调度模块运行在每台宿主机上，负责接收配置下发模块的任务、管理所在宿主机的所有虚拟机状态、调度具体采集任务的执行、管理所在宿主机的所有正在运行中的采集任务、输出采集数据；

语义分析模块负责具体虚拟机、具体采集任务的执行，其根据不同的虚拟机操作系统版本、不同的采集任务启动不同的采集配置，适配内核结构、填充虚拟机内存所在物理内存的语义鸿沟，解析虚拟机内存信息。连接模块负责实际的虚拟机内存与宿主机物理内存的映射，即语义分析模块给出要读取的虚拟机物理地址，连接模块进行实际的读取工作；

流处理模块对采集的数据进行实时处理，进行数据分流、接收预警配置、进行数据去重和压缩；

链路采集模块包括采集单元、流处理单元、配置接收单元、数据预处理单元和自身运维单元；采集单元负责将通过交换设备的数据包进行采集，采集模块运行在类交换设备上，主流交换设备和较为普遍使用的虚拟交换设备均支持此种采集方式；

流处理单元负责接收采集模块发送的结果信息，并将其进行转换为较易处理的形式，每个流处理模块可接收多个采集模块的信息

数据预处理单元负责将数据信息进行分类统计，可以选择全部数据或对重点关注部分特征数据进行统计，具体的分类方式和重点关注数据的特征可以通过配置接收模块动态调整。在数据完成梳理后，发送至数据处理系统；

配置接收单元负责接收对于采集模式和采集特征的相应配置，并对错误配置进行反馈；

自身运维单元负责本子系统其他模块的运维；

带内探针采集模块包括终端采集探针、蜜罐采集探针和邮件采集探针，并将其安装在虚拟节点中，在虚拟节点的宿主机上进行流量采集；

进一步地，参考附图16可知，所述态势评估子系统包括安全知识图谱、深度威胁检测模块和态势评估模块，深度威胁检测模块包括单点分析单元和关联分析单元，单点分析单元用于对终端蜜罐数据、邮件沙箱数据和流量数据汇总分析，关联分析单元用于对数据进行综合关联分析；

态势评估模块包括攻击武器评估单元、防御武器评估单元和网络安全态势评估单元，分别用于对武器效能、防御武器效能和网络安全态势进行量化评估。

进一步地，所述试验配置子系统包括前端界面、配置管理服务模块、配置管理实现模块和试验配置数据库，用户通过前端界面输入各种试验配置，配置管理服务模块接收前端界面下发的配置请求，并根据请求生成统一的全局配置文件，同时将相关配置信息存储到试验配置数据库中，再将全局配置文件发送到配置管理实现模块；

参考附图18可知，所述试验管理子系统包括试验过程控制模块、试验任务配置获取模块、试验任务回放模块和试验任务数据管理模块；

试验过程控制模块主要包括对试验的进行启动、暂停、继续、终止操作等试验进程控制功能，对试验过程进行监视，提供与其它指挥系统的对接，确保各级指挥所之间指令的协调执行。支持多试验并行开展；

试验任务配置获取模块对接收的试验任务配置信息读取解析，并支持配置常用的试验模板，构成试验模板库。用户可以编辑模板库中的模板，也可以添加新的模板，并基于试验模板生成试验方案；

试验任务回放模块根据需求，从数据库中读取相应任务数据，进行任务回放，其实际上是指试验环境的回滚，由于系统提供目标网络环境中全部虚拟机节点快照的功能，在需要的时候，用户可以为需要的一个或者多个虚拟机打快照，并在需要回滚的时候，将环境中打过快照的虚拟机回滚到快照所在的点；

试验任务数据管理模块用于实现试验任务信息和事件的管理。

进一步地，所述资源管理子系统分为查询、统计及检索模块、资源维护模块和资源库模块，其中：查询、统计及检索模块采用关系数据库索引技术及全文索引技术，查询各种类型数据；资源维护模块用于对资源的注册加入、配置修改及备份恢复等；资源库模块用于存储镜像、模板、软件工具、攻防武器等各类资源；

镜像库：支持windows、linux各版本镜像，支持主流操作系统版本。

模板库：用于存储场景配置模板，模板可包含目标网络拓扑配置、应用模拟配置、数据采集分析配置等。可通过模板快速恢复目标场景

软件工具库：软件工具库主要包括常用的各种系统软件和应用软件。目标网络设计过程中可从软件工具库中选择软件下载或安装到目标节点中。

实物资源库：实物资源库用于存储注册到系统中实物节点，用户设计目标网络时可从实物资源库中选择实物设备接入到目标网络中。

安防工具库：安防工具库包括各类安防工具和策略，用户可在设计目标网络过程中选择相应安防工具和安防策略，提供目标网络的防护能力。

攻防武器库：攻防武器库集成众多的通专用攻击武器、攻击规则以及漏洞信息，用户可在设计目标网络时选择部署攻防武器，用于对目标网络进行测试和验证。攻击武器库集成武器总数超过150款，包含信息收集、前渗透、后渗透3 大类22子类。集成各类知识规则30余万条，漏洞资源超过300万条，未公开漏洞资源万余条；

参考附图19可知，所述人员权限管理子系统包括单位岗位信息匹配模块、角色权限定义模块和配置文件生成模块；

单位岗位信息匹配模块主要负责试验人员及管理人员的单位和岗位的信息匹配操作，对单位信息的匹配可以进行成功或者失败标识并返回失败的原因信息，以及匹配历史记录的检索和管理；

角色权限定义模块首先需要用于获取到人员信息匹配成功后返回的人员单位岗位相关信息，然后再依据系统定义的权限信息对人员进行权限分配；

配置文件生成模块用于在相关人员获取到相应的角色权限后，根据配置信息生成一个人员岗位分析配置文件；

参考附图20可知，所述平台运维子系统包括自动化部署模块、设备状态采集模块、告警模块、故障恢复模块、日志模块和数据库；自动化部署模块根据网络和主机环境定制部署策略进行自动部署，管理员可以根据网络和主机环境定制部署策略、在网页上进行拖拽各个服务元素实现运行环境规划、最终自动化的将平台全部服务部署到制定机器上；

设备状态采集模块用于周期性地获取各个主机的运行状态，如CPU、内存、进程等信息；

告警模块用于根据预设的配置，对采集模块产生的数据进行过滤，进行异常告警；故障恢复模块用于将可以自动恢复的异常进行自动修复，如服务进程重启等；

日志模块记录了所有的操作，用于管理员查看和分析系统的运行历史；

参考附图21可知，所述安全管理子系统分为网络隔离模块、虚拟化隔离模块、系统安全防护模块；

网络隔离模块用于在目标网络分系统部署目标网络时根据网络拓扑生成不同网络的标签，并检查数据包是否符合相应安全标签，对数据包进行转发或丢弃；

虚拟化隔离模块用于进一步加固虚拟化安全性，防止虚拟机逃逸；

系统安全防护模块用于配置整体的防护设备，保护系统整体的安全性。

进一步地，所述攻防事件可视化子系统包括网络拓扑模块、统计模块、实时展示模块、动画效果展示模块和攻防展示模块；网络拓扑模块用于绘制出拓扑图；统计模块用于对数据实时统计；实时展示模块以图表方式对攻防事件进行实时展示；动画效果展示模块以动画形式对攻防场景事件进行展示；攻防展示模块用于对不同事件以不同的表现形式去呈现；

所述态势信息统计场景可视化子系统包括三维地球模块、二维地理信息模块、实时展示模块和可视化组件模块，其通过三维地球形式宏观统计攻防信息，以粒子线、散点等形式描绘出攻防信息，以二维地理信息精准定位，并通过不同的图标展现出攻防状态，还能对态势的信息以图表的形式实时呈现，以可视化组件对多态势信息进行宏观和微观统计；

所述攻防态势回放场景可视化子系统包括暗网子系统事件回放模块、蠕虫子系统事件回放模块、APT事件回放模块、态势信息子系统事件回放模块和时间轴模块；其能够对暗网、蠕虫、APT事件，态势信息统计子系统进行攻防态势回放，并借助时间轴模块通过对事件播放速度的选择进行播放速度调节，对关键节点信息进行标注；

所述可视化组件展示子系统包括折线图组件、跑马灯组件、饼图组件、仪表盘组件、地球组件、柱状图和条形图等组件，其能够根据指定的组件对数据内容进行不同方式的展示，例如态势展示使用柱图、折线图、饼图等图形组件绘制，折线图绘制实时的动态流量信息、攻防信息，生成的折线图、跑马灯、饼状图等如附图22-26所示。

以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims

1.一种网络安全攻防试验平台，其特征在于，包括目标网络分系统、应用模拟分系统、数据采集与态势评估分系统、配置管理分系统、可视化分系统和运维保障分系统；

2.根据权利要求1所述的一种网络安全攻防试验平台，其特征在于：所述虚拟节点生成子系统由虚拟网络映射、快速部署和虚拟网络管理代理模块组成；虚拟网络映射模块根据所述配置管理分系统发送的待部署的目标虚拟网络信息，自动生成优化部署方案；快速部署模块接收虚拟网络映射模块提供的部署方案，进行虚拟节点的快速生成；虚拟网络管理代理模块用于管理虚拟节点之间的网络信息；

所述虚拟网络支撑子系统包括网络配置解析模块、路由仿真模块、广播协议仿真模块、虚拟交换机/虚拟路由器模块、虚拟链路仿真模块、高速内存交换模块、虚拟链路数据采集模块和虚拟网络拓扑动态重构模块；网络配置解析模块用于提取网络配置文件中的设备连接关系、链路特征参数，以及全局网络拓扑图；路由仿真模块用于手工配置或自动生成路由表；广播协议仿真模块对虚拟网络节点发出的ARP请求进行模拟应答；虚拟交换机/虚拟路由器用于实现交换机和路由器的基本功能；虚拟链路仿真模块对虚拟网络链路每一跳链路的传输特性进行仿真计算；高速内存交换模块接收来自虚拟仿真节点、虚拟链路、虚拟交换机、虚拟路由器、广播协议仿真、网络隧道封装的报文，并判别报文下一步的处理对象；虚拟链路数据采集模块对虚拟链路仿真模块上的文件存储形式或实时发送形式的虚拟网络数据进行采集；虚拟网络拓扑动态重构模块用于当目标网络拓扑发生变化时，进行解析并实现虚拟网络拓扑的动态增量重构；

所述虚拟互联子系统包括虚实网络配置解析、模拟节点虚实互联、实物节点虚实互联模块，虚实网络配置解析模块通过提取配置文件中的模拟节点部署信息、虚实互联链接关系等信息，部署模拟节点、配置模拟节点与虚拟化节点的链接关系、实物网络节点与虚拟化节点的链接关系；模拟节点虚实互联模块用于按需创建模拟节点，模拟节点能够通过虚实转化接口以及时钟同步机制可以其他虚拟节点进行虚实互联仿真；实物节点虚实互联模块将虚拟网络与实物网络融合成一个具备统一网络拓扑结构和逻辑视图的目标网络；

所述目标网络管理子系统包括目标网络部署监控模块、虚拟节点状态监控模块和虚拟节点控制模块，目标网络部署监控模块用于实时监控部署和销毁进度，发现异常时进行告警；虚拟节点状态监控模块用于处理、分析、存储虚拟节点状态信息，并提供查询和展示接口；虚拟节点控制模块用于实现虚拟节点的控制操作，完成对虚拟节点的开机、关机、暂停、恢复、重置等操作；

目标网络接入子系统包括用户接入模块、权限验证模块、连接代理模块和中继模块，用户接入模块向用户提供WEB访问接口；权限验证模块对登录用户进行验证，判断其是否具有访问该虚拟机的权限；连接代理模块用于对用户请求进行验证并提供数据的接入代理；中继模块实现用户网络和虚拟网络的数据连接。

3.根据权利要求2所述的一种网络安全攻防试验平台，其特征在于：所述背景流量模子系统包括链路层模拟模块和网络层模拟模块，链路层模拟模块分为命令及配置解析单元、网络流量生成单元和日志生成单元，其主要用于模拟实现点对点的流量模拟；网络层模拟模块分为命令及配置解析单元、IP地址映射单元、流量分发单元、流量回放单元和日志生成单元，其主要用于实验网络层的流量模拟；

所述前景行为模拟子系统包括终端应用模拟模块和终端服务模拟模块，终端应用模拟模块分为命令配置解析单元、参数配置单元、启动应用模拟程序单元和日志写入单元，其用于模拟实现高可定制的前景行为模拟，通过脚本启动模拟程序，对终端指定的应用行为进行模拟；终端服务模拟模块分为命令配置解析单元、参数配置单元、自动服务模拟单元和日志写入单元，其用于模拟实现低可定制的前景行为模拟，通过模拟客户端向服务器端发送请求，服务器响应请求的方式实现服务模拟；

所述靶标操作模拟子系统包括终端应用模拟模块和终端用户模拟模块，终端应用模拟模块分为命令配置解析单元、参数配置单元、启动模拟程序单元和日志写入单元，通过脚本驱动启动模拟程序单元，顺序模拟多个应用程序的执行；终端用户模拟模块分为命令配置解析单元、应用程序坐标计算单元、用户鼠标适配单元、用户操作行为模拟模拟单元和日志写入单元，其通过应用程序坐标计算单元计算用户要模拟执行的应用程序在桌面的坐标，从而模拟终端用户操作鼠标，使用应用软件的行为；

4.根据权利要求3所述的一种网络安全攻防试验平台，其特征在于：所述数据采集子系统包括带外采集模块、链路采集模块和带内探针采集模块，带外采集模块包括配置下发单元、任务调度单元、语义解析单元、虚拟机连接单元、流处理单元和数据库，用于通过配置下发模块收上层用户对于特定虚拟机特定采集任务的请求，并将请求下发到各特定的虚拟机；

链路采集模块包括采集单元、流处理单元、配置接收单元、数据预处理单元和自身运维单元；

带内探针采集模块包括终端采集探针、蜜罐采集探针和邮件采集探针，并将其安装在虚拟节点中，在虚拟节点的宿主机上进行流量采集。

5.根据权利要求4所述的一种网络安全攻防试验平台，其特征在于：所述态势评估子系统包括安全知识图谱、深度威胁检测模块和态势评估模块，深度威胁检测模块包括单点分析单元和关联分析单元，单点分析单元用于对终端蜜罐数据、邮件沙箱数据和流量数据汇总分析，关联分析单元用于对数据进行综合关联分析；

6.根据权利要求5所述的一种网络安全攻防试验平台，其特征在于：所述试验配置子系统包括前端界面、配置管理服务模块、配置管理实现模块和试验配置数据库，用户通过前端界面输入各种试验配置，配置管理服务模块接收前端界面下发的配置请求并生成统一的全局配置文件，同时将相关配置信息存储到试验配置数据库中，再将全局配置文件发送到配置管理实现模块；

所述试验管理子系统包括试验过程控制模块、试验任务配置获取模块、试验任务回放模块和试验任务数据管理模块；试验过程控制模块接受外界命令，调用相应的试验方案，启动整个试验进程，试验任务配置获取模块从试验模板库中调出相应试验模板，基于试验模板生成实验方案，试验任务回放模块根据需求，从数据库中读取相应任务数据，进行任务回放，试验任务数据管理模块用于实现试验任务信息和事件的管理。

7.根据权利要求6所述的一种网络安全攻防试验平台，其特征在于：所述资源管理子系统分为查询、统计及检索模块、资源维护模块和资源库模块，其中：查询、统计及检索模块采用关系数据库索引技术及全文索引技术，查询各种类型数据；资源维护模块用于对资源的注册加入、配置修改及备份恢复等；资源库模块用于存储镜像、模板、软件工具、攻防武器等各类资源；

所述人员权限管理子系统包括单位岗位信息匹配模块、角色权限定义模块和配置文件生成模块；单位岗位信息匹配模块用于管理试验人员及管理人员的单位和岗位的信息匹配，并能对匹配记录进行检索和管理；角色权限定义模块用于根据匹配成功后返回的人员单位岗位相关信息，依据系统定义的权限信息对人员进行权限分配；配置文件生成模块用于在相关人员获取到相应的角色权限后，根据配置信息生成一个人员岗位分析配置文件；

所述平台运维子系统包括自动化部署模块、设备状态采集模块、告警模块、故障恢复模块、日志模块和数据库；自动化部署模块根据网络和主机环境定制部署策略进行自动部署；设备状态采集模块用于周期性地获取各个主机的运行状态；告警模块用于根据预设的配置，对采集模块产生的数据进行过滤，进行异常告警；故障恢复模块用于将可以自动恢复的异常进行自动修复；

所述安全管理子系统分为网络隔离模块、虚拟化隔离模块、系统安全防护模块；网络隔离模块用于在目标网络分系统部署目标网络时根据网络拓扑生成不同网络的标签，并检查数据包是否符合相应安全标签，对数据包进行转发或丢弃；虚拟化隔离模块用于加固虚拟化安全性，防止虚拟机逃逸；系统安全防护模块用于配置整体的防护设备。

8.根据权利要求7所述的一种网络安全攻防试验平台，其特征在于：所述攻防事件可视化子系统包括网络拓扑模块、统计模块、实时展示模块、动画效果展示模块和攻防展示模块；网络拓扑模块用于绘制出拓扑图；统计模块用于对数据实时统计；实时展示模块以图表方式对攻防事件进行实时展示；动画效果展示模块以动画形式对攻防场景事件进行展示；攻防展示模块用于对不同事件以不同的表现形式去呈现；

所述可视化组件展示子系统包括折线图组件、跑马灯组件、饼图组件、仪表盘组件、地球组件、柱状图和条形图等组件，其能够通过不同的数据展示方式进行数据内容的展示。