CN113794712B

CN113794712B - 用于控制网络安全靶场的流量的方法、装置、设备及介质

Info

Publication number: CN113794712B
Application number: CN202111065768.3A
Authority: CN
Inventors: 孟宪哲; 焦彬; 李亚敏; 王晓
Original assignee: Industrial and Commercial Bank of China Ltd ICBC
Current assignee: Industrial and Commercial Bank of China Ltd ICBC
Priority date: 2021-09-10
Filing date: 2021-09-10
Publication date: 2022-07-12
Anticipated expiration: 2041-09-10
Also published as: CN113794712A

Abstract

本公开提供了一种用于控制网络安全靶场的流量的方法，可以应用于信息安全技术领域。该方法包括：拦截流出第一靶场的出流量；从拦截到的出流量中识别出攻击流量，以得到至少一个第一攻击流量；按照转换规则将每个所述第一攻击流量转换为无攻击性的第一互联网流量；以及放行所述第一互联网流量，以通过互联网传输所述第一互联网流量。本公开还提供了一种用于控制网络安全靶场的流量的装置、设备、存储介质和程序产品。

Description

用于控制网络安全靶场的流量的方法、装置、设备及介质

技术领域

本公开涉及信息安全技术领域，更具体地涉及一种用于控制网络安全靶场的流量的方法、装置、设备、介质和程序产品。

背景技术

随着网络安全形势的日益严峻，网络安全靶场应运而生。通过在网络安全靶场中模拟生产环境以及生产环境的业务、攻击流量，可以为各类安全技术、产品的验证提供测试环境。随着对网络安全靶场需求的升级，网络安全靶场的规模也越来越大，跨地域、分布式的网络安全靶场成为重要技术方向。

在分布式的网络安全靶场中，散布在不同地域的网络安全靶场分别模拟特定复杂系统的部分，然后借助互联网通信，实现网络安全靶场逻辑上的统一调度。然而，散布在不同地域的网络安全靶场需要借助于互联网通信，从而靶场之间的攻击流量的投送就成为关键性难题。在借助于互联网投送攻击流量时，要使攻击流量定向送达，不仅要避免攻击流量在投送途中被网络安全设施拦截，又要避免在投送途中产生未预期的攻击扩散或逃逸等安全隐患。

发明内容

鉴于上述问题，本公开实施例提供了一种用于控制网络安全靶场的流量的方法、装置、设备、介质和程序产品。

本公开实施例的第一方面，提供了一种用于控制网络安全靶场的流量的方法。所述方法包括：拦截流出第一靶场的出流量，从拦截到的出流量中识别出攻击流量，以得到至少一个第一攻击流量；按照转换规则将每个所述第一攻击流量转换为无攻击性的第一互联网流量；以及放行所述第一互联网流量，以通过互联网传输所述第一互联网流量。

根据本公开的实施例，所述从拦截到的出流量中识别出攻击流量，以得到至少一个第一攻击流量包括：基于每个出流量的目的地信息，从拦截到的出流量中过滤出目的地位于M个其他靶场其中之一的流量，以得到至少一个第一靶场间流量，其中M为大于或等于1的整数；对每个所述第一靶场间流量进行应用层解析，得到所述第一靶场间流量的解析信息；以及将所述第一靶场间流量的解析信息与预设的的漏洞攻击信息进行匹配；当匹配结果满足预设条件时，确定所述第一靶场间流量为所述第一攻击流量。

根据本公开的实施例，所述按照转换规则将每个所述第一攻击流量转换为无攻击性的第一互联网流量包括：识别所述第一攻击流量中的恶意攻击内容；以及将所述恶意攻击内容按照所述转换规则转换为无害内容，其中，所述转换规则中规定了所述恶意攻击内容与所述无害内容的替换编码方式或对应关系。

根据本公开的实施例，所述转换规则包括间接攻击变形规则和直接攻击变形规则。其中，所述当匹配结果满足预设条件时，确定所述第一靶场间流量为所述第一攻击流量还包括：当所述匹配结果满足第一预设子条件时确定所述第一攻击流量将流量属于直接攻击流量；以及当所述匹配结果满足第二预设子条件时确定所述第一攻击流量属于间接攻击流量，其中，所述第一预设子条件与所述第二预设子条件为所述预设条件的真子集，且所述第一预设子条件和所述第二预设子条件不同。所述将所述恶意攻击内容按照所述转换规则转换为无害内容包括：若所述第一攻击流量属于所述直接攻击流量，则按照所述直接攻击变形规则对所述第一攻击流量进行转换；若所述第一攻击流量属于间接攻击流量，则按照所述间接攻击变形规则对所述第一攻击流量进行转换；其中，所述直接攻击变形规则对所述第一靶场以及所述M个其他靶场均相同；所述间接攻击变形规则与所述第一攻击流量的目的地靶场绑定。

根据本公开的实施例，所述无害内容包括攻击标识。所述攻击标识用于指示所述恶意内容的信息，以使所述第一攻击流量的目的地靶场识别出所述第一互联网流量为经过所述转换规则转换而得到的流量。

根据本公开的实施例，在所述放行所述第一互联网流量之前，所述方法还包括：根据所述第一靶场和所述第一攻击流量的目的地靶场之间的密钥约定，对所述第一互联网流量进行加密。

根据本公开的实施例，所述方法还包括：拦截流入所述第一靶场的入流量；从拦截到的入流量中识别出可还原为攻击流量的流量，以得到至少一个第二互联网流量；按照所述转换规则将每个所述第二互联网流量还原为第二攻击流量；以及放行所述第二攻击流量，以在所述第一靶场中对所述第二攻击流量进行攻防测试。

根据本公开的实施例，所述从拦截到的入流量中识别出可还原为攻击流量的流量，以得到至少一个第二互联网流量包括：基于每个入流量的源端信息，从拦截到的入流量中过滤出来自于预设的M个其他靶场的流量，以得到至少一个第二靶场间流量，其中M为大于或等于1的整数；从每个所述第二靶场间流量中识别攻击标识，其中，所述攻击标识用于指示被转换前的流量中所携带的恶意内容的信息；确定识别到所述攻击标识的所述第二靶场间流量为所述第二互联网流量。

根据本公开的实施例，所述转换规则包括间接攻击变形规则和直接攻击变形规则，其中，根据所述攻击标识确定所述第二互联网流量对应的所述第二靶场间流量属于直接攻击流量还是间接攻击流量。其中，所述按照所述转换规则将每个所述第二互联网流量还原为第二攻击流量包括：当所述第二靶场间流量属于直接攻击流量时，按照所述直接攻击变形规则对所述第二互联网流量进行还原；以及当所述第二靶场间流量属于间接攻击流量时，按照所述间接攻击变形规则对所述第二互联网流量进行还原。其中，所述直接攻击变形规则对所述第一靶场以及所述M个其他靶场均相同；所述间接攻击变形规则与所述第二互联网流量的来源方靶场绑定。

根据本公开的实施例，在所述按照所述转换规则将每个所述第二互联网流量还原为第二攻击流量之前，所述方法还包括：按照所述第一靶场和所述第二互联网流量的来源方靶场的密钥约定，对所述第二互联网流量进行解密。

本公开实施例的第二方面，提供了一种用于控制网络安全靶场的流量的装置。所述装置包括拦截模块、第一识别模块、转换模块、以及传输模块。所述拦截模块用于拦截流出第一靶场的出流量。第一识别模块用于从拦截到的出流量中识别出攻击流量，以得到至少一个第一攻击流量。转换模块用于按照转换规则将每个所述第一攻击流量转换为无攻击性的第一互联网流量。传输模块用于放行所述第一互联网流量，以通过互联网传输所述第一互联网流量。

根据本公开的实施例，所述传输模块还用于在放行所述第一互联网流量之前，根据所述第一靶场和所述第一攻击流量的目的地靶场之间的密钥约定，对所述第一互联网流量进行加密。

根据本公开的实施例，所述装置还包括第二识别模块和还原模块。其中，所述拦截模块还用于拦截流入所述第一靶场的入流量。所述第二识别模块用于从拦截到的入流量中识别出可还原为攻击流量的流量，以得到至少一个第二互联网流量。所述还原模块用于按照所述转换规则将每个所述第二互联网流量还原为第二攻击流量。所述传输模块还用于放行所述第二攻击流量，以在所述第一靶场中对所述第二攻击流量进行攻防测试。

根据本公开的实施例，所述传输模块还用于在按照所述转换规则将每个所述第二互联网流量还原为第二攻击流量之前，按照所述第一靶场和所述第二互联网流量的来源方靶场的密钥约定，对所述第二互联网流量进行解密。

本公开实施例的第三方面，提供了一种电子设备。该电子设备包括一个或多个处理器、以及一个或多个存储器。所述一个或多个存储器用于存储一个或多个程序。其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器执行上述方法。

本公开实施例的第四方面，还提供了一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行上述方法。

本公开实施例的第五方面，还提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述方法。

上述一个或多个实施例具有如下优点或益效果：可以至少部分地实现从网络安全靶场流出的攻击流量通过互联网安全地抵达目的地的效果。其中，通过将攻击流量转换为无攻击性的互联网流量然后进行网络传输，可以避免攻击流量在投送过程中被安全设施拦截的问题，而且即使流量在互联网投送过程中发送扩散，由于在互联网中传输的流量是经过转换后的无害流量，所以也不必担心会带来安全隐患，从而至少在一定程度上有效解决了网络安全靶场外发攻击流量的受控投送问题。

根据本公开的另一些实施例，还可以对流入网络安全靶场的互联网流量进行检测分析，对于其中可以转换为攻击流量的部分流量进行还原，以进行靶场的攻防测试。以此方式，可以有效实现位于不同地域的靶场通过互联网的有效投送。

附图说明

通过以下参照附图对本公开实施例的描述，本公开的上述内容以及其他目的、特征和优点将更为清楚，在附图中：

图1示意性示出了根据本公开一实施例的用于控制网络安全靶场的流量的方法、装置、设备、介质和程序产品的应用场景；

图2示意性示出了根据本公开另一实施例的用于控制网络安全靶场的流量的方法、装置、设备、介质和程序产品的应用场景；

图3示意性示出了根据本公开另一实施例的用于控制网络安全靶场的流量的方法、装置、设备、介质和程序产品的应用场景；

图4示意性示出了根据本公开一实施例的用于控制网络安全靶场的流量的方法流程图；

图5示意性示出了根据本公开一实施例的用于控制网络安全靶场的流量的方法中识别攻击流量的流程图；

图6示意性示出了根据本公开一实施例的用于控制网络安全靶场的流量的方法中将攻击流量转换为无攻击性的互联网流量的流程图；

图7示意性示出了根据本公开一实施例的用于控制网络安全靶场的流量的方法中进行流量转换过程中适用不同转换规则的逻辑示意图；

图8示意性示出了根据本公开另一实施例的用于控制网络安全靶场的流量的方法中对流入靶场的流量的控制流程图；

图9示意性示出了根据本公开另一实施例的用于控制网络安全靶场的流量的方法中识别流入靶场的流量的方法流程图；

图10示意性示出了根据本公开一实施例的用于控制网络安全靶场的流量的装置的框图；

图11示意性示出了根据本公开另一实施例的用于控制网络安全靶场的流量的装置的结构图；

图12示意性示出了图11所示的装置中攻击过滤工具的结构示意图；

图13示意性示出了图11所示的装置中流量重组工具的结构示意图；

图14示意性示出了图11所示的装置中攻击还原工具的结构示意图；

图15示意性示出了图11所示的装置中靶场资产库的结构示意图；

图16示意性示出了应用图11所示的装置对靶场流出流量的处理流程图；

图17示意性示出了应用图11所示的装置对靶场流入流量的处理流程图；以及

图18示意性示出了适于实现根据本公开实施例的用于控制网络安全靶场的流量的方法的电子设备的结构示意图。

具体实施方式

以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。

在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。

在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。

在使用类似于“A、B和C等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。

在本文中，需要理解的是，说明书及附图中的任何元素数量均用于示例而非限制，以及任何命名(例如，第一、第二)都仅用于区分，而不具有任何限制含义。

相关技术中，位于不同地域的网络安全靶场之间进行攻击流量投送时，可以采用真实攻击流量进行相互投送。然而，由于每个地域的网络安全靶场通常设置在对应的数据中心内部，如果直接投放真实攻击流量，可能会在数据中心的网络安全隔离区中被运营商或靶场运营单位拦截或丢弃，直接到导致攻击流量无法送达，造成靶场作业无法正常开展；而如果采用VPN(Virtual Private Networks，虚拟专用网络)方式在不同地域的网络安全靶场之间建立专用通道，则由于不同地域所使用的VPN通道厂商不同，相互连接之间可能会缺少必要的安全防护，再加上有一些攻击流量本身就具有逃逸VPN的属性等特性，就有可能导致难以预期的攻击流量扩散或逃逸等安全隐患。

鉴于以上问题，本公开实施例提供了一种用于控制网络安全靶场的流量的方法、装置、设备、介质和程序产品，旨在在一定程度上解决不同地域的网络安全靶场通过互联网进行攻击流量的安全投送的问题。

根据本公开实施例，该用于控制网络安全靶场的流量的方法可以包括：首先拦截流出第一靶场的出流量；然后从拦截到的出流量中识别出攻击流量，以得到至少一个第一攻击流量；按照转换规则将每个第一攻击流量转换为无攻击性的第一互联网流量；以及放行第一互联网流量，以通过互联网传输第一互联网流量。以此方式，可以避免攻击流量在投送过程中被安全设施拦截，而且即使流量在互联网投送过程中发送扩散，由于在互联网中传输的流量是经过转换后的无害流量，也不必担心会带来安全隐患，从而实现了将从网络安全靶场流出的攻击流量通过互联网安全地送达目的地的效果。

根据本公开的另一些实施例，用于控制网络安全靶场的流量的方法还可以进一步包括：首先拦截流入所述第一靶场的入流量；然后从拦截到的入流量中识别出可还原为攻击流量的流量，以得到至少一个第二互联网流量；接着按照转换规则将每个第二互联网流量还原为第二攻击流量；以及放行所述第二攻击流量，以在第一靶场中对第二攻击流量进行攻防测试。以此方式，可以将流入网络安全靶场的互联网流量中可以转换为攻击流量的部分进行还原，以进行靶场的攻防测试。从而，实现不同地域的靶场间攻击流量的相互投送。

需要说明的是，本公开实施例的用于控制网络安全靶场的流量的方法、装置、设备、介质和程序产品可用于金融领域，也可用于除金融领域之外的任意领域，本公开对应用领域不做限定。

图1示意性示出了根据本公开一实施例的用于控制网络安全靶场的流量的方法、装置、设备、介质和程序产品的应用场景100。

如图1所示，应用场景100可以包括网络安全靶场101和互联网102。其中，网络安全靶场101可以通过互联网102与对接服务测试环境103、验证系统104、和/或远程办公系统测试环境105等通信。

网络安全靶场101通过互联网102与对接服务测试环境103通信的情况，例如可以是网络安全靶场101为A企业设置的靶场，其中可以模拟有A企业的某些服务系统作为靶标。对接服务测试环境103例如可以是打算与A企业的服务系统相对接以联合提供服务的对接服务的测试环境。通过网络安全靶场101与对接服务测试环境103的通信，可以测试B企业的对接服务是否存安全漏洞，或者也可以测试B企业的对接服务接入A企业的系统时是否安全。

验证系统104例如可以是身份验证系统、或授权认证系统等。网络安全靶场101与验证系统104通信，可以测试验证系统104是否安全可靠，是否存在漏洞等。

再者，随着2020年新冠疫情爆发以来，远程办公大量涌现。通过网络安全靶场101与远程办公系统测试环境105通信，可以测试远程办公系统是否存在安全隐患等。

根据本公开的实施例，可以在网络安全靶场101与互联网102连接的流量进/出口位置处设置流量控制器10，该流量控制器10可以用于执行根据本公开实施例的用于控制网络安全靶场的流量的方法，将从网络安全靶场101流出的攻击流量转换为无攻击性的互联网流量后发送到互联网102，经由互联网102传输到对接服务测试环境103、验证系统104、或远程办公系统测试环境105。然后在流量到达对接服务测试环境103、验证系统104或远程办公系统测试环境105之后，可以在对接服务测试环境103、验证系统104或远程办公系统测试环境105中按照预先约定的规则再还原回攻击流量以进行测试。以此方式，实现了对网络安全靶场101发出的攻击流量的安全投送。

相应地，根据本公开实施例的用于控制网络安全靶场的流量的装置、设备、介质和程序产品可以设置于流量控制器10中，用于对网络安全靶场101发出的攻击流量进行安全投送。

图2示意性示出了根据本公开另一实施例的用于控制网络安全靶场的流量的方法、装置、设备、介质和程序产品的应用场景200。

如图2所示，该应用场景200可以包括网络安全靶场201、203以及互联网202，其中，网络安全靶场201、203通过互联网202通信。

例如，两个企业各自在自己的数据中心设置各自的网络安全靶场，从而得到位于不同地域的两个网络安全靶场201和203，该两个网络安全靶场201和203可以各自模拟特定的复杂系统。例如，网络安全靶场201是一个生产企业根据自己的业务生产环境模拟创建的网络安全靶场，其中，模拟出自己的一个或多个生产用服务系统作为靶标；网络安全靶场203是网络安全企业搭建的网络安全靶场，其中，模拟出各种网络攻击系统和网络防御系统作为靶标。网络安全靶场201和203通过互联网202通信，可以实现对对方靶场的各种攻防测试。

根据本公开实施例，可以分别在网络安全靶场201和203与互联网102连接的流量进/出口位置处设置流量控制器20，该流量控制器20可以用于执行根据本公开实施例的用于控制网络安全靶场的流量的方法，对流出和/或流入网络安全靶场201和203的流量进行处理，将流出的攻击流量转换为无害流量便于通过互联网的安全传输，和/或将流入的互联网流量中可还原为攻击流量的部分进行还原。

相应地，根据本公开实施例的用于控制网络安全靶场的流量的装置、设备、介质和程序产品可以设置于流量控制器20中，用于对流出/流入网络安全靶场201和203的攻击流量进行受控投送。

图3示意性示出了根据本公开另一实施例的用于控制网络安全靶场的流量的方法、装置、设备、介质和程序产品的应用场景300。

如图3所示，该应用场景300中可以包括三个以上网络安全靶场(图中示出了四个，301～304)，以及互联网305。其中，该四个网络安全靶场301～304分别位于不同的地域(即，地域1～4)，该四个网络安全靶场301～304可以通过互联网305相互通信。

该四个网络安全靶场301～304可以构成分布式的网络安全靶场系统，每个网络安全靶场模拟分布式网络安全靶场系统中的一部分复杂功能，借助于互联网305实现分布式的网络安全靶场系统逻辑上的统一调度，从而可以进行更为复杂且涉及范围更广泛的网络安全测试。

根据本公开的实施例，可以分别在网络安全靶场301～304与互联网305连接的流量进/出口处设置流量控制器30，该流量控制器30可以用于执行根据本公开实施例的用于控制网络安全靶场的流量的方法，对流出/流入每个网络安全靶场的流量进行处理，将流出的攻击流量转换为无害流量便于通过互联网的安全传输，和/或将流入的互联网流量中可还原为攻击流量的部分进行还原，以在自己的靶场内进行攻防测试。

相应地，根据本公开实施例的用于控制网络安全靶场的流量的装置、设备、介质和程序产品可以设置于流量控制器30中，用于对流出/流入网络安全靶场301～304的攻击流量进行受控投送。

根据本公开的实施例，在应用场景100中，由于流入网络安全靶场101的流量来自于非靶场的各类系统，从而可以通过流量控制器10仅对流出网络安全靶场101的流量进行转换处理。当然，在一些实施例中，也可以对从其他非靶场系统流入网络安全靶场101的流量进行转换处理，对此本公开不予限定。

在应用场景200中，可以通过流量控制器20对出入网络安全靶场201和203分别进行拦截和转换处理，其中，当网络安全靶场201和203是一对一通信时，二者之间的流量识别方式、转换规则、和/或加解密规则都可以简化设置。

在应用场景300中，可以通过流量控制器30对出入网络安全靶场301～304分别进行拦截和转换处理。其中，在该应用场景300中，由于每个网络安全靶场都对接多个其他靶场，从而靶场间流量识别方式、转换规则、和/或加解密规则等既可以全局统一，也可以根据靶场两两之间绑定设置，例如，可以通过设置靶场资产库进行靶场调度逻辑的统一管理等。

需要说明的是，以上应用场景100～300所示仅为可以应用本公开实施例的应用场景的示例，以帮助本领域技术人员理解本公开的技术内容，但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。例如，在实际应用中可能存在大量由应用场景100～300以各种方式组合而成的场景。

以下结合应用场景100～300，通过图4～图9对本公开各个实施例的用于控制网络安全靶场的流量的方法进行详细描述。

图4示意性示出了根据本公开一实施例的用于控制网络安全靶场的流量的方法流程图。

如图4所示，根据该实施例的用于控制网络安全靶场的流量的方法可以包括操作S410～操作S440。

在操作S410，拦截流出第一靶场的出流量。该第一靶场可以是以上网络安全靶场101、201和203、以及301～304中的任意一个。

在操作S420，从拦截到的出流量中识别出攻击流量，以得到至少一个第一攻击流量。

进出网络安全靶场的流量除了攻击流量外，还可以有握手流量、探测流量等。

在一个实施例中，可以对拦截到的每个出流量的报文中用于标识该流量的种类或功能的一个多个字段进行匹配识别，从中过滤出具有攻击流量。在另一些实施例中，还可以将拦截到的出流量中的握手流量等某些具有已知特定功能的流量进行排除，将剩余的部分确定为攻击流量。在再一些实施例中，可以对攻击流量的属性特征进行整理和统计，然后将拦截到的出流量的解析信息与统计得到的攻击流量的特征进行比较，来确定攻击流量，具体可以参考下文关于图5的示例性描述。

在操作S430，按照转换规则将每个第一攻击流量转换为无攻击性的第一互联网流量。如前文所述，转换规则可以根据第一靶场所在的应用场景具体设置，可以是全局统一，或者可以是与第一靶场和第一攻击流量的目的地相对应。

在操作S440，放行第一互联网流量，以通过互联网传输第一互联网流量。

由于第一互联网流量是通过将第一攻击流量转换而得到，在一些实施例中可以对对第一互联网流量可以加标识，从而可以在第一互联网流量到达目的地时由目的地根据标识对第一互联网进行还原处理。当然，在一些实施例中，也可以对第一互联网不进行标识区分，例如，在应用场景100中，假设网络安全靶场101专门用于向其他各个系统发送攻击流量，从而其他系统将接收到来自于网络安全靶场101的非特定用途(例如，探测、握手等)的流量，可以默认为经过转换的攻击流量。

根据本公开的一些实施例，在操作S440中放行第一互联网流量之前，还可以根据第一靶场和第一攻击流量的目的地之间的密钥约定，对第一互联网流量进行加密，以此进一步提高攻击流量的传输安全性，降低流量泄露或扩散带来安全隐患，也可以避免第三方对当前进行的安全测试的窥探。

可见，根据本公开的实施例，可以实现攻击流量在互联网环境中的无害、无损传输，在较大程度上实现攻击流量的可靠投送。

图5示意性示出了根据本公开一实施例的用于控制网络安全靶场的流量的方法中操作S420中识别攻击流量的流程图。

如图5所示，根据该实施例操作S420可以包括操作S421～操作S424。其中，图5所示的识别攻击流量的流程可以适用于应用场景200和300。

在操作S421，基于每个出流量的目的地信息，从拦截到的出流量中过滤出目的地位于预设的M个其他靶场其中之一的流量，以得到至少一个第一靶场间流量，其中M为大于或等于1的整数。

第一靶场和M个其他靶场可以构成分布式的网络安全靶场系统，其中，每个靶场中可以设置有分布式的网络安全靶场信息和/或密钥信息等，这些信息的字段设置可以如下表1所示。

其中，在分布式的网络安全靶场系统中，表1所示的靶场信息和/或密钥信息可以由其中一个靶场作为主靶场进行维护和更新，其他靶场同步主靶场中的信息。

根据本公开的实施例，操作S421中可以根据拦截到的每个出流量的报文中靶场、靶标源/目的IP、MAC等信息，快速判定该出流量是否属于靶场间流量。

表1

在操作S422，对每个第一靶场间流量进行应用层解析，得到第一靶场间流量的解析信息。

在操作S423，将第一靶场间流量的解析信息与预设的漏洞攻击信息进行匹配。

在操作S424，当匹配结果满足预设条件时，确定第一靶场间流量为第一攻击流量。

表2示意了预设的漏洞攻击信息的字段结构示例。

表2

根据本公开的一个实施例，可以在操作S422中通过对每个第一靶场流量的目的IP、MAC等靶标资产信息，在靶标资产信息中获取靶标信息(例如，操作系统、应用类型等)，然后将第一靶场流量的解析信息与如表2所示的漏洞攻击信息中的一个字段或多个字段的信息进行匹配分析。根据匹配结果来确定第一靶场将流量是否为攻击流量。

在进行匹配分析时，在一个实施例中，表2中的一个或多字段的信息可以具有不同的权重。例如在一些实施例中，命中其中权重高的某个关键字段(例如，漏洞名称或者漏洞编号)时，就可以确定该靶场间流量为攻击流量。在另一些实施例中，可以根据预设的漏洞攻击信息中各个字段的权重、以及靶场间流量与该各个字段的相似程度，对场间流量的解析信息与预设的漏洞攻击信息中的信息进行相似度分析，若相似度高于设定的经验阈值，则判定为存在攻击。

图6示意性示出了根据本公开一实施例的用于控制网络安全靶场的流量的方法中操作S430将攻击流量转换为无攻击性的互联网流量的流程图。

如图6所示，根据该实施例操作S430可以包括操作S431～操作S432。

在操作S431，识别第一攻击流量中的恶意攻击内容。对第一攻击流量进行进一步解析，识别使用的具体攻击手段，并识别其中恶意代码、恶意文件，和/或资产探测等间接攻击行为。

在操作S432，将恶意攻击内容按照转换规则转换为无害内容，其中，转换规则中规定了恶意攻击内容与无害内容的替换编码方式或对应关系。可以按照转换规则，将恶意文件、恶意代码等替换为替换为无害文件或代码。在一些实施中，可以将恶意攻击内容按照预定的替换编码方式编码转换为无害内容。在另一些实施例中，可以在转换规则中预先设置每一种恶意攻击类型对应的替换文件，然后按照转换规则进行文件的替换。

根据本公开的实施例，转换得到的第一互联网流量中的无害内容可以包括攻击标识，该攻击标识用于指示恶意内容的信息，以使第一攻击流量的目的地识别出第一互联网流量为经过转换规则转换而得到的流量。

在一些实施例中，该攻击标识可以是对所有攻击流量均相同，例如在转换规则为全局统一的替换编码规则时，可以仅通过一个攻击标识来告知第一互联网流量的目的地该互联网流量为将攻击流量转换而得的。然后，当第一互联网流量的目的地获得该攻击标识后，可以根据全局统一的替换编码规则对第一互联网流量进行还原。

在另一些实施例中，该攻击标识可以是针对不同的恶意攻击内容设置不同的内容。从而，当第一互联网流量的目的地识别出该互联网流量中的该攻击标识的内容时，可以根据该攻击标识去查找对应的恶意攻击内容并进行替换。

图7示意性示出了根据本公开一实施例的用于控制网络安全靶场的流量的方法中进行流量转换过程中适用不同转换规则的逻辑示意图。

结合图5、图6和图7，根据该实施例，将攻击流量转换为无攻击性的互联网流量时，适用的转换规则可以包括直接攻击变形规则和间接攻击变形规则。例如，可以在识别攻击流量时，对操作S423中根据第一靶场间流量的解析信息与预设的漏洞攻击信息(例如，表2)的匹配结果，将识别出的第一攻击流量进一步区分为直接攻击流量和间接攻击流量。然后针对直接攻击流量，在操作S432中进行转换时适用直接攻击变形规则，以及针对间接攻击流量，在操作S432中进行转换时适用间接攻击变形规则。

具体地，可以在操作S423中当匹配结果满足第一预设子条件时确定第一攻击流量将流量属于直接攻击流量，以及当匹配结果满足第二预设子条件时确定第一攻击流量属于间接攻击流量。其中，第一预设子条件与第二预设子条件为预设条件的真子集，且第一预设子条件和第二预设子条件不同。

在一些实施例中，第一预设子条件可以比第二预设子条件更严苛。例如，当操作S423中的预设条件为匹配结果所得的相似度是否满足经验阈值时，第一预设子条件对应的经验阈值可以大于第二预设子条件对应的经验阈值。再例如，可以当第一靶场间流量的解析信息命中表2中的一个或若干个关键字段时，认为该第一攻击流量属于直接攻击流量，而当第一靶场间留的的解析信息未命中任何关键字段，但与关键字段或其他字段的相似度达到经验阈值时，可以认为该第一攻击流量属于间接攻击流量。

根据本公开的实施例，对于直接攻击流量，按照直接攻击变形规则进行流量中恶意内容的转换，对于间接攻击流量，可以按照间接攻击流量进行流量装恶意内容的替换。其中，直接攻击变形规则对第一靶场以及M个其他靶场均相同；间接攻击变形规则与第一攻击流量的目的地靶场绑定。其中，表3示意了直接攻击变形规则和间接攻击变形规则的字段说明。

表3

根据本公开的一些实施例，当第一预设子条件可以比第二预设子条件更严苛时，可以确定直接攻击流量的攻击性能要明显高于间接攻击流量。例如，可以认为在第一靶场以及M个其他靶场构成的分布式靶场系统中，直接攻击流量可以是公认的具有攻击性能的那部分流量，从而可以使用全局一致的转换规则进行内容替换。间接攻击流量(例如，资产探测流量)，对于不同的靶场而言敏感程度可能不同。例如安全公司设立的专门用于模拟网络攻击的靶场，对于资产探测并不敏感。又例如金融公司设置的用于模拟生成环境运行的靶场，对资产探测流量就会非常敏感。从而，对于间接攻击变形规则可以根据各个靶场的安全要求设置，与各个靶场相绑定。

图8示意性示出了根据本公开另一实施例的用于控制网络安全靶场的流量的方法中对流入靶场的流量的控制流程图。

如图8所示，根据本公开实施例的用于控制网络安全靶场的流量的方法除了上述操作S410～操作S440以外，还可以进一步包括操作S850～操作S880，其中，通过操作S850～操作S880可以对流入靶场的流量进行控制。

在操作S850，拦截流入第一靶场的入流量。

在操作S860，从拦截到的入流量中识别出可还原为攻击流量的流量，以得到至少一个第二互联网流量。例如，可以识别入流量中是否来自于某个靶场，或者该入流量中是否携带有特定的攻击标识等。

在操作S870，按照转换规则将每个第二互联网流量还原为第二攻击流量。

在操作S880，放行第二攻击流量，以在第一靶场中对第二攻击流量进行攻防测试。

根据本公开的实施例，通过对攻击流量的准确还原，在较大程度上确保攻击流量经由互联网的可靠投送。

图9示意性示出了根据本公开另一实施例的用于控制网络安全靶场的流量的方法中操作S860识别流入靶场的流量的方法流程图。

如图9所示，根据该实施例操作S860可以包括操作S861～操作S863。根据该实施例的识别流入靶场的流量的方法可以适用于前述应用场景200或300。

在操作S861，基于每个入流量的源端信息，从拦截到的入流量中过滤出来自于预设的M个其他靶场的流量，以得到至少一个第二靶场间流量，其中M为大于或等于1的整数。类似于操作S421，可以对拦截到的每个入流量的报文中靶场、靶标源/目的IP、MAC等信息与维护的分布式的网络靶场系统中的信息进行比较，快速判定该入流量是否属于靶场间流量。

在操作S862，从每个第二靶场间流量中识别攻击标识，其中，攻击标识用于指示被转换前的流量中所携带的恶意内容的信息。当入流量为经过加密的信息时，可以在操作S862中先按照第一靶场和第二互联网流量的来源方的密钥约定，对第二互联网流量进行解密。然后对解密后的第二互联网络流量的报文进行解析，从中查找攻击标识的信息。

在操作S863，确定识别到攻击标识的第二靶场间流量为第二互联网流量。

对于流入第一靶场的第二互联网流量也可以进一步区分出是从直接攻击流量转换而来，还是从间接攻击流量转换而来，并可以根据区分识别的结果，在进行还原时适用直接攻击变形规则或间接攻击变形规则(如表3的示意)。

例如，在一些实施例中，可以在操作S863中根据攻击标识区分出第二互联网流量对应的第二靶场间流量属于直接攻击流量还是间接攻击流量。然后在操作S870中，当第二靶场间流量属于直接攻击流量时，按照直接攻击变形规则对第二互联网流量进行还原；以及当第二靶场间流量属于间接攻击流量时，按照间接攻击变形规则对第二互联网流量进行还原。

由此可见，根据本公开实施例的方法，可以在在每个靶场的出口建立攻击代理机制，实现攻击流量在互联网环境的无害、无损传输；另外，还可以通过对攻击流量进行准确解析、还原，确保靶场间攻击流量的可靠投送，可以在对靶场作业的前提下，实现跨机构的靶场攻防作业。

基于本公开各个实施例的用于控制网络安全靶场的流量的方法，本公开实施例还提供了一种用于控制网络安全靶场的流量的装置。以下将结合图10对该装置进行详细描述。

图10示意性示出了根据本公开一实施例的用于控制网络安全靶场的流量的装置1000的框图。

如图10所示，根据本公开一些实施例的装置1000可以包括拦截模块1010、第一识别模块1020、转换模块1030以及传输模块1040。根据本公开另一些实施例，该装置1000还可以进一步包括第二识别模块1050以及还原模块1060。

拦截模块1010可以用于拦截流出第一靶场的出流量，例如，在一些实施例中可以执行操作S410。拦截模块1010还可以用于拦截流入第一靶场的入流量，例如在另一些实施例中可以执行操作S850。

第一识别模块1020可以用于从拦截到的出流量中识别出攻击流量，以得到至少一个第一攻击流量。例如在一些实施例中第一识别模块1020可以执行操作S420。

转换模块1030用于按照转换规则将每个第一攻击流量转换为无攻击性的第一互联网流量。例如在一些实施例中转换模块1030可以执行操作S430。

第二识别模块1050可以用于从拦截到的入流量中识别出可还原为攻击流量的流量，以得到至少一个第二互联网流量。例如在一些实施例中第二识别模块1050可以执行操作S860。

还原模块1060可以用于按照转换规则将每个第二互联网流量还原为第二攻击流量。例如在一些实施例中还原模块1060可以执行操作S870。

传输模块1040可以用于放行第一互联网流量，以通过互联网传输第一互联网流量，例如在一些实施例中可以执行操作S440。传输模块1040还可以用于放行第二攻击流量，以在第一靶场中对第二攻击流量进行攻防测试，例如在一些实施例中可以执行操作S880。

根据本公开另一些实施例，传输模块1040还可以用于在放行第一互联网流量之前，根据第一靶场和第一攻击流量的目的地靶场之间的密钥约定，对第一互联网流量进行加密。

根据本公开再一些实施例，传输模块1040还用于在按照转换规则将每个第二互联网流量还原为第二攻击流量之前，按照第一靶场和第二互联网流量的来源方靶场的密钥约定，对第二互联网流量进行解密。

该装置1000可以用于实现参考图4～图9所描述的用于控制网络安全靶场的流量的方法，具体可以参考上文的介绍，在此不再赘述。

根据本公开的实施例，拦截模块1010、第一识别模块1020、转换模块1030、传输模块1040、第二识别模块1050以及还原模块1060中的任意多个模块可以合并在一个模块中实现，或者其中的任意一个模块可以被拆分成多个模块。或者，这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合，并在一个模块中实现。根据本公开的实施例，拦截模块1010、第一识别模块1020、转换模块1030、传输模块1040、第二识别模块1050以及还原模块1060中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，拦截模块1010、第一识别模块1020、转换模块1030、传输模块1040、第二识别模块1050以及还原模块1060中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。

基于本公开各个实施例的用于控制网络安全靶场的流量的方法和装置，图11～图17针对应用场景300，提供了用于控制网络安全靶场的流量的装置和方法的应用实例。可以理解，以下图11～图17中的描述均为示例性，以帮助本领域技术人员理解本公开方案的技术实现，并不构成对本公开实施例的任何限定。

图11示意性示出了根据本公开另一实施例的用于控制网络安全靶场的流量的装置的结构图。

如图11所示，该装置1100可以包括攻击过滤工具1、流量重组工具2、攻击还原工具3以及靶场资产库4。该装置1100就可以部署在各靶场的互联网出口位置，通过接管、分析进出靶场靶标流量，实现对攻击流量的受控投送。

具体的，攻击过滤工具1主要功能是将进出靶场靶标的攻击流量进行识别，对于流出靶场方向的流量，识别到攻击后交由工具2进行重组，对于流入靶场方向的流量，识别到攻击后交由工具3进行翻译。

流量重组工具2主要功能是在攻击过滤工具1识别到流出靶场的攻击流量后，对其进行编码转换，添加攻击标识然后重组发出。

攻击还原工具3主要功能是在攻击过滤工具1识别到流入靶场的流量包含攻击标识后，对相关流量进行转码还原、重组后转至对应靶场靶标。

靶场资源库4中记录了分布式的网络安全靶场系统(例如，应用场景300中)的靶标资产信息、已知攻击特征以及转换规则(例如，编码规则库)。其中，靶场资源库4的信息可以由分布式的网络安全靶场系统中的主靶场维护和更新，其他靶场实时同步。

装置1100可以通过攻击过滤工具1、流量重组工具2、攻击还原工具3以及靶场资产库4这四个工具相互协作，共同实现分布式靶场间，攻击流量的受控投送攻击。

图12示意性示出了图11所示的装置中攻击过滤工具1的结构示意图。

如图12所示，攻击过滤工具1包括流量代理单元11、快速匹配单元12、攻击识别单元13以及规则解析单元14。

流量代理单元11对进出靶场靶标的网络流量进行捕获，为后续流量分析提供条件；另外在后续分析流程完成后，流量代理单元11将处理后的流量重新注入靶场靶标；

快速匹配单元12根据规则解析单元14提供的分布式靶场信息及密钥信息(详见前文表1)，根据靶场、靶标源/目的IP、MAC等信息，快速判定流量是否属于分布式靶场间流量，若非靶场间流量则可以放行，若为靶场间流量则进入攻击识别单元13。

攻击识别单元13对流量进行应用层解析，首先通过目标IP、MAC等资产信息，在靶标资产信息中获取靶标信息(操作系统、应用类型等)，以及规则解析单元14提供的潜在的预设的漏洞攻击信息(详见表2)，形成待匹配规则清单；将解析后的流量信息与待匹配规则清单进行匹配，例如通过关键词匹配、或者攻击特征识别、或者攻击行识别等方式进行相似度分析，若相似度高于设定的经验阈值，则判定为存在攻击，并将流量转入流量重组工具2。

规则解析单元14从靶场资产库4中提取信息，为快速匹配单元12提供分布式靶场靶标信息，为攻击识别单元13提供靶标信息、攻击特征信息。

图13示意性示出了图11所示的装置中流量重组工具2的结构示意图。

如图13所示，流量重组工具2包括流量解析单元21、攻击编码单元22、流量标记单元23以及规则解析单元24。

流量解析单元21对攻击过滤工具1提供的攻击流量进行进一步解析，识别使用的具体攻击手段，识别其中恶意代码、恶意文件，以及资产探测等间接攻击行为，并提交攻击编码单元22。

攻击编码单元22根据规则解析单元24提供的转换规则(详见表3)，将直接攻击流量的恶意文件、恶意代码按照直接攻击变形规则替换为对应带有靶场标识的无害文件、代码，将间接攻击流量按照间接攻击变形规则进行替换编码，并提交流量标记单元23。若不包含攻击内容，则直接提交流量标记单元23。

流量标记单元23将为应用层报文添加标记并进行加密，重新组成网络报文后借由攻击过滤工具1发出。

规则解析单元24从靶场资产库4中提取信息，为攻击编辑单元22提供恶意文件特征信息以及转换规则，为流量标记单元23提供密钥信息。

图14示意性示出了图11所示的装置中攻击还原工具3的结构示意图。

如图14所示，攻击还原工具3包括流量解码单元31、攻击解码单元32以及规则解析单元33。

流量解码单元31根据流量中的靶场标识，将其他靶场流入的流量进行解码，并提交攻击解码单元32。

攻击解码单元32按照文件、代码替换规则，对流量进行还原。

规则解析单元33从靶场资产库4中提取信息，为流量解码单元31提供密钥信息，为攻击解码单元32提供转换规则。

图15示意性示出了图11所示的装置中靶场资产库4的结构示意图。

如图15所示，靶场资产库4可以包括分布式靶场信息及密钥库41、攻击特征库42、转换规则库43。

图16示意性示出了应用图11所示的装置对靶场流出流量的处理流程图。

如图16所示，装置1100对靶场流出流量的处理流程S1可以包括操作S101～操作S105。

在操作S101，装置1100设置在每个靶场的流量流出位置，由攻击过滤工具1对于流出靶场的流量进行基于五元组的分析。若流量未命中靶场资产库4中其他靶场的名单，则为非靶场间流量，进入操作S102；若命中靶场资产库4的名单，则进入操作S103。

在操作S102，将流量放行，流出靶场，处理结束。

在操作S103，由攻击过滤工具1对流量进行快速攻击匹配。若未命中靶场资产库4中已知的漏洞攻击信息，则不存在已知攻击，进入操作S104；若命中靶场资产库4中已知的漏洞攻击信息，则存在已知攻击，进入操作S105。

在操作S104，由流量重组工具2对流量进行标记、加密，跳转至操作S102。

在操作S105，由流量重组工具2对攻击流量按照靶场资产库4中的转换规则进行变形，包括对已知恶意代码/恶意文件进行代码/文件替换、和/或对潜在攻击进行替换编码，跳转至操作S104。

图17示意性示出了应用图11所示的装置对靶场流入流量的处理流程图。

如图17所示，装置1100对靶场流入流量的处理流程S2可以包括操作S201～操作S204。

操作S201.装置1100设置在每个靶场的流量流入位置，由攻击过滤工具1对流入靶场的流量进行分析，若流量未命中靶场资产库4中其他靶场的名单，则非分布式靶场流量，进入流程S202；若命中靶场资产库4中其他靶场的名单，则进入流程S203；

操作S202.将流量放行，流入靶场，处理结束；

操作S203.由攻击过滤攻击1对流量标识进行解析。根据对标识的解析结果，若不存在攻击进入流程S202；若存在已知攻击，进入流程S204；

操作S204.由攻击还原工具4对攻击流量进行还原，对于直接攻击流量，将无害文件、代码还原为对应恶意文件、代码；对于间接攻击流量，进行解码。完成流量还原后，进入流程S202。

根据本公开的实施例，通过装置1100可以首先在分布式的网络安全靶场间构建统一的网络攻击基础素材、资源库，实现分布式的网络安全靶场对攻击的统一描述；其次在每个靶场的出口建立攻击代理机制，实现攻击流量在互联网环境的无害、无损传输；另外，还可以通过对攻击流量进行准确解析、还原，确保靶场间攻击流量的可靠投送，可以在对靶场作业的前提下，实现跨机构的靶场攻防作业。

从而，根据本公开的实施例，通过基于攻击特征库的攻击文件替换、报文加密，确保了分布式靶场之间攻击流量不外泄，并且通过对靶场攻击流量的代理，为靶场攻击流量监控、审计、展现，以及攻击行为分析提供了基础。

根据本公开的实施例，攻击过滤工具1、流量重组工具2、攻击还原工具3以及靶场资产库4中的任意多个可以合并在一个模块中实现，或者其中的任意一个可以被拆分成多个模块。或者，这些工具中的一个或多个工具的至少部分功能可以与其他模块的至少部分功能相结合，并在一个模块中实现。根据本公开的实施例，攻击过滤工具1、流量重组工具2、攻击还原工具3以及靶场资产库4中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，攻击过滤工具1、流量重组工具2、攻击还原工具3以及靶场资产库4中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。

图18示意性示出了适于实现根据本公开实施例的用于控制网络安全靶场的流量的方法的电子设备1800的结构示意图。

如图18所示，根据本公开实施例的电子设备1800包括处理器1801，其可以根据存储在只读存储器(ROM)1802中的程序或者从存储部分1808加载到随机访问存储器(RAM)1803中的程序而执行各种适当的动作和处理。处理器1801例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(ASIC))等等。处理器1801还可以包括用于缓存用途的板载存储器。处理器1801可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。

在RAM 1803中，存储有电子设备1800操作所需的各种程序和数据。处理器1801、ROM 1802以及RAM 1803通过总线1804彼此相连。处理器1801通过执行ROM 1802和/或RAM1803中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意，所述程序也可以存储在除ROM 1802和RAM 1803以外的一个或多个存储器中。处理器1801也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。

根据本公开的实施例，电子设备1800还可以包括输入/输出(I/O)接口1805，输入/输出(I/O)接口1805也连接至总线1804。电子设备1800还可以包括连接至I/O接口1805的以下部件中的一项或多项：包括键盘、鼠标等的输入部分1806；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1807；包括硬盘等的存储部分1808；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1809。通信部分1809经由诸如因特网的网络执行通信处理。驱动器1810也根据需要连接至I/O接口1805。可拆卸介质1811，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器1810上，以便于从其上读出的计算机程序根据需要被安装入存储部分1808。

本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的方法。

根据本公开的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质，例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如，根据本公开的实施例，计算机可读存储介质可以包括上文描述的ROM 1802和/或RAM 1803和/或ROM 1802和RAM 1803以外的一个或多个存储器。

本公开的实施例还包括一种计算机程序产品，其包括计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时，该程序代码用于使计算机系统实现本公开实施例所提供的方法。

在该计算机程序被处理器1801执行时执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例，上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。

在一种实施例中，该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中，该计算机程序也可以在网络介质上以信号的形式进行传输、分发，并通过通信部分1809被下载和安装，和/或从可拆卸介质1811被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。

在这样的实施例中，该计算机程序可以通过通信部分1809从网络上被下载和安装，和/或从可拆卸介质1811被安装。在该计算机程序被处理器1801执行时，执行本公开实施例的系统中限定的上述功能。根据本公开的实施例，上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。

根据本公开的实施例，可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码，具体地，可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如Java，C++，python，“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

本领域技术人员可以理解，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合，即使这样的组合或结合没有明确记载于本公开中。特别地，在不脱离本公开精神和教导的情况下，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。

以上对本公开的实施例进行了描述。但是，这些实施例仅仅是为了说明的目的，而并非为了限制本公开的范围。尽管在以上分别描述了各实施例，但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围，本领域技术人员可以做出多种替代和修改，这些替代和修改都应落在本公开的范围之内。

Claims

1.一种用于控制网络安全靶场的流量的方法，包括：

拦截流出第一靶场的出流量；

从拦截到的出流量中识别出攻击流量，以得到至少一个第一攻击流量；

按照转换规则将每个所述第一攻击流量转换为无攻击性的第一互联网流量；

放行所述第一互联网流量，以通过互联网传输所述第一互联网流量；

拦截流入所述第一靶场的入流量；

从拦截到的入流量中识别出可还原为攻击流量的流量，以得到至少一个第二互联网流量；

按照所述转换规则将每个所述第二互联网流量还原为第二攻击流量；以及

放行所述第二攻击流量，以在所述第一靶场中对所述第二攻击流量进行攻防测试。

2.根据权利要求1所述的方法，其中，所述从拦截到的出流量中识别出攻击流量，以得到至少一个第一攻击流量包括：

基于每个出流量的目的地信息，从拦截到的出流量中过滤出目的地位于预设的M个其他靶场其中之一的流量，以得到至少一个第一靶场间流量，其中M为大于或等于1的整数；

对每个所述第一靶场间流量进行应用层解析，得到所述第一靶场间流量的解析信息；以及

将所述第一靶场间流量的解析信息与预设的漏洞攻击信息进行匹配；

当匹配结果满足预设条件时，确定所述第一靶场间流量为所述第一攻击流量。

3.根据权利要求2所述的方法，其中，所述按照转换规则将每个所述第一攻击流量转换为无攻击性的第一互联网流量包括：

识别所述第一攻击流量中的恶意攻击内容；以及

将所述恶意攻击内容按照所述转换规则转换为无害内容，其中，所述转换规则中规定了所述恶意攻击内容与所述无害内容的替换编码方式或对应关系。

4.根据权利要求3所述的方法，其中，所述转换规则包括间接攻击变形规则和直接攻击变形规则，其中，

所述当匹配结果满足预设条件时，确定所述第一靶场间流量为所述第一攻击流量还包括：

当所述匹配结果满足第一预设子条件时确定所述第一攻击流量属于直接攻击流量；以及

当所述匹配结果满足第二预设子条件时确定所述第一攻击流量属于间接攻击流量；

其中，所述第一预设子条件与所述第二预设子条件为所述预设条件的真子集，且所述第一预设子条件和所述第二预设子条件不同；

所述将所述恶意攻击内容按照所述转换规则转换为无害内容包括：

若所述第一攻击流量属于所述直接攻击流量，则按照所述直接攻击变形规则对所述第一攻击流量进行转换；

若所述第一攻击流量属于间接攻击流量，则按照所述间接攻击变形规则对所述第一攻击流量进行转换；

其中，

所述直接攻击变形规则对所述第一靶场以及所述M个其他靶场均相同；

所述间接攻击变形规则与所述第一攻击流量的目的地靶场绑定。

5.根据权利要求3所述的方法，其中，所述无害内容包括攻击标识；所述攻击标识用于指示所述恶意内容的信息，以使所述第一攻击流量的目的地靶场识别出所述第一互联网流量为经过所述转换规则转换而得到的流量。

6.根据权利要求2所述的方法，其中，在所述放行所述第一互联网流量之前，所述方法还包括：

根据所述第一靶场和所述第一攻击流量的目的地靶场之间的密钥约定，对所述第一互联网流量进行加密。

7.根据权利要求1所述的方法，其中，所述从拦截到的入流量中识别出可还原为攻击流量的流量，以得到至少一个第二互联网流量包括：

基于每个入流量的源端信息，从拦截到的入流量中过滤出来自于预设的M个其他靶场的流量，以得到至少一个第二靶场间流量，其中M为大于或等于1的整数；

从每个所述第二靶场间流量中识别攻击标识，其中，所述攻击标识用于指示被转换前的流量中所携带的恶意内容的信息；

确定识别到所述攻击标识的所述第二靶场间流量为所述第二互联网流量。

8.根据权利要求7所述的方法，其中，所述转换规则包括间接攻击变形规则和直接攻击变形规则，其中，根据所述攻击标识确定所述第二互联网流量对应的所述第二靶场间流量属于直接攻击流量还是间接攻击流量；

其中，

所述按照所述转换规则将每个所述第二互联网流量还原为第二攻击流量包括：

当所述第二靶场间流量属于直接攻击流量时，按照所述直接攻击变形规则对所述第二互联网流量进行还原；以及

当所述第二靶场间流量属于间接攻击流量时，按照所述间接攻击变形规则对所述第二互联网流量进行还原；

其中，

所述间接攻击变形规则与所述第二互联网流量的来源方靶场绑定。

9.根据权利要求7所述的方法，其中，在所述按照所述转换规则将每个所述第二互联网流量还原为第二攻击流量之前，所述方法还包括：

按照所述第一靶场和所述第二互联网流量的来源方靶场的密钥约定，对所述第二互联网流量进行解密。

10.一种用于控制网络安全靶场的流量的装置，包括：

拦截模块，用于拦截流出第一靶场的出流量和流入所述第一靶场的入流量；

第一识别模块，用于从拦截到的出流量中识别出攻击流量，以得到至少一个第一攻击流量；

转换模块，用于按照转换规则将每个所述第一攻击流量转换为无攻击性的第一互联网流量；

第二识别模块，用于从拦截到的入流量中识别出可还原为攻击流量的流量，以得到至少一个第二互联网流量；

还原模块，用于按照所述转换规则将每个所述第二互联网流量还原为第二攻击流量；以及

传输模块，用于：放行所述第一互联网流量，以通过互联网传输所述第一互联网流量；以及放行所述第二攻击流量，以在所述第一靶场中对所述第二攻击流量进行攻防测试。

11.一种电子设备，包括：

一个或多个处理器；

一个或多个存储器，用于存储一个或多个程序，

其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器执行根据权利要求1～9中任一项所述的方法。

12.一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行根据权利要求1～9中任一项所述的方法。