CN113973053A - 一种网络靶场的探针管理系统与方法 - Google Patents
一种网络靶场的探针管理系统与方法 Download PDFInfo
- Publication number
- CN113973053A CN113973053A CN202111228149.1A CN202111228149A CN113973053A CN 113973053 A CN113973053 A CN 113973053A CN 202111228149 A CN202111228149 A CN 202111228149A CN 113973053 A CN113973053 A CN 113973053A
- Authority
- CN
- China
- Prior art keywords
- probe
- wauzh
- management
- configuration
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 239000000523 sample Substances 0.000 title claims abstract description 218
- 238000000034 method Methods 0.000 title claims abstract description 12
- 238000007726 management method Methods 0.000 claims description 86
- 238000005516 engineering process Methods 0.000 claims description 10
- 238000010304 firing Methods 0.000 claims description 8
- 238000013515 script Methods 0.000 claims description 7
- 238000012544 monitoring process Methods 0.000 abstract description 6
- 238000004458 analytical method Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种网络靶场的探针管理系统与方法,系统主要包括探针管理端、探针配置管理端、wauzh服务端和代理端;探针管理端用于对探针元数据、探针运行状态进行维护;探针配置管理端与wauzh服务端部署在一起,用于管理探针文件并根据元数据对wauzh配置文件进行修改;wauzh服务端用于将探针内容和配置同步到wauzh代理端,并将wauzh代理端返回的探针执行日志存储到es集群中;wauzh代理端部署于网络靶场中的虚拟机节点上,用于根据探针内容和配置调度探针。本发明能够实现网络靶场探针的分类管理和动态发布,较好地适应了节点数量繁多、操作系统种类繁多的大型网络靶场场景,具有较强的可拓展性,对网络靶场场景的监控更加立体。
Description
技术领域
本发明涉及一种基于网络安全靶场的探针管理系统与方法,属于网络安全、计算机软件领域。
背景技术
wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。wazuh作为安全中间件在网络靶场上可以获取很多安全信息,比如文件修改变更事件,agent指标监控等。但是对于网络靶场大型业务系统场景,在靶场上对靶标的监控需要各个维度,需要获取更为灵活的指标监控数据。所以需要对wazuh进行进一步的拓展以适用于网络靶场业务场景。
发明内容
发明目的:针对目前网络靶场探针管理方式的不足,本发明目的在于提供一种能够自动根据靶场业务场景需求完成探针的管理和部署,实现对靶标探针采集的信息进行收集、汇总和分析,使得监控数据更加灵活。
技术方案:为实现上述发明目的,本发明采用如下技术方案:
一种网络靶场的探针管理系统,包括探针管理端、探针配置管理端、wauzh服务端和wauzh代理端;
所述探针管理端,部署于网络靶场管理平台,用于用户对探针元数据进行维护以及对探针的运行状态进行维护,并在用户新增、修改和删除探针时通知所述探针配置管理端;其中探针元数据包括探针内容、探针脚本类型、探针名称以及探针使用的操作系统类型;
所述探针配置管理端,与所述wauzh服务端部署在一起,用于在接收到探针管理端的通知后管理记载探针内容的文件并对wauzh配置文件进行修改,在新增或修改探针元数据时,通过go-template技术,使用字符串模板来对不同操作系统类型的探针进行分类配置;以及根据wauzh代理端的执行日志判断探针状态并反馈给所述探针管理端;
wauzh服务端,用于将探针内容和配置同步到wauzh代理端,并将wauzh代理端返回的探针执行日志存储到elasticsearch集群中;
wauzh代理端,部署于网络靶场中的虚拟机节点上,用于根据探针内容和配置调度探针。
作为优选,所述探针配置管理端向探针管理端提供restful接口。
作为优选,所述探针配置管理端在修改wauzh配置文件时,使用go-lang并发技术对文件资源进行线程安全控制。
作为优选,所述探针管理端还用于根据查询条件对探针执行日志进行查询,查询条件包括探针名称和靶标;所述探针管理端向elasticsearch集群进行查询,返回对应探针生成的日志数据 。
作为优选,探针元数据还包括探针的调度信息和指定的靶标。
作为优选,所述探针配置管理端通过指定wauzh配置文件的参数对网络靶场的靶标进行批量管理 。
一种网络靶场的探针管理方法,基于所述的网络靶场的探针管理系统实现,包括如下步骤:
部署于网络靶场管理平台的探针管理端接收用户新增或修改的探针元数据,保存探针元数据并通知探针配置管理端;
与wauzh服务端部署在一起的探针配置管理端,接收到探针管理端的通知后保存记载探针内容的文件并对wauzh配置文件进行修改,通过go-template技术,使用字符串模板来对不同操作系统类型的探针进行分类配置;
wauzh服务端将探针内容和配置同步到部署于网络靶场中的虚拟机节点上的wauzh代理端;wauzh代理端根据探针内容和配置调度探针,并将探针执行日志反馈给wauzh服务端;wauzh服务端将探针执行日志存储到elasticsearch集群中;
探针配置管理端根据wauzh代理端的执行日志判断探针状态并反馈给所述探针管理端。
进一步还包括:探针管理端根据用户指定的探针名称和靶标向elasticsearch集群进行查询,返回对应探针生成的执行日志数据。
有益效果:与现有技术相比,本发明具有如下优点:
1. 本发明能够实现网络靶场探针的分类管理和动态发布,较好地适应了节点数量繁多、操作系统种类繁多的大型网络靶场场景。
2.使用本发明可以补充wazuh监控不到的数据,比如靶标的指标信息,CPU使用率,内存使用率,磁盘使用情况信息等等,对网络靶场场景的监控更加立体。
3.基于本发明的框架结构,用户可以自定义各种可以执行脚本(shell、bat、python、javascript等),或者可执行文件,具有较强的可拓展性。
附图说明
图1为本发明实施例的系统功能示意图。
图2为本发明实施例中的agent配置示例截图。
具体实施方式
下面将结合附图和具体实施例,对本发明的技术方案进行清楚、完整的描述。
如图1所示,本发明实施例公开的一种网络靶场的探针管理系统,主要包括探针管理端、探针配置管理端、wauzh服务端和wauzh代理端,各部分功能如下:
探针管理端,部署于网络靶场管理平台,集成在数据中台MP(MiddlewarePlatform),使用java技术,对数据进行关系型数据库mysql(如mariadb)存储。探针管理端主要用于用户对探针元数据进行维护以及对探针的运行状态进行维护。探针元数据主要包括探针内容、探针类型(bat/shell/ python等)、探针名称、探针的使用操作系统类型(windows/linux等),可以对用户的探针进行查询、编辑、删除,查看探针列表、详细信息以及探针运行状态(未启动/已启动/已关闭)等,也提供根据探针名称、靶标id(靶场中虚拟机id)查询探针执行日志。探针元数据的配置还可包括调度信息(运行周期、自启动、鉴权等)、指定靶标(默认在靶场所有虚拟机节点配置)等。用户在管理界面新增、修改或删除探针时通知探针配置管理端。
探针配置管理端,probe-manager,采用go语言编写,用于网络靶场这种特殊业务场景下管理探针;在接收到探针管理端的通知后管理记载探针内容的文件并对wauzh配置文件进行修改。probe-manager与wauzh服务端wazuh-server部署一起,随着探针信息的变更灵活修改wazuh的配置数据,从而实现对探针的脚本信息的维护, 让探针脚本同步到不同的agent 。可以对网络靶场的靶标进行批量管理,通过配置agent_config的Tag的agentName参数可以指定一台靶标,默认是所有的都支持。probe-manager的具体功能描述如下:
a.提供restful接口,接口有探针的新增、修改、删除,以及探针列表、探针基本信息(包括探针状态)的查询。
b.根据探针元数据映射生成wazuh的命令管理配置文件,文件格式是xml格式,部分配置示例如图2所示。
c.新增/修改探针的时候通过go-template技术,使用字符串模板来对windows/linux探针进行分类配置,然后对配置文件进行写磁盘操作。
d.探针状态管理,根据agent执行的日志进行判断探针的状态,状态管理使用定时任务定期对wazuh的日志进行分析,监听不同的探针状态,然后反馈给探针管理端。
e.使用go-lang并发技术对文件资源进行线程安全控制,保持多次写入、删除配置文件没有并发修改的风险。
wazuh-server,将探针内容和配置同步到wauzh代理端wauzh-agent,并将wauzh-agent返回的探针执行日志存储到elasticsearch(es)集群中;wazuh-server定义各种消息解码器,解码器支持正则消息解析,支持json协议的消息解析,拦截agent发送过来的符合协议的消息,并且生成安全事件数据,这部分数据将存储在es集群中,es按照天建立事件索引,可以对外提供更加便捷的查询能力。中台MP面向基线业务产品提供查询探针数据接口,根据探针名称和靶标id查询es数据,返回对应探针生成的执行日志内容。
wauzh-agent,部署于网络靶场中的虚拟机节点上,用于根据探针内容和配置调度探针。agent接受到两个内容,一种是探针本身文件,一种是探针配置,探针配置触发了内部的任务管理,任务管理按照定时任务策略调度探针,定时任务支持的单位可以是秒、分钟、天,执行输出用户维护探针想要的数据 。
基于上述系统实现的网络靶场探针管理方法,主要包括如下步骤:探针管理端接收用户新增探针名称、探针内容、操作系统类型、脚本类型等探针元数据,保存入库后通知探针配置管理端,即调用probe-manager的相关接口;probe-manager接收到探针管理端的通知后维护探针文件和wauzh配置文件,通过go-template技术,实现对linux/windows的探针配置进行高效管理;通过wazuh-server的文件同步能力,将探针内容和配置同步到wazuh-agent;wazuh-agent根据探针内容和配置调度探针,生成探针执行日志并将日志发回wazuh-server;wazuh-server按照协议接受,对于符合json、符合前缀匹配的消息,生成探针事件,然后存储到es集群;用户可以通过中台查询探针能力进行探针数据聚合分析。probe-manager还根据wazuh-agent的执行日志判断探针状态并反馈给中台探针管理端。
用户修改探针时,也是通过修改探针元数据来实现修改对应的配置文件,具体修改流程同上面流程。用户删除探针时,先删除探针元数据,再修改wazuh探针配置文件。注意的是这个操作是原子操作,probe-manager再去删除探针脚本文件,wazuh-server会同步删除结果到wazuh-agent,原来可执行探针就不能再进行数据采集了。
Claims (8)
1.一种网络靶场的探针管理系统,其特征在于,包括探针管理端、探针配置管理端、wauzh服务端和wauzh代理端;
所述探针管理端,部署于网络靶场管理平台,用于用户对探针元数据进行维护以及对探针的运行状态进行维护,并在用户新增、修改和删除探针时通知所述探针配置管理端;其中探针元数据包括探针内容、探针脚本类型、探针名称以及探针使用的操作系统类型;
所述探针配置管理端,与所述wauzh服务端部署在一起,用于在接收到探针管理端的通知后管理记载探针内容的文件并对wauzh配置文件进行修改,在新增或修改探针元数据时,通过go-template技术,使用字符串模板来对不同操作系统类型的探针进行分类配置;以及根据wauzh代理端的执行日志判断探针状态并反馈给所述探针管理端;
wauzh服务端,用于将探针内容和配置同步到wauzh代理端,并将wauzh代理端返回的探针执行日志存储到elasticsearch集群中;
wauzh代理端,部署于网络靶场中的虚拟机节点上,用于根据探针内容和配置调度探针。
2.根据权利要求1所述的网络靶场的探针管理系统,其特征在于,所述探针配置管理端向探针管理端提供restful接口。
3.根据权利要求1所述的网络靶场的探针管理系统,其特征在于,所述探针配置管理端在修改wauzh配置文件时,使用go-lang并发技术对文件资源进行线程安全控制。
4.根据权利要求1所述的网络靶场的探针管理系统,其特征在于,所述探针管理端还用于根据查询条件对探针执行日志进行查询,查询条件包括探针名称和靶标;所述探针管理端向elasticsearch集群进行查询,返回对应探针生成的日志数据。
5.根据权利要求1所述的网络靶场的探针管理系统,其特征在于,探针元数据还包括探针的调度信息和指定的靶标。
6.根据权利要求1所述的网络靶场的探针管理系统,其特征在于,所述探针配置管理端通过指定wauzh配置文件的参数对网络靶场的靶标进行批量管理。
7.一种网络靶场的探针管理方法,其特征在于,所述方法基于根据权利要求1-6任一项所述的网络靶场的探针管理系统实现,包括如下步骤:
部署于网络靶场管理平台的探针管理端接收用户新增或修改的探针元数据,保存探针元数据并通知探针配置管理端;
与wauzh服务端部署在一起的探针配置管理端,接收到探针管理端的通知后保存记载探针内容的文件并对wauzh配置文件进行修改,通过go-template技术,使用字符串模板来对不同操作系统类型的探针进行分类配置;
wauzh服务端将探针内容和配置同步到部署于网络靶场中的虚拟机节点上的wauzh代理端;wauzh代理端根据探针内容和配置调度探针,并将探针执行日志反馈给wauzh服务端;wauzh服务端将探针执行日志存储到elasticsearch集群中;
探针配置管理端根据wauzh代理端的执行日志判断探针状态并反馈给所述探针管理端。
8.根据权利要求7所述的网络靶场的探针管理方法,其特征在于,还包括:
探针管理端根据用户指定的探针名称和靶标向elasticsearch集群进行查询,返回对应探针生成的执行日志数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111228149.1A CN113973053B (zh) | 2021-10-21 | 2021-10-21 | 一种网络靶场的探针管理系统与方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111228149.1A CN113973053B (zh) | 2021-10-21 | 2021-10-21 | 一种网络靶场的探针管理系统与方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113973053A true CN113973053A (zh) | 2022-01-25 |
| CN113973053B CN113973053B (zh) | 2023-10-27 |
Family
ID=79587780
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111228149.1A Active CN113973053B (zh) | 2021-10-21 | 2021-10-21 | 一种网络靶场的探针管理系统与方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113973053B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114501501A (zh) * | 2022-02-09 | 2022-05-13 | 北京恒安嘉新安全技术有限公司 | 移动通信网络靶场的配置管理方法、装置、设备及介质 |
| CN114697091A (zh) * | 2022-03-18 | 2022-07-01 | 江苏林洋能源股份有限公司 | 一种支持授信通信管理多层级探针的方法 |
| CN116074223A (zh) * | 2023-03-27 | 2023-05-05 | 南京赛宁信息技术有限公司 | 一种网络靶场探针下载和采集上报方法与系统 |
| CN116319482A (zh) * | 2023-05-22 | 2023-06-23 | 南京赛宁信息技术有限公司 | 网络靶场中基于Wazuh的自定义探针采集系统与方法 |
| CN117459401A (zh) * | 2023-09-15 | 2024-01-26 | 永信至诚科技集团股份有限公司 | 网络靶场环境快照的生成方法、装置、设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110750334A (zh) * | 2019-10-25 | 2020-02-04 | 北京计算机技术及应用研究所 | 一种基于Ceph的网络靶场后端存储系统设计方法 |
| CN111711557A (zh) * | 2020-08-18 | 2020-09-25 | 北京赛宁网安科技有限公司 | 一种网络靶场用户远程接入系统与方法 |
| CN111741134A (zh) * | 2020-08-18 | 2020-10-02 | 南京赛宁信息技术有限公司 | 一种网络靶场大规模场景中虚拟机快速构建系统与方法 |
| US20200412767A1 (en) * | 2015-10-28 | 2020-12-31 | Qomplx, Inc. | Hybrid system for the protection and secure data transportation of convergent operational technology and informational technology networks |
-
2021
- 2021-10-21 CN CN202111228149.1A patent/CN113973053B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200412767A1 (en) * | 2015-10-28 | 2020-12-31 | Qomplx, Inc. | Hybrid system for the protection and secure data transportation of convergent operational technology and informational technology networks |
| CN110750334A (zh) * | 2019-10-25 | 2020-02-04 | 北京计算机技术及应用研究所 | 一种基于Ceph的网络靶场后端存储系统设计方法 |
| CN111711557A (zh) * | 2020-08-18 | 2020-09-25 | 北京赛宁网安科技有限公司 | 一种网络靶场用户远程接入系统与方法 |
| CN111741134A (zh) * | 2020-08-18 | 2020-10-02 | 南京赛宁信息技术有限公司 | 一种网络靶场大规模场景中虚拟机快速构建系统与方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114501501A (zh) * | 2022-02-09 | 2022-05-13 | 北京恒安嘉新安全技术有限公司 | 移动通信网络靶场的配置管理方法、装置、设备及介质 |
| CN114501501B (zh) * | 2022-02-09 | 2024-03-29 | 北京恒安嘉新安全技术有限公司 | 移动通信网络靶场的配置管理方法、装置、设备及介质 |
| CN114697091A (zh) * | 2022-03-18 | 2022-07-01 | 江苏林洋能源股份有限公司 | 一种支持授信通信管理多层级探针的方法 |
| CN114697091B (zh) * | 2022-03-18 | 2024-03-12 | 江苏林洋能源股份有限公司 | 一种支持授信通信管理多层级探针的方法 |
| CN116074223A (zh) * | 2023-03-27 | 2023-05-05 | 南京赛宁信息技术有限公司 | 一种网络靶场探针下载和采集上报方法与系统 |
| CN116074223B (zh) * | 2023-03-27 | 2023-06-27 | 南京赛宁信息技术有限公司 | 一种网络靶场探针下载和采集上报方法与系统 |
| CN116319482A (zh) * | 2023-05-22 | 2023-06-23 | 南京赛宁信息技术有限公司 | 网络靶场中基于Wazuh的自定义探针采集系统与方法 |
| CN116319482B (zh) * | 2023-05-22 | 2023-08-22 | 南京赛宁信息技术有限公司 | 网络靶场中基于Wazuh的自定义探针采集系统与方法 |
| CN117459401A (zh) * | 2023-09-15 | 2024-01-26 | 永信至诚科技集团股份有限公司 | 网络靶场环境快照的生成方法、装置、设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113973053B (zh) | 2023-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113973053B (zh) | 一种网络靶场的探针管理系统与方法 | |
| CN109460349B (zh) | 一种基于日志的测试用例生成方法和装置 | |
| US8146100B2 (en) | System and method for event-based information flow in software development processes | |
| CN107797767B (zh) | 一种基于容器技术部署分布式存储系统及其存储方法 | |
| CN106462575A (zh) | 群集内存数据库的设计及实现 | |
| CN112532415B (zh) | 一种配置变更的方法及相关装置 | |
| CN112286941B (zh) | 一种基于Binlog+HBase+Hive的大数据同步方法和装置 | |
| WO2020238597A1 (zh) | 基于Hadoop的数据更新方法、装置、系统及介质 | |
| CN114547208B (zh) | 用于全链路追踪事务的方法及原生分布式数据库 | |
| CN104572644A (zh) | 数据库更新装置和数据库更新方法 | |
| CN114416200A (zh) | 声明式云平台监控采集配置动态管理和加载的系统及方法 | |
| CN111654532A (zh) | 一种配置文件集中管理系统、方法及装置 | |
| CN113886485A (zh) | 数据处理方法、装置、电子设备、系统和存储介质 | |
| US10838931B1 (en) | Use of stream-oriented log data structure for full-text search oriented inverted index metadata | |
| CN111913933A (zh) | 基于统一支撑平台的电网历史数据管理方法及系统 | |
| CN111694863A (zh) | 一种数据库缓存的刷新方法、系统和装置 | |
| US10860580B2 (en) | Information processing device, method, and medium | |
| CN115422286A (zh) | 一种分布式数据库的数据同步方法及设备 | |
| CN111026413B (zh) | 以需求为导向的复杂系统“拉取”模式部署系统及其方法 | |
| CN113868253A (zh) | 一种数据关系捕获及大数据关系树构建方法 | |
| CN116980475B (zh) | 一种基于binlog与双环形缓冲区的数据推送系统 | |
| US8682846B2 (en) | Content item reconciliation | |
| CN110362706B (zh) | 数据的查找方法、装置、存储介质及电子装置 | |
| CN117453278B (zh) | 一种基于业务规则的规则管理系统 | |
| CN109684158A (zh) | 分布式协调系统的状态监控方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |