CN114611110A - 业务系统防御性能的测试方法、系统、设备及介质 - Google Patents

业务系统防御性能的测试方法、系统、设备及介质 Download PDF

Info

Publication number
CN114611110A
CN114611110A CN202210057369.0A CN202210057369A CN114611110A CN 114611110 A CN114611110 A CN 114611110A CN 202210057369 A CN202210057369 A CN 202210057369A CN 114611110 A CN114611110 A CN 114611110A
Authority
CN
China
Prior art keywords
attack
schemes
service system
simulation
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210057369.0A
Other languages
English (en)
Inventor
李亚敏
孟宪哲
焦彬
王晓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202210057369.0A priority Critical patent/CN114611110A/zh
Publication of CN114611110A publication Critical patent/CN114611110A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本公开提供了一种基于靶场的业务系统防御性能的测试方法,属于信息安全领域。该方法包括:在靶场中对目标业务系统进行仿真设计,得到仿真业务系统,其中,在靶场中部署有至少M个攻击方案,其中,M个攻击方案中不同攻击方案的攻击方式不同,其中,M为大于或等于2的整数;利用M个攻击方案分别对仿真业务系统实施攻击;获取仿真业务系统在分别受到M个攻击方案的攻击后所得到的与M个攻击方案一一对应M个攻击结果,其中,M个攻击结果用于评估目标业务系统针对不同攻击方式的防御效果。本公开还提供了一种基于靶场的业务系统防御性能的测试系统、设备、存储介质和程序产品。

Description

业务系统防御性能的测试方法、系统、设备及介质
技术领域
本公开涉及信息安全领域,可用于金融领域,更具体地涉及一种基于靶场的业务系统防御性能的测试方法、系统、设备、介质和程序产品。
背景技术
业务防御系统的设置或改进提升,通常是被动地根据外部威胁及最新漏洞,对系统版本或部分组件等进行升级,或者对病毒库等进行更新。这些改进方式能够应对较为单一的攻击类型。而在面临较为复杂的组合攻击时,目前通常的做法是由安全人员进行人工测试,然后对业务防御系统中的相关代码或配置进行更新或完善。人工测试带来的缺点是耗费的人力成本、时间成本较高,且业务防御系统的更新完善程度与安全人员的能力、安全测试的范围等都有较为直接的关系。
发明内容
鉴于上述问题,本公开提供了一种基于靶场的业务系统防御性能的测试方法、系统、设备、介质和程序产品。
本公开实施例的第一方面,提供了一种基于靶场的业务系统防御性能的测试方法。所述方法包括:在所述靶场中对目标业务系统进行仿真设计,得到仿真业务系统,其中,在所述靶场中部署有至少M个攻击方案,其中,所述M个攻击方案中不同攻击方案的攻击方式不同,其中,M为大于或等于2的整数;利用所述M个攻击方案分别对所述仿真业务系统实施攻击;获取所述仿真业务系统在分别受到所述M个攻击方案的攻击后所得到的与所述M个攻击方案一一对应M个攻击结果,其中,所述M个攻击结果用于评估所述目标业务系统针对不同攻击方式的防御效果。
根据本公开的实施例,所述M个攻击方案中不同攻击方案的攻击方式不同包括以下至少之一:不同的攻击方案包含的攻击工具不同;或者不同的攻击方案中用于组合攻击工具的攻击路径不同。
根据本公开的实施例,在所述利用所述M个攻击方案分别对所述仿真业务系统实施攻击之前,所述方法还包括在所述靶场中部署N个攻击方案,其中,所述N个攻击方案包含所述M个攻击方案,其中,N为大于或等于M的整数。具体包括:在靶场中集成R种攻击工具,其中,R为大于或等于2的整数;获取H种攻击路径的信息,其中,H为大于或等于1的整数;以及将所述R种攻击工具中的至少部分攻击工具,按照所述H种攻击路径中的至少部分攻击路径分别组合,形成所述N个攻击方案。
根据本公开的实施例,所述R种攻击工具包括以下任意至少之一:信息收集工具、边界突破工具、命令执行工具、横向移动工具、或权限提升工具。
根据本公开的实施例,所述H种攻击路径包括以下至少之一:基于杀伤链的攻击路径、基于ATT&CK攻击矩阵模型框架的高级可持续威胁攻击APT组织的攻击路径、或自由组合的攻击路径。
根据本公开的实施例,所述获取H种攻击路径的信息包括:在获取所述APT组织的攻击路径时,筛选出对目标业务系统所应用的行业或领域实施过攻击的APT组织的信息;以及汇总筛选出的APT组织所使用的攻击路径。
根据本公开的实施例,所述在所述靶场中对目标业务系统进行仿真设计包括:获取所述目标业务系统的防御措施和业务组件的分解信息;以及在所述靶场中按照所述防御措施和所述业务组件的分解信息对所述目标业务系统的防御系统进行组装仿真,以得到所述仿真业务系统。
根据本公开的实施例,所述获取所述仿真业务系统在分别受到所述M个攻击方案的攻击后所得到的与所述M个攻击方案一一对应M个攻击结果包括:通过获取所述仿真业务系统的防御系统告警信息、监控设备日志或关键攻击节点时间戳的其中至少之一,来得到所述仿真业务系统受到攻击后产生的攻击结果。
本公开实施例的第二方面,提供了一种基于靶场的业务系统防御性能的测试系统。所述测试系统包括:业务仿真装置、自动化攻击装置、以及攻击效果分析装置。业务仿真装置用于在所述靶场中对目标业务系统进行仿真设计,得到仿真业务系统;其中,在所述靶场中部署有至少M个攻击方案,其中,所述M个攻击方案中不同攻击方案的攻击方式不同;其中,M为大于或等于2的整数。自动化攻击装置用于利用所述M个攻击方案分别对所述仿真业务系统实施攻击。攻击效果分析装置用于获取所述仿真业务系统在分别受到所述M个攻击方案的攻击后所得到的与所述M个攻击方案一一对应M个攻击结果;其中,所述M个攻击结果用于评估所述目标业务系统针对不同攻击方式的防御效果。
根据本公开的实施例,所述自动化攻击装置还包括攻击工具集成单元和攻击路径组合单元。攻击工具集成单元用于在靶场中集成R种攻击工具,其中,R为大于或等于2的整数。攻击路径组合单元用于获取H种攻击路径的信息,以及将所述R种攻击工具中的至少部分攻击工具,按照所述H种攻击路径中的至少部分攻击路径分别组合,形成N个攻击方案;其中,所述N个攻击方案包含所述M个攻击方案,其中,N为大于或等于M的整数;H为大于或等于1的整数。
根据本公开的实施例,攻击路径组合单元还包括APT组织攻击路径组合单元。所述APT组织攻击路径组合单元用于在获取所述APT组织的攻击路径时,筛选出对目标业务系统所应用的行业实施过攻击的APT组织的信息;以及汇总筛选出的APT组织所使用的攻击路径。
本公开实施例的第三方面,提供了一种电子设备。所述电子设备包括一个或多个处理器、以及一个或多个存储器。所述一个或多个存储器用于存储一个或多个程序。其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得一个或多个处理器执行上述方法。
本公开实施例的第四方面,还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行上述方法。
本公开实施例的第五方面,还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述方法。
根据本公开的实施例,可以在靶场中通过多个复杂的攻击方案,对与目标业务系统镜像的仿真业务系统进行自动化攻击来检验防御性能,而不是单一的、针对某一个漏洞或者某一个单点威胁进行单点攻击,从而对目标业务系统的防御性能实现多方位自动化测试,进而可以帮助有效评估并提升目标业务系统应对复杂攻击的能力。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述内容以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的靶场的示意图;
图2示意性示出了根据本公开实施例的在靶场中部署攻击方案的流程图;
图3示意性示出了根据本公开实施例的基于靶场的业务系统防御性能的测试方法的流程图;
图4示意性示出了根据本公开实施例的在靶场中对目标业务系统进行仿真的流程图;
图5示意性示出了根据本公开实施例的基于靶场的业务系统防御性能的测试系统的框图;
图6示意性示出了根据本公开一实施例的自动化攻击装置的结构图;
图7示意性示出了根据本公开另一实施例的自动化攻击装置中的APT组织攻击路径组合单元的结构图;
图8示意性示出了根据本公开一实施例的业务仿真装置的结构图;
图9示意性示出了根据本公开一实施例的的基于靶场的业务系统防御性能的测试系统的工作流程图;以及
图10示意性示出了适于实现根据本公开实施例的基于靶场的业务系统防御性能的测试方法的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
靶场的概念来自于军事领域,是指训练打靶(或射箭)的场地。在网络安全领域,靶场是指对靶标/仿真场景进行实战训练的平台,主要用于信息安全技术人员的训练比赛平台,或者仿真业务的实战平台,以达到信息技术安全能力提升的目的。
本公开的实施例提供了一种基于靶场的业务系统防御性能的测试方法、系统、设备、介质和程序产品。该测试方法包括:首先在靶场中对目标业务系统进行仿真设计,得到仿真业务系统,其中,在靶场中部署有至少M个攻击方案,其中,M个攻击方案中不同攻击方案的攻击方式不同,其中,M为大于或等于2的整数;然后利用M个攻击方案分别对仿真业务系统实施攻击;接下来获取仿真业务系统在分别受到M个攻击方案的攻击后所得到的与M个攻击方案一一对应M个攻击结果,其中,该M个攻击结果用于评估目标业务系统针对不同攻击方式的防御效果。
可见,本公开实施例在对目标业务系统的防御性能进行测试时,可以在靶场中通过多个不同的攻击方案,对与目标业务系统镜像的仿真业务系统进行自动化攻击来检验防御性能,而不是单一的、针对某一个漏洞或者某一个单点威胁进行单点攻击,从而对目标业务系统的防御性能实现多方位自动化测试,进而可以帮助有效评估并提升目标业务系统应对复杂攻击的能力。
需要说明的是,本公开实施例确定的基于靶场的业务系统防御性能的测试方法、系统、设备、介质和程序产品可用于金融领域,也可用于除金融领域之外的任意领域,本公开对应用领域不做限定。
图1示意性示出了根据本公开实施例的靶场100的示意图。
如图1所示,靶场100中集成有大量攻击工具101。这些攻击攻击101可以按照各种攻击路径102组合,形成各种攻击方案103。其中,一个攻击方案103为一次可以实施的攻击活动。
不同的攻击方案103的攻击方式不同。例如,可以将不同的攻击工具101按照相同的攻击路径102进行组合;又例如,也可以将相同的攻击工具101按照不同的攻击路径102进行组合;再例如,也可以将不同的攻击工具101按照不同的攻击路径102进行组合。而且,图1所示的靶场100中集成的每一种攻击工具101又可以有多种不同的技术实现,例如,业务模块、插件、微服务等。同时,图1所示的靶场100中每一种攻击路径102下又可以有很多细分的攻击路径或方式。从而,可以在靶场100中形成大量具有不同攻击方式且攻击方式复杂多变的攻击方案103。
靶场100中还包括仿真业务系统104,其中,该仿真业务系统104是在靶场100中对要进行测试的目标业务系统进行仿真设计得到的。目标业务系统例如可以是服务器、或者服务器集群、或者软件系统、或者任意的可以进行相对独立防护的业务系统。在一些实施例中,可以在靶场100中对要测试的业务系统进行批量化的仿真,并将每次测试时,调用当前测试的目标业务系统对应的仿真业务系统104来作为靶标。
在靶场100对目标业务系统的防御性能进行测试时,可以使用靶场100中部署的全部或部分攻击方案103,以仿真业务系统104作为靶标,实施攻击,然后获取对仿真业务系统104的攻击结果。通过每种攻击方案103对应的攻击结果中的攻击行为(例如,是获取敏感文件还是破坏关键程序)、攻击效率(哪些防御错误被突破以及突破难易程度度、哪些未被突破等)的分析和比较,来确定目标业务系统的防御性能是否完善,薄弱点在哪儿,改进点在哪儿。
以此方式,可以在靶场100中实现对目标业务系统的防御性能的多方位、多维度的复杂测试,在较大程度上克服单点测试难以实现全面测试的问题。而且相比于相关技术中通过人工测试进行复杂组合攻击的测试方式,本公开实施例能够提供测试效率,降低由于测试人员能力对测试结果的干扰,同时相应地减少人力成本和时间成本的耗费。
以下结合图1的靶场100,对根据本公开实施例的基于靶场的业务系统防御性能的测试方法和系统进行详细介绍。
图2示意性示出了根据本公开实施例的在靶场中部署攻击方案的流程图。
如图2所示,根据本公开实施例,在对目标业务系统进行防御性能测试之前,可以先在靶场100中部署大量攻击方案103。其中,在靶场100中部署攻击方案103的过程可以包括操作S210~操作S230。
首先在操作S210,在靶场100中集成R种攻击工具101,其中,R为大于或等于2的整数。
根据本公开的一个实施例,R种攻击工具101包括以下任意至少之一:信息收集工具、边界突破工具、命令执行工具、横向移动工具、或权限提升工具。
信息收集工具可以包括进行子域名、IP地址、端口、或Banner信息的收集识别等多个功能,每个功能可通过详细的任务添加、读取、任务模块利用等插件来实现。
边界突破工具用于从外部进入到被保护的业务系统(例如,靶场100中的仿真业务系统104)内部。
命令执行工具用于当用户可以控制系统命令的函数中的参数时,注入恶意系统命令到正常命令中,造成命令执行攻击。其中,系统命令的函数是应用需要调用一些外部程序去处理内容的情况下,会用到的函数。
横向移动工具用于在系统内部移动。例如,攻击者进入到了业务系统内的A位置,但实际想去B位置,就会通过横向移动进行。
权限提升工具,用于当攻击者进入业务系统后提升攻击者的用户权限。
以上每一种工具是以其要实现的目的进行的命名,都可以有多种技术实现。
接下来在操作S220,获取H种攻击路径102的信息,其中,H为大于或等于1的整数。
根据本公开的一个实施例,H种攻击路径102包括以下至少之一:基于杀伤链(Killchain)的攻击路径、基于ATT&CK攻击矩阵模型框架的高级可持续威胁攻击APT组织的攻击路径、或自由组合的攻击路径。
基于杀伤链(Kill chain)的攻击路径可以描述为侦查跟踪-武器构建-载荷投递-漏洞利用-安装植入-命令控制-目标达成。
基于ATT&CK攻击矩阵模型框架的APT组织的攻击路径中,如APT12常用的T1568.003-T1203-T1566.001-T1204-T1102等。其中,ATT&CK攻击矩阵模型框架是将已知攻击者的行为汇总成战术和技术的一种结构化列表,由于此列表相当全面的呈现了攻击者在攻击网络时所采用的行为,因此对于各种进攻性和防御性考量机制十分有用。APT是Advanced Persistent Threat的缩写,即高级可持续威胁攻击。APT攻击指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。
自由组合的攻击路径的攻击手法所属的攻击阶段的顺序和次数不限,如信息收集-漏洞利用-命令控制-信息收集-横向移动的路径中涉及到两次信息收集的过程。
在一个实施例中,当操作S220中在获取APT组织的攻击路径时,可以筛选出对目标业务系统所应用的行业实施过攻击的APT组织的信息,并汇总筛选出的APT组织所使用的攻击路径。例如,当本公开实施例所构建的靶场100用于对金融行业的业务系统进行性能测试时,可以以是否攻击过金融行业为依据筛选APT组织,进行攻击路径的汇总,使攻击方案103的集成和业务系统防御性能的测试更具有针对性。
然后在操作S230,将R种攻击工具101中的至少部分攻击工具101,按照H种攻击路径102中的至少部分攻击路径102分别组合,形成N个攻击方案103,N为大于或等于2的整数。该N个攻击方案103的攻击方式不同,例如可以是不同的攻击方案103包含的攻击工具101不同,或者也可以是不同的攻击方案103中用于组合攻击工具101的攻击路径不同。这样,通过不同的攻击方案103对仿真业务系统104进行攻击测试时,能够测试出仿真业务系统104对不同攻击方式的反应情况,以此来判断仿真业务系统104所镜像的目标业务系统的防御改进点。
根据本公开的实施例,在靶场100中可以预先形成大量面向各种业务系统进行测试的攻击方案103,或者也可以是在对所确定的目标业务系统的防御性能进行测试时,根据测试需求按照相应的攻击路径102对各种攻击工具101进行临时组合形成攻击方案103。
在一个实施例中,在靶场100中可以针对某一个行业或领域来构建大量攻击方案103。而在进行该行业或领域内的业务系统的防御性能测试时,可以使用该大量攻击方案103的全部或者有针对性的筛选其中的一部分来实施攻击。
图3示意性示出了根据本公开实施例的基于靶场的业务系统防御性能的测试方法的流程图。
如图3所示,根据该实施例的基于靶场的业务系统防御性能的测试方法可以包括操作S310~操作S330。
首先在操作S310,在靶场100中对目标业务系统进行仿真设计,得到仿真业务系统104。其中,在靶场100中部署有至少M个攻击方案103。该M个攻击方案103可以是前述操作S230中部署的N个攻击方案103中的部分或全部。
对目标业务系统进行仿真设计,主要包括业务场景本身的仿真及相应的防御系统仿真。其中,业务场景本身的仿真是对业务场景功能的仿真映射,对于不同的业务仿真设计理念相同,而所呈现的业务场景不同。防御系统的仿真过程可以参考图4的示意。
图4示意性示出了根据本公开实施例的在靶场中对目标业务系统进行仿真的流程图。
如图4所示,根据本公开实施例在靶场100中对目标业务系统进行仿真的过程可以包括操作S401~操作S402。
首先在操作S401,获取目标业务系统的防御措施和业务组件的分解信息。
然后在操作S402,在靶场100中按照防御措施和业务组件的分解信息对目标业务系统的防御系统进行组装仿真,以得到仿真业务系统104。
例如,可以通过目标业务系统的设计说明等信息,获取组成目标业务系统的防御系统的分解信息,包括目标业务系统中所部署的防火墙、IPS(Intrusion preventionsystem,入侵防御系统)、WAF(web application firewall,web应用防火墙)、IDS(intrusion Detection system,入侵检测系统)等防御措施,以及对目标业务系统所使用的协议、证书、框架、中间件等业务组件的信息。然后在靶场100中对这些信息按照在目标业务系统中的组织方式进行组装和仿真,从而得到仿真业务系统104。
继续参考图3。在操作S310之后可以在操作S320,利用M个攻击方案103分别对仿真业务系统104实施攻击。
接下来在操作S330,获取仿真业务系统104在分别受到M个攻击方案103的攻击后所得到的与M个攻击方案103一一对应M个攻击结果。例如可以通过获取仿真业务系统104的防御系统告警信息、监控设备日志或关键攻击节点时间戳的其中至少之一,来得到仿真业务系统104受到攻击后产生的攻击结果。该M个攻击结果用于评估目标业务系统针对不同攻击方式的防御效果。
根据本公开的实施例,通过在靶场100中部署多种攻击方案103,对仿真业务系统104使用不同的攻击方式进行攻击,实现了攻击方式的自动化、复杂化,使得对目标业务系统的防御性能测试可以更为全面,能够在较大程度上克服针对某一个漏洞或某一个点的单点攻击的低效率和测试不全面的问题,可以帮助有效评估并提升目标业务系统应对复杂攻击的能力,提高信息安全防御能力。
基于上述基于靶场的业务系统防御性能的方法,本公开实施例还提供了一种基于靶场的业务系统防御性能的系统。以下将结合图5~图8对该装置500进行详细描述。
图5示意性示出了根据本公开实施例的基于靶场的业务系统防御性能的测试系统500的框图。
如图5所示,该测试系统500可以包括自动化攻击装置1、业务仿真装置2、以及攻击效果分析装置3。
自动化攻击装置1用于攻击工具101集成和攻击路径102组合,完成整个自动化攻击装置的设计开发,在靶场100中部署有至少M个攻击方案103,其中,M个攻击方案103中不同攻击方案103的攻击方式不同,然后利用M个攻击方案103分别对仿真业务系统104实施攻击。
业务仿真装置2用于在靶场100中对目标业务系统进行仿真设计,得到仿真业务系统104。其中,仿真设计主要包括包括对防御系统和业务组件的分解和组合。
攻击效果分析装置3用于获取仿真业务系统104在分别受到M个攻击方案103的攻击后所得到的与M个攻击方案103一一对应M个攻击结果。其中,M个攻击结果用于评估目标业务系统针对不同攻击方式的防御效果。例如,通过对M个攻击结果中不同攻击方式中的攻击路径、攻击行为及攻击效率的综合分析,得出仿真业务系统104面对不同攻击的防护效果,并针对最薄弱环节提供目标业务系统的防御性能的更新方向或内容。
测试系统500可以通过自动化攻击装置1、业务仿真装置2、以及攻击效果分析装置3这三个模块的相互协作,共同实现参考图2~图4所描述的测试方法。
图6示意性示出了根据本公开一实施例的自动化攻击装置1的结构图。
如图6所示,参阅图5,根据该实施例,自动化攻击装置1还包括攻击工具集成单元11和攻击路径组合单元12。自动化攻击装置1主要是进行攻击过程的自动化,以提升后续对仿真业务系统104的测试及改进效率。
攻击工具集成单元11用于在靶场100中集成R种攻击工具101,其中,R为大于或等于2的整数。具体地,可以通过对信息收集工具、边界突破工具、命令执行工具、横向移动工具、权限提升工具等的开发集成,来完成自动化攻击装置1的准备工作。
攻击路径组合单元12用于获取H种攻击路径的信息,以及将R种攻击工具101中的至少部分攻击工具101,按照H种攻击路径102中的至少部分攻击路径分别组合,形成N个攻击方案103;其中,N个攻击方案103包含M个攻击方案103,其中,N为大于或等于M的整数;H为大于或等于1的整数。具体地,可以通过多种攻击路径102的组合,完成对自动化攻击装置1的攻击路径102的开发集成,以更加高效、灵活地完成自动化攻击装置1的设计开发。其中,多种攻击路径102可以包括:基于杀伤链(Kill chain)的攻击路径、基于ATT&CK框架的APT组织攻击路径或自由组合的攻击路径等。本公开实施例通过利用大量攻击工具101、攻击路径和/或攻击理论框架,完成自动化攻击装置的设计开发,可以在靶场100中集成大量具有不同攻击方式的攻击方案103,从而提高对仿真业务系统104进行全方位攻击测试的覆盖面。
在一个实施例中,攻击路径组合单元12还包括APT组织攻击路径组合单元121、杀伤链攻击路径组合单元和ATT&CK框架攻击路径自由组合单元。其中,APT组织攻击路径组合单元121用于在获取APT组织的攻击路径时,筛选出对目标业务系统所应用的行业实施过攻击的APT组织的信息,并汇总筛选出的APT组织所使用的攻击路径。
图7示意性示出了根据本公开另一实施例的自动化攻击装置中的APT组织攻击路径组合单元121的结构图。
如图7所示,APT组织攻击路径组合单元121主要涉及APT组织类型、组织名称,以及APT组织常用攻击路径。在对APT组织类型进行汇总记录时,可以以是否攻击过目标业务系统所应用的行业或领域为依据。APT组织常用的攻击路径包括攻击战术和攻击技术,攻击战术包括入口点、命令执行、权限提升、防御绕过、信息窃取等等,攻击技术可以参照现实世界中的APT组织攻击信息及ATT&CK框架中APT组织的TTP(Tactics,Techniques&Procedures,战术、技术和步骤)信息进行设计。
图8示意性示出了根据本公开一实施例的业务仿真装置2的结构图。
如图8所示,业务仿真装置2主要通过对目标业务系统的现有防御系统和业务组件的分解和组合,进行仿真设计。业务仿真装置2可以包括业务组件分解单元21和业务组件组合单元22。业务组件分解单元21例如可以通过目标业务系统的设计说明或等信息,对目标业务系统所部署的防火墙、IPS、WAF、IDS等防御措施进行确认,并对该目标业务系统所使用的协议、证书、框架、中间件等业务组件进行确认分解。业务组件组合单元22可以在靶场100中按照这些防御措施和业务组件在目标业务系统组织方式进行组装及仿真。
图9示意性示出了根据本公开一实施例的的基于靶场的业务系统防御性能的测试系统的工作流程图。图9以目标业务系统面临的APT攻击(基于APT组织的攻击路径组合得到的攻击方案)为例,对测试系统500中各个模块的工作全过程进行示例描述。
如图9所示,该应用实例可以包括步骤S101~S104,具体如下。
步骤S101:测试系统500开始运行,自动化攻击装置1通过调用攻击工具集成单元11和攻击路径组合单元12进行攻击工具101收集和攻击路径组合,并集成开发到靶场100中备用。本实施例中选取的自动化攻击方式为APT攻击,为便于表述,示例性地命名为攻击方案一、攻击方案二、攻击方案三。
步骤S102:业务仿真装置2通过业务组件分解单元21和业务组件组合单元22对目标业务系统的防御措施和业务组件进行分解,并在靶场100中进行仿真组合形成仿真业务系统104。可以理解,业务仿真装置2可以批量地对多个业务系统分别进行仿真并部署在靶场100中,以备测试时进行调用。其中,被调用的仿真业务系统104对应的业务系统即为目标业务系统。
步骤S103:攻击效果分析装置3通过步骤S101、S102的准备工作,开展对仿真业务系统104的多次不同的组合攻击,将仿真业务系统104应对攻击方案一、二、三的有效性和效率分别加以记录,例如得到如下表1所示的攻击结果。假设仿真业务系统104的防护措施包括A1(边界防护设备)、A2和A3。根据对表1对攻击结果中的综合分析(包括对每种攻击方式的攻击路径、攻击行为、攻击效率的分析),可以得出仿真业务系统104在应对攻击方案一、二、三时防御系统的有效性和效率。根据表1可以得出,仿真防御系统在应对效果最弱的是攻击方案一,其次是攻击方案二,而对攻击方案三的防御效果高。
表1
Figure BDA0003475435020000141
步骤S104:根据步骤S103得出的结论,可以针对攻击方案一,对目标业务系统的防御进行重点改进,对攻击方案二进行问题排查和修补。以此方式,可以在靶场100中对目标业务系统的防御系统进行多方位、多维度、更全面地测试,提高安全测试效率,为信息安全提供更可靠的保障。
根据本公开的实施例,自动化攻击装置1、业务仿真装置2或攻击效果分析装置3中的任意多个可以合并在一个模块中实现,或者其中的任意一个可以被拆分成多个模块。或者,这些装置中的一个或多个的至少部分功能可以与其他装置的至少部分功能相结合,并在一个功能模块中实现。根据本公开的实施例,自动化攻击装置1、业务仿真装置2或攻击效果分析装置3中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,自动化攻击装置1、业务仿真装置2或攻击效果分析装置3中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图10示意性示出了适于实现根据本公开实施例的基于靶场的业务系统防御性能的测试方法的电子设备1000的方框图。
如图10所示,根据本公开实施例的电子设备1000包括处理器1001,其可以根据存储在只读存储器(ROM)1002中的程序或者从存储部分1008加载到随机访问存储器(RAM)1003中的程序而执行各种适当的动作和处理。处理器1001例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC))等等。处理器1001还可以包括用于缓存用途的板载存储器。处理器1001可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 1003中,存储有电子设备1000操作所需的各种程序和数据。处理器1001、ROM 1002以及RAM 1003通过总线1004彼此相连。处理器1001通过执行ROM 1002和/或RAM1003中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 1002和RAM 1003以外的一个或多个存储器中。处理器1001也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备1000还可以包括输入/输出(I/O)接口1005,输入/输出(I/O)接口1005也连接至总线1004。电子设备1000还可以包括连接至I/O接口1005的以下部件中的一项或多项:包括键盘、鼠标等的输入部分1006;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1007;包括硬盘等的存储部分1008;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1009。通信部分1009经由诸如因特网的网络执行通信处理。驱动器1010也根据需要连接至I/O接口1005。可拆卸介质1011,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1010上,以便于从其上读出的计算机程序根据需要被安装入存储部分1008。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 1002和/或RAM 1003和/或ROM 1002和RAM 1003以外的一个或多个存储器。
本公开的实施例还包括一种计算机程序产品,其包括计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时,该程序代码用于使计算机系统实现本公开实施例所提供的方法。
在该计算机程序被处理器1001执行时执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例,上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。
在一种实施例中,该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中,该计算机程序也可以在网络介质上以信号的形式进行传输、分发,并通过通信部分1009被下载和安装,和/或从可拆卸介质1011被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
在这样的实施例中,该计算机程序可以通过通信部分1009从网络上被下载和安装,和/或从可拆卸介质1011被安装。在该计算机程序被处理器1001执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
根据本公开的实施例,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码,具体地,可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如Java,C++,python,“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。

Claims (13)

1.一种基于靶场的业务系统防御性能的测试方法,包括:
在所述靶场中对目标业务系统进行仿真设计,得到仿真业务系统;其中,在所述靶场中部署有至少M个攻击方案,其中,所述M个攻击方案中不同攻击方案的攻击方式不同;其中,M为大于或等于2的整数;
利用所述M个攻击方案分别对所述仿真业务系统实施攻击;以及
获取所述仿真业务系统在分别受到所述M个攻击方案的攻击后所得到的与所述M个攻击方案一一对应M个攻击结果;其中,所述M个攻击结果用于评估所述目标业务系统针对不同攻击方式的防御效果。
2.根据权利要求1所述的测试方法,其中,所述M个攻击方案中不同攻击方案的攻击方式不同包括以下至少之一:
不同的攻击方案包含的攻击工具不同;或者
不同的攻击方案中用于组合攻击工具的攻击路径不同。
3.根据权利要求1或2所述的测试方法,其中,在所述利用所述M个攻击方案分别对所述仿真业务系统实施攻击之前,所述方法还包括在所述靶场中部署N个攻击方案,其中,所述N个攻击方案包含所述M个攻击方案,其中,N为大于或等于M的整数,具体包括:
在靶场中集成R种攻击工具,其中,R为大于或等于2的整数;
获取H种攻击路径的信息,其中,H为大于或等于1的整数;以及
将所述R种攻击工具中的至少部分攻击工具,按照所述H种攻击路径中的至少部分攻击路径分别组合,形成所述N个攻击方案。
4.根据权利要求3所述的测试方法,其中,所述R种攻击工具包括以下任意至少之一:
信息收集工具、边界突破工具、命令执行工具、横向移动工具、或权限提升工具。
5.根据权利要求3所述的测试方法,其中,所述H种攻击路径包括以下至少之一:
基于杀伤链的攻击路径、基于ATT&CK攻击矩阵模型框架的高级可持续威胁攻击APT组织的攻击路径、或自由组合的攻击路径。
6.根据权利要求5所述的测试方法,其中,所述获取H种攻击路径的信息包括:
在获取所述APT组织的攻击路径时,
筛选出对目标业务系统所应用的行业或领域实施过攻击的APT组织的信息;以及
汇总筛选出的APT组织所使用的攻击路径。
7.根据权利要求1所述的测试方法,其中,所述在所述靶场中对目标业务系统进行仿真设计包括:
获取所述目标业务系统的防御措施和业务组件的分解信息;以及
在所述靶场中按照所述防御措施和所述业务组件的分解信息对所述目标业务系统的防御系统进行组装仿真,以得到所述仿真业务系统。
8.根据权利要求1所述的测试方法,其中,所述获取所述仿真业务系统在分别受到所述M个攻击方案的攻击后所得到的与所述M个攻击方案一一对应M个攻击结果包括:
通过获取所述仿真业务系统的防御系统告警信息、监控设备日志或关键攻击节点时间戳的其中至少之一,来得到所述仿真业务系统受到攻击后产生的攻击结果。
9.一种基于靶场的业务系统防御性能的测试系统,包括:
业务仿真装置,用于在所述靶场中对目标业务系统进行仿真设计,得到仿真业务系统;其中,在所述靶场中部署有至少M个攻击方案,其中,所述M个攻击方案中不同攻击方案的攻击方式不同;其中,M为大于或等于2的整数;
自动化攻击装置,用于利用所述M个攻击方案分别对所述仿真业务系统实施攻击;以及
攻击效果分析装置,用于获取所述仿真业务系统在分别受到所述M个攻击方案的攻击后所得到的与所述M个攻击方案一一对应M个攻击结果;其中,所述M个攻击结果用于评估所述目标业务系统针对不同攻击方式的防御效果。
10.根据权利要求9所述的测试系统,其中,所述自动化攻击装置还包括:
攻击工具集成单元,用于在靶场中集成R种攻击工具,其中,R为大于或等于2的整数;以及
攻击路径组合单元,用于获取H种攻击路径的信息,以及将所述R种攻击工具中的至少部分攻击工具,按照所述H种攻击路径中的至少部分攻击路径分别组合,形成N个攻击方案;其中,所述N个攻击方案包含所述M个攻击方案,其中,N为大于或等于M的整数;H为大于或等于1的整数。
11.一种电子设备,包括:
一个或多个处理器;
一个或多个存储器,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1~8中任一项所述的方法。
12.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~8中任一项所述的方法。
13.一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现根据权利要求1~8中任一项所述的方法。
CN202210057369.0A 2022-01-18 2022-01-18 业务系统防御性能的测试方法、系统、设备及介质 Pending CN114611110A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210057369.0A CN114611110A (zh) 2022-01-18 2022-01-18 业务系统防御性能的测试方法、系统、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210057369.0A CN114611110A (zh) 2022-01-18 2022-01-18 业务系统防御性能的测试方法、系统、设备及介质

Publications (1)

Publication Number Publication Date
CN114611110A true CN114611110A (zh) 2022-06-10

Family

ID=81857389

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210057369.0A Pending CN114611110A (zh) 2022-01-18 2022-01-18 业务系统防御性能的测试方法、系统、设备及介质

Country Status (1)

Country Link
CN (1) CN114611110A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116339288A (zh) * 2023-04-24 2023-06-27 华能淮阴第二发电有限公司 一种dcs工控系统仿真靶场测试方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116339288A (zh) * 2023-04-24 2023-06-27 华能淮阴第二发电有限公司 一种dcs工控系统仿真靶场测试方法及装置
CN116339288B (zh) * 2023-04-24 2024-01-12 华能淮阴第二发电有限公司 一种dcs工控系统仿真靶场测试方法及装置

Similar Documents

Publication Publication Date Title
US9424426B2 (en) Detection of malicious code insertion in trusted environments
CN104410617A (zh) 一种云平台的信息安全攻防体系架构
US10013553B2 (en) Protecting software application
US11956264B2 (en) Method and system for verifying validity of detection result
US11568052B2 (en) Undetectable sandbox for malware
CN111209570B (zh) 基于mitre att&ck创建安全闭环过程的方法
CN107515778A (zh) 一种基于上下文感知的起源追踪方法及系统
CN113779578A (zh) 移动端应用的智能混淆方法和系统
CN114611110A (zh) 业务系统防御性能的测试方法、系统、设备及介质
CN108959936A (zh) 一种基于路径分析的缓冲区溢出漏洞自动利用方法
Lombardi et al. From DevOps to DevSecOps is not enough. CyberDevOps: an extreme shifting-left architecture to bring cybersecurity within software security lifecycle pipeline
CN113591096A (zh) 综合检测大数据漏洞和不安全配置的脆弱性扫描系统
Davis et al. A framework for programming and budgeting for cybersecurity
CN111767548A (zh) 一种漏洞捕获方法、装置、设备及存储介质
CN117081818A (zh) 基于智能合约防火墙的攻击交易识别与拦截方法及系统
Garcia Firmware modification analysis in programmable logic controllers
CN111104670A (zh) 一种apt攻击的识别和防护方法
Leach et al. Start: A framework for trusted and resilient autonomous vehicles (practical experience report)
CN115865494A (zh) 一种安全测试系统及方法
CN113704749B (zh) 一种恶意挖矿检测处理方法和装置
Al-Garni et al. An updated cost-benefit view of cyberterrorism
Clark et al. Empirical evaluation of the a3 environment: evaluating defenses against zero-day attacks
Berzins Automated Methods for Cyber Test and Evaluation
Baiardi et al. Security and Resilience for a 4.0 Ship
Sulthana Controlling vulnerabilities in open-source libraries through different tools and techniques

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination