CN114615013B - 一种网络靶场的综合审计方法及系统 - Google Patents
一种网络靶场的综合审计方法及系统 Download PDFInfo
- Publication number
- CN114615013B CN114615013B CN202210110587.6A CN202210110587A CN114615013B CN 114615013 B CN114615013 B CN 114615013B CN 202210110587 A CN202210110587 A CN 202210110587A CN 114615013 B CN114615013 B CN 114615013B
- Authority
- CN
- China
- Prior art keywords
- data
- audit
- task
- acquisition
- auditing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明提供了一种网络靶场的综合审计方法及系统,解决现有审计手段无法适应网络靶场应用场景审计需求的技术问题。方法包括:响应任务请求,根据任务特征进行审记数据采集策略的分发;在任务宿主机的资源调度框架上部署采集控制进程,根据审记数据采集策略对任务的交互数据进行受控采集审计日志数据;建立与网络靶场资源适配的监控接口,对资源监控数据进行采集形成审计日志数据;将审计日志数据进行融合形成审计数据进行分布存储;根据审计数据关联策略对审计数据进行关联处理形成审计分析数据。形成了针对任务的数据采集规则下发和数据采集的高效集成,支持在网络靶场的大规模应用场景下的实时审计和并发审计。使得综合审计具有良好扩展性。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种网络靶场的综合审计方法及系统。
背景技术
现有技术中,网络靶场是为实现各种应用场景目标,对各种软硬件资源、人员、有效资源配置的环境。在实际的运营过程中,由于涉及的资源类型丰富、参与的角色众多,带来安全监管方面的诸多困难。现有的网络日志审计、流量审计产品具有通用性,但无法满足网络靶场在应用场景日益复杂情况下针对审计内容提出的灵活扩展性、高效定制、高交互要求,无法形成覆盖全应用场景生命周期的审计。采用单一或通用的网络综合审计系统/技术不通过额外定制,在应用时勘误成本高,导致客户无法有效发挥网络靶场的各项功效。
发明内容
鉴于上述问题,本发明实施例提供一种网络靶场的综合审计方法及系统,解决现有审计手段无法适应网络靶场应用场景审计需求的技术问题。
本发明实施例的网络靶场的综合审计方法,包括:
网络靶场响应任务请求,根据任务特征进行审记数据采集策略的分发;
在任务宿主机的资源调度框架上部署采集控制进程,采集控制进程根据审记数据采集策略对任务资源分配和/或任务执行过程中的交互数据进行受控采集形成第一部分审计日志数据;
建立与网络靶场资源适配的监控接口,对任务执行过程中的资源监控数据进行采集形成第二部分审计日志数据;
将第一部分审计日志数据与第二部分审计日志数据进行融合形成审计数据进行分布存储;
根据审计数据关联策略对审计数据进行持续性多维度关联处理形成审计分析数据。
本发明一实施例中,所述网络靶场响应任务请求,根据任务特征进行审记数据采集策略的分发包括:
根据任务请求的任务特征确定审计数据类型;
通过审计数据类型与现有审记数据采集策略集合中成员的审计维度进行比较,确定审记数据采集策略,并向对应任务的建立过程反馈。
本发明一实施例中,所述在任务宿主机的资源调度框架上部署采集控制进程,采集控制进程根据审记数据采集策略对任务资源分配和/或任务执行过程中的交互数据进行受控采集形成第一部分审计日志数据包括:
获取部署任务的宿主机资源调度框架,在资源调度框架上部署采集控制进程,采集控制进程耦合宿主机资源调度框架的衔接调度接口;
采集控制进程根据审记数据采集策略通过衔接调度接口采集任务建立和/或执行时用户的交互数据;
采集控制进程根据审记数据采集策略通过衔接调度接口获取用户交互数据采集过程的调整参数;
采集控制进程根据审记数据采集策略对用户交互数据进行宿主机本地持续缓存,对持续缓存内容进行解析形成第一部分审计日志数据通过衔接调度接口反馈。
本发明一实施例中,所述建立与网络靶场资源适配的监控接口,对任务执行过程中的资源监控数据进行采集形成第二部分审计日志数据包括:
获取适配通用监控协议的配置数据,通过配置数据建立与网络靶场各资源适配的监控接口;
通过监控接口采集资源运行时的网络流量监控数据;
通过监控接口采集资源运行时的资源状态监控数据;
根据网络流量监控数据和资源状态监控数据进行解析-过滤-聚合,形成第二部分审计日志数据进行反馈。
本发明一实施例中,所述将第一部分审计日志数据与第二部分审计日志数据进行融合形成审计数据进行分布存储包括:
将第一部分审计日志数据与第二部分审计日志数据经过归一化处理形成审计数据;
根据审计数据类型建立非关系型数据库存储结构存储审计数据;
通过分布式文件系统分布存储非关系型数据库数据。
本发明一实施例中,所述根据审计数据关联策略对审计数据进行持续性多维度关联处理形成审计分析数据包括:
根据审计数据关联规则流式处理审计数据建立审计数据的关联维度;
根据审计维度限定规则流式处理关联数据形成审计分析数据。
本发明一实施例中,还包括:
根据任务的历史操作行为进行审计分析数据检索形成任务历史操作和分析数据展示。
本发明一实施例中,所述根据任务的历史操作行为进行审计分析数据检索形成任务历史操作和分析数据展示包括:
根据任务检索相关的审计分析数据;
根据相关的审计分析数据形成相应任务历史操作和审计分析数据的直观展示。
本发明实施例的网络靶场的综合审计系统,包括:
存储器,用于存储如上方述的网络靶场的综合审计方法处理过程对应的程序代码;
处理器,用于执行所述程序代码。
本发明实施例的网络靶场的综合审计系统,包括:
监控管理装置,用于网络靶场响应任务请求,根据任务特征进行审记数据采集策略的分发;
代理客户端,用于在任务宿主机的资源调度框架上部署采集控制进程,采集控制进程根据审记数据采集策略对任务资源分配和/或任务执行过程中的交互数据进行受控采集形成第一部分审计日志数据;
采集器,用于建立与网络靶场资源适配的监控接口,对任务执行过程中的资源监控数据进行采集形成第二部分审计日志数据;
数据管理装置,用于将第一部分审计日志数据与第二部分审计日志数据进行融合形成审计数据进行分布存储;
关联审计装置,用于根据审计数据关联策略对审计数据进行持续性多维度关联处理形成审计分析数据。
本发明实施例的网络靶场的综合审计方法及系统针对任务特征形成审记数据采集策略保证了任务过程中行为数据采集的针对性,利用与宿主机的资源调度进程的接口耦合保证了采集进程的任务数据采集效率和质量。通过形成适配接口提高了对靶场设备资源监控数据的日志采集范围和采集效率,有利于形成更多维度的审计数据提高审计准确性和审计实践的复现度。存储形式满足了对审计数据异构性的存储需求。通过审计数据关联策略形成审计维度保证了审计过程的灵活性。形成了针对任务的数据采集规则下发和数据采集的高效集成,支持在网络靶场的大规模应用场景下的实时审计和并发审计。通过审计维度对异常操作形成的实时判断效率,可以根据审计维度的增量更新提升,使得综合审计具有良好扩展性。
附图说明
图1所示为本发明一实施例网络靶场的综合审计方法的流程示意图。
图2所示为本发明一实施例网络靶场的综合审计系统的架构示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚、明白,以下结合附图及具体实施方式对本发明作进一步说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明一实施例网络靶场的综合审计方法如图1所示。在图1中,本实施例包括:
步骤100:网络靶场响应任务请求,根据任务特征进行审记数据采集策略的分发。
本领域技术人员可以理解,任务的审计关注点不同,需要的审计数据也不相同。审计关注点包括攻击视角、防御视角或综合视角。审计数据的主要类型包括用户资源类、主机操作类、网络流量类、运维事件类,根据网络设备和网络资源的差异每类审计数据可以包括不同的子审计类型。根据任务特征形成审记数据采集策略可以确定任务的审计关注点,确定审记数据的重点采集范围、采集数据类型和采集过程。有利于提高关联数据的采集效率和质量。
步骤200:在任务宿主机的资源调度框架上部署采集控制进程,采集控制进程根据审记数据采集策略对任务资源分配和/或任务执行过程中的交互数据进行受控采集形成第一部分审计日志数据。
本领域技术人员可以理解,网络靶场进行任务资源分配时会对任务资源所在的宿主机进行资源调度。宿主机的资源调度进程具有与宿主机软硬件资源的(下位的)衔接调度接口和与靶场管理系统的(上位的)衔接调度接口,通过与宿主机软硬件资源的衔接调度接口耦合,利用宿主机在资源调度过程中的控制状态和反馈状态可以获取资源分配的具体过程。通常通过部署综合审计的代理客户端进程,通过代理客户端进程与资源调度进程的耦合获得资源调度进程进行资源分配的具体过程。进而实现对确定任务建立、执行和终止时的用户交互行为的特定类型审计数据的采集和控制。通过审记数据采集策略形成的采集控制包括但不限于采集数据类型控制、采集数据预处理控制、采集数据本地暂存控制、采集数据处理和反馈控制等。
步骤300:建立与网络靶场资源适配的监控接口,对任务执行过程中的资源监控数据进行采集形成第二部分审计日志数据。
本领域技术人员可以理解,任务执行过程中网络靶场相关资源会产生不同类型的日志数据。相关资源包括但不限于网络靶场构成的网络设备和网络靶场提供的网络资源。监控接口包括但不限于syslog、snmp、netflow、jdbc等协议接口形式,通过监控接口可以获得不同任务相关资源的特定类型监控数据。监控数据包括但不限于主机的操作监控日志、网络流量解析日志、运维审计告警日志、防火墙等安全设备的告警日志/审计数据、交换机路由器等连接设备的日志,应用/服务的业务日志或告警数据。
步骤400:将第一部分审计日志数据与第二部分审计日志数据进行融合形成审计数据进行分布存储。
本领域技术人员可以理解,对不同格式和类型的审计日志数据进行解析、过滤、填充等操作,实现数据的归一化融合,为审计数据集成存储的后续运算做准备。考虑到数据类型的复杂性和数据维度间的非线性,融合形成的审计数据实时存入分布式文件系统,并通过非关系型数据库建立数据关系映射。
步骤500:根据审计数据关联策略对审计数据进行持续性多维度关联处理形成审计分析数据。
本领域技术人员可以理解,审计数据关联策略由一系列针对各复杂任务场景的审计数据关联规则和审计维度限定规则组成。审计数据关联规则建立审计数据间的关联条件,包括但不限于时间、用户、行为、先后顺序、累计等多种审计维度下的深度数据匹配和映射,审计维度限定规则包括但不限于多种审计维度下关联数据间的约束条件和触发条件,限定规则构成审计分析过程,形成审计分析数据。考虑到审计数据的数据源和数据量处于持续性变化,采用spark实时在线计算引擎进行持续性审计处理,可以保证审计数据维度关联的实时性和容错性。
本发明实施例的网络靶场的综合审计方法针对任务特征形成审记数据采集策略保证了任务过程中行为数据采集的针对性,利用与宿主机的资源调度进程的接口耦合保证了采集进程的任务数据采集效率和质量。通过形成适配接口提高了对靶场设备资源监控数据的日志采集范围和采集效率,有利于形成更多维度的审计数据提高审计准确性和审计实践的复现度。存储形式满足了对审计数据异构性的存储需求。通过审计数据关联策略形成审计维度保证了审计过程的灵活性。形成了针对任务的数据采集规则下发和数据采集的高效集成,支持在网络靶场的大规模应用场景下的实时审计和并发审计。通过审计维度对异常操作形成的实时判断效率,可以根据审计维度的增量更新提升,使得综合审计具有良好扩展性。
如图1所示,在本发明一实施例中,还包括:
步骤600:根据任务的历史操作行为进行审计分析数据检索形成任务历史操作和分析数据展示。
审计数据维度包括但不限于时间、用户、行为、先后顺序、累计等。通过维度快速检索,覆盖所有采集的审计数据,复现用户历史操作记录。历史操作包括但不限于用户从登录、主机操作、网络行为、文件获取、任务终止等情况,易于发现各种异常操作情况。
本发明实施例的网络靶场的综合审计方法可以通过任一审计维度形成审计数据的有效检索和快速组织,根据审计数据关联维度形成异常操作的历史操作展示。提升网络靶场中任务在全生命周期中用户资源、主机操作、网络流量、运维事件的直观审计效率。
如图1所示,在本发明一实施例中,步骤100包括:
步骤110:根据任务请求的任务特征确定审计数据类型。
任务请求是向网络靶场根据确定身份申请确定主机资源的任务建立过程。根据任务请求内容可以获取任务特征。例如,一种任务特征是任务类型的格式说明信息,根据任务类型可以确定任务审计所需的必要审计数据类型。
步骤120:通过审计数据类型与现有审记数据采集策略集合中成员的审计维度进行比较,确定审记数据采集策略,并向对应任务的建立过程反馈。
必要审计数据类型作为基础的审计维度与审记数据采集策略集合中成员具有的复杂审计维度进行匹配,确定适合对应任务审计的最优审记数据采集策略。审记数据采集策略的审计维度包括但不限于对任务人机交互维度的行为数据采集类型、主机资源调度维度的业务数据采集类型等。通过审计维度进行策略比较和筛选可以确定相似任务间的审计差异,确定与任务请求最适配的审记数据采集策略。
审记数据采集策略同时也包括审计数据采集过程中的采集控制数据,通过采集控制数据控制审计数据采集的数据输入、数据处理和数据输出。
本发明实施例的网络靶场的综合审计方法根据任务请求的特征进行审记数据采集策略的分配,使得用户端可以忽略对审计数据和审计规则的定制化过程,降低用户审计开发和利用难度。
如图1所示,在本发明一实施例中,还包括:
步骤130:根据任务流程规划确定审计内容,根据审计内容确定审计数据类型和数据来源并形成审记数据采集策略,根据任务执行流程的变化形成审记数据采集策略集合的增量更新。
本发明实施例的网络靶场的综合审计方法通过对任务流程进行专业分析形成确定审计内容,并提供数据采集的数据源描述和控制描述的更新,使得审记数据采集策略可以积累和更新,以适应任务的演进和变化,保持较好的审计数据采集质量。
如图1所示,在本发明一实施例中,步骤200包括:
步骤210:获取部署任务的宿主机资源调度框架,在资源调度框架上部署采集控制进程,采集控制进程耦合宿主机资源调度框架的衔接调度接口。
本领域技术人员可以理解,宿主机部署在网络靶场的物理机上形成资源调度框架。宿主机上通过虚拟化可部署虚拟机,在虚拟机环境中形成承载任务的场景。宿主机通过资源调度框架与虚拟机的衔接调度接口进行主机资源的调度。采集控制进程部署在宿主机的资源调度框架内,可以利用衔接调度接口,实现和虚拟机的交互,实现审记数据采集策略赋予的各项采集控制过程,通过衔接调度接口完成任务过程中用户行为的数据信息采集以及处理。宿主机资源调度框架主要体现为宿主机资源调度管理进程,采集控制进程通过对资源调度管理进程进行输入输出耦合可以获得资源调度数据和虚拟机内场景交互数据。
步骤220:采集控制进程根据审记数据采集策略通过衔接调度接口采集任务建立和/或执行时用户的交互数据。
衔接调度接口包括资源调度过程中下行的数据输入、输出接口。交互数据包括但不限于用户资源的获取过程数据、用户资源的配置过程数据、用户资源的操作过程数据、用户资源形成的网络流量数据等。过程数据包括数据、图像或视频。
步骤230:采集控制进程根据审记数据采集策略通过衔接调度接口获取用户交互数据采集过程的调整参数。
衔接调度接口包括资源调度过程中上行的数据输入、输出接口。调整参数包括但不限于监控数据类型列表的调整参数、监控行为类型列表的调整参数、监控应用列表的使能参数等。
步骤240:采集控制进程根据审记数据采集策略对用户交互数据进行宿主机本地持续缓存,对持续缓存内容进行解析形成第一部分审计日志数据通过衔接调度接口反馈。
采集的交互数据在宿主机本地持续缓存形成交互行为的连续状态信息。通过对连续状态信息进行内容解析形成交互行为的标准行为定义数据。标准行为定义可以采用软件定义网络(SDN)对象形成。标准行为定义数据作为部分第一部分审计日志数据可以随其他作为审计日志数据的用户交互数据反馈。本发明实施例的网络靶场的综合审计方法通过在任务宿主机的资源调度框架上部署采集控制进程形成对用户在任务中交互行为的审计数据采集。并通过采集控制进程的控制、解析和反馈功能实现采集数据的本地信息缓存和审计数据融合。实现审计功能的前置部署并与部分审计内容集成,以提升审计的时效性和效率。
如图1所示,在本发明一实施例中,步骤300包括:
步骤310:获取适配通用监控协议的配置数据,通过配置数据建立与网络靶场各资源适配的监控接口。
网络靶场资源主要包括硬件网络设备,以及具有网元管理功能的硬件网络设备内部网元装置,以及具有网元管理功能的软件资源。
步骤320:通过监控接口采集资源运行时的网络流量监控数据。
网络流量监控数据可以通过适配的SNMP类型接口、NetFlow类型接口获取网络流量的特征数据。
步骤330:通过监控接口采集资源运行时的资源状态监控数据。
资源状态监控数据可以通过适配的jdbc类型接口、syslog类型接口获取资源或设备运行的状态数据。
步骤340:根据网络流量监控数据和资源状态监控数据进行解析-过滤-聚合,形成第二部分审计日志数据进行反馈。
通过监控接口获取的监控数据需要通过解析-过滤提取与资源审计相关的监控类型数据,并通过类型匹配将同构异源的监控数据归类聚合形成第二部分审计日志数据。
本发明实施例的网络靶场的综合审计方法通过利用现有网络资源成型的监控接口或数据输出接口形成特定监控数据的提取和聚合处理使得任务过程中的网络状态监控和数据流量状态监控有效整合。使得任务过程中的先关网络及流量的底层信息可以纳入审计内容,以提升审计的深层次信息维度和审计质量。
如图1所示,在本发明一实施例中,步骤400包括:
步骤410:将第一部分审计日志数据与第二部分审计日志数据经过归一化处理形成审计数据。
归一化处理包括但不限于数据对齐和数据格式化,对齐内容包括但不限于时序、量纲等,格式化内容包括但不限于同类数据长度、同类数据格式、数据空缺填充的内容等,归一化还包括数据内容最值、均值方差的归一化等。
步骤420:根据审计数据类型建立非关系型数据库存储结构存储审计数据。
考虑到审计数据的数据类型特征差异巨大,数据属性字段不具有一致性且数据粒度差距较大,利用非关系型数据库建立不同数据类型的存储结构进行数据存储。
步骤430:通过分布式文件系统分布存储非关系型数据库数据。
分布式文件系统可以根据数据的响应指标和数据文件规格进行存储性能的局部调整和数据读写规划,有利于在进行数据流式处理时均衡不同类型的数据并发吞吐性能。
如图1所示,在本发明一实施例中,步骤500包括:
步骤510:根据审计数据关联规则流式处理审计数据建立审计数据的关联维度。
利用审计数据关联规则建立审计数据间的关联联系以体现审计数据间表达相同时间或状态的不同维度信息。
步骤520:根据审计维度限定规则流式处理关联数据形成审计分析数据。
利用审计维度限定规则对存在维度关联的审计数据进行判断或分析,以获得任务执行过程中的违反审计规则的任务行为以及关联数据。在本发明一实施例中,判断或分析可以采用CNN建模过程处理,也可以采用审计维度向量化后进行审计数据聚合划分等大数据处理技术手段。本发明实施例的网络靶场的综合审计方法通过审计数据关联规则建立审计数据间的关联形成审计过程中审计数据间的潜在关联维度,通过审计维度限定规则对潜在关联维度进行判断和分析形成量化任务正常和异常状态的审计分析数据或判断概率。
如图1所示,在本发明一实施例中,步骤600包括:
步骤610:根据任务检索相关的审计分析数据。
以任务全生命周期中建立和执行过程的行为节点或执行节点为检索条件获取相应阶段的审计分析数据。
步骤620:根据相关的审计分析数据形成相应任务历史操作和审计分析数据的直观展示。
以审计分析数据为索引,获取审计数据,建立相应任务历史操作过程和对应审计分析数据的图形化或对象化展示。
本发明实施例的网络靶场的综合审计方法通过审计数据和审计分析数据复现任务过程中的行为和分析数据。以图形化或对象化形式进行数据展示,形成异常操作行为的直观观察。
本发明一实施例网络靶场的综合审计系统,包括:
存储器,用于存储上述实施例网络靶场的综合审计方法处理过程对应的程序代码;
处理器,用于执行上述实施例网络靶场的综合审计方法处理过程对应的程序代码。
处理器可以采用DSP(Digital Signal Processor)数字信号处理器、FPGA(Field-Programmable Gate Array)现场可编程门阵列、MCU(Microcontroller Unit)系统板、SoC(system on a chip)系统板或包括I/O的PLC(Programmable Logic Controller)最小系统。
本发明一实施例网络靶场的综合审计系统如图2所示。在图2中,本实施例包括:
监控管理装置10,用于网络靶场响应任务请求,根据任务特征进行审记数据采集策略的分发;
代理客户端20,用于在任务宿主机的资源调度框架上部署采集控制进程,采集控制进程根据审记数据采集策略对任务资源分配和/或任务执行过程中的交互数据进行受控采集形成第一部分审计日志数据;
采集器30,用于建立与网络靶场资源适配的监控接口,对任务执行过程中的资源监控数据进行采集形成第二部分审计日志数据;
数据管理装置40,用于将第一部分审计日志数据与第二部分审计日志数据进行融合形成审计数据进行分布存储;
关联审计装置50,用于根据审计数据关联策略对审计数据进行持续性多维度关联处理形成审计分析数据。
如图2所示,在本发明一实施例中,还包括:
审计展示装置60,用于根据任务的历史操作行为进行审计分析数据检索形成任务历史操作和分析数据展示。
如图2所示,在本发明一实施例中,监控管理装置10包括:
特征确定模块11,用于根据任务请求的任务特征确定审计数据类型;
策略匹配模块12,用于通过审计数据类型与现有审记数据采集策略集合中成员的审计维度进行比较,确定审记数据采集策略,并向对应任务的建立过程反馈。
如图2所示,在本发明一实施例中,监控管理装置10还包括:
策略定制模块13,用于根据任务流程规划确定审计内容,根据审计内容确定审计数据类型和数据来源并形成审记数据采集策略,根据任务执行流程的变化形成审记数据采集策略集合的增量更新。
如图2所示,在本发明一实施例中,代理客户端20包括:
进程部署模块21,用于获取部署任务的宿主机资源调度框架,在资源调度框架上部署采集控制进程,采集控制进程耦合宿主机资源调度框架的衔接调度接口;
受控采集模块22,用于采集控制进程根据审记数据采集策略通过衔接调度接口采集任务建立和/或执行时用户的交互数据;
采集调整模块23,用于采集控制进程根据审记数据采集策略通过衔接调度接口获取用户交互数据采集过程的调整参数;
缓存处理模块24,用于采集控制进程根据审记数据采集策略对用户交互数据进行宿主机本地持续缓存,对持续缓存内容进行解析形成第一部分审计日志数据通过衔接调度接口反馈。
如图2所示,在本发明一实施例中,采集器30包括:
接口适配模块31,用于获取适配通用监控协议的配置数据,通过配置数据建立与网络靶场各资源适配的监控接口;
流量采集模块32,用于通过监控接口采集资源运行时的网络流量监控数据;
状态采集模块33,用于通过监控接口采集资源运行时的资源状态监控数据;
聚合处理模块34,用于根据网络流量监控数据和资源状态监控数据进行解析-过滤-聚合,形成第二部分审计日志数据进行反馈。
如图2所示,在本发明一实施例中,数据管理装置40包括:
归一化模块41,用于将第一部分审计日志数据与第二部分审计日志数据经过归一化处理形成审计数据;
数据库模块42,用于根据审计数据类型建立非关系型数据库存储结构存储审计数据;
分布存储模块43,用于通过分布式文件系统分布存储非关系型数据库数据。
如图2所示,在本发明一实施例中,关联审计装置50包括:
数据关联模块51,用于根据审计数据关联规则流式处理审计数据建立审计数据的关联维度;
审计分析模块52,用于根据审计维度限定规则流式处理关联数据形成审计分析数据。
如图2所示,在本发明一实施例中,审计展示装置60包括:
行为检索模块61,用于根据任务检索相关的审计分析数据;
行为展示模块62,用于根据相关的审计分析数据形成相应任务历史操作和审计分析数据的直观展示。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (9)
1.一种网络靶场的综合审计方法,其特征在于,包括:
网络靶场响应任务请求,根据任务特征进行审记数据采集策略的分发;
在部署任务的宿主机的资源调度框架上部署采集控制进程,采集控制进程根据审记数据采集策略对任务资源分配和/或任务执行过程中的交互数据进行受控采集形成第一部分审计日志数据;包括:
获取部署任务的宿主机的资源调度框架,在资源调度框架上部署采集控制进程,采集控制进程耦合部署任务的宿主机的资源调度框架的衔接调度接口,衔接调度接口包括资源调度过程中下行的数据输入、输出接口,还包括资源调度过程中上行的数据输入、输出接口;
采集控制进程根据审记数据采集策略通过衔接调度接口采集任务建立和/或执行时用户的交互数据;
采集控制进程根据审记数据采集策略通过衔接调度接口获取用户交互数据采集过程的调整参数;
采集控制进程根据审记数据采集策略对用户交互数据进行宿主机本地持续缓存,对持续缓存内容进行解析形成第一部分审计日志数据通过衔接调度接口反馈;
建立与网络靶场资源适配的监控接口,对任务执行过程中的资源监控数据进行采集形成第二部分审计日志数据;
将第一部分审计日志数据与第二部分审计日志数据进行融合形成审计数据进行分布存储;
根据审计数据关联策略对审计数据进行持续性多维度关联处理形成审计分析数据。
2.如权利要求1所述的网络靶场的综合审计方法,其特征在于,所述网络靶场响应任务请求,根据任务特征进行审记数据采集策略的分发包括:
根据任务请求的任务特征确定审计数据类型;
通过比较审计数据类型与现有审记数据采集策略集合中成员的审计维度确定审记数据采集策略,并向对应任务的建立过程反馈。
3.如权利要求1所述的网络靶场的综合审计方法,其特征在于,所述建立与网络靶场资源适配的监控接口,对任务执行过程中的资源监控数据进行采集形成第二部分审计日志数据包括:
获取适配通用监控协议的配置数据,通过配置数据建立与网络靶场各资源适配的监控接口;
通过监控接口采集资源运行时的网络流量监控数据;
通过监控接口采集资源运行时的资源状态监控数据;
根据网络流量监控数据和资源状态监控数据进行解析-过滤-聚合,形成第二部分审计日志数据进行反馈。
4.如权利要求1所述的网络靶场的综合审计方法,其特征在于,所述将第一部分审计日志数据与第二部分审计日志数据进行融合形成审计数据进行分布存储包括:
将第一部分审计日志数据与第二部分审计日志数据经过归一化处理形成审计数据;
根据审计数据类型建立非关系型数据库存储结构存储审计数据;
通过分布式文件系统分布存储非关系型数据库数据。
5.如权利要求1所述的网络靶场的综合审计方法,其特征在于,所述根据审计数据关联策略对审计数据进行持续性多维度关联处理形成审计分析数据包括:
根据审计数据关联规则流式处理审计数据建立审计数据的关联维度;
根据审计维度限定规则流式处理关联数据形成审计分析数据。
6.如权利要求1所述的网络靶场的综合审计方法,其特征在于,还包括:
根据任务的历史操作行为进行审计分析和数据检索形成任务历史操作和分析数据展示。
7.如权利要求6所述的网络靶场的综合审计方法,其特征在于,所述根据任务的历史操作行为进行审计分析和数据检索形成任务历史操作和分析数据展示包括:
根据任务检索相关的审计分析数据;
根据相关的审计分析数据形成相应任务历史操作和审计分析数据的直观展示。
8.一种网络靶场的综合审计系统,其特征在于,包括:
存储器,用于存储如权利要求1至7任一所述的网络靶场的综合审计方法处理过程对应的程序代码;
处理器,用于执行所述程序代码。
9.一种网络靶场的综合审计系统,其特征在于,包括:
监控管理装置,用于网络靶场响应任务请求,根据任务特征进行审记数据采集策略的分发;
代理客户端,用于在部署任务的宿主机的资源调度框架上部署采集控制进程,采集控制进程根据审记数据采集策略对任务资源分配和/或任务执行过程中的交互数据进行受控采集形成第一部分审计日志数据;
采集器,用于建立与网络靶场资源适配的监控接口,对任务执行过程中的资源监控数据进行采集形成第二部分审计日志数据;
数据管理装置,用于将第一部分审计日志数据与第二部分审计日志数据进行融合形成审计数据进行分布存储;
关联审计装置,用于根据审计数据关联策略对审计数据进行持续性多维度关联处理形成审计分析数据;
所述代理客户端包括:
进程部署模块,用于获取部署任务的宿主机的资源调度框架,在资源调度框架上部署采集控制进程,采集控制进程耦合部署任务的宿主机的资源调度框架的衔接调度接口;衔接调度接口包括资源调度过程中下行的数据输入、输出接口,还包括资源调度过程中上行的数据输入、输出接口;
受控采集模块,用于采集控制进程根据审记数据采集策略通过衔接调度接口采集任务建立和/或执行时用户的交互数据;
采集调整模块,用于采集控制进程根据审记数据采集策略通过衔接调度接口获取用户交互数据采集过程的调整参数;
缓存处理模块,用于采集控制进程根据审记数据采集策略对用户交互数据进行宿主机本地持续缓存,对持续缓存内容进行解析形成第一部分审计日志数据通过衔接调度接口反馈。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210110587.6A CN114615013B (zh) | 2022-01-29 | 2022-01-29 | 一种网络靶场的综合审计方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210110587.6A CN114615013B (zh) | 2022-01-29 | 2022-01-29 | 一种网络靶场的综合审计方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114615013A CN114615013A (zh) | 2022-06-10 |
| CN114615013B true CN114615013B (zh) | 2022-12-02 |
Family
ID=81858394
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210110587.6A Active CN114615013B (zh) | 2022-01-29 | 2022-01-29 | 一种网络靶场的综合审计方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114615013B (zh) |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9965313B2 (en) * | 2016-01-05 | 2018-05-08 | Bitdefender IPR Management Ltd. | Systems and methods for auditing a virtual machine |
| CN107544832B (zh) * | 2016-06-29 | 2021-03-16 | 阿里巴巴集团控股有限公司 | 一种虚拟机进程的监控方法、装置和系统 |
| CN107645542A (zh) * | 2017-09-03 | 2018-01-30 | 中国南方电网有限责任公司 | 一种应用于云审计系统的数据采集装置 |
| CN107659618A (zh) * | 2017-09-03 | 2018-02-02 | 中国南方电网有限责任公司 | 一种云审计系统 |
| CN109922021B (zh) * | 2017-12-12 | 2022-03-08 | 中国电信股份有限公司 | 安全防护系统以及安全防护方法 |
| CN111651241B (zh) * | 2020-08-04 | 2020-11-13 | 北京赛宁网安科技有限公司 | 一种网络靶场的流量采集系统与方法 |
| CN112448857A (zh) * | 2021-02-01 | 2021-03-05 | 博智安全科技股份有限公司 | 靶场的构建方法、装置、设备及存储介质 |
-
2022
- 2022-01-29 CN CN202210110587.6A patent/CN114615013B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN114615013A (zh) | 2022-06-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11700303B1 (en) | Distributed data analysis for streaming data sources | |
| US20180129579A1 (en) | Systems and Methods with a Realtime Log Analysis Framework | |
| US10841365B2 (en) | Mapping application dependencies in a computer network | |
| US20180004824A1 (en) | Method and system for implementing an operating system hook in a log analytics system | |
| US10984013B1 (en) | Tokenized event collector | |
| CN108964995A (zh) | 基于时间轴事件的日志关联分析方法 | |
| CN110427298B (zh) | 一种分布式日志的自动特征提取方法 | |
| US20110016528A1 (en) | Method and Device for Intrusion Detection | |
| CN104007994B (zh) | 一种基于策略库交互的更新方法、升级方法与升级系统 | |
| US20100088197A1 (en) | Systems and methods for generating remote system inventory capable of differential update reports | |
| US11386113B2 (en) | Data source tokens | |
| CN109587125B (zh) | 一种网络安全大数据分析方法、系统及相关装置 | |
| CN111740884B (zh) | 一种日志处理方法及电子设备、服务器、存储介质 | |
| CN106201754A (zh) | 任务信息分析方法及装置 | |
| US11956335B1 (en) | Automated mapping of multi-tier applications in a distributed system | |
| CN103618652A (zh) | 一种业务数据的审计和深度分析系统及其方法 | |
| CN112350854B (zh) | 一种流量故障定位方法、装置、设备及存储介质 | |
| CN111125450A (zh) | 一种多层拓扑网络资源对象的管理方法 | |
| CN114116872A (zh) | 数据处理方法、装置、电子设备及计算机可读存储介质 | |
| CN114615013B (zh) | 一种网络靶场的综合审计方法及系统 | |
| CN114374600A (zh) | 一种基于大数据的网络运维方法、装置、设备及产品 | |
| CN112910842A (zh) | 一种基于流量还原的网络攻击事件取证方法与装置 | |
| KR102656541B1 (ko) | 로그 타입별 분산 방식을 활용한 대용량 로그 데이터 분석 장치, 방법 및 프로그램 | |
| CN109684158A (zh) | 分布式协调系统的状态监控方法、装置、设备及存储介质 | |
| US20220078199A1 (en) | Security event connectivity generated by linking enitities and actions from process tracking |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100094 103, building 6, yard 9, FengHao East Road, Haidian District, Beijing Patentee after: Yongxin Zhicheng Technology Group Co.,Ltd. Address before: 100094 103, building 6, yard 9, FengHao East Road, Haidian District, Beijing Patentee before: BEIJING YONGXIN ZHICHENG TECHNOLOGY CO.,LTD. |