CN116346466B - 一种基于网络靶场场景的复盘推演方法、系统及设备 - Google Patents
一种基于网络靶场场景的复盘推演方法、系统及设备 Download PDFInfo
- Publication number
- CN116346466B CN116346466B CN202310313516.0A CN202310313516A CN116346466B CN 116346466 B CN116346466 B CN 116346466B CN 202310313516 A CN202310313516 A CN 202310313516A CN 116346466 B CN116346466 B CN 116346466B
- Authority
- CN
- China
- Prior art keywords
- attack
- defense
- scene
- disc
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 212
- 230000007123 defense Effects 0.000 claims abstract description 209
- 230000008569 process Effects 0.000 claims abstract description 188
- 230000009471 action Effects 0.000 claims abstract description 56
- 230000006399 behavior Effects 0.000 claims description 76
- 238000012544 monitoring process Methods 0.000 claims description 22
- 238000004458 analytical method Methods 0.000 claims description 16
- 230000004048 modification Effects 0.000 claims description 16
- 238000012986 modification Methods 0.000 claims description 16
- 230000015654 memory Effects 0.000 claims description 12
- 230000000007 visual effect Effects 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 7
- 230000004044 response Effects 0.000 claims description 5
- 238000003860 storage Methods 0.000 claims description 5
- 230000010354 integration Effects 0.000 claims description 3
- 230000000694 effects Effects 0.000 abstract description 8
- 150000001875 compounds Chemical class 0.000 description 9
- 238000012550 audit Methods 0.000 description 5
- 239000002131 composite material Substances 0.000 description 5
- 238000010276 construction Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 3
- 238000007405 data analysis Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000002360 preparation method Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000004026 adhesive bonding Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000006798 recombination Effects 0.000 description 1
- 238000005215 recombination Methods 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 230000008521 reorganization Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000013456 study Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000002459 sustained effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Data Mining & Analysis (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种基于网络靶场场景的复盘推演方法、系统及设备,解决现有网络攻防复盘过程缺乏数据保障,网络攻防演练效果差的技术问题。方法包括:在形成攻防过程的网络靶场攻防场景中根据网络威胁框架进行复盘数据采集;根据复盘需求选取复盘数据,在网络靶场中形成攻防过程的复盘回放过程;在复盘回放过程中,根据推演需求形成复盘调度。将可运用的网络威胁框架细节关联到具体的数据类型和采集方式上,构建网络攻防过程中具有的统一动作标识的数据合集,为复盘提供数据保障。依靠网络靶场迅速构建切换到推演所需的虚拟化场景中,实现人在回路的选定环节的演练,实现复盘为主线,推演为其中小循环的结构,有效提升网络攻防演练效率和质量。
Description
技术领域
本发明涉及网络攻防技术领域,具体涉及一种基于网络靶场场景的复盘推演方法、系统及设备。
背景技术
网络靶场基于虚拟化技术对真实网络空间中的网络架构、系统设备、业务流程的运行环境进行模拟。已经成为各国进行网络空间安全研究、学习、测试、验证、演练等必不可少的网络空间安全核心基础设施。世界各国均高度重视网络靶场建设,将其作为安全能力建设支撑的重要手段。
利用网络靶场构建网络攻防对抗的场景是提升攻防能力的重要手段。网络对抗行为同时发生在数字空间和物理空间,且几乎瞬间发生没有现实时空限制,该特性导致网络对抗中的关系复杂且交互性很强,传统的兵棋推演、复盘推演等均无法加以利用。主要表现在攻防过程复盘时,缺乏清晰明确的数据分析和展示,丢失/规避了复杂的交互和过程环节,缺少网络攻防过程数据,只能表现最初始的攻击动作和最后的攻击数据(如提交了最终的flag/或获取到密码文件取胜)。需要采取预先编排的脚本以及预制的模拟数据进行复盘回放来实现复盘演练,演练数据真实性滞后。
发明内容
鉴于上述问题,本发明实施例提供一种基于网络靶场场景的复盘推演方法、系统及设备,解决现有网络攻防复盘过程缺乏数据保障,网络攻防演练效果差的技术问题。
本发明实施例的基于网络靶场场景的复盘推演方法,包括:
在形成攻防过程的网络靶场攻防场景中根据网络威胁框架进行复盘数据采集;
根据复盘需求选取复盘数据,在网络靶场中形成攻防过程的复盘回放过程;
在复盘回放过程中,根据推演需求形成复盘调度。
本发明一实施例中,所述复盘数据采集包括:
在网络靶场攻防场景中,根据网络威胁框架确定攻防过程中的过程节点;
对攻防过程中的攻击关键动作进行标识,攻防场景的监控数据根据标识与攻击关键动作进行关联形成行为记录;
根据过程节点形成攻防过程中的攻防场景快照;
根据行为记录和攻防场景快照形成攻防过程时序性现场的复盘数据。
本发明一实施例中,所述复盘回放过程包括:
根据复盘需求确定复盘回访过程的起始时间,从复盘数据中确定对应的攻防场景快照;
根据攻防场景快照确定攻防场景中攻防过程的行为记录;
根据行为记录形成攻防场景中的攻击方视角进行复盘回放过程。
本发明一实施例中,所述复盘调度包括:
形成攻防场景中行为记录的修改接口,在确定的攻防场景时间段内,通过修改接口改变攻防场景复盘回放过程中攻击行为和策略,形成复盘过程的额外行为记录;
在复盘回放过程,根据攻击方的阶段或目标从行为记录中提供防守方行为数据形成防守方视角进行数据或状态展示;
在通过修改接口改变攻防场景复盘回放过程中攻击行为和策略的额外攻防过程中根据攻击关键动作形成额外场景快照。
本发明实施例的基于网络靶场场景的复盘推演系统,包括:
数据采集装置,用于在形成攻防过程的网络靶场攻防场景中根据网络威胁框架进行复盘数据采集;
复盘回放装置,用于根据复盘需求选取复盘数据,在网络靶场中形成攻防过程的复盘回放过程;
复盘推演装置,用于在复盘回放过程中,根据推演需求形成复盘调度。
本发明一实施例中,所述数据采集装置包括:
行为解析模块,用于在网络靶场攻防场景中,根据网络威胁框架确定攻防过程中的过程节点;
行为采集模块,用于对攻防过程中的攻击关键动作进行标识,攻防场景的监控数据根据标识与攻击关键动作进行关联形成行为记录;
快照生成模块,用于根据过程节点形成攻防过程中的攻防场景快照;
数据集成模块,用于根据行为记录和攻防场景快照形成攻防过程时序性现场的复盘数据。
本发明一实施例中,所述复盘回放装置包括:
需求响应模块,用于根据复盘需求确定复盘回访过程的起始时间,从复盘数据中确定对应的攻防场景快照;
数据对齐模块,用于根据攻防场景快照确定攻防场景中攻防过程的行为记录;
视角调整模块,用于根据行为记录形成攻防场景中的攻击方视角进行复盘回放过程。
本发明一实施例中,所述复盘推演装置包括:
过程调度模块,用于形成攻防场景中行为记录的修改接口,在确定的攻防场景时间段内,通过修改接口改变攻防场景复盘回放过程中攻击行为和策略,形成复盘过程的额外行为记录;
数据调度模块,用于在复盘回放过程,根据攻击方的阶段或目标从行为记录中提供防守方行为数据形成防守方视角进行数据或状态展示;
现场采集模块,用于在通过修改接口改变攻防场景复盘回放过程中攻击行为和策略的额外攻防过程中根据攻击关键动作形成额外场景快照
本发明实施例的电子设备,包括:处理器、存储器;
所述存储器,用于存储计算机程序;
所述处理器,用于通过调用所述计算机程序,执行上述任一项所述的基于网络靶场场景的复盘推演方法。
本发明实施例的计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行上述的基于网络靶场场景的复盘推演方法。
本发明实施例的基于网络靶场场景的复盘推演方法、系统及设备采用网络威胁框架将攻防过程进行拆解,并与网络靶场场景进行结合,将可运用的网络威胁框架细节关联到具体的数据类型和采集方式上,构建网络攻防过程中具有的统一动作标识的数据合集,为复盘提供数据保障。针对选定的任意复盘过程环节,依靠网络靶场迅速构建切换到推演所需的虚拟化场景中,结合数据采集方式和手段,实现人在回路的选定环节的演练,实现复盘为主线,推演为其中小循环的结构,有效提升网络攻防演练效率和质量。
附图说明
图1所示为本发明一实施例基于网络靶场场景的复盘推演方法的流程示意图。
图2所示为本发明一实施例基于网络靶场场景的复盘推演系统的架构示意图。
图3所示为本发明一实施例电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚、明白,以下结合附图及具体实施方式对本发明作进一步说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明一实施例基于网络靶场场景的复盘推演方法如图1所示。在图1中,本发明实施例包括:
步骤100:在形成攻防过程的网络靶场攻防场景中根据网络威胁框架进行复盘数据采集。
本领域技术人员可以理解,网络威胁框架通过阶段、目标、行为、关键动作(短语)等层次构建,形成对网络威胁入侵过程的量化描述,以实现对已知攻击手段的标准化定义。网络靶场通过按需配置(虚拟)软硬件环境形成攻防场景,攻防双方在攻防场景中形成网络入侵的攻防过程。攻防过程中攻防场景的软硬件环境工作状态和数据生成状态与攻防过程对应,利用网络靶场的虚拟机技术可以采集软硬件环境工作状态和数据状态的同步数据。通过攻防过程中输出的告警信息可以标识攻击方的具体关键动作和动作结果,可以通过网络靶场的安全防御设备(防火墙设备)、审计设备(Intrusion Detection Systems设备)和监控设备(主机安全监控、代理软件、系统日志)可以获得具体关键动作的部署情况、覆盖范围、动作粒度的具体数据,以及攻击阶段、目标和行为的时序确认。同时,攻防场景中防守方的攻击监测(通过分析设备)、策略优化(通过修改防御规则、审计规则、主机监测策略等)、安全漏洞修补以及应急响应的事件等防御手段的表现数据也可以及时获取。利用标识可以将具体关键动作的关联数据进行关联,形成具体关键动作的数据记录。
步骤200:根据复盘需求选取复盘数据,在网络靶场中形成攻防过程的复盘回放过程。
复盘数据包括但不限于攻防过程中攻防场景的时序性快照、具体关键动作的数据记录等。根据复盘需求可以通过时序性快照恢复攻防场景的现场软硬件环境和现场数据环境形成过程复盘,同时可以根据数据记录进行攻防过程的现场数据分析。根据复盘需求,利用复盘数据可以形成攻防过程中任一时间节点起始的复盘回放过程,也可以按需实现攻防过程中时间节点间的复盘回放过程切换。
攻击方视角在网络攻防对抗中具有明确的阶段性特征,防守方数据形成按照PDRR模型(检查准备、防护加固、检测发现、快速反应、确保恢复、反省改进)进行,没有明显的阶段或先后顺序,比较分散。可以根据攻防过程的时序性特点响应复盘需求,利用数据记录中关键动作的主动攻击数据建立攻击阶段、目标和行为的时序贯通,形成基于攻击方视角的复盘回放过程。防守方数据根据攻击方视角的复盘回放过程形成适配的提示反馈信息。
在复盘回放过程中,可以根据分析需求或攻击方视角的复盘回放需求形成复盘快照,以供后续分析、推演利用。
步骤300:在复盘回放过程中,根据推演需求形成复盘调度。
复盘调度的目的是实现复盘回放过程的有效控制。通过复盘调度控制阶段性攻防场景的初始化、配置和切换;控制攻防过程中双方的攻防进度和攻防双方数据的交互体现;控制复盘回放过程中数据再现或攻击行为重新组织导致攻防过程变化时的快照生成;控制复盘回放过程的局部过程循环和整体过程接续。
本发明实施例的基于网络靶场场景的复盘推演方法采用网络威胁框架将攻防过程进行拆解,并与网络靶场场景进行结合,将可运用的网络威胁框架细节到具体的数据采集方式和手段上,构建网络攻防过程中具有的统一动作标识的数据合集,为复盘提供数据保障。针对选定的任意复盘过程环节,依靠网络靶场迅速构建切换到推演所需的虚拟化场景中,结合数据采集方式和手段,实现人在回路的选定环节的演练,实现复盘为主线,推演为其中小循环的结构,有效提升网络攻防演练效率和质量。
如图1所示,在本发明一实施例中,复盘数据采集包括:
步骤110:在网络靶场攻防场景中,根据网络威胁框架确定攻防过程中的过程节点。
网络威胁框架包括但不限于NTCTF框架、ATT&CK框架、KILL chain模型等。例如,NTCTF把入侵过程分为6个阶段:行动管理、准备活动、接触目标和进攻突防、持久化驻留潜伏、效果、持续支撑作业。每个阶段都由目标、行为和关键动作来提供标准化描述。例如,以准备活动阶段的侦查行动,关键动作扫描设备为例:
每个关键动作,均是攻击者所做事情的概述,同时还可以和具体的软件、工具形成对应关系;同时该软件、工具在传输过程中(流量形态)、直接目标(受影响的目标)均会被监测、审计到,可产生网络安全告警和审计事件,由于网络靶场场景构建,相关的网络安全设备、审计设备、流量设备均已将支持NCTF框架,以及其对关键动作的定义统一,可按照相同的格式进行数据汇报。
根据网络威胁框架可以拆解网络攻防过程,通过网络靶场的监控、审计等技术手段获取主机、服务、安全设备、流量设备的状态,确定攻防过程中攻击的阶段、目标和行为转变的过程节点,依次作为后续按照时间序复盘的阶段区分和回放依据。
步骤120:对攻防过程中的攻击关键动作进行标识,攻防场景的监控数据根据标识与攻击关键动作进行关联形成行为记录。
攻击关键动作可以通过攻击关键动作实施时触发的单一告警信息标识,也可以通过网络靶场中监控设备采集的监控数据中综合标识。根据标识关联与攻击关键动作作用范围相关的监控设备采集的监控数据和数据时序,进而形成具体攻击关键动作的行为记录。行为记录中包括与具体攻击关键动作相关的针对攻击方的监控数据和针对攻击形成的防守方的监控数据。
步骤130:根据过程节点形成攻防过程中的攻防场景快照。
网络靶场利用场景虚拟化技术生成对应的攻防场景快照,根据攻防场景中攻防过程的过程节点同步保留即时攻防场景中的设备状态和数据状态。
步骤140:根据行为记录和攻防场景快照形成攻防过程时序性现场的复盘数据。
根据攻击方的时序性特征,结合网络威胁框架对攻击过程的标准定义和实事确定的过程节点,组织行为记录和攻防场景快照形成可以复现攻防过程时序性现场状态和具体攻击关键动作状态的复盘数据。
本发明实施例的基于网络靶场场景的复盘推演方法利用网络靶场的场景虚拟化技术和网络威胁框架的攻击行为标准化技术形成攻防过程现场状态和具体攻击关键动作数据的同步采集。能够满足攻防过程行为分析的数据粒度需求的同时保证攻防过程现场状态的可靠复现。
如图1所示,在本发明一实施例中,复盘回放过程包括:
步骤210:根据复盘需求确定复盘回访过程的起始时间,从复盘数据中确定对应的攻防场景快照。
根据复盘需求可以形成攻防场景的快速切换,实现攻防场景的软硬件环境的状态复现,满足按照时序复盘时攻防过程的阶段区分。
步骤220:根据攻防场景快照确定攻防场景中攻防过程的行为记录。
在确定攻防场景的基础上确定相应攻防过程中与具体攻击关键动作相对应的行为记录,提供攻防阶段、攻防目标和攻防动作的多维度、小粒度的分析依据。
步骤230:根据行为记录形成攻防场景中的攻击方视角进行复盘回放过程。
利用行为记录中的攻击行为的时序性特点,根据行为记录中具体攻击关键动作的相应监控数据建立攻击方视角的攻击复盘回放过程,在攻击复盘回放过程中以防守方的监控数据形成具体攻击关键动作的攻击效果展示。
本发明实施例的基于网络靶场场景的复盘推演方法利用复盘数据中的攻防场景快照恢复指定阶段的攻防过程现场,同时利用快照的时序性特点确定场景中对应的行为记录,保证了复盘现场恢复和攻防双方关联数据的完整性。利用攻击方动作时序特点形成的攻击方视角协调攻守双方的数据交互形式,满足复盘回放过程的数据分析需求。
如图1所示,在本发明一实施例中,复盘调度包括:
步骤310:形成攻防场景中行为记录的修改接口,在确定的攻防场景时间段内,通过修改接口改变攻防场景复盘回放过程中攻击行为和策略,形成复盘过程的额外行为记录。
在整个复盘回放过程中,网络攻防处于胶着状态或攻击效果不佳,需要进行针对分析,需要将复盘中的某个时间范围的所有场景进行抽离出来,进行再次演练;由于攻防演练复杂,对抗过程受攻防人员能力、分析策略、防守方的设备监控审计等多种因素影响,再次演练或复现中,通过网络靶场还原当时场景的同时,需要结合防守方的数据以及录屏文件,更改攻击方式和策略,结合实际产生的防守方数据进行分析。
步骤320:在复盘回放过程,根据攻击方的阶段或目标从行为记录中提供防守方行为数据形成防守方视角进行数据或状态展示。
在网络攻防活动中某一个阶段以及目标,网络靶场构建所需的场景中,提取阶段点状态的目标,同时开放防守方视角/数据采集方式/手段给攻击方,或者防守方直接提供攻击方关键动作的监测/分析手段给攻击方,以此形成结合网络靶场场景的攻击方、防守方均在回路的交互分析。
步骤330:在通过修改接口改变攻防场景复盘回放过程中攻击行为和策略的额外攻防过程中根据攻击关键动作形成额外场景快照。
通过额外场景快照提供了正常复盘回放过程中进行推演分析时攻防过程调整形成额外阶段和行为的数据采集手段,满足对推演分析过程的复现需求。
本发明实施例的基于网络靶场场景的复盘推演方法为复盘推演过程提供了额外的攻防过程变化、数据展示和数据采集手段。使得复盘推演过程可以实现数据再现,同时提供攻击者/防御者视角数据的观察分析。满足推演过程中攻击行为重组和充足场景复现的业务需求。
本发明一实施例基于网络靶场场景的复盘推演系统如图2所示。在图2中,本发明实施例包括:
数据采集装置10,用于在形成攻防过程的网络靶场攻防场景中根据网络威胁框架进行复盘数据采集;
复盘回放装置20,用于根据复盘需求选取复盘数据,在网络靶场中形成攻防过程的复盘回放过程;
复盘推演装置30,用于在复盘回放过程中,根据推演需求形成复盘调度。
如图2所示,在本发明一实施例中,数据采集装置10包括:
行为解析模块11,用于在网络靶场攻防场景中,根据网络威胁框架确定攻防过程中的过程节点;
行为采集模块12,用于对攻防过程中的攻击关键动作进行标识,攻防场景的监控数据根据标识与攻击关键动作进行关联形成行为记录;
快照生成模块13,用于根据过程节点形成攻防过程中的攻防场景快照;
数据集成模块14,用于根据行为记录和攻防场景快照形成攻防过程时序性现场的复盘数据。
如图2所示,在本发明一实施例中,复盘回放装置20包括:
需求响应模块21,用于根据复盘需求确定复盘回访过程的起始时间,从复盘数据中确定对应的攻防场景快照;
数据对齐模块22,用于根据攻防场景快照确定攻防场景中攻防过程的行为记录;
视角调整模块23,用于根据行为记录形成攻防场景中的攻击方视角进行复盘回放过程。
如图2所示,在本发明一实施例中,复盘推演装置30包括:
过程调度模块31,用于形成攻防场景中行为记录的修改接口,在确定的攻防场景时间段内,通过修改接口改变攻防场景复盘回放过程中攻击行为和策略,形成复盘过程的额外行为记录;
数据调度模块32,用于在复盘回放过程,根据攻击方的阶段或目标从行为记录中提供防守方行为数据形成防守方视角进行数据或状态展示;
现场采集模块33,用于在通过修改接口改变攻防场景复盘回放过程中攻击行为和策略的额外攻防过程中根据攻击关键动作形成额外场景快照。
本申请实施例还提供了一种电子设备,该电子设备的结构示意图如图3所示。在图3中,该电子设备4000包括至少一个处理器4001、存储器4002和总线4003,至少一个处理器4001均与存储器4002电连接;存储器4002被配置用于存储有至少一个计算机可执行指令,处理器4001被配置用于执行该至少一个计算机可执行指令,从而执行如本申请中任意一个实施例或任意一种可选实施方式提供的任意一种基于网络靶场场景的复盘推演方法的步骤。
进一步,处理器4001可以是FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其它具有逻辑处理能力的器件,如MCU(Microcontroller Unit,微控制单元)、CPU(Central Process Unit,中央处理器)。
应用本申请实施例,采用网络威胁框架将攻防过程进行拆解,并与网络靶场场景进行结合,将可运用的网络威胁框架细节关联到具体的数据类型和采集方式上,构建网络攻防过程中具有的统一动作标识的数据合集,为复盘提供数据保障。针对选定的任意复盘过程环节,依靠网络靶场迅速构建切换到推演所需的虚拟化场景中,结合数据采集方式和手段,实现人在回路的选定环节的演练,实现复盘为主线,推演为其中小循环的结构,有效提升网络攻防演练效率和质量。
本申请实施例还提供了另一种计算机可读存储介质,存储有计算机程序,该计算机程序用于被处理器执行时实现本申请中任意一个实施例或任意一种可选实施方式提供的任意一种基于网络靶场场景的复盘推演方法的步骤。
本申请实施例提供的计算机可读存储介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、CD-ROM、和磁光盘)、ROM(Read-Only Memory,只读存储器)、RAM(RandomAccess Memory,随即存储器)、EPROM(Erasable Programmable Read-Only Memory,可擦写可编程只读存储器)、EEPROM(Electrically Erasable Programmable Read-Only Memory,电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是,可读存储介质包括由设备(例如,计算机)以能够读的形式存储或传输信息的任何介质。
应用本申请实施例,采用网络威胁框架将攻防过程进行拆解,并与网络靶场场景进行结合,将可运用的网络威胁框架细节关联到具体的数据类型和采集方式上,构建网络攻防过程中具有的统一动作标识的数据合集,为复盘提供数据保障。针对选定的任意复盘过程环节,依靠网络靶场迅速构建切换到推演所需的虚拟化场景中,结合数据采集方式和手段,实现人在回路的选定环节的演练,实现复盘为主线,推演为其中小循环的结构,有效提升网络攻防演练效率和质量。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (8)
1.一种基于网络靶场场景的复盘推演方法,其特征在于,包括:
在形成攻防过程的网络靶场攻防场景中根据网络威胁框架进行复盘数据采集;
根据复盘需求选取复盘数据,在网络靶场中形成攻防过程的复盘回放过程;
在复盘回放过程中,根据推演需求形成复盘调度;
所述复盘调度包括:
形成攻防场景中行为记录的修改接口,在确定的攻防场景时间段内,通过修改接口改变攻防场景复盘回放过程中攻击行为和策略,形成复盘过程的额外行为记录;
在复盘回放过程,根据攻击方的阶段或目标从行为记录中提供防守方行为数据形成防守方视角进行数据或状态展示;
在通过修改接口改变攻防场景复盘回放过程中攻击行为和策略的额外攻防过程中根据攻击关键动作形成额外场景快照。
2.如权利要求1所述的基于网络靶场场景的复盘推演方法,其特征在于,所述复盘数据采集包括:
在网络靶场攻防场景中,根据网络威胁框架确定攻防过程中的过程节点;
对攻防过程中的攻击关键动作进行标识,攻防场景的监控数据根据标识与攻击关键动作进行关联形成行为记录;
根据过程节点形成攻防过程中的攻防场景快照;
根据行为记录和攻防场景快照形成攻防过程时序性现场的复盘数据。
3.如权利要求2所述的基于网络靶场场景的复盘推演方法,其特征在于,所述复盘回放过程包括:
根据复盘需求确定复盘回访过程的起始时间,从复盘数据中确定对应的攻防场景快照;
根据攻防场景快照确定攻防场景中攻防过程的行为记录;
根据行为记录形成攻防场景中的攻击方视角进行复盘回放过程。
4.一种基于网络靶场场景的复盘推演系统,其特征在于,包括:
数据采集装置,用于在形成攻防过程的网络靶场攻防场景中根据网络威胁框架进行复盘数据采集;
复盘回放装置,用于根据复盘需求选取复盘数据,在网络靶场中形成攻防过程的复盘回放过程;
复盘推演装置,用于在复盘回放过程中,根据推演需求形成复盘调度;
所述复盘推演装置包括:
过程调度模块,用于形成攻防场景中行为记录的修改接口,在确定的攻防场景时间段内,通过修改接口改变攻防场景复盘回放过程中攻击行为和策略,形成复盘过程的额外行为记录;
数据调度模块,用于在复盘回放过程,根据攻击方的阶段或目标从行为记录中提供防守方行为数据形成防守方视角进行数据或状态展示;
现场采集模块,用于在通过修改接口改变攻防场景复盘回放过程中攻击行为和策略的额外攻防过程中根据攻击关键动作形成额外场景快照。
5.如权利要求4所述的基于网络靶场场景的复盘推演系统,其特征在于,所述数据采集装置包括:
行为解析模块,用于在网络靶场攻防场景中,根据网络威胁框架确定攻防过程中的过程节点;
行为采集模块,用于对攻防过程中的攻击关键动作进行标识,攻防场景的监控数据根据标识与攻击关键动作进行关联形成行为记录;
快照生成模块,用于根据过程节点形成攻防过程中的攻防场景快照;
数据集成模块,用于根据行为记录和攻防场景快照形成攻防过程时序性现场的复盘数据。
6.如权利要求4所述的基于网络靶场场景的复盘推演系统,其特征在于,所述复盘回放装置包括:
需求响应模块,用于根据复盘需求确定复盘回访过程的起始时间,从复盘数据中确定对应的攻防场景快照;
数据对齐模块,用于根据攻防场景快照确定攻防场景中攻防过程的行为记录;
视角调整模块,用于根据行为记录形成攻防场景中的攻击方视角进行复盘回放过程。
7.一种电子设备,其特征在于,包括:处理器、存储器;
所述存储器,用于存储计算机程序;
所述处理器,用于通过调用所述计算机程序,执行如权利要求1-6中任一项所述的基于网络靶场场景的复盘推演方法。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-6任一项所述的基于网络靶场场景的复盘推演方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310313516.0A CN116346466B (zh) | 2023-03-28 | 2023-03-28 | 一种基于网络靶场场景的复盘推演方法、系统及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310313516.0A CN116346466B (zh) | 2023-03-28 | 2023-03-28 | 一种基于网络靶场场景的复盘推演方法、系统及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116346466A CN116346466A (zh) | 2023-06-27 |
| CN116346466B true CN116346466B (zh) | 2023-11-10 |
Family
ID=86877030
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310313516.0A Active CN116346466B (zh) | 2023-03-28 | 2023-03-28 | 一种基于网络靶场场景的复盘推演方法、系统及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116346466B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117459401B (zh) * | 2023-09-15 | 2024-06-18 | 永信至诚科技集团股份有限公司 | 网络靶场环境快照的生成方法、装置、设备和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113536573A (zh) * | 2021-07-19 | 2021-10-22 | 中国人民解放军国防科技大学 | 网络攻防过程的仿真建模方法、装置及网络回合制兵棋 |
| CN114386042A (zh) * | 2021-11-09 | 2022-04-22 | 内蒙古大唐国际托克托发电有限责任公司 | 一种适用于电力企业网络战兵棋推演的方法 |
| CN115811472A (zh) * | 2022-11-02 | 2023-03-17 | 湖南大佳数据科技有限公司 | 一种电力系统的网络安全靶场构建系统及方法 |
-
2023
- 2023-03-28 CN CN202310313516.0A patent/CN116346466B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113536573A (zh) * | 2021-07-19 | 2021-10-22 | 中国人民解放军国防科技大学 | 网络攻防过程的仿真建模方法、装置及网络回合制兵棋 |
| CN114386042A (zh) * | 2021-11-09 | 2022-04-22 | 内蒙古大唐国际托克托发电有限责任公司 | 一种适用于电力企业网络战兵棋推演的方法 |
| CN115811472A (zh) * | 2022-11-02 | 2023-03-17 | 湖南大佳数据科技有限公司 | 一种电力系统的网络安全靶场构建系统及方法 |
Non-Patent Citations (2)
| Title |
|---|
| 以平行仿真技术为核心的网络靶场平台;北京永信至诚科技股份有限公司 蔡晶晶 潘柱廷 张 凯 余慧英;《优秀网络安全创新产品》;全文 * |
| 网络靶场及其关键技术研究;李馥娟王群;《计算机工程与应用》;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116346466A (zh) | 2023-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113067728B (zh) | 一种网络安全攻防试验平台 | |
| CN107659543B (zh) | 面向云平台apt攻击的防护方法 | |
| Moustafa et al. | Federated TON_IoT Windows datasets for evaluating AI-based security applications | |
| CN109818985B (zh) | 一种工控系统漏洞趋势分析与预警方法及系统 | |
| Kumar et al. | Practical machine learning for cloud intrusion detection: Challenges and the way forward | |
| CN113691416B (zh) | 一种分布式分层部署的网络靶场管理平台 | |
| CN110430190A (zh) | 基于att&ck的欺骗性防御系统、构建方法及全链路防御实现方法 | |
| CN110784476A (zh) | 一种基于虚拟化动态部署的电力监控主动防御方法及系统 | |
| CN116346466B (zh) | 一种基于网络靶场场景的复盘推演方法、系统及设备 | |
| Leblanc et al. | An overview of cyber attack and computer network operations simulation | |
| CN110351255B (zh) | 一种网络靶场系统中的数据采集方法及数据采集系统 | |
| EP3958152B1 (en) | Attack scenario simulation device, attack scenario generation system, and attack scenario generation method | |
| CN205507061U (zh) | 雷达综合记录仪 | |
| CN114584359A (zh) | 安全诱捕方法、装置和计算机设备 | |
| CN114338172A (zh) | 一种移动网络靶场系统以及网络流量攻击模拟方法 | |
| CN116962057A (zh) | 多人协同的网络安全应急响应和演练平台及其操作方法 | |
| CN116319370A (zh) | 网络靶场的应急演练方法、装置、设备及可读存储介质 | |
| CN109729089A (zh) | 一种基于容器的智能网络安全功能管理方法及系统 | |
| Mumrez et al. | Comparative Study on Smart Grid Security Testbeds Using MITRE ATT&CK Matrix | |
| CN109408334A (zh) | 一种审计日志特性测试方法、装置、设备及存储介质 | |
| CN116757899B (zh) | 智慧安全平台多部门联动处理方法 | |
| CN117978542B (zh) | 面向高级持续威胁的数字替身防御系统设计方法及装置 | |
| CN115438518B (zh) | 一种基于混沌理念的故障模拟应用系统 | |
| Leszczyna et al. | Security evaluation of IT systems underlying critical networked infrastructures | |
| US20230231880A1 (en) | Secure sentinel network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 100094 103, building 6, yard 9, FengHao East Road, Haidian District, Beijing Applicant after: Yongxin Zhicheng Technology Group Co.,Ltd. Address before: 100094 103, building 6, yard 9, FengHao East Road, Haidian District, Beijing Applicant before: BEIJING YONGXIN ZHICHENG TECHNOLOGY CO.,LTD. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |