CN117640260B - 一种基于事件驱动的仿真网络攻防演练方法 - Google Patents
一种基于事件驱动的仿真网络攻防演练方法 Download PDFInfo
- Publication number
- CN117640260B CN117640260B CN202410104397.2A CN202410104397A CN117640260B CN 117640260 B CN117640260 B CN 117640260B CN 202410104397 A CN202410104397 A CN 202410104397A CN 117640260 B CN117640260 B CN 117640260B
- Authority
- CN
- China
- Prior art keywords
- flow
- network
- simulation
- attack
- security event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004088 simulation Methods 0.000 title claims abstract description 181
- 238000000034 method Methods 0.000 title claims abstract description 57
- 230000007123 defense Effects 0.000 title claims abstract description 52
- 238000012544 monitoring process Methods 0.000 claims abstract description 102
- 230000007246 mechanism Effects 0.000 claims abstract description 28
- 230000006872 improvement Effects 0.000 claims abstract description 22
- 230000008569 process Effects 0.000 claims description 35
- 230000000737 periodic effect Effects 0.000 claims description 13
- 238000012163 sequencing technique Methods 0.000 claims description 6
- 238000013507 mapping Methods 0.000 claims description 3
- 238000005553 drilling Methods 0.000 abstract description 2
- 238000004891 communication Methods 0.000 description 4
- 238000011156 evaluation Methods 0.000 description 3
- 239000011159 matrix material Substances 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于事件驱动的仿真网络攻防演练方法,涉及网络攻防演练技术领域,设置网络监测点位,获取各个点位的关键指标的监测数据;构建仿真网络空间;构建仿真网络空间中各流程子序列的攻击事件链表,仿真网络空间根据流程子序列的攻击事件链表设置安全事件自动攻击机制,根据仿真演练结果对网络运行设备进行网络防御改进操作;判断物理空间中的流程子序列是否受到安全事件攻击,判断所述安全事件类型,获取仿真网络空间中与所述产生安全事件的流程子序列存在连接关系的其他流程子序列,对所述其他流程子序列进行所述安全事件类型的提前仿真演练,并根据仿真演练结果对其他流程子序列进行提前网络防御改进操作,提高网络设备运行安全。
Description
技术领域
本发明涉及网络攻防演练技术领域,具体是一种基于事件驱动的仿真网络攻防演练方法。
背景技术
随着计算机信息网络技术的发展,网络空间(Cyber-space,中文也直译为“赛博空间”)安全越来越引起相关方的重视,在一些需要对网空作战形势推演、预判及评估等业务场景中,构建仿真网络环境用来模拟攻防演练成为必备的工具。
现有文件CN115883390A“网络攻防作战场景虚拟化仿真方法、装置及电子设备”将网络设备模型实例化,得到与网络攻防场景中的物理网络设备对应的实例化虚拟网络设备;将所述实例化虚拟网络设备,按照真实网络攻防场景中的网络拓扑结构进行通联配置,构造出多个用于模拟真实网络作战环境中局部网络拓扑结构的第一局域网络;将多个所述第一局域网络进行通联配置,得到用于模拟真实网络作战环境的虚拟化网络攻防作战场景。
现有文件CN108965021B“虚拟演练网络的创建方法和装置”通过云系统获取第一用户针对第一攻防课程创建的第一网络模板,第一网络模板包括网络拓扑、网络拓扑对应的路由参数、网络拓扑对应的网络参数以及网络拓扑对应的主机参数;云系统保存第一网络模板,并将第一网络模板与第一攻防课程的对应关系保存在课程模板关联表中;当获取到第二用户针对第一攻防课程发起的虚拟环境启动请求时,云系统根据课程模板关联表获取第一网络模板;云系统根据网络拓扑、网络拓扑对应的路由参数、网络拓扑对应的网络参数以及网络拓扑对应的主机参数在云系统的云环境中创建第一网络模板对应的虚拟演练网络。该技术方案可模拟真实的网络环境,使用户得到更好的攻防训练。
传统的被动和边界防御体系通常在互联网边界处部署防火墙、应用防火墙(WAF)、入侵防御系统(IPS)抵御来自外部的恶意访问,传统架构的安全防护模式过于被动化,边界安全设备防护策宽泛,未及时同步外部的威胁情报进行阻断,且未实现安全风险自动识别、分析和处置等,如何从传统的被动防御体系需要转变为主动智能防御体系,是我们亟需解决的问题,现提供一种基于事件驱动的仿真网络攻防演练方法。
发明内容
为了解决上述技术问题,本发明的目的在于提供一种基于事件驱动的仿真网络攻防演练方法,包括以下步骤:
步骤S1:获取当前网络设备运行流程信息,根据所述流程信息设置网络监测点位,获取各个点位的关键指标的监测数据;
步骤S2:构建网络运行流程中网络运行设备的实例模拟模型,并根据实例模拟模型以及实例模拟模型之间联系关系,构建仿真网络空间;
步骤S3:构建仿真网络空间中各流程子序列的攻击事件链表,仿真网络空间根据流程子序列的攻击事件链表设置安全事件自动攻击机制,通过安全事件自动攻击机制对各流程子序列的实例模拟模型进行定期仿真攻击,并根据仿真演练结果对网络运行设备进行网络防御改进操作;
步骤S4:判断物理空间中的流程子序列是否受到安全事件攻击,若受到安全事件攻击,判断所述安全事件类型,获取仿真网络空间中与产生安全事件的流程子序列存在连接关系的其他流程子序列,对所述其他流程子序列进行所述安全事件类型的提前仿真演练,并根据仿真演练结果对其他流程子序列进行提前网络防御改进操作。
进一步的,获取当前网络设备运行流程信息,根据所述流程信息设置网络监测点位,获取各个点位的关键指标的监测数据的过程包括:
获取当前网络运行设备的运行流程特性,根据运行流程特性提取流程信息,将网络运行流程根据流程信息进行拆分,划分为若干流程子序列;
在各流程子序列设置网络监测点位,根据各流程子序列的运行流程特性的功能特性的获取各流程子序列的性能监测指标、流量监测指标以及日志审核指标;
所述网络监测点位根据所述性能监测指标、流量监测指标以及日志审核指标实时获取对应的监测数据并标记监测时间,设置监测周期。
进一步的,构建网络运行流程中网络运行设备的实例模拟模型,并根据实例模拟模型以及实例模拟模型之间联系关系,构建仿真网络空间的过程包括:
构建数字空间,获取当前网络运行流程中物理空间中的网络运行设备的物理实体以及网络运行设备的组件配置信息,将网络运行设备的物理实体进行模拟模型构建映射到数字空间,并根据所述组件配置信息对每一个模拟模型包含的组件进行属性赋值,得到对应的实例模拟模型;
在各实例模拟模型上设置仿真网络监测点位,所述仿真网络监测点位用于根据实例模拟模型的所述性能监测指标、流量监测指标以及日志审核指标,获取对应的虚拟数据监测结果并标记监测时间,设置监测周期;
获取当前网络运行流程中各流程子序列之间的装配顺序及装配关系,将各流程子序列之间的装配顺序及装配关系作为节点之间的连接关系,将各流程子序列的实例模拟模型作为有向拓扑图的节点,将实例模拟模型对应的虚拟数据监测结果作为节点的补充节点,构建有向拓扑图;
获取各流程子序列的监测数据时序序列,将所述监测数据时序序列存储到数字空间,将当前网络运行流程中各流程子序列的监测数据时序序列结合有向拓扑图生成虚实关联的仿真网络空间。
进一步的,构建仿真网络空间中各流程子序列的攻击事件链表的过程包括:
获取流程子序列的若干历史安全事件以及对应的采集记录,所述采集记录包括采集时刻、安全事件类型、安全事件攻击强度和安全事件持续时间,根据流程子序列的各历史安全事件的采集记录获取对应的各历史安全事件的影响优先级;
构建流程子序列的攻击事件链表,通过所述影响优先级对各历史安全事件进行正序排序,根据排序结果将各历史安全事件插入至攻击事件链表中,将所述攻击事件链表存储至仿真网络空间中。
进一步的,仿真网络空间根据流程子序列的攻击事件链表设置安全事件自动攻击机制,通过安全事件自动攻击机制对各流程子序列的实例模拟模型进行定期仿真攻击,并根据仿真演练结果对网络运行设备进行网络防御改进操作的过程包括:
设置定期攻击触发间隔,仿真网络空间根据流程子序列的攻击事件链表设置安全事件自动攻击机制,所述安全事件自动攻击机制根据所述定期攻击触发间隔,定期对于仿真网络空间中流程子序列的实例模拟模型,依次输出攻击事件链表中的历史安全事件进行仿真攻击;
同时获取所属实例模拟模型的仿真网络监测点位的虚拟数据监测结果,获取与所述虚拟数据相对应的数据指标阈值,将所述虚拟数据监测结果与对应的数据指标阈值进行比较,获取仿真演练结果,根据仿真演练结果对所述实例模拟模型对应的网络运行设备进行网络防御改进操作。
进一步的,判断物理空间中的流程子序列是否受到安全事件攻击,若受到安全事件攻击,判断所述安全事件类型的过程包括:
获取流程子序列的网络监测点位的监测数据,并获取与所述监测数据相对应的数据指标阈值,将所述监测数据与对应的数据指标阈值进行比较,获取各类数据指标偏差值,判断所述各类数据指标偏差值是否大于对应的偏差阈值;
若存在偏差值大于偏差阈值的数据指标,则判定所述流程子序列产生安全事件,并根据所述偏差值大于偏差阈值的数据指标进行安全事件类型模糊匹配,获取所述流程子序列遭受的安全事件类型。
进一步的,获取仿真网络空间中与产生安全事件的流程子序列存在连接关系的其他流程子序列,对所述其他流程子序列进行所述安全事件类型的提前仿真演练的过程包括:
获取仿真网络空间中与产生安全事件的流程子序列存在连接关系的其他流程子序列,建立与所述流程子序列遭受的安全事件类型一致的待演练安全事件,将所述待演练安全事件插入其他流程子序列的攻击事件链表的表头位置,并判断安全事件自动攻击机制是否对其他流程子序列进行仿真攻击;
若安全事件自动攻击机制未对其他流程子序列进行仿真攻击,则立即激活安全事件自动攻击机制。
进一步的,根据仿真演练结果对其他流程子序列进行提前网络防御改进操作的过程包括:
获取其他流程子序列的仿真演练结果,根据仿真演练结果对其他流程子序列的实例模拟模型对应的网络运行设备进行网络防御改进操作。
与现有技术相比,本发明的有益效果是:本发明通过构建网络运行流程中网络运行设备的实例模拟模型,并根据实例模拟模型以及实例模拟模型之间联系关系,构建仿真网络空间,并通过判断物理空间中的流程子序列是否受到安全事件攻击,若受到安全事件攻击,则通过所述安全事件驱动仿真网络空间与产生安全事件的流程子序列存在连接关系的其他流程子序列,对所述其他流程子序列进行所述安全事件类型的提前仿真演练,并根据仿真演练结果对其他流程子序列进行提前网络防御改进操作,提前针对薄弱环节提出针对性改进措施,提高网络设备运行安全。
附图说明
图1为本申请实施例的一种基于事件驱动的仿真网络攻防演练方法的原理图。
具体实施方式
下面结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
如图1所示,一种基于事件驱动的仿真网络攻防演练方法,包括以下步骤:
步骤S1:获取当前网络设备运行流程信息,根据所述流程信息设置网络监测点位,获取各个点位的关键指标的监测数据;
步骤S2:构建网络运行流程中网络运行设备的实例模拟模型,并根据实例模拟模型以及实例模拟模型之间联系关系,构建仿真网络空间;
步骤S3:构建仿真网络空间中各流程子序列的攻击事件链表,仿真网络空间根据流程子序列的攻击事件链表设置安全事件自动攻击机制,通过安全事件自动攻击机制对各流程子序列的实例模拟模型进行定期仿真攻击,并根据仿真演练结果对网络运行设备进行网络防御改进操作;
步骤S4:判断物理空间中的流程子序列是否受到安全事件攻击,若受到安全事件攻击,判断所述安全事件类型,获取仿真网络空间中与产生安全事件的流程子序列存在连接关系的其他流程子序列,对所述其他流程子序列进行所述安全事件类型的提前仿真演练,并根据仿真演练结果对其他流程子序列进行提前网络防御改进操作。
需要进一步说明的是,在具体实施过程中,获取当前网络设备运行流程信息,根据所述流程信息设置网络监测点位,获取各个点位的关键指标的监测数据的过程包括:
获取当前网络运行设备的运行流程特性,根据运行流程特性提取流程信息,将网络运行流程根据流程信息进行拆分,划分为若干流程子序列;
在各流程子序列设置网络监测点位,根据各流程子序列的运行流程特性的功能特性的获取各流程子序列的性能监测指标、流量监测指标以及日志审核指标;
所述网络监测点位根据所述性能监测指标、流量监测指标以及日志审核指标实时获取对应的监测数据并标记监测时间,设置监测周期。
需要进一步说明的是,在具体实施过程中,构建网络运行流程中网络运行设备的实例模拟模型,并根据实例模拟模型以及实例模拟模型之间联系关系,构建仿真网络空间的过程包括:
构建数字空间,获取当前网络运行流程中物理空间中的网络运行设备的物理实体以及网络运行设备的组件配置信息,将网络运行设备的物理实体进行模拟模型构建映射到数字空间,并根据所述组件配置信息对每一个模拟模型包含的组件进行属性赋值,得到对应的实例模拟模型;
在各实例模拟模型上设置仿真网络监测点位,所述仿真网络监测点位用于根据实例模拟模型的所述性能监测指标、流量监测指标以及日志审核指标,获取对应的虚拟数据监测结果并标记监测时间,设置监测周期;
获取当前网络运行流程中各流程子序列之间的装配顺序及装配关系,将各流程子序列之间的装配顺序及装配关系作为节点之间的连接关系,将各流程子序列的实例模拟模型作为有向拓扑图的节点,将实例模拟模型对应的虚拟数据监测结果作为节点的补充节点,构建有向拓扑图;
获取各流程子序列的监测数据时序序列,将所述监测数据时序序列存储到数字空间,将当前网络运行流程中各流程子序列的监测数据时序序列结合有向拓扑图生成虚实关联的仿真网络空间。
需要进一步说明的是,在具体实施过程中,网络运行设备的组件配置信息包括但不限于:
防火墙配置、加密设置(如用于无线通讯的WPA2)、入侵检测系统配置、多因素身份验证设置、审计日志配置;
固件版本、逻辑控制图(如PLC程序)、配置参数、产品或过程配方、用户权限和访问控制列表、数据采集和处理程序、网络配置详细信息(IP地址、子网掩码、网关、DNS服务器等);
启动/停止时间、运行速度、温度、压力、流量、电压等传感器的阈值、物料消耗速度、效率指标等运行参数;
通信协议(例如Modbus TCP/IP、PROFIBUS、CANbus)、动态主机配置协议(DHCP)或手动配置的网络设置连接到的网络和设备、VPN或其他远程访问配置;
用于定期维护的日程计划、诊断软件的配置、预测性维护工具和指标、实时监控参数、异常检测阈值、报告生成和分发配置。
需要进一步说明的是,在具体实施过程中,构建仿真网络空间中各流程子序列的攻击事件链表的过程包括:
获取流程子序列的若干历史安全事件以及对应的采集记录,所述采集记录包括采集时刻、安全事件类型、安全事件攻击强度和安全事件持续时间,根据流程子序列的各历史安全事件的采集记录获取对应的各历史安全事件的影响优先级;
构建流程子序列的攻击事件链表,通过所述影响优先级对各历史安全事件进行正序排序,根据排序结果将各历史安全事件插入至攻击事件链表中,将所述攻击事件链表存储至仿真网络空间中。
需要进一步说明的是,在具体实施过程中,安全事件的类型包括但不限于信息收集类、漏洞扫描类、payload生成类、密码破解类、提权工具类、漏洞利用工具类、命令控制类、ATT&CK攻击矩阵,例如各类的病毒武器、木马武器、DDOS武器、恶意代码武器等。
需要进一步说明的是,在具体实施过程中,根据流程子序列的各历史安全事件的采集记录获取对应的各历史安全事件的影响优先级的计算公式为:
其中,表示第i类安全事件的影响优先级;表示第i类安全事件的安全事件攻击
强度;表示第i类安全事件的安全事件持续时间;表示第i类安全事件的采集时刻;表示
当前时刻;、、表示权重因子。
需要进一步说明的是,在具体实施过程中,仿真网络空间根据流程子序列的攻击事件链表设置安全事件自动攻击机制,通过安全事件自动攻击机制对各流程子序列的实例模拟模型进行定期仿真攻击,并根据仿真演练结果对网络运行设备进行网络防御改进操作的过程包括:
设置定期攻击触发间隔,仿真网络空间根据流程子序列的攻击事件链表设置安全事件自动攻击机制,所述安全事件自动攻击机制根据所述定期攻击触发间隔,定期对于仿真网络空间中流程子序列的实例模拟模型,依次输出攻击事件链表中的历史安全事件进行仿真攻击;
同时获取所属实例模拟模型的仿真网络监测点位的虚拟数据监测结果,获取与所述虚拟数据相对应的数据指标阈值,将所述虚拟数据监测结果与对应的数据指标阈值进行比较,获取仿真演练结果,根据仿真演练结果对所述实例模拟模型对应的网络运行设备进行网络防御改进操作;
例如,预设偏差阈值区间,获取仿真网络监测点位的虚拟数据包括的流量监测数据,获取所述流量监测数据与对应的数据指标阈值的偏差值,判断所述偏差值是否落在偏差阈值区间内;
若不落在,则证明当前仿真网络监测点位的网络攻防演练成功,且所述实例模拟模型存在安全漏洞,系统管理员和安全专家通过在安全的仿真网络环境中理解当前仿真网络监测点位的安全漏洞,并对当前仿真网络监测点位进行修复并提高其安全防护能力。
需要进一步说明的是,在具体实施过程中,判断物理空间中的流程子序列是否受到安全事件攻击,若受到安全事件攻击,判断所述安全事件类型的过程包括:
获取流程子序列的网络监测点位的监测数据,并获取与所述监测数据相对应的数据指标阈值,将所述监测数据与对应的数据指标阈值进行比较,获取各类数据指标偏差值,判断所述各类数据指标偏差值是否大于对应的偏差阈值;
若存在偏差值大于偏差阈值的数据指标,则判定所述流程子序列产生安全事件,并根据所述偏差值大于偏差阈值的数据指标进行安全事件类型模糊匹配,获取所述流程子序列遭受的安全事件类型。
需要进一步说明的是,在具体实施过程中,根据所述偏差值大于偏差阈值的数据指标进行安全事件类型模糊匹配,获取所述流程子序列遭受的安全事件类型的过程包括:
获取当前流程子序列曾遭受的若干历史安全事件,获取所述流程子序列正常运行时的标准数据指标,获取所述流程子序列在遭受各类型历史安全事件攻击时,各类型的数据指标与标准数据指标的偏差值,根据各类型安全事件下的各类型数据指标与对应的标准数据指标的偏差值作为评价指标,设置评价指标的指标权重,预设关联度等级,通过模糊综合评价获取各类型安全事件与各类型的数据指标与标准数据指标的偏差值之间的关联度等级的隶属度矩阵;
根据隶属度矩阵及指标权重获取各类型安全事件与各类型的数据指标与标准数据指标的偏差值之间关联度等级;
当获取若干类型的所述偏差值大于偏差阈值的数据指标时,根据各类型的数据指标与标准数据指标的偏差值以及关联度等级获取对应的安全事件类型。
需要进一步说明的是,在具体实施过程中,获取仿真网络空间中与产生安全事件的流程子序列存在连接关系的其他流程子序列,对所述其他流程子序列进行所述安全事件类型的提前仿真演练的过程包括:
获取仿真网络空间中与产生安全事件的流程子序列存在连接关系的其他流程子序列,建立与所述流程子序列遭受的安全事件类型一致的待演练安全事件,将所述待演练安全事件插入其他流程子序列的攻击事件链表的表头位置,并判断安全事件自动攻击机制是否对其他流程子序列进行仿真攻击;
若安全事件自动攻击机制未对其他流程子序列进行仿真攻击,则立即激活安全事件自动攻击机制。
需要进一步说明的是,在具体实施过程中,根据仿真演练结果对其他流程子序列进行提前网络防御改进操作的过程包括:
获取其他流程子序列的仿真演练结果,根据仿真演练结果对其他流程子序列的实例模拟模型对应的网络运行设备进行网络防御改进操作。
以上实施例仅用以说明本发明的技术方法而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方法进行修改或等同替换,而不脱离本发明技术方法的精神和范围。
Claims (8)
1.一种基于事件驱动的仿真网络攻防演练方法,其特征在于,包括以下步骤:
步骤S1:获取当前网络设备运行流程信息,根据所述流程信息设置网络监测点位,获取各个点位的关键指标的监测数据;
步骤S2:构建网络运行流程中网络运行设备的实例模拟模型,并根据实例模拟模型以及实例模拟模型之间联系关系,构建仿真网络空间;
步骤S3:构建仿真网络空间中各流程子序列的攻击事件链表,仿真网络空间根据流程子序列的攻击事件链表设置安全事件自动攻击机制,通过安全事件自动攻击机制对各流程子序列的实例模拟模型进行定期仿真攻击,并根据仿真演练结果对网络运行设备进行网络防御改进操作;
步骤S4:判断物理空间中的流程子序列是否受到安全事件攻击,若受到安全事件攻击,判断所述安全事件类型,获取仿真网络空间中与产生安全事件的流程子序列存在连接关系的其他流程子序列,对所述其他流程子序列进行所述安全事件类型的提前仿真演练,并根据仿真演练结果对其他流程子序列进行提前网络防御改进操作。
2.根据权利要求1所述的一种基于事件驱动的仿真网络攻防演练方法,其特征在于,获取当前网络设备运行流程信息,根据所述流程信息设置网络监测点位,获取各个点位的关键指标的监测数据的过程包括:
获取当前网络运行设备的运行流程特性,根据运行流程特性提取流程信息,将网络运行流程根据流程信息进行拆分,划分为若干流程子序列;
在各流程子序列设置网络监测点位,根据各流程子序列的运行流程特性的功能特性获取各流程子序列的性能监测指标、流量监测指标以及日志审核指标;
所述网络监测点位根据所述性能监测指标、流量监测指标以及日志审核指标实时获取对应的监测数据并标记监测时间,设置监测周期。
3.根据权利要求2所述的一种基于事件驱动的仿真网络攻防演练方法,其特征在于,构建网络运行流程中网络运行设备的实例模拟模型,并根据实例模拟模型以及实例模拟模型之间联系关系,构建仿真网络空间的过程包括:
构建数字空间,获取当前网络运行流程中物理空间中的网络运行设备的物理实体以及网络运行设备的组件配置信息,将网络运行设备的物理实体进行模拟模型构建并映射到数字空间,并根据所述组件配置信息对每一个模拟模型包含的组件进行属性赋值,得到对应的实例模拟模型;
在各实例模拟模型上设置仿真网络监测点位,所述仿真网络监测点位用于根据实例模拟模型的所述性能监测指标、流量监测指标以及日志审核指标,获取对应的虚拟数据监测结果并标记监测时间;
获取当前网络运行流程中各流程子序列之间的装配顺序及装配关系,将各流程子序列之间的装配顺序及装配关系作为节点之间的连接关系,将各流程子序列的实例模拟模型作为有向拓扑图的节点,将实例模拟模型对应的虚拟数据监测结果作为节点的补充节点,构建有向拓扑图;
获取各流程子序列的监测数据时序序列,将所述监测数据时序序列存储到数字空间,将当前网络运行流程中各流程子序列的监测数据时序序列结合有向拓扑图生成仿真网络空间。
4.根据权利要求3所述的一种基于事件驱动的仿真网络攻防演练方法,其特征在于,构建仿真网络空间中各流程子序列的攻击事件链表的过程包括:
获取流程子序列的若干历史安全事件以及对应的采集记录,所述采集记录包括采集时刻、安全事件类型、安全事件攻击强度和安全事件持续时间,根据流程子序列的各历史安全事件的采集记录获取对应的各历史安全事件的影响优先级;
构建流程子序列的攻击事件链表,通过所述影响优先级对各历史安全事件进行正序排序,根据排序结果将各历史安全事件插入至攻击事件链表中,将所述攻击事件链表存储至仿真网络空间中。
5.根据权利要求4所述的一种基于事件驱动的仿真网络攻防演练方法,其特征在于,仿真网络空间根据流程子序列的攻击事件链表设置安全事件自动攻击机制,通过安全事件自动攻击机制对各流程子序列的实例模拟模型进行定期仿真攻击,并根据仿真演练结果对网络运行设备进行网络防御改进操作的过程包括:
设置定期攻击触发间隔,仿真网络空间根据流程子序列的攻击事件链表设置安全事件自动攻击机制,所述安全事件自动攻击机制根据所述定期攻击触发间隔,定期对于仿真网络空间中流程子序列的实例模拟模型,依次输出攻击事件链表中的历史安全事件进行仿真攻击;
同时获取所属实例模拟模型的仿真网络监测点位的虚拟数据监测结果,获取与所述虚拟数据相对应的数据指标阈值,将所述虚拟数据监测结果与对应的数据指标阈值进行比较,获取仿真演练结果,根据仿真演练结果对所述实例模拟模型对应的网络运行设备进行网络防御改进操作。
6.根据权利要求5所述的一种基于事件驱动的仿真网络攻防演练方法,其特征在于,判断物理空间中的流程子序列是否受到安全事件攻击,若受到安全事件攻击,判断所述安全事件类型的过程包括:
获取流程子序列的网络监测点位的监测数据,并获取与所述监测数据相对应的数据指标阈值,将所述监测数据与对应的数据指标阈值进行比较,获取各类数据指标偏差值,判断所述各类数据指标偏差值是否大于对应的偏差阈值;
若存在偏差值大于偏差阈值的数据指标,则判定所述流程子序列产生安全事件,并根据所述偏差值大于偏差阈值的数据指标进行安全事件类型模糊匹配,获取所述流程子序列遭受的安全事件类型。
7.根据权利要求6所述的一种基于事件驱动的仿真网络攻防演练方法,其特征在于,获取仿真网络空间中与产生安全事件的流程子序列存在连接关系的其他流程子序列,对所述其他流程子序列进行所述安全事件类型的提前仿真演练的过程包括:
获取仿真网络空间中与产生安全事件的流程子序列存在连接关系的其他流程子序列,建立与所述流程子序列遭受的安全事件类型一致的待演练安全事件,将所述待演练安全事件插入其他流程子序列的攻击事件链表的表头位置,并判断安全事件自动攻击机制是否对其他流程子序列进行仿真攻击;
若安全事件自动攻击机制未对其他流程子序列进行仿真攻击,则立即激活安全事件自动攻击机制。
8.根据权利要求7所述的一种基于事件驱动的仿真网络攻防演练方法,其特征在于,根据仿真演练结果对其他流程子序列进行提前网络防御改进操作的过程包括:
获取其他流程子序列的仿真演练结果,根据仿真演练结果对其他流程子序列的实例模拟模型对应的网络运行设备进行网络防御改进操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410104397.2A CN117640260B (zh) | 2024-01-25 | 2024-01-25 | 一种基于事件驱动的仿真网络攻防演练方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410104397.2A CN117640260B (zh) | 2024-01-25 | 2024-01-25 | 一种基于事件驱动的仿真网络攻防演练方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117640260A CN117640260A (zh) | 2024-03-01 |
CN117640260B true CN117640260B (zh) | 2024-04-12 |
Family
ID=90021974
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410104397.2A Active CN117640260B (zh) | 2024-01-25 | 2024-01-25 | 一种基于事件驱动的仿真网络攻防演练方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117640260B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108965021A (zh) * | 2018-07-26 | 2018-12-07 | 平安科技(深圳)有限公司 | 虚拟演练网络的创建方法和装置 |
CN111030837A (zh) * | 2019-10-28 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种网络环境现状评估方法、装置、电子设备及存储介质 |
CN112738016A (zh) * | 2020-11-16 | 2021-04-30 | 中国南方电网有限责任公司 | 一种面向威胁场景的智能化安全事件关联分析系统 |
CN112822206A (zh) * | 2021-01-29 | 2021-05-18 | 清华大学 | 网络协同攻击行为的预测方法、装置以及电子设备 |
CN115643065A (zh) * | 2022-10-12 | 2023-01-24 | 中孚安全技术有限公司 | 一种网络攻击事件检测方法及系统 |
CN115883390A (zh) * | 2022-12-22 | 2023-03-31 | 北京安天网络安全技术有限公司 | 网络攻防作战场景虚拟化仿真方法、装置及电子设备 |
CN116015968A (zh) * | 2023-01-06 | 2023-04-25 | 天津丈八网络安全科技有限公司 | 基于模拟仿真环境的自动化网络攻防系统及方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11740618B2 (en) * | 2021-04-23 | 2023-08-29 | General Electric Company | Systems and methods for global cyber-attack or fault detection model |
-
2024
- 2024-01-25 CN CN202410104397.2A patent/CN117640260B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108965021A (zh) * | 2018-07-26 | 2018-12-07 | 平安科技(深圳)有限公司 | 虚拟演练网络的创建方法和装置 |
CN111030837A (zh) * | 2019-10-28 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种网络环境现状评估方法、装置、电子设备及存储介质 |
CN112738016A (zh) * | 2020-11-16 | 2021-04-30 | 中国南方电网有限责任公司 | 一种面向威胁场景的智能化安全事件关联分析系统 |
CN112822206A (zh) * | 2021-01-29 | 2021-05-18 | 清华大学 | 网络协同攻击行为的预测方法、装置以及电子设备 |
CN115643065A (zh) * | 2022-10-12 | 2023-01-24 | 中孚安全技术有限公司 | 一种网络攻击事件检测方法及系统 |
CN115883390A (zh) * | 2022-12-22 | 2023-03-31 | 北京安天网络安全技术有限公司 | 网络攻防作战场景虚拟化仿真方法、装置及电子设备 |
CN116015968A (zh) * | 2023-01-06 | 2023-04-25 | 天津丈八网络安全科技有限公司 | 基于模拟仿真环境的自动化网络攻防系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN117640260A (zh) | 2024-03-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Zolanvari et al. | Machine learning-based network vulnerability analysis of industrial Internet of Things | |
CN107659543B (zh) | 面向云平台apt攻击的防护方法 | |
Jardine et al. | Senami: Selective non-invasive active monitoring for ics intrusion detection | |
Lin et al. | Cyber attack and defense on industry control systems | |
Palani et al. | Invisible and forgotten: Zero-day blooms in the IoT | |
CN111049827A (zh) | 一种网络系统安全防护方法、装置及其相关设备 | |
CN108712369B (zh) | 一种工业控制网多属性约束访问控制决策系统和方法 | |
CN112491860A (zh) | 一种面向工业控制网络的协同入侵检测方法 | |
Wan et al. | Characteristic insights on industrial cyber security and popular defense mechanisms | |
Suo et al. | Research on the application of honeypot technology in intrusion detection system | |
AbuEmera et al. | Security framework for identifying threats in smart manufacturing systems using STRIDE approach | |
Kelli et al. | Risk analysis of DNP3 attacks | |
Waagsnes et al. | Intrusion Detection System Test Framework for SCADA Systems. | |
Meier et al. | Towards an AI-powered Player in Cyber Defence Exercises | |
CN117640260B (zh) | 一种基于事件驱动的仿真网络攻防演练方法 | |
Xie et al. | Evaluating industrial control devices security: standards, technologies and challenges | |
KR101200055B1 (ko) | 합동전력군사지휘소용 지휘통제통신컴퓨터감시정찰 종합운용체계 및 데이터 센터 시스템에 대한 실시간 해킹 및 침입 방지 시스템 | |
Salazar et al. | Enhancing the resiliency of cyber-physical systems with software-defined networks | |
Saini et al. | Vulnerability and Attack Detection Techniques: Intrusion Detection System | |
Ponomarev | Intrusion Detection System of industrial control networks using network telemetry | |
Robinson et al. | A cyber-defensive industrial control system with redundancy and intrusion detection | |
Zhou et al. | Construction and Evaluation of Defense-in-Depth architecture in SCADA System | |
Wang et al. | Intrusion detection model of SCADA using graphical features | |
CN117650948B (zh) | 一种基于离散事件模型的网络攻防模拟仿真方法 | |
Zhang et al. | Constructing Dynamic Honeypot Using Machine Learning |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |