CN117668832A - 一种云原生容器防御措施的验证系统及方法 - Google Patents

一种云原生容器防御措施的验证系统及方法 Download PDF

Info

Publication number
CN117668832A
CN117668832A CN202311713126.9A CN202311713126A CN117668832A CN 117668832 A CN117668832 A CN 117668832A CN 202311713126 A CN202311713126 A CN 202311713126A CN 117668832 A CN117668832 A CN 117668832A
Authority
CN
China
Prior art keywords
attack
task
module
execution
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311713126.9A
Other languages
English (en)
Inventor
曹静
王鹏
张德生
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Grayscale Technology Co ltd
Original Assignee
Beijing Grayscale Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Grayscale Technology Co ltd filed Critical Beijing Grayscale Technology Co ltd
Priority to CN202311713126.9A priority Critical patent/CN117668832A/zh
Publication of CN117668832A publication Critical patent/CN117668832A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种云原生容器防御措施的验证系统及方法,包括:管理模块用于向代理模块下发攻击任务及相应的任务执行参数,以及基于从代理模块接收的任务评估结果展示攻击任务的执行情况;代理模块,用于从管理模块接收并响应于攻击任务及任务执行参数,并基于从执行模块接收的回显数据和日志对攻击任务进行评估,并将任务评估结果回传至管理模块;执行模块,用于从代理模块接收并响应于攻击任务及任务执行参数执行以下动作:从代理模块下载攻击脚本和payload文件,将攻击脚本执行的回显数据和攻击过程中产生的日志传递至代理模块。本发明通过以上设计,可验证云原生容器中部署的防御手段是否有效可靠。

Description

一种云原生容器防御措施的验证系统及方法
技术领域
本发明涉及网络安全的技术领域,尤其是涉及一种云原生容器防御措施的验证系统及方法。
背景技术
随着在全球数字化经济发展浪潮下,云计算、大数据、5G、物联网等新技术全面发展与应用,极大促进了经济社会繁荣进步,同时也带来了新的安全风险和挑战。同时近年来,大型网络安全攻防演练工作也愈加趋于实战化。
因此,很多机构以及企业作出一些能够抵御网络攻击的防御手段,例如在云原生容器中部署一些防御手段,但是该防御措施的手段的效果如何、能否及时发现病毒并启动相应的防御手段还是未知数。
上述问题亟待解决。
发明内容
为了解决上述背景技术中提出的技术缺陷,本发明的目的是提供一种云原生容器防御措施的验证系统及方法,可验证云原生容器中部署的防御手段是否有效可靠,同时还能够验证该容器能够及时发现病毒并启动相应的防御手段。
本发明采用如下技术方案:
第一方面,本发明实施例提供一种云原生容器防御措施的验证系统,包括:管理模块,用于向代理模块下发攻击任务及相应的任务执行参数,以及基于从代理模块接收的任务评估结果展示攻击任务的执行情况;其中,所述任务执行参数至少包括任务ID、攻击向量ID、攻击向量名称、反弹shell服务端口以及WebShell后门服务端口;
代理模块,用于从管理模块接收并响应于所述攻击任务及任务执行参数执行以下动作:生成攻击脚本和payload文件,启动反弹shell服务和WebShell后门服务,向执行模块传递攻击任务及任务执行参数,以及基于从执行模块接收的回显数据和日志对攻击任务进行评估,并将任务评估结果回传至管理模块;
执行模块,用于从代理模块接收并响应于所述攻击任务及任务执行参数执行以下动作:从代理模块下载攻击脚本和payload文件,并通过访问所述反弹shell服务和WebShell后门服务执行所述攻击脚本,以及将攻击脚本执行的回显数据和攻击过程中产生的日志传递至代理模块。
可选的,代理子模块,用于从所述管理模块接收攻击任务以及任务执行参数,并根据所述任务执行参数判断本地是否存在所述攻击任务需要的的镜像文件以及攻击向量文件,以及基于从所述执行模块接收回显数据和攻击过程中产生的日志;
服务子模块,用于为执行模块提供文件下载服务、执行结果分析服务、反弹shell服务以及WebShell后门服务;
第一通信单元,用于与所述执行模块发送通信请求以及身份标识码;
第一发送单元,用于将攻击任务以及任务执行参数发送至执行模块。
可选的,第一接收单元,用于从所述管理模块接收任务ID、攻击向量ID以及攻击向量名称;
第二接收单元,用于接收从所述执行模块传递的回显数据和攻击过程中产生的日志;
判断单元,用于根据所述攻击向量ID以及所述攻击向量名称判断本地是否存在所述攻击任务所需要的镜像文件以及攻击向量文件;
下载单元,根据攻击向量ID以及攻击向量名称到管理模块下载镜像文件以及攻击向量文件。
可选的,文件下载服务单元,用于根据镜像文件以及攻击向量文件进行整合并生成攻击脚本和payload文件,以及为所述执行模块提供攻击脚本以及payload文件的下载服务;
任务评估单元,用于根据从所述执行模块接收的回显数据和日志进行攻击任务评估,并生成任务评估结果;
第二发送单元,用于将所述任务评估单元生成的任务评估结果发送至管理模块。
可选的,任务下发单元,用于根据用户选择需要的攻击任务下发相应的任务ID、攻击向量ID以及攻击向量名称至代理模块;
攻击结果展示单元,配置有展示模型,所述攻击结果展示单元用于根据所述任务评估结果导入至所述展示模型中以展示用户选择的攻击任务的执行情况。
可选的,第二通信单元,用于接收所述第一通信单元发出的通信请求和身份标识码以及根据该身份标识码进行认证,并与第一通信单元建立通信;
文件下载单元,用于从所述文件下载服务单元中下载攻击脚本以及payload文件;
执行单元,用于根据攻击脚本以及payload文件开始执行任务攻击,其中,所述任务攻击包括黑客攻、信息收集、网络探测、容器逃逸以及信息窃取;
访问单元,用于将执行的任务攻击访问反弹shell服务以及WebShell后门服务,以触发云原生容器安全防护设备的检测与拦截;
回传单元,用于根据将执行单元的执行情况以回显数据的形式,以及攻击过程中产生的日志信息数据传递至所述任务评估单元。
第二方面,本发明实施例提供一种云原生容器防御措施的验证方法,所述云原生容器防御措施的验证方法应用于所述云原生容器防御措施的验证系统,所述云原生容器防御措施的验证方法包括:
获取来自管理模块下发的攻击任务及相应的任务执行参数,并根据任务执行参数判断本地是否存在所述攻击任务需要的镜像文件以及攻击向量文件;其中,所述任务执行参数至少包括任务ID、攻击向量ID、攻击向量名称、反弹shell服务端口以及WebShell后门服务端口;
根据所述反弹shell服务端口以及WebShell后门服务端口提供反弹shell服务和WebShell后门服务;
建立通信接口,并通过通信接口发送攻击任务以及任务执行参数至执行模块,以及基于从执行模块接收的回显数据和日志对攻击任务进行评估,将任务评估结果回传至管理模块进行展示。
综上所述,本发明的有益效果为:
通过管理模块向代理模块下发攻击任务以及任务执行参数,代理从而能够根据任务执行参数判断是否需要相应的攻击任务的所需要的攻击向量文件,代理模块接收到攻击任务及任务执行参数之后执行生成攻击脚本和payload文动作、启动反弹shell服务和WebShell后门服务的动作、向执行模块传递攻击任务及任务执行参数的动作、以及基于从执行模块接收的回显数据和日志对攻击任务进行评估的动作;执行模块通过访问反弹shell服务和WebShell后门服务执行攻击脚本,从而会得到回显数据和攻击过程中产生的日志,并将回显数据和日志传递到代理模块进行评估,代理模块将任务评估结果回传到管理模块进行展示,从而能够验证云原生容器中部署的防御手段是否有效。
上述说明仅是本发明的技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
图1是本发明实施例的云原生容器防御措施的验证系统的示意图;
图2是本发明实施例的云原生容器防御措施的验证方法的流程图。
具体实施方式
在介绍本申请方案之前,首先对本文中涉及到的名词进行解释。
反弹shell服务:通过在受害者计算机上运行一个程序(称为“后门”),将计算机的控制权传递给攻击者,攻击者可以使用该程序在远程计算机上执行命令并访问其文件系统、网络接口等资源。
WebShell后门服务:一种特殊的恶意软件,它可以在受害者的服务器上执行恶意代码,从而控制该服务器,WebShell通常可以通过隐藏在合法网页中的恶意代码来传播,攻击者可以通过在受害者的网页中插入恶意代码来感染服务器。WebShell可以导致服务器被完全控制,攻击者可以在服务器上执行任意命令,窃取敏感信息,或者破坏数据等。
payload文件:在计算机网络中,payload是一种数据负载,它被封装在IP报文中,并且是IP报文的有效负载。它包含了应用程序的二进制文件和资源文件,是安装应用程序的核心文件。在加密中,payload文件也可以指加密算法中的明文部分,即需要被保护的数据。因此是指携带有效信息的数据部分,与协议本身无关。
为了使本发明的内容能更容易被清楚的理解,下面根据具体实施例并结合附图,对本发明作进一步说明。
为解决背景技术中的问题,如图1所示,图1是本发明一种云原生容器防御措施的验证系统的示意图,该系统包括:
管理模块、代理模块以及执行模块,管理模块用于向代理模块下发攻击任务及相应的任务执行参数,以及基于从代理模块接收的任务评估结果展示攻击任务的执行情况;其中,任务执行参数至少包括任务ID、攻击向量ID、攻击向量名称、反弹shell服务端口以及WebShell后门服务端口;代理模块用于从管理模块接收并响应于攻击任务及任务执行参数执行以下动作:生成攻击脚本和payload,启动反弹shell服务和WebShell后门服务,向执行模块传递攻击任务及任务执行参数,以及基于从执行模块接收的回显数据和日志对攻击任务进行评估,并将任务评估结果回传至管理模块;执行模块用于从代理模块接收并响应于攻击任务及任务执行参数执行以下动作:从代理模块下载攻击脚本和payload,并通过访问反弹shell服务和WebShell后门服务执行攻击脚本,以及将攻击脚本执行的回显数据和攻击过程中产生的日志传递至代理模块。
本发明实施例中,上述管理模块201可以是一个可视化的管理平台,用户可以在该平台进行操作对云原生容器进行攻击以及攻击后结果的展示,该管理模块201配置有数据库,可以存储攻击任务、任务执行参数、攻击任务的攻击情况等,用于可以在管理模块进行自定义配置攻击脚本,从而能够验证容器中的防御手段是否全面化以及防御的效果如何,上述任务执行参数可以包括任务ID、攻击向量ID、攻击向量名称、攻击向量执行参数、文件名称集合、挂载目录集合、权限列表、反弹shell服务端口、WebShell后门服务端口、Agent端IP以及端口信息、ATT&CK战术(网络安全的框架,其目的是描述和系统化黑客攻击的方法和技术)、请求token等信息,上述任务执行参数可以由用户输入或从预存的数据库进行导入。通过将上述各种攻击任务以及任务执行参数发送至代理模块,代理模块接收到上述各种的任务执行参数之后,再根据任务ID、攻击向量ID作为检索字段,查找本地是否具有与该任务ID以及攻击向量ID相对应的镜像文件和攻击向量文件(即为攻击任务所需要的镜像文件和攻击向量文件),如果本地不存在相应的镜像文件和攻击向量文件,则连接管理模块进行下载,代理模块根据接收到的任务执行参数,同时根据镜像文件和攻击向量文件生成攻击脚本和payload文件,并获取反弹shell服务端口和WebShell后门服务端口,启动相对应的服务,具体的,该服务为反弹shell服务和WebShell后门服务,通过开启反弹shell服务和WebShell后门服务能够便于执行模块在执行攻击脚本的时候能够触发云原生容器安全防护设备的检测和拦截,若没有检测到或者拦截成功则说明云原生的防御措施的效果不佳,则生成回显数据和攻击过程中产生的日志回传到代理模块进行评估,并将评估结果发送到管理模块进行展示,从而能够便于人们判断被验证的云原生容器防御措施的有效性的好坏。
具体的,上述执行模块与代理模块建立通信并接收攻击攻击任务和任务执行参数,并根据攻击任务和任务执行参数到代理模块下载相对应的攻击脚本和payload文件并执行,并通过访问反弹shell服务和WebShell后门服务执行攻击脚本,以及将攻击脚本执行的回显数据和攻击过程中产生的日志传递至代理模块,在执行回程中如果失败了则说明被云原生容器安全防护设备检测被拦截到了,同时通过生成日志文件至代理模块,代理模块会接收到回显数据和日志并进行攻击任务的评估,并将任务评估结果传递到管理模块,管理模块接收任务评估结果并展示攻击任务的执行情况,该攻击脚本如果执行失败,从而说明该容器的防御措施效果能够防御用户当前选择的任务攻击脚本,说明该云原生容器防御措施较佳。
进一步的,上述代理模块202包括代理子模块、服务子模块、第一通信单元以及第一发送单元,代理子模块用于从管理模块接收攻击任务以及任务执行参数,并根据任务执行参数判断本地是否存在攻击任务需要的的镜像文件以及攻击向量文件,以及基于从执行模块接收的回显数据和攻击过程中产生的日志;服务子模块用于为执行模块提供文件下载服务、执行结果分析服务、反弹shell服务以及WebShell后门服务;第一通信单元用于与执行模块发送通信请求以及身份标识码;第一发送单元用于将攻击任务以及任务执行参数发送至执行模块。
本发明实施例中,上述代理子模块用于从管理模块接收任务执行参数,并根据任务执行参数判断本地是否存在攻击任务所需要的镜像文件以及攻击向量文件,上述镜像文件可以是指Shell脚本等恶意代码文件,攻击向量文件可以是指攻击手段、攻击方式等等文件资源,通过任务执行参数判断本地是否具有相应的镜像文件以及攻击向量文件,从而能够在生成攻击脚本和payload文件,若本地存在,则直接生成攻击脚本和payload文件,若本地不存在,则去管理模块下载相对应的镜像文件以及攻击向量文件,同时代理子模块还用于从执行模块接收回显数据和攻击过程中产生的日志并进行评估,再将评估结果回传到管理模块进行展示,上述服务子模块是用于为执行模块来提供文件下载服务、执行结果分析服务、反弹shell服务以及WebShell后门服务等,上述文件下载服务用于为执行模块提供下载攻击脚本的服务,上述执行结果分析服务用于在执行模块执行完攻击脚本之后将执行情况以回显数据和日志进行分析,从而能够生成任务评估结果,同时通过设置第一通信单元与执行模块进行建立通信,具体的,通过发送通信请求和身份标识码到执行模块建立通信,具体的,还需要验证身份标识码的身份信息才能与之建立通信,否则拒绝连接,从而能够提高安全性。
可选的,代理子模块包括第一接收单元、第二接收单元、判断单元以及下载单元,第一接收单元用于从管理模块接收任务ID、攻击向量ID以及攻击向量名称;第二接收单元用于接收从执行模块传递的回显数据和攻击过程中产生的日志;判断单元用于根据攻击向量ID以及攻击向量名称判断本地是否存在攻击任务所需要的镜像文件以及攻击向量文件;下载单元根据攻击向量ID以及攻击向量名称到管理模块下载镜像文件以及攻击向量文件。
本发明实施例中,上述第一接收单元用于接收任务ID、攻击向量ID以及攻击向量名称,通过第一接收单元进行接收并进行验证,能够使代理模块可以与执行模块进行通信交互,接收任务执行参数并执行相应的操作,第一接收单元还可以将执行结果和回显数据传递给管理模块,以便展示给用户判断该云原生容易的防御措施是否有效;上述判断单元用于根据攻击向量的ID判断本地是否存在攻击任务需要的镜像文件以及攻击向量文件,具体的,通过将攻击向量的ID作为检索字段,并且每个镜像文件和攻击向量文件都具有与攻击任务对应的攻击向量ID,通过匹配,即可判断本地是否有镜像文件和攻击向量文件,若本地存在,则直接生成攻击脚本和payload文件,通过上述进行判断本地是否具有镜像文件和攻击向量文件能够在进行任务攻击的时候能够减少内存的占用,从而使得云原生容器防御措施的验证系统在进行模拟攻击的时候响应速度的更快;上述下载单元,用于根据攻击向量的ID以及攻击向量名称到管理模块进行下载对应的镜像包以及攻击文件,具体的,通过访问管理模块的攻击文件的下载服务接口,从而能够能够下载所需要的镜像包以及攻击文件。
可选的,服务子模块包括文件下载服务单元、任务评估单元以及第二发送单元,文件下载服务单元用于根据镜像文件以及攻击向量文件进行整合并生成攻击脚本和payload文件,以及为执行模块提供攻击脚本以及payload文件的下载服务;任务评估单元用于根据从执行模块接收的回显数据和日志进行攻击任务评估,并生成任务评估结果;第二发送单元用于将任务评估单元生成的任务评估结果发送至管理模块。
本发明实施例中,上述文件下载服务单元主要是根据镜像文件以及攻击向量文件进行整合,并通过预设的策略生成攻击脚本和payload文件,具体的,可以通过使用ATT&CK框架并结合镜像文件和攻击向量文件来生成攻击脚本和payload文件,同时给执行模块提供一个下载攻击脚本以及payload文件的接口,上述任务评估单元用于根据回显数据和日志进行攻击任务评估,具体的,由于回显数据和攻击过程中的日志会记录攻击时的情况,例如,攻击某个节点成功,攻击某个节点失败等,通过任务评估单元对回显数据和日志进行评估,从而能够生成评估结果;进一步的,再通过第二发送单元将任务评估结果发送至管理模块,从而通过管理模块的攻击结果展示单元进行展示,从而能够便于用户及时对攻击情况进行获取,从而能够验证云原生容器的防御措施是否有效。
可选的,管理模块包括任务下发单元和攻击结果展示单元,任务下发单元,用于根据用户选择需要的攻击任务下发相应的任务ID、攻击向量ID以及攻击向量名称至代理模块;攻击结果展示单元配置有展示模型,攻击结果展示单元用于根据任务评估结果导入至展示模型中以展示用户选择的攻击任务的执行情况。
本实施例中,上述任务下发单元可以通过用户选择需要的攻击任务进行下发相应的任务ID、攻击向量ID以及攻击向量名称,通过将上述的任务ID、攻击向量ID以及攻击向量名称发送至代理模块,能够使得代理模块获取到上述任务ID、攻击向量ID以及攻击向量名称之后进行查询本地是否有相对应的镜像包以及攻击文件,上述攻击结果展示单元配置有展示模型,具体的,展示模型可以为预先设置的,通过将任务评估结果导入到展示模型中,从而可以展示在对云原生攻击的过程中的攻击情况进行展示,从而能够便于用户进行判断云原生容器的防御措施效果。
可选的,执行模块包括第二通信单元、文件下载单元、执行单元、访问单元以及回传单元,第二通信单元用于接收第一通信单元发出的通信请求和身份标识码以及根据该身份标识码进行认证,并与第一通信单元建立通信;文件下载单元用于从文件下载服务单元中下载攻击脚本以及payload文件;执行单元用于根据攻击脚本以及payload文件开始执行任务攻击,其中,任务攻击包括黑客攻击、信息收集、网络探测、容器逃逸以及信息窃取;访问单元用于将执行的任务攻击访问反弹shell服务以及WebShell后门服务,以触发云原生容器安全防护设备的检测与拦截;回传单元用于根据将执行单元的执行情况以回显数据的形式,以及攻击过程中产生的日志信息数据传递至任务评估单元。
本实施例中,上述第二通信单元通过发出通信请求给第一通信单元,第一通信单元进行响应,同时第二通信单元还会发送一个身份标识码,第一通信单元获取到该第一身份识别码后能够进行身份认证,进而能够与第一通信单元建立通信,从而能够进行数据交互和传递,通过进行身份认证,从而能够提高连接的安全性,避免一些其他的模块进行连接,从而在进行验证该云原生容器的防御是能够提高安全性的;上述文件下载单元用于从文件下载服务单元中下载攻击脚本和payload文件,具体的,在执行单元进行开始攻击前,由于该两个文件是不能实时保存的,因此会进行下载攻击脚本和paload文件进行攻击,同时通过设置访问单元能够访问反弹shell服务以及WebShell后门服务,从而能够触发云原生容器安全防护设备的检测与拦截,进而能够判断云原生容器的安全防护设备与拦截的效果,同时通过设置回传单元回传执行情况并且以回显数据的形式,以及攻击过程中产生的日志信息数据进行回传到任务评估单元进行攻击任务的评估,生成任务评估结果,并发送到管理模块进行展示,进而能够验证云原生容器的防御措施效果。
如图2所示,图2是本发明一种云原生容器防御措施的验证方法的流程图,该方法可以应用于一种云原生容器防御措施的验证系统,上述该方法包括以下步骤:
101、获取来自管理模块下发的攻击任务及相应的任务执行参数,并根据任务执行参数判断本地是否存在攻击任务需要的镜像文件以及攻击向量文件;其中,任务执行参数至少包括任务ID、攻击向量ID、攻击向量名称、反弹shell服务端口以及WebShell后门服务端口。
本发明实施例中,上述首先通过获取管理模块下发的攻击任务和任务执行参数,从而能够根据上述的任务执行参数判断需要执行的攻击任务和攻击手段,同时能够根据任务执行参数判断本地是否存在攻击任务需要的镜像文件以及攻击向量文件,若存在,则直接进行生成攻击脚本和payload文件,以给于执行模块进行攻击,若不存在,则去管理平台进行下载再生成攻击脚本和payload文件,其中,通过攻击向量ID以及攻击向量名称来判断本地是否预存攻击任务所需要的镜像文件以及攻击向量文件,从而避免了重复下载而造成服务器的内存飙升,从而提高了系统的响应时间。
102、根据反弹shell服务端口以及WebShell后门服务端口提供反弹shell服务和WebShell后门服务。
上述通过获取反弹shell服务端口和WebShell后门服务端口,用户能够开启相对应的反弹shell服务和WebShell后门服务,从而为执行模块进行执行攻击的时候能够进行访问,进而触发云原生容器的安全设备和防护措施。
103、建立通信接口,并通过通信接口发送攻击任务以及任务执行参数至执行模块,以及基于从执行模块接收的回显数据和日志对攻击任务进行评估,将任务评估结果回传至管理模块进行展示。
上述首先通过与执行模块建立通信,并通过通信接口接收来自执行模块的回显数据和日志,并根据回显数据和日志进行攻击任务评估,并将任务评估结果回传到管理模块进行展示,从而能够便于用户进行及时观察到攻击情况并能够根据执行情况反映出该云原生容器的防御措施的有效性。
本具体实施方式的实施例均为本申请的较佳实施例,并非依此限制本申请的保护范围,其中相同的零部件用相同的附图标记表示。故:凡依本申请的结构、形状、原理所做的等效变化,均应涵盖于本申请的保护范围之内。

Claims (7)

1.一种云原生容器防御措施的验证系统,其特征在于,包括:
管理模块,用于向代理模块下发攻击任务及相应的任务执行参数,以及基于从代理模块接收的任务评估结果展示攻击任务的执行情况;其中,所述任务执行参数至少包括任务ID、攻击向量ID、攻击向量名称、反弹shel l服务端口以及WebShel l后门服务端口;
代理模块,用于从管理模块接收并响应于所述攻击任务及任务执行参数执行以下动作:生成攻击脚本和payload文件,启动反弹shel l服务和WebShel l后门服务,向执行模块传递攻击任务及任务执行参数,以及基于从执行模块接收的回显数据和日志对攻击任务进行评估,并将任务评估结果回传至管理模块;
执行模块,用于从代理模块接收并响应于所述攻击任务及任务执行参数执行以下动作:从代理模块下载攻击脚本和payload文件,并通过访问所述反弹shel l服务和WebShell后门服务执行所述攻击脚本,以及将攻击脚本执行的回显数据和攻击过程中产生的日志传递至代理模块。
2.根据权利要求1所述的一种云原生容器防御措施的验证系统,其特征在于,所述代理模块包括:
代理子模块,用于从所述管理模块接收攻击任务以及任务执行参数,并根据所述任务执行参数判断本地是否存在所述攻击任务需要的的镜像文件以及攻击向量文件,以及基于从所述执行模块接收回显数据和攻击过程中产生的日志;
服务子模块,用于为执行模块提供文件下载服务、执行结果分析服务、反弹shel l服务以及WebShel l后门服务;
第一通信单元,用于与所述执行模块发送通信请求以及身份标识码;
第一发送单元,用于将攻击任务以及任务执行参数发送至执行模块。
3.根据权利要求2所述的一种云原生容器防御措施的验证系统,其特征在于,所述代理子模块包括:
第一接收单元,用于从所述管理模块接收任务ID、攻击向量ID以及攻击向量名称;
第二接收单元,用于接收从所述执行模块传递的回显数据和攻击过程中产生的日志;
判断单元,用于根据所述攻击向量ID以及所述攻击向量名称判断本地是否存在所述攻击任务所需要的镜像文件以及攻击向量文件;
下载单元,根据攻击向量ID以及攻击向量名称到管理模块下载镜像文件以及攻击向量文件。
4.根据权利要求3所述的一种云原生容器防御措施的验证系统,其特征在于,所述服务子模块包括:
文件下载服务单元,用于根据镜像文件以及攻击向量文件进行整合并生成攻击脚本和payload文件,以及为所述执行模块提供攻击脚本以及payload文件的下载服务;
任务评估单元,用于根据从所述执行模块接收的回显数据和日志进行攻击任务评估,并生成任务评估结果;
第二发送单元,用于将所述任务评估单元生成的任务评估结果发送至管理模块。
5.根据权利要求4所述的一种云原生容器防御措施的验证系统,其特征在于,所述管理模块包括:
任务下发单元,用于根据用户选择需要的攻击任务下发相应的任务ID、攻击向量ID以及攻击向量名称至代理模块;
攻击结果展示单元,配置有展示模型,所述攻击结果展示单元用于根据所述任务评估结果导入至所述展示模型中以展示用户选择的攻击任务的执行情况。
6.根据权利要求4所述的一种云原生容器防御措施的验证系统,其特征在于,所述执行模块包括:
第二通信单元,用于接收所述第一通信单元发出的通信请求和身份标识码以及根据该身份标识码进行认证,并与第一通信单元建立通信;
文件下载单元,用于从所述文件下载服务单元中下载攻击脚本以及payload文件;
执行单元,用于根据攻击脚本以及payload文件开始执行任务攻击,其中,所述任务攻击包括黑客攻、信息收集、网络探测、容器逃逸以及信息窃取;
访问单元,用于将执行的任务攻击访问反弹shel l服务以及WebShel l后门服务,以触发云原生容器安全防护设备的检测与拦截;
回传单元,用于根据将执行单元的执行情况以回显数据的形式,以及攻击过程中产生的日志信息数据传递至所述任务评估单元。
7.一种云原生容器防御措施的验证方法,其特征在于,所述云原生容器防御措施的验证方法应用于所述云原生容器防御措施的验证系统,所述云原生容器防御措施的验证方法包括:
获取来自管理模块下发的攻击任务及相应的任务执行参数,并根据任务执行参数判断本地是否存在所述攻击任务需要的镜像文件以及攻击向量文件;其中,所述任务执行参数至少包括任务ID、攻击向量ID、攻击向量名称、反弹shel l服务端口以及WebShel l后门服务端口;
根据所述反弹shel l服务端口以及WebShel l后门服务端口提供反弹shel l服务和WebShel l后门服务;
建立通信接口,并通过通信接口发送攻击任务以及任务执行参数至执行模块,以及基于从执行模块接收的回显数据和日志对攻击任务进行评估,将任务评估结果回传至管理模块进行展示。
CN202311713126.9A 2023-12-13 2023-12-13 一种云原生容器防御措施的验证系统及方法 Pending CN117668832A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311713126.9A CN117668832A (zh) 2023-12-13 2023-12-13 一种云原生容器防御措施的验证系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311713126.9A CN117668832A (zh) 2023-12-13 2023-12-13 一种云原生容器防御措施的验证系统及方法

Publications (1)

Publication Number Publication Date
CN117668832A true CN117668832A (zh) 2024-03-08

Family

ID=90082456

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311713126.9A Pending CN117668832A (zh) 2023-12-13 2023-12-13 一种云原生容器防御措施的验证系统及方法

Country Status (1)

Country Link
CN (1) CN117668832A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102624570A (zh) * 2012-04-27 2012-08-01 杭州东信北邮信息技术有限公司 实现对web服务器可用性进行检测的监控系统和方法
US11201896B1 (en) * 2019-05-07 2021-12-14 Rapid7, Inc. Vulnerability validation using lightweight offensive payloads
CN114826787A (zh) * 2022-06-29 2022-07-29 北京长亭未来科技有限公司 一种针对后门攻击的主动对抗方法、系统、设备及介质
CN115659343A (zh) * 2022-12-27 2023-01-31 北京知其安科技有限公司 一种模仿真实攻击的容器攻击模拟方法、检测方法和终端

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102624570A (zh) * 2012-04-27 2012-08-01 杭州东信北邮信息技术有限公司 实现对web服务器可用性进行检测的监控系统和方法
US11201896B1 (en) * 2019-05-07 2021-12-14 Rapid7, Inc. Vulnerability validation using lightweight offensive payloads
CN114826787A (zh) * 2022-06-29 2022-07-29 北京长亭未来科技有限公司 一种针对后门攻击的主动对抗方法、系统、设备及介质
CN115659343A (zh) * 2022-12-27 2023-01-31 北京知其安科技有限公司 一种模仿真实攻击的容器攻击模拟方法、检测方法和终端

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
张红瑞;: "WebShell原理分析与防范实践", 现代企业教育, no. 20, 28 October 2013 (2013-10-28) *
赵运弢;徐春雨;薄波;刘书林;: "基于流量的WebShell行为分析与检测方法", 网络安全技术与应用, no. 04, 15 April 2018 (2018-04-15) *

Similar Documents

Publication Publication Date Title
CN111651757B (zh) 攻击行为的监测方法、装置、设备及存储介质
EP3219068B1 (en) Method of identifying and counteracting internet attacks
CN107077410B (zh) 分析客户端应用行为以检测异常并且阻止访问
Xing et al. Integuard: Toward automatic protection of third-party web service integrations
WO2018188558A1 (zh) 账号权限的识别方法及装置
Liu et al. Veriui: Attested login for mobile devices
CN108989355B (zh) 一种漏洞检测方法和装置
CN109617917A (zh) 地址虚拟化Web应用安全防火墙方法、装置和系统
CN109600371A (zh) 一种网络层漏洞检测系统及方法
EP3885946A1 (en) Method of monitoring and protecting access to an online service
CN110968872A (zh) 文件漏洞的检测处理方法、装置、电子设备及存储介质
US20180302437A1 (en) Methods of identifying and counteracting internet attacks
CN103971059B (zh) 一种Cookie本地存储与使用方法
CN112118238B (zh) 认证登录的方法、装置、系统、设备及存储介质
CN111460410A (zh) 服务器登录方法、装置、系统与计算机可读存储介质
CN110602134B (zh) 基于会话标签识别非法终端访问方法、装置及系统
Ravindran et al. A Review on Web Application Vulnerability Assessment and Penetration Testing.
CN115694928A (zh) 全舰计算环境云端蜜罐、攻击事件感知和行为分析方法
CN112929388B (zh) 网络身份跨设备应用快速认证方法和系统、用户代理设备
EP3885945B1 (en) Method of monitoring and protecting access to an online service
CN109495458A (zh) 一种数据传输的方法、系统及相关组件
CN107294994B (zh) 一种基于云平台的csrf防护方法和系统
CN117668832A (zh) 一种云原生容器防御措施的验证系统及方法
CN118202350A (zh) 检测并防止跨站点请求伪造缓解特征的不一致使用
CN107294920B (zh) 一种反向信任登录方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination