最新中国发明专利
/
2022-12-09

一种独立动态的网络安全靶场系统、设备及其应用方法转让专利

申请号 : CN202211050820.2

文献号 : CN115225410B

文献日 :

基本信息:

PDF:

法律信息:

相似专利:

发明人 : 黄乐郑华东吴海波

申请人 : 四川安洵信息技术有限公司

摘要 :

本发明涉及一种独立动态的网络安全靶场系统、设备及其应用方法,涉及网络安全技术领域,其中,网络安全靶场系统包括:身份认证模块,配置为响应于用户信息的输入,验证用户身份;功能启用模块,配置为响应于用户身份验证的通过,启动网络安全靶场系统以为用户提供靶场应用服务;管理模块,用于存储用于模拟网络攻击的攻击工具,并配置为响应于所述靶场应用服务的启动,提供至少一种所述攻击工具至具有权限的至少一个执行主机处,其中,所述执行主机仅在执行攻击任务时才在预设时间周期内加载与所述攻击工具相关的数据。本发明在各执行主机执行完攻击任务后便执行销毁程序,使攻击工具停留在虚拟环境内,以达成对攻击工具的动用管理。

权利要求 :

1.一种独立动态的网络安全靶场系统,其特征在于,包括:

身份认证模块(10),配置为响应于用户信息的输入,验证用户身份;

功能启用模块(20),配置为响应于用户身份验证的通过,启动网络安全靶场系统以为用户提供靶场应用服务;

管理模块(50),用于存储用于模拟网络攻击的攻击工具,并配置为响应于所述靶场应用服务的启动,提供至少一种所述攻击工具至具有权限的至少一个执行主机处,其中,所述执行主机仅在执行攻击任务时才在预设时间周期内加载与所述攻击工具相关的数据,所述管理模块(50)通过搭建攻击脚本需要运行的环境的执行主机来执行所述攻击工具的配置,并在使所述执行主机搭载的攻击脚本得到与其运算能力相符的加密的状态下,指示相应至少一个执行主机执行对目标靶机的攻击任务,所述管理模块(50)以非对称加密的压缩包+脚本的方式向搭建有攻击脚本需要运行环境的至少一个攻击节点或计算节点处的执行主机提供至少一种类型的攻击工具,各攻击节点或计算节点处的执行主机将在执行完攻击任务后执行针对攻击工具的销毁程序,所述管理模块(50)管理多种类型的攻击工具,每种攻击工具在攻击形式及相应的攻击力度方面有所不同,多个所述执行主机经管理模块(50)授权具有不同的攻击权限。

2.根据权利要求1所述的网络安全靶场系统,其特征在于,还包括:第一重启子模块(30),配置为根据各计算节点的性能表现,为不满足预设性能指标的至少一个计算节点启动新的计算节点,并为该新的计算节点配置网络安全靶场系统的启动进程;

第二重启子模块(40),配置为向至少一个处于运行崩溃状态的靶场应用服务提供重启服务。

3.根据权利要求2所述的网络安全靶场系统,其特征在于,所述身份认证模块(10)包括:请求子模块(101),用于通过网络客户端向认证端发送身份验证请求;

获取子模块(102),用于所述认证端根据所述身份验证请求获取用户名及密码,并将用户名及密码以验证请求报文的形式发送至认证服务器;

确认子模块(103),用于所述认证服务器判断验证请求报文与数据库信息间的一致性,并在所述验证请求报文与数据库信息一致时发送报文并通过网络接入设备启动网络安全靶场系统的接通端口。

4.根据权利要求3所述的网络安全靶场系统,其特征在于,所述功能启用模块(20)包括:资源配置子模块(201),配置为提供用于构建所述靶场应用服务的虚拟资源;

场景构建子模块(202),配置为基于所述资源配置子模块(201)提供的虚拟资源构建靶场应用服务,并将所述靶场应用服务提供给身份验证通过的用户。

5.一种独立动态的网络安全靶场系统的应用方法,其特征在于,包括:响应于用户信息的输入,验证用户身份;

响应于用户身份验证的通过,启动网络安全靶场系统以为用户提供靶场应用服务;

响应于所述靶场应用服务的启动,提供至少一种攻击工具至具有权限的至少一个执行主机处,并在使所述执行主机搭载的攻击脚本得到与其运算能力相符的加密的状态下,指示至少一个所述执行主机执行对目标靶机的攻击任务,其中,所述执行主机仅在执行攻击任务时才在预设时间周期内加载与所述攻击工具相关的数据,通过搭建攻击脚本需要运行的环境的执行主机来执行所述攻击工具的配置,并在使所述执行主机搭载的攻击脚本得到与其运算能力相符的加密的状态下,指示相应至少一个执行主机执行对目标靶机的攻击任务,以非对称加密的压缩包+脚本的方式向搭建有攻击脚本需要运行环境的至少一个攻击节点或计算节点处的执行主机提供至少一种类型的攻击工具,各攻击节点或计算节点处的执行主机将在执行完攻击任务后执行针对攻击工具的销毁程序,多个所述执行主机经授权具有不同的攻击权限,所述攻击权限的不同包括攻击形式及相应的攻击力度方面的不同。

6.根据权利要求5所述的网络安全靶场系统的应用方法,其特征在于,还包括:根据各计算节点的性能表现,为不满足预设性能指标的至少一个计算节点启动新的计算节点,并为该新的计算节点配置网络安全靶场系统的启动进程;

向至少一个处于运行崩溃状态的靶场应用服务提供重启服务。

7.根据权利要求6所述的网络安全靶场系统的应用方法,其特征在于,所述响应于用户信息的输入,验证用户身份包括:通过网络客户端向认证端发送身份验证请求;

所述认证端根据所述身份验证请求获取用户名及密码,并将用户名及密码以验证请求报文的形式发送至认证服务器;

所述认证服务器判断验证请求报文与数据库信息间的一致性,并在所述验证请求报文与数据库信息一致时发送报文并通过网络接入设备启动网络安全靶场系统的接通端口。

8.根据权利要求7所述的网络安全靶场系统的应用方法,其特征在于,所述响应于用户身份验证的通过,启动网络安全靶场系统以为用户提供靶场应用服务包括:提供用于构建所述靶场应用服务的虚拟资源;

基于所述虚拟资源构建靶场应用服务,并将所述靶场应用服务提供给身份验证通过的用户。

9.一种电子设备,其特征在于,包括:

一个或多个处理器(301);

存储器(302),用于存储一个或多个计算机程序;

当所述一个或多个计算机程序被所述一个或多个处理器(301)执行,使得所述一个或多个处理器(301)实现如权利要求5 8任一项所述的网络安全靶场系统的应用方法。

~

说明书 :

一种独立动态的网络安全靶场系统、设备及其应用方法

技术领域

[0001] 本发明涉及网络安全技术领域,尤其涉及一种独立动态的网络安全靶场系统、设备及其应用方法。

背景技术

[0002] 随着数字经济的不断发展,5G、物联网、大数据、云计算等新技术的普及,新兴数字化产业规模持续扩大,对网络安全的建设提出了更高的要求。信息产业和传统产能加速融合,网络安全已成为护航经济发展、保障社会安全的重要基石。
[0003] 当前各国数字经济占各行业增加值比重均处于提升状态,加快数字经济战略部署已成为各方共识。数字化将加速升级传统产业,政府和企业将成为主角。网络安全将升级为数字化安全,安全将成为“新基建”的基建,成为各行业数字化的刚需。
[0004] 目前的网络安全队伍建设只专注于理论学习,不注重理论与实践相结合,无实战场景攻防经验,而且大多数靶场平台仍然以理论知识为主,机械地进行答题等操作,完全不符合网络实战攻防要求,对于技能提升毫无作用。
[0005] 为了满足当前网络安全技术发展趋势,打造专业化的网络安全队伍,建设一个专业的网络安全训练平台迫在眉睫,通过专业平台的建设对网络攻防技术进行革新,通过虚拟平台技术手段,可以在如同实战的环境下帮助网络安全队伍有效地提高实战能力与积累实战经验。
[0006] 此外,一方面由于对本领域技术人员的理解存在差异;另一方面由于申请人做出本发明时研究了大量文献和专利,但篇幅所限并未详细罗列所有的细节与内容,然而这绝非本发明不具备这些现有技术的特征,相反本发明已经具备现有技术的所有特征,而且申请人保留在背景技术中增加相关现有技术之权利。

发明内容

[0007] 针对当前的网络安全队伍技术人员普遍存在技术能力不足、渗透经验欠缺的现状,本发明提供了一种独立动态的网络安全靶场系统,为网络安全技术人员提供如同实战的环境,帮助网络安全队伍有效地提高实战能力,满足日常的网络安全队伍的训练要求,让技术人员深刻领会网络安全实战场景,并且能够基于不断更新的实战环境,掌握和学习前沿的网络安全技术。
[0008] 为实现上述目的,本发明提供了一种独立动态的网络安全靶场系统,包括:
[0009] 身份认证模块,配置为响应于用户信息的输入,验证用户身份;
[0010] 功能启用模块,配置为响应于用户身份验证的通过,启动网络安全靶场系统以为用户提供靶场应用服务;
[0011] 管理模块,用于存储用于模拟网络攻击的攻击工具,并配置为响应于靶场应用服务的启动,提供至少一种攻击工具至具有权限的至少一个执行主机处,其中,执行主机仅在执行攻击任务时才在预设时间周期内加载与攻击工具相关的数据。本发明的网络安全靶场系统的执行主机将以系统权限登录执行节点的攻击主机,且针对执行主机所用的攻击工具,优选以加密加壳的措施将其提供至各执行主机,由此可以避免经加密的攻击工具及工具数据被攻击节点处的执行主机所泄露。进一步地,当以非对称加密的压缩包+脚本的方式向搭建有攻击脚本需要运行环境的至少一个攻击节点或计算节点处的执行主机提供至少一种类型的攻击工具时,执行主机处的参与人员无法从庞大数据中获取攻击工具的原始数据包,各攻击节点或计算节点处的执行主机将在执行完攻击任务后便执行销毁程序,由此可使攻击工具停留在虚拟环境内,从而达成对攻击工具的动用管理。
[0012] 优选地,本发明中,管理模块通过搭建攻击脚本需要运行的环境的执行主机来执行攻击工具的配置,并在使执行主机搭载的攻击脚本得到与其运算能力相符的加密的状态下,指示相应至少一个执行主机执行对目标靶机的攻击任务。
[0013] 优选地,本发明的网络安全靶场系统还可包括:
[0014] 第一重启子模块,配置为根据各计算节点的性能表现,为不满足预设性能指标的至少一个计算节点启动新的计算节点,并为该新的计算节点配置网络安全靶场系统的启动进程。
[0015] 第二重启子模块,配置为向至少一个处于运行崩溃状态的靶场应用服务提供重启服务。
[0016] 优选地,本发明的身份认证模块可包括:
[0017] 请求子模块,用于通过网络客户端向认证端发送身份验证请求。
[0018] 获取子模块,用于认证端根据身份验证请求获取用户名及密码,并将用户名及密码以验证请求报文的形式发送至认证服务器。
[0019] 确认子模块,用于认证服务器判断验证请求报文与数据库信息间的一致性,并在验证请求报文与数据库信息一致时发送报文并通过网络接入设备启动网络安全靶场系统的接通端口。
[0020] 优选地,本发明的功能启用模块可包括:
[0021] 资源配置子模块,配置为提供用于构建靶场应用服务的虚拟资源。
[0022] 场景构建子模块,配置为基于资源配置子模块提供的虚拟资源构建靶场应用服务,并将靶场应用服务提供给身份验证通过的用户。
[0023] 优选地,本发明提供一种网络安全靶场系统的应用方法,可以包括:
[0024] 响应于用户信息的输入,验证用户身份。
[0025] 响应于用户身份验证的通过,启动网络安全靶场系统以为用户提供靶场应用服务。
[0026] 响应于靶场应用服务的启动,提供至少一种攻击工具至具有权限的至少一个执行主机处,并在使执行主机搭载的攻击脚本得到与其运算能力相符的加密的状态下,指示至少一个执行主机执行对目标靶机的攻击任务,其中,执行主机仅在执行攻击任务时才在预设时间周期内加载与攻击工具相关的数据。
[0027] 优选地,本发明的网络安全靶场系统的应用方法还包括:
[0028] 根据各计算节点的性能表现,为不满足预设性能指标的至少一个计算节点启动新的计算节点,并为该新的计算节点配置网络安全靶场系统的启动进程。
[0029] 向至少一个处于运行崩溃状态的靶场应用服务提供重启服务。
[0030] 优选地,响应于用户信息的输入,验证用户身份可包括:
[0031] 通过网络客户端向认证端发送身份验证请求。
[0032] 认证端根据身份验证请求获取用户名及密码,并将用户名及密码以验证请求报文的形式发送至认证服务器。
[0033] 认证服务器判断验证请求报文与数据库信息间的一致性,并在验证请求报文与数据库信息一致时发送报文并通过网络接入设备启动网络安全靶场系统的接通端口。
[0034] 优选地,响应于用户身份验证的通过,启动网络安全靶场系统以为用户提供靶场应用服务可包括:
[0035] 提供用于构建所述靶场应用服务的虚拟资源。
[0036] 基于所述虚拟资源构建靶场应用服务,并将所述靶场应用服务提供给身份验证通过的用户。
[0037] 优选地,本发明提供了一种电子设备,包括:
[0038] 一个或多个处理器。
[0039] 存储器,用于存储一个或多个计算机程序。
[0040] 当一个或多个计算机程序被一个或多个处理器执行,使得一个或多个处理器实现如本发明所述的网络安全靶场系统的应用方法。

附图说明

[0041] 图1是本发明提供的一种优选实施方式的网络安全靶场系统的结构示意图;
[0042] 图2是本发明提供的一种优选实施方式的身份认证模块的结构示意图;
[0043] 图3是本发明提供的一种优选实施方式的功能启用模块的结构示意图;
[0044] 图4是本发明提供的一种优选实施方式的电子设备的结构示意图。
[0045] 附图标记列表
[0046] 10:身份认证模块;20:功能启用模块;30:第一重启子模块;40:第二重启子模块;50:管理模块;101:请求子模块;102:获取子模块;103:确认子模块;201:资源配置子模块;
202:场景构建子模块;300:电子设备;301:处理器;302:存储器;303:通信总线;304:通信接口。

具体实施方式

[0047] 下面结合附图进行详细说明。
[0048] 实施例1
[0049] 本发明的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本发明的技术可以采取存储有指令的计算机可读介质上的计算机程序产品的形式,该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。在本发明的上下文中,计算机可读介质可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,计算机可读介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。计算机可读介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD‑ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链路。
[0050] 本发明旨在提供一个专门为网络安全技术人员提供实战演练的平台,可以支持夺旗、攻防、能力验证、应急处理等多种演练模式,实战人员规模无上限,具备真实的各种网络安全实战场景。实战场景可按1:1真实环境进行仿真模拟搭建,满足针对各网络安全用户单位的实战培训需求。支持根据需求对靶场环境自主管理和自主定义,可一键导入各类靶场训练环境,拥有靶场环境管理自主权。另一方面,本发明能够对每一次实战训练和实战演练成绩进行综合分析展示,方便在赛中掌握队伍动态,赛后进行综合分析,方便对队伍整体的技术实力进行认知分析。特别地,为了方便对人员与队伍的管理,本发明的靶场平台设置有人员管理中心,比赛实时大屏可定制,提供智能化的平台运维,可根据实战人员的水平级别自定义平台试题并进行组装,实现多级人员分层分级培养。
[0051] 具体地,本实施例提供了一种独立动态的网络安全靶场系统,如图1所示,可以包括:
[0052] 身份认证模块10,配置为响应于用户信息的输入,验证用户身份。
[0053] 功能启用模块20,配置为响应于用户身份验证的通过,启动网络安全靶场系统以为用户提供对应的服务。
[0054] 根据一种优选实施方式,如图3所示,功能启用模块20可以包括:
[0055] 资源配置子模块201,配置为提供用于构建网络靶场应用的虚拟资源。
[0056] 场景构建子模块202,配置为基于资源配置子模块201提供的虚拟资源构建网络靶场应用,并将网络靶场应用提供给身份验证通过的用户。
[0057] 根据一种优选实施方式,如图1所示,本发明的网络安全靶场系统还可包括:
[0058] 第一重启子模块30,配置为根据各计算节点的性能表现,为不满足预设性能指标的至少一个计算节点启动新的计算节点,并为该新的计算节点配置网络安全靶场系统的启动进程。
[0059] 第二重启子模块40,用于向至少一个处于运行崩溃状态的靶场应用服务提供重启服务。
[0060] 管理模块50,用于存储及授权分发至少一种应用于网络靶场应用的攻击工具。
[0061] 根据一种优选实施方式,身份认证模块10例如可以通过802.1x协议或Portal认证对用户身份进行验证。特别地,802.1x协议是基于以太网端口认证的技术。具体地,如图2所示,身份认证模块10可以包括请求子模块101、获取子模块102以及确认子模块103。
[0062] 根据一种优选实施方式,基于802.1x协议对用户身份进行验证可以按如下步骤完成:
[0063] 请求子模块101通过网络客户端向认证端发送身份验证请求。
[0064] 获取子模块102用于认证端根据身份验证请求获取用户名及密码,并将用户名及密码以验证请求报文的形式发送至认证服务器。
[0065] 确认子模块103用于认证服务器判断验证请求报文与数据库信息间的一致性,若一致,则发送报文并通过网络接入设备启动网络安全靶场系统的接通端口。
[0066] 根据一种优选实施方式,802.1x协议的网络客户端、认证端及网络接入设备间可通过EAPOL、EAP及RADIUS协议交互,以完成身份验证。
[0067] 根据一种优选实施方式,请求子模块101发送的身份验证请求可以是EAPOL‑Start报文的形式。
[0068] 根据一种优选实施方式,认证端根据请求子模块101发送的EAPOL‑Start报文形式的身份验证请求向网络客户端发送EAP‑Request/Identity形式的报文以获取用户名及密码。
[0069] 根据一种优选实施方式,通过Portal对用户身份进行验证可以按如下步骤完成:
[0070] 请求子模块101通过网络客户端向网络接入设备发出网络访问请求,Portal基于该网络访问请求发送用户验证界面至接入客户端。
[0071] 获取子模块102用于通过用户验证界面获取用户名及密码,Portal将以验证请求报文形式编辑的用户名及密码发送至认证服务器。
[0072] 确认子模块103用于认证服务器判断验证请求报文与数据库信息间的一致性,若一致,则发送报文并通过网络接入设备启动网络安全靶场系统的接通端口。
[0073] 根据一种优选实施方式,认证服务器可以是RADIUS认证服务器。进一步地,当认证服务器判定验证请求报文与数据库信息一致时,发送RADIUS‑Success报文以通过网络接入设备启动网络安全靶场系统的接通端口。
[0074] 根据一种优选实施方式,网络客户端为请求接入网络的一方,譬如浏览器。网络接入设备通常可指代交换机、路由器等。
[0075] 根据一种优选实施方式,本发明的网络安全靶场系统或网络安全靶场平台可以包括:
[0076] 用户界面功能部分,其包括用户的登录注册、课程学习、知识练习与测验、实战操作、攻防题引言等部分,即用户的实际操作界面。
[0077] 练习服务部分,其为用户提供日常知识与技能的训练服务。具体地,练习服务部分可以包括模拟或实战视频播放、理论知识练习与测验以及实战仿真等。
[0078] 比赛服务部分,其可为用户提供实战比赛所需服务。具体地,比赛服务部分可以包括选手答题、比赛信息推送、比赛数据备份及恢复以及实时流量监测等。
[0079] 基础服务部分可包括虚拟化管理、数据库访问等。
[0080] 根据一种优选实施方式,用户的登录注册服务可以提供用户注册、登录、找回密码、身份验证等基础服务。
[0081] 根据一种优选实施方式,模拟或实战视频播放服务可以向用户提供实战演示和指导。理论知识练习与测验服务可以为用户提供理论题目的学习测验。实战仿真服务可以为用户提供模拟学习和实战环境,以及提供加密解密、WEB安全、逆向工程、安全编程等各种练习功能。优选地,平台的所有试题可以进行个性化配置,支持针对不同场景进行题目的搭配。实战题目的难易程度可以根据学员自身情况进行设置,平台支持传统理论考试,可以选择客观题(选择、判断、填空)和实战题目组合来对学员进行考核。
[0082] 根据一种优选实施方式,选手答题服务可以记录用户答题情况,获取并统计用户得分情况。比赛信息推送服务可以用于实时展示比赛进度,例如双方得分情况。比赛数据备份及恢复服务可以记录比赛过程中的状态数据,并在比赛出现异常时,调用备份数据迅速恢复比赛数据。实时流量监测服务可以实时监测双方选手的操作机之间的流量交互数据,基于流量交互数据判断比赛结果是否合规。
[0083] 根据一种优选实施方式,本发明的网络安全靶场系统支持或提供多种比赛模式。例如可包括:
[0084] 夺旗模式:夺旗模式为攻击模式,在跟进学员选定符合学员难度的靶机后开启比赛,学员访问靶机利用漏洞获取flag得分。该模式下可以对flag提交次数进行设置,并且可以选择比赛是否有一血加成。
[0085] 攻防模式:攻防模式为红蓝对抗模式。该模式为红队攻击蓝队防守。此模式为两个队伍一个红队一个蓝队。得分主要由裁判端来进行评判。
[0086] 红队:红队通过红队网段对靶机进行攻击,上传报告由裁判来判断是否得分。红队需要对自己上传的webshell的名字和内容截图上传报告。
[0087] 网络:红队网络为正常选手网段,权限只需要能访问对外开放的靶机即可。
[0088] 攻防模式有两种情况:
[0089] ①多个红队攻击一个蓝队,该模式下非独立环境。
[0090] ②一个红队攻击一个蓝队,该模式下为独立环境。
[0091] 蓝队:蓝队主要以找到红队进攻痕迹、上传的木马以及红队攻击过来的IP地址等方式形成报告上传至裁判端进行评判,裁判通过报告对蓝队进行加分,对应红队进行减分。
[0092] 网络:蓝队选手网络需要有能直接访问到靶机的权限,但是不能直接访问到平台。
[0093] 提交报告:功能需要。
[0094] 能力验证模式:该模式为网络安全考试设计,模式可包含正常web题目和内网题目,以及客观题、隐写、流量分析等其他为附件的题目。
[0095] 优选地,该模式中,以提交web、内网题目flag和回答客观题目,以及分析流量和隐写来得分。该模式下可以对flag提交次数进行设置,并且可以选择比赛是否有一血加成。
[0096] 应急处理模式:该模式会将红队攻击后的靶机进行存留,将里面的操作进行留存,输出为题目。或者将攻击流量存为题目,到时候以流量分析形式进行比赛。
[0097] 网络:选手有直接访问到靶机的权限,跟蓝队网络环境一样。
[0098] 根据一种优选实施方式,虚拟化管理服务可提供网络模拟环境的镜像、比赛靶机虚机管理等功能。数据库访问服务支持各类数据的存储及查询功能。
[0099] 根据一种优选实施方式,平台运维智能化,可将防火墙和比赛维护进行单独划分,针对多人独立环境比赛下创建防火的难题,提前将防火墙设置完成,在比赛创建完毕后直接应用到比赛中,减少运维人员的重复操作。
[0100] 根据一种优选实施方式,本发明的网络安全靶场系统可为不同模式提供不同的裁判端。具体地,例如在夺旗模式和能力验证模式下,裁判端可查看比赛情况、发送公告和惩罚,以及对选手进行扣分的操作。另一方面,例如在攻防模式下,裁判可以对红蓝队伍提交的报告进行查看,并且在比赛规则下进行加分和扣分。
[0101] 根据一种优选实施方式,资源配置子模块201提供用于构建网络靶场应用的虚拟资源至少包括为虚拟资源分配IPV6地址,并将其发送给场景构建子模块202。进一步地,场景构建子模块202通过IPV6地址访问虚拟资源。特别地,虚拟资源包括网络靶场,资源配置子模块201为每一个靶场分配独立的IPV6地址。每一台虚拟机对应一个网络靶场进程。
[0102] 根据一种优选实施方式,虚拟机配置可包括镜像、CPU规格、内存规格、硬盘规格、网关、子网掩码、分配IP地址及分配MAC地址。虚拟路由器配置可包括分配IP地址。
[0103] 根据一种优选实施方式,各网络安全靶场系统或模块之间可能存在信息交互,譬如流量监测模块和数据库访问模块之间需要进行信息交互,以使数据库能够存储相关信息。特别地,可以通过进程间通信来实现数据或信息交互。优选地,例如可以采用异步通信调用模式来实现不同虚拟机中不同网络安全靶场系统或模块间的通信。
[0104] 根据一种优选实施方式,由于在通过本发明的网络安全靶场系统提供相应服务时,可能面临用户数量或数据处理量不断增加的状况,因此庞大的用户数据体量可能会导致各计算节点的性能下降,进而影响网络安全靶场系统的服务质量。
[0105] 根据一种优选实施方式,本实施例中,第一重启子模块30可根据各计算节点的实时性能监测数据来为不满足预设性能指标的至少一个计算节点启动新的计算节点,并为该新的计算节点配置网络安全靶场系统的启动进程。特别地,当计算节点性能显著下降时,意味着该计算节点负荷过大,容易导致靶场系统或平台崩溃,因此通过增设新的计算节点可以减轻系统负荷,降低系统或平台崩溃风险。
[0106] 特别地,计算节点的性能指标可以是CPU空闲率。具体而言,例如当某一计算节点的性能指标下降至预设性能指标之下时,第一重启子模块30启动一个新的计算节点,并为之配置网络安全靶场系统的启动进程。
[0107] 根据一种优选实施方式,第一重启子模块30为新的计算节点配置网络安全靶场系统的启动进程可按照利用预设空间启动相应实例的方式来进行。具体地,所述空间用于存储和组织其它对象。该空间可以用于存储任意类型的条目。一般而言,预设空间存储各对象的副本,并自动分配各对象的占用内存。当预设空间内的任意对象被删除或销毁时,预设空间将对应对象删除并释放其占用内存。
[0108] 根据一种优选实施方式,实例为对预设空间内的类进行实施例后的结果。利用预设空间进行实施例得到实例可以迅速启动网络安全靶场系统进程。
[0109] 根据一种优选实施方式,第二重启子模块40可以为至少一个处于运行崩溃状态的靶场应用服务提供重启服务。具体而言,各计算节点可能因计算负荷过大而导致服务崩溃,可以通过监测各计算节点的性能指标确定系统或平台内是否存在服务崩溃。进一步地,当存在服务奔溃时,可以通过上述的利用预设空间启动相应实例的方式来重启已奔溃的靶场应用服务。
[0110] 根据一种优选实施方式,当系统或平台出现靶场应用服务奔溃时,重启已奔溃的靶场应用服务,并利用预设空间进行实例化以增加相应实例,可以尽快恢复网络安全靶场系统的服务,减少修复时长。
[0111] 根据一种优选实施方式,在现有靶场服务系统中,参与人员基于网络靶场应用进行攻守方转换的演练,即通过模拟黑客攻击靶机,防守方防御反击的全过程以达成对例如网络安全技术人员的理论知识与实战技能的练习与考评。然而,在实际应用网络靶场系统的过程中,存在着攻击模式,特别是攻击工具泄漏的风险,鉴于此,当例如参与人员通过网络靶场系统了解甚至熟知网络黑客具体的攻击模式及其攻击工具(例如源代码)的组成架构时,那么原本服务于虚拟网络靶场环境中的仅是用于实践教学的攻击工具便可能出现预期外的“滥用”,此时,网络靶场应用中的攻击工具可能被更多的人群所掌握,一定程度增加了网络犯罪的几率,且致使网络靶场系统实际达成的教学目的相比于期望目标而言也是大相径庭,为此,如何在达成网络靶场系统的教学目的的同时,防止攻击模式或攻击工具源文件的泄漏是现有网络安全靶场系统需要关注的问题。
[0112] 根据一种优选实施方式,如图1所示,本发明的网络安全靶场系统包括管理模块50。具体地,管理模块50可部署于具有法定操作权限的主机处(例如是由网络安全部门授权许可的主管单位或主办方的主机)。优选地,管理模块50可用于存储及派发至少一种攻击工具至其它至少一个执行主机处。特别地,执行主机可部署于执行模拟黑客攻击任务的参与人员设备(可以是虚拟机)处。多个执行主机经管理模块50授权可具有不同的攻击权限。进一步地,管理模块50管理多种类型的攻击工具,每种类型的攻击工具至少在攻击形式及相应的攻击力度方面有所不同。因此,对于不同能力层级的参与人员,可优选分配与其能力层级对应的攻击工具以用于其执行攻击任务,以达成针对相应知识及技能的考核与学习。
[0113] 在一种可选实施方式下,例如需要参与人员利用本发明的网络安全靶场系统中预先配置的攻击工具模拟黑客攻击防守方的防御靶机,或是由管理模块50派发攻击工具至执行主机(虚拟机)以对目标靶机进行自动攻击从而评估防守方的防御反击能力。此时,管理模块50可利用搭建攻击脚本需要运行的环境的执行主机来执行攻击工具的应需配置,在保证执行主机临时搭载的攻击脚本得到其运算能力相符的加密的情况下,指示相应至少一个执行主机对目标靶机实施攻击。
[0114] 根据一种优选实施方式,本实施例中,仅搭建攻击脚本需要运行环境的执行主机仅在执行攻击任务时才在预设时间周期内加载攻击工具及相应数据,其执行不依赖于执行主机处的操作人员,而是源自预先配置于网络靶场系统数据库中的数据。特别地,本发明的网络安全靶场系统的执行主机是以系统权限登录执行节点的攻击主机的,并且针对执行主机所用的攻击工具,管理模块50优选以加密加壳的措施将其提供至各执行主机,由此可以避免经加密的攻击工具及工具数据被攻击节点处的执行主机所泄露。
[0115] 优选地,当管理模块50以非对称加密的压缩包+脚本的方式向搭建有攻击脚本需要运行环境的至少一个攻击节点或计算节点处的执行主机提供至少一种类型的攻击工具时,执行主机处的参与人员无法从庞大数据中获取攻击工具的原始数据包,并且各攻击节点或计算节点处的执行主机将在执行完攻击任务后便执行销毁程序,由此可使攻击工具停留在虚拟环境内,使用人员无法尽数掌握,从而达成对攻击工具的动用管理。
[0116] 根据一种优选实施方式,当执行攻击任务的执行主机和目标防御靶机分别完成各自的攻防任务,且系统获取最终的对抗结果之后,可以由具有法定操作权限的主机(例如管理模块)或是具有指定权限的管理人员通过预设算法解析破译对抗结果所包含的攻防数据,该攻防数据例如至少包括了与攻击工具相关的数据。与常规形式不同的是,该解析破译后的与攻击工具相关的数据信息非其所对应的真实数据结果,而是通过由具有法定操作权限的主机或是具有指定权限的管理人员预设的算法结构及相应的映射关系展现出的与之相似的数据内容,该数据内容可用于间接表征当前攻击工具的相关内容,而用于解析破译的算法(或是解析破译所需密钥)仅为指定的人员所掌握。优选地,解析破译的数据内容一方面不仅可用于裁判端对参赛人员的分数评定,也可用于为参赛人员提供指导学习,例如使参赛人员体验并了解网络黑客攻击手段及过程,此过程参赛人员无法获取最真实的攻击工具的原始数据包,因此也防止参赛人员将网络黑客常用的攻击工具进行扩充修改并做除演练学习外的他用。
[0117] 根据一种优选实施方式,本发明中,首先对用户身份进行验证,待用户身份验证成功后,用户可通过平台客户端编辑需求。进一步地,根据用户需求,资源配置子模块201向场景构建子模块202提供用于构建网络靶场应用的虚拟资源,并将虚拟资源提供给身份验证通过的用户,若用户否决当前资源配置,则需重新编辑需求,以进行新的文件配置过程。场景构建子模块202根据接收的虚拟资源进行文件配置,构建网络靶场应用,并将网络靶场应用提供给用户。特别地,在参与人员进行模拟网络黑客攻防对抗的过程中,可由系统授权并分配不同类型的攻击工具至至少一个攻击节点处的执行主机以用于模拟对目标靶机的攻击任务,并以该攻防过程评定参与人员的知识技能水平。进一步地,当网络靶场应用服务终止后,可销毁对应的虚拟资源。
[0118] 实施例2
[0119] 根据一种优选实施方式,本实施例提供一种网络安全靶场应用方法,包括:
[0120] 响应于用户信息的输入,验证用户身份。
[0121] 响应于用户身份验证的通过,启动网络安全靶场系统以为用户提供对应的服务。
[0122] 响应于网络安全靶场系统的启动,提供至少一种攻击工具至至少一个攻击节点或计算节点处的执行主机。
[0123] 根据一种优选实施方式,所述验证用户身份可以通过802.1x协议或Portal认证来完成。
[0124] 在一些可选实施方式下,响应于用户信息的输入,验证用户身份可包括:
[0125] 通过网络客户端向认证端发送身份验证请求。
[0126] 认证端根据身份验证请求获取用户名及密码,并将用户名及密码以验证请求报文的形式发送至认证服务器。
[0127] 认证服务器判断验证请求报文与数据库信息间的一致性,若一致,则发送报文并通过网络接入设备启动网络安全靶场系统的接通端口。
[0128] 在一些可选实施方式下,响应于用户信息的输入,验证用户身份可包括:
[0129] 通过网络客户端向网络接入设备发出网络访问请求,Portal基于该网络访问请求发送用户验证界面至接入客户端。
[0130] 通过用户验证界面获取用户名及密码,Portal将以验证请求报文形式编辑的用户名及密码发送至认证服务器。
[0131] 认证服务器判断验证请求报文与数据库信息间的一致性,若一致,则发送报文并通过网络接入设备启动网络安全靶场系统的接通端口。
[0132] 根据一种优选实施方式,所述响应于用户身份验证的通过,启动网络安全靶场系统以为用户提供对应的服务包括:
[0133] 提供用于构建网络靶场应用的虚拟资源。
[0134] 通过虚拟资源构建网络靶场应用,并将网络靶场应用提供给身份验证通过的用户。
[0135] 根据一种优选实施方式,提供用于构建网络靶场应用的虚拟资源可包括:为虚拟资源分配IPV6地址。
[0136] 根据一种优选实施方式,本实施例的网络安全靶场构建方法还可包括:
[0137] 根据各计算节点的性能表现,为不满足预设性能指标的至少一个计算节点启动新的计算节点,并为该新的计算节点配置网络安全靶场系统的启动进程。
[0138] 向至少一个处于运行崩溃状态的靶场应用服务提供重启服务。
[0139] 根据一种优选实施方式,根据各计算节点的性能表现,为不满足预设性能指标的至少一个计算节点启动新的计算节点,并为该新的计算节点配置网络安全靶场系统的启动进程具体可以为:当某一计算节点的性能指标下降至预设性能指标之下时,启动一个新的计算节点,并为之配置网络安全靶场系统的启动进程。
[0140] 根据一种优选实施方式,为新的计算节点配置网络安全靶场系统的启动进程可按照利用预设空间启动相应实例的方式来进行。具体地,所述空间用于存储和组织其它对象。该空间可以用于存储任意类型的条目。预设空间通常用于存储各对象的副本,并自动分配各对象的占用内存。当预设空间内的任意对象被删除或销毁时,预设空间将对应对象删除并释放其占用内存。特别地,实例为对预设空间内的类进行实施例后的结果。利用预设空间进行实施例得到实例可以迅速启动网络安全靶场系统进程。
[0141] 根据一种优选实施方式,本发明中,在参与人员启动网络靶场应用服务进行练习与实战对抗时,可由系统(具体可以为实施例1所述的管理模块50)以非对称加密的压缩包+脚本的方式向搭建有攻击脚本需要运行环境的至少一个攻击节点处的执行主机提供至少一种类型的攻击工具。进一步地,各攻击节点或计算节点处的执行主机将在执行完攻击任务后便执行销毁程序,由此可使攻击工具停留在虚拟环境内,使用人员无法尽数掌握,从而达成对攻击工具的动用管理。
[0142] 实施例3
[0143] 根据一种优选实施方式,本发明提供一种电子设备,该电子设备可用于构建本发明所述网络安全靶场。具体地,如图4所示,该电子设备300可以包括:一个或多个处理器301、存储器302以及至少用于连接处理器301和存储器302的通信总线303。
[0144] 根据一种优选实施方式,存储器302被配置为存储计算机系统可读介质,计算机系统可读介质具备本发明实施例中的各项功能。
[0145] 根据一种优选实施方式,处理器301被配置为执行存储在存储器302中的计算机系统可读介质以用于实现各项功能应用以及数据处理,特别是本发明中的网络安全靶场构建方法。
[0146] 根据一种优选实施方式,处理器301包括但不限于CPU(Central Processing Unit)、MPU(Micro Processor Unit)、MCU(Micro Control Unit)以及SOC(System on Chip)等。
[0147] 根据一种优选实施方式,存储器302包括但不限于易失性存储器(例如DRAM或SRAM)和非易失性存储器(例如FLASH、光盘、软盘及机械硬盘等)。
[0148] 根据一种优选实施方式,通信总线303包括但不限于工业标准体系结构总线,微通道体系结构总线,增强型ISA总线、视频电子标准协会局域总线以及外围组件互连总线等。
[0149] 根据一种优选实施方式,如图4所示,电子设备300还可以包括至少一个通信接口304。具体地,电子设备300可以通过通信接口304与至少一个外部设备通信连接。此外,电子设备300也可以通过网络适配器与至少一个外部网络通信连接。网络适配器与通信总线303通信连接。
[0150] 需要注意的是,上述具体实施例是示例性的,本领域技术人员可以在本发明公开内容的启发下想出各种解决方案,而这些解决方案也都属于本发明的公开范围并落入本发明的保护范围之内。本领域技术人员应该明白,本发明说明书及其附图均为说明性而并非构成对权利要求的限制。本发明的保护范围由权利要求及其等同物限定。本发明说明书包含多项发明构思,诸如“优选地”、“根据一个优选实施方式”或“可选地”均表示相应段落公开了一个独立的构思,申请人保留根据每项发明构思提出分案申请的权利。