CN113691416A - 一种分布式分层部署的网络靶场管理平台 - Google Patents
一种分布式分层部署的网络靶场管理平台 Download PDFInfo
- Publication number
- CN113691416A CN113691416A CN202110864634.1A CN202110864634A CN113691416A CN 113691416 A CN113691416 A CN 113691416A CN 202110864634 A CN202110864634 A CN 202110864634A CN 113691416 A CN113691416 A CN 113691416A
- Authority
- CN
- China
- Prior art keywords
- module
- distributed
- task
- shooting range
- subsystem
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 claims abstract description 13
- 210000004556 brain Anatomy 0.000 claims description 32
- 238000005553 drilling Methods 0.000 claims description 16
- 238000000034 method Methods 0.000 claims description 14
- 238000010304 firing Methods 0.000 claims description 13
- 230000008569 process Effects 0.000 claims description 9
- 238000001514 detection method Methods 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 5
- 230000000694 effects Effects 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 claims description 5
- 238000012423 maintenance Methods 0.000 claims description 4
- 239000000523 sample Substances 0.000 claims description 4
- 230000006855 networking Effects 0.000 claims description 3
- 230000004044 response Effects 0.000 claims description 3
- 238000012549 training Methods 0.000 abstract description 20
- 238000007726 management method Methods 0.000 description 71
- 238000012360 testing method Methods 0.000 description 23
- 238000004088 simulation Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 9
- 230000007123 defense Effects 0.000 description 7
- 238000011156 evaluation Methods 0.000 description 7
- 230000006399 behavior Effects 0.000 description 6
- 238000011160 research Methods 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 5
- 238000010276 construction Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 230000009897 systematic effect Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 210000005036 nerve Anatomy 0.000 description 2
- 230000008447 perception Effects 0.000 description 2
- 230000006798 recombination Effects 0.000 description 2
- 238000005215 recombination Methods 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013144 data compression Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000013210 evaluation model Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000011176 pooling Methods 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 238000011076 safety test Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5083—Techniques for rebalancing the load in a distributed system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出了一种分布式分层部署的网络靶场管理平台,包括靶场管理子***、分布式靶场子***和安全防护子***,靶场管理子***用于对靶场管理,分布式靶场子***用于执行靶场任务,安全防护子***用于对靶场安全防护和靶场之间的通信防护;本发明通过分布式靶场子***实现多分支子靶场级联,实现资源的共享,并对网络中传输的数据进行加密,有效的解决多分支靶场集中演训的需求,利用率高,适用范围广。
Description
技术领域
本发明网络靶场模拟仿真技术领域,特别涉及一种分布式分层部署的网络靶场管理平台。
背景技术
近年来,我国网络空间仿真训练领域的研究有了较快的发展,很多单位研制了自己的作战仿真训练***,部分单位甚至已开始网络靶场的研制,但是到目前为止仍然缺乏成体系的、规范的、训战一体的网络空间靶场***,且目前***的仿真程度离实际需求仍有差距,同实战结合并不紧密;这些问题制约了我国网络空间作战模拟训练水平和作战研究能力的提高,同时也缺少能够真正用于实战的网络空间作战平台,无法直接将模拟训练的成果传导到真实的网络战中去。
目前国内靶场平台存在的现状如下:
1)训练环境单一,环境简单;
2)有效考核训练难度大,训练强度低;
3)缺乏有效的人员能力评估机制;
4)无法对网络攻防工具的有效性进行评估;
5)训练和实战演练态势无法直观化、可视化;
6)基于中心化的平台构建过于庞大,无法应用于多地同时使用。
由此可见,我国网络靶场建设,目前还处于起步阶段,仅有部分科研实验室和行业专用试验场,其主要功能是研究电子信息对抗与仿真技术、为行业产品进行试验及检测等,从体系应用角度来讲,我国现有的网络试验环境或测试床规模还较小,且主要针对某一专业领域,根本无法适用于体系化的网络空间安全科研试验与测试评估;在多部门、多地域协同演训时,无法实现统一资源调度、统一任务分发;目前各单位建设的网络靶场平台均属于单独设计的,互相之间无法兼容,仅能发挥靶场平台某一部分功能,存在资源利用率低下的问题。
发明内容
本发明的目的旨在至少解决技术缺陷之一。
为此,发明的一个目的在于提出一种分布式分层部署的网络靶场管理平台,包括靶场管理子***、分布式靶场子***和安全防护子***,靶场管理子***用于对靶场管理,分布式靶场子***用于执行靶场任务,安全防护子***用于对靶场安全防护和靶场之间的通信防护;其中:
靶场管理子***包括安全大脑模块、资源统一调配模块、数据采集模块、靶标管理模块、资源管理模块、用户管理模块、任务下发模块。
安全大脑模块用于对靶场指挥控制和智能化运维。
资源统一调配模块用于资源统一调度,形成资源池。
数据采集模块用于对靶场运行过程人员行为、靶标响应、作业效果和底层硬件状态的信息进行全程采集。
靶标管理模块用于修改标靶对象的信息。
资源管理模块用于管理镜像资源、虚拟机资源、工具资源和资源信息。
用户管理模块用于修改用户信息和维护用户权限。
任务下发模块用于下发安全大脑模块设定的演练任务。
优选的,安全防护子***包括通信加密隧道模块和安全保障模块;其中:
通信加密隧道模块用于在边界部署综合安全网关以实现分布式靶场子***到安全大脑模块之间信息传输的安全隧道加密、安全认证与威胁检测。
安全保障模块用于增加安全防护设备,实现从内至外的安全防护。
在上述任一方案中优选的是,安全防护设备包括防火墙、IDS入侵检测***、等保一体机和流量探针。
在上述任一方案中优选的是,资源池包括云平台虚拟机资源、容器资源和服务器资源。
在上述任一方案中优选的是,资源池包括任务库、靶标库、镜像库、工具库和漏洞知识库。
在上述任一方案中优选的是,分布式靶场子***包括任务接收模块、环境重构模块、任务执行模块和任务上报模块。
任务接收模块用于接收和查看安全大脑模块下发的任务。
环境重构模块用于按照任务拓扑进行网络环境的构建。
任务执行模块用于接收和查看任务下发模块下发的演练任务。
任务上报模块用于将任务结果上报至安全大脑模块。
在上述任一方案中优选的是,分布式靶场子***包括虚拟化管理平台、SDN动态组网管理平台和设备监控管理平台。
在上述任一方案中优选的是,分布式靶场子***包括计算机资源、储存资源和网络资源。
与现有技术相比,本发明的有益效果为:
1、本发明通过分布式靶场子***实现多分支子靶场级联,由分布式分层部署的网络靶场管理平台统一管理,实现资源的共享,并对网络中传输的数据进行加密,有效的解决多分支靶场集中演训的需求,利用率高。
2、本发明建立具备面向服务、动态重组、按需分发等能力的高动态、可重构基础网络环境,能够根据做战任务需要,快速构建靶场试验测试软硬件条件,实现网络资源按需分配、全网策略智能决策、身份认证与鉴权统一管理,训练环境复杂,评估机制完善,成本低,满足试验任务需要。
3、本发明分布于本地或异地的多个靶场节点通过各自节点管理组件经专线连接实现多个网络靶场互联互通,级联组成大规模联合演训靶场,达到扩展规模、扩充容量、联合调度导调的目的,形成资源共享、联合作战的大型平台,满足用户不同规模需求。
附图说明
发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1为按照发明的一种分布式分层部署的网络靶场管理平台实施例的结构框图。
图2为按照发明的一种分布式分层部署的网络靶场管理平台实施例的从层级角度区分的结构框图。
具体实施方式
下面详细描述发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释发明,而不能理解为对发明的限制。
在发明中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在发明中的具体含义。
如图1所示,一种分布式分层部署的网络靶场管理平台,以下简称“本平台”,本平台包括靶场管理子***1、分布式靶场子***2和安全防护子***3,靶场管理子***1用于对靶场管理,靶场管理子***1提供整个靶场的管理功能;分布式靶场子***2用于执行靶场任务,提供用户接入使用功能;安全防护子***3用于提供靶场的安全防护、靶场之间通信防护,保障靶场的安全平稳的运行;其中:
靶场管理子***1包括安全大脑模块4、资源统一调配模块5、数据采集模块6、靶标管理模块7、资源管理模块8、用户管理模块9、任务下发模块10;靶场管理子***1是本平台的管理视窗,承担整个网络安全靶场的信息汇总、环境构建、统计分析、可视化展示等任务,是网络安全靶场的核心重要部分,它基于SOA的设计思想,综合各项业务活动以及靶场管理层的需要,实现各***的统计数据在管理中心大屏幕的可视化展示,;通过安全大脑模块4态势感知大屏幕呈现网络安全靶场整体安全态势及运营状态,方便运营管理人员及时了解靶场状况和安全状况,提高网络安全靶场的运营效率。
安全大脑模块4用于对靶场指挥控制和智能化运维;具体负责整个本平台的指挥控制和智能化运维服务,是网络安全靶场平台的中枢神经;安全大脑模块4需要根据网络安全靶场中的攻防双方的情报、事件、态势等信息,实施综合分析,从宏观上掌控攻防双方的攻防能力演进趋势,并且据此作出整体管控的决策。
资源统一调配模块5用于资源统一调度,形成资源池;演练时由安全大脑模块4提供资源统一调度,形成资源池;主要的资源包含云平台虚拟机资源、容器资源,结合KVM、Docker容器技术,进行云化处理,使得服务器资源18,例如服务器中的软件、***、CPU、内存、存储、网络等,成为可管理及维护的云资源中心,从而提供可根据任务需求弹性扩展的虚拟机资源。
数据采集模块6用于对靶场运行过程人员行为、靶标响应、作业效果和底层硬件状态的信息进行全程采集,为数据分析和展示提供基础数据。
靶标管理模块7用于修改标靶对象的信息,支持对标靶对象的新增、修改、删除、查询。
资源管理模块8用于管理镜像资源、虚拟机资源、工具资源和资源信息管理。
用户管理模块9用于修改用户信息和维护用户权限,可对用户进行增加、删除、查询和修改操作。
任务下发模块10用于下发安全大脑模块4设定的演练任务。
进一步的,安全防护子***3包括通信加密隧道模块15和安全保障模块16;安全防护子***3主要提本平台运营中的安全保护,通过下一代防火墙24、IPS等设备有机的整合一体,杜绝外网攻击行为对靶场造成影响。
通信加密隧道模块15用于在边界部署综合安全网关以实现分布式靶场子***2到安全大脑模块4之间信息传输的安全隧道加密、安全认证与威胁检测;
安全保障模块16用于增加安全防护设备,实现从内至外的安全防护。
具体的,安全防护设备包括防火墙24、IDS入侵检测***25、等保一体机27和流量探针26。
进一步的,分布式靶场子***2包括任务接收模块11、环境重构模块12、任务执行模块13和任务上报模块14;分布式靶场子***2是靶场任务执行方,安全大脑模块4下发的所有任务均通过分布式靶场子***2实现。
任务接收模块11用于接收和查看安全大脑模块4下发的任务,包括任务详情和历史任务。
环境重构模块12用于按照任务拓扑进行网络环境的构建;构建的网络环境支持保存、销毁功能。
任务执行模块13用于接收和查看任务下发模块10下发的演练任务;接收到下发的任务后,通过任务列表进入任务详情页,了解任务信息,同时可以查询历史任务情况。
任务上报模块14用于将任务结果上报至安全大脑模块4;受训人员完成任务后需要将任务结果进行上报。
具体的,资源统一调度模块的资源包括云平台虚拟机资源和容器资源。
可选的,可以同时在本平台中加入体系化的网络安全实训课程、CTF比赛、红蓝对抗、测试测评等资源和模式,在超逼真的网络环境中,通过大规模攻击训练、情景式防护训练、高烈度红蓝对抗、全方位***测试、多维度装备测试等多种典型业务应用,能够迅速强化个人实操水平、大幅提升团队整体能力、锤炼锻造实战策略运用、深入挖掘***潜在风险、全面评估装备作战表现。
在构建城市级靶场时,管理中心只需构建一套靶场管理子***1即可,各分支单位构建分布式靶场子***2,用于平时训练和演练;集中演训时通过安全大脑模块4统一资源调度实现靶场级联,将全区域子靶场构建成一个整体靶场使用,效率高,成本低。
本发明的任务分发流程为:管理员只需在本台将配置好的操作***靶标或是工具分配给相应的用户或用户组,不需要花费大量的时间去为每个用户安装操作***,在使用的过程中,管理员只需维护靶标及工具版本,有效节省时间和人力;具体为:
第一步:管理员在管理平台发布***镜像靶标;
第二步:安全大脑模块4根据需求将靶标分配给用户或用户组;
第三步:用户在终端凭用户名、密码登录,自动下载镜像并创建场景;
第四步:管理员在安全大脑模块4创建靶标或工具版本,进行镜像更新维护,完成后指定镜像生效时间并发布;用户登录时自动下载镜像更新版本进行更新。
本发明的演练管理流程为:
第一步:选择靶场场景,丰富多样的靶场场景,还可以对场景预设和修改;
第二步:制定网络攻防任务,指挥人员可实时下发至指定的队伍,并推送相关消息通知;
第三步:提交工单,攻防队员可通过提交工单功能,记录攻击行为,裁判人员可进行工单行为审核;
第四步:执行攻防演练,在演练过程中,指挥人员可随时监控攻防任务状态,即结束、终止等操作;
第五步:交攻防演练成果,攻防队员可通过提交成果,记录自己攻击的成果,裁判可在线上进行审核、评分。
如图2所示,为更好的理解本发明,本发明从层级角度说明,本平台包括靶场管理子***1、分布式靶场子***2和安全防护子***3,靶场管理子***1包括靶场管理基础层34、靶场管理资源层35和靶场管理应用层36。
靶场管理子***1实现任务的管理、评估、监测采集和目标模拟等试验资源进行试验管控、***管理、数据管控、态势感知等;分布式靶场子***2由多种网络设备、终端设备、虚拟化设施和仿真集群等构成公用基础***平台,提供教学、试验和研究的具体网络环境。
靶场管理基础层34包括虚拟资源17和服务器资源18,通过服务器、网络交换等设备构建本平台运行的环境;在基础设施之上模拟出多种设备和***,包括网络设备、安全设备、主机设备以及操作***,并能够完全贴近网络安全的各应用领域,例如网络设备安全、操作***安全、数据库安全、Web应用安全、主机程序安全、移动设备安全等内容。
靶场管理资源层35包括任务库19、靶标库20、镜像库21、工具库22和漏洞知识库23;靶场管理资源层35集成各类镜像资源、靶标资源、工具资源、漏洞知识资源及任务资源,以服务总线ESB方式应用层提供服务支持,能够实现不同服务之间的通信与整合,支持基于内容的路由和过滤,具备了复杂数据的传输能力,并可以提供一系列的标准接口。
靶场管理应用层36包括安全大脑模块4、资源统一调配模块5、数据采集模块6、靶标管理模块7、资源管理模块8、用户管理模块9和任务下发模块10;靶场管理应用层36提供靶场运营管理中所涉及的多项功能;其中安全大脑模块4负责整个分层分布式靶场平台的指挥控制和智能化运维服务,是网络安全分层分布式靶场平台的中枢神经;安全大脑模块4需要根据网络安全靶场中的攻防双方的情报、事件、态势等信息,实施综合分析,从宏观上掌控攻防双方的攻防能力演进趋势,并且据此作出整体管控的决策;用户管理模块9提供管理员、裁判、指挥、参训人员的账号管理、权限管理等;资源统一调配模块5提供分布式靶场子***2的统一资源调控,实现演练时统一环境构建;任务下发模块10提供演练大纲、演练子任务、任务分配等功能。
安全防护子***3包括通信加密隧道模块15和安全保障模块16,通信加密隧道模块15用于在边界部署综合安全网关以实现分布式靶场子***2到安全大脑模块4之间信息传输的安全隧道加密、安全认证与威胁检测;安全保障模块16用于增加安全防护设备,实现从内至外的安全防护;具体的,安全防护设备包括防火墙24、IDS入侵检测***25、等保一体机27和流量探针26;安全防护设备实现靶场管理子***1与分布式靶场子***2两平面之间的交换数据的隔离,阻值靶场资源平面的攻防行为向靶场管理子***1平面扩散。
分布式靶场子***2包括分布式靶场基础层38和分布式靶场应用层37,分布式靶场基础层38包括虚拟化管理平台28、SDN动态组网管理平、设备监控管理平台30、计算机资源31、存储资源32、网络资源33,计算机资源31为服务器和小型机等,存储资源32包括磁盘阵列和硬盘设备等,网络资源33包括路由器、交换机和防火墙24等,还可以加入其他设备,例如工控设备、移动设备和展示设备等;分布式靶场基础层38通过超融合云计算,提供计算存储网络和安全的虚拟化等,通过SDN技术实现实体设备与虚拟设备的混合组网。
分布式靶场应用层37包括任务接收模块11、环境重构模块12、任务执行模块13和任务上报模块14;
任务接收模块11用于接收和查看安全大脑模块4下发的任务,包括任务详情和历史任务。
环境重构模块12用于按照任务拓扑进行网络环境的构建;构建的网络环境支持保存、销毁功能。
任务执行模块13用于接收和查看任务下发模块10下发的演练任务;接收到下发的任务后,通过任务列表进入任务详情页,了解任务信息,同时可以查询历史任务情况。
任务上报模块14用于将任务结果上报至安全大脑模块4;受训人员完成任务后需要将任务结果进行上报。
分布式靶场应用层37提供虚拟环境的构建,按照任务下发模块10下发的演练任务创建相应的场景;用户接入主要提供参训人员登陆平台控制,用户按照不同权限登陆***后,加载对应的***页面;任务执行模块13要供任务执行全过程的管控。
本发明的技术关键点为:
(1)超融合基础架构:在同一套单元设备中具备计算、网络、存储、服务器虚拟化、缓存加速、重复数据删除、在线数据压缩、备份软件、快照技术等资源和技术,通过多节点网络聚合,实现模块化的无缝横向扩展(scale-out),形成统一的资源池。
(2)复杂异构网络快速复现及重构:基于SDN、虚拟化及Docker技术,在统一共享的物理基础设施上,实现复杂异构网络的快速复现及重构。
(3)靶场资源自动配置与快速释放:通过对异构资源进行抽象描述并进行统一标识,形成资源目录,建立靶场资源管理平台,实现对靶场资源的发现与自动推送、实时监视、动态调度、智能控制以及快速释放。
(4)面向任务的靶场引擎构建:建立具备面向服务、动态重组、按需分发等能力的高动态、可重构基础网络环境,能够根据做战任务需要,快速构建靶场试验测试软硬件条件,实现网络资源按需分配、全网策略智能决策、身份认证与鉴权统一管理,满足试验任务需要。
(5)网络空间安全自动化多维度测试:构建科学合理的测试评估模型,自动化调用的计算、存储资源32和漏洞库、工具库22资源以及各类测试工具,自动从效率、效果、成本、难易程度等多个维度综合衡量,实现对设备级、***级、体系级各个级别的网络空间安全性试验验证,提高测试评估客观性、准确性和效率。
本发明具有如下益效果:
(1)本发明可以构建近似真实的仿真环境,通过网络将超大规模的计算与存储资源32整合起来,并将计算任务分布在这些资源池上,使用户能够根据自己的需要获得计算、存储和网络等信息服务;训练环境可以按照实际网络拓扑或是想定的目标网络进行绘制。
(2)提供成体系的网络安全训练课程,建立配套的网络安全培训环境,进行网络安全专业知识学***的全面提升。
(3)通过大数据分析能力结合靶场实操记录实现参训人员的能力评估,方便管理。
(4)网络靶场利用仿真复杂网络和多种终端***的能力,运用靶场仿真度高、可控性强的优势,能为工具装备等的评测提供测试环境。
(5)引入安全大脑概念,实现内网资产、人员能力画像、漏洞挖掘、攻击威胁等行为的可视化,为决策者提供依据。
(6)通过分布式架构实现多分支靶场的资源统一池化,按照演练需求进行统一的资源分发及任务调度,执行效率高。
(7)通过虚实结合的技术实现线网络场景、智能家居场景、办公网络场景、工控网络场景的构建能力,依托这些场景开展新技术的研究、测试、论证的工作,适用范围广。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对发明的限制,本领域的普通技术人员在不脱离发明的原理和宗旨的情况下在发明的范围内可以对上述实施例进行变化、修改、替换和变型。发明的范围由所附权利要求及其等同限定。
Claims (8)
1.一种分布式分层部署的网络靶场管理平台,其特征在于:包括靶场管理子***、分布式靶场子***和安全防护子***,所述靶场管理子***用于对靶场管理,所述分布式靶场子***用于执行靶场任务,所述安全防护子***用于对靶场安全防护和靶场之间的通信防护;其中:
所述靶场管理子***包括安全大脑模块、资源统一调配模块、数据采集模块、靶标管理模块、资源管理模块、用户管理模块、任务下发模块;
所述安全大脑模块用于对所述靶场指挥控制和智能化运维;
所述资源统一调配模块用于资源统一调度,形成资源池;
所述数据采集模块用于对靶场运行过程人员行为、靶标响应、作业效果和底层硬件状态的信息进行全程采集;
所述靶标管理模块用于修改所述标靶对象的信息;
所述资源管理模块用于管理镜像资源、虚拟机资源、工具资源和资源信息;
所述用户管理模块用于修改用户信息和维护用户权限;
所述任务下发模块用于下发安全大脑模块设定的演练任务。
2.如权利要求1所述的一种分布式分层部署的网络靶场管理平台,其特征在于:所述安全防护子***包括通信加密隧道模块和安全保障模块;其中:
所述通信加密隧道模块用于在边界部署综合安全网关以实现所述分布式靶场子***到所述安全大脑模块之间信息传输的安全隧道加密、安全认证与威胁检测;
所述安全保障模块用于增加安全防护设备,实现从内至外的安全防护。
3.如权利要求2所述的一种分布式分层部署的网络靶场管理平台,其特征在于:所述安全防护设备包括防火墙、IDS入侵检测***、等保一体机和流量探针。
4.如权利要求1所述的一种分布式分层部署的网络靶场管理平台,其特征在于:所述资源池包括云平台虚拟机资源、容器资源和服务器资源。
5.如权利要求1所述的一种分布式分层部署的网络靶场管理平台,其特征在于:所述资源池包括任务库、靶标库、镜像库、工具库和漏洞知识库。
6.如权利要求1所述的一种分布式分层部署的网络靶场管理平台,其特征在于:所述分布式靶场子***包括任务接收模块、环境重构模块、任务执行模块和任务上报模块;
所述任务接收模块用于接收和查看所述安全大脑模块下发的任务;
所述环境重构模块用于按照任务拓扑进行网络环境的构建;
所述任务执行模块用于接收和查看所述任务下发模块下发的所述演练任务;
所述任务上报模块用于将任务结果上报至所述安全大脑模块。
7.如权利要求6所述的一种分布式分层部署的网络靶场管理平台,其特征在于:所述分布式靶场子***包括虚拟化管理平台、SDN动态组网管理平台和设备监控管理平台。
8.如权利要求6所述的一种分布式分层部署的网络靶场管理平台,其特征在于:所述分布式靶场子***包括计算机资源、储存资源和网络资源。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110864634.1A CN113691416B (zh) | 2021-07-29 | 2021-07-29 | 一种分布式分层部署的网络靶场管理平台 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110864634.1A CN113691416B (zh) | 2021-07-29 | 2021-07-29 | 一种分布式分层部署的网络靶场管理平台 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113691416A true CN113691416A (zh) | 2021-11-23 |
CN113691416B CN113691416B (zh) | 2024-05-31 |
Family
ID=78578354
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110864634.1A Active CN113691416B (zh) | 2021-07-29 | 2021-07-29 | 一种分布式分层部署的网络靶场管理平台 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113691416B (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114090263A (zh) * | 2021-11-29 | 2022-02-25 | 北京永信至诚科技股份有限公司 | 一种网络安全竞赛平台、竞赛实施方法和竞赛实施*** |
CN114500047A (zh) * | 2022-01-26 | 2022-05-13 | 烽台科技(北京)有限公司 | 一种工业网络靶场异构互联的方法及*** |
CN114501501A (zh) * | 2022-02-09 | 2022-05-13 | 北京恒安嘉新安全技术有限公司 | 移动通信网络靶场的配置管理方法、装置、设备及介质 |
CN115098156A (zh) * | 2022-07-14 | 2022-09-23 | 之江实验室 | 一种网络模态管理***及管理方法 |
CN115225410A (zh) * | 2022-08-30 | 2022-10-21 | 四川安洵信息技术有限公司 | 一种独立动态的网络安全靶场***、设备及其应用方法 |
CN115242562A (zh) * | 2022-09-26 | 2022-10-25 | 中电运行(北京)信息技术有限公司 | 一种基于虚拟化技术的网络安全靶场及其运行方法 |
CN115277217A (zh) * | 2022-07-29 | 2022-11-01 | 软极网络技术(北京)有限公司 | 一种异域网络靶场虚拟网络的构建*** |
CN115348126A (zh) * | 2022-07-26 | 2022-11-15 | 北京永信至诚科技股份有限公司 | 一种网络靶场实体设备接入方法、装置及实现*** |
CN117035277A (zh) * | 2023-07-12 | 2023-11-10 | 博智安全科技股份有限公司 | 靶场级联方法、装置、***及存储介质 |
US12015528B2 (en) | 2022-07-14 | 2024-06-18 | Zhejiang Lab | Multi-functional integrated network modal management system and management method for user-defined network modal |
CN118300790A (zh) * | 2024-06-06 | 2024-07-05 | 浙江东安检测技术有限公司 | 一种虚实结合的密码靶场*** |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090044277A1 (en) * | 2002-05-29 | 2009-02-12 | Bellsouth Intellectual Property Corporation | Non-invasive monitoring of the effectiveness of electronic security services |
WO2012113336A1 (zh) * | 2011-02-23 | 2012-08-30 | 运软网络科技(上海)有限公司 | 一种在虚拟化环境中管理资源的***及其实现方法 |
US20140359310A1 (en) * | 2013-05-31 | 2014-12-04 | International Business Machines Corporation | Subsystem-level power management in a multi-node virtual machine environment |
CN104811335A (zh) * | 2015-03-26 | 2015-07-29 | 华迪计算机集团有限公司 | 一种实现网络靶场***的方法及网络靶场管理*** |
CN109147447A (zh) * | 2017-06-16 | 2019-01-04 | 云南电网有限责任公司信息中心 | 一种基于虚拟化技术的网络攻防靶场实战*** |
CN109802841A (zh) * | 2017-11-16 | 2019-05-24 | 四川勇超网络科技有限公司 | 一种基于云平台的网络攻防靶场*** |
CN111343158A (zh) * | 2020-02-12 | 2020-06-26 | 博智安全科技股份有限公司 | 一种基于虚拟化技术的网络靶场平台 |
CN111800420A (zh) * | 2020-07-06 | 2020-10-20 | 南方电网科学研究院有限责任公司 | 一种电力***网络安全靶场*** |
US20200366650A1 (en) * | 2019-05-16 | 2020-11-19 | Circadence Corporation | Method and system for creating a secure public cloud-based cyber range |
CN112270085A (zh) * | 2020-10-26 | 2021-01-26 | 广州锦行网络科技有限公司 | 一种3d网络靶场的动态设计方法 |
-
2021
- 2021-07-29 CN CN202110864634.1A patent/CN113691416B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090044277A1 (en) * | 2002-05-29 | 2009-02-12 | Bellsouth Intellectual Property Corporation | Non-invasive monitoring of the effectiveness of electronic security services |
WO2012113336A1 (zh) * | 2011-02-23 | 2012-08-30 | 运软网络科技(上海)有限公司 | 一种在虚拟化环境中管理资源的***及其实现方法 |
US20140359310A1 (en) * | 2013-05-31 | 2014-12-04 | International Business Machines Corporation | Subsystem-level power management in a multi-node virtual machine environment |
CN104811335A (zh) * | 2015-03-26 | 2015-07-29 | 华迪计算机集团有限公司 | 一种实现网络靶场***的方法及网络靶场管理*** |
CN109147447A (zh) * | 2017-06-16 | 2019-01-04 | 云南电网有限责任公司信息中心 | 一种基于虚拟化技术的网络攻防靶场实战*** |
CN109802841A (zh) * | 2017-11-16 | 2019-05-24 | 四川勇超网络科技有限公司 | 一种基于云平台的网络攻防靶场*** |
US20200366650A1 (en) * | 2019-05-16 | 2020-11-19 | Circadence Corporation | Method and system for creating a secure public cloud-based cyber range |
CN111343158A (zh) * | 2020-02-12 | 2020-06-26 | 博智安全科技股份有限公司 | 一种基于虚拟化技术的网络靶场平台 |
CN111800420A (zh) * | 2020-07-06 | 2020-10-20 | 南方电网科学研究院有限责任公司 | 一种电力***网络安全靶场*** |
CN112270085A (zh) * | 2020-10-26 | 2021-01-26 | 广州锦行网络科技有限公司 | 一种3d网络靶场的动态设计方法 |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114090263A (zh) * | 2021-11-29 | 2022-02-25 | 北京永信至诚科技股份有限公司 | 一种网络安全竞赛平台、竞赛实施方法和竞赛实施*** |
CN114500047B (zh) * | 2022-01-26 | 2023-06-27 | 烽台科技(北京)有限公司 | 一种工业网络靶场异构互联的方法及*** |
CN114500047A (zh) * | 2022-01-26 | 2022-05-13 | 烽台科技(北京)有限公司 | 一种工业网络靶场异构互联的方法及*** |
CN114501501A (zh) * | 2022-02-09 | 2022-05-13 | 北京恒安嘉新安全技术有限公司 | 移动通信网络靶场的配置管理方法、装置、设备及介质 |
CN114501501B (zh) * | 2022-02-09 | 2024-03-29 | 北京恒安嘉新安全技术有限公司 | 移动通信网络靶场的配置管理方法、装置、设备及介质 |
CN115098156A (zh) * | 2022-07-14 | 2022-09-23 | 之江实验室 | 一种网络模态管理***及管理方法 |
US12015528B2 (en) | 2022-07-14 | 2024-06-18 | Zhejiang Lab | Multi-functional integrated network modal management system and management method for user-defined network modal |
CN115098156B (zh) * | 2022-07-14 | 2022-11-18 | 之江实验室 | 一种网络模态管理***及管理方法 |
CN115348126A (zh) * | 2022-07-26 | 2022-11-15 | 北京永信至诚科技股份有限公司 | 一种网络靶场实体设备接入方法、装置及实现*** |
CN115277217A (zh) * | 2022-07-29 | 2022-11-01 | 软极网络技术(北京)有限公司 | 一种异域网络靶场虚拟网络的构建*** |
CN115277217B (zh) * | 2022-07-29 | 2024-01-26 | 软极网络技术(北京)有限公司 | 一种异域网络靶场虚拟网络的构建*** |
CN115225410A (zh) * | 2022-08-30 | 2022-10-21 | 四川安洵信息技术有限公司 | 一种独立动态的网络安全靶场***、设备及其应用方法 |
CN115225410B (zh) * | 2022-08-30 | 2022-12-09 | 四川安洵信息技术有限公司 | 一种独立动态的网络安全靶场***、设备及其应用方法 |
CN115242562B (zh) * | 2022-09-26 | 2022-11-29 | 中电运行(北京)信息技术有限公司 | 一种基于虚拟化技术的网络安全靶场及其运行方法 |
CN115242562A (zh) * | 2022-09-26 | 2022-10-25 | 中电运行(北京)信息技术有限公司 | 一种基于虚拟化技术的网络安全靶场及其运行方法 |
CN117035277A (zh) * | 2023-07-12 | 2023-11-10 | 博智安全科技股份有限公司 | 靶场级联方法、装置、***及存储介质 |
CN118300790A (zh) * | 2024-06-06 | 2024-07-05 | 浙江东安检测技术有限公司 | 一种虚实结合的密码靶场*** |
Also Published As
Publication number | Publication date |
---|---|
CN113691416B (zh) | 2024-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113691416B (zh) | 一种分布式分层部署的网络靶场管理平台 | |
CN113067728B (zh) | 一种网络安全攻防试验平台 | |
CN111327463A (zh) | 一种基于虚拟化的工业互联网安全实训平台 | |
CN112153010B (zh) | 一种网络安全靶场***及其运行方法 | |
CN112712741A (zh) | 一种安全管理实训***、方法及终端机 | |
CN111212064A (zh) | 靶场攻击行为仿真方法、***、设备及存储介质 | |
CN106302412A (zh) | 一种针对信息***抗压性测试的智能检测***和检测方法 | |
Al-Aqrabi et al. | Business intelligence security on the clouds: Challenges, solutions and future directions | |
CN113268309A (zh) | 一种面向SaaS应用模式的兵棋推演*** | |
CN117932859A (zh) | 一种大规模作战模拟训练***及其训练方法 | |
Zhou et al. | FTCloudSim: support for cloud service reliability enhancement simulation | |
CN107766227A (zh) | 一种用于远程测试的方法与设备 | |
Habbal et al. | Design and assessment of an experimental SDN-enabled private cloud using Openstack | |
He et al. | Design of information system cyber security range test system for power industry | |
CN115065608B (zh) | 一种网络空间的建模和仿真方法 | |
Hose et al. | An extensible, distributed simulation environment for peer data management systems | |
CN113067726B (zh) | 一种基于双逻辑层Agent的网络节点失效判定方法 | |
CN104091483B (zh) | 一种配网生产抢修指挥实训*** | |
CN117319094B (zh) | Sdn网络攻防靶场平台*** | |
Deng et al. | Framework of information data management platform for integrated logistical support of UAS based on military trade mode | |
Wu et al. | Aegis: A simulation grid oriented to large-scale distributed simulation | |
Haoming et al. | Research on the Construction of Unmanned Combat System under the Background of “Network Cloud Enabling” | |
Yao et al. | Supercomputing’s role in data problems and its contribution to solutions | |
CN115203875A (zh) | 一种用于多类型仿真目标网络的转换方法 | |
Iagăru | MODELLING AND SIMULATION AS A SERVICE (MSaaS)-EVOLUTION OF THE ALLIED FRAMEWORK WITHIN NATO |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |