CN114640484A - 网络安全对抗方法、装置和电子设备 - Google Patents

网络安全对抗方法、装置和电子设备 Download PDF

Info

Publication number
CN114640484A
CN114640484A CN202011387397.6A CN202011387397A CN114640484A CN 114640484 A CN114640484 A CN 114640484A CN 202011387397 A CN202011387397 A CN 202011387397A CN 114640484 A CN114640484 A CN 114640484A
Authority
CN
China
Prior art keywords
host
defense
score
attack
determining
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011387397.6A
Other languages
English (en)
Inventor
董航
张峰
安宝宇
陈昊
徐一
徐扬
白雪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202011387397.6A priority Critical patent/CN114640484A/zh
Publication of CN114640484A publication Critical patent/CN114640484A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请提出了一种网络安全对抗方法、装置和电子设备,涉及网络安全技术领域。其中,上述网络安全对抗方法包括:首先,利用防御侧主机的各个预置风险项向防御侧主机发起攻击操作。然后,根据防御侧主机的应急响应操作确定防御侧主机的应急响应分值;根据攻击成本以及防御侧主机对预置风险项的修复结果确定防御侧主机的加固分值;根据防御侧主机向网络安全对抗攻击平台发起的反击操作,确定防御侧主机的反击分值。最后,根据应急响应分值、加固分值以及反击分值,确定防御侧主机的防御分值。以对防御人员进行更贴近实际网络攻击场景的网络安全训练,提高防御人员对网络攻击的防御能力。

Description

网络安全对抗方法、装置和电子设备
【技术领域】
本申请涉及网络安全技术领域,尤其涉及一种网络安全对抗方法、装置和电子设备。
【背景技术】
随着互联网技术的广泛应用和快速发展,各种网络攻击层出不穷,网络信息安全事件时有发生。在此情况下,利用网络安全对抗平台对防御人员进行相关网络安全训练就显得尤为重要。
目前网络安全对抗平台的网络安全训练模式主要有:夺旗赛(Capture The Flag,CTF)模式、战争分享模式、攻防兼备(Attack With Defense,AWD)模式、高地模式等。然而这些平台均存在以下缺陷,首先,平台的训练模式与实际网络攻击场景不符,实战性较弱;其次,平台的训练模式更重视对攻击技巧的训练,训练内容与防御人员的现实需求不相匹配。
【发明内容】
本申请实施例提供了一种网络安全对抗方法、装置和电子设备,以实现更贴近实际网络攻击场景的网络安全训练,提高防御人员对网络攻击的防御能力。
第一方面,本申请实施例提供一种网络安全对抗方法,包括:利用防御侧主机的各个预置风险项向所述防御侧主机发起攻击操作;根据所述防御侧主机对所述攻击操作的应急响应操作确定所述防御侧主机的应急响应分值;根据攻击成本以及所述防御侧主机对所述预置风险项的修复结果确定所述防御侧主机的加固分值;根据所述防御侧主机向所述网络安全对抗攻击平台发起的反击操作,确定所述防御侧主机的反击分值;根据所述应急响应分值、加固分值以及所述反击分值,确定所述防御侧主机的防御分值。
其中一种可能的实现方式中,利用防御侧主机的各个预置风险项向所述防御侧主机发起攻击操作之前,所述方法还包括:将第一风险项植入防御侧主机;以及,将第二风险项植入所述网络安全对抗攻击平台;其中,所述第一风险项或所述第二风险项可包括以下风险项中的任意一项或多项:预置漏洞;预置后门;预置病毒程序。
其中一种可能的实现方式中,根据所述防御侧主机对所述攻击操作的应急响应操作确定所述防御侧主机的应急响应分值,包括:利用防御侧主机的预置漏洞向所述防御侧主机发起漏洞攻击,根据防御侧主机对所述漏洞攻击的防御结果,确定所述防御侧主机的漏洞修复分值;利用防御侧主机的预置后门向所述防御侧主机发起后门攻击,根据防御侧主机对所述后门攻击的防御结果,确定所述防御侧主机的后门清除分值;利用防御侧主机的预置病毒程序向所述防御侧主机发起数据窃取攻击,根据防御侧主机对所述数据窃取攻击的防御结果,确定所述防御侧主机的数据保护分值。
其中一种可能的实现方式中,根据攻击成本以及所述防御侧主机对所述预置风险项的修复结果确定所述防御侧主机的加固分值,包括:从所述防御侧主机的预置风险项中确定出经过修复的预置风险项;根据与所述经过修复的预置风险项对应的攻击操作的攻击成本,确定所述防御侧主机的加固分值;其中,所述攻击成本可以包括:攻击时效;攻击工具。
其中一种可能的实现方式中,根据所述防御侧主机向所述网络安全对抗攻击平台发起的反击操作,确定所述防御侧主机的反击分值,包括:根据所述防御侧主机查找网络安全对抗攻击平台的攻击信息的时长,确定所述防御侧主机的溯源分值;根据所述防御侧主机从网络安全对抗攻击平台获取目标文件的时长,确定所述防御侧主机的文件获取分值;根据所述溯源分值和所述文件获取分值,确定所述防御侧主机的反击分值。
其中一种可能的实现方式中,根据所述应急响应分值、加固分值以及所述反击分值,确定所述防御侧主机的防御分值,包括:根据预设权重,分别确定所述应急响应分值、加固分值以及所述反击分值的加权值;将所述应急响应分值、加固分值以及所述反击分值的加权值相加,确定所述防御侧主机的防御分值。
第二方面,本申请实施例提供一种网络安全对抗装置,包括:攻击模块,用于利用防御侧主机的各个预置风险项向所述防御侧主机发起攻击操作;确定模块,用于根据所述防御侧主机对所述攻击操作的应急响应操作确定所述防御侧主机的应急响应分值;所述确定模块,还用于根据攻击成本以及所述防御侧主机对所述预置风险项的修复结果确定所述防御侧主机的加固分值;所述确定模块,还用于根据所述防御侧主机向所述网络安全对抗攻击平台发起的反击操作,确定所述防御侧主机的反击分值;计分模块,用于根据所述应急响应分值、加固分值以及所述反击分值,确定所述防御侧主机的防御分值。
其中一种可能的实现方式中,所述装置还包括:风险植入模块,用于将第一风险项植入防御侧主机;以及,将第二风险项植入所述网络安全对抗攻击平台;其中,所述第一风险项或所述第二风险项可包括以下风险项中的任意一项或多项:预置漏洞;预置后门;预置病毒程序。
第三方面,本申请实施例提供一种电子设备,包括:至少一个处理器;以及与所述处理器通信连接的至少一个存储器,其中:所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如上所述的方法。
第四方面,本申请实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如上所述的方法。
以上技术方案中,首先,利用防御侧主机的各个预置风险项向防御侧主机发起攻击操作。然后,根据防御侧主机对攻击操作的应急响应操作确定防御侧主机的应急响应分值;根据攻击成本以及防御侧主机对预置风险项的修复结果确定防御侧主机的加固分值;根据防御侧主机向网络安全对抗攻击平台发起的反击操作,确定防御侧主机的反击分值。最后,根据应急响应分值、加固分值以及反击分值,确定防御侧主机的防御分值。从而实现更贴近实际网络攻击场景的网络安全训练,提高防御人员对网络攻击的防御能力。
【附图说明】
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请网络安全对抗方法一个实施例的流程图;
图2为本申请网络安全对抗装置一个实施例的结构示意图;
图3为本申请网络安全对抗装置另一个实施例的结构示意图;
图4为本申请电子设备一个实施例的结构示意图。
【具体实施方式】
为了更好的理解本申请的技术方案,下面结合附图对本申请实施例进行详细描述。
应当明确,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
在本申请实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
本申请实施例中,可提供一种网络安全对抗攻击平台。网络安全对抗攻击平台可用来执行本申请实施例提供的网络安全对抗方法。以对防御人员进行更贴近实际网络攻击场景的网络安全训练,提高防御人员对网络攻击的防御能力。
图1为本申请网络安全对抗方法一个实施例的流程图。如图1所示,上述网络安全对抗方法可以包括:
步骤101,利用防御侧主机的各个预置风险项,向防御侧主机发起攻击操作。
本申请实施例中,可由网络安全对抗攻击平台来模拟实际场景中的网络攻击方,向防御侧主机发起攻击操作。通过模拟真实的网络攻击场景,对防御方进行训练,提高防御方的防御能力。
网络安全对抗攻击平台在向防御侧主机发起攻击操作之前,可根据题目设计,将第一风险项植入防御侧主机。以便利用第一风险项,向防御侧主机发起攻击操作。以及,为网络安全对抗攻击平台准备跳板机、僵尸网络,以使网络安全对抗攻击平台能够模拟实际场景中的网络攻击者。将第二风险项植入网络安全对抗攻击平台,以便防御侧主机可对网络安全对抗攻击平台发起反击操作。其中,第一风险项或第二风险项可包括:预置漏洞、预置后门和预置病毒程序。
其中,向防御侧主机发起的攻击操作例如可以包括:安全扫描攻击、***漏洞攻击、暴力破解攻击、拒绝服务攻击、网站内容篡改以及远控木马等。
步骤102,根据防御侧主机对攻击操作的应急响应操作,确定防御侧主机的应急响应分值。
本申请实施例中,由于步骤101中对防御侧主机的攻击操作,防御侧主机可能会出现服务器中断的情况。此时,防御侧主机可对多台服务器的当前业务状态进行判断,恢复服务器正常业务功能。
在此基础上,针对网络安全对抗攻击平台的攻击操作,防御侧主机可发起应急响应操作。应急响应操作例如可以包括:查找并清除后门文件、混淆后门文件、删除新建的恶意用户、杀死木马不死马进程以及漏洞修补等。
本申请实施例中,除了模拟攻击方的攻击操作,网络安全对抗攻击平台还可以检测防御侧的防御操作,对防御侧主机的防御操作进行打分。
具体的,网络安全对抗攻击平台可根据防御侧主机的应急响应操作,确定防御侧主机的应急响应分值。
在一些实施例中,网络安全对抗攻击平台可按照预设的时间间隔,分别对防御侧主机进行多次拦截攻击检测、后门清理检测以及数据保护检测。从而确定防御侧主机在各个时间节点的漏洞修复能力、后门清除能力以及数据保护能力。根据防御侧主机在各个时间节点的上述应急响应操作,确定防御侧主机的应急响应分值。
对于其中任意一次确定防御侧主机的应急响应分值的操作,其具体的实现方法如下。
一些实施例中,可执行拦截攻击检测,确定防御侧主机的漏洞修复分值。网络安全对抗攻击平台可利用防御侧主机的预置漏洞,向防御侧主机发起漏洞攻击,检测防御侧主机拦截攻击的能力。如果防御侧主机防御成功,可证明预置漏洞被修复。反之,则认为预置漏洞未被修复。根据防御侧主机对漏洞攻击的防御结果,可确定防御侧主机的漏洞修复分值。
另一些实施例中,可执行后门清理检测,确定防御侧主机的后门清除分值。网络安全对抗攻击平台可对防御侧主机内的预置后门进行存在性验证。具体的,可通过执行防御侧主机预置的检测脚本,确定预置后门是否仍然存在。从而确定防御侧主机的后门清除分值。或者,可利用防御侧主机的预置后门,向防御侧主机发起后门攻击。根据防御侧主机对后门攻击的防御结果,确定防御侧主机的后门清除分值。
另一些实施例中,可执行数据保护检测,确定防御侧主机的数据保护分值。网络安全对抗攻击平台可利用防御侧主机的预置病毒程序,窃取防御侧主机内的目标数据。如果目标数据窃取成功,可认为防御侧主机未杀死预置病毒程序,数据保护失败;反正,则认为防御侧述机具有较好的数据保护能力。根据防御侧主机的数据保护结果,确定防御侧主机的数据保护分值。
步骤103,根据攻击成本以及防御侧主机对预置风险项的修复结果,确定防御侧主机的加固分值。
本申请实施例中,网络安全对抗攻击平台可在攻击操作结束之后,确定防御侧主机的加固分值。
具体的,可从防御侧主机的预置风险项中确定出经过修复的预置风险项。其中,经过修复的预置风险项可以是,完全修复的预置风险项,或者,部分修复的预置风险项。
确定上述经过修复的预置风险项对应的攻击操作。根据经过修复的预置风险项对该攻击操作的攻击成本的增加情况,确定经过修复的预置风险项对攻击操作的限制能力。从而确定防御侧主机的加固分值。
其中,上述攻击成本可以包括:攻击时效和攻击工具。如果经过修复的预置风险项延长了***被攻破的时间;或者,降低了预期的攻击效果;或者,增加了额外的攻击工具、增加了攻击所用流量消耗,都可认为是增加了攻击成本,实现了对攻击操作的限制。
举例来说。利用防御侧主机内的目标漏洞,网络安全对抗攻击平台原本可以突破防御措施,实现***级别管理员权限任意代码执行。而由于防御侧主机对上述目标漏洞的修复,使得网络安全对抗攻击平台被限制为普通用户权限任意代码执行、通过代码执行无法写入***重要文件只能实现文件读取。此时,可以认为防御侧主机的加固操作降低了预期的攻击效果,实现了对攻击操作的限制。
步骤104,根据防御侧主机向网络安全对抗攻击平台发起的反击操作,确定防御侧主机的反击分值。
本申请实施例中,在反击阶段,首先,防御侧主机可根据登录日志、中间件日志以及数据流量等信息,查找网络安全对抗攻击平台的攻击信息。攻击信息例如可以包括:攻击者IP、攻击者主机信息以及攻击者使用的跳板机。
在确定了网络安全对抗攻击平台的攻击信息之后,防御侧主机可向网络安全对抗攻击平台发起反击操作。防御侧主机可利用网络安全对抗攻击平台内的预置风险项,获取网络安全对抗攻击平台内的目标文件。并将获取到的目标文件提交至网络安全对抗攻击平台内的目标地址。网络安全对抗攻击平台接收到防御侧主机提交的目标文件,可认为防御侧主机反击成功。
在防御侧主机的上述反击过程中,网络安全对抗攻击平台可确定防御侧主机的反击分值。具体的,首先,可根据防御侧主机查找网络安全对抗攻击平台的攻击信息的时长,确定防御侧主机的溯源分值。然后,可根据防御侧主机从网络安全对抗攻击平台获取目标文件的时长,确定防御侧主机的文件获取分值。最后,可将溯源分值和文件获取分值相加,确定防御侧主机的反击分值。
步骤105,根据应急响应分值、加固分值以及反击分值,确定防御侧主机的防御分值。
一些实施例中,可将前述步骤中得到的应急响应分值、加固分值以及反击分值相加,将得到的和值确定为防御侧主机的防御分值。
另一些实施例中,可根据预设权重,分别确定应急响应分值、加固分值以及反击分值的加权值。其中,预设权重的大小可根据实际情况的需要进行设置。然后,可将应急响应分值、加固分值以及反击分值的加权值相加,确定防御侧主机的防御分值。
本申请实施例中,将本申请的网络安全对抗方法分为三个阶段:应急响应阶段、加固阶段以及反击阶段。首先,利用防御侧主机的各个预置风险项向防御侧主机发起攻击操作。然后,分别确定防御侧主机的应急响应分值、加固分值以及反击分值。最后,根据应急响应分值、加固分值以及反击分值,确定防御侧主机的防御分值。从而实现更贴近实际网络攻击场景的网络安全训练,提高防御人员对网络攻击的防御能力。
本申请另一个实施例中,与上述实施例不同的是,可将本申请的网络安全对抗方法划分为四个阶段:应急响应阶段、加固阶段、溯源阶段以及反击阶段。分别确定防御侧主机的应急响应分值、加固分值、溯源分值以及反击分值。根据防御侧主机的应急响应分值、加固分值、溯源分值以及反击分值,确定防御侧主机的防御分值。
首先,可根据防御侧主机对攻击操作的应急响应操作,确定防御侧主机的应急响应分值。具体的执行方式可参考上述实施例步骤102,不再赘述。
然后,可根据攻击成本以及防御侧主机对预置风险项的修复结果,确定防御侧主机的加固分值。具体的执行方式可参考上述实施例步骤103,不再赘述。
其次,可根据防御侧主机查找网络安全对抗攻击平台的攻击信息的时长,确定防御侧主机的溯源分值。
最后,可根据防御侧主机从网络安全对抗攻击平台获取目标文件的时长,确定防御侧主机的文件获取分值。
一些实施例中,可将前述步骤中得到的应急响应分值、加固分值、溯源分值以及反击分值相加,将得到的和值确定为防御侧主机的防御分值。
另一些实施例中,可根据预设权重,分别确定应急响应分值、加固分值、溯源分值以及反击分值的加权值。其中,预设权重的大小可根据实际情况的需要进行设置。然后,可将应急响应分值、加固分值、溯源分值以及反击分值的加权值相加,确定防御侧主机的防御分值。
本申请实施例中,将本申请的网络安全对抗方法分为四个阶段:应急响应阶段、加固阶段、溯源阶段以及反击阶段。首先,利用防御侧主机的各个预置风险项向防御侧主机发起攻击操作。然后,分别确定防御侧主机的应急响应分值、加固分值、溯源分值以及反击分值。最后,根据应急响应分值、加固分值、溯源分值以及反击分值,确定防御侧主机的防御分值。从而实现更贴近实际网络攻击场景的网络安全训练,提高防御人员对网络攻击的防御能力。
图2为本申请网络安全对抗装置一个实施例的结构示意图。本实施例中的网络安全对抗装置可以作为网络安全对抗设备实现本申请实施例提供的网络安全对抗方法。如图2所示,上述网络安全对抗装置可以包括:攻击模块21,确定模块22以及计分模块23。
攻击模块21,用于利用防御侧主机的各个预置风险项向防御侧主机发起攻击操作。
确定模块22,用于根据防御侧主机对攻击操作的应急响应操作确定防御侧主机的应急响应分值。以及用于根据攻击成本以及防御侧主机对预置风险项的修复结果确定防御侧主机的加固分值。还用于根据防御侧主机向网络安全对抗攻击平台发起的反击操作,确定防御侧主机的反击分值。
计分模块23,用于根据应急响应分值、加固分值以及反击分值,确定防御侧主机的防御分值。
在具体实现过程中,确定模块22在用于确定防御侧主机的应急响应分值时,具体用于,利用防御侧主机的预置漏洞向防御侧主机发起漏洞攻击,根据防御侧主机对漏洞攻击的防御结果,确定防御侧主机的漏洞修复分值。利用防御侧主机的预置后门向防御侧主机发起后门攻击,根据防御侧主机对后门攻击的防御结果,确定防御侧主机的后门清除分值。利用防御侧主机的预置病毒程序向防御侧主机发起数据窃取攻击,根据防御侧主机对数据窃取攻击的防御结果,确定防御侧主机的数据保护分值。
确定模块22在用于确定防御侧主机的加固分值时,具体用于,从防御侧主机的预置风险项中确定出经过修复的预置风险项。根据与经过修复的预置风险项对应的攻击操作的攻击成本,确定防御侧主机的加固分值。其中,攻击成本可以包括:攻击时效和攻击工具。
确定模块22在用于确定防御侧主机的反击分值时,具体用于,根据防御侧主机查找网络安全对抗攻击平台的攻击信息的时长,确定防御侧主机的溯源分值。根据防御侧主机从网络安全对抗攻击平台获取目标文件的时长,确定防御侧主机的文件获取分值。根据溯源分值和所述文件获取分值,确定防御侧主机的反击分值。
进一步的,计分模块23在用于确定防御侧主机的防御分值时,具体用于,根据预设权重,分别确定应急响应分值、加固分值以及反击分值的加权值。将应急响应分值、加固分值以及反击分值的加权值相加,确定防御侧主机的防御分值。
上述网络安全对抗装置中,首先,攻击模块21利用防御侧主机的各个预置风险项向防御侧主机发起攻击操作。然后,确定模块22根据防御侧主机对攻击操作的应急响应操作确定防御侧主机的应急响应分值;根据攻击成本以及防御侧主机对预置风险项的修复结果确定防御侧主机的加固分值;以及根据防御侧主机向网络安全对抗攻击平台发起的反击操作,确定防御侧主机的反击分值。最后,计分模块23根据应急响应分值、加固分值以及反击分值,确定防御侧主机的防御分值。从而实现更贴近实际网络攻击场景的网络安全训练,提高防御人员对网络攻击的防御能力。
图3为本申请网络安全对抗装置另一个实施例的结构示意图。与图2所示的网络安全对抗装置相比,不同之处在于,图3所示的网络安全对抗装置还可以包括:风险植入模块31。
风险植入模块31,用于将第一风险项植入防御侧主机;以及,将第二风险项植入网络安全对抗攻击平台。
其中,第一风险项或第二风险项可包括以下风险项中的任意一项或多项:预置漏洞、预置后门以及预置病毒程序。
图4为本申请电子设备一个实施例的结构示意图。如图4所示,上述电子设备可以包括至少一个处理器;以及与上述处理器通信连接的至少一个存储器,其中:存储器存储有可被处理器执行的程序指令,上述处理器调用上述程序指令能够执行本申请实施例提供的网络安全对抗方法。
其中,上述电子设备可以为网络安全对抗设备,本实施例对上述电子设备的具体形态不作限定。
图4示出了适于用来实现本申请实施方式的示例性电子设备的框图。图4显示的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图4所示,电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:一个或者多个处理器410,存储器430,连接不同***组件(包括存储器430和处理器410)的通信总线440。
通信总线440表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,***总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(Industry StandardArchitecture;以下简称:ISA)总线,微通道体系结构(Micro Channel Architecture;以下简称:MAC)总线,增强型ISA总线、视频电子标准协会(Video Electronics StandardsAssociation;以下简称:VESA)局域总线以及***组件互连(Peripheral ComponentInterconnection;以下简称:PCI)总线。
电子设备典型地包括多种计算机***可读介质。这些介质可以是任何能够被电子设备访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
存储器430可以包括易失性存储器形式的计算机***可读介质,例如随机存取存储器(Random Access Memory;以下简称:RAM)和/或高速缓存存储器。电子设备可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机***存储介质。尽管图4中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如:光盘只读存储器(Compact Disc Read Only Memory;以下简称:CD-ROM)、数字多功能只读光盘(Digital Video Disc Read Only Memory;以下简称:DVD-ROM)或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与通信总线440相连。存储器430可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本申请各实施例的功能。
具有一组(至少一个)程序模块的程序/实用工具,可以存储在存储器430中,这样的程序模块包括——但不限于——操作***、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块通常执行本申请所描述的实施例中的功能和/或方法。
电子设备也可以与一个或多个外部设备(例如键盘、指向设备、显示器等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过通信接口420进行。并且,电子设备还可以通过网络适配器(图4中未示出)与一个或者多个网络(例如局域网(Local Area Network;以下简称:LAN),广域网(Wide AreaNetwork;以下简称:WAN)和/或公共网络,例如因特网)通信,上述网络适配器可以通过通信总线440与电子设备的其它模块通信。应当明白,尽管图4中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、磁盘阵列(Redundant Arrays of Independent Drives;以下简称:RAID)***、磁带驱动器以及数据备份存储***等。
处理器410通过运行存储在存储器430中的程序,从而执行各种功能应用以及数据处理,例如实现本申请实施例提供的网络安全对抗方法。
本申请实施例还提供一种非临时性计算机可读存储介质,上述非暂态计算机可读存储介质存储计算机指令,上述计算机指令使上述计算机执行本申请实施例提供的网络安全对抗方法。
上述非临时性计算机可读存储介质可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(Read Only Memory;以下简称:ROM)、可擦式可编程只读存储器(ErasableProgrammable Read Only Memory;以下简称:EPROM)或闪存、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LocalArea Network;以下简称:LAN)或广域网(Wide Area Network;以下简称:WAN)连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
需要说明的是,本申请实施例中所涉及的终端可以包括但不限于个人计算机(Personal Computer;以下简称:PC)、个人数字助理(Personal Digital Assistant;以下简称:PDA)、无线手持设备、平板电脑(Tablet Computer)、手机、MP3播放器、MP4播放器等。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种网络安全对抗方法,其特征在于,所述方法应用于网络安全对抗攻击平台;所述方法包括:
利用防御侧主机的各个预置风险项向所述防御侧主机发起攻击操作;
根据所述防御侧主机对所述攻击操作的应急响应操作确定所述防御侧主机的应急响应分值;
根据攻击成本以及所述防御侧主机对所述预置风险项的修复结果确定所述防御侧主机的加固分值;
根据所述防御侧主机向所述网络安全对抗攻击平台发起的反击操作,确定所述防御侧主机的反击分值;
根据所述应急响应分值、加固分值以及所述反击分值,确定所述防御侧主机的防御分值。
2.根据权利要求1所述的方法,其特征在于,利用防御侧主机的各个预置风险项向所述防御侧主机发起攻击操作之前,所述方法还包括:
将第一风险项植入防御侧主机;以及,将第二风险项植入所述网络安全对抗攻击平台;
其中,所述第一风险项或所述第二风险项可包括以下风险项中的任意一项或多项:预置漏洞;预置后门;预置病毒程序。
3.根据权利要求1所述的方法,其特征在于,根据所述防御侧主机对所述攻击操作的应急响应操作确定所述防御侧主机的应急响应分值,包括:
利用防御侧主机的预置漏洞向所述防御侧主机发起漏洞攻击,根据防御侧主机对所述漏洞攻击的防御结果,确定所述防御侧主机的漏洞修复分值;
利用防御侧主机的预置后门向所述防御侧主机发起后门攻击,根据防御侧主机对所述后门攻击的防御结果,确定所述防御侧主机的后门清除分值;
利用防御侧主机的预置病毒程序向所述防御侧主机发起数据窃取攻击,根据防御侧主机对所述数据窃取攻击的防御结果,确定所述防御侧主机的数据保护分值。
4.根据权利要求1所述的方法,其特征在于,根据攻击成本以及所述防御侧主机对所述预置风险项的修复结果确定所述防御侧主机的加固分值,包括:
从所述防御侧主机的预置风险项中确定出经过修复的预置风险项;
根据与所述经过修复的预置风险项对应的攻击操作的攻击成本,确定所述防御侧主机的加固分值;
其中,所述攻击成本可以包括:攻击时效;攻击工具。
5.根据权利要求1所述的方法,其特征在于,根据所述防御侧主机向所述网络安全对抗攻击平台发起的反击操作,确定所述防御侧主机的反击分值,包括:
根据所述防御侧主机查找网络安全对抗攻击平台的攻击信息的时长,确定所述防御侧主机的溯源分值;
根据所述防御侧主机从网络安全对抗攻击平台获取目标文件的时长,确定所述防御侧主机的文件获取分值;
根据所述溯源分值和所述文件获取分值,确定所述防御侧主机的反击分值。
6.根据权利要求3-5任一所述的方法,其特征在于,根据所述应急响应分值、加固分值以及所述反击分值,确定所述防御侧主机的防御分值,包括:
根据预设权重,分别确定所述应急响应分值、加固分值以及所述反击分值的加权值;
将所述应急响应分值、加固分值以及所述反击分值的加权值相加,确定所述防御侧主机的防御分值。
7.一种网络安全对抗装置,其特征在于,包括:
攻击模块,用于利用防御侧主机的各个预置风险项向所述防御侧主机发起攻击操作;
确定模块,用于根据所述防御侧主机对所述攻击操作的应急响应操作确定所述防御侧主机的应急响应分值;
所述确定模块,还用于根据攻击成本以及所述防御侧主机对所述预置风险项的修复结果确定所述防御侧主机的加固分值;
所述确定模块,还用于根据所述防御侧主机向所述网络安全对抗攻击平台发起的反击操作,确定所述防御侧主机的反击分值;
计分模块,用于根据所述应急响应分值、加固分值以及所述反击分值,确定所述防御侧主机的防御分值。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
风险植入模块,用于将第一风险项植入防御侧主机;以及,将第二风险项植入所述网络安全对抗攻击平台;
其中,所述第一风险项或所述第二风险项可包括以下风险项中的任意一项或多项:预置漏洞;预置后门;预置病毒程序。
9.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至6任一所述的方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至6任一所述的方法。
CN202011387397.6A 2020-12-01 2020-12-01 网络安全对抗方法、装置和电子设备 Pending CN114640484A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011387397.6A CN114640484A (zh) 2020-12-01 2020-12-01 网络安全对抗方法、装置和电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011387397.6A CN114640484A (zh) 2020-12-01 2020-12-01 网络安全对抗方法、装置和电子设备

Publications (1)

Publication Number Publication Date
CN114640484A true CN114640484A (zh) 2022-06-17

Family

ID=81944876

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011387397.6A Pending CN114640484A (zh) 2020-12-01 2020-12-01 网络安全对抗方法、装置和电子设备

Country Status (1)

Country Link
CN (1) CN114640484A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116129884A (zh) * 2023-03-29 2023-05-16 杭州海康威视数字技术股份有限公司 基于敏感频段调节的语音对抗样本防御方法、装置及设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116129884A (zh) * 2023-03-29 2023-05-16 杭州海康威视数字技术股份有限公司 基于敏感频段调节的语音对抗样本防御方法、装置及设备
CN116129884B (zh) * 2023-03-29 2023-06-27 杭州海康威视数字技术股份有限公司 基于敏感频段调节的语音对抗样本防御方法、装置及设备

Similar Documents

Publication Publication Date Title
US11991203B2 (en) Method and system for generating stateful attacks
RU2514140C1 (ru) Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов
EP3371953B1 (en) System and methods for detecting domain generation algorithm (dga) malware
RU2697950C2 (ru) Система и способ выявления скрытого поведения расширения браузера
US20170093892A1 (en) System and method for generating sets of antivirus records for detection of malware on user devices
CN105760787B (zh) 用于检测随机存取存储器中的恶意代码的***及方法
US10372907B2 (en) System and method of detecting malicious computer systems
RU2748518C1 (ru) Способ противодействия вредоносному программному обеспечению (ВПО) путем имитации проверочной среды
CN110837644B (zh) 一种***渗透测试方法、装置及终端设备
Akram et al. How to build a vulnerability benchmark to overcome cyber security attacks
US9021596B2 (en) Correcting workflow security vulnerabilities via static analysis and virtual patching
CN112926055A (zh) 基于时间概率攻击图的病毒攻击防御方法
CN114640484A (zh) 网络安全对抗方法、装置和电子设备
EP3252645B1 (en) System and method of detecting malicious computer systems
CN110909349B (zh) docker容器内反弹shell的检测方法和***
US11681798B2 (en) Security screening of a universal serial bus device
CN113824678A (zh) 处理信息安全事件以检测网络攻击的***和方法
CN114257415B (zh) 网络攻击的防御方法、装置、计算机设备和存储介质
JP7309098B2 (ja) 攻撃進捗評価装置、攻撃進捗評価方法、及び、攻撃進捗評価プログラム
CN116861418B (zh) 面向32位Windows沙盒的渗透测试方法、装置、设备及存储介质
US20230396646A1 (en) Identifying computer systems for malware infection mitigation
WO2023032015A1 (ja) 攻撃分析支援装置、攻撃分析支援方法、およびコンピュータ読み取り可能な記録媒体
Hovmark et al. Towards Extending Probabilistic Attack Graphs with Forensic Evidence: An investigation of property list files in macOS
EP3522057A1 (en) System and method of detecting hidden behavior of a browser extension
Agaji et al. AN EXPERIMENTAL STACK ATTACKS DETECTION AND RECOVERY FRAMEWORK USING AGENTS, CHECKPOINTS AND ROLLBACK

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination