[发明专利]一种网络靶场流量采集分析系统与方法

权利要求书

1.一种网络靶场流量采集分析系统，其特征在于，包括规则引擎子系统和采集分析子系统；

所述规则引擎子系统，用于用户管理流量采集分析规则，所述流量采集分析规则至少包括匹配规则项和匹配后的动作指令；所述匹配规则项包括IP地址、端口、协议类型、报文内容中的一种或多种；

所述采集分析子系统，包括：

任务管理模块，用于用户管理网络靶场流量采集分析功能，选择流量采集分析规则；

为每个开启流量采集分析功能的网络靶场独立部署的流量采集分析平台，所述流量采集分析平台，用于根据网络靶场配置的流量采集分析规则进行流量采集与处理；

以及，结果展示模块，用于用户查看各网络靶场流量采集的结果数据；

所述流量采集分析平台被提前打包成虚拟机镜像，在网络靶场开启流量采集分析功能，并选择对应流量采集分析规则后，由虚拟机管理系统根据网络靶场场景自动生成对应的流量采集分析平台的名称，以此名称安装并启动流量采集分析平台；

所述流量采集分析规则中的动作指令用于指示对匹配到的报文的处理方式，包括丢弃、通过、拒绝、告警中的一种或多种。

2.根据权利要求1所述的网络靶场流量采集分析系统，其特征在于，所述流量采集分析规则中还包括优先级、匹配超时时间、规则标识中的一种或多种。

3.根据权利要求1所述的网络靶场流量采集分析系统，其特征在于，所述任务管理模块中，在用户选择规则引擎子系统中配置的流量采集分析规则后，支持对规则中的参数进行修改。

4.根据权利要求1所述的网络靶场流量采集分析系统，其特征在于，所述流量采集分析平台采集的流量数据存储到ElasticSearch集群中，为每个网络靶场的流量采集分析数据设置各自的索引。

5.根据权利要求1所述的网络靶场流量采集分析系统，其特征在于，网络靶场的流量采集分析规则以文档格式存储，在网络靶场的流量采集分析平台启动后，将对应的流量采集分析规则文件挂载到流量采集分析平台中。

6.根据权利要求1所述的网络靶场流量采集分析系统，其特征在于，所述流量采集分析平台从指定的物理网口或虚拟网卡采集流量，还支持导入pcap流量包。

7.根据权利要求1所述的网络靶场流量采集分析系统，其特征在于，所述结果展示模块中，支持用户查看选定网络靶场中所有的流量日志信息以及统计数据。

8.采用根据权利要求1-7任一项所述的网络靶场流量采集分析系统的网络靶场流量采集分析方法，其特征在于，包括如下步骤：

用户进入规则引擎子系统创建并保存流量采集分析规则；

用户创建或选择网络靶场，开启流量采集分析功能，并进入采集分析子系统为网络靶场选择流量采集分析规则，或者修改所选择流量采集分析规则的参数，并保存；

用户启动网络靶场，虚拟机管理系统在创建网络靶场环境的同时，创建对应的流量采集分析平台，将配置的流量采集分析规则同步到流量采集分析平台；

流量采集分析平台根据配置的流量采集分析规则采集流量，处理后存储流量；所存储的流量根据不同的网络靶场进行分类；

用户进入采集分析子系统查看网络靶场流量采集的结果数据。