[发明专利]一种网络靶场流量采集分析系统与方法

说明书

本发明公开了一种网络靶场流量采集分析系统与方法。本发明系统主要包括用于管理流量采集分析规则的规则引擎子系统，以及管理采集任务和分析采集数据的采集分析子系统；其中流量采集分析规则至少包括匹配规则项和匹配后的动作指令；所述匹配规则项包括IP地址、端口、协议类型、报文内容中的一种或多种；采集分析子系统中，为每个开启流量采集分析功能的网络靶场独立部署的流量采集分析平台，流量采集分析平台用于根据网络靶场配置的流量采集分析规则进行流量采集与处理。本发明可以实现靶场维度的流量采集分析，支持定制化采集分析，具有较强的扩展性和自动化部署能力。

技术领域

本发明涉及一种网络靶场流量采集分析系统与方法，属于网络安全、计算机软件领域。

背景技术

网络靶场（Cyber Range）是一种基于虚拟化技术，对真实网络空间中的网络架构、系统设备、业务流程的运行状态及运行环境进行模拟和复现的技术或产品，以更有效地实现与网络安全相关的学习、研究、检验、竞赛、演习等行为，从而提高人员及机构的网络安全对抗水平。

网络靶场流量采集分析是获得第一手网络靶场用户行为指标和参数的最有效手段。随着网络靶场系统精细化要求不断提高，网络流量采集分析已经成为网络靶场中心基础设施不可缺少的一部分。从目前行业使用来看，网络流量采集分析大多利用网络设备支持流量镜像的方式实现，存在无法区分流量来源于哪个网络靶场、无法做到采集分析器定制化等问题，无法满足网络靶场实时采集分析流量需求，对流量的采集分析不够灵活、扩展性不强。

发明内容

发明目的：针对上述现有技术存在的问题，本发明目的在于提供一种网络靶场流量采集分析系统与方法，可以实现靶场维度的流量采集分析，支持定制化采集分析，具有较强的扩展性和自动化部署能力。

技术方案：为实现上述发明目的，本发明采用如下技术方案：

一种网络靶场流量采集分析系统，包括规则引擎子系统和采集分析子系统；

所述规则引擎子系统，用于用户管理流量采集分析规则，所述流量采集分析规则至少包括匹配规则项和匹配后的动作指令；所述匹配规则项包括IP地址、端口、协议类型、报文内容中的一种或多种；

所述采集分析子系统，包括：

任务管理模块，用于用户管理网络靶场流量采集分析功能，选择流量采集分析规则；

为每个开启流量采集分析功能的网络靶场独立部署的流量采集分析平台，所述流量采集分析平台，用于根据网络靶场配置的流量采集分析规则进行流量采集与处理；

以及，结果展示模块，用于用户查看各网络靶场流量采集的结果数据。

作为优选，所述流量采集分析平台被提前打包成虚拟机镜像，在网络靶场开启流量采集分析功能，并选择对应流量采集分析规则后，由虚拟机管理系统根据网络靶场场景自动生成对应的流量采集分析平台的名称，以此名称安装并启动流量采集分析平台。

作为优选，所述流量采集分析规则中还包括优先级、匹配超时时间、规则标识中的一种或多种。

作为优选，所述流量采集分析规则中的动作指令用于指示对匹配到的报文的处理方式，包括丢弃、通过、拒绝、告警中的一种或多种。

作为优选，所述任务管理模块中，在用户选择规则引擎子系统中配置的流量采集分析规则后，支持对规则中的参数进行修改。

作为优选，所述流量采集分析平台采集的流量数据存储到ElasticSearch集群中，为每个网络靶场的流量采集分析数据设置各自的索引。

作为优选，网络靶场的流量采集分析规则以文档格式存储，在网络靶场的流量采集分析平台启动后，将对应的流量采集分析规则文件挂载到流量采集分析平台中。