[发明专利]基于攻击行为模拟的网络防护设备有效性验证系统及方法

权利要求书

1.一种基于攻击行为模拟的网络防护设备有效性验证系统，其特征在于，包括总控端与接收端；

所述总控端包括：

任务管理及靶场导调模块、基础通信模块、总控端控制模块、攻击流量录制及定制模块、虚拟化节点生成及控制模块和总控端日志记录及告警模块；

所述接收端包括：

基础通信模块、接收端控制与受控模块、攻击流量重放模块、虚拟化节点生成及控制模块、攻击行为模拟模块和接收端日志记录模块。

2.根据权利要求1所述的一种基于攻击行为模拟的网络防护设备有效性验证系统，其特征在于，

所述任务管理及靶场导调模块支持针对各种防护设备和使用场景的可视化配置管理及调度，支持对接网络靶场调度接口，提供基于网络靶场的网络拓扑设计及内置拓扑模板、虚拟化终端一键部署应用；

所述基础通信模块：基础通信模块支持多端同时建立基于非对称加密的加密通信连接，如总控模块与接收模块、接收模块之间；在上联交换机口为Trunk口的情况下，基础通信模块可配置发送的数据包，对VLAN标签进行更改以支持自主接入各VLAN子网；

所述总控端控制模块与接收端控制与受控模块组成一套控制系统，通过基础通信模块，接收端与总控端建立一个基于非对称加密的远程长连接服务，通过这个远程长连接服务，使用各种远程控制功能发送基础的远程控制命令，接收端将这些命令按序执行，实现控制效果；

攻击流量录制及定制模块，支持在攻击行为模拟模块发起网络攻击时，基于流量探针捕获、存储相应的攻击流量，支持解析并修改定制网络流量包信息，具体包括攻击发起端和接收端ip、端口、mac地址及网络协议；

攻击流量重放模块，支持在接收到总控端流量重放指令并通过加密连接从总控端接收到加密流量包后，针对指定链路将该流量重复播放；

所述虚拟化节点生成及控制模块为接收端从总控端接收docker靶标镜像生成指令，将首先检查本机是否具备docker虚拟化环境、无环境时是否支持docker虚拟化部署并从总控端拉取docker虚拟化环境部署文件并完成部署；环境准备完毕后，从总控端拉取docker靶标镜像并部署并将返回响应结果。此靶标镜像将默认安装接收端控制与受控模块，使用中可被调度；

攻击行为模拟模块，通过基于鼠标和键盘的输入模拟结合虚拟硬件生成方案，接收端按照接收到的基础控制指令或预设好的多条基础控制指令组合形成的流程化指令，控制所在终端产生相应的攻击或被攻击后的应激行为；

总控端日志记录及告警模块和接收端日志记录模块记录软件运行期间产生的所有行为，包括针对网络拓扑中某防护设备的检测事件、虚拟化节点生成事件，记录连通性测试、攻击流量，提供记录粒度管控，总控端日志记录及告警模块支持从被测试的网络防护设备、SOC类统一调度系统接收告警日志并解析为攻击事件。

3.一种采用基于攻击行为模拟的网络防护设备有效性验证系统的验证方法，其特征在于，采用如下部署方式：将总控端部署于服务区，将接收端部署于任意终端组并将交换机上联口类型配置为Trunk，总控与接收端均自主接入各VLAN子网；部署完成后，首先将总控端和接收端初始化，随后根据不同检测类型选择不同的策略。

4.根据权利要求3所述的一种采用基于攻击行为模拟的网络防护设备有效性验证系统的验证方法，其特征在于，所述检测类型为防火墙访问控制策略时，在初始化阶段在防火墙以外部署接收端，首先由接收端生成连通性测试流量，并通过防火墙向总控端发送，测试流量将遍历N个端口，依次验证隔离有效性；随后，由总控端生成连通性测试流量，并通过防火墙向接收端发送，测试流量将遍历N个端口，依次验证隔离有效性；验证结果发送至总控端汇总并输出告警信息和报告。

5.根据权利要求3所述的一种采用基于攻击行为模拟的网络防护设备有效性验证系统的验证方法，其特征在于，所述检测类型为交换机VLAN隔离有效性时，将两接收端A、B连接至交换机，固定接收端A的VLAN，另一台接收端B遍历接入所有已开启的VLAN，并生成连通性测试流量向接收端A发送；测试完毕后，接收端A的VLAN进行变更，接收端B再进行遍历并跳过已测试连通性的VLAN；如此循环n*(n+1)/2次，完成针对VLAN隔离有效性的验证，验证结果由接收端A发送至总控端，由总控端输出告警信息和报告。