、采集方式管理和状态管理有助于搜 集到更为全面和有效的安全情报,而允许手工导入安全情报则增强了安全情报库模块的可 扩展性。
[0035] 更进一步需要说明的是,采集策略管理子模块对于普通安全情报采用的采集策略 为采集基本属性,通过Web爬虫建立初始属性,属性需要精细处理,最大化地还原目标的所 有可获取属性;对于重要安全情报,除了采集基本属性还进行关系结构的采集,并进行网状 描绘,在属性的更新上做到天级别的更新周期;而紧急安全情报则是最大化的详尽对象在 互联网上的所有特征。
[0036] 进一步需要说明的是,所述数据获取子模块具体支持多深度爬虫、GraphAPI以及FQL2. 0,通过所述采集方式管理子模块的调度可以单一使用或组合使用;多深度爬虫用于 对目标情报源的目标页面进行遍历,并将安全情报存储到存储子模块上;GraphAPI用于对 目标对象进行基本属性的实时更新;而通过使用FQL查询语言,可以获取到格式化后的数 据并快速整型入库。
[0037] 需要说明的是,数据层系统中的各个资源库模块中均设有统计子模块。每个资源 库模块中的统计子模块所统计的内容具体可以根据实际需要设定,如工具库模块中可以统 计每个工具的使用频率,场景配置库中统计每个场景的使用记录等,通过对各资源库模块 中的统计结果进行单独分析或关联分析,帮助对信息安全攻防平台中的攻防结果、演练结 果或者加固的结果做出定量化的分析,从数据层面对操作人员的操作习惯进行定量分析。 [0038] 需要说明的是,数据层系统中的每个资源库模块均设有独立的权限控制子模块。 所述权限控制子模块使得每个资源库模块的访问、接入或数据输入输出均受权限控制,只 有获得权限的人员才能进入访问相关的资源库模块,有效防止数据泄露。
[0039] 本发明的有益效果在于:
[0040] 1、数据层系统的数据进行统一的接入和输出,且受到权限控制,管理规范且自动 化,并且能够有效地防止数据的泄露,保证信息安全;
[0041] 2、能够对数据库系统中的数据进行有效的后期分析,进而使得数据库系统不仅可 以用于支撑信息安全攻防平台的攻防演练,而且还可以对攻防结果、演练结果或者加固的 结果做出定量化的分析,从数据层面对信息安全人员的操作习惯进行定量分析,从而针对 性地进行培训和查漏补缺,对漏洞分布、一个时间段内的漏洞特点做出分析甚至预判,从而 最大化地利用所收集的数据;
[0042] 3、功能完备的安全情报库模块使得数据库系统具有对国内各大网络安全情报网 站如CVE,CERT的安全情报的爬取和存储的功能,提高了安全技术能力。
【附图说明】
[0043]图1为本发明的总体功能模块图;
[0044] 图2为图1中工具库模块的功能模块示意图。
【具体实施方式】
[0045] 以下将结合附图对本发明作进一步的描述,需要说明的是,本实施例以本技术方 案为前提,给出了详细的实施方式和具体的操作过程,但本发明的保护范围并不限于本实 施例。
[0046] 如图1所示,一种信息安全攻防平台的数据层系统,主要由若干资源库模块组成, 所述资源库模块包括工具库模块、场景配置库模块、课件库模块、安全情报库模块、日志库 模块、攻击行为库模块和平台库模块;所述数据层系统还设有统一数据联动接口以及数据 传输模块,两者均与各资源库模块连接;所述统一数据联动接口为外部接入各资源库模块 的统一接口,而数据层系统内各资源库模块均通过所述数据传输模块与外部进行数据传 输。
[0047] 需需要说明的是,库是功能相近的类的集合,有助于实现专人开发和专职管理,具 有专业性强的特点,在版本控制和扩展方面都更加容易,还可以将错误处理集中进行。采用 库的形式构成信息安全攻防平台的数据层系统,有利于更加统一有效地为攻防演练、攻防 培训等操作提供数据支撑。另外,所述统一数据联动接口和数据传输模块使得整个数据库 系统的数据统一地接入和输出,管理更加规范,也有利于对数据的访问和输出进行权限管 理。另外,在整个数据层系统中,既采用了真实的物理设备,还采用了较为完备的虚拟技术, 虚实结合的方式使得所述数据层系统的运行更为快速有效,还有利于降低成本。
[0048]一、工具库模块
[0049] 工具库模块中设置有渗透工具库子模块和网络攻击库子模块;除系统事先提供 的各种渗透工具和网络攻击工具外,通过所述统一数据联动接口可以进行第三方的工具导 入。所述工具库用于为攻防演练时采用的不同攻击方式提供相应的工具,预置有多种渗透 工具和网络攻击工具的同时,还允许导入第三方工具,有助于数据快速响应的同时使工具 库模块也更具可扩展性。
[0050] 如图2所示,所述工具库模块主要由以下几部分组成:用户端、工具库系统、工具 库服务器、工具存储器。
[0051] 用户端:主要是终端用户,即数据层系统使用者。用户端可以从工具库模块里,通 过浏览器的方式访问工具库系统并下载相关工具。
[0052] 工具库系统:工具库系统主要由工具模块包、渗透工具、工具及工具使用文档下载 组成。用户端可以通过工具库系统下载相应的渗透测试工具。
[0053] 工具库服务器:工具库服务器负责工具库模块的部署和运行。对外给用户端提供 工具库系统浏览界面,同时可以也可以用来存储渗透工具。
[0054] 工具存储器:此部分为一个文件系统,分渗透工具包模块,存放所有的内网渗透测 试工具及各个工具的使用文档。
[0055] (一)渗透工具库子模块
[0056] 渗透工具库子模块中包含有信息搜集工具集、口令拆解工具集、漏洞利用工具集、 权限提升工具集、脚本渗透工具集。
[0057] (1)信息搜集工具集
[0058] 能够对目标网络进行扫描和检测、脆弱性分析,并综合运用多种国际最新的漏洞 扫描与检测技术,能够快速发现网络资产,准确识别资产属性、全面扫描安全漏洞,清晰定 性安全弱点,从而帮助用户在攻击前期做好信息收集工作,能够掌握目标环境。其中,所述 信息搜集工具集主要包含如下工具:
[0059] 远程主机扫描工具:能够通过综合运用多种手段(主机存活探测,智能端口检测, 操作系统指纹识别等)全面、快速、准确的发现被扫描网络中的存活主机;
[0060] 主机开放端口扫描工具:能够探测目标主机开放端口,以及扫描主机scanme中所 有的保留TCP端口,像为B类188. 116网段中255个8位子网。该探测用于确定系统是否 运行了sshd、DNS、imapd或4564端口。如果这些端口打开,将使用版本检测来确定哪种应 用在运行;
[0061] 主机协议扫描工具:确定目标机支持哪些IP协议;
[0062] 系统扫描工具:探测目标主机的操作系统,进行秘密SYN扫描,对象为主机Saznme 所在的"C类"网段的255台主机,同时尝试确定每台工作主机的操作系统类型;因为进行 SYN扫描和操作系统检测,这个扫描需要有根权限;
[0063] 内网络拓扑扫描探测工具:域环境扫描工具,可以实现对域环境下的信息探测及 拓扑结构显示;
[0064] 自动化扫描工具;
[0065] 数据库扫描工具:发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是 MS-SQL,,MYSQL,ORACLE和POSTGRESQL。SQLMAP采用四种独特的SQL注入技术,分别是盲推 理SQL注入,UNION查询SQL注入,堆查询和基于时间的SQL盲注入。其广泛的功能和选项 包括数据库指纹,枚举,数据库提取,访问目标文件系统,并在获取完全操作权限时实行任 意命令;
[0066] 网站服务器扫描工具:它可以对网页服务器进行全面的多种扫描,包含超过千种 有潜在危险的文件/CGIs;超过多种服务器版本;超过多种特定服务器问题。扫描项和插件 可以自动更新(如果需要)。基于Whisker/libwhisker完成其底层功能;
[0067] 网站扫描工具:能够对网站进行扫描,包括后台目录及文件;
[0068] CGI漏洞扫描工具:用于扫描系统存在的CGI漏洞。
[0069] 二进制扫描工具:用于扫描系统二进制文件。
[0070] NetBIOS扫描工具:用于局域网,IP,主机名,用户名称和MAC地址扫描。
[0071] (2) 口令拆解工具集
[0072] 所述口令拆解工具集具体包括:
[0073] 密码字典生成工具:支持对目标对象的多种密码生成方式,如生日、学号、邮编、手 机、姓名等。修改现存密码字典:包括单个字典文件的插入、删除、替换字符(串);大小写 转换;删除空格、空行、重复行;以及两个字典的合并运算,包括并、交、补、差、积等运算功 能。具备多种字典生成、修改、合并、分割、排序、清理、预览字典等功能.以数学模型为理念 基础,灵活运用,各模块化功能可相互组合;
[0074] 本地密码爆破工具:支持多种数据类型的密码爆破,包括:Windows密码、VNC、 Office、压缩文