专利名称:一种基于移动代理的网络攻防试验资源部署方法
技术领域:
本发明涉及一种网络攻防试验资源部署方法,特别涉及一种基于移动代理的网络攻防试验资源部署方法。
背景技术:
所述网络攻防试验资源是指网络对抗双方在对抗过程中采用的侦察、攻击、防御软件系统。目前,网络攻防试验被广泛应用于测试和验证网络侦察、攻击与防御装备功能和性能的技术领域,以此为手段学习和研究网络攻击的过程和效果,测试网络中安防装备的可用性和有效性。然而在网络攻防试验资源部署方面,尚存在一些不足,具体表现为(1)网络攻防试验资源采用人工部署方式,资源部署效率低,易部署失误,缺乏从设计到部署的一体化过程,不具备自动部署的能力。(2)网络攻防试验资源预先部署,不支持按需的动态调整。(3)缺少网络攻防试验资源部署的整体视图,当同时开展多个攻防试验时,难以对试验资源进行有效调配。·
发明内容
发明目的本发明主要目的是提供一种在局域网和/或广域网环境中,具有自动部署能力的支持按需动态调整的基于移动代理的网络攻防试验资源部署方法。技术方案本发明公开了一种基于移动代理的网络攻防试验资源部署方法,所述方法从结构角度将网络攻防试验资源部署系统分为资源配置管理席、试验资源库、威胁环境部署平台和目标系统部署平台,且资源配置管理席、试验资源库、威胁环境部署平台和目标系统部署平台共同连接一个网络,并通过该网络传送数据;在资源配置管理席部署资源配置管理系统,在试验资源库部署移动代理管理系统和移动代理。所述资源配置管理席用于通过资源配置管理系统提供网络攻防试验资源部署整体视图、制定网络攻防试验资源部署计划、发布网络攻防试验资源部署命令。所述试验资源库用于存放网络攻防试验资源,网络攻防试验资源部署计划中使用的网络攻防试验资源全部由试验资源库提供。所述威胁环境部署平台包括η台具有移动代理运行环境的攻击主机,用于部署侦察和攻击类型的网络攻防试验资源;η取值为自然数。所述目标系统部署平台包括η台具有移动代理运行环境的防御主机,用于部署防御类型的网络攻防试验资源;11取值为自然数。所述资源配置管理系统用于网络攻防试验资源注册与维护、攻击主机和防御主机属性数据注册与维护、网络攻防试验资源部署视图展现、网络攻防试验资源部署计划编辑和网络攻防试验资源部署命令发布;所述移动代理管理系统用于网络攻防试验资源部署计划解析、移动代理派遣和回收以及移动代理返回数据的处理;所述移动代理用于根据移动代理管理系统分配的任务进行网络攻防试验资源的分发、安装以及卸载。所述方法是一种在局域网和/或广域网环境中,具有开放性和灵活性的网络攻防试验资源自动部署和按需动态调整能力,提供网络攻防试验资源部署整体视图的方法,该方法包括下列步骤第一步利用资源配置管理系统进行网络攻防试验资源注册,已注册的网络攻防试验资源存放到试验资源库;利用资源配置管理系统进行攻击主机和防御主机属性数据注册;资源配置管理系统展现网络攻防试验资源列表、攻击主机和防御主机的拓扑结构。第二步根据网络攻防试验需求,利用资源配置管理系统制定网络攻防试验资源部署计划;通过网络向移动代理管理系统发送部署计划。第三步利用移动代理管理系统解析部署计划,为移动代理设定巡游路线和试验资源安装任务。
第四步移动代理自主迁移至第一台或下一台攻击主机或者防御主机,从试验资源库获取试验资源安装任务指定安装的网络攻防试验资源,在攻击主机或者防御主机安装该网络攻防试验资源,并保存安装数据;若该攻击主机或者防御主机已是巡游路线中的最后一台主机,则移动代理返回试验资源库,并将安装数据作为资源部署结果发送给移动代理管理系统;移动代理清除本次资源部署中保存的安装数据。第五步利用移动代理管理系统综合所有资源部署结果,发送给资源配置管理系统。第六步若本次网络攻防试验资源部署完成,则结束;若本次试验资源部署计划改变,需要调整,则利用资源配置管理系统重新制定网络攻防试验资源部署计划,通过网络向移动代理管理系统发送新的部署计划。第七步利用移动代理管理系统解析部署计划,为移动代理设定巡游路线和网络攻防试验资源安装任务或者网络攻防试验资源卸载任务。第八步移动代理自主迁移至第一台或下一台攻击主机或者防御主机,若移动代理在该迁移节点的任务是网络攻防试验资源安装任务,则从试验资源库获取任务指定安装的网络攻防试验资源,在该攻击主机或者防御主机安装该网络攻防试验资源,并保存安装数据;若移动代理在该迁移节点的任务是网络攻防试验资源卸载任务,则卸载该网络攻防试验资源,并保存卸载数据;若该攻击主机或者防御主机已是巡游路线中的最后一台主机,则移动代理返回试验资源库,并将对应安装或卸载的数据作为资源部署结果发送给移动代理管理系统;移动代理清除本次资源部署中保存的安装或卸载数据。第九步利用移动代理管理系统综合所有资源部署结果,发送给资源配置管理系统。有益效果本发明显著优点是1、支持网络攻防试验资源自动部署,利用移动代理分发网络攻防试验资源,自主迁移至攻击主机或者防御主机安装试验资源。2、支持网络攻防试验资源部署按需动态调整,当部署计划发生改变时,利用移动代理自主迁移至攻击主机或者防御主机调整试验资源部署。3、提供网络攻防试验资源部署的整体视图,达到从试验设计到试验资源部署过程的一体化目标。4、具有良好的扩展性,当有新的网络攻防试验资源加入试验资源库或新的攻击主机或者防御主机加入部署平台时,只需将其属性数据向资源配置管理系统注册。
下面结合附图和具体实施方式
对本发明做更进一步的具体说明,本发明的上述和/或其他方面的优点将会变得更加清楚。图I是本发明的总体概念图。图2是本发明总体流程图。图3是本发明的资源配置管理系统流程图。图4是本发明的移动管理系统流程图。图5是本发明的移动代理流程图。图6是本发明的部署过程图。·
具体实施例方式如图I所示,本发明从结构角度将网络攻防试验资源部署系统分为资源配置管理席I、试验资源库2、威胁环境部署平台3和目标系统部署平台4,且资源配置管理席I、试验资源库2、威胁环境部署平台3和目标系统部署平台4共同连接一个网络,并通过该网络传送数据;在资源配置管理席I部署资源配置管理系统5,在试验资源库2部署移动代理管理系统6和移动代理7、存放网络攻防试验资源8。威胁环境部署平台3包括η台具有移动代理运行环境的攻击主机,用于部署侦察和攻击类型的网络攻防试验资源;目标系统部署平台4包括η台具有移动代理运行环境的防御主机,用于部署防御类型的网络攻防试验资源。结合图2,本发明中资源配置管理系统、移动代理管理系统、移动代理的交互关系为资源配置管理系统向移动代理管理系统发布资源部署计划;移动代理管理系统解析部署计划,为移动代理设定巡游路线和任务;移动代理任务执行完毕后将任务执行结果发送给移动代理管理系统;移动代理管理系统综合所有资源部署结果,发送给资源配置管理系统。如图3所示,本发明的资源配置管理系统流程如下在步骤31中,若是注册则进入步骤32,若是部署则进入步骤38 ;在步骤32中,若是网络攻防试验资源注册进入步骤33,若是攻击主机或者防御主机属性数据注册进入步骤35 ;在步骤33中,将网络攻防试验资源文件上传至试验资源库;在步骤34中,填写网络攻防试验资源属性数据,包括资源名称、资源描述、资源存放位置、资源类型和资源部署要求;在步骤35中,填写攻击主机或者防御主机属性数据,包括主机名称、主机IP地址、主机MAC地址、主机操作系统和邻接主机;在步骤36中,将注册数据保存到数据库中;在步骤37中,若继续注册,则进入步骤32,否则结束;在步骤38中,从数据库中读取已注册的试验资源和攻击主机或者防御主机属性数据,展现已注册试验资源列表、攻击主机和防御主机的拓扑结构及属性数据;在步骤39中,试验资源部署人员在界面上拖动试验资源至攻击主机或者防御主机中,制定或者修改网络攻防试验资源部署计划;
在步骤310中,保存网络攻防试验资源部署计划;在步骤311中,发送网络攻防试验资源部署计划至移动代理管理系统;在步骤312中,等待移动管理系统反馈部署结果;在步骤313中,若需要调整网络攻防试验资源部署计划,则进入步骤39,否则结束。如图4所示,本发明的移动代理管理系统流程如下在步骤41中,等待并接收资源配置管理系统发送的网络攻防试验资源部署计划;在步骤42中,解析网络攻防试验资源部署计划,主要包括梳理部署计划中的攻击主机和防御主机需要安装哪些资源、根据资源依赖关系确定安装顺序、资源安装是否需要设置环境变量等; 在步骤43中,提取移动范围涵盖攻击主机或者防御主机的移动代理;在步骤44中,为提取的移动代理分别设定巡游路线和任务;在步骤45中,等待移动代理返回任务执行结果;在步骤46中,将各移动代理返回的结果整理综合为本次部署的结果,发送至资源配置管理系统。如图5所示,本发明的移动代理流程如下在步骤51中,移动代理迁移至下一台攻击主机或者防御主机;在步骤52中,判断下一个试验资源是安装还是卸载?若试验资源是安装,则进入53,,若是卸载,则进入56 ;在步骤53中,判断是否需要设置环境变量?若要设置环境变量,则进入54,否则进入55 ;在步骤54中,设置环境变量;在步骤55中,调用安装接口进行试验资源的安装;在步骤56中,调用卸载接口进行卸载;在步骤57中,保存安装或者卸载结果;在步骤58中,判断攻击主机或者防御主机是否已部署完成?若该攻击主机或者防御主机已部署完成,则进入59,否则进入52 ;在步骤59中,判断攻击主机或者防御主机是巡游路线中的最后一台主机?若该攻击主机或者防御主机是巡游路线中的最后一台主机,则进入510,否则进入51 ;在步骤510中,移动代理携带任务结果返回试验资源库;在步骤511中,将任务结果发送给移动代理管理系统;在步骤512中,清除本次部署的任务数据和任务结果。如图6所示,本发明的部署过程步骤如下在步骤61中,利用资源配置管理系统进行网络攻防试验资源注册,已注册的网络攻防试验资源存放到试验资源库;利用资源配置管理系统进行攻击主机或者防御主机属性数据注册;资源配置管理系统展现网络攻防试验资源列表、攻击主机和防御主机的拓扑结构;在步骤62中,根据网络攻防试验需求,利用资源配置管理系统制定网络攻防试验资源部署计划;通过网络向移动代理管理系统发送部署计划;
在步骤63中,利用移动代理管理系统解析部署计划,为移动代理设定巡游路线和试验资源安装任务;在步骤64中,移动代理自主迁移至第一台或下一台攻击主机或者防御主机,从试验资源库获取试验资源安装任务指定安装的网络攻防试验资源,在攻击主机或者防御主机安装该网络攻防试验资源,并保存安装数据;若该攻击主机或者防御主机已是巡游路线中的最后一台主机,则移动代理返回试验资源库,并将安装数据作为资源部署结果发送给移动代理管理系统;移动代理清除本次资源部署中保存的安装数据;在步骤65中,利用移动代理管理系统综合所有资源部署结果,发送给资源配置管理系统;
在步骤66中,若本次网络攻防试验资源部署完成,则结束;若本次试验资源部署计划改变,需要调整,则利用资源配置管理系统重新制定网络攻防试验资源部署计划,通过网络向移动代理管理系统发送新的部署计划;在步骤67中,利用移动代理管理系统解析部署计划,为移动代理设定巡游路线和网络攻防试验资源安装任务或者网络攻防试验资源卸载任务;在步骤68中,移动代理自主迁移至第一台或下一台攻击主机或者防御主机,若移动代理在该迁移节点的任务是网络攻防试验资源安装任务,则从试验资源库获取任务指定安装的网络攻防试验资源,在该攻击主机或者防御主机安装该网络攻防试验资源,并保存安装数据;若移动代理在该迁移节点的任务是网络攻防试验资源卸载任务,则卸载该网络攻防试验资源,并保存卸载数据;若该攻击主机或者防御主机已是巡游路线中的最后一台主机,则移动代理返回试验资源库,并将对应安装或卸载的数据作为资源部署结果发送给移动代理管理系统;移动代理清除本次资源部署中保存的安装或卸载数据;在步骤69中,利用移动代理管理系统综合所有资源部署结果,发送给资源配置管理系统。实施例下面说明本发明的一个实施例资源配置管理席、试验资源库、威胁环境部署平台和目标系统部署平台在局域网192. 168. 8. 0/22内通过路由器互连,其中资源配置管理席IP地址192. 168. 8. 2,计算机型号联想ThinkCentre M8250t,操作系统winXP sp3,已部署资源配置管理系统;试验资源库IP地址192. 168. 9. 2,计算机型号联想ThinkCentre M8250t,操作系统winXP sp3,已部署移动代理管理系统和移动代理;威胁环境部署平台网段192. 168. 10. 0/24,10台攻击主机,IP 地址 192. 168. 10. 2-192. 168. 10. 11,计算机型号联想 ThinkCentre M8250t,操作系统winXP sp3 ;目标系统部署平台网段192. 168. 11. 0/24,10台防御主机,IP地址192. 168. 11. 2-192. 168. 11. 11,计算机型号联想 ThinkCentre M8250t,操作系统 winXPsp3。本实施例中的移动代理的实现基于IBM的Aglet,试验资源包括端口扫描工具、口令猜测工具、安全策略设置软件、杀毒软件。第一步在资源配置管理系统中注册网络攻防试验资源,将端口扫描工具、口令猜测工具、安全策略设置软件、杀毒软件上传到试验资源库,填写端口扫描工具、口令猜测工具、安全策略设置软件、杀毒软件属性数据(资源名称、资源描述、资源存放位置、资源类型和资源部署要求),数据提交给数据库;在资源配置管理系统中注册攻击主机(192. 168. 10. 2-192. 168. 10. 11)和防御主机(192. 168. 11. 2-192. 168. 11. 11)属性数据(主机名称、主机IP地址、主机MAC地址、主机操作系统和邻接主机),数据提交给数据库;资源配置管理系统访问数据库,读取注册数据提供网络攻防试验资源部署的整体视图,包括网络攻防试验资源列表和属性数据、攻击主机和防御主机的拓扑结构和属性数据;第二步试验资源部署人员在界面上拖动试验资源至攻击主机或者防御主机中制定网络攻防试验资源部署计划,形成XML文件,发送给移动代理管理系统。部署计划攻击主机192. 168. 10. 2部署端口扫描工具,攻击主机192. 168. 10. 3部署口令猜测工具,防御主机192. 168. 11. 2部署安全策略设置软件,防御主机192. 168. 11. 3部署杀毒软件;第三步移动代理管理系统接收并解析部署计划,访问数据库查询端口扫描工具、口令猜测工具、安全策略设置软件、杀毒软件是否具有依赖软件和是否需要设置环境变量;提取移动代理,设定移动代理巡游路线(I) 192. 168. 10. 2,(2) 192. 168. 10. 3,(3)192. 168. 11. 2,(4) 192. 168. 11. 3,设定试验资源安装任务192. 168. 10. 2,安装端口扫描工具,无依赖软件,不需设置环境变量;192. 168. 10. 3,安装口令猜测工具,无依赖软件,不需设置环境变量;192. 168. 11. 2,安装安全策略设置软件,无依赖软件,不需设置环境变量;·192. 168. 11. 3,安装杀毒软件,无依赖软件,不需设置环境变量;第四步移动代理迁移到192. 168. 10. 2,从试验资源库获取端口扫描工具并安装,保存安装结果;移动代理迁移到192. 168. 10. 3,从试验资源库获取口令猜测工具并安装,保存安装结果;移动代理迁移到192. 168. 11. 2,从试验资源库获取安全策略设置软件并安装,保存安装结果;移动代理迁移到192. 168. 11. 3,从试验资源库获取杀毒软件并安装,保存安装结果;任务完成,移动代理携带任务结果返回试验资源库,将任务结果发送给移动代理管理系统;移动代理清除本次资源部署结果中保存的安装数据;第五步移动代理管理系统综合192. 168. 10. 2,192. 168. 10. 3,192. 168. 11. 2、192. 168. 11. 3资源部署结果,发送给资源配置管理系统;第六步本次网络攻防试验资源部署完成。本实施例的基于移动代理的网络攻防试验资源部署方法与传统人工部署方法相t匕,具体可以量化为以下优点1、部署时间缩短了 60%,本实施例部署时间约为4分钟,使用传统人工部署方法部署时间约为10分钟。2、部署成功率100%,本实施例进行了 200次试验,均无部署失误。3、效率提高了 I. 5倍。另,本实施例只使用一个移动代理部署网络攻防试验资源,本发明能够支持多个移动代理同时部署网络攻防试验资源,部署时间和效率具有进一步的提升空间。本发明提供了一种基于移动代理的网络攻防试验资源部署方法,具体实现该技术方案的方法和途径很多,以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。本实施例中未明确的各组成部分均可用现有技术加以实现。
权利要求
1.一种基于移动代理的网络攻防试验资源部署方法,其特征在于,将网络攻防试验资源部署系统分为资源配置管理席、试验资源库、威胁环境部署平台和目标系统部署平台,且资源配置管理席、试验资源库、威胁环境部署平台和目标系统部署平台共同连接一个网络,并通过该网络传送数据;在资源配置管理席部署资源配置管理系统,在试验资源库部署移动代理管理系统和移动代理; 所述资源配置管理席用于通过资源配置管理系统提供网络攻防试验资源部署整体视图、制定网络攻防试验资源部署计划、发布网络攻防试验资源部署命令; 所述试验资源库用于存放网络攻防试验资源,网络攻防试验资源部署计划中使用的网络攻防试验资源全部由试验资源库提供; 所述威胁环境部署平台包括η台具有移动代理运行环境的攻击主机,用于部署侦察和攻击类型的网络攻防试验资源; 所述目标系统部署平台包括η台具有移动代理运行环境的防御主机,用于部署防御类型的网络攻防试验资源; 所述资源配置管理系统用于网络攻防试验资源注册与维护、攻击主机和防御主机属性数据注册与维护、网络攻防试验资源部署视图展现、网络攻防试验资源部署计划编辑和网络攻防试验资源部署命令发布; 所述移动代理管理系统用于网络攻防试验资源部署计划解析、移动代理派遣和回收以及移动代理返回数据的处理; 所述移动代理用于根据移动代理管理系统分配的任务进行网络攻防试验资源的分发、安装以及卸载。
2.根据权利要求I所述的一种基于移动代理的网络攻防试验资源部署方法,其特征在于,包括以下部署步骤 第一步利用资源配置管理系统进行网络攻防试验资源注册,已注册的网络攻防试验资源存放到试验资源库;利用资源配置管理系统进行攻击主机和防御主机属性数据注册;资源配置管理系统展现网络攻防试验资源列表、攻击主机和防御主机的拓扑结构; 第二步根据网络攻防试验需求,利用资源配置管理系统制定网络攻防试验资源部署计划;通过网络向移动代理管理系统发送部署计划; 第三步利用移动代理管理系统解析部署计划,为移动代理设定巡游路线和试验资源安装任务; 第四步移动代理自主迁移至第一台或下一台攻击主机或者防御主机,从试验资源库获取试验资源安装任务指定安装的网络攻防试验资源,在攻击主机或者防御主机安装该网络攻防试验资源,并保存安装数据;若该攻击主机或者防御主机已是巡游路线中的最后一台主机,则移动代理返回试验资源库,并将安装数据作为资源部署结果发送给移动代理管理系统;移动代理清除本次资源部署中保存的安装数据; 第五步利用移动代理管理系统综合所有资源部署结果,发送给资源配置管理系统;第六步若本次网络攻防试验资源部署完成,则结束;若本次试验资源部署计划改变,需要调整,则利用资源配置管理系统重新制定网络攻防试验资源部署计划,通过网络向移动代理管理系统发送新的部署计划; 第七步利用移动代理管理系统解析部署计划,为移动代理设定巡游路线和网络攻防试验资源安装任务或者网络攻防试验资源卸载任务; 第八步移动代理自主迁移至第一台或下一台攻击主机或者防御主机,若移动代理在该迁移节点的任务是网络攻防试验资源安装任务,则从试验资源库获取任务指定安装的网络攻防试验资源,在该攻击主机或者防御主机安装该网络攻防试验资源,并保存安装数据;若移动代理在该迁移节点的任务是网络攻防试验资源卸载任务,则卸载该网络攻防试验资源,并保存卸载数据;若该攻击主机或者防御主机已是巡游路线中的最后一台主机,则移动代理返回试验资源库,并将对应安装或卸载的数据作为资源部署结果发送给移动代理管理系统;移动代理清除本次资源部署中保存的安装或卸载数据; 第九步利用移动代理管理系统综合所有资源部署结果,发送给资源配置管理系统。·
全文摘要
本发明公开了基于移动代理的网络攻防试验资源部署方法,所述方法从结构角度将网络攻防试验资源部署系统分为资源配置管理席、试验资源库、威胁环境部署平台和目标系统部署平台,且资源配置管理席、试验资源库、威胁环境部署平台和目标系统部署平台共同连接一个网络,并通过该网络传送数据;在资源配置管理席部署资源配置管理系统,在试验资源库部署移动代理管理系统和移动代理。本发明支持网络攻防试验资源自动部署,利用移动代理分发网络攻防试验资源,自主迁移至攻击主机或者防御主机安装试验资源。支持网络攻防试验资源部署按需动态调整,当部署计划发生改变时,利用移动代理自主迁移至攻击主机或者防御主机调整试验资源部署。
文档编号H04L12/24GK102946328SQ20121052770
公开日2013年2月27日 申请日期2012年12月10日 优先权日2012年12月10日
发明者王晔, 周正虎, 朱立新, 周光霞 申请人:中国电子科技集团公司第二十八研究所