一种网络攻防实验平台的自动评分方法及装置与流程

本发明涉及计算机网络信息安全技术领域，尤其涉及一种网络攻防实验平台的自动评分方法及装置。

背景技术：

随着计算机技术的发展与互联网的普及，信息安全问题日益严重，信息安全作为一种新兴的产业，越来越受到重视，同时，在许多院校中信息安全作为一门新兴的学科。其中，信息系统的攻击与防护技术是信息安全研究的主要内容，信息安全攻防是实践性极强的工作，攻防技术的传播与普及，需要依赖大量的信息安全培训活动。针对信息安全专业技术人员的培训活动分为课程和竞赛两大类，两类活动都需要在实际的信息系统环境中进行的攻防演示和演练。考虑到网络攻防操作往往都带有一定的破坏性，在真实网络环境里进行攻防实验必须得到相关法律授权，所以攻防演示和演练一般都在虚拟网络环境去进行。这种实践操作的环境就称为网络攻防实验平台系统。网络攻防实验平台是一个缩微模拟的信息系统，该系统存在预留的脆弱性(软件程序漏洞和不恰当的参数配置)，学员可以作为攻击方在平台上寻找脆弱性并加以利用，也可以作为防守方在平台上寻找脆弱性并进行相应的修补。讲师作为评判方可以看到攻守双方的全部活动及进展以及相应的评价。

现有的网络攻防实验平台的评分机制都是利用向评分系统提交一个字符串(旗标，Flag)或界面截图作为考试题目的答案或攻击行为成功的标志。这类字符串一般是保存在一个特定目录下的特定文件里。通常只有利用渗透技术才能访问保存有旗标文件的目录。一次演练或比赛中通常设置有多个旗标或目标界面，每获得一个旗标或界面截图就获得一定的分数。最终由培训教师或比赛裁判给出每个选手或团队的分数。另外，现有的一些网络攻防实验平台的评分过程是通过向指定路径手工提交答案，人工判断后给出得分的方式来实现的。还有一些网络攻防实验平台的评分过程是利用网络抓包方式，获得攻击方与防守方发出的数据包，对其进行分析，配对等操作，从而对攻防实验或比赛中的双方进行自动评分。然而，当前的网络攻防实验平台的评分过程中的攻防行为的数据采集是游离在攻防环境之外，这种方式存在很多缺陷，例如：①攻防行为采集不全面：由于一些攻防行为是发生在主机内部，在网络流量上没有明显反映，如果流量是加密的，更无法从流量内容上获得评分所需要的数据；②攻防行为采集计算开销大：由于评分数据来自网络数据包，需要利用深度包检测技术对数据包做深入到应用层的分析；③评分准确性差：评分依据主要来自数据包里的攻击特征，但是达到目的的攻击手法可能有很多种，评分标准不一定都能覆盖到，并且对应无法通过网络数据包采集的特征，也无法进行评分；④评分需要额外的设备部署：因为采集到的网络数据包需要进行深度分析，所以需要专门的采集服务器和分析服务器，另外如果攻防平台模拟的网络拓扑比较复杂，可能需要在多个位置进行数据采集。

综上所述，现有的网络攻防实验平台的评分过程主要存在攻防行为数据采集不全面、评分不够准确、整个评分过程开销过大的问题。

技术实现要素：

本发明的实施例提供一种网络攻防实验平台的自动评分方法及装置，以解决现有的网络攻防实验平台的评分过程主要存在的攻防行为数据采集不全面、评分不够准确、整个评分过程开销过大的问题。

为达到上述目的，本发明采用如下技术方案：

一种网络攻防实验平台的自动评分方法，包括：

分别监测攻击方虚拟机和防守方虚拟机上的攻防行为，形成攻防行为日志；

从攻击方虚拟机和防守方虚拟机上获取攻防行为日志；所述攻防行为日志记录有在攻击方虚拟机和防守方虚拟机的虚拟操作系统上进行的操作行为；

从所述攻防行为日志中提取攻防行为关键信息；

根据预先设置的评分规则，对所述攻防行为关键信息进行匹配，确定攻击方与防守方对应的攻防实验评分。

具体的，从所述攻防行为日志中提取攻防行为关键信息，包括：

将所述攻防行为日志进行归一化处理；

所述将所述攻防行为日志进行归一化处理，包括：

根据预先设置的攻防行为关键要素从所述攻防行为日志中提取各攻防行为关键要素对应的攻防行为关键信息；所述攻防行为关键要素包括行为执行主体、行为执行客体、行为执行时间、行为执行地址、行为执行动作、行为执行方式。

进一步的，所述的网络攻防实验平台的自动评分方法，还包括：

将归一化处理之后的攻防行为日志存储于行为日志数据库中。

具体的，根据预先设置的评分规则，对所述攻防行为关键信息进行匹配，确定攻击方与防守方对应的攻防实验评分，包括：

从所述行为日志数据库中读取攻防行为关键信息；

根据预先设置的评分规则中的得分项目，对所述攻防行为关键信息进行匹配；

若攻防行为关键信息中的行为执行主体、行为执行客体、行为执行时间、行为执行地址、行为执行动作、行为执行方式与所述得分项目匹配，则确定所述攻防行为关键信息对应的攻防行为属于有效行为，并将所述得分项目对应的分数值累加到所述行为执行主体的分数值；

在攻防实验结束时，确定各行为执行主体对应的分数值。

此外，所述攻防行为包括攻击行为和防守行为；所述攻击行为包括SQL注入行为、任意上传文件行为、跨站脚本攻击行为、越权访问行为；所述防守行为包括后门文件清除行为、攻击方创建账号删除行为、阻断攻击方访问连接行为。

一种网络攻防实验平台的自动评分装置，包括：

攻防行为监测单元，用于分别监测攻击方虚拟机和防守方虚拟机上的攻防行为，形成攻防行为日志；

攻防行为日志获取单元，用于从攻击方虚拟机和防守方虚拟机上获取攻防行为日志；所述攻防行为日志记录有在攻击方虚拟机和防守方虚拟机的虚拟操作系统上进行的操作行为；

攻防行为关键信息提取单元，用于从所述攻防行为日志中提取攻防行为关键信息；

评分单元，用于根据预先设置的评分规则，对所述攻防行为关键信息进行匹配，确定攻击方与防守方对应的攻防实验评分。

具体的，所述攻防行为关键信息提取单元，包括：

归一化处理模块，用于将所述攻防行为日志进行归一化处理；

所述归一化处理模块，具体用于：

根据预先设置的攻防行为关键要素从所述攻防行为日志中提取各攻防行为关键要素对应的攻防行为关键信息；所述攻防行为关键要素包括行为执行主体、行为执行客体、行为执行时间、行为执行地址、行为执行动作、行为执行方式。

进一步的，该网络攻防实验平台的自动评分装置，还包括：

存储单元，用于将归一化处理之后的攻防行为日志存储于行为日志数据库中。

具体的，所述评分单元，包括：

读取模块，用于从所述行为日志数据库中读取攻防行为关键信息；

匹配模块，用于根据预先设置的评分规则中的得分项目，对所述攻防行为关键信息进行匹配；

分数值累加模块，用于在攻防行为关键信息中的行为执行主体、行为执行客体、行为执行时间、行为执行地址、行为执行动作、行为执行方式与所述得分项目匹配时，确定所述攻防行为关键信息对应的攻防行为属于有效行为，并将所述得分项目对应的分数值累加到所述行为执行主体的分数值；

分数值确定模块，用于在攻防实验结束时，确定各行为执行主体对应的分数值。

具体的，所述攻防行为监测单元所监测的攻防行为包括攻击行为和防守行为；所述攻击行为包括SQL注入行为、任意上传文件行为、跨站脚本攻击行为、越权访问行为；所述防守行为包括后门文件清除行为、攻击方创建账号删除行为、阻断攻击方访问连接行为。

本发明实施例提供的一种网络攻防实验平台的自动评分方法及装置，能够分别监测攻击方虚拟机和防守方虚拟机上的攻防行为，形成攻防行为日志；从攻击方虚拟机和防守方虚拟机上获取攻防行为日志，提取攻防行为关键信息；从而根据预先设置的评分规则，对所述攻防行为关键信息进行匹配，确定攻击方与防守方对应的攻防实验评分。可见，本发明可以通过攻防行为日志来确定攻击方与防守方对应的攻防实验评分，而攻防行为日志记录了攻防实验过程中每一个操作行为和信息系统的变化，数据较为全面，根据评分规则可对每个操作行为进行评分，提高了评分的细致和准确程度，同时无需增加额外的抓包采集服务器等设备。可见，本发明可以解决现有的网络攻防实验平台的评分过程主要存在的攻防行为数据采集不全面、评分不够准确、整个评分过程开销过大的问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种网络攻防实验平台的自动评分方法的流程图一；

图2为本发明实施例提供的一种网络攻防实验平台的自动评分方法的流程图二；

图3为本发明实施例提供的一种网络攻防实验平台的自动评分装置的结构示意图一；

图4为本发明实施例提供的一种网络攻防实验平台的自动评分装置的结构示意图二。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明实施例提供一种网络攻防实验平台的自动评分方法，包括：

步骤101、分别监测攻击方虚拟机和防守方虚拟机上的攻防行为，形成攻防行为日志。

步骤102、从攻击方虚拟机和防守方虚拟机上获取攻防行为日志；所述攻防行为日志记录有在攻击方虚拟机和防守方虚拟机的虚拟操作系统上进行的操作行为。

步骤103、从所述攻防行为日志中提取攻防行为关键信息。

步骤104、根据预先设置的评分规则，对所述攻防行为关键信息进行匹配，确定攻击方与防守方对应的攻防实验评分。

本发明实施例提供的一种网络攻防实验平台的自动评分方法，能够分别监测攻击方虚拟机和防守方虚拟机上的攻防行为，形成攻防行为日志；从攻击方虚拟机和防守方虚拟机上获取攻防行为日志，提取攻防行为关键信息；从而根据预先设置的评分规则，对所述攻防行为关键信息进行匹配，确定攻击方与防守方对应的攻防实验评分。可见，本发明可以通过攻防行为日志来确定攻击方与防守方对应的攻防实验评分，而攻防行为日志记录了攻防实验过程中每一个操作行为和信息系统的变化，数据较为全面，根据评分规则可对每个操作行为进行评分，提高了评分的细致和准确程度，同时无需增加额外的抓包采集服务器等设备。可见，本发明可以解决现有的网络攻防实验平台的评分过程主要存在的攻防行为数据采集不全面、评分不够准确、整个评分过程开销过大的问题。

为了使本领域的技术人员更好的了解本发明，下面列举一个更为详细的实施例，如图2所示，本发明实施例提供一种网络攻防实验平台的自动评分方法，包括：

步骤201、分别监测攻击方虚拟机和防守方虚拟机上的攻防行为，形成攻防行为日志。

此处，可以在攻击方虚拟机和防守方虚拟机上设置底层监控程序，并通过虚拟机操作系统自身的系统日志功能，实现攻防行为的监测。

此处，该攻防行为多种多样，可以包括攻击行为和防守行为；所述攻击行为包括SQL注入行为、任意上传文件行为、跨站脚本攻击行为、越权访问行为；所述防守行为包括后门文件清除行为、攻击方创建账号删除行为、阻断攻击方访问连接行为。另外，该攻防行为还可以包括系统函数调用、文件系统变更、进程变更、账户变更、应用系统数据查询和表单提交等行为。

步骤202、从攻击方虚拟机和防守方虚拟机上获取攻防行为日志。

其中，所述攻防行为日志记录有在攻击方虚拟机和防守方虚拟机的虚拟操作系统上进行的操作行为。

在网络攻防实验平台中，设置有用于管理攻击方虚拟机和防守方虚拟机的虚拟机管理器，在该虚拟机管理器中可运行有虚拟网络流量监测程序，通过该虚拟网络流量监测程序可实现攻防行为日志的实时获取。

步骤203、将所述攻防行为日志进行归一化处理：根据预先设置的攻防行为关键要素从所述攻防行为日志中提取各攻防行为关键要素对应的攻防行为关键信息。

其中，所述攻防行为关键要素包括行为执行主体、行为执行客体、行为执行时间、行为执行地址、行为执行动作、行为执行方式。

其中，行为执行主体即为攻防团队或学员，其可以用团队或学员名称或身份标识表示。行为执行客体即为被访问的资源。行为执行动作即为攻击行为或防守行为的描述。例如，攻击方通过root用户身份登录防守方的服务器，则行为执行主体可以为攻击方身份标识，行为执行客体为防守方的服务器，行为执行动作为登录服务器，行为执行方式为root身份。

步骤204、将归一化处理之后的攻防行为日志存储于行为日志数据库中。

步骤205、从所述行为日志数据库中读取攻防行为关键信息。

步骤206、根据预先设置的评分规则中的得分项目，对所述攻防行为关键信息进行匹配。

其中，所述预先设置的评分规则中可以设置有多个得分项目，例如：

攻击方通过root用户身份登录防守方的服务器，则攻击方加5分；

攻击方成功上传Web Shell后门文件，则攻击方加5分；

防守方阻止攻击方的Web Shell后门文件，并删除该Web Shell后门文件，则防守方加5分。

此处，预先设置的评分规则中还可以有更多根据攻防行为关键信息设置的得分项目，此处不再赘述。

步骤207、若攻防行为关键信息中的行为执行主体、行为执行客体、行为执行时间、行为执行地址、行为执行动作、行为执行方式与所述得分项目匹配，则确定所述攻防行为关键信息对应的攻防行为属于有效行为，并将所述得分项目对应的分数值累加到所述行为执行主体的分数值。否则，若攻防行为关键信息对应的攻防行为属于无效行为，则不得分。

一般情况下，对于同一攻防行为，得分结果可以为攻击方得分、防守方得分或者双方均不得分。

由于网络攻防实验双方存在互动，攻击方的某些攻击行为获得了阶段性成功，但是在达成最终目标之前，被防守方发现，并成功阻断攻击行为，这种情况攻击方仅能获得这个单项题目或比赛的部分分数(此处可以通过预先设置的评分规则来控制，如成功上传Web Shell后门文件，并实现远程访问防守方系统，加10分；若只成功上传Web Shell后门文件，但未能实现远程访问防守方系统，加5分)。例如，攻击方首先扫描防守方系统的Web页面，以求发现SQL注入的注入点。如果攻击方发现了注入点，则取得这个步骤的得分。如果注入攻击的企图被防守方发现，防守方通过防御手段成功阻止了攻击方的注入行为，则攻击者只能得到很少的分数，而防守方因为防御成功而得分。再例如攻击方利用上传文件漏洞，成功上传了Web Shell后门文件，但是还没有通过这个后门文件远程访问防守方系统时，已经被防守方发现并清除了后门文件，这种情况攻击方也只能得到部分分数。

步骤208、在攻防实验结束时，确定各行为执行主体对应的分数值。

由于本发明对网络攻防实验过程的每一个行为操作以及信息系统的变化都进行了监测并生成行为日志，学员可以清晰的了解攻防操作的每一个细节，从而更容易全面理解攻防技术的原理。同时讲师对学员的评价可以细化到每一个操作，而不是只对一次攻防的结果做出判断，实现了基于过程的评价而不是基于结果的评价，从而大幅提高了评价的细致程度，这样可以掌握学员对攻防技术的理解程度以及造成不理解的障碍，因此细粒度的评价过程，对改进教学、提高教学效率有极大的辅助作用。另外，由于本发明通过评分系统实现了攻防平台中攻防双方或学员考核的评分自动化，避免了复杂繁琐的手工操作，减少了因手工操作带来的误判，提高攻防竞赛的公正性。自动化评分还大幅缩短了评分环节消耗的时间，从而提高攻防平台的运行效率。另外，由于本发明记录了攻防过程的各种细节，为未来将攻防过程可视化，提高竞赛的观赏性奠定了数据基础。

本发明实施例提供的一种网络攻防实验平台的自动评分方法，能够分别监测攻击方虚拟机和防守方虚拟机上的攻防行为，形成攻防行为日志；从攻击方虚拟机和防守方虚拟机上获取攻防行为日志，提取攻防行为关键信息；从而根据预先设置的评分规则，对所述攻防行为关键信息进行匹配，确定攻击方与防守方对应的攻防实验评分。可见，本发明可以通过攻防行为日志来确定攻击方与防守方对应的攻防实验评分，而攻防行为日志记录了攻防实验过程中每一个操作行为和信息系统的变化，数据较为全面，根据评分规则可对每个操作行为进行评分，提高了评分的细致和准确程度，同时无需增加额外的抓包采集服务器等设备。可见，本发明可以解决现有的网络攻防实验平台的评分过程主要存在的攻防行为数据采集不全面、评分不够准确、整个评分过程开销过大的问题。

对应于上述图1和图2所示的方法实施例，如图3所示，本发明实施例提供一种网络攻防实验平台的自动评分装置，包括：

攻防行为监测单元31，用于分别监测攻击方虚拟机和防守方虚拟机上的攻防行为，形成攻防行为日志。

攻防行为日志获取单元32，用于从攻击方虚拟机和防守方虚拟机上获取攻防行为日志；所述攻防行为日志记录有在攻击方虚拟机和防守方虚拟机的虚拟操作系统上进行的操作行为。

攻防行为关键信息提取单元33，用于从所述攻防行为日志中提取攻防行为关键信息。

评分单元34，用于根据预先设置的评分规则，对所述攻防行为关键信息进行匹配，确定攻击方与防守方对应的攻防实验评分。

具体的，如图4所示，所述攻防行为关键信息提取单元33，包括：

归一化处理模块331，用于将所述攻防行为日志进行归一化处理。

所述归一化处理模块331，具体用于：

根据预先设置的攻防行为关键要素从所述攻防行为日志中提取各攻防行为关键要素对应的攻防行为关键信息；所述攻防行为关键要素包括行为执行主体、行为执行客体、行为执行时间、行为执行地址、行为执行动作、行为执行方式。

进一步的，如图4所示，该网络攻防实验平台的自动评分装置，还可以包括：

存储单元35，用于将归一化处理之后的攻防行为日志存储于行为日志数据库中。

具体的，如图4所示，所述评分单元34，可以包括：

读取模块341，用于从所述行为日志数据库中读取攻防行为关键信息。

匹配模块342，用于根据预先设置的评分规则中的得分项目，对所述攻防行为关键信息进行匹配。

分数值累加模块343，用于在攻防行为关键信息中的行为执行主体、行为执行客体、行为执行时间、行为执行地址、行为执行动作、行为执行方式与所述得分项目匹配时，确定所述攻防行为关键信息对应的攻防行为属于有效行为，并将所述得分项目对应的分数值累加到所述行为执行主体的分数值。

分数值确定模块344，用于在攻防实验结束时，确定各行为执行主体对应的分数值。

具体的，所述攻防行为监测单元31所监测的攻防行为包括攻击行为和防守行为；所述攻击行为包括SQL注入行为、任意上传文件行为、跨站脚本攻击行为、越权访问行为；所述防守行为包括后门文件清除行为、攻击方创建账号删除行为、阻断攻击方访问连接行为。

值得说明的是，本发明实施例提供的一种网络攻防实验平台的自动评分装置的具体实现方式可以参见上述图1和图2对应的方法实施例，此处不再赘述。

本发明实施例提供的一种网络攻防实验平台的自动评分装置，能够分别监测攻击方虚拟机和防守方虚拟机上的攻防行为，形成攻防行为日志；从攻击方虚拟机和防守方虚拟机上获取攻防行为日志，提取攻防行为关键信息；从而根据预先设置的评分规则，对所述攻防行为关键信息进行匹配，确定攻击方与防守方对应的攻防实验评分。可见，本发明可以通过攻防行为日志来确定攻击方与防守方对应的攻防实验评分，而攻防行为日志记录了攻防实验过程中每一个操作行为和信息系统的变化，数据较为全面，根据评分规则可对每个操作行为进行评分，提高了评分的细致和准确程度，同时无需增加额外的抓包采集服务器等设备。可见，本发明可以解决现有的网络攻防实验平台的评分过程主要存在的攻防行为数据采集不全面、评分不够准确、整个评分过程开销过大的问题。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。