一种用于被攻击目标系统的毁伤评估方法和系统与流程

本发明涉及网络安全技术，更具体地，涉及一种用于被攻击目标系统的毁伤评估方法和系统。

背景技术：

攻防演练是目前在行业兴起的一个非常热的活动，美国也已经搞了几次网络风暴。我国的绝大多数演练则是仿真系统。仿真系统的演练，由于是一种事先设局的演练，不能反映出真实的网络安全状况，所以其价值很难评估。美国的网络风暴，是对实网进行远程的检测，其价值是极高的。

以实网为目标的攻防演练，最关键的因素是要控制好相应的风险。这些风险主要来源于，授权攻击团队的行为不可控，并且还会在演练结束后，仍然会遗留这些风险。

技术实现要素：

针对现有技术中的问题，本发明提出了一种用于被攻击目标系统的毁伤评估方法，用于评估攻击命令对目标系统的毁伤情况，包括：s1，建立毁伤结果库，毁伤结果库中保存的是各类攻击命令可能导致的后果数据；s2，建立被测目标基本信息库，其保存的是目标系统的相关基础数据；s3，对攻击命令进行行为分析，研判可能的后果。

可选地，所述的毁伤评估方法还包括：s4，利用沙箱运行攻击命令，并判断运行结果。

可选地，所述的毁伤评估方法还包括：s5，基于预先建立的分析规则，利用规则匹配、行为分析和沙箱检验，确认攻击命令能对被测目标基本信息库中的具体目标可能造成的毁伤程度。

可选地，步骤s5还包括：s5-1，收到攻击命令后，从目标基本信息库中确定其攻击的目标及相关处理机制；s5-2，利用步骤s3中的行为分析，得到可能的后果；s5-3，将攻击命令放在沙箱中，利用步骤s4获得运行结果；s5-4，将s5-2和s5-3中的结果与s1中建立的毁伤结果库相比较，判断结果。

可选地，在s2中，所述被测目标基本信息库保存的是数据文件，以及所述数据文件的处理机制，处理机制包括：文件的机密性、完整性；相应的安全等级；系统的连续性运行要求；注册表信息；和访问此目标系统的各主体相关的安全数据。

本发明还提出一种用于被攻击目标系统的毁伤评估系统，用于评估攻击命令对目标系统的毁伤情况，包括：毁伤结果库，所述毁伤结果库中保存的是各类攻击命令可能导致的后果数据；被测目标基本信息库，所述被测目标基本信息库保存的是目标系统的相关基础数据；基于行为的攻击分析模块，其对攻击命令进行行为分析，研判可能的后果。

可选地，所述的毁伤评估系统还包括：沙箱模块，所述沙箱模块将攻击命令在这个区域中运行，并判断其结果。

可选地，所述的毁伤评估系统还包括：毁伤自动评估模块，所述毁伤自动评估模块，基于预先建立的分析规则，利用规则匹配、行为分析和沙箱检验，确认攻击命令能对被测目标基本信息库中的具体目标可能造成的毁伤程度。

可选地，所述毁伤自动评估模块收到攻击命令后，从目标基本信息库中确定其攻击的目标及相关处理机制；利用所述基于行为的攻击分析模块的行为分析，得到可能的后果；将攻击命令放在沙箱中，利用沙箱获得运行结果。将所述基于行为的攻击分析模块分析的结果；以及将沙箱运行的结果与毁伤结果库相比较，确认是否可以容忍这种攻击行为。

可选地，所述被测目标基本信息库保存的是数据文件，以及所述数据文件的处理机制，处理机制包括：文件的机密性、完整性；相应的安全等级；系统的连续性运行要求；注册表信息；和访问此目标系统的各主体相关的安全数据。

本发明的有益效果包括：

提供一个平台，来控制来源于攻击系统的风险，即可以保证演练任务的成功，又克服了攻击系统的攻击行为不可控和不可以检测的问题。

在贵阳市委、市政府主要领导的推动下，基于本发明，针对贵阳市某实际的在线系统开展了具有里程碑意义的内部演练，取得很好的效果，并得到了国家层面的高度重视。

附图说明

图1是本发明的风险可控的实网攻防演练系统的结构示意图；

图2是图1中的控制中心的业务流程图；

图3是图1中的解析分析系统的结构示意图；

图4为图1中的毁伤评估系统的结构示意图；

图5为本发明的毁伤评估方法的流程图。

具体实施方式

下面参照附图描述本发明的实施方式，其中相同的部件用相同的附图标记表示。

图1显示了本发明的风险可控的实网攻防演练系统的原理图。本发明的系统包括：攻击系统，控制中心和目标系统。

攻击系统包括多个发起攻击的设备，攻击系统位于1区(攻击区)，控制中心位于2区，目标系统位于3区(目标区)。控制中心包括：代理服务器、指挥调度系统、毁伤评估系统、解析分析系统和网关服务器。攻击系统和控制中心之间通过代理服务器连接。控制中心和目标系统之间通过网关服务器连接。代理服务器和网关服务器之间顺序连接有解析分析系统、毁伤评估系统和指挥调度系统。

攻击系统通过各类的专用网络或者在internet上开辟出的虚拟专网，登录到控制中心的代理服务器上。

代理服务器具有三通装置，将双向数据流在本地进行镜像，镜像的数据可以利用各类的分析工具进行分析。代理服务器将双向数据传输到解析分析系统，解析分析系统(见图3)将处理后的数据发送到毁伤评估系统，进行毁伤评估。毁伤评估系统并将毁伤评估结果输送到指挥调度系统。

图2显示了指挥调度系统的位置示意图，指挥调度系统包括两个处理模块：一个是攻击命令接收模块，其接收来自毁伤评估系统传输的攻击请求命令，这些请求可以用工单形式提交。另一个是网关控制模块，其接收来自毁伤评估系统发来的评估结果报告，并根据评估结果控制网关服务器。

网关服务器的作用是，一方面构成了对目标的进行检测前置服务器，另一方面受到毁伤评估结果的控制，对于可能发生的严重毁伤情况，网关服务器可以中断相关的检测命令。网关服务器相当于一个开关。

对于本系统而言，当攻击系统发起一个攻击命令时，该命令经由代理服务器进入到控制中心，一方面，该命令寄存在网关服务器上，另一方面，该命令经由解析分析系统分析，然后再经由毁伤评估系统评估，最后提交给指挥调度系统，指挥调度系统根据毁伤评估系统的评估结果发出指令，允许网关服务器通过该攻击命令或者禁止通过该攻击命令。如果评估通过，网关服务器链路接通；评估未通过，网关服务器处于断开状态。

在本发明的系统中，控制中心可以通过公网进入目标系统。也可以通过相关的专线或者虚拟专网，通过后台进入到目标系统。在图1所示的实施例中，控制中心通过专线或者虚拟专网经过专用防火墙连接到目标系统。专用防火墙由被测系统自行控制，专用防火墙也可以用普通网关产品替代。专用防火墙的作用是，在非攻防演练时期，可以关闭，在攻防演练期间，由用户与检测部门协商后打开。并且，通过此专用防火墙还可以部署相应的策略，对相应的攻击进行监控。

专用防火墙实质上为渗透前置机。所述渗透前置机对来往的数据有两种处理方式：允许通讯或不允许通讯，即允许不允许攻击系统登录目标系统。设置渗透前置机是为了使得目标系统(被渗透的用户)能够开启和关闭系统，也就是说，渗透过程可以是目标系统(被渗透用户)知情的。

优选地，在目标系统的出口边界处设置有边界防火墙，专用防火墙与边界防火墙形成关联，目的是防范在攻防演练期间，攻击系统通过目标系统去攻击其他的系统，或将本地数据通过目标系统的边界出口向外发送。

下面参照图3来描述本发明系统中的解析分析系统。

如图3所示，解析分析系统包括：分光三通、数据解析还原模块和数据分析模块。分光三通将在原主干光纤中的所有二进制数据进行分流(镜像)，并将这些数据流送入数据解析还原模块。数据解析还原模块利用已有的网络协议、各类数据转换协议等，将二进制数据转换为相关的程序命令和文件，并对这些转换后的数据进行存储。数据分析模块利用各类的协议分析和程序分析工具，对这些镜像的数据进行分析，特别是对于各类的攻击命令，访问请求等进行分析并进行归类，对各个命令进行提取，并将这些命令送入到毁伤评估系统。此处分类主要是根据攻击类型：web脚本攻击(注入/跨站)、暴力破解、嗅探、溢出(本地/远程)、提权攻击(本地/远程)、拒绝服务等常见攻击类型。

下面参照图4来描述本发明系统中的毁伤评估系统。

毁伤评估系统包括：毁伤自动评估模块、毁伤结果库、基于行为的攻击分析模块、沙箱模块和被测目标基本信息库。

所述被测目标基本信息库保存的是目标系统的相关基础数据(包括重要的数据文件)，以及这些技术数据的处理机制。这些在未进行演练前进行搜集调查。处理机制包括：文件需要做何种保护(机密性、完整性等)；相应的安全等级；系统的连续性运行要求；注册表信息；访问此目标系统的各主体相关的安全数据(tsf数据)等。

所述毁伤结果库保存的是各类攻击命令可能导致的后果数据，可以利用大数据技术采集，以及以往的积累，获得各类攻击命令可能导致的后果数据。

所述基于行为的攻击分析模块利用人工智能技术(机器学习)，对一组请求命令串进行分析，研判可能的后果。

所述沙箱模块是一个封闭的包括虚拟机技术在内的一个软件容器，所述沙箱模块将相关一组命令在这个区域中运行，并判断其结果，并且利用“回滚”技术进行还原。

所述毁伤自动评估模块基于各种分析模型(预先建立)，利用规则匹配、行为分析和沙箱检验，确认攻击命令或攻击命令串可能对已经调查清楚的被测目标基本信息库的具体的目标可能造成的毁伤程度，确认是否可以容忍这种攻击行为。

毁伤自动评估系统给出判断后，将结果输出到指挥调度系统的控制网关模块，并由所述指挥调度系统发向网关服务器发出可否通过的指令。

另外，如果毁伤自动评估系统不能给出恰当判断，则需要人工辅助进行判断。

本发明还提出一种毁伤评估方法，如图5所示，包括：

s1，建立毁伤结果库，毁伤结果库中保存的是各类攻击命令可能导致的后果数据。

s2，建立被测目标基本信息库。

所述被测目标基本信息库保存的是目标系统的相关基础数据(包括重要的数据文件)，以及这些技术数据的处理机制。这些在未进行演练前进行搜集调查。处理机制包括：文件需要做何种保护(机密性、完整性等)；相应的安全等级；系统的连续性运行要求；注册表信息；访问此目标系统的各主体相关的安全数据(tsf数据)等。

s3，利用人工智能技术(机器学习)，对攻击命令进行分析，即进行行为分析，研判可能的后果。

优选地，本发明的方法还可以包括：

s4，利用沙箱运行攻击命令，并判断运行结果。还可以并且利用“回滚”技术进行还原。

s5，基于预先建立的分析规则，利用规则匹配、行为分析和沙箱检验，确认攻击命令能对被测目标基本信息库中的具体目标可能造成的毁伤程度，确认是否可以容忍这种攻击行为。更具体地，步骤s5包括：

s5-1，收到攻击命令后，从目标基本信息库中确定其攻击的目标及相关处理机制；

s5-2，利用步骤s3中的行为分析，得到可能的后果；

s5-3，将攻击命令放在沙箱中，利用步骤s4获得运行结果；

s5-4，将s5-2和s5-3中的结果与s1中建立的毁伤结果库相比较。

以上所述的实施例，只是本发明较优选的具体实施方式，本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。