一种网络靶场云平台系统、构建方法、设备和介质与流程

本发明涉及网络靶场
技术领域：
，特别是涉及一种网络靶场云平台系统、构建方法、设备和介质。
背景技术：
：随着网络技术的发展，其创造了便捷性的同时，也把数以十亿计的用户带入了一个两难的境地。一方面，国家和政府依赖网络维持政治、经济、文化、军事等各项活动的正常运转；企业用户依赖网络进行技术创新和市场拓展；个人用户依赖网络进行信息交互；另一方面，网络中的信息存储、处理和传输的都是事关国家安全、企业及个人的机密信息或是敏感信息，因此成为敌对势力、不法分子的攻击目标。这种不安全的态势会持续发展，逐渐渗透到物联网、智能移动互联、云计算等新兴的网络空间。全球各地的机构为了应对日益严峻的网络安全挑战，都在逐步深入对网络安全领域的研究，其中网络靶场通过互联网规模的模拟环境，以进行攻防演练、新技术验证、相应课程培训来培养网络安全人才。其可以开展大规模的网络空间攻防对抗演练，为对抗演练各方提供攻防场景构建、计算、存储、网络等基础硬件资源，以及对抗结果评价机制。但目前的网络靶场没有与用户建立联系，对于网络靶场模拟环境本身没有进行安全保护。技术实现要素：(一)要解决的技术问题目前的网络靶场没有与用户建立联系，对于网络靶场模拟环境本身没有进行安全保护。(二)技术方案本发明一方面提供了一种网络靶场云平台系统，所述系统包括：身份认证模块、资源管理模块和应用构建模块，其中：所述身份认证模块用于对用户进行身份认证，所述资源管理模块用于向所述应用构建模块提供虚拟资源，所述应用构建模块用于根据所分配的虚拟资源构建网络靶场应用，并将所述网络靶场应用提供给身份认证通过的用户。可选地，所述身份认证模块包括第一请求单元、第一密码获取单元和第一认证单元；所述第一请求单元，用于通过网络客户端向认证系统发送eapol-start报文身份认证请求；所述第一密码获取单元，用于所述认证系统根据所述eapol-start报文身份认证请求向网络客户端发送eap-request/identity报文，获取用户名和密码，将所述用户名和密码以第一认证请求报文的形式发送给radius认证服务器；所述第一认证单元，用于radius认证服务器判断所述第一认证请求报文是否与数据库信息一致，若是，则发送radius-success报文并通过所述网络接入设备开启连接所述网络靶场云平台系统的端口。可选地，所述身份认证模块包括第二请求单元、第二密码获取单元和第二认证单元；所述第二请求单元，用于通过网络接入客户端向网络接入设备发出http网络访问请求，portal根据所述http网络访问请求向网络接入客户端发送用户认证界面；所述第二密码获取单元，用于通过所述用户认证界面获取用户名和密码，portal将用户名和密码以第二认证请求报文的形式发送给radius认证服务器；所述第二认证单元，用于radius认证服务器根据所述认证请求报文判断所述报文是否与数据库信息一致，若是，则发送radius-success报文并通过所述网络接入设备开启连接所述网络靶场云平台系统的端口。可选地，所述资源管理模块用于向所述应用构建模块提供虚拟资源，，包括：对所述虚拟资源分配ipv6地址，并将所述ipv6地址提供至所述应用构建模块；所述应用构建模块根据所述ipv6地址访问所述虚拟资源。可选地，所述网络靶场应用包括知识库培训应用和模拟攻防培训应用，所述知识库培训应用用于获取知识库和论坛并展示给用户；所述模拟攻防培训应用用于获取虚拟靶机，对所述虚拟靶机进行攻击实验，并将攻击实验结果展示给用户。可选地，所述网络靶场应用包括题库应用和靶场应用，所述题库应用用于获取攻防技能题库并展示给用户；所述靶场应用用于获取虚拟靶场，并对所述虚拟靶场中的虚拟靶机进行攻击实验，所述虚拟靶场包括多个带有不同类型漏洞的虚拟靶机。可选地，所述网络靶场应用包括红蓝对抗应用，用于向不同的用户提供相对立的虚拟资源，并使该不同的用户使用所述相对立的虚拟资源进行攻防比赛。本发明另一方面提供了一种所述系统中的构建方法，所述方法包括：通过身份认证模块对用户进行身份认证；通过资源管理模块向所述应用构建模块提供虚拟资源；通过应用构建模块根据所分配的虚拟资源构建网络靶场应用，并将所述网络靶场应用提供给身份认证通过的用户。本发明又一方面提供了一种电子设备，包括：通信器，用于与服务器通信；处理器；存储器，其存储有计算机可执行程序，该程序包含如上文所述的网络靶场云平台系统。本发明再一方面提供了一种计算机可读存储介质，其上存储有计算机程序，该程序包含如上文所述的网络靶场云平台系统。(三)有益效果本发明通过身份认证模块，将用户与网络靶场应用建立了联系，为通过身份认证的用户提供网络靶场应用，即用户在使用网络靶场云平台系统中的网络靶场应用时需要进行身份认证过程，形成在使用该应用之前对靶场模拟环境的安全保护。附图说明图1是本发明实施例提供的网络靶场云平台系统框图；图2是本发明实施例提供的电子设备框图；图3是本发明实施例提供的构建方法流程图。具体实施方式以下，将参照附图来描述本发明的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本发明的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本发明实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。本发明的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外，本发明的技术可以采取存储有指令的计算机可读介质上的计算机程序产品的形式，该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。在本发明的上下文中，计算机可读介质可以是能够包含、存储、传送、传播或传输指令的任意介质。例如，计算机可读介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。计算机可读介质的具体示例包括：磁存储装置，如磁带或硬盘(hdd)；光存储装置，如光盘(cd-rom)；存储器，如随机存取存储器(ram)或闪存；和/或有线/无线通信链路。本发明一种网络靶场云平台系统，参见图1，所述系统100包括：身份认证模块110、资源管理模块120和应用构建模块130，其中：所述身份认证模块110用于对用户进行身份认证，所述资源管理模块120用于向所述应用构建模块提供虚拟资源，所述应用构建模块130用于根据所分配的构建虚拟资源构建网络靶场应用，并将所述网络靶场应用提供给身份认证通过的用户。本发明通过身份认证模块，将用户与网络靶场应用建立了联系，为通过身份认证的用户提供网络靶场应用，即用户在使用网络靶场云平台系统中的网络靶场应用时需要进行身份认证过程，形成在使用该应用之前对靶场模拟环境的安全保护。其中，所述网络靶场是指通过虚拟环境与真实设备相结合，模拟仿真出真实赛博网络空间攻防作战环境，能够支撑赛博作战能力研究和赛博武器装备验证试验，目的是针对网络攻防演练和网络新技术评测。网络靶场应用即是指用户可以使用的基于网络靶场的各种应用。上文所述身份认证的过程可以有多种实现方式，例如：在本发明的一个实施例中，所述身份认证子系统可以通过802.1x协议对用户进行身份认证。本领域技术人员可以理解的是，802.1x协议基于以太网端口认证的技术，在身份认证通过之前，802.1x只允许eapol(基于局域网的扩展认证协议)数据通过设备连接的交换机端口；身份认证通过以后，正常的数据可以顺利地通过以太网端口。802.1x协议的网络客户端、认证系统和网络接入设备之间通过三个协议eapol、eap和radius进行交互，实现身份认证过程。所述身份认证模块包括第一请求单元、第一密码获取单元和第一认证单元；所述第一请求单元，用于通过网络客户端向认证系统发送eapol-start报文身份认证请求；所述第一密码获取单元，用于所述认证系统根据所述eapol-start报文身份认证请求向网络客户端发送eap-request/identity报文，获取用户名和密码，将所述用户名和密码以第一认证请求报文的形式发送给radius认证服务器；所述第一认证单元，用于radius认证服务器判断所述第一认证请求报文是否与数据库信息一致，若是，则发送radius-success报文并通过所述网络接入设备开启连接所述网络靶场云平台系统的端口。其中所述网络接入设备例如交换机、路由器等，此处交换机可以是以太网交换机。在本发明的另一个实施例中，所述身份认证子系统通过基于radius的portal认证对用户进行身份认证。具体地，所述身份认证模块包括第二请求单元、第二密码获取单元和第二认证单元；所述第二请求单元，用于通过网络接入客户端向网络接入设备发出http网络访问请求，portal根据所述http网络访问请求向网络接入客户端发送用户认证界面；所述第二密码获取单元，用于通过所述用户认证界面获取用户名和密码，portal将用户名和密码以第二认证请求报文的形式发送给radius认证服务器；所述第二认证单元，用于radius认证服务器根据所述认证请求报文判断所述报文是否与数据库信息一致，若是，则发送radius-success报文并通过所述网络接入设备开启连接所述网络靶场云平台系统的端口。其中所述网络客户端为请求接入网络的一端，例如浏览器，所述网络接入设备例如交换机、路由器等，此处交换机可以是以太网交换机。具体地，所述资源管理模块用于向所述应用构建模块提供虚拟资源，包括：对所述虚拟资源分配ipv6地址，并将所述ipv6地址提供至所述应用构建模块；所述应用构建模块根据所述ipv6地址访问所述虚拟资源。例如，表1所示为虚拟资源ipv6地址信息，当虚拟资源包括靶机时，对每个可用靶机分配一个独立的ipv6地址，当用户点击或输入表格中的靶机地址时，可访问该靶机。所述网络靶场云平台系统所处的网络环境可以为ipv6环境。表1靶机ipv6地址信息表靶机编号靶机名称靶机地址存活情况b0001靶机12001:da8::01是b0002靶机22001:da8::02是b0003靶机32001:da8::03否b0004靶机42001:da8::04否上文所述虚拟资源还可包括靶场，当虚拟资源包括靶场时，如表2所示，对每个可用靶场分配一个独立的ipv6地址，当用户点击或输入表格中的靶场地址时，可访问该靶场。本领域技术人员可以理解的是，所述靶场包含多个靶机。表2靶场ipv6地址信息表靶场编号靶场名称靶场地址存活情况c0001靶场12001:da8::06是c0002靶场22001:da8::07是c0003靶场32001:da8::08否c0004靶场42001:da8::09否另外，所述资源管理模块还可用于对用户信息进行管理，将网络靶场云平台中用户id、用户名称、所属单位、所属组、分数等展示给用户。例如，表3所示为资源管理模块对用户信息进行管理的表格。表3用户信息管理表用户id用户姓名学校(单位)所属组个人分数000001王一清华大学组190000002赵二北京大学组289000003张三浙江大学组391000004李四复旦大学组488本领域技术人员可以理解的是，上文所述的虚拟资源中的靶机均为虚拟机，可以部署于docker容器中，靶场也可以作为整体部署于docker容器中。所述靶机包括windows和kalilinux两种系统。进一步地，所述网络靶场应用包括知识库培训应用和模拟攻防培训应用，所述知识库培训应用用于获取知识库和论坛并展示给用户；所述模拟攻防培训应用用于获取虚拟靶机，对所述虚拟靶机进行攻击实验，并将攻击实验结果展示给用户。例如：用户可以从网络靶场应用中针对知识库中内容进行学习，同时可以在论坛中与其他用户进行交流。用户在获取虚拟靶机之后，可以对该虚拟靶机进行模拟攻击实验训练，加深对漏洞知识的学习。进一步地，所述网络靶场应用包括题库应用和靶场应用，所述题库应用用于获取攻防技能题库并展示给用户；所述靶场应用用于获取虚拟靶场，并对所述虚拟靶场中的虚拟靶机进行攻击实验，所述虚拟靶场包括多个带有不同类型漏洞的虚拟靶机。例如：用户可以从网络靶场应用中获取题库，该题库包含密码破解、web安全、逆向工程、系统安全、网络协议等类型。所述虚拟靶场可以初级虚拟靶场、中级虚拟靶场和高级虚拟靶场，初级虚拟靶场以单个靶机组成靶场，共有20个靶场；中级虚拟靶场以2-3个靶机组成靶场，共为10个靶场；高级虚拟靶场以2-5个靶机组成靶场，共为5个靶场。每个靶场可包含多个不同类型的漏洞，用户在完成初级虚拟靶场的攻击实验后可进入中级虚拟靶场和高级虚拟靶场。进一步地，所述网络靶场应用包括红蓝对抗应用，用于向不同的用户提供相对立的虚拟资源，并使该不同的用户使用所述相对立的虚拟资源进行攻防比赛。例如：用户a、b、c为红队，用户d、e、f为蓝队，两个队在攻击对方的靶场时，需对本对的靶场进行防护。通过红蓝对抗应用可以训练用户的应变能力及攻防对抗能力。本发明还提供了一种上文所述系统中的构建方法，所述方法包括：通过身份认证模块对用户进行身份认证；通过资源管理模块向所述应用构建模块提供虚拟资源；通过应用构建模块根据所分配的虚拟资源构建网络靶场应用，并将所述网络靶场应用提供给身份认证通过的用户。具体地，参见图3，通过身份认证模块对用户进行身份认证，认证成功后，用户进行需求描述，根据该需求描述，通过资源管理模块向所述应用构建模块提供虚拟资源，即进行文件配置过程，达到最优配置(最优虚拟资源)后，将该资源交付给所述应用构建模块同时展示给用户，并判断用户是否对该资源进行确认，若用户对所述资源没有确认，则用户重新进行需求描述，并重新进行文件配置过程，通过应用构建模块根据所分配的虚拟资源构建网络靶场应用，并将所述网络靶场应用提供给身份认证通过的用户。在用户使用完网络靶场应用后，通过资源管理模块将虚拟资源进行销毁。另外，本发明提供了一种电子设备200，包括：通信器，用于与服务器通信；处理器；存储器，其存储有计算机可执行程序，该程序包含如上文所述网络靶场云平台系统。图2示意性示出了根据本发明实施例的电子设备框图。如图2所示，所述电子设备200包括通信器210、处理器220和存储器230。该电子设备200可以执行根据本发明实施例的方法。具体地，处理器220例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(asic))，等等。处理器220还可以包括用于缓存用途的板载存储器。处理器220可以是用于执行根据本发明实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。存储器230，例如可以是能够包含、存储、传送、传播或传输指令的任意介质。例如，可读存储介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。可读存储介质的具体示例包括：磁存储装置，如磁带或硬盘(hdd)；光存储装置，如光盘(cd-rom)；存储器，如随机存取存储器(ram)或闪存；和/或有线/无线通信链路。其存储有计算机可执行程序，该程序在被所述处理器执行时，使得所述处理器执行如上文所述的网络靶场云平台系统。本发明还提供了一种计算机可读介质，其上存储有计算机程序，该程序包含如上文所述的网络靶场云平台系统。该计算机可读介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本发明实施例的方法。根据本发明的实施例，计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、有线、光缆、射频信号等等，或者上述的任意合适的组合。本领域技术人员可以理解，本发明的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合，即使这样的组合或结合没有明确记载于本发明中。特别地，在不脱离本发明精神和教导的情况下，本发明的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本发明的范围。尽管已经参照本发明的特定示例性实施例示出并描述了本发明，但是本领域技术人员应该理解，在不背离所附权利要求及其等同物限定的本发明的精神和范围的情况下，可以对本发明进行形式和细节上的多种改变。因此，本发明的范围不应该限于上述实施例，而是应该不仅由所附权利要求来进行确定，还由所附权利要求的等同物来进行限定。当前第1页12