[发明专利]一种攻击防护演练方法和装置

说明书

技术领域

本申请涉及网络技术领域，更具体地说，涉及一种攻击防护演练方法和装置。

背景技术

网络攻防实验室是一种配置有进行网络攻防所需要的软硬件设施的实验室，硬件设施包括电脑主机、服务器、路由器及连接设备等，软件包括服务器管理软件、操作系统、防火墙等，主要用于模拟网络攻击即防范，以便用户能够根据攻击检验被攻击系统的安全性。

网络攻防实验室会通打补丁对被攻击系统进行防护，再利用防火墙或IPS等系统进行防护。然而在进行攻防演练时只强调攻击，并没有展示防护效果，导致用户无法根据防护效果对防护系统进行评估和改进。

发明内容

有鉴于此，本申请提供一种攻击防护演练方法和装置，用于在攻防试验系统进行攻防演练时展示防护效果，以便用户能够根据防护效果对防护系统进行评估和改进。

为了实现上述目的，现提出的方案如下：

一种攻击防护演练方法，应用于攻防演练系统的场景控制器，所述攻击防护演练方法包括步骤：

响应用户的攻防请求，生成配置模板，所述配置模板包括攻击机克隆母体、靶机克隆母体和防火墙克隆母体；

将所述配置模板发送至所述攻防演练系统的虚拟化管理平台，并控制所述虚拟化管理平台根据所述配置模板克隆出虚拟机和和虚拟防火墙，所述虚拟机包括虚拟攻击机和虚拟靶机；

生成两个虚拟网络，包括攻击者网络和靶机网络；

将所述虚拟网络分别与所述虚拟机、所述虚拟防火墙相关联；

展现所述虚拟机和所述虚拟防火墙，并为用户提供攻击访问，所述虚拟防火墙的日志用于记录用户所发起攻击的攻击效果和防护效果。

可选的，所述将所述虚拟网络分别与所述虚拟机、所述虚拟防火墙相关联，包括：

将所述攻击者网络与所述虚拟攻击机相关联；

将所述靶机网络与所述虚拟靶机相关联；

将所述虚拟防火墙跨接在所述攻击者网络与所述靶机网络之间。

可选的，所述将所述攻击者网络与所述虚拟攻击机相关联，包括：

将所述攻击者网络的虚拟网卡增加到所述虚拟攻击机。

可选的，所述将所述靶机网络与所述虚拟靶机相关联，包括：

将所述靶机网络的虚拟网卡增加到所述虚拟靶机。

可选的，还包括步骤：

为所述虚拟机建立访问代理，所述访问代理用于为外网用户提供攻防访问服务。

一种攻击防护演练装置，应用于攻防演练系统的场景控制器，所述攻击防护演练装置包括：

模板生成模块，用于响应用户的攻防请求，生成配置模板，所述配置模板包括攻击机克隆母体、靶机克隆母体和防火墙克隆母体；

虚拟化控制模块，用于将所述配置模板发送至所述攻防演练系统的虚拟化管理平台，并控制所述虚拟化管理平台根据所述配置模板克隆出虚拟机和和虚拟防火墙，所述虚拟机包括虚拟攻击机和虚拟靶机；

网络生成模块，用于生成两个虚拟网络，包括攻击者网络和靶机网络；

网络关联模块，用于将所述虚拟网络分别与所述虚拟机、所述虚拟防火墙相关联；

虚拟机展示模块，用于展现所述虚拟机和所述虚拟防火墙，并为用户提供攻击访问，所述虚拟防火墙的日志用于记录用户所发起攻击的攻击效果和防护效果。

可选的，所述网络关联模块包括：

第一关联单元，用于将所述攻击者网络与所述虚拟攻击机相关联；

第二关联单元，用于将所述靶机网络与所述虚拟靶机相关联；

第三关联单元，用于将所述虚拟防火墙跨接在所述攻击者网络与所述靶机网络之间。

可选的，所述第一关联单元用于将所述攻击者网络的虚拟网卡增加到所述虚拟攻击机。

可选的，所述第二关联单元用于将所述靶机网络的虚拟网卡增加到所述虚拟靶机。

可选的，还包括：

代理建立模块，用于为所述虚拟机建立访问代理，所述访问代理用于为外网用户提供攻防访问服务。