[发明专利]一种网络安全攻防演练的实现系统及方法

权利要求书

1.一种网络安全攻防演练的实现系统，其特征在于，所述系统，包括准备、试运行、执行、评估和复盘5个模块；

所述准备，定义演练的目标，制定演练的场景，并部署场景所需的基础设施，包括场景模型、基础设施编排和漏洞注入3个子模块，对具有漏洞的逻辑网络拓扑进行了建模，定义了攻击者和防御者攻击或防御这些漏洞的能力，并对可能的攻击和防御策略进行了分析和逻辑验证，采用领域特定语言DSL，以在演练期间指定不同的网络安全运维操作需求，在一次演练中将网络安全运维简化为五个操作：基础设施编排器、漏洞注入器、攻击者代理、防御者代理和流量生成器，这些操作在网络安全演练场景中有其特定的属性；

所述场景模型，包括场景语言实例化、正式场景规范和正式场景验证；

所述基础设施编排，包括云基础设施编排，将已正式验证的建模场景转换为仿真网络拓扑，这种转换是通过利用基础设施作为IaC代码编程技术来实现的，在这种技术中，基础设施编排的模板是被生成的；这是在云实例上部署的；

所述云基础设施编排，不仅具有包括Openstack、微软云、谷歌云和亚马逊云在内的云计算和云存储上进行基础设施编排的功能；而且还提供了在不依赖第三方基础设施的情况下建立本地云基础设施的能力，Openstack提供了基于HEAT模板的基础设施；

所述漏洞注入，能够在所述的云基础设施编排所生成的基础设施上进行漏洞注入，基于定制的漏洞注入器，使用不同的操作系统自动化技术，根据场景模型要求注入漏洞，所述操作系统自动化技术，基本上被部署在模拟网络中的机器上打开SSH连接，并使用Bash、Powershell和Python脚本操作软件漏洞、服务漏洞和配置漏洞。这使得能够在基础设施部署后修改场景，并在需要时注入新的漏洞，使场景更加灵活和平衡；

所述场景语言实例化，通过开发的场景语言进行的，并通过Datalog进行逻辑验证；

所述正式场景规范，采用网络杀伤链cyber kill chain模型方法，包括步骤：侦察、武器化、交付、攻击漏洞、安装、命令和控制、目标行动；

所述正式场景验证，将场景语言的概念与Datalog建模相结合，同时提供了建模和验证网络安全演练场景的能力；

所述试运行，包括手动测试和自动验证，调试演练场景和基础设施以防出现任何错误，在试运行期间，将检查不同的场景属性，以确定部署的场景是否满足场景模型中的指定需求；

所述执行，包括自动、混合和手动3种方式，网络安全演练由不同的团队执行，以实现演练场景中定义的目标；

所述评估，包括日志分析和调查，将根据实现的目标评估不同参与团队在网络安全演练中的表现；

所述复盘，将分析整个演练，以确定在重新运行演练之前需要解决的任何新发现的技术和非技术问题，通过分析调查的反馈，确定场景中的问题，包括在下一次迭代中纳入了哪些解决方案。

2.一种网络安全攻防演练的实现方法，其特征在于，所述方法，包括如下步骤：

1)准备；

2)试运行；

3)执行；

4)评估；

5)复盘，并跳转到步骤1)。