[发明专利]一种网络靶场中演练人员行为的分析方法及装置

权利要求书

1.一种网络靶场中演练人员行为的分析方法，其特征在于，包括以下步骤：

根据演练过程期望达成的目标与操作序列，将演练过程建模为有向图模型，作为演练参考图；

进行网络安全演练，记录演练人员的操作行为日志，并将记录得到的操作行为日志保存至数据库；

采用匹配算法，基于操作行为日志实时地将测试人员行为与演练参考图匹配并建模，以获得演练人员的行为路径，作为演练检验图；

演练完成后，保存所有演练人员对应的演练检验图，并根据定义的图距离对演练人员进行聚类分析。

2.如权利要求1所述的一种网络靶场中演练人员行为的分析方法，其特征在于：

所述有向图模型用于利用其本身的偏序关系表达演练人员操作的前后关系，并使用节点的数据结构表示每个操作的详细内容。

3.如权利要求2所述的一种网络靶场中演练人员行为的分析方法，其特征在于：

所述节点的属性包括节点名称、操作的工具、操作参数和依赖的前置节点列表。

4.如权利要求3述的一种网络靶场中演练人员行为的分析方法，其特征在于，所述操作行为日志的内容包括时间戳、操作工具和操作参数信息。

5.如权利要求4所述的一种网络靶场中演练人员行为的分析方法，其特征在于，所述采用匹配算法，基于操作行为日志实时地将人员行为与演练参考图匹配并建模，以获得演练人员的行为路径，作为演练检验图，具体步骤为：

初始化一个空的节点集合Q，根据演练参考图创建有向图，并重复执行：

将有向图中无前置节点的节点加入到节点集合Q中；

按时间顺序取出一条操作行为日志，将该日志内容与节点集合Q中的节点匹配，根据匹配结果：

-若匹配成功，则将匹配得到的节点移出节点集合Q，并从该节点所指向的下一个节点所依赖的前置节点列表中删除该节点，同时复制一个内容与该节点内容相同的节点，将复制的节点加入到演练检验图中；

-若匹配不成功，则创建一个以操作行为日志内容为属性的节点，作为错误尝试节点，将创建的节点加入到演练检验图中。

6.如权利要求5所述的一种网络靶场中演练人员行为的分析方法，其特征在于：

所述匹配成功为当前操作行为日志内容中的操作工具与节点集合Q中节点的操作参数相同；

所述匹配不成功为当前条操作行为日志内容中的操作工具与节点集合Q中节点的操作参数不相同。

7.如权利要求1所述的一种网络靶场中演练人员行为的分析方法，其特征在于，所述图距离由距离向量得到，距离向量表示为：

DV_pq＝(f₁,f₂,f₃,...f_n)

其中，DV_pq为距离向量，f_n为第n个距离因子，n为演练参考图中节点的个数。

8.权利要求7述的一种网络靶场中演练人员行为的分析方法，其特征在于，所述距离因子的计算步骤包括：

将演练参考图的节点按照一定顺序编号，对应至距离中的每个距离因子的下标，第n个距离因子f_n定义为：

其中，U_p为两测试人员中一测试人员在参考图中达成编号n节点前错误尝试的节点集合，U_q为两测试人员中另一测试人员在参考图中达成编号n节点前错误尝试的节点集合，为两个集合的Jaccard距离，w为可配置常量，φ(n)为两测试人员的演练检验图在节点n处与演练参考图的匹配情况，若两测试人员的演练检验图在节点n处与演练参考图都匹配或都不匹配，则φ(n)取值为0，否则φ(n)取值为1。