[发明专利]一种网络靶场中演练人员行为的分析方法及装置

说明书

本发明公开了一种网络靶场中演练人员行为的分析方法及装置，涉及网络安全技术领域，其中，分析方法包括：根据演练过程期望达成的目标与操作序列，将演练过程建模为有向图模型，作为演练参考图；进行网络安全演练，记录演练人员的操作行为日志，并将记录得到的操作行为日志保存至数据库；采用匹配算法，基于操作行为日志实时地将测试人员行为与演练参考图匹配并建模，以获得演练人员的行为路径，作为演练检验图；演练完成后，保存所有演练人员对应的演练检验图，并根据定义的图距离对演练人员进行聚类分析。提高了网络安全演练过程中的交互性，缩短了数据处理的时间。

技术领域

本发明涉及网络安全技术领域，具体涉及一种网络靶场中演练人员行为的分析方法及装置。

背景技术

随着网络信息安全重要性的提高，国内外各组织均积极投入到网络靶场的建设中。目前，网络靶场已经成为支撑网络空间安全技术验证、网络武器试验、攻防对抗演练和网络风险评估的重要基础设施。

其中，实施网络安全培训和开展攻防演练是网络靶场平台的重要功能，整个过程包括了演练前期的场景设计、统筹规划，演练实施中的靶场网络环境监测、管理、记录，演练结束后大量数据的整理分析与反馈，是一个较为复杂的过程。在网络安全演练过程中，靶场平台通常使用积分的方式展示演练人员所达成的目标，待演练结束后，根据参与人员的完成程度给出最终的评分，但是这种方式缺少了对演练人员达到目标实际过程的刻画，也缺少了对人员操作行为更细粒度的分析。同时，多次演练，多人参与的过程将会产生大量的历史数据，对于演练事后的分析衍生出数据多而繁杂，处理耗时且困难的问题。因此，本申请提供一种网络靶场中人员行为的分析方法，能够实时建立人员的行为模型，为演练人员行为数据的自动化处理提供一种可行的解决方案。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种网络靶场中演练人员行为的分析方法及装置。本发明的一种网络靶场中演练人员行为的分析方法及装置通过关注人员在网络安全培训中的行为序列，提高了网络安全演练过程中的交互性，能够更好的分析不同组别人员在演练探索过程中存在的问题，从而针对不同组员开展更有针对性的培训计划，缩短了数据处理的时间。

为达到以上目的，本发明采取的技术方案是：

根据演练过程期望达成的目标与操作序列，将演练过程建模为有向图模型，作为演练参考图；

进行网络安全演练，记录演练人员的操作行为日志，并将记录得到的操作行为日志保存至数据库；

采用匹配算法，基于操作行为日志实时地将测试人员行为与演练参考图匹配并建模，以获得演练人员的行为路径，作为演练检验图；

演练完成后，保存所有演练人员对应的演练检验图，并根据定义的图距离对演练人员进行聚类分析。

在上述技术方案的基础上，所述有向图模型用于利用其本身的偏序关系表达演练人员操作的前后关系，并使用节点的数据结构表示每个操作的详细内容。

在上述技术方案的基础上，所述节点的属性包括节点名称、操作的工具、操作参数和依赖的前置节点列表。

在上述技术方案的基础上，所述操作行为日志的内容包括时间戳、操作工具和操作参数信息。

在上述技术方案的基础上，所述采用匹配算法，基于操作行为日志实时地将人员行为与演练参考图匹配并建模，以获得演练人员的行为路径，作为演练检验图，具体步骤为：

初始化一个空的节点集合Q，根据演练参考图创建有向图，并重复执行：

将有向图中无前置节点的节点加入到节点集合Q中；

按时间顺序取出一条操作行为日志，将该日志内容与节点集合Q中的节点匹配，根据匹配结果：