[发明专利]一种基于网络靶场场景的复盘推演方法、系统及设备

说明书

本发明提供了一种基于网络靶场场景的复盘推演方法、系统及设备，解决现有网络攻防复盘过程缺乏数据保障，网络攻防演练效果差的技术问题。方法包括：在形成攻防过程的网络靶场攻防场景中根据网络威胁框架进行复盘数据采集；根据复盘需求选取复盘数据，在网络靶场中形成攻防过程的复盘回放过程；在复盘回放过程中，根据推演需求形成复盘调度。将可运用的网络威胁框架细节关联到具体的数据类型和采集方式上，构建网络攻防过程中具有的统一动作标识的数据合集，为复盘提供数据保障。依靠网络靶场迅速构建切换到推演所需的虚拟化场景中，实现人在回路的选定环节的演练，实现复盘为主线，推演为其中小循环的结构，有效提升网络攻防演练效率和质量。

技术领域

本发明涉及网络攻防技术领域，具体涉及一种基于网络靶场场景的复盘推演方法、系统及设备。

背景技术

网络靶场基于虚拟化技术对真实网络空间中的网络架构、系统设备、业务流程的运行环境进行模拟。已经成为各国进行网络空间安全研究、学习、测试、验证、演练等必不可少的网络空间安全核心基础设施。世界各国均高度重视网络靶场建设，将其作为安全能力建设支撑的重要手段。

利用网络靶场构建网络攻防对抗的场景是提升攻防能力的重要手段。网络对抗行为同时发生在数字空间和物理空间，且几乎瞬间发生没有现实时空限制，该特性导致网络对抗中的关系复杂且交互性很强，传统的兵棋推演、复盘推演等均无法加以利用。主要表现在攻防过程复盘时，缺乏清晰明确的数据分析和展示，丢失/规避了复杂的交互和过程环节，缺少网络攻防过程数据，只能表现最初始的攻击动作和最后的攻击数据(如提交了最终的flag/或获取到密码文件取胜)。需要采取预先编排的脚本以及预制的模拟数据进行复盘回放来实现复盘演练，演练数据真实性滞后。

发明内容

鉴于上述问题，本发明实施例提供一种基于网络靶场场景的复盘推演方法、系统及设备，解决现有网络攻防复盘过程缺乏数据保障，网络攻防演练效果差的技术问题。

本发明实施例的基于网络靶场场景的复盘推演方法，包括：

在形成攻防过程的网络靶场攻防场景中根据网络威胁框架进行复盘数据采集；

根据复盘需求选取复盘数据，在网络靶场中形成攻防过程的复盘回放过程；

在复盘回放过程中，根据推演需求形成复盘调度。

本发明一实施例中，所述复盘数据采集包括：

在网络靶场攻防场景中，根据网络威胁框架确定攻防过程中的过程节点；

对攻防过程中的攻击关键动作进行标识，攻防场景的监控数据根据标识与攻击关键动作进行关联形成行为记录；

根据过程节点形成攻防过程中的攻防场景快照；

根据行为记录和攻防场景快照形成攻防过程时序性现场的复盘数据。

本发明一实施例中，所述复盘回放过程包括：

根据复盘需求确定复盘回访过程的起始时间，从复盘数据中确定对应的攻防场景快照；

根据攻防场景快照确定攻防场景中攻防过程的行为记录；

根据行为记录形成攻防场景中的攻击方视角进行复盘回放过程。

本发明一实施例中，所述复盘调度包括：

形成攻防场景中行为记录的修改接口，在确定的攻防场景时间段内，通过修改接口改变攻防场景复盘回放过程中攻击行为和策略，形成复盘过程的额外行为记录；

在复盘回放过程，根据攻击方的阶段或目标从行为记录中提供防守方行为数据形成防守方视角进行数据或状态展示；

在通过修改接口改变攻防场景复盘回放过程中攻击行为和策略的额外攻防过程中根据攻击关键动作形成额外场景快照。