專利名稱:一種基于移動代理的網絡攻防試驗資源部署方法
技術領域:
本發明涉及一種網絡攻防試驗資源部署方法,特別涉及一種基于移動代理的網絡攻防試驗資源部署方法。
背景技術:
所述網絡攻防試驗資源是指網絡對抗雙方在對抗過程中采用的偵察、攻擊、防御軟件系統。目前,網絡攻防試驗被廣泛應用于測試和驗證網絡偵察、攻擊與防御裝備功能和性能的技術領域,以此為手段學習和研究網絡攻擊的過程和效果,測試網絡中安防裝備的可用性和有效性。然而在網絡攻防試驗資源部署方面,尚存在一些不足,具體表現為(1)網絡攻防試驗資源采用人工部署方式,資源部署效率低,易部署失誤,缺乏從設計到部署的一體化過程,不具備自動部署的能力。(2)網絡攻防試驗資源預先部署,不支持按需的動態調整。(3)缺少網絡攻防試驗資源部署的整體視圖,當同時開展多個攻防試驗時,難以對試驗資源進行有效調配。·
發明內容
發明目的本發明主要目的是提供一種在局域網和/或廣域網環境中,具有自動部署能力的支持按需動態調整的基于移動代理的網絡攻防試驗資源部署方法。技術方案本發明公開了一種基于移動代理的網絡攻防試驗資源部署方法,所述方法從結構角度將網絡攻防試驗資源部署系統分為資源配置管理席、試驗資源庫、威脅環境部署平臺和目標系統部署平臺,且資源配置管理席、試驗資源庫、威脅環境部署平臺和目標系統部署平臺共同連接一個網絡,并通過該網絡傳送數據;在資源配置管理席部署資源配置管理系統,在試驗資源庫部署移動代理管理系統和移動代理。所述資源配置管理席用于通過資源配置管理系統提供網絡攻防試驗資源部署整體視圖、制定網絡攻防試驗資源部署計劃、發布網絡攻防試驗資源部署命令。所述試驗資源庫用于存放網絡攻防試驗資源,網絡攻防試驗資源部署計劃中使用的網絡攻防試驗資源全部由試驗資源庫提供。所述威脅環境部署平臺包括η臺具有移動代理運行環境的攻擊主機,用于部署偵察和攻擊類型的網絡攻防試驗資源;η取值為自然數。所述目標系統部署平臺包括η臺具有移動代理運行環境的防御主機,用于部署防御類型的網絡攻防試驗資源;11取值為自然數。所述資源配置管理系統用于網絡攻防試驗資源注冊與維護、攻擊主機和防御主機屬性數據注冊與維護、網絡攻防試驗資源部署視圖展現、網絡攻防試驗資源部署計劃編輯和網絡攻防試驗資源部署命令發布;所述移動代理管理系統用于網絡攻防試驗資源部署計劃解析、移動代理派遣和回收以及移動代理返回數據的處理;所述移動代理用于根據移動代理管理系統分配的任務進行網絡攻防試驗資源的分發、安裝以及卸載。所述方法是一種在局域網和/或廣域網環境中,具有開放性和靈活性的網絡攻防試驗資源自動部署和按需動態調整能力,提供網絡攻防試驗資源部署整體視圖的方法,該方法包括下列步驟第一步利用資源配置管理系統進行網絡攻防試驗資源注冊,已注冊的網絡攻防試驗資源存放到試驗資源庫;利用資源配置管理系統進行攻擊主機和防御主機屬性數據注冊;資源配置管理系統展現網絡攻防試驗資源列表、攻擊主機和防御主機的拓撲結構。第二步根據網絡攻防試驗需求,利用資源配置管理系統制定網絡攻防試驗資源部署計劃;通過網絡向移動代理管理系統發送部署計劃。第三步利用移動代理管理系統解析部署計劃,為移動代理設定巡游路線和試驗資源安裝任務。
第四步移動代理自主遷移至第一臺或下一臺攻擊主機或者防御主機,從試驗資源庫獲取試驗資源安裝任務指定安裝的網絡攻防試驗資源,在攻擊主機或者防御主機安裝該網絡攻防試驗資源,并保存安裝數據;若該攻擊主機或者防御主機已是巡游路線中的最后一臺主機,則移動代理返回試驗資源庫,并將安裝數據作為資源部署結果發送給移動代理管理系統;移動代理清除本次資源部署中保存的安裝數據。第五步利用移動代理管理系統綜合所有資源部署結果,發送給資源配置管理系統。第六步若本次網絡攻防試驗資源部署完成,則結束;若本次試驗資源部署計劃改變,需要調整,則利用資源配置管理系統重新制定網絡攻防試驗資源部署計劃,通過網絡向移動代理管理系統發送新的部署計劃。第七步利用移動代理管理系統解析部署計劃,為移動代理設定巡游路線和網絡攻防試驗資源安裝任務或者網絡攻防試驗資源卸載任務。第八步移動代理自主遷移至第一臺或下一臺攻擊主機或者防御主機,若移動代理在該遷移節點的任務是網絡攻防試驗資源安裝任務,則從試驗資源庫獲取任務指定安裝的網絡攻防試驗資源,在該攻擊主機或者防御主機安裝該網絡攻防試驗資源,并保存安裝數據;若移動代理在該遷移節點的任務是網絡攻防試驗資源卸載任務,則卸載該網絡攻防試驗資源,并保存卸載數據;若該攻擊主機或者防御主機已是巡游路線中的最后一臺主機,則移動代理返回試驗資源庫,并將對應安裝或卸載的數據作為資源部署結果發送給移動代理管理系統;移動代理清除本次資源部署中保存的安裝或卸載數據。第九步利用移動代理管理系統綜合所有資源部署結果,發送給資源配置管理系統。有益效果本發明顯著優點是1、支持網絡攻防試驗資源自動部署,利用移動代理分發網絡攻防試驗資源,自主遷移至攻擊主機或者防御主機安裝試驗資源。2、支持網絡攻防試驗資源部署按需動態調整,當部署計劃發生改變時,利用移動代理自主遷移至攻擊主機或者防御主機調整試驗資源部署。3、提供網絡攻防試驗資源部署的整體視圖,達到從試驗設計到試驗資源部署過程的一體化目標。4、具有良好的擴展性,當有新的網絡攻防試驗資源加入試驗資源庫或新的攻擊主機或者防御主機加入部署平臺時,只需將其屬性數據向資源配置管理系統注冊。
下面結合附圖和具體實施方式
對本發明做更進一步的具體說明,本發明的上述和/或其他方面的優點將會變得更加清楚。圖I是本發明的總體概念圖。圖2是本發明總體流程圖。圖3是本發明的資源配置管理系統流程圖。圖4是本發明的移動管理系統流程圖。圖5是本發明的移動代理流程圖。圖6是本發明的部署過程圖。·
具體實施例方式如圖I所示,本發明從結構角度將網絡攻防試驗資源部署系統分為資源配置管理席I、試驗資源庫2、威脅環境部署平臺3和目標系統部署平臺4,且資源配置管理席I、試驗資源庫2、威脅環境部署平臺3和目標系統部署平臺4共同連接一個網絡,并通過該網絡傳送數據;在資源配置管理席I部署資源配置管理系統5,在試驗資源庫2部署移動代理管理系統6和移動代理7、存放網絡攻防試驗資源8。威脅環境部署平臺3包括η臺具有移動代理運行環境的攻擊主機,用于部署偵察和攻擊類型的網絡攻防試驗資源;目標系統部署平臺4包括η臺具有移動代理運行環境的防御主機,用于部署防御類型的網絡攻防試驗資源。結合圖2,本發明中資源配置管理系統、移動代理管理系統、移動代理的交互關系為資源配置管理系統向移動代理管理系統發布資源部署計劃;移動代理管理系統解析部署計劃,為移動代理設定巡游路線和任務;移動代理任務執行完畢后將任務執行結果發送給移動代理管理系統;移動代理管理系統綜合所有資源部署結果,發送給資源配置管理系統。如圖3所示,本發明的資源配置管理系統流程如下在步驟31中,若是注冊則進入步驟32,若是部署則進入步驟38 ;在步驟32中,若是網絡攻防試驗資源注冊進入步驟33,若是攻擊主機或者防御主機屬性數據注冊進入步驟35 ;在步驟33中,將網絡攻防試驗資源文件上傳至試驗資源庫;在步驟34中,填寫網絡攻防試驗資源屬性數據,包括資源名稱、資源描述、資源存放位置、資源類型和資源部署要求;在步驟35中,填寫攻擊主機或者防御主機屬性數據,包括主機名稱、主機IP地址、主機MAC地址、主機操作系統和鄰接主機;在步驟36中,將注冊數據保存到數據庫中;在步驟37中,若繼續注冊,則進入步驟32,否則結束;在步驟38中,從數據庫中讀取已注冊的試驗資源和攻擊主機或者防御主機屬性數據,展現已注冊試驗資源列表、攻擊主機和防御主機的拓撲結構及屬性數據;在步驟39中,試驗資源部署人員在界面上拖動試驗資源至攻擊主機或者防御主機中,制定或者修改網絡攻防試驗資源部署計劃;
在步驟310中,保存網絡攻防試驗資源部署計劃;在步驟311中,發送網絡攻防試驗資源部署計劃至移動代理管理系統;在步驟312中,等待移動管理系統反饋部署結果;在步驟313中,若需要調整網絡攻防試驗資源部署計劃,則進入步驟39,否則結束。如圖4所示,本發明的移動代理管理系統流程如下在步驟41中,等待并接收資源配置管理系統發送的網絡攻防試驗資源部署計劃;在步驟42中,解析網絡攻防試驗資源部署計劃,主要包括梳理部署計劃中的攻擊主機和防御主機需要安裝哪些資源、根據資源依賴關系確定安裝順序、資源安裝是否需要設置環境變量等; 在步驟43中,提取移動范圍涵蓋攻擊主機或者防御主機的移動代理;在步驟44中,為提取的移動代理分別設定巡游路線和任務;在步驟45中,等待移動代理返回任務執行結果;在步驟46中,將各移動代理返回的結果整理綜合為本次部署的結果,發送至資源配置管理系統。如圖5所示,本發明的移動代理流程如下在步驟51中,移動代理遷移至下一臺攻擊主機或者防御主機;在步驟52中,判斷下一個試驗資源是安裝還是卸載?若試驗資源是安裝,則進入53,,若是卸載,則進入56 ;在步驟53中,判斷是否需要設置環境變量?若要設置環境變量,則進入54,否則進入55 ;在步驟54中,設置環境變量;在步驟55中,調用安裝接口進行試驗資源的安裝;在步驟56中,調用卸載接口進行卸載;在步驟57中,保存安裝或者卸載結果;在步驟58中,判斷攻擊主機或者防御主機是否已部署完成?若該攻擊主機或者防御主機已部署完成,則進入59,否則進入52 ;在步驟59中,判斷攻擊主機或者防御主機是巡游路線中的最后一臺主機?若該攻擊主機或者防御主機是巡游路線中的最后一臺主機,則進入510,否則進入51 ;在步驟510中,移動代理攜帶任務結果返回試驗資源庫;在步驟511中,將任務結果發送給移動代理管理系統;在步驟512中,清除本次部署的任務數據和任務結果。如圖6所示,本發明的部署過程步驟如下在步驟61中,利用資源配置管理系統進行網絡攻防試驗資源注冊,已注冊的網絡攻防試驗資源存放到試驗資源庫;利用資源配置管理系統進行攻擊主機或者防御主機屬性數據注冊;資源配置管理系統展現網絡攻防試驗資源列表、攻擊主機和防御主機的拓撲結構;在步驟62中,根據網絡攻防試驗需求,利用資源配置管理系統制定網絡攻防試驗資源部署計劃;通過網絡向移動代理管理系統發送部署計劃;
在步驟63中,利用移動代理管理系統解析部署計劃,為移動代理設定巡游路線和試驗資源安裝任務;在步驟64中,移動代理自主遷移至第一臺或下一臺攻擊主機或者防御主機,從試驗資源庫獲取試驗資源安裝任務指定安裝的網絡攻防試驗資源,在攻擊主機或者防御主機安裝該網絡攻防試驗資源,并保存安裝數據;若該攻擊主機或者防御主機已是巡游路線中的最后一臺主機,則移動代理返回試驗資源庫,并將安裝數據作為資源部署結果發送給移動代理管理系統;移動代理清除本次資源部署中保存的安裝數據;在步驟65中,利用移動代理管理系統綜合所有資源部署結果,發送給資源配置管理系統;
在步驟66中,若本次網絡攻防試驗資源部署完成,則結束;若本次試驗資源部署計劃改變,需要調整,則利用資源配置管理系統重新制定網絡攻防試驗資源部署計劃,通過網絡向移動代理管理系統發送新的部署計劃;在步驟67中,利用移動代理管理系統解析部署計劃,為移動代理設定巡游路線和網絡攻防試驗資源安裝任務或者網絡攻防試驗資源卸載任務;在步驟68中,移動代理自主遷移至第一臺或下一臺攻擊主機或者防御主機,若移動代理在該遷移節點的任務是網絡攻防試驗資源安裝任務,則從試驗資源庫獲取任務指定安裝的網絡攻防試驗資源,在該攻擊主機或者防御主機安裝該網絡攻防試驗資源,并保存安裝數據;若移動代理在該遷移節點的任務是網絡攻防試驗資源卸載任務,則卸載該網絡攻防試驗資源,并保存卸載數據;若該攻擊主機或者防御主機已是巡游路線中的最后一臺主機,則移動代理返回試驗資源庫,并將對應安裝或卸載的數據作為資源部署結果發送給移動代理管理系統;移動代理清除本次資源部署中保存的安裝或卸載數據;在步驟69中,利用移動代理管理系統綜合所有資源部署結果,發送給資源配置管理系統。實施例下面說明本發明的一個實施例資源配置管理席、試驗資源庫、威脅環境部署平臺和目標系統部署平臺在局域網192. 168. 8. 0/22內通過路由器互連,其中資源配置管理席IP地址192. 168. 8. 2,計算機型號聯想ThinkCentre M8250t,操作系統winXP sp3,已部署資源配置管理系統;試驗資源庫IP地址192. 168. 9. 2,計算機型號聯想ThinkCentre M8250t,操作系統winXP sp3,已部署移動代理管理系統和移動代理;威脅環境部署平臺網段192. 168. 10. 0/24,10臺攻擊主機,IP 地址 192. 168. 10. 2-192. 168. 10. 11,計算機型號聯想 ThinkCentre M8250t,操作系統winXP sp3 ;目標系統部署平臺網段192. 168. 11. 0/24,10臺防御主機,IP地址192. 168. 11. 2-192. 168. 11. 11,計算機型號聯想 ThinkCentre M8250t,操作系統 winXPsp3。本實施例中的移動代理的實現基于IBM的Aglet,試驗資源包括端口掃描工具、口令猜測工具、安全策略設置軟件、殺毒軟件。第一步在資源配置管理系統中注冊網絡攻防試驗資源,將端口掃描工具、口令猜測工具、安全策略設置軟件、殺毒軟件上傳到試驗資源庫,填寫端口掃描工具、口令猜測工具、安全策略設置軟件、殺毒軟件屬性數據(資源名稱、資源描述、資源存放位置、資源類型和資源部署要求),數據提交給數據庫;在資源配置管理系統中注冊攻擊主機(192. 168. 10. 2-192. 168. 10. 11)和防御主機(192. 168. 11. 2-192. 168. 11. 11)屬性數據(主機名稱、主機IP地址、主機MAC地址、主機操作系統和鄰接主機),數據提交給數據庫;資源配置管理系統訪問數據庫,讀取注冊數據提供網絡攻防試驗資源部署的整體視圖,包括網絡攻防試驗資源列表和屬性數據、攻擊主機和防御主機的拓撲結構和屬性數據;第二步試驗資源部署人員在界面上拖動試驗資源至攻擊主機或者防御主機中制定網絡攻防試驗資源部署計劃,形成XML文件,發送給移動代理管理系統。部署計劃攻擊主機192. 168. 10. 2部署端口掃描工具,攻擊主機192. 168. 10. 3部署口令猜測工具,防御主機192. 168. 11. 2部署安全策略設置軟件,防御主機192. 168. 11. 3部署殺毒軟件;第三步移動代理管理系統接收并解析部署計劃,訪問數據庫查詢端口掃描工具、口令猜測工具、安全策略設置軟件、殺毒軟件是否具有依賴軟件和是否需要設置環境變量;提取移動代理,設定移動代理巡游路線(I) 192. 168. 10. 2,(2) 192. 168. 10. 3,(3)192. 168. 11. 2,(4) 192. 168. 11. 3,設定試驗資源安裝任務192. 168. 10. 2,安裝端口掃描工具,無依賴軟件,不需設置環境變量;192. 168. 10. 3,安裝口令猜測工具,無依賴軟件,不需設置環境變量;192. 168. 11. 2,安裝安全策略設置軟件,無依賴軟件,不需設置環境變量;·192. 168. 11. 3,安裝殺毒軟件,無依賴軟件,不需設置環境變量;第四步移動代理遷移到192. 168. 10. 2,從試驗資源庫獲取端口掃描工具并安裝,保存安裝結果;移動代理遷移到192. 168. 10. 3,從試驗資源庫獲取口令猜測工具并安裝,保存安裝結果;移動代理遷移到192. 168. 11. 2,從試驗資源庫獲取安全策略設置軟件并安裝,保存安裝結果;移動代理遷移到192. 168. 11. 3,從試驗資源庫獲取殺毒軟件并安裝,保存安裝結果;任務完成,移動代理攜帶任務結果返回試驗資源庫,將任務結果發送給移動代理管理系統;移動代理清除本次資源部署結果中保存的安裝數據;第五步移動代理管理系統綜合192. 168. 10. 2,192. 168. 10. 3,192. 168. 11. 2、192. 168. 11. 3資源部署結果,發送給資源配置管理系統;第六步本次網絡攻防試驗資源部署完成。本實施例的基于移動代理的網絡攻防試驗資源部署方法與傳統人工部署方法相t匕,具體可以量化為以下優點1、部署時間縮短了 60%,本實施例部署時間約為4分鐘,使用傳統人工部署方法部署時間約為10分鐘。2、部署成功率100%,本實施例進行了 200次試驗,均無部署失誤。3、效率提高了 I. 5倍。另,本實施例只使用一個移動代理部署網絡攻防試驗資源,本發明能夠支持多個移動代理同時部署網絡攻防試驗資源,部署時間和效率具有進一步的提升空間。本發明提供了一種基于移動代理的網絡攻防試驗資源部署方法,具體實現該技術方案的方法和途徑很多,以上所述僅是本發明的優選實施方式,應當指出,對于本技術領域的普通技術人員來說,在不脫離本發明原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也應視為本發明的保護范圍。本實施例中未明確的各組成部分均可用現有技術加以實現。
權利要求
1.一種基于移動代理的網絡攻防試驗資源部署方法,其特征在于,將網絡攻防試驗資源部署系統分為資源配置管理席、試驗資源庫、威脅環境部署平臺和目標系統部署平臺,且資源配置管理席、試驗資源庫、威脅環境部署平臺和目標系統部署平臺共同連接一個網絡,并通過該網絡傳送數據;在資源配置管理席部署資源配置管理系統,在試驗資源庫部署移動代理管理系統和移動代理; 所述資源配置管理席用于通過資源配置管理系統提供網絡攻防試驗資源部署整體視圖、制定網絡攻防試驗資源部署計劃、發布網絡攻防試驗資源部署命令; 所述試驗資源庫用于存放網絡攻防試驗資源,網絡攻防試驗資源部署計劃中使用的網絡攻防試驗資源全部由試驗資源庫提供; 所述威脅環境部署平臺包括η臺具有移動代理運行環境的攻擊主機,用于部署偵察和攻擊類型的網絡攻防試驗資源; 所述目標系統部署平臺包括η臺具有移動代理運行環境的防御主機,用于部署防御類型的網絡攻防試驗資源; 所述資源配置管理系統用于網絡攻防試驗資源注冊與維護、攻擊主機和防御主機屬性數據注冊與維護、網絡攻防試驗資源部署視圖展現、網絡攻防試驗資源部署計劃編輯和網絡攻防試驗資源部署命令發布; 所述移動代理管理系統用于網絡攻防試驗資源部署計劃解析、移動代理派遣和回收以及移動代理返回數據的處理; 所述移動代理用于根據移動代理管理系統分配的任務進行網絡攻防試驗資源的分發、安裝以及卸載。
2.根據權利要求I所述的一種基于移動代理的網絡攻防試驗資源部署方法,其特征在于,包括以下部署步驟 第一步利用資源配置管理系統進行網絡攻防試驗資源注冊,已注冊的網絡攻防試驗資源存放到試驗資源庫;利用資源配置管理系統進行攻擊主機和防御主機屬性數據注冊;資源配置管理系統展現網絡攻防試驗資源列表、攻擊主機和防御主機的拓撲結構; 第二步根據網絡攻防試驗需求,利用資源配置管理系統制定網絡攻防試驗資源部署計劃;通過網絡向移動代理管理系統發送部署計劃; 第三步利用移動代理管理系統解析部署計劃,為移動代理設定巡游路線和試驗資源安裝任務; 第四步移動代理自主遷移至第一臺或下一臺攻擊主機或者防御主機,從試驗資源庫獲取試驗資源安裝任務指定安裝的網絡攻防試驗資源,在攻擊主機或者防御主機安裝該網絡攻防試驗資源,并保存安裝數據;若該攻擊主機或者防御主機已是巡游路線中的最后一臺主機,則移動代理返回試驗資源庫,并將安裝數據作為資源部署結果發送給移動代理管理系統;移動代理清除本次資源部署中保存的安裝數據; 第五步利用移動代理管理系統綜合所有資源部署結果,發送給資源配置管理系統;第六步若本次網絡攻防試驗資源部署完成,則結束;若本次試驗資源部署計劃改變,需要調整,則利用資源配置管理系統重新制定網絡攻防試驗資源部署計劃,通過網絡向移動代理管理系統發送新的部署計劃; 第七步利用移動代理管理系統解析部署計劃,為移動代理設定巡游路線和網絡攻防試驗資源安裝任務或者網絡攻防試驗資源卸載任務; 第八步移動代理自主遷移至第一臺或下一臺攻擊主機或者防御主機,若移動代理在該遷移節點的任務是網絡攻防試驗資源安裝任務,則從試驗資源庫獲取任務指定安裝的網絡攻防試驗資源,在該攻擊主機或者防御主機安裝該網絡攻防試驗資源,并保存安裝數據;若移動代理在該遷移節點的任務是網絡攻防試驗資源卸載任務,則卸載該網絡攻防試驗資源,并保存卸載數據;若該攻擊主機或者防御主機已是巡游路線中的最后一臺主機,則移動代理返回試驗資源庫,并將對應安裝或卸載的數據作為資源部署結果發送給移動代理管理系統;移動代理清除本次資源部署中保存的安裝或卸載數據; 第九步利用移動代理管理系統綜合所有資源部署結果,發送給資源配置管理系統。·
全文摘要
本發明公開了基于移動代理的網絡攻防試驗資源部署方法,所述方法從結構角度將網絡攻防試驗資源部署系統分為資源配置管理席、試驗資源庫、威脅環境部署平臺和目標系統部署平臺,且資源配置管理席、試驗資源庫、威脅環境部署平臺和目標系統部署平臺共同連接一個網絡,并通過該網絡傳送數據;在資源配置管理席部署資源配置管理系統,在試驗資源庫部署移動代理管理系統和移動代理。本發明支持網絡攻防試驗資源自動部署,利用移動代理分發網絡攻防試驗資源,自主遷移至攻擊主機或者防御主機安裝試驗資源。支持網絡攻防試驗資源部署按需動態調整,當部署計劃發生改變時,利用移動代理自主遷移至攻擊主機或者防御主機調整試驗資源部署。
文檔編號H04L12/24GK102946328SQ20121052770
公開日2013年2月27日 申請日期2012年12月10日 優先權日2012年12月10日
發明者王曄, 周正虎, 朱立新, 周光霞 申請人:中國電子科技集團公司第二十八研究所