本发明专利技术公开了一种旁路设置的威胁管控系统及方法,威胁管控系统包括数据分流器等,威胁管控系统旁路设置于测试评估系统与被测试网络之间的链路;测试评估系统对被测试网络攻击、测试产生的流量数据通过置于路由器的数据分流器进入数据处理模块,被测试网络实时产生的状态数据通过置于各主机、服务器的数据传感器取出,同样提交给数据处理模块;数据处理模块将两路数据过滤还原、深度检测后,一份数据传输到状态监控模块,另一份数据移交给流量审计模块;威胁管控系统可安全、有效的控制测试评估系统和被测试网络之间的接入通道,确保测试评估过程中被测试网络软硬件环境的安全。
【技术实现步骤摘要】
一种旁路设置的威胁管控系统及方法
本专利技术涉及网络空间安全领域,尤其涉及一种旁路设置的威胁管控系统及方法,更具体地,涉及一种用于网络安全测试评估和网络虚拟化靶场建设的威胁管控系统。
技术介绍
随着网络环境日趋复杂和网络威胁日新月异,构建一个健壮、安全的业务网络成为众多组织、机构的迫切需求,在这种的背景形势下,对网络安全特性的测试评估研究逐渐成为网络空间领域的研究热点。网络安全测试评估可以挖掘网络潜在的漏洞,清除网络中的恶意代码程序,评估其中潜在的安全风险,并根据评估结果、业务系统的重要性制定合理有效的安全策略,可有效遏制各类潜在威胁的蔓延,为服务机构降低其业务网络安全运营的成本,避免网络攻击对其可能造成的负面影响。网络安全测试评估不仅要求对被评估网络进行合规性检查,同时也需要结合网络自身的安全因素如业务特点、薄弱环节、防护措施等进行测试攻击实验。在测试评估实施过程中不可避免的要对被评估网络系统造成一定程度的伤害,特别是目前主流的服务终端采用全部物理机或者虚拟化+实体机的局域网络,产生的部分伤害是不可逆或者不可修复,直接导致评估成本上升,不利于网络安全测试评估的大规模推广。因此本专利提出了一种威胁管控系统,可通过记录评估之初的网络状态和严格控制测试评估手段,极大降低了测试评估过程对被测试网络系统造成的损害,取得了良好效果。
技术实现思路
为了解决上述技术所存在的不足之处,本专利技术提供了一种旁路设置的威胁管控系统及方法。为了解决以上技术问题,本专利技术采用的技术方案是:一种旁路设置的威胁管控系统,威胁管控系统包括数据分流器、数据传感器、数据处理模块、状态监控模块、流量审计模块、辅助决策模块、初始化模块以及显示模块,威胁管控系统旁路设置于测试评估系统与被测试网络之间的链路;威胁管控系统的方法:测试评估系统对被测试网络攻击、测试产生的流量数据通过置于路由器3的数据分流器进入数据处理模块,被测试网络实时产生的状态数据通过置于各主机、服务器的数据传感器取出,同样提交给数据处理模块;数据处理模块将数据过滤还原、深度检测后,一份数据传输到状态监控模块,另一份数据移交给流量审计模块;状态监控模块内置有特征库、规则库,可将按已知的流量特征和预先设置的规则识别合法的攻击测试流量,实时监控被测网络的状态;流量审计模块则对数据内容进行还原、识别,通过与预置应用进程白名单校对,审计应用进程的合法性;辅助决策模块根据状态监控模块和流量审计模块的识别结果提供决策策略以供选择,根据损伤程度可提供报警、IP阻断、系统初始化操作,防火墙则根据决策内容具体执行IP阻断动作,初始化模块执行系统初始化动作,显示模块实时执行报警动作,同时显示被测试网络状态,为人机交互提供必要支持。进一步地,数据分流器为一种嵌入式程序或者具有混杂模式的网卡,可打开路由器或交换机的空置端口,复制途经路由器或交换机的上行、下行流量。进一步地,数据传感器为一种嵌入式程序,可置于主机、服务器的操作系统内,获取系统日志、应用进程等状态数据。进一步地,数据处理模块为依托于高速运算单元,可根据预置规则过滤数据包,并执行IP数据包重组和TCP会话还原动作,可深度检测数据包内容;可基于网络地址、协议类型建立转发表,转发数据报文。进一步地,状态监控模块能够根据预置特征库识别测试评估系统产生的威胁流量,并根据预定规则管理合法威胁流量,对非法接入的攻击数据包进行识别;可根据网络状态数据监控被测试网络的状态。进一步地,流量审计模块支持对合法接入和非法接入的测试评估数据还原;支持对系统日志、应用进程审计;支持审计数据统计分析和试验任务关联分析,支持与进程白名单校核;可对审计数据提取、去重、存储、备份与恢复。进一步地,辅助决策模块可基于多种状态数据对被测试网络进行状态评估,辅助制定应对策略;利用声音、弹窗、动画形式提供报警信息,支持威胁种类、事件类型、源/目的主机IP、源/目的端口、损伤程度和协议类型等详细报警信息查询;可对防火墙发出IP阻断指令,屏蔽失控主机;可对初始化模块发出状态恢复命令,恢复被测试网络预设记录点的状态。进一步地,初始化模块可记录、存储、灌装被测试网络任意指定时刻的物理机、虚拟机的系统镜像。进一步地,显示模块具备网络拓扑的图形化展示和编辑能力,支持网络拓扑图的拖拽、放大、缩小操作,能够以图元大小、颜色、闪烁特效形式展现对抗试验动态过程。本专利技术具有以下特点:(1)能够严格执行预定测试评估方案和阻断规则,准确识别合法测试攻击手段,使测试评估按既定路径执行,同时能够迅速鉴别非法攻击手段并切断非法路径。(2)实时掌握被测试网络的状态,可第一时间发现非法应用、进程,保证测试评估过程对测试网络无损伤,切实保护被测试网络的软硬件。(3)可使用镜像库记录被测试网络任意时刻的状态,以保证测试前后被测试网络的系统状态无变化。(4)系统整体功能结构合理,能在不对测试评估系统或被测试网络造成负担的前提下,满足控制测试评估过程的要求。附图说明图1为本专利技术实施例的工作原理示意图;图2为本专利技术实施例的内部详细结构示意图;在所有附图中,相同的附图标记用来表示相同的元件或结构,其中:1-测试评估系统2-防火墙3-路由器4-被测试网络5-威胁管控系统51-数据分流器52-数据传感器53-数据处理模块54-状态监控模块55-流量审计模块56-辅助决策模块57-初始化模块58-显示模块具体实施方式下面结合附图和具体实施方式对本专利技术作进一步详细的说明。如图1所示,为本专利技术的威胁接入管控系统结构示意图,包括数据分流器51、数据传感器52、数据处理模块53、状态监控模块54、流量审计模块55、辅助决策模块56、初始化模块57及显示模块58。威胁管控系统5设置于测试评估系统1与被测试网络4之间的旁路,其具体作用的过程如下:一方面,测试评估系统1对被测试网络4攻击、测试产生的流量数据通过置于路由器3的数据分流器进入数据处理模块53,另一方面,被测试网络4实时产生的状态数据通过置于各主机、服务器的数据传感器52取出,同样提交给数据处理模块53;数据处理模块53将两路数据过滤还原、深度检测后,一份数据传输到状态监控模块54,另一份数据移交给流量审计模块55;状态监控模块54内置有特征库、规则库,可将按已知的流量特征和预先设置的规则识别合法的攻击测试流量,实时监控被测网络的状态;流量审计模块55则对数据进行还原,通过与预置应用进程白名单校对,识别审计进程合法性;辅助决策模块56根据状态监控模块55和流量审计模块54的识别结果提供决策策略以供选择,根据损伤程度可提供报警、IP阻断、系统初始化等操作,防火墙2则根据决策内容具体执行IP阻断操作,初始化模块57执行系统初始化,显示模块58实时执行报警动作,显示被测试网络4状态,为人机交互提供必要支持。在本实施例中,管控系统内部的各模块需要更具体的功能模块发挥作用,具体如图2所示。数据处理模块5本文档来自技高网...
【技术保护点】
1.一种旁路设置的威胁管控系统,其特征在于,所述威胁管控系统包括数据分流器(51)、数据传感器(52)、数据处理模块(53)、状态监控模块(54)、流量审计模块(55)、辅助决策模块(56)、初始化模块(57)以及显示模块(58),威胁管控系统(5)旁路设置于测试评估系统(1)与被测试网络(4)之间的链路;/n威胁管控系统的方法:测试评估系统(1)对被测试网络(4)攻击、测试产生的流量数据通过置于路由器(3)的数据分流器进入数据处理模块(53),被测试网络(4)实时产生的状态数据通过置于各主机、服务器的数据传感器(52)取出,同样提交给数据处理模块(53);数据处理模块(53)将数据过滤还原、深度检测后,一份数据传输到状态监控模块(54),另一份数据移交给流量审计模块(55);状态监控模块(54)内置有特征库、规则库,可将按已知的流量特征和预先设置的规则识别合法的攻击测试流量,实时监控被测网络的状态;流量审计模块(55)则对数据内容进行还原、识别,通过与预置应用进程白名单校对,审计应用进程的合法性;辅助决策模块(56)根据状态监控模块(55)和流量审计模块(54)的识别结果提供决策策略以供选择,根据损伤程度可提供报警、IP阻断、系统初始化操作,防火墙(2)则根据决策内容具体执行IP阻断动作,初始化模块(57)执行系统初始化动作,显示模块(58)实时执行报警动作,同时显示被测试网络(4)状态,为人机交互提供必要支持。/n...
【技术特征摘要】
1.一种旁路设置的威胁管控系统,其特征在于,所述威胁管控系统包括数据分流器(51)、数据传感器(52)、数据处理模块(53)、状态监控模块(54)、流量审计模块(55)、辅助决策模块(56)、初始化模块(57)以及显示模块(58),威胁管控系统(5)旁路设置于测试评估系统(1)与被测试网络(4)之间的链路;
威胁管控系统的方法:测试评估系统(1)对被测试网络(4)攻击、测试产生的流量数据通过置于路由器(3)的数据分流器进入数据处理模块(53),被测试网络(4)实时产生的状态数据通过置于各主机、服务器的数据传感器(52)取出,同样提交给数据处理模块(53);数据处理模块(53)将数据过滤还原、深度检测后,一份数据传输到状态监控模块(54),另一份数据移交给流量审计模块(55);状态监控模块(54)内置有特征库、规则库,可将按已知的流量特征和预先设置的规则识别合法的攻击测试流量,实时监控被测网络的状态;流量审计模块(55)则对数据内容进行还原、识别,通过与预置应用进程白名单校对,审计应用进程的合法性;辅助决策模块(56)根据状态监控模块(55)和流量审计模块(54)的识别结果提供决策策略以供选择,根据损伤程度可提供报警、IP阻断、系统初始化操作,防火墙(2)则根据决策内容具体执行IP阻断动作,初始化模块(57)执行系统初始化动作,显示模块(58)实时执行报警动作,同时显示被测试网络(4)状态,为人机交互提供必要支持。
2.如权利要求1所述的旁路设置的威胁管控系统,其特征在于,所述数据分流器(51)为一种嵌入式程序或者具有混杂模式的网卡,可打开路由器或交换机的空置端口,复制途经路由器或交换机的上行、下行流量。
3.如权利要求1或2所述的旁路设置的威胁管控系统,其特征在于,所述数据传感器(52)为一种嵌入式程序,可置于主机、服务器的操作系统内,获取系统日志、应用进程等状态数据。
【专利技术属性】
技术研发人员:吴磊涛,沈斌,陈峰,金振中,丁力军,柳中华,佟立飞,刘继光,杨豪璞,姜山,丁桐,
申请(专利权)人:中国人民解放军九二四九三部队参谋部,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。