【技術實現步驟摘要】
本申請涉及通信領域,尤其涉及一種攻擊模擬系統部署方法、裝置、設備及存儲介質。
技術介紹
1、網絡攻擊技術日趨復雜化,企業安全運營中心面臨巨大壓力。攻擊模擬(或者說入侵和攻擊模擬,breach?and?attack?s?i?mu?l?at?i?on,bas)系統可以自動化、持續不斷地對目標網絡進行驗證,及時發現網絡中潛在的安全風險,受到了越來越多的關注。
2、攻擊模擬系統由服務器端和客戶端兩部分構成,服務端部署在需要驗證的目標網絡出口處,目標網絡的每一個子網對應的鏈路中部署一個客戶端。服務端會持續向所有的客戶端發送全量的驗證數據,并根據客戶端的反饋判斷此鏈路中的安防策略是否正確。
3、但是,目前的攻擊模擬系統需要在每個子網中部署一個客戶端,服務器端向所有的客戶端發送全量驗證報文,對服務器端的性能要求較高。
技術實現思路
1、基于上述技術問題,本申請提供一種攻擊模擬系統部署方法、裝置、設備及存儲介質,可以通過僅在與網絡出口處之間的路由存在網絡安全設備的子網中部署客戶端,減少在子網中部署的客戶端的數量,從而降低對服務器端的要求。
2、第一方面,本申請提供一種攻擊模擬系統部署方法,該方法包括:獲取目標網絡的網絡拓撲結構;目標網絡包括多個子網;根據網絡拓撲結構,在目標網絡的出口處部署攻擊模擬系統的服務器端;出口處為目標網絡連接到其他網絡的物理位置或邏輯位置;根據網絡拓撲結構,確定全量驗證子網;全量驗證子網為多個子網中,與出口處之間的路由包括網絡安全設備的子
3、應理解,目前的攻擊模擬系統需要在每個子網中均部署一個客戶端來收發全量驗證報文,對服務器端的性能要求較高。本申請提供的攻擊模擬系統部署方法,可以根據目標網絡的網絡拓撲結構,從目標網絡中確定出與目標網絡出口處之間的路由存在網絡安全設備的全量驗證子網,僅在全量驗證子網中部署全量驗證客戶端,無需在目標網絡出口處之間的路由不存在網絡安全設備的子網中部署全量驗證客戶端,減少了在子網中部署的客戶端的數量,減少了服務器端收發全量驗證報文的數量,從而降低了對服務器端的要求。
4、此外,本申請提供的攻擊模擬系統部署方法所部署的客戶端均是部署在子網中,不會直接連接到網絡安全設備,無需占用網絡安全設備額外的端口。
5、可選地,該方法還包括:根據網絡拓撲結構,確定聯通性驗證子網;聯通性驗證子網為多個子網中,與出口處之間的路由未包括網絡安全設備,且路由中不全是交換機的子網;在聯通性驗證子網內部署攻擊模擬系統的聯通性驗證客戶端;聯通性驗證客戶端用于和服務器端相互收發聯通性驗證報文。
6、應理解,目前攻擊模擬系統中的每個客戶端都與服務器端之間收發全量驗證報文,收發驗證報文時對目標網絡的帶寬占用較大,可能影響用戶正常開展業務。本申請提供的攻擊模擬系統部署方法,還可以針對根據網絡拓撲結構,確定與出口處之間的路由未包括所述網絡安全設備的聯通性驗證子網,在聯通性驗證子網中部署僅需與服務器端收發聯通性驗證報文的聯通性驗證客戶端,聯通性驗證客戶端無需和服務器端收發全量驗證報文,減少了客戶端與服務器端之間收發報文的數據量,可以緩解攻擊模擬時帶來的帶寬占用較大的問題。
7、可選地,根據網絡拓撲結構,確定全量驗證子網,包括:以服務器端為根節點,遍歷網絡拓撲結構,得到網絡拓撲結構對應的樹狀結構;其中,樹狀結構包括根節點、安全節點、以及終端節點;安全節點對應網絡拓撲結構中的網絡安全設備,終端節點對應網絡拓撲結構中的終端設備;若某個節點的子節點均為終端節點,則將該節點確定為子網節點;遍歷樹狀結構中的每個安全節點,對每個安全節點進行第一操作;第一操作包括:若該安全節點的子節點為子網節點,則將該子網節點對應的子網確定為全量驗證子網。
8、可選地,第一操作還包括:若該安全節點的子節點不是子網節點,則將該子節點從樹狀結構中刪除。
9、應理解,攻擊模擬主要是針對子網進行的。本申請提供攻擊模擬系統部署方法,還可以將父節點為安全節點,但是自身不是子網節點的子節點從樹狀結構刪除,從而實現對樹狀結構的精簡,避免不是子網節點的子節點干擾部署。
10、可選地,該方法還包括:在樹狀結構中所有安全節點均完成第一操作的情況下,從樹狀結構中刪除安全節點,并將每個安全節點子節點的父節點設置為該安全節點的父節點。
11、可選地,樹狀結構還包括路由節點;路由節點包括交換機路由節點和路由器路由節點;交換機路由節點對應網絡拓撲結構中的交換機;路由器路由節點對應網絡拓撲結構中的路由器;該方法還包括:遍歷樹狀結構中的每個安全節點,若該安全節點的子節點為子網節點,則將該子網節點的驗證屬性設置為全量驗證,該子網節點對應的子網為全量驗證子網;將父節點為非安全節點,且與根節點之間的路由中不全是交換機路由節點的子網節點的驗證屬性設置為聯通性驗證,該子網節點對應的子網為聯通性驗證子網;將父節點為非安全節點,且自身也不是子網節點的節點的驗證屬性設置為無需驗證;遍歷所有葉子節點的父節點,若某個父節點的子節點數量大于1,則對該父節點進行如下操作:若所有子節點的驗證屬性均為無需驗證,則隨機保留一個子節點,刪除其余子節點;若所有子節點的驗證屬性均為無需驗證或聯通性驗證,則隨機保留一個驗證屬性為聯通性驗證的子節點,刪除其余子節點;若部分子節點的驗證屬性為無需驗證或者聯通性驗證,且該父節點為交換機路由節點,則刪除所有驗證屬性為無需驗證和聯通性驗證的子節點,保留驗證屬性為全量驗證的子節點;若部分子節點的驗證屬性為無需驗證或者聯通性驗證,且該父節點為路由器路由節點,則刪除所有驗證屬性為無需驗證的子節點。
12、可選地,路由節點包括交換機路由節點和路由器路由節點;交換機路由節點對應網絡拓撲結構中的交換機;路由器路由節點對應網絡拓撲結構中的路由器;該方法還包括:遍歷樹狀結構中每個葉子節點的父節點,若該父節點為交換機路由節點,則將交換機路由節點的所有子節點的父節點設置為交換機路由節點的父節點,并將交換機路由節點從樹狀結構中刪除,循環處理直至樹狀結構不再發生變化。
13、第二方面,本申請提供一種攻擊模擬系統部署裝置,該裝置包括獲取模塊和處理模塊。
14、獲取模塊,用于獲取目標網絡的網絡拓撲結構;目標網絡包括多個子網。
15、處理模塊,用于根據網絡拓撲結構,在目標網絡的出口處部署攻擊模擬系統的服務器端;出口處為目標網絡連接到其他網絡的物理位置或邏輯位置;根據網絡拓撲結構,確定全量驗證子網;全量驗證子網為多個子網中,與出口處之間的路由包括網絡安全設備的子網;在全量驗證子網內部署攻擊模擬系統的全量驗證客戶端;全量驗證客戶端用于和服務器端相互收發全量驗證報文。
16、可選地,處理模塊,還用于根據網絡拓撲結構,確定聯通性驗證子網;聯通性驗證子網為多個子網中,與出口處之間的路由未包括網絡安全設備,且路由中不本文檔來自技高網...
【技術保護點】
1.一種攻擊模擬系統部署方法,其特征在于,所述方法包括:
2.根據權利要求1所述的方法,其特征在于,所述方法還包括:
3.根據權利要求1所述的方法,其特征在于,所述根據所述網絡拓撲結構,確定全量驗證子網,包括:
4.根據權利要求3所述的方法,其特征在于,所述第一操作還包括:
5.根據權利要求4所述的方法,其特征在于,所述方法還包括:
6.根據權利要求3-5任一項所述的方法,其特征在于,所述樹狀結構還包括路由節點;所述路由節點包括交換機路由節點和路由器路由節點;所述交換機路由節點對應所述網絡拓撲結構中的交換機;所述路由器路由節點對應所述網絡拓撲結構中的路由器;所述方法還包括:
7.根據權利要求3-5任一項所述的方法,其特征在于,所述路由節點包括交換機路由節點和路由器路由節點;所述交換機路由節點對應所述網絡拓撲結構中的交換機;所述路由器路由節點對應所述網絡拓撲結構中的路由器;所述方法還包括:
8.一種攻擊模擬系統部署裝置,其特征在于,所述裝置包括獲取模塊和處理模塊;
9.一種電子設備,其特
10.一種計算機可讀存儲介質,其特征在于,所述計算機可讀存儲介質包括:計算機軟件指令;
11.一種計算機程序產品,其特征在于,當所述計算機程序產品在電子設備中運行時,使得所述電子設備實現如權利要求1-7任一項所述的方法。
...【技術特征摘要】
1.一種攻擊模擬系統部署方法,其特征在于,所述方法包括:
2.根據權利要求1所述的方法,其特征在于,所述方法還包括:
3.根據權利要求1所述的方法,其特征在于,所述根據所述網絡拓撲結構,確定全量驗證子網,包括:
4.根據權利要求3所述的方法,其特征在于,所述第一操作還包括:
5.根據權利要求4所述的方法,其特征在于,所述方法還包括:
6.根據權利要求3-5任一項所述的方法,其特征在于,所述樹狀結構還包括路由節點;所述路由節點包括交換機路由節點和路由器路由節點;所述交換機路由節點對應所述網絡拓撲結構中的交換機;所述路由器路由節點對應所述網絡拓撲結構中的路由器;所述方法還包括:<...
【專利技術屬性】
技術研發人員:李長連,高貫銀,趙通,徐寶辰,劉果,楊飛,郭翔乾,王新,楊麗麗,張彬,藺旋,郝曉飛,陳晨,劉青,
申請(專利權)人:中國聯合網絡通信集團有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。