网络靶场中防御人员能力评估方法、装置、设备及产品与流程

1.本发明涉及it应用技术领域，尤其涉及一种网络靶场中防御人员能力评估方法、装置、终端设备及计算机程序产品。


背景技术：

2.现有的网络安全训练平台或演习系统在进行能力评估时，要么只对靶场本身的防御能力进行量化评估，而缺乏对靶场人员防御能力的评估；要么，只重视“单个漏洞”利用和修复技巧，没有场景的概念，而脱离了网络靶场环境的防御人员能力评估可能会受限于网络区域内的网络节点数以及漏洞种类数，对受训人员的评价手段和评价指标较单一，不能准确的评价人员的真正能力水平，而且在安全应急演练过程中，很可能会对真实网络业务可用性及稳定性造成影响。
3.此外，现有的网络靶场和网络安全演练人员能力评价侧重于攻防对抗场景下的行为日志监测。这种方案的防御评价属于非主动式评价，即防御行为的发起可能会依赖于攻击行为，防御人员能力评价过于依赖红方人员能力。而随着攻击方人员能力的降低，防御方的评价维度会越来越少，直至趋于零，导致防御方人员的评价结果缺失合理性。


技术实现要素：

4.本发明的主要目的在于提供一种网络靶场中防御人员能力评估方法、装置、终端设备及计算机程序产品，旨在解决现有防御人员能力评价过于依赖红方人员能力、评价指标单一以及评价准确性低的问题，提高安防演练评价的准确性和合理性。
5.为实现上述目的，本发明实施例提供一种网络靶场中防御人员能力评估方法，所述方法包括以下步骤：
6.在演练结束后，获取防御演练参与者在网络靶场的防御竞赛演练场景下的漏洞可利用条件识别结果和漏洞利用预期危害识别结果，其中，在演练过程中由所述防御演练参与者基于预先设计的演练场景进行漏洞修复演练；
7.根据所述漏洞可利用条件识别结果和漏洞利用预期危害识别结果，计算所述防御演练参与者的漏洞识别能力得分值；
8.获取演练过程中，执行所述演练场景中网络节点的漏洞利用验证程序调用对应的exp攻击脚本所记录的执行数据；
9.根据所述执行数据，计算所述防御演练参与者的漏洞修复和加固能力得分值；
10.根据所述防御演练参与者的漏洞识别能力得分值，以及漏洞修复和加固能力得分值，计算出所述防御演练参与者的能力评估得分值。
11.可选地，所述在演练结束后，获取防御演练参与者在网络靶场的防御竞赛演练场景下的漏洞可利用条件识别结果和漏洞利用预期危害识别结果的步骤之前还包括：
12.设计所述演练场景，所述演练场景包括：演练网络拓扑结构，多个可能存在漏洞或涵盖多种漏洞类型的网络节点，漏洞利用路线以及针对每个存在漏洞的网络节点的exp攻
击脚本。
13.可选地，所述在演练结束后，获取防御演练参与者在网络靶场的防御竞赛演练场景下的漏洞可利用条件识别结果和漏洞利用预期危害识别结果的步骤之前还包括：
14.在演练过程中，执行所述演练场景中网络节点的漏洞利用验证程序，以预设的时间间隔调用对应的exp攻击脚本；
15.若所述exp攻击脚本执行失败，则切换至exp攻击脚本变种并再次执行，直至所有exp攻击脚本变种全部执行失败；
16.通过所述漏洞利用验证程序记录所述exp攻击脚本及exp攻击脚本变种的执行时间、执行成功次数、执行失败次数和执行总次数，并记录与每位防御演练参与者对应的、按照时间先后顺序排列的、单个exp攻击脚本首次执行失败事件的序列，得到每个防御演练参与者的漏洞修复顺序和各相关参数，作为所述执行数据，并存储至演练数据库。
17.可选地，所述在演练结束后，获取防御演练参与者在网络靶场的防御竞赛演练场景下的漏洞可利用条件识别结果的步骤包括：
18.在演练结束后，收集所述防御演练参与者在所述演练场景下识别到的漏洞可利用条件正确识别的漏洞数量，其中，所述漏洞可利用条件由所述防御演练参与者在发现漏洞后，基于漏洞信息数据库的检索结果，评估所述漏洞在演练场景下的可利用条件而得到；
19.基于所述防御演练参与者的漏洞可利用条件正确识别的漏洞数量，以及所述演练场景下的实际漏洞总数量，计算得到所述漏洞可利用条件识别结果。
20.可选地，所述在演练结束后，获取防御演练参与者在网络靶场的防御竞赛演练场景下的漏洞利用预期危害识别结果的步骤包括：
21.在演练结束后，收集所述防御演练参与者在所述演练场景下识别到的漏洞利用预期结果正确识别的漏洞数量，其中，所述漏洞利用预期结果由所述防御演练参与者在识别到可利用漏洞后，基于漏洞信息数据库的检索结果，评估所述可利用漏洞在所述演练场景下的漏洞实际可能危害而得到；
22.基于所述防御演练参与者的漏洞利用预期结果正确识别的漏洞数量，以及预设的所述演练场景下的漏洞总数量，计算得到所述漏洞利用预期危害识别结果。
23.可选地，所述根据所述执行数据，计算所述防御演练参与者的漏洞修复和加固能力得分值的步骤包括：
24.获取所述执行数据中的所述防御演练参与者的漏洞修复顺序；
25.基于所述防御演练参与者的漏洞修复顺序，以及预设的所述演练场景的最优漏洞修复顺序和修复策略总分，计算得到所述防御演练参与者的漏洞修复先后顺序策略评分；
26.基于所述执行数据，获得所述防御演练参与者的漏洞修复总数量、特定类型漏洞修复数量以及单个漏洞的执行失败的exp攻击脚本变种数；
27.基于所述防御演练参与者的漏洞修复总数量、特定类型漏洞修复数量以及单个漏洞的执行失败的exp攻击脚本变种数，计算得到所述防御演练参与者的漏洞修复加固评分；
28.基于所述漏洞修复先后顺序策略评分和漏洞修复加固评分，计算得到所述防御演练参与者的漏洞修复和加固能力得分值。
29.可选地，所述基于所述防御演练参与者的漏洞修复总数量、特定类型漏洞修复数量以及单个漏洞的执行失败的exp攻击脚本变种数，计算得到所述防御演练参与者的漏洞
修复加固评分的步骤包括：
30.基于所述防御演练参与者的漏洞修复总数量、单个漏洞的执行失败的exp攻击脚本变种数以及预设的所述演练场景的漏洞总数量，计算得到所述防御演练参与者的总体漏洞修复失败率平均加权affr；
31.基于所述防御演练参与者的特定类型漏洞修复数量、单个漏洞的执行失败的exp攻击脚本变种数以及预设的所述演练场景的特定类型漏洞总数量，计算得到所述防御演练参与者的特定类型漏洞修复失败平均加权sffr；
32.基于所述总体漏洞修复失败率平均加权affr和特定类型漏洞修复失败平均加权sffr，计算得到所述防御演练参与者的漏洞修复加固评分。
33.此外，本发明实施例还提出一种网络靶场中防御人员能力评估装置，所述网络靶场中防御人员能力评估装置包括：
34.识别结果获取模块，用于在演练结束后，获取防御演练参与者在网络靶场的防御竞赛演练场景下的漏洞可利用条件识别结果和漏洞利用预期危害识别结果，其中，在演练过程中由所述防御演练参与者基于预先设计的演练场景进行漏洞修复演练；
35.识别能力计算模块，用于根据所述漏洞可利用条件识别结果和漏洞利用预期危害识别结果，计算所述防御演练参与者的漏洞识别能力得分值；
36.执行记录模块，用于获取演练过程中，执行所述演练场景中网络节点的漏洞利用验证程序调用对应的exp攻击脚本所记录的执行数据；
37.修复加固能力计算模块，用于根据所述执行数据，计算所述防御演练参与者的漏洞修复和加固能力得分值；
38.评估得分计算模块，用于根据所述防御演练参与者的漏洞识别能力得分值，以及漏洞修复和加固能力得分值，计算出所述防御演练参与者的能力评估得分值。
39.此外，本发明实施例还提出一种终端设备，所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如上所述的网络靶场中防御人员能力评估方法。
40.此外，本发明实施例还提出一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现如上所述的网络靶场中防御人员能力评估方法。
41.本发明实施例提出的网络靶场中防御人员能力评估方法、装置、终端设备及计算机程序产品，在演练结束后，获取防御演练参与者在网络靶场的防御竞赛演练场景下的漏洞可利用条件识别结果和漏洞利用预期危害识别结果，其中，在演练过程中由所述防御演练参与者基于预先设计的演练场景进行漏洞修复演练；根据所述漏洞可利用条件识别结果和漏洞利用预期危害识别结果，计算所述防御演练参与者的漏洞识别能力得分值；获取演练过程中，执行所述演练场景中网络节点的漏洞利用验证程序调用对应的exp攻击脚本所记录的执行数据；根据所述执行数据，计算所述防御演练参与者的漏洞修复和加固能力得分值；根据所述防御演练参与者的漏洞识别能力得分值，以及漏洞修复和加固能力得分值，计算出所述防御演练参与者的能力评估得分值。本发明实施例方案，由于采用预设的演练场景，可以在演练场景中，根据需要设计网络拓扑结构、涵盖多种漏洞类型的网络节点以及漏洞利用路线，以更好的对防御演练参与者进行能力评价，尤其是从漏洞识别与漏洞修复
与加固的角度对防御方人员的能力进行评价，考察网络靶场场景下，作为防御人员的防御演练参与者的漏洞可利用条件识别能力、漏洞实际危害评估能力、漏洞修复策略以及漏洞修复与加固的有效性，因此，基于本发明实施例方案，可以实现对网络靶场中防御人员的漏洞修复加固能力进行准确评估，不仅能规避防御人员能力的评价过于依赖进攻方人员能力的问题，并且还能解决评价指标单一的问题，提高了安防演练评价的准确性和合理性。
附图说明
42.图1为本发明网络靶场中防御人员能力评估装置所属终端设备的功能模块示意图；
43.图2为本发明网络靶场中防御人员能力评估方法一示例性实施例的流程示意图；
44.图3为本发明网络靶场中防御人员能力评估方法实施例中汉明距离算法流程示意图；
45.图4为本发明网络靶场中防御人员能力评估方法另一示例性实施例的流程示意图。
46.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
47.应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
48.本发明实施例的主要解决方案是：在演练结束后，获取防御演练参与者在网络靶场的防御竞赛演练场景下的漏洞可利用条件识别结果和漏洞利用预期危害识别结果，其中，在演练过程中由所述防御演练参与者基于预先设计的演练场景进行漏洞修复演练；根据所述漏洞可利用条件识别结果和漏洞利用预期危害识别结果，计算所述防御演练参与者的漏洞识别能力得分值；获取演练过程中，执行所述演练场景中网络节点的漏洞利用验证程序调用对应的exp攻击脚本所记录的执行数据；根据所述执行数据，计算所述防御演练参与者的漏洞修复和加固能力得分值；根据所述防御演练参与者的漏洞识别能力得分值，以及漏洞修复和加固能力得分值，计算出所述防御演练参与者的能力评估得分值。本发明实施例方案，由于采用预设的演练场景，可以在演练场景中，根据需要设计网络拓扑结构、涵盖多种漏洞类型的网络节点以及漏洞利用路线，以更好的对防御演练参与者进行能力评价，尤其是从漏洞识别与漏洞修复与加固的角度对防御方人员的能力进行评价，考察网络靶场场景下，作为防御人员的防御演练参与者的漏洞可利用条件识别能力、漏洞实际危害评估能力、漏洞修复策略以及漏洞修复与加固的有效性，因此，基于本发明实施例方案，可以实现对网络靶场中防御人员的漏洞修复加固能力进行准确评估，不仅能规避防御人员能力的评价过于依赖进攻方人员能力的问题，并且还能解决评价指标单一的问题，提高了安防演练评价的准确性和合理性。
49.本发明实施例涉及的技术术语：
50.靶场：网络靶场是针对网络攻防演练和网络新技术评测的重要基础设施，用来提高网络和信息系统的稳定性、安全性和性能。其主要功能包括：(1)网络攻防武器评测验证；(2)支持人员培训与竞演；(3)科学试验和新技术验证。
51.exp(exploit)：一般指漏洞利用程序，通过利用软件中的漏洞来达到攻击者的目
的，带有恶意性。
52.payload：攻击的“有效载荷”。指漏洞利用成功后，真正在目标系统执行的代码或指令。
53.蓝方修复加固演练：指只有防御人员(蓝方)参与，不进行攻防对抗的演练模式，防御人员需要在规定时间内对已知的多个漏洞进行修复。
54.红方能力依赖症：指局限于攻击人员(红方)能力的高低，造成防御人员(蓝方)能力的评估不准确。如：红方未能实施针对某漏洞攻击行为，蓝方该漏洞的修复效果无法评估。
55.漏洞可利用条件：指网络靶场场景下，防御人员对场景中的漏洞进行利用所需要克服的约束条件。如：目标网络节点的访问权限、网络连通性约束、请求频率限制等。
56.漏洞利用预期效果：指网络靶场场景下，防御人员完成漏洞利用后可达到的预期效果。如：获取场景中其他脆弱网络节点的访问地址、有效用户密码等。
57.本发明实施例考虑到，现有相关方案中，对于一些网络安全竞赛，如ctf比赛等，重视单个漏洞利用和修复技巧，没有场景的概念，评价手段和评价指标较单一，不能准确的评价人员的真正能力水平。而且，现有的网络靶场人员能力评估往往侧重于对攻击方人员评价，对防御方人员的评价相当于零，即攻击方人员得到分数，防御方人员失去对应的分数。防御方人员在这种评价方案下过于被动，因此在网络靶场环境下如何有效评价防御人员能力是一个具有难度且具有较大意义的课题。
58.现有的一些网络靶场防御能力评估方案是对靶场本身的防御能力进行量化评估，从潜在攻击风险的严重性、以及具有防御功能的设备在进行攻击防御时的响应两个动作、两个维度入手，针对防御系统的设计缺陷、以及设备实际运行时存在的问题实现评估，将防御效果进行量化，实现防御效能的客观评价，但是无法实现对靶场人员的防御能力进行评估。
59.此外，现有相关网络攻防分析方案提出博弈论方法，通过基于博弈论的攻防动态感知模型对网络安全态势进行实时分析，利用纳什平衡度使攻防双方收益最大化，从而对网络安全态势做出实时准确的评估，为工作人员的网络安全防御决策提供更好的参考。这种方案侧重于计算攻防两方的最大收益，是攻防双方共同参与，通过博弈论方法缓解攻防实战能力评价中防御方人员处于被动地位的问题，而不会计算防御人员的漏洞修复和加固能力。
60.现有的一些网络靶场和网络安全演练人员能力评价方案侧重于真人对抗场景下的行为日志监测。分别监测攻击方虚拟机和防守方虚拟机上的攻防行为，形成攻防行为日志；从攻击方虚拟机和防守方虚拟机上获取攻防行为日志；从所述攻防行为日志中提取攻防行为关键信息；根据预先设置的评分规则，对所述攻防行为关键信息进行匹配，确定攻击方与防守方对应的攻防实验评分，不会主动感应防御人员的漏洞修复加固行为。
61.现有相关漏洞风险基础评估方案基于cvss得分实现，其在cvss评估基础上，重新设计基础评估指标权重分配方法，根据基础评估指标的相对重要性对其权重进行优化分配，并与灰色关联度指标权重求解方法结合，虽然使评估结果更具客观性，提高了评估结果的多样性，便于直观地对漏洞威胁性加以区分，但是该方案是基于cvss得分优化基础评估指标权重分配方法，不涉及场景概念，是对单个漏洞进行威胁性评估。而本方案中提出的漏
洞利用预期效果是指网络靶场场景下由于漏洞利用依赖关系的排列组合差异导致的漏洞实际威胁性以及能够造成的实际危害。
62.此外，现有相关网络安全应急能力确定方法，其在确定网络区域受到范围性的网络漏洞攻击时，周期性地向网络区域内的网络设备发送漏洞探测包，最终确定网络区域内存在漏洞的网络设备所占的比例降低至预设比例时所需的时长，再基于时长确定网络区域的网络安全应急能力。但是该方案脱离网络靶场场景，从漏洞修复的比例来判断网络安全应急能力，评价的维度较为单一，本方案应用于网络靶场，考察防御人员的漏洞识别能力、漏洞修复策略制定能力，以及漏洞修复加固能力。
63.事实上，现有的网络靶场和网络安全演练人员能力评价方案侧重于攻防对抗场景下的行为日志监测。但是这种方案不能客观准确的评估防御人员的漏洞修复与加固能力，其缺陷体现在：
64.(1)这种方案通过攻防行为日志监测来根据规则计分，攻防行为监测单元所监测的攻防行为包括攻击行为和防守行为，所述攻击行为包括sql注入行为、任意上传文件行为、跨站脚本攻击行为和越权访问行为，所述防守行为包括后门文件清除行为、攻击方创建账号删除行为和阻断攻击方访问连接行为，这种技术方案虽能够实现防御行为事件的匹配和计分，可以评价防御者的攻击响应能力，但是没有考察防御者视角上的漏洞可利用条件识别和漏洞实际危害评估能力。
65.(2)这种方案的防御评价是非主动式评价，即防御行为的发起可能会依赖于攻击行为，防御人员能力评价过于依赖红方人员能力。如能力有限的攻击方人员面对攻击目标没能找到可利用的漏洞和后门建立点，即最终未能建立后门，防御人员的后门清除行为或者后门清除率」就变得毫无意义。因此，随着攻击方人员能力的降低，防御方的评价维度会越来越少，直至趋于零，防御方人员的评价结果缺失合理性。
66.此外，现有的一种网络安全应急能力确定方法是根据网络区域内存在漏洞的网络设备所占比例降低至预设比例时所需的时长来确定网络安全应急能力。但是这种方案不能很好的评价防御人员的漏洞识别能力和漏洞修复加固能力，其缺陷体现在：
67.(1)这种方案脱离网络靶场环境，网络靶场环境作为网络安全人员的训练场和攻防武器的试验田，可以提供包含多种漏洞类型的场景，模拟多种网络安全风险事件，可以全面的对防御者漏洞修复加固能力进行评价。而脱离了网络靶场环境的防御人员能力评估可能会受限于网络区域内的网络节点数以及漏洞种类数，造成能力评估不准确的问题，且在安全应急演练过程中，很可能会对真实网络业务可用性及稳定性造成影响。
68.(2)这种方案仅是基于漏洞探测包的响应结果计算出漏洞设备占比，通过漏洞的网络设备所占比例降低至预设比例时所需的时长来确定网络安全应急能力。该方案实现方式较为粗暴，缺乏对防御者的漏洞修复策略及漏洞修复效果的计算，存在防御人员能力评价结果准确性较差的问题。
69.基于上述分析，本发明实施例提出一种网络靶场中防御方漏洞修复加固能力评价方法，由演练方案设计者设计演练网络拓扑结构、涵盖多种漏洞类型的网络节点以及漏洞利用路线，从漏洞识别与漏洞修复与加固的角度对防御方人员的能力进行评价。考察网络靶场场景下防御人员的漏洞可利用条件识别能力、漏洞实际危害评估能力、漏洞修复策略以及漏洞修复与加固的有效性。该方法可以解决防御人员能力评价过于依赖红方人员能力
的问题以及评价指标单一的问题。
70.具体地，参照图1，图1为本发明网络靶场中防御人员能力评估装置所属终端设备的功能模块示意图。该网络靶场中防御人员能力评估装置可以为独立于终端设备的、能够实现数据处理的装置，其可以通过硬件或软件的形式承载于终端设备上。该终端设备可以为手机、平板电脑等智能移动终端，还可以为服务器等网络设备。
71.在本实施例中，该网络靶场中防御人员能力评估装置所属终端设备至少包括输出模块110、处理器120、存储器130以及通信模块140。
72.存储器130中存储有操作系统以及网络靶场中防御人员能力评估程序；输出模块110可为显示屏、扬声器等。通信模块140可以包括wifi模块、移动通信模块以及蓝牙模块等，通过通信模块140与外部设备或服务器进行通信。
73.其中，作为一种实施例方式，存储器130中的网络靶场中防御人员能力评估程序被处理器执行时实现以下步骤：
74.在演练结束后，获取防御演练参与者在网络靶场的防御竞赛演练场景下的漏洞可利用条件识别结果和漏洞利用预期危害识别结果，其中，在演练过程中由所述防御演练参与者基于预先设计的演练场景进行漏洞修复演练；
75.根据所述漏洞可利用条件识别结果和漏洞利用预期危害识别结果，计算所述防御演练参与者的漏洞识别能力得分值；
76.获取演练过程中，执行所述演练场景中网络节点的漏洞利用验证程序调用对应的exp攻击脚本所记录的执行数据；
77.根据所述执行数据，计算所述防御演练参与者的漏洞修复和加固能力得分值；
78.根据所述防御演练参与者的漏洞识别能力得分值，以及漏洞修复和加固能力得分值，计算出所述防御演练参与者的能力评估得分值。
79.本实施例通过上述方案，在演练结束后，获取防御演练参与者在网络靶场的防御竞赛演练场景下的漏洞可利用条件识别结果和漏洞利用预期危害识别结果，其中，在演练过程中由所述防御演练参与者基于预先设计的演练场景进行漏洞修复演练；根据所述漏洞可利用条件识别结果和漏洞利用预期危害识别结果，计算所述防御演练参与者的漏洞识别能力得分值；获取演练过程中，执行所述演练场景中网络节点的漏洞利用验证程序调用对应的exp攻击脚本所记录的执行数据；根据所述执行数据，计算所述防御演练参与者的漏洞修复和加固能力得分值；根据所述防御演练参与者的漏洞识别能力得分值，以及漏洞修复和加固能力得分值，计算出所述防御演练参与者的能力评估得分值。本发明实施例方案，由于采用预设的演练场景，可以在演练场景中，根据需要设计网络拓扑结构、涵盖多种漏洞类型的网络节点以及漏洞利用路线，以更好的对防御演练参与者进行能力评价，尤其是从漏洞识别与漏洞修复与加固的角度对防御方人员的能力进行评价，考察网络靶场场景下，作为防御人员的防御演练参与者的漏洞可利用条件识别能力、漏洞实际危害评估能力、漏洞修复策略以及漏洞修复与加固的有效性，因此，基于本发明实施例方案，可以实现对网络靶场中防御人员的漏洞修复加固能力进行准确评估，不仅能规避防御人员能力的评价过于依赖进攻方人员能力的问题，并且还能解决评价指标单一的问题，提高了安防演练评价的准确性和合理性。
80.基于上述终端设备架构但不限于上述架构，提出本发明方法实施例。
81.参照图2，图2为本发明网络靶场中防御人员能力评估方法一示例性实施例的流程示意图。所述网络靶场中防御人员能力评估方法包括：
82.步骤s101，在演练结束后，获取防御演练参与者在网络靶场的防御竞赛演练场景下的漏洞可利用条件识别结果和漏洞利用预期危害识别结果，其中，在演练过程中由所述防御演练参与者基于预先设计的演练场景进行漏洞修复演练；
83.具体地，本实施例方案提出一种新的网络靶场防御竞赛演练模式，即蓝方修复加固演练。在蓝方修复加固演练过程中，只有防御人员参与，无攻防对抗环节，防御人员需要在规定时间内对已知的多个漏洞进行修复。基于该种模式，对网络靶场中防御人员的漏洞修复加固能力进行准确评估，考察基于演练场景的漏洞识别能力，以及漏洞修复和加固能力。
84.上述蓝方修复加固演练生命周期分为演练设计、演练数据收集、演练评估三个阶段。
85.在本实施例中，在演练设计阶段预先设计有演练场景，在演练数据收集阶段预先进行演练相关数据收集。
86.其中，在演练过程中由防御演练参与者作为防御人员基于预先设计的演练场景进行漏洞修复演练。
87.其中，所述演练场景包括：演练网络拓扑结构，多个可能存在漏洞或涵盖多种漏洞类型的网络节点，漏洞利用路线以及针对每个存在漏洞的网络节点的exp攻击脚本。
88.具体地，在演练设计阶段，演练方案设计者需要准备演练场景的网络拓扑结构、多个可能存在漏洞或涵盖多种漏洞类型的网络节点、漏洞利用路线以及针对每个存在漏洞的网络节点的exp攻击脚本。
89.其中，所述网络拓扑结构应包含多层级网络，网络中的多个网络节点被分配到不同的内网中，内网与内网之间存在层级关系以及可灵活配置的网络连通性，以模拟复杂的真实网络。网络层级关系和网络连通性由演练方案设计者设计。
90.所述网络节点是上述网络拓扑结构中的主机，且包含一定数量的漏洞。因此演练方案设计者需要基于不同操作系统平台和不同应用开发语言，准备若干不同类型的漏洞应用环境，如windows系统漏洞/microsoft office办公套件漏洞、php软件漏洞、java软件漏洞、javascript软件漏洞等，以此来细分防御靶场的人员多维能力。每个漏洞应存在漏洞的场景依赖关系，如前置网络节点经漏洞利用，可以获得一定的信息(其他内部服务的域名或ip地址、其他内部服务的有效账户密码等)，后置网络节点由于前置网络节点漏洞造成的信息暴露，使得自身原本不可利用的漏洞变为可利用漏洞。
91.所述漏洞利用路线是网络节点漏洞利用效果的组合，演练方案设计者在设计漏洞利用路线时应注重路线的合理性，保证漏洞利用路线的所有漏洞节点具有漏洞利用可行性，最终可以达到最大危害效果，且提供场景的最优修复策略及修复策略总分。演练方案设计者还需定义关键网络节点集合，满足如下两个条件之一即可判定为关键网络节点：(一)具备承上启下功能。例如攻击者网络渗透时进入下一内网的必经节点；(二)具备高危漏洞利用效果的网络节点。同时，依据是否关键网络节点和漏洞利用危害程度综合设置每个漏洞的修复满分，场景中的漏洞修复满分数值分布符合正态分布。
92.所述针对每个存在漏洞的网络节点的exp攻击脚本由漏洞利用验证程序调用，可
根据exp攻击脚本执行失败与否判断目标环境的漏洞是否被修复。exp攻击脚本应存在变种，如更换利用方式、更换注入点、更换payload(可绕过waf的变体和冗余字符串变体)等。
93.在演练数据收集阶段预先进行演练相关数据收集。
94.在演练过程中，网络节点的漏洞利用验证程序持续运行，以固定时间间隔执行exp攻击脚本，若exp攻击脚本执行失败，自动切换至exp攻击脚本变种并再次执行，直至所有变种全部执行失败。漏洞利用验证程序完整记录exp攻击脚本及exp攻击脚本变种的攻击时间、攻击成功次数、攻击失败次数和攻击总次数。
95.在演练结束后，以问卷调查的形式，收集演练参与者的漏洞可利用条件识别结果和漏洞利用预期危害识别结果，计算基于演练场景的漏洞识别能力得分值。同时根据演练过程中漏洞利用验证程序记录的数据，计算演练参与者的漏洞修复和加固能力得分值，最终综合计算出演练参与者的最终能力评估得分值。
96.具体地，在演练结束后，首先获取防御演练参与者作为防御人员，在网络靶场的防御竞赛演练场景下的漏洞可利用条件识别结果和漏洞利用预期危害识别结果。
97.具体地，作为一种实施方式，在演练结束后，获取防御演练参与者在网络靶场的防御竞赛演练场景下的漏洞可利用条件识别结果，可以采用如下方案：
98.在演练结束后，收集所述防御演练参与者在所述演练场景下识别到的漏洞可利用条件正确识别的漏洞数量，其中，所述漏洞可利用条件由所述防御演练参与者在发现漏洞后，基于漏洞信息数据库的检索结果，评估所述漏洞在演练场景下的可利用条件而得到；
99.基于所述防御演练参与者的漏洞可利用条件正确识别的漏洞数量，以及所述演练场景下的实际漏洞总数量，计算得到所述漏洞可利用条件识别结果。
100.具体地，作为一种实施方式，在演练结束后，获取防御演练参与者在网络靶场的防御竞赛演练场景下的漏洞利用预期危害识别结果，可以采用如下方案：
101.在演练结束后，收集所述防御演练参与者在所述演练场景下识别到的漏洞利用预期结果正确识别的漏洞数量，其中，所述漏洞利用预期结果由所述防御演练参与者在识别到可利用漏洞后，基于漏洞信息数据库的检索结果，评估所述可利用漏洞在所述演练场景下的漏洞实际可能危害而得到；
102.基于所述防御演练参与者的漏洞利用预期结果正确识别的漏洞数量，以及预设的所述演练场景下的漏洞总数量，计算得到所述漏洞利用预期危害识别结果。
103.以下对漏洞可利用条件识别结果和漏洞利用预期危害识别结果的计算过程进行详细阐述：
104.本实施例中，基于演练场景的漏洞识别能力评价值由两个评价指标综合计算。其中一个指标为漏洞可利用条件识别率指标ecrr，对应上述漏洞可利用条件识别结果；另一个指标为漏洞利用预期结果识别率指标errr，对应上述漏洞利用预期危害识别结果。
105.其中，对于漏洞可利用条件识别率指标(ecrr,exploit condition recognition rate)，漏洞信息数据库中的漏洞利用条件往往脱离真实的网络场景，本漏洞可利用条件识别率指标侧重于考察防御人员在真实网络环境下对漏洞可利用条件的研判能力。防御人员可以利用漏洞扫描器等工具对已知网络节点发起漏洞扫描，或者通过模糊测试的方式识别已知网络节点中可能存在的漏洞。防御人员一旦发现漏洞，需要基于漏洞信息数据库的检索结果，继续评估该漏洞在演练场景下的可利用条件。例如，防御人员发现目标网络节点存
在远程代码执行漏洞，基于漏洞信息数据库的检索结果得知漏洞本身不存在额外权限约束，但在网络靶场场景下，漏洞可能会存在一些可利用条件约束，如：目标网络节点的访问权限、网络连通性约束、请求频率约束等。防御人员需要基于当前演练的靶场环境枚举该漏洞所有存在的漏洞可利用条件。在演练结束后，演练方案设计者可以发起问卷调查，收集作为防御人员的防御演练参与者的漏洞可利用条件识别结果，对应的漏洞可利用条件识别率指标ecrr(记为r
ecr
)的计算公式为：
[0106][0107]
其中，c为可利用条件正确识别的漏洞数量，n为漏洞总数量。
[0108]
对于漏洞利用预期结果识别率指标(errr,exploit result recognition rate)，漏洞信息数据库中的漏洞利用效果往往局限于漏洞所在的应用或系统本身，在真实的网络场景下，单个漏洞利用产生的影响往往可以扩散并真实影响到其他网络节点。本漏洞利用预期结果识别率指标侧重于考察防御人员在真实网络环境下对漏洞利用预期结果的判断能力。防御人员根据识别到的可利用漏洞，基于漏洞信息数据库的检索结果，继续评估该漏洞在演练场景下的漏洞实际可能危害。例如，防御人员发现目标节点存在xss漏洞，基于漏洞信息数据库的检索结果得知该漏洞具有窃取特定用户cookie的利用效果，可造成的实际网络危害有限，不能达到获取更多服务器权限的效果，但在演练方案设计中，攻击者窃取特定用户cookie后，可冒充该用户登录，并在该用户的信息列表中发现另一个脆弱网络节点的ip地址和端口。类似这种情况，防御人员需要给出漏洞的实际可能危害和利用预期结果。在演练结束后，演练方案设计者可以发起问卷调查，收集作为防御人员的防御演练参与者的漏洞利用预期危害识别结果，对应的漏洞利用预期结果识别率指标errr(记为r
err
)的计算公式为：
[0109][0110]
其中，e为漏洞利用预期结果正确识别数量，n为漏洞总数量。
[0111]
具体实施时，为计算上述两个识别率指标，在演练结束后，可以采用问卷调查的形式，收集防御演练参与者的可利用条件正确识别的漏洞数量和漏洞利用预期结果正确识别数量。
[0112]
其中，问卷调查开展形式为多项选择，在演练结束后，问卷自动发放给防御演练参与者，防御演练参与者需要在有限时间内进行回答并提交。问卷调查结束后，通过分数核算程序依据问卷提交结果进行处理(其中漏洞可利用条件或漏洞利用预期结果选项多选或少选的，按照答错处理)，统计漏洞可利用条件识别正确的漏洞数量和漏洞利用预期结果识别正确的漏洞数量，并按照上述公式分别计算出ecrr和errr两个指标值并相加，作为基于演练场景的防御演练参与者的漏洞识别能力评价值。
[0113]
步骤s102，根据所述漏洞可利用条件识别结果和漏洞利用预期危害识别结果，计算所述防御演练参与者的漏洞识别能力得分值；
[0114]
如前所述，将漏洞可利用条件识别结果和漏洞利用预期危害识别结果对应的指标相加，计算得到所述防御演练参与者的漏洞识别能力得分值。
[0115]
步骤s103，获取演练过程中，执行所述演练场景中网络节点的漏洞利用验证程序
调用对应的exp攻击脚本所记录的执行数据；
[0116]
如前所述，在演练数据收集阶段预先进行演练相关数据收集。
[0117]
具体地，在演练过程中，执行所述演练场景中网络节点的漏洞利用验证程序，以预设的时间间隔调用对应的exp攻击脚本；若所述exp攻击脚本执行失败，则切换至exp攻击脚本变种并再次执行，直至所有exp攻击脚本变种全部执行失败；通过所述漏洞利用验证程序记录所述exp攻击脚本及exp攻击脚本变种的执行时间、执行成功次数、执行失败次数和执行总次数，并记录与每位防御演练参与者对应的、按照时间先后顺序排列的、单个exp攻击脚本首次执行失败事件的序列，得到每个防御演练参与者的漏洞修复顺序和各相关参数，作为所述执行数据，并存储至演练数据库。
[0118]
步骤s104，根据所述执行数据，计算所述防御演练参与者的漏洞修复和加固能力得分值；
[0119]
具体地，作为一种实施方式，首先，获取所述执行数据中的所述防御演练参与者的漏洞修复顺序，该防御演练参与者的漏洞修复顺序，可以根据所述执行数据中所述防御演练参与者对应的单个exp攻击脚本首次执行失败事件的序列得到；
[0120]
然后，基于所述防御演练参与者的漏洞修复顺序，以及预设的所述演练场景的最优漏洞修复顺序和修复策略总分，计算得到所述防御演练参与者的漏洞修复先后顺序策略评分；
[0121]
基于所述执行数据，获得所述防御演练参与者的漏洞修复总数量、特定类型漏洞修复数量以及单个漏洞的执行失败的exp攻击脚本变种数；
[0122]
基于所述防御演练参与者的漏洞修复总数量、特定类型漏洞修复数量以及单个漏洞的执行失败的exp攻击脚本变种数，计算得到所述防御演练参与者的漏洞修复加固评分；
[0123]
具体实现如下：
[0124]
基于所述防御演练参与者的漏洞修复总数量、单个漏洞的执行失败的exp攻击脚本变种数以及预设的所述演练场景的漏洞总数量，计算得到所述防御演练参与者的总体漏洞修复失败率平均加权affr；
[0125]
基于所述防御演练参与者的特定类型漏洞修复数量、单个漏洞的执行失败的exp攻击脚本变种数以及预设的所述演练场景的特定类型漏洞总数量，计算得到所述防御演练参与者的特定类型漏洞修复失败平均加权sffr；
[0126]
基于所述总体漏洞修复失败率平均加权affr和特定类型漏洞修复失败平均加权sffr，计算得到所述防御演练参与者的漏洞修复加固评分。
[0127]
最后，基于所述漏洞修复先后顺序策略评分和漏洞修复加固评分，计算得到所述防御演练参与者的漏洞修复和加固能力得分值。
[0128]
以下对防御演练参与者的漏洞修复和加固能力得分值的计算过程进行详细阐述：
[0129]
本实施例中，漏洞修复和加固能力得分值由两个评价指标综合计算，其中一个为漏洞修复先后顺序策略评分fss，另一个为漏洞修复加固评分fes。
[0130]
其中，对于漏洞修复先后顺序策略评分(fss,fix strategy score)，在真实的网络安全攻防场景中，留给防御人员修复漏洞的时间往往是非常有限的，因此快速定位关键漏洞节点、择优修复的能力非常重要。本漏洞修复先后顺序策略评分指标侧重考察防御人员的漏洞修复策略，更看重整体修复效果所带来的收益，漏洞修复和加固能力不等于单个
漏洞修复得分之和，漏洞修复顺序会影响最终的漏洞修复能力评价。
[0131]
漏洞利用验证程序以时间轴的形式记录单个漏洞exp首次执行失败事件的序列，如：漏洞d(00:01:12)
‑‑
》漏洞b(00:41:50)
‑‑
》漏洞a(01:30:00)，因此可以得到防御人员的漏洞修复顺序，即先修复了漏洞d，然后修复了漏洞b，最后修复了漏洞a。为了度量实际修复顺序和最优修复顺序之间的差异，可以使用定制的汉明距离算法来计算本评分值，该汉明距离算法流程可以参照图3所示。
[0132]
其中，漏洞修复先后顺序策略评分fss(记为s
fs
)的计算公式为：
[0133][0134]
其中，d为汉明距离，l为最优修复序列的长度，m为修复策略总分。
[0135]
举例说明，假设一共有a、b、c、d四个漏洞，最优修复序列为c-》b-》a-》d，修复策略总分为100。按照上述的漏洞修复顺序d-》b-》a，实际修复序列长度小于最优修复序列长度，用无效值x来补全真实修复序列的剩余位，因此cbad和dbax的汉明距离为2，fss值为50。
[0136]
对于漏洞修复加固评分(fes,fix effect score)，计算本漏洞修复加固评分指标旨在摆脱红方能力依赖症，即局限于攻击人员能力的高低不同，并不能准确有效的验证漏洞是否被完全修复。在本实施例中，漏洞利用验证程序在exp攻击脚本执行失败后，下次执行将自动切换至另一个exp脚本，即exp攻击脚本变种并再次执行，直至所有变种全部执行失败。本漏洞修复加固评分指标考虑到防御人员自身普遍存在漏洞修复能力强弱项的客观事实，因此根据漏洞类型的不同，提出总体漏洞修复失败率平均加权(affr,average failed fix rate)和特定类型漏洞修复失败平均加权(sffr,specific failed fix rate)，可以更准确地评价防御人员的漏洞修复和加固能力。
[0137]
其中，防御人员修复漏洞k的分数(记为fk)计算公式为：
[0138][0139]
其中，sk为漏洞k的修复满分，c
fk
为漏洞k的exp攻击失败的变种数，ck为漏洞k的exp总变种数。
[0140]
总体漏洞修复失败率平均加权affr(记为r
af
)的计算公式为：
[0141][0142]
其中，nf为修复漏洞的数量，n为漏洞总数量。
[0143]
特定类型漏洞修复失败平均加权，即特定漏洞类型t的sffr(记为r
sft
)的计算公式为：
[0144][0145]
其中，n
ft
为修复类型t漏洞的数量，n
t
为类型t漏洞的总数量。
[0146]
漏洞修复加固评分fes(记为s
fe
)的计算公式为：
[0147][0148]
其中，n
type
为漏洞类型数量。
[0149]
在演练过程中，漏洞利用验证程序持续运行，收集每个漏洞exp攻击脚本首次执行失败事件序列以及每个exp攻击脚本及不同变种脚本的执行时间、执行成功次数、执行失败次数和执行总次数，并存储到演练数据库。
[0150]
在演练结束后，通过分数核算程序读取演练数据库中的各项数据值，分别计算漏洞修复顺序、漏洞修复总数量、特定类型漏洞修复数量以及单个漏洞的exp攻击脚本执行失败变种数，按照上述公式计算出fss和fes两个指标值并相加，作为漏洞修复和加固能力评价值。
[0151]
步骤s105，根据所述防御演练参与者的漏洞识别能力得分值，以及漏洞修复和加固能力得分值，计算出所述防御演练参与者的能力评估得分值。
[0152]
防御人员在网络靶场场景中的漏洞可利用条件识别结果和漏洞利用危害性识别结果的准确性可验证其漏洞修复加固能力的得分，因此最终的防御人员漏洞修复和加固能力评价值s，在演练结束后由分数核算程序计算输出，并采用如下计算公式：
[0153]
s＝(r
err
r
ecr
)
×
(s
fs
s
fe
)。
[0154]
其中，r
ecr
表征漏洞可利用条件识别结果；r
err
表征漏洞利用预期危害识别结果；s
fe
表征漏洞修复加固评分；s
fe
表征漏洞修复先后顺序策略评分。
[0155]
本实施例通过上述方案，在演练结束后，获取防御演练参与者在网络靶场的防御竞赛演练场景下的漏洞可利用条件识别结果和漏洞利用预期危害识别结果，其中，在演练过程中由所述防御演练参与者基于预先设计的演练场景进行漏洞修复演练；根据所述漏洞可利用条件识别结果和漏洞利用预期危害识别结果，计算所述防御演练参与者的漏洞识别能力得分值；获取演练过程中，执行所述演练场景中网络节点的漏洞利用验证程序调用对应的exp攻击脚本所记录的执行数据；根据所述执行数据，计算所述防御演练参与者的漏洞修复和加固能力得分值；根据所述防御演练参与者的漏洞识别能力得分值，以及漏洞修复和加固能力得分值，计算出所述防御演练参与者的能力评估得分值。本发明实施例方案，由于采用预设的演练场景，可以在演练场景中，根据需要设计网络拓扑结构、涵盖多种漏洞类型的网络节点以及漏洞利用路线，以更好的对防御演练参与者进行能力评价，尤其是从漏洞识别与漏洞修复与加固的角度对防御方人员的能力进行评价，考察网络靶场场景下，作为防御人员的防御演练参与者的漏洞可利用条件识别能力、漏洞实际危害评估能力、漏洞修复策略以及漏洞修复与加固的有效性，因此，基于本发明实施例方案，可以实现对网络靶场中防御人员的漏洞修复加固能力进行准确评估，不仅能规避防御人员能力的评价过于依赖进攻方人员能力的问题，并且还能解决评价指标单一的问题，提高了安防演练评价的准确性和合理性。
[0156]
参照图4，图4为本发明网络靶场中防御人员能力评估方法另一示例性实施例的流程示意图。本实施例在上述图2所示的实施例的基础上，在上述步骤s101，在演练结束后，获取防御演练参与者在网络靶场的防御竞赛演练场景下的漏洞可利用条件识别结果和漏洞利用预期危害识别结果之前还包括：
[0157]
步骤s1001，在演练过程中，执行所述演练场景中网络节点的漏洞利用验证程序，以预设的时间间隔调用对应的exp攻击脚本；
[0158]
步骤s1002，若所述exp攻击脚本执行失败，则切换至exp攻击脚本变种并再次执行，直至所有exp攻击脚本变种全部执行失败；
[0159]
步骤s1003，通过所述漏洞利用验证程序记录所述exp攻击脚本及exp攻击脚本变种的执行时间、执行成功次数、执行失败次数和执行总次数，并记录与每位防御演练参与者对应的、按照时间先后顺序排列的、单个exp攻击脚本首次执行失败事件的序列，得到每个防御演练参与者的漏洞修复顺序和各相关参数，作为所述执行数据，并存储至演练数据库。
[0160]
相比上述图2所示的实施例，本实施例还包括通过网络节点的漏洞利用验证程序记录每个防御演练参与者的漏洞修复顺序和各相关参数的方案。
[0161]
具体地，本实施例方案旨在摆脱红方能力依赖症，即局限于攻击人员能力的高低不同，并不能准确有效的验证漏洞是否被完全修复。在本实施例中，漏洞利用验证程序在exp攻击脚本执行失败后，下次执行将自动切换至另一个exp脚本，即exp攻击脚本变种并再次执行，直至所有变种全部执行失败。
[0162]
具体地，在演练过程中，执行所述演练场景中网络节点的漏洞利用验证程序，以预设的时间间隔调用对应的exp攻击脚本；若所述exp攻击脚本执行失败，则切换至exp攻击脚本变种并再次执行，直至所有exp攻击脚本变种全部执行失败；通过所述漏洞利用验证程序记录所述exp攻击脚本及exp攻击脚本变种的执行时间、执行成功次数、执行失败次数和执行总次数，并记录与每位防御演练参与者对应的、按照时间先后顺序排列的、单个exp攻击脚本首次执行失败事件的序列，得到每个防御演练参与者的漏洞修复顺序和各相关参数，作为所述执行数据，并存储至演练数据库。
[0163]
本发明实施例方案，通过采用预设的演练场景，可以在演练场景中，根据需要设计网络拓扑结构、涵盖多种漏洞类型的网络节点以及漏洞利用路线，以更好的对防御演练参与者进行能力评价，尤其是从漏洞识别与漏洞修复与加固的角度对防御方人员的能力进行评价，考察网络靶场场景下，作为防御人员的防御演练参与者的漏洞可利用条件识别能力、漏洞实际危害评估能力、漏洞修复策略以及漏洞修复与加固的有效性，因此，基于本发明实施例方案，可以实现对网络靶场中防御人员的漏洞修复加固能力进行准确评估，不仅能规避防御人员能力的评价过于依赖进攻方人员能力的问题，并且还能解决评价指标单一的问题，提高了安防演练评价的准确性和合理性。
[0164]
相比现有的真人对抗场景下的行为日志监测方案，本实施例具有如下优点：
[0165]
(1)在网络靶场环境下，能够更加准确的计算防御人员的修复加固能力。充分考虑了实际靶场环境下，裸机靶标在漏洞利用条件和漏洞实际利用危害的差异，以及由于漏洞利用依赖关系的排列组合差异导致单个漏洞的实际修复优先级存在差异，因此本方案计算了漏洞可利用条件识别率(ecrr,exploit condition recognition rate)和漏洞利用预期结果识别率(errr,exploit result recognition rate)两个指标，最终的防御人员的能力得分会受到这两个指标的影响。
[0166]
(2)摆脱红方能力依赖症，本方案是在专注于蓝方能力评价的网络靶场竞赛模式下的蓝方漏洞修复加固能力评价方法，只有蓝方参与，不进行攻防对抗。提出了总体漏洞修复失败率平均加权(affr,average failed fix rate)和特定类型漏洞修复失败平均加权
(sffr,specific failed fix rate)两个指标，可以解决防御人员能力依赖于攻击人员能力的问题，同时细分了多种漏洞类型，分别计算sffr，充分考虑了防御人员自身普遍存在漏洞修复能力强弱项的客观事实，使得对防御人员的能力评价更加全面和准确。
[0167]
相比现有的根据网络区域内存在漏洞的网络设备所占比例降低至预设比例时所需的时长，来确定网络安全应急能力的方案，本实施例方案具有如下优点：
[0168]
(1)演练模式基于网络靶场环境，演练方案设计者可灵活制定漏洞修复技术考察点，组合多种包含不同类型漏洞的网络节点，模拟多种网络安全风险事件，形成复杂异构防御演练方案，可以全面的对防御者漏洞修复加固能力进行评价，不仅能够评估防御人员的漏洞修复加固能力，也能够评估防御人员的漏洞识别能力。
[0169]
(2)漏洞利用验证程序持续运行，收集每个漏洞exp攻击脚本首次执行失败事件序列以及每个exp攻击脚本及不同变种脚本的执行时间、执行成功次数、执行失败次数和执行总次数，可推算出防御人员的漏洞修复策略；更换多个exp及其变种持续进行漏洞利用验证，可以检验漏洞修复的有效性和修复加固的强度。从两个方面综合计算防御人员的漏洞修复加固能力得分值，可以全面、准确地评估防御人员的漏洞修复加固能力。
[0170]
此外，本发明实施例还提出一种网络靶场中防御人员能力评估装置，其特征在于，所述网络靶场中防御人员能力评估装置包括：
[0171]
识别结果获取模块，用于在演练结束后，获取防御演练参与者在网络靶场的防御竞赛演练场景下的漏洞可利用条件识别结果和漏洞利用预期危害识别结果，其中，在演练过程中由所述防御演练参与者基于预先设计的演练场景进行漏洞修复演练；
[0172]
识别能力计算模块，用于根据所述漏洞可利用条件识别结果和漏洞利用预期危害识别结果，计算所述防御演练参与者的漏洞识别能力得分值；
[0173]
执行记录模块，用于获取演练过程中，执行所述演练场景中网络节点的漏洞利用验证程序调用对应的exp攻击脚本所记录的执行数据；
[0174]
修复加固能力计算模块，用于根据所述执行数据，计算所述防御演练参与者的漏洞修复和加固能力得分值；
[0175]
评估得分计算模块，用于根据所述防御演练参与者的漏洞识别能力得分值，以及漏洞修复和加固能力得分值，计算出所述防御演练参与者的能力评估得分值。
[0176]
进一步地，所述网络靶场中防御人员能力评估装置还包括：
[0177]
设计模块，用于设计所述演练场景，所述演练场景包括：演练网络拓扑结构，多个可能存在漏洞或涵盖多种漏洞类型的网络节点，漏洞利用路线以及针对每个存在漏洞的网络节点的exp攻击脚本。
[0178]
进一步地，所述执行记录模块，还用于在演练过程中，执行所述演练场景中网络节点的漏洞利用验证程序，以预设的时间间隔调用对应的exp攻击脚本；
[0179]
若所述exp攻击脚本执行失败，则切换至exp攻击脚本变种并再次执行，直至所有exp攻击脚本变种全部执行失败；
[0180]
通过所述漏洞利用验证程序记录所述exp攻击脚本及exp攻击脚本变种的执行时间、执行成功次数、执行失败次数和执行总次数，并记录与每位防御演练参与者对应的、按照时间先后顺序排列的、单个exp攻击脚本首次执行失败事件的序列，得到每个防御演练参与者的漏洞修复顺序和各相关参数，作为所述执行数据，并存储至演练数据库。
[0181]
进一步地，所述识别结果获取模块，还用于在演练结束后，收集所述防御演练参与者在所述演练场景下识别到的漏洞可利用条件正确识别的漏洞数量，其中，所述漏洞可利用条件由所述防御演练参与者在发现漏洞后，基于漏洞信息数据库的检索结果，评估所述漏洞在演练场景下的可利用条件而得到；
[0182]
基于所述防御演练参与者的漏洞可利用条件正确识别的漏洞数量，以及所述演练场景下的实际漏洞总数量，计算得到所述漏洞可利用条件识别结果。
[0183]
进一步地，所述识别结果获取模块，还用于在演练结束后，收集所述防御演练参与者在所述演练场景下识别到的漏洞利用预期结果正确识别的漏洞数量，其中，所述漏洞利用预期结果由所述防御演练参与者在识别到可利用漏洞后，基于漏洞信息数据库的检索结果，评估所述可利用漏洞在所述演练场景下的漏洞实际可能危害而得到；
[0184]
基于所述防御演练参与者的漏洞利用预期结果正确识别的漏洞数量，以及预设的所述演练场景下的漏洞总数量，计算得到所述漏洞利用预期危害识别结果。
[0185]
进一步地，所述修复加固能力计算模块，还用于获取所述执行数据中的所述防御演练参与者的漏洞修复顺序；
[0186]
基于所述防御演练参与者的漏洞修复顺序，以及预设的所述演练场景的最优漏洞修复顺序和修复策略总分，计算得到所述防御演练参与者的漏洞修复先后顺序策略评分；
[0187]
基于所述执行数据，获得所述防御演练参与者的漏洞修复总数量、特定类型漏洞修复数量以及单个漏洞的执行失败的exp攻击脚本变种数；
[0188]
基于所述防御演练参与者的漏洞修复总数量、特定类型漏洞修复数量以及单个漏洞的执行失败的exp攻击脚本变种数，计算得到所述防御演练参与者的漏洞修复加固评分；
[0189]
基于所述漏洞修复先后顺序策略评分和漏洞修复加固评分，计算得到所述防御演练参与者的漏洞修复和加固能力得分值。
[0190]
进一步地，所述修复加固能力计算模块，还用于基于所述防御演练参与者的漏洞修复总数量、单个漏洞的执行失败的exp攻击脚本变种数以及预设的所述演练场景的漏洞总数量，计算得到所述防御演练参与者的总体漏洞修复失败率平均加权affr；
[0191]
基于所述防御演练参与者的特定类型漏洞修复数量、单个漏洞的执行失败的exp攻击脚本变种数以及预设的所述演练场景的特定类型漏洞总数量，计算得到所述防御演练参与者的特定类型漏洞修复失败平均加权sffr；
[0192]
基于所述总体漏洞修复失败率平均加权affr和特定类型漏洞修复失败平均加权sffr，计算得到所述防御演练参与者的漏洞修复加固评分。
[0193]
本实施例实现网络靶场中防御人员能力评估的原理及实施过程，请参照上述各实施例，在此不再赘述。
[0194]
本发明实施例还提出一种终端设备，所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如上所述的网络靶场中防御人员能力评估方法。
[0195]
由于本网络靶场中防御人员能力评估程序被处理器执行时，采用了前述所有实施例的全部技术方案，因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果，在此不再一一赘述。
[0196]
本发明实施例还提出一种计算机程序产品，其特征在于，所述计算机程序产品包
括计算机程序，所述计算机程序被处理器执行时实现如上所述的网络靶场中防御人员能力评估方法。
[0197]
由于本网络靶场中防御人员能力评估程序被处理器执行时，采用了前述所有实施例的全部技术方案，因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果，在此不再一一赘述。
[0198]
相比现有技术，本发明实施例提出的网络靶场中防御人员能力评估方法、装置、终端设备及计算机程序产品，在演练结束后，获取防御演练参与者在网络靶场的防御竞赛演练场景下的漏洞可利用条件识别结果和漏洞利用预期危害识别结果，其中，在演练过程中由所述防御演练参与者基于预先设计的演练场景进行漏洞修复演练；根据所述漏洞可利用条件识别结果和漏洞利用预期危害识别结果，计算所述防御演练参与者的漏洞识别能力得分值；获取演练过程中，执行所述演练场景中网络节点的漏洞利用验证程序调用对应的exp攻击脚本所记录的执行数据；根据所述执行数据，计算所述防御演练参与者的漏洞修复和加固能力得分值；根据所述防御演练参与者的漏洞识别能力得分值，以及漏洞修复和加固能力得分值，计算出所述防御演练参与者的能力评估得分值。本发明实施例方案，由于采用预设的演练场景，可以在演练场景中，根据需要设计网络拓扑结构、涵盖多种漏洞类型的网络节点以及漏洞利用路线，以更好的对防御演练参与者进行能力评价，尤其是从漏洞识别与漏洞修复与加固的角度对防御方人员的能力进行评价，考察网络靶场场景下，作为防御人员的防御演练参与者的漏洞可利用条件识别能力、漏洞实际危害评估能力、漏洞修复策略以及漏洞修复与加固的有效性，因此，基于本发明实施例方案，可以实现对网络靶场中防御人员的漏洞修复加固能力进行准确评估，不仅能规避防御人员能力的评价过于依赖进攻方人员能力的问题，并且还能解决评价指标单一的问题，提高了安防演练评价的准确性和合理性。
[0199]
需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
[0200]
上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
[0201]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上的一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，被控终端，或者网络设备等)执行本发明每个实施例的方法。
[0202]
以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。