(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211050820.2 (22)申请日 2022.08.30 (65)同一申请的已公布的文献号 申请公布号 CN 115225410 A (43)申请公布日 2022.10.21 (73)专利权人 四川安洵信息技 术有限公司 地址 611731 四川省成 都市青羊区蜀金路1 号2栋15层15 04号 (72)发明人 黄乐　郑华东　吴海波　 (74)专利代理 机构 北京之于行知识产权代理有 限公司 1 1767 专利代理师 陈鹏程 (51)Int.Cl. H04L 9/40(2022.01)(56)对比文件 CN 109286611 A,2019.01.2 9 CN 114327757 A,202 2.04.12 CN 104410617 A,2015.0 3.11 CN 113691416 A,2021.1 1.23 US 2020145420 A1,2020.0 5.07 US 20202019 92 A1,2020.0 6.25 US 2021320941 A1,2021.10.14 审查员 陈露 (54)发明名称 一种独立动态的网络安全靶场系统、 设备及 其应用方法 (57)摘要 本发明涉及一种独立动态的网络安全靶场 系统、 设备及其应用方法， 涉及网络安全技术领 域， 其中， 网络安全靶场系统包括： 身份认证模 块， 配置为响应于用户信息的输入， 验证用户身 份； 功能启用模块， 配置为响应于用户身份验证 的通过， 启动网络安全靶场系统以为用户提供靶 场应用服务； 管理模块， 用于存储用于模拟网络 攻击的攻击工具， 并配置为响应于所述靶场应用 服务的启动， 提供至少一种所述攻击工具至具有 权限的至少一个执行主机处， 其中， 所述执行主 机仅在执行攻击任务时才在预设时间周期内加 载与所述攻击工具相关的数据。 本发 明在各执行 主机执行完攻击任务后便执行销毁程序， 使攻击 工具停留在虚拟环境内， 以达成对攻击工具的动 用管理。 权利要求书2页 说明书11页 附图2页 CN 115225410 B 2022.12.09 CN 115225410 B 1.一种独立动态的网络安全 靶场系统， 其特 征在于， 包括： 身份认证模块 （10） ， 配置为响应于用户信息的输入， 验证用户身份； 功能启用模块 （20） ， 配置为响应于用户身份验证的通过， 启动网络安全靶场系 统以为 用户提供靶场应用服 务； 管理模块 （50） ， 用于存储用于模拟网络攻击的攻击工具， 并配置为响应于所述靶场应 用服务的启动， 提供至少一种所述攻击工具至具有权限的至少一个执行主机处， 其中， 所述 执行主机仅在执行攻击任务时才在预设时间周期内加载与所述攻击工具相关的数据， 所述 管理模块 （50） 通过搭建攻击脚本需要运行的环境的执行主机来执行所述攻击工具的配置， 并在使所述执行主机搭载的攻击脚本得到与其运算能力相符的加密的状态下， 指示相应至 少一个执 行主机执 行对目标靶机的攻击任务， 所述管理模块 （50） 以非对称加密的压缩包+脚本的方式向搭建有攻击脚本 需要运行环 境的至少一个攻击节点 或计算节点处的执行主机提供至少一种类型的攻击工具， 各攻击节 点或计算节点处的执 行主机将在执 行完攻击任务后执 行针对攻击 工具的销毁程序， 所述管理模块 （50） 管理多种类型的攻击工具， 每种攻击工具在攻击形式及相应的攻击 力度方面有所不同， 多个所述执 行主机经 管理模块 （5 0） 授权具有不同的攻击 权限。 2.根据权利要求1所述的网络安全 靶场系统， 其特 征在于， 还 包括： 第一重启子模块 （30） ， 配置为根据各计算节点的性能表现， 为不满足预设性能指标的 至少一个计算节点启动新的计算节点， 并为该新的计算节点配置网络安全靶场系统的启动 进程； 第二重启子模块 （40） ， 配置为向至少一个处于运行崩溃状态的靶场应用服务提供重启 服务。 3.根据权利要求2所述的网络安全靶场系统， 其特征在于， 所述身份认证模块 （10） 包 括： 请求子模块 （101） ， 用于通过网络客户端向认证端发送身份验证请求； 获取子模块 （102） ， 用于所述认证端根据所述身份验证请求获取用户名及密码， 并将用 户名及密码以验证请求报文的形式发送至认证服 务器； 确认子模块 （103） ， 用于所述认证服务器判断验证请求报文与数据库信息间的一致性， 并在所述验证请求报文与数据库信息一致时发送报文并通过网络接入设备启动网络安全 靶场系统的接通端口。 4.根据权利要求3所述的网络安全靶场系统， 其特征在于， 所述功能启用模块 （20） 包 括： 资源配置 子模块 （201） ， 配置为 提供用于构建所述靶场应用服 务的虚拟资源； 场景构建子模块 （202） ， 配置为基于所述资源配置子模块 （201） 提供的虚拟 资源构建靶 场应用服 务， 并将所述靶场应用服 务提供给身份验证通过的用户。 5.一种独立动态的网络安全 靶场系统的应用方法， 其特 征在于， 包括： 响应于用户信息的输入， 验证用户身份； 响应于用户身份验证的通过， 启动网络安全 靶场系统以为用户提供靶场应用服 务； 响应于所述靶场应用服务的启动， 提供至少一种攻击工具至具有权限的至少一个执行 主机处， 并在使所述执行主机搭载的攻击脚本得到与其运算能力相符的加密的状态下， 指权　利　要　求　书 1/2 页 2 CN 115225410 B 2示至少一个所述执行主机执行对目标靶机的攻击任务， 其中， 所述执行主机仅在执行攻击 任务时才在预设时间周期内加载与所述攻击工具相关的数据， 通过搭建攻击脚本需要运行 的环境的执行主机来执行所述攻击工具的配置， 并在使所述执行主机搭载的攻击脚本得到 与其运算能力相符的加密的状态下， 指示相应至少一个执行主机执行对目标靶机的攻击任 务， 以非对称加密的压缩包+脚本的方式向搭建有攻击脚本需要运行环境的至少一个攻击 节点或计算节点处的执行主机提供至少一种类型的攻击工具， 各攻击节点或计算节点处的 执行主机将在执 行完攻击任务后执 行针对攻击 工具的销毁程序， 多个所述执行主机经授权具有不同的攻击权限， 所述攻击权限的不同包括攻击形式及 相应的攻击力度方面的不同。 6.根据权利要求5所述的网络安全 靶场系统的应用方法， 其特 征在于， 还 包括： 根据各计算节点的性 能表现， 为不满足预设性能指标的至少一个计算节点启动 新的计 算节点， 并为该新的计算节点配置网络安全 靶场系统的启动进程； 向至少一个处于运行崩溃状态的靶场应用服 务提供重启服 务。 7.根据权利要求6所述的网络安全靶场系统的应用方法， 其特征在于， 所述响应于用户 信息的输入， 验证用户身份包括： 通过网络客户端向认证端发送身份验证请求； 所述认证端根据 所述身份验证请求获取用户名及密码， 并将用户名及密码以验证请求 报文的形式发送至认证服 务器； 所述认证服务器判断验证请求报文与数据库信 息间的一致性， 并在所述验证请求报文 与数据库信息一 致时发送报文并通过网络 接入设备启动网络安全 靶场系统的接通端口。 8.根据权利要求7所述的网络安全靶场系统的应用方法， 其特征在于， 所述响应于用户 身份验证的通过， 启动网络安全 靶场系统以为用户提供靶场应用服 务包括： 提供用于构建所述靶场应用服 务的虚拟资源； 基于所述虚拟资源构建靶场应用服务， 并将所述靶场应用服务提供给身份验证通过的 用户。 9.一种电子设备， 其特 征在于， 包括： 一个或多个处 理器 （301） ； 存储器 （302） ， 用于存 储一个或多个 计算机程序； 当所述一个或多个计算机程序被所述一个或多个处理器 （301） 执行， 使得所述一个或 多个处理器 （301） 实现如权利要求5~8任一项所述的网络安全 靶场系统的应用方法。权　利　要　求　书 2/2 页 3 CN 115225410 B 3