一种漏洞靶场防御方演练过程可视化的方法和系统

技术领域

本发明涉及IT应用领域，特别是涉及一种漏洞靶场防御方演练过程可视化的方法和系统。

背景技术

网络安全靶场在近几年发展迅速，应用于各个领域的网络靶场产品大量涌现，目前的靶场技术也处于发展迅速的阶段，靶场的出现在提升全社会网络安全意识、促进网络安全技术交流、培养和发现网络安全人才等方面发挥了重要作用。网络攻防演练和网络安全竞赛中，网络环境和演练人员操作是复杂多样的，如何给靶场参与演练人员和观看演练人员提供一个良好的视觉体验，即如何做到网络靶场的可视化技术也愈加受到重视。目前已有网络安全竞赛中的可视化技术主要是以分数为目的的可视化，一些攻防演练靶场中的可视化对网络靶场的整体态势的可视化展示，并没有重视演练过程的可视化方案，并且在攻防演练中演练人员的操作和试错过程也是能很好评价安全人员能力的方面。

现有的一些网络靶场攻防演练可视化方案中对机房中的机器的运行状态进行展示，但只能够看到网络靶场中当前物理主机的运行状态，展示整体的攻防态势，并不能展示出防御方的操作行为，所以不利于对防御方各项能力的评价。

因此，本领域亟需一种能够全面实时展示防御方各项能力和进度的技术方案。

发明内容

本发明的目的是提供一种漏洞靶场防御方演练过程可视化的方法和系统，解决目前网络靶场攻防演练可视化方案中展示功能不全面的问题。

为实现上述目的，本发明提供了如下方案：

一种漏洞靶场防御方演练过程可视化方法，所述方法包括：

实时获取由每一个防御方提交的资产胎记数据；根据所述资产胎记数据实时算出资产信息收集能力得分以及资产胎记数据搜集进度；

实时获取由每一个防御方提交的安全事件发现与业务恢复数据；根据所述安全事件发现与业务恢复数据通过安全计算公式实时算出安全事件发现与业务恢复能力得分以及所述安全事件发现与业务恢复数据中的每类操作得分所占总分数的比例；

实时获取由每一个防御方提交的系统加固数据；利用所述系统加固数据通过系统加固计算公式实时算出系统加固能力得分以及所述系统加固数据中每类操作得分所占总分数的比例；

实时获取由每一个防御方提交的勘测取证和线索溯源数据；利用所述勘测取证和线索溯源数据通过溯源计算公式实时算出勘测取证和线索溯源数据能力得分以及所述勘测取证和线索溯源数据中每类操作得分所占总分数的比例；

根据每一个防御方的所述资产信息收集能力得分、所述安全事件发现与业务恢复能力得分、所述系统加固能力得分以及所述勘测取证和线索溯源数据能力得分通过总防御力计算公式实时计算每一个防御方的总防御力得分；所述总防御力计算公式为DAS＝AICS*x+SIDBRS*y+SRS*z+SECCTS*k,(x+y+z+k＝1,x,y,z,k>0)其中，DAS为总防御力得分，AICS为资产信息收集能力得分，SIDBRS为安全事件发现与业务恢复能力得分，SRS为系统加固能力得分，SECCTS为勘测取证和线索溯源数据能力得分，x、y、z和k分别为资产信息收集能力得分、安全事件发现与业务恢复能力得分、系统加固能力得分以及勘测取证和线索溯源数据能力得分的权重值；

根据每个防御方队伍的总防御能力得分实时划分每个队伍的显示区域；

将每个防御方队伍的计算数据在相应的显示区域中进行可视化展示；所述计算数据为每个防御方队伍的所述资产信息收集能力得分以及资产胎记数据搜集进度、所述安全事件发现与业务恢复能力得分以及所述安全事件发现与业务恢复数据中的每类操作得分所占总分数的比例、所述系统加固能力得分以及所述系统加固数据中每类操作得分所占总分数的比例、所述勘测取证和线索溯源数据能力得分以及所述勘测取证和线索溯源数据中每类操作得分所占总分数的比例和所述总防御力得分；

根据实时计算得到的每个防御方队伍的所述计算数据实时刷新可视化展示的内容。

可选的，所述实时获取由每一个防御方提交的资产胎记数据；根据所述资产胎记数据实时算出资产信息收集能力得分以及资产胎记数据搜集进度，具体包括：

实时获取由每一个防御方提交的资产胎记数据；

将每个资产胎记数据根据获取难度和获取后的价值预置得分；所述资产胎记数据包括靶标信息数据、流量监控系统信息数据和入侵检测系统信息数据；

利用所述资产胎记数据通过能力计算公式算出资产信息收集能力得分；所述能力计算公式为：

计算资产胎记数据搜集进度

可选的，所述实时获取由每一个防御方提交的安全事件发现与业务恢复数据；根据所述安全事件发现与业务恢复数据通过安全计算公式实时算出安全事件发现与业务恢复能力得分以及所述安全事件发现与业务恢复数据中的每类操作得分所占总分数的比例，具体包括：

实时获取由每一个防御方提交的安全事件发现与业务恢复数据；

将每个所述安全事件发现与业务恢复数据根据操作难度和操作后效果预置得分；所述安全事件发现与业务恢复数据包括访问安全警告日志操作数据、清理数据库中恶意的数据操作数据、清理恶意webshell操作数据、恢复非正常运行的应用操作数据和用户查询操作数据；

利用所述安全事件发现与业务恢复数据通过安全计算公式算出安全事件发现与业务恢复能力得分；所述全事件发现与业务恢复计算公式为：其中，SIDBRS为安全事件发现与业务恢复能力得分，j表示第j个安全事件发现与业务恢复数据，q表示安全事件发现与业务恢复数据的总数量，E

计算安全警告日志操作得分占比

计算清理数据库中恶意的数据操作得分占比

计算清理恶意webshell操作得分占比

计算恢复非正常运行的应用操作得分占比

计算用户查询操作得分占比

可选的，所述实时获取由每一个防御方提交的系统加固数据；利用所述系统加固数据通过系统加固计算公式实时算出系统加固能力得分以及所述系统加固数据中每类操作得分所占总分数的比例，具体包括：

实时获取由每一个防御方提交的系统加固数据；

将每个所述系统加固数据根据系统加固操作行为的重要程度预置得分；所述系统加固数据包括源代码修改操作数据、配置文件变更操作数据、用户查询操作数据和备份文件查找操作数据；

利用所述系统加固数据通过系统加固计算公式算出系统加固能力得分；所述系统加固能力得分计算公式为：

计算源代码修改操作得分占比

计算配置文件变更操作得分占比

计算用户查询操作数据占比

计算备份文件查找操作得分占比

可选的，所述实时获取由每一个防御方提交的勘测取证和线索溯源数据；利用所述勘测取证和线索溯源数据通过溯源计算公式实时算出勘测取证和线索溯源数据能力得分以及所述勘测取证和线索溯源数据中每类操作得分所占总分数的比例，具体包括：

实时获取由每一个防御方提交的勘测取证和线索溯源数据；

将每个所述勘测取证和线索溯源数据根据勘测取证和线索溯源操作行为的重要程度预置得分；所述勘测取证和线索溯源数据包括获取攻击方ip操作数据和攻击方路径溯源操作数据；

利用所述勘测取证和线索溯源数据通过溯源计算公式算出勘测取证和线索溯源能力得分；所述勘测取证和线索溯源能力计算公式为：

计算获取攻击方ip操作得分占比

计算攻击方路径溯源操作得分占比

可选的，所述根据每个防御方队伍的总防御能力得分实时划分每个队伍的显示区域，具体包括：

根据每个队伍的总防御能力得分对所有队伍进行排序，得到排序结果；

根据所述排序结果将每个队伍的展示区域从左到右从上到下的规则排序；

根据每个队伍的总防御能力得分利用面积计算公式计算实际显示区域面积；所述面积计算公式为：S

按照所述实际显示区域面积划分每个队伍的显示区域并根据实时计算数据刷新所述排序结果和所述实际显示区域的面积。

可选的，所述将每个防御方队伍的计算数据在相应的显示区域中进行可视化展示，具体包括：

将每个队伍的所述显示区域分为左右两个部分；左半部分显示队员的屏幕操作情况，并且能够供用户选择查看特定队员的屏幕，右半部分为能力可视化图，能够供用户选择查看特定队员的能力可视化图详情；所述能力可视化图包括：直方图、资产信息收集地图和饼图；所述直方图中利用四个矩形表示所述资产信息收集能力得分、所述安全事件发现与业务恢复能力得分、所述系统加固能力得分以及所述勘测取证和线索溯源数据能力得分；所述资产信息收集地图和饼图用于显示各项能力的具体细节；

获取到用户点击表示所述资产信息收集能力得分矩形的指令后，使所述显示区域通过资产信息收集地图和资产信息收集能力饼图显示资产信息收集的细节；所述资产信息收集地图展示当前靶场中所有的资产胎记信息，每个资产胎记信息由一个方块代表，当某个资产胎记信息被发现时，则点亮对应的方块；所述资产信息收集能力饼图显示收集的有效资产胎记数据占收集的总资产胎记数据的比值；

获取到用户点击表示所述安全事件发现与业务恢复能力得分矩形的指令后，使所述显示区域通过安全事件发现与业务恢复能力饼图显示安全事件发现与业务恢复能力的细节；所述安全事件发现与业务恢复能力饼图展示所述安全事件发现与业务恢复数据中的每类操作得分所占总分数的比例；

获取到用户点击表示所述系统加固能力得分矩形的指令后，使所述显示区域通过系统加固能力饼图显示系统加固能力得分的细节；所述系统加固能力得分饼图展示所述系统加固数据中的每类操作得分所占总分数的比例；

获取到用户点击表示所述勘测取证和线索溯源数据能力得分矩形的指令后，使所述显示区域通过勘测取证和线索溯源数据能力饼图显示勘测取证和线索溯源数据能力的细节；所述勘测取证和线索溯源数据能力饼图展示所述勘测取证和线索溯源数据中的每类操作得分所占总分数的比例。

一种漏洞靶场防御方演练过程可视化系统，所述系统包括：

防御过程数据采集模块、防御过程数据处理模块和防御过程可视化模块；

所述防御过程数据采集模块包括：

资产信息收集数据获取子模块，用于实时获取由每一个防御方提交的资产胎记数据；

安全事件发现与业务恢复数据获取字模块，用于实时获取由每一个防御方提交的安全事件发现与业务恢复数据；

系统加固数据获取子模块，用于实时获取由每一个防御方提交的系统加固数据；

勘测取证和线索溯源数据获取子模块，用于实时获取由每一个防御方提交的勘测取证和线索溯源数据；

所述防御过程数据处理模块包括：

结构化数据处理子模块，用于根据所述资产胎记数据实时算出资产信息收集能力得分以及资产胎记数据搜集进度；

非结构化数据处理子模块，用于：

根据所述安全事件发现与业务恢复数据通过安全计算公式实时算出安全事件发现与业务恢复能力得分以及所述安全事件发现与业务恢复数据中的每类操作得分所占总分数的比例；

利用所述系统加固数据通过系统加固计算公式实时算出系统加固能力得分以及所述系统加固数据中每类操作得分所占总分数的比例；

利用所述勘测取证和线索溯源数据通过溯源计算公式实时算出勘测取证和线索溯源数据能力得分以及所述勘测取证和线索溯源数据中每类操作得分所占总分数的比例；

根据每一个防御方的所述资产信息收集能力得分、所述安全事件发现与业务恢复能力得分、所述系统加固能力得分以及所述勘测取证和线索溯源数据能力得分通过总防御力计算公式实时计算每一个防御方的总防御力得分；所述总防御力计算公式为DAS＝AICS*x+SIDBRS*y+SRS*z+SECCTS*k,(x+y+z+k＝1,x,y,z,k>0)其中，DAS为总防御力得分，AICS为资产信息收集能力得分，SIDBRS为安全事件发现与业务恢复能力得分，SRS为系统加固能力得分，SECCTS为勘测取证和线索溯源数据能力得分，x、y、z和k分别为资产信息收集能力得分、安全事件发现与业务恢复能力得分、系统加固能力得分以及勘测取证和线索溯源数据能力得分的权重值；

所述防御过程可视化模块包括：

能力数据可视化子模块，用于：

根据每个防御方队伍的总防御能力得分实时划分每个队伍的显示区域；

将每个防御方队伍的计算数据在相应的显示区域中进行可视化展示；所述计算数据为每个防御方队伍的所述资产信息收集能力得分以及资产胎记数据搜集进度、所述安全事件发现与业务恢复能力得分以及所述安全事件发现与业务恢复数据中的每类操作得分所占总分数的比例、所述系统加固能力得分以及所述系统加固数据中每类操作得分所占总分数的比例、所述勘测取证和线索溯源数据能力得分以及所述勘测取证和线索溯源数据中每类操作得分所占总分数的比例和所述总防御力得分；

根据实时计算得到的每个防御方队伍的所述计算数据实时刷新可视化展示的内容。

可选的，所述结构化数据处理子模块还用于处理检测模型生成的靶标的漏洞利用情况和业务连续性报告以及漏洞存在性验证模型生成的业务漏洞修复情况报告；所述靶标的漏洞利用情况和业务连续性报告和所述业务漏洞修复情况报告处理后用于所述非结构化数据处理时预置得分。

可选的，所述防御过程可视化模块还包括：

过程录像子模块，用于实时录制防御方各个队员的操作界面，供用户选择查看。

根据本发明提供的具体实施例，本发明公开了以下技术效果：

本发明实施例提供的漏洞靶场防御方演练过程可视化方法及系统，首先，实时获取每一个防御方提交的资产胎记数据、安全事件发现与业务恢复数据、系统加固数据以及勘测取证和线索溯源数据，并据此结合裁判的相关经验计算各部分详细数据得分，根据各部分的详细得分划分显示区域，并对每一个数据进行可视化显示，其实时可视化防御演练过程，不是单纯分数的可视化，而是以演练过程为可视化的对象，通过详细的计算以及专家对各项数据的评估得分，将整个演练过程的每个数据进行展示。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一提供的漏洞靶场防御方演练过程可视化方法的流程图。

图2为本发明实施例二提供的漏洞靶场防御方演练过程可视化系统的框图。

图3为本发明实施例二提供的漏洞靶场防御方演练过程可视化系统的防御过程可视化示意图。

图4为本发明实施例二提供的漏洞靶场防御方演练过程可视化系统的资产信息收集地图。

图5为本发明实施例二提供的漏洞靶场防御方演练过程可视化系统的某个防御方队伍能力的直方图。

图6为本发明实施例二提供的漏洞靶场防御方演练过程可视化系统的有效的具体操作行为可视化饼图。

图7为本发明实施例二提供的漏洞靶场防御方演练过程可视化系统的操作进度可视化饼图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

现有的一些网络靶场攻防演练可视化方案，比如一种城市网络靶场系统态势大屏展示方法和系统，其解决了现有技术中由于机房实景和机房系统的运行状态不能够实时同步的在同一显示屏上显示而导致的用户体验感较差的问题。但是对机房中的机器的运行状态进行展示时，只能够看到网络靶场中当前物理主机的运行状态，展示整体的攻防态势，并不能展示出防御方的操作行为并不利于对防御方各项能力的评价。

现有的通过攻击行为仿真定量评估防御战队的安全防御能力方案，比如靶场攻击行为仿真方法、系统、设备及存储介质，其对靶场攻击行为仿真配置攻击行为仿真设备，攻击行为仿真设备按照配置信息发送各种攻击载荷包，防御战队检测到攻击载荷包之后，根据攻击行为做出防御响应，进行阻断或者查杀操作，防御战队提交安全检测报告和防御处置报告，靶场管理系统根据攻击行为仿真设备配置信息和防御战队报告，评估各个防御战队安全防护能力。其虽然提供了一种攻击行为仿真方法，根据防御方队伍提交的报告进行能力评估，但是并不利于多个队伍间的能力的比对；虽然其已经通过复盘方式进行对防御方的能力评价，但并不能实时展示防御方队伍的演练过程。

现有CTF比赛过程的各个参赛队伍得分趋势图，可视化的对象是「得分随时间变化过程」。但除此之外，其他网络安全演练、竞赛等的可视化就只剩地图、沙盘的即时状态可视化，普遍缺少过程可视化，且可视化对象均以分数为主。

本发明提出一种漏洞靶场防御方演练过程可视化的方法和装置采集防御方的实时演练数据，使用直方图、资产信息收集地图和饼图进行大屏能力同时可视化全部演练队伍的进度，并对防御方队伍人员的操作进行录屏，不仅有利于对各个队伍间能力的对比，也有利于演练过程中裁判和专家对防御方各项能力的实时评价，还便于演练结束后对演练过程复盘。

本发明的目的是提供一种漏洞靶场防御方演练过程可视化的方法和系统，解决目前网络靶场攻防演练可视化方案中展示功能不全面的问题。

为了便于理解本发明，此处对涉及到的部分专业术语进行解释说明：

演练组织人员：组织攻防演练的人员。

裁判：在赛后对演练人员进行能力评价的人员。

资产胎记数据(自创术语)：在每个靶标、蓝方可操作安全基础设施(例如流量监控系统、入侵检测系统、入侵防御系统等)中预置唯一标识靶场资产的信息数据。

靶场业务连续性检测模型：针对性的对靶场业务进行持续性监测，检测攻防演练过程中业务是否持续运行。

漏洞存在性验证模型：用来验证靶标中的漏洞是否存在。

漏洞利用：针对具体漏洞的攻击手段或方法。例如针对SQL注入漏洞的不同利用方法有基于报错信息的注入、SQL盲注、基于updateXML()的注入等。

漏洞利用效果：针对同一个漏洞的不同漏洞利用手段有可能对资产造成不同的影响，这种差异是由漏洞自身的触发原理和漏洞所处软硬件环境的外部安全防御联合决定的，与资产价值无关。本发明所述漏洞利用效果采用二级分类法，包括：

机密性受损。下属子利用效果包括：访问凭据泄露、运行环境指纹信息泄露、业务数据泄露等。

完整性受损。下属子利用效果包括：文件被篡改、内存被篡改、数据库数据被篡改等。

可用性受损。下属子利用效果包括：业务连续性破坏(宕机、网络服务挂起等)、数据被擦除等。

访问控制受损。下属子利用效果包括：被获取操作系统权限、被获取应用系统权限、身份仿冒、越权操作等。

漏洞利用结果：漏洞一旦被利用，会对资产价值造成具体影响。同一个漏洞在不同的软硬件运行环境、软硬件环境承载的业务和数据差异等会导致同一个漏洞利用效果，可能会造成不同的结果。例如，电商网站订单系统存在的SQL注入漏洞利用会造成信息泄露效果，对于网站A来说是网站A的订单信息泄露，对于网站B来说是网站B的订单信息泄露。此时，两个不同网站的相同漏洞，存在相同的漏洞利用效果，但漏洞利用结果不同。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

实施例一：

如图1所示，本实施例提供了一种漏洞靶场防御方演练过程可视化方法，该方法包括：

S1、实时获取由每一个防御方提交的资产胎记数据；根据所述资产胎记数据实时算出资产信息收集能力得分以及资产胎记数据搜集进度；

具体步骤包括：

实时获取由每一个防御方提交的资产胎记数据；资产胎记数据包括靶标信息数据(基础软件名称、版本、相关漏洞信息、ip地址、域名解析、用户信息、管理员信息和数据库信息等)、流量监控系统信息数据和入侵检测系统信息数据等；

将每个资产胎记数据根据获取难度和获取后的价值预置得分；预置得分时主要根据专家的经验。此外，若第i个资产胎记数据A

利用所述资产胎记数据通过能力计算公式算出资产信息收集能力得分；所述资产信息收集能力计算公式为：

计算资产胎记数据搜集进度

S2、实时获取由每一个防御方提交的安全事件发现与业务恢复数据；根据所述安全事件发现与业务恢复数据通过安全计算公式实时算出安全事件发现与业务恢复能力得分以及所述安全事件发现与业务恢复数据中的每类操作得分所占总分数的比例，具体步骤如下：

实时获取由每一个防御方提交的安全事件发现与业务恢复数据；

将每个所述安全事件发现与业务恢复数据根据操作难度和操作后效果预置得分；所述安全事件发现与业务恢复数据包括访问安全警告日志操作数据、清理数据库中恶意的数据操作数据、清理恶意webshell操作数据、恢复非正常运行的应用操作数据和用户查询操作数据；

利用所述安全事件发现与业务恢复数据通过安全计算公式算出安全事件发现与业务恢复能力得分；所述安全事件发现与业务恢复能力计算公式为：

计算安全警告日志操作得分占比

计算清理数据库中恶意的数据操作得分占比

计算清理恶意webshell操作得分占比

计算恢复非正常运行的应用操作得分占比

计算用户查询操作得分占比

S3、实时获取由每一个防御方提交的系统加固数据；利用所述系统加固数据通过系统加固计算公式实时算出系统加固能力得分以及所述系统加固数据中每类操作分得所占总分数的比例；其具体步骤包括：

实时获取由每一个防御方提交的系统加固数据；

将每个所述系统加固数据根据系统加固操作行为的重要程度预置得分；所述系统加固数据包括源代码修改操作数据、配置文件变更操作数据、用户查询操作数据和备份文件查找操作数据；

利用所述系统加固数据通过系统加固计算公式算出系统加固能力得分；所述系统加固能力得分计算公式为：

计算源代码修改操作得分占比

计算配置文件变更操作得分占比

计算用户查询操作得分占比

计算备份文件查找操作得分占比

S4、实时获取由每一个防御方提交的勘测取证和线索溯源数据；利用所述勘测取证和线索溯源数据通过溯源计算公式实时算出勘测取证和线索溯源数据能力得分以及所述勘测取证和线索溯源数据中每类操作得分所占总分数的比例；其具体步骤包括：

实时获取由每一个防御方提交的勘测取证和线索溯源数据；

将每个所述勘测取证和线索溯源数据根据勘测取证和线索溯源操作行为的重要程度预置得分；所述勘测取证和线索溯源数据包括获取攻击方ip操作数据和攻击方路径溯源操作数据；

利用所述勘测取证和线索溯源数据通过溯源计算公式算出勘测取证和线索溯源能力得分；所述勘测取证和线索溯源能力得分计算公式为：

计算获取攻击方ip操作得分占比

计算攻击方路径溯源操作得分占比

需要注意的是，上述步骤S1-S4的步骤没有时间顺序的限定，每一个步骤的先后顺序可以任意选择。

S5、根据每一个防御方的所述资产信息收集能力得分、所述安全事件发现与业务恢复能力得分、所述系统加固能力得分以及所述勘测取证和线索溯源数据能力得分通过总防御力计算公式实时计算每一个防御方的总防御力得分；所述总防御力计算公式为DAS＝AICS*x+SIDBRS*y+SRS*z+SECCTS*k,(x+y+z+k＝1,x,y,z,k>0)其中，DAS为总防御力得分，AICS为资产信息收集能力得分，SIDBRS为安全事件发现与业务恢复能力得分，SRS为系统加固能力得分，SECCTS为勘测取证和线索溯源数据能力得分，x、y、z和k分别为资产信息收集能力得分、安全事件发现与业务恢复能力得分、系统加固能力得分以及勘测取证和线索溯源数据能力得分的权重值；

S6、根据每个防御方队伍的总防御能力得分实时划分每个队伍的显示区域；其具体步骤包括：

根据每个队伍的总防御能力得分对所有队伍进行排序，得到排序结果；

根据所述排序结果将每个队伍的展示区域从左到右从上到下的规则排序；

根据每个队伍的总防御能力得分利用面积计算公式计算实际显示区域面积；所述面积计算公式为：S

按照所述实际显示区域面积划分每个队伍的显示区域并根据实时计算数据刷新所述排序结果和所述实际显示区域的面积。

S7、将每个防御方队伍的计算数据在相应的显示区域中进行可视化展示；所述计算数据为每个防御方队伍的所述资产信息收集能力得分以及资产胎记数据搜集进度、所述安全事件发现与业务恢复能力得分以及所述安全事件发现与业务恢复数据中的每类操作得分所占总分数的比例、所述系统加固能力得分以及所述系统加固数据中每类操作得分所占总分数的比例、所述勘测取证和线索溯源数据能力得分以及所述勘测取证和线索溯源数据中每类操作得分所占总分数的比例和所述总防御力得分；其具体步骤包括：

将每个队伍的所述显示区域分为左右两个部分；左半部分显示队员的屏幕操作情况，并且能够供用户选择查看特定队员的屏幕，右半部分为能力可视化图，能够供用户选择查看特定队员的能力可视化图详情；所述能力可视化图包括：直方图、资产信息收集地图和饼图；所述直方图中利用四个矩形表示所述资产信息收集能力得分、所述安全事件发现与业务恢复能力得分、所述系统加固能力得分以及所述勘测取证和线索溯源数据能力得分；所述资产信息收集地图和饼图用于显示各项能力的具体细节；

获取到用户点击表示所述资产信息收集能力得分矩形的指令后，使所述显示区域通过资产信息收集地图和资产信息收集能力饼图显示资产信息收集的细节；所述资产信息收集地图展示当前靶场中所有的资产胎记信息，每个资产胎记信息由一个方块代表，当某个资产胎记信息被发现时，则点亮对应的方块；所述资产信息收集能力饼图显示收集的有效资产胎记数据占收集的总资产胎记数据的比值；

获取到用户点击表示所述安全事件发现与业务恢复能力得分矩形的指令后，使所述显示区域通过安全事件发现与业务恢复能力饼图显示安全事件发现与业务恢复能力的细节；所述安全事件发现与业务恢复能力饼图展示所述安全事件发现与业务恢复数据中的每类操作得分所占总分数的比例；

获取到用户点击表示所述系统加固能力得分矩形的指令后，使所述显示区域通过系统加固能力饼图显示系统加固能力得分的细节；所述系统加固能力得分饼图展示所述系统加固数据中的每类操作得分所占总分数的比例；

获取到用户点击表示所述勘测取证和线索溯源数据能力得分矩形的指令后，使所述显示区域通过勘测取证和线索溯源数据能力饼图显示勘测取证和线索溯源数据能力的细节；所述勘测取证和线索溯源数据能力饼图展示所述勘测取证和线索溯源数据中的每类操作得分所占总分数的比例。

S8、根据实时计算得到的每个防御方队伍的所述计算数据实时刷新可视化展示的内容。

本发明实施例提供的漏洞靶场防御方演练过程可视化方法，实时可视化防御演练过程。将各个队伍队员的操作屏幕接入大屏，通过大屏实时展示化当前的队伍各个队员的操作状况，同时对队伍中各个队员的屏幕进行录制；通过直方图、饼图和资产信息收集地图来实时可视化队伍和个人各项能力水平和演练实时进展，便于比赛过程中的多个防御方各项能力的比较。在演练过程中对每个防御方队伍的操作进行录像和能力图可视化实时的生成，便于演练后对整个演练过程的复盘。

实施例二：

如图2所示，本发明实施例提供了一种漏洞靶场防御方演练过程可视化系统，该系统的使用方法与上述实施例一相同，其与实施例一公开的方法相对应，相关之处互相参见即可。

具体的，该系统包括：防御过程数据采集模块M10、防御过程数据处理模块M20和防御过程可视化模块M30三个模块；

防御过程数据采集模块M10，对演练过程中的防御数据实时收集，为后续防御过程可视化模块提供数据支撑，包括4个子模块：资产信息收集数据获取子模块M11、安全事件发现与业务恢复数据获取子模块M12、系统加固数据获取子模块M13、勘测取证和线索溯源数据获取子模块M14。

资产信息收集数据获取子模块M11，用于实时获取由每一个防御方提交的资产胎记数据；所述资产胎记数据是由防御方收集到的包括靶标信息数据(基础软件名称、版本、相关漏洞信息、ip地址、域名解析、用户信息、管理员信息、数据库信息等)、流量监控系统信息数据和入侵检测系统信息数据等数据。

安全事件发现与业务恢复数据获取字模块M12，用于实时获取由每一个防御方提交的安全事件发现与业务恢复总体数据(安全事件发现为防御方对攻击者留在主机内的漏洞利用脚本的发现和清除情况；业务恢复数据为防御方对各个因攻击操作不能正常工作的业务功能，经过修复后恢复的响应情况),包括安全业务结构化数据和安全业务非结构化数据，其中安全业务结构化数据通过使用靶场业务连续性检测模型对安全事件发现情况和业务恢复情况进行判断，将检测到的安全事件发现情况和业务服务情况生成漏洞利用情况和业务连续性报告，上述生成的报告描述为当前各个靶标经过防御方安全事件发现以及业务恢复操作后对恶意webshell清除情况(清除成功标记为1，未清除成功标记为0)、漏洞编号、恢复非正常运行的应用信息(正常响应标记为1，未正常响应标记为0)等，报告中各项数据可直接作为下面安全计算公式计算时的依据，而且该模块通过防御方提交安全事件发现与业务恢复报告来获取安全业务非结构化数据，其中包含有防御方详细的安全事件发现与业务恢复数据。安全事件发现与业务恢复数据包括：访问安全警告日志信息、清理数据库中恶意的数据信息、清理恶意webshell和恢复非正常运行的应用信息以及用户查询操作信息等。

系统加固数据获取子模块M13，用于实时获取由每一个防御方提交的系统加固总体数据；系统加固总体数据包括系统加固结构化数据和系统加固非结构化数据。系统加固结构化数据通过使用漏洞存在性验证模型检测各个业务的漏洞修复情况，生成业务漏洞修复情况报告，上述报告描述为各个靶标的漏洞类型、漏洞编号、利用情况(漏洞利用成功标记未1，漏洞利用不成功标记为0)等，对漏洞利用情况的检测作为评价防御方系统加固能力评分的参考(专家和裁判根据检测模型的漏洞利用情况来判断防御方提交报告的真实性)，同时通过防御方提交的系统加固报告来获取系统加固非结构化数据，其中包括防御方详细的系统加固数据。系统加固数据包括：源代码修改操作数据、配置文件变更操作数据、用户查询操作数据和配置文件查找操作数据等。

勘测取证和线索溯源数据获取子模块M14，用于实时获取由每一个防御方提交的勘测取证和线索溯源数据；通过防御方提交溯源报告来获取详细的勘测取证和线索溯源数据。其中勘测取证和线索溯源数据包括获取攻击方ip和攻击方路径溯源等。

所述防御过程数据处理模块M20用于处理防御过程数据采集模块所获取到的数据,包括结构化数据处理子模块M21和非结构化数据处理子模块M22。

结构化数据处理子模块M21，用于根据所述资产胎记数据实时算出资产信息收集能力得分以及资产胎记数据搜集进度；还用于处理检测模型生成的靶标的漏洞利用情况和业务连续性报告以及漏洞存在性验证模型生成的业务漏洞修复情况报告；所述靶标的漏洞利用情况和业务连续性报告和所述业务漏洞修复情况报告处理后用于所述非结构化数据处理时预置得分。

结构化数据包括资产胎记数据、检测模型生成的靶标的漏洞利用情况和业务连续性报告和漏洞存在性验证模型生成的业务漏洞修复情况报告，其漏洞修复情况报告为非结构化数据处理子模块裁判和专家进行能力评价的结构化参考报告，其靶标的漏洞利用情况和业务连续性报告可直接作为安全计算公式的输入数据。

根据资产信息收集数据获取子模块收集到的资产胎记数据，通过能力计算公式算出资产信息收集能力得分，资产信息收集能力得分记作AICS(Asset InformationCollection Score)，资产信息收集进度记作AICP(Asset Information CollectionProgress)。每个资产胎记数据根据获取难度和获取后的价值预置得分，收集到第i个资产胎记数据得分记作A

前资产胎记数据搜集进度为：(这里的资产胎记数据搜集进度是为在后续可视化的时候以资产胎记收集地图形式展示时，用于显示的资产信息收集进度)

非结构化数据处理子模块M22，用于：

根据所述安全事件发现与业务恢复数据通过安全计算公式实时算出安全事件发现与业务恢复能力得分以及所述安全事件发现与业务恢复数据中的每类操作得分所占总分数的比例；

利用所述系统加固数据通过系统加固计算公式实时算出系统加固能力得分以及所述系统加固数据中每类操作得分所占总分数的比例；

利用所述勘测取证和线索溯源数据通过溯源计算公式实时算出勘测取证和线索溯源数据能力得分以及所述勘测取证和线索溯源数据中每类操作得分所占总分数的比例；

根据每一个防御方的所述资产信息收集能力得分、所述安全事件发现与业务恢复能力得分、所述系统加固能力得分以及所述勘测取证和线索溯源数据能力得分通过总防御力计算公式实时计算每一个防御方的总防御力得分。

非结构化数据处理子模块M22需要由裁判和专家根据防御方所提交的报告具体内容进行评判(此处的报告是不包括资产胎记数据的，为非结构化数据)，报告具体内容为是否可算入能力得分的操作，并可根据各个防御方队伍的过程录像进行验证防御方队伍所提交的报告的真实可靠性，将处理与后的数据作为防御过程可视化模块的输入。其中所述过程录像会在防御过程可视化模块介绍。

非结构化数据包括安全事件发现与业务恢复数据、系统加固数据以及勘测取证和线索溯源数据。非结构化数据由裁判和专家来通过防御方提交报告分析对防御方的操作，根据各个操作类型和操作数带入计算公式计算，得出每项能力的得分。下面介绍各个计算公式。

安全事件发现与业务恢复数据中包括访问安全警告日志操作数据、清理数据库中恶意的数据操作数据、清理恶意webshell操作数据、恢复非正常运行的应用操作数据和用户查询操作数据等操作，安全事件发现与业务恢复能力得分记作SIDBRS(SecurityIncident Discovery and Business Recovery Score)。根据每类操作难度和操作后效果预置每类操作的得分，第j个安全事件发现与业务恢复的操作得分为E

此得分数据作为直方图中安全事件发现与业务恢复能力的输入；裁判和专家从防御方队伍安全事件发现与业务恢复报告中提取的每一类操作的数量，假设有五类操作(这里为举例子实际可能有更多的操作类型)访问安全警告日志操作、清理数据库中恶意的数据操作、清理恶意webshell操作、恢复非正常运行的应用操作和用户查询操作的数量分别为Ra、Rb、Rc、Rd、Re，预置得分分别为Ras、Rbs、Rcs、Rds、Res，安全事件发现与业务恢复数据中全部有效数据的总分为E

访问安全警告日志操作得分占比

清理数据库中恶意的数据操作得分占比

清理恶意webshell操作得分占比

恢复非正常运行的应用操作得分占比

用户查询操作得分占比

此数据可作为安全事件发现与业务恢复能力饼图的数据输入；

系统加固数据中包含：源代码修改操作数据、配置文件变更操作数据、用户查询操作数据和备份文件查找操作数据等，系统加固能力得分记作SRS(System ReinforcementScore)。根据系统加固操作行为的重要程度预置每一类系统加固操作的得分，第f个系统加固操作得分为S

此得分数据作为直方图中系统加固能力的输入；裁判和专家从防御方队伍系统加固报告中提取的每一类操作的数量，假设有四类操作(这里为举例子实际的可能有更多的操作类型)源代码修改操作、配置文件变更操作、用户查询操作和配置文件查找操作的数量分别为Fa、Fb、Fc和Fd，预置得分分别为Fas、Fbs、Fcs和Fds，计算出每一类操作得分占总分数的比例：

源代码修改操作得分占比

配置文件变更操作得分占比

用户查询操作得分占比

配置文件查找操作得分占比

此数据作为系统加固能力饼图的数据输入；

勘测取证和线索溯源能力数据中包括获取攻击方ip操作数据和攻击方路径溯源操作数据等，勘测取证和线索溯源能力得分记作SECCTS(Survey and EvidenceCollection and Clue Traceability Score)，根据勘测取证和线索溯源操作行为的重要程度预置每一类勘测取证和线索溯源操作的得分，第p个勘测取证和线索溯源操作得分为C

此得分数据作为直方图中勘测取证和线索溯源能力的输入；裁判和专家从防御方队伍溯源报告中提取的每类操作的数量，假设有两类操作(这里为举例子实际的可能有更多操作类型)获取攻击方ip、攻击方路径溯源的数量分别为Ta、Tb，预置得分分别为Tas、Tbs，勘测取证和线索溯源数据中全部有效数据的总分为T

获取攻击方ip操作得分占比

攻击方路径溯源操作得分占比

此数据作为勘测取证和线索溯源能力饼图的数据输入；

总防御能力得分可由上述计算得出的4项能力得分计算，总防御能力得分记作DAS(Defensive Ability Score)，根据总防御力计算公式得到防御能力得分:

DAS＝AICS*x+SIDBRS*y+SRS*z+SECCTS*k,(x+y+z+k＝1,x,y,z,k>0)

x,y,z,k需要满足x+y+z+k＝1,x,y,z,k>0，权重值设定由演练组织人员根据演练所侧重评价的能力设置，权重值越大代表某个偏好程度越高，在总能力得分中的占比越高。

防御过程可视化模块M30包括：

能力数据可视化子模块M31，用于：

根据每个防御方队伍的总防御能力得分实时划分每个队伍的显示区域；

将每个防御方队伍的计算数据在相应的显示区域中进行可视化展示；所述计算数据为每个防御方队伍的所述资产信息收集能力得分以及资产胎记数据搜集进度、所述安全事件发现与业务恢复能力得分以及所述安全事件发现与业务恢复数据中的每类操作得分所占总分数的比例、所述系统加固能力得分以及所述系统加固数据中每类操作得分所占总分数的比例、所述勘测取证和线索溯源数据能力得分以及所述勘测取证和线索溯源数据中每类操作得分所占总分数的比例和所述总防御力得分；

根据实时计算得到的每个防御方队伍的所述计算数据实时刷新可视化展示的内容。

防御过程可视化模块M30还包括：

过程录像子模块M32，用于实时录制防御方各个队员的操作界面，供用户选择查看。

防御过程可视化模块M30，以大屏方式可视化演练过程中所有防御方队伍的演练过程，包括过程录像子模块M31和能力数据可视化子模块M32。根据队伍的数量划分大屏展示的区域，展示演练过程中参与演练防御方队伍和人员的演练操作过程，裁判和专家能够同时根据每个队伍实时的操作情况和报告提交情况，对每一个队伍的报告进行能力评价，结合自动检测模型的结果通过相对应的计算公式计算后将能力评价结果显示在大屏上。

其中过程录像子模块M31，同步防御方队伍各个队员所用主机的操作界面，同时进行实时屏幕录像，用户可以选择具体的队员的操作界面放大查看。

其中能力数据可视化模块M32，根据防御过程数据处理模块M20所处理完成的数据结果作为输入，输入能力数据可视化模块M32进行可视化输出，利用大屏展示当前防御方各个队伍防御能力可视化图。防御能力分为4个部分：包括资产信息收集能力、安全事件发现与业务恢复能力、系统加固能力和勘测取证和线索溯源能力。

能力数据可视化模块M32的可视化内容可以选择队伍整体能力可视化或者个人能力可视化，可根据选择对象实时展示。可视化大屏中防御方队伍的排名根据队伍的总体进度从左到右从上到下排序，并通过所占屏幕区域大小来表示每个队伍当前的排名，给个队伍区域的颜色按照相邻的队伍间颜色不同的规则进行区域的划分。

根据每个队伍的总防御能力得分(DAS)对防御方队伍的屏幕展示区域，按照从左到右从上到下的规则排序，每一页固定显示9宫格队伍的实时进展，每个显示区域最大面积为A。每一页从第1名到第9名，各自实际显示区域面积依次递减以更好地体现当前页队伍排名的从高到低。记当前页第g个队伍的实际显示区域面积大小为S

图3为大屏可视化展示的示例，其中每个防御方队伍屏幕的可视化部分使用了不同的可视化图，不是每个队伍的可视化方法不一样，只是为了代表每个队伍可视化图是有在进度上是有区别的。

如图3所示，大屏为9个防御方队伍行为做可视化展示，参与演练的防御方队伍的操作行为可以在同一个大屏上显示。每个队伍的显示区域分为左右两个部分。左半部分显示队员的屏幕操作情况，若想重点看哪个队员的屏幕可以选择特定队员的屏幕点击放大查看，并进行实时的录屏，提供回放服务；右半部分为队伍演练过程中的能力可视化图，可选择队伍的某个成员或者某个队伍来查看对应的能力可视化图，能力可视化图由直方图、资产信息地图和饼图组成，直方图显示当前各项能力的总体进度，随着各防御方队伍的演练进度不断升高，若用户选中代表某一能力的直方图则通过饼图或资产信息收集地图显示此能力值的增长是通过哪些操作行为而增加的，饼图会显示每个操作所占总进度的比例，资产信息收集地图根据所提交的资产数据胎记，对相应的方块点亮。

其中资产信息收集能力、安全事件发现与业务恢复能力、系统加固能力和勘测取证和线索溯源能力通过直方图的形式展示，四种能力分别用不同的颜色来表示，各项能力的水平在演练中所获取到的信息和具体操作所决定，每个能力所做的详细操作以及得分计算在上述防御过程数据处理模块M20中已经详细阐述。

请参阅图4，资产信息收集能力可视化时，用户点击代表资产信息收集能力的矩形，显示区域会以两种方式来展示资产信息收集细节：资产信息收集地图和资产信息收集饼图。资产信息收集地图展示当前靶场中所有的资产信息，每个资产信息由一个方块代表，以方块点亮的方式来表现当前资产信息搜集的进度，已经被发现的信息方块点亮，没有被发现的信息方块不点亮，以此来展示当前的信息收集进度，图4为资产信息收集地图的可视化示例，每个方块代表一个有效的资产胎记数据，若演练者提交的资产胎记信息有效则点亮一个方块，其总进度为AICP；资产信息收集能力饼图显示收集的有效资产胎记数据占收集的总资产胎记数据的比值。

其中安全事件发现与业务恢复能力、系统加固能力以及勘测取证和线索溯源能力的可视化过程中均可以通过点击其所代表的矩形利用相应的饼图来展示所作的各项操作的详细信息。

如图5所示，其显示的是某个防御方队伍能力的直方图，利用直方图来表示防御方队伍的整体进度，每项能力会随时跟据防御方队伍的进展逐步变化，并且还可选择更换为队伍个人的能力直方图或者通过饼图和资产信息收集地图查看具体能力的详细进度。

用户点击某一个直方图的矩形，则显示详细的能力进度。例如，如图6所示，点击代表系统加固能力的矩形，即可通过相应的饼图显示此能力直方图中所有有效的具体操作行为，不同能力使用不同颜色表示。鼠标停留在某一个扇形中时，会显示当前操作所占总操作的进度，如下图7所示，选中代表配置文件查找操作的扇形，显示出此操作在系统加固能力中所占比重为17％，能清楚看到当前所作操作进度以及未完成进度。以上是以队伍整体能力举例，个人能力的可视化类似。

本发明实施例提供的漏洞靶场防御方演练过程可视化系统，实时可视化防御演练过程。将各个队伍队员的操作屏幕接入大屏，通过大屏实时展示化当前的队伍各个队员的操作状况，同时对队伍中各个队员的屏幕进行录制；通过直方图、饼图和资产信息收集地图来实时可视化队伍和个人各项能力水平和演练实时进展，便于比赛过程中的多个防御方各项能力的比较。在演练过程中对每个防御方队伍的操作进行录像和能力图可视化实时的生成，便于演练后对整个演练过程的复盘。

本实施例主要有以下三点优势。

第一，实现了防御方队伍的演练过程可视化。本实施例根据防御方的操作，可视化由过程到结果的过程，不是单纯分数的可视化，以演练过程为可视化的对象，通过饼图展示各防御方在演练过程中的操作表现。

第二，实现了演练队伍镜像隔离，互不影响。本实施例中不同防御方队伍独立且相互不可见、隔离靶标环境，在同一时刻会面临相同的攻击行为和攻击流量，可以同时对多个队伍能力进行横向比。

第三，实现了演练过程可复现。本实施例中对每支防御方队伍的队员的屏幕进行录像操作，不仅便于裁判和专家通过看回放对防御方队伍进行评价，也便于演练后的复盘，若对能力评价细节存在异议，演练人员可以通过录像回放来申请重新评判。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言，其与实施例公开的方法相对应，相关之处参见方法部分说明即可。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。