网络攻防过程的仿真建模方法、装置及网络回合制兵棋与流程

1.本技术涉及网络信息安全和仿真建模技术领域，特别是涉及一种网络攻防过程的仿真建模方法、装置及网络回合制兵棋。


背景技术：

2.网络空间作为一个新兴的作战域，既是连接陆、海、空、天等自然空间的枢纽空间，同时也是经济、金融、交通、社交等人类生产生活的信息承载空间，因此沿用兵棋推演来制定网络安全决策、通过网络攻防过程模拟系统来制定网络安全决策、推演网络空间对抗过程以及训练人员安全意识和技战术水平成为一种发展的趋势。
3.现存的网络仿真、网络演习或网络威胁建模，其体量较大、成本较高、可重复性差，难以满足操作人员进行大量可重复性实验提高操作技能、验证技战术攻防效果有效性、系统防护有效性、量化评估的要求。


技术实现要素：

4.基于此，有必要针对上述技术问题，提供一种网络攻防过程的仿真建模方法、装置及网络回合制兵棋。
5.一种网络攻防过程的仿真建模方法，所述方法包括：
6.获取网络攻防过程中对象之间的逻辑关系、对象的对象属性和数据属性；所述对象包括：攻击者、防御者、攻防步骤、攻击防御方式、攻击效果及资源消耗。
7.采用本体知识图谱对对象之间的逻辑关系进行建模。
8.采用实体知识图谱对对象的对象属性和数据属性进行建模，并建立所述本体知识图谱和实力知识图谱之间的关系。
9.基于洛克希德
·
马丁杀伤链模型及att&ck框架进行攻击建模。
10.根据建立的逻辑关系模型、对象属性模型、数据属性模型以及本体知识图谱和实例知识图谱之间的关系，构建网络攻防过程的仿真场景；
11.在所述仿真场景中，根据建立的攻击模型，采用动态推演的方式，得到网络攻防过程生命周期内的仿真交互数据。
12.在其中一个实施例中，基于洛克希德
·
马丁杀伤链模型及att&ck框架进行攻击建模，包括：
13.采用洛克希德
·
马丁杀伤链作为网络攻防的进攻路径，将攻防技战术采用杀伤链阶段及att&ck框架进行分类，相邻两个阶段设置6步，得到杀伤链阶段和对应的攻击防御方式。
14.将所述杀伤链阶段、攻击防御方式作为实例并设置相应的对象属性和数据属性，对本体进行一致性、完备性检测。
15.将洛克希德
·
马丁杀伤链、战术决策、攻防技战术、战术分类、攻击者所处杀伤链位置以及资源作为类设置于本体中，将战术使用阶段、攻击效果及资源消耗作为实例填充
至本体中，将本体文件作为模型配置文件。
16.在其中一个实施例中，在所述仿真场景中，根据建立的攻击模型，采用动态推演的方式，得到网络攻防过程生命周期内的仿真交互数据。步骤后还包括：
17.攻击者的身份、目标及本金并不对防御者公开，防御者面临的敌人和敌人的目的均是未知的。
18.攻击者和防御者均只能看到已经使用的攻击方式及防御方式，对对方手里还有的卡牌及剩余资金未知，双方基于不完备信息情况下，进行对抗博弈，回合制交替出牌，并进行记录。
19.在其中一个实施例中，所述对象还包括：裁判和其他人员。攻击者和防御者均只能看到已经使用的攻击方式及防御方式，对对方手里还有的卡牌及剩余资金未知，双方基于不完备信息情况下，进行对抗博弈，回合制交替出牌，并进行记录，步骤后还包括：
20.裁判及其他人员选择“观众”这一身份进入模拟系统，观看网络攻防推演全程，达到对参与者及观众都进行网络空间安全教育培训目的。
21.在其中一个实施例中，所述方法还包括：网络攻防模拟过程中，攻击者和防御者交替进行攻击和防御，每一次攻击或防御都可以根据更新的场上的信息调整自身策略。
22.一种网络攻防过程的仿真建模装置，所述装置包括：
23.仿真建模所需数据获取模块，用于获取网络攻防过程中对象之间的逻辑关系、对象的对象属性和数据属性；所述对象包括：攻击者、防御者、攻防步骤、攻击防御方式、攻击效果及资源消耗。
24.基于知识图谱的建模模块，用于采用本体知识图谱对对象之间的逻辑关系进行建模；采用实体知识图谱对对象的对象属性和数据属性进行建模，并建立所述本体知识图谱和实力知识图谱之间的关系。
25.攻防过程的建模模块，用于基于洛克希德
·
马丁杀伤链模型及att&ck框架进行攻击建模；根据建立的逻辑关系模型、对象属性模型、数据属性模型以及本体知识图谱和实例知识图谱之间的关系，构建网络攻防过程的仿真场景；
26.在所述仿真场景中，根据建立的攻击模型，采用动态推演的方式，得到网络攻防过程生命周期内的仿真交互数据。
27.一种网络回合制兵棋，所述网络回合制兵棋包括：
28.对网络回合制兵棋进行分解，得到网络攻防过程中对象之间的逻辑关系、对象的对象属性和数据属性；所述对象包括：攻击者、防御者、攻防步骤、攻击防御方式、攻击效果及资源消耗。
29.对所述网络攻防过程中对象之间的逻辑关系、对象的对象属性和数据属性采用上述任一所述网络攻防过程的仿真建模方法进行建模，得到网络回合制网络兵棋。
30.上述网络攻防过程的仿真建模方法、装置及网络回合制兵棋，所述方法包括：获取网络攻防过程中对象之间的逻辑关系、对象的对象属性和数据属性；所述对象包括：攻击者、防御者、攻防步骤、攻击防御方式、攻击效果及资源消耗；采用基于洛克希德
·
马丁杀伤链模型的攻击路径及att&ck框架进行网络攻防作战模拟，使用知识图谱作为数据结构组织方式，使参与者，即攻击者、防御者及观众能够学习网络攻击范式、了解攻击防御技术手段适用阶段及产生效果，最终达到教育培训目的，提高参与者对网络攻防安全意识及兴趣，为
攻防技战术效果评估提供了技术支撑。
附图说明
31.图1为一个实施例中网络攻防过程的仿真建模方法的流程示意图；
32.图2为一个实施例中网络攻防过程的仿真建模装置的结构框图；
33.图3为另一个实施例中回合制网络兵棋本体类设置流程；
34.图4为另一个实施例中回合制网络兵棋流程；
35.图5为一个实施例中动作选择流程。
具体实施方式
36.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
37.在一个实施例中，如图1所示，提供了一种网络攻防过程的仿真建模方法，该方法包括以下步骤：
38.步骤100：获取网络攻防过程中对象之间的逻辑关系、对象的对象属性和数据属性；对象包括：攻击者、防御者、攻防步骤、攻击防御方式、攻击效果及资源消耗。
39.步骤102：采用本体知识图谱对对象之间的逻辑关系进行建模。
40.步骤104：采用实体知识图谱对对象的对象属性和数据属性进行建模，并建立本体知识图谱和实力知识图谱之间的关系。
41.步骤106：基于洛克希德
·
马丁杀伤链模型及att&ck框架进行攻击建模。
42.步骤108：根据建立的逻辑关系模型、对象属性模型、数据属性模型以及本体知识图谱和实例知识图谱之间的关系，构建网络攻防过程的仿真场景。
43.步骤110：在所述仿真场景中，根据建立的攻击模型，采用动态推演的方式，得到网络攻防过程生命周期内的仿真交互数据。
44.交互数据指的是用户与后台的交互，用户在前端进行操作，前端返回用户操作，后台判断用户操作是否合理，并相应产生数据变化，包括用户所处位置、用户剩余资金等，返回给前端，用于页面展示，方便进行用户进行下一步操作。
45.上述网络攻防过程的仿真建模方法中，所述方法包括：获取网络攻防过程中对象之间的逻辑关系、对象的对象属性和数据属性；所述对象包括：攻击者、防御者、攻防步骤、攻击防御方式、攻击效果及资源消耗；采用网络回合制游戏的方式基于洛克希德
·
马丁杀伤链模型的攻击路径及att&ck框架进行网络攻防作战模拟，使用知识图谱作为数据结构组织方式，使游戏参与者，即攻击者、防御者及观众能够学习网络攻击范式、了解攻击防御技术手段适用阶段及产生效果，最终达到教育培训目的，提高参与者对网络攻防安全意识及兴趣，为攻防技战术效果评估提供了技术支撑。
46.在其中一个实施例中，步骤106还包括：采用洛克希德
·
马丁杀伤链作为网络攻防的进攻路径，将攻防技战术采用杀伤链阶段及att&ck框架进行分类，相邻两个阶段设置6步，得到杀伤链阶段和对应的攻击防御方式；将杀伤链阶段、攻击防御方式作为实例并设置相应的对象属性和数据属性，对本体进行一致性、完备性检测；将洛克希德
·
马丁杀伤链、
战术决策、攻防技战术、战术分类、攻击者所处杀伤链位置以及资源作为类设置于本体中，将战术使用阶段、攻击效果及资源消耗作为实例填充至本体中，将本体文件作为模型配置文件。
47.在其中一个实施例中，步骤106后还包括：攻击者的身份、目标及本金并不对防御者公开，防御者面临的敌人和敌人的目的均是未知的；攻击者和防御者均只能看到已经使用的攻击方式及防御方式，对对方手里还有的卡牌及剩余资金未知，双方基于不完备信息情况下，进行对抗博弈，回合制交替出牌，并进行记录。
48.在其中一个实施例中，对象还包括：裁判和其他人员。攻击者和防御者均只能看到已经使用的攻击方式及防御方式，对对方手里还有的卡牌及剩余资金未知，双方基于不完备信息情况下，进行对抗博弈，回合制交替出牌，并进行记录，步骤后还包括：裁判及其他人员选择“观众”这一身份进入模拟系统，观看网络攻防推演全程，达到对参与者及观众都进行网络空间安全教育培训目的。
49.在其中一个实施例中，该方法还包括：网络攻防模拟过程中，攻击者和防御者交替进行攻击和防御，每一次攻击或防御都可以根据更新的场上的信息调整自身策略。
50.应该理解的是，虽然图1的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图1中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
51.在一个实施例中，如图2示，提供了一种网络攻防过程的仿真建模装置，包括：仿真建模所需数据获取模块、基于知识图谱的建模模块和攻防过程的建模模块，其中：
52.仿真建模所需数据获取模块，用于获取网络攻防过程中对象之间的逻辑关系、对象的对象属性和数据属性；对象包括：攻击者、防御者、攻防步骤、攻击防御方式、攻击效果及资源消耗。
53.基于知识图谱的建模模块，用于采用本体知识图谱对对象之间的逻辑关系进行建模；采用实体知识图谱对对象的对象属性和数据属性进行建模，并建立本体知识图谱和实力知识图谱之间的关系。
54.攻防过程的建模模块，用于基于洛克希德
·
马丁杀伤链模型及att&ck框架进行攻击建模；根据建立的逻辑关系模型、对象属性模型、数据属性模型以及本体知识图谱和实例知识图谱之间的关系，构建网络攻防过程的仿真场景；在所述仿真场景中，根据建立的攻击模型，采用动态推演的方式，得到网络攻防过程生命周期内的仿真交互数据。
55.在其中一个实施例中，攻防过程的建模模块，还用于采用洛克希德
·
马丁杀伤链作为网络攻防的进攻路径，将攻防技战术采用杀伤链阶段及att&ck框架进行分类，相邻两个阶段设置6步，得到杀伤链阶段和对应的攻击防御方式；将杀伤链阶段、攻击防御方式作为实例并设置相应的对象属性和数据属性，对本体进行一致性、完备性检测；将洛克希德
·
马丁杀伤链、战术决策、攻防技战术、战术分类、攻击者所处杀伤链位置以及资源作为类设置于本体中，将战术使用阶段、攻击效果及资源消耗作为实例填充至本体中，将本体文件作为模型配置文件。
56.在其中一个实施例中，攻防过程的建模模块后还包括参与者之间数据权限限定模块，用于攻击者的身份、目标及本金并不对防御者公开，防御者面临的敌人和敌人的目的均是未知的；攻击者和防御者均只能看到已经使用的攻击方式及防御方式，对对方手里还有的卡牌及剩余资金未知，双方基于不完备信息情况下，进行对抗博弈，回合制交替出牌，并进行记录。
57.在其中一个实施例中，对象还包括：裁判和其他人员。参与者之间数据权限限定模块后，还用于裁判及其他人员选择“观众”这一身份进入模拟系统，观看网络攻防推演全程，达到对参与者及观众都进行网络空间安全教育培训目的。
58.在其中一个实施例中，该装置还包括攻防限定模块，用于网络攻防模拟过程中，攻击者和防御者交替进行攻击和防御，每一次攻击或防御都可以根据更新的场上的信息调整自身策略。
59.关于网络攻防过程的仿真建模装置的具体限定可以参见上文中对于网络攻防过程的仿真建模方法的限定，在此不再赘述。上述网络攻防过程的仿真建模装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
60.一种网络回合制兵棋，网络回合制兵棋包括：对网络回合制兵棋进行分解，得到网络攻防过程中对象之间的逻辑关系、对象的对象属性和数据属性；对象包括：攻击者、防御者、攻防步骤、攻击防御方式、攻击效果及资源消耗。
61.对网络攻防过程中对象之间的逻辑关系、对象的对象属性和数据属性采用上述任一网络攻防过程的仿真建模方法进行建模，得到网络回合制网络兵棋。
62.回合制网络兵棋将兵棋使用环境锁定于网络空间，采用的攻击方式与传统兵棋的大枪大炮不同，而是钓鱼邮件、tcp syn拒绝服务攻击、病毒木马等常见的网络攻击手段。但是网络兵棋也绝对不是孤立封闭的，在设计网络兵棋时必然也要考虑政治、经济、社会心理等方面的因素。同时，网络兵棋在企业攻防领域实践较多，以网络空间中攻防行动模拟结合现实世界中可能存在的社会、政治、舆论、心理等因素，营造真实氛围及环境，提高操作人员的实战能力和管理人员的指挥及应急管理能力，同时乐意作为商业软件进行推广，提高全社会的网络安全意识。
63.网络兵棋作为一个系统的、可重复的、可测量的网络战争游戏模型，对作战方案可以进行即时反馈，也可以通过大量重复性实验对方案改善效果进行验证评估，为操作人员提供额外的练习机会。
64.网络兵棋可以作为网络攻防的体现形式，以其沉浸式体验、成本低等的优点，应用于网络空间攻防作战模拟。通过网络兵棋进行验证的有效防御手段同样可以使用在网络攻防演习中。同时经过网络兵棋推演训练的专业人才及相关导演、裁决经验可以为网络攻防演习提供人才储备及规则维护经验。当将网络空间相关演习进行任务分解时，每一个小任务或场景都可以视作一个网络兵棋推演进行。
65.该回合制网络兵棋可以为网络安全教育培训、大型军事演习网络空间体现、网络攻击防御技战术评估等提供技术支撑。
66.在另一个实施例中，提供了一种网络回合制兵棋游戏的建模步骤：
67.步骤1：对网络兵棋要素进行分析，整体化的网络攻防建模，从网络攻防的角度对攻防过程中存在的要素及发挥关键性能的属性进行建模，如攻击者、防御者、攻防步骤、攻击防御方式、效果及资源消耗等进行建模，考虑全面，每一次推演都是对一个完整的网络攻击过程的抽象。
68.步骤2：采用知识图谱作为数据组织形式，对网络攻防过程进行抽象建模，梳理其中的逻辑关系，在本体之中表达各种类之间的逻辑关系，将杀伤链阶段、攻击防御方式作为实例并设置相应的对象属性和数据属性，对本体进行一致性、完备性检测。
69.步骤3：采用洛克希德
·
马丁杀伤链作为该兵棋游戏进攻路径，将攻防战技采用杀伤链阶段及att&ck框架进行分类，相邻两个阶段设置6步，代表需要采取一定的措施才能到达。
70.步骤4：将杀伤链、战术决策、攻击防御战术、战术分类、攻击者所处杀伤链位置及资金等作为类设置于本体中，将战术使用阶段、攻击效果及成本消耗作为实例填充至本体中，将本体文件作为游戏配置文件，方便进行下一步游戏深化。
71.步骤5：攻击者的身份、目标及本金并不对防御者公开，防御者面临的敌人和敌人的目的均是未知的；双方都只能看到已经使用的攻击方式及防御方式，对对方手里还有的卡牌及剩余资金未知，双方基于不完备信息情况下，进行对抗博弈，回合制交替出牌，并进行记录。
72.步骤6：裁判及其他人员可以选择“观众”这一身份进入游戏，以上帝视角观看兵棋推演全程，达到对游戏参与者及观众都进行网络空间安全教育培训目的。
73.步骤7：交互式对抗博弈网络作战模拟，双方交替出牌，每一次出牌都可以根据更新的场上的信息调整自身策略。
74.在另一个实施例中，采用知识图谱进行网络兵棋构建时，采用protage作为本体创建工具。进行本体构建时，需要有的概念包括目的和目标、游戏玩家的角色、杀伤链阶段、战术类型、采取的动作、资金及所处的位置，并设置相关的数据属性和对象属性，定义相应的游戏规则。本体类的设置流程如图3所示。
75.根据回合制网络兵棋设置，攻击动作中共设置了53个实例at001
‑
at053，防御动作共设置了54个实例dt001
‑
dt053。
76.类的描述如下：
77.位置＝{下一位置，当前位置}
78.动作＝{攻击动作，防御动作}
79.战术＝{主机枚举，凭证访问，快照，持久化，指挥控制战技，机会网络，权限提升，横向移动}
80.角色＝{攻击者角色，防御者角色}
81.资金＝{当前资金，剩余资金}
82.网络杀伤链阶段＝{目标达成,指挥与控制,武器投递,漏洞利用,安装植入,侦查跟踪,武器构建}
83.攻击者目标＝{共享空间,拒绝服务,数据污染,数据泄露,植入,窃取数据,网络破坏,网络羞辱,虚假数据,软件勒索,金钱勒索}
84.备注：网络羞辱是指散播谣言或他人负面新闻，煽动群众进行网络暴力，造成人员
心里创伤、生活停摆；散布社会流言或社会知名人士团体丑闻，造成公信力丧失甚至产生社会动荡。
85.对象属性设置如下：
86.takeaction(a,x)角色a采取动作x
87.utilizedin(x,y)动作x使用于网络杀伤链阶段y
88.belongto(z,y)位置z位于杀伤链阶段y
89.locatedin(a,z)角色a位于z位置
90.proposeof(b,a)目的b是角色a在本次网络攻击中需要达成的目标
91.precede(c,d)杀伤链阶段c位于杀伤链阶段d的前面
92.数据属性设置如下：
93.cost(x,c)使用动作x的费用为c
94.currentcapital(a,m)角色a的当前资金为m
95.moves(x,n)使用动作x后向前或后移动n步
96.movesround(x,r)动作x可以发挥效果的轮数r
97.principal(a,p)角色a的本金为p
98.restcapital(a,rp)角色a的剩余资金为rp
99.step(z,s)位置z属于s阶段
100.upkeep(x,u)动作x可以持续使用的轮数中的移动步数u
101.upkeepround(x,ur)动作x可以持续使用的轮数
102.win(a)角色a成功或者失败
103.采用swrl语言对本体进行结构化描述。
104.网络杀伤链阶段之间存在先后关系：
105.网络杀伤链阶段(？a),网络杀伤链阶段(？b),differentstage(？a,？b)
‑
>precede(？a,？b)or precede(？b,？a)
106.防御者只能采取防御动作：
107.防御者角色(？x),动作(？y),takeaction(？x,？y)
‑
>防御动作(？y)
108.攻击者只能采取攻击动作：
109.攻击者角色(？x),动作(？y),takeaction(？x,？y)
‑
>攻击动作(？y)
110.所处的位置为目标达成时，攻击者获胜：
111.belongto(？x,目标达成),下一位置(？x)
‑
>win(？x,true)
112.角色采取某一合法措施后，攻击者移动相应步数：
113.下一位置(？np),belongto(？np,？st),角色(？x),moves(？a,？m),当前位置(？p),takeaction(？x,？a),locatedin(？x,？p),动作(？a),step(？p,？s),swrlb:add(？ns,？s,？m),belongto(？p,？st)
‑
>step(？np,？ns)
114.角色(？x),belongto(？np,？st1),swrlb:subtract(？ns1,？ns,6),locatedin(？x,？p),动作(？a),step(？p,？s),swrlb:add(？ns,？s,？m),下一位置(？np),differentfrom(？st,？st1),当前位置(？p),moves(？a,？m),takeaction(？x,？a),belongto(？p,？st)
‑
>step(？np,？ns1)
115.角色采取某一措施后，资金由当前资金变为剩余资金：
116.剩余资金(？z),takeaction(？r,？a),动作(？a),角色(？r),swrlb:add(？ry,？y,？
‑
c),当前资金(？y),cost(？a,？c),剩余资金(？ry)
‑
>剩余资金(？ry)
117.剩余资金为0且攻击者所处的位置不是目标达成时，攻击者失败：
118.剩余资金(？ry),攻击者角色(？x),swrlb:equal(？ry,0),当前位置(？p),differentfrom(？p,目标达成)
‑
>win(？x,false)
119.剩余资金为小于0且攻击者所处的位置不是目标达成时，攻击者失败：
120.剩余资金(？ry),攻击者角色(？x),swrlb:lessthan(？ry,0),当前位置(？p),differentfrom(？p,目标达成)
‑
>win(？x,false)
121.回合制网络兵棋的其他规则描述：兵棋开始时，玩家首先选择身份为“攻击者”、“防御者”、“观众”。观众以“上帝视角”观看游戏进行，攻击者选择自己的目标，攻击者与防御者初始均有系统随机发放的7张牌，攻击者的身份与目标对于防御者来说是未知的，双方的手牌对于对方都是未知的。双方交替出牌，攻击者只能攻击动作、防御者只能使用防御动作，当一方选择一张牌时，选择“出牌”时，系统会判断被选择的牌是否能适用于当前阶段，若能使用则可以出牌，攻击者前进或后退该牌对应的步数；若不能使用，则会提示“请选择对应阶段的卡牌”，此时可以重新选择卡牌。若手中卡牌全部不可以用于该阶段，玩家可以选择一张牌，点击“替换”，系统会将该牌替换成动作库中随机一张牌，可以多次进行替换。若玩家出于成本、战术等考虑，决定本轮不出牌，则可以选择“跳过”按钮，跳过本轮出牌，由另一方进行出牌。当攻击者到达终点，或攻击者的金钱消耗完毕或双方中任意一方行动次数超过50次，游戏结束，根据规则判定输赢。系统会在游戏过程中记录双方行动并反映在日志中，玩家可以根据日志复盘游戏行动，得到整体提高，兵棋流程如图4所示，动作选择流程如图5所示。
122.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
123.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。