(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111399754.5 (22)申请日 2021.11.19 (71)申请人 北京灰度科技有限公司 地址 101106 北京市通州区经济开发区东 区靓丽三街9号-20 63 (72)发明人 曹静　张敬宇　朱博　 (74)专利代理 机构 北京华专卓 海知识产权代理 事务所(普通 合伙) 11664 代理人 王一 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 基于旁路攻击模拟的网络防御体系风险评 估方法 (57)摘要 本公开的实施例提供了基于旁路攻击模拟 的网络防御体系风险评估 方法及装置。 所述方法 包括管理平台向攻击模拟发起单元发送攻击指 令； 所述攻击模拟发起单元根据所述攻击指令生 成探测流量并发送给对应的攻击接收单元； 所述 攻击接收单元接收并所述识别攻击模拟发起单 元生成并发送的探测流量； 管 理平台根据攻击模 拟发起单元生成 并发送的探测流量， 以及攻击接 收单元接收并识别的探测流量， 对网络安全风险 情况进行评估。 以此方式， 可以不进行组织实际 资产入侵的情况下， 覆盖外网边界突破、 内网资 产漏洞利用、 横向移动、 主机入侵、 数据外泄整改 攻击过程， 能够达到和资产入侵评估一样的网络 纵深体系风险评估效果。 权利要求书1页 说明书7页 附图2页 CN 114124531 A 2022.03.01 CN 114124531 A 1.一种基于旁路攻击模拟的网络防御体系风险评估方法， 包括： 管理平台向攻击模拟发起单 元发送攻击指令； 所述攻击模拟发起单元根据所述攻击指令生成探测流量并发送给对应的攻击接收单 元； 所述攻击接收单元接收并所述识别攻击模拟发起单 元生成并发送的探测流 量； 管理平台根据攻击模拟 发起单元生成并发送的探测流量， 以及攻击接收单元接收并识 别的探测流 量， 对网络安全风险情况进行评估。 2.根据权利要求1所述的方法， 其中， 所述 攻击指令包括： 攻击接收单元的地址信息、 攻击所采用的载荷。 3.根据权利要求2所述的方法， 其中， 所述方法还 包括： 管理平台向攻击 接收单元发送接包指令； 所述攻击接收单元接收并所述识别攻击模拟发起单 元生成并发送的探测流 量包括： 所述攻击接收单元根据所述接包指令接收并所述识别攻击模拟发起单元生成并发送 的探测流 量。 4.根据权利要求3所述的方法， 其特征在于， 所述接包指令包括： 攻击模拟发起单元的 地址信息、 攻击所采用的载荷。 5.根据权利要求1所述的方法， 其特 征在于， 根据待评估风险类型， 对所述 攻击模拟发起单 元及所述 攻击接收单元进行预先部署。 6.根据权利要求3所述的方法， 其特 征在于， 所述攻击模拟发起单 元接收所述 攻击指令， 对所述 攻击指令进行身份认证； 和/或 所述攻击接收单元接收所述接包指令， 对所述接包指令进行身份认证。 7.一种电子设备， 包括： 至少一个处 理器； 以及 与所述至少一个处 理器通信连接的存 储器； 其中， 所述存储器存储有可被所述至少一个处理器执行的指令， 所述指令被所述至少一个处 理器执行， 以使所述至少一个处 理器能够执 行权利要求1 ‑6中任一项所述的方法。 8.一种存储有计算机指令的非瞬时计算机可读存储介质， 其中， 所述计算机指令用于 使所述计算机执 行根据权利要求1 ‑6中任一项所述的方法。权　利　要　求　书 1/1 页 2 CN 114124531 A 2基于旁路攻 击模拟的网络防御体系风险评估方 法 技术领域 [0001]本公开涉及网络安全领域， 尤其涉及基于旁路攻击模拟的网络防御体系风险评估 技术领域。 背景技术 [0002]在现有的网络防御体系风险评估方法中， 一般采用人工方式对构建的模拟环境进 行攻击或对实际网络环境进行小范围攻击渗透测试的手段， 以评估防御体系威胁对抗能 力； 或通过系统收集各类安全技术手段 的运行结果日志进行事后性的分析， 来评估网络风 险水平， 如IPS、 WAF、 FW等安全防护设备日志、 威胁流量检测、 APT检测、 XDR等检测响应类系 统。 [0003]但是， 对于构建的模拟环境， 很难完整模拟实际网络环境， 并且， 构建模拟环境会 耗费大量人力物力以及时间， 一般只能针对较小较简单的环 境/场景进 行模拟； 对于实际网 络环境进行攻击， 用户很难接受， 也很有可能对实际网络环境中的系统、 资产造成损害； 而 对于事后分析， 无法满足事前评估的需求。 发明内容 [0004]本公开提供了一种基于旁路攻击模拟的网络防御体系风险评估方法、 设备以及存 储介质。 [0005]根据本公开的第一方面， 提供了一种基于旁路攻击模拟的网络防御体系风险评估 方法。 该方法包括： 管理平台 向攻击模拟发起单元发送攻击指 令； 所述攻击模拟发起单元根 据所述攻击指 令生成探测流量并发送给对应的攻击接收单元； 所述攻击接收单元接收并所 述识别攻击模拟发起单元生成并发送的探测流量； 管理平台根据攻击模拟发起单元生成并 发送的探测流量， 以及攻击接 收单元接 收并识别的探测流量， 对网络安全风险情况进行评 估。 [0006]如上所述的方面和任一可能的实现方式， 进一步提供一种 实现方式， 所述攻击指 令包括： 攻击 接收单元的地址信息、 攻击所采用的载荷。 [0007]如上所述的方面和任一可能的实现方式， 进一步提供一种 实现方式， 所述方法还 包括： 管理平台向攻击接 收单元发送接包指令； 所述攻击接 收单元接 收并所述识别攻击模 拟发起单元生成并发送的探测流量包括： 所述攻击接收单元根据所述接包指令接收并所述 识别攻击模拟发起单 元生成并发送的探测流 量。 [0008]如上所述的方面和任一可能的实现方式， 进一步提供一种 实现方式， 所述接包指 令包括： 攻击模拟发起单 元的地址信息、 攻击所采用的载荷f。 [0009]如上所述的方面和任一可能的实现方式， 进一步提供一种 实现方式， 根据待评估 风险类型， 对所述 攻击模拟发起单 元及所述 攻击接收单元进行预先部署。 [0010]如上所述的方面和任一可能的实现方式， 进一步提供一种 实现方式， 所述攻击模 拟发起单元接收所述攻击指 令， 对所述攻击指 令进行身份认证； 和/或所述攻击接收单元接说　明　书 1/7 页 3 CN 114124531 A 3