(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211442908.9 (22)申请日 2022.11.18 (71)申请人 网络通信与安全紫金山实验室 地址 211111 江苏省南京市江宁区秣周东 路9号 申请人 国家数字交换系统工程 技术研究中 心 (72)发明人 伊鹏　卜佑军　马海龙　邬江兴　 张进　胡先君　陈韵　江逸茗　 周锟　张鹏　陈博　陈祥　陈垚　 刘慧　王涵　蔡翰智　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 张晓霞(51)Int.Cl. H04L 9/40(2022.01) H04L 41/044(2022.01) H04L 41/0895(2022.01) H04L 43/0876(2022.01) (54)发明名称 用于测试防御技术的试验场平台和防御技 术的测试方法 (57)摘要 本发明提供一种用于测试防御技术的试验 场平台和防御技术的测试方法， 应用于网络安全 技术领域， 该试验场平台包括： 基础互联层， 用于 基于试验场的基础设施， 构建试验场的基础环 境， 并为所要搭建的目标场景提供互联功能； 虚 实网元层， 用于提供多类网元设备， 网元设备包 括搭建目标场景所需要的设备； 场景构建层， 用 于基于基础 环境和互联功能， 采用网元设备构建 目标场景， 并将目标场景中的网元设备和链路资 源， 映射为实际网元设备和实际链路资源； 测试 评估层， 用于基于实际网元设备和实际链路资 源， 对目标场景进行测试， 得到目标防御技术的 评估结果。 本发 明可以实现为拟态防御技术的测 试提供安全稳定环境的试验场平台的目的。 权利要求书2页 说明书15页 附图5页 CN 115499253 A 2022.12.20 CN 115499253 A 1.一种用于测试防御技 术的试验场平台， 其特 征在于， 包括： 基础互联层， 用于基于试验场的基础 设施， 构建所述试验场的基础环境， 并为所要搭建 的目标场景提供互联功能， 所述目标场景为在所述试验场中测试目标防御技 术的场景； 虚实网元层， 用于提供多类网元设备， 所述网元设备包括搭建所述目标场景所需要的 设备， 所述网元设备包括 实体网元设备、 仿 真网元设备、 虚拟网元设备、 拟态防御设备、 接入 的外部系统和/或设备中的至少一个； 场景构建层， 用于基于所述基础环境和所述互联功能， 采用所述网元设备构建所述目 标场景， 并将所述 目标场景中的所述网元设备和链路资源， 映射为实际网元设备和实际链 路资源； 测试评估层， 用于基于所述实 际网元设备和所述实 际链路资源， 对所述目标场景进行 测试， 得到所述目标防御技 术的评估结果。 2.根据权利要求1所述的用于测试防御技术的试验场平台， 其特征在于， 所述基础互联 层， 还用于提供异构硬件资源和在所述异构 硬件资源上采用多种虚拟化技术构建的多个异 构环境， 以将所述目标场景中的多个设备节点部署在所述多个异构环境中进行测试。 3.根据权利要求1或2所述的用于测试防御技术的试验场平台， 其特征在于， 所述基础 设施包括计算设备、 存 储设备、 网络设备和拟态防御设备。 4.根据权利要求1或2所述的用于测试防御技术的试验场平台， 其特征在于， 所述虚实 网元层包括外 部接入接口、 虚实网元库和拟态部件库； 所述外部接入接口， 用于提供接入外 部系统和设备的能力； 所述虚实网元库， 用于提供实体网元设备、 仿真网元设备和虚拟网元设备， 所述仿真网 元设备包括对所述目标场景中的业务流量和网络协 议进行模拟后得到的网元设备， 所述虚 拟网元设备包括基于虚拟化 技术构建的网元设备； 所述拟态部件库， 用于基于所述目标场景的测试需求， 构建所述拟态防御设备。 5.根据权利要求1或2所述的用于测试防御技术的试验场平台， 其特征在于， 所述测试 评估层包括 业务模拟子系统、 数据采集子系统和 测试分析子系统； 所述业务模拟子系统， 用于生成对实 际网络进行测试所需要的多种类型的业务流量， 所述业务流量包括攻击流量和/或背景流量， 所述实际网络中包括所述实际网元设备和所 述实际链路资源； 所述数据采集子系统， 用于采集基于所述业务流量对所述实 际网络进行测试时， 所述 实际网络中的数据， 所述数据包括 流量和状态信息； 所述测试分析子系统， 用于基于采集的数据， 对部署在所述目标场景中的所述目标防 御技术进行评估。 6.根据权利要求5所述的用于测试防御技术的试验场平台， 其特征在于， 所述测试分析 子系统， 具体用于： 基于所述目标场景， 构建所述 目标防御技术对应的层次化指标集， 并基 于所述采集的数据， 对所述层次化指标集中的多个指标对应的数据进行归一化处理， 基于 归一化处理后的数据以及各指标对应的权重， 确定所述目标防御技术的评估结果， 其中， 所 述层次化指标集中包括多个层级的指标， 后一层级的指标为前一层级指标的子指标。 7.根据权利要求1或2所述的用于测试防御技术的试验场平台， 其特征在于， 还包括： 资 源管理模块、 数据维护模块、 可视化展示模块和风险控制模块；权　利　要　求　书 1/2 页 2 CN 115499253 A 2所述资源管理模块， 用于对用户信 息、 所述网元设备和外部资源进行管理， 所述外部资 源包括接入外 部的系统和/或设备； 所述数据维护模块， 用于维护所述试验场运行 所需要的数据； 可视化展示模块， 用于显示所述目标场景的测试信息、 所述评估结果和所述试验场的 数据； 所述风险控制模块， 用于抵御对所述目标防御技术的测试过程中所述试验场 面临的安 全威胁。 8.一种防御技 术的测试 方法， 其特 征在于， 包括： 构建试验场的基础环境， 并为所要搭建的目标场景提供互联功能， 所述目标场景为在 所述试验场中测试目标防御技 术的场景； 基于所述基础环境和所述互联功能， 调度多类网元设备， 以搭建目标场景， 并将所述目 标场景中的所述网元设备和链路资源， 映射为实际网元设备和实际链路资源， 所述网元设 备包括实体网元设备、 仿 真网元设备、 虚拟网元设备、 拟态防御设备、 接入的外部系统和/或 设备中的至少一个； 基于所述实 际网元设备和所述实 际链路资源， 对所述目标场景进行测试， 得到所述目 标防御技 术的评估结果。 9.根据权利要求8所述的防御技 术的测试 方法， 其特 征在于， 所述方法还 包括： 生成对实际网络进行测试所需要的多种类型的业务流量， 所述业务流量包括攻击流量 和/或背景流 量， 所述实际网络中包括所述实际网元设备和所述实际链路资源； 采用所述业务流量对所述实际网络进行测试的过程中， 通过探针实时采集所述实际网 络中的数据， 所述数据包括 流量和状态信息； 基于采集的数据， 对部署在所述目标场景中的所述目标防御技 术进行评估。 10.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算 机程序被处 理器执行时实现如权利要求8或9所述防御技 术的测试 方法。权　利　要　求　书 2/2 页 3 CN 115499253 A 3