CN103701777B - 基于虚拟化和云技术的远程网络攻防虚拟仿真系统 - Google Patents
基于虚拟化和云技术的远程网络攻防虚拟仿真系统 Download PDFInfo
- Publication number
- CN103701777B CN103701777B CN201310671253.7A CN201310671253A CN103701777B CN 103701777 B CN103701777 B CN 103701777B CN 201310671253 A CN201310671253 A CN 201310671253A CN 103701777 B CN103701777 B CN 103701777B
- Authority
- CN
- China
- Prior art keywords
- module
- network
- virtual
- cloud
- defending
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
基于虚拟化和云技术的远程网络攻防虚拟仿真系统,涉及信息安全和实验系统远程共享领域;解决了现有网络攻防虚拟仿真系统无法远程共享和构建的网络拓扑结构及攻防场景单一的问题,提出了利用虚拟化和云技术,在云存储上创建虚拟攻击机实例和虚拟靶机实例,为虚拟攻击机实例和虚拟靶机实例配置网络连接设备和网络防护设备,构建出多样化的网络拓扑结构和攻防场景供用户开展攻防实验;包括远程接入控制模块、实验配置模块、虚拟攻击机云模块、虚拟靶机云模块、监控中心模块、扩展设备配置模块和管理中心模块;同时允许用户通过VPN远程使用该虚拟仿真系统,避免了攻防虚拟仿真系统的重复投资建设,提高了实验设备的利用率。
Description
技术领域
本发明涉及信息安全和实验系统远程共享领域,具体涉及网络攻击和防护的虚拟仿真实验系统的配置、运行和共享。
背景技术
网络攻防技术本身所具有的特殊性和破坏性,使得对它的教学和研究难以在真实的网络环境完成。目前开展网络攻防的教学和研究工作一般都是在一个独立的网络中利用硬件设备搭建物理实验环境或者采用虚拟仿真技术模拟真实网络环境。其中前者对实验室的投资提出了更高的要求,一般的高校和研究机构难以承担如此庞大的费用,而且在攻防实验所需的网络规模大和网络结构复杂时,在实验室里无法搭建物理实验环境,尤其是在真实的网络中设置网络漏洞会带来巨大风险,因此目前的网络攻防实验大多采用虚拟仿真技术来完成。
申请专利号201310157537.4,发明名称《基于攻防教学实训平台上统一管理虚拟机的装置》,该发明能统一管理平台上的虚拟机,实现虚拟机的一键还原,每名学生利用两台虚拟主机进行实践攻防教学。申请专利号200710056313.9,发明名称为《网络信息安全教学实验装置》,该仿真系统具有交换机模式和防火墙两种工作模式来模拟不同的网络环境,利用学生计算机上配置的虚拟机完成网络信息安全实验。
已有的基于虚拟仿真技术的网络攻防教学和培训产品,对网络攻防的实验、教学和研究起到了良好的推动作用,但也存在一些问题:由于真实网络环境的复杂性和多样性,仅依靠虚拟化技术或硬件设备,难以实现对多样化的网络拓扑结构和攻防场景的模拟;不能通过网络远程开展攻防实验,实验设备利用率较低。
发明内容
本发明为解决现有网络攻防虚拟仿真系统无法远程共享和构建的网络拓扑结构及攻防场景单一的问题,提供一种基于虚拟化和云技术的远程网络攻防虚拟仿真系统。
基于虚拟化和云技术的远程网络攻防虚拟仿真系统,包括远程接入控制模块、实验配置模块、虚拟攻击机云模块、虚拟靶机云模块、监控中心模块和管理中心模块;
管理员通过所述管理中心模块设置虚拟仿真系统的实验类别,所述管理中心模块用于维护使用所述虚拟仿真系统的网络用户的帐号信息,配置网络用户操作的实验类别;管理员按照实验类别维护虚拟攻击机云模块内的操作系统镜像文件和攻击工具以及虚拟靶机云模块内的具有操作系统漏洞和应用软件漏洞的操作系统镜像文件;
所述网络用户通过远程接入控制模块连接到所述虚拟仿真系统,并按照管理中心模块提供的实验类别进行攻防实验;
所述实验配置模块允许网络用户设置所要创建的虚拟攻击机实例和虚拟靶机实例的实验类别,配置虚拟攻击机实例和虚拟靶机实例的网络拓扑结构;
所述虚拟攻击机云模块利用虚拟化和云技术,根据实验配置模块设置的实验类别,创建安装了相应攻击工具的Windows或Linux操作系统虚拟攻击机实例;
所述虚拟靶机云模块利用虚拟化和云技术,根据实验配置模块设置的实验类别,创建具有相应操作系统漏洞和应用软件漏洞的Windows或Linux操作系统虚拟靶机实例;
监控中心模块自动捕获虚拟攻击机云模块和虚拟靶机云模块之间通信的网络数据包,网络用户下载虚拟攻击机实例和虚拟靶机实例之间通信的网络数据包。
本发明的有益效果:基于虚拟化技术和云技术,在网络云存储上创建配置了攻击工具的虚拟攻击机实例和配置了防护工具的虚拟靶机实例,模拟真实的网络攻击和防护环境;提供扩展设备配置模块,允许网络用户为虚拟攻击机实例和虚拟靶机实例配置路由器、交换机等网络连接设备,为虚拟攻击机实例配置防火墙和入侵检测系统网络防护设备,构建多样化的网络拓扑结构和攻防场景;网络用户可以下载实验过程中自己建立的虚拟攻击机实例和虚拟靶机实例之间通信的网络数据包、虚拟攻击机实例和虚拟靶机实例的主机日志、攻击工具和防护工具的应用软件日志供其分析;同时提供远程接入控制功能,允许网络用户远程使用该虚拟仿真系统,实现了攻防系统的远程共享,避免了攻防系统重复投资建设,提高了实验设备的利用率。
附图说明
图1为本发明所述的基于虚拟化和云技术的远程网络攻防虚拟仿真系统的结构框图;
图2为本发明所述的基于虚拟化和云技术的远程网络攻防虚拟仿真系统的硬件结构;
图3为本发明所述的基于虚拟化和云技术的远程网络攻防虚拟仿真系统的工作流程图。
具体实施方式
具体实施方式一、结合图1至图3说明本实施方式,基于虚拟化和云技术的远程网络攻防虚拟仿真系统,包括远程接入控制模块、虚拟攻击机云模块、虚拟靶机云模块、监控中心模块、管理中心模块和实验配置模块;
所述管理中心模块允许管理员维护可以连接到虚拟仿真系统的帐号信息,包括用户名、初始密码和可以操作的实验类别;按照实验类别维护位于虚拟攻击机云模块内的Windows和Linux操作系统镜像文件和端口扫描工具、SQL注入工具、网络嗅探器、木马植入工具、远程控制工具、跨站脚本攻击工具、DDos攻击工具和密码破解攻击工具;按照实验类别维护位于虚拟靶机云模块内具有操作系统漏洞和应用软件漏洞的Windows和Linux操作系统镜像文件;
所述虚拟攻击机云模块利用虚拟化和云技术,根据在实验配置模块中设置的实验类别,利用安装了相应攻击工具的Windows或Linux操作系统镜像文件,创建虚拟攻击机实例。
所述虚拟靶机云模块利用虚拟化和云技术,根据实验配置模块中设置的实验类别,利用具有相应操作系统漏洞和应用软件漏洞的Windows或Linux操作系统镜像文件,创建虚拟靶机实例,并可根据实验类别,为虚拟靶机实例安装主机安全加固、蜜罐、防火墙和入侵检测防护工具;
所述实验配置模块允许网络用户设置实验类别,配置虚拟攻击机实例和虚拟靶机实例的IP地址、子网掩码、默认网关和DNS服务器;
所述监控中心模块自动捕获流经虚拟攻击机云模块和虚拟靶机云模块之间的网络数据包,实验完成后,允许网络用户下载流经自己建立的虚拟攻击机实例和虚拟靶机实例之间的网络数据包;
所述扩展设备配置模块允许网络用户为虚拟攻击机实例和虚拟靶机实例配置交换机和路由器网络连接设备构建多样化的网络拓扑结构;允许网络用为虚拟靶机实例配置防火墙和入侵检测系统网络防护设备构建多样化的攻防场景。
本实施方式所述网络用户包括局域网用户或互联网用户,通过局域网或互联网连接到该虚拟仿真系统,并使用该虚拟仿真系统进行网络攻防实验的学生或研究人员。
具体实施方式二、结合图2和图3说明本实施方式,本实施方式为具体实施方式一所述的基于远程网络攻防的虚拟仿真系统的实施例:本实施例中涉及的硬件设备包括VPN网关、交换机、防火墙、应用服务器、第一网络云存储和第二网络云存储。
应用服务器连接第一网络云存储、第二网络云存储和交换机,安装了Ubuntu操作系统、Opeanstatck、JDK、Apache Tomcat和Mysql,部署了JSP/Servlet程序,包括如图1所示的远程接入控制模块、虚拟攻击机云模块、虚拟靶机云模块、监控中心模块、管理中心模块、实验配置模块和扩展设备配置模块。
第一网络云存储通过防火墙连接到交换机,其中防火墙是可选的网络防护设备,也可以用其它网络防护设备替代防火墙或者直接连接到交换机,此处使用防火墙是为了配置多样化的网络防护环境;第一网络云存储中保存着具有操作系统漏洞和应用软件漏洞的操作系统镜像文件,利用这些镜像文件可以创建出64台Windows或Linux虚拟靶机实例。
第二网络云存储直接连接到交换机,保存着安装了攻击工具的操作系统镜像文件,利用这些镜像文件可以创建出64台Windows或Linux虚拟攻击机实例。
互联网用户通过VPN网关连接到该虚拟仿真系统,局域网用户通过交换机连接到该虚拟仿真系统。
结合图3说明本实施方式,本系统进行平台初始化时,管理员维护帐号信息库,包括用户名、口令和可以操作的实验类别,为帐号在第一和第二网络云存储中分配磁盘空间,指定用户可以操作的实验类别。
管理员维护第一网络云存储中的虚拟靶机Windows和Linux操作系统镜像文件库,维护第二网络云存储中的虚拟攻击机Windows和Linux操作系统镜像文件库。
管理员维护在虚拟攻击机实例上使用的攻击软件工具和虚拟靶机实例上使用的漏洞库资源。
局域网用户提供正确的用户名和口令直接连接到该虚拟仿真系统;互联网用户利用Openvpn软件工具,提供正确的用户名和口令,通过VPN建立和该虚拟仿真系统的连接。
局域网和互联网用户连接到该虚拟仿真系统后,可以使用管理员预先为其分配好的位于第一网络云存储和第二网络云存储上的磁盘空间。
局域网和互联网用户根据实验类别,选择相应的虚拟攻击机镜像文件和虚拟靶机镜像文件,在自己所属磁盘空间内创建虚拟攻击机实例和虚拟靶机实例。
局域网和互联网用户配置虚拟攻击机实例和虚拟靶机实例的IP地、子网掩码、默认网关和DNS服务器,建立虚拟攻击机实例和虚拟靶机实例之间的网络连接。
局域网和互联网用户登录到自己创建的虚拟靶机实例内,利用第一网络云存储上提供的具有安全漏洞的软件配置虚拟靶机实例,使其具备被攻击的条件。
局域网和互联网用户登录到自己创建的虚拟攻击机实例内,利用第二网络云存储上提供的攻击工具配置虚拟攻击机实例使其具备攻击能力。
局域网和互联网用户可以根据实验需要,自行在虚拟攻击机实例上安装其它攻击工具和在虚拟靶机实例上安装其它防护工具。
为了真实模拟复杂的网络环境,局域网和互联网用户可以为虚拟靶机实例配置防火墙,将虚拟靶机实例纳入防火墙的安全防护范围内。
用户登录到虚拟攻击机实例内,利用所配置的攻击工具对虚拟靶机实例发动网络攻击。
监控中心模块捕获流经虚拟攻击机实例和虚拟靶机实例之间的网络数据包,保存虚拟攻击机实例和虚拟靶机实例的操作系统日志和相关软件工具的日志。
网络用户可随时下载由监控中心模块捕获流经虚拟攻击机实例和虚拟靶机实例的网络数据包和主机日志,供其分析实验结果。实验完成后用户可以关闭虚拟攻击机实例和虚拟靶机实例。所述的监控中心模块会自动监控长时间内没有活动的虚拟攻击机实例和虚拟靶机实例,将其关闭以释放资源。
Claims (4)
1.基于虚拟化和云技术的远程网络攻防虚拟仿真系统,包括远程接入控制模块、实验配置模块、虚拟攻击机云模块、虚拟靶机云模块、监控中心模块和管理中心模块;其特征是:
管理员通过所述管理中心模块设置虚拟仿真系统的实验类别,所述管理中心模块用于维护使用所述虚拟仿真系统的网络用户的帐号信息,配置网络用户操作的实验类别;管理员按照实验类别维护虚拟攻击机云模块内的操作系统镜像文件和攻击工具以及虚拟靶机云模块内的具有操作系统漏洞和应用软件漏洞的操作系统镜像文件;
所述网络用户通过远程接入控制模块连接到所述虚拟仿真系统,并按照管理中心模块提供的实验类别进行攻防实验;
所述实验配置模块允许网络用户设置所要创建的虚拟攻击机实例和虚拟靶机实例的实验类别,配置虚拟攻击机实例和虚拟靶机实例的网络拓扑结构;
所述虚拟攻击机云模块利用虚拟化和云技术,根据实验配置模块设置的实验类别,创建安装了相应攻击工具的Windows或Linux操作系统虚拟攻击机实例;
所述虚拟靶机云模块利用虚拟化和云技术,根据实验配置模块设置的实验类别,创建具有相应操作系统漏洞和应用软件漏洞的Windows或Linux操作系统虚拟靶机实例;
监控中心模块自动捕获虚拟攻击机云模块和虚拟靶机云模块之间通信的网络数据包,网络用户下载虚拟攻击机实例和虚拟靶机实例之间通信的网络数据包。
2.根据权利要求1所述的基于虚拟化和云技术的远程网络攻防的虚拟仿真系统,其特征在于,还包括扩展设备配置模块,网络用户通过扩展设备配置模块为虚拟攻击机实例和虚拟靶机实例配置路由器和交换机网络连接设备,为虚拟靶机实例配置防火墙和入侵检测系统网络防护设备。
3.根据权利要求1所述的基于虚拟化和云技术的远程网络攻防的虚拟仿真系统,其特征在于,所述的实验类别包括有线网络攻防、无线网络攻防、动态网站攻防、病毒攻防、网络渗透与安全加固攻防。
4.根据权利要求1所述的基于虚拟化和云技术的远程网络攻防的虚拟仿真系统,其特征在于,所述虚拟攻击机云模块配置相应的攻击工具具体指端口扫描工具、SQL注入工具、网络嗅探器、木马植入工具、远程控制工具、跨站脚本攻击工具、DDos攻击工具和密码破解攻击工具,所述虚拟靶机云模块配置相应的防护工具具体指主机安全加固、蜜罐、防火墙软和入侵检测系统防护工具。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310671253.7A CN103701777B (zh) | 2013-12-11 | 2013-12-11 | 基于虚拟化和云技术的远程网络攻防虚拟仿真系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310671253.7A CN103701777B (zh) | 2013-12-11 | 2013-12-11 | 基于虚拟化和云技术的远程网络攻防虚拟仿真系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103701777A CN103701777A (zh) | 2014-04-02 |
| CN103701777B true CN103701777B (zh) | 2016-08-31 |
Family
ID=50363174
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310671253.7A Active CN103701777B (zh) | 2013-12-11 | 2013-12-11 | 基于虚拟化和云技术的远程网络攻防虚拟仿真系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103701777B (zh) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105025067B (zh) * | 2014-04-30 | 2018-12-25 | 中国银联股份有限公司 | 一种信息安全技术研究平台 |
| CN104410617B (zh) * | 2014-11-21 | 2018-04-17 | 西安邮电大学 | 一种云平台的信息安全攻防体系架构 |
| CN105376210B (zh) * | 2014-12-08 | 2018-09-07 | 哈尔滨安天科技股份有限公司 | 一种账户威胁识别和防御方法及系统 |
| CN104811335B (zh) * | 2015-03-26 | 2019-02-15 | 华迪计算机集团有限公司 | 一种实现网络靶场系统的方法及网络靶场管理系统 |
| CN105024990A (zh) * | 2015-03-30 | 2015-11-04 | 清华大学 | 网络安全攻防演练环境部署方法及装置 |
| CN104900102A (zh) * | 2015-04-13 | 2015-09-09 | 成都双奥阳科技有限公司 | 基于虚拟环境的攻防演练系统 |
| CN104778073B (zh) * | 2015-04-17 | 2018-01-16 | 广东电网有限责任公司信息中心 | 一种新型信息安全攻防实验平台及其实现方法 |
| CN107222515B (zh) * | 2016-03-22 | 2021-05-04 | 阿里巴巴集团控股有限公司 | 蜜罐部署方法、装置及云端服务器 |
| CN106790046B (zh) * | 2016-10-11 | 2020-10-13 | 长春理工大学 | 基于超融合架构的网络攻防虚拟仿真系统 |
| CN106998323B (zh) * | 2017-03-06 | 2020-08-14 | 深信服科技股份有限公司 | 应用层网络攻击仿真方法、装置及系统 |
| CN107347079A (zh) * | 2017-09-05 | 2017-11-14 | 合肥丹朋科技有限公司 | 计算机网络防护方法 |
| CN107483484A (zh) * | 2017-09-13 | 2017-12-15 | 北京椰子树信息技术有限公司 | 一种攻击防护演练方法和装置 |
| CN108040070A (zh) * | 2017-12-29 | 2018-05-15 | 北京奇虎科技有限公司 | 一种网络安全测试平台及方法 |
| CN108376489A (zh) * | 2018-01-17 | 2018-08-07 | 张锦沛翀 | 一种基于模拟软件环境的教学系统 |
| CN108810028A (zh) * | 2018-07-20 | 2018-11-13 | 杭州安恒信息技术股份有限公司 | 一种全网木马控制端的探测方法与系统 |
| CN108965021B (zh) * | 2018-07-26 | 2021-09-07 | 平安科技(深圳)有限公司 | 虚拟演练网络的创建方法和装置 |
| CN109347847A (zh) * | 2018-11-01 | 2019-02-15 | 广东粤迪厚创科技发展有限公司 | 一种智慧城市信息安全保障系统 |
| CN109743293B (zh) * | 2018-12-13 | 2021-05-25 | 烽台科技(北京)有限公司 | 网络靶场的访问方法及网络靶场系统、计算机存储介质 |
| CN110098951A (zh) * | 2019-03-04 | 2019-08-06 | 西安电子科技大学 | 一种基于虚拟化技术的网络攻防虚拟仿真与安全评估方法及系统 |
| CN109960937B (zh) * | 2019-04-02 | 2020-10-27 | 中国传媒大学 | 一种漏洞演练环境的构建方法及系统 |
| CN110351271A (zh) * | 2019-07-09 | 2019-10-18 | 广东工业大学 | 网络攻防实验系统搭建方法、系统、装置及存储介质 |
| CN111343158B (zh) * | 2020-02-12 | 2022-06-14 | 博智安全科技股份有限公司 | 一种基于虚拟化技术的网络靶场平台 |
| CN111711557B (zh) * | 2020-08-18 | 2020-12-04 | 北京赛宁网安科技有限公司 | 一种网络靶场用户远程接入系统与方法 |
| CN112333025B (zh) * | 2020-11-19 | 2023-04-18 | 中国人民解放军国防科技大学 | 网络安全模拟训练方法、装置及系统 |
| CN113507405B (zh) * | 2021-06-22 | 2022-07-29 | 电子科技大学 | 一种基于虚拟资源池的虚拟网络节点快速构建方法 |
| CN114567902B (zh) * | 2022-03-10 | 2023-12-08 | 北京中广瑞波科技股份有限公司 | 一种用户身份标识模块的实网测试系统 |
| CN115865519B (zh) * | 2023-02-07 | 2023-05-16 | 苏州市卫生计生统计信息中心 | 适用于网络攻防虚拟仿真的数据处理方法及系统 |
| CN115862417B (zh) * | 2023-02-28 | 2023-05-12 | 中电运行(北京)信息技术有限公司 | 一种集成攻防演练学习的虚拟仿真系统及仿真方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102916934A (zh) * | 2011-08-03 | 2013-02-06 | 西安秦码软件科技有限公司 | 基于拓扑与操作系统的网络伪装系统 |
| CN103218257A (zh) * | 2013-04-28 | 2013-07-24 | 蓝盾信息安全技术股份有限公司 | 基于攻防教学实训平台上统一管理虚拟机的装置 |
-
2013
- 2013-12-11 CN CN201310671253.7A patent/CN103701777B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102916934A (zh) * | 2011-08-03 | 2013-02-06 | 西安秦码软件科技有限公司 | 基于拓扑与操作系统的网络伪装系统 |
| CN103218257A (zh) * | 2013-04-28 | 2013-07-24 | 蓝盾信息安全技术股份有限公司 | 基于攻防教学实训平台上统一管理虚拟机的装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103701777A (zh) | 2014-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103701777B (zh) | 基于虚拟化和云技术的远程网络攻防虚拟仿真系统 | |
| CN110098951A (zh) | 一种基于虚拟化技术的网络攻防虚拟仿真与安全评估方法及系统 | |
| US8978102B2 (en) | Network stimulation engine | |
| Davis et al. | A Survey of Cyber Ranges and Testbeds. | |
| Ficco et al. | Leaf: An open-source cybersecurity training platform for realistic edge-IoT scenarios | |
| Urias et al. | Supervisory Command and Data Acquisition (SCADA) system cyber security analysis using a live, virtual, and constructive (LVC) testbed | |
| Korniyenko et al. | Design and research of mathematical model for information security system in computer network | |
| Mashima et al. | Towards a grid-wide, high-fidelity electrical substation honeynet | |
| US20200366650A1 (en) | Method and system for creating a secure public cloud-based cyber range | |
| Fan et al. | Versatile virtual honeynet management framework | |
| CN103218257A (zh) | 基于攻防教学实训平台上统一管理虚拟机的装置 | |
| LaBarge et al. | Cloud penetration testing | |
| Willems et al. | Practical network security teaching in an online virtual laboratory | |
| Tunc et al. | Teaching and training cybersecurity as a cloud service | |
| Fan et al. | Adaptive and flexible virtual honeynet | |
| CN105025067B (zh) | 一种信息安全技术研究平台 | |
| Fan et al. | Technology independent honeynet description language | |
| Hay et al. | Using virtualization to create and deploy computer security lab exercises | |
| CN204795113U (zh) | 一种基于云服务器的教学平台 | |
| Fan et al. | Dynamic hybrid honeypot system based transparent traffic redirection mechanism | |
| Urias et al. | Experimental methods for control system security research | |
| Marsá-Maestre et al. | Using a scenario generation framework for education on system and internet security | |
| Răceanu et al. | Cybersecurity Virtual Labs for Pentesting Education | |
| Pham | On Automatic Cyber Range Instantiation for Facilitating Security Training | |
| Perry et al. | Building a Virtual Enterprise Network Environment for APT Experimentation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |