CN106790046B - 基于超融合架构的网络攻防虚拟仿真系统 - Google Patents

基于超融合架构的网络攻防虚拟仿真系统 Download PDF

Info

Publication number
CN106790046B
CN106790046B CN201611174815.7A CN201611174815A CN106790046B CN 106790046 B CN106790046 B CN 106790046B CN 201611174815 A CN201611174815 A CN 201611174815A CN 106790046 B CN106790046 B CN 106790046B
Authority
CN
China
Prior art keywords
module
network
experiment
virtual
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611174815.7A
Other languages
English (en)
Other versions
CN106790046A (zh
Inventor
底晓强
祁晖
李锦青
赵建平
从立钢
任唯武
毕琳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Changchun University of Science and Technology
Original Assignee
Changchun University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Changchun University of Science and Technology filed Critical Changchun University of Science and Technology
Publication of CN106790046A publication Critical patent/CN106790046A/zh
Application granted granted Critical
Publication of CN106790046B publication Critical patent/CN106790046B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0668Management of faults, events, alarms or notifications using network fault recovery by dynamic selection of recovery network elements, e.g. replacement by the most appropriate element after failure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

基于超融合架构的网络攻防虚拟仿真系统,涉及网络安全领域,解决现有的网络安全虚拟仿真系统扩展性差、效率比偏低以及管理困难等问题,本发明包括Web应用模块、协议转发模块、实验配置模块、实验运行模块、节点配置模块、镜像同步模块和性能监控模块;采用超融合架构建设的网络攻防虚拟仿真实验系统,多台服务器节点通过高速网络互联,服务器节点既是计算节点,又是存储节点,通过增加服务器节点的数量水平扩展系统的服务能力;系统中有多个服务器节点,当其中部分服务器节点发生软硬件故障时,不会影响系统的运行;可以直接替换发生故障的服务器节点,当新增服务器节点时,系统会自动向新增服务器节点同步镜像资源,可快速增加系统的服务能力。

Description

基于超融合架构的网络攻防虚拟仿真系统
技术领域
本发明涉及网络安全领域,具体涉及一种基于超融合架构的网络攻防虚拟仿真系统。
背景技术
网络安全实验本身具有一定的风险,如果在真实网络中开展病毒注入和网络攻击等破坏性实验,会严重威胁实验室中的硬件安全、软件安全和管理安全。虚拟化技术的出现,为开展网络安全实验提供了解决方案,在虚拟机中开展网络安全实验,不会影响物理主机的安全。随着云技术的发展,在云计算环境下建立的网络安全实验系统,允许实验人员通过网络远程访问。利用云计算技术建立的网络安全虚拟仿真系统,对网络安全教学和科研起到了良好的推动作用,但是仍然存在一些不足:
(1)扩展性不强,无法对计算资源、网络资源和存储资源统一管理,大部分虚拟仿真系统只能对计算资源统一管理,这就导致虚拟仿真系统的升级受限于所采用的网络连接设备和存储设备的体系结构。
(2)效费比偏低,据统计,在搭建虚拟仿真实验平台时,存储设备投资在硬件投入中占比一般在15%到40%之间,甚至更高,降低了投资的效费比。
(3)管理难度大,一般情况下一台存储设备会为多台计算节点提供存储服务,存在着单点故障隐患,一旦存储设备损坏,将影响整个仿真系统的运行。
发明内容
本发明所要解决现有的网络安全虚拟仿真系统扩展性差、效率比偏低以及管理困难等问题,提供一种基于超融合架构的网络攻防虚拟仿真系统。
基于超融合架构的网络攻防虚拟仿真系统,包括Web应用模块、协议转发模块、实验配置模块、实验运行模块、节点配置模块、镜像同步模块和性能监控模块;
Web应用模块:允许网络用户和管理员通过浏览器访问系统,管理员通过web应用模块访问节点配置模块、镜像同步模块和实验配置模块;网络用户通过所述Web应用模块访问协议转发模块和实验运行模块;
所述协议转发模块用于为Web应用模块提供网络协议转换,支持服务器与浏览器双向通信的Web Socket,允许网络用户通过浏览器访问实验运行模块;
实验配置模块:管理员通过Web应用模块上传镜像文件,根据网络安全实验的目的,选择镜像文件,配置网络拓扑结构,将配置文件保存成一个实验项目;
所述实验运行模块用于根据网络用户选择的实验,读取所选实验的配置文件,启动实验所需要的虚拟攻击机、虚拟靶机和虚拟路由器,自动配置虚拟网络,提供仿真实验运行环境;
节点配置模块用于当系统新增加服务器节点后,添加所述新增服务器节点的IP地址;镜像同步模块会自动将其它服务器节点上的镜像同步到新增服务器节点;
所述镜像同步模块还负责同步系统中所有服务器节点的镜像文件,并确保镜像文件的一致性;
性能监控模块用于监控不同节点运行的虚拟机数量,并能按照调度算法自动均衡服务器节点运行的虚拟机数量。
本发明的有益效果:
本发明采用超融合架构建设网络攻防虚拟仿真实验系统,多台服务器节点通过高速网络互联,服务器节点既是计算节点,又是存储节点,在硬件上舍弃专用存储设备,显著降低了硬件成本。由于不受存储设备的限制,要提升系统的服务能力,可以水平方向接入新的服务器节点,因此可以通过增加服务器节点的数量水平扩展系统的服务能力;系统中有多个服务器节点,当其中部分服务器节点发生软硬件故障时,不会影响系统的运行,可以接入新的服务器节点替换发生故障的服务器节点;当新增服务器节点时,系统会自动向新增服务器节点同步镜像资源,可快速增加系统的服务能力,尤其是对所采用的服务器并无特殊的品牌和型号要求;
本系统不但对计算和网络进行虚拟化管理,同时可以对存储进行统一的池化管理,因此能有效的降低后期管理和维护的成本;利用Web应用模块提供实验访问环境,网络用户可以使用PC、手机、平板等多种设备的浏览器访问实验资源,不需要安装任何客户端,方便实验资源的共享,实现随时随地按需学习;网络用户不但可以运行管理员配置好的实验项目,还可以通过Web应用模块访问实验配置模块,自行配置实验所要使用虚拟机、路由器、虚拟局域网及网络配置开展实验,可以快速的搭建出实验环境开展实验。
附图说明
图1为本发明所述的基于超融合架构的网络攻防虚拟仿真系统的功能结构框图;
图2为本发明所述的基于超融合架构的网络攻防虚拟仿真系统的硬件结构;
图3为本发明所述的基于超融合架构的网络攻防虚拟仿真系统的体系结构。
具体实施方式
具体实施方式一、结合图1至图3说明本实施方式,基于超融合架构的网络攻防虚拟仿真系统,包括Web应用模块、镜像管理模块、实验配置模块、节点扩展模块、分布式存储管理模块、镜像同步模块、协议转发模块和性能监控模块。所述Web应用模块:允许网络用户和管理员通过浏览器访问系统,管理员通过web应用模块访问节点配置模块、镜像同步模块和实验配置模块;网络用户通过所述Web应用模块访问协议转发模块和实验运行模块;
所述协议转发模块:用于为Web应用模块提供网络协议转换,支持服务器与浏览器双向通信的Web Socket,允许网络用户通过浏览器访问实验运行模块开展实验;实验运行模块:用于根据网络用户选择的实验,读取所选实验的配置信息,启动实验所需要的虚拟攻击机、虚拟靶机、虚拟路由器,自动配置虚拟网络,提供仿真实验运行环境;性能监控模块:用于监控不同服务器节点运行的虚拟机数量,并能按照调度算法自动均衡服务器节点运行的虚拟机数量;节点配置模块:当系统新增加服务器节点后,添加新节点的IP地址;镜像同步模块:负责同步系统中所有服务器节点的镜像文件,并确保镜像文件的一致性;实验配置模块:管理员通过Web应用模块上传镜像文件,根据网络安全实验的目的,选择不同的镜像文件,设置网络拓扑结构,将配置文件保存成一个实验项目。
结合图2说明本实施方式,本实施方式中的硬件设备包括网络连接设备、防火墙和服务器节点;
所述网络连接设备为高速的光纤交换机或万兆交换机,服务器节点通过网络连接设备互联,服务器节点的数量受限于单个网络连接设备的端口数;
当需要扩充计算能力增加服务器节点时,还可以由多个网络连接设备级联,网络连接设备连接到防火墙,由防火墙为系统提供网络安全防护;
防火墙并不是不可替代的网络安全防护设备,也可以使用其它类型的网络安全防护设备;
网络用户和管理员通过防火墙访问服务器节点;所有服务器节点都保存了具有操作系统漏洞和应用程序漏洞的操作系统镜像文件,而且还存储着已安装攻击工具的操作系统镜像文件,以及虚拟路由器交换机的镜像文件;
分布式存储管理模块用于系统对存储资源的统一管理;当新增服务器节点后,在新增服务器节点上安装分布式存储管理模块,然后管理员通过节点配置模块设置新增节点的IP地址,镜像同步模块会自动将其它服务器节点上的镜像同步到新增服务器节点。
结合图3说明本实施方式,本实施方式所述的仿真系统的体系结构中包括存储虚拟化——分布式存储管理模块、计算虚拟化——KVM、网络虚拟化——OpenSwitch、虚拟机管理、Opentstatck控制节点——服务器节点和web应用模块;
KVM是一个Linux内核模块实现,在虚拟环境下Linux内核集成管理程序将其作为一个可加载的模块,使用KVM来实现计算资源的虚拟化,KVM通过加载kvm.ko内核模块将Linux内核转换为一个虚拟机监控器VMM;
分布式存储通过扩展KVM模块实现,以确保对所有服务器节点存储资源的统一管理;
Open vSwitch是一个可以运行在KVM虚拟化平台上的虚拟交换机,用于虚拟攻击机和虚拟靶机间的通信和实现虚拟机与外网的通信;
QEMU通过软件仿真处理器的取指、解码和执行,它是一种用动态翻译技术实现的快速指令集层虚拟机,支持整个计算机系统的模拟。QEMU-KVM是用硬件虚拟化技术代替了QEMU的动态翻译技术,实现了虚拟机操作系统代码直接由硬件处理从而提高系统性能;本发明中使用QEMU-KVM和Libvirt实现虚拟机的管理和调度,通过它为网络用户提供虚拟攻击机和虚拟靶机;
为了允许网络用户使用浏览器访问虚拟机,在Openstack中启用支持远程访问虚拟化桌面的独立计算环境简单协议SPICE(Simple Protocol for Independent ComputingEnvironment),同时在nova中配置nova-vncproxy,实现虚拟机的VNC(Virtual NetworkComputer)代理到支持服务器与浏览器双向通信的Web Socket,以支持虚拟机访问的Web化;
用Glance提供虚拟机实例化时需要的镜像;
Web应用模块利用PHP开发,使用Mysql储存网络用户帐号信息和实验题目等信息,主要包括场景管理、实验题目管理、网络用户管理、靶场管理、靶场比赛、成绩管理、系统监控、成绩浏览、网络拓扑管理、虚拟化管理、虚拟机管理和服务器节点配置等功能;
网络用户使用浏览器访问Web应用模块,选择要开展实验项目后,web应用模块将实验请求转发给实验运行模块;
实验运行模块利用Nova调派资源在1台服务器节点上实例化实验所需要的虚拟机;
性能监控模块周期性监测所有服务器节点上运行的虚拟机数量,选择运行虚拟机数量的服务器节点,在该节点上实例化网络用户开展实验所要用到的虚拟机。
当网络用户开展实验所需要的环境被创建成功后,网络用户可以在支持HTML5和WebSocket的浏览器中直接操作虚拟机开展实验。
本实施方式所述的超融合架构支持在同一套单元设备中同时提供计算、网络和存储资源的池化管理。单元设备之间使用低延迟万兆铜缆或光纤互联,避免了服务器和存储设备的重度耦合,省去了部署专用存储设备的成本。因此,采用超融合架构可以建立扩展性强、可靠性高、易管理和低成本的网络安全虚拟仿真系统。

Claims (4)

1.基于超融合架构的网络攻防虚拟仿真系统,包括Web应用模块、协议转发模块、实验配置模块、实验运行模块、节点配置模块、镜像同步模块和性能监控模块,其特征是:
管理员通过Web应用模块访问节点配置模块、镜像同步模块和实验配置模块;网络用户通过所述Web应用模块访问协议转发模块和实验运行模块;
所述协议转发模块用于为Web应用模块提供网络协议转换,支持服务器与浏览器双向通信的Web Socket,允许网络用户通过浏览器访问实验运行模块;
所述实验运行模块用于根据网络用户选择的实验,读取所选实验的配置文件,启动实验所需要的虚拟攻击机、虚拟靶机和虚拟路由器,自动配置虚拟网络,提供仿真实验运行环境;
性能监控模块用于监控不同节点运行的虚拟机数量,并能按照调度算法自动均衡服务器节点运行的虚拟机数量;
节点配置模块用于当系统新增加服务器节点后,添加所述新增服务器节点的IP地址;镜像同步模块会自动将其它服务器节点上的镜像同步到新增服务器节点;
所述镜像同步模块还负责同步系统中所有服务器节点的镜像文件,并确保镜像文件的一致性;
实验配置模块:管理员通过Web应用模块上传镜像文件,根据网络安全实验的目的,选择镜像文件,设置网络拓扑结构,将配置文件保存成一个实验项目;
还包括分布式存储管理模块,在新增服务器节点后,在所述新增服务器节点上配置分布式存储管理模块,用于系统对存储资源的统一管理。
2.根据权利要求1所述的基于超融合架构的网络攻防虚拟仿真系统,其特征在于,当系统扩充服务能力时,将新增的服务器节点接入到网络连接设备,当网络连接设备端口不足时,可通过级联网络连接设备增加端口。
3.根据权利要求1所述的基于超融合架构的网络攻防虚拟仿真系统,其特征在于,各服务器节点均存储着虚拟攻击机、虚拟靶机、虚拟路由器和交换机的镜像文件。
4.根据权利要求2所述的基于超融合架构的网络攻防虚拟仿真系统,其特征在于,所述网络连接设备为高速的光纤交换机或万兆交换机。
CN201611174815.7A 2016-10-11 2016-12-19 基于超融合架构的网络攻防虚拟仿真系统 Active CN106790046B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN2016108869688 2016-10-11
CN201610886968 2016-10-11

Publications (2)

Publication Number Publication Date
CN106790046A CN106790046A (zh) 2017-05-31
CN106790046B true CN106790046B (zh) 2020-10-13

Family

ID=58889944

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611174815.7A Active CN106790046B (zh) 2016-10-11 2016-12-19 基于超融合架构的网络攻防虚拟仿真系统

Country Status (1)

Country Link
CN (1) CN106790046B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107483484A (zh) * 2017-09-13 2017-12-15 北京椰子树信息技术有限公司 一种攻击防护演练方法和装置
CN108388433B (zh) * 2017-12-28 2021-09-17 深圳创新科软件技术有限公司 超融合系统的管理平台部署方法
CN108833171A (zh) * 2018-06-21 2018-11-16 国网福建省电力有限公司 一种基于Web的电力网络设备教学管理实现方法
CN108965021B (zh) * 2018-07-26 2021-09-07 平安科技(深圳)有限公司 虚拟演练网络的创建方法和装置
CN109743293B (zh) * 2018-12-13 2021-05-25 烽台科技(北京)有限公司 网络靶场的访问方法及网络靶场系统、计算机存储介质
CN111464530A (zh) * 2020-03-31 2020-07-28 中电运行(北京)信息技术有限公司 网络安全仿真靶场平台服务提供方法及装置
CN111464567B (zh) * 2020-06-16 2020-11-03 鹏城实验室 攻防靶场系统的配置方法、装置及存储介质
CN113067728B (zh) * 2021-03-17 2022-10-14 中国人民解放军海军工程大学 一种网络安全攻防试验平台
CN115225347B (zh) * 2022-06-30 2023-12-22 烽台科技(北京)有限公司 靶场资源监控的方法和装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1614941A (zh) * 2004-12-02 2005-05-11 上海交通大学 建立复杂网络运行环境模拟仿真平台的方法
US8510821B1 (en) * 2010-06-29 2013-08-13 Amazon Technologies, Inc. Tiered network flow analysis
CN103701777A (zh) * 2013-12-11 2014-04-02 长春理工大学 基于虚拟化和云技术的远程网络攻防虚拟仿真系统
CN104900102A (zh) * 2015-04-13 2015-09-09 成都双奥阳科技有限公司 基于虚拟环境的攻防演练系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1614941A (zh) * 2004-12-02 2005-05-11 上海交通大学 建立复杂网络运行环境模拟仿真平台的方法
US8510821B1 (en) * 2010-06-29 2013-08-13 Amazon Technologies, Inc. Tiered network flow analysis
CN103701777A (zh) * 2013-12-11 2014-04-02 长春理工大学 基于虚拟化和云技术的远程网络攻防虚拟仿真系统
CN104900102A (zh) * 2015-04-13 2015-09-09 成都双奥阳科技有限公司 基于虚拟环境的攻防演练系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于云计算和虚拟化的计算机网络攻防实验教学平台建设探索;底晓强等;《实验技术与管理》;20150420;正文"2基于云技术和虚拟化的实验平台功能"-"基于Openstack的实验平台建设方案" *

Also Published As

Publication number Publication date
CN106790046A (zh) 2017-05-31

Similar Documents

Publication Publication Date Title
CN106790046B (zh) 基于超融合架构的网络攻防虚拟仿真系统
EP2979180B1 (en) Methods, systems, and computer readable media for emulating virtualization resources
JP6453373B2 (ja) スケーラブルプールNVMeストレージボックス(a scalable pooled nvme storage box)
De Oliveira et al. Using mininet for emulation and prototyping software-defined networks
US9031081B2 (en) Method and system for switching in a virtualized platform
Doherty SDN and NFV simplified: a visual guide to understanding software defined networks and network function virtualization
JP2022022077A (ja) アプリケーションをデプロイするための方法及び装置、電子機器、読み取り可能な記憶媒体並びにコンピュータプログラム
CN110995561B (zh) 基于容器技术的虚拟网络数据通信交互方法与系统
WO2011144631A1 (en) Virtual machine management among networked servers
JP5905512B2 (ja) サイバー攻撃演習システム、演習環境提供方法、および、演習環境提供プログラム
CN103685441A (zh) 一种基于龙芯终端的远程桌面控制系统
CN103501295B (zh) 一种基于虚拟机迁移的远程访问方法和设备
CN111371629B (zh) 网络构建和带外管理方法、装置、设备、介质和云平台
Cao et al. Cluster as a service: A resource sharing approach for private cloud
Wang et al. Benefit of construct information security environment based on lightweight virtualization technology
Akella Experimenting with next-generation cloud architectures using cloudlab
CN116243988A (zh) 一种智能网卡控制方法、装置、电子设备及存储介质
Liu et al. A VM-shared desktop virtualization system based on OpenStack
Oliveira et al. Running user-provided virtual machines in batch-oriented computing clusters
JP2013041445A (ja) 情報処理装置、情報処理方法及び情報処理プログラム
Xia Research and Application of Cloud Computing and Big Data Technology in Intelligent Desktop Virtualization System
US20230169017A1 (en) Dynamic server rebalancing
US20230342324A1 (en) Smart network interface controller serial communication redirection
Bheda et al. Virtualization Driven Mashup Container in Cloud Computing PaaS Model
CN117389677A (zh) 一种基于云计算技术的服务器以及云系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant