CN111526061A - 网络靶场实战演练场景的监控流量调度系统与方法 - Google Patents

网络靶场实战演练场景的监控流量调度系统与方法 Download PDF

Info

Publication number
CN111526061A
CN111526061A CN202010638075.8A CN202010638075A CN111526061A CN 111526061 A CN111526061 A CN 111526061A CN 202010638075 A CN202010638075 A CN 202010638075A CN 111526061 A CN111526061 A CN 111526061A
Authority
CN
China
Prior art keywords
host
monitoring
team member
management module
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010638075.8A
Other languages
English (en)
Other versions
CN111526061B (zh
Inventor
程能杰
谢峥
高庆官
唐海均
高丽彪
王鹏
于靖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Cyber Peace Technology Co Ltd
Original Assignee
Nanjing Cyber Peace Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Cyber Peace Technology Co Ltd filed Critical Nanjing Cyber Peace Technology Co Ltd
Priority to CN202010638075.8A priority Critical patent/CN111526061B/zh
Publication of CN111526061A publication Critical patent/CN111526061A/zh
Application granted granted Critical
Publication of CN111526061B publication Critical patent/CN111526061B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络靶场实战演练场景的监控流量调度系统与方法,本发明中,操作机管理模块用于身份及权限校验、协商加密验签算法及密钥信息等。网络拓扑图管理与NAT穿透管理模块协同建立监控网络拓扑图并进行动态维护。指令传输树管理模块用于生成以受监控队员主机为根节点连接所有监控该主机的裁判主机及操作机管理主机的指令传输树。响应传输树管理模块用于生成以操作机管理主机为根节点连接受监控队员主机及所有监控该主机的裁判主机的响应传输树。受监控队员主机根据指令传输树发出加密后的控制指令数据,操作机管理模块根据响应传输树发送加密后的响应数据。本发明能够实现更灵活的监控流量传输,降低监控流量带宽负荷,提高传输效率。

Description

网络靶场实战演练场景的监控流量调度系统与方法
技术领域
本发明涉及一种网络靶场实战演练场景的监控流量调度系统与方法,属于网络技术领域。
背景技术
网络靶场是指通过虚拟环境与真实设备相结合,模拟仿真出真实网络空间攻防作战环境,能够支撑作战能力研究和武器装备验证的试验平台。随着信息时代的不断发展,网络环境日益严峻,不断提出了搭建大规模网络环境进行实战演练的需求,而作为裁判中心监控并评定各作战小队的战斗情况成为必不可少的环节。
网络靶场实战演练场景的部署图如图1所示,网络靶场通过多个多种实体网络设备连接控制节点、计算节点、互联网,网络靶场通过虚拟化技术在计算节点构建演练场景的虚拟机及虚拟网络。网络靶场为所有作战小队队员生成虚拟机作为网络靶场操作机,所有作战小队的队员通过网络靶场控制节点的虚拟机接入管理模块远程控制操作机,队员的所有操作通过网络靶场操作机完成,所有操作的监控流量同步发送到裁判中心的裁判主机,裁判通过实时监控画面查看所有作战小队的战斗情况。
如图2所示,目前网络靶场实战演练场景的监控流程主要包括:创建网络靶场实战演练场景;作战小队队员主机连接操作机管理模块发起操作机连接请求;操作机管理模块认证作战小队队员身份及权限并连接操作机(即网络靶场生成的虚拟机);裁判主机连接操作机管理模块,并发起监控请求;队员主机向操作机管理模块发送操作机控制指令;操作机管理模块处理控制指令并将响应返回队员主机并同步给监控该队员主机的所有裁判主机。现有网络靶场实战演练场景的监控主要存在如下问题:
1、死板的监控流量调度模式。单一的裁判主机至操作机管理模块主机链路模式。
2、操作机管理模块主机集中了所有的监控流量带宽负荷。
3、部分传输路径存在相同数据重复传输。相同局域网内多台裁判主机监控同一队员主机时,在操作机管理模块主机至裁判主机局域网路由器路径上存在相同监控流量重复传输的问题。
发明内容
发明目的:针对上述现有技术存在的问题,本发明的目的在于提供一种网络靶场实战演练场景的监控流量调度系统与方法,以实现更灵活的监控流量传输,降低监控流量带宽负荷,提高传输效率。
技术方案:为实现上述发明目的,本发明采用如下技术方案:
一种网络靶场实战演练场景的监控流量调度系统,包括操作机管理模块、NAT穿透管理模块、网络拓扑图管理模块、指令传输树管理模块以及响应传输树管理模块;
所述操作机管理模块,用于接收队员主机发起的操作机连接请求,在身份及权限校验通过后连接操作机,以及接收队员主机的控制指令并将根据响应传输树发送响应数据;以及与队员主机协商加密验签算法及密钥信息,接收裁判主机发起的监控请求,在身份及权限校验通过后,发送所监听的队员主机的解密验签密钥信息;
所述NAT穿透管理模块,用于穿透NAT建立局域网内或跨局域网的主机连接;
所述网络拓扑图管理模块,用于对已经连接操作机管理模块的队员主机和裁判主机基于NAT穿透管理模块建立连接通道形成监控网络拓扑图,并根据网络的实时状态动态维护监控网络拓扑图;
所述指令传输树管理模块,用于基于监控网络拓扑图生成以受监控队员主机为根节点连接所有监控该主机的裁判主机及操作机管理主机的指令传输树;所述指令传输树同步到对应的受监控队员主机,受监控队员主机根据指令传输树发出控制指令数据,其中指令内容采用协商的密钥进行加密,只有具有监控权限的裁判主机及操作机管理主机能解密指令内容;
所述响应传输树管理模块,用于基于监控网络拓扑图生成以操作机管理主机为根节点连接受监控队员主机及所有监控该主机的裁判主机的响应传输树;所述响应传输树保存在操作机管理模块,操作机管理模块根据响应传输树发送相应的受监控队员主机的响应数据,采用对应队员主机的加密密钥对响应内容进行加密,只有具有监控权限的裁判主机及对应的队员主机能解密响应内容。
进一步地,所述监控网络拓扑图的建立遵循:同一局域网下的不同主机之间至少创建一条链路保证两节点之间在局域网内可达;不同局域网之间的主机必须尝试初始化一条链路。
进一步地,所述监控网络拓扑图以链路的传输时延作为链路的加权值,网络拓扑图管理模块根据链路的使用频率、链路的加权值不断尝试创建新链路及断开低效链路;断开的低效链路保留记录及加权值,并作为是否重新创建该链路的判断依据。
进一步地,所述指令传输树和响应传输树基于传输时延加权的监控网络拓扑图,采用无向加权图的最小生成树算法生成。
进一步地,主机间的连接通道为TCP链路或UDP链路。
一种网络靶场实战演练场景的监控流量调度方法,包括如下步骤:
(1)操作机管理主机接收队员主机发起的操作机连接请求,认证队员身份并校验权限,通过后连接操作机;
(2)与队员主机协商加密验签算法及密钥信息;
(3)接收裁判主机发起的监控请求,认证裁判身份并校验权限,通过后发送所监听的队员主机的解密验签密钥信息;
(4)对已经连接的队员主机和裁判主机通过NAT穿透服务建立连接通道形成监控网络拓扑图,并根据网络的实时状态动态维护监控网络拓扑图;
(5)基于监控网络拓扑图生成以受监控队员主机为根节点连接所有监控该主机的裁判主机及操作机管理主机的指令传输树,并同步到对应的受监控队员主机;
(6)用于基于监控网络拓扑图生成以操作机管理主机为根节点连接受监控队员主机及所有监控该主机的裁判主机的响应传输树;
(7)受监控队员主机根据指令传输树发出控制指令数据,其中指令内容采用协商的密钥进行加密,只有具有监控权限的裁判主机及操作机管理主机能解密指令内容;
(8)操作机管理主机处理控制指令并将响应根据对应受监控队员主机的响应传输树发送响应数据,采用对应队员主机的加密密钥对响应内容进行加密,只有具有监控权限的裁判主机及对应的队员主机能解密响应内容。
基于相同的发明构思,本发明提供一种计算机系统,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述计算机程序被加载至处理器时实现所述的网络靶场实战演练场景的监控流量调度方法。
有益效果:本发明充分利用网络靶场所有主机点对点传输链路,能够支持更快速的传输通道,并基于监控网络拓扑图生成传输树以及灵活的生成策略,支持更高效的传输效率,响应更复杂的网络环境。与现有技术相比,本发明具有如下优点:1、更快速、更灵活的监控流量传输。监控网络从原有的单一的裁判主机至操作机管理模块主机链路模式,向网络靶场所有主机组网可选链路传输监控流量模式转变,监控网络拓扑根据网络环境的变化不断调整优化,基于加权监控网络拓扑生成更优化的传输树。2、降低了操作机管理模块主机的监控流量带宽负荷,提高了系统容量。3、提高了传输效率,消除了监控数据在部分路径重复传输的资源浪费、效率浪费。
附图说明
图1为网络靶场实战演练场景的部署图。
图2为现有网络靶场实战演练场景的监控流程图。
图3为本发明实施例的结构示意图(图中省略队员主机之间,以及队员主机与裁判主机之间的控制指令、响应的传输链路)。
图4为本发明实施例中的示例的监控网络拓扑图(图中字母代表链路的加权值)。
图5为本发明实施例中的示例的队员主机指令传输树示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅只是本发明的一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的其他所有实施例,都属于本发明保护的范围。
如图3所示,本发明实施例公开的一种网络靶场实战演练场景的监控流量调度系统,包括操作机管理模块、NAT穿透管理模块、网络拓扑图管理模块、指令传输树管理模块以及响应传输树管理模块。其中,操作机管理模块,用于接收队员主机发起的操作机连接请求,在身份及权限校验通过后连接操作机,以及接收队员主机的控制指令并将根据响应传输树发送响应数据;以及与队员主机协商加密算法及密钥信息,接收裁判主机发起的监控请求,在身份及权限校验通过后,发送所监听的队员主机的解密密钥信息。NAT穿透管理模块,用于穿透NAT建立局域网内或跨局域网的主机连接。网络拓扑图管理模块,用于对已经连接操作机管理模块的队员主机和裁判主机基于NAT穿透管理模块建立连接通道形成监控网络拓扑图,并根据网络的实时状态动态维护监控网络拓扑图。
指令传输树管理模块,用于基于监控网络拓扑图生成以受监控队员主机为根节点连接所有监控该主机的裁判主机及操作机管理主机的指令传输树;指令传输树同步到对应的受监控队员主机,受监控队员主机根据指令传输树发出控制指令数据。响应传输树管理模块,用于基于监控网络拓扑图生成以操作机管理主机为根节点连接受监控队员主机及所有监控该主机的裁判主机的响应传输树;响应传输树保存在操作机管理模块,操作机管理模块根据响应传输树发送相应的受监控队员主机的响应数据。
可以理解的是,对于本领域技术人员而言,可以对上述实施例中的模块进行自适应性地改变并且把它们设置在一个或多个设备中,不同模块可组合成一个模块,也可以把它们分成多个子模块。
基于相同的发明构思,本发明实施例公开的一种网络靶场实战演练场景的监控流量调度方法,包括如下步骤;
(1)操作机管理主机接收队员主机发起的操作机连接请求,认证队员身份并校验权限,通过后连接操作机;
(2)与队员主机协商加密算法及密钥信息;
(3)接收裁判主机发起的监控请求,认证裁判身份并校验权限,通过后发送所监听的队员主机的解密密钥信息;
(4)对已经连接的队员主机和裁判主机通过NAT穿透服务建立连接通道形成监控网络拓扑图,并根据网络的实时状态动态维护监控网络拓扑图;
(5)基于监控网络拓扑图生成以受监控队员主机为根节点连接所有监控该主机的裁判主机及操作机管理主机的指令传输树,并同步到对应的受监控队员主机;
(6)用于基于监控网络拓扑图生成以操作机管理主机为根节点连接受监控队员主机及所有监控该主机的裁判主机的响应传输树;
(7)受监控队员主机根据指令传输树发出控制指令数据,其中指令内容采用协商的密钥进行加密;
(8)操作机管理主机处理控制指令并将响应根据对应受监控队员主机的响应传输树发送响应数据,其中响应内容采用对应队员主机的加密密钥进行加密,只有具有监控权限的裁判主机及对应的队员主机能解密响应内容。
下面结合本发明实施例的监控流量调度系统详细说明网络靶场实战演练场景的监控流程:
1、创建网络靶场实战演练场景。指挥中心导入场景编排拓扑图,网络靶场根据场景拓扑图创建虚拟机、虚拟网络完成场景搭建,并为所有作战小队队员分配虚拟机作为操作机使用。
2、作战小队队员主机连接操作机管理模块发起操作机连接请求。队员主机连接网络靶场控制节点(即操作机管理主机)的操作机管理模块,操作机管理模块完成身份验证、授权控制、安全审计功能,承担了堡垒机的功能,实际应用组件如JumpServer、Guacamole等。
3、操作机管理模块认证作战小队队员身份及权限并连接操作机(即网络靶场生成的虚拟机)。操作机管理模块认证作战小队队员身份信息,并校验其对操作机的权限,校验通过后,通过远程控制协议连接操作机,远程控制协议如RDP、SSH、Telnet、VNC等,由此队员主机通过网络靶场操作机管理模块与操作机建立连接。
4、队员主机与操作机管理模块协商加密验签算法及密钥信息。密钥用于信息传输的加解密及签名,验签加密算法,支持防篡改、防窃听的安全要求即可。如可以采用两对非对称加密密钥对,分别用于队员主机发送消息签名加密操作机管理模块解密验签、操作管理模块返回信息签名加密队员主机解密验签,加密算法可采用RSA算法,签名算法可采用SHA256算法。
5、裁判主机连接操作机管理模块,并发起监控请求。裁判主机向操作机管理模块提交身份信息,并发起对指定队员主机的监控请求,操作机管理模块认证裁判主机身份信息及权限,并建立连接,并获取所监听的队员主机会话所需要的解密验签密钥信息以及操作机管理模块的验签密钥信息,如采用两对非对称加密密钥对算法时为两对密钥对的公钥信息。
6、网络拓扑图管理模块与NAT穿透管理模块协同建立加权监控网络拓扑图。网络拓扑图管理模块对已经连接操作机管理模块的队员主机和裁判主机建立稳定的TCP连接通道形成监控网络拓扑(TCP也可由可靠的UDP链路方案替换),NAT穿透管理模块负责穿透NAT建立局域网内或跨局域网的主机连接,可直接采用现有NAT服务软件如Ngrok、Natapp等(NAT穿透管理模块内安装NAT服务器组件,所有队员主机、裁判主机内安装NAT客户端组件)。监控网络拓扑图建立遵循如下方法:(1)同一局域网下的不同主机之间必须至少创建一条稳定的TCP链路保证两主机节点之间在局域网内可达;(2)不同局域网之间的主机必须尝试初始化一条稳定的TCP链路;(3)队员主机、裁判主机测试并记录链路之间的传输时延作为该链路的加权值,常见的时延测试方法有回包测试方法;(4)网络拓扑图管理模块维护该加权监控网络拓扑图的所有信息,根据链路的使用频率、链路的加权值不断尝试创建新链路及断开低效链路(该链路存在可替换链路,且当前链路时延大于可替换链路时延的两倍,认定为低效链路);(5)断开的低效链路保留记录及加权值,并作为是否重新创建该链路的判断依据。加权监控网络拓扑示意图如图4所示。
7、指令传输树管理管理模块基于网络拓扑图管理模块的加权监控网络拓扑图生成以受监控队员主机为根节点连接所有监控该主机的裁判主机及操作机管理模块主机的指令传输树。如可以采用无向加权图的最小生成树算法Prim及Kruskal算法,并将指令传输树信息同步给受监控队员主机。生成的受监控队员主机指令传输树如图5所示。
8、响应传输树管理管理模块基于网络拓扑图管理模块的加权监控网络拓扑图生成以操作机管理模块主机为根节点连接受监控队员主机及所有监控该主机的裁判主机的响应传输树。如可以采用无向加权图的最小生成树算法Prim及Kruskal算法,并将响应传输树信息保存在操作机管理模块。
9、队员主机根据指令传输树向子节点的TCP链路向发送指令数据。指令数据包括指令时间戳、加密的指令内容、子节点指令传输树信息、签名,其中子节点指令传输树信息用于指示接收当前指令数据的主机如何继续传输指令数据,且只有具有监控权限的裁判主机及操作机管理模块主机能解密当前指令内容,加密验签算法采用已协商的算法及密钥,如加密算法可采用RSA算法,签名算法可采用SHA256算法。
10、操作机管理模块处理控制指令并将响应根据队员主机的响应传输树向子节点的TCP链路发送响应数据。响应数据包括响应时间戳、加密的响应内容、子节点响应传输树信息、签名,其中子节点响应传输树信息用于指示接收当前响应数据的主机如何继续传输响应数据,且只有具有监控权限的裁判主机及指定队员主机能解密当前响应内容,加密验签算法采用已协商的算法及密钥,如加密算法可采用RSA算法,签名算法可采用SHA256算法。
综上,本发明通过NAT穿透服务器搭建点对点传输链路,支持更快速的传输通道,基于监控网络拓扑图生成传输树消除了部分传输路径上相同数据重复传输的问题,并且实时跟踪及拓展监控网络拓扑,追踪更快速的传输链路,通过灵活的生成策略,支持更高效的传输效率,响应更复杂的网络环境。本发明有效降低了操作机管理主机的监控流量带宽负荷,提高了系统容量和传输效率。
基于相同的发明构思,本发明实施例还公开了一种计算机系统,该计算机系统包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序。其中,计算机程序被加载至处理器时实现上述网络靶场实战演练场景的监控流量调度方法。

Claims (7)

1.一种网络靶场实战演练场景的监控流量调度系统,其特征在于,包括操作机管理模块、NAT穿透管理模块、网络拓扑图管理模块、指令传输树管理模块以及响应传输树管理模块;
所述操作机管理模块,用于接收队员主机发起的操作机连接请求,在身份及权限校验通过后连接操作机,以及接收队员主机的控制指令并将根据响应传输树发送响应数据;以及与队员主机协商加密验签算法及密钥信息,接收裁判主机发起的监控请求,在身份及权限校验通过后,发送所监听的队员主机的解密验签密钥信息;
所述NAT穿透管理模块,用于穿透NAT建立局域网内或跨局域网的主机连接;
所述网络拓扑图管理模块,用于对已经连接操作机管理模块的队员主机和裁判主机基于NAT穿透管理模块建立连接通道形成监控网络拓扑图,并根据网络的实时状态动态维护监控网络拓扑图;
所述指令传输树管理模块,用于基于监控网络拓扑图生成以受监控队员主机为根节点连接所有监控该主机的裁判主机及操作机管理主机的指令传输树;所述指令传输树同步到对应的受监控队员主机,受监控队员主机根据指令传输树发出控制指令数据,其中指令内容采用协商的密钥进行加密,只有具有监控权限的裁判主机及操作机管理主机能解密指令内容;
所述响应传输树管理模块,用于基于监控网络拓扑图生成以操作机管理主机为根节点连接受监控队员主机及所有监控该主机的裁判主机的响应传输树;所述响应传输树保存在操作机管理模块,操作机管理模块根据响应传输树发送相应的受监控队员主机的响应数据,采用对应队员主机的加密密钥对响应内容进行加密,只有具有监控权限的裁判主机及对应的队员主机能解密响应内容。
2.根据权利要求1所述的网络靶场实战演练场景的监控流量调度系统,其特征在于,所述监控网络拓扑图的建立遵循:同一局域网下的不同主机之间至少创建一条链路保证两节点之间在局域网内可达;不同局域网之间的主机必须尝试初始化一条链路。
3.根据权利要求1所述的网络靶场实战演练场景的监控流量调度系统,其特征在于,所述监控网络拓扑图以链路的传输时延作为链路的加权值,网络拓扑图管理模块根据链路的使用频率、链路的加权值不断尝试创建新链路及断开低效链路;断开的低效链路保留记录及加权值,并作为是否重新创建该链路的判断依据。
4.根据权利要求1所述的网络靶场实战演练场景的监控流量调度系统,其特征在于,所述指令传输树和响应传输树基于传输时延加权的监控网络拓扑图,采用无向加权图的最小生成树算法生成。
5.根据权利要求1所述的网络靶场实战演练场景的监控流量调度系统,其特征在于,主机间的连接通道为TCP链路或UDP链路。
6.一种网络靶场实战演练场景的监控流量调度方法,其特征在于,包括如下步骤:
(1)操作机管理主机接收队员主机发起的操作机连接请求,认证队员身份并校验权限,通过后连接操作机;
(2)与队员主机协商加密验签算法及密钥信息;
(3)接收裁判主机发起的监控请求,认证裁判身份并校验权限,通过后发送所监听的队员主机的解密验签密钥信息;
(4)对已经连接的队员主机和裁判主机通过NAT穿透服务建立连接通道形成监控网络拓扑图,并根据网络的实时状态动态维护监控网络拓扑图;
(5)基于监控网络拓扑图生成以受监控队员主机为根节点连接所有监控该主机的裁判主机及操作机管理主机的指令传输树,并同步到对应的受监控队员主机;
(6)用于基于监控网络拓扑图生成以操作机管理主机为根节点连接受监控队员主机及所有监控该主机的裁判主机的响应传输树;
(7)受监控队员主机根据指令传输树发出控制指令数据,其中指令内容采用协商的密钥进行加密,只有具有监控权限的裁判主机及操作机管理主机能解密指令内容;
(8)操作机管理主机处理控制指令并将响应根据对应受监控队员主机的响应传输树发送响应数据,采用对应队员主机的加密密钥对响应内容进行加密,只有具有监控权限的裁判主机及对应的队员主机能解密响应内容。
7.一种计算机系统,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述计算机程序被加载至处理器时实现根据要求6所述的网络靶场实战演练场景的监控流量调度方法。
CN202010638075.8A 2020-07-06 2020-07-06 网络靶场实战演练场景的监控流量调度系统与方法 Active CN111526061B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010638075.8A CN111526061B (zh) 2020-07-06 2020-07-06 网络靶场实战演练场景的监控流量调度系统与方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010638075.8A CN111526061B (zh) 2020-07-06 2020-07-06 网络靶场实战演练场景的监控流量调度系统与方法

Publications (2)

Publication Number Publication Date
CN111526061A true CN111526061A (zh) 2020-08-11
CN111526061B CN111526061B (zh) 2020-11-24

Family

ID=71910200

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010638075.8A Active CN111526061B (zh) 2020-07-06 2020-07-06 网络靶场实战演练场景的监控流量调度系统与方法

Country Status (1)

Country Link
CN (1) CN111526061B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112040021A (zh) * 2020-08-24 2020-12-04 南京赛宁信息技术有限公司 网络靶场实战演练场景的操作机休眠网络托管系统与方法
CN112040020A (zh) * 2020-08-24 2020-12-04 南京赛宁信息技术有限公司 网络靶场实战演练场景的装备机休眠网络托管系统与方法
CN115086250A (zh) * 2022-07-20 2022-09-20 南京赛宁信息技术有限公司 一种网络靶场分布式流量发生系统与方法
CN117097503A (zh) * 2023-06-27 2023-11-21 博智安全科技股份有限公司 一种网络安全大赛的攻击防护和安全审计方法、系统
CN117319094A (zh) * 2023-11-30 2023-12-29 西安辰航卓越科技有限公司 Sdn网络攻防靶场平台系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006252277A (ja) * 2005-03-11 2006-09-21 Nec Corp コンピュータウィルス感染エリア検出方法及びネットワークシステム
CN106909432A (zh) * 2017-02-15 2017-06-30 南京赛宁信息技术有限公司 一种ctf在线竞赛平台的在线环境智能部署系统及方法
CN111294333A (zh) * 2020-01-14 2020-06-16 中国传媒大学 一种开放式的自适应漏洞演练平台的构建系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006252277A (ja) * 2005-03-11 2006-09-21 Nec Corp コンピュータウィルス感染エリア検出方法及びネットワークシステム
CN106909432A (zh) * 2017-02-15 2017-06-30 南京赛宁信息技术有限公司 一种ctf在线竞赛平台的在线环境智能部署系统及方法
CN111294333A (zh) * 2020-01-14 2020-06-16 中国传媒大学 一种开放式的自适应漏洞演练平台的构建系统

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112040021A (zh) * 2020-08-24 2020-12-04 南京赛宁信息技术有限公司 网络靶场实战演练场景的操作机休眠网络托管系统与方法
CN112040020A (zh) * 2020-08-24 2020-12-04 南京赛宁信息技术有限公司 网络靶场实战演练场景的装备机休眠网络托管系统与方法
CN112040020B (zh) * 2020-08-24 2022-01-18 南京赛宁信息技术有限公司 网络靶场实战演练场景的装备机休眠网络托管系统与方法
CN115086250A (zh) * 2022-07-20 2022-09-20 南京赛宁信息技术有限公司 一种网络靶场分布式流量发生系统与方法
CN115086250B (zh) * 2022-07-20 2022-11-22 南京赛宁信息技术有限公司 一种网络靶场分布式流量发生系统与方法
CN117097503A (zh) * 2023-06-27 2023-11-21 博智安全科技股份有限公司 一种网络安全大赛的攻击防护和安全审计方法、系统
CN117319094A (zh) * 2023-11-30 2023-12-29 西安辰航卓越科技有限公司 Sdn网络攻防靶场平台系统
CN117319094B (zh) * 2023-11-30 2024-03-15 西安辰航卓越科技有限公司 Sdn网络攻防靶场平台系统

Also Published As

Publication number Publication date
CN111526061B (zh) 2020-11-24

Similar Documents

Publication Publication Date Title
CN111526061B (zh) 网络靶场实战演练场景的监控流量调度系统与方法
CN110996318B (zh) 一种变电站智能巡检机器人安全通信接入系统
US8904532B2 (en) Method, apparatus and system for detecting botnet
US20200374127A1 (en) Blockchain-powered cloud management system
Johnson et al. Assessing DER network cybersecurity defences in a power‐communication co‐simulation environment
CN104270334A (zh) 一种ssh网络安全访问协议监测方法
Toris et al. Message authentication codes for secure remote non-native client connections to ros enabled robots
CN111614596B (zh) 一种基于IPv6隧道技术的远程设备控制方法及系统
CN110661858A (zh) 基于websocket的内网穿透方法及系统
WO2019237576A1 (zh) 校验虚拟机通信性能的方法及装置
Qassim et al. Simulating command injection attacks on IEC 60870-5-104 protocol in SCADA system
Mehner et al. No need to marry to change your name! attacking profinet io automation networks using dcp
Pfrang et al. Detecting and preventing replay attacks in industrial automation networks operated with profinet IO
CN102938768A (zh) 一种漫游用户跨域登陆、跨域进行监控业务的方法和装置
Yigit et al. Secured communication channels in software-defined networks
Wang et al. Deep reinforcement learning for securing software-defined industrial networks with distributed control plane
CN111212117A (zh) 一种远程交互的方法和装置
Kong et al. Combination attacks and defenses on sdn topology discovery
Pfrang et al. On the Detection of Replay Attacks in Industrial Automation Networks Operated with Profinet IO.
CN111245604B (zh) 一种服务器数据安全交互系统
Rezmerita et al. Private virtual cluster: Infrastructure and protocol for instant grids
US10419388B2 (en) Method and system for dark matter scanning
CN113765765A (zh) 数据传输系统
CN106789318B (zh) 网络电源安全管理系统
CN117811840B (zh) 多网络靶场协同的数据传输方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant