CN112333025A - 网络安全模拟训练方法、装置及系统 - Google Patents

网络安全模拟训练方法、装置及系统 Download PDF

Info

Publication number
CN112333025A
CN112333025A CN202011304202.7A CN202011304202A CN112333025A CN 112333025 A CN112333025 A CN 112333025A CN 202011304202 A CN202011304202 A CN 202011304202A CN 112333025 A CN112333025 A CN 112333025A
Authority
CN
China
Prior art keywords
target
virtualization
information
user
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011304202.7A
Other languages
English (en)
Other versions
CN112333025B (zh
Inventor
马宇峰
杨勤泗
寇万里
吴波
郑敏娇
张仲敏
周华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National University of Defense Technology
Original Assignee
National University of Defense Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National University of Defense Technology filed Critical National University of Defense Technology
Priority to CN202011304202.7A priority Critical patent/CN112333025B/zh
Publication of CN112333025A publication Critical patent/CN112333025A/zh
Application granted granted Critical
Publication of CN112333025B publication Critical patent/CN112333025B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45562Creating, deleting, cloning virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本公开实施例公开了一种网络安全模拟训练方法、装置及系统,所述方法包括:接收用户发送的调用目标安全设备的训练请求;训练请求至少包括目标设备类型和用户标识信息;根据训练请求确定已有安全设备的相关信息;根据相关信息确定不存在具有目标设备类型且空闲的已有安全设备对应的虚拟化实例之后,根据训练请求确定目标设备的运行环境信息;将运行环境信息发送至网络安全虚拟化平台,以请求网络安全虚拟化平台根据运行环境信息所需的物理资源建立目标安全设备对应的虚拟化实例以及目标安全设备所运行环境中其他设备的虚拟化实例;从网络安全虚拟化平台接收所建立的虚拟化实例的管理信息并返回给用户。

Description

网络安全模拟训练方法、装置及系统
技术领域
本公开涉及计算机技术领域,具体涉及一种网络安全模拟训练方法、装置及系统。
背景技术
安全防护基础网络安全可控运行的重要保障,信息安全建设已经提升到国家安全战略高度,对网络安全人才培养也提出了更高的要求。但是由于网络安全设备都是在网运行设备,不便进行配置练习,没有专用的设备供操作人员练习,影响了业务水平的巩固和提高;另外网络安全设备价格昂贵,对于某些部门来说要配备多套设备进行练习难度较大。尤其对于像院校这样实施集中培训的单位来说,日益增长培训需求同院校实际数量不足矛盾愈来愈尖锐,限制了学生实践操作能力的掌握和提高。此外,安全厂商提供的网络安全设备大多软硬一体,具有较强的封闭性,实验教学使用成本较高,组网灵活性不足,资源无法扩展,不适合学校集中培训大量学生的需求。
发明内容
本公开实施例提供一种网络安全模拟训练方法、装置及系统。
第一方面,本公开实施例中提供了一种网络安全模拟训练方法,包括:
接收用户发送的目标安全设备的训练请求;所述训练请求至少包括目标设备类型和用户标识信息;
根据所述训练请求确定已有安全设备的相关信息;所述相关信息至少包括所述已有安全设备对应的虚拟化实例的数量以及使用状态;
根据所述相关信息确定不存在具有目标设备类型且空闲的所述已有安全设备对应的虚拟化实例之后,根据所述训练请求确定所述目标设备的运行环境信息;
将所述运行环境信息发送至网络安全虚拟化平台,以请求所述网络安全虚拟化平台根据所述运行环境信息所需的物理资源建立所述目标安全设备对应的虚拟化实例以及所述目标安全设备所运行环境中其他设备的虚拟化实例;
从所述网络安全虚拟化平台接收所建立的所述虚拟化实例的管理信息并返回给用户,以便用户能够根据所述管理信息使用所述虚拟化实例。
进一步地,还包括:
根据所述相关信息确定存在具有目标设备类型且空闲的已有安全设备对应的虚拟化实例后,将所述已有安全设备确定为所述目标安全设备,并将所述目标安全设备对应的管理信息返回给用户,以便用户能够根据所述管理信息使用所述目标安全设备及所述目标安全设备所运行环境中其他设备对应的虚拟化实例。
进一步地,还包括:
将所述用户标识信息和所述虚拟化实例标识绑定存储,并将所述虚拟化实例的使用状态标记为占用。
进一步地,还包括:
检测到所述用户在预设时间段内未使用所述目标安全设备的虚拟化实例,则将所述用户标识信息和所述虚拟化实例标识解绑,并将所述虚拟化实例的使用状态标记为空闲。
进一步地,还包括:
接收所述用户针对所述目标安全设备对应的虚拟化实例的配置信息;
根据所述配置信息配置所述目标安全设备;
接收所述用户针对所述配置信息的验证请求,在所述目标安全设备的虚拟化实例上根据所述配置信息执行所述验证请求,并返回所述验证结果。
进一步地,所述配置信息包括以下至少之一:单机练习环境配置信息、综合练习环境配置信息和对抗练习环境配置信息。
进一步地,所述物理资源包括以下至少之一:物理机、服务器、路由器和交换机;所述目标安全设备运行在虚拟机上,所述虚拟机建立在所述物理机上;所述其它设备的虚拟化实例包括以下至少之一:虚拟交换机、虚拟路由器、虚拟服务器、虚拟终端。
进一步地,所述目标安全设备包括以下至少之一:防火墙、入侵检测设备、漏洞扫描设备、病毒防护系统和补丁分发系统。
第二方面,本发明实施例中提供了一种全设备模拟训练装置,包括:
第一接收模块,被配置为接收用户发送的目标安全设备的训练请求;所述训练请求至少包括目标设备类型和用户标识信息;
第一确定模块,被配置为根据所述训练请求确定已有安全设备的相关信息;所述相关信息至少包括所述已有安全设备对应的虚拟化实例的数量以及使用状态;
第二确定模块,被配置为根据所述相关信息确定不存在具有目标设备类型且空闲的所述已有安全设备对应的虚拟化实例之后,根据所述训练请求确定所述目标设备的运行环境信息;
发送模块,被配置为将所述运行环境信息发送至网络安全虚拟化平台,以请求所述网络安全虚拟化平台根据所述运行环境信息所需的物理资源建立所述目标安全设备对应的虚拟化实例以及所述目标安全设备所运行环境中其他设备的虚拟化实例;
返回模块,被配置为从所述网络安全虚拟化平台接收所建立的所述虚拟化实例的管理信息并返回给用户,以便用户能够根据所述管理信息使用所述虚拟化实例。
第三方面,本发明实施例中提供了一种网络安全模拟训练系统,包括:客户端、web服务器和网络安全虚拟化平台;其中,
所述客户端用于为用户提供web交互界面;
所述web服务器用于接收客户端的训练请求,所述训练请求至少包括用户调用目标安全设备的目标设备类型和用户标识信息;所述web服务器还根据所述训练请求确定已有安全设备的相关信息;所述相关信息至少包括所述已有安全设备对应的虚拟化实例的数量以及使用状态;所述web服务器用于还根据所述相关信息确定不存在具有目标设备类型且空闲的所述已有安全设备对应的虚拟化实例之后,根据所述训练请求确定所述目标设备的运行环境信息,并将所述运行环境信息发送至网络安全虚拟化平台;所述web服务器还从所述网络安全虚拟化平台接收所建立的所述虚拟化实例的管理信息并返回给所述客户端,以便用户通过所述客户端能够根据所述管理信息使用所述虚拟化实例;
所述网络安全虚拟化平台接收所述web服务器的请求,并根据所述请求中的所述运行环境信息所需的物理资源建立所述目标安全设备对应的虚拟化实例以及所述目标安全设备所运行环境中其他设备的虚拟化实例。
进一步地,所述网络安全虚拟化平台包括:物理层、虚拟层和设备层;其中,
所述物理层包括用于承载虚拟机的物理机;
所述虚拟层包括在所述物理机上构建的虚拟机,在所述虚拟机上运行目标安全设备的虚拟化实例,
所述设备层包括建立在所述虚拟机上的网络安全模拟训练实例,所述虚拟化实例用于仿真安全设备的操作和配置过程,并利用虚拟化网络资源,将仿真所述安全设备对应的不同拓扑结构的练习网络。
进一步地,所述物理机包括以下至少之一:服务器、路由器、存储阵列;所述网络安全模拟训练实例包括以下至少之一:防火墙、入侵检测设备、漏洞扫描设备、病毒防护系统、补丁分发系统、虚拟服务器、虚拟客户端。
所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
在一个可能的设计中,上述装置的结构中包括存储器和处理器,所述存储器用于存储一条或多条支持上述装置执行上述对应方法的计算机指令,所述处理器被配置为用于执行所述存储器中存储的计算机指令。上述装置还可以包括通信接口,用于上述装置与其他设备或通信网络通信。
第三方面,本公开实施例提供了一种电子设备,包括存储器和处理器;其中,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行以实现上述任一方面所述的方法。
第四方面,本公开实施例提供了一种计算机可读存储介质,用于存储上述任一装置所用的计算机指令,其包含用于执行上述任一方面所述方法所涉及的计算机指令。
本公开实施例提供的技术方案可以包括以下有益效果:
本公开实施例提出一种网络安全模拟训练方法,包括:接收用户发送的目标安全设备的训练请求;所述训练请求至少包括目标设备类型和用户标识信息;根据所述训练请求确定已有安全设备的相关信息;所述相关信息至少包括所述已有安全设备对应的虚拟化实例的数量以及使用状态;根据所述相关信息确定不存在具有目标设备类型且空闲的所述已有安全设备对应的虚拟化实例之后,根据所述训练请求确定所述目标设备的运行环境信息;将所述运行环境信息发送至网络安全虚拟化平台,以请求所述网络安全虚拟化平台根据所述运行环境信息所需的物理资源建立所述目标安全设备对应的虚拟化实例以及所述目标安全设备所运行环境中其他设备的虚拟化实例;从所述网络安全虚拟化平台接收所建立的所述虚拟化实例的管理信息并返回给用户,以便用户能够根据所述管理信息使用所述虚拟化实例。上述方法通过安全设备和网络虚拟化实现网络安全学习环境的软件自定义式构建;能够通过简单扩展通用计算、存储资源即可适应更多用户的安全设备培训需求。应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
结合附图,通过以下非限制性实施方式的详细描述,本公开的其它特征、目的和优点将变得更加明显。在附图中:
图1示出根据本公开一实施方式的网络安全模拟训练方法的流程图;
图2示出根据图1所示实施方式的验证安全设备配置信息的流程图;
图3是根据本公开一实施方式的网络安全模拟训练装置的结构框图;
图4为根据本公开一实施方式的网络安全模拟训练系统的结构框图;
图5是适于用来实现根据本公开一实施方式的网络安全模拟训练方法的电子设备的结构示意图。
具体实施方式
下文中,将参考附图详细描述本公开的示例性实施方式,以使本领域技术人员可容易地实现它们。此外,为了清楚起见,在附图中省略了与描述示例性实施方式无关的部分。
在本公开中,应理解,诸如“包括”或“具有”等的术语旨在指示本说明书中所公开的特征、数字、步骤、行为、部件、部分或其组合的存在,并且不欲排除一个或多个其他特征、数字、步骤、行为、部件、部分或其组合存在或被添加的可能性。
另外还需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
下面通过具体实施例详细介绍本公开实施例的细节。
图1示出根据本公开一实施方式的网络安全模拟训练方法的流程图。如图1所示,该方法包括以下步骤:
在步骤S101中,接收用户发送的目标安全设备的训练请求;所述训练请求至少包括目标设备类型和用户标识信息;
在步骤S102中,根据所述训练请求确定已有安全设备的相关信息;所述相关信息至少包括所述已有安全设备对应的虚拟化实例的数量以及使用状态;
在步骤S103中,根据所述相关信息确定不存在具有目标设备类型且空闲的所述已有安全设备对应的虚拟化实例之后,根据所述训练请求确定所述目标设备的运行环境信息;
在步骤S104中,将所述运行环境信息发送至网络安全虚拟化平台,以请求所述网络安全虚拟化平台根据所述运行环境信息所需的物理资源建立所述目标安全设备对应的虚拟化实例以及所述目标安全设备所运行环境中其他设备的虚拟化实例;
在步骤S105中,从所述网络安全虚拟化平台接收所建立的所述虚拟化实例的管理信息并返回给用户,以便用户能够根据所述管理信息使用所述虚拟化实例。
本实施例中,该网络安全模拟训练方法在web服务器上执行。
在一些实施例中,本公开实施例提供了一种网络安全模拟训练系统,整个系统采用B/S+R结构,其中B/S可以是普通的网站架构,R可以是远程登陆到虚拟机的方式。下面对该系统中各部分的功能进行简单的介绍。
1)客户端。用户通过客户端向Web服务器提交所需要的目标安全设备的训练请求,该训练请求可以包括但不限于目标安全设备类型和用户标识信息。目标安全设备类型可以包括但不限于防火墙、入侵检测设备、漏洞扫描设备、病毒防护系统和补丁分发系统中的一个或多个。用户标识信息可以是用户在系统中注册的用户ID或系统为用户分配的用户ID等,具体可以根据实际情况设置,在此不做限制。Web服务器接收到用户的训练请求之后,可以网络安全虚拟化平台请求创建目标安全设备的虚拟化实例,网络安全虚拟化平台可以将创建的虚拟化实例信息返回给web服务器,web服务器再返回给用户,用户可以根据该虚拟化实例信息远程登录到虚拟机上运行的虚拟化实例,进而进行目标安全设备的模拟练习。可以理解的是,如果用户所请求的目标安全设备的虚拟化实例已经在系统中存在(例如前面的用户所创建并且不再被使用的目标安全设备),则web服务器可以直接将已有的安全设备信息返回给用户,用户可以通过接收到的信息远程登录已有安全设备进行模拟练习。
2)Web服务器。是用户进行安全设备的模拟练习的入口,用户通过客户端上的web页面向web服务器发送训练请求,web接收到训练请求之后,首先判断是否存在与用户所请求的目标安全设备类型相匹配并且使用状态为空闲的已有安全设备;如果不存在的话,则先确定目标安全设备的运行环境信息,例如该安全目标设备的组网拓扑信息、组网拓扑信息中所使用的其他设备等,之后向网络虚拟化平台发送运行环境信息(包括虚拟机数量、配置信息、网络拓扑信息等),以请求网络虚拟化平台根据运行环境计算该目标安全设备所需要的物理资源,并建立目标安全设备以及其他设备的虚拟化实例,并将所创建的目标安全设备和其他设备的虚拟化实例信息以及组网环境信息等返回给web服务器,web服务器再一并返回给用户。用户在创建目标安全设备的虚拟化实例之后,可以通过web服务器选择要进行的目标安全设备的练习内容,例如理论学习和设备练习等。其中,web服务器从网络安全虚拟化平台接收到的虚拟化实例的管理信息包括但不限于目标安全设备的虚拟化实例信息、目标安全设备所在网络拓扑结构中的其他设备的虚拟化实例信息以及网络拓扑信息等。
3)物理机。属于网络安全虚拟化平台,是虚拟机实际创建和运行的地方,虚拟机上承载各类虚拟的安全设备。主要采用多台配置较高的物理机构成后端集群。物理机在平台体系中的职责是根据Web服务器传递过来的命令执行相应脚本,在本机完成虚拟机的创建、配置、销毁等工作。
4)虚拟交换机。属于网络安全虚拟化平台,是虚拟出来的设备,通过采用生成的虚拟机进行网络划分,依靠这些虚拟交换机,虚拟机组成的网络拓扑变得非常灵活。
5)虚拟路由器。属于网络安全虚拟化平台,采用路由器软件系统利用虚拟主机的方式构建虚拟路由器,用于构建拓扑结构较为复杂的网络。
6)平台管理机。属于网络安全虚拟化平台,主要实现用户资料、操作进程保存、练习数据维护、虚拟环境配置等功能。
7)数据服务器,属于网络安全虚拟化平台,主要用于存储系统数据。
在一些实施例中,目标安全设备可以包括但不限于防火墙、入侵检测设备、漏洞扫描设备、病毒防护系统和补丁分发系统等。
本公开实施例通过安全设备和网络虚拟化实现网络安全学习环境的软件自定义式构建;能够通过简单扩展通用计算、存储资源即可适应更多用户的安全设备培训需求。
在本实施例的一个可选实现方式中,所述方法还包括:
根据所述相关信息确定存在具有目标设备类型且空闲的已有安全设备对应的虚拟化实例后,将所述已有安全设备确定为所述目标安全设备,并将所述目标安全设备对应的管理信息返回给用户,以便用户能够根据所述管理信息使用所述目标安全设备及所述目标安全设备所运行环境中其他设备对应的虚拟化实例。
该可选的实现方式中,web服务器在接收到用户通过客户端发生的目标安全设备的训练请求后,先检索系统中已有安全设备的相关信息,该相关信息可以包括但不限于已有安全设备对应的虚拟化实例的数量以及使用状态。如果存在与目标安全设备类型相同并且使用状态空闲的已有网络安全模拟训练实例,则将该已有网络安全模拟训练实例确定为目标安全设备的虚拟化实例,并将其信息以及该目标安全设备的虚拟化实例所在的网络拓扑结构中其他设备的虚拟化实例信息、网络拓扑信息等一并返回给客户端,以便用户能够通过这些信息远程登录目标安全设备的虚拟化实例所在的运行环境中,并对目标安全设备的虚拟化实例进行安全配置以及安全验证等,完成目标安全设备的模拟练习。
在本实施例的一个可选实现方式中,所述方法还包括:
将所述用户标识信息和所述虚拟化实例标识绑定存储,并将所述虚拟化实例的使用状态标记为占用。
该可选的实现方式中,web服务器还将用户标识信息和目标安全设备和/或该目标安全设备所在运行环境中其他设备的虚拟化实例的标识绑定存储,并将这些虚拟化实例标记为占用状态,以便该目标安全设备及其运行环境中的其他设备供该用户使用,而防止在该用户使用的过程中被其他用户所占用。
在本实施例的一个可选实现方式中,所述方法还包括:
检测到所述用户在预设时间段内未使用所述目标安全设备的虚拟化实例,则将所述用户标识信息和所述虚拟化实例标识解绑,并将所述虚拟化实例的使用状态标记为空闲。
该可选的实现方式中,web服务器还可以从网络虚拟化平台获取目标安全设备的虚拟化实例的使用状况,如果当前用户在预设时间段内未使用该目标安全设备,则可以将该目标安全设备的使用权限收回,以便能够提供给其他用户使用。Web服务器可以通过将用户标识信息与虚拟化实例标识解绑,并将虚拟化实例的使用状态标记为空闲的方式收回用户的使用权限。可以理解的是,用户在远程登录目标安全设备的虚拟化实例时,需要提供身份信息如用户标识信息、密码等,web服务器在验证了用户标识和密码合法的情况下,还可以验证用户标识是否与当前要登录的目标安全设备的虚拟化实例标识具有绑定关系,如果不具有绑定关系,则不允许该用户登录该目标安全设备的虚拟化实例。
在本实施例的一个可选实现方式中,如图2所示,所述方法进一步还包括以下步骤:
在步骤S201中,接收所述用户针对所述目标安全设备对应的虚拟化实例的配置信息;
在步骤S202中,根据所述配置信息配置所述目标安全设备;
在步骤S203中,接收所述用户针对所述配置信息的验证请求,在所述目标安全设备的虚拟化实例上根据所述配置信息执行所述验证请求,并返回所述验证结果。
该可选的实现方式中,用户在请求获得了目标安全设备的虚拟化实例的虚拟化实例信息之后,可以登录该目标安全设备的虚拟化实例,并对其进行安全配置,进而再根据安全配置进行验证,通过这种方式可以达到目标安全设备的模拟练习的目的。例如,目标安全设备为防火墙时,web服务器可以针对防火墙给客户端返回管理配置界面(这是一个具有和物理防火墙功能完全一样的防火墙)和防火墙练习环境(例如一台虚拟服务器、一台虚拟计算机终端),用户配置完防火墙后即可通过终端验证,防火墙是否成功保护了服务区,检验自己配置是否正确等。
在本实施例的一个可选实现方式中,所述配置信息包括以下至少之一:单机练习环境配置信息、综合练习环境配置信息和对抗练习环境配置信息。
该可选的实现方式中,用户可以基于自身的练习需求,对目标安全设备的虚拟化实例进行配置,例如,配置信息可以包括但不限于单机练习环境配置信息、综合练习环境配置信息和对抗练习环境配置信息。单机练习采用与现役设备完全相同的操作界面、配置方法、配置步骤等,仿真单个安全设备的各种操作流程,解决无专用网络安全练习设备的问题,主要完成主流防火墙、漏洞扫描、入侵检测设备等单设备模拟操作。综合练习环境在实现单机练习的基础上,在虚拟组网环境中的进行设备组网,并能够开展多种综合练习科目,通过实际的防护效果来验证各种配置有效性,解决操作人员的设备综合运用能力不足的问题。对抗练习通过构建虚拟的攻防演练环境,能够开展包括DDoS攻击、缓冲区溢出攻击、ARP欺骗攻击、网络嗅探攻击、木马植入、SQL注入、密码破解、恶意代码释放、蜜罐诱捕、攻击日志清除等内容的网络攻击练习内容,在虚拟环境中使用配备的攻击工具对设定目标网络或系统实施攻击。
在本实施例的一个可选实现方式中,所述物理资源包括以下至少之一:物理机、服务器、路由器和交换机;所述目标安全设备运行在虚拟机上,所述虚拟机建立在所述物理机上;所述其它设备的虚拟化实例包括以下至少之一:虚拟交换机、虚拟路由器、虚拟服务器、虚拟终端。
该可选的实现方式中,目标安全设备的虚拟化实例在虚拟机上创建,而虚拟机以网络安全虚拟化平台上的物理机为运行实体,为了实现用户对网络安全模拟训练实例的远程使用,还可以在网络安全虚拟化平台中部署物理服务器、物理路由器和物理交换机,使得运行虚拟机的各个物理机能够通过服务器、路由器和交换机实现与客户端的远程网络通信。除了网络安全模拟训练实例之外,虚拟机上还可以运行有虚拟交换机、虚拟路由器、虚拟服务器和虚拟终端等,以便能够与安全设备构成虚拟组网环境。
下述为本公开装置实施例,可以用于执行本公开方法实施例。
图3是根据本公开一实施方式的网络安全模拟训练装置的结构框图。如图3所示,该装置可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。该网络安全模拟训练装置包括:
第一接收模块301,被配置为接收用户发送的目标安全设备的训练请求;所述训练请求至少包括目标设备类型和用户标识信息;
第一确定模块302,被配置为根据所述训练请求确定已有安全设备的相关信息;所述相关信息至少包括所述已有安全设备对应的虚拟化实例的数量以及使用状态;
第二确定模块303,被配置为根据所述相关信息确定不存在具有目标设备类型且空闲的所述已有安全设备对应的虚拟化实例之后,根据所述训练请求确定所述目标设备的运行环境信息;
发送模块304,被配置为将所述运行环境信息发送至网络安全虚拟化平台,以请求所述网络安全虚拟化平台根据所述运行环境信息所需的物理资源建立所述目标安全设备对应的虚拟化实例以及所述目标安全设备所运行环境中其他设备的虚拟化实例;
返回模块305,被配置为从所述网络安全虚拟化平台接收所建立的所述虚拟化实例的管理信息并返回给用户,以便用户能够根据所述管理信息使用所述虚拟化实例。
在本实施例的一个可选实现方式中,所述装置还包括:
第三确定模块,被配置为根据所述相关信息确定存在具有目标设备类型且空闲的已有安全设备对应的虚拟化实例后,将所述已有安全设备确定为所述目标安全设备,并将所述目标安全设备对应的管理信息返回给用户,以便用户能够根据所述管理信息使用所述目标安全设备及所述目标安全设备所运行环境中其他设备对应的虚拟化实例。
在本实施例的一个可选实现方式中,所述装置还包括:
绑定模块,被配置为将所述用户标识信息和所述虚拟化实例标识绑定存储,并将所述虚拟化实例的使用状态标记为占用。
在本实施例的一个可选实现方式中,所述装置还包括:
解绑模块,被配置为检测到所述用户在预设时间段内未使用所述目标安全设备的虚拟化实例,则将所述用户标识信息和所述虚拟化实例标识解绑,并将所述虚拟化实例的使用状态标记为空闲。
在本实施例的一个可选实现方式中,所述装置还包括:
第二接收模块,被配置为接收所述用户针对所述目标安全设备对应的虚拟化实例的配置信息;
配置模块,被配置为根据所述配置信息配置所述目标安全设备;
第三接收模块,被配置为接收所述用户针对所述配置信息的验证请求,在所述目标安全设备的虚拟化实例上根据所述配置信息执行所述验证请求,并返回所述验证结果。
在本实施例的一个可选实现方式中,所述配置信息包括以下至少之一:单机练习环境配置信息、综合练习环境配置信息和对抗练习环境配置信息。
在本实施例的一个可选实现方式中,所述物理资源包括以下至少之一:物理机、服务器、路由器和交换机;所述目标安全设备运行在虚拟机上,所述虚拟机建立在所述物理机上;所述其它设备的虚拟化实例包括以下至少之一:虚拟交换机、虚拟路由器、虚拟服务器、虚拟终端。
在本实施例的一个可选实现方式中,所述目标安全设备包括以下至少之一:防火墙、入侵检测设备、漏洞扫描设备、病毒防护系统和补丁分发系统。
该网络安全模拟训练装置与上述网络安全模拟训练方法对应一致,具体细节可以参见上述对网络安全模拟训练方法的描述,在此不再赘述。
图4为根据本公开一实施方式的网络安全模拟训练系统的结构框图。如图4所示,所述网络安全模拟训练系统400包括:客户端401、web服务器402和网络安全虚拟化平台403;其中,
所述客户端401用于为用户提供web交互界面;
所述web服务器402用于接收客户端401发送的目标安全设备的训练请求,所述训练请求至少包括用户调用目标安全设备的目标设备类型和用户标识信息;所述web服务器402还根据所述训练请求确定已有安全设备的相关信息;所述相关信息至少包括所述已有安全设备对应的虚拟化实例的数量以及使用状态;所述web服务器402用于还根据所述相关信息确定不存在具有目标设备类型且空闲的所述已有安全设备对应的虚拟化实例之后,根据所述训练请求确定所述目标设备的运行环境信息,并将所述运行环境信息发送至网络安全虚拟化平台403;所述web服务器402还从所述网络安全虚拟化平台403接收所建立的所述虚拟化实例的管理信息并返回给所述客户端401,以便用户通过所述客户端401能够根据所述管理信息使用所述虚拟化实例;
所述网络安全虚拟化平台403接收所述web服务器402的请求,并根据所述请求中的所述运行环境信息所需的物理资源建立所述目标安全设备对应的虚拟化实例以及所述目标安全设备所运行环境中其他设备的虚拟化实例。
在本实施例的一个可选实现方式中,所述网络安全虚拟化平台包括:物理层、虚拟层和设备层;其中,
所述物理层包括用于承载虚拟机的物理机;
所述虚拟层包括在所述物理机上构建的虚拟机,在所述虚拟机上运行目标安全设备的虚拟化实例,
所述设备层包括建立在所述虚拟机上的网络安全模拟训练实例,所述虚拟化实例用于仿真安全设备的操作和配置过程,并利用虚拟化网络资源,将仿真所述安全设备对应的不同拓扑结构的练习网络。
在本实施例的一个可选实现方式中,所述物理机包括以下至少之一:服务器、路由器、存储阵列;所述网络安全模拟训练实例包括以下至少之一:防火墙、入侵检测设备、漏洞扫描设备、病毒防护系统、补丁分发系统、虚拟服务器、虚拟客户端。
本实施例中网络安全模拟训练系统的具体细节可以参见上述对网络安全模拟训练方法的描述,在此不再赘述。
图5是适于用来实现根据本公开实施方式的网络安全模拟训练方法的电子设备的结构示意图。
如图5所示,电子设备500包括处理单元501,其可实现为CPU、GPU、FPGA、NPU等处理单元。处理单元501可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508加载到随机访问存储器(RAM)503中的程序而执行本公开上述任一方法的实施方式中的各种处理。在RAM503中,还存储有电子设备500操作所需的各种程序和数据。处理单元501、ROM502以及RAM503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
以下部件连接至I/O接口505:包括键盘、鼠标等的输入部分506;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分507;包括硬盘等的存储部分508;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入存储部分508。
特别地,根据本公开的实施方式,上文参考本公开实施方式中的任一方法可以被实现为计算机软件程序。例如,本公开的实施方式包括一种计算机程序产品,其包括有形地包含在及其可读介质上的计算机程序,所述计算机程序包含用于执行本公开实施方式中任一方法的程序代码。在这样的实施方式中,该计算机程序可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质511被安装。
附图中的流程图和框图,图示了按照本公开各种实施方式的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,路程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施方式中所涉及到的单元或模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中,这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。
作为另一方面,本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施方式中所述装置中所包含的计算机可读存储介质;也可以是单独存在,未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序,所述程序被一个或者一个以上的处理器用来执行描述于本公开的方法。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (10)

1.一种网络安全模拟训练方法,其中,包括:
接收用户发送的目标安全设备的训练请求;所述训练请求至少包括目标设备类型和用户标识信息;
根据所述训练请求确定已有安全设备的相关信息;所述相关信息至少包括所述已有安全设备对应的虚拟化实例的数量以及使用状态;
根据所述相关信息确定不存在具有目标设备类型且空闲的所述已有安全设备对应的虚拟化实例之后,根据所述训练请求确定所述目标设备的运行环境信息;
将所述运行环境信息发送至网络安全虚拟化平台,以请求所述网络安全虚拟化平台根据所述运行环境信息所需的物理资源建立所述目标安全设备对应的虚拟化实例以及所述目标安全设备所运行环境中其他设备的虚拟化实例;
从所述网络安全虚拟化平台接收所建立的所述虚拟化实例的管理信息并返回给用户,以便用户能够根据所述管理信息使用所述虚拟化实例。
2.根据权利要求1所述的方法,其中,还包括:
根据所述相关信息确定存在具有目标设备类型且空闲的已有安全设备对应的虚拟化实例后,将所述已有安全设备确定为所述目标安全设备,并将所述目标安全设备对应的管理信息返回给用户,以便用户能够根据所述管理信息使用所述目标安全设备及所述目标安全设备所运行环境中其他设备对应的虚拟化实例。
3.根据权利要求1或2所述的方法,其中,还包括:
将所述用户标识信息和所述虚拟化实例标识绑定存储,并将所述虚拟化实例的使用状态标记为占用。
4.根据权利要求1或2所述的方法,其中,还包括:
检测到所述用户在预设时间段内未使用所述目标安全设备的虚拟化实例,则将所述用户标识信息和所述虚拟化实例标识解绑,并将所述虚拟化实例的使用状态标记为空闲。
5.根据权利要求1或2所述的方法,其中,还包括:
接收所述用户针对所述目标安全设备对应的虚拟化实例的配置信息;
根据所述配置信息配置所述目标安全设备;
接收所述用户针对所述配置信息的验证请求,在所述目标安全设备的虚拟化实例上根据所述配置信息执行所述验证请求,并返回所述验证结果。
6.根据权利要求5所述的方法,其中,所述配置信息包括以下至少之一:单机练习环境配置信息、综合练习环境配置信息和对抗练习环境配置信息。
7.一种网络安全模拟训练装置,其中,包括:
第一接收模块,被配置为接收用户发送的目标安全设备的训练请求;所述训练请求至少包括目标设备类型和用户标识信息;
第一确定模块,被配置为根据所述训练请求确定已有安全设备的相关信息;所述相关信息至少包括所述已有安全设备对应的虚拟化实例的数量以及使用状态;
第二确定模块,被配置为根据所述相关信息确定不存在具有目标设备类型且空闲的所述已有安全设备对应的虚拟化实例之后,根据所述训练请求确定所述目标设备的运行环境信息;
发送模块,被配置为将所述运行环境信息发送至网络安全虚拟化平台,以请求所述网络安全虚拟化平台根据所述运行环境信息所需的物理资源建立所述目标安全设备对应的虚拟化实例以及所述目标安全设备所运行环境中其他设备的虚拟化实例;
返回模块,被配置为从所述网络安全虚拟化平台接收所建立的所述虚拟化实例的管理信息并返回给用户,以便用户能够根据所述管理信息使用所述虚拟化实例。
8.一种网络安全模拟训练系统,包括:客户端、web服务器和网络安全虚拟化平台;其中,
所述客户端用于为用户提供web交互界面;
所述web服务器用于接收客户端的训练请求,所述训练请求至少包括用户调用目标安全设备的目标设备类型和用户标识信息;所述web服务器还根据所述训练请求确定已有安全设备的相关信息;所述相关信息至少包括所述已有安全设备对应的虚拟化实例的数量以及使用状态;所述web服务器用于还根据所述相关信息确定不存在具有目标设备类型且空闲的所述已有安全设备对应的虚拟化实例之后,根据所述训练请求确定所述目标设备的运行环境信息,并将所述运行环境信息发送至网络安全虚拟化平台;所述web服务器还从所述网络安全虚拟化平台接收所建立的所述虚拟化实例的管理信息并返回给所述客户端,以便用户通过所述客户端能够根据所述管理信息使用所述虚拟化实例;
所述网络安全虚拟化平台接收所述web服务器的请求,并根据所述请求中的所述运行环境信息所需的物理资源建立所述目标安全设备对应的虚拟化实例以及所述目标安全设备所运行环境中其他设备的虚拟化实例。
9.根据权利要求8所述的系统,其中,所述网络安全虚拟化平台包括:物理层、虚拟层和设备层;其中,
所述物理层包括用于承载虚拟机的物理机;
所述虚拟层包括在所述物理机上构建的虚拟机,在所述虚拟机上运行目标安全设备的虚拟化实例,
所述设备层包括建立在所述虚拟机上的网络安全模拟训练实例,所述虚拟化实例用于仿真安全设备的操作和配置过程,并利用虚拟化网络资源,将仿真所述安全设备对应的不同拓扑结构的练习网络。
10.根据权利要求9所述的系统,其中,所述物理机包括以下至少之一:服务器、路由器、存储阵列;所述网络安全模拟训练实例包括以下至少之一:防火墙、入侵检测设备、漏洞扫描设备、病毒防护系统、补丁分发系统、虚拟服务器、虚拟客户端。
CN202011304202.7A 2020-11-19 2020-11-19 网络安全模拟训练方法、装置及系统 Active CN112333025B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011304202.7A CN112333025B (zh) 2020-11-19 2020-11-19 网络安全模拟训练方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011304202.7A CN112333025B (zh) 2020-11-19 2020-11-19 网络安全模拟训练方法、装置及系统

Publications (2)

Publication Number Publication Date
CN112333025A true CN112333025A (zh) 2021-02-05
CN112333025B CN112333025B (zh) 2023-04-18

Family

ID=74321681

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011304202.7A Active CN112333025B (zh) 2020-11-19 2020-11-19 网络安全模拟训练方法、装置及系统

Country Status (1)

Country Link
CN (1) CN112333025B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115102865A (zh) * 2022-06-27 2022-09-23 李泽宾 一种网络安全设备拓扑管理方法及系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101188493A (zh) * 2007-11-14 2008-05-28 吉林中软吉大信息技术有限公司 网络信息安全教学实验装置
CN103220364A (zh) * 2013-04-27 2013-07-24 清华大学 一种基于云的系统管理训练平台架构
CN103701777A (zh) * 2013-12-11 2014-04-02 长春理工大学 基于虚拟化和云技术的远程网络攻防虚拟仿真系统
CN105025067A (zh) * 2014-04-30 2015-11-04 中国银联股份有限公司 一种信息安全技术研究平台
US10079850B1 (en) * 2015-12-29 2018-09-18 Symantec Corporation Systems and methods for provisioning cyber security simulation exercises
CN109768892A (zh) * 2019-03-04 2019-05-17 中山大学 一种微服务化的网络安全实验系统
CN110098951A (zh) * 2019-03-04 2019-08-06 西安电子科技大学 一种基于虚拟化技术的网络攻防虚拟仿真与安全评估方法及系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101188493A (zh) * 2007-11-14 2008-05-28 吉林中软吉大信息技术有限公司 网络信息安全教学实验装置
CN103220364A (zh) * 2013-04-27 2013-07-24 清华大学 一种基于云的系统管理训练平台架构
CN103701777A (zh) * 2013-12-11 2014-04-02 长春理工大学 基于虚拟化和云技术的远程网络攻防虚拟仿真系统
CN105025067A (zh) * 2014-04-30 2015-11-04 中国银联股份有限公司 一种信息安全技术研究平台
US10079850B1 (en) * 2015-12-29 2018-09-18 Symantec Corporation Systems and methods for provisioning cyber security simulation exercises
CN109768892A (zh) * 2019-03-04 2019-05-17 中山大学 一种微服务化的网络安全实验系统
CN110098951A (zh) * 2019-03-04 2019-08-06 西安电子科技大学 一种基于虚拟化技术的网络攻防虚拟仿真与安全评估方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
YANGXIN TENG: "Research on the application of openstack to build a new heterogeneous real-time virtual cloud to reproduce application vulnerability and training demonstration architecture" *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115102865A (zh) * 2022-06-27 2022-09-23 李泽宾 一种网络安全设备拓扑管理方法及系统

Also Published As

Publication number Publication date
CN112333025B (zh) 2023-04-18

Similar Documents

Publication Publication Date Title
CN103493061B (zh) 用于应对恶意软件的方法和装置
KR101460589B1 (ko) 사이버전 모의 훈련 관제 서버
CN108965021B (zh) 虚拟演练网络的创建方法和装置
CN110351228A (zh) 远程登录方法、装置和系统
CN114268508B (zh) 物联网设备安全接入方法、装置、设备及介质
CN108605264A (zh) 网络管理
CN110875899B (zh) 数据处理方法、系统以及网络系统
CN117610026B (zh) 一种基于大语言模型的蜜点漏洞生成方法
CN112333025B (zh) 网络安全模拟训练方法、装置及系统
Vekaria et al. Cyber range for research-inspired learning of “attack defense by pretense” principle and practice
CN104978257B (zh) 计算设备弹性评分方法及装置
CN103841091B (zh) 一种安全登录方法、装置及系统
Janisch et al. Nasimemu: Network attack simulator & emulator for training agents generalizing to novel scenarios
CN112866036B (zh) 云计算平台的网络流量仿真方法、系统及计算机存储介质
ben Othmane et al. Incorporating lab experience into computer security courses
CN105991575A (zh) 云桌面的登陆方法及系统
Wang et al. Developing an undergraduate course curriculum on information security
KR102223775B1 (ko) 사이버전 모의 훈련을 위한 제어시스템 및 제어시스템의 제어 방법
CN115913572A (zh) 拟态存储系统数据校验方法、装置、设备、介质及系统
CN115190159A (zh) 会话控制方法、装置、电子设备及介质
Boukhriss et al. New technique of localization a targeted virtual machine in a Cloud Platform
Alnaim et al. A Misuse Pattern for Distributed Denial-of-Service Attack in Network Function Virtualization
KR102130805B1 (ko) 사이버 보안 모의훈련 콘텐츠 제공 방법 및 장치
KR102130806B1 (ko) 사이버 보안 모의훈련 콘텐츠 제공 방법 및 장치
Morales-Gonzalez et al. Teaching Software Security to Novices With User Friendly Armitage

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant