CN112929218B - 一种工控靶场虚实环境自动生成系统及装置 - Google Patents
一种工控靶场虚实环境自动生成系统及装置 Download PDFInfo
- Publication number
- CN112929218B CN112929218B CN202110166581.6A CN202110166581A CN112929218B CN 112929218 B CN112929218 B CN 112929218B CN 202110166581 A CN202110166581 A CN 202110166581A CN 112929218 B CN112929218 B CN 112929218B
- Authority
- CN
- China
- Prior art keywords
- virtual
- module
- network
- real
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/30—Creation or generation of source code
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V30/00—Character recognition; Recognising digital ink; Document-oriented image-based pattern recognition
- G06V30/40—Document-oriented image-based pattern recognition
- G06V30/42—Document-oriented image-based pattern recognition based on the type of document
- G06V30/422—Technical drawings; Geographical maps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45562—Creating, deleting, cloning virtual machine instances
Abstract
一种工控靶场虚实环境自动生成系统及装置,该系统包括虚实网络生成引擎、输入模块、图像采集模块、拓扑对象识别模块、生成虚实网络环境平台、环境验证平台、代码创建器、输出模块和日志模块;生成虚实网络环境平台包括虚实节点映射模块、关系矩阵分析模块、实体节点构造模块、虚拟节点创建模块和生成虚实网络模块;环境验证平台包括网络模拟器模块和验证模块。该装置包括接收单元、处理单元和发送单元。本发明能对纸质版的网络拓扑图进行自动识别,生成符合电力工控靶场平台的虚实网络攻防环境,解决现有人工编辑方式带来的工作量大、准确度低、创建标准不统一等问题,提高靶场平台的智能化程度,有利于网络安全攻防培训、攻防演练的普及和推广。
Description
技术领域
本发明属于工控网络安全技术领域,具体涉及一种工控靶场虚实环境自动生成系统及装置。
背景技术
电力工控靶场平台是各发电集团、科研院所用于开展网络安全研究、检测、培训、教学等目的的大型信息系统。通过将现实中的火电、水电、风电、光伏等电厂的工控系统网络环境映射到平台中,形成虚拟的工控系统网络环境,从而方便用户在不影响生产运行的情况下,开展网络安全研究、攻击、渗透测试等工作。
当前的各类电力工控靶场平台,创建虚拟工控网络环境的方法都是提供可视化的操作界面,由人工通过鼠标拖拽图标、连接线等方式,实现网络拓扑图的搭建,对于包含上百个节点的网络拓扑图来说,人工搭建的周期通常要几天、甚至十几天,对于拥有数百家发电厂,各家电厂网络拓扑都不一样的大型发电集团,创建网络环境的成本过高、周期过长,同时,网络变动的更新需要人工再次调整,不利于平台的推广和应用。
发明内容
本发明针对以上不足,发明了一种工控靶场虚实环境自动生成系统及装置,实现了从纸质网络拓扑图到生成虚实网络环境全过程的自动化处理。
为了达到上述目的,本发明是通过以下技术方案来实现的:
一种工控靶场虚实环境自动生成系统,该系统包括虚实网络生成引擎1、输入模块2、图像采集模块3、拓扑对象识别模块4、生成虚实网络环境平台5、环境验证平台11、代码创建器15、输出模块16和日志模块17;所述生成虚实网络环境平台5包括虚实节点映射模块6、关系矩阵分析模块7、实体节点构造模块8、虚拟节点创建模块9和生成虚实网络模块10;所述环境验证平台11包括网络模拟器模块12和验证模块13;其中:
所述虚实网络生成引擎1负责接收输入模块2和拓扑对象识别模块4的输入数据,并把数据传递给生成虚实网络环境平台5和代码创建器15,并监控各个模块的运行情况,将运行情况传递给日志模块17进行记录;
所述输入模块2负责为用户提供参数配置功能,用于对虚实节点映射表、虚拟节点配置表和电力工控靶场平台代码规范进行配置;
所诉图像采集模块3负责通过高清摄像头采集纸质版的网络拓扑图,并输出为PNG或JPEG格式的图片;
所述拓扑对象识别模块4负责采用开源的对象检测算法RCNN或Faster RCNN算法对图片格式的网络拓扑图进行图像识别,将其中的交换机、路由器、主机、连接线识别出来,放入虚拟节点队列中;
所述生成虚实网络环境平台5负责接收虚实网络生成引擎1发送过来的数据,并调度内部的各个模块进行处理,然后生成创建符合网络模拟器代码规范的代码,传递给环境验证平台11;
所述环境验证平台11负责生成模拟网络拓扑图,然后对网络拓扑图的完整性、连通性进行验证。
所述代码创建器15负责生成符合电力工控靶场平台的虚实网络环境创建代码;
所述输出模块16负责对代码创建器15发送的虚实网络环境创建代码进行格式化,使其符合人工检查的要求,然后以文本方式进行输出,同时提供对外访问的接口,允许第三方程序进行调用。
所述虚实节点映射表的信息包括:虚拟节点的名称、虚拟设备类型、虚拟IP地址、实体设备编号、实体设备的名称、实体设备类型、实际IP地址、用户账号和密码,通过映射表,告诉系统哪些需虚拟节点需要被映射为物理世界的实体设备。
所述生成创建符合网络模拟器代码规范的代码,传递给环境验证平台的具体过程包括以下步骤:
A、虚实映射:虚实节点映射模块6根据虚实网络生成引擎1传递过来的虚实节点映射表中虚拟节点和实体节点的对应关系,将虚拟节点队列中需要映射到物理世界的实体设备上的虚拟节点进行替换,替换信息使用虚实节点映射表中的实体节点信息;
B、实体节点构造:实体节点构造模块8根据生成虚实节点映射模块6传递过来的虚实节点映射表中的实体节点为初始化数据,建立实体节点初始化配置表,配置表中含有虚实节点映射表中的所有实体节点,然后通过信息收集技术逐一对实体节点进行多轮次的验证,如果实体节点未正常运行,则将该实体节点标识为“无效”,然后从实体节点初始化配置表中删除,如果实体节点处于运行状态,则对实体设备进行配置信息采集,并将采集信息更新到实体节点初始化配置表中,最终形成实体节点配置表;
C、关联分析:关系矩阵分析模块7对虚实网络生成引擎1传递过来的虚拟节点队列中的虚拟节点和连接线进行分析,识别各个虚拟节点的连接情况,然后以虚拟节点分别为行、列元素,形成二维矩阵,矩阵的每一个交叉点表示虚拟节点的连通性,为创建虚实网络提供数据;
D、虚拟节点创建:虚拟节点创建模块9根据虚实节点映射模块6传递过来的虚拟节点配置表,采用开源的虚拟化容器Docker技术,创建满足配置要求的容器和容器环境,并通过快照方式,将生成的容器快照保存到虚拟节点配置表中;通过对每一个虚拟节点采用同样的操作,直至形成最终的虚拟节点配置表;
E、生成虚实网络:生成虚实网络模块10根据关系矩阵分析模块7发送的连接线关系矩阵、实体节点构造模块8发送的实体节点配置表和虚拟节点创建模块9发送的虚拟节点配置表,根据开源网络模拟器Shadow每一个网络拓扑元素的代码编写规范,将所有虚拟节点、连接线生成为符合模拟器代码规范的代码,将所有实体节点编码为模拟器占位标识元素,然后生成网络拓扑图代码,传递给环境验证平台11。
所述的实体节点初始化配置表和实体节点配置表的信息包括:实体设备IP地址、设备存活情况、操作系统版本信息和开放的远程连接服务类型。
所述的对实体节点进行多轮次的验证的具体方法包括:每隔10分钟重复一次实体节点初始配置表的更新操作,连续进行3次。
所述虚拟节点配置表的信息包括:虚拟节点的名称、虚拟设备类型、虚拟IP地址、操作系统版本、CPU频率、内存大小、磁盘空间大小、分区情况和网卡数量。
所述的生成模拟网络拓扑图,然后对网络拓扑图的完整性、连通性进行验证的具体步骤包括:
A、模拟网络生成:网络模拟器模块12接收生成虚实网络环境平台5发送的网络拓扑图生成代码,并调用开源网络模拟器Shadow的接口,在模拟器中生成具有完整节点的网络元素的运行环境,包括交换机、路由器、主机、服务器和各类路由协议;
B、模拟网络验证:验证模块13采用深度优先和广度优先算法,对网络的完整性、连通性进行验证,如果验证结果为真,则将验证结果、模拟网络拓扑图生成代码发送给代码创建器15,如果验证失败,则提示错误,并将日志保存到日志模块中。
所述的验证结果为以下四种中的一种:
A、完整性为真、连通性为真,则验证结果为真;
B、完整性为真、连通性为假,则验证结果为假;
C、完整性为假、连通性为假,则验证结果为假;
D、完整性为假、连通性为真,则验证结果为假。
所述代码创建器15负责生成符合电力工控靶场平台的虚实网络环境创建代码的具体步骤包括如下:
A、实体节点元素生成:根据电力工控靶场平台的网络拓扑元素代码编写规范,将实体节点配置表中的实体节点生成为符合靶场平台元素代码规范的代码;
B、网络拓扑实体元素替换:根据虚实节点配置表的对应关系,将模拟网络拓扑图生成代码中被标识为占位元素的代码用实体节点元素代码进行替换;
C、虚实网络环境代码创建:根据电力工控靶场平台的网络拓扑元素代码编写规范,将模拟网络拓扑图中所有元素代码替换为符合电力工控靶场平台元素的代码,形成虚实网络环境创建代码,然后发送给输出模块16。
一种工控靶场虚实环境自动生成装置,包括接收单元18、处理单元19、发送单元20;其中:
所述接受单元18包括所述的输入模块2、数据采集模块3和拓扑对象识别模块4;
所述处理单元19包括所述的虚实网络生成引擎1、生成虚实网络环境平台5、环境验证平台11、代码创建器15和日志模块17;
所述发送单元20包括所述的数据输出模块16。
综上,本发明的有益效果在于:
1)、应用本发明系统,能够根据各类电力工控靶场平台的代码规范,实现纸质的网络拓扑图从采集、转换、生成虚实网络环境、验证、代码导出等过程的全自动化处理,为批量、快速的构建靶场网络环境提供了有力的工具,极大的提高了平台智能化程度,降低了人工成本,有利于平台的推广和应用,进而提升网络安全研究、攻防演练、教学、培训等工作的质量和效率。
2)本发明装置直接封装了所述自动生成系统,使用简单、方便,无需用户具备专业知识,允许用户快速、高效地为电力工控靶场平台中批量、准确地生成虚实网络环境,降低了用户的使用难度和成本,有利于电力工控靶场平台的推广运用。
附图说明
图1是本发明系统的系统架构图。
图2是本发明装置的组成示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明所述方案做进一步地详细说明。
实施例
图1为本发明一种工控靶场虚实环境自动生成系统的系统架构图,所述系统适用在具有创建火电厂、水电厂、风电场、光伏电场网络拓扑环境的电力工控靶场平台。
如图1所示,本发明一种工控靶场虚实环境自动生成系统,该系统包括虚实网络生成引擎1、输入模块2、图像采集模块3、拓扑对象识别模块4、生成虚实网络环境平台5、环境验证平台11、代码创建器15、输出模块16和日志模块17;所述生成虚实网络环境平台5包括虚实节点映射模块6、关系矩阵分析模块7、实体节点构造模块8、虚拟节点创建模块9和生成虚实网络模块10;所述环境验证平台11包括网络模拟器模块12和验证模块13;其中:
所述虚实网络生成引擎1负责接收输入模块2和拓扑对象识别模块4的输入数据,并把数据传递给生成虚实网络环境平台5和代码创建器15,并监控各个模块的运行情况,将运行情况传递给日志模块17进行记录;
所述输入模块2负责为用户提供参数配置功能,用于对虚实节点映射表、虚拟节点配置表和电力工控靶场平台代码规范进行配置;
所诉图像采集模块3负责通过高清摄像头采集纸质版的网络拓扑图,并输出为PNG或JPEG格式的图片;
所述拓扑对象识别模块4负责采用开源的对象检测算法RCNN或Faster RCNN算法对图片格式的网络拓扑图进行图像识别,将其中的交换机、路由器、主机、连接线识别出来,放入虚拟节点队列中;
所述生成虚实网络环境平台5负责接收虚实网络生成引擎1发送过来的数据,并调度内部的各个模块进行处理,然后生成创建符合网络模拟器代码规范的代码,传递给环境验证平台11;
所述环境验证平台11负责生成模拟网络拓扑图,然后对网络拓扑图的完整性、连通性进行验证。
所述代码创建器15负责生成符合电力工控靶场平台的虚实网络环境创建代码;
所述输出模块16负责对代码创建器15发送的虚实网络环境创建代码进行格式化,使其符合人工检查的要求,然后以文本方式进行输出,同时提供对外访问的接口,允许第三方程序进行调用。
作为本发明的优选实施方式,所述虚实节点映射表的信息包括:虚拟节点的名称、虚拟设备类型、虚拟IP地址、实体设备编号、实体设备的名称、实体设备类型、实际IP地址、用户账号和密码,通过映射表,告诉系统哪些需虚拟节点需要被映射为物理世界的实体设备。
作为本发明的优选实施方式,所述生成创建符合网络模拟器代码规范的代码,传递给环境验证平台的具体过程包括以下步骤:
A、虚实映射:虚实节点映射模块6根据虚实网络生成引擎1传递过来的虚实节点映射表中虚拟节点和实体节点的对应关系,将虚拟节点队列中需要映射到物理世界的实体设备上的虚拟节点进行替换,替换信息使用虚实节点映射表中的实体节点信息;
B、实体节点构造:实体节点构造模块8根据生成虚实节点映射模块6传递过来的虚实节点映射表中的实体节点为初始化数据,建立实体节点初始化配置表,配置表中含有虚实节点映射表中的所有实体节点,然后通过信息收集技术逐一对实体节点进行多轮次的验证,如果实体节点未正常运行,则将该实体节点标识为“无效”,然后从实体节点初始化配置表中删除,如果实体节点处于运行状态,则对实体设备进行配置信息采集,并将采集信息更新到实体节点初始化配置表中,最终形成实体节点配置表;
C、关联分析:关系矩阵分析模块7对虚实网络生成引擎1传递过来的虚拟节点队列中的虚拟节点和连接线进行分析,识别各个虚拟节点的连接情况,然后以虚拟节点分别为行、列元素,形成二维矩阵,矩阵的每一个交叉点表示虚拟节点的连通性,为创建虚实网络提供数据;
D、虚拟节点创建:虚拟节点创建模块9根据虚实节点映射模块6传递过来的虚拟节点配置表,采用开源的虚拟化容器Docker技术,创建满足配置要求的容器和容器环境,并通过快照方式,将生成的容器快照保存到虚拟节点配置表中;通过对每一个虚拟节点采用同样的操作,直至形成最终的虚拟节点配置表;
E、生成虚实网络:生成虚实网络模块10根据关系矩阵分析模块7发送的连接线关系矩阵、实体节点构造模块8发送的实体节点配置表和虚拟节点创建模块9发送的虚拟节点配置表,根据开源网络模拟器Shadow每一个网络拓扑元素的代码编写规范,将所有虚拟节点、连接线生成为符合模拟器代码规范的代码,将所有实体节点编码为模拟器占位标识元素,然后生成网络拓扑图代码,传递给环境验证平台11。
作为本发明的优选实施方式,所述的实体节点初始化配置表和实体节点配置表的信息包括:实体设备IP地址、设备存活情况、操作系统版本信息和开放的远程连接服务类型。
作为本发明的优选实施方式,所述的对实体节点进行多轮次的验证的具体方法包括:每隔10分钟重复一次实体节点初始配置表的更新操作,连续进行3次。
作为本发明的优选实施方式,所述虚拟节点配置表的信息包括:虚拟节点的名称、虚拟设备类型、虚拟IP地址、操作系统版本、CPU频率、内存大小、磁盘空间大小、分区情况和网卡数量。
作为本发明的优选实施方式,所述的生成模拟网络拓扑图,然后对网络拓扑图的完整性、连通性进行验证的具体步骤包括:
A、模拟网络生成:网络模拟器模块12接收生成虚实网络环境平台5发送的网络拓扑图生成代码,并调用开源网络模拟器Shadow的接口,在模拟器中生成具有完整节点的网络元素的运行环境,包括交换机、路由器、主机、服务器和各类路由协议;
B、模拟网络验证:验证模块13采用深度优先和广度优先算法,对网络的完整性、连通性进行验证,如果验证结果为真,则将验证结果、模拟网络拓扑图生成代码发送给代码创建器15,如果验证失败,则提示错误,并将日志保存到日志模块中。
作为本发明的优选实施方式,所述的验证结果为以下四种中的一种:
A、完整性为真、连通性为真,则验证结果为真;
B、完整性为真、连通性为假,则验证结果为假;
C、完整性为假、连通性为假,则验证结果为假;
D、完整性为假、连通性为真,则验证结果为假。
作为本发明的优选实施方式,所述代码创建器15负责生成符合电力工控靶场平台的虚实网络环境创建代码的具体步骤包括如下:
A、实体节点元素生成:根据电力工控靶场平台的网络拓扑元素代码编写规范,将实体节点配置表中的实体节点生成为符合靶场平台元素代码规范的代码;
B、网络拓扑实体元素替换:根据虚实节点配置表的对应关系,将模拟网络拓扑图生成代码中被标识为占位元素的代码用实体节点元素代码进行替换;
C、虚实网络环境代码创建:根据电力工控靶场平台的网络拓扑元素代码编写规范,将模拟网络拓扑图中所有元素代码替换为符合电力工控靶场平台元素的代码,形成虚实网络环境创建代码,然后发送给输出模块16。
本发明实施例提供了一种工控靶场虚实环境自动生成装置,参阅图2所示,该装置包括接收单元18、处理单元19、发送单元20。其中:
所述接受单元18包括所述的输入模块2、数据采集模块3、拓扑对象识别模块4,用于提供用户参数配置界面,供用户输入配置表、代码规范信息;用于通过摄像头采集纸质版的网络拓扑图,并转换为PNG或JPEG的图片。
所述处理单元19包括所述的虚实网络生成引擎1、生成虚实网络环境平台5、环境验证平台11、代码创建器15、日志模块17。所述生成虚实网络环境平台5包括虚实节点映射模块6、关系矩阵分析模块7、实体节点构造模块8、虚拟节点创建模块9、生成虚实网络模块10;所述环境验证平台11包括网络模拟器模块12、验证模块13,用于对接收单元18发送的用户输入数据和采集图片进行处理,生成虚实网络环境生成代码,传递给发送模块20。
所述发送单元20包括所述的数据输出模块16,用于对网络环境生成代码进行格式化、规范化处理,并提供对外调用的接口,允许第三方调用。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种工控靶场虚实环境自动生成系统,其特征在于,该系统包括虚实网络生成引擎(1)、输入模块(2)、图像采集模块(3)、拓扑对象识别模块(4)、生成虚实网络环境平台(5)、环境验证平台(11)、代码创建器(15)、输出模块(16)和日志模块(17);所述生成虚实网络环境平台(5)包括虚实节点映射模块(6)、关系矩阵分析模块(7)、实体节点构造模块(8)、虚拟节点创建模块(9)和生成虚实网络模块(10);所述环境验证平台(11)包括网络模拟器模块(12)和验证模块(13);其中:
所述虚实网络生成引擎(1)负责接收输入模块(2)和拓扑对象识别模块(4)的输入数据,并把数据传递给生成虚实网络环境平台(5)和代码创建器(15),并监控各个模块的运行情况,将运行情况传递给日志模块(17)进行记录;
所述输入模块(2)负责为用户提供参数配置功能,用于对虚实节点映射表、虚拟节点配置表和电力工控靶场平台代码规范进行配置;
所诉图像采集模块(3)负责通过高清摄像头采集纸质版的网络拓扑图,并输出为PNG或JPEG格式的图片;
所述拓扑对象识别模块(4)负责采用开源的对象检测算法RCNN或Faster RCNN算法对图片格式的网络拓扑图进行图像识别,将其中的交换机、路由器、主机、连接线识别出来,放入虚拟节点队列中;
所述生成虚实网络环境平台(5)负责接收虚实网络生成引擎(1)发送过来的数据,并调度内部的各个模块进行处理,然后生成创建符合网络模拟器代码规范的代码,传递给环境验证平台(11);
所述环境验证平台(11)负责生成模拟网络拓扑图,然后对网络拓扑图的完整性、连通性进行验证;
所述代码创建器(15)负责生成符合电力工控靶场平台的虚实网络环境创建代码;
所述输出模块(16)负责对代码创建器(15)发送的虚实网络环境创建代码进行格式化,使其符合人工检查的要求,然后以文本方式进行输出,同时提供对外访问的接口,允许第三方程序进行调用。
2.根据权利要求1所述的系统,其特征在于,所述虚实节点映射表的信息包括:虚拟节点的名称、虚拟设备类型、虚拟IP地址、实体设备编号、实体设备的名称、实体设备类型、实际IP地址、用户账号和密码,通过映射表,告诉系统哪些虚拟节点需要被映射为物理世界的实体设备。
3.根据权利要求1所述的系统,其特征在于,所述生成创建符合网络模拟器代码规范的代码,传递给环境验证平台的具体过程包括以下步骤:
A、虚实映射:虚实节点映射模块(6)根据虚实网络生成引擎(1)传递过来的虚实节点映射表中虚拟节点和实体节点的对应关系,将虚拟节点队列中需要映射到物理世界的实体设备上的虚拟节点进行替换,替换信息使用虚实节点映射表中的实体节点信息;
B、实体节点构造:实体节点构造模块(8)根据生成虚实节点映射模块(6)传递过来的虚实节点映射表中的实体节点为初始化数据,建立实体节点初始化配置表,配置表中含有虚实节点映射表中的所有实体节点,然后通过信息收集技术逐一对实体节点进行多轮次的验证,如果实体节点未正常运行,则将该实体节点标识为“无效”,然后从实体节点初始化配置表中删除,如果实体节点处于运行状态,则对实体设备进行配置信息采集,并将采集信息更新到实体节点初始化配置表中,最终形成实体节点配置表;
C、关联分析:关系矩阵分析模块(7)对虚实网络生成引擎(1)传递过来的虚拟节点队列中的虚拟节点和连接线进行分析,识别各个虚拟节点的连接情况,然后以虚拟节点分别为行、列元素,形成二维矩阵,矩阵的每一个交叉点表示虚拟节点的连通性,为创建虚实网络提供数据;
D、虚拟节点创建:虚拟节点创建模块(9)根据虚实节点映射模块(6)传递过来的虚拟节点配置表,采用开源的虚拟化容器Docker技术,创建满足配置要求的容器和容器环境,并通过快照方式,将生成的容器快照保存到虚拟节点配置表中;通过对每一个虚拟节点采用同样的操作,直至形成最终的虚拟节点配置表;
E、生成虚实网络:生成虚实网络模块(10)根据关系矩阵分析模块(7)发送的连接线关系矩阵、实体节点构造模块(8)发送的实体节点配置表和虚拟节点创建模块(9)发送的虚拟节点配置表,根据开源网络模拟器Shadow每一个网络拓扑元素的代码编写规范,将所有虚拟节点、连接线生成为符合模拟器代码规范的代码,将所有实体节点编码为模拟器占位标识元素,然后生成网络拓扑图代码,传递给环境验证平台(11)。
4.根据权利要求3所述的系统,其特征在于,所述的实体节点初始化配置表和实体节点配置表的信息包括:实体设备IP地址、设备存活情况、操作系统版本信息和开放的远程连接服务类型。
5.根据权利要求3所述的系统,其特征在于,所述的对实体节点进行多轮次的验证的具体方法包括:每隔10分钟重复一次实体节点初始配置表的更新操作,连续进行3次。
6.根据权利要求3所述的系统,其特征在于,所述虚拟节点配置表的信息包括:虚拟节点的名称、虚拟设备类型、虚拟IP地址、操作系统版本、CPU频率、内存大小、磁盘空间大小、分区情况和网卡数量。
7.根据权利要求1所述的系统,其特征在于,所述的生成模拟网络拓扑图,然后对网络拓扑图的完整性、连通性进行验证的具体步骤包括:
A、模拟网络生成:网络模拟器模块(12)接收生成虚实网络环境平台(5)发送的网络拓扑图生成代码,并调用开源网络模拟器Shadow的接口,在模拟器中生成具有完整节点的网络元素的运行环境,包括交换机、路由器、主机、服务器和各类路由协议;
B、模拟网络验证:验证模块(13)采用深度优先和广度优先算法,对网络的完整性、连通性进行验证,如果验证结果为真,则将验证结果、模拟网络拓扑图生成代码发送给代码创建器(15),如果验证失败,则提示错误,并将日志保存到日志模块中。
8.根据权利要求7所述的系统,其特征在于,所述的验证结果为以下四种中的一种:
A、完整性为真、连通性为真,则验证结果为真;
B、完整性为真、连通性为假,则验证结果为假;
C、完整性为假、连通性为假,则验证结果为假;
D、完整性为假、连通性为真,则验证结果为假。
9.根据权利要求1所述的系统,其特征在于,所述代码创建器(15)负责生成符合电力工控靶场平台的虚实网络环境创建代码的具体步骤包括如下:
A、实体节点元素生成:根据电力工控靶场平台的网络拓扑元素代码编写规范,将实体节点配置表中的实体节点生成为符合靶场平台元素代码规范的代码;
B、网络拓扑实体元素替换:根据虚实节点配置表的对应关系,将模拟网络拓扑图生成代码中被标识为占位元素的代码用实体节点元素代码进行替换;
C、虚实网络环境代码创建:根据电力工控靶场平台的网络拓扑元素代码编写规范,将模拟网络拓扑图中所有元素代码替换为符合电力工控靶场平台元素的代码,形成虚实网络环境创建代码,然后发送给输出模块(16)。
10.一种工控靶场虚实环境自动生成装置,其特征在于,包括接收单元(18)、处理单元(19)、发送单元(20);其中:
所述接收单元(18)包括权利要求1所述的输入模块(2)、数据采集模块(3)和拓扑对象识别模块(4);
所述输入模块(2)负责为用户提供参数配置功能,用于对虚实节点映射表、虚拟节点配置表和电力工控靶场平台代码规范进行配置;
所诉图像采集模块(3)负责通过高清摄像头采集纸质版的网络拓扑图,并输出为PNG或JPEG格式的图片;
所述拓扑对象识别模块(4)负责采用开源的对象检测算法RCNN或Faster RCNN算法对图片格式的网络拓扑图进行图像识别,将其中的交换机、路由器、主机、连接线识别出来,放入虚拟节点队列中;
所述处理单元(19)包括权利要求1所述的虚实网络生成引擎(1)、生成虚实网络环境平台(5)、环境验证平台(11)、代码创建器(15)和日志模块(17);
所述虚实网络生成引擎(1)负责接收输入模块(2)和拓扑对象识别模块(4)的输入数据,并把数据传递给生成虚实网络环境平台(5)和代码创建器(15),并监控各个模块的运行情况,将运行情况传递给日志模块(17)进行记录;
所述生成虚实网络环境平台(5)负责接收虚实网络生成引擎(1)发送过来的数据,并调度内部的各个模块进行处理,然后生成创建符合网络模拟器代码规范的代码,传递给环境验证平台(11);
所述环境验证平台(11)负责生成模拟网络拓扑图,然后对网络拓扑图的完整性、连通性进行验证;
所述代码创建器(15)负责生成符合电力工控靶场平台的虚实网络环境创建代码;
所述发送单元(20)包括权利要求1所述的数据输出模块(16);
所述输出模块(16)负责对代码创建器(15)发送的虚实网络环境创建代码进行格式化,使其符合人工检查的要求,然后以文本方式进行输出,同时提供对外访问的接口,允许第三方程序进行调用。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110166581.6A CN112929218B (zh) | 2021-02-04 | 2021-02-04 | 一种工控靶场虚实环境自动生成系统及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110166581.6A CN112929218B (zh) | 2021-02-04 | 2021-02-04 | 一种工控靶场虚实环境自动生成系统及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112929218A CN112929218A (zh) | 2021-06-08 |
CN112929218B true CN112929218B (zh) | 2022-09-27 |
Family
ID=76170989
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110166581.6A Active CN112929218B (zh) | 2021-02-04 | 2021-02-04 | 一种工控靶场虚实环境自动生成系统及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112929218B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113326103B (zh) * | 2021-08-03 | 2021-12-10 | 中电长城网际安全技术研究院(北京)有限公司 | 虚拟机创建方法及装置 |
CN114629800B (zh) * | 2022-02-09 | 2024-03-15 | 烽台科技(北京)有限公司 | 工控网络靶场的可视化生成方法、装置、终端及存储介质 |
CN114501501B (zh) * | 2022-02-09 | 2024-03-29 | 北京恒安嘉新安全技术有限公司 | 移动通信网络靶场的配置管理方法、装置、设备及介质 |
CN117331758B (zh) * | 2023-11-29 | 2024-02-23 | 博智安全科技股份有限公司 | 靶标虚拟机镜像的校验方法、装置、电子设备及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102892174A (zh) * | 2012-10-22 | 2013-01-23 | 中国矿业大学 | 基于智能天线和动态虚拟簇的均衡节能路由方法 |
CN109743293A (zh) * | 2018-12-13 | 2019-05-10 | 烽台科技(北京)有限公司 | 网络靶场的访问方法及网络靶场系统、计算机存储介质 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100609710B1 (ko) * | 2004-11-25 | 2006-08-08 | 한국전자통신연구원 | 이상 트래픽 분석을 위한 네트워크 시뮬레이션 장치 및 그방법 |
US8831013B2 (en) * | 2009-10-08 | 2014-09-09 | Brocade Communications Systems, Inc. | Virtual and logical inter-switch links |
CN101808084B (zh) * | 2010-02-12 | 2012-09-26 | 哈尔滨工业大学 | 一种大规模网络安全事件模拟与仿真方法及其控制方法 |
CN104811335B (zh) * | 2015-03-26 | 2019-02-15 | 华迪计算机集团有限公司 | 一种实现网络靶场系统的方法及网络靶场管理系统 |
JP6735592B2 (ja) * | 2016-04-08 | 2020-08-05 | キヤノン株式会社 | 画像処理装置及びその制御方法、画像処理システム |
CN108021428A (zh) * | 2017-12-05 | 2018-05-11 | 华迪计算机集团有限公司 | 一种基于Docker实现网络靶场的方法和系统 |
CN109802852B (zh) * | 2018-12-13 | 2022-06-17 | 烽台科技(北京)有限公司 | 应用于网络靶场的网络仿真拓扑的构建方法及系统 |
CN110132051B (zh) * | 2019-06-12 | 2019-12-13 | 广州锦行网络科技有限公司 | 一种虚实结合的信息安全实战靶场构建方法 |
-
2021
- 2021-02-04 CN CN202110166581.6A patent/CN112929218B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102892174A (zh) * | 2012-10-22 | 2013-01-23 | 中国矿业大学 | 基于智能天线和动态虚拟簇的均衡节能路由方法 |
CN109743293A (zh) * | 2018-12-13 | 2019-05-10 | 烽台科技(北京)有限公司 | 网络靶场的访问方法及网络靶场系统、计算机存储介质 |
Non-Patent Citations (1)
Title |
---|
复杂机电产品线缆虚实融合装配体系构建及其关键技术;王发麟等;《图学学报》;20180215(第01期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN112929218A (zh) | 2021-06-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112929218B (zh) | 一种工控靶场虚实环境自动生成系统及装置 | |
CN109802852B (zh) | 应用于网络靶场的网络仿真拓扑的构建方法及系统 | |
CN112968798B (zh) | 适用于电力工控靶场平台的虚实网络环境自动生成方法 | |
CN109033471B (zh) | 一种信息资产识别方法及装置 | |
CN108052408B (zh) | 基于告警信息内容的告警工单快速提交方法及系统 | |
CN108965021B (zh) | 虚拟演练网络的创建方法和装置 | |
JP2019513246A (ja) | ランダムフォレストモデルの訓練方法、電子装置及び記憶媒体 | |
CN108319161A (zh) | 一种工业scada系统仿真平台 | |
CN108306804A (zh) | 一种Ethercat主站控制器及其通信方法和系统 | |
CN105207366B (zh) | 基于iec61850的配电终端即插即用模型配置工具及其实现方法 | |
CN102438173A (zh) | 一种远程控制机顶盒的方法及系统 | |
CN103078769B (zh) | 一种实现实物设备无缝接入网络模拟器的系统及方法 | |
CN109150854B (zh) | 基于xml文件的动态可配置通信规约转换系统 | |
CN112650077A (zh) | 基于工控业务仿真的plc蜜罐系统、实现方法及仿真设备 | |
CN105577439A (zh) | 一种基于传感设备为基础的仿真模拟方法 | |
CN114338172B (zh) | 一种移动网络靶场系统以及网络流量攻击模拟方法 | |
CN104638767A (zh) | 一种面向智能变电站测试的间隔层数据源模拟方法及装置 | |
Lucchese et al. | HoneyICS: A High-interaction Physics-aware Honeynet for Industrial Control Systems | |
CN111935767B (zh) | 一种网络仿真系统 | |
CN111880977B (zh) | 故障自愈方法和装置、设备及存储介质 | |
CN112187834A (zh) | 一种基于安全存储的区块链网络节点服务系统 | |
CN110855654B (zh) | 基于流量互访关系的漏洞风险量化管理方法和系统 | |
CN104168206B (zh) | 适配网关负载均衡控制装置方法、装置和系统 | |
CN112527453B (zh) | 虚拟化信息仿真系统、方法及计算机可读存储介质 | |
Khan et al. | Lightweight testbed for cybersecurity experiments in scada-based systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |