CN115225508A - 一种互联网靶场场景构建方法 - Google Patents

Abstract

本发明提供一种互联网靶场场景构建方法，通过虚拟实体模型的抽象技术、虚拟化映射服务技术，建立互联网物理与逻辑实体映射模型，形成面向虚实结合的逻辑实体场景模型库；通过组件化、模块化方案，基于OPS的可编程SDN控制器、VLAN和VXLAN的网络虚拟化技术，通过鼠标拖拽、拓扑环境复现技术等绘制网络连通性、虚拟设备、实物设备的描述，构建形成根据给定的场景，实现“所见即所得”。

Description

一种互联网靶场场景构建方法

技术领域

本发明涉及一种，具体的说，涉及了一种互联网靶场场景构建方法。

背景技术

互联网的广泛应用极大地促进了生产、生活、经济等各个方面的飞速发展，但由于网络设备在通信协议、内置操作系统和安全防护等方面的缺陷，其伴生的安全问题也带来了不曾面临的严峻挑战。由于安全性测试可能对生产网络的业务运行造成干扰甚至是破坏，一般性的理论分析与仿真实验由于构建的时间成本较高，难以揭示网络实现层面的相关问题，网络靶场是全面衡量网络空间信息是否安全的试金石，能最大限度还原网络场景细节，但互联网节点多样化模拟需求下面向虚实结合的网络拓扑快速设计与组网能力尚有不足，主要体现在：①不能做到“所见即所得”，不能通过组件化、模块化方案实现快速设计，对大型拓扑绘制支撑能力不足；②对虚拟网络空间、物理网络空间、混合网络空间等多种网络架构的系统支持性不足，虚实结合实施效果不理想。

为了解决以上存在的问题，人们一直在寻求一种理想的技术解决方案。

发明内容

本发明的目的是针对现有技术的不足，从而提供了一种互联网靶场场景构建方法。

为了实现上述目的，本发明所采用的技术方案是：一种互联网靶场场景构建方法，包括以下步骤：

抽取实体设备的关键属性集，基于关键属性集组装生成虚实等价执行体对象模型；

基于底层物理网络和虚拟网络请求构建虚拟网络映射模型，基于虚拟网络映射模型对虚实等价执行体对象模型进行虚拟网络映射，生成虚实等价执行体实例；

识别虚实等价执行体实例中的异构等价执行体，并存储为虚拟设备逻辑实体模型，形成面向虚实结合的逻辑实体场景模型库；

监听自定义网络拓扑绘制操作，获取空间分布、功能组网、任务组网三个维度中的虚拟设备逻辑实体模型以及模型关系，采用基于多层网络的空间信息网络拓扑结构建模方法，生成网络空间信息拓扑结构模型；

依据虚拟设备逻辑实体模型的设备应用协议，基于OPS的可编程SDN 控制器以及VLAN和VXLAN的网络虚拟化技术，构建虚实结合网络；

基于虚实结合网络生成可视化数据展示模型，通过可视化组件对可视化数据展示模型进行可视化管理，实现互联网靶场场景拓扑的构建。

本发明还提供一种互联网靶场场景构建装置，包括：

参数抽取模块，用于抽取实体设备的关键属性集；

参数配置引擎，用于基于关键属性集组装生成虚实等价执行体对象模型；

虚拟化映射服务器，用于基于底层物理网络和虚拟网络请求构建虚拟网络映射模型，基于虚拟网络映射模型对虚实等价执行体对象模型进行虚拟网络映射，生成虚实等价执行体实例；

异构执行体识别引擎，用于识别虚实等价执行体实例中的异构等价执行体，并存储为虚拟设备逻辑实体模型，形成面向虚实结合的逻辑实体场景模型库；

网络拓扑自定义编排器，用于监听自定义网络拓扑绘制操作，获取空间分布、功能组网、任务组网三个维度中的虚拟设备逻辑实体模型以及模型关系，采用基于多层网络的空间信息网络拓扑结构建模方法，生成网络空间信息拓扑结构模型；

虚实网络构建模块，用于依据虚拟设备逻辑实体模型的设备应用协议，基于OPS的可编程SDN控制器以及VLAN和VXLAN的网络虚拟化技术，构建虚实结合网络；

网络拓扑编辑器，用于基于虚实结合网络生成可视化数据展示模型，通过可视化组件对可视化数据展示模型进行可视化管理，实现互联网靶场场景拓扑的构建。

本发明还提供一种计算机设备，包括：处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；

所述存储器用于存放至少一可执行指令，所述可执行指令使处理器执行如前述的互联网靶场场景构建方法对应的操作。

本发明相对现有技术具有突出的实质性特点和显著的进步，具体的说，本发明基于互联网设备通过虚拟实体模型的抽象技术、虚拟化映射服务技术，建立互联网物理与逻辑实体映射模型，形成面向虚实结合的逻辑实体场景模型库；通过组件化、模块化方案，基于OPS的可编程SDN控制器、VLAN和VXLAN 的网络虚拟化技术，通过鼠标拖拽、拓扑环境复现技术等绘制网络连通性、虚拟设备、实物设备的描述，构建形成根据给定的场景，实现“所见即所得”；通过可视化展示引擎，形成场景拓扑的自定义编排与模拟能力。

附图说明

图1是本发明的流程示意图。

图2是本发明的虚实等价执行体对象模型的生成流程示意图。

图3是本发明的互联网靶场场景构建装置的原理示意图。

具体实施方式

下面通过具体实施方式，对本发明的技术方案做进一步的详细描述。

如图1所示，一种互联网靶场场景构建方法，包括以下步骤：

步骤1，抽取实体设备的关键属性集，基于关键属性集组装生成虚实等价执行体对象模型。

步骤2，基于底层物理网络和虚拟网络请求构建虚拟网络映射模型，基于虚拟网络映射模型对虚实等价执行体对象模型进行虚拟网络映射，生成虚实等价执行体实例。

步骤3，识别虚实等价执行体实例中的异构等价执行体，并存储为虚拟设备逻辑实体模型，形成面向虚实结合的逻辑实体场景模型库；

具体的，依据如下约束识别虚实等价执行体实例中的异构等价执行体：

P_i和P_j为两个虚实等价执行体实例，

，如果P_i和P_j的功能和结构均完全相同，则P_i＝P_j，为等价执行体，否则P_i≠P_j为异构执行体；

步骤4，监听自定义网络拓扑绘制操作，获取空间分布、功能组网、任务组网三个维度中的虚拟设备逻辑实体模型以及模型关系，采用基于多层网络的空间信息网络拓扑结构建模方法，生成网络空间信息拓扑结构模型。优选的，所述自定义网络拓扑绘制操作包括鼠标拖拽等操作，或者输入拓扑环境复现技术等绘制网络连通性、虚拟设备、实物设备的文字描述；

步骤5，依据虚拟设备逻辑实体模型的设备应用协议，基于OPS的可编程SDN控制器以及VLAN和VXLAN的网络虚拟化技术，构建虚实结合网络。

步骤4，基于虚实结合网络生成可视化数据展示模型，通过可视化组件对可视化数据展示模型进行可视化管理，实现互联网靶场场景拓扑的构建。

具体的，所述可视化管理包括对节点的开关机、快照、截屏、录屏等功能。

本发明基于互联网设备通过虚拟实体模型的抽象技术、虚拟化映射服务技术，建立互联网物理与逻辑实体映射模型，形成面向虚实结合的逻辑实体场景模型库，实现对虚拟网络空间、物理网络空间、混合网络空间等多种网络架构的系统支持性；通过组件化、模块化方案，基于OPS的可编程SDN控制器、VLAN和VXLAN的网络虚拟化技术，通过鼠标拖拽、拓扑环境复现技术等绘制网络连通性、虚拟设备、实物设备的描述，构建形成根据给定的场景，实现“所见即所得”，能够有效支撑大型网络拓扑的绘制。

进一步的，基于关键属性集组装生成虚实等价执行体对象模型，执行：

根据关键属性集生成配置参数，所述关键属性集包括设备型号、类别、网口数量、网口编号以及MAC地址；

基于存储引擎和配置参数选择实例组装策略，进行实例组装；

组装后的实例被传送到可执行任务队列中，由场景交换机通过vlan 技术解析并校验网口编号以及MAC地址，生成虚拟等价执行体对象模型。

可以理解，网络拓扑空间划分为空间分布、功能组网、任务组网三个维度，每一个维度均包含逻辑实体模型、模型节点之间的关系；因此在用户自定义网络拓扑绘制操作过程中，如果绘制的是单个逻辑实体模型，则通过画布拖拽事件监听器获取的是空间分布、功能组网、任务组网三个维度中的虚拟设备逻辑实体模型以及模型关系；如果绘制的是多个逻辑实体模型组成的模型集群，则还可以通过群组事件监听器获取模型集群的嵌套关联。还可以从输入的绘制网络连通性、虚拟设备、实物设备的文字描述提取空间分布、功能组网、任务组网三个维度中的虚拟设备逻辑实体模型以及模型关系，或获取模型集群的嵌套关联。

在获取三个维度的虚拟设备逻辑实体模型以及模型关系后，则进一步采用基于多层网络的空间信息网络拓扑结构建模方法，生成网络空间信息拓扑结构模型，具体步骤如下：

定义每一个虚拟设备逻辑实体模型为一个虚拟节点，虚拟节点模型为 Node＝{id，编号类型，功能，设备相关属性}；其中，ID、类型、功能和编号属性为基本属性，ID为虚拟节点在网络中的唯一标识，根据网络层划分方法确定；节点类型表示虚拟节点所隶属的物理空间层次，不同节点类型划分构成不同的空间分层；功能标识节点功能组网层次隶属，分为通信(C)、传感(S)、导航(N)、指控(C&C)等，不同的节点功能构成不同的功能组网分层；编号为节点在功能子网中的数字标识；设备相关属性是实体的进一步描述，根据节点类型和功能确定；

定义模型关系为虚拟节点关系，虚拟节点关系模型为Edge＝ {Node1，Node2，相关属性}，Node1和Node2为一般属性，表示具有链接的两个虚拟节点；相关属性，按照链接对象的不同具有不同的属性参数，其属性参数的提取主要是依据链接对象即节点本身的一些特性；

定义每个维度下的单元层模型为L＝L_S×L_F×L_T，其中，L_S、L_F、L_T分别为空间分布层、功能组网层、任务组网层；

基于虚拟节点模型、虚拟节点关系模型以及单元层模型，生成网络空间信息拓扑结构模型

其中，G_M表示网络空间信息拓扑结构模型，V_M表示某一特定区域的节点子集，V表示网络拓扑空间中所有节点的集合，E_M＝V_M×V_M，表示所有层中所有节点之间的连边关系。

进一步的，依据虚拟设备逻辑实体模型的设备应用协议，基于OPS的可编程SDN控制器以及VLAN和VXLAN的网络虚拟化技术，构建虚实结合网络时，执行：

接收并解析虚拟网络请求，将生成的网络空间信息拓扑结构模型暂存至任务池；

遍历所有虚拟节点，对每一个虚拟节点，执行节点映射算法，分配节点所需的计算资源、存储资源；通过基于OPS的可编程SDN控制器查询是否存在可映射的物理节点，如果有，则将该虚拟节点映射到对应物理节点上，并为所述物理节点创建一个资源子网进行ip网段分配，通过Tenant 创建一个路由并将所述物理节点创连接到路由上，最后将路由链接到外部网络上，实现虚拟网络资源与实体设备网络资源的网络映射；如果没有检测到可映射的物理节点，则选取一条虚拟链路，基于VLAN和VXLAN的网络虚拟化技术，执行虚拟链路映射算法，通过VTEP节点将逻辑网络中的数据帧封装在物理网络中进行传输，或者将数据帧添加在VXLAN头部之后封装到物理网络中的UDP报文中进行传输，实现虚拟链路的网络关系映射。

实施例2

本实施例提供一种互联网靶场场景构建装置，如图3所示，包括

参数抽取模块，用于抽取实体设备的关键属性集；

参数配置引擎，用于基于关键属性集组装生成虚实等价执行体对象模型；

虚拟化映射服务器，用于基于底层物理网络和虚拟网络请求构建虚拟网络映射模型，基于虚拟网络映射模型对虚实等价执行体对象模型进行虚拟网络映射，生成虚实等价执行体实例；

异构执行体识别引擎，用于识别虚实等价执行体实例中的异构等价执行体，并存储为虚拟设备逻辑实体模型，形成面向虚实结合的逻辑实体场景模型库；

网络拓扑自定义编排器，用于监听自定义网络拓扑绘制操作，获取空间分布、功能组网、任务组网三个维度中的虚拟设备逻辑实体模型以及模型关系，采用基于多层网络的空间信息网络拓扑结构建模方法，生成网络空间信息拓扑结构模型；

虚实网络构建模块，用于依据虚拟设备逻辑实体模型的设备应用协议，基于OPS的可编程SDN控制器以及VLAN和VXLAN的网络虚拟化技术，构建虚实结合网络；

网络拓扑编辑器，用于基于虚实结合网络生成可视化数据展示模型，通过可视化组件对可视化数据展示模型进行可视化管理，实现互联网靶场场景拓扑的构建。

基于上述，参数配置引擎基于关键属性集组装生成虚实等价执行体对象模型，执行：

根据关键属性集生成配置参数，所述关键属性集包括设备型号、类别、网口数量、网口编号以及MAC地址；

基于存储引擎和配置参数选择实例组装策略，进行实例组装；

组装后的实例被传送到可执行任务队列中，由场景交换机通过vlan技术解析并校验网口编号以及MAC地址，生成虚拟等价执行体对象模型。

基于上述，异构执行体识别引擎依据如下约束识别虚实等价执行体实例中的异构等价执行体：

P_i和P_j为两个虚实等价执行体实例，

，如果P_i和P_j的功能和结构均完全相同，则P_i＝P_j，为等价执行体，否则P_i≠P_j为异构执行体。

基于上述，虚实网络构建模块依据虚拟设备逻辑实体模型的设备应用协议，基于OPS的可编程SDN控制器以及VLAN和VXLAN的网络虚拟化技术，构建虚实结合网络时，执行：

接收并解析虚拟网络请求，将生成的网络空间信息拓扑结构模型暂存至任务池；

遍历所有虚拟节点，对每一个虚拟节点，执行节点映射算法，分配节点所需的计算资源、存储资源；通过基于OPS的可编程SDN控制器查询是否存在可映射的物理节点，如果有，则将该虚拟节点映射到对应物理节点上，并为所述物理节点创建一个资源子网进行ip网段分配，通过Tenant 创建一个路由并将所述物理节点创连接到路由上，最后将路由链接到外部网络上，实现虚拟网络资源与实体设备网络资源的网络映射；如果没有检测到可映射的物理节点，则选取一条虚拟链路，基于VLAN和VXLAN的网络虚拟化技术，执行虚拟链路映射算法，通过VTEP节点将逻辑网络中的数据帧封装在物理网络中进行传输，或者将数据帧添加在VXLAN头部之后封装到物理网络中的UDP报文中进行传输，实现虚拟链路的网络关系映射。

实施例3

本实施例提供一种计算机设备，包括：处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；

所述存储器用于存放至少一可执行指令，所述可执行指令使处理器执行如实施例所述的互联网靶场场景构建方法对应的操作。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制；尽管参照较佳实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换；而不脱离本发明技术方案的精神，其均应涵盖在本发明请求保护的技术方案范围当中。

Claims (10)

1.一种互联网靶场场景构建方法，其特征在于，包括以下步骤：

抽取实体设备的关键属性集，基于关键属性集组装生成虚实等价执行体对象模型；

基于底层物理网络和虚拟网络请求构建虚拟网络映射模型，基于虚拟网络映射模型对虚实等价执行体对象模型进行虚拟网络映射，生成虚实等价执行体实例；

识别虚实等价执行体实例中的异构等价执行体，并存储为虚拟设备逻辑实体模型，形成面向虚实结合的逻辑实体场景模型库；

监听自定义网络拓扑绘制操作，获取空间分布、功能组网、任务组网三个维度中的虚拟设备逻辑实体模型以及模型关系，采用基于多层网络的空间信息网络拓扑结构建模方法，生成网络空间信息拓扑结构模型；

依据虚拟设备逻辑实体模型的设备应用协议，基于OPS的可编程SDN控制器以及VLAN和VXLAN的网络虚拟化技术，构建虚实结合网络；

基于虚实结合网络生成可视化数据展示模型，通过可视化组件对可视化数据展示模型进行可视化管理，实现互联网靶场场景拓扑的构建。

2.根据权利要求1所述的一种互联网靶场场景构建方法，其特征在于，基于关键属性集组装生成虚实等价执行体对象模型，执行：

根据关键属性集生成配置参数，所述关键属性集包括设备型号、类别、网口数量、网口编号以及MAC地址；

基于存储引擎和配置参数选择实例组装策略，进行实例组装；

组装后的实例被传送到可执行任务队列中，由场景交换机通过vlan技术解析并校验网口编号以及MAC地址，生成虚拟等价执行体对象模型。

3.根据权利要求1所述的一种互联网靶场场景构建方法，其特征在于，依据如下约束识别虚实等价执行体实例中的异构等价执行体：

P_i和P_j为两个虚实等价执行体实例，

如果P_i和P_j的功能和结构均完全相同，则P_i＝P_j，为等价执行体，否则P_i≠P_j为异构执行体。

4.根据权利要求1所述的一种互联网靶场场景构建方法，其特征在于，基于多层网络的空间信息网络拓扑结构建模方法的具体步骤如下：

定义每一个虚拟设备逻辑实体模型为一个虚拟节点，虚拟节点模型为Node＝{id，编号，类型，功能，设备相关属性}，定义模型关系为虚拟节点关系，虚拟节点关系模型为Edge＝{Node1，Node2，相关属性}，Node1和Node2表示具有链接的两个虚拟节点；

定义每个维度下的单元层模型为L＝L_S×L_F×L_T，其中，L_S、L_F、L_T分别为空间分布层、功能组网层、任务组网层；

基于虚拟节点模型、虚拟节点关系模型以及单元层模型，生成网络空间信息拓扑结构模型

其中，G_M表示网络空间信息拓扑结构模型，V_M表示某一特定区域的节点子集，V表示网络拓扑空间中所有节点的集合，E_M＝V_M×V_M，表示所有层中所有节点之间的连边关系。

5.根据权利要求1所述的一种互联网靶场场景构建方法，其特征在于，依据虚拟设备逻辑实体模型的设备应用协议，基于OPS的可编程SDN控制器以及VLAN和VXLAN的网络虚拟化技术，构建虚实结合网络时，执行：

接收并解析虚拟网络请求，将生成的网络空间信息拓扑结构模型暂存至任务池；

遍历所有虚拟节点，对每一个虚拟节点，执行节点映射算法，分配节点所需的计算资源、存储资源；通过基于OPS的可编程SDN控制器查询是否存在可映射的物理节点，如果有，则将该虚拟节点映射到对应物理节点上，并为所述物理节点创建一个资源子网进行ip网段分配，通过Tenant创建一个路由并将所述物理节点创连接到路由上，最后将路由链接到外部网络上，实现虚拟网络资源与实体设备网络资源的网络映射；如果没有检测到可映射的物理节点，则选取一条虚拟链路，基于VLAN和VXLAN的网络虚拟化技术，执行虚拟链路映射算法，通过VTEP节点将逻辑网络中的数据帧封装在物理网络中进行传输，或者将数据帧添加在VXLAN头部之后封装到物理网络中的UDP报文中进行传输，实现虚拟链路的网络关系映射。

6.一种互联网靶场场景构建装置，其特征在于：包括

参数抽取模块，用于抽取实体设备的关键属性集；

参数配置引擎，用于基于关键属性集组装生成虚实等价执行体对象模型；

虚拟化映射服务器，用于基于底层物理网络和虚拟网络请求构建虚拟网络映射模型，基于虚拟网络映射模型对虚实等价执行体对象模型进行虚拟网络映射，生成虚实等价执行体实例；

异构执行体识别引擎，用于识别虚实等价执行体实例中的异构等价执行体，并存储为虚拟设备逻辑实体模型，形成面向虚实结合的逻辑实体场景模型库；

网络拓扑自定义编排器，用于监听自定义网络拓扑绘制操作，获取空间分布、功能组网、任务组网三个维度中的虚拟设备逻辑实体模型以及模型关系，采用基于多层网络的空间信息网络拓扑结构建模方法，生成网络空间信息拓扑结构模型；

虚实网络构建模块，用于依据虚拟设备逻辑实体模型的设备应用协议，基于OPS的可编程SDN控制器以及VLAN和VXLAN的网络虚拟化技术，构建虚实结合网络；

网络拓扑编辑器，用于基于虚实结合网络生成可视化数据展示模型，通过可视化组件对可视化数据展示模型进行可视化管理，实现互联网靶场场景拓扑的构建。

7.根据权利要求6所述的互联网靶场场景构建装置，其特征在于，参数配置引擎基于关键属性集组装生成虚实等价执行体对象模型，执行：

根据关键属性集生成配置参数，所述关键属性集包括设备型号、类别、网口数量、网口编号以及MAC地址；

基于存储引擎和配置参数选择实例组装策略，进行实例组装；

组装后的实例被传送到可执行任务队列中，由场景交换机通过vlan技术解析并校验网口编号以及MAC地址，生成虚拟等价执行体对象模型。

8.根据权利要求6所述的互联网靶场场景构建装置，其特征在于：异构执行体识别引擎依据如下约束识别虚实等价执行体实例中的异构等价执行体：

P_i和P_j为两个虚实等价执行体实例，

如果P_i和P_j的功能和结构均完全相同，则P_i＝P_j，为等价执行体，否则P_i≠P_j为异构执行体。

9.根据权利要求6所述的互联网靶场场景构建装置，其特征在于，虚实网络构建模块依据虚拟设备逻辑实体模型的设备应用协议，基于OPS的可编程SDN控制器以及VLAN和VXLAN的网络虚拟化技术，构建虚实结合网络时，执行：

接收并解析虚拟网络请求，将生成的网络空间信息拓扑结构模型暂存至任务池；

遍历所有虚拟节点，对每一个虚拟节点，执行节点映射算法，分配节点所需的计算资源、存储资源；通过基于OPS的可编程SDN控制器查询是否存在可映射的物理节点，如果有，则将该虚拟节点映射到对应物理节点上，并为所述物理节点创建一个资源子网进行ip网段分配，通过Tenant创建一个路由并将所述物理节点创连接到路由上，最后将路由链接到外部网络上，实现虚拟网络资源与实体设备网络资源的网络映射；如果没有检测到可映射的物理节点，则选取一条虚拟链路，基于VLAN和VXLAN的网络虚拟化技术，执行虚拟链路映射算法，通过VTEP节点将逻辑网络中的数据帧封装在物理网络中进行传输，或者将数据帧添加在VXLAN头部之后封装到物理网络中的UDP报文中进行传输，实现虚拟链路的网络关系映射。

10.一种计算机设备，包括：处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；

所述存储器用于存放至少一可执行指令，所述可执行指令使处理器执行如权利要求1-5中任一项所述的互联网靶场场景构建方法对应的操作。

Images