CN115242562A - 一种基于虚拟化技术的网络安全靶场及其运行方法 - Google Patents

一种基于虚拟化技术的网络安全靶场及其运行方法 Download PDF

Info

Publication number
CN115242562A
CN115242562A CN202211169373.2A CN202211169373A CN115242562A CN 115242562 A CN115242562 A CN 115242562A CN 202211169373 A CN202211169373 A CN 202211169373A CN 115242562 A CN115242562 A CN 115242562A
Authority
CN
China
Prior art keywords
network
layer
shooting range
network security
mark
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211169373.2A
Other languages
English (en)
Other versions
CN115242562B (zh
Inventor
马虹哲
赵瑾阳
詹晶晶
杨扬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Clp Runs Beijing Information Technology Co ltd
Original Assignee
Clp Runs Beijing Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Clp Runs Beijing Information Technology Co ltd filed Critical Clp Runs Beijing Information Technology Co ltd
Priority to CN202211169373.2A priority Critical patent/CN115242562B/zh
Publication of CN115242562A publication Critical patent/CN115242562A/zh
Application granted granted Critical
Publication of CN115242562B publication Critical patent/CN115242562B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出了一种基于虚拟化技术的网络安全靶场及其运行方法,虚拟管理单元将网络安全靶场网层分割成三个或三个以上的层,网络安全靶场网层从第一层中的核心网元开始生长,其他层依次从前一层生成,并且与前一层互连;每层的网元仅与前一层或下一层相关联的网元共享资源;为网络安全靶场网层中的每一层生成不同且独一的记号并维护每一层的记号列表;通过网络靶场管理单元执行管理网络安全靶场网层内网元之间的逻辑连接的请求;从记号列表中查询得到源头主机的记号,并判断网络安全靶场网层中的每一层内是否存在与源头主机的记号相同记号的层虚拟机。

Description

一种基于虚拟化技术的网络安全靶场及其运行方法
技术领域
本发明涉及网络安全靶场领域,尤其涉及一种基于虚拟化技术的网络安全靶场及其运行方法。
背景技术
随着计算机网络应用的日益广泛,网络安全的问题也日益突出,各国都在大力研究网络安全防范问题,以防信息泄露。但网络入侵的手段丰富多样,使得研究与工作人员防不胜防。网络靶场就是一种训练网络研究与管理人员的演练系统,让防御人员在攻击者前面学会主动防御,而不是在攻击行为之后被动处理。
网络靶场是一种比较新的网络安全防御技术。狭义上来讲,网络靶场就是通过对网络安全攻击与防御事件的模拟,构建虚拟网络攻防平台。实验中会模拟各种操作系统下的多种攻击方式,然后收集其中的数据并进行分析,进而针对收集到的数据进行处理,找出如何防御攻击的方法,使得技术人员应对网络攻击的防御能力得到提升。广义上来讲,只要能对一种或多种攻击行为进行检测、防护、数据收集等工作,并通过数据分析实现防御能力改进和完善的网络攻防演练平台,这些都可以称之为网络靶场。网络靶场是新兴的网络安全防御技术,可以进行网络攻击和防御的演练,分析演练的情况,从而改进防御部署,提高防御能力。因此,当前形势下,在虚拟化网络靶场之上搭建蜜罐,实现网络攻防演练。通过攻击与防御的演练来增强自身防御的能力,具有重要意义。
我国高度重视网络安全保障工作,靶场建设工作虽已取得较大成就,但与发达国家相比仍存在较大差距,主要原因为:一是技术水平相对较低,我国缺乏网络安全的人才,对关键技术研究不足且滞后;二是缺乏统一管理,各职能部门职责不清,在一定程度上影响了靶场建设的发展。因此,我国对于网络靶场的建立,应从相关技术的研究、人员的培训、相关经费的投入等角度进行切入,从而加快提升网络作战能力的步伐。
虚拟化技术是一种资源管理技术,它抽象出计算机的各种物理资源,如服务器,网络,内存和存储,并在转换后呈现它们,打破了物理结构之间无法切断的障碍,使用户能够比原始配置更高效的利用这些资源。这些资源的新虚拟部分不受现有资源构建方式、地理位置或物理方式的限制。这些虚拟资源通常称为虚拟化资源,包含计算机硬件虚拟化、存储虚拟化、计算机网络虚拟化等。但是现有技术中的基于虚拟化技术的网络安全靶场的网络安全攻防能力不足或攻防靶场不具备代表性,很难支撑整体网络安全防御能力建设。
现有技术中,例如专利文献CN109286611A提供了一种网络靶场云平台系统、构建方法、设备和介质。包括:身份认证模块、资源管理模块和应用构建模块,其中:所述身份认证模块用于对用户进行身份认证,资源管理模块用于向应用构建模块提供虚拟资源,应用构建模块用于根据所分配的虚拟资源构建网络靶场应用,并将网络靶场应用提供给身份认证通过的用户。但是该技术方案中,接收的服务,资源,应用等数据过于繁多,容易造成系统反应慢。
再例如专利文献CN111343158A公开了一种基于虚拟化技术的网络靶场平台,属于网络安全领域,包括攻防指控子系统、攻击模拟子系统,还包括环境仿真子系统。环境仿真子系统提供仿真的网络环境平台,攻击模拟子系统分布式部署了多种网络攻击工具集,可对环境仿真子系统模拟发起各类不同的网络攻击行为;攻防指控子系统实现对网络攻击任务的管理调度和资源分配,同时对网络攻击的整体态势和战场攻防的结果进行评估,并以可视化的方式进行呈现。但是该技术方案中并不适用于体系化的网络空间安全防御。
发明内容
为了解决上述技术问题,本发明提出了一种基于虚拟化技术的网络安全靶场,包括网络靶场管理单元、网络处理单元以及虚拟管理单元;
所述虚拟管理单元将网络安全靶场网层分割成三个或三个以上的层,网络安全靶场网层从第一层中的核心网元开始生长,第一层的核心网元互相连接;其他层依次从前一层生成,并且与前一层互连;其他层中的计算网元通过向网络安全靶场网层注册的过程而被分配给前一层;
每层的网元仅与前一层或下一层相关联的网元共享资源;
所述网络靶场管理单元,用于为网络安全靶场网层中的每一层生成不同且独一的记号并维护每一层的记号列表;通过网络靶场管理单元执行管理网络安全靶场网层内网元之间的逻辑连接的请求;
所述网络处理单元,用于在获取到问询报文时,从记号列表中查询得到源头主机的记号,并判断网络安全靶场网层中的每一层内是否存在与源头主机的记号相同的层虚拟设备的记号。
进一步地,如果第三层在规定时间内,未向网络安全靶场网层注册,则第一层的第二计算网元只能与第一层的核心网元共享资源,直到第三层的第三计算网元向网络安全靶场网层注册。
进一步地,第二层的第二计算网元间不相互连接,使得第二计算网元在第二层内不完全互连。
进一步地,第一层的核心网元响应于与所述核心网元通信的物理设备接收到的对网络安全靶场网层的请求,所述核心网元向与其共享资源的计算网元请求资源以及所述与其共享资源的计算网元所在层的层虚拟设备的记号。
进一步地,第一层的核心网元被配置为仅向第二层的第二计算网元请求服务,而不是向其他请求网元进行广播。
进一步地,所述网络靶场管理单元为网络安全靶场网层中每一层的层虚拟设备分配网络地址和访问控制地址,并将网络安全靶场网层中每一层的层虚拟设备的访问控制地址、网络地址以及与层虚拟设备的记号之间的对应关系存入记号列表中。
进一步地,所述虚拟管理单元,在网络安全靶场运行时在计算网元的虚拟连接中创建将问询报文流转到网络处理单元的表项。
本发明还提出了一种基于虚拟化技术的网络安全靶场的运行方法,用于运行基于虚拟化技术的网络安全靶场,
将网络安全靶场网层分割成三个或三个以上的层,网络安全靶场网层从第一层中的核心网元开始生长,第一层的核心网元完全互连;其他层依次从前一层生成,并且与前一层互连;其他层的计算网元在从前一层生成时通过向网络安全靶场网层注册的过程而被分配给前一层;每层的网元仅与前一层或下一层相关联的网元共享资源;
为网络安全靶场网层中的每一层生成不同的且独一的记号并维护每一层的记号列表,执行管理网络安全靶场网层内网元之间的逻辑连接的请求;
在获取到问询报文时,从记号列表中查询得到源头主机的记号,并判断网络安全靶场网层中的每一层内是否存在与源头主机的记号相同的层虚拟设备的记号。
进一步地,若不存在与源头主机的记号相同的层虚拟设备的记号,则丢弃问询报文,若存在与源头主机的记号相同的层虚拟设备的记号,则获取所述层虚拟设备的访问控制地址,对问询报文进行回复,并在网络安全靶场网层运行时,向计算网元的中创建将问询报文并流转到网络处理单元的表项。
进一步地,将接收到的从计算网元上载的与表项进行对比;如果与表项相关的报文的网络地址和访问控制地址属于不同的层物理设备,则向计算网元的中创建源表项,并上载与源表项相关的问询报文。
相比于现有技术,本发明具有如下有益技术效果:
将网络安全靶场网层以预定的层数被分割成多个层,网络安全靶场网层从第一层中的核心网元开始生长,其他层依次从前一层生成,并且与前一层互连,减少了共享资源的网元的数量,扩展了网络安全靶场网层内的网元互连,使得每个网元不必虚拟地连接到所有其他网元,而是可以连接到网络安全靶场网层的其他层的网元,并且可以被限制为仅与前一层或下一层相关联的网元共享资源,以减少可以接收服务,资源,应用等的网元的数量。
核心网元被配置为仅向第二层的第二计算网元请求服务,而不是向靠近或邻近请求网元的任何网元进行广播。网络安全靶场网层的所有网元被限制为与请求网元的层的上一层或下一层的网元通信,以避免跨层的网元共享资源。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的基于虚拟化技术的网络安全靶场的结构示意图;
图2为本发明的基于虚拟化技术的网络安全靶场的运行方法的流程图;
图3为本发明的分层的网络安全靶场网层的网元之间的互连的示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在本发明的具体实施例附图中,为了更好、更清楚的描述系统中的各元件的工作原理,表现所述装置中各部分的连接关系,只是明显区分了各元件之间的相对位置关系,并不能构成对元件或结构内的信号传输方向、连接顺序及各部分结构大小、尺寸、形状的限定。
如图1所示,为基于虚拟化技术的网络安全靶场的结构示意图。网络安全靶场包括网络靶场管理单元、网络处理单元以及虚拟管理单元。
如图2所示,为基于虚拟化技术的网络安全靶场的运行方法的流程图。
虚拟管理单元将网络安全靶场网层分割成三个或三个以上的层;所述网络靶场管理单元,用于为网络安全靶场网层中的每一层生成不同的且全网络独一的记号并维护每一层的记号列表;通过网络靶场管理单元执行管理网络安全靶场网层内的网元之间的逻辑连接的请求。
如图3所示,为分层的网络安全靶场网层100的网元之间的互连的示意图,该实施例中虚拟管理单元将网络安全靶场网层100分割成四个层。如图中示出的第一层102、第二层104、第三层106和第四层108。
网络安全靶场网层100中的每层的网元可以与其它层的网元进行逻辑通信,为了减少共享资源的网元的数量,扩展网络安全靶场网层内的网元互连,使得每个网元不必虚拟地连接到所有其他网元,而是可以连接到网络安全靶场网层的其他层的网元,并且可以被限制为仅与前一层或下一层相关联的网元共享资源,以减少可以接收服务,资源,应用等的网元的数量。
网络安全靶场网层100可以从第一层102中的核心网元110开始生长。尽管图中示出的网络安全靶场网层100的核心网元110包括四个网元,如图2中的空心圆圈所示,应当理解,在第一层102中可以包括任意数量的核心网元。此外,第一层102的核心网元110可以完全互连,使得每个核心网元110可以逻辑上彼此连接,并且在第一层102的核心网元之间共享资源。
第一层102可以互连以形成基础层,网络安全靶场网层100中的每个核心网元通过该基础层的至少一条路径连接到任何其它层中的计算网元,如图3中的实心黑色圆圈所示。
网络安全靶场网层100的第二层104可以从第一层102生长,并且与第一层102互连。例如,网络安全靶场网层100的第二层104可以从网络安全靶场网层100的第二计算网元112生成。
构成网络安全靶场网层的第二层104的第二计算网元可以在第一层102生成时通过向网络安全靶场网层100注册的过程被分配给第一层。
无论计算网元被分配到网络安全靶场网层100的哪一层,该计算网元都可以被指示或被给予指令以限制与该计算网元的下层或上层网络的其他层的计算网元连接。例如,第二层104的第二计算网元112将其逻辑连接限制到第一层102的核心网元110和第二层106的第三计算网元114。
如果第三层106在规定时间内,未向网络安全靶场网层100注册,则第二计算网元只能与第一层102的核心网元共享资源,直到第三层106的第三计算网元向网络安全靶场网层100注册。然而,与第一层102不同,第二层104的第二计算网元112彼此间可以不相互连接,使得第二计算网元在层内不完全互连。相反,第二计算网元112可以被限制为仅在逻辑上连接到第一层102中的核心网元110和第二层106中的第二计算网元114。
为了限制特定网元可以从其接收服务或以其他方式共享资源并由此逻辑连接到的网络安全靶场网层100中的所有网元,网络安全靶场网层100中的一个或多个网元可以通过网络靶场管理单元执行管理与网络内其他网元的逻辑连接的服务或应用程序。例如,第一层102的核心网元112可能响应于从与该核心网元通信的物理设备接收到的对网络服务的请求,向网络安全靶场网层100的其他计算网元请求服务和/或资源。对网络安全靶场网层100的其他计算网元的请求服务包括请求的全网络独一的记号,例如第一层102的记号或层第二层106的记号。记号因此可以被限制为n+1和/或n-1层,其中n是请求设备被分配到的层。
除了第二层或第三层之外的其他层的计算网元可以忽略由第一层的核心网元112发送的与第一层的核心网元112共享资源的请求。例如,如果在关联的第二层104的第二计算网元处也接收到该请求,则第二接收网元可能会忽略该请求。类似地,如果在第三层108的第三计算网元处接收到请求,则第三计算网元可以忽略该请求。然而,如果请求由第一层102的核心网元110或第三层106的第三计算网元114接收,则可以建立网元之间的逻辑通信路径并且可以与第一层104的核心网元112或第三层106的第三计算网元114共享资源。
在优选实施例,网络安全靶场网层100的每个网元可以维护一个或多个其他网元所在层的记号的列表,例如,第一层104的核心网元112可以被配置为仅向第二层106的第二计算网元请求服务,而不是向靠近或邻近请求网元的任何网元进行广播。不管过程如何,网络安全靶场网层100的所有网元可以被限制为与请求网元的层的上一层或下一层的网元通信,以避免跨层的网元共享资源。
网络靶场管理单元为网络安全靶场网层中每一层的虚拟设备分配网络地址和访问控制地址,以及将网络安全靶场网层中每一层的虚拟设备的访问控制地址、网络地址以及与层虚拟设备的记号之间的对应关系存入记号列表中。
网络安全靶场网层存在层虚拟设备集合P={p1,p2,…,pn},其中虚拟设备数量为n,需要放置的层物理设备集合V={v1,v2,…,vm},其中物理设备数量为m,假设物理设备数量m大于或等于虚拟设备数量n,定义物理设备放置组集合Q={q1,q2,…,qh},h为放置组的数量。
对于给定的物理设备vi,定义vi-z为物理设备vi所需的网络处理单元空间,vi-r为物理设备vi所需的内存空间,vi-p为物理设备vi的网络处理单元利用率,Wi-r为物理设备vi的内存利用率。对于给定的虚拟设备pj,pj-p定义为虚拟设备pj当前的网络处理单元空白空间,pj-r为虚拟设备pj的内存空闲空间,Uj-p为虚拟设备pj的网络处理单元利用率,Uj-r为虚拟设备pj的内存利用率,则定义虚拟设备pj的空间利用率Uj为:
Uj=αUj-p+βUj-r
其中,0<α<1,0<β<1,且α+β=1。
定义Tij为当前时刻t,虚拟设备pj能否满足物理设备vi的空间要求,即:
Figure DEST_PATH_IMAGE001
一个网元的可用性是指网元在整个服务时间内任意时刻的工作概率,对于任意网元i,其可用性Ai通过以下公式计算获得:
Figure DEST_PATH_IMAGE002
其中MF代表平均故障时间,MR代表平均修复时间,假定服务器可用性的值是已知的,且各服务器之间的可用性是相互独立互不相关的。
在一个拥有n台运行的层虚拟设备的网络安全靶场,对于任意虚拟设备pj∈P,在某一时刻t的电源能耗
Figure DEST_PATH_IMAGE003
如下公式所示:
Figure DEST_PATH_IMAGE004
其中cj为静态能耗标记,fj(t)为t时刻虚拟设备pj的网络处理单元频率,t时刻虚拟设备pj的网络处理单元利用率为Uj-p(t),k为常量系数,即电源能耗在一定程度上是基于网络处理单元利用率的线性模型。
V集合是通过放置组qk∈Q,选择对应的物理设备集合中的物理设备完成放置映射,并且需要尽可能满足放置过程中的多种约束条件,定义物理设备放置矩阵Mk[vi][pj],若Mk[vi][pj]=1则表示放置组qk将虚拟设备pj放置在物理设备vi上,反之,若Mk[vi][pj]=0,表示放置组qk中,虚拟设备pj未放置在物理设备vi上。虚拟设备pj能否满足物理设备vi
任意虚拟设备vi,在同一放置组下,能且只能放置在一个网元上,约束表示为:
Figure DEST_PATH_IMAGE005
,其中放置组qk∈Q。
同一放置组内,单个虚拟设备只能在一个网元上进行部署运行。
虚拟管理模块被配置为提供虚拟环境分配功能,其平衡源头主机与目标主机之间的层模拟设备和层物理设备。例如,如果网络安全靶场网层中的网元的资源使用急剧变化,则虚拟管理模块在源头主机和目标主机之间的网元周围移动以优化层虚拟设备的分布。此外,如果所有网元的总体工作量减少,则虚拟管理模块可能会关闭部分层物理设备的电源,并在层虚拟设备之间整网元。
虚拟设备的记号包括:源头主机的记号、层虚拟设备的记号。在接收到由网络靶场管理单元发送的指示虚拟设备从源头主机迁移到目标主机的实况迁移消息之后,网络靶场管理单元根据实况迁移消息获取源头主机的记号和层虚拟设备的记号,向层虚拟设备发送与层虚拟设备的记号相对应的配置信息,以便层虚拟设备存储配置信息;以及向源头主机发送与指示源头主机删除配置信息的源头主机的记号相对应的配置信息删除指令。
实况迁移消息携带实况迁移发生的虚拟设备的记号和虚拟设备迁移到的目标主机的记号;以及获取所述虚拟设备的源头主机的记号和所述虚拟设备的层虚拟设备的记号。
记号列表可以存储每一层虚拟设备的记号与源头主机的记号的对应表,以及目标主机的记号与层虚拟设备的记号的对应表,并且可以通过对应表来确定对应关系。
网络处理单元,在获取到问询报文时,从记号列表中查询得到源头主机的网络记号,并判断同一网络靶场内是否存在与源头主机的记号相同的层虚拟设备,且网络地址为问询报文中目的网络地址的层虚拟设备,若不存在,则丢弃问询报文,若存在,则获取层虚拟设备的访问控制地址,对问询报文进行回复。
从第一层虚拟设备接收对与第二层虚拟设备相关联的地址信息的请求;为第二层虚拟设备生成一个或多个任意分配的地址;将一个或多个任意分配的地址返回给第一层虚拟设备;将第二层虚拟设备的唯一记号对应到一个或多个任意分配的地址;从第一层虚拟设备接收分组,该分组包括与第一层虚拟设备关联的一个或多个地址以及与第二层虚拟设备关联的一个或多个任意分配的地址;在所述分组中,用所述第一层虚拟设备的唯一记号替换与所述第一层虚拟设备关联的一个或多个地址,并用所述第二层虚拟设备的唯一记号替换与所述第二层虚拟设备相关联的一个或多个任意分配的地址;和将分组发送到与第二层虚拟设备相关联的主机。
从与第二层虚拟设备相关联的主机接收寻址到第一层虚拟设备的第二分组;在第二分组中,用分配给第一层虚拟设备的一个或多个地址替换第一层虚拟设备的唯一记号;在第二分组中,将第二层虚拟设备的唯一记号替换为与第二层虚拟设备相关联的一个或多个任意分配的地址;和将数据包路由到第一层虚拟设备进行处理。
所述虚拟管理单元,用于网络靶场运行时在网络靶场计算网元的虚拟连接中创建将问询报文流转到网络处理单元的表项。
网络处理单元将接收到的从计算网元上载的与表项相关的报文进行对比;如果与表项相关的报文的网络地址和访问控制地址属于不同的层物理设备,则由网络处理单元则向计算网元的中创建源表项,该计算网元上载与源表项相关的报文;其中,源表项相关的报文包括:对于网络地址与网络地址匹配的业务报文,通过将与源头主机连接的层虚拟设备的访问控制地址作为外层源访问控制地址,并使网络地址连接的层虚拟设备的物理地址作为外层目标访问控制地址,将流量数据包封装到具有双层虚拟局域网(VLAN)记号的数据包中,并从通向物理网络卡的端口流转该数据包部署层虚拟设备的层物理设备;在多层网络安全靶场网层中,外层是物理网卡端口所在的服务层,内层是源地址所在的客户层。
网络处理单元接收从虚拟设备上传的具有多层网络安全靶场网层记号的报文;和由网络处理单元将目的表项条目分配给虚拟设备,该虚拟设备上传具有多层网络安全靶场网层记号的分组;其中,所述目的表项对应的动作包括:将具有多层网络安全靶场网层记号的报文解封装为业务报文,根据具有多层网络安全靶场网层记号的报文的内层记号从指定端口流转该业务报文和流量数据包的目标地址。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者通过所述计算机可读存储介质进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如,固态硬盘(solid state disk,SSD))等。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种基于虚拟化技术的网络安全靶场,其特征在于,包括网络靶场管理单元、网络处理单元以及虚拟管理单元;
所述虚拟管理单元将网络安全靶场网层分割成三个或三个以上的层,网络安全靶场网层从第一层中的核心网元开始生长,第一层的核心网元互相连接;其他层依次从前一层生成,并且与前一层互连;其他层中的计算网元通过向网络安全靶场网层注册的过程而被分配给前一层;
每层的网元仅与前一层或下一层相关联的网元共享资源;
所述网络靶场管理单元,用于为网络安全靶场网层中的每一层生成不同且独一的记号并维护每一层的记号列表;通过网络靶场管理单元执行管理网络安全靶场网层内网元之间的逻辑连接的请求;
所述网络处理单元,用于在获取到问询报文时,从记号列表中查询得到源头主机的记号,并判断网络安全靶场网层中的每一层内是否存在与源头主机的记号相同的层虚拟设备的记号。
2.根据权利要求1所述的网络安全靶场,其特征在于,如果第三层在规定时间内,未向网络安全靶场网层注册,则第一层的第二计算网元只能与第一层的核心网元共享资源,直到第三层的第三计算网元向网络安全靶场网层注册。
3.根据权利要求1所述的网络安全靶场,其特征在于,第二层的第二计算网元间不相互连接,使得第二计算网元在第二层内不完全互连。
4.根据权利要求1所述的网络安全靶场,其特征在于,第一层的核心网元响应于与所述核心网元通信的物理设备接收到的对网络安全靶场网层的请求,所述核心网元向与其共享资源的计算网元请求资源以及所述与其共享资源的计算网元所在层的层虚拟设备的记号。
5.根据权利要求1所述的网络安全靶场,其特征在于,第一层的核心网元被配置为仅向第二层的第二计算网元请求服务,而不是向其他请求网元进行广播。
6.根据权利要求1所述的网络安全靶场,其特征在于,所述网络靶场管理单元为网络安全靶场网层中每一层的层虚拟设备分配网络地址和访问控制地址,并将网络安全靶场网层中每一层的层虚拟设备的访问控制地址、网络地址以及与层虚拟设备的记号之间的对应关系存入记号列表中。
7.根据权利要求1所述的网络安全靶场,其特征在于,所述虚拟管理单元,在网络安全靶场运行时在计算网元的虚拟连接中创建将问询报文流转到网络处理单元的表项。
8.一种基于虚拟化技术的网络安全靶场的运行方法,用于运行如权利要求1-7任意一项所述的网络安全靶场,其特征在于:
将网络安全靶场网层分割成三个或三个以上的层,网络安全靶场网层从第一层中的核心网元开始生长,第一层的核心网元完全互连;其他层依次从前一层生成,并且与前一层互连;其他层的计算网元在从前一层生成时通过向网络安全靶场网层注册的过程而被分配给前一层;每层的网元仅与前一层或下一层相关联的网元共享资源;
为网络安全靶场网层中的每一层生成不同的且独一的记号并维护每一层的记号列表,执行管理网络安全靶场网层内网元之间的逻辑连接的请求;
在获取到问询报文时,从记号列表中查询得到源头主机的记号,并判断网络安全靶场网层中的每一层内是否存在与源头主机的记号相同的层虚拟设备的记号。
9.根据权利要求8所述的运行方法,其特征在于,若不存在与源头主机的记号相同的层虚拟设备的记号,则丢弃问询报文,若存在与源头主机的记号相同的层虚拟设备的记号,则获取所述层虚拟设备的访问控制地址,对问询报文进行回复,并在网络安全靶场网层运行时,向计算网元的中创建将问询报文并流转到网络处理单元的表项。
10.根据权利要求8所述的运行方法,其特征在于,将接收到的从计算网元上载的与表项进行对比;如果与表项相关的报文的网络地址和访问控制地址属于不同的层物理设备,则向计算网元的中创建源表项,并上载与源表项相关的问询报文。
CN202211169373.2A 2022-09-26 2022-09-26 一种基于虚拟化技术的网络安全靶场及其运行方法 Active CN115242562B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211169373.2A CN115242562B (zh) 2022-09-26 2022-09-26 一种基于虚拟化技术的网络安全靶场及其运行方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211169373.2A CN115242562B (zh) 2022-09-26 2022-09-26 一种基于虚拟化技术的网络安全靶场及其运行方法

Publications (2)

Publication Number Publication Date
CN115242562A true CN115242562A (zh) 2022-10-25
CN115242562B CN115242562B (zh) 2022-11-29

Family

ID=83667192

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211169373.2A Active CN115242562B (zh) 2022-09-26 2022-09-26 一种基于虚拟化技术的网络安全靶场及其运行方法

Country Status (1)

Country Link
CN (1) CN115242562B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120158395A1 (en) * 2010-12-15 2012-06-21 ZanttZ, Inc. Network stimulation engine
CN109147447A (zh) * 2017-06-16 2019-01-04 云南电网有限责任公司信息中心 一种基于虚拟化技术的网络攻防靶场实战系统
CN111464530A (zh) * 2020-03-31 2020-07-28 中电运行(北京)信息技术有限公司 网络安全仿真靶场平台服务提供方法及装置
CN112448857A (zh) * 2021-02-01 2021-03-05 博智安全科技股份有限公司 靶场的构建方法、装置、设备及存储介质
CN113691416A (zh) * 2021-07-29 2021-11-23 中科兴云(北京)科技有限公司 一种分布式分层部署的网络靶场管理平台
CN114818396A (zh) * 2022-06-29 2022-07-29 湖南大佳数据科技有限公司 一种面向卫星导航系统的网络安全靶场系统及演练方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120158395A1 (en) * 2010-12-15 2012-06-21 ZanttZ, Inc. Network stimulation engine
CN109147447A (zh) * 2017-06-16 2019-01-04 云南电网有限责任公司信息中心 一种基于虚拟化技术的网络攻防靶场实战系统
CN111464530A (zh) * 2020-03-31 2020-07-28 中电运行(北京)信息技术有限公司 网络安全仿真靶场平台服务提供方法及装置
CN112448857A (zh) * 2021-02-01 2021-03-05 博智安全科技股份有限公司 靶场的构建方法、装置、设备及存储介质
CN113691416A (zh) * 2021-07-29 2021-11-23 中科兴云(北京)科技有限公司 一种分布式分层部署的网络靶场管理平台
CN114818396A (zh) * 2022-06-29 2022-07-29 湖南大佳数据科技有限公司 一种面向卫星导航系统的网络安全靶场系统及演练方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
吴怡晨等: "面向网络空间的攻防靶场设计", 《通信技术》 *
王海涛等: "浅析网络靶场的概念、分类与体系架构", 《保密科学技术》 *
陈吉龙等: "虚拟化工控网络靶场的设计与自动化部署", 《智能计算机与应用》 *

Also Published As

Publication number Publication date
CN115242562B (zh) 2022-11-29

Similar Documents

Publication Publication Date Title
US11354039B2 (en) Tenant-level sharding of disks with tenant-specific storage modules to enable policies per tenant in a distributed storage system
Chaudhary et al. Optimized big data management across multi-cloud data centers: Software-defined-network-based analysis
US10715485B2 (en) Managing dynamic IP address assignments
CN103155524B (zh) 用于在多核系统中的多个核之间共享iip地址的系统和方法
WO2018205325A1 (zh) 在异构资源上构建内容分发网络平台的方法和系统
CN114363021B (zh) 网络靶场系统、网络靶场系统的虚拟网络实现方法及装置
CN108965021B (zh) 虚拟演练网络的创建方法和装置
CN103078965B (zh) 虚拟机的ip地址管理方法
CN108600163B (zh) 一种云环境分布式哈希链架构及云数据完整性验证方法
CN107079060A (zh) 用于运营商级nat优化的系统和方法
CN103685608B (zh) 一种自动配置安全虚拟机ip地址的方法及装置
CN104780088A (zh) 一种业务报文的传输方法和设备
CN104506632A (zh) 一种基于分布式多中心的资源共享系统及方法
US10083051B1 (en) System, method, and code for classifying resources of a virtual computing environment
US20180278459A1 (en) Sharding Of Network Resources In A Network Policy Platform
US20120054850A1 (en) Proxying for Clusters of Fiber Channel Servers to Reduce Configuration Requirements for Fiber Channel Storage Arrays
CN106960011A (zh) 分布式文件系统元数据管理系统及方法
CN110134338A (zh) 一种分布式存储系统及其数据冗余保护方法和相关设备
US9641611B2 (en) Logical interface encoding
US20070150699A1 (en) Firm partitioning in a system with a point-to-point interconnect
Rayes et al. Fog computing
CN115242562B (zh) 一种基于虚拟化技术的网络安全靶场及其运行方法
CN109768909A (zh) 报文转发方法和装置
CN113946857B (zh) 一种基于数据路由的分布式跨链调度方法及装置
Xu et al. A mathematical model and dynamic programming based scheme for service function chain placement in NFV

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant