CN115766470A - 一种全场景虚拟网络攻防平台及其方法 - Google Patents

一种全场景虚拟网络攻防平台及其方法 Download PDF

Info

Publication number
CN115766470A
CN115766470A CN202211257896.2A CN202211257896A CN115766470A CN 115766470 A CN115766470 A CN 115766470A CN 202211257896 A CN202211257896 A CN 202211257896A CN 115766470 A CN115766470 A CN 115766470A
Authority
CN
China
Prior art keywords
equipment
network
attack
virtual
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211257896.2A
Other languages
English (en)
Other versions
CN115766470B (zh
Inventor
冯蔚
杨光
高汉军
许克珂
丁鼎定
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Nuclear Power Operation Technology Corp Ltd
Original Assignee
China Nuclear Power Operation Technology Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Nuclear Power Operation Technology Corp Ltd filed Critical China Nuclear Power Operation Technology Corp Ltd
Priority to CN202211257896.2A priority Critical patent/CN115766470B/zh
Publication of CN115766470A publication Critical patent/CN115766470A/zh
Application granted granted Critical
Publication of CN115766470B publication Critical patent/CN115766470B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明属于信息安全技术领域,具体涉及一种全场景虚拟网络攻防平台及其方法。包括设备虚拟化模块,监控模块,设备配置模块,网络配置模块,设备安全加固虚拟模块,攻击命令下发模块和展示模块。本发明的有益效果在于:应用本发明能够快速模拟核电环境,自动生成网络拓扑,并能根据操作要求模拟攻击方式,而且利用离散事件系统对大规模网络进行模拟。本发明能够模拟大规模网络,自动学习路由条目,并能实时转发数据包。该方法具备一定通用性,不仅能应用于各核电厂的攻防场景模拟、为建设靶场环境提供支持,而且能适用于各类工业场景,具备较好的市场前景。

Description

一种全场景虚拟网络攻防平台及其方法
技术领域
本发明属于信息安全技术领域,具体涉及一种全场景虚拟网络攻防平台及其方法。
背景技术
为构建网络攻防模拟作战环境,帮助安全管理人员提高整体安全管理水平,增强网络和信息安全,需构建虚拟网络攻防仿真平台,作为具有理论知识、结构合理、适合安全管理研究的攻防系统。
工业环境中包含生产控制系统、信息管理系统,其网络环境中设备种类众多,进行场景模拟较为复杂,传统的靶场采用虚拟化技术去模拟各类设备,但是对大多数工业控制系统并不适用,例如核电中的设备节点过多,进行全场景模拟时可能存在资源不足的问题。
发明内容
本发明的目的是提供一种全场景虚拟网络攻防平台及其方法,能够有效解决虚拟网络拓扑的建立和解析的重难点问题。
本发明的技术方案如下:一种全场景虚拟网络攻防平台,包括设备虚拟化模块,监控模块,设备配置模块,网络配置模块,设备安全加固虚拟模块,攻击命令下发模块和展示模块。
所述的设备虚拟化模块对核电系统网络环境进行仿真,模拟核电系统网络工作流程,对于网络设备采用两种仿真策略:
(1)不重要网络设备采用进程仿真,将该设备属性信息写入数据库,在系统运行过程中实时提取设备属性信息,使用进程模拟设备的运行状态;
业务流程:在系统启动时,各模拟进程从数据库中读取设备属性信息和网络配置信息,自动分配IP地址,生成网络拓扑结构;在运行过程中根据网络流向,模拟网络数据流和控制流的流动过程;根据操作员实时调整设备安全加固等级,动态反应在攻击过程中设备的运行状态,实时反应设备在不同的加固等级中,对不同攻击的防范能力;
数据流向:由于进程模拟网络设备,则需要模拟网络数据流动,因此需要模拟数据流入和流出的状态;
业务规则:根据设备属性信息,进程模拟不同设备的工作状态,根据网络配置信息,进程模拟不同设备网络状态,模拟实际环境中不同设备的网络数据流和控制流,根据设备安全加固等级,决定设备的响应手段,反应在设备不同加固等级下攻击方式对设备的破坏程度,对不同的设备可以独立设置加固等级,以此来判断在不同设备设置不同安全加固等级下,攻击方式对整个系统的影响;
功能接口:i设备属性信息接口---模拟进程通过设备属性信息接口获取设备工作状态;ii设备网络数据量接口---模拟进程通过网络数据流接口模拟设备在实际环境中的网络数据流向和数据量;iii设备安全加固级别设置接口---操作人员通过设备安全加固级别设置接口设置设备模拟进程当前安全加固级别;
(2)重要设备采用实体机器或虚拟机的方式,在系统运行过程中与实体设备或设备虚拟机进行通信,实时显示设备状态;
业务流程:在系统启动时,进程从虚拟设备或实体设备中读取设备状态信息和网络配置信息;在运行过程中根据网络流向,进程显示虚拟设备和实体设备的网络数据流和控制流的流动过程,并显示虚拟设备和实体设备的状态信息;
数据流向:进程实时显示虚拟设备和实体设备的数据流入和流出的状态;
业务规则:通过设备信息接口,进程获取不同设备的工作状态;通过设备网络信息接口,进程获取设备网络状态,显示虚拟设备和实体设备的网络数据流和控制流;根据设备安全加固等级,反应在设备不同加固等级下攻击方式对设备的破坏程度;
功能接口:i设备状态信息接口---进程通过设备状态信息接口获取设备工作状态;ii设备网络信息接口---进程通过网络信息接口获取设备的网络状态;iii设备安全加固级别信息接口---进程通过加固级别信息接口获取设备安全加固级别。
所述的监控模块运行在虚拟设备或实体设备上,监控虚拟设备和实体设备的运行状态,并与设备虚拟化系统进行通信,实时反映当前设备虚拟设备和实体设备的运行状态;
业务流程:在系统运行过程中对虚拟设备和实体设备进行监控,并接收上游网络控制流的攻击指令,模拟对虚拟设备和实体设备的网络攻击,验证设置不同安全加固等级后虚拟设备和实体设备对不同攻击的防范能力;
数据流向:主要模拟攻击方式,则需要从上游网络控制流接收攻击指令,将攻击流传送给虚拟设备和实体设备;
业务规则:根据攻击设置,接收攻击指令,模拟不同的攻击方式,攻击虚拟设备和实体设备;
功能接口:i攻击指令接口---接收上游网络攻击指令;ii攻击接口---模拟攻击方式攻击虚拟设备和实体设备。
所述的设备配置模块配置设备的属性信息;
业务流程:操作员配置各设备的属性信息;
数据流向:操作员配置的设备属性信息保存在数据库中,系统运行时,设备虚拟化模块读取设备属性信息,并按照属性信息模拟设备运行;
业务规则:根据设备不同类型设置不同属性信息;
功能接口:i配置接口---接收操作员输入的配置信息;ii数据库接口---将设备属性信息写入数据库。
所述的网络配置模块配置设备的网络信息;
业务流程:操作员配置各设备的网络信息;
数据流向:操作员配置的网络属性信息保存在数据库中,系统运行时,设备虚拟化模块读取设备网络属性信息,并按照网络信息模拟设备运行;
业务规则:根据设备所处不同网络配置不同网络信息;
功能接口:i配置接口---接收操作员输入的网络配置信息;ii数据库接口---将设备网络信息写入数据库。
所述的设备安全加固虚拟模块配置设备的安全加固级别;
业务流程:操作员配置各设备的安全加固级别;
数据流向:操作员配置的设备安全加固级别保存在数据库中,系统运行时,设备虚拟化模块读取设备加固级别信息,并模拟设备运行,操作员也可以在设备运行过程中修改设备安全加固级别;
业务规则:根据设备所处不同加固级别模拟设备在受到网络攻击后产生的反应;
功能接口:i配置接口---接收操作员输入的安全加固级别;ii数据库接口---将设备安全加固级别写入数据库。
所述的攻击命令下发模块:
1、Server接收支撑层功能模块下发的攻击命令;
2、Server传递信息给指定设备的Agent,通知其完成攻击动作。
所述的展示模块实时显示系统运行过程中各设备和网络的状态;
业务流程:获取各设备和网络的状态信息,并进行展示;
数据流向:各设备和网络的状态数据流向展示模块;
功能接口:数据接口---获取各设备和网络的状态信息。
一种全场景虚拟网络攻防方法,包括以下步骤:
步骤1:网络场景构建;
步骤2:网络攻防模拟;
步骤3:创建网络拓扑;
步骤4:网络数据流模拟。
所述的步骤1包括以下:
步骤11:网络拓扑编辑为用户构建虚拟网络提供环境,在整个环境中,模拟设备的选择、连接、配置和网络测试,根据实际网络环境中设备信息,操作员在设备数据库中添加网络设备;
步骤12:根据设备数据库中的设备信息,自动将设备添加到虚拟网络中,在添加设备的过程中,将该设备在设备数据库中的属性信息添加到虚拟网络中,当虚拟网络所需的设备全部添加到操作平台后,设备之间可以建立网络连接;
步骤13:虚拟网络设备称为绘图单元,绘图单元具有两个重要的表:一个是用户定义的单元格,另一个是自定义特性;通过这两个表设置模拟设备的属性,程序对绘图单元的控制包括两个方面:一是获取绘图单元的信息;另一种是将信息写入绘图单元并控制状态;
步骤14:当鼠标右键点击虚拟设备组件时,弹出相应的菜单,输入和修改设备的数据;
步骤15:网络拓扑完成后,设置网络安全设备的规则;规则设置主要包括路由器路由表和防火墙过滤规则;配置虚拟网络安全设备后,建立虚拟网络拓扑;
步骤16:虚拟网络拓扑建立后,所有网络设备只显示一个图形界面,对虚拟网络拓扑进行解析;获得图形界面中的设备及其连接关系;通过识别设备类型和记录连接信息来解析虚拟网络拓扑;
步骤17:遍历所有虚拟设备解析虚拟网络拓扑;首先确定拓扑中每个设备的类型,解析虚拟网络拓扑后,所有信息都已记录到数据库中;所有的模拟过程都转移到背景模拟中。
所述的步骤2包括以下:
步骤21:将多种攻击方法保存在攻击数据库中,并为每种攻击方法分配一个序列号;
步骤22:根据攻击方式的不同,选择攻击节点;
步骤23:根据攻击方式的不同,从攻击数据库中通过序列号选择相应的攻击方法;
步骤24:向所选择的攻击节点进行攻击。
所述的步骤3包括以下:
步骤31:在系统启动时,各模拟进程从数据库中读取设备属性信息和网络配置信息,生成网络拓扑结构;
步骤32:在运行过程中根据网络流向,模拟网络数据流和控制流的流动过程;
步骤33:实时调整设备安全加固等级,动态反应在攻击过程中设备的运行状态,实时反应设备在不同的加固等级中,对不同攻击的防范能力;
步骤34:部署Agent,监视设备状态;在系统运行过程中与实体设备或设备虚拟机进行通信,实时显示设备状态。
所述的步骤4包括以下:
步骤41:离散事件系统通常由一组称为系统状态的数据表示,在发生导致状态离散变化的事件之前,系统状态保持不变,一旦拓扑结构发生变化,OSPF路由协议将自动学习路由条目;
步骤42:基于离散事件仿真模型,在网络拓扑不变的条件下,参考拓扑配置信息来模拟延迟;
步骤43:路由表中有真实路由表和虚拟路由表,虚拟路由表是通过SPF算法从模拟拓扑生成的,为了获得所有路由器的最短路径,对Dijkstra算法进行了改进,增加了存储结构;
步骤44:真正的路由表是通过OSPF协议从真正的路由器中学习,OSPF路由协议模块包括两个方面,一方面,学习真实的外部路由条目;另一方面,虚拟网络应该重新分配给真实路由器,从外部真实路由器访问虚拟网络,重新分发模拟网络,开源代码OSPF的已修改为导入外部路由器项;
步骤45:在模拟网络中,队列调度模块根据队列调度算法计算要入队的队列,根据结果,队列管理模块对数据包进行入队和出队,队列管理和队列调度模块紧密协作,从而使不同优先级的队列可以获得不同的服务质量;
步骤46:节点接收数据包,对数据链路层进行分组,对数据流进行分类,并查找ACL和路由表,如果是访问外部IP流量,则转发到相应的物理接口;如果要访问虚拟网络流量,则将其发送到相应Agent进行后续处理。
本发明的有益效果在于:应用本发明能够快速模拟核电环境,自动生成网络拓扑,并能根据操作要求模拟攻击方式,而且利用离散事件系统对大规模网络进行模拟。本发明能够模拟大规模网络,自动学习路由条目,并能实时转发数据包。该方法具备一定通用性,不仅能应用于各核电厂的攻防场景模拟、为建设靶场环境提供支持,而且能适用于各类工业场景,具备较好的市场前景。
附图说明
图1为场景构建流程示意图;
图2为攻击流程及加固防守后攻击流程示意图;
图3为路由表的组成示意图;
图4为离散事件系统队列调度和管理示意图;
图5为设备虚拟化示意图;
图6为进程模拟监控Server示意图;
图7为进程模拟监控Agent示意图;
图8为主机监控Server示意图;
图9为主机监控Agent示意图;
图10为设备/网络状态监控示意图;
图11为攻击命令下发示意图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步详细说明。
一种全场景虚拟网络攻防平台,在网络攻防仿真平台中,虚拟网络和设备用于模拟真实网络和设备。其主要功能包括网络拓扑的生成、网络安全设备的配置、网络攻击的实施、攻击检测、攻击记录和统计。在图形界面中显示虚拟网络设备和拓扑结构,通过一些特殊的属性和方法模拟各种设备的功能,有利于进行网络攻防仿真。
网络攻击服务器的主要功能是实现网络攻击。从攻击数据库中选择的攻击方法用于攻击目标设备进行测试。
网络防御仿真服务器主要由网络数据采集、网络拓扑解析、虚拟网络设备和虚拟网络数据库组成。在仿真过程中,根据实际情况建立虚拟网络拓扑,并根据每个设备的实际参数配置虚拟网络设备。虚拟网络中的数据传输由网络拓扑和设备配置决定。每个虚拟设备都包含数据接收、数据处理和日志记录过程。到达每个设备的数据应按照设备的特定规则进行测试。合法数据将正确传输,非法数据将被丢弃。
利用离散事件系统对大规模网络进行模拟。在模拟网络中,需要用到离散事件系统,使用OSPF(开放最短路径优先)路由协议自动学习路由条目。在资源管理过程中,使用队列管理和队列调度是资源管理实现路由QoS的关键机制。节点接收数据包,对数据链路层进行分组,对数据流进行分类,并查找ACL和路由表,发送到对应的设备进行处理。
业务流程如下:
1、场景构建流程
场景构建流程场景构建核心业务有:设备虚拟化、监控、设备配置、网络配置和虚拟设备安全加固。如图1所示。
(1)设备进程模拟:
①不重要网络设备采用进程仿真。将该设备属性信息写入数据库,在系统运行过程中实时提取设备属性信息,使用进程模拟设备的运行状态。
在系统启动时,各模拟进程从数据库中读取设备属性信息和网络配置信息(由操作人员设置),自动分配IP地址,生成网络拓扑结构;在运行过程中根据网络流向,模拟网络数据流和控制流的流动过程;根据操作员实时调整设备安全加固等级,动态反应在攻击过程中设备的运行状态,实时反应设备在不同的加固等级中,对不同攻击的防范能力。
②重要设备采用实体机器或虚拟机的方式。主机部署Agent,监视设备状态,在有需求的时候执行操作。在系统运行过程中与实体设备或设备虚拟机进行通信,实时显示设备状态。
在系统启动时,进程从虚拟设备或实体设备中读取设备状态信息和网络配置信息;在运行过程中根据网络流向,进程显示虚拟设备和实体设备的网络数据流和控制流的流动过程,并显示虚拟设备和实体设备的状态信息。
(2)监控
Agent在系统运行过程中对虚拟设备和实体设备进行监控。
(3)设备配置
操作员配置各设备的属性信息。根据设备不同类型设置不同属性信息。接收操作员输入的配置信息,并将设备属性信息写入数据库。
(4)网络配置
操作员配置各设备的网络信息。根据设备所处不同网络配置不同网络信息。接收操作员输入的网络配置信息,并将设备网络信息写入数据库。
(5)虚拟设备安全加固
配置设备的安全加固级别。根据设备所处不同加固级别模拟设备在受到网络攻击后产生的反应。接收操作员输入的安全加固级别,并将设备安全加固级别写入数据库。
2攻防流程
Agent在系统运行过程中对虚拟设备和实体设备进行监控,并接收上游网络控制流的攻击指令,模拟对虚拟设备和实体设备的网络攻击,并记录和展示攻击结果。
在设备不同加固等级下攻击方式对设备的破坏程度。对不同的设备可以独立设置加固等级,以此来判断在不同设备设置不同安全加固等级下,攻击方式对整个系统的影响;
在对加固级别进行验证的情形下,通过Server+Agent修改主机加固等级,验证设置不同安全加固等级后虚拟设备和实体设备对不同攻击的防范能力,对加固前后的攻击效果进行比较。
一种全场景虚拟网络攻防平台,包括设备虚拟化模块,监控模块,设备配置模块,网络配置模块,设备安全加固虚拟模块,攻击命令下发模块和展示模块。
所述的设备虚拟化模块对核电系统网络环境进行仿真,模拟核电系统网络工作流程。对于网络设备采用两种仿真策略:
①不重要网络设备采用进程仿真。将该设备属性信息写入数据库,在系统运行过程中实时提取设备属性信息,使用进程模拟设备的运行状态。
业务流程:在系统启动时,各模拟进程从数据库中读取设备属性信息和网络配置信息(由操作人员设置),自动分配IP地址,生成网络拓扑结构;在运行过程中根据网络流向,模拟网络数据流和控制流的流动过程;根据操作员实时调整设备安全加固等级,动态反应在攻击过程中设备的运行状态,实时反应设备在不同的加固等级中,对不同攻击的防范能力。
数据流向:由于进程模拟网络设备,则需要模拟网络数据流动,因此需要模拟数据流入和流出的状态。
业务规则:根据设备属性信息,进程模拟不同设备的工作状态。根据网络配置信息,进程模拟不同设备网络状态,模拟实际环境中不同设备的网络数据流和控制流。根据设备安全加固等级,决定设备的响应手段。反应在设备不同加固等级下攻击方式对设备的破坏程度。对不同的设备可以独立设置加固等级,以此来判断在不同设备设置不同安全加固等级下,攻击方式对整个系统的影响。
功能接口:i设备属性信息接口---模拟进程通过设备属性信息接口获取设备工作状态;ii设备网络数据量接口---模拟进程通过网络数据流接口模拟设备在实际环境中的网络数据流向和数据量;iii设备安全加固级别设置接口---操作人员通过设备安全加固级别设置接口设置设备模拟进程当前安全加固级别。
②重要设备采用实体机器或虚拟机的方式。在系统运行过程中与实体设备或设备虚拟机进行通信,实时显示设备状态。
业务流程:在系统启动时,进程从虚拟设备或实体设备中读取设备状态信息和网络配置信息;在运行过程中根据网络流向,进程显示虚拟设备和实体设备的网络数据流和控制流的流动过程,并显示虚拟设备和实体设备的状态信息。
数据流向:进程实时显示虚拟设备和实体设备的数据流入和流出的状态。
业务规则:通过设备信息接口,进程获取不同设备的工作状态。通过设备网络信息接口,进程获取设备网络状态,显示虚拟设备和实体设备的网络数据流和控制流。根据设备安全加固等级,反应在设备不同加固等级下攻击方式对设备的破坏程度。
功能接口:i设备状态信息接口---进程通过设备状态信息接口获取设备工作状态;ii设备网络信息接口---进程通过网络信息接口获取设备的网络状态;iii设备安全加固级别信息接口---进程通过加固级别信息接口获取设备安全加固级别。
所述的监控模块运行在虚拟设备或实体设备上,监控虚拟设备和实体设备的运行状态,并与设备虚拟化系统进行通信,实时反映当前设备虚拟设备和实体设备的运行状态。
业务流程:在系统运行过程中对虚拟设备和实体设备进行监控,并接收上游网络控制流的攻击指令,模拟对虚拟设备和实体设备的网络攻击,验证设置不同安全加固等级后虚拟设备和实体设备对不同攻击的防范能力。
数据流向:主要模拟攻击方式,则需要从上游网络控制流接收攻击指令,将攻击流传送给虚拟设备和实体设备。
业务规则:根据攻击设置,接收攻击指令,模拟不同的攻击方式,攻击虚拟设备和实体设备。
功能接口:i攻击指令接口---接收上游网络攻击指令;ii攻击接口---模拟攻击方式攻击虚拟设备和实体设备。
所述的设备配置模块配置设备的属性信息。
业务流程:操作员配置各设备的属性信息。
数据流向:操作员配置的设备属性信息保存在数据库中,系统运行时,设备虚拟化模块读取设备属性信息,并按照属性信息模拟设备运行。
业务规则:根据设备不同类型设置不同属性信息。
功能接口:i配置接口---接收操作员输入的配置信息;ii数据库接口---将设备属性信息写入数据库。
所述的网络配置模块配置设备的网络信息。
业务流程:操作员配置各设备的网络信息。
数据流向:操作员配置的网络属性信息保存在数据库中,系统运行时,设备虚拟化模块读取设备网络属性信息,并按照网络信息模拟设备运行。
业务规则:根据设备所处不同网络配置不同网络信息。
功能接口:i配置接口---接收操作员输入的网络配置信息;ii数据库接口---将设备网络信息写入数据库。
所述的设备安全加固虚拟模块配置设备的安全加固级别。
业务流程:操作员配置各设备的安全加固级别。
数据流向:操作员配置的设备安全加固级别保存在数据库中,系统运行时,设备虚拟化模块读取设备加固级别信息,并模拟设备运行。操作员也可以在设备运行过程中修改设备安全加固级别。
业务规则:根据设备所处不同加固级别模拟设备在受到网络攻击后产生的反应。
功能接口:i配置接口---接收操作员输入的安全加固级别;ii数据库接口---将设备安全加固级别写入数据库。
所述的攻击命令下发模块:
1、Server接收支撑层功能模块下发的攻击命令。
2、Server传递信息给指定设备的Agent,通知其完成攻击动作。
所述的展示模块实时显示系统运行过程中各设备和网络的状态。
业务流程:获取各设备和网络的状态信息,并进行展示。
数据流向:各设备和网络的状态数据流向展示模块。
功能接口:数据接口---获取各设备和网络的状态信息。
一种全场景虚拟网络攻防方法,包括以下步骤:
步骤1:网络场景构建
步骤11:网络拓扑编辑为用户构建虚拟网络提供环境,在整个环境中,可以模拟设备的选择、连接、配置和网络测试,可以根据实际网络环境中设备信息,操作员在设备数据库中添加网络设备;
步骤12:根据设备数据库中的设备信息,自动将设备添加到虚拟网络中,在添加设备的过程中,将该设备在设备数据库中的属性信息添加到虚拟网络中,并能使用户可以通过鼠标右键查看相关设备信息,当虚拟网络所需的设备全部添加到操作平台后,设备之间可以建立网络连接;
步骤13:虚拟网络设备称为绘图单元,绘图单元具有两个重要的表:一个是用户定义的单元格,另一个是自定义特性。可以通过这两个表设置模拟设备的属性。程序对绘图单元的控制包括两个方面:一是获取绘图单元的信息;另一种是将信息写入绘图单元并控制状态;
步骤14:当鼠标右键点击虚拟设备组件时,应弹出相应的菜单,以便输入和修改设备的数据;
步骤15:网络拓扑完成后,应设置网络安全设备的规则,为攻击和防御仿真奠定基础。规则设置主要包括路由器路由表和防火墙过滤规则。配置虚拟网络安全设备后,将建立虚拟网络拓扑;
步骤16:虚拟网络拓扑建立后,所有网络设备只显示一个简单的图形界面。为了实现仿真,需要对虚拟网络拓扑进行解析。应获得图形界面中的设备及其连接关系。在该平台中,可以通过识别设备类型和记录连接信息来解析虚拟网络拓扑;
步骤17:遍历所有虚拟设备解析虚拟网络拓扑。首先确定拓扑中每个设备的类型,解析虚拟网络拓扑后,所有信息都已记录到数据库中。因此,所有的模拟过程都转移到背景模拟中。
步骤2:网络攻防模拟
步骤21:将多种攻击方法保存在攻击数据库中,并为每种攻击方法分配一个序列号;
步骤22:根据攻击方式的不同,选择攻击节点;
步骤23:根据攻击方式的不同,操作员从攻击数据库中通过序列号选择相应的攻击方法;
步骤24:向所选择的攻击节点进行攻击。
步骤3:创建网络拓扑
步骤31:在系统启动时,各模拟进程从数据库中读取设备属性信息和网络配置信息(由操作人员设置),生成网络拓扑结构;
步骤32:在运行过程中根据网络流向,模拟网络数据流和控制流的流动过程;
步骤33:根据操作员实时调整设备安全加固等级,动态反应在攻击过程中设备的运行状态,实时反应设备在不同的加固等级中,对不同攻击的防范能力;
步骤34:部署Agent,监视设备状态。在系统运行过程中与实体设备或设备虚拟机进行通信,实时显示设备状态;
步骤4:网络数据流模拟
步骤41:离散事件系统通常由一组称为系统状态的数据表示,在发生导致状态离散变化的事件之前,系统状态保持不变。在该系统中,只有当网络拓扑发生变化时,路由表才会重新收敛。此外,无论模拟中有多少路由器,只需查找一次路由表。一旦拓扑结构发生变化,OSPF(开放最短路径优先)路由协议将自动学习路由条目;
步骤42:基于离散事件仿真模型,在网络拓扑不变的条件下,考虑了所有模拟路由器的时延、QoS(服务质量)和拥塞情况。实际物理接口之间的传输延迟和传播延迟由链路类型决定。因此,可以参考拓扑配置信息来模拟延迟;
步骤43:路由表中有真实路由表和虚拟路由表。虚拟路由表是通过SPF(最短路径优先)算法从模拟拓扑生成的。为了获得所有路由器的最短路径,对Dijkstra算法进行了改进,增加了存储结构;
步骤44:真正的路由表是通过OSPF协议从真正的路由器中学习。OSPF路由协议模块包括两个方面,一方面,网络模拟系统必须学习真实的外部路由条目;另一方面,仿真系统中的虚拟网络应该重新分配给真实路由器,以便从外部真实路由器访问虚拟网络。重新分发模拟网络,开源代码OSPF的已修改为导入外部路由器项;
步骤45:在模拟网络中,不同的数据流可能基于拓扑配置具有不同的QoS。队列管理和队列调度是资源管理的主要内容,也是QoS的关键机制。队列调度模块根据队列调度算法计算要入队的队列。根据结果,队列管理模块对数据包进行入队和出队。队列管理和队列调度模块紧密协作,从而使不同优先级的队列可以获得不同的服务质量;
步骤46:节点接收数据包,对数据链路层进行分组,对数据流进行分类,并查找ACL和路由表。如果是访问外部IP流量,则转发到相应的物理接口;如果要访问虚拟网络流量,则将其发送到相应Agent进行后续处理。

Claims (13)

1.一种全场景虚拟网络攻防平台,其特征在于:包括设备虚拟化模块,监控模块,设备配置模块,网络配置模块,设备安全加固虚拟模块,攻击命令下发模块和展示模块。
2.如权利要求1所述的一种全场景虚拟网络攻防平台,其特征在于:所述的设备虚拟化模块对核电系统网络环境进行仿真,模拟核电系统网络工作流程,对于网络设备采用两种仿真策略:
(1)不重要网络设备采用进程仿真,将该设备属性信息写入数据库,在系统运行过程中实时提取设备属性信息,使用进程模拟设备的运行状态;
业务流程:在系统启动时,各模拟进程从数据库中读取设备属性信息和网络配置信息,自动分配IP地址,生成网络拓扑结构;在运行过程中根据网络流向,模拟网络数据流和控制流的流动过程;根据操作员实时调整设备安全加固等级,动态反应在攻击过程中设备的运行状态,实时反应设备在不同的加固等级中,对不同攻击的防范能力;
数据流向:由于进程模拟网络设备,则需要模拟网络数据流动,因此需要模拟数据流入和流出的状态;
业务规则:根据设备属性信息,进程模拟不同设备的工作状态,根据网络配置信息,进程模拟不同设备网络状态,模拟实际环境中不同设备的网络数据流和控制流,根据设备安全加固等级,决定设备的响应手段,反应在设备不同加固等级下攻击方式对设备的破坏程度,对不同的设备可以独立设置加固等级,以此来判断在不同设备设置不同安全加固等级下,攻击方式对整个系统的影响;
功能接口:i设备属性信息接口---模拟进程通过设备属性信息接口获取设备工作状态;ii设备网络数据量接口---模拟进程通过网络数据流接口模拟设备在实际环境中的网络数据流向和数据量;iii设备安全加固级别设置接口---操作人员通过设备安全加固级别设置接口设置设备模拟进程当前安全加固级别;
(2)重要设备采用实体机器或虚拟机的方式,在系统运行过程中与实体设备或设备虚拟机进行通信,实时显示设备状态;
业务流程:在系统启动时,进程从虚拟设备或实体设备中读取设备状态信息和网络配置信息;在运行过程中根据网络流向,进程显示虚拟设备和实体设备的网络数据流和控制流的流动过程,并显示虚拟设备和实体设备的状态信息;
数据流向:进程实时显示虚拟设备和实体设备的数据流入和流出的状态;
业务规则:通过设备信息接口,进程获取不同设备的工作状态;通过设备网络信息接口,进程获取设备网络状态,显示虚拟设备和实体设备的网络数据流和控制流;根据设备安全加固等级,反应在设备不同加固等级下攻击方式对设备的破坏程度;
功能接口:i设备状态信息接口---进程通过设备状态信息接口获取设备工作状态;ii设备网络信息接口---进程通过网络信息接口获取设备的网络状态;iii设备安全加固级别信息接口---进程通过加固级别信息接口获取设备安全加固级别。
3.如权利要求1所述的一种全场景虚拟网络攻防平台,其特征在于:所述的监控模块运行在虚拟设备或实体设备上,监控虚拟设备和实体设备的运行状态,并与设备虚拟化系统进行通信,实时反映当前设备虚拟设备和实体设备的运行状态;
业务流程:在系统运行过程中对虚拟设备和实体设备进行监控,并接收上游网络控制流的攻击指令,模拟对虚拟设备和实体设备的网络攻击,验证设置不同安全加固等级后虚拟设备和实体设备对不同攻击的防范能力;
数据流向:主要模拟攻击方式,则需要从上游网络控制流接收攻击指令,将攻击流传送给虚拟设备和实体设备;
业务规则:根据攻击设置,接收攻击指令,模拟不同的攻击方式,攻击虚拟设备和实体设备;
功能接口:i攻击指令接口---接收上游网络攻击指令;ii攻击接口---模拟攻击方式攻击虚拟设备和实体设备。
4.如权利要求1所述的一种全场景虚拟网络攻防平台,其特征在于:所述的设备配置模块配置设备的属性信息;
业务流程:操作员配置各设备的属性信息;
数据流向:操作员配置的设备属性信息保存在数据库中,系统运行时,设备虚拟化模块读取设备属性信息,并按照属性信息模拟设备运行;
业务规则:根据设备不同类型设置不同属性信息;
功能接口:i配置接口---接收操作员输入的配置信息;ii数据库接口---将设备属性信息写入数据库。
5.如权利要求1所述的一种全场景虚拟网络攻防平台,其特征在于:所述的网络配置模块配置设备的网络信息;
业务流程:操作员配置各设备的网络信息;
数据流向:操作员配置的网络属性信息保存在数据库中,系统运行时,设备虚拟化模块读取设备网络属性信息,并按照网络信息模拟设备运行;
业务规则:根据设备所处不同网络配置不同网络信息;
功能接口:i配置接口---接收操作员输入的网络配置信息;ii数据库接口---将设备网络信息写入数据库。
6.如权利要求1所述的一种全场景虚拟网络攻防平台,其特征在于:所述的设备安全加固虚拟模块配置设备的安全加固级别;
业务流程:操作员配置各设备的安全加固级别;
数据流向:操作员配置的设备安全加固级别保存在数据库中,系统运行时,设备虚拟化模块读取设备加固级别信息,并模拟设备运行,操作员也可以在设备运行过程中修改设备安全加固级别;
业务规则:根据设备所处不同加固级别模拟设备在受到网络攻击后产生的反应;
功能接口:i配置接口---接收操作员输入的安全加固级别;ii数据库接口---将设备安全加固级别写入数据库。
7.如权利要求1所述的一种全场景虚拟网络攻防平台,其特征在于:所述的攻击命令下发模块:
1、Server接收支撑层功能模块下发的攻击命令;
2、Server传递信息给指定设备的Agent,通知其完成攻击动作。
8.如权利要求1所述的一种全场景虚拟网络攻防平台,其特征在于:所述的展示模块实时显示系统运行过程中各设备和网络的状态;
业务流程:获取各设备和网络的状态信息,并进行展示;
数据流向:各设备和网络的状态数据流向展示模块;
功能接口:数据接口---获取各设备和网络的状态信息。
9.一种全场景虚拟网络攻防方法,其特征在于,包括以下步骤:
步骤1:网络场景构建;
步骤2:网络攻防模拟;
步骤3:创建网络拓扑;
步骤4:网络数据流模拟。
10.如权利要求9所述的一种全场景虚拟网络攻防方法,其特征在于,所述的步骤1包括以下:
步骤11:网络拓扑编辑为用户构建虚拟网络提供环境,在整个环境中,模拟设备的选择、连接、配置和网络测试,根据实际网络环境中设备信息,操作员在设备数据库中添加网络设备;
步骤12:根据设备数据库中的设备信息,自动将设备添加到虚拟网络中,在添加设备的过程中,将该设备在设备数据库中的属性信息添加到虚拟网络中,当虚拟网络所需的设备全部添加到操作平台后,设备之间可以建立网络连接;
步骤13:虚拟网络设备称为绘图单元,绘图单元具有两个重要的表:一个是用户定义的单元格,另一个是自定义特性;通过这两个表设置模拟设备的属性,程序对绘图单元的控制包括两个方面:一是获取绘图单元的信息;另一种是将信息写入绘图单元并控制状态;
步骤14:当鼠标右键点击虚拟设备组件时,弹出相应的菜单,输入和修改设备的数据;
步骤15:网络拓扑完成后,设置网络安全设备的规则;规则设置主要包括路由器路由表和防火墙过滤规则;配置虚拟网络安全设备后,建立虚拟网络拓扑;
步骤16:虚拟网络拓扑建立后,所有网络设备只显示一个图形界面,对虚拟网络拓扑进行解析;获得图形界面中的设备及其连接关系;通过识别设备类型和记录连接信息来解析虚拟网络拓扑;
步骤17:遍历所有虚拟设备解析虚拟网络拓扑;首先确定拓扑中每个设备的类型,解析虚拟网络拓扑后,所有信息都已记录到数据库中;所有的模拟过程都转移到背景模拟中。
11.如权利要求9所述的一种全场景虚拟网络攻防方法,其特征在于,所述的步骤2包括以下:
步骤21:将多种攻击方法保存在攻击数据库中,并为每种攻击方法分配一个序列号;
步骤22:根据攻击方式的不同,选择攻击节点;
步骤23:根据攻击方式的不同,从攻击数据库中通过序列号选择相应的攻击方法;
步骤24:向所选择的攻击节点进行攻击。
12.如权利要求9所述的一种全场景虚拟网络攻防方法,其特征在于,所述的步骤3包括以下:
步骤31:在系统启动时,各模拟进程从数据库中读取设备属性信息和网络配置信息,生成网络拓扑结构;
步骤32:在运行过程中根据网络流向,模拟网络数据流和控制流的流动过程;
步骤33:实时调整设备安全加固等级,动态反应在攻击过程中设备的运行状态,实时反应设备在不同的加固等级中,对不同攻击的防范能力;
步骤34:部署Agent,监视设备状态;在系统运行过程中与实体设备或设备虚拟机进行通信,实时显示设备状态。
13.如权利要求9所述的一种全场景虚拟网络攻防方法,其特征在于,所述的步骤4包括以下:
步骤41:离散事件系统通常由一组称为系统状态的数据表示,在发生导致状态离散变化的事件之前,系统状态保持不变,一旦拓扑结构发生变化,OSPF路由协议将自动学习路由条目;
步骤42:基于离散事件仿真模型,在网络拓扑不变的条件下,参考拓扑配置信息来模拟延迟;
步骤43:路由表中有真实路由表和虚拟路由表,虚拟路由表是通过SPF算法从模拟拓扑生成的,为了获得所有路由器的最短路径,对Dijkstra算法进行了改进,增加了存储结构;
步骤44:真正的路由表是通过OSPF协议从真正的路由器中学习,OSPF路由协议模块包括两个方面,一方面,学习真实的外部路由条目;另一方面,虚拟网络应该重新分配给真实路由器,从外部真实路由器访问虚拟网络,重新分发模拟网络,开源代码OSPF的已修改为导入外部路由器项;
步骤45:在模拟网络中,队列调度模块根据队列调度算法计算要入队的队列,根据结果,队列管理模块对数据包进行入队和出队,队列管理和队列调度模块紧密协作,从而使不同优先级的队列可以获得不同的服务质量;
步骤46:节点接收数据包,对数据链路层进行分组,对数据流进行分类,并查找ACL和路由表,如果是访问外部IP流量,则转发到相应的物理接口;如果要访问虚拟网络流量,则将其发送到相应Agent进行后续处理。
CN202211257896.2A 2022-10-13 2022-10-13 一种全场景虚拟网络攻防平台及其方法 Active CN115766470B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211257896.2A CN115766470B (zh) 2022-10-13 2022-10-13 一种全场景虚拟网络攻防平台及其方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211257896.2A CN115766470B (zh) 2022-10-13 2022-10-13 一种全场景虚拟网络攻防平台及其方法

Publications (2)

Publication Number Publication Date
CN115766470A true CN115766470A (zh) 2023-03-07
CN115766470B CN115766470B (zh) 2023-12-15

Family

ID=85351397

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211257896.2A Active CN115766470B (zh) 2022-10-13 2022-10-13 一种全场景虚拟网络攻防平台及其方法

Country Status (1)

Country Link
CN (1) CN115766470B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110098951A (zh) * 2019-03-04 2019-08-06 西安电子科技大学 一种基于虚拟化技术的网络攻防虚拟仿真与安全评估方法及系统
CN113067728A (zh) * 2021-03-17 2021-07-02 中国人民解放军海军工程大学 一种网络安全攻防试验平台
US20220078210A1 (en) * 2015-10-28 2022-03-10 Qomplx, Inc. System and method for collaborative cybersecurity defensive strategy analysis utilizing virtual network spaces

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220078210A1 (en) * 2015-10-28 2022-03-10 Qomplx, Inc. System and method for collaborative cybersecurity defensive strategy analysis utilizing virtual network spaces
CN110098951A (zh) * 2019-03-04 2019-08-06 西安电子科技大学 一种基于虚拟化技术的网络攻防虚拟仿真与安全评估方法及系统
CN113067728A (zh) * 2021-03-17 2021-07-02 中国人民解放军海军工程大学 一种网络安全攻防试验平台

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
叶福玲 等: "基于软件定义网络的安全攻防虚拟仿真实战平台", 实验技术与管理, no. 11 *

Also Published As

Publication number Publication date
CN115766470B (zh) 2023-12-15

Similar Documents

Publication Publication Date Title
US9887777B2 (en) Affinity modeling in a data center network
EP2774048B1 (en) Affinity modeling in a data center network
EP2056559B1 (en) Method and system for network simulation
US9001668B2 (en) Endpoint selection in a network test system
CN109327342B (zh) 一种基于任务驱动的自适应sdn仿真系统及仿真平台
Rahman et al. Network modelling and simulation tools
CN114900436B (zh) 一种基于多维融合模型的网络孪生方法
Bye et al. Application-level simulation for network security
CN105791151B (zh) 一种动态流量控制方法,及装置
CN106330951B (zh) 一种网络防护方法、装置和系统
Schmidt et al. Application-level simulation for network security
CN113992590A (zh) 基于软件定义网络的链路负载均衡方法
US20230231806A1 (en) Ghost routing
CN117640335B (zh) 一种智能建筑综合布线的动态调整和优化方法
Alssaheli et al. Implementation of network traffic monitoring using software defined networking Ryu controller
Agnew et al. Distributed software-defined network architecture for smart grid resilience to denial-of-service attacks
CN117061257A (zh) 一种网络安全评估系统
CN115766470B (zh) 一种全场景虚拟网络攻防平台及其方法
CN115426324A (zh) 一种实体设备接入网络靶场的方法及装置
Florance et al. Study on SDN with security issues using Mininet
CN115242439A (zh) 一种配电网网络仿真编辑与攻防策略优化系统及方法
Yoo et al. Building a QoS Testing Framework for Simulating Real-World Network Topologies in a Software-defined Networking Environment
Poncea et al. Design and implementation of an Openflow SDN controller in NS-3 discrete-event network simulator
Sati et al. Data center tree topology comparison using pox controller
Abdallah et al. Performance analysis of SDN vs OSPF in diverse network environments

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant