CN116055566B - 网络靶场的通信方法、装置、设备及存储介质 - Google Patents
网络靶场的通信方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN116055566B CN116055566B CN202310344439.5A CN202310344439A CN116055566B CN 116055566 B CN116055566 B CN 116055566B CN 202310344439 A CN202310344439 A CN 202310344439A CN 116055566 B CN116055566 B CN 116055566B
- Authority
- CN
- China
- Prior art keywords
- range
- network
- target range
- protocol conversion
- conversion module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Abstract
本申请公开了一种网络靶场的通信方法、装置、设备及存储介质,属于通信领域,在本申请中,在接收到靶场的任务协同请求时,确定所述任务协同请求是否来自于异域靶场;若是,则通过与所述异域靶场之间预设的隧道进行任务协同。在本申请中,若确定协同请求来自于异域靶场,则通过隧道进行任务协同,基于预设的隧道进行任务协同可以避免异域靶场之间的通讯协议不兼容的问题,则解决了异域靶场之间无法实现任务协同的问题。
Description
技术领域
本申请涉及通信领域,尤其涉及一种网络靶场的通信方法、装置、设备及存储介质。
背景技术
目前,网络靶场(Cyber Range)用于对真实网络空间中的网络架构、系统设备、业务流程的运行状态及运行环境进行模拟和复现,以更有效地实现与网络安全相关的学习、研究、检验、竞赛、演习。网络靶场包含网络攻防演练平台,具有攻防对抗演练功能和网络风险评估功能。
一般相同地域的网络靶场之间进行数据传输,但在一定情况下不同地域的网络靶场之间存在数据传输需求,然而不同地域的网络靶场属于异域靶场,目前异域靶场之间无法互通互联,即现有技术中存在,异域靶场之间无法实现任务协同技术问题。
上述内容仅用于辅助理解本申请的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种网络靶场的通信方法,旨在解决现有技术中,异域靶场之间无法互相通信的技术问题。
为实现上述目的,本申请提供一种网络靶场的通信方法,应用于网络靶场的通信系统,所述系统包括目标靶场、与所述目标靶场不同地域的异域靶场以及协议转换模块,所述网络靶场的通信方法,包括:
在接收到靶场的任务协同请求时,确定所述任务协同请求是否来自于异域靶场;
若是,则通过与所述异域靶场之间预设的隧道进行任务协同。
在本申请的一种可能的实施方式中,所述在接收到靶场的任务协同请求时,确定所述任务协同请求是否来自于异域靶场的步骤之后,包括:
若否,则通过与分靶场之间的虚拟网络进行任务协同,其中,所述分靶场与所述目标靶场为相同地域上的靶场。
在本申请的一种可能的实施方式中,所述隧道为预先配置的,在所述目标靶场侧的隧道口与所述异域靶场侧的隧道口均配置有协议转换模块,所述若是,则通过与所述异域靶场之间预设的隧道进行任务协同的步骤,包括:
若是,则通过与所述异域靶场之间预设的隧道进行任务协同,其中,所述目标靶场侧的隧道口配置的协议转换模块预留有第一网卡与第二网卡,所述第一网卡配置公网地址,所述第一网卡用于转换隧道内外的通讯协议以使不同地域的目标靶场与异域靶场互联,所述第二网卡不配置网络地址,所述第二网卡用于将所述协议转换装置与所述目标靶场互联。
在本申请的一种可能的实施方式中,所述在接收到靶场的任务协同请求时,确定所述任务协同请求是否来自于异域靶场的步骤之前,包括:
通过在目标靶场侧的隧道口配置的协议转换模块或者异域靶场侧的隧道口配置的协议转换模块中执行测试命令以测试所述隧道是否连通;
若连通,则选择所述目标靶场或所述异域靶场中任意一个靶场,在选中靶场的虚拟机中执行测试命令测试隧道内外的通讯协议是否成功映射;
若成功映射,则确定不同地域的目标靶场与异域靶场成功实现互联。
在本申请的一种可能的实施方式中,所述通过在目标靶场侧的隧道口配置的协议转换模块或者异域靶场侧的隧道口配置的协议转换模块中执行测试命令以测试所述隧道是否连通的步骤之前,包括:
确定所述目标靶场对应的第一协议转换模块以及所述异域靶场对应的第二协议转换模块,其中,所述第一协议转换模块与所述第二协议转换模块均配置有集成网桥与隧道网桥,其中,所述集成网桥用于连接内网,所述隧道网桥用于连接公网。
在本申请的一种可能的实施方式中,所述确定所述目标靶场对应的第一协议转换模块以及所述异域靶场对应的第二协议转换模块的步骤,包括:
确定所述目标靶场对应的第一协议转换模块中的远端IP为所述异域靶场对应的公网IP;
确定所述异域靶场对应的第二协议转换模块中的远端IP为所述目标靶场对应的公网IP。
在本申请的一种可能的实施方式中,若所述异域靶场为多个,所述确定所述目标靶场对应的第一协议转换模块以及所述异域靶场对应的第二协议转换模块的步骤,包括:
确定所述目标靶场对应的第一协议转换模块中的远端IP为多个所述异域靶场对应的公网IP;
确定多个所述异域靶场对应的第二协议转换模块中的多个远端IP为所述目标靶场对应的公网IP。
此外,为实现上述目的,本申请还提供一种网络靶场的通信装置,所述装置包括:
确定模块,用于在接收到靶场的任务协同请求时,确定所述任务协同请求是否来自于异域靶场;
任务协同模块,用于若是,则通过与所述异域靶场之间预设的隧道进行任务协同。
此外,为实现上述目的,本申请还提供一种网络靶场的通信设备,所述网络靶场的通信设备为实体节点设备,所述网络靶场的通信设备包括:存储器,处理器及存储在所述存储器上并可在所述处理器上运行的网络靶场的通信程序,所述处理器执行所述网络靶场的通信程序实现所述网络靶场的通信方法的步骤。
此外,为实现上述目的,本申请还提供一种存储介质,所述存储介质上存储有实现网络靶场的通信方法的程序,所述网络靶场的通信程序被处理器执行时实现上述所述的网络靶场的通信方法的步骤。
本申请提供一种网络靶场的通信方法、装置、设备及存储介质,与现有技术中异域靶场之间无法实现任务协同的问题相比,在本申请中,在接收到靶场的任务协同请求时,确定所述任务协同请求是否来自于异域靶场;若是,则通过与所述异域靶场之间预设的隧道进行任务协同。在本申请中,若确定协同请求来自于异域靶场,则通过隧道进行任务协同,基于预设的隧道进行任务协同可以避免异域靶场之间的通讯协议不兼容的问题,则解决了异域靶场之间无法实现任务协同的问题。
附图说明
图1为本申请网络靶场的通信方法的实施例的流程示意图;
图2为本申请网络靶场的通信方法实施例中的网络靶场的通信装置示意图;
图3为本申请网络靶场的通信方法实施例涉及的硬件运行环境的设备结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素,此外,本申请不同实施例中具有同样命名的部件、特征、要素可能具有相同含义,也可能具有不同含义,其具体含义需以其在该具体实施例中的解释或者进一步结合该具体实施例中上下文进行确定。
应当理解,尽管在本文可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本文范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语"如果"可以被解释成为"在……时"或"当……时"或"响应于确定"。再者,如同在本文中所使用的,单数形式“一”、“一个”和“该”旨在也包括复数形式,除非上下文中有相反的指示。应当进一步理解,术语“包含”、“包括”表明存在所述的特征、步骤、操作、元件、组件、项目、种类、和/或组,但不排除一个或多个其他特征、步骤、操作、元件、组件、项目、种类、和/或组的存在、出现或添加。本申请使用的术语“或”、“和/或”、“包括以下至少一个”等可被解释为包括性的,或意味着任一个或任何组合。例如,“包括以下至少一个:A、B、C”意味着“以下任一个:A;B;C;A和B;A和C;B和C;A和B和C”,再如,“A、B或C”或者“A、B和/或C”意味着“以下任一个:A;B;C;A和B;A和C;B和C;A和B和C”。仅当元件、功能、步骤或操作的组合在某些方式下内在地互相排斥时,才会出现该定义的例外。
应该理解的是,虽然本申请实施例中的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
取决于语境,如在此所使用的词语“如果”、“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
需要说明的是,在本文中,采用了诸如S10、S20等步骤代号,其目的是为了更清楚简要地表述相应内容,不构成顺序上的实质性限制,本领域技术人员在具体实施时,可能会先执行S20后执行S10等,但这些均应在本申请的保护范围之内。
应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或者“单元”的后缀仅为了有利于本申请的说明,其本身没有特定的意义。因此,“模块”、“部件”或者“单元”可以混合地使用。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其它实施例,均属于本发明保护的范围。
实施例一
本申请实施例提供一种网络靶场的通信方法,在本申请网络靶场的通信方法的第一实施例中,参照图1,应用于网络靶场的通信系统,所述系统包括目标靶场、与所述目标靶场不同地域的异域靶场以及协议转换模块,所述网络靶场的通信方法,包括:
步骤S10,在接收到靶场的任务协同请求时,确定所述任务协同请求是否来自于异域靶场;
步骤S20,若是,则通过与所述异域靶场之间预设的隧道进行任务协同。
本实施的应用背景是:一般相同地域的网络靶场之间进行数据传输,但在一定情况下不同地域的网络靶场之间存在数据传输需求,然而不同地域的网络靶场属于异域靶场,目前异域靶场之间无法互通互联,即现有技术中存在,异域靶场之间无法实现任务协同技术问题。
本实施例旨在解决现有技术中的异域靶场之间无法实现任务协同的问题。
在本实施例中,网络靶场(Cyber Range)是用于对真实网络空间中的网络架构、系统设备、业务流程的运行状态及运行环境进行模拟和复现的技术或产品,以更有效地实现与网络安全相关的学习、研究、检验、竞赛、演习等行为,从而提高人员及机构的网络安全对抗水平。
网络靶场包含了在线网络攻防学习环境、网络安全赛事平台、网络安全技术测评研究平台。然而,在这些可以被称为网络靶场的产品中,也存在很大的差异,支持规模的量级差异、模拟环境的复杂程度、各行业应用场景的不同、网络靶场对现实的复现程度(即仿真程度)等等。
网络靶场的真实目的是为真实对抗提供训练场所,网络靶场的好处是可以实现对资源的反复利用,对目标伤害程度可控化,靶场演练数据可监控与评估以及不影响真实环境的情况下发现漏洞与修复加固,提升性能与安全性。
在本实施例中,网络靶场中共有5种角色,分别为黄、白、红、蓝以及绿。其中,黄方表示“导调”角色,是整个网络试验过程中的导演,参与的过程有设计试验、开始、停止、恢复、停止以及查看试验的进度、状态、详细过程的。白方表示网络靶场平台“管理”角色,参与的过程负责试验开始前的准备工作和试验进行时的日常事务处理,试前构建目标网络、模拟网络环境等以及试中负责系统运维等。红方是“攻击”角色,靶场试验的“反派演员”,与蓝方相对,攻防演练中向蓝方发起攻击。蓝方是“防御”角色,靶场试验的“正派演员”,与红方相对,攻防演练中抵御红方攻击。绿方是“检测”角色,靶场试验的“监视器”,监控红蓝两方在演练中的一举一动,具体负责,监测当前红蓝方的具体行为,当红蓝方攻击防守成功,研判还原成功的过程、攻击手法、防御方法,监测红方违规操作,试验或试验片断进行定量和定性的评估,分析试验的攻防机理。
在本实施例中,异域靶场指的是不同地域之间的靶场,一般在同一个地域上的网络靶场属于同域靶场,同域靶场之间的互相通信或者任务协调基于预设的通讯协议,然而异域靶场之间的协议无法兼容,想要实现异域靶场间的任务协同就需要克服协议兼容问题。
在本实施例中,通过预设的隧道解决异域靶场的任务协同问题。
具体步骤如下:
步骤S10,在接收到靶场的任务协同请求时,确定所述任务协同请求是否来自于异域靶场;
在本实施例中,一个靶场可以与另一个靶场相连,还可以与多个靶场相连,若相连的多个靶场为相同地域的,则当前靶场与其他靶场属于分靶场的关系,若当前靶场与其他靶场为异域的,则当前靶场与其他靶场属于异域靶场的关系。
当前靶场可以与多个异域靶场相连,也可以与异域靶场中的多个分靶场相连,作为一种示例,当前靶场与异域靶场的其中一个分靶场通过隧道相连,由于分靶场之间互相连接,则当前靶场与异域靶场中的多个分靶场实现了互联。其中,当前靶场与其中一个分靶场通过隧道相连,隧道内的数据是通过VXLAN(Virtual Extensible LAN)协议来传输数据的,VXLAN是一种网络虚拟化技术,基于 IP(Internet Protocol网协)网络且封装形式为二层 VPN (Virtual Private Network,虚拟专用网络)技术,VXLAN是对VLAN(Virtual LocalArea Network虚拟局域网)的一种扩展。其中,VLAN是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样。
作为一种示例,隧道内的数据是通过VXLAN(Virtual Extensible LAN)协议来传输数据的,隧道外的数据如分靶场之间的数据是通过VLAN协议来传输数据的。因此,隧道内外协议不同,需要将隧道内外的协议进行转换。
作为一种示例,实现协议转换的协议转换模块有多种,如服务器,可以实现VLAN与VXLAN之间的转换,其中,所述服务器可以为实物机也可以为虚拟机。
作为一种示例,地域1与地域2属于不同地域,地域1中的其中一个靶场(目标靶场)与地域2中的其中一个靶场(异域靶场)分别部署一台双网卡服务器,分别为服务器1与服务器2,其中,目标靶场侧部署的为服务器1,异域靶场侧部署的为服务器2。其中,双网卡服务器的用途是将两边靶场的VLAN转换为VXLAN,并作为两边靶场的出入口。
作为一种示例,在目标靶场侧部署双网卡服务器1的过程为,先配置目标靶场的双网卡服务器1的int网桥br-int与tun网桥br-tun,其中,int网桥用于连接内网(集成网桥),tun网桥用于连接公网(隧道网桥),双网卡服务器1包括两个网卡,分别为网卡1与网卡2,网卡1用于连接内网。再将网卡2加入至int网桥。然后添加VXLAN端口vx01(可自行设定端口名),将该VXLAN端口加入到tun网桥,并设置远端ip为异域靶场的公网IP。最后添加patch端口关联网桥br-int 和br-tun。
同理,在异域靶场侧部署双网卡服务器2的过程与上述过程类似,只是在上述对应步骤中,将设置远端ip为异域靶场的公网IP这一步骤修改为,设置远端ip为目标靶场的公网IP。
在上述部署了双网卡服务器后,就可以实现转换功能。
在本实施例中,在接收到靶场的任务协同请求时,确定所述任务协同请求是否来自于异域靶场以便确定是否需要通过隧道进行通信。
步骤S10,在接收到靶场的任务协同请求时,确定所述任务协同请求是否来自于异域靶场的步骤之前,包括步骤S01-步骤S03:
步骤S01,通过在目标靶场侧的隧道口配置的协议转换模块或者异域靶场侧的隧道口配置的协议转换模块中执行测试命令以测试所述隧道是否连通;
作为一种示例,在接收到靶场的任务协同请求时,确定所述任务协同请求是否来自于异域靶场的步骤之前,需要测试隧道是否连通。
通过在目标靶场侧的隧道口配置的协议转换模块或者异域靶场侧的隧道口配置的协议转换模块中执行测试命令以测试所述隧道是否连通。
作为一种示例,在目标靶场的双网卡服务器1上执行ping命令测试vxlan隧道能否建立成功,其中,ping也属于一个通信协议,是TCP/IP(Transmission Control Protocol/Internet Protocol传输控制协议/因特网互联协议,又名网络通讯协议)协议的一部分。利用“ping”命令可以检查网络是否连通,可以很好地帮助我们分析和判定网络故障。
步骤S01,通过在目标靶场侧的隧道口配置的协议转换模块或者异域靶场侧的隧道口配置的协议转换模块中执行测试命令以测试所述隧道是否连通的步骤之前,包括步骤A1:
步骤A1,确定所述目标靶场对应的第一协议转换模块以及所述异域靶场对应的第二协议转换模块,其中,所述第一协议转换模块与所述第二协议转换模块均配置有集成网桥与隧道网桥,其中,所述集成网桥用于连接内网,所述隧道网桥用于连接公网。
作为一种示例,在测试隧道是否连通的步骤之前,确定目标靶场对应的第一协议转换模块以及所述异域靶场对应的第二协议转换模块,其中,所述第一协议转换模块与所述第二协议转换模块均配置有集成网桥与隧道网桥,其中,所述集成网桥用于连接内网,所述隧道网桥用于连接公网。
步骤A1,确定所述目标靶场对应的第一协议转换模块以及所述异域靶场对应的第二协议转换模块的步骤,包括步骤B1-步骤B2:
步骤B1,确定所述目标靶场对应的第一协议转换模块中的远端IP为所述异域靶场对应的公网IP;
作为一种示例,第一协议转换模块即双网卡服务器1,双网卡服务器1中的远端IP为异域靶场对应的公网IP。
步骤B2,确定所述异域靶场对应的第二协议转换模块中的远端IP为所述目标靶场对应的公网IP。
作为一种示例,第二协议转换模块即双网卡服务器2,双网卡服务器2中的远端IP为目标靶场对应的公网IP。
作为一种示例,异域靶场可以为多个,如地域1的目标靶场除了与地域2的分靶场连接,还可以与地域3的分靶场连接。
若所述异域靶场为多个,步骤A1,确定所述目标靶场对应的第一协议转换模块以及所述异域靶场对应的第二协议转换模块的步骤,包括步骤C1-步骤C2:
步骤C1,确定所述目标靶场对应的第一协议转换模块中的远端IP为多个所述异域靶场对应的公网IP;
作为一种示例,确定目标靶场对应的双网卡服务器1中的远端IP为多个异域靶场分靶场对应的公网IP。
步骤C2,确定多个所述异域靶场对应的第二协议转换模块中的多个远端IP为所述目标靶场对应的公网IP。
作为一种示例,确定多个异域靶场对应的双网卡服务器2中的多个远端IP为目标靶场对应的公网IP。
步骤S02,若连通,则选择所述目标靶场或所述异域靶场中任意一个靶场,在选中靶场的虚拟机中执行测试命令测试隧道内外的通讯协议是否成功映射;
作为一种示例,若隧道连通,则需要继续测试通讯协议是否成功映射,可以选择目标靶场或者异域靶场中的任意一个靶场进行测试,若选择在目标靶场中测试隧道内外的通讯协议是否成功映射,则在目标靶场的每个队伍内的虚拟机ping其他靶场的虚拟机ip。若能ping通说明隧道及vlan-vxlan映射都成功。
步骤S03,若成功映射,则确定不同地域的目标靶场与异域靶场成功实现互联。
作为一种示例,若成功映射,则确定不同地域的目标靶场与异域靶场成功实现互联。
步骤S10,在接收到靶场的任务协同请求时,确定所述任务协同请求是否来自于异域靶场的步骤之后,包括:
若否,则通过与分靶场之间的虚拟网络进行任务协同,其中,所述分靶场与所述目标靶场为相同地域上的靶场。
作为一种示例,若确定所述任务协同请求不是来自于异域靶场,则通过与分靶场之间的虚拟网络进行任务协同,分靶场之间的任务协同不需要隧道,通过预设的内部拓扑结构进行任务协同。其中,所述分靶场与所述目标靶场为相同地域上的靶场。
步骤S20,若是,则通过与所述异域靶场之间预设的隧道进行任务协同。
所述隧道为预先配置的,在所述目标靶场侧的隧道口与所述异域靶场侧的隧道口均配置有协议转换模块,步骤S20,若是,则通过与所述异域靶场之间预设的隧道进行任务协同的步骤,包括步骤S21:
步骤S21,若是,则通过与所述异域靶场之间预设的隧道进行任务协同,其中,所述目标靶场侧的隧道口配置的协议转换模块预留有第一网卡与第二网卡,所述第一网卡配置公网地址,所述第一网卡用于转换隧道内外的通讯协议以使不同地域的目标靶场与异域靶场互联,所述第二网卡不配置网络地址,所述第二网卡用于将所述协议转换装置与所述目标靶场互联。
作为一种示例,若是,则表明请求来自于异域靶场,则通过与异域靶场之间预设的隧道进行任务协同,其中,在目标靶场侧的隧道口配置的协议转换模块预留有两个网卡,第一网卡配置公网地址,所述第一网卡用于转换隧道内外的通讯协议以使不同地域的目标靶场与异域靶场互联,第二网卡不配置网络地址,所述第二网卡用于将所述协议转换装置与所述目标靶场互联。本申请提供一种网络靶场的通信方法、装置、设备及存储介质,与现有技术中异域靶场之间无法实现任务协同的问题相比,在本申请中,在接收到靶场的任务协同请求时,确定所述任务协同请求是否来自于异域靶场;若是,则通过与所述异域靶场之间预设的隧道进行任务协同。在本申请中,若确定协同请求来自于异域靶场,则通过隧道进行任务协同,基于预设的隧道进行任务协同可以避免异域靶场之间的通讯协议不兼容的问题,则解决了异域靶场之间无法实现任务协同的问题。
实施例二
进一步地,基于上述所有实施例,提供本申请的另一实施例,在该实施例中,如图2,提供一种网络靶场的通信装置,所述装置包括:
确定模块,用于在接收到靶场的任务协同请求时,确定所述任务协同请求是否来自于异域靶场;
任务协同模块,用于若是,则通过与所述异域靶场之间预设的隧道进行任务协同。
在本申请的一种可能的实施方式中,所述在接收到靶场的任务协同请求时,确定所述任务协同请求是否来自于异域靶场的步骤之后,所述装置包括:
第一任务协同模块,用于若否,则通过与分靶场之间的虚拟网络进行任务协同,其中,所述分靶场与所述目标靶场为相同地域上的靶场。
在本申请的一种可能的实施方式中,所述隧道为预先配置的,在所述目标靶场侧的隧道口与所述异域靶场侧的隧道口均配置有协议转换模块,所述若是,则通过与所述异域靶场之间预设的隧道进行任务协同的步骤,所述装置包括:
第二任务协同模块,用于若是,则通过与所述异域靶场之间预设的隧道进行任务协同,其中,所述目标靶场侧的隧道口配置的协议转换模块预留有第一网卡与第二网卡,所述第一网卡配置公网地址,所述第一网卡用于转换隧道内外的通讯协议以使不同地域的目标靶场与异域靶场互联,所述第二网卡不配置网络地址,所述第二网卡用于将所述协议转换装置与所述目标靶场互联。
在本申请的一种可能的实施方式中,所述在接收到靶场的任务协同请求时,确定所述任务协同请求是否来自于异域靶场的步骤之前,所述装置包括:
第一执行模块,用于通过在目标靶场侧的隧道口配置的协议转换模块或者异域靶场侧的隧道口配置的协议转换模块中执行测试命令以测试所述隧道是否连通;
第二执行模块,用于若连通,则选择所述目标靶场或所述异域靶场中任意一个靶场,在选中靶场的虚拟机中执行测试命令测试隧道内外的通讯协议是否成功映射;
第一确定模块,用于若成功映射,则确定不同地域的目标靶场与异域靶场成功实现互联。
在本申请的一种可能的实施方式中,所述通过在目标靶场侧的隧道口配置的协议转换模块或者异域靶场侧的隧道口配置的协议转换模块中执行测试命令以测试所述隧道是否连通的步骤之前,所述装置包括:
第三确定模块,用于确定所述目标靶场对应的第一协议转换模块以及所述异域靶场对应的第二协议转换模块,其中,所述第一协议转换模块与所述第二协议转换模块均配置有集成网桥与隧道网桥,其中,所述集成网桥用于连接内网,所述隧道网桥用于连接公网。
在本申请的一种可能的实施方式中,所述确定所述目标靶场对应的第一协议转换模块以及所述异域靶场对应的第二协议转换模块的步骤,所述装置包括:
第四确定模块,用于确定所述目标靶场对应的第一协议转换模块中的远端IP为所述异域靶场对应的公网IP;
第五确定模块,用于确定所述异域靶场对应的第二协议转换模块中的远端IP为所述目标靶场对应的公网IP。
在本申请的一种可能的实施方式中,若所述异域靶场为多个,所述确定所述目标靶场对应的第一协议转换模块以及所述异域靶场对应的第二协议转换模块的步骤,所述装置包括:
第六确定模块,用于确定所述目标靶场对应的第一协议转换模块中的远端IP为多个所述异域靶场对应的公网IP;
第七确定模块,用于确定多个所述异域靶场对应的第二协议转换模块中的多个远端IP为所述目标靶场对应的公网IP。
本申请网络靶场的通信装置具体实施方式与上述网络靶场的通信方法各实施例基本相同,在此不再赘述。
实施例三
进一步地,基于上述所有实施例,提供本申请的另一实施例,在该实施例中,提供一种网络靶场的通信设备,所述网络靶场的通信设备为实体节点设备,所述网络靶场的通信设备包括:存储器、处理器以及存储在存储器上的用于实现所述网络靶场的通信方法的程序,所述存储器用于存储实现网络靶场的通信方法的程序;所述处理器用于执行实现所述网络靶场的通信方法的程序,以实现上述实施例中网络靶场的通信方法的步骤。
参照图3,图3是本申请实施例方案涉及的硬件运行环境的设备结构示意图。
如图3所示,该网络靶场的通信设备可以包括:处理器1001,例如CPU,存储器1005,通信总线1002。其中,通信总线1002用于实现处理器1001和存储器1005之间的连接通信。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储设备。
在本申请的一种可能的实施方式中,该网络靶场的通信设备还可以包括网络接口、音频电路、显示器、连接线、传感器、输入模块等等,网络接口可选的可以包括标准的有线接口、无线接口(如WI-FI接口、蓝牙接口),输入模块可选的可以包括键盘(Keyboard)、系统软键盘、语音输入、无线接收输入等等。
本领域技术人员可以理解,网络靶场的通信设备结构并不构成对网络靶场的通信设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
作为一种计算机存储介质的存储器中可以包括操作系统、信息交换模块以及网络靶场的通信程序。操作系统是管理和控制网络靶场的通信设备硬件和软件资源的程序,支持网络靶场的通信程序以及其它软件和/或程序的运行。信息交换模块用于实现存储器内部各组件之间的通信,以及与管理系统中其它硬件和软件之间通信。
网络靶场的通信设备中,处理器用于执行存储器中存储的网络靶场的通信程序,实现上述的网络靶场的通信的步骤。
本申请网络靶场的通信设备具体实施方式与上述网络靶场的通信方法各实施例基本相同,在此不再赘述。
实施例四
本申请实施例提供了一种存储介质,且所述存储介质存储有一个或者一个以上程序,所述一个或者一个以上程序还可被一个或者一个以上的处理器执行以用于实现上述实施例中网络靶场的通信方法的步骤。
本申请存储介质具体实施方式与上述网络靶场的通信方法各实施例基本相同,在此不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储存储介质(如ROM或者RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (9)
1.一种网络靶场的通信方法,其特征在于,应用于网络靶场的通信系统,所述系统包括目标靶场、与所述目标靶场不同地域的异域靶场以及协议转换模块,在所述目标靶场侧的隧道口与所述异域靶场侧的隧道口均配置有协议转换模块;
所述网络靶场的通信方法,包括:
在接收到靶场的任务协同请求时,确定所述任务协同请求是否来自于异域靶场;
若是,则通过与所述异域靶场之间预设的隧道进行任务协同,其中,所述目标靶场侧的隧道口配置的协议转换模块预留有第一网卡与第二网卡,所述第一网卡配置公网地址,所述第一网卡用于转换隧道内外的通讯协议以使不同地域的目标靶场与异域靶场互联,所述第二网卡不配置网络地址,所述第二网卡用于将所述协议转换模块与所述目标靶场互联。
2.根据权利要求1所述的网络靶场的通信方法,其特征在于,所述在接收到靶场的任务协同请求时,确定所述任务协同请求是否来自于异域靶场的步骤之后,包括:
若否,则通过与分靶场之间的虚拟网络进行任务协同,其中,所述分靶场与所述目标靶场为相同地域上的靶场。
3.根据权利要求1所述的网络靶场的通信方法,其特征在于,所述在接收到靶场的任务协同请求时,确定所述任务协同请求是否来自于异域靶场的步骤之前,包括:
通过在目标靶场侧的隧道口配置的协议转换模块或者异域靶场侧的隧道口配置的协议转换模块中执行测试命令以测试所述隧道是否连通;
若连通,则选择所述目标靶场或所述异域靶场中任意一个靶场,在选中靶场的虚拟机中执行测试命令测试隧道内外的通讯协议是否成功映射;
若成功映射,则确定不同地域的目标靶场与异域靶场成功实现互联。
4.根据权利要求3所述的网络靶场的通信方法,其特征在于,所述通过在目标靶场侧的隧道口配置的协议转换模块或者异域靶场侧的隧道口配置的协议转换模块中执行测试命令以测试所述隧道是否连通的步骤之前,包括:
确定所述目标靶场对应的第一协议转换模块以及所述异域靶场对应的第二协议转换模块,其中,所述第一协议转换模块与所述第二协议转换模块均配置有集成网桥与隧道网桥,其中,所述集成网桥用于连接内网,所述隧道网桥用于连接公网。
5.根据权利要求4所述的网络靶场的通信方法,其特征在于,所述确定所述目标靶场对应的第一协议转换模块以及所述异域靶场对应的第二协议转换模块的步骤,包括:
确定所述目标靶场对应的第一协议转换模块中的远端IP为所述异域靶场对应的公网IP;
确定所述异域靶场对应的第二协议转换模块中的远端IP为所述目标靶场对应的公网IP。
6.根据权利要求5所述的网络靶场的通信方法,其特征在于,若所述异域靶场为多个,所述确定所述目标靶场对应的第一协议转换模块以及所述异域靶场对应的第二协议转换模块的步骤,包括:
确定所述目标靶场对应的第一协议转换模块中的远端IP为多个所述异域靶场对应的公网IP;
确定多个所述异域靶场对应的第二协议转换模块中的多个远端IP为所述目标靶场对应的公网IP。
7.一种网络靶场的通信装置,其特征在于,网络靶场的通信装置,包括:
确定模块,用于在接收到靶场的任务协同请求时,确定所述任务协同请求是否来自于异域靶场;
第二任务协同模块,用于若是,则通过与所述异域靶场之间预设的隧道进行任务协同,其中,目标靶场侧的隧道口配置的协议转换模块预留有第一网卡与第二网卡,所述第一网卡配置公网地址,所述第一网卡用于转换隧道内外的通讯协议以使不同地域的目标靶场与异域靶场互联,所述第二网卡不配置网络地址,所述第二网卡用于将所述协议转换模块与所述目标靶场互联。
8.一种网络靶场的通信设备,其特征在于,包括存储器,处理器及存储在所述存储器上并可在所述处理器上运行的网络靶场的通信程序,所述处理器执行所述网络靶场的通信程序实现权利要求1至6中任一项所述的网络靶场的通信方法的步骤。
9.一种存储介质,其特征在于,所述存储介质上存储有实现网络靶场的通信方法的程序,所述实现网络靶场的通信方法的程序被处理器执行以实现如权利要求1至6中任一项所述网络靶场的通信方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310344439.5A CN116055566B (zh) | 2023-04-03 | 2023-04-03 | 网络靶场的通信方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310344439.5A CN116055566B (zh) | 2023-04-03 | 2023-04-03 | 网络靶场的通信方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116055566A CN116055566A (zh) | 2023-05-02 |
CN116055566B true CN116055566B (zh) | 2023-10-20 |
Family
ID=86131689
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310344439.5A Active CN116055566B (zh) | 2023-04-03 | 2023-04-03 | 网络靶场的通信方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116055566B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116684301B (zh) * | 2023-06-26 | 2024-01-30 | 北京永信至诚科技股份有限公司 | 一种跨靶场任务协同的实现方法、系统、设备和存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114039798A (zh) * | 2021-11-30 | 2022-02-11 | 绿盟科技集团股份有限公司 | 一种数据传输方法、装置及电子设备 |
CN114500623A (zh) * | 2022-01-17 | 2022-05-13 | 北京永信至诚科技股份有限公司 | 网络靶场互联互通方法、装置、设备及可读存储介质 |
CN114500047A (zh) * | 2022-01-26 | 2022-05-13 | 烽台科技(北京)有限公司 | 一种工业网络靶场异构互联的方法及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130013666A1 (en) * | 2011-07-07 | 2013-01-10 | International Business Machines Corporation | Monitoring data access requests to optimize data transfer |
-
2023
- 2023-04-03 CN CN202310344439.5A patent/CN116055566B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114039798A (zh) * | 2021-11-30 | 2022-02-11 | 绿盟科技集团股份有限公司 | 一种数据传输方法、装置及电子设备 |
CN114500623A (zh) * | 2022-01-17 | 2022-05-13 | 北京永信至诚科技股份有限公司 | 网络靶场互联互通方法、装置、设备及可读存储介质 |
CN114500047A (zh) * | 2022-01-26 | 2022-05-13 | 烽台科技(北京)有限公司 | 一种工业网络靶场异构互联的方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN116055566A (zh) | 2023-05-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109802852B (zh) | 应用于网络靶场的网络仿真拓扑的构建方法及系统 | |
US10237296B2 (en) | Automated penetration testing device, method and system | |
CN101447898B (zh) | 一种用于网络安全产品的测试系统及测试方法 | |
Maeda et al. | Automating post-exploitation with deep reinforcement learning | |
CN112153010B (zh) | 一种网络安全靶场系统及其运行方法 | |
Williams et al. | GARNET: A graphical attack graph and reachability network evaluation tool | |
US8554536B2 (en) | Information operations support system, method, and computer program product | |
KR101460589B1 (ko) | 사이버전 모의 훈련 관제 서버 | |
CN108111482A (zh) | 一种智能电网工业控制网络安全测试系统和测试方法 | |
CN116055566B (zh) | 网络靶场的通信方法、装置、设备及存储介质 | |
CN103916384A (zh) | 一种面向gap隔离交换设备的渗透测试方法 | |
CN103400077A (zh) | 一种基于BackTrack的渗透测试方法 | |
Ashtiani et al. | A distributed simulation framework for modeling cyber attacks and the evaluation of security measures | |
CN111224991B (zh) | 网络安全应急响应方法及响应系统 | |
CN109412955A (zh) | Ipran网络设备间链接关系确定方法及装置 | |
KR100676574B1 (ko) | 보안 홀 진단 시스템 | |
Pihelgas | Design and implementation of an availability scoring system for cyber defence exercises | |
CN111245800A (zh) | 基于应用场景的工控网络的网络安全测试方法和装置 | |
CN106789407A (zh) | 一种云平台检查虚拟机连接状态的方法 | |
CN116436689A (zh) | 漏洞处理方法、装置、存储介质及电子设备 | |
CN115426324A (zh) | 一种实体设备接入网络靶场的方法及装置 | |
KR101741566B1 (ko) | 사이버 훈련 환경에서의 공격단계 및 공격진행상황을 인지하는 방법 및 시스템 | |
KR102381277B1 (ko) | 사이버 공격을 방어하기 위한 보안 방법 및 장치 | |
CN114422296B (zh) | 一种多场景虚拟网络构建系统、方法、终端及存储介质 | |
Pan et al. | Scorpio: an Automated Penetration Testing Tool and Its Integration with a Cyber Range |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |