基于虚拟化和云技术的远程网络攻防虚拟仿真系统的制作方法
【专利摘要】基于虚拟化和云技术的远程网络攻防虚拟仿真系统,涉及信息安全和实验系统远程共享领域;解决了现有网络攻防虚拟仿真系统无法远程共享和构建的网络拓扑结构及攻防场景单一的问题,提出了利用虚拟化和云技术,在云存储上创建虚拟攻击机实例和虚拟靶机实例,为虚拟攻击机实例和虚拟靶机实例配置网络连接设备和网络防护设备,构建出多样化的网络拓扑结构和攻防场景供用户开展攻防实验;包括远程接入控制模块、实验配置模块、虚拟攻击机云模块、虚拟靶机云模块、监控中心模块、扩展设备配置模块和管理中心模块;同时允许用户通过VPN远程使用该虚拟仿真系统,避免了攻防虚拟仿真系统的重复投资建设,提高了实验设备的利用率。
【专利说明】基于虚拟化和云技术的远程网络攻防虚拟仿真系统
【技术领域】
[0001]本发明涉及信息安全和实验系统远程共享领域,具体涉及网络攻击和防护的虚拟仿真实验系统的配置、运行和共享。
【背景技术】
[0002]网络攻防技术本身所具有的特殊性和破坏性,使得对它的教学和研究难以在真实的网络环境完成。目前开展网络攻防的教学和研究工作一般都是在一个独立的网络中利用硬件设备搭建物理实验环境或者采用虚拟仿真技术模拟真实网络环境。其中前者对实验室的投资提出了更高的要求,一般的高校和研究机构难以承担如此庞大的费用,而且在攻防实验所需的网络规模大和网络结构复杂时,在实验室里无法搭建物理实验环境,尤其是在真实的网络中设置网络漏洞会带来巨大风险,因此目前的网络攻防实验大多采用虚拟仿真技术来完成。
[0003]申请专利号201310157537.4,发明名称《基于攻防教学实训平台上统一管理虚拟机的装置》,该发明能统一管理平台上的虚拟机,实现虚拟机的一键还原,每名学生利用两台虚拟主机进行实践攻防教学。申请专利号200710056313.9,发明名称为《网络信息安全教学实验装置》,该仿真系统具有交换机模式和防火墙两种工作模式来模拟不同的网络环境,利用学生计算机上配置的虚拟机完成网络信息安全实验。
[0004]已有的基于虚拟仿真技术的网络攻防教学和培训产品,对网络攻防的实验、教学和研究起到了良好的推动作用,但也存在一些问题:由于真实网络环境的复杂性和多样性,仅依靠虚拟化技术或硬件设备,难以实现对多样化的网络拓扑结构和攻防场景的模拟;不能通过网络远程开展攻防实验,实验设备利用率较低。
【发明内容】
[0005]本发明为解决现有网络攻防虚拟仿真系统无法远程共享和构建的网络拓扑结构及攻防场景单一的问题,提供一种基于虚拟化和云技术的远程网络攻防虚拟仿真系统。
[0006]基于虚拟化和云技术的远程网络攻防虚拟仿真系统,包括远程接入控制模块、实验配置模块、虚拟攻击机云模块、虚拟靶机云模块、监控中心模块和管理中心模块;
[0007]管理员通过所述管理中心模块设置虚拟仿真系统的实验类别,所述管理中心模块用于维护使用所述虚拟仿真系统的网络用户的帐号信息,配置网络用户操作的实验类别;管理员按照实验类别维护虚拟攻击机云模块内的操作系统镜像文件和攻击工具以及虚拟靶机云模块内的具有操作系统漏洞和应用软件漏洞的操作系统镜像文件和防护工具;
[0008]所述网络用户通过远程接入控制模块连接到所述虚拟仿真系统,并按照管理中心模块提供的实验类别进行攻防实验;
[0009]所述实验配置模块允许网络用户设置所要创建的虚拟攻击机实例和虚拟靶机实例的实验类别,配置虚拟攻击机实例和虚拟靶机实例的网络拓扑结构;
[0010]所述虚拟攻击机云模块利用虚拟化和云技术,根据实验配置模块设置的实验类另|J,创建安装了相应攻击工具的Windows或Linux操作系统虚拟攻击机实例;
[0011]所述虚拟靶机云模块利用虚拟化和云技术,根据实验配置模块设置的实验类别,创建具有相应操作系统漏洞和应用软件漏洞的Windows或Linux操作系统虚拟祀机实例;
[0012]监控中心模块自动捕获虚拟攻击机云模块和虚拟靶机云模块之间通信的网络数据包,网络用户下载虚拟攻击机实例和虚拟靶机实例之间通信的网络数据包。
[0013]本发明的有益效果:基于虚拟化技术和云技术,在网络云存储上创建配置了攻击工具的虚拟攻击机实例和配置了防护工具的虚拟靶机实例,模拟真实的网络攻击和防护环境;提供扩展设备配置模块,允许网络用户为虚拟攻击机实例和虚拟靶机实例配置路由器、交换机等网络连接设备,为虚拟攻击机实例配置防火墙和入侵检测系统网络防护设备,构建多样化的网络拓扑结构和攻防场景;网络用户可以下载实验过程中自己建立的虚拟攻击机实例和虚拟靶机实例之间通信的网络数据包、虚拟攻击机实例和虚拟靶机实例的主机日志、攻击工具和防护工具的应用软件日志供其分析;同时提供远程接入控制功能,允许网络用户远程使用该虚拟仿真系统,实现了攻防系统的远程共享,避免了攻防系统重复投资建设,提高了实验设备的利用率。
【专利附图】
【附图说明】
[0014]图1为本发明所述的基于虚拟化和云技术的远程网络攻防虚拟仿真系统的结构框图;
[0015]图2为本发明所述的基于虚拟化和云技术的远程网络攻防虚拟仿真系统的硬件结构;
[0016]图3为本发明所述的基于虚拟化和云技术的远程网络攻防虚拟仿真系统的工作流程图。
【具体实施方式】
[0017]【具体实施方式】一、结合图1至图3说明本实施方式,基于虚拟化和云技术的远程网络攻防虚拟仿真系统,包括远程接入控制模块、虚拟攻击机云模块、虚拟靶机云模块、监控中心模块、管理中心模块和实验配置模块;
[0018]所述管理中心模块允许管理员维护可以连接到虚拟仿真系统的帐号信息,包括用户名、初始密码和可以操作的实验类别;按照实验类别维护位于虚拟攻击机云模块内的Windows和Linux操作系统镜像文件和端口扫描工具、SQL注入工具、网络嗅探器、木马植入工具、远程控制工具、跨站脚本攻击工具、DDos攻击工具和密码破解攻击工具;按照实验类别维护位于虚拟靶机云模块内具有操作系统漏洞和应用软件漏洞的Windows和Linux操作系统镜像文件;
[0019]所述虚拟攻击机云模块利用虚拟化和云技术,根据在实验配置模块中设置的实验类别,利用安装了相应攻击工具的Windows或Linux操作系统镜像文件,创建虚拟攻击机实例。
[0020]所述虚拟靶机云模块利用虚拟化和云技术,根据实验配置模块中设置的实验类另O,利用具有相应操作系统漏洞和应用软件漏洞的Windows或Linux操作系统镜像文件,创建虚拟靶机实例,并可根据实验类别,为虚拟靶机实例安装主机安全加固、蜜罐、防火墙和入侵检测防护工具;
[0021]所述实验配置模块允许网络用户设置实验类别,配置虚拟攻击机实例和虚拟靶机实例的IP地址、子网掩码、默认网关和DNS服务器;
[0022]所述监控中心模块自动捕获流经虚拟攻击机云模块和虚拟靶机云模块之间的网络数据包,实验完成后,允许网络用户下载流经自己建立的虚拟攻击机实例和虚拟靶机实例之间的网络数据包;
[0023]所述扩展设备配置模块允许网络用户为虚拟攻击机实例和虚拟靶机实例配置交换机和路由器网络连接设备构建多样化的网络拓扑结构;允许网络用为虚拟靶机实例配置防火墙和入侵检测系统网络防护设备构建多样化的攻防场景。
[0024]本实施方式所述网络用户包括局域网用户或互联网用户,通过局域网或互联网连接到该虚拟仿真系统,并使用该虚拟仿真系统进行网络攻防实验的学生或研究人员。
[0025]【具体实施方式】二、结合图2和图3说明本实施方式,本实施方式为【具体实施方式】一所述的基于远程网络攻防的虚拟仿真系统的实施例:本实施例中涉及的硬件设备包括VPN网关、交换机、防火墙、应用服务器、第一网络云存储和第二网络云存储。
[0026]应用服务器连接第一网络云存储、第二网络云存储和交换机,安装了 Ubuntu操作系统、Opeanstatck、JDK、ApacheTomcat 和 Mysql,部署了 JSP/Servlet 程序,包括如图1 所示的远程接入控制模块、虚拟攻击机云模块、虚拟靶机云模块、监控中心模块、管理中心模块、实验配置模块和扩展设备配置模块。
[0027]第一网络云存储通过防火墙连接到交换机,其中防火墙是可选的网络防护设备,也可以用其它网络防护设备替代防火墙或者直接连接到交换机,此处使用防火墙是为了配置多样化的网络防护环境;第一网络云存储中保存着具有操作系统漏洞和应用软件漏洞的操作系统镜像文件,利用这些镜像文件可以创建出64台Windows或Linux虚拟靶机实例。
[0028]第二网络云存储直接连接到交换机,保存着安装了攻击工具的操作系统镜像文件,利用这些镜像文件可以创建出64台Windows或Linux虚拟攻击机实例。
[0029]互联网用户通过VPN网关连接到该虚拟仿真系统,局域网用户通过交换机连接到该虚拟仿真系统。
[0030]结合图3说明本实施方式,本系统进行平台初始化时,管理员维护帐号信息库,包括用户名、口令和可以操作的实验类别,为帐号在第一和第二网络云存储中分配磁盘空间,指定用户可以操作的实验类别。
[0031]管理员维护第一网络云存储中的虚拟靶机Windows和Linux操作系统镜像文件库,维护第二网络云存储中的虚拟攻击机Windows和Linux操作系统镜像文件库。
[0032]管理员维护在虚拟攻击机实例上使用的攻击软件工具和虚拟靶机实例上使用的漏洞库资源。
[0033]局域网用户提供正确的用户名和口令直接连接到该虚拟仿真系统;互联网用户利用Openvpn软件工具,提供正确的用户名和口令,通过VPN建立和该虚拟仿真系统的连接。
[0034]局域网和互联网用户连接到该虚拟仿真系统后,可以使用管理员预先为其分配好的位于第一网络云存储和第二网络云存储上的磁盘空间。
[0035]局域网和互联网用户根据实验类别,选择相应的虚拟攻击机镜像文件和虚拟靶机镜像文件,在自己所属磁盘空间内创建虚拟攻击机实例和虚拟靶机实例。[0036]局域网和互联网用户配置虚拟攻击机实例和虚拟靶机实例的IP地、子网掩码、默认网关和DNS服务器,建立虚拟攻击机实例和虚拟靶机实例之间的网络连接。
[0037]局域网和互联网用户登录到自己创建的虚拟靶机实例内,利用第一网络云存储上提供的具有安全漏洞的软件配置虚拟靶机实例,使其具备被攻击的条件。
[0038]局域网和互联网用户登录到自己创建的虚拟攻击机实例内,利用第二网络云存储上提供的攻击工具配置虚拟攻击机实例使其具备攻击能力。
[0039]局域网和互联网用户可以根据实验需要,自行在虚拟攻击机实例上安装其它攻击工具和在虚拟靶机实例上安装其它防护工具。
[0040]为了真实模拟复杂的网络环境,局域网和互联网用户可以为虚拟靶机实例配置防火墙,将虚拟靶机实例纳入防火墙的安全防护范围内。
[0041]用户登录到虚拟攻击机实例内,利用所配置的攻击工具对虚拟靶机实例发动网络攻击。
[0042]监控中心模块捕获流经虚拟攻击机实例和虚拟靶机实例之间的网络数据包,保存虚拟攻击机实例和虚拟靶机实例的操作系统日志和相关软件工具的日志。
[0043]网络用户可随时下载由监控中心模块捕获流经虚拟攻击机实例和虚拟靶机实例的网络数据包和主机日志,供其分析实验结果。实验完成后用户可以关闭虚拟攻击机实例和虚拟靶机实例。所述的监控中心模块会自动监控长时间内没有活动的虚拟攻击机实例和虚拟靶机实例,将其关闭以释放资源。
【权利要求】
1.基于虚拟化和云技术的远程网络攻防虚拟仿真系统,包括远程接入控制模块、实验配置模块、虚拟攻击机云模块、虚拟靶机云模块、监控中心模块和管理中心模块;其特征是; 管理员通过所述管理中心模块设置虚拟仿真系统的实验类别,所述管理中心模块用于维护使用所述虚拟仿真系统的网络用户的帐号信息,配置网络用户操作的实验类别;管理员按照实验类别维护虚拟攻击机云模块内的操作系统镜像文件和攻击工具以及虚拟靶机云模块内的具有操作系统漏洞和应用软件漏洞的操作系统镜像文件和防护工具; 所述网络用户通过远程接入控制模块连接到所述虚拟仿真系统,并按照管理中心模块提供的实验类别进行攻防实验; 所述实验配置模块允许网络用户设置所要创建的虚拟攻击机实例和虚拟靶机实例的实验类别,配置虚拟攻击机实例和虚拟靶机实例的网络拓扑结构; 所述虚拟攻击机云模块利用虚拟化和云技术,根据实验配置模块设置的实验类别,创建安装了相应攻击工具的Windows或Linux操作系统虚拟攻击机实例; 所述虚拟靶机云模块利用虚拟化和云技术,根据实验配置模块设置的实验类别,创建具有相应操作系统漏洞和应用软件漏洞的Windows或Linux操作系统虚拟祀机实例; 监控中心模块自动捕获虚拟攻击机云模块和虚拟靶机云模块之间通信的网络数据包,网络用户下载虚拟攻击机实例和虚拟靶机实例之间通信的网络数据包。
2.根据权利要求1所述的基于虚拟化和云技术的远程网络攻防的虚拟仿真系统,其特征在于,还包括扩展设备配置模块,网络用户通过扩展设备配置模块为虚拟攻击机实例和虚拟靶机实例配置路由器和交换机网络连接设备,为虚拟靶机实例配置防火墙和入侵检测系统网络防护设备。
3.根据权利要求1所述的基于虚拟化和云技术的远程网络攻防的虚拟仿真系统,其特征在于,所述的实验类别包括有线网络攻防、无线网络攻防、动态网站攻防、病毒攻防、网络渗透与安全加固攻防。
4.根据权利要求1所述的基于虚拟化和云技术的远程网络攻防的虚拟仿真系统,其特征在于,所述虚拟攻击机云模块配置相应的攻击工具具体指端口扫描工具、SQL注入工具、网络嗅探器、木马植入工具、远程控制工具、跨站脚本攻击工具、DDos攻击工具和密码破解攻击工具,所述虚拟靶机云模块配置相应的防护工具具体指主机安全加固、蜜罐、防火墙软和入侵检测系统防护工具。
【文档编号】H04L29/08GK103701777SQ201310671253
【公开日】2014年4月2日 申请日期:2013年12月11日 优先权日:2013年12月11日
【发明者】底晓强, 杨华民, 赵建平, 李鹏飞, 翟宏宇, 张宇昕, 李华, 李奇, 孙一鸣, 从立钢, 祁晖 申请人:长春理工大学