一种实现网络靶场系统的方法及网络靶场管理系统的制作方法

一种实现网络靶场系统的方法及网络靶场管理系统的制作方法
【技术领域】
[0001]本发明属于网络信息安全技术领域，具体涉及一种实现网络靶场系统的方法及网络靶场管理系统。
【背景技术】
[0002]网络安全是伴随着网络的产生而出现的，随着网络渗透到社会、国家、人民生活的每个层面，网络安全也显得越来越重要，而在一个可控的环境中搭建一个有效的模拟平台，模拟各种可能遭遇的网络攻击场景，是一种提高网络安全性能的有效途径。
[0003]当前，网络已被定义为战争空间，网络攻防的仿真模拟已经成为训练“网络战士”的重要方式。为了保护美国的网络安全，增强其网络战能力，2008年5月I日，美国防高级研宄计划局(DARPA)战略技术处发布关于展开“国家网络靶场”项目研发工作的公告。“国家网络靶场”项目是自20世纪50年代实施“人造地球卫星计划”以来，美国会向DARPA直接下达的唯一项目。该靶场的建设目标是，模拟真实的网络攻防作战提供虚拟环境，针对敌对电子攻击和网络攻击等电子作战手段进行试验，以实现网络战能力的重大变革，打赢网络战争。目前，美军已建立了由灰网、黄网、黑网、绿网四个子网络组成的网络靶场。英国也建立了模拟互联网的网络靶场，其中有一种是存在于现实网络中的被称为“蜜罐”系统的实验室。
[0004]2013年，奇虎360科技有限公司与我国国内多家重点院校合作组建网络攻防实验室、建设了多级别的网络实战“靶场”，同时，为国内外各个层面的网络安全技术人员提供体验网络“打靶”的场景，并联合举办面向高校学生的网络攻防竞技比赛。2014年初，华迪计算机集团有限公司也开始了网络靶场平台的研宄、设计和开发，为军事训练保障领域(如网络攻防对抗训练、网上军事演练等)提供网络攻防战的模拟平台奠定了基础。
[0005]对于一个网络靶场而言，需要综合考虑实体、平台、通信、数据、管理等多个方面，是对现实复杂网络环境的再现。而实际中网络目标很多情况下都不是孤立的设备或系统，而是具有一定规模的网络结构，为了模拟多种不同的攻击和防御方式，需要克服单独的靶机的敝端，靶场搭建要尽可能接近现实网络环境，把靶场建立在一个高度统一、构建相同的全面系统当中。这就一方面需要统一调度和管理各种可用资源，另外也需要不断改变拓扑结构以模拟和创新不同的攻防策略。
[0006]目前，网络靶场的开发通常是基于云计算平台的。通过云计算平台，“网络靶场”系统架构实现了计算资源、存储资源和网络资源的调度管理，但是不能快速灵活的定义和/或更改网络拓扑结构，也无法快速灵活的实现网络靶场规模的扩展。

【发明内容】

[0007]本发明的实施例提供了一种实现网络靶场系统的方法及网络靶场管理系统，以快速、灵活的定义和/或更改网络靶场的拓扑结构及网络规模的扩展。
[0008]根据本发明的一个方面，提供了一种实现网络靶场系统的方法，所述方法包括: 通过SDN控制器调用全局网络资源；
通过云计算管理平台调用计算资源和存储资源；
SDN控制器定义网络拓扑、复制子网、隔离网络；
SDN控制器向所管理的SDN交换机下发网络流表；
SDN交换机根据所述网络流表交换网络靶场系统内部跨物理服务器的报文，在所定义的所述网络拓扑结构中利用计算资源和存储资源进行用户管理、安全管理、资源监控，实现网络靶场系统。
[0009]上述方案中，所述SDN控制器定义网络拓扑包括:在网络靶场系统内部的服务器、网关、SDN交换机中设置分布式控制节点，SDN控制器以所调用的全局网络资源为基础统一控制分布式控制节点调用局部网络资源，定义网络靶场系统的拓扑结构。
[0010]上述方案中，所述方法还包括:
将SDN交换机设置为GRE网关进行GRE遂道报文的封装和解封装。
[0011 ] 上述方案中，所述方法还包括:
在所述网络靶场系统内部设置SDN网关，由SDN交换机和SDN网关进行网络转换，集成异构物理资源。
[0012]上述方案中，所述在所定义的所述网络拓扑结构中利用计算资源和存储资源进行用户管理、安全管理、资源监控，包括:通过交换机内设置的所述分布式控制节点调用局部网络资源，在网络靶场系统内部相应的所述局部网络资源中利用计算资源、存储资源进行用户管理、安全管理、资源监控。
[0013]根据本发明的另一个方面，还提供了一种网络靶场管理系统，所述系统包括:至少一个SDN控制器、若干SDN交换机、云计算平台、网络靶场系统；其中，
所述SDN控制器和云计算平台与所述网络靶场系统相连，所述SDN交换机与所述SDN控制器相连；
所述SDN控制器用于调用全局网络资源，并用于定义网络拓扑、复制子网、隔离网络，及向与所述SDN控制器相连的SDN交换机下发网络流表；
所述云计算管理平台用于调用计算资源和存储资源；
所述SDN交换机根据所述网络流表交换所述网络靶场系统内部跨物理服务器的报文，在所定义的所述网络拓扑结构中利用计算资源和存储资源进行用户管理、安全管理、资源监控。
[0014]上述方案中，所述网络靶场管理系统还包括分布式控制节点，所述分布式控制节点设置在网络靶场系统内部的服务器、网关、SDN交换机中；
所述SDN控制器还用于以所调用的全局网络资源为基础统一控制分布式控制节点调用局部网络资源，定义网络靶场系统的拓扑结构。
[0015]上述方案中，所述SDN交换机还用于进行GRE遂道报文的封装和解封装。
[0016]上述方案中，所述网络靶场管理系统还包括:SDN网关，所述SDN网关设置在所述网络靶场系统内部，用于与所述SDN交换机进行网络转换，集成异构物理资源。
[0017]上述方案中，所述分布式控制节点用于调用局部网络资源，所述交换机还用于根据分布式控制节点所调用的所述局部网络资源中利用计算资源、存储资源进行用户管理、安全管理、资源监控。
[0018]由以上本发明实施例所提供的技术方案可以看出，本实施例所提供的实现网络靶场的方法，通过SDN控制器调用全局网络资源，同时通过云计算管理平台调用计算资源和存储资源，实现了网络资源、计算资源、存储资源的统一，由上述资源共同构成一个资源池，进行资源的统一分配、调度、管理；再通过SDN控制器定义网络拓扑、复制子网、隔离网络，如通过在网络靶场内部各节点设置分布式控制节点的方式进行网络拓扑的定义，同时SDN控制器向所管理的SDN交换机下发网络流表，SDN交换机根据所述网络流表交换网络靶场系统内部跨物理服务器的报文，在所定义的所述网络拓扑结构中利用计算资源和存储资源进行用户管理、安全管理、资源监控，从而实现网络靶场系统。本发明实现了网络靶场系统的计算资源、存储资源和网络资源的统一调度、管理，同时实现了网络靶场系统所要求的快速灵活定义网络拓扑结构，快速灵活实现网络拓扑的更改，快速灵活实现靶场实验网络规模扩展。
【附图说明】
[0019]图1是本发明【具体实施方式】实现网络靶场系统的方法流程图；
图2是本发明【具体实施方式】网络靶场管理系统内部结构示意图；
图3是本发明优选实施例网络靶场管理系统架构示意图。
【具体实施方式】
[0020]为使本发明的目的、技术方案和优点更加清楚明了，下面结合【具体实施方式】并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。
[0021]本发明实施例实现网络靶场系统，是基于SDN和云计算的，通过对SDN控制器和云计算平台的调用，实现网络资源、计算资源、存储资源的统一管理。以下结合附图和具体实施例对本发明进行详细说明。
[0022]图1是本发明【具体实施方式】实现网络靶场系统的方法流程图。
[0023]如图1所示，本发明实施方式实现网络靶场系统的方法包括如下步骤:
步骤SlOl，通过SDN控制器调用全局网络资源。
[0024]本步骤中，SDN控制器至少为一个。若为多个，则根据需要进行协同作业或单独作业。这里的SDN控制器是实现网络靶场系统的一个总命令装置，使得网络靶场系统通过构建自定义的网络模板，具备复制大规模子网的能力，同时具备复制商业与战术无线网络与控制系统的能力，如此，能够在相同基础架构上进行多项独立的同步实验，提高网络靶场的实战性。
[0025]也就是说，本发明实施方式网络靶场系统的实现是基于SDN架构的。基于SDN架构的革E场系统通过Overlay技术来实现网络虚拟化。Overlay技术的本质是L2 over IP的隧道技术，采用L2 over GRE (GRE封装二层报文)。
[0026]步骤S102，通过云计算管理平台调用计算资源和存储资源。
[0027]本步骤与步骤S101，无顺序要求，可根据需要优先执行步骤S101，也要优先执行步骤S102，也可以两个步骤同时执行。优选的，步骤SlOl与步骤S102同时进行。通过对网络资源、计算资源、存储资源的调用，构建了一个统一的资源池，实现了对网络靶场资源的统一分配、调度、管理。这里对资源的调用，可通过SDN控制器定义软件和配置参数的方式。通过软件定义和参数配置，实现网络靶场的自动化管理和靶场实验环境的快速搭建，能够实现靶场实验网络规模可扩展。
[0028]步骤S103，SDN控制器定义网络拓扑、复制子网、隔离网络。
[0029]本步骤中，SDN控制器定义网络拓扑，可以通过分布式控制节点实现。具体的，SDN控制器在网络靶场系统内部的服务器、网关、SDN交换机中设置分布式控制节点，SDN控制器以所调用的全局网络资源为基础统一控制分布式控制节点调用局部网络资源，定义网络靶场系统的拓扑结构，虚拟网络的转发性能，能够对虚拟实验网络进行彻底隔离，模拟实验所需的各种复杂网络环境。
[0030]步骤S104，SDN控制器向所管理的SDN交换机下发网络流表。
[0031]这里，SDN交换机也可以作为GRE的网关或通过承担GRE网关功能的方式，进行GRE遂道报文的封装和解封装。相比于用服务器来实现GRE的隧道封装解封装，用SDN交换机的性能更好，而且可以极大的节省服务器的CPU资源。
[0032]步骤S105，SDN交换机根据所述网络流表交换网络靶场系统内部跨物理服务器的报文，在所定义的所述网络拓扑结构中利用计算资源和存储资源进行用户管理、安全管理、资源监控，实现网络靶场系统。
[0