专利名称:基于进程运行环境感知与迁移的网络模拟框架实现方法
技术领域:
本发明涉及到一种新型的大规模网络仿真与模拟的框架实现技术,该技术采用通 用的模拟驱动架构,基于有限状态机加载网络设备的个性特征描述文档,实现对应用服务 的个性特征、安全漏洞的仿真与模拟。通过本技术的模拟框架实现对网络设备或应用服务 的个性特征与安全漏洞描述文档的装配,可以实现多种网络设置的模拟,并能对网络模拟 节点的行为进行细致模拟,包括新发现的安全漏洞,补丁情况对网络设备安全漏洞的影响 等。除此之外,该架构对外提供统一的命令接口,并能基于模拟进程对于运行环境上下文的 感知,通过进程迁移,有效平滑整个模拟任务的性能瓶颈,具备对大规模复杂结构网络的仿 真与模拟能力
背景技术:
近年来,网络的仿真与模拟技术已成为网络科研、网络安全与管理人才培养的重 要手段与方法。主要原因在于由于现代网络日趋复杂,且网络设备与应用服务所具有的多 样性,要通过搭建一个物理的网络环境作为科研与人才培养平台,是十分困难的。比如建 立一个包含大量路由器的广域网络在经济上是不现实的;使用大量主机安装具有各种漏洞 的操作系统和服务软件也难以实现。因此,通过软件的方式模拟构建复杂网络环境唯一的 选择。
发明内容
本方法是顺应现代网络的发展趋势、满足网络科研与网络人才培养的需求,以大 规模复杂网络的仿真模拟为目标提出的一种通用的基于进程运行环境感知与迁移的大型 网络模拟框架实现方法。本方法通过通用的网络设备个性特征描述,基于有限状态机实现 对网络设备的网络行为模拟,再通过对网络应用服务的模拟、模拟网络设备节点的装配、全 局模板任务的管理与控制、模拟进程的迁移等多种技术手段实现了一种分布式的、模拟网 络节点特征可装配的、模拟进程可迁移的通用网络模拟与仿真框架,基于该框架可实现对 大规模复杂网络的细致模拟与仿真。与现有的网络模拟与仿真技术相比,本技术基于通用性的网络节点个性特征描 述,有限状态机实现对应用服务的模拟,同时基于模拟驱动架构实现对网络设备的模拟,该 驱动架构实现了模拟系统与模拟设备的无关性,是实现模拟设备多样化与配置灵活性,以 及模拟系统的开放性、扩展性的基础。再由模拟进程的运行上下文感知、迁移实现了模拟任 务的瓶颈消除,保证了本框架的大规模复杂网络的模拟与仿真能力。本发明的目的在于实现一个针对大规模复杂网络的模拟与仿真系统框架,该框架是一个开放的网络 仿真与模拟平台,在该平台上可以实现各种网络设备与应用服务的模拟,与现有的其它网 络安全模拟产品相比,本框架在易用性、扩展性方面具有更良好的性能。该框架的用户只需 要考虑如何实现对网络设备的个性特征与网络漏洞进行标准化的描述,或者从设备与应用服务的生产商获取标准化描述,将描述配置到本系统中,即可以实现对设备与服务的模拟, 具体的模拟实现过程由通用模拟架构自动完成。本发明的目的是这样实现的至少包含以下几个步骤一种基于进程运行环境感知与迁移的大型网络模拟框架实现方法,包括以下几个 步骤1)通用网络模拟节点即网络模拟设备的个性特征描述,并对描述文档进行定义;2)基于有限状态机的网络模拟节点行为仿真基于有限状态机实现个性特征描 述文档的加载,并根据网络模拟节点的当前状态与接收的网络仿真数据,切换网络模拟节 点的状态;3)应用服务的仿真基于步骤1和2,对网络设备节点上的装载的应用服务仿真与 模拟;4)网络节点的模拟与仿真是对网络节点的功能进行模拟,该模拟都是通过对应 用服务的模拟来实现的;5)模拟驱动架构的实现提供网络模拟与仿真的整体驱动框架;6)进程的运行环境上下文感知是模拟进程对模拟服务器运行情况的数据采集 与分析功能模块;本模块依据进程使用系统资源信息,来判断此时模拟服务器能否提供完 成其模拟任务的足够的系统资源;7)进程的迁移实现如果步骤6)中,模拟服务器不能提供完成其模拟任务的足够 的系统资源,则模拟进程向模拟服务器提出迁移请求,步骤包括先生成模拟进程映像停止内部模拟有限状态机,并将状态有限机所处的状态与 相应的数据生成映像文件;再生成封装文件在确认迁移目标后,将模拟进程中有限状态机停止后接收的网 络数据进行封装;最后将封装文件与进程映像提交给迁移目标模拟服务器,由该服务器使用模拟驱 动架构重建模拟网络节点,恢复模拟进程,实现模拟服务器之间的模拟进程迁移。本发明的特点在于1.开放的平台与通用的架构本技术实现的网络安全模拟框架是一个开放的平 台,在该平台上可以实现各种网络设备与应用服务的模拟,与现有的其它网络安全模拟产 品相比,本系统在易用性、扩展性方面具有更良好的性能,开放平台与通用架构使得用户只 需要考虑如何实现对网络设备的个性特征与网络漏洞进行标准化的描述,或者也可以从设 备与应用服务的生产商获取标准化描述,将描述安装至本系统中,即可以实现对设备与服 务的模拟,而具体的模拟实现由通用模拟架构完成;2.个性特征与安全漏洞的描述标准及其模拟个性特征与安全漏洞的模拟标准 与模拟是本技术的核心,目前尚未有实现这方面模拟的同类产品与系统。个性特征与安全 漏洞模拟是实现本技术网络模拟与仿真的基础,本技术采用的标准化描述方式,个性特征 与安全漏洞的装配方式为本技术拟设备与服务的多样式与变更的灵活性提供了重要的技 术基石出。3.模拟驱动架构模拟驱动架构是本技术实现模拟功能的中枢,该架构在个性特征与安全漏洞标准化描述的基础上,实现对模拟模块装配与模拟控制,模拟驱动架构实现 了模拟系统与模拟设备的无关性,是实现模拟设备多样化与配置灵活性,以及模拟系统的 开放性、扩展性的基础4.模拟进程的迁移在本技术中实现了模拟进程的迁移技术,即一个模拟网络节 点进程可以从一个模拟驱动架构迁移至另外一个模拟驱动架构中。模拟进程的迁移实现 了本技术对大规模复杂网络的模拟支持,其在模拟过程中自由迁移,可以消除某个模拟服 务器因为资源方面的原因而形成整个模拟任务的性能瓶颈。除此之外,模拟进程的迁移也 实现了对模拟网络节点的映像与重建工作,这对于模拟过程的详细分析也提供了良好的观 测样本。
图1本发明的模拟功能实现图;图2本发明网络设备节点模拟结构图;图3本发明的模拟驱动框架工作流程图。
具体实施例方式下面结合附图与具体实施方式
对本技术方案作进一步说明一种基于进程运行环境感知与迁移的大型网络模拟框架实现方法,其特征包括以 下几个步骤1)通用网络模拟节点即网络模拟设备的个性特征描述,并对描述文档进行定义;2)基于有限状态机的网络模拟节点行为仿真基于有限状态机实现个性特征描 述文档的加载,并根据网络模拟节点的当前状态与接收的网络仿真数据,切换网络模拟节 点的状态;3)应用服务的仿真基于步骤1和2,对网络设备节点上的装载的应用服务仿真与 模拟;4)网络节点的模拟与仿真是对网络节点的功能进行模拟,该模拟都是通过对应 用服务的模拟来实现的;5)模拟驱动架构的实现提供网络模拟与仿真的整体驱动框架;6)进程的运行环境上下文感知是模拟进程对模拟服务器运行情况的数据采集 与分析功能模块;本模块依据进程使用系统资源信息,来判断此时模拟服务器能否提供完 成其模拟任务的足够的系统资源;7)进程的迁移实现如果步骤6)中,模拟服务器不能提供完成其模拟任务的足够 的系统资源,则模拟进程向模拟服务器提出迁移请求,步骤包括先生成模拟进程映像停止内部模拟有限状态机,并将状态有限机所处的状态与 相应的数据生成映像文件;再生成封装文件在确认迁移目标后,将模拟进程中有限状态机停止后接收的网 络数据进行封装;最后将封装文件与进程映像提交给迁移目标模拟服务器,由该服务器使用模拟驱 动架构重建模拟网络节点,恢复模拟进程,实现模拟服务器之间的模拟进程迁移。
所述步骤1)中,对所述网络模拟设备的个性特征描述,这些描述表述了网络设备 节点接收网络仿真数据的行为,和网络设备节点反馈的行为,这些行为包括模拟网络设备 节点针对接收到的网络仿真数据进行分析判断,并接收或丢弃网络仿真数据包;模拟网络 设备节点将接收到数据包发送至其内部运行的应用服务端口 ;模拟应用服务根据其网络协 议装配网络仿真数据包及并在仿真数据包中设置数据包的负载内容并加以回复网络节点设备个性特征描述,是用来实现对网络节点设备的整体个性特征模拟, 包括一些如生产商,版本号等以及可能出现的独立于应用服务之外的安全漏洞。使用XML SCHEMA定义了通用的描述文件模板,实现对通用个性特征的描述;该文 件模板由状态变迁规则集组成,状态变迁规则集定义了输入数据的匹配模式、输出数据匹 配模式与输出判断条件模式。所述步骤2)中,有限状态机在输入个性特征描述文件后,针对模拟网络设备接收 到的数据包,以有限状态机当前状态作为参数,在有限状态机内部定义的状态变迁规则中 进行匹配,一旦规则符合当前参数,则引发状态机的状态变迁,由当前状态变迁到下一个状 态。所述步骤3)中,应用服务的模拟架构包括三个有限状态机。所述步骤4)中,对应用服务的模拟是通过步骤3)中的三个有限状态机分别实现 对网络设备节点的个性特征的模拟、安全漏洞的模拟和应用服务的模拟;其中,对应用服务 的模拟是对应用服务的基本功能进行模拟。统一的网络设备模拟通讯端口管理与控制模拟,是基于统一的网络通讯接口,实 现模拟网络设备在接收到其它网络节点传送来的网络数据后,根据应用服务模拟中描述的 网络传输协议与端口号转发到运行在其上的应用服务模拟状态机,触发该状态机的状态变 迁。通过以上网络设备节点的模拟技术,可以实现网络节点安全的目标模拟,该目标 可以是一个应用服务、一个网络设备的个性特征带来的安全漏洞等,其作为网络安全攻击 的靶标,可以评估网络设备节点在攻击后所造成的破坏后果。所述步骤5)中,提供网络模拟与仿真的整体驱动框架,包括向用户提供的控制界 面、根据中心服务器的命令、自顶向下实现对模拟目标网络节点进行装配,形成网络节点模 拟对象实体,并启动网络节点模拟对象和网络节点模拟进程的控制与模拟任务的全局管理 等功能。所述步骤6)中,进程占用的系统资源包括进程使用CPU时间、占用内存大小、内 存页面调度和/或磁盘使用情况。所述步骤7)中,模拟进程的迁移的具体步骤包括1)模拟服务器驱动架构在得到迁移请求后,即刻将请求模拟进程从运行模拟进程 队列中移出,并向该进程发出中止模拟,生成模拟进程映像的命令;2)模拟进程在接收到命令后,停止内部模拟有限状态机,并将状态机所处的状态 与相应的数据生成映像文件,生成完毕后通知模拟服务器驱动架构,驱动架构立刻向中心 服务器发出进程迁移请求;3)中心服务器在接收到请求后,对模拟服务器集群进行搜索,寻找当前可使用资 源较多的模拟服务器,确认迁移目标,回复请求模拟服务器并截留向请求迁移的模拟进程发送的模拟网络数据4)请求模拟服务器向请求模拟进程发出迁移准备命令,请求进程中止接收网络数 据,并将有限状态机停止后接收的网络数据进行封装,将封装文件与进程映像提交请求模 拟服务器;5)请求模拟服务器中止请求模拟进程,将网络数据封装与进程映像转发到目标模 拟服务器;6)目标模拟服务器接收完后,使用模拟驱动架构重建模拟网络节点,并由映像文 件恢复模拟进程有限状态机状态与相关数据,启动模拟进程,将模拟进程加入本地模拟进 程队列中,向其发送封装的网络数据,完成模拟进程迁移。在本方法使用过程中,首先用户要配置以下各服务器,具体的步骤包括;1.用户接口服务器主要由WEB服务与⑶I服务器组成,用以向用户提供图形化 界面或WEB服务,接收用户的模拟脚本、命令等输入数据,并向用户提供模拟结果、用户查 询数据等各种系统输出数据,并提供输出的数据的图形化表示。2.任务调度分配与数据服务器中心服务器主要负责解析用户提交的模拟脚本 任务,模拟任务的分配与调度,网络环境的模拟与全局时间统一;中心数据服务器主要负责 接收,存储模拟服务器发送到的模拟结果、传输的数据存储,向中心服务器与用户提供数据 查询服务。3.模拟服务器集群执行中心服务器分发的模拟任务,装载应用服务模块、特征 化模块、安全漏洞模块,构建模拟网络节点。接收中心服务器转发的网络数据,实现模拟目 标节点的动作,生成网络数据转发至中心数据服务器。4.安全漏洞库存储使用安全漏洞标准描述语言描述的安全漏洞数据库,以备模 拟服务器调用。5.个性特征库存储各软件系统/组件的个性特征,包括版本,补丁对安全漏洞的 影响状态等,以备模拟服务器调用。6.应用服务库存储各软件/组件/网络协议数据库,以备模拟服务器调用。7.配置好以上服务器后,用户即可以通过接口服务器创建模拟任务,调用本技术 实现的网络仿真与模拟框架实现对网络的仿真与模拟。
权利要求
一种基于进程运行环境感知与迁移的网络模拟框架实现方法,其特征包括以下几个步骤1)通用网络模拟节点即网络模拟设备的个性特征描述,并对描述的个性特征文档进行定义;2)基于有限状态机的网络模拟节点行为仿真用有限状态机实现个性特征描述文档的加载,并根据网络模拟节点的当前状态与接收的网络仿真数据,切换网络模拟节点的状态;3)应用服务的仿真基于步骤1和2,对网络设备节点上装载的应用服务进行仿真与模拟;4)网络节点的模拟与仿真是对网络节点的功能进行模拟,该模拟都是通过对所述应用服务的模拟来实现;5)模拟驱动架构的实现提供网络模拟与仿真的整体驱动框架;6)进程的运行环境上下文感知是模拟进程对模拟服务器运行情况的数据采集与分析功能模块;本模块依据模拟进程使用系统资源信息,来判断此时模拟服务器能否提供完成其模拟任务的足够的系统资源;7)进程的迁移实现步骤6)中,如果模拟服务器不能提供完成其模拟任务的足够的系统资源,则模拟进程向模拟服务器提出迁移请求,步骤包括先生成模拟进程映像停止内部模拟有限状态机,并将有限状态机所处的状态与相应的数据生成映像文件;再生成封装文件在确认迁移目标模拟服务器后,将请求迁移的模拟进程中的,有限状态机停止后接收的网络数据进行封装;最后将封装文件与进程映像提交给迁移目标模拟服务器,由该服务器使用模拟驱动架构重建模拟网络节点,恢复模拟进程,实现模拟进程在模拟服务器之间的迁移。
2.根据权利要求1所述的基于进程运行环境感知与迁移的网络模拟框架实现方法,其 特征在于所述步骤1)中,对所述网络模拟设备的个性特征描述,这些描述表述了网络设 备节点接收网络仿真数据的行为,和网络设备节点反馈的行为,这些行为包括模拟网络设备节点针对接收到的网络仿真数据进行分析判断,并接收或丢弃网络仿真 数据包;模拟网络设备节点将接收到数据包发送至其内部运行的应用服务端口;模拟应用服务根据其网络协议装配网络仿真数据包及并在仿真数据包中设置数据包 的负载内容并加以回复。
3.根据权利要求1或2所述的基于进程运行环境感知与迁移的网络模拟框架实现方 法,其特征在于所述步骤1)中,使用XML SCHEMA定义通用的描述文件模板,来对所述个性 特征的描述;该描述文件模板由状态变迁规则集组成,状态变迁规则集定义了输入数据的 匹配模式、输出数据匹配模式与输出判断条件模式。
4.根据权利要求1所述的基于进程运行环境感知与迁移的网络模拟框架实现方法,其 特征在于所述步骤2)中,有限状态机在输入个性特征描述文件后,针对模拟网络设备接 收到的数据包,以有限状态机当前状态作为参数,在有限状态机内部定义的状态变迁规则 中进行匹配,一旦规则符合当前参数,则引发有限状态机的状态变迁,由当前状态变迁到下一个状态。
5.根据权利要求1所述的基于进程运行环境感知与迁移的网络模拟框架实现方法,其 特征在于所述步骤3)中,应用服务的模拟架构包括三个有限状态机。
6.根据权利要求5所述的基于进程运行环境感知与迁移的网络模拟框架实现方法,其 特征在于所述步骤4)中,对应用服务的模拟是通过步骤3)中的三个有限状态机分别实现 对网络设备节点的个性特征的模拟、安全漏洞的模拟和应用服务的模拟;其中,对应用服务 的模拟是对应用服务的基本功能进行模拟;所述统一的网络设备模拟通讯端口管理与控制模拟,是基于统一的网络通讯接口,实 现模拟网络设备在接收到其它网络节点传送来的网络数据后,根据应用服务模拟中描述的 网络传输协议与端口号转发到运行在其上的应用服务模拟状态机,触发该状态机的状态变 迁。
7.根据权利要求1所述的基于进程运行环境感知与迁移的网络模拟框架实现方法,其 特征在于所述步骤5)中,提供网络模拟与仿真的整体驱动框架包括向用户提供的控制 界面;根据中心服务器的命令、自顶向下实现对模拟目标网络节点进行装配,形成网络节点 模拟对象实体;并启动网络节点模拟对象和网络节点模拟进程的控制与模拟任务的全局管理。
8.根据权利要求1所述的基于进程运行环境感知与迁移的网络模拟框架实现方法,其 特征在于所述步骤6)中,模拟进程占用的系统资源包括进程使用CPU时间、占用内存大 小、内存页面调度和/或磁盘使用情况。
9.根据权利要求1所述的基于进程运行环境感知与迁移的网络模拟框架实现方法,其 特征在于所述步骤7)中,模拟进程的迁移的具体步骤包括701)整体驱动框架中的模拟服务器驱动架构在得到迁移请求后,立即将请求模拟进程 从运行模拟进程队列中移出,并向该进程发出中止模拟,生成模拟进程映像的命令;702)相应的模拟进程在接收到命令后,停止内部模拟有限状态机,并将有限状态机所 处的状态与相应的数据生成映像文件,生成完毕后通知模拟服务器驱动架构,该驱动架构 立刻向中心服务器发出进程迁移请求;703)中心服务器在接收到请求后,对模拟服务器集群进行搜索,寻找当前可使用资源 较多的模拟服务器,确认迁移目标模拟服务器,回复请求模拟服务器并截留向请求迁移的 模拟进程发送的模拟网络数据;704)请求模拟服务器向请求模拟进程发出迁移准备命令,请求模拟进程中止接收网络 数据,并将有限状态机停止后接收的网络数据进行封装,将封装文件与进程映像提交请求 模拟服务器;705)请求模拟服务器中止请求模拟进程,将网络数据封装与进程映像转发到目标模拟 服务器;706)目标模拟服务器接收完后,使用模拟驱动架构重建模拟网络节点,并由映像文件 恢复模拟进程有限状态机状态与相关数据,启动模拟进程,将模拟进程加入本地模拟进程 队列中,向其发送封装的网络数据,完成模拟进程迁移。
全文摘要
一种基于进程运行环境感知与迁移的网络模拟框架实现方法,该架构基于开放的模拟平台,可以实现各种网络设备与应用服务的模拟,具有良好的易用性、开放性。在本架构中通过对网络设备的个性特征与网络漏洞的标准化描述,或者直接从生产商获取设备标准化描述,将描述安装至本系统中,即可以实现对设备与服务的模拟。同时在本架构中通过模拟进程对于其所处运行环境的感知,实现模拟网络节点进程在模拟驱动架构之间的迁移,这种分布式动态调整模拟任务方式实现了本架构对大规模复杂网络的模拟支持,消除整个模拟任务的性能瓶颈。同时模拟进程的迁移也实现了对模拟网络节点的映像与重建工作,这对于模拟过程的详细分析也提供了良好的观测样本。
文档编号H04L29/06GK101969442SQ20101052315
公开日2011年2月9日 申请日期2010年10月28日 优先权日2010年10月28日
发明者傅涛, 张敏, 陈志军 申请人:南京博智软件科技有限公司