一种网络靶场中用户流量追踪方法与系统与流程

本发明涉及一种网络靶场中用户流量追踪方法与系统，属于网络安全。

背景技术：

1、网络靶场是通过虚拟化技术，模拟仿真出真实网络空间攻防作战环境，能够支撑作战能力研究和武器装备验证的试验平台；为了达到上述目的，在实际的训练或者验证过程中，靶场用户会从模拟各种实际网络攻防操作。

2、典型的攻防操作至少涉及2个及以上的节点：操作机和目标节点，用户利用操作机，探索或者攻击靶场拓扑中的其他目标节点，从而达到训练的目的；目标节点安装了典型漏洞、或者特定应用程序的网络节点，该类型节点会收到用户从操作机发来的各种攻击请求。

3、为了对训练或者验证的效果进行评估，靶场会在网络层将拓扑涉及到的所有流量统一导出并存储，即将网络中各节点所有网卡的流量统一汇总；后续的流量分析软件可以从导出的流量中分析出用户使用的攻击手法，某次攻击涉及到的攻击路径等。

4、现有技术中，当用户的操作流量涉及多个机器，例如从操作机对目标节点发动的攻击至少涉及2个节点时，通过ovs（openvswitch）抓取的各节点的流量缺少统一标记，无法将多个机器的流量联动分析，无法分析用户某一次攻击涉及到的所有流量；并且流量缺少用户标记，无法快速筛选出某个用户的流量进行复盘。

技术实现思路

1、发明目的：针对上述现有技术存在的问题，本发明目的在于提供一种可以对流量静默添加用户唯一标记，并可使唯一标记在多个机器间的有效传递的网络靶场中用户流量追踪方法与系统。

2、技术方案：为实现上述发明目的，本发明提供的一种网络靶场中用户流量追踪方法，包括以下步骤：

3、步骤1：在操作机上生成唯一的用户标记a；

4、步骤2：将源ip地址为操作机ip的数据包转发到虚拟网络设备b以发送到部署在操作机上的代理程序c；

5、步骤3：代理程序c在数据包中增加用户标记a，并发送至目标节点；

6、步骤4：目标节点将所接收到的数据包转发到虚拟网络设备e以发送到部署在目标节点上的代理程序c；

7、步骤5：目标节点上的代理程序c判断接收到的数据中是否包含用户标记a，若包含用户标记a，为每个用户x生成一个单独的虚拟网络设备f(x)加入设备列表中，并将数据包的源ip地址修改为f(x)对应的ip地址后交由应用程序处理；

8、步骤6：对应用程序的响应报文进行转发，当源ip地址在设备列表中时，根据ip和虚拟网络设备f(x)的对应关系，将数据包发送给对应的虚拟网络设备f(x)，f(x)将接收到的数据转发给代理程序c；代理程序c根据数据包中的源ip地址，找到对应的用户标记a，在数据包中增加用户标记a后通过本地网卡发送。

9、作为优选，步骤1中所述的用户标记a，包含用户id信息，所述用户id信息全局唯一。

10、作为优选，步骤2和步骤4中通过添加路由规则，将源ip地址为操作机本机的数据包统一转发到各自对应的虚拟网络设备。

11、进一步地，步骤5中目标节点的代理程序c若判断接收到的数据中不包含用户标记a，则将数据包的源ip地址设置为虚拟网络设备e的ip地址；步骤6中对应用程序的响应报文进行转发时，对于源ip地址等于虚拟网络设备e的ip地址的报文，不需要添加用户标记a，通过本地网卡直接发送。

12、作为优选，所述虚拟网络设备b和虚拟网络设备e为linux 虚拟网络设备，包括tun设备、tap设备或veth-pair设备。

13、进一步地，当操作机的请求涉及到多个目标节点，各目标节点对数据包进行步骤4至步骤6的操作处理。

14、基于相同的发明构思，本发明还提供了一种网络靶场中用户流量追踪系统，包括：部署在操作机上的标识生成模块、数据转发模块以及代理模块，部署在目标节点上的数据转发模块以及代理模块；

15、所述操作机上的标识生成模块，用于为操作用户生成唯一的用户标记a；

16、所述操作机上的数据转发模块，用于将源ip地址为操作机ip的数据包转发到虚拟网络设备b以发送到部署在操作机上的代理模块；

17、所述操作机上的代理模块，用于在数据包中增加用户标记a，并发送至目标节点；

18、所述目标节点上的数据转发模块，用于将所接收到的数据包转发到虚拟网络设备e以发送到部署在目标节点上的代理模块；

19、所述目标节点上的代理模块，用于判断接收到的数据中是否包含用户标记a，若包含用户标记a，为每个用户x生成一个单独的虚拟网络设备f(x) 加入设备列表中，并将数据包的源ip地址修改为f(x)对应的ip地址后交由应用程序处理；

20、所述目标节点上的数据转发模块，还用于对应用程序的响应报文进行转发，当源ip地址在设备列表中时，根据ip和虚拟网络设备f(x)的对应关系，将数据包发送给对应的虚拟网络设备f(x)，f(x)将接收到的数据转发给目标节点上的代理模块；

21、所述目标节点上的代理模块，还用于根据数据包中的源ip地址，找到对应的用户标记a，在数据包中增加用户标记a后通过本地网卡发送。

22、所述目标节点上的代理模块，当判断接收到的数据中不包含用户标记a，则将数据包的源ip地址设置为虚拟网络设备e的ip地址；所述目标节点上的数据转发模块，对应用程序的响应报文进行转发时，对于源ip地址等于虚拟网络设备e的ip地址的报文，不需要添加用户标记a，通过本地网卡直接发送。

23、有益效果：与现有技术相比，本发明具有如下优点：1、通过全局唯一的用户标记，将用户所有操作产生的流量进行关联，方便后续对流量、或者用户行为的关联分析；2、利用路由规则及内置的数据处理程序、虚拟网络设备，实现了对用户流量的静默处理，全程用户无感知，不影响用户的实际操作；3、本发明可以利用网络靶场实现程序的自动化部署、路由规则和网络设备的自动化生成，通过在操作机上设置用户标记，可以灵活控制是否需要对用户流量进行追踪。

技术特征：

1.一种网络靶场中用户流量追踪方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的网络靶场中用户流量追踪方法，其特征在于，步骤1中所述的用户标记a，包含用户id信息，所述用户id信息全局唯一。

3.根据权利要求1所述的网络靶场中用户流量追踪方法，其特征在于，步骤2和步骤4中通过添加路由规则，将源ip地址为操作机本机的数据包统一转发到各自对应的虚拟网络设备。

4.根据权利要求1所述的网络靶场中用户流量追踪方法，其特征在于，步骤5中目标节点的代理程序c若判断接收到的数据中不包含用户标记a，则将数据包的源ip地址设置为虚拟网络设备e的ip地址；步骤6中对应用程序的响应报文进行转发时，对于源ip地址等于虚拟网络设备e的ip地址的报文，不需要添加用户标记a，通过本地网卡直接发送。

5.根据权利要求1所述的网络靶场中用户流量追踪方法，其特征在于，所述虚拟网络设备b和虚拟网络设备e为linux 虚拟网络设备，包括tun设备、tap设备或veth-pair设备。

6.根据权利要求1所述的网络靶场中用户流量追踪方法，其特征在于，当操作机的请求涉及到多个目标节点，各目标节点对数据包进行步骤4至步骤6的操作处理。

7.一种网络靶场中用户流量追踪系统，其特征在于，包括：部署在操作机上的标识生成模块、数据转发模块以及代理模块，部署在目标节点上的数据转发模块以及代理模块；

8.根据权利要求7所述的网络靶场中用户流量追踪系统，其特征在于，所述操作机上的标识生成模块生成的用户标记a，包含用户id信息，所述用户id信息全局唯一。

9.根据权利要求7所述的网络靶场中用户流量追踪系统，其特征在于，所述操作机上的数据转发模块和目标节点上的数据转发模块，通过添加路由规则，将源ip地址为操作机本机的数据包统一转发到各自对应的虚拟网络设备。

10.根据权利要求7所述的网络靶场中用户流量追踪系统，其特征在于，所述目标节点上的代理模块，当判断接收到的数据中不包含用户标记a，则将数据包的源ip地址设置为虚拟网络设备e的ip地址；所述目标节点上的数据转发模块，对应用程序的响应报文进行转发时，对于源ip地址等于虚拟网络设备e的ip地址的报文，不需要添加用户标记a，通过本地网卡直接发送。

技术总结
本发明公开了一种网络靶场中用户流量追踪方法与系统，方法包括：在操作机上生成唯一的用户标记；将源IP地址为操作机IP的数据包转发到虚拟网络设备以发送到部署在操作机上的代理程序；代理程序在数据包中增加用户标记，并发送至目标节点；目标节点将所接收到的数据包转发到虚拟网络设备以发送到部署在目标节点上的代理程序；目标节点的代理程序判断接收到的数据中是否包含用户标记，根据判断结果修改源IP地址，并交由应用程序处理，随后根据不同的IP地址对响应报文进行转发；本发明可以对流量静默添加用户唯一标记，并可使唯一标记在多个机器间的有效传递，方便后续对流量、或者用户行为的关联分析。

技术研发人员：杨劲松,谢峥,高庆官,殷庆荣
受保护的技术使用者：南京赛宁信息技术有限公司
技术研发日：
技术公布日：2024/1/15