本发明涉及一种网络靶场中流量发生器的自动选择方法与系统,属于网络安全。
背景技术:
1、网络靶场是通过虚拟化技术,模拟仿真出真实网络空间攻防作战环境,能够支撑作战能力研究和武器装备验证的试验平台。为了达到上述目的,在实际的训练或者验证过程中,需要对被研究的目标节点施加流量以模拟真实环境中的各种复杂场景。
2、典型的训练网络中,存在多个流量发生器,用以模拟从不同路径对目标节点发起的流量仿真任务。用户配置流量的流程如图1所示,包括:1、选择需要执行流量发生的目标节点;2、在网络中存在多个流量发生器的情况下,基于目标节点,用户指定需要给目标节点打流量使用的流量发生器。同时,因为每个流量发生器可能同时连接多个网络,存在多个网络端口,所以还需要指定使用该流量发生器的特定端口;3、网络链路配置完成后,给目标节点配置详细的流量内容;4、执行实际的流量发生。
3、现有配置流程存在如下不足:1、实际的网络拓扑中存在多个流量发生器,在给目标节点配置流量时,需要为每个目标节点手动指定使用哪个流量发生器,在目标节点比较多时配置很耗时、影响用户体验;2、拓扑中的网络节点、网络链路均存在性能瓶颈。如基于虚拟化实现的路由器存在转发性能上限,网络链路受限于qos(带宽、延时、丢包率)参数设定。在复杂网络情况下,用户手动配置的流量发生路径,可能会超出系统性能上限,导致实际运行时流量发生功能不可用。
技术实现思路
1、发明目的:针对上述现有技术存在的问题,本发明目的在于提供一种网络靶场中流量发生器的自动选择方法与系统,提升用户体验,避免出现链路不可用的情况。
2、技术方案:为实现上述发明目的,本发明采用如下技术方案:
3、一种网络靶场中流量发生器的自动选择方法,包括如下步骤:
4、判断流量发生器到目标节点的网络是否可达,排除网络不可达的流量发生器;
5、通过路径探测报文获取流量发生器到目标节点的详细路径;
6、统计详细路径中涉及到的所有网络转发设备,排除增加目标节点流量后会超出设备的转发性能上限的路径相关的流量发生器;
7、基于详细路径中每一段链路的带宽,排除链路带宽小于目标节点流量需求,以及增加目标节点流量后超出链路带宽上限的路径相关的流量发生器;
8、对于剩下的流量发生器,将流量发生器到目标节点的逻辑拓扑映射为物理拓扑,选取物理拓扑中转发次数最少的流量发生器。
9、作为优选,通过在各流量发生器上向目标节点发送ping报文,判断网络是否可达。
10、作为优选,将网络转发设备每个端口的实时转发流量累加得到结果a,若a+2b>c则需排除网络转发设备所在路径相关的流量发生器;其中b为目标节点需要的流量大小,c为网络转发设备的转发性能上限。
11、作为优选,链路带宽取链路两端网卡带宽中的较小值。
12、作为优选,在物理拓扑中,若流量发生器和目标节点在同一计算节点上,则转发次数为0,若流量发生器和目标节点在不同计算节点上,两个计算节点之间每增加一个物理交换机,转发次数增加2。
13、作为优选,若物理拓扑中转发次数最少的流量发生器有多个,则选取系统负载最小的流量发生器。
14、基于相同的发明构思,本发明提供一种网络靶场中流量发生器的自动选择系统,包括:
15、第一筛选模块,用于判断流量发生器到目标节点的网络是否可达,排除网络不可达的流量发生器;
16、路径获取模块,用于通过路径探测报文获取流量发生器到目标节点的详细路径;
17、第二筛选模块,用于统计详细路径中涉及到的所有网络转发设备,排除增加目标节点流量后会超出设备的转发性能上限的路径相关的流量发生器;
18、第三筛选模块,用于基于详细路径中每一段链路的带宽,排除链路带宽小于目标节点流量需求,以及增加目标节点流量后超出链路带宽上限的路径相关的流量发生器;
19、以及,最优确定模块,用于对于剩下的流量发生器,将流量发生器到目标节点的逻辑拓扑映射为物理拓扑,选取物理拓扑中转发次数最少的流量发生器。
20、基于相同的发明构思,本发明提供一种计算机系统,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述计算机程序被加载至处理器时实现所述的网络靶场中流量发生器的自动选择方法的步骤。
21、有益效果:与现有技术相比,本发明具有如下优点:1、本发明综合考虑网络联通性以及拓扑各阶段的性能瓶颈,自动选择网络路径最优的流量发生器作为流量实际执行节点,解决了用户逐个目标节点配置的操作复杂性,同时避免了用户手动选择的网络链路不可用的情况。2、本发明能够实现多个流量发生器之间自动负载均衡,在系统总资源充足的情况下,避免出现单个流量发生器节点过载的情况。
1.一种网络靶场中流量发生器的自动选择方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的网络靶场中流量发生器的自动选择方法,其特征在于,通过在各流量发生器上向目标节点发送ping报文,判断网络是否可达。
3.根据权利要求1所述的网络靶场中流量发生器的自动选择方法,其特征在于,将网络转发设备每个端口的实时转发流量累加得到结果a,若a+2b>c则需排除网络转发设备所在路径相关的流量发生器;其中b为目标节点需要的流量大小,c为网络转发设备的转发性能上限。
4.根据权利要求1所述的网络靶场中流量发生器的自动选择方法,其特征在于,链路带宽取链路两端网卡带宽中的较小值。
5.根据权利要求1所述的网络靶场中流量发生器的自动选择方法,其特征在于,在物理拓扑中,若流量发生器和目标节点在同一计算节点上,则转发次数为0,若流量发生器和目标节点在不同计算节点上,两个计算节点之间每增加一个物理交换机,转发次数增加2。
6.根据权利要求1所述的网络靶场中流量发生器的自动选择方法,其特征在于,若物理拓扑中转发次数最少的流量发生器有多个,则选取系统负载最小的流量发生器。
7.一种网络靶场中流量发生器的自动选择系统,其特征在于,包括:
8.根据权利要求7所述的网络靶场中流量发生器的自动选择系统,其特征在于,所述第二筛选模中,块将网络转发设备每个端口的实时转发流量累加得到结果a,若a+2b>c则需排除网络转发设备所在路径相关的流量发生器;其中b为目标节点需要的流量大小,c为网络转发设备的转发性能上限。
9.根据权利要求7所述的网络靶场中流量发生器的自动选择系统,其特征在于,在物理拓扑中,若流量发生器和目标节点在同一计算节点上,则转发次数为0,若流量发生器和目标节点在不同计算节点上,两个计算节点之间每增加一个物理交换机,转发次数增加2。
10.一种计算机系统,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述计算机程序被加载至处理器时实现根据权利要求1-6任一项所述的网络靶场中流量发生器的自动选择方法的步骤。