CN115426324A - 一种实体设备接入网络靶场的方法及装置 - Google Patents
一种实体设备接入网络靶场的方法及装置 Download PDFInfo
- Publication number
- CN115426324A CN115426324A CN202211031972.8A CN202211031972A CN115426324A CN 115426324 A CN115426324 A CN 115426324A CN 202211031972 A CN202211031972 A CN 202211031972A CN 115426324 A CN115426324 A CN 115426324A
- Authority
- CN
- China
- Prior art keywords
- physical device
- shooting range
- network
- data forwarding
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/25—Routing or path finding in a switch fabric
- H04L49/252—Store and forward routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/76—Admission control; Resource allocation using dynamic resource allocation, e.g. in-call renegotiation requested by the user or requested by the network in response to changing network conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/76—Admission control; Resource allocation using dynamic resource allocation, e.g. in-call renegotiation requested by the user or requested by the network in response to changing network conditions
- H04L47/765—Admission control; Resource allocation using dynamic resource allocation, e.g. in-call renegotiation requested by the user or requested by the network in response to changing network conditions triggered by the end-points
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种实体设备接入网络靶场的方法及装置,用以提升实体设备接入网络靶场的效率和成功率。该方法包括:在检测到实体设备与网络靶场的网关设备连接时,获取实体设备的接入地址;根据接入地址、网络靶场中包含的各虚拟机的地址以及预先配置的数据转发算法,生成针对实体设备的数据转发规则;数据转发规则用于表征与实体设备相关的数据的传输方式;将数据转发规则发送至网关设备。
Description
技术领域
本申请涉及网络安全领域,尤其涉及一种实体设备接入网络靶场的方法及装置。
背景技术
网络靶场通过虚拟环境和真实的实体设备结合,模拟仿真出真实赛博空间攻防作战环境,可以用于网络安全人才的培养、网络攻防训练、安全产品评测以及网络新技术的验证等方面。其中,网络靶场的仿真场景的逼真度是衡量网络靶场是否有效的重要指标,因此针对网络靶场中目标网络的仿真构建收到越来越高的重视。
但是,仿真场景中往往会包含很多不具备虚拟化条件的实体设备,比如对于隐私性较高的操作系统,无法获取其运行代码进行模拟仿真。针对这类实体设备,相关技术中提出了在其接入网络靶场时,通过人工手动将实体设备的网络信息(比如IP地址和端口信息等)配置到网络靶场的物理交换机中,并手动输入字符串命令配置实体设备与网络靶场之间的流量转发规则。现有的这种人工配置的方式不仅对工作人员专业水平要求高,浪费人工资源,而且出错率也较高。
发明内容
本申请提供一种实体设备接入网络靶场的方法及装置,用以解决现有通过人工方式配置实体设备与网络靶场之间的流量转发规则存在出错率较高等问题,用以提升实体设备接入网络靶场的效率和成功率。
第一方面,本申请提出了一种实体设备接入网络靶场的方法,包括:
在检测到实体设备与网络靶场的网关设备连接时,获取所述实体设备的接入地址;
根据所述接入地址、所述网络靶场中包含的各虚拟机的地址以及预先配置的数据转发算法,生成针对所述实体设备的数据转发规则;所述数据转发规则用于表征与所述实体设备相关的数据的传输方式;
将所述数据转发规则发送至所述网关设备。
在一些实施例中,所述获取所述实体设备的接入地址,包括:
根据所述网络靶场的类别,从数据库中获取所述实体设备的接入地址;其中所述数据库中包括预先存储的多个设备的接入地址以及所述多个设备分别所属的类别;或者,
响应于用户输入所述实体设备的接入地址的操作,获取所述实体设备的地址。
在一些实施例中,所述根据接入地址、所述网络靶场中包含的各设虚拟机的地址以及预先配置的数据转发算法,生成针对所述实体设备的数据转发规则,包括:
针对所述各虚拟机中的任一虚拟机,根据所述数据转发算法,计算所述实体设备与所述任一虚拟机进行数据传输的路径;
根据所述任一虚拟机的地址、所述实体设备的接入地址以及所述路径,生成所述实体设备与所述任一虚拟机之间的数据转发规则。
在一些实施例中,在将所述数据转发规则发送至所述网关设备之后,所述方法还包括:
每间隔设定周期监听所述实体设备的端口,确定所述实体设备与所述网络靶场之间存在数据传输。
第二方面,本申请提出了一种实体设备接入网络靶场的装置,所述装置包括:
处理单元,被配置为执行:
在检测到实体设备与网络靶场的网关设备连接时,获取所述实体设备的接入地址;
根据所述接入地址、所述网络靶场中包含的各虚拟机的地址以及预先配置的数据转发算法,生成针对所述实体设备的数据转发规则;所述数据转发规则用于表征与所述实体设备相关的数据的传输方式;
通信单元,用于将所述数据转发规则发送至所述网关设备。
在一些实施例中,所述处理单元,具体用于:
根据所述网络靶场的类别,从数据库中获取所述实体设备的接入地址;其中所述数据库中包括预先存储的多个设备的接入地址以及所述多个设备分别所属的类别;或者,
响应于用户输入所述实体设备的接入地址的操作,获取所述实体设备的地址。
在一些实施例中,所述处理单元,具体用于:
针对所述各虚拟机中的任一虚拟机,根据所述数据转发算法,计算所述实体设备与所述任一虚拟机进行数据传输的路径;
根据所述任一虚拟机的地址、所述实体设备的接入地址以及所述路径,生成所述实体设备与所述任一虚拟机之间的数据转发规则。
在一些实施例中,所述处理单元,还用于:
每间隔设定周期监听所述实体设备的端口,确定所述实体设备与所述网络靶场之间存在数据传输。
第三方面,提供了一种电子设备,所述电子设备包括控制器和存储器。存储器用于存储计算机执行指令,控制器执行存储器中的计算机执行指令以利用控制器中的硬件资源执行第一方面任一种可能实现的方法的操作步骤。
第四方面,提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面的方法。
本申请提出了不再通过人工来配置连接网络靶场的实体设备的相关数据转发规则,而是在实体设备连接网络靶场时,根据预先配置的算法自动生成与实体设备相关的数据转发规则,并自动配置到网关设备中,实现实体设备接入网络靶场,从而避免人工配置容易出错且效率不高的问题。另外,本申请还提出了将实体设备的信息存储在网络靶场的数据库中,实现了实体设备的统一管理。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种网络系统架构图;
图2为本申请实施例提供的一种实体设备接入网络靶场的方法流程图;
图3为本申请实施例提供的一种显示界面的示意图;
图4为本申请实施例提供的另一种实体设备接入网络靶场的方法流程图;
图5为本申请实施例提供的一种用于实现实体设备接入网络靶场的装置的结构示意图;
图6为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
需要说明的是,本申请中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应所述理解这样使用的数据在适当情况下可以互换,以便这里描述的本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
近年来,国内外网络安全形式日益严峻,网络安全问题频繁发生,因此加大对信息安全保障的投入是势在必行的,其中除了对硬件和软件技术设备的投入之外,还需要培训专业的网络安全人才。由于在真实的互联网环境中进行攻防技术的训练和演练以及实验一项新的网络安全技术,会对互联网环境造成不可逆的破坏,因此目前通过构建网络靶场进行培训人才、验证设备安全性以及验证网络安全技术的方式被广泛应用。
网络靶场通过虚拟环境和真实的实体设备结合,模拟仿真出真实赛博空间攻防作战环境。在网络靶场中进行网络安全活动,不仅可以避免对现实网络资源的占用和消耗,还可以实现对资源的反复利用。在网络靶场中进行的每一次安全实验所造成的伤害都是可控以及可检测的,实验结束后还可以对收集的试验数据进行分析和研究。网络靶场在不影响真实环境的前提下可以提高网络安全人才的技术,也可以发现安全产品的漏洞和问题,从而提升安全产品的性能。
构建网络靶场的过程包括搭建网络拓扑结构和运行目标网络。搭建网络拓扑结构为设计网络靶场中所包含的各个虚拟设备和实体设备,包括路由设备、网关设备、单机设备等。进一步地,将各个设备按照拓扑图配置和连接,生成实验所需要的网络环境结构。运行目标网络为各个设备之间的数据传输等操作提供环境。举例来说,真实的网络环境中时刻都存在各种各样的网络活动,比如聊天、打游戏或者刷视频,这些活动会产生数据的传输,而运行网络靶场中的目标网络即为将这些产生数据传输的活动进行模拟仿真,构建虚拟的网络运行环境。本申请是为了提升网络靶场仿真的真实性,提供了一种在网络靶场中接入实体设备的方法。
为了便于理解本申请提出的实体设备接入网络靶场的方案,首先对本申请涉及的技术用语进行介绍:
(1)赛博空间:是哲学和计算机领域中的一个抽象概念,指在计算机以及计算机网络里的虚拟现实。
(2)软件定义网络(Software Defined Network,SDN):是一种网络设计理念。网络交换设备可以集中式进行管理,将控制层和转发层进行分离,实现网络可编程化。
(3)开源虚拟交换机(Open VSwitch,OVS):是一种支持多层数据转发的高质量虚拟交换机,相比传统交换机具有很好的编程扩展性,同时具备传统交换机实现的网络隔离和数据转发功能。
(4)网络地址转换(Network Address Translation,NAT):当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但又想和因特网上的主机通信时,可使用NAT方法进行地址转换。
(5)开放虚拟网络(Open Virtual Network,OVN):是一种支持虚拟网络抽象的软件系统。OVN在OVS现有功能进行了一定程度的扩展,例如基础虚拟L2/L3网络交换以及高阶的网络地址转化、NAT以及网络访问控制等功能。
(6)OpenFlow:一种网络通信协议,属于数据链路层,能够控制网上交换器或路由器的转发平面(forwarding plane),借此改变网络数据包所走的网络路径。
(7)FlowTable:在传统网络设备中,交换机和路由器的数据转发需要依赖设备中保存的二层介质访问控制(Media Access Control,MAC)地址转发表或者三层IP地址路由表,而OpenFlow交换机中使用的是FlowTable流表进行数据的传输。
下面,对本申请涉及的网络系统架构图进行介绍。参见图1,为本申请实施例提供的一种系统架构图。应理解,本申请实施例并不限于图1所示的系统中,此外,图1中的装置可以是硬件,也可以是从功能上划分的软件,或者以上二者结合后的结构。如图1所示,本申请实施例提供的系统架构中包括网络靶场以及接入网络靶场的实体设备,还包括网络靶场中包含的网关设备、虚拟网关路由设备、虚拟路由设备、虚拟交换机以及多个虚拟机。
可选地,图1中示出的接入网络靶场的实体设备可以为一个或者多个硬件设备,比如PC机或者服务器等。图1中示出的网络靶场中包含的网关设备可以为物理网卡、物理交换机或者部署于物理网卡中的交换机等,虚拟网关路由设备、虚拟路由设备和虚拟交换机可以为OVS设备。
需要说明的是,图1仅作为一种示例,本申请对于接入网络靶场的实体设备的数量不作限定,对于网络靶场中包含的各个设备(包括各类网络设备或者虚拟机)的数量也不作限定。
在相关技术中,实体设备在接入网络靶场时,一般是工作人员手动将实体设备的信息(比如实体设备的IP地址或者MAC地址等),以及实体设备与网络靶场进行数据转发的规则配置到网络靶场的交换机中。这种人工配置的方式不仅效率低,出错率也较高。
为了解决上述问题,本申请实施例提供了一种实体设备接入网络靶场的方法及装置,在确定有实体设备与网络靶场的交换设备连接时,获取实体设备的接入地址,根据实体设备的接入地址、网络靶场中包括的各个虚拟机的地址以及预先配置的数据转发算法,实现自动生成与实体设备相关的数据转发规则。并指示网络靶场的网关设备根据自动生成的数据转发规则实现实体设备和网络靶场的数据传输。本申请提出的实体设备接入网络靶场的方法不再需要人工配置数据,提升了实体设备接入网路靶场的成功率和效率。
下面具体介绍本申请提出的实体设备接入网络靶场的方法及装置。本申请下述实施例中,“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。单数表达形式“一个”、“一种”、“所述”、“上述”、“该”和“这一”旨在也包括例如“一个或多个”这种表达形式,除非其上下文中明确地有相反指示。以及,除非有相反的说明,本申请实施例提及“第一”、“第二”等序数词是用于对多个对象进行区分,不用于限定多个对象的顺序、时序、优先级或者重要程度。例如,第一任务执行设备和第二任务执行设备,只是为了区分不同的任务执行设备,而并不是表示这两种任务执行设备的优先级或者重要程度等的不同。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
基于图1所示的系统架构,本申请提供了一种实体设备接入网络靶场的方法,参见图2,为本申请实施例提供的一种实体设备接入网络靶场的方法流程图。可选地,图2所示的方法流程可以由网络靶场中包含的设备、处理器或者任何具有计算资源的处理设备来执行,比如可以由基于OVN网络系统的虚拟SDN控制器来执行,本申请对于实体设备接入网路靶场的方法的执行主体不做限定。图2所示的方法流程具体包括:
201,在检测到实体设备与网络靶场的网关设备连接时,获取实体设备的接入地址。
可选地,实体设备与网关设备的连接可是通过网线进行连接,也可以通过地址配置的方式进行连接。可选地,实体设备的接入地址可以包括实体设备的IP地址、MAC地址或者实体设备接入的网关设备的端口信息等。
202,根据实体设备的接入地址、网络靶场中包含的各虚拟机的地址以及预先配置的数据转发算法,生成针对实体设备的数据转发规则。
其中,数据转发规则用于表征与实体设备相关的数据的传输方式。例如,以实体设备为目标节点的数据的转发规则可以包括该数据的传输路径,以及传输路径中的各个节点的地址等。
203,将数据转发规则发送至网关设备。
其中,网关设备为实体设备所连接的网关设备。转将数据发规则配置到网关设备用于网关设备在后续传输与实体设备相关的数据时,可以根据数据转发规则进行数据的传输。
可选地,还可以将数据转发规则发送至网络靶场中相关的路由设备,用于相关的路由设备在后续传输与实体设备相关的数据时,可以根据数据转发规则进行数据的传输。其中,相关的路由设备指的是数据转发规则所指示的数据传输路径中包括的路由设备。
基于上述方案,本申请提出了不再通过人工来配置连接网络靶场的实体设备的相关数据转发规则,而是在实体设备连接网络靶场时,根据预先配置的算法自动生成实体设备相关的数据转发规则,并自动配置到网关设备中,实现实体设备接入网络靶场,从而避免人工配置容易出错且效率不高的问题。
在一些实施例中,在实体设备连接网关设备时,获取的实体设备的接入地址可以是用户输入的。可选地,在实体设备首次连接网络靶场的网关设备时,可以响应于用户输入实体设备的接入地址的操作,获取实体设备的接入地址。
作为一种可选的方式,本申请实施例提出在实体设备首次连接网关设备时,可以指示用户输入实体设备的网络信息,比如输入的网络信息可以包括实体设备的名称、型号、所属类别,IP地址、MAC地址、接口信息、描述以及共享状态等信息。作为一种示例,可以通过在显示屏中显示如图3所示的显示界面,以指示用户输入上述实体设备相关的网络信息。
在一些可能实现的方式中,在获取到用户输入的实体设备相关的网络信息之后,还可以将实体设备的网络信息以及实体设备的类别进行关联存储至网络靶场的数据库中。参见图3,示例性地展示了几种实体设备所属的类别,需要说明的是,图3仅作为一种示例,本申请对于实体设备所属的类别以及类别的数量均不作限定。
在另一些实施例中,在获取实体设备的接入地址时,还可以根据网络靶场的类别,从数据库中获取实体设备的接入地址。其中网络靶场的类别用于表征网络靶场中部署的目标网络的作用。比如,目标网络用于验证安全设备,则可以从数据库中获取类别为安全设备的实体设备的接入地址。可选地,关于数据库的介绍可以参见上述实施例,数据库中可以包括实体设备的多种网络信息,在实现本申请提出的实体设备自动接入网络靶场的方法时,可以从多种网络信息中获取实体设备的接入地址。
在一种可能实现的方式中,在获取到实体设备的接入地址之后,可以根据接入地址、网络靶场中包含的各虚拟机的地址以及预先配置的数据转发算法,生成针对实体设备的数据转发规则。
作为一种可选的方式,在生成数据转发规则时,针对网络靶场中各个虚拟机中的任意一个虚拟机,可以获取任意一个虚拟机的地址,根据数据转发算法计算任意一个虚拟机与实体设备机型数据传输的路径,比如可以为进行数据传输的最短路径。举例来说,预先配置的数据转发算法可以基于网络靶场中网络配置信息、实体设备的IP地址、实体设备的MAC地址、虚拟局域网(Virtual Local Area Network,VLAN)ID、实体设备接入的网关设备的端口信息、网络靶场中的虚拟网关路由设备的配置信息以及网络靶场中包括的虚拟交换机的配置信息等数据,计算实体设备与任意一个虚拟机进行数据传输的最短路径。
进一步地,可以根据计算得到的路径、任意一个虚拟机的地址以及实体设备的地址,生成实体设备和任意一个虚拟机之间的数据转发规则,比如生成与实体设备相关的FlowTable。举例来说,生成的FlowTable可以包括进行数据传输过程中的输入端口、源MAC地址、目标MAC地址、VLAN ID、源IP地址、目标IP地址、源端口、目标端口以及传输动作等信息。
可选地,在生成实体设备相关的数据转发规则之后,可以将数据转发规则存储到数据库中,还可以将数据转发规则发送至网关设备以及相关的路由设备中,以用于网关设备和路由设备据此传输与实体设备相关的数据。继续以FlowTable为例进行介绍,可以根据网关设备提供的REST架构下的应用程序接口(Application Programming Interface,API)向网关设备下发FlowTable。可选地,还可以向网络靶场的虚拟网关路由设备以及相关的虚拟路由设备发送FlowTable,还可以将网络靶场中部署网关设备的物理网卡绑定虚拟网关路由设备的网桥,实现网关设备与虚拟网关路由设备之间的连接,比如可以通过虚拟网关路由设备的patch端口来实现网桥的连接。进而,网关设备和网络靶场中的虚拟路由设备以及虚拟网关路由设备获取FlowTable,即可以实现后续传输与实体设备相关的数据。作为一种示例,本申请涉及的虚拟路由设备、网关设备以及虚拟交换机均可以采用OVS形式的网络设备。
作为一种可选的实现方式,在向网关设备和路由设备配置生成的实体设备相关的数据转发规则之后,还可以进一步监控实体设备与网络靶场的连通状态,保证实体设备的可用性。作为一种可选的方式,可以每间隔设定周期监听实体设备的端口,确定实体设备与网络靶场之间存在数据传输。或者,还可以对实体设备连接的网关设备的端口进行监听,确定实体设备的在线状态。可选地,若在设定数量个周期内均未监听到数据传输,则可以确定实体设备处于不在线状态,可以向工作人员设备发送告警信息,指示当前实体设备不可用。
为了更进一步地理解本申请的方案,下面结合网路靶场中的各个处理模块对本申请提出的实体设备接入网络靶场的方法进行介绍。示例性地,可以基于不同的功能将网络靶场的处理资源分为实体设备管理模块、网络靶场规则生成模块和网络靶场规则下发模块。
可选地,实体设备管理模块可以用于在实体设备连接网络靶场时,指示用户输入实体设备相关的网络信息,并将用户输入的实体设备的网络信息和实体设备所属的类别进行关联存储。
可选地,网络靶场规则生成模块用于获取网络靶场中各个设备(包括各虚拟机和各类网络设备)的地址信息以及实体设备的接入地址。还用于基于预先配置的数据转发算法,根据各虚拟机的地址和实体设备的地址计算实体设备分别与各虚拟机进行数据传输的路径。还用于根据计算的得出的路径以及各虚拟机的地址和实体设备的地址生成与实体设备相关的数据转发规则。
可选地,网络靶场规则下发模块用于将网络靶场规则生成模块生成的数据转发规则发送至网关设备,用于网关设备据此进行后续的数据传输。网络靶场规则下发模块还用于确定数据转发规则指示的数据传输路径所涉及到的路由设备,并将数据转发规则下发到确定的路由设备。
下面,结合各个模块,对本申请提出的方案进行具体介绍。参见图4,为本申请实施例提供的一种实体设备接入网络靶场的方法流程图,具体包括:
401,实体设备管理模块在确定实体设备与网络靶场的网关设备连接时,指示用户输入实体设备相关的网络信息。
可选地,实体设备相关的网络信息所包括的内容可以参见上述实施例中的介绍,在此不再进行赘述。
402,网络靶场规则生成模块获取实体设备的接入地址以及网络靶场中各虚拟机的地址。
403,网络靶场规则生成模块基于预先配置的数据转发算法,计算实体设备与网络靶场中包括的各虚拟机进行数据传输的路径。
404,网络靶场规则生成模块根据计算的路径、实体设备的地址和网络靶场中各虚拟机的地址生成数据转发规则。
405,网络靶场规则下发模块将数据转发规则发送至网关设备和网络靶场中相关的路由设备。
以上,介绍了实体设备接入网路靶场的实现过程,下面,结合图1所示的场景对于实体设备接入网路靶场后的数据传输过程进行介绍。
一种可能的情况下,待传输数据的源地址为网络靶场的虚拟机A,目标地址为实体设备。具体的数据传输过程为:虚拟机A将待传输数据发送至虚拟交换机A,虚拟交换机A将待传输数据发送至虚拟路由设备,虚拟路由设备根据自身配置的数据转发规则将待传输数据发送至虚拟网关路由设备,虚拟网关路由设备根据自身配置的数据转发规则将待传输数据发送至网关设备,网关设备根据自身配置的数据转发规则将待传输数据发送至实体设备。
另一种可能的情况下,待传输数据的源地址为实体设备,目标地址为虚拟机A。具体的数据传输过程为:实体设备将待传输数据发送至网关设备,网关设备根据自身配置的数据转发规则将待传输数据发送至虚拟网关路由设备,虚拟网关路由设备根据自身配置的数据转发规则将待传输数据发送至虚拟路由设备,虚拟路由设备根据自身配置的数据转发规则将待传输数据发送至虚拟交换机A,虚拟交换机A将待传输数据发送至虚拟机A。
基于与上述方法的同一构思,参见图5,为本申请实施例提供的一种用于实现实体设备接入网络靶场的装置500。装置500用于执行上述方法的各个步骤,为了避免重复,此处不再进行赘述。装置500包括:处理单元501和通信单元502。
处理单元501,被配置为执行:
在检测到实体设备与网络靶场的网关设备连接时,获取所述实体设备的接入地址;
根据所述接入地址、所述网络靶场中包含的各虚拟机的地址以及预先配置的数据转发算法,生成针对所述实体设备的数据转发规则;所述数据转发规则用于表征与所述实体设备相关的数据的传输方式;
通信单元502,用于将所述数据转发规则发送至所述网关设备。
在一些实施例中,所述处理单元501,具体用于:
根据所述网络靶场的类别,从数据库中获取所述实体设备的接入地址;其中所述数据库中包括预先存储的多个设备的接入地址以及所述多个设备分别所属的类别;或者,
响应于用户输入所述实体设备的接入地址的操作,获取所述实体设备的地址。
在一些实施例中,所述处理单元501,具体用于:
针对所述各虚拟机中的任一虚拟机,根据所述数据转发算法,计算所述实体设备与所述任一虚拟机进行数据传输的路径;
根据所述任一虚拟机的地址、所述实体设备的接入地址以及所述路径,生成所述实体设备与所述任一虚拟机之间的数据转发规则。
在一些实施例中,所述处理单元501,还用于:
每间隔设定周期监听所述实体设备的端口,确定所述实体设备与所述网络靶场之间存在数据传输。
图6示出了本申请实施例提供的电子设备600结构示意图。本申请实施例中的电子设备600还可以包括通信接口603,该通信接口603例如是网口,电子设备可以通过该通信接口603传输数据,例如通信接口603可以实现上述实施例中介绍的通信单元502的功能。
在本申请实施例中,存储器602存储有可被至少一个控制器601执行的指令,至少一个控制器601通过执行存储器602存储的指令,可以用于执行上述方法中的各个步骤,例如,控制器601可以实现上述图5中的处理单元501的功能。
其中,控制器601是电子设备的控制中心,可以利用各种接口和线路连接整个电子设备的各个部分,通过运行或执行存储在存储器602内的指令以及调用存储在存储器602内的数据。可选的,控制器601可包括一个或多个处理单元,控制器601可集成应用控制器和调制解调控制器,其中,应用控制器主要处理操作系统和应用程序等,调制解调控制器主要处理无线通信。可以理解的是,上述调制解调控制器也可以不集成到控制器601中。在一些实施例中,控制器601和存储器602可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
控制器601可以是通用控制器,例如中央控制器(英文:Central ProcessingUnit,简称:CPU)、数字信号控制器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用控制器可以是微控制器或者任何常规的控制器等。结合本申请实施例所公开的数据统计平台所执行的步骤可以直接由硬件控制器执行完成,或者用控制器中的硬件及软件模块组合执行完成。
存储器602作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器602可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(英文:Random AccessMemory,简称:RAM)、静态随机访问存储器(英文:Static Random Access Memory,简称:SRAM)、可编程只读存储器(英文:Programmable Read Only Memory,简称:PROM)、只读存储器(英文:Read Only Memory,简称:ROM)、带电可擦除可编程只读存储器(英文:Electrically Erasable Programmable Read-Only Memory,简称:EEPROM)、磁性存储器、磁盘、光盘等。存储器602是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器602还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
通过对控制器601进行设计编程,例如,可以将前述实施例中介绍的神经网络模型的训练方法所对应的代码固化到芯片内,从而使芯片在运行时能够执行前述的神经网络模型训练方法的步骤,如何对控制器601进行设计编程为本领域技术人员所公知的技术,这里不再赘述。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的控制器以产生一个机器,使得通过计算机或其它可编程数据处理设备的控制器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种实体设备接入网络靶场的方法,其特征在于,所述方法包括:
在检测到实体设备与网络靶场的网关设备连接时,获取所述实体设备的接入地址;
根据所述接入地址、所述网络靶场中包含的各虚拟机地址以及预先配置的数据转发算法,生成针对所述实体设备的数据转发规则;所述数据转发规则用于表征与所述实体设备相关的数据的传输方式;
将所述数据转发规则发送至所述网关设备。
2.根据权利要求1所述的方法,其特征在于,所述获取所述实体设备的接入地址,包括:
根据所述网络靶场的类别,从数据库中获取所述实体设备的接入地址;其中所述数据库中包括预先存储的多个设备的接入地址以及所述多个设备分别所属的类别;或者,
响应于用户输入所述实体设备的接入地址的操作,获取所述实体设备的地址。
3.根据权利要求1或2所述的方法,其特征在于,所述根据接入地址、所述网络靶场中包含的各虚拟机的地址以及预先配置的数据转发算法,生成针对所述实体设备的数据转发规则,包括:
针对所述各虚拟机中的任一虚拟机,根据所述数据转发算法,计算所述实体设备与所述任一虚拟机进行数据传输的路径;
根据所述任一虚拟机的地址、所述实体设备的接入地址以及所述路径,生成所述实体设备与所述任一虚拟机之间的数据转发规则。
4.根据权利要求1或2所述的方法,其特征在于,在将所述数据转发规则发送至所述网关设备之后,所述方法还包括:
每间隔设定周期监听所述实体设备的端口,确定所述实体设备与所述网络靶场之间存在数据传输。
5.一种实体设备接入网络靶场的装置,其特征在于,所述装置包括:
处理单元,被配置为执行:
在检测到实体设备与网络靶场的网关设备连接时,获取所述实体设备的接入地址;
根据所述接入地址、所述网络靶场中包含的各虚拟机的地址以及预先配置的数据转发算法,生成针对所述实体设备的数据转发规则;所述数据转发规则用于表征与所述实体设备相关的数据的传输方式;
通信单元,用于将所述数据转发规则发送至所述网关设备。
6.根据权利要求5所述的装置,其特征在于,所述处理单元,具体用于:
根据所述网络靶场的类别,从数据库中获取所述实体设备的接入地址;其中所述数据库中包括预先存储的多个设备的接入地址以及所述多个设备分别所属的类别;或者,
响应于用户输入所述实体设备的接入地址的操作,获取所述实体设备的地址。
7.根据权利要求5或6所述的装置,其特征在于,所述处理单元,具体用于:
针对所述各虚拟机中的任一虚拟机,根据所述数据转发算法,计算所述实体设备与所述任一虚拟机进行数据传输的路径;
根据所述任一虚拟机的地址、所述实体设备的接入地址以及所述路径,生成所述实体设备与所述任一虚拟机之间的数据转发规则。
8.根据权利要求5或6所述的装置,其特征在于,所述处理单元,还用于:
每间隔设定周期监听所述实体设备的端口,确定所述实体设备与所述网络靶场之间存在数据传输。
9.一种电子设备,其特征在于,包括:存储器以及控制器;
存储器,用于存储程序指令;
控制器,用于调用所述存储器中存储的程序指令,按照获得的程序执行权利要求1-4中任一项所述的方法。
10.一种计算机存储介质,存储有计算机可执行指令,其特征在于,所述计算机可执行指令用于执行如权利要求1-4中任一权利要求所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211031972.8A CN115426324A (zh) | 2022-08-26 | 2022-08-26 | 一种实体设备接入网络靶场的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211031972.8A CN115426324A (zh) | 2022-08-26 | 2022-08-26 | 一种实体设备接入网络靶场的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115426324A true CN115426324A (zh) | 2022-12-02 |
Family
ID=84201237
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211031972.8A Pending CN115426324A (zh) | 2022-08-26 | 2022-08-26 | 一种实体设备接入网络靶场的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115426324A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116132221A (zh) * | 2023-04-04 | 2023-05-16 | 鹏城实验室 | 网络靶场平台的虚实互联方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070076857A1 (en) * | 2003-02-07 | 2007-04-05 | Chava Venkatesh Ven | Intermediary network system and method for facilitating message exchange between wireless networks |
| CN109743293A (zh) * | 2018-12-13 | 2019-05-10 | 烽台科技(北京)有限公司 | 网络靶场的访问方法及网络靶场系统、计算机存储介质 |
| US20190173888A1 (en) * | 2016-08-09 | 2019-06-06 | Huawei Technologies Co., Ltd. | Method for virtual machine to access physical server in cloud computing system, apparatus, and system |
| CN111600913A (zh) * | 2020-07-22 | 2020-08-28 | 南京赛宁信息技术有限公司 | 一种网络靶场攻防场景真实设备自适应接入方法与系统 |
| CN111711557A (zh) * | 2020-08-18 | 2020-09-25 | 北京赛宁网安科技有限公司 | 一种网络靶场用户远程接入系统与方法 |
| CN114363021A (zh) * | 2021-12-22 | 2022-04-15 | 绿盟科技集团股份有限公司 | 网络靶场系统、网络靶场系统的虚拟网络实现方法及装置 |
-
2022
- 2022-08-26 CN CN202211031972.8A patent/CN115426324A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070076857A1 (en) * | 2003-02-07 | 2007-04-05 | Chava Venkatesh Ven | Intermediary network system and method for facilitating message exchange between wireless networks |
| US20190173888A1 (en) * | 2016-08-09 | 2019-06-06 | Huawei Technologies Co., Ltd. | Method for virtual machine to access physical server in cloud computing system, apparatus, and system |
| CN109743293A (zh) * | 2018-12-13 | 2019-05-10 | 烽台科技(北京)有限公司 | 网络靶场的访问方法及网络靶场系统、计算机存储介质 |
| CN111600913A (zh) * | 2020-07-22 | 2020-08-28 | 南京赛宁信息技术有限公司 | 一种网络靶场攻防场景真实设备自适应接入方法与系统 |
| CN111711557A (zh) * | 2020-08-18 | 2020-09-25 | 北京赛宁网安科技有限公司 | 一种网络靶场用户远程接入系统与方法 |
| CN114363021A (zh) * | 2021-12-22 | 2022-04-15 | 绿盟科技集团股份有限公司 | 网络靶场系统、网络靶场系统的虚拟网络实现方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| 刘映国: "《美军网络安全试验鉴定》", 31 July 2018, 国防工业出版社, pages: 155 * |
| 詹姆斯·库罗斯 等著: "网络工程设计教程系统集成方法 第4版》", 30 June 2021, 西安电子科技大学出版社, pages: 326 - 327 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116132221A (zh) * | 2023-04-04 | 2023-05-16 | 鹏城实验室 | 网络靶场平台的虚实互联方法、装置、设备及存储介质 |
| CN116132221B (zh) * | 2023-04-04 | 2023-08-25 | 鹏城实验室 | 网络靶场平台的虚实互联方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11924072B2 (en) | Technologies for annotating process and user information for network flows | |
| CN112187825B (zh) | 一种基于拟态防御的蜜罐防御方法、系统、设备及介质 | |
| US9680867B2 (en) | Network stimulation engine | |
| CN111600913B (zh) | 一种网络靶场攻防场景真实设备自适应接入方法与系统 | |
| CN106452857B (zh) | 生成配置信息的方法和网络控制单元 | |
| CN114363021B (zh) | 网络靶场系统、网络靶场系统的虚拟网络实现方法及装置 | |
| US20190036802A1 (en) | System and method for packet tracing within a packet switching asic | |
| CN104852840B (zh) | 一种控制虚拟机之间互访的方法及装置 | |
| WO2019037738A1 (zh) | 网络故障的检测方法及装置 | |
| CN112019545B (zh) | 一种蜜罐网络部署方法、装置、设备及介质 | |
| CN105024990A (zh) | 网络安全攻防演练环境部署方法及装置 | |
| US20210312472A1 (en) | Method and system for prediction of smart contract violation using dynamic state space creation | |
| CN104253820A (zh) | 软件定义网安全控制系统和控制方法 | |
| CN113612783B (zh) | 一种蜜罐防护系统 | |
| CN114584354B (zh) | 一种网络安全实训平台的构建方法及系统 | |
| CN112929200B (zh) | 一种面向sdn多控制器的异常检测方法 | |
| CN114172815B (zh) | 行为流量传输方法、装置、计算机设备和计算机可读存储介质 | |
| CN111371608B (zh) | 一种部署sfc业务链的方法、装置和介质 | |
| CN115426324A (zh) | 一种实体设备接入网络靶场的方法及装置 | |
| CN110505095A (zh) | 一种使用少量服务器搭建大规模虚拟数据中心的方法 | |
| WO2023116268A1 (zh) | 网络隔离方法和系统及代理设备 | |
| CN111654558B (zh) | Arp交互与内网流量转发方法、装置和设备 | |
| CN115421412A (zh) | 一种网络靶场流量多路复用监控系统及方法 | |
| CN106899475A (zh) | 一种整合隧道资源的方法、装置以及处理报文的方法 | |
| CN119182575B (zh) | 一种基于虚实结合的网络靶场构建方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20221202 |
|
| RJ01 | Rejection of invention patent application after publication |