本发明专利技术公开了一种实现网络靶场系统的方法及网络靶场管理系统,以解决现有技术中不能快速灵活的定义和/或更改和/或扩展网络拓扑结构的问题。所述方法通过SDN控制器调用全局网络资源,通过云计算管理平台调用计算资源和存储资源,再通过SDN控制器定义网络拓扑、复制子网、隔离网络,并向所管理的SDN交换机下发网络流表,SDN交换机在所调用的网络中利用计算资源和存储资源进行管理,从而实现网络靶场系统。本发明专利技术实现了网络靶场系统的计算资源、存储资源和网络资源的统一调度、管理,同时实现了网络靶场系统所要求的快速灵活定义网络拓扑结构,快速灵活实现网络拓扑的更改,快速灵活实现靶场实验网络规模扩展。
【技术实现步骤摘要】
本专利技术属于网络信息安全
,具体涉及一种实现网络靶场系统的方法及网络靶场管理系统。
技术介绍
网络安全是伴随着网络的产生而出现的,随着网络渗透到社会、国家、人民生活的每个层面,网络安全也显得越来越重要,而在一个可控的环境中搭建一个有效的模拟平台,模拟各种可能遭遇的网络攻击场景,是一种提高网络安全性能的有效途径。当前,网络已被定义为战争空间,网络攻防的仿真模拟已经成为训练“网络战士”的重要方式。为了保护美国的网络安全,增强其网络战能力,2008年5月I日,美国防高级研宄计划局(DARPA)战略技术处发布关于展开“国家网络靶场”项目研发工作的公告。“国家网络靶场”项目是自20世纪50年代实施“人造地球卫星计划”以来,美国会向DARPA直接下达的唯一项目。该靶场的建设目标是,模拟真实的网络攻防作战提供虚拟环境,针对敌对电子攻击和网络攻击等电子作战手段进行试验,以实现网络战能力的重大变革,打赢网络战争。目前,美军已建立了由灰网、黄网、黑网、绿网四个子网络组成的网络靶场。英国也建立了模拟互联网的网络靶场,其中有一种是存在于现实网络中的被称为“蜜罐”系统的实验室。2013年,奇虎360科技有限公司与我国国内多家重点院校合作组建网络攻防实验室、建设了多级别的网络实战“靶场”,同时,为国内外各个层面的网络安全技术人员提供体验网络“打靶”的场景,并联合举办面向高校学生的网络攻防竞技比赛。2014年初,华迪计算机集团有限公司也开始了网络靶场平台的研宄、设计和开发,为军事训练保障领域(如网络攻防对抗训练、网上军事演练等)提供网络攻防战的模拟平台奠定了基础。对于一个网络靶场而言,需要综合考虑实体、平台、通信、数据、管理等多个方面,是对现实复杂网络环境的再现。而实际中网络目标很多情况下都不是孤立的设备或系统,而是具有一定规模的网络结构,为了模拟多种不同的攻击和防御方式,需要克服单独的靶机的敝端,靶场搭建要尽可能接近现实网络环境,把靶场建立在一个高度统一、构建相同的全面系统当中。这就一方面需要统一调度和管理各种可用资源,另外也需要不断改变拓扑结构以模拟和创新不同的攻防策略。目前,网络靶场的开发通常是基于云计算平台的。通过云计算平台,“网络靶场”系统架构实现了计算资源、存储资源和网络资源的调度管理,但是不能快速灵活的定义和/或更改网络拓扑结构,也无法快速灵活的实现网络靶场规模的扩展。
技术实现思路
本专利技术的实施例提供了一种实现网络靶场系统的方法及网络靶场管理系统,以快速、灵活的定义和/或更改网络靶场的拓扑结构及网络规模的扩展。根据本专利技术的一个方面,提供了一种实现网络靶场系统的方法,所述方法包括: 通过SDN控制器调用全局网络资源; 通过云计算管理平台调用计算资源和存储资源; SDN控制器定义网络拓扑、复制子网、隔离网络; SDN控制器向所管理的SDN交换机下发网络流表; SDN交换机根据所述网络流表交换网络靶场系统内部跨物理服务器的报文,在所定义的所述网络拓扑结构中利用计算资源和存储资源进行用户管理、安全管理、资源监控,实现网络靶场系统。上述方案中,所述SDN控制器定义网络拓扑包括:在网络靶场系统内部的服务器、网关、SDN交换机中设置分布式控制节点,SDN控制器以所调用的全局网络资源为基础统一控制分布式控制节点调用局部网络资源,定义网络靶场系统的拓扑结构。上述方案中,所述方法还包括: 将SDN交换机设置为GRE网关进行GRE遂道报文的封装和解封装。 上述方案中,所述方法还包括: 在所述网络靶场系统内部设置SDN网关,由SDN交换机和SDN网关进行网络转换,集成异构物理资源。上述方案中,所述在所定义的所述网络拓扑结构中利用计算资源和存储资源进行用户管理、安全管理、资源监控,包括:通过交换机内设置的所述分布式控制节点调用局部网络资源,在网络靶场系统内部相应的所述局部网络资源中利用计算资源、存储资源进行用户管理、安全管理、资源监控。根据本专利技术的另一个方面,还提供了一种网络靶场管理系统,所述系统包括:至少一个SDN控制器、若干SDN交换机、云计算平台、网络靶场系统;其中, 所述SDN控制器和云计算平台与所述网络靶场系统相连,所述SDN交换机与所述SDN控制器相连; 所述SDN控制器用于调用全局网络资源,并用于定义网络拓扑、复制子网、隔离网络,及向与所述SDN控制器相连的SDN交换机下发网络流表; 所述云计算管理平台用于调用计算资源和存储资源; 所述SDN交换机根据所述网络流表交换所述网络靶场系统内部跨物理服务器的报文,在所定义的所述网络拓扑结构中利用计算资源和存储资源进行用户管理、安全管理、资源监控。上述方案中,所述网络靶场管理系统还包括分布式控制节点,所述分布式控制节点设置在网络靶场系统内部的服务器、网关、SDN交换机中; 所述SDN控制器还用于以所调用的全局网络资源为基础统一控制分布式控制节点调用局部网络资源,定义网络靶场系统的拓扑结构。上述方案中,所述SDN交换机还用于进行GRE遂道报文的封装和解封装。上述方案中,所述网络靶场管理系统还包括:SDN网关,所述SDN网关设置在所述网络靶场系统内部,用于与所述SDN交换机进行网络转换,集成异构物理资源。上述方案中,所述分布式控制节点用于调用局部网络资源,所述交换机还用于根据分布式控制节点所调用的所述局部网络资源中利用计算资源、存储资源进行用户管理、安全管理、资源监控。由以上本专利技术实施例所提供的技术方案可以看出,本实施例所提供的实现网络靶场的方法,通过SDN控制器调用全局网络资源,同时通过云计算管理平台调用计算资源和存储资源,实现了网络资源、计算资源、存储资源的统一,由上述资源共同构成一个资源池,进行资源的统一分配、调度、管理;再通过SDN控制器定义网络拓扑、复制子网、隔离网络,如通过在网络靶场内部各节点设置分布式控制节点的方式进行网络拓扑的定义,同时SDN控制器向所管理的SDN交换机下发网络流表,SDN交换机根据所述网络流表交换网络靶场系统内部跨物理服务器的报文,在所定义的所述网络拓扑结构中利用计算资源和存储资源进行用户管理、安全管理、资源监控,从而实现网络靶场系统。本专利技术实现了网络靶场系统的计算资源、存储资源和网络资源的统一调度、管理,同时实现了网络靶场系统所要求的快速灵活定义网络拓扑结构,快速灵活实现网络拓扑的更改,快速灵活实现靶场实验网络规模扩展。【附图说明】图1是本专利技术【具体实施方式】实现网络靶场系统的方法流程图; 图2是本专利技术【具体实施方式】网络靶场管理系统内部结构示意图; 图3是本专利技术优选实施例网络靶场管理系统架构示意图。【具体实施方式】为使本专利技术的目的、技术方案和优点更加清楚明了,下面结合【具体实施方式】并参照附图,对本专利技术进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本专利技术的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本专利技术的概念。本专利技术实施例实现网络靶场系统,是基于SDN和云计算的,通过对SDN控制器和云计算平台的调用,实现网络资源、计算资源、存储资源的统一管理。以下结合附图和具体实施例对本专利技术进行详细说明。图1是本专利技术【具体实施方式】实现网络靶场系统的方法流程图。如图1本文档来自技高网...
【技术保护点】
一种实现网络靶场系统的方法,其特征在于,所述方法包括:通过SDN控制器调用全局网络资源;通过云计算管理平台调用计算资源和存储资源;SDN控制器定义网络拓扑、复制子网、隔离网络; SDN控制器向所管理的SDN交换机下发网络流表;SDN交换机根据所述网络流表交换网络靶场系统内部跨物理服务器的报文,在所定义的所述网络拓扑结构中利用计算资源和存储资源进行用户管理、安全管理、资源监控,实现网络靶场系统。
【技术特征摘要】
【专利技术属性】
技术研发人员:张金明,陈少卿,董绍彤,刘宇,
申请(专利权)人:华迪计算机集团有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。