一种基于虚拟化技术的网络安全靶场及其运行方法技术

本发明专利技术提出了一种基于虚拟化技术的网络安全靶场及其运行方法，虚拟管理单元将网络安全靶场网层分割成三个或三个以上的层，网络安全靶场网层从第一层中的核心网元开始生长，其他层依次从前一层生成，并且与前一层互连；每层的网元仅与前一层或下一层相关联的网元共享资源；为网络安全靶场网层中的每一层生成不同且独一的记号并维护每一层的记号列表；通过网络靶场管理单元执行管理网络安全靶场网层内网元之间的逻辑连接的请求；从记号列表中查询得到源头主机的记号，并判断网络安全靶场网层中的每一层内是否存在与源头主机的记号相同记号的层虚拟机。同记号的层虚拟机。同记号的层虚拟机。

【技术实现步骤摘要】
一种基于虚拟化技术的网络安全靶场及其运行方法


[0001]本专利技术涉及网络安全靶场领域，尤其涉及一种基于虚拟化技术的网络安全靶场及其运行方法。

技术介绍

[0002]随着计算机网络应用的日益广泛，网络安全的问题也日益突出，各国都在大力研究网络安全防范问题，以防信息泄露。但网络入侵的手段丰富多样，使得研究与工作人员防不胜防。网络靶场就是一种训练网络研究与管理人员的演练系统，让防御人员在攻击者前面学会主动防御，而不是在攻击行为之后被动处理。
[0003]网络靶场是一种比较新的网络安全防御技术。狭义上来讲，网络靶场就是通过对网络安全攻击与防御事件的模拟，构建虚拟网络攻防平台。实验中会模拟各种操作系统下的多种攻击方式，然后收集其中的数据并进行分析，进而针对收集到的数据进行处理，找出如何防御攻击的方法，使得技术人员应对网络攻击的防御能力得到提升。广义上来讲，只要能对一种或多种攻击行为进行检测、防护、数据收集等工作，并通过数据分析实现防御能力改进和完善的网络攻防演练平台，这些都可以称之为网络靶场。网络靶场是新兴的网络安全防御技术，可以进行网络攻击和防御的演练，分析演练的情况，从而改进防御部署，提高防御能力。因此，当前形势下，在虚拟化网络靶场之上搭建蜜罐，实现网络攻防演练。通过攻击与防御的演练来增强自身防御的能力，具有重要意义。
[0004]我国高度重视网络安全保障工作，靶场建设工作虽已取得较大成就，但与发达国家相比仍存在较大差距，主要原因为：一是技术水平相对较低，我国缺乏网络安全的人才，对关键技术研究不足且滞后；二是缺乏统一管理，各职能部门职责不清，在一定程度上影响了靶场建设的发展。因此，我国对于网络靶场的建立，应从相关技术的研究、人员的培训、相关经费的投入等角度进行切入，从而加快提升网络作战能力的步伐。
[0005]虚拟化技术是一种资源管理技术，它抽象出计算机的各种物理资源，如服务器，网络，内存和存储，并在转换后呈现它们，打破了物理结构之间无法切断的障碍，使用户能够比原始配置更高效的利用这些资源。这些资源的新虚拟部分不受现有资源构建方式、地理位置或物理方式的限制。这些虚拟资源通常称为虚拟化资源，包含计算机硬件虚拟化、存储虚拟化、计算机网络虚拟化等。但是现有技术中的基于虚拟化技术的网络安全靶场的网络安全攻防能力不足或攻防靶场不具备代表性，很难支撑整体网络安全防御能力建设。
[0006]现有技术中，例如专利文献CN109286611A提供了一种网络靶场云平台系统、构建方法、设备和介质。包括：身份认证模块、资源管理模块和应用构建模块，其中：所述身份认证模块用于对用户进行身份认证，资源管理模块用于向应用构建模块提供虚拟资源，应用构建模块用于根据所分配的虚拟资源构建网络靶场应用，并将网络靶场应用提供给身份认证通过的用户。但是该技术方案中，接收的服务，资源，应用等数据过于繁多，容易造成系统反应慢。
[0007]再例如专利文献CN111343158A公开了一种基于虚拟化技术的网络靶场平台，属于
网络安全领域，包括攻防指控子系统、攻击模拟子系统，还包括环境仿真子系统。环境仿真子系统提供仿真的网络环境平台，攻击模拟子系统分布式部署了多种网络攻击工具集，可对环境仿真子系统模拟发起各类不同的网络攻击行为；攻防指控子系统实现对网络攻击任务的管理调度和资源分配，同时对网络攻击的整体态势和战场攻防的结果进行评估，并以可视化的方式进行呈现。但是该技术方案中并不适用于体系化的网络空间安全防御。

技术实现思路

[0008]为了解决上述技术问题，本专利技术提出了一种基于虚拟化技术的网络安全靶场，包括网络靶场管理单元、网络处理单元以及虚拟管理单元；所述虚拟管理单元将网络安全靶场网层分割成三个或三个以上的层，网络安全靶场网层从第一层中的核心网元开始生长，第一层的核心网元互相连接；其他层依次从前一层生成，并且与前一层互连；其他层中的计算网元通过向网络安全靶场网层注册的过程而被分配给前一层；每层的网元仅与前一层或下一层相关联的网元共享资源；所述网络靶场管理单元，用于为网络安全靶场网层中的每一层生成不同且独一的记号并维护每一层的记号列表；通过网络靶场管理单元执行管理网络安全靶场网层内网元之间的逻辑连接的请求；所述网络处理单元，用于在获取到问询报文时，从记号列表中查询得到源头主机的记号，并判断网络安全靶场网层中的每一层内是否存在与源头主机的记号相同的层虚拟设备的记号。
[0009]进一步地，如果第三层在规定时间内，未向网络安全靶场网层注册，则第一层的第二计算网元只能与第一层的核心网元共享资源，直到第三层的第三计算网元向网络安全靶场网层注册。
[0010]进一步地，第二层的第二计算网元间不相互连接，使得第二计算网元在第二层内不完全互连。
[0011]进一步地，第一层的核心网元响应于与所述核心网元通信的物理设备接收到的对网络安全靶场网层的请求，所述核心网元向与其共享资源的计算网元请求资源以及所述与其共享资源的计算网元所在层的层虚拟设备的记号。
[0012]进一步地，第一层的核心网元被配置为仅向第二层的第二计算网元请求服务，而不是向其他请求网元进行广播。
[0013]进一步地，所述网络靶场管理单元为网络安全靶场网层中每一层的层虚拟设备分配网络地址和访问控制地址，并将网络安全靶场网层中每一层的层虚拟设备的访问控制地址、网络地址以及与层虚拟设备的记号之间的对应关系存入记号列表中。
[0014]进一步地，所述虚拟管理单元，在网络安全靶场运行时在计算网元的虚拟连接中创建将问询报文流转到网络处理单元的表项。
[0015]本专利技术还提出了一种基于虚拟化技术的网络安全靶场的运行方法，用于运行基于虚拟化技术的网络安全靶场，将网络安全靶场网层分割成三个或三个以上的层，网络安全靶场网层从第一层中的核心网元开始生长，第一层的核心网元完全互连；其他层依次从前一层生成，并且与前一
层互连；其他层的计算网元在从前一层生成时通过向网络安全靶场网层注册的过程而被分配给前一层；每层的网元仅与前一层或下一层相关联的网元共享资源；为网络安全靶场网层中的每一层生成不同的且独一的记号并维护每一层的记号列表，执行管理网络安全靶场网层内网元之间的逻辑连接的请求；在获取到问询报文时，从记号列表中查询得到源头主机的记号，并判断网络安全靶场网层中的每一层内是否存在与源头主机的记号相同的层虚拟设备的记号。
[0016]进一步地，若不存在与源头主机的记号相同的层虚拟设备的记号，则丢弃问询报文，若存在与源头主机的记号相同的层虚拟设备的记号，则获取所述层虚拟设备的访问控制地址，对问询报文进行回复，并在网络安全靶场网层运行时，向计算网元的中创建将问询报文并流转到网络处理单元的表项。
[0017]进一步地，将接收到的从计算网元上载的与表项进行对比；如果与表项相关的报文的网络地址和访问控制地址属于不同的层物理设备，则向计算网元的中创建源表项，并上载与源表项相关的问询报文。
[0018]相比于现有技术，本专利技术具有如下有益技术效果：将网络本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于虚拟化技术的网络安全靶场，其特征在于，包括网络靶场管理单元、网络处理单元以及虚拟管理单元；所述虚拟管理单元将网络安全靶场网层分割成三个或三个以上的层，网络安全靶场网层从第一层中的核心网元开始生长，第一层的核心网元互相连接；其他层依次从前一层生成，并且与前一层互连；其他层中的计算网元通过向网络安全靶场网层注册的过程而被分配给前一层；每层的网元仅与前一层或下一层相关联的网元共享资源；所述网络靶场管理单元，用于为网络安全靶场网层中的每一层生成不同且独一的记号并维护每一层的记号列表；通过网络靶场管理单元执行管理网络安全靶场网层内网元之间的逻辑连接的请求；所述网络处理单元，用于在获取到问询报文时，从记号列表中查询得到源头主机的记号，并判断网络安全靶场网层中的每一层内是否存在与源头主机的记号相同的层虚拟设备的记号。2.根据权利要求1所述的网络安全靶场，其特征在于，如果第三层在规定时间内，未向网络安全靶场网层注册，则第一层的第二计算网元只能与第一层的核心网元共享资源，直到第三层的第三计算网元向网络安全靶场网层注册。3.根据权利要求1所述的网络安全靶场，其特征在于，第二层的第二计算网元间不相互连接，使得第二计算网元在第二层内不完全互连。4.根据权利要求1所述的网络安全靶场，其特征在于，第一层的核心网元响应于与所述核心网元通信的物理设备接收到的对网络安全靶场网层的请求，所述核心网元向与其共享资源的计算网元请求资源以及所述与其共享资源的计算网元所在层的层虚拟设备的记号。5.根据权利要求1所述的网络安全靶场，其特征在于，第一层的核心网元被配置为仅向第二层的第二计算网元请求服务，而不是向其他请求网元进行广播。6.根据权利要求1所述的网络安全靶场，其特征在于，所述网络靶场管理单元为网络安全靶场网层中每一层的层虚拟设...

【专利技术属性】
技术研发人员：马虹哲，赵瑾阳，詹晶晶，杨扬，
申请(专利权)人：中电运行北京信息技术有限公司，
类型：发明
国别省市：