一种网络靶场中用户流量追踪方法与系统技术方案

本发明专利技术公开了一种网络靶场中用户流量追踪方法与系统，方法包括：在操作机上生成唯一的用户标记；将源IP地址为操作机IP的数据包转发到虚拟网络设备以发送到部署在操作机上的代理程序；代理程序在数据包中增加用户标记，并发送至目标节点；目标节点将所接收到的数据包转发到虚拟网络设备以发送到部署在目标节点上的代理程序；目标节点的代理程序判断接收到的数据中是否包含用户标记，根据判断结果修改源IP地址，并交由应用程序处理，随后根据不同的IP地址对响应报文进行转发；本发明专利技术可以对流量静默添加用户唯一标记，并可使唯一标记在多个机器间的有效传递，方便后续对流量、或者用户行为的关联分析。用户行为的关联分析。用户行为的关联分析。

【技术实现步骤摘要】
一种网络靶场中用户流量追踪方法与系统


[0001]本专利技术涉及一种网络靶场中用户流量追踪方法与系统，属于网络安全


技术介绍

[0002]网络靶场是通过虚拟化技术，模拟仿真出真实网络空间攻防作战环境，能够支撑作战能力研究和武器装备验证的试验平台；为了达到上述目的，在实际的训练或者验证过程中，靶场用户会从模拟各种实际网络攻防操作。
[0003]典型的攻防操作至少涉及2个及以上的节点：操作机和目标节点，用户利用操作机，探索或者攻击靶场拓扑中的其他目标节点，从而达到训练的目的；目标节点安装了典型漏洞、或者特定应用程序的网络节点，该类型节点会收到用户从操作机发来的各种攻击请求。
[0004]为了对训练或者验证的效果进行评估，靶场会在网络层将拓扑涉及到的所有流量统一导出并存储，即将网络中各节点所有网卡的流量统一汇总；后续的流量分析软件可以从导出的流量中分析出用户使用的攻击手法，某次攻击涉及到的攻击路径等。
[0005]现有技术中，当用户的操作流量涉及多个机器，例如从操作机对目标节点发动的攻击至少涉及2个节点时，通过OVS（OpenvSwitch）抓取的各节点的流量缺少统一标记，无法将多个机器的流量联动分析，无法分析用户某一次攻击涉及到的所有流量；并且流量缺少用户标记，无法快速筛选出某个用户的流量进行复盘。

技术实现思路

[0006]专利技术目的：针对上述现有技术存在的问题，本专利技术目的在于提供一种可以对流量静默添加用户唯一标记，并可使唯一标记在多个机器间的有效传递的网络靶场中用户流量追踪方法与系统。
[0007]技术方案：为实现上述专利技术目的，本专利技术提供的一种网络靶场中用户流量追踪方法，包括以下步骤：步骤1：在操作机上生成唯一的用户标记A；步骤2：将源IP地址为操作机IP的数据包转发到虚拟网络设备B以发送到部署在操作机上的代理程序C；步骤3：代理程序C在数据包中增加用户标记A，并发送至目标节点；步骤4：目标节点将所接收到的数据包转发到虚拟网络设备E以发送到部署在目标节点上的代理程序C；步骤5：目标节点上的代理程序C判断接收到的数据中是否包含用户标记A，若包含用户标记A，为每个用户X生成一个单独的虚拟网络设备F(X)加入设备列表中，并将数据包的源IP地址修改为F(X)对应的IP地址后交由应用程序处理；步骤6：对应用程序的响应报文进行转发，当源IP地址在设备列表中时，根据IP和虚拟网络设备F(X)的对应关系，将数据包发送给对应的虚拟网络设备F(X)，F(X)将接收到
的数据转发给代理程序C；代理程序C根据数据包中的源IP地址，找到对应的用户标记A，在数据包中增加用户标记A后通过本地网卡发送。
[0008]作为优选，步骤1中所述的用户标记A，包含用户ID信息，所述用户ID信息全局唯一。
[0009]作为优选，步骤2和步骤4中通过添加路由规则，将源IP地址为操作机本机的数据包统一转发到各自对应的虚拟网络设备。
[0010]进一步地，步骤5中目标节点的代理程序C若判断接收到的数据中不包含用户标记A，则将数据包的源IP地址设置为虚拟网络设备E的IP地址；步骤6中对应用程序的响应报文进行转发时，对于源IP地址等于虚拟网络设备E的IP地址的报文，不需要添加用户标记A，通过本地网卡直接发送。
[0011]作为优选，所述虚拟网络设备B和虚拟网络设备E为Linux 虚拟网络设备，包括TUN设备、TAP设备或veth
‑
pair设备。
[0012]进一步地，当操作机的请求涉及到多个目标节点，各目标节点对数据包进行步骤4至步骤6的操作处理。
[0013]基于相同的专利技术构思，本专利技术还提供了一种网络靶场中用户流量追踪系统，包括：部署在操作机上的标识生成模块、数据转发模块以及代理模块，部署在目标节点上的数据转发模块以及代理模块；所述操作机上的标识生成模块，用于为操作用户生成唯一的用户标记A；所述操作机上的数据转发模块，用于将源IP地址为操作机IP的数据包转发到虚拟网络设备B以发送到部署在操作机上的代理模块；所述操作机上的代理模块，用于在数据包中增加用户标记A，并发送至目标节点；所述目标节点上的数据转发模块，用于将所接收到的数据包转发到虚拟网络设备E以发送到部署在目标节点上的代理模块；所述目标节点上的代理模块，用于判断接收到的数据中是否包含用户标记A，若包含用户标记A，为每个用户X生成一个单独的虚拟网络设备F(X) 加入设备列表中，并将数据包的源IP地址修改为F(X)对应的IP地址后交由应用程序处理；所述目标节点上的数据转发模块，还用于对应用程序的响应报文进行转发，当源IP地址在设备列表中时，根据IP和虚拟网络设备F(X)的对应关系，将数据包发送给对应的虚拟网络设备F(X)，F(X)将接收到的数据转发给目标节点上的代理模块；所述目标节点上的代理模块，还用于根据数据包中的源IP地址，找到对应的用户标记A，在数据包中增加用户标记A后通过本地网卡发送。
[0014]所述目标节点上的代理模块，当判断接收到的数据中不包含用户标记A，则将数据包的源IP地址设置为虚拟网络设备E的IP地址；所述目标节点上的数据转发模块，对应用程序的响应报文进行转发时，对于源IP地址等于虚拟网络设备E的IP地址的报文，不需要添加用户标记A，通过本地网卡直接发送。
[0015]有益效果：与现有技术相比，本专利技术具有如下优点：1、通过全局唯一的用户标记，将用户所有操作产生的流量进行关联，方便后续对流量、或者用户行为的关联分析；2、利用路由规则及内置的数据处理程序、虚拟网络设备，实现了对用户流量的静默处理，全程用户无感知，不影响用户的实际操作；3、本专利技术可以利用网络靶场实现程序的自动化部署、路由
规则和网络设备的自动化生成，通过在操作机上设置用户标记，可以灵活控制是否需要对用户流量进行追踪。
附图说明
[0016]图1为本专利技术实施例的流程图；图2为本专利技术实施例提供的网络靶场中用户流量追踪系统的示意图。
具体实施方式
[0017]下面将结合附图和具体实施例，对本专利技术的技术方案进行清楚、完整的描述。
[0018]本专利技术实施例公开的一种网络靶场中用户流量追踪方法，通过在操作机和目标节点（目标机器）上安装数据代理程序，对接收到的数据包进行数据修改操作，包括在原始数据包中添加内容，修改数据包的源、目的IP等，实现对用户的流量进行标记，将用户所有操作产生的流量进行关联。
[0019]具体地，如图1所示，本实施例的网络靶场中用户流量追踪方法，包括如下实施步骤：步骤1、实际业务开始之前，在用户的操作机上生成一个全局唯一用户标记A；用户标记保证包含用户ID信息且全局唯一即可，具体形式可以采用“用户ID+时间序列递增”的方式。
[0020]步骤2、在用户操作机添加额外的虚拟网络设备B、代理程序C；同时添加路由规则，将源IP地址为本机的数据包统一转发到网络设备B以发送到部署在操作机上的代理程序C；用户操作产生的所有流量源IP都是本机地址，通过路由规则可以将用本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络靶场中用户流量追踪方法，其特征在于，包括以下步骤：步骤1：在操作机上生成唯一的用户标记A；步骤2：将源IP地址为操作机IP的数据包转发到虚拟网络设备B以发送到部署在操作机上的代理程序C；步骤3：代理程序C在数据包中增加用户标记A，并发送至目标节点；步骤4：目标节点将所接收到的数据包转发到虚拟网络设备E以发送到部署在目标节点上的代理程序C；步骤5：目标节点上的代理程序C判断接收到的数据中是否包含用户标记A，若包含用户标记A，为每个用户X生成一个单独的虚拟网络设备F(X)加入设备列表中，并将数据包的源IP地址修改为F(X)对应的IP地址后交由应用程序处理；步骤6：对应用程序的响应报文进行转发，当源IP地址在设备列表中时，根据IP和虚拟网络设备F(X)的对应关系，将数据包发送给对应的虚拟网络设备F(X)，F(X)将接收到的数据转发给代理程序C；代理程序C根据数据包中的源IP地址，找到对应的用户标记A，在数据包中增加用户标记A后通过本地网卡发送。2.根据权利要求1所述的网络靶场中用户流量追踪方法，其特征在于，步骤1中所述的用户标记A，包含用户ID信息，所述用户ID信息全局唯一。3.根据权利要求1所述的网络靶场中用户流量追踪方法，其特征在于，步骤2和步骤4中通过添加路由规则，将源IP地址为操作机本机的数据包统一转发到各自对应的虚拟网络设备。4.根据权利要求1所述的网络靶场中用户流量追踪方法，其特征在于，步骤5中目标节点的代理程序C若判断接收到的数据中不包含用户标记A，则将数据包的源IP地址设置为虚拟网络设备E的IP地址；步骤6中对应用程序的响应报文进行转发时，对于源IP地址等于虚拟网络设备E的IP地址的报文，不需要添加用户标记A，通过本地网卡直接发送。5.根据权利要求1所述的网络靶场中用户流量追踪方法，其特征在于，所述虚拟网络设备B和虚拟网络设备E为Linux 虚拟网络设备，包括TUN设备、TAP设备或veth
‑
pair设备。6.根据权利要求1所述的网络靶场中用户流量追踪方法，其特征在于，当操作机的请求涉及到多个目标节点，各目标节点对数据包进行步骤4至步骤6的...

【专利技术属性】
技术研发人员：杨劲松，谢峥，高庆官，殷庆荣，
申请(专利权)人：南京赛宁信息技术有限公司，
类型：发明
国别省市：