一种用于缓解制造技术

本发明专利技术公开了一种用于缓解

【技术实现步骤摘要】
一种用于缓解DDoS攻击的网络靶场平台构建方法


[0001]本专利技术属于网络安全
，具体涉及一种用于缓解
DDoS
攻击的网络靶场平台构建方法
。

技术介绍

[0002]目前，网络空间已经成为新的国际竞争领域，可见，安全边界不再局限于地理空间，正朝着信息化的方向发展，世界各国也纷纷部署网络空间安全战略，抢占制高点
。
尤其是当下网络空间博弈呈现出实训化和复杂化的新态势，敲响了维护网络空间安全的警钟
。
为了系统地研究网络空间活动，部署网络空间安全战略，培养网络安全人才，提升应对网络攻击的能力，网络靶场应运而生，成为网络空间安全学习
、
训练
、
演练和研究的核心基础设施，具有广阔的应用前景和重要的社会价值
。
[0003]近年来，网络攻击发生得更加频繁
、
破坏性更强
。
根据相关数据显示，仅
2020
年因网络攻击而造成的经济损失就高达一万亿美元，该数值约为是
2018
年的两倍
。
在网络空间所面临的众多网络攻击行为中，分布式拒绝服务
(Distributed Denial of Service
，
DDoS)
攻击是主要安全威胁之一
。
这种攻击手段能够令恶意流量像洪水一样去冲击网络设备，暴力式地耗尽目标设备的资源而无法响应正常流量请求，以简单的攻击手段和低廉的攻击成本造成巨额的损失，对网络环境的稳定造成了巨大的威胁，故被网络空间安全相关机构高度关注
。
尽管已经存在一些传统的解决方案，但此类方案往往存在资源消耗大
、
实施成本高等问题
。
[0004]网络靶场整体上围绕一个核心，即支持模拟多种基础设施的虚拟环境为网络安全演习或培训提供服务
。
目前我国从大规模网络行为仿真
、
网络流量与用户行为模拟
、
网络靶场的可视化技术等多个方面进行网络靶场的设计与研究，主要采用传统技术
、
仿真技术和虚拟化技术进行网络靶场的构建
。
虽然国内关于网络靶场做了大量的实验研究，但这些网络靶场平台大都存在架构复杂
、
使用成本高
、
负载均衡差等问题，且在具体场景中未提供缓解
DDoS
攻击的方法
。

技术实现思路

[0005]为解决现有技术的不足，实现增强网络靶场存储性能与运行稳定性，以及对
DDoS
攻击检测与缓解的目的，本专利技术采用如下的技术方案：
[0006]一种网络靶场平台构建方法，包括如下步骤：
[0007]步骤一：基于网络靶场平台，设置控制节点和计算节点；
[0008]具体地，使用
OpenStack
网络靶场平台设计的关键技术，并使用手动部署方式来进行部署，跟随需求调整节点规划同时能促进用户对
OpenStack
云平台的整体理解与掌握，设置网络靶场的控制节点和计算节点；
[0009]步骤二：构建虚拟环境，并通过虚拟化管理工具控制分布式文件系统的存储；
[0010]具体地，使用
Linux
内核加载
KVM
，用
KVM
进行虚拟机
vCPU
和虚拟内存的调度与管
理，然后通过
QEMU
与虚拟外部设备交互，
Libvirt
虚拟化管理工具提供对虚拟机和虚拟设备的管理，同时使用
Libvirt
对
RBD(RADOS Block Device)
进行管理，
KVM/QEMU
技术提供虚拟化服务的
OpenStack
云平台下使用
Ceph RBD
，即利用
Ceph
分布式存储技术替换
OpenStack
原生存储系统；
[0011]步骤三：分布式文件系统利用好感度因子约束数据的存储位置，提高集群中所有
OSD
节点存储数据的均衡性；
CRUSH
算法的功能内置在
Ceph
分布式存储系统中，在数据存储优化时，首先通过配置文件获取存储文件大小的划分情况，然后根据配置信息确定初始化阶段是否需要添加好感度因子，通过获取分布式文件系统
Ceph
检测到的心跳周期，调整集群存储节点的好感度取值，以模块的形式将优化算法进行组织，结合实际需求动态加载，保证技术与业务的相互隔离，进而调整集群存储中数据的分布
。
基于好感度的数据存储优化算法主要由好感度模块和计算模块组成
。
好感度模块运行在
Ceph
的
RADOS
上，由
Paxos
算法维护消息传递时的一致性，计算模块则根据配置文件判断是否需要调用好感度模块并加入好感度因子，进而调整集群中数据的分布情况
。
[0012]进一步地，所述步骤一包括如下步骤：
[0013]步骤
1.1
：部署网络靶场平台；
[0014]具体地，采用手动部署的方式对
OpenStack
核心技术进行部署；
[0015]步骤
1.2
：设计控制节点，将网络节点的功能集成在控制节点上，以提供底层服务的管理支持服务
、
寄出管理服务和扩展管理服务；
[0016]具体地，设计控制节点，通过
Neutron
服务安装在控制节点上，将网络节点的功能集成在控制结点上；提供数据库
、
消息队列等相关组件的安装提供底层服务的管理支持服务
、
与
Keystone、Glance、Nova、Dashboard
等用户管理控制相关的基础管理服务以及面向
Cinder
等可选组件安装的扩展管理服务；
[0017]步骤
1.3
：设计计算机点，在计算节点安装
Cinder
服务组件，将存储节点集成在计算节点上，为网络靶场提供计算
、
网络和监控服务
。
[0018]具体地，首先根据网络靶场平台的整体设计，对网络靶场的控制节点和计算节点进行设计
。
控制节点主要提供三种类型的服务，分别是：给数据库
、
消息队列等相关组件的安装提供底层服务的管理支持服务；与
Keystone、Glance、Nova、Dashboard
等用户管理控制相关的基础管理服务；面向
Cinder
等可选组件安装的扩展管理服务
。
网络节点提供网络服务，由
Ne本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种网络靶场平台构建方法，其特征在于包括如下步骤：步骤一：基于网络靶场平台，设置控制节点和计算节点；步骤二：构建虚拟环境，并通过虚拟化管理工具控制分布式文件系统的存储；步骤三：分布式文件系统利用好感度因子约束数据的存储位置；首先通过配置文件获取存储文件大小的划分情况，然后根据配置信息确定初始化阶段是否需要添加好感度因子，通过获取分布式文件系统检测到的心跳周期，调整集群存储节点的好感度取值，进而调整集群存储中数据的分布
。2.
根据权利要求1所述的一种网络靶场平台构建方法，其特征在于：所述步骤一包括如下步骤：步骤
1.1
：部署网络靶场平台；步骤
1.2
：设计控制节点，将网络节点的功能集成在控制节点上，以提供底层服务的管理支持服务
、
寄出管理服务和扩展管理服务；步骤
1.3
：设计计算机点，将存储节点集成在计算节点上，为网络靶场提供计算
、
网络和监控服务
。3.
根据权利要求2所述的一种网络靶场平台构建方法，其特征在于：所述步骤二中，首先对网络靶场平台的镜像服务组件进行配置，将网络靶场平台中的镜像文件存储到分布式文件系统的对象存储节点中；然后通过卷引导虚拟机启动或挂载，以块存储服务为基础，为网络靶场平台上的卷存储到分布式文件系统的对象存储节点中提供支持，包括如下步骤：步骤
2.1
：创建存储文件所需的存储池，经过数据寻址操作将对象写入分布式文件系统；步骤
2.2
：生效各存储池授权，使分布式文件系统无法为网络靶场平台提供存储服务；步骤
2.3
：在分布式文件系统与镜像服务组件
、
实例创建组件
、
块存储组件融合时，为组件用户创建密钥，授予访问分布式文件系统存储池
。4.
根据权利要求3所述的一种网络靶场平台构建方法，其特征在于：所述步骤
2.1
中，每一个存储池包括多个归置组；分布式文件系统中的寻址流程包括三次映射操作：第一次映射是将存储的文件条带化为一组小粒度对象，建立文件
ID
和对象
ID
的映射关系，其中
INO
为文件的唯一
ID
，
ONO
为切分后某个对象的序号，二者以拼接方式形成的
OID
为对象
ID
；文件
ID
和对象
ID
的映射关系公式如下：
(INO,ONO)
→
OID
第二次映射是将每一个对象独立地映射到一个归置组中，通过一个静态哈希函数将
OID
映射成近似均匀分布的伪随机值，然后同
mask
按位与，得到
PGID
，
mask
的值是归置组的总数减1，映射关系公式如下：
Hash(OID)&mask
→
PGID
第三次映射采用
CRUSH
算法实现归置组映射为实际存储单元的操作，一组实际存储单元共同存储并维护一个归置组中的所有对象，具体公式如下：
CRUSH(PGID)
→
(OSD.0,OSD.1,...,OSD.n)。5.
根据权利要求1所述的一种网络靶场平台构建方法，其特征在于：所述步骤三中，好感度为存储对象对集群的偏好程度，其用于表示存储对象对存储节点的访问频率，每当存储节点被写请求就要增加存储对象对该存储节点的好感度，减少该存储节点被划分为存储
位置的可能性，平衡集群中所有存储节点收到写请求的概率；如果存储节点的两次访问在分布式文件系统的同一个心跳周期内，第二次的访问会加快好感度上升的幅度，继而降低将该存储节点被访问的概率；如果存储节点在多次对象存储时都没有被访问，就降低存储节点的好感度；一旦存储节点的好感度降为零，该存储节点就能在后续的对象存储过程...

【专利技术属性】
技术研发人员：田野，池剑磊，黄福林，王丹妮，
申请(专利权)人：西安电子科技大学杭州研究院，
类型：发明
国别省市：