网络靶场快速互联系统与方法

技术领域

本发明涉及网络靶场快速互联系统与方法，属于网络技术领域。

背景技术

网络靶场是指通过虚拟环境与真实设备相结合，模拟仿真出真实网络空间攻防作战环境，能够支撑作战能力研究和武器装备验证的试验平台。随着信息时代的不断发展，网络环境日益复杂，不同厂商不同场景研制了不同的网络靶场，为了模拟复杂的网络环境，需要对多网络靶场进行互联共同构建网络拓扑场景。

目前多网络靶场互联的部署图如图1所示，具体场景编排流程如下：1）各个网络靶场的计算节点通过交换机Trunk口相连，保证vlan网络模式下帧数据可传输。2）管理员通过网络靶场总控制系统编制场景网络拓扑图。3）网络靶场总控制系统与各网络靶场控制节点通信收集各个网络靶场的部署信息，包含计算节点在数据网络下的IP地址。4）网络靶场总控制系统根据网络设备节点的特性及网络特性将网络设备节点分配到各个网络靶场，如防火墙镜像虚拟机分配到防火墙特性的网络靶场等，将不同的网络设备节点标记到不同的网络靶场。5）网络靶场总控制系统下发带标记的场景网络拓扑图信息到各个网络靶场控制节点。6）网络靶场控制节点根据标记归属的场景网络拓扑图信息创建分配的虚拟局域网及网络设备节点。7）网络靶场控制节点识别与标记归属的网络设备节点连通的归属其他网络靶场的网络设备节点的IP地址、MAC地址。8）网络靶场控制节点将相邻网络设备节点配置信息及对应网络靶场计算节点部署信息发送到计算节点的协议转换模块。9）网络靶场协议转换模块监听虚拟交换机帧数据进行协议转换发送。根据相邻网络设备节点IP地址、MAC地址识别发送到相连网络设备节点的帧数据进行协议转换，根据目标网络靶场的部署信息转换至目标网络靶场的网络模式下的帧数据重新通过目标网络靶场下对应的虚拟网卡及虚拟交换机发送。10）网络靶场协议模块配置虚拟交换机不过滤来自相邻网络设备节点的帧数据。根据相邻网络设备节点IP地址、MAC地址、对应网络靶场计算节点IP地址、对应网络靶场计算节点MAC地址配置虚拟交换机的转发规则，保证帧数据可以被正常转发。11）完成场景编排。

上述现有多网络靶场互联的架构存在如下问题：1、协议拓展性差，每个网络靶场都需要开发实现复杂的协议转换模块，网络模式多种多样，每个网络靶场都需要实现不同的网络协议转换模块，每当新增一种网络模式，每个网络靶场都需要开发更新各自的协议转换模块。2、部署拓展性差，为了保证网络靶场支持vlan网络模式，各个网络靶场计算节点都需要通过交换机Trunk口支持二层相连，网络靶场之间无法通过路由器相连。3、部署耦合性强，灵活性差，当其中一个网络靶场调整自己的部署方案时，都需要将调整同步到其他网络靶场，且每个网络靶场的部署方案调整时都需要考虑对其他网络靶场的影响。

发明内容

发明目的：针对上述现有技术存在的问题，本发明目的在于提供一种网络靶场快速互联系统与方法，以提升网络靶场融合的便捷性、灵活性，以及网络靶场之间的互操作性和协议的拓展性。

技术方案：为实现上述发明目的，本发明提供的一种网络靶场快速互联系统，包括部署在协议转换节点上的各网络靶场的相邻计算节点以及协议转换模块；每个网络靶场的相邻计算节点与其所归属的网络靶场的控制节点和计算节点互联互通；所述网络靶场的相邻计算节点上为靶场互联场景创建对应的相邻网络设备节点，所述相邻网络设备节点由场景中不归属于该网络靶场且与该网络靶场相连的网络设备节点合并而成，合并前的网络设备节点的网络配置信息对应于合并后的相邻网络设备节点上不同虚拟网卡的网络配置信息；所述协议转换模块，用于监听并截获所有网络靶场的相邻网络设备节点上所有虚拟网卡的帧数据，确定帧数据所在场景及目标所在网络靶场，根据目标所在网络靶场的虚拟局域网配置信息对帧数据进行协议转换，并确定源地址对应的网络设备节点在目标网络靶场中对应的相邻网络设备节点的虚拟网卡，并将经过协议转换的帧数据通过该虚拟网卡发送。

进一步地，所述网络靶场快速互联系统，还包括场景网络拓扑简化模块以及相邻网络设备节点部署模块；所述场景网络拓扑简化模块，用于针对各个网络靶场简化带归属网络靶场标记的场景网络拓扑图，将不归属当前网络靶场且相连的网络设备节点合并成一个相邻网络设备节点，同时合并网络配置信息；所述相邻网络设备节点部署模块，用于在网络靶场控制节点根据场景网络拓扑图创建分配的虚拟局域网及网络设备节点后，将场景对应的合并后的唯一的相邻网络设备节点创建在相邻计算节点，根据相邻网络设备节点合并的网络配置信息配置并加载对应的虚拟网卡。

进一步地，所述协议转换模块根据截获的帧数据中的源IP地址、源MAC地址、协议中网段ID判断帧数据所在场景，再根据目标IP地址、目标MAC地址查询出目标所在网络靶场。

进一步地，所述相邻网络设备节点采用虚拟机或容器的方式。

基于相同的发明构思，本发明提供的一种网络靶场快速互联方法，包括如下步骤：

步骤1：在协议转换节点上为各网络靶场安装相邻计算节点，所述相邻计算节点与其所归属的网络靶场的控制节点和计算节点互联互通；

步骤2：针对各个网络靶场简化带归属网络靶场标记的场景网络拓扑图，将不归属当前网络靶场且相连的网络设备节点合并成一个相邻网络设备节点，同时合并网络配置信息；

步骤3：各网络靶场控制节点在根据场景网络拓扑图创建分配的虚拟局域网及网络设备节点后，将场景对应的合并后的唯一的相邻网络设备节点创建在相邻计算节点，根据相邻网络设备节点合并的网络配置信息配置并加载对应的虚拟网卡；

步骤4：在协议转换节点上监听并截获所有网络靶场的相邻网络设备节点上所有虚拟网卡的帧数据，确定帧数据所在场景及目标所在网络靶场，根据目标所在网络靶场的虚拟局域网配置信息对帧数据进行协议转换，并确定源地址对应的网络设备节点在目标网络靶场中对应的相邻网络设备节点的虚拟网卡，并将经过协议转换的帧数据通过该虚拟网卡发送。

有益效果：本发明设计在协议转换节点统一安装所有网络靶场的相邻计算节点解耦了网络靶场的部署，各个网络靶场只需要保证内部互联互通即可，不需要考虑其他网络靶场的网络部署方案，对于不采用vlan二层网络模式的网络靶场可以采用路由器互联互通，而不受限于交换机。在协议转换节点统一协议转换模块，各个网络靶场不需要开发复杂的协议转换模块，网络靶场保证自有网络模式即可，网络协议的拓展由统一协议转换模块进行处理。与现有技术相比，本发明具有如下优点：

1、提升了网络靶场之间的互操作性，提升了网络模式协议的拓展性。通过协议转换节点统一的协议转换模块完成网络靶场之间的通信协议转换，网络靶场不需要关注其他网络靶场的部署方案及网络模式，极大提升了网络靶场之间的互操作性。

2、提升了网络靶场融合的便捷性、灵活性。通过在协议转换节点安装各自网络靶场计算节点的方式完成网络靶场的接入工作，极大降低了网络靶场接入的工作量。

3、提升了各自网络靶场的独立性、拓展性。通过协议转换节点解耦了网络靶场之间的关联，网络靶场可以仅关注归属的控制节点和计算节点，更好地推动了网络靶场自身的规划发展。

附图说明

图1为现有多网络靶场互联的部署图。

图2为应用本发明实施例的多网络靶场互联的部署图。

具体实施方式

下面将结合附图和具体实施例，对本发明的技术方案进行清楚、完整的描述。

如图2所示，本发明实施例公开的一种网络靶场快速互联系统，在协议转换节点上的部署各网络靶场的相邻计算节点以及协议转换模块；每个网络靶场的相邻计算节点与其所归属的网络靶场的控制节点和计算节点互联互通；网络靶场的相邻计算节点上为靶场互联场景创建对应的相邻网络设备节点，相邻网络设备节点由场景中不归属于该网络靶场且与该网络靶场相连的网络设备节点合并而成，合并前的网络设备节点的网络配置信息对应于合并后的相邻网络设备节点上不同虚拟网卡的网络配置信息；协议转换模块，用于监听并截获所有网络靶场的相邻网络设备节点上所有虚拟网卡的帧数据，确定帧数据所在场景及目标所在网络靶场，根据目标所在网络靶场的虚拟局域网配置信息对帧数据进行协议转换，并确定源地址对应的网络设备节点在目标网络靶场中对应的相邻网络设备节点的虚拟网卡，并将经过协议转换的帧数据通过该虚拟网卡发送。

具体实施时，可在网络靶场总控制系统增加场景网络拓扑简化模块，用于针对各个网络靶场简化带归属网络靶场标记的场景网络拓扑图，将不归属当前网络靶场且相连的网络设备节点合并成一个相邻网络设备节点，同时合并网络配置信息。网络靶场控制节点上增加相邻网络设备节点部署模块；用于在网络靶场控制节点根据场景网络拓扑图创建分配的虚拟局域网及网络设备节点后，将场景对应的合并后的唯一的相邻网络设备节点创建在相邻计算节点，根据相邻网络设备节点合并的网络配置信息配置并加载对应的虚拟网卡。

基于相同的发明构思，本发明实施例公开的一种网络靶场快速互联方法，包括如下步骤：

步骤1：在协议转换节点上为各网络靶场安装相邻计算节点，相邻计算节点与其所归属的网络靶场的控制节点和计算节点互联互通；

步骤2：针对各个网络靶场简化带归属网络靶场标记的场景网络拓扑图，将不归属当前网络靶场且相连的网络设备节点合并成一个相邻网络设备节点，同时合并网络配置信息；

步骤3：各网络靶场控制节点在根据场景网络拓扑图创建分配的虚拟局域网及网络设备节点后，将场景对应的合并后的唯一的相邻网络设备节点创建在相邻计算节点，根据相邻网络设备节点合并的网络配置信息配置并加载对应的虚拟网卡；

步骤4：在协议转换节点上监听并截获所有网络靶场的相邻网络设备节点上所有虚拟网卡的帧数据，确定帧数据所在场景及目标所在网络靶场，根据目标所在网络靶场的虚拟局域网配置信息对帧数据进行协议转换，并确定源地址对应的网络设备节点在目标网络靶场中对应的相邻网络设备节点的虚拟网卡，并将经过协议转换的帧数据通过该虚拟网卡发送。

基于本发明实施例的网络靶场互联场景的编排流程如下：

1）所有网络靶场都在协议转换节点安装各自的相邻计算节点，网络靶场只需保证归属下的计算节点及控制节点互联互通即可，可采用路由器进行互联，只针对采用vlan网络的网络靶场受限必须采用交换机连通。比如基于OpenStack的网络靶场，相邻计算节点需要安装计算服务compute-service、网络代理服务network-agent-service，并配置控制节点接入地址，保证计算节点的服务在网络靶场管理平面的连通。

2）网络靶场总控制系统编制场景网络拓扑图。管理员通过网络靶场总控制系统编制场景网络拓扑图，拓扑图主要包括虚拟局域网及网络设备节点（虚拟机、虚拟路由器、DHCP服务器），其中虚拟局域网配置包含局域网网段、网络类型（如vlan/vxlan/gre等）、网段ID（如，vlan网络模式下网段ID为vlan id，vxlan网络模式下网段ID为vxlan id，网络通过网络类型与网段ID来唯一标识，保证不同场景下的网络类型及网段ID不同时重复），虚拟机配置包含镜像、CPU规格、内存规格、硬盘规格、分配IP地址、分配MAC地址、网关、子网掩码，虚拟路由器配置包括分配IP地址、分配MAC地址，DHCP服务器配置包括分配IP地址、分配MAC地址。

3）网络靶场总控制系统收集各个网络靶场的部署信息，将部署信息与场景网络拓扑信息一起同步到协议转换节点的协议转换模块。网络靶场总控制系统与各网络靶场控制节点通信收集各个网络靶场的部署信息，包含计算节点在数据网络下的IP地址。

4）网络靶场总控制系统标记场景网络拓扑图归属网络靶场。网络靶场总控制系统根据网络设备节点的特性及网络特性将网络设备节点分配到各个网络靶场，如防火墙镜像虚拟机分配到防火墙特性的网络靶场等，将不同的网络设备节点标记到不同的网络靶场。

5）网络靶场总控制系统针对各个网络靶场简化带标记的场景网络拓扑图信息并下发到各个网络靶场控制节点。网络靶场总控制系统针对各个网络靶场简化场景网络拓扑图，将不归属当前网络靶场且直接相连的网络设备节点合并成一个相邻网络设备节点（如虚拟机），同时合并网络配置信息，等同于一台虚拟机安装多块网卡，加载不同网络配置，连接不同虚拟局域网。

6）网络靶场控制节点根据简化的带标记的场景网络拓扑图信息创建分配的虚拟局域网及网络设备节点，并将唯一的相邻网络设备节点创建在相邻计算节点，保证虚拟网卡可以成功加载即可，镜像、CPU规格、内存规格、硬盘规格的选择没有影响，保证尽量节约资源即可。相邻网络设备节点可以是虚拟机，也可以采用容器的方式，保证网络通畅即可。

7）协议转换节点协议转换模块监听并截获节点上所有虚拟网卡的帧数据进行协议转换发送。根据源IP地址、源MAC地址、协议中网段ID判断帧数据所在场景，又根据目标IP地址、目标MAC地址查询出目标所在网络靶场，根据目标所在网络靶场及在该网络靶场的虚拟局域网配置信息对帧数据进行协议转换，根据源IP地址、源MAC地址确定源网络设备在目标网络靶场中对应的相邻网络设备节点的虚拟网卡，将经过协议转换的帧数据通过该虚拟网卡发送。其中协议转换可以采用解包封包方式和直接修改帧数据方式，解包封包方式是将数据从数据链路层协议数据解包到传输层协议数据或应用层协议数据，再将数据重新按照新协议封装到指定层协议数据；直接修改帧数据方式针对新旧协议在同一层，协议格式比较相近，可直接修改帧数据的情况，协议转换主要信息包含源IP地址、源MAC地址、目标IP地址、目标MAC地址、网段ID。

8）完成场景编排。