一种网络靶场攻防场景真实设备自适应接入方法与系统技术方案

本发明专利技术公开了一种网络靶场攻防场景真实设备自适应接入方法与系统，本发明专利技术首先监听交换机上真实设备的接入，在真实设备接入后获取到对应的真实设备信息，将获取的信息与用户选择或输入的真实设备信息进行匹配，保存接入的真实设备信息至数据库中；然后在网络靶场场景启动时，从数据库中获取当前场景中的真实设备信息，并根据真实设备的MAC地址及虚拟网络的VLAN ID生成流量配置规则，根据拓扑信息将流量配置规则发送到虚拟网络所在的各计算节点上；各计算节点将收到的流量配置规则应用到虚拟交换机上，虚拟交换机根据配置的规则进行虚拟机和真实设备之间的流量转发。本发明专利技术能够根据不同的场景动态自适应接入，提高了设备接入的灵活性。

【技术实现步骤摘要】
一种网络靶场攻防场景真实设备自适应接入方法与系统
本专利技术涉及一种网络靶场攻防场景真实设备自适应接入方法与系统，属于网络

技术介绍
网络靶场是指通过虚拟环境与真实设备相结合，模拟仿真出真实网络空间攻防作战环境，能够支撑网络作战能力研究和网络武器装备验证试验平台。真实设备指用户现有的一些物理设备，如交换机、路由器、防火墙、服务器、台式机等，在网络靶场场景中，真实设备的接入能够充分利用用户现有的设备，降低项目成本，并且对于一些特殊的真实设备，可以直接接入到网络靶场场景中去，不用先虚拟化再接入，可以大大降低研发成本。目前网络靶场领域所实现的真实设备接入主要是通过NAT方案或者通过VLAN方案来连接虚拟环境与真实设备的。如图1所示，NAT方案是通过对虚拟设备及真实设备之间进行IP地址或者端口的映射来实现真实设备与虚拟设备之间网络互通的。在NAT方案中真实设备处于同一个网络中，虚拟网络到达真实设备的流量会在服务器上做NAT地址转换，然后再发送到真实设备上；同样的真实设备的流量在进入服务器之后也会相应的做NAT地址转换之后再将流量发送到虚拟网络中去。NAT方案虽然能够实现虚拟设备与真实设备互相通信，但是该方案有几个缺点：1、NAT方案并不能真正的将真实设备接入到虚拟网络中，虚拟设备与真实设备之间通信是通过NAT地址转换来实现的，二者任处于不同的网络。2、真实设备都处于相同的物理网络中，设备地址配置受限。3、物理设备数量也会受到物理网络中可用地址范围的限制。如图2所示，VLAN方案则是通过在虚拟网络与物理交换机上配置相同的VLANID来实现真实设备与虚拟设备之间网络互通的，虚拟网络发往真实设备的流量在经过虚拟交换机（br-vlan）时会打上虚拟网络的VLANID然后再将流量转发到交换机上，这样如果交换机上配置了对应VLANID的access接口即可接收到虚拟网络中发出的流量；同样的真实设备发出的流量在经过服务器br-vlan的时候会通过匹配VLANID将流量转发到对应的虚拟网络中去。但是VLAN方案也有一些明显的缺点：1、VLAN方案虽然能够将真实设备接入到虚拟网络中，但是该方案需要在虚拟网络及物理交换机上配置相同的VLAN，这就需要场景配置人员具有交换机的接入权限，提高密码泄露的风险。2、交换机的配置需要根据不同的攻防场景进行动态配置VLAN及接口，但是目前交换机并没有提供相应的远程配置接口，只能通过COM口、或者SSH等接入到交换机上进行配置。3、真实设备与物理交换机端口对应，真实设备只能接到配置好VLAN的接口上，不能随意接入，如果接错则会导致真实设备与虚拟设备之间不能互相通信，增加了网络调试的复杂度。4、不同交换机的配置命令不一样，网络靶场平台运维人员需要学习不同交换机的配置方法，学习成本较高，并且手动配置出错概率较高。
技术实现思路
专利技术目的：针对上述现有技术存在的问题，本专利技术的目的在于提供一种网络靶场攻防场景真实设备自适应接入方法与系统，能够根据不同的场景动态接入，为真实设备分配不同的网络信息，提高设备接入的灵活性，减少配置出错概率。技术方案：为实现上述专利技术目的，本专利技术所述的一种网络靶场攻防场景真实设备自适应接入方法，包括如下步骤：（1）监听交换机上真实设备的接入，在真实设备接入后，通过分析DHCP请求的流量中包含的物理设备的MAC地址、厂商和主机名，获取到对应的真实设备信息；（2）将获取的信息与用户选择或输入的真实设备信息进行相似度匹配，将匹配度最高的一条真实设备信息，或用户从匹配度最高的多条真实设备信息选择的一条保存至数据库中；（3）在网络靶场场景启动时，从数据库中获取当前场景中的真实设备信息，并根据真实设备的MAC地址及虚拟网络的VLANID生成流量配置规则；（4）根据网络靶场场景拓扑信息，将流量配置规则发送到虚拟网络所在的各计算节点上；（5）各计算节点将收到的流量配置规则应用到虚拟交换机上；对于虚拟机向真实设备发的流量，目标MAC地址为真实设备的MAC地址，当流量通过虚拟交换机的时候，虚拟交换机将流量包中的VLANID去掉后再转发；对于真实设备向虚拟机发的流量，源MAC地址为真实设备的MAC地址，当流量通过虚拟交换机的时候，虚拟交换机会修改数据包中的VLANID信息后再发送到对应的VLAN中。作为优选，真实设备通过DHCP服务分配的IP地址与虚拟设备的IP地址进行互相访问。基于相同专利技术构思，本专利技术所述的一种网络靶场攻防场景真实设备自适应接入系统，包括：自动发现模块，用于监听交换机上真实设备的接入，在真实设备接入后获取到对应的真实设备信息，包括MAC地址、厂商和主机名；以及将获取的信息与用户选择或输入的真实设备信息进行相似度匹配，将匹配度最高的一条真实设备信息，或用户从匹配度最高的多条真实设备信息选择的一条保存至数据库中；自适应配置模块，用于在网络靶场场景启动时，从数据库中获取当前场景中的真实设备信息，并根据真实设备的MAC地址及虚拟网络的VLANID生成流量配置规则；以及根据网络靶场场景拓扑信息，将流量配置规则发送到虚拟网络所在的各计算节点上；以及，自适应配置代理模块，用于将收到的流量配置规则应用到计算节点的虚拟交换机上；对于虚拟机向真实设备发的流量，目标MAC地址为真实设备的MAC地址，当流量通过虚拟交换机的时候，虚拟交换机将流量包中的VLANID去掉后再转发；对于真实设备向虚拟机发的流量，源MAC地址为真实设备的MAC地址，当流量通过虚拟交换机的时候，虚拟交换机会修改数据包中的VLANID信息后再发送到对应的VLAN中；所述自动发现模块和自适应配置模块设于控制节点，所述控制节点为部署有网络靶场平台的服务器；所述自适应配置代理模块设于计算节点，所述计算节点为部署有网络靶场场景中的一台或多台虚拟机的服务器。基于相同专利技术构思，本专利技术所述的一种网络靶场攻防场景真实设备自适应接入系统，包括：控制节点和至少一台计算节点，所述控制节点和计算节点均包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序；所述控制节点上的计算机程序被加载至处理器时实现如下方法：监听交换机上真实设备的接入，在真实设备接入后获取到对应的真实设备信息，包括MAC地址、厂商和主机名；将获取的信息与用户选择或输入的真实设备信息进行相似度匹配，将匹配度最高的一条真实设备信息，或用户从匹配度最高的多条真实设备信息选择的一条保存至数据库中；以及在网络靶场场景启动时，从数据库中获取当前场景中的真实设备信息，并根据真实设备的MAC地址及虚拟网络的VLANID生成流量配置规则；所述计算节点上的计算机程序被加载至处理器时实现如下方法：将收到的流量配置规则应用到虚拟交换机上；对于虚拟机向真实设备发的流量，目标MAC地址为真实设备的MAC地址，当流量通过虚拟交换机的时候，虚拟交换机将流量包中的VLANID去掉后再转发；对于真实设备向虚拟机发的流量，源MAC地址为真实设备的MAC地址，当流量通过虚拟交本文档来自技高网...

【技术保护点】
1.一种网络靶场攻防场景真实设备自适应接入方法，其特征在于，包括如下步骤：/n（1）监听交换机上真实设备的接入，在真实设备接入后，通过分析DHCP请求的流量中包含的物理设备的MAC地址、厂商和主机名，获取到对应的真实设备信息；/n（2）将获取的信息与用户选择或输入的真实设备信息进行相似度匹配，将匹配度最高的一条真实设备信息，或用户从匹配度最高的多条真实设备信息选择的一条保存至数据库中；/n（3）在网络靶场场景启动时，从数据库中获取当前场景中的真实设备信息，并根据真实设备的MAC地址及虚拟网络的VLAN ID生成流量配置规则；/n（4）根据网络靶场场景拓扑信息，将流量配置规则发送到虚拟网络所在的各计算节点上；/n（5）各计算节点将收到的流量配置规则应用到虚拟交换机上；对于虚拟机向真实设备发的流量，目标MAC地址为真实设备的MAC地址，当流量通过虚拟交换机的时候，虚拟交换机将流量包中的VLAN ID去掉后再转发；对于真实设备向虚拟机发的流量，源MAC地址为真实设备的MAC地址，当流量通过虚拟交换机的时候，虚拟交换机会修改数据包中的VLAN ID信息后再发送到对应的VLAN中。/n

【技术特征摘要】
1.一种网络靶场攻防场景真实设备自适应接入方法，其特征在于，包括如下步骤：
（1）监听交换机上真实设备的接入，在真实设备接入后，通过分析DHCP请求的流量中包含的物理设备的MAC地址、厂商和主机名，获取到对应的真实设备信息；
（2）将获取的信息与用户选择或输入的真实设备信息进行相似度匹配，将匹配度最高的一条真实设备信息，或用户从匹配度最高的多条真实设备信息选择的一条保存至数据库中；
（3）在网络靶场场景启动时，从数据库中获取当前场景中的真实设备信息，并根据真实设备的MAC地址及虚拟网络的VLANID生成流量配置规则；
（4）根据网络靶场场景拓扑信息，将流量配置规则发送到虚拟网络所在的各计算节点上；
（5）各计算节点将收到的流量配置规则应用到虚拟交换机上；对于虚拟机向真实设备发的流量，目标MAC地址为真实设备的MAC地址，当流量通过虚拟交换机的时候，虚拟交换机将流量包中的VLANID去掉后再转发；对于真实设备向虚拟机发的流量，源MAC地址为真实设备的MAC地址，当流量通过虚拟交换机的时候，虚拟交换机会修改数据包中的VLANID信息后再发送到对应的VLAN中。


2.根据权利要求1所述的网络靶场攻防场景真实设备自适应接入方法，其特征在于，真实设备通过DHCP服务分配的IP地址与虚拟设备的IP地址进行互相访问。


3.一种网络靶场攻防场景真实设备自适应接入系统，其特征在于，包括：
自动发现模块，用于监听交换机上真实设备的接入，在真实设备接入后获取到对应的真实设备信息，包括MAC地址、厂商和主机名；以及将获取的信息与用户选择或输入的真实设备信息进行相似度匹配，将匹配度最高的一条真实设备信息，或用户从匹配度最高的多条真实设备信息选择的一条保存至数据库中；
自适应配置模块，用于在网络靶场场景启动时，从数据库中获取当前场景中的真实设备信息，并根据真实设备的MAC地址及虚拟网络的VLANID生成流量配置规则；以及根据网络靶场场景拓扑信息，...

【专利技术属性】
技术研发人员：王鹏，谢峥，高庆官，唐海均，高丽彪，程能杰，于靖，
申请(专利权)人：南京赛宁信息技术有限公司，
类型：发明
国别省市：江苏;32