本发明专利技术公开了一种靶场中应用层背景流量调度方法与系统。本发明专利技术支持用户针对网络靶场场景拓扑配置全局流量转发规则,在全局流量转发规则中针对各接收背景流量的靶机节点配置了指定流量转发的目标节点IP地址和转发百分比;靶机节点上的流量代理装置监听规则的变化并获取到与其节点相关的流量转发规则;由流量代理装置接收背景流量并解析报文,获取流量标记以及对应的转发规则,按照规则配置的转发百分比转发给对应的目标节点。本发明专利技术可以更真实的模拟背景流量,并能实现对整个场景中每个节点的流量大小进行精确控制。点的流量大小进行精确控制。点的流量大小进行精确控制。
【技术实现步骤摘要】
一种靶场中应用层背景流量调度方法与系统
[0001]本专利技术涉及一种靶场中应用层背景流量调度方法与系统,属于计算机软件、网络安全领域。
技术介绍
[0002]网络靶场是通过虚拟化技术,模拟仿真出真实网络空间攻防作战环境,能够支撑作战能力研究和武器装备验证的试验平台。为了达到上述目的,在实际的训练或验证过程中,需要对被研究的目标节点(即靶机)施加背景流量以模拟真实环境中在进行网络对抗时的各种干扰信号。大部分网络应用都工作在OSI协议的应用层,所以研究应用层的流量方向具有很高的收益。
[0003]如图1所示,一个典型的背景流量发生系统至少包括如下组件:流量发生装置、靶机节点、流量包统一存储节点、靶场调度系统。靶机节点:该类型节点用来支撑作战能力研究和武器装备验证,为背景流量的接收节点;流量发生装置:流量发生节点,该节点加载指定的背景流量包,并可根据靶场调度系统的指令,按照指定速率向靶机节点发送流量;流量包统一存储节点:背景流量包通常以PCAP包的形式存在,各种类型的PCAP包(如QQ、支付宝)需要定义一个独立的存储节点,各流量发生装置通过此节点获取到实际要发送的流量包;靶场调度系统:定义靶场中各种流量行为,为流量调度的统一入口。
[0004]现有的背景流量发送通常包括:步骤1、用户根据实验需求,构建靶场的网络拓扑。步骤2、启动网络拓扑,在用户步骤1定义的拓扑之外,启动一个流量发生节点用在对拓扑中的机器发送背景流量;该节点用户无感知。步骤3、用户选择目标靶机、以及需要施加到该机器的流量包。通过靶场调度系统触发流量发生行为,流量发生装置加载指定的流量包,并按照一定的速率发送给靶机。
[0005]现有方法存在如下不足:1、流量发生装置只能对单个节点施加流量,而实际使用过程中流量应该在多个网络节点中流转。2、无法从整个网络拓扑层面对流量大小进行全局定义,如A节点承受30%的流量,B节点承受70%的流量。
技术实现思路
[0006]专利技术目的:针对上述现有技术存在的问题,本专利技术目的在于提供一种靶场中应用层背景流量调度方法与系统,使得模拟的背景流量更真实,且能够对场景拓扑中的节点流量大小进行精确控制。
[0007]技术方案:为实现上述专利技术目的,本专利技术采用如下技术方案:一种靶场中应用层背景流量调度方法,包括如下步骤:获取用户针对网络靶场场景拓扑配置的全局流量转发规则并保存到数据存储节点中;所述全局流量转发规则中对每个接收背景流量的靶机节点配置节点流量转发规则,节点流量转发规则中配置有流量标记以及目标节点IP地址和转发百分比;靶机节点上的流量代理装置监听到数据存储节点中对应场景的全局流量转发规
则变化后,获取到与其节点相关的流量转发规则;流量发生装置接收到背景流量执行指令后,从流量包统一存储节点加载实际流量,发送流量到流量转发路径中的第一个靶机节点;第一个靶机节点上的流量代理装置接收背景流量并解析报文,获取流量标记以及对应的转发规则;对于未获取到流量标记或未获取到转发规则的,则不需要转发,丢弃当前流量;对于需要转发的,则按照规则配置的转发百分比转发给对应的目标节点;后续靶机节点上的流量代理装置接收到流量后按照相同的方法解析和转发。
[0008]作为优选,所述全局流量转发规则中配置有一条或多条流量转发路径,每条路径上的第一个靶机节点从流量发生装置接收背景流量。
[0009]作为优选,若节点流量转发规则中的流量标记设置为通配所有流量,则对所有的流量按照规则进行转发。
[0010]作为优选,所述流量代理装置通过生成指定范围内的随机数,并根据随机数落在转发百分比对应的数值范围内确定流量转发的目标节点。
[0011]作为优选,在背景流量包的HTTP头或HTTP请求体中添加流量标记字段。
[0012]作为优选,配置的全局流量转发规则以JSON格式文件保存。
[0013]作为优选,所述流量代理装置的部署包存储在数据存储节点中,在靶机节点初始化时,从数据存储节点中下载并启动流量代理装置。
[0014]作为优选,数据存储节点支持消息注册与订阅,在靶机节点的流量代理装置启动后,在数据存储节点订阅所属网络靶场场景的流量转发规则变化消息。
[0015]一种靶场中应用层背景流量调度系统,包括流量发生装置、流量包统一存储节点,数据存储节点以及部署在各靶机节点上的流量代理装置;所述流量发生装置,用于根据背景流量执行指令,从流量包统一存储节点加载实际流量,发送流量到流量转发路径中的第一个靶机节点;所述数据存储节点,用于存储用户针对网络靶场场景拓扑配置的全局流量转发规则;所述全局流量转发规则中对每个接收背景流量的靶机节点配置节点流量转发规则,节点流量转发规则中配置有流量标记以及目标节点IP地址和转发百分比;所述流量代理装置,用于监听数据存储节点中对应场景的全局流量转发规则是否发生变化,在发生变化后获取到与其节点相关的流量转发规则;以及用于接收背景流量并解析报文,获取流量标记以及对应的转发规则;对于未获取到流量标记或未获取到转发规则的,则不需要转发,丢弃当前流量;对于需要转发的,则按照规则配置的转发百分比转发给对应的目标节点。
[0016]有益效果:与现有技术相比,本专利技术具有如下优点:1、本专利技术通过在靶机节点上部署流量代理装置,实现了流量在场景拓扑中的多次转发,可以更真实的模拟背景流量;2、本专利技术可以通过在靶场调度系统中对流量转发规则进行定义,对流量代理装置推送不同的转发规则,实现对整个场景中每个节点的流量大小进行精确控制。
附图说明
[0017]图1为现有背景流量发生的网络部署图。
[0018]图2为本专利技术实施例的背景流量调度的网络部署图。
[0019]图3为本专利技术实施例中背景流量调度的流程图。
具体实施方式
[0020]下面将结合附图和具体实施例,对本专利技术的技术方案进行清楚、完整的描述。
[0021]本专利技术实施例公开的一种靶场中应用层背景流量调度方法,获取用户针对网络靶场场景拓扑配置的全局流量转发规则并保存到数据存储节点中;靶机节点上的流量代理装置监听到数据存储节点中对应场景的全局流量转发规则变化后,获取到与其节点相关的流量转发规则;流量发生装置接收到背景流量执行指令后,从流量包统一存储节点加载实际流量,发送流量到流量转发路径中的第一个靶机节点;第一个靶机节点上的流量代理装置接收背景流量并解析报文,获取流量标记以及对应的转发规则;对于未获取到流量标记或未获取到转发规则的,则不需要转发,丢弃当前流量;对于需要转发的,则按照规则配置的转发百分比转发给对应的目标节点;后续靶机节点上的流量代理装置接收到流量后按照相同的方法解析和转发。
[0022]本专利技术在靶机节点启动时自动加载流量代理装置,流量代理装置根据自定义规则在应用层转发背景流量,从而实现了流量在靶场的多个靶机节点中自由流转;通过对流量代理装置推送不同的转发规则,可实现对拓扑中所有节点流量大小精确控制的功能。
[0023]本专利技术实施例公开的一种靶场中应用层背本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种靶场中应用层背景流量调度方法,其特征在于,包括如下步骤:获取用户针对网络靶场场景拓扑配置的全局流量转发规则并保存到数据存储节点中;所述全局流量转发规则中对每个接收背景流量的靶机节点配置节点流量转发规则,节点流量转发规则中配置有流量标记以及目标节点IP地址和转发百分比;靶机节点上的流量代理装置监听到数据存储节点中对应场景的全局流量转发规则变化后,获取到与其节点相关的流量转发规则;流量发生装置接收到背景流量执行指令后,从流量包统一存储节点加载实际流量,发送流量到流量转发路径中的第一个靶机节点;第一个靶机节点上的流量代理装置接收背景流量并解析报文,获取流量标记以及对应的转发规则;对于未获取到流量标记或未获取到转发规则的,则不需要转发,丢弃当前流量;对于需要转发的,则按照规则配置的转发百分比转发给对应的目标节点;后续靶机节点上的流量代理装置接收到流量后按照相同的方法解析和转发。2.根据权利要求1所述的靶场中应用层背景流量调度方法,其特征在于,所述全局流量转发规则中配置有一条或多条流量转发路径,每条路径上的第一个靶机节点从流量发生装置接收背景流量。3.根据权利要求1所述的靶场中应用层背景流量调度方法,其特征在于,若节点流量转发规则中的流量标记设置为通配所有流量,则对所有的流量按照规则进行转发。4.根据权利要求1所述的靶场中应用层背景流量调度方法,其特征在于,所述流量代理装置通过生成指定范围内的随机数,并根据随机数落在转发百分比对应的数值范围内确定流量转发的目标节点。5.根据权利要求1所述的靶场中应用层背景流量调度方法,其特征在于,在背景流量包的HTTP头或HTTP请求体中添加流量标记字段。6.根据权利要求1所述的靶场中应...
【专利技术属性】
技术研发人员:谢峥,殷庆荣,高庆官,王国伟,
申请(专利权)人:南京赛宁信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。