虚实结合网络靶场环境的初始化方法和复位方法转让专利
申请号 : CN202011612811.9
文献号 : CN112311816B
文献日 : 2021-03-30
发明人 : 傅涛 , 郭超 , 郭金辉 , 张冠阳 , 付荣
申请人 : 博智安全科技股份有限公司
摘要 :
本发明公开了一种虚实结合网络靶场环境的初始化方法和复位方法,包括:确定网络靶场需要构建的场景中的每个网络设备网元;设定每个网络设备网元的初始化参数;初始化参数包括类型、是否需要加载指定配置启动文件以及拓扑关系;指定配置启动文件由场景中涉及的网络配置厂商的网络设备网元自动生成;类型包括虚拟化网络设备和实体化网络设备;判断每个网络设备网元的类型,根据类型及其他初始化参数初始化网络靶场。本申请将不同场景的配置实例,与网络设备基础镜像和版本分离,基于场景灵活加载配置启动文件满足网络靶场环境的构建和复位,能有效避免现有技术中网络靶场环境占用磁盘空间大、实体化场景固化且需要人工干预复位的缺陷。
权利要求 :
1.一种虚实结合网络靶场环境的初始化方法,其特征在于,包括:确定网络靶场需要构建的场景中的每个网络设备网元;
设定每个所述网络设备网元的初始化参数;所述初始化参数包括类型、是否需要加载指定配置启动文件以及拓扑关系;所述指定配置启动文件由所述场景中涉及的网络配置厂商的网络设备网元自动生成;所述类型包括虚拟化网络设备和实体化网络设备;
判断每个所述网络设备网元的类型,根据所述类型及其他初始化参数初始化所述网络靶场;
所述设定每个所述网络设备网元的初始化参数,具体为:设定每个所述网络设备网元的类型,所述类型包括虚拟化网络设备和实体化网络设备,当所述类型为虚拟化网络设备时,设定所述虚拟化网络设备启动时加载的镜像;
设定每个所述网络设备网元启动时,是否需要加载指定配置启动文件,所述指定配置启动文件由所述场景中涉及的网络配置厂商的网络设备网元自动生成并存储于所述网络设备网元的配置管理中心;
设定所述网络设备网元间的拓扑关系;
判断每个所述网络设备网元的类型,根据所述类型及其他初始化参数初始化所述网络靶场,具体为:
判断每个所述网络设备网元的类型,当所述网络设备网元的类型为虚拟化网络设备时,启动所述虚拟化网络设备的镜像,判断所述镜像的类型,根据所述镜像的类型,通过对应的端口加载配置启动文件,完成网络靶场场景的初始化;
当所述网络设备网元的类型为实体化网络设备时,直接加载配置启动文件,完成网络靶场场景的初始化;
所述配置启动文件包括指定配置启动文件和默认配置启动文件。
2.根据权利要求1所述的虚实结合网络靶场环境的初始化方法,其特征在于,所述当所述网络设备网元的类型为虚拟化网络设备时,启动所述虚拟化网络设备的镜像,具体为:当所述网络设备网元的类型为虚拟化网络设备时,通过虚拟化技术启动所述虚拟化网络设备的镜像,并将所述虚拟化网络设备的串口映射到宿主机的特定端口,所述宿主机为实体化网络设备。
3.根据权利要求2所述的虚实结合网络靶场环境的初始化方法,其特征在于,所述虚拟化技术包括OpenStack、KVM、VMware、Virtualbox、Qemu、IoL、Dynamips、Docker。
4.根据权利要求2所述的虚实结合网络靶场环境的初始化方法,其特征在于,所述判断所述镜像的类型,根据所述镜像的类型,通过对应的端口加载配置启动文件,具体为:当所述镜像的类型属于Qemu、IoL或Dynamips支持的镜像格式时,所述虚拟化网络设备通过所述串口连接所述宿主机,从所述宿主机加载配置启动文件;
当所述镜像的类型属于Docker支持的镜像格式时,判断所述虚拟化网络设备是否需要加载指定配置启动文件,如是,则通过所述虚拟化网络设备的容器命令行接口从所述宿主机的配置管理中心获取指定配置启动文件,并拷贝或映射到当前虚拟化网络设备的配置启动文件存放路径中;如否,则通过当前虚拟化网络设备的对外接口加载默认的配置启动文件。
5.根据权利要求4所述的虚实结合网络靶场环境的初始化方法,其特征在于,所述虚拟化网络设备通过所述串口连接所述宿主机,从所述宿主机加载配置启动文件,具体为:所述虚拟化网络设备通过所述串口连接所述宿主机;
判断当前所述虚拟化网络设备是否需要加载指定配置启动文件,如是,则通过其管理口从所述宿主机的配置管理中心获取指定配置启动文件,存储于当前虚拟化网络设备的配置启动文件存放路径中;如否,则通过当前虚拟化网络设备的对外接口加载默认的配置启动文件。
6.根据权利要求1所述的虚实结合网络靶场环境的初始化方法,其特征在于,所述当所述网络设备网元的类型为实体化网络设备时,直接加载配置启动文件,具体为:当所述网络设备网元的类型为实体化网络设备时,判断所述实体化网络设备是否存在串口,如是,则通过串口连接其拓扑关系内的其他实体化网络设备;如否,则通过其管理口连接其拓扑关系内的其他实体化网络设备。
7.根据权利要求6所述的虚实结合网络靶场环境的初始化方法,其特征在于,在所述判断所述实体化网络设备是否存在串口之后,还包括:判断所述实体化网络设备是否需要加载指定配置启动文件,如是,则通过所述实体化网络设备的管理口从其配置管理中心获取指定配置启动文件;如否,则通过当前所述实体化网络设备的对外接口加载默认的配置启动文件。
8.一种虚实结合网络靶场环境的复位方法,其特征在于,当所述网络靶场受到攻击后,执行权利要求1 7任一项所述的方法复位所述网络靶场。
~
说明书 :
虚实结合网络靶场环境的初始化方法和复位方法
技术领域
[0001] 本发明涉及信息安全技术领域,具体涉及一种网络靶场环境的初始化方法和复位方法,尤其涉及一种基于虚实结合技术网络靶场环境的初始化方法和复位方法。
背景技术
[0002] 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。但是
现在全球网络安全形势严峻,层出不穷的网络安全事件频发,在日益复杂和庞大的网络结
构中,任何行业都不能在日益泛滥的网络攻击下幸免。无论是军队为了网络空间的军事训
练和战术战略,还是公共服务行业为了应对网络攻击的响应演练,又或者关键基建上线前
为了确保性能和安全测试评估,都离不开大规模基于虚实结合技术高度仿真的网络安全靶
场支撑。
现在全球网络安全形势严峻,层出不穷的网络安全事件频发,在日益复杂和庞大的网络结
构中,任何行业都不能在日益泛滥的网络攻击下幸免。无论是军队为了网络空间的军事训
练和战术战略,还是公共服务行业为了应对网络攻击的响应演练,又或者关键基建上线前
为了确保性能和安全测试评估,都离不开大规模基于虚实结合技术高度仿真的网络安全靶
场支撑。
[0003] 在模拟网络攻防演练过程中,针对网络安全靶场的环境快速构建和恢复,是各行业对网络靶场产品的共性需求和刚性需求。然而,目前针对网络靶场环境中网络设备的初
始化构建方法和被攻击后的快速复位方法,存在以下几方面的不足:
始化构建方法和被攻击后的快速复位方法,存在以下几方面的不足:
[0004] 当前网络靶场环境中针对虚拟化网络设备的初始化构建,一般采用虚拟机加载配置后生成快照的方法;针对虚拟化网络设备的攻击复位,一般采用重新加载虚拟机快照的
方法。在虚实结合的网络靶场环境中,需要占用大量存储引擎的磁盘空间存放不同场景下
的虚拟化镜像文件。
方法。在虚实结合的网络靶场环境中,需要占用大量存储引擎的磁盘空间存放不同场景下
的虚拟化镜像文件。
[0005] 当前网络靶场环境中针对实体化网络设备的初始化构建,一般采用一套实体化设备固化一个网络攻防场景;针对实体化网络设备的攻击复位,一般采用被攻击后断电重启
的方法。在虚实结合的网络靶场环境中,一方面需要花费大量资金购买实体化设备,另一方
面针对实体化设备的攻击复位需要人工干预。
的方法。在虚实结合的网络靶场环境中,一方面需要花费大量资金购买实体化设备,另一方
面针对实体化设备的攻击复位需要人工干预。
发明内容
[0006] 本申请的目的在于,提供一种虚实结合网络靶场环境的初始化方法和复位方法,以解决上述背景技术中所提出的技术问题。
[0007] 本发明的第一实施例提供了一种虚实结合网络靶场环境的初始化方法,包括:
[0008] 确定网络靶场需要构建的场景中的每个网络设备网元;
[0009] 设定每个所述网络设备网元的初始化参数;所述初始化参数包括类型、是否需要加载指定配置启动文件以及拓扑关系;所述指定配置启动文件由所述场景中涉及的网络配
置厂商的网络设备网元自动生成;所述类型包括虚拟化网络设备和实体化网络设备;
置厂商的网络设备网元自动生成;所述类型包括虚拟化网络设备和实体化网络设备;
[0010] 判断每个所述网络设备网元的类型,根据所述类型及其他初始化参数初始化所述网络靶场。
[0011] 优选地,所述设定每个所述网络设备网元的初始化参数,具体为:
[0012] 设定每个所述网络设备网元的类型,所述类型包括虚拟化网络设备和实体化网络设备,当所述类型为虚拟化网络设备时,设定所述虚拟化网络设备启动时加载的镜像;
[0013] 设定每个所述网络设备网元启动时,是否需要加载指定配置启动文件,所述指定配置启动文件由所述场景中涉及的网络配置厂商的网络设备网元自动生成并存储于所述
网络设备网元的配置管理中心;
网络设备网元的配置管理中心;
[0014] 设定所述网络设备网元间的拓扑关系。
[0015] 优选地,判断每个所述网络设备网元的类型,根据所述类型及其他初始化参数初始化所述网络靶场,具体为:
[0016] 判断每个所述网络设备网元的类型,当所述类型为虚拟化网络设备时,启动所述虚拟化网络设备的镜像,判断所述镜像的类型,根据所述镜像的类型,通过对应的端口加载
配置启动文件,完成网络靶场场景的初始化;
配置启动文件,完成网络靶场场景的初始化;
[0017] 当所述类型为实体化网络设备时,直接加载配置启动文件,完成网络靶场场景的初始化;
[0018] 所述配置启动文件包括指定配置启动文件和默认配置启动文件。
[0019] 优选地,所述当所述类型为虚拟化网络设备时,启动所述虚拟化网络设备的镜像,具体为:
[0020] 当所述类型为虚拟化网络设备时,通过虚拟化技术启动所述虚拟化网络设备的镜像,并将所述虚拟化网络设备的串口映射到宿主机的特定端口,所述宿主机为实体化网络
设备。
设备。
[0021] 优选地,所述虚拟化技术包括OpenStack、KVM、VMware、Virtualbox、Qemu、IoL、Dynamips、Docker。
[0022] 优选地,所述判断所述镜像的类型,根据所述镜像的类型,通过对应的端口加载配置启动文件,具体为:
[0023] 当所述镜像的类型属于Qemu、IoL或Dynamips支持的镜像格式时,所述虚拟化网络设备通过所述串口连接所述宿主机,从所述宿主机加载配置启动文件;
[0024] 当所述镜像的类型属于Docker支持的镜像格式时,判断所述虚拟化网络设备是否需要加载指定配置启动文件,如是,则通过所述虚拟化网络设备的容器命令行接口从所述
宿主机的配置管理中心获取指定配置启动文件,并拷贝或映射到当前虚拟化网络设备的配
置启动文件存放路径中;如否,则通过当前虚拟化网络设备的对外接口加载默认的配置启
动文件。
宿主机的配置管理中心获取指定配置启动文件,并拷贝或映射到当前虚拟化网络设备的配
置启动文件存放路径中;如否,则通过当前虚拟化网络设备的对外接口加载默认的配置启
动文件。
[0025] 优选地,所述虚拟化网络设备通过所述串口连接所述宿主机,从所述宿主机加载配置启动文件,具体为:
[0026] 所述虚拟化网络设备通过所述串口连接所述宿主机;
[0027] 判断当前所述虚拟化网络设备是否需要加载指定配置启动文件,如是,则通过其管理口从所述宿主机的配置管理中心获取指定配置启动文件,存储于当前虚拟化网络设备
的配置启动文件存放路径中;如否,则通过当前虚拟化网络设备的对外接口加载默认的配
置启动文件。
的配置启动文件存放路径中;如否,则通过当前虚拟化网络设备的对外接口加载默认的配
置启动文件。
[0028] 优选地,所述当所述类型为实体化网络设备时,直接加载配置启动文件,具体为:
[0029] 当所述类型为实体化网络设备时,判断所述实体化网络设备是否存在串口,如是,则通过串口连接其拓扑关系内的其他实体化网络设备;如否,则通过其管理口连接其拓扑
关系内的其他实体化网络设备。
关系内的其他实体化网络设备。
[0030] 优选地,在所述判断所述实体化网络设备是否存在串口之后,还包括:
[0031] 判断所述实体化网络设备是否需要加载指定配置启动文件,如是,则通过所述实体化网络设备的管理口从其配置管理中心获取指定配置启动文件;如否,则通过当前所述
实体化网络设备的对外接口加载默认的配置启动文件。
实体化网络设备的对外接口加载默认的配置启动文件。
[0032] 本发明的第二实施例提供了一种虚实结合网络靶场环境的复位方法,当所述网络靶场受到攻击后,执行上述方法复位所述网络靶场。
[0033] 本发明的虚实结合网络靶场环境的初始化方法和复位方法,相较于现有技术,具有如下有益效果:
[0034] 本申请将不同场景的配置实例,与网络设备基础镜像和版本分离,基于场景灵活加载配置启动文件满足网络靶场环境的构建和复位,能有效避免现有技术中网络靶场环境
占用磁盘空间大、实体化场景固化且需要人工干预复位的缺陷。针对虚拟化网络设备采用
启动网络设备镜像,通过串口、管理口和容器命令行接口加载特定场景的配置启动文件初
始化和复位网络靶场场景,存储引擎只保存设备厂商基础镜像文件,减少存储引擎占用磁
盘空间。针对实体化网络设备采用启动网络设备版本,通过串口和管理口加载特定场景的
配置启动文件生成网络靶场场景,实体化设备通过不同配置启动文件初始化不同网络靶场
场景,增加实体化网络设备的复用性。针对实体化网络设备采用启动网络设备版本,网络靶
场即使被攻击也不影响串口连接和配置,通过串口或管理口重新加载该场景的配置启动文
件复位网络靶场场景,达到网络靶场场景的快速复位。
占用磁盘空间大、实体化场景固化且需要人工干预复位的缺陷。针对虚拟化网络设备采用
启动网络设备镜像,通过串口、管理口和容器命令行接口加载特定场景的配置启动文件初
始化和复位网络靶场场景,存储引擎只保存设备厂商基础镜像文件,减少存储引擎占用磁
盘空间。针对实体化网络设备采用启动网络设备版本,通过串口和管理口加载特定场景的
配置启动文件生成网络靶场场景,实体化设备通过不同配置启动文件初始化不同网络靶场
场景,增加实体化网络设备的复用性。针对实体化网络设备采用启动网络设备版本,网络靶
场即使被攻击也不影响串口连接和配置,通过串口或管理口重新加载该场景的配置启动文
件复位网络靶场场景,达到网络靶场场景的快速复位。
[0035] 本申请既支持纯虚拟化网络靶场环境的初始化和复位,又支持纯实体化网络靶场环境的初始化和复位,还支持虚实结合网络靶场环境的初始化和复位。
附图说明
[0036] 图1为本发明虚实结合网络靶场环境的初始化方法的流程图;
[0037] 图2为本发明实施例的总流程图;
[0038] 图3为本发明实施例的虚实结合网络靶场结构框图;
[0039] 图4为本发明实施例的自动生成配置启动文件的流程图;
[0040] 图5为本发明实施例的编排网络靶场场景的流程图;
[0041] 图6为本发明实施例的自动初始化网络靶场场景和自动复位网络靶场场景流程图。
具体实施方式
[0042] 以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本发明实施例。然而,本领域的技术人员应当清楚,在没有这些具体
细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的系统、装置、电
路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的系统、装置、电
路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
[0043] 下面结合实施例详述本发明,但本发明并不局限于这些实施例。
[0044] 图1为本发明虚实结合网络靶场环境的初始化方法的流程图。
[0045] 本发明第一实施例的虚实结合网络靶场环境的初始化方法,包括:
[0046] 步骤1、确定网络靶场需要构建的场景中的每个网络设备网元;
[0047] 步骤2、设定每个网络设备网元的初始化参数;初始化参数包括类型、是否需要加载指定配置启动文件以及拓扑关系;指定配置启动文件由场景中涉及的网络配置厂商的网
络设备网元自动生成;类型包括虚拟化网络设备和实体化网络设备,该步骤具体为:
络设备网元自动生成;类型包括虚拟化网络设备和实体化网络设备,该步骤具体为:
[0048] 设定每个所述网络设备网元的类型,所述类型包括虚拟化网络设备和实体化网络设备,当所述类型为虚拟化网络设备时,设定所述虚拟化网络设备启动时加载的镜像;
[0049] 设定每个所述网络设备网元启动时,是否需要加载指定配置启动文件,所述指定配置启动文件由所述场景中涉及的网络配置厂商的网络设备网元自动生成并存储于所述
网络设备网元的配置管理中心;
网络设备网元的配置管理中心;
[0050] 设定所述网络设备网元间的拓扑关系。
[0051] 步骤3、判断每个网络设备网元的类型,根据所述类型及其他初始化参数初始化所述网络靶场,具体为:
[0052] 步骤3.1、判断每个所述网络设备网元的类型,当所述类型为虚拟化网络设备时,启动所述虚拟化网络设备的镜像,判断所述镜像的类型,根据所述镜像的类型,通过对应的
端口加载配置启动文件,完成网络靶场场景的初始化;其中配置启动文件包括指定配置启
动文件和默认配置启动文件。该步骤具体为:
端口加载配置启动文件,完成网络靶场场景的初始化;其中配置启动文件包括指定配置启
动文件和默认配置启动文件。该步骤具体为:
[0053] 当所述类型为虚拟化网络设备时,启动所述虚拟化网络设备的镜像,具体为:
[0054] 当所述类型为虚拟化网络设备时,通过虚拟化技术启动所述虚拟化网络设备的镜像,并将所述虚拟化网络设备的串口映射到宿主机的特定端口,所述宿主机为实体化网络
设备。优选地,所述虚拟化技术包括OpenStack、KVM、VMware、Virtualbox、Qemu、IoL、
Dynamips、Docker。
设备。优选地,所述虚拟化技术包括OpenStack、KVM、VMware、Virtualbox、Qemu、IoL、
Dynamips、Docker。
[0055] 其中,所述判断所述镜像的类型,根据所述镜像的类型,通过对应的端口加载配置启动文件,具体为:
[0056] 当所述镜像的类型属于Qemu、IoL或Dynamips支持的镜像格式时,所述虚拟化网络设备通过所述串口连接所述宿主机,从所述宿主机加载配置启动文件;
[0057] 当所述镜像的类型属于Docker支持的镜像格式时,判断所述虚拟化网络设备是否需要加载指定配置启动文件,如是,则通过所述虚拟化网络设备的容器命令行接口从所述
宿主机的配置管理中心获取指定配置启动文件,并拷贝或映射到当前虚拟化网络设备的配
置启动文件存放路径中;如否,则通过当前虚拟化网络设备的对外接口加载默认的配置启
动文件。
宿主机的配置管理中心获取指定配置启动文件,并拷贝或映射到当前虚拟化网络设备的配
置启动文件存放路径中;如否,则通过当前虚拟化网络设备的对外接口加载默认的配置启
动文件。
[0058] 本申请中的虚拟化网络设备通过所述串口连接所述宿主机,从所述宿主机加载配置启动文件,具体为:
[0059] 所述虚拟化网络设备通过所述串口连接所述宿主机;
[0060] 判断当前所述虚拟化网络设备是否需要加载指定配置启动文件,如是,则通过其管理口从所述宿主机的配置管理中心获取指定配置启动文件,存储于当前虚拟化网络设备
的配置启动文件存放路径中;如否,则通过当前虚拟化网络设备的对外接口加载默认的配
置启动文件。
的配置启动文件存放路径中;如否,则通过当前虚拟化网络设备的对外接口加载默认的配
置启动文件。
[0061] 步骤3.2、当所述类型为实体化网络设备时,直接加载配置启动文件,完成网络靶场场景的初始化;所述配置启动文件包括指定配置启动文件和默认配置启动文件。该步骤
具体为:
具体为:
[0062] 当所述类型为实体化网络设备时,判断所述实体化网络设备是否存在串口,如是,则通过串口连接其拓扑关系内的其他实体化网络设备;如否,则通过其管理口连接其拓扑
关系内的其他实体化网络设备。
关系内的其他实体化网络设备。
[0063] 在所述判断所述实体化网络设备是否存在串口之后,还包括:
[0064] 判断所述实体化网络设备是否需要加载指定配置启动文件,如是,则通过所述实体化网络设备的管理口从其配置管理中心获取指定配置启动文件;如否,则通过当前所述
实体化网络设备的对外接口加载默认的配置启动文件。
实体化网络设备的对外接口加载默认的配置启动文件。
[0065] 本发明的第二实施例提供了一种虚实结合网络靶场环境的复位方法,当所述网络靶场受到攻击后,执行上述方法复位所述网络靶场。
[0066] 下面将以具体的实施例详述本申请。
[0067] 该实施例的总流程见图2,该实施例的虚实结合网络靶场结构框图见图3。
[0068] 本实施例虚实结合网络靶场环境的初始化方法和复位方法如下:
[0069] 1、自动生成配置启动文件,其流程图见图4,包括:
[0070] S1.1、判断网络设备厂商,包括:
[0071] 根据网络靶场需要构建的场景,编排合适的网络设备厂商。所述网络设备包括但不限于路由器、交换机、基站、核心网、防火墙等。所述网络设备厂商,包括但不限于国外厂
商思科、诺基亚、爱立信、瞻博等,国内厂商华为、中兴、新华三、烽火、锐捷等。
商思科、诺基亚、爱立信、瞻博等,国内厂商华为、中兴、新华三、烽火、锐捷等。
[0072] S1.2、基于不同厂家设备自动生成配置启动文件,包括:
[0073] 根据网络靶场场景中选择的网络配置厂商,自动生成对应的配置启动文件。所述自动生成对应的配置启动文件,指基于场景针对网络连接端到端属性描述自动生成。
[0074] 2、编排网络靶场场景,其流程图见图5,包括:
[0075] S2.1、编排单个网络设备网元,包括:
[0076] 根据网络靶场需要构建的场景,依次编排单个网络设备网元。所述网络设备网元,指网络管理中可以监视和管理的最小单位。
[0077] S2.2、指定网络设备类型和镜像,包括:
[0078] 针对单个网络设备网元,指定该网络设备的类型和镜像。所述网络设备类型,包括虚拟化网络设备和实体化网络设备。所述网络设备镜像,指虚拟化网络设备启动加载的镜
像文件。
像文件。
[0079] S2.3、指定是否加载配置启动文件,包括:
[0080] 针对单个网络设备网元,指定初始化时是否加载配置启动文件。所述配置启动文件,指S1.1和S1.2中满足厂商规范的配置启动文件。所述指定加载配置启动文件,指通过网
络设备网元编排时上传到配置管理中心存储的配置启动文件,不同网络靶场场景的配置启
动文件不同。
络设备网元编排时上传到配置管理中心存储的配置启动文件,不同网络靶场场景的配置启
动文件不同。
[0081] S2.4、编排网络设备网元间关系,包括:
[0082] 根据网络靶场需要构建的场景,编排网络设备网元间的拓扑关系。所述拓扑关系,指图形元素之间相互空间上的连接、邻接关系并不考虑具体位置,包括但不限于拓扑邻接、
拓扑关联、拓扑包含等。
拓扑关联、拓扑包含等。
[0083] 3、自动初始化网络靶场场景和自动复位网络靶场场景,其流程图见图6,包括:
[0084] S3.1、判断网络设备网元类型,包括:
[0085] 根据网络靶场场景编排中涉及到的各个网络设备网元,判断网络设备网元的类型。所述网元类型,包括虚拟化网络设备和实体化网络设备。
[0086] S3.2、虚拟化网络设备,包括:
[0087] 当前网络设备网元属于虚拟化网络设备。
[0088] S3.3、启动网络设备镜像,包括:
[0089] 当前网络设备网元属于虚拟化网络设备,通过虚拟化技术启动网络设备镜像,并进行虚拟化网络设备的串口映射。所述虚拟化技术,包括但不限于OpenStack、KVM、VMware、
Virtualbox、Qemu、IoL、Dynamips、Docker等。所述串口映射,指通过虚拟化技术将虚拟化网
络设备的串口映射到宿主机的特定端口,可以通过终端仿真程序连接该宿主机端口访问虚
拟化网络设备的串口。所述串口,指网络设备的Console口,一般使用Console线直接连接至
计算机的串口,利用终端仿真程序在本地配置网络设备。所述串口映射端口由虚实结合引
擎统一分配和管理。
Virtualbox、Qemu、IoL、Dynamips、Docker等。所述串口映射,指通过虚拟化技术将虚拟化网
络设备的串口映射到宿主机的特定端口,可以通过终端仿真程序连接该宿主机端口访问虚
拟化网络设备的串口。所述串口,指网络设备的Console口,一般使用Console线直接连接至
计算机的串口,利用终端仿真程序在本地配置网络设备。所述串口映射端口由虚实结合引
擎统一分配和管理。
[0090] S3.4、判断网络设备镜像类型,包括:
[0091] 判断当前待启动网络设备的镜像类型。所述网络设备镜像类型,包括但不限于Qemu、IoL、Dynamips、Docker等。
[0092] S3.5、Qemu/IoL/Dynamips,包括:
[0093] 当前网络设备的镜像类型属于Qemu、IoL、Dynamips支持的镜像文件格式。
[0094] S3.6、通过串口连接网络设备,包括:
[0095] 通过终端仿真程序连接串口管理中心端口映射后的指定端口访问实体化网络设备的串口,通过终端仿真程序连接宿主机端口映射后的指定端口访问虚拟化网络设备的串
口,该串口连接可以配置当前网络设备。网络靶场即使管理面被攻击也不影响串口连接和
配置,通过串口连接网络设备可以保证网络靶场场景的成功初始化和复位。
口,该串口连接可以配置当前网络设备。网络靶场即使管理面被攻击也不影响串口连接和
配置,通过串口连接网络设备可以保证网络靶场场景的成功初始化和复位。
[0096] S3.7、加载指定配置启动文件,包括:
[0097] 判断当前网络设备是否需要加载指定的配置启动文件。所述配置启动文件,指S1.1和S1.2中满足厂商规范的配置启动文件。所述指定加载配置启动文件,指通过网络设
备网元编排时上传到配置管理中心存储的配置启动文件,不同网络靶场场景的配置启动文
件不同。
备网元编排时上传到配置管理中心存储的配置启动文件,不同网络靶场场景的配置启动文
件不同。
[0098] S3.8、通过管理口下载/上传配置启动文件,包括:
[0099] 当前网络设备需要加载指定的配置启动文件,通过管理口从配置管理中心获取配置启动文件到当前网络设备的配置启动文件存放路径。如果管理口与配置管理中心多次网
络不可达,重启当前虚拟化网络设备并重新尝试连接,防止网络设备管理面被攻击后管理
口连接不可用。所述配置管理中心,指提供配置启动文件上传、存储、下载等管理功能的模
块,包括但不限于FTP服务器、TFTP服务器、SFTP服务器、WEB服务器。所述管理口,指网络设
备的管理接口,包括但不限于Mgmt口和配置网络可达并使能管理面功能的其他接口。所述
管理面功能,包括但不限于Telnet、SSH、FTP、TFTP、SFTP、WEB、SNMP、Netconf等。
络不可达,重启当前虚拟化网络设备并重新尝试连接,防止网络设备管理面被攻击后管理
口连接不可用。所述配置管理中心,指提供配置启动文件上传、存储、下载等管理功能的模
块,包括但不限于FTP服务器、TFTP服务器、SFTP服务器、WEB服务器。所述管理口,指网络设
备的管理接口,包括但不限于Mgmt口和配置网络可达并使能管理面功能的其他接口。所述
管理面功能,包括但不限于Telnet、SSH、FTP、TFTP、SFTP、WEB、SNMP、Netconf等。
[0100] S3.9、加载指定配置启动文件,包括:
[0101] 通过当前设备厂商对外提供的接口加载指定的配置启动文件。所述对外提供的接口,包括但不限于命令行(CLI)接口和WEB接口等。
[0102] S3.10、Docker,包括:
[0103] 当前网络设备的镜像类型属于Docker支持的镜像文件格式。
[0104] S3.11、加载指定配置启动文件,包括:
[0105] 判断当前网络设备是否需要加载指定的配置启动文件。所述配置启动文件,指S1.1和S1.2中满足厂商规范的配置启动文件。所述指定加载配置启动文件,指通过网络设
备网元编排时上传到配置管理中心存储的配置启动文件,不同网络靶场场景的配置启动文
件不同。
备网元编排时上传到配置管理中心存储的配置启动文件,不同网络靶场场景的配置启动文
件不同。
[0106] S3.12、通过Docker命令拷贝/映射配置启动文件,包括:
[0107] 当前网络设备需要加载指定的配置启动文件,通过容器命令行(CLI)接口从配置管理中心获取配置启动文件,并拷贝或映射到当前网络设备的配置启动文件存放路径。如
果管理口与配置管理中心多次网络不可达,重启当前虚拟化网络设备并重新尝试连接,防
止网络设备管理面被攻击后管理口连接不可用。所述配置管理中心,指提供配置启动文件
上传、存储、下载等管理功能的模块,包括但不限于FTP服务器、TFTP服务器、SFTP服务器、
WEB服务器。所述管理口,指网络设备的管理接口,包括但不限于Mgmt口和配置网络可达并
使能管理面功能的其他接口。
果管理口与配置管理中心多次网络不可达,重启当前虚拟化网络设备并重新尝试连接,防
止网络设备管理面被攻击后管理口连接不可用。所述配置管理中心,指提供配置启动文件
上传、存储、下载等管理功能的模块,包括但不限于FTP服务器、TFTP服务器、SFTP服务器、
WEB服务器。所述管理口,指网络设备的管理接口,包括但不限于Mgmt口和配置网络可达并
使能管理面功能的其他接口。
[0108] S3.13、加载默认配置启动文件,包括:
[0109] 通过当前设备厂商对外提供的接口加载默认的配置启动文件。所述对外提供的接口,包括但不限于命令行(CLI)接口和WEB接口等。
[0110] S3.14、加载默认配置启动文件,包括:
[0111] 通过当前设备厂商对外提供的接口加载默认的配置启动文件。所述对外提供的接口,包括但不限于命令行(CLI)接口和WEB接口等。
[0112] S3.15、实体化网络设备,包括:
[0113] 当前网络设备网元属于实体化网络设备,将实体化网络设备的串口连接到串口管理中心,将管理口连接到交换管理中心。所述串口管理中心,指通过访问串口管理中心的映
射后端口可以连接并配置当前网络设备,包括但不限于串口服务器等。所述交换管理中心,
指对不同范围、领域的空间信息及其元数据进行有效管理、给信息需求者提供空间数据的
目录信息、元数据信息、信息的地址等的计算机联网管理中心,包括但不限于以太网交换机
等。
射后端口可以连接并配置当前网络设备,包括但不限于串口服务器等。所述交换管理中心,
指对不同范围、领域的空间信息及其元数据进行有效管理、给信息需求者提供空间数据的
目录信息、元数据信息、信息的地址等的计算机联网管理中心,包括但不限于以太网交换机
等。
[0114] S3.16、网络设备存在串口,包括:
[0115] 当前网络设备网元属于实体化网络设备,判断网络设备是否存在串口。所述串口,指网络设备的Console口,一般使用Console线直接连接至计算机的串口,利用终端仿真程
序在本地配置网络设备。所述串口映射端口由虚实结合引擎统一分配和管理。
序在本地配置网络设备。所述串口映射端口由虚实结合引擎统一分配和管理。
[0116] S3.17、通过管理口连接网络设备,包括:
[0117] 通过终端仿真程序连接网络设备的管理口,通过该管理口连接可以配置当前网络设备。
[0118] 进一步的,所述自动初始化网络靶场场景和自动复位网络靶场场景方法的区别在于,初始化场景时的配置启动文件是未启动场景指定的配置启动文件,复位场景时配置启
动文件是当前已启动场景指定的配置启动文件。
动文件是当前已启动场景指定的配置启动文件。
[0119] 应当认识到,本发明实施例的实质是将不同场景的配置实例,与网络设备基础镜像和版本分离,基于场景灵活加载配置启动文件满足网络靶场环境的构建和复位。本发明
实施例中的方法,既支持纯虚拟化网络靶场环境的初始化和复位,又支持纯实体化网络靶
场环境的初始化和复位,还支持虚实结合网络靶场环境的初始化和复位。
实施例中的方法,既支持纯虚拟化网络靶场环境的初始化和复位,又支持纯实体化网络靶
场环境的初始化和复位,还支持虚实结合网络靶场环境的初始化和复位。
[0120] 应当认识到,本发明实施例中的方法步骤可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以
使用标准编程技术。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系
统通信。
使用标准编程技术。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系
统通信。
[0121] 此外,可按任何合适的顺序来执行本文描述的过程的操作,除非本文另外指示或以其他方式明显地与上下文矛盾。本文描述的过程(或变型和/或其组合)可在配置有可执
行指令的一个或多个计算机系统的控制下执行,并且可作为共同地在一个或多个处理器上
执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组
合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。
行指令的一个或多个计算机系统的控制下执行,并且可作为共同地在一个或多个处理器上
执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组
合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。
[0122] 进一步,所述方法可以在可操作地连接至合适的任何类型的计算平台中实现,包括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成
的计算机平台、或者与带电粒子工具或其它成像装置通信等等。
的计算机平台、或者与带电粒子工具或其它成像装置通信等等。
[0123] 本发明能够解决网络靶场环境虚拟化镜像文件占用磁盘空间大的问题。针对虚拟化网络设备采用启动网络设备镜像,通过串口、管理口和容器命令行接口加载特定场景的
配置启动文件初始化和复位网络靶场场景,而存储引擎只需要保存设备厂商基础镜像文
件,大大减少存储引擎占用磁盘空间;能够解决网络靶场环境实体化网络设备实体化场景
固化的问题。针对实体化网络设备采用启动网络设备版本,通过串口和管理口加载特定场
景的配置启动文件生成网络靶场场景,实体化设备通过不同配置启动文件可以初始化不同
网络攻防场景,大大增加实体化网络设备的复用性,减少网络靶场硬件成本;能够解决网络
靶场环境实体化网络设备需要人工干预复位的问题。针对实体化网络设备采用物理启动设
备,网络靶场即使被攻击也不影响串口连接和配置,通过串口重启网络设备,并通过串口或
管理口重新加载该场景的配置启动文件复位网络靶场场景,可以做到网络靶场场景的快速
复位。
配置启动文件初始化和复位网络靶场场景,而存储引擎只需要保存设备厂商基础镜像文
件,大大减少存储引擎占用磁盘空间;能够解决网络靶场环境实体化网络设备实体化场景
固化的问题。针对实体化网络设备采用启动网络设备版本,通过串口和管理口加载特定场
景的配置启动文件生成网络靶场场景,实体化设备通过不同配置启动文件可以初始化不同
网络攻防场景,大大增加实体化网络设备的复用性,减少网络靶场硬件成本;能够解决网络
靶场环境实体化网络设备需要人工干预复位的问题。针对实体化网络设备采用物理启动设
备,网络靶场即使被攻击也不影响串口连接和配置,通过串口重启网络设备,并通过串口或
管理口重新加载该场景的配置启动文件复位网络靶场场景,可以做到网络靶场场景的快速
复位。
[0124] 以上以用实施例说明的方式对本发明作了描述,本领域的技术人员应当理解,本公开不限于以上描述的实施例,在不偏离本发明的范围的情况下,可以做出各种变化、改变
和替换。
和替换。