一种基于虚拟化技术的网络安全靶场及其运行方法转让专利
申请号 : CN202211169373.2
文献号 : CN115242562B
文献日 : 2022-11-29
发明人 : 马虹哲 , 赵瑾阳 , 詹晶晶 , 杨扬
申请人 : 中电运行(北京)信息技术有限公司
摘要 :
本发明提出了一种基于虚拟化技术的网络安全靶场及其运行方法,虚拟管理单元将网络安全靶场网层分割成三个或三个以上的层,网络安全靶场网层从第一层中的核心网元开始生长,其他层依次从前一层生成,并且与前一层互连;每层的网元仅与前一层或下一层相关联的网元共享资源;为网络安全靶场网层中的每一层生成不同且独一的记号并维护每一层的记号列表;通过网络靶场管理单元执行管理网络安全靶场网层内网元之间的逻辑连接的请求;从记号列表中查询得到源头主机的记号,并判断网络安全靶场网层中的每一层内是否存在与源头主机的记号相同记号的层虚拟机。
权利要求 :
1.一种基于虚拟化技术的网络安全靶场,其特征在于,包括网络靶场管理单元、网络处理单元以及虚拟管理单元;
所述虚拟管理单元将网络安全靶场网层分割成三个或三个以上的层,网络安全靶场网层从第一层中的核心网元开始生长,第一层的核心网元互相连接;其他层依次从前一层生成,并且与前一层互连;其他层中的计算网元通过向网络安全靶场网层注册的过程而被分配给前一层;
每层的网元仅与前一层或下一层相关联的网元共享资源;
所述网络靶场管理单元,用于为网络安全靶场网层中的每一层生成不同且独一的记号并维护每一层的记号列表;通过网络靶场管理单元执行管理网络安全靶场网层内网元之间的逻辑连接的请求;
所述网络处理单元,用于在获取到问询报文时,从记号列表中查询得到源头主机的记号,并判断网络安全靶场网层中的每一层内是否存在与源头主机的记号相同的层虚拟设备的记号。
2.根据权利要求1所述的网络安全靶场,其特征在于,如果第三层在规定时间内,未向网络安全靶场网层注册,则第二层的第二计算网元只能与第一层的核心网元共享资源,直到第三层的第三计算网元向网络安全靶场网层注册。
3.根据权利要求1所述的网络安全靶场,其特征在于,第二层的第二计算网元间不相互连接,使得第二计算网元在第二层内不完全互连。
4.根据权利要求1所述的网络安全靶场,其特征在于,第一层的核心网元响应于与所述核心网元通信的物理设备接收到的对网络安全靶场网层的请求,所述核心网元向与其共享资源的计算网元请求资源以及所述与其共享资源的计算网元所在层的层虚拟设备的记号。
5.根据权利要求1所述的网络安全靶场,其特征在于,第一层的核心网元被配置为仅向第二层的第二计算网元请求服务,而不是向靠近或邻近请求网元的任何网元进行广播。
6.根据权利要求1所述的网络安全靶场,其特征在于,所述网络靶场管理单元为网络安全靶场网层中每一层的层虚拟设备分配网络地址和访问控制地址,并将网络安全靶场网层中每一层的层虚拟设备的访问控制地址、网络地址以及与层虚拟设备的记号之间的对应关系存入记号列表中。
7.根据权利要求1所述的网络安全靶场,其特征在于,所述虚拟管理单元,在网络安全靶场运行时在计算网元的虚拟连接中创建将问询报文流转到网络处理单元的表项。
8.一种基于虚拟化技术的网络安全靶场的运行方法,用于运行如权利要求1‑7任意一项所述的网络安全靶场,其特征在于:将网络安全靶场网层分割成三个或三个以上的层,网络安全靶场网层从第一层中的核心网元开始生长,第一层的核心网元完全互连;其他层依次从前一层生成,并且与前一层互连;其他层的计算网元在从前一层生成时通过向网络安全靶场网层注册的过程而被分配给前一层;每层的网元仅与前一层或下一层相关联的网元共享资源;
为网络安全靶场网层中的每一层生成不同的且独一的记号并维护每一层的记号列表,执行管理网络安全靶场网层内网元之间的逻辑连接的请求;
在获取到问询报文时,从记号列表中查询得到源头主机的记号,并判断网络安全靶场网层中的每一层内是否存在与源头主机的记号相同的层虚拟设备的记号。
9.根据权利要求8所述的运行方法,其特征在于,若不存在与源头主机的记号相同的层虚拟设备的记号,则丢弃问询报文,若存在与源头主机的记号相同的层虚拟设备的记号,则获取所述层虚拟设备的访问控制地址,对问询报文进行回复,并在网络安全靶场网层运行时,在网络靶场计算网元的虚拟连接中创建将问询报文流转到网络处理单元的表项。
10.根据权利要求8所述的运行方法,其特征在于,将接收到的从计算网元上载的与表项相关的报文进行对比;如果与表项相关的报文的网络地址和访问控制地址属于不同的层物理设备,则在计算网元中创建源表项,并上载与源表项相关的问询报文。
说明书 :
一种基于虚拟化技术的网络安全靶场及其运行方法
技术领域
[0001] 本发明涉及网络安全靶场领域,尤其涉及一种基于虚拟化技术的网络安全靶场及其运行方法。
背景技术
[0002] 随着计算机网络应用的日益广泛,网络安全的问题也日益突出,各国都在大力研究网络安全防范问题,以防信息泄露。但网络入侵的手段丰富多样,使得研究与工作人员防不胜防。网络靶场就是一种训练网络研究与管理人员的演练系统,让防御人员在攻击者前面学会主动防御,而不是在攻击行为之后被动处理。
[0003] 网络靶场是一种比较新的网络安全防御技术。狭义上来讲,网络靶场就是通过对网络安全攻击与防御事件的模拟,构建虚拟网络攻防平台。实验中会模拟各种操作系统下的多种攻击方式,然后收集其中的数据并进行分析,进而针对收集到的数据进行处理,找出如何防御攻击的方法,使得技术人员应对网络攻击的防御能力得到提升。广义上来讲,只要能对一种或多种攻击行为进行检测、防护、数据收集等工作,并通过数据分析实现防御能力改进和完善的网络攻防演练平台,这些都可以称之为网络靶场。网络靶场是新兴的网络安全防御技术,可以进行网络攻击和防御的演练,分析演练的情况,从而改进防御部署,提高防御能力。因此,当前形势下,在虚拟化网络靶场之上搭建蜜罐,实现网络攻防演练。通过攻击与防御的演练来增强自身防御的能力,具有重要意义。
[0004] 我国高度重视网络安全保障工作,靶场建设工作虽已取得较大成就,但与发达国家相比仍存在较大差距,主要原因为:一是技术水平相对较低,我国缺乏网络安全的人才,对关键技术研究不足且滞后;二是缺乏统一管理,各职能部门职责不清,在一定程度上影响了靶场建设的发展。因此,我国对于网络靶场的建立,应从相关技术的研究、人员的培训、相关经费的投入等角度进行切入,从而加快提升网络作战能力的步伐。
[0005] 虚拟化技术是一种资源管理技术,它抽象出计算机的各种物理资源,如服务器,网络,内存和存储,并在转换后呈现它们,打破了物理结构之间无法切断的障碍,使用户能够比原始配置更高效的利用这些资源。这些资源的新虚拟部分不受现有资源构建方式、地理位置或物理方式的限制。这些虚拟资源通常称为虚拟化资源,包含计算机硬件虚拟化、存储虚拟化、计算机网络虚拟化等。但是现有技术中的基于虚拟化技术的网络安全靶场的网络安全攻防能力不足或攻防靶场不具备代表性,很难支撑整体网络安全防御能力建设。
[0006] 现有技术中,例如专利文献CN109286611A提供了一种网络靶场云平台系统、构建方法、设备和介质。包括:身份认证模块、资源管理模块和应用构建模块,其中:所述身份认证模块用于对用户进行身份认证,资源管理模块用于向应用构建模块提供虚拟资源,应用构建模块用于根据所分配的虚拟资源构建网络靶场应用,并将网络靶场应用提供给身份认证通过的用户。但是该技术方案中,接收的服务,资源,应用等数据过于繁多,容易造成系统反应慢。
[0007] 再例如专利文献CN111343158A公开了一种基于虚拟化技术的网络靶场平台,属于网络安全领域,包括攻防指控子系统、攻击模拟子系统,还包括环境仿真子系统。环境仿真子系统提供仿真的网络环境平台,攻击模拟子系统分布式部署了多种网络攻击工具集,可对环境仿真子系统模拟发起各类不同的网络攻击行为;攻防指控子系统实现对网络攻击任务的管理调度和资源分配,同时对网络攻击的整体态势和战场攻防的结果进行评估,并以可视化的方式进行呈现。但是该技术方案中并不适用于体系化的网络空间安全防御。
发明内容
[0008] 为了解决上述技术问题,本发明提出了一种基于虚拟化技术的网络安全靶场,包括网络靶场管理单元、网络处理单元以及虚拟管理单元;
[0009] 所述虚拟管理单元将网络安全靶场网层分割成三个或三个以上的层,网络安全靶场网层从第一层中的核心网元开始生长,第一层的核心网元互相连接;其他层依次从前一层生成,并且与前一层互连;其他层中的计算网元通过向网络安全靶场网层注册的过程而被分配给前一层;
[0010] 每层的网元仅与前一层或下一层相关联的网元共享资源;
[0011] 所述网络靶场管理单元,用于为网络安全靶场网层中的每一层生成不同且独一的记号并维护每一层的记号列表;通过网络靶场管理单元执行管理网络安全靶场网层内网元之间的逻辑连接的请求;
[0012] 所述网络处理单元,用于在获取到问询报文时,从记号列表中查询得到源头主机的记号,并判断网络安全靶场网层中的每一层内是否存在与源头主机的记号相同的层虚拟设备的记号。
[0013] 进一步地,如果第三层在规定时间内,未向网络安全靶场网层注册,则第一层的第二计算网元只能与第一层的核心网元共享资源,直到第三层的第三计算网元向网络安全靶场网层注册。
[0014] 进一步地,第二层的第二计算网元间不相互连接,使得第二计算网元在第二层内不完全互连。
[0015] 进一步地,第一层的核心网元响应于与所述核心网元通信的物理设备接收到的对网络安全靶场网层的请求,所述核心网元向与其共享资源的计算网元请求资源以及所述与其共享资源的计算网元所在层的层虚拟设备的记号。
[0016] 进一步地,第一层的核心网元被配置为仅向第二层的第二计算网元请求服务,而不是向其他请求网元进行广播。
[0017] 进一步地,所述网络靶场管理单元为网络安全靶场网层中每一层的层虚拟设备分配网络地址和访问控制地址,并将网络安全靶场网层中每一层的层虚拟设备的访问控制地址、网络地址以及与层虚拟设备的记号之间的对应关系存入记号列表中。
[0018] 进一步地,所述虚拟管理单元,在网络安全靶场运行时在计算网元的虚拟连接中创建将问询报文流转到网络处理单元的表项。
[0019] 本发明还提出了一种基于虚拟化技术的网络安全靶场的运行方法,用于运行基于虚拟化技术的网络安全靶场,
[0020] 将网络安全靶场网层分割成三个或三个以上的层,网络安全靶场网层从第一层中的核心网元开始生长,第一层的核心网元完全互连;其他层依次从前一层生成,并且与前一层互连;其他层的计算网元在从前一层生成时通过向网络安全靶场网层注册的过程而被分配给前一层;每层的网元仅与前一层或下一层相关联的网元共享资源;
[0021] 为网络安全靶场网层中的每一层生成不同的且独一的记号并维护每一层的记号列表,执行管理网络安全靶场网层内网元之间的逻辑连接的请求;
[0022] 在获取到问询报文时,从记号列表中查询得到源头主机的记号,并判断网络安全靶场网层中的每一层内是否存在与源头主机的记号相同的层虚拟设备的记号。
[0023] 进一步地,若不存在与源头主机的记号相同的层虚拟设备的记号,则丢弃问询报文,若存在与源头主机的记号相同的层虚拟设备的记号,则获取所述层虚拟设备的访问控制地址,对问询报文进行回复,并在网络安全靶场网层运行时,向计算网元的中创建将问询报文并流转到网络处理单元的表项。
[0024] 进一步地,将接收到的从计算网元上载的与表项进行对比;如果与表项相关的报文的网络地址和访问控制地址属于不同的层物理设备,则向计算网元的中创建源表项,并上载与源表项相关的问询报文。
[0025] 相比于现有技术,本发明具有如下有益技术效果:
[0026] 将网络安全靶场网层以预定的层数被分割成多个层,网络安全靶场网层从第一层中的核心网元开始生长,其他层依次从前一层生成,并且与前一层互连,减少了共享资源的网元的数量,扩展了网络安全靶场网层内的网元互连,使得每个网元不必虚拟地连接到所有其他网元,而是可以连接到网络安全靶场网层的其他层的网元,并且可以被限制为仅与前一层或下一层相关联的网元共享资源,以减少可以接收服务,资源,应用等的网元的数量。
[0027] 核心网元被配置为仅向第二层的第二计算网元请求服务,而不是向靠近或邻近请求网元的任何网元进行广播。网络安全靶场网层的所有网元被限制为与请求网元的层的上一层或下一层的网元通信,以避免跨层的网元共享资源。
附图说明
[0028] 为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0029] 图1为本发明的基于虚拟化技术的网络安全靶场的结构示意图;
[0030] 图2为本发明的基于虚拟化技术的网络安全靶场的运行方法的流程图;
[0031] 图3为本发明的分层的网络安全靶场网层的网元之间的互连的示意图。
具体实施方式
[0032] 为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0033] 在本发明的具体实施例附图中,为了更好、更清楚的描述系统中的各元件的工作原理,表现所述装置中各部分的连接关系,只是明显区分了各元件之间的相对位置关系,并不能构成对元件或结构内的信号传输方向、连接顺序及各部分结构大小、尺寸、形状的限定。
[0034] 如图1所示,为基于虚拟化技术的网络安全靶场的结构示意图。网络安全靶场包括网络靶场管理单元、网络处理单元以及虚拟管理单元。
[0035] 如图2所示,为基于虚拟化技术的网络安全靶场的运行方法的流程图。
[0036] 虚拟管理单元将网络安全靶场网层分割成三个或三个以上的层;所述网络靶场管理单元,用于为网络安全靶场网层中的每一层生成不同的且全网络独一的记号并维护每一层的记号列表;通过网络靶场管理单元执行管理网络安全靶场网层内的网元之间的逻辑连接的请求。
[0037] 如图3所示,为分层的网络安全靶场网层100的网元之间的互连的示意图,该实施例中虚拟管理单元将网络安全靶场网层100分割成四个层。如图中示出的第一层102、第二层104、第三层106和第四层108。
[0038] 网络安全靶场网层100中的每层的网元可以与其它层的网元进行逻辑通信,为了减少共享资源的网元的数量,扩展网络安全靶场网层内的网元互连,使得每个网元不必虚拟地连接到所有其他网元,而是可以连接到网络安全靶场网层的其他层的网元,并且可以被限制为仅与前一层或下一层相关联的网元共享资源,以减少可以接收服务,资源,应用等的网元的数量。
[0039] 网络安全靶场网层100可以从第一层102中的核心网元110开始生长。尽管图中示出的网络安全靶场网层100的核心网元110包括四个网元,如图2中的空心圆圈所示,应当理解,在第一层102中可以包括任意数量的核心网元。此外,第一层102的核心网元110可以完全互连,使得每个核心网元110可以逻辑上彼此连接,并且在第一层102的核心网元之间共享资源。
[0040] 第一层102可以互连以形成基础层,网络安全靶场网层100中的每个核心网元通过该基础层的至少一条路径连接到任何其它层中的计算网元,如图3中的实心黑色圆圈所示。
[0041] 网络安全靶场网层100的第二层104可以从第一层102生长,并且与第一层102互连。例如,网络安全靶场网层100的第二层104可以从网络安全靶场网层100的第二计算网元112生成。
[0042] 构成网络安全靶场网层的第二层104的第二计算网元可以在第一层102生成时通过向网络安全靶场网层100注册的过程被分配给第一层。
[0043] 无论计算网元被分配到网络安全靶场网层100的哪一层,该计算网元都可以被指示或被给予指令以限制与该计算网元的下层或上层网络的其他层的计算网元连接。例如,第二层104的第二计算网元112将其逻辑连接限制到第一层102的核心网元110和第二层106的第三计算网元114。
[0044] 如果第三层106在规定时间内,未向网络安全靶场网层100注册,则第二计算网元只能与第一层102的核心网元共享资源,直到第三层106的第三计算网元向网络安全靶场网层100注册。然而,与第一层102不同,第二层104的第二计算网元112彼此间可以不相互连接,使得第二计算网元在层内不完全互连。相反,第二计算网元112可以被限制为仅在逻辑上连接到第一层102中的核心网元110和第二层106中的第二计算网元114。
[0045] 为了限制特定网元可以从其接收服务或以其他方式共享资源并由此逻辑连接到的网络安全靶场网层100中的所有网元,网络安全靶场网层100中的一个或多个网元可以通过网络靶场管理单元执行管理与网络内其他网元的逻辑连接的服务或应用程序。例如,第一层102的核心网元112可能响应于从与该核心网元通信的物理设备接收到的对网络服务的请求,向网络安全靶场网层100的其他计算网元请求服务和/或资源。对网络安全靶场网层100的其他计算网元的请求服务包括请求的全网络独一的记号,例如第一层102的记号或层第二层106的记号。记号因此可以被限制为n+1和/或n‑1层,其中n是请求设备被分配到的层。
[0046] 除了第二层或第三层之外的其他层的计算网元可以忽略由第一层的核心网元112发送的与第一层的核心网元112共享资源的请求。例如,如果在关联的第二层104的第二计算网元处也接收到该请求,则第二接收网元可能会忽略该请求。类似地,如果在第三层108的第三计算网元处接收到请求,则第三计算网元可以忽略该请求。然而,如果请求由第一层102的核心网元110或第三层106的第三计算网元114接收,则可以建立网元之间的逻辑通信路径并且可以与第一层104的核心网元112或第三层106的第三计算网元114共享资源。
[0047] 在优选实施例,网络安全靶场网层100的每个网元可以维护一个或多个其他网元所在层的记号的列表,例如,第一层104的核心网元112可以被配置为仅向第二层106的第二计算网元请求服务,而不是向靠近或邻近请求网元的任何网元进行广播。不管过程如何,网络安全靶场网层100的所有网元可以被限制为与请求网元的层的上一层或下一层的网元通信,以避免跨层的网元共享资源。
[0048] 网络靶场管理单元为网络安全靶场网层中每一层的虚拟设备分配网络地址和访问控制地址,以及将网络安全靶场网层中每一层的虚拟设备的访问控制地址、网络地址以及与层虚拟设备的记号之间的对应关系存入记号列表中。
[0049] 网络安全靶场网层存在层虚拟设备集合P={p1,p2,…,pn},其中虚拟设备数量为n,需要放置的层物理设备集合V={v1,v2,…,vm},其中物理设备数量为m,假设物理设备数量m大于或等于虚拟设备数量n,定义物理设备放置组集合Q={q1,q2,…,qh},h为放置组的数量。
[0050] 对于给定的物理设备vi,定义vi‑z为物理设备vi所需的网络处理单元空间,vi‑r为物理设备vi所需的内存空间,vi‑p为物理设备vi的网络处理单元利用率,Wi‑r为物理设备vi的内存利用率。对于给定的虚拟设备pj,pj‑p定义为虚拟设备pj当前的网络处理单元空白空间,pj‑r为虚拟设备pj的内存空闲空间,Uj‑p为虚拟设备pj的网络处理单元利用率,Uj‑r为虚拟设备pj的内存利用率,则定义虚拟设备pj的空间利用率Uj为:
[0051] Uj=αUj‑p+βUj‑r;
[0052] 其中,0<α<1,0<β<1,且α+β=1。
[0053] 定义Tij为当前时刻t,虚拟设备pj能否满足物理设备vi的空间要求,即:
[0054] ;
[0055] 一个网元的可用性是指网元在整个服务时间内任意时刻的工作概率,对于任意网元i,其可用性Ai通过以下公式计算获得:
[0056] ;
[0057] 其中MF代表平均故障时间,MR代表平均修复时间,假定服务器可用性的值是已知的,且各服务器之间的可用性是相互独立互不相关的。
[0058] 在一个拥有n台运行的层虚拟设备的网络安全靶场,对于任意虚拟设备pj∈P,在某一时刻t的电源能耗 如下公式所示:
[0059] ;
[0060] 其中cj为静态能耗标记,fj(t)为t时刻虚拟设备pj的网络处理单元频率,t时刻虚拟设备pj的网络处理单元利用率为Uj‑(p t),k为常量系数,即电源能耗在一定程度上是基于网络处理单元利用率的线性模型。
[0061] V集合是通过放置组qk∈Q,选择对应的物理设备集合中的物理设备完成放置映射,并且需要尽可能满足放置过程中的多种约束条件,定义物理设备放置矩阵Mk[vi][pj],若Mk[vi][pj]=1则表示放置组qk将虚拟设备pj放置在物理设备vi上,反之,若Mk[vi][pj]=0,表示放置组qk中,虚拟设备pj未放置在物理设备vi上。虚拟设备pj能否满足物理设备vi。
[0062] 任意虚拟设备vi,在同一放置组下,能且只能放置在一个网元上,约束表示为:
[0063] ,其中放置组qk∈Q。
[0064] 同一放置组内,单个虚拟设备只能在一个网元上进行部署运行。
[0065] 虚拟管理模块被配置为提供虚拟环境分配功能,其平衡源头主机与目标主机之间的层模拟设备和层物理设备。例如,如果网络安全靶场网层中的网元的资源使用急剧变化,则虚拟管理模块在源头主机和目标主机之间的网元周围移动以优化层虚拟设备的分布。此外,如果所有网元的总体工作量减少,则虚拟管理模块可能会关闭部分层物理设备的电源,并在层虚拟设备之间整网元。
[0066] 虚拟设备的记号包括:源头主机的记号、层虚拟设备的记号。在接收到由网络靶场管理单元发送的指示虚拟设备从源头主机迁移到目标主机的实况迁移消息之后,网络靶场管理单元根据实况迁移消息获取源头主机的记号和层虚拟设备的记号,向层虚拟设备发送与层虚拟设备的记号相对应的配置信息,以便层虚拟设备存储配置信息;以及向源头主机发送与指示源头主机删除配置信息的源头主机的记号相对应的配置信息删除指令。
[0067] 实况迁移消息携带实况迁移发生的虚拟设备的记号和虚拟设备迁移到的目标主机的记号;以及获取所述虚拟设备的源头主机的记号和所述虚拟设备的层虚拟设备的记号。
[0068] 记号列表可以存储每一层虚拟设备的记号与源头主机的记号的对应表,以及目标主机的记号与层虚拟设备的记号的对应表,并且可以通过对应表来确定对应关系。
[0069] 网络处理单元,在获取到问询报文时,从记号列表中查询得到源头主机的网络记号,并判断同一网络靶场内是否存在与源头主机的记号相同的层虚拟设备,且网络地址为问询报文中目的网络地址的层虚拟设备,若不存在,则丢弃问询报文,若存在,则获取层虚拟设备的访问控制地址,对问询报文进行回复。
[0070] 从第一层虚拟设备接收对与第二层虚拟设备相关联的地址信息的请求;为第二层虚拟设备生成一个或多个任意分配的地址;将一个或多个任意分配的地址返回给第一层虚拟设备;将第二层虚拟设备的唯一记号对应到一个或多个任意分配的地址;从第一层虚拟设备接收分组,该分组包括与第一层虚拟设备关联的一个或多个地址以及与第二层虚拟设备关联的一个或多个任意分配的地址;在所述分组中,用所述第一层虚拟设备的唯一记号替换与所述第一层虚拟设备关联的一个或多个地址,并用所述第二层虚拟设备的唯一记号替换与所述第二层虚拟设备相关联的一个或多个任意分配的地址;和将分组发送到与第二层虚拟设备相关联的主机。
[0071] 从与第二层虚拟设备相关联的主机接收寻址到第一层虚拟设备的第二分组;在第二分组中,用分配给第一层虚拟设备的一个或多个地址替换第一层虚拟设备的唯一记号;在第二分组中,将第二层虚拟设备的唯一记号替换为与第二层虚拟设备相关联的一个或多个任意分配的地址;和将数据包路由到第一层虚拟设备进行处理。
[0072] 所述虚拟管理单元,用于网络靶场运行时在网络靶场计算网元的虚拟连接中创建将问询报文流转到网络处理单元的表项。
[0073] 网络处理单元将接收到的从计算网元上载的与表项相关的报文进行对比;如果与表项相关的报文的网络地址和访问控制地址属于不同的层物理设备,则由网络处理单元则向计算网元的中创建源表项,该计算网元上载与源表项相关的报文;其中,源表项相关的报文包括:对于网络地址与网络地址匹配的业务报文,通过将与源头主机连接的层虚拟设备的访问控制地址作为外层源访问控制地址,并使网络地址连接的层虚拟设备的物理地址作为外层目标访问控制地址,将流量数据包封装到具有双层虚拟局域网(VLAN)记号的数据包中,并从通向物理网络卡的端口流转该数据包部署层虚拟设备的层物理设备;在多层网络安全靶场网层中,外层是物理网卡端口所在的服务层,内层是源地址所在的客户层。
[0074] 网络处理单元接收从虚拟设备上传的具有多层网络安全靶场网层记号的报文;和由网络处理单元将目的表项条目分配给虚拟设备,该虚拟设备上传具有多层网络安全靶场网层记号的分组;其中,所述目的表项对应的动作包括:将具有多层网络安全靶场网层记号的报文解封装为业务报文,根据具有多层网络安全靶场网层记号的报文的内层记号从指定端口流转该业务报文和流量数据包的目标地址。
[0075] 在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者通过所述计算机可读存储介质进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如,固态硬盘(solid state disk,SSD))等。
[0076] 以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。