虚拟化网络靶场环境的初始化方法和复位方法

摘要

本发明公开了一种虚拟化网络靶场环境的初始化方法和复位方法，包括：确定网络靶场需要构建的场景中的每个虚拟化网络设备网元；设定虚拟化网络设备网元的初始化参数，初始化参数包括启动时加载的镜像及是否需要加载指定配置启动文件；根据每个虚拟化网络设备网元的初始化参数，初始化网络靶场。本申请将不同场景的配置实例，与网络设备基础镜像和版本分离，基于场景灵活加载配置启动文件满足网络靶场环境的构建和复位，能有效避免现有技术中网络靶场环境占用磁盘空间大的问题。

说明书

技术领域

本发明涉及信息安全技术领域，具体涉及一种网络靶场环境的初始化和复位方法，尤其涉及一种虚拟化网络靶场环境的初始化方法和复位方法。

背景技术

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。但是现在全球网络安全形势严峻，层出不穷的网络安全事件频发，在日益复杂和庞大的网络结构中，任何行业都不能在日益泛滥的网络攻击下幸免。无论是军队为了网络空间的军事训练和战术战略，还是公共服务行业为了应对网络攻击的响应演练，又或者关键基建上线前为了确保性能和安全测试评估，都离不开大规模基于虚实结合技术高度仿真的网络安全靶场支撑。

在模拟网络攻防演练过程中，针对网络安全靶场的环境快速构建和恢复，是各行业对网络靶场产品的共性需求和刚性需求。然而，目前针对网络靶场环境中网络设备的初始化构建方法和被攻击后的快速复位方法，存在以下几方面的不足：

当前网络靶场环境中针对虚拟化网络设备的初始化构建，一般采用虚拟机加载配置后生成快照的方法；针对虚拟化网络设备的攻击复位，一般采用重新加载虚拟机快照的方法。在虚实结合的网络靶场环境中，需要占用大量存储引擎的磁盘空间存放不同场景下的虚拟化镜像文件。

发明内容

本申请的目的在于，提供一种虚拟化网络靶场环境的初始化方法和恢复方法，以解决上述背景技术中提出的技术问题。

本发明的第一实施例提供了一种虚拟化网络靶场环境的初始化方法，包括：

确定网络靶场需要构建的场景中的每个虚拟化网络设备网元；

设定所述虚拟化网络设备网元的初始化参数，所述初始化参数包括启动时加载的镜像及是否需要加载指定配置启动文件；

根据每个所述虚拟化网络设备网元的初始化参数，初始化所述网络靶场。

优选地，所述根据每个所述虚拟化网络设备网元的初始化参数，初始化所述网络靶场，具体为：

启动所述虚拟化网络设备网元的镜像；

判断所述镜像的类型，根据所述镜像的类型，通过对应的端口加载配置启动文件，完成网络靶场场景的初始化；所述配置启动文件包括指定配置启动文件和默认配置启动文件。

优选地，所述启动所述虚拟化网络设备网元的镜像，具体为：

利用虚拟化技术启动所述虚拟化网络设备网元的镜像，并将所述虚拟化网络设备网元的串口映射到宿主机的特定端口，所述宿主机为实体化网络设备。

优选地，所述虚拟化技术包括OpenStack、KVM、VMware、Virtualbox、Qemu、IoL、Dynamips、Docker。

优选地，所述判断所述镜像的类型，根据所述镜像的类型，通过对应的端口加载配置启动文件，具体为：

当所述镜像的类型属于Qemu、IoL或Dynamips支持的镜像格式时，所述虚拟化网络设备网元通过所述串口连接所述宿主机，从所述宿主机加载配置启动文件；所述宿主机的配置管理中心存储有指定配置启动文件，所述指定配置启动文件由所述场景中涉及的网络配置厂商的虚拟化网络设备网元自动生成；

当所述镜像的类型属于Docker支持的镜像格式时，判断所述虚拟化网络设备网元是否需要加载指定配置启动文件，如是，则通过所述虚拟化网络设备网元的容器命令行接口从所述宿主机的配置管理中心获取指定配置启动文件，并拷贝或映射到当前虚拟化网络设备网元的配置启动文件存放路径中；如否，则通过当前虚拟化网络设备网元的对外接口加载默认的配置启动文件。

优选地，所述虚拟化网络设备网元通过所述串口连接所述宿主机，从所述宿主机加载配置启动文件，具体为：

所述虚拟化网络设备网元通过所述串口连接所述宿主机；

判断当前所述虚拟化网络设备网元是否需要加载指定配置启动文件，如是，则通过其管理口从所述宿主机的配置管理中心获取指定配置启动文件，存储于当前虚拟化网络设备网元的配置启动文件存放路径中；如否，则通过当前虚拟化网络设备网元的对外接口加载默认的配置启动文件。

优选地，当所述管理口与所述配置管理中心多次网络不可达时，重启当前所述虚拟化网络设备网元，并重新尝试连接。

优选地，所述对外接口包括命令行接口和WEB接口。

本发明的第二实施例提供了一种虚拟化网络靶场环境的复位方法，当所述网络靶场受到攻击后，执行上述方法复位所述网络靶场。

本发明的虚拟化网络靶场环境的初始化方法和复位方法相较于现有技术，具有如下有益效果：

本申请将不同场景的配置实例，与网络设备基础镜像和版本分离，基于场景灵活加载配置启动文件满足网络靶场环境的构建和复位，能有效避免现有技术中网络靶场环境占用磁盘空间大的缺陷。针对虚拟化网络设备采用启动网络设备镜像，通过串口、管理口和容器命令行接口加载特定场景的配置启动文件初始化和复位网络靶场场景，存储引擎只保存设备厂商基础镜像文件，减少存储引擎占用磁盘空间。

附图说明

图1为本发明虚拟化网络靶场环境的初始化方法的流程图；

图2为本发明实施例的总流程图；

图3为本发明实施例的自动生成配置启动文件的流程图；

图4为本发明实施例的编排网络靶场场景的流程图；

图5为本发明实施例的自动初始化网络靶场场景和自动复位网络靶场场景流程图。

具体实施方式

以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、技术之类的具体细节，以便透彻理解本发明实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中，省略对众所周知的系统、装置、电路以及方法的详细说明，以免不必要的细节妨碍本发明的描述。

下面结合实施例详述本发明，但本发明并不局限于这些实施例。

图1为本发明虚拟化网络靶场环境的初始化方法的流程图。

本发明第一实施例的虚拟化网络靶场环境的初始化方法，包括：

步骤1、确定网络靶场需要构建的场景中的每个虚拟化网络设备网元；

步骤2、设定所述虚拟化网络设备网元的初始化参数，所述初始化参数包括启动时加载的镜像及是否需要加载指定配置启动文件；

步骤3、根据每个所述虚拟化网络设备网元的初始化参数，初始化所述网络靶场，具体为：

步骤3.1、启动所述虚拟化网络设备网元的镜像，具体为：

利用虚拟化技术启动所述虚拟化网络设备网元的镜像，并将所述虚拟化网络设备网元的串口映射到宿主机的特定端口，所述宿主机为实体化网络设备。本申请的虚拟化技术包括但不限于OpenStack、KVM、VMware、Virtualbox、Qemu、IoL、Dynamips、Docker

步骤3.2、判断所述镜像的类型，根据所述镜像的类型，通过对应的端口加载配置启动文件，完成网络靶场场景的初始化；所述配置启动文件包括指定配置启动文件和默认配置启动文件，具体为：

当所述镜像的类型属于Qemu、IoL或Dynamips支持的镜像格式时，所述虚拟化网络设备网元通过所述串口连接所述宿主机，从所述宿主机加载配置启动文件；所述宿主机的配置管理中心存储有指定配置启动文件，所述指定配置启动文件由所述场景中涉及的网络配置厂商的虚拟化网络设备网元自动生成；

当所述镜像的类型属于Docker支持的镜像格式时，判断所述虚拟化网络设备网元是否需要加载指定配置启动文件，如是，则通过所述虚拟化网络设备网元的容器命令行接口从所述宿主机的配置管理中心获取指定配置启动文件，并拷贝或映射到当前虚拟化网络设备网元的配置启动文件存放路径中；如否，则通过当前虚拟化网络设备网元的对外接口加载默认的配置启动文件。

其中的所述虚拟化网络设备网元通过所述串口连接所述宿主机，从所述宿主机加载配置启动文件，具体为：

所述虚拟化网络设备网元通过所述串口连接所述宿主机；

判断当前所述虚拟化网络设备网元是否需要加载指定配置启动文件，如是，则通过其管理口从所述宿主机的配置管理中心获取指定配置启动文件，存储于当前虚拟化网络设备网元的配置启动文件存放路径中；如否，则通过当前虚拟化网络设备网元的对外接口加载默认的配置启动文件。对外接口包括但不限于命令行接口和WEB接口。

在管理口与所述配置管理中心多次网络不可达时，重启当前所述虚拟化网络设备网元，并重新尝试连接。配置管理中心包括但不限于FTP服务器、TFTP服务器、SFTP服务器、WEB服务器。

本发明的第二实施例提供了一种虚拟化网络靶场环境的复位方法，当所述网络靶场受到攻击后，执行上述方法复位所述网络靶场。

下面将以具体的实施例详述本申请。

本实施例虚拟化网络靶场环境的初始化方法和复位方法，其总流程图如图2所示，包括如下步骤：

1、自动生成配置启动文件，其流程图见图3，包括：

S1.1、判断网络设备厂商，包括：

根据网络靶场需要构建的场景，编排合适的网络设备厂商。所述网络设备包括但不限于路由器、交换机、基站、核心网、防火墙等。所述网络设备厂商，包括但不限于国外厂商思科、诺基亚、爱立信、瞻博等，国内厂商华为、中兴、新华三、烽火、锐捷等。

S1.2、基于不同厂家设备自动生成配置启动文件，包括：

根据网络靶场场景中选择的网络配置厂商，自动生成对应的配置启动文件。所述自动生成对应的配置启动文件，指基于场景针对网络连接端到端属性描述自动生成。

2、编排网络靶场场景，其流程图见图4，包括：

S2.1、编排单个网络设备网元，包括：

根据网络靶场需要构建的场景，依次编排单个网络设备网元。所述网络设备网元，指网络管理中可以监视和管理的最小单位。

S2.2、指定网络设备类型和镜像，包括：

针对单个网络设备网元，指定该网络设备的类型和镜像。所述网络设备类型，包括虚拟化网络设备。所述网络设备镜像，指虚拟化网络设备启动加载的镜像文件。

S2.3、指定是否加载配置启动文件，包括：

针对单个网络设备网元，指定初始化时是否加载配置启动文件。所述配置启动文件，指S1.1和S1.2中满足厂商规范的配置启动文件。所述指定加载配置启动文件，指通过网络设备网元编排时上传到配置管理中心存储的配置启动文件，不同网络靶场场景的配置启动文件不同。

S2.4、编排网络设备网元间关系，包括：

根据网络靶场需要构建的场景，编排网络设备网元间的拓扑关系。所述拓扑关系，指图形元素之间相互空间上的连接、邻接关系并不考虑具体位置，包括但不限于拓扑邻接、拓扑关联、拓扑包含等。

3、自动初始化网络靶场场景和自动复位网络靶场场景，其流程图见图5，该图中包括了实体化网络设备和本申请的虚拟化网络设备的初始化及复位流程，包括：

S3.1、判断网络设备网元类型，包括：

根据网络靶场场景编排中涉及到的各个网络设备网元，判断网络设备网元的类型。所述网元类型，包括虚拟化网络设备和实体化网络设备。

S3.2、虚拟化网络设备，包括：

当前网络设备网元属于虚拟化网络设备。

S3.3、启动网络设备镜像，包括：

当前网络设备网元属于虚拟化网络设备，通过虚拟化技术启动网络设备镜像，并进行虚拟化网络设备的串口映射。所述虚拟化技术，包括但不限于OpenStack、KVM、VMware、Virtualbox、Qemu、IoL、Dynamips、Docker等。所述串口映射，指通过虚拟化技术将虚拟化网络设备的串口映射到宿主机的特定端口，可以通过终端仿真程序连接该宿主机端口访问虚拟化网络设备的串口。所述串口，指网络设备的Console口，一般使用Console线直接连接至计算机的串口，利用终端仿真程序在本地配置网络设备。所述串口映射端口由虚实结合引擎统一分配和管理。

S3.4、判断网络设备镜像类型，包括：

判断当前待启动网络设备的镜像类型。所述网络设备镜像类型，包括但不限于Qemu、IoL、Dynamips、Docker等。

S3.5、Qemu/IoL/Dynamips，包括：

当前网络设备的镜像类型属于Qemu、IoL、Dynamips支持的镜像文件格式。

S3.6、通过串口连接网络设备，包括：

通过终端仿真程序连接串口管理中心端口映射后的指定端口访问实体化网络设备的串口，通过终端仿真程序连接宿主机端口映射后的指定端口访问虚拟化网络设备的串口，该串口连接可以配置当前网络设备。网络靶场即使管理面被攻击也不影响串口连接和配置，通过串口连接网络设备可以保证网络靶场场景的成功初始化和复位。

S3.7、加载指定配置启动文件，包括：

判断当前网络设备是否需要加载指定的配置启动文件。所述配置启动文件，指S1.1和S1.2中满足厂商规范的配置启动文件。所述指定加载配置启动文件，指通过网络设备网元编排时上传到配置管理中心存储的配置启动文件，不同网络靶场场景的配置启动文件不同。

S3.8、通过管理口下载/上传配置启动文件，包括：

当前网络设备需要加载指定的配置启动文件，通过管理口从配置管理中心获取配置启动文件到当前网络设备的配置启动文件存放路径。如果管理口与配置管理中心多次网络不可达，重启当前虚拟化网络设备并重新尝试连接，防止网络设备管理面被攻击后管理口连接不可用。所述配置管理中心，指提供配置启动文件上传、存储、下载等管理功能的模块，包括但不限于FTP服务器、TFTP服务器、SFTP服务器、WEB服务器。所述管理口，指网络设备的管理接口，包括但不限于Mgmt口和配置网络可达并使能管理面功能的其他接口。所述管理面功能，包括但不限于Telnet、SSH、FTP、TFTP、SFTP、WEB、SNMP、Netconf等。

S3.9、加载指定配置启动文件，包括：

通过当前设备厂商对外提供的接口加载指定的配置启动文件。所述对外提供的接口，包括但不限于命令行（CLI）接口和WEB接口等。

S3.10、Docker，包括：

当前网络设备的镜像类型属于Docker支持的镜像文件格式。

S3.11、加载指定配置启动文件，包括：

判断当前网络设备是否需要加载指定的配置启动文件。所述配置启动文件，指S1.1和S1.2中满足厂商规范的配置启动文件。所述指定加载配置启动文件，指通过网络设备网元编排时上传到配置管理中心存储的配置启动文件，不同网络靶场场景的配置启动文件不同。

S3.12、通过Docker命令拷贝/映射配置启动文件，包括：

当前网络设备需要加载指定的配置启动文件，通过容器命令行（CLI）接口从配置管理中心获取配置启动文件，并拷贝或映射到当前网络设备的配置启动文件存放路径。如果管理口与配置管理中心多次网络不可达，重启当前虚拟化网络设备并重新尝试连接，防止网络设备管理面被攻击后管理口连接不可用。所述配置管理中心，指提供配置启动文件上传、存储、下载等管理功能的模块，包括但不限于FTP服务器、TFTP服务器、SFTP服务器、WEB服务器。所述管理口，指网络设备的管理接口，包括但不限于Mgmt口和配置网络可达并使能管理面功能的其他接口。

S3.13、加载默认配置启动文件，包括：

通过当前设备厂商对外提供的接口加载默认的配置启动文件。所述对外提供的接口，包括但不限于命令行（CLI）接口和WEB接口等。

S3.14、加载默认配置启动文件，包括：

通过当前设备厂商对外提供的接口加载默认的配置启动文件。所述对外提供的接口，包括但不限于命令行（CLI）接口和WEB接口等。

S3.15、实体化网络设备，包括：

当前网络设备网元属于实体化网络设备，将实体化网络设备的串口连接到串口管理中心，将管理口连接到交换管理中心。所述串口管理中心，指通过访问串口管理中心的映射后端口可以连接并配置当前网络设备，包括但不限于串口服务器等。所述交换管理中心，指对不同范围、领域的空间信息及其元数据进行有效管理、给信息需求者提供空间数据的目录信息、元数据信息、信息的地址等的计算机联网管理中心，包括但不限于以太网交换机等。

S3.16、网络设备存在串口，包括：

当前网络设备网元属于实体化网络设备，判断网络设备是否存在串口。所述串口，指网络设备的Console口，一般使用Console线直接连接至计算机的串口，利用终端仿真程序在本地配置网络设备。所述串口映射端口由虚实结合引擎统一分配和管理。

S3.17、通过管理口连接网络设备，包括：

通过终端仿真程序连接网络设备的管理口，通过该管理口连接可以配置当前网络设备。

进一步的，所述自动初始化网络靶场场景和自动复位网络靶场场景方法的区别在于，初始化场景时的配置启动文件是未启动场景指定的配置启动文件，复位场景时配置启动文件是当前已启动场景指定的配置启动文件。

应当认识到，本发明实施例的实质是将不同场景的配置实例，与网络设备基础镜像和版本分离，基于场景灵活加载配置启动文件满足网络靶场环境的构建和复位。本发明实施例中的方法，既支持纯虚拟化网络靶场环境的初始化和复位，又支持纯实体化网络靶场环境的初始化和复位，还支持虚实结合网络靶场环境的初始化和复位。

应当认识到，本发明实施例中的方法步骤可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系统通信。

此外，可按任何合适的顺序来执行本文描述的过程的操作，除非本文另外指示或以其他方式明显地与上下文矛盾。本文描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下执行，并且可作为共同地在一个或多个处理器上执行的代码(例如，可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。

进一步，所述方法可以在可操作地连接至合适的任何类型的计算平台中实现，包括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成的计算机平台、或者与带电粒子工具或其它成像装置通信等等。

本发明能够解决网络靶场环境虚拟化镜像文件占用磁盘空间大的问题。针对虚拟化网络设备采用启动网络设备镜像，通过串口、管理口和容器命令行接口加载特定场景的配置启动文件初始化和复位网络靶场场景，而存储引擎只需要保存设备厂商基础镜像文件，大大减少存储引擎占用磁盘空间；能够解决网络靶场环境实体化网络设备实体化场景固化的问题。针对实体化网络设备采用启动网络设备版本，通过串口和管理口加载特定场景的配置启动文件生成网络靶场场景，实体化设备通过不同配置启动文件可以初始化不同网络攻防场景，大大增加实体化网络设备的复用性，减少网络靶场硬件成本；能够解决网络靶场环境实体化网络设备需要人工干预复位的问题。针对实体化网络设备采用物理启动设备，网络靶场即使被攻击也不影响串口连接和配置，通过串口重启网络设备，并通过串口或管理口重新加载该场景的配置启动文件复位网络靶场场景，可以做到网络靶场场景的快速复位。

以上以用实施例说明的方式对本发明作了描述，本领域的技术人员应当理解，本公开不限于以上描述的实施例，在不偏离本发明的范围的情况下，可以做出各种变化、改变和替换。