[发明专利]一种网络靶场数据采集系统及方法

说明书

本发明提供了一种网络靶场数据采集系统及方法，其中方法包括：数据控制模块，用于制定网络靶场的流量数据的采集策略，解析采集策略，确定流量采集虚拟机所在的物理计算节点，并将采集策略下发到物理节点上的采集软探针；至少一个采集软探针，每个采集软探针设置在物理计算节点上，连接虚拟机的虚拟网卡，接收采集策略，根据采集策略采集虚拟机的虚拟网卡流量，将采集到的流量数据通过独立的主机网卡发送至数据分析节点；数据分析节点模块，部署在物理计算节点上，接收采集软探针发送的流量数据，进行外传。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络靶场数据采集系统及方法。

背景技术

网络靶场已经成为各国进行网络空间安全研究、学习、测试、验证、演练等必不可少的网络空间安全核心基础设施。世界各国均高度重视网络靶场建设，将其作为安全能力建设支撑的重要手段。

数据采集和分析是网络靶场平台的核心能力。靶场中的网络架构、业务系统、访问行为等均是主要通过虚拟化技术来实现，而虚拟化后给网络流量的采集带来诸多问题，原有适用的静态的镜像端口采集和运维的方式已不能适用虚拟化环境的变化，如何高速、灵活的进行数据动态采集也是当前的一个技术难点。

现有网络靶场厂家的通用网络数据采集方法可参见：202010769634.9，一种网络靶场的流量采集系统与方法，通过对虚拟机的虚拟网卡分离为：网络通信网卡和专用的流量网卡。其中专用的流量网卡负责将网络通信网卡的流量进行镜像，并通过单独的物理网卡连接到物理的交换机，物理的交换机开启/设置镜像功能，将所有采集的流量镜像到指定的流量采集虚拟机网卡，通过该种方式实现网络靶场中的虚拟机流量数据的采集。

然而该通用网络数据采集方法存在的问题包括以下几个方面：

1、至少要每个虚拟机的网络流量实现两次镜像，第一次在虚拟机的虚拟交换机处，第二次在物理交换机处，增加了配置管理复杂度以及增大计算节点的性能开销。

2、可镜像的流量大小由虚拟交换机性能决定，对虚拟交换机稳定性有一定影响，如果计算节点的虚拟机数量较多，一旦内部流量较大，虚拟交换机的稳定性将受到影响，直接导致正常的业务受损。

3、KVM(Keyboard Video Mouse)环境中需由虚拟管理控制节点统一下发镜像流表，管理维护复杂。

发明内容

本发明旨在提供一种克服上述问题或者至少部分地解决上述问题的网络靶场数据采集系统及方法。

为达到上述目的，本发明的技术方案具体是这样实现的：

本发明的一个方面提供了一种网络靶场数据采集系统，包括：数据控制模块，用于制定网络靶场的流量数据的采集策略，解析所述采集策略，确定流量采集虚拟机所在的物理计算节点，并将所述采集策略下发到所述物理节点上的采集软探针；至少一个所述采集软探针，每个所述采集软探针设置在所述物理计算节点上，连接虚拟机的虚拟网卡，接收所述采集策略，根据所述采集策略采集所述虚拟机的虚拟网卡流量，将采集到的流量数据通过独立的主机网卡发送至数据分析节点；所述数据分析节点，部署在所述物理计算节点上，接收所述采集软探针发送的所述流量数据，进行外传。

其中，所述采集策略包括：采集网络靶场基本信息、采集虚拟机信息、数据采集点信息和流量规则，其中，所述采集虚拟机信息包括虚拟机ID号和IP地址，所述数据采集点信息包括数据采集点ID号，所述流量规则包括：指定的网卡、指定IP地址、指定端口和/或时间段。

其中，所述数据控制模块通过API接口与所述网络靶场连接。

其中，所述采集软探针通过所述独立的主机网卡与所述数据分析节点建立VxLAN隧道。

其中，所述数据分析节点通过VxLAN隧道将所述流量数据进行外传。