[发明专利]一种网络流量注入方法、装置、设备、存储介质

说明书

本申请公开了一种网络流量注入方法、装置、设备、存储介质，涉及网络安全领域，应用于预设流量注入系统，包括：获取包含流量包路径和流量注入点的网络流量注入请求；基于流量包路径以及Packet_out协议对网络流量包进行封装，以得到相应的Packet_out数据包；将Packet_out数据包下发至交换机，完成网络流量注入。可见，本申请通过网络协议代替额外新增的导流设备，减少拓扑的复杂性，首先自主产生Packet_out协议，然后直接通过Packet_out协议与交换机进行通信，将网络流量封装在Packet_out协议中，最终将网络流量下发，无需导流设备，实现无侵入式的流量注入，简化了底层拓扑结构。

技术领域

本发明涉及网络安全领域，特别涉及一种网络流量注入方法、装置、设备、存储介质。

背景技术

近年来，国内外安全形势日益严峻，网络安全问题日益凸显。这标志着越来越多的国家级关键基础设施提供方、特种行业以及大型公共服务业被黑客当作攻击目标，加大对信息安全保障的投入迫在眉睫。网络与信息安全是一个以实践为基础的专业，因此，建设网络安全实训靶场，不仅仅让靶场成为一个知识的学习中心，更是一个技能实践中心，一个技术研究中心。网络靶场(Cyber Range)是一个供5方角色协同使用的网络系统仿真平台。用于支撑网络安全人才培养、网络攻防训练、安全产品评测和网络新技术验证。网络安全人员要就攻防技术进行训练、演练；一项新的网络技术要试验，不能在互联网上进行，否则容易造成不可逆的破坏，于是需要建立网络靶场，把网络的要素虚拟到网络靶场。

但在搭建虚拟化网络攻防靶场时，存在回放攻击流量的需求，即将包含攻击流量的数据包下发到拓扑中，达到模拟服务器被攻击时的场景。因此，如何将流量注入到拓扑中是需要解决的一个技术难题，现有技术中为解决流量注入问题，一般内置一个流量发生器，该流量发生器一般为docker，docker 通过veth pair连接到原有拓扑中，需要回放的流量包内置在流量发生器的内部，通过内部的某些工具或程序将流量直接发送出来，由于是使用veth pair连接，流量可直达拓扑内部，虽然使用veth pair接入拓扑可以回放流量，但需要在原有拓扑中接入导流设备，增加了拓扑的复杂性。

综上，如何减少额外接入导流设备，实现无侵入式流量注入是本领域有待解决的技术问题。

发明内容

有鉴于此，本发明的目的在于提供一种网络流量注入方法、装置、设备、存储介质，能够减少额外接入导流设备，实现无侵入式流量注入。其具体方案如下：

第一方面，本申请公开了一种网络流量注入方法，应用于预设流量注入系统，包括：

获取包含流量包路径和流量注入点的网络流量注入请求；

基于所述流量包路径以及Packet_out协议对网络流量包进行封装，以得到相应的Packet_out数据包；

将所述Packet_out数据包下发至交换机，完成网络流量注入。

可选的，所述获取包含流量包路径和流量注入点的网络流量注入请求，包括：

获取调用Rest Api下发的包含流量包路径和流量注入点的网络流量注入请求。

可选的，所述基于所述流量包路径以及Packet_out协议对网络流量包进行封装之前，还包括：

通过预设流量包捕获接口抓取网络流量包，并将所述网络流量包转换为二进制流。

可选的，所述网络流量注入方法，还包括：

启动所述预设流量注入系统，基于Openflow协议建立交换机与控制器之间的连接。

可选的，所述基于Openflow协议建立交换机与控制器之间的连接，包括：

通过网络应用程序框架和工具并基于Openflow协议建立交换机与控制器之间的连接。