[发明专利]网络靶场快速互联系统与方法

说明书

本发明公开了一种网络靶场快速互联系统与方法，在协议转换节点上统一部署各网络靶场的相邻计算节点以及协议转换模块，各网络靶场只需保证内部节点互联互通即可；在相邻计算节点上创建网络靶场的相邻网络设备节点，相邻网络设备节点由场景中不归属于该网络靶场且与其相连的网络设备节点合并而成；协议转换模块用于监听并截获所有网络靶场的相邻网络设备节点上所有虚拟网卡的帧数据，确定源地址对应的网络设备节点在目标网络靶场中相邻网络设备节点的虚拟网卡，并将协议转换的帧数据通过该虚拟网卡发送。本发明通过协议转换节点解耦了网络靶场之间的关联，可以提升网络靶场融合的便捷性、灵活性，以及网络靶场之间的互操作性和协议的拓展性。

技术领域

本发明涉及网络靶场快速互联系统与方法，属于网络技术领域。

背景技术

网络靶场是指通过虚拟环境与真实设备相结合，模拟仿真出真实网络空间攻防作战环境，能够支撑作战能力研究和武器装备验证的试验平台。随着信息时代的不断发展，网络环境日益复杂，不同厂商不同场景研制了不同的网络靶场，为了模拟复杂的网络环境，需要对多网络靶场进行互联共同构建网络拓扑场景。

目前多网络靶场互联的部署图如图1所示，具体场景编排流程如下：1）各个网络靶场的计算节点通过交换机Trunk口相连，保证vlan网络模式下帧数据可传输。2）管理员通过网络靶场总控制系统编制场景网络拓扑图。3）网络靶场总控制系统与各网络靶场控制节点通信收集各个网络靶场的部署信息，包含计算节点在数据网络下的IP地址。4）网络靶场总控制系统根据网络设备节点的特性及网络特性将网络设备节点分配到各个网络靶场，如防火墙镜像虚拟机分配到防火墙特性的网络靶场等，将不同的网络设备节点标记到不同的网络靶场。5）网络靶场总控制系统下发带标记的场景网络拓扑图信息到各个网络靶场控制节点。6）网络靶场控制节点根据标记归属的场景网络拓扑图信息创建分配的虚拟局域网及网络设备节点。7）网络靶场控制节点识别与标记归属的网络设备节点连通的归属其他网络靶场的网络设备节点的IP地址、MAC地址。8）网络靶场控制节点将相邻网络设备节点配置信息及对应网络靶场计算节点部署信息发送到计算节点的协议转换模块。9）网络靶场协议转换模块监听虚拟交换机帧数据进行协议转换发送。根据相邻网络设备节点IP地址、MAC地址识别发送到相连网络设备节点的帧数据进行协议转换，根据目标网络靶场的部署信息转换至目标网络靶场的网络模式下的帧数据重新通过目标网络靶场下对应的虚拟网卡及虚拟交换机发送。10）网络靶场协议模块配置虚拟交换机不过滤来自相邻网络设备节点的帧数据。根据相邻网络设备节点IP地址、MAC地址、对应网络靶场计算节点IP地址、对应网络靶场计算节点MAC地址配置虚拟交换机的转发规则，保证帧数据可以被正常转发。11）完成场景编排。

上述现有多网络靶场互联的架构存在如下问题：1、协议拓展性差，每个网络靶场都需要开发实现复杂的协议转换模块，网络模式多种多样，每个网络靶场都需要实现不同的网络协议转换模块，每当新增一种网络模式，每个网络靶场都需要开发更新各自的协议转换模块。2、部署拓展性差，为了保证网络靶场支持vlan网络模式，各个网络靶场计算节点都需要通过交换机Trunk口支持二层相连，网络靶场之间无法通过路由器相连。3、部署耦合性强，灵活性差，当其中一个网络靶场调整自己的部署方案时，都需要将调整同步到其他网络靶场，且每个网络靶场的部署方案调整时都需要考虑对其他网络靶场的影响。

发明内容

发明目的：针对上述现有技术存在的问题，本发明目的在于提供一种网络靶场快速互联系统与方法，以提升网络靶场融合的便捷性、灵活性，以及网络靶场之间的互操作性和协议的拓展性。