CN113438103B - 一种大规模网络靶场及其构建方法、构建装置、构建设备 - Google Patents

一种大规模网络靶场及其构建方法、构建装置、构建设备 Download PDF

Info

Publication number
CN113438103B
CN113438103B CN202110635946.5A CN202110635946A CN113438103B CN 113438103 B CN113438103 B CN 113438103B CN 202110635946 A CN202110635946 A CN 202110635946A CN 113438103 B CN113438103 B CN 113438103B
Authority
CN
China
Prior art keywords
network
range
sub
network sub
industry
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110635946.5A
Other languages
English (en)
Other versions
CN113438103A (zh
Inventor
傅涛
郭超
郭金辉
陶金泉
郁冬炎
贾洪涛
丁友根
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bozhi Safety Technology Co ltd
Original Assignee
Bozhi Safety Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bozhi Safety Technology Co ltd filed Critical Bozhi Safety Technology Co ltd
Priority to CN202110635946.5A priority Critical patent/CN113438103B/zh
Publication of CN113438103A publication Critical patent/CN113438103A/zh
Application granted granted Critical
Publication of CN113438103B publication Critical patent/CN113438103B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0896Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2408Traffic characterised by specific attributes, e.g. priority or QoS for supporting different services, e.g. a differentiated services [DiffServ] type of service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供本一种大规模网络靶场及其构建方法、构建装置、构建设备,构建方法包括如下步骤:S1:确定大规模网络靶场需要构建的每个网络子靶场;S2:设定每个网络子靶场的构建参数;S3:判定每个网络子靶场的类型,根据所述类型以及与该类型所对应的构建参数构建大规模网络靶场。本发明具有如下有益效果:一方面,在电信网络子靶场构建过程中,构建了场提供基本网络服务的运营商通信公网靶场和行业通信专网靶场,逼真地模拟云管端一体化的大规模网络靶场;另一方面,在行业网络子靶场构建过程中,可以在电信网络子靶场的边缘同时扩展多个行业网络子靶场,灵活地将多个行业靶场融合到一个端到端的大规模网络靶场。

Description

一种大规模网络靶场及其构建方法、构建装置、构建设备
技术领域
本发明涉及信息安全的技术领域,具体涉及一种大规模网络靶场及其构建方法、构建装置、构建设备。
背景技术
网络安全是指网络***的硬件、软件及其***中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,***连续可靠正常地运行,网络服务不中断。目前全球网络安全形势严峻,层出不穷的网络安全事件频发,在日益复杂和庞大的网络结构中,任何行业都不能在日益泛滥的网络攻击下幸免。无论是军队为了网络空间的军事训练和战术战略,还是公共服务行业为了应对网络攻击的响应演练,又或者关键基建上线前为了确保性能和安全测试评估,都离不开大规模灵活构建和逼真模拟的网络靶场支撑。
在模拟网络攻防演练过程中,在高逼真的模拟环境开展高仿真的业务模拟,提升在真实环境下攻防两端实战能力,是针对国家网络空间安全建设和行业整体发展的重大现实需求。
网络靶场(Cyber Range)是一种基于虚拟化技术,对真实网络空间中的网络架构、***设备、业务流程的运行状态及运行环境进行模拟和复现的技术或产品,以更有效地实现与网络安全相关的学***。
目前针对网络靶场的构建方法,存在以下几方面的不足:
第一,当前网络靶场构建主要依赖于二三层交换机,通过静态路由和VLAN(Virtual Local Area Network,虚拟局域网)将网络靶场的网元简单地连接和分离,很难将多个行业靶场有机结合起来,构建灵活性不足。
第二,当前网络靶场的构建脱离了提供基础网络服务的运营商通信公网和行业通信专网,很难模拟出端到端的大规模网络靶场,模拟逼真性有限。
发明内容
本发明的目的在于提供一种大规模网络靶场及其构建方法、构建装置、构建设备,达到在电信网络靶场边缘扩展多个行业网络靶场的大规模网络靶场,实现灵活地将多个行业靶场融合到一个端到端的大规模网络靶场。
本发明提供一种大规模网络靶场的构建方法,包括如下步骤:
S1:确定大规模网络靶场需要构建的每个网络子靶场;
S2:设定每个网络子靶场的构建参数,所述构建参数包括每个网络子靶场的网络拓扑、每个网络子靶场的网元、每个网络子靶场的业务、每个网络子靶场的风险点和每个网络子靶场的流量;
S3:判定每个网络子靶场的类型,根据所述类型以及与该类型所对应的构建参数构建大规模网络靶场。
进一步地,网络子靶场包括电信网络子靶场和行业网络子靶场,步骤S1的具体方法为:
确定需要构建的每个电信网络子靶场;
确定需要构建的每个行业网络子靶场。
进一步地,步骤S2包括如下具体步骤:
设定每个网络子靶场的网络拓扑;
设定每个网络子靶场的网元;
设定每个网络子靶场的业务;
设定每个所述网络子靶场的风险点;
设定每个网络子靶场的流量;其中所述网络拓扑包括网络子靶场内部拓扑关系和网络子靶场间的拓扑关系;网络子靶场的业务包括网元管理平面业务、网元控制平面业务和网元转发平面业务;网络子靶场的风险点包括基础设施层安全风险点、网元功能层安全风险点和数据层安全风险点;网络子靶场的流量包括背景流量和威胁流量。
进一步地,步骤S3的具体方法为:
S31:判断每个网络子靶场的类型;
S32:当网络子靶场的类型为电信网络子靶场时,首先根据每个电信网络子靶场内部拓扑关系、网元、业务、风险点、背景流量和威胁流量构建网络子靶场;然后根据电信网络子靶场间拓扑关系参数,将多个电信网络子靶场对接起来;最后根据电信网络子靶场间背景流量和威胁流量参数,生成电信网络子靶场间的背景流量和威胁流量;
S33:当网络子靶场的类型为行业网络子靶场,首先根据每个行业网络子靶场内部拓扑关系、网元、业务、风险点、背景流量和威胁流量构建网络子靶场;然后根据电信网络子靶场和行业网络子靶场之间拓扑关系参数,将行业网络子靶场扩展接入电信网络子靶场边缘;接着根据电信网络子靶场和行业网络子靶场之间背景流量和威胁流量参数,生成电信网络子靶场和行业网络子靶场之间的背景流量和威胁流量;最后根据行业网络子靶场间背景流量和威胁流量参数,生成行业网络子靶场间背景流量和威胁流量。
本发明还提供一种大规模网络靶场,其包括多个网络子靶场,每个网络子靶场包括:
电信网络子靶场,包括运营商通信公网子靶场和行业通信专网子靶场;
行业网络子靶场,包括但不限于关键基础设施网络靶场、电力网络靶场、交通网络靶场、能源网络靶场、制造网络靶场、政务网络靶场、金融网络靶场、教育网络靶场、电商网络靶场、特种网络靶场、中小型企业网络靶场、军工网络靶场和物联网网络靶场。
进一步地,所述运营商通信公网子靶场包括但不限于运营商骨干网靶场、运营商移动核心网靶场以及与所述运营商骨干网靶场连接的运营商城域网靶场;所述运营商移动核心网靶场包括但不限于与所述运营商骨干网靶场连接的运营商核心网靶场、与所述运营商核心网靶场连接的运营商承载网靶场、运营商接入网靶场以及连接所述运营商承载网靶场和运营商接入网靶场的运营商传输网靶场。
进一步地,所述行业通信专网子靶场包括但不限于关键基础设施专网子靶场、电力专网子靶场、交通专网子靶场、能源专网子靶场、制造专网子靶场、政务专网子靶场、金融专网子靶场、教育专网子靶场、电商专网子靶场、特种专网子靶场、中小型企业专网子靶场和军工专网子靶场。
进一步地,所述行业通信专网子靶场包括但不限于行业城域专网靶场和行业移动通信专网靶场;行业移动通信专网靶场包括行业核心专网靶场、行业承载专网靶场、行业传输专网靶场和行业接入网靶场。
本发明还提供一种大规模网络靶场的构建装置,包括:
场景构建模块,用于根据网络靶场的构建参数并发构建电信网络子靶场和行业网络子靶场;
风险注入模块,用于在电信网络子靶场和行业网络子靶场中动态注入风险点;
流量生成模块,用于在电信网络子靶场和行业网络子靶场中生成背景流量和威胁流量。
本发明还提供一种大规模网络靶场的构建设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现所述大规模网络靶场的构建方法。
本发明一种大规模网络靶场及其构建方法、构建装置、构建设备,在电信网络靶场边缘扩展多个行业网络靶场的大规模网络靶场,能有效避免现有技术中网络靶场构建灵活性不足和模拟逼真性有限的缺陷,具有如下有益效果:一方面,在电信网络子靶场构建过程中,构建了场提供基本网络服务的运营商通信公网靶场和行业通信专网靶场,逼真地模拟云管端一体化的大规模网络靶场;另一方面,在行业网络子靶场构建过程中,可以在电信网络子靶场的边缘同时扩展多个行业网络子靶场,灵活地将多个行业靶场融合到一个端到端的大规模网络靶场。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。其中:
图1为本发明实施例的大规模网络靶场的运营商通信公网子靶场的示意图;
图2为本发明实施例的大规模网络靶场的构建方法的流程图;
图3为本发明实施例的大规模网络靶场的构建方法的第一步的流程图;
图4为本发明实施例的大规模网络靶场的构建方法的第二步的流程图;
图5为本发明实施例的大规模网络靶场的构建方法的第三步的流程图;
图6为本发明实施例的大规模网络靶场的构建装置的示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明,显然所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明的保护的范围。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
其次,此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。
本发明结合示意图进行详细描述,在详述本发明实施例时,为便于说明,表示器件结构的剖面图会不依一般比例作局部放大,而且所述示意图只是示例,其在此不应限制本发明保护的范围。此外,在实际制作中应包含长度、宽度及深度的三维空间尺寸。
同时在本发明的描述中,需要说明的是,术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一、第二或第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本发明实施例提供一种大规模网络靶场,用于电信网络靶场边缘扩展行业,由大规模网络靶场的构建方法形成的,其包括多个网络子靶场,每个网络子靶场包括电信网络子靶场和行业网络子靶场,电信网络子靶场包括运营商通信公网子靶场和行业通信专网子靶场。
如图1所示,运营商通信公网子靶场包括但不限于运营商骨干靶场001、运营商移动核心网靶场200、与运营商骨干靶场001连接的运营商城域网靶场003以及均与运营商城域网靶场003连接的小型企业网络靶场005和电力网络靶场006,运营商移动核心网靶场200包括但不限于与运营商骨干靶场001通过网络连接的运营商核心网靶场002、与运营商核心网靶场002连接的运营商承载网靶场004、与运营商承载网靶场004连接的运营商接入网靶场007以及与运营商接入网靶场007连接的物联网网络靶场008。
行业通信专网子靶场包括但不限于关键基础设施专网子靶场、电力专网子靶场、交通专网子靶场、能源专网子靶场、制造专网子靶场、政务专网子靶场、金融专网子靶场、教育专网子靶场、电商专网子靶场、特种专网子靶场、中小型企业专网子靶场和军工专网子靶场;行业通信专网子靶场包括但不限于行业城域专网靶场和行业移动通信专网靶场;行业移动通信专网靶场包括行业核心专网靶场、行业承载专网靶场、行业传输专网靶场和行业接入网靶场。
其中行业网络子靶场包括但不限于关键基础设施网络靶场、电力网络靶场、交通网络靶场、能源网络靶场、制造网络靶场、政务网络靶场、金融网络靶场、教育网络靶场、电商网络靶场、特种网络靶场、中小型企业网络靶场、军工网络靶场和物联网网络靶场。
本发明实施例提供一种大规模网络靶场的构建方法,如图2所示,包括如下步骤:
S1:确定大规模网络靶场需要构建的每个网络子靶场;
S2:设定每个网络子靶场的构建参数,构建参数包括每个网络子靶场的网络拓扑、每个网络子靶场的网元、每个网络子靶场的业务、每个网络子靶场的风险点和每个网络子靶场的流量;
S3:判定每个网络子靶场的类型,根据类型及与该类型所对应的构建参数构建大规模网络靶场。
针对步骤S1,网络子靶场包括电信网络子靶场和行业网络子靶场。
如图3所示,步骤S1的具体方法为:
S11:确定需要构建的每个电信网络子靶场;
S12:确定需要构建的每个行业网络子靶场。
其中行业网络子靶场包括但不限于关键基础设施网络靶场、电力网络靶场、交通网络靶场、能源网络靶场、制造网络靶场、政务网络靶场、金融网络靶场、教育网络靶场、电商网络靶场、特种网络靶场、中小型企业网络靶场、军工网络靶场和物联网网络靶场。
其中步骤S11和S12为并列关系。
如图4所示,针对步骤S2包括如下具体步骤:
S21:设定每个网络子靶场的网络拓扑;
网络拓扑包括网络子靶场内部拓扑关系和网络子靶场间的拓扑关系。本实施例中运营商骨干网靶场001与运营商城域网靶场003相连接,运营商城域网靶场003均与小型企业网络靶场005和电力网络靶场006相连接,运营商核心网靶场002与运营商承载网靶场004相连接,运营商承载网靶场004与运营商接入网靶场007相连接,运营商接入网靶场007与物联网网络靶场008相连接。
S22:设定每个网络子靶场的网元;
本实施例中运营商城域网靶场003的网元包括但不限于BRAS(Broadband RemoteAccess Server,宽带远程接入服务器)、SR(Service Router,全业务路由器)、BR(Broadband Remote,宽带远程)、CR(Core Router,核心路由器)、SW(Switch,交换机);运营商骨干网靶场001的网元包括但不限于BC和BB;运营商核心网靶场200的网元包括但不限于EPC、5GC和IMS;运营商承载网靶场004的网元包括但不限于A、B、ER和CE;运营商接入网靶场007的网元包括但不限于4G eNB和5G gNB;小型企业网络靶场005的网元包括但不限于路由器、交换机、计算机和打印机;电力网络靶场006的网元包括但不限于防火墙、交换机、网站、变电站和PLC;物联网网络靶场008的网元包括但不限于智能手表和CPE。
S23:设定每个网络子靶场的业务;
网络子靶场的业务包括网元管理平面业务、网元控制平面业务和网元转发平面业务。
S24:设定每个所述网络子靶场的风险点;
网络子靶场的风险点包括基础设施层安全风险点、网元功能层安全风险点和数据层安全风险点;基础设施层安全风险点包括组网安全风险点、虚拟化安全风险点、容器安全风险点、SDN安全风险点和可信计算风险点;网元功能层安全风险点包括网元管理平面风险点、网元控制平面风险点和网元转发平面风险点。
S25:设定每个网络子靶场的流量。
网络子靶场的流量包括背景流量和威胁流量;背景流量包括网络子靶场内部背景流量和网络子靶场间的背景流量;威胁流量包括网络子靶场内部威胁流量和网络子靶场间的威胁流量。
其中步骤S21、S22、S23、S24和S25为并列关系。
如图5所示,步骤S3的具体方法为:
S31:判断每个网络子靶场的类型;
S32:当网络子靶场的类型为电信网络子靶场时,首先根据每个电信网络子靶场内部拓扑关系、网元、业务、风险点、背景流量和威胁流量构建网络子靶场;然后根据电信网络子靶场间拓扑关系参数,将多个电信网络子靶场对接起来;最后根据电信网络子靶场间背景流量和威胁流量参数,生成电信网络子靶场间的背景流量和威胁流量;
本实施例中分别根据运营商城域网靶场003、运营商骨干网靶场001和运营商移动通信网靶场200的内部拓扑关系、网元和业务生成场景,动态注入风险点,生成内部背景流量和威胁流量,完成大规模网络靶场的构建。
本实施例中生成运营商骨干网靶场001与运营商城域网靶场003之间的背景流量和威胁流量,运营商核心网靶场002与运营商接入网靶场007之间的背景流量和威胁流量。
S33:当网络子靶场的类型为行业网络子靶场,首先根据每个行业网络子靶场内部拓扑关系、网元、业务、风险点、背景流量和威胁流量构建网络子靶场;然后根据电信网络子靶场和行业网络子靶场之间拓扑关系参数,将行业网络子靶场扩展接入电信网络子靶场边缘;所述电信网络子靶场边缘包括运营商城域网靶场接入层、运营商接入网靶场、行业城域专网靶场接入层和行业接入专网靶场;接着根据电信网络子靶场和行业网络子靶场之间背景流量和威胁流量参数,生成电信网络子靶场和行业网络子靶场之间的背景流量和威胁流量;最后根据行业网络子靶场间背景流量和威胁流量参数,生成行业网络子靶场间背景流量和威胁流量。
本实施例中分别根据小型企业网络靶场、电力网络靶场和物联网网络靶场的内部拓扑关系、网元和业务生成场景,动态注入风险点,生成内部背景流量和威胁流量。
本实施例中将小型企业网络靶场、电力网络靶场通过有线扩展接入运营商城域网靶场接入层,物联网网络靶场通过无线扩展接入运营商接入网靶场。
本实施例中生成运营商城域网靶场与小型企业网络靶场间的背景流量和威胁流量,运营商城域网靶场与电力网络靶场间的背景流量和威胁流量,运营商城域网靶场与物联网网络靶场间的背景流量和威胁流量。
本实施例中生成小型企业网络靶场与电力网络靶场间的背景流量和威胁流量,小型企业网络靶场与物联网网络靶场间的背景流量和威胁流量,电力网络靶场与物联网网络靶场间的背景流量和威胁流量。
本发明实施例还提供一种大规模网络靶场的构建设备,其包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,处理器执行所述计算机程序时实现大规模网络靶场的构建方法。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质存储有计算机可执行指令,计算机可执行指令用于执行大规模网络靶场的构建方法。
如图6所示,本发明实施例还提供一种大规模网络靶场的构建装置,其特征在于,包括:
场景构建模块,用于根据网络靶场构建参数并发构建电信网络子靶场和行业网络子靶场;
风险注入模块,用于在电信网络子靶场和行业网络子靶场中动态注入风险点;
流量生成模块,用于在电信网络子靶场和行业网络子靶场中生成背景流量和威胁流量。
本发明一种大规模网络靶场及其构建方法、构建装置、构建设备,在电信网络靶场边缘扩展多个行业网络靶场的大规模网络靶场,能有效避免现有技术中网络靶场构建灵活性不足和模拟逼真性有限的缺陷,具有如下有益效果:一方面,在电信网络子靶场构建过程中,构建了场提供基本网络服务的运营商通信公网靶场和行业通信专网靶场,逼真地模拟云管端一体化的大规模网络靶场;另一方面,在行业网络子靶场构建过程中,可以在电信网络子靶场的边缘同时扩展多个行业网络子靶场,灵活地将多个行业靶场融合到一个端到端的大规模网络靶场。
应当认识到,本发明实施例中的方法步骤可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机***通信。
此外,可按任何合适的顺序来执行本文描述的过程的操作,除非本文另外指示或以其他方式明显地与上下文矛盾。本文描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机***的控制下执行,并且可作为共同地在一个或多个处理器上执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。
应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。

Claims (9)

1.一种大规模网络靶场的构建方法,其特征在于,包括如下步骤:
S1:确定大规模网络靶场需要构建的每个网络子靶场;
S2:设定每个网络子靶场的构建参数,所述构建参数包括每个网络子靶场的网络拓扑、每个网络子靶场的网元、每个网络子靶场的业务、每个网络子靶场的风险点和每个网络子靶场的流量;
S3:判定每个网络子靶场的类型,根据所述类型以及与该类型所对应的构建参数构建大规模网络靶场;
步骤S3的具体方法为:
S31:判断每个网络子靶场的类型;
S32:当网络子靶场的类型为电信网络子靶场时,首先根据每个电信网络子靶场内部拓扑关系、网元、业务、风险点、背景流量和威胁流量构建网络子靶场;然后根据电信网络子靶场间拓扑关系参数,将多个电信网络子靶场对接起来;最后根据电信网络子靶场间背景流量和威胁流量参数,生成电信网络子靶场间的背景流量和威胁流量;
S33:当网络子靶场的类型为行业网络子靶场,首先根据每个行业网络子靶场内部拓扑关系、网元、业务、风险点、背景流量和威胁流量构建网络子靶场;然后根据电信网络子靶场和行业网络子靶场之间拓扑关系参数,将行业网络子靶场扩展接入电信网络子靶场边缘;接着根据电信网络子靶场和行业网络子靶场之间背景流量和威胁流量参数,生成电信网络子靶场和行业网络子靶场之间的背景流量和威胁流量;最后根据行业网络子靶场间背景流量和威胁流量参数,生成行业网络子靶场间背景流量和威胁流量。
2.根据权利要求1所述的大规模网络靶场的构建方法,其特征在于,网络子靶场包括电信网络子靶场和行业网络子靶场,步骤S1的具体方法为:
确定需要构建的每个电信网络子靶场;
确定需要构建的每个行业网络子靶场。
3.根据权利要求2所述的大规模网络靶场的构建方法,其特征在于,步骤S2包括如下具体步骤:
设定每个网络子靶场的网络拓扑;
设定每个网络子靶场的网元;
设定每个网络子靶场的业务;
设定每个所述网络子靶场的风险点;
设定每个网络子靶场的流量;其中所述网络拓扑包括网络子靶场内部拓扑关系和网络子靶场间的拓扑关系;网络子靶场的业务包括网元管理平面业务、网元控制平面业务和网元转发平面业务;网络子靶场的风险点包括基础设施层安全风险点、网元功能层安全风险点和数据层安全风险点;网络子靶场的流量包括背景流量和威胁流量。
4.一种大规模网络靶场,由权利要求1-3任一所述的大规模网络靶场的构建方法构建的,其包括多个网络子靶场,其特征在于,每个网络子靶场包括:
电信网络子靶场,包括运营商通信公网子靶场和行业通信专网子靶场;
行业网络子靶场,包括关键基础设施网络靶场、电力网络靶场、交通网络靶场、能源网络靶场、制造网络靶场、政务网络靶场、金融网络靶场、教育网络靶场、电商网络靶场、特种网络靶场、中小型企业网络靶场、军工网络靶场和物联网网络靶场。
5.根据权利要求4所述的大规模网络靶场,其特征在于,所述运营商通信公网子靶场包括运营商骨干网靶场(001)、运营商移动核心网靶场(200)以及与所述运营商骨干网靶场(001)连接的运营商城域网靶场(003);所述运营商移动核心网靶场(200)包括与所述运营商骨干网靶场(001)连接的运营商核心网靶场(002)、与所述运营商核心网靶场(002)连接的运营商承载网靶场(004)、运营商接入网靶场(007)以及连接所述运营商承载网靶场(004)和运营商接入网靶场(007)的运营商传输网靶场。
6.根据权利要求4所述的大规模网络靶场,其特征在于,所述行业通信专网子靶场包括关键基础设施专网子靶场、电力专网子靶场、交通专网子靶场、能源专网子靶场、制造专网子靶场、政务专网子靶场、金融专网子靶场、教育专网子靶场、电商专网子靶场、特种专网子靶场、中小型企业专网子靶场和军工专网子靶场。
7.根据权利要求6所述的大规模网络靶场,其特征在于,所述行业通信专网子靶场包括行业城域专网靶场和行业移动通信专网靶场;行业移动通信专网靶场包括行业核心专网靶场、行业承载专网靶场、行业传输专网靶场和行业接入网靶场。
8.一种大规模网络靶场的构建装置,其特征在于,包括:
场景构建模块,用于根据网络靶场的构建参数并发构建电信网络子靶场和行业网络子靶场;
风险注入模块,用于在电信网络子靶场和行业网络子靶场中动态注入风险点;
流量生成模块,用于在电信网络子靶场和行业网络子靶场中生成背景流量和威胁流量;
“场景构建模块,用于根据网络靶场的构建参数并发构建电信网络子靶场和行业网络子靶场”的具体方法为:
判断每个网络子靶场的类型;
当网络子靶场的类型为电信网络子靶场时,首先根据每个电信网络子靶场内部拓扑关系、网元、业务、风险点、背景流量和威胁流量构建网络子靶场;然后根据电信网络子靶场间拓扑关系参数,将多个电信网络子靶场对接起来;最后根据电信网络子靶场间背景流量和威胁流量参数,生成电信网络子靶场间的背景流量和威胁流量;
当网络子靶场的类型为行业网络子靶场,首先根据每个行业网络子靶场内部拓扑关系、网元、业务、风险点、背景流量和威胁流量构建网络子靶场;然后根据电信网络子靶场和行业网络子靶场之间拓扑关系参数,将行业网络子靶场扩展接入电信网络子靶场边缘;接着根据电信网络子靶场和行业网络子靶场之间背景流量和威胁流量参数,生成电信网络子靶场和行业网络子靶场之间的背景流量和威胁流量;最后根据行业网络子靶场间背景流量和威胁流量参数,生成行业网络子靶场间背景流量和威胁流量。
9.一种大规模网络靶场的构建设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1-3中任意一项所述大规模网络靶场的构建方法。
CN202110635946.5A 2021-06-08 2021-06-08 一种大规模网络靶场及其构建方法、构建装置、构建设备 Active CN113438103B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110635946.5A CN113438103B (zh) 2021-06-08 2021-06-08 一种大规模网络靶场及其构建方法、构建装置、构建设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110635946.5A CN113438103B (zh) 2021-06-08 2021-06-08 一种大规模网络靶场及其构建方法、构建装置、构建设备

Publications (2)

Publication Number Publication Date
CN113438103A CN113438103A (zh) 2021-09-24
CN113438103B true CN113438103B (zh) 2023-08-22

Family

ID=77803890

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110635946.5A Active CN113438103B (zh) 2021-06-08 2021-06-08 一种大规模网络靶场及其构建方法、构建装置、构建设备

Country Status (1)

Country Link
CN (1) CN113438103B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114417633B (zh) * 2022-01-27 2022-11-08 北京永信至诚科技股份有限公司 一种基于平行仿真六元组的网络靶场场景构建方法和***
CN115277217B (zh) * 2022-07-29 2024-01-26 软极网络技术(北京)有限公司 一种异域网络靶场虚拟网络的构建***

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108768685A (zh) * 2018-03-29 2018-11-06 中国电力科学研究院有限公司 大规模信息通信网络实时仿真模拟***
CN109286611A (zh) * 2018-08-24 2019-01-29 赛尔网络有限公司 一种网络靶场云平台***、构建方法、设备和介质
CN111343158A (zh) * 2020-02-12 2020-06-26 博智安全科技股份有限公司 一种基于虚拟化技术的网络靶场平台
US10803766B1 (en) * 2015-07-28 2020-10-13 Architecture Technology Corporation Modular training of network-based training exercises
CN112448857A (zh) * 2021-02-01 2021-03-05 博智安全科技股份有限公司 靶场的构建方法、装置、设备及存储介质

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050019240A (ko) * 2003-08-18 2005-03-03 삼성전자주식회사 네트워크 시스템의 제어 방법
US9363278B2 (en) * 2011-05-11 2016-06-07 At&T Mobility Ii Llc Dynamic and selective response to cyber attack for telecommunications carrier networks
EP3826242B1 (en) * 2018-07-19 2022-08-10 Fujitsu Limited Cyber attack information analyzing program, cyber attack information analyzing method, and information processing device
US11138312B2 (en) * 2018-12-19 2021-10-05 Accenture Global Solutions Limited Cyber range integrating technical and non-technical participants, participant substitution with AI bots, and AI bot training
US20200358806A1 (en) * 2019-05-10 2020-11-12 Cybeta, LLC System and method for cyber security threat assessment
US11411920B2 (en) * 2019-05-16 2022-08-09 Circadence Corporation Method and system for creating a secure public cloud-based cyber range

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10803766B1 (en) * 2015-07-28 2020-10-13 Architecture Technology Corporation Modular training of network-based training exercises
CN108768685A (zh) * 2018-03-29 2018-11-06 中国电力科学研究院有限公司 大规模信息通信网络实时仿真模拟***
CN109286611A (zh) * 2018-08-24 2019-01-29 赛尔网络有限公司 一种网络靶场云平台***、构建方法、设备和介质
CN111343158A (zh) * 2020-02-12 2020-06-26 博智安全科技股份有限公司 一种基于虚拟化技术的网络靶场平台
CN112448857A (zh) * 2021-02-01 2021-03-05 博智安全科技股份有限公司 靶场的构建方法、装置、设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于多级神经网络的网络靶场评价方法研究;张宇;贺长宇;;电脑知识与技术(19);全文 *

Also Published As

Publication number Publication date
CN113438103A (zh) 2021-09-24

Similar Documents

Publication Publication Date Title
CN113438103B (zh) 一种大规模网络靶场及其构建方法、构建装置、构建设备
US8978102B2 (en) Network stimulation engine
Feng et al. A signaling game model for moving target defense
Piedrahita et al. Virtual incident response functions in control systems
CN110210229B (zh) 电网信息物理***的脆弱性的评估方法、***及存储介质
Cao et al. Survivable topology design of submarine networks
CN111625820A (zh) 一种基于面向AIoT安全的联邦防御方法
CN108011894A (zh) 一种软件定义网络下僵尸网络检测***及方法
CN115811472A (zh) 一种电力***的网络安全靶场构建***及方法
Faghani et al. Mobile botnets meet social networks: design and analysis of a new type of botnet
Smith et al. Multidefender security games on networks
Chandra et al. Design of cyber warfare testbed
Li et al. A cooperative defense framework against application-level DDoS attacks on mobile edge computing services
Sachdeva et al. Improving privacy and security in unmanned aerial vehicles network using blockchain
Du et al. Bayesian game based pseudo honeypot model in social networks
Poirier et al. Air Force Cyber Warfare.
Nelson et al. For members only: Local and robust group management in dtns
Liu et al. Mixed Strategy Analysis in Attack‐Defense Game Model Based on 5G Heterogeneous Network of CPS Using ncPSO
CN115664750B (zh) 一种基于区块链的全域电力防护方法
Chen Opportunities and challenges faced by the belt and road in the era of big data
Wihl Training for the Combined Cyber/Kinetic Battlefield
Taute Improving cybersecurity for industry
Ellefsen Critical information infrastructure protection for developing countries
Zheng et al. LUNAR: A Practical Anonymous Network Simulation Platform
CN117240549A (zh) 基于网络靶场的apt攻击演练场景构建方法、装置和介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant