CN115296925B - 一种网络靶场中数据传输控制方法与*** - Google Patents

一种网络靶场中数据传输控制方法与*** Download PDF

Info

Publication number
CN115296925B
CN115296925B CN202211170024.2A CN202211170024A CN115296925B CN 115296925 B CN115296925 B CN 115296925B CN 202211170024 A CN202211170024 A CN 202211170024A CN 115296925 B CN115296925 B CN 115296925B
Authority
CN
China
Prior art keywords
file
data
server
data file
identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211170024.2A
Other languages
English (en)
Other versions
CN115296925A (zh
Inventor
王彦龙
谢峥
高庆官
史崯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Cyber Peace Technology Co Ltd
Original Assignee
Nanjing Cyber Peace Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Cyber Peace Technology Co Ltd filed Critical Nanjing Cyber Peace Technology Co Ltd
Priority to CN202211170024.2A priority Critical patent/CN115296925B/zh
Publication of CN115296925A publication Critical patent/CN115296925A/zh
Application granted granted Critical
Publication of CN115296925B publication Critical patent/CN115296925B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/12Arrangements for detecting or preventing errors in the information received by using return channel
    • H04L1/16Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
    • H04L1/18Automatic repetition systems, e.g. Van Duuren systems
    • H04L1/1867Arrangements specially adapted for the transmitter end
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种网络靶场中数据传输控制方法与***,在网络靶场中增加中转服务器,用于转发指挥中心与控制节点之间的通信数据;指挥中心与控制节点网络隔离;发送端生成数据文件以及标识K,将写入标识K的数据文件加密后上传到中转服务器,同时备份数据文件;接收端从中转服务器下载数据文件后,解密数据文件并取出标识K,生成带标识K的确认消息文件,将消息文件加密后上传到中转服务器;发送端从中转服务器下载消息文件后,进行状态更新;定时判断发送端与接收端之间的传输通道是否正常,在必要时利用备份数据文件重新发送。本发明能够降低指挥中心被敌方攻破的安全风险,保护指挥中心的数据安全和稳定运行,保证指挥中心通信的有效性。

Description

一种网络靶场中数据传输控制方法与***
技术领域
本发明涉及一种网络靶场中数据传输控制方法与***,属于计算机软件、网络安全技术领域。
背景技术
网络靶场是通过虚拟化技术,模拟仿真出真实网络空间攻防作战环境,能够支撑作战能力研究和武器装备验证的试验平台。常规方式部署的网络靶场如图1所示,网络靶场通过多个多种实体网络设备连接控制节点、计算节点、互联网,网络靶场通过虚拟化技术在计算节点构建演练场景的虚拟机及虚拟网络。指挥中心制定作战任务,将任务发送到靶场控制节点,控制节点接收作战任务后,在靶场计算节点为所有作战小队队员创建虚拟机作为作战用操作机,然后作战队员通过靶场控制节点的虚拟机接入管理模块远程控制操作机,虚拟机接入管理模块记录队员所有操作日志,指挥中心可以通过操作日志观察所有作战小队的战斗情况。
现有部署方式中,指挥中心和计算节点之前没有网络隔离,导致指挥中心有被攻破的潜在安全风险;假如敌方将计算节点-A的靶场操作机-1(即虚拟机-1)攻破,可通过靶场操作机-1直接攻击指挥中心,指挥中心存在被攻击的安全风险。常规网络隔离可采用专用通道、双向网闸等,但存在成本高,缺乏灵活性,无法实现隔离服务高可用,发送失败导致数据丢失等问题,难以适用网络靶场实战演练场景。
发明内容
发明目的:针对上述现有技术存在的问题,本发明目的在于提供一种新的网络靶场部署方案以及相应的数据传输控制机制,能够实现靶场指挥中心与控制节点及计算节点的网络隔离,降低指挥中心被攻破的安全风险。
技术方案:为实现上述发明目的,本发明采用如下技术方案:
一种网络靶场中数据传输控制方法,在网络靶场中增加中转服务器,用于转发指挥中心与控制节点之间的通信数据;所述指挥中心与控制节点之间是网络隔离的,指挥中心为发送端时,控制节点为接收端,控制节点为发送端时,指挥中心为接收端;发送端与接收端之间的数据传输控制方法,包括如下步骤:
发送端生成待发送的数据文件,以及标记文件唯一性的标识K,并将标识K写入数据文件中;发送端将数据文件加密后上传到中转服务器,同时备份数据文件;
接收端从中转服务器下载数据文件后,解密数据文件并取出标识K,生成确认消息文件并将标识K写入消息文件中;接收端将消息文件加密后上传到中转服务器;
发送端从中转服务器下载消息文件后,解密消息文件并取出标识K,根据标识K查询对应的数据文件,将状态更新为确认接收状态,同时删除对应的备份数据文件;
发送端定时排查发送数据文件后是否收到接收端返回的对应的确认消息文件,以判断发送端与接收端之间的传输通道是否正常,在需要重新发送数据文件时,利用备份数据文件重新发送。
作为优选,所述中转服务器上部署有文件传输服务,根据传输文件的业务不同,在文件传输服务的指定目录下创建不同的文件夹,发送端和接收端按照约定的规则在对应的文件夹下上传或下载文件。
作为优选,在存在多个发送端或接收端时,在中转服务器上为每一对通信双方创建一个文件目录,文件目录名称包括发送端标识和接收端标识。
作为优选,所述发送端在生成待发送的数据文件时,在文件名中加上创建文件的时间戳,接收端从中转服务器下载数据文件后,根据文件名中的时间戳按增序排序并解析。
作为优选,设置多台中转服务器构成中转服务集群,发送端和接收端保存中转服务集群所有节点连接信息,发送端发送数据文件时通过负载均衡算法选出要上传的中转服务器;接收端通过轮询所有节点下载数据文件。
作为优选,设置多台中转服务器构成中转服务链,发送端将数据文件发送到中转服务链上的第一台中转服务器,中转服务链上下一台中转服务器从上一台中转服务器上下载文件,直到接收端从中转服务链上最后一台中转服务器下载到文件。
一种网络靶场中数据传输控制***,包括中转服务器、数据发送装置与数据接收装置;所述中转服务器用于转发指挥中心与控制节点之间的通信数据,所述指挥中心与控制节点之间是网络隔离的,指挥中心上的数据发送装置通过中转服务器将数据文件发送到控制节点上的数据接收装置,控制节点上的数据发送装置通过中转服务器将数据文件发送到指挥中心上的数据接收装置;
所述数据发送装置,包括数据生成模块,用于生成待发送的数据文件,以及标记文件唯一性的标识K,并将标识K写入数据文件中;数据发送模块,用于将数据文件加密后上传到中转服务器,同时备份数据文件;状态更新模块,用于从中转服务器下载消息文件,解密消息文件并取出标识K,根据标识K查询对应的数据文件,将状态更新为确认接收状态,同时删除对应的备份数据文件;以及定时检测模块,用于定时排查发送数据文件后是否收到接收端返回的对应的确认消息文件,以判断发送端与接收端之间的传输通道是否正常,在需要重新发送数据文件时,利用备份数据文件重新发送;
所述数据接收装置,用于从中转服务器下载数据文件,解密数据文件并取出标识K,生成确认消息文件并将标识K写入消息文件中;以及用于将消息文件加密后上传到中转服务器。
作为优选,所述中转服务器上部署有文件传输服务,根据不同业务类型对存储的文件进行分类管理,所述数据发送装置在被上层业务调用时,根据业务类型参数将生成的数据文件上传到中转服务器上相应的文件夹下。
一种网络靶场***,包括作为网络靶场控制节点的第一服务器,作为网络靶场计算节点的第二服务器,以及作为网络靶场指挥中心的第三服务器,所述第二服务器上创建有多台虚拟机供靶场作战队员使用,所述第一服务器和第二服务器网络连通;所述第三服务器与第一服务器以及第二服务器之间的网络是隔离的,第一服务器与第三服务器之间的通信数据通过中转服务器转发;所述第一服务器、第二服务器、第三服务器和中转服务器均包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序;
所述第一服务器和第三服务器上的计算机程序均包括发送端程序和接收端程序;所述发送端程序被加载至处理器时实现如下步骤:
生成待发送的数据文件,以及标记文件唯一性的标识K,并将标识K写入数据文件中;
将数据文件加密后上传到中转服务器,同时备份数据文件;
从中转服务器下载消息文件,解密消息文件并取出标识K,根据标识K查询对应的数据文件,将状态更新为确认接收状态,同时删除对应的备份数据文件;
定时排查发送数据文件后是否收到对应的确认消息文件,以判断传输通道是否正常,在需要重新发送数据文件时,利用备份数据文件重新发送;
所述接收端程序被加载至处理器时实现如下步骤:
从中转服务器下载数据文件,解密数据文件并取出标识K,生成确认消息文件并将标识K写入消息文件中;
将消息文件加密后上传到中转服务器。
有益效果:与现有技术相比,本发明具有如下优点:1、本发明在靶场指挥中心和控制节点添加中转服务器,实现了网络隔离,能够降低指挥中心被敌方攻破的安全风险,保护指挥中心的数据安全和稳定运行。2、通过本发明的数据传输控制机制,指挥中心和控制节点之间数据通信状态可被发送端感知,保证通信的有效性。3、本发明的数据传输控制流程具有备份机制,当数据传输异常时保证重要数据不丢失,提高靶场运行中关键数据的完整性。4、本发明通过数据发送状态监测,能够及时发现指挥中心和控制节点之间传输通道异常并通知靶场管理员及时修复,提高靶场运行稳定性。
附图说明
图1为现有网络靶场部署示意图。
图2为本发明实施例的网络靶场部署示意图。
图3为本发明实施例中发送端与接收端的数据传输控制流程示意图。
图4为本发明实施例中中转服务集群部署示意图。
具体实施方式
下面将结合附图和具体实施例,对本发明的技术方案进行清楚、完整的描述。
本发明实施例公开一种网络靶场中数据传输控制方法,能够实现指挥中心与控制节点、计算节点的网络隔离,并感知指挥中心和控制节点、计算节点之间的数据传输状态,传输失败后通过备份重新机制确保数据不丢失。具体地如图2所示,
在指挥中心和互联网之间添加中转服务器,用于转发指挥中心与控制节点之间的通信数据。指挥中心不可直接访问互联网,仅可通过中转服务器实现指挥中心与控制节点、计算节点之间的数据传输。控制节点与计算节点之间的网络是连通的,计算节点产生的数据先传输到控制节点,由控制节点再传输到指挥中心。需要说明的是,这里提供的是常见的控制节点接入互联网的场景,对于一些局域网内运维的网络靶场,保证指挥中心和控制节点、计算节点之间的网络是隔离的,不能直接通信。控制节点、计算节点只能通过中转服务器与指挥中心通信。
采用如图2所示部署方案的网络靶场实战演练场景的数据传输流程如下:
1)指挥中心创建作战任务,将该任务发送中转服务器,然后备份该任务数据。指挥中心一般采用B/S或C/S架构,一个或多个作战小队对应一个指挥管理员账号,指挥管理员通过指挥机登录指挥中心即可创建作战任务,观察作战情况。
2)控制节点通过中转服务器接收作战任务后,在网络靶场中的计算节点创建虚拟机作为作战用操作机,所有针对当前任务的作战操作都在将该操作机上执行,然后向中转服务器发送该作战任务已收到的确认消息。
3)指挥中心通过中转服务器接收到确认消息后,标记该作战任务为已被控制节点接收状态,同时删除该作战任务的备份。
4)作战小队队员主机连接操作机通过操作机执行任务。在任务执行过程中,计算节点上产生的操作日志、***监控指标等数据会发送到控制节点。控制节点将采集到的数据中转服务器,然后备份相应数据,指挥中心通过中转服务器接收数据后进行确认,流程与前面指挥中心向控制节点发生数据一致。
由于指挥中心和控制节点、计算节点之间无法直接访问,仅能以加密文件形式通过中转服务器保持通信,这样大大提高了指挥中心的安全性。下面详述通过中转服务器通信的数据传输控制流程。
数据传输控制方案分为发送端和接收端。当指挥中心向控制节点发送作战任务时,指挥中心为发送端,控制节点为接收端;同理,当作战小队队员通过操作机执行任务时,产生操作记录日志等需发送指挥中心,此时控制节点发送端,指挥中心为接收端。
如图3所示,数据传输控制具体流程如下:
(1)发送端先随机生成一个唯一标识K(如采用uuid),用于标记该文件的唯一性,将标识K写入该文件,在数据库保存标识K和文件名的映射关系,即根据标识K可唯一定位到一个数据文件;然后加密该数据文件(现有对称或非对称加密算法均可),最终将该加密数据文件成功上传中转服务器后,备份该文件到指定位置记为P,其中备份路径P包含该文件唯一标识K,即根据唯一标识K可唯一定位一个备份路径P。
(2)中转服务器接收该加密数据文件。
(3)控制节点作为接收端主动下载该数据文件后(如2秒定时轮询,下载后则删除中转服务器上的文件),解密数据文件取出该文件的唯一标识K,然后创建该数据文件的已确认收到消息文件,将标识K写入消息文件后加密消息文件,然后将消息文件上传中转服务器。
(4)中转服务器接收该消息文件。
(5)发送端主动下载该消息文件后,解密消息文件取出标识K,根据标识K在数据库中查询出发送端发送的文件名及其备份位置P,将该文件状态更新为接收端已确认接收状态,同时到备份路径P下删除备份文件。
(6)发送端设置定时任务会每隔一段时间(如每分钟)执行一次数据库查询,查询发送端发送数据文件后,在规定时间段(如5分钟,可根据实际场景修改)内未收到接收端返回该数据文件对应消息文件的记录集,如该记录集不为空,则证明发送端和接收端之间文件发送和消息回传通道异常,此时发送邮件通知靶场管理员及时检查发送端和接收端之间传输通道是否正常。传输通道正常后,可根据实际需求和备份文件决定是否重新发送。
中转服务器上部署sftp服务(如sshd),用于接收发送端上传的文件和为接收端提供文件下载。根据需发送数据文件的业务不同,分别在中转服务器sftp服务的指定目录下创建不同的文件夹,用于保存不同业务发送的数据文件并对数据文件分类,每个文件夹对应一个需发送数据文件的业务,数据文件按业务分类管理方便故障定位。
此外通过数据文件的命名规则实现发送端发出的数据文件被接收端按发送次序解析。具体可采用如下实现方式:假设待发送数据文件的业务A创建数据文件的当前时间的时间戳为m1,则数据文件的命名为A_m1.json,同理后续数据文件的命名为A_m2.json、A_m3.json等,接收端从中转服务器下载数据文件后,根据文件名中的时间戳按增序排序并解析,以保障数据传输的次序性。
发送端和接收端中可以将上传和下载功能拆分出来形成独立服务,供业务层调用,约定相应的接口参数即可。在一些场景存在多个发送端或接收端时,如指挥中心分开部署、计算节点需要与指挥中心传输数据等,可以在中转服务器上为每一对通信双方创建一个文件目录,存储相应的数据/消息文件,可在文件目录名称上加上收发端的标识信息(如编号)以便于查找和识别。
中转服务器中部署的sftp服务是无状态服务,可方便水平扩展多台中转服务器以实现高可用和提高传输效率。具体部署方式如图4所示:首先在发送端和接收端保存中转服务集群所有节点sftp服务的ip、端口等信息列表,发送端发送数据时通过负载均衡算法(轮询、加权轮询、随机)选出要上传的中转服务器,若数据文件上传成功则表明该中转服务正常工作,否则中转服务出现故障,此时发送端会在本地保存的中转服务集群信息列表中标记该节点故障不可用,再次发送数据文件时会自动跳过该故障节点。接收端根据保存的中转集群信息列表分别轮询所有节点,若中转服务器下载路径下存在数据文件,下载数据文件成功后删除中转服务器上该数据文件,如文件下载失败,同理,标记本地保存的中转服务集群信息列表中该节点故障不可用,再次下载文件时会自动跳过该故障节点。待人工处理故障后更新发送端和接收端保存的中转服务集群列表中故障节点状态即可,从而实现中转服务高可用部署。
另外,也可以根据不同的安全级别需求,在发送端和接收端之间添加多台中转服务器构成中转服务链,例如由中转服务器1和中转服务器2构成中转服务链,发送端将数据文件发送到中转服务器1,中转服务器2从中转服务器1上下载文件(下载后删除),接收端再从中转服务器2下载到文件。确认的消息沿着反方向传输。
基于相同的发明构思,本发明实施例公开的一种网络靶场中数据传输控制***,包括中转服务器、数据发送装置与数据接收装置;所述中转服务器用于转发指挥中心与控制节点之间的通信数据,所述指挥中心与控制节点之间是网络隔离的,指挥中心上的数据发送装置通过中转服务器将数据文件发送到控制节点上的数据接收装置,控制节点上的数据发送装置通过中转服务器将数据文件发送到指挥中心上的数据接收装置。
所述数据发送装置,包括数据生成模块,用于生成待发送的数据文件,以及标记文件唯一性的标识K,并将标识K写入数据文件中;数据发送模块,用于将数据文件加密后上传到中转服务器,同时备份数据文件;状态更新模块,用于从中转服务器下载消息文件,解密消息文件并取出标识K,根据标识K查询对应的数据文件,将状态更新为确认接收状态,同时删除对应的备份数据文件;以及定时检测模块,用于定时排查发送数据文件后是否收到接收端返回的对应的确认消息文件,以判断发送端与接收端之间的传输通道是否正常,在需要重新发送数据文件时,利用备份数据文件重新发送。
所述数据接收装置,用于从中转服务器下载数据文件,解密数据文件并取出标识K,生成确认消息文件并将标识K写入消息文件中;以及用于将消息文件加密后上传到中转服务器。
所述中转服务器上部署有文件传输服务,根据不同业务类型对存储的文件进行分类管理,所述数据发送装置在被上层业务调用时,根据业务类型参数将生成的数据文件上传到中转服务器上相应的文件夹下。
基于相同的发明构思,本发明实施例公开的一种网络靶场***,包括作为网络靶场控制节点的第一服务器,作为网络靶场计算节点的第二服务器,以及作为网络靶场指挥中心的第三服务器,所述第二服务器上创建有多台虚拟机供靶场作战队员使用,所述第一服务器和第二服务器网络连通;所述第三服务器与第一服务器以及第二服务器之间的网络是隔离的,第一服务器与第三服务器之间的通信数据通过中转服务器转发;所述第一服务器、第二服务器、第三服务器和中转服务器均包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序。
所述第一服务器和第三服务器上的计算机程序均包括发送端程序和接收端程序。所述发送端程序被加载至处理器时实现如下步骤:生成待发送的数据文件,以及标记文件唯一性的标识K,并将标识K写入数据文件中;将数据文件加密后上传到中转服务器,同时备份数据文件;从中转服务器下载消息文件,解密消息文件并取出标识K,根据标识K查询对应的数据文件,将状态更新为确认接收状态,同时删除对应的备份数据文件;定时排查发送数据文件后是否收到对应的确认消息文件,以判断传输通道是否正常,在需要重新发送数据文件时,利用备份数据文件重新发送。
所述接收端程序被加载至处理器时实现如下步骤:从中转服务器下载数据文件,解密数据文件并取出标识K,生成确认消息文件并将标识K写入消息文件中;将消息文件加密后上传到中转服务器。

Claims (10)

1.一种网络靶场中数据传输控制方法,其特征在于,在网络靶场中增加中转服务器,用于转发指挥中心与控制节点之间的通信数据;所述指挥中心与控制节点之间是网络隔离的,指挥中心为发送端时,控制节点为接收端,控制节点为发送端时,指挥中心为接收端;发送端与接收端之间的数据传输控制方法,包括如下步骤:
发送端生成待发送的数据文件,以及标记文件唯一性的标识K,并将标识K写入数据文件中;发送端将数据文件加密后上传到中转服务器,同时备份数据文件;
接收端从中转服务器下载数据文件后,解密数据文件并取出标识K,生成确认消息文件并将标识K写入消息文件中;接收端将消息文件加密后上传到中转服务器;
发送端从中转服务器下载消息文件后,解密消息文件并取出标识K,根据标识K查询对应的数据文件,将状态更新为确认接收状态,同时删除对应的备份数据文件;
发送端定时排查发送数据文件后是否收到接收端返回的对应的确认消息文件,以判断发送端与接收端之间的传输通道是否正常,在需要重新发送数据文件时,利用备份数据文件重新发送。
2.根据权利要求1所述的网络靶场中数据传输控制方法,其特征在于,所述中转服务器上部署有文件传输服务,根据传输文件的业务不同,在文件传输服务的指定目录下创建不同的文件夹,发送端和接收端按照约定的规则在对应的文件夹下上传或下载文件。
3.根据权利要求2所述的网络靶场中数据传输控制方法,其特征在于,在存在多个发送端或接收端时,在中转服务器上为每一对通信双方创建一个文件目录,文件目录名称包括发送端标识和接收端标识。
4.根据权利要求1所述的网络靶场中数据传输控制方法,其特征在于,所述发送端在生成待发送的数据文件时,在文件名中加上创建文件的时间戳,接收端从中转服务器下载数据文件后,根据文件名中的时间戳按增序排序并解析。
5.根据权利要求1所述的网络靶场中数据传输控制方法,其特征在于,设置多台中转服务器构成中转服务集群,发送端和接收端保存中转服务集群所有节点连接信息,发送端发送数据文件时通过负载均衡算法选出要上传的中转服务器;接收端通过轮询所有节点下载数据文件。
6.根据权利要求1所述的网络靶场中数据传输控制方法,其特征在于,设置多台中转服务器构成中转服务链,发送端将数据文件发送到中转服务链上的第一台中转服务器,中转服务链上下一台中转服务器从上一台中转服务器上下载文件,直到接收端从中转服务链上最后一台中转服务器下载到文件。
7.一种网络靶场中数据传输控制***,其特征在于,包括中转服务器、数据发送装置与数据接收装置;所述中转服务器用于转发指挥中心与控制节点之间的通信数据,所述指挥中心与控制节点之间是网络隔离的,指挥中心、控制节点上均设置有数据发送装置、数据接收装置;指挥中心上的数据发送装置通过中转服务器将数据文件发送到控制节点上的数据接收装置,控制节点上的数据发送装置通过中转服务器将数据文件发送到指挥中心上的数据接收装置;
所述数据发送装置,包括:数据生成模块,用于生成待发送的数据文件,以及标记文件唯一性的标识K,并将标识K写入数据文件中;数据发送模块,用于将数据文件加密后上传到中转服务器,同时备份数据文件;状态更新模块,用于从中转服务器下载消息文件,解密消息文件并取出标识K,根据标识K查询对应的数据文件,将状态更新为确认接收状态,同时删除对应的备份数据文件;以及定时检测模块,用于定时排查发送数据文件后是否收到接收端返回的对应的确认消息文件,以判断发送端与接收端之间的传输通道是否正常,在需要重新发送数据文件时,利用备份数据文件重新发送;
所述数据接收装置,用于从中转服务器下载数据文件,解密数据文件并取出标识K,生成确认消息文件并将标识K写入消息文件中;以及用于将消息文件加密后上传到中转服务器。
8.根据权利要求7所述的一种网络靶场中数据传输控制***,其特征在于,所述中转服务器上部署有文件传输服务,根据不同业务类型对存储的文件进行分类管理,所述数据发送装置在被上层业务调用时,根据业务类型参数将生成的数据文件上传到中转服务器上相应的文件夹下。
9.根据权利要求7所述的一种网络靶场中数据传输控制***,其特征在于,所述控制节点和中转服务器接入互联网,所述指挥中心不接入互联网。
10.一种网络靶场***,包括作为网络靶场控制节点的第一服务器,作为网络靶场计算节点的第二服务器,以及作为网络靶场指挥中心的第三服务器,所述第二服务器上创建有多台虚拟机供靶场作战队员使用,所述第一服务器和第二服务器网络连通;其特征在于,所述第三服务器与第一服务器以及第二服务器之间的网络是隔离的,第一服务器与第三服务器之间的通信数据通过中转服务器转发;所述第一服务器、第二服务器、第三服务器和中转服务器均包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序;
所述第一服务器和第三服务器上的计算机程序均包括发送端程序和接收端程序;所述发送端程序被加载至处理器时实现如下步骤:
生成待发送的数据文件,以及标记文件唯一性的标识K,并将标识K写入数据文件中;
将数据文件加密后上传到中转服务器,同时备份数据文件;
从中转服务器下载消息文件,解密消息文件并取出标识K,根据标识K查询对应的数据文件,将状态更新为确认接收状态,同时删除对应的备份数据文件;
定时排查发送数据文件后是否收到对应的确认消息文件,以判断传输通道是否正常,在需要重新发送数据文件时,利用备份数据文件重新发送;
所述接收端程序被加载至处理器时实现如下步骤:
从中转服务器下载数据文件,解密数据文件并取出标识K,生成确认消息文件并将标识K写入消息文件中;
将消息文件加密后上传到中转服务器。
CN202211170024.2A 2022-09-26 2022-09-26 一种网络靶场中数据传输控制方法与*** Active CN115296925B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211170024.2A CN115296925B (zh) 2022-09-26 2022-09-26 一种网络靶场中数据传输控制方法与***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211170024.2A CN115296925B (zh) 2022-09-26 2022-09-26 一种网络靶场中数据传输控制方法与***

Publications (2)

Publication Number Publication Date
CN115296925A CN115296925A (zh) 2022-11-04
CN115296925B true CN115296925B (zh) 2023-02-10

Family

ID=83833118

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211170024.2A Active CN115296925B (zh) 2022-09-26 2022-09-26 一种网络靶场中数据传输控制方法与***

Country Status (1)

Country Link
CN (1) CN115296925B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116032691B (zh) * 2023-03-30 2023-06-16 鹏城实验室 靶场互联互通方法、电子设备及可读存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103812882B (zh) * 2012-11-06 2018-01-30 腾讯科技(深圳)有限公司 一种文件传输的方法及***
CN107172075B (zh) * 2017-06-26 2021-09-21 努比亚技术有限公司 基于网络隔离的通信方法、***及可读存储介质
US20220150273A1 (en) * 2019-09-04 2022-05-12 Haiku, Inc. System and method for cyber training
CN112187610B (zh) * 2020-09-24 2021-11-16 北京赛宁网安科技有限公司 一种网络靶场的网络隔离***与方法
CN115001959B (zh) * 2022-08-08 2022-11-22 南京赛宁信息技术有限公司 一种网络靶场网络设备初始化方法、***与存储介质

Also Published As

Publication number Publication date
CN115296925A (zh) 2022-11-04

Similar Documents

Publication Publication Date Title
CN102810138B (zh) 一种用户端文件的修复方法和***
US6671821B1 (en) Byzantine fault tolerance
CN102769529A (zh) Dnssec签名服务器
CN115296925B (zh) 一种网络靶场中数据传输控制方法与***
CN104679611A (zh) 数据资源复制方法以及装置
US20160019122A1 (en) System and method for maintaining server data integrity
CN102065136B (zh) 一种p2p网络安全数据传输方法及其***
WO2017048501A1 (en) Hosted file sync with stateless sync nodes
KR20110059659A (ko) 데이터 전달 저장에서의 측정 방법
CN111209262A (zh) 一种基于区块链的大规模分布式安全存储***
CN105912422A (zh) 数据备份方法、备份客户端与数据备份***
US11119871B2 (en) Systems and methods recovering from the failure of a server load balancer
Hwang et al. Fulfilling mutual nonrepudiation for cloud storage
JP2008146342A (ja) データ管理システム
CN1889418B (zh) 一种网络存储方法与网络存储***
CN104301240B (zh) 数据传输方法及***
KR100608394B1 (ko) 데이터베이스 동기화 인터페이스 장치 및 방법
JP5711772B2 (ja) クラスタシステム
JP2019193202A (ja) 片方向通信装置、片方向通信方法および片方向通信プログラム
CN112491747B (zh) 一种高可用的数据交换集群的应用方法
KR102561341B1 (ko) 엣지 클라우드 환경에서의 데이터 추적 장치 및 방법
CN116319676B (zh) 域名解析方法、设备、存储介质和***
EP2739010A1 (en) Method for improving reliability of distributed computer systems based on service-oriented architecture
US20230247032A1 (en) Aiops guided, quantum-safe zero trust data transfer methods in-motion with segmented, data transfer across an overlay network
JP2015070452A (ja) パケット補完方法および監視システム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant