网络对抗环境配置方法及用于网络对抗的实验云平台系统

摘要

本公开提供了一种网络对抗环境配置方法及系统，读取实例数据；根据实例数据，构建拓扑图，设置实例的相关选项，并将拓扑图进行保存；根据拓扑图中的实例设置进行实例部署，对拓扑图中的每个实例逐个进行部署；当所有的实例都部署完成后，检测对抗环境是否部署完成，若有失败的实例，对失败的实例进行单独的部署操作，直到整个对抗环境与拓扑环境的设置相同；本公开通过构建环境拓扑图，一键式部署大规模的网络对抗环境，同时计算系统资源，将虚拟化主机均衡的部署在集群环境中；灵活的对抗环境编辑机制，通过对拓扑图的编辑，动态的添加、减少、变更在线的虚拟机主机。

说明书

技术领域

本公开涉及数据处理技术领域，特别涉及一种网络对抗环境配置方法及用于网络对抗的实验云平台系统。

背景技术

本部分的陈述仅仅是提供了与本公开相关的背景技术，并不必然构成现有技术。

随着信息化建设的不断推进，我国的网络安全形势日益严峻，尤其是“互联网+”模式提出后，我国更是将网络空间安全作为国家安全的重要组成部分。如何推动和普及国家信息安全教育水平，提升国家网络空间安全的整体实力，是当今时代亟须解决的难题。

网络空间安全意义重大，从各大企事业单位到涉及国家政治经济命脉的政务、银行、电信、军队等各个领域，从外网(互联网)到内网(专网)、涉密网等不同网络类型、从物理安全、运行安全到数据安全等多个层次，全方位提高网络空间安全防御能力不仅仅体现在软、硬件上，无论是信息技术从业人员还是各类使用人员本身更是网络安全保障的核心因素，全方位提升网络空间安全意识，网络安全知识、网络攻防对抗技术能力等多方面素质已迫在眉睫。

发明人发现，现有的网络对抗平台中，虽然能满足部署基本需求，但是在实际使用中仍然存在不足之处，主要体现在以下几点：

(1)平台部署复杂，功能模块单一，只能满足基本的使用需求；

(2)网络环境单一，无法根据需求动态的调整环境拓扑；

(3)系统调度算法落后，无法实现一键式大规模部署；

(4)系统资源利用率低，硬件成本过大。

发明内容

为了解决现有技术的不足，本公开提供了一种网络对抗环境配置方法及用于网络对抗的实验云平台系统，提出了高度灵活、方便实用且能够支撑上万级节点的大规模网络环境配置策略，满足了不同行业领域、不同网络类型、不同规模及不同异构程度的网络环境构建需求；在构建的网络环境基础之上，构建出了相应的网络应用环境，满足了不同行业领域或网络安全人员的网络应用需求，提高了网络安全技能水平。

为了实现上述目的，本公开采用如下技术方案：

本公开第一方面提供了一种网络对抗环境配置方法。

一种网络对抗环境配置方法，包括以下步骤：

读取实例数据；

根据实例数据，构建拓扑图，设置实例的相关选项，并将拓扑图进行保存；

根据拓扑图中的实例设置进行实例部署，对拓扑图中的每个实例逐个进行部署；

当所有的实例都部署完成后，检测对抗环境是否部署完成，若有失败的实例，对失败的实例进行单独的部署操作，直到整个对抗环境与拓扑环境的设置相同。

作为可能的一些实现方式，实例数据包括多种实例类型，至少包括服务器、主机、交换机、防火墙、IPS和IDS，将不同实例类型连接后构建拓扑图。

作为可能的一些实现方式，在构建拓扑图时，构建出不同的实例模板；

将整个拓扑环境中所有的实例都编辑完成后，将拓扑环境保存，利用保存的拓扑环境进行对抗环境的构建，根据拓扑图的文件中保存的相关设置，逐一的进行实例部署。

作为进一步的限定，包括多种模式的网络环境，存在多个不同的对抗网络，不同的对抗环境网络互不影响。

作为可能的一些实现方式，选择正在进行的对抗环境，打开对抗环境的拓扑图，获取当前环境的所有实例信息；

编辑拓扑环境，对正在运行的实例进行编辑或者添加或者删除或者改变网络环境操作；

依据新编辑的实例环境进行环境部署，操作只对进行编辑的实例进行，未修改的实例不做变动，保持一致；如果只是添加新的实例，可以进行单一实例部署操作，对正在对抗的环境进行新的实例添加。

作为可能的一些实现方式，拓扑图修改后保存为新的拓扑图，再次进行部署时，通过对比前后两次的拓扑图实例，获取到前后的差异，根据差异进行环境部署。

作为可能的一些实现方式，部署过程中若出现故障，给出相应提示，排除故障后重新部署。

作为可能的一些实现方式，当接收到对抗环境的部署任务，且有实例需要进行部署时；

从数据库中获取集群环境中计算服务器的资源配置信息；

根据计算服务器的资源信息，进行服务器筛选，选出当前资源使用率最低的计算服务器作为实例的部署目的服务器，并向计算服务器下发部署任务；

计算服务器接收到部署实例任务，根据实例的配置信息进行实例部署任务，完成后向控制服务器返回任务完成信息；

控制服务器根据计算服务器任务完成状态更新其资源使用情况保存到数据库中。

本公开第二方面提供了一致用于网络对抗的实验云平台系统。

一致用于网络对抗的实验云平台系统，包括：

控制服务器和计算服务器；

控制服务器获取对抗环境的部署任务，有实例需要进行部署；

控制服务器从数据库中获取到集群环境中计算服务器的资源配置信息；

控制服务器根据计算服务器的资源信息，进行服务器筛选，选出当前资源使用率最低的计算服务器作为实例的部署目的服务器，并向计算服务器下发部署任务；

计算服务器接收到部署实例任务，根据实例的配置信息进行实例部署任务，完成后向控制服务器返回任务完成信息；

控制服务器根据计算服务器任务完成状态更新其资源使用情况保存到数据库中。

作为可能的一些实现方式，对抗环境的配置，包括：

读取实例数据；

根据实例数据，构建拓扑图，设置实例的相关选项，并将拓扑图进行保存；

根据拓扑图中的实例设置进行实例部署，对拓扑图中的每个实例逐个进行部署；

当所有的实例都部署完成后，检测对抗环境是否部署完成，若有失败的实例，对失败的实例进行单独的部署操作，直到整个对抗环境与拓扑环境的设置相同。

作为进一步的限定，实例数据包括多种实例类型，至少包括服务器、主机、交换机、防火墙、IPS和IDS，将不同实例类型连接后构建拓扑图。

作为进一步的限定，在构建拓扑图时，构建出不同的实例模板，将整个拓扑环境中所有的实例都编辑完成后，将拓扑环境保存，利用保存的拓扑环境进行对抗环境的构建，根据拓扑图文件中保存的相关设置，逐一的进行实例部署。

作为进一步的限定，选择正在进行的对抗环境，打开对抗环境的拓扑图，获取当前环境的所有实例信息，编辑拓扑环境，对正在运行的实例进行编辑或者添加或者删除或者改变网络环境操作，依据新编辑的实例环境进行环境部署，操作只对进行编辑的实例进行，未修改的实例不做变动，保持一致，如果只是添加新的实例，可以进行单一实例部署操作，对正在对抗的环境进行新的实例添加。

作为进一步的限定，拓扑图修改后保存为新的拓扑图，再次进行部署时，通过对比前后两次的拓扑图实例，获取到前后的差异性，针对性的进行环境部署。

作为进一步的限定，部署过程中若出现故障，给出相应提示，排除故障后重新部署。

与现有技术相比，本公开的有益效果是：

1、本公开所述的方法及系统，通过构建环境拓扑图，一键式部署大规模的网络对抗环境，同时计算系统资源，将虚拟化主机均衡的部署在集群环境中；灵活的对抗环境编辑机制，通过对拓扑图的编辑，动态的添加、减少、变更在线的虚拟机主机。

2、本公开所述的方法及系统，提供了多种模式的网络环境，可以实现在系统中存在多个不同的网络，实现同一平台下不同的对抗环境网络互不影响。

3、本公开所述的方法及系统，通过优化负载均衡的算法，在进行大规模模式网络环境配置时，可以将同一拓扑环境下的实例部署到整个集群下，保证集群下服务器资源均衡，最大化使用集群资源利用率。

本公开附加方面的优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本公开的实践了解到。

附图说明

构成本公开的一部分的说明书附图用来提供对本公开的进一步理解，本公开的示意性实施例及其说明用于解释本公开，并不构成对本公开的不当限定。

图1为本公开实施例1提供的构建拓扑图部署对抗环境的流程示意图。

图2为本公开实施例1提供的在线编辑对抗环境的流程示意图。

图3为本公开实施例1提供的负载均衡方法的流程示意图。

具体实施方式

下面结合附图与实施例对本公开作进一步说明。

应该指出，以下详细说明都是示例性的，旨在对本公开提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本公开所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本公开的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

在不冲突的情况下，本公开中的实施例及实施例中的特征可以相互组合。

实施例1：

如图1所示，本公开实施例1提供了一种网络对抗环境配置方法，实现的环境构建机制，可以在页面上选定预置的实例类型，包括但不限于服务器、主机、交换机、防火墙、IPS、IDS等，通过拖拽的方式放置于页面中，将不同实例类型连接在一起，构建成一个大的拓扑图。

可以针对选定的实例类型进行编辑相关的选项，包括网络、内存、CPU、内存、模板等内容，在构建整个拓扑时，构建出不同的实例模板；将整个拓扑环境中所有的实例都编辑完成后，可以将拓扑环境保存在系统中，使用保存的拓扑环境进行环境的构建，根据拓扑图文件中保存的相关设置，逐一的进行实例部署。

本实施例实现的灵活拓扑编辑机制，可以实现通过对已构建的网络对抗环境，实现对对抗环境中的实例进行动态的添加或者删除等操作，避免了需要将整个对抗环境删除，再从新构建的步骤。通过编辑正在运行的拓扑环境图，在拓扑中进行编辑、添加、删除实例，并设置相关的选项，保存为新的拓扑图后，再进行部署时，通过对比前后两次的拓扑图实例，获取到前后的差异性，针对性的进行环境部署，只对修改的实例进行重新部署，未变化的实例不进行重新部署；另外也可以选择拓扑中的单个实例，单独进行部署操作，此操作只针对拓扑环境中的此实例单独指定的操作，对其他正在运行的实例不会造成任何影响。

本实施例中的网络设置，通过实现不同的网络模式，可以进行构建出不同的网络设置方式。针对单个的对抗环境，指定特定的网络模式，网络连通规则，以实现不同对抗环境中的网络隔离；网络的编辑也可以针对对抗分组进行不同的设置，实现在对抗开始前、进行中，对抗后不同阶段管控网络，实时管控网络的畅通模式。

本实施例中的负载均衡方法，在系统搭建之初，控制服务器收集所有计算服务器的资源情况，在进行拓扑环境构建部署实例时，通过对管控的计算服务器以剩余的资源情况进行下发任务，剩余资源多的服务器优先分配实例；本实施例所述均衡方法根据计算服务器上的剩余资源分配计算任务，且只在分配实例的时候进行计算。

具体的，包括以下步骤：

S1：构建拓扑图部署对抗环境

S1.1：构建拓扑图，添加相关实例，设置实例的相关选项；

S1.2：将拓扑图保存到服务器及数据库中；

S1.3：根据拓扑图中的实例设置进行实例部署，对拓扑图中的每个实例逐个进行部署，当所有的实例都部署完成后，检测对抗环境是否部署完成，若有失败的实例，再需要针对失败的实例进行单独的部署操作，直到整个对抗环境与拓扑环境的设置相同。

S2：在线编辑对抗环境

S2.1：选择正在进行的对抗环境，打开对抗环境的拓扑图，获取当前环境的所有实例信息；

S2.2：编辑拓扑环境，对正在运行的实例进行编辑、添加、删除，改变网络环境等操作；

S2.3：依据新编辑的实例环境进行环境部署，操作只对进行编辑的实例进行，未修改的实例不做变动，保持一致；如果只是添加新的实例，可以进行单一实例部署操作，对正在对抗的环境进行新的实例添加。

S2.4：部署过程中若出现故障，给出相应提示，排除故障从新部署。

S3：负责均衡实现方法；

S3.1：系统下发了对抗环境的部署任务，有实例需要进行部署；

S3.2：系统从数据库中获取到集群环境中计算服务器的资源配置信息；

S3.3：系统根据计算服务器的资源信息，进行服务器筛选，选出当前资源使用率最低的计算服务器作为实例的部署目的服务器，并向计算服务器下发部署任务；

S3.4：计算服务器接收到部署实例任务，根据实例的配置信息进行实例部署任务，完成后向控制服务器返回任务完成信息；

S3.5：控制服务器根据计算服务器任务完成状态更新其资源使用情况保存到数据库中。

实施例2：

本公开实施例2提供了一致用于网络对抗的实验云平台系统，包括：

控制服务器和计算服务器；

控制服务器获取对抗环境的部署任务，有实例需要进行部署；

控制服务器从数据库中获取到集群环境中计算服务器的资源配置信息；

控制服务器根据计算服务器的资源信息，进行服务器筛选，选出当前资源使用率最低的计算服务器作为实例的部署目的服务器，并向计算服务器下发部署任务；

计算服务器接收到部署实例任务，根据实例的配置信息进行实例部署任务，完成后向控制服务器返回任务完成信息；

控制服务器根据计算服务器任务完成状态更新其资源使用情况保存到数据库中。

所述对抗环境的构建方法和编辑方法与实施例1提供的相同，这里不再赘述。

本实施例是基于虚拟化技术实现的一种服务器网络对抗的实验云平台系统，其旨在于提供一套高度灵活、方便实用能够支撑上万级节点的大规模网络环境构建体系，满足不同行业领域、不同网络类型、不同规模及不同异构程度的网络环境构建需求；并在构建的网络环境基础之上，构建相应的网络应用场景。

本领域内的技术人员应明白，本公开的实施例可提供为方法、系统、或计算机程序产品。因此，本公开可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(RandomAccessMemory，RAM)等。

以上所述仅为本公开的优选实施例而已，并不用于限制本公开，对于本领域的技术人员来说，本公开可以有各种更改和变化。凡在本公开的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本公开的保护范围之内。