一种网络靶场流量生成方法及系统与流程

1.本发明涉及网络靶场流量生成领域，尤其涉及一种网络靶场流量生成方法及系统。

背景技术：

2.网络靶场（cyber range）是一种基于虚拟化技术，对真实网络空间中的网络架构、系统设备、业务流程的运行状态及运行环境进行模拟和复现的技术或产品，以更有效地实现与网络安全相关的学习、研究、检验、竞赛、演习等行为，从而提高人员及机构的网络安全对抗水平。
3.网络靶场流量生成是网络靶场的重要组成部分，是衡量网络靶场优劣的重要指标之一，也是未来网络靶场重点研究的技术方向之一。虚拟化技术为网络靶场提供了网络环境网络拓扑和虚拟机，但并未让仿真出来的网络环境如真实网络环境一样真正“动起来”，虚拟机中无用户行为，网络拓扑中无网络流量。
4.目前主流的网络靶场一般采用下列三种技术生成网络靶场流量：a、使用流量生成模型软件，如harpoon等，生成背景流量；b、使用流量复制回放软件，如tcp replay等，生成回放的真实流量；c、使用网络靶场工具操作网络靶场内机器的应用程序，如consoleuser、sved等，生成程序产生的流量。
5.对于上述几种网络靶场流量生成技术有如下缺陷和不足：对于这三种技术来说，所生成的网络靶场流量前后没有关联，使得所生成流量不具备合理的时间分布。对于技术a来说，基于模型生成的背景流量是随机的。对于技术b来说，回放流量只能确保单个流量包内的流量是相关联的，不能确保多个流量包所产生的流量相关联。对于技术c来说，所执行的应用程序前后关联性不大。
6.对于技术a和技术b来说，所生成的网络靶场流量是一般从单一机器产生，使得所生成流量不具备合理的空间分布。虽然技术a和技术b都可以指定流量发送的ip，但终归不是开始就从真正发送流量的机器发出。
7.对于这三种技术来说，都无法生成新型流量（如新的病毒流量），缺乏可扩展性，缺乏丰富度。技术a所生成的流量是随机的，技术b所生成的流量是固定的，技术c只能操作网络靶场内的应用软件。
8.对于这三种技术来说，所生成的流量难以有效地与仿真场景结合。其一：仿真场景需与网络靶场用户互动，而技术a所生成的流量是随机的，技术b所生成的流量是固定的，技术c只谈及利用应用程序产生流量，并未涉及与网络靶场用户互动，因此，这三种技术都难以使流量与网络靶场用户产生互动。其二：不能在采取dhcp分配ip的网络环境内生成预设的流量。有些网络靶场环境并不能在虚拟机启动前得知ip，这就导致这三种技术无法预设ip参数，进而导致无法与仿真场景有效结合。
9.对于这三种技术来说，普通用户无法理解这三种技术复杂的参数配置与执行环境配置，进而导致使用困难，因此，这三种技术在易用性上都有待提高。

技术实现要素：

10.为解决上述技术中存在的技术问题，鉴于此，有必要提供一种网络靶场流量生成方法及系统。一种网络靶场流量生成方法，包括以下步骤：将流量生成工具进行编排配置，组成流量生成工作流；将流量生成工作流与网络靶场环境关联，流量生成工作流内的流量生成工具与网络靶场环境内网络拓扑节点相关联，网络拓扑节点关联虚拟机镜像；启动网络靶场环境，网络拓扑节点所关联虚拟机镜像孵化成虚拟机，流量生成工具植入虚拟机；设定流量生成工作流触发方式，触发流量生成工作流；流量生成工具在关联虚拟机镜像孵化成虚拟机内按照流量生成工作流编排配置执行工作。
11.较佳的，流量生成工作流触发方式包括：定时触发，信号触发，循环触发，随机概率触发，人工触发。
12.较佳的，信号触发由网络靶场业务引起，网络靶场包括网络靶场用户，网络靶场业务包括网络靶场用户的全部操作。
13.较佳的，流量生成工作流中流量生成工具提供多种参数名类型，多种参数名类型包括文件类型、结果类型、网络拓扑节点类型、字符串、整型。
14.较佳的，文件类型参数值包括：流量生成工具所关联虚拟机的文件名，用户上传文件的编号；当文件类型参数值是流量生成工具所关联虚拟机的文件名时，则流量生成工具直接在虚拟机内应用此文件；当文件类型参数值是用户上传文件的编号时，则根据用户上传文件的编号将文件植入流量生成工具所关联的虚拟机中，并以文件编号重新命名该文件，流量生成工具在虚拟机内直接应用此文件。
15.较佳的，对流量生成工作流所关联的网络靶场环境内的网络拓扑节点进行编号，网络拓扑节点类型参数值范围为流量生成工作流所关联的网络靶场环境内的网络拓扑节点编号，在网络靶场环境启动后，使用网络拓扑节点类型参数所关联网络拓扑节点编号获取虚拟机的ip。
16.一种网络靶场流量生成系统，包括工具管理模块，编排模块，触发器模块，工作流引擎；工具管理模块对流量生成工具进行集成或管理，编排模块根据网络靶场业务具体需求从工具管理模块中选择流量生成工具组成流量生成工作流，触发器模块对流量生成工作流进行配置、启动、暂停、挂起，配置指配置流量生成工作流的触发方式；工作流引擎执行流量生成工作流；工具管理模块包括：流量模型工具、流量回放工具、流量脚本、攻击工具。
17.由上述技术方案可知，本发明提供的一种网络靶场流量生成方法及系统，该方法使得所生成流量具有合理的时间分布和空间分布，流量类型丰富度高且可以实施扩充，进而达到流量高逼真的效果；使得所生成流量有效作用于网络靶场；易用性高的特点，极大的改善了网络靶场流量领域中流量生成所存在的一系列问题。
附图说明
18.为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领
域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
19.图1为本发明的网络靶场流量生成方法步骤流程图。
20.图2为本发明的扩展流量生成工具流程图。
21.图3为本发明的绘制流量生成工作流流程图。
22.图4为本发明的配置流量生成工作流触发方式活动图。
23.图5为本发明的流量生成工作流执行示意图。
24.图6为流量生成工作流节点执行活动图。
25.图7为流量生成工作流节点参数具体化活动图。
26.图8为网络靶场流量生成系统结构图。
具体实施方式
27.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
28.将流量生成工具进行编排配置，组成流量生成工作流，使流量生成工具可以按照一定的规则和顺序进行执行；将流量生成工作流与网络靶场环境关联，流量生成工作流内的流量生成工具可从网络靶场环境内选择网络拓扑节点关联，当网络靶场环境启动，网络拓扑节点内所关联虚拟机镜像孵化成虚拟机，流量生成工具植入该虚拟机，并在该虚拟机内按照配置进行执行。提供多种触发方式用于触发流量生成工作流。流量生成工作流可具有当前工作流技术的功能，包括：排他网关、信号网关、包容网关、并行网关、定时节点、子流程图等。其中，信号网关可由网络靶场相关业务引起触发。网络靶场业务包括网络靶场用户的相关操作。流量生成工具可由网络靶场相关人员上传，可选择上传二进制工具或脚本工具，也可选择在现编写脚本工具。上传二进制工具时，需手动添加相应参数名；上传或编写脚本工具时，支持手动添加和/或自动提取添加相应参数名。流量生成工具可标记运行环境类型，包括linux、windows、ios等，也可标记虚拟机镜像编号。如此，流量生成工具在选择虚拟机镜像时，便只能筛选出网络靶场环境内相应的网络拓扑节点，即网络拓扑节点所关联虚拟机镜像与流量生成工具所标记的内容相对应。提供多种流量生成工具参数名类型，包括文件类型、结果类型、网络拓扑节点类型、字符串、整型等。文件类型参数的值可以是流量生成工具所关联虚拟机内的文件名，也可以是用户所上传文件的编号。当文件类型参数的值是虚拟机内的文件名时，则流量生成工具可直接在虚拟机内使用该文件；当文件类型参数的值是用户所上传文件的编号时，则根据文件编号将文件植入虚拟机中，并以文件编号重新命名该文件，流量生成工具可直接在虚拟机内使用该文件。结果类型参数的值可选择范围为流量生成工作流节点编号，流量生成工作流节点应为结果类型参数所在节点的前序节点。在流量生成工作流运行后，使用结果类型参数所关联流量生成工作流节点编号获取该节点执行结果。网络拓扑节点类型参数的值可选择范围为流量生成工作流所关联的网络靶场环境内的网络拓扑节点编号。在网络靶场环境启动后，使用网络拓扑节点类型参数所关联网络拓扑节点编号获取虚拟机的ip和/或编号等。流量生成工具参数可添加中文描述。
网络靶场环境内不存在符合流量生成工作流内流量生成工具的网络拓扑节点时，此时，如果网络靶场环境内存在虚拟机接入点，可以允许网络靶场相关人员选择网络靶场内虚拟机镜像与流量生成工具关联；也可以允许网络靶场相关人员创建符合要求的虚拟机镜像，并与流量生成工具关联。流量生成工作流触发方式包括：定时触发，信号触发，循环触发，随机概率触发，人工触发等。其中，信号触发可由网络靶场业务引起，网络靶场业务包括网络靶场用户的相关操作。网络靶场流量的类型包括：用户行为流量、攻击流量、背景流量等。基于相同发明构思，提出一种网络靶场流量生成系统，包括：工具管理模块，编排模块，触发器模块，工作流引擎。工具管理模块负责集成和管理流量生成工具，这些工具可以是流量模型工具、流量回放工具、脚本、攻击工具等。此模块让系统拥有了扩充新型流量的能力；编排模块负责编排和配置流量生成工具，使流量生成工具按照网络靶场业务具体需求组成流量生成工作流；触发器模块负责配置、启动、暂停、挂起流量生成工作流。配置为配置流量生成工作流的触发方式；工作流引擎负责流量生成工作流的具体执行。本发明能做到使得所生成流量具有合理的时间分布和空间分布，流量类型丰富度高且可以实施扩充，进而达到流量高逼真的效果；使得所生成流量有效作用于网络靶场；易用性高。
29.实施例1：如图1所示，本发明实施例公开的一种网络靶场流量生成方法，主要有四个步骤，步骤一：创建流量生成工具；步骤二：将流量生成工具进行编排配置，组成流量生成工作流，使流量生成工具可以按照一定的规则和顺序进行执行；步骤三：设置流量生成工作流触发方式；步骤四：在工作流引擎中执行流量生成工作流。
30.图1中步骤一创建流量生成工具的流程图如图2所示，网络靶场相关人员在创建工具时，首先需要选择工具类型，如果工具的类型是脚本类型，网络靶场相关人员可选择在线编写或者上传脚本，然后点击自动提取参数按钮，流量生成系统会利用正则匹配出该脚本的所有参数。如果是工具的类型是已经打包好的可执行二进制文件，网络靶场相关人员需要手动添加工具参数。配置完参数后，还需配置工具运行命令。最后，如果系统中没有可以用于工具运行的虚拟机镜像，网络靶场相关人员需要制作符合工具运行的虚拟机镜像，上传到系统中。
31.图1中步骤二绘制流量生成工作流的流程图如图3所示，配置过程为：1、将流量生成工作流与网络靶场环境关联，2、将流量生成工作流内的流量生成工具节点与该网络靶场环境内的网络拓扑虚拟机节点关联，3、配置流量生成工作流内的流量生成工具节点所需参数值。调试过程为：1、启动网络靶场环境，2、启动调试流量生成工作流。
32.图1中步骤三配置流量生成工作流触发方式的活动图如图4所示，网络靶场相关人员在配置流量生成工作流触发方式时，需先选择触发方式，再配置该方式所需参数。当触发方式为信号触发时，需配置触发源；当触发方式为定时触发时，需配置触发时间；当触发方式为循环触发时，需配置循环时间间隔以及每次循环触发该流量生成工作流的概率；当触发方式为人工触发时，需指定触发人员。
33.图1中步骤四流量生成工作流执行的示意图如图5所示，流量生成工作流内的流量生成工具按照一定的规则和顺序放入网络靶场环境内所对应的虚拟机中执行。这样就产生了3个效果：1、于网络靶场环境的虚拟机内仿真了用户行为；2、于网络靶场环境内仿真了网络流量；3、推进网络靶场环境变化，进而推进网络靶场业务变化。
34.图5中，流量生成工作流节点的具体执行如图6所示，有如下步骤：1、工作流引擎会将该节点的参数进行处理。2、判断执行该节点的虚拟机是否在该网络靶场环境，如果没有，则将该虚拟机接入该网络靶场环境。3、利用相关技术（本实施例为qemu guest agent软件）将工具上传至该虚拟机中。4、在该虚拟机中执行并返回结果，工作流引擎保存该结果。
35.图6中，生成流量工作流节点参数处理的活动图如图7所示，在绘制工作流时，有两类参数的值并不可以马上确定，需要网络拓扑启动或工作流运行才能确定。第一类：ip类参数，参数的值是网络拓扑的某台机器ip，基于dhcp分配ip的机器，启动后才得知ip的，并且该机器每次启动后的ip都可能不一样；第二类：结果类参数，参数的值是工作流中某个前序节点的结果，其结果需要该节点运行后才产生，并且该节点每次执行的结果都可能不一样。
36.因此，对于这两类参数的值先用其它值代替，这些用来代替的值与实际具体的值是一一对应的关系。ip类参数的值用网络拓扑节点的唯一编号代替；结果类参数的值则用工作流节点唯一编号代替。在工作流运行时，需要将这些参数具体化，ip类参数根据网络拓扑节点的唯一编号获取实际具体的ip，结果类参数则根据工作流节点唯一编号获取。
37.基于相同的发明构思，本发明实施的一种网络靶场流量生成系统。如图8所示，网络靶场流量生成系统主要包括工具管理模块，编排模块，触发器模块，工作流引擎。
38.工具管理模块负责集成和管理流量生成工具，这些工具可以是流量模型工具、流量回放工具、脚本、攻击工具等。此模块让系统拥有了扩充新型流量的能力，具体实现如上述网络靶场流量生成方式的步骤一；编排模块负责编排和配置流量生成工具，使流量生成工具按照网络靶场业务具体需求组成流量生成工作流，具体实现如上述网络靶场流量生成方式的步骤二；触发器模块负责配置、启动、暂停、挂起流量生成工作流等功能。流量生成工作流的触发方式配置如上述网络靶场流量生成方式的步骤三，启动、暂停、挂起等功能来源本系统所采用的工作流引擎：flowable；工作流引擎负责流量生成工作流的具体执行, 流量生成工作流的具体执行如上述网络靶场流量生成方式的步骤四，本系统是基于flowable框架改造的，flowable有一类任务是负责执行java脚本的，它的名称为servicetask，基于此，本发明将一个java脚本对应一类工具。执行步骤为：1、在java脚本内完成参数值具体化，2、判断工具所指定的虚拟机是否在网络靶场环境中，如果没有，则将虚拟机接入，3、利用qemu guest agent将工具放入该虚拟机中的，4、通过qemu guest agent执行该工具，5、保存执行结果，供后续节点的参数初始化以及网络靶场相关人员查看。
39.综上，本方法及系统有如下优点：（1）通过工作流技术来引导网络流量走向，使之具有合理的时间分布；（2）通过流量生成工具在网络靶场环境中的各个靶机执行，使流量具有合理的空间分布；（3）设计工具创建功能，使得系统可以扩充新型流量工具，增加流量类型的丰富度；（4）通过工作流技术以及多种工作流触发方式，使所生成的流量有效作用于仿真场景；（5）通过简化流量生成工具的参数配置以及流量生成工作流配置，提高系统的易用性；（6）通过将流量生成工具上传到网络靶场环境虚拟机或者将工具指定的虚拟机接入到网络靶场环境，解决了流量生成工具没有可执行环境的问题。

技术特征：

1.一种网络靶场流量生成方法，其特征在于，包括以下步骤：（1）将流量生成工具进行编排配置，组成流量生成工作流；（2）将所述流量生成工作流与网络靶场环境关联，流量生成工作流内的流量生成工具与所述网络靶场环境内网络拓扑节点相关联，所述网络拓扑节点关联虚拟机镜像；（3）启动网络靶场环境，网络拓扑节点所关联虚拟机镜像孵化成虚拟机，流量生成工具植入所述虚拟机；（4）设定流量生成工作流触发方式，触发流量生成工作流；（5）流量生成工具在关联虚拟机镜像孵化成虚拟机内按照流量生成工作流编排配置执行工作。2.根据权利要求1所述的一种网络靶场流量生成方法，其特征在于，所述流量生成工作流触发方式包括：定时触发，信号触发，循环触发，随机概率触发，人工触发。3.根据权利要求2所述的一种网络靶场流量生成方法，其特征在于，所述信号触发由网络靶场业务引起，网络靶场包括网络靶场用户，所述网络靶场业务包括网络靶场用户的全部操作。4.根据权利要求1所述的一种网络靶场流量生成方法，其特征在于，流量生成工作流中流量生成工具提供多种参数名类型，所述多种参数名类型包括文件类型、结果类型、网络拓扑节点类型、字符串、整型。5.根据权利要求4所述的一种网络靶场流量生成方法，其特征在于，所述文件类型参数值包括：流量生成工具所关联虚拟机的文件名，用户上传文件的编号；当文件类型参数值是所述流量生成工具所关联虚拟机的文件名时，则流量生成工具直接在虚拟机内应用此文件；当文件类型参数值是所述用户上传文件的编号时，则根据用户上传文件的编号将文件植入流量生成工具所关联的虚拟机中，并以文件编号重新命名该文件，流量生成工具在虚拟机内直接应用此文件。6.根据权利要求1或4所述的一种网络靶场流量生成方法，其特征在于，对流量生成工作流所关联的网络靶场环境内的网络拓扑节点进行编号，所述网络拓扑节点类型参数值范围为流量生成工作流所关联的网络靶场环境内的网络拓扑节点编号，在网络靶场环境启动后，使用网络拓扑节点类型参数所关联网络拓扑节点编号获取虚拟机的ip。7.一种网络靶场流量生成系统，其特征在于，包括工具管理模块，编排模块，触发器模块，工作流引擎；所述工具管理模块对流量生成工具进行集成或管理，所述编排模块根据网络靶场业务具体需求从工具管理模块中选择流量生成工具组成流量生成工作流，所述触发器模块对所述流量生成工作流进行配置、启动、暂停、挂起，所述配置指配置流量生成工作流的触发方式；所述工作流引擎执行流量生成工作流；工具管理模块包括：流量模型工具、流量回放工具、流量脚本、攻击工具。

技术总结

一种网络靶场流量生成方法及系统，将流量生成工具配置，组成流量生成工作流；将工作流与网络靶场环境关联，工作流内的流量生成工具与网络靶场环境内网络拓扑节点相关联，网络拓扑节点关联虚拟机镜像；启动网络靶场环境，网络拓扑节点内所关联虚拟机镜像孵化成虚拟机，流量生成工具植入孵化成虚拟机；设定工作流触发方式，触发工作流；流量生成工具在虚拟机内按照流量生成工作流编排配置执行工作；一种网络靶场流量生成系统括工具管理模块，编排模块，触发器模块，工作流引擎；本发明具有合理的时间分布和空间分布，流量类型丰富度高且可以实施扩充，进而达到流量高逼真的效果；使得所生成流量有效作用于网络靶场；易用性高。易用性高。易用性高。