本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，具體涉及一種基于超融合架構(gòu)的網(wǎng)絡(luò)攻防虛擬仿真系統(tǒng)。

背景技術(shù)：

網(wǎng)絡(luò)安全實(shí)驗(yàn)本身具有一定的風(fēng)險(xiǎn)，如果在真實(shí)網(wǎng)絡(luò)中開展病毒注入和網(wǎng)絡(luò)攻擊等破壞性實(shí)驗(yàn)，會(huì)嚴(yán)重威脅實(shí)驗(yàn)室中的硬件安全、軟件安全和管理安全。虛擬化技術(shù)的出現(xiàn)，為開展網(wǎng)絡(luò)安全實(shí)驗(yàn)提供了解決方案，在虛擬機(jī)中開展網(wǎng)絡(luò)安全實(shí)驗(yàn)，不會(huì)影響物理主機(jī)的安全。隨著云技術(shù)的發(fā)展，在云計(jì)算環(huán)境下建立的網(wǎng)絡(luò)安全實(shí)驗(yàn)系統(tǒng)，允許實(shí)驗(yàn)人員通過網(wǎng)絡(luò)遠(yuǎn)程訪問。利用云計(jì)算技術(shù)建立的網(wǎng)絡(luò)安全虛擬仿真系統(tǒng)，對(duì)網(wǎng)絡(luò)安全教學(xué)和科研起到了良好的推動(dòng)作用，但是仍然存在一些不足：

(1)擴(kuò)展性不強(qiáng)，無法對(duì)計(jì)算資源、網(wǎng)絡(luò)資源和存儲(chǔ)資源統(tǒng)一管理，大部分虛擬仿真系統(tǒng)只能對(duì)計(jì)算資源統(tǒng)一管理，這就導(dǎo)致虛擬仿真系統(tǒng)的升級(jí)受限于所采用的網(wǎng)絡(luò)連接設(shè)備和存儲(chǔ)設(shè)備的體系結(jié)構(gòu)。

(2)效費(fèi)比偏低，據(jù)統(tǒng)計(jì)，在搭建虛擬仿真實(shí)驗(yàn)平臺(tái)時(shí)，存儲(chǔ)設(shè)備投資在硬件投入中占比一般在15％到40％之間，甚至更高，降低了投資的效費(fèi)比。

(3)管理難度大，一般情況下一臺(tái)存儲(chǔ)設(shè)備會(huì)為多臺(tái)計(jì)算節(jié)點(diǎn)提供存儲(chǔ)服務(wù)，存在著單點(diǎn)故障隱患，一旦存儲(chǔ)設(shè)備損壞，將影響整個(gè)仿真系統(tǒng)的運(yùn)行。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明所要解決現(xiàn)有的網(wǎng)絡(luò)安全虛擬仿真系統(tǒng)擴(kuò)展性差、效率比偏低以及管理困難等問題，提供一種基于超融合架構(gòu)的網(wǎng)絡(luò)攻防虛擬仿真系統(tǒng)。

基于超融合架構(gòu)的網(wǎng)絡(luò)攻防虛擬仿真系統(tǒng)，包括Web應(yīng)用模塊、協(xié)議轉(zhuǎn)發(fā)模塊、實(shí)驗(yàn)配置模塊、實(shí)驗(yàn)運(yùn)行模塊、節(jié)點(diǎn)配置模塊、鏡像同步模塊和性能監(jiān)控模塊；

Web應(yīng)用模塊：允許網(wǎng)絡(luò)用戶和管理員通過瀏覽器訪問系統(tǒng)，管理員通過web應(yīng)用模塊訪問節(jié)點(diǎn)配置模塊、鏡像同步模塊和實(shí)驗(yàn)配置模塊；網(wǎng)絡(luò)用戶通過所述Web應(yīng)用模塊訪問協(xié)議轉(zhuǎn)發(fā)模塊和實(shí)驗(yàn)運(yùn)行模塊；

所述協(xié)議轉(zhuǎn)發(fā)模塊用于為Web應(yīng)用模塊提供網(wǎng)絡(luò)協(xié)議轉(zhuǎn)換，支持服務(wù)器與瀏覽器雙向通信的Web Socket，允許網(wǎng)絡(luò)用戶通過瀏覽器訪問實(shí)驗(yàn)運(yùn)行模塊；

實(shí)驗(yàn)配置模塊：管理員通過Web應(yīng)用模塊上傳鏡像文件，根據(jù)網(wǎng)絡(luò)安全實(shí)驗(yàn)的目的，選擇鏡像文件，配置網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，將配置文件保存成一個(gè)實(shí)驗(yàn)項(xiàng)目；

所述實(shí)驗(yàn)運(yùn)行模塊用于根據(jù)網(wǎng)絡(luò)用戶選擇的實(shí)驗(yàn)，讀取所選實(shí)驗(yàn)的配置文件，啟動(dòng)實(shí)驗(yàn)所需要的虛擬攻擊機(jī)、虛擬靶機(jī)和虛擬路由器，自動(dòng)配置虛擬網(wǎng)絡(luò)，提供仿真實(shí)驗(yàn)運(yùn)行環(huán)境；

節(jié)點(diǎn)配置模塊用于當(dāng)系統(tǒng)新增加服務(wù)器節(jié)點(diǎn)后，添加所述新增服務(wù)器節(jié)點(diǎn)的IP地址；鏡像同步模塊會(huì)自動(dòng)將其它服務(wù)器節(jié)點(diǎn)上的鏡像同步到新增服務(wù)器節(jié)點(diǎn)；

所述鏡像同步模塊還負(fù)責(zé)同步系統(tǒng)中所有服務(wù)器節(jié)點(diǎn)的鏡像文件，并確保鏡像文件的一致性；

性能監(jiān)控模塊用于監(jiān)控不同節(jié)點(diǎn)運(yùn)行的虛擬機(jī)數(shù)量，并能按照調(diào)度算法自動(dòng)均衡服務(wù)器節(jié)點(diǎn)運(yùn)行的虛擬機(jī)數(shù)量。

本發(fā)明的有益效果：

本發(fā)明采用超融合架構(gòu)建設(shè)網(wǎng)絡(luò)攻防虛擬仿真實(shí)驗(yàn)系統(tǒng)，多臺(tái)服務(wù)器節(jié)點(diǎn)通過高速網(wǎng)絡(luò)互聯(lián)，服務(wù)器節(jié)點(diǎn)既是計(jì)算節(jié)點(diǎn)，又是存儲(chǔ)節(jié)點(diǎn)，在硬件上舍棄專用存儲(chǔ)設(shè)備，顯著降低了硬件成本。由于不受存儲(chǔ)設(shè)備的限制，要提升系統(tǒng)的服務(wù)能力，可以水平方向接入新的服務(wù)器節(jié)點(diǎn)，因此可以通過增加服務(wù)器節(jié)點(diǎn)的數(shù)量水平擴(kuò)展系統(tǒng)的服務(wù)能力；系統(tǒng)中有多個(gè)服務(wù)器節(jié)點(diǎn)，當(dāng)其中部分服務(wù)器節(jié)點(diǎn)發(fā)生軟硬件故障時(shí)，不會(huì)影響系統(tǒng)的運(yùn)行，可以接入新的服務(wù)器節(jié)點(diǎn)替換發(fā)生故障的服務(wù)器節(jié)點(diǎn)；當(dāng)新增服務(wù)器節(jié)點(diǎn)時(shí)，系統(tǒng)會(huì)自動(dòng)向新增服務(wù)器節(jié)點(diǎn)同步鏡像資源，可快速增加系統(tǒng)的服務(wù)能力，尤其是對(duì)所采用的服務(wù)器并無特殊的品牌和型號(hào)要求；

本系統(tǒng)不但對(duì)計(jì)算和網(wǎng)絡(luò)進(jìn)行虛擬化管理，同時(shí)可以對(duì)存儲(chǔ)進(jìn)行統(tǒng)一的池化管理，因此能有效的降低后期管理和維護(hù)的成本；利用Web應(yīng)用模塊提供實(shí)驗(yàn)訪問環(huán)境，網(wǎng)絡(luò)用戶可以使用PC、手機(jī)、平板等多種設(shè)備的瀏覽器訪問實(shí)驗(yàn)資源，不需要安裝任何客戶端，方便實(shí)驗(yàn)資源的共享，實(shí)現(xiàn)隨時(shí)隨地按需學(xué)習(xí)；網(wǎng)絡(luò)用戶不但可以運(yùn)行管理員配置好的實(shí)驗(yàn)項(xiàng)目，還可以通過Web應(yīng)用模塊訪問實(shí)驗(yàn)配置模塊，自行配置實(shí)驗(yàn)所要使用虛擬機(jī)、路由器、虛擬局域網(wǎng)及網(wǎng)絡(luò)配置開展實(shí)驗(yàn)，可以快速的搭建出實(shí)驗(yàn)環(huán)境開展實(shí)驗(yàn)。

附圖說明

圖1為本發(fā)明所述的基于超融合架構(gòu)的網(wǎng)絡(luò)攻防虛擬仿真系統(tǒng)的功能結(jié)構(gòu)框圖；

圖2為本發(fā)明所述的基于超融合架構(gòu)的網(wǎng)絡(luò)攻防虛擬仿真系統(tǒng)的硬件結(jié)構(gòu)；

圖3為本發(fā)明所述的基于超融合架構(gòu)的網(wǎng)絡(luò)攻防虛擬仿真系統(tǒng)的體系結(jié)構(gòu)。

具體實(shí)施方式

具體實(shí)施方式一、結(jié)合圖1至圖3說明本實(shí)施方式，基于超融合架構(gòu)的網(wǎng)絡(luò)攻防虛擬仿真系統(tǒng)，包括Web應(yīng)用模塊、鏡像管理模塊、實(shí)驗(yàn)配置模塊、節(jié)點(diǎn)擴(kuò)展模塊、分布式存儲(chǔ)管理模塊、鏡像同步模塊、協(xié)議轉(zhuǎn)發(fā)模塊和性能監(jiān)控模塊。所述Web應(yīng)用模塊：允許網(wǎng)絡(luò)用戶和管理員通過瀏覽器訪問系統(tǒng)，管理員通過web應(yīng)用模塊訪問節(jié)點(diǎn)配置模塊、鏡像同步模塊和實(shí)驗(yàn)配置模塊；網(wǎng)絡(luò)用戶通過所述Web應(yīng)用模塊訪問協(xié)議轉(zhuǎn)發(fā)模塊和實(shí)驗(yàn)運(yùn)行模塊；

所述協(xié)議轉(zhuǎn)發(fā)模塊：用于為Web應(yīng)用模塊提供網(wǎng)絡(luò)協(xié)議轉(zhuǎn)換，支持服務(wù)器與瀏覽器雙向通信的Web Socket，允許網(wǎng)絡(luò)用戶通過瀏覽器訪問實(shí)驗(yàn)運(yùn)行模塊開展實(shí)驗(yàn)；實(shí)驗(yàn)運(yùn)行模塊：用于根據(jù)網(wǎng)絡(luò)用戶選擇的實(shí)驗(yàn)，讀取所選實(shí)驗(yàn)的配置信息，啟動(dòng)實(shí)驗(yàn)所需要的虛擬攻擊機(jī)、虛擬靶機(jī)、虛擬路由器，自動(dòng)配置虛擬網(wǎng)絡(luò)，提供仿真實(shí)驗(yàn)運(yùn)行環(huán)境；性能監(jiān)控模塊：用于監(jiān)控不同服務(wù)器節(jié)點(diǎn)運(yùn)行的虛擬機(jī)數(shù)量，并能按照調(diào)度算法自動(dòng)均衡服務(wù)器節(jié)點(diǎn)運(yùn)行的虛擬機(jī)數(shù)量；節(jié)點(diǎn)配置模塊：當(dāng)系統(tǒng)新增加服務(wù)器節(jié)點(diǎn)后，添加新節(jié)點(diǎn)的IP地址；鏡像同步模塊：負(fù)責(zé)同步系統(tǒng)中所有服務(wù)器節(jié)點(diǎn)的鏡像文件，并確保鏡像文件的一致性；實(shí)驗(yàn)配置模塊：管理員通過Web應(yīng)用模塊上傳鏡像文件，根據(jù)網(wǎng)絡(luò)安全實(shí)驗(yàn)的目的，選擇不同的鏡像文件，設(shè)置網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，將配置文件保存成一個(gè)實(shí)驗(yàn)項(xiàng)目。

結(jié)合圖2說明本實(shí)施方式，本實(shí)施方式中的硬件設(shè)備包括網(wǎng)絡(luò)連接設(shè)備、防火墻和服務(wù)器節(jié)點(diǎn)；

所述網(wǎng)絡(luò)連接設(shè)備為高速的光纖交換機(jī)或萬兆交換機(jī)，服務(wù)器節(jié)點(diǎn)通過網(wǎng)絡(luò)連接設(shè)備互聯(lián)，服務(wù)器節(jié)點(diǎn)的數(shù)量受限于單個(gè)網(wǎng)絡(luò)連接設(shè)備的端口數(shù)；

當(dāng)需要擴(kuò)充計(jì)算能力增加服務(wù)器節(jié)點(diǎn)時(shí)，還可以由多個(gè)網(wǎng)絡(luò)連接設(shè)備級(jí)聯(lián)，網(wǎng)絡(luò)連接設(shè)備連接到防火墻，由防火墻為系統(tǒng)提供網(wǎng)絡(luò)安全防護(hù)；

防火墻并不是不可替代的網(wǎng)絡(luò)安全防護(hù)設(shè)備，也可以使用其它類型的網(wǎng)絡(luò)安全防護(hù)設(shè)備；

網(wǎng)絡(luò)用戶和管理員通過防火墻訪問服務(wù)器節(jié)點(diǎn)；所有服務(wù)器節(jié)點(diǎn)都保存了具有操作系統(tǒng)漏洞和應(yīng)用程序漏洞的操作系統(tǒng)鏡像文件，而且還存儲(chǔ)著已安裝攻擊工具的操作系統(tǒng)鏡像文件，以及虛擬路由器交換機(jī)的鏡像文件；

分布式存儲(chǔ)管理模塊用于系統(tǒng)對(duì)存儲(chǔ)資源的統(tǒng)一管理；當(dāng)新增服務(wù)器節(jié)點(diǎn)后，在新增服務(wù)器節(jié)點(diǎn)上安裝分布式存儲(chǔ)管理模塊，然后管理員通過節(jié)點(diǎn)配置模塊設(shè)置新增節(jié)點(diǎn)的IP地址，鏡像同步模塊會(huì)自動(dòng)將其它服務(wù)器節(jié)點(diǎn)上的鏡像同步到新增服務(wù)器節(jié)點(diǎn)。

結(jié)合圖3說明本實(shí)施方式，本實(shí)施方式所述的仿真系統(tǒng)的體系結(jié)構(gòu)中包括存儲(chǔ)虛擬化——分布式存儲(chǔ)管理模塊、計(jì)算虛擬化——KVM、網(wǎng)絡(luò)虛擬化——OpenSwitch、虛擬機(jī)管理、Opentstatck控制節(jié)點(diǎn)——服務(wù)器節(jié)點(diǎn)和web應(yīng)用模塊；

KVM是一個(gè)Linux內(nèi)核模塊實(shí)現(xiàn)，在虛擬環(huán)境下Linux內(nèi)核集成管理程序?qū)⑵渥鳛橐粋€(gè)可加載的模塊，使用KVM來實(shí)現(xiàn)計(jì)算資源的虛擬化，KVM通過加載kvm.ko內(nèi)核模塊將Linux內(nèi)核轉(zhuǎn)換為一個(gè)虛擬機(jī)監(jiān)控器VMM；

分布式存儲(chǔ)通過擴(kuò)展KVM模塊實(shí)現(xiàn)，以確保對(duì)所有服務(wù)器節(jié)點(diǎn)存儲(chǔ)資源的統(tǒng)一管理；

Open vSwitch是一個(gè)可以運(yùn)行在KVM虛擬化平臺(tái)上的虛擬交換機(jī)，用于虛擬攻擊機(jī)和虛擬靶機(jī)間的通信和實(shí)現(xiàn)虛擬機(jī)與外網(wǎng)的通信；

QEMU通過軟件仿真處理器的取指、解碼和執(zhí)行，它是一種用動(dòng)態(tài)翻譯技術(shù)實(shí)現(xiàn)的快速指令集層虛擬機(jī)，支持整個(gè)計(jì)算機(jī)系統(tǒng)的模擬。QEMU-KVM是用硬件虛擬化技術(shù)代替了QEMU的動(dòng)態(tài)翻譯技術(shù)，實(shí)現(xiàn)了虛擬機(jī)操作系統(tǒng)代碼直接由硬件處理從而提高系統(tǒng)性能；本發(fā)明中使用QEMU-KVM和Libvirt實(shí)現(xiàn)虛擬機(jī)的管理和調(diào)度，通過它為網(wǎng)絡(luò)用戶提供虛擬攻擊機(jī)和虛擬靶機(jī)；

為了允許網(wǎng)絡(luò)用戶使用瀏覽器訪問虛擬機(jī)，在Openstack中啟用支持遠(yuǎn)程訪問虛擬化桌面的獨(dú)立計(jì)算環(huán)境簡單協(xié)議SPICE(Simple Protocol for Independent Computing Environment)，同時(shí)在nova中配置nova-vncproxy，實(shí)現(xiàn)虛擬機(jī)的VNC(Virtual Network Computer)代理到支持服務(wù)器與瀏覽器雙向通信的Web Socket，以支持虛擬機(jī)訪問的Web化；

用Glance提供虛擬機(jī)實(shí)例化時(shí)需要的鏡像；

Web應(yīng)用模塊利用PHP開發(fā)，使用Mysql儲(chǔ)存網(wǎng)絡(luò)用戶帳號(hào)信息和實(shí)驗(yàn)題目等信息，主要包括場(chǎng)景管理、實(shí)驗(yàn)題目管理、網(wǎng)絡(luò)用戶管理、靶場(chǎng)管理、靶場(chǎng)比賽、成績管理、系統(tǒng)監(jiān)控、成績?yōu)g覽、網(wǎng)絡(luò)拓?fù)涔芾?、虛擬化管理、虛擬機(jī)管理和服務(wù)器節(jié)點(diǎn)配置等功能；

網(wǎng)絡(luò)用戶使用瀏覽器訪問Web應(yīng)用模塊，選擇要開展實(shí)驗(yàn)項(xiàng)目后，web應(yīng)用模塊將實(shí)驗(yàn)請(qǐng)求轉(zhuǎn)發(fā)給實(shí)驗(yàn)運(yùn)行模塊；

實(shí)驗(yàn)運(yùn)行模塊利用Nova調(diào)派資源在1臺(tái)服務(wù)器節(jié)點(diǎn)上實(shí)例化實(shí)驗(yàn)所需要的虛擬機(jī)；

性能監(jiān)控模塊周期性監(jiān)測(cè)所有服務(wù)器節(jié)點(diǎn)上運(yùn)行的虛擬機(jī)數(shù)量，選擇運(yùn)行虛擬機(jī)數(shù)量的服務(wù)器節(jié)點(diǎn)，在該節(jié)點(diǎn)上實(shí)例化網(wǎng)絡(luò)用戶開展實(shí)驗(yàn)所要用到的虛擬機(jī)。

當(dāng)網(wǎng)絡(luò)用戶開展實(shí)驗(yàn)所需要的環(huán)境被創(chuàng)建成功后，網(wǎng)絡(luò)用戶可以在支持HTML5和WebSocket的瀏覽器中直接操作虛擬機(jī)開展實(shí)驗(yàn)。

本實(shí)施方式所述的超融合架構(gòu)支持在同一套單元設(shè)備中同時(shí)提供計(jì)算、網(wǎng)絡(luò)和存儲(chǔ)資源的池化管理。單元設(shè)備之間使用低延遲萬兆銅纜或光纖互聯(lián)，避免了服務(wù)器和存儲(chǔ)設(shè)備的重度耦合，省去了部署專用存儲(chǔ)設(shè)備的成本。因此，采用超融合架構(gòu)可以建立擴(kuò)展性強(qiáng)、可靠性高、易管理和低成本的網(wǎng)絡(luò)安全虛擬仿真系統(tǒng)。