建立複雜網絡運行環境模擬仿真平臺的方法
2023-05-10 19:22:16
專利名稱:建立複雜網絡運行環境模擬仿真平臺的方法
技術領域:
本發明涉及一種建立網絡仿真平臺的方法,具體是一種建立複雜網絡運行環境模擬仿真平臺的方法。用於網絡安全技術領域。
背景技術:
當前,隨著網際網路的日益普及,計算機病毒與黑客攻擊行為愈演愈烈,複雜網絡的運營及維護成本越來越高,如何更好地保證這些網絡的安全穩定運行成為一個亟待解決的重要課題。為了保障網絡的穩定性及安全性,網絡管理人員除了需要加強平時的維護和管理外,還需及時了解網絡上各部分的安全狀況(如漏洞及補丁),安全策略的制定和升級方案,新設備的功能,網絡設備及安全設備的配置情況,設備的資料庫(信息庫)的更新進展以及從完整系統的角度上看(從安全保障體系角度上看)網絡系統的最優組建和配置方案等情況。而這些單純靠幾個人員的工作是無法勝任的。這一方面是因為他們面對的是一個運行中的網絡系統,必須時時保證該系統的正常運行,因而管理人員不便於隨時掃描系統、檢查安全問題、修復不安全隱患及進行各種安全性驗證實驗;另一方面,還因為安全技術是相對的,黑客攻擊手段總是在不斷升級和變化,依賴現成安全產品的防護是有限的,有些黑客的攻擊行為還與具體網絡架構及應用類型有關。所以,要有效地防護黑客對網絡的攻擊,不但需要熟悉各種安全網絡產品的安全功能及性能,而且要構建一個與網絡運行環境相當的模擬仿真平臺。在模擬仿真平臺上既可以研究該網絡系統的性能優化方法、最優安全配置方法,又可以有針對性的研究相關的攻防技術。
經對現有技術的文獻檢索發現,《分布式交互仿真中的網絡安全平臺的設計與實現》(《計算機應用》,2002年02期,作者張錳)研究了面向軍事應用為主的分布式交互仿真系統,針對HLA(高層體系結構)仿真系統存在的兩種洩露敏感數據的途徑,提出了基於硬體的網絡安全平臺的方案。據此開發了基於PCI總線和ISA總線的安全網絡適配器,以獨立的處理器完成數據的加密/解密、封裝和過濾以及傳輸。但是,該文獻只講述單個的、具體的、針對特定環境的網絡硬體的設計方法,而沒有涉及在的、整體的、綜合性的複雜網絡的研究,例如評估網絡的性能,模擬各項系統服務及進行各項安全測試的,相對於只在系統底層硬體上進行了開發。在進一步的檢索中,尚未發現與本發明主題相同或者類似的文獻報導。
發明內容
本發明的目的在於克服現有技術中的不足,提供了一種建立複雜網絡運行環境模擬仿真平臺的方法,使其可以發現和解決複雜網絡運行環境可能的隱患,從而提高運行環境的安全性和性能,確保它的正常運行。
本發明是通過以下技術方案實現的,本發明以實際運行的、動態的、複雜網絡為原型,從中提取出一個與原網絡各項性能要求近似的物理和邏輯模型,進而構建模擬網絡的邏輯模型和物理模型,根據模擬網絡的模型,選擇硬體設備建立模擬網絡,通過分析考察該網絡的運行情況和各項性能,達到既能間接檢測原複雜網絡,又不影響其正常服務的雙重目的。具體步驟如下(1)分析複雜網絡的拓撲、軟硬體設施構成、組織結構、安全環境網絡私有信息,找出準確的實際網絡物理模型;(2)以上述物理模型為基礎,分析網絡信息業務,服務構成,建立實際網絡邏輯模型;(3)根據網絡邏輯模型,結合網絡性能評估和行為模式分析的方法,建立仿真網絡的邏輯模型;(4)利用硬體設備來繪製仿真網絡的物理模型,建立原網絡的鏡像模擬網絡;(5)考察該模擬網絡,間接檢測實際運行網絡的各項性能。
以下對本發明作進一步說明,具體實現可以分為兩大階段,即抽象網絡模型階段和建立實物模型階段。
1、抽象網絡模型階段首先調查複雜網絡的各種業務和功能,畫出業務功能示意圖。根據目前對複雜網絡的分析,將其分為內部網絡、外部網絡和內外交互平臺三個部分,其中,內部網絡用於對網絡的管理和維護;外部網絡用於對外提供各項信息服務,包括WEB信息發布、電子郵件服務、文件服務、視頻和音頻流媒體的點播服務、電子公告板和網上聊天以及各類增值服務;內部網絡和外部網絡通過內外交互平臺進行信息交換;綜合上述三個部分的業務功能,得出準確的實際網絡物理模型。
其次結合網絡安全的要求,評估各項安全指標,給出安全模型,包括以下各方面的安全需求物理環境、網絡拓撲結構、邊界防護、主要伺服器安全狀況、防病毒措施、應急響應措施,建立實際網絡邏輯模型;最後,根據上述兩個步驟,結合網絡性能評估和行為模式分析的方法,針對普通用戶和黑客的不同特點,繪製複雜網絡的仿真網絡邏輯模型,從而完成抽象網絡模型階段的工作。
其中所述的「外部網絡」是指實際網絡的外網環境;所述的「普通用戶」和「黑客」分別指處於內部網絡和外部網絡的正常用戶和惡意黑客;所述的「內外交互平臺」是指外部網絡和內部網絡的數據交換設備,包括一系列交換機和路由器;所述的「內部網絡」是指實際網絡的內網環境。
2、建立實物模型階段模擬仿真平臺的硬體配置遵循以下原則對伺服器而言,確保能安裝運行平臺中對應的作業系統;對於網絡或安全設備,選擇支持的功能或協議與運行平臺中設備相同的,對於原系統中的一些負載均衡或熱備份的設備,使用單套設備代替。
將實際網絡運行過程中可能遭受的攻擊在模擬仿真平臺上實施,觀察平臺的承受能力,從而間接檢測實際網絡的安全性,進而改進實際網絡。
由本發明建立起的網絡模擬仿真平臺,將包含商用網絡環境中的典型硬體設施,如各種作業系統的主機、防火牆、路由器、掃描器、IDS、伺服器、交換機等,也包括HTTP、FTP、DNS、Email、應用服務軟體和安全軟體,還包括各種攻擊軟體和病毒。根據網絡環境的構成,可以對仿真網絡的軟硬體進行調整、補充、和重新配置;同時配置內部環境和外部環境,可以通過業務模擬和應用運行模擬來模擬網絡的運作。從而保證其最大程度的反映原網絡的特點,包括服務性能和安全要求。這樣,通過評估該模擬仿真網絡來間接地、精確地、實時地檢測實際網絡的運行情況,給出改善網絡的方法和意見,最終達到既不影響原網絡的正常運行,又能得到其準確信息的目的。
圖1本發明方法原理2本發明抽象網絡模型3本發明方法流程4本發明實施例典型物理拓撲結構具體實施方式
如圖1、圖3所示,複雜網絡系統由於業務的特殊要求,無法停止服務來進行靜態的系統檢測,即便可以做到,得到的各項數據可信度也不會太高,因為網絡本身具有動態特性,加之網絡拓撲常常因需而變,運行環境複雜多樣,靜態地對這類網絡系統的服務能力進行檢驗和安全測試評估是不合適的和意義不大的。但是這兩項工作對保證網絡的穩定正常運行意義重大,因此必須找到一種方法,既能完成上述工作,同時不影響原有系統的運行。本發明提出的搭建模擬平臺的方法可以很好的達到這個目的。
下面以當前一個具有普遍意義的複雜網絡為例來詳細介紹本發明提出的模擬仿真平臺建設方法的實際應用過程。
1.該網絡系統主要分為外部網絡和內部網絡兩個部分(1)外部網絡主要是向網際網路提供信息發布和各類信息服務,是網絡的對外服務系統。提供的服務主要包括Web信息發布,發布新聞信息和各專門頻道的信息,對歷史數據還提供了查詢檢索功能。
電子郵件服務,對外提供免費的電子郵件服務。
文件服務,提供各類文件資料供下載。
流媒體信息服務,提供視頻和音頻等流信息的點播服務。
電子公告板和網上聊天室,提供交互式的信息服務。
其他各類增值服務,包括網上遊戲等。
外部網絡的主要伺服器包括Web伺服器、FTP伺服器、電子郵件伺服器、DNS伺服器和資料庫伺服器等,伺服器間通過外部網的內部交換平臺相互連接。其中Web伺服器通過第四層交換機配置了虛擬IP位址,並在並行的幾臺Web伺服器間實現負載均衡,對Web伺服器提供了基本的安全保護。同時對Web伺服器進行了信息完整性的監視和自動恢復功能。
外部網絡和內部網之間通過兩條專線連接,同時使用ISDN線路作為備份鏈路。由外部網絡的中心伺服器實現內部網和外部網之間的信息互通,中心伺服器同時通過防火牆提供了內部網用戶到網際網路的出口。
(2)內部網絡內部網絡是該網的內部工作網絡系統,主要負責提供外部網絡服務的內容,及內部人員工作平臺。
內部網絡統一採用了內部的非正式IP位址空間,並根據IP位址進行邏輯網絡段的分割。內部網絡中的設備主機房提供了數據採編和其他各類數據和應用伺服器,信息經過採編和審查環節之後,首先在內部網絡的伺服器內合成Web頁面,並通過籤發伺服器上傳到外部網絡的伺服器。整個內部網絡通過專線接入到外部網絡,並通過外部網絡的公用出口訪問網際網路。
2.收集該網絡的各種信息和需求情況,包括(1)收集整理該網絡使用的軟體信息,可以將其細分為六類,即作業系統類、資料庫類、應用服務類、網絡管理/安全類、辦公系統類和各種軟體的補丁等級。由於軟體在系統中的地位非常重要,軟體的微小版本差別可能就會導致不同的漏洞和攻擊手段,因此對於軟體的配置情況,必須調查細緻、信息準確,以便使後面建設的模擬系統儘可能與原系統一致。同時應該保證一旦實際運行系統軟體有所變化,應即時升級模擬系統。
(2)收集整理該網絡的硬體配置情況及相關材料,包括伺服器類型、業務量、路由器、交換機、安全設備及其配置,各類伺服器的技術文檔資料等。
(3)收集整理該網絡的業務流程情況,包括外網服務流程和內網工作流程、各流程的具體內容、涉及的具體軟硬體使用,要分清各業務的分工和責任,以利於模擬網絡邏輯模型的構建。
(4)收集整理該網絡的安全需求,分為外部網絡和內部網絡。
對外部網絡部分,可以分為以下三方面邊界網絡的安全需求,著重考慮內外網的防火牆安全;服務安全需求,分為三類a)信息服務安全,包括防範黑客入侵各種應用伺服器、篡改刪除信息;外部網上的網絡設備可能遭受的拒絕服務攻擊(Denial of Service,DoS)和分布式拒絕服務攻擊(DDoS);伺服器大量並發流量的襲擊;b)郵件服務的安全,防範垃圾郵件和非法郵件佔用系統資源、以本網絡為跳板擾亂破壞其他系統和用戶,保護合法用戶的正常郵件處理;c)交互式信息服務的安全,包括BBS和聊天室等信息的合法性;安全備份,保證外部伺服器上儲存的用戶資料庫和郵件的安全;對內部網絡部分,考慮以下方面的安全內部網絡用戶之間工作交流的安全,防止病毒和內部惡意用戶的破壞,確保數據在傳輸過程中的安全性,特別是數據的完整性;內部網絡向外部網絡信息發布的安全,防止信息被篡改和刪除、服務更新的出錯或不完整、非授權用戶無法發布信息;重要主機的安全,包括籤發伺服器、主要領導使用的主機、資料庫伺服器及內部網絡用戶的授權伺服器等。
圖3中的網絡私有信息給出了以上調研後應該取得的內容。
3.在上述兩種資料齊全的基礎上,依次抽象出模擬網絡的物理模型和邏輯模型,最後得到模擬仿真平臺的拓撲。下面具體闡述物理模型,可根據原網絡實際的物理拓撲來繪製,必須將各個子網絡的連接情況、子網內部各伺服器組織方式、終端用戶的分布、終端的類型、網絡安全和連接設備的部署描繪清楚。
邏輯模型,以上述物理模型為基礎,結合各項安全需求,畫出邏輯模型;圖2給出了邏輯模型,其中所述的「外部網絡」是指實際網絡的外網環境;所述的「普通用戶」和「黑客」分別指處於內部網絡和外部網絡的正常用戶和惡意黑客;所述的「內外交互平臺」是指外部網絡和內部網絡的數據交換設備,包括一系列交換機和路由器;所述的「內部網絡」是指實際網絡的內網環境。
根據的結果,考慮突出重點業務的要求,提出該複雜網絡模擬仿真平臺的典型拓撲結構如圖4,其中外部交換平臺(SWITCH2)和內部交換平臺(SWITCH4)分離,BBS、MAIL和DNS伺服器(均為雙網卡)跨接於內外交互平臺之間;WEB1-3也為雙網卡,外網卡連接至外部交換平臺,內網卡連接內部交換平臺。
SWITCH2連接至防火牆的DMZ。SWITCH1上劃分兩個VLANVLAN1和VLAN2,VLAN1上連接部分攻擊源PC和模擬用戶,作為對外部網絡的模擬。SMARTBITS既可模擬正常訪問的背景流量,也可發送大量攻擊包。VLAN2連接至防火牆的外部網絡接口。SWITCH2上的IDS用來檢測外部網絡的攻擊。
內部交換平臺的SWITCH4上也劃分兩個VLANVLAN3和VLAN4。VLAN3上除了連接前述伺服器的內網卡外,還接BBS DB和WEB DB分別為BBS和WEB服務提供資料庫,及掃描器。VLAN4模擬一個受防火牆保護的內部網絡,連接至防火牆的內部網絡接口,放置幾臺目標主機。
在VLAN3、VLAN4和SWITCH2各放置一臺攻擊源,模擬發生在內部網絡的攻擊行為。
4.合理選用硬體搭建模擬平臺網絡為了滿足其業務量大的要求,其硬體配置均比較高,模擬平臺的硬體不必使用原系統一樣昂貴的設備。對伺服器或客戶機而言,只要可以安裝原系統中對應機器的作業系統即可。對於網絡設備,最好是對應於原系統設備的同一系列中配置稍低,埠數較少或速率較低,但支持的功能基本相同的。這樣可以在儘可能小的成本下達到最大相似程度的模擬。同時對於原系統中的一些負載均衡或熱備份的設備,可以考慮使用單套設備代替。
應用實例模擬仿真平臺典型的應用是針對運行平臺的問題進行研究,提出可能的解決方案在模擬仿真平臺上進行驗證,根據結果對運行平臺進行改進,從而使其安全性或性能得到提高。
通過發現,DDoS攻擊是目前網絡所面臨的最大的威脅,還沒有辦法徹底解決。反向代理技術可以在一定程序上減小這種威脅,它使用一個代理伺服器代理外部網絡上的主機訪問內部的WEB伺服器。內部的WEB伺服器由多臺組成一個群,反向代理伺服器將請求按一定算法分發到這些內部WEB伺服器,從而可以實現負荷分擔。
在模擬仿真平臺上檢驗它的可行性。給一些外部網網絡的攻擊源和內部網絡攻擊源安裝DDoS攻擊的受控端,其中一臺外部網絡攻擊源兼作主控端,由主控端下達命令,攻擊WEB伺服器。這樣攻擊既來自內部網絡也來自外部網絡。使用SmartBits重放在運行環境中採集的流量作為背景流量。攻擊的強度逐步加強。不使用反向代理時,達到一定流量後外部網絡的模擬用戶將不能正常瀏覽網頁。記錄下結果。在使用反向代理時,重複實驗過程,發現可以承受較大流量的攻擊。增加反向代理群內的伺服器數量,再重複實驗過程,可以發現它的抗攻擊能力進一步提高。
在實驗中還可以採取一些其他措施。例如通過分析IDS和防火牆的日誌,確認DDoS攻擊的發生;對WEB伺服器進行一些安全配置;觀察交換機的埠流量找到內網被安裝了受控端的機器,將它暫時隔離;分析攻擊流量的特點,在交換機上創建ACL;在防火牆上關閉一些與攻擊有關而對正常服務影響不大的埠,特別是DDoS主控端和受控端的通信埠。經過一系列措施後,攻擊減弱。
根據實驗的結果和運行平臺實際遭受攻擊的規模,提出一個合理的使用反向代理並採取相關措施的方案。此方案已在運行環境中應用並取得了較好的效果。
本發明的效果是顯著的,通過它可以開展攻防實驗查找運行環境的漏洞;應對新的攻擊提出對策;進行改進運行環境網絡結構和安全策略配置的實驗;從而提高運行環境的安全性和性能,確保它的正常運行。
權利要求
1.一種建立複雜網絡運行環境模擬仿真平臺的方法,其特徵在於,以實際運行的、動態的、複雜網絡為原型,從中提取出一個與原網絡各項性能要求近似的物理和邏輯模型,進而構建模擬網絡的邏輯模型和物理模型,根據模擬網絡的模型,選擇硬體設備建立模擬網絡,通過分析考察該網絡的運行情況和各項性能,達到既能間接檢測原複雜網絡,又不影響其正常服務的雙重目的,具體步驟如下(1)分析複雜網絡的拓撲、軟硬體設施構成、組織結構、安全環境網絡私有信息,找出準確的實際網絡物理模型;(2)以上述物理模型為基礎,分析網絡信息業務,服務構成,建立實際網絡邏輯模型;(3)根據網絡邏輯模型,結合網絡性能評估和行為模式分析的方法,建立仿真網絡的邏輯模型;(4)利用硬體設備來繪製仿真網絡的物理模型,建立原網絡的鏡像模擬網絡;(5)考察該模擬網絡,間接檢測實際運行網絡的各項性能。
2.根據權利要求1所述的建立複雜網絡運行環境模擬仿真平臺的方法,其特徵是,具體實現分為兩大階段,即抽象網絡模型階段和建立實物模型階段(1)抽象網絡模型階段首先調查複雜網絡的各種業務和功能,畫出業務功能示意圖,根據目前對複雜網絡的分析,將其分為內部網絡、外部網絡和內外交互平臺三個部分,其中,內部網絡用於對網絡的管理和維護,外部網絡用於對外提供各項信息服務,包括WEB信息發布、電子郵件服務、文件服務、視頻和音頻流媒體的點播服務、電子公告板和網上聊天以及各類增值服務,內部網絡和外部網絡通過內外交互平臺進行信息交換,綜合上述三個部分的業務功能,得出準確的實際網絡物理模型;其次結合網絡安全的要求,評估各項安全指標,給出安全模型,包括以下各方面的安全需求物理環境、網絡拓撲結構、邊界防護、主要伺服器安全狀況、防病毒措施、應急響應措施,建立實際網絡邏輯模型;最後,根據上述兩個步驟,結合網絡性能評估和行為模式分析的方法,針對普通用戶和黑客的特點,繪製複雜網絡的仿真網絡邏輯模型,從而完成抽象網絡模型階段的工作;(2)建立實物模型階段模擬仿真平臺的硬體配置遵循以下原則對伺服器而言,確保能安裝運行平臺中對應的作業系統,對於網絡或安全設備,選擇支持的功能或協議與運行平臺中設備基本相同的,對於原系統中的一些負載均衡或熱備份的設備,使用單套設備代替。
3.根據權利要求2所述的建立複雜網絡運行環境模擬仿真平臺的方法,其特徵是,在抽象網絡模型階段,所述的「外部網絡」是指實際網絡的外網環境,所述的「普通用戶」和「黑客」分別指處於內部網絡和外部網絡的正常用戶和惡意黑客,所述的「內外交互平臺」是指外部網絡和內部網絡的數據交換設備,包括一系列交換機和路由器,所述的「內部網絡」是指實際網絡的內網環境。
4.根據權利要求2所述的建立複雜網絡運行環境模擬仿真平臺的方法,其特徵是,在建立實物模型階段,將實際網絡運行過程中可能遭受的攻擊在模擬仿真平臺上實施,觀察平臺的承受能力,從而間接檢測實際網絡的安全性,進而改進實際網絡。
全文摘要
一種用於網絡安全的建立複雜網絡運行環境模擬仿真平臺的方法,以實際運行的、動態的、複雜網絡為原型,從中提取出一個與原網絡各項性能要求近似的物理和邏輯模型,進而構建模擬網絡的邏輯模型和物理模型,根據模擬網絡的模型,選擇硬體設備建立模擬網絡,通過分析考察該網絡的運行情況和各項性能,達到既能間接檢測原複雜網絡,又不影響其正常服務的雙重目的。本發明既可用於進行攻防實驗、檢測現有系統安全漏洞的檢測平臺,還可作為評估網絡設備與安全設備,為升級系統作準備的測試平臺。
文檔編號H04L12/24GK1614941SQ200410084738
公開日2005年5月11日 申請日期2004年12月2日 優先權日2004年12月2日
發明者楊樹堂, 李建華, 陸松年, 馬進, 王宇平, 魯劍 申請人:上海交通大學