技术摘要：
本发明公开了一种网络靶场攻防场景真实设备自适应接入方法与系统，本发明首先监听交换机上真实设备的接入，在真实设备接入后获取到对应的真实设备信息，将获取的信息与用户选择或输入的真实设备信息进行匹配，保存接入的真实设备信息至数据库中；然后在网络靶场场景启  全部
背景技术：
网络靶场是指通过虚拟环境与真实设备相结合，模拟仿真出真实网络空间攻防作 战环境，能够支撑网络作战能力研究和网络武器装备验证试验平台。真实设备指用户现有 的一些物理设备，如交换机、路由器、防火墙、服务器、台式机等，在网络靶场场景中，真实设 备的接入能够充分利用用户现有的设备，降低项目成本，并且对于一些特殊的真实设备，可 以直接接入到网络靶场场景中去，不用先虚拟化再接入，可以大大降低研发成本。 目前网络靶场领域所实现的真实设备接入主要是通过NAT方案或者通过VLAN方案 来连接虚拟环境与真实设备的。 如图1所示，NAT方案是通过对虚拟设备及真实设备之间进行IP地址或者端口的映 射来实现真实设备与虚拟设备之间网络互通的。在NAT方案中真实设备处于同一个网络中， 虚拟网络到达真实设备的流量会在服务器上做NAT地址转换，然后再发送到真实设备上；同 样的真实设备的流量在进入服务器之后也会相应的做NAT地址转换之后再将流量发送到虚 拟网络中去。NAT方案虽然能够实现虚拟设备与真实设备互相通信，但是该方案有几个缺 点：1、NAT方案并不能真正的将真实设备接入到虚拟网络中，虚拟设备与真实设备之间通信 是通过NAT地址转换来实现的，二者任处于不同的网络。2、真实设备都处于相同的物理网络 中，设备地址配置受限。3、物理设备数量也会受到物理网络中可用地址范围的限制。 如图2所示，VLAN方案则是通过在虚拟网络与物理交换机上配置相同的VLAN  ID来 实现真实设备与虚拟设备之间网络互通的，虚拟网络发往真实设备的流量在经过虚拟交换 机（br-vlan）时会打上虚拟网络的VLAN  ID然后再将流量转发到交换机上，这样如果交换机 上配置了对应VLAN  ID的access接口即可接收到虚拟网络中发出的流量；同样的真实设备 发出的流量在经过服务器br-vlan的时候会通过匹配VLAN  ID将流量转发到对应的虚拟网 络中去。 但是VLAN方案也有一些明显的缺点：1、VLAN方案虽然能够将真实设备接入到虚拟 网络中，但是该方案需要在虚拟网络及物理交换机上配置相同的VLAN，这就需要场景配置 人员具有交换机的接入权限，提高密码泄露的风险。2、交换机的配置需要根据不同的攻防 场景进行动态配置VLAN及接口，但是目前交换机并没有提供相应的远程配置接口，只能通 过COM口、或者SSH等接入到交换机上进行配置。3、真实设备与物理交换机端口对应，真实设 备只能接到配置好VLAN的接口上，不能随意接入，如果接错则会导致真实设备与虚拟设备 之间不能互相通信，增加了网络调试的复杂度。4、不同交换机的配置命令不一样，网络靶场 平台运维人员需要学习不同交换机的配置方法，学习成本较高，并且手动配置出错概率较 高。 4 CN 111600913 A 说　明　书 2/5 页
技术实现要素：
发明目的：针对上述现有技术存在的问题，本发明的目的在于提供一种网络靶场 攻防场景真实设备自适应接入方法与系统，能够根据不同的场景动态接入，为真实设备分 配不同的网络信息，提高设备接入的灵活性，减少配置出错概率。 技术方案：为实现上述发明目的，本发明所述的一种网络靶场攻防场景真实设备 自适应接入方法，包括如下步骤： （1）监听交换机上真实设备的接入，在真实设备接入后，通过分析DHCP请求的流量中包 含的物理设备的MAC地址、厂商和主机名，获取到对应的真实设备信息； （2）将获取的信息与用户选择或输入的真实设备信息进行相似度匹配，将匹配度最高 的一条真实设备信息，或用户从匹配度最高的多条真实设备信息选择的一条保存至数据库 中； （3）在网络靶场场景启动时，从数据库中获取当前场景中的真实设备信息，并根据真实 设备的MAC地址及虚拟网络的VLAN  ID生成流量配置规则； （4）根据网络靶场场景拓扑信息，将流量配置规则发送到虚拟网络所在的各计算节点 上； （5）各计算节点将收到的流量配置规则应用到虚拟交换机上；对于虚拟机向真实设备 发的流量，目标MAC地址为真实设备的MAC地址，当流量通过虚拟交换机的时候，虚拟交换机 将流量包中的VLAN  ID去掉后再转发；对于真实设备向虚拟机发的流量，源MAC地址为真实 设备的MAC地址，当流量通过虚拟交换机的时候，虚拟交换机会修改数据包中的VLAN  ID信 息后再发送到对应的VLAN中。 作为优选，真实设备通过DHCP服务分配的IP地址与虚拟设备的IP地址进行互相访 问。 基于相同发明构思，本发明所述的一种网络靶场攻防场景真实设备自适应接入系 统，包括： 自动发现模块，用于监听交换机上真实设备的接入，在真实设备接入后获取到对应的 真实设备信息，包括MAC地址、厂商和主机名；以及将获取的信息与用户选择或输入的真实 设备信息进行相似度匹配，将匹配度最高的一条真实设备信息，或用户从匹配度最高的多 条真实设备信息选择的一条保存至数据库中； 自适应配置模块，用于在网络靶场场景启动时，从数据库中获取当前场景中的真实设 备信息，并根据真实设备的MAC地址及虚拟网络的VLAN  ID生成流量配置规则；以及根据网 络靶场场景拓扑信息，将流量配置规则发送到虚拟网络所在的各计算节点上； 以及，自适应配置代理模块，用于将收到的流量配置规则应用到计算节点的虚拟交换 机上；对于虚拟机向真实设备发的流量，目标MAC地址为真实设备的MAC地址，当流量通过虚 拟交换机的时候，虚拟交换机将流量包中的VLAN  ID去掉后再转发；对于真实设备向虚拟机 发的流量，源MAC地址为真实设备的MAC地址，当流量通过虚拟交换机的时候，虚拟交换机会 修改数据包中的VLAN  ID信息后再发送到对应的VLAN中； 所述自动发现模块和自适应配置模块设于控制节点，所述控制节点为部署有网络靶场 平台的服务器；所述自适应配置代理模块设于计算节点，所述计算节点为部署有网络靶场 场景中的一台或多台虚拟机的服务器。 5 CN 111600913 A 说　明　书 3/5 页 基于相同发明构思，本发明所述的一种网络靶场攻防场景真实设备自适应接入系 统，包括：控制节点和至少一台计算节点，所述控制节点和计算节点均包括存储器、处理器 及存储在存储器上并可在处理器上运行的计算机程序； 所述控制节点上的计算机程序被加载至处理器时实现如下方法： 监听交换机上真实设备的接入，在真实设备接入后获取到对应的真实设备信息，包括 MAC地址、厂商和主机名；将获取的信息与用户选择或输入的真实设备信息进行相似度匹 配，将匹配度最高的一条真实设备信息，或用户从匹配度最高的多条真实设备信息选择的 一条保存至数据库中；以及在网络靶场场景启动时，从数据库中获取当前场景中的真实设 备信息，并根据真实设备的MAC地址及虚拟网络的VLAN  ID生成流量配置规则； 所述计算节点上的计算机程序被加载至处理器时实现如下方法： 将收到的流量配置规则应用到虚拟交换机上；对于虚拟机向真实设备发的流量，目标 MAC地址为真实设备的MAC地址，当流量通过虚拟交换机的时候，虚拟交换机将流量包中的 VLAN  ID去掉后再转发；对于真实设备向虚拟机发的流量，源MAC地址为真实设备的MAC地 址，当流量通过虚拟交换机的时候，虚拟交换机会修改数据包中的VLAN  ID信息后再发送到 对应的VLAN中。 有益效果：本发明与现有NAT方案相比，能够实现真实设备直接接入虚拟网络中， 真实设备之间可做端口隔离，可以根据不同的场景动态地接入，为真实设备分配不同的网 络信息。本发明与现有VLAN方案相比，能够实现真实设备自适应接入，不在需要手动在交换 机上进行VLAN及接口的配置工作，减少配置出错概率；并且真实设备不在需要接入指定的 接口，可以任意接入交换机上默认未配置的接口，提高设备接入的灵活性。 附图说明 图1为现有采用NAT方案的真实设备接入示意图。 图2为现有采用VLAN方案的真实设备接入示意图。 图3为本发明实施例的网络拓扑结构示意图。 图4为本发明实施例中的真实设备发现流程图。 图5为本发明实施例中的自适应配置流程图。