[发明专利]发电厂虚拟化网络安全靶场构建方法及系统

说明书

本发明提供了一种发电厂虚拟化网络安全靶场构建方法及系统，基于虚拟化技术与实物网络的融合，有效保证网络节点仿真的逼真度，提高了资源的利用效率、部署速率和网络节点的仿真度，降低了能耗和运营成本，提升了对各类软硬件的测试能力，同时可提升虚拟网络的规模，扩大了所模拟发电厂的网络规模。

技术领域

本发明涉及网络安全技术领域，具体而言，涉及一种发电厂虚拟化网络安全靶场构建方法及系统。

背景技术

发电厂作为重要基础设施，对保障电力系统平稳运行和民生经济的健康发展具有重要作用。近年来发电厂频频出现网络安全问题，严重威胁了发电厂系统的安全稳定运行。由于发电厂系统连续生产的要求，漏洞扫描等安全设备可能会造成生产系统停机，虚拟化的网络安全靶场应运而生。目前构建和部署网络安全靶场的方式不仅资源利用效率低、能耗高、运营成本高、部署速率低，还对发电厂真实网络节点的仿真度较低，无法展开对各类软硬件的有效测试，仿真的网络规模也很有限。

发明内容

为解决上述问题，本发明实施例提供一种发电厂虚拟化网络安全靶场构建方法，所述方法包括：结合虚拟网络请求和物理网络生成部署方案，以及根据所述部署方案将虚拟网络部署至所述物理网络中；所述虚拟网络包括多个虚拟节点；根据全虚拟化技术以及操作系统级虚拟化技术，构建具有动态路由协议功能的虚拟机路由器以及协议栈路由器；根据虚实互联技术形成实物路由器、所述虚拟机路由器、所述协议栈路由器基于所述动态路由协议融合的复杂虚实互联网络。

可选地，所述根据所述部署方案将虚拟网络部署至所述物理网络中，包括：基于Openstack模块生成虚拟节点，以及将所述虚拟节点部署至所述物理网络中；所述Openstack模块的结构优化如下：设置有单独的物理节点作为网络节点，所述网络节点、计算节点与控制节点相互独立；所述计算节点的数量大于预设阈值，且各所述计算节点并行调度。

可选地，所述Openstack模块的模块优化如下：所述Openstack模块采用并行调度模式；所述Openstack模块采用内存作为消息队列的缓存；所述Openstack模块的数据库的缓存容量增加10G-30G；所述计算节点开启镜像缓存功能。

可选地，所述Openstack模块的组件配置优化如下：Nova优化：所述控制节点的协同进程数增加10-20个；Neutron优化：所述控制节点的Neutron-Server进程数增加5-10个；Keystone优化：设置令牌Token过期时间为30-36小时；可用域优化：每一个所述计算节点单独成域。

可选地，所述根据全虚拟化技术以及操作系统级虚拟化技术，构建具有动态路由协议功能的虚拟机路由器以及协议栈路由器，包括：根据全虚拟化技术构建虚拟机路由器，以及根据操作系统级虚拟化构建协议栈路由器；对于所述虚拟节点，基于路由器仿真软件Zebra构建动态路由协议模拟引擎；基于虚拟网络配置嗅探，获得虚拟路由器IP地址等信息，并对Zebra路由模拟引擎进行配置并启动动态路由协议；构建基于网络地址URL的虚拟路由器配置接口，实现通过远程终端可对虚拟路由器进行静态配置并启动动态路由协议。

可选地，所述根据虚实互联技术形成实物路由器、所述虚拟机路由器、所述协议栈路由器基于所述动态路由协议融合的复杂虚实互联网络，包括：基于Openstack的分布式计算环境以及网络节点，构建基于“虚拟节点-分布式计算环境-多网卡虚实互联服务器-实物链路-实物节点”的虚实互联路径；基于所述分布式计算环境以及所述多网卡虚实互联服务器。

可选地，所述方法还包括：对于所述虚实互联服务器，结合Openstack的L3 Agent，构建可配置的虚实节点互连关系表。

可选地，所述方法还包括：基于Openstack的GRE网络隧道封装技术转发数据包。

可选地，所述方法还包括：基于报文构造技术进行虚拟报文到实物报文的映射，和/或，基于流量控制TC技术进行带宽与丢包的逼真仿真。