(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211169373.2 (22)申请日 2022.09.26 (65)同一申请的已公布的文献号 申请公布号 CN 115242562 A (43)申请公布日 2022.10.25 (73)专利权人 中电运行 （北京） 信息技 术有限公 司 地址 100080 北京市石景山区苹果园路2号 院1号楼5层5 04-1 (72)发明人 马虹哲　赵瑾阳　詹晶晶　杨扬　 (74)专利代理 机构 天津合正知识产权代理有限 公司 12229 专利代理师 李成运 (51)Int.Cl. H04L 9/40(2022.01)H04L 41/40(2022.01) (56)对比文件 CN 112448857 A,2021.0 3.05 CN 111464530 A,2020.07.28 CN 113691416 A,2021.1 1.23 CN 1091474 47 A,2019.01.04 US 2012158395 A1,2012.0 6.21 王海涛等.浅析网络靶场的概念、 分类与体 系架构. 《保密科 学技术》 .2021,全 文. 陈吉龙等.虚拟化工控网络靶场的设计与自 动化部署. 《智能计算机与应用》 .2020,全 文. 吴怡晨等.面向网络空间的攻防靶场设计. 《通信技 术》 .2017,全 文. 审查员 张凡 (54)发明名称 一种基于虚拟化技术的网络安全靶场及其 运行方法 (57)摘要 本发明提出了一种基于虚拟化技术的网络 安全靶场及其运行方法， 虚拟管 理单元将网络安 全靶场网层分割成三个或三个以上的层， 网络安 全靶场网层从第一层中的核心网元开始生长， 其 他层依次从前一层生成， 并且与前一层互连； 每 层的网元仅与前一层或下一层相关联的网元共 享资源； 为网络安全靶场网层中的每一层生成不 同且独一的记 号并维护每一层的记 号列表； 通过 网络靶场管理单元执行管理网络安全靶场网层 内网元之间的逻辑连接的请求； 从记 号列表中查 询得到源头主机的记号， 并判断网络安全靶场网 层中的每一层内是否存在与源头主机的记号相 同记号的层虚拟机 。 权利要求书2页 说明书7页 附图2页 CN 115242562 B 2022.11.29 CN 115242562 B 1.一种基于虚拟化技术的网络安全靶场， 其特征在于， 包括网络靶场管理单元、 网络处 理单元以及虚拟管理单 元； 所述虚拟管理单元将网络安全靶场网层 分割成三个或三个以上的层， 网络安全靶场网 层从第一层中的核心网元开始生长， 第一层的核心网元互相连接； 其他层依 次从前一层生 成， 并且与前一层互连； 其他层中的计算网元通过向网络安全靶场网层注册的过程而被分 配给前一层； 每层的网元仅与前一层或下一层相关联的网元共享资源； 所述网络靶场管理单元， 用于为网络安全靶场网层中的每一层生成不同且独一的记号 并维护每一层的记号列 表； 通过网络靶场管理单元执行管理网络安全靶场网层内网元之间 的逻辑连接的请求； 所述网络处理单元， 用于在获取到问询报文时， 从记号列表中查询得到源头主机的记 号， 并判断网络安全靶场网层中的每一层内是否存在与源头主机的记号相同的层虚拟设备 的记号。 2.根据权利要求1所述的网络安全靶场， 其特征在于， 如果第三层在规定时间内， 未向 网络安全靶场网层注册， 则第二层的第二计算网元只能与第一层的核心网元共享资源， 直 到第三层的第三计算网元向网络安全 靶场网层注 册。 3.根据权利要求1所述的网络安全靶场， 其特征在于， 第 二层的第 二计算网元间不相互 连接， 使得第二计算网元在第二层内不完全互连。 4.根据权利要求1所述的网络安全靶场， 其特征在于， 第 一层的核心网元响应于与 所述 核心网元通信的物理设备接收到的对网络安全靶场网层的请求， 所述核心网元向与其共享 资源的计算网元请求资源以及所述与其共享资源的计算网元 所在层的层虚拟设备的记号。 5.根据权利要求1所述的网络安全靶场， 其特征在于， 第 一层的核心网元被配置为仅向 第二层的第二计算网元请求 服务， 而不是向靠 近或邻近请求网元的任何网元进行广播。 6.根据权利要求1所述的网络安全靶场， 其特征在于， 所述网络靶场管理单元为网络安 全靶场网层中每一层的层虚拟设备分配网络地址和访问控制地址， 并将网络安全靶场网层 中每一层的层虚拟设备的访问控制地址、 网络地址以及与层虚拟设备的记号之 间的对应关 系存入记号列表中。 7.根据权利要求1所述的网络安全靶场， 其特征在于， 所述虚拟管理单元， 在网络安全 靶场运行时在计算网元的虚拟连接中创建将问询报文流 转到网络处 理单元的表项。 8.一种基于虚拟化技术的网络安全靶场的运行方法， 用于运行如权利要求1 ‑7任意一 项所述的网络安全 靶场， 其特 征在于： 将网络安全靶场网层分割成三个或三个以上的层， 网络安全靶场网层从第 一层中的核 心网元开始 生长， 第一层的核心网元完全互连； 其他层依次从前一层生成， 并且与前一层互 连； 其他层的计算网元在从前一层生成时通过向网络安全靶场网层注册的过程而被分配给 前一层； 每层的网元仅与前一层或下一层相关联的网元共享资源； 为网络安全靶场网层中的每一层生成不同的且独一的记号并维护每一层的记号列表， 执行管理网络安全 靶场网层内网元之间的逻辑连接的请求； 在获取到问询报文时， 从记号列表中查询得到源头主机的记号， 并判断网络安全靶场 网层中的每一层内是否存在与源头主机的记号相同的层虚拟设备的记号。权　利　要　求　书 1/2 页 2 CN 115242562 B 29.根据权利要求8所述的运行方法， 其特征在于， 若不存在与源头主机的记号相同的层 虚拟设备的记号， 则丢弃问询报文， 若存在与源头主机的记 号相同的层虚拟设备的记号， 则 获取所述层虚拟设备 的访问控制地址， 对问询报文进行回复， 并在 网络安全靶场网层运行 时， 在网络靶场计算网元的虚拟连接中创建将问询报文流 转到网络处 理单元的表项。 10.根据权利要求8所述的运行方法， 其特征在于， 将接收到的从计算网元上载的与表 项相关的报文进 行对比； 如果与 表项相关的报文的网络地址和访问控制地址属于不同的层 物理设备， 则在计算网元中创建源表项， 并上 载与源表项相关的问询报文。权　利　要　求　书 2/2 页 3 CN 115242562 B 3