网络靶场工具投递方法、装置、设备及可读存储介质与流程

1.本技术涉及网络安全领域，特别涉及一种网络靶场工具投递方法、装置、设备及计算机可读存储介质。


背景技术：

2.网络靶场是一种基于虚拟化技术，对真实网络空间中的网络架构、系统设备、业务流程的运行状态及运行环境进行模拟和复现的技术或产品。网络靶场已经成为各国进行网络空间安全研究、学习、测试、验证、演练等必不可少的网络空间安全核心基础设施。世界各国均高度重视网络靶场建设，将其作为安全能力建设支撑的重要手段。
3.网络靶场中的网络架构、业务系统、访问行为等均是主要通过虚拟化技术来实现，而辅助工具作为网络靶场平台的基本能力，如何基于虚拟化技术将网络环境所需的辅助工具软件进行高效的传输以及管理，是当前急需解决的一个技术难点。然而，在现有技术中，在跨越多层网络和网络不可达的情况下，无法实现辅助工具软件的快速传递，且缺乏实时的直接给虚拟机部署工具软件的办法。


技术实现要素：

4.本技术提供了一种网络靶场工具投递方法、装置、设备及计算机可读存储介质，能够快速传递网络靶场工具软件。
5.第一方面，本技术提供了一种网络靶场工具投递方法，所述方法应用于第一物理设备，所述第一物理设备包括宿主机以及部署的至少一套虚拟机，所述方法包括：
6.利用所述宿主机，接收第二物理设备发送的目标虚拟机的工具软件，并通过所述宿主机的文件系统硬件接口，将所述工具软件传递到所述目标虚拟机的指定目录下，所述工具软件为网络靶场工具软件；
7.利用所述目标虚拟机，对所述指定目录进行轮询和扫描，以从所述指定目录下获取所述工具软件。
8.可选的，所述宿主机上部署了文件同步模块，所述文件同步模块与所述第二物理设备的工具管理中心进行通信；所述利用所述宿主机，接收第二物理设备发送的目标虚拟机的工具软件，包括：
9.利用所述宿主机的文件同步模块，接收所述工具管理中心发送的目标虚拟机的工具软件。
10.可选的，所述方法还包括：
11.基于所述工具管理中心下发的安全管控策略，利用所述宿主机的文件同步模块，定期对所述宿主机上的文件目录进行清理。
12.可选的，所述方法还包括：
13.在所述宿主机接收所述工具软件的同时，接收所述工具管理中心发送的部署脚本，以便所述宿主机将所述工具软件和所述部署脚本一起传递到所述目标虚拟机的指定目
录下；
14.在所述目标虚拟机从所述指定目录下获取所述工具软件和所述部署脚本后，执行所述部署脚本以安装所述工具软件，并将脚本执行情况反馈给所述工具管理中心。
15.可选的，所述目标虚拟机上部署了工具客户端模块，所述工具客户端模块与所述第二物理设备的工具管理中心进行通信；所述方法还包括：
16.利用所述工具客户端模块，向所述工具管理中心发送所述目标虚拟机的用户信息，以便所述工具管理中心在对所述用户信息鉴别通过之后，向所述宿主机发送所述目标虚拟机的工具软件。
17.可选的，所述利用所述目标虚拟机，对所述指定目录进行轮询和扫描，包括：
18.利用所述目标虚拟机的工具客户端模块，对所述指定目录进行轮询和扫描。
19.可选的，所述方法还包括：
20.在所述目标虚拟机上安装所述工具软件之后，利用所述目标虚拟机的工具客户端模块，删除所述工具软件。
21.第二方面，本技术提供了一种网络靶场工具投递装置，所述装置应用于第一物理设备，所述第一物理设备包括宿主机以及部署的至少一套虚拟机，所述装置包括：
22.工具软件传递单元，用于利用所述宿主机，接收第二物理设备发送的目标虚拟机的工具软件，并通过所述宿主机的文件系统硬件接口，将所述工具软件传递到所述目标虚拟机的指定目录下，所述工具软件为网络靶场工具软件；
23.工具软件获取单元，用于利用所述目标虚拟机，对所述指定目录进行轮询和扫描，以从所述指定目录下获取所述工具软件。
24.可选的，所述宿主机上部署了文件同步模块，所述文件同步模块与所述第二物理设备的工具管理中心进行通信；所述工具软件传递单元，具体用于利用所述宿主机的文件同步模块，接收所述工具管理中心发送的目标虚拟机的工具软件。
25.可选的，所述装置还包括：
26.目录清理单元，用于基于所述工具管理中心下发的安全管控策略，利用所述宿主机的文件同步模块，定期对所述宿主机上的文件目录进行清理。
27.可选的，所述装置还包括：
28.脚本接收单元，用于在所述宿主机接收所述工具软件的同时，接收所述工具管理中心发送的部署脚本，以便所述宿主机将所述工具软件和所述部署脚本一起传递到所述目标虚拟机的指定目录下；
29.脚本执行单元，用于在所述目标虚拟机从所述指定目录下获取所述工具软件和所述部署脚本后，执行所述部署脚本以安装所述工具软件，并将脚本执行情况反馈给所述工具管理中心。
30.可选的，所述目标虚拟机上部署了工具客户端模块，所述工具客户端模块与所述第二物理设备的工具管理中心进行通信；所述装置还包括：
31.用户鉴别单元，用于利用所述工具客户端模块，向所述工具管理中心发送所述目标虚拟机的用户信息，以便所述工具管理中心在对所述用户信息鉴别通过之后，向所述宿主机发送所述目标虚拟机的工具软件。
32.可选的，所述工具软件获取单元，具体用于利用所述目标虚拟机的工具客户端模
块，对所述指定目录进行轮询和扫描。
33.可选的，所述装置还包括：
34.工具删除单元，用于在所述目标虚拟机上安装所述工具软件之后，利用所述目标虚拟机的工具客户端模块，删除所述工具软件。
35.第三方面，本技术提供了一种电子设备，包括：处理器、存储器；
36.所述存储器，用于存储计算机程序；
37.所述处理器，用于通过调用所述计算机程序，执行上述网络靶场工具投递方法。
38.第四方面，本技术提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述网络靶场工具投递方法。
39.在以上本技术提供的技术方案中，其应用于第一物理设备，第一物理设备包括宿主机以及部署的至少一套虚拟机，基于此，利用宿主机，接收第二物理设备发送的目标虚拟机的工具软件，并通过宿主机的文件系统硬件接口，将该工具软件传递到目标虚拟机的指定目录下，然后，利用目标虚拟机，对指定目录进行轮询和扫描，以从指定目录下获取工具软件。本技术实施例可以通过文件系统的方式实现工具软件的高效传输，可满足网络不可达等情况下的传输需求，并且，这种方式实现了工具软件的高效安装部署，提高了用户体验度。
附图说明
40.图1为本技术示出的网络靶场工具投递系统示意图；
41.图2为本技术示出的一种网络靶场工具投递方法的流程示意图；
42.图3为本技术示出的一种网络靶场工具投递装置的组成示意图；
43.图4为本技术示出的一种电子设备的结构示意图。
具体实施方式
44.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本技术的一些方面相一致的装置和方法的例子。
45.在本技术使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本技术。在本技术和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
46.应当理解，尽管在本技术可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本技术范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
47.本技术实施例提供了一种网络靶场工具投递方法，该方法应用于第一物理设备，该第一物理设备包括宿主机以及部署的至少一套虚拟机。具体来讲，第一物理设备可以是
网络靶场中的任意一台物理计算节点设备，在该第一物理设备的一套物理硬件上，运行了一个宿主机系统，其上又通过虚拟化技术实现了一套或多套虚拟机；其中，虚拟机是运行在虚拟化技术(kvm)上的操作系统及各种应用环境，通过全虚拟化技术实现各种软硬件的功能，而宿主机是物理硬件上运行的基本操作系统，其上的kvm技术和软件是虚拟机运行的基础。
48.如图1所示的网络靶场工具投递系统示意图，图1中的物理计算节点a则是本技术实施例中的第一物理设备。
49.为了实现网络靶场工具(该工具是网络靶场的基本功能《辅助工具》的组成部分)的快速投递，可以通过宿主机和虚拟机的交互，实现高效的网络靶场工具投递。
50.参见图2，为本技术实施例提供的一种网络靶场工具投递方法的流程示意图，该方法的执行主体是第一物理设备，该方法包括以下步骤：
51.s201：利用宿主机，接收第二物理设备发送的目标虚拟机的工具软件，并通过宿主机的文件系统硬件接口，将工具软件传递到目标虚拟机的指定目录下。
52.其中，这里的工具软件为网络靶场工具软件。
53.在本技术实施例中，第二物理设备是网络靶场中的另一物理计算节点设备，比如第二物理设备是图1所示的物理计算节点b，可以在第二物理设备上部署一个工具管理中心模块，该工具管理中心模块可用于制定工具软件的投递策略，该投递策略包括配置工具软件/部署脚本的获取目录、部署要求，以及配置用户类别、适用场景等，并配置安全管控策略，比如有效期、销毁策略等。也就是说，该工具管理中心模块用于工具软件的日常管理(如增删改查等)，用于指定工具软件所适用的虚拟机、用户、场景等，下发工具软件的自动化部署脚本和验证措施，用于防泄露或管控措施，实现何人、何时、在哪台虚拟机上、进行工具软件的快速有效投递和部署。
54.在本技术实施例中，如图1所示，宿主机上可以部署文件同步模块，虚拟机上可以部署工具客户端模块，基于此，工具管理中心模块则可以和虚拟机的工具客户端模块进行通讯(如网络可达的情况下)、和宿主机的文件同步模块进行通讯，实现工具软件的安全存储和传输。后续内容将对宿主机的文件同步模块以及虚拟机的工具客户端模块进行介绍。
55.需要说明的是，由于第一物理设备上可能运行一套或多套虚拟机，这里，将需要安装工具软件的任一台虚拟机定义为目标虚拟机。
56.在本步骤s201中，对于目标虚拟机待安装的工具软件，第二物理设备可以将该工具软件通过网络传输到指定的目标虚拟机所在的宿主机，宿主机获取到该工具软件后，经过安全校验后，通过文件系统硬件接口的方式，将该工具软件发送到目标虚拟机的指定目标下，该指定目录可以是目标虚拟机的默认文件目录。
57.在本技术实施例的一种实现方式中，由于宿主机上部署了文件同步模块，且该文件同步模块可以与第二物理设备的工具管理中心进行通信，基于此，步骤s201中的“利用宿主机，接收第二物理设备发送的目标虚拟机的工具软件”，可以包括：利用宿主机的文件同步模块，接收工具管理中心发送的目标虚拟机的工具软件。
58.在本实现方式中，关于宿主机上部署的文件同步模块，可以通过该文件同步模块的应用程序接口(application programming interface，简称api)，即基于文件系统硬件接口(类似于u盘或移动硬盘)的方式，实现宿主机和目标虚拟机之间的文件传输和同步，这
种方式无需依赖网络架构。
59.在本技术实施例的一种实现方式中，由于目标虚拟机上部署了工具客户端模块，基于此，本步骤s201中的“利用目标虚拟机，对指定目录进行轮询和扫描”，可以包括：利用目标虚拟机的工具客户端模块，对指定目录进行轮询和扫描。
60.在本技术实施例的一种实现方式中，由于目标虚拟机上部署了工具客户端模块，基于此，本技术实施例还可以包括：在目标虚拟机上安装工具软件之后，利用目标虚拟机的工具客户端模块，删除工具软件。在本实现方式中，工具客户端模块可自动巡查宿主机的文件同步模块传输的工具软件，接收部署脚本，并自动安装部署，同时，还可以删除该工具软件，以避免该工具软件被人为的泄露和传输。
61.s202：利用目标虚拟机，对指定目录进行轮询和扫描，以从指定目录下获取工具软件。
62.在本技术实施例中，当宿主机的文件同步模块，将工具软件传递到目标虚拟机的指定文件目录下之后，目标虚拟机的工具客户端模块可以对自己的文件目录行轮询和扫描，获取工具软件的投递情况。当从指定文件目标下扫描到工具软件后，则从中获取该工具软件，并放置在指定文件共享区域(如图1所示)，以便对该工具软件进行安装。
63.在本技术实施例的一种实现方式中，为了实现对工具软件的安装，本技术实施例在宿主机接收工具软件的同时，接收工具管理中心发送的部署脚本，以便宿主机将工具软件和部署脚本一起传递到目标虚拟机的指定目录下；在目标虚拟机从指定目录下获取工具软件和部署脚本后，执行部署脚本以安装工具软件，并将脚本执行情况反馈给工具管理中心。
64.在本实现方式中，通过对工具管理中心制定的工具软件投递策略进行解析，不但可以获取到工具软件、还可以获取到对应的部署脚本，因此，部署在宿主机上的文件同步模块，可以与工具管理中心保持联系，以接收目标虚拟机的工具软件和部署脚本，并通过文件系统方式传递到目标虚拟机的指定目录下，当目标虚拟机收到指定目录下的文件后，执行部署脚本，实现工具软件的安装，并将执行情况反馈给工具管理中心。
65.可见，本技术实施例通过在宿主机上部署的文件同步模块，实现了宿主机和其上的目标虚拟机之间的直接文件传输，达到了避免存储网络暴露和断网环境依旧适用的目的。
66.进一步地，本技术实施例还可以包括：基于工具管理中心下发的安全管控策略，利用宿主机的文件同步模块，定期对宿主机上的文件目录进行清理。
67.具体来讲，对于宿主机从工具管理中心接收到的文件(比如工具软件等)，可以将其放置在宿主机的指定文件缓存区域(如图1所示)，基于对工具管理中心的下发策略进行解析，可以获取到该策略中配置的安全管控策略，比如文件的有效期、销毁策略等，宿主机的文件同步模块可以按照该安全管控策略的要求，定期对宿主机上的文件目录进行清理，以保证文件的安全性。
68.进一步地，由于目标虚拟机上部署了工具客户端模块，且该工具客户端模块可以与第二物理设备的工具管理中心进行通信，基于此，本技术实施例还可以包括：利用工具客户端模块，向工具管理中心发送目标虚拟机的用户信息，以便工具管理中心在对用户信息鉴别通过之后，向宿主机发送目标虚拟机的工具软件。
69.具体来讲，由于网络靶场中有很多敏感的工具软件或样本，需要做严格的管控和精细化的投递，在合适的情况下，给合适的人员，通过可控的范围以及时效内，如果通过传统的方式，需要虚拟机中的用户通过网络方式以共享文件或服务的方式访问，然后获取得到，但是，这种方式需要用户多次访问登陆，下载以及手动操作，用户体验较差，交互方式不好。
70.然而，本技术实施例在目标虚拟机中部署工具客户端模块，通过该工具客户端模块获取当前用户的基本信息(比如用户、虚拟机、角色、资源情况等)，并告知工具管理中心用于用户鉴别，在工具管理中心在对用户信息鉴别通过之后，才会向宿主机发送目标虚拟机的工具软件，实现网络靶场工具的投递。可见，本技术实施例不但可以实现基于权限和场景的工具软件适时和有效供给，还可与达到精细化的供给和严格限制范围的目的，实现精细化的文件投递和安装，即，实现了精细化的管控，满足了网络靶场的高安全性的要求
71.在以上本技术实施例提供的网络靶场工具投递方法中，该方法应用于第一物理设备，第一物理设备包括宿主机以及部署的至少一套虚拟机，基于此，利用宿主机，接收第二物理设备发送的目标虚拟机的工具软件，并通过宿主机的文件系统硬件接口，将该工具软件传递到目标虚拟机的指定目录下，然后，利用目标虚拟机，对指定目录进行轮询和扫描，以从指定目录下获取工具软件。本技术实施例可以通过文件系统的方式实现工具软件的高效传输，可满足网络不可达等情况下的传输需求，并且，这种方式实现了工具软件的高效安装部署，提高了用户体验度。
72.参见图3，为本技术实施例提供的一种网络靶场工具投递装置的组成示意图，所述装置应用于第一物理设备，所述第一物理设备包括宿主机以及部署的至少一套虚拟机，所述装置包括：
73.工具软件传递单元310，用于利用所述宿主机，接收第二物理设备发送的目标虚拟机的工具软件，并通过所述宿主机的文件系统硬件接口，将所述工具软件传递到所述目标虚拟机的指定目录下，所述工具软件为网络靶场工具软件；
74.工具软件获取单元320，用于利用所述目标虚拟机，对所述指定目录进行轮询和扫描，以从所述指定目录下获取所述工具软件。
75.在本技术实施例的一种实现方式中，所述宿主机上部署了文件同步模块，所述文件同步模块与所述第二物理设备的工具管理中心进行通信；所述工具软件传递单元310，具体用于利用所述宿主机的文件同步模块，接收所述工具管理中心发送的目标虚拟机的工具软件。
76.在本技术实施例的一种实现方式中，所述装置还包括：
77.目录清理单元，用于基于所述工具管理中心下发的安全管控策略，利用所述宿主机的文件同步模块，定期对所述宿主机上的文件目录进行清理。
78.在本技术实施例的一种实现方式中，所述装置还包括：
79.脚本接收单元，用于在所述宿主机接收所述工具软件的同时，接收所述工具管理中心发送的部署脚本，以便所述宿主机将所述工具软件和所述部署脚本一起传递到所述目标虚拟机的指定目录下；
80.脚本执行单元，用于在所述目标虚拟机从所述指定目录下获取所述工具软件和所述部署脚本后，执行所述部署脚本以安装所述工具软件，并将脚本执行情况反馈给所述工
具管理中心。
81.在本技术实施例的一种实现方式中，所述目标虚拟机上部署了工具客户端模块，所述工具客户端模块与所述第二物理设备的工具管理中心进行通信；所述装置还包括：
82.用户鉴别单元，用于利用所述工具客户端模块，向所述工具管理中心发送所述目标虚拟机的用户信息，以便所述工具管理中心在对所述用户信息鉴别通过之后，向所述宿主机发送所述目标虚拟机的工具软件。
83.在本技术实施例的一种实现方式中，所述工具软件获取单元320，具体用于利用所述目标虚拟机的工具客户端模块，对所述指定目录进行轮询和扫描。
84.在本技术实施例的一种实现方式中，所述装置还包括：
85.工具删除单元，用于在所述目标虚拟机上安装所述工具软件之后，利用所述目标虚拟机的工具客户端模块，删除所述工具软件。
86.上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。
87.对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本技术方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
88.本技术实施例还提供了一种电子设备，该电子设备的结构示意图如图4所示，该电子设备4000包括至少一个处理器4001、存储器4002和总线4003，至少一个处理器4001均与存储器4002电连接；存储器4002被配置用于存储有至少一个计算机可执行指令，处理器4001被配置用于执行该至少一个计算机可执行指令，从而执行如本技术中任意一个实施例或任意一种可选实施方式提供的任意一种网络靶场工具投递方法的步骤。
89.进一步，处理器4001可以是fpga(field－programmable gate array，现场可编程门阵列)或者其它具有逻辑处理能力的器件，如mcu(microcontroller unit，微控制单元)、cpu(central process unit，中央处理器)。
90.应用本技术实施例，可以通过文件系统的方式实现工具软件的高效传输，可满足网络不可达等情况下的传输需求，并且，这种方式实现了工具软件的高效安装部署，提高了用户体验度。
91.本技术实施例还提供了另一种计算机可读存储介质，存储有计算机程序，该计算机程序用于被处理器执行时实现本技术中任意一个实施例或任意一种可选实施方式提供的任意一种网络靶场工具投递方法的步骤。
92.本技术实施例提供的计算机可读存储介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、cd-rom、和磁光盘)、rom(read-only memory，只读存储器)、ram(random access memory，随即存储器)、eprom(erasable programmable read-only memory，可擦写可编程只读存储器)、eeprom(electrically erasable programmable read-only memory，电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是，可读存储介质包括由设备(例如，计算机)以能够读的形式存储或传输信息的任何介质。
93.应用本技术实施例，可以通过文件系统的方式实现工具软件的高效传输，可满足网络不可达等情况下的传输需求，并且，这种方式实现了工具软件的高效安装部署，提高了用户体验度。
94.以上所述仅为本技术的较佳实施例而已，并不用以限制本技术，凡在本技术的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本技术保护的范围之内。