(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210906343.9 (22)申请日 2022.07.29 (71)申请人 软极网络技 术 （北京） 有限公司 地址 100029 北京市朝阳区裕民路12号1号 楼8层B807 (72)发明人 崔宇　徐威　 (74)专利代理 机构 北京市商 泰律师事务所 11255 专利代理师 刘源 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/164(2022.01) (54)发明名称 一种异域网络靶场虚拟网络的构建系统 (57)摘要 本发明提供的一种异域网络靶场虚拟网络 的构建系统， 包括靶场网络服务策略模块、 主靶 场虚拟网络接入服务模块， 分靶场虚拟网络接入 服务模块， 异域网络靶场流量统计监控模块。 靶 场网络服务策略模块负责维护异域网络靶场虚 拟网络的各子网的连接关系， 排除与业务无关的 子网。 异域网络靶场流量统计监控模块监控构建 异域网络靶场虚拟网络的流量。 本发 明提供的构 建系统， 打通了主靶场与分靶场之间的链路， 为 异域靶场快速构建业务网络， 能够使流量受到监 控， 异常流量得到及时处置， 不受中间网络控制 技术的限制。 权利要求书1页 说明书5页 附图3页 CN 115277217 A 2022.11.01 CN 115277217 A 1.一种异域网络靶场虚拟网络的构建系统， 其特征在于， 包括靶场网络服务策略模块、 主靶场虚拟网络接入服务模块， 分靶场虚拟网络接入服务模块， 异域网络靶场流量统计监 控模块； 所述主靶场虚拟网络接入服务模块和分靶场虚拟网络接入服务模块分别用于通信连 接主靶场和分靶场， 所述分靶场虚拟网络接入服务模块还用于向所述靶场网络服务策略模 块发出异域网络靶场虚拟网络的接入注 册申请； 所述靶场网络服 务策略模块用于： 处理分靶场虚拟网络 接入服务模块发送的接入注 册申请； 基于配管策略， 计算构建异域网络靶场虚拟网络所需资源， 根据计算结果， 生成配置文 件， 发送到已注 册的主靶场， 并通过主靶场发送到已注 册的分靶场； 基于已注册的主靶场和分靶场构建异域网络靶场虚拟网络； 该异域网络靶场虚拟网络 中： 每个已注册的分靶场将 部分资源向主靶场上报， 利用剩余的资源开展自身的靶场业务； 所述靶场网络服务策略模块通过主靶场利用自身的资源和每个已注册的分靶场上报的资 源开展主靶场的靶场业 务； 分别通过所述主靶场虚拟网络接入服务模块和分靶场虚拟网络接入服务模块， 向主靶 场和分靶场转发流 量； 所述异域网络靶场流量统计监控模块用于： 监控构建异域网络靶场虚拟网络的流量； 若发现异常流 量则启动处置措施。 2.根据权利要求1所述的系统， 其特征在于， 所述的基于配管策略， 计算构建异域网络 靶场虚拟网络所需资源， 根据计算结果， 生成配置文件， 发送到已注册的主靶场， 并通过主 靶场发送到已注 册的分靶场的过程具体包括： 所述靶场网络服 务策略模块基于转发数据包所需资源， 计算获得 所需分靶场的数量； 基于所需分靶场的数量， 将用于一体化的拓扑配置的配置文件拆分为用于多个分靶场 配置的子文件 包； 基于已注册的分靶场的归属地信 息， 将多个子文件包一一对应地下发到多个已注册的 分靶场。 3.根据权利要求2所述的系统， 其特 征在于， 所述归属地信息为 IP地址信息 。 4.根据权利要求1所述的系统， 其特征在于， 所述的处理分靶场虚拟网络接入服务模块 发送的接入注册申请具体包括维护异域网络靶场虚拟网络的各子网的连接 关系， 排除与业 务无关的子网。权　利　要　求　书 1/1 页 2 CN 115277217 A 2一种异域网 络靶场虚拟网 络的构建系统 技术领域 [0001]本发明涉及网络安全技术领域， 尤其涉及一种异域网络靶场虚拟网络的构建系 统。 背景技术 [0002]靶场服务于网络攻防训练、 网络攻防产品评测和网络新技术研发等目的。 一方面， 网络靶场要满足客户快速启动任务， 快速取得结果的需求， 因此需要环境快速构建的能力； 另一方面， 客户对网络靶场仿真度的要求越来越高， 但好的靶标建设周期长， 成本高， 因此 在异域靶场之间共享靶场越来越成为网络靶场运营的刚 需求。 [0003]出于信息安全考虑， 异域靶场互联必然要使用某种VPN技术， 但是当前主流 的VPN 技术， 如IPSec或VxLAN 等， 都难以满足网络靶场的需求。 发明内容 [0004]本发明的实施例提供了一种异域网络靶场虚拟网络的构建系统， 用于解决现有技 术中存在的问题。 [0005]为了实现上述目的， 本发明采取了如下技 术方案。 [0006]一种异域网络靶场虚拟网络 的构建系统， 包括靶场 网络服务策略模块、 主靶场虚 拟网络接入服务模块， 分靶场虚拟网络 接入服务模块， 异域网络靶场流 量统计监控 模块； [0007]主靶场虚拟网络接入服务模块和 分靶场虚拟网络接入服务模块分别用于通信连 接主靶场和分靶场， 分靶场虚拟网络接入服务模块还用于向靶场网络服务策略模块 发出异 域网络靶场虚拟网络的接入注 册申请； [0008]靶场网络服 务策略模块用于： [0009]处理分靶场虚拟网络 接入服务模块发送的接入注 册申请； [0010]基于配管策略， 计算构建异域网络靶场虚拟网络所需资源， 根据计算结果， 生成配 置文件， 发送到已注 册的主靶场， 并通过主靶场发送到已注 册的分靶场； [0011]基于已注册的主靶场和分靶场构建异域网络靶场虚拟网络； 该异域网络靶场虚拟 网络中： 每个已注册的分靶场将部分资源向主靶场上报， 利用剩余的资源开展自身的靶场 业务； 靶场网络服务策略模块通过主靶场利用自身的资源和每个已注册的分靶场上报的资 源开展主靶场的靶场业 务； [0012]分别通过主靶场虚拟网络接入服务模块和分靶场虚拟网络接入服务模块， 向主靶 场和分靶场转发流 量； [0013]异域网络靶场流量统计监控模块用于： 监控构建异域网络靶场虚拟网络的流量； 若发现异常流 量则启动处置措施。 [0014]优选地， 基于配管策略， 计算构建异域网络靶场虚拟网络所需资源， 根据计算结 果， 生成配置文件， 发送到已注册的主靶场， 并通过主靶场发送到已注册的分靶场的过程具 体包括：说　明　书 1/5 页 3 CN 115277217 A 3