網絡空間安全靶場技術研究及系統架構設計

趙靜

摘要：目前網絡安全靶場已經成為支撐網絡空間安全技術驗證、網絡工具試驗、攻防對抗演練和網絡風險評估的重要手段。構建可脫離實體設備與環境、計算與存儲資源靈活共享的虛擬化平臺，形成針對現場網絡空間網絡和設備的仿真實驗環境，提升虛擬演練培訓服務能力。同時可利用靶場開展對抗演習、實戰教學、工具測評等活動，讓工作人員在實施任務前在接近真實的場景中開展演練，學習各種先前積累的技戰法經驗，有效提升工作人員解決實際問題的能力。

關鍵詞：網絡空間安全;靶場;場景;虛擬化;數據采集與分析;SDN

中圖分類號：TP393.08

文獻標識碼：A

文章編號：1009-3044（2020）03-0051-04

1 概述

我國網絡安全問題嚴重，每年的經濟損失達數百億美元。網絡空間對抗形勢日趨嚴峻，網絡環境已由單純互聯網發展到了泛在網絡空間。網絡靶場是針對網絡攻防演練和網絡新技術評測的重要基礎設施。網絡靶場研究成果如能很好推廣，定可以提高企業的核心競爭力以及網民的安全意識與能力，從而極大地減少經濟損失。因此網絡空間靶場系統有廣闊的應用前景，且具有很高的社會和經濟效益。

2 應用場景

網絡空間靶場系統的專用測試場景能夠提供以往難以想象的真實度，把工具和設備帶到接近真實的網絡空間中開展測試。主要提供安全防護類應用、綜合演練類應用、決策評估類應用等。

安全防護類應用主要包括：關鍵信息基礎設施仿真及防護演練和核心業務系統安全性評測等方面。系統通過安全測試評估、應急響應演練、災難處置演練、攻防對抗演練等手段，模擬木馬植入、數據竊取、DDoS和APT攻防過程，迅速找到管理體系、系統架構、技術防御體系等方面的安全缺陷，進而使得團隊實戰技能和協同能力得到提升，評估選取最優滲透戰法。綜合演練類應用主要包括：基于真實場景的大規模戰術級對抗演練和實戰攻擊任務基礎環境快速構建等方面。決策評估類應用主要包括：基于真實場景的網絡空間裝備評測、大規模戰略級聯合作戰演練和城市級信息基礎設施協同安全演練等方面。

所有業務的開展是基于靶場系統的基礎能力，也就是仿真網絡與信息系統環境的快速構建。這里面幾個資源庫是其核心，一是虛擬靶標庫，包含了操作系統和各種網絡服務，二是漏洞庫，包含各種信息安全漏洞的復現環境，三是可以根據客戶需求靈活構建的實體靶標庫。有了這些資源，在靶場系統中簡單的通過鼠標拖拽的方式就能快速構建仿真環境。對目標信息在靶場中快速還原，開展演練或戰術推演活動，提高團隊滲透技能、協同能力，選取最優滲透戰法，降低特種任務執行風險。

3 系統相關技術研究

在網絡空間中，要做到基于平臺虛擬化的漏洞復現、場景仿真和動態資源調配，需要用到計算虛擬化技術、網絡虛擬化技術、數據采集與分析技術和虛實結合組網技術等。

3.1 計算虛擬化技術

虛擬機是對計算機系統的仿真，可以實現一臺物理計算機上模擬多臺計算機的運行任務，操作系統和應用共享一臺或多臺主機硬件資源，每臺虛擬機有自己的操作系統，硬件資源是虛擬化的。管理程序（hypervisor）負責創建、運行虛擬機，它連接了硬件資源和虛擬機，完成計算資源的虛擬化。容器運行在宿主操作系統之上，共享操作系統內核和庫文件等。共享組件是只讀的，通過共享操作系統資源能減少復現操作系統所需計算資源，意味著一臺宿主機僅安裝好操作系統就可以運行多個容器任務。容器是輕量的，占用空間較少，而且能夠實現秒級啟動。相比容器，虛擬機啟動時間比較長，占用磁盤空間更大。同虛擬機相比，容器僅需操作系統、支撐程序和庫文件就可運行應用，這意味同樣的宿主機容器可以比虛擬機數量多幾倍。虛擬化技術與容器技術對比如圖1所示。

開源虛擬機技術KVM提供Linux下x86硬件平臺上的全功能虛擬化解決方案，是主流云計算技術的首選。開源容器技術Docker在不包含完整的操作系統的情況下就能運行普通應用，更加輕量級，可移植性更好，是當今PaaS平臺的基石。

為了兼顧虛擬機和容器兩種技術的優點，本系統將采用hypervisor與容器混合的虛擬化解決方案：Hypervisor技術能夠提供接近物理主機特性的虛擬主機，實現對各類不同的操作系統、各種不同的硬件設備的仿真，非常適合操作系統層的仿真需求;而容器技術雖然無法仿真操作系統特性，但能夠極大的降低虛擬化的硬件成本，極高的提升虛擬應用的啟動速度，非常適用應用層的仿真需求?？梢允褂锰摂M化抽象層將兩種不同的技術封裝為統一的向上接口，使用驅動的方式實現對各種不同底層虛擬化實現的支持。因此在本系統中，經過充分的調研分析，擬采用KVM實現虛擬機技術，采用Docker實現容器技術。

3.2 網絡虛擬化技術

VLAN技術由802.1Q標準所定義，它將同一網絡劃分為多個邏輯上的虛擬子網，并規定當收到廣播報文時，僅僅在其所在VLAN中進行廣播從而防止廣播報文泛濫。隨著虛擬化技術的發展，很多場景下都需要采用單個物理設備虛擬多臺虛擬機的方式來進行組網，而VLAN技術最多支持4094個tag，因此已經無法滿足需求，而且它也無法解決多租戶網絡地址重疊的問題以及虛擬化技術導致交換機中的MAC表異常龐大導致影響交換機的轉發性能等問題。

VXLAN（虛擬可擴展局域網）是一種隧道模式的網絡覆蓋技術，這種技術能夠使用戶擴跨越不同的網絡為虛擬機創建邏輯網絡，可以較好地解決VLAN的上述問題。它可以通過將第2層擴展到第3層網絡來構建大型的多租戶數據中心，同時將虛擬網絡與物理基礎設施分離，并實現網絡可靠性和可擴展性，可以使用VXLAN技術創建多達1600萬個網絡。

SDN（軟件定義網絡）是一種軟件集中控制、網絡開放的三層體系架構。SDN網絡架構如圖2。SDN控制平面和轉發平面分離的思想非常適用于網絡靶場的構建。一是網絡靶場中的各種網絡場景通常是非持久性的，靈活地對現有的網絡結構進行重構和改造是一項重要的應用指標;二是網絡靶場需要接入各種網絡空間設備，這些設備需要實現動態的同虛擬節點的混合組網，這對網絡配置的靈活性也提出了極高的要求。

本系統擬采用上述三種技術混合的網絡虛擬化技術。VLAN技術，用于支持傳統的網絡組網方式，提高同各類物理網絡的兼容性;VXLAN用于實現虛擬化平臺內部的網絡通信;SDN用來實現靈活的拓撲構造以及虛實結合組網等功能。

3.3 靶場數據采集與分析相關技術

通過分析仿真過程中產生的各類數據，可以交給自動化評估模型引擎實現系統自動判定，也可以交給裁判主觀判定，還可以輸出給可視化展示系統。演練過程中需要采集的重要數據按主體可以分為網絡流量、主機行為等兩種，為了確保采集性能、降低用戶配置的復雜程度，網絡流量、主機行為等數據的采集盡量使用帶外的方式執行，盡量少在終端（虛擬機）中安裝自定義的代理程序。

3.3.1 流量數據采集

網絡流量采集可以使用策略采集、網元采集兩種方式。策略采集由控制節點接收用戶指令后，對虛擬網元f一般是虛擬交換機）下發采集策略，將流量通過隧道或其他形式轉發至分析節點，完成虛擬流量采集。網元采集的方式是在hypervisor上運行agent代理，同時啟動專用的流量分析虛擬機。Agent接收控制節點的指令，完成網絡配置，將流量導人流量分析虛擬機，完成流量采集。與策略采集方案的不同之處在于，虛擬網元的配置不直接由控制器完成，并且采集的流量無須通過隧道等方式發送，而是直接進入本地虛擬機，減少網絡帶寬的占用。

對上述的兩種方案進行對比，使用網元采集更適合靶場系統使用。通過在每個hypervisor上運行代理程序，實現了一個分布式的采集架構，將數據采集工作負荷均攤到每個計算節點中，具備更好的效率和穩定性，且不存在瓶頸。

3.3.2 主機行為數據采集

主機行為的采集可以在終端主機上安裝應用層Agent，或者使用virtio驅動直接由hypervisor層采集兩種形式。在主機上安裝應用層最重要的缺陷是，當網絡無法連通或者網絡結構極為復雜時，難以實現向一個中心服務器報告采集數據的功能。所以使用virtio驅動進行主機層面的數據采集是比較理想的方案。通過Virtio技術，只需要在所有的虛擬機上安裝QEMUG uestAgent，便可以實現多種操作系統的帶外主機信息采集功能。

3.3.3 網絡流量數據分析

同數據采集相對應，數據分析包含了網絡流量分析、主機行為分析兩個大類。在靶場系統中，主要涉及的技術是深度數據包檢測（Deep packet inspection，DPI）技術。DPI是一種特殊的網絡技術，一般網絡設備只會查看以太網頭部、IP頭部而不會分析TCP/UDP里面的內容這種被稱為淺數據包檢測;與之對應的DPI會檢查TCP/UDP里面的內容，所以稱為DPI。

演練過程中需要重點分析的數據主要是各種應用系統在正常運行過程中產生的正常業務流量和攻擊方執行攻擊動作所產生的惡意流量，根據這些流量的相應特征，判斷靶場內的任務目標達成情況、所使用的工具或技術以及部分工具的運行機理等。同時，這些流量經過進一步的清洗后，提取出重要的部分，轉譯成實時攻防態勢系統的可視化數據流，用于驅動靶場內的攻防可視化展示。

3.3.4 主機行為數據分析

攻防演練過程中，主機上發生的事件往往是判定任務執行成功或成敗的關鍵，這也是靶場系統自動化判定機制最重要的數據支撐和來源。需要針對目標系統中的各個主機在整個演練過程中所采集到的主機行為進行深入的分析，才能夠由系統自動判定任務的執行效果，并給出詳細的任務執行報告。

主機行為的數據分析相對網絡數據包的分析來說相對簡單，它是同演練科目強相關的。以“獲取目標操作系統或應用軟件特定訪問權限”這一任務目標為例，我們可以通過主機行為監測到的數據，判定以下行為符合任務預期，只要有一項完成便判定任務執行成功：完成一次SSH連接、成功登錄到RDP遠程桌面、獲取數據庫系統遠程訪問權限、獲取WWW服務的后臺管理權限等。所以，主機行為的分析要結合特定的上下文進行定制，并沒有標準化的分析技術可遵循。

3.4 虛實結合組網技術

靶場系統對虛實結合組網的應用要求不僅僅只是實現連通這樣簡單，而是需要將虛擬設備和物理設備抽象成同樣的主體去使用，使用這些設備靈活的構成各種各樣的拓撲結構。在分析了現在的各種技術的優劣之后，選用虛擬交換機和SDN技術混合組網的基礎架構方案。這種方案不僅僅能夠較好地解決各種虛擬設備和物理設備的接入問題，而且利用SDN技術的先天優勢可以解決網絡結構動態配置和調整的問題。此外這種方案部署更加方便、對物理網絡要求更低，也非常有利于后續的擴展和配置。虛實結合方案如圖3所示。

4 架構設計

4.1 網絡部署方式

系統分為彈性計算區、系統管控區、物理設備接入區和演練接入區等幾個主要的網絡區域。根據演練的場地、形式、規模等要素，演練接人區可以設置一個或多個，該區域通過防火墻同彈性計算區相連接;彈性計算區是系統的核心區，它包含了計算節點集群和靶場應用服務器，計算節點集群可以根據演練活動的規模動態的增加或減少計算節點，靶場應用服務器提供演練活動所依賴的各個應用系統;系統管控區主要包含可視化系統以及裁判、運維人員席位。系統網絡部署方式如圖4所示。

4.2 靶場云

靶場系統主要由網絡環境構建與仿真、數據采集、數據評估、態勢顯示、數據存儲、運維管理六個基礎部件和背景流量發生器、自動攻擊引擎、工具庫和知識庫四個增強部件組成。系統私有云構建方式如圖5所示。

IaaS（基礎設施層）提供網絡環境仿真與構建、數據采集等功能;DaaS（數據層）提供數據存儲與知識庫;PaaS（平臺層），包含流量發生器、自動攻擊引擎以及多類型探針代理;SaaS（軟件應用層），則包含運維管理、數據中繼、探針管理、場景管理、任務管理、態勢可視化等多累用戶層應用。而靶場云主要提供私有云抽象、物理設備抽象、異型數據采集融合、態勢引擎、橫向擴展等功能接口，因此靶場云架構設計時要考慮虛擬機并發問題、實體設備接入問題、動態擴展能力、仿真度高低問題。

4.3 功能架構

靶場功能由計算虛擬化模塊、網絡虛擬化模塊、靶場監控模塊和靶場應用模塊等四個主要模塊構成。功能架構圖如圖6所示。

計算虛擬化模塊用來支持使用KVM虛擬機、Docker容器等技術提供隔離的計算資源，使用一個統一的虛擬化抽象層同上層應用溝通，即應用在調取計算資源時，并不需要關心是使用KVM還是Docker實現的底層虛擬化技術，這不僅對開發人員很友好，而且能夠非常方便的擴充新的虛擬化技術。

網絡虛擬化模塊用于在靶場中生成符合訓練意圖和要求的仿真網絡，使用虛擬網絡交換機連接各種虛擬節點并組成虛擬網絡;使用設備接入交換機，將仿真網絡同物理存在的網絡相連接，方便接入各種實體設備。

靶場監控模塊實時監控靶場中存在的各種虛擬資源的運行參數、各虛擬計算資源的內部運行狀態以及網絡流量，并能夠為流量分析模塊提供這些數據以進行進一步的分析。同時，監控模塊獲取的數據也能夠同可視化系統進行對接，將靶場內的網絡流量和相關活動轉譯為可視化數據流展示到大屏幕上。

靶場應用模塊構建在上述三個系統模塊之上，包含用戶接入、任務管理、場景管理以及效能評估等功能，為最終用戶提供各種應用層功能和人機交互界面。支持多種場景和各類效能評估模板的管理，能夠滿足各類不同目的的訓練活動的需求。

5 系統實現

系統擬采用B/S結構，能夠避免c/s架構頻繁升級客戶端程序、運行平臺受限等問題，利用最新的HTML5、WebGL等技術，能夠給用戶帶來良好的使用體驗。由于研究的系統為大型專用系統數據庫應用，對穩定性、可靠性要求較高，故考慮選用MariaDB作為平臺數據庫。所有接口擬采用RESTful架構。該結構清晰、符合標準、易于理解、擴展方便。RESTful從資源的角度來觀察整個網絡，分布在各處的資源由URI確定，而客戶端的應用通過URI來獲取資源的表征。采用RESTful接口后，前后臺都可以很方便獲取資源，修改資源，刪除資源等等。借此設計的靶場仿真原型圖如圖7所示。

6 結論

系統通過私有云構建、虛實結合、可視化拓撲編輯、場景自由剪切拼接、規模彈性擴展來實現大規模網絡快速構建;采用“異型數據采集與融合”開放性架構，按需部署采集探針，可對靶場環境內外及系統硬件進行全維數據采集和數據融合，提供數據訪問接口，進而實現全維數據采集評估;通過里程碑快照實現、不同場景里程碑任意切換、極速重現來實現全時域場景重現和回放;基于拓撲結構態勢、事件級攻防行為態勢、效果態勢、城市級靶場態勢、多維情報數據展示來實現多維態勢展示;使用ATT&CK等行為知識庫，結合AI技術，構建行為仿真智能引擎，還原最為真實的對手行為模式和攻擊技術。通過在靶場系統中模擬真實業務系統，將以往風險極大的針對生產系統的測試工作放到靶場中進行，再將靶場中發現的問題在生產環境中修復，從而實現業務系統的整體安全性提升。

參考文獻：

[1]方濱興，賈焰，李愛平，等，網絡空間靶場技術研究[J].信息安全學報，2016，1（3）：1-9.

[2]安彩虹.網絡靶場中動態可配置虛擬網絡技術研究與實現[D].長沙：國防科學技術大學，2015.

[3]吳怡晨，王軼駿，薛質.面向網絡空間的攻防靶場設計[J].通信技術，2017，50（10）：2349-2356.

[4]劉智國，于增明，王建，等.面向未來的網絡靶場體系架構研究[J].信息技術與網絡安全，2018，37（6）：41-46.

[5]韓挺，李鑫，韓耀明.網絡空間安全靶場設計研究[J].信息安全研究，2018，4（5）：430-432.

[6]李煒，余慧英，吳華穎，網絡空間博弈中的場景研究[J].信息安全研究，2018，4（5）：415-419.

[7]耿如月，面向用戶數據安全的軟件定義云存儲研究[D].北京：北京郵電大學，2017.

[8]沈雪石，網絡空間攻防技術發展動向分析[J].國防科技，2017，38（4）：42-46.