基于OPNET的賽博網(wǎng)絡(luò)防御建模仿真*

錢京梅，莫 嫻，吳 茜

0 引 言

“賽博空間（Cyberspace）”最早出自科幻作家威廉吉布森，最初的含義為“虛幻世界”。進入21世紀(jì)后，賽博空間的內(nèi)涵逐漸擴大，意指由獨立的信息技術(shù)基礎(chǔ)設(shè)施網(wǎng)絡(luò)構(gòu)成的全球范圍的、人類借助計算機技術(shù)完成通信和控制的信息域。它包括互聯(lián)網(wǎng)、電信網(wǎng)、各種局域網(wǎng)和計算機系統(tǒng)、嵌入式處理器和控制器。因具有時域、空域、頻域和能域等廣域特性，它與陸?？仗觳⒘谐蔀榈谖寰S空間[1]。

隨著網(wǎng)絡(luò)和信息技術(shù)的高速發(fā)展，人們對網(wǎng)絡(luò)電磁空間的依賴越來越大。網(wǎng)絡(luò)電磁空間給社會和國家安全造成的威脅和風(fēng)險也在日益加劇，已成為嚴(yán)峻挑戰(zhàn)。維基解密、斯諾登、棱鏡門事件等的發(fā)生，引發(fā)了世界對信息安全的關(guān)注和憂慮。當(dāng)前，賽博空間成為各國戰(zhàn)略爭奪的新戰(zhàn)場，圍繞賽博空間的用與控展開了激烈的較量。

為了更好地了解和研究賽博空間作戰(zhàn)這種新型的現(xiàn)代戰(zhàn)爭形式，可以利用仿真技術(shù)作為研究和試驗手段，探索戰(zhàn)術(shù)和技術(shù)的必要條件，發(fā)展賽博建模與仿真技術(shù)的應(yīng)用范圍和復(fù)雜度，加緊探索和完善網(wǎng)絡(luò)戰(zhàn)術(shù)、技術(shù)和規(guī)程，開發(fā)利用建模與仿真技術(shù)的方法和攻擊，以確定網(wǎng)絡(luò)漏洞[2]。

1 賽博網(wǎng)絡(luò)防御仿真建模

隨著仿真技術(shù)的發(fā)展，仿真已經(jīng)開始運用在網(wǎng)絡(luò)安全研究上。采取仿真方法研究可以避免對真實環(huán)境的危害，且仿真模型可重用，使得能夠容易地模擬各種條件下的網(wǎng)絡(luò)環(huán)境，節(jié)約時間、人力、財力和物力。

賽博空間網(wǎng)絡(luò)對抗仿真通過模擬網(wǎng)絡(luò)對抗行為，一方面對網(wǎng)絡(luò)攻擊的危害進行評估，另一方面測試擬采取的網(wǎng)絡(luò)防御手段可以達(dá)到的效果。

對網(wǎng)絡(luò)信息對抗的雙方而言，攻擊者需要進行“收集目標(biāo)信息、調(diào)整攻擊策略、制定攻擊計劃、實施攻擊”循環(huán)操作，防御者需要進行“入侵感知、信息融合、決策、響應(yīng)”的循環(huán)操作。攻防雙方的行為都體現(xiàn)為一個循環(huán)，雙方都從收集信息開始，根據(jù)獲取的相關(guān)信息或感知到的外部威脅，及時調(diào)整策略，做出應(yīng)對決策，并采取相應(yīng)行動。

本仿真采用美國Riverbed公司的網(wǎng)絡(luò)仿真平臺OPNET，模擬DDos（分布式的拒絕服務(wù)攻擊）泛洪攻擊和防御過程。

1.1 OPNET仿真工具以及賽博模型建模方法

1.1.1 OPNET仿真工具

OPNET主要用于通信網(wǎng)絡(luò)設(shè)計，以其極強的靈活性廣泛應(yīng)用于通信系統(tǒng)的研究和設(shè)計過程中。能夠滿足大型、復(fù)雜網(wǎng)絡(luò)仿真需求，被世界各大公司和組織用于加速研發(fā)過程，開發(fā)大型網(wǎng)絡(luò)。

OPNET Modeler的核心建模理論可以從三個層次進行概括和描述[3]，如圖1所示。

圖1 OPNET層次化建模機制

（1）三層通信機制：提供了網(wǎng)絡(luò)層、節(jié)點層、進程層的三層建模機制，使得建模更加條理化。

（2）離散事件驅(qū)動仿真：以事件調(diào)度為基礎(chǔ)，結(jié)合進程交互處理，動態(tài)模擬實際系統(tǒng)的行為。

（3）基于包的通信流：模擬實際物理網(wǎng)絡(luò)中信息的流動、處理。

建模環(huán)境方面，OPNET提供了全面豐富的基礎(chǔ)模型庫，在模型的結(jié)構(gòu)層次方面，OPNET實現(xiàn)的TCP/IP協(xié)議棧完全符合OSI標(biāo)準(zhǔn)，從上到下依次為應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、鏈路層和物理層，與實際網(wǎng)絡(luò)一致。因此，用戶可以根據(jù)網(wǎng)絡(luò)安全設(shè)備的工作原理或網(wǎng)絡(luò)攻擊的實施機理，通過在OPNET協(xié)議棧的各層進行開發(fā)，建立網(wǎng)絡(luò)信息對抗模型。

1.1.2 賽博網(wǎng)絡(luò)對抗仿真建模原理

研究賽博行為在傳統(tǒng)網(wǎng)絡(luò)和作戰(zhàn)網(wǎng)絡(luò)中的影響，可以評估不同的網(wǎng)絡(luò)配置和在賽博攻擊下的恢復(fù)性能。該方案支持評估新的賽博安全技術(shù)，包括攻擊、防御以及探測技術(shù)等。這些賽博行為都可通過使用建模的協(xié)議和設(shè)備模型庫來模擬實際通信場景，且這些仿真研究都是基于軟件的高性能離散事件仿真引擎進行仿真運算的。

賽博模型建模通過在已經(jīng)具備的模型之外添加賽博管理功能模型，即協(xié)議模型收到攻擊或恢復(fù)行為后，通過賽博管理模塊（Cyber Enhance Model）注冊有效的行為，靈活實現(xiàn)滿足各種需求的定制，如圖2所示。

圖2 賽博模型實現(xiàn)原理

賽博攻擊模型庫包含了現(xiàn)有的攻擊模型，如分布式的拒絕服務(wù)攻擊（DDoS）、路由攻擊模型等。

賽博防御模型庫包含了一系列典型的用來抵御賽博攻擊的防御手段，如防火墻策略更新功能、設(shè)備端口阻止和接口關(guān)閉功能，支持添加用戶自定義的防御手段。

1.2 賽博行為仿真模型

賽博攻防建模仿真將通過賽博行為模型實現(xiàn)原理，根據(jù)OPNET仿真工具的特點，從網(wǎng)絡(luò)模型、節(jié)點模型和進程模型三個層次對系統(tǒng)的各組成部分進行詳細(xì)建模。

1.2.1 網(wǎng)絡(luò)域模型

網(wǎng)絡(luò)域模型描述了仿真網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)的組成設(shè)備、各種設(shè)備數(shù)量以及設(shè)備之間的互連關(guān)系。網(wǎng)絡(luò)域模型如圖3所示。

圖3 賽博網(wǎng)絡(luò)攻擊仿真網(wǎng)絡(luò)模型

賽博網(wǎng)絡(luò)攻防仿真的網(wǎng)絡(luò)模型是圖3所示的簡單的局域網(wǎng)絡(luò)，由服務(wù)器（Http Server）、路由器（Prod_Rtr4）、工作站點（Http Client）、系統(tǒng)管理員（Sys Admin）、攻擊發(fā)起對象（Hacker）、被攻擊網(wǎng)絡(luò)及被攻擊對象（wstn）等組成。設(shè)備之間的鏈接關(guān)系已經(jīng)在網(wǎng)絡(luò)模型中確定。

網(wǎng)絡(luò)域模型主要表現(xiàn)仿真網(wǎng)絡(luò)在配置業(yè)務(wù)后，網(wǎng)絡(luò)的連通性能、處理性能、業(yè)務(wù)傳輸性能的變化情況。

1.2.2 節(jié)點域模型

賽博網(wǎng)絡(luò)攻防主要的節(jié)點模型有服務(wù)器、工作站、路由器、網(wǎng)絡(luò)攻擊設(shè)備、網(wǎng)絡(luò)防御設(shè)備、業(yè)務(wù)加載模型等，抽象和模擬了實際環(huán)境中各設(shè)備的工作行為。設(shè)備采用標(biāo)準(zhǔn)OSI七層組成關(guān)系，各層的進程模型參照OSI定義的協(xié)議進行建模。

圖4是網(wǎng)絡(luò)攻擊防御設(shè)備節(jié)點模型和屬性配置界面。節(jié)點從上到下由應(yīng)用層（application）、傳輸層（tcp）、網(wǎng)絡(luò)層（ip）、鏈路層（mac）和物理層（hub_rx）組成。圖4是節(jié)點模型，其中cyber_handle模塊實現(xiàn)網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)防御功能。

圖4 網(wǎng)絡(luò)攻擊以及網(wǎng)絡(luò)防御設(shè)備節(jié)點模型

本仿真主要模擬分布式拒絕服務(wù)DDos。在屬性配置界面里，將DDoS攻擊和防御行為寫入腳本，定義DDoS攻擊發(fā)生的時間、感染周期等，在防御措施配置防御啟動時間、最大消除的比例等。

1.2.3 進程域模型

進程域模型對組成節(jié)點模型的每一層模塊進行詳細(xì)建模。本仿真中，網(wǎng)絡(luò)對抗處理功能在進程cyber_handle中實現(xiàn)，模塊位于IP層之上，實現(xiàn)網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)防御功能，如圖5所示。

圖5 網(wǎng)絡(luò)防御進程模型

2 仿真場景

2.1 賽博網(wǎng)絡(luò)攻防典型仿真場景

本仿真利用賽博行為建模原理，模擬了分布式拒絕服務(wù)（DDoS）網(wǎng)絡(luò)攻防仿真。仿真場景是由服務(wù)器、路由器、工作站點、攻擊發(fā)起對象和被攻擊網(wǎng)絡(luò)等組成的局域網(wǎng)絡(luò)。DDoS攻防網(wǎng)絡(luò)仿真實現(xiàn)的功能包括：攻擊者發(fā)送病毒對網(wǎng)絡(luò)上可被感染區(qū)域的工作站點進行感染，感染后的工作站點向服務(wù)器發(fā)送大量泛洪（Flood）信息，阻止服務(wù)器為用戶終端提供正常的服務(wù)；防御模型監(jiān)測網(wǎng)絡(luò)，發(fā)現(xiàn)攻擊威脅后啟動清除感染控制，使得受感染者恢復(fù)正常。

DDos攻防仿真場景工作流程如圖6、圖7、圖8所示?？杀桓腥緟^(qū)域和不被感染區(qū)域，每個區(qū)域都有路由器和工作站節(jié)點，攻擊者在其他區(qū)域，整個場景的流程描述如下：首先攻擊模塊（Hacker）向網(wǎng)絡(luò)的可被感染區(qū)域工作站點（wstn）發(fā)送持續(xù)的感染信息，工作站被感染（如圖6所示）；300 s開始，受感染的工作站點向Http服務(wù)器（Http Server）持續(xù)不斷地發(fā)送泛洪報文，使得不被感染區(qū)域用戶（Http Client）的正常服務(wù)請求信息響應(yīng)時間越來越大（如圖7所示）；系統(tǒng)管理員（Sys Admin）節(jié)點收到感染信息時，判斷感染區(qū)域，然后控制區(qū)域內(nèi)的各工作站點清除感染行為（如圖8所示）；一段時間過后，網(wǎng)絡(luò)攻擊的影響逐漸消散，被攻擊區(qū)域的請求服務(wù)最終恢復(fù)正常。

圖6 DDos攻擊仿真場景（Hacker攻擊）

圖7 DDos網(wǎng)絡(luò)攻擊仿真場景（受感染節(jié)點發(fā)送泛洪信息）

圖8 DDos網(wǎng)絡(luò)防御仿真場景（系統(tǒng)管理員修復(fù)）

2.2 DDos網(wǎng)絡(luò)攻防仿真結(jié)果及分析

仿真統(tǒng)計量結(jié)果如圖9所示。

圖9 DDos網(wǎng)絡(luò)攻擊和防護對數(shù)據(jù)流影響

由圖9可以看出，200 s開始，受攻擊的工作站持續(xù)向服務(wù)器發(fā)送大流量的數(shù)據(jù)，占據(jù)了服務(wù)器大部分CPU處理能力和大部分鏈路，導(dǎo)致正常的Http服務(wù)請求響應(yīng)緩慢，最高達(dá)到80 s；經(jīng)過約200 s的網(wǎng)絡(luò)防御措施后，攻擊逐漸被消除，業(yè)務(wù)響應(yīng)時間、CPU利用率和鏈路吞吐量趨于正常。

圖10顯示了整個仿真階段受DDoS攻擊影響的工作站數(shù)量的變化情況。初始時都正常，150 s后多數(shù)被感染，300 s后開始實施網(wǎng)絡(luò)防御措施，受影響的數(shù)量逐漸減少，700 s后所有工作站恢復(fù)正常。

圖10 受攻擊影響的設(shè)備數(shù)量統(tǒng)計

3 結(jié) 語

通過仿真平臺模擬研究賽博空間網(wǎng)絡(luò)攻擊對網(wǎng)絡(luò)的侵害程度，進而研究對網(wǎng)絡(luò)攻擊的防止和抵御方法，是賽博網(wǎng)絡(luò)防御研究的重要手段。利用仿真建模測試技術(shù)搭建真實的賽博環(huán)境，模擬各種想定下的大規(guī)模網(wǎng)絡(luò)攻防行動，將在未來戰(zhàn)爭中發(fā)揮重要的輔助決策作用。從仿真結(jié)果可見，文中OPNET下的賽博行為的建模方法，能夠真實模擬DDoS攻擊和防御的過程與效果。下一步將深入研究各種賽博防御行為并進行建模，支持構(gòu)建和評估具有時序攻擊和防御模式的賽博仿真場景，深度洞察部署的防御策略造成的影響。

[1] 張明智,胡曉峰.賽博空間作戰(zhàn)及其對戰(zhàn)爭仿真在影響[J].軍事運籌與系統(tǒng)工程,2012,12(04):10-14.ZHANG Ming-zhi,HU Xiao-feng.Cyberspace Warfare and Its Impact on War Simulation[J].Militarty Opnerations Research and System Engineering,2012,12(04):10-14.

[2] 范愛鋒,程啟月.賽博空間面臨的威脅與挑戰(zhàn)[J].火力與指揮控制,2013,38(04):1-3.FAN Ai-feng,CHENG Qi-yue.Cyberspace Threats and Challenges[J].Fire Control & Command Control,2013,38(04):1-3.

[3] 陳敏.OPNET網(wǎng)絡(luò)仿真[M].北京:清華大學(xué)出版社,2004:6-7.CHEN Min.OPNET Network Simulation[M].Beijing:Tsinghua University Press,2004:6-7.