教學用網(wǎng)絡靶場的架構設計

張月紅

(上海電子信息職業(yè)技術學院 通信與信息工程學院，上海 201411)

網(wǎng)絡空間正式與海洋、陸地、天空和太空并列成為第五戰(zhàn)場，在當前網(wǎng)絡空間對抗形勢日趨嚴峻的情況下，基于網(wǎng)絡仿真與效果評估等關鍵技術構建的網(wǎng)絡靶場顯得非常重要[1]。美國、日本、英國和加拿大等國均高度重視網(wǎng)絡靶場建設，將其作為支撐網(wǎng)絡空間安全技術驗證、網(wǎng)絡武器試驗、攻防對抗演練和網(wǎng)絡風險評估的重要手段。2008年1月,美國啟動國家靶場項目,建成后將為美國國防部、陸海空三軍和其他政府機構服務。2010年10月,英國國防部宣布成立英國聯(lián)合網(wǎng)絡靶場，是英國第一個可以用于商業(yè)用途的網(wǎng)絡靶場[2]。

我國網(wǎng)絡靶場建設目前處于起步階段,僅有部分科研實驗室和行業(yè)專用試驗場等，其中科研院校有國防科技大學、中國科學院計算技術研究所、國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心(national internet emergency center， CNCERT/CC)、中國科學院信息工程研究所、中國電子科技集團、哈爾濱工業(yè)大學、北京郵電大學等。目前科研院校靶場還處于探索階段，主要用于研究電子信息對抗與仿真技術，為行業(yè)產(chǎn)品進行試驗及檢測，規(guī)模一般比較小，且針對某一專業(yè)領域。我國高校攻防實訓室的建成僅僅為了開展信息安全相關專業(yè)基礎教學實驗和實訓，很少部署靶場的實驗環(huán)境。同時由于安全技術本身的雙面性，也要求對靶場本身的安全進行保護，會采用虛擬仿真技術對惡意代碼或網(wǎng)絡攻擊等進行隔離處理[3]。

近幾年，網(wǎng)絡仿真、網(wǎng)絡攻擊行為場景仿真、攻擊數(shù)據(jù)采集與安全效能評估等關鍵技術取得了突破和技術積累[4]。安全行業(yè)內(nèi)也建有安全對抗的訓練靶場或?qū)嵱柶脚_，如合天網(wǎng)安實驗室的互聯(lián)網(wǎng)教學靶場，支持全國300多所高校3萬余名安全專業(yè)學生和技術愛好者使用，并每年舉辦“強網(wǎng)杯”挑戰(zhàn)賽等全國知名安全賽事。目前國內(nèi)有多家公司研發(fā)出了信息安全實驗室產(chǎn)品，用于網(wǎng)絡防護技術練習和開展攻防比賽，如紅亞科技、易霖博等。標準化的實驗室產(chǎn)品存在的主要問題有兩個：其一在于沒有實現(xiàn)多樣化的網(wǎng)絡結構和完整的業(yè)務流程的場景模擬；其二在于和院校本身的課程體系不能對接[5]。

因此，本文結合高校自身的科研能力和優(yōu)勢，與企業(yè)合作，利用虛擬化和云技術，開發(fā)出和信息安全相關專業(yè)培養(yǎng)目標更貼合、能靈活配置業(yè)務場景的教學用靶場。

1 高等院校網(wǎng)絡靶場特點

1.1 網(wǎng)絡靶場功能

網(wǎng)絡靶場是針對網(wǎng)絡攻防演練和網(wǎng)絡新技術評測的重要基礎設施,用來提高網(wǎng)絡和信息系統(tǒng)的穩(wěn)定性、安全性和性能，可用于培養(yǎng)實戰(zhàn)型的網(wǎng)絡安全人才隊伍。 網(wǎng)絡靶場的主要作用包括[6]：

(1)網(wǎng)絡攻防武器評測驗證。新型網(wǎng)絡攻防武器研制出來之后，需要對其進行測試驗證，即驗證其能否有效攻破敵方防護系統(tǒng)，以及能否有效保護我方目標系統(tǒng)。

(2)科學試驗和新技術驗證。網(wǎng)絡空間科研人員研制出新的網(wǎng)絡協(xié)議、新型網(wǎng)絡設備以及不同的網(wǎng)絡新技術，在網(wǎng)絡空間上的功能和性能需要進行驗證。

(3)支持人員培訓與演練。隨著新型網(wǎng)絡攻防武器的研發(fā)，每個網(wǎng)絡安全人員能否有效掌握，可以利用網(wǎng)絡靶場進行評估。

具體到在高等院校的教學環(huán)境下建設網(wǎng)絡靶場，其基本需求是模擬業(yè)務所需的網(wǎng)絡環(huán)境，管理虛擬網(wǎng)絡環(huán)境的運行，支持師生在模擬的網(wǎng)絡環(huán)境中完成任務，并在任務完成后保存任務數(shù)據(jù)，釋放模擬網(wǎng)絡環(huán)境所占用的資源，同時要能支持對資源的重用。 因此，可以從模擬對象和試驗任務兩個主要方面分析教學用網(wǎng)絡靶場需求，如表1所示。

表1 高等院校網(wǎng)絡靶場的功能模塊Table 1 Function modules of cyber range in colleges and universities

續(xù)表1

1.2 高等院校網(wǎng)絡靶場特點分析

高等院校教學用網(wǎng)絡靶場要求能支持師生在靶場環(huán)境中進行多種場景的試驗或測試。網(wǎng)絡靶場支持網(wǎng)絡訓練場景模擬[7]，通過在網(wǎng)絡拓撲設計、節(jié)點模擬和環(huán)境構建上的一系列設計，支持快速構建一定規(guī)模的業(yè)務環(huán)境，以滿足網(wǎng)絡靶場模擬實際應用的需要。

在試驗支撐上，網(wǎng)絡靶場按訓練準備、訓練運行和訓練收尾分為3個階段，采用訓練及賽事配置工具，提供訓練資源準備、訓練環(huán)境設計、訓練環(huán)境部署、訓練數(shù)據(jù)分析規(guī)則配置、人員管理、人員權限管理、訓練態(tài)勢展示、訓練環(huán)境管控、訓練過程管控、銷毀訓練環(huán)境的支撐等。提供子網(wǎng)模板、環(huán)境模板和訓練模板，支持管理員復用網(wǎng)絡拓撲和訓練的設計。使用子網(wǎng)模板和環(huán)境模板，便于管理員員將典型的網(wǎng)絡結構存儲起來，從而降低了重構訓練和賽事的人工成本。

網(wǎng)絡靶場中的流量發(fā)生器可提供在訓練環(huán)境產(chǎn)生的良性數(shù)據(jù)流量，并實現(xiàn)網(wǎng)絡中的設備運行狀態(tài)和流量采集，采集內(nèi)容包括節(jié)點CPU、內(nèi)存、硬盤利用率、文件變化情況、注冊表變化情況、 端口開放情況、流量、網(wǎng)絡連接情況和進程變化等。

網(wǎng)絡靶場基于網(wǎng)絡拓撲和采集數(shù)據(jù)的分析結果展示實時場景態(tài)勢，同時提供豐富的基礎資源庫，包括鏡像資源、靶機及測試用機資源、攻防軟件和典型攻防場景等，為師生使用網(wǎng)絡靶場提供資源和使用的范例[8]。

2 高等院校網(wǎng)絡靶場架構設計與功能分析

用于高等院校教學環(huán)境的網(wǎng)絡靶場以需求確定、訓練任務設定、資源配置、運行部署、訓練運行、數(shù)據(jù)采集和結果評估作為業(yè)務流程展開，以支撐訓練的整個生命周期[9]。利用網(wǎng)絡靶場，可以快速構建一定規(guī)模的業(yè)務環(huán)境，展開相關的安全訓練，在研究完成后可以釋放資源并再利用資源，同時系統(tǒng)提供的模板可快速重構試驗。

2.1 技術架構

網(wǎng)絡靶場的技術架構如圖1所示。此架構提供了一種側(cè)重于操作的方法，通過角色和任務來測試個人和網(wǎng)絡防護團隊的技能和能力。在這個框架中，每個用戶都可以分配到一個學習計劃，這個計劃為衡量個體的熟練程序和整體進步提供獨特的評分方法。

圖1 網(wǎng)絡靶場系統(tǒng)架構Fig.1 Cyber range system architecture

教學用靶場的功能實現(xiàn)由三類用戶角色完成：(1)學生。在模擬的網(wǎng)絡環(huán)境中學習專業(yè)知識，提高實踐技能，也可作為一個團隊成員參與訓練和競賽，可以參與遵循學習計劃、訪問知識庫、參加動態(tài)訓練和運行安全挑戰(zhàn)等靶場活動。(2)教師。利用靶場完成日常教學，同時可以把網(wǎng)絡靶場作為評價學生的實踐課堂，主要完成創(chuàng)建用戶學習計劃、監(jiān)控用戶培訓、設計模擬業(yè)務場景和制訂動態(tài)訓練計劃。(3)管理員。靶場中為管理員提供了管理整個靶場資源的管理平臺，用于管理和維護用戶角色和權限授予，完成多個業(yè)務場景部署，管理用于改善防御周界或內(nèi)部的工具，同時可以查看所有設備的硬件使用情況和虛擬機狀況，主要完成維護用戶賬號、修改系統(tǒng)設置、創(chuàng)建/修改用戶角色等管理功能。

在網(wǎng)絡靶場系統(tǒng)架構中，通過儀表盤可以實時監(jiān)控參與場景訓練的任意學生的靶機狀態(tài)和操作，在靶機出現(xiàn)故障時，完成環(huán)境重置操作。網(wǎng)絡安全實驗室是教學用網(wǎng)絡靶場的核心部分，包括服務教育教學的訓練部分和用于仿真建模的模擬部分。訓練部分由3個維度的形式展開，分別是安全基礎知識學習、安全挑戰(zhàn)和動態(tài)練習，按照學生的學習和認知規(guī)律，從易到難，由點及面，從知識掌握到能力形成，是教學靶場的驅(qū)動引擎。

2.2 網(wǎng)絡靶場的驅(qū)動引擎

為推動學生的安全防御能力形成，整個靶場的訓練可以按3個維度進行驅(qū)動，分別是基于課堂基礎知識的實踐模塊、自定義進度的安全挑戰(zhàn)和基于團隊的動態(tài)練習。

2.2.1 基于課堂基礎知識的實踐模塊

基于安全能力的形成和遞進，課程由易至難安排了3個模塊，模塊內(nèi)的訓練內(nèi)容按安全通信、安全運維、安全測試與評估、逆向工程、數(shù)字取證等多個能力目標展開，如表2所示。

表2 基礎知識實踐模塊的3個層次Table 2 Three levels of the basic knowledge experiment module

2.2.2 自定義的安全挑戰(zhàn)

按照安全技術的發(fā)展現(xiàn)狀及不同的應用領域，目前覆蓋5個類別的安全挑戰(zhàn),包括Web應用安全、移動安全、密碼學、網(wǎng)絡安全及取證，如表3所示。隨著技術發(fā)展和網(wǎng)絡靶場訓練目標調(diào)整，類別和主題均支持擴展和升級，如加入物聯(lián)網(wǎng)安全及云計算安全等內(nèi)容，或?qū)ΜF(xiàn)有主題內(nèi)容進行調(diào)整。

表3 安全挑戰(zhàn)的5個基本類別Table 3 Five basic categories of security challenges

2.2.3 基于團隊的動態(tài)訓練

網(wǎng)絡靶場內(nèi)的動態(tài)訓練可以支持不同的團隊角色類型及功能。紅色團隊扮演攻擊者的角色，試圖通過訪問特定數(shù)據(jù)或破壞特定資源來破壞靶場環(huán)境中基礎設施的安全，可以使用多種攻擊工具，如用于攻擊的腳本、用于注入目標的惡意軟件或后門、用于攔截數(shù)據(jù)流的產(chǎn)品、異常流量生成器等。藍色團隊的任務是防御，其目的是在有限的時間內(nèi)驗證和改進基礎設施的安全性，可以用于執(zhí)行安全分析、事故管理的工具及數(shù)字取證工具。

基于各種不同團隊角色，網(wǎng)絡靶場的動態(tài)訓練內(nèi)容設計有紅藍軍攻防賽、奪旗賽(CTF，capture the flag)等。除了提供常規(guī)對抗類賽事外，可發(fā)揮網(wǎng)絡靶場的技術研究功能，提供惡意代碼分析和電子數(shù)據(jù)分析取證的相關場景。此外為培養(yǎng)安全評估測試的能力，提供多種仿真應用系統(tǒng)鍛煉團隊的漏洞掃描、滲透測試、安全評估及審計等多項技能。詳見表4。

表4 基于團隊的動態(tài)訓練內(nèi)容Table 4 Dynamic training content based on team

3 高等院校自行開發(fā)網(wǎng)絡靶場的優(yōu)劣勢分析

院校自行搭建基于校園環(huán)境的靶場的主要優(yōu)點有：一是開發(fā)的靶場滿足安全專業(yè)教育需求，針對性強；二是通過靶場開發(fā)可以打造一支創(chuàng)新的教學科研團隊；三是通過項目開發(fā)可以充分實現(xiàn)校企合作。針對信息安全專業(yè)人才的培養(yǎng)目標和專業(yè)優(yōu)勢特色，實現(xiàn)靶場自主定制開發(fā)，靶場建設團隊基于教育教學的實際需求，集合團隊力量從底層開始搭建靶場，最終建成的網(wǎng)絡靶場應更符合最初的計劃和設想，內(nèi)容和形式也將更加適合本院校相關專業(yè)學生使用。根據(jù)兩年來的建設經(jīng)驗，院校定制開發(fā)的靶場不僅可以較全面地覆蓋信息安全相關專業(yè)基礎課程和各個不同安全應用方向類課程，而且通過構建靶場的不同業(yè)務場景能夠?qū)I(yè)務連續(xù)性與安全管理結合，多方面展示安全工程管理理念；業(yè)務場景還為競賽和工程實戰(zhàn)提供環(huán)境，可以分角色進行對抗，還可以多個學生組隊協(xié)作完成滲透測試項目和攻擊代碼分析等拓展訓練。已開發(fā)完成的教學用靶場的部分界面及功能如圖2和圖3所示。

圖2 教學用網(wǎng)絡靶場的動態(tài)訓練登錄界面Fig.2 Dynamic training login interface of the cyber range for teaching

圖3 教學用網(wǎng)絡靶場的動態(tài)訓練配置界面Fig.3 Dynamic training configuration interface of the cyber range for teaching

自建靶場對建設團隊在專業(yè)能力、實戰(zhàn)經(jīng)驗方面都有著很高的要求。面臨的挑戰(zhàn)主要為[10]：網(wǎng)絡靶場中包含人、設備、信息的仿真構建；基于應用場景的行為、流量、應用功能模擬；信息的實時采集及數(shù)據(jù)的準確評估，特別是學生訓練任務評分規(guī)則的擬定；模擬流量、真實流量及實驗訓練環(huán)境的隔離問題；一體化的管理調(diào)度平臺，保障平臺整體安全；靈活的資源分配及回收機制的設計；訓練場景與課程、人才培養(yǎng)目標的對應以及內(nèi)容的同步、更新和升級。

4 結語

高等院校作為安全人才培養(yǎng)基地，應科學合理地構建校園網(wǎng)絡靶場，既滿足網(wǎng)絡靶場的基本功能，同時注重其在教育教學方面的應用實效。本文提出了3種院校教學用網(wǎng)絡靶場的訓練維度，分別是以安全知識和實踐訓練為主的基礎維度、以安全應用為主題的挑戰(zhàn)維度和團隊動態(tài)訓練的角色對抗維度。以這3個維度來合力驅(qū)動網(wǎng)絡靶場訓練，將達到更全面培養(yǎng)安全人才的目標。

本研究構建的基于虛擬化和私有云技術的教學用網(wǎng)絡靶場平臺，目前已具有網(wǎng)絡攻防實訓及實戰(zhàn)功能，并在平臺的內(nèi)測過程中支持學生的日常練習和比賽集訓，使得學生在滲透測試、攻防對抗及安全運維方面能力不斷提升，推動了專業(yè)人才培養(yǎng)質(zhì)量的提高。

網(wǎng)絡安全問題日趨復雜，攻防對抗不斷升級，網(wǎng)絡靶場的內(nèi)容建設將是一個不斷迭代更新的動態(tài)優(yōu)化過程[11]，不僅內(nèi)容體系要科學完整，而且還應考慮威脅情報的收集功能，以更新防護手段和訓練模式。同時教學用網(wǎng)絡靶場不僅服務于本院相關專業(yè)學生的實踐能力培養(yǎng)，還可以面向社會開展培訓和競賽活動，這就對網(wǎng)絡靶場中業(yè)務場景的多樣性及平臺自身的安全性提出了更高的要求和挑戰(zhàn)[12]。總之，基于虛擬化技術構建的教學用網(wǎng)絡靶場平臺，輔助專業(yè)的實踐教學，提供的實戰(zhàn)項目對學生掌握網(wǎng)絡攻擊與防御知識，開展攻防實戰(zhàn)演練非常必要。而靶場平臺的自身建設和訓練內(nèi)容的不斷完善，還需要通過加強校企合作、開展行業(yè)研討交流等方式實現(xiàn)。