虛實結(jié)合的網(wǎng)絡(luò)對抗實驗體系研究與構(gòu)建

陳璐，嚴承華，陳云

（海軍工程大學(xué)信息安全系，湖北武漢，430033）

0 引言

在信息技術(shù)高速發(fā)展的當今時代,網(wǎng)絡(luò)應(yīng)用已成為人們?nèi)粘Ｉ詈凸ぷ鞑豢煞指畹囊徊糠?。特別是在方便、高效、經(jīng)濟和快捷方面，更是注入了新鮮活力，在教學(xué)領(lǐng)域，網(wǎng)絡(luò)已成為取代傳統(tǒng)教學(xué)手段的重要工具，線上教學(xué)、網(wǎng)上訓(xùn)練、遠程答疑等等已成為現(xiàn)代教學(xué)手段的重要組成部分。在軍事領(lǐng)域，網(wǎng)絡(luò)也已變成了沒有邊界的新戰(zhàn)場，網(wǎng)絡(luò)對抗成為軍事交戰(zhàn)雙方的決勝焦點，在這場新式戰(zhàn)爭中，網(wǎng)絡(luò)變成了指揮的核心，通過網(wǎng)絡(luò)技術(shù)來獲取情報，借助網(wǎng)絡(luò)來制定指揮決策，依靠網(wǎng)絡(luò)來傳遞行動指令，用于戰(zhàn)場的指揮控制系統(tǒng)，其雙方的對抗也集中表現(xiàn)在網(wǎng)絡(luò)的對抗上[1]。

網(wǎng)絡(luò)對抗實際上是在網(wǎng)絡(luò)空間里，雙方未知的對手信息對抗，防御對方的網(wǎng)絡(luò)入侵和攻擊,確保自身信息和系統(tǒng)的安全。為此應(yīng)以未來信息戰(zhàn)的主要戰(zhàn)法作為作戰(zhàn)背景,模擬對方有可能采取的不同攻擊方法和手段，應(yīng)采取的相應(yīng)對策，讓雙方進入攻防對抗的模擬演練，通過這種最接近于實戰(zhàn)狀態(tài)的對抗方式，找到系統(tǒng)的缺陷、漏洞和不足，依次加以改進，提高系統(tǒng)的防御能力，為未來信息戰(zhàn)爭的勝利打下可靠基礎(chǔ)。

過去，軍事訓(xùn)練主要依賴于實體系統(tǒng)，近幾十年來，隨著系統(tǒng)復(fù)雜性的不斷提高，采用實體進行訓(xùn)練存在著風險高、花費大等缺點，而利用模擬仿真技術(shù)進行網(wǎng)絡(luò)攻擊和防御訓(xùn)練，不僅可以節(jié)省人力、物力及財力，還可以通過整個網(wǎng)絡(luò)攻擊過程，從任意時間和地點重新開始、進行。訓(xùn)練完后，還可以借助評估系統(tǒng)來審查訓(xùn)練的效果。本文在總結(jié)網(wǎng)絡(luò)對抗成果和分析其發(fā)展趨勢的基礎(chǔ)上，提出構(gòu)建虛實結(jié)合的網(wǎng)絡(luò)對抗訓(xùn)練體系，旨在為網(wǎng)絡(luò)對抗的教學(xué)與施訓(xùn)提供理論依據(jù)和技術(shù)支撐。

1 設(shè)計目標和體系構(gòu)成

■1.1 設(shè)計目標

虛實結(jié)合的網(wǎng)絡(luò)對抗訓(xùn)練體系的總體設(shè)計目標為：

(1)逼真的網(wǎng)絡(luò)攻防平臺

在主機上部署虛實結(jié)合的網(wǎng)絡(luò)對抗訓(xùn)練以后，通過調(diào)用訓(xùn)練系統(tǒng)的函數(shù)庫能夠?qū)W(wǎng)絡(luò)中的其它主機實施攻擊，借助系統(tǒng)功能，可以向攻擊者反饋攻擊結(jié)果參數(shù)，分析攻擊效果；也可以將防御模塊加載到訓(xùn)練系統(tǒng)的函數(shù)庫中，用來防御來自網(wǎng)絡(luò)上其他機器的攻擊，并向管理者預(yù)警。

(2)靈活的設(shè)計仿真環(huán)境

在單機上用程序模擬一個網(wǎng)絡(luò)，通過主機、路由器和防火墻等基本的網(wǎng)絡(luò)節(jié)點建立虛擬網(wǎng)絡(luò)，添加相應(yīng)的功能模塊，從而將一個虛擬的網(wǎng)絡(luò)激活，進行一場攻防的演練。在演練過程中各個網(wǎng)絡(luò)節(jié)點上的數(shù)據(jù)、狀態(tài)都以實時、動態(tài)、可視化的形式表現(xiàn)出來。

■1.2 體系構(gòu)成

虛實結(jié)合的網(wǎng)絡(luò)對抗訓(xùn)練體系由總體控制單元（真實的攻擊和防御、模擬的攻擊和防御）形成公共模塊，通過虛實結(jié)合的網(wǎng)絡(luò)對抗訓(xùn)練，對網(wǎng)絡(luò)對抗的效能進行評估[2]，如圖1所示。

(1)總體控制單元

該單元主要功能是在區(qū)分真實環(huán)境和虛擬環(huán)境下進行工作。在系統(tǒng)開始工作時首先進行初始化，然后通過總控模塊來確定在真實環(huán)境還是虛擬環(huán)境中進行攻擊防御訓(xùn)練。若是在真實環(huán)境下，直接加載實際操作人員設(shè)計或編寫的攻擊防御模塊，然后，啟動加載后的系統(tǒng)，實現(xiàn)所加載模塊的功能。若是在虛擬環(huán)境下，總控模塊的任務(wù)是通過給虛擬網(wǎng)絡(luò)上的每個節(jié)點加載攻擊防御功能函數(shù)，啟動虛擬設(shè)備，運行虛擬網(wǎng)絡(luò)。

(2)真實的攻擊和防御

在真實的網(wǎng)絡(luò)對抗訓(xùn)練環(huán)境中，在本機上運行攻擊和防御模塊，通過運行結(jié)果，得到這些攻擊和防御對網(wǎng)絡(luò)的影響情況。在這種真實的網(wǎng)絡(luò)對抗訓(xùn)練環(huán)境下，虛擬網(wǎng)絡(luò)就蛻變成一臺主機形式，此主機所在的網(wǎng)絡(luò)就是實際連接的鄭真實網(wǎng)絡(luò)，它攻擊的網(wǎng)絡(luò)也是實際存在的網(wǎng)絡(luò)，實現(xiàn)防御的目標也是來自真實網(wǎng)絡(luò)上的入侵。通過調(diào)用公共模塊里原來已經(jīng)封裝好的功能函數(shù)和各種數(shù)據(jù)庫來實現(xiàn)攻擊和防御功能。

圖1 虛實結(jié)合的網(wǎng)絡(luò)對抗訓(xùn)練體系整體結(jié)構(gòu)圖

(3)模擬的攻擊和防御

首先對主機、路由器、防火墻、集線器等設(shè)備的功能和特性進行虛擬實現(xiàn)，每種網(wǎng)絡(luò)設(shè)備有其特定的功能，比如路由器有轉(zhuǎn)發(fā)和ICMP報文反饋功能，防火墻有包過濾功能等。然后在虛擬網(wǎng)絡(luò)中，給網(wǎng)絡(luò)中特定節(jié)點加載攻擊和防御代碼，從而可以觀察到網(wǎng)絡(luò)攻防的總體效果，它的功能要建立在網(wǎng)絡(luò)模擬模塊的基礎(chǔ)之上，同樣要調(diào)用公共模塊中相應(yīng)的函數(shù)和庫。

(4)公共模塊

真實攻擊防御模塊和模擬攻擊防御模塊是由公共模塊中最基本的函數(shù)庫及其調(diào)用的功能提供的。公共模塊中的攻擊模塊、防御模塊、用于顯示和反饋給實作人員信息模塊都是互相獨立的，共同向網(wǎng)絡(luò)對抗效能評估提供不同的訓(xùn)練結(jié)果數(shù)據(jù)。

(5)網(wǎng)絡(luò)對抗效能評估

虛實結(jié)合的網(wǎng)絡(luò)對抗訓(xùn)練的評估是通過網(wǎng)絡(luò)攻擊防御的效果實現(xiàn)的，同時對網(wǎng)絡(luò)安全狀態(tài)及變化趨勢提供預(yù)測。預(yù)測功能可以在威脅發(fā)生之前對網(wǎng)絡(luò)攻擊行為進行預(yù)警，使網(wǎng)絡(luò)管理者能夠有針對性地進行決策和防護準備，做到防患于未然。同時還能利用網(wǎng)絡(luò)安全屬性的歷史記錄，提供一個比較準確的網(wǎng)絡(luò)安全發(fā)展趨勢分析。

2 實訓(xùn)項目構(gòu)建

有了好的訓(xùn)練體系,還必須配備好的實訓(xùn)項目。以病毒攻擊、黑客攻擊、虛擬防護、網(wǎng)絡(luò)系統(tǒng)修復(fù)等實際問題為依托，通過分析演練背景→提出方案→實施方案→方案測試與評估等一系列的分析、設(shè)計、實訓(xùn)、總結(jié)提煉出典型的實訓(xùn)項目，具體內(nèi)容如下[3-4]。

■2.1 病毒攻擊

計算機病毒是網(wǎng)絡(luò)戰(zhàn)的典型武器。作為進攻作戰(zhàn)方式，可通過潛伏攻擊、空間攻擊和節(jié)點攻擊等方式把計算機病毒加載到敵方雷達、導(dǎo)彈、衛(wèi)星和自動化指揮中心的計算機信息情報搜集系統(tǒng)中，在關(guān)鍵時刻使病毒發(fā)作，并不斷地傳播、感染、擴散，侵害敵系統(tǒng)軟件，使其癱瘓。

作為防御作戰(zhàn)方式，要運行比較檢測程序，以檢測本系統(tǒng)運行正常情況、被攻擊情況，采用像“嗅探器”工具一樣的被動檢測，目的是防止防止系統(tǒng)被對方肆意超載或者阻塞。

■2.2 黑客攻擊

這里的黑客攻擊指利用除計算機病毒之外的其它手段潛入計算機網(wǎng)絡(luò)系統(tǒng)，竊取情報或?qū)嵤┢茐牡淖鲬?zhàn)行動。為竊取情報,黑客往往通過猜測或窮舉口令、利用緩沖區(qū)溢出等系統(tǒng)漏洞，獲得對目標系統(tǒng)的一般或最高控制權(quán)，冒充合法用戶潛入目標系統(tǒng)。為實施破壞，黑客最常用的手段就是拒絕服務(wù)攻擊（Denial of Services）,這種攻擊方式簡稱為DoS，它不需要其它任何的特權(quán)，就可以阻止服務(wù)器向外提供各種服務(wù)，從而讓那些正常的用戶，沒法使用該服務(wù)器提供的正常服務(wù)。

■2.3 虛擬防護

成功的防護可以拒入侵者于系統(tǒng)之外。在設(shè)計計算機和網(wǎng)絡(luò)物理結(jié)構(gòu)等硬件時要有防護措施。保護網(wǎng)絡(luò)信息安全的主要手段常用的是密碼技術(shù)和訪問控制技術(shù)。通過對數(shù)據(jù)信息的加密,信息表示形式的變化方式來保護敏感信息。常用的密碼技術(shù)不僅僅具備信息加密功能,同時還有秘密分享、身份驗證和數(shù)字簽名等功能。因此，使用密碼加密技術(shù)可以保證信息的機密性、完整性和可靠性，防止信息的篡改、偽造或者假冒。訪問控制技術(shù)是通過運用策略對系統(tǒng)資源、通信數(shù)據(jù)和存儲信息的訪問限制，保證這些信息的可用性和不可否認性，是通過對實體的身份進行識別和認證(I&A)來實現(xiàn)訪問控制的。常用的生物特征識別技術(shù)是利用人體的身體生物特征作為識別身份的要素；智能卡識別技術(shù)是通過一張預(yù)置電子證書的智能卡，在需要訪問的時候，將該智能卡插入到終端的智能卡讀寫器上，然后進行認證；挑戰(zhàn)應(yīng)答動態(tài)口令識別技術(shù)是通過輸入用戶名和靜態(tài)口令,用戶通過認證后,再回傳到認證中心，隨機生成的挑戰(zhàn)數(shù),由用戶端計算出相應(yīng)的應(yīng)答數(shù),上傳給認證中心實現(xiàn)認證服務(wù)。

■2.4 網(wǎng)絡(luò)系統(tǒng)修復(fù)

網(wǎng)絡(luò)系統(tǒng)遭到對方破壞，或者系統(tǒng)自身運行時出現(xiàn)故障，訓(xùn)練系統(tǒng)按照先主后次、先急后緩的方式，采取積極防御的方式，調(diào)整網(wǎng)絡(luò)鏈路，切斷病毒擴散源，或使用備份系統(tǒng)，確保系統(tǒng)能盡快恢復(fù)到被打擊之前的狀態(tài)[5]。同時，分析網(wǎng)絡(luò)被破壞和出項故障的原因和程度、依次查找薄弱環(huán)節(jié)，調(diào)整策略，采取防范措施，快速及時堵塞新發(fā)現(xiàn)的網(wǎng)絡(luò)安全漏洞，防止再次攻擊。

3 結(jié)束語

隨著信息網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)對抗也將在信息網(wǎng)絡(luò)領(lǐng)域全面形成，這一對抗必將發(fā)展成為體系對抗。本文基于這一現(xiàn)象，以網(wǎng)絡(luò)系統(tǒng)為對象，以網(wǎng)絡(luò)安全為目標，從網(wǎng)絡(luò)對抗的角度出發(fā)，從理論層次上研究了網(wǎng)絡(luò)對抗訓(xùn)練體系構(gòu)建的技術(shù)思路，系統(tǒng)、完整地構(gòu)建了虛實結(jié)合的網(wǎng)絡(luò)對抗訓(xùn)練的理論體系。