網(wǎng)絡(luò)靶場實訓(xùn)平臺的規(guī)劃與實踐*

王 群，李馥娟，郭向民，劉家銀

（江蘇警官學(xué)院計算機(jī)信息與網(wǎng)絡(luò)安全系，南京 210031）

0 引言

隨著物聯(lián)網(wǎng)、云計算、區(qū)塊鏈等基于互聯(lián)網(wǎng)創(chuàng)新應(yīng)用模式的出現(xiàn)與發(fā)展，信息技術(shù)正在以前所未有的深度和廣度融入到社會各個領(lǐng)域。與此同時，病毒、木馬、蠕蟲、網(wǎng)絡(luò)釣魚、DDoS、APT 等層出不窮且快速迭代的安全威脅使網(wǎng)絡(luò)應(yīng)用環(huán)境日益惡化，頻繁發(fā)生的各類攻擊事件給網(wǎng)絡(luò)空間安全治理帶來了極大的挑戰(zhàn)。當(dāng)前，加強(qiáng)網(wǎng)絡(luò)空間安全治理能力和體系建設(shè)，成為保障互聯(lián)網(wǎng)應(yīng)用有序發(fā)展的前提，加強(qiáng)網(wǎng)絡(luò)安全人才培養(yǎng)和建設(shè)專業(yè)人才隊伍，成為維護(hù)網(wǎng)絡(luò)空間安全的根本保障。

網(wǎng)絡(luò)靶場實訓(xùn)平臺通過提供虛實結(jié)合的網(wǎng)絡(luò)環(huán)境來模擬真實的網(wǎng)絡(luò)攻防行為，將真實網(wǎng)絡(luò)中的安全知識和攻防手段得以在安全可控的實驗空間重構(gòu)，為網(wǎng)絡(luò)安全理論知識學(xué)習(xí)、攻防對抗演練、網(wǎng)絡(luò)工具研發(fā)與測試、網(wǎng)絡(luò)安全配置與驗證等教學(xué)教研活動提供平臺支撐，以豐富的內(nèi)容、新穎的形式、多樣化的手段激發(fā)學(xué)習(xí)者的興趣，增強(qiáng)學(xué)習(xí)者對網(wǎng)絡(luò)安全知識的理解，培養(yǎng)其網(wǎng)絡(luò)安全隱患分析、網(wǎng)絡(luò)安全技術(shù)驗證、網(wǎng)絡(luò)風(fēng)險評估等解決具體安全問題的能力。面對復(fù)雜多變的網(wǎng)絡(luò)環(huán)境，高校正將網(wǎng)絡(luò)靶場實訓(xùn)平臺建設(shè)和應(yīng)用作為支撐網(wǎng)絡(luò)空間安全人才培養(yǎng)的重要手段。

1 網(wǎng)絡(luò)靶場與網(wǎng)絡(luò)靶場實訓(xùn)平臺

1.1 網(wǎng)絡(luò)靶場的研究背景

網(wǎng)絡(luò)靶場是為了適應(yīng)信息技術(shù)快速發(fā)展的要求，有效應(yīng)對日益嚴(yán)峻的網(wǎng)絡(luò)空間對抗形勢，主要由軍隊、政府、科研機(jī)構(gòu)、高校等行業(yè)，針對網(wǎng)絡(luò)武器開發(fā)、網(wǎng)絡(luò)攻防對抗演練、網(wǎng)絡(luò)風(fēng)險評估、網(wǎng)絡(luò)技術(shù)驗證、網(wǎng)絡(luò)工具測試、網(wǎng)絡(luò)安全人才培養(yǎng)等工作需要，通過網(wǎng)絡(luò)仿真技術(shù)創(chuàng)建的高度近似于真實網(wǎng)絡(luò)空間運行機(jī)制的可信、可控、可定制的重要基礎(chǔ)設(shè)施［1-3］。

美國在網(wǎng)絡(luò)靶場建設(shè)方面走在了世界前列，美國國防部高級研究計劃局（DARPA）從2009 年1 月開始啟動了“國家網(wǎng)絡(luò)靶場”（National Cyber Range，NCR）項目［4］，并于2011 年10 月完成了原型開發(fā)。NCR 通過模擬真實的電子對抗和網(wǎng)絡(luò)攻擊，用來對未來可能發(fā)生的網(wǎng)絡(luò)戰(zhàn)爭進(jìn)行推演，在防止美國網(wǎng)絡(luò)重要基礎(chǔ)設(shè)施遭受攻擊的同時，對攻擊方的行為進(jìn)行在線溯源，以保護(hù)美國的網(wǎng)絡(luò)安全。美國網(wǎng)絡(luò)部隊已經(jīng)研發(fā)并儲備了2 000 余個計算機(jī)病毒武器，構(gòu)成了內(nèi)容豐富且功能強(qiáng)大的武器庫；英國于2010 年10 月建立了“聯(lián)邦網(wǎng)絡(luò)實驗靶場”（Federated Cyber Test Range）［2］，用來對大型復(fù)雜網(wǎng)絡(luò)進(jìn)行模擬，并在安全可控的前提下對信息基礎(chǔ)設(shè)施的可靠性和生存能力進(jìn)行測試和評估；日本于2002 年由日本情報通信研究機(jī)構(gòu)（NICT）主導(dǎo)研制了“星平臺”（StarBed）系統(tǒng)［5］，主要為網(wǎng)絡(luò)新技術(shù)的評估提供大規(guī)模的網(wǎng)絡(luò)試驗環(huán)境。與此同時，加拿大、俄羅斯、德國、以色列、伊朗、韓國等國家也紛紛建立了各自的國家網(wǎng)絡(luò)靶場，分別立足各國的網(wǎng)絡(luò)安全需要，進(jìn)行相關(guān)項目的研究。國內(nèi)部分高校、科研機(jī)構(gòu)和科技企業(yè)在網(wǎng)絡(luò)靶場建設(shè)方面進(jìn)行了大量研究，在大規(guī)模復(fù)雜網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)攻防場景仿真、網(wǎng)絡(luò)攻防對抗演練、網(wǎng)絡(luò)仿真、網(wǎng)絡(luò)安全風(fēng)險評估、網(wǎng)絡(luò)安全人才培養(yǎng)等方面取得了一些創(chuàng)新成果［6-7］。

網(wǎng)絡(luò)靶場概念一經(jīng)提出便引起了世界各國的普遍關(guān)注。在當(dāng)前網(wǎng)絡(luò)攻擊方式復(fù)雜化、攻擊目標(biāo)全球化、攻擊對象泛在化、攻擊事件頻繁化的大背景下，世界各國紛紛開始進(jìn)行虛實結(jié)合的網(wǎng)絡(luò)靶場建設(shè)和應(yīng)用研究。其中，在網(wǎng)絡(luò)安全人才培養(yǎng)方面，網(wǎng)絡(luò)靶場通過可配置的網(wǎng)絡(luò)服務(wù)，為網(wǎng)絡(luò)安全技術(shù)研究、學(xué)習(xí)、驗證、測試以及攻防對抗演練提供了安全可控的實驗實訓(xùn)環(huán)境。尤其是近年來，針對網(wǎng)絡(luò)安全人才培養(yǎng)需要開發(fā)的網(wǎng)絡(luò)靶場實訓(xùn)平臺，在高校人才培養(yǎng)中發(fā)揮著十分重要甚至是不可替代的作用。

1.2 網(wǎng)絡(luò)靶場實訓(xùn)平臺的功能定位

美國網(wǎng)絡(luò)靶場的建設(shè)經(jīng)驗為世界各國提供了幫助，尤其在2009 年建設(shè)的網(wǎng)絡(luò)靶場NCR 為全球網(wǎng)絡(luò)靶場的理論創(chuàng)建和體系結(jié)構(gòu)探索開辟了先河。隨后，隨著云計算、大數(shù)據(jù)、軟件定義、人工智能、數(shù)字孿生等技術(shù)的發(fā)展，為網(wǎng)絡(luò)靶場的功能實現(xiàn)提供了技術(shù)支撐，也使網(wǎng)絡(luò)靶場開始走出單一的軍事和政府應(yīng)用領(lǐng)域，出現(xiàn)了虛實結(jié)合的民用靶場、商用網(wǎng)絡(luò)靶場、教學(xué)和研究靶場等新型靶場類型。近年來，伴隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展，原來單一的互聯(lián)網(wǎng)環(huán)境被打破，物理世界與信息空間之間的界限越來越模糊，虛實結(jié)合的大規(guī)模網(wǎng)絡(luò)仿真成為網(wǎng)絡(luò)靶場建設(shè)的顯著特點和具體要求。

網(wǎng)絡(luò)靶場實訓(xùn)平臺是網(wǎng)絡(luò)靶場的一種特殊應(yīng)用類型，其主要功能是為服務(wù)網(wǎng)絡(luò)安全人才培養(yǎng)提供實驗實訓(xùn)環(huán)境。根據(jù)人才培養(yǎng)對象的不同，網(wǎng)絡(luò)靶場實訓(xùn)平臺的模擬環(huán)境可以是互聯(lián)網(wǎng)，也可以是工業(yè)控制系統(tǒng)等專用網(wǎng)絡(luò)。但與大型網(wǎng)絡(luò)靶場不同，網(wǎng)絡(luò)靶場實訓(xùn)平臺的規(guī)模相對較小，形式和功能相對單一，與現(xiàn)實網(wǎng)絡(luò)之間的差異性較小，可利用有限資源來部署，建設(shè)和日常維護(hù)成本較低?？紤]到人才培養(yǎng)的具體要求，本文規(guī)劃建設(shè)的網(wǎng)絡(luò)靶場實訓(xùn)平臺，主要為了滿足網(wǎng)絡(luò)空間安全人才培養(yǎng)需要，以互聯(lián)網(wǎng)應(yīng)用為背景和模擬對象，是一種特殊類型的網(wǎng)絡(luò)靶場。

2 網(wǎng)絡(luò)靶場實訓(xùn)平臺規(guī)劃

2.1 網(wǎng)絡(luò)靶場實訓(xùn)平臺的架構(gòu)及建設(shè)要求

在網(wǎng)絡(luò)靶場實訓(xùn)平臺設(shè)計時需要將技術(shù)架構(gòu)和應(yīng)用功能有機(jī)結(jié)合，技術(shù)架構(gòu)是基礎(chǔ)保障，功能是目的和建設(shè)意圖。網(wǎng)絡(luò)靶場實訓(xùn)平臺的總體架構(gòu)如圖1 所示，該結(jié)構(gòu)繼承了傳統(tǒng)網(wǎng)絡(luò)應(yīng)用平臺以應(yīng)用功能實現(xiàn)為“主體”，以安全保障和標(biāo)準(zhǔn)規(guī)范體系建設(shè)為“兩翼”的特征，但在應(yīng)用功能實現(xiàn)上體現(xiàn)了多層次、低偶合、逐層逐塊提供服務(wù)的特點?？梢詫⒕W(wǎng)絡(luò)靶場實訓(xùn)平臺的“主體”部分劃分為以下幾個功能域：

圖1 網(wǎng)絡(luò)靶場實訓(xùn)平臺的總體架構(gòu)

1）基礎(chǔ)服務(wù)域?；A(chǔ)服務(wù)域由基礎(chǔ)設(shè)施、管理資源和網(wǎng)絡(luò)部署3 部分組成，為其他功能域提供虛實結(jié)合的網(wǎng)絡(luò)資源，并為各類實驗場景的實例化提供服務(wù)?；A(chǔ)服務(wù)域是整個網(wǎng)絡(luò)靶場實訓(xùn)平臺的基礎(chǔ)，從不同實訓(xùn)場景中每個節(jié)點的實例化，到組建實驗網(wǎng)絡(luò)、制定并下發(fā)管理策略以及正式實驗前的系統(tǒng)測試，再到實驗過程中的數(shù)據(jù)采集和實驗過程管理等，支撐著網(wǎng)絡(luò)靶場實訓(xùn)平臺整個生命周期的每一個環(huán)節(jié)。

2）網(wǎng)絡(luò)攻防實訓(xùn)域。網(wǎng)絡(luò)攻防對抗主要涉及到攻防對抗模型和攻防中可被利用的各類數(shù)據(jù)庫（主要有漏洞庫、補丁庫、知識庫等），所以在網(wǎng)絡(luò)靶場實訓(xùn)平臺中提供了網(wǎng)絡(luò)攻防實驗數(shù)據(jù)庫和網(wǎng)絡(luò)攻防實驗?zāi)Ｐ? 個組成模塊。其中，網(wǎng)絡(luò)攻防模型是將網(wǎng)絡(luò)攻防中用到的推理過程、判斷方法、思維模式和表述形式，轉(zhuǎn)化為參訓(xùn)人員能夠直觀理解的知識。網(wǎng)絡(luò)攻防建模是用數(shù)學(xué)方式建立一個等價對應(yīng)于現(xiàn)實網(wǎng)絡(luò)環(huán)境中攻防的知識系統(tǒng)，是實現(xiàn)攻防有效訓(xùn)練的關(guān)鍵技術(shù)環(huán)節(jié)。攻防實驗數(shù)據(jù)庫提供完整的與真實網(wǎng)絡(luò)一致的各類應(yīng)用和威脅庫，并接收攻防模型所需要的資源請求，對涉及到的基礎(chǔ)服務(wù)域中的資源進(jìn)行有效調(diào)度。

3）網(wǎng)絡(luò)技術(shù)與協(xié)議域。體系結(jié)構(gòu)和協(xié)議是網(wǎng)絡(luò)系統(tǒng)的兩大核心要素。在基礎(chǔ)服務(wù)域的支持下，通過網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)協(xié)議2 個功能模塊，可以就具體的網(wǎng)絡(luò)技術(shù)和協(xié)議進(jìn)行系統(tǒng)學(xué)習(xí)、分析、改進(jìn)、測試和評估，在強(qiáng)化網(wǎng)絡(luò)基礎(chǔ)知識學(xué)習(xí)的同時，培養(yǎng)參訓(xùn)人員應(yīng)對各類安全風(fēng)險和抵御網(wǎng)絡(luò)攻擊的能力。

4）數(shù)據(jù)分析域。網(wǎng)絡(luò)靶場實訓(xùn)平臺建設(shè)是一個隨著技術(shù)和應(yīng)用需求發(fā)展不斷完善、改進(jìn)和拓展的過程，對訓(xùn)練數(shù)據(jù)的分析和評估發(fā)揮著關(guān)鍵作用。網(wǎng)絡(luò)安全態(tài)勢的判斷、攻擊手段及實現(xiàn)路徑的改進(jìn)、防御策略的調(diào)整與完善、節(jié)點脆弱性評估等，都需要建立在數(shù)據(jù)分析基礎(chǔ)上。另外，在數(shù)據(jù)密集型的網(wǎng)絡(luò)靶場實訓(xùn)環(huán)境中，需要借助大數(shù)據(jù)可視化技術(shù)提供直觀高效的數(shù)據(jù)分析方法，以方便用戶通過數(shù)據(jù)分析結(jié)果來判斷實訓(xùn)平臺當(dāng)前的運行狀態(tài)，從而發(fā)現(xiàn)系統(tǒng)的脆弱性，為完善實訓(xùn)平臺的功能以及優(yōu)化平臺運行提供基礎(chǔ)數(shù)據(jù)。

5）測試與評估域。網(wǎng)絡(luò)安全測評是保障網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全的基礎(chǔ)。從攻擊方的角度看，需要對確定的攻擊手段的有效性和實施路徑的正確性進(jìn)行推演和測評，在此基礎(chǔ)上進(jìn)行優(yōu)化改進(jìn)，以提高攻擊的準(zhǔn)確率和防范溯源跟蹤的能力；對于防御方來說，需要對采取的安全防御措施的可靠性和策略的可行性進(jìn)行定性與定量評估，并根據(jù)結(jié)果不斷修正評測指標(biāo)，以取得符合最優(yōu)成本效應(yīng)的安全防御措施和策略。

2.2 網(wǎng)絡(luò)靶場實訓(xùn)平臺的建設(shè)要求

作為一種計算模式，云計算在發(fā)展了分布式計算、并行計算和網(wǎng)格計算的基礎(chǔ)上，通過虛擬化技術(shù)將網(wǎng)絡(luò)中的計算和存儲資源進(jìn)行整合，從而構(gòu)成一個可擴(kuò)展、高可用、可自主管理和配置的虛擬資源池，為搭建網(wǎng)絡(luò)靶場實訓(xùn)平臺提供了保障［8］。另外，與單一功能的實驗室建設(shè)不同的是，網(wǎng)絡(luò)靶場實訓(xùn)平臺的建設(shè)具有一定的復(fù)雜性，可重點考慮以下幾個方面：

1）統(tǒng)一標(biāo)準(zhǔn)和接口。網(wǎng)絡(luò)靶場實訓(xùn)平臺的建設(shè)需要同時考慮教學(xué)功能和網(wǎng)絡(luò)建設(shè)要求，需要對網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行統(tǒng)一規(guī)劃，對平臺涉及的資源制定統(tǒng)一的信息格式和編碼，為涉及的操作制定統(tǒng)一的接口規(guī)范。

2）實驗的逼真性。由于在網(wǎng)絡(luò)靶場實訓(xùn)平臺中開展的大部分是仿真實驗，其實驗實訓(xùn)過程與真實環(huán)境的操作之間會存在一些差異［9］。為了盡可能縮小實訓(xùn)平臺與真實網(wǎng)絡(luò)環(huán)境之間的差距，網(wǎng)絡(luò)靶場實訓(xùn)平臺采用了虛實結(jié)合的網(wǎng)絡(luò)仿真方式，可高逼真地再現(xiàn)真實網(wǎng)絡(luò)環(huán)境和攻防過程，實訓(xùn)平臺中的路由器、交換機(jī)、服務(wù)器、無線接入設(shè)備等提供信息基礎(chǔ)服務(wù)的設(shè)備，以及防火墻、IDS/IPS 等安全設(shè)備，其使用和配置方式與真實網(wǎng)絡(luò)中的完全一致。另外，平臺中涉及到的軟硬件設(shè)備和系統(tǒng)，可根據(jù)要求設(shè)置不同的版本，并提供針對不同安全漏洞的補丁，供實驗實訓(xùn)中驗證不同的安全威脅和防御功能使用。

3）豐富的安全策略?；ヂ?lián)網(wǎng)應(yīng)用非常豐富，互聯(lián)網(wǎng)運行中提供的網(wǎng)絡(luò)協(xié)議和安全管理策略也多種多樣。例如，數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時是采用明文還是密文方式，是否允許對指定網(wǎng)段的數(shù)據(jù)包進(jìn)行嗅探，對系統(tǒng)的訪問口令管理是否設(shè)置嚴(yán)格的控制等，這些功能的實現(xiàn)都需要提供完善的策略保障。同時，在需要加密傳輸時設(shè)置數(shù)據(jù)加密和安全校驗機(jī)制，在能夠?qū)崿F(xiàn)數(shù)據(jù)包嗅探時允許網(wǎng)絡(luò)欺騙、重放攻擊、中間人攻擊等行為發(fā)生，當(dāng)需要對系統(tǒng)訪問進(jìn)行嚴(yán)格控制時，提供身份認(rèn)證和資源授權(quán)功能，當(dāng)需要對涉密信息進(jìn)行管理時，提供針對敏感信息的語義提取與分析、保存位置確認(rèn)等功能。

4）詳盡的系統(tǒng)日志。系統(tǒng)日志是軟硬件系統(tǒng)用于記錄運行狀況（如誰在什么時間訪問過什么資源、系統(tǒng)在什么時間因什么原因重啟等）和安全事件的信息庫，是檢查系統(tǒng)配置錯誤、查找攻擊痕跡、掌握系統(tǒng)性能的基礎(chǔ)數(shù)據(jù)庫，防火墻、IDS/IPS、網(wǎng)絡(luò)管理系統(tǒng)、網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)等幾乎所有的安全設(shè)備和系統(tǒng)，都需要使用日志來獲取和分析網(wǎng)絡(luò)安全狀況及變化趨勢。網(wǎng)絡(luò)靶場實訓(xùn)平臺能夠完整地收集和記錄日志（尤其是安全日志）信息，并提供日志信息的處理功能，將分析過程和結(jié)果以可視化方式展現(xiàn)。

5）必要的開放接口。隨著網(wǎng)絡(luò)連接泛在化速度的加快，原來使用工業(yè)控制系統(tǒng)的重要基礎(chǔ)設(shè)施越來越多地采用互聯(lián)網(wǎng)通信協(xié)議和通用軟硬件，以多種方式接入互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)，互聯(lián)網(wǎng)中存在的安全攻擊和威脅，逐漸滲透到工業(yè)控制系統(tǒng)等專用網(wǎng)絡(luò)中。研究工業(yè)網(wǎng)絡(luò)和關(guān)鍵信息基礎(chǔ)設(shè)施的安全已成為目前信息安全研究的一個重點和熱點。為此，網(wǎng)絡(luò)靶場實訓(xùn)平臺需要提供相應(yīng)的接口，使新的安全研究對象及相關(guān)的安全應(yīng)對知識能夠根據(jù)需要接入其中。

2.3 網(wǎng)絡(luò)靶場實訓(xùn)平臺的主要模擬對象

網(wǎng)絡(luò)靶場實訓(xùn)平臺的功能和適用范圍主要依賴于能夠成功模擬的對象和場景類型。對于主要用于網(wǎng)絡(luò)安全專門人才培養(yǎng)的網(wǎng)絡(luò)靶場實訓(xùn)平臺來說，需要對以下4 種類型的對象進(jìn)行有效模擬：

1）用戶模擬。用戶模擬功能是指根據(jù)實驗需要，對參訓(xùn)者進(jìn)行分類，每一類用戶在實訓(xùn)平臺中扮演各自不同的角色。一般情況下，在實驗中可將用戶分成紅隊、藍(lán)隊和綠隊3 種角色［10］。其中，紅隊（攻擊方）的主要職責(zé)是產(chǎn)生攻擊流量，這些流量所代表的網(wǎng)絡(luò)行為看似合法卻隱藏著各類攻擊意圖；藍(lán)隊（防御方）的主要職責(zé)是實時監(jiān)控和檢查由紅隊產(chǎn)生的攻擊流量，分析、攔截和終止由紅隊發(fā)起的攻擊行為；綠隊的職責(zé)是仿真正常的網(wǎng)絡(luò)業(yè)務(wù)（背景流量），一般情況下紅藍(lán)對抗過程不會影響正常的網(wǎng)絡(luò)業(yè)務(wù)。由于互聯(lián)網(wǎng)中的用戶身份主要以IP地址來標(biāo)識，所以，當(dāng)模擬多個不同網(wǎng)絡(luò)之間的流量時，需要分別在實訓(xùn)平臺中仿真出各自網(wǎng)絡(luò)的完整IP 地址段。為了能夠模擬不同國家及地區(qū)之間的網(wǎng)絡(luò)攻擊，實訓(xùn)平臺中需要根據(jù)IANA（互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)）向全球分配的IP 地址信息來仿真真實的IP 地址［11］。同時，為了配合對用戶的模擬，在靶場中還需要仿真出不同的網(wǎng)絡(luò)類型（如以太網(wǎng)、4G/5G核心網(wǎng)、IPv4/IPv6 基礎(chǔ)架構(gòu)等）、用戶群（如Internet用戶群、移動用戶群等）、設(shè)備類型（如交換機(jī)、路由器等）、鏈路類型（如光纖、雙絞線、無線頻段等）和信道類型（如SSL 加密、IPSec 加密等）等。

2）流量模擬。不管是真實網(wǎng)絡(luò)還是網(wǎng)絡(luò)靶場，流量是分析和判斷網(wǎng)絡(luò)行為的重要依據(jù)。網(wǎng)絡(luò)靶場實訓(xùn)平臺中模擬的流量主要包括：以協(xié)議為標(biāo)識的正?；ヂ?lián)網(wǎng)業(yè)務(wù)流量，針對DDoS、病毒、惡意代碼、釣魚網(wǎng)站、漏洞掃描、垃圾郵件等惡意行為的仿真流量，以及為了配合實驗需要產(chǎn)生的無效或異常數(shù)據(jù)流量等。

3）對象模擬。由于互聯(lián)網(wǎng)中不同類型的網(wǎng)絡(luò)服務(wù)對象所引起的用戶關(guān)注度不同，存在的安全風(fēng)險也不盡相同，對于一些重要的系統(tǒng)和信息基礎(chǔ)設(shè)施的安全性評估和管理策略的設(shè)置需要通過靶場進(jìn)行重點研究。例如，政府部門、重要企業(yè)和重點高校的網(wǎng)站為社會提供了可信度較高的大量重要信息，這些對社會公眾提供服務(wù)信息的系統(tǒng)和網(wǎng)站已成為網(wǎng)絡(luò)攻擊者首選的對象，也成為網(wǎng)絡(luò)攻防中需要重點保護(hù)的對象。

4）知識庫管理。互聯(lián)網(wǎng)中的漏洞掃描系統(tǒng)、IDS/IPS、病毒軟件等安全系統(tǒng)，都必須實時更新相應(yīng)的知識庫，操作系統(tǒng)、通信協(xié)議、應(yīng)用軟件等也需要及時安裝補丁程序，這已經(jīng)成為加強(qiáng)互聯(lián)網(wǎng)安全管理的基本常識。網(wǎng)絡(luò)靶場實訓(xùn)平臺應(yīng)支持應(yīng)用和威脅知識庫的更新和按需配置功能。

3 網(wǎng)絡(luò)靶場實訓(xùn)平臺應(yīng)用實踐

網(wǎng)絡(luò)靶場實訓(xùn)平臺是一個高度逼真的網(wǎng)絡(luò)學(xué)習(xí)平臺，提供了網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)攻防、數(shù)據(jù)分析、監(jiān)測與評估、實驗管控等多種教學(xué)和管理功能。

3.1 網(wǎng)絡(luò)靶場實訓(xùn)平臺支持的知識體系

在網(wǎng)絡(luò)靶場實訓(xùn)平臺上，可以根據(jù)學(xué)習(xí)需要，利用系統(tǒng)提供的自動生成功能按需生成各種網(wǎng)絡(luò)應(yīng)用環(huán)境，也可以通過開放的系統(tǒng)接口開發(fā)新的網(wǎng)絡(luò)安全攻防場景，在平臺上讓參訓(xùn)者對網(wǎng)絡(luò)安全知識進(jìn)行反復(fù)練習(xí)。在實驗過程中，參訓(xùn)者可根據(jù)學(xué)習(xí)需要增刪或修改相關(guān)的參數(shù)，按時序?qū)^程進(jìn)行回放，回顧實驗過程，從中發(fā)現(xiàn)存在的不足和需要改進(jìn)之處。網(wǎng)絡(luò)靶場實訓(xùn)平臺能夠提供的學(xué)習(xí)內(nèi)容，可根據(jù)具體需要進(jìn)行動態(tài)調(diào)整和配置，表1 僅列出了實訓(xùn)平臺中涉及網(wǎng)絡(luò)安全基礎(chǔ)知識的內(nèi)容［12-14］。

表1 網(wǎng)絡(luò)靶場實訓(xùn)平臺對網(wǎng)絡(luò)安全知識的支持

3.2 網(wǎng)絡(luò)靶場實訓(xùn)平臺的應(yīng)用

網(wǎng)絡(luò)靶場實訓(xùn)平臺以其結(jié)構(gòu)上的低耦合、可擴(kuò)展，內(nèi)容和功能上的可定制，應(yīng)用場景的可重構(gòu)等特點，在網(wǎng)絡(luò)安全人才培養(yǎng)中具有獨特的優(yōu)勢和不可替代的作用，具體表現(xiàn)為以下幾個方面：

1）為網(wǎng)絡(luò)攻防實驗教學(xué)提供平臺支撐。網(wǎng)絡(luò)靶場實訓(xùn)平臺能夠根據(jù)教學(xué)過程的具體需要，以鼠標(biāo)拖拽方式來構(gòu)建場景，自由設(shè)定網(wǎng)絡(luò)拓?fù)?，選擇所需要的網(wǎng)絡(luò)協(xié)議和服務(wù)，動態(tài)配置網(wǎng)絡(luò)流量，評估實驗內(nèi)容的難易程度和實驗網(wǎng)絡(luò)的復(fù)雜性，進(jìn)行攻防態(tài)勢感知分析。

2）動態(tài)生成實驗環(huán)境并配置實驗參數(shù)?？紤]到不同教學(xué)設(shè)計要求，網(wǎng)絡(luò)靶場實訓(xùn)平臺能夠動態(tài)創(chuàng)建虛擬網(wǎng)絡(luò)，以滿足當(dāng)前實驗所需要的路由器、交換機(jī)、服務(wù)器、主機(jī)等虛擬化節(jié)點，對節(jié)點的IP 地址、MAC 地址、網(wǎng)關(guān)地址、路由協(xié)議、安全策略等參數(shù)進(jìn)行自動配置。同時，平臺能夠為特定的實驗環(huán)境人為設(shè)置系統(tǒng)漏洞，以測試參訓(xùn)者的漏洞發(fā)現(xiàn)和利用能力。為提高實驗效率和管理水平，實驗結(jié)束時對所涉及的虛擬機(jī)能夠靈活地進(jìn)行遷移、掛起或刪除等操作，實時釋放已分配的資源。

3）提供在線學(xué)習(xí)與演練功能［15］。根據(jù)教學(xué)要求，以可視化方式提供對攻防基礎(chǔ)知識、攻防過程的實現(xiàn)細(xì)節(jié)、網(wǎng)絡(luò)安全風(fēng)險評估，以及貼近實戰(zhàn)的攻防對抗演練及結(jié)果評定等功能。同時，當(dāng)參訓(xùn)者根據(jù)要求使用或開發(fā)出一款網(wǎng)絡(luò)攻擊或防御工具后，能夠借助平臺進(jìn)行應(yīng)用功能和效果的測試與驗證，并為繼續(xù)修改完善提供幫助。

4）網(wǎng)絡(luò)安全基礎(chǔ)知識驗證［16］。本科教學(xué)涉及大量基礎(chǔ)知識的重現(xiàn)與復(fù)制，驗證性實驗有利于通過動手操作再現(xiàn)技術(shù)細(xì)節(jié)和過程，使學(xué)生牢固掌握所學(xué)知識，并在學(xué)習(xí)過程中得到有益啟發(fā)。基礎(chǔ)知識驗證實驗所需要的環(huán)境一般較為穩(wěn)定，實驗管理人員可以較為方便地部署不同的實驗場景，學(xué)生可以在實驗過程中進(jìn)行反復(fù)演練。

另外，在“以賽促教、以賽促學(xué)、以賽促用”的大背景下，網(wǎng)絡(luò)靶場實訓(xùn)平臺還支撐各種類型的競賽功能，該功能的實現(xiàn)形式與目前流行的CTF（Capture The Flag，奪旗賽）［17］相一致，可以根據(jù)需要，選擇線上比賽（多用于正式比賽前的選拔賽）、網(wǎng)絡(luò)攻防對抗比賽或網(wǎng)絡(luò)安全競賽等方式，實現(xiàn)了參訓(xùn)者在網(wǎng)絡(luò)靶場實訓(xùn)平臺中進(jìn)行類似于黑客在互聯(lián)網(wǎng)真實環(huán)境中的攻擊行為，比賽團(tuán)隊之間通過攻防對抗、程序分析、解題等方式展示各自的技術(shù)水平［18-19］。同時，比賽平臺通過引入圖形化界面，可以實時查看攻防情況，使得比賽更加公平且具有觀賞性。

4 結(jié)論

網(wǎng)絡(luò)靶場實訓(xùn)平臺主要作為高校網(wǎng)絡(luò)攻防實訓(xùn)、演練、模擬對抗的實訓(xùn)平臺，旨在培養(yǎng)學(xué)生的網(wǎng)絡(luò)安全理論知識，提升網(wǎng)絡(luò)安全技能和素養(yǎng)。網(wǎng)絡(luò)靶場實訓(xùn)平臺以模擬真實網(wǎng)絡(luò)案例為基礎(chǔ)，提供完整的、一體化的網(wǎng)絡(luò)攻防實驗環(huán)境，將原來單一、松散、缺乏關(guān)聯(lián)性的內(nèi)容集中到靶場這一特定平臺上，在學(xué)習(xí)中體現(xiàn)了真實性、實用性、綜合性、開放性及實踐性等特點，利于激發(fā)學(xué)生的學(xué)習(xí)興趣和自主學(xué)習(xí)能力。平臺除提供了網(wǎng)絡(luò)安全知識的學(xué)習(xí)功能外，還可以進(jìn)行融趣味性、知識性和挑戰(zhàn)性于一體的綜合性實戰(zhàn)演練，豐富了教學(xué)內(nèi)容和方式。網(wǎng)絡(luò)靶場在本單位的教學(xué)、第二課堂專門人才訓(xùn)練、大學(xué)生創(chuàng)新創(chuàng)業(yè)等人才培養(yǎng)過程中發(fā)揮著不可替代的作用。