網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)研究

郭艷來(lái)，崔益民，匡春光，王梓斌，張 明

（北京系統(tǒng)工程研究所 信息系統(tǒng)安全技術(shù) （國(guó)家級(jí)）重點(diǎn)實(shí)驗(yàn)室，北京100101）

0 引 言

以前人們開(kāi)展網(wǎng)絡(luò)安全技術(shù)研究，大多是在自己搭建的環(huán)境里進(jìn)行測(cè)試驗(yàn)證，其關(guān)注點(diǎn)在安全技術(shù)本身，例如防火墻在不同層次實(shí)施網(wǎng)絡(luò)流量過(guò)濾，入侵檢測(cè)系統(tǒng)采用不同機(jī)制提高網(wǎng)絡(luò)攻擊事件發(fā)現(xiàn)的概率并減小誤報(bào)率。起初簡(jiǎn)單的試驗(yàn)環(huán)境能夠滿足研究的需要，之后網(wǎng)絡(luò)攻擊技術(shù)越來(lái)越復(fù)雜，影響范圍更廣，對(duì)一些網(wǎng)絡(luò)攻擊比如Botnet、蠕蟲(chóng)等研究就需要更復(fù)雜的環(huán)境，要求提供能夠擴(kuò)展、重構(gòu)和共享的平臺(tái)。這方面的需求也與互聯(lián)網(wǎng)技術(shù)演進(jìn)的需要相吻合，例如為了研究下一代互聯(lián)網(wǎng)技術(shù)，需要在實(shí)驗(yàn)室環(huán)境下進(jìn)行各種測(cè)試和驗(yàn)證，于是很多網(wǎng)絡(luò)試驗(yàn)平臺(tái)紛紛建立起來(lái)。網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)是為了滿足網(wǎng)絡(luò)安全研究的需要而建立的，為了觀察特定的攻擊，尋找檢測(cè)的方法，采取恰當(dāng)?shù)姆烙呗缘取?/p>

網(wǎng)絡(luò)安全試驗(yàn)技術(shù)作為一個(gè)技術(shù)領(lǐng)域在不斷豐富，滿足了一定的試驗(yàn)需求。但是它還必須不斷演進(jìn)，跟上網(wǎng)絡(luò)安全技術(shù)發(fā)展的形勢(shì)，實(shí)現(xiàn)更先進(jìn)的特性。本文對(duì)網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)技術(shù)進(jìn)行了分析，明確了網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)的層次結(jié)構(gòu)，概括了網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)的研究方向和技術(shù)點(diǎn)。

1 網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)特性

網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)是為網(wǎng)絡(luò)安全的研究、測(cè)試、驗(yàn)證、評(píng)估而提供的計(jì)算機(jī)硬件和軟件的操作環(huán)境。著名的試驗(yàn)平臺(tái)有：Emulab，由美國(guó)猶他大學(xué)研究人員設(shè)計(jì)與研制，目的是為網(wǎng)絡(luò)相關(guān)技術(shù)的研究、測(cè)試和評(píng)估等過(guò)程提供一個(gè)大規(guī)模的仿真試驗(yàn)環(huán)境以及相關(guān)的資源和配套工具；DETER［1，2］，在Emulab的基礎(chǔ)上建立，用于支持信息安全攻防技術(shù)的研究、開(kāi)發(fā)和測(cè)試；NCR （國(guó)家網(wǎng)絡(luò)靶場(chǎng)），一方面為美國(guó)國(guó)防部進(jìn)行網(wǎng)絡(luò)作戰(zhàn)提供虛擬環(huán)境，另一方面針對(duì)網(wǎng)絡(luò)攻擊進(jìn)行網(wǎng)絡(luò)安全測(cè)試，維護(hù)美國(guó)網(wǎng)絡(luò)安全和提高網(wǎng)絡(luò)戰(zhàn)能力；FEDERICA （federated e－infrastructure dedicated to European researchers innovating in computing network architecture）［3］，主要目標(biāo)是將分布在歐洲范圍內(nèi)的計(jì)算機(jī)和網(wǎng)絡(luò)試驗(yàn)資源聯(lián)合起來(lái)，構(gòu)建一個(gè)端到端隔離的試驗(yàn)環(huán)境，用于驗(yàn)證網(wǎng)絡(luò)安全、分布式協(xié)議等。

人們經(jīng)常提到網(wǎng)絡(luò)試驗(yàn)平臺(tái)，這類(lèi)平臺(tái)數(shù)量多，規(guī)模大，既有全球性的也有本地性的，既有通用性的也有專(zhuān)用性的。網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)可看作網(wǎng)絡(luò)試驗(yàn)平臺(tái)的特定類(lèi)型，在基礎(chǔ)設(shè)施組成上，與后者區(qū)別不大，由于專(zhuān)用于安全試驗(yàn)，與一般網(wǎng)絡(luò)試驗(yàn)平臺(tái)構(gòu)建的原則不盡相同。在統(tǒng)一性、可分片性、隔離性、可編程性、可擴(kuò)展性等方面是一致的，除此之外，網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)要強(qiáng)化如下特性或獨(dú)有：

有限的開(kāi)放性：網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)常研究網(wǎng)絡(luò)攻擊，如病毒或蠕蟲(chóng)的擴(kuò)散等，必須與外部網(wǎng)絡(luò)實(shí)現(xiàn)隔離。但是可以采取有限的開(kāi)放策略，例如通過(guò)精準(zhǔn)的控制，可以讓試驗(yàn)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)聯(lián)通，使得外部網(wǎng)絡(luò)活動(dòng)可以影響到平臺(tái)內(nèi)部，但是內(nèi)部活動(dòng)不能影響到外部的網(wǎng)絡(luò)。而一般的網(wǎng)絡(luò)試驗(yàn)平臺(tái)提倡開(kāi)放性，僅在不同的試驗(yàn)項(xiàng)目之間實(shí)現(xiàn)隔離。

類(lèi)型的多樣性：現(xiàn)在所謂的網(wǎng)絡(luò)安全是大網(wǎng)絡(luò)安全（cyber security），不僅包括計(jì)算機(jī)互聯(lián)網(wǎng)，還包括國(guó)家關(guān)鍵基礎(chǔ)設(shè)施，如工控網(wǎng)、通信網(wǎng)等。需要更多類(lèi)型環(huán)境通過(guò)邦聯(lián)，實(shí)現(xiàn)網(wǎng)絡(luò)組成類(lèi)型的多樣性，同時(shí)可靈活擴(kuò)展網(wǎng)絡(luò)的規(guī)模，以進(jìn)行更大規(guī)模、更加復(fù)雜的試驗(yàn)。一般網(wǎng)絡(luò)試驗(yàn)平臺(tái)也要求可擴(kuò)展，但網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)對(duì)不同類(lèi)型的網(wǎng)絡(luò)環(huán)境有更強(qiáng)烈的擴(kuò)展要求，需要建立更靈活的擴(kuò)展機(jī)制。

不同逼真度要求：網(wǎng)絡(luò)安全試驗(yàn)的主要任務(wù)之一是模擬或仿真現(xiàn)實(shí)的網(wǎng)絡(luò)，支持研究不同層次、不同規(guī)模的安全問(wèn)題，因此必須滿足一定的逼真度要求。真實(shí)網(wǎng)絡(luò)不可能完全搬進(jìn)實(shí)驗(yàn)室，對(duì)于網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)來(lái)講，只能達(dá)到不同逼真度指標(biāo)，來(lái)滿足不同規(guī)模強(qiáng)度的研究需要。所以，網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)要能夠通過(guò)虛實(shí)結(jié)合的技術(shù)手段實(shí)現(xiàn)不同逼真度的物理環(huán)境、仿真平臺(tái)、模擬系統(tǒng)的組合。一般的網(wǎng)絡(luò)試驗(yàn)平臺(tái)很少進(jìn)行這樣的集成。

復(fù)雜且龐大的試驗(yàn)數(shù)據(jù)：網(wǎng)絡(luò)安全試驗(yàn)包括對(duì)流量數(shù)據(jù)和節(jié)點(diǎn)運(yùn)行性能數(shù)據(jù)的監(jiān)測(cè)，因此截獲的數(shù)據(jù)尤其龐大。關(guān)鍵還在于數(shù)據(jù)復(fù)雜，包括了不同層次不同捕獲手段獲取的數(shù)據(jù)。例如，為了研究攻擊的流量特征，需要轉(zhuǎn)儲(chǔ)鏈路上的數(shù)據(jù)流，找到能夠代表攻擊流量的特征標(biāo)識(shí)；為了研究攻擊減緩策略需要在不同的點(diǎn)進(jìn)行觀測(cè)，度量性能變化。一般網(wǎng)絡(luò)試驗(yàn)平臺(tái)更多的是驗(yàn)證協(xié)議，或試驗(yàn)性地應(yīng)用新的網(wǎng)絡(luò)技術(shù)，會(huì)進(jìn)行不同程度數(shù)據(jù)采集，但網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)會(huì)在短期內(nèi)轉(zhuǎn)儲(chǔ)大量數(shù)據(jù)，進(jìn)行復(fù)雜的分析，發(fā)現(xiàn)期望或預(yù)期之外的行為特征等。

2 安全試驗(yàn)平臺(tái)架構(gòu)

2.1 結(jié) 構(gòu)

網(wǎng)絡(luò)安全試驗(yàn)周期通常由項(xiàng)目設(shè)計(jì)、場(chǎng)景構(gòu)建、試驗(yàn)執(zhí)行、數(shù)據(jù)分析4個(gè)主要階段構(gòu)成一個(gè)迭代周期。試驗(yàn)平臺(tái)要能夠?yàn)樵囼?yàn)提供必要的工具和服務(wù)支持。用戶需要的基本功能包括：場(chǎng)景構(gòu)建、狀態(tài)監(jiān)視、結(jié)果表示等。為了構(gòu)建試驗(yàn)，平臺(tái)還需要提供給試驗(yàn)者必要的工具，如拓?fù)渖伞⒈尘傲髁可伞⒃囼?yàn)基準(zhǔn)、性能度量標(biāo)準(zhǔn)等。平臺(tái)還需要具備自身控制管理功能等。因此，網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)按照三層模型劃分為應(yīng)用層、服務(wù)層和設(shè)施層。分層結(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)分層結(jié)構(gòu)

應(yīng)用層是平臺(tái)和用戶的接口，實(shí)現(xiàn)對(duì)試驗(yàn)的抽象描述和結(jié)果表示等，在這一層用戶構(gòu)建試驗(yàn)，并對(duì)試驗(yàn)進(jìn)行管理，最后得到試驗(yàn)結(jié)果；服務(wù)層是試驗(yàn)基礎(chǔ)服務(wù)的提供者，通過(guò)調(diào)度組合實(shí)現(xiàn)底層資源的分配，并將抽象的試驗(yàn)對(duì)象映射到相應(yīng)的資源分片上，同時(shí)通過(guò)一定的機(jī)制實(shí)現(xiàn)試驗(yàn)的隔離、控制、監(jiān)測(cè)和管理等功能。設(shè)施層是試驗(yàn)的承載者，它通過(guò)虛擬化等技術(shù)，屏蔽底層物理資源的異構(gòu)性，為試驗(yàn)服務(wù)提供抽象的資源池和訪問(wèn)資源的統(tǒng)一接口。

2.2 試驗(yàn)平臺(tái)的關(guān)鍵技術(shù)

網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)是一個(gè)復(fù)雜的系統(tǒng)，每一層實(shí)現(xiàn)都涉及許多技術(shù)。網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)關(guān)鍵技術(shù)包括：試驗(yàn)場(chǎng)景構(gòu)建技術(shù)、平臺(tái)控制框架技術(shù)、網(wǎng)絡(luò)資源分片技術(shù)等。

在應(yīng)用層，平臺(tái)需要為用戶所開(kāi)展的試驗(yàn)提供場(chǎng)景構(gòu)建的功能和試驗(yàn)結(jié)果分析處理的功能。網(wǎng)絡(luò)安全試驗(yàn)一般都是對(duì)抗行為，包括復(fù)雜的行為描述和網(wǎng)絡(luò)設(shè)備屬性的描述。試驗(yàn)場(chǎng)景構(gòu)建是對(duì)試驗(yàn)設(shè)計(jì)的直接支持，是利用平臺(tái)的第一步，因此試驗(yàn)場(chǎng)景的構(gòu)建非常重要。

在控制層，網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)要為用戶提供隔離的、可編程的、可擴(kuò)展的試驗(yàn)環(huán)境，控制是整個(gè)平臺(tái)的核心，因此必須實(shí)現(xiàn)一個(gè)統(tǒng)一的控制框架，定義一組管理實(shí)體和實(shí)體間通信的接口，負(fù)責(zé)分配試驗(yàn)平臺(tái)的資源，并且提供必要的監(jiān)控服務(wù)。

在資源層，為實(shí)現(xiàn)網(wǎng)絡(luò)資源共享，在特定時(shí)間保證用戶獨(dú)占所分配的網(wǎng)絡(luò)資源，需要實(shí)現(xiàn)網(wǎng)絡(luò)資源分片，網(wǎng)絡(luò)分片是試驗(yàn)平臺(tái)的基礎(chǔ)。為了解決網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)的規(guī)模，還需要實(shí)現(xiàn)多異構(gòu)平臺(tái)的邦聯(lián)和對(duì)外有限度的開(kāi)放。

由于網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)是網(wǎng)絡(luò)試驗(yàn)平臺(tái)的一個(gè)子類(lèi)，毫無(wú)疑問(wèn)要與一般網(wǎng)絡(luò)試驗(yàn)平臺(tái)共用一些技術(shù)，如試驗(yàn)平臺(tái)管理控制、網(wǎng)絡(luò)資源分片等，這些技術(shù)非常重要，但不是安全試驗(yàn)平臺(tái)獨(dú)有的技術(shù)，本文將詳細(xì)討論與網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)更密切的技術(shù)：

（1）試驗(yàn)場(chǎng)景描述方法：場(chǎng)景是指用戶利用試驗(yàn)平臺(tái)為實(shí)現(xiàn)某個(gè)試驗(yàn)?zāi)繕?biāo)而設(shè)計(jì)的網(wǎng)絡(luò)對(duì)抗活動(dòng)過(guò)程的抽象描述，包括對(duì)抗的參與者、對(duì)抗行為過(guò)程、網(wǎng)絡(luò)環(huán)境、度量參數(shù)或轉(zhuǎn)儲(chǔ)數(shù)據(jù)等。

（2）試驗(yàn)場(chǎng)景生成技術(shù)：場(chǎng)景生成是指將描述的場(chǎng)景映射到平臺(tái)所提供資源上的過(guò)程，從而完成試驗(yàn)活動(dòng)的部署、設(shè)備的配置等，其實(shí)質(zhì)是抽象描述的具體化。

（3）試驗(yàn)輔助工具：安全試驗(yàn)需要一些輔助的工具支持，在進(jìn)行安全機(jī)制研究時(shí)需要一組標(biāo)準(zhǔn)的攻擊工具和度量手段，支持安全性能評(píng)價(jià)。

下面對(duì)以上內(nèi)容研究進(jìn)展情況詳細(xì)介紹。

3 試驗(yàn)場(chǎng)景描述方法

試驗(yàn)場(chǎng)景描述的主要內(nèi)容是網(wǎng)絡(luò)環(huán)境，即網(wǎng)絡(luò)事件所發(fā)生的網(wǎng)絡(luò)的抽象描述，所有其它描述都圍繞網(wǎng)絡(luò)環(huán)境來(lái)展開(kāi)。為此，人們已經(jīng)開(kāi)展了網(wǎng)絡(luò)拓?fù)洹⒕W(wǎng)絡(luò)流量模型的研究。

經(jīng)過(guò)幾十年的研究，研究者們提出了各種不同的互連網(wǎng)模型和Internet拓?fù)渖善鳌Ｆ渲凶罹叽淼木W(wǎng)絡(luò)模型包括有Transit－Stub模型、BA 模型、ESF模型和PFP模型等，體現(xiàn)了互聯(lián)網(wǎng)的分層特性和冪率特性。對(duì)拓?fù)渖善鞯难芯浚容^典型的包括GT－ITM、Inet、BRITE 和Nem等［4］，這些拓?fù)渖善髦饕P(guān)注網(wǎng)絡(luò)拓?fù)渲械慕Y(jié)構(gòu)特性，對(duì)于帶寬分配機(jī)制、IP地址自動(dòng)生成策略涉及較少；同時(shí)，這些拓?fù)渖善髦邪哪Ｐ椭饕亲灾斡?（AS）級(jí)和路由器級(jí)，并未加入端系統(tǒng)，而如果要構(gòu)建具體的網(wǎng)絡(luò)試驗(yàn)環(huán)境，帶寬和端系統(tǒng)等信息都是必不可少的［5］。

在流量建模方面，主要提出了fluid 模型和packet模型［6］。fluid流量表示與packet表示相比，前者抽象層次高，開(kāi)銷(xiāo)小，但模擬精度低，會(huì)丟失一些細(xì)節(jié)，但更常用，有些研究者也將二者結(jié)合，彌補(bǔ)各自的不足。填充的流量又包括攻擊流量和背景流量。用戶的正常應(yīng)用是合法流量，這部分流量使得試驗(yàn)更加逼真；惡意代碼，如worms或DoS攻擊等屬于攻擊流量，攻擊流量可以是使用攻擊工具產(chǎn)生的流量，也可以是從Internet上追蹤檢測(cè) （Auckland－VIII流量追蹤集、MAWI traces、CAIDA’s OC48流量追蹤等）而收集到的，這部分流量也是必須的。以上研究為網(wǎng)絡(luò)安全試驗(yàn)場(chǎng)景描述奠定了基礎(chǔ)。

網(wǎng)絡(luò)拓?fù)涞募s減和歸并是與拓?fù)渖上嚓P(guān)的研究，該項(xiàng)技術(shù)對(duì)安全試驗(yàn)比較重要。網(wǎng)絡(luò)拓?fù)錃w并是將已有的拓?fù)洌B接到一起形成新的拓?fù)洌沟靡延型負(fù)淠軌驈?fù)用。例如小規(guī)模校園網(wǎng)、企業(yè)網(wǎng)等可以組合成具有一定代表性的網(wǎng)絡(luò)拓?fù)洹Ｍ負(fù)錃w并可根據(jù)頂點(diǎn) （節(jié)點(diǎn)）或邊 （鏈路）進(jìn)行合并。頂點(diǎn)歸并可根據(jù)字符串匹配的方法將有重疊命名的頂點(diǎn)合并，再調(diào)節(jié)邊來(lái)組合成混合拓?fù)淠Ｐ停煌瑫r(shí)也可以根據(jù)拓?fù)淠Ｐ凸逃械奶匦赃M(jìn)行語(yǔ)義歸并，例如核心AS在合并后必然不能作為葉子節(jié)點(diǎn)。邊的歸并方法是根據(jù)兩個(gè)網(wǎng)絡(luò)模型之間的聯(lián)系，如共享的通信信道、協(xié)同定位或其它共享資源等。

在大規(guī)模網(wǎng)絡(luò)試驗(yàn)中，硬件資源的要求以及試驗(yàn)時(shí)間的消耗成為了主要矛盾，引起了越來(lái)越多研究者的注意。解決方法是將原網(wǎng)絡(luò)拓?fù)湓谀撤N程度上縮小，在進(jìn)行模擬或仿真試驗(yàn)時(shí)用縮小后的網(wǎng)絡(luò)拓?fù)洹＞W(wǎng)絡(luò)約簡(jiǎn)是在保留原始拓?fù)淠承┨匦缘耐瑫r(shí)，減小網(wǎng)絡(luò)規(guī)模，在仿真規(guī)模受到限制時(shí)，仍然能夠開(kāi)展試驗(yàn)，或者提高仿真的速度［7］。

歸并與約簡(jiǎn)必須保留原網(wǎng)絡(luò)特征，同時(shí)減少資源需求，提高網(wǎng)絡(luò)模擬仿真的效率。網(wǎng)絡(luò)約簡(jiǎn)的一般方法是對(duì)原網(wǎng)絡(luò)仿真模型附加一系列的約束條件，如樣本流的輸入、單個(gè)鏈路的傳播延遲、鏈路容量、隊(duì)列緩沖區(qū)大小、自動(dòng)隊(duì)列管理 （AQM）參數(shù)，移除不會(huì)發(fā)生擁塞的鏈路等。目前形成的主要方法有3 種：SHRiNK、Transim 和DSCALE［8－10］。

第一種方法集中了流抽樣、增大鏈路傳輸延遲、減小鏈路容量、緩沖大小和自動(dòng)隊(duì)列管理參數(shù)等縮減規(guī)模的約束條件，來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行約簡(jiǎn)，此方法以增加試驗(yàn)時(shí)間為代價(jià)來(lái)減少試驗(yàn)對(duì)硬件的需求。第二種方法只進(jìn)行流抽樣、增大鏈路傳輸延遲、減小鏈路容量3種策略，這種方法縮短了模擬時(shí)間，但降低了參數(shù)評(píng)估的準(zhǔn)確性。第三種方法則是進(jìn)行流量抽樣、移除所有的非擁塞鏈路以及適當(dāng)增加所有包的延遲，這種方法的主要問(wèn)題在于不是很容易就找出不擁塞的鏈路，這就使得該方法的效果大大降低。

網(wǎng)絡(luò)拓?fù)浼s簡(jiǎn)對(duì)網(wǎng)絡(luò)流量、拓?fù)湟?guī)模和要測(cè)定的性能參數(shù)很敏感，很難確定出最佳的組合以確定最佳的約簡(jiǎn)方案，同時(shí)一些方法的有效性嚴(yán)重依賴(lài)于流量的輸入分布，但有時(shí)實(shí)際網(wǎng)絡(luò)中的流量并不滿足假設(shè)的前提，因此，需要研究更加實(shí)際有效的方法來(lái)降低對(duì)于輸入流量的依賴(lài)。同時(shí)，方法如DSCALE，在網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí)需要重新評(píng)估系統(tǒng)，不能隨之動(dòng)態(tài)調(diào)整。總之，大規(guī)模網(wǎng)絡(luò)對(duì)約簡(jiǎn)策略的可擴(kuò)展性和健壯性提出了嚴(yán)重挑戰(zhàn)［11］。

4 試驗(yàn)場(chǎng)景生成技術(shù)

試驗(yàn)場(chǎng)景生成技術(shù)主要解決從場(chǎng)景抽象描述到網(wǎng)絡(luò)虛擬資源、網(wǎng)絡(luò)模擬仿真平臺(tái)的轉(zhuǎn)換。對(duì)于網(wǎng)絡(luò)虛擬資源映射，需要根據(jù)可調(diào)度的資源進(jìn)行匹配。主要方法是根據(jù)底層平臺(tái)的資源現(xiàn)狀，將欲仿真的網(wǎng)絡(luò)進(jìn)行切片，然后把不同的分片放到不同的聯(lián)邦平臺(tái)。分片到了平臺(tái)，控制機(jī)制需要將分片中的節(jié)點(diǎn)和鏈路映射為實(shí)際的或虛擬的主機(jī)或鏈路。這方面研究重點(diǎn)是在充分合理地利用已有的資源條件下實(shí)現(xiàn)映射算法。至于到網(wǎng)絡(luò)模擬仿真平臺(tái)的映射，主要完成網(wǎng)絡(luò)拓?fù)渖筛袷捷敵龅椒抡嫫脚_(tái)本地格式輸入的轉(zhuǎn)換。

當(dāng)使用多種試驗(yàn)平臺(tái)進(jìn)行試驗(yàn)時(shí)，由于每個(gè)平臺(tái)的描述語(yǔ)言和接口都不同，不能保證網(wǎng)絡(luò)拓?fù)浜蛻?yīng)用描述所反映的最終試驗(yàn)條件和細(xì)節(jié)的一致性，因此引發(fā)了統(tǒng)一描述語(yǔ)言的問(wèn)題［12］。Splay 和Plush 只關(guān)注了應(yīng)用層的部署。Splay要求用戶使用LUA 編程語(yǔ)言重寫(xiě)他們的應(yīng)用來(lái)控制部署，而Plush使用XML 文件來(lái)描述應(yīng)部署的應(yīng)用。PlanetLab和ModelNet只是處理了網(wǎng)絡(luò)層的描述而將部署留給用戶，PlanetLab使用CML－RPC或web接口使用戶自己指定可以遠(yuǎn)程登錄的刀片作為節(jié)點(diǎn)；ModelNet將用戶提供的本地XML 網(wǎng)絡(luò)描述轉(zhuǎn)換成仿真的拓?fù)浒姹荆缓蟛捎肧play或Plush的方法繼續(xù)處理。ORBIT 及其管理軟件OMF提供了網(wǎng)絡(luò)拓?fù)涔ぞ咄瑫r(shí)使用ruby腳本語(yǔ)言來(lái)管理應(yīng)用的部署，但這種方法只能在單一試驗(yàn)環(huán)境里進(jìn)行。Emulab在一定程度上兼顧了網(wǎng)絡(luò)層和應(yīng)用層，但是它要求將其它平臺(tái)整合到它自己內(nèi)部，這樣每個(gè)平臺(tái)就不能單獨(dú)使用。

NEPI（network experiment programming interface）是統(tǒng)一描述比較合理的解決方案［11］。它試圖描述所有試驗(yàn)細(xì)節(jié)，目標(biāo)是使研究者能夠靈活地使用各種網(wǎng)絡(luò)試驗(yàn)平臺(tái)，并且能夠相互轉(zhuǎn)化。它通過(guò)編寫(xiě)Python腳本來(lái)控制分層網(wǎng)絡(luò)的描述，應(yīng)用層的設(shè)置、部署、監(jiān)測(cè)和追蹤等，同時(shí)提供了圖形用戶界面。

如圖2所示，NEPI通過(guò)控制模塊實(shí)體來(lái)訪問(wèn)所有的API，控制模塊實(shí)體通過(guò)RPC 來(lái)訪問(wèn)、管理遠(yuǎn)程試驗(yàn)；試驗(yàn)?zāi)K管理一個(gè)試驗(yàn)的全部描述，它使用XML來(lái)存儲(chǔ)或下載試驗(yàn)描述和結(jié)果；后端和服務(wù)器模塊滿足試驗(yàn)的具體需求，服務(wù)器代表試驗(yàn)資源，如一個(gè)ns3進(jìn)程或Emulab boss服務(wù)器，后端實(shí)現(xiàn)具體試驗(yàn)環(huán)境的NEPI對(duì)象模塊，即是試驗(yàn)細(xì)節(jié)的描述。用戶工具箱用來(lái)協(xié)調(diào)后端間的錯(cuò)誤匹配。

NEPI未來(lái)的工作是在PlanetLab、Emulab、ORBIT 以及ModelNet等試驗(yàn)平臺(tái)上開(kāi)發(fā)后端，實(shí)現(xiàn)復(fù)雜試驗(yàn)的自動(dòng)化或半自動(dòng)化部署。

5 試驗(yàn)輔助工具

5.1 網(wǎng)絡(luò)試驗(yàn)基準(zhǔn)

所謂基準(zhǔn)，就是測(cè)量中用作參考的標(biāo)準(zhǔn)。對(duì)于網(wǎng)絡(luò)安全試驗(yàn)來(lái)講，則是經(jīng)過(guò)多次試驗(yàn)使用，可以作為標(biāo)準(zhǔn)對(duì)比的攻擊工具或防御策略集合。它們具有代表性，可以在試驗(yàn)時(shí)作為攻擊試驗(yàn)度量的標(biāo)準(zhǔn)。開(kāi)展這方面研究對(duì)于一個(gè)成熟的試驗(yàn)平臺(tái)來(lái)講非常重要，為很多對(duì)抗試驗(yàn)提供了必要的參照。

圖2 NEPI體系結(jié)構(gòu)

在攻擊方面，需要研究網(wǎng)絡(luò)攻擊手段、攻擊模式，例如Botnet攻擊的規(guī)劃調(diào)度方式，蠕蟲(chóng)的傳播模式以及混雜的攻擊流生成等。這些都需要廣泛收集信息，形成經(jīng)驗(yàn)數(shù)據(jù)，按照網(wǎng)絡(luò)安全試驗(yàn)的需求建立數(shù)據(jù)庫(kù)［13，15，17］。如進(jìn)行DoS攻擊時(shí)，可采用的攻擊策略有：

（1）Packet floods：消耗鏈路帶寬、路由器或目標(biāo)的主機(jī)CPU 及內(nèi)存等資源，這種策略是DoS攻擊的主要手段，有TCP SYN flood、ICMP flood以及UDP flood等；

（2）錯(cuò)誤的協(xié)議頭部值：packet中各種協(xié)議值的錯(cuò)誤可導(dǎo)致路由器或目標(biāo)主機(jī)無(wú)法處理異常的包而導(dǎo)致崩潰；

（3）無(wú)效的應(yīng)用輸入：packet內(nèi)容無(wú)效會(huì)導(dǎo)致應(yīng)用的凍結(jié)或崩潰；

（4）無(wú)效的分段：主機(jī)無(wú)法處理重復(fù)的分段或過(guò)大的分段而崩潰；

（5）大包：導(dǎo)致目標(biāo)主機(jī)的緩沖區(qū)溢出；

（6）擁塞控制漏洞：在發(fā)送端造成擁塞的假象，根據(jù)擁塞控制機(jī)制就會(huì)導(dǎo)致發(fā)送方降低發(fā)送速率；

（7）假冒攻擊：攻擊者欺騙主機(jī)的識(shí)別接管其正常的通信流量，將其殺掉或不予理睬。

在防御方面，主要研究各種場(chǎng)景下主要安全機(jī)制的部署和防御策略，包括檢測(cè)、預(yù)防和對(duì)抗等：

（1）各種流量過(guò)濾策略：包括主要的過(guò)濾機(jī)制的配置方法，完成對(duì)不同攻擊方法的流量限制；

（2）分布式的緩解策略：對(duì)大規(guī)模攻擊，通過(guò)不同防護(hù)區(qū)域協(xié)作，從骨干網(wǎng)絡(luò)到局域網(wǎng)絡(luò)，采取不同的策略能夠?qū)粜Ч軌蚱鸬讲煌囊种谱饔茫壳坝泻芏嘌芯刻岢隽艘恍┠Ｐ汀?/p>

5.2 安全試驗(yàn)度量

研究網(wǎng)絡(luò)攻擊，必然會(huì)涉及到攻擊對(duì)網(wǎng)絡(luò)影響程度的度量問(wèn)題。平臺(tái)也需要提供度量標(biāo)準(zhǔn)，需要針對(duì)不同類(lèi)型的網(wǎng)絡(luò)，如IP網(wǎng)絡(luò)、關(guān)鍵業(yè)務(wù)網(wǎng)絡(luò)等進(jìn)行研究，提出各自相應(yīng)的度量參數(shù)。對(duì)于IP網(wǎng)絡(luò)來(lái)講，網(wǎng)絡(luò)狀況的好壞主要以用戶業(yè)務(wù)的服務(wù)質(zhì)量 （QoS）來(lái)衡量，而QoS可以通過(guò)對(duì)一些網(wǎng)絡(luò)性能指標(biāo)進(jìn)行度量。以DoS為例，主要的度量參數(shù)［19］有：請(qǐng)求/應(yīng)答延遲；丟包率；吞吐量；資源分配率；處理時(shí)限等；這些參數(shù)值需要依賴(lài)于具體的應(yīng)用來(lái)確定，單一的指標(biāo)不能全面地反映網(wǎng)絡(luò)狀況，故需要將這些指標(biāo)結(jié)合起來(lái)度量網(wǎng)絡(luò)性能是否受到影響［14，18］。

請(qǐng)求/應(yīng)答延遲是從請(qǐng)求發(fā)送開(kāi)始，到接收到目的端完整響應(yīng)的這段時(shí)間，適用于交互式應(yīng)用，對(duì)于只有單向數(shù)據(jù)流量的非交互式應(yīng)用，如對(duì)單向延遲、丟失和抖動(dòng)比較敏感的多媒體流量，也同樣適用，但是會(huì)有不同的閾值。

丟包率 （loss）定義為攻擊中合法數(shù)據(jù)包或字節(jié)丟失的數(shù)量，可以從重傳或未到目的端的包的數(shù)量上推斷或測(cè)量出來(lái)。丟包是洪水攻擊引發(fā)的擁塞的主要表現(xiàn)，但是對(duì)于不能持續(xù)引發(fā)擁塞的攻擊則不能很好地反映網(wǎng)絡(luò)傳輸狀況，如脈沖攻擊會(huì)周期性的引發(fā)擁塞，它會(huì)降低發(fā)送率、增長(zhǎng)交易時(shí)間，但同時(shí)丟失的包會(huì)很少；而且丟失不能反映出丟失包的類(lèi)型，如丟失SYN 包比丟失數(shù)據(jù)包影響更深遠(yuǎn)。

吞吐量是一定時(shí)間內(nèi)從源端到目的端傳輸?shù)淖止?jié)數(shù)，對(duì)于TCP流量有很好的度量效果，但對(duì)于抖動(dòng)或一些特定包丟失敏感的應(yīng)用，則不適合作為度量指標(biāo)，同時(shí)對(duì)于一些吞吐量本來(lái)就不高的短連接也不適用。

處理時(shí)限定義為源端和目的端間從第一個(gè)數(shù)據(jù)開(kāi)始傳輸?shù)阶詈笠粋€(gè)數(shù)據(jù)接收結(jié)束所用的時(shí)間。只適用于度量交互式應(yīng)用和擁塞敏感的應(yīng)用。

資源分配率是指合法流量與非法流量間關(guān)鍵資源的比例，不能直觀反映服務(wù)質(zhì)量，但在某些特殊情況下具有很明顯的效果。

6 未來(lái)發(fā)展方向

毫無(wú)疑問(wèn)，與網(wǎng)絡(luò)試驗(yàn)平臺(tái)相關(guān)的技術(shù)要繼續(xù)發(fā)展，需要關(guān)注多平臺(tái)邦聯(lián)控制框架、網(wǎng)絡(luò)資源分片技術(shù)等等，從而不斷提升試驗(yàn)平臺(tái)支撐安全技術(shù)研究的能力。對(duì)于網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)，當(dāng)前需要加強(qiáng)以下問(wèn)題研究：

（1）試驗(yàn)周期管理 （ELM）：把試驗(yàn)項(xiàng)目設(shè)計(jì)、場(chǎng)景構(gòu)建、試驗(yàn)執(zhí)行、數(shù)據(jù)分析4 個(gè)主要階段有機(jī)集成在一起。試驗(yàn)設(shè)計(jì)主要完成試驗(yàn)項(xiàng)目的說(shuō)明。場(chǎng)景構(gòu)建包括試驗(yàn)場(chǎng)景的抽象描述和場(chǎng)景生成，即把抽象的描述映射到資源分片和仿真平臺(tái)上，以上階段的銜接點(diǎn)是試驗(yàn)描述文件，包括對(duì)試驗(yàn)靜態(tài)和動(dòng)態(tài)組成的說(shuō)明。試驗(yàn)執(zhí)行就是腳本的執(zhí)行，在這個(gè)階段包括試驗(yàn)監(jiān)測(cè)、控制和數(shù)據(jù)記錄、轉(zhuǎn)儲(chǔ)等。數(shù)據(jù)分析包括了原始數(shù)據(jù)的格式化和結(jié)果分析、提取和發(fā)現(xiàn)，兩者的銜接點(diǎn)是試驗(yàn)數(shù)據(jù)。要實(shí)現(xiàn)整個(gè)試驗(yàn)過(guò)程的自動(dòng)化很復(fù)雜，需要開(kāi)發(fā)試驗(yàn)管理集成平臺(tái)，把各種工具集成起來(lái)，一體化完成以上各個(gè)階段的處理和不同階段之間的銜接。這其中的關(guān)鍵是標(biāo)準(zhǔn)化，包括標(biāo)準(zhǔn)化的描述語(yǔ)言、標(biāo)準(zhǔn)化的數(shù)據(jù)存儲(chǔ)格式、標(biāo)準(zhǔn)化的平臺(tái)服務(wù)等。

（2）試驗(yàn)數(shù)據(jù)分析 （EDA）：由于平臺(tái)擴(kuò)展，試驗(yàn)規(guī)模擴(kuò)大等必然帶來(lái)大數(shù)據(jù)問(wèn)題。關(guān)鍵是如何幫助試驗(yàn)者在海量的數(shù)據(jù)記錄中得到試驗(yàn)的期望結(jié)果，或獲取意外的發(fā)現(xiàn)。大數(shù)據(jù)挖掘技術(shù)有助于解決這一問(wèn)題。Deter開(kāi)始嘗試建立嚴(yán)格的過(guò)程，利用知識(shí)的抽取，對(duì)試驗(yàn)數(shù)據(jù)進(jìn)行驗(yàn)證。在試驗(yàn)設(shè)計(jì)和場(chǎng)景生成階段，通過(guò)說(shuō)明一些不變的量來(lái)驗(yàn)證試驗(yàn)內(nèi)部的相容性；在執(zhí)行階段，這些不變的量用于保證試驗(yàn)的語(yǔ)義得到正確實(shí)現(xiàn)；最后不變量作為試驗(yàn)結(jié)果和解釋的一部分，說(shuō)明試驗(yàn)產(chǎn)生了期待的結(jié)果或者潛在的令人感興趣的意外的結(jié)果。Deter方法的核心是建立安全試驗(yàn)的語(yǔ)義說(shuō)明，來(lái)幫助試驗(yàn)者 （用戶）完成試驗(yàn)數(shù)據(jù)分析。

7 結(jié)束語(yǔ)

我國(guó)在網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)建設(shè)上與發(fā)達(dá)國(guó)家相比還存在一定差距：一是規(guī)模小，相互之間也沒(méi)有實(shí)現(xiàn)邦聯(lián)；二是沒(méi)有持續(xù)研究開(kāi)發(fā)，并且應(yīng)用不足；三是普遍注重硬件建設(shè)，忽略軟件開(kāi)發(fā)。在安全試驗(yàn)平臺(tái)技術(shù)上落后會(huì)嚴(yán)重滯后安全技術(shù)發(fā)展。為保障我國(guó)網(wǎng)絡(luò)空間的安全，應(yīng)借鑒發(fā)達(dá)國(guó)家的經(jīng)驗(yàn)，大力推動(dòng)網(wǎng)絡(luò)安全試驗(yàn)平臺(tái)的建設(shè)，可行的辦法是把現(xiàn)有的試驗(yàn)平臺(tái)聯(lián)合起來(lái)，擴(kuò)大規(guī)模，在技術(shù)上實(shí)現(xiàn)邦聯(lián)，統(tǒng)一資源管理機(jī)制，屏蔽平臺(tái)異構(gòu)性，實(shí)現(xiàn)資源的整合；其次大力推動(dòng)應(yīng)用，利用試驗(yàn)平臺(tái)解決實(shí)際的安全問(wèn)題，反過(guò)來(lái)再推動(dòng)平臺(tái)技術(shù)的發(fā)展，并加深對(duì)網(wǎng)絡(luò)安全試驗(yàn)學(xué)科的認(rèn)識(shí)。

［1］Terry Benzel.The science of cyber security experimentation：The DETER project ［C］//11th Annual Computer Security Applications Conference.ACM，2011.

［2］Jelena Mirkovic，Terry V Benzel，Ted Faber，et al.The DETER project：Advancing the science of cyber security experimentation and test［C］//Proceedings of the IEEE HST Conference，2010.

［3］LIANG Junxue，LIN Zhaowen，MA Yan.The suvey of the future internet experimentation platform ［J］.Journal of Computer，2013，36 （5）：1364－1374 （in Chinese）.［梁軍學(xué)，林昭文，馬嚴(yán).未來(lái)互聯(lián)網(wǎng)試驗(yàn)平臺(tái)研究綜述 ［J］.計(jì)算機(jī)學(xué)報(bào)，2013，36 （5）：1364－1374.］

［4］ZHANG Chunhuan，LEI Lei，JI Yuefeng.A new network simulation topology generator［J］.Journal of System Simulation，2006，18 （11）：3115－3117 （in Chinese）.［張春環(huán)，雷蕾，紀(jì)越峰.一種新的網(wǎng)絡(luò)仿真拓?fù)渖善?［J］.系統(tǒng)仿真學(xué)報(bào)，2006，18 （11）：3115－3117.］

［5］LI Jin，HUANG Minhuan，KUANG Xiaohui，et al.The research of large－scale network topology generation technology［J］.Computer Engineering and Science，2010，32 （3）：11－13 （in Chinese）.［李津，黃敏桓，況曉輝，等.大規(guī)模網(wǎng)絡(luò)拓?fù)渖杉夹g(shù)研究 ［J］.計(jì)算機(jī)工程與科學(xué)，2010，32 （3）：11－13.］

［6］JING Jiwu，WANG Yuewu，XIANG Ji.Fluid－based largescale worm simulation model of bandwidth limitation ［J］.Journal of Software，2011，22 （9）：2166－2181 （in Chinese）.［荊繼武，王躍武，向繼.基于Fluid的大規(guī)模帶寬限制蠕蟲(chóng)仿真模型 ［J］，軟件學(xué)報(bào)，2011，22 （9）：2166－2181.］

［7］Alefiya Hussain，Chen Jennifer.Tools for constructing and sharing representative internet topologies［R］.DETER Technical Report，ISI－TR－684，2012.

［8］Papadopoulos F，Psounis K，Govindan R.Performance preserving topological downscaling of internet－like networks ［J］.IEEE Journal on Selected Area in Communications，2006，24（12）：2313－2325.

［9］Yao W M，F(xiàn)ahmy S.Downscaling network scenarios with denial of service （dos）attacks ［C］//Sarnoff Symposium，IEEE，2008：1－6.

［10］Papadopoulos F，Psounis K.Efficient identification of uncongested Internet links for topology downscaling ［J］.ACM SIGCOMM Computer Communication Review，2007，37（5）：39－52.

［11］Roy A，Yocum K，Snoeren A C.Challenges in the emulation of large scale software defined networks［C］//Proceedings of the 4th Asia－Pacific Workshop on Systems.ACM，2013.

［12］Mathieu Lacage，Martin Ferrari，Mads Hansen，et al.NEPI：Using independent simulators，emulators，and testbeds for easy experimentation ［J］.ACM SIGOPS Operating Sys－tems Review Archive，2010，43 （4）：60－65.

［13］Maennel O，Phillips I，Perouli D，et al.Towards a framework for evaluating BGP security ［C］//Proceedings of the 5th Workshop on Cyber Security Experimentation and Test，2012.

［14］Ciraci S，Akyol B.An evaluation of the network simulators in large－scale distributed simulations ［C］//Proceedings of the First International Workshop on High Performance Computing，Networking and Analytics for the Power Grid.ACM，2011：59－66.

［15］Chinnow Joel.Evaluation of attacks and countermeasures in large scale networks ［R］.Lecture Notes in Informatics 192，2011.

［16］Nguyen H，Roughan M，Knight S，et al.How to build complex，large－scale emulated networks［M］.Testbeds and Research Infrastructures.Development of Networks and Communities.Springer Berlin Heidelberg，2011：3－18.

［17］Mirkovic J，Hussain A，F(xiàn)ahmy S，et al.Accurately measuring denial of service in simulation and testbed experiments［J］.IEEE Transactions on Dependable and Secure Computing，2009，6 （2）：81－95.

［18］Krishnamurthy V，F(xiàn)aloutsos M，Chrobak M，et al.Sampling large Internet topologies for simulation purposes ［J］.Computer Networks，2007，51 （15）：4284－4302.

［19］Mirkovic J，Hussain A，Wilson B，et al.Towards user－centric metrics for denial－of－service measurement ［C］//Proceedings of the Workshop on Experimental Computer Science.ACM，2007.