網絡靶場攻防場景設計框架

摘? 要：隨著網絡威脅的暴露范圍越來越廣，開發新的工具來改進網絡防御是一個重大挑戰。網絡防御中最重要的問題是人員技能培訓，網絡靶場就是用于此目的。它提供用于訓練和對抗比賽的虛擬環境。本文用VDSL語言定義了一個定制的網絡環境，并實現了一個框架，允許將網絡靶場場景轉換為Prism模型。這樣就可以進行訓練和賽事結果的定量分析并可以對這個框架進行持續優化。

關鍵詞：網絡靶場;VDSL;攻防場景;框架

中圖分類號：TP311.1? ? ?文獻標識碼：A

Abstract： As exposure to cyber threats is getting wider and more prevalent， it becomes a major challenge to develop new tools to improve cyber defense. The most important issue in cyber defense is staff training， and cyber ranges are used for this purpose. A cyber range is a virtual environment used for training and competition. This paper defines a customized network environment with VDSL （Virtual Scenarios Descriptive Language） language and implements a framework allowing to convert the cyber range scenarios into Prism models. In this way， the quantitative analysis of training and competition results can be carried out and the framework can be continuously optimized.

Keywords： cyber range; VDSL; attack and defense scenarios; framework

1? ?引言（Introduction）

當前，IT安全在我們的生活中變得越來越重要，網絡威脅的程度越來越廣泛，給個人生活、企業生產乃至國家重點基礎設施等帶來的風險都是嚴重的。開發新的技術和新的工具來提高網絡防御能力是一個重大挑戰。北約合作網絡防御中心將網絡防御定義為：探測或獲取有關網絡入侵、網絡攻擊或即將進行的網絡行動的主動措施活動。很明顯，這些活動在很大程度上取決于安全專家的技能。因此，防御的基礎是對人員進行技能培訓，技能可通過實踐和演習活動進行強化[1]。受訓人員必須在模擬真實應用，并且安全可控的場景中訓練和操作，網絡靶場用于提供這樣的仿真受訓環境。

2? ?需求分析（Demand analysis）

（1）網絡靶場可支撐的用戶分析[2]。

①學生：在模擬的應用環境中運用理論知識，提高操作技能，也可作為團隊一員共同參與比賽，合力解決安全問題。

②教師：可以把網絡靶場作為評價學生的實踐課堂。

③組織：可以使用網絡靶場來評估組織的安全能力、培訓團隊和測試新技術。

（2）在網絡靶場內的演習涉及幾個不同角色的團隊，角色功能如圖1所示。

①紅色團隊扮演攻擊者的角色，試圖通過達到訪問特定數據或破壞特定資源實現攻擊。可以使用的攻擊工具有：用于攻擊的腳本、用于注入目標的惡意軟件或后門、用于攔截數據流的工具或異常流量生成器等。

②藍色團隊的任務是防御，其目的是在有限的時間內驗證和改進基礎設施的安全性，可以使用用于執行安全分析和故障管理的工具及數字取證工具等。

③綠色團隊負責維護物理和在線基礎設施，相當于運維團隊，可以使用用于基礎設施監控的工具，如監控和網絡管理軟件等。

①訓練框架是各類用戶的接入點，支持個人訓練和團隊培訓相關的事務管理與組織。

②儀表板是一個交互式工具，由管理員使用，用于管理和監控網絡靶場。

③工具集為網絡靶場用戶提供一套攻擊和防御工具，用于設備和系統的訓練和測試。

④事件和流量生成器模塊可以在自動模式下模擬基礎設施內的正常流量。

⑤連接器允許網絡靶場的傳統架構擴展到不同的架構，稱為混合網絡靶場架構，以便將硬件或物理設備插入到模擬場景中。

（4）場景

場景[3]是包括網絡、硬件、軟件，以及在實踐過程中的操作環境。網絡靶場的主要目的是準備滿足訓練要求的場景。在如圖3所示的場景中，整個網絡由服務器機房、實驗室、會議室和控制室四個子網組成。在服務器機房網絡中，有三個節點，一個具有特定的操作系統漏洞，其他的都包含易受攻擊的服務和惡意軟件。在實驗室網絡中，連接了兩臺筆記本電腦，其中一臺可以通過遠程登錄訪問，另一臺移動終端可以進入會議室網絡。會議室網絡包含具有文件服務器功能（即SAMBA服務）的主機。控制室網絡包含一臺運行了防病毒軟件的個人計算機和一臺包含有要保護數據（也就是FLAG值）的個人計算機。

藍隊在靶場內先執行一定時間的防御任務，然后停止并切換到脫機狀態。然后紅對開始進入攻擊狀態，紅隊訪問功能受限，僅能訪問公共子網。紅隊的目標是通過實施多種技術最終到達目標節點并竊取目標FLAG數據。

3? ?相關技術（Relevant technologies）

涉及相關技術包括：領域特定語言（Domain-Specific Language，DSL）、虛擬場景描述語言（Video Scene Description Language，VSDL）、Prism模型（Prism Model）檢查器和離散時間馬爾可夫鏈（Discrete Time Markov Chain，DTMC）。

（1）領域特定語言DSL是解決特定問題的領域規范語言

①Xtext，它是一個基于Eclipse的框架，用于實現DSL。它使用戶能夠快速實現語言，并負責實現開發集成環境的所有方面，例如，鏈接器、編譯器、類型檢查器和解析器。

②Xtend，它是一種通用編程語言，與完全用Xtext開發的代碼具有互操作性。Xtend源于Java編程語言，但它有比Java更簡潔的語法和一些額外的功能。

（2）虛擬場景描述語言VSDL

虛擬場景描述語言VSDL是一種用于為網絡靶場建模虛擬場景領域特定語言。

使用虛擬場景描述語言實現的場景。場景由名字和一系列場景元素標識，場景元素包括節點或網絡。節點和網絡都由唯一的標識符標識。對于節點，可以表示為：類型（如服務器、客戶端、移動設備等），硬件配置文件（CPU數量、RAM和磁盤大小等），軟件功能（特定操作系統或操作系統系列等）。對于網絡，可以表示為接入公共網絡、尋址方法和所連接的節點。

以如圖3所示的場景為例，用VSDL語言描述后的示例如圖4所示，可以看到其中對于實驗室和會議室網絡，規定了以下特別功能：當漫游節點從會議室移動到實驗室時，要求最多t=15秒后節點必須連接于網絡，并且在0和t時間值內，漫游節點應處于未連接狀態。

（3）Prism模型檢查器

Prism模型檢查器是一個建模和分析概率行為的系統工具。這些系統包括安全協議、隨機算法等。模型是用Prism語言定義的，而屬性可以通過各種時態邏輯來指定。Prism模型檢查器的輸入形式是馬爾可夫鏈。如圖5所示為概率模型檢查器實現的功能示例。概率模型檢驗允許對系統進行定量分析，用以確定在網絡靶場范圍內攻擊發生的概率是多少？攻擊成功的概率有多大？

（4）馬爾可夫鏈

馬爾可夫鏈是一種馬爾可夫過程。一個過程滿足馬爾可夫性質，就如同一個人能夠僅僅基于當前狀態就可以對未來進行預測，也就是說以系統的當前狀態為條件判斷和預測未來，未來和過去的狀態是完全獨立的。當馬爾可夫過程的狀態空間是離散值時，它被稱為馬爾可夫鏈。馬爾可夫鏈可以被看作是一系列隨機事件，其中系統的當前狀態與所有過去狀態無關。

離散時間馬爾可夫鏈（DTMC）[4]指具有離散狀態空間和離散時間{Xt，t>0}的隨機過程。

（5）Prism建模語言

先解釋Prism語言的基本概念：模塊的并行組合和同步，之后可以了解Prism模型檢查器中的模型是如何定義的。

并行組合：在Prism模型的每個狀態中，都有一些可用的命令，在這些命令之間選擇哪個命令？選擇取決于模型的類型。對于DTMC，選擇是有概率，可以以相同的概率選擇每個啟用的命令。

同步：在Prism模型中，命令可以標記為動作。這些操作將用于使兩個（或更多）模塊同時執行轉換。

用Prism語言編寫的概率模型可以用rewards值或者與模型的狀態或狀態轉換相關的值來量化[5]。rewards結構可用于計算預期得分等屬性，也可以分配給模型狀態和狀態轉換。

狀態rewards：rewards結構為模型的每個狀態分配20個reward。左邊為布爾值，記為受保護狀態，右邊的值（20）記為rewards。簡單地理解為，滿足保護的狀態被記作布爾值true，并分配相應的rewards。如圖6所示。

如圖7所示的示例可以解釋為：在沒有動作標簽的情況下，模型中的所有轉換分配200的rewards;標有“與網絡連接的行動”的轉換分配值為500;對所有標有SQL注入動作的轉換給予分配10000。

可以通過兩種方式指定基于rewards的財富值：

R bound [rewardprop]（在這個條件表達式中，其中bound為比較運算符，可以是小于、小于等于、大于或大于等于）。

R query [rewardprop]（在這個賦值表達式中，query為賦值運算符，可以是等于多少、最小是多少、最大是多少）。

如果從模型狀態開始時與模型的rewardprop相關聯的預期報酬滿足bound這個條件表達式，那么，R bound [rewardprop]條件運算的結果為真，則R query [rewardprop]將返回實際預期rewards值。總財產R將返回在rewards結構中指定的預期總數。

4? ?設計（Design）

首先利用擴展VSDL語法定義場景，其中包含對存有漏洞節點的記錄，實現了一個結合VSDL規范和漏洞描述符的Prism模型生成器，其結果是一個需要用Prism驗證的模型。網絡靶場攻擊策略架構[6]的目標是實現如圖8所示的邏輯流程。首先在VSDL中編寫場景，然后根據場景生成Prism模型，用于驗證漏洞利用情況，此時可以接受場景或對場景進一步優化。

（1）VSDL中的漏洞規范

VSDL規范根據其核心元素（即節點和網絡）及其特性描述場景。在這種情況下，可將漏洞視為額外的節點特性。因此，使用新的節點屬性擴展了VSDL的語法。格式為：Vulnerability：。為了研究漏洞，必須對場景中的漏洞特性進行研究。例如在圖9中，標明了Pc_1這臺機器遭受SQL注入攻擊。

（2）代碼生成

代碼生成過程是這樣的：框架獲取從JSON文件生成Prism代碼所需的信息。這意味著對于每種類型的漏洞，都需要一個適當的JSON文件。整個過程可以描述如下：靶場攻擊策略框架從場景中讀取所需漏洞的類型，然后從相應的JSON文件中獲取必要的信息來創建Prism代碼。

如果選擇跨站點腳本（XSS）漏洞，需要一個名為XSS.json的文件，其中包含創建Prism模型所需要的有用信息。該模型顯然將使用Prism語言編寫，那么如何創建此JSON文件？

（3）漏洞規范腳本語言

創建了一個規范腳本，用于為任何類型的漏洞創建適當的JSON文件。每個場景都可以用Prism模型來表示，Prism模型可以包含全局變量、常量、模塊，還有rewards結構。考慮到每個模型的組件和VSDL場景的特性，為JSON文件創建了一個標準結構，如圖10所示。JSON對象分為三個部分：頭部、主體和rewards。

①頭部

頭部可以包括全局變量（所有模塊都可以讀寫的變量）和常量。它由兩部分組成：

全局狀態GlobalState：是一個數組，可以包含全局變量和常量。

網絡連接情況：將NetworkConnected定義為一個特定常數，用以表示節點X是否連接到網絡Y。

定義樣式如下：

const bool $Nodename_connected_to_network_$netwrokName

如果需要這些信息來表達某一種類型的漏洞，必須在適當的JSON文件中指定它，這種情況下，靶場攻擊策略框架會用適當的信息去替換$nodeName和$networkName變量。如果場景指定Pc_2未連接到網絡會議室，生成的代碼為：const bool Pc_2_connected_to_MeetingRoom=false，如果不需要這些類型的信息，可以省略它并將其留空。

②主體

為每個節點創建一個模塊。如果此節點包含一個漏洞，則將其標記為被影響，否則將其標記為未受影響。易受攻擊節點的狀態和轉換在被影響對象中指定，而其他節點的狀態和轉換在未被影響對象中指定。例如，如果某個節點存在注入漏洞，則可以通過如圖11所示方式指定被影響的對象。

如果Pc_1是受影響的節點，靶場攻擊策略框架從受影響的節點對象獲取信息，并將圖11中的$currentNode替換為“Pc_1”，將$NetworkCurrentNode替換為Pc_1所連接的網絡。如圖12所示，這是為Pc_1生成的Prism模塊代碼。

③rewards

在如圖13所示的獎勵示例中包含靶場框架用于reward結構信息的數組。例如：[$allothernodes]true：已知的pc_*+1;框架將使用所有未受影響的節點名（場景中沒有指定漏洞的節點）替換$ allothernodes，如圖13所示。按照上面解釋的結構，為其他類型的漏洞創建JSON文件很簡單。

5? ?使用用例（Use case）

以注入攻擊為例來描述一個測試用例，并產生由策略設計框架自動生成的Prism代碼。

（1）注入攻擊

注入是Web安全中的一個主要問題。它被列為2017年OWASP前10名中的頭號Web應用程序安全風險[7]。這種類型的攻擊允許攻擊者將代碼注入程序或查詢，或將惡意軟件注入計算機，以便執行讀取、修改數據庫或遠程調用系統命令類操作。

對于測試用例，僅考慮一般的注入攻擊，測試環境中有四臺名為Pc_1、Pc_2、Pc_3、Pc_4的計算機。還有兩個網絡，稱為實驗室和會議室，其中Pc_1易受注入攻擊，場景描述如圖14所示。在圖15中，可以看到由框架生成的Prism代碼。

（2）Prism實驗

一旦有了Prism代碼，就可以應用這些屬性來分析它。對于生成的Prism模型，reward是已知Pc的數量。在Prism模型中，指定要實現某類攻擊，需要預置一個最小的預算，Pc_1_injected=false & Budget>=10，此時Pc_1_injected=true。現在，如果想驗證Prism需要的預算最少，如預算設為50的情況下，可以得到期望reward為2的值，如圖16所示。

6? ?結論（Conclusion ）

本文設計并實現一個框架，允許用高級語言編寫場景。靶場攻擊策略框架可以分析場景并獲取必要的信息，然后加載適當的JSON文件，由JSON文件創建一個固定的結構，它允許向框架提供信息，以便從場景自動創建適當的Prism代碼。框架使用這些Prism代碼信息生成Prism模型。框架還可以將reward屬性應用到創建的Prism模型中，并使用reward結果評估或進一步優化網絡靶場，使其更接近真實環境。未來如果有一個著名攻擊的數據庫，可行的做法是將攻擊樹集成到框架中，這樣可以詳細研究攻擊方法和防御方法，也可以研究攻擊成功的概率。

參考文獻（References）

[1] 方濱興，賈焰，李愛平，等.網絡空間靶場技術研究[J].信息安全學報，2016（03）：1-9.

[2] 李建華.多元化多層次網絡空間安全人才培養創新與實踐[J].信息安全研究，2018（12）：1073-1082.

[3] 李煒，余慧英，吳華穎.網絡空間博弈中的場景研究[J].信息安全研究，2018（5）：415-419.

[4] 孫美鳳，黃飛，陳云菁.基于特征模式的馬爾可夫鏈異常檢測模型[J].計算機工程，2008，34（24）：155-156;159.

[5] 王元卓，林闖，程學旗，等.基于隨機博弈模型的網絡攻防量化分析方法[J].計算機學報，2010，33（9）：1748-1762.

[6] 劉智國，于增明，王建，等.面向未來的網絡靶場體系架構研究[J].信息技術與網絡安全，2018，47（6）：41-46.

[7] Arun Prasath Sivanesan，Akshay Mathur，Ahmad Y Javaid.A Google Chromium Browser Extension for Detecting XSS Attack in HTML5 Based Websites[C].2018 IEEE International Conference on Electro/Information Technology（EIT）.IEEE，2018.

作者簡介：

張月紅（1975-），女，碩士，副教授.研究領域：滲透測試，漏洞挖掘，WEB安全.