網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)的規(guī)劃與實(shí)踐*

王 群，李馥娟，郭向民，劉家銀

（江蘇警官學(xué)院計(jì)算機(jī)信息與網(wǎng)絡(luò)安全系，南京 210031）

0 引言

隨著物聯(lián)網(wǎng)、云計(jì)算、區(qū)塊鏈等基于互聯(lián)網(wǎng)創(chuàng)新應(yīng)用模式的出現(xiàn)與發(fā)展，信息技術(shù)正在以前所未有的深度和廣度融入到社會(huì)各個(gè)領(lǐng)域。與此同時(shí)，病毒、木馬、蠕蟲、網(wǎng)絡(luò)釣魚、DDoS、APT 等層出不窮且快速迭代的安全威脅使網(wǎng)絡(luò)應(yīng)用環(huán)境日益惡化，頻繁發(fā)生的各類攻擊事件給網(wǎng)絡(luò)空間安全治理帶來了極大的挑戰(zhàn)。當(dāng)前，加強(qiáng)網(wǎng)絡(luò)空間安全治理能力和體系建設(shè)，成為保障互聯(lián)網(wǎng)應(yīng)用有序發(fā)展的前提，加強(qiáng)網(wǎng)絡(luò)安全人才培養(yǎng)和建設(shè)專業(yè)人才隊(duì)伍，成為維護(hù)網(wǎng)絡(luò)空間安全的根本保障。

網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)通過提供虛實(shí)結(jié)合的網(wǎng)絡(luò)環(huán)境來模擬真實(shí)的網(wǎng)絡(luò)攻防行為，將真實(shí)網(wǎng)絡(luò)中的安全知識(shí)和攻防手段得以在安全可控的實(shí)驗(yàn)空間重構(gòu)，為網(wǎng)絡(luò)安全理論知識(shí)學(xué)習(xí)、攻防對(duì)抗演練、網(wǎng)絡(luò)工具研發(fā)與測(cè)試、網(wǎng)絡(luò)安全配置與驗(yàn)證等教學(xué)教研活動(dòng)提供平臺(tái)支撐，以豐富的內(nèi)容、新穎的形式、多樣化的手段激發(fā)學(xué)習(xí)者的興趣，增強(qiáng)學(xué)習(xí)者對(duì)網(wǎng)絡(luò)安全知識(shí)的理解，培養(yǎng)其網(wǎng)絡(luò)安全隱患分析、網(wǎng)絡(luò)安全技術(shù)驗(yàn)證、網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估等解決具體安全問題的能力。面對(duì)復(fù)雜多變的網(wǎng)絡(luò)環(huán)境，高校正將網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)建設(shè)和應(yīng)用作為支撐網(wǎng)絡(luò)空間安全人才培養(yǎng)的重要手段。

1 網(wǎng)絡(luò)靶場(chǎng)與網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)

1.1 網(wǎng)絡(luò)靶場(chǎng)的研究背景

網(wǎng)絡(luò)靶場(chǎng)是為了適應(yīng)信息技術(shù)快速發(fā)展的要求，有效應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)空間對(duì)抗形勢(shì)，主要由軍隊(duì)、政府、科研機(jī)構(gòu)、高校等行業(yè)，針對(duì)網(wǎng)絡(luò)武器開發(fā)、網(wǎng)絡(luò)攻防對(duì)抗演練、網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)技術(shù)驗(yàn)證、網(wǎng)絡(luò)工具測(cè)試、網(wǎng)絡(luò)安全人才培養(yǎng)等工作需要，通過網(wǎng)絡(luò)仿真技術(shù)創(chuàng)建的高度近似于真實(shí)網(wǎng)絡(luò)空間運(yùn)行機(jī)制的可信、可控、可定制的重要基礎(chǔ)設(shè)施［1-3］。

美國(guó)在網(wǎng)絡(luò)靶場(chǎng)建設(shè)方面走在了世界前列，美國(guó)國(guó)防部高級(jí)研究計(jì)劃局（DARPA）從2009 年1 月開始啟動(dòng)了“國(guó)家網(wǎng)絡(luò)靶場(chǎng)”（National Cyber Range，NCR）項(xiàng)目［4］，并于2011 年10 月完成了原型開發(fā)。NCR 通過模擬真實(shí)的電子對(duì)抗和網(wǎng)絡(luò)攻擊，用來對(duì)未來可能發(fā)生的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)進(jìn)行推演，在防止美國(guó)網(wǎng)絡(luò)重要基礎(chǔ)設(shè)施遭受攻擊的同時(shí)，對(duì)攻擊方的行為進(jìn)行在線溯源，以保護(hù)美國(guó)的網(wǎng)絡(luò)安全。美國(guó)網(wǎng)絡(luò)部隊(duì)已經(jīng)研發(fā)并儲(chǔ)備了2 000 余個(gè)計(jì)算機(jī)病毒武器，構(gòu)成了內(nèi)容豐富且功能強(qiáng)大的武器庫；英國(guó)于2010 年10 月建立了“聯(lián)邦網(wǎng)絡(luò)實(shí)驗(yàn)靶場(chǎng)”（Federated Cyber Test Range）［2］，用來對(duì)大型復(fù)雜網(wǎng)絡(luò)進(jìn)行模擬，并在安全可控的前提下對(duì)信息基礎(chǔ)設(shè)施的可靠性和生存能力進(jìn)行測(cè)試和評(píng)估；日本于2002 年由日本情報(bào)通信研究機(jī)構(gòu)（NICT）主導(dǎo)研制了“星平臺(tái)”（StarBed）系統(tǒng)［5］，主要為網(wǎng)絡(luò)新技術(shù)的評(píng)估提供大規(guī)模的網(wǎng)絡(luò)試驗(yàn)環(huán)境。與此同時(shí)，加拿大、俄羅斯、德國(guó)、以色列、伊朗、韓國(guó)等國(guó)家也紛紛建立了各自的國(guó)家網(wǎng)絡(luò)靶場(chǎng)，分別立足各國(guó)的網(wǎng)絡(luò)安全需要，進(jìn)行相關(guān)項(xiàng)目的研究。國(guó)內(nèi)部分高校、科研機(jī)構(gòu)和科技企業(yè)在網(wǎng)絡(luò)靶場(chǎng)建設(shè)方面進(jìn)行了大量研究，在大規(guī)模復(fù)雜網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)攻防場(chǎng)景仿真、網(wǎng)絡(luò)攻防對(duì)抗演練、網(wǎng)絡(luò)仿真、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)安全人才培養(yǎng)等方面取得了一些創(chuàng)新成果［6-7］。

網(wǎng)絡(luò)靶場(chǎng)概念一經(jīng)提出便引起了世界各國(guó)的普遍關(guān)注。在當(dāng)前網(wǎng)絡(luò)攻擊方式復(fù)雜化、攻擊目標(biāo)全球化、攻擊對(duì)象泛在化、攻擊事件頻繁化的大背景下，世界各國(guó)紛紛開始進(jìn)行虛實(shí)結(jié)合的網(wǎng)絡(luò)靶場(chǎng)建設(shè)和應(yīng)用研究。其中，在網(wǎng)絡(luò)安全人才培養(yǎng)方面，網(wǎng)絡(luò)靶場(chǎng)通過可配置的網(wǎng)絡(luò)服務(wù)，為網(wǎng)絡(luò)安全技術(shù)研究、學(xué)習(xí)、驗(yàn)證、測(cè)試以及攻防對(duì)抗演練提供了安全可控的實(shí)驗(yàn)實(shí)訓(xùn)環(huán)境。尤其是近年來，針對(duì)網(wǎng)絡(luò)安全人才培養(yǎng)需要開發(fā)的網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)，在高校人才培養(yǎng)中發(fā)揮著十分重要甚至是不可替代的作用。

1.2 網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)的功能定位

美國(guó)網(wǎng)絡(luò)靶場(chǎng)的建設(shè)經(jīng)驗(yàn)為世界各國(guó)提供了幫助，尤其在2009 年建設(shè)的網(wǎng)絡(luò)靶場(chǎng)NCR 為全球網(wǎng)絡(luò)靶場(chǎng)的理論創(chuàng)建和體系結(jié)構(gòu)探索開辟了先河。隨后，隨著云計(jì)算、大數(shù)據(jù)、軟件定義、人工智能、數(shù)字孿生等技術(shù)的發(fā)展，為網(wǎng)絡(luò)靶場(chǎng)的功能實(shí)現(xiàn)提供了技術(shù)支撐，也使網(wǎng)絡(luò)靶場(chǎng)開始走出單一的軍事和政府應(yīng)用領(lǐng)域，出現(xiàn)了虛實(shí)結(jié)合的民用靶場(chǎng)、商用網(wǎng)絡(luò)靶場(chǎng)、教學(xué)和研究靶場(chǎng)等新型靶場(chǎng)類型。近年來，伴隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展，原來單一的互聯(lián)網(wǎng)環(huán)境被打破，物理世界與信息空間之間的界限越來越模糊，虛實(shí)結(jié)合的大規(guī)模網(wǎng)絡(luò)仿真成為網(wǎng)絡(luò)靶場(chǎng)建設(shè)的顯著特點(diǎn)和具體要求。

網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)是網(wǎng)絡(luò)靶場(chǎng)的一種特殊應(yīng)用類型，其主要功能是為服務(wù)網(wǎng)絡(luò)安全人才培養(yǎng)提供實(shí)驗(yàn)實(shí)訓(xùn)環(huán)境。根據(jù)人才培養(yǎng)對(duì)象的不同，網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)的模擬環(huán)境可以是互聯(lián)網(wǎng)，也可以是工業(yè)控制系統(tǒng)等專用網(wǎng)絡(luò)。但與大型網(wǎng)絡(luò)靶場(chǎng)不同，網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)的規(guī)模相對(duì)較小，形式和功能相對(duì)單一，與現(xiàn)實(shí)網(wǎng)絡(luò)之間的差異性較小，可利用有限資源來部署，建設(shè)和日常維護(hù)成本較低。考慮到人才培養(yǎng)的具體要求，本文規(guī)劃建設(shè)的網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)，主要為了滿足網(wǎng)絡(luò)空間安全人才培養(yǎng)需要，以互聯(lián)網(wǎng)應(yīng)用為背景和模擬對(duì)象，是一種特殊類型的網(wǎng)絡(luò)靶場(chǎng)。

2 網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)規(guī)劃

2.1 網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)的架構(gòu)及建設(shè)要求

在網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)設(shè)計(jì)時(shí)需要將技術(shù)架構(gòu)和應(yīng)用功能有機(jī)結(jié)合，技術(shù)架構(gòu)是基礎(chǔ)保障，功能是目的和建設(shè)意圖。網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)的總體架構(gòu)如圖1 所示，該結(jié)構(gòu)繼承了傳統(tǒng)網(wǎng)絡(luò)應(yīng)用平臺(tái)以應(yīng)用功能實(shí)現(xiàn)為“主體”，以安全保障和標(biāo)準(zhǔn)規(guī)范體系建設(shè)為“兩翼”的特征，但在應(yīng)用功能實(shí)現(xiàn)上體現(xiàn)了多層次、低偶合、逐層逐塊提供服務(wù)的特點(diǎn)。可以將網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)的“主體”部分劃分為以下幾個(gè)功能域：

圖1 網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)的總體架構(gòu)

1）基礎(chǔ)服務(wù)域。基礎(chǔ)服務(wù)域由基礎(chǔ)設(shè)施、管理資源和網(wǎng)絡(luò)部署3 部分組成，為其他功能域提供虛實(shí)結(jié)合的網(wǎng)絡(luò)資源，并為各類實(shí)驗(yàn)場(chǎng)景的實(shí)例化提供服務(wù)。基礎(chǔ)服務(wù)域是整個(gè)網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)的基礎(chǔ)，從不同實(shí)訓(xùn)場(chǎng)景中每個(gè)節(jié)點(diǎn)的實(shí)例化，到組建實(shí)驗(yàn)網(wǎng)絡(luò)、制定并下發(fā)管理策略以及正式實(shí)驗(yàn)前的系統(tǒng)測(cè)試，再到實(shí)驗(yàn)過程中的數(shù)據(jù)采集和實(shí)驗(yàn)過程管理等，支撐著網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)整個(gè)生命周期的每一個(gè)環(huán)節(jié)。

2）網(wǎng)絡(luò)攻防實(shí)訓(xùn)域。網(wǎng)絡(luò)攻防對(duì)抗主要涉及到攻防對(duì)抗模型和攻防中可被利用的各類數(shù)據(jù)庫（主要有漏洞庫、補(bǔ)丁庫、知識(shí)庫等），所以在網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)中提供了網(wǎng)絡(luò)攻防實(shí)驗(yàn)數(shù)據(jù)庫和網(wǎng)絡(luò)攻防實(shí)驗(yàn)?zāi)Ｐ? 個(gè)組成模塊。其中，網(wǎng)絡(luò)攻防模型是將網(wǎng)絡(luò)攻防中用到的推理過程、判斷方法、思維模式和表述形式，轉(zhuǎn)化為參訓(xùn)人員能夠直觀理解的知識(shí)。網(wǎng)絡(luò)攻防建模是用數(shù)學(xué)方式建立一個(gè)等價(jià)對(duì)應(yīng)于現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境中攻防的知識(shí)系統(tǒng)，是實(shí)現(xiàn)攻防有效訓(xùn)練的關(guān)鍵技術(shù)環(huán)節(jié)。攻防實(shí)驗(yàn)數(shù)據(jù)庫提供完整的與真實(shí)網(wǎng)絡(luò)一致的各類應(yīng)用和威脅庫，并接收攻防模型所需要的資源請(qǐng)求，對(duì)涉及到的基礎(chǔ)服務(wù)域中的資源進(jìn)行有效調(diào)度。

3）網(wǎng)絡(luò)技術(shù)與協(xié)議域。體系結(jié)構(gòu)和協(xié)議是網(wǎng)絡(luò)系統(tǒng)的兩大核心要素。在基礎(chǔ)服務(wù)域的支持下，通過網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)協(xié)議2 個(gè)功能模塊，可以就具體的網(wǎng)絡(luò)技術(shù)和協(xié)議進(jìn)行系統(tǒng)學(xué)習(xí)、分析、改進(jìn)、測(cè)試和評(píng)估，在強(qiáng)化網(wǎng)絡(luò)基礎(chǔ)知識(shí)學(xué)習(xí)的同時(shí)，培養(yǎng)參訓(xùn)人員應(yīng)對(duì)各類安全風(fēng)險(xiǎn)和抵御網(wǎng)絡(luò)攻擊的能力。

4）數(shù)據(jù)分析域。網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)建設(shè)是一個(gè)隨著技術(shù)和應(yīng)用需求發(fā)展不斷完善、改進(jìn)和拓展的過程，對(duì)訓(xùn)練數(shù)據(jù)的分析和評(píng)估發(fā)揮著關(guān)鍵作用。網(wǎng)絡(luò)安全態(tài)勢(shì)的判斷、攻擊手段及實(shí)現(xiàn)路徑的改進(jìn)、防御策略的調(diào)整與完善、節(jié)點(diǎn)脆弱性評(píng)估等，都需要建立在數(shù)據(jù)分析基礎(chǔ)上。另外，在數(shù)據(jù)密集型的網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)環(huán)境中，需要借助大數(shù)據(jù)可視化技術(shù)提供直觀高效的數(shù)據(jù)分析方法，以方便用戶通過數(shù)據(jù)分析結(jié)果來判斷實(shí)訓(xùn)平臺(tái)當(dāng)前的運(yùn)行狀態(tài)，從而發(fā)現(xiàn)系統(tǒng)的脆弱性，為完善實(shí)訓(xùn)平臺(tái)的功能以及優(yōu)化平臺(tái)運(yùn)行提供基礎(chǔ)數(shù)據(jù)。

5）測(cè)試與評(píng)估域。網(wǎng)絡(luò)安全測(cè)評(píng)是保障網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全的基礎(chǔ)。從攻擊方的角度看，需要對(duì)確定的攻擊手段的有效性和實(shí)施路徑的正確性進(jìn)行推演和測(cè)評(píng)，在此基礎(chǔ)上進(jìn)行優(yōu)化改進(jìn)，以提高攻擊的準(zhǔn)確率和防范溯源跟蹤的能力；對(duì)于防御方來說，需要對(duì)采取的安全防御措施的可靠性和策略的可行性進(jìn)行定性與定量評(píng)估，并根據(jù)結(jié)果不斷修正評(píng)測(cè)指標(biāo)，以取得符合最優(yōu)成本效應(yīng)的安全防御措施和策略。

2.2 網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)的建設(shè)要求

作為一種計(jì)算模式，云計(jì)算在發(fā)展了分布式計(jì)算、并行計(jì)算和網(wǎng)格計(jì)算的基礎(chǔ)上，通過虛擬化技術(shù)將網(wǎng)絡(luò)中的計(jì)算和存儲(chǔ)資源進(jìn)行整合，從而構(gòu)成一個(gè)可擴(kuò)展、高可用、可自主管理和配置的虛擬資源池，為搭建網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)提供了保障［8］。另外，與單一功能的實(shí)驗(yàn)室建設(shè)不同的是，網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)的建設(shè)具有一定的復(fù)雜性，可重點(diǎn)考慮以下幾個(gè)方面：

1）統(tǒng)一標(biāo)準(zhǔn)和接口。網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)的建設(shè)需要同時(shí)考慮教學(xué)功能和網(wǎng)絡(luò)建設(shè)要求，需要對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行統(tǒng)一規(guī)劃，對(duì)平臺(tái)涉及的資源制定統(tǒng)一的信息格式和編碼，為涉及的操作制定統(tǒng)一的接口規(guī)范。

2）實(shí)驗(yàn)的逼真性。由于在網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)中開展的大部分是仿真實(shí)驗(yàn)，其實(shí)驗(yàn)實(shí)訓(xùn)過程與真實(shí)環(huán)境的操作之間會(huì)存在一些差異［9］。為了盡可能縮小實(shí)訓(xùn)平臺(tái)與真實(shí)網(wǎng)絡(luò)環(huán)境之間的差距，網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)采用了虛實(shí)結(jié)合的網(wǎng)絡(luò)仿真方式，可高逼真地再現(xiàn)真實(shí)網(wǎng)絡(luò)環(huán)境和攻防過程，實(shí)訓(xùn)平臺(tái)中的路由器、交換機(jī)、服務(wù)器、無線接入設(shè)備等提供信息基礎(chǔ)服務(wù)的設(shè)備，以及防火墻、IDS/IPS 等安全設(shè)備，其使用和配置方式與真實(shí)網(wǎng)絡(luò)中的完全一致。另外，平臺(tái)中涉及到的軟硬件設(shè)備和系統(tǒng)，可根據(jù)要求設(shè)置不同的版本，并提供針對(duì)不同安全漏洞的補(bǔ)丁，供實(shí)驗(yàn)實(shí)訓(xùn)中驗(yàn)證不同的安全威脅和防御功能使用。

3）豐富的安全策略。互聯(lián)網(wǎng)應(yīng)用非常豐富，互聯(lián)網(wǎng)運(yùn)行中提供的網(wǎng)絡(luò)協(xié)議和安全管理策略也多種多樣。例如，數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時(shí)是采用明文還是密文方式，是否允許對(duì)指定網(wǎng)段的數(shù)據(jù)包進(jìn)行嗅探，對(duì)系統(tǒng)的訪問口令管理是否設(shè)置嚴(yán)格的控制等，這些功能的實(shí)現(xiàn)都需要提供完善的策略保障。同時(shí)，在需要加密傳輸時(shí)設(shè)置數(shù)據(jù)加密和安全校驗(yàn)機(jī)制，在能夠?qū)崿F(xiàn)數(shù)據(jù)包嗅探時(shí)允許網(wǎng)絡(luò)欺騙、重放攻擊、中間人攻擊等行為發(fā)生，當(dāng)需要對(duì)系統(tǒng)訪問進(jìn)行嚴(yán)格控制時(shí)，提供身份認(rèn)證和資源授權(quán)功能，當(dāng)需要對(duì)涉密信息進(jìn)行管理時(shí)，提供針對(duì)敏感信息的語義提取與分析、保存位置確認(rèn)等功能。

4）詳盡的系統(tǒng)日志。系統(tǒng)日志是軟硬件系統(tǒng)用于記錄運(yùn)行狀況（如誰在什么時(shí)間訪問過什么資源、系統(tǒng)在什么時(shí)間因什么原因重啟等）和安全事件的信息庫，是檢查系統(tǒng)配置錯(cuò)誤、查找攻擊痕跡、掌握系統(tǒng)性能的基礎(chǔ)數(shù)據(jù)庫，防火墻、IDS/IPS、網(wǎng)絡(luò)管理系統(tǒng)、網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)等幾乎所有的安全設(shè)備和系統(tǒng)，都需要使用日志來獲取和分析網(wǎng)絡(luò)安全狀況及變化趨勢(shì)。網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)能夠完整地收集和記錄日志（尤其是安全日志）信息，并提供日志信息的處理功能，將分析過程和結(jié)果以可視化方式展現(xiàn)。

5）必要的開放接口。隨著網(wǎng)絡(luò)連接泛在化速度的加快，原來使用工業(yè)控制系統(tǒng)的重要基礎(chǔ)設(shè)施越來越多地采用互聯(lián)網(wǎng)通信協(xié)議和通用軟硬件，以多種方式接入互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)，互聯(lián)網(wǎng)中存在的安全攻擊和威脅，逐漸滲透到工業(yè)控制系統(tǒng)等專用網(wǎng)絡(luò)中。研究工業(yè)網(wǎng)絡(luò)和關(guān)鍵信息基礎(chǔ)設(shè)施的安全已成為目前信息安全研究的一個(gè)重點(diǎn)和熱點(diǎn)。為此，網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)需要提供相應(yīng)的接口，使新的安全研究對(duì)象及相關(guān)的安全應(yīng)對(duì)知識(shí)能夠根據(jù)需要接入其中。

2.3 網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)的主要模擬對(duì)象

網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)的功能和適用范圍主要依賴于能夠成功模擬的對(duì)象和場(chǎng)景類型。對(duì)于主要用于網(wǎng)絡(luò)安全專門人才培養(yǎng)的網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)來說，需要對(duì)以下4 種類型的對(duì)象進(jìn)行有效模擬：

1）用戶模擬。用戶模擬功能是指根據(jù)實(shí)驗(yàn)需要，對(duì)參訓(xùn)者進(jìn)行分類，每一類用戶在實(shí)訓(xùn)平臺(tái)中扮演各自不同的角色。一般情況下，在實(shí)驗(yàn)中可將用戶分成紅隊(duì)、藍(lán)隊(duì)和綠隊(duì)3 種角色［10］。其中，紅隊(duì)（攻擊方）的主要職責(zé)是產(chǎn)生攻擊流量，這些流量所代表的網(wǎng)絡(luò)行為看似合法卻隱藏著各類攻擊意圖；藍(lán)隊(duì)（防御方）的主要職責(zé)是實(shí)時(shí)監(jiān)控和檢查由紅隊(duì)產(chǎn)生的攻擊流量，分析、攔截和終止由紅隊(duì)發(fā)起的攻擊行為；綠隊(duì)的職責(zé)是仿真正常的網(wǎng)絡(luò)業(yè)務(wù)（背景流量），一般情況下紅藍(lán)對(duì)抗過程不會(huì)影響正常的網(wǎng)絡(luò)業(yè)務(wù)。由于互聯(lián)網(wǎng)中的用戶身份主要以IP地址來標(biāo)識(shí)，所以，當(dāng)模擬多個(gè)不同網(wǎng)絡(luò)之間的流量時(shí)，需要分別在實(shí)訓(xùn)平臺(tái)中仿真出各自網(wǎng)絡(luò)的完整IP 地址段。為了能夠模擬不同國(guó)家及地區(qū)之間的網(wǎng)絡(luò)攻擊，實(shí)訓(xùn)平臺(tái)中需要根據(jù)IANA（互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)）向全球分配的IP 地址信息來仿真真實(shí)的IP 地址［11］。同時(shí)，為了配合對(duì)用戶的模擬，在靶場(chǎng)中還需要仿真出不同的網(wǎng)絡(luò)類型（如以太網(wǎng)、4G/5G核心網(wǎng)、IPv4/IPv6 基礎(chǔ)架構(gòu)等）、用戶群（如Internet用戶群、移動(dòng)用戶群等）、設(shè)備類型（如交換機(jī)、路由器等）、鏈路類型（如光纖、雙絞線、無線頻段等）和信道類型（如SSL 加密、IPSec 加密等）等。

2）流量模擬。不管是真實(shí)網(wǎng)絡(luò)還是網(wǎng)絡(luò)靶場(chǎng)，流量是分析和判斷網(wǎng)絡(luò)行為的重要依據(jù)。網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)中模擬的流量主要包括：以協(xié)議為標(biāo)識(shí)的正常互聯(lián)網(wǎng)業(yè)務(wù)流量，針對(duì)DDoS、病毒、惡意代碼、釣魚網(wǎng)站、漏洞掃描、垃圾郵件等惡意行為的仿真流量，以及為了配合實(shí)驗(yàn)需要產(chǎn)生的無效或異常數(shù)據(jù)流量等。

3）對(duì)象模擬。由于互聯(lián)網(wǎng)中不同類型的網(wǎng)絡(luò)服務(wù)對(duì)象所引起的用戶關(guān)注度不同，存在的安全風(fēng)險(xiǎn)也不盡相同，對(duì)于一些重要的系統(tǒng)和信息基礎(chǔ)設(shè)施的安全性評(píng)估和管理策略的設(shè)置需要通過靶場(chǎng)進(jìn)行重點(diǎn)研究。例如，政府部門、重要企業(yè)和重點(diǎn)高校的網(wǎng)站為社會(huì)提供了可信度較高的大量重要信息，這些對(duì)社會(huì)公眾提供服務(wù)信息的系統(tǒng)和網(wǎng)站已成為網(wǎng)絡(luò)攻擊者首選的對(duì)象，也成為網(wǎng)絡(luò)攻防中需要重點(diǎn)保護(hù)的對(duì)象。

4）知識(shí)庫管理。互聯(lián)網(wǎng)中的漏洞掃描系統(tǒng)、IDS/IPS、病毒軟件等安全系統(tǒng)，都必須實(shí)時(shí)更新相應(yīng)的知識(shí)庫，操作系統(tǒng)、通信協(xié)議、應(yīng)用軟件等也需要及時(shí)安裝補(bǔ)丁程序，這已經(jīng)成為加強(qiáng)互聯(lián)網(wǎng)安全管理的基本常識(shí)。網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)應(yīng)支持應(yīng)用和威脅知識(shí)庫的更新和按需配置功能。

3 網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)應(yīng)用實(shí)踐

網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)是一個(gè)高度逼真的網(wǎng)絡(luò)學(xué)習(xí)平臺(tái)，提供了網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)攻防、數(shù)據(jù)分析、監(jiān)測(cè)與評(píng)估、實(shí)驗(yàn)管控等多種教學(xué)和管理功能。

3.1 網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)支持的知識(shí)體系

在網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)上，可以根據(jù)學(xué)習(xí)需要，利用系統(tǒng)提供的自動(dòng)生成功能按需生成各種網(wǎng)絡(luò)應(yīng)用環(huán)境，也可以通過開放的系統(tǒng)接口開發(fā)新的網(wǎng)絡(luò)安全攻防場(chǎng)景，在平臺(tái)上讓參訓(xùn)者對(duì)網(wǎng)絡(luò)安全知識(shí)進(jìn)行反復(fù)練習(xí)。在實(shí)驗(yàn)過程中，參訓(xùn)者可根據(jù)學(xué)習(xí)需要增刪或修改相關(guān)的參數(shù)，按時(shí)序?qū)^程進(jìn)行回放，回顧實(shí)驗(yàn)過程，從中發(fā)現(xiàn)存在的不足和需要改進(jìn)之處。網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)能夠提供的學(xué)習(xí)內(nèi)容，可根據(jù)具體需要進(jìn)行動(dòng)態(tài)調(diào)整和配置，表1 僅列出了實(shí)訓(xùn)平臺(tái)中涉及網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)的內(nèi)容［12-14］。

表1 網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)對(duì)網(wǎng)絡(luò)安全知識(shí)的支持

3.2 網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)的應(yīng)用

網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)以其結(jié)構(gòu)上的低耦合、可擴(kuò)展，內(nèi)容和功能上的可定制，應(yīng)用場(chǎng)景的可重構(gòu)等特點(diǎn)，在網(wǎng)絡(luò)安全人才培養(yǎng)中具有獨(dú)特的優(yōu)勢(shì)和不可替代的作用，具體表現(xiàn)為以下幾個(gè)方面：

1）為網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)提供平臺(tái)支撐。網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)能夠根據(jù)教學(xué)過程的具體需要，以鼠標(biāo)拖拽方式來構(gòu)建場(chǎng)景，自由設(shè)定網(wǎng)絡(luò)拓?fù)洌x擇所需要的網(wǎng)絡(luò)協(xié)議和服務(wù)，動(dòng)態(tài)配置網(wǎng)絡(luò)流量，評(píng)估實(shí)驗(yàn)內(nèi)容的難易程度和實(shí)驗(yàn)網(wǎng)絡(luò)的復(fù)雜性，進(jìn)行攻防態(tài)勢(shì)感知分析。

2）動(dòng)態(tài)生成實(shí)驗(yàn)環(huán)境并配置實(shí)驗(yàn)參數(shù)。考慮到不同教學(xué)設(shè)計(jì)要求，網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)能夠動(dòng)態(tài)創(chuàng)建虛擬網(wǎng)絡(luò)，以滿足當(dāng)前實(shí)驗(yàn)所需要的路由器、交換機(jī)、服務(wù)器、主機(jī)等虛擬化節(jié)點(diǎn)，對(duì)節(jié)點(diǎn)的IP 地址、MAC 地址、網(wǎng)關(guān)地址、路由協(xié)議、安全策略等參數(shù)進(jìn)行自動(dòng)配置。同時(shí)，平臺(tái)能夠?yàn)樘囟ǖ膶?shí)驗(yàn)環(huán)境人為設(shè)置系統(tǒng)漏洞，以測(cè)試參訓(xùn)者的漏洞發(fā)現(xiàn)和利用能力。為提高實(shí)驗(yàn)效率和管理水平，實(shí)驗(yàn)結(jié)束時(shí)對(duì)所涉及的虛擬機(jī)能夠靈活地進(jìn)行遷移、掛起或刪除等操作，實(shí)時(shí)釋放已分配的資源。

3）提供在線學(xué)習(xí)與演練功能［15］。根據(jù)教學(xué)要求，以可視化方式提供對(duì)攻防基礎(chǔ)知識(shí)、攻防過程的實(shí)現(xiàn)細(xì)節(jié)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，以及貼近實(shí)戰(zhàn)的攻防對(duì)抗演練及結(jié)果評(píng)定等功能。同時(shí)，當(dāng)參訓(xùn)者根據(jù)要求使用或開發(fā)出一款網(wǎng)絡(luò)攻擊或防御工具后，能夠借助平臺(tái)進(jìn)行應(yīng)用功能和效果的測(cè)試與驗(yàn)證，并為繼續(xù)修改完善提供幫助。

4）網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)驗(yàn)證［16］。本科教學(xué)涉及大量基礎(chǔ)知識(shí)的重現(xiàn)與復(fù)制，驗(yàn)證性實(shí)驗(yàn)有利于通過動(dòng)手操作再現(xiàn)技術(shù)細(xì)節(jié)和過程，使學(xué)生牢固掌握所學(xué)知識(shí)，并在學(xué)習(xí)過程中得到有益啟發(fā)。基礎(chǔ)知識(shí)驗(yàn)證實(shí)驗(yàn)所需要的環(huán)境一般較為穩(wěn)定，實(shí)驗(yàn)管理人員可以較為方便地部署不同的實(shí)驗(yàn)場(chǎng)景，學(xué)生可以在實(shí)驗(yàn)過程中進(jìn)行反復(fù)演練。

另外，在“以賽促教、以賽促學(xué)、以賽促用”的大背景下，網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)還支撐各種類型的競(jìng)賽功能，該功能的實(shí)現(xiàn)形式與目前流行的CTF（Capture The Flag，奪旗賽）［17］相一致，可以根據(jù)需要，選擇線上比賽（多用于正式比賽前的選拔賽）、網(wǎng)絡(luò)攻防對(duì)抗比賽或網(wǎng)絡(luò)安全競(jìng)賽等方式，實(shí)現(xiàn)了參訓(xùn)者在網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)中進(jìn)行類似于黑客在互聯(lián)網(wǎng)真實(shí)環(huán)境中的攻擊行為，比賽團(tuán)隊(duì)之間通過攻防對(duì)抗、程序分析、解題等方式展示各自的技術(shù)水平［18-19］。同時(shí)，比賽平臺(tái)通過引入圖形化界面，可以實(shí)時(shí)查看攻防情況，使得比賽更加公平且具有觀賞性。

4 結(jié)論

網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)主要作為高校網(wǎng)絡(luò)攻防實(shí)訓(xùn)、演練、模擬對(duì)抗的實(shí)訓(xùn)平臺(tái)，旨在培養(yǎng)學(xué)生的網(wǎng)絡(luò)安全理論知識(shí)，提升網(wǎng)絡(luò)安全技能和素養(yǎng)。網(wǎng)絡(luò)靶場(chǎng)實(shí)訓(xùn)平臺(tái)以模擬真實(shí)網(wǎng)絡(luò)案例為基礎(chǔ)，提供完整的、一體化的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境，將原來單一、松散、缺乏關(guān)聯(lián)性的內(nèi)容集中到靶場(chǎng)這一特定平臺(tái)上，在學(xué)習(xí)中體現(xiàn)了真實(shí)性、實(shí)用性、綜合性、開放性及實(shí)踐性等特點(diǎn)，利于激發(fā)學(xué)生的學(xué)習(xí)興趣和自主學(xué)習(xí)能力。平臺(tái)除提供了網(wǎng)絡(luò)安全知識(shí)的學(xué)習(xí)功能外，還可以進(jìn)行融趣味性、知識(shí)性和挑戰(zhàn)性于一體的綜合性實(shí)戰(zhàn)演練，豐富了教學(xué)內(nèi)容和方式。網(wǎng)絡(luò)靶場(chǎng)在本單位的教學(xué)、第二課堂專門人才訓(xùn)練、大學(xué)生創(chuàng)新創(chuàng)業(yè)等人才培養(yǎng)過程中發(fā)揮著不可替代的作用。