網絡靶場及其關鍵技術研究

李馥娟，王 群

江蘇警官學院 計算機信息與網絡安全系，南京 210031

網絡空間是一個信息技術與物理實體深度融合后形成的虛實結合的復雜系統，其中設備種類、鏈路類型、路由選擇、拓撲結構、應用需求、用戶特征等諸多組成要件具有極大的不確定性，這也使得網絡空間安全研究在理論驗證、技術實現、應用實踐等方面面臨著一系列的挑戰，也迫使研究者需要采取創新的思路和方法對已有的驗證、測試、評估等一系列過程和環節進行革新，從而構建一個可控、可管、可信、可按需定制的網絡空間安全環境，并對網絡空間活動和安全能力進行系統研究。在此背景下，網絡靶場應運而生，并將其作為網絡安全理論研究和技術應用的一種手段、方法、途徑和基礎設施，以及在當前和未來網絡空間安全競爭中不會受制于人的一種戰略部署和應用保障，快速引起了學術界和工業界的普遍關注[1-2]。本文對網絡靶場的概念、功能和組成進行了系統闡述，重點討論了JIOR（join information operations range，美國聯合信息作戰靶場）、JCOR（join cyber operation range，美國聯合網絡空間作戰靶場）、NCR（national cyber range，美國國家網絡靶場）和PCTE（persistent cyber training environment，美國持續網絡訓練環境）等典型網絡靶場的建設思路和涉及到的關鍵技術，并對網絡靶場發展趨勢進行了必要的展望。

1 網絡靶場概述

1.1 網絡靶場的概念

“靶場”（range）的概念最早出現在美國軍方的信息戰（information operations，IO）描述中，從其字眼和出現場景可以看出，靶場一詞至少存在“進攻”和“訓練”兩個基本屬性。類似于射擊訓練的射擊場，靶場應提供訓練靶標、訓練精度和進度的度量方法以及對訓練結果的定量與定性分析評估等內容。

網絡靶場（cyber range）也稱為“網絡空間靶場”（cyberspace range）或“賽博靶場”，根據建設目的的不同，不同行業和機構對網絡靶場存在著不同的認識[3-5]：美國國家標準與技術研究院（NIST）將網絡靶場定義為與靶場擁有者的本地網絡、系統、工具和應用程序相關聯的可交互的模擬平臺，該定義體現了網絡靶場的本質是通過模擬技術在已有網絡基礎上的擴展，但缺少對網絡靶場具體功能的定義；美國國防部高級研究計劃局（DAPRA）認為網絡靶場是網絡空間安全科學研究、測量和分析的科學裝置，該定義強調了網絡靶場的適用范圍是整個網絡空間，主要功能是技術研究，但沒有對具體實現技術和方法進行描述，只認為網絡靶場是一種“科學裝置”，較為抽象；在軍事應用領域，網絡靶場則看成是為了應對網絡空間攻防對抗和網絡武器裝備研發要求，為實現近似實戰的網絡空間作戰環境而構建的綜合實驗實訓平臺，該定義具有明顯的行業應用特色，突出了網絡靶場的“攻、防”特征，但缺乏對網絡靶場的整體性定義，等等。

綜合各方面的研究共識，本文重點從建設目的、應用功能、實現途徑、關鍵技術等方面考慮，將網絡靶場定義為：為了適應信息技術快速發展的要求，有效應對日益嚴峻的網絡空間對抗形勢，主要由軍隊、政府、科研機構、高校等行業針對網絡武器裝備研發、網絡攻防對抗演練、網絡風險評估、網絡技術驗證、網絡工具測試、網絡安全人才培養等工作需要，通過計算機仿真和網絡模擬技術創建的高度近似于真實網絡空間運行機制的可信、可控、可定制的重要信息基礎設施。該定義立足網絡空間這一特定領域，力求對網絡靶場概念的描述更加具體、全面和清晰。

在網絡靶場建設方面，雖然英國、法國、德國、俄羅斯、日本、韓國等國家都結合本國網絡安全現狀和發展戰略進行了理論探索和實踐應用，但美國整體上走在了前列[3]。為此，本文主要借鑒美國網絡靶場建設的成功經驗進行論述。

1.2 網絡靶場基本功能

雖然不同類型網絡靶場的建設目標不盡相同，但一般都提供以下的基本功能或服務能力：

（1）復雜網絡仿真。可實現對各類網絡節點的仿真，構建虛擬與現實相結合的網絡環境；在實現對復雜網絡環境中多通信模式、多接入形態、極限流量、高并發網絡等模擬仿真的基礎上，還能夠對選定網絡進行節點控制、數據流量配置、特征數據包截獲與分析等操作；利用大數據技術，實現針對網絡流量、網絡攻防、資源占用、分析評估、態勢感知等過程和結果的可視化展示，將虛擬空間隱含的信息流以簡潔、直觀的方式實時顯示出來。

（2）可定制的多維度攻防演練和性能測試。通過目標網絡動態部署、網絡拓撲按需生成、實驗數據動態采集等配置手段，能夠實施多維度、可定制的DDoS、蜜罐、影子系統、SQL注入、漏洞挖掘和利用等攻防演練，并在此過程中針對具體戰法進行提煉、推演和評估提升；為應用系統提供持久化安全測試環境，有效解決生產系統無法實時針對新的安全事件進行有效測試的難題。

（3）優化網絡整體性能。作為針對網絡攻防對抗演練和網絡新技術研發測試的重要基礎設施，可以將各種攻防工具和戰法置于網絡靶場環境，通過對測試環境的流程步驟設計、測試過程管理、流量回放、系統重置、測試狀態動態查詢和結果可視化展示等方式，經過反復多次實驗，優化攻防工具和戰法的效果，最終實現對具體攻防技術的有效性驗證和功能優化，提高網絡和信息系統的整體性能。

（4）攻防測評與評估。由于運行中的生產網絡的特殊性，大量針對網絡攻防的測試和評估必須放在網絡靶場中進行。網絡安全技術人員基于網絡靶場可快速搭建包含互聯網、工業控制系統、物聯網、大規模軍事網絡、戰術軍事無線網絡等網絡環境，也可根據需要將多個異構網絡進行互聯，在高逼真網絡實驗環境下實現新技術和新設備的測試與評估，并根據結果不斷優化網絡協議、完善攻擊手段和防御策略以及改進設備性能。

（5）網絡安全人才培養。為網絡安全人員提供自主學習、綜合演練和技能競賽支撐，以使受訓人員能夠快速有效掌握各類新型網絡攻防工具的應用，并對相關的安全滲透和防御策略進行演練。同時，還能夠支持培訓、競賽、能力認證等功能。

2 典型網絡靶場功能分析

本章內容主要選擇典型的4個美國軍用網絡靶場進行分析。除此之外，表1還列出了部分具有代表性的網絡靶場的基本信息。

表1 典型網絡靶場簡介Table 1 Brief introduction of typical cyberspace ranges

2.1 聯合信息作戰靶場（JIOR）

聯合信息作戰靶場（JIOR）是美軍聯合參謀部主導建設的網絡靶場項目[6]，該項目主要起源于2003年10月美軍為研究信息技術對軍事變革和作戰產生影響而制定的《信息作戰路線圖》（正式對外公布為2006年1月），指出美國國防部需要建設一個可集成的測試靶場，以增加美軍參戰部隊成員的網絡攻擊能力，培養作戰人員的信心。該測試靶場支持計算機網絡攻擊、電子戰和其他的信息作戰功能。

JIOR具有以下主要特征：可擴展、可移植的安全網絡測試隔離環境，為在分布式網絡環境中同時進行多項測試和演習提供服務能力和安全隔離保障；分布式部署和接入環境，一方面可安全接入美軍分布在各地的測試網絡，如現有和擴展中的國防信息系統網絡（defense information system network，DISN）、國防研究和工程網（defense research and engineering network，DREN）等，另一方面美軍測試人員可以通過VPN等方式遠程接入網絡進行安全測試；通過威脅環境、關鍵基礎架構和關鍵資源、流量仿真、網絡仿真、網絡紅藍對抗等網絡能力，同時支持從未分級到敏感隔離信息（sensitive compartmentalized information，SCI）共7個安全等級的攻防功能，為美國國防情報局（Defense Intelligence Agency，DIA）和美軍作戰司令部提供安全測試和培訓服務[7]。

JIOR是一個連接節點覆蓋美軍全球各基地的分布式網絡。根據美軍作戰演習要求，將JIOR劃分為多個不同的功能單元，這些單元通過既定規劃設計和網絡連接設備互聯后，就可以組成一個虛擬的測試靶場。JIOR最主要的3個單元分別是：

（1）學習環境規劃單元。該單元由一批熟悉軍事、網絡安全、信息作戰等領域專業知識的專家組成，負責網絡作戰演習活動的總體策劃，以及協調和設計網絡演習所需要的環境，以滿足作戰司令部、政府或其他研究機構的網絡和信息作戰要求。

（2）學習監控和分析單元。借助安全防護手段，在安全接入網絡靶場環境后，對正在進行的網絡安全作戰演習的進程和任務進行監控、分析和引導，對演習過程中出現的異常或緊急事件進行有效處置等。

（3）作戰執行和工程操作單元。該單元是作戰演習的具體執行者，主要由參與作戰演習的美軍各軍兵種組成，演習者根據具體情況和需要，可以在美軍基地或他們地方以安全方式授權接入網絡后執行作戰演習任務。

目前，JIOR的應用已從美國軍隊擴展到政府機構、安全聯盟、國民警衛隊等領域，其擁有的節點數也在隨著建設進度的推進不斷增加。另外，除信息作戰和電子戰等演練外，JIOR還向美軍提供各種網絡武器裝備的訓練服務。

2.2 聯合網絡空間作戰靶場（JCOR）

聯合網絡空間作戰靶場（JCOR）[8]是美國國防部為了應對快速發展和不斷變化的網絡攻防訓練需要，利用美國空軍擁有的成熟的網絡仿真技術和已取得的經驗，為網絡空間作戰人員和其他網絡安全技術人員專門開發的用于進行系統學習、訓練和軍事演習的網絡靶場。

目前，JCOR主要由美國空軍模擬器（SIMTEX）、海軍網絡空間作戰靶場（U.S.navy cyberspace operations range，NCOR）、陸軍國民警衛隊模擬器（army guard enhanced network training simulator，ARGENTS）和美國戰略司令部網絡空間訓練環境（U.S.strategic command cyberspace training environment，SCOR）等各軍兵種及相關單位的主要用于網絡訓練和學習的模擬器組成，隸屬于不同單位的模擬器經過集成后便構建起一個連接范圍廣泛、資源眾多、功能豐富的聯合網絡靶場，提供大規模的網絡仿真，實現網絡攻防演練、人員培訓、事件推演、資格認證等服務能力。在美軍戰略司令部的統一指導下，各單位按照既定標準及各自需求獨立完成模擬器的開發建設。除了針對不同的軍兵種創建不同應用功能的模擬器外，JCOR還提供了針對其他不同任務和攻防場景的模擬器，這些以模塊化形式存在的特定任務訓練器，無論是開發過程還是訓練操作都具有相對的獨立性和靈活性。同時，通過將不同的特定任務訓練器組合后，可以在同一網絡中同時實現多個不同的攻擊事件，模擬大型復雜網絡中的攻防行為并進行演練。另外，美國空軍的模擬器中還專門提供了針對互聯網仿真的模擬器，作為在互聯網環境中進行防御作戰的訓練靶場。

雖然JCOR主要由美軍陸、海、空等單位開發的模擬器組成，但隸屬于美國空軍的SIMTEX模擬器在整個系統中發揮著核心作用。SIMTEX模擬器源于2002年美國空軍的“Black Demon”項目，最初借鑒美國空軍成熟的飛行模擬器開發技術和應用經驗來模擬構建網絡作戰訓練靶場，為美國空軍提供威脅識別、Web攻擊、病毒及其他惡意代碼入侵檢測等訓練服務。SIMTEX模擬器目前已經發展到第三代，網絡結構如圖1所示。以SIMTEX模擬器為核心的JCOR的主要功能特征為：

圖1 SIMTEX模擬器網絡架構Fig.1 SIMTEX simulator network architecture

（1）豐富的模擬功能模塊。通過SIMTEX模擬器節點，提供包括互聯網模擬、攻擊行為模擬、內網環境模擬、流量模擬和后臺管理等功能模塊。

（2）基于開放系統體系結構的網絡環境。通過提供一個開放的系統體系結構標準，SIMTEX模擬器已經成為JCOR的核心，除通過計算機仿真技術實現模擬真實流量中的攻擊事件、社會網絡服務（如FacebookTwitter等）、Internet、快速網絡恢復、大規模用戶、攻擊管理等能力外，還實現了與美國陸、海、空及其他單位網絡靶場之間的集成。

（3）對新應用的模擬演練。針對網絡空間發展，采用人工智能、數字孿生等技術建設對關鍵信息基礎設施和工業控制系統的模擬，通過自動化場景構建技術實現對人員進行訓練，以擴展JCOR的應用范圍，應對新出現的網絡威脅。

2013年，JCOR實現了與美國國家網絡靶場（NCR）的集成，并開始為國家級的網絡空間攻防技術研究和網絡攻防演習（如網絡風暴、網絡奪旗、網絡閃電等）提供基礎設施支撐和服務保障。

2.3 國家網絡靶場（NCR）

國家網絡靶場（NCR）[9-10]于2008年由美國國防部高級研究計劃局（DAPRA）主導，聯合60余家企業和研究機構共同建設，旨在為美國國防部、陸海空三軍和其他政府機構的網絡攻擊與防御和電子對抗等作戰過程提供網絡實驗環境，為網絡武器裝備研發與評估、網絡安全人才培養、網絡戰術/技術/過程（tactics/techniques/procedures，TTP）提供基礎設施保障。NCR通過集成大量的虛擬機和物理硬件，通過流量模擬、端口/協議/服務漏洞掃描和數據捕獲工具來模擬一個類似Internet的環境，以高度逼真的方式模擬復雜的互聯網和國防部通信網絡的規模和多樣性，真實呈現當前和預期的攻擊策略（如惡意軟件、DDoS、跨站點腳本攻擊等），已成為測試和評估各種網絡研發項目的國家級資源。從2012年10開始，美國國防部（DoD）實驗資源管理中心（TRMC）開始從DAPRA接管NCR，由洛克希德.馬丁公司負責運維管理。其中：

（1）基礎設施。除具備高規格的承載網絡靶場運行所需要的軟硬件資源池外，還提供網絡靶場建設所需要的場地、配套的電力資源、通信設備等基礎設施。其中，作為NCR基礎架構的云資源池融合了云計算和軟件定義（網絡、存儲、數據中心等）等技術，將離散、異構的資源集中在一個資源池中進行統一調度、配置和管理，提升了網絡靶場基礎設施部署的效率和靈活性。

（2）封閉架構和操作流程。通過對相互隔離的具有不同安全級別（未分類、機密、絕密等）的計算、存儲和網絡資源的有效整合和安全調用，可根據需要模擬各類應用場景，并實現對NCR資源的快速清理和重用，同時通過構建和設計邏輯組件、定義服務結構和流程來生成相應服務，并進行服務生命周期的全過程管理。

（3）集成網絡事件工具集。通過“支持事件計劃的工具集”“定義和管理資源需求的工具集”以及“自動建設、驗證和清理環境以及事件執行的工具集”3類主要的工具集，為測試團隊成員提供便捷、可靠、高效的事件環境創建和評估測試活動所需要的各類工具（資源庫），通過該工具集可自動完成靶場的測試和評估等工作。

（4）與其他靶場之間的安全連接。通過網絡靶場提供的技術集成和接口服務功能，可實現NCR與其他網絡靶場之間的安全連接，在將其他網絡靶場的資源整合進NCR的同時，為其他網絡靶場提供計算能力和模擬仿真服務功能。其中，NCR主要連接的網絡靶場有美軍的JIOR和美國國防部的JMETC（joint mission environment test capability，聯合任務環境測試能力）。

（5）網絡測試團隊。NCR擁有一支多元化、經驗豐富的專業網絡安全測試團隊，由該團隊成員為NCR提供測試床設計、網絡與測試方案制訂、威脅向量研發、自定義流量生成、自定義傳感器、自定義軟硬件、自定義數據分析、端到端測試等全方位的服務功能。

2016年，為了滿足對快速發展中的網絡安全測試和評估以及美國國防部網絡任務部隊（Cyber Mission Force，CMF）快速增長的培訓和認證工作需求，TRMC實施了一項稱為美國“國家網絡空間靶場綜合設施”（national cyber range complex，NCRC）的計劃，該計劃通過將位于不同地點的新建設施以“新站點”的方式納入NCR，以此來擴大NCR的網絡容量和互聯范圍，從而擴充NCR的能力。

2.4 美國持續網絡訓練環境（PCTE）

為了應對日益復雜和嚴峻的網絡空間安全威脅，美國網絡司令部（2018年5月4日升級為聯合作戰司令部）于2012年成立了用于指導、同步和協調網絡空間行動的部門，即網絡任務部隊（CMF）。與此同時，為了維護CMF的網絡作戰能力，需要一個能夠為訓練內容和要求提供技術和環境支持的網絡靶場環境，然而當時的NCR等國家級網絡靶場因其在設計之初并未充分考慮未來網絡作戰要求，而且已有訓練體系無法滿足分散在各地的各軍種網絡作戰部隊的訓練，同時現有靶場資源對訓練內容的服務能力嚴重不足。因此，美國國防部于2016年開始建設一個能夠為CMF提供持久的場景計劃管理、高標準訓練要求和高質量推演能力的訓練平臺，即持續網絡訓練環境（PCTE）[11]。PCTE基于混合式云端服務（hybrid cloud），將訓練內容與資源進行有效整合并集中化后提供一個統一的平臺，圖2所示的是PCTE的網絡架構[11-12]。

圖2 PCTE網絡架構Fig.2 PCTE network architecture

結合一個具體的演訓流程，可以將PCTE網絡架構按功能劃分為以下幾個組成單元：

（1）確定訓練任務，設置訓練條件和標準，創建操作環境。

（2）創建訓練計劃（項目），發現或修改訓練內容。不同于現有的大部分網絡靶場，PCTE對訓練內容與項目的設置是在互動式環境下動態進行，是一種“無劇本演習”的虛擬環境。

（3）規劃和設計訓練內容。訓練內容主要由內容庫（content library）、數據倉庫（data repository）、武器裝置（weapon systems）、工具（tools）、典型環境（representative environments）、自動評估（automated assessments）和自動執行者（automated actors）等組件支持，訓練內容會根據訓練者的需求和訓練目標自動執行。

（4）為訓練項目和內容提供靶場資源。PCTE充分利用已有的分布在美國各地的NCR、CSR、JIOR、C5AD和DECRE（DoD enterprise cyber range environment，國防部企業網絡靶場環境）大型國家級網絡靶場，以及政府、學術機構、商業等行業靶場資源，發揮網絡空間集成作戰平臺的功能，可以使CMF使用當前網絡跨越不同類別的封閉式網絡在模擬網絡環境下進行大規模訓練或個人及團隊培訓。

（5）自動化執行演訓計劃。在內部資源（數據倉庫、本地或遠程計算機及存儲資源、自動評估等）和外部資源（各類已有網絡靶場）的支持下，實現對已創建計劃的自動執行。

（6）收集數據，對演訓過程進行回放、推演，對結果進行評估。

PCTE項目還在推進中，按照合同約定的時間，整體項目要到2022年才能完成。整個PCTE項目的建設目標是減少操作所需要的時間，增加訓練量，增加培訓場景或模擬環境的重用，提高培訓質量，以及提高CMF訓練的支持容量。

2.5 典型靶場比較分析

在2020年6月美國NICE（national initiative for cybersecurity education，國家網絡安全教育計劃）發布的The cyber range：a guide[13]（網絡靶場指南）中，根據實現技術的不同，將網絡靶場分為模擬類、仿真類、疊加類和混合類4種類型。

JIOR和NCR是典型的仿真類靶場，需要在專用測試平臺中配置出測試環境來運行真實的軟件，所以硬件投入較高，對硬件性能的依賴性較強。其中，JIOR運行在一個相對封閉的網絡環境中，不同網絡或小型靶場之間通過VPN或專線連接，用戶通過VPN等安全方式登錄，并進行嚴格的身份認證和資源授權，確保系統的安全性；NCR提供的是一個“測試平臺”，主要對各種網絡技術和安全技術進行定量測試和定性評估提供一個類似于Internet規模的安全可控的測試環境，對全新操作系統、系統內核、主機安全系統、網絡安全工具和組件、網絡拓撲和協議等信息技術發展的最新成果進行測試。NCR的應用和管理相對開放，其技術實現涉及到異構網絡之間的互聯以及更大規范的資源調度和共享。

JCOR與JIOR在實現技術上存在較大差異，JIOR是基于真實的美軍分布在各基地的網絡測試環境互聯后形成的更大范圍和更強功能的聯合測試靶場，而JCOR是一類仿真類靶場，是基于建模和計算機仿真技術構建的功能豐富的虛擬網絡靶場。模擬類靶場通過數學建模來創建網絡實體的虛擬模型，借助數據模擬網絡實體在真實網絡中的行為，通過交互反饋、數據融合、決策迭代、算法優化等手段，實現與真實網絡環境相同的功能。作為一種充分利用模型、數據、智能分析等多種技術的網絡靶場，與仿真類靶場相比，模擬類靶場雖然部署相對容易，但模擬效果與實現技術之間的關聯度較高。

PCTE屬于混合類靶場，它充分借鑒了仿真類和模擬類靶場的建設經驗，并吸收了運行在生產網絡環境中的疊加類靶場的特點，同時利用云服務、網絡虛擬化、數字孿生、人工智能輔助、游戲化機制、軟件定義等技術，最大限度實現物理與虛擬有機融合、各類場景快速生成、大規模環境生成與復制以及資源快速回收與利用。與其他類型的靶場相比，PCTE的雖然具有明顯優勢，但對技術實現以及不同功能集成的要求較高。以虛擬仿真為主、虛實結合的混全類靶場是未來網絡靶場建設和發展的方向。

相比而言，目前國內網絡靶場的規模較小，應用較為單一，應用類型主要以網絡安全人才培養所需要的教學培訓和攻防比賽類靶場居多。從實現技術來看，這些靶場多為基于虛擬化環境的模擬類靶場，虛實結合的混合類靶場較少。以目前在國內影響較大的攻防比賽靶場為例，多數靶場的針對性較強，但可擴展性較差，而且賽后的總結分析和回溯推演功能較弱，只能稱作單一功能的靶場。但國內一些高校、研究機構和企業已充分利用各類先進技術，借鑒國外先進網絡靶場的建設經驗，開始關注基于人工智能技術的智能化攻防靶場、工業控制系統靶場、信創靶場的研究和建設，期待在專用靶場建設中取得突破。另外，針對目前國內網絡安全攻防競賽持續升溫的需要，可以借鑒IBM X-Force Command[14]靶場的模塊化、整體交付模式，將整個網絡靶場功能高密度集成到一個可定制的封閉空間（如車輛）中，便于部署和維護。

針對本節介紹的4種典型網絡靶場，表2重點從建設思路、功能要求、技術特征與發展趨勢等方面進行了比較分析。

表2 4種典型網絡靶場的性能比較Table 2 Performance comparison of four typical cyberspace ranges

3 關鍵技術分析

3.1 大規模網絡仿真

無論是全網模擬還是虛實結合，網絡靶場的建設都離不開大規模網絡仿真技術。網絡仿真集中于網絡拓撲仿真和網絡協議的仿真，主要包括網絡模型仿真、節點仿真和鏈路仿真3個方面。

3.1.1 網絡模型仿真

生醋經勾兌后煮沸、殺菌、調味、存儲、再勾兌灌裝，得到成品。此階段涉及的傳統設備有池、缸、罐、加熱鍋，可用機械設備有不銹鋼泵、壓蓋器具、打包機、傳送帶等。

網絡模型是構建網絡的基礎，不同的網絡應用類型其模型不盡相同。典型的網絡模型主要有NS2（network simulator，version 2）[15]和Cisco Packet Tracer[16]，其中NS2是由UC Berkeley大學開發的一種面向對象的網絡仿真器，本質上是一個離散事件模擬器，能夠模擬不同規模的網絡場景；Cisco Packet Tracer是Cisco公司打造的一款網絡模擬工具，可為用戶提供與真實網絡相同的操作體驗，用戶可以通過該工具來模擬使用路由器、交換機和其他各種設備構建不同類型的網絡。

3.1.2 節點仿真

節點仿真實現對主機、路由器、交換機、防火墻等網絡節點的仿真，多采用虛擬化技術來實現，即實現節點的虛擬化。典型的節點虛擬化技術或產品有OpenStack[17]、docker[18]和KVM（kernel based virtual machine）[19]。其中，OpenStack是一個為云環境提供服務的開源云計算管理平臺，涵蓋了網絡、虛擬化、操作系統、服務器等各個方面，可以幫助服務商和企業內部實現云基礎架構服務；docker是一種開源虛擬化容器技術，是一個完全使用沙箱機制的容器，在每一個容器上運行一個虛擬機。另外，docker具有可移植性和復用性，一臺主機上可以運行多個容器，而且不同容器之間不存在任何接口，相互獨立，確保運行過程和結果的相互隔離，進而實現安全目的；KVM是一項內核級虛擬化技術，它在x86硬件平臺上充分利用了Linux Kernel的特性，支持常見的Windows、Linux等操作系統，而且部署靈活，維護的復雜度較小。

3.1.3 鏈路仿真

鏈路仿真實現對節點之間物理鏈路（如光纖、雙絞線等）和虛擬鏈路（如VLAN、聚合鏈路等）的仿真。Emulab[20-21]是一款典型的鏈路仿真軟件，另外許多網絡模型仿真軟件也提供了功能豐富、性能逼真的鏈路仿真功能。Emulab是由美國Utah大學開發的集成軟硬件設備的網絡與分布式系統測試平臺，它基于網絡協議棧來有效地攔截網絡流量，并以管道方式來模擬與鏈路相關的帶寬、丟包率、延時等性能參數，同時提供了對宿主機內部鏈路的仿真功能。

網絡靶場建設是一個復雜的過程。例如，雖然NS2提供了大規模網絡仿真功能，但在對網絡節點仿真時其逼真度難以達到要求；另外，KVM雖然得到了絕大部分用戶的認可，但它并不是一個完整的模擬器，具體的模擬器功能還需要借助QEMU（虛擬化模擬器）來完成，等等。從拓撲結構來看，網絡靶場由大量功能各異的節點通過不同的鏈路連接而成，在此基礎上實現不同網絡模型所要求的功能。為此，如何有效利用已有技術，并實現不同技術在應用上的深度融合是網絡靶場建設重點關注的問題之一。在眾多的技術方案中，雖然軟件定義網絡（software defined network，SDN）[22]技術并不是專門為大規模網絡仿真來設計，但其將數據層與控制臺隔離、基于整個網絡架構實現網絡虛擬化、自動配置網絡功能等技術線路，以及靈活搭建網絡和快速大規模部署等特征，對網絡靶場的建設具有借鑒意義。

3.2 大規模網絡流量模擬

網絡流量是承載信息的動態數據流，反映網絡的基本特征和服務能力，具有典型的非線性和突發性表現特征。網絡仿真技術相對比較成熟，而網絡流量由于具有動態性和難以預測等特點，所以網絡流量模擬成為網絡靶場建設中的熱點和難點之一。大規模網絡流量模擬主要包括流量預測和流量回放兩個方面，可分別建立數學過程，利用數學模型來模擬生成網絡流量。

3.2.1 流量預測

雖然網絡流量具有非線性和突變性等特征，但具有自身內在的變化規律，這使得網絡流量預測成為可能。在網絡流量可預測這一前提下，便可以制定符合網絡行為的流量產生機制，合理地調度和分配網絡資源，模擬符合應用要求的網絡流量。網絡流量預測可利用數學方法，通過建立數學模型來描述與網絡流量相關的統計特征。網絡靶場中所采用的流量預測模型可分為單一預測模型和組合預測模型兩類。

（1）單一預測模型。單一預測模型是一種傳統的流量預測模型，即采用一種數學模型來對網絡流量進行預測。例如，通過觀測，在獲得了一組時間序列數據xn(n=1,2,…)后，便可以建立一個數學模型，再利用該模型來預測xn+k(k=1,2,…)時刻的流量。根據輸入輸出數據之間的關系，單一預測模型又分為單一線性預測模型和單一非線性預測模型兩類。其中，在單一線性預測模型中，網絡流量服從泊松分布或馬爾可夫過程，常常采用基于自回歸（autoregression，AR）或自回歸滑動平均（auto-regressive moving average，ARMA）的線性預測方法。近年來，研究人員又提出了基于自相似性的流量模型，來描述網絡流量的長相關性和突發性等特征[23]。雖然單一線性預測模型的數學理論比較完善，在早期的網絡中能夠很好地進行網絡流量預測，但近年來隨著網絡應用復雜性的不斷提高，線性預測無法精確描述網絡中實際發生的流量；隨著智能算法的發展，其靈活高效的學習方式和良好的非線性映射能力，在大規模網絡流量預測應用中表現出了其優勢，單一非線性預測模型開始得到重視。典型的非線性預測模型包括小波分析模型、神經網絡模型、混沌模型、支持向量機模型、灰色模型等。其中，神經網絡模型具有較強的自學習能力，非常接近復雜網絡非線性系統的流量特征[24]，可很好地應用于非線性時間序列的流量預測。

（2）組合預測模型。隨著網絡應用的快速發展，新的協議不斷出現，已有協議頻繁迭代，使得網絡流量表現出隨機性和不確定性，這些非線性、多時間尺度的變化特征無法采用單一預測模型來描述，只能通過突發性、周期性、長相關和混沌性等來反映。在此情況下，為了能夠更有效地反映網絡流量的真實特征，可以在單一預測的基礎上，把不同預測模型有機結合起來，以提高預測的精度和可靠性。典型的組合預測模型有灰色神經網絡模型、小波與時間序列結合的模型、小波神經網絡模型等[25]。

早期的網絡應用相對單一，網絡流量表現為平穩序列，網絡模型所需要的訓練樣本較少，算法較為簡單，而且預測精度較高。隨著網絡應用變得越來越復雜，流量預測中需要反映流量的長相關、自相似等特征，雖然組合預測模型發揮了應用優勢，但在算法的擬合和重構過程中需要避免單一預測算法的干擾，防止誤差在結合過程中的疊加和放大。

3.2.2 流量回放

流量回放是使用流量嗅探和捕獲工具，事先從真實網絡中獲取流量數據，并將其記錄下來。然后，當網絡中需要相應的數據流時，便通過專用的回放系統將流量有序注入到網絡中，來再現網絡情形。與預測模型生成的流量相比，用回放方式產生的是包含應用（或協議）和干擾數據（背景流量）的真實數據流量，再現了真實的網絡環境。但由于流量在捕獲時具有對象固定（如僅捕獲TCP流量或UDP流量等）、環境特定（如某個局域網、某個網絡主干出口等）、時間設定（設定的時間段）等特點，利用回放方式生成的網絡流量往往具有一定的局限性，其用戶行為和流量特征較難適應每個網絡的應用要求。針對虛擬網絡環境中的流量回放技術，近年來研究人員提出了一些新的方法，例如文獻[26]基于IP-Mapping的虛擬網絡流量回放，不僅可以充分發揮流量的數據價值，還可以引入背景流量，完全還原待研究行為的實際細節，從而增強虛擬網絡的真實性；文獻[27]研究了縮小回放環境下交互式流量回放的問題，提出了一種多節點的流量回放方法，該方法通過設計了一種自選IP映射算法來構建模擬網絡和真實網絡之間的IP映射，再現真實網絡節點之間的交互過程，該方法能夠更好地對大流量進行聚合，并在回放時序和帶寬方面達到較高的相似度。

3.3 用戶行為模擬

在互聯網環境中，用戶行為是指用戶之間、用戶與服務之間在特定時間或時間段相互操作產生的行為。網絡流量特征與用戶行為之間存在關聯性，只有全面了解和掌握用戶的網絡行為，才能深入理解網絡流量的構成以及流量的變化規律。在進行大規模網絡流量模擬時，需要綜合運用多學科知識來研究和分析網絡流量的構成，通過數學建模來反映網絡流量的特征及與用戶之間的關聯性。

根據研究對象的不同，用戶網絡行為可以分為個體行為和群體行為兩類。其中，根據用戶行為發生位置的不同，個體行為又分為微觀行為和宏觀行為兩類。微觀個體行為重點研究用戶端的操作行為，例如，用戶登錄網絡時采用的接入方式（有線接入還是無線接入）、接入端使用的操作系統類型、信息輸入方式（語音輸入、鍵盤輸入或手寫輸入等）等；而宏觀個體行為則重點研究服務端的操作行為，例如什么時間使用什么軟件登錄過什么平臺、登錄是否成功、登錄后進行了哪些操作等。對于個體行為來說，可以通過數學建模來模擬個體的行為習慣，并預測其行為序列。網絡群體行為研究的對象是具有直接關聯或間接關聯的群體，通過數學建模來刻畫群體用戶的行為特征。例如，文獻[28]設計了一種虛擬社交網絡中的群體用戶網絡行為的模擬算法，該算法基于SIR模型來分析虛擬社交網絡中的用戶Web行為，取得了與真實網絡高度擬合的效果；文獻[29]在基于Linux Docker虛擬化環境中，對比分析了bridge和macvlan模式下網絡的吞吐量和時延等指標性能，得出在相同物理資源條件下，macvlan組網方式的網絡性能最好，bridge方式的網絡性能最差，該研究對大規模網絡用戶行為模擬中提高與真實網絡環境的相似性具有重要意義。

在研究網絡流量特征時需要特別注意與用戶行為之間的關系。在分析網絡中的個體行為和群體行為時，如果離開了對用戶行為的分析，那么網絡流量模擬則缺乏相應的依據。在進行大規模網絡行為模擬時，由于用戶群過于龐大，而且網絡環境非常復雜，所以在對網絡用戶及其行為進行歸類和分析時，現有的研究成果很難通過特定的行為模型實現對種類繁多的應用場景的刻畫，而更多的是在廣泛捕獲和提取特征數據的基礎上，通過統計分析、關聯數據分析、聚類分析、神經網絡等方法，針對特定應用場景（如Web應用、社交網絡等）或服務類型（如P2P、HTTP/HTTPS等）對用戶數據進行擬合，進而預測用戶的行為。如何綜合運行大數據、深度學習等技術，對復雜網絡環境中的用戶行為進行細粒度分析，將成為一個研究方向。

4 網絡靶場發展與展望

4.1 網絡靶場的發展

網絡靶場的實現技術和提供的服務能力，在隨著信息技術的快速發展不斷更新迭代，其中：早期的蜜罐系統實現了對木馬程序及軟件后門繞過防火墻和殺病毒軟件等安全防護系統的測試，可以看作是網絡靶場的雛形；利用云計算、軟件定義（網絡、存儲等）等虛擬化技術，實現了在有限范圍內模擬互聯網環境中的攻防對抗和對網絡武器裝備的評測，使網絡靶場更加貼近于實戰；隨著計算機仿真、虛擬化技術、人工智能、智能感知、無線通信、工業互聯網等技術的不斷成熟和深度融合，以及互聯網泛在化進程的快速推進，虛實結合的大規模復雜網絡靶場成為建設和研究的主流[30-32]。

目前，隨著信息技術應用領域的不斷拓寬以及網絡安全威脅的日益加劇，社會各個領域根據安全態勢研究需要建設符合各自應用特點的網絡靶場，主要包括：云計算系統安全驗證靶場、大數據平臺安全驗證靶場、人工智能系統安全驗證靶場、移動互聯網及無線安全測試靶場、工業控制系統安全驗證靶場、車聯網安全驗證靶場等網絡靶場類型[33]。例如，最早參與NCR建設的美國ManTech公司在2020年5月推出了稱為“太空靶場”（space range）[34]的網絡靶場，該網絡靶場主要面向政府機構和衛星（包括科研衛星、軍事情報衛星、導航衛星等）運營商來提供一個虛擬的衛星指揮與控制（C2）太空作戰模擬環境，通過該模擬環境在對衛星指揮與控制系統實施攻擊的過程中，可以發現隱藏的系統漏洞和軟件缺陷，從而改進系統的功能，提升系統的安全性。

除以網絡基礎設施為主要研究對象的專業網絡靶場外，近年來還出現了針對不同行業應用場景的行業性網絡靶場，主要包括：制造企業、電力企業、金融企業、大型電商平臺、電信機房數據中心、智能電網、智慧城市、智能交通、智能醫療、軍工企業等網絡的模擬及安全驗證靶場。例如，美國ManTech公司憑借在美國軍事和其他安全機構網絡靶場中積累的建設經驗和研究成果，在2017年推出了“先進網絡靶場環境”（ACRE）[35]，該網絡靶場專門針對金融行業需求，提供了網絡安全測試、評估和培訓等功能，并在運行過程中根據網絡安全威脅研究需要，不斷完善其功能（如針對WannaCry勒索軟件攻擊的訓練等）。

4.2 網絡靶場發展展望

4.2.1 全頻譜網絡空間靶場

在網絡靶場建設過程中，每一種靶場類型一般都是針對某一類特殊應用，而隨著網絡應用的復雜化，綜合多種網絡類型的全頻譜網絡空間靶場成為未來的發展方向。所謂全頻譜網絡空間靶場是指同時包含了互聯網、工業控制系統、無線傳感器網絡、衛星網絡、電信網、物聯網、電磁網、無線網、天地一體化網絡等主流網絡通信類型，并由所涉及到的網絡、終端、數據中心設備、傳感器、無人系統、智能設備等設備類型組成的網絡靶場[3]。隨著萬物互聯進程的推進，全頻譜網絡空間靶場將全面模擬虛擬和物理世界，并將其映射到多形態、多功能的復雜網絡環境中進行技術驗證、攻防對抗演練和網絡安全評測等訓練。

4.2.2 下一代網絡靶場

下一代網絡靶場（NGCR）[36-37]還是一個不成熟的概念，與現有網絡靶場相比，NGCR應具有大規模攻擊訓練、情景式防護訓練、高強度紅藍對抗、全方位系統測試、多維度裝備測試等特點。在計算機仿真、虛擬化、數字孿生、軟件定義等技術的基礎上，加上動作捕捉（motion capture）、全息投影、虛擬現實（virtual reality，VR）等超逼真仿真技術的應用，可以進一步實現網絡靶場中現實社會與虛擬世界之間的深度融合，為新型復雜網絡靶場的建設提供技術支持。尤其隨著計算能力的大幅上升和深度學習算法的進一步優化，人工智能技術必將成為下一代網絡靶場解決方案的核心，在網絡靶場的場景生成、事件重構、策略運用、測試與評估等關鍵技術和環節中發揮更大價值。

4.2.3 多技術協同

網絡靶場是一個需要多項技術協同作用的復雜系統，除數字孿生、網絡模擬、計算機仿真等技術外，云計算、游戲、人工智能和深度學習等技術在靶場研究與建設中開始發揮重要作用。其中，網絡靶場即服務（cyber range as a service，CyRaaS）將云計算功能應用到靶場建設中，利用云基礎設施提供遠程訪問管理、網絡配置管理、用戶管理、虛擬化環境等服務的便捷性和安全性，已成為當前網絡靶場建設的一個趨勢；針對枯燥的訓練過程，可以引入交互式、沉浸式的游戲化機制來增強訓練的趣味性，提升靶場的應用效果；引入人工智能和機器學習，可以幫助人們處理大量信息，引導用戶做出最佳決策，輔助進行訓練的控制與管理。同時，利用機器學習可以為靶場提供分析、檢測、回溯、告警和生成報告等功能，實現靶場的自動化和智能化。

4.2.4 工業互聯網靶場

互聯網技術與工業控制系統結合產生了工業互聯網，然而在工業互聯網的發展過程中，工業控制系統中已有的部分硬件、標準、協議被互聯網替代，這將導致在互聯網中已有的一些攻擊行為轉向工業控制系統，同時利用工業互聯網特有環境中信息系統配置缺陷、協議缺陷和軟件缺陷的新型攻擊手段不斷出現，針對核電站、電網、輸油管道甚至是軍事裝備和設施的網絡攻擊事件頻繁發生，嚴重影響了人民生命財產安全、社會穩定和國家安全。例如，近年來頻繁發生的烏克蘭電網攻擊事件，2010年9發生的伊朗核電站遭“震網”（stuxnet）蠕蟲病毒襲擊事件，2019年3月7日委內瑞拉電網遭電磁攻擊事件，2017年5月美國核電站持續遭遇網絡攻擊事件等，充分說明以工業互聯網為重點的關鍵信息基礎設施所面臨安全威脅的嚴重性。為此，針對工業互聯網安全的網絡靶場建設和應用具有緊迫性和必要性，將成為現在和未來研究的重點。

4.3 我國網絡靶場的現狀與發展

（1）針對行業應用安全需求的網絡靶場建設發展迅速。隨著網絡安全威脅趨勢日趨嚴峻，國家對網絡空間安全的重視程度也越來越高，除軍隊、公安、國安、網安、網信等建設的專用靶場外，許多高校、科研機構和科技企業在國家政策的扶植和鼓勵下，已結合鐵路、道路交通、電力、通信、教育、大型電商、安全企業等領域不同的應用場景，開發了網絡空間訓練、技術策略推演、安全人才培養、安全事件過程分析、應急響應演練、攻防對抗、安全產品和方案評估等專用網絡靶場。這些網絡靶場的建設，在吸收和借鑒國外網絡靶場建設技術和經驗的同時，結合國內應用環境進行了創新，有效促進了網絡靶場的發展。

（2）新技術的應用加快了網絡靶場的建設進程。美英等國家網絡靶場的建設成果對我國網絡靶場的建設提供了可供借鑒的經驗，同時隨著人工智能、大數據、數字孿生、云計算和邊緣計算等新技術的日臻成熟，以及可提供算力的不斷提升和網絡仿真算法的進一步優化，為網絡靶場的建設提供了有效的平臺保障和技術支持。在此情況下，通信靶場、電子對抗靶場、指揮控制靶場等已有的與網絡空間安全防御相關的靶場，在功能和性能上都會有大幅度的提升，同時將為新應用（如5G/6G網絡、車聯網、工業控制系統等）、綜合性和大規模網絡靶場的建設提供保障。

（3）針對網絡靶場基礎理論和關鍵技術的原始創新能力有待提升。網絡靶場的建設，主要涉及網絡基礎設施和業務環境仿真、大規模復雜網絡環境下的攻防對抗行為仿真、數據采集和效果評估等內容，涉及這些內容的大量技術細節需要在應用中快速尋求突破。下一步，隨著新基建、智能制造、企業上云等建設內容的推進，都需要與之對應的網絡靶場對一些創新應用進行測試、仿真、培訓和研究；隨著國家對關鍵信息基礎設施安全重視程度的不斷提高，需要發揮網絡靶場的作用，開展攻防和應急演練，提升安全防御和應急響應能力；同時，需要發揮云服務和邊緣計算等新型服務與計算模式在網絡靶場建設中功能，在有效整合和協調各類資源的同時，還可以縮減建設與運維成本。

5 結論

近年來，隨著網絡安全事件的頻發，世界各國對網絡空間安全的重視程度與日俱增，在網絡空間安全新理論不斷提出的同時，各類新技術和創新應用相繼涌現。網絡靶場建設與應用，不但為使軍隊能夠快速掌握相應的理論并進行網絡武器裝備研發提供了平臺支撐，而且為政府、科研機構、高校等行業進行網絡空間安全理論研究和人員攻防技術能力的培養提供了實現路徑和基礎設施保障。構建理論科學、技術先進、面向應用的網絡靶場有著非常重大的現實需求和戰略意義。本文在對網絡靶場的概念、功能和主要實現技術以及典型的網絡靶場進行較為系統闡述的基礎上，討論了網絡靶場建設中涉及到的一些關鍵技術，分析了網絡靶場的發展歷程和趨勢，供網絡空間安全領域的技術和研究人員借鑒。