網絡靶場

籍樹

不久前，ISC 2022互聯網安全大會“網絡空間靶場與實網攻防對抗論壇”在ISC元宇宙N世界中舉辦。丈八網安CEO王珩分享了丈八網安在網絡靶場新領域的探索與實踐，以及網絡靶場產品未來發展與應用方向的展望。王珩從4個方面深入淺出地講述了初代網絡靶場的局限性、網絡靶場能力圖譜、衍生的新技術應用，最后引用了多個實踐案例，聲動地描述了基于網絡靶場基本能力衍生出的全新應用方向。

初代網絡靶場的局限性

“新生事物都或多或少的存在其局限性，在探索初代網絡靶場的道路中，各個廠商和研究機構和很難超越傳統培訓教育系統設計理念的桎梏，從而無法做出抽象的業務，導致產品的應用方向和擴展能力比較有限。”

在王珩看來，雖然丈八網安并不是最早、最先進入網絡靶場業務領域的，但這恰恰是丈八網安能擺脫傳統設計，擴展更多能力的機會。從底層架構設計方面來看，丈八網安摒棄了傳統云計算架構的條條框框，在前期投入大量資源開發更適合網絡靶場可自由排列的創新模式架構，使網絡靶場在更好地支撐傳統業務的同時，有能力衍生出更多全新的應用方向。

初代網絡靶場面臨多重束縛，例如，初代網絡靶場的架構過于沉重，使用成熟的框架可以降低產品研發的技術門檻，使更多精力投入到產品交付。但是當靶場產品進入了深水區，云計算架構變成了一個很大的歷史負擔。

云計算和網絡靶場是完全不相干的產品，對于云計算來說，計算是它的核心本質，而對于靶場產品來說，仿真才是它的核心本質。所以如果僅僅以虛擬化、容器這些更偏計算的技術打底的話，會給網絡靶場產品的發展帶來很大的局限。

另外，初代網絡靶場的部署形態單一。云計算架構決定了靶場是一個集群化的部署模式，所以會使用到大量的物理設備，而且在產品設計過程，由于過于追求虛擬機的并發量等表面化能力，導致網絡靶場的實施成本居高不下，很大程度上影響了網絡靶場產品的推廣普及。擺脫繁瑣的物理設備堆砌，構建SaaS化的網絡靶場，是國內廠商一個重要的研究課題。

王珩詳細的展示了初代網絡靶場與下一代網絡靶場平臺的能力對比：“一個設計完整的網絡靶場系統，是匯集了多種能力的平臺系統。一般來說靶場會有一個共用支撐的底層平臺，包括計算虛擬化、網絡虛擬化、實物接入、還有一些數據采集的能力。基于這個共用的支撐平臺，可構建一些業務上的應用。比如，一個典型的實訓系統，可能包含了靶標的管理、拓撲的管理、評估模型的管理等，如果是一個典型的競賽系統，基于這些又增加了可視化的管理、裁判的系統、流量管理等功能，復雜一些的攻防演練系統，在此基礎上又會增加事件引擎、裁決引擎以及行為的仿真等功能。”

傳統云計算架構的靶場平臺

以上是一個很典型的產品架構，這樣的架構看似合理，但其在靶場能力的排列組合方式上是死板和固化的，它將靶場的能力封印在了一個固定的形態里。如果能夠將靶場的能力從這些封印的條條框框中解放出來，便會產生很多創新的應用方向。

“比如，將網絡靶場的能力，拆解成各種模塊構成的資源池，那我們可以基于計算虛擬化和數據采集的能力，很便捷地構建成一個動態分析用的沙箱系統。如果使用網絡虛擬化、數據采集、數據分析的能力，則可以很便捷地去構建一個高交互蜜罐系統，像靶場的態勢展示功能，與市面上的態勢感知系統是很接近的；像靶場的數據分析、漏洞管理等能力，都可以去構建一個類似IDS的一套系統。”王珩講到。

自研底層架構的靈活性

在王珩看來，跳出固化的思維模式，通過新穎的系統模塊組合方式，靶場可產生很多全新的應用方向，使業務能夠向深水區發展。

丈八網安的“火天網境”網絡靶場平臺，正是踐行了上述理念的新一代網絡靶場的代表產品。王珩基于丈八網安在網絡安全技術上的積累，分享了在網絡靶場研發上的創新思想與應用。“新技術不代表它是一個尖端前沿的技術，而是未在網絡靶場領域中廣泛應用的、更適合與靶場相結合的技術。”

仿真建模是一項成熟的技術，是一種廣泛解決現實問題的方法，它最大的特點是能通過簡單的交互式操作，將大家“最關注”的重要細節進行抽象提取，去除那些不關注的細節。比如，構建一個仿真病毒模型，把病毒會感染的操作系統、平均感染時間、感染臨界點的概率、加密策略等，這些已經抽象提取的“最關注”要素放進去即可完成構建。模型總是沒有原始系統復雜，但很容易低成本構建出極為復雜的仿真場景，而且不會引入真實對象所具備的安全風險。

仿真靶標、仿真病毒構建過程

人工智能技術的賦能在網絡靶場領域，人工智能技術應用可以非常寬廣。人工智能技術雖然不是新鮮概念，但是應用到網絡靶場能夠使產品具備顯著的優勢。深度學習算法是最值得快速適配的人工智能技術，一方面，它能夠基于已經學習的流量特征，生成類似人類在網絡空間里產生的行為流量與事件流量，具備很高的真實性和不可預測性。另一方面，可以通過輸入大量的攻防技戰法樣本數據訓練出一個接近人類的AI自動化對手，應用在攻防演練、競賽的過程中，作為輔助訓練的對手。對企業來說，能省去大量在演練過程中組建紅藍隊的成本，對科研來說也有很大的價值。

連接AI技術至仿真網絡

宏編程技術的賦能。office中的VBA編程組件技術功能是強大的典型的宏語言，有相當長的一段時間，成為了黑客寫病毒的工具，現在類似的技術有了更時髦的稱呼“低代碼”。如果將這項技術應用到網絡靶場里，便能加大網絡靶場產品的靈活性。比如將靶場的某項功能抽象成一個可編程對象，去開放各種編程接口，通過低代碼腳本串聯起來，能夠實現非常靈活性的應用場景。

王珩最后總結了對網絡靶場未來發展的看法，以及自己在網絡靶場領域從一而終的決心：“從我的角度看，網絡靶場在未來的應用方向上，會從現階段以能力提升為主的需求，延伸到網絡安全實際業務需求上來。從產品形態上看，網絡靶場也會從現在成本高昂的本地集群部署，逐漸轉向SaaS化的模式。總而言之，網絡靶場并不局限于現階段的認知范圍，未來在應用方向和產品形態方面將會開拓出更廣泛的應用空間，我們的使命是在網絡靶場領域開創出更多可能，做出更好的產品，滿足各行各業用戶更加多樣化的需求。”