基于云計算和虛擬化的計算機網絡攻防實驗教學平臺建設探索

底曉強,張宇昕,趙建平

(長春理工大學計算機科學技術學院,吉林長春 130022)

計算機技術應用

基于云計算和虛擬化的計算機網絡攻防實驗教學平臺建設探索

底曉強,張宇昕,趙建平

(長春理工大學計算機科學技術學院,吉林長春 130022)

提出了基于Openstack建設計算機信息安全與網絡攻防實驗教學平臺的方案,給出了平臺的硬件拓撲結構和系統的技術架構,以及平臺的維護管理過程和開展虛擬攻防實驗的技術原理。實驗平臺的課程體系包括10個實驗模塊,近100個實驗類別,在開源軟件Openstack和相應組件的基礎上,利用虛擬化技術,可以在實驗室中構建出虛擬攻擊機、虛擬靶機和多樣化的網絡結構開展攻防實驗。

計算機信息安全;網絡攻防實驗;實驗教學平臺;Openstack

網絡安全的實驗教學具有很強的實踐性。由于互聯網龐大的規模、復雜的結構使其無法在實驗室里搭建;為實驗教學而設置網絡安全漏洞會產生巨大風險;在真實的網絡中開展網絡攻擊、病毒注入等實驗,將釀成災難性后果。因此,網絡安全類課程的實驗教學難以在真實的網絡環境中完成。虛擬仿真實驗為網絡安全實驗教學的開展提供了新的思路[1-2],即利用虛擬仿真技術開展網絡安全的實驗教學。

1 計算機信息安全與網絡攻防實驗教學現狀

由于網絡安全實驗本身具有特殊性和破壞性,目前開展網絡安全的實驗教學和研究工作一般都是在一個獨立的網絡中,利用硬件設備搭建物理實驗環境,或者采用虛擬仿真技術模擬真實網絡環境。利用硬件進行網絡安全實驗對實驗室的有很高的要求,而且當攻防實驗所需的網絡規模龐大和拓撲結構復雜時,在實驗室中仍無法進行。因此,目前的網絡攻防實驗大多采用虛擬仿真技術來進行。

已有的基于虛擬仿真技術的網絡攻防教學和培訓產品,對網絡安全的實驗和研究起到了良好的推動作用,但也存在以下問題:(1)由于真實網絡環境的復雜性和多樣性,僅依靠虛擬化技術或硬件設備,難以實現對多樣化的網絡拓撲結構和攻防場景的模擬[3];(2)不能通過網絡開展遠程攻防實驗,實驗設備利用率較低[4]。因此,利用虛擬化和云技術,開發出可以供遠程用戶使用并靈活配置出多種網絡拓撲結構的實驗教學平臺成為目前的研究熱點[5-12]。

2 基于云技術和虛擬化的實驗平臺功能

本文設計的實驗平臺提供自助式虛擬實驗項目建設體系,利用虛擬現實技術,多種媒體(如音頻、視頻、圖像、文字等)來輔助學生對虛擬仿真實驗項目內容的認知和理解。學生根據教學要求,在線學習虛擬仿真實驗知識,通過網絡共享平臺的軟硬件資源,進行網絡安全實驗。平臺可以將實驗過程和實驗結果數據反饋給學生,供學生分析和總結。

如圖1所示,虛擬仿真教學平臺由8個模塊組成。

圖1 遠程網絡安全實驗教學架構

(1)遠程接入控制模塊。支持用戶通過局域網接入或互聯網遠程接入到虛擬仿真平臺進行信息安全實驗和攻防實驗。

(2)虛擬攻擊機云模塊。利用虛擬化技術,根據實驗的攻擊方法,可以生成配置有不同攻擊和防護工具的Windows虛擬機和Linux虛擬機。

(3)虛擬靶機云模塊。利用虛擬化技術,根據實驗的攻擊方案,可以生成具有不同操作系統漏洞的虛擬靶機和具有應用軟件漏洞的虛擬靶機,根據靶機的防護方案,為靶機安裝了不同類型的防護軟件。

(4)擴展設備配置模塊。允許用戶為虛擬攻擊機云平臺配置防火墻、入侵檢測系統和安全審計系統等硬件設備,以構建多樣化的網絡環境開展實驗。

(5)監控中心模塊。在實驗進行時自動捕獲平臺中的虛擬攻擊機和虛擬靶機流入和流出的網絡數據流,在實驗完成后,局域網用戶或互聯網用戶可下載這些數據包信息以進行分析。

(6)管理中心模塊。添加和維護通過網絡使用該平臺的賬號;維護虛擬攻擊機和虛擬靶機的操作系統鏡像庫和攻擊軟件工具。

(7)實驗配置模塊。允許互聯網用戶和局域網用戶配置虛擬攻擊機和虛擬靶機的IP地址和虛擬網絡的拓撲結構等信息。

(8)教學運行管理模塊。具有信息發布、互動交流、實驗預約、成績評定和成果展示等教學管理功能。

3 基于Openstatck的實驗平臺建設方案

3.1 實驗平臺硬件結構

本文設計的網絡攻防實驗教學平臺拓撲結構如圖2所示。其中應用服務器包括8臺Dell R910,分別連接到交換機、第一網絡云存儲和第二網絡云存儲。

圖2 遠程網絡攻防虛擬仿真實驗教學平臺的硬件結構

第一網絡云存儲通過防火墻連接到交換機。防火墻是可選的網絡防護設備,可以用其他網絡防護設備替代,或者直接連接交換機。使用防火墻是為了配置多樣化的網絡防護環境。第一網絡云存儲中保存著具有操作系統漏洞和應用軟件漏洞的操作系統鏡像文件,可以用來創建Windows或Linux虛擬靶機實例。

第二網絡云存儲直接連接到交換機,保存著已安裝攻擊工具的操作系統鏡像文件,利用這些鏡像文件可以創建出Windows或Linux虛擬攻擊機實例。互聯網用戶通過VPN網關、局域網用戶通過交換機連接到該虛擬仿真系統。

3.2 實驗平臺系統架構

實驗平臺是在云計算平臺開源項目OpenStack基礎上構建的,可以利用OpenStack實現類似于Amazon EC2和S3的云基礎架構服務(見圖3)。

構建平臺主要用到OpenStack以下模塊的服務:

(1)Nova調派資源實例化虛擬機;

(2)Glance提供虛擬機實例化時需要的鏡像;

(3)Network提供網絡連接;

(4)Cinder提供外接的塊存儲服務;

(5)Ceilometer從以上與虛擬機相關的幾個服務中收集數據,用于統計、監控、計費、報警等;

(6)Swift可以為Glance提供鏡像的存儲服務,可以為Cinder提供卷的備份服務。

圖3 實驗平臺系統架構

控制服務器和服務器節點都安裝了Ubuntu操作系統;其中控制服務器還安裝了Network模塊,服務器節點安裝了Nova和Swift,其他幾個模塊也在平臺中得到了應用。

實驗平臺利用控制服務器管理各個服務器節點,根據第一網絡云存儲和第二網絡云存儲中的鏡像,建立虛擬靶機和虛擬攻擊機。虛擬靶機和虛擬攻擊機之間可以通過虛擬網絡連接,也可以通過網絡安全設備和網絡連接設備連接,以此構建出多樣化的網絡環境。

3.3 實驗平臺維護和實驗過程

實驗平臺維護和實驗過程如圖4所示。

實驗平臺初始化時,管理員維護賬號信息庫,包括用戶名、口令和可以操作的實驗類別,為賬號在第一和第二網絡云存儲中分配磁盤空間,指定用戶可以操作的實驗類別。

管理員維護第一網絡云存儲中的虛擬靶機Windows和Linux操作系統鏡像文件庫,維護第二網絡云存儲中的虛擬攻擊機Windows和Linux操作系統鏡像文件庫,同時維護在虛擬攻擊機實例上使用的攻擊工具和虛擬靶機實例上使用的漏洞庫資源。

局域網用戶提供正確的用戶名和口令后直接連接到該虛擬仿真系統;互聯網用戶通過VPN建立與實驗平臺的連接。當局域網用戶和互聯網用戶連接到該平臺后,可以使用管理員預先為其分配好的位于第一網絡云存儲和第二網絡云存儲上的磁盤空間。

用戶根據實驗類別,選擇虛擬攻擊機和虛擬靶機的鏡像文件,在屬于自己的磁盤空間內創建虛擬攻擊機實例和虛擬靶機實例,配置虛擬攻擊機實例和虛擬靶機實例的IP地址、子網掩碼、默認網關和DNS服務器,建立虛擬攻擊機實例和虛擬靶機實例之間的網絡連接,然后登錄到自己創建的虛擬靶機實例內,利用第一網絡云存儲上提供的具有安全漏洞的軟件配置虛擬靶機實例,使其具備被攻擊的條件。

圖4 實驗平臺維護和實驗過程

用戶登錄到自己創建的虛擬攻擊機實例內,利用第二網絡云存儲上提供的攻擊工具配置虛擬攻擊機實例使其具備攻擊能力。

用戶可以自行在虛擬攻擊機實例上安裝其他攻擊工具,在虛擬靶機實例上安裝其他防護工具。

為了真實地模擬復雜的網絡環境,用戶可以為虛擬靶機實例配置防火墻,將虛擬靶機實例納入防火墻的安全防護范圍內。用戶登錄到虛擬攻擊機防火墻的安全防護范圍內和虛擬攻擊機實例內,利用所配置的攻擊工具對虛擬靶機實例發動網絡攻擊。

監控中心模塊捕獲流經虛擬攻擊機實例和虛擬靶機實例的網絡數據包,保存虛擬攻擊機實例和虛擬靶機實例的操作系統日志和相關軟件工具的日志。網絡用戶可隨時下載由監控中心模塊捕獲的網絡數據包,以分析實驗結果。實驗完成后,監控中心模塊會自動監控長時間內沒有活動的虛擬攻擊機實例和虛擬靶機實例,將其關閉以釋放資源。

4 實驗教學體系和實驗平臺應用效果

4.1 計算機信息安全與網絡攻防實驗教學體系

建設一個高水平的信息安全與網絡攻防實驗室,使其成為計算機網絡與安全技術實驗基地和人才培養基地,有利于促進網絡安全的理論和實踐教學,提升學生的實踐創新能力[7]。長春理工大學國家級虛擬仿真實驗中心建設了有線網絡攻防模擬、病毒攻防等10個計算機信息安全與網絡攻防實驗模塊(見圖5),近200個實驗題目,為14門課程開設了實驗。

4.2 實驗平臺應用效果

為了驗證平臺的教學使用效果,對計算機科學與技術、軟件工程和網絡工程等3個專業6門課程的教學效果(使用平臺前后的課程平均分)進行了對比(見圖6)。結果表明,使用該平臺的學生的平均成績要高于未使用的學生。

5 結束語

圖5 計算機信息安全與網絡攻防實驗教學體系

本文提出了基于云計算和虛擬化的計算機信息安全與網絡攻防實驗教學平臺建設方案,結合創新人才培養要求,設計了滿足基礎性、探索性和研究性實驗需求的實驗體系。教學效果分析表明,該平臺教學效果良好。

圖6 課程成績分析

References)

[1]李平,毛昌杰,徐進,等.開展國家級虛擬仿真實驗教學中心建設提高高校實驗教學信息化水平[J].實驗室研究與探索,2013,32(11): 5-8.

[2]夏有為.實驗室建設必須務實(續):訪中科院院士、國防科技大學周興銘教授[J].實驗室研究與探索,2013,32(11):1-4.

[3]曹躍,梁曉,李毅超,等.網絡攻防技術課程的實踐性教學研究[J].實驗科學與技術,2008,6(4):97-99.

[4]羅婕,寧天橋.服務器虛擬化技術在計算機實驗室的實踐應用[J].計算機時代,2010(2):44-46,48.

[5]龍艷軍,歐陽建權,俞佳曦.基于GNS3和VMware的虛擬網絡集成實驗室研究[J].實驗技術與管理,2013,30(2):90-93.

[6]程烈.云技術在經管實驗教學中的應用研究[J].科教導刊,2013 (9):86-87.

[7]鐘平,王會林.高校網絡安全實驗室建設探索[J].實驗室科學, 2010,13(1):122-124.

[8]萬鋒,王衛兵,王彩娣,等.服務器虛擬技術在實驗室信息化建設中的應用[J].實驗室科學,2011,14(1):76-78.

[9]李亞瓊,宋瑩,黃永兵,等.一種面向虛擬化云計算平臺的內存優化技術[J].計算機學報,2011,34(4):684-693.

[10]梁宏.云計算與計算機安全[C]//第23屆全國計算機安全學術交流會論文集.2008:19-24.

[11]趙威,王海泉,夏春和.面向網絡攻防演練的操作系統仿真模型研究與實現[J].計算機應用研究,2008(8):2451-2453.

[12]匡銀虎,張虹波.網絡工程虛擬實驗室的研究[J].實驗技術與管理,2008,25(7):93-95.

Exploration of experimental teaching platform for computer network attack and defense based on cloud technology and virtualization

Di Xiaoqiang,Zhang Yuxin,Zhao Jianping
(School of Computer Science and Technology,Changchun University of Science and Technology,Changchun 130022,China)

A scheme based on Openstack of construction of computer information security and network attack and defense experimental teaching platform is proposed.Meanwhile,it is presented that its hardware topology architecture,system technology architecture and the processes of platform management,the technological principle of the virtual offensive and defensive carried out by students.There are 10 experimental modules in this platform curriculum,nearly 100 experiment categories.Through the analysis of the teaching effect and contrast,it shows that the platform can effectively improve the teaching quality.

computer information security;network attack and defense experiment;experimental teaching platform;Openstack

TP393.08

A

1002-4956(2015)4-0147-05

2014-11-12修改日期：2014-12-13

國家級計算機信息安全與網絡攻防虛擬仿真實驗教學中心建設項目;國家級計算機實驗教學示范中心建設項目;吉林省教育廳“十二五”科學研究規劃課題;吉林省教育科學規劃課題(GH12081);長春理工大學高等教育教學研究課題

底曉強(1978—),男(回族),河北新樂,博士,副教授,網絡工程系主任,主要研究方向為一體化網絡和信息安全

E-mail:dixiaoqiang＠cust.edu.cn

趙建平(1964—),男,吉林長春,博士,教授,博士生導師,院長,研究方向為數據庫技術、計算機網絡與信息安全.