網絡攻防實驗平臺的設計

周　敏

(重慶理工大學 計算機科學與工程學院， 重慶　400054)

?

網絡攻防實驗平臺的設計

周敏

(重慶理工大學 計算機科學與工程學院， 重慶400054)

針對網絡攻防實驗難以在普通網絡下開展、網絡攻防實驗環境難以維護等問題，設計了一個包含網絡攻防基礎、網絡攻防實戰和網絡防護實訓三大部分的網絡攻防實驗平臺。實驗平臺分為服務區和實驗操作客戶區兩部分，能夠循序漸進地進行網絡攻防實驗操作。平臺結構包括硬件平臺和軟件平臺，部署十分簡便。教學實踐表明，這種實驗平臺具有很好的實用性和可擴展性。

網絡安全； 網絡攻防實驗； 實驗平臺設計

1　構建網絡攻防實驗平臺的必要性

網絡安全課程是信息安全及其相關專業的核心課程，學生通過學習網絡安全課程，了解網絡安全的常見威脅，掌握入侵檢測、安全防護和應急響應機制等主要安全技術。網絡安全課程的特點是技術性及實踐性強，只有通過系統的實踐、實訓培養環節，才能讓學生真正掌握網絡安全的重要知識點。

目前，國內大部分高校開設的網絡安全課程主要包括防火墻、虛擬專用網、入侵檢測、網絡攻擊與防護等內容，其中網絡攻擊與防護是網絡安全課程中實踐性和綜合性最強的一部分內容。但是，以往的網絡安全實驗中涉及到網絡攻防的內容較少且比較松散，滿足不了網絡安全實驗和相關課程實踐的要求。另外，由于網絡攻防實驗難以在普通的網絡下進行，網絡攻防實驗環境也難以維護，創建專業的網絡攻防實驗平臺是十分必要的，其必要性主要體現在3方面。

(1) 網絡安全及其相關課程教學的實際需要。網絡攻擊與防護是信息安全領域的重要研究課題[1]，網絡攻防實驗平臺，能夠為網絡攻擊與防護、滲透測試等實驗教學提供綜合的實驗環境，學生可通過大量由易到難的實驗和操作，掌握網絡攻擊與防護的理論知識與實踐技能。

(2) 提升學生安全防護意識和能力的需要。網絡攻擊與防護的原理只有親身體驗才能掌握，學生通過分析網絡攻防的途徑與方式，才能體會到網絡攻擊的危害性、提高安全意識。

(3) 跟蹤網絡安全技術發展的需要。由于網絡攻擊和防護技術的多樣性，需要創建一個全面、系統的網絡攻防實驗平臺[2]，在網絡攻防實驗教學中，根據網絡安全技術的發展及時增加一些新的教學內容，幫助學生開闊思路、擴大眼界，提高網絡安全課程的教學質量。

重慶理工大學教學團隊參考《信息安全專業指導性專業規范》中的知識體系和實踐能力要求，設計出一種滿足本科生、研究生、社會培訓等不同層次教學與科研要求的網絡攻防實驗平臺，只要用網線將實驗控制設備接入學校原有的實驗室主交換機上，在學生機上安裝相應的客戶端軟件，就完成了實驗系統的架構。學生可以通過邏輯分組完成攻擊、防御兩種角色的網絡攻防實驗，加深學生對常見網絡攻擊與防護技術的理解與掌握，并培養網絡攻防實戰能力，教學效果良好。

2　實驗平臺設計

2.1實驗環境

硬件環境：學生PC機至少要求CPUP4 2.0以上、內存512MB以上、硬盤5GB以上剩余空間、10M/100M網卡1個；

軟件環境：操作系統為WindowsXP系列、安裝Word、Access、MySQL、SQLServer、PHP、IIS等應用軟件；

網絡環境：學生PC機通過交換機實現局域網連通，局域網中已有交換機、路由器、防火墻等設備；

基本配置：實驗控制設備、攻防實驗管理系統、攻防演示系統、攻防實驗客戶端、實驗指導書。

2.2實驗模塊

網絡安全相關課程具有實踐性強的特點，如果沒有實驗的支撐，真實的網絡攻擊和防護只能是紙上談兵，不能激發學生的興趣，也無法鍛煉學生的綜合實踐能力。為給計算機網絡安全相關課程提供全面、真實的實驗教學環境，更好地提高學生對網絡攻擊行為的了解和提高網絡防護能力，設計了10個覆蓋了網絡攻防知識及實戰技術的實驗模塊[3-4](包含大約50個實驗)，實驗內容由易到難，實驗原理系統詳細。

(1) 網絡掃描與嗅探模塊。主要涉及網絡連通性探測、主機信息探測、不同系統(Windows/Linux)的路由信息探測、域名信息探測、安全漏洞探測、共享式/交換式網絡嗅探等方面的探測技術，提供共享式/交換式兩種網絡探測方式的工具和實驗，對不同探測技術、探測方式提供防范措施與方法。

(2) 密碼破解技術模塊。主要對Windows/Linux系統密碼、FTP系統密碼、Office密碼等常見本地/遠程密碼的破解技術,包括手工破解/工具破解兩種方式的實驗內容，可以有效地幫助學生理解密碼破解的理論知識和實際危害，極大地提高學生的安全意識。

(3) 數據庫攻擊模塊。主要包括主流數據庫(Access、MySQL、SQLServer等)和兩種Web系統(ASP、PHP)的注入攻擊方法。對不同數據庫/系統的注入原理、注入方法和注入過程進行系統、詳細的說明，并在此基礎上提出防御方法和措施。在實驗的設計上比較注重邏輯性和學生接受、學習知識與技能的規律性，先通過手動注入實驗加深學生對注入原理及注入過程的理解，再利用工具進行攻防實驗。

(4) 網絡欺騙技術模塊。主要設計了主流網絡欺騙技術(MAC地址欺騙、DOS攻擊欺騙、ARP欺騙等)實驗，對主流網絡欺騙技術的原理進行系統、詳細的解析并開發了防范措施實驗，幫助學生加深對網絡欺騙技術的理解，提高學生對常見網絡欺騙的識別與防范能力。

(5) 日志清除技術模塊。主要設計了手動清除和工具清除Windows/Linux日志等內容的實驗，提供全面的日志清除方法和詳細、系統的原理說明與解釋，幫助學生加深對系統日志的重要性、安全性的理解。

(6) 操作系統的安全策略配置模塊。主要涵蓋操作系統安全策略配置(包括網絡安全策略、賬號安全策略、應用安全策略配置等)實驗，針對常見的操作系統進行實驗，幫助學生提高主機安全防護的能力與意識。

(7) 緩沖區溢出技術模塊。該模塊主要包括緩沖區溢出背景、溢出原理、溢出現象、溢出危害及其多種防御措施的系統、詳細的實驗，棧溢出的示例程序和對其進行反匯編分析的實驗(發現溢出點與發起攻擊、觀察攻擊過程與完成攻擊、防止攻擊等)，以及后續邏輯性與實踐性更強的進階程序練習實驗。

(8) 惡意代碼技術模塊。主要涵蓋各種類型的惡意代碼(簡單惡意腳本、VBS病毒、手機病毒、木馬技術、跨站攻擊、網馬病毒等)技術及其分析、防范實驗，對各種類型的惡意代碼提供系統、詳細的原理與現象、防范措施的分析與實踐實驗，目的是培養學生對惡意代碼技術領域分析與解決問題的能力。

(9) 逆向工程技術模塊。主要設計了Aspack加殼工具使用、加殼程序的反匯編分析和手動脫殼技術等系列實驗，以及針對逆向工程技術的實際應用實驗(包括逆向工程的原理、工具和實驗過程等內容的詳細說明)。

(10) 網絡設備攻擊技術模塊。主要包括對網絡設備(交換機、路由器、防火墻等)和安全設備進行密碼破解等實驗，幫助學生熟悉復雜的網絡環境和各種硬件設備、了解網絡攻擊的廣泛性和危害性。

2.3實驗平臺

網絡攻防實驗平臺分為服務區和實驗操作客戶區兩部分，能夠開展循序漸進、由攻到防的網絡攻防實驗實際操作。服務區主要放置實驗教學系統相關的硬件設備(包括實驗控制設備和靶機服務設備等)，同時為實驗平臺提供相應的服務端軟件環境；實驗操作客戶區是實驗用戶的操作區域，主要為教師和學生提供PC機、客戶端軟件環境。可以利用原有的網絡設備和網絡安全設備構建真實的網絡環境，也可以根據需要購置新的實驗設備、結合實驗平臺分組進行網絡設備的攻擊與防護實驗[5-12]。

實驗平臺的拓撲圖如圖1所示:

圖1　實驗平臺拓撲圖

實驗平臺包括硬件平臺和軟件平臺，其實施、部署十分簡便，既可以保持部分模塊的獨立操作，也可以支持實驗分組和角色的分配。

硬件平臺的核心設備是一臺能夠為網絡攻防實驗提供安全、可靠的硬件支持的實驗控制設備，主要提供實驗數據、實驗管理和實驗控制等服務，提供統一的數據存儲和數據維護管理。另外，硬件平臺還根據需要配置交換機、路由器和防火墻等必要的網絡硬件設備。

軟件平臺由網絡攻防演示系統、攻防實驗客戶端和攻防實驗管理系統組成，提供必要的軟件環境。其中攻防演示系統包括絕大部分實驗的詳細錄像，不需要安裝另外的組件就可以播放實驗錄像，通過按鈕控制錄像的播放。實驗錄像內容很豐富，在關鍵的步驟上提供必要的操作說明和講解，幫助學生系統、熟練地掌握網絡攻防技術。

攻防實驗客戶端集成了每個實驗的實驗目的、實驗原理、實驗要求、實驗步驟、實驗內容和實驗總結，為師生提供訪問實驗平臺的接口，為實驗所需的工具提供詳細的介紹。

攻防實驗管理系統的主要功能是為攻防實驗教學平臺提供實驗資源(包括實驗錄像、實驗原理、實驗工具、實驗指導書等)的集中管理，為學校定制/添加實驗、增加和更新實驗內容、提供實驗工具等。另外，攻防實驗管理系統為客戶端的資源訪問提供管理與服務，并為系統提供相應的訪問控制。

網絡攻防實驗平臺的結構圖如圖2所示:

圖2　實驗平臺結構圖

綜上，網絡攻防實驗教學平臺涵蓋了網絡攻防基礎、網絡攻防實戰和網絡防護實訓3部分實驗內容：網絡攻防基礎部分主要包括網絡掃描與嗅探、密碼破解、數據庫攻擊、網絡欺騙、日志清除、操作系統安全策略配置、緩沖區溢出、惡意代碼、逆向工程和網絡設備攻擊技術；網絡攻防實戰部分主要包括基礎考核、技能訓練、滲透測試；網絡防護實訓部分則包括安全評估、主機加固和網絡加固，全面覆蓋了網絡攻防的重要技術。

網絡攻防實驗教學平臺具備以下幾個特點：

(1) 具有靈活、真實的實驗環境，用實際網絡安全設備和靶機、各類服務器構建出真實的網絡攻防實驗實訓環境，模擬真實的企業網絡環境，支持自定義的環境與應用拓展；

(2) 具有全面、多層次的實驗體系，依托一線教師多年的教學、科研經驗積累，建立全面的網絡攻防實驗體系，構成從原理與基礎、獨立實驗到綜合實戰和系統加固等循序漸進的實驗體系；

(3) 具有攻防兼顧的實驗內容，提供網絡攻擊和防護有機結合、均衡兼顧的實驗內容，有效地提升學生的網絡安全意識與網絡防護能力；

(4) 實驗室可持續發展，除了能夠對日常教學和實訓提供硬、軟件支撐外，還可以進行安全證書培訓、安全競賽與培訓等活動。

3　結語

網絡攻防實驗教學平臺適用于信息安全、網絡安全和信息對抗等相關專業的實驗教學，除了支持網絡安全、網絡攻擊與防護、計算機病毒分析與防治、信息安全綜合實訓等課程外，還可以輔助進行上述專業的課程設計與綜合實訓等教學環節，平臺提供的多種實驗管理和實驗工具的擴展接口，可以方便地添加新實驗和進行校企合作模式的實驗課程開發。該平臺已經應用于重慶理工大學2012、2013級的計算機專業教學，顯著地提高了學生對網絡的綜合防護能力，獲得了師生的一致好評。

References)

[1] 董輝,馬建.基于虛擬蜜網的網絡攻防實驗平臺的構建[J].齊齊哈爾大學學報：自然科學版，2012,28(2):67-72.

[2] 康辰.朱志祥.基于云計算技術的網絡攻防實驗平臺[J].西安郵電大學學報，2013,18(3):87-91.

[3] 武曉飛.網絡攻防技術[M].北京：清華大學出版社，2014.

[4] 賴小卿,楊育斌,李強，等.網絡攻防技術實訓教程[M].北京：清華大學出版社，2014.

[5] 孔軼艷.網絡攻防模擬實驗平臺的設計與實現[J].通信技術，2012(11):37-39,43.

[6] 何增穎.基于虛擬機的入侵檢測實驗設計[J].實驗技術與管理，2011,28(1):84-87.

[7] 崔陽華.基于Openstack的網絡攻防實驗平臺設計與實現[J].山東工業技術，2015(4):130.

[8] 洪家軍,周原.基于vSphere的網絡攻防虛擬實驗平臺建設與實踐[J].榆林學院學報，2015,25(2):41-45.

[9] 謝慧,邵瑋,聶峰.基于B/S架構的遠程網絡攻防實驗室的研究與開發[J].天津理工大學學報，2012(6):44-47.

[10] 張梁斌,俞華豐,高昆.單機環境中網絡攻防實戰演練平臺的設計與研究[J].實驗技術與管理，2014,31(10):144-147.

[11] 潘麗敏,羅森林,柯萌.網絡動態攻防實踐平臺研制[J].實驗技術與管理,2012,29(9):89-92.

[12] 徐川,唐建,唐紅.網絡攻防對抗虛擬實驗系統的設計與實現[J].計算機工程與設計，2011(4):1268-1271.

Designofnetworkattackanddefenseexperimentalplatform

ZhouMin

(SchoolofComputerScienceandEngineering,ChongqingUniversityofTechnology,Chongqing400054,China)

Aimingattheproblemsthatthenetworkattackanddefenseexperimentsweredifficulttobecarriedoutundernormalnetwork,andtheenvironmentofnetworkattackanddefenseexperimentswasdifficulttobemaintained,theexperimentalmodulesandthemainexperimentalcontentsofnetworkattackanddefensewerestudied,anetworkexperimentplatform,whichincludesthefoundation,thepracticeandthetrainingofnetworkattackanddefense,wasdesignedalso.Teachingpracticeindicatesthattheexperimentalplatformhasgoodpracticabilityandextensibility.

networksecurity;networkattackanddefenseexperiment;designofexperimentalplatform

DOI:10.16791/j.cnki.sjg.2016.05.036

2015- 10- 23

國家社科基金項目(14BTQ053)資助；全國高等學校計算機教育研究會項目(ER2014016)資助

周敏(1971—)，女，湖南祁東 ，碩士，講師，主要研究方向為信息安全.

E-mail：zhoumin@cqut.edu.cn

TP393

A

1002-4956(2016)5- 0139- 04