網絡攻防實驗平臺開發與實現

黃曉芳

(西南科技大學 計算機科學與技術學院， 四川 綿陽 621000)

網絡攻防實驗平臺開發與實現

黃曉芳

(西南科技大學 計算機科學與技術學院， 四川 綿陽 621000)

為了增強網絡攻防實驗訓練的真實性、降低攻防訓練對真實實驗用機的影響和提高實驗配置效率，設計并實現了基于虛擬機技術的網絡攻防對抗平臺。該平臺采用B/S架構，通過在平臺上集成虛擬機技術，快速地恢復整個實驗網絡系統，減少實驗室配置人員的工作量，實現了攻防對抗實驗模板的在線制作和發放，適用于遠程教育系統。測試結果表明，該系統性能穩定，可以滿足相關實驗要求。

網絡攻防； 虛擬機技術； 實驗模板

隨著計算機網絡飛速發展,互聯網給社會帶來了新的革命,同時也面臨著網絡安全方面的威脅,計算機網絡安全的研究已經形成一門屬于計算機領域中的新興學科。目前,國內開設信息安全專業的本科院校已有幾十余所,且數量在逐年增加,其中西安電子科大、解放軍信息工程學院、武漢大學、北京郵電大學等均設有信息安全專業,并形成自己的信息安全培養模式。而在網絡攻防實驗教學方面,各高校也各具特色,但是也有比較突出的問題[1-4],比如:網絡攻防技術的教學具有非常強的實驗性,但由于網絡攻防技術本身所具有的特殊性和破壞性,使得該類教學的實驗難以開展；對網絡攻防的真實情況很難完全模擬,有的也是少量的基于仿真環境,實驗條件相對落后；有些僅僅進行一些簡單的加密/解密、防火墻或者入侵檢測等方面的實驗,而對于網絡對抗等更進一步的實驗基本沒有涉及；教師在實驗環境配置及修復方面花費大量精力。由于該實驗設備要求較高,對于遠程教育無法開展課程訓練,阻礙了信息安全學科在遠程教育中的發展。

因此,本文通過設計開發網絡攻防實驗平臺,實現網絡攻防環境的配置分發和快速恢復,減輕教師的實驗室環境配置的壓力,實現實驗環境的自動修復和分發,學員也可以遠程登錄實驗系統進行實驗操作。

1 系統設計

1.1 系統總體設計

開發的網絡攻防實驗平臺集成VMware平臺技術,整合現有實驗設計要求,實現網絡攻防實驗環境的配置分發,給學生提供了真實的攻防環境[5]。同時,系統利用虛擬機技術[6],快速地恢復整個實驗網絡系統,減少實驗室配置人員的工作量。該平臺總體結構如圖1所示,網絡攻防實驗系統由控制端、實驗及用戶信息數據庫、服務器等組成,VMware集成在實驗系統中,提供虛擬靶機的環境。教師或學生可以登錄實驗系統,進行實驗上傳和分發,以及進行相應的實驗操作。

圖1 網絡攻防實驗系統總體結構

本系統采用B/S總體構架,系統按對象分模塊進行設計。所設計的模塊有用戶信息管理模塊、實驗操作平臺和評分系統。在實驗操作平臺中設置按鈕,當學生進入實驗操作平臺并點擊按鈕,學生將自動進入相應的實驗。該系統集成現有VMware相關技術,整合了實驗設計要求、完成實驗的自動配置及實驗成績評分等功能,給學生提供了真實的攻防環境。同時,系統使用虛擬技術有效地保護現有系統,減少了教師的工作量，能快速地恢復整個實驗網絡系統。該系統擬分為4層:GUI(圖形用戶界面層)、應用邏輯層、業務邏輯層以及數據層,如圖2所示。

圖2 網絡攻防實驗系統結構層次

(1) GUI層。目標是為終端用戶(包括學生、教師及實驗室管理員)提供一個便于執行實驗系統配置及信息管理的友好界面。GUI用戶界面通過瀏覽器工作,以JSP技術實現,用戶以瀏覽網頁的形式實現對系統的訪問。

(2) 應用邏輯層。目標是根據用戶在GUI層的配置以及操作,通過調用數據層完成相關的操作。主要應用邏輯模塊包括用戶管理、實驗系統管理、實驗信息配置以及日志管理模塊。

(3) 業務邏輯層。目標是針對數據層中的用戶信息和實驗信息進行處理,能根據課程需求進行實驗系統模板配置及分發部署工作。

(4) 數據層。目標是對用戶信息和實驗信息存儲,并提供數據庫增、刪、改、查等操作的接口。

1.2 系統詳細設計

系統開發采用VMislab,這是一個基于VMware虛擬機技術的教學用實驗平臺[7],結構簡單,與VMware Labmanager相比[8],更適合教學使用。VMislab與 VMware Labmanager的比較如表1所示。

表1 VMislab與 VMware Labmanager的比較

本系統中,ISExp Web處于系統最高層,直接與用戶交互,完成用戶的所有請求,其中包括用戶管理(用戶注冊、登錄、注銷、權限、管理)和實驗管理模塊(管理、實驗權限、學生參加實驗、克隆實驗模板、控制虛擬機、查看虛擬機狀態、獲取虛擬機IP、上傳下載實驗報告)。通過ISExp Web與VM Server交互,控制和監控虛擬機的操作,其中服務器使用Twisted,在服務器內部會維護一個虛擬機句柄池,用于控制所有運行中的虛擬機。在用戶與Web交互過程中,Web控制命令的執行流程，并發送相關任務給數據庫及VM Server,VM Server收到任務后開始執行,并將任務結果轉發給數據庫做更新處理。系統設計結構見圖3。

圖3 系統設計結構

虛擬機API采用python封裝VIX。在系統實現中,需要保證學生能將系統與實驗用虛擬機的連通,有兩個方案,一是改造網絡，將實驗虛擬機劃到某子網,并添加對應的路由,這涉及到對舊網絡的改造，復雜性較大；二是使用VPN連接到提供虛擬機的實體機,實體機提供到虛擬機的網絡,這種不涉及到對已有網絡的任何改造。因此本次采用方案二。

1.3 系統功能

本系統采用B/S總體構架,系統按對象分模塊進行設計。所設計的模塊有用戶信息管理模塊、實驗操作平臺和評分系統,當學生進入實驗操作平臺并點擊進入,學生將自動進入相應的實驗。該系統集成現有VMware相關技術,整合實驗設計要求,完成實驗的自動配置及實驗成績評分等功能,給學生提供了真實的攻防環境。同時,系統使用虛擬技術有效地保護現有系統,減少了教師的工作量，并能快速地恢復整個實驗網絡系統。如圖4所示,本系統包括3個功能模塊。

圖4 網絡攻防實驗系統模塊設計

(1) 用戶信息管理模塊。該模塊包括學生、教師及管理員等個人信息的管理,當用戶(學生/教師/管理員)注冊后,就可以用自己的賬號登錄,不同的角色,對應的權限不同。教師可以上傳實驗題目和分發實驗配置環境；學生則直接進入本次課程實驗要求,點擊實驗環境,即進行相應的實驗；管理員則是對整個系統的用戶及配置進行管理。

(2) 實驗操作平臺。主要提供給學生和教師一個實驗操作的環境。教師在該平臺可以對實驗題目及要求進行設置,并配置相應的實驗環境,按照教學要求分發給不同的實驗班。學生登錄該平臺后,則直接進入相應的實驗模塊,可以看到實驗要求和步驟,并按實驗要求開始實驗操作。同時,該平臺還提供試題設置功能,教師可以根據大綱需要,對每個實驗設置相應的試題等,學生完成實驗后,可以完成試題解答,加深實驗印象。

(3) 評分系統。主要提供實驗題目的得分點設置管理以及自動評分功能。自動評分功能的實現途徑是通過實驗得分點給出得分。

2 系統測試

本實驗系統涵蓋了網絡安全教學的絕大多數內容,能夠開設5大類25 個實驗項目,從漏洞掃描到中級網絡攻擊與防御等實驗。系統采用B/S架構,方便用戶使用。實驗管理員可以先根據實驗要求,做好實驗模板,登錄實驗模板管理模塊,選擇用戶組,設定使用模板的權限密碼,并選擇模板保存后,即可分發下去,實驗模板管理頁面見圖5。

圖5 實驗模板管理頁面

用戶登錄后,可以看到被分發的實驗模板,選擇Start,會自動執行做好的實驗模板,并可以在該頁面上傳實驗報告,查看實驗執行情況等。用戶管理頁面見圖6。

圖6 用戶管理頁面

用戶點擊“Start”后,系統會自動連接到VM Server并跳轉到預先發布的實驗模板中,啟動頁面見圖7。

圖7 實驗模板啟動頁面

通過該系統,教師可以預先定制好實驗系統模板,并分發給相應學生進行實驗,系統集成現有VMware相關技術,整合實驗設計要求、完成實驗的自動配置及實驗成績評分等功能,給學生提供了真實的攻防環境。

本實驗教學平臺與其他系統[9-11]相比較的特色在于:

(1) 由于網絡攻防技術發展較快,本系統支持教師隨時根據實驗內容自定義并上傳實驗模板,并分發給實驗操作人員,模擬真實的實驗環境,實驗模板無需固化在系統中；

(2) 實驗系統中,可以針對每次實驗自動設置評分點,根據學生操作及報告情況給出評分結果；

(3) 采用B/S架構,支持遠程教育及學生在任何時間和地點登錄系統進行實驗操作。

同時,系統使用虛擬機技術實現實驗系統的自動恢復,減少了教師的工作量,支持遠程在線進行網絡攻防實驗的需求。經測試,結果達到預期的設計目標。

3 總結展望

本文開發的網絡攻防對抗實驗平臺克服了傳統網絡安全實驗系統部署困難、恢復工作量大等缺點,采用虛擬機技術,實現了通過定制和分發實驗模板的方式,完成攻防實驗的自動配置和恢復,能夠快速部署和恢復實驗系統。該系統不僅適合高校及遠程教育網絡安全課程的教學實驗,也可用于社會培訓機構的崗前技能培訓。

References)

[1] 董輝,馬建.基于虛擬蜜網的網絡攻防實驗平臺的構建[J].齊齊哈爾大學學報(自然科學版),2012,28(2):67-72.

[2] 康辰.朱志祥.基于云計算技術的網絡攻防實驗平臺[J].西安郵電大學學報,2013,18(3):87-91.

[3] 崔陽華.基于 OpenStack的網絡攻防實驗平臺設計與實現[J].山東工業技術, 2015(4):130.

[4] 張梁斌,俞華豐,高昆.單機環境中網絡攻防實戰演練平臺的設計與研究[J].實驗技術與管理,2014,31(10):144-147.

[5] 潘麗敏,羅森林,柯萌.網絡動態攻防實踐平臺研制[J].實驗技術與管理,2012,39(9):89-92.

[6] 孔軼艷.網絡攻防模擬實驗平臺的設計與實現[J].通信技術,2012(11):37-39,43.

[7] 王艷青,溫丹麗. 基于局域網的入侵檢測系統測試平臺設計與實現[J]. 計算機工程與設計, 2008, 29( 9): 2215-2216, 2232.

[8] VMware, Inc.VMware vSphere5.5文檔中心[EB/OL]. (2014-9-9)[2014-11-21].http://pubs.vmware.com/vsphere-55/index.jsp.

[9] 翟繼強,陳宜冬. 虛擬網絡安全實驗平臺[J]. 實驗室研究與探索, 2009,28(6):79-82.

[10] 張艷伶,黃聲烈,高艷華. 網絡信息安全教學實驗系統平臺的構建 [J]. 實驗技術與管理, 2008,25(10):66-68.

[11] 謝慧,邵瑋,聶峰.基于B/S架構的遠程網絡攻防實驗室的研究與開發[J].天津理工大學學報,2012(6):44-47.

Development and realization of experimental platform for network attack and defense

Huang Xiaofang

(School of Computer Science and Technology, Southwest University of Science and Technology, Mianyang 621000, China)

To enhance the authenticity of the experimental training for network attack and defense, reduce the impact of such training on the real experimental machine, and improve the efficiency of the experimental configuration, the platform for the network attack and defense based on virtual machine technology is designed and realized. The platform adopts B/S structure, and through the integration of the virtual machine technology at the platform, the entire experimental network system can be quickly restored, the workload of the laboratory staff can be reduced, and the online production and distribution of attack-defense experimental templates are realized, which is suitable for remote education. The test results show that the system is stable, and can meet the requirements of relevant experiments.

network attack and defense; virtual machine technology; experimental template

10.16791/j.cnki.sjg.2017.05.019

2016-11-29

國家自然科學基金項目(61303230)。

黃曉芳(1977—),女，四川綿陽，博士，副教授，從事信息安全研究.

E-mail：huangxiaofang@swust.edu.cn

TP393

A

1002-4956(2017)5-0073-04