基于OPNET的賽博網絡防御建模仿真*

錢京梅，莫 嫻，吳 茜

0 引 言

“賽博空間（Cyberspace）”最早出自科幻作家威廉吉布森，最初的含義為“虛幻世界”。進入21世紀后，賽博空間的內涵逐漸擴大，意指由獨立的信息技術基礎設施網絡構成的全球范圍的、人類借助計算機技術完成通信和控制的信息域。它包括互聯網、電信網、各種局域網和計算機系統、嵌入式處理器和控制器。因具有時域、空域、頻域和能域等廣域特性，它與陸海空天并列成為第五維空間[1]。

隨著網絡和信息技術的高速發展，人們對網絡電磁空間的依賴越來越大。網絡電磁空間給社會和國家安全造成的威脅和風險也在日益加劇，已成為嚴峻挑戰。維基解密、斯諾登、棱鏡門事件等的發生，引發了世界對信息安全的關注和憂慮。當前，賽博空間成為各國戰略爭奪的新戰場，圍繞賽博空間的用與控展開了激烈的較量。

為了更好地了解和研究賽博空間作戰這種新型的現代戰爭形式，可以利用仿真技術作為研究和試驗手段，探索戰術和技術的必要條件，發展賽博建模與仿真技術的應用范圍和復雜度，加緊探索和完善網絡戰術、技術和規程，開發利用建模與仿真技術的方法和攻擊，以確定網絡漏洞[2]。

1 賽博網絡防御仿真建模

隨著仿真技術的發展，仿真已經開始運用在網絡安全研究上。采取仿真方法研究可以避免對真實環境的危害，且仿真模型可重用，使得能夠容易地模擬各種條件下的網絡環境，節約時間、人力、財力和物力。

賽博空間網絡對抗仿真通過模擬網絡對抗行為，一方面對網絡攻擊的危害進行評估，另一方面測試擬采取的網絡防御手段可以達到的效果。

對網絡信息對抗的雙方而言，攻擊者需要進行“收集目標信息、調整攻擊策略、制定攻擊計劃、實施攻擊”循環操作，防御者需要進行“入侵感知、信息融合、決策、響應”的循環操作。攻防雙方的行為都體現為一個循環，雙方都從收集信息開始，根據獲取的相關信息或感知到的外部威脅，及時調整策略，做出應對決策，并采取相應行動。

本仿真采用美國Riverbed公司的網絡仿真平臺OPNET，模擬DDos（分布式的拒絕服務攻擊）泛洪攻擊和防御過程。

1.1 OPNET仿真工具以及賽博模型建模方法

1.1.1 OPNET仿真工具

OPNET主要用于通信網絡設計，以其極強的靈活性廣泛應用于通信系統的研究和設計過程中。能夠滿足大型、復雜網絡仿真需求，被世界各大公司和組織用于加速研發過程，開發大型網絡。

OPNET Modeler的核心建模理論可以從三個層次進行概括和描述[3]，如圖1所示。

圖1 OPNET層次化建模機制

（1）三層通信機制：提供了網絡層、節點層、進程層的三層建模機制，使得建模更加條理化。

（2）離散事件驅動仿真：以事件調度為基礎，結合進程交互處理，動態模擬實際系統的行為。

（3）基于包的通信流：模擬實際物理網絡中信息的流動、處理。

建模環境方面，OPNET提供了全面豐富的基礎模型庫，在模型的結構層次方面，OPNET實現的TCP/IP協議棧完全符合OSI標準，從上到下依次為應用層、傳輸層、網絡層、鏈路層和物理層，與實際網絡一致。因此，用戶可以根據網絡安全設備的工作原理或網絡攻擊的實施機理，通過在OPNET協議棧的各層進行開發，建立網絡信息對抗模型。

1.1.2 賽博網絡對抗仿真建模原理

研究賽博行為在傳統網絡和作戰網絡中的影響，可以評估不同的網絡配置和在賽博攻擊下的恢復性能。該方案支持評估新的賽博安全技術，包括攻擊、防御以及探測技術等。這些賽博行為都可通過使用建模的協議和設備模型庫來模擬實際通信場景，且這些仿真研究都是基于軟件的高性能離散事件仿真引擎進行仿真運算的。

賽博模型建模通過在已經具備的模型之外添加賽博管理功能模型，即協議模型收到攻擊或恢復行為后，通過賽博管理模塊（Cyber Enhance Model）注冊有效的行為，靈活實現滿足各種需求的定制，如圖2所示。

圖2 賽博模型實現原理

賽博攻擊模型庫包含了現有的攻擊模型，如分布式的拒絕服務攻擊（DDoS）、路由攻擊模型等。

賽博防御模型庫包含了一系列典型的用來抵御賽博攻擊的防御手段，如防火墻策略更新功能、設備端口阻止和接口關閉功能，支持添加用戶自定義的防御手段。

1.2 賽博行為仿真模型

賽博攻防建模仿真將通過賽博行為模型實現原理，根據OPNET仿真工具的特點，從網絡模型、節點模型和進程模型三個層次對系統的各組成部分進行詳細建模。

1.2.1 網絡域模型

網絡域模型描述了仿真網絡的拓撲結構、網絡的組成設備、各種設備數量以及設備之間的互連關系。網絡域模型如圖3所示。

圖3 賽博網絡攻擊仿真網絡模型

賽博網絡攻防仿真的網絡模型是圖3所示的簡單的局域網絡，由服務器（Http Server）、路由器（Prod_Rtr4）、工作站點（Http Client）、系統管理員（Sys Admin）、攻擊發起對象（Hacker）、被攻擊網絡及被攻擊對象（wstn）等組成。設備之間的鏈接關系已經在網絡模型中確定。

網絡域模型主要表現仿真網絡在配置業務后，網絡的連通性能、處理性能、業務傳輸性能的變化情況。

1.2.2 節點域模型

賽博網絡攻防主要的節點模型有服務器、工作站、路由器、網絡攻擊設備、網絡防御設備、業務加載模型等，抽象和模擬了實際環境中各設備的工作行為。設備采用標準OSI七層組成關系，各層的進程模型參照OSI定義的協議進行建模。

圖4是網絡攻擊防御設備節點模型和屬性配置界面。節點從上到下由應用層（application）、傳輸層（tcp）、網絡層（ip）、鏈路層（mac）和物理層（hub_rx）組成。圖4是節點模型，其中cyber_handle模塊實現網絡攻擊、網絡防御功能。

圖4 網絡攻擊以及網絡防御設備節點模型

本仿真主要模擬分布式拒絕服務DDos。在屬性配置界面里，將DDoS攻擊和防御行為寫入腳本，定義DDoS攻擊發生的時間、感染周期等，在防御措施配置防御啟動時間、最大消除的比例等。

1.2.3 進程域模型

進程域模型對組成節點模型的每一層模塊進行詳細建模。本仿真中，網絡對抗處理功能在進程cyber_handle中實現，模塊位于IP層之上，實現網絡攻擊和網絡防御功能，如圖5所示。

圖5 網絡防御進程模型

2 仿真場景

2.1 賽博網絡攻防典型仿真場景

本仿真利用賽博行為建模原理，模擬了分布式拒絕服務（DDoS）網絡攻防仿真。仿真場景是由服務器、路由器、工作站點、攻擊發起對象和被攻擊網絡等組成的局域網絡。DDoS攻防網絡仿真實現的功能包括：攻擊者發送病毒對網絡上可被感染區域的工作站點進行感染，感染后的工作站點向服務器發送大量泛洪（Flood）信息，阻止服務器為用戶終端提供正常的服務；防御模型監測網絡，發現攻擊威脅后啟動清除感染控制，使得受感染者恢復正常。

DDos攻防仿真場景工作流程如圖6、圖7、圖8所示。可被感染區域和不被感染區域，每個區域都有路由器和工作站節點，攻擊者在其他區域，整個場景的流程描述如下：首先攻擊模塊（Hacker）向網絡的可被感染區域工作站點（wstn）發送持續的感染信息，工作站被感染（如圖6所示）；300 s開始，受感染的工作站點向Http服務器（Http Server）持續不斷地發送泛洪報文，使得不被感染區域用戶（Http Client）的正常服務請求信息響應時間越來越大（如圖7所示）；系統管理員（Sys Admin）節點收到感染信息時，判斷感染區域，然后控制區域內的各工作站點清除感染行為（如圖8所示）；一段時間過后，網絡攻擊的影響逐漸消散，被攻擊區域的請求服務最終恢復正常。

圖6 DDos攻擊仿真場景（Hacker攻擊）

圖7 DDos網絡攻擊仿真場景（受感染節點發送泛洪信息）

圖8 DDos網絡防御仿真場景（系統管理員修復）

2.2 DDos網絡攻防仿真結果及分析

仿真統計量結果如圖9所示。

圖9 DDos網絡攻擊和防護對數據流影響

由圖9可以看出，200 s開始，受攻擊的工作站持續向服務器發送大流量的數據，占據了服務器大部分CPU處理能力和大部分鏈路，導致正常的Http服務請求響應緩慢，最高達到80 s；經過約200 s的網絡防御措施后，攻擊逐漸被消除，業務響應時間、CPU利用率和鏈路吞吐量趨于正常。

圖10顯示了整個仿真階段受DDoS攻擊影響的工作站數量的變化情況。初始時都正常，150 s后多數被感染，300 s后開始實施網絡防御措施，受影響的數量逐漸減少，700 s后所有工作站恢復正常。

圖10 受攻擊影響的設備數量統計

3 結 語

通過仿真平臺模擬研究賽博空間網絡攻擊對網絡的侵害程度，進而研究對網絡攻擊的防止和抵御方法，是賽博網絡防御研究的重要手段。利用仿真建模測試技術搭建真實的賽博環境，模擬各種想定下的大規模網絡攻防行動，將在未來戰爭中發揮重要的輔助決策作用。從仿真結果可見，文中OPNET下的賽博行為的建模方法，能夠真實模擬DDoS攻擊和防御的過程與效果。下一步將深入研究各種賽博防御行為并進行建模，支持構建和評估具有時序攻擊和防御模式的賽博仿真場景，深度洞察部署的防御策略造成的影響。

[1] 張明智,胡曉峰.賽博空間作戰及其對戰爭仿真在影響[J].軍事運籌與系統工程,2012,12(04):10-14.ZHANG Ming-zhi,HU Xiao-feng.Cyberspace Warfare and Its Impact on War Simulation[J].Militarty Opnerations Research and System Engineering,2012,12(04):10-14.

[2] 范愛鋒,程啟月.賽博空間面臨的威脅與挑戰[J].火力與指揮控制,2013,38(04):1-3.FAN Ai-feng,CHENG Qi-yue.Cyberspace Threats and Challenges[J].Fire Control & Command Control,2013,38(04):1-3.

[3] 陳敏.OPNET網絡仿真[M].北京:清華大學出版社,2004:6-7.CHEN Min.OPNET Network Simulation[M].Beijing:Tsinghua University Press,2004:6-7.