面向先進防御技術的網絡安全試驗場構建方法*

劉正軍，徐 銳，李春林，王 冶，魏嘉男

（1.網絡空間安全四川省重點實驗室，四川 成都 610041；2.中電科網絡空間安全研究院有限公司，河北 保定 071800）

0 引 言

網絡空間安全已成為國家安全中的突出問題，并引起國際社會尤其是西方發達國家的高度重視[1-2]。網絡靶場作為網絡空間安全研究必不可少的核心基礎設施[3]，可以為各種網絡技術、攻擊防御手段和制定的安全性策略和方案提供定量和定性的評估，實現信息系統和信息化武器裝備的技戰術性能測試和作戰效能評估，為信息安全主管機構評估網絡信息系統的安全提供一個可信性、可控性、可操作性強的試驗環境[4]。為了保證國家安全，加快向網絡強國邁進的步伐，并在未來網絡戰中占據有利位置，世界各國均高度重視網絡靶場的建設，將其作為網絡安全技術驗證、網絡風險評估和攻防對抗演練的重要手段[5-6]。

網絡空間先進防御技術試驗場是面向學術研究的一類網絡靶場，2017年，鄔江興院士[7]牽頭“新形勢下網絡基礎設施防護技術”項目，開展網絡空間先進防御技術試驗場建設相關研究，為網絡空間先進防御技術發展建立了覆蓋探索、試驗、檢測以及評估等攻防試驗平臺，從而加速了先進網絡防御相關技術的完善和產品化。

目前，關于網絡安全先進防御技術試驗場的研究已取得了很多成果，但仍處于探索、不斷完善的階段。本文對國內外網絡靶場展開研究，基于面向對象的思想，提出了一種網絡安全先進防御技術試驗場的構建方法，為先進網絡安全防御技術、產品的驗證和評估提供支撐。

1 相關研究

美國是全球最先開展網絡靶場建設的國家[8]，建設的靶場主要包括國家網絡靶場（National Network Range，NCR）[9]、下一代互聯網靶場GENI和網絡攻防實驗床Emulab、PlanetLab及DETERlab[10]等，以及惠普、英特爾和雅虎聯合開發的“全球云計算試驗平臺”。這些靶場形成了可逼真復制軍事、政府和商業網絡等大規模多形態且其廣域覆蓋的網絡環境能力，為美國網絡空間安全研究部門提供了具有革命性意義的信息系統試驗環境。

英國的網絡靶場主要包括Ixia公司構建的Breaking point系統和Northrop Grumman公司構建的聯邦網絡實驗靶場（Federal Cyber Range，FCR）[11]。FCR被用來模擬大型復雜網絡，并在安全可控的試驗環境下進行基礎設施生存能力和可靠性方面的網絡試驗及評估，以評價它們對網絡攻擊的承受能力。它可以與美國NCR連接，進行世界范圍的高強度網絡作戰演習。

日本的情報通信研究機構（National Institute of Information and Communications Technolog，NICT）提出了“星平臺（StarBed）”系統規劃[12]，能夠提供大規模的網絡試驗環境用于評估真實場景下的新技術。

加拿大的維多利亞大學開發了“加拿大國家規模仿真實驗室（Canada Case Laboratory，CASElab）”，提供云計算、大規模網絡安全和保密等領域的核心研究能力，并為研究人員提供系統分析和仿真工具。

國內在網絡靶場建設工作方面主要有國防科技大學、中科院計算所、CNCERT/CC、中科院信工所、中國電子科技集團、哈爾濱工業大學、北京郵電大學等[13-16]科研院所，以及合天網安實驗室和i春秋等公司。他們均建設了自己的網絡靶場，在大規模網絡仿真、大規模網絡攻擊行為場景仿真、網絡攻擊數據采集與安全效果評估以及系統安全管理等關鍵技術方面進行了突破性研究和技術積累。

2 需求分析

需求分析決定了試驗場最終的構建方向，是試驗場構建中的重要組成部分。構建網絡安全的先進防御技術試驗場的需求分析主要從能力需求、系統需求和技術需求3個方面進行考慮。

能力需求是設計、建設試驗場的驅動力所在，為后繼體系架構研究提出具體的要求，指導試驗場建設。本試驗場旨在為先進防御技術提供試驗、測試與評估的試驗平臺，從能力上主要存在動態場景構建能力、試驗任務管理能力、先進防御技術評估和測試度量能力、擬態防御系統及產品測評的能力4方面需求。

系統需求主要面向先進防御技術試驗場功能，描述試驗場用戶為支持試驗任務和實現能力而對試驗場系統提出的一系列要求，主要包括系統動態重組和可擴展性的需求、系統運行機理和層次關系的需求、對安全防護的需求和對規范標準的需求。

技術需求要主要依據試驗場系統需要實現的能力，結合系統架構方面的要求，分析在系統結構需求的框架內實現不同能力的技術實現途徑，提煉出為確保試驗場功能完整性必須具備的關鍵技術特征。本試驗場的主要實現技術需求包括試驗管理技術、運維管理技術、采集評估技術和安全防護技術。

3 試驗場構建

3.1 體系架構

本試驗場采用雙平面設計，按照可管可控可測、安全隔離和場景構建，實現從上至下試驗管理平面和試驗資源平面兩個平面，結構如圖1所示。

圖1 試驗場管理系統體系架構

試驗管理平面實現對管理、評估、監測、采集和目標模擬等試驗資源進行試驗管控、系統管理、數據管控等；試驗資源平面由多種網絡設備、終端設備、虛擬化設施和仿真集群等構成公用基礎系統平臺，提供試驗和研究用的具體網絡環境；隔離交換設備實現兩個平面之間交互數據的隔離，阻止試驗資源平面的攻防行為向管理平面擴散。

本試驗場借鑒HLA、DIS以及TENA等體系架構，采用開放性、擴展性和關聯性技術。各試驗環境內部試驗模塊可靈活編組，通過組態擴充、裁剪，適應不同規模、分布層級、部署編程與結構體系的系統驗證運行；各試驗環境之間可相互銜接，支持軟硬系統綜合集成試驗；試驗環境具有必要的對外互連能力，能夠與其他相關系統在同一技術標準下實現互通，滿足基于不同技術標準的系統接入與驗證。

3.2 系統組成

本試驗場主要基于面向服務（Service-oriented architecture，SOA）的思想，采用SDN/NFV等虛擬化技術，在統一共享的物理網絡設施上，建立具備面向服務、動態重組、按需分發等能力的高動態、可重構的基礎網絡環境，支撐構建相應的網絡應用和攻防場景。試驗場的系統組成如圖2所示。該系統采用3+2的架構，其中3包括基礎資源層、試驗功能層和應用服務層，包含了試驗管理運行的全部功能；2指標準規范和安全保障，前者為試驗運行管理、過程管理、測試認證和系統擴展等提供標準規范，后者用于為試驗系統的安全運行提供防護措施。

圖2 試驗場系統組成模塊

先進防御試驗場主要采用虛擬化技術、仿真技術等手段實現動態重構、按需分配的能力，通過建立資源抽象層為試驗場的管理建立中間層，以屏蔽實體設備、虛擬設備和仿真設備進行配置管理的細節。基礎資源層主要完成對計算資源、存儲資源、網絡資源、專用資源和數據資源等試驗場軟硬件試驗資源的管理。試驗功能層提供了試驗管理、場景編排、劇情管理、數據采集、分析評估以及安全隔離等試驗系統運行的基礎功能服務。

應用服務層和試驗功能層分離為不同試驗目標提供最大的靈活性和擴展性，以滿足試驗用戶差異化的需求。不同的用戶可以根據自身的需要，調用試驗功能層組件制定特定的試驗服務。在先進防御技術試驗場中，根據當前建設的需求，主要有防御系統測評、先進防御技術驗證、攻防演練、教學培訓以及交互界面等幾個方面的應用。

試驗場標準規范為試驗系統的建設、管理和試驗提供操作規范和安全規程，以及為試驗鑒定中的評估標準等提供依據，主要包括數據標準、設備標準、管理標準規范、安全審查標準、試驗操作規范和鑒定評估標準等。

試驗場管理系統面臨來自外部系統和試驗場本身的安全威脅，主要包括試驗場景中可能溢出滲透的網絡攻擊和互聯網的傳統網絡攻擊。本系統針對前者主要采用用戶隔離、場景隔離和數據擺渡解決，針對后者主要采用加密傳輸、數據專線予以處理。

3.3 實現技術

從構建先進防御技術試驗場技術層面看，涉及到系統運行管理、試驗管理、采集評估、交互接口和安全防護5個方面的技術。

系統運行管理技術實現對先進防御技術試驗場系統管理的支撐，為試驗的開展提供運維、后臺管理等服務，主要包括運維管理技術、試驗場運行監控技術、異構設備自動化配置管理技術、分布式系統協同管理技術、子系統協作互聯技術以及多試驗場用戶管理技術等。

試驗管理技術可以分為試驗過程管理、場景構建和劇情管理3個方面。試驗過程管理指對試驗過程的控制管理；場景構建由各種信息設備及其連接關系構成試驗目標場景，通常在試驗初始階段已配置完成；劇情管理指在目標試驗場景中的各種業務流量，模擬用戶行為等。

采集評估技術涉及對試驗過程數據的采集和分析評估，與試驗構成整個試驗過程的反饋回路，主要包括探針管理與部署自動化技術、全要素數據采集技術、多維量化評估技術、安全測試度量技術以及先進防御技術的測試評估技術等。

可視化交互是試驗場進行管理、運維和開展試驗的交互入口，通過研究圖形化的管理和操作界面，為試驗管理和操作人員提供簡單易用的交互接口，主要包括場景部署可視化、劇情管理可視化、試驗態勢可視化、子系統管理可視化和運維管理可視化。

安全防護技術為試驗安全運行、試驗管理系統安全防護提供保障，分為基礎設施安全防護和試驗管理系統安全防護兩個方面，主要包括全流量審計、全過程可控技術、攻擊流量溢出檢測技術、試驗場安全威脅態勢感知技術以及數據安全交換技術等。

4 應用實例

本試驗場采用面向對象的分層設計思路。從應用角度看，不同的應用服務調度試驗功能和完成資源配置的流程和原理相同。本節選取防御系統測評為例來加以說明，如圖3所示，測試流程主要分為4個部分。

第1部分為試驗準備階段，主要完成試驗場操作人員、參試人員等相關人員的身份認證，由試驗功能層用戶管理模塊完成，以明確試驗參與人員的權限和應遵循的規范。

第2部分為場景的創建階段，由實驗功能層場景編排模塊完成，通過調度基礎資源的虛擬化管理、SDN管理，完成計算資源、存儲資源和網絡資源的配置；通過調度數據資源管理完成試驗中涉及的漏洞庫和劇情庫的配置；通過探針管理完成對試驗目標所需探針資源的配置。

第3部分為試驗進行階段，由劇情管理和過程管理模塊實現。其中，劇情管理模塊通過調度SDN管理和數據資源管理，根據任務需求按時按需模擬紅、藍、綠三方行為和流量；過程管理根據試驗操作指令完成試驗場時間同步、場景復現等功能。

第4部分實現對整個試驗階段的信息反饋，由數據采集和分析評估完成。其中，數據采集從試驗場探針中采集相應試驗數據，經過預處理后進行分析評估；分析評估模塊根據防御系統測評的需求，加載相應的評估模型，實時反饋評估結果給試驗管理人員。

圖3 防御系統測試流程

5 結 語

本文分析國內外的靶場搭建，基于面向對象的思想，采用SDN/NFV等虛擬化技術，在統一共享的物理網絡設施上，構建具備面向服務、動態重組、按需分發等能力的先進性防御技術試驗場，為網絡空間先進防御技術的驗證、改進和先進防御產品的開發試驗提供技術支撐，促進先進網絡防御相關技術的完善和產品化。