一種面向網絡安全實驗平臺的場景快照方法*

李春林，徐 銳，魏嘉男，王 冶

（網絡空間安全四川省重點實驗室，四川 成都 610041）

0 引 言

網絡安全實驗平臺以其網絡拓撲可重構、網絡節點類型可定義、主機支持多配制多系統、虛擬網絡能夠重現真實網絡環境等特點，成為網絡安全理論研究和技術發展的重要支撐手段。美、英、日等網絡發達國家先后建立了NCR、BreakingPoint和Starbed等國家級網絡安全實驗平臺[1-2]，國內則有高校和研究院所基于OpenStack等虛擬化平臺建立中小型網絡安全實驗平臺開展相關工作[3-4]。

隨著網絡空間安全教學、實驗等工作的不斷深入開展，網絡安全實驗平臺發展面臨包括如何實現實驗過程中復雜網絡場景狀態快速重現、如何實現網絡行為和背景流量的回溯以及如何在紅藍對抗中快速恢復到特定對抗狀態等新問題[5]。針對上述問題，基于場景快照可實現場景狀態的快速保存和還原，是一種理想的解決手段。當前，在面向網絡安全實驗平臺的場景快照方面的研究不多，但在磁盤快照、數據快照等領域，業界和學術界已經有大量的研究成果[6-9]。在現有的虛擬機快照解決方案中，李濤等人針對基于事件的數據快照生成與恢復開展研究[10]，可用于提高場景快照的生成控制粒度，但其效率較低，難以滿足快速生成場景快照的要求；鄭婷婷等人提出一種虛擬機快速克隆技術方案用于解決云計算環境下大規模虛擬機快照的快速生成問題[11]；向小佳等人提出基于集群虛擬化的高精度快照的設計與實現集群虛擬化快照生成性能[12]。上述方案對于研究場景快照的快速生成與恢復具有重要的價值和意義，但如何解決多個連續快照生成方面還存在問題。李中等人研究了連續時間點快照解決方案，提出一種新型的增量快照技術提升連續時間點快照問題[13]，但未解決連續快照的管理問題；胡明昊等人提出一種云環境下虛擬機集群的扁平化版本方案，基于版本的方式對多虛擬機快照進行管理[14]，可以應用于場景快照的管理，但缺乏對版本一致性的討論，因此仍未解決場景快照的一致性問題。

本文在現有解決方案的基礎上，針對面向網絡安全實驗平臺的一致性場景快照生成問題開展研究。首先就一致性場景快照生成問題進行具體描述，其次提出一種基于中心授時和定時生成快照相結合的解決方案，并通過對比實驗驗證了方案的有效性。

1 背 景

在現有的網絡空間安全實驗平臺中，為了更加真實地還原目標場景，在模擬目標場景拓撲、設備基礎之上，進一步引入業務、背景流量和安全事件等模擬內容提升真實性[5,15]。在傳統的場景快照解決方案中，僅需要對各個虛擬機做快照，即可保留整個場景中涉及到的主機、網絡配置等信息，從而實現對場景的還原。隨著背景流量尤其是安全事件的引入，場景中節點對安全事件的響應存在時間上的差異，場景快照的生成必須要考慮這種差異，以確保快照中各節點狀態的一致性。

圖1以一個最小化的場景來說明場景一致性問題。該場景包括2個主機節點、1個事件生成服務器和1個管理終端。其中，事件生成服務器通過不斷生成網絡事件模擬真實網絡中的普通用戶、攻擊者或安全防護人員產生的事件；管理終端根據實驗的需要下發指令生成場景快照。

圖1 事件生成與快照管理

圖2給出了一種可導致快照一致性問題的事件生成和快照產生時間序列圖。假設管理終端在T1時刻下發快照生成命令，由于網絡延遲，節點1和節點2將分別在T3和T5時刻響應命令生成快照。若在T1和T3之間的T2時刻事件生成器生成事件1，并在T3和T5之間的T4時刻到達節點1和節點2，則當快照生成時，節點1尚未收到事件1，節點2收到事件1。因此，在場景快照中，節點1和節點2的狀態不一致。當還原場景時，對事件生成器而言已經生成了事件1，但節點1尚未收到事件1。此時，時間生成服務器如果重新生成事件1，又會導致節點2重復響應事件1。可見，當產生快照一致性問題時，安全實驗事件的管理將產生沖突。

圖2 事件生成和快照產生時間序列

上述問題的產生主要有2個原因：（1）快照生成的時間差，導致節點1和節點2在快照生成前后分別收到事件；（2）事件到達節點1和節點2的時間差。本文將著重針對快照生成時間的一致性問題提出解決方案，同時為了簡化問題，后續章節,將假定事件到達節點1和節點2的時間一致，并開展相關問題的分析和原理闡述。

2 實現原理

針對快照生成時間的一致性問題，可以采用基于中心授時和定時快照的方案。該方案包括中心授時和定時快照生成兩部分，前者用于保證各節點的時間在同一基準時間上，后者用于確保各節點在同一時間生成快照。

2.1 場景時間同步

安全實驗平臺以場景為對象，管理其上運行的網絡安全實驗。各場景相互獨立，因此各場景可以采用獨立的時間同步基準。在圖3的基準時間部署方案中，每個實驗場景包含一個授時中心，場景中的各節點統一采用授時中心提供基準時間校準本地時間。

圖3 場景內時間同步

2.2 定時快照生成原理

有了統一的時間基準，在創建場景快照時，管理終端可以不必直接下發創建快照命令，通過將快照時間下發到場景中各節點即可，各節點在管理終端下達的時刻執行快照創建即可同步生成場景快照。

圖4 基于授時中心的場景快照生成方案

管理終端直接下發快照命令與下發創建快照時間的區別在于，前者由管理終端直接下發執行操作。由于網絡延時的原因，可能各個節點接收到的快照時間不一致，但通常延時差距在100 ms以內；后者可以很好地克服網絡延時的問題，通過引入授時中心，可將時間差控制在10 ms以內。

2.3 場景快照生成發方案

結合授時中心和定時快照，最終給出如圖5所示的基于統一時間基準的場景快照生成方案。

圖5 基于授時中心的場景快照生成方案

實驗平臺場景快照生成和還原的全流程如圖6所示，過程可分為3個階段。

第1階段為準備階段，在創建場景時將為各場景增加一個場景授時中心，場景各節點將本地時間統一到基準時間，完成時間同步。

第2階段為場景快照生成階段，管理終端根據場景最大延時時間確定快照生成時間，通常為最大延時加100 ms。比如，T1時刻下發創建命令，各節點在T3時刻生成快照，事件1和事件2分別在T2和T4時刻生成，則分別落在快照生成前后，不會產生如圖2所示的一致性問題。

第3階段為場景還原階段，管理終端將場景快照進行還原，整這個實驗場景返回到事件1發生、事件2未發生的狀態。

圖6 場景快照生成流程

3 實驗評估

3.1 實驗環境

實驗場景采用了8個終端節點、1個事件生成服務器、1個授時中心和1個管理終端，共11臺虛擬機分別部署在3臺服務器上。

實驗采用中心授時的定時場景快照生成方法（部署如圖7所示）與其他兩種場景快照方法進行對比（部署如圖8所示）進行對比。其他兩種場景快照生成方法分別為基于SSH的快照命令直接下達方式和不采用中心授時的定時快照生成方法。

圖7 采用中心授的場景快照生成部署

圖8 不采用中心授時的場景快照生成部署

實驗方法：事件發生器按照100 ms的間隔生成事件，各節點接收到事件進行一次寫入操作；當快照生成后，分別對比不同節點快照中執行的操作ID，基于操作ID判斷各節點快照已經執行的事件數。

3.2 實驗結果

表1的結果分別為3種快照生成方法生成后快照中的執行事件ID。可以看出，有中心授時的場景快照生成方法明顯優于其他兩種方式，除了節點5少執行1次，其他均執行了390次事件。沒有中心授時的定時快照執行的時間較為凌亂，最少的節點僅執行了389次事件，最多的節點執行了402次事件，相差13次；而基于SSH命令進行快照生成的方式則達到了18次事件的相差。

表1 3種不同快照生成方案下的事件執行結果

圖9給出了3種場景快照生成方法的曲線對比圖，可以看出有中心授時的場景快照生成方法曲線很平穩，其他兩種方法則出現較大波動。其中，無授時的方法波動性較大，這是由于各節點時間不一致造成，可見采用中心授時的必要性。快照命令方式則主要由于網絡延時造成，與宿主的部署相關。

圖9 不同快照生成方案下執行結果對比

4 結 語

本方案提出一種面向網絡安全實驗平臺的一致性場景快照生成方法，通過引入中心授時機制和定時快照生成方法實現場景快照的一致性，對比了基于遠程命令快照和無授時中心的定時快照生成方式。實驗結果表明，基于中心授時的一致性場景快照生成方法明顯優于其他兩種方法。但是需要注意，該方法仍然產生了一次快照的不一致，這種不一致是由于中心事件達到的不一致等原因導致，在后續研究中將針對事件的一致性問題開展研究，提出相應的解決方案。