教學用網絡靶場的架構設計

張月紅

(上海電子信息職業技術學院 通信與信息工程學院，上海 201411)

網絡空間正式與海洋、陸地、天空和太空并列成為第五戰場，在當前網絡空間對抗形勢日趨嚴峻的情況下，基于網絡仿真與效果評估等關鍵技術構建的網絡靶場顯得非常重要[1]。美國、日本、英國和加拿大等國均高度重視網絡靶場建設，將其作為支撐網絡空間安全技術驗證、網絡武器試驗、攻防對抗演練和網絡風險評估的重要手段。2008年1月,美國啟動國家靶場項目,建成后將為美國國防部、陸海空三軍和其他政府機構服務。2010年10月,英國國防部宣布成立英國聯合網絡靶場，是英國第一個可以用于商業用途的網絡靶場[2]。

我國網絡靶場建設目前處于起步階段,僅有部分科研實驗室和行業專用試驗場等，其中科研院校有國防科技大學、中國科學院計算技術研究所、國家計算機網絡應急技術處理協調中心(national internet emergency center， CNCERT/CC)、中國科學院信息工程研究所、中國電子科技集團、哈爾濱工業大學、北京郵電大學等。目前科研院校靶場還處于探索階段，主要用于研究電子信息對抗與仿真技術，為行業產品進行試驗及檢測，規模一般比較小，且針對某一專業領域。我國高校攻防實訓室的建成僅僅為了開展信息安全相關專業基礎教學實驗和實訓，很少部署靶場的實驗環境。同時由于安全技術本身的雙面性，也要求對靶場本身的安全進行保護，會采用虛擬仿真技術對惡意代碼或網絡攻擊等進行隔離處理[3]。

近幾年，網絡仿真、網絡攻擊行為場景仿真、攻擊數據采集與安全效能評估等關鍵技術取得了突破和技術積累[4]。安全行業內也建有安全對抗的訓練靶場或實訓平臺，如合天網安實驗室的互聯網教學靶場，支持全國300多所高校3萬余名安全專業學生和技術愛好者使用，并每年舉辦“強網杯”挑戰賽等全國知名安全賽事。目前國內有多家公司研發出了信息安全實驗室產品，用于網絡防護技術練習和開展攻防比賽，如紅亞科技、易霖博等。標準化的實驗室產品存在的主要問題有兩個：其一在于沒有實現多樣化的網絡結構和完整的業務流程的場景模擬；其二在于和院校本身的課程體系不能對接[5]。

因此，本文結合高校自身的科研能力和優勢，與企業合作，利用虛擬化和云技術，開發出和信息安全相關專業培養目標更貼合、能靈活配置業務場景的教學用靶場。

1 高等院校網絡靶場特點

1.1 網絡靶場功能

網絡靶場是針對網絡攻防演練和網絡新技術評測的重要基礎設施,用來提高網絡和信息系統的穩定性、安全性和性能，可用于培養實戰型的網絡安全人才隊伍。 網絡靶場的主要作用包括[6]：

(1)網絡攻防武器評測驗證。新型網絡攻防武器研制出來之后，需要對其進行測試驗證，即驗證其能否有效攻破敵方防護系統，以及能否有效保護我方目標系統。

(2)科學試驗和新技術驗證。網絡空間科研人員研制出新的網絡協議、新型網絡設備以及不同的網絡新技術，在網絡空間上的功能和性能需要進行驗證。

(3)支持人員培訓與演練。隨著新型網絡攻防武器的研發，每個網絡安全人員能否有效掌握，可以利用網絡靶場進行評估。

具體到在高等院校的教學環境下建設網絡靶場，其基本需求是模擬業務所需的網絡環境，管理虛擬網絡環境的運行，支持師生在模擬的網絡環境中完成任務，并在任務完成后保存任務數據，釋放模擬網絡環境所占用的資源，同時要能支持對資源的重用。 因此，可以從模擬對象和試驗任務兩個主要方面分析教學用網絡靶場需求，如表1所示。

表1 高等院校網絡靶場的功能模塊Table 1 Function modules of cyber range in colleges and universities

續表1

1.2 高等院校網絡靶場特點分析

高等院校教學用網絡靶場要求能支持師生在靶場環境中進行多種場景的試驗或測試。網絡靶場支持網絡訓練場景模擬[7]，通過在網絡拓撲設計、節點模擬和環境構建上的一系列設計，支持快速構建一定規模的業務環境，以滿足網絡靶場模擬實際應用的需要。

在試驗支撐上，網絡靶場按訓練準備、訓練運行和訓練收尾分為3個階段，采用訓練及賽事配置工具，提供訓練資源準備、訓練環境設計、訓練環境部署、訓練數據分析規則配置、人員管理、人員權限管理、訓練態勢展示、訓練環境管控、訓練過程管控、銷毀訓練環境的支撐等。提供子網模板、環境模板和訓練模板，支持管理員復用網絡拓撲和訓練的設計。使用子網模板和環境模板，便于管理員員將典型的網絡結構存儲起來，從而降低了重構訓練和賽事的人工成本。

網絡靶場中的流量發生器可提供在訓練環境產生的良性數據流量，并實現網絡中的設備運行狀態和流量采集，采集內容包括節點CPU、內存、硬盤利用率、文件變化情況、注冊表變化情況、 端口開放情況、流量、網絡連接情況和進程變化等。

網絡靶場基于網絡拓撲和采集數據的分析結果展示實時場景態勢，同時提供豐富的基礎資源庫，包括鏡像資源、靶機及測試用機資源、攻防軟件和典型攻防場景等，為師生使用網絡靶場提供資源和使用的范例[8]。

2 高等院校網絡靶場架構設計與功能分析

用于高等院校教學環境的網絡靶場以需求確定、訓練任務設定、資源配置、運行部署、訓練運行、數據采集和結果評估作為業務流程展開，以支撐訓練的整個生命周期[9]。利用網絡靶場，可以快速構建一定規模的業務環境，展開相關的安全訓練，在研究完成后可以釋放資源并再利用資源，同時系統提供的模板可快速重構試驗。

2.1 技術架構

網絡靶場的技術架構如圖1所示。此架構提供了一種側重于操作的方法，通過角色和任務來測試個人和網絡防護團隊的技能和能力。在這個框架中，每個用戶都可以分配到一個學習計劃，這個計劃為衡量個體的熟練程序和整體進步提供獨特的評分方法。

圖1 網絡靶場系統架構Fig.1 Cyber range system architecture

教學用靶場的功能實現由三類用戶角色完成：(1)學生。在模擬的網絡環境中學習專業知識，提高實踐技能，也可作為一個團隊成員參與訓練和競賽，可以參與遵循學習計劃、訪問知識庫、參加動態訓練和運行安全挑戰等靶場活動。(2)教師。利用靶場完成日常教學，同時可以把網絡靶場作為評價學生的實踐課堂，主要完成創建用戶學習計劃、監控用戶培訓、設計模擬業務場景和制訂動態訓練計劃。(3)管理員。靶場中為管理員提供了管理整個靶場資源的管理平臺，用于管理和維護用戶角色和權限授予，完成多個業務場景部署，管理用于改善防御周界或內部的工具，同時可以查看所有設備的硬件使用情況和虛擬機狀況，主要完成維護用戶賬號、修改系統設置、創建/修改用戶角色等管理功能。

在網絡靶場系統架構中，通過儀表盤可以實時監控參與場景訓練的任意學生的靶機狀態和操作，在靶機出現故障時，完成環境重置操作。網絡安全實驗室是教學用網絡靶場的核心部分，包括服務教育教學的訓練部分和用于仿真建模的模擬部分。訓練部分由3個維度的形式展開，分別是安全基礎知識學習、安全挑戰和動態練習，按照學生的學習和認知規律，從易到難，由點及面，從知識掌握到能力形成，是教學靶場的驅動引擎。

2.2 網絡靶場的驅動引擎

為推動學生的安全防御能力形成，整個靶場的訓練可以按3個維度進行驅動，分別是基于課堂基礎知識的實踐模塊、自定義進度的安全挑戰和基于團隊的動態練習。

2.2.1 基于課堂基礎知識的實踐模塊

基于安全能力的形成和遞進，課程由易至難安排了3個模塊，模塊內的訓練內容按安全通信、安全運維、安全測試與評估、逆向工程、數字取證等多個能力目標展開，如表2所示。

表2 基礎知識實踐模塊的3個層次Table 2 Three levels of the basic knowledge experiment module

2.2.2 自定義的安全挑戰

按照安全技術的發展現狀及不同的應用領域，目前覆蓋5個類別的安全挑戰,包括Web應用安全、移動安全、密碼學、網絡安全及取證，如表3所示。隨著技術發展和網絡靶場訓練目標調整，類別和主題均支持擴展和升級，如加入物聯網安全及云計算安全等內容，或對現有主題內容進行調整。

表3 安全挑戰的5個基本類別Table 3 Five basic categories of security challenges

2.2.3 基于團隊的動態訓練

網絡靶場內的動態訓練可以支持不同的團隊角色類型及功能。紅色團隊扮演攻擊者的角色，試圖通過訪問特定數據或破壞特定資源來破壞靶場環境中基礎設施的安全，可以使用多種攻擊工具，如用于攻擊的腳本、用于注入目標的惡意軟件或后門、用于攔截數據流的產品、異常流量生成器等。藍色團隊的任務是防御，其目的是在有限的時間內驗證和改進基礎設施的安全性，可以用于執行安全分析、事故管理的工具及數字取證工具。

基于各種不同團隊角色，網絡靶場的動態訓練內容設計有紅藍軍攻防賽、奪旗賽(CTF，capture the flag)等。除了提供常規對抗類賽事外，可發揮網絡靶場的技術研究功能，提供惡意代碼分析和電子數據分析取證的相關場景。此外為培養安全評估測試的能力，提供多種仿真應用系統鍛煉團隊的漏洞掃描、滲透測試、安全評估及審計等多項技能。詳見表4。

表4 基于團隊的動態訓練內容Table 4 Dynamic training content based on team

3 高等院校自行開發網絡靶場的優劣勢分析

院校自行搭建基于校園環境的靶場的主要優點有：一是開發的靶場滿足安全專業教育需求，針對性強；二是通過靶場開發可以打造一支創新的教學科研團隊；三是通過項目開發可以充分實現校企合作。針對信息安全專業人才的培養目標和專業優勢特色，實現靶場自主定制開發，靶場建設團隊基于教育教學的實際需求，集合團隊力量從底層開始搭建靶場，最終建成的網絡靶場應更符合最初的計劃和設想，內容和形式也將更加適合本院校相關專業學生使用。根據兩年來的建設經驗，院校定制開發的靶場不僅可以較全面地覆蓋信息安全相關專業基礎課程和各個不同安全應用方向類課程，而且通過構建靶場的不同業務場景能夠將業務連續性與安全管理結合，多方面展示安全工程管理理念；業務場景還為競賽和工程實戰提供環境，可以分角色進行對抗，還可以多個學生組隊協作完成滲透測試項目和攻擊代碼分析等拓展訓練。已開發完成的教學用靶場的部分界面及功能如圖2和圖3所示。

圖2 教學用網絡靶場的動態訓練登錄界面Fig.2 Dynamic training login interface of the cyber range for teaching

圖3 教學用網絡靶場的動態訓練配置界面Fig.3 Dynamic training configuration interface of the cyber range for teaching

自建靶場對建設團隊在專業能力、實戰經驗方面都有著很高的要求。面臨的挑戰主要為[10]：網絡靶場中包含人、設備、信息的仿真構建；基于應用場景的行為、流量、應用功能模擬；信息的實時采集及數據的準確評估，特別是學生訓練任務評分規則的擬定；模擬流量、真實流量及實驗訓練環境的隔離問題；一體化的管理調度平臺，保障平臺整體安全；靈活的資源分配及回收機制的設計；訓練場景與課程、人才培養目標的對應以及內容的同步、更新和升級。

4 結語

高等院校作為安全人才培養基地，應科學合理地構建校園網絡靶場，既滿足網絡靶場的基本功能，同時注重其在教育教學方面的應用實效。本文提出了3種院校教學用網絡靶場的訓練維度，分別是以安全知識和實踐訓練為主的基礎維度、以安全應用為主題的挑戰維度和團隊動態訓練的角色對抗維度。以這3個維度來合力驅動網絡靶場訓練，將達到更全面培養安全人才的目標。

本研究構建的基于虛擬化和私有云技術的教學用網絡靶場平臺，目前已具有網絡攻防實訓及實戰功能，并在平臺的內測過程中支持學生的日常練習和比賽集訓，使得學生在滲透測試、攻防對抗及安全運維方面能力不斷提升，推動了專業人才培養質量的提高。

網絡安全問題日趨復雜，攻防對抗不斷升級，網絡靶場的內容建設將是一個不斷迭代更新的動態優化過程[11]，不僅內容體系要科學完整，而且還應考慮威脅情報的收集功能，以更新防護手段和訓練模式。同時教學用網絡靶場不僅服務于本院相關專業學生的實踐能力培養，還可以面向社會開展培訓和競賽活動，這就對網絡靶場中業務場景的多樣性及平臺自身的安全性提出了更高的要求和挑戰[12]。總之，基于虛擬化技術構建的教學用網絡靶場平臺，輔助專業的實踐教學，提供的實戰項目對學生掌握網絡攻擊與防御知識，開展攻防實戰演練非常必要。而靶場平臺的自身建設和訓練內容的不斷完善，還需要通過加強校企合作、開展行業研討交流等方式實現。