面向赛博空间的网络靶场建设思路

《面向赛博空间的网络靶场建设思路》由会员分享，可在线阅读，更多相关《面向赛博空间的网络靶场建设思路（13页珍藏版）》请在装配图网上搜索。

1、面向赛博空间的网络靶场建设思路*（1.91404部队秦皇岛066001）（2.武汉数字工程研究所武汉430205）【摘要】分析了赛博空间的概念和面临的安全威胁与挑战，引出了网络靶场的概 念，指出网络靶场为建立海战场环境下赛博空间安全的仿真试验环境提供了技术 手段和实现途径。分析对比了美国网络靶场现状，在此基础上，探讨了建设我国海 军网络靶场的一些技术思路和实现方案,包括总体框架、靶场平台、网络攻防、 数据分析、测试与评估。【期刊名称】计算机与数字工程 【年（卷），期】2015（000）008 【总页数】6 【关键词】赛博空间;网络靶场;网络攻防 韩卫国1徐明迪2Class Number TP3

2、091引言随着计算机和网络技术的发展，赛博空间已逐渐演变为一个类似于陆、海、空、 天等真实存在的客观领域,主要由各种电子设备、网络、信息系统以及相关的基 础设施组成,以信息和对信息的控制为主要内容，通过对数据的产生、存储、修改 和交换，实现对物理系统的操控并影响人的认知和社会活动1-2。在赛博空间 越来越被重视的同时，其面临的安全威胁与挑战也与日俱增，各种攻击手段和方法 如网络攻击、程序漏洞、计算机病毒、逻辑炸弹、预置后门、恶意软件等在赛 博空间中层出不穷。在赛博空间中，攻击者只要能够接入系统，就可不受时间和地 点的影响，随时随地发起攻击，而且攻击能够瞬间到达。一旦攻击成功，将对对方 的政治、

3、军事、经济、科技、社会等方面造成极大的破坏3。鉴于赛博空间安全在国家政治、军事、经济安全中的重要地位，世界各军事强国 纷纷将赛博空间安全纳入国家安全战略。美国为实施赛博威慑，谋求战略优势以 反恐为名不断扩大和完善其网络安全战略，先后经历了 全面防御、保护设施”、 攻防结合、网络反恐”、“主动防御、网络威慑”等几个阶段4;近年来还相 继发布了赛博空间作战条令、赛博空间国际战略报告、赛博空间作战战 略报告等多份有关赛博空间的重量级战略文件。英、德、法、日等国也相继 推出了网络安全战略和建设网络作战力量的发展计划。我国海军虽然高度重视赛博空间和信息安全保障工作，但在开展赛博空间安全工 作时也面临着一

4、些挑战。首先在实际的海战场环境中直接开展真实的大范围的 网络安全试验和攻防演练，容易造成物理设备故障和系统崩溃,引起不必要的损失。 其次，在实际的海战场环境中进行真实的大范围的网络攻防演练时，一次试验无法 覆盖多种攻防场景儒要不断地调整物理设备和节点的部署情况进行多次试验不 仅增加了投入成本，有时也不具有可实现性。因此，为保证海战场环境下的赛博空 间安全，需要建立能够模拟实际海战场的仿真试验环境，在该环境中开展真实的大 范围网络攻防演练，以测试和评估海军赛博空间和网络设施的薄弱环节，预防来自 赛博空间的威胁和攻击，提升赛博空间作战能力，推进海军赛博空间安全战略的科 学规划和有效实施。网络靶场为

5、这种仿真环境的建立提供了技术手段和实现途 径。网络靶场是指为了适应军事领域内的信息系统和信息化武器装备的发展要求，提 供近似实战的信息战环境而建立的网络安全试验平台。网络靶场可以为各种网 络技术、攻击防御手段和制定的安全性策略和方案提供定量和定性的评估，实现信息系统和信息化武器装备的技战术性能测试和作战效能评估，为信息安全主管 机构评估网络信息系统的安全程度提供一个可信性、可控性、可操作性强的试 验环境5。本文通过对美国赛博空间安全和网络靶场现状的追踪分析，结合我国海军的现实 需求，探讨了建设我国海军网络靶场的一些技术思路和实现方案，具体包括总体框 架靶场平台、网络攻防、数据与管理安全、测试与

6、评估等方面。2美国网络靶场现状2.1美国国家网络靶场国家网络靶场(National Cyber Range,NCR)是美国“国家网络安全综合计划 (Comprehensive National Cybersecurity Initiative,CNCI)” 的重要组成部分, 由国防部高级研究计划局负责管理，建成后将为美国国防部、陆海空三军和其他 政府机构服务。NCR的参与方包括信息安全企业、学术机构和商业实体，其建设目标为:为模拟 真实的网络攻防作战提供虚拟环境，针对敌方电子攻击和网络攻击等电子作战手 段进行试验，以实现网络战能力的重大变革，打赢在未来现代化战争中具有决定意 义的网络战争。NC

7、R建成后将具备的能力包括5:大规模军用网络、政府网络、商用网络及国 家级网络攻防对抗的仿真能力;支持成千上万的物理和虚拟节点的部署与测试,并 能提供自动测试的能力;支持不同安全等级条件下的大规模网络以及信息系统的 攻击和防御测试;根据实际需求和资源情况,测试网络安全、主机系统安全工具和 套件的能力;加速或减缓相关测试时间的能力；封闭或隔离测试数据的能力滇实 复制相关用户行为及弱点的能力;开发与部署创新性网络测试的能力。NCR在试验规模、对象、环境、安全与复杂度等方面都有别于传统的电子靶场 和通信靶场。建设NCR时面临的关键技术难点主要有:大规模网络仿真环境构 建技术、靶场试验时钟同步技术、靶场

8、试验运行控制技术等6。1) 大规模网络仿真环境构建技术NCR需要能够重现出大规模的军事、政府和商业网络，由于网络的规模庞大、 覆盖范围广，形态多样而且动态变化，靶场难以利用有限的物理资源真实重现各类 网络。故需要采用仿真的方法以扩大靶场的规模，且尽可能减少与真实网络环境 的差异性,同时根据不同的试验要求和对象按需部署，以满足靶场试验环境在结构、 规模和节点要素等方面的要求。2) 靶场试验时钟同步技术在NCR中进行试验时，为提高试验的逼真度,通常需要将外部的实际设备与系统 作为配试系统接入靶场。由于这些真实资源与靶场中的虚拟资源在时钟同步方 式、描述精度与运行方式等方面存在差异，而且在大规模网络

9、环境中存在不可预 知的网络延时，故需要解决真实资源与虚拟资源之间的精准时钟同步问题。3) 靶场试验运行控制技术网络靶场试验运行控制技术主要包括试验的进程控制和调试控制技术。其中，试 验进程控制技术主要包括进程的开始、跳转、加减速、冻结、恢复和结束等,试 验过程的缩短与延长是通过运行不同粒度的时间驱动来实现的。试验调试控制 技术主要是通过调整试验设定中的事件顺序来完成的。2.2美国信息保障靶场信息保障靶场(Information Assurance Range,IAR)是由美国国防部(Department of Defense,DoD)信息系统局安全作战室倡导谋划的，旨在提供一 个全球信息栅格（

10、Global Information Grid,GIG）作战仿真环境，其信息保障、网 络防御能力以及网络服务均处于封闭环境中。IAR也是国防部赛博人员的虚拟 训练场，为赛博演习、新信息保障技术与网络防御战术、技术和规程的测试与评 估提供综合仿真环境。IAR的许多功能与NCR类似，但IAR并非NCR项目的一部分，两者在靶场的使 用对象、环境、靶场职能、作战强度以及安全性等方面都有所不同，具体内容如 表1所示7。为了模拟真实的作战环境,IAR主要采用了系统管理者仿真训练器SAST和断点 等工具。SAST是一个为训练人员、组织训练和测试工具提供真实赛博靶场环 境的软件套件，用以描述和产生网络行为，主

11、要包括三个工具插件包7。1）多用户流量产生工具:描述赛博空间中正常用户的行为活动，通过网络流量模 拟正常用户行为,适用于对网络安全设备能力的测试以及边界防护技术人员的训 练。2）协同攻击工具:描述并产生恶意攻击者行为，支持用户制定的攻击方案，集成了 大量不同类型的已有的攻击工具和漏洞溢出程序工具包，适用于描述内部威胁以 及模拟仿真红队。3）虚拟网络提供商服务:模拟互联网提供的网络服务，如远程终端、超文本传输和文件传输服务等。3面向赛博空间的海军网络靶场建设思路3.1总体框架面向赛博空间的海军网络靶场的主要任务是研究和开发适用于海战场环境的网络安全仿真试验平台，其总体框架如图1所示。研究人员可以

12、根据需要设定网络 设备参数、网络拓扑结构、脆弱性参数、威胁参数、拟评估指标等网络攻防参 数,根据不同的试验需求，从网络攻防试验模型和试验数据库中选取不同的试验模 型和试验数据，进行网络攻防试验。在试验过程中，靶场要能够在运行资源和管理 资源之上支持不同攻防场景的快速部署，使得研究人员能够全方位地对靶场和被 测系统进行安全性评估，重点完善改进薄弱环节，并研发各种可能的新技术来应对 可能的威胁和攻击;靶场要能够进行网络攻防态势感知，测试对比各种态势感知工 具的功能和性能;靶场要能够通过设定不同的网络拓扑、网络协议与服务和网络 流量，测试并评估网络的复杂性。此外，靶场应支持人为地为被测试系统设置系统

13、 漏洞或故障,以测试被测系统的管理配置安全性。所有的攻防试验数据都被详细 地记录下来,通过数据处理和分析，生成便于直观理解的结果，反馈给研究人员、 指战员和上级机关,用以评估靶场、被测系统的安全性和抗攻击性，采取的网络攻 防手段和方案的优缺点，并进一步形成和丰富网络攻防试验模型和试验数据库。3.2建设方案海军网络靶场的建设需要不同的技术部门共同参与，需要由统一的部门统筹管理, 协调分工，做好靶场基础设施建设规划和标准的制定，统一信息格式和标准化接口, 以使靶场内的资源和信息互联、互通、互操作，实现海战场环境下一体化的试验 功能、机动化的试验平台、多样化的试验模式、精确化的试验指挥、可视化的 试

14、验场景。在靶场的建设过程中应重点考虑以下方面8: 1）尽可能重现真实的 物理网络状况，包括路由器、交换机、服务器、防火墙、入侵检测设备、无线接 入设备等要素;2）尽可能全面反映各种平台和服务的工作状况;3）尽可能包含具 备不同安全意识等级的网管人员的管理策略和方法;4）尽可能详细地记录各种 攻防日志，提供数据处理和分析功能，把处理后的攻防数据以直观的方式展现给研 究人员和指战员，便于反馈和学习。在靶场建设过程中,可从靶场平台、网络攻防、数据分析、测试与评估等几个方 面来具体实施，包括:提供基础平台和软硬件环境，设定相应的版本和补丁可控的 操作系统以及各个系统平台漏洞;网络上提供各种协议服务和应

15、用软件，允许数据 在网络上以明文方式传输，同时也提供数据加密和完整性校验机制，允许/禁止网 段内数据包过滤和嗅探，允许网络欺骗和中间人攻击等,各种级别的访问权限控制, 人为的管理漏洞，如弱口令、口令重用、敏感文件无规范放置;详尽的攻防日志以 及机器状态日志等。3.2.1靶场平台网络靶场需要提供近似真实环境的仿真环境,可通过云计算技术搭建基础平台。云计算通过网络将超大规模的计算与存储资源整合起来，并将计算任务分布在这 些资源池上，使用户能够根据自己的需要获得计算和存储等信息服务。云计算将 抽象的业务逻辑与具体的计算资源分离，用户只需关注自身的业务逻辑而无需关 注复杂、易错的底层计算机的资源管理。

16、这些特点使得采用云计算技术构建网 络靶场时能做到低成本、容易管理。每次进行靶场试验前，可动态地创建虚拟机以满足当前试验所需要的节点数量,并 通过对虚拟机的灵活部署和动态迁移，形成预想的网络拓扑结构。靶场试验过程 中，所有的攻击效果都被限定在虚拟机中，对实际的物理设备的影响甚小，减少了 物理设备因攻击而出现故障或损坏而需要增加投入的风险。每次试验结束时，可 动态的挂起或者销毁虚拟机，释放分配的试验资源，由靶场完整回收并供下次试验 继续使用。研究人员可以非常方便地在靶场中部署各种不同的攻防场景，反复演 练不同的攻击和防御手段。3.2.2网络攻防网络靶场在建设和运行过程中，需要反复演练各种网络攻击和

17、防御手段与策略，测 试发现尚未发现的漏洞和攻击点，试验改进新的防御工具，同时也在攻防演练的过 程中提高相关人员的网络安全防御意识和能力。网络攻击一般包括三个阶段，即攻击的准备阶段、实施阶段、善后阶段。在准备 阶段,主要是确定攻击目的，侦察扫描目标系统，准备攻击工具。在实施阶段，攻击 者首先会隐藏自己的位置，然后利用收集到的信息和各种手段登录目标主机并提 升权限，之后便是利用漏洞、后门或者其他方法获得控制权。在善后阶段，攻击者 需要消除或者隐藏攻击痕迹，植入后门或者木马，退出目标系统。攻击者通过远程 控制植入的后门程序或者木马，可以随时再次对目标系统发起攻击。在网络靶场 的建设过程中应至少考虑以

18、下攻击方式：网络侦察技术,拒绝服务攻击，缓冲区溢 出攻击，程序攻击，欺骗攻击，利用处理程序错误攻击,高级可持续攻击等。在网络安全防护技术方面，可以从网络的不同层次和角度采取不同的安全技术1, 包括：1）信息传输安全技术:保护传输信道的物理层与链路层,主要包括通信链路 加密和数据加密、数据完整性校验、信道的旁路攻击检测和防护等技术。2）信 息交换安全技术:保护数据的可靠寻址、路由与交换，主要包括网络实体的身份认 证、路由表访问控制、地址反欺骗、协议报文防篡改等技术,以及采用自主设计 的通信协议,包括呼叫处理、信令处理、路由协议等。3）网络服务安全技术:保 护应用层的网络服务，主要包括应用系统访问

19、控制、拒绝服务攻击检测与防御、 入侵检测与保护、安全审计、数据包过滤、深度包检测、反病毒、漏洞扫描与 挖掘、虚拟专用网、蜜罐、安全恢复等技术。4）自免疫与自愈技术:当网络受 到攻击而影响到正常的服务功能时，能够通过自身的免疫能力来实现网络的自愈。5）网络管理安全技术:保护管理各类网络设备，主要包括网络管理安全需求的等级划分与保护，网络管理安全架构与访问控制，网络资源的保护机制与实时监控, 基于策略的网络管理等。6）网络安全分析评估技术:用于评定网络的安全防护 能力，针对网络安全策略，给出理论分析和仿真结果，结合定性和定量的分析结果, 得出网络的风险评估模型、风险评估方法和网络安全威胁标识，检测

20、网络的渗透 性和安全脆弱性等。此外，还可以将一些其他技术应用到网络攻防演练中，如可信计算技术9、博弈 论等。可信计算技术能够从底层硬件保护信息系统，可抵抗软件攻击，为平台以及 运行在平台上的软件提供完整性证明从而为上层应用系统提供安全可信的运行 环境;将可信计算技术延伸到网络层面，可以构建可信网络连接，对网络用户的身 份进行认证。理想的防御系统应该对所有的弱点或攻击行为都做出防护,但是从 组织资源限制等实际情况考虑，不惜一切代价”的防御显然是不合理的，必须考 虑适度安全”的概念，即考虑信息安全的风险和投入之间寻求一种均衡,应当利 用有限的资源做出最合理的决策。因而，可以将攻击者与防御者之间的攻

21、防过程 抽象为一个二人的博弈问题，防御者所采取的防御策略是否有效，不应该只取决于 其自身的行为，还应取决于攻击者和防御系统的策略，从而通过均衡的计算来寻找 最优防御策略10。图2展示了网络靶场的攻防演练流程图。首先，训练人员从攻击工具库获取相应 的攻击工具或攻击方法，并对目标机器发起攻击，攻击行为被记录在攻击行为记录 库中。然后，攻击行为被攻击行为检测模块检测到，脆弱性模拟模块也开始接受攻 击行为的压力测试,实现不同程度的被攻击效果，行为控制模块对攻击行为被允许 的限度和攻击难度进行调节;被攻击效果记录库对攻击行为进行详细记录,在不同 层次上跟踪攻击行为，得到原始的攻防数据。最后，攻击源端的行

22、为记录和被攻击 目标的被攻击效果记录被数据融合系统融合8,得到详细的攻防效果分析报告, 作为攻防演练的经验总结与评估。3.2.3数据分析网络靶场在试验过程中会产生大量的原始试验数据,这些试验数据是分析、评估 和改进靶场和试验系统的关键因素。对原始试验数据的详细记录是一个方面，更 重要的是对试验数据的分析与处理。首先，需要对大量的试验数据进行预处理和 清洗,去除偏差较大或者无效的干扰数据，使得分析的结果尽可能反映真实的靶场 情况。再次，需要有高效的数据分析方法和工具，如可以通过数据融合算法和技术 对预处理后的数据进行融合，再用数据挖掘技术和机器学习方法对融合数据进行 分析,也可以采用大数据技术处

23、理分析试验数据。最后，还需要有直观有效的数据 解释方法和工具，方便用户对数据分析结果的使用，通过数据分析结果能够直观地 总结靶场和试验系统当前的状况和薄弱环节,涉及的主要技术包括可视化和人机 交互等。3.2.4测试与评估网络靶场建成后，研究人员可以在靶场环境中对海军的指挥控制、信息传输等信 息技术和系统的安全性以及信息安全保障工具与手段进行定性及定量的评估。通过对复杂的海战场环境的高度仿真，既可以在靶场内同时对海军的各信息系统 进行独立的测试与评估,也可以在各信息系统之间进行一体化的联合演练测评，从 而为海军各信息系统的优化改进、提高系统安全性和抗攻击性等提供试验支撑。 面向赛博空间的海军网络

24、靶场测试的对象应涵盖各信息系统的关键组成要素，包 括主机操作系统与系统内核、关键设备/终端部件、主机安全系统、局域网安全 工具和组件、网络操作系统和设备、网络拓扑结构以及网络协议等。为了对靶 场的实际功能效果进行翔实有效的测试与评估，需要根据相应的测评标准拟定测 评指标。面向赛博空间的海军网络靶场的测评标准的制定可参考国内夕卜使用广 泛的测评标准，如美国的可信计算机系统评价准则(TCSEC橙皮书)、我国的计算机信息系统安全保护等级划分准则(GB 18759-1999)、总装备部的 信息安全保障体系框架(GJB 7250-2011)等。4结语本文首先通过对赛博空间面临的安全威胁与挑战的分析，引出

25、了网络靶场的概念, 指出网络靶场为建立海战场环境下赛博空间安全的仿真试验环境提供了技术手 段和实现途径。之后，本文分析对比了美国网络靶场现状，在此基础上，探讨了建 设我国海军网络靶场的一些技术思路和实现方案，包括总体框架，靶场平台、网络 攻防、数据分析、测试与评估等方面。参考文献：1 吴巍.赛博空间与通信网络安全问题研究J.中国电子科学研究院学 报，2011,6(5):473-476. WU Wei. Research on Cyberspace and Communication Network Security ProblemsJ. Journal of China Academy of

26、Electronics and Information Technology,2011,6(5):473-476.2 周光霞孙欣赛博空间对抗J指挥信息系统与技术,2012,3(2):6-10. ZHOU Guangxia, SUN Xin. Study on Cyberspace OperationsJ. Modern Electronic Engineering,2012,3(2):6-10.3 范爱锋，程启月.赛博空间面临的威胁与挑战J.火力与指挥控 制,2013,38(4):1-3. FAN Aifeng, CHEN Qiyue. Analyzing Threat andChalleng

27、e in CyberspaceJ. Fire Control & CommandControl,2013,38(4):1-3.4 张佰韬，张娱嘉.浅析美国网络安全战略的演变及对国内的启示J.北京电子科 技学院学报,2012,20(3):44-50. ZHANG Baitao, ZHANG Yujia. An Analysis on the Revolution of the USA Cyberspace Security Strategy and the Enlightenment for ChinaJ. Journal of Beijing Electronic Science & Tech

28、nology Institute,2012,20(3):44-50.5 李秋香，郝文江,李翠翠，等.国外网络靶场技术现状及启示J.信息网络安 全,2014,9:63-68. LI Qiuxiang, HAO Wenjiang, LI Cuicui, et al. Present Situation and Enlightenment of the Foreign Network Range TechnologyJ. Netinfo Security,2014,9:63-68.6 周芳，毛少杰,朱立新.美国国家赛博靶场建设J.指挥信息系统与技 术,2011,2(5):1-5. ZHOU Fang

29、, MAO Shaojie, ZHU Lixin. Construction of National Cyber Range in the United StatesJ. Modern Electronic Engineering,2011,2(5):1-5.7 周芳,周正虎.国外信息保障靶场建设J.指挥信息系统与技术,2013,4(1):1-4.ZHOU Fang, ZHOU Zhenghu. Construction of Foreign Information Assurance RangeJ. Command Information System and Technology,2013

30、,4(1):1-4.8 黄本雄，易再尧利用蜜罐技术架构网络战训练虚拟靶场环境J.华中科技大学 学报(自然科学版),2006,34(1):61-63. HUANG Benxiong, YI Zairao. Construction of a virtual target circumstances for cyber war training byhoneypot technologyJ. Journal of Huazhong University of Science and Technology(Nature Science),2006,34(1):61-63.9 沈昌祥，张焕国,王怀民，

31、等.可信计算的研究与发展J.中国科学F辑:信息科 学,2010,40(2):139-166. SHEN Changxiang, ZHANG Huanguo, WANG Huaimin, et al. Research on Trusted Computing and its DevelopmentJ.SCIENCE CHINA: Information Sciences,2010,53(3):405-433.10 王元卓，林闯，程学旗，等.基于随机博弈模型的网络攻防量化分析方法J.计算【文献来源】机学报,2010,33(9):1748-1762. WANG Yuanzuo, LIN Chuang, CHEN Xueqi, et al. Analysis for Network Attack-Defense Based on Stochastic Game ModelJ. Chinese Journal of Computers,2010,33(9):1748-1762.