網(wǎng)絡(luò)空間靶場技術(shù)研究

方濱興, 賈 焰 李愛平 張偉哲

1北京郵電大學(xué) 北京 中國 1008762國防科技大學(xué)計算機學(xué)院 長沙 中國 4100733哈爾濱工業(yè)大學(xué)計算機科學(xué)與技術(shù)學(xué)院 哈爾濱 中國 150001

網(wǎng)絡(luò)空間靶場技術(shù)研究

方濱興1,2,3, 賈 焰2, 李愛平2, 張偉哲3

1北京郵電大學(xué) 北京 中國 1008762國防科技大學(xué)計算機學(xué)院 長沙 中國 4100733哈爾濱工業(yè)大學(xué)計算機科學(xué)與技術(shù)學(xué)院 哈爾濱 中國 150001

網(wǎng)絡(luò)靶場已經(jīng)成為支撐網(wǎng)絡(luò)空間安全技術(shù)驗證、網(wǎng)絡(luò)武器試驗、攻防對抗演練和網(wǎng)絡(luò)風(fēng)險評估的重要手段。本文首先介紹了網(wǎng)絡(luò)靶場國內(nèi)外研究現(xiàn)狀; 然后介紹了靶場相關(guān)技術(shù)的研究進展, 包括大規(guī)模網(wǎng)絡(luò)仿真、網(wǎng)絡(luò)流量/服務(wù)與用戶行為模擬、試驗數(shù)據(jù)采集與評估、系統(tǒng)安全與管理等方面; 最后闡述了網(wǎng)絡(luò)靶場發(fā)展面臨的挑戰(zhàn)與發(fā)展趨勢。

網(wǎng)絡(luò)靶場; 網(wǎng)絡(luò)仿真; 用戶行為模擬; 數(shù)據(jù)采集與分析; 安全與管理

1 引言

網(wǎng)絡(luò)空間對抗形勢日趨嚴峻, 網(wǎng)絡(luò)攻防已成為各國網(wǎng)絡(luò)攻防對抗的主要內(nèi)容。網(wǎng)絡(luò)環(huán)境已由單純互聯(lián)網(wǎng)發(fā)展到了泛在網(wǎng)絡(luò)空間, 攻擊方式也由單一模式朝著復(fù)雜的APT攻擊方向發(fā)展。網(wǎng)絡(luò)靶場是針對網(wǎng)絡(luò)攻防演練和網(wǎng)絡(luò)新技術(shù)評測的重要基礎(chǔ)設(shè)施,主要供政府和軍隊部門使用, 用來提高網(wǎng)絡(luò)和信息系統(tǒng)的穩(wěn)定性、安全性和性能[1]。世界各國均高度重視網(wǎng)絡(luò)靶場建設(shè), 將其作為支撐網(wǎng)絡(luò)空間安全技術(shù)驗證、網(wǎng)絡(luò)武器試驗、攻防對抗演練和網(wǎng)絡(luò)風(fēng)險評估的重要手段[2]。

網(wǎng)絡(luò)靶場的主要功能包括: (1) 網(wǎng)絡(luò)攻防武器評測驗證: 新型網(wǎng)絡(luò)攻防武器研制出來之后, 需要對其進行測試驗證, 是否能有效攻破敵方防護系統(tǒng),以及是否能有效保護我方目標系統(tǒng); 2)支持人員培訓(xùn)與競演: 隨著新型網(wǎng)絡(luò)攻防武器的研發(fā), 具體網(wǎng)絡(luò)安全人員能否能有效掌握, 訓(xùn)練后, 誰掌握的技能更好; 3)科學(xué)試驗和新技術(shù)驗證: 網(wǎng)絡(luò)空間科研人員研制出新的網(wǎng)絡(luò)協(xié)議, 新型網(wǎng)絡(luò)設(shè)備, 以及不同網(wǎng)絡(luò)新技術(shù), 在互聯(lián)網(wǎng)上功能和性能如何, 也需要進行驗證。

網(wǎng)絡(luò)靶場已成為各國家進行網(wǎng)絡(luò)空間安全研究、學(xué)習(xí)、測試、驗證、演練等必不可少的網(wǎng)絡(luò)空間安全核心基礎(chǔ)設(shè)施。我國網(wǎng)絡(luò)安全問題嚴重, 每年的經(jīng)濟損失達數(shù)百億美元, 網(wǎng)絡(luò)靶場研究成果如能很好的推廣, 普惠網(wǎng)絡(luò)安全相關(guān)企業(yè)及網(wǎng)民, 定可提高企業(yè)的核心競爭力及網(wǎng)民的安全意識與能力,從而極大的減少經(jīng)濟損失。因此, 無論是從保證國家安全、維護社會穩(wěn)定以及產(chǎn)業(yè)發(fā)展、減少經(jīng)濟損失等網(wǎng)絡(luò)靶場都具有廣闊的應(yīng)用前景, 具有很高的社會和經(jīng)濟效益。

目前, 關(guān)于網(wǎng)絡(luò)靶場的研究已經(jīng)取得了很多成果, 但仍處于探索階段。對國內(nèi)外關(guān)于網(wǎng)絡(luò)靶場的研究進展進行較為全面的總結(jié), 對未來網(wǎng)絡(luò)靶場的深入研究具有重要意義。本文剩余部分組織入下, 第2節(jié)給出網(wǎng)絡(luò)靶場國內(nèi)外研究現(xiàn)狀, 第3節(jié)給出網(wǎng)絡(luò)靶相關(guān)技術(shù)研究進展, 第4節(jié)指出網(wǎng)絡(luò)靶場面臨的挑戰(zhàn)與發(fā)展趨勢, 第5節(jié)對全文進行總結(jié)。

2 靶場國內(nèi)外研究現(xiàn)狀

在網(wǎng)絡(luò)靶場建設(shè)方面, 美國走在了世界的前列,除了建成多個小型網(wǎng)絡(luò)靶場外, 已開展國家級的網(wǎng)絡(luò)靶場建設(shè)。2016年2月9日, 美國白宮公布《網(wǎng)絡(luò)安全國家行動計劃》, 再次對美國網(wǎng)絡(luò)基礎(chǔ)設(shè)施、專業(yè)人才隊伍、與企業(yè)合作等五個方面做全面提升,提高美國在數(shù)字空間的安全。其他國家, 如英國等也正在建設(shè)自己的國家網(wǎng)絡(luò)靶場。

我們將網(wǎng)絡(luò)靶場的發(fā)展可以分為三個階段,第一階段是以21世紀初期針對單獨的木馬類攻擊武器而建立的實物高逼真型靶標時期。在此階段, 各國以敵方的靶標軟硬件平臺為目標, 建立盡可能逼真的靶標軟硬件平臺, 用于測試己方新研制的攻擊武器能否成功繞過敵方的防護軟件, 主要包括早期的蜜罐系統(tǒng)、木馬測試系統(tǒng)等。第二階段是以2005年開始的小型虛擬化互聯(lián)網(wǎng)靶場時期。在此階段, 云計算、軟件定義網(wǎng)絡(luò)等虛擬技術(shù)是該階段的主流技術(shù),模擬真實的互聯(lián)網(wǎng)攻防作戰(zhàn)提供虛擬環(huán)境是各個國家的主要目標, 但模擬的互聯(lián)網(wǎng)規(guī)模都比較小。主要包括: 2005年美軍聯(lián)合參謀部組織建設(shè)的“聯(lián)合信息作戰(zhàn)靶場”(IOR) , 2009年美國國防部國防高級研究計劃局牽頭建立的“國家網(wǎng)絡(luò)靶場”(NCR)[3], 2010年美軍國防信息系統(tǒng)局組織建設(shè)的“國防部網(wǎng)絡(luò)安全靶場”(GIG); 2010年英國國防部正式啟用了由諾?格公司研制的“網(wǎng)絡(luò)安全試驗靶場”; 此外, 日本的StarBed靶場系統(tǒng), 加拿大的CASELab靶場系統(tǒng), 英國的SATURN靶場系統(tǒng)以及臺灣的Testbed測試平臺等均屬于這一階段。第三階段是2014年開始的支撐泛在網(wǎng)的大型虛實結(jié)合網(wǎng)絡(luò)空間靶場時期。在此階段, “震網(wǎng)”、“火焰”等針對工控網(wǎng)的新型網(wǎng)絡(luò)攻擊突現(xiàn), 各國紛紛開始研究虛實結(jié)合的網(wǎng)絡(luò)空間靶場技術(shù)。主要包括: 2014年美國國家靶場增加了法拉第罩進行無線發(fā)射設(shè)備的測試, 并支持移動計算設(shè)備; 2014年6月, 北大西洋公約組織在塔林建立NATO的網(wǎng)絡(luò)靶場, 支持工控網(wǎng)的攻防測試; 2015年7月,歐洲防務(wù)署批準建立網(wǎng)絡(luò)攻防測試靶場, 標志著EDA靶場工程的啟動。為了保證國家安全, 為了加快向網(wǎng)絡(luò)強國邁進的步伐, 為了在未來的網(wǎng)絡(luò)戰(zhàn)中占據(jù)有利的位置, 建立大型的網(wǎng)絡(luò)靶場項目, 對網(wǎng)絡(luò)靶場和網(wǎng)絡(luò)戰(zhàn)從理論和實踐上進行深入研究, 具有重要的現(xiàn)實意義。

美國“國家網(wǎng)絡(luò)靶場”項目(National Cyber Range, NCR)[4]。美軍網(wǎng)絡(luò)靶場是“曼哈頓計劃”的五個組成部分之一?！皣揖W(wǎng)絡(luò)靶場”項目由美國國防高級研究計劃局(DARPA)負責(zé)組建, 通過構(gòu)建可伸縮的互聯(lián)網(wǎng)模型, 用來進行網(wǎng)絡(luò)戰(zhàn)爭推演?！皣揖W(wǎng)絡(luò)靶場”成為一種測試涉密與非涉密網(wǎng)絡(luò)項目的國家資源。獲得授權(quán)進行網(wǎng)絡(luò)試驗的政府及政府資助的測試組織可與“國家網(wǎng)絡(luò)靶場”執(zhí)行機構(gòu)協(xié)調(diào), 安排靶場時間與資源。該項目于2009年1月啟動, 2011年10月完成原型開發(fā)。這是一項多年計劃, 由多個部門參加并分步驟實施, 其最終目的是保護美國的網(wǎng)絡(luò)安全,防止美國遭受敵對電子攻擊, 并能對敵方展開在線攻擊。具體包括網(wǎng)絡(luò)攻防實驗床Emulab[5]、DETERlab[6]及PlanetLab[7]。Emulab是由猶他大學(xué)計算機學(xué)院Flux研究團隊開發(fā)的一個網(wǎng)絡(luò)實驗床。該網(wǎng)絡(luò)實驗床由一定數(shù)量的計算機、服務(wù)器和路由器等硬件設(shè)施和一套專用的管理運營的軟件系統(tǒng)組成?；贓mulab進行改進的DETERlab, 將不同地理位置的Emulab平臺進行網(wǎng)絡(luò)集成的PlanetLab[8],此外, 還有美國惠普公司、英特爾公司和雅虎公司正在聯(lián)合開發(fā)“全球云計算試驗平臺”等。

英國的網(wǎng)絡(luò)靶場主要包括聯(lián)邦網(wǎng)絡(luò)實驗靶場及Breaking point系統(tǒng)。英國聯(lián)邦網(wǎng)絡(luò)實驗靶場(federated cyber test range)[9]由Northrop Grumman公司于2010年10月建立, 是英國第一個商業(yè)的網(wǎng)絡(luò)實驗平臺。聯(lián)邦網(wǎng)絡(luò)實驗靶場是將已有的網(wǎng)絡(luò)靶場聯(lián)邦而成的網(wǎng)絡(luò)實驗平臺, 被用來模擬大型復(fù)雜網(wǎng)絡(luò),并在安全可控的試驗環(huán)境下進行基礎(chǔ)設(shè)施生存能力和可靠性方面的網(wǎng)絡(luò)試驗及評估, 以評價它們對網(wǎng)絡(luò)攻擊的承受能力。Breaking point是英國Ixia公司的網(wǎng)絡(luò)靶場系統(tǒng)。它支持流量生成和仿真, 以創(chuàng)建一個互聯(lián)網(wǎng)規(guī)模的網(wǎng)絡(luò)靶場環(huán)境。Breaking point中對互聯(lián)網(wǎng)環(huán)境仿真包括目標仿真、漏洞仿真、逃避仿真和流量仿真。并且還包括互聯(lián)網(wǎng)IPV4和IPV6基礎(chǔ)架構(gòu)、企業(yè)和IT服務(wù)、人口和國家用戶群, 用于數(shù)據(jù)丟失預(yù)防(DLP)的相關(guān)數(shù)據(jù)、移動用戶群等仿真。

日本提出了“星平臺(StarBed)[10]”系統(tǒng)規(guī)劃, 由日本情報通信研究機構(gòu)(NICT)于2002年主導(dǎo)研制。StarBed主要提供大規(guī)模的網(wǎng)絡(luò)試驗環(huán)境用于評估真實場景下的新技術(shù)。目前已經(jīng)發(fā)展到StarBed的第三個版本。第三代StarBed將研究范圍擴大, 研究領(lǐng)域擴展到了安全性和服務(wù)質(zhì)量, 復(fù)雜的有線無線網(wǎng)絡(luò)的擴展和構(gòu)建信息安全物理系統(tǒng)的方法, 提供軟件實現(xiàn)以實現(xiàn)大規(guī)模網(wǎng)絡(luò)仿真。截止到2014年, 在用的實驗組總節(jié)點數(shù)達到1398個/11.7K個核, 以及60TB的存儲。

加拿大國家仿真實驗室(CASELab)也建立了相應(yīng)的項目開展類似的工作, 由維多利亞大學(xué)計劃開發(fā)。其建立的試驗平臺提供云計算、大規(guī)模網(wǎng)絡(luò)安全和保密等領(lǐng)域的核心研究能力, 并為研究人員提供系統(tǒng)分析和仿真工具, 使他們在完全可重復(fù)的實驗條件下對真實世界大規(guī)模網(wǎng)絡(luò)系統(tǒng)的行為建模,從而支持對互聯(lián)網(wǎng)的新技術(shù)(武器)的鑒定和評估。

國內(nèi)在網(wǎng)絡(luò)靶場建設(shè)工作方面, 科研院所方面主要有國防科技大學(xué)、中科院計算所、CNCERT/CC、中科院信工所、中國電子科技集團、哈爾濱工業(yè)大學(xué)、北京郵電大學(xué)均建設(shè)了自己的網(wǎng)絡(luò)靶場, 在大規(guī)模網(wǎng)絡(luò)仿真、大規(guī)模網(wǎng)絡(luò)攻擊行為場景仿真, 網(wǎng)絡(luò)攻擊數(shù)據(jù)采集與安全效果評估, 以及系統(tǒng)安全管理等關(guān)鍵技術(shù)方面進行了突破和技術(shù)積累, 公司方面,合天網(wǎng)安實驗室和國內(nèi)i 春秋也建設(shè)了網(wǎng)絡(luò)試驗培訓(xùn)平臺和平臺。其中, 合天網(wǎng)安實驗室開發(fā)的互聯(lián)網(wǎng)教學(xué)靶場, 用戶遍及300 余高校3 萬余人, 并舉辦了XP 挑戰(zhàn)賽、暴恐音視頻挑戰(zhàn)賽、強網(wǎng)杯挑戰(zhàn)賽等全國性系列網(wǎng)絡(luò)安全競賽等。

3 相關(guān)技術(shù)研究進展

網(wǎng)絡(luò)靶場涉及大規(guī)模網(wǎng)絡(luò)仿真、網(wǎng)絡(luò)流量/服務(wù)與用戶行為模擬、試驗數(shù)據(jù)采集與評估、系統(tǒng)安全與管理等多項復(fù)雜的理論和技術(shù), 是一個復(fù)雜的綜合系統(tǒng)。

3.1 大規(guī)模網(wǎng)絡(luò)仿真

在大規(guī)模網(wǎng)絡(luò)仿真方面, 主要包括模型模擬和虛擬化兩種方法。在模型模擬方面, 代表性工作有UC Berkeley大學(xué)開發(fā)的基于并行離散事件的網(wǎng)絡(luò)模擬器(Network Simulator, version 2, NS2), 盡管能實現(xiàn)超大規(guī)模網(wǎng)絡(luò)的構(gòu)建[11], 但難以保證網(wǎng)絡(luò)節(jié)點的逼真度以及用戶行為復(fù)制的逼真度。因此, 以虛擬化為基礎(chǔ)的網(wǎng)絡(luò)仿真成為了主流, 虛擬化技術(shù)又分為節(jié)點虛擬化和鏈路虛擬化兩方面。在節(jié)點虛擬化方面, 作為云計算平臺中最具代表性的Openstack[15],其基于虛擬網(wǎng)橋?qū)崿F(xiàn)宿主機內(nèi)部的鏈路仿真, 實現(xiàn)虛擬機間的互聯(lián)互通。在輕量級的節(jié)點虛擬化方面,最具有代表性的是docker[30], 這是一種基于linux container(LXC)的技術(shù), 一個容器就相當(dāng)于一個擁有一個應(yīng)用的虛擬機, 開發(fā)者可以在上面操作而不會影響到整個下層系統(tǒng)。美國空軍技術(shù)學(xué)院基于操作系統(tǒng)級虛擬化以及全虛擬化技術(shù)實現(xiàn)了大規(guī)模、高逼真度網(wǎng)絡(luò)節(jié)點仿真平臺并用于網(wǎng)絡(luò)安全訓(xùn)練[14]。在鏈路虛擬化兩方面, 作為網(wǎng)絡(luò)仿真平臺的代表Emulab[4], 其基于Dummynet, 通過協(xié)議棧的方式攔截數(shù)據(jù)包, 并通過一個或多個管道模擬帶寬、傳播時延、丟包率等鏈路特性, 具有較高宿主機內(nèi)部的鏈路仿真逼真度。網(wǎng)絡(luò)功能虛擬化技術(shù)(NVF)[16]通過通用性硬件以及虛擬化技術(shù)實現(xiàn)網(wǎng)元(路由器、交換機等)虛擬化以及網(wǎng)元間連接的虛擬化, 但缺乏對網(wǎng)絡(luò)鏈路參數(shù)的仿真。軟件定義網(wǎng)絡(luò)技術(shù)(SDN)[17]主要是基于數(shù)據(jù)層與控制層的分離, 在整個網(wǎng)絡(luò)架構(gòu)上提供網(wǎng)絡(luò)虛擬化和自動化的配置, 為新的網(wǎng)絡(luò)服務(wù)提供快速部署, 其網(wǎng)絡(luò)的靈活構(gòu)建與快速部署可為網(wǎng)絡(luò)仿真提供基礎(chǔ), 但SDN的研究目標并不是網(wǎng)絡(luò)仿真,對傳統(tǒng)網(wǎng)絡(luò)的鏈路參數(shù)、路由路徑的仿真有待研究。基于網(wǎng)絡(luò)模擬和虛擬化技術(shù)各自的優(yōu)缺點, 美國伊利諾伊大學(xué)香檳分校和佛羅里達國際大學(xué)整合了兩種技術(shù), 形成了基于虛擬機以及模擬器的融合仿真[12,13]。

在大規(guī)模虛擬網(wǎng)絡(luò)快速部署方面, 分為主要包括3類[18]: 基于鏡像啟動的方法, 基于內(nèi)存拷貝的方法和輕量級的虛擬化技術(shù)部署?；阽R像啟動是虛擬機部署方法中最普遍的一種方法, 主要工作集中在鏡像管理, 鏡像格式的升級, 鏡像傳輸優(yōu)化, 鏡像存儲等方面。普渡大學(xué)的K.R.Jayaram等人[19]在2011年提出來在IaaS環(huán)境下, 底層虛擬機鏡像的相似度很高, 它們很多的數(shù)據(jù)塊之間的內(nèi)容都是相似的。加利福尼亞大學(xué)的Peng[20]在基于鏡像相似問題基礎(chǔ)上,對鏡像進行了塊劃分, 提出了一個基于塊級的鏡像分布系統(tǒng)VDN。Zhang等人[18]提出了一個鏡像管理部署系統(tǒng)VMThunder中對于鏡像之間的相似性, 提出了一種按需獲取鏡像內(nèi)容, 而不是整塊鏡像的傳輸。鏡像啟動的另一個關(guān)鍵技術(shù)就是鏡像格式的優(yōu)化。威廉瑪麗學(xué)院的Duy Le[21]對虛擬環(huán)境下的鏡像文件系統(tǒng)進行細致分析, 對于原始鏡像Raw格式,它保留了物理磁盤或文件上的比特圖, 從而不需要進行地址翻譯等工作。典型的基于增量的鏡像是qcow和qcow2[22], 它通過不斷占用磁盤剩余空間來提供需求容量。利用了“copy on write”策略[23], 為多重訪問提供不同的版本, 且提供回滾操作, 初始磁盤大小也比較小。國防科技大學(xué)的陳斌[24]等人提出了一種虛擬機鏡像按需獲取技術(shù), 對鏡像進行了細粒度的分割。高效的傳輸機制可以減少部署的時間,云計算早期, 亞馬遜EC2 toolbox rocks來傳輸鏡像[25]。Peer-to-peer[26]方法在鏡像傳輸方面就比較高效, 而且鏡像在傳輸之前也可以被壓縮或者分割。東田納西州立大學(xué)的THOMAS MORGAN JR等人利用一些網(wǎng)絡(luò)協(xié)議來滿足無磁盤的遠程啟動與部署, 通過共享的一個存儲池[27], 只需要一個網(wǎng)絡(luò)連接就可以利用里面的存儲資源而不需要傳輸鏡像。內(nèi)存拷貝的方法多用于正在運行的虛擬機。多倫多大學(xué)的H. Andrés Lagar-Cavilla等人[28]提出了基于內(nèi)存拷貝方法的虛擬機快速部署SnowFlock, 達到了在秒級部署的任務(wù)。北京大學(xué)信息科學(xué)技術(shù)學(xué)院的Zhu等人[29]提出了一種基于之前存儲的虛擬機快照來實現(xiàn)快速啟動的Twinkle, 從而實現(xiàn)秒級啟動。

3.2 網(wǎng)絡(luò)流量/服務(wù)和用戶行為模擬

在網(wǎng)絡(luò)流量行為模擬方面, 主要集中在流量模型的建立、預(yù)測與回放等方面。1997年, 貝爾實驗室的Willinger提出了具有重尾分布周期的ON/OFF模型[31]。1998年, 美國馬里蘭大學(xué)的Krunz提出了服務(wù)時間分布無窮方差的M/G/排隊模型等[32]。2011年, 瑞典烏普薩拉大學(xué)Dombry等人研究了高速通信鏈路中數(shù)據(jù)流量的傳輸模式, 結(jié)合重尾分布與ON/OFF模型, 證明了ON/OFF源的數(shù)量與時間尺度均趨于無窮時, 流量數(shù)據(jù)的行為模式近似于分數(shù)泊松運動[33]。2001年, 美國萊斯大學(xué)Sarvotham等人給出了一種α-β-ON/OFF模型, 解釋了網(wǎng)絡(luò)流量具有突發(fā)性和長相關(guān)性的原因, 將網(wǎng)絡(luò)流量的特性與用戶的行為聯(lián)系起來[34]。2004年, 加利福尼亞大學(xué)Cheng和Google共同開發(fā)出來用于測試服務(wù)器端性能的流量回放系統(tǒng)Monkey, Monkey see用于在服務(wù)器端一側(cè)捕獲服務(wù)器與客戶端交互的流量, 而Monkey do用于模擬客戶端和傳輸網(wǎng)絡(luò)行為[35]。2009年, 日本早稻田大學(xué)PHAM研究了大規(guī)模網(wǎng)絡(luò)流量并行回放中的流分割和回放質(zhì)量評估問題, 但局限于對捕獲流量進行單向回放研究[36]。2013年, 南加州大信息科學(xué)研究所Hussain使用流量分析工具LANDER對真實網(wǎng)絡(luò)中的流量進行了捕獲的分析, 并通過在DeterLab實驗床中開發(fā)了一個代理, 實現(xiàn)了真實網(wǎng)絡(luò)攻擊流量的回放。實驗中, 作者使用隨機Web訪問流量作為非惡意流量, 并與真實網(wǎng)絡(luò)攻擊流量合成, 完成了小規(guī)模的網(wǎng)絡(luò)模擬實驗[37]。2008年, 馬來西亞多媒體大學(xué)的Lim S C等人從柯西過程角度討論了網(wǎng)絡(luò)流量建模方法, 給出了一種十分靈活的描述多重分形性質(zhì)的模型, 該模型可以同時精確的刻畫流量的短相關(guān)和長相關(guān)性質(zhì)[38]。2008年, 加拿大魁北克大學(xué)蒙特利爾分校的Zhani等人通過對實際網(wǎng)絡(luò)流量數(shù)據(jù)的分析, 給出了一種 Training-based模型[39], 并研究了模型性能與模型參數(shù)間的關(guān)系,預(yù)測結(jié)果比較令人滿意。

在網(wǎng)絡(luò)用戶行為模擬方面, 2011年, 智利大學(xué)工業(yè)工程系學(xué)者Loyola利用蟻群優(yōu)化算法對web用戶的瀏覽行為進行建模, 解決了傳統(tǒng)web挖掘方法與模型適應(yīng)性不強的問題[40], 該方法缺點是偏好模型比較單一, 訓(xùn)練過程較慢, 不適合大規(guī)模網(wǎng)絡(luò)用戶行為分析。在2013年, 哥倫比亞大學(xué)學(xué)者Song采用生物特征提出了一種基于機器學(xué)習(xí)的用戶行為生物識別方法, 該論文是在系統(tǒng)級別用戶行為生物特征識別方面最早的論文, 通過提煉典型特征并采用高斯混合模型對每個用戶的特征進行訓(xùn)練，實驗結(jié)果與SVM相比提高了17.6%[41]。, 其缺點是僅在windows測試環(huán)境下進行了測試, 且未給出誤識率和拒識率。在2015年, 德國哈索?普拉特納研究所學(xué)者Amirkhanyan研究了一種用戶行為狀態(tài)圖對用戶行為進行描述和表示方法, 實現(xiàn)了通過設(shè)計目標場景和人工合成活動產(chǎn)生真實用戶行為數(shù)據(jù)的方法[42]。但該文獻未給出用戶行為來源, 且作者提出的構(gòu)建方法僅限于模擬簡單的用戶行為。

3.3 試驗平臺采集與效果評估

試驗數(shù)據(jù)采集分成物理數(shù)據(jù)采集和虛擬化數(shù)據(jù)采集。因為前者的方法、技術(shù)、工具都相對成熟, 所以本節(jié)主要分析虛擬化數(shù)據(jù)采集技術(shù)。即在體系結(jié)構(gòu)棧的硬件層和操作系統(tǒng)層之間加入一個新層次--虛擬層(hypervisor), 為單一物理機上提供同時運行多個相互獨立的操作系統(tǒng), 并已成為當(dāng)今云計算和數(shù)據(jù)中心的支撐?？偨Y(jié)起來, 虛擬化數(shù)據(jù)采集可進一步分成帶內(nèi)數(shù)據(jù)采集和帶外數(shù)據(jù)采集兩種技術(shù)路線。在帶內(nèi)數(shù)據(jù)采集方式中, 典型的做法是以基于主機的入侵檢測系統(tǒng)為主[43], 由中心采集程序和植入虛擬機的代理程序組成。該方式具有被攻擊的風(fēng)險,抗破壞能力差。而一個理想的數(shù)據(jù)采集系統(tǒng)應(yīng)當(dāng)既具備對監(jiān)控對象全面徹底的觀察能力, 也具備健壯的自身保護機制, 因此帶外方式被廣泛認可是網(wǎng)絡(luò)空間安全試驗靶場數(shù)據(jù)采集的有效路線。

在帶外數(shù)據(jù)采集方式中, 2003年, 美國斯坦福大學(xué)的Garfinkel等[44]首次提出了虛擬機內(nèi)省VMI (virtual machine introspection)技術(shù), 將數(shù)據(jù)采集方式移到了帶外, 該方式減輕了直接攻擊IDS的風(fēng)險, 但是數(shù)據(jù)采集引入的性能代價較大。2007年, 美國佐治亞理工學(xué)院的Payne等[45]設(shè)計的libvmi, 不需要對虛擬機監(jiān)視器進行修改, 而是直接利用虛擬機監(jiān)視器提供的接口, 這種方式需要虛擬機監(jiān)視器的支持,引入的性能代價小于5%。但是如果虛擬機操作系統(tǒng)內(nèi)核數(shù)據(jù)結(jié)構(gòu)發(fā)生變化, 這種方法采集的數(shù)據(jù)即會出錯。2008年, 美國佐治亞理工學(xué)院的Dinaburg等[46]設(shè)計的Ether, 用于惡意軟件分析, 這種方式能夠較好地攔截內(nèi)核數(shù)據(jù)。2013年, 美國猶他大學(xué)的Burtsev[47]設(shè)計了記錄和重放系統(tǒng)XenTT, 該系統(tǒng)支持透明的虛擬機記錄方式, 而且可以對系統(tǒng)執(zhí)行歷史和系統(tǒng)狀態(tài)進行分析。記錄程序位于虛擬機監(jiān)視器中, 記錄虛擬機內(nèi)發(fā)生的中斷和異常事件、CPU狀態(tài)、指令等底層二進制數(shù)據(jù)。但是該方式的數(shù)據(jù)采集需要將底層二進制重構(gòu)成高層語義, 實現(xiàn)較為困難[48]。2014年美國國防部DARPA將VMI技術(shù)作為Cyber Fast Track program項目一部分, 并以美國MIT Lincoln實驗室為載體, 集結(jié)相關(guān)技術(shù)專家和工程師,形成Panda等為代表的系統(tǒng), 從而標志帶外數(shù)據(jù)采集技術(shù)在網(wǎng)絡(luò)靶場開始得到實際使用。

在試驗數(shù)據(jù)分析評估方面, 主要是基于試驗運行采集到的數(shù)據(jù), 根據(jù)一定的評估標準和模型, 對被測的攻防武器或技術(shù)進行定量與定性相結(jié)合的效果評估, 以及網(wǎng)絡(luò)攻防對抗態(tài)勢評估分析與可視化,并盡可能保證評估的可操作性和客觀性。分析評估方法主要有三類, 即基于數(shù)學(xué)模型的方法、基于指標體系的方法和基于知識推理的方法。在基于數(shù)學(xué)模型的方法中, Tim Bass 于2000 年提出的基于多傳感器的入侵檢測框架[49]是對基于網(wǎng)絡(luò)安全態(tài)勢感知的分析評估模型; 2002年美國國防部聯(lián)合指揮實驗室提出了JDL數(shù)據(jù)融合處理模型[50], 將試驗數(shù)據(jù)進行預(yù)處理、融合、精煉和評估; 2012年SA Technologies的M.R.Endsley提出了態(tài)勢感知理論SA模型[51], 對影響網(wǎng)絡(luò)安全態(tài)勢的要素進行理解、評估和預(yù)測; 基于指標體系的方法中, 以20世紀70年代美國運籌學(xué)家T.L.Saaty 教授提出的層次式指標體系分析法[52]最為廣泛, 是安全態(tài)勢評估領(lǐng)域最常用的評估方法, 其評估函數(shù)通常由網(wǎng)絡(luò)安全指標及其重要性權(quán)重共同確定; 在基于知識推理的方法中, 2006年挪威約維克大學(xué)Arnes 等人提出了基于隱馬爾科夫推理的網(wǎng)絡(luò)安全態(tài)勢評估模型[53]; 2007年挪威科學(xué)技術(shù)大學(xué)的Mehta 等人[54]提出了一種基于攻擊圖狀態(tài)的排序方案, 通過對狀態(tài)的排序反映出安全狀態(tài)的重要性進行推理, 實現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢的評估; 2010年美國喬治梅森大學(xué)的Noel 等人[55]利用攻擊圖來理解攻擊者如何借助網(wǎng)絡(luò)漏洞一步步來實施攻擊推理, 通過模擬增量式的網(wǎng)絡(luò)滲透攻擊和攻擊在網(wǎng)絡(luò)中傳播的可能性來衡量這個網(wǎng)絡(luò)系統(tǒng)的安全性。

3.4 試驗平臺安全及管理

在試驗平臺安全技術(shù)方面, 主要包括虛擬機安全隔離、虛擬網(wǎng)絡(luò)隔離和試驗平臺隔離方面, 從虛擬機內(nèi)核、內(nèi)存、存儲、監(jiān)控器、網(wǎng)絡(luò)流量、系統(tǒng)平臺等各個層次研究試驗平臺的安全技術(shù)。虛擬機安全方面XEN和KVM有不同的方法, XEN通過修改操作系統(tǒng)特權(quán)級、內(nèi)存分段保護機制、分離設(shè)備驅(qū)動模型等實現(xiàn)安全隔離[56], KVM通過CPU的綁定設(shè)置、修改、優(yōu)化 KQEMU 源代碼、影子頁表法、硬件輔助的虛擬化內(nèi)存等實現(xiàn)安全隔離[57]。根據(jù)現(xiàn)有的帶寬隔離策略是否基于本地交換機或鏈路, 可以分為本地策略和端對端策略。VLANs[58]和802.1p[59]服務(wù)類型標簽(CoS Tags)是以太網(wǎng)提供的分割不同用戶和類型流量的機制, 屬于本地策略。端對端策略在端節(jié)點維護速率控制狀態(tài), 因而更加靈活、擴展性更強。端對端策略還可以針對單個流進行調(diào)整, 而不影響其他流, 因而更加準確。試驗平臺隔離的相關(guān)研究主要涉及虛擬機用戶惡意行為監(jiān)控與記錄、基于平臺配置的安全管理、惡意行為安全取證、安全審計和追責(zé)四項關(guān)鍵技術(shù), 2010年美國北卡羅萊納州立大學(xué)的Jiang X等設(shè)計了VMwatcher[60], 可以實現(xiàn)對文件系統(tǒng)和進程等虛擬機狀態(tài)進行行為監(jiān)測。在工業(yè)界, VMware依據(jù)其虛擬化平臺vSphere的配置選項, 設(shè)計vSphere云平臺安全配置的安全加固文檔,以確保VMware vCenter Server和VMware ESXi的vSphere環(huán)境安全。2008年美國阿拉斯加大學(xué)Nance開發(fā)出VIX工具包[61], 將監(jiān)控系統(tǒng)部署在Xen的特權(quán)域domain0, domain0擁有對所有資源的訪問權(quán)限。2002年美國密歇根大學(xué)研發(fā)的Revirt系統(tǒng)[62]在半虛擬化環(huán)境下實現(xiàn), 通過在虛擬機前端和Domain0后端作中介獲得共享請求數(shù)據(jù), 記錄下來以重放時間和外部中斷等不確定性事件。2012年美國雪域大學(xué)Yan等人設(shè)計的V2E[63]把虛擬機系統(tǒng)分為兩個范圍(main realm和recording realm)。惡意軟件運行在recording realm中, 虛擬機系統(tǒng)的剩下部分仍然在main realm中。通過從記錄器獲得的記錄日志, 然后放入重放器進行重放。然而, V2E需要進行指令級記錄和翻譯, 所以性能開銷很大。

在試驗任務(wù)運行控制與管理方面, 主要研究集中于試驗任務(wù)的自動化配置、試驗運行控制以及網(wǎng)絡(luò)仿真系統(tǒng)協(xié)同融合控制。在試驗運行控制方面, 傳統(tǒng)的并行離散事件模擬技術(shù)(PDES)[64]基于同步技術(shù),可實現(xiàn)試驗任務(wù)運行時鐘的可控性與因果性, 但僅限于離散事件模擬; 美國伊利諾伊大學(xué)香檳分校提出了一種離散事件模擬與虛擬機的時鐘同步與控制技術(shù)[12], 可為試驗運行的靈活時鐘控制提供支撐。在試驗任務(wù)自動化配置方面, 以NS3[65]、Emulab[66]為代表的開源網(wǎng)絡(luò)模擬與仿真軟件根據(jù)用戶提交的網(wǎng)絡(luò)配置文件, 可自動構(gòu)建仿真環(huán)境; 以O(shè)PNET[67]、QualNet[68]為代表的商用網(wǎng)絡(luò)模擬與仿真軟件可為用戶提供可視化配置界面。

4 面臨的挑戰(zhàn)與發(fā)展趨勢

綜上所述, 網(wǎng)絡(luò)空間靶場的關(guān)鍵技術(shù)面臨的挑戰(zhàn)與發(fā)展趨勢具體如下: (1)大規(guī)模網(wǎng)絡(luò)仿真方面, 面臨的挑戰(zhàn)為含人、物、信息的虛實互聯(lián)網(wǎng)絡(luò)靶場的靈活快速構(gòu)建問題, 主要發(fā)展趨勢為物理集群網(wǎng)絡(luò)拓撲透明的大規(guī)模任意拓撲及特征的虛擬網(wǎng)絡(luò)生成、高逼真度的數(shù)據(jù)報文轉(zhuǎn)發(fā)與鏈路復(fù)現(xiàn)及自適配的大規(guī)模虛擬網(wǎng)絡(luò)快速構(gòu)建等技術(shù), 通過鏡像文件的存儲優(yōu)化、傳輸優(yōu)化以及網(wǎng)絡(luò)感知的大規(guī)模資源調(diào)度等方法, 以實現(xiàn)萬級規(guī)模網(wǎng)絡(luò)拓撲、特征的快速復(fù)現(xiàn)及自動配置; (2)在網(wǎng)絡(luò)流量/服務(wù)和用戶行為模擬方面, 面臨的挑戰(zhàn)為如何解決面向攻擊的自適應(yīng)的網(wǎng)絡(luò)空間環(huán)境的逼真模擬仿真問題, 主要發(fā)展趨勢為場景化的網(wǎng)絡(luò)行為逼真模擬技術(shù), 通過多層級融合網(wǎng)絡(luò)流量行為模擬、基于時序確保的網(wǎng)絡(luò)應(yīng)用逼真模擬、大規(guī)模服務(wù)交互行為模擬、網(wǎng)絡(luò)終端用戶行為模擬等技術(shù), 以達到場景化的多層級、全方位綜合互聯(lián)網(wǎng)行為逼真模擬效果; (3)在試驗數(shù)據(jù)采集與評估方面, 面臨的挑戰(zhàn)為低損、實時、準確的網(wǎng)絡(luò)攻防評估和分析問題, 主要發(fā)展趨勢為低損耗的靶場信息實時采集技術(shù), 主要包括虛擬機與虛擬機監(jiān)視器配合的低損實時采集、大規(guī)模試驗數(shù)據(jù)的訂閱/分發(fā)、多模態(tài)試驗數(shù)據(jù)流的存儲與管理等技術(shù), 以實現(xiàn)對網(wǎng)絡(luò)安全試驗過程信息的低損、實時、準確采集; 在試驗效果評估方面, 其發(fā)展趨勢研究可量化的攻防效果評估指標體系、可伸縮的實時績效評估計算模型、支持可反饋的攻防武器量化評估自適應(yīng)機制等; (4)在試驗平臺安全及管理方面, 面臨的挑戰(zhàn)為如何保證整個靶場平臺的安全及試驗安全隔離問題, 發(fā)展趨勢為多層次動態(tài)隔離的安全管控體系,發(fā)展趨勢為高效、靈活、可控的虛實資源分配與隔離管控機制, 實現(xiàn)高安全、高可靠的聯(lián)合試驗環(huán)境。

5 結(jié)束語

網(wǎng)絡(luò)靶場還可為我國軍隊及相關(guān)安全部門研究網(wǎng)絡(luò)攻防技術(shù)、進行網(wǎng)絡(luò)攻防試驗、驗證攻防工具效果、攻防演練對抗等提供平臺支持; 同時可為我國培養(yǎng)網(wǎng)絡(luò)安全的高層次技術(shù)人才提供學(xué)習(xí)平臺、技術(shù)支撐平臺、培訓(xùn)平臺、攻防技術(shù)課程體系等, 從而為國家重大網(wǎng)絡(luò)安全決策提供重要依據(jù), 為維護我國網(wǎng)絡(luò)主權(quán)提供技術(shù)和能力支撐。因此, 為了保證國家安全, 為了加快向網(wǎng)絡(luò)強國邁進的步伐, 為了在未來的網(wǎng)絡(luò)戰(zhàn)中占據(jù)有利的位置, 建立大型的網(wǎng)絡(luò)靶場項目, 對網(wǎng)絡(luò)靶場和網(wǎng)絡(luò)戰(zhàn)從理論和實踐上進行深入研究, 具有重要的現(xiàn)實意義。

致 謝感謝在本文成文過程中, 哈爾濱工業(yè)大學(xué)(威海)的王佰玲, 江南大學(xué)的王曉峰, 哈爾濱工業(yè)大學(xué)(深圳)的劉川意, 西安電子科技大學(xué)的朱輝和國防科技大學(xué)的江榮所作出的貢獻。

[1] What is a Cyber Range? - Definition from Techopedia https://www. techopedia.com/definition/28613/cyber-range.

[2] Davis J, Magrath S. A survey of cyber ranges and testbeds[R]. DEFENCE SCIENCE AND TECHNOLOGY ORGANISATION EDINBURGH (AUSTRALIA) CYBER AND ELECTRONIC WARFARE DIV, 2013.

[3] Ranka J. National Cyber Range[R]. DEFENSE ADVANCED RESEARCH PROJECTS AGENCY ARLINGTON VA STRATEGIC TECHNOLOGY OFFICE (STO), 2011.

[4] Pridmore L, Lardieri P, Hollister R. National Cyber Range (NCR) automated test tools: Implications and application to network-centric support tools[C]//AUTOTESTCON, 2010 IEEE. IEEE, 2010: 1-4.

[5] Hibler M, Ricci R, Stoller L, et al. Large-scale Virtualization in the Emulab Network Testbed[C]//USENIX Annual Technical Conference. 2008: 113-128.

[6] Mirkovic J, Benzel T. Teaching cybersecurity with DeterLab[J]. Security & Privacy, IEEE, 2012, 10(1): 73-76.

[7] Chun B, Culler D, Roscoe T, et al. Planetlab: an overlay testbed for broad-coverage services[J]. ACM SIGCOMM Computer Communication Review, 2003, 33(3): 3-12.

[8] Laih C S, Li J S, Lin M J, et al. The Development and Operation of Testbed@ TWISC[C]//Proceedings of the 3rd Joint Workshop on Information Security. 2008: 532-546.

[9] Winter H. System security assessment using a cyber range[C]// System Safety, incorporating the Cyber Security Conference 2012, 7th IET International Conference on. IET, 2012: 1-5.

[10] MIYACHI T, MIWA S, HASEGAWA S, et al. Hands-on Environments for Network Technologies on StarBED[J]. Educational technology research, 2011, 34(1): 107-118.

[11] Liu N, Carothers C, Cope J, et al. Model and simulation of exascale communication networks[J]. Journal of Simulation, 2012, 6(4): 227-236.

[12] D Jin, Y Zheng, DM Nicol. A parallel network simulation and virtual time-based network emulation testbed [J]. Journal of Simulation. 2014, 8(8): 206-214.

[13] Miguel A. Erazo, Jason Liu. Leveraging symbiotic relationship between simulation and emulation for scalable network experimentation [A]. ACM SIGSIM Conference on Principles of Advanced Discrete Simulation[C]. 2013: 79-90.

[14] Todd R. Andel, Kyle E. Stewart, Jeffrey W. Humphries. Using Virtualization for Cyber Security Education and Experimentation [C]. 14th Colloquium for Information Systems Security Education. 2010: 130-136.

[15] OpenStack Community. http: //www.openstack.org/

[16] Mijumbi R, Serrat J, Gorricho J L, et al. Network function virtualization: State-of-the-art and research challenges[J]. IEEE Communications Surveys & Tutorials. 2016, 18(1): 236-262.

[17] Jammal M, Singh T, Shami A, et al. Software defined networking: State of the art and research challenges[J]. Computer Networks, 2014, 72: 74-98.

[18] Zhang Z, Li D, Wu K. Large-scale virtual machines provisioning in clouds: challenges and approaches[J]. Frontiers of Computer Science, 2016, 10(1): 2-18.

[19] Jayaram K R, Peng C, Zhang Z, et al. An empirical analysis of similarity in virtual machine images[C]//Proceedings of the Middleware 2011 Industry Track Workshop. ACM, 2011: 6.

[20] Peng C, Kim M, Zhang Z, et al. VDN: Virtual machine image distribution network for cloud data centers[C]//INFOCOM, 2012 Proceedings IEEE. IEEE, 2012: 181-189.

[21] Le D, Huang H, Wang H. Understanding performance implications of nested file systems in a virtualized environment[C]//FAST. 2012: 8.

[22] Bellard F. QEMU, a Fast and Portable Dynamic Translator[C]// USENIX Annual Technical Conference, FREENIX Track. 2005: 41-46.

[23] Xiao W, Liu Y, Yang Q, et al. Implementation and performance evaluation of two snapshot methods on iSCSI target storages[C]//Proc. of NASA/IEEE Conference on Mass Storage Systems and Technologies. 2006.

[24] 陳彬. 分布環(huán)境下虛擬機按需部署關(guān)鍵技術(shù)研究[D].國防科學(xué)技術(shù)大學(xué), 2010.

[25] Papadopoulos P M. Extending clusters to Amazon EC2 using the Rocks toolkit[J]. International Journal of High Performance Computing Applications, 2011, 25(3): 317-327.

[26] Li D, Cao J, Lu X, et al. Efficient range query processing in peer-to-peer systems[J]. Knowledge and Data Engineering, IEEE Transactions on, 2009, 21(1): 78-91.

[27] Morgan Jr T. DRBL: Diskless Remote Boot in Linux[J]. NETWORK, 2006, 192: 100.0.

[28] Lagar-Cavilla H A, Whitney J A, Scannell A M, et al. SnowFlock: rapid virtual machine cloning for cloud computing[C]//Proceedings of the 4th ACM European conference on Computer systems. ACM, 2009: 1-12.

[29] Zhu J, Jiang Z, Xiao Z. Twinkle: A fast resource provisioning mechanism for internet services[C]//INFOCOM, 2011 Proceedings IEEE. IEEE, 2011: 802-810.

[30] Merkel D. Docker: lightweight linux containers for consistent development and deployment[J]. Linux Journal, 2014, 2014(239): 2.

[31] WILLINGER W, TAQQU M S, SHERMAN R, et al. Self-similarity through high-variability: statistical analysis of Ethernet LAN traffic at the source level[J]. IEEE/ACM Transactions on Networking (ToN), 1997, 5(1): 71-86.

[32] KRUNZ M M, MAKOWSKI A M. Modeling video traffic using M/G/∞ input processes: a compromise between Markovian and LRD models[J]. Selected Areas in Communications, IEEE Journal on, 1998, 16(5): 733-748.

[33] DOMBRY C, KAJ I. The on–off network traffic model under intermediate scaling[J]. Queueing systems, 2011, 69(1): 29-44.

[34] SARVOTHAM S, RIEDI R, BARANIUK R. Network traffic analysis and modeling at the connection level[C]// Proceedings IEEE/ACM SIGCOMM Internet Measurement Workshop, c2001.

[35] CHENG Y, H?LZLE U, CARDWELL N, et al. Monkey See, Monkey Do: A Tool for TCP Tracing and Replaying[C]//USENIX Annual Technical Conference, General Track. c2004: 87-98.

[36] PHAM VAN D, ZHANIKEEV M, TANAKA Y. Effective high speed traffic replay based on IP space[C]//Advanced Communication Technology, 2009. ICACT 2009. 11th International Conference on. IEEE, c2009, 1: 151-156.

[37] A HUSSAIN, Y PRADKIN, J HEIDEMANN, Replay of malicious traffic in network testbeds[C]//Technologies for Homeland Security (HST), 2013 IEEE International Conference on. IEEE, c2013: 322-327

[38] LI M, LIM S C. Modeling network traffic using generalized Cauchy process[J]. Physica A: Statistical Mechanics and its Applications, 2008, 387(11): 2584-2594.

[39] ZHANI M F, ELBIAZE H, KAMOUN F. Analysis of prediction performance of training-based models using real network traffic.[J]. International Journal of Computer Applications in Technology, 2008, 37(1): 10-19.

[40] LOYOLA P, ROMáN P E, VELáSQUEZ J D. Clustering-based learning approach for ant colony optimization model to simulate web user behavior[C]//Proceedings of the 2011 IEEE/WIC/ACM International Conferences on Web Intelligence and Intelligent Agent Technology-Volume 01. IEEE Computer Society, c 2011: 457-464.

[41] SONG Y, BEN SALEM M, HERSHKOP S, et al. System leveluser behavior biometrics using fisher features and gaussian mixture models[C]//Security and Privacy Workshops (SPW). IEEE, c2013: 52-59.

[42] AMIRKHANYAN A, SAPEGIN A, GAWRON M, et al. Simulation user behavior on a security testbed using user behavior states graph[C]//Proceedings of the 8th International Conference on Security of Information and Networks. ACM, c2015: 217-223.

[43] Daniels T E, Spafford E H. A Network Audit System for Host-based Intrusion Detection (NASHID) in Linux [A]. // Proceedings of the Computer Security Applications, ACSAC '00, 2000: 178-187.

[44] Garfinkel T, Rosenblum M. A virtual machine introspection based architecture for intrusion detection [A]. // Proceedings of the Network and Distributed System Security Symposium [C]. San Diego, USA, 2003.

[45] Payne B D, Carbone M D P de A, Lee W. Secure and flexible monitoring of virtual machines [A]. // Proceedings of the 23rd Annual Computer Security Applications Conference [C], 2007: 385-397.

[46] Dinaburg A, Royal P, Sharif M, et al. Ether: Malware Analysis via Hardware Virtualization Extensions [A]. // Proceedings of the CCS’08 [C], 2008: 51-62.

[47] Burtsev, A. Deterministic systems analysis. Doctoral dissertation [D], The University of Utah, 2013.

[48] Bauman E, Ayoade G, Lin Z. A Survey on Hypervisor-Based Monitoring: Approaches, Applications, and Evolutions [J]. ACM Computing Surveys, Vol. 48, No. 1, 2015: Article 10: 1-33.

[49] Bass T. Multisensor Data Fusion for Next Generation Distributed Intrusion Detection Systems [C]. In Proceedings of the IRIS National Symposium on Sensor and Data Fusion, May 24-28, . 1999: 24-27.

[50] Blasch E P, Plano S. JDL level 5 fusion model: user refinement issues and applications in group tracking [J]. Proceedings of SPIE. 2002, 4729 (May 2012): 270-279.

[51] Endsley M. Situation awareness global assessment technique (SAGAT) [C]. In Proceedings of the IEEE 1988 National Aerospace and Electronics Conference, May 23-27, Dayton, OH. 1988: 789-795.

[52] Dagdeviren M, Yüksel . Developing a fuzzy analytic hierarchy process (AHP) model for behavior-based safety management [J]. Information Sciences. 2008, 178 (6): 1717–1733.

[53] ?rnes A, Valeur F, Vigna G, et al. Using hidden markov models to evaluate the risks of intrusions [C]. In Recent Advances in Intrusion Detection: 145–164. Recent Advances in Intrusion Detection. [54] Mehta V, Bartzis C, Zhu H, et al. Ranking Attack Graphs [C]. In Proceedings of the 9th International Symposium On Recent Advances in Intrusion Detection (RAID), September 20-22, Hamburg, Germany. 2006: 127–144.

[55] Noel S, Jajodia S, Wang L, et al. Measuring security risk of networks using attack graphs [J]. International Journal of Next-Generation Computing. 2010, 1 (1).

[56] 王雅超, 黃澤剛. 云計算中XEN虛擬機安全隔離相關(guān)技術(shù)綜述[J]. 信息安全與通信保密, 2015(6): 85-87.

[57] 黃煜, 羅省賢. KVM虛擬化技術(shù)中處理器隔離的實現(xiàn)[J]. 計算機系統(tǒng)應(yīng)用, 2012, 21(1): 179-182.

[58] 802.1Q - Virtual LANs [EB/OL]. http://www.ieee802.org/1/pages/ 802.1Q.html.

[59] Ek N. IEEE 802.1 P, Q - Qo S on the MAC level [EB/OL]. http:// www.tml.tkk.fi/Opinnot/Tik-110.551/1999/papers/08IEEE802.1Q os In MAC/qos.html.

[60] Jiang X, Wang X, Xu D. Stealthy malware detection and monitoring through VMM-based "out-of-the-box" semantic view reconstruction.[J]. Acm Transactions on Information & System Security, 2010, 13(2): 128-138.

[61] Nance K, Hay B, Bishop M. Virtual Machine Introspection: Observation or Interference? [J]. IEEE Security & Privacy, 2008: 32-37.

[62] Dunlap G W, King S T, Cinar S, et al. ReVirt: Enabling Intrusion Analysis through Virtual-Machine Logging and Replay [A]. // Proceedings of the 5th Symposium on Operating Systems Design and Implementation [C], 2002.

[63] Yan L, Jayachandra M, Zhang M, et al. V2E: Combining Hardware Virtualization and Software Emulation for Transparent and Extensible Malware Analysis [A]. // Proceedings of the VEE’12 [C], 2012: 227-237.

[64] R. M. Fujimoto. Parallel Discrete Event Simulation. Communications of ACM. 1990, 33(10): 30～53

[65] NS3 https: //www.nsnam.org/

[66] Brian White, Jay Lepreau, Leigh Stoller, Robert Ricci, Shashi Guruprasad, Mac Newbold, Mike Hibler, Chad Barb, Abhijeet Joglekar. An integrated experimental environment for distributed systems and networks[J]. ACM SIGOPS Operating Systems Review. 2002, 36(SI): 255-270.

[67] OPNET http: //www.opnet.com/

[68] QualNet http://scalable-networks.com

方濱興于1989年在哈爾濱工業(yè)大學(xué)計算機系獲得博士學(xué)位, 現(xiàn)任中國網(wǎng)絡(luò)空間安全協(xié)會理事長, 中國工程院院士。研究領(lǐng)域為大數(shù)據(jù)、計算機網(wǎng)絡(luò)和信息安全。Email: fangbx@ cae.cn

李愛平于2004年在國防科技大學(xué)計算機軟件與理論專業(yè)獲得博士學(xué)位?，F(xiàn)任國防科技大學(xué)計算機學(xué)院研究員。研究領(lǐng)域為網(wǎng)絡(luò)安全、大數(shù)據(jù)分析等領(lǐng)域。Email: liaiping@nudt. edu.cn

賈焰于2000年在國防科學(xué)技術(shù)大學(xué)獲得計算機軟件與理論博士學(xué)位, 現(xiàn)任國防科學(xué)技術(shù)大學(xué)教授, 研究領(lǐng)域為大數(shù)據(jù)、網(wǎng)絡(luò)信息安全和社交網(wǎng)絡(luò)。Email: jiayanjy@vip.sina.com

張偉哲于2006年在哈爾濱工業(yè)大學(xué)計算機系統(tǒng)結(jié)構(gòu)專業(yè)獲得博士學(xué)位。現(xiàn)任哈爾濱工業(yè)大學(xué)計算機網(wǎng)絡(luò)與信息安全研究中心任教授。研究領(lǐng)域為網(wǎng)絡(luò)空間安全、并行與分布式系統(tǒng)。研究興趣包括: 虛擬化、資源管理。Email: wzzhang@hit.edu.cn

Cyber Ranges: state-of-the-art and research challenges

FANG Binxing1,2,3, JIA Yan2, LI Aiping2, ZHANG Weizhe31
Beijing University of Posts and Telecommunications, Beijing 100876, China2School of Computer, National University of Defense Technology, Changsha 410073, China3School of Computer Science and Technology, Harbin Institute of Technology, Harbin 150001, China

Cyber Range has become a very important means to support tasks such as network security technology validation, network weapon testing, training of network attack and defense, and network risk assessment etc. In this survey, we first give an overview of the current research works in the field of Cyber Range, including both domestic and international contributions; secondly, state-of-the-art techniques of Cyber Range is described, including large-scale network simulation, network traffic/service and user behavior simulation, acquisition and analysis of testing data, and system security and management etc.; finally, we concluded the paper by discussing the challenges and trends of Cyber Range.

cyber range; network simulation; user behavior simulation; data acquisition and analysis; system security and management

TP309.2 DOI號 10.19363/j.cnki.cn10-1380/tn.2016.03.001

2016-03-28;

2016-06-28