網(wǎng)絡(luò)空間博弈中的場(chǎng)景研究

李 煒 余慧英 吳華穎

(北京永信至誠科技股份有限公司 北京 100094)

(liwei@integritytech.com.cn)

為進(jìn)一步喚醒安全意識(shí)，深入挖掘安全隱患，貴陽市繼2016年后再次舉辦了大數(shù)據(jù)與網(wǎng)絡(luò)安全攻防演練活動(dòng).來自全國各地的21支檢測(cè)隊(duì)伍、14支應(yīng)急響應(yīng)隊(duì)伍以及36支防守隊(duì)伍針對(duì)貴陽市128家企事業(yè)單位、大數(shù)據(jù)平臺(tái)(包括政企網(wǎng)站、基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)、工控設(shè)備等)展開了激烈對(duì)決，全國30多家網(wǎng)絡(luò)公司參與，上演了一場(chǎng)“真槍實(shí)彈”的網(wǎng)絡(luò)攻擊防衛(wèi)戰(zhàn)役.演練活動(dòng)結(jié)果顯示，存在高危漏洞的目標(biāo)較2016年明顯下降，整體安全水平顯著提高.但在對(duì)某系統(tǒng)進(jìn)行檢測(cè)的過程中，我們依然發(fā)現(xiàn)了由于相關(guān)人員安全意識(shí)不足泄露關(guān)鍵信息致使系統(tǒng)更易被攻擊的情況.我們甚至在互聯(lián)網(wǎng)上直接搜索到了目標(biāo)單位的敏感信息,包括內(nèi)部管理員明文存放的密碼、平臺(tái)相關(guān)數(shù)據(jù)庫和服務(wù)器的配置文件等.檢測(cè)人員輕而易舉得獲取了內(nèi)網(wǎng)權(quán)限，對(duì)目標(biāo)系統(tǒng)進(jìn)行了完整滲透.

從我們參與過的歷屆安全實(shí)戰(zhàn)攻防演習(xí)和長(zhǎng)期對(duì)安全行業(yè)的積累來看，“人”是網(wǎng)絡(luò)安全中最為關(guān)鍵的一環(huán).2015年年底，工信部中國電子信息產(chǎn)業(yè)發(fā)展研究院(賽迪)的一份研究報(bào)告的數(shù)據(jù)指出，中國當(dāng)前對(duì)網(wǎng)絡(luò)安全人才的需求大約為50萬人，但目前國內(nèi)國家安全廠商的安全類工程師加在一起也不過5萬人左右，人才缺口高達(dá)45萬，供求比為1∶10[1].如今互聯(lián)網(wǎng)空間成為第五空間，社會(huì)基礎(chǔ)產(chǎn)業(yè)全面互聯(lián)網(wǎng)化，一旦其服務(wù)受到攻擊，整個(gè)社會(huì)的秩序包括人們基本的飲食起居都會(huì)受到影響.網(wǎng)絡(luò)安全形勢(shì)如此嚴(yán)峻，相關(guān)專業(yè)人才需求更是呈井噴式增長(zhǎng).與此同時(shí)在人才培養(yǎng)方面，我們過去一直缺少一個(gè)實(shí)戰(zhàn)場(chǎng)，很多相關(guān)專業(yè)學(xué)生只能紙上談兵.針對(duì)這個(gè)問題，我們現(xiàn)在開始逐步重視實(shí)踐培養(yǎng)，各類安全競(jìng)賽也愈發(fā)熱火朝天.網(wǎng)絡(luò)安全對(duì)抗是人與人之間的，理論教學(xué)不是人才培養(yǎng)的全部，而是要與一線的實(shí)踐和最新威脅趨勢(shì)結(jié)合在一起去培養(yǎng)，抓住“場(chǎng)景”作為教育訓(xùn)練的基點(diǎn)，而不僅僅是理論.

1 場(chǎng)景與網(wǎng)絡(luò)安全

目前網(wǎng)絡(luò)安全已經(jīng)全面進(jìn)入“場(chǎng)景”時(shí)代，任何的攻擊和防御技術(shù)以及設(shè)備都需要在特定的場(chǎng)景內(nèi)才能最大化地發(fā)揮作用和效果.要做好網(wǎng)絡(luò)安全問題的預(yù)警、監(jiān)測(cè)和防護(hù)，必須關(guān)注在不同行業(yè)、不同用戶和不同環(huán)境下的場(chǎng)景，不可能用同一種思路和方案解決所有場(chǎng)景中的安全問題，只有基于場(chǎng)景進(jìn)行詳細(xì)分析才能提出有效的、針對(duì)性的安全解決方案，這也是國際上的通行做法，稱之為“最佳實(shí)踐”.除了在安全規(guī)劃中，場(chǎng)景在網(wǎng)絡(luò)安全需求變革和產(chǎn)業(yè)發(fā)展的歷程中有至關(guān)重要的作用.經(jīng)過了這么多年的發(fā)展，用戶已經(jīng)經(jīng)歷了很多不同的網(wǎng)絡(luò)安全場(chǎng)景，積累了多方面的需求，網(wǎng)絡(luò)安全企業(yè)也經(jīng)歷了從只能解決某個(gè)場(chǎng)景問題到可以解決復(fù)雜場(chǎng)景的問題，形成了以點(diǎn)帶面、以面形成體系的產(chǎn)品、解決方案發(fā)展路線.遺憾的是，長(zhǎng)期以來我們對(duì)于場(chǎng)景的積累重視不夠，場(chǎng)景留存方式主要側(cè)重在文字描述和記錄，無論是安全企業(yè)還是用戶對(duì)于場(chǎng)景價(jià)值的深度挖掘和利用還有巨大的空間.

2 承載場(chǎng)景的基礎(chǔ)設(shè)施——靶場(chǎng)

如何有效積累、留存和利用場(chǎng)景資源是網(wǎng)絡(luò)安全產(chǎn)業(yè)和用戶需要共同關(guān)注的問題.平面記錄式的場(chǎng)景積累往往起不到應(yīng)有的效果，我們需要一個(gè)承載多維立體化場(chǎng)景的基礎(chǔ)設(shè)施，因此“靶場(chǎng)”應(yīng)運(yùn)而生.靶場(chǎng)可以將各種各樣的網(wǎng)絡(luò)攻防“環(huán)境”以模板的方式保存起來，并在需要時(shí)合理調(diào)配各種計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源來生成這些攻防“環(huán)境”，以軟硬件結(jié)合的方式進(jìn)行交付.

2.1 國外網(wǎng)絡(luò)靶場(chǎng)現(xiàn)狀

網(wǎng)絡(luò)靶場(chǎng)在西方發(fā)展更為迅速.早在20世紀(jì)40年代到60年代，美國各軍種相繼組建80多個(gè)試驗(yàn)靶場(chǎng)和試驗(yàn)機(jī)構(gòu),20世紀(jì)60年代后又斥巨資興建大型的綜合性試驗(yàn)靶場(chǎng)[2].在2008年，美國總統(tǒng)布什要求美國政府所有與安全有關(guān)的部門都參與實(shí)施“國家網(wǎng)絡(luò)安全綜合計(jì)劃”(Comprehensive National Cybersecurity Initiative, CNCI).在此計(jì)劃中，國防高級(jí)研究計(jì)劃局的任務(wù)是組建“國家網(wǎng)絡(luò)靶場(chǎng)”(National Cyber Range, NCR)，建成后將為美國國防部、陸海空三軍和政府機(jī)構(gòu)服務(wù).該項(xiàng)目是自20世紀(jì)50年代實(shí)施人造地球衛(wèi)星計(jì)劃以來，唯一由美國國會(huì)向國防高級(jí)研究計(jì)劃局直接下達(dá)的項(xiàng)目[3].相較于傳統(tǒng)電子通信靶場(chǎng)，NCR在實(shí)驗(yàn)規(guī)模、對(duì)象、環(huán)境、安全與復(fù)雜度等方面都有所不同[4].英國于2010年正式啟動(dòng)本國第一個(gè)相當(dāng)于“網(wǎng)絡(luò)戰(zhàn)靶場(chǎng)”的國家級(jí)網(wǎng)絡(luò)實(shí)驗(yàn)場(chǎng).這個(gè)實(shí)驗(yàn)場(chǎng)不久后將與美國NCR連接，進(jìn)行世界方位的高強(qiáng)度網(wǎng)絡(luò)作戰(zhàn)演習(xí).澳大利亞也在2012年建立網(wǎng)絡(luò)測(cè)試靶場(chǎng)，主要為澳大利亞軍隊(duì)訓(xùn)練和培養(yǎng)軍官[5].可見網(wǎng)絡(luò)靶場(chǎng)作為承載和生成場(chǎng)景的基礎(chǔ)設(shè)施，逐漸成為了各國進(jìn)行網(wǎng)絡(luò)空間安全研究、教學(xué)、選拔、應(yīng)用等必不可少的網(wǎng)絡(luò)空間安全的核心.

2.2 網(wǎng)絡(luò)靶場(chǎng)要素及關(guān)鍵技術(shù)

靶場(chǎng)作為承載場(chǎng)景的基礎(chǔ)設(shè)施也有自身的核心要素，包括“場(chǎng)景、資源、工具、數(shù)據(jù)”這幾點(diǎn).即定位于網(wǎng)絡(luò)攻防研發(fā)與驗(yàn)證特定環(huán)境，在虛實(shí)結(jié)合的系統(tǒng)資源的基礎(chǔ)上實(shí)現(xiàn)漏洞攻防效果判定，流量模擬監(jiān)控等功能.構(gòu)建這個(gè)復(fù)雜龐大的系統(tǒng)需要相關(guān)理論技術(shù)的支持[6-7].

在靶場(chǎng)中，所有為程序運(yùn)行和測(cè)試的虛擬機(jī)，以及作為被漏洞利用程序攻擊和防御的多個(gè)驗(yàn)證環(huán)境都需要能夠完成資源高速的下發(fā)和回收.為了保證每次試驗(yàn)的準(zhǔn)確和獨(dú)立，漏洞利用程序的執(zhí)行虛擬機(jī)、被攻擊虛擬機(jī)、防御驗(yàn)證虛擬機(jī)等都需要在數(shù)秒的時(shí)間內(nèi)完成克隆、下發(fā)、網(wǎng)絡(luò)連接、漏洞利用程序攻擊、評(píng)價(jià)和判分等動(dòng)作，并在結(jié)束后立即將資源進(jìn)行回收.任何一次仿真實(shí)驗(yàn)的下發(fā)和回收都是對(duì)計(jì)算資源、存儲(chǔ)資源和網(wǎng)絡(luò)資源的再次分配.相應(yīng)地從物理硬件的角度，這3類資源分別對(duì)應(yīng)平臺(tái)中的計(jì)算節(jié)點(diǎn)服務(wù)器、存儲(chǔ)節(jié)點(diǎn)服務(wù)器和網(wǎng)絡(luò)設(shè)備等.基于優(yōu)于級(jí)的資源調(diào)度機(jī)制能減少虛擬機(jī)資源在任務(wù)的分配和回收過程中帶來的消耗和延時(shí).相對(duì)于傳統(tǒng)的虛擬化資源調(diào)用，該技術(shù)可以顯著提高仿真演練場(chǎng)景的構(gòu)建和下發(fā)速度.

靶場(chǎng)常常需要將特定的無法進(jìn)行虛擬化的實(shí)體設(shè)備與利用虛擬化技術(shù)的虛擬機(jī)等進(jìn)行混合組網(wǎng)，這就需要通過研究靶場(chǎng)場(chǎng)景虛擬化安全仿真技術(shù)，為各類網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施和敵對(duì)目標(biāo)攻防測(cè)試和評(píng)估提供分析、設(shè)計(jì)、研發(fā)、集成、測(cè)試、評(píng)估、運(yùn)維全生命周期的環(huán)境服務(wù).通過系統(tǒng)建模、實(shí)時(shí)性管理，接口設(shè)備等關(guān)鍵技術(shù)，融合虛實(shí)設(shè)備的聯(lián)動(dòng)技術(shù)，大規(guī)模深層次網(wǎng)絡(luò)復(fù)現(xiàn)技術(shù)，復(fù)雜多層次網(wǎng)絡(luò)快速構(gòu)建、復(fù)現(xiàn)和重構(gòu)技術(shù)，網(wǎng)絡(luò)場(chǎng)景資源制動(dòng)配置和快速釋放技術(shù)，試驗(yàn)環(huán)境安全隔離與受控技術(shù)，主機(jī)虛擬化技術(shù)，網(wǎng)絡(luò)虛擬化技術(shù)等綜合技術(shù)手段，在最大限度地利用計(jì)算資源，節(jié)約成本的前提下，保留了極佳的仿真性和應(yīng)用性[8].

在流量行為模擬方面，通過攻擊行為分類能夠識(shí)別攻擊行為的共通屬性，在靶場(chǎng)平臺(tái)中通過智能化腳本技術(shù)，將各種攻擊行為通過腳本進(jìn)行描述，描述完畢后，協(xié)同內(nèi)置各種攻擊調(diào)用接口，將腳本進(jìn)行展示，模擬出網(wǎng)絡(luò)攻擊行為，形成智能化攻擊和流量模擬[9-10].

2.3 網(wǎng)絡(luò)靶場(chǎng)的功能

通過與客戶交流以及對(duì)國外靶場(chǎng)平臺(tái)的調(diào)研，我們認(rèn)為除了上述基礎(chǔ)要素之外，網(wǎng)絡(luò)靶場(chǎng)平臺(tái)應(yīng)該具備以下更為完善先進(jìn)的功能：

1) 復(fù)雜、多級(jí)的場(chǎng)景構(gòu)建.通過仿真系統(tǒng)內(nèi)置的拖拽式網(wǎng)絡(luò)拓?fù)錁?gòu)建器，可以輕松、高效地將系統(tǒng)內(nèi)置或客戶現(xiàn)存的各種節(jié)點(diǎn)模板加入到即將構(gòu)建的場(chǎng)景中.由于仿真系統(tǒng)內(nèi)置了網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)，并針對(duì)于各內(nèi)置網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)的接口進(jìn)行了定制化調(diào)優(yōu)，使得系統(tǒng)可以支持用戶創(chuàng)建多級(jí)網(wǎng)絡(luò)場(chǎng)景.通過在某個(gè)交換機(jī)、防火墻節(jié)點(diǎn)后再次連接交換機(jī)或者防火墻，用戶便可構(gòu)建多級(jí)的網(wǎng)絡(luò)場(chǎng)景，同時(shí)可對(duì)多個(gè)網(wǎng)絡(luò)間的訪問規(guī)則進(jìn)行自定義控制.

2) 細(xì)致、全面的監(jiān)控復(fù)盤.靶場(chǎng)平臺(tái)的任務(wù)系統(tǒng)能夠?qū)⒂脩舳ㄖ频奶摂M機(jī)或者用戶的實(shí)體PC接入至靶場(chǎng)平臺(tái)的場(chǎng)景實(shí)例中，從而支持用戶進(jìn)入場(chǎng)景完成預(yù)定任務(wù)，并在任務(wù)過程中實(shí)時(shí)監(jiān)控和分析任務(wù)數(shù)據(jù)并進(jìn)行進(jìn)度和特效展示.利用系統(tǒng)中現(xiàn)存的任務(wù)歷史，任務(wù)系統(tǒng)中的任務(wù)展示子系統(tǒng)可以將任務(wù)歷史以炫酷2D或者3D的形式展現(xiàn)在大屏幕上，同時(shí)按照任務(wù)歷史的行進(jìn)方式動(dòng)態(tài)播放數(shù)據(jù)流向，從而為復(fù)盤研究提供強(qiáng)有力的數(shù)據(jù)支撐.

3) 構(gòu)建虛擬、虛實(shí)、實(shí)體多樣化場(chǎng)景.靶場(chǎng)平臺(tái)底層場(chǎng)景支持系統(tǒng)能夠支持多種類型場(chǎng)景的實(shí)例化和運(yùn)行管理.場(chǎng)景支持系統(tǒng)能夠承載純虛擬類型、虛實(shí)結(jié)合類型、純實(shí)體類型等多種類型的場(chǎng)景.通過場(chǎng)景支持系統(tǒng)中的分發(fā)模塊，可將實(shí)體節(jié)點(diǎn)和虛擬節(jié)點(diǎn)進(jìn)行有機(jī)結(jié)合，使其網(wǎng)絡(luò)能夠互聯(lián)互通，在場(chǎng)景運(yùn)行時(shí)，匯聚模塊通過下發(fā)相關(guān)網(wǎng)絡(luò)配置命令，能夠?qū)崟r(shí)地將實(shí)體節(jié)點(diǎn)接入場(chǎng)景的某個(gè)網(wǎng)絡(luò)，從而構(gòu)成場(chǎng)景的一部分.

4) 完善、靈活的權(quán)限管控.靶場(chǎng)平臺(tái)通過內(nèi)置的統(tǒng)一認(rèn)證系統(tǒng)，能夠靈活配置不同賬戶所具有的權(quán)限，并針對(duì)各項(xiàng)功能進(jìn)行相關(guān)權(quán)限認(rèn)證和限制，從而實(shí)現(xiàn)系統(tǒng)的受控訪問和使用.統(tǒng)一認(rèn)證系統(tǒng)內(nèi)置權(quán)限管控分發(fā)子系統(tǒng)，能夠管理平臺(tái)中包括各插件系統(tǒng)在內(nèi)的各項(xiàng)功能的權(quán)限，并能進(jìn)行自由選擇并構(gòu)成角色系統(tǒng)，從而實(shí)現(xiàn)靈活的權(quán)限和角色區(qū)分.

5) 快速、穩(wěn)定的大規(guī)模部署.國內(nèi)先進(jìn)平臺(tái)在大規(guī)模場(chǎng)景快速部署和回收時(shí)具有非常穩(wěn)定的性能，故障率已經(jīng)做到低于3%.平臺(tái)搭載了特殊優(yōu)化的任務(wù)管控平臺(tái)，能夠在短時(shí)間內(nèi)處理大量虛擬化構(gòu)建任務(wù)，從而大大減少系統(tǒng)延遲和任務(wù)卡死情況的發(fā)生，保證每一個(gè)虛擬化構(gòu)建任務(wù)都能順暢執(zhí)行.

靶場(chǎng)除了用于人才培養(yǎng)還能用于其他領(lǐng)域.在技術(shù)測(cè)試方面，基于靶場(chǎng)可以生成、存儲(chǔ)的豐富網(wǎng)絡(luò)場(chǎng)景，一些在實(shí)際環(huán)境中很難發(fā)現(xiàn)或者需要搭建特定環(huán)境才能發(fā)現(xiàn)的問題，可以在靶場(chǎng)中快速生成特定環(huán)境，利用配套的工具、資源開展針對(duì)性的技術(shù)測(cè)試，還能極大地節(jié)約測(cè)試成本和時(shí)間；在科學(xué)研究方面，一些網(wǎng)絡(luò)安全相關(guān)的基礎(chǔ)科研，比如惡意代碼和木馬的研究涉及較大的風(fēng)險(xiǎn)，不適合在真實(shí)辦公環(huán)境中進(jìn)行，一旦感染損失不可預(yù)計(jì)，但如果獨(dú)立搭建一個(gè)科研環(huán)境，其成本和周期都較高，靶場(chǎng)可以通過在封閉的系統(tǒng)內(nèi)部生成各類環(huán)境，安全可控的開展各類科研活動(dòng)；在教育訓(xùn)練方面，靶場(chǎng)中豐富的場(chǎng)景資源和靈活的環(huán)境生成能力可以幫助不同行業(yè)不同水平的用戶開展貼近實(shí)戰(zhàn)的網(wǎng)絡(luò)安全訓(xùn)練教育活動(dòng)，用戶可以在靶場(chǎng)中進(jìn)行實(shí)驗(yàn)、對(duì)抗和演練；在推演驗(yàn)證方面，靶場(chǎng)可以快速便利地生成預(yù)期的復(fù)雜網(wǎng)絡(luò)環(huán)境，對(duì)于一些防御方法和思路，我們之前苦于只能通過產(chǎn)品功能測(cè)試來了解在某一類小型場(chǎng)景中的功效.但隨著靶場(chǎng)技術(shù)的發(fā)展，當(dāng)前的網(wǎng)絡(luò)靶場(chǎng)已經(jīng)可以模擬包含上千個(gè)網(wǎng)絡(luò)元素的復(fù)雜環(huán)境，并帶有各類模擬流量，可以最大程度地仿真真實(shí)環(huán)境，是思路推演和效果驗(yàn)證的最佳選擇.圖1給出了某科研型靶場(chǎng)的框架圖.

圖1 典型案例——科研型靶場(chǎng)

3 結(jié)束語

場(chǎng)景，是我們積累下來應(yīng)對(duì)不同問題的寶貴財(cái)富，每一個(gè)面都是很多線條交織而成，每一條線都是很多點(diǎn)串聯(lián)起來的，網(wǎng)絡(luò)安全的發(fā)展離不開每一個(gè)場(chǎng)景的積累，它為我們指明了過去和現(xiàn)在存在的問題，幫助我們找到解決方法，也為我們應(yīng)對(duì)未知的問題積累了判斷基礎(chǔ).作為網(wǎng)絡(luò)安全場(chǎng)景積累、生成、甚至預(yù)判的基礎(chǔ)設(shè)施，網(wǎng)絡(luò)靶場(chǎng)在今后的網(wǎng)絡(luò)安全領(lǐng)域的作用將越發(fā)關(guān)鍵.為保證國家安全，在未來網(wǎng)絡(luò)戰(zhàn)爭(zhēng)中占據(jù)有利地位，建立更加智能化的大型靶場(chǎng)項(xiàng)目，充分利用現(xiàn)有資源完善相關(guān)技術(shù)具有十分重要的現(xiàn)實(shí)意義.

參考文獻(xiàn)

[1]網(wǎng)絡(luò)安全人才缺口45萬, 人才供求1∶10[OL]. [2018-04-15]. http://www.ccidnet.com/2015/0930/10033453.shtml

[2]崔侃, 曹裕華. 美軍裝備實(shí)驗(yàn)靶場(chǎng)建設(shè)發(fā)展及其啟示[J]. 裝備學(xué)院學(xué)報(bào), 2013, 24(4): 110-113

[3]韓衛(wèi)國, 徐明迪. 面向賽博空間的網(wǎng)絡(luò)靶場(chǎng)建設(shè)思路[J].計(jì)算機(jī)與數(shù)學(xué)工程, 2015, 43(8): 1465-1470

[4]周芳, 毛少杰, 朱立新. 美國國家賽博靶場(chǎng)建設(shè)[J]. 指揮信息系統(tǒng)與技術(shù), 2011, 2(5): 1-5

[5]李秋香, 郝文江, 李翠翠, 等. 國外網(wǎng)絡(luò)靶場(chǎng)技術(shù)現(xiàn)狀及啟示[J].信息網(wǎng)絡(luò)安全, 2014 (9): 63-68

[6]程靜, 雷璟, 袁雪芬. 國家網(wǎng)絡(luò)靶場(chǎng)的建設(shè)與發(fā)展[J].中國電子科學(xué)研究院學(xué)報(bào), 2014, 9(5): 446-452

[7]吳怡晨, 王軼駿, 薛質(zhì). 面向網(wǎng)絡(luò)空間的攻防靶場(chǎng)設(shè)計(jì)[J].通信技術(shù), 2017, 50(10): 2349-2356

[8]康辰, 朱志祥. 基于云平臺(tái)計(jì)算技術(shù)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)[J].西安郵電大學(xué)學(xué)報(bào), 2013,18(3): 87-91

[9]方濱興, 賈焰, 李愛平, 等. 網(wǎng)絡(luò)空間靶場(chǎng)技術(shù)研究[J].信息安全學(xué)報(bào), 2016, 1(3): 1-9

[10]Sarvotham S, Riedi R, Baraniuk R. Connection-level analysis and modeling of network traffic[C] //Proc of ACM SIGCOMM Internet Measurement Workshop. New York: ACM, 2001: 99-103