基于虛擬化技術(shù)設(shè)計(jì)信息安全攻防實(shí)訓(xùn)環(huán)境

摘 ?要：本文分析了信息安全人才培養(yǎng)及院校的技能實(shí)訓(xùn)環(huán)境現(xiàn)狀，通過對(duì)KVM虛擬化和SDN虛擬網(wǎng)絡(luò)運(yùn)行原理及功能特性的剖析，將信息安全實(shí)訓(xùn)演練與虛擬化技術(shù)結(jié)合，為院校提供高度仿真的攻防環(huán)境;在虛擬化調(diào)度與運(yùn)行方面做出優(yōu)化，使院校計(jì)算資源能夠充分利用;最后采用高負(fù)載壓力測(cè)試驗(yàn)證相關(guān)優(yōu)化技術(shù)的實(shí)際效果。

關(guān)鍵詞：KVM;SDN;信息安全;攻防實(shí)訓(xùn)

中圖分類號(hào)：TP311.1 ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

1 ? 引言（Introduction）

2016年，賽迪智庫發(fā)布《信息安全產(chǎn)業(yè)發(fā)展白皮書（2015 版）》中指出：“信息安全技術(shù)本身具有專業(yè)性強(qiáng)、技術(shù)更新速度快等特點(diǎn)，現(xiàn)有的信息安全人才培育和引進(jìn)機(jī)制尚不能滿足產(chǎn)業(yè)和企業(yè)發(fā)展的需求。”

隨著我國信息服務(wù)業(yè)逐漸興盛，信息安全保障壓力必將更加巨大，對(duì)信息安全相關(guān)人才需求也將更加迫切，其中懂技術(shù)、懂管理和懂業(yè)務(wù)的綜合型人才更是稀缺人才。信息安全人才培養(yǎng)需要系統(tǒng)化和專業(yè)化，需要從當(dāng)前產(chǎn)業(yè)和企業(yè)用人現(xiàn)狀出發(fā)，優(yōu)先進(jìn)行安全技能型人才的著重培養(yǎng)，以滿足對(duì)實(shí)戰(zhàn)型安全人才的需求。

本文通過虛擬化的方式開發(fā)信息安全攻防實(shí)訓(xùn)系統(tǒng)，旨在普及信息安全技能，通過實(shí)訓(xùn)演練的方式提升相關(guān)專業(yè)學(xué)生或從業(yè)人員的信息安全動(dòng)手能力。

2 ? 目標(biāo)（Objective）

采用KVM虛擬化技術(shù)作為底層支撐，通過PHP及Python等動(dòng)態(tài)語言調(diào)用虛擬化，為每位學(xué)生提供獨(dú)立的虛擬化實(shí)訓(xùn)環(huán)境，并提供復(fù)雜網(wǎng)絡(luò)拓?fù)淠M功能，能實(shí)現(xiàn)多級(jí)應(yīng)用場(chǎng)景下的安全攻防實(shí)訓(xùn)。

（1）在實(shí)際攻防環(huán)境中通常存在多級(jí)網(wǎng)絡(luò)場(chǎng)景，但尚未應(yīng)用于虛擬化實(shí)訓(xùn)教學(xué)中。通過對(duì)SDN技術(shù)的研究，實(shí)現(xiàn)入侵路徑攻擊鏈的場(chǎng)景復(fù)原，并批量分配給客戶端。

（2）通過對(duì)學(xué)生實(shí)訓(xùn)過程的輸入捕獲，實(shí)現(xiàn)實(shí)訓(xùn)結(jié)果自動(dòng)化評(píng)估，并能追蹤學(xué)生在攻防實(shí)訓(xùn)環(huán)境中的關(guān)鍵操作。

（3）實(shí)訓(xùn)環(huán)境隨用隨開，完成立即銷毀，減輕對(duì)系統(tǒng)的性能壓力。如遇到高并發(fā)，啟動(dòng)環(huán)境可提前生成，學(xué)生登錄系統(tǒng)后，系統(tǒng)自動(dòng)推送給各學(xué)生端。

3 ? 關(guān)鍵技術(shù)（Key technologies）

3.1 ? KVM 虛擬化技術(shù)

KVM[1]是基于虛擬化擴(kuò)展X86硬件的開源Linux原生全虛擬化解決方案。在KVM中的虛擬機(jī)被實(shí)現(xiàn)為常規(guī)的Linux進(jìn)程，由標(biāo)準(zhǔn)Linux調(diào)度程序進(jìn)行調(diào)度;虛擬機(jī)的每個(gè)虛擬CPU被實(shí)現(xiàn)為一個(gè)常規(guī)的Linux進(jìn)程。這使得KMV能夠使用Linux內(nèi)核的已有功能。KVM本身不執(zhí)行任何硬件模擬，需要客戶空間程序通過/dev/kvm接口設(shè)置一個(gè)客戶機(jī)虛擬服務(wù)器的地址空間，向它提供模擬的I/O，并將它的視頻顯示映射回宿主的顯示屏。KVM的邏輯架構(gòu)如圖1所示，目前主流的應(yīng)用程序是QEMU。

（1）虛擬化調(diào)度接口

在KVM虛擬化管理中，最常使用的遠(yuǎn)程管理接口為L(zhǎng)ibvirt，該組件提供了對(duì)虛擬化及虛擬機(jī)的管理功能，例如存儲(chǔ)和網(wǎng)絡(luò)等。Libvirt相關(guān)軟件包括穩(wěn)定的C語言底層API及表層二次接口、守護(hù)進(jìn)程libvirtd，以及命令行工具virsh。Libvirt的主要目標(biāo)是提供能夠獨(dú)立管理多種不同的虛擬化技術(shù)及相關(guān)虛擬機(jī)，包括KVM/QEMU、Xen、LXC、OpenVZ或VirtualBox。

在Python中，對(duì)Libvirt進(jìn)行相應(yīng)的接口調(diào)用的依賴組件為libvirt-python，該軟件包提供基于python2的API，安裝完成后可在/usr/lib/python2.7/site-packages/libvirt.py中調(diào)用。

（2）后端鏡像

KVM提供后端鏡像backing_file技術(shù)支持，在KVM中后端鏡像技術(shù)則更為方便，用戶可隨時(shí)對(duì)后端鏡像進(jìn)行維護(hù)，并可快速創(chuàng)建派生鏡像，派生鏡像初始文件大小為192kB，僅記錄基本信息，隨著派生鏡像的啟動(dòng)運(yùn)行，鏡像文件隨之增長(zhǎng)，但僅記錄與后端鏡像產(chǎn)生差異的部分，并且后端鏡像文件不會(huì)被修改，除非在QEMU monitor中使用commit命令或者使用qemu-img commit命令去手動(dòng)提交這些改動(dòng)。在KVM及QEMU后端鏡像中較其他虛擬化技術(shù)更有優(yōu)勢(shì)的是Python API接口生態(tài)較為完整。

3.2 ? 瀏覽器遠(yuǎn)程控制技術(shù)

Guacamole是一種基于瀏覽器的遠(yuǎn)程管理控制軟件，用戶通過瀏覽器訪問其控制臺(tái)生成一條鏈路，通過調(diào)用后端的GUACD數(shù)據(jù)中轉(zhuǎn)組件，瀏覽器無須配置任何接入組件即可通過GUACD連接目標(biāo)虛擬機(jī)中的VNC、RDP、SSH等遠(yuǎn)程管理方式。同時(shí)考慮到性能因素，該軟件支持分布式與集群部署，并能通過其他第三方軟件如Nginx或Keepalive實(shí)現(xiàn)高可用。

（1）Guacamole技術(shù)架構(gòu)

Guacamole遠(yuǎn)程控制軟件的Web應(yīng)用本身不支持任何遠(yuǎn)程管理協(xié)議，也不支持直接的TCP數(shù)據(jù)傳輸，其僅對(duì)內(nèi)部前后端數(shù)據(jù)通信的Guacamole傳輸協(xié)議提供完整的兼容和調(diào)用。

完整的數(shù)據(jù)流轉(zhuǎn)鏈路為：學(xué)生通過瀏覽器訪問Guacamole前端展示，并通過JavaScript腳本向Server端發(fā)送需要訪問的服務(wù)器標(biāo)識(shí)數(shù)據(jù)，Server端接收數(shù)據(jù)并處理為Guacd可處理的格式，而后由Guacd向最終目標(biāo)服務(wù)器發(fā)起RDP/SSH/VNC等協(xié)議的遠(yuǎn)程訪問，并將畫面及控制數(shù)據(jù)層返回至用戶瀏覽器前端，由JavaScript進(jìn)行渲染。

（2）鑒權(quán)與身份認(rèn)證

Guacamole支持多種身份認(rèn)證模式，包括默認(rèn)的XML文本身份認(rèn)證、數(shù)據(jù)庫認(rèn)證、LDAP統(tǒng)一身份認(rèn)證、HTTP頭認(rèn)證、CAS統(tǒng)一身份認(rèn)證、OpenID統(tǒng)一身份認(rèn)證、Radius身份認(rèn)證等。

3.3 ? SDN虛擬網(wǎng)絡(luò)

信息安全的攻防不是單一網(wǎng)絡(luò)場(chǎng)景，而是由辦公網(wǎng)絡(luò)、DMZ、IDC等多種交換路由網(wǎng)絡(luò)組成，完整的模擬一條攻擊鏈路需要將各個(gè)網(wǎng)絡(luò)、主機(jī)、服務(wù)、應(yīng)用全面結(jié)合，而這種融合的基礎(chǔ)則是網(wǎng)絡(luò)層面的全面仿真。采用SDN[2]軟件定義網(wǎng)絡(luò)的方式來實(shí)現(xiàn)多層級(jí)拓?fù)浣Y(jié)構(gòu)，包含多層級(jí)路由結(jié)構(gòu)與多個(gè)VXLAN結(jié)合，動(dòng)態(tài)的按需創(chuàng)建內(nèi)部虛擬化網(wǎng)絡(luò)，并將實(shí)驗(yàn)環(huán)境的每一個(gè)虛擬機(jī)配置于合理的網(wǎng)絡(luò)結(jié)構(gòu)中，實(shí)現(xiàn)一套拓?fù)涠鄠€(gè)主機(jī)多層網(wǎng)絡(luò)多套網(wǎng)絡(luò)設(shè)備與接口，而不同的實(shí)訓(xùn)學(xué)生則可生成互不影響的多套拓?fù)浣Y(jié)構(gòu)，解除了網(wǎng)絡(luò)設(shè)備對(duì)實(shí)訓(xùn)環(huán)境搭建的限制。

（1）基礎(chǔ)二層網(wǎng)絡(luò)

默認(rèn)配置的KVM虛擬化及Libvirt管理工具提供了初始化的二層網(wǎng)絡(luò)，由基礎(chǔ)的靜態(tài)路由和簡(jiǎn)單虛擬網(wǎng)絡(luò)、DHCP等一系列基礎(chǔ)服務(wù)組成。默認(rèn)的二層網(wǎng)絡(luò)基于Libvirt的XML網(wǎng)絡(luò)配置文件創(chuàng)建，編輯維護(hù)管理均存在一定不便，需要配置網(wǎng)絡(luò)變更時(shí)按順序執(zhí)行注銷網(wǎng)絡(luò)、修改配置、生成網(wǎng)絡(luò)、調(diào)用網(wǎng)絡(luò)等多個(gè)步驟。例如下面的代碼為最小化配置的NAT二層網(wǎng)絡(luò)，如需修改子網(wǎng)、網(wǎng)關(guān)等配置信息均需要對(duì)實(shí)體文件進(jìn)行修改，并完成上述步驟。

（2）多級(jí)三層網(wǎng)絡(luò)

在業(yè)務(wù)系統(tǒng)部署場(chǎng)景中常見多級(jí)網(wǎng)絡(luò)與多個(gè)拓?fù)涔餐瑯?gòu)成一套業(yè)務(wù)系統(tǒng)的情況，同時(shí)網(wǎng)絡(luò)設(shè)備與安全設(shè)備的接入鏈路對(duì)虛擬化實(shí)訓(xùn)的場(chǎng)景復(fù)原能力提出了巨大的挑戰(zhàn)，網(wǎng)絡(luò)旁路、流量鏡像、單臂路由、多級(jí)三層路由、NAT轉(zhuǎn)換、ARP代理、DHCP服務(wù)等在虛擬網(wǎng)絡(luò)中的實(shí)現(xiàn)也需要一套能夠管理三層網(wǎng)絡(luò)的虛擬網(wǎng)絡(luò)軟件。Neutron為整個(gè)SDN環(huán)境提供網(wǎng)絡(luò)支持，包括使用虛擬路由實(shí)現(xiàn)租戶網(wǎng)絡(luò)的互通和隔離、二層交換、三層路由、負(fù)載均衡、防火墻等。最常見的多級(jí)網(wǎng)絡(luò)部署模式為虛擬專用網(wǎng)絡(luò)VPC，這種拓?fù)浣Y(jié)構(gòu)中每個(gè)用戶都可以有多個(gè)子網(wǎng)，Neutron負(fù)責(zé)提供路由服務(wù)協(xié)調(diào)所有子網(wǎng)，用戶間可以通過配置路由器的路由表來控制子網(wǎng)間的連通。如圖3所示。

4 ? 設(shè)計(jì)與實(shí)現(xiàn)（Design and implementation）

4.1 ? 總體架構(gòu)設(shè)計(jì)

本系統(tǒng)由基礎(chǔ)虛擬化環(huán)境、攻防實(shí)訓(xùn)演練子系統(tǒng)（學(xué)生）、實(shí)訓(xùn)及教學(xué)管理子系統(tǒng)（教師）三部分共同組成[3]。

基礎(chǔ)虛擬化環(huán)境建設(shè)主要工作內(nèi)容有：物理服務(wù)器及基礎(chǔ)操作系統(tǒng)部署、KVM虛擬化及SDN Neutron配置、Web和數(shù)據(jù)庫服務(wù)部署、瀏覽器遠(yuǎn)控服務(wù)部署等?；A(chǔ)環(huán)境為本文所涉及的系統(tǒng)提供軟硬件運(yùn)行環(huán)境。

攻防實(shí)訓(xùn)演練子系統(tǒng)主要包括基于課程體系學(xué)習(xí)、實(shí)訓(xùn)演練操作、學(xué)習(xí)成果信息查看管理等，用戶可根據(jù)自己的興趣愛好選擇不同的課程體系進(jìn)入實(shí)訓(xùn)環(huán)節(jié)，并能隨時(shí)查看成績(jī)排名及實(shí)訓(xùn)進(jìn)度等信息，一鍵返回對(duì)應(yīng)實(shí)訓(xùn)課程繼續(xù)學(xué)習(xí)。

實(shí)訓(xùn)及教學(xué)管理子系統(tǒng)主要包含基礎(chǔ)虛擬化管理、教學(xué)及教務(wù)管理等相關(guān)功能，在實(shí)訓(xùn)教學(xué)管理過程中，除了對(duì)實(shí)訓(xùn)教學(xué)內(nèi)容的增刪改，還能夠?qū)崟r(shí)監(jiān)控實(shí)驗(yàn)過程畫面并提供遠(yuǎn)程協(xié)助，以及對(duì)實(shí)訓(xùn)操作結(jié)果的自動(dòng)化評(píng)分。

4.2 ? 攻防實(shí)訓(xùn)演練子系統(tǒng)設(shè)計(jì)

攻防實(shí)訓(xùn)演練子系統(tǒng)，包含實(shí)訓(xùn)課程體系、實(shí)訓(xùn)演練操作、課程進(jìn)度成績(jī)管理三個(gè)功能模塊，使用PHP開發(fā)并使用MySQL數(shù)據(jù)庫，并使用Apache作為前端Web服務(wù)器，架構(gòu)如圖4所示。

實(shí)訓(xùn)演練操作模塊是本子系統(tǒng)的核心，學(xué)生的全部實(shí)訓(xùn)演練及學(xué)習(xí)行為均發(fā)生在該模塊中，從實(shí)訓(xùn)操作出發(fā)，將實(shí)訓(xùn)手冊(cè)、實(shí)訓(xùn)遠(yuǎn)程控制窗口、選擇實(shí)驗(yàn)環(huán)境、查看課前知識(shí)介紹、回答課后習(xí)題等功能動(dòng)態(tài)結(jié)合，在一個(gè)單一實(shí)訓(xùn)任務(wù)中體現(xiàn)教學(xué)做評(píng)考的完整學(xué)習(xí)鏈。

（1）課前準(zhǔn)備

信息安全領(lǐng)域的技術(shù)技能沒有孤立的攻防，學(xué)生應(yīng)當(dāng)了解應(yīng)用所需的基礎(chǔ)知識(shí)理論與實(shí)操技能。在實(shí)訓(xùn)前向?qū)W生展示需理解的知識(shí)點(diǎn)和關(guān)聯(lián)的實(shí)訓(xùn)場(chǎng)景信息。包括前置知識(shí)、實(shí)訓(xùn)背景、環(huán)境介紹、工具及命令講解等內(nèi)容。

（2）動(dòng)手實(shí)操

動(dòng)手實(shí)操環(huán)節(jié)，學(xué)生通過瀏覽UI左側(cè)的指導(dǎo)手冊(cè)，并基于指導(dǎo)手冊(cè)中的操作步驟，對(duì)UI右側(cè)的遠(yuǎn)程控制窗口進(jìn)行實(shí)訓(xùn)演練操作。由于信息安全相關(guān)實(shí)訓(xùn)具備較大的不確定性，可能會(huì)對(duì)實(shí)訓(xùn)環(huán)境產(chǎn)生不可逆的破壞，實(shí)操模塊還需對(duì)實(shí)訓(xùn)環(huán)境對(duì)應(yīng)的一個(gè)或一組虛擬機(jī)進(jìn)行監(jiān)控，當(dāng)前端觸發(fā)初始化請(qǐng)求時(shí)將對(duì)原環(huán)境全面銷毀，并使用后端鏡像技術(shù)為學(xué)生重新生成完全一致的實(shí)訓(xùn)環(huán)境，避免重復(fù)搭建而浪費(fèi)課堂時(shí)間。

在操作窗口中主要調(diào)用到Guacamole的HTML5窗體，通過WebSocket的方式將后端數(shù)據(jù)傳輸至前端，再由前端Canvas繪制將后端的數(shù)據(jù)展現(xiàn)出來。對(duì)后端的WebSocket的調(diào)用通常嵌套在頁面中，示例代碼如下，在前端頁面中則以ws：//IP：Port/？token=FsTY6VOQHjKC3LZU的通信協(xié)議連接。

（3）課后練習(xí)

課后練習(xí)是完成學(xué)習(xí)后對(duì)實(shí)訓(xùn)演練的考核，檢驗(yàn)學(xué)生是否理解并掌握課程內(nèi)容。課后練習(xí)方式為觸發(fā)彈窗式，在正確回答問題后方可結(jié)束實(shí)訓(xùn)，避免學(xué)生因誤操作或盲目操作而影響實(shí)訓(xùn)效果。

4.3 ? 實(shí)訓(xùn)及教學(xué)管理子系統(tǒng)設(shè)計(jì)

實(shí)訓(xùn)及教學(xué)管理子系統(tǒng)主要承載了管理員及教師的相關(guān)管理操作，同時(shí)提供底層虛擬化調(diào)度及輸出、虛擬網(wǎng)絡(luò)及實(shí)驗(yàn)監(jiān)控等功能。該子系統(tǒng)主要實(shí)現(xiàn)虛擬化及網(wǎng)絡(luò)的管理功能、實(shí)訓(xùn)課程管理、實(shí)訓(xùn)監(jiān)控，以及自動(dòng)化評(píng)分等教學(xué)相關(guān)功能。由于虛擬化調(diào)度、監(jiān)控、輸出、網(wǎng)絡(luò)管理等均采用PythonAPI，調(diào)用Django框架作為顯示前端。同時(shí)考慮到子系統(tǒng)的連續(xù)運(yùn)行等特性，采取UWSGI作為運(yùn)行Django框架的中間件將數(shù)據(jù)輸出至Nginx，并由Nginx向?yàn)g覽器輸出顯示元素。

在功能設(shè)計(jì)中主要包括五個(gè)模塊，包括實(shí)訓(xùn)虛擬化及網(wǎng)絡(luò)管理模塊、實(shí)訓(xùn)課程管理模塊、實(shí)訓(xùn)監(jiān)控模塊、自動(dòng)化實(shí)訓(xùn)評(píng)分模塊和用戶管理模塊。功能如圖5所示。

（1）實(shí)訓(xùn)虛擬化及網(wǎng)絡(luò)管理模塊

實(shí)訓(xùn)虛擬化和網(wǎng)絡(luò)管理是整體實(shí)訓(xùn)系統(tǒng)的核心，是提供教學(xué)與實(shí)訓(xùn)環(huán)境的基礎(chǔ)模塊?？紤]到信息安全相關(guān)的攻防實(shí)訓(xùn)對(duì)運(yùn)行環(huán)境及網(wǎng)絡(luò)拓?fù)渚休^高要求，此處的設(shè)計(jì)采用與OpenStack一致虛擬化技術(shù)和網(wǎng)絡(luò)技術(shù)，即KVM和Neutron。

實(shí)訓(xùn)系統(tǒng)中對(duì)虛擬資源的管理主要是虛擬機(jī)資源的管理，考慮到虛擬機(jī)所處的不同狀態(tài)，可以將對(duì)虛擬機(jī)的資源管理分為三種：創(chuàng)建虛擬機(jī)的資源管理、啟動(dòng)虛擬機(jī)的資源管理及遷移虛擬機(jī)的資源管理。創(chuàng)建虛擬機(jī)時(shí)，實(shí)際上只是完成虛擬機(jī)文件的創(chuàng)建，虛擬機(jī)所需要的CPU、內(nèi)存等資源暫時(shí)還未分配;當(dāng)創(chuàng)建共享類型的虛擬機(jī)時(shí)，實(shí)訓(xùn)系統(tǒng)在分配資源時(shí)采用的是輪詢方式，輪詢從虛擬機(jī)服務(wù)器組中選擇一臺(tái)服務(wù)器來創(chuàng)建虛擬機(jī)。啟動(dòng)虛擬機(jī)時(shí)的資源管理策略目的是將虛擬機(jī)啟動(dòng)到合適的服務(wù)器上，以提高實(shí)訓(xùn)系統(tǒng)資源池中資源的利用率。

系統(tǒng)采用后端鏡像技術(shù)對(duì)性能進(jìn)行優(yōu)化，通過部署好的KVM虛擬機(jī)作為實(shí)訓(xùn)環(huán)境的原始模板，并對(duì)原始模板中的操作系統(tǒng)及實(shí)訓(xùn)環(huán)境進(jìn)行最大化的性能調(diào)優(yōu)，同時(shí)對(duì)原始模板的虛擬化配置文件進(jìn)行優(yōu)化，降低CPU及內(nèi)存開銷?；诖四０迳傻男络R像則無須配置即可達(dá)到最小的性能消耗。

將創(chuàng)建的鏡像文件運(yùn)行至KVM中即可面向?qū)W生提供實(shí)訓(xùn)環(huán)境，當(dāng)面臨多個(gè)學(xué)生同時(shí)創(chuàng)建實(shí)訓(xùn)環(huán)境時(shí)也無須復(fù)制原始鏡像文件，秒級(jí)創(chuàng)建實(shí)訓(xùn)鏡像文件。

（2）實(shí)訓(xùn)課程管理模塊

實(shí)訓(xùn)課程管理模塊包含了完整的門、章、節(jié)等結(jié)構(gòu)，通過層層遞進(jìn)的方式設(shè)計(jì)不同的課程體系，并能在小節(jié)中管理多種與實(shí)訓(xùn)相關(guān)的信息，例如課前準(zhǔn)備、知識(shí)點(diǎn)講解、實(shí)驗(yàn)介紹、實(shí)訓(xùn)手冊(cè)、趣味問答、課后習(xí)題等，并通過HTML5的方式展示富文本信息，通過引入外部編輯器UEditor，解決對(duì)PPT、WORD、音頻視頻等多媒體教學(xué)的需求，實(shí)訓(xùn)課程管理模塊結(jié)構(gòu)如圖6所示。

根據(jù)功能需求，本模塊主要解決包括教學(xué)內(nèi)容與實(shí)訓(xùn)的關(guān)聯(lián)、實(shí)訓(xùn)與考核方式的管理問題，通過對(duì)后端數(shù)據(jù)庫各個(gè)相關(guān)數(shù)據(jù)表的增刪改查等操作，向演練子系統(tǒng)動(dòng)態(tài)輸出課程內(nèi)容與實(shí)訓(xùn)環(huán)境等資源。

（3）實(shí)訓(xùn)監(jiān)控模塊

在實(shí)訓(xùn)教學(xué)過程中主要存在幾種常見的管理問題，例如學(xué)生需要協(xié)助指導(dǎo)、巡查學(xué)生操作是否順利、幫助學(xué)生還原初始環(huán)境、實(shí)訓(xùn)系統(tǒng)性能負(fù)載等，因此在實(shí)訓(xùn)監(jiān)控模塊應(yīng)能提供物理機(jī)的硬件資源消耗監(jiān)控、學(xué)生實(shí)驗(yàn)桌面監(jiān)控、環(huán)境恢復(fù)初始化、強(qiáng)制關(guān)閉實(shí)訓(xùn)環(huán)境、操作學(xué)生實(shí)訓(xùn)虛擬機(jī)等功能。

通過監(jiān)控模塊[4]對(duì)虛擬實(shí)訓(xùn)環(huán)境中的操作過程進(jìn)行實(shí)時(shí)監(jiān)控并記錄。監(jiān)控記錄用于對(duì)實(shí)訓(xùn)環(huán)境的實(shí)操過程把控，對(duì)虛擬實(shí)訓(xùn)環(huán)境中的操作進(jìn)行記錄可以用于進(jìn)行實(shí)訓(xùn)技能評(píng)估。實(shí)現(xiàn)系統(tǒng)用戶的操作行為記錄和查詢;通過SNMP、SYSLOG對(duì)目標(biāo)設(shè)備的實(shí)時(shí)狀態(tài)信息進(jìn)行采集，通過流量鏡像和收取對(duì)目標(biāo)網(wǎng)絡(luò)的流量信息進(jìn)行采集;針對(duì)采集到的信息實(shí)現(xiàn)標(biāo)準(zhǔn)化處理引擎，通過處理規(guī)則將信息進(jìn)行標(biāo)準(zhǔn)化處理并輸出，規(guī)則實(shí)現(xiàn)默認(rèn)庫和自定義添加。

為實(shí)現(xiàn)對(duì)數(shù)據(jù)庫中的日志數(shù)據(jù)進(jìn)行實(shí)時(shí)解析，采用Storm實(shí)現(xiàn)實(shí)時(shí)數(shù)據(jù)分析。同時(shí)考慮到監(jiān)控模塊需要對(duì)物理機(jī)操作系統(tǒng)進(jìn)行性能監(jiān)控，需調(diào)用Python腳本對(duì)數(shù)據(jù)進(jìn)行獲取，Python主要通過psutil組件，可實(shí)現(xiàn)對(duì)CPU、內(nèi)存、硬盤、網(wǎng)絡(luò)、進(jìn)程等信息的獲取，調(diào)用代碼如下：

（4）性能測(cè)試

考慮到本系統(tǒng)提供大量虛擬化操作系統(tǒng)的訪問，需要較強(qiáng)的性能負(fù)載，而傳統(tǒng)的訪問式的性能測(cè)試工具如LoadRunner無法提供相應(yīng)功能，因此采用自行編寫的腳本批量創(chuàng)建實(shí)訓(xùn)環(huán)境[5]，并隨時(shí)觀測(cè)其性能狀況。在物理服務(wù)器中分別使用sysstat、iotop、htop、nmon等工具對(duì)CPU及硬盤負(fù)載進(jìn)行監(jiān)控并記錄。

測(cè)試使用腳本創(chuàng)建100個(gè)CentOS實(shí)訓(xùn)環(huán)境，在進(jìn)入操作系統(tǒng)后隨機(jī)時(shí)間打開10個(gè)門戶網(wǎng)站，測(cè)試環(huán)境的CengOS計(jì)算資源指標(biāo)均為2核CPU、4G內(nèi)存。

在測(cè)試開始時(shí)可見第二硬盤的負(fù)載瞬時(shí)變大，并產(chǎn)生了少量的突發(fā)硬盤負(fù)載，通過對(duì)腳本執(zhí)行日志的分析得知約每25個(gè)虛擬機(jī)的并發(fā)就會(huì)觸發(fā)一次小規(guī)模的I/O資源緊張。如圖8所示在全部測(cè)試過程中第一硬盤的性能幾乎沒有任何消耗，同時(shí)CPU資源雖然存在持續(xù)上升趨勢(shì)，如圖9所示，但服務(wù)器總計(jì)48核CPU，CPU LOAD為2.5僅占全部CPU性能的約5%。本次測(cè)試耗時(shí)3分46秒，100個(gè)2核CPU、4G內(nèi)存的CentOS已全部加載操作系統(tǒng)并完成10個(gè)網(wǎng)頁的瀏覽器訪問。

通過批量創(chuàng)建不同操作系統(tǒng)的實(shí)訓(xùn)環(huán)境分析可知，本系統(tǒng)已實(shí)現(xiàn)計(jì)算性能的全面優(yōu)化，降低了CPU與硬盤的性能消耗，能夠通過一臺(tái)物理服務(wù)器為大量學(xué)生提供實(shí)訓(xùn)環(huán)境，并能在短時(shí)間內(nèi)完成大量實(shí)訓(xùn)環(huán)境的創(chuàng)建任務(wù)，而無須對(duì)既有教室或?qū)嵱?xùn)室進(jìn)行改造，提高了資源使用率，提升了教學(xué)環(huán)境使用效率。

5 ? 結(jié)論（Conclusion）

本文通過調(diào)度底層KVM虛擬化及SDN等相關(guān)技術(shù)將信息安全攻防技術(shù)與實(shí)訓(xùn)教學(xué)過程進(jìn)行了一定程度的結(jié)合，并通過對(duì)教學(xué)和教務(wù)管理的深入分析，最終設(shè)計(jì)并實(shí)現(xiàn)了基于底層虛擬化的信息安全教學(xué)實(shí)訓(xùn)系統(tǒng)。通過測(cè)試，該系統(tǒng)能夠滿足實(shí)訓(xùn)演練教學(xué)做一體化的要求，可實(shí)現(xiàn)預(yù)期設(shè)計(jì)目標(biāo)。

參考文獻(xiàn)（References）

[1] 馬震太，張曉梅.BOSS在KVM平臺(tái)中的性能研究與優(yōu)化[J].計(jì)算機(jī)工程，2017，43（7）：70-74.

[2] 許磊，顧進(jìn)廣，何亨.基于SDN架構(gòu)的網(wǎng)絡(luò)能耗與性能動(dòng)態(tài)調(diào)節(jié)機(jī)制[J].計(jì)算機(jī)工程，2018，44（4）：108-114.

[3] 馬麗.網(wǎng)絡(luò)安全攻防訓(xùn)練平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)[J].無線互聯(lián)科技，2017（11）：75-76

[4] 任永杰，程舟.KVM實(shí)戰(zhàn)：原理、進(jìn)階與性能調(diào)優(yōu)[M].北京：機(jī)械工業(yè)出版社，2019.

[5] 楊志國.銀行業(yè)數(shù)據(jù)中心性能測(cè)試的策略與實(shí)踐[M].北京：人民郵電出版社，2019.

作者簡(jiǎn)介：

張?jiān)录t（1975-），女，碩士，副教授.研究領(lǐng)域：滲透測(cè)試，漏洞挖掘，WEB安全.