網(wǎng)絡(luò)靶場及其關(guān)鍵技術(shù)研究

李馥娟，王 群

江蘇警官學(xué)院 計算機(jī)信息與網(wǎng)絡(luò)安全系，南京 210031

網(wǎng)絡(luò)空間是一個信息技術(shù)與物理實體深度融合后形成的虛實結(jié)合的復(fù)雜系統(tǒng)，其中設(shè)備種類、鏈路類型、路由選擇、拓?fù)浣Y(jié)構(gòu)、應(yīng)用需求、用戶特征等諸多組成要件具有極大的不確定性，這也使得網(wǎng)絡(luò)空間安全研究在理論驗證、技術(shù)實現(xiàn)、應(yīng)用實踐等方面面臨著一系列的挑戰(zhàn)，也迫使研究者需要采取創(chuàng)新的思路和方法對已有的驗證、測試、評估等一系列過程和環(huán)節(jié)進(jìn)行革新，從而構(gòu)建一個可控、可管、可信、可按需定制的網(wǎng)絡(luò)空間安全環(huán)境，并對網(wǎng)絡(luò)空間活動和安全能力進(jìn)行系統(tǒng)研究。在此背景下，網(wǎng)絡(luò)靶場應(yīng)運(yùn)而生，并將其作為網(wǎng)絡(luò)安全理論研究和技術(shù)應(yīng)用的一種手段、方法、途徑和基礎(chǔ)設(shè)施，以及在當(dāng)前和未來網(wǎng)絡(luò)空間安全競爭中不會受制于人的一種戰(zhàn)略部署和應(yīng)用保障，快速引起了學(xué)術(shù)界和工業(yè)界的普遍關(guān)注[1-2]。本文對網(wǎng)絡(luò)靶場的概念、功能和組成進(jìn)行了系統(tǒng)闡述，重點(diǎn)討論了JIOR（join information operations range，美國聯(lián)合信息作戰(zhàn)靶場）、JCOR（join cyber operation range，美國聯(lián)合網(wǎng)絡(luò)空間作戰(zhàn)靶場）、NCR（national cyber range，美國國家網(wǎng)絡(luò)靶場）和PCTE（persistent cyber training environment，美國持續(xù)網(wǎng)絡(luò)訓(xùn)練環(huán)境）等典型網(wǎng)絡(luò)靶場的建設(shè)思路和涉及到的關(guān)鍵技術(shù)，并對網(wǎng)絡(luò)靶場發(fā)展趨勢進(jìn)行了必要的展望。

1 網(wǎng)絡(luò)靶場概述

1.1 網(wǎng)絡(luò)靶場的概念

“靶場”（range）的概念最早出現(xiàn)在美國軍方的信息戰(zhàn)（information operations，IO）描述中，從其字眼和出現(xiàn)場景可以看出，靶場一詞至少存在“進(jìn)攻”和“訓(xùn)練”兩個基本屬性。類似于射擊訓(xùn)練的射擊場，靶場應(yīng)提供訓(xùn)練靶標(biāo)、訓(xùn)練精度和進(jìn)度的度量方法以及對訓(xùn)練結(jié)果的定量與定性分析評估等內(nèi)容。

網(wǎng)絡(luò)靶場（cyber range）也稱為“網(wǎng)絡(luò)空間靶場”（cyberspace range）或“賽博靶場”，根據(jù)建設(shè)目的的不同，不同行業(yè)和機(jī)構(gòu)對網(wǎng)絡(luò)靶場存在著不同的認(rèn)識[3-5]：美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）將網(wǎng)絡(luò)靶場定義為與靶場擁有者的本地網(wǎng)絡(luò)、系統(tǒng)、工具和應(yīng)用程序相關(guān)聯(lián)的可交互的模擬平臺，該定義體現(xiàn)了網(wǎng)絡(luò)靶場的本質(zhì)是通過模擬技術(shù)在已有網(wǎng)絡(luò)基礎(chǔ)上的擴(kuò)展，但缺少對網(wǎng)絡(luò)靶場具體功能的定義；美國國防部高級研究計劃局（DAPRA）認(rèn)為網(wǎng)絡(luò)靶場是網(wǎng)絡(luò)空間安全科學(xué)研究、測量和分析的科學(xué)裝置，該定義強(qiáng)調(diào)了網(wǎng)絡(luò)靶場的適用范圍是整個網(wǎng)絡(luò)空間，主要功能是技術(shù)研究，但沒有對具體實現(xiàn)技術(shù)和方法進(jìn)行描述，只認(rèn)為網(wǎng)絡(luò)靶場是一種“科學(xué)裝置”，較為抽象；在軍事應(yīng)用領(lǐng)域，網(wǎng)絡(luò)靶場則看成是為了應(yīng)對網(wǎng)絡(luò)空間攻防對抗和網(wǎng)絡(luò)武器裝備研發(fā)要求，為實現(xiàn)近似實戰(zhàn)的網(wǎng)絡(luò)空間作戰(zhàn)環(huán)境而構(gòu)建的綜合實驗實訓(xùn)平臺，該定義具有明顯的行業(yè)應(yīng)用特色，突出了網(wǎng)絡(luò)靶場的“攻、防”特征，但缺乏對網(wǎng)絡(luò)靶場的整體性定義，等等。

綜合各方面的研究共識，本文重點(diǎn)從建設(shè)目的、應(yīng)用功能、實現(xiàn)途徑、關(guān)鍵技術(shù)等方面考慮，將網(wǎng)絡(luò)靶場定義為：為了適應(yīng)信息技術(shù)快速發(fā)展的要求，有效應(yīng)對日益嚴(yán)峻的網(wǎng)絡(luò)空間對抗形勢，主要由軍隊、政府、科研機(jī)構(gòu)、高校等行業(yè)針對網(wǎng)絡(luò)武器裝備研發(fā)、網(wǎng)絡(luò)攻防對抗演練、網(wǎng)絡(luò)風(fēng)險評估、網(wǎng)絡(luò)技術(shù)驗證、網(wǎng)絡(luò)工具測試、網(wǎng)絡(luò)安全人才培養(yǎng)等工作需要，通過計算機(jī)仿真和網(wǎng)絡(luò)模擬技術(shù)創(chuàng)建的高度近似于真實網(wǎng)絡(luò)空間運(yùn)行機(jī)制的可信、可控、可定制的重要信息基礎(chǔ)設(shè)施。該定義立足網(wǎng)絡(luò)空間這一特定領(lǐng)域，力求對網(wǎng)絡(luò)靶場概念的描述更加具體、全面和清晰。

在網(wǎng)絡(luò)靶場建設(shè)方面，雖然英國、法國、德國、俄羅斯、日本、韓國等國家都結(jié)合本國網(wǎng)絡(luò)安全現(xiàn)狀和發(fā)展戰(zhàn)略進(jìn)行了理論探索和實踐應(yīng)用，但美國整體上走在了前列[3]。為此，本文主要借鑒美國網(wǎng)絡(luò)靶場建設(shè)的成功經(jīng)驗進(jìn)行論述。

1.2 網(wǎng)絡(luò)靶場基本功能

雖然不同類型網(wǎng)絡(luò)靶場的建設(shè)目標(biāo)不盡相同，但一般都提供以下的基本功能或服務(wù)能力：

（1）復(fù)雜網(wǎng)絡(luò)仿真。可實現(xiàn)對各類網(wǎng)絡(luò)節(jié)點(diǎn)的仿真，構(gòu)建虛擬與現(xiàn)實相結(jié)合的網(wǎng)絡(luò)環(huán)境；在實現(xiàn)對復(fù)雜網(wǎng)絡(luò)環(huán)境中多通信模式、多接入形態(tài)、極限流量、高并發(fā)網(wǎng)絡(luò)等模擬仿真的基礎(chǔ)上，還能夠?qū)x定網(wǎng)絡(luò)進(jìn)行節(jié)點(diǎn)控制、數(shù)據(jù)流量配置、特征數(shù)據(jù)包截獲與分析等操作；利用大數(shù)據(jù)技術(shù)，實現(xiàn)針對網(wǎng)絡(luò)流量、網(wǎng)絡(luò)攻防、資源占用、分析評估、態(tài)勢感知等過程和結(jié)果的可視化展示，將虛擬空間隱含的信息流以簡潔、直觀的方式實時顯示出來。

（2）可定制的多維度攻防演練和性能測試。通過目標(biāo)網(wǎng)絡(luò)動態(tài)部署、網(wǎng)絡(luò)拓?fù)浒葱枭?、實驗?shù)據(jù)動態(tài)采集等配置手段，能夠?qū)嵤┒嗑S度、可定制的DDoS、蜜罐、影子系統(tǒng)、SQL注入、漏洞挖掘和利用等攻防演練，并在此過程中針對具體戰(zhàn)法進(jìn)行提煉、推演和評估提升；為應(yīng)用系統(tǒng)提供持久化安全測試環(huán)境，有效解決生產(chǎn)系統(tǒng)無法實時針對新的安全事件進(jìn)行有效測試的難題。

（3）優(yōu)化網(wǎng)絡(luò)整體性能。作為針對網(wǎng)絡(luò)攻防對抗演練和網(wǎng)絡(luò)新技術(shù)研發(fā)測試的重要基礎(chǔ)設(shè)施，可以將各種攻防工具和戰(zhàn)法置于網(wǎng)絡(luò)靶場環(huán)境，通過對測試環(huán)境的流程步驟設(shè)計、測試過程管理、流量回放、系統(tǒng)重置、測試狀態(tài)動態(tài)查詢和結(jié)果可視化展示等方式，經(jīng)過反復(fù)多次實驗，優(yōu)化攻防工具和戰(zhàn)法的效果，最終實現(xiàn)對具體攻防技術(shù)的有效性驗證和功能優(yōu)化，提高網(wǎng)絡(luò)和信息系統(tǒng)的整體性能。

（4）攻防測評與評估。由于運(yùn)行中的生產(chǎn)網(wǎng)絡(luò)的特殊性，大量針對網(wǎng)絡(luò)攻防的測試和評估必須放在網(wǎng)絡(luò)靶場中進(jìn)行。網(wǎng)絡(luò)安全技術(shù)人員基于網(wǎng)絡(luò)靶場可快速搭建包含互聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)、大規(guī)模軍事網(wǎng)絡(luò)、戰(zhàn)術(shù)軍事無線網(wǎng)絡(luò)等網(wǎng)絡(luò)環(huán)境，也可根據(jù)需要將多個異構(gòu)網(wǎng)絡(luò)進(jìn)行互聯(lián)，在高逼真網(wǎng)絡(luò)實驗環(huán)境下實現(xiàn)新技術(shù)和新設(shè)備的測試與評估，并根據(jù)結(jié)果不斷優(yōu)化網(wǎng)絡(luò)協(xié)議、完善攻擊手段和防御策略以及改進(jìn)設(shè)備性能。

（5）網(wǎng)絡(luò)安全人才培養(yǎng)。為網(wǎng)絡(luò)安全人員提供自主學(xué)習(xí)、綜合演練和技能競賽支撐，以使受訓(xùn)人員能夠快速有效掌握各類新型網(wǎng)絡(luò)攻防工具的應(yīng)用，并對相關(guān)的安全滲透和防御策略進(jìn)行演練。同時，還能夠支持培訓(xùn)、競賽、能力認(rèn)證等功能。

2 典型網(wǎng)絡(luò)靶場功能分析

本章內(nèi)容主要選擇典型的4個美國軍用網(wǎng)絡(luò)靶場進(jìn)行分析。除此之外，表1還列出了部分具有代表性的網(wǎng)絡(luò)靶場的基本信息。

表1 典型網(wǎng)絡(luò)靶場簡介Table 1 Brief introduction of typical cyberspace ranges

2.1 聯(lián)合信息作戰(zhàn)靶場（JIOR）

聯(lián)合信息作戰(zhàn)靶場（JIOR）是美軍聯(lián)合參謀部主導(dǎo)建設(shè)的網(wǎng)絡(luò)靶場項目[6]，該項目主要起源于2003年10月美軍為研究信息技術(shù)對軍事變革和作戰(zhàn)產(chǎn)生影響而制定的《信息作戰(zhàn)路線圖》（正式對外公布為2006年1月），指出美國國防部需要建設(shè)一個可集成的測試靶場，以增加美軍參戰(zhàn)部隊成員的網(wǎng)絡(luò)攻擊能力，培養(yǎng)作戰(zhàn)人員的信心。該測試靶場支持計算機(jī)網(wǎng)絡(luò)攻擊、電子戰(zhàn)和其他的信息作戰(zhàn)功能。

JIOR具有以下主要特征：可擴(kuò)展、可移植的安全網(wǎng)絡(luò)測試隔離環(huán)境，為在分布式網(wǎng)絡(luò)環(huán)境中同時進(jìn)行多項測試和演習(xí)提供服務(wù)能力和安全隔離保障；分布式部署和接入環(huán)境，一方面可安全接入美軍分布在各地的測試網(wǎng)絡(luò)，如現(xiàn)有和擴(kuò)展中的國防信息系統(tǒng)網(wǎng)絡(luò)（defense information system network，DISN）、國防研究和工程網(wǎng)（defense research and engineering network，DREN）等，另一方面美軍測試人員可以通過VPN等方式遠(yuǎn)程接入網(wǎng)絡(luò)進(jìn)行安全測試；通過威脅環(huán)境、關(guān)鍵基礎(chǔ)架構(gòu)和關(guān)鍵資源、流量仿真、網(wǎng)絡(luò)仿真、網(wǎng)絡(luò)紅藍(lán)對抗等網(wǎng)絡(luò)能力，同時支持從未分級到敏感隔離信息（sensitive compartmentalized information，SCI）共7個安全等級的攻防功能，為美國國防情報局（Defense Intelligence Agency，DIA）和美軍作戰(zhàn)司令部提供安全測試和培訓(xùn)服務(wù)[7]。

JIOR是一個連接節(jié)點(diǎn)覆蓋美軍全球各基地的分布式網(wǎng)絡(luò)。根據(jù)美軍作戰(zhàn)演習(xí)要求，將JIOR劃分為多個不同的功能單元，這些單元通過既定規(guī)劃設(shè)計和網(wǎng)絡(luò)連接設(shè)備互聯(lián)后，就可以組成一個虛擬的測試靶場。JIOR最主要的3個單元分別是：

（1）學(xué)習(xí)環(huán)境規(guī)劃單元。該單元由一批熟悉軍事、網(wǎng)絡(luò)安全、信息作戰(zhàn)等領(lǐng)域?qū)I(yè)知識的專家組成，負(fù)責(zé)網(wǎng)絡(luò)作戰(zhàn)演習(xí)活動的總體策劃，以及協(xié)調(diào)和設(shè)計網(wǎng)絡(luò)演習(xí)所需要的環(huán)境，以滿足作戰(zhàn)司令部、政府或其他研究機(jī)構(gòu)的網(wǎng)絡(luò)和信息作戰(zhàn)要求。

（2）學(xué)習(xí)監(jiān)控和分析單元。借助安全防護(hù)手段，在安全接入網(wǎng)絡(luò)靶場環(huán)境后，對正在進(jìn)行的網(wǎng)絡(luò)安全作戰(zhàn)演習(xí)的進(jìn)程和任務(wù)進(jìn)行監(jiān)控、分析和引導(dǎo)，對演習(xí)過程中出現(xiàn)的異?；蚓o急事件進(jìn)行有效處置等。

（3）作戰(zhàn)執(zhí)行和工程操作單元。該單元是作戰(zhàn)演習(xí)的具體執(zhí)行者，主要由參與作戰(zhàn)演習(xí)的美軍各軍兵種組成，演習(xí)者根據(jù)具體情況和需要，可以在美軍基地或他們地方以安全方式授權(quán)接入網(wǎng)絡(luò)后執(zhí)行作戰(zhàn)演習(xí)任務(wù)。

目前，JIOR的應(yīng)用已從美國軍隊擴(kuò)展到政府機(jī)構(gòu)、安全聯(lián)盟、國民警衛(wèi)隊等領(lǐng)域，其擁有的節(jié)點(diǎn)數(shù)也在隨著建設(shè)進(jìn)度的推進(jìn)不斷增加。另外，除信息作戰(zhàn)和電子戰(zhàn)等演練外，JIOR還向美軍提供各種網(wǎng)絡(luò)武器裝備的訓(xùn)練服務(wù)。

2.2 聯(lián)合網(wǎng)絡(luò)空間作戰(zhàn)靶場（JCOR）

聯(lián)合網(wǎng)絡(luò)空間作戰(zhàn)靶場（JCOR）[8]是美國國防部為了應(yīng)對快速發(fā)展和不斷變化的網(wǎng)絡(luò)攻防訓(xùn)練需要，利用美國空軍擁有的成熟的網(wǎng)絡(luò)仿真技術(shù)和已取得的經(jīng)驗，為網(wǎng)絡(luò)空間作戰(zhàn)人員和其他網(wǎng)絡(luò)安全技術(shù)人員專門開發(fā)的用于進(jìn)行系統(tǒng)學(xué)習(xí)、訓(xùn)練和軍事演習(xí)的網(wǎng)絡(luò)靶場。

目前，JCOR主要由美國空軍模擬器（SIMTEX）、海軍網(wǎng)絡(luò)空間作戰(zhàn)靶場（U.S.navy cyberspace operations range，NCOR）、陸軍國民警衛(wèi)隊模擬器（army guard enhanced network training simulator，ARGENTS）和美國戰(zhàn)略司令部網(wǎng)絡(luò)空間訓(xùn)練環(huán)境（U.S.strategic command cyberspace training environment，SCOR）等各軍兵種及相關(guān)單位的主要用于網(wǎng)絡(luò)訓(xùn)練和學(xué)習(xí)的模擬器組成，隸屬于不同單位的模擬器經(jīng)過集成后便構(gòu)建起一個連接范圍廣泛、資源眾多、功能豐富的聯(lián)合網(wǎng)絡(luò)靶場，提供大規(guī)模的網(wǎng)絡(luò)仿真，實現(xiàn)網(wǎng)絡(luò)攻防演練、人員培訓(xùn)、事件推演、資格認(rèn)證等服務(wù)能力。在美軍戰(zhàn)略司令部的統(tǒng)一指導(dǎo)下，各單位按照既定標(biāo)準(zhǔn)及各自需求獨(dú)立完成模擬器的開發(fā)建設(shè)。除了針對不同的軍兵種創(chuàng)建不同應(yīng)用功能的模擬器外，JCOR還提供了針對其他不同任務(wù)和攻防場景的模擬器，這些以模塊化形式存在的特定任務(wù)訓(xùn)練器，無論是開發(fā)過程還是訓(xùn)練操作都具有相對的獨(dú)立性和靈活性。同時，通過將不同的特定任務(wù)訓(xùn)練器組合后，可以在同一網(wǎng)絡(luò)中同時實現(xiàn)多個不同的攻擊事件，模擬大型復(fù)雜網(wǎng)絡(luò)中的攻防行為并進(jìn)行演練。另外，美國空軍的模擬器中還專門提供了針對互聯(lián)網(wǎng)仿真的模擬器，作為在互聯(lián)網(wǎng)環(huán)境中進(jìn)行防御作戰(zhàn)的訓(xùn)練靶場。

雖然JCOR主要由美軍陸、海、空等單位開發(fā)的模擬器組成，但隸屬于美國空軍的SIMTEX模擬器在整個系統(tǒng)中發(fā)揮著核心作用。SIMTEX模擬器源于2002年美國空軍的“Black Demon”項目，最初借鑒美國空軍成熟的飛行模擬器開發(fā)技術(shù)和應(yīng)用經(jīng)驗來模擬構(gòu)建網(wǎng)絡(luò)作戰(zhàn)訓(xùn)練靶場，為美國空軍提供威脅識別、Web攻擊、病毒及其他惡意代碼入侵檢測等訓(xùn)練服務(wù)。SIMTEX模擬器目前已經(jīng)發(fā)展到第三代，網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。以SIMTEX模擬器為核心的JCOR的主要功能特征為：

圖1 SIMTEX模擬器網(wǎng)絡(luò)架構(gòu)Fig.1 SIMTEX simulator network architecture

（1）豐富的模擬功能模塊。通過SIMTEX模擬器節(jié)點(diǎn)，提供包括互聯(lián)網(wǎng)模擬、攻擊行為模擬、內(nèi)網(wǎng)環(huán)境模擬、流量模擬和后臺管理等功能模塊。

（2）基于開放系統(tǒng)體系結(jié)構(gòu)的網(wǎng)絡(luò)環(huán)境。通過提供一個開放的系統(tǒng)體系結(jié)構(gòu)標(biāo)準(zhǔn)，SIMTEX模擬器已經(jīng)成為JCOR的核心，除通過計算機(jī)仿真技術(shù)實現(xiàn)模擬真實流量中的攻擊事件、社會網(wǎng)絡(luò)服務(wù)（如FacebookTwitter等）、Internet、快速網(wǎng)絡(luò)恢復(fù)、大規(guī)模用戶、攻擊管理等能力外，還實現(xiàn)了與美國陸、海、空及其他單位網(wǎng)絡(luò)靶場之間的集成。

（3）對新應(yīng)用的模擬演練。針對網(wǎng)絡(luò)空間發(fā)展，采用人工智能、數(shù)字孿生等技術(shù)建設(shè)對關(guān)鍵信息基礎(chǔ)設(shè)施和工業(yè)控制系統(tǒng)的模擬，通過自動化場景構(gòu)建技術(shù)實現(xiàn)對人員進(jìn)行訓(xùn)練，以擴(kuò)展JCOR的應(yīng)用范圍，應(yīng)對新出現(xiàn)的網(wǎng)絡(luò)威脅。

2013年，JCOR實現(xiàn)了與美國國家網(wǎng)絡(luò)靶場（NCR）的集成，并開始為國家級的網(wǎng)絡(luò)空間攻防技術(shù)研究和網(wǎng)絡(luò)攻防演習(xí)（如網(wǎng)絡(luò)風(fēng)暴、網(wǎng)絡(luò)奪旗、網(wǎng)絡(luò)閃電等）提供基礎(chǔ)設(shè)施支撐和服務(wù)保障。

2.3 國家網(wǎng)絡(luò)靶場（NCR）

國家網(wǎng)絡(luò)靶場（NCR）[9-10]于2008年由美國國防部高級研究計劃局（DAPRA）主導(dǎo)，聯(lián)合60余家企業(yè)和研究機(jī)構(gòu)共同建設(shè)，旨在為美國國防部、陸?？杖姾推渌畽C(jī)構(gòu)的網(wǎng)絡(luò)攻擊與防御和電子對抗等作戰(zhàn)過程提供網(wǎng)絡(luò)實驗環(huán)境，為網(wǎng)絡(luò)武器裝備研發(fā)與評估、網(wǎng)絡(luò)安全人才培養(yǎng)、網(wǎng)絡(luò)戰(zhàn)術(shù)/技術(shù)/過程（tactics/techniques/procedures，TTP）提供基礎(chǔ)設(shè)施保障。NCR通過集成大量的虛擬機(jī)和物理硬件，通過流量模擬、端口/協(xié)議/服務(wù)漏洞掃描和數(shù)據(jù)捕獲工具來模擬一個類似Internet的環(huán)境，以高度逼真的方式模擬復(fù)雜的互聯(lián)網(wǎng)和國防部通信網(wǎng)絡(luò)的規(guī)模和多樣性，真實呈現(xiàn)當(dāng)前和預(yù)期的攻擊策略（如惡意軟件、DDoS、跨站點(diǎn)腳本攻擊等），已成為測試和評估各種網(wǎng)絡(luò)研發(fā)項目的國家級資源。從2012年10開始，美國國防部（DoD）實驗資源管理中心（TRMC）開始從DAPRA接管NCR，由洛克希德.馬丁公司負(fù)責(zé)運(yùn)維管理。其中：

（1）基礎(chǔ)設(shè)施。除具備高規(guī)格的承載網(wǎng)絡(luò)靶場運(yùn)行所需要的軟硬件資源池外，還提供網(wǎng)絡(luò)靶場建設(shè)所需要的場地、配套的電力資源、通信設(shè)備等基礎(chǔ)設(shè)施。其中，作為NCR基礎(chǔ)架構(gòu)的云資源池融合了云計算和軟件定義（網(wǎng)絡(luò)、存儲、數(shù)據(jù)中心等）等技術(shù)，將離散、異構(gòu)的資源集中在一個資源池中進(jìn)行統(tǒng)一調(diào)度、配置和管理，提升了網(wǎng)絡(luò)靶場基礎(chǔ)設(shè)施部署的效率和靈活性。

（2）封閉架構(gòu)和操作流程。通過對相互隔離的具有不同安全級別（未分類、機(jī)密、絕密等）的計算、存儲和網(wǎng)絡(luò)資源的有效整合和安全調(diào)用，可根據(jù)需要模擬各類應(yīng)用場景，并實現(xiàn)對NCR資源的快速清理和重用，同時通過構(gòu)建和設(shè)計邏輯組件、定義服務(wù)結(jié)構(gòu)和流程來生成相應(yīng)服務(wù)，并進(jìn)行服務(wù)生命周期的全過程管理。

（3）集成網(wǎng)絡(luò)事件工具集。通過“支持事件計劃的工具集”“定義和管理資源需求的工具集”以及“自動建設(shè)、驗證和清理環(huán)境以及事件執(zhí)行的工具集”3類主要的工具集，為測試團(tuán)隊成員提供便捷、可靠、高效的事件環(huán)境創(chuàng)建和評估測試活動所需要的各類工具（資源庫），通過該工具集可自動完成靶場的測試和評估等工作。

（4）與其他靶場之間的安全連接。通過網(wǎng)絡(luò)靶場提供的技術(shù)集成和接口服務(wù)功能，可實現(xiàn)NCR與其他網(wǎng)絡(luò)靶場之間的安全連接，在將其他網(wǎng)絡(luò)靶場的資源整合進(jìn)NCR的同時，為其他網(wǎng)絡(luò)靶場提供計算能力和模擬仿真服務(wù)功能。其中，NCR主要連接的網(wǎng)絡(luò)靶場有美軍的JIOR和美國國防部的JMETC（joint mission environment test capability，聯(lián)合任務(wù)環(huán)境測試能力）。

（5）網(wǎng)絡(luò)測試團(tuán)隊。NCR擁有一支多元化、經(jīng)驗豐富的專業(yè)網(wǎng)絡(luò)安全測試團(tuán)隊，由該團(tuán)隊成員為NCR提供測試床設(shè)計、網(wǎng)絡(luò)與測試方案制訂、威脅向量研發(fā)、自定義流量生成、自定義傳感器、自定義軟硬件、自定義數(shù)據(jù)分析、端到端測試等全方位的服務(wù)功能。

2016年，為了滿足對快速發(fā)展中的網(wǎng)絡(luò)安全測試和評估以及美國國防部網(wǎng)絡(luò)任務(wù)部隊（Cyber Mission Force，CMF）快速增長的培訓(xùn)和認(rèn)證工作需求，TRMC實施了一項稱為美國“國家網(wǎng)絡(luò)空間靶場綜合設(shè)施”（national cyber range complex，NCRC）的計劃，該計劃通過將位于不同地點(diǎn)的新建設(shè)施以“新站點(diǎn)”的方式納入NCR，以此來擴(kuò)大NCR的網(wǎng)絡(luò)容量和互聯(lián)范圍，從而擴(kuò)充NCR的能力。

2.4 美國持續(xù)網(wǎng)絡(luò)訓(xùn)練環(huán)境（PCTE）

為了應(yīng)對日益復(fù)雜和嚴(yán)峻的網(wǎng)絡(luò)空間安全威脅，美國網(wǎng)絡(luò)司令部（2018年5月4日升級為聯(lián)合作戰(zhàn)司令部）于2012年成立了用于指導(dǎo)、同步和協(xié)調(diào)網(wǎng)絡(luò)空間行動的部門，即網(wǎng)絡(luò)任務(wù)部隊（CMF）。與此同時，為了維護(hù)CMF的網(wǎng)絡(luò)作戰(zhàn)能力，需要一個能夠為訓(xùn)練內(nèi)容和要求提供技術(shù)和環(huán)境支持的網(wǎng)絡(luò)靶場環(huán)境，然而當(dāng)時的NCR等國家級網(wǎng)絡(luò)靶場因其在設(shè)計之初并未充分考慮未來網(wǎng)絡(luò)作戰(zhàn)要求，而且已有訓(xùn)練體系無法滿足分散在各地的各軍種網(wǎng)絡(luò)作戰(zhàn)部隊的訓(xùn)練，同時現(xiàn)有靶場資源對訓(xùn)練內(nèi)容的服務(wù)能力嚴(yán)重不足。因此，美國國防部于2016年開始建設(shè)一個能夠為CMF提供持久的場景計劃管理、高標(biāo)準(zhǔn)訓(xùn)練要求和高質(zhì)量推演能力的訓(xùn)練平臺，即持續(xù)網(wǎng)絡(luò)訓(xùn)練環(huán)境（PCTE）[11]。PCTE基于混合式云端服務(wù)（hybrid cloud），將訓(xùn)練內(nèi)容與資源進(jìn)行有效整合并集中化后提供一個統(tǒng)一的平臺，圖2所示的是PCTE的網(wǎng)絡(luò)架構(gòu)[11-12]。

圖2 PCTE網(wǎng)絡(luò)架構(gòu)Fig.2 PCTE network architecture

結(jié)合一個具體的演訓(xùn)流程，可以將PCTE網(wǎng)絡(luò)架構(gòu)按功能劃分為以下幾個組成單元：

（1）確定訓(xùn)練任務(wù)，設(shè)置訓(xùn)練條件和標(biāo)準(zhǔn)，創(chuàng)建操作環(huán)境。

（2）創(chuàng)建訓(xùn)練計劃（項目），發(fā)現(xiàn)或修改訓(xùn)練內(nèi)容。不同于現(xiàn)有的大部分網(wǎng)絡(luò)靶場，PCTE對訓(xùn)練內(nèi)容與項目的設(shè)置是在互動式環(huán)境下動態(tài)進(jìn)行，是一種“無劇本演習(xí)”的虛擬環(huán)境。

（3）規(guī)劃和設(shè)計訓(xùn)練內(nèi)容。訓(xùn)練內(nèi)容主要由內(nèi)容庫（content library）、數(shù)據(jù)倉庫（data repository）、武器裝置（weapon systems）、工具（tools）、典型環(huán)境（representative environments）、自動評估（automated assessments）和自動執(zhí)行者（automated actors）等組件支持，訓(xùn)練內(nèi)容會根據(jù)訓(xùn)練者的需求和訓(xùn)練目標(biāo)自動執(zhí)行。

（4）為訓(xùn)練項目和內(nèi)容提供靶場資源。PCTE充分利用已有的分布在美國各地的NCR、CSR、JIOR、C5AD和DECRE（DoD enterprise cyber range environment，國防部企業(yè)網(wǎng)絡(luò)靶場環(huán)境）大型國家級網(wǎng)絡(luò)靶場，以及政府、學(xué)術(shù)機(jī)構(gòu)、商業(yè)等行業(yè)靶場資源，發(fā)揮網(wǎng)絡(luò)空間集成作戰(zhàn)平臺的功能，可以使CMF使用當(dāng)前網(wǎng)絡(luò)跨越不同類別的封閉式網(wǎng)絡(luò)在模擬網(wǎng)絡(luò)環(huán)境下進(jìn)行大規(guī)模訓(xùn)練或個人及團(tuán)隊培訓(xùn)。

（5）自動化執(zhí)行演訓(xùn)計劃。在內(nèi)部資源（數(shù)據(jù)倉庫、本地或遠(yuǎn)程計算機(jī)及存儲資源、自動評估等）和外部資源（各類已有網(wǎng)絡(luò)靶場）的支持下，實現(xiàn)對已創(chuàng)建計劃的自動執(zhí)行。

（6）收集數(shù)據(jù)，對演訓(xùn)過程進(jìn)行回放、推演，對結(jié)果進(jìn)行評估。

PCTE項目還在推進(jìn)中，按照合同約定的時間，整體項目要到2022年才能完成。整個PCTE項目的建設(shè)目標(biāo)是減少操作所需要的時間，增加訓(xùn)練量，增加培訓(xùn)場景或模擬環(huán)境的重用，提高培訓(xùn)質(zhì)量，以及提高CMF訓(xùn)練的支持容量。

2.5 典型靶場比較分析

在2020年6月美國NICE（national initiative for cybersecurity education，國家網(wǎng)絡(luò)安全教育計劃）發(fā)布的The cyber range：a guide[13]（網(wǎng)絡(luò)靶場指南）中，根據(jù)實現(xiàn)技術(shù)的不同，將網(wǎng)絡(luò)靶場分為模擬類、仿真類、疊加類和混合類4種類型。

JIOR和NCR是典型的仿真類靶場，需要在專用測試平臺中配置出測試環(huán)境來運(yùn)行真實的軟件，所以硬件投入較高，對硬件性能的依賴性較強(qiáng)。其中，JIOR運(yùn)行在一個相對封閉的網(wǎng)絡(luò)環(huán)境中，不同網(wǎng)絡(luò)或小型靶場之間通過VPN或?qū)＞€連接，用戶通過VPN等安全方式登錄，并進(jìn)行嚴(yán)格的身份認(rèn)證和資源授權(quán)，確保系統(tǒng)的安全性；NCR提供的是一個“測試平臺”，主要對各種網(wǎng)絡(luò)技術(shù)和安全技術(shù)進(jìn)行定量測試和定性評估提供一個類似于Internet規(guī)模的安全可控的測試環(huán)境，對全新操作系統(tǒng)、系統(tǒng)內(nèi)核、主機(jī)安全系統(tǒng)、網(wǎng)絡(luò)安全工具和組件、網(wǎng)絡(luò)拓?fù)浜蛥f(xié)議等信息技術(shù)發(fā)展的最新成果進(jìn)行測試。NCR的應(yīng)用和管理相對開放，其技術(shù)實現(xiàn)涉及到異構(gòu)網(wǎng)絡(luò)之間的互聯(lián)以及更大規(guī)范的資源調(diào)度和共享。

JCOR與JIOR在實現(xiàn)技術(shù)上存在較大差異，JIOR是基于真實的美軍分布在各基地的網(wǎng)絡(luò)測試環(huán)境互聯(lián)后形成的更大范圍和更強(qiáng)功能的聯(lián)合測試靶場，而JCOR是一類仿真類靶場，是基于建模和計算機(jī)仿真技術(shù)構(gòu)建的功能豐富的虛擬網(wǎng)絡(luò)靶場。模擬類靶場通過數(shù)學(xué)建模來創(chuàng)建網(wǎng)絡(luò)實體的虛擬模型，借助數(shù)據(jù)模擬網(wǎng)絡(luò)實體在真實網(wǎng)絡(luò)中的行為，通過交互反饋、數(shù)據(jù)融合、決策迭代、算法優(yōu)化等手段，實現(xiàn)與真實網(wǎng)絡(luò)環(huán)境相同的功能。作為一種充分利用模型、數(shù)據(jù)、智能分析等多種技術(shù)的網(wǎng)絡(luò)靶場，與仿真類靶場相比，模擬類靶場雖然部署相對容易，但模擬效果與實現(xiàn)技術(shù)之間的關(guān)聯(lián)度較高。

PCTE屬于混合類靶場，它充分借鑒了仿真類和模擬類靶場的建設(shè)經(jīng)驗，并吸收了運(yùn)行在生產(chǎn)網(wǎng)絡(luò)環(huán)境中的疊加類靶場的特點(diǎn)，同時利用云服務(wù)、網(wǎng)絡(luò)虛擬化、數(shù)字孿生、人工智能輔助、游戲化機(jī)制、軟件定義等技術(shù)，最大限度實現(xiàn)物理與虛擬有機(jī)融合、各類場景快速生成、大規(guī)模環(huán)境生成與復(fù)制以及資源快速回收與利用。與其他類型的靶場相比，PCTE的雖然具有明顯優(yōu)勢，但對技術(shù)實現(xiàn)以及不同功能集成的要求較高。以虛擬仿真為主、虛實結(jié)合的混全類靶場是未來網(wǎng)絡(luò)靶場建設(shè)和發(fā)展的方向。

相比而言，目前國內(nèi)網(wǎng)絡(luò)靶場的規(guī)模較小，應(yīng)用較為單一，應(yīng)用類型主要以網(wǎng)絡(luò)安全人才培養(yǎng)所需要的教學(xué)培訓(xùn)和攻防比賽類靶場居多。從實現(xiàn)技術(shù)來看，這些靶場多為基于虛擬化環(huán)境的模擬類靶場，虛實結(jié)合的混合類靶場較少。以目前在國內(nèi)影響較大的攻防比賽靶場為例，多數(shù)靶場的針對性較強(qiáng)，但可擴(kuò)展性較差，而且賽后的總結(jié)分析和回溯推演功能較弱，只能稱作單一功能的靶場。但國內(nèi)一些高校、研究機(jī)構(gòu)和企業(yè)已充分利用各類先進(jìn)技術(shù)，借鑒國外先進(jìn)網(wǎng)絡(luò)靶場的建設(shè)經(jīng)驗，開始關(guān)注基于人工智能技術(shù)的智能化攻防靶場、工業(yè)控制系統(tǒng)靶場、信創(chuàng)靶場的研究和建設(shè)，期待在專用靶場建設(shè)中取得突破。另外，針對目前國內(nèi)網(wǎng)絡(luò)安全攻防競賽持續(xù)升溫的需要，可以借鑒IBM X-Force Command[14]靶場的模塊化、整體交付模式，將整個網(wǎng)絡(luò)靶場功能高密度集成到一個可定制的封閉空間（如車輛）中，便于部署和維護(hù)。

針對本節(jié)介紹的4種典型網(wǎng)絡(luò)靶場，表2重點(diǎn)從建設(shè)思路、功能要求、技術(shù)特征與發(fā)展趨勢等方面進(jìn)行了比較分析。

表2 4種典型網(wǎng)絡(luò)靶場的性能比較Table 2 Performance comparison of four typical cyberspace ranges

3 關(guān)鍵技術(shù)分析

3.1 大規(guī)模網(wǎng)絡(luò)仿真

無論是全網(wǎng)模擬還是虛實結(jié)合，網(wǎng)絡(luò)靶場的建設(shè)都離不開大規(guī)模網(wǎng)絡(luò)仿真技術(shù)。網(wǎng)絡(luò)仿真集中于網(wǎng)絡(luò)拓?fù)浞抡婧途W(wǎng)絡(luò)協(xié)議的仿真，主要包括網(wǎng)絡(luò)模型仿真、節(jié)點(diǎn)仿真和鏈路仿真3個方面。

3.1.1 網(wǎng)絡(luò)模型仿真

生醋經(jīng)勾兌后煮沸、殺菌、調(diào)味、存儲、再勾兌灌裝，得到成品。此階段涉及的傳統(tǒng)設(shè)備有池、缸、罐、加熱鍋，可用機(jī)械設(shè)備有不銹鋼泵、壓蓋器具、打包機(jī)、傳送帶等。

網(wǎng)絡(luò)模型是構(gòu)建網(wǎng)絡(luò)的基礎(chǔ)，不同的網(wǎng)絡(luò)應(yīng)用類型其模型不盡相同。典型的網(wǎng)絡(luò)模型主要有NS2（network simulator，version 2）[15]和Cisco Packet Tracer[16]，其中NS2是由UC Berkeley大學(xué)開發(fā)的一種面向?qū)ο蟮木W(wǎng)絡(luò)仿真器，本質(zhì)上是一個離散事件模擬器，能夠模擬不同規(guī)模的網(wǎng)絡(luò)場景；Cisco Packet Tracer是Cisco公司打造的一款網(wǎng)絡(luò)模擬工具，可為用戶提供與真實網(wǎng)絡(luò)相同的操作體驗，用戶可以通過該工具來模擬使用路由器、交換機(jī)和其他各種設(shè)備構(gòu)建不同類型的網(wǎng)絡(luò)。

3.1.2 節(jié)點(diǎn)仿真

節(jié)點(diǎn)仿真實現(xiàn)對主機(jī)、路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)節(jié)點(diǎn)的仿真，多采用虛擬化技術(shù)來實現(xiàn)，即實現(xiàn)節(jié)點(diǎn)的虛擬化。典型的節(jié)點(diǎn)虛擬化技術(shù)或產(chǎn)品有OpenStack[17]、docker[18]和KVM（kernel based virtual machine）[19]。其中，OpenStack是一個為云環(huán)境提供服務(wù)的開源云計算管理平臺，涵蓋了網(wǎng)絡(luò)、虛擬化、操作系統(tǒng)、服務(wù)器等各個方面，可以幫助服務(wù)商和企業(yè)內(nèi)部實現(xiàn)云基礎(chǔ)架構(gòu)服務(wù)；docker是一種開源虛擬化容器技術(shù)，是一個完全使用沙箱機(jī)制的容器，在每一個容器上運(yùn)行一個虛擬機(jī)。另外，docker具有可移植性和復(fù)用性，一臺主機(jī)上可以運(yùn)行多個容器，而且不同容器之間不存在任何接口，相互獨(dú)立，確保運(yùn)行過程和結(jié)果的相互隔離，進(jìn)而實現(xiàn)安全目的；KVM是一項內(nèi)核級虛擬化技術(shù)，它在x86硬件平臺上充分利用了Linux Kernel的特性，支持常見的Windows、Linux等操作系統(tǒng)，而且部署靈活，維護(hù)的復(fù)雜度較小。

3.1.3 鏈路仿真

鏈路仿真實現(xiàn)對節(jié)點(diǎn)之間物理鏈路（如光纖、雙絞線等）和虛擬鏈路（如VLAN、聚合鏈路等）的仿真。Emulab[20-21]是一款典型的鏈路仿真軟件，另外許多網(wǎng)絡(luò)模型仿真軟件也提供了功能豐富、性能逼真的鏈路仿真功能。Emulab是由美國Utah大學(xué)開發(fā)的集成軟硬件設(shè)備的網(wǎng)絡(luò)與分布式系統(tǒng)測試平臺，它基于網(wǎng)絡(luò)協(xié)議棧來有效地攔截網(wǎng)絡(luò)流量，并以管道方式來模擬與鏈路相關(guān)的帶寬、丟包率、延時等性能參數(shù)，同時提供了對宿主機(jī)內(nèi)部鏈路的仿真功能。

網(wǎng)絡(luò)靶場建設(shè)是一個復(fù)雜的過程。例如，雖然NS2提供了大規(guī)模網(wǎng)絡(luò)仿真功能，但在對網(wǎng)絡(luò)節(jié)點(diǎn)仿真時其逼真度難以達(dá)到要求；另外，KVM雖然得到了絕大部分用戶的認(rèn)可，但它并不是一個完整的模擬器，具體的模擬器功能還需要借助QEMU（虛擬化模擬器）來完成，等等。從拓?fù)浣Y(jié)構(gòu)來看，網(wǎng)絡(luò)靶場由大量功能各異的節(jié)點(diǎn)通過不同的鏈路連接而成，在此基礎(chǔ)上實現(xiàn)不同網(wǎng)絡(luò)模型所要求的功能。為此，如何有效利用已有技術(shù)，并實現(xiàn)不同技術(shù)在應(yīng)用上的深度融合是網(wǎng)絡(luò)靶場建設(shè)重點(diǎn)關(guān)注的問題之一。在眾多的技術(shù)方案中，雖然軟件定義網(wǎng)絡(luò)（software defined network，SDN）[22]技術(shù)并不是專門為大規(guī)模網(wǎng)絡(luò)仿真來設(shè)計，但其將數(shù)據(jù)層與控制臺隔離、基于整個網(wǎng)絡(luò)架構(gòu)實現(xiàn)網(wǎng)絡(luò)虛擬化、自動配置網(wǎng)絡(luò)功能等技術(shù)線路，以及靈活搭建網(wǎng)絡(luò)和快速大規(guī)模部署等特征，對網(wǎng)絡(luò)靶場的建設(shè)具有借鑒意義。

3.2 大規(guī)模網(wǎng)絡(luò)流量模擬

網(wǎng)絡(luò)流量是承載信息的動態(tài)數(shù)據(jù)流，反映網(wǎng)絡(luò)的基本特征和服務(wù)能力，具有典型的非線性和突發(fā)性表現(xiàn)特征。網(wǎng)絡(luò)仿真技術(shù)相對比較成熟，而網(wǎng)絡(luò)流量由于具有動態(tài)性和難以預(yù)測等特點(diǎn)，所以網(wǎng)絡(luò)流量模擬成為網(wǎng)絡(luò)靶場建設(shè)中的熱點(diǎn)和難點(diǎn)之一。大規(guī)模網(wǎng)絡(luò)流量模擬主要包括流量預(yù)測和流量回放兩個方面，可分別建立數(shù)學(xué)過程，利用數(shù)學(xué)模型來模擬生成網(wǎng)絡(luò)流量。

3.2.1 流量預(yù)測

雖然網(wǎng)絡(luò)流量具有非線性和突變性等特征，但具有自身內(nèi)在的變化規(guī)律，這使得網(wǎng)絡(luò)流量預(yù)測成為可能。在網(wǎng)絡(luò)流量可預(yù)測這一前提下，便可以制定符合網(wǎng)絡(luò)行為的流量產(chǎn)生機(jī)制，合理地調(diào)度和分配網(wǎng)絡(luò)資源，模擬符合應(yīng)用要求的網(wǎng)絡(luò)流量。網(wǎng)絡(luò)流量預(yù)測可利用數(shù)學(xué)方法，通過建立數(shù)學(xué)模型來描述與網(wǎng)絡(luò)流量相關(guān)的統(tǒng)計特征。網(wǎng)絡(luò)靶場中所采用的流量預(yù)測模型可分為單一預(yù)測模型和組合預(yù)測模型兩類。

（1）單一預(yù)測模型。單一預(yù)測模型是一種傳統(tǒng)的流量預(yù)測模型，即采用一種數(shù)學(xué)模型來對網(wǎng)絡(luò)流量進(jìn)行預(yù)測。例如，通過觀測，在獲得了一組時間序列數(shù)據(jù)xn(n=1,2,…)后，便可以建立一個數(shù)學(xué)模型，再利用該模型來預(yù)測xn+k(k=1,2,…)時刻的流量。根據(jù)輸入輸出數(shù)據(jù)之間的關(guān)系，單一預(yù)測模型又分為單一線性預(yù)測模型和單一非線性預(yù)測模型兩類。其中，在單一線性預(yù)測模型中，網(wǎng)絡(luò)流量服從泊松分布或馬爾可夫過程，常常采用基于自回歸（autoregression，AR）或自回歸滑動平均（auto-regressive moving average，ARMA）的線性預(yù)測方法。近年來，研究人員又提出了基于自相似性的流量模型，來描述網(wǎng)絡(luò)流量的長相關(guān)性和突發(fā)性等特征[23]。雖然單一線性預(yù)測模型的數(shù)學(xué)理論比較完善，在早期的網(wǎng)絡(luò)中能夠很好地進(jìn)行網(wǎng)絡(luò)流量預(yù)測，但近年來隨著網(wǎng)絡(luò)應(yīng)用復(fù)雜性的不斷提高，線性預(yù)測無法精確描述網(wǎng)絡(luò)中實際發(fā)生的流量；隨著智能算法的發(fā)展，其靈活高效的學(xué)習(xí)方式和良好的非線性映射能力，在大規(guī)模網(wǎng)絡(luò)流量預(yù)測應(yīng)用中表現(xiàn)出了其優(yōu)勢，單一非線性預(yù)測模型開始得到重視。典型的非線性預(yù)測模型包括小波分析模型、神經(jīng)網(wǎng)絡(luò)模型、混沌模型、支持向量機(jī)模型、灰色模型等。其中，神經(jīng)網(wǎng)絡(luò)模型具有較強(qiáng)的自學(xué)習(xí)能力，非常接近復(fù)雜網(wǎng)絡(luò)非線性系統(tǒng)的流量特征[24]，可很好地應(yīng)用于非線性時間序列的流量預(yù)測。

（2）組合預(yù)測模型。隨著網(wǎng)絡(luò)應(yīng)用的快速發(fā)展，新的協(xié)議不斷出現(xiàn)，已有協(xié)議頻繁迭代，使得網(wǎng)絡(luò)流量表現(xiàn)出隨機(jī)性和不確定性，這些非線性、多時間尺度的變化特征無法采用單一預(yù)測模型來描述，只能通過突發(fā)性、周期性、長相關(guān)和混沌性等來反映。在此情況下，為了能夠更有效地反映網(wǎng)絡(luò)流量的真實特征，可以在單一預(yù)測的基礎(chǔ)上，把不同預(yù)測模型有機(jī)結(jié)合起來，以提高預(yù)測的精度和可靠性。典型的組合預(yù)測模型有灰色神經(jīng)網(wǎng)絡(luò)模型、小波與時間序列結(jié)合的模型、小波神經(jīng)網(wǎng)絡(luò)模型等[25]。

早期的網(wǎng)絡(luò)應(yīng)用相對單一，網(wǎng)絡(luò)流量表現(xiàn)為平穩(wěn)序列，網(wǎng)絡(luò)模型所需要的訓(xùn)練樣本較少，算法較為簡單，而且預(yù)測精度較高。隨著網(wǎng)絡(luò)應(yīng)用變得越來越復(fù)雜，流量預(yù)測中需要反映流量的長相關(guān)、自相似等特征，雖然組合預(yù)測模型發(fā)揮了應(yīng)用優(yōu)勢，但在算法的擬合和重構(gòu)過程中需要避免單一預(yù)測算法的干擾，防止誤差在結(jié)合過程中的疊加和放大。

3.2.2 流量回放

流量回放是使用流量嗅探和捕獲工具，事先從真實網(wǎng)絡(luò)中獲取流量數(shù)據(jù)，并將其記錄下來。然后，當(dāng)網(wǎng)絡(luò)中需要相應(yīng)的數(shù)據(jù)流時，便通過專用的回放系統(tǒng)將流量有序注入到網(wǎng)絡(luò)中，來再現(xiàn)網(wǎng)絡(luò)情形。與預(yù)測模型生成的流量相比，用回放方式產(chǎn)生的是包含應(yīng)用（或協(xié)議）和干擾數(shù)據(jù)（背景流量）的真實數(shù)據(jù)流量，再現(xiàn)了真實的網(wǎng)絡(luò)環(huán)境。但由于流量在捕獲時具有對象固定（如僅捕獲TCP流量或UDP流量等）、環(huán)境特定（如某個局域網(wǎng)、某個網(wǎng)絡(luò)主干出口等）、時間設(shè)定（設(shè)定的時間段）等特點(diǎn)，利用回放方式生成的網(wǎng)絡(luò)流量往往具有一定的局限性，其用戶行為和流量特征較難適應(yīng)每個網(wǎng)絡(luò)的應(yīng)用要求。針對虛擬網(wǎng)絡(luò)環(huán)境中的流量回放技術(shù)，近年來研究人員提出了一些新的方法，例如文獻(xiàn)[26]基于IP-Mapping的虛擬網(wǎng)絡(luò)流量回放，不僅可以充分發(fā)揮流量的數(shù)據(jù)價值，還可以引入背景流量，完全還原待研究行為的實際細(xì)節(jié)，從而增強(qiáng)虛擬網(wǎng)絡(luò)的真實性；文獻(xiàn)[27]研究了縮小回放環(huán)境下交互式流量回放的問題，提出了一種多節(jié)點(diǎn)的流量回放方法，該方法通過設(shè)計了一種自選IP映射算法來構(gòu)建模擬網(wǎng)絡(luò)和真實網(wǎng)絡(luò)之間的IP映射，再現(xiàn)真實網(wǎng)絡(luò)節(jié)點(diǎn)之間的交互過程，該方法能夠更好地對大流量進(jìn)行聚合，并在回放時序和帶寬方面達(dá)到較高的相似度。

3.3 用戶行為模擬

在互聯(lián)網(wǎng)環(huán)境中，用戶行為是指用戶之間、用戶與服務(wù)之間在特定時間或時間段相互操作產(chǎn)生的行為。網(wǎng)絡(luò)流量特征與用戶行為之間存在關(guān)聯(lián)性，只有全面了解和掌握用戶的網(wǎng)絡(luò)行為，才能深入理解網(wǎng)絡(luò)流量的構(gòu)成以及流量的變化規(guī)律。在進(jìn)行大規(guī)模網(wǎng)絡(luò)流量模擬時，需要綜合運(yùn)用多學(xué)科知識來研究和分析網(wǎng)絡(luò)流量的構(gòu)成，通過數(shù)學(xué)建模來反映網(wǎng)絡(luò)流量的特征及與用戶之間的關(guān)聯(lián)性。

根據(jù)研究對象的不同，用戶網(wǎng)絡(luò)行為可以分為個體行為和群體行為兩類。其中，根據(jù)用戶行為發(fā)生位置的不同，個體行為又分為微觀行為和宏觀行為兩類。微觀個體行為重點(diǎn)研究用戶端的操作行為，例如，用戶登錄網(wǎng)絡(luò)時采用的接入方式（有線接入還是無線接入）、接入端使用的操作系統(tǒng)類型、信息輸入方式（語音輸入、鍵盤輸入或手寫輸入等）等；而宏觀個體行為則重點(diǎn)研究服務(wù)端的操作行為，例如什么時間使用什么軟件登錄過什么平臺、登錄是否成功、登錄后進(jìn)行了哪些操作等。對于個體行為來說，可以通過數(shù)學(xué)建模來模擬個體的行為習(xí)慣，并預(yù)測其行為序列。網(wǎng)絡(luò)群體行為研究的對象是具有直接關(guān)聯(lián)或間接關(guān)聯(lián)的群體，通過數(shù)學(xué)建模來刻畫群體用戶的行為特征。例如，文獻(xiàn)[28]設(shè)計了一種虛擬社交網(wǎng)絡(luò)中的群體用戶網(wǎng)絡(luò)行為的模擬算法，該算法基于SIR模型來分析虛擬社交網(wǎng)絡(luò)中的用戶Web行為，取得了與真實網(wǎng)絡(luò)高度擬合的效果；文獻(xiàn)[29]在基于Linux Docker虛擬化環(huán)境中，對比分析了bridge和macvlan模式下網(wǎng)絡(luò)的吞吐量和時延等指標(biāo)性能，得出在相同物理資源條件下，macvlan組網(wǎng)方式的網(wǎng)絡(luò)性能最好，bridge方式的網(wǎng)絡(luò)性能最差，該研究對大規(guī)模網(wǎng)絡(luò)用戶行為模擬中提高與真實網(wǎng)絡(luò)環(huán)境的相似性具有重要意義。

在研究網(wǎng)絡(luò)流量特征時需要特別注意與用戶行為之間的關(guān)系。在分析網(wǎng)絡(luò)中的個體行為和群體行為時，如果離開了對用戶行為的分析，那么網(wǎng)絡(luò)流量模擬則缺乏相應(yīng)的依據(jù)。在進(jìn)行大規(guī)模網(wǎng)絡(luò)行為模擬時，由于用戶群過于龐大，而且網(wǎng)絡(luò)環(huán)境非常復(fù)雜，所以在對網(wǎng)絡(luò)用戶及其行為進(jìn)行歸類和分析時，現(xiàn)有的研究成果很難通過特定的行為模型實現(xiàn)對種類繁多的應(yīng)用場景的刻畫，而更多的是在廣泛捕獲和提取特征數(shù)據(jù)的基礎(chǔ)上，通過統(tǒng)計分析、關(guān)聯(lián)數(shù)據(jù)分析、聚類分析、神經(jīng)網(wǎng)絡(luò)等方法，針對特定應(yīng)用場景（如Web應(yīng)用、社交網(wǎng)絡(luò)等）或服務(wù)類型（如P2P、HTTP/HTTPS等）對用戶數(shù)據(jù)進(jìn)行擬合，進(jìn)而預(yù)測用戶的行為。如何綜合運(yùn)行大數(shù)據(jù)、深度學(xué)習(xí)等技術(shù)，對復(fù)雜網(wǎng)絡(luò)環(huán)境中的用戶行為進(jìn)行細(xì)粒度分析，將成為一個研究方向。

4 網(wǎng)絡(luò)靶場發(fā)展與展望

4.1 網(wǎng)絡(luò)靶場的發(fā)展

網(wǎng)絡(luò)靶場的實現(xiàn)技術(shù)和提供的服務(wù)能力，在隨著信息技術(shù)的快速發(fā)展不斷更新迭代，其中：早期的蜜罐系統(tǒng)實現(xiàn)了對木馬程序及軟件后門繞過防火墻和殺病毒軟件等安全防護(hù)系統(tǒng)的測試，可以看作是網(wǎng)絡(luò)靶場的雛形；利用云計算、軟件定義（網(wǎng)絡(luò)、存儲等）等虛擬化技術(shù)，實現(xiàn)了在有限范圍內(nèi)模擬互聯(lián)網(wǎng)環(huán)境中的攻防對抗和對網(wǎng)絡(luò)武器裝備的評測，使網(wǎng)絡(luò)靶場更加貼近于實戰(zhàn)；隨著計算機(jī)仿真、虛擬化技術(shù)、人工智能、智能感知、無線通信、工業(yè)互聯(lián)網(wǎng)等技術(shù)的不斷成熟和深度融合，以及互聯(lián)網(wǎng)泛在化進(jìn)程的快速推進(jìn)，虛實結(jié)合的大規(guī)模復(fù)雜網(wǎng)絡(luò)靶場成為建設(shè)和研究的主流[30-32]。

目前，隨著信息技術(shù)應(yīng)用領(lǐng)域的不斷拓寬以及網(wǎng)絡(luò)安全威脅的日益加劇，社會各個領(lǐng)域根據(jù)安全態(tài)勢研究需要建設(shè)符合各自應(yīng)用特點(diǎn)的網(wǎng)絡(luò)靶場，主要包括：云計算系統(tǒng)安全驗證靶場、大數(shù)據(jù)平臺安全驗證靶場、人工智能系統(tǒng)安全驗證靶場、移動互聯(lián)網(wǎng)及無線安全測試靶場、工業(yè)控制系統(tǒng)安全驗證靶場、車聯(lián)網(wǎng)安全驗證靶場等網(wǎng)絡(luò)靶場類型[33]。例如，最早參與NCR建設(shè)的美國ManTech公司在2020年5月推出了稱為“太空靶場”（space range）[34]的網(wǎng)絡(luò)靶場，該網(wǎng)絡(luò)靶場主要面向政府機(jī)構(gòu)和衛(wèi)星（包括科研衛(wèi)星、軍事情報衛(wèi)星、導(dǎo)航衛(wèi)星等）運(yùn)營商來提供一個虛擬的衛(wèi)星指揮與控制（C2）太空作戰(zhàn)模擬環(huán)境，通過該模擬環(huán)境在對衛(wèi)星指揮與控制系統(tǒng)實施攻擊的過程中，可以發(fā)現(xiàn)隱藏的系統(tǒng)漏洞和軟件缺陷，從而改進(jìn)系統(tǒng)的功能，提升系統(tǒng)的安全性。

除以網(wǎng)絡(luò)基礎(chǔ)設(shè)施為主要研究對象的專業(yè)網(wǎng)絡(luò)靶場外，近年來還出現(xiàn)了針對不同行業(yè)應(yīng)用場景的行業(yè)性網(wǎng)絡(luò)靶場，主要包括：制造企業(yè)、電力企業(yè)、金融企業(yè)、大型電商平臺、電信機(jī)房數(shù)據(jù)中心、智能電網(wǎng)、智慧城市、智能交通、智能醫(yī)療、軍工企業(yè)等網(wǎng)絡(luò)的模擬及安全驗證靶場。例如，美國ManTech公司憑借在美國軍事和其他安全機(jī)構(gòu)網(wǎng)絡(luò)靶場中積累的建設(shè)經(jīng)驗和研究成果，在2017年推出了“先進(jìn)網(wǎng)絡(luò)靶場環(huán)境”（ACRE）[35]，該網(wǎng)絡(luò)靶場專門針對金融行業(yè)需求，提供了網(wǎng)絡(luò)安全測試、評估和培訓(xùn)等功能，并在運(yùn)行過程中根據(jù)網(wǎng)絡(luò)安全威脅研究需要，不斷完善其功能（如針對WannaCry勒索軟件攻擊的訓(xùn)練等）。

4.2 網(wǎng)絡(luò)靶場發(fā)展展望

4.2.1 全頻譜網(wǎng)絡(luò)空間靶場

在網(wǎng)絡(luò)靶場建設(shè)過程中，每一種靶場類型一般都是針對某一類特殊應(yīng)用，而隨著網(wǎng)絡(luò)應(yīng)用的復(fù)雜化，綜合多種網(wǎng)絡(luò)類型的全頻譜網(wǎng)絡(luò)空間靶場成為未來的發(fā)展方向。所謂全頻譜網(wǎng)絡(luò)空間靶場是指同時包含了互聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、無線傳感器網(wǎng)絡(luò)、衛(wèi)星網(wǎng)絡(luò)、電信網(wǎng)、物聯(lián)網(wǎng)、電磁網(wǎng)、無線網(wǎng)、天地一體化網(wǎng)絡(luò)等主流網(wǎng)絡(luò)通信類型，并由所涉及到的網(wǎng)絡(luò)、終端、數(shù)據(jù)中心設(shè)備、傳感器、無人系統(tǒng)、智能設(shè)備等設(shè)備類型組成的網(wǎng)絡(luò)靶場[3]。隨著萬物互聯(lián)進(jìn)程的推進(jìn)，全頻譜網(wǎng)絡(luò)空間靶場將全面模擬虛擬和物理世界，并將其映射到多形態(tài)、多功能的復(fù)雜網(wǎng)絡(luò)環(huán)境中進(jìn)行技術(shù)驗證、攻防對抗演練和網(wǎng)絡(luò)安全評測等訓(xùn)練。

4.2.2 下一代網(wǎng)絡(luò)靶場

下一代網(wǎng)絡(luò)靶場（NGCR）[36-37]還是一個不成熟的概念，與現(xiàn)有網(wǎng)絡(luò)靶場相比，NGCR應(yīng)具有大規(guī)模攻擊訓(xùn)練、情景式防護(hù)訓(xùn)練、高強(qiáng)度紅藍(lán)對抗、全方位系統(tǒng)測試、多維度裝備測試等特點(diǎn)。在計算機(jī)仿真、虛擬化、數(shù)字孿生、軟件定義等技術(shù)的基礎(chǔ)上，加上動作捕捉（motion capture）、全息投影、虛擬現(xiàn)實（virtual reality，VR）等超逼真仿真技術(shù)的應(yīng)用，可以進(jìn)一步實現(xiàn)網(wǎng)絡(luò)靶場中現(xiàn)實社會與虛擬世界之間的深度融合，為新型復(fù)雜網(wǎng)絡(luò)靶場的建設(shè)提供技術(shù)支持。尤其隨著計算能力的大幅上升和深度學(xué)習(xí)算法的進(jìn)一步優(yōu)化，人工智能技術(shù)必將成為下一代網(wǎng)絡(luò)靶場解決方案的核心，在網(wǎng)絡(luò)靶場的場景生成、事件重構(gòu)、策略運(yùn)用、測試與評估等關(guān)鍵技術(shù)和環(huán)節(jié)中發(fā)揮更大價值。

4.2.3 多技術(shù)協(xié)同

網(wǎng)絡(luò)靶場是一個需要多項技術(shù)協(xié)同作用的復(fù)雜系統(tǒng)，除數(shù)字孿生、網(wǎng)絡(luò)模擬、計算機(jī)仿真等技術(shù)外，云計算、游戲、人工智能和深度學(xué)習(xí)等技術(shù)在靶場研究與建設(shè)中開始發(fā)揮重要作用。其中，網(wǎng)絡(luò)靶場即服務(wù)（cyber range as a service，CyRaaS）將云計算功能應(yīng)用到靶場建設(shè)中，利用云基礎(chǔ)設(shè)施提供遠(yuǎn)程訪問管理、網(wǎng)絡(luò)配置管理、用戶管理、虛擬化環(huán)境等服務(wù)的便捷性和安全性，已成為當(dāng)前網(wǎng)絡(luò)靶場建設(shè)的一個趨勢；針對枯燥的訓(xùn)練過程，可以引入交互式、沉浸式的游戲化機(jī)制來增強(qiáng)訓(xùn)練的趣味性，提升靶場的應(yīng)用效果；引入人工智能和機(jī)器學(xué)習(xí)，可以幫助人們處理大量信息，引導(dǎo)用戶做出最佳決策，輔助進(jìn)行訓(xùn)練的控制與管理。同時，利用機(jī)器學(xué)習(xí)可以為靶場提供分析、檢測、回溯、告警和生成報告等功能，實現(xiàn)靶場的自動化和智能化。

4.2.4 工業(yè)互聯(lián)網(wǎng)靶場

互聯(lián)網(wǎng)技術(shù)與工業(yè)控制系統(tǒng)結(jié)合產(chǎn)生了工業(yè)互聯(lián)網(wǎng)，然而在工業(yè)互聯(lián)網(wǎng)的發(fā)展過程中，工業(yè)控制系統(tǒng)中已有的部分硬件、標(biāo)準(zhǔn)、協(xié)議被互聯(lián)網(wǎng)替代，這將導(dǎo)致在互聯(lián)網(wǎng)中已有的一些攻擊行為轉(zhuǎn)向工業(yè)控制系統(tǒng)，同時利用工業(yè)互聯(lián)網(wǎng)特有環(huán)境中信息系統(tǒng)配置缺陷、協(xié)議缺陷和軟件缺陷的新型攻擊手段不斷出現(xiàn)，針對核電站、電網(wǎng)、輸油管道甚至是軍事裝備和設(shè)施的網(wǎng)絡(luò)攻擊事件頻繁發(fā)生，嚴(yán)重影響了人民生命財產(chǎn)安全、社會穩(wěn)定和國家安全。例如，近年來頻繁發(fā)生的烏克蘭電網(wǎng)攻擊事件，2010年9發(fā)生的伊朗核電站遭“震網(wǎng)”（stuxnet）蠕蟲病毒襲擊事件，2019年3月7日委內(nèi)瑞拉電網(wǎng)遭電磁攻擊事件，2017年5月美國核電站持續(xù)遭遇網(wǎng)絡(luò)攻擊事件等，充分說明以工業(yè)互聯(lián)網(wǎng)為重點(diǎn)的關(guān)鍵信息基礎(chǔ)設(shè)施所面臨安全威脅的嚴(yán)重性。為此，針對工業(yè)互聯(lián)網(wǎng)安全的網(wǎng)絡(luò)靶場建設(shè)和應(yīng)用具有緊迫性和必要性，將成為現(xiàn)在和未來研究的重點(diǎn)。

4.3 我國網(wǎng)絡(luò)靶場的現(xiàn)狀與發(fā)展

（1）針對行業(yè)應(yīng)用安全需求的網(wǎng)絡(luò)靶場建設(shè)發(fā)展迅速。隨著網(wǎng)絡(luò)安全威脅趨勢日趨嚴(yán)峻，國家對網(wǎng)絡(luò)空間安全的重視程度也越來越高，除軍隊、公安、國安、網(wǎng)安、網(wǎng)信等建設(shè)的專用靶場外，許多高校、科研機(jī)構(gòu)和科技企業(yè)在國家政策的扶植和鼓勵下，已結(jié)合鐵路、道路交通、電力、通信、教育、大型電商、安全企業(yè)等領(lǐng)域不同的應(yīng)用場景，開發(fā)了網(wǎng)絡(luò)空間訓(xùn)練、技術(shù)策略推演、安全人才培養(yǎng)、安全事件過程分析、應(yīng)急響應(yīng)演練、攻防對抗、安全產(chǎn)品和方案評估等專用網(wǎng)絡(luò)靶場。這些網(wǎng)絡(luò)靶場的建設(shè)，在吸收和借鑒國外網(wǎng)絡(luò)靶場建設(shè)技術(shù)和經(jīng)驗的同時，結(jié)合國內(nèi)應(yīng)用環(huán)境進(jìn)行了創(chuàng)新，有效促進(jìn)了網(wǎng)絡(luò)靶場的發(fā)展。

（2）新技術(shù)的應(yīng)用加快了網(wǎng)絡(luò)靶場的建設(shè)進(jìn)程。美英等國家網(wǎng)絡(luò)靶場的建設(shè)成果對我國網(wǎng)絡(luò)靶場的建設(shè)提供了可供借鑒的經(jīng)驗，同時隨著人工智能、大數(shù)據(jù)、數(shù)字孿生、云計算和邊緣計算等新技術(shù)的日臻成熟，以及可提供算力的不斷提升和網(wǎng)絡(luò)仿真算法的進(jìn)一步優(yōu)化，為網(wǎng)絡(luò)靶場的建設(shè)提供了有效的平臺保障和技術(shù)支持。在此情況下，通信靶場、電子對抗靶場、指揮控制靶場等已有的與網(wǎng)絡(luò)空間安全防御相關(guān)的靶場，在功能和性能上都會有大幅度的提升，同時將為新應(yīng)用（如5G/6G網(wǎng)絡(luò)、車聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等）、綜合性和大規(guī)模網(wǎng)絡(luò)靶場的建設(shè)提供保障。

（3）針對網(wǎng)絡(luò)靶場基礎(chǔ)理論和關(guān)鍵技術(shù)的原始創(chuàng)新能力有待提升。網(wǎng)絡(luò)靶場的建設(shè)，主要涉及網(wǎng)絡(luò)基礎(chǔ)設(shè)施和業(yè)務(wù)環(huán)境仿真、大規(guī)模復(fù)雜網(wǎng)絡(luò)環(huán)境下的攻防對抗行為仿真、數(shù)據(jù)采集和效果評估等內(nèi)容，涉及這些內(nèi)容的大量技術(shù)細(xì)節(jié)需要在應(yīng)用中快速尋求突破。下一步，隨著新基建、智能制造、企業(yè)上云等建設(shè)內(nèi)容的推進(jìn)，都需要與之對應(yīng)的網(wǎng)絡(luò)靶場對一些創(chuàng)新應(yīng)用進(jìn)行測試、仿真、培訓(xùn)和研究；隨著國家對關(guān)鍵信息基礎(chǔ)設(shè)施安全重視程度的不斷提高，需要發(fā)揮網(wǎng)絡(luò)靶場的作用，開展攻防和應(yīng)急演練，提升安全防御和應(yīng)急響應(yīng)能力；同時，需要發(fā)揮云服務(wù)和邊緣計算等新型服務(wù)與計算模式在網(wǎng)絡(luò)靶場建設(shè)中功能，在有效整合和協(xié)調(diào)各類資源的同時，還可以縮減建設(shè)與運(yùn)維成本。

5 結(jié)論

近年來，隨著網(wǎng)絡(luò)安全事件的頻發(fā)，世界各國對網(wǎng)絡(luò)空間安全的重視程度與日俱增，在網(wǎng)絡(luò)空間安全新理論不斷提出的同時，各類新技術(shù)和創(chuàng)新應(yīng)用相繼涌現(xiàn)。網(wǎng)絡(luò)靶場建設(shè)與應(yīng)用，不但為使軍隊能夠快速掌握相應(yīng)的理論并進(jìn)行網(wǎng)絡(luò)武器裝備研發(fā)提供了平臺支撐，而且為政府、科研機(jī)構(gòu)、高校等行業(yè)進(jìn)行網(wǎng)絡(luò)空間安全理論研究和人員攻防技術(shù)能力的培養(yǎng)提供了實現(xiàn)路徑和基礎(chǔ)設(shè)施保障。構(gòu)建理論科學(xué)、技術(shù)先進(jìn)、面向應(yīng)用的網(wǎng)絡(luò)靶場有著非常重大的現(xiàn)實需求和戰(zhàn)略意義。本文在對網(wǎng)絡(luò)靶場的概念、功能和主要實現(xiàn)技術(shù)以及典型的網(wǎng)絡(luò)靶場進(jìn)行較為系統(tǒng)闡述的基礎(chǔ)上，討論了網(wǎng)絡(luò)靶場建設(shè)中涉及到的一些關(guān)鍵技術(shù)，分析了網(wǎng)絡(luò)靶場的發(fā)展歷程和趨勢，供網(wǎng)絡(luò)空間安全領(lǐng)域的技術(shù)和研究人員借鑒。