網(wǎng)絡(luò)靶場(chǎng)數(shù)據(jù)采集方法探索與設(shè)計(jì)

中國(guó)電子科技集團(tuán)第三十研究所 林琦力 尚旭 金鑫 王瑞 張家琦

網(wǎng)絡(luò)靶場(chǎng)是針對(duì)網(wǎng)絡(luò)攻防演練、支撐網(wǎng)絡(luò)空間技術(shù)驗(yàn)證和網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的重要基礎(chǔ)設(shè)施，對(duì)網(wǎng)絡(luò)安全人才的培養(yǎng)、網(wǎng)絡(luò)空間對(duì)抗的學(xué)習(xí)和研究有著極為重要的價(jià)值。本文首先介紹了數(shù)據(jù)采集在靶場(chǎng)中的關(guān)鍵作用，闡述了主流的數(shù)據(jù)采集技術(shù)及其存在的問(wèn)題。然后提出了全維數(shù)據(jù)采集方案，闡述了全維數(shù)據(jù)采集方案的總體架構(gòu)和具體的采集技術(shù)，實(shí)現(xiàn)了低侵入、實(shí)時(shí)、準(zhǔn)確、全面的采集靶場(chǎng)數(shù)據(jù)。

近年來(lái)，互聯(lián)網(wǎng)安全事件頻發(fā)，網(wǎng)絡(luò)對(duì)抗形勢(shì)愈演愈烈，網(wǎng)絡(luò)攻擊從以個(gè)人為目標(biāo)轉(zhuǎn)向以特定關(guān)鍵基礎(chǔ)設(shè)施為目標(biāo)，網(wǎng)絡(luò)攻擊技術(shù)趨向于手段更高超、更隱蔽、持續(xù)時(shí)間長(zhǎng)等方向發(fā)展，因此發(fā)展網(wǎng)絡(luò)靶場(chǎng)已迫在眉睫。網(wǎng)絡(luò)靶場(chǎng)是針對(duì)網(wǎng)絡(luò)攻防演練、支撐網(wǎng)絡(luò)空間技術(shù)驗(yàn)證和網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的重要基礎(chǔ)設(shè)施，對(duì)網(wǎng)絡(luò)安全人才的培養(yǎng)、網(wǎng)絡(luò)空間對(duì)抗的學(xué)習(xí)和研究有著極為重要的價(jià)值。靶場(chǎng)數(shù)據(jù)采集是網(wǎng)絡(luò)靶場(chǎng)四大核心基礎(chǔ)能力之一，是實(shí)現(xiàn)靶場(chǎng)業(yè)務(wù)數(shù)據(jù)分析和智能決策的基礎(chǔ)，目前面臨的挑戰(zhàn)為如何低侵入、實(shí)時(shí)、準(zhǔn)確、全面的實(shí)現(xiàn)數(shù)據(jù)采集。

1 研究背景

靶場(chǎng)業(yè)務(wù)數(shù)據(jù)分析和智能決策，主要是基于攻防時(shí)采集到的數(shù)據(jù)，根據(jù)一定的評(píng)估標(biāo)準(zhǔn)和模型，對(duì)被測(cè)的攻防技術(shù)進(jìn)行定量與定性相結(jié)合的效果評(píng)估，以及網(wǎng)絡(luò)攻防對(duì)抗態(tài)勢(shì)評(píng)估分析與可視化，并盡可能保證評(píng)估的可操作性和客觀性[1]。數(shù)據(jù)采集方式可分為帶內(nèi)數(shù)據(jù)采集和帶外數(shù)據(jù)采集。帶內(nèi)采集主要基于入侵檢測(cè)系統(tǒng)（IDS/EDR）為主，由中心采集程序和植入虛擬機(jī)的代理程序組成。帶外采集基于虛擬自省技術(shù)（VMI），主要采集虛擬靶標(biāo)數(shù)據(jù)。入侵檢測(cè)系統(tǒng)IDS/EDR 可采集包括系統(tǒng)、網(wǎng)絡(luò)及用戶活動(dòng)的狀態(tài)和行為的數(shù)據(jù)，但其代理程序采集功能有限，且可擴(kuò)展性差。而虛擬自省技術(shù)需要虛擬化監(jiān)視器（VMM）支持，監(jiān)視虛擬機(jī)內(nèi)發(fā)生的中斷、異常事件、指令等底層二進(jìn)制數(shù)據(jù)，需要將底層二進(jìn)制重構(gòu)成高層語(yǔ)義，實(shí)現(xiàn)較為困難[2]，付出性能代價(jià)較大。

2 方案設(shè)計(jì)

針對(duì)以上問(wèn)題，為了實(shí)現(xiàn)低侵入、實(shí)時(shí)、準(zhǔn)確、全面的采集靶場(chǎng)數(shù)據(jù)，提出全維數(shù)據(jù)采集，包括數(shù)據(jù)采集代理、標(biāo)準(zhǔn)協(xié)議采集器、流量數(shù)據(jù)采集器以及數(shù)據(jù)采集網(wǎng)關(guān)，實(shí)現(xiàn)了動(dòng)態(tài)行為數(shù)據(jù)、靜態(tài)主機(jī)信息、實(shí)裝數(shù)據(jù)的采集以及流量的鏡像、引流和隨機(jī)采樣監(jiān)測(cè)，另外通過(guò)一系列擴(kuò)展化設(shè)計(jì)，大大增強(qiáng)了采集系統(tǒng)的擴(kuò)展能力。

2.1 總體架構(gòu)設(shè)計(jì)

網(wǎng)絡(luò)靶場(chǎng)的數(shù)據(jù)采集系統(tǒng)由數(shù)據(jù)采集層、數(shù)據(jù)預(yù)處理與存儲(chǔ)層、數(shù)據(jù)統(tǒng)一訪問(wèn)層。網(wǎng)絡(luò)靶場(chǎng)數(shù)據(jù)采集系統(tǒng)的總體架構(gòu)如圖1所示。

圖1 數(shù)據(jù)采集系統(tǒng)總體架構(gòu)設(shè)計(jì)Fig.1 Overall architecture design of data collection system

2.1.1 數(shù)據(jù)采集層

提供了數(shù)據(jù)采集代理、標(biāo)準(zhǔn)協(xié)議采集器、流量數(shù)據(jù)采集器，實(shí)現(xiàn)了采集靶場(chǎng)網(wǎng)絡(luò)內(nèi)靶標(biāo)行為數(shù)據(jù)、攻防數(shù)據(jù)、實(shí)裝數(shù)據(jù)，以及靶標(biāo)網(wǎng)絡(luò)流量的鏡像、引流和隨機(jī)采樣，覆蓋了虛擬靶標(biāo)、實(shí)裝靶標(biāo)和靶場(chǎng)流量等多種靶標(biāo)，提供了數(shù)據(jù)采集網(wǎng)關(guān)，實(shí)現(xiàn)了采集配置、采集控制以及數(shù)據(jù)的封裝和轉(zhuǎn)發(fā)。

2.1.2 數(shù)據(jù)預(yù)處理和存儲(chǔ)層

提供了數(shù)據(jù)預(yù)處理網(wǎng)關(guān)，實(shí)現(xiàn)了采集數(shù)據(jù)的預(yù)處理，比如簡(jiǎn)單的數(shù)據(jù)清洗、治理和分級(jí)分類，內(nèi)置多種后端存儲(chǔ)系統(tǒng)驅(qū)動(dòng)（TiDB/ES/Redis/Kafka），并支持存儲(chǔ)系統(tǒng)的擴(kuò)展，按業(yè)務(wù)的需求將采集數(shù)據(jù)存儲(chǔ)到對(duì)應(yīng)的存儲(chǔ)平臺(tái)。

2.1.3 數(shù)據(jù)統(tǒng)一訪問(wèn)層

提供采集數(shù)據(jù)的存儲(chǔ)和數(shù)據(jù)統(tǒng)一訪問(wèn)功能，對(duì)外提供標(biāo)準(zhǔn)的數(shù)據(jù)訪問(wèn)接口和權(quán)限控制模塊，支持基于業(yè)務(wù)系統(tǒng)的管理訪問(wèn)控制，提供可控的數(shù)據(jù)訪問(wèn)權(quán)限控制。

2.2 數(shù)據(jù)采集代理設(shè)計(jì)

數(shù)據(jù)采集代理采集數(shù)據(jù)的對(duì)象包括虛擬終端以及一部分可安裝代理的實(shí)裝設(shè)備。數(shù)據(jù)采集代理內(nèi)置一系列基本的數(shù)據(jù)采集能力，包括動(dòng)態(tài)行為數(shù)據(jù)、靜態(tài)主機(jī)信息，具備強(qiáng)大的擴(kuò)展采集能力，包括支持定向采集腳本、持續(xù)采集插件、第三方數(shù)據(jù)接入，實(shí)現(xiàn)了極簡(jiǎn)安裝運(yùn)行，兼容適配主流的Windows/Linux 操作系統(tǒng)。

2.2.1 動(dòng)態(tài)行為數(shù)據(jù)采集

采集動(dòng)態(tài)行為數(shù)據(jù)，包括文件變化、進(jìn)程啟停、網(wǎng)絡(luò)鏈接變化、用戶登錄行為、注冊(cè)表變化等事件。

（1）文件變化。采用文件系統(tǒng)實(shí)時(shí)監(jiān)控框架，對(duì)系統(tǒng)內(nèi)文件或目錄進(jìn)行實(shí)時(shí)監(jiān)控和事件采集。具體技術(shù)采用Inotify 子系統(tǒng)，Inotify 實(shí)際是一種事件驅(qū)動(dòng)機(jī)制，它為應(yīng)用程序監(jiān)控文件系統(tǒng)事件提供了實(shí)時(shí)響應(yīng)事件的機(jī)制，而無(wú)須通過(guò)輪詢機(jī)制來(lái)獲取事件，極大的節(jié)約了系統(tǒng)資源，它可以高效的監(jiān)控文件系統(tǒng)的變化，如文件修改、新增、刪除等，并將相應(yīng)的事件實(shí)時(shí)發(fā)送到采集程序。采集程序根據(jù)數(shù)據(jù)采集網(wǎng)關(guān)下發(fā)的采集項(xiàng)指令，解析出當(dāng)前需要監(jiān)控的文件系統(tǒng)目錄列表，作為Inotify 的監(jiān)控對(duì)象，同時(shí)實(shí)時(shí)解析Inotify 的事件輸出。

（2）進(jìn)程啟停、網(wǎng)絡(luò)鏈接變化、用戶登入登出行為、注冊(cè)表變化。對(duì)于Linux 系統(tǒng)，可通過(guò)Audit 子系統(tǒng)采集數(shù)據(jù)。Audit 子系統(tǒng)是用于搜集記錄系統(tǒng)、內(nèi)核、用戶進(jìn)程發(fā)生的行為事件的一種安全審計(jì)系統(tǒng)，可以可靠地搜集有關(guān)于任何與安全相關(guān)（或與安全無(wú)關(guān)）的事件的信息。采集程序通過(guò)Netlink 套接字與Audit 子系統(tǒng)的內(nèi)核審計(jì)模塊Kauditd 建立全雙工通信，通過(guò)下發(fā)設(shè)置Audit 規(guī)則，采集關(guān)注的系統(tǒng)調(diào)用和用戶事件，同時(shí)可讀取Kauditd 的各種事件日志，例如進(jìn)程啟停系統(tǒng)調(diào)用Execve/Execveat、網(wǎng)絡(luò)連接系統(tǒng)調(diào)用Bind/Connect、用戶登入登出事件等。

對(duì)于Windows 系統(tǒng)，可通過(guò)Windows 系統(tǒng)自帶的WMI 服務(wù)組件采集數(shù)據(jù)。作為一項(xiàng)Windows 管理技術(shù)，WMI 可以訪問(wèn)、配置、管理和監(jiān)視幾乎所有的Windows資源，是一種主動(dòng)獲取網(wǎng)絡(luò)和系統(tǒng)數(shù)據(jù)的技術(shù)，通過(guò)調(diào)用Windows 系統(tǒng)WMI 服務(wù)組件提供的API 接口，注冊(cè)鉤子函數(shù)，實(shí)現(xiàn)實(shí)時(shí)監(jiān)控關(guān)注的事件的功能。

2.2.2 靜態(tài)主機(jī)信息采集

采集靜態(tài)主機(jī)信息，包括進(jìn)程列表、文件列表、操作系統(tǒng)版本、硬件平臺(tái)架構(gòu)、內(nèi)核版本、加載的內(nèi)核模塊等靜態(tài)主機(jī)信息數(shù)據(jù)，集成Osqueryos，自定義擴(kuò)展采集項(xiàng)。

2.2.3 定向采集腳本

選擇需要采集的對(duì)象并上傳自定義采集腳本至采集對(duì)象系統(tǒng)內(nèi)，向代理發(fā)送執(zhí)行腳本指令、腳本路徑及參數(shù)，實(shí)現(xiàn)定向采集關(guān)注的事件、進(jìn)程、用戶、文件等數(shù)據(jù)。

2.2.4 持續(xù)采集插件

實(shí)現(xiàn)插件式的架構(gòu)設(shè)計(jì)，在插件框架層定義標(biāo)準(zhǔn)接口和標(biāo)準(zhǔn)格式數(shù)據(jù)，可以開發(fā)自定義插件，插件只需實(shí)現(xiàn)標(biāo)準(zhǔn)接口和轉(zhuǎn)換數(shù)據(jù)格式，即可持續(xù)采集關(guān)注的系統(tǒng)數(shù)據(jù)、應(yīng)用數(shù)據(jù)、日志數(shù)據(jù)。

2.2.5 第三方數(shù)據(jù)接入

實(shí)現(xiàn)第三方采集程序（如EDR/IDS）的數(shù)據(jù)接入，第三方采集程序通過(guò)實(shí)現(xiàn)數(shù)據(jù)采集代理定義的數(shù)據(jù)推送接口，即可接入第三方采集數(shù)據(jù)，使采集代理具備集成擴(kuò)展能力。

2.2.6 極簡(jiǎn)安裝與運(yùn)行

最大化簡(jiǎn)化用戶安裝，兼容適配Windows、Windows Server、Linux 主流版本。

支持在線安裝與離線自動(dòng)安裝，當(dāng)靶標(biāo)系統(tǒng)運(yùn)行時(shí)，上傳代理安裝程序至靶標(biāo)系統(tǒng)，執(zhí)行安裝腳本程序即可；當(dāng)靶標(biāo)系統(tǒng)關(guān)閉后，在宿主機(jī)上自動(dòng)化工具通過(guò)Guestfish工具掛載虛擬靶標(biāo)磁盤，將采集程序離線注入到虛擬磁盤中。

2.3 標(biāo)準(zhǔn)協(xié)議采集器設(shè)計(jì)

標(biāo)準(zhǔn)協(xié)議采集器通過(guò)一系列標(biāo)準(zhǔn)協(xié)議采集各種類型的實(shí)裝設(shè)備的實(shí)裝數(shù)據(jù)，包括采集軟硬件配置、設(shè)備性能、資源利用率、負(fù)載情況、運(yùn)行狀況、日志信息、告警事件等數(shù)據(jù)。目前實(shí)現(xiàn)了常見(jiàn)的幾種協(xié)議采集，涵蓋了絕大多數(shù)的實(shí)裝設(shè)備，同時(shí)支持自定義開發(fā)采集插件，支持通過(guò)更多的標(biāo)準(zhǔn)協(xié)議或設(shè)備專用接口的采集。

2.3.1 通過(guò)SNMP 協(xié)議采集

SNMP 是一個(gè)應(yīng)用層協(xié)議、模型和一組資源對(duì)象，是用作傳播和匯聚網(wǎng)絡(luò)管理信息以及安全事件數(shù)據(jù)的重要手段。

2.3.2 通過(guò)NetConf 協(xié)議采集

NetConf 提供了一套管理網(wǎng)絡(luò)設(shè)備的機(jī)制，通過(guò)此協(xié)議，用戶可增加、修改、刪除網(wǎng)絡(luò)設(shè)備的配置，獲取網(wǎng)絡(luò)設(shè)備的配置和狀態(tài)信息。

2.3.3 通過(guò)Syslog 協(xié)議采集

Syslog 常被稱為系統(tǒng)日志或系統(tǒng)記錄，是在一個(gè)IP網(wǎng)絡(luò)中轉(zhuǎn)發(fā)系統(tǒng)日志信息的標(biāo)準(zhǔn)。系統(tǒng)日志通過(guò)Syslog記錄系統(tǒng)的有關(guān)事件，也可以記錄應(yīng)用程序運(yùn)作事件。通過(guò)適當(dāng)配置，可以實(shí)現(xiàn)運(yùn)行Syslog 協(xié)議的機(jī)器之間的通信。

2.3.4 自定義擴(kuò)展插件

實(shí)現(xiàn)了插件式的架構(gòu)設(shè)計(jì)，在插件框架層定義標(biāo)準(zhǔn)接口和標(biāo)準(zhǔn)格式數(shù)據(jù)，可以開發(fā)自定義插件，擴(kuò)展支持更多的標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議。

針對(duì)不支持標(biāo)準(zhǔn)協(xié)議而提供了專有接口或協(xié)議（RestAPI 接口或WebService）的設(shè)備，可以通過(guò)定制開發(fā)插件進(jìn)行擴(kuò)展。根據(jù)設(shè)備廠商提供的產(chǎn)品文檔說(shuō)明以及采集需求，調(diào)用相應(yīng)的專用接口，對(duì)設(shè)備狀態(tài)信息、配置信息、告警事件等數(shù)據(jù)進(jìn)行采集。

2.4 流量數(shù)據(jù)采集器設(shè)計(jì)

靶標(biāo)網(wǎng)絡(luò)流量數(shù)據(jù)采集，一種采用全量復(fù)制或引流，另一種采用隨機(jī)抽樣檢測(cè)，兩種方式相結(jié)合，最終將流量引導(dǎo)至流量分析系統(tǒng)。

SDN（軟件定義網(wǎng)絡(luò)）是一種軟件集中控制、網(wǎng)絡(luò)開放的三層體系架構(gòu)[3]。靶場(chǎng)使用SDN 技術(shù)靈活構(gòu)建網(wǎng)絡(luò)，通過(guò)SDN 流量鏡像復(fù)制、服務(wù)鏈引流，實(shí)現(xiàn)了流量的全量采集；對(duì)于一些關(guān)鍵實(shí)體設(shè)備流量進(jìn)行全量采集時(shí)，可使用流量探針實(shí)時(shí)高效采集；對(duì)于不關(guān)心流量?jī)?nèi)容的場(chǎng)景，可通過(guò)sFlow/NetFlow 協(xié)議對(duì)數(shù)據(jù)進(jìn)行隨機(jī)抽樣監(jiān)測(cè)。

2.4.1 SDN 流量鏡像

流量鏡像又稱端口鏡像，是一種將端口或網(wǎng)絡(luò)流量，旁路復(fù)制并轉(zhuǎn)發(fā)至虛擬或物理設(shè)備進(jìn)行分析的技術(shù)。SDN 控制器通過(guò)將端口鏡像的邏輯對(duì)應(yīng)關(guān)系，轉(zhuǎn)換成OpenFlow流表，通過(guò)OpenFlow 協(xié)議下將OpenFlow 流表發(fā)到本地的虛擬交換機(jī)的虛擬交換機(jī)守護(hù)進(jìn)程，實(shí)現(xiàn)了靶場(chǎng)網(wǎng)絡(luò)內(nèi)接入到SDN 交換機(jī)上的虛擬靶標(biāo)和實(shí)裝設(shè)備的流量鏡像功能，流量經(jīng)過(guò)GRE/Vxlan 隧道技術(shù)，轉(zhuǎn)發(fā)至流量分析系統(tǒng)。

2.4.2 SDN 服務(wù)鏈引流

網(wǎng)絡(luò)業(yè)務(wù)流量需要按照業(yè)務(wù)邏輯要求的既定次序穿過(guò)各種安全服務(wù)節(jié)點(diǎn)[4]，完成對(duì)應(yīng)業(yè)務(wù)功能處理，這種打破了常規(guī)網(wǎng)絡(luò)轉(zhuǎn)發(fā)邏輯的方式，稱為服務(wù)鏈，而透明接入的設(shè)備，稱為服務(wù)節(jié)點(diǎn)。

在靶場(chǎng)網(wǎng)絡(luò)環(huán)境中，防火墻（FW）、負(fù)載均衡（LB）、入侵檢測(cè)（IPS）、VPN 等設(shè)備透明接入到SDN 網(wǎng)絡(luò)中，SDN 控制器通過(guò)動(dòng)態(tài)建立服務(wù)鏈?zhǔn)狗抡姘袌?chǎng)網(wǎng)絡(luò)中不同靶標(biāo)的流量可以按照不同順序?qū)虿煌姆?wù)功能模塊（防火墻、IDS、IPS 等），其概念類似于策略路由，即服務(wù)鏈?zhǔn)咕W(wǎng)絡(luò)報(bào)文流量走特定的路徑，而不是通過(guò)IP 目的地址來(lái)查看路由表得最終目的地。

2.4.3 靶標(biāo)的流量探針

流量探針是一種用來(lái)獲取網(wǎng)絡(luò)流量的硬件設(shè)備，使用時(shí)將它串接在需要捕捉流量的鏈路上，通過(guò)分流鏈路上的數(shù)據(jù)信號(hào)而獲取流量信息[5]。流量探針比較適合在匯聚層或接入層的某些重要節(jié)點(diǎn)實(shí)施，可以實(shí)時(shí)將流量信息完全記錄下來(lái)，對(duì)于安全、性能分析非常有效，適用于靶場(chǎng)網(wǎng)絡(luò)內(nèi)關(guān)鍵靶標(biāo)和設(shè)備的流量監(jiān)控。

2.4.4 NetFlow/sFlow 流量監(jiān)測(cè)

NetFlow 技術(shù)在進(jìn)行數(shù)據(jù)交換的同時(shí)對(duì)數(shù)據(jù)流信息進(jìn)行統(tǒng)計(jì)，并將統(tǒng)計(jì)信息以特定的格式輸出[6]；sFlow 是基于采樣的技術(shù)，用于監(jiān)控和統(tǒng)計(jì)數(shù)據(jù)網(wǎng)絡(luò)上交換機(jī)或路由器流量轉(zhuǎn)發(fā)狀況。兩種技術(shù)相結(jié)合，可實(shí)現(xiàn)靶場(chǎng)網(wǎng)絡(luò)流量的監(jiān)測(cè)。

2.5 數(shù)據(jù)采集網(wǎng)關(guān)設(shè)計(jì)

數(shù)據(jù)采集網(wǎng)關(guān)，提供了采集控制模塊、帶外傳輸模塊以及數(shù)據(jù)轉(zhuǎn)發(fā)模塊，通過(guò)配置采集源及認(rèn)證方式、采集技術(shù)、業(yè)務(wù)類型、采集項(xiàng)、采集頻率等，配合下發(fā)管理端控制命令，最后將采集的數(shù)據(jù)轉(zhuǎn)發(fā)至數(shù)據(jù)預(yù)處理網(wǎng)關(guān)和存儲(chǔ)模塊。

2.5.1 帶外傳輸通道

帶外傳輸通道是一種虛擬靶標(biāo)和宿主機(jī)之間的帶外傳輸?shù)耐ㄓ嶆溌?，主要用于虛擬靶標(biāo)系統(tǒng)的代理和數(shù)據(jù)采集網(wǎng)關(guān)之間的數(shù)據(jù)傳輸。其采用Virtio 技術(shù)，優(yōu)化了傳統(tǒng)I/O 內(nèi)核態(tài)與用戶態(tài)頻繁切換，減少了虛擬機(jī)和宿主機(jī)陷入陷出的性能開銷。Virtio 是一種標(biāo)準(zhǔn)的半虛擬化I/O 設(shè)備模型，相對(duì)于普通的虛擬化I/O 模型，I/O性能有數(shù)倍的提升，為數(shù)據(jù)采集提供了一條完美的帶外傳輸通道。

2.5.2 采集控制模塊

采集控制模塊提供了配置采集源及認(rèn)證方式、采集技術(shù)、業(yè)務(wù)類型、采集項(xiàng)、采集頻率，同時(shí)實(shí)現(xiàn)了管理端控制命令的下發(fā)，指導(dǎo)數(shù)據(jù)采集代理、標(biāo)準(zhǔn)協(xié)議采集器進(jìn)行數(shù)據(jù)采集，實(shí)現(xiàn)了靶標(biāo)數(shù)據(jù)的細(xì)粒度多維度數(shù)據(jù)采集控制。通過(guò)配置流量采集的源與目的對(duì)象，指導(dǎo)流量數(shù)據(jù)采集器對(duì)之間的鏈路流量數(shù)據(jù)進(jìn)行采集。

2.5.3 數(shù)據(jù)轉(zhuǎn)發(fā)模塊

在轉(zhuǎn)發(fā)采集數(shù)據(jù)到預(yù)處理網(wǎng)關(guān)之前，使用任務(wù)ID 和靶標(biāo)ID 封裝采集數(shù)據(jù)，標(biāo)識(shí)采集數(shù)據(jù)的源頭，與攻防場(chǎng)景任務(wù)相關(guān)聯(lián)，為后續(xù)數(shù)據(jù)分析提供支撐。

在控制能力上，可實(shí)現(xiàn)轉(zhuǎn)發(fā)速率、轉(zhuǎn)發(fā)模式、斷點(diǎn)續(xù)傳、啟動(dòng)/停止、暫停/恢復(fù)等靈活控制。

3 結(jié)語(yǔ)

針對(duì)如何實(shí)現(xiàn)低侵入、實(shí)時(shí)、準(zhǔn)確、全面的采集靶場(chǎng)數(shù)據(jù)，本文設(shè)計(jì)了一套多維數(shù)據(jù)采集框架方案，多種采集方式相結(jié)合，實(shí)現(xiàn)了對(duì)靶場(chǎng)內(nèi)虛擬靶標(biāo)、實(shí)體靶標(biāo)、靶標(biāo)流量的全面覆蓋采集，具有高擴(kuò)展性、高靈活性、低侵入性、抗干擾性強(qiáng)等特點(diǎn)，實(shí)現(xiàn)了預(yù)定的功能，達(dá)到了預(yù)期的效果，有力支撐了靶場(chǎng)業(yè)務(wù)數(shù)據(jù)分析和智能決策，從而為靶場(chǎng)網(wǎng)絡(luò)安全決策提供重要依據(jù)。