網(wǎng)絡(luò)空間安全實訓平臺的設(shè)計與實現(xiàn)

宣樂飛

【摘 要】云計算技術(shù)具有利用率高、可擴展性強、部署靈活的特點。本平臺采用開源云計算技術(shù)Openstack進行設(shè)計與架構(gòu)。通過綜合管理模塊，對課件、靶機、題庫、模板等資源進行統(tǒng)一管理與維護。使用綜合云管理平臺，對教學實訓、仿真攻防、實戰(zhàn)對抗等功能進行集中監(jiān)控與管理。采用SDN技術(shù)對各種設(shè)備和環(huán)境以圖形化方式進行自由組合，快速生成各種目標場景。同時，通過動態(tài)Flag和異常行為監(jiān)控，保證實訓比賽的公正性，最終為信息安全類專業(yè)開展教學實訓和比賽提供有效的實戰(zhàn)訓練環(huán)境。

【關(guān)鍵詞】網(wǎng)絡(luò)空間安全；云計算；Openstack；SDN

中圖分類號：TP393.08 文獻標識碼：A 文章編號： 2095-2457（2018）08-0036-002

Design and implementation of cyberspace security training platform

XUAN Le-fei

（Information Engineering Institute， Hangzhou Vocational & Technical College， Hangzhou， Zhejiang 310018， China）

【Abstract】Cloud computing technology has the characteristics of high utilization， scalability and flexible deployment. The platform is designed and constructed by open source cloud computing technology Openstack. Through the comprehensive management module of the courseware and drone database template and other resources for unified management and maintenance. The integrated cloud management platform is used for centralized monitoring and management of teaching practice， simulation attack and defense， actual combat and other functions. SDN technology is used to freely assemble various devices and environments in graphical ways， and generate various target scenes quickly. At the same time， through dynamic Flag and abnormal behavior monitoring， to ensure the fairness of the training competition， and ultimately provide effective training and training environment for the cyber security specialty.

【Key words】Cyberspace security； Cloud computing； Openstack； SDN

0 引言

網(wǎng)絡(luò)空間安全是國家安全的重要組成部分，已經(jīng)上升到與政治安全、經(jīng)濟安全、領(lǐng)土安全等并駕齊驅(qū)的戰(zhàn)略高度?！熬W(wǎng)絡(luò)空間的競爭，歸根結(jié)底是人才競爭?！?然而，在網(wǎng)絡(luò)安全課程實際教學過程中，各院校普遍存在網(wǎng)絡(luò)硬件建設(shè)成本過高、安全攻防環(huán)境落后等問題，不能有效滿足課堂教學與實訓的要求。

1 網(wǎng)絡(luò)空間安全實訓平臺存在問題分析[1]

自從伊朗震網(wǎng)病毒和斯諾登事件后，國家之間的信息化戰(zhàn)愈演愈烈。為應(yīng)對網(wǎng)絡(luò)安全與信息化戰(zhàn)爭的攻擊，許多國家都開始建立網(wǎng)絡(luò)武器訓練場-“靶場”。美國國防高級研究計劃局在2008年開始“國家網(wǎng)絡(luò)靶場”項目建設(shè)。英國首個商用聯(lián)合賽博實驗靶場——漢姆工廠由諾格公司于2010年正式成立。

而國內(nèi)的網(wǎng)絡(luò)攻防平臺建設(shè)相對比較滯后。部分平臺借助傳統(tǒng)網(wǎng)絡(luò)技術(shù)完成平臺的架構(gòu)，設(shè)施設(shè)備投入高，部署難度大，管理困難。同時，傳統(tǒng)網(wǎng)絡(luò)環(huán)境受限與網(wǎng)絡(luò)廠商，技術(shù)更新慢，對于新型攻擊的響應(yīng)速度更慢，這樣勢必會影響對于新型網(wǎng)絡(luò)攻擊的研究，也無法做好有效的防御。為解決上述問題，部分廠商使用專用設(shè)備通過虛擬化技術(shù)搭建實訓環(huán)境，部分解決了硬件資源價格高的問題，但也存在二次開發(fā)困難，平臺更新、擴展與遷移不便的問題。

2 網(wǎng)絡(luò)空間安全實訓平臺關(guān)鍵技術(shù)研究

2.1 云計算技術(shù)

云計算是分布式計算、并行計算、效用計算、網(wǎng)絡(luò)存儲、虛擬化、負載均衡等傳統(tǒng)計算機和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物[2]。亞馬遜、微軟、谷歌、阿里等互聯(lián)網(wǎng)巨頭均推出了各自的商用云計算平臺。對于網(wǎng)絡(luò)空間安全實訓平臺，使用商業(yè)平臺存在很多安全風險，而開源云計算管理平臺由于其標準化和開放性，同時能夠提高資源的統(tǒng)一管理與利用效率，是構(gòu)建實訓平臺的理想選擇。OpenStack是最著名的開源云計算管理平臺，其以Apache許可證授權(quán)的自由軟件和開放源代碼項目，支持絕大部分類型的云環(huán)境，也便于用戶進行二次開發(fā)[3]。

本平臺在實現(xiàn)過程中，使用Nova、Neutron和Cinder模塊完成實訓平臺（網(wǎng)絡(luò)靶場）的構(gòu)建。分布式存儲環(huán)境的搭建則使用Swift模塊這一可擴展的對象存儲系統(tǒng)。而虛擬機的注冊、創(chuàng)建與使用等則通過Glance模塊完成。平臺的用戶、角色管理與權(quán)限分配則有Keystone模塊完成。通過該設(shè)計，完成實訓平臺的快速部署與實施，同時滿足攻防場景的快速切換。

2.2 SDN技術(shù)

SDN（軟件定義網(wǎng)絡(luò)）是網(wǎng)絡(luò)虛擬化的一種實現(xiàn)方式[4]。通過openflow技術(shù)，網(wǎng)絡(luò)空間安全實訓平臺將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離，實現(xiàn)網(wǎng)絡(luò)流量的靈活控制。管理員或者用戶可以通過SDN技術(shù)，將各種網(wǎng)絡(luò)設(shè)備以圖形化的方式進行自由組合，生成各種網(wǎng)絡(luò)靶場環(huán)境，達到模擬各種真實網(wǎng)絡(luò)拓撲或者目標場景的功能。

2.3 防作弊技術(shù)

國內(nèi)對信息安全重視程度與日俱增，各項信息安全類競賽層出不窮，其中CTF在線競賽模式是最常見的比賽方式。不管是解題模式、攻防模式還是混合模式，均以選手提交正確的Flag為判斷的依據(jù)。為了防止選手通過非正常途徑獲取Flag，本平臺采用多種防作弊技術(shù)進行控制，保證比賽的公平與公正。

（1）動態(tài)Flag

傳統(tǒng)平臺中，每一賽題的Flag是唯一的，可能被用戶非法獲取。而采用動態(tài)Flag方式，則可以避免該問題的產(chǎn)生。其具體工作原理如下：用戶發(fā)出做題申請后，系統(tǒng)自動生成一個動態(tài)Flag并保存。將該動態(tài)Flag替換賽題中的對應(yīng)信息，保證不同用戶對同一個題目或者同一個用戶對不同的題目均擁有不同的Flag。用戶完成賽題提交Flag后，與服務(wù)器端保存的Flag進行匹配，判斷是否得分。為保證Flag的唯一性，可以將用戶名、習題信息和時間戳等關(guān)鍵信息進行加密處理，生成相應(yīng)的字符串。

（2）異常行為監(jiān)控

除了非法獲取Flag，非法獲取解題思路更加隱蔽。需要平臺通過監(jiān)控選手比賽過程中的異常行為，結(jié)合大數(shù)據(jù)進行分析。本平臺會記錄比賽選手的IP地址、參賽token、解題路徑、提交時間等特征數(shù)據(jù)，對IP地址異變、答題異常等提出報警并記錄日志，一方面為現(xiàn)場裁判評判提供相關(guān)證據(jù)支持，同時也便于后續(xù)的大數(shù)據(jù)分析。

3 網(wǎng)絡(luò)空間安全實訓平臺的主要功能

網(wǎng)絡(luò)空間安全實訓平臺由攻防實戰(zhàn)和綜合管理兩大模塊組成。其中，攻防實戰(zhàn)模塊主要提供教學實訓、仿真攻防、實戰(zhàn)對抗等主要功能。而綜合管理模塊提供對于課程、靶機、題庫、模板等管理與維護。整個平臺通過綜合管理云平臺IMCP進行統(tǒng)一管理。

在教學實訓功能中，設(shè)置了涵蓋主機安全、網(wǎng)絡(luò)安全、數(shù)據(jù)庫安全、應(yīng)用安全、物聯(lián)網(wǎng)安全等的相關(guān)課程，并輔以相應(yīng)的實訓項目，讓學習者可以根據(jù)自身需求，進行個性化的選擇。項目難度按照初、中、高進行分類，學習者可以通過層級化的學習，逐步提高能力。

在仿真攻防功能中，主要通過SDN技術(shù)實現(xiàn)虛擬網(wǎng)絡(luò)環(huán)境的快速搭建，學習者可以在該仿真環(huán)境中進行攻防滲透測試，提高平臺的使用安全性。

在實戰(zhàn)對抗功能中，平臺可以搭建真實的企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)或者外部互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)場景，通過個人或者分組等方式進行對抗比賽。比賽過程可通過平臺進行可視化實時展示，提高了趣味性和觀賞性。通過攻防對抗，可以讓學習者發(fā)現(xiàn)企業(yè)業(yè)務(wù)系統(tǒng)中存在的真實問題，進而分析解決辦法。

4 網(wǎng)絡(luò)空間安全實訓平臺的應(yīng)用

以完成SQL注入實訓項目為例。學習者可以先進入平臺，選取相應(yīng)的實訓項目。在實訓項目中包含有相關(guān)的實訓要求和步驟。接著學習者創(chuàng)建相應(yīng)的實訓環(huán)境。系統(tǒng)會根據(jù)該實訓的環(huán)境，選擇對應(yīng)的模板生成相關(guān)的靶機資源。由于采用云技術(shù)，平臺生成單個靶機的時間為8秒左右。批量生成100個靶機的平均時間為30秒左右。因此，教師現(xiàn)場為全班同學開展相關(guān)實訓也不存在太大的問題。最后，學習者根據(jù)實訓步驟，完成相關(guān)的實訓操作。針對社會學習者的不連續(xù)學習需求，平臺會保留該靶機6小時，并可以手工延長時間或提前銷毀。如果實訓時間結(jié)束后，系統(tǒng)會自動釋放靶機，回收相關(guān)資源，提高資源的使用效率。

5 結(jié)束語

通過云計算技術(shù)，本平臺可以節(jié)約用戶50%左右的前期硬件投入。高?？衫米陨淼挠布Y源，進行平臺的建設(shè)工作。同時，通過一次規(guī)劃，分批采購的方式，保證平臺具有足夠的彈性和可擴展性，實現(xiàn)硬件的可兼容性和軟件的及時更新性。通過該方式，減輕了使用者設(shè)備維護與教學管理的壓力，為專業(yè)人才培養(yǎng)提供了有力的支撐。

【參考文獻】

[1]康辰，朱志祥.基于云計算平臺的網(wǎng)絡(luò)攻防實驗平臺[J].西安郵電大學學報，2013，18（3）：87-91.

[2]張力，周漢清.基于云計算技術(shù)的網(wǎng)絡(luò)安全攻防實驗平臺設(shè)計[J].軟件導(dǎo)刊，2015，14（9）：188-191.

[3]葉建鋒，張平安，高月芳.基于Openstack的網(wǎng)絡(luò)攻防實訓平臺設(shè)計與構(gòu)建[J].實驗技術(shù)與管理，2016，33（3）：86-89.

[4]張朝昆，崔勇，唐翯翯，吳建平.軟件定義網(wǎng)絡(luò)（SDN）研究進展[J].軟件學報，2015（01）：62-81.