程國輝，趙 霓（遼寧郵電規(guī)劃設(shè)計(jì)院有限公司，遼寧沈陽110179）

0 引言

互聯(lián)網(wǎng)的發(fā)展使全球各行各業(yè)的數(shù)據(jù)呈現(xiàn)爆發(fā)式增長和海量聚集的特點(diǎn)，大數(shù)據(jù)平臺(tái)日益成為國家管理、社會(huì)治理、經(jīng)濟(jì)發(fā)展、人民生活的重要基礎(chǔ)設(shè)施。平臺(tái)存放了大量的國家、社會(huì)和企業(yè)數(shù)據(jù)，甚至還有國家敏感部門的靜態(tài)和實(shí)時(shí)數(shù)據(jù)。目前大數(shù)據(jù)平臺(tái)的系統(tǒng)還不能抵抗所有的網(wǎng)絡(luò)定向攻擊，而便利的互聯(lián)網(wǎng)電子數(shù)據(jù)流可以攻擊網(wǎng)絡(luò)的每個(gè)角落。原貴陽市委書記陳剛在面對(duì)龐大的大數(shù)據(jù)產(chǎn)業(yè)園和密集的機(jī)柜設(shè)備時(shí)，曾經(jīng)說過“弱不禁風(fēng)卻感覺良好，重病纏身而渾然不知”。外表規(guī)模巨大的大數(shù)據(jù)體系和脆弱的安全防護(hù)形成了強(qiáng)烈的反差。

國家提出要加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)，強(qiáng)化國家關(guān)鍵數(shù)據(jù)資源保護(hù)能力，增強(qiáng)數(shù)據(jù)安全預(yù)警和溯源能力，切實(shí)維護(hù)廣大人民群眾利益、社會(huì)穩(wěn)定、國家安全，加強(qiáng)網(wǎng)絡(luò)和大數(shù)據(jù)安全研究，保護(hù)大數(shù)據(jù)不受侵?jǐn)_、盜竊，在互聯(lián)網(wǎng)各關(guān)鍵節(jié)點(diǎn)設(shè)置防御阻滯攻擊手段勢(shì)在必行。但互聯(lián)網(wǎng)網(wǎng)絡(luò)空間斗爭比現(xiàn)實(shí)斗爭更加激烈，同樣充滿硝煙。國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2017年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》顯示，我國境內(nèi)感染遠(yuǎn)程控制木馬、僵尸網(wǎng)絡(luò)木馬和流量劫持木馬的主機(jī)數(shù)量分列前3位，分別達(dá)843萬、239萬和30萬臺(tái)主機(jī)。

本文正是基于以上背景，采用“以實(shí)戰(zhàn)化訓(xùn)練增強(qiáng)實(shí)戰(zhàn)化能力，在戰(zhàn)斗中解決戰(zhàn)斗”的思路，提出符合實(shí)際情況的網(wǎng)絡(luò)靶場建設(shè)方案，搭建平時(shí)攻防演練，戰(zhàn)時(shí)主動(dòng)進(jìn)攻的靶場平臺(tái)。

1 網(wǎng)絡(luò)靶場發(fā)展現(xiàn)狀

1.1 國外方案研究

2008年1月，美國率先啟動(dòng)國家賽博靶場項(xiàng)目（NCR——National Cyber Range），建設(shè)目標(biāo)是提供虛擬環(huán)境來模擬真實(shí)的網(wǎng)絡(luò)做攻防，針對(duì)敵對(duì)方做電子攻擊和網(wǎng)絡(luò)攻擊試驗(yàn)，以維護(hù)美國的全球網(wǎng)絡(luò)霸權(quán)，保證在未來網(wǎng)絡(luò)戰(zhàn)爭中掌握絕對(duì)主動(dòng)權(quán)。NCR項(xiàng)目的主要特點(diǎn)如下。

a）完全重現(xiàn)真實(shí)的物理網(wǎng)絡(luò)物理拓?fù)浣Y(jié)構(gòu)，配置有核心、匯聚路由器、三層交換機(jī)、BAS和SR服務(wù)器、防火墻、入侵檢測(cè)設(shè)備、有線無線接入等。

b）通過系統(tǒng)掃描和整理，力圖整理網(wǎng)絡(luò)節(jié)點(diǎn)中各種計(jì)算機(jī)平臺(tái)和網(wǎng)絡(luò)服務(wù)的工作狀態(tài)和關(guān)鍵接口（主要針對(duì)計(jì)算機(jī)系統(tǒng)和硬盤數(shù)據(jù)存儲(chǔ)區(qū)域）。

c）從制度上總結(jié)并分析不同安全意識(shí)等級(jí)網(wǎng)管人員的管理策略、方法以及工作習(xí)慣（主要針對(duì)人員管理和保密習(xí)慣）。

d）將攻防日志形成記錄，根據(jù)所提供的數(shù)據(jù)進(jìn)行處理和分析，將結(jié)果展現(xiàn)給研究人員和指戰(zhàn)員，再次完善系統(tǒng)。

2010年10月，英國國防大臣認(rèn)為網(wǎng)絡(luò)安全已經(jīng)成為國家的重大挑戰(zhàn)，有必要建設(shè)網(wǎng)絡(luò)實(shí)驗(yàn)場。該網(wǎng)絡(luò)靶場由美國軍火商諾·格公司搭建，是第一個(gè)可以用于商業(yè)用途的網(wǎng)絡(luò)靶場。其基本體系結(jié)構(gòu)包括評(píng)估、組件測(cè)試、研發(fā)和訓(xùn)練4個(gè)方面，基本上照搬美國的NCR模式，但對(duì)網(wǎng)絡(luò)仿真模擬進(jìn)行了局部優(yōu)化。

1.2 國內(nèi)方案研究

截至2017年，我國網(wǎng)絡(luò)靶場建設(shè)仍然處于項(xiàng)目研究和起步階段，但是研發(fā)和實(shí)驗(yàn)平臺(tái)已經(jīng)形成一定規(guī)模。依托國內(nèi)部分省市大數(shù)據(jù)平臺(tái)，在部分大學(xué)校園內(nèi)建立了網(wǎng)絡(luò)攻防靶場實(shí)戰(zhàn)競賽平臺(tái)，在封閉的真實(shí)對(duì)抗環(huán)境（包括DMZ區(qū)、數(shù)據(jù)區(qū)、內(nèi)網(wǎng)服務(wù)區(qū)、終端）中開展攻防演練。但是，在國家級(jí)網(wǎng)絡(luò)靶場建設(shè)方面，目前只有貴陽經(jīng)濟(jì)開發(fā)區(qū)著手建設(shè)國家大數(shù)據(jù)安全靶場，其平臺(tái)的主要出發(fā)點(diǎn)，多立足于技術(shù)人員的訓(xùn)練提升，和國際上網(wǎng)絡(luò)實(shí)戰(zhàn)需求相比，還存在一定差距。

本文結(jié)合國外靶場平臺(tái)建設(shè)情況，分析國內(nèi)電信網(wǎng)絡(luò)、大數(shù)據(jù)網(wǎng)絡(luò)架構(gòu)特性和數(shù)據(jù)存儲(chǔ)模式，依據(jù)軟件設(shè)計(jì)模塊理論和人工智能專家系統(tǒng)的知識(shí)模型，提出靶場建設(shè)系統(tǒng)軟件架構(gòu)設(shè)計(jì)思路和架構(gòu)設(shè)想。

2 網(wǎng)絡(luò)架構(gòu)及數(shù)據(jù)存儲(chǔ)

2.1 城域網(wǎng)組網(wǎng)模式

國內(nèi)通信運(yùn)營商網(wǎng)絡(luò)分為骨干網(wǎng)、省網(wǎng)以及城域網(wǎng)。城域網(wǎng)是一個(gè)城市范圍內(nèi)的重要通信網(wǎng)。在網(wǎng)絡(luò)安全的攻防中，最重要、競爭最激烈的部分均在城域網(wǎng)中發(fā)生。城域網(wǎng)均建有核心路由器，用于對(duì)業(yè)務(wù)控制點(diǎn)（SR）和寬帶接入服務(wù)器（BRAS）的匯接。其中，SR主要用于互聯(lián)網(wǎng)專線、行業(yè)應(yīng)用、集團(tuán)虛擬專網(wǎng)的接入，BRAS主要用于公眾用戶的語音、互聯(lián)網(wǎng)、IP?TV等流媒體業(yè)務(wù)的接入。

無論是美國還是英國的靶場攻防系統(tǒng)，均沒有考慮攻擊過程中的截?fù)舴桨?，這就好比飛行的箭雨落在了最后的盾牌上，而沒有在攻擊箭飛行的路途中予以消滅。城域網(wǎng)中易于攻擊的關(guān)鍵部位包括SR和BRAS，在關(guān)鍵部位可以采取特殊的截?fù)舸胧?/p>

現(xiàn)有的城域網(wǎng)架構(gòu)將向SDN架構(gòu)發(fā)展演進(jìn)，SDN將網(wǎng)絡(luò)設(shè)備上的控制權(quán)分離出來，由集中的控制器管理，不再依賴底層網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)、防火墻）。網(wǎng)絡(luò)管理員可以通過編程的方式對(duì)網(wǎng)絡(luò)路由和規(guī)則策略進(jìn)行修改，從而實(shí)現(xiàn)更好的數(shù)據(jù)交換性能。因此，SDN以及相關(guān)的程序設(shè)計(jì)軟件將成為網(wǎng)絡(luò)及大數(shù)據(jù)安全防護(hù)的核心陣地，共同構(gòu)成官方的“陣地戰(zhàn)”體系。

2.2 大數(shù)據(jù)存儲(chǔ)模式

現(xiàn)有的大數(shù)據(jù)中心包括政府部門、大企業(yè)和行業(yè)機(jī)構(gòu)，主要采用以下2種方式進(jìn)行建設(shè)：一是建設(shè)獨(dú)立機(jī)房，配置網(wǎng)絡(luò)和防火墻設(shè)備，建立DMZ區(qū)域；二是將所建設(shè)的服務(wù)器平臺(tái)放置于運(yùn)營商IDC機(jī)房中或者放置于各地政府獨(dú)立建設(shè)的大數(shù)據(jù)中心機(jī)房矩陣機(jī)柜中。無論采用上述哪種方式，均要利用DMZ技術(shù)開發(fā)相應(yīng)的防火墻解決方案。DMZ通常是一個(gè)過濾的子網(wǎng)，它在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造了一個(gè)安全地帶，其網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

DMZ區(qū)域通常包括堡壘主機(jī)、Modem池以及所有的公共服務(wù)器。這些已經(jīng)配置的設(shè)備，需要通過計(jì)算機(jī)軟件進(jìn)行編程，經(jīng)內(nèi)部接口連接到靶場系統(tǒng)中，形成防御體系。

3 網(wǎng)絡(luò)靶場建設(shè)方案

3.1 軟件架構(gòu)總體設(shè)計(jì)

本文在深刻理解國外靶場軟件系統(tǒng)的基礎(chǔ)上，將已經(jīng)建設(shè)于城域網(wǎng)的互聯(lián)網(wǎng)網(wǎng)絡(luò)監(jiān)測(cè)功能、網(wǎng)絡(luò)控制設(shè)備信息、防火墻、入侵檢測(cè)與防御系統(tǒng)（IDS和IPS）、網(wǎng)絡(luò)殺毒、統(tǒng)一威脅管理（UTM）和構(gòu)建于系統(tǒng)上的靶場軟件通過軟硬件平臺(tái)一體化設(shè)計(jì)，形成一個(gè)有力且全方位、靈活反應(yīng)、多層次階梯截?fù)?、“陣地?zhàn)和人民戰(zhàn)爭相結(jié)合”的攻防體系平臺(tái)，其軟件建設(shè)邏輯層次方案如圖2所示。

圖1 常見的大數(shù)據(jù)存儲(chǔ)服務(wù)器DMZ結(jié)構(gòu)

圖2 網(wǎng)絡(luò)靶場攻防軟件體系設(shè)計(jì)框架

攻防操作界面：此部分供攻防演練人員和系統(tǒng)維護(hù)人員使用。從功能上看，為了增加對(duì)敵、對(duì)己的了解，專門設(shè)計(jì)雷達(dá)掃描功能模塊，通過此模塊掃描預(yù)備攻擊地點(diǎn)網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)組成單元、大數(shù)據(jù)所在位置、IP地址規(guī)劃、網(wǎng)絡(luò)協(xié)議等。此項(xiàng)功能在非作戰(zhàn)狀態(tài)下可用來收集情報(bào)，并將相關(guān)信息存儲(chǔ)到網(wǎng)絡(luò)數(shù)據(jù)模型庫中，以備戰(zhàn)時(shí)之需。攻擊模塊分為網(wǎng)絡(luò)攻擊和數(shù)據(jù)攻擊2個(gè)部分，它可以針對(duì)敵方的網(wǎng)絡(luò)安全體系和數(shù)據(jù)服務(wù)器存儲(chǔ)安全體系分別采用對(duì)應(yīng)的工具進(jìn)行攻擊，模擬實(shí)戰(zhàn)。

知識(shí)資源系統(tǒng)：設(shè)置獨(dú)立的日常情報(bào)庫，在和平時(shí)期，收集世界各地的網(wǎng)絡(luò)組網(wǎng)信息，包括網(wǎng)絡(luò)拓?fù)洹⒃O(shè)備種類、路由策略、端口狀態(tài)、關(guān)鍵設(shè)備的漏洞登記等；在日常雷達(dá)掃描中，及時(shí)發(fā)現(xiàn)對(duì)方的有關(guān)數(shù)據(jù)和安全管理信息文檔并不斷更新。

計(jì)算推演系統(tǒng)：引入AI功能，利用神經(jīng)元網(wǎng)絡(luò)系統(tǒng)對(duì)防御和攻擊不斷進(jìn)行演練和學(xué)習(xí)，在模擬實(shí)戰(zhàn)中獲取經(jīng)驗(yàn)，在攻防中不斷進(jìn)步。AI功能讓系統(tǒng)能自主學(xué)習(xí)，從而不斷升級(jí)知識(shí)庫和專家推演系統(tǒng)，并通過輸出報(bào)告的方式供人工檢閱。系統(tǒng)可以根據(jù)預(yù)定攻擊對(duì)象，模擬生成對(duì)方的網(wǎng)絡(luò)環(huán)境，在動(dòng)態(tài)實(shí)時(shí)準(zhǔn)確的模擬環(huán)境下演練攻擊程序。

軟硬件支撐平臺(tái)：不建議采用B/S模式進(jìn)行建設(shè)，應(yīng)直接基于云計(jì)算平臺(tái)，增加系統(tǒng)的可靠性和多CPU運(yùn)行能力，與互聯(lián)網(wǎng)中的SDN/SFN互聯(lián)，與大數(shù)據(jù)中的防火墻、堡壘機(jī)互聯(lián)，并通過對(duì)方已經(jīng)開發(fā)的軟件模塊進(jìn)行互動(dòng)。

遠(yuǎn)程數(shù)據(jù)模塊和遠(yuǎn)程網(wǎng)絡(luò)模塊：兼做網(wǎng)絡(luò)防護(hù)和網(wǎng)絡(luò)進(jìn)攻。作為防御模塊時(shí)，可以存放在網(wǎng)絡(luò)中的關(guān)鍵設(shè)備（如SR、BRAS、CR、OLT）上或集中存放在SDN服務(wù)器上，在數(shù)據(jù)存儲(chǔ)區(qū)域的防護(hù)服務(wù)上運(yùn)行，與網(wǎng)絡(luò)攻防演練系統(tǒng)互動(dòng)；作為進(jìn)攻模塊時(shí)，可以開發(fā)為類似病毒植入軟件，在雷達(dá)掃描發(fā)現(xiàn)漏洞后將該模塊潛伏注入軟件，在戰(zhàn)斗時(shí)呼應(yīng)主體軟件系統(tǒng)的喚醒，從而進(jìn)入工作模式。

3.2 網(wǎng)絡(luò)探測(cè)算法

若將一個(gè)城域網(wǎng)比作一座城池，對(duì)于進(jìn)攻方來說，掌握該城市架構(gòu)和城防系統(tǒng)是取得進(jìn)攻勝利的關(guān)鍵。本套系統(tǒng)的關(guān)鍵技術(shù)是雷達(dá)掃描，而雷達(dá)掃描是通過系統(tǒng)自動(dòng)探測(cè)計(jì)算與人工手段相互補(bǔ)充的模式實(shí)現(xiàn)的。

在城域網(wǎng)的網(wǎng)絡(luò)作戰(zhàn)中，首先要掌握對(duì)方網(wǎng)絡(luò)，策反必要的間諜網(wǎng)元（SPY NetUnit），也叫探子，其主要任務(wù)是發(fā)送目的端口號(hào)為1024～65535的UDP數(shù)據(jù)包，由探測(cè)源S向路由器接口M發(fā)送，利用路由器返回端口不可達(dá)報(bào)文來標(biāo)識(shí)該路由器的各接口（用近端接口標(biāo)識(shí)該路由器，并將其他接口置于該路由器的“其他接口”信息中）。探測(cè)的目標(biāo)包括對(duì)方的出口路由器、匯聚路由器、BRAS、DNS服務(wù)器、FTP路由器、SDN網(wǎng)絡(luò)服務(wù)器等各個(gè)路由器控制的IP地址及端口所在的網(wǎng)段。本系統(tǒng)摒棄了早期基于原始協(xié)議（ping和tra?cert）獲得拓?fù)涞姆椒?，借鑒相對(duì)成熟的基于SNMP的拓?fù)浒l(fā)現(xiàn)算法。這是因?yàn)樵缙谒惴òl(fā)現(xiàn)速度慢，受限條件多，準(zhǔn)確性不高。目前國外如HP公司已經(jīng)開發(fā)出了基于SNMP拓?fù)浒l(fā)現(xiàn)算法的真實(shí)產(chǎn)品，該算法簡單、易實(shí)現(xiàn)，發(fā)現(xiàn)速度快且結(jié)果準(zhǔn)確，缺點(diǎn)是必須有間諜網(wǎng)元或者間諜設(shè)備配合才能獲取到SNMP協(xié)議口令。

探子的培養(yǎng)和策反涉及到病毒和木馬技術(shù)，其中比較容易策反的是網(wǎng)絡(luò)中的計(jì)算機(jī)或服務(wù)器設(shè)備。由于路由器采用嵌入式操作系統(tǒng)或基于UNIX的操作系統(tǒng)，在策反中必須借助人工手段來竊取Profile文件，才能擦除密碼，順利進(jìn)入系統(tǒng)。路由表中包含了豐富的網(wǎng)絡(luò)拓?fù)湫畔?，是網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的邏輯映像。通過分析數(shù)據(jù)包的目的地址和路由表中的網(wǎng)絡(luò)地址，可確定數(shù)據(jù)包的正確流向。分析路由器的部分路由表，可以看出：若交付類型為直接投遞，則可以判斷目的子網(wǎng)與該路由器直連；若交付類型為間接投遞，則此時(shí)下一跳項(xiàng)指向了該路由器直連的下一個(gè)路由器B。然后，通過訪問路由器B的路由表，又可以獲知它的直連網(wǎng)絡(luò)與直連路由器。這樣依此類推進(jìn)行遍歷訪問，最后可生成整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。

先假設(shè)路由器Ri和Rj，通過某2個(gè)接口間接連接，然后判斷該連接是否和路由器Ri、Rj的AFT中已有信息相矛盾。如果找不到矛盾，則這個(gè)連接可能存在；如果矛盾，則這條連接肯定不存在，具體如圖3所示。

圖3 路由器之間端口直連關(guān)系判定算法示意圖

根據(jù)子網(wǎng)內(nèi)路由器之間的間接連接關(guān)系，就可以確定路由器之間的直接連接關(guān)系。設(shè)子網(wǎng)內(nèi)的所有路由器構(gòu)成的集合為G，根據(jù)STP協(xié)議，路由器之間將構(gòu)成一棵樹。任選其中一個(gè)路由器Ri為根，假設(shè)Ri通過n個(gè)端口與其他路由器構(gòu)成間接連接，則可以將GRi構(gòu)成一個(gè)子集，子集中包含n個(gè)元素，每個(gè)元素是與Ri的某個(gè)端口p之間間接連接的路由器的集合，設(shè)為Gp，在Gp中任選一個(gè)路由器Rj，則Rj必然通過某個(gè)端口q和Ri的端口p存在間接連接關(guān)系。如果Ri不通過端口q與Gp中的其他路由器間接連接，則可以判定Ri的端口q與Rj的端口p是直接連接狀態(tài)，這就是AFT利用集合數(shù)學(xué)算法的基本思想。

假設(shè)以R1作為種子，或者作為被策反的設(shè)備，可從其管理信息庫（MIB）中取出每個(gè)路由器的接口地址和子網(wǎng)掩碼，并據(jù)此計(jì)算出各個(gè)子網(wǎng)的子網(wǎng)地址。

假設(shè)X為網(wǎng)絡(luò)中的某個(gè)路由器，則Xi為該路由器的某個(gè)接口，從MIB中取出的路由器Xi的接口地址集合為：IP-SET={x|x∈路由器的接口地址}

從MIB中取出的子網(wǎng)掩碼地址集合為：Mask-SET={y|y∈路由器的子網(wǎng)掩碼}

由于1個(gè)接口地址對(duì)應(yīng)1個(gè)子網(wǎng)掩碼，而且接口地址x與其對(duì)應(yīng)的子網(wǎng)掩碼y兩者邏輯相與可以得到網(wǎng)絡(luò)號(hào) i，即 Xi∈IP-SET 可以唯一確定一個(gè) Yi∈Mask-SET，即 Xi→Yi。

令Zi=Xi&Yi，則Zi即為子網(wǎng)地址集合，設(shè)該集合為Sub-Net。根據(jù)IP地址規(guī)范，可以從子網(wǎng)掩碼推測(cè)可能的IP地址。

綜上，得出計(jì)算可能IP地址的方法。

a）Xi∈IP-SET 唯一確定 Yi∈Mask-SET，即 Xi→Yi。

b）將兩者相與，即Zi=Xi&Yi。

c）根據(jù)子網(wǎng)掩碼得到非零部分的可能值與Zi相加，就可以得到可能IP地址的集合，設(shè)該集合為Gu?seeIP-Set。本系統(tǒng)綜合采用STP算法，借鑒實(shí)際獲得的資料，根據(jù)網(wǎng)管所得到的設(shè)備屬性，采用人工手段對(duì)獲取的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行修正完善。

3.3 進(jìn)攻路徑

如圖4所示，在發(fā)生對(duì)抗時(shí)，根據(jù)策反設(shè)備或者Spy netUnit發(fā)送的IGMP包和MIB獲得的路由表，分析對(duì)方路由器網(wǎng)絡(luò)結(jié)構(gòu)。同理，BRAS設(shè)備的網(wǎng)絡(luò)結(jié)構(gòu)也是可以分析的，通過設(shè)備ID號(hào)，可獲得所有網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)圖。首先進(jìn)攻網(wǎng)絡(luò)路由，以“掐斷”要害部位為目的。一般情況下，對(duì)方的網(wǎng)絡(luò)系統(tǒng)和大數(shù)據(jù)系統(tǒng)較為完善、龐大，因此，一定要保證在最短的時(shí)間內(nèi)讓要害部位“中斷”運(yùn)行，達(dá)到“一劍鎖喉”的目的。其次，要根據(jù)進(jìn)攻目的，進(jìn)行局部細(xì)分區(qū)域進(jìn)攻。獲取并下載所需要的數(shù)據(jù)，必要時(shí)破壞其數(shù)據(jù)，然后對(duì)DMZ區(qū)域進(jìn)行進(jìn)攻。最后，采用枚舉試探進(jìn)攻，根據(jù)已經(jīng)獲取的防護(hù)口令，依次對(duì)路由進(jìn)行循環(huán)攻擊測(cè)試，直至達(dá)到目的為止。由于這種方式耗時(shí)較長，因此，在進(jìn)攻過程中可以靈活依次采用事先設(shè)定好的程序分別進(jìn)行嘗試攻擊。

3.4 方案特點(diǎn)

圖4 網(wǎng)絡(luò)靶場進(jìn)攻路由顯示

與已經(jīng)公開的攻防演練系統(tǒng)相比，本方案具有如下特點(diǎn)。

a）本方案融合已有的網(wǎng)絡(luò)安全技術(shù)和大數(shù)據(jù)存儲(chǔ)安全技術(shù)，完成攻防一體化設(shè)計(jì)。

b）建設(shè)平臺(tái)可以作為區(qū)域級(jí)的軟件設(shè)計(jì)架構(gòu)基礎(chǔ)。

c）將AI引入攻防系統(tǒng)設(shè)計(jì)，系統(tǒng)自動(dòng)建立保護(hù)機(jī)制和對(duì)抗復(fù)雜攻擊能力。

d）本方案增加雷達(dá)掃描功能模塊，在戰(zhàn)時(shí)可以主動(dòng)快速獲取對(duì)方情況；在和平時(shí)期可以用于防御監(jiān)測(cè)，收集整理網(wǎng)絡(luò)上的情報(bào)資源，分類存儲(chǔ)，記錄可攻擊區(qū)域。

3.5 應(yīng)用舉例

目前，基于上述方案的攻防系統(tǒng)已部署在某城市IP城域網(wǎng)內(nèi)進(jìn)行實(shí)戰(zhàn)演練。該市屬于網(wǎng)絡(luò)戰(zhàn)密集地帶，演練采用網(wǎng)絡(luò)靶場模式，系統(tǒng)連接于該市城域網(wǎng)?？紤]到我國的軍事特點(diǎn)，在實(shí)踐中優(yōu)先使用系統(tǒng)的防御功能；探測(cè)系統(tǒng)只作為仿真模擬，沒有實(shí)際投入到對(duì)別國網(wǎng)絡(luò)結(jié)構(gòu)的探測(cè)和攻擊測(cè)試中。

圖5為網(wǎng)絡(luò)雷達(dá)對(duì)抗子系統(tǒng)和網(wǎng)絡(luò)防御子系統(tǒng)在實(shí)際使用中的展現(xiàn)。通過掃描該市的網(wǎng)絡(luò)，可知其自身的安全性為86分，掃描中發(fā)現(xiàn)其中一個(gè)匯聚節(jié)點(diǎn)存在被攻擊的可能性；通過網(wǎng)絡(luò)整理和自修復(fù)，網(wǎng)絡(luò)的對(duì)外防御能力達(dá)到97分，網(wǎng)絡(luò)系統(tǒng)達(dá)成預(yù)定目標(biāo)，防御系統(tǒng)運(yùn)行正常并發(fā)揮作用。為抵御來自其他國家的網(wǎng)絡(luò)攻擊，該系統(tǒng)還需要進(jìn)一步提高安全等級(jí)，尤其是城域網(wǎng)內(nèi)的各種計(jì)算機(jī)和服務(wù)器設(shè)備，需加強(qiáng)漏洞修補(bǔ)，避免成為敵對(duì)國家的探子。

圖5 系統(tǒng)運(yùn)行演示圖

4 未來發(fā)展與展望

網(wǎng)絡(luò)大數(shù)據(jù)攻防演練系統(tǒng)作為我國大數(shù)據(jù)發(fā)展過程中新生事物，一方面承擔(dān)著現(xiàn)有計(jì)算機(jī)網(wǎng)絡(luò)和大數(shù)據(jù)平臺(tái)的安全防護(hù)功能，另一方面也要為將來可能發(fā)生的網(wǎng)絡(luò)戰(zhàn)爭做好鋪墊準(zhǔn)備。在日常的網(wǎng)絡(luò)安全學(xué)習(xí)和培訓(xùn)中，攻防演練系統(tǒng)也可以作為基礎(chǔ)知識(shí)學(xué)習(xí)和實(shí)踐平臺(tái)，幫助學(xué)員進(jìn)一步熟悉FTP服務(wù)器攻擊、木馬查殺、IIS溢出攻擊、防洪水flood攻擊等。網(wǎng)絡(luò)和數(shù)據(jù)安全工作嚴(yán)格來說，只有起點(diǎn)沒有終點(diǎn)。互聯(lián)網(wǎng)大數(shù)據(jù)攻防體系需要不斷演練、完善和補(bǔ)充，才能在未來的信息化戰(zhàn)爭中成為真正的網(wǎng)絡(luò)長城。