李春林，徐 銳，魏嘉男，王 冶

（網(wǎng)絡(luò)空間安全四川省重點實驗室，四川 成都 610041）

0 引 言

網(wǎng)絡(luò)安全實驗平臺以其網(wǎng)絡(luò)拓撲可重構(gòu)、網(wǎng)絡(luò)節(jié)點類型可定義、主機支持多配制多系統(tǒng)、虛擬網(wǎng)絡(luò)能夠重現(xiàn)真實網(wǎng)絡(luò)環(huán)境等特點，成為網(wǎng)絡(luò)安全理論研究和技術(shù)發(fā)展的重要支撐手段。美、英、日等網(wǎng)絡(luò)發(fā)達國家先后建立了NCR、BreakingPoint和Starbed等國家級網(wǎng)絡(luò)安全實驗平臺[1-2]，國內(nèi)則有高校和研究院所基于OpenStack等虛擬化平臺建立中小型網(wǎng)絡(luò)安全實驗平臺開展相關(guān)工作[3-4]。

隨著網(wǎng)絡(luò)空間安全教學、實驗等工作的不斷深入開展，網(wǎng)絡(luò)安全實驗平臺發(fā)展面臨包括如何實現(xiàn)實驗過程中復(fù)雜網(wǎng)絡(luò)場景狀態(tài)快速重現(xiàn)、如何實現(xiàn)網(wǎng)絡(luò)行為和背景流量的回溯以及如何在紅藍對抗中快速恢復(fù)到特定對抗狀態(tài)等新問題[5]。針對上述問題，基于場景快照可實現(xiàn)場景狀態(tài)的快速保存和還原，是一種理想的解決手段。當前，在面向網(wǎng)絡(luò)安全實驗平臺的場景快照方面的研究不多，但在磁盤快照、數(shù)據(jù)快照等領(lǐng)域，業(yè)界和學術(shù)界已經(jīng)有大量的研究成果[6-9]。在現(xiàn)有的虛擬機快照解決方案中，李濤等人針對基于事件的數(shù)據(jù)快照生成與恢復(fù)開展研究[10]，可用于提高場景快照的生成控制粒度，但其效率較低，難以滿足快速生成場景快照的要求；鄭婷婷等人提出一種虛擬機快速克隆技術(shù)方案用于解決云計算環(huán)境下大規(guī)模虛擬機快照的快速生成問題[11]；向小佳等人提出基于集群虛擬化的高精度快照的設(shè)計與實現(xiàn)集群虛擬化快照生成性能[12]。上述方案對于研究場景快照的快速生成與恢復(fù)具有重要的價值和意義，但如何解決多個連續(xù)快照生成方面還存在問題。李中等人研究了連續(xù)時間點快照解決方案，提出一種新型的增量快照技術(shù)提升連續(xù)時間點快照問題[13]，但未解決連續(xù)快照的管理問題；胡明昊等人提出一種云環(huán)境下虛擬機集群的扁平化版本方案，基于版本的方式對多虛擬機快照進行管理[14]，可以應(yīng)用于場景快照的管理，但缺乏對版本一致性的討論，因此仍未解決場景快照的一致性問題。

本文在現(xiàn)有解決方案的基礎(chǔ)上，針對面向網(wǎng)絡(luò)安全實驗平臺的一致性場景快照生成問題開展研究。首先就一致性場景快照生成問題進行具體描述，其次提出一種基于中心授時和定時生成快照相結(jié)合的解決方案，并通過對比實驗驗證了方案的有效性。

1 背 景

在現(xiàn)有的網(wǎng)絡(luò)空間安全實驗平臺中，為了更加真實地還原目標場景，在模擬目標場景拓撲、設(shè)備基礎(chǔ)之上，進一步引入業(yè)務(wù)、背景流量和安全事件等模擬內(nèi)容提升真實性[5,15]。在傳統(tǒng)的場景快照解決方案中，僅需要對各個虛擬機做快照，即可保留整個場景中涉及到的主機、網(wǎng)絡(luò)配置等信息，從而實現(xiàn)對場景的還原。隨著背景流量尤其是安全事件的引入，場景中節(jié)點對安全事件的響應(yīng)存在時間上的差異，場景快照的生成必須要考慮這種差異，以確保快照中各節(jié)點狀態(tài)的一致性。

圖1以一個最小化的場景來說明場景一致性問題。該場景包括2個主機節(jié)點、1個事件生成服務(wù)器和1個管理終端。其中，事件生成服務(wù)器通過不斷生成網(wǎng)絡(luò)事件模擬真實網(wǎng)絡(luò)中的普通用戶、攻擊者或安全防護人員產(chǎn)生的事件；管理終端根據(jù)實驗的需要下發(fā)指令生成場景快照。

圖1 事件生成與快照管理

圖2給出了一種可導致快照一致性問題的事件生成和快照產(chǎn)生時間序列圖。假設(shè)管理終端在T1時刻下發(fā)快照生成命令，由于網(wǎng)絡(luò)延遲，節(jié)點1和節(jié)點2將分別在T3和T5時刻響應(yīng)命令生成快照。若在T1和T3之間的T2時刻事件生成器生成事件1，并在T3和T5之間的T4時刻到達節(jié)點1和節(jié)點2，則當快照生成時，節(jié)點1尚未收到事件1，節(jié)點2收到事件1。因此，在場景快照中，節(jié)點1和節(jié)點2的狀態(tài)不一致。當還原場景時，對事件生成器而言已經(jīng)生成了事件1，但節(jié)點1尚未收到事件1。此時，時間生成服務(wù)器如果重新生成事件1，又會導致節(jié)點2重復(fù)響應(yīng)事件1。可見，當產(chǎn)生快照一致性問題時，安全實驗事件的管理將產(chǎn)生沖突。

圖2 事件生成和快照產(chǎn)生時間序列

上述問題的產(chǎn)生主要有2個原因：（1）快照生成的時間差，導致節(jié)點1和節(jié)點2在快照生成前后分別收到事件；（2）事件到達節(jié)點1和節(jié)點2的時間差。本文將著重針對快照生成時間的一致性問題提出解決方案，同時為了簡化問題，后續(xù)章節(jié),將假定事件到達節(jié)點1和節(jié)點2的時間一致，并開展相關(guān)問題的分析和原理闡述。

2 實現(xiàn)原理

針對快照生成時間的一致性問題，可以采用基于中心授時和定時快照的方案。該方案包括中心授時和定時快照生成兩部分，前者用于保證各節(jié)點的時間在同一基準時間上，后者用于確保各節(jié)點在同一時間生成快照。

2.1 場景時間同步

安全實驗平臺以場景為對象，管理其上運行的網(wǎng)絡(luò)安全實驗。各場景相互獨立，因此各場景可以采用獨立的時間同步基準。在圖3的基準時間部署方案中，每個實驗場景包含一個授時中心，場景中的各節(jié)點統(tǒng)一采用授時中心提供基準時間校準本地時間。

圖3 場景內(nèi)時間同步

2.2 定時快照生成原理

有了統(tǒng)一的時間基準，在創(chuàng)建場景快照時，管理終端可以不必直接下發(fā)創(chuàng)建快照命令，通過將快照時間下發(fā)到場景中各節(jié)點即可，各節(jié)點在管理終端下達的時刻執(zhí)行快照創(chuàng)建即可同步生成場景快照。

圖4 基于授時中心的場景快照生成方案

管理終端直接下發(fā)快照命令與下發(fā)創(chuàng)建快照時間的區(qū)別在于，前者由管理終端直接下發(fā)執(zhí)行操作。由于網(wǎng)絡(luò)延時的原因，可能各個節(jié)點接收到的快照時間不一致，但通常延時差距在100 ms以內(nèi)；后者可以很好地克服網(wǎng)絡(luò)延時的問題，通過引入授時中心，可將時間差控制在10 ms以內(nèi)。

2.3 場景快照生成發(fā)方案

結(jié)合授時中心和定時快照，最終給出如圖5所示的基于統(tǒng)一時間基準的場景快照生成方案。

圖5 基于授時中心的場景快照生成方案

實驗平臺場景快照生成和還原的全流程如圖6所示，過程可分為3個階段。

第1階段為準備階段，在創(chuàng)建場景時將為各場景增加一個場景授時中心，場景各節(jié)點將本地時間統(tǒng)一到基準時間，完成時間同步。

第2階段為場景快照生成階段，管理終端根據(jù)場景最大延時時間確定快照生成時間，通常為最大延時加100 ms。比如，T1時刻下發(fā)創(chuàng)建命令，各節(jié)點在T3時刻生成快照，事件1和事件2分別在T2和T4時刻生成，則分別落在快照生成前后，不會產(chǎn)生如圖2所示的一致性問題。

第3階段為場景還原階段，管理終端將場景快照進行還原，整這個實驗場景返回到事件1發(fā)生、事件2未發(fā)生的狀態(tài)。

圖6 場景快照生成流程

3 實驗評估

3.1 實驗環(huán)境

實驗場景采用了8個終端節(jié)點、1個事件生成服務(wù)器、1個授時中心和1個管理終端，共11臺虛擬機分別部署在3臺服務(wù)器上。

實驗采用中心授時的定時場景快照生成方法（部署如圖7所示）與其他兩種場景快照方法進行對比（部署如圖8所示）進行對比。其他兩種場景快照生成方法分別為基于SSH的快照命令直接下達方式和不采用中心授時的定時快照生成方法。

圖7 采用中心授的場景快照生成部署

圖8 不采用中心授時的場景快照生成部署

實驗方法：事件發(fā)生器按照100 ms的間隔生成事件，各節(jié)點接收到事件進行一次寫入操作；當快照生成后，分別對比不同節(jié)點快照中執(zhí)行的操作ID，基于操作ID判斷各節(jié)點快照已經(jīng)執(zhí)行的事件數(shù)。

3.2 實驗結(jié)果

表1的結(jié)果分別為3種快照生成方法生成后快照中的執(zhí)行事件ID。可以看出，有中心授時的場景快照生成方法明顯優(yōu)于其他兩種方式，除了節(jié)點5少執(zhí)行1次，其他均執(zhí)行了390次事件。沒有中心授時的定時快照執(zhí)行的時間較為凌亂，最少的節(jié)點僅執(zhí)行了389次事件，最多的節(jié)點執(zhí)行了402次事件，相差13次；而基于SSH命令進行快照生成的方式則達到了18次事件的相差。

表1 3種不同快照生成方案下的事件執(zhí)行結(jié)果

圖9給出了3種場景快照生成方法的曲線對比圖，可以看出有中心授時的場景快照生成方法曲線很平穩(wěn)，其他兩種方法則出現(xiàn)較大波動。其中，無授時的方法波動性較大，這是由于各節(jié)點時間不一致造成，可見采用中心授時的必要性。快照命令方式則主要由于網(wǎng)絡(luò)延時造成，與宿主的部署相關(guān)。

圖9 不同快照生成方案下執(zhí)行結(jié)果對比

4 結(jié) 語

本方案提出一種面向網(wǎng)絡(luò)安全實驗平臺的一致性場景快照生成方法，通過引入中心授時機制和定時快照生成方法實現(xiàn)場景快照的一致性，對比了基于遠程命令快照和無授時中心的定時快照生成方式。實驗結(jié)果表明，基于中心授時的一致性場景快照生成方法明顯優(yōu)于其他兩種方法。但是需要注意，該方法仍然產(chǎn)生了一次快照的不一致，這種不一致是由于中心事件達到的不一致等原因?qū)е?，在后續(xù)研究中將針對事件的一致性問題開展研究，提出相應(yīng)的解決方案。