建設(shè)電力企業(yè)物聯(lián)網(wǎng)安全仿真靶場研究

◆郭永和 閆龍川 陳智雨 趙子巖 李妍

建設(shè)電力企業(yè)物聯(lián)網(wǎng)安全仿真靶場研究

◆郭永和 閆龍川 陳智雨 趙子巖 李妍

（國家電網(wǎng)有限公司信息通信分公司 北京 100761）

隨著國際形勢的變化，近年來以網(wǎng)絡(luò)戰(zhàn)為目的網(wǎng)絡(luò)安全事件層出不窮，高級持續(xù)性威脅成為新常態(tài)，大規(guī)模的網(wǎng)絡(luò)安全仿真技術(shù)研究成為當(dāng)前安全領(lǐng)域的研究熱點和重點。電力系統(tǒng)作為國家關(guān)鍵基礎(chǔ)設(shè)施，是網(wǎng)絡(luò)空間戰(zhàn)場的首要目標(biāo)，承受著巨大的網(wǎng)絡(luò)安全壓力。本文從研究現(xiàn)狀、關(guān)鍵技術(shù)等方面探討了電力企業(yè)泛在物聯(lián)網(wǎng)網(wǎng)絡(luò)安全仿真靶場的建設(shè)思路，為下一步實際的開發(fā)建設(shè)提供參考意見。

網(wǎng)絡(luò)安全；物聯(lián)網(wǎng)；靶場；自動化

隨著技術(shù)的進(jìn)步，傳統(tǒng)的信息網(wǎng)絡(luò)已由單純的計算機(jī)互聯(lián)網(wǎng)發(fā)展到了泛在物聯(lián)網(wǎng)網(wǎng)絡(luò)空間，網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜化、邊界模糊化。隨著國際形勢的變化，針對能源、金融、通信等關(guān)鍵基礎(chǔ)設(shè)施的高級持續(xù)性威脅攻擊成了國家間網(wǎng)絡(luò)戰(zhàn)的主要形式[1-3]。以WannaCry勒索病毒和烏克蘭Black Energy病毒為代表的新一代網(wǎng)絡(luò)安全威脅的出現(xiàn)，標(biāo)志著互聯(lián)網(wǎng)上的攻防進(jìn)入了一個新的階段。網(wǎng)絡(luò)靶場是針對網(wǎng)絡(luò)攻防演練和網(wǎng)絡(luò)新技術(shù)評測的重要基礎(chǔ)設(shè)施，可為國防及安全部門研究網(wǎng)絡(luò)攻防技術(shù)、進(jìn)行網(wǎng)絡(luò)攻防試驗、驗證攻防工具效果、攻防演練對抗等提供平臺支持。世界主要國家對網(wǎng)絡(luò)靶場建設(shè)給予了高度的重視，將其作為開展網(wǎng)絡(luò)安全試驗提供準(zhǔn)實際環(huán)境的重要手段，為各類網(wǎng)絡(luò)技術(shù)、攻防手段和系統(tǒng)安全性提供定量和定性的評估，進(jìn)而用來提升網(wǎng)絡(luò)與信息系統(tǒng)的安全性和穩(wěn)定性。

1 網(wǎng)絡(luò)安全靶場研究現(xiàn)狀

網(wǎng)絡(luò)安全攻防范圍已成為進(jìn)行網(wǎng)絡(luò)空間安全研究、測試、驗證和演練的核心基礎(chǔ)架構(gòu)。2009年，美國國防部高級研究計劃局（DARPA）領(lǐng)導(dǎo)建成了國家網(wǎng)絡(luò)靶場（NCR）。NCR通過構(gòu)建可伸縮的互聯(lián)網(wǎng)絡(luò)模型來實現(xiàn)網(wǎng)絡(luò)戰(zhàn)推演，具備對不同等級環(huán)境下的計算機(jī)網(wǎng)絡(luò)進(jìn)行防御保護(hù)、信息收集、攻擊測試的能力。NCR能夠高度仿真國家級攻防對抗，并且可用來開發(fā)與部署創(chuàng)新性網(wǎng)絡(luò)測試。2014年，由日本情報通信研究機(jī)構(gòu)（NICT）主導(dǎo)研制第三代“星平臺（StarBed）”建成。StarBed于2002開始建設(shè)，完全基于虛擬機(jī)構(gòu)建虛擬網(wǎng)絡(luò)，可支持幾千節(jié)點規(guī)模的網(wǎng)絡(luò)部署及執(zhí)行，提供大規(guī)模的網(wǎng)絡(luò)試驗環(huán)境用于評估真實場景下的新技術(shù)、研究安全性和服務(wù)質(zhì)量，構(gòu)建安全的信息物理系統(tǒng)和擴(kuò)展復(fù)雜信息網(wǎng)絡(luò)的的方法。加拿大CASELab靶場由維多利亞大學(xué)設(shè)計開發(fā)。該平臺可以提供網(wǎng)絡(luò)安全、密碼學(xué)、分布式計算等領(lǐng)域的核心研究能力，并提供系統(tǒng)分析和仿真工具，可實現(xiàn)對實際大規(guī)模網(wǎng)絡(luò)系統(tǒng)進(jìn)行行為建模，進(jìn)而支持對互聯(lián)網(wǎng)的新技術(shù)的鑒定和評估。 2010年，英國國防部推出了“聯(lián)邦網(wǎng)絡(luò)安全靶場”。該項目將現(xiàn)有網(wǎng)絡(luò)靶場整合到一個網(wǎng)絡(luò)實驗平臺中，實現(xiàn)在安全和可控制的實驗條件下仿真網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)防御行為，進(jìn)而評估各種系統(tǒng)與網(wǎng)絡(luò)的安全性。2015年7月，歐洲的EDA靶場項目的開始建設(shè)。另外，俄羅斯、德國、澳大利亞、以色列等國也在積極開展相關(guān)方面的研究，在國家戰(zhàn)略層將網(wǎng)絡(luò)安全上升為國家戰(zhàn)略，在軍隊成立網(wǎng)絡(luò)戰(zhàn)司令部，組建相當(dāng)規(guī)模的網(wǎng)絡(luò)戰(zhàn)部隊，推進(jìn)網(wǎng)絡(luò)靶場及相關(guān)基礎(chǔ)設(shè)施建設(shè)，開展各種網(wǎng)絡(luò)戰(zhàn)訓(xùn)練、演習(xí)，并形成了網(wǎng)絡(luò)戰(zhàn)實戰(zhàn)能力。發(fā)達(dá)國家不斷擴(kuò)大和完善其網(wǎng)絡(luò)安全策略，充分利用靶場進(jìn)行各種網(wǎng)絡(luò)技術(shù)評估，為網(wǎng)絡(luò)信息安全分析提供一個安全可控的平臺[4-5]。

國內(nèi)在網(wǎng)絡(luò)靶場建設(shè)工作方面，也有了一定的成果。以哈爾濱工業(yè)大學(xué)、中科院信工所、國防科技大學(xué)、中國電子科技集團(tuán)、北京郵電大學(xué)等為代表的科研院所，在大規(guī)模信息網(wǎng)絡(luò)網(wǎng)絡(luò)仿真、試驗數(shù)據(jù)采集與安全效果評估、用戶行為模擬以及攻防過程可視化等關(guān)鍵技術(shù)方面開展了大量的研究，取得一定的技術(shù)突破和成果積累。商業(yè)公司方面，銀行、保險、電信等行業(yè)，以及百度、騰訊等互聯(lián)網(wǎng)企業(yè)公司均建立了自己的準(zhǔn)生產(chǎn)測試環(huán)境，通過準(zhǔn)生產(chǎn)環(huán)境開展系統(tǒng)版本漏洞挖掘、補(bǔ)丁驗證和階梯上線工作，有效保障了系統(tǒng)的安全性和可靠性。

2 網(wǎng)絡(luò)安全靶場關(guān)鍵技術(shù)

構(gòu)建網(wǎng)絡(luò)安全靶場的關(guān)鍵性難點在于如何構(gòu)建大規(guī)模、高真實的虛擬網(wǎng)絡(luò)，如何精確模擬網(wǎng)絡(luò)流量和用戶行為，以及如何有效的試驗平臺的數(shù)據(jù)從而有效的進(jìn)行效果評估。關(guān)鍵技術(shù)包括多層次虛擬網(wǎng)絡(luò)構(gòu)建體系結(jié)構(gòu)、虛擬網(wǎng)絡(luò)動態(tài)行為仿真技術(shù)、網(wǎng)絡(luò)場景重構(gòu)、網(wǎng)絡(luò)行為監(jiān)控技術(shù)、大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)可視化等方面。

2.1 大規(guī)模網(wǎng)絡(luò)仿真

在大規(guī)模網(wǎng)絡(luò)仿真方面，主要的技術(shù)路線有兩條，分別是基于虛擬化技術(shù)的網(wǎng)絡(luò)模擬和基于仿真模型的模擬。

在基于仿真模型模擬方面，代表性的工具有商業(yè)網(wǎng)絡(luò)仿真軟件OPNET和UC Berkeley 大學(xué)開發(fā)的NS2、NS3網(wǎng)絡(luò)模擬器。這些軟件都是基于并行離散事件的模型，其模型庫中包含了大量的網(wǎng)絡(luò)協(xié)議模型和流量模型，這些模型與現(xiàn)實中真實的網(wǎng)絡(luò)設(shè)備的協(xié)議棧相對應(yīng)，即OSI七層協(xié)議中的物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層、應(yīng)用層等。仿真者根據(jù)需要從模型庫中選取合適的模型進(jìn)行組合，構(gòu)建合適的網(wǎng)絡(luò)模型進(jìn)行仿真。盡管這些軟件能在一定程度上仿真大規(guī)模的網(wǎng)絡(luò)，但是很難滿足精確仿真網(wǎng)絡(luò)流量行為的需求。

基于虛擬化的仿真節(jié)點建模技術(shù)研究如何利用虛擬化技術(shù)構(gòu)建出仿真網(wǎng)絡(luò)中的各類節(jié)點和節(jié)點之間的連接方式，包括仿真主機(jī)、仿真交換機(jī)、仿真路由器等。為網(wǎng)絡(luò)仿真實驗環(huán)境的構(gòu)建提供基礎(chǔ)支持。

主機(jī)、交換機(jī)、路由器是網(wǎng)絡(luò)中的基本元素，在網(wǎng)絡(luò)安全靶場的建設(shè)過程中，需要通過調(diào)研現(xiàn)有的虛擬化技術(shù)，掌握目前主機(jī)、交換機(jī)和路由器虛擬化方面的研究現(xiàn)狀和核心技術(shù)，并研究這三類基本網(wǎng)絡(luò)元素在虛擬化之后的連接方式。動態(tài)路由模擬分系統(tǒng)不僅要能夠很好地支持主機(jī)、交換機(jī)、路由器等通用網(wǎng)絡(luò)設(shè)備，而且要能夠支持各細(xì)粒度的仿真，例如仿真Juniper的某個型號的交換機(jī)、思科的某個型號的路由器等。

大規(guī)模仿真節(jié)點的快速部署，需要提高網(wǎng)絡(luò)仿真環(huán)境構(gòu)建的效率，主要有兩個方面，虛擬機(jī)模板管理和增量硬盤映像文件。通過虛擬機(jī)模板避免每創(chuàng)建一個虛擬節(jié)點就需要安裝一次操作系統(tǒng)的時間開銷，通過增量硬盤映像文件可以有效利用磁盤空間減小平均每個虛擬節(jié)點的硬盤開銷。

2.2 網(wǎng)絡(luò)流量模擬

在網(wǎng)絡(luò)流量行為模擬方面，面臨主要挑戰(zhàn)在于大規(guī)模網(wǎng)絡(luò)流量采集和回放。著重研究真實網(wǎng)絡(luò)流量在虛擬網(wǎng)絡(luò)中的復(fù)現(xiàn)技術(shù)，為虛擬網(wǎng)絡(luò)提供真實的背景流量；并設(shè)計網(wǎng)絡(luò)流量的按需回放機(jī)制，提供面向任意網(wǎng)絡(luò)在任意時刻的流量復(fù)現(xiàn)能力。Tcpreplay是目前應(yīng)用最為廣泛的流量回放工具，其在鏈路層按序回放流量，而忽視上層協(xié)議細(xì)節(jié)[6]。近期研究工作多針對上層協(xié)議的流量重放，例如Wireplay回放4層以上的數(shù)據(jù)包，Monkey關(guān)注HTTP協(xié)議，ProxyReplay系統(tǒng)則以應(yīng)用層協(xié)議為目標(biāo)[7-9]。近年來，隨著網(wǎng)絡(luò)虛擬化技術(shù)的出現(xiàn)，部分工作針對基于OpenFlow協(xié)議的軟件定義網(wǎng)絡(luò)開展了流量回放研究。

采用數(shù)據(jù)包級、流級混合流量模型進(jìn)行網(wǎng)絡(luò)流量模擬是解決網(wǎng)絡(luò)模擬效率和真實性之間矛盾的典型而有效的解決方案。對于用戶關(guān)注度高的網(wǎng)絡(luò)流量進(jìn)行細(xì)粒度的數(shù)據(jù)包級模擬，最大限度的保證了用戶關(guān)注的網(wǎng)絡(luò)行為的模擬真實性；對用戶關(guān)注度較低的網(wǎng)絡(luò)流量進(jìn)行較粗粒度的流級模擬，又能夠在保證一定模擬真實性的基礎(chǔ)上，盡可能提升模擬的整體性能。而兩種流量模型的共存，必然會存在二者之間的交互，從而引入二者之間的相互關(guān)聯(lián)和相互影響。如何準(zhǔn)確反映出兩種流量模型之間的交互過程，是保證網(wǎng)絡(luò)模擬整體性能和真實性的關(guān)鍵因素。

2.3 試驗數(shù)據(jù)采集與效果評估

試驗數(shù)據(jù)采集技術(shù)通過對虛擬節(jié)點后端網(wǎng)絡(luò)接口進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)偵聽實時獲取虛擬網(wǎng)絡(luò)內(nèi)部任意時刻任意位置的網(wǎng)絡(luò)行為數(shù)據(jù)并導(dǎo)出。在信息采集能力方面，細(xì)粒度網(wǎng)絡(luò)行為采集能夠適應(yīng)虛擬節(jié)點的動態(tài)啟動、關(guān)閉等特點，實時自動化調(diào)整采集點的部署位置，并能夠在運行過程中動態(tài)更新采集策略；在采集粒度方面，支持針對節(jié)點的不同網(wǎng)絡(luò)接口進(jìn)行細(xì)粒度的網(wǎng)絡(luò)行為檢（監(jiān)）測以及網(wǎng)絡(luò)流量獲取。虛擬節(jié)點通過前端網(wǎng)絡(luò)設(shè)備發(fā)送的數(shù)據(jù)包都需要轉(zhuǎn)發(fā)至相應(yīng)的后端網(wǎng)絡(luò)設(shè)備，最后經(jīng)過虛擬網(wǎng)橋通過真實的物理網(wǎng)卡發(fā)送到網(wǎng)絡(luò)中。在虛擬節(jié)點啟動過程中，通過獲取前端網(wǎng)絡(luò)接口與后端網(wǎng)絡(luò)接口的對應(yīng)關(guān)系，即能夠采用帶外采集方式對虛擬網(wǎng)絡(luò)內(nèi)部的網(wǎng)絡(luò)行為進(jìn)行獲取。同時獲取前端網(wǎng)絡(luò)接口與后端網(wǎng)絡(luò)接口的對應(yīng)關(guān)系，亦能夠?qū)θ我馓摂M節(jié)點的任意網(wǎng)絡(luò)接口進(jìn)行細(xì)粒度的網(wǎng)絡(luò)行為采集。

細(xì)粒度網(wǎng)絡(luò)行為采集技術(shù)利用數(shù)據(jù)包協(xié)議之間的層次性關(guān)系，創(chuàng)建檢測規(guī)則樹，通過操作樹形結(jié)構(gòu)實現(xiàn)信息采集需求的動態(tài)更新。檢測規(guī)則樹主要由三個重要結(jié)構(gòu)組成，分別為協(xié)議頭、規(guī)則頭以及規(guī)則體，其中協(xié)議頭是不同數(shù)據(jù)包協(xié)議在規(guī)則檢測樹中的起始位置，規(guī)則頭存儲了信息采集需求中的相應(yīng)數(shù)據(jù)包協(xié)議的包頭信息，規(guī)則體包含信息采集需求中數(shù)據(jù)包的載荷內(nèi)容、響應(yīng)動作以及其他附加檢測規(guī)則等，從樹根結(jié)點到某規(guī)則體結(jié)點的路徑，即是一條完整的信息采集規(guī)則。

3 構(gòu)建泛在物聯(lián)網(wǎng)安全仿真靶場

隨著互聯(lián)網(wǎng)新技術(shù)的發(fā)展，網(wǎng)絡(luò)規(guī)模和用戶數(shù)日益增長，網(wǎng)絡(luò)攻擊、信息竊取、病毒傳播等安全問題非常突出，每年的經(jīng)濟(jì)損失十分嚴(yán)重。當(dāng)前，國家層面高度重視信息安全工作，積極開展網(wǎng)絡(luò)安全新技術(shù)研發(fā)，但仍存在一些問題：1）現(xiàn)有網(wǎng)絡(luò)環(huán)境難以支撐全面的網(wǎng)絡(luò)攻防試驗；2）生產(chǎn)網(wǎng)絡(luò)試驗導(dǎo)致運營業(yè)務(wù)的不穩(wěn)定；3）真實網(wǎng)絡(luò)環(huán)境中測試評估易受人為因素干擾。為了有效解決這些問題，構(gòu)建接近真實網(wǎng)絡(luò)信息系統(tǒng)運行環(huán)境的網(wǎng)絡(luò)安全仿真環(huán)境建設(shè)被提出。考慮到各行業(yè)的差異性，各行業(yè)需要針對本行業(yè)的特點搭建網(wǎng)絡(luò)安全試驗和培訓(xùn)平臺，基于業(yè)務(wù)屬性開展網(wǎng)絡(luò)信息安全演練。網(wǎng)絡(luò)靶場的研究成果可有效提高企業(yè)從事網(wǎng)絡(luò)安全人員的安全意識與能力，進(jìn)而避免企業(yè)運營中遭受因網(wǎng)絡(luò)安全導(dǎo)致的經(jīng)濟(jì)損失和安全事故。

以電力行業(yè)為例，電力信息通信系統(tǒng)中存在大量工控設(shè)備及物聯(lián)網(wǎng)專用設(shè)備，如RTU、PLC、智能配電終端、智能電表、集中器、安監(jiān)視頻監(jiān)控系統(tǒng)等。近幾年，又出現(xiàn)了無人機(jī)、巡線機(jī)器人等新型智能裝備。這些專用設(shè)備難以通過虛擬化的方式在網(wǎng)絡(luò)安全靶場中進(jìn)行模擬，因此構(gòu)建泛在物聯(lián)網(wǎng)靶場的過程中，需要考慮將實物接入靶場中。

這項技術(shù)的實現(xiàn)必然需要引入其他的軟硬件，最終形成一項專用設(shè)備，在網(wǎng)絡(luò)安全靶場中稱為實物設(shè)備統(tǒng)一接入接口。該接口的一側(cè)有幾排端口，用于連接實物設(shè)備，另一側(cè)也有幾排端口，用于連接網(wǎng)絡(luò)仿真平臺的設(shè)備接入?yún)^(qū)。實物設(shè)備統(tǒng)一接入接口兩側(cè)的端口之間的連接方式可以通過對該接口編程的方式任意改變。這樣就可以達(dá)到在不改變實物設(shè)備物理連接的情況下，完成實物設(shè)備在不同虛擬網(wǎng)絡(luò)環(huán)境的自動接入。

在網(wǎng)絡(luò)仿真平臺中構(gòu)建的虛擬網(wǎng)絡(luò)是完全可監(jiān)控的，也就是說虛擬網(wǎng)絡(luò)中任意節(jié)點上發(fā)生的安全事件都能被檢測到，然而實物設(shè)備并不一定內(nèi)嵌可以監(jiān)控其上發(fā)生的所有網(wǎng)絡(luò)安全事件的接口。實物設(shè)備的信息采集探針技術(shù)對不同類型的實物設(shè)備應(yīng)采取不同的措施，對網(wǎng)絡(luò)仿真平臺所支持的實物設(shè)備進(jìn)行分類，一般可以分為提供監(jiān)控接口、提供Syslog系統(tǒng)日志和不提供任何監(jiān)控接口三種。前兩種可以基于實物設(shè)備提供的接口進(jìn)行編程實現(xiàn)對設(shè)備的監(jiān)控，最后一種只能針對具體的設(shè)備編寫探針程序進(jìn)行監(jiān)控。

4 結(jié)語

隨著國際形勢的變化，中美關(guān)系的日趨緊張，網(wǎng)絡(luò)空間安全已經(jīng)被提升到前所未有的戰(zhàn)略高度上。網(wǎng)絡(luò)安全靶場作為驗證網(wǎng)絡(luò)安全新技術(shù)、評估網(wǎng)絡(luò)安全威脅等級、培訓(xùn)網(wǎng)絡(luò)安全專業(yè)人員技能的重要平臺，勢必成為對網(wǎng)絡(luò)安全有著較高要求的企業(yè)的重要建設(shè)項目。將各類專用設(shè)備、物聯(lián)網(wǎng)節(jié)點納入網(wǎng)絡(luò)安全靶場中，也是在網(wǎng)絡(luò)安全靶場建設(shè)中需要重點解決的技術(shù)挑戰(zhàn)。

[1]CHEN P，DESMET L，HUYGENS C. A study on advanced persistent threats[C]. Communications and Multimedia Security-15th International Conference. 2014.

[2]付鈺，李洪成，吳曉平，王甲生. 基于大數(shù)據(jù)分析的APT攻擊檢測研究綜述[J]. 通信學(xué)報，2015.

[3]TANKARD C. Advanced persistent threats and how to monitor and deter them[J]. Network Security，2011.

[4]李欣，高見. 網(wǎng)絡(luò)攻防演練及其現(xiàn)實意義[J]. 中國信息安全，2019.

[5]程靜，雷璟，袁雪芬. 國家網(wǎng)絡(luò)靶場的建設(shè)與發(fā)展[J]. 中國電子科學(xué)研究院學(xué)報，2014.

[6]TCPReplay[EB/OL]. http://tcpreplay.appneta.com/.

[7]Wireplay [EB/OL]. http://code.google.com/p/wireplay/.

[8]CHENG Y.-C.，HOLZLE U.，CARDWELL N.，SAVAGE S.，VOELKER G.M. Monkey see，monkey do：A toolfor TCP tracing and replaying[C]. Proceedings of the 2004 USENIX Annual Technical Conference. 2004.

[9]HUANG C.，LIN Y.，LIAO P.，LAI Y.，Stateful traffic replay for web application proxies[J]. Security and Communication Networks，2014.