常德显 杨英杰 刘育楠

战略支援部队信息工程大学 河南郑州 450000

2016年，《国家网络空间安全战略》发布，强调“没有网络安全就没有国家安全”，网络安全的重要性和意义不断得到提升。为有效加强信息系统安全，目前我国已形成从各大高校、研究机构到企业厂商、政府机关产学研一体化信息安全人才培养链，网络攻防对抗是培养高质量信息安全人才的关键内容。

目前，网络攻防相关教学过程中缺乏有效的实践环境与实战平台，建立相对完善的网络攻防实验室需要成本高昂、系统复杂的网络环境和设备，不仅教学实施难，教学效果也不佳，不利于网络攻防对抗能力培养。因此，亟须为网络攻防对抗教学提供实战化、定制化平台，为快速提升网络对抗能力提供有力支撑。

蜜网(HoneyNet)是一种包含蜜罐(HoneyPot)、防火墙、系统行为记录和辅助分析等系统和工具在内的高度可控的网络[1,2]，是蜜罐技术的扩展。其优点是能够与攻击者进行透明的密切交互，在攻击者实施攻击过程中全面收集其入侵信息，并对其入侵数据进行分析与控制；防御者则可根据捕获到的攻击信息，利用防御工具实施有效防护。第三代蜜网是基于虚拟机技术的新一代蜜网系统，其可以在虚拟化的攻防环境中，为攻防两端提供优化、高效的数据捕获、分析与展示等功能。本文利用第三代蜜网技术，以学生为中心，以面向实战为指导，以提高学生网络空间实战对抗能力为核心，构建基于蜜网的虚拟化网络对抗实训平台以满足实践教学与实兵对抗需求。

1 基于蜜网的攻防实训平台功能设计

网络攻防的本质在于对抗，为此，基于已有蜜网架构[3]，设计以攻击模块为基础、数据分析模块为核心、网络防御模块为目标的网络攻防实训平台核心功能。

一是网络攻击模块。它是攻防对抗的起点，提供可扩展接口与模块，能够提供贴近实战的典型攻击工具(包括拒绝服务攻击、渗透攻击、口令攻击等)，并对攻击实施过程进行记录：包括攻击发起时间、攻击用户、攻击类型、攻击目标、结束时间等，并能够提供攻击开始、暂停、终止等控制功能；同时可根据不同攻击类型提供可视化的攻击参数配置功能，而且该模块提供的可扩展接口可以方便地添加新型攻击工具。

二是数据采集与分析模块。该模块是攻防实训平台的核心功能，利用第三代蜜网的数据控制机制，可实施攻击数据采集、分析与处理。

三是网络防御模块。基于上述数据采集与数据分析模块得到的入侵与报警信息，研判攻击态势，生成合理、可靠的防御报告并实施应急防御措施；根据实际网络攻防需求，提供攻击状态下的防御效果检验功能，验证防御机制的正确性、有效性。针对攻击类型与级别，实施的防御手段主要包括确定攻击源、清除攻击点、网络限流、物理隔离等。

1.1 数据采集

利用蜜网提供的数据采集手段，对攻击过程中的数据进行精确捕获。其数据采集手段主要包括以下四种。

(1)Argus流监控。其对网络行为进行采集、统计，利用libpcap改进数据流采集功能，捕获网络数据并进行预处理，形成与普通网络数据采集日志不同的流式数据源，能够提供数据的数量和每个流的持续时间等详细信息。

(2)Snort入侵检测。Snort作为一种轻量级网络入侵检测系统，能够提供实时分析网络流量和网络数据包的能力，本模块基于其入侵检测规则提供协议分析、数据内容匹配、攻击检测等功能，并实时报警。Snort利用与Argus和p0f捕获的数据，可以提供更加全面的网络安全事件描述与展示。

(3)p0f工具。p0f工具是一个基于pcap的系统监控器，能够实现被动操作系统指纹识别功能。其根据监听到的网络流指纹特征确定网络通信双方操作系统的类型，从而探测攻击者主机的操作系统类型。

(4)Sebek工具。Sebek是一种基于内核的数据捕获模块，能够在不被攻击者察觉的情况下记录其攻击信息。Sebek包括客户端和服务端两部分，客户端位于各个蜜罐，从蜜罐捕获入侵数据并且传输至服务端。Sebek通过系统调用read()函数读取所需数据，包括主机操作、网卡操作、操作系统进程号、进程的调用次序、键击记录以及与网络流相关进程等信息，并基于高效的UDP协议与服务器进行交互。同时，通过定义数据标准格式，确保来自不同蜜罐的数据都能够以标准格式存储。

1.2 数据分析

蜜网的数据分析功能针对采集到的大量网络数据，利用不同的攻击模型与分析方法，提取攻击行为的特征，检测攻击并报警。第三代蜜网体系基于Swatch和Walleye提供自动化分析机制，为攻击分析人员更好地分析捕获到的攻击数据提供辅助手段。其中，Swatch工具将蜜网网关中的入侵检测模块Snort-inline与防火墙IPTables有机集成，支持邮件、日志等方式的自动分析报警机制。此外，蜜网提供强大的基于Web的可视化分析与展示工具Walleye，可支持Sebek采集数据、Snort入侵检测报警信息、p0f系统识别数据、网络入侵防御系统NIPS的输出数据、Argus分析结果数据等多种数据源，数据主要存储于MySQL数据库，同时支持数据包解析。攻击分析人员可直观查看上下文中的网络事件，同时也避免手工分析导致的误判、错判，从而提高攻击分析的效率和精确性。

2 搭建基于蜜网的攻防实训平台

考虑到第三代蜜网基于虚拟化技术实现，利用曙光云虚拟化软件CloudView2.0和蜜网系统，基于高速光存储网络构建集网络攻击、数据分析与网络防御于一体的攻防实训平台。其物理部署如图1所示。

人行道托架螺栓等连接件的梁体挡砟墙外部分长期暴露在空气中，螺栓受日晒雨淋等环境影响极易产生锈蚀，导致其强度和承载能力不断降低，产生安全隐患。

图1 攻防对抗教学平台物理网络部署图

2.1 物理网络搭建

CloudCenter是CloudView的核心系统，负责整个虚拟化云环境的配置与管理，建立包含多服务器、存储阵列等在内的集群系统，集中管理物理服务器与虚拟机；两个CloudVisor是独立安装和运行在裸机上的系统软件，负责具体虚拟机创建和运行管理，为各虚拟机提供CPU、内存等硬件资源；CloudManager是用于远程登录并管理CloudCenter的客户端，提供基于客户端软件Client和基于Web两种方式的快速访问；磁盘阵列提供海量存储资源，所需的虚拟机镜像、硬盘等均存储于磁盘阵列中，通过稳定、高速的光交换机与服务器交互；参训学生利用用户网络，通过千兆网络与服务器机房连接，基于蜜网实现网络攻击、防御的训练。

利用CloudManager(也可选择用户机房的主机通过Web访问)远程登录CloudCenter服务器，创建实训数据中心TrainDataCenter，并在该数据中心下新建群集TrainCluster，将两台CloudVisor服务器添加到该群集，完成实训平台物理环境的配置部署。

2.2 第三代蜜网环境部署

基于第三代蜜网构建网络攻防教学实训平台，其架构如图2所示。

图2 基于第三代蜜网的攻防对抗教学平台架构

该教学实训平台主要包括以下4类虚拟机。

攻击虚拟机：用于发起攻击的主机，包括Windows系统和Linux系统，攻击工具集成于统一的攻击平台，安装于攻击虚拟机(如拒绝服务虚拟机DoS VM等)中，支持不同受训学生根据攻击需求，使用不同类型的攻击工具实施攻击；后台记录攻击学生攻击发起时间、攻击类型等日志，用于统计分析攻击效果。

靶机：伪装的应用系统主机(如敏感服务VM，Web应用VM等)，攻击数据流被重定向至该类虚拟机，操作系统类型包括Windows系统和Linux系统，其中通常预置了相应的系统漏洞，便于攻击者实施攻击；在靶机上部署Sebek客户端，用于记录攻击行为。

蜜网网关VM：操作系统类型为Linux(32位CentOS)，虚拟化配置3个网络适配器，用于捕获攻击数据，Eth0是面向业务网络的外部接口；Ethl是面向多虚拟蜜罐系统的内部接口，Eth0和Eth1配置为Bridge(桥接)模式，不配置IP地址，数据包经过网关时TTL值不会变化，因此蜜网网关对于攻击者不可见，入侵者不会识别出其所攻击的网络是一个蜜网系统；Eth2用于远程管理，是对攻击者透明的秘密通道，将出入虚拟蜜罐系统的数据包及蜜网系统日志转发给远程管理主机。

管理机VM：用于分析数据、威胁报警并生成防御报告，通常安装Windows系统，配置Web浏览器，运行数据分析与处理引擎，支持网络防御,学生远程查看、分析、处理攻击数据，并自动生成防御报告。

上述4类主机的相关属性及配置见表1。其中，在进行攻击机、靶机及管理机之间的网络配置时，要使攻击机能够访问靶机(同一网段)，但其不能访问管理机(不同网段)，以确保管理机对攻击数据获取的透明性。

表1 各虚拟机属性及配置信息

2.3 攻防实训平台管理

攻防实训平台管理员(施训教员)利用CloudCenter为不同批次学生注册用户账号及角色，使其可通过CloudManager客户端访问实训平台攻击模块或防御模块；预配置的蜜网环境可基于虚拟平台克隆为模板并存储于磁盘阵列中，根据实训需求快速部署所需主机；同时，CloudView提供分布式资源调度与在线迁移机制，实现虚拟机快速、动态迁移，并确保应用不中断，进一步提高网络攻防实训过程的可靠性、稳定性。

3 攻防教学平台应用及效果

为有效提高教学效果，提升网络防御能力，结合实战需求调研，精选以下4个实战攻防课目(如表2所示)；实施时将受训学生分为攻、防两组，以红蓝对抗形式，由蓝军进行攻击、红方进行防御。根据具体课目的网络攻防要求，实施网络攻防对抗。

表2 网络攻防课目示例

通过两组互换对抗，培训考核结果表明，利用基于蜜网的实战化网络攻防教学平台，能够为实战化网络对抗提供环境支撑，使受训学生在近似实战的环境中熟练掌握网络攻防技巧，深入理解网络防御机理，从而有效提升受训学生的网络防御能力，使其快速适应工作岗位，与传统网络攻防实验室相比，基于蜜网的网络攻防实训平台达到了以下效果。

(1)攻防课目实战化

所选择的对抗课目涵盖网络欺骗攻防、主机渗透攻防、敏感应用破坏攻防、拒绝服务攻防等类型，是信息化战场常见的对抗场景，也是加固现有网络防御体系所必须熟知的攻防战术；此外，实训平台为未知新型攻防提供可扩展接口，便于扩展新的实战化攻防课目。

(2)攻防环境定制化

施训教员或管理员可根据网络攻防实战需求，定制相应实训课目的虚拟机模板，预配置所需攻击工具或系统漏洞，基于虚拟化平台快速部署给受训学生使用。

(3)攻防练战一体化

攻防教学平台不仅可用于为学生提供训练环境，还可与实装结合，构建灵活的实战环境，考核验证防御能力，推演网络攻防战术战法，为战法、训法的合理性、正确性提供环境支撑。攻防实训平台将训用一体化融合，在提高网络设备使用效率的同时，可快速提升攻防对抗能力。

4 结语

针对现有网络攻防对抗教学过程中缺乏有效实战环境的问题，构建基于蜜网的实战化网络对抗教学平台，以满足网络对抗培训的实战化、便捷化和一体化，为快速提升网络对抗能力提供有力支撑。与已有相关实验平台相比[4,5]，本文提出的教学平台更具可操作性，且采用目前国产化云平台系统，平台自身安全性更强。相关专业培养班次实践教学表明，受训学生能够快速掌握攻防机理，实施有效的网络安全防御，较好地满足了网络攻防对抗过程中实战能力培养需求。

目前，该平台已逐步向其他专业方向实践教学进行推广，下一步将在提高系统利用率的同时，深入研究分析实战化攻防对抗的效果评估机制，并进一步完善和扩展其功能。