李春林，徐 锐，魏嘉男，王 冶

（网络空间安全四川省重点实验室，四川 成都 610041）

0 引 言

网络安全实验平台以其网络拓扑可重构、网络节点类型可定义、主机支持多配制多系统、虚拟网络能够重现真实网络环境等特点，成为网络安全理论研究和技术发展的重要支撑手段。美、英、日等网络发达国家先后建立了NCR、BreakingPoint和Starbed等国家级网络安全实验平台[1-2]，国内则有高校和研究院所基于OpenStack等虚拟化平台建立中小型网络安全实验平台开展相关工作[3-4]。

随着网络空间安全教学、实验等工作的不断深入开展，网络安全实验平台发展面临包括如何实现实验过程中复杂网络场景状态快速重现、如何实现网络行为和背景流量的回溯以及如何在红蓝对抗中快速恢复到特定对抗状态等新问题[5]。针对上述问题，基于场景快照可实现场景状态的快速保存和还原，是一种理想的解决手段。当前，在面向网络安全实验平台的场景快照方面的研究不多，但在磁盘快照、数据快照等领域，业界和学术界已经有大量的研究成果[6-9]。在现有的虚拟机快照解决方案中，李涛等人针对基于事件的数据快照生成与恢复开展研究[10]，可用于提高场景快照的生成控制粒度，但其效率较低，难以满足快速生成场景快照的要求；郑婷婷等人提出一种虚拟机快速克隆技术方案用于解决云计算环境下大规模虚拟机快照的快速生成问题[11]；向小佳等人提出基于集群虚拟化的高精度快照的设计与实现集群虚拟化快照生成性能[12]。上述方案对于研究场景快照的快速生成与恢复具有重要的价值和意义，但如何解决多个连续快照生成方面还存在问题。李中等人研究了连续时间点快照解决方案，提出一种新型的增量快照技术提升连续时间点快照问题[13]，但未解决连续快照的管理问题；胡明昊等人提出一种云环境下虚拟机集群的扁平化版本方案，基于版本的方式对多虚拟机快照进行管理[14]，可以应用于场景快照的管理，但缺乏对版本一致性的讨论，因此仍未解决场景快照的一致性问题。

本文在现有解决方案的基础上，针对面向网络安全实验平台的一致性场景快照生成问题开展研究。首先就一致性场景快照生成问题进行具体描述，其次提出一种基于中心授时和定时生成快照相结合的解决方案，并通过对比实验验证了方案的有效性。

1 背 景

在现有的网络空间安全实验平台中，为了更加真实地还原目标场景，在模拟目标场景拓扑、设备基础之上，进一步引入业务、背景流量和安全事件等模拟内容提升真实性[5,15]。在传统的场景快照解决方案中，仅需要对各个虚拟机做快照，即可保留整个场景中涉及到的主机、网络配置等信息，从而实现对场景的还原。随着背景流量尤其是安全事件的引入，场景中节点对安全事件的响应存在时间上的差异，场景快照的生成必须要考虑这种差异，以确保快照中各节点状态的一致性。

图1以一个最小化的场景来说明场景一致性问题。该场景包括2个主机节点、1个事件生成服务器和1个管理终端。其中，事件生成服务器通过不断生成网络事件模拟真实网络中的普通用户、攻击者或安全防护人员产生的事件；管理终端根据实验的需要下发指令生成场景快照。

图1 事件生成与快照管理

图2给出了一种可导致快照一致性问题的事件生成和快照产生时间序列图。假设管理终端在T1时刻下发快照生成命令，由于网络延迟，节点1和节点2将分别在T3和T5时刻响应命令生成快照。若在T1和T3之间的T2时刻事件生成器生成事件1，并在T3和T5之间的T4时刻到达节点1和节点2，则当快照生成时，节点1尚未收到事件1，节点2收到事件1。因此，在场景快照中，节点1和节点2的状态不一致。当还原场景时，对事件生成器而言已经生成了事件1，但节点1尚未收到事件1。此时，时间生成服务器如果重新生成事件1，又会导致节点2重复响应事件1。可见，当产生快照一致性问题时，安全实验事件的管理将产生冲突。

图2 事件生成和快照产生时间序列

上述问题的产生主要有2个原因：（1）快照生成的时间差，导致节点1和节点2在快照生成前后分别收到事件；（2）事件到达节点1和节点2的时间差。本文将着重针对快照生成时间的一致性问题提出解决方案，同时为了简化问题，后续章节,将假定事件到达节点1和节点2的时间一致，并开展相关问题的分析和原理阐述。

2 实现原理

针对快照生成时间的一致性问题，可以采用基于中心授时和定时快照的方案。该方案包括中心授时和定时快照生成两部分，前者用于保证各节点的时间在同一基准时间上，后者用于确保各节点在同一时间生成快照。

2.1 场景时间同步

安全实验平台以场景为对象，管理其上运行的网络安全实验。各场景相互独立，因此各场景可以采用独立的时间同步基准。在图3的基准时间部署方案中，每个实验场景包含一个授时中心，场景中的各节点统一采用授时中心提供基准时间校准本地时间。

图3 场景内时间同步

2.2 定时快照生成原理

有了统一的时间基准，在创建场景快照时，管理终端可以不必直接下发创建快照命令，通过将快照时间下发到场景中各节点即可，各节点在管理终端下达的时刻执行快照创建即可同步生成场景快照。

图4 基于授时中心的场景快照生成方案

管理终端直接下发快照命令与下发创建快照时间的区别在于，前者由管理终端直接下发执行操作。由于网络延时的原因，可能各个节点接收到的快照时间不一致，但通常延时差距在100 ms以内；后者可以很好地克服网络延时的问题，通过引入授时中心，可将时间差控制在10 ms以内。

2.3 场景快照生成发方案

结合授时中心和定时快照，最终给出如图5所示的基于统一时间基准的场景快照生成方案。

图5 基于授时中心的场景快照生成方案

实验平台场景快照生成和还原的全流程如图6所示，过程可分为3个阶段。

第1阶段为准备阶段，在创建场景时将为各场景增加一个场景授时中心，场景各节点将本地时间统一到基准时间，完成时间同步。

第2阶段为场景快照生成阶段，管理终端根据场景最大延时时间确定快照生成时间，通常为最大延时加100 ms。比如，T1时刻下发创建命令，各节点在T3时刻生成快照，事件1和事件2分别在T2和T4时刻生成，则分别落在快照生成前后，不会产生如图2所示的一致性问题。

第3阶段为场景还原阶段，管理终端将场景快照进行还原，整这个实验场景返回到事件1发生、事件2未发生的状态。

图6 场景快照生成流程

3 实验评估

3.1 实验环境

实验场景采用了8个终端节点、1个事件生成服务器、1个授时中心和1个管理终端，共11台虚拟机分别部署在3台服务器上。

实验采用中心授时的定时场景快照生成方法（部署如图7所示）与其他两种场景快照方法进行对比（部署如图8所示）进行对比。其他两种场景快照生成方法分别为基于SSH的快照命令直接下达方式和不采用中心授时的定时快照生成方法。

图7 采用中心授的场景快照生成部署

图8 不采用中心授时的场景快照生成部署

实验方法：事件发生器按照100 ms的间隔生成事件，各节点接收到事件进行一次写入操作；当快照生成后，分别对比不同节点快照中执行的操作ID，基于操作ID判断各节点快照已经执行的事件数。

3.2 实验结果

表1的结果分别为3种快照生成方法生成后快照中的执行事件ID。可以看出，有中心授时的场景快照生成方法明显优于其他两种方式，除了节点5少执行1次，其他均执行了390次事件。没有中心授时的定时快照执行的时间较为凌乱，最少的节点仅执行了389次事件，最多的节点执行了402次事件，相差13次；而基于SSH命令进行快照生成的方式则达到了18次事件的相差。

表1 3种不同快照生成方案下的事件执行结果

图9给出了3种场景快照生成方法的曲线对比图，可以看出有中心授时的场景快照生成方法曲线很平稳，其他两种方法则出现较大波动。其中，无授时的方法波动性较大，这是由于各节点时间不一致造成，可见采用中心授时的必要性。快照命令方式则主要由于网络延时造成，与宿主的部署相关。

图9 不同快照生成方案下执行结果对比

4 结 语

本方案提出一种面向网络安全实验平台的一致性场景快照生成方法，通过引入中心授时机制和定时快照生成方法实现场景快照的一致性，对比了基于远程命令快照和无授时中心的定时快照生成方式。实验结果表明，基于中心授时的一致性场景快照生成方法明显优于其他两种方法。但是需要注意，该方法仍然产生了一次快照的不一致，这种不一致是由于中心事件达到的不一致等原因导致，在后续研究中将针对事件的一致性问题开展研究，提出相应的解决方案。