◆郭永和 闫龙川 陈智雨 赵子岩 李妍

建设电力企业物联网安全仿真靶场研究

◆郭永和 闫龙川 陈智雨 赵子岩 李妍

（国家电网有限公司信息通信分公司 北京 100761）

随着国际形势的变化，近年来以网络战为目的网络安全事件层出不穷，高级持续性威胁成为新常态，大规模的网络安全仿真技术研究成为当前安全领域的研究热点和重点。电力系统作为国家关键基础设施，是网络空间战场的首要目标，承受着巨大的网络安全压力。本文从研究现状、关键技术等方面探讨了电力企业泛在物联网网络安全仿真靶场的建设思路，为下一步实际的开发建设提供参考意见。

网络安全；物联网；靶场；自动化

随着技术的进步，传统的信息网络已由单纯的计算机互联网发展到了泛在物联网网络空间，网络结构日趋复杂化、边界模糊化。随着国际形势的变化，针对能源、金融、通信等关键基础设施的高级持续性威胁攻击成了国家间网络战的主要形式[1-3]。以WannaCry勒索病毒和乌克兰Black Energy病毒为代表的新一代网络安全威胁的出现，标志着互联网上的攻防进入了一个新的阶段。网络靶场是针对网络攻防演练和网络新技术评测的重要基础设施，可为国防及安全部门研究网络攻防技术、进行网络攻防试验、验证攻防工具效果、攻防演练对抗等提供平台支持。世界主要国家对网络靶场建设给予了高度的重视，将其作为开展网络安全试验提供准实际环境的重要手段，为各类网络技术、攻防手段和系统安全性提供定量和定性的评估，进而用来提升网络与信息系统的安全性和稳定性。

1 网络安全靶场研究现状

网络安全攻防范围已成为进行网络空间安全研究、测试、验证和演练的核心基础架构。2009年，美国国防部高级研究计划局（DARPA）领导建成了国家网络靶场（NCR）。NCR通过构建可伸缩的互联网络模型来实现网络战推演，具备对不同等级环境下的计算机网络进行防御保护、信息收集、攻击测试的能力。NCR能够高度仿真国家级攻防对抗，并且可用来开发与部署创新性网络测试。2014年，由日本情报通信研究机构（NICT）主导研制第三代“星平台（StarBed）”建成。StarBed于2002开始建设，完全基于虚拟机构建虚拟网络，可支持几千节点规模的网络部署及执行，提供大规模的网络试验环境用于评估真实场景下的新技术、研究安全性和服务质量，构建安全的信息物理系统和扩展复杂信息网络的的方法。加拿大CASELab靶场由维多利亚大学设计开发。该平台可以提供网络安全、密码学、分布式计算等领域的核心研究能力，并提供系统分析和仿真工具，可实现对实际大规模网络系统进行行为建模，进而支持对互联网的新技术的鉴定和评估。 2010年，英国国防部推出了“联邦网络安全靶场”。该项目将现有网络靶场整合到一个网络实验平台中，实现在安全和可控制的实验条件下仿真网络攻击与网络防御行为，进而评估各种系统与网络的安全性。2015年7月，欧洲的EDA靶场项目的开始建设。另外，俄罗斯、德国、澳大利亚、以色列等国也在积极开展相关方面的研究，在国家战略层将网络安全上升为国家战略，在军队成立网络战司令部，组建相当规模的网络战部队，推进网络靶场及相关基础设施建设，开展各种网络战训练、演习，并形成了网络战实战能力。发达国家不断扩大和完善其网络安全策略，充分利用靶场进行各种网络技术评估，为网络信息安全分析提供一个安全可控的平台[4-5]。

国内在网络靶场建设工作方面，也有了一定的成果。以哈尔滨工业大学、中科院信工所、国防科技大学、中国电子科技集团、北京邮电大学等为代表的科研院所，在大规模信息网络网络仿真、试验数据采集与安全效果评估、用户行为模拟以及攻防过程可视化等关键技术方面开展了大量的研究，取得一定的技术突破和成果积累。商业公司方面，银行、保险、电信等行业，以及百度、腾讯等互联网企业公司均建立了自己的准生产测试环境，通过准生产环境开展系统版本漏洞挖掘、补丁验证和阶梯上线工作，有效保障了系统的安全性和可靠性。

2 网络安全靶场关键技术

构建网络安全靶场的关键性难点在于如何构建大规模、高真实的虚拟网络，如何精确模拟网络流量和用户行为，以及如何有效的试验平台的数据从而有效的进行效果评估。关键技术包括多层次虚拟网络构建体系结构、虚拟网络动态行为仿真技术、网络场景重构、网络行为监控技术、大规模网络数据可视化等方面。

2.1 大规模网络仿真

在大规模网络仿真方面，主要的技术路线有两条，分别是基于虚拟化技术的网络模拟和基于仿真模型的模拟。

在基于仿真模型模拟方面，代表性的工具有商业网络仿真软件OPNET和UC Berkeley 大学开发的NS2、NS3网络模拟器。这些软件都是基于并行离散事件的模型，其模型库中包含了大量的网络协议模型和流量模型，这些模型与现实中真实的网络设备的协议栈相对应，即OSI七层协议中的物理层、数据链路层、网络层、传输层、会话层、表示层、应用层等。仿真者根据需要从模型库中选取合适的模型进行组合，构建合适的网络模型进行仿真。尽管这些软件能在一定程度上仿真大规模的网络，但是很难满足精确仿真网络流量行为的需求。

基于虚拟化的仿真节点建模技术研究如何利用虚拟化技术构建出仿真网络中的各类节点和节点之间的连接方式，包括仿真主机、仿真交换机、仿真路由器等。为网络仿真实验环境的构建提供基础支持。

主机、交换机、路由器是网络中的基本元素，在网络安全靶场的建设过程中，需要通过调研现有的虚拟化技术，掌握目前主机、交换机和路由器虚拟化方面的研究现状和核心技术，并研究这三类基本网络元素在虚拟化之后的连接方式。动态路由模拟分系统不仅要能够很好地支持主机、交换机、路由器等通用网络设备，而且要能够支持各细粒度的仿真，例如仿真Juniper的某个型号的交换机、思科的某个型号的路由器等。

大规模仿真节点的快速部署，需要提高网络仿真环境构建的效率，主要有两个方面，虚拟机模板管理和增量硬盘映像文件。通过虚拟机模板避免每创建一个虚拟节点就需要安装一次操作系统的时间开销，通过增量硬盘映像文件可以有效利用磁盘空间减小平均每个虚拟节点的硬盘开销。

2.2 网络流量模拟

在网络流量行为模拟方面，面临主要挑战在于大规模网络流量采集和回放。着重研究真实网络流量在虚拟网络中的复现技术，为虚拟网络提供真实的背景流量；并设计网络流量的按需回放机制，提供面向任意网络在任意时刻的流量复现能力。Tcpreplay是目前应用最为广泛的流量回放工具，其在链路层按序回放流量，而忽视上层协议细节[6]。近期研究工作多针对上层协议的流量重放，例如Wireplay回放4层以上的数据包，Monkey关注HTTP协议，ProxyReplay系统则以应用层协议为目标[7-9]。近年来，随着网络虚拟化技术的出现，部分工作针对基于OpenFlow协议的软件定义网络开展了流量回放研究。

采用数据包级、流级混合流量模型进行网络流量模拟是解决网络模拟效率和真实性之间矛盾的典型而有效的解决方案。对于用户关注度高的网络流量进行细粒度的数据包级模拟，最大限度的保证了用户关注的网络行为的模拟真实性；对用户关注度较低的网络流量进行较粗粒度的流级模拟，又能够在保证一定模拟真实性的基础上，尽可能提升模拟的整体性能。而两种流量模型的共存，必然会存在二者之间的交互，从而引入二者之间的相互关联和相互影响。如何准确反映出两种流量模型之间的交互过程，是保证网络模拟整体性能和真实性的关键因素。

2.3 试验数据采集与效果评估

试验数据采集技术通过对虚拟节点后端网络接口进行网络数据侦听实时获取虚拟网络内部任意时刻任意位置的网络行为数据并导出。在信息采集能力方面，细粒度网络行为采集能够适应虚拟节点的动态启动、关闭等特点，实时自动化调整采集点的部署位置，并能够在运行过程中动态更新采集策略；在采集粒度方面，支持针对节点的不同网络接口进行细粒度的网络行为检（监）测以及网络流量获取。虚拟节点通过前端网络设备发送的数据包都需要转发至相应的后端网络设备，最后经过虚拟网桥通过真实的物理网卡发送到网络中。在虚拟节点启动过程中，通过获取前端网络接口与后端网络接口的对应关系，即能够采用带外采集方式对虚拟网络内部的网络行为进行获取。同时获取前端网络接口与后端网络接口的对应关系，亦能够对任意虚拟节点的任意网络接口进行细粒度的网络行为采集。

细粒度网络行为采集技术利用数据包协议之间的层次性关系，创建检测规则树，通过操作树形结构实现信息采集需求的动态更新。检测规则树主要由三个重要结构组成，分别为协议头、规则头以及规则体，其中协议头是不同数据包协议在规则检测树中的起始位置，规则头存储了信息采集需求中的相应数据包协议的包头信息，规则体包含信息采集需求中数据包的载荷内容、响应动作以及其他附加检测规则等，从树根结点到某规则体结点的路径，即是一条完整的信息采集规则。

3 构建泛在物联网安全仿真靶场

随着互联网新技术的发展，网络规模和用户数日益增长，网络攻击、信息窃取、病毒传播等安全问题非常突出，每年的经济损失十分严重。当前，国家层面高度重视信息安全工作，积极开展网络安全新技术研发，但仍存在一些问题：1）现有网络环境难以支撑全面的网络攻防试验；2）生产网络试验导致运营业务的不稳定；3）真实网络环境中测试评估易受人为因素干扰。为了有效解决这些问题，构建接近真实网络信息系统运行环境的网络安全仿真环境建设被提出。考虑到各行业的差异性，各行业需要针对本行业的特点搭建网络安全试验和培训平台，基于业务属性开展网络信息安全演练。网络靶场的研究成果可有效提高企业从事网络安全人员的安全意识与能力，进而避免企业运营中遭受因网络安全导致的经济损失和安全事故。

以电力行业为例，电力信息通信系统中存在大量工控设备及物联网专用设备，如RTU、PLC、智能配电终端、智能电表、集中器、安监视频监控系统等。近几年，又出现了无人机、巡线机器人等新型智能装备。这些专用设备难以通过虚拟化的方式在网络安全靶场中进行模拟，因此构建泛在物联网靶场的过程中，需要考虑将实物接入靶场中。

这项技术的实现必然需要引入其他的软硬件，最终形成一项专用设备，在网络安全靶场中称为实物设备统一接入接口。该接口的一侧有几排端口，用于连接实物设备，另一侧也有几排端口，用于连接网络仿真平台的设备接入区。实物设备统一接入接口两侧的端口之间的连接方式可以通过对该接口编程的方式任意改变。这样就可以达到在不改变实物设备物理连接的情况下，完成实物设备在不同虚拟网络环境的自动接入。

在网络仿真平台中构建的虚拟网络是完全可监控的，也就是说虚拟网络中任意节点上发生的安全事件都能被检测到，然而实物设备并不一定内嵌可以监控其上发生的所有网络安全事件的接口。实物设备的信息采集探针技术对不同类型的实物设备应采取不同的措施，对网络仿真平台所支持的实物设备进行分类，一般可以分为提供监控接口、提供Syslog系统日志和不提供任何监控接口三种。前两种可以基于实物设备提供的接口进行编程实现对设备的监控，最后一种只能针对具体的设备编写探针程序进行监控。

4 结语

随着国际形势的变化，中美关系的日趋紧张，网络空间安全已经被提升到前所未有的战略高度上。网络安全靶场作为验证网络安全新技术、评估网络安全威胁等级、培训网络安全专业人员技能的重要平台，势必成为对网络安全有着较高要求的企业的重要建设项目。将各类专用设备、物联网节点纳入网络安全靶场中，也是在网络安全靶场建设中需要重点解决的技术挑战。

[1]CHEN P，DESMET L，HUYGENS C. A study on advanced persistent threats[C]. Communications and Multimedia Security-15th International Conference. 2014.

[2]付钰，李洪成，吴晓平，王甲生. 基于大数据分析的APT攻击检测研究综述[J]. 通信学报，2015.

[3]TANKARD C. Advanced persistent threats and how to monitor and deter them[J]. Network Security，2011.

[4]李欣，高见. 网络攻防演练及其现实意义[J]. 中国信息安全，2019.

[5]程静，雷璟，袁雪芬. 国家网络靶场的建设与发展[J]. 中国电子科学研究院学报，2014.

[6]TCPReplay[EB/OL]. http://tcpreplay.appneta.com/.

[7]Wireplay [EB/OL]. http://code.google.com/p/wireplay/.

[8]CHENG Y.-C.，HOLZLE U.，CARDWELL N.，SAVAGE S.，VOELKER G.M. Monkey see，monkey do：A toolfor TCP tracing and replaying[C]. Proceedings of the 2004 USENIX Annual Technical Conference. 2004.

[9]HUANG C.，LIN Y.，LIAO P.，LAI Y.，Stateful traffic replay for web application proxies[J]. Security and Communication Networks，2014.