王 群，李馥娟，郭向民，刘家银

（江苏警官学院计算机信息与网络安全系，南京 210031）

0 引言

随着物联网、云计算、区块链等基于互联网创新应用模式的出现与发展，信息技术正在以前所未有的深度和广度融入到社会各个领域。与此同时，病毒、木马、蠕虫、网络钓鱼、DDoS、APT 等层出不穷且快速迭代的安全威胁使网络应用环境日益恶化，频繁发生的各类攻击事件给网络空间安全治理带来了极大的挑战。当前，加强网络空间安全治理能力和体系建设，成为保障互联网应用有序发展的前提，加强网络安全人才培养和建设专业人才队伍，成为维护网络空间安全的根本保障。

网络靶场实训平台通过提供虚实结合的网络环境来模拟真实的网络攻防行为，将真实网络中的安全知识和攻防手段得以在安全可控的实验空间重构，为网络安全理论知识学习、攻防对抗演练、网络工具研发与测试、网络安全配置与验证等教学教研活动提供平台支撑，以丰富的内容、新颖的形式、多样化的手段激发学习者的兴趣，增强学习者对网络安全知识的理解，培养其网络安全隐患分析、网络安全技术验证、网络风险评估等解决具体安全问题的能力。面对复杂多变的网络环境，高校正将网络靶场实训平台建设和应用作为支撑网络空间安全人才培养的重要手段。

1 网络靶场与网络靶场实训平台

1.1 网络靶场的研究背景

网络靶场是为了适应信息技术快速发展的要求，有效应对日益严峻的网络空间对抗形势，主要由军队、政府、科研机构、高校等行业，针对网络武器开发、网络攻防对抗演练、网络风险评估、网络技术验证、网络工具测试、网络安全人才培养等工作需要，通过网络仿真技术创建的高度近似于真实网络空间运行机制的可信、可控、可定制的重要基础设施［1-3］。

美国在网络靶场建设方面走在了世界前列，美国国防部高级研究计划局（DARPA）从2009 年1 月开始启动了“国家网络靶场”（National Cyber Range，NCR）项目［4］，并于2011 年10 月完成了原型开发。NCR 通过模拟真实的电子对抗和网络攻击，用来对未来可能发生的网络战争进行推演，在防止美国网络重要基础设施遭受攻击的同时，对攻击方的行为进行在线溯源，以保护美国的网络安全。美国网络部队已经研发并储备了2 000 余个计算机病毒武器，构成了内容丰富且功能强大的武器库；英国于2010 年10 月建立了“联邦网络实验靶场”（Federated Cyber Test Range）［2］，用来对大型复杂网络进行模拟，并在安全可控的前提下对信息基础设施的可靠性和生存能力进行测试和评估；日本于2002 年由日本情报通信研究机构（NICT）主导研制了“星平台”（StarBed）系统［5］，主要为网络新技术的评估提供大规模的网络试验环境。与此同时，加拿大、俄罗斯、德国、以色列、伊朗、韩国等国家也纷纷建立了各自的国家网络靶场，分别立足各国的网络安全需要，进行相关项目的研究。国内部分高校、科研机构和科技企业在网络靶场建设方面进行了大量研究，在大规模复杂网络环境下的网络攻防场景仿真、网络攻防对抗演练、网络仿真、网络安全风险评估、网络安全人才培养等方面取得了一些创新成果［6-7］。

网络靶场概念一经提出便引起了世界各国的普遍关注。在当前网络攻击方式复杂化、攻击目标全球化、攻击对象泛在化、攻击事件频繁化的大背景下，世界各国纷纷开始进行虚实结合的网络靶场建设和应用研究。其中，在网络安全人才培养方面，网络靶场通过可配置的网络服务，为网络安全技术研究、学习、验证、测试以及攻防对抗演练提供了安全可控的实验实训环境。尤其是近年来，针对网络安全人才培养需要开发的网络靶场实训平台，在高校人才培养中发挥着十分重要甚至是不可替代的作用。

1.2 网络靶场实训平台的功能定位

美国网络靶场的建设经验为世界各国提供了帮助，尤其在2009 年建设的网络靶场NCR 为全球网络靶场的理论创建和体系结构探索开辟了先河。随后，随着云计算、大数据、软件定义、人工智能、数字孪生等技术的发展，为网络靶场的功能实现提供了技术支撑，也使网络靶场开始走出单一的军事和政府应用领域，出现了虚实结合的民用靶场、商用网络靶场、教学和研究靶场等新型靶场类型。近年来，伴随着物联网技术的发展，原来单一的互联网环境被打破，物理世界与信息空间之间的界限越来越模糊，虚实结合的大规模网络仿真成为网络靶场建设的显著特点和具体要求。

网络靶场实训平台是网络靶场的一种特殊应用类型，其主要功能是为服务网络安全人才培养提供实验实训环境。根据人才培养对象的不同，网络靶场实训平台的模拟环境可以是互联网，也可以是工业控制系统等专用网络。但与大型网络靶场不同，网络靶场实训平台的规模相对较小，形式和功能相对单一，与现实网络之间的差异性较小，可利用有限资源来部署，建设和日常维护成本较低。考虑到人才培养的具体要求，本文规划建设的网络靶场实训平台，主要为了满足网络空间安全人才培养需要，以互联网应用为背景和模拟对象，是一种特殊类型的网络靶场。

2 网络靶场实训平台规划

2.1 网络靶场实训平台的架构及建设要求

在网络靶场实训平台设计时需要将技术架构和应用功能有机结合，技术架构是基础保障，功能是目的和建设意图。网络靶场实训平台的总体架构如图1 所示，该结构继承了传统网络应用平台以应用功能实现为“主体”，以安全保障和标准规范体系建设为“两翼”的特征，但在应用功能实现上体现了多层次、低偶合、逐层逐块提供服务的特点。可以将网络靶场实训平台的“主体”部分划分为以下几个功能域：

图1 网络靶场实训平台的总体架构

1）基础服务域。基础服务域由基础设施、管理资源和网络部署3 部分组成，为其他功能域提供虚实结合的网络资源，并为各类实验场景的实例化提供服务。基础服务域是整个网络靶场实训平台的基础，从不同实训场景中每个节点的实例化，到组建实验网络、制定并下发管理策略以及正式实验前的系统测试，再到实验过程中的数据采集和实验过程管理等，支撑着网络靶场实训平台整个生命周期的每一个环节。

2）网络攻防实训域。网络攻防对抗主要涉及到攻防对抗模型和攻防中可被利用的各类数据库（主要有漏洞库、补丁库、知识库等），所以在网络靶场实训平台中提供了网络攻防实验数据库和网络攻防实验模型2 个组成模块。其中，网络攻防模型是将网络攻防中用到的推理过程、判断方法、思维模式和表述形式，转化为参训人员能够直观理解的知识。网络攻防建模是用数学方式建立一个等价对应于现实网络环境中攻防的知识系统，是实现攻防有效训练的关键技术环节。攻防实验数据库提供完整的与真实网络一致的各类应用和威胁库，并接收攻防模型所需要的资源请求，对涉及到的基础服务域中的资源进行有效调度。

3）网络技术与协议域。体系结构和协议是网络系统的两大核心要素。在基础服务域的支持下，通过网络技术和网络协议2 个功能模块，可以就具体的网络技术和协议进行系统学习、分析、改进、测试和评估，在强化网络基础知识学习的同时，培养参训人员应对各类安全风险和抵御网络攻击的能力。

4）数据分析域。网络靶场实训平台建设是一个随着技术和应用需求发展不断完善、改进和拓展的过程，对训练数据的分析和评估发挥着关键作用。网络安全态势的判断、攻击手段及实现路径的改进、防御策略的调整与完善、节点脆弱性评估等，都需要建立在数据分析基础上。另外，在数据密集型的网络靶场实训环境中，需要借助大数据可视化技术提供直观高效的数据分析方法，以方便用户通过数据分析结果来判断实训平台当前的运行状态，从而发现系统的脆弱性，为完善实训平台的功能以及优化平台运行提供基础数据。

5）测试与评估域。网络安全测评是保障网络基础设施和网络应用系统安全的基础。从攻击方的角度看，需要对确定的攻击手段的有效性和实施路径的正确性进行推演和测评，在此基础上进行优化改进，以提高攻击的准确率和防范溯源跟踪的能力；对于防御方来说，需要对采取的安全防御措施的可靠性和策略的可行性进行定性与定量评估，并根据结果不断修正评测指标，以取得符合最优成本效应的安全防御措施和策略。

2.2 网络靶场实训平台的建设要求

作为一种计算模式，云计算在发展了分布式计算、并行计算和网格计算的基础上，通过虚拟化技术将网络中的计算和存储资源进行整合，从而构成一个可扩展、高可用、可自主管理和配置的虚拟资源池，为搭建网络靶场实训平台提供了保障［8］。另外，与单一功能的实验室建设不同的是，网络靶场实训平台的建设具有一定的复杂性，可重点考虑以下几个方面：

1）统一标准和接口。网络靶场实训平台的建设需要同时考虑教学功能和网络建设要求，需要对网络基础设施进行统一规划，对平台涉及的资源制定统一的信息格式和编码，为涉及的操作制定统一的接口规范。

2）实验的逼真性。由于在网络靶场实训平台中开展的大部分是仿真实验，其实验实训过程与真实环境的操作之间会存在一些差异［9］。为了尽可能缩小实训平台与真实网络环境之间的差距，网络靶场实训平台采用了虚实结合的网络仿真方式，可高逼真地再现真实网络环境和攻防过程，实训平台中的路由器、交换机、服务器、无线接入设备等提供信息基础服务的设备，以及防火墙、IDS/IPS 等安全设备，其使用和配置方式与真实网络中的完全一致。另外，平台中涉及到的软硬件设备和系统，可根据要求设置不同的版本，并提供针对不同安全漏洞的补丁，供实验实训中验证不同的安全威胁和防御功能使用。

3）丰富的安全策略。互联网应用非常丰富，互联网运行中提供的网络协议和安全管理策略也多种多样。例如，数据在网络中传输时是采用明文还是密文方式，是否允许对指定网段的数据包进行嗅探，对系统的访问口令管理是否设置严格的控制等，这些功能的实现都需要提供完善的策略保障。同时，在需要加密传输时设置数据加密和安全校验机制，在能够实现数据包嗅探时允许网络欺骗、重放攻击、中间人攻击等行为发生，当需要对系统访问进行严格控制时，提供身份认证和资源授权功能，当需要对涉密信息进行管理时，提供针对敏感信息的语义提取与分析、保存位置确认等功能。

4）详尽的系统日志。系统日志是软硬件系统用于记录运行状况（如谁在什么时间访问过什么资源、系统在什么时间因什么原因重启等）和安全事件的信息库，是检查系统配置错误、查找攻击痕迹、掌握系统性能的基础数据库，防火墙、IDS/IPS、网络管理系统、网络安全态势感知系统等几乎所有的安全设备和系统，都需要使用日志来获取和分析网络安全状况及变化趋势。网络靶场实训平台能够完整地收集和记录日志（尤其是安全日志）信息，并提供日志信息的处理功能，将分析过程和结果以可视化方式展现。

5）必要的开放接口。随着网络连接泛在化速度的加快，原来使用工业控制系统的重要基础设施越来越多地采用互联网通信协议和通用软硬件，以多种方式接入互联网等公共网络，互联网中存在的安全攻击和威胁，逐渐渗透到工业控制系统等专用网络中。研究工业网络和关键信息基础设施的安全已成为目前信息安全研究的一个重点和热点。为此，网络靶场实训平台需要提供相应的接口，使新的安全研究对象及相关的安全应对知识能够根据需要接入其中。

2.3 网络靶场实训平台的主要模拟对象

网络靶场实训平台的功能和适用范围主要依赖于能够成功模拟的对象和场景类型。对于主要用于网络安全专门人才培养的网络靶场实训平台来说，需要对以下4 种类型的对象进行有效模拟：

1）用户模拟。用户模拟功能是指根据实验需要，对参训者进行分类，每一类用户在实训平台中扮演各自不同的角色。一般情况下，在实验中可将用户分成红队、蓝队和绿队3 种角色［10］。其中，红队（攻击方）的主要职责是产生攻击流量，这些流量所代表的网络行为看似合法却隐藏着各类攻击意图；蓝队（防御方）的主要职责是实时监控和检查由红队产生的攻击流量，分析、拦截和终止由红队发起的攻击行为；绿队的职责是仿真正常的网络业务（背景流量），一般情况下红蓝对抗过程不会影响正常的网络业务。由于互联网中的用户身份主要以IP地址来标识，所以，当模拟多个不同网络之间的流量时，需要分别在实训平台中仿真出各自网络的完整IP 地址段。为了能够模拟不同国家及地区之间的网络攻击，实训平台中需要根据IANA（互联网数字分配机构）向全球分配的IP 地址信息来仿真真实的IP 地址［11］。同时，为了配合对用户的模拟，在靶场中还需要仿真出不同的网络类型（如以太网、4G/5G核心网、IPv4/IPv6 基础架构等）、用户群（如Internet用户群、移动用户群等）、设备类型（如交换机、路由器等）、链路类型（如光纤、双绞线、无线频段等）和信道类型（如SSL 加密、IPSec 加密等）等。

2）流量模拟。不管是真实网络还是网络靶场，流量是分析和判断网络行为的重要依据。网络靶场实训平台中模拟的流量主要包括：以协议为标识的正常互联网业务流量，针对DDoS、病毒、恶意代码、钓鱼网站、漏洞扫描、垃圾邮件等恶意行为的仿真流量，以及为了配合实验需要产生的无效或异常数据流量等。

3）对象模拟。由于互联网中不同类型的网络服务对象所引起的用户关注度不同，存在的安全风险也不尽相同，对于一些重要的系统和信息基础设施的安全性评估和管理策略的设置需要通过靶场进行重点研究。例如，政府部门、重要企业和重点高校的网站为社会提供了可信度较高的大量重要信息，这些对社会公众提供服务信息的系统和网站已成为网络攻击者首选的对象，也成为网络攻防中需要重点保护的对象。

4）知识库管理。互联网中的漏洞扫描系统、IDS/IPS、病毒软件等安全系统，都必须实时更新相应的知识库，操作系统、通信协议、应用软件等也需要及时安装补丁程序，这已经成为加强互联网安全管理的基本常识。网络靶场实训平台应支持应用和威胁知识库的更新和按需配置功能。

3 网络靶场实训平台应用实践

网络靶场实训平台是一个高度逼真的网络学习平台，提供了网络安全技术、网络攻防、数据分析、监测与评估、实验管控等多种教学和管理功能。

3.1 网络靶场实训平台支持的知识体系

在网络靶场实训平台上，可以根据学习需要，利用系统提供的自动生成功能按需生成各种网络应用环境，也可以通过开放的系统接口开发新的网络安全攻防场景，在平台上让参训者对网络安全知识进行反复练习。在实验过程中，参训者可根据学习需要增删或修改相关的参数，按时序对过程进行回放，回顾实验过程，从中发现存在的不足和需要改进之处。网络靶场实训平台能够提供的学习内容，可根据具体需要进行动态调整和配置，表1 仅列出了实训平台中涉及网络安全基础知识的内容［12-14］。

表1 网络靶场实训平台对网络安全知识的支持

3.2 网络靶场实训平台的应用

网络靶场实训平台以其结构上的低耦合、可扩展，内容和功能上的可定制，应用场景的可重构等特点，在网络安全人才培养中具有独特的优势和不可替代的作用，具体表现为以下几个方面：

1）为网络攻防实验教学提供平台支撑。网络靶场实训平台能够根据教学过程的具体需要，以鼠标拖拽方式来构建场景，自由设定网络拓扑，选择所需要的网络协议和服务，动态配置网络流量，评估实验内容的难易程度和实验网络的复杂性，进行攻防态势感知分析。

2）动态生成实验环境并配置实验参数。考虑到不同教学设计要求，网络靶场实训平台能够动态创建虚拟网络，以满足当前实验所需要的路由器、交换机、服务器、主机等虚拟化节点，对节点的IP 地址、MAC 地址、网关地址、路由协议、安全策略等参数进行自动配置。同时，平台能够为特定的实验环境人为设置系统漏洞，以测试参训者的漏洞发现和利用能力。为提高实验效率和管理水平，实验结束时对所涉及的虚拟机能够灵活地进行迁移、挂起或删除等操作，实时释放已分配的资源。

3）提供在线学习与演练功能［15］。根据教学要求，以可视化方式提供对攻防基础知识、攻防过程的实现细节、网络安全风险评估，以及贴近实战的攻防对抗演练及结果评定等功能。同时，当参训者根据要求使用或开发出一款网络攻击或防御工具后，能够借助平台进行应用功能和效果的测试与验证，并为继续修改完善提供帮助。

4）网络安全基础知识验证［16］。本科教学涉及大量基础知识的重现与复制，验证性实验有利于通过动手操作再现技术细节和过程，使学生牢固掌握所学知识，并在学习过程中得到有益启发。基础知识验证实验所需要的环境一般较为稳定，实验管理人员可以较为方便地部署不同的实验场景，学生可以在实验过程中进行反复演练。

另外，在“以赛促教、以赛促学、以赛促用”的大背景下，网络靶场实训平台还支撑各种类型的竞赛功能，该功能的实现形式与目前流行的CTF（Capture The Flag，夺旗赛）［17］相一致，可以根据需要，选择线上比赛（多用于正式比赛前的选拔赛）、网络攻防对抗比赛或网络安全竞赛等方式，实现了参训者在网络靶场实训平台中进行类似于黑客在互联网真实环境中的攻击行为，比赛团队之间通过攻防对抗、程序分析、解题等方式展示各自的技术水平［18-19］。同时，比赛平台通过引入图形化界面，可以实时查看攻防情况，使得比赛更加公平且具有观赏性。

4 结论

网络靶场实训平台主要作为高校网络攻防实训、演练、模拟对抗的实训平台，旨在培养学生的网络安全理论知识，提升网络安全技能和素养。网络靶场实训平台以模拟真实网络案例为基础，提供完整的、一体化的网络攻防实验环境，将原来单一、松散、缺乏关联性的内容集中到靶场这一特定平台上，在学习中体现了真实性、实用性、综合性、开放性及实践性等特点，利于激发学生的学习兴趣和自主学习能力。平台除提供了网络安全知识的学习功能外，还可以进行融趣味性、知识性和挑战性于一体的综合性实战演练，丰富了教学内容和方式。网络靶场在本单位的教学、第二课堂专门人才训练、大学生创新创业等人才培养过程中发挥着不可替代的作用。