郭艷來，崔益民，匡春光，王梓斌，張 明

（北京系統(tǒng)工程研究所 信息系統(tǒng)安全技術(shù) （國家級）重點(diǎn)實(shí)驗(yàn)室，北京100101）

0 引 言

以前人們開展網(wǎng)絡(luò)安全技術(shù)研究，大多是在自己搭建的環(huán)境里進(jìn)行測試驗(yàn)證，其關(guān)注點(diǎn)在安全技術(shù)本身，例如防火墻在不同層次實(shí)施網(wǎng)絡(luò)流量過濾，入侵檢測系統(tǒng)采用不同機(jī)制提高網(wǎng)絡(luò)攻擊事件發(fā)現(xiàn)的概率并減小誤報(bào)率。起初簡單的試驗(yàn)環(huán)境能夠滿足研究的需要，之后網(wǎng)絡(luò)攻擊技術(shù)越來越復(fù)雜，影響范圍更廣，對一些網(wǎng)絡(luò)攻擊比如Botnet、蠕蟲等研究就需要更復(fù)雜的環(huán)境，要求提供能夠擴(kuò)展、重構(gòu)和共享的平臺。這方面的需求也與互聯(lián)網(wǎng)技術(shù)演進(jìn)的需要相吻合，例如為了研究下一代互聯(lián)網(wǎng)技術(shù)，需要在實(shí)驗(yàn)室環(huán)境下進(jìn)行各種測試和驗(yàn)證，于是很多網(wǎng)絡(luò)試驗(yàn)平臺紛紛建立起來。網(wǎng)絡(luò)安全試驗(yàn)平臺是為了滿足網(wǎng)絡(luò)安全研究的需要而建立的，為了觀察特定的攻擊，尋找檢測的方法，采取恰當(dāng)?shù)姆烙呗缘取?/p>

網(wǎng)絡(luò)安全試驗(yàn)技術(shù)作為一個(gè)技術(shù)領(lǐng)域在不斷豐富，滿足了一定的試驗(yàn)需求。但是它還必須不斷演進(jìn)，跟上網(wǎng)絡(luò)安全技術(shù)發(fā)展的形勢，實(shí)現(xiàn)更先進(jìn)的特性。本文對網(wǎng)絡(luò)安全試驗(yàn)平臺技術(shù)進(jìn)行了分析，明確了網(wǎng)絡(luò)安全試驗(yàn)平臺的層次結(jié)構(gòu)，概括了網(wǎng)絡(luò)安全試驗(yàn)平臺的研究方向和技術(shù)點(diǎn)。

1 網(wǎng)絡(luò)安全試驗(yàn)平臺特性

網(wǎng)絡(luò)安全試驗(yàn)平臺是為網(wǎng)絡(luò)安全的研究、測試、驗(yàn)證、評估而提供的計(jì)算機(jī)硬件和軟件的操作環(huán)境。著名的試驗(yàn)平臺有：Emulab，由美國猶他大學(xué)研究人員設(shè)計(jì)與研制，目的是為網(wǎng)絡(luò)相關(guān)技術(shù)的研究、測試和評估等過程提供一個(gè)大規(guī)模的仿真試驗(yàn)環(huán)境以及相關(guān)的資源和配套工具；DETER［1，2］，在Emulab的基礎(chǔ)上建立，用于支持信息安全攻防技術(shù)的研究、開發(fā)和測試；NCR （國家網(wǎng)絡(luò)靶場），一方面為美國國防部進(jìn)行網(wǎng)絡(luò)作戰(zhàn)提供虛擬環(huán)境，另一方面針對網(wǎng)絡(luò)攻擊進(jìn)行網(wǎng)絡(luò)安全測試，維護(hù)美國網(wǎng)絡(luò)安全和提高網(wǎng)絡(luò)戰(zhàn)能力；FEDERICA （federated e－infrastructure dedicated to European researchers innovating in computing network architecture）［3］，主要目標(biāo)是將分布在歐洲范圍內(nèi)的計(jì)算機(jī)和網(wǎng)絡(luò)試驗(yàn)資源聯(lián)合起來，構(gòu)建一個(gè)端到端隔離的試驗(yàn)環(huán)境，用于驗(yàn)證網(wǎng)絡(luò)安全、分布式協(xié)議等。

人們經(jīng)常提到網(wǎng)絡(luò)試驗(yàn)平臺，這類平臺數(shù)量多，規(guī)模大，既有全球性的也有本地性的，既有通用性的也有專用性的。網(wǎng)絡(luò)安全試驗(yàn)平臺可看作網(wǎng)絡(luò)試驗(yàn)平臺的特定類型，在基礎(chǔ)設(shè)施組成上，與后者區(qū)別不大，由于專用于安全試驗(yàn)，與一般網(wǎng)絡(luò)試驗(yàn)平臺構(gòu)建的原則不盡相同。在統(tǒng)一性、可分片性、隔離性、可編程性、可擴(kuò)展性等方面是一致的，除此之外，網(wǎng)絡(luò)安全試驗(yàn)平臺要強(qiáng)化如下特性或獨(dú)有：

有限的開放性：網(wǎng)絡(luò)安全試驗(yàn)平臺常研究網(wǎng)絡(luò)攻擊，如病毒或蠕蟲的擴(kuò)散等，必須與外部網(wǎng)絡(luò)實(shí)現(xiàn)隔離。但是可以采取有限的開放策略，例如通過精準(zhǔn)的控制，可以讓試驗(yàn)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)聯(lián)通，使得外部網(wǎng)絡(luò)活動(dòng)可以影響到平臺內(nèi)部，但是內(nèi)部活動(dòng)不能影響到外部的網(wǎng)絡(luò)。而一般的網(wǎng)絡(luò)試驗(yàn)平臺提倡開放性，僅在不同的試驗(yàn)項(xiàng)目之間實(shí)現(xiàn)隔離。

類型的多樣性：現(xiàn)在所謂的網(wǎng)絡(luò)安全是大網(wǎng)絡(luò)安全（cyber security），不僅包括計(jì)算機(jī)互聯(lián)網(wǎng)，還包括國家關(guān)鍵基礎(chǔ)設(shè)施，如工控網(wǎng)、通信網(wǎng)等。需要更多類型環(huán)境通過邦聯(lián)，實(shí)現(xiàn)網(wǎng)絡(luò)組成類型的多樣性，同時(shí)可靈活擴(kuò)展網(wǎng)絡(luò)的規(guī)模，以進(jìn)行更大規(guī)模、更加復(fù)雜的試驗(yàn)。一般網(wǎng)絡(luò)試驗(yàn)平臺也要求可擴(kuò)展，但網(wǎng)絡(luò)安全試驗(yàn)平臺對不同類型的網(wǎng)絡(luò)環(huán)境有更強(qiáng)烈的擴(kuò)展要求，需要建立更靈活的擴(kuò)展機(jī)制。

不同逼真度要求：網(wǎng)絡(luò)安全試驗(yàn)的主要任務(wù)之一是模擬或仿真現(xiàn)實(shí)的網(wǎng)絡(luò)，支持研究不同層次、不同規(guī)模的安全問題，因此必須滿足一定的逼真度要求。真實(shí)網(wǎng)絡(luò)不可能完全搬進(jìn)實(shí)驗(yàn)室，對于網(wǎng)絡(luò)安全試驗(yàn)平臺來講，只能達(dá)到不同逼真度指標(biāo)，來滿足不同規(guī)模強(qiáng)度的研究需要。所以，網(wǎng)絡(luò)安全試驗(yàn)平臺要能夠通過虛實(shí)結(jié)合的技術(shù)手段實(shí)現(xiàn)不同逼真度的物理環(huán)境、仿真平臺、模擬系統(tǒng)的組合。一般的網(wǎng)絡(luò)試驗(yàn)平臺很少進(jìn)行這樣的集成。

復(fù)雜且龐大的試驗(yàn)數(shù)據(jù)：網(wǎng)絡(luò)安全試驗(yàn)包括對流量數(shù)據(jù)和節(jié)點(diǎn)運(yùn)行性能數(shù)據(jù)的監(jiān)測，因此截獲的數(shù)據(jù)尤其龐大。關(guān)鍵還在于數(shù)據(jù)復(fù)雜，包括了不同層次不同捕獲手段獲取的數(shù)據(jù)。例如，為了研究攻擊的流量特征，需要轉(zhuǎn)儲鏈路上的數(shù)據(jù)流，找到能夠代表攻擊流量的特征標(biāo)識；為了研究攻擊減緩策略需要在不同的點(diǎn)進(jìn)行觀測，度量性能變化。一般網(wǎng)絡(luò)試驗(yàn)平臺更多的是驗(yàn)證協(xié)議，或試驗(yàn)性地應(yīng)用新的網(wǎng)絡(luò)技術(shù)，會進(jìn)行不同程度數(shù)據(jù)采集，但網(wǎng)絡(luò)安全試驗(yàn)平臺會在短期內(nèi)轉(zhuǎn)儲大量數(shù)據(jù)，進(jìn)行復(fù)雜的分析，發(fā)現(xiàn)期望或預(yù)期之外的行為特征等。

2 安全試驗(yàn)平臺架構(gòu)

2.1 結(jié) 構(gòu)

網(wǎng)絡(luò)安全試驗(yàn)周期通常由項(xiàng)目設(shè)計(jì)、場景構(gòu)建、試驗(yàn)執(zhí)行、數(shù)據(jù)分析4個(gè)主要階段構(gòu)成一個(gè)迭代周期。試驗(yàn)平臺要能夠?yàn)樵囼?yàn)提供必要的工具和服務(wù)支持。用戶需要的基本功能包括：場景構(gòu)建、狀態(tài)監(jiān)視、結(jié)果表示等。為了構(gòu)建試驗(yàn)，平臺還需要提供給試驗(yàn)者必要的工具，如拓?fù)渖?、背景流量生成、試?yàn)基準(zhǔn)、性能度量標(biāo)準(zhǔn)等。平臺還需要具備自身控制管理功能等。因此，網(wǎng)絡(luò)安全試驗(yàn)平臺按照三層模型劃分為應(yīng)用層、服務(wù)層和設(shè)施層。分層結(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)安全試驗(yàn)平臺分層結(jié)構(gòu)

應(yīng)用層是平臺和用戶的接口，實(shí)現(xiàn)對試驗(yàn)的抽象描述和結(jié)果表示等，在這一層用戶構(gòu)建試驗(yàn)，并對試驗(yàn)進(jìn)行管理，最后得到試驗(yàn)結(jié)果；服務(wù)層是試驗(yàn)基礎(chǔ)服務(wù)的提供者，通過調(diào)度組合實(shí)現(xiàn)底層資源的分配，并將抽象的試驗(yàn)對象映射到相應(yīng)的資源分片上，同時(shí)通過一定的機(jī)制實(shí)現(xiàn)試驗(yàn)的隔離、控制、監(jiān)測和管理等功能。設(shè)施層是試驗(yàn)的承載者，它通過虛擬化等技術(shù)，屏蔽底層物理資源的異構(gòu)性，為試驗(yàn)服務(wù)提供抽象的資源池和訪問資源的統(tǒng)一接口。

2.2 試驗(yàn)平臺的關(guān)鍵技術(shù)

網(wǎng)絡(luò)安全試驗(yàn)平臺是一個(gè)復(fù)雜的系統(tǒng)，每一層實(shí)現(xiàn)都涉及許多技術(shù)。網(wǎng)絡(luò)安全試驗(yàn)平臺關(guān)鍵技術(shù)包括：試驗(yàn)場景構(gòu)建技術(shù)、平臺控制框架技術(shù)、網(wǎng)絡(luò)資源分片技術(shù)等。

在應(yīng)用層，平臺需要為用戶所開展的試驗(yàn)提供場景構(gòu)建的功能和試驗(yàn)結(jié)果分析處理的功能。網(wǎng)絡(luò)安全試驗(yàn)一般都是對抗行為，包括復(fù)雜的行為描述和網(wǎng)絡(luò)設(shè)備屬性的描述。試驗(yàn)場景構(gòu)建是對試驗(yàn)設(shè)計(jì)的直接支持，是利用平臺的第一步，因此試驗(yàn)場景的構(gòu)建非常重要。

在控制層，網(wǎng)絡(luò)安全試驗(yàn)平臺要為用戶提供隔離的、可編程的、可擴(kuò)展的試驗(yàn)環(huán)境，控制是整個(gè)平臺的核心，因此必須實(shí)現(xiàn)一個(gè)統(tǒng)一的控制框架，定義一組管理實(shí)體和實(shí)體間通信的接口，負(fù)責(zé)分配試驗(yàn)平臺的資源，并且提供必要的監(jiān)控服務(wù)。

在資源層，為實(shí)現(xiàn)網(wǎng)絡(luò)資源共享，在特定時(shí)間保證用戶獨(dú)占所分配的網(wǎng)絡(luò)資源，需要實(shí)現(xiàn)網(wǎng)絡(luò)資源分片，網(wǎng)絡(luò)分片是試驗(yàn)平臺的基礎(chǔ)。為了解決網(wǎng)絡(luò)安全試驗(yàn)平臺的規(guī)模，還需要實(shí)現(xiàn)多異構(gòu)平臺的邦聯(lián)和對外有限度的開放。

由于網(wǎng)絡(luò)安全試驗(yàn)平臺是網(wǎng)絡(luò)試驗(yàn)平臺的一個(gè)子類，毫無疑問要與一般網(wǎng)絡(luò)試驗(yàn)平臺共用一些技術(shù)，如試驗(yàn)平臺管理控制、網(wǎng)絡(luò)資源分片等，這些技術(shù)非常重要，但不是安全試驗(yàn)平臺獨(dú)有的技術(shù)，本文將詳細(xì)討論與網(wǎng)絡(luò)安全試驗(yàn)平臺更密切的技術(shù)：

（1）試驗(yàn)場景描述方法：場景是指用戶利用試驗(yàn)平臺為實(shí)現(xiàn)某個(gè)試驗(yàn)?zāi)繕?biāo)而設(shè)計(jì)的網(wǎng)絡(luò)對抗活動(dòng)過程的抽象描述，包括對抗的參與者、對抗行為過程、網(wǎng)絡(luò)環(huán)境、度量參數(shù)或轉(zhuǎn)儲數(shù)據(jù)等。

（2）試驗(yàn)場景生成技術(shù)：場景生成是指將描述的場景映射到平臺所提供資源上的過程，從而完成試驗(yàn)活動(dòng)的部署、設(shè)備的配置等，其實(shí)質(zhì)是抽象描述的具體化。

（3）試驗(yàn)輔助工具：安全試驗(yàn)需要一些輔助的工具支持，在進(jìn)行安全機(jī)制研究時(shí)需要一組標(biāo)準(zhǔn)的攻擊工具和度量手段，支持安全性能評價(jià)。

下面對以上內(nèi)容研究進(jìn)展情況詳細(xì)介紹。

3 試驗(yàn)場景描述方法

試驗(yàn)場景描述的主要內(nèi)容是網(wǎng)絡(luò)環(huán)境，即網(wǎng)絡(luò)事件所發(fā)生的網(wǎng)絡(luò)的抽象描述，所有其它描述都圍繞網(wǎng)絡(luò)環(huán)境來展開。為此，人們已經(jīng)開展了網(wǎng)絡(luò)拓?fù)洹⒕W(wǎng)絡(luò)流量模型的研究。

經(jīng)過幾十年的研究，研究者們提出了各種不同的互連網(wǎng)模型和Internet拓?fù)渖善?。其中最具代表的網(wǎng)絡(luò)模型包括有Transit－Stub模型、BA 模型、ESF模型和PFP模型等，體現(xiàn)了互聯(lián)網(wǎng)的分層特性和冪率特性。對拓?fù)渖善鞯难芯?，比較典型的包括GT－ITM、Inet、BRITE 和Nem等［4］，這些拓?fù)渖善髦饕P(guān)注網(wǎng)絡(luò)拓?fù)渲械慕Y(jié)構(gòu)特性，對于帶寬分配機(jī)制、IP地址自動(dòng)生成策略涉及較少；同時(shí)，這些拓?fù)渖善髦邪哪Ｐ椭饕亲灾斡?（AS）級和路由器級，并未加入端系統(tǒng)，而如果要構(gòu)建具體的網(wǎng)絡(luò)試驗(yàn)環(huán)境，帶寬和端系統(tǒng)等信息都是必不可少的［5］。

在流量建模方面，主要提出了fluid 模型和packet模型［6］。fluid流量表示與packet表示相比，前者抽象層次高，開銷小，但模擬精度低，會丟失一些細(xì)節(jié)，但更常用，有些研究者也將二者結(jié)合，彌補(bǔ)各自的不足。填充的流量又包括攻擊流量和背景流量。用戶的正常應(yīng)用是合法流量，這部分流量使得試驗(yàn)更加逼真；惡意代碼，如worms或DoS攻擊等屬于攻擊流量，攻擊流量可以是使用攻擊工具產(chǎn)生的流量，也可以是從Internet上追蹤檢測 （Auckland－VIII流量追蹤集、MAWI traces、CAIDA’s OC48流量追蹤等）而收集到的，這部分流量也是必須的。以上研究為網(wǎng)絡(luò)安全試驗(yàn)場景描述奠定了基礎(chǔ)。

網(wǎng)絡(luò)拓?fù)涞募s減和歸并是與拓?fù)渖上嚓P(guān)的研究，該項(xiàng)技術(shù)對安全試驗(yàn)比較重要。網(wǎng)絡(luò)拓?fù)錃w并是將已有的拓?fù)?，連接到一起形成新的拓?fù)?，使得已有拓?fù)淠軌驈?fù)用。例如小規(guī)模校園網(wǎng)、企業(yè)網(wǎng)等可以組合成具有一定代表性的網(wǎng)絡(luò)拓?fù)?。拓?fù)錃w并可根據(jù)頂點(diǎn) （節(jié)點(diǎn)）或邊 （鏈路）進(jìn)行合并。頂點(diǎn)歸并可根據(jù)字符串匹配的方法將有重疊命名的頂點(diǎn)合并，再調(diào)節(jié)邊來組合成混合拓?fù)淠Ｐ停煌瑫r(shí)也可以根據(jù)拓?fù)淠Ｐ凸逃械奶匦赃M(jìn)行語義歸并，例如核心AS在合并后必然不能作為葉子節(jié)點(diǎn)。邊的歸并方法是根據(jù)兩個(gè)網(wǎng)絡(luò)模型之間的聯(lián)系，如共享的通信信道、協(xié)同定位或其它共享資源等。

在大規(guī)模網(wǎng)絡(luò)試驗(yàn)中，硬件資源的要求以及試驗(yàn)時(shí)間的消耗成為了主要矛盾，引起了越來越多研究者的注意。解決方法是將原網(wǎng)絡(luò)拓?fù)湓谀撤N程度上縮小，在進(jìn)行模擬或仿真試驗(yàn)時(shí)用縮小后的網(wǎng)絡(luò)拓?fù)?。網(wǎng)絡(luò)約簡是在保留原始拓?fù)淠承┨匦缘耐瑫r(shí)，減小網(wǎng)絡(luò)規(guī)模，在仿真規(guī)模受到限制時(shí)，仍然能夠開展試驗(yàn)，或者提高仿真的速度［7］。

歸并與約簡必須保留原網(wǎng)絡(luò)特征，同時(shí)減少資源需求，提高網(wǎng)絡(luò)模擬仿真的效率。網(wǎng)絡(luò)約簡的一般方法是對原網(wǎng)絡(luò)仿真模型附加一系列的約束條件，如樣本流的輸入、單個(gè)鏈路的傳播延遲、鏈路容量、隊(duì)列緩沖區(qū)大小、自動(dòng)隊(duì)列管理 （AQM）參數(shù)，移除不會發(fā)生擁塞的鏈路等。目前形成的主要方法有3 種：SHRiNK、Transim 和DSCALE［8－10］。

第一種方法集中了流抽樣、增大鏈路傳輸延遲、減小鏈路容量、緩沖大小和自動(dòng)隊(duì)列管理參數(shù)等縮減規(guī)模的約束條件，來對網(wǎng)絡(luò)進(jìn)行約簡，此方法以增加試驗(yàn)時(shí)間為代價(jià)來減少試驗(yàn)對硬件的需求。第二種方法只進(jìn)行流抽樣、增大鏈路傳輸延遲、減小鏈路容量3種策略，這種方法縮短了模擬時(shí)間，但降低了參數(shù)評估的準(zhǔn)確性。第三種方法則是進(jìn)行流量抽樣、移除所有的非擁塞鏈路以及適當(dāng)增加所有包的延遲，這種方法的主要問題在于不是很容易就找出不擁塞的鏈路，這就使得該方法的效果大大降低。

網(wǎng)絡(luò)拓?fù)浼s簡對網(wǎng)絡(luò)流量、拓?fù)湟?guī)模和要測定的性能參數(shù)很敏感，很難確定出最佳的組合以確定最佳的約簡方案，同時(shí)一些方法的有效性嚴(yán)重依賴于流量的輸入分布，但有時(shí)實(shí)際網(wǎng)絡(luò)中的流量并不滿足假設(shè)的前提，因此，需要研究更加實(shí)際有效的方法來降低對于輸入流量的依賴。同時(shí)，方法如DSCALE，在網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí)需要重新評估系統(tǒng)，不能隨之動(dòng)態(tài)調(diào)整?？傊?，大規(guī)模網(wǎng)絡(luò)對約簡策略的可擴(kuò)展性和健壯性提出了嚴(yán)重挑戰(zhàn)［11］。

4 試驗(yàn)場景生成技術(shù)

試驗(yàn)場景生成技術(shù)主要解決從場景抽象描述到網(wǎng)絡(luò)虛擬資源、網(wǎng)絡(luò)模擬仿真平臺的轉(zhuǎn)換。對于網(wǎng)絡(luò)虛擬資源映射，需要根據(jù)可調(diào)度的資源進(jìn)行匹配。主要方法是根據(jù)底層平臺的資源現(xiàn)狀，將欲仿真的網(wǎng)絡(luò)進(jìn)行切片，然后把不同的分片放到不同的聯(lián)邦平臺。分片到了平臺，控制機(jī)制需要將分片中的節(jié)點(diǎn)和鏈路映射為實(shí)際的或虛擬的主機(jī)或鏈路。這方面研究重點(diǎn)是在充分合理地利用已有的資源條件下實(shí)現(xiàn)映射算法。至于到網(wǎng)絡(luò)模擬仿真平臺的映射，主要完成網(wǎng)絡(luò)拓?fù)渖筛袷捷敵龅椒抡嫫脚_本地格式輸入的轉(zhuǎn)換。

當(dāng)使用多種試驗(yàn)平臺進(jìn)行試驗(yàn)時(shí)，由于每個(gè)平臺的描述語言和接口都不同，不能保證網(wǎng)絡(luò)拓?fù)浜蛻?yīng)用描述所反映的最終試驗(yàn)條件和細(xì)節(jié)的一致性，因此引發(fā)了統(tǒng)一描述語言的問題［12］。Splay 和Plush 只關(guān)注了應(yīng)用層的部署。Splay要求用戶使用LUA 編程語言重寫他們的應(yīng)用來控制部署，而Plush使用XML 文件來描述應(yīng)部署的應(yīng)用。PlanetLab和ModelNet只是處理了網(wǎng)絡(luò)層的描述而將部署留給用戶，PlanetLab使用CML－RPC或web接口使用戶自己指定可以遠(yuǎn)程登錄的刀片作為節(jié)點(diǎn)；ModelNet將用戶提供的本地XML 網(wǎng)絡(luò)描述轉(zhuǎn)換成仿真的拓?fù)浒姹?，然后采用Splay或Plush的方法繼續(xù)處理。ORBIT 及其管理軟件OMF提供了網(wǎng)絡(luò)拓?fù)涔ぞ咄瑫r(shí)使用ruby腳本語言來管理應(yīng)用的部署，但這種方法只能在單一試驗(yàn)環(huán)境里進(jìn)行。Emulab在一定程度上兼顧了網(wǎng)絡(luò)層和應(yīng)用層，但是它要求將其它平臺整合到它自己內(nèi)部，這樣每個(gè)平臺就不能單獨(dú)使用。

NEPI（network experiment programming interface）是統(tǒng)一描述比較合理的解決方案［11］。它試圖描述所有試驗(yàn)細(xì)節(jié)，目標(biāo)是使研究者能夠靈活地使用各種網(wǎng)絡(luò)試驗(yàn)平臺，并且能夠相互轉(zhuǎn)化。它通過編寫Python腳本來控制分層網(wǎng)絡(luò)的描述，應(yīng)用層的設(shè)置、部署、監(jiān)測和追蹤等，同時(shí)提供了圖形用戶界面。

如圖2所示，NEPI通過控制模塊實(shí)體來訪問所有的API，控制模塊實(shí)體通過RPC 來訪問、管理遠(yuǎn)程試驗(yàn)；試驗(yàn)?zāi)K管理一個(gè)試驗(yàn)的全部描述，它使用XML來存儲或下載試驗(yàn)描述和結(jié)果；后端和服務(wù)器模塊滿足試驗(yàn)的具體需求，服務(wù)器代表試驗(yàn)資源，如一個(gè)ns3進(jìn)程或Emulab boss服務(wù)器，后端實(shí)現(xiàn)具體試驗(yàn)環(huán)境的NEPI對象模塊，即是試驗(yàn)細(xì)節(jié)的描述。用戶工具箱用來協(xié)調(diào)后端間的錯(cuò)誤匹配。

NEPI未來的工作是在PlanetLab、Emulab、ORBIT 以及ModelNet等試驗(yàn)平臺上開發(fā)后端，實(shí)現(xiàn)復(fù)雜試驗(yàn)的自動(dòng)化或半自動(dòng)化部署。

5 試驗(yàn)輔助工具

5.1 網(wǎng)絡(luò)試驗(yàn)基準(zhǔn)

所謂基準(zhǔn)，就是測量中用作參考的標(biāo)準(zhǔn)。對于網(wǎng)絡(luò)安全試驗(yàn)來講，則是經(jīng)過多次試驗(yàn)使用，可以作為標(biāo)準(zhǔn)對比的攻擊工具或防御策略集合。它們具有代表性，可以在試驗(yàn)時(shí)作為攻擊試驗(yàn)度量的標(biāo)準(zhǔn)。開展這方面研究對于一個(gè)成熟的試驗(yàn)平臺來講非常重要，為很多對抗試驗(yàn)提供了必要的參照。

圖2 NEPI體系結(jié)構(gòu)

在攻擊方面，需要研究網(wǎng)絡(luò)攻擊手段、攻擊模式，例如Botnet攻擊的規(guī)劃調(diào)度方式，蠕蟲的傳播模式以及混雜的攻擊流生成等。這些都需要廣泛收集信息，形成經(jīng)驗(yàn)數(shù)據(jù)，按照網(wǎng)絡(luò)安全試驗(yàn)的需求建立數(shù)據(jù)庫［13，15，17］。如進(jìn)行DoS攻擊時(shí)，可采用的攻擊策略有：

（1）Packet floods：消耗鏈路帶寬、路由器或目標(biāo)的主機(jī)CPU 及內(nèi)存等資源，這種策略是DoS攻擊的主要手段，有TCP SYN flood、ICMP flood以及UDP flood等；

（2）錯(cuò)誤的協(xié)議頭部值：packet中各種協(xié)議值的錯(cuò)誤可導(dǎo)致路由器或目標(biāo)主機(jī)無法處理異常的包而導(dǎo)致崩潰；

（3）無效的應(yīng)用輸入：packet內(nèi)容無效會導(dǎo)致應(yīng)用的凍結(jié)或崩潰；

（4）無效的分段：主機(jī)無法處理重復(fù)的分段或過大的分段而崩潰；

（5）大包：導(dǎo)致目標(biāo)主機(jī)的緩沖區(qū)溢出；

（6）擁塞控制漏洞：在發(fā)送端造成擁塞的假象，根據(jù)擁塞控制機(jī)制就會導(dǎo)致發(fā)送方降低發(fā)送速率；

（7）假冒攻擊：攻擊者欺騙主機(jī)的識別接管其正常的通信流量，將其殺掉或不予理睬。

在防御方面，主要研究各種場景下主要安全機(jī)制的部署和防御策略，包括檢測、預(yù)防和對抗等：

（1）各種流量過濾策略：包括主要的過濾機(jī)制的配置方法，完成對不同攻擊方法的流量限制；

（2）分布式的緩解策略：對大規(guī)模攻擊，通過不同防護(hù)區(qū)域協(xié)作，從骨干網(wǎng)絡(luò)到局域網(wǎng)絡(luò)，采取不同的策略能夠?qū)粜Ч軌蚱鸬讲煌囊种谱饔?，目前有很多研究提出了一些模型?/p>

5.2 安全試驗(yàn)度量

研究網(wǎng)絡(luò)攻擊，必然會涉及到攻擊對網(wǎng)絡(luò)影響程度的度量問題。平臺也需要提供度量標(biāo)準(zhǔn)，需要針對不同類型的網(wǎng)絡(luò)，如IP網(wǎng)絡(luò)、關(guān)鍵業(yè)務(wù)網(wǎng)絡(luò)等進(jìn)行研究，提出各自相應(yīng)的度量參數(shù)。對于IP網(wǎng)絡(luò)來講，網(wǎng)絡(luò)狀況的好壞主要以用戶業(yè)務(wù)的服務(wù)質(zhì)量 （QoS）來衡量，而QoS可以通過對一些網(wǎng)絡(luò)性能指標(biāo)進(jìn)行度量。以DoS為例，主要的度量參數(shù)［19］有：請求/應(yīng)答延遲；丟包率；吞吐量；資源分配率；處理時(shí)限等；這些參數(shù)值需要依賴于具體的應(yīng)用來確定，單一的指標(biāo)不能全面地反映網(wǎng)絡(luò)狀況，故需要將這些指標(biāo)結(jié)合起來度量網(wǎng)絡(luò)性能是否受到影響［14，18］。

請求/應(yīng)答延遲是從請求發(fā)送開始，到接收到目的端完整響應(yīng)的這段時(shí)間，適用于交互式應(yīng)用，對于只有單向數(shù)據(jù)流量的非交互式應(yīng)用，如對單向延遲、丟失和抖動(dòng)比較敏感的多媒體流量，也同樣適用，但是會有不同的閾值。

丟包率 （loss）定義為攻擊中合法數(shù)據(jù)包或字節(jié)丟失的數(shù)量，可以從重傳或未到目的端的包的數(shù)量上推斷或測量出來。丟包是洪水攻擊引發(fā)的擁塞的主要表現(xiàn)，但是對于不能持續(xù)引發(fā)擁塞的攻擊則不能很好地反映網(wǎng)絡(luò)傳輸狀況，如脈沖攻擊會周期性的引發(fā)擁塞，它會降低發(fā)送率、增長交易時(shí)間，但同時(shí)丟失的包會很少；而且丟失不能反映出丟失包的類型，如丟失SYN 包比丟失數(shù)據(jù)包影響更深遠(yuǎn)。

吞吐量是一定時(shí)間內(nèi)從源端到目的端傳輸?shù)淖止?jié)數(shù)，對于TCP流量有很好的度量效果，但對于抖動(dòng)或一些特定包丟失敏感的應(yīng)用，則不適合作為度量指標(biāo)，同時(shí)對于一些吞吐量本來就不高的短連接也不適用。

處理時(shí)限定義為源端和目的端間從第一個(gè)數(shù)據(jù)開始傳輸?shù)阶詈笠粋€(gè)數(shù)據(jù)接收結(jié)束所用的時(shí)間。只適用于度量交互式應(yīng)用和擁塞敏感的應(yīng)用。

資源分配率是指合法流量與非法流量間關(guān)鍵資源的比例，不能直觀反映服務(wù)質(zhì)量，但在某些特殊情況下具有很明顯的效果。

6 未來發(fā)展方向

毫無疑問，與網(wǎng)絡(luò)試驗(yàn)平臺相關(guān)的技術(shù)要繼續(xù)發(fā)展，需要關(guān)注多平臺邦聯(lián)控制框架、網(wǎng)絡(luò)資源分片技術(shù)等等，從而不斷提升試驗(yàn)平臺支撐安全技術(shù)研究的能力。對于網(wǎng)絡(luò)安全試驗(yàn)平臺，當(dāng)前需要加強(qiáng)以下問題研究：

（1）試驗(yàn)周期管理 （ELM）：把試驗(yàn)項(xiàng)目設(shè)計(jì)、場景構(gòu)建、試驗(yàn)執(zhí)行、數(shù)據(jù)分析4 個(gè)主要階段有機(jī)集成在一起。試驗(yàn)設(shè)計(jì)主要完成試驗(yàn)項(xiàng)目的說明。場景構(gòu)建包括試驗(yàn)場景的抽象描述和場景生成，即把抽象的描述映射到資源分片和仿真平臺上，以上階段的銜接點(diǎn)是試驗(yàn)描述文件，包括對試驗(yàn)靜態(tài)和動(dòng)態(tài)組成的說明。試驗(yàn)執(zhí)行就是腳本的執(zhí)行，在這個(gè)階段包括試驗(yàn)監(jiān)測、控制和數(shù)據(jù)記錄、轉(zhuǎn)儲等。數(shù)據(jù)分析包括了原始數(shù)據(jù)的格式化和結(jié)果分析、提取和發(fā)現(xiàn)，兩者的銜接點(diǎn)是試驗(yàn)數(shù)據(jù)。要實(shí)現(xiàn)整個(gè)試驗(yàn)過程的自動(dòng)化很復(fù)雜，需要開發(fā)試驗(yàn)管理集成平臺，把各種工具集成起來，一體化完成以上各個(gè)階段的處理和不同階段之間的銜接。這其中的關(guān)鍵是標(biāo)準(zhǔn)化，包括標(biāo)準(zhǔn)化的描述語言、標(biāo)準(zhǔn)化的數(shù)據(jù)存儲格式、標(biāo)準(zhǔn)化的平臺服務(wù)等。

（2）試驗(yàn)數(shù)據(jù)分析 （EDA）：由于平臺擴(kuò)展，試驗(yàn)規(guī)模擴(kuò)大等必然帶來大數(shù)據(jù)問題。關(guān)鍵是如何幫助試驗(yàn)者在海量的數(shù)據(jù)記錄中得到試驗(yàn)的期望結(jié)果，或獲取意外的發(fā)現(xiàn)。大數(shù)據(jù)挖掘技術(shù)有助于解決這一問題。Deter開始嘗試建立嚴(yán)格的過程，利用知識的抽取，對試驗(yàn)數(shù)據(jù)進(jìn)行驗(yàn)證。在試驗(yàn)設(shè)計(jì)和場景生成階段，通過說明一些不變的量來驗(yàn)證試驗(yàn)內(nèi)部的相容性；在執(zhí)行階段，這些不變的量用于保證試驗(yàn)的語義得到正確實(shí)現(xiàn)；最后不變量作為試驗(yàn)結(jié)果和解釋的一部分，說明試驗(yàn)產(chǎn)生了期待的結(jié)果或者潛在的令人感興趣的意外的結(jié)果。Deter方法的核心是建立安全試驗(yàn)的語義說明，來幫助試驗(yàn)者 （用戶）完成試驗(yàn)數(shù)據(jù)分析。

7 結(jié)束語

我國在網(wǎng)絡(luò)安全試驗(yàn)平臺建設(shè)上與發(fā)達(dá)國家相比還存在一定差距：一是規(guī)模小，相互之間也沒有實(shí)現(xiàn)邦聯(lián)；二是沒有持續(xù)研究開發(fā)，并且應(yīng)用不足；三是普遍注重硬件建設(shè)，忽略軟件開發(fā)。在安全試驗(yàn)平臺技術(shù)上落后會嚴(yán)重滯后安全技術(shù)發(fā)展。為保障我國網(wǎng)絡(luò)空間的安全，應(yīng)借鑒發(fā)達(dá)國家的經(jīng)驗(yàn)，大力推動(dòng)網(wǎng)絡(luò)安全試驗(yàn)平臺的建設(shè)，可行的辦法是把現(xiàn)有的試驗(yàn)平臺聯(lián)合起來，擴(kuò)大規(guī)模，在技術(shù)上實(shí)現(xiàn)邦聯(lián)，統(tǒng)一資源管理機(jī)制，屏蔽平臺異構(gòu)性，實(shí)現(xiàn)資源的整合；其次大力推動(dòng)應(yīng)用，利用試驗(yàn)平臺解決實(shí)際的安全問題，反過來再推動(dòng)平臺技術(shù)的發(fā)展，并加深對網(wǎng)絡(luò)安全試驗(yàn)學(xué)科的認(rèn)識。

［1］Terry Benzel.The science of cyber security experimentation：The DETER project ［C］//11th Annual Computer Security Applications Conference.ACM，2011.

［2］Jelena Mirkovic，Terry V Benzel，Ted Faber，et al.The DETER project：Advancing the science of cyber security experimentation and test［C］//Proceedings of the IEEE HST Conference，2010.

［3］LIANG Junxue，LIN Zhaowen，MA Yan.The suvey of the future internet experimentation platform ［J］.Journal of Computer，2013，36 （5）：1364－1374 （in Chinese）.［梁軍學(xué)，林昭文，馬嚴(yán).未來互聯(lián)網(wǎng)試驗(yàn)平臺研究綜述 ［J］.計(jì)算機(jī)學(xué)報(bào)，2013，36 （5）：1364－1374.］

［4］ZHANG Chunhuan，LEI Lei，JI Yuefeng.A new network simulation topology generator［J］.Journal of System Simulation，2006，18 （11）：3115－3117 （in Chinese）.［張春環(huán)，雷蕾，紀(jì)越峰.一種新的網(wǎng)絡(luò)仿真拓?fù)渖善?［J］.系統(tǒng)仿真學(xué)報(bào)，2006，18 （11）：3115－3117.］

［5］LI Jin，HUANG Minhuan，KUANG Xiaohui，et al.The research of large－scale network topology generation technology［J］.Computer Engineering and Science，2010，32 （3）：11－13 （in Chinese）.［李津，黃敏桓，況曉輝，等.大規(guī)模網(wǎng)絡(luò)拓?fù)渖杉夹g(shù)研究 ［J］.計(jì)算機(jī)工程與科學(xué)，2010，32 （3）：11－13.］

［6］JING Jiwu，WANG Yuewu，XIANG Ji.Fluid－based largescale worm simulation model of bandwidth limitation ［J］.Journal of Software，2011，22 （9）：2166－2181 （in Chinese）.［荊繼武，王躍武，向繼.基于Fluid的大規(guī)模帶寬限制蠕蟲仿真模型 ［J］，軟件學(xué)報(bào)，2011，22 （9）：2166－2181.］

［7］Alefiya Hussain，Chen Jennifer.Tools for constructing and sharing representative internet topologies［R］.DETER Technical Report，ISI－TR－684，2012.

［8］Papadopoulos F，Psounis K，Govindan R.Performance preserving topological downscaling of internet－like networks ［J］.IEEE Journal on Selected Area in Communications，2006，24（12）：2313－2325.

［9］Yao W M，F(xiàn)ahmy S.Downscaling network scenarios with denial of service （dos）attacks ［C］//Sarnoff Symposium，IEEE，2008：1－6.

［10］Papadopoulos F，Psounis K.Efficient identification of uncongested Internet links for topology downscaling ［J］.ACM SIGCOMM Computer Communication Review，2007，37（5）：39－52.

［11］Roy A，Yocum K，Snoeren A C.Challenges in the emulation of large scale software defined networks［C］//Proceedings of the 4th Asia－Pacific Workshop on Systems.ACM，2013.

［12］Mathieu Lacage，Martin Ferrari，Mads Hansen，et al.NEPI：Using independent simulators，emulators，and testbeds for easy experimentation ［J］.ACM SIGOPS Operating Sys－tems Review Archive，2010，43 （4）：60－65.

［13］Maennel O，Phillips I，Perouli D，et al.Towards a framework for evaluating BGP security ［C］//Proceedings of the 5th Workshop on Cyber Security Experimentation and Test，2012.

［14］Ciraci S，Akyol B.An evaluation of the network simulators in large－scale distributed simulations ［C］//Proceedings of the First International Workshop on High Performance Computing，Networking and Analytics for the Power Grid.ACM，2011：59－66.

［15］Chinnow Joel.Evaluation of attacks and countermeasures in large scale networks ［R］.Lecture Notes in Informatics 192，2011.

［16］Nguyen H，Roughan M，Knight S，et al.How to build complex，large－scale emulated networks［M］.Testbeds and Research Infrastructures.Development of Networks and Communities.Springer Berlin Heidelberg，2011：3－18.

［17］Mirkovic J，Hussain A，F(xiàn)ahmy S，et al.Accurately measuring denial of service in simulation and testbed experiments［J］.IEEE Transactions on Dependable and Secure Computing，2009，6 （2）：81－95.

［18］Krishnamurthy V，F(xiàn)aloutsos M，Chrobak M，et al.Sampling large Internet topologies for simulation purposes ［J］.Computer Networks，2007，51 （15）：4284－4302.

［19］Mirkovic J，Hussain A，Wilson B，et al.Towards user－centric metrics for denial－of－service measurement ［C］//Proceedings of the Workshop on Experimental Computer Science.ACM，2007.