黃曉芳

(西南科技大學 計算機科學與技術(shù)學院， 四川 綿陽 621000)

網(wǎng)絡(luò)攻防實驗平臺開發(fā)與實現(xiàn)

黃曉芳

(西南科技大學 計算機科學與技術(shù)學院， 四川 綿陽 621000)

為了增強網(wǎng)絡(luò)攻防實驗訓練的真實性、降低攻防訓練對真實實驗用機的影響和提高實驗配置效率，設(shè)計并實現(xiàn)了基于虛擬機技術(shù)的網(wǎng)絡(luò)攻防對抗平臺。該平臺采用B/S架構(gòu)，通過在平臺上集成虛擬機技術(shù)，快速地恢復整個實驗網(wǎng)絡(luò)系統(tǒng)，減少實驗室配置人員的工作量，實現(xiàn)了攻防對抗實驗?zāi)０宓脑诰€制作和發(fā)放，適用于遠程教育系統(tǒng)。測試結(jié)果表明，該系統(tǒng)性能穩(wěn)定，可以滿足相關(guān)實驗要求。

網(wǎng)絡(luò)攻防； 虛擬機技術(shù)； 實驗?zāi)０?/p>

隨著計算機網(wǎng)絡(luò)飛速發(fā)展,互聯(lián)網(wǎng)給社會帶來了新的革命,同時也面臨著網(wǎng)絡(luò)安全方面的威脅,計算機網(wǎng)絡(luò)安全的研究已經(jīng)形成一門屬于計算機領(lǐng)域中的新興學科。目前,國內(nèi)開設(shè)信息安全專業(yè)的本科院校已有幾十余所,且數(shù)量在逐年增加,其中西安電子科大、解放軍信息工程學院、武漢大學、北京郵電大學等均設(shè)有信息安全專業(yè),并形成自己的信息安全培養(yǎng)模式。而在網(wǎng)絡(luò)攻防實驗教學方面,各高校也各具特色,但是也有比較突出的問題[1-4],比如:網(wǎng)絡(luò)攻防技術(shù)的教學具有非常強的實驗性,但由于網(wǎng)絡(luò)攻防技術(shù)本身所具有的特殊性和破壞性,使得該類教學的實驗難以開展；對網(wǎng)絡(luò)攻防的真實情況很難完全模擬,有的也是少量的基于仿真環(huán)境,實驗條件相對落后；有些僅僅進行一些簡單的加密/解密、防火墻或者入侵檢測等方面的實驗,而對于網(wǎng)絡(luò)對抗等更進一步的實驗基本沒有涉及；教師在實驗環(huán)境配置及修復方面花費大量精力。由于該實驗設(shè)備要求較高,對于遠程教育無法開展課程訓練,阻礙了信息安全學科在遠程教育中的發(fā)展。

因此,本文通過設(shè)計開發(fā)網(wǎng)絡(luò)攻防實驗平臺,實現(xiàn)網(wǎng)絡(luò)攻防環(huán)境的配置分發(fā)和快速恢復,減輕教師的實驗室環(huán)境配置的壓力,實現(xiàn)實驗環(huán)境的自動修復和分發(fā),學員也可以遠程登錄實驗系統(tǒng)進行實驗操作。

1 系統(tǒng)設(shè)計

1.1 系統(tǒng)總體設(shè)計

開發(fā)的網(wǎng)絡(luò)攻防實驗平臺集成VMware平臺技術(shù),整合現(xiàn)有實驗設(shè)計要求,實現(xiàn)網(wǎng)絡(luò)攻防實驗環(huán)境的配置分發(fā),給學生提供了真實的攻防環(huán)境[5]。同時,系統(tǒng)利用虛擬機技術(shù)[6],快速地恢復整個實驗網(wǎng)絡(luò)系統(tǒng),減少實驗室配置人員的工作量。該平臺總體結(jié)構(gòu)如圖1所示,網(wǎng)絡(luò)攻防實驗系統(tǒng)由控制端、實驗及用戶信息數(shù)據(jù)庫、服務(wù)器等組成,VMware集成在實驗系統(tǒng)中,提供虛擬靶機的環(huán)境。教師或?qū)W生可以登錄實驗系統(tǒng),進行實驗上傳和分發(fā),以及進行相應(yīng)的實驗操作。

圖1 網(wǎng)絡(luò)攻防實驗系統(tǒng)總體結(jié)構(gòu)

本系統(tǒng)采用B/S總體構(gòu)架,系統(tǒng)按對象分模塊進行設(shè)計。所設(shè)計的模塊有用戶信息管理模塊、實驗操作平臺和評分系統(tǒng)。在實驗操作平臺中設(shè)置按鈕,當學生進入實驗操作平臺并點擊按鈕,學生將自動進入相應(yīng)的實驗。該系統(tǒng)集成現(xiàn)有VMware相關(guān)技術(shù),整合了實驗設(shè)計要求、完成實驗的自動配置及實驗成績評分等功能,給學生提供了真實的攻防環(huán)境。同時,系統(tǒng)使用虛擬技術(shù)有效地保護現(xiàn)有系統(tǒng),減少了教師的工作量，能快速地恢復整個實驗網(wǎng)絡(luò)系統(tǒng)。該系統(tǒng)擬分為4層:GUI(圖形用戶界面層)、應(yīng)用邏輯層、業(yè)務(wù)邏輯層以及數(shù)據(jù)層,如圖2所示。

圖2 網(wǎng)絡(luò)攻防實驗系統(tǒng)結(jié)構(gòu)層次

(1) GUI層。目標是為終端用戶(包括學生、教師及實驗室管理員)提供一個便于執(zhí)行實驗系統(tǒng)配置及信息管理的友好界面。GUI用戶界面通過瀏覽器工作,以JSP技術(shù)實現(xiàn),用戶以瀏覽網(wǎng)頁的形式實現(xiàn)對系統(tǒng)的訪問。

(2) 應(yīng)用邏輯層。目標是根據(jù)用戶在GUI層的配置以及操作,通過調(diào)用數(shù)據(jù)層完成相關(guān)的操作。主要應(yīng)用邏輯模塊包括用戶管理、實驗系統(tǒng)管理、實驗信息配置以及日志管理模塊。

(3) 業(yè)務(wù)邏輯層。目標是針對數(shù)據(jù)層中的用戶信息和實驗信息進行處理,能根據(jù)課程需求進行實驗系統(tǒng)模板配置及分發(fā)部署工作。

(4) 數(shù)據(jù)層。目標是對用戶信息和實驗信息存儲,并提供數(shù)據(jù)庫增、刪、改、查等操作的接口。

1.2 系統(tǒng)詳細設(shè)計

系統(tǒng)開發(fā)采用VMislab,這是一個基于VMware虛擬機技術(shù)的教學用實驗平臺[7],結(jié)構(gòu)簡單,與VMware Labmanager相比[8],更適合教學使用。VMislab與 VMware Labmanager的比較如表1所示。

表1 VMislab與 VMware Labmanager的比較

本系統(tǒng)中,ISExp Web處于系統(tǒng)最高層,直接與用戶交互,完成用戶的所有請求,其中包括用戶管理(用戶注冊、登錄、注銷、權(quán)限、管理)和實驗管理模塊(管理、實驗權(quán)限、學生參加實驗、克隆實驗?zāi)０?、控制虛擬機、查看虛擬機狀態(tài)、獲取虛擬機IP、上傳下載實驗報告)。通過ISExp Web與VM Server交互,控制和監(jiān)控虛擬機的操作,其中服務(wù)器使用Twisted,在服務(wù)器內(nèi)部會維護一個虛擬機句柄池,用于控制所有運行中的虛擬機。在用戶與Web交互過程中,Web控制命令的執(zhí)行流程，并發(fā)送相關(guān)任務(wù)給數(shù)據(jù)庫及VM Server,VM Server收到任務(wù)后開始執(zhí)行,并將任務(wù)結(jié)果轉(zhuǎn)發(fā)給數(shù)據(jù)庫做更新處理。系統(tǒng)設(shè)計結(jié)構(gòu)見圖3。

圖3 系統(tǒng)設(shè)計結(jié)構(gòu)

虛擬機API采用python封裝VIX。在系統(tǒng)實現(xiàn)中,需要保證學生能將系統(tǒng)與實驗用虛擬機的連通,有兩個方案,一是改造網(wǎng)絡(luò)，將實驗虛擬機劃到某子網(wǎng),并添加對應(yīng)的路由,這涉及到對舊網(wǎng)絡(luò)的改造，復雜性較大；二是使用VPN連接到提供虛擬機的實體機,實體機提供到虛擬機的網(wǎng)絡(luò),這種不涉及到對已有網(wǎng)絡(luò)的任何改造。因此本次采用方案二。

1.3 系統(tǒng)功能

本系統(tǒng)采用B/S總體構(gòu)架,系統(tǒng)按對象分模塊進行設(shè)計。所設(shè)計的模塊有用戶信息管理模塊、實驗操作平臺和評分系統(tǒng),當學生進入實驗操作平臺并點擊進入,學生將自動進入相應(yīng)的實驗。該系統(tǒng)集成現(xiàn)有VMware相關(guān)技術(shù),整合實驗設(shè)計要求,完成實驗的自動配置及實驗成績評分等功能,給學生提供了真實的攻防環(huán)境。同時,系統(tǒng)使用虛擬技術(shù)有效地保護現(xiàn)有系統(tǒng),減少了教師的工作量，并能快速地恢復整個實驗網(wǎng)絡(luò)系統(tǒng)。如圖4所示,本系統(tǒng)包括3個功能模塊。

圖4 網(wǎng)絡(luò)攻防實驗系統(tǒng)模塊設(shè)計

(1) 用戶信息管理模塊。該模塊包括學生、教師及管理員等個人信息的管理,當用戶(學生/教師/管理員)注冊后,就可以用自己的賬號登錄,不同的角色,對應(yīng)的權(quán)限不同。教師可以上傳實驗題目和分發(fā)實驗配置環(huán)境；學生則直接進入本次課程實驗要求,點擊實驗環(huán)境,即進行相應(yīng)的實驗；管理員則是對整個系統(tǒng)的用戶及配置進行管理。

(2) 實驗操作平臺。主要提供給學生和教師一個實驗操作的環(huán)境。教師在該平臺可以對實驗題目及要求進行設(shè)置,并配置相應(yīng)的實驗環(huán)境,按照教學要求分發(fā)給不同的實驗班。學生登錄該平臺后,則直接進入相應(yīng)的實驗?zāi)K,可以看到實驗要求和步驟,并按實驗要求開始實驗操作。同時,該平臺還提供試題設(shè)置功能,教師可以根據(jù)大綱需要,對每個實驗設(shè)置相應(yīng)的試題等,學生完成實驗后,可以完成試題解答,加深實驗印象。

(3) 評分系統(tǒng)。主要提供實驗題目的得分點設(shè)置管理以及自動評分功能。自動評分功能的實現(xiàn)途徑是通過實驗得分點給出得分。

2 系統(tǒng)測試

本實驗系統(tǒng)涵蓋了網(wǎng)絡(luò)安全教學的絕大多數(shù)內(nèi)容,能夠開設(shè)5大類25 個實驗項目,從漏洞掃描到中級網(wǎng)絡(luò)攻擊與防御等實驗。系統(tǒng)采用B/S架構(gòu),方便用戶使用。實驗管理員可以先根據(jù)實驗要求,做好實驗?zāi)０?登錄實驗?zāi)０骞芾砟K,選擇用戶組,設(shè)定使用模板的權(quán)限密碼,并選擇模板保存后,即可分發(fā)下去,實驗?zāi)０骞芾眄撁嬉妶D5。

圖5 實驗?zāi)０骞芾眄撁?/p>

用戶登錄后,可以看到被分發(fā)的實驗?zāi)０?選擇Start,會自動執(zhí)行做好的實驗?zāi)０?并可以在該頁面上傳實驗報告,查看實驗執(zhí)行情況等。用戶管理頁面見圖6。

圖6 用戶管理頁面

用戶點擊“Start”后,系統(tǒng)會自動連接到VM Server并跳轉(zhuǎn)到預(yù)先發(fā)布的實驗?zāi)０逯?啟動頁面見圖7。

圖7 實驗?zāi)０鍐禹撁?/p>

通過該系統(tǒng),教師可以預(yù)先定制好實驗系統(tǒng)模板,并分發(fā)給相應(yīng)學生進行實驗,系統(tǒng)集成現(xiàn)有VMware相關(guān)技術(shù),整合實驗設(shè)計要求、完成實驗的自動配置及實驗成績評分等功能,給學生提供了真實的攻防環(huán)境。

本實驗教學平臺與其他系統(tǒng)[9-11]相比較的特色在于:

(1) 由于網(wǎng)絡(luò)攻防技術(shù)發(fā)展較快,本系統(tǒng)支持教師隨時根據(jù)實驗內(nèi)容自定義并上傳實驗?zāi)０?并分發(fā)給實驗操作人員,模擬真實的實驗環(huán)境,實驗?zāi)０鍩o需固化在系統(tǒng)中；

(2) 實驗系統(tǒng)中,可以針對每次實驗自動設(shè)置評分點,根據(jù)學生操作及報告情況給出評分結(jié)果；

(3) 采用B/S架構(gòu),支持遠程教育及學生在任何時間和地點登錄系統(tǒng)進行實驗操作。

同時,系統(tǒng)使用虛擬機技術(shù)實現(xiàn)實驗系統(tǒng)的自動恢復,減少了教師的工作量,支持遠程在線進行網(wǎng)絡(luò)攻防實驗的需求。經(jīng)測試,結(jié)果達到預(yù)期的設(shè)計目標。

3 總結(jié)展望

本文開發(fā)的網(wǎng)絡(luò)攻防對抗實驗平臺克服了傳統(tǒng)網(wǎng)絡(luò)安全實驗系統(tǒng)部署困難、恢復工作量大等缺點,采用虛擬機技術(shù),實現(xiàn)了通過定制和分發(fā)實驗?zāi)０宓姆绞?完成攻防實驗的自動配置和恢復,能夠快速部署和恢復實驗系統(tǒng)。該系統(tǒng)不僅適合高校及遠程教育網(wǎng)絡(luò)安全課程的教學實驗,也可用于社會培訓機構(gòu)的崗前技能培訓。

References)

[1] 董輝,馬建.基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實驗平臺的構(gòu)建[J].齊齊哈爾大學學報(自然科學版),2012,28(2):67-72.

[2] 康辰.朱志祥.基于云計算技術(shù)的網(wǎng)絡(luò)攻防實驗平臺[J].西安郵電大學學報,2013,18(3):87-91.

[3] 崔陽華.基于 OpenStack的網(wǎng)絡(luò)攻防實驗平臺設(shè)計與實現(xiàn)[J].山東工業(yè)技術(shù), 2015(4):130.

[4] 張梁斌,俞華豐,高昆.單機環(huán)境中網(wǎng)絡(luò)攻防實戰(zhàn)演練平臺的設(shè)計與研究[J].實驗技術(shù)與管理,2014,31(10):144-147.

[5] 潘麗敏,羅森林,柯萌.網(wǎng)絡(luò)動態(tài)攻防實踐平臺研制[J].實驗技術(shù)與管理,2012,39(9):89-92.

[6] 孔軼艷.網(wǎng)絡(luò)攻防模擬實驗平臺的設(shè)計與實現(xiàn)[J].通信技術(shù),2012(11):37-39,43.

[7] 王艷青,溫丹麗. 基于局域網(wǎng)的入侵檢測系統(tǒng)測試平臺設(shè)計與實現(xiàn)[J]. 計算機工程與設(shè)計, 2008, 29( 9): 2215-2216, 2232.

[8] VMware, Inc.VMware vSphere5.5文檔中心[EB/OL]. (2014-9-9)[2014-11-21].http://pubs.vmware.com/vsphere-55/index.jsp.

[9] 翟繼強,陳宜冬. 虛擬網(wǎng)絡(luò)安全實驗平臺[J]. 實驗室研究與探索, 2009,28(6):79-82.

[10] 張艷伶,黃聲烈,高艷華. 網(wǎng)絡(luò)信息安全教學實驗系統(tǒng)平臺的構(gòu)建 [J]. 實驗技術(shù)與管理, 2008,25(10):66-68.

[11] 謝慧,邵瑋,聶峰.基于B/S架構(gòu)的遠程網(wǎng)絡(luò)攻防實驗室的研究與開發(fā)[J].天津理工大學學報,2012(6):44-47.

Development and realization of experimental platform for network attack and defense

Huang Xiaofang

(School of Computer Science and Technology, Southwest University of Science and Technology, Mianyang 621000, China)

To enhance the authenticity of the experimental training for network attack and defense, reduce the impact of such training on the real experimental machine, and improve the efficiency of the experimental configuration, the platform for the network attack and defense based on virtual machine technology is designed and realized. The platform adopts B/S structure, and through the integration of the virtual machine technology at the platform, the entire experimental network system can be quickly restored, the workload of the laboratory staff can be reduced, and the online production and distribution of attack-defense experimental templates are realized, which is suitable for remote education. The test results show that the system is stable, and can meet the requirements of relevant experiments.

network attack and defense; virtual machine technology; experimental template

10.16791/j.cnki.sjg.2017.05.019

2016-11-29

國家自然科學基金項目(61303230)。

黃曉芳(1977—),女，四川綿陽，博士，副教授，從事信息安全研究.

E-mail：huangxiaofang@swust.edu.cn

TP393

A

1002-4956(2017)5-0073-04