宣樂飛

【摘 要】云計(jì)算技術(shù)具有利用率高、可擴(kuò)展性強(qiáng)、部署靈活的特點(diǎn)。本平臺(tái)采用開源云計(jì)算技術(shù)Openstack進(jìn)行設(shè)計(jì)與架構(gòu)。通過綜合管理模塊，對(duì)課件、靶機(jī)、題庫(kù)、模板等資源進(jìn)行統(tǒng)一管理與維護(hù)。使用綜合云管理平臺(tái)，對(duì)教學(xué)實(shí)訓(xùn)、仿真攻防、實(shí)戰(zhàn)對(duì)抗等功能進(jìn)行集中監(jiān)控與管理。采用SDN技術(shù)對(duì)各種設(shè)備和環(huán)境以圖形化方式進(jìn)行自由組合，快速生成各種目標(biāo)場(chǎng)景。同時(shí)，通過動(dòng)態(tài)Flag和異常行為監(jiān)控，保證實(shí)訓(xùn)比賽的公正性，最終為信息安全類專業(yè)開展教學(xué)實(shí)訓(xùn)和比賽提供有效的實(shí)戰(zhàn)訓(xùn)練環(huán)境。

【關(guān)鍵詞】網(wǎng)絡(luò)空間安全；云計(jì)算；Openstack；SDN

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)： 2095-2457（2018）08-0036-002

Design and implementation of cyberspace security training platform

XUAN Le-fei

（Information Engineering Institute， Hangzhou Vocational & Technical College， Hangzhou， Zhejiang 310018， China）

【Abstract】Cloud computing technology has the characteristics of high utilization， scalability and flexible deployment. The platform is designed and constructed by open source cloud computing technology Openstack. Through the comprehensive management module of the courseware and drone database template and other resources for unified management and maintenance. The integrated cloud management platform is used for centralized monitoring and management of teaching practice， simulation attack and defense， actual combat and other functions. SDN technology is used to freely assemble various devices and environments in graphical ways， and generate various target scenes quickly. At the same time， through dynamic Flag and abnormal behavior monitoring， to ensure the fairness of the training competition， and ultimately provide effective training and training environment for the cyber security specialty.

【Key words】Cyberspace security； Cloud computing； Openstack； SDN

0 引言

網(wǎng)絡(luò)空間安全是國(guó)家安全的重要組成部分，已經(jīng)上升到與政治安全、經(jīng)濟(jì)安全、領(lǐng)土安全等并駕齊驅(qū)的戰(zhàn)略高度?！熬W(wǎng)絡(luò)空間的競(jìng)爭(zhēng)，歸根結(jié)底是人才競(jìng)爭(zhēng)?！?然而，在網(wǎng)絡(luò)安全課程實(shí)際教學(xué)過程中，各院校普遍存在網(wǎng)絡(luò)硬件建設(shè)成本過高、安全攻防環(huán)境落后等問題，不能有效滿足課堂教學(xué)與實(shí)訓(xùn)的要求。

1 網(wǎng)絡(luò)空間安全實(shí)訓(xùn)平臺(tái)存在問題分析[1]

自從伊朗震網(wǎng)病毒和斯諾登事件后，國(guó)家之間的信息化戰(zhàn)愈演愈烈。為應(yīng)對(duì)網(wǎng)絡(luò)安全與信息化戰(zhàn)爭(zhēng)的攻擊，許多國(guó)家都開始建立網(wǎng)絡(luò)武器訓(xùn)練場(chǎng)-“靶場(chǎng)”。美國(guó)國(guó)防高級(jí)研究計(jì)劃局在2008年開始“國(guó)家網(wǎng)絡(luò)靶場(chǎng)”項(xiàng)目建設(shè)。英國(guó)首個(gè)商用聯(lián)合賽博實(shí)驗(yàn)靶場(chǎng)——漢姆工廠由諾格公司于2010年正式成立。

而國(guó)內(nèi)的網(wǎng)絡(luò)攻防平臺(tái)建設(shè)相對(duì)比較滯后。部分平臺(tái)借助傳統(tǒng)網(wǎng)絡(luò)技術(shù)完成平臺(tái)的架構(gòu)，設(shè)施設(shè)備投入高，部署難度大，管理困難。同時(shí)，傳統(tǒng)網(wǎng)絡(luò)環(huán)境受限與網(wǎng)絡(luò)廠商，技術(shù)更新慢，對(duì)于新型攻擊的響應(yīng)速度更慢，這樣勢(shì)必會(huì)影響對(duì)于新型網(wǎng)絡(luò)攻擊的研究，也無法做好有效的防御。為解決上述問題，部分廠商使用專用設(shè)備通過虛擬化技術(shù)搭建實(shí)訓(xùn)環(huán)境，部分解決了硬件資源價(jià)格高的問題，但也存在二次開發(fā)困難，平臺(tái)更新、擴(kuò)展與遷移不便的問題。

2 網(wǎng)絡(luò)空間安全實(shí)訓(xùn)平臺(tái)關(guān)鍵技術(shù)研究

2.1 云計(jì)算技術(shù)

云計(jì)算是分布式計(jì)算、并行計(jì)算、效用計(jì)算、網(wǎng)絡(luò)存儲(chǔ)、虛擬化、負(fù)載均衡等傳統(tǒng)計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物[2]。亞馬遜、微軟、谷歌、阿里等互聯(lián)網(wǎng)巨頭均推出了各自的商用云計(jì)算平臺(tái)。對(duì)于網(wǎng)絡(luò)空間安全實(shí)訓(xùn)平臺(tái)，使用商業(yè)平臺(tái)存在很多安全風(fēng)險(xiǎn)，而開源云計(jì)算管理平臺(tái)由于其標(biāo)準(zhǔn)化和開放性，同時(shí)能夠提高資源的統(tǒng)一管理與利用效率，是構(gòu)建實(shí)訓(xùn)平臺(tái)的理想選擇。OpenStack是最著名的開源云計(jì)算管理平臺(tái)，其以Apache許可證授權(quán)的自由軟件和開放源代碼項(xiàng)目，支持絕大部分類型的云環(huán)境，也便于用戶進(jìn)行二次開發(fā)[3]。

本平臺(tái)在實(shí)現(xiàn)過程中，使用Nova、Neutron和Cinder模塊完成實(shí)訓(xùn)平臺(tái)（網(wǎng)絡(luò)靶場(chǎng)）的構(gòu)建。分布式存儲(chǔ)環(huán)境的搭建則使用Swift模塊這一可擴(kuò)展的對(duì)象存儲(chǔ)系統(tǒng)。而虛擬機(jī)的注冊(cè)、創(chuàng)建與使用等則通過Glance模塊完成。平臺(tái)的用戶、角色管理與權(quán)限分配則有Keystone模塊完成。通過該設(shè)計(jì)，完成實(shí)訓(xùn)平臺(tái)的快速部署與實(shí)施，同時(shí)滿足攻防場(chǎng)景的快速切換。

2.2 SDN技術(shù)

SDN（軟件定義網(wǎng)絡(luò)）是網(wǎng)絡(luò)虛擬化的一種實(shí)現(xiàn)方式[4]。通過openflow技術(shù)，網(wǎng)絡(luò)空間安全實(shí)訓(xùn)平臺(tái)將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離，實(shí)現(xiàn)網(wǎng)絡(luò)流量的靈活控制。管理員或者用戶可以通過SDN技術(shù)，將各種網(wǎng)絡(luò)設(shè)備以圖形化的方式進(jìn)行自由組合，生成各種網(wǎng)絡(luò)靶場(chǎng)環(huán)境，達(dá)到模擬各種真實(shí)網(wǎng)絡(luò)拓?fù)浠蛘吣繕?biāo)場(chǎng)景的功能。

2.3 防作弊技術(shù)

國(guó)內(nèi)對(duì)信息安全重視程度與日俱增，各項(xiàng)信息安全類競(jìng)賽層出不窮，其中CTF在線競(jìng)賽模式是最常見的比賽方式。不管是解題模式、攻防模式還是混合模式，均以選手提交正確的Flag為判斷的依據(jù)。為了防止選手通過非正常途徑獲取Flag，本平臺(tái)采用多種防作弊技術(shù)進(jìn)行控制，保證比賽的公平與公正。

（1）動(dòng)態(tài)Flag

傳統(tǒng)平臺(tái)中，每一賽題的Flag是唯一的，可能被用戶非法獲取。而采用動(dòng)態(tài)Flag方式，則可以避免該問題的產(chǎn)生。其具體工作原理如下：用戶發(fā)出做題申請(qǐng)后，系統(tǒng)自動(dòng)生成一個(gè)動(dòng)態(tài)Flag并保存。將該動(dòng)態(tài)Flag替換賽題中的對(duì)應(yīng)信息，保證不同用戶對(duì)同一個(gè)題目或者同一個(gè)用戶對(duì)不同的題目均擁有不同的Flag。用戶完成賽題提交Flag后，與服務(wù)器端保存的Flag進(jìn)行匹配，判斷是否得分。為保證Flag的唯一性，可以將用戶名、習(xí)題信息和時(shí)間戳等關(guān)鍵信息進(jìn)行加密處理，生成相應(yīng)的字符串。

（2）異常行為監(jiān)控

除了非法獲取Flag，非法獲取解題思路更加隱蔽。需要平臺(tái)通過監(jiān)控選手比賽過程中的異常行為，結(jié)合大數(shù)據(jù)進(jìn)行分析。本平臺(tái)會(huì)記錄比賽選手的IP地址、參賽token、解題路徑、提交時(shí)間等特征數(shù)據(jù)，對(duì)IP地址異變、答題異常等提出報(bào)警并記錄日志，一方面為現(xiàn)場(chǎng)裁判評(píng)判提供相關(guān)證據(jù)支持，同時(shí)也便于后續(xù)的大數(shù)據(jù)分析。

3 網(wǎng)絡(luò)空間安全實(shí)訓(xùn)平臺(tái)的主要功能

網(wǎng)絡(luò)空間安全實(shí)訓(xùn)平臺(tái)由攻防實(shí)戰(zhàn)和綜合管理兩大模塊組成。其中，攻防實(shí)戰(zhàn)模塊主要提供教學(xué)實(shí)訓(xùn)、仿真攻防、實(shí)戰(zhàn)對(duì)抗等主要功能。而綜合管理模塊提供對(duì)于課程、靶機(jī)、題庫(kù)、模板等管理與維護(hù)。整個(gè)平臺(tái)通過綜合管理云平臺(tái)IMCP進(jìn)行統(tǒng)一管理。

在教學(xué)實(shí)訓(xùn)功能中，設(shè)置了涵蓋主機(jī)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)庫(kù)安全、應(yīng)用安全、物聯(lián)網(wǎng)安全等的相關(guān)課程，并輔以相應(yīng)的實(shí)訓(xùn)項(xiàng)目，讓學(xué)習(xí)者可以根據(jù)自身需求，進(jìn)行個(gè)性化的選擇。項(xiàng)目難度按照初、中、高進(jìn)行分類，學(xué)習(xí)者可以通過層級(jí)化的學(xué)習(xí)，逐步提高能力。

在仿真攻防功能中，主要通過SDN技術(shù)實(shí)現(xiàn)虛擬網(wǎng)絡(luò)環(huán)境的快速搭建，學(xué)習(xí)者可以在該仿真環(huán)境中進(jìn)行攻防滲透測(cè)試，提高平臺(tái)的使用安全性。

在實(shí)戰(zhàn)對(duì)抗功能中，平臺(tái)可以搭建真實(shí)的企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)或者外部互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)場(chǎng)景，通過個(gè)人或者分組等方式進(jìn)行對(duì)抗比賽。比賽過程可通過平臺(tái)進(jìn)行可視化實(shí)時(shí)展示，提高了趣味性和觀賞性。通過攻防對(duì)抗，可以讓學(xué)習(xí)者發(fā)現(xiàn)企業(yè)業(yè)務(wù)系統(tǒng)中存在的真實(shí)問題，進(jìn)而分析解決辦法。

4 網(wǎng)絡(luò)空間安全實(shí)訓(xùn)平臺(tái)的應(yīng)用

以完成SQL注入實(shí)訓(xùn)項(xiàng)目為例。學(xué)習(xí)者可以先進(jìn)入平臺(tái)，選取相應(yīng)的實(shí)訓(xùn)項(xiàng)目。在實(shí)訓(xùn)項(xiàng)目中包含有相關(guān)的實(shí)訓(xùn)要求和步驟。接著學(xué)習(xí)者創(chuàng)建相應(yīng)的實(shí)訓(xùn)環(huán)境。系統(tǒng)會(huì)根據(jù)該實(shí)訓(xùn)的環(huán)境，選擇對(duì)應(yīng)的模板生成相關(guān)的靶機(jī)資源。由于采用云技術(shù)，平臺(tái)生成單個(gè)靶機(jī)的時(shí)間為8秒左右。批量生成100個(gè)靶機(jī)的平均時(shí)間為30秒左右。因此，教師現(xiàn)場(chǎng)為全班同學(xué)開展相關(guān)實(shí)訓(xùn)也不存在太大的問題。最后，學(xué)習(xí)者根據(jù)實(shí)訓(xùn)步驟，完成相關(guān)的實(shí)訓(xùn)操作。針對(duì)社會(huì)學(xué)習(xí)者的不連續(xù)學(xué)習(xí)需求，平臺(tái)會(huì)保留該靶機(jī)6小時(shí)，并可以手工延長(zhǎng)時(shí)間或提前銷毀。如果實(shí)訓(xùn)時(shí)間結(jié)束后，系統(tǒng)會(huì)自動(dòng)釋放靶機(jī)，回收相關(guān)資源，提高資源的使用效率。

5 結(jié)束語

通過云計(jì)算技術(shù)，本平臺(tái)可以節(jié)約用戶50%左右的前期硬件投入。高校可利用自身的硬件資源，進(jìn)行平臺(tái)的建設(shè)工作。同時(shí)，通過一次規(guī)劃，分批采購(gòu)的方式，保證平臺(tái)具有足夠的彈性和可擴(kuò)展性，實(shí)現(xiàn)硬件的可兼容性和軟件的及時(shí)更新性。通過該方式，減輕了使用者設(shè)備維護(hù)與教學(xué)管理的壓力，為專業(yè)人才培養(yǎng)提供了有力的支撐。

【參考文獻(xiàn)】

[1]康辰，朱志祥.基于云計(jì)算平臺(tái)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)[J].西安郵電大學(xué)學(xué)報(bào)，2013，18（3）：87-91.

[2]張力，周漢清.基于云計(jì)算技術(shù)的網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)平臺(tái)設(shè)計(jì)[J].軟件導(dǎo)刊，2015，14（9）：188-191.

[3]葉建鋒，張平安，高月芳.基于Openstack的網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺(tái)設(shè)計(jì)與構(gòu)建[J].實(shí)驗(yàn)技術(shù)與管理，2016，33（3）：86-89.

[4]張朝昆，崔勇，唐翯翯，吳建平.軟件定義網(wǎng)絡(luò)（SDN）研究進(jìn)展[J].軟件學(xué)報(bào)，2015（01）：62-81.