摘 要：虛擬化技術(shù)是以計(jì)算機(jī)系統(tǒng)的仿真模擬，實(shí)現(xiàn)鏡像實(shí)驗(yàn)操作的技術(shù)還原，以便為網(wǎng)絡(luò)信息安全的教學(xué)內(nèi)容提供實(shí)驗(yàn)操作平臺(tái)。但是在以往所使用的相關(guān)產(chǎn)品中，虛擬技術(shù)的模擬效果并未完全發(fā)揮，對(duì)于網(wǎng)絡(luò)攻擊的實(shí)質(zhì)性手段描述并不清晰，對(duì)于高職教學(xué)的支持作用并不顯著。為此，本文設(shè)計(jì)了基于虛擬化技術(shù)的高職網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)，以便為加強(qiáng)教學(xué)實(shí)驗(yàn)平臺(tái)的虛擬化設(shè)計(jì)效果提供理論參考。

關(guān)鍵詞：虛擬化技術(shù)；高職教育；網(wǎng)絡(luò)攻防；實(shí)驗(yàn)平臺(tái)

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2018）08-0156-03

Abstract：The virtualization technology is based on the simulation of the computer system to realize the technology reduction of the mirror experiment operation，so as to provide the experimental platform for the teaching content of the network information security. However，in the related products used in the past，the simulation effect of virtual technology has not been fully played. The description of the substantive means of network attacks is not clear，and the support for higher vocational education is not significant. Therefore，this paper designs an experimental platform of network attack and defense based on virtualization technology in order to provide a theoretical reference for strengthening the effectiveness of the virtual design of the teaching experiment platform.

Keywords：virtualization technology；higher vocational education；network attack and defense；experimental platform

1 高職計(jì)算機(jī)網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)的現(xiàn)狀分析

網(wǎng)絡(luò)安全的實(shí)驗(yàn)課程是高職計(jì)算機(jī)教育的主要部分，需要從主機(jī)安全、網(wǎng)絡(luò)攻防、病毒攻防等方面，引導(dǎo)學(xué)生掌握網(wǎng)絡(luò)攻防技術(shù)，增強(qiáng)網(wǎng)絡(luò)信息安全應(yīng)用的主觀意識(shí)。其教學(xué)內(nèi)容的知識(shí)體系涵蓋量極為豐富，其中涉及到WDX遠(yuǎn)程溢出、社工欺騙、Serv U 5.0遠(yuǎn)程溢出、Shell Code編程、MS SQL遠(yuǎn)程溢出、IDQ提權(quán)、手工入侵共享連接主機(jī)、網(wǎng)站掛馬、Cookies欺騙上傳等方面的網(wǎng)絡(luò)攻防知識(shí)點(diǎn)。采取實(shí)驗(yàn)教學(xué)的方案，是將網(wǎng)絡(luò)攻擊的具體類型在虛擬實(shí)驗(yàn)平臺(tái)為學(xué)生展示，同時(shí)在講解相關(guān)技術(shù)之后，由學(xué)生自行練習(xí)應(yīng)用多種技術(shù)防范網(wǎng)絡(luò)攻擊的方法及針對(duì)措施。目前我國(guó)高職院校的計(jì)算機(jī)信息類課程，在講解相關(guān)知識(shí)點(diǎn)時(shí)已經(jīng)逐步開展了虛擬實(shí)驗(yàn)教學(xué)內(nèi)容，能夠在很大程度上加強(qiáng)教學(xué)水平和質(zhì)量。由于網(wǎng)絡(luò)安全的實(shí)驗(yàn)類課程本身具有一定的破壞性與特殊性，因此在相應(yīng)的教學(xué)工作中通常需要采用獨(dú)立的網(wǎng)絡(luò)環(huán)境，搭建基于硬件系統(tǒng)的物理實(shí)驗(yàn)平臺(tái)，或者是基于軟件系統(tǒng)的仿真模擬實(shí)驗(yàn)平臺(tái)。

雖然現(xiàn)有的仿真技術(shù)及其培訓(xùn)產(chǎn)品最大限度地發(fā)揮了網(wǎng)絡(luò)實(shí)驗(yàn)教學(xué)的優(yōu)勢(shì)，提供了諸多服務(wù)功能，但在網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)環(huán)節(jié)中仍然存在部分問(wèn)題。一方面，由于網(wǎng)絡(luò)環(huán)境本身的復(fù)雜性較為突出，如果僅依靠硬件或軟件技術(shù)很難模擬真實(shí)的網(wǎng)絡(luò)環(huán)境，對(duì)于網(wǎng)絡(luò)攻防場(chǎng)景或拓?fù)浣Y(jié)構(gòu)的呈現(xiàn)都較為片面，無(wú)法為學(xué)生提供完整網(wǎng)絡(luò)攻防轉(zhuǎn)換機(jī)制的解析。另一方面，網(wǎng)絡(luò)攻擊的形式均以遠(yuǎn)程操作為主，在實(shí)驗(yàn)教學(xué)中相對(duì)封閉的內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)并不足以描述網(wǎng)絡(luò)攻擊的意圖、動(dòng)機(jī)、行為、方式，以及傾向或入侵路徑。因此，學(xué)生在理解網(wǎng)絡(luò)攻擊模式的過(guò)程中很難架構(gòu)起宏觀的網(wǎng)絡(luò)體系認(rèn)知?；谝陨蟽牲c(diǎn)因素，需要進(jìn)一步研究網(wǎng)絡(luò)攻擊實(shí)驗(yàn)教學(xué)平臺(tái)的廣域網(wǎng)絡(luò)架構(gòu)模式，并通過(guò)遠(yuǎn)程操作的演練，加強(qiáng)高職計(jì)算機(jī)專業(yè)學(xué)生對(duì)于網(wǎng)絡(luò)攻擊模式的感受和體驗(yàn)效果。

2 基于虛擬化技術(shù)的網(wǎng)絡(luò)攻擊實(shí)驗(yàn)平臺(tái)功能設(shè)定

本研究所設(shè)計(jì)的教學(xué)實(shí)驗(yàn)平臺(tái)是基于虛擬化技術(shù)的構(gòu)建，結(jié)合多種媒體功能融入視頻、音頻、文字、圖像等信息，為學(xué)生構(gòu)建更為符合真實(shí)網(wǎng)絡(luò)環(huán)境的虛擬實(shí)驗(yàn)項(xiàng)目，從而加強(qiáng)學(xué)生對(duì)于網(wǎng)絡(luò)攻擊的理解與認(rèn)知。在借助網(wǎng)絡(luò)共享資源的基礎(chǔ)上，實(shí)現(xiàn)對(duì)于網(wǎng)絡(luò)安全的實(shí)驗(yàn)內(nèi)容，并及時(shí)收集反饋信息和實(shí)驗(yàn)數(shù)據(jù)，以便為學(xué)生提供更為全面的教學(xué)引導(dǎo)。該仿真模擬系統(tǒng)的教學(xué)平臺(tái)由8個(gè)模塊組成，分別為：遠(yuǎn)程接入控制模塊、虛擬仿真攻擊數(shù)據(jù)模塊、虛擬靶機(jī)云模塊、擴(kuò)展設(shè)備兼容模塊、監(jiān)控子系統(tǒng)輔助模塊、管理中心執(zhí)行模塊、實(shí)驗(yàn)數(shù)據(jù)配置模塊、教學(xué)運(yùn)行管理模塊。

2.1 遠(yuǎn)程接入控制模塊

遠(yuǎn)程接入控制模塊是支持客戶端并入網(wǎng)絡(luò)環(huán)境的基礎(chǔ)條件，需要完成終端系統(tǒng)與仿真虛擬平臺(tái)的信息對(duì)接，從而支持后續(xù)網(wǎng)絡(luò)攻防實(shí)驗(yàn)的操作信息備注與實(shí)時(shí)提取，支持信息安全實(shí)驗(yàn)課題的順利進(jìn)行。

2.2 虛擬仿真攻擊數(shù)據(jù)模塊

虛擬仿真攻擊數(shù)據(jù)模塊是利用虛擬化技術(shù)，依據(jù)常規(guī)網(wǎng)絡(luò)攻擊的類型設(shè)定實(shí)驗(yàn)參數(shù)。同時(shí)可以為L(zhǎng)inux虛擬機(jī)或Windows虛擬機(jī)自動(dòng)生成基于不同攻擊類型的防護(hù)工具，以便為實(shí)驗(yàn)教學(xué)操作提供相應(yīng)的技術(shù)支持。

2.3 虛擬靶機(jī)云模塊

虛擬實(shí)驗(yàn)操作中，需要模擬網(wǎng)絡(luò)攻擊的真實(shí)情況，而虛擬靶機(jī)云模塊則是在利用虛擬技術(shù)后實(shí)現(xiàn)攻擊方案的必要支持?？梢葬槍?duì)不同的系統(tǒng)漏洞模擬出相應(yīng)的虛擬靶機(jī)，從而為學(xué)生操作提供參考范式，理解防護(hù)軟件在應(yīng)對(duì)網(wǎng)絡(luò)攻擊時(shí)的運(yùn)行機(jī)制。

2.4 擴(kuò)展設(shè)備兼容模塊

設(shè)計(jì)擴(kuò)展設(shè)備兼容模塊是考察硬件系統(tǒng)與軟件系統(tǒng)的兼容性，在虛擬設(shè)備介入實(shí)驗(yàn)環(huán)境之后，需要分別配置入侵檢測(cè)、防火墻、安全審計(jì)等功能，從而為實(shí)驗(yàn)環(huán)境構(gòu)建更為真實(shí)的網(wǎng)絡(luò)攻擊參照。

2.5 監(jiān)控子系統(tǒng)輔助模塊

監(jiān)控子系統(tǒng)輔助模塊是在實(shí)驗(yàn)教學(xué)中及時(shí)獲取網(wǎng)絡(luò)數(shù)據(jù)的重要功能，從而總結(jié)虛擬機(jī)在網(wǎng)絡(luò)數(shù)據(jù)信息交互過(guò)程中的運(yùn)行機(jī)制監(jiān)控。在完成網(wǎng)絡(luò)數(shù)據(jù)信息交換之后，便可以在實(shí)驗(yàn)操作中總結(jié)網(wǎng)絡(luò)數(shù)據(jù)的端口下載數(shù)據(jù)信息進(jìn)程，進(jìn)而模擬網(wǎng)絡(luò)攻擊數(shù)據(jù)的信息容量或攻擊模式。

2.6 管理中心執(zhí)行模塊

管理中心執(zhí)行模塊主要負(fù)責(zé)統(tǒng)計(jì)管理數(shù)據(jù)的相關(guān)內(nèi)容，包括虛擬操作系統(tǒng)的鏡像庫(kù)、攻擊軟件工具、虛擬機(jī)維護(hù)、平臺(tái)賬戶管理等方面。

2.7 實(shí)驗(yàn)數(shù)據(jù)配置模塊

實(shí)驗(yàn)數(shù)據(jù)配置模塊主要用于對(duì)接局域網(wǎng)內(nèi)或者互聯(lián)網(wǎng)用戶信息的配置內(nèi)容，通過(guò)模擬網(wǎng)絡(luò)數(shù)據(jù)的動(dòng)態(tài)化虛擬靶機(jī)，與虛擬網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)信息進(jìn)行交互，并在假定的IP地址內(nèi)完成數(shù)據(jù)新的發(fā)布與呈現(xiàn)，從而加強(qiáng)網(wǎng)絡(luò)攻擊模擬實(shí)驗(yàn)的真實(shí)性與體驗(yàn)度。

2.8 教學(xué)運(yùn)行管理模塊

教學(xué)運(yùn)行管理模塊主要負(fù)責(zé)實(shí)時(shí)發(fā)布和管理教學(xué)信息，加強(qiáng)虛擬實(shí)驗(yàn)平臺(tái)與教學(xué)內(nèi)容的互動(dòng)，通過(guò)成績(jī)測(cè)評(píng)的數(shù)據(jù)檔案完善對(duì)于學(xué)生學(xué)習(xí)近況的了解程度，并配置教學(xué)成果展示功能，為學(xué)生實(shí)驗(yàn)操作的相關(guān)信息創(chuàng)造共享機(jī)制，展現(xiàn)實(shí)驗(yàn)操作效果，并加強(qiáng)網(wǎng)絡(luò)攻擊實(shí)驗(yàn)教學(xué)管理的時(shí)效性。

3 基于虛擬化技術(shù)的高職網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)設(shè)計(jì)方案

3.1 虛擬實(shí)驗(yàn)平臺(tái)硬件結(jié)構(gòu)

本研究所設(shè)計(jì)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)平臺(tái)采用了模擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)方案，應(yīng)用服務(wù)器主要為Dell R910，同時(shí)每一臺(tái)服務(wù)器都需要與交換機(jī)相互鏈接。一方面，互聯(lián)網(wǎng)端口內(nèi)鏈接了網(wǎng)絡(luò)云存儲(chǔ)的相關(guān)內(nèi)容，并借助防火墻與系統(tǒng)內(nèi)部設(shè)置了虛擬防護(hù)體系，可以在網(wǎng)絡(luò)防護(hù)設(shè)備的保護(hù)下完成網(wǎng)絡(luò)攻擊模擬操作。而借助防火墻配置多樣性的網(wǎng)絡(luò)攻擊模式，也可以令學(xué)生更為真實(shí)地體驗(yàn)到網(wǎng)絡(luò)攻擊意圖、傾向、運(yùn)行機(jī)制等重要信息，以便加強(qiáng)學(xué)生對(duì)于網(wǎng)絡(luò)安全知識(shí)的掌握程度。

該虛擬環(huán)境中存儲(chǔ)了外部網(wǎng)絡(luò)云新的系統(tǒng)操作漏洞，或者軟件程序漏洞，能夠鏡像還原Linux或Windows的虛擬靶機(jī)案例，從而為指導(dǎo)學(xué)生了解網(wǎng)絡(luò)攻擊程序與方式提供參考案例。另一方面，在網(wǎng)絡(luò)云端存儲(chǔ)的交互數(shù)據(jù)，可以保存攻擊類型的系統(tǒng)鏡像文件，從而利用數(shù)據(jù)信息的可對(duì)比性，加強(qiáng)Linux虛擬系統(tǒng)與Windows虛擬系統(tǒng)的攻擊實(shí)例真實(shí)性。借助局域網(wǎng)絡(luò)鏈接VPN網(wǎng)關(guān)，從而為虛擬機(jī)的仿真操作提供便捷性，支持多種防護(hù)技術(shù)的合并運(yùn)用，引導(dǎo)學(xué)生了解網(wǎng)絡(luò)攻擊防護(hù)手段的針對(duì)性與協(xié)調(diào)性。

3.2 虛擬實(shí)驗(yàn)平臺(tái)軟件系統(tǒng)架構(gòu)

虛擬機(jī)實(shí)驗(yàn)操作的平臺(tái)需要完成網(wǎng)絡(luò)信息的交互，從而為學(xué)生提供多種網(wǎng)絡(luò)攻擊數(shù)據(jù)的可參考信息內(nèi)容。在設(shè)計(jì)虛擬實(shí)驗(yàn)平臺(tái)軟件系統(tǒng)架構(gòu)的過(guò)程中，本研究結(jié)合了S3與Amazon EC2的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)服務(wù)模型。由Nova端口負(fù)責(zé)調(diào)派資源案例的虛擬機(jī)執(zhí)行條件，通過(guò)Glance為實(shí)驗(yàn)數(shù)據(jù)提供鏡像虛擬化的操作范本對(duì)接。然后利用Network所提供的網(wǎng)絡(luò)連接模型，以及Cinder所提供的外接服務(wù)內(nèi)容，從Ceilometer中完成關(guān)鍵數(shù)據(jù)收集的虛擬機(jī)服務(wù)，并應(yīng)用在數(shù)據(jù)統(tǒng)計(jì)、監(jiān)控、報(bào)警等實(shí)用性功能中。最后，借助Swift和Glance所創(chuàng)建的鏡像存儲(chǔ)服務(wù)，完善Cinder所設(shè)計(jì)的備份服務(wù)內(nèi)容，最終組建完整的虛擬服務(wù)場(chǎng)景。通過(guò)服務(wù)器節(jié)點(diǎn)和控制服務(wù)器的操作模式，加強(qiáng)服務(wù)器控制效果，從節(jié)點(diǎn)信息中提取實(shí)驗(yàn)操作數(shù)據(jù)的鏡像信息，為虛擬靶機(jī)的設(shè)定提供網(wǎng)絡(luò)鏈接的可操作性，加強(qiáng)多樣化網(wǎng)絡(luò)結(jié)構(gòu)的模擬效果。

3.3 虛擬實(shí)驗(yàn)平臺(tái)的操作流程解析

虛擬實(shí)驗(yàn)平臺(tái)在初始化階段，需要管理員從信息庫(kù)中設(shè)置相應(yīng)的操作實(shí)驗(yàn)標(biāo)準(zhǔn)、口令，及用戶標(biāo)識(shí)，為所有登錄賬號(hào)設(shè)置標(biāo)準(zhǔn)一致的磁盤空間，制定學(xué)生操作的實(shí)驗(yàn)類型。學(xué)生可以依據(jù)不同的實(shí)驗(yàn)類型選擇虛擬機(jī)鏡像文件，并創(chuàng)建自身的磁盤空間虛擬攻擊案例。配置模塊將默認(rèn)網(wǎng)關(guān)、子網(wǎng)掩碼、IP地址、DNS服務(wù)，以及虛擬攻擊實(shí)例錄入網(wǎng)絡(luò)存儲(chǔ)空間。學(xué)生在登錄虛擬空間之后，可以利用網(wǎng)絡(luò)存儲(chǔ)提供的攻擊案例，檢測(cè)虛擬系統(tǒng)中的安全漏洞。在具備攻擊條件的虛擬空間內(nèi)，也可以逐步驗(yàn)證操作流程的正確性，以及是否防范了網(wǎng)絡(luò)攻擊的入侵條件，進(jìn)而通過(guò)實(shí)踐操作，引導(dǎo)學(xué)生掌握網(wǎng)絡(luò)攻擊的特征、參數(shù)、性質(zhì)等重要信息。

學(xué)生也可以在受到虛擬網(wǎng)絡(luò)攻擊時(shí)，選擇虛擬機(jī)所提供的防護(hù)工具，在虛擬靶機(jī)的實(shí)例參考之下完成對(duì)于虛擬系統(tǒng)的保護(hù)操作。為了加強(qiáng)虛擬空間對(duì)于網(wǎng)絡(luò)環(huán)境的客觀體驗(yàn)效果，學(xué)生在虛擬靶機(jī)的實(shí)例操作中，可以配置防火墻技術(shù)，并將虛擬靶機(jī)的相關(guān)案例歸納在防火墻技術(shù)范疇，從而加強(qiáng)實(shí)例教學(xué)引導(dǎo)的針對(duì)性。利用所配置的網(wǎng)絡(luò)攻擊工具與防護(hù)工具，加強(qiáng)虛擬靶機(jī)對(duì)于實(shí)例網(wǎng)絡(luò)攻擊的描述效果與可控性。同時(shí)可以借助監(jiān)控模塊捕獲流經(jīng)虛擬攻擊機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包，并保存虛擬攻擊案例及其操作日志，為后續(xù)教學(xué)講解環(huán)節(jié)提供支持。在虛擬實(shí)驗(yàn)平臺(tái)中，學(xué)生作為網(wǎng)絡(luò)用戶也可隨時(shí)下載監(jiān)控模塊捕獲的網(wǎng)絡(luò)攻擊信息，從而為實(shí)驗(yàn)結(jié)果的分析提供參考。實(shí)驗(yàn)完成后，監(jiān)控模塊可以自動(dòng)還原網(wǎng)絡(luò)攻擊防護(hù)的案例對(duì)比，以便為學(xué)生實(shí)驗(yàn)操作提供對(duì)比數(shù)據(jù)，支持學(xué)生理解和掌握網(wǎng)絡(luò)攻擊類型的差異性，以及網(wǎng)絡(luò)攻擊防護(hù)措施的針對(duì)性。

4 結(jié) 論

綜上所述，在網(wǎng)絡(luò)攻擊仿真模擬實(shí)驗(yàn)中，其實(shí)驗(yàn)平臺(tái)的可操作性、對(duì)比性、參考性是加強(qiáng)虛擬化仿真效果的重要支持。為了加強(qiáng)高職實(shí)驗(yàn)平臺(tái)的應(yīng)用效果，需要完善虛擬實(shí)驗(yàn)平臺(tái)硬件結(jié)構(gòu)，以及虛擬實(shí)驗(yàn)平臺(tái)軟件系統(tǒng)架構(gòu)，最后通過(guò)更加契合實(shí)際情況的網(wǎng)絡(luò)攻擊數(shù)據(jù)及參考案例，引導(dǎo)學(xué)生加強(qiáng)針對(duì)網(wǎng)絡(luò)安全知識(shí)的理解程度，發(fā)揮出虛擬網(wǎng)絡(luò)實(shí)驗(yàn)平臺(tái)的技術(shù)優(yōu)勢(shì)，以期高職網(wǎng)絡(luò)安全教育的質(zhì)量與水平穩(wěn)步提升。

參考文獻(xiàn)：

[1] 王顥瑾.基于云計(jì)算和虛擬化的計(jì)算機(jī)網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)平臺(tái)建設(shè)探索 [J].信息與電腦（理論版），2018（4）：79-80.

[2] 楊瓊.基于虛擬現(xiàn)實(shí)的高職網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)設(shè)計(jì) [J].電子世界，2018（4）：179-180.

[3] 黎水林，陳廣勇.基于虛擬化技術(shù)的網(wǎng)絡(luò)攻防仿真平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn) [J].信息網(wǎng)絡(luò)安全，2016（S1）：117-120.

[4] 陳艷雪，趙建平，張楠.基于虛擬化的遠(yuǎn)程有線網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)平臺(tái)研究 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（11）：113-114.

作者簡(jiǎn)介：許曉燕（1978-），女，漢族，青海西寧人，講師。研究方向：計(jì)算機(jī)網(wǎng)絡(luò)、計(jì)算機(jī)應(yīng)用。