程國輝，趙 霓（遼寧郵電規(guī)劃設(shè)計院有限公司，遼寧沈陽110179）

0 引言

互聯(lián)網(wǎng)的發(fā)展使全球各行各業(yè)的數(shù)據(jù)呈現(xiàn)爆發(fā)式增長和海量聚集的特點，大數(shù)據(jù)平臺日益成為國家管理、社會治理、經(jīng)濟發(fā)展、人民生活的重要基礎(chǔ)設(shè)施。平臺存放了大量的國家、社會和企業(yè)數(shù)據(jù)，甚至還有國家敏感部門的靜態(tài)和實時數(shù)據(jù)。目前大數(shù)據(jù)平臺的系統(tǒng)還不能抵抗所有的網(wǎng)絡(luò)定向攻擊，而便利的互聯(lián)網(wǎng)電子數(shù)據(jù)流可以攻擊網(wǎng)絡(luò)的每個角落。原貴陽市委書記陳剛在面對龐大的大數(shù)據(jù)產(chǎn)業(yè)園和密集的機柜設(shè)備時，曾經(jīng)說過“弱不禁風卻感覺良好，重病纏身而渾然不知”。外表規(guī)模巨大的大數(shù)據(jù)體系和脆弱的安全防護形成了強烈的反差。

國家提出要加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護，強化國家關(guān)鍵數(shù)據(jù)資源保護能力，增強數(shù)據(jù)安全預警和溯源能力，切實維護廣大人民群眾利益、社會穩(wěn)定、國家安全，加強網(wǎng)絡(luò)和大數(shù)據(jù)安全研究，保護大數(shù)據(jù)不受侵擾、盜竊，在互聯(lián)網(wǎng)各關(guān)鍵節(jié)點設(shè)置防御阻滯攻擊手段勢在必行。但互聯(lián)網(wǎng)網(wǎng)絡(luò)空間斗爭比現(xiàn)實斗爭更加激烈，同樣充滿硝煙。國家互聯(lián)網(wǎng)應急中心發(fā)布的《2017年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》顯示，我國境內(nèi)感染遠程控制木馬、僵尸網(wǎng)絡(luò)木馬和流量劫持木馬的主機數(shù)量分列前3位，分別達843萬、239萬和30萬臺主機。

本文正是基于以上背景，采用“以實戰(zhàn)化訓練增強實戰(zhàn)化能力，在戰(zhàn)斗中解決戰(zhàn)斗”的思路，提出符合實際情況的網(wǎng)絡(luò)靶場建設(shè)方案，搭建平時攻防演練，戰(zhàn)時主動進攻的靶場平臺。

1 網(wǎng)絡(luò)靶場發(fā)展現(xiàn)狀

1.1 國外方案研究

2008年1月，美國率先啟動國家賽博靶場項目（NCR——National Cyber Range），建設(shè)目標是提供虛擬環(huán)境來模擬真實的網(wǎng)絡(luò)做攻防，針對敵對方做電子攻擊和網(wǎng)絡(luò)攻擊試驗，以維護美國的全球網(wǎng)絡(luò)霸權(quán)，保證在未來網(wǎng)絡(luò)戰(zhàn)爭中掌握絕對主動權(quán)。NCR項目的主要特點如下。

a）完全重現(xiàn)真實的物理網(wǎng)絡(luò)物理拓撲結(jié)構(gòu)，配置有核心、匯聚路由器、三層交換機、BAS和SR服務器、防火墻、入侵檢測設(shè)備、有線無線接入等。

b）通過系統(tǒng)掃描和整理，力圖整理網(wǎng)絡(luò)節(jié)點中各種計算機平臺和網(wǎng)絡(luò)服務的工作狀態(tài)和關(guān)鍵接口（主要針對計算機系統(tǒng)和硬盤數(shù)據(jù)存儲區(qū)域）。

c）從制度上總結(jié)并分析不同安全意識等級網(wǎng)管人員的管理策略、方法以及工作習慣（主要針對人員管理和保密習慣）。

d）將攻防日志形成記錄，根據(jù)所提供的數(shù)據(jù)進行處理和分析，將結(jié)果展現(xiàn)給研究人員和指戰(zhàn)員，再次完善系統(tǒng)。

2010年10月，英國國防大臣認為網(wǎng)絡(luò)安全已經(jīng)成為國家的重大挑戰(zhàn)，有必要建設(shè)網(wǎng)絡(luò)實驗場。該網(wǎng)絡(luò)靶場由美國軍火商諾·格公司搭建，是第一個可以用于商業(yè)用途的網(wǎng)絡(luò)靶場。其基本體系結(jié)構(gòu)包括評估、組件測試、研發(fā)和訓練4個方面，基本上照搬美國的NCR模式，但對網(wǎng)絡(luò)仿真模擬進行了局部優(yōu)化。

1.2 國內(nèi)方案研究

截至2017年，我國網(wǎng)絡(luò)靶場建設(shè)仍然處于項目研究和起步階段，但是研發(fā)和實驗平臺已經(jīng)形成一定規(guī)模。依托國內(nèi)部分省市大數(shù)據(jù)平臺，在部分大學校園內(nèi)建立了網(wǎng)絡(luò)攻防靶場實戰(zhàn)競賽平臺，在封閉的真實對抗環(huán)境（包括DMZ區(qū)、數(shù)據(jù)區(qū)、內(nèi)網(wǎng)服務區(qū)、終端）中開展攻防演練。但是，在國家級網(wǎng)絡(luò)靶場建設(shè)方面，目前只有貴陽經(jīng)濟開發(fā)區(qū)著手建設(shè)國家大數(shù)據(jù)安全靶場，其平臺的主要出發(fā)點，多立足于技術(shù)人員的訓練提升，和國際上網(wǎng)絡(luò)實戰(zhàn)需求相比，還存在一定差距。

本文結(jié)合國外靶場平臺建設(shè)情況，分析國內(nèi)電信網(wǎng)絡(luò)、大數(shù)據(jù)網(wǎng)絡(luò)架構(gòu)特性和數(shù)據(jù)存儲模式，依據(jù)軟件設(shè)計模塊理論和人工智能專家系統(tǒng)的知識模型，提出靶場建設(shè)系統(tǒng)軟件架構(gòu)設(shè)計思路和架構(gòu)設(shè)想。

2 網(wǎng)絡(luò)架構(gòu)及數(shù)據(jù)存儲

2.1 城域網(wǎng)組網(wǎng)模式

國內(nèi)通信運營商網(wǎng)絡(luò)分為骨干網(wǎng)、省網(wǎng)以及城域網(wǎng)。城域網(wǎng)是一個城市范圍內(nèi)的重要通信網(wǎng)。在網(wǎng)絡(luò)安全的攻防中，最重要、競爭最激烈的部分均在城域網(wǎng)中發(fā)生。城域網(wǎng)均建有核心路由器，用于對業(yè)務控制點（SR）和寬帶接入服務器（BRAS）的匯接。其中，SR主要用于互聯(lián)網(wǎng)專線、行業(yè)應用、集團虛擬專網(wǎng)的接入，BRAS主要用于公眾用戶的語音、互聯(lián)網(wǎng)、IP?TV等流媒體業(yè)務的接入。

無論是美國還是英國的靶場攻防系統(tǒng)，均沒有考慮攻擊過程中的截擊方案，這就好比飛行的箭雨落在了最后的盾牌上，而沒有在攻擊箭飛行的路途中予以消滅。城域網(wǎng)中易于攻擊的關(guān)鍵部位包括SR和BRAS，在關(guān)鍵部位可以采取特殊的截擊措施。

現(xiàn)有的城域網(wǎng)架構(gòu)將向SDN架構(gòu)發(fā)展演進，SDN將網(wǎng)絡(luò)設(shè)備上的控制權(quán)分離出來，由集中的控制器管理，不再依賴底層網(wǎng)絡(luò)設(shè)備（路由器、交換機、防火墻）。網(wǎng)絡(luò)管理員可以通過編程的方式對網(wǎng)絡(luò)路由和規(guī)則策略進行修改，從而實現(xiàn)更好的數(shù)據(jù)交換性能。因此，SDN以及相關(guān)的程序設(shè)計軟件將成為網(wǎng)絡(luò)及大數(shù)據(jù)安全防護的核心陣地，共同構(gòu)成官方的“陣地戰(zhàn)”體系。

2.2 大數(shù)據(jù)存儲模式

現(xiàn)有的大數(shù)據(jù)中心包括政府部門、大企業(yè)和行業(yè)機構(gòu)，主要采用以下2種方式進行建設(shè)：一是建設(shè)獨立機房，配置網(wǎng)絡(luò)和防火墻設(shè)備，建立DMZ區(qū)域；二是將所建設(shè)的服務器平臺放置于運營商IDC機房中或者放置于各地政府獨立建設(shè)的大數(shù)據(jù)中心機房矩陣機柜中。無論采用上述哪種方式，均要利用DMZ技術(shù)開發(fā)相應的防火墻解決方案。DMZ通常是一個過濾的子網(wǎng)，它在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造了一個安全地帶，其網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

DMZ區(qū)域通常包括堡壘主機、Modem池以及所有的公共服務器。這些已經(jīng)配置的設(shè)備，需要通過計算機軟件進行編程，經(jīng)內(nèi)部接口連接到靶場系統(tǒng)中，形成防御體系。

3 網(wǎng)絡(luò)靶場建設(shè)方案

3.1 軟件架構(gòu)總體設(shè)計

本文在深刻理解國外靶場軟件系統(tǒng)的基礎(chǔ)上，將已經(jīng)建設(shè)于城域網(wǎng)的互聯(lián)網(wǎng)網(wǎng)絡(luò)監(jiān)測功能、網(wǎng)絡(luò)控制設(shè)備信息、防火墻、入侵檢測與防御系統(tǒng)（IDS和IPS）、網(wǎng)絡(luò)殺毒、統(tǒng)一威脅管理（UTM）和構(gòu)建于系統(tǒng)上的靶場軟件通過軟硬件平臺一體化設(shè)計，形成一個有力且全方位、靈活反應、多層次階梯截擊、“陣地戰(zhàn)和人民戰(zhàn)爭相結(jié)合”的攻防體系平臺，其軟件建設(shè)邏輯層次方案如圖2所示。

圖1 常見的大數(shù)據(jù)存儲服務器DMZ結(jié)構(gòu)

圖2 網(wǎng)絡(luò)靶場攻防軟件體系設(shè)計框架

攻防操作界面：此部分供攻防演練人員和系統(tǒng)維護人員使用。從功能上看，為了增加對敵、對己的了解，專門設(shè)計雷達掃描功能模塊，通過此模塊掃描預備攻擊地點網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)組成單元、大數(shù)據(jù)所在位置、IP地址規(guī)劃、網(wǎng)絡(luò)協(xié)議等。此項功能在非作戰(zhàn)狀態(tài)下可用來收集情報，并將相關(guān)信息存儲到網(wǎng)絡(luò)數(shù)據(jù)模型庫中，以備戰(zhàn)時之需。攻擊模塊分為網(wǎng)絡(luò)攻擊和數(shù)據(jù)攻擊2個部分，它可以針對敵方的網(wǎng)絡(luò)安全體系和數(shù)據(jù)服務器存儲安全體系分別采用對應的工具進行攻擊，模擬實戰(zhàn)。

知識資源系統(tǒng)：設(shè)置獨立的日常情報庫，在和平時期，收集世界各地的網(wǎng)絡(luò)組網(wǎng)信息，包括網(wǎng)絡(luò)拓撲、設(shè)備種類、路由策略、端口狀態(tài)、關(guān)鍵設(shè)備的漏洞登記等；在日常雷達掃描中，及時發(fā)現(xiàn)對方的有關(guān)數(shù)據(jù)和安全管理信息文檔并不斷更新。

計算推演系統(tǒng)：引入AI功能，利用神經(jīng)元網(wǎng)絡(luò)系統(tǒng)對防御和攻擊不斷進行演練和學習，在模擬實戰(zhàn)中獲取經(jīng)驗，在攻防中不斷進步。AI功能讓系統(tǒng)能自主學習，從而不斷升級知識庫和專家推演系統(tǒng)，并通過輸出報告的方式供人工檢閱。系統(tǒng)可以根據(jù)預定攻擊對象，模擬生成對方的網(wǎng)絡(luò)環(huán)境，在動態(tài)實時準確的模擬環(huán)境下演練攻擊程序。

軟硬件支撐平臺：不建議采用B/S模式進行建設(shè)，應直接基于云計算平臺，增加系統(tǒng)的可靠性和多CPU運行能力，與互聯(lián)網(wǎng)中的SDN/SFN互聯(lián)，與大數(shù)據(jù)中的防火墻、堡壘機互聯(lián)，并通過對方已經(jīng)開發(fā)的軟件模塊進行互動。

遠程數(shù)據(jù)模塊和遠程網(wǎng)絡(luò)模塊：兼做網(wǎng)絡(luò)防護和網(wǎng)絡(luò)進攻。作為防御模塊時，可以存放在網(wǎng)絡(luò)中的關(guān)鍵設(shè)備（如SR、BRAS、CR、OLT）上或集中存放在SDN服務器上，在數(shù)據(jù)存儲區(qū)域的防護服務上運行，與網(wǎng)絡(luò)攻防演練系統(tǒng)互動；作為進攻模塊時，可以開發(fā)為類似病毒植入軟件，在雷達掃描發(fā)現(xiàn)漏洞后將該模塊潛伏注入軟件，在戰(zhàn)斗時呼應主體軟件系統(tǒng)的喚醒，從而進入工作模式。

3.2 網(wǎng)絡(luò)探測算法

若將一個城域網(wǎng)比作一座城池，對于進攻方來說，掌握該城市架構(gòu)和城防系統(tǒng)是取得進攻勝利的關(guān)鍵。本套系統(tǒng)的關(guān)鍵技術(shù)是雷達掃描，而雷達掃描是通過系統(tǒng)自動探測計算與人工手段相互補充的模式實現(xiàn)的。

在城域網(wǎng)的網(wǎng)絡(luò)作戰(zhàn)中，首先要掌握對方網(wǎng)絡(luò)，策反必要的間諜網(wǎng)元（SPY NetUnit），也叫探子，其主要任務是發(fā)送目的端口號為1024～65535的UDP數(shù)據(jù)包，由探測源S向路由器接口M發(fā)送，利用路由器返回端口不可達報文來標識該路由器的各接口（用近端接口標識該路由器，并將其他接口置于該路由器的“其他接口”信息中）。探測的目標包括對方的出口路由器、匯聚路由器、BRAS、DNS服務器、FTP路由器、SDN網(wǎng)絡(luò)服務器等各個路由器控制的IP地址及端口所在的網(wǎng)段。本系統(tǒng)摒棄了早期基于原始協(xié)議（ping和tra?cert）獲得拓撲的方法，借鑒相對成熟的基于SNMP的拓撲發(fā)現(xiàn)算法。這是因為早期算法發(fā)現(xiàn)速度慢，受限條件多，準確性不高。目前國外如HP公司已經(jīng)開發(fā)出了基于SNMP拓撲發(fā)現(xiàn)算法的真實產(chǎn)品，該算法簡單、易實現(xiàn)，發(fā)現(xiàn)速度快且結(jié)果準確，缺點是必須有間諜網(wǎng)元或者間諜設(shè)備配合才能獲取到SNMP協(xié)議口令。

探子的培養(yǎng)和策反涉及到病毒和木馬技術(shù)，其中比較容易策反的是網(wǎng)絡(luò)中的計算機或服務器設(shè)備。由于路由器采用嵌入式操作系統(tǒng)或基于UNIX的操作系統(tǒng)，在策反中必須借助人工手段來竊取Profile文件，才能擦除密碼，順利進入系統(tǒng)。路由表中包含了豐富的網(wǎng)絡(luò)拓撲信息，是網(wǎng)絡(luò)拓撲結(jié)構(gòu)的邏輯映像。通過分析數(shù)據(jù)包的目的地址和路由表中的網(wǎng)絡(luò)地址，可確定數(shù)據(jù)包的正確流向。分析路由器的部分路由表，可以看出：若交付類型為直接投遞，則可以判斷目的子網(wǎng)與該路由器直連；若交付類型為間接投遞，則此時下一跳項指向了該路由器直連的下一個路由器B。然后，通過訪問路由器B的路由表，又可以獲知它的直連網(wǎng)絡(luò)與直連路由器。這樣依此類推進行遍歷訪問，最后可生成整個網(wǎng)絡(luò)的拓撲結(jié)構(gòu)。

先假設(shè)路由器Ri和Rj，通過某2個接口間接連接，然后判斷該連接是否和路由器Ri、Rj的AFT中已有信息相矛盾。如果找不到矛盾，則這個連接可能存在；如果矛盾，則這條連接肯定不存在，具體如圖3所示。

圖3 路由器之間端口直連關(guān)系判定算法示意圖

根據(jù)子網(wǎng)內(nèi)路由器之間的間接連接關(guān)系，就可以確定路由器之間的直接連接關(guān)系。設(shè)子網(wǎng)內(nèi)的所有路由器構(gòu)成的集合為G，根據(jù)STP協(xié)議，路由器之間將構(gòu)成一棵樹。任選其中一個路由器Ri為根，假設(shè)Ri通過n個端口與其他路由器構(gòu)成間接連接，則可以將GRi構(gòu)成一個子集，子集中包含n個元素，每個元素是與Ri的某個端口p之間間接連接的路由器的集合，設(shè)為Gp，在Gp中任選一個路由器Rj，則Rj必然通過某個端口q和Ri的端口p存在間接連接關(guān)系。如果Ri不通過端口q與Gp中的其他路由器間接連接，則可以判定Ri的端口q與Rj的端口p是直接連接狀態(tài)，這就是AFT利用集合數(shù)學算法的基本思想。

假設(shè)以R1作為種子，或者作為被策反的設(shè)備，可從其管理信息庫（MIB）中取出每個路由器的接口地址和子網(wǎng)掩碼，并據(jù)此計算出各個子網(wǎng)的子網(wǎng)地址。

假設(shè)X為網(wǎng)絡(luò)中的某個路由器，則Xi為該路由器的某個接口，從MIB中取出的路由器Xi的接口地址集合為：IP-SET={x|x∈路由器的接口地址}

從MIB中取出的子網(wǎng)掩碼地址集合為：Mask-SET={y|y∈路由器的子網(wǎng)掩碼}

由于1個接口地址對應1個子網(wǎng)掩碼，而且接口地址x與其對應的子網(wǎng)掩碼y兩者邏輯相與可以得到網(wǎng)絡(luò)號 i，即 Xi∈IP-SET 可以唯一確定一個 Yi∈Mask-SET，即 Xi→Yi。

令Zi=Xi&Yi，則Zi即為子網(wǎng)地址集合，設(shè)該集合為Sub-Net。根據(jù)IP地址規(guī)范，可以從子網(wǎng)掩碼推測可能的IP地址。

綜上，得出計算可能IP地址的方法。

a）Xi∈IP-SET 唯一確定 Yi∈Mask-SET，即 Xi→Yi。

b）將兩者相與，即Zi=Xi&Yi。

c）根據(jù)子網(wǎng)掩碼得到非零部分的可能值與Zi相加，就可以得到可能IP地址的集合，設(shè)該集合為Gu?seeIP-Set。本系統(tǒng)綜合采用STP算法，借鑒實際獲得的資料，根據(jù)網(wǎng)管所得到的設(shè)備屬性，采用人工手段對獲取的網(wǎng)絡(luò)結(jié)構(gòu)進行修正完善。

3.3 進攻路徑

如圖4所示，在發(fā)生對抗時，根據(jù)策反設(shè)備或者Spy netUnit發(fā)送的IGMP包和MIB獲得的路由表，分析對方路由器網(wǎng)絡(luò)結(jié)構(gòu)。同理，BRAS設(shè)備的網(wǎng)絡(luò)結(jié)構(gòu)也是可以分析的，通過設(shè)備ID號，可獲得所有網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)圖。首先進攻網(wǎng)絡(luò)路由，以“掐斷”要害部位為目的。一般情況下，對方的網(wǎng)絡(luò)系統(tǒng)和大數(shù)據(jù)系統(tǒng)較為完善、龐大，因此，一定要保證在最短的時間內(nèi)讓要害部位“中斷”運行，達到“一劍鎖喉”的目的。其次，要根據(jù)進攻目的，進行局部細分區(qū)域進攻。獲取并下載所需要的數(shù)據(jù)，必要時破壞其數(shù)據(jù)，然后對DMZ區(qū)域進行進攻。最后，采用枚舉試探進攻，根據(jù)已經(jīng)獲取的防護口令，依次對路由進行循環(huán)攻擊測試，直至達到目的為止。由于這種方式耗時較長，因此，在進攻過程中可以靈活依次采用事先設(shè)定好的程序分別進行嘗試攻擊。

3.4 方案特點

圖4 網(wǎng)絡(luò)靶場進攻路由顯示

與已經(jīng)公開的攻防演練系統(tǒng)相比，本方案具有如下特點。

a）本方案融合已有的網(wǎng)絡(luò)安全技術(shù)和大數(shù)據(jù)存儲安全技術(shù)，完成攻防一體化設(shè)計。

b）建設(shè)平臺可以作為區(qū)域級的軟件設(shè)計架構(gòu)基礎(chǔ)。

c）將AI引入攻防系統(tǒng)設(shè)計，系統(tǒng)自動建立保護機制和對抗復雜攻擊能力。

d）本方案增加雷達掃描功能模塊，在戰(zhàn)時可以主動快速獲取對方情況；在和平時期可以用于防御監(jiān)測，收集整理網(wǎng)絡(luò)上的情報資源，分類存儲，記錄可攻擊區(qū)域。

3.5 應用舉例

目前，基于上述方案的攻防系統(tǒng)已部署在某城市IP城域網(wǎng)內(nèi)進行實戰(zhàn)演練。該市屬于網(wǎng)絡(luò)戰(zhàn)密集地帶，演練采用網(wǎng)絡(luò)靶場模式，系統(tǒng)連接于該市城域網(wǎng)。考慮到我國的軍事特點，在實踐中優(yōu)先使用系統(tǒng)的防御功能；探測系統(tǒng)只作為仿真模擬，沒有實際投入到對別國網(wǎng)絡(luò)結(jié)構(gòu)的探測和攻擊測試中。

圖5為網(wǎng)絡(luò)雷達對抗子系統(tǒng)和網(wǎng)絡(luò)防御子系統(tǒng)在實際使用中的展現(xiàn)。通過掃描該市的網(wǎng)絡(luò)，可知其自身的安全性為86分，掃描中發(fā)現(xiàn)其中一個匯聚節(jié)點存在被攻擊的可能性；通過網(wǎng)絡(luò)整理和自修復，網(wǎng)絡(luò)的對外防御能力達到97分，網(wǎng)絡(luò)系統(tǒng)達成預定目標，防御系統(tǒng)運行正常并發(fā)揮作用。為抵御來自其他國家的網(wǎng)絡(luò)攻擊，該系統(tǒng)還需要進一步提高安全等級，尤其是城域網(wǎng)內(nèi)的各種計算機和服務器設(shè)備，需加強漏洞修補，避免成為敵對國家的探子。

圖5 系統(tǒng)運行演示圖

4 未來發(fā)展與展望

網(wǎng)絡(luò)大數(shù)據(jù)攻防演練系統(tǒng)作為我國大數(shù)據(jù)發(fā)展過程中新生事物，一方面承擔著現(xiàn)有計算機網(wǎng)絡(luò)和大數(shù)據(jù)平臺的安全防護功能，另一方面也要為將來可能發(fā)生的網(wǎng)絡(luò)戰(zhàn)爭做好鋪墊準備。在日常的網(wǎng)絡(luò)安全學習和培訓中，攻防演練系統(tǒng)也可以作為基礎(chǔ)知識學習和實踐平臺，幫助學員進一步熟悉FTP服務器攻擊、木馬查殺、IIS溢出攻擊、防洪水flood攻擊等。網(wǎng)絡(luò)和數(shù)據(jù)安全工作嚴格來說，只有起點沒有終點?；ヂ?lián)網(wǎng)大數(shù)據(jù)攻防體系需要不斷演練、完善和補充，才能在未來的信息化戰(zhàn)爭中成為真正的網(wǎng)絡(luò)長城。