摘? 要：隨著網(wǎng)絡(luò)威脅的暴露范圍越來越廣，開發(fā)新的工具來改進(jìn)網(wǎng)絡(luò)防御是一個重大挑戰(zhàn)。網(wǎng)絡(luò)防御中最重要的問題是人員技能培訓(xùn)，網(wǎng)絡(luò)靶場就是用于此目的。它提供用于訓(xùn)練和對抗比賽的虛擬環(huán)境。本文用VDSL語言定義了一個定制的網(wǎng)絡(luò)環(huán)境，并實現(xiàn)了一個框架，允許將網(wǎng)絡(luò)靶場場景轉(zhuǎn)換為Prism模型。這樣就可以進(jìn)行訓(xùn)練和賽事結(jié)果的定量分析并可以對這個框架進(jìn)行持續(xù)優(yōu)化。

關(guān)鍵詞：網(wǎng)絡(luò)靶場;VDSL;攻防場景;框架

中圖分類號：TP311.1? ? ?文獻(xiàn)標(biāo)識碼：A

Abstract： As exposure to cyber threats is getting wider and more prevalent， it becomes a major challenge to develop new tools to improve cyber defense. The most important issue in cyber defense is staff training， and cyber ranges are used for this purpose. A cyber range is a virtual environment used for training and competition. This paper defines a customized network environment with VDSL （Virtual Scenarios Descriptive Language） language and implements a framework allowing to convert the cyber range scenarios into Prism models. In this way， the quantitative analysis of training and competition results can be carried out and the framework can be continuously optimized.

Keywords： cyber range; VDSL; attack and defense scenarios; framework

1? ?引言（Introduction）

當(dāng)前，IT安全在我們的生活中變得越來越重要，網(wǎng)絡(luò)威脅的程度越來越廣泛，給個人生活、企業(yè)生產(chǎn)乃至國家重點基礎(chǔ)設(shè)施等帶來的風(fēng)險都是嚴(yán)重的。開發(fā)新的技術(shù)和新的工具來提高網(wǎng)絡(luò)防御能力是一個重大挑戰(zhàn)。北約合作網(wǎng)絡(luò)防御中心將網(wǎng)絡(luò)防御定義為：探測或獲取有關(guān)網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)攻擊或即將進(jìn)行的網(wǎng)絡(luò)行動的主動措施活動。很明顯，這些活動在很大程度上取決于安全專家的技能。因此，防御的基礎(chǔ)是對人員進(jìn)行技能培訓(xùn)，技能可通過實踐和演習(xí)活動進(jìn)行強(qiáng)化[1]。受訓(xùn)人員必須在模擬真實應(yīng)用，并且安全可控的場景中訓(xùn)練和操作，網(wǎng)絡(luò)靶場用于提供這樣的仿真受訓(xùn)環(huán)境。

2? ?需求分析（Demand analysis）

（1）網(wǎng)絡(luò)靶場可支撐的用戶分析[2]。

①學(xué)生：在模擬的應(yīng)用環(huán)境中運用理論知識，提高操作技能，也可作為團(tuán)隊一員共同參與比賽，合力解決安全問題。

②教師：可以把網(wǎng)絡(luò)靶場作為評價學(xué)生的實踐課堂。

③組織：可以使用網(wǎng)絡(luò)靶場來評估組織的安全能力、培訓(xùn)團(tuán)隊和測試新技術(shù)。

（2）在網(wǎng)絡(luò)靶場內(nèi)的演習(xí)涉及幾個不同角色的團(tuán)隊，角色功能如圖1所示。

①紅色團(tuán)隊扮演攻擊者的角色，試圖通過達(dá)到訪問特定數(shù)據(jù)或破壞特定資源實現(xiàn)攻擊?？梢允褂玫墓艄ぞ哂校河糜诠舻哪_本、用于注入目標(biāo)的惡意軟件或后門、用于攔截數(shù)據(jù)流的工具或異常流量生成器等。

②藍(lán)色團(tuán)隊的任務(wù)是防御，其目的是在有限的時間內(nèi)驗證和改進(jìn)基礎(chǔ)設(shè)施的安全性，可以使用用于執(zhí)行安全分析和故障管理的工具及數(shù)字取證工具等。

③綠色團(tuán)隊負(fù)責(zé)維護(hù)物理和在線基礎(chǔ)設(shè)施，相當(dāng)于運維團(tuán)隊，可以使用用于基礎(chǔ)設(shè)施監(jiān)控的工具，如監(jiān)控和網(wǎng)絡(luò)管理軟件等。

①訓(xùn)練框架是各類用戶的接入點，支持個人訓(xùn)練和團(tuán)隊培訓(xùn)相關(guān)的事務(wù)管理與組織。

②儀表板是一個交互式工具，由管理員使用，用于管理和監(jiān)控網(wǎng)絡(luò)靶場。

③工具集為網(wǎng)絡(luò)靶場用戶提供一套攻擊和防御工具，用于設(shè)備和系統(tǒng)的訓(xùn)練和測試。

④事件和流量生成器模塊可以在自動模式下模擬基礎(chǔ)設(shè)施內(nèi)的正常流量。

⑤連接器允許網(wǎng)絡(luò)靶場的傳統(tǒng)架構(gòu)擴(kuò)展到不同的架構(gòu)，稱為混合網(wǎng)絡(luò)靶場架構(gòu)，以便將硬件或物理設(shè)備插入到模擬場景中。

（4）場景

場景[3]是包括網(wǎng)絡(luò)、硬件、軟件，以及在實踐過程中的操作環(huán)境。網(wǎng)絡(luò)靶場的主要目的是準(zhǔn)備滿足訓(xùn)練要求的場景。在如圖3所示的場景中，整個網(wǎng)絡(luò)由服務(wù)器機(jī)房、實驗室、會議室和控制室四個子網(wǎng)組成。在服務(wù)器機(jī)房網(wǎng)絡(luò)中，有三個節(jié)點，一個具有特定的操作系統(tǒng)漏洞，其他的都包含易受攻擊的服務(wù)和惡意軟件。在實驗室網(wǎng)絡(luò)中，連接了兩臺筆記本電腦，其中一臺可以通過遠(yuǎn)程登錄訪問，另一臺移動終端可以進(jìn)入會議室網(wǎng)絡(luò)。會議室網(wǎng)絡(luò)包含具有文件服務(wù)器功能（即SAMBA服務(wù)）的主機(jī)。控制室網(wǎng)絡(luò)包含一臺運行了防病毒軟件的個人計算機(jī)和一臺包含有要保護(hù)數(shù)據(jù)（也就是FLAG值）的個人計算機(jī)。

藍(lán)隊在靶場內(nèi)先執(zhí)行一定時間的防御任務(wù)，然后停止并切換到脫機(jī)狀態(tài)。然后紅對開始進(jìn)入攻擊狀態(tài)，紅隊訪問功能受限，僅能訪問公共子網(wǎng)。紅隊的目標(biāo)是通過實施多種技術(shù)最終到達(dá)目標(biāo)節(jié)點并竊取目標(biāo)FLAG數(shù)據(jù)。

3? ?相關(guān)技術(shù)（Relevant technologies）

涉及相關(guān)技術(shù)包括：領(lǐng)域特定語言（Domain-Specific Language，DSL）、虛擬場景描述語言（Video Scene Description Language，VSDL）、Prism模型（Prism Model）檢查器和離散時間馬爾可夫鏈（Discrete Time Markov Chain，DTMC）。

（1）領(lǐng)域特定語言DSL是解決特定問題的領(lǐng)域規(guī)范語言

①Xtext，它是一個基于Eclipse的框架，用于實現(xiàn)DSL。它使用戶能夠快速實現(xiàn)語言，并負(fù)責(zé)實現(xiàn)開發(fā)集成環(huán)境的所有方面，例如，鏈接器、編譯器、類型檢查器和解析器。

②Xtend，它是一種通用編程語言，與完全用Xtext開發(fā)的代碼具有互操作性。Xtend源于Java編程語言，但它有比Java更簡潔的語法和一些額外的功能。

（2）虛擬場景描述語言VSDL

虛擬場景描述語言VSDL是一種用于為網(wǎng)絡(luò)靶場建模虛擬場景領(lǐng)域特定語言。

使用虛擬場景描述語言實現(xiàn)的場景。場景由名字和一系列場景元素標(biāo)識，場景元素包括節(jié)點或網(wǎng)絡(luò)。節(jié)點和網(wǎng)絡(luò)都由唯一的標(biāo)識符標(biāo)識。對于節(jié)點，可以表示為：類型（如服務(wù)器、客戶端、移動設(shè)備等），硬件配置文件（CPU數(shù)量、RAM和磁盤大小等），軟件功能（特定操作系統(tǒng)或操作系統(tǒng)系列等）。對于網(wǎng)絡(luò)，可以表示為接入公共網(wǎng)絡(luò)、尋址方法和所連接的節(jié)點。

以如圖3所示的場景為例，用VSDL語言描述后的示例如圖4所示，可以看到其中對于實驗室和會議室網(wǎng)絡(luò)，規(guī)定了以下特別功能：當(dāng)漫游節(jié)點從會議室移動到實驗室時，要求最多t=15秒后節(jié)點必須連接于網(wǎng)絡(luò)，并且在0和t時間值內(nèi)，漫游節(jié)點應(yīng)處于未連接狀態(tài)。

（3）Prism模型檢查器

Prism模型檢查器是一個建模和分析概率行為的系統(tǒng)工具。這些系統(tǒng)包括安全協(xié)議、隨機(jī)算法等。模型是用Prism語言定義的，而屬性可以通過各種時態(tài)邏輯來指定。Prism模型檢查器的輸入形式是馬爾可夫鏈。如圖5所示為概率模型檢查器實現(xiàn)的功能示例。概率模型檢驗允許對系統(tǒng)進(jìn)行定量分析，用以確定在網(wǎng)絡(luò)靶場范圍內(nèi)攻擊發(fā)生的概率是多少？攻擊成功的概率有多大？

（4）馬爾可夫鏈

馬爾可夫鏈?zhǔn)且环N馬爾可夫過程。一個過程滿足馬爾可夫性質(zhì)，就如同一個人能夠僅僅基于當(dāng)前狀態(tài)就可以對未來進(jìn)行預(yù)測，也就是說以系統(tǒng)的當(dāng)前狀態(tài)為條件判斷和預(yù)測未來，未來和過去的狀態(tài)是完全獨立的。當(dāng)馬爾可夫過程的狀態(tài)空間是離散值時，它被稱為馬爾可夫鏈。馬爾可夫鏈可以被看作是一系列隨機(jī)事件，其中系統(tǒng)的當(dāng)前狀態(tài)與所有過去狀態(tài)無關(guān)。

離散時間馬爾可夫鏈（DTMC）[4]指具有離散狀態(tài)空間和離散時間{Xt，t>0}的隨機(jī)過程。

（5）Prism建模語言

先解釋Prism語言的基本概念：模塊的并行組合和同步，之后可以了解Prism模型檢查器中的模型是如何定義的。

并行組合：在Prism模型的每個狀態(tài)中，都有一些可用的命令，在這些命令之間選擇哪個命令？選擇取決于模型的類型。對于DTMC，選擇是有概率，可以以相同的概率選擇每個啟用的命令。

同步：在Prism模型中，命令可以標(biāo)記為動作。這些操作將用于使兩個（或更多）模塊同時執(zhí)行轉(zhuǎn)換。

用Prism語言編寫的概率模型可以用rewards值或者與模型的狀態(tài)或狀態(tài)轉(zhuǎn)換相關(guān)的值來量化[5]。rewards結(jié)構(gòu)可用于計算預(yù)期得分等屬性，也可以分配給模型狀態(tài)和狀態(tài)轉(zhuǎn)換。

狀態(tài)rewards：rewards結(jié)構(gòu)為模型的每個狀態(tài)分配20個reward。左邊為布爾值，記為受保護(hù)狀態(tài)，右邊的值（20）記為rewards。簡單地理解為，滿足保護(hù)的狀態(tài)被記作布爾值true，并分配相應(yīng)的rewards。如圖6所示。

如圖7所示的示例可以解釋為：在沒有動作標(biāo)簽的情況下，模型中的所有轉(zhuǎn)換分配200的rewards;標(biāo)有“與網(wǎng)絡(luò)連接的行動”的轉(zhuǎn)換分配值為500;對所有標(biāo)有SQL注入動作的轉(zhuǎn)換給予分配10000。

可以通過兩種方式指定基于rewards的財富值：

R bound [rewardprop]（在這個條件表達(dá)式中，其中bound為比較運算符，可以是小于、小于等于、大于或大于等于）。

R query [rewardprop]（在這個賦值表達(dá)式中，query為賦值運算符，可以是等于多少、最小是多少、最大是多少）。

如果從模型狀態(tài)開始時與模型的rewardprop相關(guān)聯(lián)的預(yù)期報酬滿足bound這個條件表達(dá)式，那么，R bound [rewardprop]條件運算的結(jié)果為真，則R query [rewardprop]將返回實際預(yù)期rewards值?？傌敭a(chǎn)R將返回在rewards結(jié)構(gòu)中指定的預(yù)期總數(shù)。

4? ?設(shè)計（Design）

首先利用擴(kuò)展VSDL語法定義場景，其中包含對存有漏洞節(jié)點的記錄，實現(xiàn)了一個結(jié)合VSDL規(guī)范和漏洞描述符的Prism模型生成器，其結(jié)果是一個需要用Prism驗證的模型。網(wǎng)絡(luò)靶場攻擊策略架構(gòu)[6]的目標(biāo)是實現(xiàn)如圖8所示的邏輯流程。首先在VSDL中編寫場景，然后根據(jù)場景生成Prism模型，用于驗證漏洞利用情況，此時可以接受場景或?qū)鼍斑M(jìn)一步優(yōu)化。

（1）VSDL中的漏洞規(guī)范

VSDL規(guī)范根據(jù)其核心元素（即節(jié)點和網(wǎng)絡(luò)）及其特性描述場景。在這種情況下，可將漏洞視為額外的節(jié)點特性。因此，使用新的節(jié)點屬性擴(kuò)展了VSDL的語法。格式為：Vulnerability：。為了研究漏洞，必須對場景中的漏洞特性進(jìn)行研究。例如在圖9中，標(biāo)明了Pc_1這臺機(jī)器遭受SQL注入攻擊。

（2）代碼生成

代碼生成過程是這樣的：框架獲取從JSON文件生成Prism代碼所需的信息。這意味著對于每種類型的漏洞，都需要一個適當(dāng)?shù)腏SON文件。整個過程可以描述如下：靶場攻擊策略框架從場景中讀取所需漏洞的類型，然后從相應(yīng)的JSON文件中獲取必要的信息來創(chuàng)建Prism代碼。

如果選擇跨站點腳本（XSS）漏洞，需要一個名為XSS.json的文件，其中包含創(chuàng)建Prism模型所需要的有用信息。該模型顯然將使用Prism語言編寫，那么如何創(chuàng)建此JSON文件？

（3）漏洞規(guī)范腳本語言

創(chuàng)建了一個規(guī)范腳本，用于為任何類型的漏洞創(chuàng)建適當(dāng)?shù)腏SON文件。每個場景都可以用Prism模型來表示，Prism模型可以包含全局變量、常量、模塊，還有rewards結(jié)構(gòu)。考慮到每個模型的組件和VSDL場景的特性，為JSON文件創(chuàng)建了一個標(biāo)準(zhǔn)結(jié)構(gòu)，如圖10所示。JSON對象分為三個部分：頭部、主體和rewards。

①頭部

頭部可以包括全局變量（所有模塊都可以讀寫的變量）和常量。它由兩部分組成：

全局狀態(tài)GlobalState：是一個數(shù)組，可以包含全局變量和常量。

網(wǎng)絡(luò)連接情況：將NetworkConnected定義為一個特定常數(shù)，用以表示節(jié)點X是否連接到網(wǎng)絡(luò)Y。

定義樣式如下：

const bool $Nodename_connected_to_network_$netwrokName

如果需要這些信息來表達(dá)某一種類型的漏洞，必須在適當(dāng)?shù)腏SON文件中指定它，這種情況下，靶場攻擊策略框架會用適當(dāng)?shù)男畔⑷ヌ鎿Q$nodeName和$networkName變量。如果場景指定Pc_2未連接到網(wǎng)絡(luò)會議室，生成的代碼為：const bool Pc_2_connected_to_MeetingRoom=false，如果不需要這些類型的信息，可以省略它并將其留空。

②主體

為每個節(jié)點創(chuàng)建一個模塊。如果此節(jié)點包含一個漏洞，則將其標(biāo)記為被影響，否則將其標(biāo)記為未受影響。易受攻擊節(jié)點的狀態(tài)和轉(zhuǎn)換在被影響對象中指定，而其他節(jié)點的狀態(tài)和轉(zhuǎn)換在未被影響對象中指定。例如，如果某個節(jié)點存在注入漏洞，則可以通過如圖11所示方式指定被影響的對象。

如果Pc_1是受影響的節(jié)點，靶場攻擊策略框架從受影響的節(jié)點對象獲取信息，并將圖11中的$currentNode替換為“Pc_1”，將$NetworkCurrentNode替換為Pc_1所連接的網(wǎng)絡(luò)。如圖12所示，這是為Pc_1生成的Prism模塊代碼。

③rewards

在如圖13所示的獎勵示例中包含靶場框架用于reward結(jié)構(gòu)信息的數(shù)組。例如：[$allothernodes]true：已知的pc_*+1;框架將使用所有未受影響的節(jié)點名（場景中沒有指定漏洞的節(jié)點）替換$ allothernodes，如圖13所示。按照上面解釋的結(jié)構(gòu)，為其他類型的漏洞創(chuàng)建JSON文件很簡單。

5? ?使用用例（Use case）

以注入攻擊為例來描述一個測試用例，并產(chǎn)生由策略設(shè)計框架自動生成的Prism代碼。

（1）注入攻擊

注入是Web安全中的一個主要問題。它被列為2017年OWASP前10名中的頭號Web應(yīng)用程序安全風(fēng)險[7]。這種類型的攻擊允許攻擊者將代碼注入程序或查詢，或?qū)阂廛浖⑷胗嬎銠C(jī)，以便執(zhí)行讀取、修改數(shù)據(jù)庫或遠(yuǎn)程調(diào)用系統(tǒng)命令類操作。

對于測試用例，僅考慮一般的注入攻擊，測試環(huán)境中有四臺名為Pc_1、Pc_2、Pc_3、Pc_4的計算機(jī)。還有兩個網(wǎng)絡(luò)，稱為實驗室和會議室，其中Pc_1易受注入攻擊，場景描述如圖14所示。在圖15中，可以看到由框架生成的Prism代碼。

（2）Prism實驗

一旦有了Prism代碼，就可以應(yīng)用這些屬性來分析它。對于生成的Prism模型，reward是已知Pc的數(shù)量。在Prism模型中，指定要實現(xiàn)某類攻擊，需要預(yù)置一個最小的預(yù)算，Pc_1_injected=false & Budget>=10，此時Pc_1_injected=true?，F(xiàn)在，如果想驗證Prism需要的預(yù)算最少，如預(yù)算設(shè)為50的情況下，可以得到期望reward為2的值，如圖16所示。

6? ?結(jié)論（Conclusion ）

本文設(shè)計并實現(xiàn)一個框架，允許用高級語言編寫場景。靶場攻擊策略框架可以分析場景并獲取必要的信息，然后加載適當(dāng)?shù)腏SON文件，由JSON文件創(chuàng)建一個固定的結(jié)構(gòu)，它允許向框架提供信息，以便從場景自動創(chuàng)建適當(dāng)?shù)腜rism代碼?？蚣苁褂眠@些Prism代碼信息生成Prism模型?？蚣苓€可以將reward屬性應(yīng)用到創(chuàng)建的Prism模型中，并使用reward結(jié)果評估或進(jìn)一步優(yōu)化網(wǎng)絡(luò)靶場，使其更接近真實環(huán)境。未來如果有一個著名攻擊的數(shù)據(jù)庫，可行的做法是將攻擊樹集成到框架中，這樣可以詳細(xì)研究攻擊方法和防御方法，也可以研究攻擊成功的概率。

參考文獻(xiàn)（References）

[1] 方濱興，賈焰，李愛平，等.網(wǎng)絡(luò)空間靶場技術(shù)研究[J].信息安全學(xué)報，2016（03）：1-9.

[2] 李建華.多元化多層次網(wǎng)絡(luò)空間安全人才培養(yǎng)創(chuàng)新與實踐[J].信息安全研究，2018（12）：1073-1082.

[3] 李煒，余慧英，吳華穎.網(wǎng)絡(luò)空間博弈中的場景研究[J].信息安全研究，2018（5）：415-419.

[4] 孫美鳳，黃飛，陳云菁.基于特征模式的馬爾可夫鏈異常檢測模型[J].計算機(jī)工程，2008，34（24）：155-156;159.

[5] 王元卓，林闖，程學(xué)旗，等.基于隨機(jī)博弈模型的網(wǎng)絡(luò)攻防量化分析方法[J].計算機(jī)學(xué)報，2010，33（9）：1748-1762.

[6] 劉智國，于增明，王建，等.面向未來的網(wǎng)絡(luò)靶場體系架構(gòu)研究[J].信息技術(shù)與網(wǎng)絡(luò)安全，2018，47（6）：41-46.

[7] Arun Prasath Sivanesan，Akshay Mathur，Ahmad Y Javaid.A Google Chromium Browser Extension for Detecting XSS Attack in HTML5 Based Websites[C].2018 IEEE International Conference on Electro/Information Technology（EIT）.IEEE，2018.

作者簡介：

張月紅（1975-），女，碩士，副教授.研究領(lǐng)域：滲透測試，漏洞挖掘，WEB安全.