方濱興, 賈 焰 李愛平 張偉哲

1北京郵電大學(xué) 北京 中國 1008762國防科技大學(xué)計(jì)算機(jī)學(xué)院 長沙 中國 4100733哈爾濱工業(yè)大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 哈爾濱 中國 150001

網(wǎng)絡(luò)空間靶場技術(shù)研究

方濱興1,2,3, 賈 焰2, 李愛平2, 張偉哲3

1北京郵電大學(xué) 北京 中國 1008762國防科技大學(xué)計(jì)算機(jī)學(xué)院 長沙 中國 4100733哈爾濱工業(yè)大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 哈爾濱 中國 150001

網(wǎng)絡(luò)靶場已經(jīng)成為支撐網(wǎng)絡(luò)空間安全技術(shù)驗(yàn)證、網(wǎng)絡(luò)武器試驗(yàn)、攻防對抗演練和網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的重要手段。本文首先介紹了網(wǎng)絡(luò)靶場國內(nèi)外研究現(xiàn)狀; 然后介紹了靶場相關(guān)技術(shù)的研究進(jìn)展, 包括大規(guī)模網(wǎng)絡(luò)仿真、網(wǎng)絡(luò)流量/服務(wù)與用戶行為模擬、試驗(yàn)數(shù)據(jù)采集與評(píng)估、系統(tǒng)安全與管理等方面; 最后闡述了網(wǎng)絡(luò)靶場發(fā)展面臨的挑戰(zhàn)與發(fā)展趨勢。

網(wǎng)絡(luò)靶場; 網(wǎng)絡(luò)仿真; 用戶行為模擬; 數(shù)據(jù)采集與分析; 安全與管理

1 引言

網(wǎng)絡(luò)空間對抗形勢日趨嚴(yán)峻, 網(wǎng)絡(luò)攻防已成為各國網(wǎng)絡(luò)攻防對抗的主要內(nèi)容。網(wǎng)絡(luò)環(huán)境已由單純互聯(lián)網(wǎng)發(fā)展到了泛在網(wǎng)絡(luò)空間, 攻擊方式也由單一模式朝著復(fù)雜的APT攻擊方向發(fā)展。網(wǎng)絡(luò)靶場是針對網(wǎng)絡(luò)攻防演練和網(wǎng)絡(luò)新技術(shù)評(píng)測的重要基礎(chǔ)設(shè)施,主要供政府和軍隊(duì)部門使用, 用來提高網(wǎng)絡(luò)和信息系統(tǒng)的穩(wěn)定性、安全性和性能[1]。世界各國均高度重視網(wǎng)絡(luò)靶場建設(shè), 將其作為支撐網(wǎng)絡(luò)空間安全技術(shù)驗(yàn)證、網(wǎng)絡(luò)武器試驗(yàn)、攻防對抗演練和網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的重要手段[2]。

網(wǎng)絡(luò)靶場的主要功能包括: (1) 網(wǎng)絡(luò)攻防武器評(píng)測驗(yàn)證: 新型網(wǎng)絡(luò)攻防武器研制出來之后, 需要對其進(jìn)行測試驗(yàn)證, 是否能有效攻破敵方防護(hù)系統(tǒng),以及是否能有效保護(hù)我方目標(biāo)系統(tǒng); 2)支持人員培訓(xùn)與競演: 隨著新型網(wǎng)絡(luò)攻防武器的研發(fā), 具體網(wǎng)絡(luò)安全人員能否能有效掌握, 訓(xùn)練后, 誰掌握的技能更好; 3)科學(xué)試驗(yàn)和新技術(shù)驗(yàn)證: 網(wǎng)絡(luò)空間科研人員研制出新的網(wǎng)絡(luò)協(xié)議, 新型網(wǎng)絡(luò)設(shè)備, 以及不同網(wǎng)絡(luò)新技術(shù), 在互聯(lián)網(wǎng)上功能和性能如何, 也需要進(jìn)行驗(yàn)證。

網(wǎng)絡(luò)靶場已成為各國家進(jìn)行網(wǎng)絡(luò)空間安全研究、學(xué)習(xí)、測試、驗(yàn)證、演練等必不可少的網(wǎng)絡(luò)空間安全核心基礎(chǔ)設(shè)施。我國網(wǎng)絡(luò)安全問題嚴(yán)重, 每年的經(jīng)濟(jì)損失達(dá)數(shù)百億美元, 網(wǎng)絡(luò)靶場研究成果如能很好的推廣, 普惠網(wǎng)絡(luò)安全相關(guān)企業(yè)及網(wǎng)民, 定可提高企業(yè)的核心競爭力及網(wǎng)民的安全意識(shí)與能力,從而極大的減少經(jīng)濟(jì)損失。因此, 無論是從保證國家安全、維護(hù)社會(huì)穩(wěn)定以及產(chǎn)業(yè)發(fā)展、減少經(jīng)濟(jì)損失等網(wǎng)絡(luò)靶場都具有廣闊的應(yīng)用前景, 具有很高的社會(huì)和經(jīng)濟(jì)效益。

目前, 關(guān)于網(wǎng)絡(luò)靶場的研究已經(jīng)取得了很多成果, 但仍處于探索階段。對國內(nèi)外關(guān)于網(wǎng)絡(luò)靶場的研究進(jìn)展進(jìn)行較為全面的總結(jié), 對未來網(wǎng)絡(luò)靶場的深入研究具有重要意義。本文剩余部分組織入下, 第2節(jié)給出網(wǎng)絡(luò)靶場國內(nèi)外研究現(xiàn)狀, 第3節(jié)給出網(wǎng)絡(luò)靶相關(guān)技術(shù)研究進(jìn)展, 第4節(jié)指出網(wǎng)絡(luò)靶場面臨的挑戰(zhàn)與發(fā)展趨勢, 第5節(jié)對全文進(jìn)行總結(jié)。

2 靶場國內(nèi)外研究現(xiàn)狀

在網(wǎng)絡(luò)靶場建設(shè)方面, 美國走在了世界的前列,除了建成多個(gè)小型網(wǎng)絡(luò)靶場外, 已開展國家級(jí)的網(wǎng)絡(luò)靶場建設(shè)。2016年2月9日, 美國白宮公布《網(wǎng)絡(luò)安全國家行動(dòng)計(jì)劃》, 再次對美國網(wǎng)絡(luò)基礎(chǔ)設(shè)施、專業(yè)人才隊(duì)伍、與企業(yè)合作等五個(gè)方面做全面提升,提高美國在數(shù)字空間的安全。其他國家, 如英國等也正在建設(shè)自己的國家網(wǎng)絡(luò)靶場。

我們將網(wǎng)絡(luò)靶場的發(fā)展可以分為三個(gè)階段,第一階段是以21世紀(jì)初期針對單獨(dú)的木馬類攻擊武器而建立的實(shí)物高逼真型靶標(biāo)時(shí)期。在此階段, 各國以敵方的靶標(biāo)軟硬件平臺(tái)為目標(biāo), 建立盡可能逼真的靶標(biāo)軟硬件平臺(tái), 用于測試己方新研制的攻擊武器能否成功繞過敵方的防護(hù)軟件, 主要包括早期的蜜罐系統(tǒng)、木馬測試系統(tǒng)等。第二階段是以2005年開始的小型虛擬化互聯(lián)網(wǎng)靶場時(shí)期。在此階段, 云計(jì)算、軟件定義網(wǎng)絡(luò)等虛擬技術(shù)是該階段的主流技術(shù),模擬真實(shí)的互聯(lián)網(wǎng)攻防作戰(zhàn)提供虛擬環(huán)境是各個(gè)國家的主要目標(biāo), 但模擬的互聯(lián)網(wǎng)規(guī)模都比較小。主要包括: 2005年美軍聯(lián)合參謀部組織建設(shè)的“聯(lián)合信息作戰(zhàn)靶場”(IOR) , 2009年美國國防部國防高級(jí)研究計(jì)劃局牽頭建立的“國家網(wǎng)絡(luò)靶場”(NCR)[3], 2010年美軍國防信息系統(tǒng)局組織建設(shè)的“國防部網(wǎng)絡(luò)安全靶場”(GIG); 2010年英國國防部正式啟用了由諾?格公司研制的“網(wǎng)絡(luò)安全試驗(yàn)靶場”; 此外, 日本的StarBed靶場系統(tǒng), 加拿大的CASELab靶場系統(tǒng), 英國的SATURN靶場系統(tǒng)以及臺(tái)灣的Testbed測試平臺(tái)等均屬于這一階段。第三階段是2014年開始的支撐泛在網(wǎng)的大型虛實(shí)結(jié)合網(wǎng)絡(luò)空間靶場時(shí)期。在此階段, “震網(wǎng)”、“火焰”等針對工控網(wǎng)的新型網(wǎng)絡(luò)攻擊突現(xiàn), 各國紛紛開始研究虛實(shí)結(jié)合的網(wǎng)絡(luò)空間靶場技術(shù)。主要包括: 2014年美國國家靶場增加了法拉第罩進(jìn)行無線發(fā)射設(shè)備的測試, 并支持移動(dòng)計(jì)算設(shè)備; 2014年6月, 北大西洋公約組織在塔林建立NATO的網(wǎng)絡(luò)靶場, 支持工控網(wǎng)的攻防測試; 2015年7月,歐洲防務(wù)署批準(zhǔn)建立網(wǎng)絡(luò)攻防測試靶場, 標(biāo)志著EDA靶場工程的啟動(dòng)。為了保證國家安全, 為了加快向網(wǎng)絡(luò)強(qiáng)國邁進(jìn)的步伐, 為了在未來的網(wǎng)絡(luò)戰(zhàn)中占據(jù)有利的位置, 建立大型的網(wǎng)絡(luò)靶場項(xiàng)目, 對網(wǎng)絡(luò)靶場和網(wǎng)絡(luò)戰(zhàn)從理論和實(shí)踐上進(jìn)行深入研究, 具有重要的現(xiàn)實(shí)意義。

美國“國家網(wǎng)絡(luò)靶場”項(xiàng)目(National Cyber Range, NCR)[4]。美軍網(wǎng)絡(luò)靶場是“曼哈頓計(jì)劃”的五個(gè)組成部分之一。“國家網(wǎng)絡(luò)靶場”項(xiàng)目由美國國防高級(jí)研究計(jì)劃局(DARPA)負(fù)責(zé)組建, 通過構(gòu)建可伸縮的互聯(lián)網(wǎng)模型, 用來進(jìn)行網(wǎng)絡(luò)戰(zhàn)爭推演?！皣揖W(wǎng)絡(luò)靶場”成為一種測試涉密與非涉密網(wǎng)絡(luò)項(xiàng)目的國家資源。獲得授權(quán)進(jìn)行網(wǎng)絡(luò)試驗(yàn)的政府及政府資助的測試組織可與“國家網(wǎng)絡(luò)靶場”執(zhí)行機(jī)構(gòu)協(xié)調(diào), 安排靶場時(shí)間與資源。該項(xiàng)目于2009年1月啟動(dòng), 2011年10月完成原型開發(fā)。這是一項(xiàng)多年計(jì)劃, 由多個(gè)部門參加并分步驟實(shí)施, 其最終目的是保護(hù)美國的網(wǎng)絡(luò)安全,防止美國遭受敵對電子攻擊, 并能對敵方展開在線攻擊。具體包括網(wǎng)絡(luò)攻防實(shí)驗(yàn)床Emulab[5]、DETERlab[6]及PlanetLab[7]。Emulab是由猶他大學(xué)計(jì)算機(jī)學(xué)院Flux研究團(tuán)隊(duì)開發(fā)的一個(gè)網(wǎng)絡(luò)實(shí)驗(yàn)床。該網(wǎng)絡(luò)實(shí)驗(yàn)床由一定數(shù)量的計(jì)算機(jī)、服務(wù)器和路由器等硬件設(shè)施和一套專用的管理運(yùn)營的軟件系統(tǒng)組成?；贓mulab進(jìn)行改進(jìn)的DETERlab, 將不同地理位置的Emulab平臺(tái)進(jìn)行網(wǎng)絡(luò)集成的PlanetLab[8],此外, 還有美國惠普公司、英特爾公司和雅虎公司正在聯(lián)合開發(fā)“全球云計(jì)算試驗(yàn)平臺(tái)”等。

英國的網(wǎng)絡(luò)靶場主要包括聯(lián)邦網(wǎng)絡(luò)實(shí)驗(yàn)靶場及Breaking point系統(tǒng)。英國聯(lián)邦網(wǎng)絡(luò)實(shí)驗(yàn)靶場(federated cyber test range)[9]由Northrop Grumman公司于2010年10月建立, 是英國第一個(gè)商業(yè)的網(wǎng)絡(luò)實(shí)驗(yàn)平臺(tái)。聯(lián)邦網(wǎng)絡(luò)實(shí)驗(yàn)靶場是將已有的網(wǎng)絡(luò)靶場聯(lián)邦而成的網(wǎng)絡(luò)實(shí)驗(yàn)平臺(tái), 被用來模擬大型復(fù)雜網(wǎng)絡(luò),并在安全可控的試驗(yàn)環(huán)境下進(jìn)行基礎(chǔ)設(shè)施生存能力和可靠性方面的網(wǎng)絡(luò)試驗(yàn)及評(píng)估, 以評(píng)價(jià)它們對網(wǎng)絡(luò)攻擊的承受能力。Breaking point是英國Ixia公司的網(wǎng)絡(luò)靶場系統(tǒng)。它支持流量生成和仿真, 以創(chuàng)建一個(gè)互聯(lián)網(wǎng)規(guī)模的網(wǎng)絡(luò)靶場環(huán)境。Breaking point中對互聯(lián)網(wǎng)環(huán)境仿真包括目標(biāo)仿真、漏洞仿真、逃避仿真和流量仿真。并且還包括互聯(lián)網(wǎng)IPV4和IPV6基礎(chǔ)架構(gòu)、企業(yè)和IT服務(wù)、人口和國家用戶群, 用于數(shù)據(jù)丟失預(yù)防(DLP)的相關(guān)數(shù)據(jù)、移動(dòng)用戶群等仿真。

日本提出了“星平臺(tái)(StarBed)[10]”系統(tǒng)規(guī)劃, 由日本情報(bào)通信研究機(jī)構(gòu)(NICT)于2002年主導(dǎo)研制。StarBed主要提供大規(guī)模的網(wǎng)絡(luò)試驗(yàn)環(huán)境用于評(píng)估真實(shí)場景下的新技術(shù)。目前已經(jīng)發(fā)展到StarBed的第三個(gè)版本。第三代StarBed將研究范圍擴(kuò)大, 研究領(lǐng)域擴(kuò)展到了安全性和服務(wù)質(zhì)量, 復(fù)雜的有線無線網(wǎng)絡(luò)的擴(kuò)展和構(gòu)建信息安全物理系統(tǒng)的方法, 提供軟件實(shí)現(xiàn)以實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)仿真。截止到2014年, 在用的實(shí)驗(yàn)組總節(jié)點(diǎn)數(shù)達(dá)到1398個(gè)/11.7K個(gè)核, 以及60TB的存儲(chǔ)。

加拿大國家仿真實(shí)驗(yàn)室(CASELab)也建立了相應(yīng)的項(xiàng)目開展類似的工作, 由維多利亞大學(xué)計(jì)劃開發(fā)。其建立的試驗(yàn)平臺(tái)提供云計(jì)算、大規(guī)模網(wǎng)絡(luò)安全和保密等領(lǐng)域的核心研究能力, 并為研究人員提供系統(tǒng)分析和仿真工具, 使他們在完全可重復(fù)的實(shí)驗(yàn)條件下對真實(shí)世界大規(guī)模網(wǎng)絡(luò)系統(tǒng)的行為建模,從而支持對互聯(lián)網(wǎng)的新技術(shù)(武器)的鑒定和評(píng)估。

國內(nèi)在網(wǎng)絡(luò)靶場建設(shè)工作方面, 科研院所方面主要有國防科技大學(xué)、中科院計(jì)算所、CNCERT/CC、中科院信工所、中國電子科技集團(tuán)、哈爾濱工業(yè)大學(xué)、北京郵電大學(xué)均建設(shè)了自己的網(wǎng)絡(luò)靶場, 在大規(guī)模網(wǎng)絡(luò)仿真、大規(guī)模網(wǎng)絡(luò)攻擊行為場景仿真, 網(wǎng)絡(luò)攻擊數(shù)據(jù)采集與安全效果評(píng)估, 以及系統(tǒng)安全管理等關(guān)鍵技術(shù)方面進(jìn)行了突破和技術(shù)積累, 公司方面,合天網(wǎng)安實(shí)驗(yàn)室和國內(nèi)i 春秋也建設(shè)了網(wǎng)絡(luò)試驗(yàn)培訓(xùn)平臺(tái)和平臺(tái)。其中, 合天網(wǎng)安實(shí)驗(yàn)室開發(fā)的互聯(lián)網(wǎng)教學(xué)靶場, 用戶遍及300 余高校3 萬余人, 并舉辦了XP 挑戰(zhàn)賽、暴恐音視頻挑戰(zhàn)賽、強(qiáng)網(wǎng)杯挑戰(zhàn)賽等全國性系列網(wǎng)絡(luò)安全競賽等。

3 相關(guān)技術(shù)研究進(jìn)展

網(wǎng)絡(luò)靶場涉及大規(guī)模網(wǎng)絡(luò)仿真、網(wǎng)絡(luò)流量/服務(wù)與用戶行為模擬、試驗(yàn)數(shù)據(jù)采集與評(píng)估、系統(tǒng)安全與管理等多項(xiàng)復(fù)雜的理論和技術(shù), 是一個(gè)復(fù)雜的綜合系統(tǒng)。

3.1 大規(guī)模網(wǎng)絡(luò)仿真

在大規(guī)模網(wǎng)絡(luò)仿真方面, 主要包括模型模擬和虛擬化兩種方法。在模型模擬方面, 代表性工作有UC Berkeley大學(xué)開發(fā)的基于并行離散事件的網(wǎng)絡(luò)模擬器(Network Simulator, version 2, NS2), 盡管能實(shí)現(xiàn)超大規(guī)模網(wǎng)絡(luò)的構(gòu)建[11], 但難以保證網(wǎng)絡(luò)節(jié)點(diǎn)的逼真度以及用戶行為復(fù)制的逼真度。因此, 以虛擬化為基礎(chǔ)的網(wǎng)絡(luò)仿真成為了主流, 虛擬化技術(shù)又分為節(jié)點(diǎn)虛擬化和鏈路虛擬化兩方面。在節(jié)點(diǎn)虛擬化方面, 作為云計(jì)算平臺(tái)中最具代表性的Openstack[15],其基于虛擬網(wǎng)橋?qū)崿F(xiàn)宿主機(jī)內(nèi)部的鏈路仿真, 實(shí)現(xiàn)虛擬機(jī)間的互聯(lián)互通。在輕量級(jí)的節(jié)點(diǎn)虛擬化方面,最具有代表性的是docker[30], 這是一種基于linux container(LXC)的技術(shù), 一個(gè)容器就相當(dāng)于一個(gè)擁有一個(gè)應(yīng)用的虛擬機(jī), 開發(fā)者可以在上面操作而不會(huì)影響到整個(gè)下層系統(tǒng)。美國空軍技術(shù)學(xué)院基于操作系統(tǒng)級(jí)虛擬化以及全虛擬化技術(shù)實(shí)現(xiàn)了大規(guī)模、高逼真度網(wǎng)絡(luò)節(jié)點(diǎn)仿真平臺(tái)并用于網(wǎng)絡(luò)安全訓(xùn)練[14]。在鏈路虛擬化兩方面, 作為網(wǎng)絡(luò)仿真平臺(tái)的代表Emulab[4], 其基于Dummynet, 通過協(xié)議棧的方式攔截?cái)?shù)據(jù)包, 并通過一個(gè)或多個(gè)管道模擬帶寬、傳播時(shí)延、丟包率等鏈路特性, 具有較高宿主機(jī)內(nèi)部的鏈路仿真逼真度。網(wǎng)絡(luò)功能虛擬化技術(shù)(NVF)[16]通過通用性硬件以及虛擬化技術(shù)實(shí)現(xiàn)網(wǎng)元(路由器、交換機(jī)等)虛擬化以及網(wǎng)元間連接的虛擬化, 但缺乏對網(wǎng)絡(luò)鏈路參數(shù)的仿真。軟件定義網(wǎng)絡(luò)技術(shù)(SDN)[17]主要是基于數(shù)據(jù)層與控制層的分離, 在整個(gè)網(wǎng)絡(luò)架構(gòu)上提供網(wǎng)絡(luò)虛擬化和自動(dòng)化的配置, 為新的網(wǎng)絡(luò)服務(wù)提供快速部署, 其網(wǎng)絡(luò)的靈活構(gòu)建與快速部署可為網(wǎng)絡(luò)仿真提供基礎(chǔ), 但SDN的研究目標(biāo)并不是網(wǎng)絡(luò)仿真,對傳統(tǒng)網(wǎng)絡(luò)的鏈路參數(shù)、路由路徑的仿真有待研究。基于網(wǎng)絡(luò)模擬和虛擬化技術(shù)各自的優(yōu)缺點(diǎn), 美國伊利諾伊大學(xué)香檳分校和佛羅里達(dá)國際大學(xué)整合了兩種技術(shù), 形成了基于虛擬機(jī)以及模擬器的融合仿真[12,13]。

在大規(guī)模虛擬網(wǎng)絡(luò)快速部署方面, 分為主要包括3類[18]: 基于鏡像啟動(dòng)的方法, 基于內(nèi)存拷貝的方法和輕量級(jí)的虛擬化技術(shù)部署。基于鏡像啟動(dòng)是虛擬機(jī)部署方法中最普遍的一種方法, 主要工作集中在鏡像管理, 鏡像格式的升級(jí), 鏡像傳輸優(yōu)化, 鏡像存儲(chǔ)等方面。普渡大學(xué)的K.R.Jayaram等人[19]在2011年提出來在IaaS環(huán)境下, 底層虛擬機(jī)鏡像的相似度很高, 它們很多的數(shù)據(jù)塊之間的內(nèi)容都是相似的。加利福尼亞大學(xué)的Peng[20]在基于鏡像相似問題基礎(chǔ)上,對鏡像進(jìn)行了塊劃分, 提出了一個(gè)基于塊級(jí)的鏡像分布系統(tǒng)VDN。Zhang等人[18]提出了一個(gè)鏡像管理部署系統(tǒng)VMThunder中對于鏡像之間的相似性, 提出了一種按需獲取鏡像內(nèi)容, 而不是整塊鏡像的傳輸。鏡像啟動(dòng)的另一個(gè)關(guān)鍵技術(shù)就是鏡像格式的優(yōu)化。威廉瑪麗學(xué)院的Duy Le[21]對虛擬環(huán)境下的鏡像文件系統(tǒng)進(jìn)行細(xì)致分析, 對于原始鏡像Raw格式,它保留了物理磁盤或文件上的比特圖, 從而不需要進(jìn)行地址翻譯等工作。典型的基于增量的鏡像是qcow和qcow2[22], 它通過不斷占用磁盤剩余空間來提供需求容量。利用了“copy on write”策略[23], 為多重訪問提供不同的版本, 且提供回滾操作, 初始磁盤大小也比較小。國防科技大學(xué)的陳斌[24]等人提出了一種虛擬機(jī)鏡像按需獲取技術(shù), 對鏡像進(jìn)行了細(xì)粒度的分割。高效的傳輸機(jī)制可以減少部署的時(shí)間,云計(jì)算早期, 亞馬遜EC2 toolbox rocks來傳輸鏡像[25]。Peer-to-peer[26]方法在鏡像傳輸方面就比較高效, 而且鏡像在傳輸之前也可以被壓縮或者分割。東田納西州立大學(xué)的THOMAS MORGAN JR等人利用一些網(wǎng)絡(luò)協(xié)議來滿足無磁盤的遠(yuǎn)程啟動(dòng)與部署, 通過共享的一個(gè)存儲(chǔ)池[27], 只需要一個(gè)網(wǎng)絡(luò)連接就可以利用里面的存儲(chǔ)資源而不需要傳輸鏡像。內(nèi)存拷貝的方法多用于正在運(yùn)行的虛擬機(jī)。多倫多大學(xué)的H. Andrés Lagar-Cavilla等人[28]提出了基于內(nèi)存拷貝方法的虛擬機(jī)快速部署SnowFlock, 達(dá)到了在秒級(jí)部署的任務(wù)。北京大學(xué)信息科學(xué)技術(shù)學(xué)院的Zhu等人[29]提出了一種基于之前存儲(chǔ)的虛擬機(jī)快照來實(shí)現(xiàn)快速啟動(dòng)的Twinkle, 從而實(shí)現(xiàn)秒級(jí)啟動(dòng)。

3.2 網(wǎng)絡(luò)流量/服務(wù)和用戶行為模擬

在網(wǎng)絡(luò)流量行為模擬方面, 主要集中在流量模型的建立、預(yù)測與回放等方面。1997年, 貝爾實(shí)驗(yàn)室的Willinger提出了具有重尾分布周期的ON/OFF模型[31]。1998年, 美國馬里蘭大學(xué)的Krunz提出了服務(wù)時(shí)間分布無窮方差的M/G/排隊(duì)模型等[32]。2011年, 瑞典烏普薩拉大學(xué)Dombry等人研究了高速通信鏈路中數(shù)據(jù)流量的傳輸模式, 結(jié)合重尾分布與ON/OFF模型, 證明了ON/OFF源的數(shù)量與時(shí)間尺度均趨于無窮時(shí), 流量數(shù)據(jù)的行為模式近似于分?jǐn)?shù)泊松運(yùn)動(dòng)[33]。2001年, 美國萊斯大學(xué)Sarvotham等人給出了一種α-β-ON/OFF模型, 解釋了網(wǎng)絡(luò)流量具有突發(fā)性和長相關(guān)性的原因, 將網(wǎng)絡(luò)流量的特性與用戶的行為聯(lián)系起來[34]。2004年, 加利福尼亞大學(xué)Cheng和Google共同開發(fā)出來用于測試服務(wù)器端性能的流量回放系統(tǒng)Monkey, Monkey see用于在服務(wù)器端一側(cè)捕獲服務(wù)器與客戶端交互的流量, 而Monkey do用于模擬客戶端和傳輸網(wǎng)絡(luò)行為[35]。2009年, 日本早稻田大學(xué)PHAM研究了大規(guī)模網(wǎng)絡(luò)流量并行回放中的流分割和回放質(zhì)量評(píng)估問題, 但局限于對捕獲流量進(jìn)行單向回放研究[36]。2013年, 南加州大信息科學(xué)研究所Hussain使用流量分析工具LANDER對真實(shí)網(wǎng)絡(luò)中的流量進(jìn)行了捕獲的分析, 并通過在DeterLab實(shí)驗(yàn)床中開發(fā)了一個(gè)代理, 實(shí)現(xiàn)了真實(shí)網(wǎng)絡(luò)攻擊流量的回放。實(shí)驗(yàn)中, 作者使用隨機(jī)Web訪問流量作為非惡意流量, 并與真實(shí)網(wǎng)絡(luò)攻擊流量合成, 完成了小規(guī)模的網(wǎng)絡(luò)模擬實(shí)驗(yàn)[37]。2008年, 馬來西亞多媒體大學(xué)的Lim S C等人從柯西過程角度討論了網(wǎng)絡(luò)流量建模方法, 給出了一種十分靈活的描述多重分形性質(zhì)的模型, 該模型可以同時(shí)精確的刻畫流量的短相關(guān)和長相關(guān)性質(zhì)[38]。2008年, 加拿大魁北克大學(xué)蒙特利爾分校的Zhani等人通過對實(shí)際網(wǎng)絡(luò)流量數(shù)據(jù)的分析, 給出了一種 Training-based模型[39], 并研究了模型性能與模型參數(shù)間的關(guān)系,預(yù)測結(jié)果比較令人滿意。

在網(wǎng)絡(luò)用戶行為模擬方面, 2011年, 智利大學(xué)工業(yè)工程系學(xué)者Loyola利用蟻群優(yōu)化算法對web用戶的瀏覽行為進(jìn)行建模, 解決了傳統(tǒng)web挖掘方法與模型適應(yīng)性不強(qiáng)的問題[40], 該方法缺點(diǎn)是偏好模型比較單一, 訓(xùn)練過程較慢, 不適合大規(guī)模網(wǎng)絡(luò)用戶行為分析。在2013年, 哥倫比亞大學(xué)學(xué)者Song采用生物特征提出了一種基于機(jī)器學(xué)習(xí)的用戶行為生物識(shí)別方法, 該論文是在系統(tǒng)級(jí)別用戶行為生物特征識(shí)別方面最早的論文, 通過提煉典型特征并采用高斯混合模型對每個(gè)用戶的特征進(jìn)行訓(xùn)練，實(shí)驗(yàn)結(jié)果與SVM相比提高了17.6%[41]。, 其缺點(diǎn)是僅在windows測試環(huán)境下進(jìn)行了測試, 且未給出誤識(shí)率和拒識(shí)率。在2015年, 德國哈索?普拉特納研究所學(xué)者Amirkhanyan研究了一種用戶行為狀態(tài)圖對用戶行為進(jìn)行描述和表示方法, 實(shí)現(xiàn)了通過設(shè)計(jì)目標(biāo)場景和人工合成活動(dòng)產(chǎn)生真實(shí)用戶行為數(shù)據(jù)的方法[42]。但該文獻(xiàn)未給出用戶行為來源, 且作者提出的構(gòu)建方法僅限于模擬簡單的用戶行為。

3.3 試驗(yàn)平臺(tái)采集與效果評(píng)估

試驗(yàn)數(shù)據(jù)采集分成物理數(shù)據(jù)采集和虛擬化數(shù)據(jù)采集。因?yàn)榍罢叩姆椒ā⒓夹g(shù)、工具都相對成熟, 所以本節(jié)主要分析虛擬化數(shù)據(jù)采集技術(shù)。即在體系結(jié)構(gòu)棧的硬件層和操作系統(tǒng)層之間加入一個(gè)新層次--虛擬層(hypervisor), 為單一物理機(jī)上提供同時(shí)運(yùn)行多個(gè)相互獨(dú)立的操作系統(tǒng), 并已成為當(dāng)今云計(jì)算和數(shù)據(jù)中心的支撐?？偨Y(jié)起來, 虛擬化數(shù)據(jù)采集可進(jìn)一步分成帶內(nèi)數(shù)據(jù)采集和帶外數(shù)據(jù)采集兩種技術(shù)路線。在帶內(nèi)數(shù)據(jù)采集方式中, 典型的做法是以基于主機(jī)的入侵檢測系統(tǒng)為主[43], 由中心采集程序和植入虛擬機(jī)的代理程序組成。該方式具有被攻擊的風(fēng)險(xiǎn),抗破壞能力差。而一個(gè)理想的數(shù)據(jù)采集系統(tǒng)應(yīng)當(dāng)既具備對監(jiān)控對象全面徹底的觀察能力, 也具備健壯的自身保護(hù)機(jī)制, 因此帶外方式被廣泛認(rèn)可是網(wǎng)絡(luò)空間安全試驗(yàn)靶場數(shù)據(jù)采集的有效路線。

在帶外數(shù)據(jù)采集方式中, 2003年, 美國斯坦福大學(xué)的Garfinkel等[44]首次提出了虛擬機(jī)內(nèi)省VMI (virtual machine introspection)技術(shù), 將數(shù)據(jù)采集方式移到了帶外, 該方式減輕了直接攻擊IDS的風(fēng)險(xiǎn), 但是數(shù)據(jù)采集引入的性能代價(jià)較大。2007年, 美國佐治亞理工學(xué)院的Payne等[45]設(shè)計(jì)的libvmi, 不需要對虛擬機(jī)監(jiān)視器進(jìn)行修改, 而是直接利用虛擬機(jī)監(jiān)視器提供的接口, 這種方式需要虛擬機(jī)監(jiān)視器的支持,引入的性能代價(jià)小于5%。但是如果虛擬機(jī)操作系統(tǒng)內(nèi)核數(shù)據(jù)結(jié)構(gòu)發(fā)生變化, 這種方法采集的數(shù)據(jù)即會(huì)出錯(cuò)。2008年, 美國佐治亞理工學(xué)院的Dinaburg等[46]設(shè)計(jì)的Ether, 用于惡意軟件分析, 這種方式能夠較好地?cái)r截內(nèi)核數(shù)據(jù)。2013年, 美國猶他大學(xué)的Burtsev[47]設(shè)計(jì)了記錄和重放系統(tǒng)XenTT, 該系統(tǒng)支持透明的虛擬機(jī)記錄方式, 而且可以對系統(tǒng)執(zhí)行歷史和系統(tǒng)狀態(tài)進(jìn)行分析。記錄程序位于虛擬機(jī)監(jiān)視器中, 記錄虛擬機(jī)內(nèi)發(fā)生的中斷和異常事件、CPU狀態(tài)、指令等底層二進(jìn)制數(shù)據(jù)。但是該方式的數(shù)據(jù)采集需要將底層二進(jìn)制重構(gòu)成高層語義, 實(shí)現(xiàn)較為困難[48]。2014年美國國防部DARPA將VMI技術(shù)作為Cyber Fast Track program項(xiàng)目一部分, 并以美國MIT Lincoln實(shí)驗(yàn)室為載體, 集結(jié)相關(guān)技術(shù)專家和工程師,形成Panda等為代表的系統(tǒng), 從而標(biāo)志帶外數(shù)據(jù)采集技術(shù)在網(wǎng)絡(luò)靶場開始得到實(shí)際使用。

在試驗(yàn)數(shù)據(jù)分析評(píng)估方面, 主要是基于試驗(yàn)運(yùn)行采集到的數(shù)據(jù), 根據(jù)一定的評(píng)估標(biāo)準(zhǔn)和模型, 對被測的攻防武器或技術(shù)進(jìn)行定量與定性相結(jié)合的效果評(píng)估, 以及網(wǎng)絡(luò)攻防對抗態(tài)勢評(píng)估分析與可視化,并盡可能保證評(píng)估的可操作性和客觀性。分析評(píng)估方法主要有三類, 即基于數(shù)學(xué)模型的方法、基于指標(biāo)體系的方法和基于知識(shí)推理的方法。在基于數(shù)學(xué)模型的方法中, Tim Bass 于2000 年提出的基于多傳感器的入侵檢測框架[49]是對基于網(wǎng)絡(luò)安全態(tài)勢感知的分析評(píng)估模型; 2002年美國國防部聯(lián)合指揮實(shí)驗(yàn)室提出了JDL數(shù)據(jù)融合處理模型[50], 將試驗(yàn)數(shù)據(jù)進(jìn)行預(yù)處理、融合、精煉和評(píng)估; 2012年SA Technologies的M.R.Endsley提出了態(tài)勢感知理論SA模型[51], 對影響網(wǎng)絡(luò)安全態(tài)勢的要素進(jìn)行理解、評(píng)估和預(yù)測; 基于指標(biāo)體系的方法中, 以20世紀(jì)70年代美國運(yùn)籌學(xué)家T.L.Saaty 教授提出的層次式指標(biāo)體系分析法[52]最為廣泛, 是安全態(tài)勢評(píng)估領(lǐng)域最常用的評(píng)估方法, 其評(píng)估函數(shù)通常由網(wǎng)絡(luò)安全指標(biāo)及其重要性權(quán)重共同確定; 在基于知識(shí)推理的方法中, 2006年挪威約維克大學(xué)Arnes 等人提出了基于隱馬爾科夫推理的網(wǎng)絡(luò)安全態(tài)勢評(píng)估模型[53]; 2007年挪威科學(xué)技術(shù)大學(xué)的Mehta 等人[54]提出了一種基于攻擊圖狀態(tài)的排序方案, 通過對狀態(tài)的排序反映出安全狀態(tài)的重要性進(jìn)行推理, 實(shí)現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢的評(píng)估; 2010年美國喬治梅森大學(xué)的Noel 等人[55]利用攻擊圖來理解攻擊者如何借助網(wǎng)絡(luò)漏洞一步步來實(shí)施攻擊推理, 通過模擬增量式的網(wǎng)絡(luò)滲透攻擊和攻擊在網(wǎng)絡(luò)中傳播的可能性來衡量這個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性。

3.4 試驗(yàn)平臺(tái)安全及管理

在試驗(yàn)平臺(tái)安全技術(shù)方面, 主要包括虛擬機(jī)安全隔離、虛擬網(wǎng)絡(luò)隔離和試驗(yàn)平臺(tái)隔離方面, 從虛擬機(jī)內(nèi)核、內(nèi)存、存儲(chǔ)、監(jiān)控器、網(wǎng)絡(luò)流量、系統(tǒng)平臺(tái)等各個(gè)層次研究試驗(yàn)平臺(tái)的安全技術(shù)。虛擬機(jī)安全方面XEN和KVM有不同的方法, XEN通過修改操作系統(tǒng)特權(quán)級(jí)、內(nèi)存分段保護(hù)機(jī)制、分離設(shè)備驅(qū)動(dòng)模型等實(shí)現(xiàn)安全隔離[56], KVM通過CPU的綁定設(shè)置、修改、優(yōu)化 KQEMU 源代碼、影子頁表法、硬件輔助的虛擬化內(nèi)存等實(shí)現(xiàn)安全隔離[57]。根據(jù)現(xiàn)有的帶寬隔離策略是否基于本地交換機(jī)或鏈路, 可以分為本地策略和端對端策略。VLANs[58]和802.1p[59]服務(wù)類型標(biāo)簽(CoS Tags)是以太網(wǎng)提供的分割不同用戶和類型流量的機(jī)制, 屬于本地策略。端對端策略在端節(jié)點(diǎn)維護(hù)速率控制狀態(tài), 因而更加靈活、擴(kuò)展性更強(qiáng)。端對端策略還可以針對單個(gè)流進(jìn)行調(diào)整, 而不影響其他流, 因而更加準(zhǔn)確。試驗(yàn)平臺(tái)隔離的相關(guān)研究主要涉及虛擬機(jī)用戶惡意行為監(jiān)控與記錄、基于平臺(tái)配置的安全管理、惡意行為安全取證、安全審計(jì)和追責(zé)四項(xiàng)關(guān)鍵技術(shù), 2010年美國北卡羅萊納州立大學(xué)的Jiang X等設(shè)計(jì)了VMwatcher[60], 可以實(shí)現(xiàn)對文件系統(tǒng)和進(jìn)程等虛擬機(jī)狀態(tài)進(jìn)行行為監(jiān)測。在工業(yè)界, VMware依據(jù)其虛擬化平臺(tái)vSphere的配置選項(xiàng), 設(shè)計(jì)vSphere云平臺(tái)安全配置的安全加固文檔,以確保VMware vCenter Server和VMware ESXi的vSphere環(huán)境安全。2008年美國阿拉斯加大學(xué)Nance開發(fā)出VIX工具包[61], 將監(jiān)控系統(tǒng)部署在Xen的特權(quán)域domain0, domain0擁有對所有資源的訪問權(quán)限。2002年美國密歇根大學(xué)研發(fā)的Revirt系統(tǒng)[62]在半虛擬化環(huán)境下實(shí)現(xiàn), 通過在虛擬機(jī)前端和Domain0后端作中介獲得共享請求數(shù)據(jù), 記錄下來以重放時(shí)間和外部中斷等不確定性事件。2012年美國雪域大學(xué)Yan等人設(shè)計(jì)的V2E[63]把虛擬機(jī)系統(tǒng)分為兩個(gè)范圍(main realm和recording realm)。惡意軟件運(yùn)行在recording realm中, 虛擬機(jī)系統(tǒng)的剩下部分仍然在main realm中。通過從記錄器獲得的記錄日志, 然后放入重放器進(jìn)行重放。然而, V2E需要進(jìn)行指令級(jí)記錄和翻譯, 所以性能開銷很大。

在試驗(yàn)任務(wù)運(yùn)行控制與管理方面, 主要研究集中于試驗(yàn)任務(wù)的自動(dòng)化配置、試驗(yàn)運(yùn)行控制以及網(wǎng)絡(luò)仿真系統(tǒng)協(xié)同融合控制。在試驗(yàn)運(yùn)行控制方面, 傳統(tǒng)的并行離散事件模擬技術(shù)(PDES)[64]基于同步技術(shù),可實(shí)現(xiàn)試驗(yàn)任務(wù)運(yùn)行時(shí)鐘的可控性與因果性, 但僅限于離散事件模擬; 美國伊利諾伊大學(xué)香檳分校提出了一種離散事件模擬與虛擬機(jī)的時(shí)鐘同步與控制技術(shù)[12], 可為試驗(yàn)運(yùn)行的靈活時(shí)鐘控制提供支撐。在試驗(yàn)任務(wù)自動(dòng)化配置方面, 以NS3[65]、Emulab[66]為代表的開源網(wǎng)絡(luò)模擬與仿真軟件根據(jù)用戶提交的網(wǎng)絡(luò)配置文件, 可自動(dòng)構(gòu)建仿真環(huán)境; 以O(shè)PNET[67]、QualNet[68]為代表的商用網(wǎng)絡(luò)模擬與仿真軟件可為用戶提供可視化配置界面。

4 面臨的挑戰(zhàn)與發(fā)展趨勢

綜上所述, 網(wǎng)絡(luò)空間靶場的關(guān)鍵技術(shù)面臨的挑戰(zhàn)與發(fā)展趨勢具體如下: (1)大規(guī)模網(wǎng)絡(luò)仿真方面, 面臨的挑戰(zhàn)為含人、物、信息的虛實(shí)互聯(lián)網(wǎng)絡(luò)靶場的靈活快速構(gòu)建問題, 主要發(fā)展趨勢為物理集群網(wǎng)絡(luò)拓?fù)渫该鞯拇笠?guī)模任意拓?fù)浼疤卣鞯奶摂M網(wǎng)絡(luò)生成、高逼真度的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)與鏈路復(fù)現(xiàn)及自適配的大規(guī)模虛擬網(wǎng)絡(luò)快速構(gòu)建等技術(shù), 通過鏡像文件的存儲(chǔ)優(yōu)化、傳輸優(yōu)化以及網(wǎng)絡(luò)感知的大規(guī)模資源調(diào)度等方法, 以實(shí)現(xiàn)萬級(jí)規(guī)模網(wǎng)絡(luò)拓?fù)?、特征的快速?fù)現(xiàn)及自動(dòng)配置; (2)在網(wǎng)絡(luò)流量/服務(wù)和用戶行為模擬方面, 面臨的挑戰(zhàn)為如何解決面向攻擊的自適應(yīng)的網(wǎng)絡(luò)空間環(huán)境的逼真模擬仿真問題, 主要發(fā)展趨勢為場景化的網(wǎng)絡(luò)行為逼真模擬技術(shù), 通過多層級(jí)融合網(wǎng)絡(luò)流量行為模擬、基于時(shí)序確保的網(wǎng)絡(luò)應(yīng)用逼真模擬、大規(guī)模服務(wù)交互行為模擬、網(wǎng)絡(luò)終端用戶行為模擬等技術(shù), 以達(dá)到場景化的多層級(jí)、全方位綜合互聯(lián)網(wǎng)行為逼真模擬效果; (3)在試驗(yàn)數(shù)據(jù)采集與評(píng)估方面, 面臨的挑戰(zhàn)為低損、實(shí)時(shí)、準(zhǔn)確的網(wǎng)絡(luò)攻防評(píng)估和分析問題, 主要發(fā)展趨勢為低損耗的靶場信息實(shí)時(shí)采集技術(shù), 主要包括虛擬機(jī)與虛擬機(jī)監(jiān)視器配合的低損實(shí)時(shí)采集、大規(guī)模試驗(yàn)數(shù)據(jù)的訂閱/分發(fā)、多模態(tài)試驗(yàn)數(shù)據(jù)流的存儲(chǔ)與管理等技術(shù), 以實(shí)現(xiàn)對網(wǎng)絡(luò)安全試驗(yàn)過程信息的低損、實(shí)時(shí)、準(zhǔn)確采集; 在試驗(yàn)效果評(píng)估方面, 其發(fā)展趨勢研究可量化的攻防效果評(píng)估指標(biāo)體系、可伸縮的實(shí)時(shí)績效評(píng)估計(jì)算模型、支持可反饋的攻防武器量化評(píng)估自適應(yīng)機(jī)制等; (4)在試驗(yàn)平臺(tái)安全及管理方面, 面臨的挑戰(zhàn)為如何保證整個(gè)靶場平臺(tái)的安全及試驗(yàn)安全隔離問題, 發(fā)展趨勢為多層次動(dòng)態(tài)隔離的安全管控體系,發(fā)展趨勢為高效、靈活、可控的虛實(shí)資源分配與隔離管控機(jī)制, 實(shí)現(xiàn)高安全、高可靠的聯(lián)合試驗(yàn)環(huán)境。

5 結(jié)束語

網(wǎng)絡(luò)靶場還可為我國軍隊(duì)及相關(guān)安全部門研究網(wǎng)絡(luò)攻防技術(shù)、進(jìn)行網(wǎng)絡(luò)攻防試驗(yàn)、驗(yàn)證攻防工具效果、攻防演練對抗等提供平臺(tái)支持; 同時(shí)可為我國培養(yǎng)網(wǎng)絡(luò)安全的高層次技術(shù)人才提供學(xué)習(xí)平臺(tái)、技術(shù)支撐平臺(tái)、培訓(xùn)平臺(tái)、攻防技術(shù)課程體系等, 從而為國家重大網(wǎng)絡(luò)安全決策提供重要依據(jù), 為維護(hù)我國網(wǎng)絡(luò)主權(quán)提供技術(shù)和能力支撐。因此, 為了保證國家安全, 為了加快向網(wǎng)絡(luò)強(qiáng)國邁進(jìn)的步伐, 為了在未來的網(wǎng)絡(luò)戰(zhàn)中占據(jù)有利的位置, 建立大型的網(wǎng)絡(luò)靶場項(xiàng)目, 對網(wǎng)絡(luò)靶場和網(wǎng)絡(luò)戰(zhàn)從理論和實(shí)踐上進(jìn)行深入研究, 具有重要的現(xiàn)實(shí)意義。

致 謝感謝在本文成文過程中, 哈爾濱工業(yè)大學(xué)(威海)的王佰玲, 江南大學(xué)的王曉峰, 哈爾濱工業(yè)大學(xué)(深圳)的劉川意, 西安電子科技大學(xué)的朱輝和國防科技大學(xué)的江榮所作出的貢獻(xiàn)。

[1] What is a Cyber Range? - Definition from Techopedia https://www. techopedia.com/definition/28613/cyber-range.

[2] Davis J, Magrath S. A survey of cyber ranges and testbeds[R]. DEFENCE SCIENCE AND TECHNOLOGY ORGANISATION EDINBURGH (AUSTRALIA) CYBER AND ELECTRONIC WARFARE DIV, 2013.

[3] Ranka J. National Cyber Range[R]. DEFENSE ADVANCED RESEARCH PROJECTS AGENCY ARLINGTON VA STRATEGIC TECHNOLOGY OFFICE (STO), 2011.

[4] Pridmore L, Lardieri P, Hollister R. National Cyber Range (NCR) automated test tools: Implications and application to network-centric support tools[C]//AUTOTESTCON, 2010 IEEE. IEEE, 2010: 1-4.

[5] Hibler M, Ricci R, Stoller L, et al. Large-scale Virtualization in the Emulab Network Testbed[C]//USENIX Annual Technical Conference. 2008: 113-128.

[6] Mirkovic J, Benzel T. Teaching cybersecurity with DeterLab[J]. Security & Privacy, IEEE, 2012, 10(1): 73-76.

[7] Chun B, Culler D, Roscoe T, et al. Planetlab: an overlay testbed for broad-coverage services[J]. ACM SIGCOMM Computer Communication Review, 2003, 33(3): 3-12.

[8] Laih C S, Li J S, Lin M J, et al. The Development and Operation of Testbed@ TWISC[C]//Proceedings of the 3rd Joint Workshop on Information Security. 2008: 532-546.

[9] Winter H. System security assessment using a cyber range[C]// System Safety, incorporating the Cyber Security Conference 2012, 7th IET International Conference on. IET, 2012: 1-5.

[10] MIYACHI T, MIWA S, HASEGAWA S, et al. Hands-on Environments for Network Technologies on StarBED[J]. Educational technology research, 2011, 34(1): 107-118.

[11] Liu N, Carothers C, Cope J, et al. Model and simulation of exascale communication networks[J]. Journal of Simulation, 2012, 6(4): 227-236.

[12] D Jin, Y Zheng, DM Nicol. A parallel network simulation and virtual time-based network emulation testbed [J]. Journal of Simulation. 2014, 8(8): 206-214.

[13] Miguel A. Erazo, Jason Liu. Leveraging symbiotic relationship between simulation and emulation for scalable network experimentation [A]. ACM SIGSIM Conference on Principles of Advanced Discrete Simulation[C]. 2013: 79-90.

[14] Todd R. Andel, Kyle E. Stewart, Jeffrey W. Humphries. Using Virtualization for Cyber Security Education and Experimentation [C]. 14th Colloquium for Information Systems Security Education. 2010: 130-136.

[15] OpenStack Community. http: //www.openstack.org/

[16] Mijumbi R, Serrat J, Gorricho J L, et al. Network function virtualization: State-of-the-art and research challenges[J]. IEEE Communications Surveys & Tutorials. 2016, 18(1): 236-262.

[17] Jammal M, Singh T, Shami A, et al. Software defined networking: State of the art and research challenges[J]. Computer Networks, 2014, 72: 74-98.

[18] Zhang Z, Li D, Wu K. Large-scale virtual machines provisioning in clouds: challenges and approaches[J]. Frontiers of Computer Science, 2016, 10(1): 2-18.

[19] Jayaram K R, Peng C, Zhang Z, et al. An empirical analysis of similarity in virtual machine images[C]//Proceedings of the Middleware 2011 Industry Track Workshop. ACM, 2011: 6.

[20] Peng C, Kim M, Zhang Z, et al. VDN: Virtual machine image distribution network for cloud data centers[C]//INFOCOM, 2012 Proceedings IEEE. IEEE, 2012: 181-189.

[21] Le D, Huang H, Wang H. Understanding performance implications of nested file systems in a virtualized environment[C]//FAST. 2012: 8.

[22] Bellard F. QEMU, a Fast and Portable Dynamic Translator[C]// USENIX Annual Technical Conference, FREENIX Track. 2005: 41-46.

[23] Xiao W, Liu Y, Yang Q, et al. Implementation and performance evaluation of two snapshot methods on iSCSI target storages[C]//Proc. of NASA/IEEE Conference on Mass Storage Systems and Technologies. 2006.

[24] 陳彬. 分布環(huán)境下虛擬機(jī)按需部署關(guān)鍵技術(shù)研究[D].國防科學(xué)技術(shù)大學(xué), 2010.

[25] Papadopoulos P M. Extending clusters to Amazon EC2 using the Rocks toolkit[J]. International Journal of High Performance Computing Applications, 2011, 25(3): 317-327.

[26] Li D, Cao J, Lu X, et al. Efficient range query processing in peer-to-peer systems[J]. Knowledge and Data Engineering, IEEE Transactions on, 2009, 21(1): 78-91.

[27] Morgan Jr T. DRBL: Diskless Remote Boot in Linux[J]. NETWORK, 2006, 192: 100.0.

[28] Lagar-Cavilla H A, Whitney J A, Scannell A M, et al. SnowFlock: rapid virtual machine cloning for cloud computing[C]//Proceedings of the 4th ACM European conference on Computer systems. ACM, 2009: 1-12.

[29] Zhu J, Jiang Z, Xiao Z. Twinkle: A fast resource provisioning mechanism for internet services[C]//INFOCOM, 2011 Proceedings IEEE. IEEE, 2011: 802-810.

[30] Merkel D. Docker: lightweight linux containers for consistent development and deployment[J]. Linux Journal, 2014, 2014(239): 2.

[31] WILLINGER W, TAQQU M S, SHERMAN R, et al. Self-similarity through high-variability: statistical analysis of Ethernet LAN traffic at the source level[J]. IEEE/ACM Transactions on Networking (ToN), 1997, 5(1): 71-86.

[32] KRUNZ M M, MAKOWSKI A M. Modeling video traffic using M/G/∞ input processes: a compromise between Markovian and LRD models[J]. Selected Areas in Communications, IEEE Journal on, 1998, 16(5): 733-748.

[33] DOMBRY C, KAJ I. The on–off network traffic model under intermediate scaling[J]. Queueing systems, 2011, 69(1): 29-44.

[34] SARVOTHAM S, RIEDI R, BARANIUK R. Network traffic analysis and modeling at the connection level[C]// Proceedings IEEE/ACM SIGCOMM Internet Measurement Workshop, c2001.

[35] CHENG Y, H?LZLE U, CARDWELL N, et al. Monkey See, Monkey Do: A Tool for TCP Tracing and Replaying[C]//USENIX Annual Technical Conference, General Track. c2004: 87-98.

[36] PHAM VAN D, ZHANIKEEV M, TANAKA Y. Effective high speed traffic replay based on IP space[C]//Advanced Communication Technology, 2009. ICACT 2009. 11th International Conference on. IEEE, c2009, 1: 151-156.

[37] A HUSSAIN, Y PRADKIN, J HEIDEMANN, Replay of malicious traffic in network testbeds[C]//Technologies for Homeland Security (HST), 2013 IEEE International Conference on. IEEE, c2013: 322-327

[38] LI M, LIM S C. Modeling network traffic using generalized Cauchy process[J]. Physica A: Statistical Mechanics and its Applications, 2008, 387(11): 2584-2594.

[39] ZHANI M F, ELBIAZE H, KAMOUN F. Analysis of prediction performance of training-based models using real network traffic.[J]. International Journal of Computer Applications in Technology, 2008, 37(1): 10-19.

[40] LOYOLA P, ROMáN P E, VELáSQUEZ J D. Clustering-based learning approach for ant colony optimization model to simulate web user behavior[C]//Proceedings of the 2011 IEEE/WIC/ACM International Conferences on Web Intelligence and Intelligent Agent Technology-Volume 01. IEEE Computer Society, c 2011: 457-464.

[41] SONG Y, BEN SALEM M, HERSHKOP S, et al. System leveluser behavior biometrics using fisher features and gaussian mixture models[C]//Security and Privacy Workshops (SPW). IEEE, c2013: 52-59.

[42] AMIRKHANYAN A, SAPEGIN A, GAWRON M, et al. Simulation user behavior on a security testbed using user behavior states graph[C]//Proceedings of the 8th International Conference on Security of Information and Networks. ACM, c2015: 217-223.

[43] Daniels T E, Spafford E H. A Network Audit System for Host-based Intrusion Detection (NASHID) in Linux [A]. // Proceedings of the Computer Security Applications, ACSAC '00, 2000: 178-187.

[44] Garfinkel T, Rosenblum M. A virtual machine introspection based architecture for intrusion detection [A]. // Proceedings of the Network and Distributed System Security Symposium [C]. San Diego, USA, 2003.

[45] Payne B D, Carbone M D P de A, Lee W. Secure and flexible monitoring of virtual machines [A]. // Proceedings of the 23rd Annual Computer Security Applications Conference [C], 2007: 385-397.

[46] Dinaburg A, Royal P, Sharif M, et al. Ether: Malware Analysis via Hardware Virtualization Extensions [A]. // Proceedings of the CCS’08 [C], 2008: 51-62.

[47] Burtsev, A. Deterministic systems analysis. Doctoral dissertation [D], The University of Utah, 2013.

[48] Bauman E, Ayoade G, Lin Z. A Survey on Hypervisor-Based Monitoring: Approaches, Applications, and Evolutions [J]. ACM Computing Surveys, Vol. 48, No. 1, 2015: Article 10: 1-33.

[49] Bass T. Multisensor Data Fusion for Next Generation Distributed Intrusion Detection Systems [C]. In Proceedings of the IRIS National Symposium on Sensor and Data Fusion, May 24-28, . 1999: 24-27.

[50] Blasch E P, Plano S. JDL level 5 fusion model: user refinement issues and applications in group tracking [J]. Proceedings of SPIE. 2002, 4729 (May 2012): 270-279.

[51] Endsley M. Situation awareness global assessment technique (SAGAT) [C]. In Proceedings of the IEEE 1988 National Aerospace and Electronics Conference, May 23-27, Dayton, OH. 1988: 789-795.

[52] Dagdeviren M, Yüksel . Developing a fuzzy analytic hierarchy process (AHP) model for behavior-based safety management [J]. Information Sciences. 2008, 178 (6): 1717–1733.

[53] ?rnes A, Valeur F, Vigna G, et al. Using hidden markov models to evaluate the risks of intrusions [C]. In Recent Advances in Intrusion Detection: 145–164. Recent Advances in Intrusion Detection. [54] Mehta V, Bartzis C, Zhu H, et al. Ranking Attack Graphs [C]. In Proceedings of the 9th International Symposium On Recent Advances in Intrusion Detection (RAID), September 20-22, Hamburg, Germany. 2006: 127–144.

[55] Noel S, Jajodia S, Wang L, et al. Measuring security risk of networks using attack graphs [J]. International Journal of Next-Generation Computing. 2010, 1 (1).

[56] 王雅超, 黃澤剛. 云計(jì)算中XEN虛擬機(jī)安全隔離相關(guān)技術(shù)綜述[J]. 信息安全與通信保密, 2015(6): 85-87.

[57] 黃煜, 羅省賢. KVM虛擬化技術(shù)中處理器隔離的實(shí)現(xiàn)[J]. 計(jì)算機(jī)系統(tǒng)應(yīng)用, 2012, 21(1): 179-182.

[58] 802.1Q - Virtual LANs [EB/OL]. http://www.ieee802.org/1/pages/ 802.1Q.html.

[59] Ek N. IEEE 802.1 P, Q - Qo S on the MAC level [EB/OL]. http:// www.tml.tkk.fi/Opinnot/Tik-110.551/1999/papers/08IEEE802.1Q os In MAC/qos.html.

[60] Jiang X, Wang X, Xu D. Stealthy malware detection and monitoring through VMM-based "out-of-the-box" semantic view reconstruction.[J]. Acm Transactions on Information & System Security, 2010, 13(2): 128-138.

[61] Nance K, Hay B, Bishop M. Virtual Machine Introspection: Observation or Interference? [J]. IEEE Security & Privacy, 2008: 32-37.

[62] Dunlap G W, King S T, Cinar S, et al. ReVirt: Enabling Intrusion Analysis through Virtual-Machine Logging and Replay [A]. // Proceedings of the 5th Symposium on Operating Systems Design and Implementation [C], 2002.

[63] Yan L, Jayachandra M, Zhang M, et al. V2E: Combining Hardware Virtualization and Software Emulation for Transparent and Extensible Malware Analysis [A]. // Proceedings of the VEE’12 [C], 2012: 227-237.

[64] R. M. Fujimoto. Parallel Discrete Event Simulation. Communications of ACM. 1990, 33(10): 30～53

[65] NS3 https: //www.nsnam.org/

[66] Brian White, Jay Lepreau, Leigh Stoller, Robert Ricci, Shashi Guruprasad, Mac Newbold, Mike Hibler, Chad Barb, Abhijeet Joglekar. An integrated experimental environment for distributed systems and networks[J]. ACM SIGOPS Operating Systems Review. 2002, 36(SI): 255-270.

[67] OPNET http: //www.opnet.com/

[68] QualNet http://scalable-networks.com

方濱興于1989年在哈爾濱工業(yè)大學(xué)計(jì)算機(jī)系獲得博士學(xué)位, 現(xiàn)任中國網(wǎng)絡(luò)空間安全協(xié)會(huì)理事長, 中國工程院院士。研究領(lǐng)域?yàn)榇髷?shù)據(jù)、計(jì)算機(jī)網(wǎng)絡(luò)和信息安全。Email: fangbx@ cae.cn

李愛平于2004年在國防科技大學(xué)計(jì)算機(jī)軟件與理論專業(yè)獲得博士學(xué)位。現(xiàn)任國防科技大學(xué)計(jì)算機(jī)學(xué)院研究員。研究領(lǐng)域?yàn)榫W(wǎng)絡(luò)安全、大數(shù)據(jù)分析等領(lǐng)域。Email: liaiping@nudt. edu.cn

賈焰于2000年在國防科學(xué)技術(shù)大學(xué)獲得計(jì)算機(jī)軟件與理論博士學(xué)位, 現(xiàn)任國防科學(xué)技術(shù)大學(xué)教授, 研究領(lǐng)域?yàn)榇髷?shù)據(jù)、網(wǎng)絡(luò)信息安全和社交網(wǎng)絡(luò)。Email: jiayanjy@vip.sina.com

張偉哲于2006年在哈爾濱工業(yè)大學(xué)計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)專業(yè)獲得博士學(xué)位?，F(xiàn)任哈爾濱工業(yè)大學(xué)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全研究中心任教授。研究領(lǐng)域?yàn)榫W(wǎng)絡(luò)空間安全、并行與分布式系統(tǒng)。研究興趣包括: 虛擬化、資源管理。Email: wzzhang@hit.edu.cn

Cyber Ranges: state-of-the-art and research challenges

FANG Binxing1,2,3, JIA Yan2, LI Aiping2, ZHANG Weizhe31
Beijing University of Posts and Telecommunications, Beijing 100876, China2School of Computer, National University of Defense Technology, Changsha 410073, China3School of Computer Science and Technology, Harbin Institute of Technology, Harbin 150001, China

Cyber Range has become a very important means to support tasks such as network security technology validation, network weapon testing, training of network attack and defense, and network risk assessment etc. In this survey, we first give an overview of the current research works in the field of Cyber Range, including both domestic and international contributions; secondly, state-of-the-art techniques of Cyber Range is described, including large-scale network simulation, network traffic/service and user behavior simulation, acquisition and analysis of testing data, and system security and management etc.; finally, we concluded the paper by discussing the challenges and trends of Cyber Range.

cyber range; network simulation; user behavior simulation; data acquisition and analysis; system security and management

TP309.2 DOI號(hào) 10.19363/j.cnki.cn10-1380/tn.2016.03.001

2016-03-28;

2016-06-28