摘 要：虛擬化技術(shù)是以計算機系統(tǒng)的仿真模擬，實現(xiàn)鏡像實驗操作的技術(shù)還原，以便為網(wǎng)絡(luò)信息安全的教學(xué)內(nèi)容提供實驗操作平臺。但是在以往所使用的相關(guān)產(chǎn)品中，虛擬技術(shù)的模擬效果并未完全發(fā)揮，對于網(wǎng)絡(luò)攻擊的實質(zhì)性手段描述并不清晰，對于高職教學(xué)的支持作用并不顯著。為此，本文設(shè)計了基于虛擬化技術(shù)的高職網(wǎng)絡(luò)攻防實驗平臺，以便為加強教學(xué)實驗平臺的虛擬化設(shè)計效果提供理論參考。

關(guān)鍵詞：虛擬化技術(shù)；高職教育；網(wǎng)絡(luò)攻防；實驗平臺

中圖分類號：TP393.08 文獻標(biāo)識碼：A 文章編號：2096-4706（2018）08-0156-03

Abstract：The virtualization technology is based on the simulation of the computer system to realize the technology reduction of the mirror experiment operation，so as to provide the experimental platform for the teaching content of the network information security. However，in the related products used in the past，the simulation effect of virtual technology has not been fully played. The description of the substantive means of network attacks is not clear，and the support for higher vocational education is not significant. Therefore，this paper designs an experimental platform of network attack and defense based on virtualization technology in order to provide a theoretical reference for strengthening the effectiveness of the virtual design of the teaching experiment platform.

Keywords：virtualization technology；higher vocational education；network attack and defense；experimental platform

1 高職計算機網(wǎng)絡(luò)攻防實驗教學(xué)的現(xiàn)狀分析

網(wǎng)絡(luò)安全的實驗課程是高職計算機教育的主要部分，需要從主機安全、網(wǎng)絡(luò)攻防、病毒攻防等方面，引導(dǎo)學(xué)生掌握網(wǎng)絡(luò)攻防技術(shù)，增強網(wǎng)絡(luò)信息安全應(yīng)用的主觀意識。其教學(xué)內(nèi)容的知識體系涵蓋量極為豐富，其中涉及到WDX遠(yuǎn)程溢出、社工欺騙、Serv U 5.0遠(yuǎn)程溢出、Shell Code編程、MS SQL遠(yuǎn)程溢出、IDQ提權(quán)、手工入侵共享連接主機、網(wǎng)站掛馬、Cookies欺騙上傳等方面的網(wǎng)絡(luò)攻防知識點。采取實驗教學(xué)的方案，是將網(wǎng)絡(luò)攻擊的具體類型在虛擬實驗平臺為學(xué)生展示，同時在講解相關(guān)技術(shù)之后，由學(xué)生自行練習(xí)應(yīng)用多種技術(shù)防范網(wǎng)絡(luò)攻擊的方法及針對措施。目前我國高職院校的計算機信息類課程，在講解相關(guān)知識點時已經(jīng)逐步開展了虛擬實驗教學(xué)內(nèi)容，能夠在很大程度上加強教學(xué)水平和質(zhì)量。由于網(wǎng)絡(luò)安全的實驗類課程本身具有一定的破壞性與特殊性，因此在相應(yīng)的教學(xué)工作中通常需要采用獨立的網(wǎng)絡(luò)環(huán)境，搭建基于硬件系統(tǒng)的物理實驗平臺，或者是基于軟件系統(tǒng)的仿真模擬實驗平臺。

雖然現(xiàn)有的仿真技術(shù)及其培訓(xùn)產(chǎn)品最大限度地發(fā)揮了網(wǎng)絡(luò)實驗教學(xué)的優(yōu)勢，提供了諸多服務(wù)功能，但在網(wǎng)絡(luò)攻防實驗教學(xué)環(huán)節(jié)中仍然存在部分問題。一方面，由于網(wǎng)絡(luò)環(huán)境本身的復(fù)雜性較為突出，如果僅依靠硬件或軟件技術(shù)很難模擬真實的網(wǎng)絡(luò)環(huán)境，對于網(wǎng)絡(luò)攻防場景或拓?fù)浣Y(jié)構(gòu)的呈現(xiàn)都較為片面，無法為學(xué)生提供完整網(wǎng)絡(luò)攻防轉(zhuǎn)換機制的解析。另一方面，網(wǎng)絡(luò)攻擊的形式均以遠(yuǎn)程操作為主，在實驗教學(xué)中相對封閉的內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)并不足以描述網(wǎng)絡(luò)攻擊的意圖、動機、行為、方式，以及傾向或入侵路徑。因此，學(xué)生在理解網(wǎng)絡(luò)攻擊模式的過程中很難架構(gòu)起宏觀的網(wǎng)絡(luò)體系認(rèn)知?；谝陨蟽牲c因素，需要進一步研究網(wǎng)絡(luò)攻擊實驗教學(xué)平臺的廣域網(wǎng)絡(luò)架構(gòu)模式，并通過遠(yuǎn)程操作的演練，加強高職計算機專業(yè)學(xué)生對于網(wǎng)絡(luò)攻擊模式的感受和體驗效果。

2 基于虛擬化技術(shù)的網(wǎng)絡(luò)攻擊實驗平臺功能設(shè)定

本研究所設(shè)計的教學(xué)實驗平臺是基于虛擬化技術(shù)的構(gòu)建，結(jié)合多種媒體功能融入視頻、音頻、文字、圖像等信息，為學(xué)生構(gòu)建更為符合真實網(wǎng)絡(luò)環(huán)境的虛擬實驗項目，從而加強學(xué)生對于網(wǎng)絡(luò)攻擊的理解與認(rèn)知。在借助網(wǎng)絡(luò)共享資源的基礎(chǔ)上，實現(xiàn)對于網(wǎng)絡(luò)安全的實驗內(nèi)容，并及時收集反饋信息和實驗數(shù)據(jù)，以便為學(xué)生提供更為全面的教學(xué)引導(dǎo)。該仿真模擬系統(tǒng)的教學(xué)平臺由8個模塊組成，分別為：遠(yuǎn)程接入控制模塊、虛擬仿真攻擊數(shù)據(jù)模塊、虛擬靶機云模塊、擴展設(shè)備兼容模塊、監(jiān)控子系統(tǒng)輔助模塊、管理中心執(zhí)行模塊、實驗數(shù)據(jù)配置模塊、教學(xué)運行管理模塊。

2.1 遠(yuǎn)程接入控制模塊

遠(yuǎn)程接入控制模塊是支持客戶端并入網(wǎng)絡(luò)環(huán)境的基礎(chǔ)條件，需要完成終端系統(tǒng)與仿真虛擬平臺的信息對接，從而支持后續(xù)網(wǎng)絡(luò)攻防實驗的操作信息備注與實時提取，支持信息安全實驗課題的順利進行。

2.2 虛擬仿真攻擊數(shù)據(jù)模塊

虛擬仿真攻擊數(shù)據(jù)模塊是利用虛擬化技術(shù)，依據(jù)常規(guī)網(wǎng)絡(luò)攻擊的類型設(shè)定實驗參數(shù)。同時可以為Linux虛擬機或Windows虛擬機自動生成基于不同攻擊類型的防護工具，以便為實驗教學(xué)操作提供相應(yīng)的技術(shù)支持。

2.3 虛擬靶機云模塊

虛擬實驗操作中，需要模擬網(wǎng)絡(luò)攻擊的真實情況，而虛擬靶機云模塊則是在利用虛擬技術(shù)后實現(xiàn)攻擊方案的必要支持?？梢葬槍Σ煌南到y(tǒng)漏洞模擬出相應(yīng)的虛擬靶機，從而為學(xué)生操作提供參考范式，理解防護軟件在應(yīng)對網(wǎng)絡(luò)攻擊時的運行機制。

2.4 擴展設(shè)備兼容模塊

設(shè)計擴展設(shè)備兼容模塊是考察硬件系統(tǒng)與軟件系統(tǒng)的兼容性，在虛擬設(shè)備介入實驗環(huán)境之后，需要分別配置入侵檢測、防火墻、安全審計等功能，從而為實驗環(huán)境構(gòu)建更為真實的網(wǎng)絡(luò)攻擊參照。

2.5 監(jiān)控子系統(tǒng)輔助模塊

監(jiān)控子系統(tǒng)輔助模塊是在實驗教學(xué)中及時獲取網(wǎng)絡(luò)數(shù)據(jù)的重要功能，從而總結(jié)虛擬機在網(wǎng)絡(luò)數(shù)據(jù)信息交互過程中的運行機制監(jiān)控。在完成網(wǎng)絡(luò)數(shù)據(jù)信息交換之后，便可以在實驗操作中總結(jié)網(wǎng)絡(luò)數(shù)據(jù)的端口下載數(shù)據(jù)信息進程，進而模擬網(wǎng)絡(luò)攻擊數(shù)據(jù)的信息容量或攻擊模式。

2.6 管理中心執(zhí)行模塊

管理中心執(zhí)行模塊主要負(fù)責(zé)統(tǒng)計管理數(shù)據(jù)的相關(guān)內(nèi)容，包括虛擬操作系統(tǒng)的鏡像庫、攻擊軟件工具、虛擬機維護、平臺賬戶管理等方面。

2.7 實驗數(shù)據(jù)配置模塊

實驗數(shù)據(jù)配置模塊主要用于對接局域網(wǎng)內(nèi)或者互聯(lián)網(wǎng)用戶信息的配置內(nèi)容，通過模擬網(wǎng)絡(luò)數(shù)據(jù)的動態(tài)化虛擬靶機，與虛擬網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)信息進行交互，并在假定的IP地址內(nèi)完成數(shù)據(jù)新的發(fā)布與呈現(xiàn)，從而加強網(wǎng)絡(luò)攻擊模擬實驗的真實性與體驗度。

2.8 教學(xué)運行管理模塊

教學(xué)運行管理模塊主要負(fù)責(zé)實時發(fā)布和管理教學(xué)信息，加強虛擬實驗平臺與教學(xué)內(nèi)容的互動，通過成績測評的數(shù)據(jù)檔案完善對于學(xué)生學(xué)習(xí)近況的了解程度，并配置教學(xué)成果展示功能，為學(xué)生實驗操作的相關(guān)信息創(chuàng)造共享機制，展現(xiàn)實驗操作效果，并加強網(wǎng)絡(luò)攻擊實驗教學(xué)管理的時效性。

3 基于虛擬化技術(shù)的高職網(wǎng)絡(luò)攻防實驗平臺設(shè)計方案

3.1 虛擬實驗平臺硬件結(jié)構(gòu)

本研究所設(shè)計的網(wǎng)絡(luò)攻防實驗教學(xué)平臺采用了模擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計方案，應(yīng)用服務(wù)器主要為Dell R910，同時每一臺服務(wù)器都需要與交換機相互鏈接。一方面，互聯(lián)網(wǎng)端口內(nèi)鏈接了網(wǎng)絡(luò)云存儲的相關(guān)內(nèi)容，并借助防火墻與系統(tǒng)內(nèi)部設(shè)置了虛擬防護體系，可以在網(wǎng)絡(luò)防護設(shè)備的保護下完成網(wǎng)絡(luò)攻擊模擬操作。而借助防火墻配置多樣性的網(wǎng)絡(luò)攻擊模式，也可以令學(xué)生更為真實地體驗到網(wǎng)絡(luò)攻擊意圖、傾向、運行機制等重要信息，以便加強學(xué)生對于網(wǎng)絡(luò)安全知識的掌握程度。

該虛擬環(huán)境中存儲了外部網(wǎng)絡(luò)云新的系統(tǒng)操作漏洞，或者軟件程序漏洞，能夠鏡像還原Linux或Windows的虛擬靶機案例，從而為指導(dǎo)學(xué)生了解網(wǎng)絡(luò)攻擊程序與方式提供參考案例。另一方面，在網(wǎng)絡(luò)云端存儲的交互數(shù)據(jù)，可以保存攻擊類型的系統(tǒng)鏡像文件，從而利用數(shù)據(jù)信息的可對比性，加強Linux虛擬系統(tǒng)與Windows虛擬系統(tǒng)的攻擊實例真實性。借助局域網(wǎng)絡(luò)鏈接VPN網(wǎng)關(guān)，從而為虛擬機的仿真操作提供便捷性，支持多種防護技術(shù)的合并運用，引導(dǎo)學(xué)生了解網(wǎng)絡(luò)攻擊防護手段的針對性與協(xié)調(diào)性。

3.2 虛擬實驗平臺軟件系統(tǒng)架構(gòu)

虛擬機實驗操作的平臺需要完成網(wǎng)絡(luò)信息的交互，從而為學(xué)生提供多種網(wǎng)絡(luò)攻擊數(shù)據(jù)的可參考信息內(nèi)容。在設(shè)計虛擬實驗平臺軟件系統(tǒng)架構(gòu)的過程中，本研究結(jié)合了S3與Amazon EC2的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)服務(wù)模型。由Nova端口負(fù)責(zé)調(diào)派資源案例的虛擬機執(zhí)行條件，通過Glance為實驗數(shù)據(jù)提供鏡像虛擬化的操作范本對接。然后利用Network所提供的網(wǎng)絡(luò)連接模型，以及Cinder所提供的外接服務(wù)內(nèi)容，從Ceilometer中完成關(guān)鍵數(shù)據(jù)收集的虛擬機服務(wù)，并應(yīng)用在數(shù)據(jù)統(tǒng)計、監(jiān)控、報警等實用性功能中。最后，借助Swift和Glance所創(chuàng)建的鏡像存儲服務(wù)，完善Cinder所設(shè)計的備份服務(wù)內(nèi)容，最終組建完整的虛擬服務(wù)場景。通過服務(wù)器節(jié)點和控制服務(wù)器的操作模式，加強服務(wù)器控制效果，從節(jié)點信息中提取實驗操作數(shù)據(jù)的鏡像信息，為虛擬靶機的設(shè)定提供網(wǎng)絡(luò)鏈接的可操作性，加強多樣化網(wǎng)絡(luò)結(jié)構(gòu)的模擬效果。

3.3 虛擬實驗平臺的操作流程解析

虛擬實驗平臺在初始化階段，需要管理員從信息庫中設(shè)置相應(yīng)的操作實驗標(biāo)準(zhǔn)、口令，及用戶標(biāo)識，為所有登錄賬號設(shè)置標(biāo)準(zhǔn)一致的磁盤空間，制定學(xué)生操作的實驗類型。學(xué)生可以依據(jù)不同的實驗類型選擇虛擬機鏡像文件，并創(chuàng)建自身的磁盤空間虛擬攻擊案例。配置模塊將默認(rèn)網(wǎng)關(guān)、子網(wǎng)掩碼、IP地址、DNS服務(wù)，以及虛擬攻擊實例錄入網(wǎng)絡(luò)存儲空間。學(xué)生在登錄虛擬空間之后，可以利用網(wǎng)絡(luò)存儲提供的攻擊案例，檢測虛擬系統(tǒng)中的安全漏洞。在具備攻擊條件的虛擬空間內(nèi)，也可以逐步驗證操作流程的正確性，以及是否防范了網(wǎng)絡(luò)攻擊的入侵條件，進而通過實踐操作，引導(dǎo)學(xué)生掌握網(wǎng)絡(luò)攻擊的特征、參數(shù)、性質(zhì)等重要信息。

學(xué)生也可以在受到虛擬網(wǎng)絡(luò)攻擊時，選擇虛擬機所提供的防護工具，在虛擬靶機的實例參考之下完成對于虛擬系統(tǒng)的保護操作。為了加強虛擬空間對于網(wǎng)絡(luò)環(huán)境的客觀體驗效果，學(xué)生在虛擬靶機的實例操作中，可以配置防火墻技術(shù)，并將虛擬靶機的相關(guān)案例歸納在防火墻技術(shù)范疇，從而加強實例教學(xué)引導(dǎo)的針對性。利用所配置的網(wǎng)絡(luò)攻擊工具與防護工具，加強虛擬靶機對于實例網(wǎng)絡(luò)攻擊的描述效果與可控性。同時可以借助監(jiān)控模塊捕獲流經(jīng)虛擬攻擊機的網(wǎng)絡(luò)數(shù)據(jù)包，并保存虛擬攻擊案例及其操作日志，為后續(xù)教學(xué)講解環(huán)節(jié)提供支持。在虛擬實驗平臺中，學(xué)生作為網(wǎng)絡(luò)用戶也可隨時下載監(jiān)控模塊捕獲的網(wǎng)絡(luò)攻擊信息，從而為實驗結(jié)果的分析提供參考。實驗完成后，監(jiān)控模塊可以自動還原網(wǎng)絡(luò)攻擊防護的案例對比，以便為學(xué)生實驗操作提供對比數(shù)據(jù)，支持學(xué)生理解和掌握網(wǎng)絡(luò)攻擊類型的差異性，以及網(wǎng)絡(luò)攻擊防護措施的針對性。

4 結(jié) 論

綜上所述，在網(wǎng)絡(luò)攻擊仿真模擬實驗中，其實驗平臺的可操作性、對比性、參考性是加強虛擬化仿真效果的重要支持。為了加強高職實驗平臺的應(yīng)用效果，需要完善虛擬實驗平臺硬件結(jié)構(gòu)，以及虛擬實驗平臺軟件系統(tǒng)架構(gòu)，最后通過更加契合實際情況的網(wǎng)絡(luò)攻擊數(shù)據(jù)及參考案例，引導(dǎo)學(xué)生加強針對網(wǎng)絡(luò)安全知識的理解程度，發(fā)揮出虛擬網(wǎng)絡(luò)實驗平臺的技術(shù)優(yōu)勢，以期高職網(wǎng)絡(luò)安全教育的質(zhì)量與水平穩(wěn)步提升。

參考文獻：

[1] 王顥瑾.基于云計算和虛擬化的計算機網(wǎng)絡(luò)攻防實驗教學(xué)平臺建設(shè)探索 [J].信息與電腦（理論版），2018（4）：79-80.

[2] 楊瓊.基于虛擬現(xiàn)實的高職網(wǎng)絡(luò)攻防實驗平臺設(shè)計 [J].電子世界，2018（4）：179-180.

[3] 黎水林，陳廣勇.基于虛擬化技術(shù)的網(wǎng)絡(luò)攻防仿真平臺的設(shè)計與實現(xiàn) [J].信息網(wǎng)絡(luò)安全，2016（S1）：117-120.

[4] 陳艷雪，趙建平，張楠.基于虛擬化的遠(yuǎn)程有線網(wǎng)絡(luò)攻防實驗教學(xué)平臺研究 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（11）：113-114.

作者簡介：許曉燕（1978-），女，漢族，青海西寧人，講師。研究方向：計算機網(wǎng)絡(luò)、計算機應(yīng)用。