网络空间安全实训平台的设计与实现

宣乐飞

【摘 要】云计算技术具有利用率高、可扩展性强、部署灵活的特点。本平台采用开源云计算技术Openstack进行设计与架构。通过综合管理模块，对课件、靶机、题库、模板等资源进行统一管理与维护。使用综合云管理平台，对教学实训、仿真攻防、实战对抗等功能进行集中监控与管理。采用SDN技术对各种设备和环境以图形化方式进行自由组合，快速生成各种目标场景。同时，通过动态Flag和异常行为监控，保证实训比赛的公正性，最终为信息安全类专业开展教学实训和比赛提供有效的实战训练环境。

【关键词】网络空间安全；云计算；Openstack；SDN

中图分类号：TP393.08 文献标识码：A 文章编号： 2095-2457（2018）08-0036-002

Design and implementation of cyberspace security training platform

XUAN Le-fei

（Information Engineering Institute， Hangzhou Vocational & Technical College， Hangzhou， Zhejiang 310018， China）

【Abstract】Cloud computing technology has the characteristics of high utilization， scalability and flexible deployment. The platform is designed and constructed by open source cloud computing technology Openstack. Through the comprehensive management module of the courseware and drone database template and other resources for unified management and maintenance. The integrated cloud management platform is used for centralized monitoring and management of teaching practice， simulation attack and defense， actual combat and other functions. SDN technology is used to freely assemble various devices and environments in graphical ways， and generate various target scenes quickly. At the same time， through dynamic Flag and abnormal behavior monitoring， to ensure the fairness of the training competition， and ultimately provide effective training and training environment for the cyber security specialty.

【Key words】Cyberspace security； Cloud computing； Openstack； SDN

0 引言

網络空间安全是国家安全的重要组成部分，已经上升到与政治安全、经济安全、领土安全等并驾齐驱的战略高度。“网络空间的竞争，归根结底是人才竞争。” 然而，在网络安全课程实际教学过程中，各院校普遍存在网络硬件建设成本过高、安全攻防环境落后等问题，不能有效满足课堂教学与实训的要求。

1 网络空间安全实训平台存在问题分析[1]

自从伊朗震网病毒和斯诺登事件后，国家之间的信息化战愈演愈烈。为应对网络安全与信息化战争的攻击，许多国家都开始建立网络武器训练场-“靶场”。美国国防高级研究计划局在2008年开始“国家网络靶场”项目建设。英国首个商用联合赛博实验靶场——汉姆工厂由诺格公司于2010年正式成立。

而国内的网络攻防平台建设相对比较滞后。部分平台借助传统网络技术完成平台的架构，设施设备投入高，部署难度大，管理困难。同时，传统网络环境受限与网络厂商，技术更新慢，对于新型攻击的响应速度更慢，这样势必会影响对于新型网络攻击的研究，也无法做好有效的防御。为解决上述问题，部分厂商使用专用设备通过虚拟化技术搭建实训环境，部分解决了硬件资源价格高的问题，但也存在二次开发困难，平台更新、扩展与迁移不便的问题。

2 网络空间安全实训平台关键技术研究

2.1 云计算技术

云计算是分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机和网络技术发展融合的产物[2]。亚马逊、微软、谷歌、阿里等互联网巨头均推出了各自的商用云计算平台。对于网络空间安全实训平台，使用商业平台存在很多安全风险，而开源云计算管理平台由于其标准化和开放性，同时能够提高资源的统一管理与利用效率，是构建实训平台的理想选择。OpenStack是最著名的开源云计算管理平台，其以Apache许可证授权的自由软件和开放源代码项目，支持绝大部分类型的云环境，也便于用户进行二次开发[3]。

本平台在实现过程中，使用Nova、Neutron和Cinder模块完成实训平台（网络靶场）的构建。分布式存储环境的搭建则使用Swift模块这一可扩展的对象存储系统。而虚拟机的注册、创建与使用等则通过Glance模块完成。平台的用户、角色管理与权限分配则有Keystone模块完成。通过该设计，完成实训平台的快速部署与实施，同时满足攻防场景的快速切换。

2.2 SDN技术

SDN（软件定义网络）是网络虚拟化的一种实现方式[4]。通过openflow技术，网络空间安全实训平台将网络设备控制面与数据面分离，实现网络流量的灵活控制。管理员或者用户可以通过SDN技术，将各种网络设备以图形化的方式进行自由组合，生成各种网络靶场环境，达到模拟各种真实网络拓扑或者目标场景的功能。

2.3 防作弊技术

国内对信息安全重视程度与日俱增，各项信息安全类竞赛层出不穷，其中CTF在线竞赛模式是最常见的比赛方式。不管是解题模式、攻防模式还是混合模式，均以选手提交正确的Flag为判断的依据。为了防止选手通过非正常途径获取Flag，本平台采用多种防作弊技术进行控制，保证比赛的公平与公正。

（1）动态Flag

传统平台中，每一赛题的Flag是唯一的，可能被用户非法获取。而采用动态Flag方式，则可以避免该问题的产生。其具体工作原理如下：用户发出做题申请后，系统自动生成一个动态Flag并保存。将该动态Flag替换赛题中的对应信息，保证不同用户对同一个题目或者同一个用户对不同的题目均拥有不同的Flag。用户完成赛题提交Flag后，与服务器端保存的Flag进行匹配，判断是否得分。为保证Flag的唯一性，可以將用户名、习题信息和时间戳等关键信息进行加密处理，生成相应的字符串。

（2）异常行为监控

除了非法获取Flag，非法获取解题思路更加隐蔽。需要平台通过监控选手比赛过程中的异常行为，结合大数据进行分析。本平台会记录比赛选手的IP地址、参赛token、解题路径、提交时间等特征数据，对IP地址异变、答题异常等提出报警并记录日志，一方面为现场裁判评判提供相关证据支持，同时也便于后续的大数据分析。

3 网络空间安全实训平台的主要功能

网络空间安全实训平台由攻防实战和综合管理两大模块组成。其中，攻防实战模块主要提供教学实训、仿真攻防、实战对抗等主要功能。而综合管理模块提供对于课程、靶机、题库、模板等管理与维护。整个平台通过综合管理云平台IMCP进行统一管理。

在教学实训功能中，设置了涵盖主机安全、网络安全、数据库安全、应用安全、物联网安全等的相关课程，并辅以相应的实训项目，让学习者可以根据自身需求，进行个性化的选择。项目难度按照初、中、高进行分类，学习者可以通过层级化的学习，逐步提高能力。

在仿真攻防功能中，主要通过SDN技术实现虚拟网络环境的快速搭建，学习者可以在该仿真环境中进行攻防渗透测试，提高平台的使用安全性。

在实战对抗功能中，平台可以搭建真实的企业内部业务系统或者外部互联网业务系统场景，通过个人或者分组等方式进行对抗比赛。比赛过程可通过平台进行可视化实时展示，提高了趣味性和观赏性。通过攻防对抗，可以让学习者发现企业业务系统中存在的真实问题，进而分析解决办法。

4 网络空间安全实训平台的应用

以完成SQL注入实训项目为例。学习者可以先进入平台，选取相应的实训项目。在实训项目中包含有相关的实训要求和步骤。接着学习者创建相应的实训环境。系统会根据该实训的环境，选择对应的模板生成相关的靶机资源。由于采用云技术，平台生成单个靶机的时间为8秒左右。批量生成100个靶机的平均时间为30秒左右。因此，教师现场为全班同学开展相关实训也不存在太大的问题。最后，学习者根据实训步骤，完成相关的实训操作。针对社会学习者的不连续学习需求，平台会保留该靶机6小时，并可以手工延长时间或提前销毁。如果实训时间结束后，系统会自动释放靶机，回收相关资源，提高资源的使用效率。

5 结束语

通过云计算技术，本平台可以节约用户50%左右的前期硬件投入。高校可利用自身的硬件资源，进行平台的建设工作。同时，通过一次规划，分批采购的方式，保证平台具有足够的弹性和可扩展性，实现硬件的可兼容性和软件的及时更新性。通过该方式，减轻了使用者设备维护与教学管理的压力，为专业人才培养提供了有力的支撑。

【参考文献】

[1]康辰，朱志祥.基于云计算平台的网络攻防实验平台[J].西安邮电大学学报，2013，18（3）：87-91.

[2]张力，周汉清.基于云计算技术的网络安全攻防实验平台设计[J].软件导刊，2015，14（9）：188-191.

[3]叶建锋，张平安，高月芳.基于Openstack的网络攻防实训平台设计与构建[J].实验技术与管理，2016，33（3）：86-89.

[4]张朝昆，崔勇，唐翯翯，吴建平.软件定义网络（SDN）研究进展[J].软件学报，2015（01）：62-81.