虚实结合的网络对抗实验体系研究与构建

2021-06-16陈璐严承华陈云

电子制作 2021年2期

陈璐，严承华，陈云

（海军工程大学信息安全系，湖北武汉，430033）

0 引言

在信息技术高速发展的当今时代,网络应用已成为人们日常生活和工作不可分割的一部分。特别是在方便、高效、经济和快捷方面，更是注入了新鲜活力，在教学领域，网络已成为取代传统教学手段的重要工具，线上教学、网上训练、远程答疑等等已成为现代教学手段的重要组成部分。在军事领域，网络也已变成了没有边界的新战场，网络对抗成为军事交战双方的决胜焦点，在这场新式战争中，网络变成了指挥的核心，通过网络技术来获取情报，借助网络来制定指挥决策，依靠网络来传递行动指令，用于战场的指挥控制系统，其双方的对抗也集中表现在网络的对抗上[1]。

网络对抗实际上是在网络空间里，双方未知的对手信息对抗，防御对方的网络入侵和攻击,确保自身信息和系统的安全。为此应以未来信息战的主要战法作为作战背景,模拟对方有可能采取的不同攻击方法和手段，应采取的相应对策，让双方进入攻防对抗的模拟演练，通过这种最接近于实战状态的对抗方式，找到系统的缺陷、漏洞和不足，依次加以改进，提高系统的防御能力，为未来信息战争的胜利打下可靠基础。

过去，军事训练主要依赖于实体系统，近几十年来，随着系统复杂性的不断提高，采用实体进行训练存在着风险高、花费大等缺点，而利用模拟仿真技术进行网络攻击和防御训练，不仅可以节省人力、物力及财力，还可以通过整个网络攻击过程，从任意时间和地点重新开始、进行。训练完后，还可以借助评估系统来审查训练的效果。本文在总结网络对抗成果和分析其发展趋势的基础上，提出构建虚实结合的网络对抗训练体系，旨在为网络对抗的教学与施训提供理论依据和技术支撑。

1 设计目标和体系构成

■1.1 设计目标

虚实结合的网络对抗训练体系的总体设计目标为：

(1)逼真的网络攻防平台

在主机上部署虚实结合的网络对抗训练以后，通过调用训练系统的函数库能够对网络中的其它主机实施攻击，借助系统功能，可以向攻击者反馈攻击结果参数，分析攻击效果；也可以将防御模块加载到训练系统的函数库中，用来防御来自网络上其他机器的攻击，并向管理者预警。

(2)灵活的设计仿真环境

在单机上用程序模拟一个网络，通过主机、路由器和防火墙等基本的网络节点建立虚拟网络，添加相应的功能模块，从而将一个虚拟的网络激活，进行一场攻防的演练。在演练过程中各个网络节点上的数据、状态都以实时、动态、可视化的形式表现出来。

■1.2 体系构成

虚实结合的网络对抗训练体系由总体控制单元（真实的攻击和防御、模拟的攻击和防御）形成公共模块，通过虚实结合的网络对抗训练，对网络对抗的效能进行评估[2]，如图1所示。

(1)总体控制单元

该单元主要功能是在区分真实环境和虚拟环境下进行工作。在系统开始工作时首先进行初始化，然后通过总控模块来确定在真实环境还是虚拟环境中进行攻击防御训练。若是在真实环境下，直接加载实际操作人员设计或编写的攻击防御模块，然后，启动加载后的系统，实现所加载模块的功能。若是在虚拟环境下，总控模块的任务是通过给虚拟网络上的每个节点加载攻击防御功能函数，启动虚拟设备，运行虚拟网络。

(2)真实的攻击和防御

在真实的网络对抗训练环境中，在本机上运行攻击和防御模块，通过运行结果，得到这些攻击和防御对网络的影响情况。在这种真实的网络对抗训练环境下，虚拟网络就蜕变成一台主机形式，此主机所在的网络就是实际连接的郑真实网络，它攻击的网络也是实际存在的网络，实现防御的目标也是来自真实网络上的入侵。通过调用公共模块里原来已经封装好的功能函数和各种数据库来实现攻击和防御功能。

图1 虚实结合的网络对抗训练体系整体结构图

(3)模拟的攻击和防御

首先对主机、路由器、防火墙、集线器等设备的功能和特性进行虚拟实现，每种网络设备有其特定的功能，比如路由器有转发和ICMP报文反馈功能，防火墙有包过滤功能等。然后在虚拟网络中，给网络中特定节点加载攻击和防御代码，从而可以观察到网络攻防的总体效果，它的功能要建立在网络模拟模块的基础之上，同样要调用公共模块中相应的函数和库。

(4)公共模块

真实攻击防御模块和模拟攻击防御模块是由公共模块中最基本的函数库及其调用的功能提供的。公共模块中的攻击模块、防御模块、用于显示和反馈给实作人员信息模块都是互相独立的，共同向网络对抗效能评估提供不同的训练结果数据。

(5)网络对抗效能评估

虚实结合的网络对抗训练的评估是通过网络攻击防御的效果实现的，同时对网络安全状态及变化趋势提供预测。预测功能可以在威胁发生之前对网络攻击行为进行预警，使网络管理者能够有针对性地进行决策和防护准备，做到防患于未然。同时还能利用网络安全属性的历史记录，提供一个比较准确的网络安全发展趋势分析。

2 实训项目构建

有了好的训练体系,还必须配备好的实训项目。以病毒攻击、黑客攻击、虚拟防护、网络系统修复等实际问题为依托，通过分析演练背景→提出方案→实施方案→方案测试与评估等一系列的分析、设计、实训、总结提炼出典型的实训项目，具体内容如下[3-4]。

■2.1 病毒攻击

计算机病毒是网络战的典型武器。作为进攻作战方式，可通过潜伏攻击、空间攻击和节点攻击等方式把计算机病毒加载到敌方雷达、导弹、卫星和自动化指挥中心的计算机信息情报搜集系统中，在关键时刻使病毒发作，并不断地传播、感染、扩散，侵害敌系统软件，使其瘫痪。

作为防御作战方式，要运行比较检测程序，以检测本系统运行正常情况、被攻击情况，采用像“嗅探器”工具一样的被动检测，目的是防止防止系统被对方肆意超载或者阻塞。

■2.2 黑客攻击

这里的黑客攻击指利用除计算机病毒之外的其它手段潜入计算机网络系统，窃取情报或实施破坏的作战行动。为窃取情报,黑客往往通过猜测或穷举口令、利用缓冲区溢出等系统漏洞，获得对目标系统的一般或最高控制权，冒充合法用户潜入目标系统。为实施破坏，黑客最常用的手段就是拒绝服务攻击（Denial of Services）,这种攻击方式简称为DoS，它不需要其它任何的特权，就可以阻止服务器向外提供各种服务，从而让那些正常的用户，没法使用该服务器提供的正常服务。

■2.3 虚拟防护

成功的防护可以拒入侵者于系统之外。在设计计算机和网络物理结构等硬件时要有防护措施。保护网络信息安全的主要手段常用的是密码技术和访问控制技术。通过对数据信息的加密,信息表示形式的变化方式来保护敏感信息。常用的密码技术不仅仅具备信息加密功能,同时还有秘密分享、身份验证和数字签名等功能。因此，使用密码加密技术可以保证信息的机密性、完整性和可靠性，防止信息的篡改、伪造或者假冒。访问控制技术是通过运用策略对系统资源、通信数据和存储信息的访问限制，保证这些信息的可用性和不可否认性，是通过对实体的身份进行识别和认证(I&A)来实现访问控制的。常用的生物特征识别技术是利用人体的身体生物特征作为识别身份的要素；智能卡识别技术是通过一张预置电子证书的智能卡，在需要访问的时候，将该智能卡插入到终端的智能卡读写器上，然后进行认证；挑战应答动态口令识别技术是通过输入用户名和静态口令,用户通过认证后,再回传到认证中心，随机生成的挑战数,由用户端计算出相应的应答数,上传给认证中心实现认证服务。

■2.4 网络系统修复

网络系统遭到对方破坏，或者系统自身运行时出现故障，训练系统按照先主后次、先急后缓的方式，采取积极防御的方式，调整网络链路，切断病毒扩散源，或使用备份系统，确保系统能尽快恢复到被打击之前的状态[5]。同时，分析网络被破坏和出项故障的原因和程度、依次查找薄弱环节，调整策略，采取防范措施，快速及时堵塞新发现的网络安全漏洞，防止再次攻击。